Palo Alto Networks ファイアウォール ログを収集する
概要
このドキュメントでは、syslog と Chronicle フォワーダーを構成して、Palo Alto Networks のファイアウォール ログを収集する方法について説明します。このドキュメントでは、Palo Alto Networks のファイアウォール ログ フィールドを Chronicle Unified Data Model(UDM)フィールドにマッピングする方法についても説明します。
Chronicle のデータの取り込みの概要については、Chronicle へのデータの取り込みをご覧ください。
取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。このドキュメントの情報は、PAN_FIREWALL 取り込みラベルを持つパーサーに適用されます。
始める前に
Palo Alto Networks ファイアウォール ログを収集するためにデプロイされたコンポーネントを理解するには、デプロイ アーキテクチャをご覧ください。お客様のデプロイはそれぞれこの表現とは異なる可能性があり、より複雑になることがあります。
次の図は、Palo Alto Networks ファイアウォールで syslog を構成し、Linux サーバーに Chronicle フォワーダーをインストールして Chronicle にログデータを転送する方法を示しています。パーサーは、カンマ区切り形式(CSV)、共通イベント形式(CEF)、ログイベント拡張形式(LEEF)で書き込まれたログをサポートします。
Chronicle パーサーがサポートするログ形式と PAN-OS バージョンを確認します。次の表に、Chronicle パーサーがサポートするログ形式と対応する PAN-OS バージョンを示します。
ログ形式 PAN-OS バージョン CSV 10.1.3 CEF 10.0.0 リーフ 9.1.0 Chronicle パーサーがサポートする Palo Alto Networks ファイアウォール ログタイプを確認します。 Chronicle パーサーは、次の Palo Alto Networks ファイアウォール ログタイプをサポートしています。
- トラフィック
- 脅威
- WildFire の送信数
- トンネル検査
- Config
- システム
- HIP 一致
- IP タグ
- User-ID
- 復号
- Authentication
- URL のフィルタリング
- データのフィルタリング
- GlobalProtect
- 相関
Palo Alto Networks ファイアウォール ログタイプの詳細については、PAN-OS ログタイプをご覧ください。
デプロイ アーキテクチャ内のすべてのシステムが、UTC タイムゾーンに構成されていることを確認します。
Palo Alto Networks ファイアウォール Gold パーサーを使用する前に、このドキュメントに記載されているデフォルト パーサーと Gold パーサーにおけるフィールド マッピングの変更を確認してください。移行の一環として、ルール、検索、ダッシュボード、元のフィールドに依存するその他のプロセスで、更新されたフィールドが使用されることを確認します。
たとえば、デフォルトのパーサーでは、「category」ログフィールドが「security_result.description」UDM フィールドにマッピングされています。PAN ファイアウォール Gold パーサーでは、「category」ログフィールドが「security_result.category_details」UDM フィールドにマッピングされます。PAN ファイアウォール ゴールド パーサーに移行してルールで「category」を使用する場合は、ゴールドのパーサーの「security_result.category_details」UDM フィールドを使用するようにルールを変更する必要があります。
Syslog と Chronicle フォワーダーの構成
Syslog と Chronicle フォワーダーを構成するには、次の手順を行います。
CSV ログをモニタリングするには、syslog サーバー プロファイルを構成します。詳細については、syslog サーバー プロファイルの構成をご覧ください。
Syslog サーバー プロファイルを構成するときに、カスタム ログ形式として「Default」を指定します。
CEF ログをモニタリングするには、CEF ログを転送するように Palo Alto Networks ファイアウォールを構成します。詳細については、PAN-OS CEF 統合ガイドの PDF をダウンロードして、「Palo Alto Networks NGFW の構成で CEF イベントを出力します」のセクションをご覧ください。
LEEF のログをモニタリングするには、syslog サーバー プロファイルを構成します。詳しくは、LEEF 形式のカスタムログ転送をご覧ください。
Chronicle フォワーダーを、Chronicle へログを送信するように構成します。詳細については、Linux でのフォワーダーのインストールと構成をご覧ください。Chronicle フォワーダー構成の例を次に示します。
- syslog: common: enabled: true data_type: PAN_FIREWALL batch_n_seconds: 10 batch_n_bytes: 1048576 tcp_address: 0.0.0.0:10518 connection_timeout_sec: 60
フィールド マッピング リファレンス: PAN ファイアウォール ログ フィールドを UDM フィールドにマッピング
このセクションでは、パーサーが Palo Alto Networks のファイアウォール ログフィールドを各ログタイプの Chronicle UDM イベント フィールドにマッピングする方法について説明します。
Chronicle のラベルキーは、Labels.key UDM フィールドにマッピングされたキーの名前です。たとえば、[Virtual System] フィールドの場合、フィールド名は CEF 形式の「cs3」、LEEF 形式の「VirtualSystem」です。UDM フィールド「about.labels.key」には値「vsys」が含まれ、UDM フィールド「about.labels.value」にはそのフィールドの値が含まれます。
CSV フィールド名に対応する名前がない CEF または LEEF フィールド名があります。そのため、syslog プロファイルに独自のログ形式で独自の変数名を追加した場合、パーサーは UDM フィールドにマッピングしません。
各ログタイプのマッピングについては、以下のセクションをご覧ください。
システム
次の表に、システムログ タイプのログフィールドと、それに対応する UDM フィールドを示します。
| CSV フィールド | CEF フィールド | LEEF フィールド | Chronicle のラベルキー | UDM フィールド |
|---|---|---|---|---|
| 受信時間(receive_time または cef-format-receive_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp("Generate Time" が存在しない場合) |
|
| シリアル番号(シリアル) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
| タイプ(タイプ) | タイプ(ヘッダー) | cat | metadata.product_event_type は「%{type} - %{subtype}」に設定されています。 | |
| 脅威/コンテンツ タイプ(サブタイプ) | サブタイプ(ヘッダー) | サブタイプ | metadata.product_event_type は「%{type} - %{subtype}」に設定されています。 | |
| 生成時刻(time_generated または cef-format-time_generated) | metadata.event_timestamp | |||
| 仮想システム(vsys) | cs3 | VirtualSystem | vsys | about.labels.key/value |
| イベント ID(eventid) | cat | eventid | about.labels.key/value | |
| オブジェクト(object) | fname | ファイル名 | オブジェクト | about.labels.key/value |
| モジュール(モジュール) | flexString2 | モジュール | モジュール | about.labels.key/value |
| 重大度(重大度) | $number-of-severity(header) | 重大度 | security_result.severity と security_result.severity_details | |
| 説明(不透明) | msg | msg | metadata.description | |
| シーケンス番号(seqno) | externalId | シーケンス | metadata.product_log_id | |
| アクション フラグ(actionflags) | PanOSActionFlags | ActionFlags | actionflags | about.labels.key/value |
| デバイス グループ階層(dg_hier_level_1 ~ dg_hier_level_4) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key/value |
| デバイス グループ階層(dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key/value |
| デバイス グループ階層(dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key/value |
| デバイス グループ階層(dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key/value |
| 仮想システム名(vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.type_VIRTUAL_MACHINE |
|
| デバイス名(device_name) | dvchost | DeviceName | intermediary.hostname | |
| 高解像度のタイムスタンプ(high_res_timestamp) | anOSTimeGeneratedHighResolution | metadata.collected_timestamp,
metadata.event_timestamp("Generate Time" が存在しない場合) |
Config
次の表に、構成ログタイプのログフィールドと、それぞれに対応する UDM フィールドを示します。
| CSV フィールド | CEF フィールド | LEEF フィールド | Chronicle のラベルキー | UDM フィールド |
|---|---|---|---|---|
| 受信時間(receive_time または cef-format-receive_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp("Generate Time" が存在しない場合) |
|
| シリアル番号(シリアル) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
| タイプ(タイプ) | タイプ(ヘッダー) | cat | metadata.product_event_type | |
| 脅威/コンテンツ タイプ(サブタイプ) | サブタイプ(ヘッダー) | metadata.product_event_type | ||
| 生成時刻(time_generated または cef-format-time_generated) | metadata.event_timestamp | |||
| ホスト(host) | shost | src | principal.ip/hostname | |
| 仮想システム(vsys) | cs3 | VirtualSystem | vsys | about.labels.key/value |
| コマンド(cmd) | 対処 | msg | cmd | about.labels.key/value |
| 管理者 (admin) | duser | usrName | principal.user.userid | |
| クライアント(client) | destinationServiceName | クライアント | principal.application | |
| 結果 (result) | シグネチャ ID(ヘッダー)(理由) | 結果 | security_result.summary | |
| 構成パス(path) | msg | ConfigurationPath | principal.process.command_line | |
| 変更前の詳細(before_change_detail) | cs1 | beforeChangeDetail | before_change_detail | target.resource.attributes.labels.key/value |
| 変更後の詳細(after_change_detail) | cs2 | AfterChangeDetail | after_change_detail | target.resource.attributes.labels.key/value |
| シーケンス番号(seqno) | externalId | シーケンス | metadata.product_log_id | |
| アクション フラグ(actionflags) | PanOSActionFlags | ActionFlags | actionflags | about.labels.key/value |
| デバイス グループ階層(dg_hier_level_1 ~ dg_hier_level_4) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key/value |
| デバイス グループ階層(dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key/value |
| デバイス グループ階層(dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key/value |
| デバイス グループ階層(dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key/value |
| 仮想システム名(vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.type_VIRTUAL_MACHINE |
|
| デバイス名(device_name) | dvchost | DeviceName | intermediary.hostname | |
| デバイス グループ(dg_id) | PanOSFWDeviceGroup | dg_id | principal.asset.attribute.labels.key/value | |
| 監査コメント(comment) | PanOSPolicyAuditComment | コメント | about.labels.key/value |
脅威/wildfire
次の表に、脅威/WildFire ログタイプのログフィールドと、それぞれに対応する UDM フィールドを示します。
| CSV フィールド | CEF フィールド | LEEF フィールド | Chronicle のラベルキー | UDM フィールド |
|---|---|---|---|---|
| 受信時間(receive_time または cef-format-receive_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp("Generate Time" が存在しない場合) |
|
| シリアル番号(serial #) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
| タイプ(タイプ) | タイプ(ヘッダー) | cat | metadata.product_event_type | |
| 脅威/コンテンツ タイプ(サブタイプ) | cat/subtype(ヘッダー) | サブタイプ | metadata.product_event_type | |
| 生成時間(time_generated または cef-format-time_generated) | metadata.event_timestamp | |||
| 送信元アドレス(src) | src | src | principal.ip | |
| 宛先アドレス(dst) | dst | dst | target.ip | |
| NAT 送信元 IP(natsrc) | sourceTranslatedAddress | srcPostNAT | principal.nat_ip | |
| NAT 宛先 IP(natdst) | destinationTranslatedAddress | dstPostNAT | target.nat_ip | |
| ルール名(rule) | cs1 | RuleName | security_result.rule_name | |
| 移行元ユーザー(srcuser) | suser | SourceUser / usrName | principal.user.userid | |
| 宛先ユーザー(dstuser) | duser | DestinationUser | target.user.userid | |
| アプリケーション (app) | app | Application(アプリケーション) | target.application | |
| 仮想システム(vsys) | cs3 | VirtualSystem | vsys | about.labels.key/value |
| ソースゾーン(送信元) | cs4 | SourceZone | 送信元 | principal.labels.key/value |
| 宛先ゾーン(to) | cs5 | DestinationZone | ~ | target.labels.key/value |
| 受信インターフェース(inbound_if) | deviceInboundInterface | IngressInterface | receiver_if | principal.labels.key/value |
| 送信インターフェース(outbound_if) | deviceOutboundInterface | EgressInterface | external_if | target.labels.key/value |
| ログアクション(logset) | cs6 | LogForwardingProfile | ログセット | about.labels.key/value |
| セッション ID(sessionid) | cn1 | SessionID | network.session_id | |
| 繰り返し回数(Repeatcnt) | cnt | RepeatCount | repeatcnt | about.labels.key/value |
| 送信元ポート(sport) | spt | srcPort | principal.port | |
| 宛先ポート(dport) | dpt | dstPort | target.port | |
| NAT 送信元ポート(natsport) | sourceTranslatedPort | srcPostNATPort | principal.nat_port | |
| NAT 宛先ポート(natdport) | destinationTranslatedPort | dstPostNATPort | target.nat_port | |
| フラグ(flags) | flexString1 | フラグ | flags | about.labels.key/value |
| IP プロトコル(proto) | proto | proto | network.ip_protocol | |
| アクション (action) | 対処 | action | security_result.action_details
security_result.action |
|
| URL/ファイル名(その他) | request | その他 | target.file.full_path(サブタイプが「file」、「virus」、「lifecycle-virus」、「warmup」の場合、「misc」フィールドは target.file.full_path にマッピングされます) target.url(サブタイプが「url」の場合は「misc」フィールドが target.url と target.hostname にマップされます) target.hostname(サブタイプが「spyware」または「vulnerability」の場合、「misc」フィールドは target.file.full_path と target.url にマッピングされます)。 |
|
| 脅威/コンテンツ名(threatid) | cat | ThreatID | security_result.threat_name | |
| カテゴリ(category) | cs2 | URL のカテゴリ | security_result.category_details | |
| 重大度(重大度) | number-of-severity(ヘッダ) | 重大度 | security_result.severity と security_result.severity_details | |
| 目的地 (direction) | flexString2 | 方向 | network.direction | |
| シーケンス番号(seqno) | externalId | シーケンス | metadata.product_log_id | |
| アクション フラグ(actionflags) | PanOSActionFlags | ActionFlags | actionflags | about.labels.key/value |
| 送信元の国(srcloc) | SourceLocation | principal.location.country_or_region | ||
| 送信先国(dstloc) | DestinationLocation | target.location.country_or_region | ||
| コンテンツ タイプ (contentType) | ContentType | contenttype | about.labels.key/value | |
| PCAP ID(pcap_id) | fileId | PCAP_ID | pcap_id | about.labels.key/value |
| ファイル ダイジェスト(filedigest) | fileHash | FileDigest | about.file.sha1/md5/sha256 | |
| クラウド(cloud) | filePath | クラウド | cloud | about.labels.key/value |
| URL インデックス(url_idx) | URLIndex | url_idx | about.labels.key/value | |
| ユーザー エージェント(user_agent) | network.http.user_agent | |||
| File Type(filetype) | File Type | FileType | about.file.mime_type | |
| X-Forwarded-For(XFF) | principal.ip | |||
| リファラー(referer) | network.http.referral_url | |||
| 送信者(sender) | suid | 送信者 | network.email.from | |
| 件名 (件名) | msg | 件名 | network.email.subject | |
| 受信者(rcipient) | duid | 受信者 | network.email.to | |
| レポート ID (reportid) | oldFileId | ReportID | reportid | about.labels.key/value |
| デバイス グループ階層(dg_hier_level_1 ~ dg_hier_level_4) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key/value |
| デバイス グループ階層(dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key/value |
| デバイス グループ階層(dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key/value |
| デバイス グループ階層(dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key/value |
| 仮想システム名(vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.type_VIRTUAL_MACHINE |
|
| デバイス名(device_name) | dvchost | DeviceName | intermediary.hostname | |
| ソース VM UUID(src_uuid) | PanOSSrcUUID | SrcUUID | principal.user.product_object_id | |
| 宛先 VM UUID(dst_uuid) | PanOSDstUUID | DstUUID | target.user.product_object_id | |
| HTTP Method (http_method) | RequestMethod | network.http.method | ||
| トンネル ID/IMSI(tunnel_id/imsi) | PanOSTunnelID | TunnelID | tunnel_id/imsi | about.labels.key/value |
| タグ/IMEI のモニタリング(monitortag/imei) | PanOSMonitorTag | MonitorTag | モニタリング タグ/imei | about.labels.key/value |
| 親セッション ID(parent_session_id) | PanOSParentSessionID | ParentSessionID | parent_session_id | about.labels.key/value |
| 親セッションの開始時間(parent_start_time) | PanOSParentStartTime | ParentStartTime | parent_start_time | about.labels.key/value |
| トンネルタイプ(tunnel) | PanOSTunnelType | TunnelType | トンネル | about.labels.key/value |
| 脅威カテゴリ(thr_category) | PanOSThreatCategory | ThreatCategory | thr_category | security_result.detection_fields.key/value |
| コンテンツのバージョン(contentver) | PanOSContentVer | ContentVer | contentver | about.labels.key/value |
| SCTP アソシエーション ID(assoc_id) | PanOSAssocID | assoc_id | about.labels.key/value | |
| ペイロード プロトコル ID(ppid) | PanOS Jamboard | ppid | about.labels.key/value | |
| HTTP ヘッダー(http_headers) | PanOSHTTPHeader | http_headers | about.labels.key/value | |
| URL カテゴリリスト(url_category_list) | PanOSURLCatList | url_category_list | about.labels.key/value | |
| ルール UUID(rule_uuid) | PanOSRuleUUID | security_result.rule_id | ||
| HTTP/2 接続(http2_connection) | PanOSHTTP2Con | http2_connection | about.labels.key/value | |
| 動的ユーザー グループ名(dynusergroup_name) | PanDynamicUsrgrp | dynusergroup_name | principal.labels.key/value | |
| XFF アドレス(xff_ip) | PanXFFIP | principal.ip | ||
| ソースのデバイス カテゴリ(src_category) | PanSrcDeviceCat | src_category | principal.labels.key/value | |
| ソースデバイス プロファイル(src_profile) | PanSrcDeviceProf | src_profile | principal.labels.key/value | |
| ソースデバイスモデル(src_model) | PanSrcDeviceModel | src_model | principal.labels.key/value | |
| ソースデバイス ベンダー(src_Vendor) | PanSrcDeviceVendor | src_Vendor | principal.labels.key/value | |
| ソースデバイスの OS ファミリー(src_osfamily) | PanSrcDeviceOS | src_osfamily | principal.asset.platform_software.platform
principal.labels.key/value |
|
| ソースデバイスの OS バージョン(src_osversion) | PanSrcDeviceOSv | principal:asset.software.version | ||
| ソースホスト名(src_host) | PanSrcHostname | principal.hostname | ||
| 送信元 MAC アドレス(src_mac) | PanSrcMac | principal.mac | ||
| 宛先デバイス カテゴリ(dst_category) | PanDstDeviceCat | dst_category | target.labels.key/value | |
| 宛先デバイス プロファイル(dst_profile) | PanDstDeviceProf | dst_profile | target.labels.key/value | |
| 宛先デバイスモデル(dst_model) | PanDstDeviceModel | dst_model | target.labels.key/value | |
| 宛先デバイス ベンダー(dst_Vendor) | PanDstDeviceVendor | dst_Vendor | target.labels.key/value | |
| 宛先デバイスの OS ファミリー(dst_osfamily) | PanDstDeviceOS | dst_osfamily | target.labels.key/value | |
| 宛先デバイスの OS バージョン(dst_osversion) | PanDstDeviceOSv | target.asset.software.version | ||
| 宛先ホスト名(dst_host) | PanDstHostname | target.hostname | ||
| 宛先 MAC アドレス(dst_mac) | PanDstMac | target.mac | ||
| コンテナ ID (container_id) | PanContainerName | コンテナ ID | about.labels.key/value | |
| ポッドの名前空間(pod_namespace) | PanPODNamespace | pod_namespace | about.labels.key/value | |
| ポッド名(pod_name) | PanPODName | pod_name | about.labels.key/value | |
| ソース外部動的リスト(src_edl) | PanSrcEDL | src_edl | about.labels.key/value | |
| 宛先外部動的リスト(dst_edl) | PanDstEDL | dst_edl | about.labels.key/value | |
| ホスト ID(hostid) | PanGPHostID | hostid | about.labels.key/value | |
| ユーザー デバイスのシリアル番号(serialnumber) | PanEPSerial | principal.asset.hardware.serial_number | ||
| ドメイン EDL(domain_edl) | PanDomainEDL | domain_edl | about.labels.key/value | |
| 送信元動的アドレスグループ(src_dag) | PanSrcDAG | principal.group.group_display_name | ||
| 宛先動的アドレスグループ(dst_dag) | PanDstDAG | target.group.group_display_name | ||
| 部分ハッシュ (partial_hash) | PanPartialHash | partial_hash | about.labels.key/value | |
| 高解像度のタイムスタンプ (high_res timestamp) | PanTimeHighRes | high_res タイムスタンプ | metadata.collected_timestamp,
metadata.event_timestamp("Generate Time" が存在しない場合) |
|
| 理由 (reason) | PanReasonFilteringAction | reason | about.labels.key/value | |
| 正当な理由 (justification) | PanJustification | 理由 | about.labels.key/value | |
| スライス サービスタイプ(nssai_sst) | PanASServiceType | nssai_sst | about.labels.key/value | |
| アプリケーションのサブカテゴリ(subcategory_of_app) | subcategory_of_app | about.labels.key/value | ||
| アプリケーション カテゴリ(category_of_app) | category_of_app | about.labels.key/value | ||
| アプリケーション テクノロジー(technology_of_app) | technology_of_app | about.labels.key/value | ||
| アプリケーション リスク(risk_of_app) | risk_of_app | about.labels.key/value | ||
| アプリケーションの特徴 (characteristic_of_app) | アプリの特性 | about.labels.key/value | ||
| アプリケーション コンテナ(container_of_app) | container_of_app | about.labels.key/value | ||
| アプリケーション SaaS(is_saas_of_app) | is_saas_of_app | about.labels.key/value | ||
| アプリケーションが規制されていない状態(sanitioned_state_of_app) | sanitioned_state_of_app | about.labels.key/value |
トラフィック
次の表に、トラフィック ログタイプのログフィールドと、それぞれに対応する UDM フィールドを示します。
| CSV フィールド | CEF フィールド | LEEF フィールド | Chronicle のラベルキー | UDM フィールド |
|---|---|---|---|---|
| 受信時間(receive_time または cef-format-receive_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp("Generate Time" が存在しない場合) |
|
| シリアル番号(シリアル) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
| タイプ(タイプ) | タイプ(ヘッダー) | cat/Type | metadata.product_event_type | |
| 脅威/コンテンツ タイプ(サブタイプ) | サブタイプ(ヘッダー) | サブタイプ | metadata.product_event_type | |
| 生成時刻(time_generated または cef-format-time_generated) | スタート | metadata.event_timestamp | ||
| 送信元アドレス(src) | src | src | principal.ip | |
| 宛先アドレス(dst) | dst | dst | target.ip | |
| NAT 送信元 IP(natsrc) | sourceTranslatedAddress | srcPostNAT | principal.nat_ip | |
| NAT 宛先 IP(natdst) | destinationTranslatedAddress | dstPostNAT | target.nat_ip | |
| ルール名(rule) | cs1 | RuleName | security_result.rule_name | |
| 移行元ユーザー(srcuser) | suser | SourceUser | principal.user.userid | |
| 宛先ユーザー(dstuser) | duser | DestinationUser | target.user.userid | |
| アプリケーション (app) | app | Application(アプリケーション) | target.application | |
| 仮想システム(vsys) | cs3 | VirtualSystem | vsys | about.labels.key/value |
| ソースゾーン(送信元) | cs4 | SourceZone | 送信元 | principal.labels.key/value |
| 宛先ゾーン(to) | cs5 | DestinationZone | ~ | target.labels.key/value |
| 受信インターフェース(inbound_if) | deviceInboundInterface | IngressInterface | receiver_if | principal.labels.key/value |
| 送信インターフェース(outbound_if) | deviceOutboundInterface | EgressInterface | external_if | target.labels.key/value |
| ログアクション(logset) | cs6 | LogForwardingProfile | ログセット | about.labels.key/value |
| セッション ID(sessionid) | cn1 | SessionID | network.session_id | |
| 繰り返し回数(Repeatcnt) | cnt | RepeatCount | repeatcnt | about.labels.key/value |
| 送信元ポート(sport) | spt | srcPort | principal.port | |
| 宛先ポート(dport) | dpt | dstPort | target.port | |
| NAT 送信元ポート(natsport) | sourceTranslatedPort | srcPostNATPort | principal.nat_port | |
| NAT 宛先ポート(natdport) | destinationTranslatedPort | dstPostNATPort | target.nat_port | |
| フラグ(flags) | flexString1 | フラグ | flags | about.labels.key/value |
| IP プロトコル(proto) | proto | proto | network.ip_protocol | |
| アクション (action) | 対処 | action | security_result.action_details
security_result.action |
|
| バイト(bytes) | flexNumber1 | totalBytes | バイト | about.labels.key/value |
| 送信バイト数(byte_sent) | in | srcBytes | network.received_bytes | |
| 受信バイト数(bytes_received) | out | dstBytes | network.sent_bytes | |
| パケット(Packet) | cn2 | totalPackets | パケット | about.labels.key/value |
| 開始時刻 (start) | StartTime | スタート | about.labels.key/value | |
| 経過時間(elapsed) | cn3 | ElapsedTime | 経過時間 | about.labels.key/value |
| カテゴリ(category) | cs2 | URL のカテゴリ | security_result.category / security_result.category_details | |
| シーケンス番号(seqno) | externalId | シーケンス | metadata.product_log_id | |
| アクション フラグ(actionflags) | PanOSActionFlags | ActionFlags | actionflags | about.labels.key/value |
| 送信元の国(srcloc) | SourceLocation | principal.location.country_or_region | ||
| 送信先国(dstloc) | DestinationLocation | target.location.country_or_region | ||
| 送信されたパケット数(pkts_sent) | PanOSPacketsSent | srcPackets | pkts_sent | about.labels.key/value |
| 受信パケット(pkts_received) | PanOSPacketsReceived | dstPackets | pkts_received | about.labels.key/value |
| セッション終了理由(session_end_reason) | reason | SessionEndReason | security_result.summary | |
| デバイス グループ階層 1(dg_hier_level_1 ~ dg_hier_level_4) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key/value |
| デバイス グループ階層 2(dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key/value |
| デバイス グループ階層 3(dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key/value |
| デバイス グループ階層(dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key/value |
| 仮想システム名(vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.type_VIRTUAL_MACHINE |
|
| デバイス名(device_name) | dvchost | DeviceName | intermediary.hostname | |
| アクションソース(action_source) | cat | ActionSource | action_source | about.labels.key/value |
| ソース VM UUID(src_uuid) | PanOSSrcUUID | SrcUUID | principal.asset.product_object_id | |
| 宛先 VM UUID(dst_uuid) | PanOSDstUUID | DstUUID | target.asset.product_object_id | |
| トンネル ID/IMSI(tunnelid/imsi) | PanOSTunnelID | TunnelID | tunnelid/imsi | about.labels.key/value |
| タグ/IMEI のモニタリング(monitortag/imei) | PanOSMonitorTag | MonitorTag | モニタリング タグ/imei | about.labels.key/value |
| 親セッション ID(parent_session_id) | PanOSParentSessionID | ParentSessionID | parent_session_id | about.labels.key/value |
| 親開始時間(parent_start_time) | PanOSParentStartTime | ParentStartTime | parent_start_time | about.labels.key/value |
| トンネルタイプ(tunnel) | PanOSTunnelType | TunnelType | トンネル | about.labels.key/value |
| SCTP アソシエーション ID(assoc_id) | PanOSSCTPAssocID | assoc_id | about.labels.key/value | |
| SCTP チャンク(チャンク) | PanOSSCTPChunks | chunks | about.labels.key/value | |
| SCTP チャンク送信数(chunks_sent) | PanOSSCTPChunkSent | chunks_sent | about.labels.key/value | |
| SCTP チャンク受信(chunks_received) | PanOSSCTPChunksRcv | chunks_received | about.labels.key/value | |
| ルール UUID(rule_uuid) | PanOSRuleUUID | security_result.rule_id | ||
| HTTP/2 接続(http2_connection) | PanOSHTTP2Con | http2_connection | about.labels.key/value | |
| アプリの複製数(link_change_count) | PanLinkChange | link_change_count | about.labels.key/value | |
| ポリシー ID(policy_id) | PanPolicyID | policy_id | about.labels.key/value | |
| リンクスイッチ(link_switches) | PanLinkDetail | link_switches | about.labels.key/value | |
| SD-WAN クラスタ(sdwan_cluster) | PanSDWANCluster | sdwan_cluster | about.labels.key/value | |
| SD-WAN デバイスタイプ(sdwan_device_type) | PanSDWANDevice | sdwan_device_type | about.labels.key/value | |
| SD-WAN クラスタタイプ(sdwan_cluster_type) | PanSDWANClustype | sdwan_cluster_type | about.labels.key/value | |
| SD-WAN サイト(sdwan_site) | PanSDWANSite | sdwan_site | about.labels.key/value | |
| 動的ユーザー グループ名(dynusergroup_name) | PanDynamicUsrgrp | dynusergroup_name | about.labels.key/value | |
| XFF アドレス(xff_ip) | PanXFFIP | principal.ip | ||
| ソースのデバイス カテゴリ(src_category) | PanSrcDeviceCat | src_category | principal.labels.key/value | |
| ソースデバイス プロファイル(src_profile) | PanSrcDeviceProf | src_profile | principal.labels.key/value | |
| ソースデバイスモデル(src_model) | PanSrcDeviceModel | src_model | principal.labels.key/value | |
| ソースデバイス ベンダー(src_Vendor) | PanSrcDeviceVendor | src_Vendor | principal.labels.key/value | |
| ソースデバイスの OS ファミリー(src_osfamily) | PanSrcDeviceOS | principal.asset.platform_software.platform
principal.labels.key/value |
||
| ソースデバイスの OS バージョン(src_osversion) | PanSrcDeviceOSv | principal:asset.software.version | ||
| ソースホスト名(src_host) | PanSrcHostname | principal.hostname | ||
| 送信元 MAC アドレス(src_mac) | PanSrcMac | principal.mac | ||
| 宛先デバイス カテゴリ(dst_category) | PanDstDeviceCat | dst_category | target.labels.key/value | |
| 宛先デバイス プロファイル(dst_profile) | PanDstDeviceProf | dst_profile | target.labels.key/value | |
| 宛先デバイスモデル(dst_model) | PanDstDeviceModel | dst_model | target.labels.key/value | |
| 宛先デバイス ベンダー(dst_Vendor) | PanDstDeviceVendor | dst_Vendor | target.labels.key/value | |
| 宛先デバイスの OS ファミリー(dst_osfamily) | PanDstDeviceOS | dst_osfamily | target.labels.key/value | |
| 宛先デバイスの OS バージョン(dst_osversion) | PanDstDeviceOSv | target.asset.software.version | ||
| 宛先ホスト名(dst_host) | PanDstHostname | target.hostname | ||
| 宛先 MAC アドレス(dst_mac) | PanDstMac | target.mac | ||
| コンテナ ID (container_id) | PanContainerName | コンテナ ID | about.labels.key/value | |
| ポッドの名前空間(pod_namespace) | PanPODNamespace | pod_namespace | about.labels.key/value | |
| ポッド名(pod_name) | PanPODName | pod_name | about.labels.key/value | |
| ソース外部動的リスト(src_edl) | PanSrcEDL | src_edl | principal.labels.key/value | |
| 宛先外部動的リスト(dst_edl) | PanDstEDL | dst_edl | target.labels.key/value | |
| ホスト ID(hostid) | PanGPHostID | hostid | about.labels.key/value | |
| ユーザー デバイスのシリアル番号(serialnumber) | PanEPSerial | principal.asset.hardware.serial_number | ||
| 送信元動的アドレスグループ(src_dag) | PanSrcDAG | principal.group.group_display_name | ||
| 宛先動的アドレスグループ(dst_dag) | PanDstDAG | target.group.group_display_name | ||
| セッション オーナー(session_owner) | PanHASessionOwner | session_owner | about.labels.key/value | |
| 高解像度のタイムスタンプ(high_res_timestamp) | PanTimeHighRes | metadata.collected_timestamp,
metadata.event_timestamp("Generate Time" が存在しない場合) |
||
| スライス サービスタイプ(nsdsai_sst) | PanASServiceType | nsdsai_sst | about.labels.key/value | |
| スライス差別化要因(nsdsai_sd) | PanASServiceDiff | nsdsai_sd | about.labels.key/value | |
| アプリケーションのサブカテゴリ(subcategory_of_app) | subcategory_of_app | about.labels.key/value | ||
| アプリケーション カテゴリ(category_of_app) | category_of_app | about.labels.key/value | ||
| アプリケーション テクノロジー(technology_of_app) | technology_of_app | about.labels.key/value | ||
| アプリケーション リスク(risk_of_app) | security_result.severity | |||
| アプリケーションの特徴 (characteristic_of_app) | アプリの特性 | about.labels.key/value | ||
| アプリケーション コンテナ(container_of_app) | container_of_app | about.labels.key/value | ||
| アプリケーション SaaS(is_saas_of_app) | is_saas_of_app | about.labels.key/value | ||
| アプリケーションが規制されていない状態(sanitioned_state_of_app) | sanitioned_state_of_app | about.labels.key/value | ||
| アプリケーションのサブカテゴリ(subcategory_of_app) | subcategory_of_app1 | about.labels.key/value |
User-ID
次の表に、ユーザー ID のログタイプのログフィールドと、それぞれに対応する UDM フィールドを示します。
| CSV フィールド | CEF フィールド | LEEF フィールド | Chronicle のラベルキー | UDM フィールド |
|---|---|---|---|---|
| 受信時間(receive_time または cef-format-receive_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp("Generate Time" が存在しない場合) |
|
| シリアル番号(シリアル) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
| タイプ(タイプ) | タイプ(ヘッダー) | cat | metadata.product_event_type | |
| 脅威/コンテンツ タイプ(サブタイプ) | サブタイプ(ヘッダー) | サブタイプ | metadata.product_event_type | |
| 生成時刻(time_generated または cef-format-time_generated) | metadata.event_timestamp | |||
| 仮想システム(vsys) | cs3 | VirtualSystem | vsys | about.labels.key/value |
| 送信元 IP(ip) | src | src | principal.ip | |
| User (user) | duser | usrName | target.user.userid
target.administrative_domain target.user.email_address |
|
| データソース名(datasourcename) | cs4 | DataSourceName | データソース名 | principal.labels.key/value |
| イベント ID(eventid) | EventID | eventid | about.labels.key/value | |
| 繰り返し回数(Repeatcnt) | cnt | RepeatCount | repeatcnt | about.labels.key/value |
| タイムアウトしきい値(タイムアウト) | cn3 | TimeoutThreshold | timeout | about.labels.key/value |
| 送信元ポート(beginport) | spt | srcPort | principal.port | |
| 宛先ポート(エンドポート) | dpt | dstPort | target.port | |
| データソース(datasource) | cs5 | DataSource | データソース | principal.labels.key/value |
| データソース タイプ(datasourcetype) | cs6 | DataSourceType | データソースのタイプ | principal.labels.key/value |
| シーケンス番号(seqno) | externalId | シーケンス | metadata.product_log_id | |
| アクション フラグ(actionflags) | PanOSActionFlags | ActionFlags | actionflags | about.labels.key/value |
| デバイス グループ階層(dg_hier_level_1) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key/value |
| デバイス グループ階層(dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key/value |
| デバイス グループ階層(dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key/value |
| デバイス グループ階層(dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key/value |
| 仮想システム名(vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.type_VIRTUAL_MACHINE |
|
| デバイス名(device_name) | dvchost | DeviceName | intermediary.hostname | |
| 仮想システム ID(vsys_id) | cn2 | VirtualSystemID | principal.resource.resource_type=VIRTUAL_MACHINE と principal.resource.product_object_id | |
| 要素のタイプ(factortype) | cs1 | FactorType | factortype | about.labels.key/value |
| 因子完了時間(factorcompletetime) | end | FactorCompleteTime | factorcompletetime | about.labels.key/value |
| 因子番号(factorno) | cn1 | FactorNumber | factorno | about.labels.key/value |
| ユーザー グループ フラグ(ugflags) | PanOSUGFlags | ugflags | about.labels.key/value | |
| ソースごとのユーザー(userbysource) | PanOSUserBySource | principal.user.userid
principal.administrative_domain principal.user.email_address |
||
| 高解像度のタイムスタンプ (high_res timestamp) | PanOSTimeGeneratedHighResolution | metadata.collected_timestamp,
metadata.event_timestamp("Generate Time" が存在しない場合) |
HIP 一致
次の表に、HIP 一致ログタイプのログフィールドと、それぞれに対応する UDM フィールドを示します。
| CSV フィールド | CEF フィールド | LEEF フィールド | Chronicle のラベルキー | UDM フィールド |
|---|---|---|---|---|
| 受信時間(receive_time または cef-format-receive_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp("Generate Time" が存在しない場合) |
|
| シリアル番号(シリアル) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
| タイプ(タイプ) | タイプ(ヘッダー) | cat | metadata.product_event_type | |
| 脅威/コンテンツ タイプ(サブタイプ) | サブタイプ(ヘッダー) | サブタイプ | ||
| 生成時刻(time_generated または cef-format-time_generated) | スタート | startTime | metadata.event_timestamp | |
| 移行元ユーザー(srcuser) | suser | usrName | principal.user.userid | |
| 仮想システム(vsys) | cs3 | VirtualSystem | vsys | about.labels.key/value |
| マシン名(machinename) | shost | identHostName | principal.hostname | |
| オペレーティング システム(OS) | cs2 | OS | principal.asset.platform_software.platform | |
| 送信元アドレス(src) | src | identsrc | principal.ip | |
| HIP(マッチ名) | cat | HIP | matchname | about.labels.key/value |
| 繰り返し回数(Repeatcnt) | cnt | RepeatCount | repeatcnt | about.labels.key/value |
| HIP タイプ(マッチタイプ) | デバイス イベント クラス ID(ヘッダー) | HIPType | 一致タイプ | |
| シーケンス番号(seqno) | externalId | シーケンス | metadata.product_log_id | |
| アクション フラグ(actionflags) | PanOSActionFlags | ActionFlags | actionflags | about.labels.key/value |
| デバイス グループ階層(dg_hier_level_1) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key/value |
| デバイス グループ階層(dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key/value |
| デバイス グループ階層(dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key/value |
| デバイス グループ階層(dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key/value |
| 仮想システム名(vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.type_VIRTUAL_MACHINE |
|
| デバイス名(device_name) | dvchost | DeviceName | intermediary.hostname | |
| 仮想システム ID(vsys_id) | cn2 | VirtualSystemID | principal.resource.resource_type=VIRTUAL_MACHINE と principal.resource.product_object_id | |
| IPv6 システム アドレス(srcipv6) | c6a2 | srcipv6 | principal.asset.ip | |
| ホスト ID(hostid) | PanOSHostID | principal.asset.product_object_id | ||
| ユーザー デバイスのシリアル番号(serialnumber) | PanOSEndpointSerialNumber | principal.asset.hardware.serial_number | ||
| デバイスの MAC アドレス(mac) | PanOSEndpointMac | principal.asset.mac | ||
| 高解像度のタイムスタンプ(high_res_timestamp) | PanOSTimeGeneratedHighResolution | metadata.collected_timestamp,
metadata.event_timestamp("Generate Time" が存在しない場合) |
IP タグ
次の表に、IP タグログタイプのログフィールドと、それに対応する UDM フィールドを示します。
| CSV フィールド | CEF フィールド | LEEF フィールド | Chronicle のラベルキー | UDM フィールド |
|---|---|---|---|---|
| 受信時間(receive_time または cef-format-receive_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp("Generate Time" が存在しない場合) |
|
| シリアル番号(シリアル) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
| タイプ(タイプ) | タイプ(ヘッダー) | cat | metadata.product_event_type | |
| 脅威/コンテンツ タイプ(サブタイプ) | サブタイプ(ヘッダー) | サブタイプ | metadata.product_event_type | |
| 生成時刻(time_generated または cef-format-time_generated) | GenerateTime | metadata.event_timestamp | ||
| 仮想システム(vsys) | cs3 | VirtualSystem | vsys | about.labels.key/value |
| 送信元 IP(ip) | src | src | principal.ip | |
| タグ名(tag_name) | PanOSTagName | TagName | tag_name | principal.labels.key/value |
| イベント ID(event_id) | PanOSEventID | EventID | event_id | about.labels.key/value |
| 繰り返し回数(Repeatcnt) | cnt | RepeatCount | repeatcnt | about.labels.key/value |
| タイムアウト (timeout) | PanOSTimeout | TimeoutThreshold | timeout | about.labels.key/value |
| データソース名(datasourcename) | PanOSDataSourceName | DataSourceName | データソース名 | principal.labels.key/value |
| データソース タイプ(datasource_type) | PanOSDataSourceType | DataSource | datasource_type | principal.labels.key/value |
| データソースのサブタイプ(datasource_subtype) | PanOSDataSourceSubType | DataSourceType | datasource_subtype | principal.labels.key/value |
| シーケンス番号(seqno) | externalId | シーケンス | metadata.product_log_id | |
| アクション フラグ(actionflags) | PanOSActionFlags | ActionFlags | actionflags | about.labels.key/value |
| デバイス グループ階層(dg_hier_level_1) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key/value |
| デバイス グループ階層(dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key/value |
| デバイス グループ階層(dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key/value |
| デバイス グループ階層(dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key/value |
| 仮想システム名(vsys_name) | PanOsVsysName | vSrcName | principal.resource.name
principal.resource.type_VIRTUAL_MACHINE |
|
| デバイス名(device_name) | dvchost | DeviceName | intermediary.hostname | |
| 仮想システム ID(vsys_id) | cn2 | VirtualSystemID | principal.resource.resource_type=VIRTUAL_MACHINE と principal.resource.product_object_id | |
| 高解像度のタイムスタンプ (high_res timestamp) | PanOSTimeGeneratedHighResolution | metadata.collected_timestamp,
metadata.event_timestamp("Generate Time" が存在しない場合) |
復号
次の表に、復号ログタイプのログフィールドと、それに対応する UDM フィールドを示します。
| CSV フィールド | CEF フィールド | LEEF フィールド | Chronicle のラベルキー | UDM フィールド |
|---|---|---|---|---|
| 受信時間(receive_time または cef-format-receive_time) | rt | metadata.collected_timestamp,
metadata.event_timestamp("Generate Time" が存在しない場合) |
||
| シリアル番号(シリアル) | PanOSDeviceSN | intermediary.asset.hardware.serial_number | ||
| タイプ(タイプ) | タイプ(ヘッダー) | metadata.product_event_type | ||
| 脅威/コンテンツ タイプ(サブタイプ) | サブタイプ(ヘッダー) | metadata.product_event_type | ||
| Config Version(config_ver) | PanOSConfigVersion | config_ver | about.labels.key/value | |
| 生成時間(time_generated) | PanOSLogTimeStamp | metadata.event_timestamp | ||
| 送信元アドレス(src) | src | principal.ip | ||
| 宛先アドレス(dst) | dst | target.ip | ||
| NAT 送信元 IP(natsrc) | sourceTranslatedAddress | principa.nat_ip | ||
| NAT 宛先 IP(natdst) | destinationTranslatedAddress | target.nat_ip | ||
| ルール(rule) | cs1 | security_result.rule_name | ||
| 移行元ユーザー(srcuser) | suser | principal.user.userid | ||
| 宛先ユーザー(dstuser) | duser | target.user.userid | ||
| アプリケーション (app) | app | target.application | ||
| 仮想システム(vsys) | cs3 | vsys | about.labels.key/value | |
| ソースゾーン(送信元) | cs4 | 送信元 | principal.labels.key/value | |
| 宛先ゾーン(to) | cs5 | ~ | target.labels.key/value | |
| 受信インターフェース(inbound_if) | deviceInboundInterface | receiver_if | principal.labels.key/value | |
| 送信インターフェース(outbound_if) | deviceOutboundInterface | external_if | target.labels.key/value | |
| ログアクション(logset) | cs6 | ログセット | about.labels.key/value | |
| ログに記録された時間(time_received) | PanOSTimeReceivedManagementPlane | - | ||
| セッション ID(sessionid) | cn1 | network.session_id | ||
| 繰り返し回数(Repeatcnt) | PanOSCountOfRepeats | repeatcnt | about.labels.key/value | |
| 送信元ポート(sport) | spt | principal.port | ||
| 宛先ポート(dport) | dpt | target.port | ||
| NAT 送信元ポート(natsport) | sourceTranslatedPort | principal.nat_port | ||
| NAT 宛先ポート(natdport) | destinationTranslatedPort | target.nat_port | ||
| フラグ(flags) | flexString1 | flags | about.labels.key/value | |
| IP プロトコル(proto) | proto | network.ip_protocol | ||
| アクション (action) | 対処 | security_result.action_details
security_result.action |
||
| トンネル(tunnel) | PanOSTunnel | トンネル | about.labels.key/value | |
| ソース VM UUID(src_uuid) | PanOSSourceUUID | principal.asset.asset_id | ||
| 宛先 VM UUID(dst_uuid) | PanOSDestinationUUID | target.asset.asset_id | ||
| ルールの UUID(rule_uuid) | PanOSRuleUUID | security_result.rule_id | ||
| クライアントからファイアウォールへのステージ(hs_stage_c2f) | PanOSClientToFirewall | hs_stage_c2f | about.labels.key/value | |
| ファイアウォールからサーバーへのステージ(hs_stage_f2s) | PanOSFirewallToServer | hs_stage_f2s | about.labels.key/value | |
| TLS バージョン(tls_version) | PanOSTLSVersion | network.tls.version | ||
| 鍵交換アルゴリズム(tls_keyxchg) | PanOSTLSKeyExchange | tls_keyxchg | about.labels.key/value | |
| 暗号化アルゴリズム(tls_enc) | PanOSTLSEncryptionAlgorithm | tls_enc | about.labels.key/value | |
| ハッシュ アルゴリズム(tls_auth) | PanOSTLSAuth | tls_auth | about.labels.key/value | |
| ポリシー名(policy_name) | PanOSPolicyName | policy_name | about.labels.key/value | |
| El 円曲線(ec_curve) | PanOSEllipticCurve | network.tls.curve | ||
| エラー インデックス(err_index) | PanOSErrorIndex | err_index | about.labels.key/value | |
| ルート ステータス(root_status) | PanOSRootStatus | root_status | about.labels.key/value | |
| チェーン ステータス(chain_status) | PanOSChainStatus | 連鎖ステータス | about.labels.key/value | |
| プロキシタイプ(proxy_type) | PanOSProxyType | proxy_type | about.labels.key/value | |
| 証明書のシリアル番号(cert_serial) | PanOSCertificateSerial | network.tls.server.certificate.serial | ||
| 証明書のフィンガープリント(fingerprint) | PanOSFingerprint | network.tls.server.certificate.md5/sha1/sha256 | ||
| 証明書の開始日(not before) | PanOSTimeNotBefore | network.tls.server.certificate.not_before | ||
| 証明書の終了日(変更後) | PanOSTimeNotAfter | network.tls.server.certificate.not_after | ||
| 証明書のバージョン(cert_ver) | PanOSCertificateVersion | network.tls.server.certificate.version | ||
| 証明書のサイズ(cert_size) | PanOSCertificateSize | cert_size | about.labels.key/value | |
| 共通名の長さ(cn_len) | PanOSCommonNameLength | cn_len | about.labels.key/value | |
| 発行者の共通名の長さ(issuer_len) | PanOSIssuerNameLength | issuer_len | about.labels.key/value | |
| ルートの共通名の長さ(rootcn_len) | PanOSRootCNLength | rootcn_len | about.labels.key/value | |
| SNI 長さ(sni_len) | PanOSSNILength | sni_len | about.labels.key/value | |
| 証明書フラグ(cert_flags) | PanOSCertificateFlags | cert_flags | about.labels.key/value | |
| サブジェクトの共通名(cn) | PanOSCommonName | cn | about.labels.key/value | |
| 発行者の共通名(issuer_cn) | PanOSIssuerCommonName | network.tls.server.certificate.issuer | ||
| ルートの共通名(root_cn) | PanOSRootCommonName | root_cn | about.labels.key/value | |
| Server Name Indication
(sni) |
network.tls.client.server_name | |||
| エラー(error) | PanOSErrorMessage | エラー | about.labels.key/value | |
| コンテナ ID (container_id) | PanOSContainerID | コンテナ ID | about.labels.key/value | |
| ポッドの名前空間(pod_namespace) | PanOSContainerNameSpace | pod_namespace | about.labels.key/value | |
| ポッド名(pod_name) | PanOSContainerName | pod_name | about.labels.key/value | |
| ソース外部動的リスト(src_edl) | PanOSSourceEDL | src_edl | principal.labels.key/value | |
| 宛先外部動的リスト(dst_edl) | PanOSDestinationEDL | dst_edl | target.labels.key/value | |
| 送信元動的アドレスグループ(src_dag) | PanOSSourceDynamicAddressGroup | principal.group.group_display_name | ||
| 宛先動的アドレスグループ(dst_dag) | PanOSDestinationDynamicAddressGroup | target.group.group_display_name | ||
| 高解像度のタイムスタンプ(high_res_timestamp) | PanOSTimeGeneratedHighResolution | metadata.collected_timestamp,
metadata.event_timestamp("Generate Time" が存在しない場合) |
||
| ソースのデバイス カテゴリ(src_category) | PanOSSourceDeviceCategory | src_category | principal.labels.key/value | |
| ソースデバイス プロファイル(src_profile) | PanOSSourceDeviceProfile | src_profile | principal.labels.key/value | |
| ソースデバイスモデル(src_model) | PanOSSourceDeviceModel | src_model | principal.labels.key/value | |
| ソースデバイス ベンダー(src_Vendor) | PanOSSourceDeviceVendor | src_Vendor | principal.labels.key/value | |
| ソースデバイスの OS ファミリー(src_osfamily) | PanOSSourceDeviceOSFamily | principal.asset.platform_software.platform
principal.labels.key/value |
||
| ソースデバイスの OS バージョン(src_osversion) | PanOSSourceDeviceOSVersion | principal:asset.software.version | ||
| ソースホスト名(src_host) | PanOSSourceDeviceHost | principal.hostname | ||
| 送信元 MAC アドレス(src_mac) | PanOSSourceDeviceMac | principal.mac | ||
| 宛先デバイス カテゴリ(dst_category) | PanOSDestinationDeviceCategory | dst_category | target.labels.key/value | |
| 宛先デバイス プロファイル(dst_profile) | PanOSDestinationDeviceProfile | dst_profile | target.labels.key/value | |
| 宛先デバイスモデル(dst_model) | PanOSDestinationDeviceModel | dst_model | target.labels.key/value | |
| 宛先デバイス ベンダー(dst_Vendor) | PanOSDestinationDeviceVendor | dst_Vendor | target.labels.key/value | |
| 宛先デバイスの OS ファミリー(dst_osfamily) | PanOSDestinationDeviceOSFamily | dst_osfamily | target.labels.key/value | |
| 宛先デバイスの OS バージョン(dst_osversion) | PanOSDestinationDeviceOSVersion | target.asset.software.version | ||
| 宛先ホスト名(dst_host) | PanOSDestinationDeviceHost | target.hostname | ||
| 宛先 MAC アドレス(dst_mac) | PanOSDestinationDeviceMac | target.mac | ||
| シーケンス番号(seqno) | PanOSLogTypeSeqNo | metadata.product_log_id | ||
| アクション フラグ(actionflags) | PanOSActionFlags | actionflags | about.labels.key/value | |
| デバイス グループ階層(dg_hier_level_1) | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key/value | |
| デバイス グループ階層(dg_hier_level_2) | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key/value | |
| デバイス グループ階層(dg_hier_level_3) | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key/value | |
| デバイス グループ階層(dg_hier_level_4) | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key/value | |
| 仮想システム名(vsys_name) | principal.resource.name
principal.resource.type_VIRTUAL_MACHINE |
|||
| デバイス名(device_name) | intermediary.hostname | |||
| 仮想システム ID(vsys_id) | principal.resource.resource_type=VIRTUAL_MACHINE と principal.resource.product_object_id | |||
| アプリケーションのサブカテゴリ(subcategory_of_app) | subcategory_of_app | about.labels.key/value | ||
| アプリケーション カテゴリ(category_of_app) | category_of_app | about.labels.key/value | ||
| アプリケーション テクノロジー(technology_of_app) | technology_of_app | about.labels.key/value | ||
| アプリケーション リスク(risk_of_app) | security_result.severity | |||
| アプリケーションの特徴 (characteristic_of_app) | アプリの特性 | about.labels.key/value | ||
| アプリケーション コンテナ(container_of_app) | container_of_app | about.labels.key/value | ||
| アプリケーション SaaS(is_saas_of_app) | is_saas_of_app | about.labels.key/value | ||
| アプリケーションが規制されていない状態(sanitioned_state_of_app) | sanitioned_state_of_app | about.labels.key/value |
トンネル
次の表に、トンネルログ タイプのログフィールドと、それに対応する UDM フィールドを示します。
| CSV フィールド | CEF フィールド | LEEF フィールド | Chronicle のラベルキー | UDM フィールド |
|---|---|---|---|---|
| 受信時間(receive_time または cef-format-receive_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp("Generate Time" が存在しない場合) |
|
| シリアル番号(シリアル) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
| タイプ(タイプ) | タイプ(ヘッダー) | cat | metadata.product_event_type | |
| 脅威/コンテンツ タイプ(サブタイプ) | サブタイプ(ヘッダー) | サブタイプ | metadata.product_event_type | |
| 生成時刻(time_generated または cef-format-time_generated) | metadata.event_timestamp | |||
| 送信元アドレス(src) | src | src | principal.ip | |
| 宛先アドレス(dst) | dst | dst | target.ip | |
| NAT 送信元 IP(natsrc) | sourceTranslatedAddress | srcPostNAT | principal.nat_ip | |
| NAT 宛先 IP(natdst) | destinationTranslatedAddress | dstPostNAT | target.nat_ip | |
| ルール名(rule) | cs1 | RuleName | security_result.rule_name | |
| 移行元ユーザー(srcuser) | suser | SourceUser / usrName | principal.user.userid | |
| 宛先ユーザー(dstuser) | duser | DestinationUser | target.user.userid | |
| アプリケーション (app) | app | Application(アプリケーション) | network.application_protocol | |
| 仮想システム(vsys) | cs3 | VirtualSystem | vsys | about.labels.key/value |
| ソースゾーン(送信元) | cs4 | SourceZone | 送信元 | principal.labels.key/value |
| 宛先ゾーン(to) | cs5 | DestinationZone | ~ | target.labels.key/value |
| 受信インターフェース(inbound_if) | deviceInboundInterface | IngressInterface | receiver_if | principal.labels.key/value |
| 送信インターフェース(outbound_if) | deviceOutboundInterface | EgressInterface | external_if | target.labels.key/value |
| ログアクション(logset) | cs6 | LogForwardingProfile | ログセット | about.labels.key/value |
| セッション ID(sessionid) | cn1 | SessionID | network.session_id | |
| 繰り返し回数(Repeatcnt) | cnt | RepeatCount | repeatcnt | about.labels.key/value |
| 送信元ポート(sport) | spt | srcPort | principal.port | |
| 宛先ポート(dport) | dpt | dstPort | target.port | |
| NAT 送信元ポート(natsport) | sourceTranslatedPort | srcPostNATPort | principal.nat_port | |
| NAT 宛先ポート(natdport) | destinationTranslatedPort | dstPostNATPort | target.nat_port | |
| フラグ(flags) | flexString1 | フラグ | flags | about.labels.key/value |
| IP プロトコル(proto) | proto | proto | network.ip_protocol | |
| アクション (action) | 対処 | action | security_result.action_details
security_result.action |
|
| 重大度(重大度) | security_result.severity と security_result.severity_details | |||
| シーケンス番号(seqno) | externalId | シーケンス | metadata.product_log_id | |
| アクション フラグ(actionflags) | PanOSActionFlags | ActionFlags | actionflags | about.labels.key/value |
| ソースのロケーション(srcloc) | principal.location.country_or_region | |||
| 宛先のロケーション(dstloc) | target.location.country_or_region | |||
| デバイス グループ階層(dg_hier_level_1) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key/value |
| デバイス グループ階層(dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key/value |
| デバイス グループ階層(dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key/value |
| デバイス グループ階層(dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key/value |
| 仮想システム名(vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.type_VIRTUAL_MACHINE |
|
| デバイス名(device_name) | dvchost | DeviceName | intermediary.hostname | |
| トンネル ID(tunnelid) | PanOSTunnelID | TunnelID | tunnelid | about.labels.key/value |
| Monitor Tag(monitortag) | PanOSMonitorTag | MonitorTag | monitortag | about.labels.key/value |
| 親セッション ID(parent_session_id) | PanOSParentSessionID | ParentSessionID | parent_session_id | about.labels.key/value |
| 親開始時間(parent_start_time) | PanOSParentStartTime | ParentStartTime | parent_start_time | about.labels.key/value |
| トンネルタイプ(tunnel) | cs2 | TunnelType | トンネル | about.labels.key/value |
| バイト(bytes) | flexNumber1 | totalBytes | バイト | about.labels.key/value |
| 送信バイト数(byte_sent) | in | srcBytes | network.received_bytes | |
| 受信バイト数(bytes_received) | out | dstBytes | network.sent_bytes | |
| パケット(Packet) | cn2 | totalPackets | パケット | about.labels.key/value |
| 送信されたパケット数(pkts_sent) | PanOSPacketsSent | srcPackets | pkts_sent | about.labels.key/value |
| 受信パケット(pkts_received) | PanOSPacketsReceived | dstPackets | pkts_received | about.labels.key/value |
| 最大カプセル化(max_encap) | flexNumber2 | MaximumEncapsulation | max_encap | about.labels.key/value |
| 不明なプロトコル(unknown_proto) | cfp1 | UnknownProtocol | unknown_proto | about.labels.key/value |
| 厳密なチェック(strict_check) | cfp2 | StrictChecking | strict_check | about.labels.key/value |
| トンネル フラグメント(tunnel_フラグメント) | PanOSTunnelFragment | TunnelFragment | tunnel_segment | about.labels.key/value |
| セッションの作成数(sessions_ created) | cfp3 | SessionsCreated | sessions_created | about.labels.key/value |
| クローズされたセッション(sessions_closed) | cfp4 | Sessions | sessions_closed | about.labels.key/value |
| セッション終了理由(session_end_reason) | reason | SessionEndReason | security_result.summary | |
| アクションソース(action_source) | cat | ActionSource | action_source | about.labels.key/value |
| 開始時刻 (start) | startTime | スタート | about.labels.key/value | |
| 経過時間(elapsed) | cn3 | ElapsedTime | 経過時間 | about.labels.key/value |
| トンネル検査ルール(tunnel_insp_rule) | PanOSTunneInspectionRule | security_result.rule_name = "トンネル検査ルール: %{PanOSTunnelInspectionRule"" | ||
| リモート ユーザー IP(remote_user_ip) | PanOSRmtUserIP | target.ip | ||
| リモート ユーザー ID(remote_user_id) | PanOSRmtUserID | remote_user_id | target.labels.key/value | |
| セキュリティ ルールの UUID(rule_uuid) | PanOSRuleUUID | security_result.rule_id | ||
| PCAP ID(pcap_id) | PanOSPcapID | pcap_id | about.labels.key/value | |
| 動的ユーザー グループ名(dynusergroup_name) | PanDynamicUsrgrp | principal.group.group_display_name | ||
| ソース外部動的リスト(src_edl) | PanOSSourceEDL | src_edl | principal.labels.key/value | |
| 宛先外部動的リスト(dst_edl) | PanOSDestinationEDL | dst_edl | target.labels.key/value | |
| 高解像度のタイムスタンプ (high_res timestamp) | PanOSTimeGeneratedHighResolution | metadata.collected_timestamp,
metadata.event_timestamp("Generate Time" が存在しない場合) |
||
| スライス差別化要因(nssai_sd) | nssai_sd | about.labels.key/value | ||
| スライス サービスタイプ(nssai_sd) | nssai_sd1 | about.labels.key/value | ||
| PDU セッション ID(pdu_session_id) | pdu_session_id | about.labels.key/value | ||
| アプリケーションのサブカテゴリ(subcategory_of_app) | subcategory_of_app | about.labels.key/value | ||
| アプリケーション カテゴリ(category_of_app) | category_of_app | about.labels.key/value | ||
| アプリケーション テクノロジー(technology_of_app) | technology_of_app | about.labels.key/value | ||
| アプリケーション リスク(risk_of_app) | risk_of_app | about.labels.key/value | ||
| アプリケーションの特徴 (characteristic_of_app) | アプリの特性 | about.labels.key/value | ||
| アプリケーション コンテナ(container_of_app) | container_of_app | about.labels.key/value | ||
| アプリケーション SaaS(is_saas_of_app) | is_saas_of_app | about.labels.key/value | ||
| アプリケーションが規制されていない状態(sanitioned_state_of_app) | sanitioned_state_of_app | about.labels.key/value |
Authentication
次の表に、認証ログタイプのログフィールドと、対応する UDM フィールドを示します。
| CSV フィールド | CEF フィールド | LEEF フィールド | Chronicle のラベルキー | UDM フィールド |
|---|---|---|---|---|
| 受信時間(receive_time または cef-format-receive_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp("Generate Time" が存在しない場合) |
|
| シリアル番号(シリアル) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
| タイプ(タイプ) | タイプ(ヘッダー) | cat | metadata.product_event_type | |
| 脅威/コンテンツ タイプ(サブタイプ) | サブタイプ(ヘッダー) | サブタイプ | metadata.product_event_type | |
| 生成時刻(time_generated または cef-format-time_generated) | metadata.event_timestamp | |||
| 仮想システム(vsys) | cs3 | VirtualSystem | vsys | about.labels.key/value |
| 送信元 IP(ip) | src | src | principal.ip | |
| User (user) | duser | usrName | target.user.userid | |
| ユーザーの正規化(normalize_user) | cs2 | NormalizeUser | target.user.user_display_name | |
| オブジェクト(オブジェクト) | fname | ObjectName | オブジェクト | about.labels.key/value |
| 認証ポリシー(authpolicy) | cs4 | AuthPolicy | authpolicy | about.labels.key/value |
| 繰り返し回数(Repeatcnt) | cnt | RepeatCount | repeatcnt | about.labels.key/value |
| 認証 ID(authid) | cn2 | AuthenticationID | authid | about.labels.key/value |
| ベンダー(vendor) | flexString2 | ベンダー | vendor | about.labels.key/value |
| ログアクション(logset) | cs6 | LogForwardingProfile | ログセット | about.labels.key/value |
| サーバー プロファイル(serverprofile) | cs1 | ServerProfile | serverprofile | about.labels.key/value |
| 説明(desc) | PanOSDesc | AdditionalAuthInfo | security_result.description | |
| クライアント タイプ(clienttype) | cs5 | ClientType | clienttype | about.labels.key/value |
| イベントタイプ(event) | msg | msg | extensions.auth.auth_details | |
| 因子番号(factorno) | cn1 | FactorNumber | factorno | about.labels.key/value |
| シーケンス番号(seqno) | externalId | シーケンス | metadata.product_log_id | |
| アクション フラグ(actionflags) | PanOSActionFlags | ActionFlags | actionflags | about.labels.key/value |
| デバイス グループ階層(dg_hier_level_1) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key/value |
| デバイス グループ階層(dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key/value |
| デバイス グループ階層(dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key/value |
| デバイス グループ階層(dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key/value |
| 仮想システム名(vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.type_VIRTUAL_MACHINE |
|
| デバイス名(device_name) | dvchost | DeviceName | intermediary.hostname | |
| 仮想システム ID(vsys_id) | principal.resource.resource_type=VIRTUAL_MACHINE と principal.resource.product_object_id | |||
| 認証プロトコル(authproto) | authproto | about.labels.key/value | ||
| ルールの UUID(rule_uuid) | PanOSRuleUUID | security_result.rule_id | ||
| 高解像度のタイムスタンプ(high_res _timestamp) | PanOSTimeGeneratedHighResolution | metadata.collected_timestamp,
metadata.event_timestamp("Generate Time" が存在しない場合) |
||
| ソースのデバイス カテゴリ(src_category) | PanOSSourceDeviceCategory | src_category | principal.labels.key/value | |
| ソースデバイス プロファイル(src_profile) | PanOSSourceDeviceProfile | src_profile | principal.labels.key/value | |
| ソースデバイスモデル(src_model) | PanOSSourceDeviceModel | src_model | principal.labels.key/value | |
| ソースデバイス ベンダー(src_Vendor) | PanOSSourceDeviceVendor | src_Vendor | principal.labels.key/value | |
| ソースデバイスの OS ファミリー(src_osfamily) | PanOSSourceDeviceOSFamily | principal.asset.platform_software.platform
principal.labels.key/value |
||
| ソースデバイスの OS バージョン(src_osversion) | PanOSSourceDeviceOSVersion | principal:asset.software.version | ||
| ソースホスト名(src_host) | PanOSSourceHostname | principal.hostname | ||
| 送信元 MAC アドレス(src_mac) | PanOSSourceMac | principal.asset.mac | ||
| リージョン (region) | PanOSTrafficOriginRegion | principal.location.country_or_region | ||
| ユーザー エージェント(user_agent) | PanOSHTTPUserAgent | network.http.user_agent | ||
| セッション ID(sessionid) | PanOSTrafficSessionID | network.session_id |
URL
次の表に、URL ログタイプのログフィールドと、対応する UDM フィールドを示します。
| CSV フィールド | CEF フィールド | LEEF フィールド | Chronicle のラベルキー | UDM フィールド |
|---|---|---|---|---|
| 受信時間(cef-format-receive_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp("Generate Time" が存在しない場合) |
|
| シリアル番号 (serial) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
| タイプ(タイプ) | タイプ(ヘッダー) | cat | metadata.product_event_type | |
| 脅威/コンテンツ タイプ(サブタイプ) | サブタイプ(ヘッダー) | サブタイプ | metadata.product_event_type | |
| 生成時間 | metadata.event_timestamp | |||
| 送信元アドレス(src) | src | src | principal.ip | |
| 宛先アドレス(dst) | dst | dst | target.ip | |
| NAT 送信元 IP(natsrc) | sourceTranslatedAddress | srcPostNAT | principal.nat_ip | |
| NAT 宛先 IP(natdst) | destinationTranslatedAddress | dstPostNAT | target.nat_ip | |
| ルール(rule) | cs1 | RuleName | security_result.rule_name | |
| 移行元ユーザー(srcuser) | suser | SourceUser | principal.user.userid | |
| 宛先ユーザー(dstuser) | duser | DestinationUser | target.user.userid | |
| アプリケーション (app) | app | Application(アプリケーション) | network.application_protocol | |
| 仮想システム(vsys) | cs3 | VirtualSystem | vsys | about.labels.key/value |
| ソースゾーン(送信元) | cs4 | SourceZone | 送信元 | principal.labels.key/value |
| 宛先ゾーン(to) | cs5 | DestinationZone | ~ | target.labels.key/value |
| 受信インターフェース(inbound_if) | deviceInboundInterface | IngressInterface | receiver_if | principal.labels.key/value |
| 送信インターフェース(outbound_if) | deviceOutboundInterface | EgressInterface | external_if | target.labels.key/value |
| ログアクション(logset) | cs6 | LogForwardingProfile | ログセット | about.labels.key/value |
| ログ時間 | time_logged | about.labels.key/value | ||
| セッション ID(sessionid) | cn1 | SessionID | network.session_id | |
| 繰り返し回数(Repeatcnt) | cnt | RepeatCount | repeatcnt | about.labels.key/value |
| 送信元ポート(sport) | spt | srcPort | principal.port | |
| 宛先ポート(dport) | dpt | dstPort | target.port | |
| NAT 送信元ポート(natsport) | sourceTranslatedPort | srcPostNATPort | principal.nat_port | |
| NAT 宛先ポート(natdport) | destinationTranslatedPort | dstPostNATPort | target.nat_port | |
| フラグ(flags) | flexString1 | フラグ | flags | about.labels.key/value |
| IP プロトコル(proto) | proto | proto | network.ip_protocol | |
| アクション (action) | 対処 | action | security_result.action_details
security_result.action |
|
| URL/ファイル名(その他) | その他 | target.file.full_path
target.url |
||
| 脅威/コンテンツ名(threatid) | cat | ThreatID | security_result.threat_id | |
| カテゴリ(category) | cs2 | URL のカテゴリ | category | about.labels.key/value |
| 重大度(重大度) | 重大度(ヘッダ) | 重大度 | security_result.severity
security_result.severity_details |
|
| 目的地 (direction) | flexString2 | 方向 | network.direction | |
| シーケンス番号(seqno) | externalId | シーケンス | metadata.product_log_id | |
| アクション フラグ(actionflags) | PanOSActionFlags | ActionFlags | actionflags | about.labels.key/value |
| 送信元の国(srcloc) | SourceLocation | principal.location.country_or_region | ||
| 送信先国(dstloc) | DestinationLocation | target.location.country_or_region | ||
| コンテンツ タイプ (contenttype) | requestContext | ContentType | contenttype | about.labels.key/value |
| pcap_id(pcap_id) | fileId | PCAP_ID | pcap_id | about.labels.key/value |
| filedigest(filedigest) | FileDigest | about.file.sha1/md5/sha256 | ||
| クラウド(cloud) | クラウド | cloud | about.labels.key/value | |
| url_idx(url_idx) | URLIndex | url_idx | about.labels.key/value | |
| user_agent(user_agent) | requestClientApplication | UserAgent | network.http.user_agent | |
| filetype(filetype) | about.file.mime_type | |||
| xff(xff) | PanOSXForwarderfor | identSrc | xff | about.labels.key/value |
| リファラー(referer) | PanOSReferer | リファラー | network.http.referral_url | |
| 送信者(sender) | network.email.from | |||
| 件名(subject) | 件名 | network.email.subject | ||
| 受信者(recipient) | network.email.to | |||
| reportid (reportid) | reportid | about.labels.key/value | ||
| DG 階層レベル 1(dg_hier_level_1) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key/value |
| DG 階層レベル 2(dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key/value |
| DG 階層レベル 3(dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key/value |
| DG 階層レベル 4(dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key/value |
| 仮想システム名(vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.type_VIRTUAL_MACHINE |
|
| デバイス名(device_name) | dvchost | DeviceName | intermediary.hostname | |
| file_url(file_url) | about.url | |||
| ソース VM UUID(src_uuid) | SrcUUID | principal.asset.asset_id | ||
| 宛先 VM UUID(dst_uuid) | DstUUID | target.asset.asset_id | ||
| http_method (http_method) | requestMethod | RequestMethod | network.http.method | |
| トンネル ID/IMSI (tunnelid) | PanOSTunnelID | TunnelID | tunnelid | about.labels.key/value |
| タグ/IMEI のモニタリング(monitortag) | PanOSMonitorTag | MonitorTag | monitortag | about.labels.key/value |
| 親セッション ID(parent_session_id) | PanOSParentSessionID | ParentSessionID | parent_session_id | about.labels.key/value |
| 親セッションの開始時間(parent_start_time) | PanOSParentStartTime | ParentStartTime | parent_start_time | about.labels.key/value |
| トンネル(tunnel) | PanOSTunnelType | TunnelType | トンネル | about.labels.key/value |
| thr_category(thr_category) | PanOSThreatCategory | ThreatCategory | thr_category | security_result.detection_fields.key/value |
| contentver(contentver) | PanOSContentVer | ContentVer | contentver | about.labels.key/value |
| sig_flags(sig_flags) | sig_flags | about.labels.key/value | ||
| SCTP アソシエーション ID(assoc_id) | PanOSAssocID | assoc_id | about.labels.key/value | |
| ペイロード プロトコル ID(ppid) | PanOS Jamboard | ppid | about.labels.key/value | |
| http_headers(http_headers) | PanOSHTTPHeader | http_headers | about.labels.key/value | |
| URL カテゴリリスト(url_category_list) | PanOSURLCatList | url_category_list | about.labels.key/value | |
| ルールの UUID(rule_uuid) | PanOSRuleUUID | rule_uuid | about.labels.key/value | |
| HTTP/2 接続(http2_connection) | PanOSHTTP2Con | http2_connection | about.labels.key/value | |
| dynusergroup_name(dynusergroup_name) | PanDynamicUsrgrp | dynusergroup_name | about.labels.key/value | |
| XFF アドレス(xff_ip) | PanXFFIP | principal.ip | ||
| ソースのデバイス カテゴリ(src_category) | PanSrcDeviceCat | src_category | principal.labels.key/value | |
| ソースデバイス プロファイル(src_profile) | PanSrcDeviceProf | src_profile | principal.labels.key/value | |
| ソースデバイスモデル(src_model) | PanSrcDeviceModel | src_model | principal.labels.key/value | |
| ソースデバイス ベンダー(src_Vendor) | PanSrcDeviceVendor | src_Vendor | principal.labels.key/value | |
| ソースデバイスの OS ファミリー(src_osfamily) | PanSrcDeviceOS | principal.asset.platform_software.platform
principal.labels.key/value |
||
| ソースデバイスの OS バージョン(src_osversion) | PanSrcDeviceOSv | principal:asset.software.version | ||
| ソースホスト名(src_host) | PanSrcHostname | src_host | principal.labels.key/value | |
| 送信元 Mac アドレス(src_mac) | PanSrcMac | principal.mac | ||
| 宛先デバイス カテゴリ(dst_category) | PanDstDeviceCat | dst_category | target.labels.key/value | |
| 宛先デバイス プロファイル(dst_profile) | PanDstDeviceProf | dst_profile | target.labels.key/value | |
| 宛先デバイスモデル(dst_model) | PanDstDeviceModel | dst_model | target.labels.key/value | |
| 宛先デバイス ベンダー(dst_Vendor) | PanDstDeviceVendor | dst_Vendor | target.labels.key/value | |
| 宛先デバイスの OS ファミリー(dst_osfamily) | PanDstDeviceOS | target.asset.platform_software.platform
target.labels.key/value |
||
| 宛先デバイスの OS バージョン(dst_osversion) | PanDstDeviceOSv | target.asset.software.version | ||
| 宛先ホスト名(dst_host) | PanPODNamespace | target.hostname | ||
| 宛先 Mac アドレス(dst_mac) | PanDstMac | target.mac | ||
| コンテナ ID (container_id) | PanContainerName | コンテナ ID | about.labels.key/value | |
| ポッドの名前空間(pod_namespace) | PanPODNamespace | pod_namespace | about.labels.key/value | |
| ポッド名(pod_name) | PanPODName | pod_name | about.labels.key/value | |
| ソース外部動的リスト(src_edl) | PanSrcEDL | src_edl | principal.labels.key/value | |
| 宛先外部動的リスト(dst_edl) | PanDstEDL | dst_edl | target.labels.key/value | |
| ホスト ID(hostid) | PanGPHostID | hostid | about.labels.key/value | |
| シリアル番号(serialnumber) | PanEPSerial | principal.asset.hardware.serial_number | ||
| domain_edl(domain_edl) | PanDomainEDL | domain_edl | about.labels.key/value | |
| 送信元動的アドレスグループ(src_dag) | PanSrcDAG | principal.group.group_display_name | ||
| 宛先動的アドレスグループ(dst_dag) | PanDstDAG | target.group.group_display_name | ||
| partial_hash (partial_hash) | PanPartialHash | partial_hash | about.labels.key/value | |
| 高解像度タイムスタンプ(high_res_timestamp) | PanTimeHighRes | metadata.collected_timestamp,
metadata.event_timestamp("Generate Time" が存在しない場合) |
||
| 理由 (reason) | PanReasonFilteringAction | reason | about.labels.key/value | |
| 正当な理由 (justification) | PanJustification | 理由 | about.labels.key/value | |
| nssai_sst(nssai_sst) | PanASServiceType | nssai_sst | about.labels.key/value | |
| アプリのサブカテゴリ(subcategory_of_app) | subcategory_of_app | about.labels.key/value | ||
| アプリのカテゴリ(category_of_app) | category_of_app | about.labels.key/value | ||
| アプリのテクノロジー(technology_of_app) | technology_of_app | about.labels.key/value | ||
| アプリのリスク(risk_of_app) | risk_of_app | about.labels.key/value | ||
| アプリの特性(recording_of_app) | アプリの特性 | about.labels.key/value | ||
| アプリのコンテナ(container_of_app) | container_of_app | about.labels.key/value | ||
| トンネリングされたアプリ(tunneled_app) | tunneled_app | about.labels.key/value | ||
| アプリの SaaS(is_saas_of_app) | is_saas_of_app | about.labels.key/value | ||
| アプリの承認済み状態(sanitioned_state_of_app) | sanitioned_state_of_app | about.labels.key/value |
データ
次の表に、データログタイプのログフィールドと、それに対応する UDM フィールドを示します。
| CSV フィールド | CEF フィールド | LEEF フィールド | Chronicle のラベルキー | UDM フィールド |
|---|---|---|---|---|
| 受信時間(cef-format-receive_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp("Generate Time" が存在しない場合) |
|
| シリアル番号 (serial) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
| タイプ(タイプ) | タイプ(ヘッダー) | cat | metadata.product_event_type | |
| 脅威/コンテンツ タイプ(サブタイプ) | サブタイプ(ヘッダー) | サブタイプ | metadata.product_event_type | |
| 生成時間 | metadata.event_timestamp | |||
| 送信元アドレス(src) | src | src | principal.ip | |
| 宛先アドレス(dst) | dst | dst | target.ip | |
| NAT 送信元 IP(natsrc) | sourceTranslatedAddress | srcPostNAT | principal.nat_ip | |
| NAT 宛先 IP(natdst) | destinationTranslatedAddress | dstPostNAT | target.nat_ip | |
| ルール(rule) | cs1 | RuleName | security_result.rule_name | |
| 移行元ユーザー(srcuser) | suser | SourceUser | principal.user.userid | |
| 宛先ユーザー(dstuser) | duser | DestinationUser | target.user.userid | |
| アプリケーション (app) | app | Application(アプリケーション) | network.application_protocol | |
| 仮想システム(vsys) | cs3 | VirtualSystem | vsys | about.labels.key/value |
| ソースゾーン(送信元) | cs4 | SourceZone | 送信元 | principal.labels.key/value |
| 宛先ゾーン(to) | cs5 | DestinationZone | ~ | target.labels.key/value |
| 受信インターフェース(inbound_if) | deviceInboundInterface | IngressInterface | receiver_if | principal.labels.key/value |
| 送信インターフェース(outbound_if) | deviceOutboundInterface | EgressInterface | external_if | target.labels.key/value |
| ログアクション(logset) | cs6 | LogForwardingProfile | ログセット | about.labels.key/value |
| ログ時間 | time_logged | about.labels.key/value | ||
| セッション ID(sessionid) | cn1 | SessionID | network.session_id | |
| 繰り返し回数(Repeatcnt) | cnt | RepeatCount | repeatcnt | about.labels.key/value |
| 送信元ポート(sport) | spt | srcPort | principal.port | |
| 宛先ポート(dport) | dpt | dstPort | target.port | |
| NAT 送信元ポート(natsport) | sourceTranslatedPort | srcPostNATPort | principal.nat_port | |
| NAT 宛先ポート(natdport) | destinationTranslatedPort | dstPostNATPort | target.nat_port | |
| フラグ(flags) | flexString1 | フラグ | flags | about.labels.key/value |
| IP プロトコル(proto) | proto | proto | network.ip_protocol | |
| アクション (action) | 対処 | action | security_result.action_details
security_result.action |
|
| URL/ファイル名(その他) | その他 | target.file.full_path
target.url |
||
| 脅威/コンテンツ名(threatid) | cat | ThreatID | security_result.threat_id | |
| カテゴリ(category) | cs2 | URL のカテゴリ | category | about.labels.key/value |
| 重大度(重大度) | 重大度(ヘッダ) | 重大度 | security_result.severity
security_result.severity_details |
|
| 目的地 (direction) | flexString2 | 方向 | network.direction | |
| シーケンス番号(seqno) | externalId | シーケンス | metadata.product_log_id | |
| アクション フラグ(actionflags) | PanOSActionFlags | ActionFlags | actionflags | about.labels.key/value |
| 送信元の国(srcloc) | SourceLocation | principal.location.country_or_region | ||
| 送信先国(dstloc) | DestinationLocation | target.location.country_or_region | ||
| コンテンツ タイプ (contenttype) | ContentType | contenttype | about.labels.key/value | |
| pcap_id(pcap_id) | fileId | PCAP_ID | pcap_id | about.labels.key/value |
| filedigest(filedigest) | FileDigest | about.file.sha1/md5/sha256 | ||
| クラウド(cloud) | クラウド | cloud | about.labels.key/value | |
| url_idx(url_idx) | URLIndex | url_idx | about.labels.key/value | |
| user_agent(user_agent) | network.http.user_agent | |||
| filetype(filetype) | about.file.mime_type | |||
| xff(xff) | xff | about.labels.key/value | ||
| リファラー(referer) | network.http.referral_url | |||
| 送信者(sender) | network.email.from | |||
| 件名(subject) | 件名 | network.email.subject | ||
| 受信者(recipient) | network.email.to | |||
| reportid (reportid) | reportid | about.labels.key/value | ||
| DG 階層レベル 1(dg_hier_level_1) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key/value |
| DG 階層レベル 2(dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key/value |
| DG 階層レベル 3(dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key/value |
| DG 階層レベル 4(dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key/value |
| 仮想システム名(vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.type_VIRTUAL_MACHINE |
|
| デバイス名(device_name) | dvchost | DeviceName | intermediary.hostname | |
| file_url(file_url) | about.url | |||
| ソース VM UUID(src_uuid) | SrcUUID | principal.asset.asset_id | ||
| 宛先 VM UUID(dst_uuid) | DstUUID | target.asset.asset_id | ||
| http_method (http_method) | RequestMethod | network.http.method | ||
| トンネル ID/IMSI (tunnelid) | PanOSTunnelID | TunnelID | tunnelid | about.labels.key/value |
| タグ/IMEI のモニタリング(monitortag) | PanOSMonitorTag | MonitorTag | monitortag | about.labels.key/value |
| 親セッション ID(parent_session_id) | PanOSParentSessionID | ParentSessionID | parent_session_id | about.labels.key/value |
| 親セッションの開始時間(parent_start_time) | PanOSParentStartTime | ParentStartTime | parent_start_time | about.labels.key/value |
| トンネル(tunnel) | PanOSTunnelType | TunnelType | トンネル | about.labels.key/value |
| thr_category(thr_category) | PanOSThreatCategory | ThreatCategory | thr_category | security_result.detection_fields.key/value |
| contentver(contentver) | PanOSContentVer | ContentVer | contentver | about.labels.key/value |
| sig_flags(sig_flags) | sig_flags | about.labels.key/value | ||
| SCTP アソシエーション ID(assoc_id) | PanOSAssocID | assoc_id | about.labels.key/value | |
| ペイロード プロトコル ID(ppid) | PanOS Jamboard | ppid | about.labels.key/value | |
| http_headers(http_headers) | PanOSHTTPHeader | http_headers | about.labels.key/value | |
| URL カテゴリリスト(url_category_list) | url_category_list | about.labels.key/value | ||
| ルールの UUID(rule_uuid) | PanOSRuleUUID | rule_uuid | about.labels.key/value | |
| HTTP/2 接続(http2_connection) | http2_connection | about.labels.key/value | ||
| dynusergroup_name(dynusergroup_name) | dynusergroup_name | principal.labels.key/value | ||
| XFF アドレス(xff_ip) | principal.ip | |||
| ソースのデバイス カテゴリ(src_category) | src_category | principal.labels.key/value | ||
| ソースデバイス プロファイル(src_profile) | src_profile | principal.labels.key/value | ||
| ソースデバイスモデル(src_model) | src_model | principal.labels.key/value | ||
| ソースデバイス ベンダー(src_Vendor) | src_Vendor | principal.labels.key/value | ||
| ソースデバイスの OS ファミリー(src_osfamily) | principal.asset.platform_software.platform
principal.labels.key/value |
|||
| ソースデバイスの OS バージョン(src_osversion) | principal:asset.software.version | |||
| ソースホスト名(src_host) | src_host | principal.labels.key/value | ||
| 送信元 Mac アドレス(src_mac) | principal.mac | |||
| 宛先デバイス カテゴリ(dst_category) | dst_category | target.labels.key/value | ||
| 宛先デバイス プロファイル(dst_profile) | dst_profile | target.labels.key/value | ||
| 宛先デバイスモデル(dst_model) | dst_model | target.labels.key/value | ||
| 宛先デバイス ベンダー(dst_Vendor) | dst_Vendor | target.labels.key/value | ||
| 宛先デバイスの OS ファミリー(dst_osfamily) | target.asset.platform_software.platform
target.labels.key/value |
|||
| 宛先デバイスの OS バージョン(dst_osversion) | target.asset.software.version | |||
| 宛先ホスト名(dst_host) | target.hostname | |||
| 宛先 Mac アドレス(dst_mac) | target.mac | |||
| コンテナ ID (container_id) | コンテナ ID | about.labels.key/value | ||
| ポッドの名前空間(pod_namespace) | pod_namespace | about.labels.key/value | ||
| ポッド名(pod_name) | pod_name | about.labels.key/value | ||
| ソース外部動的リスト(src_edl) | src_edl | principal.labels.key/value | ||
| 宛先外部動的リスト(dst_edl) | dst_edl | target.labels.key/value | ||
| ホスト ID(hostid) | hostid | about.labels.key/value | ||
| シリアル番号(serialnumber) | principal.asset.hardware.serial_number | |||
| domain_edl(domain_edl) | domain_edl | about.labels.key/value | ||
| 送信元動的アドレスグループ(src_dag) | principal.group.group_display_name | |||
| 宛先動的アドレスグループ(dst_dag) | target.group.group_display_name | |||
| partial_hash (partial_hash) | partial_hash | about.labels.key/value | ||
| 高解像度タイムスタンプ(high_res_timestamp) | metadata.collected_timestamp,
metadata.event_timestamp("Generate Time" が存在しない場合) |
|||
| 理由 (reason) | reason | about.labels.key/value | ||
| 正当な理由 (justification) | 理由 | about.labels.key/value | ||
| nssai_sst(nssai_sst) | nssai_sst | about.labels.key/value | ||
| アプリのサブカテゴリ(subcategory_of_app) | subcategory_of_app | about.labels.key/value | ||
| アプリのカテゴリ(category_of_app) | category_of_app | about.labels.key/value | ||
| アプリのテクノロジー(technology_of_app) | technology_of_app | about.labels.key/value | ||
| アプリのリスク(risk_of_app) | risk_of_app | about.labels.key/value | ||
| アプリの特性(recording_of_app) | アプリの特性 | about.labels.key/value | ||
| アプリのコンテナ(container_of_app) | container_of_app | about.labels.key/value | ||
| トンネリングされたアプリ(tunneled_app) | tunneled_app | about.labels.key/value | ||
| アプリの SaaS(is_saas_of_app) | is_saas_of_app | about.labels.key/value | ||
| アプリの承認済み状態(sanitioned_state_of_app) | sanitioned_state_of_app | about.labels.key/value |
GlobalProtect
次の表に、GlobalProtect ログタイプのログフィールドと、それぞれに対応する UDM フィールドを示します。
| CSV フィールド | CEF フィールド | LEEF フィールド | Chronicle のラベルキー | UDM フィールド |
|---|---|---|---|---|
| 受信時間(receive_time) | rt | received_time | metadata.event_timestamp | |
| シリアル番号 (serial) | PanOSDeviceSN | intermediary_asset_hardware_serial_number | intermediary.asset.hardware.serial_number | |
| タイプ(タイプ) | タイプ(ヘッダー) | metadata.product_event_type | ||
| 脅威/コンテンツ タイプ(サブタイプ) | サブタイプ(ヘッダー) | サブタイプ | metadata.product_event_type | |
| 生成時間(time_generated) | PanOSLogTimeStamp | generate_timestamp | metadata.event_timestamp | |
| 仮想システム(vsys) | PanOSVirtualSystem | vsys | about.labels.key/value | |
| イベント ID(eventid) | PanOSEventID | event_id | about.labels.key/value | |
| ステージ (stage) | PanOSStage | ステージ | about.labels.key/value | |
| 認証方法(auth_method) | PanOSAuthMethod | extension_auth_auth_details | extensions.auth.auth_details | |
| トンネルタイプ(tunnel_type) | PanOSTunnelType | トンネル | about.labels.key/value | |
| 移行元ユーザー(srcuser) | PanOSSourceUserName | src_user | principal.user.email_address
principal.user.userid principal.administrative_domain |
|
| ソース リージョン(srcregion) | PanOSSourceRegion | src_region | principal.location.country_or_region | |
| マシン名(machinename) | PanOSEndpointDeviceName | machine_name | principal.hostname | |
| パブリック IP(public_ip) | PanOSPublicIPv4 | principal.nat_ip | ||
| パブリック IPv6(public_ipv6) | PanOSPublicIPv6 | principal.nat_ip | ||
| プライベート IP(private_ip) | PanOSPrivateIPv4 | principal.ip | ||
| プライベート IPv6(private_ipv6) | PanOSPrivateIPv6 | principal.ip | ||
| ホスト ID(hostid) | PanOSHostID | hostid | principal.asset.asset_id | |
| シリアル番号(serialnumber) | PanOSDeviceSN | principal.asset.hardware.serial_number | ||
| クライアントのバージョン(client_ver) | PanOSGlobalProtectClientVersion | client_ver | about.labels.key/value | |
| クライアント OS(client_os) | PanOSEndpointOSType | principal.asset.platform_software.platform(enum) | ||
| クライアント OS バージョン(client_os_ver) | PanOSEndpointOSVersion | principal:asset.platform_software.platform_version | ||
| 繰り返し回数(Repeatcnt) | PanOSCountOfRepeats | repeatcnt | about.labels.key/value | |
| 理由 (reason) | PanOSQuarantineReason | security_result.summary | ||
| エラー(error) | PanOSConnectionError | エラー | security_result.description | |
| 説明(不透明) | PanOSDescription | security_result.description | ||
| ステータス(status) | PanOSEventStatus | status | about.labels.key/value | |
| ロケーション(LOCATION) | PanOSGPGatewayLocation | target.location.country_or_region | ||
| ログイン期間(login_duration) | PanOSLoginDuration | network.session_duration | ||
| Connect メソッド(connect_method) | PanOSConnectionMethod | connect_method | about.labels.key/value | |
| エラーコード (error_code) | PanOSConnectionErrorID | error_code | about.labels.key/value | |
| ポータル(portal) | PanOSPortal | portal | about.labels.key/value | |
| シーケンス番号(seqno) | PanOSSequenceNo | metadata.product_log_id | ||
| アクション フラグ(actionflags) | PanOSActionFlags | actionflags | about.labels.key/value | |
| 高解像度のタイムスタンプ(high_res_timestamp) | anOSTimeGeneratedHighResolution | metadata.collected_timestamp,
metadata.event_timestamp("Generate Time" が存在しない場合) |
||
| ゲートウェイ選択方法(selection_type) | PanOSGatewaySelectionType | 選択の種類 | about.labels.key/value | |
| SSL レスポンス時間(response_time) | PanOSSSLResponseTime | response_time | about.labels.key/value | |
| ゲートウェイの優先度(proproity) | PanOSGatewayPriority | priority | about.labels.key/value | |
| 試行したゲートウェイ(attempted_gateways) | PanOSAttemptedGateway | try_gateways | about.labels.key/value | |
| ゲートウェイ名(gateway) | PanOSAttemptedGateway | ゲートウェイ | about.labels.key/value | |
| デバイス グループ階層(dg_hier_level_1) | dg_hier_level_1 | about.labels.key/value | ||
| デバイス グループ階層(dg_hier_level_2) | dg_hier_level_2 | about.labels.key/value | ||
| デバイス グループ階層(dg_hier_level_3) | dg_hier_level_3 | about.labels.key/value | ||
| デバイス グループ階層(dg_hier_level_4) | dg_hier_level_4 | about.labels.key/value | ||
| 仮想システム名(vsys_name) | principal.resource.name
principal.resource.type_VIRTUAL_MACHINE |
|||
| デバイス名(device_name) | target.hostname | |||
| 仮想システム ID(vsys_id) | principal.resource.resource_type=VIRTUAL_MACHINE と principal.resource.product_object_id |
相関
次の表に、相関ログタイプのログフィールドと、それに対応する UDM フィールドを示します。
| CSV フィールド | CEF フィールド | LEEF フィールド | Chronicle のラベルキー | UDM フィールド |
|---|---|---|---|---|
| 生成時刻(time_generated または cef-format-time_generated) | startTime | generate_timestamp | metadata.event_timestamp | |
| 送信元アドレス(src) | src | principal.ip | ||
| 移行元ユーザー(srcuser) | SourceUser / usrName | principal.user.userid | ||
| 仮想システム(vsys) | VirtualSystem | vsys | about.labels.key/value | |
| カテゴリ(category) | security_result.category_details | |||
| 重大度(重大度) | 重大度 | security_result.severity と security_result.severity_details | ||
| デバイス グループ階層レベル 1 | DeviceGroupHierarchyL1 | about.labels.key/value | ||
| デバイス グループ階層レベル 2 | DeviceGroupHierarchyL2 | about.labels.key/value | ||
| デバイス グループ階層レベル 3 | DeviceGroupHierarchyL3 | about.labels.key/value | ||
| デバイス グループ階層レベル 4 | DeviceGroupHierarchyL4 | about.labels.key/value | ||
| 仮想システム名(vsys_name) | vSrcName | principal.resource.name
principal.resource.type_VIRTUAL_MACHINE |
||
| デバイス名(device_name) | DeviceName | intermediary.hostname | ||
| 仮想システム ID(vsys_id) | VirtualSystemID | principal.resource.resource_type=VIRTUAL_MACHINE と principal.resource.product_object_id | ||
| オブジェクト名(objectname) | ObjectName | target.resource.name | ||
| オブジェクト ID(object_id) | ObjectID | target.resource.product_object_id |
フィールド マッピング リファレンス: ログタイプと UDM イベントタイプの比較
次の表に、Palo Alto Networks のファイアウォール ログタイプと、それに対応する UDM イベントタイプを示します。
| ログタイプ | UDM イベントタイプ |
| トラフィック | NETWORK_CONNECTION |
| 脅威 | NETWORK_CONNECTION |
| URL のフィルタリング | NETWORK_CONNECTION |
| Wildfire | NETWORK_CONNECTION
WildFire 送信ログは脅威ログタイプのサブタイプであり、同じ syslog 形式を使用します。 |
| データのフィルタリング | NETWORK_CONNECTION |
| トンネル | NETWORK_CONNECTION |
| Config | SETTING_MODIFICATION/SETTING_CREATION/SETTING_DELETION/SETTING_UNCATEGORIZED
[Command (cmd)] フィールドの値は、UDM イベントタイプのマッピングを決定します。 cmd フィールドの値が add または clone の場合、SETTING_CREATION が設定されます。 cmd フィールド値が削除されると、SETTING_DELETION が設定されます。 cmd フィールドの値が edit、move、names、set、commit の場合は、SETTING_MODIFICATION が設定されます。 cmd フィールドの値に値が含まれていない場合、SETTING_UNCATEGORIZED が設定されます。 |
| システム |
サブタイプの値が dhcp の場合は、NETWORK_DHCP が設定されます。その他の値の場合は、GENERIC_EVENT が設定されます。 |
| HIP 一致 | NETWORK_CONNECTION |
| IP タグ | GENERIC_EVENT |
| User-ID | USER_LOGIN/USER_LOGOUT/USER_UNCATEGORIZED
サブタイプの値が「login」の場合、USER_LOGIN が設定されます。 サブタイプの値が「logout」の場合は、USER_LOGOUT が設定されます。 サブタイプに値が含まれていない場合、USER_UNCATEGORIZED が設定されます。 |
| 復号 | NETWORK_CONNECTION |
| Authentication | GENERIC_EVENT |