Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Coletar registros de firewall da Palo Alto Networks

Visão geral

Neste documento, descrevemos como configurar o syslog e um encaminhador do Chronicle para coletar os registros de firewall da Palo Alto Networks. Este documento também explica como os campos de registro de firewall da Palo Alto Networks são mapeados para os campos do Chronicle Unified Data Model (UDM).

Para uma visão geral sobre a ingestão de dados do Chronicle, consulte Ingestão de dados para o Chronicle.

Um identificador de ingestão identifica o analisador que normaliza os dados de registro brutos no formato UDM estruturado. As informações neste documento se aplicam ao analisador com o rótulo de ingestão PAN_FIREWALL.

Antes de começar

  • Para entender os componentes implantados para coletar registros de firewall da Palo Alto Networks, analise a arquitetura de implantação. Cada implantação do cliente pode ser diferente dessa representação e ser mais complexa.

    O diagrama a seguir mostra como configurar o syslog em um firewall da Palo Alto Networks e instalar um encaminhador do Chronicle em um servidor Linux para encaminhar dados de registros para o Chronicle. O analisador é compatível com registros gravados nos seguintes formatos de dados: valores separados por vírgulas (CSV), formato de evento comum (CEF, na sigla em inglês) e formato de evento estendido de registro (LEEF, na sigla em inglês).

    Arquitetura de implantação

  • Verifique os formatos de registro e as versões do PAN-OS compatíveis com o analisador do Chronicle. A tabela a seguir lista os formatos de registro e as versões correspondentes do PAN-OS compatíveis com o analisador do Chronicle:

    Formato do registro Versão PAN-OS
    CSV 10,1,3
    CEF 10.0.0
    LETRA 9.1.0

  • Verifique os tipos de registro de firewall da Palo Alto Networks compatíveis com o analisador do Chronicle. O analisador do Chronicle é compatível com os seguintes tipos de registro de firewall da Palo Alto Networks:

    • Tráfego
    • Ameaça
    • Envios do WildFire
    • Inspeção de túneis
    • Configuração
    • Sistema
    • Correspondência HIP
    • Tag de IP
    • ID do usuário
    • Descriptografia
    • Authentication
    • Filtragem de URL
    • Filtragem de dados
    • Proteção global
    • Correlação

    Para mais informações sobre os tipos de registro de firewall da Palo Alto Networks, consulte Tipos de registro do PAN-OS.

  • Verifique se todos os sistemas na arquitetura de implantação estão configurados no fuso horário UTC.

  • Antes de usar o analisador de ouro do firewall da Palo Alto Networks, confira as mudanças nos mapeamentos de campo entre o analisador padrão e o analisador de ouro listadas neste documento. Como parte da migração, verifique se as regras, as pesquisas, os painéis ou outros processos que dependem dos campos originais usam os campos atualizados.

    Por exemplo, no analisador padrão, o campo de registro "categoria" é mapeado para o campo de UDM "security_result.description". No analisador de ouro do firewall de PAN, o campo de registro "categoria" é mapeado para o campo de UDM "security_result.category_details". Se você migrar para o analisador de ouro do firewall de PAN e usar "categoria" nas suas regras, será necessário modificar as regras para usar o campo de UDM "security_result.category_details" do analisador de ouro.

Configurar syslog e o encaminhador do Chronicle

Para configurar o syslog e o encaminhador do Chronicle, siga estas etapas:

  1. Para monitorar registros CSV, configure o perfil do servidor syslog. Para mais informações, consulte Configurar o perfil do servidor syslog.

    Ao configurar o perfil do servidor syslog, especifique "Padrão" como o formato de registro personalizado.

  2. Para monitorar os registros do CEF, configure o firewall da Palo Alto Networks. Para mais informações, faça o download do PDF do guia de integração do CEF do PAN-OS e consulte a seção "Configuração da NGFW da Palo Alto Networks para gerar eventos do CEF".

  3. Para monitorar os registros do LEEF, configure o perfil do servidor syslog. Para mais informações, consulte Encaminhamento personalizado de registros no formato LEEF.

  4. Configure o encaminhador do Chronicle para enviar registros. Para mais informações, consulte Como instalar e configurar o encaminhador no Linux. Este é um exemplo de configuração de encaminhador do Chronicle:

      - syslog:
          common:
            enabled: true
            data_type: PAN_FIREWALL
            batch_n_seconds: 10
            batch_n_bytes: 1048576
          tcp_address: 0.0.0.0:10518
          connection_timeout_sec: 60
    

Referência de mapeamento de campo: o firewall do PAN registra campos para campos de mensagens diretas

Nesta seção, explicamos como o analisador mapeia campos de registro de firewall da Palo Alto Networks para campos de evento UDM do Chronicle para cada tipo de registro.

A chave do rótulo do Chronicle se refere ao nome da chave mapeada para o campo da UDM de Labels.key. Por exemplo, no caso de "Virtual System", o nome do campo é "cs3" no formato CEF e "VirtualSystem" no formato LEEF. O campo UDM "about.labels.key" contém o valor "vsys" e o campo UDM "about.labels.value" contém o valor desse campo.

Alguns dos nomes de campo de CEF ou LEEF não têm um nome correspondente aos nomes de campo do CSV. Nesses casos, se você adicionar o próprio nome da variável no formato de registro personalizado no perfil syslog, o analisador não o mapeará para o campo UDM.

Consulte as seções a seguir para ver a referência do mapeamento de cada tipo de registro:

Sistema

A tabela a seguir lista os campos do tipo de registro do sistema e os campos de UDM correspondentes.

Campo CSV Campo de CEF Campo LEEF Chave do rótulo do Chronicle Campo UDM
Horário de recebimento (receive_time ou cef-formatted-receive_time) Rt Hora do desenvolvedor metadata.collected_timestamp,

metadata.event_timestamp (se "Gerar horário" estiver ausente)

Número de série (serial) ID externo do dispositivo Número de série intermediary.asset.hardware.serial_number
Tipo (tipo) tipo (cabeçalho) cat metadata.product_event_type está definido como "%{type} - %{subtype}".
Tipo de ameaça/conteúdo (subtipo) subtipo (cabeçalho) Subtipo metadata.product_event_type está definido como "%{type} - %{subtype}".
Horário gerado (time_generate ou cef-formatted-time_generate) metadata.event_timestamp
Sistema virtual (vsys) CS3 Sistema Virtual vsys about.labels.key/value
ID do evento (eventid) cat ID do evento about.labels.key/value
Objeto (objeto) fname Nome do arquivo um objeto about.labels.key/value
Módulo (módulo) Flex2 Módulo module about.labels.key/value
Gravidade (gravidade) $number-of-severity(cabeçalho) Gravidade security_result.severity e security_result.severity_details
Descrição (opaca) msg msg metadata.description
Número da sequência (seqno) externalId sequência metadata.product_log_id
Sinalizações de ação (flagelações) Sinalizações PanOSAction Sinalizações de ação sinalizações de ação about.labels.key/value
Hierarquia do grupo de dispositivos (dg_hier_level_1 para dg_hier_level_4) PanOSDGl1 Hierarquia do grupo de dispositivos L1 dg_hier_level_1 about.labels.key/value
Hierarquia do grupo de dispositivos (dg_hier_level_2) PanOSDGl2 Hierarquia do grupo de dispositivos L2 dg_hier_level_2 about.labels.key/value
Hierarquia do grupo de dispositivos (dg_hier_level_3) PanOSDGl3 Hierarquia do grupo de dispositivos L3 dg_hier_level_3 about.labels.key/value
Hierarquia do grupo de dispositivos (dg_hier_level_4) PanOSDGl4 Hierarquia do grupo de dispositivos L4 dg_hier_level_4 about.labels.key/value
Nome do sistema virtual (vsys_name) Nome do PanOSVsys NomeDoVSrc principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

Nome do dispositivo (device_name) Dvchost DeviceName nome-intermediário.nomedohost
Carimbo de data/hora de alta resolução (high_res_timestamp) anOSTimeGeneratedAlta resolução metadata.collected_timestamp,

metadata.event_timestamp (se "Gerar horário" estiver ausente)

Configuração

A tabela a seguir lista os campos do tipo de registro de configuração e os campos de UDM correspondentes.

Campo CSV Campo de CEF Campo LEEF Chave do rótulo do Chronicle Campo UDM
Horário de recebimento (receive_time ou cef-formatted-receive_time) Rt Hora do desenvolvedor metadata.collected_timestamp,

metadata.event_timestamp (se "Gerar horário" estiver ausente)

Número de série (serial) ID externo do dispositivo Número de série intermediary.asset.hardware.serial_number
Tipo (tipo) tipo (cabeçalho) cat metadata.product_event_type
Tipo de ameaça/conteúdo (subtipo) subtipo (cabeçalho) metadata.product_event_type
Horário gerado (time_generate ou cef-formatted-time_generate) metadata.event_timestamp
Host (host) sdor src principal.ip/hostname
Sistema virtual (vsys) CS3 Sistema Virtual vsys about.labels.key/value
Comando (cmd) agir msg cmd about.labels.key/value
Administrador (administrador) duser NomeNome principal.user.userid
Cliente (cliente) NomedoServiçoDeDestino cliente principal.application
Resultado (resultado) ID da assinatura (cabeçalho)(motivo) Resultado segurança_resumo.result
Caminho de configuração (caminho) msg Caminho de configuração principal.process.command_line
Antes dos detalhes da mudança (before_change_detail) CS1 Antes de ChangeChangeDetail antes de alterar_detalhes target.resource.attribute.labels.key/value
Depois dos detalhes da mudança (after_change_detail) CS2 AfterChangeDetail after_change_detail target.resource.attribute.labels.key/value
Número da sequência (seqno) externalId sequência metadata.product_log_id
Sinalizações de ação (flagelações) Sinalizações PanOSAction Sinalizações de ação sinalizações de ação about.labels.key/value
Hierarquia do grupo de dispositivos (dg_hier_level_1 para dg_hier_level_4) PanOSDGl1 Hierarquia do grupo de dispositivos L1 dg_hier_level_1 about.labels.key/value
Hierarquia do grupo de dispositivos (dg_hier_level_2) PanOSDGl2 Hierarquia do grupo de dispositivos L2 dg_hier_level_2 about.labels.key/value
Hierarquia do grupo de dispositivos (dg_hier_level_3) PanOSDGl3 Hierarquia do grupo de dispositivos L3 dg_hier_level_3 about.labels.key/value
Hierarquia do grupo de dispositivos (dg_hier_level_4) PanOSDGl4 Hierarquia do grupo de dispositivos L4 dg_hier_level_4 about.labels.key/value
Nome do sistema virtual (vsys_name) Nome do PanOSVsys NomeDoVSrc principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

Nome do dispositivo (device_name) Dvchost DeviceName nome-intermediário.nomedohost
Grupo de dispositivos (dg_id) Grupo de dispositivos PanOSFW Código do DG principal.asset.attribute.labels.key/value
Comentário da auditoria (comentário) Comentário da auditoria do PanOSPolicy comentário about.labels.key/value

Ameaça/WildFire

A tabela a seguir lista os campos do tipo de registro de ameaças/WildFire e os campos de UDM correspondentes.

Campo CSV Campo de CEF Campo LEEF Chave do rótulo do Chronicle Campo UDM
Horário de recebimento (receive_time ou cef-formatted-receive_time) Rt Hora do desenvolvedor metadata.collected_timestamp,

metadata.event_timestamp (se "Gerar horário" estiver ausente)

Número de série (número de série) ID externo do dispositivo Número de série intermediary.asset.hardware.serial_number
Tipo (tipo) tipo (cabeçalho) cat metadata.product_event_type
Tipo de ameaça/conteúdo (subtipo) cat/subtype (cabeçalho) Subtipo metadata.product_event_type
Gerar horário (time_generate ou cef-formatted-time_generate) metadata.event_timestamp
Endereço de origem (src) src src principal.ip
Endereço de destino (dst) dst dst target.ip;
IP de origem NAT (natsrc) Endereço de origem traduzido srcPostNAT principal.nat_ip
IP de destino NAT (natdst) Endereço traduzido para o destino dstPostNAT target.nat_ip.
Nome da regra (regra) CS1 Nome da regra segurança_resultado.nome_da_regra
Usuário de origem (srcuser) usuário SourceUser / usrName principal.user.userid
Usuário de destino (dstuser) duser Usuário de destino target.user.userid
Aplicativo (app) app Aplicativo target.application
Sistema virtual (vsys) CS3 Sistema Virtual vsys about.labels.key/value
Zona de origem (de) T4 Zona de origem from principal.labels.key/value
Zona de destino (para) CS5 Zona de destino a target.labels.key/value
Interface de entrada (inbound_if) interface de entrada do dispositivo Interface de entrada entrada_se principal.labels.key/value
Interface de saída (outbound_if) Interface de saída do dispositivo Interface de saída outbound_if target.labels.key/value
Ação de registro (conjunto de registros) cs6 Perfil de encaminhamento de registros conjunto de registros about.labels.key/value
ID da sessão (sessionid) CN1 ID da sessão ID da sessão de rede
Contagem de repetições (repetição) cnt Repetir contagem Repetição about.labels.key/value
Porta de origem (esporte) ponto srcPort principal.porta
Porta de destino (porta) Dpt dstPort target.port
Porta de origem NAT (natsport) PortaTraduçãoTradução srcPostNATPort principal.nat_porta
Porta de destino NAT (natdport) Porta de tradução de destino dstPostNATPort target.nat_port
Sinalizações (flags) Flexível1 Sinalizações flags about.labels.key/value
Protocolo IP (proto) proto proto network.ip_protocol
Ação (ação) agir ação segurança_resultado.ação_de_detalhes

segurança_resultado.ação

URL/nome do arquivo (misc) request Diversos

target.file.full_path (se o subtipo for "file", "virus", "virus-virus" ou "fire"), o campo "misc" será mapeado para target.file.full_path

target.url (se o subtipo for "url", o campo "misc" será mapeado para target.url e target.hostname)

target.hostname (se o subtipo for "spyware" ou "vulnerabilidade"), o campo "misc" será mapeado para target.file.full_path e target.url)

Nome da ameaça/conteúdo (atraso) cat ID da ameaça resultado_da_segurança.nome_da_segurança
Categoria (categoria) CS2 Categoria do URL segurança_resultado.categoria_detalhes
Gravidade (gravidade) número de gravidade(cabeçalho) Gravidade security_result.severity e security_result.severity_details
Direção (direção) Flex2 Direção rede.direction
Número da sequência (seqno) externalId sequência metadata.product_log_id
Sinalizações de ação (flagelações) Sinalizações PanOSAction Sinalizações de ação sinalizações de ação about.labels.key/value
País de origem (srcloc) Local de origem principal.location.country_or_region
País de destino (dstloc) Local de destino target.location.country_or_region
Tipo de conteúdo (contenttype) ContentType tipo de conteúdo about.labels.key/value
ID do PCAP (pcap_id) ID do arquivo ID do PCAP ID do pcap about.labels.key/value
Resumo de arquivos (filedigest) Hash do arquivo Resumo de arquivos sobre.arquivo.sha1/md5/sha256
Nuvem (nuvem) Caminho do arquivo Nuvem cloud about.labels.key/value
Índice do URL (url_idx) Índice do URL ID do URL about.labels.key/value
User agent (user_agent) network.http.user_agent
Tipo de arquivo (filetype) Tipo de arquivo Tipo de arquivo about.file.mime_type
X-Forwarded-For (Xff) principal.ip
Referenciador (referenciador) network.http.referral_url
Remetente (remetente) suid Remetente network.email.from
Assunto (assunto) msg Assunto network.email.subject
Destinatário (destinatário) duto Destinatário network.email.to
ID do relatório (ID do relatório) IDdoarquivoantigo ID do relatório ID do relatório about.labels.key/value
Hierarquia do grupo de dispositivos (dg_hier_level_1 para dg_hier_level_4) PanOSDGl1 Hierarquia do grupo de dispositivos L1 dg_hier_level_1 about.labels.key/value
Hierarquia do grupo de dispositivos (dg_hier_level_2) PanOSDGl2 Hierarquia do grupo de dispositivos L2 dg_hier_level_2 about.labels.key/value
Hierarquia do grupo de dispositivos (dg_hier_level_3) PanOSDGl3 Hierarquia do grupo de dispositivos L3 dg_hier_level_3 about.labels.key/value
Hierarquia do grupo de dispositivos (dg_hier_level_4) PanOSDGl4 Hierarquia do grupo de dispositivos L4 dg_hier_level_4 about.labels.key/value
Nome do sistema virtual (vsys_name) Nome do PanOSVsys NomeDoVSrc principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

Nome do dispositivo (device_name) Dvchost DeviceName nome-intermediário.nomedohost
UUID da VM de origem (src_uuid) PanOSSrcUUID SrcUUID principal.user.product_object_id
UUID da VM de destino (dst_uuid) PanOSDstUUID DSTUUID target.user.product_object_id
Método HTTP (http_method) Método de solicitação network.http.method
ID do túnel/IMSI (tunnel_id/imsi) ID do túnel ID do túnel túnel_id/imsi about.labels.key/value
Monitorar tag/IMEI (monitortag/imei) Tag do monitor OSOS Monitorar tag monitortag/imei about.labels.key/value
ID da sessão mãe (parent_session_id) ID da sessão pai do PanOS ID da sessão pai parent_session_id about.labels.key/value
Horário de início da sessão mãe (parent_start_time) Horário de início do PanOS Horário de início dos pais horário_de_início_do_pai about.labels.key/value
Tipo de túnel (túnel) Tipo de Túnel do SO Tipo de túnel túnel about.labels.key/value
Categoria de ameaça (thr_category) CategoriaParStaReais Categoria de ameaças thr_category security_result.detection_fields.key/value
Versão do conteúdo (contentver) Versão do conteúdo OSOS Ver. de conteúdo contentver about.labels.key/value
ID de associação da SCTP (assoc_id) PanOSAssocID ID_associado about.labels.key/value
ID do protocolo de payload (ppid) PanOSPPID ppid about.labels.key/value
Cabeçalhos HTTP (http_headers) Cabeçalho HTTP OS http_cabeçalhos about.labels.key/value
Lista de categorias de URL (url_category_list) Lista de gatos da OSOS lista de categorias de URL about.labels.key/value
UUID da regra (rule_uuid) PanOSRuleUUID ID de resultado da regra de segurança
Conexão HTTP/2 (http2_connection) PanOSHTTP2Con. Conexão http2 about.labels.key/value
Nome do grupo de usuários dinâmicos (dynusergroup_name) Dinâmica Panorâmica dynusergroup_name principal.labels.key/value
Endereço XFF (xff_ip) PanXFFIP principal.ip
Categoria do dispositivo de origem (src_category) PanSrcDeviceCat categoria_src principal.labels.key/value
Perfil do dispositivo de origem (src_profile) PanSrcDeviceProf. perfil_src principal.labels.key/value
Modelo de dispositivo de origem (src_model) Modelo do dispositivo PanSrc modelo_src principal.labels.key/value
Fornecedor do dispositivo de origem (src_vendor) Fornecedor de dispositivos PanSrc src_fornecedor principal.labels.key/value
Família do SO do dispositivo de origem (src_osfamily) Sistema operacionalDoDispositivo src_osfamily principal.asset.platform_software.platform

principal.labels.key/value

Versão do SO do dispositivo de origem (src_osversion) Painel de SO do dispositivo principal.asset.software.version
Nome do host de origem (src_host) Nome do host do PanSrc principal.nomedohost
Endereço MAC da origem (src_mac) MacroSpan principal.mac
Categoria de dispositivo de destino (dst_category) CatPstDeviceDevice dst_category target.labels.key/value
Perfil do dispositivo de destino (dst_profile) PanDstDeviceProf. dst_profile target.labels.key/value
Modelo de dispositivo de destino (dst_model) Modelo do dispositivo PanDst modelo dst target.labels.key/value
Fornecedor do dispositivo de destino (dst_vendor) PanDstDeviceVendor dst_vendor target.labels.key/value
Família do SO do dispositivo de destino (dst_osfamily) Painel de dispositivos dst_osfamily target.labels.key/value
Versão do SO do dispositivo de destino (dst_osversion) Painel de dispositivo target.asset.software.version
Nome do host de destino (dst_host) Nome do host do PanDst target.hostname
Endereço MAC do destino (dst_mac) Mac do PanD target.mac.
ID do contêiner (container_id) Nome do contêiner ID do contêiner about.labels.key/value
Namespace do POD (pod_namespace) Namespace do PanPOD pod_namespace about.labels.key/value
Nome do POD (pod_name) Nome do POPOD pod_name about.labels.key/value
Lista dinâmica externa de origem (src_edl) Ação de palavras e respostas src_edl. about.labels.key/value
Lista dinâmica de destino externa (dst_edl) PanDstEDL. dst_edl about.labels.key/value
ID do host (hostid) ID do host do PanGP hostid about.labels.key/value
Número de série do dispositivo do usuário (número de série) Número de série principal.asset.hardware.serial_number
EDL de domínio (domain_edl) PanDomainEDL ed_domínio about.labels.key/value
Grupo de endereços dinâmico de origem (src_dag) Aprimoramento do Panda principal.group.group_display_name
Grupo de endereços dinâmicos de destino (dst_dag) PanDstDAG. target.group.group_display_name
Hash parcial (total_hash) hash parcial do Pan hash_parcial about.labels.key/value
Carimbo de data/hora de alta resolução (timestamp_res) PanTimeHighRes carimbo de data/hora high_res metadata.collected_timestamp,

metadata.event_timestamp (se "Gerar horário" estiver ausente)

Motivo (motivo) Ação de filtragem de motivo reason about.labels.key/value
Justificativa Justificativa panorâmica justificativa about.labels.key/value
Um tipo de serviço de Slice (nssai_sst) TipoDeServiçoAS nssai_sst about.labels.key/value
Subcategoria de aplicativo (subcategory_of_app) subcategoria_do_app about.labels.key/value
Categoria do aplicativo (category_of_app) categoria_do_app about.labels.key/value
Tecnologia do aplicativo (technology_of_app) tecnologia_do_app about.labels.key/value
Risco do aplicativo (risk_of_app) risco_do_app about.labels.key/value
Característica do aplicativo (characteristic_of_app) característica_do_app about.labels.key/value
Contêiner do aplicativo (container_of_app) container_of_app about.labels.key/value
SaaS do aplicativo (is_saas_of_app) is_saas_do_app about.labels.key/value
Estado sancionado do aplicativo (sanctioned_state_of_app) estado_santo_do_app about.labels.key/value

Tráfego

A tabela a seguir lista os campos do tipo de registro de tráfego e os campos de UDM correspondentes.

Campo CSV Campo de CEF Campo LEEF Chave do rótulo do Chronicle Campo UDM
Horário de recebimento (receive_time ou cef-formatted-receive_time) Rt Hora do desenvolvedor metadata.collected_timestamp,

metadata.event_timestamp (se "Gerar horário" estiver ausente)

Número de série (serial) ID externo do dispositivo Número de série intermediary.asset.hardware.serial_number
Tipo (tipo) tipo (cabeçalho) gato/tipo metadata.product_event_type
Tipo de ameaça/conteúdo (subtipo) subtipo (cabeçalho) Subtipo metadata.product_event_type
Horário gerado (time_generate ou cef-formatted-time_generate) início metadata.event_timestamp
Endereço de origem (src) src src principal.ip
Endereço de destino (dst) dst dst target.ip;
IP de origem NAT (natsrc) Endereço de origem traduzido srcPostNAT principal.nat_ip
IP de destino NAT (natdst) Endereço traduzido para o destino dstPostNAT target.nat_ip.
Nome da regra (regra) CS1 Nome da regra segurança_resultado.nome_da_regra
Usuário de origem (srcuser) usuário Usuário de origem principal.user.userid
Usuário de destino (dstuser) duser Usuário de destino target.user.userid
Aplicativo (app) app Aplicativo target.application
Sistema virtual (vsys) CS3 Sistema Virtual vsys about.labels.key/value
Zona de origem (de) T4 Zona de origem from principal.labels.key/value
Zona de destino (para) CS5 Zona de destino a target.labels.key/value
Interface de entrada (inbound_if) interface de entrada do dispositivo Interface de entrada entrada_se principal.labels.key/value
Interface de saída (outbound_if) Interface de saída do dispositivo Interface de saída outbound_if target.labels.key/value
Ação de registro (conjunto de registros) cs6 Perfil de encaminhamento de registros conjunto de registros about.labels.key/value
ID da sessão (sessionid) CN1 ID da sessão ID da sessão de rede
Contagem de repetições (repetição) cnt Repetir contagem Repetição about.labels.key/value
Porta de origem (esporte) ponto srcPort principal.porta
Porta de destino (porta) Dpt dstPort target.port
Porta de origem NAT (natsport) PortaTraduçãoTradução srcPostNATPort principal.nat_porta
Porta de destino NAT (natdport) Porta de tradução de destino dstPostNATPort target.nat_port
Sinalizações (flags) Flexível1 Sinalizações flags about.labels.key/value
Protocolo IP (proto) proto proto network.ip_protocol
Ação (ação) agir ação segurança_resultado.ação_de_detalhes

segurança_resultado.ação

Bytes (bytes) flexNumber1 Total de bytes bytes about.labels.key/value
Bytes enviados (bytes_sent) in srcBytes network.received_bytes
Bytes recebidos (bytes_received) out Bytes do dst network.sent_bytes
Pacotes (pacotes) CN2 TotalPackets pacotes about.labels.key/value
Horário de início (início) Horário de início início about.labels.key/value
Tempo decorrido (devido) CN3 Tempo decorrido decorrido about.labels.key/value
Categoria (categoria) CS2 Categoria do URL segurança_resultado.categoria / segurança_resultado.categoria_detalhes
Número da sequência (seqno) externalId sequência metadata.product_log_id
Sinalizações de ação (flagelações) Sinalizações PanOSAction Sinalizações de ação sinalizações de ação about.labels.key/value
País de origem (srcloc) Local de origem principal.location.country_or_region
País de destino (dstloc) Local de destino target.location.country_or_region
Pacotes enviados (pkts_sent) PanOSPacketsSent srcPacket pkts_enviado about.labels.key/value
Pacotes recebidos (pkts_received) PanOSPacketsReceived Pacote dstPackets Pacote de anúncios recebidos about.labels.key/value
Motivo do término da sessão (session_end_reason) reason Motivo do término da sessão segurança_resumo.result
Hierarquia do grupo de dispositivos 1 (dg_hier_level_1 para dg_hier_level_4) PanOSDGl1 Hierarquia do grupo de dispositivos L1 dg_hier_level_1 about.labels.key/value
Hierarquia do grupo de dispositivos 2 (dg_hier_level_2) PanOSDGl2 Hierarquia do grupo de dispositivos L2 dg_hier_level_2 about.labels.key/value
Hierarquia do grupo de dispositivos 3 (dg_hier_level_3) PanOSDGl3 Hierarquia do grupo de dispositivos L3 dg_hier_level_3 about.labels.key/value
Hierarquia do grupo de dispositivos (dg_hier_level_4) PanOSDGl4 Hierarquia do grupo de dispositivos L4 dg_hier_level_4 about.labels.key/value
Nome do sistema virtual (vsys_name) Nome do PanOSVsys NomeDoVSrc principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

Nome do dispositivo (device_name) Dvchost DeviceName nome-intermediário.nomedohost
Origem da ação (action_source) cat Origem da ação ação_origem about.labels.key/value
UUID da VM de origem (src_uuid) PanOSSrcUUID SrcUUID principal.asset.product_object_id
UUID da VM de destino (dst_uuid) PanOSDstUUID DSTUUID target.asset.product_object_id
ID do túnel/IMSI (tunnelid/imsi) ID do túnel ID do túnel túnelid/imsi about.labels.key/value
Monitorar tag/IMEI (monitortag/imei) Tag do monitor OSOS Monitorar tag monitortag/imei about.labels.key/value
ID da sessão mãe (parent_session_id) ID da sessão pai do PanOS ID da sessão pai parent_session_id about.labels.key/value
Horário de início do familiar responsável (parent_start_time) Horário de início do PanOS Horário de início dos pais horário_de_início_do_pai about.labels.key/value
Tipo de túnel (túnel) Tipo de Túnel do SO Tipo de túnel túnel about.labels.key/value
ID de associação da SCTP (assoc_id) PanOSSCTPAssocID ID_associado about.labels.key/value
pedaços SCTP (blocos) PansSCTPChunks pedaços about.labels.key/value
SCTP Chunks Sent (pedidos_sent) PanOSSCTPChunkSent partes_enviadas about.labels.key/value
ChTPs recebidos (blocos_received) PanSSCTPChunksRcv partes_recebidas about.labels.key/value
UUID da regra (rule_uuid) PanOSRuleUUID ID de resultado da regra de segurança
Conexão HTTP/2 (http2_connection) PanOSHTTP2Con. Conexão http2 about.labels.key/value
Contagem de saltos do app (link_change_count) Mudança de link Contagem de alterações_do_link about.labels.key/value
ID da política (policy_id) ID do PanPolicy ID da política about.labels.key/value
Interruptores de link (link_switch) PanLinkDetail Chaves_de_link about.labels.key/value
Cluster SD-WAN (sdwan_cluster) Cluster da PanSDWAN cluster sdwan about.labels.key/value
Tipo de dispositivo SD-WAN (sdwan_device_type) Dispositivo PanSDWAN sdwan_device_type about.labels.key/value
Tipo de cluster SD-WAN (sdwan_cluster_type) Tipo de panorama PanSDWAN sdwan_cluster_type about.labels.key/value
Site SD-WAN (site sdwan_) Site do PanSDWAN site sdwan about.labels.key/value
Nome do grupo de usuários dinâmicos (dynusergroup_name) Dinâmica Panorâmica dynusergroup_name about.labels.key/value
Endereço XFF (xff_ip) PanXFFIP principal.ip
Categoria do dispositivo de origem (src_category) PanSrcDeviceCat categoria_src principal.labels.key/value
Perfil do dispositivo de origem (src_profile) PanSrcDeviceProf. perfil_src principal.labels.key/value
Modelo de dispositivo de origem (src_model) Modelo do dispositivo PanSrc modelo_src principal.labels.key/value
Fornecedor do dispositivo de origem (src_vendor) Fornecedor de dispositivos PanSrc src_fornecedor principal.labels.key/value
Família do SO do dispositivo de origem (src_osfamily) Sistema operacionalDoDispositivo principal.asset.platform_software.platform

principal.labels.key/value

Versão do SO do dispositivo de origem (src_osversion) Painel de SO do dispositivo principal.asset.software.version
Nome do host de origem (src_host) Nome do host do PanSrc principal.nomedohost
Endereço MAC da origem (src_mac) MacroSpan principal.mac
Categoria de dispositivo de destino (dst_category) CatPstDeviceDevice dst_category target.labels.key/value
Perfil do dispositivo de destino (dst_profile) PanDstDeviceProf. dst_profile target.labels.key/value
Modelo de dispositivo de destino (dst_model) Modelo do dispositivo PanDst modelo dst target.labels.key/value
Fornecedor do dispositivo de destino (dst_vendor) PanDstDeviceVendor dst_vendor target.labels.key/value
Família do SO do dispositivo de destino (dst_osfamily) Painel de dispositivos dst_osfamily target.labels.key/value
Versão do SO do dispositivo de destino (dst_osversion) Painel de dispositivo target.asset.software.version
Nome do host de destino (dst_host) Nome do host do PanDst target.hostname
Endereço MAC do destino (dst_mac) Mac do PanD target.mac.
ID do contêiner (container_id) Nome do contêiner ID do contêiner about.labels.key/value
Namespace do POD (pod_namespace) Namespace do PanPOD pod_namespace about.labels.key/value
Nome do POD (pod_name) Nome do POPOD pod_name about.labels.key/value
Lista dinâmica externa de origem (src_edl) Ação de palavras e respostas src_edl. principal.labels.key/value
Lista dinâmica de destino externa (dst_edl) PanDstEDL. dst_edl target.labels.key/value
ID do host (hostid) ID do host do PanGP hostid about.labels.key/value
Número de série do dispositivo do usuário (número de série) Número de série principal.asset.hardware.serial_number
Grupo de endereços dinâmico de origem (src_dag) Aprimoramento do Panda principal.group.group_display_name
Grupo de endereços dinâmicos de destino (dst_dag) PanDstDAG. target.group.group_display_name
Proprietário da sessão (session_owner) Proprietário da sessão do PanHA Proprietário da sessão about.labels.key/value
Carimbo de data/hora de alta resolução (high_res_timestamp) PanTimeHighRes metadata.collected_timestamp,

metadata.event_timestamp (se "Gerar horário" estiver ausente)

Um tipo de serviço de Slice (nsdsai_sst) TipoDeServiçoAS nsdsai_sst about.labels.key/value
Diferenciador de fatias (nsdsai_sd) PanASServiceDiff nsdsai_sd about.labels.key/value
Subcategoria de aplicativo (subcategory_of_app) subcategoria_do_app about.labels.key/value
Categoria do aplicativo (category_of_app) categoria_do_app about.labels.key/value
Tecnologia do aplicativo (technology_of_app) tecnologia_do_app about.labels.key/value
Risco do aplicativo (risk_of_app) segurança_resultado.gravidade
Característica do aplicativo (characteristic_of_app) característica_do_app about.labels.key/value
Contêiner do aplicativo (container_of_app) container_of_app about.labels.key/value
SaaS do aplicativo (is_saas_of_app) is_saas_do_app about.labels.key/value
Estado sancionado do aplicativo (sanctioned_state_of_app) estado_santo_do_app about.labels.key/value
Subcategoria de aplicativo (subcategory_of_app) subcategoria_do_app1 about.labels.key/value

ID do usuário

A tabela a seguir lista os campos do tipo de registro do User-ID e os campos de UDM correspondentes.

Campo CSV Campo de CEF Campo LEEF Chave do rótulo do Chronicle Campo UDM
Horário de recebimento (receive_time ou cef-formatted-receive_time) Rt Hora do desenvolvedor metadata.collected_timestamp,

metadata.event_timestamp (se "Gerar horário" estiver ausente)

Número de série (serial) ID externo do dispositivo Número de série intermediary.asset.hardware.serial_number
Tipo (tipo) tipo (cabeçalho) cat metadata.product_event_type
Tipo de ameaça/conteúdo (subtipo) subtipo (cabeçalho) Subtipo metadata.product_event_type
Horário gerado (time_generate ou cef-formatted-time_generate) metadata.event_timestamp
Sistema virtual (vsys) CS3 Sistema Virtual vsys about.labels.key/value
IP de origem (ip) src src principal.ip
Usuário (usuário) duser NomeNome target.user.userid

dominio_administrativo_de_destino

target.user.email_addresses

Nome da fonte de dados (datasourcename) T4 NomedoDataSource nomedafontededados principal.labels.key/value
ID do evento (eventid) ID do evento ID do evento about.labels.key/value
Contagem de repetições (repetição) cnt Repetir contagem Repetição about.labels.key/value
Limite de tempo limite (tempo limite) CN3 Tempo limite timeout about.labels.key/value
Porta de origem (beginport) ponto srcPort principal.porta
Porta de destino (porta de acesso) Dpt dstPort target.port
Origem de dados (fonte de dados) CS5 DataSource fonte de dados principal.labels.key/value
Tipo de fonte de dados (datasourcetype) cs6 TipoDeDataSource tipo de fonte de dados principal.labels.key/value
Número da sequência (seqno) externalId sequência metadata.product_log_id
Sinalizações de ação (flagelações) Sinalizações PanOSAction Sinalizações de ação sinalizações de ação about.labels.key/value
Hierarquia do grupo de dispositivos (dg_hier_level_1) PanOSDGl1 Hierarquia do grupo de dispositivos L1 dg_hier_level_1 about.labels.key/value
Hierarquia do grupo de dispositivos (dg_hier_level_2) PanOSDGl2 Hierarquia do grupo de dispositivos L2 dg_hier_level_2 about.labels.key/value
Hierarquia do grupo de dispositivos (dg_hier_level_3) PanOSDGl3 Hierarquia do grupo de dispositivos L3 dg_hier_level_3 about.labels.key/value
Hierarquia do grupo de dispositivos (dg_hier_level_4) PanOSDGl4 Hierarquia do grupo de dispositivos L4 dg_hier_level_4 about.labels.key/value
Nome do sistema virtual (vsys_name) Nome do PanOSVsys NomeDoVSrc principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

Nome do dispositivo (device_name) Dvchost DeviceName nome-intermediário.nomedohost
ID do sistema virtual (vsys_id) CN2 ID do sistema virtual principal.resource.resource_type=VIRTUAL_MACHINE e principal.resource.product_object_id
Tipo de fator (tipo de fator) CS1 Tipo de fator tipo de fator about.labels.key/value
Horário de conclusão do fator (factorcompletiontime) end Tempo de conclusão do fator hora de conclusão do fator about.labels.key/value
Número do fator (factorno) CN1 Fatoração fatorno about.labels.key/value
Sinalizações do grupo de usuários (sinalizações) Sinalizações PanOSUG ugflages about.labels.key/value
Por origem (userbysource) PanOSUserBySource principal.user.userid

domínio_administrativo_principal

principal.user.email_addresses

Carimbo de data/hora de alta resolução (timestamp_res) PanOSTimeGeneratedAlta resolução metadata.collected_timestamp,

metadata.event_timestamp (se "Gerar horário" estiver ausente)

Correspondência HIP

A tabela a seguir lista os campos do tipo de registro de correspondência HIP e os campos de UDM correspondentes.

Campo CSV Campo de CEF Campo LEEF Chave do rótulo do Chronicle Campo UDM
Horário de recebimento (receive_time ou cef-formatted-receive_time) Rt Hora do desenvolvedor metadata.collected_timestamp,

metadata.event_timestamp (se "Gerar horário" estiver ausente)

Número de série (serial) ID externo do dispositivo Número de série intermediary.asset.hardware.serial_number
Tipo (tipo) tipo (cabeçalho) cat metadata.product_event_type
Tipo de ameaça/conteúdo (subtipo) subtipo (cabeçalho) Subtipo
Horário gerado (time_generate ou cef-formatted-time_generate) início Hora de início metadata.event_timestamp
Usuário de origem (srcuser) usuário NomeNome principal.user.userid
Sistema virtual (vsys) CS3 Sistema Virtual vsys about.labels.key/value
Nome da máquina (nome da máquina) sdor NomedoHost principal.nomedohost
Sistema operacional (SO) CS2 SO principal.asset.platform_software.platform
Endereço de origem (src) src IDID principal.ip
HIP (nome da correspondência) cat DICA nome de correspondência about.labels.key/value
Contagem de repetições (repetição) cnt Repetir contagem Repetição about.labels.key/value
Tipo de HIP (tipo de correspondência) ID da classe de evento do dispositivo (cabeçalho) Tipo HIP tipo de correspondência
Número da sequência (seqno) externalId sequência metadata.product_log_id
Sinalizações de ação (flagelações) Sinalizações PanOSAction Sinalizações de ação sinalizações de ação about.labels.key/value
Hierarquia do grupo de dispositivos (dg_hier_level_1) PanOSDGl1 Hierarquia do grupo de dispositivos L1 dg_hier_level_1 about.labels.key/value
Hierarquia do grupo de dispositivos (dg_hier_level_2) PanOSDGl2 Hierarquia do grupo de dispositivos L2 dg_hier_level_2 about.labels.key/value
Hierarquia do grupo de dispositivos (dg_hier_level_3) PanOSDGl3 Hierarquia do grupo de dispositivos L3 dg_hier_level_3 about.labels.key/value
Hierarquia do grupo de dispositivos (dg_hier_level_4) PanOSDGl4 Hierarquia do grupo de dispositivos L4 dg_hier_level_4 about.labels.key/value
Nome do sistema virtual (vsys_name) Nome do PanOSVsys NomeDoVSrc principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

Nome do dispositivo (device_name) Dvchost DeviceName nome-intermediário.nomedohost
ID do sistema virtual (vsys_id) CN2 ID do sistema virtual principal.resource.resource_type=VIRTUAL_MACHINE e principal.resource.product_object_id
Endereço do sistema IPv6 (srcipv6) c6a2 srcipv6 principal.asset.ip
ID do host (hostid) ID do host do PanOS principal.asset.product_object_id
Número de série do dispositivo do usuário (número de série) Número de série do SOP principal.asset.hardware.serial_number
Endereço MAC do dispositivo (mac) MacOSEndpointMac principal.asset.mac
Carimbo de data/hora de alta resolução (high_res_timestamp) PanOSTimeGeneratedAlta resolução metadata.collected_timestamp,

metadata.event_timestamp (se "Gerar horário" estiver ausente)

Tag de IP

A tabela a seguir lista os campos do tipo de registro da tag de IP e os respectivos campos de UDM.

Campo CSV Campo de CEF Campo LEEF Chave do rótulo do Chronicle Campo UDM
Horário de recebimento (receive_time ou cef-formatted-receive_time) Rt Hora do desenvolvedor metadata.collected_timestamp,

metadata.event_timestamp (se "Gerar horário" estiver ausente)

Número de série (serial) ID externo do dispositivo Número de série intermediary.asset.hardware.serial_number
Tipo (tipo) tipo (cabeçalho) cat metadata.product_event_type
Tipo de ameaça/conteúdo (subtipo) subtipo (cabeçalho) Subtipo metadata.product_event_type
Horário gerado (time_generate ou cef-formatted-time_generate) Horário de geração metadata.event_timestamp
Sistema virtual (vsys) CS3 Sistema Virtual vsys about.labels.key/value
IP de origem (ip) src src principal.ip
Nome da tag (tag_name) Nome da tag do SO Nome da tag Nome da tag principal.labels.key/value
ID do evento (event_id) ID do evento do OS ID do evento event_id about.labels.key/value
Contagem de repetições (repetição) cnt Repetir contagem Repetição about.labels.key/value
Tempo limite (tempo limite) Tempo limite do PanOS Tempo limite timeout about.labels.key/value
Nome da fonte de dados (datasourcename) NomedoFonte NomedoDataSource nomedafontededados principal.labels.key/value
Tipo de fonte de dados (datasource_type) TipoDeTipoFonte na OS DataSource tipo_de_fonte_de_dados principal.labels.key/value
Subtipo de fonte de dados (datasource_subtype) Tipo de Fonte de SO TipoDeDataSource subtipo_de_datasource principal.labels.key/value
Número da sequência (seqno) externalId sequência metadata.product_log_id
Sinalizações de ação (flagelações) Sinalizações PanOSAction Sinalizações de ação sinalizações de ação about.labels.key/value
Hierarquia do grupo de dispositivos (dg_hier_level_1) PanOSDGl1 Hierarquia do grupo de dispositivos L1 dg_hier_level_1 about.labels.key/value
Hierarquia do grupo de dispositivos (dg_hier_level_2) PanOSDGl2 Hierarquia do grupo de dispositivos L2 dg_hier_level_2 about.labels.key/value
Hierarquia do grupo de dispositivos (dg_hier_level_3) PanOSDGl3 Hierarquia do grupo de dispositivos L3 dg_hier_level_3 about.labels.key/value
Hierarquia do grupo de dispositivos (dg_hier_level_4) PanOSDGl4 Hierarquia do grupo de dispositivos L4 dg_hier_level_4 about.labels.key/value
Nome do sistema virtual (vsys_name) Nome do PanOsVsys NomeDoVSrc principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

Nome do dispositivo (device_name) Dvchost DeviceName nome-intermediário.nomedohost
ID do sistema virtual (vsys_id) CN2 ID do sistema virtual principal.resource.resource_type=VIRTUAL_MACHINE e principal.resource.product_object_id
Carimbo de data/hora de alta resolução (timestamp_res) PanOSTimeGeneratedAlta resolução metadata.collected_timestamp,

metadata.event_timestamp (se "Gerar horário" estiver ausente)

Descriptografia

A tabela a seguir lista os campos do tipo de registro de descriptografia e os campos de UDM correspondentes.

Campo CSV Campo de CEF Campo LEEF Chave do rótulo do Chronicle Campo UDM
Horário de recebimento (receive_time ou cef-formatted-receive_time) Rt metadata.collected_timestamp,

metadata.event_timestamp (se "Gerar horário" estiver ausente)

Número de série (serial) Dispositivo OSS Pan intermediary.asset.hardware.serial_number
Tipo (tipo) tipo (cabeçalho) metadata.product_event_type
Tipo de ameaça/conteúdo (subtipo) subtipo (cabeçalho) metadata.product_event_type
Versão da configuração (config_ver) Versão do PanOSConfig Configuração about.labels.key/value
Gerar horário (time_generate) Carimbo de data/hora do PanOSLog metadata.event_timestamp
Endereço de origem (src) src principal.ip
Endereço de destino (dst) dst target.ip;
IP de origem NAT (natsrc) Endereço de origem traduzido Principa.nat_ip
IP de destino NAT (natdst) Endereço traduzido para o destino target.nat_ip.
Regra (regra) CS1 segurança_resultado.nome_da_regra
Usuário de origem (srcuser) usuário principal.user.userid
Usuário de destino (dstuser) duser target.user.userid
Aplicativo (app) app target.application
Sistema virtual (vsys) CS3 vsys about.labels.key/value
Zona de origem (de) T4 from principal.labels.key/value
Zona de destino (para) CS5 a target.labels.key/value
Interface de entrada (inbound_if) interface de entrada do dispositivo entrada_se principal.labels.key/value
Interface de saída (outbound_if) Interface de saída do dispositivo outbound_if target.labels.key/value
Ação de registro (conjunto de registros) cs6 conjunto de registros about.labels.key/value
Tempo registrado (time_received) Plano de gerenciamento de horários de funcionamento do PanOS -
ID da sessão (sessionid) CN1 ID da sessão de rede
Contagem de repetições (repetição) Número de repetições do PanOS Repetição about.labels.key/value
Porta de origem (esporte) ponto principal.porta
Porta de destino (porta) Dpt target.port
Porta de origem NAT (natsport) PortaTraduçãoTradução principal.nat_porta
Porta de destino NAT (natdport) Porta de tradução de destino target.nat_port
Sinalizações (flags) Flexível1 flags about.labels.key/value
Protocolo IP (proto) proto network.ip_protocol
Ação (ação) agir segurança_resultado.ação_de_detalhes

segurança_resultado.ação

Túnel (túnel) Túnel PanOS túnel about.labels.key/value
UUID da VM de origem (src_uuid) PanOSSourceUUID principal.asset.asset_id
UUID da VM de destino (dst_uuid) PanOSDestinationUUID target.asset.asset_id
UUID da regra (rule_uuid) PanOSRuleUUID ID de resultado da regra de segurança
Estágio para cliente no firewall (hs_stage_c2f) PanOSClientToFirewall hs_stage_c2f about.labels.key/value
Fase de firewall para servidor (hs_stage_f2s) PanOSFirewallToServer hs_stage_f2s about.labels.key/value
Versão do TLS (tls_version) Versão do PanOSTLS rede.tls.version
Algoritmo de troca de chaves (tls_keyxchg) Troca de chaves PanOSTLS tls_keyxchg about.labels.key/value
Algoritmo de criptografia (tls_enc) Algoritmo de criptografia PanOSTLS tls_enc about.labels.key/value
Algoritmo de hash (tls_auth) PanOSTLSAuth tls_auth about.labels.key/value
Nome da política (policy_name) Nome da política do SOP nome_da_política about.labels.key/value
Curva elíptica (ec_curve) Curva panorâmica network.tls.curve
Índice de erros (err_index) Índice de erros do SO err_index about.labels.key/value
Status raiz (root_status) Status da raiz do SO status_raiz about.labels.key/value
Cadeia de status (chain_status) Status do Chrome OS cadeia_status about.labels.key/value
Tipo de proxy (proxy_type) Tipo de proxy PanOS tipo_de_proxy about.labels.key/value
Número de série do certificado (cert_serial) Número de série do certificado do SO network.tls.server.certificate.serial
Impressão digital do certificado (impressão digital) Impressão digital do PanOS network.tls.server.certificate.md5/sha1/sha256
Data de início do certificado (não antes) Hora do PanOS network.tls.server.certificate.not_before
Data de término do certificado (não posterior) Hora de término posterior network.tls.server.certificate.not_after
Versão do certificado (cert_ver) Versão do certificado do SO network.tls.server.certificate.version
Tamanho do certificado (cert_size) Tamanho do certificado PanOS tamanho do certificado about.labels.key/value
Comprimento do nome comum (cn_len) Tamanho do nome comum de OSOS CN_Len about.labels.key/value
Tamanho comum do nome do emissor (issuer_len) Tamanho do nome do emissor do PanOS emissor_len about.labels.key/value
Comprimento do nome comum raiz (rootcn_len) Comprimento da PanOSRootCN rootcn_len about.labels.key/value
Comprimento do SNI (sni_len) Tamanho do PanOSSNI sni_len about.labels.key/value
Sinalizações de certificado (cert_flags) Sinalizações PanOS flags_cert about.labels.key/value
Nome comum do assunto (cn) NomeComumPOS cn about.labels.key/value
Nome comum do emissor (issuer_cn) NomeComumPQEEditor network.tls.server.certificate.issuer
Nome comum raiz (root_cn) NomeRaís Mal root_cn about.labels.key/value
Indicação de nome do servidor

(sni)

network.tls.client.server_name
Erro (erro) Mensagem de erro do SO erro about.labels.key/value
ID do contêiner (container_id) ID do contêiner do OS ID do contêiner about.labels.key/value
Namespace do POD (pod_namespace) Espaço para nome do contêiner pod_namespace about.labels.key/value
Nome do POD (pod_name) Nome do contêiner do SO pod_name about.labels.key/value
Lista dinâmica externa de origem (src_edl) Fonte de SO para SO src_edl. principal.labels.key/value
Lista dinâmica de destino externa (dst_edl) PanOSDestinationEDL (em inglês) dst_edl target.labels.key/value
Grupo de endereços dinâmico de origem (src_dag) Grupo de endereços de origem PanOS principal.group.group_display_name
Grupo de endereços dinâmicos de destino (dst_dag) Grupodedestinodeendereços PanOS target.group.group_display_name
Carimbo de data/hora de alta resolução (high_res_timestamp) PanOSTimeGeneratedAlta resolução metadata.collected_timestamp,

metadata.event_timestamp (se "Gerar horário" estiver ausente)

Categoria do dispositivo de origem (src_category) Categoria de dispositivo de origem do SO categoria_src principal.labels.key/value
Perfil do dispositivo de origem (src_profile) Perfil de dispositivo de origem do SO perfil_src principal.labels.key/value
Modelo de dispositivo de origem (src_model) Modelo do dispositivo de origem do SO modelo_src principal.labels.key/value
Fornecedor do dispositivo de origem (src_vendor) Origem do dispositivo PanOS src_fornecedor principal.labels.key/value
Família do SO do dispositivo de origem (src_osfamily) Família de dispositivos de origem SOOS principal.asset.platform_software.platform

principal.labels.key/value

Versão do SO do dispositivo de origem (src_osversion) Versão do SO de origem do SO principal.asset.software.version
Nome do host de origem (src_host) Host do dispositivo PanOSSource principal.nomedohost
Endereço MAC da origem (src_mac) Dispositivo de origem MacOS principal.mac
Categoria de dispositivo de destino (dst_category) Categoria de dispositivo de destino do SO dst_category target.labels.key/value
Perfil do dispositivo de destino (dst_profile) Perfil de dispositivo de destino do SO dst_profile target.labels.key/value
Modelo de dispositivo de destino (dst_model) Modelo do dispositivo de destino do SO modelo dst target.labels.key/value
Fornecedor do dispositivo de destino (dst_vendor) Provedor de dispositivos de destino do SO dst_vendor target.labels.key/value
Família do SO do dispositivo de destino (dst_osfamily) Família de dispositivos de destino OSOS dst_osfamily target.labels.key/value
Versão do SO do dispositivo de destino (dst_osversion) Versão do SO de destino do SO target.asset.software.version
Nome do host de destino (dst_host) Host de dispositivo de destino do SO target.hostname
Endereço MAC do destino (dst_mac) DispositivoDeDestino do MacOS target.mac.
Número da sequência (seqno) PanOSLogTypeSeqNo metadata.product_log_id
Sinalizações de ação (flagelações) Sinalizações PanOSAction sinalizações de ação about.labels.key/value
Hierarquia do grupo de dispositivos (dg_hier_level_1) Hierarquia do grupo de dispositivos L1 dg_hier_level_1 about.labels.key/value
Hierarquia do grupo de dispositivos (dg_hier_level_2) Hierarquia do grupo de dispositivos L2 dg_hier_level_2 about.labels.key/value
Hierarquia do grupo de dispositivos (dg_hier_level_3) Hierarquia do grupo de dispositivos L3 dg_hier_level_3 about.labels.key/value
Hierarquia do grupo de dispositivos (dg_hier_level_4) Hierarquia do grupo de dispositivos L4 dg_hier_level_4 about.labels.key/value
Nome do sistema virtual (vsys_name) principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

Nome do dispositivo (device_name) nome-intermediário.nomedohost
ID do sistema virtual (vsys_id) principal.resource.resource_type=VIRTUAL_MACHINE e principal.resource.product_object_id
Subcategoria de aplicativo (subcategory_of_app) subcategoria_do_app about.labels.key/value
Categoria do aplicativo (category_of_app) categoria_do_app about.labels.key/value
Tecnologia do aplicativo (technology_of_app) tecnologia_do_app about.labels.key/value
Risco do aplicativo (risk_of_app) segurança_resultado.gravidade
Característica do aplicativo (characteristic_of_app) característica_do_app about.labels.key/value
Contêiner do aplicativo (container_of_app) container_of_app about.labels.key/value
SaaS do aplicativo (is_saas_of_app) is_saas_do_app about.labels.key/value
Estado sancionado do aplicativo (sanctioned_state_of_app) estado_santo_do_app about.labels.key/value

Opção de roteamento

A tabela a seguir lista os campos do tipo de registro do túnel e os respectivos campos de UDM.

Campo CSV Campo de CEF Campo LEEF Chave do rótulo do Chronicle Campo UDM
Horário de recebimento (receive_time ou cef-formatted-receive_time) Rt Hora do desenvolvedor metadata.collected_timestamp,

metadata.event_timestamp (se "Gerar horário" estiver ausente)

Número de série (serial) ID externo do dispositivo Número de série intermediary.asset.hardware.serial_number
Tipo (tipo) tipo (cabeçalho) cat metadata.product_event_type
Tipo de ameaça/conteúdo (subtipo) subtipo (cabeçalho) Subtipo metadata.product_event_type
Horário gerado (time_generate ou cef-formatted-time_generate) metadata.event_timestamp
Endereço de origem (src) src src principal.ip
Endereço de destino (dst) dst dst target.ip;
IP de origem NAT (natsrc) Endereço de origem traduzido srcPostNAT principal.nat_ip
IP de destino NAT (natdst) Endereço traduzido para o destino dstPostNAT target.nat_ip.
Nome da regra (regra) CS1 Nome da regra segurança_resultado.nome_da_regra
Usuário de origem (srcuser) usuário SourceUser / usrName principal.user.userid
Usuário de destino (dstuser) duser Usuário de destino target.user.userid
Aplicativo (app) app Aplicativo network.application_protocol
Sistema virtual (vsys) CS3 Sistema Virtual vsys about.labels.key/value
Zona de origem (de) T4 Zona de origem from principal.labels.key/value
Zona de destino (para) CS5 Zona de destino a target.labels.key/value
Interface de entrada (inbound_if) interface de entrada do dispositivo Interface de entrada entrada_se principal.labels.key/value
Interface de saída (outbound_if) Interface de saída do dispositivo Interface de saída outbound_if target.labels.key/value
Ação de registro (conjunto de registros) cs6 Perfil de encaminhamento de registros conjunto de registros about.labels.key/value
ID da sessão (sessionid) CN1 ID da sessão ID da sessão de rede
Contagem de repetições (repetição) cnt Repetir contagem Repetição about.labels.key/value
Porta de origem (esporte) ponto srcPort principal.porta
Porta de destino (porta) Dpt dstPort target.port
Porta de origem NAT (natsport) PortaTraduçãoTradução srcPostNATPort principal.nat_porta
Porta de destino NAT (natdport) Porta de tradução de destino dstPostNATPort target.nat_port
Sinalizações (flags) Flexível1 Sinalizações flags about.labels.key/value
Protocolo IP (proto) proto proto network.ip_protocol
Ação (ação) agir ação segurança_resultado.ação_de_detalhes

segurança_resultado.ação

Gravidade (gravidade) security_result.severity e security_result.severity_details
Número da sequência (seqno) externalId sequência metadata.product_log_id
Sinalizações de ação (flagelações) Sinalizações PanOSAction Sinalizações de ação sinalizações de ação about.labels.key/value
Local de origem (srcloc) principal.location.country_or_region
Local de destino (dstloc) target.location.country_or_region
Hierarquia do grupo de dispositivos (dg_hier_level_1) PanOSDGl1 Hierarquia do grupo de dispositivos L1 dg_hier_level_1 about.labels.key/value
Hierarquia do grupo de dispositivos (dg_hier_level_2) PanOSDGl2 Hierarquia do grupo de dispositivos L2 dg_hier_level_2 about.labels.key/value
Hierarquia do grupo de dispositivos (dg_hier_level_3) PanOSDGl3 Hierarquia do grupo de dispositivos L3 dg_hier_level_3 about.labels.key/value
Hierarquia do grupo de dispositivos (dg_hier_level_4) PanOSDGl4 Hierarquia do grupo de dispositivos L4 dg_hier_level_4 about.labels.key/value
Nome do sistema virtual (vsys_name) Nome do PanOSVsys NomeDoVSrc principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

Nome do dispositivo (device_name) Dvchost DeviceName nome-intermediário.nomedohost
ID do túnel (tunnelid) ID do túnel ID do túnel túnelid about.labels.key/value
Monitorar tag (monitortag) Tag do monitor OSOS Monitorar tag tag de monitoramento about.labels.key/value
ID da sessão mãe (parent_session_id) ID da sessão pai do PanOS ID da sessão pai parent_session_id about.labels.key/value
Horário de início do familiar responsável (parent_start_time) Horário de início do PanOS Horário de início dos pais horário_de_início_do_pai about.labels.key/value
Tipo de túnel (túnel) CS2 Tipo de túnel túnel about.labels.key/value
Bytes (bytes) flexNumber1 Total de bytes bytes about.labels.key/value
Bytes enviados (bytes_sent) in srcBytes network.received_bytes
Bytes recebidos (bytes_received) out Bytes do dst network.sent_bytes
Pacotes (pacotes) CN2 TotalPackets pacotes about.labels.key/value
Pacotes enviados (pkts_sent) PanOSPacketsSent srcPacket pkts_enviado about.labels.key/value
Pacotes recebidos (pkts_received) PanOSPacketsReceived Pacote dstPackets Pacote de anúncios recebidos about.labels.key/value
Encapsulamento máximo (max_encap) flexNumber2 Aumento máximo de encapsulamento limite_máximo about.labels.key/value
Protocolo desconhecido (Unknown_proto) cfp1. Protocolo desconhecido proto_desconhecido about.labels.key/value
Verificação rigorosa (strict_check) cfp2. Verificação rigorosa verificação_estrita about.labels.key/value
Túnel do fragmento (tunnel_fragment) PanOSTunnelFragment Túnel do fragmento túnel_fragmento about.labels.key/value
Sessões criadas (sessões_criadas) cfp3 Sessões criadas sessões_criadas about.labels.key/value
Sessões encerradas (session_closed) cfp4 Sessões encerradas sessão_fechada about.labels.key/value
Motivo do término da sessão (session_end_reason) reason Motivo do término da sessão segurança_resumo.result
Origem da ação (action_source) cat Origem da ação ação_origem about.labels.key/value
Horário de início (início) Hora de início início about.labels.key/value
Tempo decorrido (devido) CN3 Tempo decorrido decorrido about.labels.key/value
Regra de inspeção do túnel (tunnel_insp_rule) Regra de inspeção de OSOS security_result.rule_name = "Tunnel Inspection Rule: %{PanOSTunnelInspectionRule}"
IP do usuário remoto (remote_user_ip) IP do usuário do sistema operacional target.ip;
ID do usuário remoto (remote_user_id) ID do usuário do sistema operacional ID do usuário remoto target.labels.key/value
UUID da regra de segurança (rule_uuid) PanOSRuleUUID ID de resultado da regra de segurança
ID do PCAP (pcap_id) IDPOSPCAPID ID do pcap about.labels.key/value
Nome do grupo de usuários dinâmicos (dynusergroup_name) Dinâmica Panorâmica principal.group.group_display_name
Lista dinâmica externa de origem (src_edl) Fonte de SO para SO src_edl. principal.labels.key/value
Lista dinâmica de destino externa (dst_edl) PanOSDestinationEDL (em inglês) dst_edl target.labels.key/value
Carimbo de data/hora de alta resolução (timestamp_res) PanOSTimeGeneratedAlta resolução metadata.collected_timestamp,

metadata.event_timestamp (se "Gerar horário" estiver ausente)

Diferenciador de fatias (nssai_sd) nssai_sd about.labels.key/value
Um tipo de serviço de Slice (nssai_sd) nssai_sd1 about.labels.key/value
ID da sessão do PDU (pdu_session_id) pdu_session_id about.labels.key/value
Subcategoria de aplicativo (subcategory_of_app) subcategoria_do_app about.labels.key/value
Categoria do aplicativo (category_of_app) categoria_do_app about.labels.key/value
Tecnologia do aplicativo (technology_of_app) tecnologia_do_app about.labels.key/value
Risco do aplicativo (risk_of_app) risco_do_app about.labels.key/value
Característica do aplicativo (characteristic_of_app) característica_do_app about.labels.key/value
Contêiner do aplicativo (container_of_app) container_of_app about.labels.key/value
SaaS do aplicativo (is_saas_of_app) is_saas_do_app about.labels.key/value
Estado sancionado do aplicativo (sanctioned_state_of_app) estado_santo_do_app about.labels.key/value

Authentication

A tabela a seguir lista os campos do tipo de registro de autenticação e os campos de UDM correspondentes.

Campo CSV Campo de CEF Campo LEEF Chave do rótulo do Chronicle Campo UDM
Horário de recebimento (receive_time ou cef-formatted-receive_time) Rt Hora do desenvolvedor metadata.collected_timestamp,

metadata.event_timestamp (se "Gerar horário" estiver ausente)

Número de série (serial) ID externo do dispositivo Número de série intermediary.asset.hardware.serial_number
Tipo (tipo) tipo (cabeçalho) cat metadata.product_event_type
Tipo de ameaça/conteúdo (subtipo) subtipo (cabeçalho) Subtipo metadata.product_event_type
Horário gerado (time_generate ou cef-formatted-time_generate) metadata.event_timestamp
Sistema virtual (vsys) CS3 Sistema Virtual vsys about.labels.key/value
IP de origem (ip) src src principal.ip
Usuário (usuário) duser NomeNome target.user.userid
Normalizar usuário (normalize_user) CS2 Normalizarusuário target.user.user_display_name
Objeto (objeto) fname ObjectName um objeto about.labels.key/value
Política de autenticação (authpolicy) T4 Política de autenticação política de autenticação about.labels.key/value
Contagem de repetições (repetição) cnt Repetir contagem Repetição about.labels.key/value
ID de autenticação (authid) CN2 Código de autenticação ID de autenticação about.labels.key/value
Fornecedor (fornecedor) Flex2 Fornecedor vendor about.labels.key/value
Ação de registro (conjunto de registros) cs6 Perfil de encaminhamento de registros conjunto de registros about.labels.key/value
Perfil do servidor (serverprofile) CS1 Perfil do servidor perfil do servidor about.labels.key/value
Descrição (desc) Descrição do SO Outras informações de autenticação segurança_resultado.descrição
Tipo de cliente (clienttype) CS5 Tipo de cliente tipo de cliente about.labels.key/value
Tipo de evento (evento) msg msg extensions.auth.auth_details
Número do fator (factorno) CN1 Fatoração fatorno about.labels.key/value
Número da sequência (seqno) externalId sequência metadata.product_log_id
Sinalizações de ação (flagelações) Sinalizações PanOSAction Sinalizações de ação sinalizações de ação about.labels.key/value
Hierarquia do grupo de dispositivos (dg_hier_level_1) PanOSDGl1 Hierarquia do grupo de dispositivos L1 dg_hier_level_1 about.labels.key/value
Hierarquia do grupo de dispositivos (dg_hier_level_2) PanOSDGl2 Hierarquia do grupo de dispositivos L2 dg_hier_level_2 about.labels.key/value
Hierarquia do grupo de dispositivos (dg_hier_level_3) PanOSDGl3 Hierarquia do grupo de dispositivos L3 dg_hier_level_3 about.labels.key/value
Hierarquia do grupo de dispositivos (dg_hier_level_4) PanOSDGl4 Hierarquia do grupo de dispositivos L4 dg_hier_level_4 about.labels.key/value
Nome do sistema virtual (vsys_name) Nome do PanOSVsys NomeDoVSrc principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

Nome do dispositivo (device_name) Dvchost DeviceName nome-intermediário.nomedohost
ID do sistema virtual (vsys_id) principal.resource.resource_type=VIRTUAL_MACHINE e principal.resource.product_object_id
Protocolo de autenticação (authproto) Autenticação about.labels.key/value
UUID da regra (rule_uuid) PanOSRuleUUID ID de resultado da regra de segurança
Carimbo de data/hora de alta resolução (high_res _timestamp) PanOSTimeGeneratedAlta resolução metadata.collected_timestamp,

metadata.event_timestamp (se "Gerar horário" estiver ausente)

Categoria do dispositivo de origem (src_category) Categoria de dispositivo de origem do SO categoria_src principal.labels.key/value
Perfil do dispositivo de origem (src_profile) Perfil de dispositivo de origem do SO perfil_src principal.labels.key/value
Modelo de dispositivo de origem (src_model) Modelo do dispositivo de origem do SO modelo_src principal.labels.key/value
Fornecedor do dispositivo de origem (src_vendor) Origem do dispositivo PanOS src_fornecedor principal.labels.key/value
Família do SO do dispositivo de origem (src_osfamily) Família de dispositivos de origem SOOS principal.asset.platform_software.platform

principal.labels.key/value

Versão do SO do dispositivo de origem (src_osversion) Versão do SO de origem do SO principal.asset.software.version
Nome do host de origem (src_host) Nome do host do PanOSSource principal.nomedohost
Endereço MAC da origem (src_mac) MacOSFonte principal.asset.mac
Região (region) Região de tráfego PanOS principal.location.country_or_region
User agent (user_agent) Agente de usuário PanOSHTTP network.http.user_agent
ID da sessão(sessionid) ID do tráfego da sessão do SO ID da sessão de rede

URL

A tabela a seguir lista os campos do tipo de registro do URL e os campos de UDM correspondentes.

Campo CSV Campo de CEF Campo LEEF Chave do rótulo do Chronicle Campo UDM
Horário de recebimento (cef-formatted-receive_time) Rt Hora do desenvolvedor metadata.collected_timestamp,

metadata.event_timestamp (se "Gerar horário" estiver ausente)

Número de série ID externo do dispositivo Número de série intermediary.asset.hardware.serial_number
Tipo (tipo) tipo (cabeçalho) cat metadata.product_event_type
Tipo de ameaça/conteúdo (subtipo) subtipo (cabeçalho) Subtipo metadata.product_event_type
Gerar tempo metadata.event_timestamp
Endereço de origem (src) src src principal.ip
Endereço de destino (dst) dst dst target.ip;
IP de origem NAT (natsrc) Endereço de origem traduzido srcPostNAT principal.nat_ip
IP de destino NAT (natdst) Endereço traduzido para o destino dstPostNAT target.nat_ip.
Regra (regra) CS1 Nome da regra segurança_resultado.nome_da_regra
Usuário de origem (srcuser) usuário Usuário de origem principal.user.userid
Usuário de destino (dstuser) duser Usuário de destino target.user.userid
Aplicativo (app) app Aplicativo network.application_protocol
Sistema virtual (vsys) CS3 Sistema Virtual vsys about.labels.key/value
Zona de origem (de) T4 Zona de origem from principal.labels.key/value
Zona de destino (para) CS5 Zona de destino a target.labels.key/value
Interface de entrada (inbound_if) interface de entrada do dispositivo Interface de entrada entrada_se principal.labels.key/value
Interface de saída (outbound_if) Interface de saída do dispositivo Interface de saída outbound_if target.labels.key/value
Ação de registro (conjunto de registros) cs6 Perfil de encaminhamento de registros conjunto de registros about.labels.key/value
Tempo registrado tempo_registrado about.labels.key/value
ID da sessão (sessionid) CN1 ID da sessão ID da sessão de rede
Contagem de repetições (repetição) cnt Repetir contagem Repetição about.labels.key/value
Porta de origem (esporte) ponto srcPort principal.porta
Porta de destino (porta) Dpt dstPort target.port
Porta de origem NAT (natsport) PortaTraduçãoTradução srcPostNATPort principal.nat_porta
Porta de destino NAT (natdport) Porta de tradução de destino dstPostNATPort target.nat_port
Sinalizações (flags) Flexível1 Sinalizações flags about.labels.key/value
Protocolo IP (proto) proto proto network.ip_protocol
Ação (ação) agir ação segurança_resultado.ação_de_detalhes

segurança_resultado.ação

URL/nome do arquivo (misc) Diversos target.file.full_path

URL de destino

Nome da ameaça/conteúdo (atraso) cat ID da ameaça ID do resultado da segurança.
Categoria (categoria) CS2 Categoria do URL categoria about.labels.key/value
Gravidade (gravidade) número de gravidade (cabeçalho) Gravidade segurança_resultado.gravidade

detalhes_da_segurança.gravidade_de_detalhes

Direção (direção) Flex2 Direção rede.direction
Número da sequência (seqno) externalId sequência metadata.product_log_id
Sinalizações de ação (flagelações) Sinalizações PanOSAction Sinalizações de ação sinalizações de ação about.labels.key/value
País de origem (srcloc) Local de origem principal.location.country_or_region
País de destino (dstloc) Local de destino target.location.country_or_region
contenttype (contenttype) Contexto da solicitação ContentType tipo de conteúdo about.labels.key/value
pcap_id (pcap_id). ID do arquivo ID do PCAP ID do pcap about.labels.key/value
filedigest (filedigest) Resumo de arquivos sobre.arquivo.sha1/md5/sha256
nuvem (nuvem) Nuvem cloud about.labels.key/value
url_idx (url_idx) Índice do URL ID do URL about.labels.key/value
user_agent (user_agent) requestClientApplication UserAgent network.http.user_agent
tipo de arquivo (filetype) about.file.mime_type
xff (xff) PanOSXForwarderfor ID da página de destino xff about.labels.key/value
referenciador (referenciador) Referência do OSOS Referenciador network.http.referral_url
remetente (remetente) network.email.from
assunto (assunto) Assunto network.email.subject
destinatário (destinatário) network.email.to
ID do relatório (ID do relatório) ID do relatório about.labels.key/value
Nível de hierarquia 1 do DG (dg_hier_level_1) PanOSDGl1 Hierarquia do grupo de dispositivos L1 dg_hier_level_1 about.labels.key/value
Nível 2 da hierarquia do DG (dg_hier_level_2) PanOSDGl2 Hierarquia do grupo de dispositivos L2 dg_hier_level_2 about.labels.key/value
Nível 3 da hierarquia do DG (dg_hier_level_3) PanOSDGl3 Hierarquia do grupo de dispositivos L3 dg_hier_level_3 about.labels.key/value
Nível de hierarquia 4 do DG (dg_hier_level_4) PanOSDGl4 Hierarquia do grupo de dispositivos L4 dg_hier_level_4 about.labels.key/value
Nome do sistema virtual (vsys_name) Nome do PanOSVsys NomeDoVSrc principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

Nome do dispositivo (device_name) Dvchost DeviceName nome-intermediário.nomedohost
file_url (file_url) sobre.url
UUID da VM de origem (src_uuid) SrcUUID principal.asset.asset_id
UUID da VM de destino (dst_uuid) DSTUUID target.asset.asset_id
http_method (http_method) Solicitar método Método de solicitação network.http.method
ID do túnel/IMSI (tunnelid) ID do túnel ID do túnel túnelid about.labels.key/value
Monitorar tag/IMEI (monitortag) Tag do monitor OSOS Monitorar tag tag de monitoramento about.labels.key/value
ID da sessão mãe (parent_session_id) ID da sessão pai do PanOS ID da sessão pai parent_session_id about.labels.key/value
Horário de início da sessão mãe (parent_start_time) Horário de início do PanOS Horário de início dos pais horário_de_início_do_pai about.labels.key/value
Túnel (túnel) Tipo de Túnel do SO Tipo de túnel túnel about.labels.key/value
thr_category (thr_category) CategoriaParStaReais Categoria de ameaças thr_category security_result.detection_fields.key/value
contentver (contentver) Versão do conteúdo OSOS Ver. de conteúdo contentver about.labels.key/value
sig_flags (sig_flags) Sinalizações_sigla about.labels.key/value
ID de associação da SCTP (assoc_id) PanOSAssocID ID_associado about.labels.key/value
ID do protocolo de payload (ppid) PanOSPPID ppid about.labels.key/value
http_headers (http_headers) Cabeçalho HTTP OS http_cabeçalhos about.labels.key/value
Lista de categorias de URL (url_category_list) Lista de gatos da OSOS lista de categorias de URL about.labels.key/value
UUID da regra (rule_uuid) PanOSRuleUUID regra_uuid about.labels.key/value
Conexão HTTP/2 (http2_connection) PanOSHTTP2Con. Conexão http2 about.labels.key/value
dynusergroup_name (dynusergroup_name) Dinâmica Panorâmica dynusergroup_name about.labels.key/value
Endereço XFF (xff_ip) PanXFFIP principal.ip
Categoria do dispositivo de origem (src_category) PanSrcDeviceCat categoria_src principal.labels.key/value
Perfil do dispositivo de origem (src_profile) PanSrcDeviceProf. perfil_src principal.labels.key/value
Modelo de dispositivo de origem (src_model) Modelo do dispositivo PanSrc modelo_src principal.labels.key/value
Fornecedor do dispositivo de origem (src_vendor) Fornecedor de dispositivos PanSrc src_fornecedor principal.labels.key/value
Família do SO do dispositivo de origem (src_osfamily) Sistema operacionalDoDispositivo principal.asset.platform_software.platform

principal.labels.key/value

Versão do SO do dispositivo de origem (src_osversion) Painel de SO do dispositivo principal.asset.software.version
Nome do host de origem (src_host) Nome do host do PanSrc host_src principal.labels.key/value
Endereço Mac de origem (src_mac) MacroSpan principal.mac
Categoria de dispositivo de destino (dst_category) CatPstDeviceDevice dst_category target.labels.key/value
Perfil do dispositivo de destino (dst_profile) PanDstDeviceProf. dst_profile target.labels.key/value
Modelo de dispositivo de destino (dst_model) Modelo do dispositivo PanDst modelo dst target.labels.key/value
Fornecedor do dispositivo de destino (dst_vendor) PanDstDeviceVendor dst_vendor target.labels.key/value
Família do SO do dispositivo de destino (dst_osfamily) Painel de dispositivos target.asset.platform_software.platform

target.labels.key/value

Versão do SO do dispositivo de destino (dst_osversion) Painel de dispositivo target.asset.software.version
Nome do host de destino (dst_host) Namespace do PanPOD target.hostname
Endereço MAC do destino (dst_mac) Mac do PanD target.mac.
ID do contêiner (container_id) Nome do contêiner ID do contêiner about.labels.key/value
Namespace do POD (pod_namespace) Namespace do PanPOD pod_namespace about.labels.key/value
Nome do POD (pod_name) Nome do POPOD pod_name about.labels.key/value
Lista dinâmica externa de origem (src_edl) Ação de palavras e respostas src_edl. principal.labels.key/value
Lista dinâmica de destino externa (dst_edl) PanDstEDL. dst_edl target.labels.key/value
ID do host (hostid) ID do host do PanGP hostid about.labels.key/value
Número de série (número de série) Número de série principal.asset.hardware.serial_number
dominio_edl (dominio_edl) PanDomainEDL ed_domínio about.labels.key/value
Grupo de endereços dinâmico de origem (src_dag) Aprimoramento do Panda principal.group.group_display_name
Grupo de endereços dinâmicos de destino (dst_dag) PanDstDAG. target.group.group_display_name
parcial_hash (parcial_hash) hash parcial do Pan hash_parcial about.labels.key/value
Carimbo de data/hora de alta resolução (high_res_timestamp) PanTimeHighRes metadata.collected_timestamp,

metadata.event_timestamp (se "Gerar horário" estiver ausente)

Motivo (motivo) Ação de filtragem de motivo reason about.labels.key/value
justificativa (justificação) Justificativa panorâmica justificativa about.labels.key/value
nssai_sst (nssai_sst) TipoDeServiçoAS nssai_sst about.labels.key/value
Subcategoria do app (subcategory_of_app) subcategoria_do_app about.labels.key/value
Categoria do app (category_of_app) categoria_do_app about.labels.key/value
Tecnologia do aplicativo (technology_of_app) tecnologia_do_app about.labels.key/value
Risco do app (risk_of_app) risco_do_app about.labels.key/value
Característica do app (characteristic_of_app) característica_do_app about.labels.key/value
Contêiner do app (container_of_app) container_of_app about.labels.key/value
App encapsulado (tunneled_app) túnel_do_app about.labels.key/value
SaaS do app (is_saas_of_app) is_saas_do_app about.labels.key/value
Estado sancionado do app (sanctioned_state_of_app) estado_santo_do_app about.labels.key/value

Dados

A tabela a seguir lista os campos do tipo de registro de dados e os campos de UDM correspondentes.

Campo CSV Campo de CEF Campo LEEF Chave do rótulo do Chronicle Campo UDM
Horário de recebimento (cef-formatted-receive_time) Rt Hora do desenvolvedor metadata.collected_timestamp,

metadata.event_timestamp (se "Gerar horário" estiver ausente)

Número de série ID externo do dispositivo Número de série intermediary.asset.hardware.serial_number
Tipo (tipo) tipo (cabeçalho) cat metadata.product_event_type
Tipo de ameaça/conteúdo (subtipo) subtipo (cabeçalho) Subtipo metadata.product_event_type
Gerar tempo metadata.event_timestamp
Endereço de origem (src) src src principal.ip
Endereço de destino (dst) dst dst target.ip;
IP de origem NAT (natsrc) Endereço de origem traduzido srcPostNAT principal.nat_ip
IP de destino NAT (natdst) Endereço traduzido para o destino dstPostNAT target.nat_ip.
Regra (regra) CS1 Nome da regra segurança_resultado.nome_da_regra
Usuário de origem (srcuser) usuário Usuário de origem principal.user.userid
Usuário de destino (dstuser) duser Usuário de destino target.user.userid
Aplicativo (app) app Aplicativo network.application_protocol
Sistema virtual (vsys) CS3 Sistema Virtual vsys about.labels.key/value
Zona de origem (de) T4 Zona de origem from principal.labels.key/value
Zona de destino (para) CS5 Zona de destino a target.labels.key/value
Interface de entrada (inbound_if) interface de entrada do dispositivo Interface de entrada entrada_se principal.labels.key/value
Interface de saída (outbound_if) Interface de saída do dispositivo Interface de saída outbound_if target.labels.key/value
Ação de registro (conjunto de registros) cs6 Perfil de encaminhamento de registros conjunto de registros about.labels.key/value
Tempo registrado tempo_registrado about.labels.key/value
ID da sessão (sessionid) CN1 ID da sessão ID da sessão de rede
Contagem de repetições (repetição) cnt Repetir contagem Repetição about.labels.key/value
Porta de origem (esporte) ponto srcPort principal.porta
Porta de destino (porta) Dpt dstPort target.port
Porta de origem NAT (natsport) PortaTraduçãoTradução srcPostNATPort principal.nat_porta
Porta de destino NAT (natdport) Porta de tradução de destino dstPostNATPort target.nat_port
Sinalizações (flags) Flexível1 Sinalizações flags about.labels.key/value
Protocolo IP (proto) proto proto network.ip_protocol
Ação (ação) agir ação segurança_resultado.ação_de_detalhes

segurança_resultado.ação

URL/nome do arquivo (misc) Diversos target.file.full_path

URL de destino

Nome da ameaça/conteúdo (atraso) cat ID da ameaça ID do resultado da segurança.
Categoria (categoria) CS2 Categoria do URL categoria about.labels.key/value
Gravidade (gravidade) número de gravidade (cabeçalho) Gravidade segurança_resultado.gravidade

detalhes_da_segurança.gravidade_de_detalhes

Direção (direção) Flex2 Direção rede.direction
Número da sequência (seqno) externalId sequência metadata.product_log_id
Sinalizações de ação (flagelações) Sinalizações PanOSAction Sinalizações de ação sinalizações de ação about.labels.key/value
País de origem (srcloc) Local de origem principal.location.country_or_region
País de destino (dstloc) Local de destino target.location.country_or_region
contenttype (contenttype) ContentType tipo de conteúdo about.labels.key/value
pcap_id (pcap_id). ID do arquivo ID do PCAP ID do pcap about.labels.key/value
filedigest (filedigest) Resumo de arquivos sobre.arquivo.sha1/md5/sha256
nuvem (nuvem) Nuvem cloud about.labels.key/value
url_idx (url_idx) Índice do URL ID do URL about.labels.key/value
user_agent (user_agent) network.http.user_agent
tipo de arquivo (filetype) about.file.mime_type
xff (xff) xff about.labels.key/value
referenciador (referenciador) network.http.referral_url
remetente (remetente) network.email.from
assunto (assunto) Assunto network.email.subject
destinatário (destinatário) network.email.to
ID do relatório (ID do relatório) ID do relatório about.labels.key/value
Nível de hierarquia 1 do DG (dg_hier_level_1) PanOSDGl1 Hierarquia do grupo de dispositivos L1 dg_hier_level_1 about.labels.key/value
Nível 2 da hierarquia do DG (dg_hier_level_2) PanOSDGl2 Hierarquia do grupo de dispositivos L2 dg_hier_level_2 about.labels.key/value
Nível 3 da hierarquia do DG (dg_hier_level_3) PanOSDGl3 Hierarquia do grupo de dispositivos L3 dg_hier_level_3 about.labels.key/value
Nível de hierarquia 4 do DG (dg_hier_level_4) PanOSDGl4 Hierarquia do grupo de dispositivos L4 dg_hier_level_4 about.labels.key/value
Nome do sistema virtual (vsys_name) Nome do PanOSVsys NomeDoVSrc principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

Nome do dispositivo (device_name) Dvchost DeviceName nome-intermediário.nomedohost
file_url (file_url) sobre.url
UUID da VM de origem (src_uuid) SrcUUID principal.asset.asset_id
UUID da VM de destino (dst_uuid) DSTUUID target.asset.asset_id
http_method (http_method) Método de solicitação network.http.method
ID do túnel/IMSI (tunnelid) ID do túnel ID do túnel túnelid about.labels.key/value
Monitorar tag/IMEI (monitortag) Tag do monitor OSOS Monitorar tag tag de monitoramento about.labels.key/value
ID da sessão mãe (parent_session_id) ID da sessão pai do PanOS ID da sessão pai parent_session_id about.labels.key/value
Horário de início da sessão mãe (parent_start_time) Horário de início do PanOS Horário de início dos pais horário_de_início_do_pai about.labels.key/value
Túnel (túnel) Tipo de Túnel do SO Tipo de túnel túnel about.labels.key/value
thr_category (thr_category) CategoriaParStaReais Categoria de ameaças thr_category security_result.detection_fields.key/value
contentver (contentver) Versão do conteúdo OSOS Ver. de conteúdo contentver about.labels.key/value
sig_flags (sig_flags) Sinalizações_sigla about.labels.key/value
ID de associação da SCTP (assoc_id) PanOSAssocID ID_associado about.labels.key/value
ID do protocolo de payload (ppid) PanOSPPID ppid about.labels.key/value
http_headers (http_headers) Cabeçalho HTTP OS http_cabeçalhos about.labels.key/value
Lista de categorias de URL (url_category_list) lista de categorias de URL about.labels.key/value
UUID da regra (rule_uuid) PanOSRuleUUID regra_uuid about.labels.key/value
Conexão HTTP/2 (http2_connection) Conexão http2 about.labels.key/value
dynusergroup_name (dynusergroup_name) dynusergroup_name principal.labels.key/value
Endereço XFF (xff_ip) principal.ip
Categoria do dispositivo de origem (src_category) categoria_src principal.labels.key/value
Perfil do dispositivo de origem (src_profile) perfil_src principal.labels.key/value
Modelo de dispositivo de origem (src_model) modelo_src principal.labels.key/value
Fornecedor do dispositivo de origem (src_vendor) src_fornecedor principal.labels.key/value
Família do SO do dispositivo de origem (src_osfamily) principal.asset.platform_software.platform

principal.labels.key/value

Versão do SO do dispositivo de origem (src_osversion) principal.asset.software.version
Nome do host de origem (src_host) host_src principal.labels.key/value
Endereço Mac de origem (src_mac) principal.mac
Categoria de dispositivo de destino (dst_category) dst_category target.labels.key/value
Perfil do dispositivo de destino (dst_profile) dst_profile target.labels.key/value
Modelo de dispositivo de destino (dst_model) modelo dst target.labels.key/value
Fornecedor do dispositivo de destino (dst_vendor) dst_vendor target.labels.key/value
Família do SO do dispositivo de destino (dst_osfamily) target.asset.platform_software.platform

target.labels.key/value

Versão do SO do dispositivo de destino (dst_osversion) target.asset.software.version
Nome do host de destino (dst_host) target.hostname
Endereço MAC do destino (dst_mac) target.mac.
ID do contêiner (container_id) ID do contêiner about.labels.key/value
Namespace do POD (pod_namespace) pod_namespace about.labels.key/value
Nome do POD (pod_name) pod_name about.labels.key/value
Lista dinâmica externa de origem (src_edl) src_edl. principal.labels.key/value
Lista dinâmica de destino externa (dst_edl) dst_edl target.labels.key/value
ID do host (hostid) hostid about.labels.key/value
Número de série (número de série) principal.asset.hardware.serial_number
dominio_edl (dominio_edl) ed_domínio about.labels.key/value
Grupo de endereços dinâmico de origem (src_dag) principal.group.group_display_name
Grupo de endereços dinâmicos de destino (dst_dag) target.group.group_display_name
parcial_hash (parcial_hash) hash_parcial about.labels.key/value
Carimbo de data/hora de alta resolução (high_res_timestamp) metadata.collected_timestamp,

metadata.event_timestamp (se "Gerar horário" estiver ausente)

Motivo (motivo) reason about.labels.key/value
justificativa (justificação) justificativa about.labels.key/value
nssai_sst (nssai_sst) nssai_sst about.labels.key/value
Subcategoria do app (subcategory_of_app) subcategoria_do_app about.labels.key/value
Categoria do app (category_of_app) categoria_do_app about.labels.key/value
Tecnologia do aplicativo (technology_of_app) tecnologia_do_app about.labels.key/value
Risco do app (risk_of_app) risco_do_app about.labels.key/value
Característica do app (characteristic_of_app) característica_do_app about.labels.key/value
Contêiner do app (container_of_app) container_of_app about.labels.key/value
App encapsulado (tunneled_app) túnel_do_app about.labels.key/value
SaaS do app (is_saas_of_app) is_saas_do_app about.labels.key/value
Estado sancionado do app (sanctioned_state_of_app) estado_santo_do_app about.labels.key/value

Proteção global

A tabela a seguir lista os campos do tipo de registro GlobalProtect e os respectivos campos de UDM correspondentes.

Campo CSV Campo de CEF Campo LEEF Chave do rótulo do Chronicle Campo UDM
Horário de recebimento (receive_time) Rt tempo_recebido metadata.event_timestamp
Número de série Dispositivo OSS Pan número_intermediário_hardware_serial_número intermediary.asset.hardware.serial_number
Tipo (tipo) tipo (cabeçalho) metadata.product_event_type
Tipo de ameaça/conteúdo (subtipo) subtipo (cabeçalho) Subtipo metadata.product_event_type
Gerar horário (time_generate) Carimbo de data/hora do PanOSLog carimbo de data/hora gerado metadata.event_timestamp
Sistema virtual (vsys) Sistema VirtualPOS vsys about.labels.key/value
ID do evento (eventid) ID do evento do OS event_id about.labels.key/value
Fase (estágio) Fase do SO organizar about.labels.key/value
Método de autenticação (auth_method) Método PanOSAuth extension_auth_auth_details extensions.auth.auth_details
Tipo de túnel (tunnel_type) Tipo de Túnel do SO túnel about.labels.key/value
Usuário de origem (srcuser) Nome da fonte do usuário do SO Usuário src endereço.usuário.e-mail principal.

principal.user.userid

domínio_administrativo_principal

Região de origem (srcregion) Região de origem do SO região_src principal.location.country_or_region
Nome da máquina (nome da máquina) Nome do dispositivo do OSOS machine_name principal.nomedohost
IP público (public_ip) PanOSIPIPv4 principal.nat_ip
IPv6 público (public_ipv6) PanOSPublicIPv6 principal.nat_ip
IP privado (private_ip) PanOSPrivateIPv4 principal.ip
IPv6 particular (private_ipv6) PanOSIPIPv6 principal.ip
ID do host (hostid) ID do host do PanOS hostid principal.asset.asset_id
Número de série (número de série) Dispositivo OSS Pan principal.asset.hardware.serial_number
Versão do cliente (client_ver) Versão do PanOSGlobalProtectClient cliente_ver about.labels.key/value
SO do cliente (client_os) Tipo de SO de destino do SO principal.asset.platform_software.platform(enum)
Versão do SO do cliente (client_os_ver) Versão do PanOSEndpointOS versão principal.asset.platform_software.platform_version
Contagem de repetições (repetição) Número de repetições do PanOS Repetição about.labels.key/value
Motivo (motivo) Motivo da quarentena do PanOS segurança_resumo.result
Erro (erro) Erro de conexão no SO erro segurança_resultado.descrição
Descrição (opaca) Descrição do PanOS segurança_resultado.descrição
Status (status) Status do evento PanOS status about.labels.key/value
Local (local) Localização do PanOSGPGateway target.location.country_or_region
Duração do login (login_duration) Duração do login do SO rede.sessão_de_duração
Método de conexão (connect_method) Método PanOSConnection método "connect_method" about.labels.key/value
Código de erro (error_code) IDdoErro de conexão do SO error_code about.labels.key/value
Portal (portal) Portal do PanOS portal about.labels.key/value
Número da sequência (seqno) No da sequência do SO metadata.product_log_id
Sinalizações de ação (flagelações) Sinalizações PanOSAction sinalizações de ação about.labels.key/value
Carimbo de data/hora de alta resolução (high_res_timestamp) anOSTimeGeneratedAlta resolução metadata.collected_timestamp,

metadata.event_timestamp (se "Gerar horário" estiver ausente)

Método de seleção do gateway (selection_type) Tipo de seleção do gateway OSOS tipo de seleção about.labels.key/value
Tempo de resposta SSL (response_time) Tempo de resposta PanOSSSL tempo de resposta about.labels.key/value
Prioridade do gateway (prioridade) Prioridade de PanOSGateway prioridade about.labels.key/value
Tentativas de gateways (tented_gateways) Gateways de tentativa do PanOS Tentativas de gateway about.labels.key/value
Nome do gateway (gateway) Gateways de tentativa do PanOS gateway about.labels.key/value
Hierarquia do grupo de dispositivos (dg_hier_level_1) dg_hier_level_1 about.labels.key/value
Hierarquia do grupo de dispositivos (dg_hier_level_2) dg_hier_level_2 about.labels.key/value
Hierarquia do grupo de dispositivos (dg_hier_level_3) dg_hier_level_3 about.labels.key/value
Hierarquia do grupo de dispositivos (dg_hier_level_4) dg_hier_level_4 about.labels.key/value
Nome do sistema virtual (vsys_name) principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

Nome do dispositivo (device_name) target.hostname
ID do sistema virtual (vsys_id) principal.resource.resource_type=VIRTUAL_MACHINE e principal.resource.product_object_id

Correlação

A tabela a seguir lista os campos do tipo de registro "Correlation" e os campos de UDM correspondentes.

Campo CSV Campo de CEF Campo LEEF Chave do rótulo do Chronicle Campo UDM
Horário gerado (time_generate ou cef-formatted-time_generate) Hora de início carimbo de data/hora gerado metadata.event_timestamp
Endereço de origem (src) src principal.ip
Usuário de origem (srcuser) SourceUser / usrName principal.user.userid
Sistema virtual (vsys) Sistema Virtual vsys about.labels.key/value
Categoria (categoria) segurança_resultado.categoria_detalhes
Gravidade (gravidade) Gravidade security_result.severity e security_result.severity_details
Nível 1 da hierarquia do grupo de dispositivos Hierarquia do grupo de dispositivos L1 about.labels.key/value
Nível 2 da hierarquia do grupo de dispositivos Hierarquia do grupo de dispositivos L2 about.labels.key/value
Nível 3 da hierarquia do grupo de dispositivos Hierarquia do grupo de dispositivos L3 about.labels.key/value
Nível 4 da hierarquia do grupo de dispositivos Hierarquia do grupo de dispositivos L4 about.labels.key/value
Nome do sistema virtual (vsys_name) NomeDoVSrc principal.resource.name

principal.resource.resource_type=VIRTUAL_MACHINE

Nome do dispositivo (device_name) DeviceName nome-intermediário.nomedohost
ID do sistema virtual (vsys_id) ID do sistema virtual principal.resource.resource_type=VIRTUAL_MACHINE e principal.resource.product_object_id
Nome do objeto (objectname) ObjectName target.resource.name
ID do objeto (object_id) ID do objeto target.resource.product_object_id

Referência de mapeamento de campo: tipos de registro para o tipo de evento do UDM

Veja na tabela a seguir os tipos de registro de firewall da Palo Alto Networks e os tipos de evento de UDM correspondentes.

Tipo de registro Tipo de evento da UDM
Tráfego NETWORK_CONNECTION
Ameaça NETWORK_CONNECTION
Filtragem de URL NETWORK_CONNECTION
Selva NETWORK_CONNECTION

Os registros de envio do WildFire são um subtipo do tipo de registro de ameaças e usam o mesmo formato syslog.

Filtragem de dados NETWORK_CONNECTION
Opção de roteamento NETWORK_CONNECTION
Configuração SETTING_MODIFICAÇÃO/SETTING_CREATION/SETTING_DELETION/SETTING_UNCATEGORIZED

O valor do campo "Command (cmd)" determina o mapeamento do tipo de evento do UDM. Se o valor do campo do cmd for "Add" ou "Clone", a "SETTING_CREATION" é definida.

Se o valor do campo do cmd for excluído, SETTING_DELETION será definido.

Se o valor do campo do cmd for editar, mover, renomear, definir ou confirmar, SETTING_MODIFICATION será definido.

Se o valor do campo cmd não contiver nenhum valor, a configuração SETTING_UNCATEGORIZED será definida.

Sistema

Se o valor do subtipo for dhcp, NETWORK_DHCP será definido. Para outros valores, GENERIC_EVENT é definido.

Correspondência HIP NETWORK_CONNECTION
Tag de IP EVENTO GERAL
ID do usuário USER_LOGIN/USER_LOGOUT/USER_UNCATEGORIZED

Se o valor do subtipo for "login", USER_LOGIN será definido.

Se o valor do subtipo for "logout", USER_LOGOUT será definido.

Se o subtipo não contiver qualquer valor, USER_UNCATEGORIZED será definido.

Descriptografia NETWORK_CONNECTION
Authentication EVENTO GERAL

A seguir