Collecter les journaux de pare-feu Palo Alto Networks
Présentation
Ce document explique comment configurer syslog et un redirecteur Chronicle pour collecter les journaux de pare-feu Palo Alto Networks. Ce document explique également comment les champs de journal de pare-feu de Palo Alto Networks sont mappés avec les champs UDM (Chronicle Unified Data Model).
Pour en savoir plus sur l'ingestion de données Chronicle, consultez Ingestion de données avec Chronicle.
Une étiquette d'ingestion identifie l'analyseur qui normalise les données de journal brutes au format UDM structuré. Les informations de ce document s'appliquent à l'analyseur doté de l'étiquette d'ingestion PAN_FIREWALL.
Avant de commencer
Pour comprendre les composants déployés pour collecter les journaux de pare-feu Palo Alto Networks, consultez l'architecture de déploiement. Chaque déploiement client peut différer de cette représentation et être plus complexe.
Le schéma suivant montre comment configurer syslog sur un pare-feu Palo Alto Networks et installer un redirecteur Chronicle sur un serveur Linux pour transférer les données de journaux vers Chronicle. L'analyseur prend en charge les journaux écrits dans les formats de données suivants: CSV (Comma Separated Values), Common Event Format (CEF) et Log Event Extended Format (LEEF).
Vérifiez les formats de journaux et les versions de PAN-OS compatibles avec l'analyseur Chronicle. Le tableau suivant répertorie les formats de journaux et les versions de PAN-OS correspondantes compatibles avec l'analyseur Chronicle:
Format des journaux Version PAN-OS CSV 10.1.3 CEF 10.0.0 LEEF 9.1.0 Vérifiez les types de journaux de pare-feu Palo Alto Networks compatibles avec l'analyseur Chronicle. L'analyseur Chronicle est compatible avec les types de journaux de pare-feu Palo Alto Networks suivants:
- Le trafic
- Menace
- Envois WildFire
- Inspection de tunnels
- Configuration
- Système
- Correspondance HIP
- Tag IP
- User-ID
- Déchiffrement
- Ratio d'économie d'énergie (EER)
- Filtrage des URL
- Filtrage des données
- GlobalProtect
- Corrélation
Pour en savoir plus sur les types de journaux de pare-feu Palo Alto Networks, consultez la section Types de journaux PAN-OS.
Assurez-vous que tous les systèmes de l'architecture de déploiement sont configurés dans le fuseau horaire UTC.
Avant d'utiliser l'analyseur Gold de pare-feu Palo Alto Networks, consultez les modifications apportées aux mappages de champs entre l'analyseur par défaut et l'analyseur Gold qui sont indiqués dans ce document. Lors de la migration, assurez-vous que les règles, les recherches, les tableaux de bord ou d'autres processus qui dépendent des champs d'origine utilisent les champs mis à jour.
Par exemple, dans l'analyseur par défaut, le champ de journal "category" est mappé sur le champ UDM "security_result.description". Dans l'analyseur Gold du pare-feu PAN, le champ de journal "category" est mappé au champ UDM "security_result.category_details". Si vous migrez vers l'analyseur Gold du pare-feu PAN et que vous utilisez la catégorie "category" dans vos règles, vous devez modifier les règles pour qu'elles utilisent le champ UDM "security_result.category_details" de l'analyseur Gold.
Configurer syslog et le redirecteur Chronicle
Pour configurer syslog et le redirecteur Chronicle, procédez comme suit:
Pour surveiller les journaux CSV, configurez le profil du serveur syslog. Pour en savoir plus, consultez la page Configurer le profil du serveur syslog.
Lorsque vous configurez le profil du serveur syslog, spécifiez "Par défaut" comme format de journal personnalisé.
Pour surveiller les journaux CEF, configurez le pare-feu Palo Alto Networks afin qu'il transfère les journaux CEF. Pour en savoir plus, téléchargez le guide d'intégration du framework CEF PAN-OS au format PDF et consultez la section "Configuration du NGFW de Palo Alto Networks pour la sortie des événements CEF".
Pour surveiller les journaux LEEF, configurez le profil du serveur syslog. Pour en savoir plus, consultez la section Transfert de journaux personnalisé au format LEEF.
Configurez le redirecteur Chronicle pour envoyer des journaux à Chronicle. Pour plus d'informations, consultez Installer et configurer le redirecteur sous Linux. Voici un exemple de configuration d'un redirecteur Chronicle:
- syslog: common: enabled: true data_type: PAN_FIREWALL batch_n_seconds: 10 batch_n_bytes: 1048576 tcp_address: 0.0.0.0:10518 connection_timeout_sec: 60
Documentation de référence sur le mappage de champs: champs des journaux de pare-feu PAN vers champs UDM
Cette section explique comment l'analyseur mappe les champs de journal de pare-feu de Palo Alto Networks avec les champs d'événement d'UAM Chronicle pour chaque type de journal.
La clé de libellé Chronicle fait référence au nom de la clé mappée au champ UDM Étiquettes.key. Par exemple, dans le cas du champ "Virtual System" (Système virtuel), le nom du champ est "cs3" au format CEF et "VirtualSystem" au format LEEF. Le champ UDM "about.labels.key" contient la valeur "vsys", et le champ UDM "about.labels.value" contient la valeur de ce champ.
Certains noms de champs CEF ou LEEF n'ont pas de nom correspondant aux noms des champs CSV. Dans ce cas, si vous ajoutez votre propre nom de variable dans un format de journal personnalisé dans le profil syslog, l'analyseur ne le mappe pas au champ UDM.
Reportez-vous aux sections suivantes pour obtenir des informations de référence sur le mappage de chaque type de journal:
- Système
- Configuration
- Menaces/incendies
- Trafic
- ID utilisateur
- Correspondance HIP
- Tag IP
- Déchiffrement
- Tunnel
- Authentification
- URL
- Données
- GlobalProtect
- Corrélation
Système
Le tableau suivant répertorie les champs de journal du type de journal système et les champs UDM correspondants.
Champ CSV | Champ CEF | Champ LEEF | Clé d'étiquette Chronicle | Champ UDM |
---|---|---|---|---|
Heure de réception (receive_time ou cef-formatted-receive_time) | rt | devTime | "metadata.collected_timestamp",
métadonnées.event_timestamp (si la valeur "Generate Time" est absente) |
|
Numéro de série | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
Type | type (en-tête) | cat | "metadata.product_event_type" est défini sur "%{type} - %{subtype}". | |
Type de menace/contenu (sous-type) | sous-type (En-tête) | Sous-type | "metadata.product_event_type" est défini sur "%{type} - %{subtype}". | |
Heure de génération (time_generated ou cef-formatted-time_generated) | metadata.event_timestamp | |||
Système virtuel (vsys) | cs3 | VirtualSystem | Vsys | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
ID de l'événement (eventid) | cat | eventid | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Objet | fname | Nom de fichier | objet | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Module | flexString2 | Module | module | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Gravité | $number-of-depth(en-tête) | Niveau de gravité | security_result.depth et security_result.depth_details | |
Description (opaque) | msg | msg | metadata.description | |
principal_user_userid (ce champ est extrait du champ msg) | principal.user.userid | |||
principal_ip3 (ce champ est extrait du champ msg) | principal.ip | |||
Motif (ce champ est extrait du champ "msg") | security_result.description | |||
server_address (Ce champ est extrait du champ msg.) | target.ip | |||
server_profile (Ce champ est extrait du champ de message.) | additional.fields.key et additional.fields.value.string_value | |||
Numéro de séquence (seqno) | externalId | séquence | metadata.product_log_id | |
Indicateurs d'action | PanOSActionFlags | ActionFlags | indicateurs d'action | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Hiérarchie des groupes d'appareils (dg_hier_level_1 à dg_hier_level_4) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Hiérarchie des groupes d'appareils (dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Hiérarchie des groupes d'appareils (dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Hiérarchie des groupes d'appareils (dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Nom du système virtuel (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
Nom de l'appareil (device_name) | dvchost | DeviceName | intermediary.hostname | |
Code temporel haute résolution (high_res_timestamp) | anOSTimeGeneratedHighResolution | "metadata.collected_timestamp",
métadonnées.event_timestamp (si la valeur "Generate Time" est absente) |
Configuration
Le tableau suivant répertorie les champs de journal du type de journal de configuration et les champs UDM correspondants.
Champ CSV | Champ CEF | Champ LEEF | Clé d'étiquette Chronicle | Champ UDM |
---|---|---|---|---|
Heure de réception (receive_time ou cef-formatted-receive_time) | rt | devTime | "metadata.collected_timestamp",
métadonnées.event_timestamp (si la valeur "Generate Time" est absente) |
|
Numéro de série | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
Type | type (en-tête) | cat | metadata.product_event_type | |
Type de menace/contenu (sous-type) | sous-type (En-tête) | metadata.product_event_type | ||
Heure de génération (time_generated ou cef-formatted-time_generated) | metadata.event_timestamp | |||
Hôte (hôte) | fantôme | src | principal.ip/hostname | |
Système virtuel (vsys) | cs3 | VirtualSystem | Vsys | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Commande (cmd) | act | msg | cmd | metadata.description |
Administrateur (admin) | CANNOT TRANSLATE | usrName | principal.user.userid | |
Client | destinationServiceName | client | principal.application | |
Résultat (résultat) | ID de signature (en-tête)(raison) | Résultat | security_result.summary | |
Chemin d'accès à la configuration (chemin d'accès) | msg | ConfigurationPath | principal.process.command_line | |
Avant la modification (before_change_detail) | cs1 | BeforeChangeDetail | before_change_detail | target.resource.attribute.labels.key/value |
Après modification (after_change_detail) | cs2 | AfterChangeDetail | after_change_detail | target.resource.attribute.labels.key/value |
Numéro de séquence (seqno) | externalId | séquence | metadata.product_log_id | |
Indicateurs d'action | PanOSActionFlags | ActionFlags | indicateurs d'action | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Hiérarchie des groupes d'appareils (dg_hier_level_1 à dg_hier_level_4) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Hiérarchie des groupes d'appareils (dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Hiérarchie des groupes d'appareils (dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Hiérarchie des groupes d'appareils (dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Nom du système virtuel (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
Nom de l'appareil (device_name) | dvchost | DeviceName | intermediary.hostname | |
Groupe d'appareils (dg_id) | PanOSFWDeviceGroup | dg_id | principal.asset.attribute.labels.key/value | |
Commentaire d'audit (commentaire) | PanOSPolicyAuditComment | comment | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Menace/Feu sauvage
Le tableau suivant répertorie les champs de journal du type de journal Threat/WildFire et les champs UDM correspondants.
Champ CSV | Champ CEF | Champ LEEF | Clé d'étiquette Chronicle | Champ UDM |
---|---|---|---|---|
Heure de réception (receive_time ou cef-formatted-receive_time) | rt | devTime | "metadata.collected_timestamp",
métadonnées.event_timestamp (si la valeur "Generate Time" est absente) |
|
Numéro de série | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
Type | type (en-tête) | cat | metadata.product_event_type | |
Type de menace/contenu (sous-type) | cat/sous-type (en-tête) | Sous-type | metadata.product_event_type | |
Générer l'heure (time_generated ou cef-formatted-time_generated) | metadata.event_timestamp | |||
Adresse source (src) | src | src | principal.ip | |
Adresse de destination (dst) | dst | dst | target.ip | |
Adresse IP source NAT (natsrc) | sourceTranslatedAddress | srcPostNAT | principal.nat_ip | |
Adresse IP de destination NAT (natdst) | destinationTranslatedAddress | dstPostNAT | target.nat_ip | |
Nom de la règle (règle) | cs1 | RuleName | security_result.rule_name | |
Utilisateur source (srcuser) | Suser | SourceUser / usrName | principal.user.userid | |
Utilisateur de destination (dstuser) | CANNOT TRANSLATE | DestinationUser | target.user.userid | |
Application | app | Application | target.application | |
Système virtuel (vsys) | cs3 | VirtualSystem | Vsys | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Zone source (depuis) | cs4 | SourceZone | depuis | principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value |
Zone de destination (vers) | cs5 | DestinationZone | pour | target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value |
Interface entrante (inbound_if) | deviceInboundInterface | IngressInterface | inbound_if | principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value |
Interface sortante (outbound_if) | deviceOutboundInterface | EgressInterface | outbound_if | target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value |
Action de journal (ensemble de journaux) | cs6 | LogForwardingProfile | Ensemble de journaux | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
ID de session (sessionid) | cn1 | SessionID | network.session_id | |
Nombre de répétitions (répétition) | cnt | RepeatCount | Répéter | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Port source (sport) | spt | srcPort | principal.port | |
Port de destination (dport) | dpt | dstPort | target.port | |
Port source NAT (natsport) | sourceTranslatedPort | srcPostNATPort | principal.nat_port | |
Port de destination NAT (natdport) | destinationTranslatedPort | dstPostNATPort | target.nat_port | |
Indicateurs | flexString1 | Options | flags | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Protocole IP (proto) | proto | proto | network.ip_protocol | |
Action (action) | act | action | security_result.action_details
security_result.action |
|
URL/Nom de fichier (divers) | requête | Autres | target.file.full_path (si le sous-type est "file", "virus", "incendie-virus" ou "incendie", le champ "misc" est mappé sur target.file.full_path) target.url (si le sous-type est "url", le champ "misc" est mappé sur target.url et target.hostname) target.Hostname (si le sous-type est 'logiciel espion' ou 'vulnérabilité'', le champ "misc" est mappé sur target.file.full_path et target.url) |
|
Nom de la menace/du contenu (menace) | cat | ThreatID | security_result.threat_name | |
Catégorie | cs2 | URLCategory | security_result.category_details | |
Gravité | number-of-depth(en-tête) | Niveau de gravité | security_result.depth et security_result.depth_details | |
Sens (direction) | flexString2 | Direction | network.direction | |
Numéro de séquence (seqno) | externalId | séquence | metadata.product_log_id | |
Indicateurs d'action | PanOSActionFlags | ActionFlags | indicateurs d'action | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Pays de la source (srcloc) | SourceLocation | principal.location.country_or_region | ||
Pays de destination (dstloc) | DestinationLocation | target.location.country_or_region | ||
Type de contenu | ContentType | type de contenu | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
ID PCAP (pcap_id) | fileId | PCAP_ID | pcap_id | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Condensé de fichier (filedigest) | fileHash | FileDigest | about.file.sha1/md5/sha256 | |
Cloud (cloud) | filePath | Cloud | cloud | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Index d'URL (url_idx) | URLIndex | url_idx | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
User-agent (user_agent) | network.http.user_agent | |||
Type de fichier | fileType | FileType | about.file.mime_type | |
X-Forwarded-For (xff) | principal.ip | |||
URL de provenance | network.http.referral_url | |||
Expéditeur (expéditeur) | suid | Expéditeur | network.email.from | |
Objet (objet) | msg | Objet | network.email.subject | |
Destinataire (destinataire) | CANNOT TRANSLATE | Destinataire | network.email.to | |
ID du rapport (reportid) | oldFileId | ReportID | id_rapport | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Hiérarchie des groupes d'appareils (dg_hier_level_1 à dg_hier_level_4) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Hiérarchie des groupes d'appareils (dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Hiérarchie des groupes d'appareils (dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Hiérarchie des groupes d'appareils (dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Nom du système virtuel (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
Nom de l'appareil (device_name) | dvchost | DeviceName | intermediary.hostname | |
UUID de la VM source (src_uuid) | PanOSSrcUUID | SrcUUID | principal.user.product_object_id | |
UUID de la VM de destination (dst_uuid) | PanOSDstUUID | DstUUID | target.user.product_object_id | |
Méthode HTTP (http_method) | RequestMethod | network.http.method | ||
ID de tunnel/IMSI (tunnel_id/imsi) | PanOSTunnelID | TunnelID | tunnel_id/imsi | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Balise Monitor/IMEI (monitortag/imei) | PanOSMonitorTag | MonitorTag | moniteurtag/imei | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
ID de session parente (parent_session_id) | PanOSParentSessionID | ParentSessionID | parent_session_id | network.parent_session_id |
Heure de début de la session parente (parent_start_time) | PanOSParentStartTime | ParentStartTime | parent_start_time | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Type de tunnel (tunnel) | PanOSTunnelType | TunnelType | tunnel | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Catégorie de menace (thr_category) | PanOSThreatCategory | ThreatCategory | thr_category | security_result.detection_fields.key/value |
Version du contenu (contentver) | PanOSContentVer | ContentVer | Contentver | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
ID d'association SCTP (assoc_id) | PanOSAssocID | assoc_id | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
ID de protocole de charge utile (ppid) | PanOSPPID | ppid | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
En-têtes HTTP (http_headers) | PanOSHTTPHeader | http_headers | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Liste des catégories d'URL (url_category_list) | PanOSURLCatList | url_category_list | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
UUID de la règle (rule_uuid) | PanOSRuleUUID | security_result.rule_id | ||
Connexion HTTP/2 (http2_connection) | PanOSHTTP2Con | http2_connection | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Nom du groupe d'utilisateurs dynamique (dynusergroup_name) | PanDynamicUsrgrp | dynusergroup_name | principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value |
|
Adresse XFF (xff_ip) | PanXFFIP | principal.ip | ||
Catégorie d'appareil source (src_category) | PanSrcDeviceCat | src_category | principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value |
|
Profil de l'appareil source (src_profile) | PanSrcDeviceProf | src_profile | principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value |
|
Modèle de l'appareil source (src_model) | PanSrcDeviceModel | src_model | principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value |
|
Fournisseur de l'appareil source (src_vendor) | PanSrcDeviceVendor | src_vendor | principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value |
|
Famille d'OS de l'appareil source (src_osfamily) | PanSrcDeviceOS | src_osfamily | principal.asset.platform_software.platform principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value |
|
Version de l'OS de l'appareil source (src_osversion) | PanSrcDeviceOSv | principal.asset.software.version | ||
Nom d'hôte source (src_host) | PanSrcHostname | principal.hostname | ||
Adresse MAC source (src_mac) | PanSrcMac | principal.mac | ||
Catégorie d'appareil de destination (dst_category) | PanDstDeviceCat | dst_category | target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value |
|
Profil d'appareil de destination (dst_profile) | PanDstDeviceProf | dst_profile | target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value |
|
Modèle de l'appareil de destination (dst_model) | PanDstDeviceModel | dst_model | target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value |
|
Fournisseur d'appareil de destination (dst_vendor) | PanDstDeviceVendor | dst_vendor | target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value |
|
Famille d'OS de l'appareil de destination (dst_osfamily) | PanDstDeviceOS | dst_osfamily | target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value |
|
Version de l'OS de l'appareil de destination (dst_osversion) | PanDstDeviceOSv | target.asset.software.version | ||
Nom d'hôte de destination (dst_host) | PanDstHostname | target.hostname | ||
Adresse MAC de destination (dst_mac) | PanDstMac | target.mac | ||
ID du conteneur (container_id) | PanContainerName | container_id | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Espace de noms du POD (pod_namespace) | PanPODNamespace | pod_namespace | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Nom du pod (pod_name) | PanPODName | pod_name | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Liste dynamique externe source (src_edl) | PanSrcEDL | src_edl | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Liste dynamique externe de destination (dst_edl) | PanDstEDL | dst_edl | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
ID d'hôte (hostid) | PanGPHostID | id_hôte | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Numéro de série de l'appareil utilisateur (numéro de série) | PanEPSerial | principal.asset.hardware.serial_number | ||
EDL de domaine (domain_edl) | PanDomainEDL | domain_edl | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Groupe d'adresses dynamiques source (src_dag) | PanSrcDAG | principal.group.group_display_name | ||
Groupe d'adresses dynamiques de destination (dst_dag) | PanDstDAG | target.group.group_display_name | ||
Hachage partiel (partial_hash) | PanPartialHash | partial_hash | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Code temporel haute résolution (horodatage haute résolution) | PanTimeHighRes | code temporel haute résolution | "metadata.collected_timestamp",
métadonnées.event_timestamp (si la valeur "Generate Time" est absente) |
|
Motif | PanReasonFilteringAction | reason | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Justification | PanJustification | justification | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Un type de service de segment d'application (nssai_sst) | PanASServiceType | nssai_sst | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Sous-catégorie de l'application (sous-catégorie_de_l'application) | subcategory_of_app | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
||
Catégorie d'application (category_of_app) | category_of_app | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
||
Technologie d'application (technologie_des_applications) | technology_of_app | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
||
Risque lié à l'application (risque_de_l'application) | risk_of_app | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
||
Caractéristique de l'application (characteristic_of_app) | characteristic_of_app | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
||
Conteneur d'application (container_of_app) | container_of_app | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
||
Application SaaS (is_saas_of_app) | is_saas_of_app | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
||
État de l'application sanctionnée (sanctioned_state_of_app) | sanctioned_state_of_app | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Le trafic
Le tableau suivant liste les champs de journal de type journal de trafic et les champs UDM correspondants.
Champ CSV | Champ CEF | Champ LEEF | Clé d'étiquette Chronicle | Champ UDM |
---|---|---|---|---|
Heure de réception (receive_time ou cef-formatted-receive_time) | rt | devTime | "metadata.collected_timestamp",
métadonnées.event_timestamp (si la valeur "Generate Time" est absente) |
|
Numéro de série | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
Type | type (en-tête) | chat/type | metadata.product_event_type | |
Type de menace/contenu (sous-type) | sous-type (En-tête) | Sous-type | metadata.product_event_type | |
Heure de génération (time_generated ou cef-formatted-time_generated) | Départ | metadata.event_timestamp | ||
Adresse source (src) | src | src | principal.ip | |
Adresse de destination (dst) | dst | dst | target.ip | |
Adresse IP source NAT (natsrc) | sourceTranslatedAddress | srcPostNAT | principal.nat_ip | |
Adresse IP de destination NAT (natdst) | destinationTranslatedAddress | dstPostNAT | target.nat_ip | |
Nom de la règle (règle) | cs1 | RuleName | security_result.rule_name | |
Utilisateur source (srcuser) | Suser | SourceUser | principal.user.userid | |
Utilisateur de destination (dstuser) | CANNOT TRANSLATE | DestinationUser | target.user.userid | |
Application | app | Application | target.application | |
Système virtuel (vsys) | cs3 | VirtualSystem | Vsys | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Zone source (depuis) | cs4 | SourceZone | depuis | principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value |
Zone de destination (vers) | cs5 | DestinationZone | pour | target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value |
Interface entrante (inbound_if) | deviceInboundInterface | IngressInterface | inbound_if | principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value |
Interface sortante (outbound_if) | deviceOutboundInterface | EgressInterface | outbound_if | target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value |
Action de journal (ensemble de journaux) | cs6 | LogForwardingProfile | Ensemble de journaux | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
ID de session (sessionid) | cn1 | SessionID | network.session_id | |
Nombre de répétitions (répétition) | cnt | RepeatCount | Répéter | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Port source (sport) | spt | srcPort | principal.port | |
Port de destination (dport) | dpt | dstPort | target.port | |
Port source NAT (natsport) | sourceTranslatedPort | srcPostNATPort | principal.nat_port | |
Port de destination NAT (natdport) | destinationTranslatedPort | dstPostNATPort | target.nat_port | |
Indicateurs | flexString1 | Options | flags | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Protocole IP (proto) | proto | proto | network.ip_protocol | |
Action (action) | act | action | security_result.action_details
security_result.action |
|
Octets (octets) | flexNumber1 | totalBytes | bytes | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Octets envoyés (bytes_sent) | in | srcBytes | network.sent_bytes | |
Octets reçus (bytes_received) | interprétés. | dstBytes | network.received_bytes | |
Paquets (paquets) | cn2 | totalPackets | paquets | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Heure de début (début) | StartTime | Départ | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Temps écoulé | cn3 | ElapsedTime | écoulé | network.session_duration.seconds |
Catégorie | cs2 | URLCategory | security_result.category / security_result.category_details | |
Numéro de séquence (seqno) | externalId | séquence | metadata.product_log_id | |
Indicateurs d'action | PanOSActionFlags | ActionFlags | indicateurs d'action | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Pays de la source (srcloc) | SourceLocation | principal.location.country_or_region | ||
Pays de destination (dstloc) | DestinationLocation | target.location.country_or_region | ||
Paquets envoyés (pkts_sent) | PanOSPacketsSent | srcPackets | pkts_sent | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Paquets reçus (pkts_received) | PanOSPacketsReceived | dstPackets | pkts_received | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Motif de fin de session (session_end_reason) | reason | SessionEndReason | security_result.summary | |
Hiérarchie du groupe d'appareils 1 (dg_hier_level_1 vers dg_hier_level_4) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Hiérarchie du groupe d'appareils 2 (dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Hiérarchie du groupe d'appareils 3 (dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Hiérarchie des groupes d'appareils (dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Nom du système virtuel (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
Nom de l'appareil (device_name) | dvchost | DeviceName | intermediary.hostname | |
Source de l'action (action_source) | cat | ActionSource | action_source | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
UUID de la VM source (src_uuid) | PanOSSrcUUID | SrcUUID | principal.asset.product_object_id | |
UUID de la VM de destination (dst_uuid) | PanOSDstUUID | DstUUID | target.asset.product_object_id | |
ID de tunnel/IMSI (ID de tunnel/imsi) | PanOSTunnelID | TunnelID | identifiant tunnel/imsi | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Balise Monitor/IMEI (monitortag/imei) | PanOSMonitorTag | MonitorTag | moniteurtag/imei | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
ID de session parente (parent_session_id) | PanOSParentSessionID | ParentSessionID | parent_session_id | network.parent_session_id |
Heure de début du parent (parent_start_time) | PanOSParentStartTime | ParentStartTime | parent_start_time | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Type de tunnel (tunnel) | PanOSTunnelType | TunnelType | tunnel | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
ID d'association SCTP (assoc_id) | PanOSSCTPAssocID | assoc_id | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Fragments SCTP | PanOSSCTPChunks | blocs | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Fragments SCTP envoyés (chunks_sent) | PanOSSCTPChunkSent | chunks_sent | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Fragments SCTP reçus (chunks_received) | PanOSSCTPChunksRcv | chunks_received | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
UUID de la règle (rule_uuid) | PanOSRuleUUID | security_result.rule_id | ||
Connexion HTTP/2 (http2_connection) | PanOSHTTP2Con | http2_connection | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Nombre d'emplacements d'applis (link_change_count) | PanLinkChange | link_change_count | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
ID de stratégie (policy_id) | PanPolicyID | policy_id | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Commutateurs de liaison (link_switches) | PanLinkDetail | link_switches | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Cluster SD-WAN (sdwan_cluster) | PanSDWANCluster | sdwan_cluster | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Type d'appareil SD-WAN (sdwan_device_type) | PanSDWANDevice | sdwan_device_type | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Type de cluster SD-WAN (sdwan_cluster_type) | PanSDWANClustype | sdwan_cluster_type | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Site SD-WAN (sdwan_site) | PanSDWANSite | sdwan_site | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Nom du groupe d'utilisateurs dynamique (dynusergroup_name) | PanDynamicUsrgrp | dynusergroup_name | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Adresse XFF (xff_ip) | PanXFFIP | principal.ip | ||
Catégorie d'appareil source (src_category) | PanSrcDeviceCat | src_category | principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value |
|
Profil de l'appareil source (src_profile) | PanSrcDeviceProf | src_profile | principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value |
|
Modèle de l'appareil source (src_model) | PanSrcDeviceModel | src_model | principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value |
|
Fournisseur de l'appareil source (src_vendor) | PanSrcDeviceVendor | src_vendor | principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value |
|
Famille d'OS de l'appareil source (src_osfamily) | PanSrcDeviceOS | principal.asset.platform_software.platform principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value |
||
Version de l'OS de l'appareil source (src_osversion) | PanSrcDeviceOSv | principal.asset.software.version | ||
Nom d'hôte source (src_host) | PanSrcHostname | principal.hostname | ||
Adresse MAC source (src_mac) | PanSrcMac | principal.mac | ||
Catégorie d'appareil de destination (dst_category) | PanDstDeviceCat | dst_category | target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value |
|
Profil d'appareil de destination (dst_profile) | PanDstDeviceProf | dst_profile | target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value |
|
Modèle de l'appareil de destination (dst_model) | PanDstDeviceModel | dst_model | target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value |
|
Fournisseur d'appareil de destination (dst_vendor) | PanDstDeviceVendor | dst_vendor | target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value |
|
Famille d'OS de l'appareil de destination (dst_osfamily) | PanDstDeviceOS | dst_osfamily | target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value |
|
Version de l'OS de l'appareil de destination (dst_osversion) | PanDstDeviceOSv | target.asset.software.version | ||
Nom d'hôte de destination (dst_host) | PanDstHostname | target.hostname | ||
Adresse MAC de destination (dst_mac) | PanDstMac | target.mac | ||
ID du conteneur (container_id) | PanContainerName | container_id | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Espace de noms du POD (pod_namespace) | PanPODNamespace | pod_namespace | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Nom du pod (pod_name) | PanPODName | pod_name | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Liste dynamique externe source (src_edl) | PanSrcEDL | src_edl | principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value |
|
Liste dynamique externe de destination (dst_edl) | PanDstEDL | dst_edl | target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value |
|
ID d'hôte (hostid) | PanGPHostID | id_hôte | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Numéro de série de l'appareil utilisateur (numéro de série) | PanEPSerial | principal.asset.hardware.serial_number | ||
Groupe d'adresses dynamiques source (src_dag) | PanSrcDAG | principal.group.group_display_name | ||
Groupe d'adresses dynamiques de destination (dst_dag) | PanDstDAG | target.group.group_display_name | ||
Propriétaire de session (session_owner) | PanHASessionOwner | session_owner | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Code temporel haute résolution (high_res_timestamp) | PanTimeHighRes | "metadata.collected_timestamp",
métadonnées.event_timestamp (si la valeur "Generate Time" est absente) |
||
Un type de service de segment d'application (nsdsai_sst) | PanASServiceType | nsdsai_sst | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Un facteur de différenciation par segment (nsdsai_sd) | PanASServiceDiff | nsdsai_sd | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Sous-catégorie de l'application (sous-catégorie_de_l'application) | subcategory_of_app | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
||
Catégorie d'application (category_of_app) | category_of_app | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
||
Technologie d'application (technologie_des_applications) | technology_of_app | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
||
Risque lié à l'application (risque_de_l'application) | security_result.severity | |||
Caractéristique de l'application (characteristic_of_app) | characteristic_of_app | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
||
Conteneur d'application (container_of_app) | container_of_app | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
||
Application SaaS (is_saas_of_app) | is_saas_of_app | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
||
État de l'application sanctionnée (sanctioned_state_of_app) | sanctioned_state_of_app | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
||
Sous-catégorie de l'application (sous-catégorie_de_l'application) | subcategory_of_app1 | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
User-ID
Le tableau suivant répertorie les champs de journal du type de journal User-ID et les champs UDM correspondants.
Champ CSV | Champ CEF | Champ LEEF | Clé d'étiquette Chronicle | Champ UDM |
---|---|---|---|---|
Heure de réception (receive_time ou cef-formatted-receive_time) | rt | devTime | "metadata.collected_timestamp",
métadonnées.event_timestamp (si la valeur "Generate Time" est absente) |
|
Numéro de série | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
Type | type (en-tête) | cat | metadata.product_event_type | |
Type de menace/contenu (sous-type) | sous-type (En-tête) | Sous-type | metadata.product_event_type | |
Heure de génération (time_generated ou cef-formatted-time_generated) | metadata.event_timestamp | |||
Système virtuel (vsys) | cs3 | VirtualSystem | Vsys | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Adresse IP source (IP) | src | src | principal.ip | |
Utilisateur | CANNOT TRANSLATE | usrName | target.user.userid
target.administrative_domain target.user.email_addresses |
|
Nom de la source de données (nom de la source de données) | cs4 | DataSourceName | nom de la source de données | principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value |
ID de l'événement (eventid) | EventID | eventid | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Nombre de répétitions (répétition) | cnt | RepeatCount | Répéter | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Délai d'expiration (délai) | cn3 | TimeoutThreshold | délai avant expiration | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Port source (début) | spt | srcPort | principal.port | |
Port de destination (port de terminaison) | dpt | dstPort | target.port | |
Source de données (source de données) | cs5 | DataSource | source de données | principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value |
Type de source de données (datasourcetype) | cs6 | DataSourceType | type de source de données | principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value |
Numéro de séquence (seqno) | externalId | séquence | metadata.product_log_id | |
Indicateurs d'action | PanOSActionFlags | ActionFlags | indicateurs d'action | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Hiérarchie des groupes d'appareils (dg_hier_level_1) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Hiérarchie des groupes d'appareils (dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Hiérarchie des groupes d'appareils (dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Hiérarchie des groupes d'appareils (dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Nom du système virtuel (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
Nom de l'appareil (device_name) | dvchost | DeviceName | intermediary.hostname | |
ID du système virtuel (vsys_id) | cn2 | VirtualSystemID | principal.resource.resource_type=VIRTUAL_MACHINE et principal.resource.product_object_id | |
Type de facteur (factortype) | cs1 | FactorType | type de facteur | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Durée d'exécution du facteur (factorcompletetime) | end | FactorCompletionTime | temps d'achèvement | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Facteur (factorno) | cn1 | FactorNumber | factorno | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Indicateurs de groupe d'utilisateurs (ugflags) | PanOSUGFlags | indicateurs | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Utilisateur par source (utilisateur par source) | PanOSUserBySource | principal.user.userid
principal.administrative_domain principal.user.email_addresses |
||
Code temporel haute résolution (horodatage haute résolution) | PanOSTimeGeneratedHighResolution | "metadata.collected_timestamp",
métadonnées.event_timestamp (si la valeur "Generate Time" est absente) |
Correspondance HIP
Le tableau suivant répertorie les champs de journal du type de journal de correspondance HIP et les champs UDM correspondants.
Champ CSV | Champ CEF | Champ LEEF | Clé d'étiquette Chronicle | Champ UDM |
---|---|---|---|---|
Heure de réception (receive_time ou cef-formatted-receive_time) | rt | devTime | "metadata.collected_timestamp",
métadonnées.event_timestamp (si la valeur "Generate Time" est absente) |
|
Numéro de série | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
Type | type (en-tête) | cat | metadata.product_event_type | |
Type de menace/contenu (sous-type) | sous-type (En-tête) | Sous-type | ||
Heure de génération (time_generated ou cef-formatted-time_generated) | Départ | startTime | metadata.event_timestamp | |
Utilisateur source (srcuser) | Suser | usrName | principal.user.userid | |
Système virtuel (vsys) | cs3 | VirtualSystem | Vsys | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Nom de la machine (nom de la machine) | fantôme | identHostName | principal.hostname | |
Système d'exploitation (OS) | cs2 | OS | principal.asset.platform_software.platform | |
Adresse source (src) | src | identsrc | principal.ip | |
HIP (matchname) | cat | HIP | nomdecorrespondance | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Nombre de répétitions (répétition) | cnt | RepeatCount | Répéter | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Type HIP (matchtype) | ID de classe d'événement de l'appareil (en-tête) | HIPType | matchtype | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Numéro de séquence (seqno) | externalId | séquence | metadata.product_log_id | |
Indicateurs d'action | PanOSActionFlags | ActionFlags | indicateurs d'action | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Hiérarchie des groupes d'appareils (dg_hier_level_1) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Hiérarchie des groupes d'appareils (dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Hiérarchie des groupes d'appareils (dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Hiérarchie des groupes d'appareils (dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Nom du système virtuel (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
Nom de l'appareil (device_name) | dvchost | DeviceName | intermediary.hostname | |
ID du système virtuel (vsys_id) | cn2 | VirtualSystemID | principal.resource.resource_type=VIRTUAL_MACHINE et principal.resource.product_object_id | |
Adresse système IPv6 (srcipv6) | C6A2 | srcipv6 | principal.asset.ip | |
ID d'hôte (hostid) | PanOSHostID | principal.asset.product_object_id | ||
Numéro de série de l'appareil utilisateur (numéro de série) | PanOSEndpointSerialNumber | principal.asset.hardware.serial_number | ||
Adresse MAC de l'appareil (Mac) | PanOSEndpointMac | principal.asset.mac | ||
Code temporel haute résolution (high_res_timestamp) | PanOSTimeGeneratedHighResolution | "metadata.collected_timestamp",
métadonnées.event_timestamp (si la valeur "Generate Time" est absente) |
Tag IP
Le tableau suivant répertorie les champs de journal du type de journal "Tag IP" et les champs UDM correspondants.
Champ CSV | Champ CEF | Champ LEEF | Clé d'étiquette Chronicle | Champ UDM |
---|---|---|---|---|
Heure de réception (receive_time ou cef-formatted-receive_time) | rt | devTime | "metadata.collected_timestamp",
métadonnées.event_timestamp (si la valeur "Generate Time" est absente) |
|
Numéro de série | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
Type | type (en-tête) | cat | metadata.product_event_type | |
Type de menace/contenu (sous-type) | sous-type (En-tête) | Sous-type | metadata.product_event_type | |
Heure de génération (time_generated ou cef-formatted-time_generated) | GenerateTime | metadata.event_timestamp | ||
Système virtuel (vsys) | cs3 | VirtualSystem | Vsys | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Adresse IP source (IP) | src | src | principal.ip | |
Nom de la balise (tag_name) | PanOSTagName | TagName | tag_name | principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value |
ID de l'événement (event_id) | PanOSEventID | EventID | event_id | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Nombre de répétitions (répétition) | cnt | RepeatCount | Répéter | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Expiration du délai | PanOSTimeout | TimeoutThreshold | délai avant expiration | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Nom de la source de données (nom de la source de données) | PanOSDataSourceName | DataSourceName | nom de la source de données | principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value |
Type de source de données (datasource_type) | PanOSDataSourceType | DataSource | datasource_type | principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value |
Sous-type de la source de données (datasource_subtype) | PanOSDataSourceSubType | DataSourceType | datasource_subtype | principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value |
Numéro de séquence (seqno) | externalId | séquence | metadata.product_log_id | |
Indicateurs d'action | PanOSActionFlags | ActionFlags | indicateurs d'action | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Hiérarchie des groupes d'appareils (dg_hier_level_1) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Hiérarchie des groupes d'appareils (dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Hiérarchie des groupes d'appareils (dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Hiérarchie des groupes d'appareils (dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Nom du système virtuel (vsys_name) | PanOsVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
Nom de l'appareil (device_name) | dvchost | DeviceName | intermediary.hostname | |
ID du système virtuel (vsys_id) | cn2 | VirtualSystemID | principal.resource.resource_type=VIRTUAL_MACHINE et principal.resource.product_object_id | |
Code temporel haute résolution (horodatage haute résolution) | PanOSTimeGeneratedHighResolution | "metadata.collected_timestamp",
métadonnées.event_timestamp (si la valeur "Generate Time" est absente) |
Déchiffrement
Le tableau suivant répertorie les champs de journal du type de journal de déchiffrement et les champs UDM correspondants.
Champ CSV | Champ CEF | Champ LEEF | Clé d'étiquette Chronicle | Champ UDM |
---|---|---|---|---|
Heure de réception (receive_time ou cef-formatted-receive_time) | rt | "metadata.collected_timestamp",
métadonnées.event_timestamp (si la valeur "Generate Time" est absente) |
||
Numéro de série | PanOSDeviceSN | intermediary.asset.hardware.serial_number | ||
Type | type (en-tête) | metadata.product_event_type | ||
Type de menace/contenu (sous-type) | sous-type (En-tête) | metadata.product_event_type | ||
Version de configuration (config_ver) | PanOSConfigVersion | config_ver | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Heure de génération (time_generated) | PanOSLogTimeStamp | metadata.event_timestamp | ||
Adresse source (src) | src | principal.ip | ||
Adresse de destination (dst) | dst | target.ip | ||
Adresse IP source NAT (natsrc) | sourceTranslatedAddress | principa.nat_ip | ||
Adresse IP de destination NAT (natdst) | destinationTranslatedAddress | target.nat_ip | ||
Règle (règle) | cs1 | security_result.rule_name | ||
Utilisateur source (srcuser) | Suser | principal.user.userid | ||
Utilisateur de destination (dstuser) | CANNOT TRANSLATE | target.user.userid | ||
Application | app | target.application | ||
Système virtuel (vsys) | cs3 | Vsys | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Zone source (depuis) | cs4 | depuis | principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value |
|
Zone de destination (vers) | cs5 | pour | target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value |
|
Interface entrante (inbound_if) | deviceInboundInterface | inbound_if | principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value |
|
Interface sortante (outbound_if) | deviceOutboundInterface | outbound_if | target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value |
|
Action de journal (ensemble de journaux) | cs6 | Ensemble de journaux | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Heure de journalisation (time_received) | PanOSTimeReceivedManagementPlane | - | ||
ID de session (sessionid) | cn1 | network.session_id | ||
Nombre de répétitions (répétition) | PanOSCountOfRepeats/RepeatCount | Répéter | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Port source (sport) | spt | principal.port | ||
Port de destination (dport) | dpt | target.port | ||
Port source NAT (natsport) | sourceTranslatedPort | principal.nat_port | ||
Port de destination NAT (natdport) | destinationTranslatedPort | target.nat_port | ||
Indicateurs | flexString1 | flags | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Protocole IP (proto) | proto | network.ip_protocol | ||
Action (action) | act | security_result.action_details
security_result.action |
||
Tunnel (tunnel) | PanOSTunnel | tunnel | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
UUID de la VM source (src_uuid) | PanOSSourceUUID | principal.asset.asset_id | ||
UUID de la VM de destination (dst_uuid) | PanOSDestinationUUID | target.asset.asset_id | ||
UUID de la règle (rule_uuid) | PanOSRuleUUID | security_result.rule_id | ||
Étape du client vers le pare-feu (hs_stage_c2f) | PanOSClientToFirewall | hs_stage_c2f | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Étape du pare-feu au serveur (hs_stage_f2s) | PanOSFirewallToServer | hs_stage_f2s | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Version de TLS (tls_version) | PanOSTLSVersion | network.tls.version | ||
Algorithme d'échange de clés (tls_keyxchg) | PanOSTLSKeyExchange | tls_keyxchg | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Algorithme de chiffrement (tls_enc) | PanOSTLSEncryptionAlgorithm | tls_enc | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Algorithme de hachage (tls_auth) | PanOSTLSAuth | tls_auth | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Nom de la stratégie (policy_name) | PanOSPolicyName | policy_name | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Courbe elliptique (ec_curve) | PanOSEllipticCurve | network.tls.curve | ||
Index d'erreur (err_index) | PanOSErrorIndex | err_index | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
État racine (root_status) | PanOSRootStatus | root_status | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
État de la chaîne (chain_status) | PanOSChainStatus | chain_status | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Type de proxy (proxy_type) | PanOSProxyType | proxy_type | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Numéro de série du certificat (cert_serial) | PanOSCertificateSerial | network.tls.server.certificate.serial | ||
Empreinte du certificat (empreinte) | PanOSFingerprint | network.tls.server.certificate.md5/sha1/sha256. | ||
Date de début du certificat (pas avant le) | PanOSTimeNotBefore | network.tls.server.certificate.not_before | ||
Date de fin du certificat (pas après) | PanOSTimeNotAfter | network.tls.server.certificate.not_after | ||
Version du certificat (cert_ver) | PanOSCertificateVersion | network.tls.server.certificate.version | ||
Taille du certificat (cert_size) | PanOSCertificateSize | cert_size | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Longueur du nom commun (cn_len) | PanOSCommonNameLength | cn_len | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Longueur du nom commun de l'émetteur (issuer_len) | PanOSIssuerNameLength | issuer_len | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Longueur du nom commun de la racine (rootcn_len) | PanOSRootCNLength | rootcn_len | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Longueur SNI (sni_len) | PanOSSNILength | sni_len | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Indicateurs de certificat (cert_flags) | PanOSCertificateFlags | cert_flags | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Nom commun de l’objet (cn) | PanOSCommonName | cn | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Nom commun de l'émetteur (issuer_cn) | PanOSIssuerCommonName | network.tls.server.certificate.issuer | ||
Nom commun de racine (root_cn) | PanOSRootCommonName | root_cn | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Indication du nom du serveur
(sni) |
network.tls.client.server_name | |||
Erreur (erreur) | PanOSErrorMessage | error | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
ID du conteneur (container_id) | PanOSContainerID | container_id | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Espace de noms du POD (pod_namespace) | PanOSContainerNameSpace | pod_namespace | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Nom du pod (pod_name) | PanOSContainerName | pod_name | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Liste dynamique externe source (src_edl) | PanOSSourceEDL | src_edl | principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value |
|
Liste dynamique externe de destination (dst_edl) | PanOSDestinationEDL | dst_edl | target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value |
|
Groupe d'adresses dynamiques source (src_dag) | PanOSSourceDynamicAddressGroup | principal.group.group_display_name | ||
Groupe d'adresses dynamiques de destination (dst_dag) | PanOSDestinationDynamicAddressGroup | target.group.group_display_name | ||
Code temporel haute résolution (high_res_timestamp) | PanOSTimeGeneratedHighResolution | "metadata.collected_timestamp",
métadonnées.event_timestamp (si la valeur "Generate Time" est absente) |
||
Catégorie d'appareil source (src_category) | PanOSSourceDeviceCategory | src_category | principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value |
|
Profil de l'appareil source (src_profile) | PanOSSourceDeviceProfile | src_profile | principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value |
|
Modèle de l'appareil source (src_model) | PanOSSourceDeviceModel | src_model | principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value |
|
Fournisseur de l'appareil source (src_vendor) | PanOSSourceDeviceVendor | src_vendor | principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value |
|
Famille d'OS de l'appareil source (src_osfamily) | PanOSSourceDeviceOSFamily | principal.asset.platform_software.platform principal.labels.key et principal.labels.value |
||
Version de l'OS de l'appareil source (src_osversion) | PanOSSourceDeviceOSVersion | principal.asset.software.version | ||
Nom d'hôte source (src_host) | PanOSSourceDeviceHost | principal.hostname | ||
Adresse MAC source (src_mac) | PanOSSourceDeviceMac | principal.mac | ||
Catégorie d'appareil de destination (dst_category) | PanOSDestinationDeviceCategory | dst_category | target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value |
|
Profil d'appareil de destination (dst_profile) | PanOSDestinationDeviceProfile | dst_profile | target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value |
|
Modèle de l'appareil de destination (dst_model) | PanOSDestinationDeviceModel | dst_model | target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value |
|
Fournisseur d'appareil de destination (dst_vendor) | PanOSDestinationDeviceVendor | dst_vendor | target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value |
|
Famille d'OS de l'appareil de destination (dst_osfamily) | PanOSDestinationDeviceOSFamily | dst_osfamily | target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value |
|
Version de l'OS de l'appareil de destination (dst_osversion) | PanOSDestinationDeviceOSVersion | target.asset.software.version | ||
Nom d'hôte de destination (dst_host) | PanOSDestinationDeviceHost | target.hostname | ||
Adresse MAC de destination (dst_mac) | PanOSDestinationDeviceMac | target.mac | ||
Numéro de séquence (seqno) | PanOSLogTypeSeqNo | metadata.product_log_id | ||
Indicateurs d'action | PanOSActionFlags | indicateurs d'action | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Hiérarchie des groupes d'appareils (dg_hier_level_1) | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Hiérarchie des groupes d'appareils (dg_hier_level_2) | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Hiérarchie des groupes d'appareils (dg_hier_level_3) | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Hiérarchie des groupes d'appareils (dg_hier_level_4) | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Nom du système virtuel (vsys_name) | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|||
Nom de l'appareil (device_name) | intermediary.hostname | |||
ID du système virtuel (vsys_id) | principal.resource.resource_type=VIRTUAL_MACHINE et principal.resource.product_object_id | |||
Sous-catégorie de l'application (sous-catégorie_de_l'application) | subcategory_of_app | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
||
Catégorie d'application (category_of_app) | category_of_app | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
||
Technologie d'application (technologie_des_applications) | technology_of_app | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
||
Risque lié à l'application (risque_de_l'application) | security_result.severity | |||
Caractéristique de l'application (characteristic_of_app) | characteristic_of_app | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
||
Conteneur d'application (container_of_app) | container_of_app | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
||
Application SaaS (is_saas_of_app) | is_saas_of_app | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
||
État de l'application sanctionnée (sanctioned_state_of_app) | sanctioned_state_of_app | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Option de routage
Le tableau suivant répertorie les champs de journal du type de journal de tunnel et les champs UDM correspondants.
Champ CSV | Champ CEF | Champ LEEF | Clé d'étiquette Chronicle | Champ UDM |
---|---|---|---|---|
Heure de réception (receive_time ou cef-formatted-receive_time) | rt | devTime | "metadata.collected_timestamp",
métadonnées.event_timestamp (si la valeur "Generate Time" est absente) |
|
Numéro de série | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
Type | type (en-tête) | cat | metadata.product_event_type | |
Type de menace/contenu (sous-type) | sous-type (En-tête) | Sous-type | metadata.product_event_type | |
Heure de génération (time_generated ou cef-formatted-time_generated) | metadata.event_timestamp | |||
Adresse source (src) | src | src | principal.ip | |
Adresse de destination (dst) | dst | dst | target.ip | |
Adresse IP source NAT (natsrc) | sourceTranslatedAddress | srcPostNAT | principal.nat_ip | |
Adresse IP de destination NAT (natdst) | destinationTranslatedAddress | dstPostNAT | target.nat_ip | |
Nom de la règle (règle) | cs1 | RuleName | security_result.rule_name | |
Utilisateur source (srcuser) | Suser | SourceUser / usrName | principal.user.userid | |
Utilisateur de destination (dstuser) | CANNOT TRANSLATE | DestinationUser | target.user.userid | |
Application | app | Application | network.application_protocol | |
Système virtuel (vsys) | cs3 | VirtualSystem | Vsys | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Zone source (depuis) | cs4 | SourceZone | depuis | principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value |
Zone de destination (vers) | cs5 | DestinationZone | pour | target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value |
Interface entrante (inbound_if) | deviceInboundInterface | IngressInterface | inbound_if | principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value |
Interface sortante (outbound_if) | deviceOutboundInterface | EgressInterface | outbound_if | target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value |
Action de journal (ensemble de journaux) | cs6 | LogForwardingProfile | Ensemble de journaux | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
ID de session (sessionid) | cn1 | SessionID | network.session_id | |
Nombre de répétitions (répétition) | cnt | RepeatCount | Répéter | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Port source (sport) | spt | srcPort | principal.port | |
Port de destination (dport) | dpt | dstPort | target.port | |
Port source NAT (natsport) | sourceTranslatedPort | srcPostNATPort | principal.nat_port | |
Port de destination NAT (natdport) | destinationTranslatedPort | dstPostNATPort | target.nat_port | |
Indicateurs | flexString1 | Options | flags | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Protocole IP (proto) | proto | proto | network.ip_protocol | |
Action (action) | act | action | security_result.action_details
security_result.action |
|
Gravité | security_result.depth et security_result.depth_details | |||
Numéro de séquence (seqno) | externalId | séquence | metadata.product_log_id | |
Indicateurs d'action | PanOSActionFlags | ActionFlags | indicateurs d'action | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Emplacement de la source (srcloc) | principal.location.country_or_region | |||
Emplacement de destination (dstloc) | target.location.country_or_region | |||
Hiérarchie des groupes d'appareils (dg_hier_level_1) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Hiérarchie des groupes d'appareils (dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Hiérarchie des groupes d'appareils (dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Hiérarchie des groupes d'appareils (dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Nom du système virtuel (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
Nom de l'appareil (device_name) | dvchost | DeviceName | intermediary.hostname | |
ID de tunnel (ID de tunnel) | PanOSTunnelID | TunnelID | identifiant tunnel | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Balise Monitor (balise moniteur) | PanOSMonitorTag | MonitorTag | moniteur | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
ID de session parente (parent_session_id) | PanOSParentSessionID | ParentSessionID | parent_session_id | network.parent_session_id |
Heure de début du parent (parent_start_time) | PanOSParentStartTime | ParentStartTime | parent_start_time | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Type de tunnel (tunnel) | cs2 | TunnelType | tunnel | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Octets (octets) | flexNumber1 | totalBytes | bytes | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Octets envoyés (bytes_sent) | in | srcBytes | network.sent_bytes | |
Octets reçus (bytes_received) | interprétés. | dstBytes | network.received_bytes | |
Paquets (paquets) | cn2 | totalPackets | paquets | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Paquets envoyés (pkts_sent) | PanOSPacketsSent | srcPackets | pkts_sent | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Paquets reçus (pkts_received) | PanOSPacketsReceived | dstPackets | pkts_received | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Encapsulation maximale (max_encap) | flexNumber2 | MaximumEncapsulation | max_encap | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Protocole inconnu (unknown_proto) | cfp1 | UnknownProtocol | unknown_proto | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Vérification stricte (strict_check) | cfp2 | StrictChecking | strict_check | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Fragment de tunnel (tunnel_fragment) | PanOSTunnelFragment | TunnelFragment | tunnel_fragment | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Sessions créées (sessions_created) | cfp3 | SessionsCreated | sessions_created | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Sessions fermées (sessions_closed) | cfp4 | SessionsClosed | sessions_closed | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Motif de fin de session (session_end_reason) | reason | SessionEndReason | security_result.summary | |
Source de l'action (action_source) | cat | ActionSource | action_source | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Heure de début (début) | startTime | Départ | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Temps écoulé | cn3 | ElapsedTime | écoulé | network.session_duration.seconds |
Règle d'inspection de tunnel (tunnel_insp_rule) | PanOSTunneInspectionRule | security_result.rule_name = "Tunnel Inspection Rule: %{PanOSTunnelInspectionRule}" | ||
Adresse IP de l'utilisateur distant (remote_user_ip) | PanOSRmtUserIP | target.ip | ||
ID utilisateur distant (remote_user_id) | PanOSRmtUserID | remote_user_id | target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value |
|
UUID de la règle de sécurité (rule_uuid) | PanOSRuleUUID | security_result.rule_id | ||
ID PCAP (pcap_id) | PanOSPcapID | pcap_id | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Nom du groupe d'utilisateurs dynamique (dynusergroup_name) | PanDynamicUsrgrp | principal.group.group_display_name | ||
Liste dynamique externe source (src_edl) | PanOSSourceEDL | src_edl | principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value |
|
Liste dynamique externe de destination (dst_edl) | PanOSDestinationEDL | dst_edl | target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value |
|
Code temporel haute résolution (horodatage haute résolution) | PanOSTimeGeneratedHighResolution | "metadata.collected_timestamp",
métadonnées.event_timestamp (si la valeur "Generate Time" est absente) |
||
Un différenciateur de segment d'application (nssai_sd) | nssai_sd | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
||
Un type de service de segment d'application (nssai_sd) | nssai_sd1 | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
||
ID de session PDU (pdu_session_id) | pdu_session_id | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
||
Sous-catégorie de l'application (sous-catégorie_de_l'application) | subcategory_of_app | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
||
Catégorie d'application (category_of_app) | category_of_app | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
||
Technologie d'application (technologie_des_applications) | technology_of_app | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
||
Risque lié à l'application (risque_de_l'application) | risk_of_app | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
||
Caractéristique de l'application (characteristic_of_app) | characteristic_of_app | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
||
Conteneur d'application (container_of_app) | container_of_app | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
||
Application SaaS (is_saas_of_app) | is_saas_of_app | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
||
État de l'application sanctionnée (sanctioned_state_of_app) | sanctioned_state_of_app | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Ratio d'économie d'énergie (EER)
Le tableau suivant répertorie les champs de journal du type de journal d'authentification et les champs UDM correspondants.
Champ CSV | Champ CEF | Champ LEEF | Clé d'étiquette Chronicle | Champ UDM |
---|---|---|---|---|
Heure de réception (receive_time ou cef-formatted-receive_time) | rt | devTime | "metadata.collected_timestamp",
métadonnées.event_timestamp (si la valeur "Generate Time" est absente) |
|
Numéro de série | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
Type | type (en-tête) | cat | metadata.product_event_type | |
Type de menace/contenu (sous-type) | sous-type (En-tête) | Sous-type | metadata.product_event_type | |
Heure de génération (time_generated ou cef-formatted-time_generated) | metadata.event_timestamp | |||
Système virtuel (vsys) | cs3 | VirtualSystem | Vsys | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Adresse IP source (IP) | src | src | principal.ip | |
Utilisateur | CANNOT TRANSLATE | usrName | target.user.userid | |
Normaliser l'utilisateur (normalize_user) | cs2 | NormalizeUser | target.user.user_display_name | |
Objet | fname | ObjectName | objet | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Règle d'authentification (authpolicy) | cs4 | AuthPolicy | Politique d'authentification | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Nombre de répétitions (répétition) | cnt | RepeatCount | Répéter | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Identifiant d'authentification (authid) | cn2 | AuthenticationID | authid | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Fournisseur | flexString2 | Fournisseur | vendor | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Action de journal (ensemble de journaux) | cs6 | LogForwardingProfile | Ensemble de journaux | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Profil de serveur (profil de serveur) | cs1 | ServerProfile | profil_serveur | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Description (déc.) | PanOSDesc | AdditionalAuthInfo | security_result.description | |
Type de client (clienttype) | cs5 | ClientType | type de client | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Type d'événement (événement) | msg | msg | extensions.auth.auth_details | |
Facteur (factorno) | cn1 | FactorNumber | factorno | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Numéro de séquence (seqno) | externalId | séquence | metadata.product_log_id | |
Indicateurs d'action | PanOSActionFlags | ActionFlags | indicateurs d'action | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Hiérarchie des groupes d'appareils (dg_hier_level_1) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Hiérarchie des groupes d'appareils (dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Hiérarchie des groupes d'appareils (dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Hiérarchie des groupes d'appareils (dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Nom du système virtuel (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
Nom de l'appareil (device_name) | dvchost | DeviceName | intermediary.hostname | |
ID du système virtuel (vsys_id) | principal.resource.resource_type=VIRTUAL_MACHINE et principal.resource.product_object_id | |||
Protocole d'authentification (authproto) | authproto | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
||
UUID de la règle (rule_uuid) | PanOSRuleUUID/RuleUUID | security_result.rule_id | ||
Code temporel haute résolution (high_res _timestamp) | PanOSTimeGeneratedHighResolution | "metadata.collected_timestamp",
métadonnées.event_timestamp (si la valeur "Generate Time" est absente) |
||
Catégorie d'appareil source (src_category) | PanOSSourceDeviceCategory | src_category | principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value |
|
Profil de l'appareil source (src_profile) | PanOSSourceDeviceProfile | src_profile | principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value |
|
Modèle de l'appareil source (src_model) | PanOSSourceDeviceModel | src_model | principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value |
|
Fournisseur de l'appareil source (src_vendor) | PanOSSourceDeviceVendor | src_vendor | principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value |
|
Famille d'OS de l'appareil source (src_osfamily) | PanOSSourceDeviceOSFamily | principal.asset.platform_software.platform principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value |
||
Version de l'OS de l'appareil source (src_osversion) | PanOSSourceDeviceOSVersion | principal.asset.software.version | ||
Nom d'hôte source (src_host) | PanOSSourceHostname | principal.hostname | ||
Adresse MAC source (src_mac) | PanOSSourceMac | principal.asset.mac | ||
Région (region) | PanOSTrafficOriginRegion | principal.location.country_or_region | ||
User-agent (user_agent) | PanOSHTTPUserAgent | network.http.user_agent | ||
ID de session(ID de session) | PanOSTrafficSessionID | network.session_id |
URL
Le tableau suivant répertorie les champs de journal du type de journal d'URL et les champs UDM correspondants.
Champ CSV | Champ CEF | Champ LEEF | Clé d'étiquette Chronicle | Champ UDM |
---|---|---|---|---|
Heure de réception (cef-formatted-receive_time) | rt | devTime | "metadata.collected_timestamp",
métadonnées.event_timestamp (si la valeur "Generate Time" est absente) |
|
Numéro de série | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
Type | type (en-tête) | cat | metadata.product_event_type | |
Type de menace/contenu (sous-type) | sous-type (En-tête) | Sous-type | metadata.product_event_type | |
Heure de génération | metadata.event_timestamp | |||
Adresse source (src) | src | src | principal.ip | |
Adresse de destination (dst) | dst | dst | target.ip | |
Adresse IP source NAT (natsrc) | sourceTranslatedAddress | srcPostNAT | principal.nat_ip | |
Adresse IP de destination NAT (natdst) | destinationTranslatedAddress | dstPostNAT | target.nat_ip | |
Règle (règle) | cs1 | RuleName | security_result.rule_name | |
Utilisateur source (srcuser) | Suser | SourceUser | principal.user.userid | |
Utilisateur de destination (dstuser) | CANNOT TRANSLATE | DestinationUser | target.user.userid | |
Application | app | Application | network.application_protocol | |
Système virtuel (vsys) | cs3 | VirtualSystem | Vsys | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Zone source (depuis) | cs4 | SourceZone | depuis | principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value |
Zone de destination (vers) | cs5 | DestinationZone | pour | target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value |
Interface entrante (inbound_if) | deviceInboundInterface | IngressInterface | inbound_if | principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value |
Interface sortante (outbound_if) | deviceOutboundInterface | EgressInterface | outbound_if | target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value |
Action de journal (ensemble de journaux) | cs6 | LogForwardingProfile | Ensemble de journaux | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Durée d'enregistrement | time_logged | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
||
ID de session (sessionid) | cn1 | SessionID | network.session_id | |
Nombre de répétitions (répétition) | cnt | RepeatCount | Répéter | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Port source (sport) | spt | srcPort | principal.port | |
Port de destination (dport) | dpt | dstPort | target.port | |
Port source NAT (natsport) | sourceTranslatedPort | srcPostNATPort | principal.nat_port | |
Port de destination NAT (natdport) | destinationTranslatedPort | dstPostNATPort | target.nat_port | |
Indicateurs | flexString1 | Options | flags | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Protocole IP (proto) | proto | proto | network.ip_protocol | |
Action (action) | act | action | security_result.action_details
security_result.action |
|
URL/Nom de fichier (divers) | Autres | target.file.full_path
target.url |
||
Nom de la menace/du contenu (menace) | cat | ThreatID | security_result.threat_id | |
Catégorie | cs2 | URLCategory | category | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Gravité | number-of-depth (en-tête) | Niveau de gravité | security_result.severity
security_result.severity_details |
|
Sens (direction) | flexString2 | Direction | network.direction | |
Numéro de séquence (seqno) | externalId | séquence | metadata.product_log_id | |
Indicateurs d'action | PanOSActionFlags | ActionFlags | indicateurs d'action | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Pays de la source (srcloc) | SourceLocation | principal.location.country_or_region | ||
Pays de destination (dstloc) | DestinationLocation | target.location.country_or_region | ||
contenttype (contenttype) (type de contenu) | requestContext | ContentType | type de contenu | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
pcap_id (pcap_id) | fileId | PCAP_ID | pcap_id | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
filedigest (filedigest) | FileDigest | about.file.sha1/md5/sha256 | ||
cloud (cloud) | Cloud | cloud | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
url_idx (id_url) | URLIndex | url_idx | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
user_agent (user_agent) | requestClientApplication | UserAgent | network.http.user_agent | |
filetype (type de fichier) | about.file.mime_type | |||
xff (xff) | PanOSXForwarderfor | identSrc | Xff | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
URL de provenance | PanOSReferer | Référent | network.http.referral_url | |
expéditeur (expéditeur) | network.email.from | |||
subject (objet) | Objet | network.email.subject | ||
destinataire (destinataire) | network.email.to | |||
reportid (reportid) | id_rapport | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
||
Hiérarchie DG de niveau 1 (dg_hier_level_1) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Hiérarchie DG de niveau 2 (dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Hiérarchie DG de niveau 3 (dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Hiérarchie DG de niveau 4 (dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Nom du système virtuel (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
Nom de l'appareil (device_name) | dvchost | DeviceName | intermediary.hostname | |
file_url (file_url) | about.url | |||
UUID de la VM source (src_uuid) | SrcUUID | principal.asset.asset_id | ||
UUID de la VM de destination (dst_uuid) | DstUUID | target.asset.asset_id | ||
http_method (http_method) | requestMethod | RequestMethod | network.http.method | |
ID de tunnel/IMSI (ID de tunnel) | PanOSTunnelID | TunnelID | identifiant tunnel | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Balise Monitor/IMEI (balise moniteur) | PanOSMonitorTag | MonitorTag | moniteur | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
ID de session parente (parent_session_id) | PanOSParentSessionID | ParentSessionID | parent_session_id | network.parent_session_id |
Heure de début de la session parente (parent_start_time) | PanOSParentStartTime | ParentStartTime | parent_start_time | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Tunnel (tunnel) | PanOSTunnelType | TunnelType | tunnel | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
thr_category (thr_category) | PanOSThreatCategory | ThreatCategory | thr_category | security_result.detection_fields.key/value |
contentver (contentver) | PanOSContentVer | ContentVer | Contentver | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
sig_flags (sig_flags) | sig_flags | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
||
ID d'association SCTP (assoc_id) | PanOSAssocID | assoc_id | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
ID de protocole de charge utile (ppid) | PanOSPPID | ppid | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
http_headers (http_headers) | PanOSHTTPHeader | http_headers | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Liste des catégories d'URL (url_category_list) | PanOSURLCatList | url_category_list | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
UUID de la règle (rule_uuid) | PanOSRuleUUID | rule_uuid | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Connexion HTTP/2 (http2_connection) | PanOSHTTP2Con | http2_connection | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
dynusergroup_name (dynusergroup_name) | PanDynamicUsrgrp | dynusergroup_name | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Adresse XFF (xff_ip) | PanXFFIP | principal.ip | ||
Catégorie d'appareil source (src_category) | PanSrcDeviceCat | src_category | principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value |
|
Profil de l'appareil source (src_profile) | PanSrcDeviceProf | src_profile | principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value |
|
Modèle de l'appareil source (src_model) | PanSrcDeviceModel | src_model | principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value |
|
Fournisseur de l'appareil source (src_vendor) | PanSrcDeviceVendor | src_vendor | principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value |
|
Famille d'OS de l'appareil source (src_osfamily) | PanSrcDeviceOS | principal.asset.platform_software.platform principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value |
||
Version de l'OS de l'appareil source (src_osversion) | PanSrcDeviceOSv | principal.asset.software.version | ||
Nom d'hôte source (src_host) | PanSrcHostname | src_host | principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value |
|
Adresse Mac source (src_mac) | PanSrcMac | principal.mac | ||
Catégorie d'appareil de destination (dst_category) | PanDstDeviceCat | dst_category | target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value |
|
Profil d'appareil de destination (dst_profile) | PanDstDeviceProf | dst_profile | target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value |
|
Modèle de l'appareil de destination (dst_model) | PanDstDeviceModel | dst_model | target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value |
|
Fournisseur d'appareil de destination (dst_vendor) | PanDstDeviceVendor | dst_vendor | target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value |
|
Famille d'OS de l'appareil de destination (dst_osfamily) | PanDstDeviceOS | target.asset.platform_software.platform
target.labels.key et target.labels.value |
||
Version de l'OS de l'appareil de destination (dst_osversion) | PanDstDeviceOSv | target.asset.software.version | ||
Nom d'hôte de destination (dst_host) | PanPODNamespace | target.hostname | ||
Adresse Mac de destination (dst_mac) | PanDstMac | target.mac | ||
ID du conteneur (container_id) | PanContainerName | container_id | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Espace de noms du POD (pod_namespace) | PanPODNamespace | pod_namespace | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Nom du pod (pod_name) | PanPODName | pod_name | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Liste dynamique externe source (src_edl) | PanSrcEDL | src_edl | principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value |
|
Liste dynamique externe de destination (dst_edl) | PanDstEDL | dst_edl | target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value |
|
ID d'hôte (hostid) | PanGPHostID | id_hôte | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Numéro de série | PanEPSerial | principal.asset.hardware.serial_number | ||
domain_edl (domain_edl) | PanDomainEDL | domain_edl | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Groupe d'adresses dynamiques source (src_dag) | PanSrcDAG | principal.group.group_display_name | ||
Groupe d'adresses dynamiques de destination (dst_dag) | PanDstDAG | target.group.group_display_name | ||
partial_hash (partial_hash) | PanPartialHash | partial_hash | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Code temporel haute résolution (high_res_timestamp) | PanTimeHighRes | "metadata.collected_timestamp",
métadonnées.event_timestamp (si la valeur "Generate Time" est absente) |
||
Motif | PanReasonFilteringAction | reason | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
justification (justification) | PanJustification | justification | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
nssai_sst (nssai_sst) | PanASServiceType | nssai_sst | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Sous-catégorie de l'application (subcategory_of_app) | subcategory_of_app | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
||
Catégorie de l'application ("category_of_app") | category_of_app | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
||
Technologie de l'application (technology_of_app) | technology_of_app | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
||
Risque lié à l'application (risque_de_l'application) | risk_of_app | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
||
Caractéristique de l'application (characteristic_of_app) | characteristic_of_app | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
||
Conteneur de l'application (container_of_app) | container_of_app | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
||
Application en tunnel (tunneled_app) | tunneled_app | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
||
SaaS de l'application (is_saas_of_app) | is_saas_of_app | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
||
État de l'application sanctionné (sanctioned_state_of_app) | sanctioned_state_of_app | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Données
Le tableau suivant répertorie les champs de journal du type de journal de données et les champs UDM correspondants.
Champ CSV | Champ CEF | Champ LEEF | Clé d'étiquette Chronicle | Champ UDM |
---|---|---|---|---|
Heure de réception (cef-formatted-receive_time) | rt | devTime | "metadata.collected_timestamp",
métadonnées.event_timestamp (si la valeur "Generate Time" est absente) |
|
Numéro de série | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
Type | type (en-tête) | cat | metadata.product_event_type | |
Type de menace/contenu (sous-type) | sous-type (En-tête) | Sous-type | metadata.product_event_type | |
Heure de génération | metadata.event_timestamp | |||
Adresse source (src) | src | src | principal.ip | |
Adresse de destination (dst) | dst | dst | target.ip | |
Adresse IP source NAT (natsrc) | sourceTranslatedAddress | srcPostNAT | principal.nat_ip | |
Adresse IP de destination NAT (natdst) | destinationTranslatedAddress | dstPostNAT | target.nat_ip | |
Règle (règle) | cs1 | RuleName | security_result.rule_name | |
Utilisateur source (srcuser) | Suser | SourceUser | principal.user.userid | |
Utilisateur de destination (dstuser) | CANNOT TRANSLATE | DestinationUser | target.user.userid | |
Application | app | Application | network.application_protocol | |
Système virtuel (vsys) | cs3 | VirtualSystem | Vsys | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Zone source (depuis) | cs4 | SourceZone | depuis | principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value |
Zone de destination (vers) | cs5 | DestinationZone | pour | target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value |
Interface entrante (inbound_if) | deviceInboundInterface | IngressInterface | inbound_if | principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value |
Interface sortante (outbound_if) | deviceOutboundInterface | EgressInterface | outbound_if | target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value |
Action de journal (ensemble de journaux) | cs6 | LogForwardingProfile | Ensemble de journaux | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Durée d'enregistrement | time_logged | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
||
ID de session (sessionid) | cn1 | SessionID | network.session_id | |
Nombre de répétitions (répétition) | cnt | RepeatCount | Répéter | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Port source (sport) | spt | srcPort | principal.port | |
Port de destination (dport) | dpt | dstPort | target.port | |
Port source NAT (natsport) | sourceTranslatedPort | srcPostNATPort | principal.nat_port | |
Port de destination NAT (natdport) | destinationTranslatedPort | dstPostNATPort | target.nat_port | |
Indicateurs | flexString1 | Options | flags | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Protocole IP (proto) | proto | proto | network.ip_protocol | |
Action (action) | act | action | security_result.action_details
security_result.action |
|
URL/Nom de fichier (divers) | Autres | target.file.full_path
target.url |
||
Nom de la menace/du contenu (menace) | cat | ThreatID | security_result.threat_id | |
Catégorie | cs2 | URLCategory | category | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Gravité | number-of-depth (en-tête) | Niveau de gravité | security_result.severity
security_result.severity_details |
|
Sens (direction) | flexString2 | Direction | network.direction | |
Numéro de séquence (seqno) | externalId | séquence | metadata.product_log_id | |
Indicateurs d'action | PanOSActionFlags | ActionFlags | indicateurs d'action | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Pays de la source (srcloc) | SourceLocation | principal.location.country_or_region | ||
Pays de destination (dstloc) | DestinationLocation | target.location.country_or_region | ||
contenttype (contenttype) (type de contenu) | ContentType | type de contenu | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
pcap_id (pcap_id) | fileId | PCAP_ID | pcap_id | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
filedigest (filedigest) | FileDigest | about.file.sha1/md5/sha256 | ||
cloud (cloud) | Cloud | cloud | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
url_idx (id_url) | URLIndex | url_idx | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
user_agent (user_agent) | network.http.user_agent | |||
filetype (type de fichier) | about.file.mime_type | |||
xff (xff) | Xff | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
||
URL de provenance | network.http.referral_url | |||
expéditeur (expéditeur) | network.email.from | |||
subject (objet) | Objet | network.email.subject | ||
destinataire (destinataire) | network.email.to | |||
reportid (reportid) | id_rapport | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
||
Hiérarchie DG de niveau 1 (dg_hier_level_1) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Hiérarchie DG de niveau 2 (dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Hiérarchie DG de niveau 3 (dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Hiérarchie DG de niveau 4 (dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Nom du système virtuel (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
Nom de l'appareil (device_name) | dvchost | DeviceName | intermediary.hostname | |
file_url (file_url) | about.url | |||
UUID de la VM source (src_uuid) | SrcUUID | principal.asset.asset_id | ||
UUID de la VM de destination (dst_uuid) | DstUUID | target.asset.asset_id | ||
http_method (http_method) | RequestMethod | network.http.method | ||
ID de tunnel/IMSI (ID de tunnel) | PanOSTunnelID | TunnelID | identifiant tunnel | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Balise Monitor/IMEI (balise moniteur) | PanOSMonitorTag | MonitorTag | moniteur | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
ID de session parente (parent_session_id) | PanOSParentSessionID | ParentSessionID | parent_session_id | network.parent_session_id |
Heure de début de la session parente (parent_start_time) | PanOSParentStartTime | ParentStartTime | parent_start_time | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
Tunnel (tunnel) | PanOSTunnelType | TunnelType | tunnel | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
thr_category (thr_category) | PanOSThreatCategory | ThreatCategory | thr_category | security_result.detection_fields.key/value |
contentver (contentver) | PanOSContentVer | ContentVer | Contentver | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
sig_flags (sig_flags) | sig_flags | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
||
ID d'association SCTP (assoc_id) | PanOSAssocID | assoc_id | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
ID de protocole de charge utile (ppid) | PanOSPPID | ppid | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
http_headers (http_headers) | PanOSHTTPHeader | http_headers | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Liste des catégories d'URL (url_category_list) | url_category_list | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
||
UUID de la règle (rule_uuid) | PanOSRuleUUID | rule_uuid | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Connexion HTTP/2 (http2_connection) | http2_connection | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
||
dynusergroup_name (dynusergroup_name) | dynusergroup_name | principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value |
||
Adresse XFF (xff_ip) | principal.ip | |||
Catégorie d'appareil source (src_category) | src_category | principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value |
||
Profil de l'appareil source (src_profile) | src_profile | principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value |
||
Modèle de l'appareil source (src_model) | src_model | principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value |
||
Fournisseur de l'appareil source (src_vendor) | src_vendor | principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value |
||
Famille d'OS de l'appareil source (src_osfamily) | principal.asset.platform_software.platform principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value |
|||
Version de l'OS de l'appareil source (src_osversion) | principal.asset.software.version | |||
Nom d'hôte source (src_host) | src_host | principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value |
||
Adresse Mac source (src_mac) | principal.mac | |||
Catégorie d'appareil de destination (dst_category) | dst_category | target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value |
||
Profil d'appareil de destination (dst_profile) | dst_profile | target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value |
||
Modèle de l'appareil de destination (dst_model) | dst_model | target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value |
||
Fournisseur d'appareil de destination (dst_vendor) | dst_vendor | target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value |
||
Famille d'OS de l'appareil de destination (dst_osfamily) | target.asset.platform_software.platform
target.labels.key et target.labels.value |
|||
Version de l'OS de l'appareil de destination (dst_osversion) | target.asset.software.version | |||
Nom d'hôte de destination (dst_host) | target.hostname | |||
Adresse Mac de destination (dst_mac) | target.mac | |||
ID du conteneur (container_id) | container_id | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
||
Espace de noms du POD (pod_namespace) | pod_namespace | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
||
Nom du pod (pod_name) | pod_name | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
||
Liste dynamique externe source (src_edl) | src_edl | principal.labels.key et principal.labels.value additional.fields.key et additional.fields.value.string_value |
||
Liste dynamique externe de destination (dst_edl) | dst_edl | target.labels.key et target.labels.value additional.fields.key et additional.fields.value.string_value |
||
ID d'hôte (hostid) | id_hôte | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
||
Numéro de série | principal.asset.hardware.serial_number | |||
domain_edl (domain_edl) | domain_edl | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
||
Groupe d'adresses dynamiques source (src_dag) | principal.group.group_display_name | |||
Groupe d'adresses dynamiques de destination (dst_dag) | target.group.group_display_name | |||
partial_hash (partial_hash) | partial_hash | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
||
Code temporel haute résolution (high_res_timestamp) | "metadata.collected_timestamp",
métadonnées.event_timestamp (si la valeur "Generate Time" est absente) |
|||
Motif | reason | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
||
justification (justification) | justification | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
||
nssai_sst (nssai_sst) | nssai_sst | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
||
Sous-catégorie de l'application (subcategory_of_app) | subcategory_of_app | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
||
Catégorie de l'application ("category_of_app") | category_of_app | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
||
Technologie de l'application (technology_of_app) | technology_of_app | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
||
Risque lié à l'application (risque_de_l'application) | risk_of_app | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
||
Caractéristique de l'application (characteristic_of_app) | characteristic_of_app | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
||
Conteneur de l'application (container_of_app) | container_of_app | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
||
Application en tunnel (tunneled_app) | tunneled_app | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
||
SaaS de l'application (is_saas_of_app) | is_saas_of_app | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
||
État de l'application sanctionné (sanctioned_state_of_app) | sanctioned_state_of_app | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
GlobalProtect
Le tableau suivant répertorie les champs de journal du type de journal GlobalProtect et les champs UDM correspondants.
Champ CSV | Champ CEF | Champ LEEF | Clé d'étiquette Chronicle | Champ UDM |
---|---|---|---|---|
Heure de réception (receive_time) | rt | received_time | metadata.event_timestamp | |
Numéro de série | PanOSDeviceSN | intermediary_asset_hardware_serial_number | intermediary.asset.hardware.serial_number | |
Type | type (en-tête) | metadata.product_event_type | ||
Type de menace/contenu (sous-type) | sous-type (En-tête) | Sous-type | metadata.product_event_type | |
Heure de génération (time_generated) | PanOSLogTimeStamp | generated_timestamp | metadata.event_timestamp | |
Système virtuel (vsys) | PanOSVirtualSystem | Vsys | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
ID de l'événement (eventid) | PanOSEventID | event_id | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Étape | PanOSStage | étape | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Méthode d'authentification (auth_method) | PanOSAuthMethod | extension_auth_auth_details | extensions.auth.auth_details | |
Type de tunnel (tunnel_type) | PanOSTunnelType | tunnel | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Utilisateur source (srcuser) | PanOSSourceUserName | src_user | principal.user.email_address
principal.user.userid principal.administrative_domain |
|
Région source (srcregion) | PanOSSourceRegion | src_region | principal.location.country_or_region | |
Nom de la machine (nom de la machine) | PanOSEndpointDeviceName | machine_name | principal.hostname | |
Adresse IP publique (public_ip) | PanOSPublicIPv4 | principal.nat_ip | ||
Adresse IPv6 publique (public_ipv6) | PanOSPublicIPv6 | principal.nat_ip | ||
Adresse IP privée (private_ip) | PanOSPrivateIPv4 | principal.ip | ||
IPv6 privé (private_ipv6) | PanOSPrivateIPv6 | principal.ip | ||
ID d'hôte (hostid) | PanOSHostID | id_hôte | principal.asset.asset_id | |
Numéro de série | PanOSDeviceSN | principal.asset.hardware.serial_number | ||
Version du client (client_ver) | PanOSGlobalProtectClientVersion | client_ver | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Système d'exploitation client (client_os) | PanOSEndpointOSType | principal.asset.platform_software.platform(enum) | ||
Version de l'OS client (client_os_ver) | PanOSEndpointOSVersion | principal.asset.platform_software.platform_version | ||
Nombre de répétitions (répétition) | PanOSCountOfRepeats | Répéter | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Motif | PanOSQuarantineReason | security_result.summary | ||
Erreur (erreur) | PanOSConnectionError | error | security_result.description | |
Description (opaque) | PanOSDescription | security_result.description | ||
État (état) | PanOSEventStatus | état | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Emplacement | PanOSGPGatewayLocation | target.location.country_or_region | ||
Durée de connexion (login_duration) | PanOSLoginDuration | network.session_duration | ||
Méthode Connect (connect_method) | PanOSConnectionMethod | connect_method | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Code d'erreur (error_code) | PanOSConnectionErrorID | error_code | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Portail (portail) | PanOSPortal | portail | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Numéro de séquence (seqno) | PanOSSequenceNo | metadata.product_log_id | ||
Indicateurs d'action | PanOSActionFlags | indicateurs d'action | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Code temporel haute résolution (high_res_timestamp) | anOSTimeGeneratedHighResolution | "metadata.collected_timestamp",
métadonnées.event_timestamp (si la valeur "Generate Time" est absente) |
||
Méthode de sélection de la passerelle (selection_type) | PanOSGatewaySelectionType | selection_type | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Temps de réponse SSL (response_time) | PanOSSSLResponseTime | response_time | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Priorité de la passerelle (priorité) | PanOSGatewayPriority | priority | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Tentatives de passerelles (attempted_gateways) | PanOSAttemptedGateways | attempted_gateways | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Nom de la passerelle (passerelle) | PanOSAttemptedGateways | passerelle | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Hiérarchie des groupes d'appareils (dg_hier_level_1) | dg_hier_level_1 | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
||
Hiérarchie des groupes d'appareils (dg_hier_level_2) | dg_hier_level_2 | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
||
Hiérarchie des groupes d'appareils (dg_hier_level_3) | dg_hier_level_3 | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
||
Hiérarchie des groupes d'appareils (dg_hier_level_4) | dg_hier_level_4 | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
||
Nom du système virtuel (vsys_name) | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|||
Nom de l'appareil (device_name) | target.hostname | |||
ID du système virtuel (vsys_id) | principal.resource.resource_type=VIRTUAL_MACHINE et principal.resource.product_object_id |
Corrélation
Le tableau suivant répertorie les champs de journal de type "corrélation" et les champs UDM correspondants.
Champ CSV | Champ CEF | Champ LEEF | Clé d'étiquette Chronicle | Champ UDM |
---|---|---|---|---|
Heure de génération (time_generated ou cef-formatted-time_generated) | startTime | generated_timestamp | metadata.event_timestamp | |
Adresse source (src) | src | principal.ip | ||
Utilisateur source (srcuser) | SourceUser / usrName | principal.user.userid | ||
Système virtuel (vsys) | VirtualSystem | Vsys | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
|
Catégorie | security_result.category_details | |||
Gravité | Niveau de gravité | security_result.depth et security_result.depth_details | ||
Hiérarchie des groupes d'appareils niveau 1 | DeviceGroupHierarchyL1 | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
||
Hiérarchie des groupes d'appareils niveau 2 | DeviceGroupHierarchyL2 | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
||
Hiérarchie des groupes d'appareils niveau 3 | DeviceGroupHierarchyL3 | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
||
Hiérarchie des groupes d'appareils niveau 4 | DeviceGroupHierarchyL4 | about.labels.key et about.labels.value additional.fields.key et additional.fields.value.string_value |
||
Nom du système virtuel (vsys_name) | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
||
Nom de l'appareil (device_name) | DeviceName | intermediary.hostname | ||
ID du système virtuel (vsys_id) | VirtualSystemID | principal.resource.resource_type=VIRTUAL_MACHINE et principal.resource.product_object_id | ||
Nom de l'objet (objectname) | ObjectName | target.resource.name | ||
ID de l'objet (object_id) | ObjectID | target.resource.product_object_id |
Documentation de référence sur le mappage de champs: types de journaux et types d'événement UDM
Le tableau suivant répertorie les types de journaux de pare-feu Palo Alto Networks et les types d'événements UDM correspondants.
Type de journal | Type d'événement UDM |
Le trafic | NETWORK_CONNECTION |
Menace | NETWORK_CONNECTION |
Filtrage des URL | NETWORK_CONNECTION |
WildFire | NETWORK_CONNECTION
Les journaux d'envois WildFire sont un sous-type du type de journal Threat et utilisent le même format syslog. |
Filtrage des données | NETWORK_CONNECTION |
Option de routage | NETWORK_CONNECTION |
Configuration | SETTING_MODIFICATION/SETTING_CREATION/SETTING_DELETION/SETTING_UNCATEGORIZED
La valeur du champ "Commande (cmd)" détermine le mappage des types d'événements UDM. Si la valeur du champ cmd est "add" ou "clone", le paramètre SETTING_CREATION est défini. Si la valeur du champ cmd est "delete", le paramètre SETTING_DELETION est défini. Si la valeur du champ cmd est "edit", "déplacer", "renommer", "définir" ou "valider", le paramètre SETTING_MODIFICATION est défini. Si la valeur du champ cmd ne contient aucune valeur, SETTING_UNCATEGORIZED est défini. |
Système |
Si la valeur de sous-type est "dhcp", alors NETWORK_DHCP est défini. Si la valeur de sous-type est "auth", alors USER_CONNECT est défini. Pour les autres valeurs du sous-type, GENERIC_EVENT est défini. |
HIP Match | NETWORK_CONNECTION |
Tag IP | GENERIC_EVENT |
User-ID | USER_LOGIN/USER_LOGOUT/USER_UNCATEGORIZED
Si la valeur du sous-type est "login", alors USER_CONNECT est défini. Si la valeur de sous-type est "logout", USER_LOGOUT est défini. Si le sous-type ne contient aucune valeur, USER_UNCATEGORIZED est défini. |
Déchiffrement | NETWORK_CONNECTION |
Ratio d'économie d'énergie (EER) | GENERIC_EVENT |