Palo Alto Networks-Firewalllogs erfassen
Überblick
In diesem Dokument wird beschrieben, wie Sie Syslog und einen Google Security Operations-Forwarder zum Erfassen von Palo Alto Networks-Firewalllogs konfigurieren können. In diesem Dokument wird auch erläutert, wie Firewall-Logfelder von Palo Alto Networks den Feldern von Google Security Operations Unified Data Model (UDM) zugeordnet werden.
Eine Übersicht über die Datenaufnahme in Google Security Operations finden Sie unter Datenaufnahme in Google Security Operations.
Ein Aufnahmelabel gibt den Parser an, der Logrohdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument gelten für den Parser mit dem Aufnahmelabel PAN_FIREWALL.
Hinweise
Informationen zu den Komponenten, die zum Erfassen von Palo Alto Networks-Firewalllogs bereitgestellt werden, finden Sie in der Bereitstellungsarchitektur. Jede Kundenbereitstellung kann sich von dieser Darstellung unterscheiden und komplexer sein.
Das folgende Diagramm zeigt, wie Sie Syslog in einer Palo Alto Networks-Firewall konfigurieren und einen Google Security Operations-Forwarder auf einem Linux-Server installieren, um Logdaten an Google Security Operations weiterzuleiten. Der Parser unterstützt Logs, die in den folgenden Datenformaten geschrieben sind: CSV (Comma Separated Values), Common Event Format (CEF) und Log Event Extended Format (LEEF).
Prüfen Sie die Logformate und PAN-Betriebssystemversionen, die der Google Security Operations-Parser unterstützt. In der folgenden Tabelle sind die Logformate und die entsprechenden PAN-OS-Versionen aufgeführt, die vom Google Security Operations-Parser unterstützt werden:
Log format PAN-OS-Version CSV 10.1.3 CEF 10.0.0 LEEF 9.1.0 Prüfen Sie die Firewall-Logtypen der Palo Alto Networks, die der Google Security Operations-Parser unterstützt. Der Google Security Operations-Parser unterstützt die folgenden Firewall-Logtypen von Palo Alto Networks:
- Traffic
- Bedrohung
- WildFire-Einreichungen
- Tunnelinspektion
- Konfiguration
- System
- HIP-Übereinstimmung
- IP-Tag
- User-ID
- Entschlüsselung
- Authentifizierung
- URL-Filter
- Datenfilterung
- GlobalProtect
- Ergebnisse in Beziehung setzen
Weitere Informationen zu den Firewall-Logtypen von Palo Alto Networks finden Sie unter PAN-OS-Logtypen.
Achten Sie darauf, dass alle Systeme in der Bereitstellungsarchitektur in der UTC-Zeitzone konfiguriert sind.
Bevor Sie den Firewall-Parser von Palo Alto Networks verwenden, sollten Sie die Änderungen an Feldzuordnungen zwischen dem vorherigen Parser und dem aktuellen Palo Alto Networks-Firewallparser überprüfen. Achten Sie im Rahmen der Migration darauf, dass die Regeln, Suchvorgänge, Dashboards oder anderen Prozesse, die von den ursprünglichen Feldern abhängen, die aktualisierten Felder verwenden.
In der vorherigen Parserversion ist beispielsweise das Logfeld
category
dem UDM-Feldsecurity_result.description
zugeordnet. Im aktuellen Firewallparser von Palo Alto Networks ist das Logfeldcategory
dem UDM-Feldsecurity_result.category_details
zugeordnet. Wenn Sie zum aktuellen Firewallparser von Palo Alto Networks migrieren und das Feldcategory
in Ihren Regeln verwenden, müssen Sie die Regeln so ändern, dass das UDM-Feldsecurity_result.category_details
des aktuellen Parsers verwendet wird.
Syslog und die Google Security Operations-Weiterleitung konfigurieren
Führen Sie die folgenden Schritte aus, um Syslog und die Google Security Operations-Weiterleitung zu konfigurieren:
Konfigurieren Sie zum Überwachen von CSV-Logs das Syslog-Serverprofil. Weitere Informationen finden Sie unter Syslog-Serverprofil konfigurieren.
Geben Sie beim Konfigurieren des Syslog-Serverprofils „Default“ als benutzerdefiniertes Logformat an.
Konfigurieren Sie zum Überwachen von CEF-Logs die Firewall von Palo Alto Networks so, dass CEF-Logs weitergeleitet werden. Weitere Informationen finden Sie in der PDF-Datei mit dem CEF-Integrationsleitfaden für PAN-OS und im Abschnitt "Konfiguration von Palo Alto Networks NGFW zur Ausgabe von CEF-Ereignissen".
Konfigurieren Sie zum Überwachen von LEEF-Logs das Syslog-Serverprofil. Weitere Informationen finden Sie unter Benutzerdefinierte Logweiterleitung im LEEF-Format.
Konfigurieren Sie den Google Security Operations-Forwarder so, dass Logs an Google Security Operations gesendet werden. Weitere Informationen finden Sie unter Forwarder unter Linux installieren und konfigurieren. Das folgende Beispiel zeigt eine Google Security Operations-Forwarder-Konfiguration:
- syslog: common: enabled: true data_type: PAN_FIREWALL batch_n_seconds: 10 batch_n_bytes: 1048576 tcp_address: 0.0.0.0:10518 connection_timeout_sec: 60
Referenz zur Feldzuordnung: Felder in PAN-Firewalllogs zu UDM-Feldern
In diesem Abschnitt wird erläutert, wie der Parser die Firewall-Logfelder von Palo Alto Networks den Google Security Operations UDM-Ereignisfeldern für jeden Logtyp zuordnet.
Der Google Security Operations-Labelschlüssel bezieht sich auf den Namen des Schlüssels, der dem UDM-Feld „Labels.key“ zugeordnet ist. Im Fall des Felds "Virtual System" lautet der Feldname beispielsweise "cs3" im CEF-Format und "VirtualSystem" im LEEF-Format. Das UDM-Feld "about.labels.key" enthält den Wert "vsys" und das UDM-Feld "about.labels.value" den Wert dieses Felds.
Einige der CEF- oder LEEF-Feldnamen haben keinen Namen, der den CSV-Feldnamen entspricht. Wenn Sie in solchen Fällen einen eigenen Variablennamen im benutzerdefinierten Logformat im Syslog-Profil hinzufügen, ordnet der Parser ihn nicht dem UDM-Feld zu.
In den folgenden Abschnitten finden Sie Informationen zur Zuordnung der einzelnen Logtypen:
- System
- Konfiguration
- Bedrohungen/Wilde
- Traffic
- Nutzer-ID
- HIP-Übereinstimmung
- IP-Tag
- Entschlüsselung
- Tunnel
- Authentifizierung
- URL
- Daten
- GlobalProtect
- Korrelation
System
In der folgenden Tabelle sind die Logfelder des Systemlogtyps und ihre entsprechenden UDM-Felder aufgeführt.
CSV-Feld | CEF-Feld | LEEF-Feld | Google Security Operations-Labelschlüssel | UDM-Feld |
---|---|---|---|---|
Empfangszeit (receive_time oder cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp
metadata.event_timestamp (wenn „Generate Time“ fehlt) |
|
Seriennummer (Seriennummer) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
Typ (Typ) | Typ (Kopfzeile) | Katze | metadata.product_event_type ist auf "%{type} – %{subtype}" festgelegt. | |
Bedrohung/Inhaltstyp (Untertyp) | Untertyp (Kopfzeile) | Subtyp | metadata.product_event_type ist auf "%{type} – %{subtype}" festgelegt. | |
Generierte Zeit (time_generated oder cef-formatted-time_generated) | metadata.event_timestamp | |||
Virtuelles System (vsys) | cs3 | VirtualSystem | Vsys | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Ereignis-ID (eventid) | Katze | eventid | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Objekt (Objekt) | fname | Dateiname | Objekt | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Modul (Modul) | flexString2 | Modul | module | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Schweregrad (Schweregrad) | $number-of-severity(header) | Schweregrad | security_result.severity und security_result.severity_details | |
Beschreibung (opak) | msg | msg | metadata.description | |
principal_user_userid (Dieses Feld wird aus dem Feld „Nachtrag“ extrahiert.) | principal.user.userid | |||
principal_ip3 (Dieses Feld wird aus dem Feld „Nachtrag“ extrahiert.) | principal.ip | |||
Grund (dieses Feld wird aus dem Feld für Mitteilungen extrahiert) | security_result.description | |||
server_address (Dieses Feld wird aus dem msg-Feld extrahiert.) | target.ip | |||
server_profile (Dieses Feld wird aus dem Feld für Mitteilungen extrahiert.) | additional.fields.key und zusätzlicher.fields.value.string_value | |||
Sequenznummer (Sequenznummer) | externalId | Sequenz | metadata.product_log_id | |
Aktions-Flags | PanOSActionFlags | ActionFlags | Aktionsflags | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Gerätegruppenhierarchie (dg_hier_level_1 bis dg_hier_level_4) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Gerätegruppenhierarchie (dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Gerätegruppenhierarchie (dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Gerätegruppenhierarchie (dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Name des virtuellen Systems (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
Gerätename (device_name) | DVDChost | DeviceName | intermediary.hostname | |
Zeitstempel für hohe Auflösung (high_res_timestamp) | anOSTimeGeneratedHighResolution | metadata.collected_timestamp
metadata.event_timestamp (wenn „Generate Time“ fehlt) |
Konfiguration
In der folgenden Tabelle sind die Logfelder des Konfigurationsprotokolltyps und ihre entsprechenden UDM-Felder aufgeführt.
CSV-Feld | CEF-Feld | LEEF-Feld | Google Security Operations-Labelschlüssel | UDM-Feld |
---|---|---|---|---|
Empfangszeit (receive_time oder cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp
metadata.event_timestamp (wenn „Generate Time“ fehlt) |
|
Seriennummer (Seriennummer) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
Typ (Typ) | Typ (Kopfzeile) | Katze | metadata.product_event_type | |
Bedrohung/Inhaltstyp (Untertyp) | Untertyp (Kopfzeile) | metadata.product_event_type | ||
Generierte Zeit (time_generated oder cef-formatted-time_generated) | metadata.event_timestamp | |||
Host (Host) | Gewitter | src | principal.ip/hostname | |
Virtuelles System (vsys) | cs3 | VirtualSystem | Vsys | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Befehl (cmd) | act | msg | cmd | metadata.description |
Administrator (Admin) | Duser | usrName | principal.user.userid | |
Kunde (Kunde) | destinationServiceName | client | principal.application | |
Ergebnis (Ergebnis) | Signatur-ID (Header)(Grund) | Ergebnis | security_result.summary | |
Konfigurationspfad (Pfad) | msg | ConfigurationPath | principal.process.command_line | |
Details vor Änderung (before_change_detail) | cs1 | BeforeChangeDetail | before_change_detail | target.resource.attribute.labels.key/value |
Details nach der Änderung (after_change_detail) | cs2 | AfterChangeDetail | after_change_detail | target.resource.attribute.labels.key/value |
Sequenznummer (Sequenznummer) | externalId | Sequenz | metadata.product_log_id | |
Aktions-Flags | PanOSActionFlags | ActionFlags | Aktionsflags | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Gerätegruppenhierarchie (dg_hier_level_1 bis dg_hier_level_4) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Gerätegruppenhierarchie (dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Gerätegruppenhierarchie (dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Gerätegruppenhierarchie (dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Name des virtuellen Systems (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
Gerätename (device_name) | DVDChost | DeviceName | intermediary.hostname | |
Gerätegruppe (dg_id) | PanOSFWDeviceGroup | dg_id | principal.asset.attribute.labels.key/value | |
Audit-Kommentar (Kommentar) | PanOSPolicyAuditComment | comment | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Bedrohung/Wildbrand
In der folgenden Tabelle sind die Logfelder des Logtyps „Bedrohungs-/WildFire“ und die zugehörigen UDM-Felder aufgeführt.
CSV-Feld | CEF-Feld | LEEF-Feld | Google Security Operations-Labelschlüssel | UDM-Feld |
---|---|---|---|---|
Empfangszeit (receive_time oder cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp
metadata.event_timestamp (wenn „Generate Time“ fehlt) |
|
Seriennummer (Seriennummer) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
Typ (Typ) | Typ (Kopfzeile) | Katze | metadata.product_event_type | |
Bedrohung/Inhaltstyp (Untertyp) | cat/subtype (Kopfzeile) | Subtyp | metadata.product_event_type | |
Generierungszeit (time_generated oder cef-formatted-time_generated) | metadata.event_timestamp | |||
Quelladresse (src) | src | src | principal.ip | |
Zieladresse (dst) | dst | dst | target.ip | |
NAT-Quell-IP (natsrc) | sourceTranslatedAddress | srcPostNAT | principal.nat_ip | |
NAT-Ziel-IP (natdst) | destinationTranslatedAddress | dstPostNAT | target.nat_ip | |
Regelname (Regel) | cs1 | RuleName | security_result.rule_name | |
Quellnutzer (srcuser) | Suser | SourceUser / usrName | principal.user.userid | |
Zielnutzer (dstuser) | Duser | DestinationUser | target.user.userid | |
Anwendung (App) | App | Anwendung | target.application | |
Virtuelles System (vsys) | cs3 | VirtualSystem | Vsys | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Quellzone (von) | cs4 | SourceZone | aus | principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Zielzone (nach) | cs5 | DestinationZone | bis | target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Eingangsschnittstelle (inbound_if) | deviceInboundInterface | IngressInterface | inbound_if | principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Ausgehende Schnittstelle (outbound_if) | deviceOutboundInterface | EgressInterface | outbound_if | target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Protokollaktion (Logset) | cs6 | LogForwardingProfile | Loget | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Sitzungs-ID (sessionid) | cn1 | SessionID | network.session_id | |
Wiederholungszähler (Wiederholungen) | cnt | RepeatCount | Repeatcnt | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Quellport (Sport) | Spt | srcPort | principal.port | |
Zielport (dport) | Dpt | dstPort | target.port | |
NAT-Quellport (natsport) | sourceTranslatedPort | srcPostNATPort | principal.nat_port | |
NAT-Zielport (natdport) | destinationTranslatedPort | dstPostNATPort | target.nat_port | |
Markierungen | flexString1 | Flags | flags | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
IP-Protokoll (Proto) | proto | proto | network.ip_protocol | |
Aktion (Aktion) | act | Aktion | security_result.action_details
security_result.action |
|
URL/Dateiname (misc) | Anfrage | Andere Beteiligte | target.file.full_path (wenn der Untertyp 'file', 'virus', 'wildfire-virus' oder 'wildfire' ist, wird das Feld "misc" der Datei target.file.full_path zugeordnet) target.url (wenn der Untertyp „url“ ist, wird das Feld „misc“ „target.url“ und „target.hostname“ zugeordnet) target.hostname (wenn der Untertyp "spyware" oder "vulnerability" ist, wird das Feld "misc" "target.file.full_path" und "target.url" zugeordnet) |
|
Name der Bedrohung/des Inhalts (Bedrohung) | Katze | ThreatID | security_result.threat_name | |
Kategorie (Kategorie) | cs2 | URLCategory | security_result.category_details | |
Schweregrad (Schweregrad) | number-of-severity(header) | Schweregrad | security_result.severity und security_result.severity_details | |
Richtung (Richtung) | flexString2 | Richtung | network.direction | |
Sequenznummer (Sequenznummer) | externalId | Sequenz | metadata.product_log_id | |
Aktions-Flags | PanOSActionFlags | ActionFlags | Aktionsflags | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Quellland (srcloc) | SourceLocation | principal.location.country_or_region | ||
Zielland (dstloc) | DestinationLocation | target.location.country_or_region | ||
Inhaltstyp (contenttype) | ContentType | Inhaltstyp | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
PCAP-ID (pcap_id) | fileId | PCAP_ID | pcap_id | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
File Digest (filedigest) (Datei-Digest) | fileHash | FileDigest | about.file.sha1/md5/sha256 | |
Cloud (Cloud) | filePath | Cloud | Cloud | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
URL-Index (url_idx) | URLIndex | url_idx | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
User-Agent (user_agent) | network.http.user_agent | |||
Dateityp (Dateityp) | fileType | FileType | about.file.mime_type | |
X-Forwarded-For (xff) | principal.ip | |||
Referrer-URL | network.http.referral_url | |||
Absender (Absender) | Suid | Absender | network.email.from | |
Betreff (Betreff) | msg | Betreff | network.email.subject | |
Empfänger (Empfänger) | duid | Empfänger | network.email.to | |
Berichts-ID (reportid) | oldFileId | ReportID | Bericht-ID | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Gerätegruppenhierarchie (dg_hier_level_1 bis dg_hier_level_4) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Gerätegruppenhierarchie (dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Gerätegruppenhierarchie (dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Gerätegruppenhierarchie (dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Name des virtuellen Systems (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
Gerätename (device_name) | DVDChost | DeviceName | intermediary.hostname | |
Quell-VM-UUID (src_uuid) | PanOSSrcUUID | SrcUUID | principal.user.product_object_id | |
UUID der Ziel-VM (dst_uuid) | PanOSDstUUID | DstUUID | target.user.product_object_id | |
HTTP-Methode (http_method) | RequestMethod | network.http.method | ||
Tunnel-ID/IMSI (tunnel_id/imsi) | PanOSTunnelID | TunnelID | tunnel_id/imsi | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Monitor-Tag/IMEI (monitortag/imei) | PanOSMonitorTag | MonitorTag | Monitortag/imei | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
ID der übergeordneten Sitzung (parent_session_id) | PanOSParentSessionID | ParentSessionID | parent_session_id | network.parent_session_id |
Beginn der übergeordneten Sitzung (parent_start_time) | PanOSParentStartTime | ParentStartTime | parent_start_time | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Tunneltyp (Tunnel) | PanOSTunnelType | TunnelType | Tunnel | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Bedrohungskategorie (thr_category) | PanOSThreatCategory | ThreatCategory | thr_category | security_result.detection_fields.key/value |
Inhaltsversion (contentver) | PanOSContentVer | ContentVer | Contentver | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
SCTP-Verknüpfungs-ID (assoc_id) | PanOSAssocID | assoc_id | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Nutzlastprotokoll-ID (PPID) | PanOSPPID | ppid | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
HTTP-Header (http_headers) | PanOSHTTPHeader | http_headers | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
URL-Kategorieliste (url_category_list) | PanOSURLCatList | url_category_list | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Regel-UUID (rule_uuid) | PanOSRuleUUID | security_result.rule_id | ||
HTTP/2-Verbindung (http2_connection) | PanOSHTTP2Con | http2_connection | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Name der dynamischen Nutzergruppe (dynusergroup_name) | PanDynamicUsrgrp | dynusergroup_name | principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
XFF-Adresse (xff_ip) | PanXFFIP | principal.ip | ||
Quellgerätekategorie (src_category) | PanSrcDeviceCat | src_category | principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Quellgeräteprofil (src_profile) | PanSrcDeviceProf | src_profile | principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Quellgerätemodell (src_model) | PanSrcDeviceModel | src_model | principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Anbieter der Quelle (src_vendor) | PanSrcDeviceVendor | src_vendor | principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Betriebssystemfamilie des Quellgeräts (src_osfamily) | PanSrcDeviceOS | src_osfamily | principal.asset.platform_software.platform principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Betriebssystemversion des Quellgeräts (src_osversion) | PanSrcDeviceOSv | principal.asset.software.version | ||
Quell-Hostname (src_host) | PanSrcHostname | principal.hostname | ||
MAC-Quelladresse (src_mac) | PanSrcMac | principal.mac | ||
Zielgerätekategorie (dst_category) | PanDstDeviceCat | dst_category | target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Zielgeräteprofil (dst_profile) | PanDstDeviceProf | dst_profile | target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Modell des Zielgeräts (dst_model) | PanDstDeviceModel | dst_model | target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Zielgeräteanbieter (dst_vendor) | PanDstDeviceVendor | dst_vendor | target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Betriebssystemfamilie des Zielgeräts (dst_osfamily) | PanDstDeviceOS | dst_osfamily | target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Betriebssystemversion des Zielgeräts (dst_osversion) | PanDstDeviceOSv | target.asset.software.version | ||
Ziel-Hostname (dst_host) | PanDstHostname | target.hostname | ||
MAC-Zieladresse (dst_mac) | PanDstMac | target.mac | ||
Container-ID (container_id) | PanContainerName | container_id | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
POD-Namespace (pod_namespace) | PanPODNamespace | pod_namespace | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
POD-Name (pod_name) | PanPODName | pod_name | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Externe dynamische Quellliste (src_edl) | PanSrcEDL | src_edl | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Externe dynamische Zielliste (dst_edl) | PanDstEDL | dst_edl | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Host-ID (hostid) | PanGPHostID | Host-ID | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Seriennummer des Nutzergeräts (Seriennummer) | PanEPSerial | principal.asset.hardware.serial_number | ||
Domain-EDL (domain_edl) | PanDomainEDL | domain_edl | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Dynamische Quelladressgruppe (src_dag) | PanSrcDAG | principal.group.group_display_name | ||
Dynamische Zieladressgruppe (dst_dag) | PanDstDAG | target.group.group_display_name | ||
Partieller Hash (partial_hash) | PanPartialHash | partial_hash | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Zeitstempel der hohen Auflösung (Zeitstempel der höheren Auflösung) | PanTimeHighRes | Zeitstempel mit hoher Auflösung | metadata.collected_timestamp
metadata.event_timestamp (wenn „Generate Time“ fehlt) |
|
Grund (Grund) | PanReasonFilteringAction | reason | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Begründung (Begründung) | PanJustification | Begründung | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Slice-Diensttyp (nssai_sst) | PanASServiceType | nssai_sst | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Anwendungsunterkategorie (subcategory_of_app) | subcategory_of_app | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
||
Anwendungskategorie (category_of_app) | category_of_app | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
||
Anwendungstechnologie (technology_of_app) | technology_of_app | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
||
Anwendungsrisiko (risk_of_app) | risk_of_app | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
||
Anwendungsmerkmal (characteristic_of_app) | characteristic_of_app | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
||
Anwendungscontainer (container_of_app) | container_of_app | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
||
SaaS-Anwendung (is_saas_of_app) | is_saas_of_app | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
||
Anwendung sanctioned_state_of_app (sanctioned_state_of_app) | sanctioned_state_of_app | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Traffic
In der folgenden Tabelle sind die Logfelder des Traffic-Logtyps und ihre entsprechenden UDM-Felder aufgeführt.
CSV-Feld | CEF-Feld | LEEF-Feld | Google Security Operations-Labelschlüssel | UDM-Feld |
---|---|---|---|---|
Empfangszeit (receive_time oder cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp
metadata.event_timestamp (wenn „Generate Time“ fehlt) |
|
Seriennummer (Seriennummer) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
Typ (Typ) | Typ (Kopfzeile) | Katze/Typ | metadata.product_event_type | |
Bedrohung/Inhaltstyp (Untertyp) | Untertyp (Kopfzeile) | Subtyp | metadata.product_event_type | |
Generierte Zeit (time_generated oder cef-formatted-time_generated) | Starten | metadata.event_timestamp | ||
Quelladresse (src) | src | src | principal.ip | |
Zieladresse (dst) | dst | dst | target.ip | |
NAT-Quell-IP (natsrc) | sourceTranslatedAddress | srcPostNAT | principal.nat_ip | |
NAT-Ziel-IP (natdst) | destinationTranslatedAddress | dstPostNAT | target.nat_ip | |
Regelname (Regel) | cs1 | RuleName | security_result.rule_name | |
Quellnutzer (srcuser) | Suser | SourceUser | principal.user.userid | |
Zielnutzer (dstuser) | Duser | DestinationUser | target.user.userid | |
Anwendung (App) | App | Anwendung | target.application | |
Virtuelles System (vsys) | cs3 | VirtualSystem | Vsys | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Quellzone (von) | cs4 | SourceZone | aus | principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Zielzone (nach) | cs5 | DestinationZone | bis | target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Eingangsschnittstelle (inbound_if) | deviceInboundInterface | IngressInterface | inbound_if | principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Ausgehende Schnittstelle (outbound_if) | deviceOutboundInterface | EgressInterface | outbound_if | target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Protokollaktion (Logset) | cs6 | LogForwardingProfile | Loget | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Sitzungs-ID (sessionid) | cn1 | SessionID | network.session_id | |
Wiederholungszähler (Wiederholungen) | cnt | RepeatCount | Repeatcnt | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Quellport (Sport) | Spt | srcPort | principal.port | |
Zielport (dport) | Dpt | dstPort | target.port | |
NAT-Quellport (natsport) | sourceTranslatedPort | srcPostNATPort | principal.nat_port | |
NAT-Zielport (natdport) | destinationTranslatedPort | dstPostNATPort | target.nat_port | |
Markierungen | flexString1 | Flags | flags | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
IP-Protokoll (Proto) | proto | proto | network.ip_protocol | |
Aktion (Aktion) | act | Aktion | security_result.action_details
security_result.action |
|
Byte (Byte) | flexNumber1 | totalBytes | Byte | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Bytes gesendet (bytes_sent) | in | srcBytes | network.sent_bytes | |
Bytes erhalten (bytes_received) | out | dstBytes | network.received_bytes | |
Pakete (Pakete) | cn2 | totalPackets | Pakete | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Startzeit (Start) | StartTime | Starten | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Verstrichene Zeit (verstrichene Zeit) | cn3 | ElapsedTime | verstrichen | network.session_duration.seconds |
Kategorie (Kategorie) | cs2 | URLCategory | security_result.category / security_result.category_details | |
Sequenznummer (Sequenznummer) | externalId | Sequenz | metadata.product_log_id | |
Aktions-Flags | PanOSActionFlags | ActionFlags | Aktionsflags | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Quellland (srcloc) | SourceLocation | principal.location.country_or_region | ||
Zielland (dstloc) | DestinationLocation | target.location.country_or_region | ||
Gesendete Pakete (pkts_sent) | PanOSPacketsSent | srcPackets | pkts_sent | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Empfangene Pakete (pkts_received) | PanOSPacketsReceived | dstPackets | pkts_received | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Grund für das Ende der Sitzung (session_end_reason) | reason | SessionEndReason | security_result.summary | |
Gerätegruppenhierarchie1 (dg_hier_level_1 bis dg_hier_level_4) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Gerätegruppenhierarchie 2 (dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Gerätegruppenhierarchie 3 (dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Gerätegruppenhierarchie (dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Name des virtuellen Systems (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
Gerätename (device_name) | DVDChost | DeviceName | intermediary.hostname | |
Aktionsquelle (action_source) | Katze | ActionSource | action_source | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Quell-VM-UUID (src_uuid) | PanOSSrcUUID | SrcUUID | principal.asset.product_object_id | |
UUID der Ziel-VM (dst_uuid) | PanOSDstUUID | DstUUID | target.asset.product_object_id | |
Tunnel-ID/IMSI (tunnelid/imsi) | PanOSTunnelID | TunnelID | Tunnel-ID/Imsi | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Monitor-Tag/IMEI (monitortag/imei) | PanOSMonitorTag | MonitorTag | Monitortag/imei | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
ID der übergeordneten Sitzung (parent_session_id) | PanOSParentSessionID | ParentSessionID | parent_session_id | network.parent_session_id |
Beginn des übergeordneten Elements (parent_start_time) | PanOSParentStartTime | ParentStartTime | parent_start_time | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Tunneltyp (Tunnel) | PanOSTunnelType | TunnelType | Tunnel | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
SCTP-Verknüpfungs-ID (assoc_id) | PanOSSCTPAssocID | assoc_id | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
SCTP-Blöcke (Blöcke) | PanOSSCTPChunks | Blöcke | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Gesendete SCTP-Blöcke (chunks_sent) | PanOSSCTPChunkSent | chunks_sent | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Empfangene SCTP-Blöcke (chunks_received) | PanOSSCTPChunksRcv | chunks_received | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Regel-UUID (rule_uuid) | PanOSRuleUUID | security_result.rule_id | ||
HTTP/2-Verbindung (http2_connection) | PanOSHTTP2Con | http2_connection | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Anzahl der App-Flächen (link_change_count) | PanLinkChange | link_change_count | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Richtlinien-ID (policy_id) | PanPolicyID | policy_id | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Linkschalter (link_switches) | PanLinkDetail | link_switches | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
SD-WAN-Cluster (sdwan_cluster) | PanSDWANCluster | sdwan_cluster | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
SD-WAN-Gerätetyp (sdwan_device_type) | PanSDWANDevice | sdwan_device_type | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
SD-WAN-Clustertyp (sdwan_cluster_type) | PanSDWANClustype | sdwan_cluster_type | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
SD-WAN-Website (sdwan_site) | PanSDWANSite | sdwan_site | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Name der dynamischen Nutzergruppe (dynusergroup_name) | PanDynamicUsrgrp | dynusergroup_name | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
XFF-Adresse (xff_ip) | PanXFFIP | principal.ip | ||
Quellgerätekategorie (src_category) | PanSrcDeviceCat | src_category | principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Quellgeräteprofil (src_profile) | PanSrcDeviceProf | src_profile | principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Quellgerätemodell (src_model) | PanSrcDeviceModel | src_model | principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Anbieter der Quelle (src_vendor) | PanSrcDeviceVendor | src_vendor | principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Betriebssystemfamilie des Quellgeräts (src_osfamily) | PanSrcDeviceOS | principal.asset.platform_software.platform principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
||
Betriebssystemversion des Quellgeräts (src_osversion) | PanSrcDeviceOSv | principal.asset.software.version | ||
Quell-Hostname (src_host) | PanSrcHostname | principal.hostname | ||
MAC-Quelladresse (src_mac) | PanSrcMac | principal.mac | ||
Zielgerätekategorie (dst_category) | PanDstDeviceCat | dst_category | target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Zielgeräteprofil (dst_profile) | PanDstDeviceProf | dst_profile | target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Modell des Zielgeräts (dst_model) | PanDstDeviceModel | dst_model | target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Zielgeräteanbieter (dst_vendor) | PanDstDeviceVendor | dst_vendor | target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Betriebssystemfamilie des Zielgeräts (dst_osfamily) | PanDstDeviceOS | dst_osfamily | target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Betriebssystemversion des Zielgeräts (dst_osversion) | PanDstDeviceOSv | target.asset.software.version | ||
Ziel-Hostname (dst_host) | PanDstHostname | target.hostname | ||
MAC-Zieladresse (dst_mac) | PanDstMac | target.mac | ||
Container-ID (container_id) | PanContainerName | container_id | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
POD-Namespace (pod_namespace) | PanPODNamespace | pod_namespace | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
POD-Name (pod_name) | PanPODName | pod_name | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Externe dynamische Quellliste (src_edl) | PanSrcEDL | src_edl | principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Externe dynamische Zielliste (dst_edl) | PanDstEDL | dst_edl | target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Host-ID (hostid) | PanGPHostID | Host-ID | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Seriennummer des Nutzergeräts (Seriennummer) | PanEPSerial | principal.asset.hardware.serial_number | ||
Dynamische Quelladressgruppe (src_dag) | PanSrcDAG | principal.group.group_display_name | ||
Dynamische Zieladressgruppe (dst_dag) | PanDstDAG | target.group.group_display_name | ||
Sitzungsinhaber (session_owner) | PanHASessionOwner | session_owner | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Zeitstempel für hohe Auflösung (high_res_timestamp) | PanTimeHighRes | metadata.collected_timestamp
metadata.event_timestamp (wenn „Generate Time“ fehlt) |
||
Slice-Diensttyp (nsdsai_sst) | PanASServiceType | nsdsai_sst | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Ein Slice-Unterscheidungsmerkmal (nsdsai_sd) | PanASServiceDiff | nsdsai_sd | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Anwendungsunterkategorie (subcategory_of_app) | subcategory_of_app | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
||
Anwendungskategorie (category_of_app) | category_of_app | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
||
Anwendungstechnologie (technology_of_app) | technology_of_app | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
||
Anwendungsrisiko (risk_of_app) | security_result.severity | |||
Anwendungsmerkmal (characteristic_of_app) | characteristic_of_app | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
||
Anwendungscontainer (container_of_app) | container_of_app | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
||
SaaS-Anwendung (is_saas_of_app) | is_saas_of_app | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
||
Anwendung sanctioned_state_of_app (sanctioned_state_of_app) | sanctioned_state_of_app | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
||
Anwendungsunterkategorie (subcategory_of_app) | subcategory_of_app1 | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
User-ID
In der folgenden Tabelle sind die Logfelder des Logtyps „user-id“ und die entsprechenden UDM-Felder aufgeführt.
CSV-Feld | CEF-Feld | LEEF-Feld | Google Security Operations-Labelschlüssel | UDM-Feld |
---|---|---|---|---|
Empfangszeit (receive_time oder cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp
metadata.event_timestamp (wenn „Generate Time“ fehlt) |
|
Seriennummer (Seriennummer) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
Typ (Typ) | Typ (Kopfzeile) | Katze | metadata.product_event_type | |
Bedrohung/Inhaltstyp (Untertyp) | Untertyp (Kopfzeile) | Subtyp | metadata.product_event_type | |
Generierte Zeit (time_generated oder cef-formatted-time_generated) | metadata.event_timestamp | |||
Virtuelles System (vsys) | cs3 | VirtualSystem | Vsys | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Quell-IP (IP) | src | src | principal.ip | |
Nutzer (Nutzer) | Duser | usrName | target.user.userid
target.administrative_domain target.user.email_addresses |
|
Name der Datenquelle (Name der Datenquelle) | cs4 | DataSourceName | Name der Datenquelle | principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Ereignis-ID (eventid) | EventID | eventid | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Wiederholungszähler (Wiederholungen) | cnt | RepeatCount | Repeatcnt | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Grenzwert für Zeitüberschreitung (timeout) | cn3 | TimeoutThreshold | Zeitüberschreitung | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Quellport (beginport) | Spt | srcPort | principal.port | |
Zielport (Endport) | Dpt | dstPort | target.port | |
Datenquelle (Datenquelle) | cs5 | DataSource | Datenquelle | principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Typ der Datenquelle (Datenquellentyp) | cs6 | DataSourceType | Datenquellentyp | principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Sequenznummer (Sequenznummer) | externalId | Sequenz | metadata.product_log_id | |
Aktions-Flags | PanOSActionFlags | ActionFlags | Aktionsflags | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Gerätegruppenhierarchie (dg_hier_level_1) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Gerätegruppenhierarchie (dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Gerätegruppenhierarchie (dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Gerätegruppenhierarchie (dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Name des virtuellen Systems (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
Gerätename (device_name) | DVDChost | DeviceName | intermediary.hostname | |
ID des virtuellen Systems (vsys_id) | cn2 | VirtualSystemID | principal.resource.resource_type=VIRTUAL_MACHINE und principal.resource.product_object_id | |
Faktortyp (Faktortyp) | cs1 | FactorType | Faktortyp | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Faktor für Abschlusszeit (Fertigstellungszeit) | end | FactorCompletionTime | Faktorvervollständigungszeit | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Faktor (Faktorn) | cn1 | FactorNumber | Faktorno | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
User-Gruppen-Flags (ugflags) | PanOSUGFlags | Ugflags | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Nutzer nach Quelle (userbysource) | PanOSUserBySource | principal.user.userid
principal.administrative_domain principal.user.email_addresses |
||
Zeitstempel der hohen Auflösung (Zeitstempel der höheren Auflösung) | PanOSTimeGeneratedHighResolution | metadata.collected_timestamp
metadata.event_timestamp (wenn „Generate Time“ fehlt) |
HIP-Übereinstimmung
In der folgenden Tabelle sind die Logfelder des HIP-Übereinstimmungslogtyps und ihre entsprechenden UDM-Felder aufgeführt.
CSV-Feld | CEF-Feld | LEEF-Feld | Google Security Operations-Labelschlüssel | UDM-Feld |
---|---|---|---|---|
Empfangszeit (receive_time oder cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp
metadata.event_timestamp (wenn „Generate Time“ fehlt) |
|
Seriennummer (Seriennummer) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
Typ (Typ) | Typ (Kopfzeile) | Katze | metadata.product_event_type | |
Bedrohung/Inhaltstyp (Untertyp) | Untertyp (Kopfzeile) | Subtyp | ||
Generierte Zeit (time_generated oder cef-formatted-time_generated) | Starten | startTime | metadata.event_timestamp | |
Quellnutzer (srcuser) | Suser | usrName | principal.user.userid | |
Virtuelles System (vsys) | cs3 | VirtualSystem | Vsys | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Computername (Maschinenname) | Gewitter | identHostName | principal.hostname | |
Betriebssystem | cs2 | Betriebssystem | principal.asset.platform_software.platform | |
Quelladresse (src) | src | identsrc | principal.ip | |
HIP (Übereinstimmungsname) | Katze | HIP | Matchname | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Wiederholungszähler (Wiederholungen) | cnt | RepeatCount | Repeatcnt | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
HIP-Typ (Keyword-Option) | Geräteereignisklassen-ID (Header) | HIPType | matchtype | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Sequenznummer (Sequenznummer) | externalId | Sequenz | metadata.product_log_id | |
Aktions-Flags | PanOSActionFlags | ActionFlags | Aktionsflags | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Gerätegruppenhierarchie (dg_hier_level_1) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Gerätegruppenhierarchie (dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Gerätegruppenhierarchie (dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Gerätegruppenhierarchie (dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Name des virtuellen Systems (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
Gerätename (device_name) | DVDChost | DeviceName | intermediary.hostname | |
ID des virtuellen Systems (vsys_id) | cn2 | VirtualSystemID | principal.resource.resource_type=VIRTUAL_MACHINE und principal.resource.product_object_id | |
IPv6-Systemadresse (srcipv6) | C6a2 | srcipv6 | principal.asset.ip | |
Host-ID (hostid) | PanOSHostID | principal.asset.product_object_id | ||
Seriennummer des Nutzergeräts (Seriennummer) | PanOSEndpointSerialNumber | principal.asset.hardware.serial_number | ||
MAC-Adresse des Geräts (Mac) | PanOSEndpointMac | principal.asset.mac | ||
Zeitstempel für hohe Auflösung (high_res_timestamp) | PanOSTimeGeneratedHighResolution | metadata.collected_timestamp
metadata.event_timestamp (wenn „Generate Time“ fehlt) |
IP-Tag
In der folgenden Tabelle sind die Logfelder des IP-Tag-Logtyps und die zugehörigen UDM-Felder aufgeführt.
CSV-Feld | CEF-Feld | LEEF-Feld | Google Security Operations-Labelschlüssel | UDM-Feld |
---|---|---|---|---|
Empfangszeit (receive_time oder cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp
metadata.event_timestamp (wenn „Generate Time“ fehlt) |
|
Seriennummer (Seriennummer) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
Typ (Typ) | Typ (Kopfzeile) | Katze | metadata.product_event_type | |
Bedrohung/Inhaltstyp (Untertyp) | Untertyp (Kopfzeile) | Subtyp | metadata.product_event_type | |
Generierte Zeit (time_generated oder cef-formatted-time_generated) | GenerateTime | metadata.event_timestamp | ||
Virtuelles System (vsys) | cs3 | VirtualSystem | Vsys | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Quell-IP (IP) | src | src | principal.ip | |
Tag-Name (tag_name) | PanOSTagName | TagName | tag_name | principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Ereignis-ID (event_id) | PanOSEventID | EventID | event_id | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Wiederholungszähler (Wiederholungen) | cnt | RepeatCount | Repeatcnt | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Zeitlimit (timeout) | PanOSTimeout | TimeoutThreshold | Zeitüberschreitung | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Name der Datenquelle (Name der Datenquelle) | PanOSDataSourceName | DataSourceName | Name der Datenquelle | principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Typ der Datenquelle (datasource_type) | PanOSDataSourceType | DataSource | datasource_type | principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Untertyp der Datenquelle (datasource_subtype) | PanOSDataSourceSubType | DataSourceType | datasource_subtype | principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Sequenznummer (Sequenznummer) | externalId | Sequenz | metadata.product_log_id | |
Aktions-Flags | PanOSActionFlags | ActionFlags | Aktionsflags | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Gerätegruppenhierarchie (dg_hier_level_1) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Gerätegruppenhierarchie (dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Gerätegruppenhierarchie (dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Gerätegruppenhierarchie (dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Name des virtuellen Systems (vsys_name) | PanOsVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
Gerätename (device_name) | DVDChost | DeviceName | intermediary.hostname | |
ID des virtuellen Systems (vsys_id) | cn2 | VirtualSystemID | principal.resource.resource_type=VIRTUAL_MACHINE und principal.resource.product_object_id | |
Zeitstempel der hohen Auflösung (Zeitstempel der höheren Auflösung) | PanOSTimeGeneratedHighResolution | metadata.collected_timestamp
metadata.event_timestamp (wenn „Generate Time“ fehlt) |
Entschlüsselung
In der folgenden Tabelle sind die Logfelder des Entschlüsselungslogtyps und ihre entsprechenden UDM-Felder aufgeführt.
CSV-Feld | CEF-Feld | LEEF-Feld | Google Security Operations-Labelschlüssel | UDM-Feld |
---|---|---|---|---|
Empfangszeit (receive_time oder cef-formatted-receive_time) | rt | metadata.collected_timestamp
metadata.event_timestamp (wenn „Generate Time“ fehlt) |
||
Seriennummer (Seriennummer) | PanOSDeviceSN | intermediary.asset.hardware.serial_number | ||
Typ (Typ) | Typ (Kopfzeile) | metadata.product_event_type | ||
Bedrohung/Inhaltstyp (Untertyp) | Untertyp (Kopfzeile) | metadata.product_event_type | ||
Konfigurationsversion (config_ver) | PanOSConfigVersion | config_ver | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Generierungszeit (time_generated) | PanOSLogTimeStamp | metadata.event_timestamp | ||
Quelladresse (src) | src | principal.ip | ||
Zieladresse (dst) | dst | target.ip | ||
NAT-Quell-IP (natsrc) | sourceTranslatedAddress | principa.nat_ip | ||
NAT-Ziel-IP (natdst) | destinationTranslatedAddress | target.nat_ip | ||
Regel (Regel) | cs1 | security_result.rule_name | ||
Quellnutzer (srcuser) | Suser | principal.user.userid | ||
Zielnutzer (dstuser) | Duser | target.user.userid | ||
Anwendung (App) | App | target.application | ||
Virtuelles System (vsys) | cs3 | Vsys | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Quellzone (von) | cs4 | aus | principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Zielzone (nach) | cs5 | bis | target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Eingangsschnittstelle (inbound_if) | deviceInboundInterface | inbound_if | principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Ausgehende Schnittstelle (outbound_if) | deviceOutboundInterface | outbound_if | target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Protokollaktion (Logset) | cs6 | Loget | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Protokollierte Zeit (time_received) | PanOSTimeReceivedManagementPlane | - | ||
Sitzungs-ID (sessionid) | cn1 | network.session_id | ||
Wiederholungszähler (Wiederholungen) | PanOSCountOfRepeats/RepeatCount | Repeatcnt | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Quellport (Sport) | Spt | principal.port | ||
Zielport (dport) | Dpt | target.port | ||
NAT-Quellport (natsport) | sourceTranslatedPort | principal.nat_port | ||
NAT-Zielport (natdport) | destinationTranslatedPort | target.nat_port | ||
Markierungen | flexString1 | flags | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
IP-Protokoll (Proto) | proto | network.ip_protocol | ||
Aktion (Aktion) | act | security_result.action_details
security_result.action |
||
Tunnel (Tunnel) | PanOSTunnel | Tunnel | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Quell-VM-UUID (src_uuid) | PanOSSourceUUID | principal.asset.asset_id | ||
UUID der Ziel-VM (dst_uuid) | PanOSDestinationUUID | target.asset.asset_id | ||
UUID für Regel (rule_uuid) | PanOSRuleUUID | security_result.rule_id | ||
Phase für Client-zu-Firewall (hs_stage_c2f) | PanOSClientToFirewall | hs_stage_c2f | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Phase der Firewall-zu-Server-Verbindung (hs_stage_f2s) | PanOSFirewallToServer | hs_stage_f2s | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
TLS-Version (tls_version) | PanOSTLSVersion | network.tls.version | ||
Schlüsselaustauschalgorithmus (tls_keyxchg) | PanOSTLSKeyExchange | tls_keyxchg | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Verschlüsselungsalgorithmus (tls_enc) | PanOSTLSEncryptionAlgorithm | tls_enc | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Hash-Algorithmus (tls_auth) | PanOSTLSAuth | tls_auth | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Richtlinienname (policy_name) | PanOSPolicyName | policy_name | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Elliptische Kurve (ec_curve) | PanOSEllipticCurve | network.tls.curve | ||
Fehlerindex (err_index) | PanOSErrorIndex | err_index | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Root-Status (root_status) | PanOSRootStatus | root_status | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Kettenstatus (chain_status) | PanOSChainStatus | chain_status | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Proxy-Typ (proxy_type) | PanOSProxyType | proxy_type | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Seriennummer des Zertifikats (cert_serial) | PanOSCertificateSerial | network.tls.server.certificate.serial | ||
Fingerabdruck des Zertifikats (Fingerabdruck) | PanOSFingerprint | network.tls.server.certificate.md5/sha1/sha256 | ||
Startdatum des Zertifikats (nicht davor) | PanOSTimeNotBefore | network.tls.server.certificate.not_before | ||
Enddatum des Zertifikats (nicht danach) | PanOSTimeNotAfter | network.tls.server.certificate.not_after | ||
Zertifikatversion (cert_ver) | PanOSCertificateVersion | network.tls.server.certificate.version | ||
Zertifikatsgröße (cert_size) | PanOSCertificateSize | cert_size | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Länge des Common Name (cn_len) | PanOSCommonNameLength | cn_len | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Länge des allgemeinen Namens des Ausstellers (issuer_len) | PanOSIssuerNameLength | issuer_len | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Länge des allgemeinen Root-Namens (rootcn_len) | PanOSRootCNLength | rootcn_len | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
SNI-Länge (sni_len) | PanOSSNILength | sni_len | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Zertifikats-Flags (cert_flags) | PanOSCertificateFlags | cert_flags | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Allgemeiner Antragstellername (cn) | PanOSCommonName | cn | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Allgemeiner Name des Ausstellers (issuer_cn) | PanOSIssuerCommonName | network.tls.server.certificate.issuer | ||
Allgemeiner Root-Name (root_cn) | PanOSRootCommonName | root_cn | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Server Name Indication
(sni) |
network.tls.client.server_name | |||
Fehler (Fehler) | PanOSErrorMessage | Fehler | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Container-ID (container_id) | PanOSContainerID | container_id | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
POD-Namespace (pod_namespace) | PanOSContainerNameSpace | pod_namespace | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
POD-Name (pod_name) | PanOSContainerName | pod_name | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Externe dynamische Quellliste (src_edl) | PanOSSourceEDL | src_edl | principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Externe dynamische Zielliste (dst_edl) | PanOSDestinationEDL | dst_edl | target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Dynamische Quelladressgruppe (src_dag) | PanOSSourceDynamicAddressGroup | principal.group.group_display_name | ||
Dynamische Zieladressgruppe (dst_dag) | PanOSDestinationDynamicAddressGroup | target.group.group_display_name | ||
Zeitstempel für hohe Auflösung (high_res_timestamp) | PanOSTimeGeneratedHighResolution | metadata.collected_timestamp
metadata.event_timestamp (wenn „Generate Time“ fehlt) |
||
Quellgerätekategorie (src_category) | PanOSSourceDeviceCategory | src_category | principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Quellgeräteprofil (src_profile) | PanOSSourceDeviceProfile | src_profile | principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Quellgerätemodell (src_model) | PanOSSourceDeviceModel | src_model | principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Anbieter der Quelle (src_vendor) | PanOSSourceDeviceVendor | src_vendor | principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Betriebssystemfamilie des Quellgeräts (src_osfamily) | PanOSSourceDeviceOSFamily | principal.asset.platform_software.platform principal.labels.key und principal.labels.value |
||
Betriebssystemversion des Quellgeräts (src_osversion) | PanOSSourceDeviceOSVersion | principal.asset.software.version | ||
Quell-Hostname (src_host) | PanOSSourceDeviceHost | principal.hostname | ||
MAC-Quelladresse (src_mac) | PanOSSourceDeviceMac | principal.mac | ||
Zielgerätekategorie (dst_category) | PanOSDestinationDeviceCategory | dst_category | target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Zielgeräteprofil (dst_profile) | PanOSDestinationDeviceProfile | dst_profile | target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Modell des Zielgeräts (dst_model) | PanOSDestinationDeviceModel | dst_model | target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Zielgeräteanbieter (dst_vendor) | PanOSDestinationDeviceVendor | dst_vendor | target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Betriebssystemfamilie des Zielgeräts (dst_osfamily) | PanOSDestinationDeviceOSFamily | dst_osfamily | target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Betriebssystemversion des Zielgeräts (dst_osversion) | PanOSDestinationDeviceOSVersion | target.asset.software.version | ||
Ziel-Hostname (dst_host) | PanOSDestinationDeviceHost | target.hostname | ||
MAC-Zieladresse (dst_mac) | PanOSDestinationDeviceMac | target.mac | ||
Sequenznummer (Sequenznummer) | PanOSLogTypeSeqNo | metadata.product_log_id | ||
Aktions-Flags | PanOSActionFlags | Aktionsflags | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Gerätegruppenhierarchie (dg_hier_level_1) | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Gerätegruppenhierarchie (dg_hier_level_2) | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Gerätegruppenhierarchie (dg_hier_level_3) | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Gerätegruppenhierarchie (dg_hier_level_4) | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Name des virtuellen Systems (vsys_name) | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|||
Gerätename (device_name) | intermediary.hostname | |||
ID des virtuellen Systems (vsys_id) | principal.resource.resource_type=VIRTUAL_MACHINE und principal.resource.product_object_id | |||
Anwendungsunterkategorie (subcategory_of_app) | subcategory_of_app | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
||
Anwendungskategorie (category_of_app) | category_of_app | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
||
Anwendungstechnologie (technology_of_app) | technology_of_app | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
||
Anwendungsrisiko (risk_of_app) | security_result.severity | |||
Anwendungsmerkmal (characteristic_of_app) | characteristic_of_app | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
||
Anwendungscontainer (container_of_app) | container_of_app | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
||
SaaS-Anwendung (is_saas_of_app) | is_saas_of_app | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
||
Anwendung sanctioned_state_of_app (sanctioned_state_of_app) | sanctioned_state_of_app | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Tunnel-
In der folgenden Tabelle sind die Logfelder des Tunnel-Logtyps und die zugehörigen UDM-Felder aufgeführt.
CSV-Feld | CEF-Feld | LEEF-Feld | Google Security Operations-Labelschlüssel | UDM-Feld |
---|---|---|---|---|
Empfangszeit (receive_time oder cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp
metadata.event_timestamp (wenn „Generate Time“ fehlt) |
|
Seriennummer (Seriennummer) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
Typ (Typ) | Typ (Kopfzeile) | Katze | metadata.product_event_type | |
Bedrohung/Inhaltstyp (Untertyp) | Untertyp (Kopfzeile) | Subtyp | metadata.product_event_type | |
Generierte Zeit (time_generated oder cef-formatted-time_generated) | metadata.event_timestamp | |||
Quelladresse (src) | src | src | principal.ip | |
Zieladresse (dst) | dst | dst | target.ip | |
NAT-Quell-IP (natsrc) | sourceTranslatedAddress | srcPostNAT | principal.nat_ip | |
NAT-Ziel-IP (natdst) | destinationTranslatedAddress | dstPostNAT | target.nat_ip | |
Regelname (Regel) | cs1 | RuleName | security_result.rule_name | |
Quellnutzer (srcuser) | Suser | SourceUser / usrName | principal.user.userid | |
Zielnutzer (dstuser) | Duser | DestinationUser | target.user.userid | |
Anwendung (App) | App | Anwendung | network.application_protocol | |
Virtuelles System (vsys) | cs3 | VirtualSystem | Vsys | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Quellzone (von) | cs4 | SourceZone | aus | principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Zielzone (nach) | cs5 | DestinationZone | bis | target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Eingangsschnittstelle (inbound_if) | deviceInboundInterface | IngressInterface | inbound_if | principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Ausgehende Schnittstelle (outbound_if) | deviceOutboundInterface | EgressInterface | outbound_if | target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Protokollaktion (Logset) | cs6 | LogForwardingProfile | Loget | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Sitzungs-ID (sessionid) | cn1 | SessionID | network.session_id | |
Wiederholungszähler (Wiederholungen) | cnt | RepeatCount | Repeatcnt | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Quellport (Sport) | Spt | srcPort | principal.port | |
Zielport (dport) | Dpt | dstPort | target.port | |
NAT-Quellport (natsport) | sourceTranslatedPort | srcPostNATPort | principal.nat_port | |
NAT-Zielport (natdport) | destinationTranslatedPort | dstPostNATPort | target.nat_port | |
Markierungen | flexString1 | Flags | flags | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
IP-Protokoll (Proto) | proto | proto | network.ip_protocol | |
Aktion (Aktion) | act | Aktion | security_result.action_details
security_result.action |
|
Schweregrad (Schweregrad) | security_result.severity und security_result.severity_details | |||
Sequenznummer (Sequenznummer) | externalId | Sequenz | metadata.product_log_id | |
Aktions-Flags | PanOSActionFlags | ActionFlags | Aktionsflags | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Quellort (srcloc) | principal.location.country_or_region | |||
Zielort (dstloc) | target.location.country_or_region | |||
Gerätegruppenhierarchie (dg_hier_level_1) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Gerätegruppenhierarchie (dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Gerätegruppenhierarchie (dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Gerätegruppenhierarchie (dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Name des virtuellen Systems (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
Gerätename (device_name) | DVDChost | DeviceName | intermediary.hostname | |
Tunnel-ID (Tunnel-ID) | PanOSTunnelID | TunnelID | Tunnel-ID | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Überwachungs-Tag (monitortag) | PanOSMonitorTag | MonitorTag | Monitortag | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
ID der übergeordneten Sitzung (parent_session_id) | PanOSParentSessionID | ParentSessionID | parent_session_id | network.parent_session_id |
Beginn des übergeordneten Elements (parent_start_time) | PanOSParentStartTime | ParentStartTime | parent_start_time | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Tunneltyp (Tunnel) | cs2 | TunnelType | Tunnel | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Byte (Byte) | flexNumber1 | totalBytes | Byte | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Bytes gesendet (bytes_sent) | in | srcBytes | network.sent_bytes | |
Bytes erhalten (bytes_received) | out | dstBytes | network.received_bytes | |
Pakete (Pakete) | cn2 | totalPackets | Pakete | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Gesendete Pakete (pkts_sent) | PanOSPacketsSent | srcPackets | pkts_sent | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Empfangene Pakete (pkts_received) | PanOSPacketsReceived | dstPackets | pkts_received | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Maximale Kapselung (max_encap) | flexNumber2 | MaximumEncapsulation | max_encap | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Unbekanntes Protokoll (unknown_proto) | cfp1 | UnknownProtocol | unknown_proto | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Strikte Überprüfung (strict_check) | cfp2 | StrictChecking | strict_check | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Tunnelfragment (tunnel_fragment) | PanOSTunnelFragment | TunnelFragment | tunnel_fragment | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Erstellte Sitzungen (sessions_created) | cfp3 | SessionsCreated | sessions_created | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Geschlossene Sitzungen (sessions_closed) | cfp4 | SessionsClosed | sessions_closed | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Grund für das Ende der Sitzung (session_end_reason) | reason | SessionEndReason | security_result.summary | |
Aktionsquelle (action_source) | Katze | ActionSource | action_source | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Startzeit (Start) | startTime | Starten | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Verstrichene Zeit (verstrichene Zeit) | cn3 | ElapsedTime | verstrichen | network.session_duration.seconds |
Tunnelinspektionsregel (tunnel_insp_rule) | PanOSTunneInspectionRule | security_result.rule_name = "Tunnel Inspection Rule: %{PanOSTunnelInspectionRule}" | ||
IP-Adresse des Remote-Nutzers (remote_user_ip) | PanOSRmtUserIP | target.ip | ||
ID des Remote-Nutzers (remote_user_id) | PanOSRmtUserID | remote_user_id | target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Sicherheitsregel-UUID (rule_uuid) | PanOSRuleUUID | security_result.rule_id | ||
PCAP-ID (pcap_id) | PanOSPcapID | pcap_id | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Name der dynamischen Nutzergruppe (dynusergroup_name) | PanDynamicUsrgrp | principal.group.group_display_name | ||
Externe dynamische Quellliste (src_edl) | PanOSSourceEDL | src_edl | principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Externe dynamische Zielliste (dst_edl) | PanOSDestinationEDL | dst_edl | target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Zeitstempel der hohen Auflösung (Zeitstempel der höheren Auflösung) | PanOSTimeGeneratedHighResolution | metadata.collected_timestamp
metadata.event_timestamp (wenn „Generate Time“ fehlt) |
||
Ein Slice-Unterscheidungsmerkmal (nssai_sd) | nssai_sd | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
||
Slice-Diensttyp (nssai_sd) | nssai_sd1 | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
||
PDU-Sitzungs-ID (pdu_session_id) | pdu_session_id | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
||
Anwendungsunterkategorie (subcategory_of_app) | subcategory_of_app | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
||
Anwendungskategorie (category_of_app) | category_of_app | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
||
Anwendungstechnologie (technology_of_app) | technology_of_app | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
||
Anwendungsrisiko (risk_of_app) | risk_of_app | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
||
Anwendungsmerkmal (characteristic_of_app) | characteristic_of_app | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
||
Anwendungscontainer (container_of_app) | container_of_app | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
||
SaaS-Anwendung (is_saas_of_app) | is_saas_of_app | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
||
Anwendung sanctioned_state_of_app (sanctioned_state_of_app) | sanctioned_state_of_app | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Authentifizierung
In der folgenden Tabelle sind die Logfelder des Authentifizierungslogtyps und ihre entsprechenden UDM-Felder aufgeführt.
CSV-Feld | CEF-Feld | LEEF-Feld | Google Security Operations-Labelschlüssel | UDM-Feld |
---|---|---|---|---|
Empfangszeit (receive_time oder cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp
metadata.event_timestamp (wenn „Generate Time“ fehlt) |
|
Seriennummer (Seriennummer) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
Typ (Typ) | Typ (Kopfzeile) | Katze | metadata.product_event_type | |
Bedrohung/Inhaltstyp (Untertyp) | Untertyp (Kopfzeile) | Subtyp | metadata.product_event_type | |
Generierte Zeit (time_generated oder cef-formatted-time_generated) | metadata.event_timestamp | |||
Virtuelles System (vsys) | cs3 | VirtualSystem | Vsys | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Quell-IP (IP) | src | src | principal.ip | |
Nutzer (Nutzer) | Duser | usrName | target.user.userid | |
Nutzer normalisieren (normalize_user) | cs2 | NormalizeUser | target.user.user_display_name | |
Objekt (Objekt) | fname | ObjectName | Objekt | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Authentifizierungsrichtlinie (authpolicy) | cs4 | AuthPolicy | Authentifizierungsrichtlinie | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Wiederholungszähler (Wiederholungen) | cnt | RepeatCount | Repeatcnt | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Authentifizierungs-ID (authid) | cn2 | AuthenticationID | Authentifizierungs-ID | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Anbieter (Anbieter) | flexString2 | Lieferant | vendor | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Protokollaktion (Logset) | cs6 | LogForwardingProfile | Loget | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Serverprofil (Serverprofil) | cs1 | ServerProfile | Serverprofil | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Beschreibung (absteigend) | PanOSDesc | AdditionalAuthInfo | security_result.description | |
Clienttyp (clienttype) | cs5 | ClientType | Clienttyp | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Ereignistyp (Ereignis) | msg | msg | extensions.auth.auth_details | |
Faktor (Faktorn) | cn1 | FactorNumber | Faktorno | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Sequenznummer (Sequenznummer) | externalId | Sequenz | metadata.product_log_id | |
Aktions-Flags | PanOSActionFlags | ActionFlags | Aktionsflags | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Gerätegruppenhierarchie (dg_hier_level_1) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Gerätegruppenhierarchie (dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Gerätegruppenhierarchie (dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Gerätegruppenhierarchie (dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Name des virtuellen Systems (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
Gerätename (device_name) | DVDChost | DeviceName | intermediary.hostname | |
ID des virtuellen Systems (vsys_id) | principal.resource.resource_type=VIRTUAL_MACHINE und principal.resource.product_object_id | |||
Authentifizierungsprotokoll (authproto) | Authproto | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
||
UUID für Regel (rule_uuid) | PanOSRule-UUID/Regel-UUID | security_result.rule_id | ||
Zeitstempel für hohe Auflösung (high_res _timestamp) | PanOSTimeGeneratedHighResolution | metadata.collected_timestamp
metadata.event_timestamp (wenn „Generate Time“ fehlt) |
||
Quellgerätekategorie (src_category) | PanOSSourceDeviceCategory | src_category | principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Quellgeräteprofil (src_profile) | PanOSSourceDeviceProfile | src_profile | principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Quellgerätemodell (src_model) | PanOSSourceDeviceModel | src_model | principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Anbieter der Quelle (src_vendor) | PanOSSourceDeviceVendor | src_vendor | principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Betriebssystemfamilie des Quellgeräts (src_osfamily) | PanOSSourceDeviceOSFamily | principal.asset.platform_software.platform principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
||
Betriebssystemversion des Quellgeräts (src_osversion) | PanOSSourceDeviceOSVersion | principal.asset.software.version | ||
Quell-Hostname (src_host) | PanOSSourceHostname | principal.hostname | ||
MAC-Quelladresse (src_mac) | PanOSSourceMac | principal.asset.mac | ||
Region (Region) | PanOSTrafficOriginRegion | principal.location.country_or_region | ||
User-Agent (user_agent) | PanOSHTTPUserAgent | network.http.user_agent | ||
Sitzungs-ID(Sitzungs-ID) | PanOSTrafficSessionID | network.session_id |
URL
In der folgenden Tabelle sind die Logfelder des URL-Logtyps und die zugehörigen UDM-Felder aufgeführt.
CSV-Feld | CEF-Feld | LEEF-Feld | Google Security Operations-Labelschlüssel | UDM-Feld |
---|---|---|---|---|
Empfangszeit (cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp
metadata.event_timestamp (wenn „Generate Time“ fehlt) |
|
Seriennummer (Seriennummer) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
Typ (Typ) | Typ (Kopfzeile) | Katze | metadata.product_event_type | |
Bedrohung/Inhaltstyp (Untertyp) | Untertyp (Kopfzeile) | Subtyp | metadata.product_event_type | |
Zeit generieren | metadata.event_timestamp | |||
Quelladresse (src) | src | src | principal.ip | |
Zieladresse (dst) | dst | dst | target.ip | |
NAT-Quell-IP (natsrc) | sourceTranslatedAddress | srcPostNAT | principal.nat_ip | |
NAT-Ziel-IP (natdst) | destinationTranslatedAddress | dstPostNAT | target.nat_ip | |
Regel (Regel) | cs1 | RuleName | security_result.rule_name | |
Quellnutzer (srcuser) | Suser | SourceUser | principal.user.userid | |
Zielnutzer (dstuser) | Duser | DestinationUser | target.user.userid | |
Anwendung (App) | App | Anwendung | network.application_protocol | |
Virtuelles System (vsys) | cs3 | VirtualSystem | Vsys | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Quellzone (von) | cs4 | SourceZone | aus | principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Zielzone (nach) | cs5 | DestinationZone | bis | target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Eingangsschnittstelle (inbound_if) | deviceInboundInterface | IngressInterface | inbound_if | principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Ausgehende Schnittstelle (outbound_if) | deviceOutboundInterface | EgressInterface | outbound_if | target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Protokollaktion (Logset) | cs6 | LogForwardingProfile | Loget | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Protokollierte Zeit | time_logged | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
||
Sitzungs-ID (sessionid) | cn1 | SessionID | network.session_id | |
Wiederholungszähler (Wiederholungen) | cnt | RepeatCount | Repeatcnt | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Quellport (Sport) | Spt | srcPort | principal.port | |
Zielport (dport) | Dpt | dstPort | target.port | |
NAT-Quellport (natsport) | sourceTranslatedPort | srcPostNATPort | principal.nat_port | |
NAT-Zielport (natdport) | destinationTranslatedPort | dstPostNATPort | target.nat_port | |
Markierungen | flexString1 | Flags | flags | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
IP-Protokoll (Proto) | proto | proto | network.ip_protocol | |
Aktion (Aktion) | act | Aktion | security_result.action_details
security_result.action |
|
URL/Dateiname (misc) | Andere Beteiligte | target.file.full_path
target.url |
||
Name der Bedrohung/des Inhalts (Bedrohung) | Katze | ThreatID | security_result.threat_id | |
Kategorie (Kategorie) | cs2 | URLCategory | category | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Schweregrad (Schweregrad) | number-of-severity (Header) | Schweregrad | security_result.severity
security_result.severity_details |
|
Richtung (Richtung) | flexString2 | Richtung | network.direction | |
Sequenznummer (Sequenznummer) | externalId | Sequenz | metadata.product_log_id | |
Aktions-Flags | PanOSActionFlags | ActionFlags | Aktionsflags | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Quellland (srcloc) | SourceLocation | principal.location.country_or_region | ||
Zielland (dstloc) | DestinationLocation | target.location.country_or_region | ||
contenttype (contenttype) (Inhaltstyp) | requestContext | ContentType | Inhaltstyp | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
pcap_id (pcap_id) | fileId | PCAP_ID | pcap_id | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
filedigest (filedigest) | FileDigest | about.file.sha1/md5/sha256 | ||
Cloud (Cloud) | Cloud | Cloud | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
url_idx (url_idx) | URLIndex | url_idx | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
User-Agent (User_Agent) | requestClientApplication | UserAgent | network.http.user_agent | |
filetype (filetype) (Dateityp) | about.file.mime_type | |||
xff (xff) | PanOSXForwarderfor | identSrc | XFF | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Verweis-URL (Referrer) | PanOSReferer | Verwiesen von: | network.http.referral_url | |
Absender (Absender) | network.email.from | |||
Betreff (Betreff) | Betreff | network.email.subject | ||
Empfänger (Empfänger) | network.email.to | |||
reportid (reportid) | Bericht-ID | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
||
DG Hierarchieebene 1 (dg_hier_level_1) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
DG Hierarchieebene 2 (dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
DG Hierarchieebene 3 (dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
DG Hierarchieebene 4 (dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Name des virtuellen Systems (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
Gerätename (device_name) | DVDChost | DeviceName | intermediary.hostname | |
file_url (Datei-URL) | about.url | |||
Quell-VM-UUID (src_uuid) | SrcUUID | principal.asset.asset_id | ||
UUID der Ziel-VM (dst_uuid) | DstUUID | target.asset.asset_id | ||
http_method (http_method) | requestMethod | RequestMethod | network.http.method | |
Tunnel-ID/IMSI (Tunnel-ID) | PanOSTunnelID | TunnelID | Tunnel-ID | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Monitor-Tag/IMEI (monitortag) | PanOSMonitorTag | MonitorTag | Monitortag | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
ID der übergeordneten Sitzung (parent_session_id) | PanOSParentSessionID | ParentSessionID | parent_session_id | network.parent_session_id |
Beginn der übergeordneten Sitzung (parent_start_time) | PanOSParentStartTime | ParentStartTime | parent_start_time | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Tunnel (Tunnel) | PanOSTunnelType | TunnelType | Tunnel | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
thr_category (thr_category) | PanOSThreatCategory | ThreatCategory | thr_category | security_result.detection_fields.key/value |
Contentver (contentver) | PanOSContentVer | ContentVer | Contentver | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
sig_flags (sig_flags) | sig_flags | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
||
SCTP-Verknüpfungs-ID (assoc_id) | PanOSAssocID | assoc_id | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Nutzlastprotokoll-ID (PPID) | PanOSPPID | ppid | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
http_headers (http_headers) | PanOSHTTPHeader | http_headers | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
URL-Kategorieliste (url_category_list) | PanOSURLCatList | url_category_list | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
UUID für Regel (rule_uuid) | PanOSRuleUUID | rule_uuid | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
HTTP/2-Verbindung (http2_connection) | PanOSHTTP2Con | http2_connection | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
dynusergroup_name (dynusergroup_name) | PanDynamicUsrgrp | dynusergroup_name | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
XFF-Adresse (xff_ip) | PanXFFIP | principal.ip | ||
Quellgerätekategorie (src_category) | PanSrcDeviceCat | src_category | principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Quellgeräteprofil (src_profile) | PanSrcDeviceProf | src_profile | principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Quellgerätemodell (src_model) | PanSrcDeviceModel | src_model | principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Anbieter der Quelle (src_vendor) | PanSrcDeviceVendor | src_vendor | principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Betriebssystemfamilie des Quellgeräts (src_osfamily) | PanSrcDeviceOS | principal.asset.platform_software.platform principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
||
Betriebssystemversion des Quellgeräts (src_osversion) | PanSrcDeviceOSv | principal.asset.software.version | ||
Quell-Hostname (src_host) | PanSrcHostname | src_host | principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Mac-Quelladresse (src_mac) | PanSrcMac | principal.mac | ||
Zielgerätekategorie (dst_category) | PanDstDeviceCat | dst_category | target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Zielgeräteprofil (dst_profile) | PanDstDeviceProf | dst_profile | target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Modell des Zielgeräts (dst_model) | PanDstDeviceModel | dst_model | target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Zielgeräteanbieter (dst_vendor) | PanDstDeviceVendor | dst_vendor | target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Betriebssystemfamilie des Zielgeräts (dst_osfamily) | PanDstDeviceOS | target.asset.platform_software.platform
target.labels.key und target.labels.value |
||
Betriebssystemversion des Zielgeräts (dst_osversion) | PanDstDeviceOSv | target.asset.software.version | ||
Ziel-Hostname (dst_host) | PanPODNamespace | target.hostname | ||
Mac-Zieladresse (dst_mac) | PanDstMac | target.mac | ||
Container-ID (container_id) | PanContainerName | container_id | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
POD-Namespace (pod_namespace) | PanPODNamespace | pod_namespace | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
POD-Name (pod_name) | PanPODName | pod_name | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Externe dynamische Quellliste (src_edl) | PanSrcEDL | src_edl | principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Externe dynamische Zielliste (dst_edl) | PanDstEDL | dst_edl | target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Host-ID (hostid) | PanGPHostID | Host-ID | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Seriennummer (Seriennummer) | PanEPSerial | principal.asset.hardware.serial_number | ||
domain_edl (domain_edl) | PanDomainEDL | domain_edl | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Dynamische Quelladressgruppe (src_dag) | PanSrcDAG | principal.group.group_display_name | ||
Dynamische Zieladressgruppe (dst_dag) | PanDstDAG | target.group.group_display_name | ||
partial_hash (partial_hash) | PanPartialHash | partial_hash | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Zeitstempel mit hoher Auflösung (high_res_timestamp) | PanTimeHighRes | metadata.collected_timestamp
metadata.event_timestamp (wenn „Generate Time“ fehlt) |
||
Grund (Grund) | PanReasonFilteringAction | reason | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Begründung (Begründung) | PanJustification | Begründung | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
nssai_sst (nssai_sst) | PanASServiceType | nssai_sst | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Unterkategorie der App (subcategory_of_app) | subcategory_of_app | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
||
App-Kategorie (category_of_app) | category_of_app | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
||
Technologie der App (technology_of_app) | technology_of_app | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
||
Risiko der App (risk_of_app) | risk_of_app | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
||
Merkmal der App (characteristic_of_app) | characteristic_of_app | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
||
Container der Anwendung (container_of_app) | container_of_app | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
||
Tunneled App (tunneled_app) | tunneled_app | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
||
SaaS der Anwendung (is_saas_of_app) | is_saas_of_app | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
||
Genehmigter Status der App (sanctioned_state_of_app) | sanctioned_state_of_app | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Daten
In der folgenden Tabelle sind die Logfelder des Datenlogtyps und ihre entsprechenden UDM-Felder aufgeführt.
CSV-Feld | CEF-Feld | LEEF-Feld | Google Security Operations-Labelschlüssel | UDM-Feld |
---|---|---|---|---|
Empfangszeit (cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp
metadata.event_timestamp (wenn „Generate Time“ fehlt) |
|
Seriennummer (Seriennummer) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
Typ (Typ) | Typ (Kopfzeile) | Katze | metadata.product_event_type | |
Bedrohung/Inhaltstyp (Untertyp) | Untertyp (Kopfzeile) | Subtyp | metadata.product_event_type | |
Zeit generieren | metadata.event_timestamp | |||
Quelladresse (src) | src | src | principal.ip | |
Zieladresse (dst) | dst | dst | target.ip | |
NAT-Quell-IP (natsrc) | sourceTranslatedAddress | srcPostNAT | principal.nat_ip | |
NAT-Ziel-IP (natdst) | destinationTranslatedAddress | dstPostNAT | target.nat_ip | |
Regel (Regel) | cs1 | RuleName | security_result.rule_name | |
Quellnutzer (srcuser) | Suser | SourceUser | principal.user.userid | |
Zielnutzer (dstuser) | Duser | DestinationUser | target.user.userid | |
Anwendung (App) | App | Anwendung | network.application_protocol | |
Virtuelles System (vsys) | cs3 | VirtualSystem | Vsys | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Quellzone (von) | cs4 | SourceZone | aus | principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Zielzone (nach) | cs5 | DestinationZone | bis | target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Eingangsschnittstelle (inbound_if) | deviceInboundInterface | IngressInterface | inbound_if | principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Ausgehende Schnittstelle (outbound_if) | deviceOutboundInterface | EgressInterface | outbound_if | target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Protokollaktion (Logset) | cs6 | LogForwardingProfile | Loget | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Protokollierte Zeit | time_logged | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
||
Sitzungs-ID (sessionid) | cn1 | SessionID | network.session_id | |
Wiederholungszähler (Wiederholungen) | cnt | RepeatCount | Repeatcnt | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Quellport (Sport) | Spt | srcPort | principal.port | |
Zielport (dport) | Dpt | dstPort | target.port | |
NAT-Quellport (natsport) | sourceTranslatedPort | srcPostNATPort | principal.nat_port | |
NAT-Zielport (natdport) | destinationTranslatedPort | dstPostNATPort | target.nat_port | |
Markierungen | flexString1 | Flags | flags | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
IP-Protokoll (Proto) | proto | proto | network.ip_protocol | |
Aktion (Aktion) | act | Aktion | security_result.action_details
security_result.action |
|
URL/Dateiname (misc) | Andere Beteiligte | target.file.full_path
target.url |
||
Name der Bedrohung/des Inhalts (Bedrohung) | Katze | ThreatID | security_result.threat_id | |
Kategorie (Kategorie) | cs2 | URLCategory | category | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Schweregrad (Schweregrad) | number-of-severity (Header) | Schweregrad | security_result.severity
security_result.severity_details |
|
Richtung (Richtung) | flexString2 | Richtung | network.direction | |
Sequenznummer (Sequenznummer) | externalId | Sequenz | metadata.product_log_id | |
Aktions-Flags | PanOSActionFlags | ActionFlags | Aktionsflags | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Quellland (srcloc) | SourceLocation | principal.location.country_or_region | ||
Zielland (dstloc) | DestinationLocation | target.location.country_or_region | ||
contenttype (contenttype) (Inhaltstyp) | ContentType | Inhaltstyp | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
pcap_id (pcap_id) | fileId | PCAP_ID | pcap_id | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
filedigest (filedigest) | FileDigest | about.file.sha1/md5/sha256 | ||
Cloud (Cloud) | Cloud | Cloud | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
url_idx (url_idx) | URLIndex | url_idx | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
User-Agent (User_Agent) | network.http.user_agent | |||
filetype (filetype) (Dateityp) | about.file.mime_type | |||
xff (xff) | XFF | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
||
Verweis-URL (Referrer) | network.http.referral_url | |||
Absender (Absender) | network.email.from | |||
Betreff (Betreff) | Betreff | network.email.subject | ||
Empfänger (Empfänger) | network.email.to | |||
reportid (reportid) | Bericht-ID | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
||
DG Hierarchieebene 1 (dg_hier_level_1) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
DG Hierarchieebene 2 (dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
DG Hierarchieebene 3 (dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
DG Hierarchieebene 4 (dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Name des virtuellen Systems (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
Gerätename (device_name) | DVDChost | DeviceName | intermediary.hostname | |
file_url (Datei-URL) | about.url | |||
Quell-VM-UUID (src_uuid) | SrcUUID | principal.asset.asset_id | ||
UUID der Ziel-VM (dst_uuid) | DstUUID | target.asset.asset_id | ||
http_method (http_method) | RequestMethod | network.http.method | ||
Tunnel-ID/IMSI (Tunnel-ID) | PanOSTunnelID | TunnelID | Tunnel-ID | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Monitor-Tag/IMEI (monitortag) | PanOSMonitorTag | MonitorTag | Monitortag | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
ID der übergeordneten Sitzung (parent_session_id) | PanOSParentSessionID | ParentSessionID | parent_session_id | network.parent_session_id |
Beginn der übergeordneten Sitzung (parent_start_time) | PanOSParentStartTime | ParentStartTime | parent_start_time | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
Tunnel (Tunnel) | PanOSTunnelType | TunnelType | Tunnel | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
thr_category (thr_category) | PanOSThreatCategory | ThreatCategory | thr_category | security_result.detection_fields.key/value |
Contentver (contentver) | PanOSContentVer | ContentVer | Contentver | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
sig_flags (sig_flags) | sig_flags | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
||
SCTP-Verknüpfungs-ID (assoc_id) | PanOSAssocID | assoc_id | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Nutzlastprotokoll-ID (PPID) | PanOSPPID | ppid | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
http_headers (http_headers) | PanOSHTTPHeader | http_headers | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
URL-Kategorieliste (url_category_list) | url_category_list | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
||
UUID für Regel (rule_uuid) | PanOSRuleUUID | rule_uuid | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
HTTP/2-Verbindung (http2_connection) | http2_connection | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
||
dynusergroup_name (dynusergroup_name) | dynusergroup_name | principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
||
XFF-Adresse (xff_ip) | principal.ip | |||
Quellgerätekategorie (src_category) | src_category | principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
||
Quellgeräteprofil (src_profile) | src_profile | principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
||
Quellgerätemodell (src_model) | src_model | principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
||
Anbieter der Quelle (src_vendor) | src_vendor | principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
||
Betriebssystemfamilie des Quellgeräts (src_osfamily) | principal.asset.platform_software.platform principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|||
Betriebssystemversion des Quellgeräts (src_osversion) | principal.asset.software.version | |||
Quell-Hostname (src_host) | src_host | principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
||
Mac-Quelladresse (src_mac) | principal.mac | |||
Zielgerätekategorie (dst_category) | dst_category | target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
||
Zielgeräteprofil (dst_profile) | dst_profile | target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
||
Modell des Zielgeräts (dst_model) | dst_model | target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
||
Zielgeräteanbieter (dst_vendor) | dst_vendor | target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
||
Betriebssystemfamilie des Zielgeräts (dst_osfamily) | target.asset.platform_software.platform
target.labels.key und target.labels.value |
|||
Betriebssystemversion des Zielgeräts (dst_osversion) | target.asset.software.version | |||
Ziel-Hostname (dst_host) | target.hostname | |||
Mac-Zieladresse (dst_mac) | target.mac | |||
Container-ID (container_id) | container_id | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
||
POD-Namespace (pod_namespace) | pod_namespace | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
||
POD-Name (pod_name) | pod_name | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
||
Externe dynamische Quellliste (src_edl) | src_edl | principal.labels.key und principal.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
||
Externe dynamische Zielliste (dst_edl) | dst_edl | target.labels.key und target.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
||
Host-ID (hostid) | Host-ID | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
||
Seriennummer (Seriennummer) | principal.asset.hardware.serial_number | |||
domain_edl (domain_edl) | domain_edl | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
||
Dynamische Quelladressgruppe (src_dag) | principal.group.group_display_name | |||
Dynamische Zieladressgruppe (dst_dag) | target.group.group_display_name | |||
partial_hash (partial_hash) | partial_hash | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
||
Zeitstempel mit hoher Auflösung (high_res_timestamp) | metadata.collected_timestamp
metadata.event_timestamp (wenn „Generate Time“ fehlt) |
|||
Grund (Grund) | reason | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
||
Begründung (Begründung) | Begründung | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
||
nssai_sst (nssai_sst) | nssai_sst | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
||
Unterkategorie der App (subcategory_of_app) | subcategory_of_app | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
||
App-Kategorie (category_of_app) | category_of_app | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
||
Technologie der App (technology_of_app) | technology_of_app | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
||
Risiko der App (risk_of_app) | risk_of_app | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
||
Merkmal der App (characteristic_of_app) | characteristic_of_app | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
||
Container der Anwendung (container_of_app) | container_of_app | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
||
Tunneled App (tunneled_app) | tunneled_app | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
||
SaaS der Anwendung (is_saas_of_app) | is_saas_of_app | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
||
Genehmigter Status der App (sanctioned_state_of_app) | sanctioned_state_of_app | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
GlobalProtect
In der folgenden Tabelle sind die Logfelder des GlobalProtect-Logtyps und die zugehörigen UDM-Felder aufgeführt.
CSV-Feld | CEF-Feld | LEEF-Feld | Google Security Operations-Labelschlüssel | UDM-Feld |
---|---|---|---|---|
Empfangszeit (receive_time) | rt | received_time | metadata.event_timestamp | |
Seriennummer (Seriennummer) | PanOSDeviceSN | intermediary_asset_hardware_serial_number | intermediary.asset.hardware.serial_number | |
Typ (Typ) | Typ (Kopfzeile) | metadata.product_event_type | ||
Bedrohung/Inhaltstyp (Untertyp) | Untertyp (Kopfzeile) | Subtyp | metadata.product_event_type | |
Generierungszeit (time_generated) | PanOSLogTimeStamp | generated_timestamp | metadata.event_timestamp | |
Virtuelles System (vsys) | PanOSVirtualSystem | Vsys | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Ereignis-ID (eventid) | PanOSEventID | event_id | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Phase (stage) | PanOSStage | Phase | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Authentifizierungsmethode (auth_method) | PanOSAuthMethod | extension_auth_auth_details | extensions.auth.auth_details | |
Tunneltyp (tunnel_type) | PanOSTunnelType | Tunnel | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Quellnutzer (srcuser) | PanOSSourceUserName | src_user | principal.user.email_address
principal.user.userid principal.administrative_domain |
|
Quellregion (srcregion) | PanOSSourceRegion | src_region | principal.location.country_or_region | |
Computername (Maschinenname) | PanOSEndpointDeviceName | machine_name | principal.hostname | |
Öffentliche IP-Adresse (public_ip) | PanOSPublicIPv4 | principal.nat_ip | ||
Öffentliches IPv6 (public_ipv6) | PanOSPublicIPv6 | principal.nat_ip | ||
Private IP-Adresse (private_ip) | PanOSPrivateIPv4 | principal.ip | ||
Privates IPv6 (private_ipv6) | PanOSPrivateIPv6 | principal.ip | ||
Host-ID (hostid) | PanOSHostID | Host-ID | principal.asset.asset_id | |
Seriennummer (Seriennummer) | PanOSDeviceSN | principal.asset.hardware.serial_number | ||
Clientversion (client_ver) | PanOSGlobalProtectClientVersion | client_ver | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Clientbetriebssystem (client_os) | PanOSEndpointOSType | principal.asset.platform_software.platform(enum) | ||
Version des Clientbetriebssystems (client_os_ver) | PanOSEndpointOSVersion | principal.asset.platform_software.platform_version | ||
Wiederholungszähler (Wiederholungen) | PanOSCountOfRepeats | Repeatcnt | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Grund (Grund) | PanOSQuarantineReason | security_result.summary | ||
Fehler (Fehler) | PanOSConnectionError | Fehler | security_result.description | |
Beschreibung (opak) | PanOSDescription | security_result.description | ||
Status (Status) | PanOSEventStatus | Status | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Standort (location) | PanOSGPGatewayLocation | target.location.country_or_region | ||
Anmeldedauer (login_duration) | PanOSLoginDuration | network.session_duration | ||
Verbindungsmethode (connect_method) | PanOSConnectionMethod | connect_method | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Fehlercode (error_code) | PanOSConnectionErrorID | error_code | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Portal (Portal) | PanOSPortal | Portal | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Sequenznummer (Sequenznummer) | PanOSSequenceNo | metadata.product_log_id | ||
Aktions-Flags | PanOSActionFlags | Aktionsflags | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Zeitstempel für hohe Auflösung (high_res_timestamp) | anOSTimeGeneratedHighResolution | metadata.collected_timestamp
metadata.event_timestamp (wenn „Generate Time“ fehlt) |
||
Gateway-Auswahlmethode (selection_type) | PanOSGatewaySelectionType | selection_type | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
SSL-Antwortzeit (response_time) | PanOSSSLResponseTime | response_time | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Gateway-Priorität (Priorität) | PanOSGatewayPriority | Priorität | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Versuchte Gateways (attempted_gateways) | PanOSAttemptedGateways | attempted_gateways | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Gateway-Name (Gateway) | PanOSAttemptedGateways | Gateway | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Gerätegruppenhierarchie (dg_hier_level_1) | dg_hier_level_1 | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
||
Gerätegruppenhierarchie (dg_hier_level_2) | dg_hier_level_2 | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
||
Gerätegruppenhierarchie (dg_hier_level_3) | dg_hier_level_3 | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
||
Gerätegruppenhierarchie (dg_hier_level_4) | dg_hier_level_4 | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
||
Name des virtuellen Systems (vsys_name) | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|||
Gerätename (device_name) | target.hostname | |||
ID des virtuellen Systems (vsys_id) | principal.resource.resource_type=VIRTUAL_MACHINE und principal.resource.product_object_id |
Ergebnisse in Beziehung setzen
In der folgenden Tabelle sind die Logfelder des Korrelationslogtyps und ihre entsprechenden UDM-Felder aufgeführt.
CSV-Feld | CEF-Feld | LEEF-Feld | Google Security Operations-Labelschlüssel | UDM-Feld |
---|---|---|---|---|
Generierte Zeit (time_generated oder cef-formatted-time_generated) | startTime | generated_timestamp | metadata.event_timestamp | |
Quelladresse (src) | src | principal.ip | ||
Quellnutzer (srcuser) | SourceUser / usrName | principal.user.userid | ||
Virtuelles System (vsys) | VirtualSystem | Vsys | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
|
Kategorie (Kategorie) | security_result.category_details | |||
Schweregrad (Schweregrad) | Schweregrad | security_result.severity und security_result.severity_details | ||
Gerätegruppenhierarchie Stufe 1 | DeviceGroupHierarchyL1 | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
||
Gerätegruppenhierarchie Stufe 2 | DeviceGroupHierarchyL2 | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
||
Gerätegruppenhierarchie Stufe 3 | DeviceGroupHierarchyL3 | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
||
Gerätegruppenhierarchie Stufe 4 | DeviceGroupHierarchyL4 | about.labels.key und about.labels.value additional.fields.key und zusätzlicher.fields.value.string_value |
||
Name des virtuellen Systems (vsys_name) | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
||
Gerätename (device_name) | DeviceName | intermediary.hostname | ||
ID des virtuellen Systems (vsys_id) | VirtualSystemID | principal.resource.resource_type=VIRTUAL_MACHINE und principal.resource.product_object_id | ||
Objektname (Objektname) | ObjectName | target.resource.name | ||
Objekt-ID (object_id) | ObjectID | target.resource.product_object_id |
Referenz zur Feldzuordnung: Logtypen zum UDM-Ereignistyp
In der folgenden Tabelle sind die Firewall-Logtypen von Palo Alto Networks und die entsprechenden UDM-Ereignistypen aufgeführt.
Logtyp | UDM-Ereignistyp |
Traffic | NETWORK_CONNECTION |
Bedrohung | NETWORK_CONNECTION |
URL-Filter | NETWORK_CONNECTION |
WildFire | NETWORK_CONNECTION
WildFire-Übertragungslogs sind ein Untertyp des Bedrohungsprotokolltyps und verwenden dasselbe Syslog-Format. |
Datenfilterung | NETWORK_CONNECTION |
Tunnel- | NETWORK_CONNECTION |
Konfiguration | SETTING_MODIFICATION/SETTING_CREATION/SETTING_DELETION/SETTING_UNCATEGORIZED
Der Wert im Feld „Befehl (cmd)“ bestimmt die Zuordnung des UDM-Ereignistyps. Wenn der Wert des cmd-Feldes zum Hinzufügen oder Klonen festgelegt ist, wird SETTING_CREATION festgelegt. Wenn der Wert des cmd-Felds gelöscht wird, wird SETTING_DELETION festgelegt. Wenn der Wert des cmd-Felds bearbeitet, verschoben, umbenannt, festgelegt oder per Commit übergeben wird, ist SETTING_MODIFICATION festgelegt. Wenn der Wert des cmd-Felds keine Werte enthält, wird SETTING_UNCATEGORIZED festgelegt. |
System |
Wenn der Wert des Untertyps „dhcp“ lautet, ist NETWORK_DHCP festgelegt. Wenn der Wert des Untertyps "auth" ist, wird USER_LOGIN festgelegt. Wenn der Beschreibungswert "angemeldet" ist, wird USER_LOGIN festgelegt. Wenn der Beschreibungswert "abgemeldet" ist, wird USER_LOGOUT festgelegt. Für andere Werte des Untertyps wird GENERIC_EVENT festgelegt. |
HIP-Übereinstimmung | NETWORK_CONNECTION |
IP-Tag | GENERIC_EVENT |
User-ID | USER_LOGIN/USER_LOGOUT/USER_UNCATEGORIZED
Wenn der Untertypwert "login" ist, wird USER_LOGIN festgelegt. Wenn der Untertypwert "logout" ist, wird USER_LOGOUT festgelegt. Wenn der Untertyp keinen Wert enthält, wird USER_UNCATEGORIZED festgelegt. |
Entschlüsselung | NETWORK_CONNECTION |
Authentifizierung | GENERIC_EVENT |