Recopila registros de firewall de Palo Alto Networks
Descripción general
En este documento, se describe cómo configurar syslog y un servidor de reenvío de Google Security Operations para recopilar registros de firewall de Palo Alto Networks. En este documento, también se explica cómo los campos de registro de firewall de Palo Alto Networks se asignan a los campos del Modelo de datos unificado (UDM) de Google Security Operations.
Para obtener una descripción general sobre la transferencia de datos de Google Security Operations, consulta Transferencia de datos a Google Security Operations.
Una etiqueta de transferencia identifica el analizador que normaliza los datos de registro sin procesar al formato de UDM estructurado. La información de este documento se aplica al analizador con la etiqueta de transferencia PAN_FIREWALL.
Antes de comenzar
Para comprender los componentes implementados para recopilar el firewall de Palo Alto Networks y registros del sistema, revisa la arquitectura de implementación. Cada implementación de cliente puede ser diferente de esta representación y podría ser más compleja.
En el siguiente diagrama, se muestra cómo configurar syslog en una instancia de Palo Alto Networks firewall e instalarás un servidor de reenvío de Google Security Operations en un servidor Linux para reenviar datos a Google Security Operations. El analizador admite registros escritos en el siguiente formatos de datos: valores separados por comas (CSV), formato de evento común (CEF) y Formato extendido de eventos de registro (LEEF).
Verifica los formatos de registro y las versiones de PAN-OS que usa el analizador de Google Security Operations admite. En la siguiente tabla, se enumeran los formatos de registro y los PAN-OS correspondientes compatibles con el analizador de Google Security Operations:
Formato de registro Versión de PAN-OS CSV 10.1.3 CEF 10.0.0 LEEF 9.1.0 Verifica los tipos de registros de firewall de Palo Alto Networks que admite el analizador de Google Security Operations. El analizador de Google Security Operations admite los siguientes tipos de registros de firewall de Palo Alto Networks:
- Tráfico
- Amenaza
- Envíos de WildFire
- Inspección de túneles
- Configuración
- Sistema
- Coincidencia con HIP
- Etiqueta IP
- User-ID
- Desencriptación
- Autenticación
- Filtros de URL
- Filtrado de datos
- GlobalProtect
- Correlación
Para obtener más información sobre los tipos de registros de firewall de Palo Alto Networks, consulta Tipos de registros de PAN-OS.
Asegúrate de que todos los sistemas en la arquitectura de implementación estén configurados en la zona horaria UTC.
Antes de usar el analizador de firewall de Palo Alto Networks, revisa Los cambios en las asignaciones de campos entre el analizador anterior y el analizador de firewall actual de Palo Alto Networks Como parte de la migración, asegúrate de que las reglas, las búsquedas los paneles u otros procesos que dependen de los campos originales usan los campos actualizados.
Por ejemplo, en la versión anterior del analizador, el campo de registro
category
se asigna al Campo de UDMsecurity_result.description
. En el analizador de firewall actual de Palo Alto Networks, El campo de registrocategory
se asigna al campo de UDMsecurity_result.category_details
. Si migras al analizador de firewall actual de Palo Alto Networks y usas el campocategory
en tus reglas, haz lo siguiente: Debes modificar las reglas para usar el campo UDMsecurity_result.category_details
del analizador actual.
Configura syslog y el servidor de reenvío de Google Security Operations
Para configurar syslog y el servidor de reenvío de Google Security Operations, completa los siguientes pasos:
Para supervisar los registros de CSV, configura el perfil del servidor syslog. Para obtener más información, consulta Configura el perfil del servidor syslog.
Cuando configure el perfil del servidor syslog, especifique “Predeterminado” ya que el cliente de registro.
Para supervisar los registros de CEF, configura el firewall de Palo Alto Networks para reenviar los registros de CEF. Para ver más descarga el PDF de la Guía de integración de PAN-OS para CEF y consulta el documento de Palo Alto Networks NGFW para generar eventos de CEF". sección.
Para supervisar los registros de LEEF, configura el perfil del servidor syslog. Para obtener más información, consulta Reenvío de registros personalizado en formato LEEF.
Configura el servidor de reenvío de Google Security Operations para enviar registros a Google Security Operations. Para obtener más información, consulta Instala y configura el reenviador en Linux. El siguiente es un ejemplo de una configuración del servidor de reenvío de Google Security Operations:
- syslog: common: enabled: true data_type: PAN_FIREWALL batch_n_seconds: 10 batch_n_bytes: 1048576 tcp_address: 0.0.0.0:10518 connection_timeout_sec: 60
Referencia de asignación de campos: campos de registros de firewall de PAN a campos UDM
En esta sección, se explica cómo el analizador asigna a Palo Alto Networks campos de registro de firewall a los campos de eventos de UDM de Google Security Operations para cada tipo de registro.
La clave de etiqueta de Google Security Operations hace referencia al nombre de la clave asignada al campo UDM de Labels.key. Por ejemplo, en el caso del “sistema virtual” , el nombre del campo es "cs3" en CEF y es “VirtualSystem” en formato LEEF. El campo de UDM "about.labels.key" contiene el valor "vsys" y el campo de UDM "about.labels.value" contiene el valor de ese campo.
Algunos de los nombres de los campos CEF o LEEF no tienen un nombre que corresponda al archivo CSV en los nombres de campo. En esos casos, si agregas tu propio nombre de variable en formato de registro personalizado en el perfil syslog, el analizador no lo asignará al campo UDM.
Consulta las siguientes secciones para obtener referencias de la asignación de cada tipo de registro:
- Sistema
- Configuración
- Amenaza/incendio
- Tráfico
- ID de usuario
- Coincidencia con HIP
- Etiqueta IP
- Desencriptación
- Túnel
- Authentication
- URL
- Datos
- GlobalProtect
- Correlación
Sistema
En la siguiente tabla, se enumeran los campos de registro del tipo de registro del sistema y sus correspondientes campos UDM.
Campo CSV | Campo CEF | campo LEEF | Clave de etiqueta de Google Security Operations | Campo de UDM |
---|---|---|---|---|
Hora de recepción (receive_time o cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp (si la opción "Generate Time" está ausente) |
|
Número de serie | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
Tipo | tipo (encabezado) | gato | metadata.product_event_type está configurado como "%{type} - %{subtype}". | |
Amenaza/tipo de contenido (subtipo) | subtipo (encabezado) | Subtipo | metadata.product_event_type está configurado como "%{type} - %{subtype}". | |
Hora de generación (time_generated o cef-formatted-time_generated) | metadata.event_timestamp | |||
Sistema virtual (vsys) | cs3 | VirtualSystem | vsys | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
ID de evento (eventid) | gato | eventid | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Objeto (objeto) | fname | Nombre del archivo | objeto | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Módulo (módulo) | flexString2 | Módulo | module | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Gravedad | $number-of-severity(encabezado) | Gravedad | security_result.severity y security_result.severity_details | |
Descripción (opaco) | msg | msg | metadata.description | |
principal_user_userid (este campo se extrae del campo msg) | principal.user.userid | |||
principal_ip3 (este campo se extrae del campo msg) | principal.ip | |||
Motivo (este campo se extrae del campo msg) | security_result.description | |||
server_address (este campo se extrae del campo msg) | target.ip | |||
server_profile (este campo se extrae del campo msg) | additional.fields.key y additional.fields.value.string_value | |||
Número de secuencia (seqno) | externalId | secuencia | metadata.product_log_id | |
Marcas de acción | PanOSActionFlags | ActionFlags | marcas de acción | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Jerarquía del grupo de dispositivos (de dg_hier_level_1 a dg_hier_level_4) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Jerarquía del grupo de dispositivos (dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Jerarquía del grupo de dispositivos (dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Jerarquía del grupo de dispositivos (dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Nombre del sistema virtual (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
Nombre del dispositivo (device_name) | dvchost | DeviceName | intermediary.hostname | |
Marca de tiempo de alta resolución (high_res_timestamp) | anOSTimeGeneratedHighResolution | metadata.collected_timestamp,
metadata.event_timestamp (si la opción "Generate Time" está ausente) |
Configuración
En la siguiente tabla, se enumeran los campos de registro del tipo de registro config y sus correspondientes campos UDM.
Campo CSV | Campo CEF | campo LEEF | Clave de etiqueta de Google Security Operations | Campo de UDM |
---|---|---|---|---|
Hora de recepción (receive_time o cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp (si la opción "Generate Time" está ausente) |
|
Número de serie | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
Tipo | tipo (encabezado) | gato | metadata.product_event_type | |
Amenaza/tipo de contenido (subtipo) | subtipo (encabezado) | metadata.product_event_type | ||
Hora de generación (time_generated o cef-formatted-time_generated) | metadata.event_timestamp | |||
Host (host) | shost | src | principal.ip/hostname | |
Sistema virtual (vsys) | cs3 | VirtualSystem | vsys | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Comando (cmd) | actuar | msg | cmd | metadata.description |
Administrador (admin) | duser | usrName | principal.user.userid | |
Cliente (cliente) | destinationServiceName | cliente | principal.application | |
Resultado (resultado) | ID de la firma (encabezado)(motivo) | Resultado | security_result.summary | |
Ruta de configuración (ruta de acceso) | msg | ConfigurationPath | principal.process.command_line | |
Detalle del antes del cambio (before_change_detail) | cs1 | BeforeChangeDetail | before_change_detail | target.resource.attribute.labels.key/value |
Detalle posterior al cambio (after_change_detail) | cs2 | AfterChangeDetail | after_change_detail | target.resource.attribute.labels.key/value |
Número de secuencia (seqno) | externalId | secuencia | metadata.product_log_id | |
Marcas de acción | PanOSActionFlags | ActionFlags | marcas de acción | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Jerarquía del grupo de dispositivos (de dg_hier_level_1 a dg_hier_level_4) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Jerarquía del grupo de dispositivos (dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Jerarquía del grupo de dispositivos (dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Jerarquía del grupo de dispositivos (dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Nombre del sistema virtual (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
Nombre del dispositivo (device_name) | dvchost | DeviceName | intermediary.hostname | |
Grupo de dispositivos (dg_id) | PanOSFWDeviceGroup | dg_id | principal.asset.attribute.labels.key/value | |
Comentario de auditoría (comentario) | PanOSPolicyAuditComment | comentario | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Amenaza/WildFire
En la siguiente tabla, se enumeran los campos de registro del tipo de registro Amenaza/WildFire y sus correspondientes campos UDM.
Campo CSV | Campo CEF | campo LEEF | Clave de etiqueta de Google Security Operations | Campo de UDM |
---|---|---|---|---|
Hora de recepción (receive_time o cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp (si la opción "Generate Time" está ausente) |
|
Número de serie | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
Tipo | tipo (encabezado) | gato | metadata.product_event_type | |
Amenaza/tipo de contenido (subtipo) | cat/subtype (encabezado) | Subtipo | metadata.product_event_type | |
Tiempo de generación (time_generated o cef-formatted-time_generated) | metadata.event_timestamp | |||
Dirección de origen (src) | src | src | principal.ip | |
Dirección de destino (dst) | DST | DST | target.ip | |
IP de origen de NAT (natsrc) | sourceTranslatedAddress | srcPostNAT | principal.nat_ip | |
IP de destino de NAT (natdst) | destinationTranslatedAddress | dstPostNAT | target.nat_ip | |
Nombre de la regla (regla) | cs1 | RuleName | security_result.rule_name | |
Usuario de origen (srcuser) | suser | SourceUser / usrName | principal.user.userid | |
Usuario de destino (dstuser) | duser | DestinationUser | target.user.userid | |
Aplicación (app) | app | Aplicación | target.application | |
Sistema virtual (vsys) | cs3 | VirtualSystem | vsys | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Zona de origen (desde) | cs4 | SourceZone | de | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
Zona de destino (a) | cs5 | DestinationZone | a | target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value |
Interfaz entrante (inbound_if) | deviceInboundInterface | IngressInterface | inbound_if | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
Interfaz de salida (outbound_if) | deviceOutboundInterface | EgressInterface | outbound_if | target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value |
Acción de registro (conjunto de registros) | cs6 | LogForwardingProfile | conjunto de registros | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
ID de sesión (ID de sesión) | cn1 | SessionID | network.session_id | |
Recuento de repetición (repetición) | cnt | RepeatCount | repetido | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Puerto de origen (deporte) | spt | srcPort | principal.port | |
Puerto de destino (dport) | dpt | dstPort | target.port | |
Puerto de origen NAT (natsport) | sourceTranslatedPort | srcPostNATPort | principal.nat_port | |
Puerto de destino NAT (natdport) | destinationTranslatedPort | dstPostNATPort | target.nat_port | |
Marcas | flexString1 | Marcas | flags | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Protocolo de IP (proto) | protocolo | protocolo | network.ip_protocol | |
Acción (action) | actuar | acción | security_result.action_details
security_result.action |
|
URL/Nombre de archivo (varios) | solicitud | Varios | target.file.full_path (si el subtipo es "file", "virus", "wildfire-virus" o "wildfire", entonces el campo "misc" se asigna a target.file.full_path) target.url (si el subtipo es "url", el campo "misc" se asigna a target.url y target.hostname) target.hostname (si el subtipo es "spyware" o "vulnerability", el campo "misc" se asigna a target.file.full_path y target.url) |
|
Nombre de contenido o amenaza (Threatid) | gato | ThreatID | security_result.threat_name | |
Categoría | cs2 | URLCategory | security_result.category_details | |
Gravedad | número-de-gravedad(encabezado) | Gravedad | security_result.severity y security_result.severity_details | |
Dirección (dirección) | flexString2 | Dirección | network.direction | |
Número de secuencia (seqno) | externalId | secuencia | metadata.product_log_id | |
Marcas de acción | PanOSActionFlags | ActionFlags | marcas de acción | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
País de origen (srcloc) | SourceLocation | principal.location.country_or_region | ||
País de destino (dstloc) | DestinationLocation | target.location.country_or_region | ||
Tipo de contenido | ContentType | tipodecontenido | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
ID de PCAP (pcap_id) | ID del archivo | PCAP_ID | pcap_id | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Resumen de archivos (resumen de archivos) | fileHash | FileDigest | acerca del archivo.sha1/md5/sha256 | |
Nube | filePath | Nube | nube | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Índice de URL (url_idx) | URLIndex | url_idx | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Usuario-agente (user_agent) | network.http.user_agent | |||
Tipo de archivo (tipo de archivo) | fileType | FileType | about.file.mime_type | |
X-Forwarded-For (xff) | principal.ip | |||
URL de referencia | network.http.referral_url | |||
Remitente (remitente) | suid | Remitente | network.email.from | |
Asunto (asunto) | msg | Asunto | network.email.subject | |
Destinatario (destinatario) | duid | Destinatario | network.email.to | |
ID del informe (reportid) | oldFileId | ReportID | reportid | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Jerarquía del grupo de dispositivos (de dg_hier_level_1 a dg_hier_level_4) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Jerarquía del grupo de dispositivos (dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Jerarquía del grupo de dispositivos (dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Jerarquía del grupo de dispositivos (dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Nombre del sistema virtual (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
Nombre del dispositivo (device_name) | dvchost | DeviceName | intermediary.hostname | |
UUID de la VM de origen (src_uuid) | PanOSSrcUUID | SrcUUID | principal.user.product_object_id | |
UUID de la VM de destino (dst_uuid) | PanOSDstUUID | DstUUID | target.user.product_object_id | |
Método HTTP (http_method) | RequestMethod | network.http.method | ||
ID de túnel/IMSI (tunnel_id/imsi) | PanOSTunnelID | TunnelID | tunnel_id/imsi | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Etiqueta de supervisión/IMEI (monitortag/imei) | PanOSMonitorTag | MonitorTag | monitortag/imei | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
ID de la sesión principal (parent_session_id) | PanOSParentSessionID | ParentSessionID | parent_session_id | network.parent_session_id |
Hora de inicio de la sesión principal (parent_start_time) | PanOSParentStartTime | ParentStartTime | parent_start_time | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Tipo de túnel (túnel) | PanOSTunnelType | TunnelType | túnel | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Categoría de amenaza (thr_category) | PanOSThreatCategory | ThreatCategory | thr_category | security_result.detection_fields.key/value |
Versión de contenido (contentver) | PanOSContentVer | ContentVer | Contentver | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
ID de asociación de SCTP (assoc_id) | PanOSAssocID | assoc_id | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
ID de protocolo de carga útil (ppid) | PanOSPPID | ppid | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Encabezados HTTP (http_headers) | PanOSHTTPHeader | http_headers | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Lista de categorías de URL (url_category_list) | PanOSURLCatList | url_category_list | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
UUID de regla (rule_uuid) | PanOSRuleUUID | security_result.rule_id | ||
Conexión HTTP/2 (http2_connection) | PanOSHTTP2Con | http2_connection | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Nombre del grupo de usuarios dinámicos (dynusergroup_name) | PanDynamicUsrgrp | dynusergroup_name | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
|
Dirección XFF (xff_ip) | PanXFFIP | principal.ip | ||
Categoría del dispositivo de origen (src_category) | PanSrcDeviceCat | src_category | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
|
Perfil del dispositivo de origen (src_profile) | PanSrcDeviceProf | src_profile | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
|
Modelo del dispositivo de origen (src_model) | PanSrcDeviceModel | src_model | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
|
Proveedor de dispositivos de origen (src_vendor) | PanSrcDeviceVendor | src_vendor | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
|
Familia de SO del dispositivo de origen (src_osfamily) | PanSrcDeviceOS | src_osfamily | principal.asset.platform_software.platform principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
|
Versión de SO del dispositivo de origen (src_osversion) | PanSrcDeviceOSv | principal.asset.software.version | ||
Nombre de host de origen (src_host) | PanSrcHostname | principal.hostname | ||
Dirección MAC de origen (src_mac) | PanSrcMac | principal.mac | ||
Categoría de dispositivo de destino (dst_category) | PanDstDeviceCat | dst_category | target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value |
|
Perfil de dispositivo de destino (dst_profile) | PanDstDeviceProf | dst_profile | target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value |
|
Modelo del dispositivo de destino (dst_model) | PanDstDeviceModel | dst_model | target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value |
|
Proveedor de dispositivos de destino (dst_vendor) | PanDstDeviceVendor | dst_vendor | target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value |
|
Familia de SO de dispositivos de destino (dst_osfamily) | PanDstDeviceOS | dst_osfamily | target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value |
|
Versión del SO del dispositivo de destino (dst_osversion) | PanDstDeviceOSv | target.asset.software.version | ||
Nombre de host de destino (dst_host) | PanDstHostname | target.hostname | ||
Dirección MAC de destino (dst_mac) | PanDstMac | target.mac | ||
ID del contenedor (container_id) | PanContainerName | container_id | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Espacio de nombres del Pod (pod_namespace) | PanPODNamespace | pod_namespace | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Nombre del Pod (pod_name) | PanPODName | pod_name | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Lista dinámica externa de origen (src_edl) | PanSrcEDL | src_edl | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Lista dinámica externa de destino (dst_edl) | PanDstEDL | dst_edl | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
ID de host (hostid) | PanGPHostID | hostid | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Número de serie del dispositivo de usuario | PanEPSerial | principal.asset.hardware.serial_number | ||
EDL de dominio (domain_edl) | PanDomainEDL | domain_edl | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Grupo de direcciones dinámicas de origen (src_dag) | PanSrcDAG | principal.group.group_display_name | ||
Grupo de direcciones dinámicas de destino (dst_dag) | PanDstDAG | target.group.group_display_name | ||
Hash parcial (partial_hash) | PanPartialHash | partial_hash | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Marca de tiempo de alta resolución (marca de tiempo de alta resolución) | PanTimeHighRes | marca de tiempo de alta resolución | metadata.collected_timestamp,
metadata.event_timestamp (si la opción "Generate Time" está ausente) |
|
Razón (motivo) | PanReasonFilteringAction | Reason | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Justificación (justificación) | PanJustification | justificación | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Un tipo de servicio de Slice (nssai_sst) | PanASServiceType | nssai_sst | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Subcategoría de aplicación (subcategory_of_app) | subcategory_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Categoría de aplicación (category_of_app) | category_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Tecnología de aplicaciones (technology_of_app) | technology_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Riesgo de la aplicación (risk_of_app) | risk_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Característica de la aplicación (characteristic_of_app) | characteristic_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Contenedor de la aplicación (container_of_app) | container_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
SaaS de aplicación (is_saas_of_app) | is_saas_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Estado sancionado de la aplicación (sanctioned_state_of_app) | sanctioned_state_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Tráfico
En la siguiente tabla, se enumeran los campos de registro del tipo de registro de tráfico y sus correspondientes campos UDM.
Campo CSV | Campo CEF | campo LEEF | Clave de etiqueta de Google Security Operations | Campo de UDM |
---|---|---|---|---|
Hora de recepción (receive_time o cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp (si la opción "Generate Time" está ausente) |
|
Número de serie | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
Tipo | tipo (encabezado) | gato/tipo | metadata.product_event_type | |
Amenaza/tipo de contenido (subtipo) | subtipo (encabezado) | Subtipo | metadata.product_event_type | |
Hora de generación (time_generated o cef-formatted-time_generated) | start | metadata.event_timestamp | ||
Dirección de origen (src) | src | src | principal.ip | |
Dirección de destino (dst) | DST | DST | target.ip | |
IP de origen de NAT (natsrc) | sourceTranslatedAddress | srcPostNAT | principal.nat_ip | |
IP de destino de NAT (natdst) | destinationTranslatedAddress | dstPostNAT | target.nat_ip | |
Nombre de la regla (regla) | cs1 | RuleName | security_result.rule_name | |
Usuario de origen (srcuser) | suser | SourceUser | principal.user.userid | |
Usuario de destino (dstuser) | duser | DestinationUser | target.user.userid | |
Aplicación (app) | app | Aplicación | target.application | |
Sistema virtual (vsys) | cs3 | VirtualSystem | vsys | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Zona de origen (desde) | cs4 | SourceZone | de | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
Zona de destino (a) | cs5 | DestinationZone | a | target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value |
Interfaz entrante (inbound_if) | deviceInboundInterface | IngressInterface | inbound_if | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
Interfaz de salida (outbound_if) | deviceOutboundInterface | EgressInterface | outbound_if | target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value |
Acción de registro (conjunto de registros) | cs6 | LogForwardingProfile | conjunto de registros | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
ID de sesión (ID de sesión) | cn1 | SessionID | network.session_id | |
Recuento de repetición (repetición) | cnt | RepeatCount | repetido | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Puerto de origen (deporte) | spt | srcPort | principal.port | |
Puerto de destino (dport) | dpt | dstPort | target.port | |
Puerto de origen NAT (natsport) | sourceTranslatedPort | srcPostNATPort | principal.nat_port | |
Puerto de destino NAT (natdport) | destinationTranslatedPort | dstPostNATPort | target.nat_port | |
Marcas | flexString1 | Marcas | flags | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Protocolo de IP (proto) | protocolo | protocolo | network.ip_protocol | |
Acción (action) | actuar | acción | security_result.action_details
security_result.action |
|
Bytes (bytes) | flexNumber1 | totalBytes | bytes | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Bytes enviados (bytes_sent) | en | srcBytes | network.sent_bytes | |
Bytes recibidos (bytes_received) | Salida | dstBytes | network.received_bytes | |
Paquetes (paquetes) | cn2 | totalPackets | paquetes | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Hora de inicio (inicio) | StartTime | start | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Tiempo transcurrido (transcurrido) | cn3 | ElapsedTime | transcurrido | network.session_duration.seconds |
Categoría | cs2 | URLCategory | security_result.category / security_result.category_details | |
Número de secuencia (seqno) | externalId | secuencia | metadata.product_log_id | |
Marcas de acción | PanOSActionFlags | ActionFlags | marcas de acción | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
País de origen (srcloc) | SourceLocation | principal.location.country_or_region | ||
País de destino (dstloc) | DestinationLocation | target.location.country_or_region | ||
Paquetes enviados (pkts_sent) | PanOSPacketsSent | srcPackets | pkts_sent | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Paquetes recibidos (pkts_received) | PanOSPacketsReceived | dstPackets | pkts_received | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Motivo de finalización de la sesión (session_end_reason) | Reason | SessionEndReason | security_result.summary | |
Jerarquía del grupo de dispositivos 1 (de dg_hier_level_1 a dg_hier_level_4) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Jerarquía del grupo de dispositivos 2 (dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Jerarquía del grupo de dispositivos 3 (dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Jerarquía del grupo de dispositivos (dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Nombre del sistema virtual (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
Nombre del dispositivo (device_name) | dvchost | DeviceName | intermediary.hostname | |
Fuente de la acción (action_source) | gato | ActionSource | action_source | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
UUID de la VM de origen (src_uuid) | PanOSSrcUUID | SrcUUID | principal.asset.product_object_id | |
UUID de la VM de destino (dst_uuid) | PanOSDstUUID | DstUUID | target.asset.product_object_id | |
ID de túnel/IMSI (tunnelid/imsi) | PanOSTunnelID | TunnelID | tunnelid/imsi | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Etiqueta de supervisión/IMEI (monitortag/imei) | PanOSMonitorTag | MonitorTag | monitortag/imei | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
ID de la sesión principal (parent_session_id) | PanOSParentSessionID | ParentSessionID | parent_session_id | network.parent_session_id |
Hora de inicio del superior (parent_start_time) | PanOSParentStartTime | ParentStartTime | parent_start_time | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Tipo de túnel (túnel) | PanOSTunnelType | TunnelType | túnel | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
ID de asociación de SCTP (assoc_id) | PanOSSCTPAssocID | assoc_id | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Fragmentos de SCTP (fragmentos) | PanOSSCTPChunks | trozos | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Fragmentos de SCTP enviados (chunks_sent) | PanOSSCTPChunkSent | chunks_sent | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Fragmentos de SCTP recibidos (chunks_received) | PanOSSCTPChunksRcv | chunks_received | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
UUID de regla (rule_uuid) | PanOSRuleUUID | security_result.rule_id | ||
Conexión HTTP/2 (http2_connection) | PanOSHTTP2Con | http2_connection | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Recuento de aletas de app (link_change_count) | PanLinkChange | link_change_count | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
ID de política (policy_id) | PanPolicyID | policy_id | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Interruptores de vínculo (link_switches) | PanLinkDetail | link_switches | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Clúster de SD-WAN (sdwan_cluster) | PanSDWANCluster | sdwan_cluster | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Tipo de dispositivo SD-WAN (sdwan_device_type) | PanSDWANDevice | sdwan_device_type | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Tipo de clúster de SD-WAN (sdwan_cluster_type) | PanSDWANClustype | sdwan_cluster_type | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Sitio de SD-WAN (sdwan_site) | PanSDWANSite | sdwan_site | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Nombre del grupo de usuarios dinámicos (dynusergroup_name) | PanDynamicUsrgrp | dynusergroup_name | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Dirección XFF (xff_ip) | PanXFFIP | principal.ip | ||
Categoría del dispositivo de origen (src_category) | PanSrcDeviceCat | src_category | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
|
Perfil del dispositivo de origen (src_profile) | PanSrcDeviceProf | src_profile | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
|
Modelo del dispositivo de origen (src_model) | PanSrcDeviceModel | src_model | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
|
Proveedor de dispositivos de origen (src_vendor) | PanSrcDeviceVendor | src_vendor | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
|
Familia de SO del dispositivo de origen (src_osfamily) | PanSrcDeviceOS | principal.asset.platform_software.platform principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
||
Versión de SO del dispositivo de origen (src_osversion) | PanSrcDeviceOSv | principal.asset.software.version | ||
Nombre de host de origen (src_host) | PanSrcHostname | principal.hostname | ||
Dirección MAC de origen (src_mac) | PanSrcMac | principal.mac | ||
Categoría de dispositivo de destino (dst_category) | PanDstDeviceCat | dst_category | target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value |
|
Perfil de dispositivo de destino (dst_profile) | PanDstDeviceProf | dst_profile | target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value |
|
Modelo del dispositivo de destino (dst_model) | PanDstDeviceModel | dst_model | target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value |
|
Proveedor de dispositivos de destino (dst_vendor) | PanDstDeviceVendor | dst_vendor | target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value |
|
Familia de SO de dispositivos de destino (dst_osfamily) | PanDstDeviceOS | dst_osfamily | target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value |
|
Versión del SO del dispositivo de destino (dst_osversion) | PanDstDeviceOSv | target.asset.software.version | ||
Nombre de host de destino (dst_host) | PanDstHostname | target.hostname | ||
Dirección MAC de destino (dst_mac) | PanDstMac | target.mac | ||
ID del contenedor (container_id) | PanContainerName | container_id | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Espacio de nombres del Pod (pod_namespace) | PanPODNamespace | pod_namespace | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Nombre del Pod (pod_name) | PanPODName | pod_name | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Lista dinámica externa de origen (src_edl) | PanSrcEDL | src_edl | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
|
Lista dinámica externa de destino (dst_edl) | PanDstEDL | dst_edl | target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value |
|
ID de host (hostid) | PanGPHostID | hostid | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Número de serie del dispositivo de usuario | PanEPSerial | principal.asset.hardware.serial_number | ||
Grupo de direcciones dinámicas de origen (src_dag) | PanSrcDAG | principal.group.group_display_name | ||
Grupo de direcciones dinámicas de destino (dst_dag) | PanDstDAG | target.group.group_display_name | ||
Propietario de la sesión (session_owner) | PanHASessionOwner | session_owner | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Marca de tiempo de alta resolución (high_res_timestamp) | PanTimeHighRes | metadata.collected_timestamp,
metadata.event_timestamp (si la opción "Generate Time" está ausente) |
||
Un tipo de servicio de Slice (nsdsai_sst) | PanASServiceType | nsdsai_sst | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Diferenciador de Slice (nsdsai_sd) | PanASServiceDiff | nsdsai_sd | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Subcategoría de aplicación (subcategory_of_app) | subcategory_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Categoría de aplicación (category_of_app) | category_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Tecnología de aplicaciones (technology_of_app) | technology_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Riesgo de la aplicación (risk_of_app) | security_result.severity | |||
Característica de la aplicación (characteristic_of_app) | characteristic_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Contenedor de la aplicación (container_of_app) | container_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
SaaS de aplicación (is_saas_of_app) | is_saas_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Estado sancionado de la aplicación (sanctioned_state_of_app) | sanctioned_state_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Subcategoría de aplicación (subcategory_of_app) | subcategory_of_app1 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
User-ID
En la siguiente tabla, se indican los campos de registro para el tipo de registro user-id y sus correspondientes campos UDM.
Campo CSV | Campo CEF | campo LEEF | Clave de etiqueta de Google Security Operations | Campo de UDM |
---|---|---|---|---|
Hora de recepción (receive_time o cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp (si la opción "Generate Time" está ausente) |
|
Número de serie | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
Tipo | tipo (encabezado) | gato | metadata.product_event_type | |
Amenaza/tipo de contenido (subtipo) | subtipo (encabezado) | Subtipo | metadata.product_event_type | |
Hora de generación (time_generated o cef-formatted-time_generated) | metadata.event_timestamp | |||
Sistema virtual (vsys) | cs3 | VirtualSystem | vsys | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
IP de origen (IP) | src | src | principal.ip | |
Usuario (usuario) | duser | usrName | target.user.userid
target.administrative_domain target.user.email_addresses |
|
Nombre de la fuente de datos (nombre de la fuente de datos) | cs4 | DataSourceName | datasourcename | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
ID de evento (eventid) | EventID | eventid | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Recuento de repetición (repetición) | cnt | RepeatCount | repetido | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Umbral de tiempo de espera agotado | cn3 | TimeoutThreshold | tiempo de espera agotado | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Puerto de origen (beginport) | spt | srcPort | principal.port | |
Puerto de destino (endport) | dpt | dstPort | target.port | |
Fuente de datos (fuente de datos) | cs5 | DataSource | datasource | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
Tipo de fuente de datos (tipo de fuente de datos) | cs6 | DataSourceType | datasourcetype | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
Número de secuencia (seqno) | externalId | secuencia | metadata.product_log_id | |
Marcas de acción | PanOSActionFlags | ActionFlags | marcas de acción | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Jerarquía del grupo de dispositivos (dg_hier_level_1) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Jerarquía del grupo de dispositivos (dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Jerarquía del grupo de dispositivos (dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Jerarquía del grupo de dispositivos (dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Nombre del sistema virtual (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
Nombre del dispositivo (device_name) | dvchost | DeviceName | intermediary.hostname | |
ID del sistema virtual (vsys_id) | cn2 | VirtualSystemID | principal.resource.resource_type=VIRTUAL_MACHINE y principal.resource.product_object_id | |
Tipo de factor (tipo de factor) | cs1 | FactorType | tipo de factor | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Tiempo de finalización del factor (tiempo de finalización del factor) | end | FactorCompletionTime | factorcompletiontime | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Número de factor (factorno) | cn1 | FactorNumber | Factorno | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Marcas de grupos de usuarios (ugflags) | PanOSUGFlags | ugflags | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Usuario por fuente (userbysource) | PanOSUserBySource | principal.user.userid
principal.administrative_domain principal.user.email_addresses |
||
Marca de tiempo de alta resolución (marca de tiempo de alta resolución) | PanOSTimeGeneratedHighResolution | metadata.collected_timestamp,
metadata.event_timestamp (si la opción "Generate Time" está ausente) |
Coincidencia con HIP
En la siguiente tabla, se enumeran los campos de registro del tipo de registro de coincidencia de HIP y sus correspondientes campos UDM.
Campo CSV | Campo CEF | campo LEEF | Clave de etiqueta de Google Security Operations | Campo de UDM |
---|---|---|---|---|
Hora de recepción (receive_time o cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp (si la opción "Generate Time" está ausente) |
|
Número de serie | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
Tipo | tipo (encabezado) | gato | metadata.product_event_type | |
Amenaza/tipo de contenido (subtipo) | subtipo (encabezado) | Subtipo | ||
Hora de generación (time_generated o cef-formatted-time_generated) | start | startTime | metadata.event_timestamp | |
Usuario de origen (srcuser) | suser | usrName | principal.user.userid | |
Sistema virtual (vsys) | cs3 | VirtualSystem | vsys | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Nombre de la máquina (machinename) | shost | identHostName | principal.hostname | |
Sistema operativo (SO) | cs2 | SO | principal.asset.platform_software.platform | |
Dirección de origen (src) | src | identsrc | principal.ip | |
HIP (nombre para coincidencias) | gato | HIP | matchname | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Recuento de repetición (repetición) | cnt | RepeatCount | repetido | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Tipo de HIP (tipo de concordancia) | ID de clase de evento del dispositivo (encabezado) | HIPType | tipo de concordancia | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Número de secuencia (seqno) | externalId | secuencia | metadata.product_log_id | |
Marcas de acción | PanOSActionFlags | ActionFlags | marcas de acción | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Jerarquía del grupo de dispositivos (dg_hier_level_1) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Jerarquía del grupo de dispositivos (dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Jerarquía del grupo de dispositivos (dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Jerarquía del grupo de dispositivos (dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Nombre del sistema virtual (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
Nombre del dispositivo (device_name) | dvchost | DeviceName | intermediary.hostname | |
ID del sistema virtual (vsys_id) | cn2 | VirtualSystemID | principal.resource.resource_type=VIRTUAL_MACHINE y principal.resource.product_object_id | |
Dirección del sistema IPv6 (srcipv6) | C6a2 | srcipv6 | principal.asset.ip | |
ID de host (hostid) | PanOSHostID | principal.asset.product_object_id | ||
Número de serie del dispositivo de usuario | PanOSEndpointSerialNumber | principal.asset.hardware.serial_number | ||
Dirección MAC del dispositivo (Mac) | PanOSEndpointMac | principal.asset.mac | ||
Marca de tiempo de alta resolución (high_res_timestamp) | PanOSTimeGeneratedHighResolution | metadata.collected_timestamp,
metadata.event_timestamp (si la opción "Generate Time" está ausente) |
Etiqueta IP
En la siguiente tabla, se enumeran los campos de registro del tipo de registro de etiqueta IP y sus correspondientes campos UDM.
Campo CSV | Campo CEF | campo LEEF | Clave de etiqueta de Google Security Operations | Campo de UDM |
---|---|---|---|---|
Hora de recepción (receive_time o cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp (si la opción "Generate Time" está ausente) |
|
Número de serie | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
Tipo | tipo (encabezado) | gato | metadata.product_event_type | |
Amenaza/tipo de contenido (subtipo) | subtipo (encabezado) | Subtipo | metadata.product_event_type | |
Hora de generación (time_generated o cef-formatted-time_generated) | GenerateTime | metadata.event_timestamp | ||
Sistema virtual (vsys) | cs3 | VirtualSystem | vsys | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
IP de origen (IP) | src | src | principal.ip | |
Nombre de la etiqueta (tag_name) | PanOSTagName | TagName | tag_name | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
ID de evento (event_id) | PanOSEventID | EventID | event_id | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Recuento de repetición (repetición) | cnt | RepeatCount | repetido | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Tiempo de espera agotado | PanOSTimeout | TimeoutThreshold | tiempo de espera agotado | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Nombre de la fuente de datos (nombre de la fuente de datos) | PanOSDataSourceName | DataSourceName | datasourcename | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
Tipo de fuente de datos (data_type) | PanOSDataSourceType | DataSource | datasource_type | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
Subtipo de fuente de datos (pipeline_subtype) | PanOSDataSourceSubType | DataSourceType | datasource_subtype | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
Número de secuencia (seqno) | externalId | secuencia | metadata.product_log_id | |
Marcas de acción | PanOSActionFlags | ActionFlags | marcas de acción | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Jerarquía del grupo de dispositivos (dg_hier_level_1) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Jerarquía del grupo de dispositivos (dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Jerarquía del grupo de dispositivos (dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Jerarquía del grupo de dispositivos (dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Nombre del sistema virtual (vsys_name) | PanOsVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
Nombre del dispositivo (device_name) | dvchost | DeviceName | intermediary.hostname | |
ID del sistema virtual (vsys_id) | cn2 | VirtualSystemID | principal.resource.resource_type=VIRTUAL_MACHINE y principal.resource.product_object_id | |
Marca de tiempo de alta resolución (marca de tiempo de alta resolución) | PanOSTimeGeneratedHighResolution | metadata.collected_timestamp,
metadata.event_timestamp (si la opción "Generate Time" está ausente) |
Desencriptación
En la siguiente tabla, se enumeran los campos de registro del tipo de registro de desencriptación y sus correspondientes campos UDM.
Campo CSV | Campo CEF | campo LEEF | Clave de etiqueta de Google Security Operations | Campo de UDM |
---|---|---|---|---|
Hora de recepción (receive_time o cef-formatted-receive_time) | rt | metadata.collected_timestamp,
metadata.event_timestamp (si la opción "Generate Time" está ausente) |
||
Número de serie | PanOSDeviceSN | intermediary.asset.hardware.serial_number | ||
Tipo | tipo (encabezado) | metadata.product_event_type | ||
Amenaza/tipo de contenido (subtipo) | subtipo (encabezado) | metadata.product_event_type | ||
Versión de configuración (config_ver) | PanOSConfigVersion | config_ver | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Hora de generación (time_generated) | PanOSLogTimeStamp | metadata.event_timestamp | ||
Dirección de origen (src) | src | principal.ip | ||
Dirección de destino (dst) | DST | target.ip | ||
IP de origen de NAT (natsrc) | sourceTranslatedAddress | principa.nat_ip | ||
IP de destino de NAT (natdst) | destinationTranslatedAddress | target.nat_ip | ||
Regla (regla) | cs1 | security_result.rule_name | ||
Usuario de origen (srcuser) | suser | principal.user.userid | ||
Usuario de destino (dstuser) | duser | target.user.userid | ||
Aplicación (app) | app | target.application | ||
Sistema virtual (vsys) | cs3 | vsys | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Zona de origen (desde) | cs4 | de | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
|
Zona de destino (a) | cs5 | a | target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value |
|
Interfaz entrante (inbound_if) | deviceInboundInterface | inbound_if | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
|
Interfaz de salida (outbound_if) | deviceOutboundInterface | outbound_if | target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value |
|
Acción de registro (conjunto de registros) | cs6 | conjunto de registros | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Hora de registro (time_received) | PanOSTimeReceivedManagementPlane | - | ||
ID de sesión (ID de sesión) | cn1 | network.session_id | ||
Recuento de repetición (repetición) | PanOSCountOfRepeats/RepeatCount | repetido | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Puerto de origen (deporte) | spt | principal.port | ||
Puerto de destino (dport) | dpt | target.port | ||
Puerto de origen NAT (natsport) | sourceTranslatedPort | principal.nat_port | ||
Puerto de destino NAT (natdport) | destinationTranslatedPort | target.nat_port | ||
Marcas | flexString1 | flags | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Protocolo de IP (proto) | protocolo | network.ip_protocol | ||
Acción (action) | actuar | security_result.action_details
security_result.action |
||
Túnel (túnel) | PanOSTunnel | túnel | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
UUID de la VM de origen (src_uuid) | PanOSSourceUUID | principal.asset.asset_id | ||
UUID de la VM de destino (dst_uuid) | PanOSDestinationUUID | target.asset.asset_id | ||
UUID para la regla (rule_uuid) | PanOSRuleUUID | security_result.rule_id | ||
Etapa del cliente al firewall (hs_stage_c2f) | PanOSClientToFirewall | hs_stage_c2f | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Etapa del firewall al servidor (hs_stage_f2s) | PanOSFirewallToServer | hs_stage_f2s | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Versión de TLS (tls_version) | PanOSTLSVersion | network.tls.version | ||
Algoritmo de intercambio de claves (tls_keyxchg) | PanOSTLSKeyExchange | tls_keyxchg | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Algoritmo de encriptación (tls_enc) | PanOSTLSEncryptionAlgorithm | tls_enc | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Algoritmo de hash (tls_auth) | PanOSTLSAuth | tls_auth | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Nombre de la política (policy_name) | PanOSPolicyName | policy_name | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Curva elíptica (ec_curve) | PanOSEllipticCurve | network.tls.curve | ||
Índice de error (err_index) | PanOSErrorIndex | err_index | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Estado raíz (root_status) | PanOSRootStatus | root_status | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Estado de la cadena (chain_status) | PanOSChainStatus | chain_status | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Tipo de proxy (proxy_type) | PanOSProxyType | proxy_type | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Número de serie del certificado (cert_serial) | PanOSCertificateSerial | network.tls.server.certificate.serial | ||
Huella digital del certificado (huella digital) | PanOSFingerprint | network.tls.server.certificate.md5/sha1/sha256 | ||
Fecha de inicio del certificado (no antes) | PanOSTimeNotBefore | network.tls.server.certificate.not_before | ||
Fecha de finalización del certificado (posterior a) | PanOSTimeNotAfter | network.tls.server.certificate.not_after | ||
Versión del certificado (cert_ver) | PanOSCertificateVersion | network.tls.server.certificate.version | ||
Tamaño del certificado (cert_size) | PanOSCertificateSize | cert_size | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Longitud del nombre común (cn_len) | PanOSCommonNameLength | cn_len | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Longitud del nombre común de la entidad emisora (issuer_len) | PanOSIssuerNameLength | issuer_len | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Longitud del nombre común raíz (rootcn_len) | PanOSRootCNLength | rootcn_len | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Longitud de SNI (sni_len) | PanOSSNILength | sni_len | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Marcas de certificado (cert_flags) | PanOSCertificateFlags | cert_flags | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Nombre común del sujeto (cn) | PanOSCommonName | cn | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Nombre común de la entidad emisora (issuer_cn) | PanOSIssuerCommonName | network.tls.server.certificate.issuer | ||
Nombre común raíz (root_cn) | PanOSRootCommonName | root_cn | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Indicación del nombre del servidor
(sni) |
network.tls.client.server_name | |||
Error (error) | PanOSErrorMessage | error | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
ID del contenedor (container_id) | PanOSContainerID | container_id | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Espacio de nombres del Pod (pod_namespace) | PanOSContainerNameSpace | pod_namespace | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Nombre del Pod (pod_name) | PanOSContainerName | pod_name | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Lista dinámica externa de origen (src_edl) | PanOSSourceEDL | src_edl | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
|
Lista dinámica externa de destino (dst_edl) | PanOSDestinationEDL | dst_edl | target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value |
|
Grupo de direcciones dinámicas de origen (src_dag) | PanOSSourceDynamicAddressGroup | principal.group.group_display_name | ||
Grupo de direcciones dinámicas de destino (dst_dag) | PanOSDestinationDynamicAddressGroup | target.group.group_display_name | ||
Marca de tiempo de alta resolución (high_res_timestamp) | PanOSTimeGeneratedHighResolution | metadata.collected_timestamp,
metadata.event_timestamp (si la opción "Generate Time" está ausente) |
||
Categoría del dispositivo de origen (src_category) | PanOSSourceDeviceCategory | src_category | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
|
Perfil del dispositivo de origen (src_profile) | PanOSSourceDeviceProfile | src_profile | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
|
Modelo del dispositivo de origen (src_model) | PanOSSourceDeviceModel | src_model | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
|
Proveedor de dispositivos de origen (src_vendor) | PanOSSourceDeviceVendor | src_vendor | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
|
Familia de SO del dispositivo de origen (src_osfamily) | PanOSSourceDeviceOSFamily | principal.asset.platform_software.platform principal.labels.key y principal.labels.value |
||
Versión de SO del dispositivo de origen (src_osversion) | PanOSSourceDeviceOSVersion | principal.asset.software.version | ||
Nombre de host de origen (src_host) | PanOSSourceDeviceHost | principal.hostname | ||
Dirección MAC de origen (src_mac) | PanOSSourceDeviceMac | principal.mac | ||
Categoría de dispositivo de destino (dst_category) | PanOSDestinationDeviceCategory | dst_category | target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value |
|
Perfil de dispositivo de destino (dst_profile) | PanOSDestinationDeviceProfile | dst_profile | target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value |
|
Modelo del dispositivo de destino (dst_model) | PanOSDestinationDeviceModel | dst_model | target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value |
|
Proveedor de dispositivos de destino (dst_vendor) | PanOSDestinationDeviceVendor | dst_vendor | target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value |
|
Familia de SO de dispositivos de destino (dst_osfamily) | PanOSDestinationDeviceOSFamily | dst_osfamily | target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value |
|
Versión del SO del dispositivo de destino (dst_osversion) | PanOSDestinationDeviceOSVersion | target.asset.software.version | ||
Nombre de host de destino (dst_host) | PanOSDestinationDeviceHost | target.hostname | ||
Dirección MAC de destino (dst_mac) | PanOSDestinationDeviceMac | target.mac | ||
Número de secuencia (seqno) | PanOSLogTypeSeqNo | metadata.product_log_id | ||
Marcas de acción | PanOSActionFlags | marcas de acción | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Jerarquía del grupo de dispositivos (dg_hier_level_1) | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Jerarquía del grupo de dispositivos (dg_hier_level_2) | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Jerarquía del grupo de dispositivos (dg_hier_level_3) | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Jerarquía del grupo de dispositivos (dg_hier_level_4) | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Nombre del sistema virtual (vsys_name) | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|||
Nombre del dispositivo (device_name) | intermediary.hostname | |||
ID del sistema virtual (vsys_id) | principal.resource.resource_type=VIRTUAL_MACHINE y principal.resource.product_object_id | |||
Subcategoría de aplicación (subcategory_of_app) | subcategory_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Categoría de aplicación (category_of_app) | category_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Tecnología de aplicaciones (technology_of_app) | technology_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Riesgo de la aplicación (risk_of_app) | security_result.severity | |||
Característica de la aplicación (characteristic_of_app) | characteristic_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Contenedor de la aplicación (container_of_app) | container_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
SaaS de aplicación (is_saas_of_app) | is_saas_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Estado sancionado de la aplicación (sanctioned_state_of_app) | sanctioned_state_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Túnel
En la siguiente tabla, se enumeran los campos de registro del tipo de registro de túnel y sus correspondientes campos UDM.
Campo CSV | Campo CEF | campo LEEF | Clave de etiqueta de Google Security Operations | Campo de UDM |
---|---|---|---|---|
Hora de recepción (receive_time o cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp (si la opción "Generate Time" está ausente) |
|
Número de serie | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
Tipo | tipo (encabezado) | gato | metadata.product_event_type | |
Amenaza/tipo de contenido (subtipo) | subtipo (encabezado) | Subtipo | metadata.product_event_type | |
Hora de generación (time_generated o cef-formatted-time_generated) | metadata.event_timestamp | |||
Dirección de origen (src) | src | src | principal.ip | |
Dirección de destino (dst) | DST | DST | target.ip | |
IP de origen de NAT (natsrc) | sourceTranslatedAddress | srcPostNAT | principal.nat_ip | |
IP de destino de NAT (natdst) | destinationTranslatedAddress | dstPostNAT | target.nat_ip | |
Nombre de la regla (regla) | cs1 | RuleName | security_result.rule_name | |
Usuario de origen (srcuser) | suser | SourceUser / usrName | principal.user.userid | |
Usuario de destino (dstuser) | duser | DestinationUser | target.user.userid | |
Aplicación (app) | app | Aplicación | network.application_protocol | |
Sistema virtual (vsys) | cs3 | VirtualSystem | vsys | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Zona de origen (desde) | cs4 | SourceZone | de | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
Zona de destino (a) | cs5 | DestinationZone | a | target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value |
Interfaz entrante (inbound_if) | deviceInboundInterface | IngressInterface | inbound_if | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
Interfaz de salida (outbound_if) | deviceOutboundInterface | EgressInterface | outbound_if | target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value |
Acción de registro (conjunto de registros) | cs6 | LogForwardingProfile | conjunto de registros | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
ID de sesión (ID de sesión) | cn1 | SessionID | network.session_id | |
Recuento de repetición (repetición) | cnt | RepeatCount | repetido | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Puerto de origen (deporte) | spt | srcPort | principal.port | |
Puerto de destino (dport) | dpt | dstPort | target.port | |
Puerto de origen NAT (natsport) | sourceTranslatedPort | srcPostNATPort | principal.nat_port | |
Puerto de destino NAT (natdport) | destinationTranslatedPort | dstPostNATPort | target.nat_port | |
Marcas | flexString1 | Marcas | flags | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Protocolo de IP (proto) | protocolo | protocolo | network.ip_protocol | |
Acción (action) | actuar | acción | security_result.action_details
security_result.action |
|
Gravedad | security_result.severity y security_result.severity_details | |||
Número de secuencia (seqno) | externalId | secuencia | metadata.product_log_id | |
Marcas de acción | PanOSActionFlags | ActionFlags | marcas de acción | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Ubicación de la fuente (srcloc) | principal.location.country_or_region | |||
Ubicación de destino (dstloc) | target.location.country_or_region | |||
Jerarquía del grupo de dispositivos (dg_hier_level_1) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Jerarquía del grupo de dispositivos (dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Jerarquía del grupo de dispositivos (dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Jerarquía del grupo de dispositivos (dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Nombre del sistema virtual (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
Nombre del dispositivo (device_name) | dvchost | DeviceName | intermediary.hostname | |
ID del túnel (tunnelid) | PanOSTunnelID | TunnelID | tunnelid | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Etiqueta de supervisión (monitortag) | PanOSMonitorTag | MonitorTag | monitortag | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
ID de la sesión principal (parent_session_id) | PanOSParentSessionID | ParentSessionID | parent_session_id | network.parent_session_id |
Hora de inicio del superior (parent_start_time) | PanOSParentStartTime | ParentStartTime | parent_start_time | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Tipo de túnel (túnel) | cs2 | TunnelType | túnel | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Bytes (bytes) | flexNumber1 | totalBytes | bytes | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Bytes enviados (bytes_sent) | en | srcBytes | network.sent_bytes | |
Bytes recibidos (bytes_received) | Salida | dstBytes | network.received_bytes | |
Paquetes (paquetes) | cn2 | totalPackets | paquetes | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Paquetes enviados (pkts_sent) | PanOSPacketsSent | srcPackets | pkts_sent | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Paquetes recibidos (pkts_received) | PanOSPacketsReceived | dstPackets | pkts_received | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Encapsulamiento máximo (max_encap) | flexNumber2 | MaximumEncapsulation | max_encap | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Protocolo desconocido (unknown_proto) | cfp1 | UnknownProtocol | unknown_proto | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Verificación estricta (strict_check) | cfp2 | StrictChecking | strict_check | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Fragmento de túnel (tunnel_fragment) | PanOSTunnelFragment | TunnelFragment | tunnel_fragment | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Sesiones creadas (sessions_created) | cfp3 | SessionsCreated | sessions_created | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Sesiones cerradas (sessions_closed) | cfp4 | SessionsClosed | sessions_closed | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Motivo de finalización de la sesión (session_end_reason) | Reason | SessionEndReason | security_result.summary | |
Fuente de la acción (action_source) | gato | ActionSource | action_source | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Hora de inicio (inicio) | startTime | start | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Tiempo transcurrido (transcurrido) | cn3 | ElapsedTime | transcurrido | network.session_duration.seconds |
Regla de inspección de túnel (tunnel_insp_rule) | PanOSTunneInspectionRule | security_result.rule_name = "Regla de inspección de túnel: %{PanOSTunnelInspectionRule}" | ||
IP de usuario remoto (remote_user_ip) | PanOSRmtUserIP | target.ip | ||
ID de usuario remoto (remote_user_id) | PanOSRmtUserID | remote_user_id | target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value |
|
UUID de la regla de seguridad (rule_uuid) | PanOSRuleUUID | security_result.rule_id | ||
ID de PCAP (pcap_id) | PanOSPcapID | pcap_id | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Nombre del grupo de usuarios dinámicos (dynusergroup_name) | PanDynamicUsrgrp | principal.group.group_display_name | ||
Lista dinámica externa de origen (src_edl) | PanOSSourceEDL | src_edl | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
|
Lista dinámica externa de destino (dst_edl) | PanOSDestinationEDL | dst_edl | target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value |
|
Marca de tiempo de alta resolución (marca de tiempo de alta resolución) | PanOSTimeGeneratedHighResolution | metadata.collected_timestamp,
metadata.event_timestamp (si la opción "Generate Time" está ausente) |
||
Diferenciador de Slice (nssai_sd) | nssai_sd | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Un tipo de servicio de Slice (nssai_sd) | nssai_sd1 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
ID de sesión de la PDU (pdu_session_id) | pdu_session_id | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Subcategoría de aplicación (subcategory_of_app) | subcategory_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Categoría de aplicación (category_of_app) | category_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Tecnología de aplicaciones (technology_of_app) | technology_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Riesgo de la aplicación (risk_of_app) | risk_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Característica de la aplicación (characteristic_of_app) | characteristic_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Contenedor de la aplicación (container_of_app) | container_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
SaaS de aplicación (is_saas_of_app) | is_saas_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Estado sancionado de la aplicación (sanctioned_state_of_app) | sanctioned_state_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Autenticación
En la siguiente tabla, se indican los campos de registro del tipo de registro de autenticación y sus correspondientes campos UDM.
Campo CSV | Campo CEF | campo LEEF | Clave de etiqueta de Google Security Operations | Campo de UDM |
---|---|---|---|---|
Hora de recepción (receive_time o cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp (si la opción "Generate Time" está ausente) |
|
Número de serie | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
Tipo | tipo (encabezado) | gato | metadata.product_event_type | |
Amenaza/tipo de contenido (subtipo) | subtipo (encabezado) | Subtipo | metadata.product_event_type | |
Hora de generación (time_generated o cef-formatted-time_generated) | metadata.event_timestamp | |||
Sistema virtual (vsys) | cs3 | VirtualSystem | vsys | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
IP de origen (IP) | src | src | principal.ip | |
Usuario (usuario) | duser | usrName | target.user.userid | |
Normalizar usuario (normalize_user) | cs2 | NormalizeUser | target.user.user_display_name | |
Objeto (objeto) | fname | ObjectName | objeto | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Política de autenticación (authpolicy) | cs4 | AuthPolicy | authpolicy | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Recuento de repetición (repetición) | cnt | RepeatCount | repetido | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
ID de autenticación (authid) | cn2 | AuthenticationID | authid | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Proveedor (proveedor) | flexString2 | Proveedor | vendor | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Acción de registro (conjunto de registros) | cs6 | LogForwardingProfile | conjunto de registros | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Perfil del servidor (perfil del servidor) | cs1 | ServerProfile | serverprofile | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Descripción (en orden descendente) | PanOSDesc | AdditionalAuthInfo | security_result.description | |
Tipo de cliente (tipo de cliente) | cs5 | ClientType | clienttype | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Tipo de evento (evento) | msg | msg | extensions.auth.auth_details | |
Número de factor (factorno) | cn1 | FactorNumber | Factorno | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Número de secuencia (seqno) | externalId | secuencia | metadata.product_log_id | |
Marcas de acción | PanOSActionFlags | ActionFlags | marcas de acción | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Jerarquía del grupo de dispositivos (dg_hier_level_1) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Jerarquía del grupo de dispositivos (dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Jerarquía del grupo de dispositivos (dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Jerarquía del grupo de dispositivos (dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Nombre del sistema virtual (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
Nombre del dispositivo (device_name) | dvchost | DeviceName | intermediary.hostname | |
ID del sistema virtual (vsys_id) | principal.resource.resource_type=VIRTUAL_MACHINE y principal.resource.product_object_id | |||
Protocolo de autenticación (authproto) | authproto | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
UUID para la regla (rule_uuid) | PanOSRuleUUID/RuleUUID | security_result.rule_id | ||
Marca de tiempo de alta resolución (high_res _timestamp) | PanOSTimeGeneratedHighResolution | metadata.collected_timestamp,
metadata.event_timestamp (si la opción "Generate Time" está ausente) |
||
Categoría del dispositivo de origen (src_category) | PanOSSourceDeviceCategory | src_category | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
|
Perfil del dispositivo de origen (src_profile) | PanOSSourceDeviceProfile | src_profile | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
|
Modelo del dispositivo de origen (src_model) | PanOSSourceDeviceModel | src_model | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
|
Proveedor de dispositivos de origen (src_vendor) | PanOSSourceDeviceVendor | src_vendor | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
|
Familia de SO del dispositivo de origen (src_osfamily) | PanOSSourceDeviceOSFamily | principal.asset.platform_software.platform principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
||
Versión de SO del dispositivo de origen (src_osversion) | PanOSSourceDeviceOSVersion | principal.asset.software.version | ||
Nombre de host de origen (src_host) | PanOSSourceHostname | principal.hostname | ||
Dirección MAC de origen (src_mac) | PanOSSourceMac | principal.asset.mac | ||
Región | PanOSTrafficOriginRegion | principal.location.country_or_region | ||
Usuario-agente (user_agent) | PanOSHTTPUserAgent | network.http.user_agent | ||
ID de sesión(ID de sesión) | PanOSTrafficSessionID | network.session_id |
URL
En la siguiente tabla, se enumeran los campos de registro del tipo de registro de URL y sus correspondientes campos UDM.
Campo CSV | Campo CEF | campo LEEF | Clave de etiqueta de Google Security Operations | Campo de UDM |
---|---|---|---|---|
Hora de recepción (cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp (si la opción "Generate Time" está ausente) |
|
Número de serie (serie) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
Tipo | tipo (encabezado) | gato | metadata.product_event_type | |
Amenaza/tipo de contenido (subtipo) | subtipo (encabezado) | Subtipo | metadata.product_event_type | |
Hora de generación | metadata.event_timestamp | |||
Dirección de origen (src) | src | src | principal.ip | |
Dirección de destino (dst) | DST | DST | target.ip | |
IP de origen de NAT (natsrc) | sourceTranslatedAddress | srcPostNAT | principal.nat_ip | |
IP de destino de NAT (natdst) | destinationTranslatedAddress | dstPostNAT | target.nat_ip | |
Regla (regla) | cs1 | RuleName | security_result.rule_name | |
Usuario de origen (srcuser) | suser | SourceUser | principal.user.userid | |
Usuario de destino (dstuser) | duser | DestinationUser | target.user.userid | |
Aplicación (app) | app | Aplicación | network.application_protocol | |
Sistema virtual (vsys) | cs3 | VirtualSystem | vsys | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Zona de origen (desde) | cs4 | SourceZone | de | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
Zona de destino (a) | cs5 | DestinationZone | a | target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value |
Interfaz entrante (inbound_if) | deviceInboundInterface | IngressInterface | inbound_if | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
Interfaz de salida (outbound_if) | deviceOutboundInterface | EgressInterface | outbound_if | target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value |
Acción de registro (conjunto de registros) | cs6 | LogForwardingProfile | conjunto de registros | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Hora de registro | time_logged | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
ID de sesión (ID de sesión) | cn1 | SessionID | network.session_id | |
Recuento de repetición (repetición) | cnt | RepeatCount | repetido | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Puerto de origen (deporte) | spt | srcPort | principal.port | |
Puerto de destino (dport) | dpt | dstPort | target.port | |
Puerto de origen NAT (natsport) | sourceTranslatedPort | srcPostNATPort | principal.nat_port | |
Puerto de destino NAT (natdport) | destinationTranslatedPort | dstPostNATPort | target.nat_port | |
Marcas | flexString1 | Marcas | flags | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Protocolo de IP (proto) | protocolo | protocolo | network.ip_protocol | |
Acción (action) | actuar | acción | security_result.action_details
security_result.action |
|
URL/Nombre de archivo (varios) | Varios | target.file.full_path
target.url |
||
Nombre de contenido o amenaza (Threatid) | gato | ThreatID | security_result.threat_id | |
Categoría | cs2 | URLCategory | category | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Gravedad | number-of-severity (encabezado) | Gravedad | security_result.severity
security_result.severity_details |
|
Dirección (dirección) | flexString2 | Dirección | network.direction | |
Número de secuencia (seqno) | externalId | secuencia | metadata.product_log_id | |
Marcas de acción | PanOSActionFlags | ActionFlags | marcas de acción | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
País de origen (srcloc) | SourceLocation | principal.location.country_or_region | ||
País de destino (dstloc) | DestinationLocation | target.location.country_or_region | ||
tipodecontenido | requestContext | ContentType | tipodecontenido | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
pcap_id (id de pcap_id) | ID del archivo | PCAP_ID | pcap_id | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
filedigest (resumen de archivos) | FileDigest | acerca del archivo.sha1/md5/sha256 | ||
nube (nube) | Nube | nube | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
url_idx (url_idx) | URLIndex | url_idx | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
user_agent (user_agent) | requestClientApplication | UserAgent | network.http.user_agent | |
tipo de archivo (tipo de archivo) | about.file.mime_type | |||
xff (xff) | PanOSXForwarderfor | identSrc | xff | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
URL de referencia | PanOSReferer | Referencia | network.http.referral_url | |
remitente (remitente) | network.email.from | |||
sujeto (asunto) | Asunto | network.email.subject | ||
destinatario (destinatario) | network.email.to | |||
reportid (ID de informe) | reportid | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Nivel de jerarquía de DG 1 (dg_hier_level_1) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Nivel de jerarquía de DG 2 (dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Nivel de jerarquía de DG 3 (dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Nivel de jerarquía de DG 4 (dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Nombre del sistema virtual (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
Nombre del dispositivo (device_name) | dvchost | DeviceName | intermediary.hostname | |
file_url (file_url) | about.url | |||
UUID de la VM de origen (src_uuid) | SrcUUID | principal.asset.asset_id | ||
UUID de la VM de destino (dst_uuid) | DstUUID | target.asset.asset_id | ||
http_method (http_method) | requestMethod | RequestMethod | network.http.method | |
ID de túnel/IMSI (tunnelid) | PanOSTunnelID | TunnelID | tunnelid | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Supervisar Tag/IMEI (monitortag) | PanOSMonitorTag | MonitorTag | monitortag | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
ID de la sesión principal (parent_session_id) | PanOSParentSessionID | ParentSessionID | parent_session_id | network.parent_session_id |
Hora de inicio de la sesión principal (parent_start_time) | PanOSParentStartTime | ParentStartTime | parent_start_time | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Túnel (túnel) | PanOSTunnelType | TunnelType | túnel | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
thr_category (thr_category) | PanOSThreatCategory | ThreatCategory | thr_category | security_result.detection_fields.key/value |
contentver (contentver) | PanOSContentVer | ContentVer | Contentver | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
sig_flags (sig_flags) | sig_flags | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
ID de asociación de SCTP (assoc_id) | PanOSAssocID | assoc_id | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
ID de protocolo de carga útil (ppid) | PanOSPPID | ppid | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
http_headers (http_headers) | PanOSHTTPHeader | http_headers | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Lista de categorías de URL (url_category_list) | PanOSURLCatList | url_category_list | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
UUID para la regla (rule_uuid) | PanOSRuleUUID | rule_uuid | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Conexión HTTP/2 (http2_connection) | PanOSHTTP2Con | http2_connection | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
dynusergroup_name (nombre_grupo_usuarios) | PanDynamicUsrgrp | dynusergroup_name | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Dirección XFF (xff_ip) | PanXFFIP | principal.ip | ||
Categoría del dispositivo de origen (src_category) | PanSrcDeviceCat | src_category | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
|
Perfil del dispositivo de origen (src_profile) | PanSrcDeviceProf | src_profile | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
|
Modelo del dispositivo de origen (src_model) | PanSrcDeviceModel | src_model | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
|
Proveedor de dispositivos de origen (src_vendor) | PanSrcDeviceVendor | src_vendor | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
|
Familia de SO del dispositivo de origen (src_osfamily) | PanSrcDeviceOS | principal.asset.platform_software.platform principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
||
Versión de SO del dispositivo de origen (src_osversion) | PanSrcDeviceOSv | principal.asset.software.version | ||
Nombre de host de origen (src_host) | PanSrcHostname | src_host | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
|
Dirección MAC de origen (src_mac) | PanSrcMac | principal.mac | ||
Categoría de dispositivo de destino (dst_category) | PanDstDeviceCat | dst_category | target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value |
|
Perfil de dispositivo de destino (dst_profile) | PanDstDeviceProf | dst_profile | target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value |
|
Modelo del dispositivo de destino (dst_model) | PanDstDeviceModel | dst_model | target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value |
|
Proveedor de dispositivos de destino (dst_vendor) | PanDstDeviceVendor | dst_vendor | target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value |
|
Familia de SO de dispositivos de destino (dst_osfamily) | PanDstDeviceOS | target.asset.platform_software.platform
target.labels.key y target.labels.value |
||
Versión del SO del dispositivo de destino (dst_osversion) | PanDstDeviceOSv | target.asset.software.version | ||
Nombre de host de destino (dst_host) | PanPODNamespace | target.hostname | ||
Dirección MAC de destino (dst_mac) | PanDstMac | target.mac | ||
ID del contenedor (container_id) | PanContainerName | container_id | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Espacio de nombres del Pod (pod_namespace) | PanPODNamespace | pod_namespace | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Nombre del Pod (pod_name) | PanPODName | pod_name | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Lista dinámica externa de origen (src_edl) | PanSrcEDL | src_edl | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
|
Lista dinámica externa de destino (dst_edl) | PanDstEDL | dst_edl | target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value |
|
ID de host (hostid) | PanGPHostID | hostid | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Número de serie | PanEPSerial | principal.asset.hardware.serial_number | ||
dominio_edl (domain_edl) | PanDomainEDL | domain_edl | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Grupo de direcciones dinámicas de origen (src_dag) | PanSrcDAG | principal.group.group_display_name | ||
Grupo de direcciones dinámicas de destino (dst_dag) | PanDstDAG | target.group.group_display_name | ||
parcial_hash (partial_hash) | PanPartialHash | partial_hash | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Marca de tiempo de alta resolución (high_res_timestamp) | PanTimeHighRes | metadata.collected_timestamp,
metadata.event_timestamp (si la opción "Generate Time" está ausente) |
||
Razón (motivo) | PanReasonFilteringAction | Reason | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
justificación (justificación) | PanJustification | justificación | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
nssai_sst (nssai_sst) | PanASServiceType | nssai_sst | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Subcategoría de la aplicación (subcategory_of_app) | subcategory_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Categoría de la aplicación (category_of_app) | category_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Tecnología de las aplicaciones (technology_of_app) | technology_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Riesgo de la app (risk_of_app) | risk_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Característica de la app (characteristic_of_app) | characteristic_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Contenedor de la aplicación (container_of_app) | container_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Aplicación tunelizada (tunneled_app) | tunneled_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
SaaS de app (is_saas_of_app) | is_saas_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Estado sancionado de la app (sanctioned_state_of_app) | sanctioned_state_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Datos
En la siguiente tabla, se enumeran los campos de registro del tipo de registro de datos y sus correspondientes campos UDM.
Campo CSV | Campo CEF | campo LEEF | Clave de etiqueta de Google Security Operations | Campo de UDM |
---|---|---|---|---|
Hora de recepción (cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp (si la opción "Generate Time" está ausente) |
|
Número de serie (serie) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
Tipo | tipo (encabezado) | gato | metadata.product_event_type | |
Amenaza/tipo de contenido (subtipo) | subtipo (encabezado) | Subtipo | metadata.product_event_type | |
Hora de generación | metadata.event_timestamp | |||
Dirección de origen (src) | src | src | principal.ip | |
Dirección de destino (dst) | DST | DST | target.ip | |
IP de origen de NAT (natsrc) | sourceTranslatedAddress | srcPostNAT | principal.nat_ip | |
IP de destino de NAT (natdst) | destinationTranslatedAddress | dstPostNAT | target.nat_ip | |
Regla (regla) | cs1 | RuleName | security_result.rule_name | |
Usuario de origen (srcuser) | suser | SourceUser | principal.user.userid | |
Usuario de destino (dstuser) | duser | DestinationUser | target.user.userid | |
Aplicación (app) | app | Aplicación | network.application_protocol | |
Sistema virtual (vsys) | cs3 | VirtualSystem | vsys | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Zona de origen (desde) | cs4 | SourceZone | de | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
Zona de destino (a) | cs5 | DestinationZone | a | target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value |
Interfaz entrante (inbound_if) | deviceInboundInterface | IngressInterface | inbound_if | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
Interfaz de salida (outbound_if) | deviceOutboundInterface | EgressInterface | outbound_if | target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value |
Acción de registro (conjunto de registros) | cs6 | LogForwardingProfile | conjunto de registros | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Hora de registro | time_logged | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
ID de sesión (ID de sesión) | cn1 | SessionID | network.session_id | |
Recuento de repetición (repetición) | cnt | RepeatCount | repetido | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Puerto de origen (deporte) | spt | srcPort | principal.port | |
Puerto de destino (dport) | dpt | dstPort | target.port | |
Puerto de origen NAT (natsport) | sourceTranslatedPort | srcPostNATPort | principal.nat_port | |
Puerto de destino NAT (natdport) | destinationTranslatedPort | dstPostNATPort | target.nat_port | |
Marcas | flexString1 | Marcas | flags | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Protocolo de IP (proto) | protocolo | protocolo | network.ip_protocol | |
Acción (action) | actuar | acción | security_result.action_details
security_result.action |
|
URL/Nombre de archivo (varios) | Varios | target.file.full_path
target.url |
||
Nombre de contenido o amenaza (Threatid) | gato | ThreatID | security_result.threat_id | |
Categoría | cs2 | URLCategory | category | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Gravedad | number-of-severity (encabezado) | Gravedad | security_result.severity
security_result.severity_details |
|
Dirección (dirección) | flexString2 | Dirección | network.direction | |
Número de secuencia (seqno) | externalId | secuencia | metadata.product_log_id | |
Marcas de acción | PanOSActionFlags | ActionFlags | marcas de acción | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
País de origen (srcloc) | SourceLocation | principal.location.country_or_region | ||
País de destino (dstloc) | DestinationLocation | target.location.country_or_region | ||
tipodecontenido | ContentType | tipodecontenido | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
pcap_id (id de pcap_id) | ID del archivo | PCAP_ID | pcap_id | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
filedigest (resumen de archivos) | FileDigest | acerca del archivo.sha1/md5/sha256 | ||
nube (nube) | Nube | nube | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
url_idx (url_idx) | URLIndex | url_idx | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
user_agent (user_agent) | network.http.user_agent | |||
tipo de archivo (tipo de archivo) | about.file.mime_type | |||
xff (xff) | xff | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
URL de referencia | network.http.referral_url | |||
remitente (remitente) | network.email.from | |||
sujeto (asunto) | Asunto | network.email.subject | ||
destinatario (destinatario) | network.email.to | |||
reportid (ID de informe) | reportid | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Nivel de jerarquía de DG 1 (dg_hier_level_1) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Nivel de jerarquía de DG 2 (dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Nivel de jerarquía de DG 3 (dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Nivel de jerarquía de DG 4 (dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Nombre del sistema virtual (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
Nombre del dispositivo (device_name) | dvchost | DeviceName | intermediary.hostname | |
file_url (file_url) | about.url | |||
UUID de la VM de origen (src_uuid) | SrcUUID | principal.asset.asset_id | ||
UUID de la VM de destino (dst_uuid) | DstUUID | target.asset.asset_id | ||
http_method (http_method) | RequestMethod | network.http.method | ||
ID de túnel/IMSI (tunnelid) | PanOSTunnelID | TunnelID | tunnelid | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Supervisar Tag/IMEI (monitortag) | PanOSMonitorTag | MonitorTag | monitortag | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
ID de la sesión principal (parent_session_id) | PanOSParentSessionID | ParentSessionID | parent_session_id | network.parent_session_id |
Hora de inicio de la sesión principal (parent_start_time) | PanOSParentStartTime | ParentStartTime | parent_start_time | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
Túnel (túnel) | PanOSTunnelType | TunnelType | túnel | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
thr_category (thr_category) | PanOSThreatCategory | ThreatCategory | thr_category | security_result.detection_fields.key/value |
contentver (contentver) | PanOSContentVer | ContentVer | Contentver | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
sig_flags (sig_flags) | sig_flags | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
ID de asociación de SCTP (assoc_id) | PanOSAssocID | assoc_id | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
ID de protocolo de carga útil (ppid) | PanOSPPID | ppid | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
http_headers (http_headers) | PanOSHTTPHeader | http_headers | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Lista de categorías de URL (url_category_list) | url_category_list | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
UUID para la regla (rule_uuid) | PanOSRuleUUID | rule_uuid | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Conexión HTTP/2 (http2_connection) | http2_connection | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
dynusergroup_name (nombre_grupo_usuarios) | dynusergroup_name | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
||
Dirección XFF (xff_ip) | principal.ip | |||
Categoría del dispositivo de origen (src_category) | src_category | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
||
Perfil del dispositivo de origen (src_profile) | src_profile | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
||
Modelo del dispositivo de origen (src_model) | src_model | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
||
Proveedor de dispositivos de origen (src_vendor) | src_vendor | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
||
Familia de SO del dispositivo de origen (src_osfamily) | principal.asset.platform_software.platform principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
|||
Versión de SO del dispositivo de origen (src_osversion) | principal.asset.software.version | |||
Nombre de host de origen (src_host) | src_host | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
||
Dirección MAC de origen (src_mac) | principal.mac | |||
Categoría de dispositivo de destino (dst_category) | dst_category | target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value |
||
Perfil de dispositivo de destino (dst_profile) | dst_profile | target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value |
||
Modelo del dispositivo de destino (dst_model) | dst_model | target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value |
||
Proveedor de dispositivos de destino (dst_vendor) | dst_vendor | target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value |
||
Familia de SO de dispositivos de destino (dst_osfamily) | target.asset.platform_software.platform
target.labels.key y target.labels.value |
|||
Versión del SO del dispositivo de destino (dst_osversion) | target.asset.software.version | |||
Nombre de host de destino (dst_host) | target.hostname | |||
Dirección MAC de destino (dst_mac) | target.mac | |||
ID del contenedor (container_id) | container_id | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Espacio de nombres del Pod (pod_namespace) | pod_namespace | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Nombre del Pod (pod_name) | pod_name | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Lista dinámica externa de origen (src_edl) | src_edl | principal.labels.key y principal.labels.value additional.fields.key y additional.fields.value.string_value |
||
Lista dinámica externa de destino (dst_edl) | dst_edl | target.labels.key y target.labels.value additional.fields.key y additional.fields.value.string_value |
||
ID de host (hostid) | hostid | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Número de serie | principal.asset.hardware.serial_number | |||
dominio_edl (domain_edl) | domain_edl | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Grupo de direcciones dinámicas de origen (src_dag) | principal.group.group_display_name | |||
Grupo de direcciones dinámicas de destino (dst_dag) | target.group.group_display_name | |||
parcial_hash (partial_hash) | partial_hash | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Marca de tiempo de alta resolución (high_res_timestamp) | metadata.collected_timestamp,
metadata.event_timestamp (si la opción "Generate Time" está ausente) |
|||
Razón (motivo) | Reason | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
justificación (justificación) | justificación | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
nssai_sst (nssai_sst) | nssai_sst | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Subcategoría de la aplicación (subcategory_of_app) | subcategory_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Categoría de la aplicación (category_of_app) | category_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Tecnología de las aplicaciones (technology_of_app) | technology_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Riesgo de la app (risk_of_app) | risk_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Característica de la app (characteristic_of_app) | characteristic_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Contenedor de la aplicación (container_of_app) | container_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Aplicación tunelizada (tunneled_app) | tunneled_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
SaaS de app (is_saas_of_app) | is_saas_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Estado sancionado de la app (sanctioned_state_of_app) | sanctioned_state_of_app | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
GlobalProtect
En la siguiente tabla, se enumeran los campos de registro del tipo de registro GlobalProtect y sus correspondientes campos UDM.
Campo CSV | Campo CEF | campo LEEF | Clave de etiqueta de Google Security Operations | Campo de UDM |
---|---|---|---|---|
Hora de recepción (receive_time) | rt | received_time | metadata.event_timestamp | |
Número de serie (serie) | PanOSDeviceSN | intermediary_asset_hardware_serial_number | intermediary.asset.hardware.serial_number | |
Tipo | tipo (encabezado) | metadata.product_event_type | ||
Amenaza/tipo de contenido (subtipo) | subtipo (encabezado) | Subtipo | metadata.product_event_type | |
Hora de generación (time_generated) | PanOSLogTimeStamp | generated_timestamp | metadata.event_timestamp | |
Sistema virtual (vsys) | PanOSVirtualSystem | vsys | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
ID de evento (eventid) | PanOSEventID | event_id | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Etapa (etapa) | PanOSStage | de este proceso, | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Método de autenticación (auth_method) | PanOSAuthMethod | extension_auth_auth_details | extensions.auth.auth_details | |
Tipo de túnel (tunnel_type) | PanOSTunnelType | túnel | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Usuario de origen (srcuser) | PanOSSourceUserName | src_user | principal.user.email_address
principal.user.userid principal.administrative_domain |
|
Región de origen (srcregion) | PanOSSourceRegion | src_region | principal.location.country_or_region | |
Nombre de la máquina (machinename) | PanOSEndpointDeviceName | machine_name | principal.hostname | |
IP pública (public_ip) | PanOSPublicIPv4 | principal.nat_ip | ||
IPv6 público (public_ipv6) | PanOSPublicIPv6 | principal.nat_ip | ||
IP privada (private_ip) | PanOSPrivateIPv4 | principal.ip | ||
IPv6 privado (private_ipv6) | PanOSPrivateIPv6 | principal.ip | ||
ID de host (hostid) | PanOSHostID | hostid | principal.asset.asset_id | |
Número de serie | PanOSDeviceSN | principal.asset.hardware.serial_number | ||
Versión del cliente (client_ver) | PanOSGlobalProtectClientVersion | client_ver | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
SO del cliente (client_os) | PanOSEndpointOSType | principal.asset.platform_software.platform(enum) | ||
Versión del SO del cliente (client_os_ver) | PanOSEndpointOSVersion | principal.asset.platform_software.platform_version | ||
Recuento de repetición (repetición) | PanOSCountOfRepeats | repetido | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Razón (motivo) | PanOSQuarantineReason | security_result.summary | ||
Error (error) | PanOSConnectionError | error | security_result.description | |
Descripción (opaco) | PanOSDescription | security_result.description | ||
Estado | PanOSEventStatus | estado | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Ubicación (ubicación) | PanOSGPGatewayLocation | target.location.country_or_region | ||
Duración del acceso (login_duration) | PanOSLoginDuration | network.session_duration | ||
Método de conexión (connect_method) | PanOSConnectionMethod | connect_method | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Código de error (error_code) | PanOSConnectionErrorID | error_code | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Portal (portal) | PanOSPortal | portal | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Número de secuencia (seqno) | PanOSSequenceNo | metadata.product_log_id | ||
Marcas de acción | PanOSActionFlags | marcas de acción | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Marca de tiempo de alta resolución (high_res_timestamp) | anOSTimeGeneratedHighResolution | metadata.collected_timestamp,
metadata.event_timestamp (si la opción "Generate Time" está ausente) |
||
Método de selección de la puerta de enlace (selection_type) | PanOSGatewaySelectionType | selection_type | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Tiempo de respuesta de SSL (response_time) | PanOSSSLResponseTime | response_time | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Prioridad de la puerta de enlace (prioridad) | PanOSGatewayPriority | priority | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Puertas de enlace con intentos (attempted_gateways) | PanOSAttemptedGateways | attempted_gateways | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Nombre de la puerta de enlace (puerta de enlace) | PanOSAttemptedGateways | puerta de enlace | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Jerarquía del grupo de dispositivos (dg_hier_level_1) | dg_hier_level_1 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Jerarquía del grupo de dispositivos (dg_hier_level_2) | dg_hier_level_2 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Jerarquía del grupo de dispositivos (dg_hier_level_3) | dg_hier_level_3 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Jerarquía del grupo de dispositivos (dg_hier_level_4) | dg_hier_level_4 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Nombre del sistema virtual (vsys_name) | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|||
Nombre del dispositivo (device_name) | target.hostname | |||
ID del sistema virtual (vsys_id) | principal.resource.resource_type=VIRTUAL_MACHINE y principal.resource.product_object_id |
Correlación
En la siguiente tabla, se enumeran los campos de registro del tipo de registro Correlación. y sus correspondientes campos UDM.
Campo CSV | Campo CEF | campo LEEF | Clave de etiqueta de Google Security Operations | Campo de UDM |
---|---|---|---|---|
Hora de generación (time_generated o cef-formatted-time_generated) | startTime | generated_timestamp | metadata.event_timestamp | |
Dirección de origen (src) | src | principal.ip | ||
Usuario de origen (srcuser) | SourceUser / usrName | principal.user.userid | ||
Sistema virtual (vsys) | VirtualSystem | vsys | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
|
Categoría | security_result.category_details | |||
Gravedad | Gravedad | security_result.severity y security_result.severity_details | ||
Nivel de jerarquía del grupo de dispositivos 1 | DeviceGroupHierarchyL1 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Nivel de jerarquía del grupo de dispositivos 2 | DeviceGroupHierarchyL2 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Nivel de jerarquía del grupo de dispositivos 3 | DeviceGroupHierarchyL3 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Nivel de jerarquía del grupo de dispositivos 4 | DeviceGroupHierarchyL4 | about.labels.key y about.labels.value additional.fields.key y additional.fields.value.string_value |
||
Nombre del sistema virtual (vsys_name) | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
||
Nombre del dispositivo (device_name) | DeviceName | intermediary.hostname | ||
ID del sistema virtual (vsys_id) | VirtualSystemID | principal.resource.resource_type=VIRTUAL_MACHINE y principal.resource.product_object_id | ||
Nombre del objeto (objectname) | ObjectName | target.resource.name | ||
ID de objeto (object_id) | ObjectID | target.resource.product_object_id |
Referencia de la asignación de campos: Tipos de registros en tipo de evento de UDM
En la siguiente tabla, se enumeran los tipos de registros de firewall de Palo Alto Networks y sus correspondientes tipos de eventos de UDM.
Tipo de registro | Tipo de evento de UDM |
Tráfico | NETWORK_CONNECTION |
Amenaza | NETWORK_CONNECTION |
Filtrado de URL | NETWORK_CONNECTION |
WildFire | NETWORK_CONNECTION
Los registros de envío de WildFire son un subtipo de tipo de registro de amenazas y usan los mismos syslog. |
Filtrado de datos | NETWORK_CONNECTION |
Túnel | NETWORK_CONNECTION |
Configuración | SETTING_MODIFICATION/SETTING_CREATION/SETTING_DELETION/SETTING_UNCATEGORIZED
El valor de “Comando (cmd)” determina la asignación del tipo de evento de UDM. Si el valor del campo cmd es agregar o clonar, se establece SETTING_CREATION. Si se borra el valor del campo cmd, se establece SETTING_DELETION. Si el valor del campo cmd es editar, mover, cambiar el nombre, establecer o confirmar, Se estableció SETTING_MODIFICATION. Si el valor del campo cmd no contiene ningún valor, entonces SETTING_UNCATEGORIZED esté establecida. |
Sistema |
Si el valor del subtipo es "dhcp", se establece NETWORK_DHCP. Si el valor del subtipo es "auth", se establece USER_Login. Si el valor de la descripción es “accedido”, se establece USER_ACCESS. Si el valor de la descripción es "cerrado", se establece USER_LOGOUT. Para otros valores del subtipo, se establece GENERIC_EVENT. |
Coincidencia con HIP | NETWORK_CONNECTION |
Etiqueta de IP | GENERIC_EVENT |
User-ID | USER_LOGIN/USER_LOGOUT/USER_UNCATEGORIZED
Si el valor del subtipo es "login", se establece USER_Login. Si el valor del subtipo es "logout", se establece USER_LOGOUT. Si el subtipo no contiene ningún valor, se establece USER_UNCATEGORIZED. |
Desencriptación | NETWORK_CONNECTION |
Autenticación | GENERIC_EVENT |