Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Palo Alto Networks-Firewalllogs erfassen

Übersicht

In diesem Dokument wird beschrieben, wie Sie Syslog und einen Chronicle-Forwarder konfigurieren können, um Firewalllogs von Palo Alto Networks zu erfassen. In diesem Dokument wird auch erläutert, wie Firewall-Logfelder von Palo Alto Networks den Feldern der Chronicle Unified Data Model (UDM) zugeordnet sind.

Eine Übersicht über die Datenaufnahme von Chronicle finden Sie unter Datenaufnahme in Chronicle.

Ein Datenaufnahme-Label identifiziert den Parser, der Rohdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument beziehen sich auf den Parser mit dem Aufnahmelabel PAN_FIREWALL.

Hinweis

  • Informationen zu den Komponenten, die zum Erfassen von Firewalllogs von Palo Alto Networks bereitgestellt wurden, finden Sie in der Bereitstellungsarchitektur. Jede Kundenbereitstellung kann von dieser Darstellung abweichen und kann komplexer sein.

    Das folgende Diagramm zeigt, wie Sie Syslog in einer Palo Alto Networks-Firewall konfigurieren und einen Chronicle-Forwarder auf einem Linux-Server installieren, um Logdaten an Chronicle weiterzuleiten. Der Parser unterstützt Logs, die in den folgenden Datenformaten geschrieben sind: kommagetrennte Werte (CSV), Common Event Format (CEF) und Log Event Extended Format (LEEF).

    Deployment-Architektur

  • Prüfen Sie die vom Chronicle-Parser unterstützten Logformate und PAN-OS-Versionen. In der folgenden Tabelle sind die Logformate und die entsprechenden PAN-OS-Versionen aufgeführt, die vom Chronicle-Parser unterstützt werden:

    Logformat PAN-OS-Version
    CSV 10.1.3
    Logo: CEF 10
    LEEFEN 9.1

  • Prüfen Sie die vom Chronicle-Parser unterstützten Firewalltypen des Palo Alto Networks. Der Chronicle-Parser unterstützt die folgenden Firewall-Logtypen für Palo Alto Networks:

    • Traffic
    • Infos zu
    • Einsenden von WildFire
    • Tunnelinspektion
    • Konfiguration
    • System
    • HIP-Übereinstimmung
    • IP-Tag
    • User-ID
    • Entschlüsselung
    • Authentifizierung
    • URL-Filter
    • Datenfilterung
    • Logo: GlobalProtect
    • Ergebnisse in Beziehung setzen

    Weitere Informationen zu den Firewall-Protokolltypen von Palo Alto Networks finden Sie unter PAN-OS-Protokolltypen.

  • Achten Sie darauf, dass alle Systeme in der Bereitstellungsarchitektur in der UTC-Zeitzone konfiguriert sind.

  • Bevor Sie den Gold-Parser von Palo Alto Networks verwenden, sollten Sie sich die Änderungen an den Feldzuordnungen zwischen dem Standard-Parser und dem Gold-Parser ansehen, die in diesem Dokument aufgeführt sind. Achten Sie im Rahmen der Migration darauf, dass die Regeln, Suchanfragen, Dashboards oder anderen Prozesse, die von den ursprünglichen Feldern abhängen, die aktualisierten Felder verwenden.

    Beispielsweise wird im Standard-Parser das Feld „"category" dem UDM-Feld „security_result.description"“ zugeordnet. Im Gold-Parser der PAN-Firewall wird das Logfeld „"category" dem UDM-Feld „security_result.category_details"“ zugeordnet. Wenn Sie zum Gold-Parser für PAN-Firewall migrieren und in Ihren Regeln „&category“ verwenden, müssen Sie die Regeln so ändern, dass das UDM-Feld des Gold-Parsers verwendet wird.

Syslog und den Chronicle-Forwarder konfigurieren

Führen Sie die folgenden Schritte aus, um Syslog und den Chronicle-Forwarder zu konfigurieren:

  1. Konfigurieren Sie das Syslog-Serverprofil, um CSV-Logs zu überwachen. Weitere Informationen finden Sie unter Syslog-Serverprofil konfigurieren.

    Geben Sie beim Konfigurieren des Syslog-Serverprofils als Standardprotokollformat „default“ an.

  2. Konfigurieren Sie zur Überwachung der CEF-Protokolle die Firewall für Palo Alto Networks so, dass CEF-Protokolle weitergeleitet werden. Weitere Informationen finden Sie im PDF-Leitfaden zur Integration von PAN-OS im CEF-Format sowie im Abschnitt „Konfiguration von NGFW mit Palo Alto Networks zum Ausgeben von CEF-Ereignissen“.

  3. Konfigurieren Sie das Syslog-Serverprofil, um LEEF-Logs zu überwachen. Weitere Informationen finden Sie unter Benutzerdefinierte Logweiterleitung im LEEF-Format.

  4. Chronicle-Forwarder so konfigurieren, dass Logs an Chronicle gesendet werden. Weitere Informationen finden Sie unter Weiterleitung unter Linux installieren und konfigurieren. Das folgende Beispiel zeigt eine Chronicle-Forwarder-Konfiguration:

      - syslog:
          common:
            enabled: true
            data_type: PAN_FIREWALL
            batch_n_seconds: 10
            batch_n_bytes: 1048576
          tcp_address: 0.0.0.0:10518
          connection_timeout_sec: 60
    

Referenz für die Feldzuordnung: PAN-Logs zu UDM-Feldern

In diesem Abschnitt wird erläutert, wie der Parser Palo Alto Networks-Firewalllogfelder den Chronicle-UDM-Ereignisfeldern für jeden Logtyp zuordnet.

Der Labelschlüssel von Chronicle bezieht sich auf den Namen des Schlüssels, der dem UDM-Feld „Labels.key“ zugeordnet ist. Für das Feld „Virtual System“ lautet der Feldname beispielsweise CEF und im Format LEEF „"VirtualSystem“. Das UDM-Feld "about.labels.key" enthält den Wert "vsys" und das UDM-Feld "about.labels.value" enthält den Wert dieses Felds.

Einige der CEF- oder LEEF-Feldnamen haben keinen Namen, der den CSV-Feldnamen entspricht. Wenn Sie in einem solchen Fall im Syslog-Profil Ihren eigenen Variablennamen im benutzerdefinierten Logformat hinzufügen, wird er vom Parser nicht dem UDM-Feld zugeordnet.

In den folgenden Abschnitten finden Sie die Zuordnungsreferenzen der einzelnen Logtypen:

System

In der folgenden Tabelle sind die Logfelder des Systemlogtyps und die entsprechenden UDM-Felder aufgeführt.

CSV-Feld Feld „CEF“ LEEF-Feld Chronicle-Labelschlüssel UDM-Feld
Empfangszeit (Empfangszeit oder Empfangszeit) Echtzeit Entwicklungszeit metadata.collected_timestamp,

Metadaten.event_timestamp (falls "Generate Time" nicht vorhanden)

Seriennummer (Seriennummer) deviceExternalId (Geräte-Externe ID) Seriennummer Zwischenverbindung.Asset.Hardware.Seriennummer
Typ (Typ) Typ (Header) Katze Metadaten.Produktereignistyp ist auf "%{type} festgelegt – %{subtype}"
Bedrohung/Inhaltstyp (Untertyp) Untertyp (Header) Subtyp Metadaten.Produktereignistyp ist auf "%{type} festgelegt – %{subtype}"
Generierungszeit (time_generate oder cef- formatted-time) Metadaten.Ereignis_Zeitstempel
Virtuelles System (vsys) CS3 Virtuelles System Vsys about.labels.key/value
Ereignis-ID (eventid) Katze Ereignis-ID about.labels.key/value
Objekt (Objekt) fname Dateiname Objekt about.labels.key/value
Modul (Modul) FlexString2 Modul module about.labels.key/value
Schweregrad (Schwere) $number-of-streng(header) Schweregrad security_result.schwerpunkt und security_result.schwerpunktdetails
Beschreibung (undurchsichtig) msg msg Metadaten.Beschreibung
Sequenznummer (Sequenznummer) externalId Sequenz Metadaten.Produkt_ID
Aktions-Flags (actionflags) PanOSActionFlags Aktions-Flags actionflags about.labels.key/value
Gerätegruppenhierarchie (dg_hier_level_1 bis dg_hier_level_4) PanOSDGl1 DeviceGroupHierarchyL1 (GerätegruppenHierarchyL1) dg_hier_ebene_1 about.labels.key/value
Gerätegruppenhierarchie (dg_hier_level_2) PanOSDGl2 DeviceGroupHierarchyL2 (GerätegruppenHierarchyL2) dg_hier_ebene_2 about.labels.key/value
Gerätegruppenhierarchie (dg_hier_level_3) PanOSDGl3 DeviceGroupHierarchyL3 (GerätegruppenHierarchyL3) dg_hier_ebene_3 about.labels.key/value
Gerätegruppenhierarchie (dg_hier_level_4) PanOSDGl4 GerätegruppenHierarchyL4 dg_hier_ebene_4 about.labels.key/value
Name des virtuellen Systems (vsys_name) PanOSVsysName vSrcName (vSrcName) principal.resource.name

Principal.resource.resource_type=VIRTUAL_MACHINE

Gerätename (device_name) DVDvHost DeviceName mittler.hostname
Zeitstempel mit hoher Auflösung (high_res_timestamp) anOSTimeGeneratedHighResolution metadata.collected_timestamp,

Metadaten.event_timestamp (falls "Generate Time" nicht vorhanden)

Konfiguration

In der folgenden Tabelle sind die Logfelder des Konfigurationslogtyps und die entsprechenden UDM-Felder aufgeführt.

CSV-Feld Feld „CEF“ LEEF-Feld Chronicle-Labelschlüssel UDM-Feld
Empfangszeit (Empfangszeit oder Empfangszeit) Echtzeit Entwicklungszeit metadata.collected_timestamp,

Metadaten.event_timestamp (falls "Generate Time" nicht vorhanden)

Seriennummer (Seriennummer) deviceExternalId (Geräte-Externe ID) Seriennummer Zwischenverbindung.Asset.Hardware.Seriennummer
Typ (Typ) Typ (Header) Katze Metadaten.Produktereignistyp
Bedrohung/Inhaltstyp (Untertyp) Untertyp (Header) Metadaten.Produktereignistyp
Generierungszeit (time_generate oder cef- formatted-time) Metadaten.Ereignis_Zeitstempel
Host (Host) Host src Hauptkonto/Hostname/Hostname
Virtuelles System (vsys) CS3 Virtuelles System Vsys about.labels.key/value
Befehl (cmd) Akt msg CMD about.labels.key/value
Administrator (Administrator) Duser Logo: usrName Hauptkontonutzer.Nutzer-ID
Kunde (Kunde) Zieldienstname client Hauptkonto
Ergebnis Signatur-ID (Header)(Grund) Ergebnis Sicherheitsergebnis
Konfigurationspfad (Pfad) msg Konfigurationspfad Hauptkonto.prozess.befehlszeile
Vor Änderungsdetail (before_change_detail) CS1 VorÄnderungsdetails Vor_Änderungsdetails target.resource.attribute.labels.key/value
Nach Änderungsdetail (nach_Änderungsdetail) CS2 AfterChangeDetail Nachher_Änderungsdetails target.resource.attribute.labels.key/value
Sequenznummer (Sequenznummer) externalId Sequenz Metadaten.Produkt_ID
Aktions-Flags (actionflags) PanOSActionFlags Aktions-Flags actionflags about.labels.key/value
Gerätegruppenhierarchie (dg_hier_level_1 bis dg_hier_level_4) PanOSDGl1 DeviceGroupHierarchyL1 (GerätegruppenHierarchyL1) dg_hier_ebene_1 about.labels.key/value
Gerätegruppenhierarchie (dg_hier_level_2) PanOSDGl2 DeviceGroupHierarchyL2 (GerätegruppenHierarchyL2) dg_hier_ebene_2 about.labels.key/value
Gerätegruppenhierarchie (dg_hier_level_3) PanOSDGl3 DeviceGroupHierarchyL3 (GerätegruppenHierarchyL3) dg_hier_ebene_3 about.labels.key/value
Gerätegruppenhierarchie (dg_hier_level_4) PanOSDGl4 GerätegruppenHierarchyL4 dg_hier_ebene_4 about.labels.key/value
Name des virtuellen Systems (vsys_name) PanOSVsysName vSrcName (vSrcName) principal.resource.name

Principal.resource.resource_type=VIRTUAL_MACHINE

Gerätename (device_name) DVDvHost DeviceName mittler.hostname
Gerätegruppe (dg_id) PanOSFWDeviceGroup dg_id Hauptkonto.asset.attribute.labels.key/value
Audit-Kommentar (Kommentar) PanOSPolicyAuditKommentar comment about.labels.key/value

Bedrohung/Wildgefahr

In der folgenden Tabelle sind die Logfelder des Threat/WildFire-Logtyps und die entsprechenden UDM-Felder aufgeführt.

CSV-Feld Feld „CEF“ LEEF-Feld Chronicle-Labelschlüssel UDM-Feld
Empfangszeit (Empfangszeit oder Empfangszeit) Echtzeit Entwicklungszeit metadata.collected_timestamp,

Metadaten.event_timestamp (falls "Generate Time" nicht vorhanden)

Seriennummer (Seriennummer) deviceExternalId (Geräte-Externe ID) Seriennummer Zwischenverbindung.Asset.Hardware.Seriennummer
Typ (Typ) Typ (Header) Katze Metadaten.Produktereignistyp
Bedrohung/Inhaltstyp (Untertyp) cat/subtype (Header) Subtyp Metadaten.Produktereignistyp
Generierungszeit (time_generate oder cef-formatted-time_generate) Metadaten.Ereignis_Zeitstempel
Quelladresse (src) src src Hauptkonto
Zieladresse (dst) dst dst Ziel-IP
NAT-Quell-IP-Adresse (natsrc) Quellübersetzte Adresse Logo: srcPostNAT Hauptkonto.nat_ip
NAT-Ziel-IP-Adresse (natdst) ZielübersetzteAdresse dstPostNAT target_nat_ip
Regelname (Regel) CS1 Regelname Sicherheitsergebnis_Regelname
Quellnutzer (srcuser) Suser Quellnutzer / usrName Hauptkontonutzer.Nutzer-ID
Zielnutzer (dstuser) Duser Zielnutzer target.user.userid
Anwendung (App) App Anwendung Zielanwendung
Virtuelles System (vsys) CS3 Virtuelles System Vsys about.labels.key/value
Quellzone (von) CS4 Quellzone von Hauptkonto.labels.schlüssel/wert
Zielzone (bis) CS5 Zielzone Bis Ziel-Labels.Schlüssel/Wert
Eingehende Schnittstelle (inbound_if) InboundInterface Schnittstelle für eingehenden Traffic eingehend_wenn Hauptkonto.labels.schlüssel/wert
Ausgehende Schnittstelle (outbound_if) Outbound-Schnittstelle Ausgehender Schnittstelle ausgehend_wenn Ziel-Labels.Schlüssel/Wert
Logaktion (Logset) CS6 Protokollweiterleitungsprofil Logset about.labels.key/value
Sitzungs-ID (sessionid) CN1 Sitzungs-ID network.session_id (Netzwerk-ID)
Anzahl der Wiederholungen (wiederkehrend) CNT Wiederholungen wiederkehrend about.labels.key/value
Quellport (Sport) SF srcPort Hauptkonto
Zielport (dport) DDP dstPort Zielport
NAT-Quellport (Natsport) QuellübersetzterPort srcPostNAT-Port Hauptkonto
NAT-Zielport (natdport) ZielübersetzterPort dstPostNAT-Port Zielport
Flaggen FlexString1 Flags flags about.labels.key/value
IP-Protokoll (proto) Proto Proto network.ip_protokoll
Aktion (Aktion) Akt Aktion Sicherheitsergebnis_Aktionsdetails

Sicherheitsergebnis

URL/Dateiname (Sonstiges) Request Andere Beteiligte target.file.full_path

Ziel-URL

Name der Bedrohung/des Inhalts (threatid) Katze Bedrohungs-ID Sicherheitsergebnis_Bedrohungsname
Kategorie (Kategorie) CS2 URLCategory (URL-Kategorie) Sicherheitsergebnis_Kategoriedetails
Schweregrad (Schwere) Anzahl der Schweregrade(Header) Schweregrad security_result.schwerpunkt und security_result.schwerpunktdetails
Richtung (Richtung) FlexString2 Richtung network.direction (Netzwerkrichtung)
Sequenznummer (Sequenznummer) externalId Sequenz Metadaten.Produkt_ID
Aktions-Flags (actionflags) PanOSActionFlags Aktions-Flags actionflags about.labels.key/value
Quellland (srcloc) Quellort Hauptkonto.location.country_or_region
Zielland (dstloc) Zielort target.location.country_or_region
Inhaltstyp (Inhaltstyp) ContentType Inhaltstyp about.labels.key/value
PCAP-ID (pcap_id) Datei-ID CAP-ID Pcap_ID about.labels.key/value
Datei-Digest (filedigest) Datei-Hash Datei-Digest info.datei.sha1/md5/sha256
Cloud (Cloud) Dateipfad Google Cloud cloud about.labels.key/value
URL-Index (url_idx) URL-Index URL_IDX about.labels.key/value
User-Agent (user_agent) network.http.user_agent
Dateityp (Dateityp) Dateityp Dateityp info.datei.mime_type
X-Forwarded-For (xff) Hauptkonto
Verweis-URL (Verweis) network.http.referral_url.
Sender (Absender) Suid Absender Netzwerk.E-Mail.von
Betreff (Betreff) msg Betreff netzwerk.email.subject
Empfänger (Empfänger) duid Empfänger network.email.to
Berichts-ID (reportid) OldFileId (alte Datei-ID) Berichts-ID Berichts-ID about.labels.key/value
Gerätegruppenhierarchie (dg_hier_level_1 bis dg_hier_level_4) PanOSDGl1 DeviceGroupHierarchyL1 (GerätegruppenHierarchyL1) dg_hier_ebene_1 about.labels.key/value
Gerätegruppenhierarchie (dg_hier_level_2) PanOSDGl2 DeviceGroupHierarchyL2 (GerätegruppenHierarchyL2) dg_hier_ebene_2 about.labels.key/value
Gerätegruppenhierarchie (dg_hier_level_3) PanOSDGl3 DeviceGroupHierarchyL3 (GerätegruppenHierarchyL3) dg_hier_ebene_3 about.labels.key/value
Gerätegruppenhierarchie (dg_hier_level_4) PanOSDGl4 GerätegruppenHierarchyL4 dg_hier_ebene_4 about.labels.key/value
Name des virtuellen Systems (vsys_name) PanOSVsysName vSrcName (vSrcName) principal.resource.name

Principal.resource.resource_type=VIRTUAL_MACHINE

Gerätename (device_name) DVDvHost DeviceName mittler.hostname
Quell-VM-UUID (src_uuid) PanOSSrcUUID SKUUID Hauptkontonutzer.product_object_id
Ziel-VM-UUID (dst_uuid) PanOSDstUUID dst-UID target.user.product_object_id
HTTP-Methode (http_method) Anfragemethode network.http.method
Tunnel-ID/IMSI (tunnel_id/imsi) PanOSTunnel-ID Tunnel-ID tunnel_id/imsi: about.labels.key/value
Tag/IMEI überwachen (monitortag/imei) PanOSMonitor-Tag Monitor-Tag Monitor/imei about.labels.key/value
ID der übergeordneten Sitzung (parent_session_id) PanOSParentSessionID ID der übergeordneten Sitzung ID der übergeordneten Sitzung about.labels.key/value
Beginn der übergeordneten Sitzung (parent_start_time) Startzeit von PanOSParent Übergeordnete Startzeit Startzeit_übergeordnet about.labels.key/value
Tunneltyp (Tunnel) PanOSTunnelTyp Tunneltyp Tunnel about.labels.key/value
Bedrohungskategorie (thr_category) Kategorie für PanOSThreat Bedrohungskategorie Kategorie security_result.detection_fields.key/value
Inhaltsversion (contentver) PanOSContentVer Content-Verb Contentver about.labels.key/value
SCTP-Verknüpfungs-ID (assoc_id) PanOSAssocID Assoc_ID about.labels.key/value
Nutzlastprotokoll-ID (ppid) PanOSPPID ppid about.labels.key/value
HTTP-Header (http_headers) PanOSHTTPHeader http_headers about.labels.key/value
URL-Kategorieliste (url_category_list) PanOSURLCatList (PaOSURLCatList-Liste) URL-Kategorieliste about.labels.key/value
Regel-UUID (rule_uuid) PanOSRegelUUID Sicherheitsergebnis_Regel_ID
HTTP/2-Verbindung (http2_connection) PanOSHTTP2Con HTTP-Verbindung about.labels.key/value
Name der dynamischen Nutzergruppe (dynusergroup_name) PanDynamicUsrgrp dynusergroup_name (dynusergroup_name) Hauptkonto.labels.schlüssel/wert
XFF-Adresse (xff_ip) PanxFFIP Hauptkonto
Quellgerätekategorie (src_category) PanSrcDeviceCat Kategorie Hauptkonto.labels.schlüssel/wert
Quellgeräteprofil (src_profile) PanSrcDeviceProf Bild: src_profile Hauptkonto.labels.schlüssel/wert
Quellgerätemodell (src_model) PanSrcDeviceModel Modell Hauptkonto.labels.schlüssel/wert
Quellgeräteanbieter (src_vendor) PanSrc-Geräteanbieter src_Anbieter Hauptkonto.labels.schlüssel/wert
Betriebssystemfamilie der Quellgeräte (src_osfamily) PanSrcDeviceOS src_osfamily Hauptkonto.asset.platform_software.platform

Hauptkonto.labels.schlüssel/wert

Betriebssystemversion des Quellgeräts (src_osversion) PanSrcDeviceOSv Hauptkonto.asset.software.version
Hostname der Quelle (src_host) PanSrcHostname Hauptkonto
MAC-Quelladresse (src_mac) PanSrcMac Hauptkonto
Zielgerätekategorie (dst_category) PanDstDeviceCat (PanDstDeviceCat) Kategorie [dst_category] Ziel-Labels.Schlüssel/Wert
Zielgeräteprofil (dst_profile) PanDstDeviceProf dst-Profil Ziel-Labels.Schlüssel/Wert
Zielgerätemodell (dst_model) PanDstDeviceModel Modell_dst Ziel-Labels.Schlüssel/Wert
Zielgeräteanbieter (dst_vendor) PanDstDeviceAnbieter dst_vendor Ziel-Labels.Schlüssel/Wert
Zielgeräte-Betriebssystemfamilie (dst_osfamily) PanDstDeviceOS (Betriebssystem des Geräts) dst_osfamily Ziel-Labels.Schlüssel/Wert
Betriebssystemversion des Zielgeräts (dst_osversion) PanDstDeviceOSv target.asset.software.version
Hostname des Ziels (dst_host) PanDstHostname target.hostname
Ziel-MAC-Adresse (dst_mac) PanDstMac Ziel-Mac
Container-ID (container_id) PanContainerName Container-ID about.labels.key/value
POD-Namespace (pod_namespace) PanPODNamespace pod_namespace about.labels.key/value
POD-Name (pod_name) PanPOD-Name pod_name about.labels.key/value
Externe dynamische Quellliste (src_edl) Panskron src_edl about.labels.key/value
Externe dynamische Liste mit Ziel (dst_edl) PanDstEDL dst_edl about.labels.key/value
Host-ID (hostid) PanGPHost-ID Host-ID about.labels.key/value
Seriennummer des Nutzers (Seriennummer) PanEPSerial (Seriennummer) Hauptkonto.asset.hardware.series_number
Domain-EDL (domain_edl) PanDomainEDL domain_edl about.labels.key/value
Dynamische Quell-Quellgruppe (src_dag) PanSrcDAG Hauptkontogruppe.gruppenname
Dynamische Zieladressgruppe (dst_dag) PanDstDAG target.group.group_display_name
Teil-Hash (partial_hash) PanPartialHash Teil-Hash about.labels.key/value
Zeitstempel mit hoher Auflösung (Zeitstempel mit hoher Auflösung) PanTimeHighRes High_res-Zeitstempel metadata.collected_timestamp,

Metadaten.event_timestamp (falls "Generate Time" nicht vorhanden)

Grund (Grund) Aktion für Filterung: Grund reason about.labels.key/value
Begründung (Begründung) Begründung Begründung about.labels.key/value
Ein Segmenttyp (nssai_sst) PanASService-Typ NSSSA about.labels.key/value
Anwendungsunterkategorie (subcategory_of_app) Unterkategorie_App about.labels.key/value
Anwendungskategorie (category_of_app) App-Kategorie about.labels.key/value
Anwendungstechnologie (technology_of_app) Technologie_der_App about.labels.key/value
Anwendungsrisiko (risk_of_app) Risiko_der_App about.labels.key/value
Anwendungsmerkmal (charakteristisches_Attribut_der_App) Eigenschaft_der_App about.labels.key/value
Anwendungscontainer (container_of_app) Container_der_App about.labels.key/value
SaaS für Anwendungen (is_saas_of_app) ist_saas_von_App about.labels.key/value
Status des Anwendungssanktionens (sanctioned_state_of_app) sanktioniertes_Bundesstaat_der_App about.labels.key/value

Traffic

In der folgenden Tabelle sind die Logfelder des Traffic-Logtyps und die entsprechenden UDM-Felder aufgeführt.

CSV-Feld Feld „CEF“ LEEF-Feld Chronicle-Labelschlüssel UDM-Feld
Empfangszeit (Empfangszeit oder Empfangszeit) Echtzeit Entwicklungszeit metadata.collected_timestamp,

Metadaten.event_timestamp (falls "Generate Time" nicht vorhanden)

Seriennummer (Seriennummer) deviceExternalId (Geräte-Externe ID) Seriennummer Zwischenverbindung.Asset.Hardware.Seriennummer
Typ (Typ) Typ (Header) Katze/Typ Metadaten.Produktereignistyp
Bedrohung/Inhaltstyp (Untertyp) Untertyp (Header) Subtyp Metadaten.Produktereignistyp
Generierungszeit (time_generate oder cef- formatted-time) starten Metadaten.Ereignis_Zeitstempel
Quelladresse (src) src src Hauptkonto
Zieladresse (dst) dst dst Ziel-IP
NAT-Quell-IP-Adresse (natsrc) Quellübersetzte Adresse Logo: srcPostNAT Hauptkonto.nat_ip
NAT-Ziel-IP-Adresse (natdst) ZielübersetzteAdresse dstPostNAT target_nat_ip
Regelname (Regel) CS1 Regelname Sicherheitsergebnis_Regelname
Quellnutzer (srcuser) Suser Quellnutzer Hauptkontonutzer.Nutzer-ID
Zielnutzer (dstuser) Duser Zielnutzer target.user.userid
Anwendung (App) App Anwendung Zielanwendung
Virtuelles System (vsys) CS3 Virtuelles System Vsys about.labels.key/value
Quellzone (von) CS4 Quellzone von Hauptkonto.labels.schlüssel/wert
Zielzone (bis) CS5 Zielzone Bis Ziel-Labels.Schlüssel/Wert
Eingehende Schnittstelle (inbound_if) InboundInterface Schnittstelle für eingehenden Traffic eingehend_wenn Hauptkonto.labels.schlüssel/wert
Ausgehende Schnittstelle (outbound_if) Outbound-Schnittstelle Ausgehender Schnittstelle ausgehend_wenn Ziel-Labels.Schlüssel/Wert
Logaktion (Logset) CS6 Protokollweiterleitungsprofil Logset about.labels.key/value
Sitzungs-ID (sessionid) CN1 Sitzungs-ID network.session_id (Netzwerk-ID)
Anzahl der Wiederholungen (wiederkehrend) CNT Wiederholungen wiederkehrend about.labels.key/value
Quellport (Sport) SF srcPort Hauptkonto
Zielport (dport) DDP dstPort Zielport
NAT-Quellport (Natsport) QuellübersetzterPort srcPostNAT-Port Hauptkonto
NAT-Zielport (natdport) ZielübersetzterPort dstPostNAT-Port Zielport
Flaggen FlexString1 Flags flags about.labels.key/value
IP-Protokoll (proto) Proto Proto network.ip_protokoll
Aktion (Aktion) Akt Aktion Sicherheitsergebnis_Aktionsdetails

Sicherheitsergebnis

Byte (Byte) FlexZahl1 totalByte Byte about.labels.key/value
Gesendete Bytes (bytes_sent) in srcByte Netzwerk.Empfangen_Byte
Empfangene Byte (Byte_Received) out dstByte network.sent_bytes
Pakete (Pakete) CN2 Pakete insgesamt Pakete about.labels.key/value
Startzeit (Start) Startzeit starten about.labels.key/value
Verstrichene Zeit (verstrichen) Cn3 Verstrichene Zeit verstrichen about.labels.key/value
Kategorie (Kategorie) CS2 URLCategory (URL-Kategorie) security_result.category / security_result.category_details
Sequenznummer (Sequenznummer) externalId Sequenz Metadaten.Produkt_ID
Aktions-Flags (actionflags) PanOSActionFlags Aktions-Flags actionflags about.labels.key/value
Quellland (srcloc) Quellort Hauptkonto.location.country_or_region
Zielland (dstloc) Zielort target.location.country_or_region
Gesendete Pakete (pkts_sent) PanOS-Pakete gesendet srcPackets Pkts_sent about.labels.key/value
Eingegangene Pakete (Pkts_Received) PanOS-Pakete empfangen DVT-Pakete Paket empfangen about.labels.key/value
Grund für den Sitzungsende (session_end_reason) reason Sitzung – Grund Sicherheitsergebnis
Gerätegruppenhierarchie1 (dg_hier_level_1 bis dg_hier_level_4) PanOSDGl1 DeviceGroupHierarchyL1 (GerätegruppenHierarchyL1) dg_hier_ebene_1 about.labels.key/value
Gerätegruppenhierarchie2 (dg_hier_level_2) PanOSDGl2 DeviceGroupHierarchyL2 (GerätegruppenHierarchyL2) dg_hier_ebene_2 about.labels.key/value
Gerätegruppenhierarchie3 (dg_hier_level_3) PanOSDGl3 DeviceGroupHierarchyL3 (GerätegruppenHierarchyL3) dg_hier_ebene_3 about.labels.key/value
Gerätegruppenhierarchie (dg_hier_level_4) PanOSDGl4 GerätegruppenHierarchyL4 dg_hier_ebene_4 about.labels.key/value
Name des virtuellen Systems (vsys_name) PanOSVsysName vSrcName (vSrcName) principal.resource.name

Principal.resource.resource_type=VIRTUAL_MACHINE

Gerätename (device_name) DVDvHost DeviceName mittler.hostname
Aktionsquelle (action_source) Katze Aktionsquelle Aktionsquelle about.labels.key/value
Quell-VM-UUID (src_uuid) PanOSSrcUUID SKUUID Hauptkonto-Asset.product_object_id
Ziel-VM-UUID (dst_uuid) PanOSDstUUID dst-UID target.asset.product_object_id
Tunnel-ID/IMSI (tunnelid/imsi) PanOSTunnel-ID Tunnel-ID tunnelid/imsi about.labels.key/value
Tag/IMEI überwachen (monitortag/imei) PanOSMonitor-Tag Monitor-Tag Monitor/imei about.labels.key/value
ID der übergeordneten Sitzung (parent_session_id) PanOSParentSessionID ID der übergeordneten Sitzung ID der übergeordneten Sitzung about.labels.key/value
Startzeit des übergeordneten Elements (parent_start_time) Startzeit von PanOSParent Übergeordnete Startzeit Startzeit_übergeordnet about.labels.key/value
Tunneltyp (Tunnel) PanOSTunnelTyp Tunneltyp Tunnel about.labels.key/value
SCTP-Verknüpfungs-ID (assoc_id) PanOSSCTPAssocID Assoc_ID about.labels.key/value
SCTP-Chunks (Blöcke) PanOSSCTPChunks Blöcke about.labels.key/value
SCTP-Chunks gesendet (in Blöcken) PanOSSCTPChunkGesendet Blöcke about.labels.key/value
SCTP-Chunks erhalten (in Blöcken_erhalten) PanOSSCTPChunksRcv Blöcke_erhalten about.labels.key/value
Regel-UUID (rule_uuid) PanOSRegelUUID Sicherheitsergebnis_Regel_ID
HTTP/2-Verbindung (http2_connection) PanOSHTTP2Con HTTP-Verbindung about.labels.key/value
Anzahl der App-Abdeckungen (link_change_count) Logo: PanLinkChange Änderung_Anzahl_Link about.labels.key/value
Richtlinien-ID (policy_id) PanPolicyID Richtlinien-ID about.labels.key/value
Link-Schalter (link_switches) PanLinkDetail link_switches about.labels.key/value
SD-WAN-Cluster (sdwan_cluster) PanSDWAN-Cluster SDW-Cluster about.labels.key/value
SD-WAN-Gerätetyp (sdwan_device_type) PanSDWAN-Gerät sdwan_device_type about.labels.key/value
SD-WAN-Clustertyp (sdwan_cluster_type) PanSDWANClustype SDW_Clustertyp about.labels.key/value
SD-WAN-Website (sdwan_site) PanSDWAN-Website sdwan_website about.labels.key/value
Name der dynamischen Nutzergruppe (dynusergroup_name) PanDynamicUsrgrp dynusergroup_name (dynusergroup_name) about.labels.key/value
XFF-Adresse (xff_ip) PanxFFIP Hauptkonto
Quellgerätekategorie (src_category) PanSrcDeviceCat Kategorie Hauptkonto.labels.schlüssel/wert
Quellgeräteprofil (src_profile) PanSrcDeviceProf Bild: src_profile Hauptkonto.labels.schlüssel/wert
Quellgerätemodell (src_model) PanSrcDeviceModel Modell Hauptkonto.labels.schlüssel/wert
Quellgeräteanbieter (src_vendor) PanSrc-Geräteanbieter src_Anbieter Hauptkonto.labels.schlüssel/wert
Betriebssystemfamilie der Quellgeräte (src_osfamily) PanSrcDeviceOS Hauptkonto.asset.platform_software.platform

Hauptkonto.labels.schlüssel/wert

Betriebssystemversion des Quellgeräts (src_osversion) PanSrcDeviceOSv Hauptkonto.asset.software.version
Hostname der Quelle (src_host) PanSrcHostname Hauptkonto
MAC-Quelladresse (src_mac) PanSrcMac Hauptkonto
Zielgerätekategorie (dst_category) PanDstDeviceCat (PanDstDeviceCat) Kategorie [dst_category] Ziel-Labels.Schlüssel/Wert
Zielgeräteprofil (dst_profile) PanDstDeviceProf dst-Profil Ziel-Labels.Schlüssel/Wert
Zielgerätemodell (dst_model) PanDstDeviceModel Modell_dst Ziel-Labels.Schlüssel/Wert
Zielgeräteanbieter (dst_vendor) PanDstDeviceAnbieter dst_vendor Ziel-Labels.Schlüssel/Wert
Zielgeräte-Betriebssystemfamilie (dst_osfamily) PanDstDeviceOS (Betriebssystem des Geräts) dst_osfamily Ziel-Labels.Schlüssel/Wert
Betriebssystemversion des Zielgeräts (dst_osversion) PanDstDeviceOSv target.asset.software.version
Hostname des Ziels (dst_host) PanDstHostname target.hostname
Ziel-MAC-Adresse (dst_mac) PanDstMac Ziel-Mac
Container-ID (container_id) PanContainerName Container-ID about.labels.key/value
POD-Namespace (pod_namespace) PanPODNamespace pod_namespace about.labels.key/value
POD-Name (pod_name) PanPOD-Name pod_name about.labels.key/value
Externe dynamische Quellliste (src_edl) Panskron src_edl Hauptkonto.labels.schlüssel/wert
Externe dynamische Liste mit Ziel (dst_edl) PanDstEDL dst_edl Ziel-Labels.Schlüssel/Wert
Host-ID (hostid) PanGPHost-ID Host-ID about.labels.key/value
Seriennummer des Nutzers (Seriennummer) PanEPSerial (Seriennummer) Hauptkonto.asset.hardware.series_number
Dynamische Quell-Quellgruppe (src_dag) PanSrcDAG Hauptkontogruppe.gruppenname
Dynamische Zieladressgruppe (dst_dag) PanDstDAG target.group.group_display_name
Sitzungsinhaber (session_owner) PanHASessionInhaber Sitzungseigentümer about.labels.key/value
Zeitstempel mit hoher Auflösung (high_res_timestamp) PanTimeHighRes metadata.collected_timestamp,

Metadaten.event_timestamp (falls "Generate Time" nicht vorhanden)

Ein Segmenttyp (nsdsai_sst) PanASService-Typ NSSDASI_SST about.labels.key/value
Slice-Differenzator (nsdsai_sd) Logo: PanASServiceDiff NSD about.labels.key/value
Anwendungsunterkategorie (subcategory_of_app) Unterkategorie_App about.labels.key/value
Anwendungskategorie (category_of_app) App-Kategorie about.labels.key/value
Anwendungstechnologie (technology_of_app) Technologie_der_App about.labels.key/value
Anwendungsrisiko (risk_of_app) Wert_für_die_Sicherheit
Anwendungsmerkmal (charakteristisches_Attribut_der_App) Eigenschaft_der_App about.labels.key/value
Anwendungscontainer (container_of_app) Container_der_App about.labels.key/value
SaaS für Anwendungen (is_saas_of_app) ist_saas_von_App about.labels.key/value
Status des Anwendungssanktionens (sanctioned_state_of_app) sanktioniertes_Bundesstaat_der_App about.labels.key/value
Anwendungsunterkategorie (subcategory_of_app) Unterkategorie_von_App1 about.labels.key/value

User-ID

In der folgenden Tabelle sind die Logfelder des User-ID-Logtyps und die entsprechenden UDM-Felder aufgeführt.

CSV-Feld Feld „CEF“ LEEF-Feld Chronicle-Labelschlüssel UDM-Feld
Empfangszeit (Empfangszeit oder Empfangszeit) Echtzeit Entwicklungszeit metadata.collected_timestamp,

Metadaten.event_timestamp (falls "Generate Time" nicht vorhanden)

Seriennummer (Seriennummer) deviceExternalId (Geräte-Externe ID) Seriennummer Zwischenverbindung.Asset.Hardware.Seriennummer
Typ (Typ) Typ (Header) Katze Metadaten.Produktereignistyp
Bedrohung/Inhaltstyp (Untertyp) Untertyp (Header) Subtyp Metadaten.Produktereignistyp
Generierungszeit (time_generate oder cef- formatted-time) Metadaten.Ereignis_Zeitstempel
Virtuelles System (vsys) CS3 Virtuelles System Vsys about.labels.key/value
Quell-IP-Adresse (IP) src src Hauptkonto
Nutzer (Nutzer) Duser Logo: usrName target.user.userid

Zieldomain.administrative_Domain

Ziel-E-Mail-Adresse

Name der Datenquelle (Datenquellename) CS4 Name der Datenquelle Datenquellenname Hauptkonto.labels.schlüssel/wert
Ereignis-ID (eventid) Ereignis-ID Ereignis-ID about.labels.key/value
Anzahl der Wiederholungen (wiederkehrend) CNT Wiederholungen wiederkehrend about.labels.key/value
Grenzwert für Zeitüberschreitung (Zeitüberschreitung) Cn3 Zeitlimit timeout about.labels.key/value
Quellport (Startport) SF srcPort Hauptkonto
Zielport (Endport) DDP dstPort Zielport
Datenquelle (Datenquelle) CS5 DataSource Datenquelle Hauptkonto.labels.schlüssel/wert
Datenquellentyp (datasourcetype) CS6 DataSourceType (Datenquellentyp) Datenquellentyp Hauptkonto.labels.schlüssel/wert
Sequenznummer (Sequenznummer) externalId Sequenz Metadaten.Produkt_ID
Aktions-Flags (actionflags) PanOSActionFlags Aktions-Flags actionflags about.labels.key/value
Gerätegruppenhierarchie (dg_hier_level_1) PanOSDGl1 DeviceGroupHierarchyL1 (GerätegruppenHierarchyL1) dg_hier_ebene_1 about.labels.key/value
Gerätegruppenhierarchie (dg_hier_level_2) PanOSDGl2 DeviceGroupHierarchyL2 (GerätegruppenHierarchyL2) dg_hier_ebene_2 about.labels.key/value
Gerätegruppenhierarchie (dg_hier_level_3) PanOSDGl3 DeviceGroupHierarchyL3 (GerätegruppenHierarchyL3) dg_hier_ebene_3 about.labels.key/value
Gerätegruppenhierarchie (dg_hier_level_4) PanOSDGl4 GerätegruppenHierarchyL4 dg_hier_ebene_4 about.labels.key/value
Name des virtuellen Systems (vsys_name) PanOSVsysName vSrcName (vSrcName) principal.resource.name

Principal.resource.resource_type=VIRTUAL_MACHINE

Gerätename (device_name) DVDvHost DeviceName mittler.hostname
Virtuelle System-ID (vsys_id) CN2 Virtuelle System-ID Principal.resource.resource_type=VIRTUAL_MACHINE und Principal.resource.product_object_id
Faktortyp (Faktortyp) CS1 Faktortyp Faktortyp about.labels.key/value
Fertigstellungszeit (Faktor abgeschlossen) end Faktor: Abschlusszeit Faktor abgeschlossen about.labels.key/value
Faktornummer (Faktor) CN1 Faktornummer Faktor about.labels.key/value
Nutzergruppen-Flags (ugflags) PanOSUG-Flags Ugflags about.labels.key/value
Nutzer nach Quelle (userbysource) PanOSUserByQuelle Hauptkontonutzer.Nutzer-ID

Hauptkonto.administrative_Domain

Hauptkontonutzer.E-Mail-Adressen

Zeitstempel mit hoher Auflösung (Zeitstempel mit hoher Auflösung) PanOSTimeGeneratedHighResolution metadata.collected_timestamp,

Metadaten.event_timestamp (falls "Generate Time" nicht vorhanden)

HIP-Übereinstimmung

In der folgenden Tabelle sind die Logfelder des HIP-Übereinstimmungslogtyps und die entsprechenden UDM-Felder aufgeführt.

CSV-Feld Feld „CEF“ LEEF-Feld Chronicle-Labelschlüssel UDM-Feld
Empfangszeit (Empfangszeit oder Empfangszeit) Echtzeit Entwicklungszeit metadata.collected_timestamp,

Metadaten.event_timestamp (falls "Generate Time" nicht vorhanden)

Seriennummer (Seriennummer) deviceExternalId (Geräte-Externe ID) Seriennummer Zwischenverbindung.Asset.Hardware.Seriennummer
Typ (Typ) Typ (Header) Katze Metadaten.Produktereignistyp
Bedrohung/Inhaltstyp (Untertyp) Untertyp (Header) Subtyp
Generierungszeit (time_generate oder cef- formatted-time) starten Startzeit Metadaten.Ereignis_Zeitstempel
Quellnutzer (srcuser) Suser Logo: usrName Hauptkontonutzer.Nutzer-ID
Virtuelles System (vsys) CS3 Virtuelles System Vsys about.labels.key/value
Computername (machinename) Host identHostName Hauptkonto
Betriebssystem CS2 Betriebssystem Hauptkonto.asset.platform_software.platform
Quelladresse (src) src identsrc Hauptkonto
HIP (Übereinstimmungsname) Katze HIP Übereinstimmungsname about.labels.key/value
Anzahl der Wiederholungen (wiederkehrend) CNT Wiederholungen wiederkehrend about.labels.key/value
HIP-Typ (Blaze) ID der Geräteereignisklasse (Header) HIP-Typ
Sequenznummer (Sequenznummer) externalId Sequenz Metadaten.Produkt_ID
Aktions-Flags (actionflags) PanOSActionFlags Aktions-Flags actionflags about.labels.key/value
Gerätegruppenhierarchie (dg_hier_level_1) PanOSDGl1 DeviceGroupHierarchyL1 (GerätegruppenHierarchyL1) dg_hier_ebene_1 about.labels.key/value
Gerätegruppenhierarchie (dg_hier_level_2) PanOSDGl2 DeviceGroupHierarchyL2 (GerätegruppenHierarchyL2) dg_hier_ebene_2 about.labels.key/value
Gerätegruppenhierarchie (dg_hier_level_3) PanOSDGl3 DeviceGroupHierarchyL3 (GerätegruppenHierarchyL3) dg_hier_ebene_3 about.labels.key/value
Gerätegruppenhierarchie (dg_hier_level_4) PanOSDGl4 GerätegruppenHierarchyL4 dg_hier_ebene_4 about.labels.key/value
Name des virtuellen Systems (vsys_name) PanOSVsysName vSrcName (vSrcName) principal.resource.name

Principal.resource.resource_type=VIRTUAL_MACHINE

Gerätename (device_name) DVDvHost DeviceName mittler.hostname
Virtuelle System-ID (vsys_id) CN2 Virtuelle System-ID Principal.resource.resource_type=VIRTUAL_MACHINE und Principal.resource.product_object_id
IPv6-Systemadresse (srcipv6) C6a2 Logo: srcipv6 Hauptkonto.asset.ip
Host-ID (hostid) PanOSHost-ID Hauptkonto-Asset.product_object_id
Seriennummer des Nutzers (Seriennummer) PanOSEndpointSerialNumber Hauptkonto.asset.hardware.series_number
MAC-Adresse des Geräts (mac) PanOSEndpointMac Hauptkonto.asset.mac
Zeitstempel mit hoher Auflösung (high_res_timestamp) PanOSTimeGeneratedHighResolution metadata.collected_timestamp,

Metadaten.event_timestamp (falls "Generate Time" nicht vorhanden)

IP-Tag

In der folgenden Tabelle sind die Logfelder des IP-Tag-Logtyps und die entsprechenden UDM-Felder aufgeführt.

CSV-Feld Feld „CEF“ LEEF-Feld Chronicle-Labelschlüssel UDM-Feld
Empfangszeit (Empfangszeit oder Empfangszeit) Echtzeit Entwicklungszeit metadata.collected_timestamp,

Metadaten.event_timestamp (falls "Generate Time" nicht vorhanden)

Seriennummer (Seriennummer) deviceExternalId (Geräte-Externe ID) Seriennummer Zwischenverbindung.Asset.Hardware.Seriennummer
Typ (Typ) Typ (Header) Katze Metadaten.Produktereignistyp
Bedrohung/Inhaltstyp (Untertyp) Untertyp (Header) Subtyp Metadaten.Produktereignistyp
Generierungszeit (time_generate oder cef- formatted-time) Generierungszeit Metadaten.Ereignis_Zeitstempel
Virtuelles System (vsys) CS3 Virtuelles System Vsys about.labels.key/value
Quell-IP-Adresse (IP) src src Hauptkonto
Tag-Name (tag_name) PanOSTag-Name Tag-Name Tag-Name Hauptkonto.labels.schlüssel/wert
Ereignis-ID (event_id) PanOSEreignis-ID Ereignis-ID Ereignis-ID about.labels.key/value
Anzahl der Wiederholungen (wiederkehrend) CNT Wiederholungen wiederkehrend about.labels.key/value
Zeitüberschreitung (Zeitüberschreitung) Zeitüberschreitung Zeitlimit timeout about.labels.key/value
Name der Datenquelle (Datenquellename) PanOSDataSourceName Name der Datenquelle Datenquellenname Hauptkonto.labels.schlüssel/wert
Datenquellentyp (datasource_type) PanOSDataSourceType DataSource Datenquellentyp Hauptkonto.labels.schlüssel/wert
Datenquellenuntertyp (datasource_subtype) PanOSDataSourceSubType DataSourceType (Datenquellentyp) Datenquellenuntertyp Hauptkonto.labels.schlüssel/wert
Sequenznummer (Sequenznummer) externalId Sequenz Metadaten.Produkt_ID
Aktions-Flags (actionflags) PanOSActionFlags Aktions-Flags actionflags about.labels.key/value
Gerätegruppenhierarchie (dg_hier_level_1) PanOSDGl1 DeviceGroupHierarchyL1 (GerätegruppenHierarchyL1) dg_hier_ebene_1 about.labels.key/value
Gerätegruppenhierarchie (dg_hier_level_2) PanOSDGl2 DeviceGroupHierarchyL2 (GerätegruppenHierarchyL2) dg_hier_ebene_2 about.labels.key/value
Gerätegruppenhierarchie (dg_hier_level_3) PanOSDGl3 DeviceGroupHierarchyL3 (GerätegruppenHierarchyL3) dg_hier_ebene_3 about.labels.key/value
Gerätegruppenhierarchie (dg_hier_level_4) PanOSDGl4 GerätegruppenHierarchyL4 dg_hier_ebene_4 about.labels.key/value
Name des virtuellen Systems (vsys_name) PanOsVsysName vSrcName (vSrcName) principal.resource.name

Principal.resource.resource_type=VIRTUAL_MACHINE

Gerätename (device_name) DVDvHost DeviceName mittler.hostname
Virtuelle System-ID (vsys_id) CN2 Virtuelle System-ID Principal.resource.resource_type=VIRTUAL_MACHINE und Principal.resource.product_object_id
Zeitstempel mit hoher Auflösung (Zeitstempel mit hoher Auflösung) PanOSTimeGeneratedHighResolution metadata.collected_timestamp,

Metadaten.event_timestamp (falls "Generate Time" nicht vorhanden)

Entschlüsselung

In der folgenden Tabelle sind die Logfelder des Entschlüsselungslogtyps und die entsprechenden UDM-Felder aufgeführt.

CSV-Feld Feld „CEF“ LEEF-Feld Chronicle-Labelschlüssel UDM-Feld
Empfangszeit (Empfangszeit oder Empfangszeit) Echtzeit metadata.collected_timestamp,

Metadaten.event_timestamp (falls "Generate Time" nicht vorhanden)

Seriennummer (Seriennummer) PanOSDeviceSN Zwischenverbindung.Asset.Hardware.Seriennummer
Typ (Typ) Typ (Header) Metadaten.Produktereignistyp
Bedrohung/Inhaltstyp (Untertyp) Untertyp (Header) Metadaten.Produktereignistyp
Konfigurationsversion (config_ver) PanOSConfigVersion Konfiguration about.labels.key/value
Zeitpunkt der Erstellung (time_generate) Zeit für PanOSLog Metadaten.Ereignis_Zeitstempel
Quelladresse (src) src Hauptkonto
Zieladresse (dst) dst Ziel-IP
NAT-Quell-IP-Adresse (natsrc) Quellübersetzte Adresse Principa.nat_ip
NAT-Ziel-IP-Adresse (natdst) ZielübersetzteAdresse target_nat_ip
Regel (Regel) CS1 Sicherheitsergebnis_Regelname
Quellnutzer (srcuser) Suser Hauptkontonutzer.Nutzer-ID
Zielnutzer (dstuser) Duser target.user.userid
Anwendung (App) App Zielanwendung
Virtuelles System (vsys) CS3 Vsys about.labels.key/value
Quellzone (von) CS4 von Hauptkonto.labels.schlüssel/wert
Zielzone (bis) CS5 Bis Ziel-Labels.Schlüssel/Wert
Eingehende Schnittstelle (inbound_if) InboundInterface eingehend_wenn Hauptkonto.labels.schlüssel/wert
Ausgehende Schnittstelle (outbound_if) Outbound-Schnittstelle ausgehend_wenn Ziel-Labels.Schlüssel/Wert
Logaktion (Logset) CS6 Logset about.labels.key/value
Protokollierte Zeit (time_Received) PanOSTimeReceivedManagementPlan -
Sitzungs-ID (sessionid) CN1 network.session_id (Netzwerk-ID)
Anzahl der Wiederholungen (wiederkehrend) PanOSCountOfRepeats wiederkehrend about.labels.key/value
Quellport (Sport) SF Hauptkonto
Zielport (dport) DDP Zielport
NAT-Quellport (Natsport) QuellübersetzterPort Hauptkonto
NAT-Zielport (natdport) ZielübersetzterPort Zielport
Flaggen FlexString1 flags about.labels.key/value
IP-Protokoll (proto) Proto network.ip_protokoll
Aktion (Aktion) Akt Sicherheitsergebnis_Aktionsdetails

Sicherheitsergebnis

Tunnel (Tunnel) Tunnel von PanOSTunnel Tunnel about.labels.key/value
Quell-VM-UUID (src_uuid) PanOSSourceUUID Hauptkonto-Asset.asset_id
Ziel-VM-UUID (dst_uuid) PanOSDestinationUUID Ziel-Asset-Asset-ID
UUID für Regel (rule_uuid) PanOSRegelUUID Sicherheitsergebnis_Regel_ID
Phase für Client-zu-Firewall (hs_stage_c2f) PanOSClientToFirewall hs_stage_c2f about.labels.key/value
Phase für Firewall-zu-Server (hs_stage_f2s) PanOSFirewallToServer hs_stage_f2s about.labels.key/value
TLS-Version (tls_version) PanOSTLSVersion network.tls.version
Key Exchange-Algorithmus (tls_keyxchg) PanOSTLSKeyExchange tls_keyxchg about.labels.key/value
Verschlüsselungsalgorithmus (tls_dec) PanOSTLSVerschlüsselungsalgorithmus tls about.labels.key/value
Hash-Algorithmus (tls_auth) PanOSTLSAuth tl_auth about.labels.key/value
Richtlinienname (policy_name) PanOSPolicyName Richtlinienname about.labels.key/value
Elliptische Kurve (ec_curve) PanOSEllipticCurve network.tls.curve
Fehlerindex (err_index) PanOSErrorIndex Fehlerindex about.labels.key/value
Root-Status (root_status) PanOSRootStatus Stammstatus about.labels.key/value
Kettenstatus (chain_status) PanOSChain-Status Kettenstatus about.labels.key/value
Proxy-Typ (proxy_type) PanOSProxyType Proxytyp about.labels.key/value
Seriennummer des Zertifikats (cert_series) PanOSCertificateSerial network.tls.server.certificate.serie/
Zertifikat-Fingerabdruck (Fingerabdruck) PanOSFingerprint network.tls.server.certificate.md5/sha1/sha256
Startdatum des Zertifikats (nicht vorher) PanOSTimeNotBefore network.tls.server.certificate.not_before
Enddatum des Zertifikats (nicht danach) PanOSTimeNotAfter network.tls.server.certificate.not_after
Zertifikatsversion (cert_ver) PanOSCertificateVersion network.tls.server.certificate.version
Zertifikatgröße (cert_size) PanOSCertificateSize Zertifikatsgröße about.labels.key/value
Allgemeine Namenslänge (cn_len) Länge des PanOSCommonName cn_len about.labels.key/value
Länge des allgemeinen Namens des Ausstellers (issuer_len) Länge des PanOSIssuerName Aussteller about.labels.key/value
Länge des Stammnamens (rootcn_len) PanOSRootCNLänge rootcn_len about.labels.key/value
SNI-Länge (sni_len) PanOSSNI-Länge sni_len about.labels.key/value
Zertifikats-Flags (cert_flags) PanOSCertificateFlags cert_flags about.labels.key/value
Subject Common Name (CN) PanOS Commons-Name cn about.labels.key/value
Allgemeiner Ausstellername (issuer_cn) PanOSIssuerCommonName network.tls.server.certificate.issuer
Allgemeiner Stammname (root_cn) PanOSRootCommonName root_cn about.labels.key/value
Server Name Indication

(SNI)

Netzwerk.tls.client.server_name
Fehler (error) PanOSErrorMessage Fehler about.labels.key/value
Container-ID (container_id) PanOSContainer-ID Container-ID about.labels.key/value
POD-Namespace (pod_namespace) PanOSContainerNameSpace pod_namespace about.labels.key/value
POD-Name (pod_name) PanOSContainer-Name pod_name about.labels.key/value
Externe dynamische Quellliste (src_edl) PanOSSourceEDL src_edl Hauptkonto.labels.schlüssel/wert
Externe dynamische Liste mit Ziel (dst_edl) PanOSDestinationEDL dst_edl Ziel-Labels.Schlüssel/Wert
Dynamische Quell-Quellgruppe (src_dag) PanOSSourceDynamicAddressGroup Hauptkontogruppe.gruppenname
Dynamische Zieladressgruppe (dst_dag) PanOSDestinationDynamicAddressGroup target.group.group_display_name
Zeitstempel mit hoher Auflösung (high_res_timestamp) PanOSTimeGeneratedHighResolution metadata.collected_timestamp,

Metadaten.event_timestamp (falls "Generate Time" nicht vorhanden)

Quellgerätekategorie (src_category) PanOSSourceDeviceCategory Kategorie Hauptkonto.labels.schlüssel/wert
Quellgeräteprofil (src_profile) PanOSSourceDeviceProfile Bild: src_profile Hauptkonto.labels.schlüssel/wert
Quellgerätemodell (src_model) PanOSSourceDeviceModel Modell Hauptkonto.labels.schlüssel/wert
Quellgeräteanbieter (src_vendor) Anbieter von PanOSSourceDevice src_Anbieter Hauptkonto.labels.schlüssel/wert
Betriebssystemfamilie der Quellgeräte (src_osfamily) PanOSSourceDeviceOSFamily Hauptkonto.asset.platform_software.platform

Hauptkonto.labels.schlüssel/wert

Betriebssystemversion des Quellgeräts (src_osversion) PanOSSourceDeviceOSVersion Hauptkonto.asset.software.version
Hostname der Quelle (src_host) PanOSSourceDeviceHost Hauptkonto
MAC-Quelladresse (src_mac) PanOSSourceDeviceMac Hauptkonto
Zielgerätekategorie (dst_category) PanOSDestinationDeviceCategory Kategorie [dst_category] Ziel-Labels.Schlüssel/Wert
Zielgeräteprofil (dst_profile) PanOSDestinationDeviceProfile dst-Profil Ziel-Labels.Schlüssel/Wert
Zielgerätemodell (dst_model) PanOSDestinationDeviceModel Modell_dst Ziel-Labels.Schlüssel/Wert
Zielgeräteanbieter (dst_vendor) PanOSDestinationDeviceVendor dst_vendor Ziel-Labels.Schlüssel/Wert
Zielgeräte-Betriebssystemfamilie (dst_osfamily) PanOSDestinationDeviceOSFamily dst_osfamily Ziel-Labels.Schlüssel/Wert
Betriebssystemversion des Zielgeräts (dst_osversion) PanOSDestinationDeviceOSVersion target.asset.software.version
Hostname des Ziels (dst_host) PanOSDestinationDeviceHost target.hostname
Ziel-MAC-Adresse (dst_mac) PanOSDestinationDeviceMac Ziel-Mac
Sequenznummer (Sequenznummer) PanOSLogTypeSeqNein Metadaten.Produkt_ID
Aktions-Flags (actionflags) PanOSActionFlags actionflags about.labels.key/value
Gerätegruppenhierarchie (dg_hier_level_1) DeviceGroupHierarchyL1 (GerätegruppenHierarchyL1) dg_hier_ebene_1 about.labels.key/value
Gerätegruppenhierarchie (dg_hier_level_2) DeviceGroupHierarchyL2 (GerätegruppenHierarchyL2) dg_hier_ebene_2 about.labels.key/value
Gerätegruppenhierarchie (dg_hier_level_3) DeviceGroupHierarchyL3 (GerätegruppenHierarchyL3) dg_hier_ebene_3 about.labels.key/value
Gerätegruppenhierarchie (dg_hier_level_4) GerätegruppenHierarchyL4 dg_hier_ebene_4 about.labels.key/value
Name des virtuellen Systems (vsys_name) principal.resource.name

Principal.resource.resource_type=VIRTUAL_MACHINE

Gerätename (device_name) mittler.hostname
Virtuelle System-ID (vsys_id) Principal.resource.resource_type=VIRTUAL_MACHINE und Principal.resource.product_object_id
Anwendungsunterkategorie (subcategory_of_app) Unterkategorie_App about.labels.key/value
Anwendungskategorie (category_of_app) App-Kategorie about.labels.key/value
Anwendungstechnologie (technology_of_app) Technologie_der_App about.labels.key/value
Anwendungsrisiko (risk_of_app) Wert_für_die_Sicherheit
Anwendungsmerkmal (charakteristisches_Attribut_der_App) Eigenschaft_der_App about.labels.key/value
Anwendungscontainer (container_of_app) Container_der_App about.labels.key/value
SaaS für Anwendungen (is_saas_of_app) ist_saas_von_App about.labels.key/value
Status des Anwendungssanktionens (sanctioned_state_of_app) sanktioniertes_Bundesstaat_der_App about.labels.key/value

Tunnel-

In der folgenden Tabelle sind die Logfelder des Tunnellogtyps und die entsprechenden UDM-Felder aufgeführt.

CSV-Feld Feld „CEF“ LEEF-Feld Chronicle-Labelschlüssel UDM-Feld
Empfangszeit (Empfangszeit oder Empfangszeit) Echtzeit Entwicklungszeit metadata.collected_timestamp,

Metadaten.event_timestamp (falls "Generate Time" nicht vorhanden)

Seriennummer (Seriennummer) deviceExternalId (Geräte-Externe ID) Seriennummer Zwischenverbindung.Asset.Hardware.Seriennummer
Typ (Typ) Typ (Header) Katze Metadaten.Produktereignistyp
Bedrohung/Inhaltstyp (Untertyp) Untertyp (Header) Subtyp Metadaten.Produktereignistyp
Generierungszeit (time_generate oder cef- formatted-time) Metadaten.Ereignis_Zeitstempel
Quelladresse (src) src src Hauptkonto
Zieladresse (dst) dst dst Ziel-IP
NAT-Quell-IP-Adresse (natsrc) Quellübersetzte Adresse Logo: srcPostNAT Hauptkonto.nat_ip
NAT-Ziel-IP-Adresse (natdst) ZielübersetzteAdresse dstPostNAT target_nat_ip
Regelname (Regel) CS1 Regelname Sicherheitsergebnis_Regelname
Quellnutzer (srcuser) Suser Quellnutzer / usrName Hauptkontonutzer.Nutzer-ID
Zielnutzer (dstuser) Duser Zielnutzer target.user.userid
Anwendung (App) App Anwendung netzwerk.anwendungsprotokoll
Virtuelles System (vsys) CS3 Virtuelles System Vsys about.labels.key/value
Quellzone (von) CS4 Quellzone von Hauptkonto.labels.schlüssel/wert
Zielzone (bis) CS5 Zielzone Bis Ziel-Labels.Schlüssel/Wert
Eingehende Schnittstelle (inbound_if) InboundInterface Schnittstelle für eingehenden Traffic eingehend_wenn Hauptkonto.labels.schlüssel/wert
Ausgehende Schnittstelle (outbound_if) Outbound-Schnittstelle Ausgehender Schnittstelle ausgehend_wenn Ziel-Labels.Schlüssel/Wert
Logaktion (Logset) CS6 Protokollweiterleitungsprofil Logset about.labels.key/value
Sitzungs-ID (sessionid) CN1 Sitzungs-ID network.session_id (Netzwerk-ID)
Anzahl der Wiederholungen (wiederkehrend) CNT Wiederholungen wiederkehrend about.labels.key/value
Quellport (Sport) SF srcPort Hauptkonto
Zielport (dport) DDP dstPort Zielport
NAT-Quellport (Natsport) QuellübersetzterPort srcPostNAT-Port Hauptkonto
NAT-Zielport (natdport) ZielübersetzterPort dstPostNAT-Port Zielport
Flaggen FlexString1 Flags flags about.labels.key/value
IP-Protokoll (proto) Proto Proto network.ip_protokoll
Aktion (Aktion) Akt Aktion Sicherheitsergebnis_Aktionsdetails

Sicherheitsergebnis

Schweregrad (Schwere) security_result.schwerpunkt und security_result.schwerpunktdetails
Sequenznummer (Sequenznummer) externalId Sequenz Metadaten.Produkt_ID
Aktions-Flags (actionflags) PanOSActionFlags Aktions-Flags actionflags about.labels.key/value
Quellort (srcloc) Hauptkonto.location.country_or_region
Zielort (dstloc) target.location.country_or_region
Gerätegruppenhierarchie (dg_hier_level_1) PanOSDGl1 DeviceGroupHierarchyL1 (GerätegruppenHierarchyL1) dg_hier_ebene_1 about.labels.key/value
Gerätegruppenhierarchie (dg_hier_level_2) PanOSDGl2 DeviceGroupHierarchyL2 (GerätegruppenHierarchyL2) dg_hier_ebene_2 about.labels.key/value
Gerätegruppenhierarchie (dg_hier_level_3) PanOSDGl3 DeviceGroupHierarchyL3 (GerätegruppenHierarchyL3) dg_hier_ebene_3 about.labels.key/value
Gerätegruppenhierarchie (dg_hier_level_4) PanOSDGl4 GerätegruppenHierarchyL4 dg_hier_ebene_4 about.labels.key/value
Name des virtuellen Systems (vsys_name) PanOSVsysName vSrcName (vSrcName) principal.resource.name

Principal.resource.resource_type=VIRTUAL_MACHINE

Gerätename (device_name) DVDvHost DeviceName mittler.hostname
Tunnel-ID (tunnelid) PanOSTunnel-ID Tunnel-ID Tunnel-ID about.labels.key/value
Monitor-Tag PanOSMonitor-Tag Monitor-Tag Monitor-Tag about.labels.key/value
ID der übergeordneten Sitzung (parent_session_id) PanOSParentSessionID ID der übergeordneten Sitzung ID der übergeordneten Sitzung about.labels.key/value
Startzeit des übergeordneten Elements (parent_start_time) Startzeit von PanOSParent Übergeordnete Startzeit Startzeit_übergeordnet about.labels.key/value
Tunneltyp (Tunnel) CS2 Tunneltyp Tunnel about.labels.key/value
Byte (Byte) FlexZahl1 totalByte Byte about.labels.key/value
Gesendete Bytes (bytes_sent) in srcByte Netzwerk.Empfangen_Byte
Empfangene Byte (Byte_Received) out dstByte network.sent_bytes
Pakete (Pakete) CN2 Pakete insgesamt Pakete about.labels.key/value
Gesendete Pakete (pkts_sent) PanOS-Pakete gesendet srcPackets Pkts_sent about.labels.key/value
Eingegangene Pakete (Pkts_Received) PanOS-Pakete empfangen DVT-Pakete Paket empfangen about.labels.key/value
Maximale Kapselung (max_encap) FlexZahl2 Maximale Kapselung max_ENcap about.labels.key/value
Unbekanntes Protokoll (unknown_proto) konf1 Unbekanntes Protokoll Unbekannter_Prototyp about.labels.key/value
Strikte Überprüfung (strict_check) konf.2 Striktprüfung Striktprüfung about.labels.key/value
Tunnelfragment (tunnel_fragment) PanOSTunnelFragment Tunnelfragment Tunnelfragment about.labels.key/value
Erstellte Sitzungen (sessions_built) konf3 Sitzungen erstellt Sitzungen_erstellt about.labels.key/value
Geschlossene Sitzungen (sessions_closed) konf.4 Sitzungen geschlossen Sitzungen_geschlossen about.labels.key/value
Grund für den Sitzungsende (session_end_reason) reason Sitzung – Grund Sicherheitsergebnis
Aktionsquelle (action_source) Katze Aktionsquelle Aktionsquelle about.labels.key/value
Startzeit (Start) Startzeit starten about.labels.key/value
Verstrichene Zeit (verstrichen) Cn3 Verstrichene Zeit verstrichen about.labels.key/value
Tunnelinspektionsregel (tunnel_insp_rule) PanOSTunneinsektionsregel security_result.rule_name = "Tunnelinspektionsregel: %{PanOSTunnelInspectionRule}"
IP-Adresse des Remote-Nutzers (remote_user_ip) PanOSRmtNutzerIP Ziel-IP
Remote-Nutzer-ID (remote_user_id) PanOSRmtUser-ID remote_user_id (Remote-Nutzer-ID) Ziel-Labels.Schlüssel/Wert
Sicherheitsregel-UUID (rule_uuid) PanOSRegelUUID Sicherheitsergebnis_Regel_ID
PCAP-ID (pcap_id) PanOSPcapID Pcap_ID about.labels.key/value
Name der dynamischen Nutzergruppe (dynusergroup_name) PanDynamicUsrgrp Hauptkontogruppe.gruppenname
Externe dynamische Quellliste (src_edl) PanOSSourceEDL src_edl Hauptkonto.labels.schlüssel/wert
Externe dynamische Liste mit Ziel (dst_edl) PanOSDestinationEDL dst_edl Ziel-Labels.Schlüssel/Wert
Zeitstempel mit hoher Auflösung (Zeitstempel mit hoher Auflösung) PanOSTimeGeneratedHighResolution metadata.collected_timestamp,

Metadaten.event_timestamp (falls "Generate Time" nicht vorhanden)

Ein Segment-Unterscheidungsmerkmal (nssai_sd) NSSSA about.labels.key/value
Ein Segmenttyp (nssai_sd) Nssai_sd1 about.labels.key/value
PDU-Sitzungs-ID (pdu_session_id) pdu-Sitzungs-ID about.labels.key/value
Anwendungsunterkategorie (subcategory_of_app) Unterkategorie_App about.labels.key/value
Anwendungskategorie (category_of_app) App-Kategorie about.labels.key/value
Anwendungstechnologie (technology_of_app) Technologie_der_App about.labels.key/value
Anwendungsrisiko (risk_of_app) Risiko_der_App about.labels.key/value
Anwendungsmerkmal (charakteristisches_Attribut_der_App) Eigenschaft_der_App about.labels.key/value
Anwendungscontainer (container_of_app) Container_der_App about.labels.key/value
SaaS für Anwendungen (is_saas_of_app) ist_saas_von_App about.labels.key/value
Status des Anwendungssanktionens (sanctioned_state_of_app) sanktioniertes_Bundesstaat_der_App about.labels.key/value

Authentifizierung

In der folgenden Tabelle sind die Logfelder des Authentifizierungslogtyps und die entsprechenden UDM-Felder aufgeführt.

CSV-Feld Feld „CEF“ LEEF-Feld Chronicle-Labelschlüssel UDM-Feld
Empfangszeit (Empfangszeit oder Empfangszeit) Echtzeit Entwicklungszeit metadata.collected_timestamp,

Metadaten.event_timestamp (falls "Generate Time" nicht vorhanden)

Seriennummer (Seriennummer) deviceExternalId (Geräte-Externe ID) Seriennummer Zwischenverbindung.Asset.Hardware.Seriennummer
Typ (Typ) Typ (Header) Katze Metadaten.Produktereignistyp
Bedrohung/Inhaltstyp (Untertyp) Untertyp (Header) Subtyp Metadaten.Produktereignistyp
Generierungszeit (time_generate oder cef- formatted-time) Metadaten.Ereignis_Zeitstempel
Virtuelles System (vsys) CS3 Virtuelles System Vsys about.labels.key/value
Quell-IP-Adresse (IP) src src Hauptkonto
Nutzer (Nutzer) Duser Logo: usrName target.user.userid
Nutzer normalisieren (normalize_user) CS2 Nutzer normalisieren target.user.user_display_name
Objekt (Objekt) fname ObjectName Objekt about.labels.key/value
Authentifizierungsrichtlinie (authpolicy) CS4 Authentifizierungsrichtlinie Authentifizierungsrichtlinie about.labels.key/value
Anzahl der Wiederholungen (wiederkehrend) CNT Wiederholungen wiederkehrend about.labels.key/value
Authentifizierungs-ID (authid) CN2 Authentifizierungs-ID Authid about.labels.key/value
Anbieter (Anbieter) FlexString2 Vendor vendor about.labels.key/value
Logaktion (Logset) CS6 Protokollweiterleitungsprofil Logset about.labels.key/value
Serverprofil (Serverprofil) CS1 Serverprofil Serverprofil about.labels.key/value
Beschreibung (absteigend) PanOSDesc ZusätzlicheAuthentifizierungsinformationen Sicherheitsergebnis_Beschreibung
Clienttyp (clienttype) CS5 Clienttyp Clienttyp about.labels.key/value
Ereignistyp (Ereignis) msg msg extensions.auth.auth_details
Faktornummer (Faktor) CN1 Faktornummer Faktor about.labels.key/value
Sequenznummer (Sequenznummer) externalId Sequenz Metadaten.Produkt_ID
Aktions-Flags (actionflags) PanOSActionFlags Aktions-Flags actionflags about.labels.key/value
Gerätegruppenhierarchie (dg_hier_level_1) PanOSDGl1 DeviceGroupHierarchyL1 (GerätegruppenHierarchyL1) dg_hier_ebene_1 about.labels.key/value
Gerätegruppenhierarchie (dg_hier_level_2) PanOSDGl2 DeviceGroupHierarchyL2 (GerätegruppenHierarchyL2) dg_hier_ebene_2 about.labels.key/value
Gerätegruppenhierarchie (dg_hier_level_3) PanOSDGl3 DeviceGroupHierarchyL3 (GerätegruppenHierarchyL3) dg_hier_ebene_3 about.labels.key/value
Gerätegruppenhierarchie (dg_hier_level_4) PanOSDGl4 GerätegruppenHierarchyL4 dg_hier_ebene_4 about.labels.key/value
Name des virtuellen Systems (vsys_name) PanOSVsysName vSrcName (vSrcName) principal.resource.name

Principal.resource.resource_type=VIRTUAL_MACHINE

Gerätename (device_name) DVDvHost DeviceName mittler.hostname
Virtuelle System-ID (vsys_id) Principal.resource.resource_type=VIRTUAL_MACHINE und Principal.resource.product_object_id
Authentication Protocol (authproto) AuthProto about.labels.key/value
UUID für Regel (rule_uuid) PanOSRegelUUID Sicherheitsergebnis_Regel_ID
Zeitstempel mit hoher Auflösung (_timestamp) PanOSTimeGeneratedHighResolution metadata.collected_timestamp,

Metadaten.event_timestamp (falls "Generate Time" nicht vorhanden)

Quellgerätekategorie (src_category) PanOSSourceDeviceCategory Kategorie Hauptkonto.labels.schlüssel/wert
Quellgeräteprofil (src_profile) PanOSSourceDeviceProfile Bild: src_profile Hauptkonto.labels.schlüssel/wert
Quellgerätemodell (src_model) PanOSSourceDeviceModel Modell Hauptkonto.labels.schlüssel/wert
Quellgeräteanbieter (src_vendor) Anbieter von PanOSSourceDevice src_Anbieter Hauptkonto.labels.schlüssel/wert
Betriebssystemfamilie der Quellgeräte (src_osfamily) PanOSSourceDeviceOSFamily Hauptkonto.asset.platform_software.platform

Hauptkonto.labels.schlüssel/wert

Betriebssystemversion des Quellgeräts (src_osversion) PanOSSourceDeviceOSVersion Hauptkonto.asset.software.version
Hostname der Quelle (src_host) PanOSSourceHostname (Hostname des PanOSSource) Hauptkonto
MAC-Quelladresse (src_mac) PanOSSourceMac Hauptkonto.asset.mac
Region (Region) PanOSTrafficOriginRegion Hauptkonto.location.country_or_region
User-Agent (user_agent) PanOSHTTPUser-Agent network.http.user_agent
Sitzungs-ID(Sitzungs-ID) PanOSTrafficSessionID network.session_id (Netzwerk-ID)

URL (URL)

In der folgenden Tabelle sind die Logfelder des URL-Logtyps und die entsprechenden UDM-Felder aufgeführt.

CSV-Feld Feld „CEF“ LEEF-Feld Chronicle-Labelschlüssel UDM-Feld
Empfangszeit (cef-formatted-Receive_time) Echtzeit Entwicklungszeit metadata.collected_timestamp,

Metadaten.event_timestamp (falls "Generate Time" nicht vorhanden)

Seriennummer (Seriennummer) deviceExternalId (Geräte-Externe ID) Seriennummer Zwischenverbindung.Asset.Hardware.Seriennummer
Typ (Typ) Typ (Header) Katze Metadaten.Produktereignistyp
Bedrohung/Inhaltstyp (Untertyp) Untertyp (Header) Subtyp Metadaten.Produktereignistyp
Zeit generieren Metadaten.Ereignis_Zeitstempel
Quelladresse (src) src src Hauptkonto
Zieladresse (dst) dst dst Ziel-IP
NAT-Quell-IP-Adresse (natsrc) Quellübersetzte Adresse Logo: srcPostNAT Hauptkonto.nat_ip
NAT-Ziel-IP-Adresse (natdst) ZielübersetzteAdresse dstPostNAT target_nat_ip
Regel (Regel) CS1 Regelname Sicherheitsergebnis_Regelname
Quellnutzer (srcuser) Suser Quellnutzer Hauptkontonutzer.Nutzer-ID
Zielnutzer (dstuser) Duser Zielnutzer target.user.userid
Anwendung (App) App Anwendung netzwerk.anwendungsprotokoll
Virtuelles System (vsys) CS3 Virtuelles System Vsys about.labels.key/value
Quellzone (von) CS4 Quellzone von Hauptkonto.labels.schlüssel/wert
Zielzone (bis) CS5 Zielzone Bis Ziel-Labels.Schlüssel/Wert
Eingehende Schnittstelle (inbound_if) InboundInterface Schnittstelle für eingehenden Traffic eingehend_wenn Hauptkonto.labels.schlüssel/wert
Ausgehende Schnittstelle (outbound_if) Outbound-Schnittstelle Ausgehender Schnittstelle ausgehend_wenn Ziel-Labels.Schlüssel/Wert
Logaktion (Logset) CS6 Protokollweiterleitungsprofil Logset about.labels.key/value
Protokollierte Zeit mit Zeitstempel about.labels.key/value
Sitzungs-ID (sessionid) CN1 Sitzungs-ID network.session_id (Netzwerk-ID)
Anzahl der Wiederholungen (wiederkehrend) CNT Wiederholungen wiederkehrend about.labels.key/value
Quellport (Sport) SF srcPort Hauptkonto
Zielport (dport) DDP dstPort Zielport
NAT-Quellport (Natsport) QuellübersetzterPort srcPostNAT-Port Hauptkonto
NAT-Zielport (natdport) ZielübersetzterPort dstPostNAT-Port Zielport
Flaggen FlexString1 Flags flags about.labels.key/value
IP-Protokoll (proto) Proto Proto network.ip_protokoll
Aktion (Aktion) Akt Aktion Sicherheitsergebnis_Aktionsdetails

Sicherheitsergebnis

URL/Dateiname (Sonstiges) Andere Beteiligte target.file.full_path

Ziel-URL

Name der Bedrohung/des Inhalts (threatid) Katze Bedrohungs-ID Sicherheitsergebnis-ID.Bedrohungs_ID
Kategorie (Kategorie) CS2 URLCategory (URL-Kategorie) Kategorie about.labels.key/value
Schweregrad (Schwere) Schweregrad (Header) Schweregrad Wert_für_die_Sicherheit

Sicherheitsergebnis – Schweregrad_Details

Richtung (Richtung) FlexString2 Richtung network.direction (Netzwerkrichtung)
Sequenznummer (Sequenznummer) externalId Sequenz Metadaten.Produkt_ID
Aktions-Flags (actionflags) PanOSActionFlags Aktions-Flags actionflags about.labels.key/value
Quellland (srcloc) Quellort Hauptkonto.location.country_or_region
Zielland (dstloc) Zielort target.location.country_or_region
Inhaltstyp (contenttype) Anfragekontext ContentType Inhaltstyp about.labels.key/value
pcap_id Datei-ID CAP-ID Pcap_ID about.labels.key/value
filedigest (filedigest) Datei-Digest info.datei.sha1/md5/sha256
Cloud (Cloud) Google Cloud cloud about.labels.key/value
url_idx (url_idx) URL-Index URL_IDX about.labels.key/value
user_agent (Nutzer-Agent) Anfrage-Clientanwendung User-Agent network.http.user_agent
Dateityp (filetype) info.datei.mime_type
xff (xff) PanOSXForwarderfor identSrc XFF about.labels.key/value
Verweis-URL (Verweis) PanOS-Verweis Verwiesen von: network.http.referral_url.
Absender (Absender) Netzwerk.E-Mail.von
Betreff (Betreff) Betreff netzwerk.email.subject
Empfänger (Empfänger) network.email.to
reportid (Berichts-ID) Berichts-ID about.labels.key/value
DG-Hierarchieebene 1 (dg_hier_level_1) PanOSDGl1 DeviceGroupHierarchyL1 (GerätegruppenHierarchyL1) dg_hier_ebene_1 about.labels.key/value
DG-Hierarchieebene 2 (dg_hier_level_2) PanOSDGl2 DeviceGroupHierarchyL2 (GerätegruppenHierarchyL2) dg_hier_ebene_2 about.labels.key/value
DG-Hierarchieebene 3 (dg_hier_level_3) PanOSDGl3 DeviceGroupHierarchyL3 (GerätegruppenHierarchyL3) dg_hier_ebene_3 about.labels.key/value
DG-Hierarchieebene 4 (dg_hier_level_4) PanOSDGl4 GerätegruppenHierarchyL4 dg_hier_ebene_4 about.labels.key/value
Name des virtuellen Systems (vsys_name) PanOSVsysName vSrcName (vSrcName) principal.resource.name

Principal.resource.resource_type=VIRTUAL_MACHINE

Gerätename (device_name) DVDvHost DeviceName mittler.hostname
Datei-URL (Datei-URL) info.url
Quell-VM-UUID (src_uuid) SKUUID Hauptkonto-Asset.asset_id
Ziel-VM-UUID (dst_uuid) dst-UID Ziel-Asset-Asset-ID
http_method (http_method) Anfragemethode Anfragemethode network.http.method
Tunnel-ID/IMSI (Tunnel-ID) PanOSTunnel-ID Tunnel-ID Tunnel-ID about.labels.key/value
Tag/IMEI (Monitortag) überwachen PanOSMonitor-Tag Monitor-Tag Monitor-Tag about.labels.key/value
ID der übergeordneten Sitzung (parent_session_id) PanOSParentSessionID ID der übergeordneten Sitzung ID der übergeordneten Sitzung about.labels.key/value
Beginn der übergeordneten Sitzung (parent_start_time) Startzeit von PanOSParent Übergeordnete Startzeit Startzeit_übergeordnet about.labels.key/value
Tunnel (Tunnel) PanOSTunnelTyp Tunneltyp Tunnel about.labels.key/value
thr_category (thr_category) Kategorie für PanOSThreat Bedrohungskategorie Kategorie security_result.detection_fields.key/value
contentver (contentver) PanOSContentVer Content-Verb Contentver about.labels.key/value
sig_flags (sig_flags) sig_flags about.labels.key/value
SCTP-Verknüpfungs-ID (assoc_id) PanOSAssocID Assoc_ID about.labels.key/value
Nutzlastprotokoll-ID (ppid) PanOSPPID ppid about.labels.key/value
http_headers (http_headers) PanOSHTTPHeader http_headers about.labels.key/value
URL-Kategorieliste (url_category_list) PanOSURLCatList (PaOSURLCatList-Liste) URL-Kategorieliste about.labels.key/value
UUID für Regel (rule_uuid) PanOSRegelUUID Regel-Uuid about.labels.key/value
HTTP/2-Verbindung (http2_connection) PanOSHTTP2Con HTTP-Verbindung about.labels.key/value
dynusergroup_name (dynusergroup_name) PanDynamicUsrgrp dynusergroup_name (dynusergroup_name) about.labels.key/value
XFF-Adresse (xff_ip) PanxFFIP Hauptkonto
Quellgerätekategorie (src_category) PanSrcDeviceCat Kategorie Hauptkonto.labels.schlüssel/wert
Quellgeräteprofil (src_profile) PanSrcDeviceProf Bild: src_profile Hauptkonto.labels.schlüssel/wert
Quellgerätemodell (src_model) PanSrcDeviceModel Modell Hauptkonto.labels.schlüssel/wert
Quellgeräteanbieter (src_vendor) PanSrc-Geräteanbieter src_Anbieter Hauptkonto.labels.schlüssel/wert
Betriebssystemfamilie der Quellgeräte (src_osfamily) PanSrcDeviceOS Hauptkonto.asset.platform_software.platform

Hauptkonto.labels.schlüssel/wert

Betriebssystemversion des Quellgeräts (src_osversion) PanSrcDeviceOSv Hauptkonto.asset.software.version
Hostname der Quelle (src_host) PanSrcHostname src_host (src_Host) Hauptkonto.labels.schlüssel/wert
Quell-MAC-Adresse (src_mac) PanSrcMac Hauptkonto
Zielgerätekategorie (dst_category) PanDstDeviceCat (PanDstDeviceCat) Kategorie [dst_category] Ziel-Labels.Schlüssel/Wert
Zielgeräteprofil (dst_profile) PanDstDeviceProf dst-Profil Ziel-Labels.Schlüssel/Wert
Zielgerätemodell (dst_model) PanDstDeviceModel Modell_dst Ziel-Labels.Schlüssel/Wert
Zielgeräteanbieter (dst_vendor) PanDstDeviceAnbieter dst_vendor Ziel-Labels.Schlüssel/Wert
Zielgeräte-Betriebssystemfamilie (dst_osfamily) PanDstDeviceOS (Betriebssystem des Geräts) target.asset.platform_software.platform

Ziel-Labels.Schlüssel/Wert

Betriebssystemversion des Zielgeräts (dst_osversion) PanDstDeviceOSv target.asset.software.version
Hostname des Ziels (dst_host) PanPODNamespace target.hostname
Ziel-MAC-Adresse (dst_mac) PanDstMac Ziel-Mac
Container-ID (container_id) PanContainerName Container-ID about.labels.key/value
POD-Namespace (pod_namespace) PanPODNamespace pod_namespace about.labels.key/value
POD-Name (pod_name) PanPOD-Name pod_name about.labels.key/value
Externe dynamische Quellliste (src_edl) Panskron src_edl Hauptkonto.labels.schlüssel/wert
Externe dynamische Liste mit Ziel (dst_edl) PanDstEDL dst_edl Ziel-Labels.Schlüssel/Wert
Host-ID (hostid) PanGPHost-ID Host-ID about.labels.key/value
Seriennummer (Seriennummer) PanEPSerial (Seriennummer) Hauptkonto.asset.hardware.series_number
domain_edl (domain_edl) PanDomainEDL domain_edl about.labels.key/value
Dynamische Quell-Quellgruppe (src_dag) PanSrcDAG Hauptkontogruppe.gruppenname
Dynamische Zieladressgruppe (dst_dag) PanDstDAG target.group.group_display_name
teilweise_hash (partial_hash) PanPartialHash Teil-Hash about.labels.key/value
Hochauflösender Zeitstempel (high_res_timestamp) PanTimeHighRes metadata.collected_timestamp,

Metadaten.event_timestamp (falls "Generate Time" nicht vorhanden)

Grund (Grund) Aktion für Filterung: Grund reason about.labels.key/value
Begründung (Begründung) Begründung Begründung about.labels.key/value
nssai_sst (nssai_sst) PanASService-Typ NSSSA about.labels.key/value
Unterkategorie der App (subcategory_of_app) Unterkategorie_App about.labels.key/value
App-Kategorie (category_of_app) App-Kategorie about.labels.key/value
App-Technologie (technology_of_app) Technologie_der_App about.labels.key/value
App-Risiko (risiko_der_App) Risiko_der_App about.labels.key/value
Merkmal der App (characteristic_of_app) Eigenschaft_der_App about.labels.key/value
Container der Anwendung (container_of_app) Container_der_App about.labels.key/value
Getunnelte App (tunneled_app) getunnelte_App about.labels.key/value
SaaS der App (is_saas_of_app) ist_saas_von_App about.labels.key/value
Genehmigter Status der App (sanctioned_state_of_app) sanktioniertes_Bundesstaat_der_App about.labels.key/value

Daten

In der folgenden Tabelle sind die Logfelder des Datenlogtyps und die entsprechenden UDM-Felder aufgeführt.

CSV-Feld Feld „CEF“ LEEF-Feld Chronicle-Labelschlüssel UDM-Feld
Empfangszeit (cef-formatted-Receive_time) Echtzeit Entwicklungszeit metadata.collected_timestamp,

Metadaten.event_timestamp (falls "Generate Time" nicht vorhanden)

Seriennummer (Seriennummer) deviceExternalId (Geräte-Externe ID) Seriennummer Zwischenverbindung.Asset.Hardware.Seriennummer
Typ (Typ) Typ (Header) Katze Metadaten.Produktereignistyp
Bedrohung/Inhaltstyp (Untertyp) Untertyp (Header) Subtyp Metadaten.Produktereignistyp
Zeit generieren Metadaten.Ereignis_Zeitstempel
Quelladresse (src) src src Hauptkonto
Zieladresse (dst) dst dst Ziel-IP
NAT-Quell-IP-Adresse (natsrc) Quellübersetzte Adresse Logo: srcPostNAT Hauptkonto.nat_ip
NAT-Ziel-IP-Adresse (natdst) ZielübersetzteAdresse dstPostNAT target_nat_ip
Regel (Regel) CS1 Regelname Sicherheitsergebnis_Regelname
Quellnutzer (srcuser) Suser Quellnutzer Hauptkontonutzer.Nutzer-ID
Zielnutzer (dstuser) Duser Zielnutzer target.user.userid
Anwendung (App) App Anwendung netzwerk.anwendungsprotokoll
Virtuelles System (vsys) CS3 Virtuelles System Vsys about.labels.key/value
Quellzone (von) CS4 Quellzone von Hauptkonto.labels.schlüssel/wert
Zielzone (bis) CS5 Zielzone Bis Ziel-Labels.Schlüssel/Wert
Eingehende Schnittstelle (inbound_if) InboundInterface Schnittstelle für eingehenden Traffic eingehend_wenn Hauptkonto.labels.schlüssel/wert
Ausgehende Schnittstelle (outbound_if) Outbound-Schnittstelle Ausgehender Schnittstelle ausgehend_wenn Ziel-Labels.Schlüssel/Wert
Logaktion (Logset) CS6 Protokollweiterleitungsprofil Logset about.labels.key/value
Protokollierte Zeit mit Zeitstempel about.labels.key/value
Sitzungs-ID (sessionid) CN1 Sitzungs-ID network.session_id (Netzwerk-ID)
Anzahl der Wiederholungen (wiederkehrend) CNT Wiederholungen wiederkehrend about.labels.key/value
Quellport (Sport) SF srcPort Hauptkonto
Zielport (dport) DDP dstPort Zielport
NAT-Quellport (Natsport) QuellübersetzterPort srcPostNAT-Port Hauptkonto
NAT-Zielport (natdport) ZielübersetzterPort dstPostNAT-Port Zielport
Flaggen FlexString1 Flags flags about.labels.key/value
IP-Protokoll (proto) Proto Proto network.ip_protokoll
Aktion (Aktion) Akt Aktion Sicherheitsergebnis_Aktionsdetails

Sicherheitsergebnis

URL/Dateiname (Sonstiges) Andere Beteiligte target.file.full_path

Ziel-URL

Name der Bedrohung/des Inhalts (threatid) Katze Bedrohungs-ID Sicherheitsergebnis-ID.Bedrohungs_ID
Kategorie (Kategorie) CS2 URLCategory (URL-Kategorie) Kategorie about.labels.key/value
Schweregrad (Schwere) Schweregrad (Header) Schweregrad Wert_für_die_Sicherheit

Sicherheitsergebnis – Schweregrad_Details

Richtung (Richtung) FlexString2 Richtung network.direction (Netzwerkrichtung)
Sequenznummer (Sequenznummer) externalId Sequenz Metadaten.Produkt_ID
Aktions-Flags (actionflags) PanOSActionFlags Aktions-Flags actionflags about.labels.key/value
Quellland (srcloc) Quellort Hauptkonto.location.country_or_region
Zielland (dstloc) Zielort target.location.country_or_region
Inhaltstyp (contenttype) ContentType Inhaltstyp about.labels.key/value
pcap_id Datei-ID CAP-ID Pcap_ID about.labels.key/value
filedigest (filedigest) Datei-Digest info.datei.sha1/md5/sha256
Cloud (Cloud) Google Cloud cloud about.labels.key/value
url_idx (url_idx) URL-Index URL_IDX about.labels.key/value
user_agent (Nutzer-Agent) network.http.user_agent
Dateityp (filetype) info.datei.mime_type
xff (xff) XFF about.labels.key/value
Verweis-URL (Verweis) network.http.referral_url.
Absender (Absender) Netzwerk.E-Mail.von
Betreff (Betreff) Betreff netzwerk.email.subject
Empfänger (Empfänger) network.email.to
reportid (Berichts-ID) Berichts-ID about.labels.key/value
DG-Hierarchieebene 1 (dg_hier_level_1) PanOSDGl1 DeviceGroupHierarchyL1 (GerätegruppenHierarchyL1) dg_hier_ebene_1 about.labels.key/value
DG-Hierarchieebene 2 (dg_hier_level_2) PanOSDGl2 DeviceGroupHierarchyL2 (GerätegruppenHierarchyL2) dg_hier_ebene_2 about.labels.key/value
DG-Hierarchieebene 3 (dg_hier_level_3) PanOSDGl3 DeviceGroupHierarchyL3 (GerätegruppenHierarchyL3) dg_hier_ebene_3 about.labels.key/value
DG-Hierarchieebene 4 (dg_hier_level_4) PanOSDGl4 GerätegruppenHierarchyL4 dg_hier_ebene_4 about.labels.key/value
Name des virtuellen Systems (vsys_name) PanOSVsysName vSrcName (vSrcName) principal.resource.name

Principal.resource.resource_type=VIRTUAL_MACHINE

Gerätename (device_name) DVDvHost DeviceName mittler.hostname
Datei-URL (Datei-URL) info.url
Quell-VM-UUID (src_uuid) SKUUID Hauptkonto-Asset.asset_id
Ziel-VM-UUID (dst_uuid) dst-UID Ziel-Asset-Asset-ID
http_method (http_method) Anfragemethode network.http.method
Tunnel-ID/IMSI (Tunnel-ID) PanOSTunnel-ID Tunnel-ID Tunnel-ID about.labels.key/value
Tag/IMEI (Monitortag) überwachen PanOSMonitor-Tag Monitor-Tag Monitor-Tag about.labels.key/value
ID der übergeordneten Sitzung (parent_session_id) PanOSParentSessionID ID der übergeordneten Sitzung ID der übergeordneten Sitzung about.labels.key/value
Beginn der übergeordneten Sitzung (parent_start_time) Startzeit von PanOSParent Übergeordnete Startzeit Startzeit_übergeordnet about.labels.key/value
Tunnel (Tunnel) PanOSTunnelTyp Tunneltyp Tunnel about.labels.key/value
thr_category (thr_category) Kategorie für PanOSThreat Bedrohungskategorie Kategorie security_result.detection_fields.key/value
contentver (contentver) PanOSContentVer Content-Verb Contentver about.labels.key/value
sig_flags (sig_flags) sig_flags about.labels.key/value
SCTP-Verknüpfungs-ID (assoc_id) PanOSAssocID Assoc_ID about.labels.key/value
Nutzlastprotokoll-ID (ppid) PanOSPPID ppid about.labels.key/value
http_headers (http_headers) PanOSHTTPHeader http_headers about.labels.key/value
URL-Kategorieliste (url_category_list) URL-Kategorieliste about.labels.key/value
UUID für Regel (rule_uuid) PanOSRegelUUID Regel-Uuid about.labels.key/value
HTTP/2-Verbindung (http2_connection) HTTP-Verbindung about.labels.key/value
dynusergroup_name (dynusergroup_name) dynusergroup_name (dynusergroup_name) Hauptkonto.labels.schlüssel/wert
XFF-Adresse (xff_ip) Hauptkonto
Quellgerätekategorie (src_category) Kategorie Hauptkonto.labels.schlüssel/wert
Quellgeräteprofil (src_profile) Bild: src_profile Hauptkonto.labels.schlüssel/wert
Quellgerätemodell (src_model) Modell Hauptkonto.labels.schlüssel/wert
Quellgeräteanbieter (src_vendor) src_Anbieter Hauptkonto.labels.schlüssel/wert
Betriebssystemfamilie der Quellgeräte (src_osfamily) Hauptkonto.asset.platform_software.platform

Hauptkonto.labels.schlüssel/wert

Betriebssystemversion des Quellgeräts (src_osversion) Hauptkonto.asset.software.version
Hostname der Quelle (src_host) src_host (src_Host) Hauptkonto.labels.schlüssel/wert
Quell-MAC-Adresse (src_mac) Hauptkonto
Zielgerätekategorie (dst_category) Kategorie [dst_category] Ziel-Labels.Schlüssel/Wert
Zielgeräteprofil (dst_profile) dst-Profil Ziel-Labels.Schlüssel/Wert
Zielgerätemodell (dst_model) Modell_dst Ziel-Labels.Schlüssel/Wert
Zielgeräteanbieter (dst_vendor) dst_vendor Ziel-Labels.Schlüssel/Wert
Zielgeräte-Betriebssystemfamilie (dst_osfamily) target.asset.platform_software.platform

Ziel-Labels.Schlüssel/Wert

Betriebssystemversion des Zielgeräts (dst_osversion) target.asset.software.version
Hostname des Ziels (dst_host) target.hostname
Ziel-MAC-Adresse (dst_mac) Ziel-Mac
Container-ID (container_id) Container-ID about.labels.key/value
POD-Namespace (pod_namespace) pod_namespace about.labels.key/value
POD-Name (pod_name) pod_name about.labels.key/value
Externe dynamische Quellliste (src_edl) src_edl Hauptkonto.labels.schlüssel/wert
Externe dynamische Liste mit Ziel (dst_edl) dst_edl Ziel-Labels.Schlüssel/Wert
Host-ID (hostid) Host-ID about.labels.key/value
Seriennummer (Seriennummer) Hauptkonto.asset.hardware.series_number
domain_edl (domain_edl) domain_edl about.labels.key/value
Dynamische Quell-Quellgruppe (src_dag) Hauptkontogruppe.gruppenname
Dynamische Zieladressgruppe (dst_dag) target.group.group_display_name
teilweise_hash (partial_hash) Teil-Hash about.labels.key/value
Hochauflösender Zeitstempel (high_res_timestamp) metadata.collected_timestamp,

Metadaten.event_timestamp (falls "Generate Time" nicht vorhanden)

Grund (Grund) reason about.labels.key/value
Begründung (Begründung) Begründung about.labels.key/value
nssai_sst (nssai_sst) NSSSA about.labels.key/value
Unterkategorie der App (subcategory_of_app) Unterkategorie_App about.labels.key/value
App-Kategorie (category_of_app) App-Kategorie about.labels.key/value
App-Technologie (technology_of_app) Technologie_der_App about.labels.key/value
App-Risiko (risiko_der_App) Risiko_der_App about.labels.key/value
Merkmal der App (characteristic_of_app) Eigenschaft_der_App about.labels.key/value
Container der Anwendung (container_of_app) Container_der_App about.labels.key/value
Getunnelte App (tunneled_app) getunnelte_App about.labels.key/value
SaaS der App (is_saas_of_app) ist_saas_von_App about.labels.key/value
Genehmigter Status der App (sanctioned_state_of_app) sanktioniertes_Bundesstaat_der_App about.labels.key/value

Logo: GlobalProtect

In der folgenden Tabelle sind die Logfelder des GlobalProtect-Logtyps und die entsprechenden UDM-Felder aufgeführt.

CSV-Feld Feld „CEF“ LEEF-Feld Chronicle-Labelschlüssel UDM-Feld
Empfangszeit (Empfangszeit) Echtzeit Empfangene Zeit Metadaten.Ereignis_Zeitstempel
Seriennummer (Seriennummer) PanOSDeviceSN Vermittler_Asset_Hardware_Seriennummer Zwischenverbindung.Asset.Hardware.Seriennummer
Typ (Typ) Typ (Header) Metadaten.Produktereignistyp
Bedrohung/Inhaltstyp (Untertyp) Untertyp (Header) Subtyp Metadaten.Produktereignistyp
Zeitpunkt der Erstellung (time_generate) Zeit für PanOSLog Generierter_Zeitstempel Metadaten.Ereignis_Zeitstempel
Virtuelles System (vsys) PanOSVirtualSystem Vsys about.labels.key/value
Ereignis-ID (eventid) PanOSEreignis-ID Ereignis-ID about.labels.key/value
Bühne (Phase) PanOSStage Phase about.labels.key/value
Authentifizierungsmethode (auth_method) PanOSAuthMethod Erweiterung_auth_auth_details extensions.auth.auth_details
Tunneltyp (tunnel_type) PanOSTunnelTyp Tunnel about.labels.key/value
Quellnutzer (srcuser) PanOSSourceUserName Nutzer Hauptkontonutzer.E-Mail-Adresse

Hauptkontonutzer.Nutzer-ID

Hauptkonto.administrative_Domain

Quellregion (srcregion) PanOSSourceRegion src_region (Region) Hauptkonto.location.country_or_region
Computername (machinename) PanOSEndpointDeviceName (Name des PanOSEndpointDeviceName) machine_name Hauptkonto
Öffentliche IP-Adresse (public_ip) PanOSPublicIPv4 Hauptkonto.nat_ip
Öffentliches IPv6 (public_ipv6) PanOSPublicIPv6 Hauptkonto.nat_ip
Private IP-Adresse (private_ip) PanOSPrivateIPv4 Hauptkonto
Privates IPv6 (private_ipv6) PanOSPrivateIPv6 Hauptkonto
Host-ID (hostid) PanOSHost-ID Host-ID Hauptkonto-Asset.asset_id
Seriennummer (Seriennummer) PanOSDeviceSN Hauptkonto.asset.hardware.series_number
Clientversion (client_ver) PanOSGlobalProtectClientVersion Kunde_ver about.labels.key/value
Betriebssystem des Clients (client_os) PanOSEndpointOSType Principal.asset.platform_software.platform(enum)
Version des Clientbetriebssystems (client_os_ver) PanOSEndpointOSVersion Hauptkonto.asset.platform_software.platform_version
Anzahl der Wiederholungen (wiederkehrend) PanOSCountOfRepeats wiederkehrend about.labels.key/value
Grund (Grund) PanOSQuarantänegrund Sicherheitsergebnis
Fehler (error) PanOSConnectionError Fehler Sicherheitsergebnis_Beschreibung
Beschreibung (undurchsichtig) Beschreibung des PanOS Sicherheitsergebnis_Beschreibung
Status (Status) PanOSEventStatus Status about.labels.key/value
Standort (Standort) PanOSGPGatewayLocation target.location.country_or_region
Dauer der Anmeldung (login_duration) PanOSLoginDauer network.session_duration (Netzwerkdauer)
Verbindungsmethode (connect_method) PanOSConnectionMethod verbinden_methode about.labels.key/value
Fehlercode (error_code) PanOSConnectionErrorID Fehlercode about.labels.key/value
Portal (Portal) Logo: PanOSPortal Portal about.labels.key/value
Sequenznummer (Sequenznummer) PanOSSequenzNein Metadaten.Produkt_ID
Aktions-Flags (actionflags) PanOSActionFlags actionflags about.labels.key/value
Zeitstempel mit hoher Auflösung (high_res_timestamp) anOSTimeGeneratedHighResolution metadata.collected_timestamp,

Metadaten.event_timestamp (falls "Generate Time" nicht vorhanden)

Gateway-Auswahlmethode (selection_type) PanOSGatewaySelectionType Auswahltyp about.labels.key/value
SSL-Antwortzeit (response_time) Zeit für PanOSSSLResponse Reaktionszeit about.labels.key/value
Gateway-Priorität (Priorität) PanOSGatewayPriority Priorität about.labels.key/value
Versuchte Gateways (attempted_gateways) Gateways von PanOSAttempted versuchte_Gateways about.labels.key/value
Gateway-Name (Gateway) Gateways von PanOSAttempted Gateway about.labels.key/value
Gerätegruppenhierarchie (dg_hier_level_1) dg_hier_ebene_1 about.labels.key/value
Gerätegruppenhierarchie (dg_hier_level_2) dg_hier_ebene_2 about.labels.key/value
Gerätegruppenhierarchie (dg_hier_level_3) dg_hier_ebene_3 about.labels.key/value
Gerätegruppenhierarchie (dg_hier_level_4) dg_hier_ebene_4 about.labels.key/value
Name des virtuellen Systems (vsys_name) principal.resource.name

Principal.resource.resource_type=VIRTUAL_MACHINE

Gerätename (device_name) target.hostname
Virtuelle System-ID (vsys_id) Principal.resource.resource_type=VIRTUAL_MACHINE und Principal.resource.product_object_id

Ergebnisse in Beziehung setzen

In der folgenden Tabelle sind die Logfelder des Correlation-Logtyps und die entsprechenden UDM-Felder aufgeführt.

CSV-Feld Feld „CEF“ LEEF-Feld Chronicle-Labelschlüssel UDM-Feld
Generierungszeit (time_generate oder cef- formatted-time) Startzeit Generierter_Zeitstempel Metadaten.Ereignis_Zeitstempel
Quelladresse (src) src Hauptkonto
Quellnutzer (srcuser) Quellnutzer / usrName Hauptkontonutzer.Nutzer-ID
Virtuelles System (vsys) Virtuelles System Vsys about.labels.key/value
Kategorie (Kategorie) Sicherheitsergebnis_Kategoriedetails
Schweregrad (Schwere) Schweregrad security_result.schwerpunkt und security_result.schwerpunktdetails
Hierarchieebene der Gerätegruppe 1 DeviceGroupHierarchyL1 (GerätegruppenHierarchyL1) about.labels.key/value
Hierarchieebene 2 der Gerätegruppe DeviceGroupHierarchyL2 (GerätegruppenHierarchyL2) about.labels.key/value
Hierarchie der Gerätegruppe 3 DeviceGroupHierarchyL3 (GerätegruppenHierarchyL3) about.labels.key/value
Hierarchieebene 4 der Gerätegruppe GerätegruppenHierarchyL4 about.labels.key/value
Name des virtuellen Systems (vsys_name) vSrcName (vSrcName) principal.resource.name

Principal.resource.resource_type=VIRTUAL_MACHINE

Gerätename (device_name) DeviceName mittler.hostname
Virtuelle System-ID (vsys_id) Virtuelle System-ID Principal.resource.resource_type=VIRTUAL_MACHINE und Principal.resource.product_object_id
Objektname (Objektname) ObjectName target.resource.name
Objekt-ID (object_id) Objekt-ID target.resource.product_object_id

Referenz für die Feldzuordnung: Protokolltypen für UDM-Ereignisse

In der folgenden Tabelle sind die Firewall-Logtypen für Palo Alto Networks und die entsprechenden UDM-Ereignistypen aufgeführt.

Logtyp UDM-Ereignistyp
Traffic NETWORK_CONNECTION
Infos zu NETWORK_CONNECTION
URL-Filter NETWORK_CONNECTION
Wildfein NETWORK_CONNECTION

Logs für WildFire-Einreichungen sind ein Untertyp des Threat-Logtyps und haben dasselbe Syslog-Format.

Datenfilterung NETWORK_CONNECTION
Tunnel- NETWORK_CONNECTION
Konfiguration EINSTELLUNG_MODIFIZIERUNG/EINSTELLUNG_CREATION/EINSTELLUNG_DELETION/EINSTELLUNG_UNCATEGORISIERT

Der Wert des Felds „Befehl“ (Cmd)" bestimmt die UDM-Ereignistypzuordnung. Wenn der Wert des Cmd-Felds hinzugefügt oder geklont wird, wird SETTING_CREATION festgelegt.

Wenn der Wert des Cmd-Felds gelöscht wird, wird SETTINGS_DELETION festgelegt.

Wenn der Wert des Cmd-Felds bearbeitet, verschoben, umbenannt, festgelegt oder festgeschrieben wird, wird SETTING_MODIFICATION festgelegt.

Wenn der Wert des Cmd-Felds keine Werte enthält, wird SETTING_UNCATEGORIZED festgelegt.

System

Wenn der Wert des Untertyps „dhcp“ lautet, ist NETWORK_DHCP festgelegt. Für andere Werte ist GENERIC_EVENT festgelegt.

HIP-Übereinstimmung NETWORK_CONNECTION
IP-Tag ALLGEMEIN_EVENT
User-ID USER_LOGIN/USER_LOGOUT/USER_UNCATEGORIZED

Wenn der Untertypwert "login" ist, wird USER_LOGIN festgelegt.

Wenn der Wert des Untertyps „&logt;logout"“ ist, wird USER_LOGOUT festgelegt.

Wenn der Untertyp keinen Wert enthält, wird USER_UNCATEGORIZED festgelegt.

Entschlüsselung NETWORK_CONNECTION
Authentifizierung ALLGEMEIN_EVENT

Nächste Schritte