Raccogli i log firewall Palo Alto Networks
Panoramica
Questo documento descrive come configurare syslog e un inoltro Chronicle per raccogliere i log del firewall di Palo Alto Networks. Questo documento spiega anche come i campi dei log del firewall di Palo Alto Networks vengono mappati ai campi UDM (Chronicle Unified Data Model).
Per una panoramica sull'importazione dei dati di Chronicle, vedi Importazione dei dati in Chronicle.
Un'etichetta di importazione identifica l'analizzatore sintattico che normalizza i dati di log non elaborati in formato UDM strutturato. Le informazioni contenute in questo documento si applicano all'analizzatore sintattico con l'etichetta di importazione PAN_FIREWALL.
Prima di iniziare
Per comprendere i componenti di cui è stato eseguito il deployment per raccogliere i firewall firewall Palo Alto Networks, esamina l'architettura di deployment. Ogni deployment di clienti potrebbe essere diverso da questa rappresentazione e risultare più complesso.
Il seguente diagramma mostra come configurare syslog su un firewall di Palo Alto Networks e installare un server Chronicle su un server Linux per inoltrare i dati di log a Chronicle. L'analizzatore sintattico supporta i log scritti nei seguenti formati dati: CSV (valori separati da virgole), Common Event Format (CEF) e Log Event Extended Format (LEEF).
Verifica i formati di log e le versioni PAN-OS supportati dall'analizzatore sintattico di Chronicle. Nella tabella seguente sono elencati i formati di log e le corrispondenti versioni PAN-OS supportate dall'analizzatore sintattico di Chronicle:
Formato dei log Versione PAN-OS CSV 10,1,3 CEF 10,0,0 LEEF 9,1,0 Verifica i tipi di log del firewall di Palo Alto Networks supportati dall'analizzatore sintattico di Chronicle. L'analizzatore sintattico di Chronicle supporta i seguenti tipi di log del firewall di Palo Alto Networks:
- Traffico
- Minaccia
- Invii WildFire
- Ispezione tunnel
- Configurazione
- Sistema
- Corrispondenza HIP
- Tag IP
- ID utente
- Decriptazione
- Autenticazione
- Filtro degli URL
- Filtro dei dati
- Protezione globale
- Correlazione
Per ulteriori informazioni sui tipi di log del firewall Palo Alto Networks, vedi Tipi di log PAN-OS.
Assicurati che tutti i sistemi nell'architettura di deployment siano configurati nel fuso orario UTC.
Prima di utilizzare l'analizzatore sintattico Gold di Palo Alto Networks, esamina le modifiche nelle mappature dei campi tra l'analizzatore sintattico predefinito e l'analizzatore sintattico Gold elencate in questo documento. Nell'ambito della migrazione, assicurati che le regole, le ricerche, le dashboard o altri processi che dipendono dai campi originali utilizzino i campi aggiornati.
Ad esempio, nell'analizzatore sintattico predefinito, il campo di log "category" è mappato al campo UDM "security_result.description". Nel analizzatore sintattico Gold di PAN, il campo di log "category" è mappato al campo UDM "security_result.category_details". Se esegui la migrazione all'analizzatore sintattico Gold di PAN e utilizzi "category" nelle regole, devi modificare le regole per utilizzare il campo UDM "security_result.category_details" dell'analizzatore sintattico Gold.
Configura syslog e lo strumento di inoltro di Chronicle
Per configurare syslog e lo strumento di inoltro di Chronicle, completa i seguenti passaggi:
Per monitorare i log CSV, configura il profilo del server syslog. Per ulteriori informazioni, consulta Configurare il profilo del server syslog.
Quando configuri il profilo del server syslog, specifica "Default" come formato personalizzato dei log.
Per monitorare i log CEF, configura il firewall Palo Alto Networks per inoltrare i log CEF. Per ulteriori informazioni, scarica il PDF relativo all'integrazione CEF con PAN-OS e consulta la sezione "Configurazione di Palo Alto Networks NGFW per generare eventi CEF".
Per monitorare i log LEEF, configura il profilo del server syslog. Per ulteriori informazioni, consulta la pagina relativa all'inoltro dei log personalizzato in formato LEEF.
Configurare l'inoltro a Chronicle per inviare i log a Chronicle. Per saperne di più, vedi Installare e configurare l'inoltro su Linux. Di seguito è riportato un esempio di una configurazione di inoltro di Chronicle:
- syslog: common: enabled: true data_type: PAN_FIREWALL batch_n_seconds: 10 batch_n_bytes: 1048576 tcp_address: 0.0.0.0:10518 connection_timeout_sec: 60
Riferimento per la mappatura dei campi: firewall PAN per i log nei campi UDM
Questa sezione spiega in che modo l'analizzatore sintattico mappa i campi di log del firewall di Palo Alto Networks ai campi di eventi UDM di Chronicle per ogni tipo di log.
La chiave dell'etichetta Chronicle si riferisce al nome della chiave mappato al campo UDM labels.key. Ad esempio, nel caso del campo "Sistema virtuale", il nome del campo è "cs3" in formato CEF e "VirtualSystem" in formato LEEF. Il campo UDM "about.labels.key" contiene il valore "vsys" e il campo UDM "about.labels.value" contiene il valore di quel campo.
Alcuni nomi di campo CEF o LEEF non hanno un nome corrispondente ai nomi di campo CSV. In questi casi, se aggiungi il nome della variabile personalizzata nel formato di log personalizzato nel profilo syslog, l'analizzatore sintattico non lo mappa al campo UDM.
Per la mappatura dei riferimenti di ciascun tipo di log, consulta le seguenti sezioni:
- Sistema
- Configurazione
- Minaccia/incendio boschivo
- Traffico
- ID utente
- Corrispondenza HIP
- Tag IP
- Decriptazione
- Tunnel
- Autenticazione
- URL
- Dati
- Protezione globale
- Correlazione
Sistema
Nella tabella seguente sono elencati i campi del log di sistema e i relativi campi UDM.
| Campo CSV | Campo CEF | Campo LEEF | Chiave etichetta Chronicle | Campo UDM |
|---|---|---|---|---|
| Ora di ricezione (ricevuta_o_ricevuta o tempo-ricezione-in-formato-cef) | b/b | Ora di sviluppo | metadata.collected_timestamp,
metadata.event_timestamp (se "assenza tempo" è assente) |
|
| Numero di serie (numero di serie) | ID dispositivo esterno | Numero di serie | intermediary.asset.hardware.serial_number | |
| Tipo (tipo) | type (intestazione) | gatto | metadata.product_event_type è impostato su "%{type} - {/8}subtype}". | |
| Tipo di minaccia/contenuto (sottotipo) | sottotipo (Intestazione) | Sottotipo | metadata.product_event_type è impostato su "%{type} - {/8}subtype}". | |
| Tempo generato (time_generate o cef-formatted-time_generate) | metadati.evento_timestamp | |||
| Sistema virtuale (vsys) | CS3 | Sistema virtuale | vsys | informazioni.etichette.chiave/valore |
| ID evento (eventi) | gatto | Evento | informazioni.etichette.chiave/valore | |
| Oggetto (oggetto) | fname | Nome del file | oggetto | informazioni.etichette.chiave/valore |
| Modulo (modulo) | flexString2 | Modulo | module | informazioni.etichette.chiave/valore |
| Gravità (gravità) | $number-of-severity(intestazione) | Gravità | security_result.severity e security_result.severity_details | |
| Descrizione (opaca) | messaggio | messaggio | metadati.descrizione | |
| Numero di sequenza (seqno) | ID esterno | sequenza | metadati.prodotto_log_id | |
| Flag di azione (flag d'azione) | Flag azione PanOS | Flag azione | flag di azione | informazioni.etichette.chiave/valore |
| Gerarchia dei gruppi di dispositivi (da dg_hier_level_1 a dg_hier_level_4) | Pan OS Gl1 | Gerarchiagruppo di dispositivi L1 | g_livello_hi_1 | informazioni.etichette.chiave/valore |
| Gerarchia dei gruppi di dispositivi (dg_hier_level_2) | PAN2D2 | GerarchiadelgruppodidispositiviL2 | g_hier_level_2 | informazioni.etichette.chiave/valore |
| Gerarchia dei gruppi di dispositivi (dg_hier_level_3) | Pan OS Gl3 | Gerarchiagruppo di dispositivi L3 | g_livello_hi_3 | informazioni.etichette.chiave/valore |
| Gerarchia dei gruppi di dispositivi (dg_hier_level_4) | PAN4D4 | GerarchiadelgruppodidispositiviL4 | g_livello_hi_4 | informazioni.etichette.chiave/valore |
| Nome del sistema virtuale (vsys_name) | Nome PanOSVsys | NomeSSC | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
| Nome del dispositivo (device_name) | dvchost | DeviceName | nomehost.intermediario | |
| Timestamp ad alta risoluzione (high_res_timestamp) | ad alta oragenerata | metadata.collected_timestamp,
metadata.event_timestamp (se "assenza tempo" è assente) |
Configurazione
Nella tabella seguente sono elencati i campi del log di configurazione e i campi UDM corrispondenti.
| Campo CSV | Campo CEF | Campo LEEF | Chiave etichetta Chronicle | Campo UDM |
|---|---|---|---|---|
| Ora di ricezione (ricevuta_o_ricevuta o tempo-ricezione-in-formato-cef) | b/b | Ora di sviluppo | metadata.collected_timestamp,
metadata.event_timestamp (se "assenza tempo" è assente) |
|
| Numero di serie (numero di serie) | ID dispositivo esterno | Numero di serie | intermediary.asset.hardware.serial_number | |
| Tipo (tipo) | type (intestazione) | gatto | metadata.product_event_type | |
| Tipo di minaccia/contenuto (sottotipo) | sottotipo (Intestazione) | metadata.product_event_type | ||
| Tempo generato (time_generate o cef-formatted-time_generate) | metadati.evento_timestamp | |||
| Host (host) | Shost | src | principal.ip/nome host | |
| Sistema virtuale (vsys) | CS3 | Sistema virtuale | vsys | informazioni.etichette.chiave/valore |
| Comando (cmd) | atto | messaggio | Cmd | informazioni.etichette.chiave/valore |
| Amministratore (amministratore) | utente | nomeusr | entità.user.userid | |
| Cliente (client) | destinazioneServizioNome | client | applicazione.principali | |
| Risultato (risultato) | ID firma (intestazione)(motivo) | Risultato | security_result.summary | |
| Percorso di configurazione (percorso) | messaggio | Percorso configurazione | entità.process.command_line | |
| Dettagli prima della modifica (before_change_detail) | CS1 | PrimaModificaDettaglio | prima_dettaglio_modifica | target.resource.attribute.labels.key/value |
| Dettagli dopo la modifica (after_change_detail) | C2 | Dopo la modifica dei dettagli | dettaglio_modifica_dopo | target.resource.attribute.labels.key/value |
| Numero di sequenza (seqno) | ID esterno | sequenza | metadati.prodotto_log_id | |
| Flag di azione (flag d'azione) | Flag azione PanOS | Flag azione | flag di azione | informazioni.etichette.chiave/valore |
| Gerarchia dei gruppi di dispositivi (da dg_hier_level_1 a dg_hier_level_4) | Pan OS Gl1 | Gerarchiagruppo di dispositivi L1 | g_livello_hi_1 | informazioni.etichette.chiave/valore |
| Gerarchia dei gruppi di dispositivi (dg_hier_level_2) | PAN2D2 | GerarchiadelgruppodidispositiviL2 | g_hier_level_2 | informazioni.etichette.chiave/valore |
| Gerarchia dei gruppi di dispositivi (dg_hier_level_3) | Pan OS Gl3 | Gerarchiagruppo di dispositivi L3 | g_livello_hi_3 | informazioni.etichette.chiave/valore |
| Gerarchia dei gruppi di dispositivi (dg_hier_level_4) | PAN4D4 | GerarchiadelgruppodidispositiviL4 | g_livello_hi_4 | informazioni.etichette.chiave/valore |
| Nome del sistema virtuale (vsys_name) | Nome PanOSVsys | NomeSSC | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
| Nome del dispositivo (device_name) | dvchost | DeviceName | nomehost.intermediario | |
| Gruppo di dispositivi (dg_id) | Gruppo dispositivi PanOSFW | ID_DG | principal.asset.attribute.labels.key/value | |
| Commento di controllo (commento) | Commento PanOSPolicyAudit | commento | informazioni.etichette.chiave/valore |
Threat/WildFire
Nella tabella seguente sono elencati i campi di log del tipo di log Threat/WildFire e i campi UDM corrispondenti.
| Campo CSV | Campo CEF | Campo LEEF | Chiave etichetta Chronicle | Campo UDM |
|---|---|---|---|---|
| Ora di ricezione (ricevuta_o_ricevuta o tempo-ricezione-in-formato-cef) | b/b | Ora di sviluppo | metadata.collected_timestamp,
metadata.event_timestamp (se "assenza tempo" è assente) |
|
| Numero di serie (n. di serie) | ID dispositivo esterno | Numero di serie | intermediary.asset.hardware.serial_number | |
| Tipo (tipo) | type (intestazione) | gatto | metadata.product_event_type | |
| Tipo di minaccia/contenuto (sottotipo) | Cat/sottotipo (intestazione) | Sottotipo | metadata.product_event_type | |
| Data/ora di generazione (time_generate o cef-formatted-time_generate) | metadati.evento_timestamp | |||
| Indirizzo di origine (src) | src | src | entità.ip | |
| Indirizzo di destinazione (dst) | dst | dst | Target.ip | |
| IP di origine NAT (natsrc) | sourceTradottoIndirizzo | srcPostNAT | entità.nat_ip | |
| IP destinazione NAT (natdst) | destinazioneTradottoIndirizzo | DstPostNAT | target.nat_ip | |
| Nome regola (regola) | CS1 | NomeRegola | risultato_sicurezza.nome_regola | |
| Utente di origine (srcuser) | Suser | UtenteSorgente / Nome utente | entità.user.userid | |
| Utente di destinazione (utente dst) | utente | Utente di destinazione | target.user.userid | |
| Applicazione (app) | app | Applicazione | applicazione.target | |
| Sistema virtuale (vsys) | CS3 | Sistema virtuale | vsys | informazioni.etichette.chiave/valore |
| Zona di origine (da) | CS4 | Zona di origine | da | principal.labels.key/value |
| Zona di destinazione (a) | CS5 | Zona di destinazione | - | target.labels.key/value |
| Interfaccia in entrata (inbound_if) | dispositivoInboundInterface | Interfaccia Ingress | in entrata_se | principal.labels.key/value |
| Interfaccia in uscita (outbound_if) | dispositivoIn uscitaInterface | Interfaccia in uscita | in uscita_se | target.labels.key/value |
| Azione log (set di log) | CSS6 | Profilo di forwarding dei log | set di log | informazioni.etichette.chiave/valore |
| ID sessione (IFRAME) | CN1 | ID sessione | ID.sessionedirete | |
| Conteggio ripetuto (ripetuto) | num. | Conteggio ripetuto | ripetizione | informazioni.etichette.chiave/valore |
| Porta di origine (sport) | spt | srcPort | entità.port | |
| Porta di destinazione (porta) | dpt | Porta DST | porta.target | |
| Porta di origine NAT (natsport) | Porta di origine tradotta | srcPostNATPort | entità.nat_porta | |
| Porta di destinazione NAT (natdport) | destinazioneTradottoTraduzione | DstPostNATPort | porta_target.nat | |
| Flag (flag) | Stringa flessibile1 | Flag | flags | informazioni.etichette.chiave/valore |
| Protocollo IP (protocollo) | proto | proto | protocollo_ip_rete | |
| Azione (azione) | atto | azione | risultati_sicurezza_azione
risultato_sicurezza.azione |
|
| URL/Nome file (vari) | request | Vari | target.file.full_path (se il sottotipo è 'file', 'virus', 'firel-virus' o 'incendio', il campo 'misc' è mappato a target.file.full_path) target.url (se il sottotipo è "url", il campo "misc" è associato a target.url e target.hostname) target.hostname (se il sottotipo è "spyware" o "vulnerability", il campo "misc" è mappato a target.file.full_path e target.url) |
|
| Nome minaccia/contenuti (minaccia) | gatto | ID minaccia | risultato_sicurezza.nome_soglia | |
| Categoria (categoria) | C2 | Categoria URL | risultati_categoria_sicurezza | |
| Gravità (gravità) | numero-di-gravità(intestazione) | Gravità | security_result.severity e security_result.severity_details | |
| Direzione (direzione) | flexString2 | Direzione | rete.direzione | |
| Numero di sequenza (seqno) | ID esterno | sequenza | metadati.prodotto_log_id | |
| Flag di azione (flag d'azione) | Flag azione PanOS | Flag azione | flag di azione | informazioni.etichette.chiave/valore |
| Paese di origine (srcloc) | Località di origine | entità.location.country_o_regione | ||
| Paese di destinazione (dstloc) | Località di destinazione | target.location.country_or_region | ||
| Tipo di contenuti (contenttype) | ContentType | tipodicontenuti | informazioni.etichette.chiave/valore | |
| ID PCAP (pcap_id) | ID file | ID_APP | ID_pcap | informazioni.etichette.chiave/valore |
| Digest di file (filedigest) | FileHash | File digest | about.file.sha1/md5/sha256 | |
| Cloud (cloud) | Percorso file | Google Cloud | cloud | informazioni.etichette.chiave/valore |
| Indice URL (url_idx) | Indice URL | ID_url | informazioni.etichette.chiave/valore | |
| User agent (user_agent) | rete.http://user_agent | |||
| Tipo di file (tipo di file) | Tipo di file | Tipo di file | about.file.mime_type | |
| Inoltro X-For (xff) | entità.ip | |||
| Referrer (referrer) | rete.http://url_referral | |||
| Mittente (mittente) | completo | Mittente | rete.email.from | |
| Oggetto (oggetto) | messaggio | Oggetto | rete.email.subject | |
| Destinatario (destinatario) | Duid | Destinatario | network.email.to | |
| ID report (id report) | ID vecchio file | ID report | ID report | informazioni.etichette.chiave/valore |
| Gerarchia dei gruppi di dispositivi (da dg_hier_level_1 a dg_hier_level_4) | Pan OS Gl1 | Gerarchiagruppo di dispositivi L1 | g_livello_hi_1 | informazioni.etichette.chiave/valore |
| Gerarchia dei gruppi di dispositivi (dg_hier_level_2) | PAN2D2 | GerarchiadelgruppodidispositiviL2 | g_hier_level_2 | informazioni.etichette.chiave/valore |
| Gerarchia dei gruppi di dispositivi (dg_hier_level_3) | Pan OS Gl3 | Gerarchiagruppo di dispositivi L3 | g_livello_hi_3 | informazioni.etichette.chiave/valore |
| Gerarchia dei gruppi di dispositivi (dg_hier_level_4) | PAN4D4 | GerarchiadelgruppodidispositiviL4 | g_livello_hi_4 | informazioni.etichette.chiave/valore |
| Nome del sistema virtuale (vsys_name) | Nome PanOSVsys | NomeSSC | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
| Nome del dispositivo (device_name) | dvchost | DeviceName | nomehost.intermediario | |
| UUID VM di origine (src_uuid) | UID PanOSSrcUUID | SUID | entità.user.product_object_id | |
| UUID VM di destinazione (dst_uuid) | UUID PanOSDst | DstUUID | target.user.product_object_id | |
| Metodo HTTP (http_method) | Metodo di richiesta | metodo.http.network | ||
| ID tunnel/IMSI (tunnel_id/imsi) | ID PanOSTunnel | ID tunnel | tunnel_id/imsi | informazioni.etichette.chiave/valore |
| Monitoraggio tag/IMEI (monitortag/imei) | Tag di monitoraggio del sistema operativo | Monitoraggio tag | monitortag/imei | informazioni.etichette.chiave/valore |
| ID sessione principale (parent_session_id) | ID sessione padre PanOS | ID sessione padre | id_sessione_principale | informazioni.etichette.chiave/valore |
| Ora di inizio della sessione padre (parent_start_time) | Ora di inizio padre PanOS | Ora di inizio genitore | ora_principale_principale | informazioni.etichette.chiave/valore |
| Tipo di tunnel (tunnel) | Tipo PanTTunnel | Tipo di tunnel | tunnel | informazioni.etichette.chiave/valore |
| Categoria minaccia (thr_category) | Categoria PanOSThreat | Categoria minaccia | Categoria_thr | security_result.detection_fields.key/value |
| Versione contenuti (contentver) | Panoramica del sistema operativo | Ver. contenuti | Contentver | informazioni.etichette.chiave/valore |
| ID associazione SCTP (assoc_id) | ID sistema operativo | ass_id | informazioni.etichette.chiave/valore | |
| ID protocollo di payload (ppid) | PanOSPPID | ppi | informazioni.etichette.chiave/valore | |
| Intestazioni HTTP (http_headers) | Intestazione PanOSHTTP | http_intestazioni | informazioni.etichette.chiave/valore | |
| Elenco categorie URL (url_category_list) | Elenco CatCat | url_category_list | informazioni.etichette.chiave/valore | |
| UUID regola (rule_uuid) | UUID PanOSRule | ID_risultato_sicurezza | ||
| Connessione HTTP/2 (http2_connection) | PanOSHTTP2Con | http2_connessione | informazioni.etichette.chiave/valore | |
| Nome gruppo utenti dinamico (dynusergroup_name) | Panoramica dinamica | nome_gruppo_dynuser | principal.labels.key/value | |
| Indirizzo XFF (xff_ip) | PANXFFIP | entità.ip | ||
| Categoria dispositivo di origine (src_category) | PanSrcDeviceCat | src_category | principal.labels.key/value | |
| Profilo dispositivo di origine (src_profile) | PanSrcDeviceProf | src_profile | principal.labels.key/value | |
| Modello dispositivo di origine (src_model) | Modello dispositivo PanSrc | modello_src | principal.labels.key/value | |
| Fornitore del dispositivo di origine (src_provider) | Fornitore di PanSrcDevice | src_provider | principal.labels.key/value | |
| Famiglia del sistema operativo del dispositivo di origine (src_osfamily) | PanSrcDeviceOS | src_osfamiglia | entità.asset.platform_software.platform
principal.labels.key/value |
|
| Versione del sistema operativo del dispositivo di origine (src_osversion) | PanSrc OS | principal.asset.software.version | ||
| Nome host di origine (src_host) | Nome host PanSrc | nome.Principal.nomehost | ||
| Indirizzo MAC di origine (src_mac) | PanSrcMac | entità.mac | ||
| Categoria dispositivo di destinazione (dst_category) | PanDstDeviceCat | categoria_dst | target.labels.key/value | |
| Profilo dispositivo di destinazione (dst_profile) | PanDstDeviceProf | profilo_dst | target.labels.key/value | |
| Modello dispositivo di destinazione (dst_model) | Modello dispositivo PanDst | modello_dst | target.labels.key/value | |
| Fornitore del dispositivo di destinazione (dst_provider) | Fornitore di PanDstDevice | fornitore_dst | target.labels.key/value | |
| Famiglia sistema operativo del dispositivo di destinazione (dst_osfamily) | Sistema operativo PanDst | Dst_Osfamily | target.labels.key/value | |
| Versione sistema operativo del dispositivo di destinazione (dst_osversion) | PANDstDeviceOSv | versione.software.asset target.versione | ||
| Nome host di destinazione (dst_host) | Nome host PanDst | nome host target | ||
| Indirizzo MAC di destinazione (dst_mac) | PanDstMac | destinazione.mac | ||
| ID contenitore (container_id) | Nome Container Pan | ID_contenitore | informazioni.etichette.chiave/valore | |
| Spazio dei nomi POD (pod_namespace) | Spazio dei nomi PanPOD | spazio dei nomi pod | informazioni.etichette.chiave/valore | |
| Nome del pod (nome_pod) | Nome PanD | nome_pod | informazioni.etichette.chiave/valore | |
| Elenco dinamico esterno sorgente (src_edl) | PanSrcEDL | src_edl | informazioni.etichette.chiave/valore | |
| Elenco dinamico esterno destinazione (dst_edl) | PANDSTEDL | Dst_EDL | informazioni.etichette.chiave/valore | |
| ID host (hostid) | ID host PanGP | ID host | informazioni.etichette.chiave/valore | |
| Numero di serie del dispositivo dell'utente (numero di serie) | PanEPSerial | principal.asset.hardware.serial_number | ||
| EDL di dominio (domain_edl) | Dominio PanLEDL | dominio_EDL | informazioni.etichette.chiave/valore | |
| Gruppo di indirizzi dinamici di origine (src_dag) | PanSrcDAG | principal.group.group_display_name | ||
| Gruppo di indirizzi dinamici di destinazione (dst_dag) | PANDstDAG | target.group.group_display_name | ||
| Hash parziale (partial_hash) | Hash parziale parziale | hash_parziale | informazioni.etichette.chiave/valore | |
| Timestamp ad alta risoluzione (timestamp ad alta risoluzione) | Alta definizione PanTime | timestamp alta_resi | metadata.collected_timestamp,
metadata.event_timestamp (se "assenza tempo" è assente) |
|
| Motivo (motivo) | Azione di filtro motivi Pan | motivo | informazioni.etichette.chiave/valore | |
| Giustificazione (giustificazione) | Giustificazione | giustificazione | informazioni.etichette.chiave/valore | |
| Un tipo di servizio Slice (nssai_sst) | Tipo di servizio PanAS | nssai_sst | informazioni.etichette.chiave/valore | |
| Sottocategoria dell'applicazione (subcategory_of_app) | sottocategoria_di_app | informazioni.etichette.chiave/valore | ||
| Categoria dell'applicazione (category_of_app) | categoria_di_app | informazioni.etichette.chiave/valore | ||
| Tecnologia per le applicazioni (technology_of_app) | tecnologia_dell'app | informazioni.etichette.chiave/valore | ||
| Rischio applicazione (risk_of_app) | app_rischio | informazioni.etichette.chiave/valore | ||
| Caratteristica dell'applicazione (characteristic_of_app) | caratteristica_dell'app | informazioni.etichette.chiave/valore | ||
| Container dell'applicazione (container_of_app) | contenitore_di_app | informazioni.etichette.chiave/valore | ||
| Applicazione SaaS (is_saas_of_app) | è_saas_dell'app | informazioni.etichette.chiave/valore | ||
| Stato soggetto a applicazione (sanctioned_state_of_app) | stato_sanzionato_dell'app | informazioni.etichette.chiave/valore |
Traffico
Nella tabella seguente sono elencati i campi del log del tipo di log del traffico e i campi UDM corrispondenti.
| Campo CSV | Campo CEF | Campo LEEF | Chiave etichetta Chronicle | Campo UDM |
|---|---|---|---|---|
| Ora di ricezione (ricevuta_o_ricevuta o tempo-ricezione-in-formato-cef) | b/b | Ora di sviluppo | metadata.collected_timestamp,
metadata.event_timestamp (se "assenza tempo" è assente) |
|
| Numero di serie (numero di serie) | ID dispositivo esterno | Numero di serie | intermediary.asset.hardware.serial_number | |
| Tipo (tipo) | type (intestazione) | Cat/Tipo | metadata.product_event_type | |
| Tipo di minaccia/contenuto (sottotipo) | sottotipo (Intestazione) | Sottotipo | metadata.product_event_type | |
| Tempo generato (time_generate o cef-formatted-time_generate) | avvia | metadati.evento_timestamp | ||
| Indirizzo di origine (src) | src | src | entità.ip | |
| Indirizzo di destinazione (dst) | dst | dst | Target.ip | |
| IP di origine NAT (natsrc) | sourceTradottoIndirizzo | srcPostNAT | entità.nat_ip | |
| IP destinazione NAT (natdst) | destinazioneTradottoIndirizzo | DstPostNAT | target.nat_ip | |
| Nome regola (regola) | CS1 | NomeRegola | risultato_sicurezza.nome_regola | |
| Utente di origine (srcuser) | Suser | Utente di origine | entità.user.userid | |
| Utente di destinazione (utente dst) | utente | Utente di destinazione | target.user.userid | |
| Applicazione (app) | app | Applicazione | applicazione.target | |
| Sistema virtuale (vsys) | CS3 | Sistema virtuale | vsys | informazioni.etichette.chiave/valore |
| Zona di origine (da) | CS4 | Zona di origine | da | principal.labels.key/value |
| Zona di destinazione (a) | CS5 | Zona di destinazione | - | target.labels.key/value |
| Interfaccia in entrata (inbound_if) | dispositivoInboundInterface | Interfaccia Ingress | in entrata_se | principal.labels.key/value |
| Interfaccia in uscita (outbound_if) | dispositivoIn uscitaInterface | Interfaccia in uscita | in uscita_se | target.labels.key/value |
| Azione log (set di log) | CSS6 | Profilo di forwarding dei log | set di log | informazioni.etichette.chiave/valore |
| ID sessione (IFRAME) | CN1 | ID sessione | ID.sessionedirete | |
| Conteggio ripetuto (ripetuto) | num. | Conteggio ripetuto | ripetizione | informazioni.etichette.chiave/valore |
| Porta di origine (sport) | spt | srcPort | entità.port | |
| Porta di destinazione (porta) | dpt | Porta DST | porta.target | |
| Porta di origine NAT (natsport) | Porta di origine tradotta | srcPostNATPort | entità.nat_porta | |
| Porta di destinazione NAT (natdport) | destinazioneTradottoTraduzione | DstPostNATPort | porta_target.nat | |
| Flag (flag) | Stringa flessibile1 | Flag | flags | informazioni.etichette.chiave/valore |
| Protocollo IP (protocollo) | proto | proto | protocollo_ip_rete | |
| Azione (azione) | atto | azione | risultati_sicurezza_azione
risultato_sicurezza.azione |
|
| Byte (byte) | flexNumber1 | Byte totali | byte | informazioni.etichette.chiave/valore |
| Byte inviati (bytes_sent) | in | srcBytes | rete.ricevuti_byte | |
| Byte ricevuti (byte_ricevuti) | più ampia | dstByte | rete.sent_byte | |
| Pacchetti (pacchetti) | C2 | totalPacket | pacchetti | informazioni.etichette.chiave/valore |
| Ora di inizio (inizio) | Ora di inizio | avvia | informazioni.etichette.chiave/valore | |
| Tempo trascorso (tempo trascorso) | CN3 | Tempo trascorso | trascorso | informazioni.etichette.chiave/valore |
| Categoria (categoria) | C2 | Categoria URL | security_result.category / security_result.category_details | |
| Numero di sequenza (seqno) | ID esterno | sequenza | metadati.prodotto_log_id | |
| Flag di azione (flag d'azione) | Flag azione PanOS | Flag azione | flag di azione | informazioni.etichette.chiave/valore |
| Paese di origine (srcloc) | Località di origine | entità.location.country_o_regione | ||
| Paese di destinazione (dstloc) | Località di destinazione | target.location.country_or_region | ||
| Pacchetti inviati (pkts_sent) | PanOSPacketSent | srcPacket | pkts_sent | informazioni.etichette.chiave/valore |
| Pacchetti ricevuti (pkts_ricevuti) | PanOSPacketsReceived | DstPacket | pkts_ricevuto | informazioni.etichette.chiave/valore |
| Motivo della fine della sessione (session_end_reason) | motivo | Motivo sessione | security_result.summary | |
| Gerarchia gruppo di dispositivi 1 (dg_hier_level_1 a dg_hier_level_4) | Pan OS Gl1 | Gerarchiagruppo di dispositivi L1 | g_livello_hi_1 | informazioni.etichette.chiave/valore |
| Gerarchia gruppo di dispositivi 2 (dg_hier_level_2) | PAN2D2 | GerarchiadelgruppodidispositiviL2 | g_hier_level_2 | informazioni.etichette.chiave/valore |
| Gerarchia gruppo di dispositivi 3 (dg_hier_level_3) | Pan OS Gl3 | Gerarchiagruppo di dispositivi L3 | g_livello_hi_3 | informazioni.etichette.chiave/valore |
| Gerarchia dei gruppi di dispositivi (dg_hier_level_4) | PAN4D4 | GerarchiadelgruppodidispositiviL4 | g_livello_hi_4 | informazioni.etichette.chiave/valore |
| Nome del sistema virtuale (vsys_name) | Nome PanOSVsys | NomeSSC | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
| Nome del dispositivo (device_name) | dvchost | DeviceName | nomehost.intermediario | |
| Origine azione (action_source) | gatto | Origine azione | sorgente_azione | informazioni.etichette.chiave/valore |
| UUID VM di origine (src_uuid) | UID PanOSSrcUUID | SUID | principal.asset.product_object_id | |
| UUID VM di destinazione (dst_uuid) | UUID PanOSDst | DstUUID | target.asset.product_object_id | |
| ID tunnel/IMSI (tunnelid/imsi) | ID PanOSTunnel | ID tunnel | tunnelid/imsi | informazioni.etichette.chiave/valore |
| Monitoraggio tag/IMEI (monitortag/imei) | Tag di monitoraggio del sistema operativo | Monitoraggio tag | monitortag/imei | informazioni.etichette.chiave/valore |
| ID sessione principale (parent_session_id) | ID sessione padre PanOS | ID sessione padre | id_sessione_principale | informazioni.etichette.chiave/valore |
| Ora di inizio padre (parent_start_time) | Ora di inizio padre PanOS | Ora di inizio genitore | ora_principale_principale | informazioni.etichette.chiave/valore |
| Tipo di tunnel (tunnel) | Tipo PanTTunnel | Tipo di tunnel | tunnel | informazioni.etichette.chiave/valore |
| ID associazione SCTP (assoc_id) | IDPOSSCTPAssocID | ass_id | informazioni.etichette.chiave/valore | |
| Blocchi SCTP (blocchi) | PanOSSCTPChunks | blocchi | informazioni.etichette.chiave/valore | |
| Blocchi SCTP inviati (chunks_sent) | PanOSSCTPChunkSent | blocchi_inviati | informazioni.etichette.chiave/valore | |
| Blocchi SCTP ricevuti (chunks_Receivedd) | PanOSSCTPChunksRcv | blocchi_ricevuti | informazioni.etichette.chiave/valore | |
| UUID regola (rule_uuid) | UUID PanOSRule | ID_risultato_sicurezza | ||
| Connessione HTTP/2 (http2_connection) | PanOSHTTP2Con | http2_connessione | informazioni.etichette.chiave/valore | |
| Conteggio flap di app (link_change_count) | Variazione PanLink | link_modifica_conteggio | informazioni.etichette.chiave/valore | |
| ID norma (policy_id) | ID PanPolicy | criterio_id | informazioni.etichette.chiave/valore | |
| Interruttori di collegamento (link_switch) | Dettagli link Pan | Interruttori_link | informazioni.etichette.chiave/valore | |
| Cluster SD-WAN (sdwan_cluster) | Cluster PanSDWAN | cluster_sdwan | informazioni.etichette.chiave/valore | |
| Tipo di dispositivo SD-WAN (sdwan_device_type) | Dispositivo PanSDWAN | tipo_dispositivo_sdwan | informazioni.etichette.chiave/valore | |
| Tipo di cluster SD-WAN (sdwan_cluster_type) | Tipo di sensore PanSDWANC | Tipo_cluster_sdwan | informazioni.etichette.chiave/valore | |
| Sito SD-WAN (sdwan_site) | Sito PanSDWAN | sito_sdwan | informazioni.etichette.chiave/valore | |
| Nome gruppo utenti dinamico (dynusergroup_name) | Panoramica dinamica | nome_gruppo_dynuser | informazioni.etichette.chiave/valore | |
| Indirizzo XFF (xff_ip) | PANXFFIP | entità.ip | ||
| Categoria dispositivo di origine (src_category) | PanSrcDeviceCat | src_category | principal.labels.key/value | |
| Profilo dispositivo di origine (src_profile) | PanSrcDeviceProf | src_profile | principal.labels.key/value | |
| Modello dispositivo di origine (src_model) | Modello dispositivo PanSrc | modello_src | principal.labels.key/value | |
| Fornitore del dispositivo di origine (src_provider) | Fornitore di PanSrcDevice | src_provider | principal.labels.key/value | |
| Famiglia del sistema operativo del dispositivo di origine (src_osfamily) | PanSrcDeviceOS | entità.asset.platform_software.platform
principal.labels.key/value |
||
| Versione del sistema operativo del dispositivo di origine (src_osversion) | PanSrc OS | principal.asset.software.version | ||
| Nome host di origine (src_host) | Nome host PanSrc | nome.Principal.nomehost | ||
| Indirizzo MAC di origine (src_mac) | PanSrcMac | entità.mac | ||
| Categoria dispositivo di destinazione (dst_category) | PanDstDeviceCat | categoria_dst | target.labels.key/value | |
| Profilo dispositivo di destinazione (dst_profile) | PanDstDeviceProf | profilo_dst | target.labels.key/value | |
| Modello dispositivo di destinazione (dst_model) | Modello dispositivo PanDst | modello_dst | target.labels.key/value | |
| Fornitore del dispositivo di destinazione (dst_provider) | Fornitore di PanDstDevice | fornitore_dst | target.labels.key/value | |
| Famiglia sistema operativo del dispositivo di destinazione (dst_osfamily) | Sistema operativo PanDst | Dst_Osfamily | target.labels.key/value | |
| Versione sistema operativo del dispositivo di destinazione (dst_osversion) | PANDstDeviceOSv | versione.software.asset target.versione | ||
| Nome host di destinazione (dst_host) | Nome host PanDst | nome host target | ||
| Indirizzo MAC di destinazione (dst_mac) | PanDstMac | destinazione.mac | ||
| ID contenitore (container_id) | Nome Container Pan | ID_contenitore | informazioni.etichette.chiave/valore | |
| Spazio dei nomi POD (pod_namespace) | Spazio dei nomi PanPOD | spazio dei nomi pod | informazioni.etichette.chiave/valore | |
| Nome del pod (nome_pod) | Nome PanD | nome_pod | informazioni.etichette.chiave/valore | |
| Elenco dinamico esterno sorgente (src_edl) | PanSrcEDL | src_edl | principal.labels.key/value | |
| Elenco dinamico esterno destinazione (dst_edl) | PANDSTEDL | Dst_EDL | target.labels.key/value | |
| ID host (hostid) | ID host PanGP | ID host | informazioni.etichette.chiave/valore | |
| Numero di serie del dispositivo dell'utente (numero di serie) | PanEPSerial | principal.asset.hardware.serial_number | ||
| Gruppo di indirizzi dinamici di origine (src_dag) | PanSrcDAG | principal.group.group_display_name | ||
| Gruppo di indirizzi dinamici di destinazione (dst_dag) | PANDstDAG | target.group.group_display_name | ||
| Proprietario sessione (session_owner) | Proprietario PanHASession | proprietario_sessione | informazioni.etichette.chiave/valore | |
| Timestamp ad alta risoluzione (high_res_timestamp) | Alta definizione PanTime | metadata.collected_timestamp,
metadata.event_timestamp (se "assenza tempo" è assente) |
||
| Un tipo di servizio Slice (nsdsai_sst) | Tipo di servizio PanAS | nsdsai_sst | informazioni.etichette.chiave/valore | |
| Un elemento di differenziazione delle sezioni (nsdsai_sd) | Diff. panASService | NSDSAI_SD | informazioni.etichette.chiave/valore | |
| Sottocategoria dell'applicazione (subcategory_of_app) | sottocategoria_di_app | informazioni.etichette.chiave/valore | ||
| Categoria dell'applicazione (category_of_app) | categoria_di_app | informazioni.etichette.chiave/valore | ||
| Tecnologia per le applicazioni (technology_of_app) | tecnologia_dell'app | informazioni.etichette.chiave/valore | ||
| Rischio applicazione (risk_of_app) | sicurezza_risultante.gravità | |||
| Caratteristica dell'applicazione (characteristic_of_app) | caratteristica_dell'app | informazioni.etichette.chiave/valore | ||
| Container dell'applicazione (container_of_app) | contenitore_di_app | informazioni.etichette.chiave/valore | ||
| Applicazione SaaS (is_saas_of_app) | è_saas_dell'app | informazioni.etichette.chiave/valore | ||
| Stato soggetto a applicazione (sanctioned_state_of_app) | stato_sanzionato_dell'app | informazioni.etichette.chiave/valore | ||
| Sottocategoria dell'applicazione (subcategory_of_app) | sottocategoria_di_app1 | informazioni.etichette.chiave/valore |
ID utente
Nella seguente tabella sono elencati i campi di log del tipo di log User-ID e i corrispondenti campi UDM.
| Campo CSV | Campo CEF | Campo LEEF | Chiave etichetta Chronicle | Campo UDM |
|---|---|---|---|---|
| Ora di ricezione (ricevuta_o_ricevuta o tempo-ricezione-in-formato-cef) | b/b | Ora di sviluppo | metadata.collected_timestamp,
metadata.event_timestamp (se "assenza tempo" è assente) |
|
| Numero di serie (numero di serie) | ID dispositivo esterno | Numero di serie | intermediary.asset.hardware.serial_number | |
| Tipo (tipo) | type (intestazione) | gatto | metadata.product_event_type | |
| Tipo di minaccia/contenuto (sottotipo) | sottotipo (Intestazione) | Sottotipo | metadata.product_event_type | |
| Tempo generato (time_generate o cef-formatted-time_generate) | metadati.evento_timestamp | |||
| Sistema virtuale (vsys) | CS3 | Sistema virtuale | vsys | informazioni.etichette.chiave/valore |
| IP di origine (ip) | src | src | entità.ip | |
| Utente (utente) | utente | nomeusr | target.user.userid
dominio_amministratore_dominio_target target.user.email_addresses |
|
| Nome origine dati (nomeorigine dati) | CS4 | NomeOrigine dati | nomeorigine dati | principal.labels.key/value |
| ID evento (eventi) | ID evento | Evento | informazioni.etichette.chiave/valore | |
| Conteggio ripetuto (ripetuto) | num. | Conteggio ripetuto | ripetizione | informazioni.etichette.chiave/valore |
| Soglia di timeout (timeout) | CN3 | Soglia soglia | timeout | informazioni.etichette.chiave/valore |
| Porta di origine (origine) | spt | srcPort | entità.port | |
| Porta di destinazione (porta finale) | dpt | Porta DST | porta.target | |
| Origine dati (origine dati) | CS5 | Origine dati | origine dati | principal.labels.key/value |
| Tipo di origine dati (tipo di origine dati) | CSS6 | TipoOrigine dati | tipoorigine dati | principal.labels.key/value |
| Numero di sequenza (seqno) | ID esterno | sequenza | metadati.prodotto_log_id | |
| Flag di azione (flag d'azione) | Flag azione PanOS | Flag azione | flag di azione | informazioni.etichette.chiave/valore |
| Gerarchia dei gruppi di dispositivi (dg_hier_level_1) | Pan OS Gl1 | Gerarchiagruppo di dispositivi L1 | g_livello_hi_1 | informazioni.etichette.chiave/valore |
| Gerarchia dei gruppi di dispositivi (dg_hier_level_2) | PAN2D2 | GerarchiadelgruppodidispositiviL2 | g_hier_level_2 | informazioni.etichette.chiave/valore |
| Gerarchia dei gruppi di dispositivi (dg_hier_level_3) | Pan OS Gl3 | Gerarchiagruppo di dispositivi L3 | g_livello_hi_3 | informazioni.etichette.chiave/valore |
| Gerarchia dei gruppi di dispositivi (dg_hier_level_4) | PAN4D4 | GerarchiadelgruppodidispositiviL4 | g_livello_hi_4 | informazioni.etichette.chiave/valore |
| Nome del sistema virtuale (vsys_name) | Nome PanOSVsys | NomeSSC | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
| Nome del dispositivo (device_name) | dvchost | DeviceName | nomehost.intermediario | |
| ID sistema virtuale (vsys_id) | C2 | IDSistema virtuale | principal.resource.resource_type=VIRTUAL_MACHINE e principal.resource.product_object_id | |
| Tipo di fattore (tipo di fattore) | CS1 | Tipo di fattore | tipo di fattore | informazioni.etichette.chiave/valore |
| Tempo di completamento del fattore (tempo di completamento del fattore) | end | Tempo di completamento fattori | tempo di completamento dei fattori | informazioni.etichette.chiave/valore |
| Numero fattore (factorno) | CN1 | Numero fattore | fattore | informazioni.etichette.chiave/valore |
| Flag gruppo utenti (flag) | Flag PanOSUG | segnalazioni stradali | informazioni.etichette.chiave/valore | |
| Utente per origine (userbysource) | Origine utente PanOS | entità.user.userid
entità.administrative_domain entità.user.email_addresses |
||
| Timestamp ad alta risoluzione (timestamp ad alta risoluzione) | Alta risoluzione data e ora PanOS | metadata.collected_timestamp,
metadata.event_timestamp (se "assenza tempo" è assente) |
Corrispondenza HIP
Nella tabella seguente sono elencati i campi del tipo di log delle corrispondenze HIP e i corrispondenti campi UDM.
| Campo CSV | Campo CEF | Campo LEEF | Chiave etichetta Chronicle | Campo UDM |
|---|---|---|---|---|
| Ora di ricezione (ricevuta_o_ricevuta o tempo-ricezione-in-formato-cef) | b/b | Ora di sviluppo | metadata.collected_timestamp,
metadata.event_timestamp (se "assenza tempo" è assente) |
|
| Numero di serie (numero di serie) | ID dispositivo esterno | Numero di serie | intermediary.asset.hardware.serial_number | |
| Tipo (tipo) | type (intestazione) | gatto | metadata.product_event_type | |
| Tipo di minaccia/contenuto (sottotipo) | sottotipo (Intestazione) | Sottotipo | ||
| Tempo generato (time_generate o cef-formatted-time_generate) | avvia | ora di inizio | metadati.evento_timestamp | |
| Utente di origine (srcuser) | Suser | nomeusr | entità.user.userid | |
| Sistema virtuale (vsys) | CS3 | Sistema virtuale | vsys | informazioni.etichette.chiave/valore |
| Nome macchina (nome macchina) | Shost | Nome IdentHost | nome.Principal.nomehost | |
| Sistema operativo (OS) | C2 | Sistema operativo | entità.asset.platform_software.platform | |
| Indirizzo di origine (src) | src | identisrc | entità.ip | |
| IP (nome corrispondenza) | gatto | IP | nome corrispondenza | informazioni.etichette.chiave/valore |
| Conteggio ripetuto (ripetuto) | num. | Conteggio ripetuto | ripetizione | informazioni.etichette.chiave/valore |
| Tipo HIP (YPP) | ID classe evento dispositivo (intestazione) | Tipo HIP | {@ | |
| Numero di sequenza (seqno) | ID esterno | sequenza | metadati.prodotto_log_id | |
| Flag di azione (flag d'azione) | Flag azione PanOS | Flag azione | flag di azione | informazioni.etichette.chiave/valore |
| Gerarchia dei gruppi di dispositivi (dg_hier_level_1) | Pan OS Gl1 | Gerarchiagruppo di dispositivi L1 | g_livello_hi_1 | informazioni.etichette.chiave/valore |
| Gerarchia dei gruppi di dispositivi (dg_hier_level_2) | PAN2D2 | GerarchiadelgruppodidispositiviL2 | g_hier_level_2 | informazioni.etichette.chiave/valore |
| Gerarchia dei gruppi di dispositivi (dg_hier_level_3) | Pan OS Gl3 | Gerarchiagruppo di dispositivi L3 | g_livello_hi_3 | informazioni.etichette.chiave/valore |
| Gerarchia dei gruppi di dispositivi (dg_hier_level_4) | PAN4D4 | GerarchiadelgruppodidispositiviL4 | g_livello_hi_4 | informazioni.etichette.chiave/valore |
| Nome del sistema virtuale (vsys_name) | Nome PanOSVsys | NomeSSC | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
| Nome del dispositivo (device_name) | dvchost | DeviceName | nomehost.intermediario | |
| ID sistema virtuale (vsys_id) | C2 | IDSistema virtuale | principal.resource.resource_type=VIRTUAL_MACHINE e principal.resource.product_object_id | |
| Indirizzo di sistema IPv6 (srcipv6) | C6A2 | srcipv6 | entità.asset.ip | |
| ID host (hostid) | ID HostPOS | principal.asset.product_object_id | ||
| Numero di serie del dispositivo dell'utente (numero di serie) | Numero di serie del PanOSEndpoint | principal.asset.hardware.serial_number | ||
| Indirizzo MAC del dispositivo (Mac) | PanOSEndpointMac | entità.asset.mac | ||
| Timestamp ad alta risoluzione (high_res_timestamp) | Alta risoluzione data e ora PanOS | metadata.collected_timestamp,
metadata.event_timestamp (se "assenza tempo" è assente) |
Tag IP
Nella seguente tabella sono elencati i campi di log del tipo di log tag IP e i corrispondenti campi UDM.
| Campo CSV | Campo CEF | Campo LEEF | Chiave etichetta Chronicle | Campo UDM |
|---|---|---|---|---|
| Ora di ricezione (ricevuta_o_ricevuta o tempo-ricezione-in-formato-cef) | b/b | Ora di sviluppo | metadata.collected_timestamp,
metadata.event_timestamp (se "assenza tempo" è assente) |
|
| Numero di serie (numero di serie) | ID dispositivo esterno | Numero di serie | intermediary.asset.hardware.serial_number | |
| Tipo (tipo) | type (intestazione) | gatto | metadata.product_event_type | |
| Tipo di minaccia/contenuto (sottotipo) | sottotipo (Intestazione) | Sottotipo | metadata.product_event_type | |
| Tempo generato (time_generate o cef-formatted-time_generate) | Genera ora | metadati.evento_timestamp | ||
| Sistema virtuale (vsys) | CS3 | Sistema virtuale | vsys | informazioni.etichette.chiave/valore |
| IP di origine (ip) | src | src | entità.ip | |
| Nome tag (tag_name) | NomeTag PanOS | NomeTag | nome_tag | principal.labels.key/value |
| ID evento (event_id) | ID evento PanOS | ID evento | ID_evento | informazioni.etichette.chiave/valore |
| Conteggio ripetuto (ripetuto) | num. | Conteggio ripetuto | ripetizione | informazioni.etichette.chiave/valore |
| Timeout (timeout) | Timeout PanOS | Soglia soglia | timeout | informazioni.etichette.chiave/valore |
| Nome origine dati (nomeorigine dati) | NomeOrigine dati PanOS | NomeOrigine dati | nomeorigine dati | principal.labels.key/value |
| Tipo di origine dati (datasource_type) | Tipo origine dati PanOS | Origine dati | tipo_origine_dati | principal.labels.key/value |
| Sottotipo origine dati (sottotipo_origine) | Sottotipo origine dati PanOS | TipoOrigine dati | sottotipo_origine_dati | principal.labels.key/value |
| Numero di sequenza (seqno) | ID esterno | sequenza | metadati.prodotto_log_id | |
| Flag di azione (flag d'azione) | Flag azione PanOS | Flag azione | flag di azione | informazioni.etichette.chiave/valore |
| Gerarchia dei gruppi di dispositivi (dg_hier_level_1) | Pan OS Gl1 | Gerarchiagruppo di dispositivi L1 | g_livello_hi_1 | informazioni.etichette.chiave/valore |
| Gerarchia dei gruppi di dispositivi (dg_hier_level_2) | PAN2D2 | GerarchiadelgruppodidispositiviL2 | g_hier_level_2 | informazioni.etichette.chiave/valore |
| Gerarchia dei gruppi di dispositivi (dg_hier_level_3) | Pan OS Gl3 | Gerarchiagruppo di dispositivi L3 | g_livello_hi_3 | informazioni.etichette.chiave/valore |
| Gerarchia dei gruppi di dispositivi (dg_hier_level_4) | PAN4D4 | GerarchiadelgruppodidispositiviL4 | g_livello_hi_4 | informazioni.etichette.chiave/valore |
| Nome del sistema virtuale (vsys_name) | Nome PanSOS | NomeSSC | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
| Nome del dispositivo (device_name) | dvchost | DeviceName | nomehost.intermediario | |
| ID sistema virtuale (vsys_id) | C2 | IDSistema virtuale | principal.resource.resource_type=VIRTUAL_MACHINE e principal.resource.product_object_id | |
| Timestamp ad alta risoluzione (timestamp ad alta risoluzione) | Alta risoluzione data e ora PanOS | metadata.collected_timestamp,
metadata.event_timestamp (se "assenza tempo" è assente) |
Decriptazione
Nella seguente tabella sono elencati i campi di log del tipo di log di decriptazione e i corrispondenti campi UDM.
| Campo CSV | Campo CEF | Campo LEEF | Chiave etichetta Chronicle | Campo UDM |
|---|---|---|---|---|
| Ora di ricezione (ricevuta_o_ricevuta o tempo-ricezione-in-formato-cef) | b/b | metadata.collected_timestamp,
metadata.event_timestamp (se "assenza tempo" è assente) |
||
| Numero di serie (numero di serie) | PanOSDeviceSN | intermediary.asset.hardware.serial_number | ||
| Tipo (tipo) | type (intestazione) | metadata.product_event_type | ||
| Tipo di minaccia/contenuto (sottotipo) | sottotipo (Intestazione) | metadata.product_event_type | ||
| Versione configurazione (config_ver) | Versione PanOSConfig | config_ver | informazioni.etichette.chiave/valore | |
| Ora di generazione (time_generate) | PanTimeLogTimeStamp | metadati.evento_timestamp | ||
| Indirizzo di origine (src) | src | entità.ip | ||
| Indirizzo di destinazione (dst) | dst | Target.ip | ||
| IP di origine NAT (natsrc) | sourceTradottoIndirizzo | principa.nat_ip | ||
| IP destinazione NAT (natdst) | destinazioneTradottoIndirizzo | target.nat_ip | ||
| Regola (regola) | CS1 | risultato_sicurezza.nome_regola | ||
| Utente di origine (srcuser) | Suser | entità.user.userid | ||
| Utente di destinazione (utente dst) | utente | target.user.userid | ||
| Applicazione (app) | app | applicazione.target | ||
| Sistema virtuale (vsys) | CS3 | vsys | informazioni.etichette.chiave/valore | |
| Zona di origine (da) | CS4 | da | principal.labels.key/value | |
| Zona di destinazione (a) | CS5 | - | target.labels.key/value | |
| Interfaccia in entrata (inbound_if) | dispositivoInboundInterface | in entrata_se | principal.labels.key/value | |
| Interfaccia in uscita (outbound_if) | dispositivoIn uscitaInterface | in uscita_se | target.labels.key/value | |
| Azione log (set di log) | CSS6 | set di log | informazioni.etichette.chiave/valore | |
| Tempo di registrazione (time_Received) | Piano di gestione del tempo di ricezione del sistema operativo | - | ||
| ID sessione (IFRAME) | CN1 | ID.sessionedirete | ||
| Conteggio ripetuto (ripetuto) | Numero di ripetizioni del sistema operativo | ripetizione | informazioni.etichette.chiave/valore | |
| Porta di origine (sport) | spt | entità.port | ||
| Porta di destinazione (porta) | dpt | porta.target | ||
| Porta di origine NAT (natsport) | Porta di origine tradotta | entità.nat_porta | ||
| Porta di destinazione NAT (natdport) | destinazioneTradottoTraduzione | porta_target.nat | ||
| Flag (flag) | Stringa flessibile1 | flags | informazioni.etichette.chiave/valore | |
| Protocollo IP (protocollo) | proto | protocollo_ip_rete | ||
| Azione (azione) | atto | risultati_sicurezza_azione
risultato_sicurezza.azione |
||
| Tunnel (tunnel) | PanOSTunnel | tunnel | informazioni.etichette.chiave/valore | |
| UUID VM di origine (src_uuid) | UUID sorgente PanOS | entità.asset.asset_id | ||
| UUID VM di destinazione (dst_uuid) | ID tutte le destinazioni | target.asset.asset_id | ||
| UUID della regola (rule_uuid) | UUID PanOSRule | ID_risultato_sicurezza | ||
| Fase per il client verso il firewall (hs_stage_c2f) | PanOSClientToFirewall | hh_stage_c2f | informazioni.etichette.chiave/valore | |
| Fase da Firewall a server (hs_stage_f2s) | PanOSFirewallToServer | hh_stage_f2 | informazioni.etichette.chiave/valore | |
| Versione TLS (tls_version) | Versione PanOSTLS | rete.tls.versione | ||
| Algoritmo Exchange della chiave (tls_keyxchg) | PanOSTLSKeyExchange | tls_chiavexchg | informazioni.etichette.chiave/valore | |
| Algoritmo di crittografia (tls_enc) | Algoritmo di crittografia PanOSTLS | tls_enc | informazioni.etichette.chiave/valore | |
| Algoritmo hash (tls_auth) | Autenticazione PanOSTLS | autenticazione_tls | informazioni.etichette.chiave/valore | |
| Nome del criterio (policy_name) | Nome Criteri di sistema operativo | nome_criterio | informazioni.etichette.chiave/valore | |
| Curva ellittica (ec_curva) | Curva Elliptic PanOS | rete.tls.curva | ||
| Indice di errore (err_index) | Indice errori PanOS | indice_err | informazioni.etichette.chiave/valore | |
| Stato principale (root_status) | Stato principale di PanOS | stato_principale | informazioni.etichette.chiave/valore | |
| Stato catena (chain_status) | Stato PanOSChain | stato_catena | informazioni.etichette.chiave/valore | |
| Tipo di proxy (tipo_proxy) | Tipo proxy OS | tipo_proxy | informazioni.etichette.chiave/valore | |
| Numero di serie del certificato (cert_serial) | Numero di certificato del sistema operativo | network.tls.server.certificate.serial | ||
| Impronta certificato (impronta digitale) | Fingerprint PanOS | network.tls.server.certificate.md5/sha1/sha256 | ||
| Data di inizio del certificato (non precedente) | Panoramica tempo prima del sistema operativo | network.tls.server.certificate.not_before | ||
| Data di fine del certificato (non successiva) | PanOSTimeNotDopo | network.tls.server.certificate.not_after | ||
| Versione certificato (cert_ver) | PanOSCertificateVersion | network.tls.server.certificate.versione | ||
| Dimensioni del certificato (cert_size) | Dimensioni certificato PanOS | dimensioni_certificato | informazioni.etichette.chiave/valore | |
| Lunghezza del nome comune (cn_len) | Lunghezza nome comune PanOS | cn_len | informazioni.etichette.chiave/valore | |
| Lunghezza del nome comune dell'emittente (issuer_len) | Lunghezza nomeNome PanOS | emittente_len | informazioni.etichette.chiave/valore | |
| Lunghezza del nome comune radice (rootcn_len) | Lunghezza radice del sistema operativo | rootcn_len | informazioni.etichette.chiave/valore | |
| Lunghezza SNI (sni_len) | Lunghezza PanOSSNI | sni_len | informazioni.etichette.chiave/valore | |
| Flag certificati (cert_flags) | Flag PanOSCertificate | flag_certificati | informazioni.etichette.chiave/valore | |
| Nome comune del soggetto (cn) | Nome comune del sistema operativo | cn | informazioni.etichette.chiave/valore | |
| Nome comune dell'emittente (issuer_cn) | Nome comune PanOSIssuer | network.tls.server.certificate.issuer | ||
| Nome comune radice (root_cn) | Nome comune PanOSRoot | root_cn | informazioni.etichette.chiave/valore | |
| Server Name Indication
(Sni) |
network.tls.client.server_name | |||
| Errore (errore) | Messaggio di errore del sistema operativo | errore | informazioni.etichette.chiave/valore | |
| ID contenitore (container_id) | ID ContainerOS | ID_contenitore | informazioni.etichette.chiave/valore | |
| Spazio dei nomi POD (pod_namespace) | Spazio dei nomi del container | spazio dei nomi pod | informazioni.etichette.chiave/valore | |
| Nome del pod (nome_pod) | Nome Container PanOS | nome_pod | informazioni.etichette.chiave/valore | |
| Elenco dinamico esterno sorgente (src_edl) | Origine codice PanOS | src_edl | principal.labels.key/value | |
| Elenco dinamico esterno destinazione (dst_edl) | Destinazione PanOS | Dst_EDL | target.labels.key/value | |
| Gruppo di indirizzi dinamici di origine (src_dag) | Gruppo indirizzi indirizzi sorgenti dinamici OS | principal.group.group_display_name | ||
| Gruppo di indirizzi dinamici di destinazione (dst_dag) | Gruppo Dinamico Indirizzi PanOS | target.group.group_display_name | ||
| Timestamp ad alta risoluzione (high_res_timestamp) | Alta risoluzione data e ora PanOS | metadata.collected_timestamp,
metadata.event_timestamp (se "assenza tempo" è assente) |
||
| Categoria dispositivo di origine (src_category) | Categoria dispositivo sorgente PanOS | src_category | principal.labels.key/value | |
| Profilo dispositivo di origine (src_profile) | Profilo origine dispositivo PanOS | src_profile | principal.labels.key/value | |
| Modello dispositivo di origine (src_model) | Modello origine dispositivo PanOS | modello_src | principal.labels.key/value | |
| Fornitore del dispositivo di origine (src_provider) | Fornitore di PanOSSourceDevice | src_provider | principal.labels.key/value | |
| Famiglia del sistema operativo del dispositivo di origine (src_osfamily) | Famiglia sistema operativo sorgente PanOS | entità.asset.platform_software.platform
principal.labels.key/value |
||
| Versione del sistema operativo del dispositivo di origine (src_osversion) | Versione sistema operativo del dispositivo PanOS | principal.asset.software.version | ||
| Nome host di origine (src_host) | Host origine dispositivo PanOS | nome.Principal.nomehost | ||
| Indirizzo MAC di origine (src_mac) | Dispositivo sorgente PanOS Mac | entità.mac | ||
| Categoria dispositivo di destinazione (dst_category) | Categoria dispositivo di destinazione PanOS | categoria_dst | target.labels.key/value | |
| Profilo dispositivo di destinazione (dst_profile) | Profilo dispositivo di destinazione PanOS | profilo_dst | target.labels.key/value | |
| Modello dispositivo di destinazione (dst_model) | Modello dispositivo di destinazione PanOS | modello_dst | target.labels.key/value | |
| Fornitore del dispositivo di destinazione (dst_provider) | Fornitore di dispositivi di destinazione PanOS | fornitore_dst | target.labels.key/value | |
| Famiglia sistema operativo del dispositivo di destinazione (dst_osfamily) | Famiglia sistema operativo dispositivo di destinazione PanOS | Dst_Osfamily | target.labels.key/value | |
| Versione sistema operativo del dispositivo di destinazione (dst_osversion) | Versione sistema operativo dispositivo di destinazione PanOS | versione.software.asset target.versione | ||
| Nome host di destinazione (dst_host) | Host del dispositivo di destinazione PanOS | nome host target | ||
| Indirizzo MAC di destinazione (dst_mac) | Dispositivo di destinazione PanOS | destinazione.mac | ||
| Numero di sequenza (seqno) | PanOSLogTypeSeqNo | metadati.prodotto_log_id | ||
| Flag di azione (flag d'azione) | Flag azione PanOS | flag di azione | informazioni.etichette.chiave/valore | |
| Gerarchia dei gruppi di dispositivi (dg_hier_level_1) | Gerarchiagruppo di dispositivi L1 | g_livello_hi_1 | informazioni.etichette.chiave/valore | |
| Gerarchia dei gruppi di dispositivi (dg_hier_level_2) | GerarchiadelgruppodidispositiviL2 | g_hier_level_2 | informazioni.etichette.chiave/valore | |
| Gerarchia dei gruppi di dispositivi (dg_hier_level_3) | Gerarchiagruppo di dispositivi L3 | g_livello_hi_3 | informazioni.etichette.chiave/valore | |
| Gerarchia dei gruppi di dispositivi (dg_hier_level_4) | GerarchiadelgruppodidispositiviL4 | g_livello_hi_4 | informazioni.etichette.chiave/valore | |
| Nome del sistema virtuale (vsys_name) | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|||
| Nome del dispositivo (device_name) | nomehost.intermediario | |||
| ID sistema virtuale (vsys_id) | principal.resource.resource_type=VIRTUAL_MACHINE e principal.resource.product_object_id | |||
| Sottocategoria dell'applicazione (subcategory_of_app) | sottocategoria_di_app | informazioni.etichette.chiave/valore | ||
| Categoria dell'applicazione (category_of_app) | categoria_di_app | informazioni.etichette.chiave/valore | ||
| Tecnologia per le applicazioni (technology_of_app) | tecnologia_dell'app | informazioni.etichette.chiave/valore | ||
| Rischio applicazione (risk_of_app) | sicurezza_risultante.gravità | |||
| Caratteristica dell'applicazione (characteristic_of_app) | caratteristica_dell'app | informazioni.etichette.chiave/valore | ||
| Container dell'applicazione (container_of_app) | contenitore_di_app | informazioni.etichette.chiave/valore | ||
| Applicazione SaaS (is_saas_of_app) | è_saas_dell'app | informazioni.etichette.chiave/valore | ||
| Stato soggetto a applicazione (sanctioned_state_of_app) | stato_sanzionato_dell'app | informazioni.etichette.chiave/valore |
Tunnel
Nella tabella seguente sono elencati i campi del log di tipo tunnel e i corrispondenti campi UDM.
| Campo CSV | Campo CEF | Campo LEEF | Chiave etichetta Chronicle | Campo UDM |
|---|---|---|---|---|
| Ora di ricezione (ricevuta_o_ricevuta o tempo-ricezione-in-formato-cef) | b/b | Ora di sviluppo | metadata.collected_timestamp,
metadata.event_timestamp (se "assenza tempo" è assente) |
|
| Numero di serie (numero di serie) | ID dispositivo esterno | Numero di serie | intermediary.asset.hardware.serial_number | |
| Tipo (tipo) | type (intestazione) | gatto | metadata.product_event_type | |
| Tipo di minaccia/contenuto (sottotipo) | sottotipo (Intestazione) | Sottotipo | metadata.product_event_type | |
| Tempo generato (time_generate o cef-formatted-time_generate) | metadati.evento_timestamp | |||
| Indirizzo di origine (src) | src | src | entità.ip | |
| Indirizzo di destinazione (dst) | dst | dst | Target.ip | |
| IP di origine NAT (natsrc) | sourceTradottoIndirizzo | srcPostNAT | entità.nat_ip | |
| IP destinazione NAT (natdst) | destinazioneTradottoIndirizzo | DstPostNAT | target.nat_ip | |
| Nome regola (regola) | CS1 | NomeRegola | risultato_sicurezza.nome_regola | |
| Utente di origine (srcuser) | Suser | UtenteSorgente / Nome utente | entità.user.userid | |
| Utente di destinazione (utente dst) | utente | Utente di destinazione | target.user.userid | |
| Applicazione (app) | app | Applicazione | network_application_protocol | |
| Sistema virtuale (vsys) | CS3 | Sistema virtuale | vsys | informazioni.etichette.chiave/valore |
| Zona di origine (da) | CS4 | Zona di origine | da | principal.labels.key/value |
| Zona di destinazione (a) | CS5 | Zona di destinazione | - | target.labels.key/value |
| Interfaccia in entrata (inbound_if) | dispositivoInboundInterface | Interfaccia Ingress | in entrata_se | principal.labels.key/value |
| Interfaccia in uscita (outbound_if) | dispositivoIn uscitaInterface | Interfaccia in uscita | in uscita_se | target.labels.key/value |
| Azione log (set di log) | CSS6 | Profilo di forwarding dei log | set di log | informazioni.etichette.chiave/valore |
| ID sessione (IFRAME) | CN1 | ID sessione | ID.sessionedirete | |
| Conteggio ripetuto (ripetuto) | num. | Conteggio ripetuto | ripetizione | informazioni.etichette.chiave/valore |
| Porta di origine (sport) | spt | srcPort | entità.port | |
| Porta di destinazione (porta) | dpt | Porta DST | porta.target | |
| Porta di origine NAT (natsport) | Porta di origine tradotta | srcPostNATPort | entità.nat_porta | |
| Porta di destinazione NAT (natdport) | destinazioneTradottoTraduzione | DstPostNATPort | porta_target.nat | |
| Flag (flag) | Stringa flessibile1 | Flag | flags | informazioni.etichette.chiave/valore |
| Protocollo IP (protocollo) | proto | proto | protocollo_ip_rete | |
| Azione (azione) | atto | azione | risultati_sicurezza_azione
risultato_sicurezza.azione |
|
| Gravità (gravità) | security_result.severity e security_result.severity_details | |||
| Numero di sequenza (seqno) | ID esterno | sequenza | metadati.prodotto_log_id | |
| Flag di azione (flag d'azione) | Flag azione PanOS | Flag azione | flag di azione | informazioni.etichette.chiave/valore |
| Località di origine (srcloc) | entità.location.country_o_regione | |||
| Località di destinazione (dstloc) | target.location.country_or_region | |||
| Gerarchia dei gruppi di dispositivi (dg_hier_level_1) | Pan OS Gl1 | Gerarchiagruppo di dispositivi L1 | g_livello_hi_1 | informazioni.etichette.chiave/valore |
| Gerarchia dei gruppi di dispositivi (dg_hier_level_2) | PAN2D2 | GerarchiadelgruppodidispositiviL2 | g_hier_level_2 | informazioni.etichette.chiave/valore |
| Gerarchia dei gruppi di dispositivi (dg_hier_level_3) | Pan OS Gl3 | Gerarchiagruppo di dispositivi L3 | g_livello_hi_3 | informazioni.etichette.chiave/valore |
| Gerarchia dei gruppi di dispositivi (dg_hier_level_4) | PAN4D4 | GerarchiadelgruppodidispositiviL4 | g_livello_hi_4 | informazioni.etichette.chiave/valore |
| Nome del sistema virtuale (vsys_name) | Nome PanOSVsys | NomeSSC | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
| Nome del dispositivo (device_name) | dvchost | DeviceName | nomehost.intermediario | |
| ID tunnel (tunnelid) | ID PanOSTunnel | ID tunnel | tunnelid | informazioni.etichette.chiave/valore |
| Tag di monitoraggio (tag di monitoraggio) | Tag di monitoraggio del sistema operativo | Monitoraggio tag | tag di monitoraggio | informazioni.etichette.chiave/valore |
| ID sessione principale (parent_session_id) | ID sessione padre PanOS | ID sessione padre | id_sessione_principale | informazioni.etichette.chiave/valore |
| Ora di inizio padre (parent_start_time) | Ora di inizio padre PanOS | Ora di inizio genitore | ora_principale_principale | informazioni.etichette.chiave/valore |
| Tipo di tunnel (tunnel) | C2 | Tipo di tunnel | tunnel | informazioni.etichette.chiave/valore |
| Byte (byte) | flexNumber1 | Byte totali | byte | informazioni.etichette.chiave/valore |
| Byte inviati (bytes_sent) | in | srcBytes | rete.ricevuti_byte | |
| Byte ricevuti (byte_ricevuti) | più ampia | dstByte | rete.sent_byte | |
| Pacchetti (pacchetti) | C2 | totalPacket | pacchetti | informazioni.etichette.chiave/valore |
| Pacchetti inviati (pkts_sent) | PanOSPacketSent | srcPacket | pkts_sent | informazioni.etichette.chiave/valore |
| Pacchetti ricevuti (pkts_ricevuti) | PanOSPacketsReceived | DstPacket | pkts_ricevuto | informazioni.etichette.chiave/valore |
| Incapsulamento massimo (max_encap) | flexNumber2 | Incapsulamento massimo | limite_massimo | informazioni.etichette.chiave/valore |
| Protocollo sconosciuto (sconosciuto_proto) | cfp1 | Protocollo sconosciuto | protocollo_sconosciuto | informazioni.etichette.chiave/valore |
| Controllo massimo (strict_check) | cfp2 | Controllo massimo | controllo_massimo | informazioni.etichette.chiave/valore |
| Frammento tunnel (frammento_tunnel) | Frammento PanOSTunnel | Frammento tunnel | frammento_tunnel | informazioni.etichette.chiave/valore |
| Sessioni create (sessions_created) | cfp3 | Sessioni create | sessioni_create | informazioni.etichette.chiave/valore |
| Sessioni chiuse (sessions_closed) | cfp4 | Sessioni chiuse | sessioni_chiuse | informazioni.etichette.chiave/valore |
| Motivo della fine della sessione (session_end_reason) | motivo | Motivo sessione | security_result.summary | |
| Origine azione (action_source) | gatto | Origine azione | sorgente_azione | informazioni.etichette.chiave/valore |
| Ora di inizio (inizio) | ora di inizio | avvia | informazioni.etichette.chiave/valore | |
| Tempo trascorso (tempo trascorso) | CN3 | Tempo trascorso | trascorso | informazioni.etichette.chiave/valore |
| Regola di ispezione del tunnel (tunnel_insp_rule) | Regola di ispezione PanOSTunne | security_result.rule_name = "Regola di ispezione tunnel: {/8}PanOSTunnelinspectionRule}" | ||
| IP utente remoto (remote_user_ip) | IP utente PanOSRmt | Target.ip | ||
| ID utente remoto (remote_user_id) | ID utente PanOSRmt | ID_utente_remoto | target.labels.key/value | |
| UUID regola di sicurezza (rule_uuid) | UUID PanOSRule | ID_risultato_sicurezza | ||
| ID PCAP (pcap_id) | ID CapPOSP | ID_pcap | informazioni.etichette.chiave/valore | |
| Nome gruppo utenti dinamico (dynusergroup_name) | Panoramica dinamica | principal.group.group_display_name | ||
| Elenco dinamico esterno sorgente (src_edl) | Origine codice PanOS | src_edl | principal.labels.key/value | |
| Elenco dinamico esterno destinazione (dst_edl) | Destinazione PanOS | Dst_EDL | target.labels.key/value | |
| Timestamp ad alta risoluzione (timestamp ad alta risoluzione) | Alta risoluzione data e ora PanOS | metadata.collected_timestamp,
metadata.event_timestamp (se "assenza tempo" è assente) |
||
| Un elemento di differenziazione della fetta (nssai_sd) | nssai_sd | informazioni.etichette.chiave/valore | ||
| Un tipo di servizio Slice (nssai_sd) | nssai_sd1 | informazioni.etichette.chiave/valore | ||
| ID sessione PDU (pdu_session_id) | ID_sessione_pdu | informazioni.etichette.chiave/valore | ||
| Sottocategoria dell'applicazione (subcategory_of_app) | sottocategoria_di_app | informazioni.etichette.chiave/valore | ||
| Categoria dell'applicazione (category_of_app) | categoria_di_app | informazioni.etichette.chiave/valore | ||
| Tecnologia per le applicazioni (technology_of_app) | tecnologia_dell'app | informazioni.etichette.chiave/valore | ||
| Rischio applicazione (risk_of_app) | app_rischio | informazioni.etichette.chiave/valore | ||
| Caratteristica dell'applicazione (characteristic_of_app) | caratteristica_dell'app | informazioni.etichette.chiave/valore | ||
| Container dell'applicazione (container_of_app) | contenitore_di_app | informazioni.etichette.chiave/valore | ||
| Applicazione SaaS (is_saas_of_app) | è_saas_dell'app | informazioni.etichette.chiave/valore | ||
| Stato soggetto a applicazione (sanctioned_state_of_app) | stato_sanzionato_dell'app | informazioni.etichette.chiave/valore |
Autenticazione
Nella tabella seguente sono elencati i campi del log di tipo autenticazione e i corrispondenti campi UDM.
| Campo CSV | Campo CEF | Campo LEEF | Chiave etichetta Chronicle | Campo UDM |
|---|---|---|---|---|
| Ora di ricezione (ricevuta_o_ricevuta o tempo-ricezione-in-formato-cef) | b/b | Ora di sviluppo | metadata.collected_timestamp,
metadata.event_timestamp (se "assenza tempo" è assente) |
|
| Numero di serie (numero di serie) | ID dispositivo esterno | Numero di serie | intermediary.asset.hardware.serial_number | |
| Tipo (tipo) | type (intestazione) | gatto | metadata.product_event_type | |
| Tipo di minaccia/contenuto (sottotipo) | sottotipo (Intestazione) | Sottotipo | metadata.product_event_type | |
| Tempo generato (time_generate o cef-formatted-time_generate) | metadati.evento_timestamp | |||
| Sistema virtuale (vsys) | CS3 | Sistema virtuale | vsys | informazioni.etichette.chiave/valore |
| IP di origine (ip) | src | src | entità.ip | |
| Utente (utente) | utente | nomeusr | target.user.userid | |
| Normalizza utente (normalize_user) | C2 | Normalizza utente | target.user.display_name | |
| Oggetto (oggetto) | fname | NomeOggetto | oggetto | informazioni.etichette.chiave/valore |
| Criterio di autenticazione (authpolicy) | CS4 | AuthPolicy | criteri di autenticazione | informazioni.etichette.chiave/valore |
| Conteggio ripetuto (ripetuto) | num. | Conteggio ripetuto | ripetizione | informazioni.etichette.chiave/valore |
| ID autenticazione (authid) | C2 | ID autenticazione | ID autenticazione | informazioni.etichette.chiave/valore |
| Fornitore (fornitore) | flexString2 | Vendor | vendor | informazioni.etichette.chiave/valore |
| Azione log (set di log) | CSS6 | Profilo di forwarding dei log | set di log | informazioni.etichette.chiave/valore |
| Profilo server (profilo server) | CS1 | Profilo server | profilo server | informazioni.etichette.chiave/valore |
| Descrizione (desc.) | Panoramica del sistema operativo | Altre informazioni di autenticazione | risultato_sicurezza.descrizione | |
| Tipo di client (clienttype) | CS5 | Tipo di client | Tipo di client | informazioni.etichette.chiave/valore |
| Tipo di evento (evento) | messaggio | messaggio | estensioni.auth.auth_details | |
| Numero fattore (factorno) | CN1 | Numero fattore | fattore | informazioni.etichette.chiave/valore |
| Numero di sequenza (seqno) | ID esterno | sequenza | metadati.prodotto_log_id | |
| Flag di azione (flag d'azione) | Flag azione PanOS | Flag azione | flag di azione | informazioni.etichette.chiave/valore |
| Gerarchia dei gruppi di dispositivi (dg_hier_level_1) | Pan OS Gl1 | Gerarchiagruppo di dispositivi L1 | g_livello_hi_1 | informazioni.etichette.chiave/valore |
| Gerarchia dei gruppi di dispositivi (dg_hier_level_2) | PAN2D2 | GerarchiadelgruppodidispositiviL2 | g_hier_level_2 | informazioni.etichette.chiave/valore |
| Gerarchia dei gruppi di dispositivi (dg_hier_level_3) | Pan OS Gl3 | Gerarchiagruppo di dispositivi L3 | g_livello_hi_3 | informazioni.etichette.chiave/valore |
| Gerarchia dei gruppi di dispositivi (dg_hier_level_4) | PAN4D4 | GerarchiadelgruppodidispositiviL4 | g_livello_hi_4 | informazioni.etichette.chiave/valore |
| Nome del sistema virtuale (vsys_name) | Nome PanOSVsys | NomeSSC | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
| Nome del dispositivo (device_name) | dvchost | DeviceName | nomehost.intermediario | |
| ID sistema virtuale (vsys_id) | principal.resource.resource_type=VIRTUAL_MACHINE e principal.resource.product_object_id | |||
| Protocollo di autenticazione (authproto) | autenticazione | informazioni.etichette.chiave/valore | ||
| UUID della regola (rule_uuid) | UUID PanOSRule | ID_risultato_sicurezza | ||
| Timestamp ad alta risoluzione (timestamp_alta_res_) | Alta risoluzione data e ora PanOS | metadata.collected_timestamp,
metadata.event_timestamp (se "assenza tempo" è assente) |
||
| Categoria dispositivo di origine (src_category) | Categoria dispositivo sorgente PanOS | src_category | principal.labels.key/value | |
| Profilo dispositivo di origine (src_profile) | Profilo origine dispositivo PanOS | src_profile | principal.labels.key/value | |
| Modello dispositivo di origine (src_model) | Modello origine dispositivo PanOS | modello_src | principal.labels.key/value | |
| Fornitore del dispositivo di origine (src_provider) | Fornitore di PanOSSourceDevice | src_provider | principal.labels.key/value | |
| Famiglia del sistema operativo del dispositivo di origine (src_osfamily) | Famiglia sistema operativo sorgente PanOS | entità.asset.platform_software.platform
principal.labels.key/value |
||
| Versione del sistema operativo del dispositivo di origine (src_osversion) | Versione sistema operativo del dispositivo PanOS | principal.asset.software.version | ||
| Nome host di origine (src_host) | Nome host PanOSSource | nome.Principal.nomehost | ||
| Indirizzo MAC di origine (src_mac) | Origine codice PanOS | entità.asset.mac | ||
| Regione (regione) | Regione origine traffico PanOS | entità.location.country_o_regione | ||
| User agent (user_agent) | Agente utente PanOSHTTP | rete.http://user_agent | ||
| ID sessione(IFRAME) | ID sessione traffico PanOS | ID.sessionedirete |
URL
Nella tabella seguente sono elencati i campi del log di tipo URL e i campi UDM corrispondenti.
| Campo CSV | Campo CEF | Campo LEEF | Chiave etichetta Chronicle | Campo UDM |
|---|---|---|---|---|
| Ora di ricezione (cef-format-recipient_time) | b/b | Ora di sviluppo | metadata.collected_timestamp,
metadata.event_timestamp (se "assenza tempo" è assente) |
|
| Numero di serie (numero di serie) | ID dispositivo esterno | Numero di serie | intermediary.asset.hardware.serial_number | |
| Tipo (tipo) | type (intestazione) | gatto | metadata.product_event_type | |
| Tipo di minaccia/contenuto (sottotipo) | sottotipo (Intestazione) | Sottotipo | metadata.product_event_type | |
| Data/ora generazione | metadati.evento_timestamp | |||
| Indirizzo di origine (src) | src | src | entità.ip | |
| Indirizzo di destinazione (dst) | dst | dst | Target.ip | |
| IP di origine NAT (natsrc) | sourceTradottoIndirizzo | srcPostNAT | entità.nat_ip | |
| IP destinazione NAT (natdst) | destinazioneTradottoIndirizzo | DstPostNAT | target.nat_ip | |
| Regola (regola) | CS1 | NomeRegola | risultato_sicurezza.nome_regola | |
| Utente di origine (srcuser) | Suser | Utente di origine | entità.user.userid | |
| Utente di destinazione (utente dst) | utente | Utente di destinazione | target.user.userid | |
| Applicazione (app) | app | Applicazione | network_application_protocol | |
| Sistema virtuale (vsys) | CS3 | Sistema virtuale | vsys | informazioni.etichette.chiave/valore |
| Zona di origine (da) | CS4 | Zona di origine | da | principal.labels.key/value |
| Zona di destinazione (a) | CS5 | Zona di destinazione | - | target.labels.key/value |
| Interfaccia in entrata (inbound_if) | dispositivoInboundInterface | Interfaccia Ingress | in entrata_se | principal.labels.key/value |
| Interfaccia in uscita (outbound_if) | dispositivoIn uscitaInterface | Interfaccia in uscita | in uscita_se | target.labels.key/value |
| Azione log (set di log) | CSS6 | Profilo di forwarding dei log | set di log | informazioni.etichette.chiave/valore |
| Tempo registrato | tempo_registrato | informazioni.etichette.chiave/valore | ||
| ID sessione (IFRAME) | CN1 | ID sessione | ID.sessionedirete | |
| Conteggio ripetuto (ripetuto) | num. | Conteggio ripetuto | ripetizione | informazioni.etichette.chiave/valore |
| Porta di origine (sport) | spt | srcPort | entità.port | |
| Porta di destinazione (porta) | dpt | Porta DST | porta.target | |
| Porta di origine NAT (natsport) | Porta di origine tradotta | srcPostNATPort | entità.nat_porta | |
| Porta di destinazione NAT (natdport) | destinazioneTradottoTraduzione | DstPostNATPort | porta_target.nat | |
| Flag (flag) | Stringa flessibile1 | Flag | flags | informazioni.etichette.chiave/valore |
| Protocollo IP (protocollo) | proto | proto | protocollo_ip_rete | |
| Azione (azione) | atto | azione | risultati_sicurezza_azione
risultato_sicurezza.azione |
|
| URL/Nome file (vari) | Vari | file.target.full_path
url.target |
||
| Nome minaccia/contenuti (minaccia) | gatto | ID minaccia | risultato_sicurezza.threat_id | |
| Categoria (categoria) | C2 | Categoria URL | categoria | informazioni.etichette.chiave/valore |
| Gravità (gravità) | numero di gravità (intestazione) | Gravità | sicurezza_risultante.gravità
dettagli_sicurezza_dettagli_sicurezza |
|
| Direzione (direzione) | flexString2 | Direzione | rete.direzione | |
| Numero di sequenza (seqno) | ID esterno | sequenza | metadati.prodotto_log_id | |
| Flag di azione (flag d'azione) | Flag azione PanOS | Flag azione | flag di azione | informazioni.etichette.chiave/valore |
| Paese di origine (srcloc) | Località di origine | entità.location.country_o_regione | ||
| Paese di destinazione (dstloc) | Località di destinazione | target.location.country_or_region | ||
| contenttype (contenttype) | requestContext | ContentType | tipodicontenuti | informazioni.etichette.chiave/valore |
| pcap_id (ID pcap) | ID file | ID_APP | ID_pcap | informazioni.etichette.chiave/valore |
| filedigest (filedigest) | File digest | about.file.sha1/md5/sha256 | ||
| cloud (cloud) | Google Cloud | cloud | informazioni.etichette.chiave/valore | |
| url_idx (url_idx) | Indice URL | ID_url | informazioni.etichette.chiave/valore | |
| user_agent (user_agent) | richiestaRichiestaCliente | User agent | rete.http://user_agent | |
| filetype (tipo di file) | about.file.mime_type | |||
| xff (xff) | PanOSXForwarderfor | identSrc | xff | informazioni.etichette.chiave/valore |
| referer (referrer) | PanOSReferer | Referrer | rete.http://url_referral | |
| mittente (mittente) | rete.email.from | |||
| subject (oggetto) | Oggetto | rete.email.subject | ||
| destinatario (destinatario) | network.email.to | |||
| reportid (reportid) | ID report | informazioni.etichette.chiave/valore | ||
| Livello 1 Gerarchia DG (dg_hier_level_1) | Pan OS Gl1 | Gerarchiagruppo di dispositivi L1 | g_livello_hi_1 | informazioni.etichette.chiave/valore |
| Livello 2 gerarchia DG (dg_hier_level_2) | PAN2D2 | GerarchiadelgruppodidispositiviL2 | g_hier_level_2 | informazioni.etichette.chiave/valore |
| Livello 3 Gerarchia DG (dg_hier_level_3) | Pan OS Gl3 | Gerarchiagruppo di dispositivi L3 | g_livello_hi_3 | informazioni.etichette.chiave/valore |
| Livello 4 gerarchia DG (dg_hier_level_4) | PAN4D4 | GerarchiadelgruppodidispositiviL4 | g_livello_hi_4 | informazioni.etichette.chiave/valore |
| Nome del sistema virtuale (vsys_name) | Nome PanOSVsys | NomeSSC | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
| Nome del dispositivo (device_name) | dvchost | DeviceName | nomehost.intermediario | |
| file_url (file_url) | informazioni.url | |||
| UUID VM di origine (src_uuid) | SUID | entità.asset.asset_id | ||
| UUID VM di destinazione (dst_uuid) | DstUUID | target.asset.asset_id | ||
| http_method (http_method) | requestMethod | Metodo di richiesta | metodo.http.network | |
| ID tunnel/IMSI (tunnelid) | ID PanOSTunnel | ID tunnel | tunnelid | informazioni.etichette.chiave/valore |
| Tag di monitoraggio/IMEI (monitoraggio tag) | Tag di monitoraggio del sistema operativo | Monitoraggio tag | tag di monitoraggio | informazioni.etichette.chiave/valore |
| ID sessione principale (parent_session_id) | ID sessione padre PanOS | ID sessione padre | id_sessione_principale | informazioni.etichette.chiave/valore |
| Ora di inizio della sessione padre (parent_start_time) | Ora di inizio padre PanOS | Ora di inizio genitore | ora_principale_principale | informazioni.etichette.chiave/valore |
| Tunnel (tunnel) | Tipo PanTTunnel | Tipo di tunnel | tunnel | informazioni.etichette.chiave/valore |
| thr_category (thr_category) | Categoria PanOSThreat | Categoria minaccia | Categoria_thr | security_result.detection_fields.key/value |
| contentver (contentver) | Panoramica del sistema operativo | Ver. contenuti | Contentver | informazioni.etichette.chiave/valore |
| sig_flags (sig_flags) | flag_sig | informazioni.etichette.chiave/valore | ||
| ID associazione SCTP (assoc_id) | ID sistema operativo | ass_id | informazioni.etichette.chiave/valore | |
| ID protocollo di payload (ppid) | PanOSPPID | ppi | informazioni.etichette.chiave/valore | |
| http_headers (http_headers) | Intestazione PanOSHTTP | http_intestazioni | informazioni.etichette.chiave/valore | |
| Elenco categorie URL (url_category_list) | Elenco CatCat | url_category_list | informazioni.etichette.chiave/valore | |
| UUID della regola (rule_uuid) | UUID PanOSRule | regola_uuid | informazioni.etichette.chiave/valore | |
| Connessione HTTP/2 (http2_connection) | PanOSHTTP2Con | http2_connessione | informazioni.etichette.chiave/valore | |
| dynusergroup_name (dynusergroup_name) | Panoramica dinamica | nome_gruppo_dynuser | informazioni.etichette.chiave/valore | |
| Indirizzo XFF (xff_ip) | PANXFFIP | entità.ip | ||
| Categoria dispositivo di origine (src_category) | PanSrcDeviceCat | src_category | principal.labels.key/value | |
| Profilo dispositivo di origine (src_profile) | PanSrcDeviceProf | src_profile | principal.labels.key/value | |
| Modello dispositivo di origine (src_model) | Modello dispositivo PanSrc | modello_src | principal.labels.key/value | |
| Fornitore del dispositivo di origine (src_provider) | Fornitore di PanSrcDevice | src_provider | principal.labels.key/value | |
| Famiglia del sistema operativo del dispositivo di origine (src_osfamily) | PanSrcDeviceOS | entità.asset.platform_software.platform
principal.labels.key/value |
||
| Versione del sistema operativo del dispositivo di origine (src_osversion) | PanSrc OS | principal.asset.software.version | ||
| Nome host di origine (src_host) | Nome host PanSrc | host_src | principal.labels.key/value | |
| Indirizzo MAC di origine (src_mac) | PanSrcMac | entità.mac | ||
| Categoria dispositivo di destinazione (dst_category) | PanDstDeviceCat | categoria_dst | target.labels.key/value | |
| Profilo dispositivo di destinazione (dst_profile) | PanDstDeviceProf | profilo_dst | target.labels.key/value | |
| Modello dispositivo di destinazione (dst_model) | Modello dispositivo PanDst | modello_dst | target.labels.key/value | |
| Fornitore del dispositivo di destinazione (dst_provider) | Fornitore di PanDstDevice | fornitore_dst | target.labels.key/value | |
| Famiglia sistema operativo del dispositivo di destinazione (dst_osfamily) | Sistema operativo PanDst | target.asset.platform_software.platform
target.labels.key/value |
||
| Versione sistema operativo del dispositivo di destinazione (dst_osversion) | PANDstDeviceOSv | versione.software.asset target.versione | ||
| Nome host di destinazione (dst_host) | Spazio dei nomi PanPOD | nome host target | ||
| Indirizzo MAC di destinazione (dst_mac) | PanDstMac | destinazione.mac | ||
| ID contenitore (container_id) | Nome Container Pan | ID_contenitore | informazioni.etichette.chiave/valore | |
| Spazio dei nomi POD (pod_namespace) | Spazio dei nomi PanPOD | spazio dei nomi pod | informazioni.etichette.chiave/valore | |
| Nome del pod (nome_pod) | Nome PanD | nome_pod | informazioni.etichette.chiave/valore | |
| Elenco dinamico esterno sorgente (src_edl) | PanSrcEDL | src_edl | principal.labels.key/value | |
| Elenco dinamico esterno destinazione (dst_edl) | PANDSTEDL | Dst_EDL | target.labels.key/value | |
| ID host (hostid) | ID host PanGP | ID host | informazioni.etichette.chiave/valore | |
| Numero di serie (numero di serie) | PanEPSerial | principal.asset.hardware.serial_number | ||
| dominio_EDL (dominio_edl) | Dominio PanLEDL | dominio_EDL | informazioni.etichette.chiave/valore | |
| Gruppo di indirizzi dinamici di origine (src_dag) | PanSrcDAG | principal.group.group_display_name | ||
| Gruppo di indirizzi dinamici di destinazione (dst_dag) | PANDstDAG | target.group.group_display_name | ||
| hash_parziale (hash_parziale) | Hash parziale parziale | hash_parziale | informazioni.etichette.chiave/valore | |
| Timestamp alta risoluzione (high_res_timestamp) | Alta definizione PanTime | metadata.collected_timestamp,
metadata.event_timestamp (se "assenza tempo" è assente) |
||
| Motivo (motivo) | Azione di filtro motivi Pan | motivo | informazioni.etichette.chiave/valore | |
| giustificazione (giustificazione) | Giustificazione | giustificazione | informazioni.etichette.chiave/valore | |
| nssai_sst (nssai_sst) | Tipo di servizio PanAS | nssai_sst | informazioni.etichette.chiave/valore | |
| Sottocategoria dell'app (subcategory_of_app) | sottocategoria_di_app | informazioni.etichette.chiave/valore | ||
| Categoria dell'app (category_of_app) | categoria_di_app | informazioni.etichette.chiave/valore | ||
| Tecnologia dell'app (technology_of_app) | tecnologia_dell'app | informazioni.etichette.chiave/valore | ||
| Rischio di app (risk_of_app) | app_rischio | informazioni.etichette.chiave/valore | ||
| Caratteristica dell'app (characteristic_of_app) | caratteristica_dell'app | informazioni.etichette.chiave/valore | ||
| Container dell'app (container_of_app) | contenitore_di_app | informazioni.etichette.chiave/valore | ||
| App in tunnel (app con tunnel) | app_con tunneling | informazioni.etichette.chiave/valore | ||
| SaaS dell'app (is_saas_of_app) | è_saas_dell'app | informazioni.etichette.chiave/valore | ||
| Stato soggetto a sanzioni per l'app (sanctioned_state_of_app) | stato_sanzionato_dell'app | informazioni.etichette.chiave/valore |
Dati
Nella tabella seguente sono elencati i campi del tipo di log dei dati e i corrispondenti campi UDM.
| Campo CSV | Campo CEF | Campo LEEF | Chiave etichetta Chronicle | Campo UDM |
|---|---|---|---|---|
| Ora di ricezione (cef-format-recipient_time) | b/b | Ora di sviluppo | metadata.collected_timestamp,
metadata.event_timestamp (se "assenza tempo" è assente) |
|
| Numero di serie (numero di serie) | ID dispositivo esterno | Numero di serie | intermediary.asset.hardware.serial_number | |
| Tipo (tipo) | type (intestazione) | gatto | metadata.product_event_type | |
| Tipo di minaccia/contenuto (sottotipo) | sottotipo (Intestazione) | Sottotipo | metadata.product_event_type | |
| Data/ora generazione | metadati.evento_timestamp | |||
| Indirizzo di origine (src) | src | src | entità.ip | |
| Indirizzo di destinazione (dst) | dst | dst | Target.ip | |
| IP di origine NAT (natsrc) | sourceTradottoIndirizzo | srcPostNAT | entità.nat_ip | |
| IP destinazione NAT (natdst) | destinazioneTradottoIndirizzo | DstPostNAT | target.nat_ip | |
| Regola (regola) | CS1 | NomeRegola | risultato_sicurezza.nome_regola | |
| Utente di origine (srcuser) | Suser | Utente di origine | entità.user.userid | |
| Utente di destinazione (utente dst) | utente | Utente di destinazione | target.user.userid | |
| Applicazione (app) | app | Applicazione | network_application_protocol | |
| Sistema virtuale (vsys) | CS3 | Sistema virtuale | vsys | informazioni.etichette.chiave/valore |
| Zona di origine (da) | CS4 | Zona di origine | da | principal.labels.key/value |
| Zona di destinazione (a) | CS5 | Zona di destinazione | - | target.labels.key/value |
| Interfaccia in entrata (inbound_if) | dispositivoInboundInterface | Interfaccia Ingress | in entrata_se | principal.labels.key/value |
| Interfaccia in uscita (outbound_if) | dispositivoIn uscitaInterface | Interfaccia in uscita | in uscita_se | target.labels.key/value |
| Azione log (set di log) | CSS6 | Profilo di forwarding dei log | set di log | informazioni.etichette.chiave/valore |
| Tempo registrato | tempo_registrato | informazioni.etichette.chiave/valore | ||
| ID sessione (IFRAME) | CN1 | ID sessione | ID.sessionedirete | |
| Conteggio ripetuto (ripetuto) | num. | Conteggio ripetuto | ripetizione | informazioni.etichette.chiave/valore |
| Porta di origine (sport) | spt | srcPort | entità.port | |
| Porta di destinazione (porta) | dpt | Porta DST | porta.target | |
| Porta di origine NAT (natsport) | Porta di origine tradotta | srcPostNATPort | entità.nat_porta | |
| Porta di destinazione NAT (natdport) | destinazioneTradottoTraduzione | DstPostNATPort | porta_target.nat | |
| Flag (flag) | Stringa flessibile1 | Flag | flags | informazioni.etichette.chiave/valore |
| Protocollo IP (protocollo) | proto | proto | protocollo_ip_rete | |
| Azione (azione) | atto | azione | risultati_sicurezza_azione
risultato_sicurezza.azione |
|
| URL/Nome file (vari) | Vari | file.target.full_path
url.target |
||
| Nome minaccia/contenuti (minaccia) | gatto | ID minaccia | risultato_sicurezza.threat_id | |
| Categoria (categoria) | C2 | Categoria URL | categoria | informazioni.etichette.chiave/valore |
| Gravità (gravità) | numero di gravità (intestazione) | Gravità | sicurezza_risultante.gravità
dettagli_sicurezza_dettagli_sicurezza |
|
| Direzione (direzione) | flexString2 | Direzione | rete.direzione | |
| Numero di sequenza (seqno) | ID esterno | sequenza | metadati.prodotto_log_id | |
| Flag di azione (flag d'azione) | Flag azione PanOS | Flag azione | flag di azione | informazioni.etichette.chiave/valore |
| Paese di origine (srcloc) | Località di origine | entità.location.country_o_regione | ||
| Paese di destinazione (dstloc) | Località di destinazione | target.location.country_or_region | ||
| contenttype (contenttype) | ContentType | tipodicontenuti | informazioni.etichette.chiave/valore | |
| pcap_id (ID pcap) | ID file | ID_APP | ID_pcap | informazioni.etichette.chiave/valore |
| filedigest (filedigest) | File digest | about.file.sha1/md5/sha256 | ||
| cloud (cloud) | Google Cloud | cloud | informazioni.etichette.chiave/valore | |
| url_idx (url_idx) | Indice URL | ID_url | informazioni.etichette.chiave/valore | |
| user_agent (user_agent) | rete.http://user_agent | |||
| filetype (tipo di file) | about.file.mime_type | |||
| xff (xff) | xff | informazioni.etichette.chiave/valore | ||
| referer (referrer) | rete.http://url_referral | |||
| mittente (mittente) | rete.email.from | |||
| subject (oggetto) | Oggetto | rete.email.subject | ||
| destinatario (destinatario) | network.email.to | |||
| reportid (reportid) | ID report | informazioni.etichette.chiave/valore | ||
| Livello 1 Gerarchia DG (dg_hier_level_1) | Pan OS Gl1 | Gerarchiagruppo di dispositivi L1 | g_livello_hi_1 | informazioni.etichette.chiave/valore |
| Livello 2 gerarchia DG (dg_hier_level_2) | PAN2D2 | GerarchiadelgruppodidispositiviL2 | g_hier_level_2 | informazioni.etichette.chiave/valore |
| Livello 3 Gerarchia DG (dg_hier_level_3) | Pan OS Gl3 | Gerarchiagruppo di dispositivi L3 | g_livello_hi_3 | informazioni.etichette.chiave/valore |
| Livello 4 gerarchia DG (dg_hier_level_4) | PAN4D4 | GerarchiadelgruppodidispositiviL4 | g_livello_hi_4 | informazioni.etichette.chiave/valore |
| Nome del sistema virtuale (vsys_name) | Nome PanOSVsys | NomeSSC | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
| Nome del dispositivo (device_name) | dvchost | DeviceName | nomehost.intermediario | |
| file_url (file_url) | informazioni.url | |||
| UUID VM di origine (src_uuid) | SUID | entità.asset.asset_id | ||
| UUID VM di destinazione (dst_uuid) | DstUUID | target.asset.asset_id | ||
| http_method (http_method) | Metodo di richiesta | metodo.http.network | ||
| ID tunnel/IMSI (tunnelid) | ID PanOSTunnel | ID tunnel | tunnelid | informazioni.etichette.chiave/valore |
| Tag di monitoraggio/IMEI (monitoraggio tag) | Tag di monitoraggio del sistema operativo | Monitoraggio tag | tag di monitoraggio | informazioni.etichette.chiave/valore |
| ID sessione principale (parent_session_id) | ID sessione padre PanOS | ID sessione padre | id_sessione_principale | informazioni.etichette.chiave/valore |
| Ora di inizio della sessione padre (parent_start_time) | Ora di inizio padre PanOS | Ora di inizio genitore | ora_principale_principale | informazioni.etichette.chiave/valore |
| Tunnel (tunnel) | Tipo PanTTunnel | Tipo di tunnel | tunnel | informazioni.etichette.chiave/valore |
| thr_category (thr_category) | Categoria PanOSThreat | Categoria minaccia | Categoria_thr | security_result.detection_fields.key/value |
| contentver (contentver) | Panoramica del sistema operativo | Ver. contenuti | Contentver | informazioni.etichette.chiave/valore |
| sig_flags (sig_flags) | flag_sig | informazioni.etichette.chiave/valore | ||
| ID associazione SCTP (assoc_id) | ID sistema operativo | ass_id | informazioni.etichette.chiave/valore | |
| ID protocollo di payload (ppid) | PanOSPPID | ppi | informazioni.etichette.chiave/valore | |
| http_headers (http_headers) | Intestazione PanOSHTTP | http_intestazioni | informazioni.etichette.chiave/valore | |
| Elenco categorie URL (url_category_list) | url_category_list | informazioni.etichette.chiave/valore | ||
| UUID della regola (rule_uuid) | UUID PanOSRule | regola_uuid | informazioni.etichette.chiave/valore | |
| Connessione HTTP/2 (http2_connection) | http2_connessione | informazioni.etichette.chiave/valore | ||
| dynusergroup_name (dynusergroup_name) | nome_gruppo_dynuser | principal.labels.key/value | ||
| Indirizzo XFF (xff_ip) | entità.ip | |||
| Categoria dispositivo di origine (src_category) | src_category | principal.labels.key/value | ||
| Profilo dispositivo di origine (src_profile) | src_profile | principal.labels.key/value | ||
| Modello dispositivo di origine (src_model) | modello_src | principal.labels.key/value | ||
| Fornitore del dispositivo di origine (src_provider) | src_provider | principal.labels.key/value | ||
| Famiglia del sistema operativo del dispositivo di origine (src_osfamily) | entità.asset.platform_software.platform
principal.labels.key/value |
|||
| Versione del sistema operativo del dispositivo di origine (src_osversion) | principal.asset.software.version | |||
| Nome host di origine (src_host) | host_src | principal.labels.key/value | ||
| Indirizzo MAC di origine (src_mac) | entità.mac | |||
| Categoria dispositivo di destinazione (dst_category) | categoria_dst | target.labels.key/value | ||
| Profilo dispositivo di destinazione (dst_profile) | profilo_dst | target.labels.key/value | ||
| Modello dispositivo di destinazione (dst_model) | modello_dst | target.labels.key/value | ||
| Fornitore del dispositivo di destinazione (dst_provider) | fornitore_dst | target.labels.key/value | ||
| Famiglia sistema operativo del dispositivo di destinazione (dst_osfamily) | target.asset.platform_software.platform
target.labels.key/value |
|||
| Versione sistema operativo del dispositivo di destinazione (dst_osversion) | versione.software.asset target.versione | |||
| Nome host di destinazione (dst_host) | nome host target | |||
| Indirizzo MAC di destinazione (dst_mac) | destinazione.mac | |||
| ID contenitore (container_id) | ID_contenitore | informazioni.etichette.chiave/valore | ||
| Spazio dei nomi POD (pod_namespace) | spazio dei nomi pod | informazioni.etichette.chiave/valore | ||
| Nome del pod (nome_pod) | nome_pod | informazioni.etichette.chiave/valore | ||
| Elenco dinamico esterno sorgente (src_edl) | src_edl | principal.labels.key/value | ||
| Elenco dinamico esterno destinazione (dst_edl) | Dst_EDL | target.labels.key/value | ||
| ID host (hostid) | ID host | informazioni.etichette.chiave/valore | ||
| Numero di serie (numero di serie) | principal.asset.hardware.serial_number | |||
| dominio_EDL (dominio_edl) | dominio_EDL | informazioni.etichette.chiave/valore | ||
| Gruppo di indirizzi dinamici di origine (src_dag) | principal.group.group_display_name | |||
| Gruppo di indirizzi dinamici di destinazione (dst_dag) | target.group.group_display_name | |||
| hash_parziale (hash_parziale) | hash_parziale | informazioni.etichette.chiave/valore | ||
| Timestamp alta risoluzione (high_res_timestamp) | metadata.collected_timestamp,
metadata.event_timestamp (se "assenza tempo" è assente) |
|||
| Motivo (motivo) | motivo | informazioni.etichette.chiave/valore | ||
| giustificazione (giustificazione) | giustificazione | informazioni.etichette.chiave/valore | ||
| nssai_sst (nssai_sst) | nssai_sst | informazioni.etichette.chiave/valore | ||
| Sottocategoria dell'app (subcategory_of_app) | sottocategoria_di_app | informazioni.etichette.chiave/valore | ||
| Categoria dell'app (category_of_app) | categoria_di_app | informazioni.etichette.chiave/valore | ||
| Tecnologia dell'app (technology_of_app) | tecnologia_dell'app | informazioni.etichette.chiave/valore | ||
| Rischio di app (risk_of_app) | app_rischio | informazioni.etichette.chiave/valore | ||
| Caratteristica dell'app (characteristic_of_app) | caratteristica_dell'app | informazioni.etichette.chiave/valore | ||
| Container dell'app (container_of_app) | contenitore_di_app | informazioni.etichette.chiave/valore | ||
| App in tunnel (app con tunnel) | app_con tunneling | informazioni.etichette.chiave/valore | ||
| SaaS dell'app (is_saas_of_app) | è_saas_dell'app | informazioni.etichette.chiave/valore | ||
| Stato soggetto a sanzioni per l'app (sanctioned_state_of_app) | stato_sanzionato_dell'app | informazioni.etichette.chiave/valore |
Protezione globale
Nella tabella seguente sono elencati i campi del log di GlobalProtect e i corrispondenti campi UDM.
| Campo CSV | Campo CEF | Campo LEEF | Chiave etichetta Chronicle | Campo UDM |
|---|---|---|---|---|
| Ora di ricezione (ricezione_ora) | b/b | unità_ricevuta | metadati.evento_timestamp | |
| Numero di serie (numero di serie) | PanOSDeviceSN | numero_intermediario_asset_hardware_serial_number | intermediary.asset.hardware.serial_number | |
| Tipo (tipo) | type (intestazione) | metadata.product_event_type | ||
| Tipo di minaccia/contenuto (sottotipo) | sottotipo (Intestazione) | Sottotipo | metadata.product_event_type | |
| Ora di generazione (time_generate) | PanTimeLogTimeStamp | timestamp_generato | metadati.evento_timestamp | |
| Sistema virtuale (vsys) | Sistema virtuale PanOS | vsys | informazioni.etichette.chiave/valore | |
| ID evento (eventi) | ID evento PanOS | ID_evento | informazioni.etichette.chiave/valore | |
| Fase (fase) | PanOSStage | fase | informazioni.etichette.chiave/valore | |
| Metodo di autenticazione (auth_method) | Metodo PanOSAuth | dettagli_autenticazione_autenticazione_estensione | estensioni.auth.auth_details | |
| Tipo di tunnel (tipo di tunnel) | Tipo PanTTunnel | tunnel | informazioni.etichette.chiave/valore | |
| Utente di origine (srcuser) | Nome utente origine PanOS | utente_src | entità.user.email_address
entità.user.userid entità.administrative_domain |
|
| Regione di origine (srcregion) | Regione sorgente PanOS | regione_src | entità.location.country_o_regione | |
| Nome macchina (nome macchina) | Nome dispositivo endpoint PanOS | machine_name | nome.Principal.nomehost | |
| IP pubblico (public_ip) | IP4 pubblico del sistema operativo | entità.nat_ip | ||
| IPv6 pubblico (public_ipv6) | IP pubblico pubblico6 | entità.nat_ip | ||
| IP privato (private_ip) | IP4 privato OS | entità.ip | ||
| IPv6 privato (private_ipv6) | PanIPPrivateIPv6 | entità.ip | ||
| ID host (hostid) | ID HostPOS | ID host | entità.asset.asset_id | |
| Numero di serie (numero di serie) | PanOSDeviceSN | principal.asset.hardware.serial_number | ||
| Versione client (client_ver) | Versione mondiale di Protect per PanOS | client_ver | informazioni.etichette.chiave/valore | |
| Sistema operativo client (client_os) | TipoOSOSOS | principal.asset.platform_software.platform(enum) | ||
| Versione sistema operativo client (client_os_ver) | Versione PanOSEndpointOS | principal.asset.platform_software.platform_version | ||
| Conteggio ripetuto (ripetuto) | Numero di ripetizioni del sistema operativo | ripetizione | informazioni.etichette.chiave/valore | |
| Motivo (motivo) | Motivo quarantena PanOS | security_result.summary | ||
| Errore (errore) | Errore PanOSConnection | errore | risultato_sicurezza.descrizione | |
| Descrizione (opaca) | Descrizione del sistema operativo | risultato_sicurezza.descrizione | ||
| Stato (stato) | Stato evento PanOS | stato | informazioni.etichette.chiave/valore | |
| Località (località) | Posizione gateway PanOSGP | target.location.country_or_region | ||
| Durata dell'accesso (login_duration) | Durata accesso PanOS | network.session_duration | ||
| Metodo Connect (connect_method) | Metodo PanOSConnection | metodo_connessione | informazioni.etichette.chiave/valore | |
| Codice di errore (error_code) | ID errore di connessione OS | codice_errore | informazioni.etichette.chiave/valore | |
| Portale (portale) | PanOSPortal | portale | informazioni.etichette.chiave/valore | |
| Numero di sequenza (seqno) | NSequenzaSequenza | metadati.prodotto_log_id | ||
| Flag di azione (flag d'azione) | Flag azione PanOS | flag di azione | informazioni.etichette.chiave/valore | |
| Timestamp ad alta risoluzione (high_res_timestamp) | ad alta oragenerata | metadata.collected_timestamp,
metadata.event_timestamp (se "assenza tempo" è assente) |
||
| Metodo di selezione del gateway (selection_type) | Tipo di selezione gateway OS | selezione_tipo | informazioni.etichette.chiave/valore | |
| Tempo di risposta SSL (response_time) | Tempo di risposta SSL del sistema operativo | tempo_di_risposta | informazioni.etichette.chiave/valore | |
| Priorità gateway (priorità) | Priorità PanOSGateway | priority | informazioni.etichette.chiave/valore | |
| Gateway tentati (attempted_gateways) | Gateway PanOSTestato | tentativo_gateway | informazioni.etichette.chiave/valore | |
| Nome gateway (gateway) | Gateway PanOSTestato | gateway | informazioni.etichette.chiave/valore | |
| Gerarchia dei gruppi di dispositivi (dg_hier_level_1) | g_livello_hi_1 | informazioni.etichette.chiave/valore | ||
| Gerarchia dei gruppi di dispositivi (dg_hier_level_2) | g_hier_level_2 | informazioni.etichette.chiave/valore | ||
| Gerarchia dei gruppi di dispositivi (dg_hier_level_3) | g_livello_hi_3 | informazioni.etichette.chiave/valore | ||
| Gerarchia dei gruppi di dispositivi (dg_hier_level_4) | g_livello_hi_4 | informazioni.etichette.chiave/valore | ||
| Nome del sistema virtuale (vsys_name) | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|||
| Nome del dispositivo (device_name) | nome host target | |||
| ID sistema virtuale (vsys_id) | principal.resource.resource_type=VIRTUAL_MACHINE e principal.resource.product_object_id |
Correlazione
Nella tabella seguente sono elencati i campi di log del tipo di log di correlazione e quelli corrispondenti di UDM.
| Campo CSV | Campo CEF | Campo LEEF | Chiave etichetta Chronicle | Campo UDM |
|---|---|---|---|---|
| Tempo generato (time_generate o cef-formatted-time_generate) | ora di inizio | timestamp_generato | metadati.evento_timestamp | |
| Indirizzo di origine (src) | src | entità.ip | ||
| Utente di origine (srcuser) | UtenteSorgente / Nome utente | entità.user.userid | ||
| Sistema virtuale (vsys) | Sistema virtuale | vsys | informazioni.etichette.chiave/valore | |
| Categoria (categoria) | risultati_categoria_sicurezza | |||
| Gravità (gravità) | Gravità | security_result.severity e security_result.severity_details | ||
| Gerarchia del gruppo di dispositivi 1 | Gerarchiagruppo di dispositivi L1 | informazioni.etichette.chiave/valore | ||
| Livello 2 della gerarchia di gruppi di dispositivi | GerarchiadelgruppodidispositiviL2 | informazioni.etichette.chiave/valore | ||
| Livello 3 della gerarchia di gruppi di dispositivi | Gerarchiagruppo di dispositivi L3 | informazioni.etichette.chiave/valore | ||
| Gerarchia del gruppo di dispositivi 4 | GerarchiadelgruppodidispositiviL4 | informazioni.etichette.chiave/valore | ||
| Nome del sistema virtuale (vsys_name) | NomeSSC | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
||
| Nome del dispositivo (device_name) | DeviceName | nomehost.intermediario | ||
| ID sistema virtuale (vsys_id) | IDSistema virtuale | principal.resource.resource_type=VIRTUAL_MACHINE e principal.resource.product_object_id | ||
| Nome oggetto (nome oggetto) | NomeOggetto | target.resource.name | ||
| ID oggetto (object_id) | ID oggetto | target.resource.product_object_id |
Riferimento per la mappatura dei campi: tipi di log sul tipo di evento UDM
Nella tabella seguente sono elencati i tipi di log dei firewall Palo Alto Networks e i relativi tipi di eventi UDM.
| Tipo di log | Tipo di evento UDM |
| Traffico | CONNESSIONE_RETE |
| Minaccia | CONNESSIONE_RETE |
| Filtro degli URL | CONNESSIONE_RETE |
| Firefire | CONNESSIONE_RETE
I log di invio di WildFire sono un sottotipo del tipo di log Threat e utilizzano lo stesso formato syslog. |
| Filtro dei dati | CONNESSIONE_RETE |
| Tunnel | CONNESSIONE_RETE |
| Configurazione | SETTING_MODIFICATION/SETTING_CREATION/SETTING_DELETION/SETTING_UNCATEGORIZED
Il valore del campo "Comando (cmd)" determina la mappatura del tipo di evento UDM. Se il valore del campo cmd è add o clone, viene impostato SETTING_CREATION. Se il valore del campo cmd è eliminato, SETTING_DELETION è impostato. Se il valore del campo Cmd è modifica, spostamento, ridenominazione, impostazione o commit, SETTING_MODIFICATION è impostato. Se il valore del campo cmd non contiene valori, viene impostato SETTING_UNCATEGORIZED. |
| Sistema |
Se il valore del sottotipo è dhcp, viene impostato NETWORK_DHCP. Per gli altri valori, è impostato GENERIC_EVENT. |
| Corrispondenza HIP | CONNESSIONE_RETE |
| Tag IP | EVENTO_GENERICO |
| ID utente | UTENTE_ACCESSO/LOG_UTENTE/UTENTE_UNCATEGORIZED
Se il valore del sottotipo è "login", è impostato USER_LOGIN. Se il valore del sottotipo è "logout", viene impostato USER_LOGOUT. Se il sottotipo non contiene alcun valore, viene impostato USER_UNCATEGORIZED. |
| Decriptazione | CONNESSIONE_RETE |
| Autenticazione | EVENTO_GENERICO |