Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Raccogli i log del firewall di Palo Alto Networks

Panoramica

Questo documento descrive come configurare syslog e un server di forwarding Chronicle per raccogliere i log del firewall di Palo Alto Networks. Questo documento spiega inoltre come i campi dei log del firewall di Palo Alto Networks vengono mappati ai campi UDM (Chronicle Unified Data Model).

Per una panoramica sull'importazione dei dati di Chronicle, vedi Importazione di dati in Chronicle.

Un'etichetta di importazione identifica l'analizzatore sintattico che normalizza i dati di log non elaborati in formato UDM strutturato. Le informazioni contenute in questo documento si applicano all'analizzatore sintattico con l'etichetta di importazione PAN_FIREWALL.

Prima di iniziare

  • Per comprendere i componenti di cui è stato eseguito il deployment per raccogliere i log del firewall Palo Alto Networks, esamina l'architettura di deployment. Ogni deployment dei clienti potrebbe differire da questa rappresentazione e potrebbe essere più complesso.

    Il seguente diagramma mostra come configurare syslog su un firewall di Palo Alto Networks e installare un forwarding Chronicle su un server Linux per inoltrare i dati di log a Chronicle. L'analizzatore sintattico supporta i log scritti nei seguenti formati di dati: CSV (valori separati da virgole), Common Event Format (CEF) e Log Event Extended Format (LEEF).

    Architettura di deployment

  • Verifica i formati di log e le versioni PAN-OS supportati dall'analizzatore sintattico Chronicle. Nella tabella seguente sono elencati i formati di log e le versioni PAN-OS corrispondenti supportate dall'analizzatore sintattico Chronicle:

    Formato dei log Versione PAN-OS
    CSV 10,1,3
    CEF 10,0
    TEMPO 9,1

  • Verificare i tipi di log del firewall di Palo Alto Networks supportati dall'analizzatore sintattico Chronicle. L'analizzatore sintattico Chronicle supporta i seguenti tipi di log del firewall di Palo Alto Networks:

    • Traffico
    • Minaccia
    • Invii WildFire
    • Ispezione tunnel
    • Configurazione
    • Sistema
    • Corrispondenza HIP
    • Tag IP
    • User-ID
    • Decriptazione
    • Autenticazione
    • Filtro degli URL
    • Filtro dei dati
    • GlobalProtect
    • Correlazione

    Per ulteriori informazioni sui tipi di log del firewall di Palo Alto Networks, vedi Tipi di log PAN-OS.

  • Assicurati che tutti i sistemi nell'architettura di deployment siano configurati nel fuso orario UTC.

  • Prima di utilizzare l'analizzatore sintattico Gold di Palo Alto Networks, esamina le modifiche nelle mappature dei campi tra l'analizzatore sintattico predefinito e l'analizzatore sintattico oro elencate in questo documento. Nell'ambito della migrazione, assicurati che le regole, le ricerche, le dashboard o altri processi che dipendono dai campi originali utilizzino i campi aggiornati.

    Ad esempio, nell'analizzatore sintattico predefinito, il campo di log "category" è mappato al campo "security_result.description" UDM. Nell'analizzatore sintattico oro firewall PAN, il campo di log "category" è mappato al campo "security_result.category_details" UDM. Se esegui la migrazione all'analizzatore sintattico Gold Gold di PAN e utilizzi "category" nelle regole, devi modificare le regole in modo che utilizzino il campo "UDM" &security_result.category_details" UDM dell'analizzatore sintattico Gold.

Configura syslog e lo strumento di forwarding di Chronicle

Per configurare syslog e lo strumento per l'inoltro di Chronicle, completa i passaggi seguenti:

  1. Per monitorare i log CSV, configura il profilo server syslog. Per ulteriori informazioni, consulta la pagina Configurare il profilo server syslog.

    Quando configuri il profilo del server syslog, specifica "Default" come formato del log personalizzato.

  2. Per monitorare i log CEF, configura il firewall Palo Alto Networks per inoltrare i log CEF. Per ulteriori informazioni, scarica il PDF dell'integrazione CEF di PAN-OS e consulta la sezione "Configurazione di Palo Alto Networks NGFW per generare eventi CEF".

  3. Per monitorare i log LEEF, configura il profilo del server syslog. Per ulteriori informazioni, vedi Inoltro dei log personalizzato in formato LEEF.

  4. Configura lo strumento per l'inoltro di Chronicle per inviare i log a Chronicle. Per saperne di più, vedi Installare e configurare lo strumento di forwarding su Linux. Di seguito è riportato un esempio di configurazione dello strumento per l'inoltro di Chronicle:

      - syslog:
          common:
            enabled: true
            data_type: PAN_FIREWALL
            batch_n_seconds: 10
            batch_n_bytes: 1048576
          tcp_address: 0.0.0.0:10518
          connection_timeout_sec: 60
    

Riferimento per la mappatura dei campi: firewall PAN registra i campi nei campi UDM

Questa sezione spiega in che modo l'analizzatore sintattico esegue la mappatura dei campi dei log di firewall Palo Alto Networks ai campi evento Chronicle UDM per ciascun tipo di log.

La chiave di etichetta Chronicle si riferisce al nome della chiave mappata al campo UDM Labels.key. Ad esempio, nel caso del campo &quotSistema virtuale" il nome del campo è "cs3" in formato CEF ed è "VirtualSystem" in formato LEEF. Il campo UDM "about.labels.key" contiene il valore "vsys" e il campo UDM "about.labels.value" contiene il valore di quel campo.

Alcuni nomi dei campi CEF o LEEF non hanno un nome corrispondente ai nomi dei campi CSV. In questi casi, se aggiungi il nome della tua variabile in formato log personalizzato nel profilo syslog, l'analizzatore sintattico non la associa al campo UDM.

Fai riferimento alle seguenti sezioni che descrivono il riferimento di ciascun tipo di log:

Sistema

La seguente tabella elenca i campi di log del tipo di log di sistema e i corrispondenti campi UDM.

Campo CSV Campo CEF Campo LEEF Chiave etichetta Chronicle Campo UDM
Ora di ricezione (Received_time o cef-formatted-Received_time) b/m devTime metadata.collected_timestamp,

metadata.event_timestamp (se "Generate Time" è assente)

Numero di serie (serial) ID esterno dispositivo Numero di serie broker.asset.hardware.serial_number
Tipo (type) type (intestazione) gatto metadata.product_event_type è impostato su "%{type} - {/8}subtype}".
Tipo di minaccia/contenuto (sottotipo) sottotipo (Intestazione) Sottotipo metadata.product_event_type è impostato su "%{type} - {/8}subtype}".
Tempo generato (time_generate o cef-formatted-time_generate) metadata.event_timestamp
Sistema virtuale (vsys) C3 Sistema virtuale vsys about.labels.key/value
ID evento (eventid) gatto Evento about.labels.key/value
Oggetto (oggetto) fname Nome del file oggetto about.labels.key/value
Modulo (modulo) FlexString2 Modulo module about.labels.key/value
Gravità (gravità) $number-severity(intestazione) Gravità security_result.severity e security_result.severity_details
Descrizione (opaca) messaggio messaggio metadata.description
Numero di sequenza (seqno) ID esterno sequenza metadata.product_log_id
Flag di azione (actionflag) Flag azione PanOS Bandiere flag azioni about.labels.key/value
Gerarchia gruppi di dispositivi (dg_hier_level_1 a dg_hier_level_4) PanOSDGl1 GerarchiagruppogruppiL1 dg_hier_level_1 about.labels.key/value
Gerarchia gruppi di dispositivi (dg_hier_level_2) PanOSDGl2 GerarchiaDispositiviGruppoL2 dg_hier_level_2 about.labels.key/value
Gerarchia gruppi di dispositivi (dg_hier_level_3) PanOSDGl3 Gerarchia gruppogruppo L3 dg_hier_level_3 about.labels.key/value
Gerarchia gruppi di dispositivi (dg_hier_level_4) PanOSDGl4 GerarchiagruppogruppiL4 dg_hier_level_4 about.labels.key/value
Nome del sistema virtuale (vsys_name) Nome PanOSVsys Nome vSrc principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

Nome del dispositivo (device_name) dvchost DeviceName nome.intermediario.
Timestamp ad alta risoluzione (high_res_timestamp) AnOSTimeGeneratedAlta risoluzione metadata.collected_timestamp,

metadata.event_timestamp (se "Generate Time" è assente)

Configurazione

La tabella seguente elenca i campi di log del tipo di log di configurazione e dei campi UDM corrispondenti.

Campo CSV Campo CEF Campo LEEF Chiave etichetta Chronicle Campo UDM
Ora di ricezione (Received_time o cef-formatted-Received_time) b/m devTime metadata.collected_timestamp,

metadata.event_timestamp (se "Generate Time" è assente)

Numero di serie (serial) ID esterno dispositivo Numero di serie broker.asset.hardware.serial_number
Tipo (type) type (intestazione) gatto metadata.product_event_type
Tipo di minaccia/contenuto (sottotipo) sottotipo (Intestazione) metadata.product_event_type
Tempo generato (time_generate o cef-formatted-time_generate) metadata.event_timestamp
Host (host) Shost src principal.ip/nomehost
Sistema virtuale (vsys) C3 Sistema virtuale vsys about.labels.key/value
Comando (cmd) agire messaggio Cmd about.labels.key/value
Amministratore (amministratore) duser Nomeusr id.utente.user
Cliente (client) NomeServizio di destinazione client principal.application
Risultato (risultato) ID firma (intestazione)(motivo) Risultato security_result.summary
Percorso di configurazione (percorso) messaggio Percorso di configurazione principal.process.command_line
Dettagli prima della modifica (before_change_detail) cs1 PrimaPrimaDettaglio dettaglio_prima_modifica target.resource.attribute.labels.key/value di
Dettagli dopo la modifica (after_change_detail) C2 Dettaglio dopo modifica dettaglio_dopo_modifica target.resource.attribute.labels.key/value di
Numero di sequenza (seqno) ID esterno sequenza metadata.product_log_id
Flag di azione (actionflag) Flag azione PanOS Bandiere flag azioni about.labels.key/value
Gerarchia gruppi di dispositivi (dg_hier_level_1 a dg_hier_level_4) PanOSDGl1 GerarchiagruppogruppiL1 dg_hier_level_1 about.labels.key/value
Gerarchia gruppi di dispositivi (dg_hier_level_2) PanOSDGl2 GerarchiaDispositiviGruppoL2 dg_hier_level_2 about.labels.key/value
Gerarchia gruppi di dispositivi (dg_hier_level_3) PanOSDGl3 Gerarchia gruppogruppo L3 dg_hier_level_3 about.labels.key/value
Gerarchia gruppi di dispositivi (dg_hier_level_4) PanOSDGl4 GerarchiagruppogruppiL4 dg_hier_level_4 about.labels.key/value
Nome del sistema virtuale (vsys_name) Nome PanOSVsys Nome vSrc principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

Nome del dispositivo (device_name) dvchost DeviceName nome.intermediario.
Gruppo di dispositivi (dg_id) GruppoSistema PanOSFW ID_dg principal.asset.attribute.labels.key/value
Commento di controllo (commento) Commento PanOSPolicyAudit commento about.labels.key/value

Threat/WiFiFire

Nella tabella seguente sono elencati i campi di log del tipo di log Threat/WildFire e i campi UDM corrispondenti.

Campo CSV Campo CEF Campo LEEF Chiave etichetta Chronicle Campo UDM
Ora di ricezione (Received_time o cef-formatted-Received_time) b/m devTime metadata.collected_timestamp,

metadata.event_timestamp (se "Generate Time" è assente)

Numero di serie (n. di serie) ID esterno dispositivo Numero di serie broker.asset.hardware.serial_number
Tipo (type) type (intestazione) gatto metadata.product_event_type
Tipo di minaccia/contenuto (sottotipo) gatto/sottotipo (intestazione) Sottotipo metadata.product_event_type
Ora di generazione (time_generate o cef-formatted-time_generate) metadata.event_timestamp
Indirizzo di origine (src) src src entità.ip
Indirizzo di destinazione (dst) dst dst target.ip
IP di origine NAT (natsrc) IndirizzoGoogle Traduttore srcPostNAT entità.nat_ip
IP di destinazione NAT (natdst) DestinationTradottoIndirizzo dstPostNAT target.nat_ip
Nome regola (regola) cs1 NomeRegola security_result.rule_name
Utente di origine (utente src) susero Utente di origine / nome utente id.utente.user
Utente di destinazione (utente dst) duser Utente di destinazione target.user.user
Applicazione (app) app Applicazione applicazione.target
Sistema virtuale (vsys) C3 Sistema virtuale vsys about.labels.key/value
Zona di origine (da) C4 Zona di origine da principal.labels.key/value
Zona di destinazione (a) C5 Zona di destinazione - target.labels.key/value
Interfaccia in entrata (inbound_if) dispositivoIn entrata interfaccia Interfaccia Ingress in_if principal.labels.key/value
Interfaccia in uscita (outbound_if) dispositivoIn uscitaInterface Interfaccia in uscita uscita_se target.labels.key/value
Azione log (set di log) C6 LogInoltroProfilo set di log about.labels.key/value
ID sessione (sessionid) CN1 ID sessione network_session.id
Numero di ripetizioni (ripetuto) cnt Ripeti conteggio ripetizione about.labels.key/value
Porta di origine (sport) sst srcPort entità.port
Porta di destinazione (porta) dpt Porta dst porta
Porta di origine NAT (natsport) Porta di origine tradotta srcPostNATPort entità.nat_porta
Porta di destinazione NAT (natdport) destinazioneTradottoPorted Porta dstPostNAT destinazione.nat_porta
Flag (flag) FlexString1 Flag flags about.labels.key/value
Protocollo IP (protocollo) proto proto protocollo.ip_rete
Azione (azione) agire azione security_result.action_details

security_result.action

URL/Nome file (vari) request Vari target.file.full_path

url target

Nome minaccia/contenuti (minaccia) gatto ID minaccia security_result.threat_name
Categoria (categoria) C2 Categoria URL security_result.category_details
Gravità (gravità) numero-di-gravità(intestazione) Gravità security_result.severity e security_result.severity_details
Direzione (direzione) FlexString2 Direzione rete.direzione
Numero di sequenza (seqno) ID esterno sequenza metadata.product_log_id
Flag di azione (actionflag) Flag azione PanOS Bandiere flag azioni about.labels.key/value
Paese di origine (srcloc) Località di origine principal.location.country_or_region
Paese di destinazione (dstloc) Località di destinazione target.location.country_or_region)
Tipo di contenuti (contenttype) ContentType tipo di contenuti about.labels.key/value
ID PCAP (pcap_id) ID file ID_PAP id_pcap about.labels.key/value
Digest file (digest file) FileHash Digest file about.file.sha1/md5/sha256
Cloud (cloud) Percorso file Google Cloud cloud about.labels.key/value
Indice URL (url_idx) Indice URL url_idx about.labels.key/value
User agent (user_agent) rete.http://user_agent
Tipo di file (tipo di file) Tipo di file Tipo di file about.file.mime_type
X-Forwarded-For (XFF) entità.ip
referer (referrer) rete.http://referral_url
Mittente (mittente) suid Mittente rete.email.da
Oggetto (oggetto) messaggio Oggetto rete.email.oggetto
Destinatario (destinatario) duid Destinatario network.email.to
ID report (reportid) ID file precedente ID report ID report about.labels.key/value
Gerarchia gruppi di dispositivi (dg_hier_level_1 a dg_hier_level_4) PanOSDGl1 GerarchiagruppogruppiL1 dg_hier_level_1 about.labels.key/value
Gerarchia gruppi di dispositivi (dg_hier_level_2) PanOSDGl2 GerarchiaDispositiviGruppoL2 dg_hier_level_2 about.labels.key/value
Gerarchia gruppi di dispositivi (dg_hier_level_3) PanOSDGl3 Gerarchia gruppogruppo L3 dg_hier_level_3 about.labels.key/value
Gerarchia gruppi di dispositivi (dg_hier_level_4) PanOSDGl4 GerarchiagruppogruppiL4 dg_hier_level_4 about.labels.key/value
Nome del sistema virtuale (vsys_name) Nome PanOSVsys Nome vSrc principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

Nome del dispositivo (device_name) dvchost DeviceName nome.intermediario.
UUID VM di origine (src_uuid) PanOSSrcUUID SARCUUID entità.user.product_object_id
UUID VM di destinazione (dst_uuid) PanOSDstUUID DSTUUID target.user.product_object_id
Metodo HTTP (http_method) Metodo richiesta metodo.http://rete
ID tunnel/IMSI (tunnel_id/imsi) ID PanOSTunnel ID tunnel tunnel_id/imsi about.labels.key/value
Monitoraggio tag/IMEI (monitortag/imei) Tag PanOSMonitor MonitorTag monitortag/iime about.labels.key/value
ID sessione principale (parent_session_id) ID sessione sessione principale del sistema operativo ID sessioneprincipale id_sessione_principale about.labels.key/value
Ora di inizio sessione genitore (parent_start_time) Ora di inizio padre PanOS Ora di inizio genitore ora_principale_principale about.labels.key/value
Tipo di tunnel (tunnel) Tipo PantTunnel Tipo di tunnel tunnel about.labels.key/value
Categoria minaccia (thr_category) Categoria PanOSThreat Categoriaminaccia thr_categoria security_result.detection_fields.key/valore
Versione dei contenuti (contentver) Contenuto contenuti PanOS Contenuto Veri Contentver about.labels.key/value
ID associazione SCTP (assoc_id) ID PanOSAssocID assoc_id about.labels.key/value
ID protocollo payload (ppid) PanOSPPID ppi about.labels.key/value
Intestazioni HTTP (http_headers) Intestazione PanOSHTTP http_headers about.labels.key/value
Elenco categorie URL (url_category_list) Elenco CatOSURL url_category_list about.labels.key/value
UUID regola (rule_uuid) Regole UOS PanOS security_result.rule_id
Connessione HTTP/2 (connessione http2) PanOSHTTP2Con http2_connessione about.labels.key/value
Nome gruppo utenti dinamico (dynusergroup_name) PanDynamicUsrgrp nomegruppo_dynuser principal.labels.key/value
Indirizzo XFF (xff_ip) PanXFFIP entità.ip
Categoria dispositivo di origine (src_category) PanSrcDeviceCat categoria_src principal.labels.key/value
Profilo dispositivo di origine (src_profile) PanSrcDeviceProf src_profile principal.labels.key/value
Modello dispositivo di origine (src_model) Modello dispositivo PanSrc modello_src principal.labels.key/value
Fornitore del dispositivo di origine (src_vendor) Fornitore PanSrcDevice src_vendor principal.labels.key/value
Famiglia sistema operativo dispositivo di origine (src_osfamily) PanSrc OS famiglia_src principal.asset.platform_software.platform

principal.labels.key/value

Versione sistema operativo dispositivo di origine (src_osversion) PanOSSOS principal.asset.software.version
Nome host di origine (src_host) Nome host PanSrc nome host.entità
Indirizzo MAC di origine (src_mac) PanSrcMac entità.mac
Categoria dispositivo di destinazione (dst_category) PanDstDeviceCat categoria_dst target.labels.key/value
Profilo dispositivo di destinazione (dst_profile) PanDstDeviceProf profilo_dst target.labels.key/value
Modello dispositivo di destinazione (dst_model) Modello dispositivo PanDst modello_dst target.labels.key/value
Fornitore del dispositivo di destinazione (dst_vendor) Fornitore PanDstDevice dst_vendor target.labels.key/value
Famiglia sistema operativo dispositivo di destinazione (dst_osfamily) PanDstDeviceOS dst_osfamiglia target.labels.key/value
Versione sistema operativo dispositivo di destinazione (dst_osversion) PanDstDeviceOSv target.asset.software.versione
Nome host di destinazione (dst_host) Nome host PanDst nome host.target
Indirizzo MAC di destinazione (dst_mac) PanDstMac mac.target
ID contenitore (container_id) NomeContainer container_id [id_contenitore] about.labels.key/value
Spazio dei nomi POD (spazio dei nomi pod) Spazio dei nomi PanPOD pod_namespace about.labels.key/value
Nome del POD (nome_pod) Nome PanPOD nome_pod about.labels.key/value
Elenco dinamico esterno sorgente (src_edl) PanSrcEDL src_edl about.labels.key/value
Elenco dinamico esterno di destinazione (dst_edl) PanDstEDL dst_edl about.labels.key/value
ID host (hostid) ID host PanGP ID host about.labels.key/value
Numero di serie dispositivo utente (numero di serie) PanEPSerial principal.asset.hardware.serial_number
EDL dominio (dominio_edl) PanDomainEDL dominio_edl about.labels.key/value
Gruppo di indirizzi dinamici di origine (src_dag) PanSrcDAG principal.group.group_name_display_name
Gruppo di indirizzi dinamici di destinazione (dst_dag) PanDstDAG gruppo.target.nome_gruppo_display
Hash parziale (partial_hash) Hash parziale parziale hash_parziale about.labels.key/value
Timestamp ad alta risoluzione (timestamp ad alta risoluzione) PanTimeHighRes timestamp ad alta risoluzione metadata.collected_timestamp,

metadata.event_timestamp (se "Generate Time" è assente)

Motivo (motivo) Motivo filtro motivo motivo about.labels.key/value
Motivazione (giustificazione) Giustificazione giustificazione about.labels.key/value
Un tipo di servizio a fette (nssai_sst) Tipo di servizio PanAS nssai_sst about.labels.key/value
Sottocategoria di applicazione (subcategory_of_app) sottocategoria_di_app about.labels.key/value
Categoria applicazione (category_of_app) categoria_di_app about.labels.key/value
Tecnologia delle applicazioni (technology_of_app) tecnologia_app about.labels.key/value
Rischio applicazione (rischio_app) rischio_di_app about.labels.key/value
Caratteristica dell'applicazione (caratteristica_di_app) caratteristica_di_app about.labels.key/value
Container dell'applicazione (container_of_app) container_of_app about.labels.key/value
Applicazione SaaS (is_saas_of_app) _app_saas about.labels.key/value
Stato soggetto a applicazione (sanctioned_state_of_app) stato_sanzione_dell'app about.labels.key/value

Traffico

La tabella riportata di seguito elenca i campi di log del tipo di log del traffico e i corrispondenti campi UDM.

Campo CSV Campo CEF Campo LEEF Chiave etichetta Chronicle Campo UDM
Ora di ricezione (Received_time o cef-formatted-Received_time) b/m devTime metadata.collected_timestamp,

metadata.event_timestamp (se "Generate Time" è assente)

Numero di serie (serial) ID esterno dispositivo Numero di serie broker.asset.hardware.serial_number
Tipo (type) type (intestazione) gatto/Tipo metadata.product_event_type
Tipo di minaccia/contenuto (sottotipo) sottotipo (Intestazione) Sottotipo metadata.product_event_type
Tempo generato (time_generate o cef-formatted-time_generate) inizio metadata.event_timestamp
Indirizzo di origine (src) src src entità.ip
Indirizzo di destinazione (dst) dst dst target.ip
IP di origine NAT (natsrc) IndirizzoGoogle Traduttore srcPostNAT entità.nat_ip
IP di destinazione NAT (natdst) DestinationTradottoIndirizzo dstPostNAT target.nat_ip
Nome regola (regola) cs1 NomeRegola security_result.rule_name
Utente di origine (utente src) susero Utente di origine id.utente.user
Utente di destinazione (utente dst) duser Utente di destinazione target.user.user
Applicazione (app) app Applicazione applicazione.target
Sistema virtuale (vsys) C3 Sistema virtuale vsys about.labels.key/value
Zona di origine (da) C4 Zona di origine da principal.labels.key/value
Zona di destinazione (a) C5 Zona di destinazione - target.labels.key/value
Interfaccia in entrata (inbound_if) dispositivoIn entrata interfaccia Interfaccia Ingress in_if principal.labels.key/value
Interfaccia in uscita (outbound_if) dispositivoIn uscitaInterface Interfaccia in uscita uscita_se target.labels.key/value
Azione log (set di log) C6 LogInoltroProfilo set di log about.labels.key/value
ID sessione (sessionid) CN1 ID sessione network_session.id
Numero di ripetizioni (ripetuto) cnt Ripeti conteggio ripetizione about.labels.key/value
Porta di origine (sport) sst srcPort entità.port
Porta di destinazione (porta) dpt Porta dst porta
Porta di origine NAT (natsport) Porta di origine tradotta srcPostNATPort entità.nat_porta
Porta di destinazione NAT (natdport) destinazioneTradottoPorted Porta dstPostNAT destinazione.nat_porta
Flag (flag) FlexString1 Flag flags about.labels.key/value
Protocollo IP (protocollo) proto proto protocollo.ip_rete
Azione (azione) agire azione security_result.action_details

security_result.action

Byte (byte) flexNumber1 totaleByte byte about.labels.key/value
Byte inviati (bytes_sent) in srcBytes rete.ricevi_byte
Byte ricevuti (bytes_Received) fuori dstBytes rete.sent_byte
Pacchetti (pacchetti) C2 totalPacket pacchetti about.labels.key/value
Ora di inizio (inizio) Ora di inizio inizio about.labels.key/value
Tempo trascorso (tempo trascorso) C3 Tempo trascorso trascorso about.labels.key/value
Categoria (categoria) C2 Categoria URL security_result.category / security_result.category_details
Numero di sequenza (seqno) ID esterno sequenza metadata.product_log_id
Flag di azione (actionflag) Flag azione PanOS Bandiere flag azioni about.labels.key/value
Paese di origine (srcloc) Località di origine principal.location.country_or_region
Paese di destinazione (dstloc) Località di destinazione target.location.country_or_region)
Pacchetti inviati (pkts_sent) PanOSPacketsSent srcPacket pkts_sent (inviati) about.labels.key/value
Pacchetti ricevuti (pkts_Received) PanOSPacketsReceived dstPacket pkts_Received about.labels.key/value
Motivo fine sessione (session_end_reason) motivo Motivo sessione security_result.summary
Gerarchia gruppi di dispositivi 1 (dg_hier_level_1 a dg_hier_level_4) PanOSDGl1 GerarchiagruppogruppiL1 dg_hier_level_1 about.labels.key/value
Gerarchia gruppi di dispositivi2 (dg_hier_level_2) PanOSDGl2 GerarchiaDispositiviGruppoL2 dg_hier_level_2 about.labels.key/value
Gerarchia gruppi di dispositivi 3 (dg_hier_level_3) PanOSDGl3 Gerarchia gruppogruppo L3 dg_hier_level_3 about.labels.key/value
Gerarchia gruppi di dispositivi (dg_hier_level_4) PanOSDGl4 GerarchiagruppogruppiL4 dg_hier_level_4 about.labels.key/value
Nome del sistema virtuale (vsys_name) Nome PanOSVsys Nome vSrc principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

Nome del dispositivo (device_name) dvchost DeviceName nome.intermediario.
Origine azione (action_source) gatto Origine azioni azione_origine about.labels.key/value
UUID VM di origine (src_uuid) PanOSSrcUUID SARCUUID principal.asset.product_object_id
UUID VM di destinazione (dst_uuid) PanOSDstUUID DSTUUID target.asset.product_object_id
ID tunnel/IMSI (tunnelid/imsi) ID PanOSTunnel ID tunnel tunnelid/imsi about.labels.key/value
Monitoraggio tag/IMEI (monitortag/imei) Tag PanOSMonitor MonitorTag monitortag/iime about.labels.key/value
ID sessione principale (parent_session_id) ID sessione sessione principale del sistema operativo ID sessioneprincipale id_sessione_principale about.labels.key/value
Ora di inizio genitore (parent_start_time) Ora di inizio padre PanOS Ora di inizio genitore ora_principale_principale about.labels.key/value
Tipo di tunnel (tunnel) Tipo PantTunnel Tipo di tunnel tunnel about.labels.key/value
ID associazione SCTP (assoc_id) ID POSSCTPAssocID assoc_id about.labels.key/value
Blocchi SCTP (blocchi) PanOSSCTPChunks pezzi about.labels.key/value
Blocchi SCTP inviati (chunks_sent) PanOSSCTPChunkSent pezzi_inviati about.labels.key/value
Blocchi SCTP ricevuti (chunks_Received) PanOSSCTPChunksRcv pezzi_ricevuti about.labels.key/value
UUID regola (rule_uuid) Regole UOS PanOS security_result.rule_id
Connessione HTTP/2 (connessione http2) PanOSHTTP2Con http2_connessione about.labels.key/value
Conteggio flap app (link_change_count) Modifica collegamento link_change_count about.labels.key/value
ID norme (policy_id) ID PanPolicy policy_id [id_norme] about.labels.key/value
Interruttori di collegamento (link_switch) Dettaglio Link interruttori_link about.labels.key/value
Cluster SD-WAN (sdwan_cluster) Cluster PanSDWAN cluster_sdwan about.labels.key/value
Tipo di dispositivo SD-WAN (sdwan_device_type) Dispositivo PanSDWAN tipo_dispositivo_sdwan about.labels.key/value
Tipo di cluster SD-WAN (sdwan_cluster_type) Lussule tipo PanSDWANC tipo_cluster_sdwan about.labels.key/value
Sito SD-WAN (sdwan_site) Sito PanSDWAN sito_sdwan about.labels.key/value
Nome gruppo utenti dinamico (dynusergroup_name) PanDynamicUsrgrp nomegruppo_dynuser about.labels.key/value
Indirizzo XFF (xff_ip) PanXFFIP entità.ip
Categoria dispositivo di origine (src_category) PanSrcDeviceCat categoria_src principal.labels.key/value
Profilo dispositivo di origine (src_profile) PanSrcDeviceProf src_profile principal.labels.key/value
Modello dispositivo di origine (src_model) Modello dispositivo PanSrc modello_src principal.labels.key/value
Fornitore del dispositivo di origine (src_vendor) Fornitore PanSrcDevice src_vendor principal.labels.key/value
Famiglia sistema operativo dispositivo di origine (src_osfamily) PanSrc OS principal.asset.platform_software.platform

principal.labels.key/value

Versione sistema operativo dispositivo di origine (src_osversion) PanOSSOS principal.asset.software.version
Nome host di origine (src_host) Nome host PanSrc nome host.entità
Indirizzo MAC di origine (src_mac) PanSrcMac entità.mac
Categoria dispositivo di destinazione (dst_category) PanDstDeviceCat categoria_dst target.labels.key/value
Profilo dispositivo di destinazione (dst_profile) PanDstDeviceProf profilo_dst target.labels.key/value
Modello dispositivo di destinazione (dst_model) Modello dispositivo PanDst modello_dst target.labels.key/value
Fornitore del dispositivo di destinazione (dst_vendor) Fornitore PanDstDevice dst_vendor target.labels.key/value
Famiglia sistema operativo dispositivo di destinazione (dst_osfamily) PanDstDeviceOS dst_osfamiglia target.labels.key/value
Versione sistema operativo dispositivo di destinazione (dst_osversion) PanDstDeviceOSv target.asset.software.versione
Nome host di destinazione (dst_host) Nome host PanDst nome host.target
Indirizzo MAC di destinazione (dst_mac) PanDstMac mac.target
ID contenitore (container_id) NomeContainer container_id [id_contenitore] about.labels.key/value
Spazio dei nomi POD (spazio dei nomi pod) Spazio dei nomi PanPOD pod_namespace about.labels.key/value
Nome del POD (nome_pod) Nome PanPOD nome_pod about.labels.key/value
Elenco dinamico esterno sorgente (src_edl) PanSrcEDL src_edl principal.labels.key/value
Elenco dinamico esterno di destinazione (dst_edl) PanDstEDL dst_edl target.labels.key/value
ID host (hostid) ID host PanGP ID host about.labels.key/value
Numero di serie dispositivo utente (numero di serie) PanEPSerial principal.asset.hardware.serial_number
Gruppo di indirizzi dinamici di origine (src_dag) PanSrcDAG principal.group.group_name_display_name
Gruppo di indirizzi dinamici di destinazione (dst_dag) PanDstDAG gruppo.target.nome_gruppo_display
Proprietario sessione (session_owner) Proprietario sessione PanHA proprietario_sessione about.labels.key/value
Timestamp ad alta risoluzione (high_res_timestamp) PanTimeHighRes metadata.collected_timestamp,

metadata.event_timestamp (se "Generate Time" è assente)

Un tipo di servizio a fette (nsdsai_sst) Tipo di servizio PanAS nsdsai_sst about.labels.key/value
Un elemento di differenziazione delle fette (nsdsai_sd) Diff.PANAS NSDSI_SD about.labels.key/value
Sottocategoria di applicazione (subcategory_of_app) sottocategoria_di_app about.labels.key/value
Categoria applicazione (category_of_app) categoria_di_app about.labels.key/value
Tecnologia delle applicazioni (technology_of_app) tecnologia_app about.labels.key/value
Rischio applicazione (rischio_app) security_result.severity
Caratteristica dell'applicazione (caratteristica_di_app) caratteristica_di_app about.labels.key/value
Container dell'applicazione (container_of_app) container_of_app about.labels.key/value
Applicazione SaaS (is_saas_of_app) _app_saas about.labels.key/value
Stato soggetto a applicazione (sanctioned_state_of_app) stato_sanzione_dell'app about.labels.key/value
Sottocategoria di applicazione (subcategory_of_app) sottocategoria_di_app1 about.labels.key/value

User-ID

La seguente tabella elenca i campi di log del tipo di log User-ID e i corrispondenti campi UDM.

Campo CSV Campo CEF Campo LEEF Chiave etichetta Chronicle Campo UDM
Ora di ricezione (Received_time o cef-formatted-Received_time) b/m devTime metadata.collected_timestamp,

metadata.event_timestamp (se "Generate Time" è assente)

Numero di serie (serial) ID esterno dispositivo Numero di serie broker.asset.hardware.serial_number
Tipo (type) type (intestazione) gatto metadata.product_event_type
Tipo di minaccia/contenuto (sottotipo) sottotipo (Intestazione) Sottotipo metadata.product_event_type
Tempo generato (time_generate o cef-formatted-time_generate) metadata.event_timestamp
Sistema virtuale (vsys) C3 Sistema virtuale vsys about.labels.key/value
IP di origine (ip) src src entità.ip
Utente (utente) duser Nomeusr target.user.user

target_administrative_domain

target.user.email_addresses

Nome origine dati (datasourcename) C4 NomeOrigine dati nomeorigine dati principal.labels.key/value
ID evento (eventid) ID evento Evento about.labels.key/value
Numero di ripetizioni (ripetuto) cnt Ripeti conteggio ripetizione about.labels.key/value
Soglia di timeout (timeout) C3 Soglia di timeout Timeout about.labels.key/value
Porta di origine (inizio) sst srcPort entità.port
Porta di destinazione (porta di arrivo) dpt Porta dst porta
Origine dati (origine dati) C5 Origine dati origine dati principal.labels.key/value
Tipo di origine dati (datasourcetype) C6 TipoOrigine dati tipoorigine dati principal.labels.key/value
Numero di sequenza (seqno) ID esterno sequenza metadata.product_log_id
Flag di azione (actionflag) Flag azione PanOS Bandiere flag azioni about.labels.key/value
Gerarchia gruppi di dispositivi (dg_hier_level_1) PanOSDGl1 GerarchiagruppogruppiL1 dg_hier_level_1 about.labels.key/value
Gerarchia gruppi di dispositivi (dg_hier_level_2) PanOSDGl2 GerarchiaDispositiviGruppoL2 dg_hier_level_2 about.labels.key/value
Gerarchia gruppi di dispositivi (dg_hier_level_3) PanOSDGl3 Gerarchia gruppogruppo L3 dg_hier_level_3 about.labels.key/value
Gerarchia gruppi di dispositivi (dg_hier_level_4) PanOSDGl4 GerarchiagruppogruppiL4 dg_hier_level_4 about.labels.key/value
Nome del sistema virtuale (vsys_name) Nome PanOSVsys Nome vSrc principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

Nome del dispositivo (device_name) dvchost DeviceName nome.intermediario.
ID sistema virtuale (vsys_id) C2 ID sistema virtuale principal.resource.resource_type=VIRTUAL_MACHINE e principal.resource.product_object_id
Tipo di fattore (tipo di fattore) cs1 TipoFattore tipodifatto about.labels.key/value
Tempo di completamento del fattore (tempo di completamento del fattore) end Tempo di completamento fattore tempo di completamento del fattore about.labels.key/value
Numero fattore (factorno) CN1 NumeroFattore fattoreno about.labels.key/value
Flag gruppi di utenti (ugflag) Bandierine PanOSUG flag about.labels.key/value
Utente per origine (userbysource) Sistema utente PanOS id.utente.user

entità.administrative_domain

principal.user.email_addresses

Timestamp ad alta risoluzione (timestamp ad alta risoluzione) PanOSTimegenerato ad alta risoluzione metadata.collected_timestamp,

metadata.event_timestamp (se "Generate Time" è assente)

Corrispondenza HIP

Nella tabella seguente sono elencati i campi di log del tipo di log delle corrispondenze HIP e i corrispondenti campi UDM.

Campo CSV Campo CEF Campo LEEF Chiave etichetta Chronicle Campo UDM
Ora di ricezione (Received_time o cef-formatted-Received_time) b/m devTime metadata.collected_timestamp,

metadata.event_timestamp (se "Generate Time" è assente)

Numero di serie (serial) ID esterno dispositivo Numero di serie broker.asset.hardware.serial_number
Tipo (type) type (intestazione) gatto metadata.product_event_type
Tipo di minaccia/contenuto (sottotipo) sottotipo (Intestazione) Sottotipo
Tempo generato (time_generate o cef-formatted-time_generate) inizio Ora di inizio metadata.event_timestamp
Utente di origine (utente src) susero Nomeusr id.utente.user
Sistema virtuale (vsys) C3 Sistema virtuale vsys about.labels.key/value
Nome macchina (nome macchina) Shost NomeIDhost nome host.entità
Sistema operativo (OS) C2 Sistema operativo principal.asset.platform_software.platform
Indirizzo di origine (src) src identsrc entità.ip
Trasporto pubblico (nome corrispondenza) gatto IP nome corrispondenza about.labels.key/value
Numero di ripetizioni (ripetuto) cnt Ripeti conteggio ripetizione about.labels.key/value
Tipo di IP ID classe evento dispositivo (intestazione) Tipo di IP Coinvolgimento
Numero di sequenza (seqno) ID esterno sequenza metadata.product_log_id
Flag di azione (actionflag) Flag azione PanOS Bandiere flag azioni about.labels.key/value
Gerarchia gruppi di dispositivi (dg_hier_level_1) PanOSDGl1 GerarchiagruppogruppiL1 dg_hier_level_1 about.labels.key/value
Gerarchia gruppi di dispositivi (dg_hier_level_2) PanOSDGl2 GerarchiaDispositiviGruppoL2 dg_hier_level_2 about.labels.key/value
Gerarchia gruppi di dispositivi (dg_hier_level_3) PanOSDGl3 Gerarchia gruppogruppo L3 dg_hier_level_3 about.labels.key/value
Gerarchia gruppi di dispositivi (dg_hier_level_4) PanOSDGl4 GerarchiagruppogruppiL4 dg_hier_level_4 about.labels.key/value
Nome del sistema virtuale (vsys_name) Nome PanOSVsys Nome vSrc principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

Nome del dispositivo (device_name) dvchost DeviceName nome.intermediario.
ID sistema virtuale (vsys_id) C2 ID sistema virtuale principal.resource.resource_type=VIRTUAL_MACHINE e principal.resource.product_object_id
Indirizzo di sistema IPv6 (srcipv6) C6A2 srcipv6 principal.asset.ip
ID host (hostid) ID host PanOS principal.asset.product_object_id
Numero di serie dispositivo utente (numero di serie) PanOSEndpointSerialNumber principal.asset.hardware.serial_number
Indirizzo MAC del dispositivo (Mac) PanOSEndpointMac entità.asset.mac
Timestamp ad alta risoluzione (high_res_timestamp) PanOSTimegenerato ad alta risoluzione metadata.collected_timestamp,

metadata.event_timestamp (se "Generate Time" è assente)

Tag IP

La seguente tabella riporta i campi di log del tipo di log dei tag IP e i corrispondenti campi UDM.

Campo CSV Campo CEF Campo LEEF Chiave etichetta Chronicle Campo UDM
Ora di ricezione (Received_time o cef-formatted-Received_time) b/m devTime metadata.collected_timestamp,

metadata.event_timestamp (se "Generate Time" è assente)

Numero di serie (serial) ID esterno dispositivo Numero di serie broker.asset.hardware.serial_number
Tipo (type) type (intestazione) gatto metadata.product_event_type
Tipo di minaccia/contenuto (sottotipo) sottotipo (Intestazione) Sottotipo metadata.product_event_type
Tempo generato (time_generate o cef-formatted-time_generate) Ora di generazione metadata.event_timestamp
Sistema virtuale (vsys) C3 Sistema virtuale vsys about.labels.key/value
IP di origine (ip) src src entità.ip
Nome tag (tag_name) NomeTag PanOS NomeTag nome_tag principal.labels.key/value
ID evento (event_id) ID evento PanOS ID evento event_id about.labels.key/value
Numero di ripetizioni (ripetuto) cnt Ripeti conteggio ripetizione about.labels.key/value
Timeout (timeout) Timeout PanOS Soglia di timeout Timeout about.labels.key/value
Nome origine dati (datasourcename) NomeFonte PanOSDataSource NomeOrigine dati nomeorigine dati principal.labels.key/value
Tipo di origine dati (datasource_type) TipoOrigine dati PanOS Origine dati tipo_origine_dati principal.labels.key/value
Sottotipo origine dati (datasource_subtype) Sottotipo PanOSDataSource TipoOrigine dati sottotipo_origine dati principal.labels.key/value
Numero di sequenza (seqno) ID esterno sequenza metadata.product_log_id
Flag di azione (actionflag) Flag azione PanOS Bandiere flag azioni about.labels.key/value
Gerarchia gruppi di dispositivi (dg_hier_level_1) PanOSDGl1 GerarchiagruppogruppiL1 dg_hier_level_1 about.labels.key/value
Gerarchia gruppi di dispositivi (dg_hier_level_2) PanOSDGl2 GerarchiaDispositiviGruppoL2 dg_hier_level_2 about.labels.key/value
Gerarchia gruppi di dispositivi (dg_hier_level_3) PanOSDGl3 Gerarchia gruppogruppo L3 dg_hier_level_3 about.labels.key/value
Gerarchia gruppi di dispositivi (dg_hier_level_4) PanOSDGl4 GerarchiagruppogruppiL4 dg_hier_level_4 about.labels.key/value
Nome del sistema virtuale (vsys_name) Nome Pansys Nome vSrc principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

Nome del dispositivo (device_name) dvchost DeviceName nome.intermediario.
ID sistema virtuale (vsys_id) C2 ID sistema virtuale principal.resource.resource_type=VIRTUAL_MACHINE e principal.resource.product_object_id
Timestamp ad alta risoluzione (timestamp ad alta risoluzione) PanOSTimegenerato ad alta risoluzione metadata.collected_timestamp,

metadata.event_timestamp (se "Generate Time" è assente)

Decriptazione

La tabella riportata di seguito elenca i campi di log del tipo di log di decriptazione e i campi UDM corrispondenti.

Campo CSV Campo CEF Campo LEEF Chiave etichetta Chronicle Campo UDM
Ora di ricezione (Received_time o cef-formatted-Received_time) b/m metadata.collected_timestamp,

metadata.event_timestamp (se "Generate Time" è assente)

Numero di serie (serial) PanOS Device broker.asset.hardware.serial_number
Tipo (type) type (intestazione) metadata.product_event_type
Tipo di minaccia/contenuto (sottotipo) sottotipo (Intestazione) metadata.product_event_type
Versione configurazione (config_ver) Versione PanOSConfig config_ver about.labels.key/value
Ora di generazione (time_generate) PanOSLogTimeStamp metadata.event_timestamp
Indirizzo di origine (src) src entità.ip
Indirizzo di destinazione (dst) dst target.ip
IP di origine NAT (natsrc) IndirizzoGoogle Traduttore principa.nat_ip
IP di destinazione NAT (natdst) DestinationTradottoIndirizzo target.nat_ip
Regola (regola) cs1 security_result.rule_name
Utente di origine (utente src) susero id.utente.user
Utente di destinazione (utente dst) duser target.user.user
Applicazione (app) app applicazione.target
Sistema virtuale (vsys) C3 vsys about.labels.key/value
Zona di origine (da) C4 da principal.labels.key/value
Zona di destinazione (a) C5 - target.labels.key/value
Interfaccia in entrata (inbound_if) dispositivoIn entrata interfaccia in_if principal.labels.key/value
Interfaccia in uscita (outbound_if) dispositivoIn uscitaInterface uscita_se target.labels.key/value
Azione log (set di log) C6 set di log about.labels.key/value
Tempo registrato (time_Received) Piano di gestione PanOSTimeReceived -
ID sessione (sessionid) CN1 network_session.id
Numero di ripetizioni (ripetuto) PanOSCountOfRipeti ripetizione about.labels.key/value
Porta di origine (sport) sst entità.port
Porta di destinazione (porta) dpt porta
Porta di origine NAT (natsport) Porta di origine tradotta entità.nat_porta
Porta di destinazione NAT (natdport) destinazioneTradottoPorted destinazione.nat_porta
Flag (flag) FlexString1 flags about.labels.key/value
Protocollo IP (protocollo) proto protocollo.ip_rete
Azione (azione) agire security_result.action_details

security_result.action

Tunnel (tunnel) PanOSTunnel tunnel about.labels.key/value
UUID VM di origine (src_uuid) PanOSSourceUUID principal.asset.asset_id
UUID VM di destinazione (dst_uuid) PanOSDestinationUUID target.asset.asset_id
UUID per regola (rule_uuid) Regole UOS PanOS security_result.rule_id
Fase da client a firewall (hs_stage_c2f) PanOSClientToFirewall hs_stage_c2f about.labels.key/value
Fase per il firewall sul server (hs_stage_f2s) PanOSFirewallToServer hs_stage_f2s about.labels.key/value
Versione TLS (tls_version) Versione PanOSTLS rete.tl.versione
Algoritmo Key Exchange (tls_keyxchg) PanOSTLSKeyExchange tls_keyxchg about.labels.key/value
Algoritmo di crittografia (tls_enc) Algoritmo PanOSTLSEncryption tls_enc about.labels.key/value
Algoritmo Hash (tls_auth) Autenticazione PanOSTLS tls_auth about.labels.key/value
Nome del criterio (policy_name) Nome Criterio PanOS policy_name [nome_criterio] about.labels.key/value
Curva ellittica (ec_curve) Curva PanOSEllitica rete.tls.curve
Indice di errore (err_index) Indice errore PanOS errore_indice about.labels.key/value
Stato radice (root_status) Stato principale del sistema operativo stato_principale about.labels.key/value
Stato catena (chain_status) Stato PanOSChain stato_catena about.labels.key/value
Tipo di proxy (proxy_type) Tipo proxy PanOS tipo_proxy about.labels.key/value
Numero di serie del certificato (cert_serial) PanOSCertificateSerial rete.tls.server.certificato.serial
Impronta digitale certificato (impronta) Impronta PanOS rete.tls.server.certificato.md5/sha1/sha256
Data di inizio del certificato (non prima) PanOSTimeNotPrima network.tls.server.certificate.not_before
Data di fine del certificato (non successiva) PanOSTimeNotDopo network.tls.server.certificate.not_after
Versione certificato (cert_ver) Versione PanOSCertificate rete.tls.server.certificato.versione
Dimensioni del certificato (cert_size) Dimensione Certificato PanOS dimensioni_certificato about.labels.key/value
Lunghezza del nome comune (cn_len) Lunghezzanome PanOSCommon cn_len about.labels.key/value
Lunghezza del nome comune dell'emittente (issuer_len) Lunghezza Nome Emittente PanOS broker_len about.labels.key/value
Lunghezza del nome comune (rootcn_len) Lunghezza PanOSRootCN rootcn_len about.labels.key/value
Lunghezza SNI (sni_len) Lunghezza PanOSSNI sni_len about.labels.key/value
Flag del certificato (cert_flags) Flag dei certificati PanOS flag_certificato about.labels.key/value
Nome comune del soggetto (cn) Nome PanOSCommon cn about.labels.key/value
Nome comune dell'emittente (issuer_cn) NomePANOSIssuerCommon network.tls.server.certificate.issuer
Nome comune radice (root_cn) NomeCommon PanOS root_cn about.labels.key/value
Server Name Indication

(SNI)

network.tls.client.server_name
Errore (errore) Messaggio di errore del sistema operativo errore about.labels.key/value
ID contenitore (container_id) ID ContainerOS container_id [id_contenitore] about.labels.key/value
Spazio dei nomi POD (spazio dei nomi pod) Spazio dei nomi dei container PanOS pod_namespace about.labels.key/value
Nome del POD (nome_pod) Nome ContainerOS nome_pod about.labels.key/value
Elenco dinamico esterno sorgente (src_edl) PanOSSourceEDL src_edl principal.labels.key/value
Elenco dinamico esterno di destinazione (dst_edl) Destinazione sistema operativo dst_edl target.labels.key/value
Gruppo di indirizzi dinamici di origine (src_dag) PanOSSourceDynamicAddressGroup principal.group.group_name_display_name
Gruppo di indirizzi dinamici di destinazione (dst_dag) PanOSDestinationDynamicAddressGroup gruppo.target.nome_gruppo_display
Timestamp ad alta risoluzione (high_res_timestamp) PanOSTimegenerato ad alta risoluzione metadata.collected_timestamp,

metadata.event_timestamp (se "Generate Time" è assente)

Categoria dispositivo di origine (src_category) PanOSSourceDeviceCategory categoria_src principal.labels.key/value
Profilo dispositivo di origine (src_profile) PanOSSourceDeviceProfile src_profile principal.labels.key/value
Modello dispositivo di origine (src_model) Modello dispositivo sorgente OS modello_src principal.labels.key/value
Fornitore del dispositivo di origine (src_vendor) Fornitore PanOSSourceDevice src_vendor principal.labels.key/value
Famiglia sistema operativo dispositivo di origine (src_osfamily) Famiglia OSOS PanoSource principal.asset.platform_software.platform

principal.labels.key/value

Versione sistema operativo dispositivo di origine (src_osversion) Versione PanOSSourceDeviceOS principal.asset.software.version
Nome host di origine (src_host) Host PanOSSourceDevice nome host.entità
Indirizzo MAC di origine (src_mac) Dispositivo sorgente PanOS entità.mac
Categoria dispositivo di destinazione (dst_category) Categoria dispositivo di destinazione del sistema operativo categoria_dst target.labels.key/value
Profilo dispositivo di destinazione (dst_profile) PanOSDestinationDeviceProfile profilo_dst target.labels.key/value
Modello dispositivo di destinazione (dst_model) Modello dispositivo di destinazione PanOS modello_dst target.labels.key/value
Fornitore del dispositivo di destinazione (dst_vendor) Fornitore PanOSDestinationDevice dst_vendor target.labels.key/value
Famiglia sistema operativo dispositivo di destinazione (dst_osfamily) Famiglia OSSistemaPOS dst_osfamiglia target.labels.key/value
Versione sistema operativo dispositivo di destinazione (dst_osversion) Versione OSOS PanOSDestination target.asset.software.versione
Nome host di destinazione (dst_host) Host PanOSDestinazione nome host.target
Indirizzo MAC di destinazione (dst_mac) PanOSDestinationDeviceMac mac.target
Numero di sequenza (seqno) PanOSLogTypeSeqNo metadata.product_log_id
Flag di azione (actionflag) Flag azione PanOS flag azioni about.labels.key/value
Gerarchia gruppi di dispositivi (dg_hier_level_1) GerarchiagruppogruppiL1 dg_hier_level_1 about.labels.key/value
Gerarchia gruppi di dispositivi (dg_hier_level_2) GerarchiaDispositiviGruppoL2 dg_hier_level_2 about.labels.key/value
Gerarchia gruppi di dispositivi (dg_hier_level_3) Gerarchia gruppogruppo L3 dg_hier_level_3 about.labels.key/value
Gerarchia gruppi di dispositivi (dg_hier_level_4) GerarchiagruppogruppiL4 dg_hier_level_4 about.labels.key/value
Nome del sistema virtuale (vsys_name) principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

Nome del dispositivo (device_name) nome.intermediario.
ID sistema virtuale (vsys_id) principal.resource.resource_type=VIRTUAL_MACHINE e principal.resource.product_object_id
Sottocategoria di applicazione (subcategory_of_app) sottocategoria_di_app about.labels.key/value
Categoria applicazione (category_of_app) categoria_di_app about.labels.key/value
Tecnologia delle applicazioni (technology_of_app) tecnologia_app about.labels.key/value
Rischio applicazione (rischio_app) security_result.severity
Caratteristica dell'applicazione (caratteristica_di_app) caratteristica_di_app about.labels.key/value
Container dell'applicazione (container_of_app) container_of_app about.labels.key/value
Applicazione SaaS (is_saas_of_app) _app_saas about.labels.key/value
Stato soggetto a applicazione (sanctioned_state_of_app) stato_sanzione_dell'app about.labels.key/value

Tunnel

Nella tabella seguente sono elencati i campi di log del tipo di log del tunnel e i relativi campi UDM.

Campo CSV Campo CEF Campo LEEF Chiave etichetta Chronicle Campo UDM
Ora di ricezione (Received_time o cef-formatted-Received_time) b/m devTime metadata.collected_timestamp,

metadata.event_timestamp (se "Generate Time" è assente)

Numero di serie (serial) ID esterno dispositivo Numero di serie broker.asset.hardware.serial_number
Tipo (type) type (intestazione) gatto metadata.product_event_type
Tipo di minaccia/contenuto (sottotipo) sottotipo (Intestazione) Sottotipo metadata.product_event_type
Tempo generato (time_generate o cef-formatted-time_generate) metadata.event_timestamp
Indirizzo di origine (src) src src entità.ip
Indirizzo di destinazione (dst) dst dst target.ip
IP di origine NAT (natsrc) IndirizzoGoogle Traduttore srcPostNAT entità.nat_ip
IP di destinazione NAT (natdst) DestinationTradottoIndirizzo dstPostNAT target.nat_ip
Nome regola (regola) cs1 NomeRegola security_result.rule_name
Utente di origine (utente src) susero Utente di origine / nome utente id.utente.user
Utente di destinazione (utente dst) duser Utente di destinazione target.user.user
Applicazione (app) app Applicazione network_application_protocol
Sistema virtuale (vsys) C3 Sistema virtuale vsys about.labels.key/value
Zona di origine (da) C4 Zona di origine da principal.labels.key/value
Zona di destinazione (a) C5 Zona di destinazione - target.labels.key/value
Interfaccia in entrata (inbound_if) dispositivoIn entrata interfaccia Interfaccia Ingress in_if principal.labels.key/value
Interfaccia in uscita (outbound_if) dispositivoIn uscitaInterface Interfaccia in uscita uscita_se target.labels.key/value
Azione log (set di log) C6 LogInoltroProfilo set di log about.labels.key/value
ID sessione (sessionid) CN1 ID sessione network_session.id
Numero di ripetizioni (ripetuto) cnt Ripeti conteggio ripetizione about.labels.key/value
Porta di origine (sport) sst srcPort entità.port
Porta di destinazione (porta) dpt Porta dst porta
Porta di origine NAT (natsport) Porta di origine tradotta srcPostNATPort entità.nat_porta
Porta di destinazione NAT (natdport) destinazioneTradottoPorted Porta dstPostNAT destinazione.nat_porta
Flag (flag) FlexString1 Flag flags about.labels.key/value
Protocollo IP (protocollo) proto proto protocollo.ip_rete
Azione (azione) agire azione security_result.action_details

security_result.action

Gravità (gravità) security_result.severity e security_result.severity_details
Numero di sequenza (seqno) ID esterno sequenza metadata.product_log_id
Flag di azione (actionflag) Flag azione PanOS Bandiere flag azioni about.labels.key/value
Località di origine (srcloc) principal.location.country_or_region
Località di destinazione (dstloc) target.location.country_or_region)
Gerarchia gruppi di dispositivi (dg_hier_level_1) PanOSDGl1 GerarchiagruppogruppiL1 dg_hier_level_1 about.labels.key/value
Gerarchia gruppi di dispositivi (dg_hier_level_2) PanOSDGl2 GerarchiaDispositiviGruppoL2 dg_hier_level_2 about.labels.key/value
Gerarchia gruppi di dispositivi (dg_hier_level_3) PanOSDGl3 Gerarchia gruppogruppo L3 dg_hier_level_3 about.labels.key/value
Gerarchia gruppi di dispositivi (dg_hier_level_4) PanOSDGl4 GerarchiagruppogruppiL4 dg_hier_level_4 about.labels.key/value
Nome del sistema virtuale (vsys_name) Nome PanOSVsys Nome vSrc principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

Nome del dispositivo (device_name) dvchost DeviceName nome.intermediario.
ID tunnel (tunnelid) ID PanOSTunnel ID tunnel tunnelid about.labels.key/value
Monitora tag (tag di monitoraggio) Tag PanOSMonitor MonitorTag monitortag about.labels.key/value
ID sessione principale (parent_session_id) ID sessione sessione principale del sistema operativo ID sessioneprincipale id_sessione_principale about.labels.key/value
Ora di inizio genitore (parent_start_time) Ora di inizio padre PanOS Ora di inizio genitore ora_principale_principale about.labels.key/value
Tipo di tunnel (tunnel) C2 Tipo di tunnel tunnel about.labels.key/value
Byte (byte) flexNumber1 totaleByte byte about.labels.key/value
Byte inviati (bytes_sent) in srcBytes rete.ricevi_byte
Byte ricevuti (bytes_Received) fuori dstBytes rete.sent_byte
Pacchetti (pacchetti) C2 totalPacket pacchetti about.labels.key/value
Pacchetti inviati (pkts_sent) PanOSPacketsSent srcPacket pkts_sent (inviati) about.labels.key/value
Pacchetti ricevuti (pkts_Received) PanOSPacketsReceived dstPacket pkts_Received about.labels.key/value
Incapsulamento massimo (max_encap) numeroflex2 Incapsulamento massimo limite_massimo about.labels.key/value
Protocollo sconosciuto (unknown_proto) cfp1 Protocollo sconosciuto protocollo_sconosciuto about.labels.key/value
Controllo rigoroso (strict_check) cfp. 2 ControlloRigoroso massimo_controllo about.labels.key/value
Frammento tunnel (tunnel_ frammento) Frammento PanOSTunnel Frammento a tunnel frammento_tunnel about.labels.key/value
Sessioni create (sessions_create) cfp. 3 Sessioni create sessioni_create about.labels.key/value
Sessioni chiuse (sessions_closed) cfp4 Sessioni chiuse sessioni_chiuse about.labels.key/value
Motivo fine sessione (session_end_reason) motivo Motivo sessione security_result.summary
Origine azione (action_source) gatto Origine azioni azione_origine about.labels.key/value
Ora di inizio (inizio) Ora di inizio inizio about.labels.key/value
Tempo trascorso (tempo trascorso) C3 Tempo trascorso trascorso about.labels.key/value
Regola di ispezione del tunnel (tunnel_insp_rule) RegolaRegola PanOSTunne security_result.rule_name = "Regola di ispezione tunnel: {/8}PanOSTunnelinspectionRule}"
IP utente remoto (remote_user_ip) IP utente PanOSRmt target.ip
ID utente remoto (remote_user_id) ID utente PanOSRmt id_utente_remoto target.labels.key/value
UUID regola per la sicurezza (rule_uuid) Regole UOS PanOS security_result.rule_id
ID PCAP (pcap_id) ID PanOSPcap id_pcap about.labels.key/value
Nome gruppo utenti dinamico (dynusergroup_name) PanDynamicUsrgrp principal.group.group_name_display_name
Elenco dinamico esterno sorgente (src_edl) PanOSSourceEDL src_edl principal.labels.key/value
Elenco dinamico esterno di destinazione (dst_edl) Destinazione sistema operativo dst_edl target.labels.key/value
Timestamp ad alta risoluzione (timestamp ad alta risoluzione) PanOSTimegenerato ad alta risoluzione metadata.collected_timestamp,

metadata.event_timestamp (se "Generate Time" è assente)

Un elemento di differenziazione delle fette (nssai_sd) nssai_sd about.labels.key/value
Un tipo di servizio a fette (nssai_sd) nssai_sd1 about.labels.key/value
ID sessione PDU (pdu_session_id) ID_sessione_pdu about.labels.key/value
Sottocategoria di applicazione (subcategory_of_app) sottocategoria_di_app about.labels.key/value
Categoria applicazione (category_of_app) categoria_di_app about.labels.key/value
Tecnologia delle applicazioni (technology_of_app) tecnologia_app about.labels.key/value
Rischio applicazione (rischio_app) rischio_di_app about.labels.key/value
Caratteristica dell'applicazione (caratteristica_di_app) caratteristica_di_app about.labels.key/value
Container dell'applicazione (container_of_app) container_of_app about.labels.key/value
Applicazione SaaS (is_saas_of_app) _app_saas about.labels.key/value
Stato soggetto a applicazione (sanctioned_state_of_app) stato_sanzione_dell'app about.labels.key/value

Autenticazione

La seguente tabella elenca i campi di log del tipo di log di autenticazione e i corrispondenti campi UDM.

Campo CSV Campo CEF Campo LEEF Chiave etichetta Chronicle Campo UDM
Ora di ricezione (Received_time o cef-formatted-Received_time) b/m devTime metadata.collected_timestamp,

metadata.event_timestamp (se "Generate Time" è assente)

Numero di serie (serial) ID esterno dispositivo Numero di serie broker.asset.hardware.serial_number
Tipo (type) type (intestazione) gatto metadata.product_event_type
Tipo di minaccia/contenuto (sottotipo) sottotipo (Intestazione) Sottotipo metadata.product_event_type
Tempo generato (time_generate o cef-formatted-time_generate) metadata.event_timestamp
Sistema virtuale (vsys) C3 Sistema virtuale vsys about.labels.key/value
IP di origine (ip) src src entità.ip
Utente (utente) duser Nomeusr target.user.user
Normalizza utente (normalize_user) C2 Normalizza utente target.user.user_display_name
Oggetto (oggetto) fname NomeOggetto oggetto about.labels.key/value
Criterio di autenticazione (authpolicy) C4 Criterio di autenticazione criterio di autenticazione about.labels.key/value
Numero di ripetizioni (ripetuto) cnt Ripeti conteggio ripetizione about.labels.key/value
ID autenticazione (authid) C2 ID autenticazione autentica about.labels.key/value
Fornitore (fornitore) FlexString2 Vendor vendor about.labels.key/value
Azione log (set di log) C6 LogInoltroProfilo set di log about.labels.key/value
Profilo server (profilo server) cs1 Profilo server profilo server about.labels.key/value
Descrizione (desc.) PanOSDesc InformazioniAuthAuth security_result.description
Tipo di client (tipo di client) C5 TipoCliente tipodiclient about.labels.key/value
Tipo di evento (evento) messaggio messaggio extensions.auth.auth_details
Numero fattore (factorno) CN1 NumeroFattore fattoreno about.labels.key/value
Numero di sequenza (seqno) ID esterno sequenza metadata.product_log_id
Flag di azione (actionflag) Flag azione PanOS Bandiere flag azioni about.labels.key/value
Gerarchia gruppi di dispositivi (dg_hier_level_1) PanOSDGl1 GerarchiagruppogruppiL1 dg_hier_level_1 about.labels.key/value
Gerarchia gruppi di dispositivi (dg_hier_level_2) PanOSDGl2 GerarchiaDispositiviGruppoL2 dg_hier_level_2 about.labels.key/value
Gerarchia gruppi di dispositivi (dg_hier_level_3) PanOSDGl3 Gerarchia gruppogruppo L3 dg_hier_level_3 about.labels.key/value
Gerarchia gruppi di dispositivi (dg_hier_level_4) PanOSDGl4 GerarchiagruppogruppiL4 dg_hier_level_4 about.labels.key/value
Nome del sistema virtuale (vsys_name) Nome PanOSVsys Nome vSrc principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

Nome del dispositivo (device_name) dvchost DeviceName nome.intermediario.
ID sistema virtuale (vsys_id) principal.resource.resource_type=VIRTUAL_MACHINE e principal.resource.product_object_id
Protocollo di autenticazione (authproto) autenticazione about.labels.key/value
UUID per regola (rule_uuid) Regole UOS PanOS security_result.rule_id
Timestamp ad alta risoluzione (_timestamp ad alta risoluzione) PanOSTimegenerato ad alta risoluzione metadata.collected_timestamp,

metadata.event_timestamp (se "Generate Time" è assente)

Categoria dispositivo di origine (src_category) PanOSSourceDeviceCategory categoria_src principal.labels.key/value
Profilo dispositivo di origine (src_profile) PanOSSourceDeviceProfile src_profile principal.labels.key/value
Modello dispositivo di origine (src_model) Modello dispositivo sorgente OS modello_src principal.labels.key/value
Fornitore del dispositivo di origine (src_vendor) Fornitore PanOSSourceDevice src_vendor principal.labels.key/value
Famiglia sistema operativo dispositivo di origine (src_osfamily) Famiglia OSOS PanoSource principal.asset.platform_software.platform

principal.labels.key/value

Versione sistema operativo dispositivo di origine (src_osversion) Versione PanOSSourceDeviceOS principal.asset.software.version
Nome host di origine (src_host) Nome host PanOSSource nome host.entità
Indirizzo MAC di origine (src_mac) PanOSSourceMac entità.asset.mac
Regione (regione) PanOSTrafficOriginRegion principal.location.country_or_region
User agent (user_agent) Agente utente PanOSHTTP rete.http://user_agent
ID sessione(sessionid) ID sessione sessione PanOS network_session.id

URL

Nella tabella seguente sono elencati i campi di log del tipo di log URL e i campi UDM corrispondenti.

Campo CSV Campo CEF Campo LEEF Chiave etichetta Chronicle Campo UDM
Ora di ricezione (cef-formatted-Received_time) b/m devTime metadata.collected_timestamp,

metadata.event_timestamp (se "Generate Time" è assente)

Numero di serie (serial) ID esterno dispositivo Numero di serie broker.asset.hardware.serial_number
Tipo (type) type (intestazione) gatto metadata.product_event_type
Tipo di minaccia/contenuto (sottotipo) sottotipo (Intestazione) Sottotipo metadata.product_event_type
Data/ora generazione metadata.event_timestamp
Indirizzo di origine (src) src src entità.ip
Indirizzo di destinazione (dst) dst dst target.ip
IP di origine NAT (natsrc) IndirizzoGoogle Traduttore srcPostNAT entità.nat_ip
IP di destinazione NAT (natdst) DestinationTradottoIndirizzo dstPostNAT target.nat_ip
Regola (regola) cs1 NomeRegola security_result.rule_name
Utente di origine (utente src) susero Utente di origine id.utente.user
Utente di destinazione (utente dst) duser Utente di destinazione target.user.user
Applicazione (app) app Applicazione network_application_protocol
Sistema virtuale (vsys) C3 Sistema virtuale vsys about.labels.key/value
Zona di origine (da) C4 Zona di origine da principal.labels.key/value
Zona di destinazione (a) C5 Zona di destinazione - target.labels.key/value
Interfaccia in entrata (inbound_if) dispositivoIn entrata interfaccia Interfaccia Ingress in_if principal.labels.key/value
Interfaccia in uscita (outbound_if) dispositivoIn uscitaInterface Interfaccia in uscita uscita_se target.labels.key/value
Azione log (set di log) C6 LogInoltroProfilo set di log about.labels.key/value
Tempo registrato tempo_registrato about.labels.key/value
ID sessione (sessionid) CN1 ID sessione network_session.id
Numero di ripetizioni (ripetuto) cnt Ripeti conteggio ripetizione about.labels.key/value
Porta di origine (sport) sst srcPort entità.port
Porta di destinazione (porta) dpt Porta dst porta
Porta di origine NAT (natsport) Porta di origine tradotta srcPostNATPort entità.nat_porta
Porta di destinazione NAT (natdport) destinazioneTradottoPorted Porta dstPostNAT destinazione.nat_porta
Flag (flag) FlexString1 Flag flags about.labels.key/value
Protocollo IP (protocollo) proto proto protocollo.ip_rete
Azione (azione) agire azione security_result.action_details

security_result.action

URL/Nome file (vari) Vari target.file.full_path

url target

Nome minaccia/contenuti (minaccia) gatto ID minaccia security_result.threat_id
Categoria (categoria) C2 Categoria URL categoria about.labels.key/value
Gravità (gravità) numero di gravità (intestazione) Gravità security_result.severity

security_result.severity_details

Direzione (direzione) FlexString2 Direzione rete.direzione
Numero di sequenza (seqno) ID esterno sequenza metadata.product_log_id
Flag di azione (actionflag) Flag azione PanOS Bandiere flag azioni about.labels.key/value
Paese di origine (srcloc) Località di origine principal.location.country_or_region
Paese di destinazione (dstloc) Località di destinazione target.location.country_or_region)
contenttype (contenttype) richiestaContext ContentType tipo di contenuti about.labels.key/value
pcap_id (pcap_id [id_pcap]) ID file ID_PAP id_pcap about.labels.key/value
filedigest (filedigest) Digest file about.file.sha1/md5/sha256
cloud (cloud) Google Cloud cloud about.labels.key/value
url_idx (url_idx) Indice URL url_idx about.labels.key/value
user_agent (user_agent) applicazioneClientClient UserAgent rete.http://user_agent
filetype (tipo di file) about.file.mime_type
xff (xff) PanOSXInoltra identSrc xff about.labels.key/value
referer (referrer) PanOSReferer Referrer rete.http://referral_url
mittente (mittente) rete.email.da
soggetto (oggetto) Oggetto rete.email.oggetto
destinatario (destinatario) network.email.to
reportid (reportid) ID report about.labels.key/value
Gerarchia DG livello 1 (dg_hier_level_1) PanOSDGl1 GerarchiagruppogruppiL1 dg_hier_level_1 about.labels.key/value
Gerarchia DG livello 2 (dg_hier_level_2) PanOSDGl2 GerarchiaDispositiviGruppoL2 dg_hier_level_2 about.labels.key/value
Gerarchia DG livello 3 (dg_hier_level_3) PanOSDGl3 Gerarchia gruppogruppo L3 dg_hier_level_3 about.labels.key/value
Gerarchia DG livello 4 (dg_hier_level_4) PanOSDGl4 GerarchiagruppogruppiL4 dg_hier_level_4 about.labels.key/value
Nome del sistema virtuale (vsys_name) Nome PanOSVsys Nome vSrc principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

Nome del dispositivo (device_name) dvchost DeviceName nome.intermediario.
file_url (file_url) about.url
UUID VM di origine (src_uuid) SARCUUID principal.asset.asset_id
UUID VM di destinazione (dst_uuid) DSTUUID target.asset.asset_id
http_method (http_metodo) requestMethod Metodo richiesta metodo.http://rete
ID tunnel/IMSI (tunnelid) ID PanOSTunnel ID tunnel tunnelid about.labels.key/value
Monitora tag/IMEI (monitortag) Tag PanOSMonitor MonitorTag monitortag about.labels.key/value
ID sessione principale (parent_session_id) ID sessione sessione principale del sistema operativo ID sessioneprincipale id_sessione_principale about.labels.key/value
Ora di inizio sessione genitore (parent_start_time) Ora di inizio padre PanOS Ora di inizio genitore ora_principale_principale about.labels.key/value
Tunnel (tunnel) Tipo PantTunnel Tipo di tunnel tunnel about.labels.key/value
thr_category (thr_category) Categoria PanOSThreat Categoriaminaccia thr_categoria security_result.detection_fields.key/valore
contentver (contentver) Contenuto contenuti PanOS Contenuto Veri Contentver about.labels.key/value
sig_flags (sig_flags) sig_flag about.labels.key/value
ID associazione SCTP (assoc_id) ID PanOSAssocID assoc_id about.labels.key/value
ID protocollo payload (ppid) PanOSPPID ppi about.labels.key/value
http_headers (http_headers) Intestazione PanOSHTTP http_headers about.labels.key/value
Elenco categorie URL (url_category_list) Elenco CatOSURL url_category_list about.labels.key/value
UUID per regola (rule_uuid) Regole UOS PanOS regola_uuid about.labels.key/value
Connessione HTTP/2 (connessione http2) PanOSHTTP2Con http2_connessione about.labels.key/value
dynusergroup_name (nomegruppo_dynuser) PanDynamicUsrgrp nomegruppo_dynuser about.labels.key/value
Indirizzo XFF (xff_ip) PanXFFIP entità.ip
Categoria dispositivo di origine (src_category) PanSrcDeviceCat categoria_src principal.labels.key/value
Profilo dispositivo di origine (src_profile) PanSrcDeviceProf src_profile principal.labels.key/value
Modello dispositivo di origine (src_model) Modello dispositivo PanSrc modello_src principal.labels.key/value
Fornitore del dispositivo di origine (src_vendor) Fornitore PanSrcDevice src_vendor principal.labels.key/value
Famiglia sistema operativo dispositivo di origine (src_osfamily) PanSrc OS principal.asset.platform_software.platform

principal.labels.key/value

Versione sistema operativo dispositivo di origine (src_osversion) PanOSSOS principal.asset.software.version
Nome host di origine (src_host) Nome host PanSrc host_src principal.labels.key/value
Indirizzo MAC di origine (src_mac) PanSrcMac entità.mac
Categoria dispositivo di destinazione (dst_category) PanDstDeviceCat categoria_dst target.labels.key/value
Profilo dispositivo di destinazione (dst_profile) PanDstDeviceProf profilo_dst target.labels.key/value
Modello dispositivo di destinazione (dst_model) Modello dispositivo PanDst modello_dst target.labels.key/value
Fornitore del dispositivo di destinazione (dst_vendor) Fornitore PanDstDevice dst_vendor target.labels.key/value
Famiglia sistema operativo dispositivo di destinazione (dst_osfamily) PanDstDeviceOS target.asset.platform_software.platform

target.labels.key/value

Versione sistema operativo dispositivo di destinazione (dst_osversion) PanDstDeviceOSv target.asset.software.versione
Nome host di destinazione (dst_host) Spazio dei nomi PanPOD nome host.target
Indirizzo MAC di destinazione (dst_mac) PanDstMac mac.target
ID contenitore (container_id) NomeContainer container_id [id_contenitore] about.labels.key/value
Spazio dei nomi POD (spazio dei nomi pod) Spazio dei nomi PanPOD pod_namespace about.labels.key/value
Nome del POD (nome_pod) Nome PanPOD nome_pod about.labels.key/value
Elenco dinamico esterno sorgente (src_edl) PanSrcEDL src_edl principal.labels.key/value
Elenco dinamico esterno di destinazione (dst_edl) PanDstEDL dst_edl target.labels.key/value
ID host (hostid) ID host PanGP ID host about.labels.key/value
Numero di serie (numero di serie) PanEPSerial principal.asset.hardware.serial_number
dominio_edl (dominio_edl) PanDomainEDL dominio_edl about.labels.key/value
Gruppo di indirizzi dinamici di origine (src_dag) PanSrcDAG principal.group.group_name_display_name
Gruppo di indirizzi dinamici di destinazione (dst_dag) PanDstDAG gruppo.target.nome_gruppo_display
hash_parziale (hash di parte) Hash parziale parziale hash_parziale about.labels.key/value
Timestamp ad alta risoluzione (high_res_timestamp) PanTimeHighRes metadata.collected_timestamp,

metadata.event_timestamp (se "Generate Time" è assente)

Motivo (motivo) Motivo filtro motivo motivo about.labels.key/value
giustificazione (giustificazione) Giustificazione giustificazione about.labels.key/value
nssai_sst (nssai_sst) Tipo di servizio PanAS nssai_sst about.labels.key/value
Sottocategoria di app (sottocategoria_app) sottocategoria_di_app about.labels.key/value
Categoria dell'app (category_of_app) categoria_di_app about.labels.key/value
Tecnologia dell'app (technology_of_app) tecnologia_app about.labels.key/value
Rischio dell'app (risk_of_app) rischio_di_app about.labels.key/value
Caratteristica dell'app (caratteristica_dell'app) caratteristica_di_app about.labels.key/value
Contenitore dell'app (container_of_app) container_of_app about.labels.key/value
App con tunnel (tunneled_app) tunneled_app about.labels.key/value
SaaS dell'app (is_saas_of_app) _app_saas about.labels.key/value
Stato dell'app soggetto a sanzioni (sanctioned_state_of_app) stato_sanzione_dell'app about.labels.key/value

Dati

La seguente tabella elenca i campi di log del tipo di log di dati e i campi UDM corrispondenti.

Campo CSV Campo CEF Campo LEEF Chiave etichetta Chronicle Campo UDM
Ora di ricezione (cef-formatted-Received_time) b/m devTime metadata.collected_timestamp,

metadata.event_timestamp (se "Generate Time" è assente)

Numero di serie (serial) ID esterno dispositivo Numero di serie broker.asset.hardware.serial_number
Tipo (type) type (intestazione) gatto metadata.product_event_type
Tipo di minaccia/contenuto (sottotipo) sottotipo (Intestazione) Sottotipo metadata.product_event_type
Data/ora generazione metadata.event_timestamp
Indirizzo di origine (src) src src entità.ip
Indirizzo di destinazione (dst) dst dst target.ip
IP di origine NAT (natsrc) IndirizzoGoogle Traduttore srcPostNAT entità.nat_ip
IP di destinazione NAT (natdst) DestinationTradottoIndirizzo dstPostNAT target.nat_ip
Regola (regola) cs1 NomeRegola security_result.rule_name
Utente di origine (utente src) susero Utente di origine id.utente.user
Utente di destinazione (utente dst) duser Utente di destinazione target.user.user
Applicazione (app) app Applicazione network_application_protocol
Sistema virtuale (vsys) C3 Sistema virtuale vsys about.labels.key/value
Zona di origine (da) C4 Zona di origine da principal.labels.key/value
Zona di destinazione (a) C5 Zona di destinazione - target.labels.key/value
Interfaccia in entrata (inbound_if) dispositivoIn entrata interfaccia Interfaccia Ingress in_if principal.labels.key/value
Interfaccia in uscita (outbound_if) dispositivoIn uscitaInterface Interfaccia in uscita uscita_se target.labels.key/value
Azione log (set di log) C6 LogInoltroProfilo set di log about.labels.key/value
Tempo registrato tempo_registrato about.labels.key/value
ID sessione (sessionid) CN1 ID sessione network_session.id
Numero di ripetizioni (ripetuto) cnt Ripeti conteggio ripetizione about.labels.key/value
Porta di origine (sport) sst srcPort entità.port
Porta di destinazione (porta) dpt Porta dst porta
Porta di origine NAT (natsport) Porta di origine tradotta srcPostNATPort entità.nat_porta
Porta di destinazione NAT (natdport) destinazioneTradottoPorted Porta dstPostNAT destinazione.nat_porta
Flag (flag) FlexString1 Flag flags about.labels.key/value
Protocollo IP (protocollo) proto proto protocollo.ip_rete
Azione (azione) agire azione security_result.action_details

security_result.action

URL/Nome file (vari) Vari target.file.full_path

url target

Nome minaccia/contenuti (minaccia) gatto ID minaccia security_result.threat_id
Categoria (categoria) C2 Categoria URL categoria about.labels.key/value
Gravità (gravità) numero di gravità (intestazione) Gravità security_result.severity

security_result.severity_details

Direzione (direzione) FlexString2 Direzione rete.direzione
Numero di sequenza (seqno) ID esterno sequenza metadata.product_log_id
Flag di azione (actionflag) Flag azione PanOS Bandiere flag azioni about.labels.key/value
Paese di origine (srcloc) Località di origine principal.location.country_or_region
Paese di destinazione (dstloc) Località di destinazione target.location.country_or_region)
contenttype (contenttype) ContentType tipo di contenuti about.labels.key/value
pcap_id (pcap_id [id_pcap]) ID file ID_PAP id_pcap about.labels.key/value
filedigest (filedigest) Digest file about.file.sha1/md5/sha256
cloud (cloud) Google Cloud cloud about.labels.key/value
url_idx (url_idx) Indice URL url_idx about.labels.key/value
user_agent (user_agent) rete.http://user_agent
filetype (tipo di file) about.file.mime_type
xff (xff) xff about.labels.key/value
referer (referrer) rete.http://referral_url
mittente (mittente) rete.email.da
soggetto (oggetto) Oggetto rete.email.oggetto
destinatario (destinatario) network.email.to
reportid (reportid) ID report about.labels.key/value
Gerarchia DG livello 1 (dg_hier_level_1) PanOSDGl1 GerarchiagruppogruppiL1 dg_hier_level_1 about.labels.key/value
Gerarchia DG livello 2 (dg_hier_level_2) PanOSDGl2 GerarchiaDispositiviGruppoL2 dg_hier_level_2 about.labels.key/value
Gerarchia DG livello 3 (dg_hier_level_3) PanOSDGl3 Gerarchia gruppogruppo L3 dg_hier_level_3 about.labels.key/value
Gerarchia DG livello 4 (dg_hier_level_4) PanOSDGl4 GerarchiagruppogruppiL4 dg_hier_level_4 about.labels.key/value
Nome del sistema virtuale (vsys_name) Nome PanOSVsys Nome vSrc principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

Nome del dispositivo (device_name) dvchost DeviceName nome.intermediario.
file_url (file_url) about.url
UUID VM di origine (src_uuid) SARCUUID principal.asset.asset_id
UUID VM di destinazione (dst_uuid) DSTUUID target.asset.asset_id
http_method (http_metodo) Metodo richiesta metodo.http://rete
ID tunnel/IMSI (tunnelid) ID PanOSTunnel ID tunnel tunnelid about.labels.key/value
Monitora tag/IMEI (monitortag) Tag PanOSMonitor MonitorTag monitortag about.labels.key/value
ID sessione principale (parent_session_id) ID sessione sessione principale del sistema operativo ID sessioneprincipale id_sessione_principale about.labels.key/value
Ora di inizio sessione genitore (parent_start_time) Ora di inizio padre PanOS Ora di inizio genitore ora_principale_principale about.labels.key/value
Tunnel (tunnel) Tipo PantTunnel Tipo di tunnel tunnel about.labels.key/value
thr_category (thr_category) Categoria PanOSThreat Categoriaminaccia thr_categoria security_result.detection_fields.key/valore
contentver (contentver) Contenuto contenuti PanOS Contenuto Veri Contentver about.labels.key/value
sig_flags (sig_flags) sig_flag about.labels.key/value
ID associazione SCTP (assoc_id) ID PanOSAssocID assoc_id about.labels.key/value
ID protocollo payload (ppid) PanOSPPID ppi about.labels.key/value
http_headers (http_headers) Intestazione PanOSHTTP http_headers about.labels.key/value
Elenco categorie URL (url_category_list) url_category_list about.labels.key/value
UUID per regola (rule_uuid) Regole UOS PanOS regola_uuid about.labels.key/value
Connessione HTTP/2 (connessione http2) http2_connessione about.labels.key/value
dynusergroup_name (nomegruppo_dynuser) nomegruppo_dynuser principal.labels.key/value
Indirizzo XFF (xff_ip) entità.ip
Categoria dispositivo di origine (src_category) categoria_src principal.labels.key/value
Profilo dispositivo di origine (src_profile) src_profile principal.labels.key/value
Modello dispositivo di origine (src_model) modello_src principal.labels.key/value
Fornitore del dispositivo di origine (src_vendor) src_vendor principal.labels.key/value
Famiglia sistema operativo dispositivo di origine (src_osfamily) principal.asset.platform_software.platform

principal.labels.key/value

Versione sistema operativo dispositivo di origine (src_osversion) principal.asset.software.version
Nome host di origine (src_host) host_src principal.labels.key/value
Indirizzo MAC di origine (src_mac) entità.mac
Categoria dispositivo di destinazione (dst_category) categoria_dst target.labels.key/value
Profilo dispositivo di destinazione (dst_profile) profilo_dst target.labels.key/value
Modello dispositivo di destinazione (dst_model) modello_dst target.labels.key/value
Fornitore del dispositivo di destinazione (dst_vendor) dst_vendor target.labels.key/value
Famiglia sistema operativo dispositivo di destinazione (dst_osfamily) target.asset.platform_software.platform

target.labels.key/value

Versione sistema operativo dispositivo di destinazione (dst_osversion) target.asset.software.versione
Nome host di destinazione (dst_host) nome host.target
Indirizzo MAC di destinazione (dst_mac) mac.target
ID contenitore (container_id) container_id [id_contenitore] about.labels.key/value
Spazio dei nomi POD (spazio dei nomi pod) pod_namespace about.labels.key/value
Nome del POD (nome_pod) nome_pod about.labels.key/value
Elenco dinamico esterno sorgente (src_edl) src_edl principal.labels.key/value
Elenco dinamico esterno di destinazione (dst_edl) dst_edl target.labels.key/value
ID host (hostid) ID host about.labels.key/value
Numero di serie (numero di serie) principal.asset.hardware.serial_number
dominio_edl (dominio_edl) dominio_edl about.labels.key/value
Gruppo di indirizzi dinamici di origine (src_dag) principal.group.group_name_display_name
Gruppo di indirizzi dinamici di destinazione (dst_dag) gruppo.target.nome_gruppo_display
hash_parziale (hash di parte) hash_parziale about.labels.key/value
Timestamp ad alta risoluzione (high_res_timestamp) metadata.collected_timestamp,

metadata.event_timestamp (se "Generate Time" è assente)

Motivo (motivo) motivo about.labels.key/value
giustificazione (giustificazione) giustificazione about.labels.key/value
nssai_sst (nssai_sst) nssai_sst about.labels.key/value
Sottocategoria di app (sottocategoria_app) sottocategoria_di_app about.labels.key/value
Categoria dell'app (category_of_app) categoria_di_app about.labels.key/value
Tecnologia dell'app (technology_of_app) tecnologia_app about.labels.key/value
Rischio dell'app (risk_of_app) rischio_di_app about.labels.key/value
Caratteristica dell'app (caratteristica_dell'app) caratteristica_di_app about.labels.key/value
Contenitore dell'app (container_of_app) container_of_app about.labels.key/value
App con tunnel (tunneled_app) tunneled_app about.labels.key/value
SaaS dell'app (is_saas_of_app) _app_saas about.labels.key/value
Stato dell'app soggetto a sanzioni (sanctioned_state_of_app) stato_sanzione_dell'app about.labels.key/value

GlobalProtect

La seguente tabella elenca i campi di log del tipo di log GlobalProtect e i corrispondenti campi UDM.

Campo CSV Campo CEF Campo LEEF Chiave etichetta Chronicle Campo UDM
Ora di ricezione (ricezione_tempo) b/m ricevuta_ metadata.event_timestamp
Numero di serie (serial) PanOS Device intermediari_asset_numero_serial_numero broker.asset.hardware.serial_number
Tipo (type) type (intestazione) metadata.product_event_type
Tipo di minaccia/contenuto (sottotipo) sottotipo (Intestazione) Sottotipo metadata.product_event_type
Ora di generazione (time_generate) PanOSLogTimeStamp timestamp_generato metadata.event_timestamp
Sistema virtuale (vsys) Sistema virtuale PanOS vsys about.labels.key/value
ID evento (eventid) ID evento PanOS event_id about.labels.key/value
Fase (fase) PanOSStage fase about.labels.key/value
Metodo di autenticazione (auth_method) Metodo PanOSAuth extension_auth_auth_details extensions.auth.auth_details
Tipo di tunnel (tunnel_type) Tipo PantTunnel tunnel about.labels.key/value
Utente di origine (utente src) NomeUtente PanOSSource utente_src principal.user.email_address

id.utente.user

entità.administrative_domain

Regione di origine (srcregion) Regione PanOSSource regione_src principal.location.country_or_region
Nome macchina (nome macchina) NomeDispositivo PanOSEndpoint machine_name nome host.entità
IP pubblico (public_ip) PanOSPublicIPv4 entità.nat_ip
IPv6 pubblico (public_ipv6) PanOSPublicIPv6 entità.nat_ip
IP privato (private_ip) PanOSPrivatoIPv4 entità.ip
IPv6 privato (private_ipv6) PanOSPrivateIPv6 entità.ip
ID host (hostid) ID host PanOS ID host principal.asset.asset_id
Numero di serie (numero di serie) PanOS Device principal.asset.hardware.serial_number
Versione client (client_ver) PanOSGlobalProtectClientVersion client_ver about.labels.key/value
Sistema operativo client (client_os) Tipo OSOS PanOS principal.asset.platform_software.platform(enum)
Versione sistema operativo client (client_os_ver) Versione PanOSEndpointOS principal.asset.platform_software.platform_version
Numero di ripetizioni (ripetuto) PanOSCountOfRipeti ripetizione about.labels.key/value
Motivo (motivo) Motivo della quarantena PanOS security_result.summary
Errore (errore) Errore PanOSConnection errore security_result.description
Descrizione (opaca) Descrizione PanOS security_result.description
Stato (stato) Stato evento PanOS stato about.labels.key/value
Località (località) Posizione PanOSGPGateway target.location.country_or_region)
Durata accesso (login_duration) Durata accesso PanOS rete.sessione_durata
Metodo Connect (connect_method) Metodo PanOSConnection metodo_connessione about.labels.key/value
Codice di errore (error_code) ID PanOSConnection codice_errore about.labels.key/value
Portale (portale) PanOSPortal Portale about.labels.key/value
Numero di sequenza (seqno) N. sequenza PanOS metadata.product_log_id
Flag di azione (actionflag) Flag azione PanOS flag azioni about.labels.key/value
Timestamp ad alta risoluzione (high_res_timestamp) AnOSTimeGeneratedAlta risoluzione metadata.collected_timestamp,

metadata.event_timestamp (se "Generate Time" è assente)

Metodo di selezione del gateway (selection_type) Tipo Selezione PanOSGateway selezione_tipo about.labels.key/value
Tempo di risposta SSL (response_time) Tempo di risposta PanOSSSL tempo_di_risposta about.labels.key/value
Priorità gateway (priorità) Priorità PanOSGateway priority about.labels.key/value
Gateway tentati (tentempted_gateway) Gateway PanOSTentati tentare_gateway about.labels.key/value
Nome gateway (gateway) Gateway PanOSTentati gateway about.labels.key/value
Gerarchia gruppi di dispositivi (dg_hier_level_1) dg_hier_level_1 about.labels.key/value
Gerarchia gruppi di dispositivi (dg_hier_level_2) dg_hier_level_2 about.labels.key/value
Gerarchia gruppi di dispositivi (dg_hier_level_3) dg_hier_level_3 about.labels.key/value
Gerarchia gruppi di dispositivi (dg_hier_level_4) dg_hier_level_4 about.labels.key/value
Nome del sistema virtuale (vsys_name) principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

Nome del dispositivo (device_name) nome host.target
ID sistema virtuale (vsys_id) principal.resource.resource_type=VIRTUAL_MACHINE e principal.resource.product_object_id

Correlazione

La tabella seguente elenca i campi di log del tipo di log Correlazione e i campi UDM corrispondenti.

Campo CSV Campo CEF Campo LEEF Chiave etichetta Chronicle Campo UDM
Tempo generato (time_generate o cef-formatted-time_generate) Ora di inizio timestamp_generato metadata.event_timestamp
Indirizzo di origine (src) src entità.ip
Utente di origine (utente src) Utente di origine / nome utente id.utente.user
Sistema virtuale (vsys) Sistema virtuale vsys about.labels.key/value
Categoria (categoria) security_result.category_details
Gravità (gravità) Gravità security_result.severity e security_result.severity_details
Gerarchia gruppi di dispositivi 1 livello GerarchiagruppogruppiL1 about.labels.key/value
Gerarchia gruppi di dispositivi 2 GerarchiaDispositiviGruppoL2 about.labels.key/value
Gerarchia gruppi di dispositivi 3 Gerarchia gruppogruppo L3 about.labels.key/value
Gerarchia gruppi di dispositivi livello 4 GerarchiagruppogruppiL4 about.labels.key/value
Nome del sistema virtuale (vsys_name) Nome vSrc principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

Nome del dispositivo (device_name) DeviceName nome.intermediario.
ID sistema virtuale (vsys_id) ID sistema virtuale principal.resource.resource_type=VIRTUAL_MACHINE e principal.resource.product_object_id
Nome oggetto (nome oggetto) NomeOggetto target.resource.name
ID oggetto (object_id) ID oggetto target.resource.product_object_id

Riferimento per la mappatura dei campi: tipi di log per il tipo di evento UDM

Nella tabella seguente sono elencati i tipi di log del firewall di Palo Alto Networks e i tipi di eventi UDM corrispondenti.

Tipo di log Tipo di evento UDM
Traffico CONNESSIONE_RETE
Minaccia CONNESSIONE_RETE
Filtro degli URL CONNESSIONE_RETE
Fire Fire CONNESSIONE_RETE

I log di invio di WildFire sono un sottotipo del tipo di log Threat e utilizzano lo stesso formato syslog.

Filtro dei dati CONNESSIONE_RETE
Tunnel CONNESSIONE_RETE
Configurazione SETTING_MODIFICATION/SETTING_CREATION/SETTING_DELETION/SETTING_UNCATEGORIZED

Il valore del campo "Command (cmd)" determina la mappatura del tipo di evento UDM. Se il valore del campo cmd è add o clone, l'SETTING_CREATION è impostato.

Se il valore del campo cmd è eliminato, SETTING_DELETION è impostato.

Se il valore del campo cmd è modificato, spostato, rinominato, impostato o commit, SETTING_MODIFICATION è impostato.

Se il valore del campo cmd non contiene alcun valore, viene impostato SETTING_UNCATEGORIZED.

Sistema

Se il valore del sottotipo è dhcp, viene impostato NETWORK_DHCP. Per altri valori, viene impostato GENERIC_EVENT.

Corrispondenza HIP CONNESSIONE_RETE
Tag IP EVENTO_GENERICO
User-ID USER_LOGIN/USER_LOGOUT/USER_UNCATEGORIZED

Se il valore del sottotipo è "login&quo;, viene impostato USER_LOGIN.

Se il valore del sottotipo è "logout", è impostato USER_LOGOUT.

Se il sottotipo non contiene alcun valore, è impostato USER_UNCATEGORIZED.

Decriptazione CONNESSIONE_RETE
Autenticazione EVENTO_GENERICO

Passaggi successivi