收集 Palo Alto Networks 防火牆記錄
總覽
本文說明如何設定 syslog 和 Google 安全作業轉送器,以收集 Palo Alto Networks 防火牆記錄。本文件也說明 Palo Alto Networks 防火牆記錄欄位如何對應至 Google Security Operations 整合式資料模型 (UDM) 欄位。
如需 Google Security Operations 資料擷取的總覽,請參閱「將資料擷取至 Google Security Operations」。
擷取標籤會標示剖析器,將原始記錄資料正規化為具結構性的 UDM 格式。本文中的資訊適用於使用 PAN_FIREWALL 攝入標籤的剖析器。
事前準備
確認 Palo Alto Networks 防火牆產品已正確部署及設定。如需詳細設定操作說明,請參閱 PAN-OS 說明文件。
如要瞭解用於收集 Palo Alto Networks 防火牆記錄的部署元件,請查看部署架構。每個客戶的部署作業可能與此表示法不同,也可能更複雜。
下圖顯示如何在 Palo Alto Networks 防火牆上設定 syslog,並在 Linux 伺服器上安裝 Google 安全防護服務轉送器,以便將記錄資料轉送至 Google 安全防護服務。剖析器支援以下列資料格式寫入的記錄:半形逗號分隔值 (CSV)、通用事件格式 (CEF) 和記錄事件擴充格式 (LEEF)。
請確認 Google Security Operations 剖析器支援的記錄格式和 PAN-OS 版本。下表列出 Google Security Operations 剖析器支援的記錄格式和對應的 PAN-OS 版本:
記錄格式 PAN-OS 版本 CSV 10.1.3 CEF 10.0.0 LEEF 9.1.0 確認 Google Security Operations 剖析器支援的 Palo Alto Networks 防火牆記錄類型。Google Security Operations 剖析器支援下列 Palo Alto Networks 防火牆記錄類型:
- 流量
- 威脅
- WildFire 提交內容
- 隧道檢查
- 設定
- 系統
- HIP 比對
- IP 標記
- User-ID
- 解密
- 驗證
- 網址篩選
- 資料篩選
- GlobalProtect
- 關聯性
- GTP
如要進一步瞭解 Palo Alto Networks 防火牆記錄類型,請參閱「PAN-OS 記錄類型」。
請確認部署架構中的所有系統都已設定為世界標準時間。
使用 Palo Alto Networks 防火牆剖析器前,請先查看先前剖析器與目前 Palo Alto Networks 防火牆剖析器之間的欄位對應項目有何變動。在遷移過程中,請確認依賴原始欄位的規則、搜尋、資訊主頁或其他程序,都會使用更新後的欄位。
舉例來說,在先前的剖析器版本中,
category記錄欄位會對應至security_result.descriptionUDM 欄位。在目前的 Palo Alto Networks 防火牆剖析器中,category記錄欄位會對應至security_result.category_detailsUDM 欄位。如果您遷移至目前的 Palo Alto Networks 防火牆剖析器,並在規則中使用category欄位,則需要修改規則,以便使用目前剖析器的security_result.category_detailsUDM 欄位。
設定 syslog 和 Google Security Operations 轉送器
如要設定 syslog 和 Google 安全作業轉送器,請完成下列步驟:
如要監控 CSV 記錄,請設定 syslog 伺服器設定檔。詳情請參閱「設定 syslog 伺服器設定檔」。
設定 syslog 伺服器設定檔時,請將「預設」指定為自訂記錄格式。
如要監控 CEF 記錄,請將 Palo Alto Networks 防火牆設定為轉送 CEF 記錄。如需更多資訊,請下載 PAN-OS CEF 整合指南 PDF 檔案,並參閱「設定 Palo Alto Networks NGFW 以輸出 CEF 事件」一節。
如要監控 LEEF 記錄,請設定 syslog 伺服器設定檔。詳情請參閱「使用 LEEF 格式轉送自訂記錄」。
設定 Google Security Operations 轉送程式,將記錄傳送至 Google Security Operations。詳情請參閱「在 Linux 上安裝及設定轉送器」。以下是 Google Security Operations 轉送器設定的範例:
- syslog: common: enabled: true data_type: PAN_FIREWALL batch_n_seconds: 10 batch_n_bytes: 1048576 tcp_address: 0.0.0.0:10518 connection_timeout_sec: 60
支援的 Palo Alto Networks 防火牆記錄格式
Palo Alto Networks 防火牆剖析器支援 LEEF、CEF 和 CSV 格式的記錄。
支援的 Palo Alto Networks 防火牆記錄檔範例
LEEF
<14>Jan 22 02:20:19 device_host LEEF:1.0|Palo Alto Networks|PAN-OS Syslog Integration|10.2.12-h4|Microsoft MSOFFICE(52033)|ReceiveTime=2025/01/22 02:20:18|SerialNumber=01250100xxxx|cat=THREAT|Subtype=wildfire|devTime=Jan 22 2025 08:20:18 GMT|src=198.50.100.1|dst=198.50.100.2|srcPostNAT=198.50.100.3|dstPostNAT=198.50.100.4|RuleName=AZURE-US-NEW-CNF_Inbound_To_Azure-ALLOW|usrName=|SourceUser=|DestinationUser=|Application=smtp-base|VirtualSystem=vsys1|SourceZone=McD-Global-Zone|DestinationZone=Azure-Zone|IngressInterface=ae1.111|EgressInterface=ae2.409|LogForwardingProfile=Default-Traffic-Logging|SessionID=35331795|RepeatCount=1|srcPort=21578|dstPort=25|srcPostNATPort=0|dstPostNATPort=0|Flags=0x2000|proto=tcp|action=allow|Miscellaneous=\"......3...................xls\"|ThreatID=Microsoft MSOFFICE(52033)|URLCategory=malicious|sev=4|Severity=high|Direction=client-to-server|sequence=7462614601465681755|ActionFlags=0x8000000000000000|SourceLocation=198.50.100.1-198.50.100.255|DestinationLocation=United States|ContentType=|PCAP_ID=0|FileDigest=0ea04c99bf188c2e4207f60f92ca7c6f5088c7943ee63f45c50032bbd2bf7ea9|Cloud=demo.com|URLIndex=1|RequestMethod=|FileType=ms-office|Sender=sender@ab.myownpersonaldomain.com|Subject=\"............:.................................................................................-.........(Name)-2025-01-22...............:Y107202501220005, ............:........................, ...............:.........\"|Recipient=abc@demo.myownpersonaldomain.com|ReportID=117022282776|DeviceGroupHierarchyL1=143|DeviceGroupHierarchyL2=144|DeviceGroupHierarchyL3=39|DeviceGroupHierarchyL4=0|vSrcName=|DeviceName=device_host|SrcUUID=|DstUUID=|TunnelID=0|MonitorTag=|ParentSessionID=0|ParentStartTime=|TunnelType=N/A|ThreatCategory=N/A|ContentVer=WildFire-0CEF
14>1 2024-04-04T16:21:56+02:00 FW-PERIMETRAL-AVG-01 - - - - CEF:0|Palo Alto Networks|PAN-OS|10.1.10-h2|end|TRAFFIC|1|src=198.51.100.1 dst=198.51.100.2 srcTranslatedAddress=198.51.100.3 dstTranslatedAddress=198.51.100.4 rule=FW_USER_NATS2_APP suser= duser= app=bittorrent vs=vsys1 sz=INSIDE dz=EXTERNAL InboundInterface=ae2.2266 OutboundInterface=ae1 lp=log_forwarding sid=2935823 cnt=1 spt=6881 dpt=51413 srcTranslatedPort=0 dstTranslatedPort=0 flags=0x7a proto=udp act=allow tbytes=475 in=150 out=325 pkt=2 pktReceived=1 pktSent=1 start=Apr 04 2024 14:21:56 GMT stime=1206 urlcat=any externalId=externalId reason=aged-out DGl1=11 DGl2=161 DGl3=0 DGl4=0 VsysName=STONESOFT dvchost=FW-PERIMETRAL-AVG-01 cat=from-policy ActionFlags=0x8000000000000000 srcUUID= dstUUID= TunnelID=0 MonitorTag= ParentSessionID=0 ParentStartTime= TunnelType=N/A SCTPAssocID=0 SCTPChunks=0 SCTPChunkSent=0 SCTPChunksRcv=0 RuleUUID=746c3eb6-3d51-4679-8438-bd0e00e170a8 HTTP2Con=0 LinkChange=0 PolicyID= LinkDetail= SDWANCluster= SDWANDevice= SDWANClustype= SDWANSite= DynamicUsrgrp= XFFIP= srcDevCat= srcDevProf= srcDevModel= srcDevVendor= srcDevOS= srcDevOSv= srcHostname= srcMac= dstDevCat= dstDevProf= dstDevModel= dstDevVendor= dstDevOS= dstDevOSv= dstHostname= dstMac= ContainerName= PODNamespace= PODName= srcEDL= dstEDL= GPHostID= EPSerial= srcDAG= dstDAG= HASessionOwner= TimeHighRes=2024-04-04T16:21:56.250+02:00 ASServiceType= ASServiceDiff="CSV
1,2021/10/24 15:30:07,,CONFIG,0,2561,2021/10/24 15:30:07,198.51.100.0,,set,admin,Web,Succeeded, network virtual-router VR1,,VR1 { ecmp { algorithm { ip-modulo ; } } protocol { bgp { routing-options { graceful-restart { enable yes; } } enable no; } rip { enable no; } ospf { enable no; } ospfv3 { enable no; } } routing-table { ip { static-route { vr1-log { path-monitor { enable no; failure-condition any; hold-time 2; } nexthop { ip-address 198.51.100.0; } bfd { profile None; } interface ethernet1/1; metric 10; destination 0.0.0.0/0; route-table { unicast ; } } } } } interface [ ethernet1/1 ethernet1/2 ]; } ,7022390503849066572,0x0,0,0,0,0,,PA-VM,0,
欄位對應參考資料:PAN 防火牆記錄欄位與 UDM 欄位
本節說明剖析器如何將 Palo Alto Networks 防火牆記錄欄位對應至各個記錄類型的 Google 安全作業 UDM 事件欄位。
Google Security Operations 標籤鍵是指對應至 Labels.key UDM 欄位的鍵名稱。舉例來說,如果是「Virtual System」欄位,欄位名稱在 CEF 格式為「cs3」,在 LEEF 格式為「VirtualSystem」。UDM 欄位「about.labels.key」包含「vsys」值,而 UDM 欄位「about.labels.value」則包含該欄位的值。
部分 CEF 或 LEEF 欄位名稱沒有對應的 CSV 欄位名稱。在這種情況下,如果您在 syslog 設定檔中以自訂記錄格式新增變數名稱,剖析器就不會將其對應至 UDM 欄位。
如需各記錄類型的對應參考資料,請參閱下列各節:
系統
下表列出系統記錄類型的記錄欄位,以及對應的 UDM 欄位。
| CSV 欄位 | CEF 欄位 | LEEF 欄位 | Google Security Operations 標籤鍵 | UDM 欄位 |
|---|---|---|---|---|
| 接收時間 (receive_time 或 cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp (如果沒有「Generate Time」) |
|
| 序號 (serial) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
| 類型 (type) | type (標頭) | cat | 將 metadata.product_event_type 設為「%{type} - %{subtype}」。 | |
| 威脅/內容類型 (子類型) | 子類型 (標頭) | 子類型 | 將 metadata.product_event_type 設為「%{type} - %{subtype}」。 | |
| 產生時間 (time_generated 或 cef-formatted-time_generated) | metadata.event_timestamp | |||
| 虛擬系統 (vsys) | cs3 | VirtualSystem | vsys | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 事件 ID (eventid) | cat | eventid | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 物件 (object) | fname | 檔案名稱 | object | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 模組 (module) | flexString2 | 模組 | 模組 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 嚴重性 (severity) | $number-of-severity(header) | 嚴重性 | security_result.severity 和 security_result.severity_details | |
| 說明 (不透明) | msg | msg | metadata.description | |
| principal_user_userid (這個欄位是從 msg 欄位擷取) | principal.user.userid | |||
| principal_ip3 (這個欄位是從 msg 欄位擷取) | principal.ip | |||
| 原因 (這個欄位是從 msg 欄位擷取) | security_result.description | |||
| server_address (這個欄位是從 msg 欄位中擷取而來)。 | target.ip | |||
| server_profile (這個欄位是從 msg 欄位擷取而來)。 | additional.fields.key 和 additional.fields.value.string_value | |||
| 序號 (seqno) | externalId | 序列 | metadata.product_log_id | |
| 動作旗標 (actionflags) | PanOSActionFlags | ActionFlags | actionflags | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 裝置群組階層 (dg_hier_level_1 到 dg_hier_level_4) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 裝置群組階層 (dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 裝置群組階層 (dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 裝置群組階層 (dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 虛擬系統名稱 (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
| 裝置名稱 (device_name) | dvchost | DeviceName | intermediary.hostname | |
| 高解析度時間戳記 (high_res_timestamp) | anOSTimeGeneratedHighResolution | metadata.collected_timestamp,
metadata.event_timestamp (如果沒有「Generate Time」) |
設定
下表列出設定記錄類型的記錄欄位,以及對應的 UDM 欄位。
| CSV 欄位 | CEF 欄位 | LEEF 欄位 | Google Security Operations 標籤鍵 | UDM 欄位 |
|---|---|---|---|---|
| 接收時間 (receive_time 或 cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp (如果沒有「Generate Time」) |
|
| 序號 (serial) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
| 類型 (type) | type (標頭) | cat | metadata.product_event_type | |
| 威脅/內容類型 (子類型) | 子類型 (標頭) | metadata.product_event_type | ||
| 產生時間 (time_generated 或 cef-formatted-time_generated) | metadata.event_timestamp | |||
| 主機 (host) | shost | src | principal.ip/hostname | |
| 虛擬系統 (vsys) | cs3 | VirtualSystem | vsys | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 指令 (cmd) | act | msg | cmd | metadata.description |
| 管理員 (admin) | duser | usrName | principal.user.userid | |
| 用戶端 (用戶端) | destinationServiceName | 客戶 | principal.application | |
| 結果 (result) | 簽章 ID (標頭)(原因) | 結果 | security_result.summary | |
| 設定路徑 (path) | msg | ConfigurationPath | principal.process.command_line | |
| 變更前詳細資料 (before_change_detail) | cs1 | BeforeChangeDetail | before_change_detail | target.resource.attribute.labels.key/value |
| 變更後詳細資料 (after_change_detail) | cs2 | AfterChangeDetail | after_change_detail | target.resource.attribute.labels.key/value |
| 序號 (seqno) | externalId | 序列 | metadata.product_log_id | |
| 動作旗標 (actionflags) | PanOSActionFlags | ActionFlags | actionflags | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 裝置群組階層 (dg_hier_level_1 到 dg_hier_level_4) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 裝置群組階層 (dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 裝置群組階層 (dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 裝置群組階層 (dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 虛擬系統名稱 (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
| 裝置名稱 (device_name) | dvchost | DeviceName | intermediary.hostname | |
| 裝置群組 (dg_id) | PanOSFWDeviceGroup | dg_id | principal.asset.attribute.labels.key/value | |
| 稽核註解 (註解) | PanOSPolicyAuditComment | 註解 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 嚴重性 (severity) | number-of-severity(header) | security_result.severity 和 security_result.severity_details |
威脅/WildFire
下表列出 Threat/WildFire 記錄類型的記錄欄位,以及對應的 UDM 欄位。
| CSV 欄位 | CEF 欄位 | LEEF 欄位 | Google Security Operations 標籤鍵 | UDM 欄位 |
|---|---|---|---|---|
| 接收時間 (receive_time 或 cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp (如果沒有「Generate Time」) |
|
| 序號 | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
| 類型 (type) | type (標頭) | cat | metadata.product_event_type | |
| 威脅/內容類型 (子類型) | cat/subtype (標頭) | 子類型 | metadata.product_event_type | |
| 產生時間 (time_generated 或 cef-formatted-time_generated) | metadata.event_timestamp | |||
| 來源位址 (src) | src | src | principal.ip | |
| 目的地地址 (dst) | dst | dst | target.ip | |
| NAT 來源 IP (natsrc) | sourceTranslatedAddress | srcPostNAT | principal.nat_ip | |
| NAT 目的地 IP (natdst) | destinationTranslatedAddress | dstPostNAT | target.nat_ip | |
| 規則名稱 (rule) | cs1 | RuleName | security_result.rule_name | |
| 來源使用者 (srcuser) | suser | SourceUser / usrName | principal.user.userid | |
| 目的地使用者 (dstuser) | duser | DestinationUser | target.user.userid | |
| 應用程式 (app) | 應用程式 | 應用程式 | target.application | |
| 虛擬系統 (vsys) | cs3 | VirtualSystem | vsys | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 來源可用區 (來源) | cs4 | SourceZone | 來自 | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 目的地 (郵遞區號) | cs5 | DestinationZone | 至 | target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value |
| Inbound Interface (inbound_if) | deviceInboundInterface | IngressInterface | inbound_if | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 傳出介面 (outbound_if) | deviceOutboundInterface | EgressInterface | outbound_if | target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 記錄動作 (記錄集) | cs6 | LogForwardingProfile | logset | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 工作階段 ID (sessionid) | cn1 | SessionID | network.session_id | |
| 重複次數 (repeatcnt) | cnt | RepeatCount | repeatcnt | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 來源通訊埠 (sport) | spt | srcPort | principal.port | |
| 目的地通訊埠 (dport) | dpt | dstPort | target.port | |
| NAT 來源通訊埠 (natsport) | sourceTranslatedPort | srcPostNATPort | principal.nat_port | |
| NAT 目的地通訊埠 (natdport) | destinationTranslatedPort | dstPostNATPort | target.nat_port | |
| 旗標 | flexString1 | 標記 | 標記 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| IP 通訊協定 (proto) | proto | proto | network.ip_protocol | |
| 動作 (action) | act | action | security_result.action_details
security_result.action |
|
| 網址/檔案名稱 (其他) | request | 其他 | target.file.full_path (如果子類型為「file」、「virus」、「wildfire-virus」或「wildfire」,則「misc」欄位會對應至 target.file.full_path) target.url (如果子類型是「url」,則「misc」欄位會對應至 target.url 和 target.hostname) target.hostname (如果子類型是「間諜軟體」或「漏洞」,則「misc」欄位會對應至 target.file.full_path 和 target.url) |
|
| 威脅/內容名稱 (threatid) | cat | ThreatID | security_result.threat_name | |
| 類別 (category) | cs2 | URLCategory | security_result.category_details | |
| 嚴重性 (severity) | number-of-severity(header) | 嚴重性 | security_result.severity 和 security_result.severity_details | |
| 方向 (方向) | flexString2 | 方向 | network.direction | |
| 序號 (seqno) | externalId | 序列 | metadata.product_log_id | |
| 動作旗標 (actionflags) | PanOSActionFlags | ActionFlags | actionflags | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 來源國家/地區 (srcloc) | SourceLocation | principal.location.country_or_region | ||
| 目的地國家/地區 (dstloc) | DestinationLocation | target.location.country_or_region | ||
| 內容類型 (contenttype) | ContentType | contenttype | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| PCAP ID (pcap_id) | fileId | PCAP_ID | pcap_id | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 檔案摘要 (filedigest) | fileHash | FileDigest | about.file.sha1/md5/sha256 | |
| 雲端 (cloud) | filePath | 雲端 | 雲端 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 網址索引 (url_idx) | URLIndex | url_idx | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 使用者代理程式 (user_agent) | network.http.user_agent | |||
| 檔案類型 (filetype) | fileType | FileType | about.file.mime_type | |
| X-Forwarded-For (xff) | principal.ip | |||
| 參照網址 (參照網址) | network.http.referral_url | |||
| 寄件者 (寄件者) | suid | 寄件者 | network.email.from | |
| 主旨 (主旨) | msg | 主旨 | network.email.subject | |
| 收件者 | duid | 收件者 | network.email.to | |
| 報表 ID (reportid) | oldFileId | ReportID | reportid | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 裝置群組階層 (dg_hier_level_1 到 dg_hier_level_4) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 裝置群組階層 (dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 裝置群組階層 (dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 裝置群組階層 (dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 虛擬系統名稱 (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
| 裝置名稱 (device_name) | dvchost | DeviceName | intermediary.hostname | |
| 來源 VM UUID (src_uuid) | PanOSSrcUUID | SrcUUID | principal.user.product_object_id | |
| 目的地 VM UUID (dst_uuid) | PanOSDstUUID | DstUUID | target.user.product_object_id | |
| HTTP 方法 (http_method) | RequestMethod | network.http.method | ||
| 隧道 ID/IMSI (tunnel_id/imsi) | PanOSTunnelID | TunnelID | tunnel_id/imsi | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 監控代碼/IMEI (monitortag/imei) | PanOSMonitorTag | MonitorTag | monitortag/imei | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 父項工作階段 ID (parent_session_id) | PanOSParentSessionID | ParentSessionID | parent_session_id | network.parent_session_id |
| 父項工作階段開始時間 (parent_start_time) | PanOSParentStartTime | ParentStartTime | parent_start_time | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 通道類型 (通道) | PanOSTunnelType | TunnelType | 隧道 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 威脅類別 (thr_category) | PanOSThreatCategory | ThreatCategory | thr_category | security_result.detection_fields.key/value |
| 內容版本 (contentver) | PanOSContentVer | ContentVer | contentver | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| SCTP 關聯 ID (assoc_id) | PanOSAssocID | assoc_id | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 酬載通訊協定 ID (ppid) | PanOSPPID | ppid | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| HTTP 標頭 (http_headers) | PanOSHTTPHeader | http_headers | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 網址類別清單 (url_category_list) | PanOSURLCatList | url_category_list | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 規則 UUID (rule_uuid) | PanOSRuleUUID | security_result.rule_id | ||
| HTTP/2 連線 (http2_connection) | PanOSHTTP2Con | http2_connection | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 動態使用者群組名稱 (dynusergroup_name) | PanDynamicUsrgrp | dynusergroup_name | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| XFF 位址 (xff_ip) | PanXFFIP | principal.ip | ||
| 來源裝置類別 (src_category) | PanSrcDeviceCat | src_category | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 來源裝置設定檔 (src_profile) | PanSrcDeviceProf | src_profile | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 來源裝置型號 (src_model) | PanSrcDeviceModel | src_model | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 來源裝置供應商 (src_vendor) | PanSrcDeviceVendor | src_vendor | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 來源裝置 OS 系列 (src_osfamily) | PanSrcDeviceOS | src_osfamily | principal.asset.platform_software.platform principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 來源裝置 OS 版本 (src_osversion) | PanSrcDeviceOSv | principal.asset.software.version | ||
| 來源主機名稱 (src_host) | PanSrcHostname | principal.hostname | ||
| 來源 MAC 位址 (src_mac) | PanSrcMac | principal.mac | ||
| 目的地裝置類別 (dst_category) | PanDstDeviceCat | dst_category | target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 目的地裝置設定檔 (dst_profile) | PanDstDeviceProf | dst_profile | target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 目的地裝置型號 (dst_model) | PanDstDeviceModel | dst_model | target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 目的地裝置供應商 (dst_vendor) | PanDstDeviceVendor | dst_vendor | target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 目的地裝置 OS 系列 (dst_osfamily) | PanDstDeviceOS | dst_osfamily | target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 目的地裝置 OS 版本 (dst_osversion) | PanDstDeviceOSv | target.asset.software.version | ||
| 目的地主機名稱 (dst_host) | PanDstHostname | target.hostname | ||
| 目的地 MAC 位址 (dst_mac) | PanDstMac | target.mac | ||
| 容器 ID (container_id) | PanContainerName | container_id | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| POD 命名空間 (pod_namespace) | PanPODNamespace | pod_namespace | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| POD 名稱 (pod_name) | PanPODName | pod_name | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 來源外部動態清單 (src_edl) | PanSrcEDL | src_edl | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 目的地外部動態清單 (dst_edl) | PanDstEDL | dst_edl | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 主機 ID (hostid) | PanGPHostID | hostid | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 使用者裝置序號 (serialnumber) | PanEPSerial | principal.asset.hardware.serial_number | ||
| 網域 EDL (domain_edl) | PanDomainEDL | domain_edl | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 來源動態位址群組 (src_dag) | PanSrcDAG | principal.group.group_display_name | ||
| 目的地動態位址群組 (dst_dag) | PanDstDAG | target.group.group_display_name | ||
| 部分雜湊 (partial_hash) | PanPartialHash | partial_hash | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 高解析度時間戳記 (high_res timestamp) | PanTimeHighRes | high_res timestamp | metadata.collected_timestamp,
metadata.event_timestamp (如果沒有「Generate Time」) |
|
| 原因 (reason) | PanReasonFilteringAction | reason | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 正當理由 (justification) | PanJustification | 原因說明 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 區塊服務類型 (nssai_sst) | PanASServiceType | nssai_sst | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 應用程式子類別 (subcategory_of_app) | subcategory_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 應用程式類別 (category_of_app) | category_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 應用程式技術 (technology_of_app) | technology_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 應用程式風險 (risk_of_app) | risk_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 應用程式特性 (characteristic_of_app) | characteristic_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 應用程式容器 (container_of_app) | container_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 應用程式 SaaS (is_saas_of_app) | is_saas_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 應用程式受制裁狀態 (sanctioned_state_of_app) | sanctioned_state_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
流量
下表列出流量記錄類型的記錄欄位,以及對應的 UDM 欄位。
| CSV 欄位 | CEF 欄位 | LEEF 欄位 | Google Security Operations 標籤鍵 | UDM 欄位 |
|---|---|---|---|---|
| 接收時間 (receive_time 或 cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp (如果沒有「Generate Time」) |
|
| 序號 (serial) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
| 類型 (type) | type (標頭) | cat/Type | metadata.product_event_type | |
| 威脅/內容類型 (子類型) | 子類型 (標頭) | 子類型 | metadata.product_event_type | |
| 產生時間 (time_generated 或 cef-formatted-time_generated) | 開始 | metadata.event_timestamp | ||
| 來源位址 (src) | src | src | principal.ip | |
| 目的地地址 (dst) | dst | dst | target.ip | |
| NAT 來源 IP (natsrc) | sourceTranslatedAddress | srcPostNAT | principal.nat_ip | |
| NAT 目的地 IP (natdst) | destinationTranslatedAddress | dstPostNAT | target.nat_ip | |
| 規則名稱 (rule) | cs1 | RuleName | security_result.rule_name | |
| 來源使用者 (srcuser) | suser | SourceUser | principal.user.userid | |
| 目的地使用者 (dstuser) | duser | DestinationUser | target.user.userid | |
| 應用程式 (app) | 應用程式 | 應用程式 | target.application | |
| 虛擬系統 (vsys) | cs3 | VirtualSystem | vsys | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 來源可用區 (來源) | cs4 | SourceZone | 來自 | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 目的地 (郵遞區號) | cs5 | DestinationZone | 至 | target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value |
| Inbound Interface (inbound_if) | deviceInboundInterface | IngressInterface | inbound_if | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 傳出介面 (outbound_if) | deviceOutboundInterface | EgressInterface | outbound_if | target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 記錄動作 (記錄集) | cs6 | LogForwardingProfile | logset | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 工作階段 ID (sessionid) | cn1 | SessionID | network.session_id | |
| 重複次數 (repeatcnt) | cnt | RepeatCount | repeatcnt | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 來源通訊埠 (sport) | spt | srcPort | principal.port | |
| 目的地通訊埠 (dport) | dpt | dstPort | target.port | |
| NAT 來源通訊埠 (natsport) | sourceTranslatedPort | srcPostNATPort | principal.nat_port | |
| NAT 目的地通訊埠 (natdport) | destinationTranslatedPort | dstPostNATPort | target.nat_port | |
| 旗標 | flexString1 | 標記 | 標記 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| IP 通訊協定 (proto) | proto | proto | network.ip_protocol | |
| 動作 (action) | act | action | security_result.action_details
security_result.action |
|
| 位元組 (bytes) | flexNumber1 | totalBytes | 位元組 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 傳送的位元組數 (bytes_sent) | 在 | srcBytes | network.sent_bytes | |
| 已接收的位元組 (bytes_received) | out | dstBytes | network.received_bytes | |
| 封包 | cn2 | totalPackets | 封包 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 開始時間 (開始) | StartTime | 開始 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 經過時間 (elapsed) | cn3 | ElapsedTime | elapsed | network.session_duration.seconds |
| 類別 (category) | cs2 | URLCategory | security_result.category / security_result.category_details | |
| 序號 (seqno) | externalId | 序列 | metadata.product_log_id | |
| 動作旗標 (actionflags) | PanOSActionFlags | ActionFlags | actionflags | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 來源國家/地區 (srcloc) | SourceLocation | principal.location.country_or_region | ||
| 目的地國家/地區 (dstloc) | DestinationLocation | target.location.country_or_region | ||
| 傳出的封包數 (pkts_sent) | PanOSPacketsSent | srcPackets | pkts_sent | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 已接收的封包數 (pkts_received) | PanOSPacketsReceived | dstPackets | pkts_received | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 工作階段結束原因 (session_end_reason) | reason | SessionEndReason | security_result.summary | |
| 裝置群組階層 1 (dg_hier_level_1 到 dg_hier_level_4) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 裝置群組階層 2 (dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 裝置群組階層 3 (dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 裝置群組階層 (dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 虛擬系統名稱 (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
| 裝置名稱 (device_name) | dvchost | DeviceName | intermediary.hostname | |
| 動作來源 (action_source) | cat | ActionSource | action_source | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 來源 VM UUID (src_uuid) | PanOSSrcUUID | SrcUUID | principal.asset.product_object_id | |
| 目的地 VM UUID (dst_uuid) | PanOSDstUUID | DstUUID | target.asset.product_object_id | |
| 隧道 ID/IMSI (tunnelid/imsi) | PanOSTunnelID | TunnelID | tunnelid/imsi | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 監控代碼/IMEI (monitortag/imei) | PanOSMonitorTag | MonitorTag | monitortag/imei | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 父項工作階段 ID (parent_session_id) | PanOSParentSessionID | ParentSessionID | parent_session_id | network.parent_session_id |
| 父項開始時間 (parent_start_time) | PanOSParentStartTime | ParentStartTime | parent_start_time | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 通道類型 (通道) | PanOSTunnelType | TunnelType | 隧道 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| SCTP 關聯 ID (assoc_id) | PanOSSCTPAssocID | assoc_id | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| SCTP 區塊 (區塊) | PanOSSCTPChunks | 區塊 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| SCTP 傳送的區塊 (chunks_sent) | PanOSSCTPChunkSent | chunks_sent | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 已接收的 SCTP 區塊 (chunks_received) | PanOSSCTPChunksRcv | chunks_received | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 規則 UUID (rule_uuid) | PanOSRuleUUID | security_result.rule_id | ||
| HTTP/2 連線 (http2_connection) | PanOSHTTP2Con | http2_connection | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 應用程式翻頁次數 (link_change_count) | PanLinkChange | link_change_count | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 政策 ID (policy_id) | PanPolicyID | policy_id | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 連結開關 (link_switches) | PanLinkDetail | link_switches | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| SD-WAN 叢集 (sdwan_cluster) | PanSDWANCluster | sdwan_cluster | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| SD-WAN 裝置類型 (sdwan_device_type) | PanSDWANDevice | sdwan_device_type | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| SD-WAN 叢集類型 (sdwan_cluster_type) | PanSDWANClustype | sdwan_cluster_type | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| SD-WAN 網站 (sdwan_site) | PanSDWANSite | sdwan_site | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 動態使用者群組名稱 (dynusergroup_name) | PanDynamicUsrgrp | dynusergroup_name | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| XFF 位址 (xff_ip) | PanXFFIP | principal.ip | ||
| 來源裝置類別 (src_category) | PanSrcDeviceCat | src_category | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 來源裝置設定檔 (src_profile) | PanSrcDeviceProf | src_profile | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 來源裝置型號 (src_model) | PanSrcDeviceModel | src_model | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 來源裝置供應商 (src_vendor) | PanSrcDeviceVendor | src_vendor | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 來源裝置 OS 系列 (src_osfamily) | PanSrcDeviceOS | principal.asset.platform_software.platform principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 來源裝置 OS 版本 (src_osversion) | PanSrcDeviceOSv | principal.asset.software.version | ||
| 來源主機名稱 (src_host) | PanSrcHostname | principal.hostname | ||
| 來源 MAC 位址 (src_mac) | PanSrcMac | principal.mac | ||
| 目的地裝置類別 (dst_category) | PanDstDeviceCat | dst_category | target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 目的地裝置設定檔 (dst_profile) | PanDstDeviceProf | dst_profile | target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 目的地裝置型號 (dst_model) | PanDstDeviceModel | dst_model | target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 目的地裝置供應商 (dst_vendor) | PanDstDeviceVendor | dst_vendor | target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 目的地裝置 OS 系列 (dst_osfamily) | PanDstDeviceOS | dst_osfamily | target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 目的地裝置 OS 版本 (dst_osversion) | PanDstDeviceOSv | target.asset.software.version | ||
| 目的地主機名稱 (dst_host) | PanDstHostname | target.hostname | ||
| 目的地 MAC 位址 (dst_mac) | PanDstMac | target.mac | ||
| 容器 ID (container_id) | PanContainerName | container_id | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| POD 命名空間 (pod_namespace) | PanPODNamespace | pod_namespace | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| POD 名稱 (pod_name) | PanPODName | pod_name | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 來源外部動態清單 (src_edl) | PanSrcEDL | src_edl | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 目的地外部動態清單 (dst_edl) | PanDstEDL | dst_edl | target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 主機 ID (hostid) | PanGPHostID | hostid | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 使用者裝置序號 (serialnumber) | PanEPSerial | principal.asset.hardware.serial_number | ||
| 來源動態位址群組 (src_dag) | PanSrcDAG | principal.group.group_display_name | ||
| 目的地動態位址群組 (dst_dag) | PanDstDAG | target.group.group_display_name | ||
| 工作階段擁有者 (session_owner) | PanHASessionOwner | session_owner | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 高解析度時間戳記 (high_res_timestamp) | PanTimeHighRes | metadata.collected_timestamp,
metadata.event_timestamp (如果沒有「Generate Time」) |
||
| 區塊服務類型 (nsdsai_sst) | PanASServiceType | nsdsai_sst | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| Slice 差異化 (nsdsai_sd) | PanASServiceDiff | nsdsai_sd | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 應用程式子類別 (subcategory_of_app) | subcategory_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 應用程式類別 (category_of_app) | category_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 應用程式技術 (technology_of_app) | technology_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 應用程式風險 (risk_of_app) | security_result.severity | |||
| 應用程式特性 (characteristic_of_app) | characteristic_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 應用程式容器 (container_of_app) | container_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 應用程式 SaaS (is_saas_of_app) | is_saas_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 應用程式受制裁狀態 (sanctioned_state_of_app) | sanctioned_state_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 應用程式子類別 (subcategory_of_app) | subcategory_of_app1 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 嚴重性 (severity) | number-of-severity(header) | security_result.severity 和 security_result.severity_details |
User-ID
下表列出使用者 ID 記錄類型的記錄欄位,以及對應的 UDM 欄位。
| CSV 欄位 | CEF 欄位 | LEEF 欄位 | Google Security Operations 標籤鍵 | UDM 欄位 |
|---|---|---|---|---|
| 接收時間 (receive_time 或 cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp (如果沒有「Generate Time」) |
|
| 序號 (serial) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
| 類型 (type) | type (標頭) | cat | metadata.product_event_type | |
| 威脅/內容類型 (子類型) | 子類型 (標頭) | 子類型 | metadata.product_event_type | |
| 產生時間 (time_generated 或 cef-formatted-time_generated) | metadata.event_timestamp | |||
| 虛擬系統 (vsys) | cs3 | VirtualSystem | vsys | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 來源 IP (ip) | src | src | principal.ip | |
| 使用者 (user) | duser | usrName | target.user.userid
target.administrative_domain target.user.email_addresses |
|
| 資料來源名稱 (datasourcename) | cs4 | DataSourceName | datasourcename | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 事件 ID (eventid) | EventID | eventid | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 重複次數 (repeatcnt) | cnt | RepeatCount | repeatcnt | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 逾時門檻 (逾時) | cn3 | TimeoutThreshold | 逾時 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 來源通訊埠 (beginport) | spt | srcPort | principal.port | |
| 目的地通訊埠 (endport) | dpt | dstPort | target.port | |
| 資料來源 (datasource) | cs5 | DataSource | 資料來源 | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 資料來源類型 (datasourcetype) | cs6 | DataSourceType | datasourcetype | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 序號 (seqno) | externalId | 序列 | metadata.product_log_id | |
| 動作旗標 (actionflags) | PanOSActionFlags | ActionFlags | actionflags | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 裝置群組階層 (dg_hier_level_1) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 裝置群組階層 (dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 裝置群組階層 (dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 裝置群組階層 (dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 虛擬系統名稱 (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
| 裝置名稱 (device_name) | dvchost | DeviceName | intermediary.hostname | |
| 虛擬系統 ID (vsys_id) | cn2 | VirtualSystemID | principal.resource.resource_type=VIRTUAL_MACHINE and principal.resource.product_object_id | |
| 因子類型 (factortype) | cs1 | FactorType | factortype | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 因子完成時間 (factorcompletiontime) | 結束 | FactorCompletionTime | factorcompletiontime | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 因素編號 (factorno) | cn1 | FactorNumber | factorno | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 使用者群組標記 (ugflags) | PanOSUGFlags | ugflags | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 使用者 (按來源區隔) (userbysource) | PanOSUserBySource | principal.user.userid
principal.administrative_domain principal.user.email_addresses |
||
| 高解析度時間戳記 (high_res timestamp) | PanOSTimeGeneratedHighResolution | metadata.collected_timestamp,
metadata.event_timestamp (如果沒有「Generate Time」) |
||
| 嚴重性 (severity) | number-of-severity(header) | security_result.severity 和 security_result.severity_details |
HIP 比對
下表列出 HIP 比對記錄類型的記錄欄位,以及對應的 UDM 欄位。
| CSV 欄位 | CEF 欄位 | LEEF 欄位 | Google Security Operations 標籤鍵 | UDM 欄位 |
|---|---|---|---|---|
| 接收時間 (receive_time 或 cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp (如果沒有「Generate Time」) |
|
| 序號 (serial) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
| 類型 (type) | type (標頭) | cat | metadata.product_event_type | |
| 威脅/內容類型 (子類型) | 子類型 (標頭) | 子類型 | ||
| 產生時間 (time_generated 或 cef-formatted-time_generated) | 開始 | startTime | metadata.event_timestamp | |
| 來源使用者 (srcuser) | suser | usrName | principal.user.userid | |
| 虛擬系統 (vsys) | cs3 | VirtualSystem | vsys | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 機器名稱 (machinename) | shost | identHostName | principal.hostname | |
| 作業系統 (OS) | cs2 | 作業系統 | principal.asset.platform_software.platform | |
| 來源位址 (src) | src | identsrc | principal.ip | |
| HIP (matchname) | cat | HIP | matchname | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 重複次數 (repeatcnt) | cnt | RepeatCount | repeatcnt | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| HIP 類型 (比對類型) | 裝置事件類別 ID (標頭) | HIPType | matchtype | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 序號 (seqno) | externalId | 序列 | metadata.product_log_id | |
| 動作旗標 (actionflags) | PanOSActionFlags | ActionFlags | actionflags | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 裝置群組階層 (dg_hier_level_1) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 裝置群組階層 (dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 裝置群組階層 (dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 裝置群組階層 (dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 虛擬系統名稱 (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
| 裝置名稱 (device_name) | dvchost | DeviceName | intermediary.hostname | |
| 虛擬系統 ID (vsys_id) | cn2 | VirtualSystemID | principal.resource.resource_type=VIRTUAL_MACHINE and principal.resource.product_object_id | |
| IPv6 系統位址 (srcipv6) | c6a2 | srcipv6 | principal.asset.ip | |
| 主機 ID (hostid) | PanOSHostID | principal.asset.product_object_id | ||
| 使用者裝置序號 (serialnumber) | PanOSEndpointSerialNumber | principal.asset.hardware.serial_number | ||
| 裝置 MAC 位址 (mac) | PanOSEndpointMac | principal.asset.mac | ||
| 高解析度時間戳記 (high_res_timestamp) | PanOSTimeGeneratedHighResolution | metadata.collected_timestamp,
metadata.event_timestamp (如果沒有「Generate Time」) |
||
| 嚴重性 (severity) | number-of-severity(header) | security_result.severity 和 security_result.severity_details |
IP 標記
下表列出 IP 代碼記錄類型的記錄欄位,以及對應的 UDM 欄位。
| CSV 欄位 | CEF 欄位 | LEEF 欄位 | Google Security Operations 標籤鍵 | UDM 欄位 |
|---|---|---|---|---|
| 接收時間 (receive_time 或 cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp (如果沒有「Generate Time」) |
|
| 序號 (serial) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
| 類型 (type) | type (標頭) | cat | metadata.product_event_type | |
| 威脅/內容類型 (子類型) | 子類型 (標頭) | 子類型 | metadata.product_event_type | |
| 產生時間 (time_generated 或 cef-formatted-time_generated) | GenerateTime | metadata.event_timestamp | ||
| 虛擬系統 (vsys) | cs3 | VirtualSystem | vsys | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 來源 IP (ip) | src | src | principal.ip | |
| 代碼名稱 (tag_name) | PanOSTagName | TagName | tag_name | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 事件 ID (event_id) | PanOSEventID | EventID | event_id | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 重複次數 (repeatcnt) | cnt | RepeatCount | repeatcnt | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 逾時 (逾時) | PanOSTimeout | TimeoutThreshold | 逾時 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 資料來源名稱 (datasourcename) | PanOSDataSourceName | DataSourceName | datasourcename | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 資料來源類型 (datasource_type) | PanOSDataSourceType | DataSource | datasource_type | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 資料來源子類型 (datasource_subtype) | PanOSDataSourceSubType | DataSourceType | datasource_subtype | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 序號 (seqno) | externalId | 序列 | metadata.product_log_id | |
| 動作旗標 (actionflags) | PanOSActionFlags | ActionFlags | actionflags | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 裝置群組階層 (dg_hier_level_1) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 裝置群組階層 (dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 裝置群組階層 (dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 裝置群組階層 (dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 虛擬系統名稱 (vsys_name) | PanOsVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
| 裝置名稱 (device_name) | dvchost | DeviceName | intermediary.hostname | |
| 虛擬系統 ID (vsys_id) | cn2 | VirtualSystemID | principal.resource.resource_type=VIRTUAL_MACHINE and principal.resource.product_object_id | |
| 高解析度時間戳記 (high_res timestamp) | PanOSTimeGeneratedHighResolution | metadata.collected_timestamp,
metadata.event_timestamp (如果沒有「Generate Time」) |
||
| 嚴重性 (severity) | number-of-severity(header) | security_result.severity 和 security_result.severity_details |
解密
下表列出解密記錄類型的記錄欄位,以及對應的 UDM 欄位。
| CSV 欄位 | CEF 欄位 | LEEF 欄位 | Google Security Operations 標籤鍵 | UDM 欄位 |
|---|---|---|---|---|
| 接收時間 (receive_time 或 cef-formatted-receive_time) | rt | metadata.collected_timestamp,
metadata.event_timestamp (如果沒有「Generate Time」) |
||
| 序號 (serial) | PanOSDeviceSN | intermediary.asset.hardware.serial_number | ||
| 類型 (type) | type (標頭) | metadata.product_event_type | ||
| 威脅/內容類型 (子類型) | 子類型 (標頭) | metadata.product_event_type | ||
| 設定版本 (config_ver) | PanOSConfigVersion | config_ver | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 產生時間 (time_generated) | PanOSLogTimeStamp | metadata.event_timestamp | ||
| 來源位址 (src) | src | principal.ip | ||
| 目的地地址 (dst) | dst | target.ip | ||
| NAT 來源 IP (natsrc) | sourceTranslatedAddress | principa.nat_ip | ||
| NAT 目的地 IP (natdst) | destinationTranslatedAddress | target.nat_ip | ||
| 規則 (rule) | cs1 | security_result.rule_name | ||
| 來源使用者 (srcuser) | suser | principal.user.userid | ||
| 目的地使用者 (dstuser) | duser | target.user.userid | ||
| 應用程式 (app) | 應用程式 | target.application | ||
| 虛擬系統 (vsys) | cs3 | vsys | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 來源可用區 (來源) | cs4 | 來自 | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 目的地 (郵遞區號) | cs5 | 至 | target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| Inbound Interface (inbound_if) | deviceInboundInterface | inbound_if | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 傳出介面 (outbound_if) | deviceOutboundInterface | outbound_if | target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 記錄動作 (記錄集) | cs6 | logset | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 記錄時間 (time_received) | PanOSTimeReceivedManagementPlane | - | ||
| 工作階段 ID (sessionid) | cn1 | network.session_id | ||
| 重複次數 (repeatcnt) | PanOSCountOfRepeats/RepeatCount | repeatcnt | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 來源通訊埠 (sport) | spt | principal.port | ||
| 目的地通訊埠 (dport) | dpt | target.port | ||
| NAT 來源通訊埠 (natsport) | sourceTranslatedPort | principal.nat_port | ||
| NAT 目的地通訊埠 (natdport) | destinationTranslatedPort | target.nat_port | ||
| 旗標 | flexString1 | 標記 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| IP 通訊協定 (proto) | proto | network.ip_protocol | ||
| 動作 (action) | act | security_result.action_details
security_result.action |
||
| 隧道 (tunnel) | PanOSTunnel | 隧道 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 來源 VM UUID (src_uuid) | PanOSSourceUUID | principal.asset.asset_id | ||
| 目的地 VM UUID (dst_uuid) | PanOSDestinationUUID | target.asset.asset_id | ||
| 規則的 UUID (rule_uuid) | PanOSRuleUUID | security_result.rule_id | ||
| 用戶端到防火牆的階段 (hs_stage_c2f) | PanOSClientToFirewall | hs_stage_c2f | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 防火牆到伺服器的階段 (hs_stage_f2s) | PanOSFirewallToServer | hs_stage_f2s | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| TLS 版本 (tls_version) | PanOSTLSVersion | network.tls.version | ||
| 金鑰交換演算法 (tls_keyxchg) | PanOSTLSKeyExchange | tls_keyxchg | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 加密演算法 (tls_enc) | PanOSTLSEncryptionAlgorithm | tls_enc | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 雜湊演算法 (tls_auth) | PanOSTLSAuth | tls_auth | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 政策名稱 (policy_name) | PanOSPolicyName | policy_name | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 橢圓曲線 (ec_curve) | PanOSEllipticCurve | network.tls.curve | ||
| 錯誤索引 (err_index) | PanOSErrorIndex | err_index | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 根狀態 (root_status) | PanOSRootStatus | root_status | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 鏈條狀態 (chain_status) | PanOSChainStatus | chain_status | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| Proxy 類型 (proxy_type) | PanOSProxyType | proxy_type | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 憑證序號 (cert_serial) | PanOSCertificateSerial | network.tls.server.certificate.serial | ||
| 憑證指紋 (指紋) | PanOSFingerprint | network.tls.server.certificate.md5/sha1/sha256 | ||
| 憑證開始日期 (不得早於) | PanOSTimeNotBefore | network.tls.server.certificate.not_before | ||
| 憑證結束日期 (不得超過) | PanOSTimeNotAfter | network.tls.server.certificate.not_after | ||
| 憑證版本 (cert_ver) | PanOSCertificateVersion | network.tls.server.certificate.version | ||
| 憑證大小 (cert_size) | PanOSCertificateSize | cert_size | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 一般名稱長度 (cn_len) | PanOSCommonNameLength | cn_len | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 發卡機構通用名稱長度 (issuer_len) | PanOSIssuerNameLength | issuer_len | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 根一般名稱長度 (rootcn_len) | PanOSRootCNLength | rootcn_len | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| SNI 長度 (sni_len) | PanOSSNILength | sni_len | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 憑證旗標 (cert_flags) | PanOSCertificateFlags | cert_flags | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 主體慣用名稱 (cn) | PanOSCommonName | cn | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 核發機構通用名稱 (issuer_cn) | PanOSIssuerCommonName | network.tls.server.certificate.issuer | ||
| 根層級通用名稱 (root_cn) | PanOSRootCommonName | root_cn | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 伺服器名稱指示 (sni) |
network.tls.client.server_name | |||
| 錯誤 (error) | PanOSErrorMessage | 錯誤 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 容器 ID (container_id) | PanOSContainerID | container_id | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| POD 命名空間 (pod_namespace) | PanOSContainerNameSpace | pod_namespace | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| POD 名稱 (pod_name) | PanOSContainerName | pod_name | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 來源外部動態清單 (src_edl) | PanOSSourceEDL | src_edl | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 目的地外部動態清單 (dst_edl) | PanOSDestinationEDL | dst_edl | target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 來源動態位址群組 (src_dag) | PanOSSourceDynamicAddressGroup | principal.group.group_display_name | ||
| 目的地動態位址群組 (dst_dag) | PanOSDestinationDynamicAddressGroup | target.group.group_display_name | ||
| 高解析度時間戳記 (high_res_timestamp) | PanOSTimeGeneratedHighResolution | metadata.collected_timestamp,
metadata.event_timestamp (如果沒有「Generate Time」) |
||
| 來源裝置類別 (src_category) | PanOSSourceDeviceCategory | src_category | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 來源裝置設定檔 (src_profile) | PanOSSourceDeviceProfile | src_profile | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 來源裝置型號 (src_model) | PanOSSourceDeviceModel | src_model | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 來源裝置供應商 (src_vendor) | PanOSSourceDeviceVendor | src_vendor | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 來源裝置 OS 系列 (src_osfamily) | PanOSSourceDeviceOSFamily | principal.asset.platform_software.platform principal.labels.key 和 principal.labels.value |
||
| 來源裝置 OS 版本 (src_osversion) | PanOSSourceDeviceOSVersion | principal.asset.software.version | ||
| 來源主機名稱 (src_host) | PanOSSourceDeviceHost | principal.hostname | ||
| 來源 MAC 位址 (src_mac) | PanOSSourceDeviceMac | principal.mac | ||
| 目的地裝置類別 (dst_category) | PanOSDestinationDeviceCategory | dst_category | target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 目的地裝置設定檔 (dst_profile) | PanOSDestinationDeviceProfile | dst_profile | target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 目的地裝置型號 (dst_model) | PanOSDestinationDeviceModel | dst_model | target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 目的地裝置供應商 (dst_vendor) | PanOSDestinationDeviceVendor | dst_vendor | target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 目的地裝置 OS 系列 (dst_osfamily) | PanOSDestinationDeviceOSFamily | dst_osfamily | target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 目的地裝置 OS 版本 (dst_osversion) | PanOSDestinationDeviceOSVersion | target.asset.software.version | ||
| 目的地主機名稱 (dst_host) | PanOSDestinationDeviceHost | target.hostname | ||
| 目的地 MAC 位址 (dst_mac) | PanOSDestinationDeviceMac | target.mac | ||
| 序號 (seqno) | PanOSLogTypeSeqNo | metadata.product_log_id | ||
| 動作旗標 (actionflags) | PanOSActionFlags | actionflags | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 裝置群組階層 (dg_hier_level_1) | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 裝置群組階層 (dg_hier_level_2) | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 裝置群組階層 (dg_hier_level_3) | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 裝置群組階層 (dg_hier_level_4) | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 虛擬系統名稱 (vsys_name) | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|||
| 裝置名稱 (device_name) | intermediary.hostname | |||
| 虛擬系統 ID (vsys_id) | principal.resource.resource_type=VIRTUAL_MACHINE and principal.resource.product_object_id | |||
| 應用程式子類別 (subcategory_of_app) | subcategory_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 應用程式類別 (category_of_app) | category_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 應用程式技術 (technology_of_app) | technology_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 應用程式風險 (risk_of_app) | security_result.severity | |||
| 應用程式特性 (characteristic_of_app) | characteristic_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 應用程式容器 (container_of_app) | container_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 應用程式 SaaS (is_saas_of_app) | is_saas_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 應用程式受制裁狀態 (sanctioned_state_of_app) | sanctioned_state_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 嚴重性 (severity) | number-of-severity(header) | security_result.severity 和 security_result.severity_details |
隧道
下表列出隧道記錄類型的記錄欄位,以及對應的 UDM 欄位。
| CSV 欄位 | CEF 欄位 | LEEF 欄位 | Google Security Operations 標籤鍵 | UDM 欄位 |
|---|---|---|---|---|
| 接收時間 (receive_time 或 cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp (如果沒有「Generate Time」) |
|
| 序號 (serial) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
| 類型 (type) | type (標頭) | cat | metadata.product_event_type | |
| 威脅/內容類型 (子類型) | 子類型 (標頭) | 子類型 | metadata.product_event_type | |
| 產生時間 (time_generated 或 cef-formatted-time_generated) | metadata.event_timestamp | |||
| 來源位址 (src) | src | src | principal.ip | |
| 目的地地址 (dst) | dst | dst | target.ip | |
| NAT 來源 IP (natsrc) | sourceTranslatedAddress | srcPostNAT | principal.nat_ip | |
| NAT 目的地 IP (natdst) | destinationTranslatedAddress | dstPostNAT | target.nat_ip | |
| 規則名稱 (rule) | cs1 | RuleName | security_result.rule_name | |
| 來源使用者 (srcuser) | suser | SourceUser / usrName | principal.user.userid | |
| 目的地使用者 (dstuser) | duser | DestinationUser | target.user.userid | |
| 應用程式 (app) | 應用程式 | 應用程式 | network.application_protocol | |
| 虛擬系統 (vsys) | cs3 | VirtualSystem | vsys | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 來源可用區 (來源) | cs4 | SourceZone | 來自 | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 目的地 (郵遞區號) | cs5 | DestinationZone | 至 | target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value |
| Inbound Interface (inbound_if) | deviceInboundInterface | IngressInterface | inbound_if | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 傳出介面 (outbound_if) | deviceOutboundInterface | EgressInterface | outbound_if | target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 記錄動作 (記錄集) | cs6 | LogForwardingProfile | logset | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 工作階段 ID (sessionid) | cn1 | SessionID | network.session_id | |
| 重複次數 (repeatcnt) | cnt | RepeatCount | repeatcnt | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 來源通訊埠 (sport) | spt | srcPort | principal.port | |
| 目的地通訊埠 (dport) | dpt | dstPort | target.port | |
| NAT 來源通訊埠 (natsport) | sourceTranslatedPort | srcPostNATPort | principal.nat_port | |
| NAT 目的地通訊埠 (natdport) | destinationTranslatedPort | dstPostNATPort | target.nat_port | |
| 旗標 | flexString1 | 標記 | 標記 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| IP 通訊協定 (proto) | proto | proto | network.ip_protocol | |
| 動作 (action) | act | action | security_result.action_details
security_result.action |
|
| 嚴重性 (severity) | number-of-severity(header) | security_result.severity 和 security_result.severity_details | ||
| 序號 (seqno) | externalId | 序列 | metadata.product_log_id | |
| 動作旗標 (actionflags) | PanOSActionFlags | ActionFlags | actionflags | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 來源位置 (srcloc) | principal.location.country_or_region | |||
| 目的地位置 (dstloc) | target.location.country_or_region | |||
| 裝置群組階層 (dg_hier_level_1) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 裝置群組階層 (dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 裝置群組階層 (dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 裝置群組階層 (dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 虛擬系統名稱 (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
| 裝置名稱 (device_name) | dvchost | DeviceName | intermediary.hostname | |
| 隧道 ID (tunnelid) | PanOSTunnelID | TunnelID | tunnelid | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 監控標記 (monitortag) | PanOSMonitorTag | MonitorTag | monitortag | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 父項工作階段 ID (parent_session_id) | PanOSParentSessionID | ParentSessionID | parent_session_id | network.parent_session_id |
| 父項開始時間 (parent_start_time) | PanOSParentStartTime | ParentStartTime | parent_start_time | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 通道類型 (通道) | cs2 | TunnelType | 隧道 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 位元組 (bytes) | flexNumber1 | totalBytes | 位元組 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 傳送的位元組數 (bytes_sent) | 在 | srcBytes | network.sent_bytes | |
| 已接收的位元組 (bytes_received) | out | dstBytes | network.received_bytes | |
| 封包 | cn2 | totalPackets | 封包 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 傳出的封包數 (pkts_sent) | PanOSPacketsSent | srcPackets | pkts_sent | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 已接收的封包數 (pkts_received) | PanOSPacketsReceived | dstPackets | pkts_received | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 最大封裝 (max_encap) | flexNumber2 | MaximumEncapsulation | max_encap | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 不明的通訊協定 (unknown_proto) | cfp1 | UnknownProtocol | unknown_proto | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 嚴格檢查 (strict_check) | cfp2 | StrictChecking | strict_check | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 隧道片段 (tunnel_fragment) | PanOSTunnelFragment | TunnelFragment | tunnel_fragment | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 已建立的工作階段 (sessions_created) | cfp3 | SessionsCreated | sessions_created | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 關閉的工作階段 (sessions_closed) | cfp4 | SessionsClosed | sessions_closed | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 工作階段結束原因 (session_end_reason) | reason | SessionEndReason | security_result.summary | |
| 動作來源 (action_source) | cat | ActionSource | action_source | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 開始時間 (開始) | startTime | 開始 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 經過時間 (elapsed) | cn3 | ElapsedTime | elapsed | network.session_duration.seconds |
| 通道檢查規則 (tunnel_insp_rule) | PanOSTunneInspectionRule | security_result.rule_name = "Tunnel Inspection Rule: %{PanOSTunnelInspectionRule}" | ||
| 遠端使用者 IP (remote_user_ip) | PanOSRmtUserIP | target.ip | ||
| 遠端使用者 ID (remote_user_id) | PanOSRmtUserID | remote_user_id | target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 安全性規則 UUID (rule_uuid) | PanOSRuleUUID | security_result.rule_id | ||
| PCAP ID (pcap_id) | PanOSPcapID | pcap_id | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 動態使用者群組名稱 (dynusergroup_name) | PanDynamicUsrgrp | principal.group.group_display_name | ||
| 來源外部動態清單 (src_edl) | PanOSSourceEDL | src_edl | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 目的地外部動態清單 (dst_edl) | PanOSDestinationEDL | dst_edl | target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 高解析度時間戳記 (high_res timestamp) | PanOSTimeGeneratedHighResolution | metadata.collected_timestamp,
metadata.event_timestamp (如果沒有「Generate Time」) |
||
| 區隔條件 (nssai_sd) | nssai_sd | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 區塊服務類型 (nssai_sd) | nssai_sd1 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| PDU 工作階段 ID (pdu_session_id) | pdu_session_id | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 應用程式子類別 (subcategory_of_app) | subcategory_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 應用程式類別 (category_of_app) | category_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 應用程式技術 (technology_of_app) | technology_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 應用程式風險 (risk_of_app) | risk_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 應用程式特性 (characteristic_of_app) | characteristic_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 應用程式容器 (container_of_app) | container_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 應用程式 SaaS (is_saas_of_app) | is_saas_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 應用程式受制裁狀態 (sanctioned_state_of_app) | sanctioned_state_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
驗證
下表列出驗證記錄類型的記錄欄位,以及對應的 UDM 欄位。
| CSV 欄位 | CEF 欄位 | LEEF 欄位 | Google Security Operations 標籤鍵 | UDM 欄位 |
|---|---|---|---|---|
| 接收時間 (receive_time 或 cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp (如果沒有「Generate Time」) |
|
| 序號 (serial) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
| 類型 (type) | type (標頭) | cat | metadata.product_event_type | |
| 威脅/內容類型 (子類型) | 子類型 (標頭) | 子類型 | metadata.product_event_type | |
| 產生時間 (time_generated 或 cef-formatted-time_generated) | metadata.event_timestamp | |||
| 虛擬系統 (vsys) | cs3 | VirtualSystem | vsys | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 來源 IP (ip) | src | src | principal.ip | |
| 使用者 (user) | duser | usrName | target.user.userid | |
| 規範使用者 (normalize_user) | cs2 | NormalizeUser | target.user.user_display_name | |
| 物件 (object) | fname | ObjectName | object | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 驗證政策 (authpolicy) | cs4 | AuthPolicy | authpolicy | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 重複次數 (repeatcnt) | cnt | RepeatCount | repeatcnt | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 驗證 ID (authid) | cn2 | AuthenticationID | authid | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 供應商 (供應商) | flexString2 | 供應商 | 供應商 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 記錄動作 (記錄集) | cs6 | LogForwardingProfile | logset | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 伺服器設定檔 (serverprofile) | cs1 | ServerProfile | serverprofile | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 說明 (desc) | PanOSDesc | AdditionalAuthInfo | security_result.description | |
| 用戶端類型 (clienttype) | cs5 | ClientType | clienttype | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 事件類型 (event) | msg | msg | extensions.auth.auth_details | |
| 因素編號 (factorno) | cn1 | FactorNumber | factorno | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 序號 (seqno) | externalId | 序列 | metadata.product_log_id | |
| 動作旗標 (actionflags) | PanOSActionFlags | ActionFlags | actionflags | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 裝置群組階層 (dg_hier_level_1) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 裝置群組階層 (dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 裝置群組階層 (dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 裝置群組階層 (dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 虛擬系統名稱 (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
| 裝置名稱 (device_name) | dvchost | DeviceName | intermediary.hostname | |
| 虛擬系統 ID (vsys_id) | principal.resource.resource_type=VIRTUAL_MACHINE and principal.resource.product_object_id | |||
| 驗證通訊協定 (authproto) | authproto | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 規則的 UUID (rule_uuid) | PanOSRuleUUID/RuleUUID | security_result.rule_id | ||
| 高解析度時間戳記 (high_res_timestamp) | PanOSTimeGeneratedHighResolution | metadata.collected_timestamp,
metadata.event_timestamp (如果沒有「Generate Time」) |
||
| 來源裝置類別 (src_category) | PanOSSourceDeviceCategory | src_category | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 來源裝置設定檔 (src_profile) | PanOSSourceDeviceProfile | src_profile | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 來源裝置型號 (src_model) | PanOSSourceDeviceModel | src_model | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 來源裝置供應商 (src_vendor) | PanOSSourceDeviceVendor | src_vendor | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 來源裝置 OS 系列 (src_osfamily) | PanOSSourceDeviceOSFamily | principal.asset.platform_software.platform principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 來源裝置 OS 版本 (src_osversion) | PanOSSourceDeviceOSVersion | principal.asset.software.version | ||
| 來源主機名稱 (src_host) | PanOSSourceHostname | principal.hostname | ||
| 來源 MAC 位址 (src_mac) | PanOSSourceMac | principal.asset.mac | ||
| 區域 (region) | PanOSTrafficOriginRegion | principal.location.country_or_region | ||
| 使用者代理程式 (user_agent) | PanOSHTTPUserAgent | network.http.user_agent | ||
| 工作階段 ID(sessionid) | PanOSTrafficSessionID | network.session_id | ||
| 嚴重性 (severity) | number-of-severity(header) | security_result.severity 和 security_result.severity_details |
網址
下表列出網址記錄類型的記錄欄位,以及對應的 UDM 欄位。
| CSV 欄位 | CEF 欄位 | LEEF 欄位 | Google Security Operations 標籤鍵 | UDM 欄位 |
|---|---|---|---|---|
| 接收時間 (cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp (如果沒有「Generate Time」) |
|
| 序號 (serial) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
| 類型 (type) | type (標頭) | cat | metadata.product_event_type | |
| 威脅/內容類型 (子類型) | 子類型 (標頭) | 子類型 | metadata.product_event_type | |
| 產生時間 | metadata.event_timestamp | |||
| 來源位址 (src) | src | src | principal.ip | |
| 目的地地址 (dst) | dst | dst | target.ip | |
| NAT 來源 IP (natsrc) | sourceTranslatedAddress | srcPostNAT | principal.nat_ip | |
| NAT 目的地 IP (natdst) | destinationTranslatedAddress | dstPostNAT | target.nat_ip | |
| 規則 (rule) | cs1 | RuleName | security_result.rule_name | |
| 來源使用者 (srcuser) | suser | SourceUser | principal.user.userid | |
| 目的地使用者 (dstuser) | duser | DestinationUser | target.user.userid | |
| 應用程式 (app) | 應用程式 | 應用程式 | network.application_protocol | |
| 虛擬系統 (vsys) | cs3 | VirtualSystem | vsys | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 來源可用區 (來源) | cs4 | SourceZone | 來自 | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 目的地 (郵遞區號) | cs5 | DestinationZone | 至 | target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value |
| Inbound Interface (inbound_if) | deviceInboundInterface | IngressInterface | inbound_if | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 傳出介面 (outbound_if) | deviceOutboundInterface | EgressInterface | outbound_if | target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 記錄動作 (記錄集) | cs6 | LogForwardingProfile | logset | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 記錄時間 | time_logged | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 工作階段 ID (sessionid) | cn1 | SessionID | network.session_id | |
| 重複次數 (repeatcnt) | cnt | RepeatCount | repeatcnt | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 來源通訊埠 (sport) | spt | srcPort | principal.port | |
| 目的地通訊埠 (dport) | dpt | dstPort | target.port | |
| NAT 來源通訊埠 (natsport) | sourceTranslatedPort | srcPostNATPort | principal.nat_port | |
| NAT 目的地通訊埠 (natdport) | destinationTranslatedPort | dstPostNATPort | target.nat_port | |
| 旗標 | flexString1 | 標記 | 標記 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| IP 通訊協定 (proto) | proto | proto | network.ip_protocol | |
| 動作 (action) | act | action | security_result.action_details
security_result.action |
|
| 網址/檔案名稱 (其他) | 其他 | target.file.full_path
target.url |
||
| 威脅/內容名稱 (threatid) | cat | ThreatID | security_result.threat_id | |
| 類別 (category) | cs2 | URLCategory | 類別 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 嚴重性 (severity) | number-of-severity (標頭) | 嚴重性 | security_result.severity
security_result.severity_details |
|
| 方向 (方向) | flexString2 | 方向 | network.direction | |
| 序號 (seqno) | externalId | 序列 | metadata.product_log_id | |
| 動作旗標 (actionflags) | PanOSActionFlags | ActionFlags | actionflags | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 來源國家/地區 (srcloc) | SourceLocation | principal.location.country_or_region | ||
| 目的地國家/地區 (dstloc) | DestinationLocation | target.location.country_or_region | ||
| contenttype (contenttype) | requestContext | ContentType | contenttype | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| pcap_id (pcap_id) | fileId | PCAP_ID | pcap_id | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| filedigest (filedigest) | FileDigest | about.file.sha1/md5/sha256 | ||
| cloud (雲端) | 雲端 | 雲端 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| url_idx (url_idx) | URLIndex | url_idx | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| user_agent (user_agent) | requestClientApplication | UserAgent | network.http.user_agent | |
| filetype (filetype) | about.file.mime_type | |||
| xff (xff) | PanOSXForwarderfor | identSrc | xff | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| referer (referer) | PanOSReferer | 參照網址 | network.http.referral_url | |
| 寄件者 (sender) | network.email.from | |||
| 主旨 (主旨) | 主旨 | network.email.subject | ||
| 收件者 (recipient) | network.email.to | |||
| reportid (reportid) | reportid | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| DG 階層第 1 級 (dg_hier_level_1) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| DG 階層第 2 級 (dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| DG 階層第 3 級 (dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| DG 階層第 4 級 (dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 虛擬系統名稱 (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
| 裝置名稱 (device_name) | dvchost | DeviceName | intermediary.hostname | |
| file_url (file_url) | about.url | |||
| 來源 VM UUID (src_uuid) | SrcUUID | principal.asset.asset_id | ||
| 目的地 VM UUID (dst_uuid) | DstUUID | target.asset.asset_id | ||
| http_method (http_method) | requestMethod | RequestMethod | network.http.method | |
| 通道 ID/IMSI (tunnelid) | PanOSTunnelID | TunnelID | tunnelid | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 監控標籤/IMEI (monitortag) | PanOSMonitorTag | MonitorTag | monitortag | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 父項工作階段 ID (parent_session_id) | PanOSParentSessionID | ParentSessionID | parent_session_id | network.parent_session_id |
| 父項工作階段開始時間 (parent_start_time) | PanOSParentStartTime | ParentStartTime | parent_start_time | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 隧道 (tunnel) | PanOSTunnelType | TunnelType | 隧道 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| thr_category (thr_category) | PanOSThreatCategory | ThreatCategory | thr_category | security_result.detection_fields.key/value |
| contentver (contentver) | PanOSContentVer | ContentVer | contentver | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| sig_flags (sig_flags) | sig_flags | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| SCTP 關聯 ID (assoc_id) | PanOSAssocID | assoc_id | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 酬載通訊協定 ID (ppid) | PanOSPPID | ppid | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| http_headers (http_headers) | PanOSHTTPHeader | http_headers | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 網址類別清單 (url_category_list) | PanOSURLCatList | url_category_list | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 規則的 UUID (rule_uuid) | PanOSRuleUUID | rule_uuid | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| HTTP/2 連線 (http2_connection) | PanOSHTTP2Con | http2_connection | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| dynusergroup_name (dynusergroup_name) | PanDynamicUsrgrp | dynusergroup_name | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| XFF 位址 (xff_ip) | PanXFFIP | principal.ip | ||
| 來源裝置類別 (src_category) | PanSrcDeviceCat | src_category | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 來源裝置設定檔 (src_profile) | PanSrcDeviceProf | src_profile | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 來源裝置型號 (src_model) | PanSrcDeviceModel | src_model | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 來源裝置供應商 (src_vendor) | PanSrcDeviceVendor | src_vendor | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 來源裝置 OS 系列 (src_osfamily) | PanSrcDeviceOS | principal.asset.platform_software.platform principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 來源裝置 OS 版本 (src_osversion) | PanSrcDeviceOSv | principal.asset.software.version | ||
| 來源主機名稱 (src_host) | PanSrcHostname | src_host | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 來源 MAC 位址 (src_mac) | PanSrcMac | principal.mac | ||
| 目的地裝置類別 (dst_category) | PanDstDeviceCat | dst_category | target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 目的地裝置設定檔 (dst_profile) | PanDstDeviceProf | dst_profile | target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 目的地裝置型號 (dst_model) | PanDstDeviceModel | dst_model | target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 目的地裝置供應商 (dst_vendor) | PanDstDeviceVendor | dst_vendor | target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 目的地裝置 OS 系列 (dst_osfamily) | PanDstDeviceOS | target.asset.platform_software.platform
target.labels.key 和 target.labels.value |
||
| 目的地裝置 OS 版本 (dst_osversion) | PanDstDeviceOSv | target.asset.software.version | ||
| 目的地主機名稱 (dst_host) | PanPODNamespace | target.hostname | ||
| 目的地 MAC 位址 (dst_mac) | PanDstMac | target.mac | ||
| 容器 ID (container_id) | PanContainerName | container_id | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| POD 命名空間 (pod_namespace) | PanPODNamespace | pod_namespace | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| POD 名稱 (pod_name) | PanPODName | pod_name | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 來源外部動態清單 (src_edl) | PanSrcEDL | src_edl | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 目的地外部動態清單 (dst_edl) | PanDstEDL | dst_edl | target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 主機 ID (hostid) | PanGPHostID | hostid | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 序號 (serialnumber) | PanEPSerial | principal.asset.hardware.serial_number | ||
| domain_edl (domain_edl) | PanDomainEDL | domain_edl | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 來源動態位址群組 (src_dag) | PanSrcDAG | principal.group.group_display_name | ||
| 目的地動態位址群組 (dst_dag) | PanDstDAG | target.group.group_display_name | ||
| partial_hash (partial_hash) | PanPartialHash | partial_hash | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 高解析度時間戳記 (high_res_timestamp) | PanTimeHighRes | metadata.collected_timestamp,
metadata.event_timestamp (如果沒有「Generate Time」) |
||
| 原因 (reason) | PanReasonFilteringAction | reason | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 正當理由 (justification) | PanJustification | 原因說明 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| nssai_sst (nssai_sst) | PanASServiceType | nssai_sst | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 應用程式的子類別 (subcategory_of_app) | subcategory_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 應用程式類別 (category_of_app) | category_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 應用程式技術 (technology_of_app) | technology_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 應用程式風險 (risk_of_app) | risk_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 應用程式的特性 (characteristic_of_app) | characteristic_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 應用程式容器 (container_of_app) | container_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 隧道應用程式 (tunneled_app) | tunneled_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 應用程式的 SaaS (is_saas_of_app) | is_saas_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 應用程式受制裁狀態 (sanctioned_state_of_app) | sanctioned_state_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
資料
下表列出資料記錄類型的記錄欄位,以及相應的 UDM 欄位。
| CSV 欄位 | CEF 欄位 | LEEF 欄位 | Google Security Operations 標籤鍵 | UDM 欄位 |
|---|---|---|---|---|
| 接收時間 (cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp (如果沒有「Generate Time」) |
|
| 序號 (serial) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
| 類型 (type) | type (標頭) | cat | metadata.product_event_type | |
| 威脅/內容類型 (子類型) | 子類型 (標頭) | 子類型 | metadata.product_event_type | |
| 產生時間 | metadata.event_timestamp | |||
| 來源位址 (src) | src | src | principal.ip | |
| 目的地地址 (dst) | dst | dst | target.ip | |
| NAT 來源 IP (natsrc) | sourceTranslatedAddress | srcPostNAT | principal.nat_ip | |
| NAT 目的地 IP (natdst) | destinationTranslatedAddress | dstPostNAT | target.nat_ip | |
| 規則 (rule) | cs1 | RuleName | security_result.rule_name | |
| 來源使用者 (srcuser) | suser | SourceUser | principal.user.userid | |
| 目的地使用者 (dstuser) | duser | DestinationUser | target.user.userid | |
| 應用程式 (app) | 應用程式 | 應用程式 | network.application_protocol | |
| 虛擬系統 (vsys) | cs3 | VirtualSystem | vsys | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 來源可用區 (來源) | cs4 | SourceZone | 來自 | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 目的地 (郵遞區號) | cs5 | DestinationZone | 至 | target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value |
| Inbound Interface (inbound_if) | deviceInboundInterface | IngressInterface | inbound_if | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 傳出介面 (outbound_if) | deviceOutboundInterface | EgressInterface | outbound_if | target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 記錄動作 (記錄集) | cs6 | LogForwardingProfile | logset | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 記錄時間 | time_logged | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 工作階段 ID (sessionid) | cn1 | SessionID | network.session_id | |
| 重複次數 (repeatcnt) | cnt | RepeatCount | repeatcnt | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 來源通訊埠 (sport) | spt | srcPort | principal.port | |
| 目的地通訊埠 (dport) | dpt | dstPort | target.port | |
| NAT 來源通訊埠 (natsport) | sourceTranslatedPort | srcPostNATPort | principal.nat_port | |
| NAT 目的地通訊埠 (natdport) | destinationTranslatedPort | dstPostNATPort | target.nat_port | |
| 旗標 | flexString1 | 標記 | 標記 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| IP 通訊協定 (proto) | proto | proto | network.ip_protocol | |
| 動作 (action) | act | action | security_result.action_details
security_result.action |
|
| 網址/檔案名稱 (其他) | 其他 | target.file.full_path
target.url |
||
| 威脅/內容名稱 (threatid) | cat | ThreatID | security_result.threat_id | |
| 類別 (category) | cs2 | URLCategory | 類別 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 嚴重性 (severity) | number-of-severity (標頭) | 嚴重性 | security_result.severity
security_result.severity_details |
|
| 方向 (方向) | flexString2 | 方向 | network.direction | |
| 序號 (seqno) | externalId | 序列 | metadata.product_log_id | |
| 動作旗標 (actionflags) | PanOSActionFlags | ActionFlags | actionflags | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 來源國家/地區 (srcloc) | SourceLocation | principal.location.country_or_region | ||
| 目的地國家/地區 (dstloc) | DestinationLocation | target.location.country_or_region | ||
| contenttype (contenttype) | ContentType | contenttype | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| pcap_id (pcap_id) | fileId | PCAP_ID | pcap_id | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| filedigest (filedigest) | FileDigest | about.file.sha1/md5/sha256 | ||
| cloud (雲端) | 雲端 | 雲端 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| url_idx (url_idx) | URLIndex | url_idx | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| user_agent (user_agent) | network.http.user_agent | |||
| filetype (filetype) | about.file.mime_type | |||
| xff (xff) | xff | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| referer (referer) | network.http.referral_url | |||
| 寄件者 (sender) | network.email.from | |||
| 主旨 (主旨) | 主旨 | network.email.subject | ||
| 收件者 (recipient) | network.email.to | |||
| reportid (reportid) | reportid | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| DG 階層第 1 級 (dg_hier_level_1) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| DG 階層第 2 級 (dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| DG 階層第 3 級 (dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| DG 階層第 4 級 (dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 虛擬系統名稱 (vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
| 裝置名稱 (device_name) | dvchost | DeviceName | intermediary.hostname | |
| file_url (file_url) | about.url | |||
| 來源 VM UUID (src_uuid) | SrcUUID | principal.asset.asset_id | ||
| 目的地 VM UUID (dst_uuid) | DstUUID | target.asset.asset_id | ||
| http_method (http_method) | RequestMethod | network.http.method | ||
| 通道 ID/IMSI (tunnelid) | PanOSTunnelID | TunnelID | tunnelid | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 監控標籤/IMEI (monitortag) | PanOSMonitorTag | MonitorTag | monitortag | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 父項工作階段 ID (parent_session_id) | PanOSParentSessionID | ParentSessionID | parent_session_id | network.parent_session_id |
| 父項工作階段開始時間 (parent_start_time) | PanOSParentStartTime | ParentStartTime | parent_start_time | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| 隧道 (tunnel) | PanOSTunnelType | TunnelType | 隧道 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| thr_category (thr_category) | PanOSThreatCategory | ThreatCategory | thr_category | security_result.detection_fields.key/value |
| contentver (contentver) | PanOSContentVer | ContentVer | contentver | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
| sig_flags (sig_flags) | sig_flags | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| SCTP 關聯 ID (assoc_id) | PanOSAssocID | assoc_id | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 酬載通訊協定 ID (ppid) | PanOSPPID | ppid | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| http_headers (http_headers) | PanOSHTTPHeader | http_headers | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 網址類別清單 (url_category_list) | url_category_list | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 規則的 UUID (rule_uuid) | PanOSRuleUUID | rule_uuid | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| HTTP/2 連線 (http2_connection) | http2_connection | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| dynusergroup_name (dynusergroup_name) | dynusergroup_name | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| XFF 位址 (xff_ip) | principal.ip | |||
| 來源裝置類別 (src_category) | src_category | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 來源裝置設定檔 (src_profile) | src_profile | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 來源裝置型號 (src_model) | src_model | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 來源裝置供應商 (src_vendor) | src_vendor | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 來源裝置 OS 系列 (src_osfamily) | principal.asset.platform_software.platform principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
|||
| 來源裝置 OS 版本 (src_osversion) | principal.asset.software.version | |||
| 來源主機名稱 (src_host) | src_host | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 來源 MAC 位址 (src_mac) | principal.mac | |||
| 目的地裝置類別 (dst_category) | dst_category | target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 目的地裝置設定檔 (dst_profile) | dst_profile | target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 目的地裝置型號 (dst_model) | dst_model | target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 目的地裝置供應商 (dst_vendor) | dst_vendor | target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 目的地裝置 OS 系列 (dst_osfamily) | target.asset.platform_software.platform
target.labels.key 和 target.labels.value |
|||
| 目的地裝置 OS 版本 (dst_osversion) | target.asset.software.version | |||
| 目的地主機名稱 (dst_host) | target.hostname | |||
| 目的地 MAC 位址 (dst_mac) | target.mac | |||
| 容器 ID (container_id) | container_id | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| POD 命名空間 (pod_namespace) | pod_namespace | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| POD 名稱 (pod_name) | pod_name | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 來源外部動態清單 (src_edl) | src_edl | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 目的地外部動態清單 (dst_edl) | dst_edl | target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 主機 ID (hostid) | hostid | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 序號 (serialnumber) | principal.asset.hardware.serial_number | |||
| domain_edl (domain_edl) | domain_edl | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 來源動態位址群組 (src_dag) | principal.group.group_display_name | |||
| 目的地動態位址群組 (dst_dag) | target.group.group_display_name | |||
| partial_hash (partial_hash) | partial_hash | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 高解析度時間戳記 (high_res_timestamp) | metadata.collected_timestamp,
metadata.event_timestamp (如果沒有「Generate Time」) |
|||
| 原因 (reason) | reason | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 正當理由 (justification) | 原因說明 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| nssai_sst (nssai_sst) | nssai_sst | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 應用程式的子類別 (subcategory_of_app) | subcategory_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 應用程式類別 (category_of_app) | category_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 應用程式技術 (technology_of_app) | technology_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 應用程式風險 (risk_of_app) | risk_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 應用程式的特性 (characteristic_of_app) | characteristic_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 應用程式容器 (container_of_app) | container_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 隧道應用程式 (tunneled_app) | tunneled_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 應用程式的 SaaS (is_saas_of_app) | is_saas_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 應用程式受制裁狀態 (sanctioned_state_of_app) | sanctioned_state_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
GlobalProtect
下表列出 GlobalProtect 記錄類型的記錄欄位,以及對應的 UDM 欄位。
| CSV 欄位 | CEF 欄位 | LEEF 欄位 | Google Security Operations 標籤鍵 | UDM 欄位 |
|---|---|---|---|---|
| 接收時間 (receive_time) | rt | received_time | metadata.event_timestamp | |
| 序號 (serial) | PanOSDeviceSN | intermediary_asset_hardware_serial_number | intermediary.asset.hardware.serial_number | |
| 類型 (type) | type (標頭) | metadata.product_event_type | ||
| 威脅/內容類型 (子類型) | 子類型 (標頭) | 子類型 | metadata.product_event_type | |
| 產生時間 (time_generated) | PanOSLogTimeStamp | generated_timestamp | metadata.event_timestamp | |
| 虛擬系統 (vsys) | PanOSVirtualSystem | vsys | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 事件 ID (eventid) | PanOSEventID | event_id | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 階段 (stage) | PanOSStage | 階段 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 驗證方式 (auth_method) | PanOSAuthMethod | extension_auth_auth_details | extensions.auth.auth_details | |
| 通道類型 (tunnel_type) | PanOSTunnelType | 隧道 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 來源使用者 (srcuser) | PanOSSourceUserName | src_user | principal.user.email_address
principal.user.userid principal.administrative_domain |
|
| 來源區域 (srcregion) | PanOSSourceRegion | src_region | principal.location.country_or_region | |
| 機器名稱 (machinename) | PanOSEndpointDeviceName | machine_name | principal.hostname | |
| 公開 IP (public_ip) | PanOSPublicIPv4 | principal.nat_ip | ||
| 公開 IPv6 (public_ipv6) | PanOSPublicIPv6 | principal.nat_ip | ||
| 私人 IP (private_ip) | PanOSPrivateIPv4 | principal.ip | ||
| 私人 IPv6 (private_ipv6) | PanOSPrivateIPv6 | principal.ip | ||
| 主機 ID (hostid) | PanOSHostID | hostid | principal.asset.asset_id | |
| 序號 (serialnumber) | PanOSDeviceSN | principal.asset.hardware.serial_number | ||
| 用戶端版本 (client_ver) | PanOSGlobalProtectClientVersion | client_ver | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 用戶端作業系統 (client_os) | PanOSEndpointOSType | principal.asset.platform_software.platform(enum) | ||
| 用戶端 OS 版本 (client_os_ver) | PanOSEndpointOSVersion | principal.asset.platform_software.platform_version | ||
| 重複次數 (repeatcnt) | PanOSCountOfRepeats | repeatcnt | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 原因 (reason) | PanOSQuarantineReason | security_result.summary | ||
| 錯誤 (error) | PanOSConnectionError | 錯誤 | security_result.description | |
| 說明 (不透明) | PanOSDescription | security_result.description | ||
| 狀態 (status) | PanOSEventStatus | 狀態 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 位置 (location) | PanOSGPGatewayLocation | target.location.country_or_region | ||
| 登入時間 (login_duration) | PanOSLoginDuration | network.session_duration | ||
| 連線方式 (connect_method) | PanOSConnectionMethod | connect_method | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 錯誤代碼 (error_code) | PanOSConnectionErrorID | error_code | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 入口網站 (portal) | PanOSPortal | 入口網站 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 序號 (seqno) | PanOSSequenceNo | metadata.product_log_id | ||
| 動作旗標 (actionflags) | PanOSActionFlags | actionflags | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 高解析度時間戳記 (high_res_timestamp) | anOSTimeGeneratedHighResolution | metadata.collected_timestamp,
metadata.event_timestamp (如果沒有「Generate Time」) |
||
| 閘道選取方法 (selection_type) | PanOSGatewaySelectionType | selection_type | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| SSL 回應時間 (response_time) | PanOSSSLResponseTime | response_time | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 閘道優先順序 (priority) | PanOSGatewayPriority | 優先順序 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 嘗試的閘道 (attempted_gateways) | PanOSAttemptedGateways | attempted_gateways | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 閘道名稱 (閘道) | PanOSAttemptedGateways | 閘道 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 裝置群組階層 (dg_hier_level_1) | dg_hier_level_1 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 裝置群組階層 (dg_hier_level_2) | dg_hier_level_2 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 裝置群組階層 (dg_hier_level_3) | dg_hier_level_3 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 裝置群組階層 (dg_hier_level_4) | dg_hier_level_4 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 虛擬系統名稱 (vsys_name) | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|||
| 裝置名稱 (device_name) | target.hostname | |||
| 虛擬系統 ID (vsys_id) | principal.resource.resource_type=VIRTUAL_MACHINE and principal.resource.product_object_id | |||
| 嚴重性 (severity) | number-of-severity(header) | security_result.severity 和 security_result.severity_details |
關聯性
下表列出關聯記錄類型的記錄欄位,以及對應的 UDM 欄位。
| CSV 欄位 | CEF 欄位 | LEEF 欄位 | Google Security Operations 標籤鍵 | UDM 欄位 |
|---|---|---|---|---|
| 產生時間 (time_generated 或 cef-formatted-time_generated) | startTime | generated_timestamp | metadata.event_timestamp | |
| 來源位址 (src) | src | principal.ip | ||
| 來源使用者 (srcuser) | SourceUser / usrName | principal.user.userid | ||
| 虛擬系統 (vsys) | VirtualSystem | vsys | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
|
| 類別 (category) | security_result.category_details | |||
| 嚴重性 (severity) | 嚴重性 | security_result.severity 和 security_result.severity_details | ||
| 裝置群組階層層級 1 | DeviceGroupHierarchyL1 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 裝置群組階層層級 2 | DeviceGroupHierarchyL2 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 裝置群組階層第 3 級 | DeviceGroupHierarchyL3 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 裝置群組階層第 4 級 | DeviceGroupHierarchyL4 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 虛擬系統名稱 (vsys_name) | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
||
| 裝置名稱 (device_name) | DeviceName | intermediary.hostname | ||
| 虛擬系統 ID (vsys_id) | VirtualSystemID | principal.resource.resource_type=VIRTUAL_MACHINE and principal.resource.product_object_id | ||
| 物件名稱 (objectname) | ObjectName | target.resource.name | ||
| 物件 ID (object_id) | ObjectID | target.resource.product_object_id |
GTP
下表列出 gtp 記錄類型的記錄欄位,以及對應的 UDM 欄位。
| CSV 欄位 | CEF 欄位 | LEEF 欄位 | Google Security Operations 標籤鍵 | UDM 欄位 |
|---|---|---|---|---|
| 接收時間 (receive_time 或 cef-formatted-receive_time) | metadata.collected_timestamp,
metadata.event_timestamp (如果沒有「Generate Time」) |
|||
| 序號 (serial) | intermediary.asset.hardware.serial_number | |||
| 類型 (type) | metadata.product_event_type | |||
| 威脅/內容類型 (子類型) | metadata.product_event_type | |||
| 產生時間 (time_generated 或 cef-formatted-time_generated) | metadata.event_timestamp | |||
| 來源位址 (src) | principal.ip | |||
| 目的地地址 (dst) | target.ip | |||
| 規則名稱 (rule) | security_result.rule_name | |||
| 應用程式 (app) | network.application_protocol | |||
| 虛擬系統 (vsys) | vsys | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 來源可用區 (來源) | 來自 | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 目的地 (郵遞區號) | 至 | target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| Inbound Interface (inbound_if) | inbound_if | principal.labels.key 和 principal.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 傳出介面 (outbound_if) | outbound_if | target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 記錄動作 (logset) | logset | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 工作階段 ID (sessionid) | network.session_id | |||
| 來源通訊埠 (sport) | principal.port | |||
| 目的地通訊埠 (dport) | target.port | |||
| IP 通訊協定 (proto) | network.ip_protocol | |||
| 動作 (action) | security_result.action_details
security_result.action |
|||
| GTP 事件類型 (event_type) | gtp_event_type | additional.fields.key 和 additional.fields.value.string_value | ||
| MSISDN (msisdn) | msisdn | additional.fields.key 和 additional.fields.value.string_value | ||
| 存取點名稱 (apn) | APN | additional.fields.key 和 additional.fields.value.string_value | ||
| 無線電存取技術 (rat) | 老鼠 | additional.fields.key 和 additional.fields.value.string_value | ||
| GTP 訊息類型 (msg_type) | gtp_msg_type | additional.fields.key 和 additional.fields.value.string_value | ||
| 結尾 IP 位址 (end_ip_adr) | principal.ip | |||
| 通道端點 ID1 (teid1) | teid1 | additional.fields.key 和 additional.fields.value.string_value | ||
| 隧道端點 ID2 (teid2) | teid2 | additional.fields.key 和 additional.fields.value.string_value | ||
| GTP 介面 (gtp_interface) | gtp_interface | additional.fields.key 和 additional.fields.value.string_value | ||
| GTP 原因 (cause_code) | gtp_cause_code | additional.fields.key 和 additional.fields.value.string_value | ||
| 嚴重性 (severity) | security_result.severity 和 security_result.severity_details | |||
| 服務網路 MCC (mcc) | mcc | additional.fields.key 和 additional.fields.value.string_value | ||
| 供應網路 MNC (mnc) | mnc | additional.fields.key 和 additional.fields.value.string_value | ||
| 區碼 (area_code) | area_code | additional.fields.key 和 additional.fields.value.string_value | ||
| 儲存格 ID (cell_id) | cell_id | additional.fields.key 和 additional.fields.value.string_value | ||
| GTP 事件代碼 (event_code) | event_code | additional.fields.key 和 additional.fields.value.string_value | ||
| 來源位置 (srcloc) | principal.location.country_or_region | |||
| 目的地位置 (dstloc) | target.location.country_or_region | |||
| 通道 ID/IMSI (imsi) | tunnelid | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 監控標籤/IMEI (imei) | monitortag | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 開始時間 (開始) | 開始 | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 經過時間 (elapsed) | network.session_duration.seconds | |||
| 通道檢查規則 (tunnel_insp_rule) | tunnel_insp_rule | security_result.detection_fields.key/value | ||
| 遠端使用者 IP (remote_user_ip) | target.ip | |||
| 遠端使用者 ID (remote_user_id) | remote_user_id | target.labels.key 和 target.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 規則的 UUID (rule_uuid) | security_result.rule_id | |||
| PCAP ID (pcap_id) | pcap_id | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 高解析度時間戳記 (high_res_timestamp) | metadata.collected_timestamp,
metadata.event_timestamp (如果沒有「Generate Time」) |
|||
| 區塊服務類型 (nsdsai_sst) | nsdsai_sst | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| Slice 差異化 (nsdsai_sd) | nsdsai_sd | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 應用程式子類別 (subcategory_of_app) | subcategory_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 應用程式類別 (category_of_app) | category_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 應用程式技術 (technology_of_app) | technology_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 應用程式風險 (risk_of_app) | risk_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 應用程式特性 (characteristic_of_app) | characteristic_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 應用程式容器 (container_of_app) | container_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 應用程式 SaaS (is_saas_of_app) | is_saas_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
||
| 應用程式受制裁狀態 (sanctioned_state_of_app) | sanctioned_state_of_app | about.labels.key 和 about.labels.value additional.fields.key 和 additional.fields.value.string_value |
欄位對應參考資料:記錄類型與 UDM 事件類型
下表列出 Palo Alto Networks 防火牆記錄類型及其對應的 UDM 事件類型。
| 記錄類型 | UDM 事件類型 |
| 流量 | NETWORK_CONNECTION |
| 威脅 | NETWORK_CONNECTION |
| 網址篩選 | NETWORK_CONNECTION |
| WildFire | NETWORK_CONNECTION
WildFire 提交記錄是威脅記錄類型的子類型,並使用相同的 syslog 格式。 |
| 資料篩選 | NETWORK_CONNECTION |
| 隧道 | NETWORK_CONNECTION |
| GTP | NETWORK_CONNECTION |
| 設定 | SETTING_MODIFICATION/SETTING_CREATION/SETTING_DELETION/SETTING_UNCATEGORIZED
「Command (cmd)」欄位的值會決定 UDM 事件類型對應。如果 cmd 欄位值為 add 或 clone,系統會設定 SETTING_CREATION。 如果 cmd 欄位值為 delete,系統會設定 SETTING_DELETION。 如果 cmd 欄位值為編輯、移動、重新命名、設定或提交,則會設定 SETTING_MODIFICATION。 如果 cmd 欄位值未包含任何值,則會設定 SETTING_UNCATEGORIZED。 |
| 系統 |
如果子類型值為「dhcp」,則會設定 NETWORK_DHCP。 如果子類型值為「auth」,就會設定 USER_LOGIN。 如果說明值為「已登入」,就會設定 USER_LOGIN。 如果說明值為「logged out」,則會設定 USER_LOGOUT。 如果是其他子類型值,則會設定為 GENERIC_EVENT。 |
| HIP 比對 | NETWORK_CONNECTION |
| IP 代碼 | GENERIC_EVENT |
| User-ID | USER_LOGIN/USER_LOGOUT/USER_UNCATEGORIZED
如果子類型值為「login」,就會設定 USER_LOGIN。 如果子類型值為「logout」,就會設定 USER_LOGOUT。 如果 subtype 不包含任何值,則會設定 USER_UNCATEGORIZED。 |
| 解密 | NETWORK_CONNECTION |
| 驗證 | GENERIC_EVENT |
後續步驟
還有其他問題嗎?向社群成員和 Google SecOps 專家尋求解答。