Collecter les journaux de pare-feu Palo Alto Networks
Présentation
Ce document explique comment configurer syslog et un redirecteur Chronicle pour collecter les journaux de pare-feu Palo Alto Networks. Ce document explique également comment les champs de journal de pare-feu de Palo Alto Networks correspondent aux champs UDM (Chronicle Unified Data Model).
Pour en savoir plus sur l'ingestion de données Chronicle, consultez Ingestion de données vers Chronicle.
Une étiquette d'ingestion identifie l'analyseur qui normalise les données de journal brutes au format UDM structuré. Les informations contenues dans ce document s'appliquent à l'analyseur associé au libellé d'ingestion PAN_FIREWALL.
Avant de commencer
Pour comprendre les composants déployés pour collecter les journaux de pare-feu Palo Alto Networks, examinez l'architecture de déploiement. Chaque déploiement de client peut être différent de cette représentation et peut être plus complexe.
Le schéma suivant montre comment configurer syslog sur un pare-feu Palo Alto Networks et installer un redirecteur Chronicle sur un serveur Linux pour transférer des données de journaux vers Chronicle. L'analyseur est compatible avec les journaux écrits dans les formats de données suivants: CSV, Comma Separated Values (CEF) et Log Event Extended Format (LEEF).
Vérifiez les formats de journaux et les versions de PAN-OS compatibles avec l'analyseur Chronicle. Le tableau suivant répertorie les formats de journaux et les versions de PAN-OS correspondantes compatibles avec l'analyseur Chronicle:
Format de journal Version PAN-OS CSV 10.1.3 EFFET 10,0 LEEF 9.1. Vérifiez les types de journaux de pare-feu Palo Alto Networks compatibles avec l'analyseur Chronicle. L'analyseur Chronicle est compatible avec les types de journaux de pare-feu Palo Alto Networks suivants:
- Trafic
- Menace
- Envois WildFire
- Inspection du tunnel
- Configuration
- Système
- Correspondance HIP
- Tag IP
- User-ID
- Déchiffrement
- Authentification
- Filtrage des URL
- Filtrage des données
- GlobalProtect
- Corrélation
Pour en savoir plus sur les types de journaux de pare-feu Palo Alto Networks, consultez Types de journaux PAN-OS.
Assurez-vous que tous les systèmes de l'architecture de déploiement sont configurés dans le fuseau horaire UTC.
Avant d'utiliser l'analyseur Gold de pare-feu Palo Alto Networks, passez en revue les changements de mappage de champs entre l'analyseur par défaut et l'analyseur Gold répertoriés dans ce document. Dans le cadre de la migration, assurez-vous que les règles, les recherches, les tableaux de bord ou d'autres processus qui dépendent des champs d'origine utilisent les champs mis à jour.
Par exemple, dans l'analyseur par défaut, le champ de journal "category" est mappé au champ UDM "security_result.description". Dans l'analyseur Gold du pare-feu PAN, le champ de journal "category" est mappé au champ UDM "security_result.category_details". Si vous migrez l'analyseur Gold du pare-feu PAN et utilisez "category" dans vos règles, vous devez modifier ces règles pour utiliser le champ UDM "security_result.category_details" de l'analyseur Gold.
Configurer syslog et le redirecteur Chronicle
Pour configurer syslog et le redirecteur Chronicle, procédez comme suit:
Pour surveiller les journaux CSV, configurez le profil de serveur syslog. Pour en savoir plus, consultez la section Configurer le profil de serveur Syslog.
Lorsque vous configurez le profil de serveur Syslog, spécifiez "Default" comme format de journal personnalisé.
Pour surveiller les journaux CEF, configurez le pare-feu Palo Alto Networks de façon à transférer les journaux CEF. Pour en savoir plus, téléchargez le guide PDF d'intégration PAN-OS CEF et consultez la section "Configuration de Palo Alto Networks NGFW pour générer des événements CEF".
Pour surveiller les journaux LEEF, configurez le profil de serveur Syslog. Pour en savoir plus, consultez la section Transfert de journaux personnalisé au format LEEF.
Configurez le redirecteur Chronicle pour envoyer des journaux à Chronicle. Pour en savoir plus, consultez Installer et configurer le redirecteur sous Linux. Voici un exemple de configuration de redirecteur Chronicle:
- syslog: common: enabled: true data_type: PAN_FIREWALL batch_n_seconds: 10 batch_n_bytes: 1048576 tcp_address: 0.0.0.0:10518 connection_timeout_sec: 60
Documentation de référence sur le mappage de champs: champs de journaux de pare-feu PAN et champs UDM
Cette section explique comment l'analyseur mappe les champs du journal de pare-feu Palo Alto Networks sur les champs d'événements Chronicle UDM pour chaque type de journal.
La clé du libellé Chronicle fait référence au nom de la clé mappée dans le champ UDM Labels.key. Par exemple, dans le cas du champ "Système virtuel", le nom du champ est "cs3" au format CEF et "VirtualSystem" au format LEEF. Le champ UDM "about.labels.key" contient la valeur "vsys" et le champ UDM "about.labels.value" contient la valeur de ce champ.
Certains des noms de champs CEF ou LEEF n'ont pas de nom correspondant aux noms des champs CSV. Dans ce cas, si vous ajoutez votre propre nom de variable au format de journal personnalisé dans le profil Syslog, l'analyseur ne le mappe pas au champ UDM.
Reportez-vous aux sections suivantes pour référencer chaque type de journal:
- Système
- Configuration
- Menace/incendie
- Trafic
- ID utilisateur
- Correspondance IPH
- Tag IP
- Déchiffrement
- Tunnel
- Authentification
- URL
- Données
- GlobalProtect
- Corrélation
Système
Le tableau suivant répertorie les champs de journal du type de journal système et les champs UDM correspondants.
| Champ CSV | Champ CEF | Champ LEEF | Clé d'étiquette Chronicle | Champ UDM |
|---|---|---|---|---|
| Heure de réception (receive_time ou cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp (si "Generate Time" est absent) |
|
| Numéro de série (numéro de série) | id_appareilexterne | Numéro de série | intermediary.asset.hardware.serial_number | |
| Type (type) | type (en-tête) | cat | metadata.product_event_type est défini sur "%{type} - %{subtype}". | |
| Menace/Type de contenu (sous-type) | sous-type (en-tête) | Sous-type | metadata.product_event_type est défini sur "%{type} - %{subtype}". | |
| Heure de génération (time_generated ou cef-formatted-time_generated) | metadata.event_timestamp | |||
| Système virtuel (vsys) | cs3 | Système virtuel | Vsys | about.labels.clé/valeur |
| ID de l'événement (eventid) | cat | ID de l'événement | about.labels.clé/valeur | |
| Objet (objet) | fname | Nom de fichier | objet | about.labels.clé/valeur |
| Module (module) | flexString2 | Module | module | about.labels.clé/valeur |
| Gravité (gravité) | $number-of-severity(header) | Gravité | security_result.severity et security_result.severity_details | |
| Description (opaque) | Message | Message | métadonnées.description | |
| Numéro de séquence (seqno) | externalId | séquence | metadata.product_log_id | |
| Indicateurs d'action (indicateurs d'action) | PanOSActionFlags | Indicateurs d'action | drapeaux d'action | about.labels.clé/valeur |
| Hiérarchie des groupes d'appareils (dg_hier_level_1 à dg_hier_level_4) | PanOSDGl1 | Hiérarchie du groupe d'appareils L1 | dg_hier_level_1 | about.labels.clé/valeur |
| Hiérarchie des groupes d'appareils (dg_hier_level_2) | PanOSDGl2 | Hiérarchie du groupe d'appareils L2 | dg_hier_level_2 | about.labels.clé/valeur |
| Hiérarchie des groupes d'appareils (dg_hier_level_3) | PanOSDGl3 | Hiérarchie du groupe d'appareils L3 | dg_hier_level_3 | about.labels.clé/valeur |
| Hiérarchie des groupes d'appareils (dg_hier_level_4) | PanOSDGl4 | Hiérarchie du groupe d'appareils L4 | dg_hier_level_4 | about.labels.clé/valeur |
| Nom du système virtuel (vsys_name) | Nom du système PanOSVsys | Nom vSrc | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
| Nom de l'appareil (device_name) | dvchost | DeviceName | intermediary.hostname | |
| Horodatage haute résolution (high_res_timestamp) | anOSTimeGeneratedHighResolution | metadata.collected_timestamp,
metadata.event_timestamp (si "Generate Time" est absent) |
Configuration
Le tableau suivant répertorie les champs de journal du type de journal de configuration et les champs UDM correspondants.
| Champ CSV | Champ CEF | Champ LEEF | Clé d'étiquette Chronicle | Champ UDM |
|---|---|---|---|---|
| Heure de réception (receive_time ou cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp (si "Generate Time" est absent) |
|
| Numéro de série (numéro de série) | id_appareilexterne | Numéro de série | intermediary.asset.hardware.serial_number | |
| Type (type) | type (en-tête) | cat | metadata.product_event_type | |
| Menace/Type de contenu (sous-type) | sous-type (en-tête) | metadata.product_event_type | ||
| Heure de génération (time_generated ou cef-formatted-time_generated) | metadata.event_timestamp | |||
| Hôte (hôte) | fantôme | src | compte.ip/nom_hôte | |
| Système virtuel (vsys) | cs3 | Système virtuel | Vsys | about.labels.clé/valeur |
| Commande (cmd) | agir | Message | cmd | about.labels.clé/valeur |
| Administrateur | utilisateur | Nom d'utilisateur | compte.utilisateur.idutilisateur | |
| Client (client) | destinationServiceName (nom du service de destination) | client | compte.principal | |
| Résultat (résultat) | ID de signature (en-tête)(raison) | Résultat | security_result.summary | |
| Chemin d'accès de la configuration | Message | Chemin d'accès de la configuration | compte.process.command_line | |
| Détail de la modification avant (before_change_detail) | cs1 | AvantChangeDetail | détail_modification_avant | target.resource.attribute.labels.key/value |
| Détails de la modification (after_change_detail) | cs2 | Détail des modifications | détails_modification_après | target.resource.attribute.labels.key/value |
| Numéro de séquence (seqno) | externalId | séquence | metadata.product_log_id | |
| Indicateurs d'action (indicateurs d'action) | PanOSActionFlags | Indicateurs d'action | drapeaux d'action | about.labels.clé/valeur |
| Hiérarchie des groupes d'appareils (dg_hier_level_1 à dg_hier_level_4) | PanOSDGl1 | Hiérarchie du groupe d'appareils L1 | dg_hier_level_1 | about.labels.clé/valeur |
| Hiérarchie des groupes d'appareils (dg_hier_level_2) | PanOSDGl2 | Hiérarchie du groupe d'appareils L2 | dg_hier_level_2 | about.labels.clé/valeur |
| Hiérarchie des groupes d'appareils (dg_hier_level_3) | PanOSDGl3 | Hiérarchie du groupe d'appareils L3 | dg_hier_level_3 | about.labels.clé/valeur |
| Hiérarchie des groupes d'appareils (dg_hier_level_4) | PanOSDGl4 | Hiérarchie du groupe d'appareils L4 | dg_hier_level_4 | about.labels.clé/valeur |
| Nom du système virtuel (vsys_name) | Nom du système PanOSVsys | Nom vSrc | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
| Nom de l'appareil (device_name) | dvchost | DeviceName | intermediary.hostname | |
| Groupe d'appareils (dg_id) | Groupe d'appareils PanOSFW | id_g | principal.asset.attribute.labels.key/value | |
| Commentaire d'audit (commentaire) | Commentaire d'audit des règles d'OS | comment | about.labels.clé/valeur |
Menace/Wildfire
Le tableau suivant répertorie les champs de journal du type de journalisation Threat/WildFire et les champs UDM correspondants.
| Champ CSV | Champ CEF | Champ LEEF | Clé d'étiquette Chronicle | Champ UDM |
|---|---|---|---|---|
| Heure de réception (receive_time ou cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp (si "Generate Time" est absent) |
|
| Numéro de série (numéro de série) | id_appareilexterne | Numéro de série | intermediary.asset.hardware.serial_number | |
| Type (type) | type (en-tête) | cat | metadata.product_event_type | |
| Menace/Type de contenu (sous-type) | cat/subtype (en-tête) | Sous-type | metadata.product_event_type | |
| Heure de génération (time_generated ou cef-formatted-time_generated) | metadata.event_timestamp | |||
| Adresse source (src) | src | src | compte.ip | |
| Adresse de destination (dst) | dst | dst | target.ip | |
| Adresse IP source NAT (natsrc) | sourceTranslatedAddress | srcPostNAT | adresse.nat_principale | |
| Adresse IP de destination NAT (natdst) | destinationTranslatedAddress | dstPostNAT | target.nat_ip | |
| Nom de la règle (règle) | cs1 | Nom de la règle | security_result.rule_name (nom de la règle de sécurité) | |
| Utilisateur source (srcuser) | Suser | SourceUser / usrName | compte.utilisateur.idutilisateur | |
| Utilisateur de destination (utilisateur dst) | utilisateur | Utilisateur de destination | target.user.userid | |
| Application (application) | app | Application | application.cible | |
| Système virtuel (vsys) | cs3 | Système virtuel | Vsys | about.labels.clé/valeur |
| Zone source (from) | cs4 | ZoneZone | de | principal.labels.key/value |
| Zone de destination (vers) | cs5 | Zone de destination | à | target.labels.key/value |
| Interface entrante (entrant_if) | deviceInboundInterface | Interface Ingress | entrant_if | principal.labels.key/value |
| Interface sortante (outbound_if) | deviceOutboundInterface | SortieSortie | sortante_if | target.labels.key/value |
| Action du journal (logset) | cs6 | Profil de transfert de journal | ensemble de journaux | about.labels.clé/valeur |
| ID de session (sessionid) | cn1 | ID de session | id_session_réseau | |
| Nombre de répétitions (repeatcnt) | cent | Nombre de répétitions | répéter | about.labels.clé/valeur |
| Port source (sport) | Spt | srcPort | port.principal | |
| Port de destination (port) | pt | Port dst | target.port | |
| Port source NAT (natsport) | Porttraduitsource | srcPostNATPort | port.principal | |
| Port de destination NAT (natdport) | destinationTranslatedPort | dstPostNATPort | port.nat_cible | |
| Indicateurs (indicateurs) | flexString1 | Options | flags | about.labels.clé/valeur |
| Protocole IP (proto) | proto | proto | Protocole IP de réseau | |
| Action (action) | agir | action | security_result.action_details
security_result.action (action de sécurité) |
|
| URL/Nom de fichier (divers) | requête | Autres | target.file.full_path (si le sous-type est "file", "virus", "wildfire-virus" ou "wildfire", le champ "misc" est alors mappé à target.file.full_path) target.url (si le sous-type est "url", le champ "misc" est mappé à target.url et target.hostname) target.hostname (si le sous-type est "spyware" ou "vulnerability", le champ "misc" est mappé sur target.file.full_path et target.url) |
|
| Nom de la menace/contenu (théâtre) | cat | ID de la menace | security_result.threat_name (nom de la menace) | |
| Catégorie (category) | cs2 | Catégorie d'URL | security_result.category_details | |
| Gravité (gravité) | number-of-severity(en-tête) | Gravité | security_result.severity et security_result.severity_details | |
| Direction (sens) | flexString2 | Direction | réseau.direction | |
| Numéro de séquence (seqno) | externalId | séquence | metadata.product_log_id | |
| Indicateurs d'action (indicateurs d'action) | PanOSActionFlags | Indicateurs d'action | drapeaux d'action | about.labels.clé/valeur |
| Pays source (srcloc) | Emplacement source | principal.location.country_or_region | ||
| Pays de destination (dstloc) | DestinationLocation (Emplacement de destination) | target.location.country_or_region | ||
| Type de contenu (contenttype) | ContentType | typedecontenu | about.labels.clé/valeur | |
| ID PCAP (pcap_id) | ID du fichier | PCAP_ID | id_cap | about.labels.clé/valeur |
| Résumé par fichier (filedigest) | hachage de fichier | Récapitulatif de fichier | about.file.sha1/md5/sha256 | |
| Cloud (cloud) | Chemin d'accès au fichier | Cloud | cloud | about.labels.clé/valeur |
| Index d'URL (url_idx) | Index d'URL | URL_IDX | about.labels.clé/valeur | |
| User-agent (user_agent) | réseau.http.user_agent | |||
| Type de fichier (type de fichier) | Type de fichier | Type de fichier | about.file.mime_type | |
| X-Forwarded-For (xff) | compte.ip | |||
| URL de provenance | network.http.referral_url | |||
| Expéditeur (expéditeur) | Suid | Expéditeur | Adresse e-mail du réseau | |
| Objet (objet) | Message | Objet | Adresse e-mail du réseau | |
| Destinataire (destinataire) | duid | Destinataire | network.email.to | |
| ID du rapport (ID du rapport) | ancienIDdefichier | ID du rapport | ID du rapport | about.labels.clé/valeur |
| Hiérarchie des groupes d'appareils (dg_hier_level_1 à dg_hier_level_4) | PanOSDGl1 | Hiérarchie du groupe d'appareils L1 | dg_hier_level_1 | about.labels.clé/valeur |
| Hiérarchie des groupes d'appareils (dg_hier_level_2) | PanOSDGl2 | Hiérarchie du groupe d'appareils L2 | dg_hier_level_2 | about.labels.clé/valeur |
| Hiérarchie des groupes d'appareils (dg_hier_level_3) | PanOSDGl3 | Hiérarchie du groupe d'appareils L3 | dg_hier_level_3 | about.labels.clé/valeur |
| Hiérarchie des groupes d'appareils (dg_hier_level_4) | PanOSDGl4 | Hiérarchie du groupe d'appareils L4 | dg_hier_level_4 | about.labels.clé/valeur |
| Nom du système virtuel (vsys_name) | Nom du système PanOSVsys | Nom vSrc | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
| Nom de l'appareil (device_name) | dvchost | DeviceName | intermediary.hostname | |
| UUID de la VM source (src_uuid) | PanOSSrcUUID | UUID Src | compte.user.product_object_id | |
| UUID de la VM de destination (dst_uuid) | PanOSDstUUID | IDDUUID | target.user.product_object_id | |
| Méthode HTTP (http_method) | Méthode de requête | network.http.method (méthode) | ||
| ID du tunnel/IMSI (tunnel_id/imsi) | ID du tunnel PanOS | ID du tunnel | id_tunnel/imsi | about.labels.clé/valeur |
| Tag/IMEI de surveillance (monitortag/imei) | Balise PanOSMonitorTag | Balise Monitor | moniteur tag/imei | about.labels.clé/valeur |
| ID de la session parente (parent_session_id) | ID de session PanOSParent | ID de la session parente | id_session_parent | about.labels.clé/valeur |
| Heure de début de la session parente (parent_start_time) | Heure de début du parent du système d'exploitation | Heure de début du parent | heure_début_parent | about.labels.clé/valeur |
| Type de tunnel (tunnel) | Type de tunnel PanOS | Type de tunnel | tunnel | about.labels.clé/valeur |
| Catégorie de menace (thr_category) | Catégorie de menace PanOS | Catégorie de menace | thr_category | security_result.detection_fields.key/value |
| Version du contenu (contentver) | PanOSContentVer | ContenuVers | Contentver | about.labels.clé/valeur |
| ID d'association SCTP (assoc_id) | PanOSAssocID | ID_association | about.labels.clé/valeur | |
| ID de protocole de charge utile (ppid) | PanOSPPID | ppid | about.labels.clé/valeur | |
| En-têtes HTTP (http_headers) | PanOSHTTPHeader | http_headers | about.labels.clé/valeur | |
| Liste des catégories d'URL (url_category_list) | PanOSURLCatList | url_category_list | about.labels.clé/valeur | |
| UUID de règle (rule_uuid) | PanOSRuleUUID | security_result.rule_id [id_règle_sécurité] | ||
| Connexion HTTP/2 (http2_connection) | PanOSHTTP2Con | Connexion http2 | about.labels.clé/valeur | |
| Nom du groupe d'utilisateurs dynamique (dynusergroup_name) | PanDynamicUsrgrp | nom_groupe_utilisateur | principal.labels.key/value | |
| Adresse XFF (xff_ip) | PanXFFIP | compte.ip | ||
| Catégorie d'appareil source (src_category) | PanSrcDeviceCat | src_category | principal.labels.key/value | |
| Profil d'appareil source (src_profile) | PanSrcDeviceProf | src_profile | principal.labels.key/value | |
| Modèle d'appareil source (src_model) | Modèle appareil PanSrc | src_model | principal.labels.key/value | |
| Fournisseur d'appareils sources (src_vendor) | Fournisseur d'appareils PanSrc | src_vendor | principal.labels.key/value | |
| Famille d'OS de l'appareil source (src_osfamily) | PanSrcDeviceOS | src_osfamily | principal.asset.platform_software.platform
principal.labels.key/value |
|
| Version de l'OS de l'appareil source (src_osversion) | PanSrcDeviceOSv | principal.asset.software.version | ||
| Nom d'hôte source (src_host) | Nom d'hôte PanSrc | nom.principal | ||
| Adresse MAC source (src_mac) | PanSrcMac | principal.mac | ||
| Catégorie d'appareil de destination (dst_category) | PanDstDeviceCat | dst_category | target.labels.key/value | |
| Profil d'appareil de destination (dst_profile) | PanDstDeviceProf | Profil DST | target.labels.key/value | |
| Modèle d'appareil de destination (dst_model) | PanDstDeviceModel | dst_model | target.labels.key/value | |
| Fournisseur d'appareils de destination (dst_vendor) | Fournisseur d'appareils PanDst | dst_vendor | target.labels.key/value | |
| Famille d'OS de l'appareil de destination (dst_osfamily) | PanDstDeviceOS | dst_osfamily | target.labels.key/value | |
| Version du système d'exploitation de l'appareil de destination (dst_osversion) | PanDstDeviceOSv | target.asset.software.version | ||
| Nom d'hôte de destination (dst_host) | Nom d'hôte PanDst | target.hostname | ||
| Adresse MAC de destination (dst_mac) | PanDstMac | target.mac | ||
| ID du conteneur (container_id) | Nom du conteneur | id_conteneur | about.labels.clé/valeur | |
| Espace de noms du POD (pod_namespace) | Espace de noms PanPOD | pod_namespace | about.labels.clé/valeur | |
| Nom du POD (pod_name) | Nom du panPOD | pod_name | about.labels.clé/valeur | |
| Liste dynamique externe source (src_edl) | PanSrcEDL | src_edl | about.labels.clé/valeur | |
| Liste dynamique de destination externe (dst_edl) | PanDstEDL | dst_edl | about.labels.clé/valeur | |
| ID d'hôte (hostid) | ID PanGPHost | hostid | about.labels.clé/valeur | |
| Numéro de série de l'appareil de l'utilisateur (numéro de série) | PanEPSerial | principal.asset.hardware.serial_number | ||
| EDL de domaine (domain_edl) | PanDomainEDL | domaine_edl | about.labels.clé/valeur | |
| Groupe d'adresses dynamiques source (src_dag) | PanSrcDAG | nom.groupe.groupe_à_afficher | ||
| Groupe d'adresses dynamiques de destination (dst_dag) | PanDstDAG | target.group.group_display_name | ||
| Hachage partiel (partial_hash) | HashHash | hachage partiel | about.labels.clé/valeur | |
| Horodatage haute résolution (horodatage haute résolution) | Haute résolution haute résolution | horodatage haute résolution | metadata.collected_timestamp,
metadata.event_timestamp (si "Generate Time" est absent) |
|
| Motif (raison) | Action PanReasonFiltering | reason | about.labels.clé/valeur | |
| Justification | Panjustification | justification | about.labels.clé/valeur | |
| Type de service de tranche (nssai_sst) | Type de service PanAS | nssaï_st | about.labels.clé/valeur | |
| Sous-catégorie de l'application (subcategory_of_app) | sous-catégorie_de_l'application | about.labels.clé/valeur | ||
| Catégorie d'application (category_of_app) | catégorie_d'application | about.labels.clé/valeur | ||
| Technologie applicative (technology_of_app) | technologie_de_l'application | about.labels.clé/valeur | ||
| Risque lié aux applications (risk_of_app) | risque_de_l'application | about.labels.clé/valeur | ||
| Caractéristique de l'application (characteristic_of_app) | caractéristique_de_l'application | about.labels.clé/valeur | ||
| Conteneur d'application (container_of_app) | container_of_app | about.labels.clé/valeur | ||
| Application SaaS (is_saas_of_app) | appli_saas | about.labels.clé/valeur | ||
| État de l'application approuvée (sanctioned_state_of_app) | état_sanctionné_application | about.labels.clé/valeur |
Trafic
Le tableau suivant répertorie les champs de journal du type de journal de trafic et les champs UDM correspondants.
| Champ CSV | Champ CEF | Champ LEEF | Clé d'étiquette Chronicle | Champ UDM |
|---|---|---|---|---|
| Heure de réception (receive_time ou cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp (si "Generate Time" est absent) |
|
| Numéro de série (numéro de série) | id_appareilexterne | Numéro de série | intermediary.asset.hardware.serial_number | |
| Type (type) | type (en-tête) | chat/Type | metadata.product_event_type | |
| Menace/Type de contenu (sous-type) | sous-type (en-tête) | Sous-type | metadata.product_event_type | |
| Heure de génération (time_generated ou cef-formatted-time_generated) | démarrer | metadata.event_timestamp | ||
| Adresse source (src) | src | src | compte.ip | |
| Adresse de destination (dst) | dst | dst | target.ip | |
| Adresse IP source NAT (natsrc) | sourceTranslatedAddress | srcPostNAT | adresse.nat_principale | |
| Adresse IP de destination NAT (natdst) | destinationTranslatedAddress | dstPostNAT | target.nat_ip | |
| Nom de la règle (règle) | cs1 | Nom de la règle | security_result.rule_name (nom de la règle de sécurité) | |
| Utilisateur source (srcuser) | Suser | Utilisateur source | compte.utilisateur.idutilisateur | |
| Utilisateur de destination (utilisateur dst) | utilisateur | Utilisateur de destination | target.user.userid | |
| Application (application) | app | Application | application.cible | |
| Système virtuel (vsys) | cs3 | Système virtuel | Vsys | about.labels.clé/valeur |
| Zone source (from) | cs4 | ZoneZone | de | principal.labels.key/value |
| Zone de destination (vers) | cs5 | Zone de destination | à | target.labels.key/value |
| Interface entrante (entrant_if) | deviceInboundInterface | Interface Ingress | entrant_if | principal.labels.key/value |
| Interface sortante (outbound_if) | deviceOutboundInterface | SortieSortie | sortante_if | target.labels.key/value |
| Action du journal (logset) | cs6 | Profil de transfert de journal | ensemble de journaux | about.labels.clé/valeur |
| ID de session (sessionid) | cn1 | ID de session | id_session_réseau | |
| Nombre de répétitions (repeatcnt) | cent | Nombre de répétitions | répéter | about.labels.clé/valeur |
| Port source (sport) | Spt | srcPort | port.principal | |
| Port de destination (port) | pt | Port dst | target.port | |
| Port source NAT (natsport) | Porttraduitsource | srcPostNATPort | port.principal | |
| Port de destination NAT (natdport) | destinationTranslatedPort | dstPostNATPort | port.nat_cible | |
| Indicateurs (indicateurs) | flexString1 | Options | flags | about.labels.clé/valeur |
| Protocole IP (proto) | proto | proto | Protocole IP de réseau | |
| Action (action) | agir | action | security_result.action_details
security_result.action (action de sécurité) |
|
| Octets (octets) | nombre flexible 1 | nombre total d'octets | bytes | about.labels.clé/valeur |
| Octets envoyés (bytes_sent) | in | srcOctets | network.received_bytes | |
| Octets reçus (bytes_received) | out | dstBytes | network.sent_bytes | |
| Paquets (paquets) | 2 cns | nombre total de paquets | paquets | about.labels.clé/valeur |
| Heure de début (start) | Heure de début | démarrer | about.labels.clé/valeur | |
| Temps écoulé (total) | cn3 | Temps écoulé | écoulé | about.labels.clé/valeur |
| Catégorie (category) | cs2 | Catégorie d'URL | security_result.category / security_result.category_details | |
| Numéro de séquence (seqno) | externalId | séquence | metadata.product_log_id | |
| Indicateurs d'action (indicateurs d'action) | PanOSActionFlags | Indicateurs d'action | drapeaux d'action | about.labels.clé/valeur |
| Pays source (srcloc) | Emplacement source | principal.location.country_or_region | ||
| Pays de destination (dstloc) | DestinationLocation (Emplacement de destination) | target.location.country_or_region | ||
| Paquets envoyés (pkts_sent) | PanOSPacketsSent | srcPackets | pkts_sent | about.labels.clé/valeur |
| Paquets reçus (pkts_received) | PanOSPacketsReceived | Packsdst | pkts_reçus | about.labels.clé/valeur |
| Motif de fin de session (session_end_reason) | reason | SessionEndReason | security_result.summary | |
| Hiérarchie du groupe d'appareils 1 (dg_hier_level_1 à dg_hier_level_4) | PanOSDGl1 | Hiérarchie du groupe d'appareils L1 | dg_hier_level_1 | about.labels.clé/valeur |
| Hiérarchie du groupe d'appareils 2 (dg_hier_level_2) | PanOSDGl2 | Hiérarchie du groupe d'appareils L2 | dg_hier_level_2 | about.labels.clé/valeur |
| Hiérarchie du groupe d'appareils 3 (dg_hier_level_3) | PanOSDGl3 | Hiérarchie du groupe d'appareils L3 | dg_hier_level_3 | about.labels.clé/valeur |
| Hiérarchie des groupes d'appareils (dg_hier_level_4) | PanOSDGl4 | Hiérarchie du groupe d'appareils L4 | dg_hier_level_4 | about.labels.clé/valeur |
| Nom du système virtuel (vsys_name) | Nom du système PanOSVsys | Nom vSrc | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
| Nom de l'appareil (device_name) | dvchost | DeviceName | intermediary.hostname | |
| Source de l'action (action_source) | cat | Source de l'action | source_action | about.labels.clé/valeur |
| UUID de la VM source (src_uuid) | PanOSSrcUUID | UUID Src | principal.asset.product_object_id | |
| UUID de la VM de destination (dst_uuid) | PanOSDstUUID | IDDUUID | target.asset.product_object_id | |
| ID du tunnel/IMSI (tunnelid/imsi) | ID du tunnel PanOS | ID du tunnel | tunnelid/imsi | about.labels.clé/valeur |
| Tag/IMEI de surveillance (monitortag/imei) | Balise PanOSMonitorTag | Balise Monitor | moniteur tag/imei | about.labels.clé/valeur |
| ID de la session parente (parent_session_id) | ID de session PanOSParent | ID de la session parente | id_session_parent | about.labels.clé/valeur |
| Heure de début du parent (parent_start_time) | Heure de début du parent du système d'exploitation | Heure de début du parent | heure_début_parent | about.labels.clé/valeur |
| Type de tunnel (tunnel) | Type de tunnel PanOS | Type de tunnel | tunnel | about.labels.clé/valeur |
| ID d'association SCTP (assoc_id) | PanOSSCTPAssocID | ID_association | about.labels.clé/valeur | |
| Fragments SCTP (fragments) | PanOSSCTPChunks | fragments | about.labels.clé/valeur | |
| Fragments SCTP envoyés (chunks_sent) | PanOSSCTPChunkSent | fragments_envoyés | about.labels.clé/valeur | |
| Fragments SCTP reçus (chunks_received) | PanOSSCTPChunksRcv | fragments_reçus | about.labels.clé/valeur | |
| UUID de règle (rule_uuid) | PanOSRuleUUID | security_result.rule_id [id_règle_sécurité] | ||
| Connexion HTTP/2 (http2_connection) | PanOSHTTP2Con | Connexion http2 | about.labels.clé/valeur | |
| Nombre de volets de l'application (link_change_count) | Modification de lien panoramique | link_change_count [lien_modification_lien] | about.labels.clé/valeur | |
| ID de la règle (policy_id) | ID de stratégie PanPolicy | règlement_id | about.labels.clé/valeur | |
| Commutateurs de lien (link_switchs) | Détails du lien panoramique | link_switchs | about.labels.clé/valeur | |
| Cluster SD-WAN (sdwan_cluster) | Cluster PanSDWAN | cluster_sdwan | about.labels.clé/valeur | |
| Type d'appareil SD-WAN (sdwan_device_type) | Appareil PanSDWAN | type_appareil_sdwan | about.labels.clé/valeur | |
| Type de cluster SD-WAN (sdwan_cluster_type) | Type PanSDWANClustype | type_cluster_sdwan | about.labels.clé/valeur | |
| Site SD-WAN (sdwan_site) | Site PanSDWAN | site_sdwan | about.labels.clé/valeur | |
| Nom du groupe d'utilisateurs dynamique (dynusergroup_name) | PanDynamicUsrgrp | nom_groupe_utilisateur | about.labels.clé/valeur | |
| Adresse XFF (xff_ip) | PanXFFIP | compte.ip | ||
| Catégorie d'appareil source (src_category) | PanSrcDeviceCat | src_category | principal.labels.key/value | |
| Profil d'appareil source (src_profile) | PanSrcDeviceProf | src_profile | principal.labels.key/value | |
| Modèle d'appareil source (src_model) | Modèle appareil PanSrc | src_model | principal.labels.key/value | |
| Fournisseur d'appareils sources (src_vendor) | Fournisseur d'appareils PanSrc | src_vendor | principal.labels.key/value | |
| Famille d'OS de l'appareil source (src_osfamily) | PanSrcDeviceOS | principal.asset.platform_software.platform
principal.labels.key/value |
||
| Version de l'OS de l'appareil source (src_osversion) | PanSrcDeviceOSv | principal.asset.software.version | ||
| Nom d'hôte source (src_host) | Nom d'hôte PanSrc | nom.principal | ||
| Adresse MAC source (src_mac) | PanSrcMac | principal.mac | ||
| Catégorie d'appareil de destination (dst_category) | PanDstDeviceCat | dst_category | target.labels.key/value | |
| Profil d'appareil de destination (dst_profile) | PanDstDeviceProf | Profil DST | target.labels.key/value | |
| Modèle d'appareil de destination (dst_model) | PanDstDeviceModel | dst_model | target.labels.key/value | |
| Fournisseur d'appareils de destination (dst_vendor) | Fournisseur d'appareils PanDst | dst_vendor | target.labels.key/value | |
| Famille d'OS de l'appareil de destination (dst_osfamily) | PanDstDeviceOS | dst_osfamily | target.labels.key/value | |
| Version du système d'exploitation de l'appareil de destination (dst_osversion) | PanDstDeviceOSv | target.asset.software.version | ||
| Nom d'hôte de destination (dst_host) | Nom d'hôte PanDst | target.hostname | ||
| Adresse MAC de destination (dst_mac) | PanDstMac | target.mac | ||
| ID du conteneur (container_id) | Nom du conteneur | id_conteneur | about.labels.clé/valeur | |
| Espace de noms du POD (pod_namespace) | Espace de noms PanPOD | pod_namespace | about.labels.clé/valeur | |
| Nom du POD (pod_name) | Nom du panPOD | pod_name | about.labels.clé/valeur | |
| Liste dynamique externe source (src_edl) | PanSrcEDL | src_edl | principal.labels.key/value | |
| Liste dynamique de destination externe (dst_edl) | PanDstEDL | dst_edl | target.labels.key/value | |
| ID d'hôte (hostid) | ID PanGPHost | hostid | about.labels.clé/valeur | |
| Numéro de série de l'appareil de l'utilisateur (numéro de série) | PanEPSerial | principal.asset.hardware.serial_number | ||
| Groupe d'adresses dynamiques source (src_dag) | PanSrcDAG | nom.groupe.groupe_à_afficher | ||
| Groupe d'adresses dynamiques de destination (dst_dag) | PanDstDAG | target.group.group_display_name | ||
| Propriétaire de session (session_owner) | Propriétaire de la session PanHA | propriétaire_session | about.labels.clé/valeur | |
| Horodatage haute résolution (high_res_timestamp) | Haute résolution haute résolution | metadata.collected_timestamp,
metadata.event_timestamp (si "Generate Time" est absent) |
||
| Type de service de tranche (nsdsai_sst) | Type de service PanAS | nsdsai | about.labels.clé/valeur | |
| Un facteur de différenciation (nsdsai_sd) | PanASServiceDiff | nsdsai_sd | about.labels.clé/valeur | |
| Sous-catégorie de l'application (subcategory_of_app) | sous-catégorie_de_l'application | about.labels.clé/valeur | ||
| Catégorie d'application (category_of_app) | catégorie_d'application | about.labels.clé/valeur | ||
| Technologie applicative (technology_of_app) | technologie_de_l'application | about.labels.clé/valeur | ||
| Risque lié aux applications (risk_of_app) | security_result.severity | |||
| Caractéristique de l'application (characteristic_of_app) | caractéristique_de_l'application | about.labels.clé/valeur | ||
| Conteneur d'application (container_of_app) | container_of_app | about.labels.clé/valeur | ||
| Application SaaS (is_saas_of_app) | appli_saas | about.labels.clé/valeur | ||
| État de l'application approuvée (sanctioned_state_of_app) | état_sanctionné_application | about.labels.clé/valeur | ||
| Sous-catégorie de l'application (subcategory_of_app) | sous-catégorie_de_l'application1 | about.labels.clé/valeur |
User-ID
Le tableau suivant répertorie les champs de journal du type de journal User-ID et les champs UDM correspondants.
| Champ CSV | Champ CEF | Champ LEEF | Clé d'étiquette Chronicle | Champ UDM |
|---|---|---|---|---|
| Heure de réception (receive_time ou cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp (si "Generate Time" est absent) |
|
| Numéro de série (numéro de série) | id_appareilexterne | Numéro de série | intermediary.asset.hardware.serial_number | |
| Type (type) | type (en-tête) | cat | metadata.product_event_type | |
| Menace/Type de contenu (sous-type) | sous-type (en-tête) | Sous-type | metadata.product_event_type | |
| Heure de génération (time_generated ou cef-formatted-time_generated) | metadata.event_timestamp | |||
| Système virtuel (vsys) | cs3 | Système virtuel | Vsys | about.labels.clé/valeur |
| Adresse IP source (IP) | src | src | compte.ip | |
| Utilisateur (utilisateur) | utilisateur | Nom d'utilisateur | target.user.userid
target.administrative_domain target.user.email_addresses |
|
| Nom de la source de données (datasourcename) | cs4 | Nom de la source de données | nomsourcededonnées | principal.labels.key/value |
| ID de l'événement (eventid) | ID de l'événement | ID de l'événement | about.labels.clé/valeur | |
| Nombre de répétitions (repeatcnt) | cent | Nombre de répétitions | répéter | about.labels.clé/valeur |
| Seuil de délai (délai avant expiration) | cn3 | Délai minimal | timeout | about.labels.clé/valeur |
| Port source (début) | Spt | srcPort | port.principal | |
| Port de destination (port de destination) | pt | Port dst | target.port | |
| Source de données (source de données) | cs5 | DataSource | source de données | principal.labels.key/value |
| Type de source de données (datasourcetype) | cs6 | Type de source de données | typedesourcededonnées | principal.labels.key/value |
| Numéro de séquence (seqno) | externalId | séquence | metadata.product_log_id | |
| Indicateurs d'action (indicateurs d'action) | PanOSActionFlags | Indicateurs d'action | drapeaux d'action | about.labels.clé/valeur |
| Hiérarchie des groupes d'appareils (dg_hier_level_1) | PanOSDGl1 | Hiérarchie du groupe d'appareils L1 | dg_hier_level_1 | about.labels.clé/valeur |
| Hiérarchie des groupes d'appareils (dg_hier_level_2) | PanOSDGl2 | Hiérarchie du groupe d'appareils L2 | dg_hier_level_2 | about.labels.clé/valeur |
| Hiérarchie des groupes d'appareils (dg_hier_level_3) | PanOSDGl3 | Hiérarchie du groupe d'appareils L3 | dg_hier_level_3 | about.labels.clé/valeur |
| Hiérarchie des groupes d'appareils (dg_hier_level_4) | PanOSDGl4 | Hiérarchie du groupe d'appareils L4 | dg_hier_level_4 | about.labels.clé/valeur |
| Nom du système virtuel (vsys_name) | Nom du système PanOSVsys | Nom vSrc | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
| Nom de l'appareil (device_name) | dvchost | DeviceName | intermediary.hostname | |
| ID du système virtuel (vsys_id) | 2 cns | VirtualSystemID (ID système virtuel) | principal.resource.resource_type=VIRTUAL_MACHINE et principal.resource.product_object_id | |
| Type de facteur (factortype) | cs1 | Type de facteur | facteur | about.labels.clé/valeur |
| Facteur d'achèvement (factorcompletiontime) | end | FacteurFin | facteur_d'achèvement | about.labels.clé/valeur |
| Numéro de facteur (factorno) | cn1 | NuméroFacteur | Facteur | about.labels.clé/valeur |
| Indicateurs de groupe d'utilisateurs (ugflags) | Drapeaux PanOSUG | indicateurx | about.labels.clé/valeur | |
| Utilisateur par source (userbysource) | PanOSUserBySource | compte.utilisateur.idutilisateur
domaine.administrative_domain compte.utilisateur.adresses_e-mail |
||
| Horodatage haute résolution (horodatage haute résolution) | PanOSTimeGeneratedHighResolution | metadata.collected_timestamp,
metadata.event_timestamp (si "Generate Time" est absent) |
Correspondance HIP
Le tableau suivant répertorie les champs de journal du type de journal de correspondance HIP et les champs UDM correspondants.
| Champ CSV | Champ CEF | Champ LEEF | Clé d'étiquette Chronicle | Champ UDM |
|---|---|---|---|---|
| Heure de réception (receive_time ou cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp (si "Generate Time" est absent) |
|
| Numéro de série (numéro de série) | id_appareilexterne | Numéro de série | intermediary.asset.hardware.serial_number | |
| Type (type) | type (en-tête) | cat | metadata.product_event_type | |
| Menace/Type de contenu (sous-type) | sous-type (en-tête) | Sous-type | ||
| Heure de génération (time_generated ou cef-formatted-time_generated) | démarrer | heure de début | metadata.event_timestamp | |
| Utilisateur source (srcuser) | Suser | Nom d'utilisateur | compte.utilisateur.idutilisateur | |
| Système virtuel (vsys) | cs3 | Système virtuel | Vsys | about.labels.clé/valeur |
| Nom de la machine (nom de la machine) | fantôme | Nom de l'hôte ident | nom.principal | |
| Système d'exploitation (OS) | cs2 | OS | principal.asset.platform_software.platform | |
| Adresse source (src) | src | Identifiant | compte.ip | |
| HIP (nom de correspondance) | cat | HIP | nom du match | about.labels.clé/valeur |
| Nombre de répétitions (repeatcnt) | cent | Nombre de répétitions | répéter | about.labels.clé/valeur |
| Type HIP (type de correspondance) | ID de classe d'événement d'appareil (en-tête) | Type HIP | typede correspondance | |
| Numéro de séquence (seqno) | externalId | séquence | metadata.product_log_id | |
| Indicateurs d'action (indicateurs d'action) | PanOSActionFlags | Indicateurs d'action | drapeaux d'action | about.labels.clé/valeur |
| Hiérarchie des groupes d'appareils (dg_hier_level_1) | PanOSDGl1 | Hiérarchie du groupe d'appareils L1 | dg_hier_level_1 | about.labels.clé/valeur |
| Hiérarchie des groupes d'appareils (dg_hier_level_2) | PanOSDGl2 | Hiérarchie du groupe d'appareils L2 | dg_hier_level_2 | about.labels.clé/valeur |
| Hiérarchie des groupes d'appareils (dg_hier_level_3) | PanOSDGl3 | Hiérarchie du groupe d'appareils L3 | dg_hier_level_3 | about.labels.clé/valeur |
| Hiérarchie des groupes d'appareils (dg_hier_level_4) | PanOSDGl4 | Hiérarchie du groupe d'appareils L4 | dg_hier_level_4 | about.labels.clé/valeur |
| Nom du système virtuel (vsys_name) | Nom du système PanOSVsys | Nom vSrc | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
| Nom de l'appareil (device_name) | dvchost | DeviceName | intermediary.hostname | |
| ID du système virtuel (vsys_id) | 2 cns | VirtualSystemID (ID système virtuel) | principal.resource.resource_type=VIRTUAL_MACHINE et principal.resource.product_object_id | |
| Adresse système IPv6 (srcipv6) | C6A2 | srcipv6 | compte.asset.ip | |
| ID d'hôte (hostid) | ID du hôte du système d'exploitation | principal.asset.product_object_id | ||
| Numéro de série de l'appareil de l'utilisateur (numéro de série) | Numéro de série PanOSEndpointSerial | principal.asset.hardware.serial_number | ||
| Adresse MAC de l'appareil (Mac) | PanOSEndpointMac | principal.asset.mac | ||
| Horodatage haute résolution (high_res_timestamp) | PanOSTimeGeneratedHighResolution | metadata.collected_timestamp,
metadata.event_timestamp (si "Generate Time" est absent) |
Tag IP
Le tableau suivant répertorie les champs de journal du type de journal de tag IP et les champs UDM correspondants.
| Champ CSV | Champ CEF | Champ LEEF | Clé d'étiquette Chronicle | Champ UDM |
|---|---|---|---|---|
| Heure de réception (receive_time ou cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp (si "Generate Time" est absent) |
|
| Numéro de série (numéro de série) | id_appareilexterne | Numéro de série | intermediary.asset.hardware.serial_number | |
| Type (type) | type (en-tête) | cat | metadata.product_event_type | |
| Menace/Type de contenu (sous-type) | sous-type (en-tête) | Sous-type | metadata.product_event_type | |
| Heure de génération (time_generated ou cef-formatted-time_generated) | Heure de génération | metadata.event_timestamp | ||
| Système virtuel (vsys) | cs3 | Système virtuel | Vsys | about.labels.clé/valeur |
| Adresse IP source (IP) | src | src | compte.ip | |
| Nom de la balise (tag_name) | Nom du tag OS | Nom du tag | nom_balise | principal.labels.key/value |
| ID de l'événement (event_id) | ID de l'événement PanOS | ID de l'événement | id_événement | about.labels.clé/valeur |
| Nombre de répétitions (repeatcnt) | cent | Nombre de répétitions | répéter | about.labels.clé/valeur |
| Expiration du délai | Délai d'attente PanOS | Délai minimal | timeout | about.labels.clé/valeur |
| Nom de la source de données (datasourcename) | Nom de la source de données sur les systèmes d'exploitation | Nom de la source de données | nomsourcededonnées | principal.labels.key/value |
| Type de source de données (datasource_type) | Type de source de données "OSOS" | DataSource | type_source_de_données | principal.labels.key/value |
| Sous-type de source de données (datasource_subtype) | PanOSDataSourceSubType | Type de source de données | sous-type de source de données | principal.labels.key/value |
| Numéro de séquence (seqno) | externalId | séquence | metadata.product_log_id | |
| Indicateurs d'action (indicateurs d'action) | PanOSActionFlags | Indicateurs d'action | drapeaux d'action | about.labels.clé/valeur |
| Hiérarchie des groupes d'appareils (dg_hier_level_1) | PanOSDGl1 | Hiérarchie du groupe d'appareils L1 | dg_hier_level_1 | about.labels.clé/valeur |
| Hiérarchie des groupes d'appareils (dg_hier_level_2) | PanOSDGl2 | Hiérarchie du groupe d'appareils L2 | dg_hier_level_2 | about.labels.clé/valeur |
| Hiérarchie des groupes d'appareils (dg_hier_level_3) | PanOSDGl3 | Hiérarchie du groupe d'appareils L3 | dg_hier_level_3 | about.labels.clé/valeur |
| Hiérarchie des groupes d'appareils (dg_hier_level_4) | PanOSDGl4 | Hiérarchie du groupe d'appareils L4 | dg_hier_level_4 | about.labels.clé/valeur |
| Nom du système virtuel (vsys_name) | PanOsVsysName | Nom vSrc | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
| Nom de l'appareil (device_name) | dvchost | DeviceName | intermediary.hostname | |
| ID du système virtuel (vsys_id) | 2 cns | VirtualSystemID (ID système virtuel) | principal.resource.resource_type=VIRTUAL_MACHINE et principal.resource.product_object_id | |
| Horodatage haute résolution (horodatage haute résolution) | PanOSTimeGeneratedHighResolution | metadata.collected_timestamp,
metadata.event_timestamp (si "Generate Time" est absent) |
Déchiffrement
Le tableau suivant répertorie les champs de journal du type de journal de déchiffrement et les champs UDM correspondants.
| Champ CSV | Champ CEF | Champ LEEF | Clé d'étiquette Chronicle | Champ UDM |
|---|---|---|---|---|
| Heure de réception (receive_time ou cef-formatted-receive_time) | rt | metadata.collected_timestamp,
metadata.event_timestamp (si "Generate Time" est absent) |
||
| Numéro de série (numéro de série) | PanOSDeviceSN | intermediary.asset.hardware.serial_number | ||
| Type (type) | type (en-tête) | metadata.product_event_type | ||
| Menace/Type de contenu (sous-type) | sous-type (en-tête) | metadata.product_event_type | ||
| Version de configuration (config_ver) | Version du système d'exploitation panoramique | config_ver | about.labels.clé/valeur | |
| Heure de génération (time_generated) | Indicateur de temps PanOSLogTime | metadata.event_timestamp | ||
| Adresse source (src) | src | compte.ip | ||
| Adresse de destination (dst) | dst | target.ip | ||
| Adresse IP source NAT (natsrc) | sourceTranslatedAddress | principa.nat_ip | ||
| Adresse IP de destination NAT (natdst) | destinationTranslatedAddress | target.nat_ip | ||
| Règle (règle) | cs1 | security_result.rule_name (nom de la règle de sécurité) | ||
| Utilisateur source (srcuser) | Suser | compte.utilisateur.idutilisateur | ||
| Utilisateur de destination (utilisateur dst) | utilisateur | target.user.userid | ||
| Application (application) | app | application.cible | ||
| Système virtuel (vsys) | cs3 | Vsys | about.labels.clé/valeur | |
| Zone source (from) | cs4 | de | principal.labels.key/value | |
| Zone de destination (vers) | cs5 | à | target.labels.key/value | |
| Interface entrante (entrant_if) | deviceInboundInterface | entrant_if | principal.labels.key/value | |
| Interface sortante (outbound_if) | deviceOutboundInterface | sortante_if | target.labels.key/value | |
| Action du journal (logset) | cs6 | ensemble de journaux | about.labels.clé/valeur | |
| Heure d'enregistrement (time_received) | PanOSTimeReceivedManagementPlan | - | ||
| ID de session (sessionid) | cn1 | id_session_réseau | ||
| Nombre de répétitions (repeatcnt) | NombreD'occurrences | répéter | about.labels.clé/valeur | |
| Port source (sport) | Spt | port.principal | ||
| Port de destination (port) | pt | target.port | ||
| Port source NAT (natsport) | Porttraduitsource | port.principal | ||
| Port de destination NAT (natdport) | destinationTranslatedPort | port.nat_cible | ||
| Indicateurs (indicateurs) | flexString1 | flags | about.labels.clé/valeur | |
| Protocole IP (proto) | proto | Protocole IP de réseau | ||
| Action (action) | agir | security_result.action_details
security_result.action (action de sécurité) |
||
| Tunnel (tunnel) | PanOSTunnel | tunnel | about.labels.clé/valeur | |
| UUID de la VM source (src_uuid) | PanOSSourceUUID | principal.asset.asset_id | ||
| UUID de la VM de destination (dst_uuid) | UUID de destination PanOS | target.asset.asset_id | ||
| UUID pour la règle (rule_uuid) | PanOSRuleUUID | security_result.rule_id [id_règle_sécurité] | ||
| Étape pour le client vers le pare-feu (hs_stage_c2f) | PanOSClientToFirewall | h_stage_c2f | about.labels.clé/valeur | |
| Étape du pare-feu au serveur (hs_stage_f2s) | PanOSFirewallToServer | h_stage_f2 | about.labels.clé/valeur | |
| Version TLS (tls_version) | Version de PanOSTLS | réseau.tls.version | ||
| Algorithme d'échange de clés (tls_keyxchg) | Échange de clés PanOSTLS | tls_keyxch | about.labels.clé/valeur | |
| Algorithme de chiffrement (tls_enc) | PanOSTLSEncryptionAlgorithm | tls_enc | about.labels.clé/valeur | |
| Algorithme de hachage (tls_auth) | PanOSTLSAuth | tls_auth | about.labels.clé/valeur | |
| Nom de la règle (policy_name) | Nom de la règle de système d'exploitation | nom_règles | about.labels.clé/valeur | |
| Courbe elliptique (ec_curve) | Courbe panOSElliptic | network.tls.curve | ||
| Index d'erreur (err_index) | Indice d'erreur PanOS | index_erreur | about.labels.clé/valeur | |
| État racine (root_status) | État du système d'exploitation | état_racine | about.labels.clé/valeur | |
| État de la chaîne (chain_status) | État de PanOSChain | état_chaîne | about.labels.clé/valeur | |
| Type de proxy (proxy_type) | Type de proxy proxy | type_proxy | about.labels.clé/valeur | |
| Numéro de série du certificat (cert_serial) | Série PanOSCertificateSerial | network.tls.server.certificate.serial | ||
| Empreinte du certificat (empreinte) | Empreinte digitale du système d'exploitation | network.tls.server.certificate.md5/sha1/sha256 | ||
| Date de début du certificat (pas avant) | PanOSTimeNotBefore | network.tls.server.certificate.not_before | ||
| Date de fin du certificat (après) | PanOSTimeNotAfter | network.tls.server.certificate.not_after | ||
| Version du certificat (cert_ver) | Version du certificat du système d'exploitation | network.tls.server.certificate.version | ||
| Taille du certificat (cert_size) | Taille du certificat du système d'exploitation | taille du certificat | about.labels.clé/valeur | |
| Longueur de nom commune (cn_len) | PanOSCommonNameLength | cn_len | about.labels.clé/valeur | |
| Longueur du nom commun de l'émetteur (issuer_len) | PanOSIssuerNameLength | émetteur_len | about.labels.clé/valeur | |
| Longueur du nom commun (rootcn_len) | Longueur du panOS racine | root_len | about.labels.clé/valeur | |
| Longueur SNI (sni_len) | Longueur panOSSNI | sni_len | about.labels.clé/valeur | |
| Indicateurs de certificat (cert_flags) | PanOSCertificateFlags | Indicateurs de certificat | about.labels.clé/valeur | |
| Nom commun de l'objet (cn) | PanOSCommonName | cn | about.labels.clé/valeur | |
| Nom commun de l'émetteur (issuer_cn) | PanOSIssuerCommonName | network.tls.server.certificate.issuer | ||
| Nom commun racine (root_cn) | PanOSRootCommonName | racine_cn | about.labels.clé/valeur | |
| Indication du nom du serveur
(méchant) |
network.tls.client.server_name | |||
| Erreur (erreur) | Message d'erreur PanOS | erreur | about.labels.clé/valeur | |
| ID du conteneur (container_id) | ID du conteneur du système d'exploitation | id_conteneur | about.labels.clé/valeur | |
| Espace de noms du POD (pod_namespace) | PanOSContainerNameSpace | pod_namespace | about.labels.clé/valeur | |
| Nom du POD (pod_name) | Nom du conteneur du système d'exploitation | pod_name | about.labels.clé/valeur | |
| Liste dynamique externe source (src_edl) | PanOSSourceEDL | src_edl | principal.labels.key/value | |
| Liste dynamique de destination externe (dst_edl) | PanOSDestinationEDL | dst_edl | target.labels.key/value | |
| Groupe d'adresses dynamiques source (src_dag) | PanOSSourceDynamicAddressGroup | nom.groupe.groupe_à_afficher | ||
| Groupe d'adresses dynamiques de destination (dst_dag) | Groupe d'adresses dynamiques de la destination PanOS | target.group.group_display_name | ||
| Horodatage haute résolution (high_res_timestamp) | PanOSTimeGeneratedHighResolution | metadata.collected_timestamp,
metadata.event_timestamp (si "Generate Time" est absent) |
||
| Catégorie d'appareil source (src_category) | Catégorie PanOSSourceDevice | src_category | principal.labels.key/value | |
| Profil d'appareil source (src_profile) | Profil d'appareil PanOSSource | src_profile | principal.labels.key/value | |
| Modèle d'appareil source (src_model) | PanOSSourceDeviceModel | src_model | principal.labels.key/value | |
| Fournisseur d'appareils sources (src_vendor) | PanOSSourceDeviceVendor | src_vendor | principal.labels.key/value | |
| Famille d'OS de l'appareil source (src_osfamily) | PanOSSourceDeviceOSFamily | principal.asset.platform_software.platform
principal.labels.key/value |
||
| Version de l'OS de l'appareil source (src_osversion) | PanOSSourceDeviceOSVersion | principal.asset.software.version | ||
| Nom d'hôte source (src_host) | Hôte de l'appareil PanOSSource | nom.principal | ||
| Adresse MAC source (src_mac) | PanOSSourceDeviceMac | principal.mac | ||
| Catégorie d'appareil de destination (dst_category) | Catégorie de l'appareil de destination PanOS | dst_category | target.labels.key/value | |
| Profil d'appareil de destination (dst_profile) | Profil de l'appareil de destination PanOS | Profil DST | target.labels.key/value | |
| Modèle d'appareil de destination (dst_model) | PanOSDestinationDeviceModel | dst_model | target.labels.key/value | |
| Fournisseur d'appareils de destination (dst_vendor) | PanOSDestinationDeviceVendor | dst_vendor | target.labels.key/value | |
| Famille d'OS de l'appareil de destination (dst_osfamily) | Famille PanOSDestinationDeviceOSFamille | dst_osfamily | target.labels.key/value | |
| Version du système d'exploitation de l'appareil de destination (dst_osversion) | PanOSDestinationDeviceOSVersion | target.asset.software.version | ||
| Nom d'hôte de destination (dst_host) | Hôte de l'appareil de destination PanOS | target.hostname | ||
| Adresse MAC de destination (dst_mac) | PanOSDestinationDeviceMac | target.mac | ||
| Numéro de séquence (seqno) | PanOSLogTypeSeqNo | metadata.product_log_id | ||
| Indicateurs d'action (indicateurs d'action) | PanOSActionFlags | drapeaux d'action | about.labels.clé/valeur | |
| Hiérarchie des groupes d'appareils (dg_hier_level_1) | Hiérarchie du groupe d'appareils L1 | dg_hier_level_1 | about.labels.clé/valeur | |
| Hiérarchie des groupes d'appareils (dg_hier_level_2) | Hiérarchie du groupe d'appareils L2 | dg_hier_level_2 | about.labels.clé/valeur | |
| Hiérarchie des groupes d'appareils (dg_hier_level_3) | Hiérarchie du groupe d'appareils L3 | dg_hier_level_3 | about.labels.clé/valeur | |
| Hiérarchie des groupes d'appareils (dg_hier_level_4) | Hiérarchie du groupe d'appareils L4 | dg_hier_level_4 | about.labels.clé/valeur | |
| Nom du système virtuel (vsys_name) | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|||
| Nom de l'appareil (device_name) | intermediary.hostname | |||
| ID du système virtuel (vsys_id) | principal.resource.resource_type=VIRTUAL_MACHINE et principal.resource.product_object_id | |||
| Sous-catégorie de l'application (subcategory_of_app) | sous-catégorie_de_l'application | about.labels.clé/valeur | ||
| Catégorie d'application (category_of_app) | catégorie_d'application | about.labels.clé/valeur | ||
| Technologie applicative (technology_of_app) | technologie_de_l'application | about.labels.clé/valeur | ||
| Risque lié aux applications (risk_of_app) | security_result.severity | |||
| Caractéristique de l'application (characteristic_of_app) | caractéristique_de_l'application | about.labels.clé/valeur | ||
| Conteneur d'application (container_of_app) | container_of_app | about.labels.clé/valeur | ||
| Application SaaS (is_saas_of_app) | appli_saas | about.labels.clé/valeur | ||
| État de l'application approuvée (sanctioned_state_of_app) | état_sanctionné_application | about.labels.clé/valeur |
Option de routage
Le tableau suivant répertorie les champs de journal du type de journal du tunnel et leurs champs UDM correspondants.
| Champ CSV | Champ CEF | Champ LEEF | Clé d'étiquette Chronicle | Champ UDM |
|---|---|---|---|---|
| Heure de réception (receive_time ou cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp (si "Generate Time" est absent) |
|
| Numéro de série (numéro de série) | id_appareilexterne | Numéro de série | intermediary.asset.hardware.serial_number | |
| Type (type) | type (en-tête) | cat | metadata.product_event_type | |
| Menace/Type de contenu (sous-type) | sous-type (en-tête) | Sous-type | metadata.product_event_type | |
| Heure de génération (time_generated ou cef-formatted-time_generated) | metadata.event_timestamp | |||
| Adresse source (src) | src | src | compte.ip | |
| Adresse de destination (dst) | dst | dst | target.ip | |
| Adresse IP source NAT (natsrc) | sourceTranslatedAddress | srcPostNAT | adresse.nat_principale | |
| Adresse IP de destination NAT (natdst) | destinationTranslatedAddress | dstPostNAT | target.nat_ip | |
| Nom de la règle (règle) | cs1 | Nom de la règle | security_result.rule_name (nom de la règle de sécurité) | |
| Utilisateur source (srcuser) | Suser | SourceUser / usrName | compte.utilisateur.idutilisateur | |
| Utilisateur de destination (utilisateur dst) | utilisateur | Utilisateur de destination | target.user.userid | |
| Application (application) | app | Application | Protocole d'application | |
| Système virtuel (vsys) | cs3 | Système virtuel | Vsys | about.labels.clé/valeur |
| Zone source (from) | cs4 | ZoneZone | de | principal.labels.key/value |
| Zone de destination (vers) | cs5 | Zone de destination | à | target.labels.key/value |
| Interface entrante (entrant_if) | deviceInboundInterface | Interface Ingress | entrant_if | principal.labels.key/value |
| Interface sortante (outbound_if) | deviceOutboundInterface | SortieSortie | sortante_if | target.labels.key/value |
| Action du journal (logset) | cs6 | Profil de transfert de journal | ensemble de journaux | about.labels.clé/valeur |
| ID de session (sessionid) | cn1 | ID de session | id_session_réseau | |
| Nombre de répétitions (repeatcnt) | cent | Nombre de répétitions | répéter | about.labels.clé/valeur |
| Port source (sport) | Spt | srcPort | port.principal | |
| Port de destination (port) | pt | Port dst | target.port | |
| Port source NAT (natsport) | Porttraduitsource | srcPostNATPort | port.principal | |
| Port de destination NAT (natdport) | destinationTranslatedPort | dstPostNATPort | port.nat_cible | |
| Indicateurs (indicateurs) | flexString1 | Options | flags | about.labels.clé/valeur |
| Protocole IP (proto) | proto | proto | Protocole IP de réseau | |
| Action (action) | agir | action | security_result.action_details
security_result.action (action de sécurité) |
|
| Gravité (gravité) | security_result.severity et security_result.severity_details | |||
| Numéro de séquence (seqno) | externalId | séquence | metadata.product_log_id | |
| Indicateurs d'action (indicateurs d'action) | PanOSActionFlags | Indicateurs d'action | drapeaux d'action | about.labels.clé/valeur |
| Emplacement source (srcloc) | principal.location.country_or_region | |||
| Emplacement de destination (dstloc) | target.location.country_or_region | |||
| Hiérarchie des groupes d'appareils (dg_hier_level_1) | PanOSDGl1 | Hiérarchie du groupe d'appareils L1 | dg_hier_level_1 | about.labels.clé/valeur |
| Hiérarchie des groupes d'appareils (dg_hier_level_2) | PanOSDGl2 | Hiérarchie du groupe d'appareils L2 | dg_hier_level_2 | about.labels.clé/valeur |
| Hiérarchie des groupes d'appareils (dg_hier_level_3) | PanOSDGl3 | Hiérarchie du groupe d'appareils L3 | dg_hier_level_3 | about.labels.clé/valeur |
| Hiérarchie des groupes d'appareils (dg_hier_level_4) | PanOSDGl4 | Hiérarchie du groupe d'appareils L4 | dg_hier_level_4 | about.labels.clé/valeur |
| Nom du système virtuel (vsys_name) | Nom du système PanOSVsys | Nom vSrc | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
| Nom de l'appareil (device_name) | dvchost | DeviceName | intermediary.hostname | |
| ID du tunnel (tunnelid) | ID du tunnel PanOS | ID du tunnel | tunnelid | about.labels.clé/valeur |
| Balise de surveillance (monitortag) | Balise PanOSMonitorTag | Balise Monitor | surveiller | about.labels.clé/valeur |
| ID de la session parente (parent_session_id) | ID de session PanOSParent | ID de la session parente | id_session_parent | about.labels.clé/valeur |
| Heure de début du parent (parent_start_time) | Heure de début du parent du système d'exploitation | Heure de début du parent | heure_début_parent | about.labels.clé/valeur |
| Type de tunnel (tunnel) | cs2 | Type de tunnel | tunnel | about.labels.clé/valeur |
| Octets (octets) | nombre flexible 1 | nombre total d'octets | bytes | about.labels.clé/valeur |
| Octets envoyés (bytes_sent) | in | srcOctets | network.received_bytes | |
| Octets reçus (bytes_received) | out | dstBytes | network.sent_bytes | |
| Paquets (paquets) | 2 cns | nombre total de paquets | paquets | about.labels.clé/valeur |
| Paquets envoyés (pkts_sent) | PanOSPacketsSent | srcPackets | pkts_sent | about.labels.clé/valeur |
| Paquets reçus (pkts_received) | PanOSPacketsReceived | Packsdst | pkts_reçus | about.labels.clé/valeur |
| Encapsulation maximale (max_encap) | FlexibilitéNuméro2 | Encapsulation maximale | encapsulage_max | about.labels.clé/valeur |
| Protocole inconnu (unknown_proto) | cfp1 | ProtocoleInconnu | protocole_inconnu | about.labels.clé/valeur |
| Vérification stricte (strict_check) | cfp2 | Vérification stricte | vérification_stricte | about.labels.clé/valeur |
| Fragment de tunnel (tunnel_fragment) | PanOSTunnelFragment | Fragment de tunnel | fragment_tunnel | about.labels.clé/valeur |
| Sessions créées (sessions_created) | cfp3 | Sessions créées | sessions_created | about.labels.clé/valeur |
| Sessions fermées (sessions_closed) | cfp4 | Sessions fermées | sessions_closed | about.labels.clé/valeur |
| Motif de fin de session (session_end_reason) | reason | SessionEndReason | security_result.summary | |
| Source de l'action (action_source) | cat | Source de l'action | source_action | about.labels.clé/valeur |
| Heure de début (start) | heure de début | démarrer | about.labels.clé/valeur | |
| Temps écoulé (total) | cn3 | Temps écoulé | écoulé | about.labels.clé/valeur |
| Règle d'inspection du tunnel (tunnel_insp_rule) | PanOSTunneInspectionRule | security_result.rule_name = "Règle d'inspection de tunnel %{PanOSTunnelInspectionRule}" | ||
| Adresse IP de l'utilisateur distant (remote_user_ip) | Adresse IP de l'utilisateur PanOSRmt | target.ip | ||
| ID de l'utilisateur distant (remote_user_id) | ID utilisateur PanOSRmt | ID utilisateur à distance | target.labels.key/value | |
| UUID de règle de sécurité (rule_uuid) | PanOSRuleUUID | security_result.rule_id [id_règle_sécurité] | ||
| ID PCAP (pcap_id) | PanOSPcapID | id_cap | about.labels.clé/valeur | |
| Nom du groupe d'utilisateurs dynamique (dynusergroup_name) | PanDynamicUsrgrp | nom.groupe.groupe_à_afficher | ||
| Liste dynamique externe source (src_edl) | PanOSSourceEDL | src_edl | principal.labels.key/value | |
| Liste dynamique de destination externe (dst_edl) | PanOSDestinationEDL | dst_edl | target.labels.key/value | |
| Horodatage haute résolution (horodatage haute résolution) | PanOSTimeGeneratedHighResolution | metadata.collected_timestamp,
metadata.event_timestamp (si "Generate Time" est absent) |
||
| Un facteur de différenciation (nssai_sd) | nssai_sd | about.labels.clé/valeur | ||
| Type de service de secteur (nssai_sd) | nssai_sd1 | about.labels.clé/valeur | ||
| ID de session PDU (pdu_session_id) | id_session_pdu | about.labels.clé/valeur | ||
| Sous-catégorie de l'application (subcategory_of_app) | sous-catégorie_de_l'application | about.labels.clé/valeur | ||
| Catégorie d'application (category_of_app) | catégorie_d'application | about.labels.clé/valeur | ||
| Technologie applicative (technology_of_app) | technologie_de_l'application | about.labels.clé/valeur | ||
| Risque lié aux applications (risk_of_app) | risque_de_l'application | about.labels.clé/valeur | ||
| Caractéristique de l'application (characteristic_of_app) | caractéristique_de_l'application | about.labels.clé/valeur | ||
| Conteneur d'application (container_of_app) | container_of_app | about.labels.clé/valeur | ||
| Application SaaS (is_saas_of_app) | appli_saas | about.labels.clé/valeur | ||
| État de l'application approuvée (sanctioned_state_of_app) | état_sanctionné_application | about.labels.clé/valeur |
Authentification
Le tableau suivant répertorie les champs de journal du type de journal d'authentification et les champs UDM correspondants.
| Champ CSV | Champ CEF | Champ LEEF | Clé d'étiquette Chronicle | Champ UDM |
|---|---|---|---|---|
| Heure de réception (receive_time ou cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp (si "Generate Time" est absent) |
|
| Numéro de série (numéro de série) | id_appareilexterne | Numéro de série | intermediary.asset.hardware.serial_number | |
| Type (type) | type (en-tête) | cat | metadata.product_event_type | |
| Menace/Type de contenu (sous-type) | sous-type (en-tête) | Sous-type | metadata.product_event_type | |
| Heure de génération (time_generated ou cef-formatted-time_generated) | metadata.event_timestamp | |||
| Système virtuel (vsys) | cs3 | Système virtuel | Vsys | about.labels.clé/valeur |
| Adresse IP source (IP) | src | src | compte.ip | |
| Utilisateur (utilisateur) | utilisateur | Nom d'utilisateur | target.user.userid | |
| Utilisateur normalisé (normalize_user) | cs2 | Utilisateur normalisé | target.user.user_display_name | |
| Objet (objet) | fname | Nom de l'objet | objet | about.labels.clé/valeur |
| Règle d'authentification (authpolicy) | cs4 | Règles d'authentification | règle d'authentification | about.labels.clé/valeur |
| Nombre de répétitions (repeatcnt) | cent | Nombre de répétitions | répéter | about.labels.clé/valeur |
| ID d'authentification (authid) | 2 cns | ID d'authentification | authid | about.labels.clé/valeur |
| Fournisseur (fournisseur) | flexString2 | Fournisseur | vendor | about.labels.clé/valeur |
| Action du journal (logset) | cs6 | Profil de transfert de journal | ensemble de journaux | about.labels.clé/valeur |
| Profil du serveur (serverprofile) | cs1 | Profil du serveur | profilprofil | about.labels.clé/valeur |
| Description (desc.) | PanOSDesc | Informations supplémentaires | security_result.description [description_de_sécurité] | |
| Type de client (clienttype) | cs5 | Type client | typeclient | about.labels.clé/valeur |
| Type d'événement (événement) | Message | Message | extensions.auth.auth_details. | |
| Numéro de facteur (factorno) | cn1 | NuméroFacteur | Facteur | about.labels.clé/valeur |
| Numéro de séquence (seqno) | externalId | séquence | metadata.product_log_id | |
| Indicateurs d'action (indicateurs d'action) | PanOSActionFlags | Indicateurs d'action | drapeaux d'action | about.labels.clé/valeur |
| Hiérarchie des groupes d'appareils (dg_hier_level_1) | PanOSDGl1 | Hiérarchie du groupe d'appareils L1 | dg_hier_level_1 | about.labels.clé/valeur |
| Hiérarchie des groupes d'appareils (dg_hier_level_2) | PanOSDGl2 | Hiérarchie du groupe d'appareils L2 | dg_hier_level_2 | about.labels.clé/valeur |
| Hiérarchie des groupes d'appareils (dg_hier_level_3) | PanOSDGl3 | Hiérarchie du groupe d'appareils L3 | dg_hier_level_3 | about.labels.clé/valeur |
| Hiérarchie des groupes d'appareils (dg_hier_level_4) | PanOSDGl4 | Hiérarchie du groupe d'appareils L4 | dg_hier_level_4 | about.labels.clé/valeur |
| Nom du système virtuel (vsys_name) | Nom du système PanOSVsys | Nom vSrc | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
| Nom de l'appareil (device_name) | dvchost | DeviceName | intermediary.hostname | |
| ID du système virtuel (vsys_id) | principal.resource.resource_type=VIRTUAL_MACHINE et principal.resource.product_object_id | |||
| Protocole d'authentification (authproto) | authproto | about.labels.clé/valeur | ||
| UUID pour la règle (rule_uuid) | PanOSRuleUUID | security_result.rule_id [id_règle_sécurité] | ||
| Horodatage haute résolution (horodatage haute résolution) | PanOSTimeGeneratedHighResolution | metadata.collected_timestamp,
metadata.event_timestamp (si "Generate Time" est absent) |
||
| Catégorie d'appareil source (src_category) | Catégorie PanOSSourceDevice | src_category | principal.labels.key/value | |
| Profil d'appareil source (src_profile) | Profil d'appareil PanOSSource | src_profile | principal.labels.key/value | |
| Modèle d'appareil source (src_model) | PanOSSourceDeviceModel | src_model | principal.labels.key/value | |
| Fournisseur d'appareils sources (src_vendor) | PanOSSourceDeviceVendor | src_vendor | principal.labels.key/value | |
| Famille d'OS de l'appareil source (src_osfamily) | PanOSSourceDeviceOSFamily | principal.asset.platform_software.platform
principal.labels.key/value |
||
| Version de l'OS de l'appareil source (src_osversion) | PanOSSourceDeviceOSVersion | principal.asset.software.version | ||
| Nom d'hôte source (src_host) | Nom d'hôte PanOSSource | nom.principal | ||
| Adresse MAC source (src_mac) | MacOSSourceMac | principal.asset.mac | ||
| Région (region) | Région PanOSTrafficOrigin | principal.location.country_or_region | ||
| User-agent (user_agent) | Agent utilisateur HTTP PanOS | réseau.http.user_agent | ||
| ID de session(sessionid) | ID de session PanOSTraffic | id_session_réseau |
URL
Le tableau suivant répertorie les champs de journal du type de journal d'URL et les champs UDM correspondants.
| Champ CSV | Champ CEF | Champ LEEF | Clé d'étiquette Chronicle | Champ UDM |
|---|---|---|---|---|
| Heure de réception (cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp (si "Generate Time" est absent) |
|
| Numéro de série (numéro de série) | id_appareilexterne | Numéro de série | intermediary.asset.hardware.serial_number | |
| Type (type) | type (en-tête) | cat | metadata.product_event_type | |
| Menace/Type de contenu (sous-type) | sous-type (en-tête) | Sous-type | metadata.product_event_type | |
| Heure de génération | metadata.event_timestamp | |||
| Adresse source (src) | src | src | compte.ip | |
| Adresse de destination (dst) | dst | dst | target.ip | |
| Adresse IP source NAT (natsrc) | sourceTranslatedAddress | srcPostNAT | adresse.nat_principale | |
| Adresse IP de destination NAT (natdst) | destinationTranslatedAddress | dstPostNAT | target.nat_ip | |
| Règle (règle) | cs1 | Nom de la règle | security_result.rule_name (nom de la règle de sécurité) | |
| Utilisateur source (srcuser) | Suser | Utilisateur source | compte.utilisateur.idutilisateur | |
| Utilisateur de destination (utilisateur dst) | utilisateur | Utilisateur de destination | target.user.userid | |
| Application (application) | app | Application | Protocole d'application | |
| Système virtuel (vsys) | cs3 | Système virtuel | Vsys | about.labels.clé/valeur |
| Zone source (from) | cs4 | ZoneZone | de | principal.labels.key/value |
| Zone de destination (vers) | cs5 | Zone de destination | à | target.labels.key/value |
| Interface entrante (entrant_if) | deviceInboundInterface | Interface Ingress | entrant_if | principal.labels.key/value |
| Interface sortante (outbound_if) | deviceOutboundInterface | SortieSortie | sortante_if | target.labels.key/value |
| Action du journal (logset) | cs6 | Profil de transfert de journal | ensemble de journaux | about.labels.clé/valeur |
| Durée d'enregistrement | temps_enregistré | about.labels.clé/valeur | ||
| ID de session (sessionid) | cn1 | ID de session | id_session_réseau | |
| Nombre de répétitions (repeatcnt) | cent | Nombre de répétitions | répéter | about.labels.clé/valeur |
| Port source (sport) | Spt | srcPort | port.principal | |
| Port de destination (port) | pt | Port dst | target.port | |
| Port source NAT (natsport) | Porttraduitsource | srcPostNATPort | port.principal | |
| Port de destination NAT (natdport) | destinationTranslatedPort | dstPostNATPort | port.nat_cible | |
| Indicateurs (indicateurs) | flexString1 | Options | flags | about.labels.clé/valeur |
| Protocole IP (proto) | proto | proto | Protocole IP de réseau | |
| Action (action) | agir | action | security_result.action_details
security_result.action (action de sécurité) |
|
| URL/Nom de fichier (divers) | Autres | target.file.full_path
target.url |
||
| Nom de la menace/contenu (théâtre) | cat | ID de la menace | security_result.threat_id | |
| Catégorie (category) | cs2 | Catégorie d'URL | catégorie | about.labels.clé/valeur |
| Gravité (gravité) | number-of-severity (en-tête) | Gravité | security_result.severity
security_result.severity_details |
|
| Direction (sens) | flexString2 | Direction | réseau.direction | |
| Numéro de séquence (seqno) | externalId | séquence | metadata.product_log_id | |
| Indicateurs d'action (indicateurs d'action) | PanOSActionFlags | Indicateurs d'action | drapeaux d'action | about.labels.clé/valeur |
| Pays source (srcloc) | Emplacement source | principal.location.country_or_region | ||
| Pays de destination (dstloc) | DestinationLocation (Emplacement de destination) | target.location.country_or_region | ||
| contenttype (typedecontenu) | requestContext | ContentType | typedecontenu | about.labels.clé/valeur |
| pcap_id (ID pcap) | ID du fichier | PCAP_ID | id_cap | about.labels.clé/valeur |
| filedigest (fichier digest) | Récapitulatif de fichier | about.file.sha1/md5/sha256 | ||
| cloud (cloud) | Cloud | cloud | about.labels.clé/valeur | |
| url_idx (URL_idx) | Index d'URL | URL_IDX | about.labels.clé/valeur | |
| user_agent (user_agent) | demandeClientApplication | UserAgent | réseau.http.user_agent | |
| typedefichier (typedefichier) | about.file.mime_type | |||
| xff (xff) | PanOSXForwarder | identSrc | xff | about.labels.clé/valeur |
| référent (URL de provenance) | PanOSReferer | Référent | network.http.referral_url | |
| expéditeur (expéditeur) | Adresse e-mail du réseau | |||
| objet (objet) | Objet | Adresse e-mail du réseau | ||
| destinataire (destinataire) | network.email.to | |||
| reportid (identifiant du rapport) | ID du rapport | about.labels.clé/valeur | ||
| Niveau 1 de la hiérarchie DG (dg_hier_level_1) | PanOSDGl1 | Hiérarchie du groupe d'appareils L1 | dg_hier_level_1 | about.labels.clé/valeur |
| Niveau 2 de la hiérarchie DG (dg_hier_level_2) | PanOSDGl2 | Hiérarchie du groupe d'appareils L2 | dg_hier_level_2 | about.labels.clé/valeur |
| Niveau 3 de la hiérarchie DG (dg_hier_level_3) | PanOSDGl3 | Hiérarchie du groupe d'appareils L3 | dg_hier_level_3 | about.labels.clé/valeur |
| Niveau 4 de la hiérarchie DG (dg_hier_level_4) | PanOSDGl4 | Hiérarchie du groupe d'appareils L4 | dg_hier_level_4 | about.labels.clé/valeur |
| Nom du système virtuel (vsys_name) | Nom du système PanOSVsys | Nom vSrc | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
| Nom de l'appareil (device_name) | dvchost | DeviceName | intermediary.hostname | |
| file_url (URL_fichier) | about.url | |||
| UUID de la VM source (src_uuid) | UUID Src | principal.asset.asset_id | ||
| UUID de la VM de destination (dst_uuid) | IDDUUID | target.asset.asset_id | ||
| http_method (http_method) | Méthode method | Méthode de requête | network.http.method (méthode) | |
| ID du tunnel/IMSI (tunnelid) | ID du tunnel PanOS | ID du tunnel | tunnelid | about.labels.clé/valeur |
| Balise de surveillance/Code IMEI | Balise PanOSMonitorTag | Balise Monitor | surveiller | about.labels.clé/valeur |
| ID de la session parente (parent_session_id) | ID de session PanOSParent | ID de la session parente | id_session_parent | about.labels.clé/valeur |
| Heure de début de la session parente (parent_start_time) | Heure de début du parent du système d'exploitation | Heure de début du parent | heure_début_parent | about.labels.clé/valeur |
| Tunnel (tunnel) | Type de tunnel PanOS | Type de tunnel | tunnel | about.labels.clé/valeur |
| thr_category (thr_category) | Catégorie de menace PanOS | Catégorie de menace | thr_category | security_result.detection_fields.key/value |
| Contentver (contenu) | PanOSContentVer | ContenuVers | Contentver | about.labels.clé/valeur |
| sig_flags (sig_flags) | sig_flags | about.labels.clé/valeur | ||
| ID d'association SCTP (assoc_id) | PanOSAssocID | ID_association | about.labels.clé/valeur | |
| ID de protocole de charge utile (ppid) | PanOSPPID | ppid | about.labels.clé/valeur | |
| http_headers (http_headers) | PanOSHTTPHeader | http_headers | about.labels.clé/valeur | |
| Liste des catégories d'URL (url_category_list) | PanOSURLCatList | url_category_list | about.labels.clé/valeur | |
| UUID pour la règle (rule_uuid) | PanOSRuleUUID | règle_uuid | about.labels.clé/valeur | |
| Connexion HTTP/2 (http2_connection) | PanOSHTTP2Con | Connexion http2 | about.labels.clé/valeur | |
| dynusergroup_name (dynusergroup_name) | PanDynamicUsrgrp | nom_groupe_utilisateur | about.labels.clé/valeur | |
| Adresse XFF (xff_ip) | PanXFFIP | compte.ip | ||
| Catégorie d'appareil source (src_category) | PanSrcDeviceCat | src_category | principal.labels.key/value | |
| Profil d'appareil source (src_profile) | PanSrcDeviceProf | src_profile | principal.labels.key/value | |
| Modèle d'appareil source (src_model) | Modèle appareil PanSrc | src_model | principal.labels.key/value | |
| Fournisseur d'appareils sources (src_vendor) | Fournisseur d'appareils PanSrc | src_vendor | principal.labels.key/value | |
| Famille d'OS de l'appareil source (src_osfamily) | PanSrcDeviceOS | principal.asset.platform_software.platform
principal.labels.key/value |
||
| Version de l'OS de l'appareil source (src_osversion) | PanSrcDeviceOSv | principal.asset.software.version | ||
| Nom d'hôte source (src_host) | Nom d'hôte PanSrc | src_hôte | principal.labels.key/value | |
| Adresse Mac source (src_mac) | PanSrcMac | principal.mac | ||
| Catégorie d'appareil de destination (dst_category) | PanDstDeviceCat | dst_category | target.labels.key/value | |
| Profil d'appareil de destination (dst_profile) | PanDstDeviceProf | Profil DST | target.labels.key/value | |
| Modèle d'appareil de destination (dst_model) | PanDstDeviceModel | dst_model | target.labels.key/value | |
| Fournisseur d'appareils de destination (dst_vendor) | Fournisseur d'appareils PanDst | dst_vendor | target.labels.key/value | |
| Famille d'OS de l'appareil de destination (dst_osfamily) | PanDstDeviceOS | target.asset.platform_software.platform
target.labels.key/value |
||
| Version du système d'exploitation de l'appareil de destination (dst_osversion) | PanDstDeviceOSv | target.asset.software.version | ||
| Nom d'hôte de destination (dst_host) | Espace de noms PanPOD | target.hostname | ||
| Adresse Mac de destination (dst_mac) | PanDstMac | target.mac | ||
| ID du conteneur (container_id) | Nom du conteneur | id_conteneur | about.labels.clé/valeur | |
| Espace de noms du POD (pod_namespace) | Espace de noms PanPOD | pod_namespace | about.labels.clé/valeur | |
| Nom du POD (pod_name) | Nom du panPOD | pod_name | about.labels.clé/valeur | |
| Liste dynamique externe source (src_edl) | PanSrcEDL | src_edl | principal.labels.key/value | |
| Liste dynamique de destination externe (dst_edl) | PanDstEDL | dst_edl | target.labels.key/value | |
| ID d'hôte (hostid) | ID PanGPHost | hostid | about.labels.clé/valeur | |
| Numéro de série (numéro de série) | PanEPSerial | principal.asset.hardware.serial_number | ||
| domaine_edl (domaine_edl) | PanDomainEDL | domaine_edl | about.labels.clé/valeur | |
| Groupe d'adresses dynamiques source (src_dag) | PanSrcDAG | nom.groupe.groupe_à_afficher | ||
| Groupe d'adresses dynamiques de destination (dst_dag) | PanDstDAG | target.group.group_display_name | ||
| hachage partiel (hash_partiel) | HashHash | hachage partiel | about.labels.clé/valeur | |
| Horodatage haute résolution (high_res_timestamp) | Haute résolution haute résolution | metadata.collected_timestamp,
metadata.event_timestamp (si "Generate Time" est absent) |
||
| Motif (raison) | Action PanReasonFiltering | reason | about.labels.clé/valeur | |
| justification (justification) | Panjustification | justification | about.labels.clé/valeur | |
| nssai_sst (nssai_sst) | Type de service PanAS | nssaï_st | about.labels.clé/valeur | |
| Sous-catégorie de l'application (subcategory_of_app) | sous-catégorie_de_l'application | about.labels.clé/valeur | ||
| Catégorie d'application (category_of_app) | catégorie_d'application | about.labels.clé/valeur | ||
| Technologie de l'application (technology_of_app) | technologie_de_l'application | about.labels.clé/valeur | ||
| Risque lié à l'application (risk_of_app) | risque_de_l'application | about.labels.clé/valeur | ||
| Caractéristique de l'appli (characteristic_of_app) | caractéristique_de_l'application | about.labels.clé/valeur | ||
| Conteneur de l'application (container_of_app) | container_of_app | about.labels.clé/valeur | ||
| Application avec tunnel (tunneled_app) | application_tunnelisée | about.labels.clé/valeur | ||
| SaaS d'application (is_saas_of_app) | appli_saas | about.labels.clé/valeur | ||
| État approuvé de l'application (sanctioned_state_of_app) | état_sanctionné_application | about.labels.clé/valeur |
Données
Le tableau suivant répertorie les champs de journal du type de journal de données et les champs UDM correspondants.
| Champ CSV | Champ CEF | Champ LEEF | Clé d'étiquette Chronicle | Champ UDM |
|---|---|---|---|---|
| Heure de réception (cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp (si "Generate Time" est absent) |
|
| Numéro de série (numéro de série) | id_appareilexterne | Numéro de série | intermediary.asset.hardware.serial_number | |
| Type (type) | type (en-tête) | cat | metadata.product_event_type | |
| Menace/Type de contenu (sous-type) | sous-type (en-tête) | Sous-type | metadata.product_event_type | |
| Heure de génération | metadata.event_timestamp | |||
| Adresse source (src) | src | src | compte.ip | |
| Adresse de destination (dst) | dst | dst | target.ip | |
| Adresse IP source NAT (natsrc) | sourceTranslatedAddress | srcPostNAT | adresse.nat_principale | |
| Adresse IP de destination NAT (natdst) | destinationTranslatedAddress | dstPostNAT | target.nat_ip | |
| Règle (règle) | cs1 | Nom de la règle | security_result.rule_name (nom de la règle de sécurité) | |
| Utilisateur source (srcuser) | Suser | Utilisateur source | compte.utilisateur.idutilisateur | |
| Utilisateur de destination (utilisateur dst) | utilisateur | Utilisateur de destination | target.user.userid | |
| Application (application) | app | Application | Protocole d'application | |
| Système virtuel (vsys) | cs3 | Système virtuel | Vsys | about.labels.clé/valeur |
| Zone source (from) | cs4 | ZoneZone | de | principal.labels.key/value |
| Zone de destination (vers) | cs5 | Zone de destination | à | target.labels.key/value |
| Interface entrante (entrant_if) | deviceInboundInterface | Interface Ingress | entrant_if | principal.labels.key/value |
| Interface sortante (outbound_if) | deviceOutboundInterface | SortieSortie | sortante_if | target.labels.key/value |
| Action du journal (logset) | cs6 | Profil de transfert de journal | ensemble de journaux | about.labels.clé/valeur |
| Durée d'enregistrement | temps_enregistré | about.labels.clé/valeur | ||
| ID de session (sessionid) | cn1 | ID de session | id_session_réseau | |
| Nombre de répétitions (repeatcnt) | cent | Nombre de répétitions | répéter | about.labels.clé/valeur |
| Port source (sport) | Spt | srcPort | port.principal | |
| Port de destination (port) | pt | Port dst | target.port | |
| Port source NAT (natsport) | Porttraduitsource | srcPostNATPort | port.principal | |
| Port de destination NAT (natdport) | destinationTranslatedPort | dstPostNATPort | port.nat_cible | |
| Indicateurs (indicateurs) | flexString1 | Options | flags | about.labels.clé/valeur |
| Protocole IP (proto) | proto | proto | Protocole IP de réseau | |
| Action (action) | agir | action | security_result.action_details
security_result.action (action de sécurité) |
|
| URL/Nom de fichier (divers) | Autres | target.file.full_path
target.url |
||
| Nom de la menace/contenu (théâtre) | cat | ID de la menace | security_result.threat_id | |
| Catégorie (category) | cs2 | Catégorie d'URL | catégorie | about.labels.clé/valeur |
| Gravité (gravité) | number-of-severity (en-tête) | Gravité | security_result.severity
security_result.severity_details |
|
| Direction (sens) | flexString2 | Direction | réseau.direction | |
| Numéro de séquence (seqno) | externalId | séquence | metadata.product_log_id | |
| Indicateurs d'action (indicateurs d'action) | PanOSActionFlags | Indicateurs d'action | drapeaux d'action | about.labels.clé/valeur |
| Pays source (srcloc) | Emplacement source | principal.location.country_or_region | ||
| Pays de destination (dstloc) | DestinationLocation (Emplacement de destination) | target.location.country_or_region | ||
| contenttype (typedecontenu) | ContentType | typedecontenu | about.labels.clé/valeur | |
| pcap_id (ID pcap) | ID du fichier | PCAP_ID | id_cap | about.labels.clé/valeur |
| filedigest (fichier digest) | Récapitulatif de fichier | about.file.sha1/md5/sha256 | ||
| cloud (cloud) | Cloud | cloud | about.labels.clé/valeur | |
| url_idx (URL_idx) | Index d'URL | URL_IDX | about.labels.clé/valeur | |
| user_agent (user_agent) | réseau.http.user_agent | |||
| typedefichier (typedefichier) | about.file.mime_type | |||
| xff (xff) | xff | about.labels.clé/valeur | ||
| référent (URL de provenance) | network.http.referral_url | |||
| expéditeur (expéditeur) | Adresse e-mail du réseau | |||
| objet (objet) | Objet | Adresse e-mail du réseau | ||
| destinataire (destinataire) | network.email.to | |||
| reportid (identifiant du rapport) | ID du rapport | about.labels.clé/valeur | ||
| Niveau 1 de la hiérarchie DG (dg_hier_level_1) | PanOSDGl1 | Hiérarchie du groupe d'appareils L1 | dg_hier_level_1 | about.labels.clé/valeur |
| Niveau 2 de la hiérarchie DG (dg_hier_level_2) | PanOSDGl2 | Hiérarchie du groupe d'appareils L2 | dg_hier_level_2 | about.labels.clé/valeur |
| Niveau 3 de la hiérarchie DG (dg_hier_level_3) | PanOSDGl3 | Hiérarchie du groupe d'appareils L3 | dg_hier_level_3 | about.labels.clé/valeur |
| Niveau 4 de la hiérarchie DG (dg_hier_level_4) | PanOSDGl4 | Hiérarchie du groupe d'appareils L4 | dg_hier_level_4 | about.labels.clé/valeur |
| Nom du système virtuel (vsys_name) | Nom du système PanOSVsys | Nom vSrc | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
| Nom de l'appareil (device_name) | dvchost | DeviceName | intermediary.hostname | |
| file_url (URL_fichier) | about.url | |||
| UUID de la VM source (src_uuid) | UUID Src | principal.asset.asset_id | ||
| UUID de la VM de destination (dst_uuid) | IDDUUID | target.asset.asset_id | ||
| http_method (http_method) | Méthode de requête | network.http.method (méthode) | ||
| ID du tunnel/IMSI (tunnelid) | ID du tunnel PanOS | ID du tunnel | tunnelid | about.labels.clé/valeur |
| Balise de surveillance/Code IMEI | Balise PanOSMonitorTag | Balise Monitor | surveiller | about.labels.clé/valeur |
| ID de la session parente (parent_session_id) | ID de session PanOSParent | ID de la session parente | id_session_parent | about.labels.clé/valeur |
| Heure de début de la session parente (parent_start_time) | Heure de début du parent du système d'exploitation | Heure de début du parent | heure_début_parent | about.labels.clé/valeur |
| Tunnel (tunnel) | Type de tunnel PanOS | Type de tunnel | tunnel | about.labels.clé/valeur |
| thr_category (thr_category) | Catégorie de menace PanOS | Catégorie de menace | thr_category | security_result.detection_fields.key/value |
| Contentver (contenu) | PanOSContentVer | ContenuVers | Contentver | about.labels.clé/valeur |
| sig_flags (sig_flags) | sig_flags | about.labels.clé/valeur | ||
| ID d'association SCTP (assoc_id) | PanOSAssocID | ID_association | about.labels.clé/valeur | |
| ID de protocole de charge utile (ppid) | PanOSPPID | ppid | about.labels.clé/valeur | |
| http_headers (http_headers) | PanOSHTTPHeader | http_headers | about.labels.clé/valeur | |
| Liste des catégories d'URL (url_category_list) | url_category_list | about.labels.clé/valeur | ||
| UUID pour la règle (rule_uuid) | PanOSRuleUUID | règle_uuid | about.labels.clé/valeur | |
| Connexion HTTP/2 (http2_connection) | Connexion http2 | about.labels.clé/valeur | ||
| dynusergroup_name (dynusergroup_name) | nom_groupe_utilisateur | principal.labels.key/value | ||
| Adresse XFF (xff_ip) | compte.ip | |||
| Catégorie d'appareil source (src_category) | src_category | principal.labels.key/value | ||
| Profil d'appareil source (src_profile) | src_profile | principal.labels.key/value | ||
| Modèle d'appareil source (src_model) | src_model | principal.labels.key/value | ||
| Fournisseur d'appareils sources (src_vendor) | src_vendor | principal.labels.key/value | ||
| Famille d'OS de l'appareil source (src_osfamily) | principal.asset.platform_software.platform
principal.labels.key/value |
|||
| Version de l'OS de l'appareil source (src_osversion) | principal.asset.software.version | |||
| Nom d'hôte source (src_host) | src_hôte | principal.labels.key/value | ||
| Adresse Mac source (src_mac) | principal.mac | |||
| Catégorie d'appareil de destination (dst_category) | dst_category | target.labels.key/value | ||
| Profil d'appareil de destination (dst_profile) | Profil DST | target.labels.key/value | ||
| Modèle d'appareil de destination (dst_model) | dst_model | target.labels.key/value | ||
| Fournisseur d'appareils de destination (dst_vendor) | dst_vendor | target.labels.key/value | ||
| Famille d'OS de l'appareil de destination (dst_osfamily) | target.asset.platform_software.platform
target.labels.key/value |
|||
| Version du système d'exploitation de l'appareil de destination (dst_osversion) | target.asset.software.version | |||
| Nom d'hôte de destination (dst_host) | target.hostname | |||
| Adresse Mac de destination (dst_mac) | target.mac | |||
| ID du conteneur (container_id) | id_conteneur | about.labels.clé/valeur | ||
| Espace de noms du POD (pod_namespace) | pod_namespace | about.labels.clé/valeur | ||
| Nom du POD (pod_name) | pod_name | about.labels.clé/valeur | ||
| Liste dynamique externe source (src_edl) | src_edl | principal.labels.key/value | ||
| Liste dynamique de destination externe (dst_edl) | dst_edl | target.labels.key/value | ||
| ID d'hôte (hostid) | hostid | about.labels.clé/valeur | ||
| Numéro de série (numéro de série) | principal.asset.hardware.serial_number | |||
| domaine_edl (domaine_edl) | domaine_edl | about.labels.clé/valeur | ||
| Groupe d'adresses dynamiques source (src_dag) | nom.groupe.groupe_à_afficher | |||
| Groupe d'adresses dynamiques de destination (dst_dag) | target.group.group_display_name | |||
| hachage partiel (hash_partiel) | hachage partiel | about.labels.clé/valeur | ||
| Horodatage haute résolution (high_res_timestamp) | metadata.collected_timestamp,
metadata.event_timestamp (si "Generate Time" est absent) |
|||
| Motif (raison) | reason | about.labels.clé/valeur | ||
| justification (justification) | justification | about.labels.clé/valeur | ||
| nssai_sst (nssai_sst) | nssaï_st | about.labels.clé/valeur | ||
| Sous-catégorie de l'application (subcategory_of_app) | sous-catégorie_de_l'application | about.labels.clé/valeur | ||
| Catégorie d'application (category_of_app) | catégorie_d'application | about.labels.clé/valeur | ||
| Technologie de l'application (technology_of_app) | technologie_de_l'application | about.labels.clé/valeur | ||
| Risque lié à l'application (risk_of_app) | risque_de_l'application | about.labels.clé/valeur | ||
| Caractéristique de l'appli (characteristic_of_app) | caractéristique_de_l'application | about.labels.clé/valeur | ||
| Conteneur de l'application (container_of_app) | container_of_app | about.labels.clé/valeur | ||
| Application avec tunnel (tunneled_app) | application_tunnelisée | about.labels.clé/valeur | ||
| SaaS d'application (is_saas_of_app) | appli_saas | about.labels.clé/valeur | ||
| État approuvé de l'application (sanctioned_state_of_app) | état_sanctionné_application | about.labels.clé/valeur |
GlobalProtect
Le tableau suivant répertorie les champs de journal du type de journal GlobalProtect et les champs UDM correspondants.
| Champ CSV | Champ CEF | Champ LEEF | Clé d'étiquette Chronicle | Champ UDM |
|---|---|---|---|---|
| Heure de réception (receive_time) | rt | heure_reçue | metadata.event_timestamp | |
| Numéro de série (numéro de série) | PanOSDeviceSN | intermediary_asset_hardware_serial_number | intermediary.asset.hardware.serial_number | |
| Type (type) | type (en-tête) | metadata.product_event_type | ||
| Menace/Type de contenu (sous-type) | sous-type (en-tête) | Sous-type | metadata.product_event_type | |
| Heure de génération (time_generated) | Indicateur de temps PanOSLogTime | horodatage_généré | metadata.event_timestamp | |
| Système virtuel (vsys) | PanOSVirtualSystem | Vsys | about.labels.clé/valeur | |
| ID de l'événement (eventid) | ID de l'événement PanOS | id_événement | about.labels.clé/valeur | |
| Étape (étape) | PanOSStage | étape | about.labels.clé/valeur | |
| Méthode d'authentification (auth_method) | Méthode PanOSAuthMethod | extension_auth_auth_details. | extensions.auth.auth_details. | |
| Type de tunnel (tunnel_type) | Type de tunnel PanOS | tunnel | about.labels.clé/valeur | |
| Utilisateur source (srcuser) | Nom d'utilisateur source de PanOS | src_utilisateur | compte.utilisateur.adresse_e-mail
compte.utilisateur.idutilisateur domaine.administrative_domain |
|
| Région source (srcregion) | Région source PanOS | src_region | principal.location.country_or_region | |
| Nom de la machine (nom de la machine) | Nom de l'appareil PanOSEndpoint | machine_name | nom.principal | |
| Adresse IP publique (public_ip) | PanOSPublicIPv4 | adresse.nat_principale | ||
| Adresse IPv6 publique (public_ipv6) | PanOSPublicIPv6 | adresse.nat_principale | ||
| Adresse IP privée (private_ip) | PanOSPrivateIPv4 | compte.ip | ||
| Adresse IPv6 privée (private_ipv6) | PanOSPrivateIPv6 | compte.ip | ||
| ID d'hôte (hostid) | ID du hôte du système d'exploitation | hostid | principal.asset.asset_id | |
| Numéro de série (numéro de série) | PanOSDeviceSN | principal.asset.hardware.serial_number | ||
| Version du client (client_ver) | PanOSGlobalProtectClientVersion | client_ver | about.labels.clé/valeur | |
| OS client (client_os) | PanOSEndpointOSType | principal.asset.platform_software.platform(enum) | ||
| Version du système d'exploitation client (client_os_ver) | PanOSEndpointOSVersion | principal.asset.platform_software.platform_version | ||
| Nombre de répétitions (repeatcnt) | NombreD'occurrences | répéter | about.labels.clé/valeur | |
| Motif (raison) | Motif PanOSQuarantineReason | security_result.summary | ||
| Erreur (erreur) | Erreur de connexion au système d'exploitation | erreur | security_result.description [description_de_sécurité] | |
| Description (opaque) | Description du panorama | security_result.description [description_de_sécurité] | ||
| État (état) | État de l'événement PanOS | état | about.labels.clé/valeur | |
| Lieu (lieu) | Emplacement de la passerelle PanOSGPGateway | target.location.country_or_region | ||
| Durée de connexion (login_duration) | PanOSLoginDuration | durée.session_réseau | ||
| Méthode Connect (connect_method) | Méthode PanOSConnectionMethod | Méthode connect | about.labels.clé/valeur | |
| Code d'erreur (error_code) | PanOSConnectionErrorID | code_erreur | about.labels.clé/valeur | |
| Portail (portail) | PanOSPortal | portail | about.labels.clé/valeur | |
| Numéro de séquence (seqno) | PanOSSequenceNon | metadata.product_log_id | ||
| Indicateurs d'action (indicateurs d'action) | PanOSActionFlags | drapeaux d'action | about.labels.clé/valeur | |
| Horodatage haute résolution (high_res_timestamp) | anOSTimeGeneratedHighResolution | metadata.collected_timestamp,
metadata.event_timestamp (si "Generate Time" est absent) |
||
| Méthode de sélection de la passerelle (selection_type) | PanOSGatewaySelectionType | type_sélection | about.labels.clé/valeur | |
| Temps de réponse SSL (response_time) | Délai de réponse PanOSSSL | temps_de_réponse | about.labels.clé/valeur | |
| Priorité de passerelle (priorité) | Priorité PanOSGateway | priority | about.labels.clé/valeur | |
| Tentatives de passerelle (attempted_gateways) | Passerelles PanOSTentativeed | tentatives_passerelles | about.labels.clé/valeur | |
| Nom de la passerelle (passerelle) | Passerelles PanOSTentativeed | passerelle | about.labels.clé/valeur | |
| Hiérarchie des groupes d'appareils (dg_hier_level_1) | dg_hier_level_1 | about.labels.clé/valeur | ||
| Hiérarchie des groupes d'appareils (dg_hier_level_2) | dg_hier_level_2 | about.labels.clé/valeur | ||
| Hiérarchie des groupes d'appareils (dg_hier_level_3) | dg_hier_level_3 | about.labels.clé/valeur | ||
| Hiérarchie des groupes d'appareils (dg_hier_level_4) | dg_hier_level_4 | about.labels.clé/valeur | ||
| Nom du système virtuel (vsys_name) | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|||
| Nom de l'appareil (device_name) | target.hostname | |||
| ID du système virtuel (vsys_id) | principal.resource.resource_type=VIRTUAL_MACHINE et principal.resource.product_object_id |
Corrélation
Le tableau suivant répertorie les champs de journal du type de journal Corrélation et les champs UDM correspondants.
| Champ CSV | Champ CEF | Champ LEEF | Clé d'étiquette Chronicle | Champ UDM |
|---|---|---|---|---|
| Heure de génération (time_generated ou cef-formatted-time_generated) | heure de début | horodatage_généré | metadata.event_timestamp | |
| Adresse source (src) | src | compte.ip | ||
| Utilisateur source (srcuser) | SourceUser / usrName | compte.utilisateur.idutilisateur | ||
| Système virtuel (vsys) | Système virtuel | Vsys | about.labels.clé/valeur | |
| Catégorie (category) | security_result.category_details | |||
| Gravité (gravité) | Gravité | security_result.severity et security_result.severity_details | ||
| Hiérarchie du groupe d'appareils de niveau 1 | Hiérarchie du groupe d'appareils L1 | about.labels.clé/valeur | ||
| Hiérarchie du groupe d'appareils de niveau 2 | Hiérarchie du groupe d'appareils L2 | about.labels.clé/valeur | ||
| Hiérarchie du groupe d'appareils de niveau 3 | Hiérarchie du groupe d'appareils L3 | about.labels.clé/valeur | ||
| Hiérarchie du groupe d'appareils de niveau 4 | Hiérarchie du groupe d'appareils L4 | about.labels.clé/valeur | ||
| Nom du système virtuel (vsys_name) | Nom vSrc | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
||
| Nom de l'appareil (device_name) | DeviceName | intermediary.hostname | ||
| ID du système virtuel (vsys_id) | VirtualSystemID (ID système virtuel) | principal.resource.resource_type=VIRTUAL_MACHINE et principal.resource.product_object_id | ||
| Nom de l'objet (nom de l'objet) | Nom de l'objet | target.resource.name | ||
| ID de l'objet (object_id) | ID de l'objet | target.resource.product_object_id |
Documentation de référence sur le mappage de champs: types de journaux et type d'événement UDM
Le tableau suivant répertorie les types de journaux de pare-feu Palo Alto Networks et les types d'événements UDM correspondants.
| Type de journal | Type d'événement UDM |
| Trafic | CONNEXION_RÉSEAU |
| Menace | CONNEXION_RÉSEAU |
| Filtrage des URL | CONNEXION_RÉSEAU |
| Wildfire | CONNEXION_RÉSEAU
Les journaux des envois WildFire sont un sous-type du type de journal Threat et utilisent le même format syslog. |
| Filtrage des données | CONNEXION_RÉSEAU |
| Option de routage | CONNEXION_RÉSEAU |
| Configuration | SETTING_MODIFICATION/SETTING_CREATION/SETTING_DELETION/SETTING_UNCATEGORIZED
La valeur du champ "Commande (cmd)" détermine le mappage du type d'événement UDM. Si la valeur du champ "cmd" est ajoutée ou clone, SETTING_CREATION est défini. Si la valeur du champ "cmd" est supprimée, SETTING_DELETION est défini. Si la valeur du champ Cmd est "Modifier", "Déplacer", "Renommer", "Définir" ou "Valider", le paramètre "SETTING_MODIFICATION" est défini. Si la valeur du champ "cmd" ne contient aucune valeur, alors SETTING_UNCATEGORIZED est défini. |
| Système |
Si la valeur du sous-type est dhcp, NETWORK_DHCP est défini. Pour les autres valeurs, GENERIC_EVENT est défini. |
| HIP Match | CONNEXION_RÉSEAU |
| Tag IP | GENERIC_EVENT |
| User-ID | USER_LOGIN/USER_LOGOUT/USER_UNCATEGORIZED
Si la valeur du sous-type est "login", USER_LOGIN est défini. Si la valeur du sous-type est "logout", USER_LOGOUT est défini. Si le sous-type ne comporte aucune valeur, USER_UNCATEGORIZED est défini. |
| Déchiffrement | CONNEXION_RÉSEAU |
| Authentification | GENERIC_EVENT |