Palo Alto Networks ファイアウォール ログを収集する
概要
このドキュメントでは、syslog と Google Security Operations フォワーダーを構成して Palo Alto Networks ファイアウォール ログを収集する方法について説明します。また、このドキュメントでは、Palo Alto Networks ファイアウォール ログフィールドが Google Security Operations Unified Data Model(UDM)フィールドにどのようにマッピングするかについても説明します。
Google Security Operations へのデータ取り込みの概要については、Google Security Operations へのデータの取り込みをご覧ください。
取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。このドキュメントの情報は、PAN_FIREWALL 取り込みラベルが付加されたパーサーに適用されます。
始める前に
Palo Alto Networks ファイアウォール製品が適切にデプロイされ、構成されていることを確認します。設定手順の詳細については、PAN-OS のドキュメントをご覧ください。
Palo Alto Networks ファイアウォール ログを収集するためにデプロイされたコンポーネントについて、デプロイ アーキテクチャを確認します。お客様のデプロイはそれぞれこの表現とは異なる可能性があり、より複雑になることがあります。
次の図は、Palo Alto Networks ファイアウォールで syslog を構成し、Linux サーバーに Google Security Operations フォワーダーをインストールして、ログデータを Google Security Operations に転送する方法を示しています。パーサーは、カンマ区切り値(CSV)、Common Event Format(CEF)、Log Event Extended Format(LEEF)のデータ形式で書き込まれたログをサポートしています。
Google Security Operations パーサーがサポートするログ形式と PAN-OS バージョンを確認します。次の表に、Google Security Operations パーサーがサポートするログ形式と対応する PAN-OS バージョンを示します。
ログ形式 PAN-OS バージョン CSV 10.1.3 CEF 10.0.0 LEEF 9.1.0 Google Security Operations パーサーがサポートする Palo Alto Networks ファイアウォール ログタイプを確認します。 Google Security Operations パーサーは、次の Palo Alto Networks ファイアウォール ログタイプをサポートしています。
- トラフィック
- 脅威
- Wildfire の送信
- トンネル検査
- 構成
- システム
- HIP 一致
- IP-Tag
- User-ID
- 復号
- 認証
- URL のフィルタリング
- データのフィルタリング
- GlobalProtect
- 相関
- GTP
Palo Alto Networks ファイアウォール ログタイプの詳細については、PAN-OS ログタイプをご覧ください。
デプロイ アーキテクチャ内のすべてのシステムが、UTC タイムゾーンに構成されていることを確認します。
Palo Alto Networks ファイアウォール パーサーを使用する前に、以前のパーサーと現在の Palo Alto Networks ファイアウォール パーサーにおけるフィールド マッピングの変更を確認してください。 移行の一環として、ルール、検索、ダッシュボード、元のフィールドに依存するその他のプロセスで、更新されたフィールドが使用されることを確認します。
たとえば、以前のパーサー バージョンでは、
categoryログフィールドはsecurity_result.descriptionUDM フィールドにマッピングされます。現在の Palo Alto Networks ファイアウォール パーサーでは、categoryログフィールドはsecurity_result.category_detailsUDM フィールドにマッピングされます。現在の Palo Alto Networks ファイアウォール パーサーに移行して、ルールでcategoryフィールドを使用する場合は、現在のパーサーのsecurity_result.category_detailsUDM フィールドを使用するようにルールを変更する必要があります。
syslog と Google Security Operations フォワーダーを構成する
syslog と Google Security Operations フォワーダーを構成するには、次の手順を行います。
CSV ログをモニタリングするには、Syslog サーバー プロファイルを構成します。詳細については、Syslog サーバー プロファイルを構成するをご覧ください。
Syslog サーバー プロファイルを構成するときに、カスタム ログ形式として「Default」を指定します。
CEF ログをモニタリングするには、CEF ログを転送するように Palo Alto Networks ファイアウォールを構成します。詳細については、PAN-OS CEF 統合ガイドの PDF をダウンロードし、「Configuration of Palo Alto Networks NGFW to output CEF events」セクションをご覧ください。
LEEF ログをモニタリングするには、Syslog サーバー プロファイルを構成します。詳細については、LEEF 形式のカスタムログ転送をご覧ください。
Google Security Operations にログを送信するように Google Security Operations フォワーダーを構成します。詳細については、Linux でのフォワーダーのインストールと構成をご覧ください。Google Security Operations フォワーダーの構成の例を次に示します。
- syslog: common: enabled: true data_type: PAN_FIREWALL batch_n_seconds: 10 batch_n_bytes: 1048576 tcp_address: 0.0.0.0:10518 connection_timeout_sec: 60
サポートされている Palo Alto Networks ファイアウォール ログ形式
Palo Alto Networks ファイアウォール パーサーは、LEEF、CEF、CSV 形式のログをサポートしています。
サポートされている Palo Alto Networks ファイアウォールのサンプルログ
LEEF
<14>Jan 22 02:20:19 device_host LEEF:1.0|Palo Alto Networks|PAN-OS Syslog Integration|10.2.12-h4|Microsoft MSOFFICE(52033)|ReceiveTime=2025/01/22 02:20:18|SerialNumber=01250100xxxx|cat=THREAT|Subtype=wildfire|devTime=Jan 22 2025 08:20:18 GMT|src=198.50.100.1|dst=198.50.100.2|srcPostNAT=198.50.100.3|dstPostNAT=198.50.100.4|RuleName=AZURE-US-NEW-CNF_Inbound_To_Azure-ALLOW|usrName=|SourceUser=|DestinationUser=|Application=smtp-base|VirtualSystem=vsys1|SourceZone=McD-Global-Zone|DestinationZone=Azure-Zone|IngressInterface=ae1.111|EgressInterface=ae2.409|LogForwardingProfile=Default-Traffic-Logging|SessionID=35331795|RepeatCount=1|srcPort=21578|dstPort=25|srcPostNATPort=0|dstPostNATPort=0|Flags=0x2000|proto=tcp|action=allow|Miscellaneous=\"......3...................xls\"|ThreatID=Microsoft MSOFFICE(52033)|URLCategory=malicious|sev=4|Severity=high|Direction=client-to-server|sequence=7462614601465681755|ActionFlags=0x8000000000000000|SourceLocation=198.50.100.1-198.50.100.255|DestinationLocation=United States|ContentType=|PCAP_ID=0|FileDigest=0ea04c99bf188c2e4207f60f92ca7c6f5088c7943ee63f45c50032bbd2bf7ea9|Cloud=demo.com|URLIndex=1|RequestMethod=|FileType=ms-office|Sender=sender@ab.myownpersonaldomain.com|Subject=\"............:.................................................................................-.........(Name)-2025-01-22...............:Y107202501220005, ............:........................, ...............:.........\"|Recipient=abc@demo.myownpersonaldomain.com|ReportID=117022282776|DeviceGroupHierarchyL1=143|DeviceGroupHierarchyL2=144|DeviceGroupHierarchyL3=39|DeviceGroupHierarchyL4=0|vSrcName=|DeviceName=device_host|SrcUUID=|DstUUID=|TunnelID=0|MonitorTag=|ParentSessionID=0|ParentStartTime=|TunnelType=N/A|ThreatCategory=N/A|ContentVer=WildFire-0CEF
14>1 2024-04-04T16:21:56+02:00 FW-PERIMETRAL-AVG-01 - - - - CEF:0|Palo Alto Networks|PAN-OS|10.1.10-h2|end|TRAFFIC|1|src=198.51.100.1 dst=198.51.100.2 srcTranslatedAddress=198.51.100.3 dstTranslatedAddress=198.51.100.4 rule=FW_USER_NATS2_APP suser= duser= app=bittorrent vs=vsys1 sz=INSIDE dz=EXTERNAL InboundInterface=ae2.2266 OutboundInterface=ae1 lp=log_forwarding sid=2935823 cnt=1 spt=6881 dpt=51413 srcTranslatedPort=0 dstTranslatedPort=0 flags=0x7a proto=udp act=allow tbytes=475 in=150 out=325 pkt=2 pktReceived=1 pktSent=1 start=Apr 04 2024 14:21:56 GMT stime=1206 urlcat=any externalId=externalId reason=aged-out DGl1=11 DGl2=161 DGl3=0 DGl4=0 VsysName=STONESOFT dvchost=FW-PERIMETRAL-AVG-01 cat=from-policy ActionFlags=0x8000000000000000 srcUUID= dstUUID= TunnelID=0 MonitorTag= ParentSessionID=0 ParentStartTime= TunnelType=N/A SCTPAssocID=0 SCTPChunks=0 SCTPChunkSent=0 SCTPChunksRcv=0 RuleUUID=746c3eb6-3d51-4679-8438-bd0e00e170a8 HTTP2Con=0 LinkChange=0 PolicyID= LinkDetail= SDWANCluster= SDWANDevice= SDWANClustype= SDWANSite= DynamicUsrgrp= XFFIP= srcDevCat= srcDevProf= srcDevModel= srcDevVendor= srcDevOS= srcDevOSv= srcHostname= srcMac= dstDevCat= dstDevProf= dstDevModel= dstDevVendor= dstDevOS= dstDevOSv= dstHostname= dstMac= ContainerName= PODNamespace= PODName= srcEDL= dstEDL= GPHostID= EPSerial= srcDAG= dstDAG= HASessionOwner= TimeHighRes=2024-04-04T16:21:56.250+02:00 ASServiceType= ASServiceDiff="CSV
1,2021/10/24 15:30:07,,CONFIG,0,2561,2021/10/24 15:30:07,198.51.100.0,,set,admin,Web,Succeeded, network virtual-router VR1,,VR1 { ecmp { algorithm { ip-modulo ; } } protocol { bgp { routing-options { graceful-restart { enable yes; } } enable no; } rip { enable no; } ospf { enable no; } ospfv3 { enable no; } } routing-table { ip { static-route { vr1-log { path-monitor { enable no; failure-condition any; hold-time 2; } nexthop { ip-address 198.51.100.0; } bfd { profile None; } interface ethernet1/1; metric 10; destination 0.0.0.0/0; route-table { unicast ; } } } } } interface [ ethernet1/1 ethernet1/2 ]; } ,7022390503849066572,0x0,0,0,0,0,,PA-VM,0,
フィールド マッピング リファレンス: PAN ファイアウォール ログ フィールドから UDM フィールドへ
このセクションでは、パーサーが Palo Alto Networks ファイアウォール ログフィールドをログタイプごとに Google Security Operations UDM イベント フィールドにマッピングする方法について説明します。
Google Security Operations のラベルキーは、Labels.key UDM フィールドにマッピングされた鍵の名前を参照します。 たとえば、[Virtual System] フィールドの場合、CEF 形式ではフィールド名は「cs3」で、LEEF 形式では「VirtualSystem」です。UDM フィールド「about.labels.key」には値「vsys」が含まれ、UDM フィールド「about.labels.value」にはそのフィールドの値が含まれます。
CEF または LEEF のフィールド名の中には、CSV フィールド名に対応する名前がないものもあります。このような場合、Syslog プロファイルにカスタムログ形式で独自の変数名を追加しても、パーサーはそれを UDM フィールドにマッピングしません。
各ログタイプのマッピング リファレンスについては、次のセクションをご覧ください。
システム
次の表に、システムログタイプのログ フィールドと、対応する UDM フィールドを示します。
| CSV フィールド | CEF フィールド | LEEF フィールド | Google Security Operations のラベルキー | UDM フィールド |
|---|---|---|---|---|
| 受信時間(receive_time または cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp(「生成時間」がない場合) |
|
| シリアル番号(serial) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
| タイプ(タイプ) | タイプ(ヘッダー) | cat | metadata.product_event_type は「%{type} - %{subtype}」に設定されます。 | |
| 脅威/コンテンツの種類(subtype) | サブタイプ(ヘッダー) | サブタイプ | metadata.product_event_type は「%{type} - %{subtype}」に設定されます。 | |
| 時間の生成(time_generated または cef-format-time_generated) | metadata.event_timestamp | |||
| 仮想システム(vsys) | cs3 | VirtualSystem | vsys | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| イベント ID(eventid) | cat | eventid | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| オブジェクト(object) | fname | ファイル名 | オブジェクト | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| モジュール(モジュール) | flexString2 | モジュール | モジュール | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| 重大度(severity) | $number-of-severity(ヘッダー) | 重大度 | security_result.severity と security_result.severity_details | |
| 説明(opaque) | msg | msg | metadata.description | |
| principal_user_userid(このフィールドは msg フィールドから抽出されます) | principal.user.userid | |||
| principal_ip3(このフィールドは msg フィールドから抽出されます) | principal.ip | |||
| Reason(このフィールドは msg フィールドから抽出されます) | security_result.description | |||
| server_address(このフィールドは、msg フィールドから抽出されます) | target.ip | |||
| server_profile(このフィールドは msg フィールドから抽出されます) | additional.fields.key と additional.fields.value.string_value | |||
| シーケンス番号(seqno) | externalId | シーケンス | metadata.product_log_id | |
| アクション フラグ(actionflags) | PanOSActionFlags | ActionFlags | actionflags | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| デバイス グループ階層(dg_hier_level_1 から dg_hier_level_4) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| デバイス グループ階層(dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| デバイス グループ階層(dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| デバイス グループ階層(dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| 仮想システム名(vsys_name) | PanOsVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
| デバイス名(device_name) | dvchost | DeviceName | intermediary.hostname | |
| 高解像度のタイムスタンプ (high_res_timestamp) | anOSTimeGeneratedHighResolution | metadata.collected_timestamp,
metadata.event_timestamp(「生成時間」がない場合) |
構成
次の表に、設定ログタイプのログ フィールドと、対応する UDM フィールドを示します。
| CSV フィールド | CEF フィールド | LEEF フィールド | Google Security Operations のラベルキー | UDM フィールド |
|---|---|---|---|---|
| 受信時間(receive_time または cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp(「生成時間」がない場合) |
|
| シリアル番号(serial) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
| タイプ(タイプ) | タイプ(ヘッダー) | cat | metadata.product_event_type | |
| 脅威/コンテンツの種類(subtype) | サブタイプ(ヘッダー) | metadata.product_event_type | ||
| 時間の生成(time_generated または cef-format-time_generated) | metadata.event_timestamp | |||
| ホスト(host) | shost | src | principal.ip/hostname | |
| 仮想システム(vsys) | cs3 | VirtualSystem | vsys | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| コマンド(cmd) | 対処 | msg | cmd | metadata.description |
| 管理者 (admin) | duser | usrName | principal.user.userid | |
| クライアント(client) | destinationServiceName | クライアント | principal.application | |
| 結果 (result) | シグネチャ ID(Header)(reason) | 結果 | security_result.summary | |
| 構成パス(path) | msg | ConfigurationPath | principal.process.command_line | |
| 変更前の詳細(before_change_detail) | cs1 | BeforeChangeDetail | before_change_detail | target.resource.attribute.labels.key/value |
| 変更後の詳細(after_change_detail) | cs2 | AfterChangeDetail | after_change_detail | target.resource.attribute.labels.key/value |
| シーケンス番号(seqno) | externalId | シーケンス | metadata.product_log_id | |
| アクション フラグ(actionflags) | PanOSActionFlags | ActionFlags | actionflags | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| デバイス グループ階層(dg_hier_level_1 から dg_hier_level_4) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| デバイス グループ階層(dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| デバイス グループ階層(dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| デバイス グループ階層(dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| 仮想システム名(vsys_name) | PanOsVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
| デバイス名(device_name) | dvchost | DeviceName | intermediary.hostname | |
| デバイス グループ(dg_id) | PanOSFWDeviceGroup | dg_id | principal.asset.attribute.labels.key/value | |
| 監査コメント(comment) | PanOSPolicyAuditComment | コメント | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| 重大度(severity) | number-of-severity(ヘッダ) | security_result.severity と security_result.severity_details |
脅威/wildfire
次の表に、ログタイプのログフィールドと、対応する UDM フィールドを示します。
| CSV フィールド | CEF フィールド | LEEF フィールド | Google Security Operations のラベルキー | UDM フィールド |
|---|---|---|---|---|
| 受信時間(receive_time または cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp(「生成時間」がない場合) |
|
| シリアル番号(serial #) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
| タイプ(タイプ) | タイプ(ヘッダー) | cat | metadata.product_event_type | |
| 脅威/コンテンツの種類(subtype) | cat/subtype(ヘッダー) | サブタイプ | metadata.product_event_type | |
| 時間の生成(time_generated または cef-format-time_generated) | metadata.event_timestamp | |||
| 送信元アドレス(src) | src | src | principal.ip | |
| 宛先アドレス(dst) | dst | dst | target.ip | |
| NAT 送信元 IP(natsrc) | sourceTranslatedAddress | srcPostNAT | principal.nat_ip | |
| NAT 宛先 IP(natdst) | destinationTranslatedAddress | dstPostNAT | target.nat_ip | |
| ルール名(rule) | cs1 | RuleName | security_result.rule_name | |
| 送信元ユーザー(srcuser) | suser | SourceUser / usrName | principal.user.userid | |
| 宛先ユーザー(dstuser) | duser | DestinationUser | target.user.userid | |
| アプリケーション (app) | app | Application(アプリケーション) | target.application | |
| 仮想システム(vsys) | cs3 | VirtualSystem | vsys | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| 送信元のゾーン(from) | cs4 | SourceZone | 送信元 | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
| 宛先のゾーン(送信先) | cs5 | DestinationZone | ~ | target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value |
| インバウンドインターフェース(inbound_if) | deviceInboundInterface | IngressInterface | inbound_if | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
| アウトバウンドインターフェース(outbound_if) | deviceOutboundInterface | EgressInterface | outbound_if | target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value |
| ログ アクション(logset) | cs6 | LogForwardingProfile | logset | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| セッション ID(sessionid) | cn1 | SessionID | network.session_id | |
| 繰り返し回数(repeatcnt) | cnt | RepeatCount | repeatcnt | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| 送信元ポート(sport) | spt | srcPort | principal.port | |
| 宛先ポート(dport) | dpt | dstPort | target.port | |
| NAT 送信元ポート(natsport) | sourceTranslatedPort | srcPostNATPort | principal.nat_port | |
| NAT 宛先ポート(natdport) | destinationTranslatedPort | dstPostNATPort | target.nat_port | |
| フラグ(flags) | flexString1 | フラグ | flags | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| IP プロトコル(proto) | proto | proto | network.ip_protocol | |
| アクション (action) | 対処 | action | security_result.action_details
security_result.action |
|
| URL/ファイル名(misc) | request | その他 | target.file.full_path(サブタイプが「ファイル」、「ウィルス」、「Wildfire ウイルス」、「Wildfire」の場合、「misc」フィールドは target.file.full_path にマッピングされます) target.url(サブタイプが「url」の場合、「misc」フィールドは target.url と target.hostname にマッピングされます) target.hostname(サブタイプが「spyware」または「vulnerability」の場合、「misc」フィールドは target.file.full_path と target.url にマッピングされます) |
|
| 脅威/コンテンツ名(threatid) | cat | ThreatID | security_result.threat_name | |
| カテゴリ(category) | cs2 | URL のカテゴリ | security_result.category_details | |
| 重大度(severity) | number-of-severity(ヘッダ) | 重大度 | security_result.severity と security_result.severity_details | |
| 目的地 (direction) | flexString2 | 方向 | network.direction | |
| シーケンス番号(seqno) | externalId | シーケンス | metadata.product_log_id | |
| アクション フラグ(actionflags) | PanOSActionFlags | ActionFlags | actionflags | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| 送信元の国(srcloc) | SourceLocation | principal.location.country_or_region | ||
| 宛先の国(dstloc) | DestinationLocation | target.location.country_or_region | ||
| コンテンツ タイプ (contentType) | ContentType | contenttype | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| PCAP ID(pcap_id) | fileId | PCAP_ID | pcap_id | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| ファイル ダイジェスト(filedigest) | fileHash | FileDigest | about.file.sha1/md5/sha256 | |
| クラウド(cloud) | filePath | クラウド | cloud | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| URL インデックス(url_idx) | URLIndex | url_idx | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| ユーザー エージェント(user_agent) | network.http.user_agent | |||
| File Type(filetype) | File Type | FileType | about.file.mime_type | |
| X-Forwarded-For(XFF) | principal.ip | |||
| リファラー(referer) | network.http.referral_url | |||
| 送信者(sender) | suid | 送信者 | network.email.from | |
| 件名 (件名) | msg | 件名 | network.email.subject | |
| 受信者(rcipient) | duid | 受信者 | network.email.to | |
| レポート ID (reportid) | oldFileId | ReportID | reportid | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| デバイス グループ階層(dg_hier_level_1 から dg_hier_level_4) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| デバイス グループ階層(dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| デバイス グループ階層(dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| デバイス グループ階層(dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| 仮想システム名(vsys_name) | PanOsVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
| デバイス名(device_name) | dvchost | DeviceName | intermediary.hostname | |
| ソース VM UUID(src_uuid) | PanOSSrcUUID | SrcUUID | principal.user.product_object_id | |
| 宛先 VM UUID(dst_uuid) | PanOSDstUUID | DstUUID | target.user.product_object_id | |
| HTTP Method (http_method) | RequestMethod | network.http.method | ||
| トンネル ID/IMSI(tunnelid/imsi) | PanOSTunnelID | TunnelID | tunnel_id/imsi | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| タグ/IMEI のモニタリング(monitortag/imei) | PanOSMonitorTag | MonitorTag | monitortag/imei | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| 親セッション ID(parent_session_id) | PanOSParentSessionID | ParentSessionID | parent_session_id | network.parent_session_id |
| 親セッション開始時間(parent_start_time) | PanOSParentStartTime | ParentStartTime | parent_start_time | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| トンネルタイプ(tunnel) | PanOSTunnelType | TunnelType | トンネル | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| 脅威のカテゴリ(thr_category) | PanOSThreatCategory | ThreatCategory | thr_category | security_result.detection_fields.key/value |
| コンテンツ バージョン(contentver) | PanOSContentVer | ContentVer | contentver | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| SCTP 関連付け ID(assoc_id) | PanOSAssocID | assoc_id | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| ペイロード プロトコル ID(ppid) | PanOSPPID | ppid | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| HTTP ヘッダー(http_headers) | PanOSHTTPHeader | http_headers | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| URL カテゴリリスト(url_category_list) | PanOSURLCatList | url_category_list | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| ルール UUID(rule_uuid) | PanOSRuleUUID | security_result.rule_id | ||
| HTTP/2 接続(http2_connection) | PanOSHTTP2Con | http2_connection | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| 動的ユーザー グループ名(dynusergroup_name) | PanDynamicUsrgrp | dynusergroup_name | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
|
| XFF アドレス(xff_ip) | PanXFFIP | principal.ip | ||
| ソースデバイス カテゴリ(src_category) | PanSrcDeviceCat | src_category | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
|
| ソースデバイス プロファイル(src_profile) | PanSrcDeviceProf | src_profile | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
|
| ソースデバイス モデル(src_model) | PanSrcDeviceModel | src_model | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
|
| ソースデバイス ベンダー(src_vendor) | PanSrcDeviceVendor | src_vendor | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
|
| ソースデバイスの OS ファミリー(src_osfamily) | PanSrcDeviceOS | src_osfamily | principal.asset.platform_software.platform principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
|
| ソースデバイスの OS バージョン(src_osversion) | PanSrcDeviceOSv | principal.asset.software.version | ||
| 送信元ホスト名(src_host) | PanSrcHostname | principal.hostname | ||
| 送信元 MAC アドレス(src_mac) | PanSrcMac | principal.mac | ||
| 宛先デバイス カテゴリ(dst_category) | PanDstDeviceCat | dst_category | target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value |
|
| 宛先デバイス プロファイル(dst_profile) | PanDstDeviceProf | dst_profile | target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value |
|
| 移行先のデバイスモデル(dst_model) | PanDstDeviceModel | dst_model | target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value |
|
| 宛先デバイスのベンダー(dst_vendor) | PanDstDeviceVendor | dst_vendor | target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value |
|
| 宛先デバイス OS ファミリー(dst_osfamily) | PanDstDeviceOS | dst_osfamily | target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value |
|
| 移行先デバイスの OS バージョン(dst_osversion) | PanDstDeviceOSv | target.asset.software.version | ||
| 宛先ホスト名(dst_host) | PanDstHostname | target.hostname | ||
| 宛先 MAC アドレス(dst_mac) | PanDstMac | target.mac | ||
| コンテナ ID (container_id) | PanContainerName | コンテナ ID | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| POD 名前空間(pod_namespace) | PanPODNamespace | pod_namespace | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| POD 名(pod_name) | PanPODName | pod_name | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| 送信元外部動的リスト(src_edl) | PanSrcEDL | src_edl | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| 宛先外部動的リスト(dst_edl) | PanDstEDL | dst_edl | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| ホスト ID(hostid) | PanGPHostID | hostid | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| ユーザー デバイスのシリアル番号(serialnumber) | PanEPSerial | principal.asset.hardware.serial_number | ||
| ドメイン EDL(domain_edl) | PanDomainEDL | domain_edl | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| 送信元動的アドレス グループ(src_dag) | PanSrcDAG | principal.group.group_display_name | ||
| 宛先動的アドレス グループ(dst_dag) | PanDstDAG | target.group.group_display_name | ||
| 部分ハッシュ (partial_hash) | PanPartialHash | partial_hash | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| 高解像度のタイムスタンプ (high_res timestamp) | PanTimeHighRes | high_res timestamp | metadata.collected_timestamp,
metadata.event_timestamp(「生成時間」がない場合) |
|
| 理由 (reason) | PanReasonFilteringAction | reason | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| 正当な理由 (justification) | PanJustification | 理由 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| スライス サービスタイプ(nssai_sst) | PanASServiceType | nssai_sst | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| アプリケーション サブカテゴリ(subcategory_of_app) | subcategory_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| アプリケーション カテゴリ(category_of_app) | category_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| アプリケーション テクノロジー(technology_of_app) | technology_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| アプリケーション リスク(risk_of_app) | risk_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| アプリケーションの特徴 (characteristic_of_app) | characteristic_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| アプリケーション コンテナ(container_of_app) | container_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| アプリケーション SaaS(is_saas_of_app) | is_saas_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| アプリケーション Sanctioned State(sanctioned_state_of_app) | sanctioned_state_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
トラフィック
次の表に、ログタイプのログ フィールドと、対応する UDM フィールドを示します。
| CSV フィールド | CEF フィールド | LEEF フィールド | Google Security Operations のラベルキー | UDM フィールド |
|---|---|---|---|---|
| 受信時間(receive_time または cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp(「生成時間」がない場合) |
|
| シリアル番号(serial) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
| タイプ(タイプ) | タイプ(ヘッダー) | cat/Type | metadata.product_event_type | |
| 脅威/コンテンツの種類(subtype) | サブタイプ(ヘッダー) | サブタイプ | metadata.product_event_type | |
| 時間の生成(time_generated または cef-format-time_generated) | スタート | metadata.event_timestamp | ||
| 送信元アドレス(src) | src | src | principal.ip | |
| 宛先アドレス(dst) | dst | dst | target.ip | |
| NAT 送信元 IP(natsrc) | sourceTranslatedAddress | srcPostNAT | principal.nat_ip | |
| NAT 宛先 IP(natdst) | destinationTranslatedAddress | dstPostNAT | target.nat_ip | |
| ルール名(rule) | cs1 | RuleName | security_result.rule_name | |
| 送信元ユーザー(srcuser) | suser | SourceUser | principal.user.userid | |
| 宛先ユーザー(dstuser) | duser | DestinationUser | target.user.userid | |
| アプリケーション (app) | app | Application(アプリケーション) | target.application | |
| 仮想システム(vsys) | cs3 | VirtualSystem | vsys | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| 送信元のゾーン(from) | cs4 | SourceZone | 送信元 | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
| 宛先のゾーン(送信先) | cs5 | DestinationZone | ~ | target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value |
| インバウンドインターフェース(inbound_if) | deviceInboundInterface | IngressInterface | inbound_if | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
| アウトバウンドインターフェース(outbound_if) | deviceOutboundInterface | EgressInterface | outbound_if | target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value |
| ログ アクション(logset) | cs6 | LogForwardingProfile | logset | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| セッション ID(sessionid) | cn1 | SessionID | network.session_id | |
| 繰り返し回数(repeatcnt) | cnt | RepeatCount | repeatcnt | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| 送信元ポート(sport) | spt | srcPort | principal.port | |
| 宛先ポート(dport) | dpt | dstPort | target.port | |
| NAT 送信元ポート(natsport) | sourceTranslatedPort | srcPostNATPort | principal.nat_port | |
| NAT 宛先ポート(natdport) | destinationTranslatedPort | dstPostNATPort | target.nat_port | |
| フラグ(flags) | flexString1 | フラグ | flags | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| IP プロトコル(proto) | proto | proto | network.ip_protocol | |
| アクション (action) | 対処 | action | security_result.action_details
security_result.action |
|
| バイト(bytes) | flexNumber1 | totalBytes | バイト | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| 送信バイト数(bytes_sent) | in | srcBytes | network.sent_bytes | |
| 受信バイト数(bytes_received) | out | dstBytes | network.received_bytes | |
| パケット数(packets) | cn2 | totalPackets | パケット | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| 開始時刻 (start) | StartTime | スタート | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| 経過時間(elapsed) | cn3 | ElapsedTime | 経過時間 | network.session_duration.seconds |
| カテゴリ(category) | cs2 | URL のカテゴリ | security_result.category / security_result.category_details | |
| シーケンス番号(seqno) | externalId | シーケンス | metadata.product_log_id | |
| アクション フラグ(actionflags) | PanOSActionFlags | ActionFlags | actionflags | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| 送信元の国(srcloc) | SourceLocation | principal.location.country_or_region | ||
| 宛先の国(dstloc) | DestinationLocation | target.location.country_or_region | ||
| 送信パケット数(pkts_sent) | PanOSPacketsSent | srcPackets | pkts_sent | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| 受信パケット数(pkts_Receivedd) | PanOSPacketsReceived | dstPackets | pkts_received | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| セッション終了の理由(session_end_reason) | reason | SessionEndReason | security_result.summary | |
| デバイス グループ階層 1(dg_hier_level_1 から dg_hier_level_4) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| デバイス グループ階層 2(dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| デバイス グループ階層 3(dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| デバイス グループ階層(dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| 仮想システム名(vsys_name) | PanOsVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
| デバイス名(device_name) | dvchost | DeviceName | intermediary.hostname | |
| アクション宛先(action_source) | cat | ActionSource | action_source | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| ソース VM UUID(src_uuid) | PanOSSrcUUID | SrcUUID | principal.asset.product_object_id | |
| 宛先 VM UUID(dst_uuid) | PanOSDstUUID | DstUUID | target.asset.product_object_id | |
| トンネル ID/IMSI(tunnelid/imsi) | PanOSTunnelID | TunnelID | tunnelid/imsi | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| タグ/IMEI のモニタリング(monitortag/imei) | PanOSMonitorTag | MonitorTag | monitortag/imei | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| 親セッション ID(parent_session_id) | PanOSParentSessionID | ParentSessionID | parent_session_id | network.parent_session_id |
| 親開始時間(parent_start_time) | PanOSParentStartTime | ParentStartTime | parent_start_time | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| トンネルタイプ(tunnel) | PanOSTunnelType | TunnelType | トンネル | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| SCTP 関連付け ID(assoc_id) | PanOSSCTPAssocID | assoc_id | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| SCTP チャンク(chunks) | PanOSSCTPChunks | chunks | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| SCTP チャンク送信(chunks_sent) | PanOSSCTPChunkSent | chunks_sent | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| SCTP チャンク受信(chunks_received) | PanOSSCTPChunksRcv | chunks_received | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| ルール UUID(rule_uuid) | PanOSRuleUUID | security_result.rule_id | ||
| HTTP/2 接続(http2_connection) | PanOSHTTP2Con | http2_connection | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| アプリフラップ数(link_change_count) | PanLinkChange | link_change_count | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| ポリシー ID(policy_id) | PanPolicyID | policy_id | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| リンク スイッチ(link_switches) | PanLinkDetail | link_switches | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| SD-WAN クラスタ(sdwan_cluster) | PanSDWANCluster | sdwan_cluster | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| SD-WAN デバイスタイプ(sdwan_device_type) | PanSDWANDevice | sdwan_device_type | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| SD-WAN クラスタタイプ(sdwan_cluster_type) | PanSDWANClustype | sdwan_cluster_type | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| SD-WAN サイト(sdwan_site) | PanSDWANSite | sdwan_site | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| 動的ユーザー グループ名(dynusergroup_name) | PanDynamicUsrgrp | dynusergroup_name | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| XFF アドレス(xff_ip) | PanXFFIP | principal.ip | ||
| ソースデバイス カテゴリ(src_category) | PanSrcDeviceCat | src_category | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
|
| ソースデバイス プロファイル(src_profile) | PanSrcDeviceProf | src_profile | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
|
| ソースデバイス モデル(src_model) | PanSrcDeviceModel | src_model | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
|
| ソースデバイス ベンダー(src_vendor) | PanSrcDeviceVendor | src_vendor | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
|
| ソースデバイスの OS ファミリー(src_osfamily) | PanSrcDeviceOS | principal.asset.platform_software.platform principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
||
| ソースデバイスの OS バージョン(src_osversion) | PanSrcDeviceOSv | principal.asset.software.version | ||
| 送信元ホスト名(src_host) | PanSrcHostname | principal.hostname | ||
| 送信元 MAC アドレス(src_mac) | PanSrcMac | principal.mac | ||
| 宛先デバイス カテゴリ(dst_category) | PanDstDeviceCat | dst_category | target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value |
|
| 宛先デバイス プロファイル(dst_profile) | PanDstDeviceProf | dst_profile | target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value |
|
| 移行先のデバイスモデル(dst_model) | PanDstDeviceModel | dst_model | target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value |
|
| 宛先デバイスのベンダー(dst_vendor) | PanDstDeviceVendor | dst_vendor | target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value |
|
| 宛先デバイス OS ファミリー(dst_osfamily) | PanDstDeviceOS | dst_osfamily | target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value |
|
| 移行先デバイスの OS バージョン(dst_osversion) | PanDstDeviceOSv | target.asset.software.version | ||
| 宛先ホスト名(dst_host) | PanDstHostname | target.hostname | ||
| 宛先 MAC アドレス(dst_mac) | PanDstMac | target.mac | ||
| コンテナ ID (container_id) | PanContainerName | コンテナ ID | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| POD 名前空間(pod_namespace) | PanPODNamespace | pod_namespace | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| POD 名(pod_name) | PanPODName | pod_name | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| 送信元外部動的リスト(src_edl) | PanSrcEDL | src_edl | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
|
| 宛先外部動的リスト(dst_edl) | PanDstEDL | dst_edl | target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value |
|
| ホスト ID(hostid) | PanGPHostID | hostid | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| ユーザー デバイスのシリアル番号(serialnumber) | PanEPSerial | principal.asset.hardware.serial_number | ||
| 送信元動的アドレス グループ(src_dag) | PanSrcDAG | principal.group.group_display_name | ||
| 宛先動的アドレス グループ(dst_dag) | PanDstDAG | target.group.group_display_name | ||
| セッション オーナー(session_owner) | PanHASessionOwner | session_owner | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| 高解像度のタイムスタンプ (high_res_timestamp) | PanTimeHighRes | metadata.collected_timestamp,
metadata.event_timestamp(「生成時間」がない場合) |
||
| スライス サービスタイプ(nsdsai_sst) | PanASServiceType | nsdsai_sst | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| スライスの差別化(nsdsai_sd) | PanASServiceDiff | nsdsai_sd | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| アプリケーション サブカテゴリ(subcategory_of_app) | subcategory_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| アプリケーション カテゴリ(category_of_app) | category_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| アプリケーション テクノロジー(technology_of_app) | technology_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| アプリケーション リスク(risk_of_app) | security_result.severity | |||
| アプリケーションの特徴 (characteristic_of_app) | characteristic_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| アプリケーション コンテナ(container_of_app) | container_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| アプリケーション SaaS(is_saas_of_app) | is_saas_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| アプリケーション Sanctioned State(sanctioned_state_of_app) | sanctioned_state_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| アプリケーション サブカテゴリ(subcategory_of_app) | subcategory_of_app1 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| 重大度(severity) | number-of-severity(ヘッダ) | security_result.severity と security_result.severity_details |
User-ID
次の表に、ユーザー ID ログタイプのログ フィールドと、対応する UDM フィールドを示します。
| CSV フィールド | CEF フィールド | LEEF フィールド | Google Security Operations のラベルキー | UDM フィールド |
|---|---|---|---|---|
| 受信時間(receive_time または cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp(「生成時間」がない場合) |
|
| シリアル番号(serial) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
| タイプ(タイプ) | タイプ(ヘッダー) | cat | metadata.product_event_type | |
| 脅威/コンテンツの種類(subtype) | サブタイプ(ヘッダー) | サブタイプ | metadata.product_event_type | |
| 時間の生成(time_generated または cef-format-time_generated) | metadata.event_timestamp | |||
| 仮想システム(vsys) | cs3 | VirtualSystem | vsys | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| 送信元 IP(ip) | src | src | principal.ip | |
| User (user) | duser | usrName | target.user.userid
target.administrative_domain target.user.email_addresses |
|
| データソース名(datasourcename) | cs4 | DataSourceName | データソース名 | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
| イベント ID(eventid) | EventID | eventid | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| 繰り返し回数(repeatcnt) | cnt | RepeatCount | repeatcnt | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| タイムアウトしきい値(timeout) | cn3 | TimeoutThreshold | timeout | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| 送信元ポート(beginport) | spt | srcPort | principal.port | |
| 宛先ポート(endport) | dpt | dstPort | target.port | |
| データソース(datasource) | cs5 | DataSource | データソース | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
| データソース タイプ(datasource_type) | cs6 | DataSourceType | データソースのタイプ | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
| シーケンス番号(seqno) | externalId | シーケンス | metadata.product_log_id | |
| アクション フラグ(actionflags) | PanOSActionFlags | ActionFlags | actionflags | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| デバイス グループ階層(dg_hier_level_1) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| デバイス グループ階層(dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| デバイス グループ階層(dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| デバイス グループ階層(dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| 仮想システム名(vsys_name) | PanOsVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
| デバイス名(device_name) | dvchost | DeviceName | intermediary.hostname | |
| 仮想システム ID(vsys_id) | cn2 | VirtualSystemID | principal.resource.resource_type=VIRTUAL_MACHINE と principal.resource.product_object_id | |
| 要素タイプ(factortype) | cs1 | FactorType | factortype | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| 要素完了時間(factorcompletetime) | end | FactorCompletionTime | factorcompletetime | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| 要素番号(factorno) | cn1 | FactorNumber | factorno | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| ユーザー グループ フラグ(ugflags) | PanOSUGFlags | ugflags | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| ソース別のユーザー(userbysource) | PanOSUserBySource | principal.user.userid
principal.administrative_domain principal.user.email_addresses |
||
| 高解像度のタイムスタンプ (high_res timestamp) | PanOSTimeGeneratedHighResolution | metadata.collected_timestamp,
metadata.event_timestamp(「生成時間」がない場合) |
||
| 重大度(severity) | number-of-severity(ヘッダ) | security_result.severity と security_result.severity_details |
HIP 一致
次の表に、HIP 一致ログタイプのログ フィールドと、対応する UDM フィールドを示します。
| CSV フィールド | CEF フィールド | LEEF フィールド | Google Security Operations のラベルキー | UDM フィールド |
|---|---|---|---|---|
| 受信時間(receive_time または cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp(「生成時間」がない場合) |
|
| シリアル番号(serial) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
| タイプ(タイプ) | タイプ(ヘッダー) | cat | metadata.product_event_type | |
| 脅威/コンテンツの種類(subtype) | サブタイプ(ヘッダー) | サブタイプ | ||
| 時間の生成(time_generated または cef-format-time_generated) | スタート | startTime | metadata.event_timestamp | |
| 送信元ユーザー(srcuser) | suser | usrName | principal.user.userid | |
| 仮想システム(vsys) | cs3 | VirtualSystem | vsys | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| マシン名(machinename) | shost | identHostName | principal.hostname | |
| オペレーティング システム(OS) | cs2 | OS | principal.asset.platform_software.platform | |
| 送信元アドレス(src) | src | identsrc | principal.ip | |
| HIP(matchname) | cat | HIP | matchname | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| 繰り返し回数(repeatcnt) | cnt | RepeatCount | repeatcnt | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| HIP タイプ(matchtype) | デバイス イベント クラス ID(Header) | HIPType | 一致タイプ | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| シーケンス番号(seqno) | externalId | シーケンス | metadata.product_log_id | |
| アクション フラグ(actionflags) | PanOSActionFlags | ActionFlags | actionflags | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| デバイス グループ階層(dg_hier_level_1) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| デバイス グループ階層(dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| デバイス グループ階層(dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| デバイス グループ階層(dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| 仮想システム名(vsys_name) | PanOsVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
| デバイス名(device_name) | dvchost | DeviceName | intermediary.hostname | |
| 仮想システム ID(vsys_id) | cn2 | VirtualSystemID | principal.resource.resource_type=VIRTUAL_MACHINE と principal.resource.product_object_id | |
| IPv6 システム アドレス(srcipv6) | c6a2 | srcipv6 | principal.asset.ip | |
| ホスト ID(hostid) | PanOSHostID | principal.asset.product_object_id | ||
| ユーザー デバイスのシリアル番号(serialnumber) | PanOSEndpointSerialNumber | principal.asset.hardware.serial_number | ||
| デバイスの MAC アドレス(mac) | PanOSEndpointMac | principal.asset.mac | ||
| 高解像度のタイムスタンプ (high_res_timestamp) | PanOSTimeGeneratedHighResolution | metadata.collected_timestamp,
metadata.event_timestamp(「生成時間」がない場合) |
||
| 重大度(severity) | number-of-severity(ヘッダ) | security_result.severity と security_result.severity_details |
IP タグ
次の表に、IP タグログタイプのログ フィールドと、対応する UDM フィールドを示します。
| CSV フィールド | CEF フィールド | LEEF フィールド | Google Security Operations のラベルキー | UDM フィールド |
|---|---|---|---|---|
| 受信時間(receive_time または cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp(「生成時間」がない場合) |
|
| シリアル番号(serial) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
| タイプ(タイプ) | タイプ(ヘッダー) | cat | metadata.product_event_type | |
| 脅威/コンテンツの種類(subtype) | サブタイプ(ヘッダー) | サブタイプ | metadata.product_event_type | |
| 時間の生成(time_generated または cef-format-time_generated) | GenerateTime | metadata.event_timestamp | ||
| 仮想システム(vsys) | cs3 | VirtualSystem | vsys | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| 送信元 IP(ip) | src | src | principal.ip | |
| タグ名(tag_name) | PanOSTagName | TagName | tag_name | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
| イベント ID(event_id) | PanOSEventID | EventID | event_id | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| 繰り返し回数(repeatcnt) | cnt | RepeatCount | repeatcnt | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| タイムアウト (timeout) | PanOSTimeout | TimeoutThreshold | timeout | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| データソース名(datasourcename) | PanOSDataSourceName | DataSourceName | データソース名 | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
| データソース タイプ(datasource_type) | PanOSDataSourceType | DataSource | datasource_type | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
| データソース サブタイプ(datasource_subtype) | PanOSDataSourceSubType | DataSourceType | datasource_subtype | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
| シーケンス番号(seqno) | externalId | シーケンス | metadata.product_log_id | |
| アクション フラグ(actionflags) | PanOSActionFlags | ActionFlags | actionflags | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| デバイス グループ階層(dg_hier_level_1) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| デバイス グループ階層(dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| デバイス グループ階層(dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| デバイス グループ階層(dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| 仮想システム名(vsys_name) | PanOsVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
| デバイス名(device_name) | dvchost | DeviceName | intermediary.hostname | |
| 仮想システム ID(vsys_id) | cn2 | VirtualSystemID | principal.resource.resource_type=VIRTUAL_MACHINE と principal.resource.product_object_id | |
| 高解像度のタイムスタンプ (high_res timestamp) | PanOSTimeGeneratedHighResolution | metadata.collected_timestamp,
metadata.event_timestamp(「生成時間」がない場合) |
||
| 重大度(severity) | number-of-severity(ヘッダ) | security_result.severity と security_result.severity_details |
復号
次の表に、復号ログタイプのログ フィールドと、対応する UDM フィールドを示します。
| CSV フィールド | CEF フィールド | LEEF フィールド | Google Security Operations のラベルキー | UDM フィールド |
|---|---|---|---|---|
| 受信時間(receive_time または cef-formatted-receive_time) | rt | metadata.collected_timestamp,
metadata.event_timestamp(「生成時間」がない場合) |
||
| シリアル番号(serial) | PanOSDeviceSN | intermediary.asset.hardware.serial_number | ||
| タイプ(タイプ) | タイプ(ヘッダー) | metadata.product_event_type | ||
| 脅威/コンテンツの種類(subtype) | サブタイプ(ヘッダー) | metadata.product_event_type | ||
| 設定バージョン(config_ver) | PanOSConfigVersion | config_ver | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| 生成時間(time_generated) | PanOSLogTimeStamp | metadata.event_timestamp | ||
| 送信元アドレス(src) | src | principal.ip | ||
| 宛先アドレス(dst) | dst | target.ip | ||
| NAT 送信元 IP(natsrc) | sourceTranslatedAddress | principa.nat_ip | ||
| NAT 宛先 IP(natdst) | destinationTranslatedAddress | target.nat_ip | ||
| ルール(rule) | cs1 | security_result.rule_name | ||
| 送信元ユーザー(srcuser) | suser | principal.user.userid | ||
| 宛先ユーザー(dstuser) | duser | target.user.userid | ||
| アプリケーション (app) | app | target.application | ||
| 仮想システム(vsys) | cs3 | vsys | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| 送信元のゾーン(from) | cs4 | 送信元 | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
|
| 宛先のゾーン(送信先) | cs5 | ~ | target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value |
|
| インバウンドインターフェース(inbound_if) | deviceInboundInterface | inbound_if | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
|
| アウトバウンドインターフェース(outbound_if) | deviceOutboundInterface | outbound_if | target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value |
|
| ログ アクション(logset) | cs6 | logset | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| ログに記録される時刻(time_received) | PanOSTimeReceivedManagementPlane | - | ||
| セッション ID(sessionid) | cn1 | network.session_id | ||
| 繰り返し回数(repeatcnt) | PanOSCountOfRepeats/RepeatCount | repeatcnt | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| 送信元ポート(sport) | spt | principal.port | ||
| 宛先ポート(dport) | dpt | target.port | ||
| NAT 送信元ポート(natsport) | sourceTranslatedPort | principal.nat_port | ||
| NAT 宛先ポート(natdport) | destinationTranslatedPort | target.nat_port | ||
| フラグ(flags) | flexString1 | flags | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| IP プロトコル(proto) | proto | network.ip_protocol | ||
| アクション (action) | 対処 | security_result.action_details
security_result.action |
||
| トンネル(tunnel) | PanOSTunnel | トンネル | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| ソース VM UUID(src_uuid) | PanOSSourceUUID | principal.asset.asset_id | ||
| 宛先 VM UUID(dst_uuid) | PanOSDestinationUUID | target.asset.asset_id | ||
| ルールの UUID(rule_uuid) | PanOSRuleUUID | security_result.rule_id | ||
| クライアントからファイアウォールへのステージ(hs_stage_c2f) | PanOSClientToFirewall | hs_stage_c2f | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| ファイアウォールからサーバーまでのステージ(hs_stage_f2s) | PanOSFirewallToServer | hs_stage_f2s | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| TLS バージョン(tls_version) | PanOSTLSVersion | network.tls.version | ||
| Key Exchange アルゴリズム(tls_keyxchg) | PanOSTLSKeyExchange | tls_keyxchg | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| 暗号化アルゴリズム(tls_enc) | PanOSTLSEncryptionAlgorithm | tls_enc | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| ハッシュ アルゴリズム(tls_auth) | PanOSTLSAuth | tls_auth | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| ポリシー名(policy_name) | PanOSPolicyName | policy_name | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| 楕円曲線(ec_curve) | PanOSEllipticCurve | network.tls.curve | ||
| エラーのインデックス(err_index) | PanOSErrorIndex | err_index | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| ルートのステータス(root_status) | PanOSRootStatus | root_status | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| チェーンステータス(chain_status) | PanOSChainStatus | chain_status | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| プロキシの種類(proxy_type) | PanOSProxyType | proxy_type | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| 証明書のシリアル番号(cert_serial) | PanOSCertificateSerial | network.tls.server.certificate.serial | ||
| 証明書フィンガープリント(fingerprint) | PanOSFingerprint | network.tls.server.certificate.md5/sha1/sha256 | ||
| 証明書の開始日(notbefore) | PanOSTimeNotBefore | network.tls.server.certificate.not_before | ||
| 証明書の終了日(notafter) | PanOSTimeNotAfter | network.tls.server.certificate.not_after | ||
| 証明書のバージョン(cert_ver) | PanOSCertificateVersion | network.tls.server.certificate.version | ||
| 証明書のサイズ(cert_size) | PanOSCertificateSize | cert_size | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| 共通名の長さ(cn_len) | PanOSCommonNameLength | cn_len | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| カード発行会社の共通名の長さ(issuer_len) | PanOSIssuerNameLength | issuer_len | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| ルートの共通名の長さ(rootcn_len) | PanOSRootCNLength | rootcn_len | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| SNI の長さ(sni_len) | PanOSSNILength | sni_len | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| 証明書フラグ(cert_flags) | PanOSCertificateFlags | cert_flags | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| サブジェクトの共通名(cn) | PanOSCommonName | cn | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| カード発行会社の共通名(issuer_cn) | PanOSIssuerCommonName | network.tls.server.certificate.issuer | ||
| ルートの共通名(root_cn) | PanOSRootCommonName | root_cn | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| Server Name Indication
(sni) |
network.tls.client.server_name | |||
| エラー(error) | PanOSErrorMessage | エラー | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| コンテナ ID (container_id) | PanOSContainerID | コンテナ ID | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| POD 名前空間(pod_namespace) | PanOSContainerNameSpace | pod_namespace | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| POD 名(pod_name) | PanOSContainerName | pod_name | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| 送信元外部動的リスト(src_edl) | PanOSSourceEDL | src_edl | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
|
| 宛先外部動的リスト(dst_edl) | PanOSDestinationEDL | dst_edl | target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value |
|
| 送信元動的アドレス グループ(src_dag) | PanOSSourceDynamicAddressGroup | principal.group.group_display_name | ||
| 宛先動的アドレス グループ(dst_dag) | PanOSDestinationDynamicAddressGroup | target.group.group_display_name | ||
| 高解像度のタイムスタンプ (high_res_timestamp) | PanOSTimeGeneratedHighResolution | metadata.collected_timestamp,
metadata.event_timestamp(「生成時間」がない場合) |
||
| ソースデバイス カテゴリ(src_category) | PanOSSourceDeviceCategory | src_category | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
|
| ソースデバイス プロファイル(src_profile) | PanOSSourceDeviceProfile | src_profile | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
|
| ソースデバイス モデル(src_model) | PanOSSourceDeviceModel | src_model | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
|
| ソースデバイス ベンダー(src_vendor) | PanOSSourceDeviceVendor | src_vendor | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
|
| ソースデバイスの OS ファミリー(src_osfamily) | PanOSSourceDeviceOSFamily | principal.asset.platform_software.platform principal.labels.key と principal.labels.value |
||
| ソースデバイスの OS バージョン(src_osversion) | PanOSSourceDeviceOSVersion | principal.asset.software.version | ||
| 送信元ホスト名(src_host) | PanOSSourceDeviceHost | principal.hostname | ||
| 送信元 MAC アドレス(src_mac) | PanOSSourceDeviceMac | principal.mac | ||
| 宛先デバイス カテゴリ(dst_category) | PanOSDestinationDeviceCategory | dst_category | target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value |
|
| 宛先デバイス プロファイル(dst_profile) | PanOSDestinationDeviceProfile | dst_profile | target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value |
|
| 移行先のデバイスモデル(dst_model) | PanOSDestinationDeviceModel | dst_model | target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value |
|
| 宛先デバイスのベンダー(dst_vendor) | PanOSDestinationDeviceVendor | dst_vendor | target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value |
|
| 宛先デバイス OS ファミリー(dst_osfamily) | PanOSDestinationDeviceOSFamily | dst_osfamily | target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value |
|
| 移行先デバイスの OS バージョン(dst_osversion) | PanOSDestinationDeviceOSVersion | target.asset.software.version | ||
| 宛先ホスト名(dst_host) | PanOSDestinationDeviceHost | target.hostname | ||
| 宛先 MAC アドレス(dst_mac) | PanOSDestinationDeviceMac | target.mac | ||
| シーケンス番号(seqno) | PanOSLogTypeSeqNo | metadata.product_log_id | ||
| アクション フラグ(actionflags) | PanOSActionFlags | actionflags | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| デバイス グループ階層(dg_hier_level_1) | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| デバイス グループ階層(dg_hier_level_2) | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| デバイス グループ階層(dg_hier_level_3) | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| デバイス グループ階層(dg_hier_level_4) | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| 仮想システム名(vsys_name) | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|||
| デバイス名(device_name) | intermediary.hostname | |||
| 仮想システム ID(vsys_id) | principal.resource.resource_type=VIRTUAL_MACHINE と principal.resource.product_object_id | |||
| アプリケーション サブカテゴリ(subcategory_of_app) | subcategory_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| アプリケーション カテゴリ(category_of_app) | category_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| アプリケーション テクノロジー(technology_of_app) | technology_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| アプリケーション リスク(risk_of_app) | security_result.severity | |||
| アプリケーションの特徴 (characteristic_of_app) | characteristic_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| アプリケーション コンテナ(container_of_app) | container_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| アプリケーション SaaS(is_saas_of_app) | is_saas_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| アプリケーション Sanctioned State(sanctioned_state_of_app) | sanctioned_state_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| 重大度(severity) | number-of-severity(ヘッダ) | security_result.severity と security_result.severity_details |
トンネル
次の表に、トンネルログタイプのログ フィールドと、対応する UDM フィールドを示します。
| CSV フィールド | CEF フィールド | LEEF フィールド | Google Security Operations のラベルキー | UDM フィールド |
|---|---|---|---|---|
| 受信時間(receive_time または cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp(「生成時間」がない場合) |
|
| シリアル番号(serial) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
| タイプ(タイプ) | タイプ(ヘッダー) | cat | metadata.product_event_type | |
| 脅威/コンテンツの種類(subtype) | サブタイプ(ヘッダー) | サブタイプ | metadata.product_event_type | |
| 時間の生成(time_generated または cef-format-time_generated) | metadata.event_timestamp | |||
| 送信元アドレス(src) | src | src | principal.ip | |
| 宛先アドレス(dst) | dst | dst | target.ip | |
| NAT 送信元 IP(natsrc) | sourceTranslatedAddress | srcPostNAT | principal.nat_ip | |
| NAT 宛先 IP(natdst) | destinationTranslatedAddress | dstPostNAT | target.nat_ip | |
| ルール名(rule) | cs1 | RuleName | security_result.rule_name | |
| 送信元ユーザー(srcuser) | suser | SourceUser / usrName | principal.user.userid | |
| 宛先ユーザー(dstuser) | duser | DestinationUser | target.user.userid | |
| アプリケーション (app) | app | Application(アプリケーション) | network.application_protocol | |
| 仮想システム(vsys) | cs3 | VirtualSystem | vsys | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| 送信元のゾーン(from) | cs4 | SourceZone | 送信元 | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
| 宛先のゾーン(送信先) | cs5 | DestinationZone | ~ | target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value |
| インバウンドインターフェース(inbound_if) | deviceInboundInterface | IngressInterface | inbound_if | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
| アウトバウンドインターフェース(outbound_if) | deviceOutboundInterface | EgressInterface | outbound_if | target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value |
| ログ アクション(logset) | cs6 | LogForwardingProfile | logset | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| セッション ID(sessionid) | cn1 | SessionID | network.session_id | |
| 繰り返し回数(repeatcnt) | cnt | RepeatCount | repeatcnt | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| 送信元ポート(sport) | spt | srcPort | principal.port | |
| 宛先ポート(dport) | dpt | dstPort | target.port | |
| NAT 送信元ポート(natsport) | sourceTranslatedPort | srcPostNATPort | principal.nat_port | |
| NAT 宛先ポート(natdport) | destinationTranslatedPort | dstPostNATPort | target.nat_port | |
| フラグ(flags) | flexString1 | フラグ | flags | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| IP プロトコル(proto) | proto | proto | network.ip_protocol | |
| アクション (action) | 対処 | action | security_result.action_details
security_result.action |
|
| 重大度(severity) | number-of-severity(ヘッダ) | security_result.severity と security_result.severity_details | ||
| シーケンス番号(seqno) | externalId | シーケンス | metadata.product_log_id | |
| アクション フラグ(actionflags) | PanOSActionFlags | ActionFlags | actionflags | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| 送信元の場所(srcloc) | principal.location.country_or_region | |||
| 宛先のロケーション(dstloc) | target.location.country_or_region | |||
| デバイス グループ階層(dg_hier_level_1) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| デバイス グループ階層(dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| デバイス グループ階層(dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| デバイス グループ階層(dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| 仮想システム名(vsys_name) | PanOsVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
| デバイス名(device_name) | dvchost | DeviceName | intermediary.hostname | |
| トンネル ID(tunnelid) | PanOSTunnelID | TunnelID | tunnelid | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| タグのモニタリング(monitortag) | PanOSMonitorTag | MonitorTag | monitortag | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| 親セッション ID(parent_session_id) | PanOSParentSessionID | ParentSessionID | parent_session_id | network.parent_session_id |
| 親開始時間(parent_start_time) | PanOSParentStartTime | ParentStartTime | parent_start_time | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| トンネルタイプ(tunnel) | cs2 | TunnelType | トンネル | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| バイト(bytes) | flexNumber1 | totalBytes | バイト | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| 送信バイト数(bytes_sent) | in | srcBytes | network.sent_bytes | |
| 受信バイト数(bytes_received) | out | dstBytes | network.received_bytes | |
| パケット数(packets) | cn2 | totalPackets | パケット | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| 送信パケット数(pkts_sent) | PanOSPacketsSent | srcPackets | pkts_sent | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| 受信パケット数(pkts_Receivedd) | PanOSPacketsReceived | dstPackets | pkts_received | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| 最大カプセル化(max_encap) | flexNumber2 | MaximumEncapsulation | max_encap | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| 不明なプロトコル(unknown_proto) | cfp1 | UnknownProtocol | unknown_proto | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| 厳密なチェック(strict_check) | cfp2 | StrictChecking | strict_check | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| トンネル フラグメント(tunnel_fragment) | PanOSTunnelFragment | TunnelFragment | tunnel_fragment | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| 作成されたセッション(sessions_created) | cfp3 | SessionsCreated | sessions_created | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| 終了したセッション(sessions_closed) | cfp4 | SessionsClosed | sessions_closed | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| セッション終了の理由(session_end_reason) | reason | SessionEndReason | security_result.summary | |
| アクション宛先(action_source) | cat | ActionSource | action_source | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| 開始時刻 (start) | startTime | スタート | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| 経過時間(elapsed) | cn3 | ElapsedTime | 経過時間 | network.session_duration.seconds |
| トンネル検査ルール(tunnel_insp_rule) | PanOSTunneInspectionRule | security_result.rule_name = 「トンネル検査ルール: %{PanOSTunnelInspectionRule}」 | ||
| リモート ユーザー IP(remote_user_ip) | PanOSRmtUserIP | target.ip | ||
| リモート ユーザー ID(remote_user_id) | PanOSRmtUserID | remote_user_id | target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value |
|
| セキュリティ ルール UUID(rule_uuid) | PanOSRuleUUID | security_result.rule_id | ||
| PCAP ID(pcap_id) | PanOSPcapID | pcap_id | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| 動的ユーザー グループ名(dynusergroup_name) | PanDynamicUsrgrp | principal.group.group_display_name | ||
| 送信元外部動的リスト(src_edl) | PanOSSourceEDL | src_edl | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
|
| 宛先外部動的リスト(dst_edl) | PanOSDestinationEDL | dst_edl | target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value |
|
| 高解像度のタイムスタンプ (high_res timestamp) | PanOSTimeGeneratedHighResolution | metadata.collected_timestamp,
metadata.event_timestamp(「生成時間」がない場合) |
||
| スライスの差別化(nssai_sd) | nssai_sd | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| スライス サービスタイプ(nssai_sd) | nssai_sd1 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| PDU セッション ID(pdu_session_id) | pdu_session_id | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| アプリケーション サブカテゴリ(subcategory_of_app) | subcategory_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| アプリケーション カテゴリ(category_of_app) | category_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| アプリケーション テクノロジー(technology_of_app) | technology_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| アプリケーション リスク(risk_of_app) | risk_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| アプリケーションの特徴 (characteristic_of_app) | characteristic_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| アプリケーション コンテナ(container_of_app) | container_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| アプリケーション SaaS(is_saas_of_app) | is_saas_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| アプリケーション Sanctioned State(sanctioned_state_of_app) | sanctioned_state_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
認証
次の表に、認証ログタイプのログ フィールドと、対応する UDM フィールドを示します。
| CSV フィールド | CEF フィールド | LEEF フィールド | Google Security Operations のラベルキー | UDM フィールド |
|---|---|---|---|---|
| 受信時間(receive_time または cef-formatted-receive_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp(「生成時間」がない場合) |
|
| シリアル番号(serial) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
| タイプ(タイプ) | タイプ(ヘッダー) | cat | metadata.product_event_type | |
| 脅威/コンテンツの種類(subtype) | サブタイプ(ヘッダー) | サブタイプ | metadata.product_event_type | |
| 時間の生成(time_generated または cef-format-time_generated) | metadata.event_timestamp | |||
| 仮想システム(vsys) | cs3 | VirtualSystem | vsys | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| 送信元 IP(ip) | src | src | principal.ip | |
| User (user) | duser | usrName | target.user.userid | |
| 正規化ユーザー(normalize_user) | cs2 | NormalizeUser | target.user.user_display_name | |
| オブジェクト(object) | fname | ObjectName | オブジェクト | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| 認証ポリシー(authpolicy) | cs4 | AuthPolicy | authpolicy | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| 繰り返し回数(repeatcnt) | cnt | RepeatCount | repeatcnt | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| 認証 ID(authid) | cn2 | AuthenticationID | authid | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| ベンダー(vendor) | flexString2 | ベンダー | vendor | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| ログ アクション(logset) | cs6 | LogForwardingProfile | logset | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| サーバー プロファイル(serverprofile) | cs1 | ServerProfile | serverprofile | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| 説明(desc) | PanOSDesc | AdditionalAuthInfo | security_result.description | |
| クライアント タイプ(clienttype) | cs5 | ClientType | clienttype | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| イベントタイプ(event) | msg | msg | extensions.auth.auth_details | |
| 要素番号(factorno) | cn1 | FactorNumber | factorno | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| シーケンス番号(seqno) | externalId | シーケンス | metadata.product_log_id | |
| アクション フラグ(actionflags) | PanOSActionFlags | ActionFlags | actionflags | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| デバイス グループ階層(dg_hier_level_1) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| デバイス グループ階層(dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| デバイス グループ階層(dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| デバイス グループ階層(dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| 仮想システム名(vsys_name) | PanOsVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
| デバイス名(device_name) | dvchost | DeviceName | intermediary.hostname | |
| 仮想システム ID(vsys_id) | principal.resource.resource_type=VIRTUAL_MACHINE と principal.resource.product_object_id | |||
| 認証プロトコル(authproto) | authproto | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| ルールの UUID(rule_uuid) | PanOSRuleUUID/RuleUUID | security_result.rule_id | ||
| 高解像度のタイムスタンプ (high_res _timestamp) | PanOSTimeGeneratedHighResolution | metadata.collected_timestamp,
metadata.event_timestamp(「生成時間」がない場合) |
||
| ソースデバイス カテゴリ(src_category) | PanOSSourceDeviceCategory | src_category | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
|
| ソースデバイス プロファイル(src_profile) | PanOSSourceDeviceProfile | src_profile | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
|
| ソースデバイス モデル(src_model) | PanOSSourceDeviceModel | src_model | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
|
| ソースデバイス ベンダー(src_vendor) | PanOSSourceDeviceVendor | src_vendor | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
|
| ソースデバイスの OS ファミリー(src_osfamily) | PanOSSourceDeviceOSFamily | principal.asset.platform_software.platform principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
||
| ソースデバイスの OS バージョン(src_osversion) | PanOSSourceDeviceOSVersion | principal.asset.software.version | ||
| 送信元ホスト名(src_host) | PanOSSourceHostname | principal.hostname | ||
| 送信元 MAC アドレス(src_mac) | PanOSSourceMac | principal.asset.mac | ||
| リージョン (region) | PanOSTrafficOriginRegion | principal.location.country_or_region | ||
| ユーザー エージェント(user_agent) | PanOSHTTPUserAgent | network.http.user_agent | ||
| セッション ID(sessionid) | PanOSTrafficSessionID | network.session_id | ||
| 重大度(severity) | number-of-severity(ヘッダ) | security_result.severity と security_result.severity_details |
URL
次の表に、URL ログタイプのログ フィールドと、対応する UDM フィールドを示します。
| CSV フィールド | CEF フィールド | LEEF フィールド | Google Security Operations のラベルキー | UDM フィールド |
|---|---|---|---|---|
| 受信時間(cef 形式の受信時間) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp(「生成時間」がない場合) |
|
| シリアル番号 (serial) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
| タイプ(タイプ) | タイプ(ヘッダー) | cat | metadata.product_event_type | |
| 脅威/コンテンツの種類(subtype) | サブタイプ(ヘッダー) | サブタイプ | metadata.product_event_type | |
| 生成時間 | metadata.event_timestamp | |||
| 送信元アドレス(src) | src | src | principal.ip | |
| 宛先アドレス(dst) | dst | dst | target.ip | |
| NAT 送信元 IP(natsrc) | sourceTranslatedAddress | srcPostNAT | principal.nat_ip | |
| NAT 宛先 IP(natdst) | destinationTranslatedAddress | dstPostNAT | target.nat_ip | |
| ルール(rule) | cs1 | RuleName | security_result.rule_name | |
| 送信元ユーザー(srcuser) | suser | SourceUser | principal.user.userid | |
| 宛先ユーザー(dstuser) | duser | DestinationUser | target.user.userid | |
| アプリケーション (app) | app | Application(アプリケーション) | network.application_protocol | |
| 仮想システム(vsys) | cs3 | VirtualSystem | vsys | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| 送信元のゾーン(from) | cs4 | SourceZone | 送信元 | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
| 宛先のゾーン(送信先) | cs5 | DestinationZone | ~ | target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value |
| インバウンドインターフェース(inbound_if) | deviceInboundInterface | IngressInterface | inbound_if | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
| アウトバウンドインターフェース(outbound_if) | deviceOutboundInterface | EgressInterface | outbound_if | target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value |
| ログ アクション(logset) | cs6 | LogForwardingProfile | logset | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| ログ時間 | time_logged | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| セッション ID(sessionid) | cn1 | SessionID | network.session_id | |
| 繰り返し回数(repeatcnt) | cnt | RepeatCount | repeatcnt | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| 送信元ポート(sport) | spt | srcPort | principal.port | |
| 宛先ポート(dport) | dpt | dstPort | target.port | |
| NAT 送信元ポート(natsport) | sourceTranslatedPort | srcPostNATPort | principal.nat_port | |
| NAT 宛先ポート(natdport) | destinationTranslatedPort | dstPostNATPort | target.nat_port | |
| フラグ(flags) | flexString1 | フラグ | flags | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| IP プロトコル(proto) | proto | proto | network.ip_protocol | |
| アクション (action) | 対処 | action | security_result.action_details
security_result.action |
|
| URL/ファイル名(misc) | その他 | target.file.full_path
target.url |
||
| 脅威/コンテンツ名(threatid) | cat | ThreatID | security_result.threat_id | |
| カテゴリ(category) | cs2 | URL のカテゴリ | category | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| 重大度(severity) | 重大度(ヘッダ) | 重大度 | security_result.severity
security_result.severity_details |
|
| 目的地 (direction) | flexString2 | 方向 | network.direction | |
| シーケンス番号(seqno) | externalId | シーケンス | metadata.product_log_id | |
| アクション フラグ(actionflags) | PanOSActionFlags | ActionFlags | actionflags | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| 送信元の国(srcloc) | SourceLocation | principal.location.country_or_region | ||
| 宛先の国(dstloc) | DestinationLocation | target.location.country_or_region | ||
| コンテンツ タイプ (contenttype) | requestContext | ContentType | contenttype | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| pcap_id(pcap_id) | fileId | PCAP_ID | pcap_id | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| filedigest(filedigest) | FileDigest | about.file.sha1/md5/sha256 | ||
| クラウド(cloud) | クラウド | cloud | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| url_idx(url_idx) | URLIndex | url_idx | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| user_agent(user_agent) | requestClientApplication | UserAgent | network.http.user_agent | |
| ファイルの種類(filetype) | about.file.mime_type | |||
| xff(xff) | PanOSXForwarderfor | identSrc | xff | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| リファラー(referer) | PanOSReferer | リファラー | network.http.referral_url | |
| 送信者(sender) | network.email.from | |||
| 件名(subject) | 件名 | network.email.subject | ||
| 受信者(recipient) | network.email.to | |||
| reportid (reportid) | reportid | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| DG 階層レベル 1(dg_hier_level_1) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| DG 階層レベル 2(dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| DG 階層レベル 3(dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| DG 階層レベル 4(dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| 仮想システム名(vsys_name) | PanOsVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
| デバイス名(device_name) | dvchost | DeviceName | intermediary.hostname | |
| file_url(file_url) | about.url | |||
| ソース VM UUID(src_uuid) | SrcUUID | principal.asset.asset_id | ||
| 宛先 VM UUID(dst_uuid) | DstUUID | target.asset.asset_id | ||
| http_method (http_method) | requestMethod | RequestMethod | network.http.method | |
| トンネル ID/IMSI (tunnelid) | PanOSTunnelID | TunnelID | tunnelid | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| タグ/IMEI のモニタリング(monitortag) | PanOSMonitorTag | MonitorTag | monitortag | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| 親セッション ID(parent_session_id) | PanOSParentSessionID | ParentSessionID | parent_session_id | network.parent_session_id |
| 親セッション開始時間(parent_start_time) | PanOSParentStartTime | ParentStartTime | parent_start_time | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| トンネル(tunnel) | PanOSTunnelType | TunnelType | トンネル | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| thr_category(thr_category) | PanOSThreatCategory | ThreatCategory | thr_category | security_result.detection_fields.key/value |
| コンバーター(contentver) | PanOSContentVer | ContentVer | contentver | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| sig_flags(sig_flags) | sig_flags | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| SCTP 関連付け ID(assoc_id) | PanOSAssocID | assoc_id | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| ペイロード プロトコル ID(ppid) | PanOSPPID | ppid | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| http_headers(http_headers) | PanOSHTTPHeader | http_headers | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| URL カテゴリリスト(url_category_list) | PanOSURLCatList | url_category_list | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| ルールの UUID(rule_uuid) | PanOSRuleUUID | rule_uuid | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| HTTP/2 接続(http2_connection) | PanOSHTTP2Con | http2_connection | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| dynusergroup_name(dynusergroup_name) | PanDynamicUsrgrp | dynusergroup_name | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| XFF アドレス(xff_ip) | PanXFFIP | principal.ip | ||
| ソースデバイス カテゴリ(src_category) | PanSrcDeviceCat | src_category | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
|
| ソースデバイス プロファイル(src_profile) | PanSrcDeviceProf | src_profile | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
|
| ソースデバイス モデル(src_model) | PanSrcDeviceModel | src_model | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
|
| ソースデバイス ベンダー(src_vendor) | PanSrcDeviceVendor | src_vendor | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
|
| ソースデバイスの OS ファミリー(src_osfamily) | PanSrcDeviceOS | principal.asset.platform_software.platform principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
||
| ソースデバイスの OS バージョン(src_osversion) | PanSrcDeviceOSv | principal.asset.software.version | ||
| 送信元ホスト名(src_host) | PanSrcHostname | src_host | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
|
| 送信元 MAC アドレス(src_mac) | PanSrcMac | principal.mac | ||
| 宛先デバイス カテゴリ(dst_category) | PanDstDeviceCat | dst_category | target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value |
|
| 宛先デバイス プロファイル(dst_profile) | PanDstDeviceProf | dst_profile | target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value |
|
| 移行先のデバイスモデル(dst_model) | PanDstDeviceModel | dst_model | target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value |
|
| 宛先デバイスのベンダー(dst_vendor) | PanDstDeviceVendor | dst_vendor | target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value |
|
| 宛先デバイス OS ファミリー(dst_osfamily) | PanDstDeviceOS | target.asset.platform_software.platform
target.labels.key と target.labels.value |
||
| 移行先デバイスの OS バージョン(dst_osversion) | PanDstDeviceOSv | target.asset.software.version | ||
| 宛先ホスト名(dst_host) | PanPODNamespace | target.hostname | ||
| 宛先 MAC アドレス(dst_mac) | PanDstMac | target.mac | ||
| コンテナ ID (container_id) | PanContainerName | コンテナ ID | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| POD 名前空間(pod_namespace) | PanPODNamespace | pod_namespace | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| POD 名(pod_name) | PanPODName | pod_name | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| 送信元外部動的リスト(src_edl) | PanSrcEDL | src_edl | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
|
| 宛先外部動的リスト(dst_edl) | PanDstEDL | dst_edl | target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value |
|
| ホスト ID(hostid) | PanGPHostID | hostid | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| シリアル番号(serialnumber) | PanEPSerial | principal.asset.hardware.serial_number | ||
| domain_edl(domain_edl) | PanDomainEDL | domain_edl | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| 送信元動的アドレス グループ(src_dag) | PanSrcDAG | principal.group.group_display_name | ||
| 宛先動的アドレス グループ(dst_dag) | PanDstDAG | target.group.group_display_name | ||
| partial_hash (partial_hash) | PanPartialHash | partial_hash | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| 高解像度のタイムスタンプ(high_res_timestamp) | PanTimeHighRes | metadata.collected_timestamp,
metadata.event_timestamp(「生成時間」がない場合) |
||
| 理由 (reason) | PanReasonFilteringAction | reason | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| 正当な理由 (justification) | PanJustification | 理由 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| nssai_sst(nssai_sst) | PanASServiceType | nssai_sst | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| アプリのサブカテゴリ(subcategory_of_app) | subcategory_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| アプリのカテゴリ(category_of_app) | category_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| アプリのテクノロジー(technology_of_app) | technology_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| アプリのリスク(risk_of_app) | risk_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| アプリの特性(characteristic_of_app) | characteristic_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| アプリのコンテナ(container_of_app) | container_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| トンネリングされたアプリ(tunneled_app) | tunneled_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| アプリの SaaS(is_saas_of_app) | is_saas_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| 承認済みアプリ(sanctioned_state_of_app) | sanctioned_state_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
データ
次の表に、データ ログタイプのログ フィールドと、対応する UDM フィールドを示します。
| CSV フィールド | CEF フィールド | LEEF フィールド | Google Security Operations のラベルキー | UDM フィールド |
|---|---|---|---|---|
| 受信時間(cef 形式の受信時間) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp(「生成時間」がない場合) |
|
| シリアル番号 (serial) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
| タイプ(タイプ) | タイプ(ヘッダー) | cat | metadata.product_event_type | |
| 脅威/コンテンツの種類(subtype) | サブタイプ(ヘッダー) | サブタイプ | metadata.product_event_type | |
| 生成時間 | metadata.event_timestamp | |||
| 送信元アドレス(src) | src | src | principal.ip | |
| 宛先アドレス(dst) | dst | dst | target.ip | |
| NAT 送信元 IP(natsrc) | sourceTranslatedAddress | srcPostNAT | principal.nat_ip | |
| NAT 宛先 IP(natdst) | destinationTranslatedAddress | dstPostNAT | target.nat_ip | |
| ルール(rule) | cs1 | RuleName | security_result.rule_name | |
| 送信元ユーザー(srcuser) | suser | SourceUser | principal.user.userid | |
| 宛先ユーザー(dstuser) | duser | DestinationUser | target.user.userid | |
| アプリケーション (app) | app | Application(アプリケーション) | network.application_protocol | |
| 仮想システム(vsys) | cs3 | VirtualSystem | vsys | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| 送信元のゾーン(from) | cs4 | SourceZone | 送信元 | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
| 宛先のゾーン(送信先) | cs5 | DestinationZone | ~ | target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value |
| インバウンドインターフェース(inbound_if) | deviceInboundInterface | IngressInterface | inbound_if | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
| アウトバウンドインターフェース(outbound_if) | deviceOutboundInterface | EgressInterface | outbound_if | target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value |
| ログ アクション(logset) | cs6 | LogForwardingProfile | logset | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| ログ時間 | time_logged | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| セッション ID(sessionid) | cn1 | SessionID | network.session_id | |
| 繰り返し回数(repeatcnt) | cnt | RepeatCount | repeatcnt | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| 送信元ポート(sport) | spt | srcPort | principal.port | |
| 宛先ポート(dport) | dpt | dstPort | target.port | |
| NAT 送信元ポート(natsport) | sourceTranslatedPort | srcPostNATPort | principal.nat_port | |
| NAT 宛先ポート(natdport) | destinationTranslatedPort | dstPostNATPort | target.nat_port | |
| フラグ(flags) | flexString1 | フラグ | flags | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| IP プロトコル(proto) | proto | proto | network.ip_protocol | |
| アクション (action) | 対処 | action | security_result.action_details
security_result.action |
|
| URL/ファイル名(misc) | その他 | target.file.full_path
target.url |
||
| 脅威/コンテンツ名(threatid) | cat | ThreatID | security_result.threat_id | |
| カテゴリ(category) | cs2 | URL のカテゴリ | category | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| 重大度(severity) | 重大度(ヘッダ) | 重大度 | security_result.severity
security_result.severity_details |
|
| 目的地 (direction) | flexString2 | 方向 | network.direction | |
| シーケンス番号(seqno) | externalId | シーケンス | metadata.product_log_id | |
| アクション フラグ(actionflags) | PanOSActionFlags | ActionFlags | actionflags | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| 送信元の国(srcloc) | SourceLocation | principal.location.country_or_region | ||
| 宛先の国(dstloc) | DestinationLocation | target.location.country_or_region | ||
| コンテンツ タイプ (contenttype) | ContentType | contenttype | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| pcap_id(pcap_id) | fileId | PCAP_ID | pcap_id | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| filedigest(filedigest) | FileDigest | about.file.sha1/md5/sha256 | ||
| クラウド(cloud) | クラウド | cloud | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| url_idx(url_idx) | URLIndex | url_idx | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| user_agent(user_agent) | network.http.user_agent | |||
| ファイルの種類(filetype) | about.file.mime_type | |||
| xff(xff) | xff | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| リファラー(referer) | network.http.referral_url | |||
| 送信者(sender) | network.email.from | |||
| 件名(subject) | 件名 | network.email.subject | ||
| 受信者(recipient) | network.email.to | |||
| reportid (reportid) | reportid | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| DG 階層レベル 1(dg_hier_level_1) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| DG 階層レベル 2(dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| DG 階層レベル 3(dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| DG 階層レベル 4(dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| 仮想システム名(vsys_name) | PanOsVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
| デバイス名(device_name) | dvchost | DeviceName | intermediary.hostname | |
| file_url(file_url) | about.url | |||
| ソース VM UUID(src_uuid) | SrcUUID | principal.asset.asset_id | ||
| 宛先 VM UUID(dst_uuid) | DstUUID | target.asset.asset_id | ||
| http_method (http_method) | RequestMethod | network.http.method | ||
| トンネル ID/IMSI (tunnelid) | PanOSTunnelID | TunnelID | tunnelid | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| タグ/IMEI のモニタリング(monitortag) | PanOSMonitorTag | MonitorTag | monitortag | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| 親セッション ID(parent_session_id) | PanOSParentSessionID | ParentSessionID | parent_session_id | network.parent_session_id |
| 親セッション開始時間(parent_start_time) | PanOSParentStartTime | ParentStartTime | parent_start_time | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| トンネル(tunnel) | PanOSTunnelType | TunnelType | トンネル | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| thr_category(thr_category) | PanOSThreatCategory | ThreatCategory | thr_category | security_result.detection_fields.key/value |
| コンバーター(contentver) | PanOSContentVer | ContentVer | contentver | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
| sig_flags(sig_flags) | sig_flags | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| SCTP 関連付け ID(assoc_id) | PanOSAssocID | assoc_id | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| ペイロード プロトコル ID(ppid) | PanOSPPID | ppid | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| http_headers(http_headers) | PanOSHTTPHeader | http_headers | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| URL カテゴリリスト(url_category_list) | url_category_list | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| ルールの UUID(rule_uuid) | PanOSRuleUUID | rule_uuid | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| HTTP/2 接続(http2_connection) | http2_connection | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| dynusergroup_name(dynusergroup_name) | dynusergroup_name | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
||
| XFF アドレス(xff_ip) | principal.ip | |||
| ソースデバイス カテゴリ(src_category) | src_category | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
||
| ソースデバイス プロファイル(src_profile) | src_profile | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
||
| ソースデバイス モデル(src_model) | src_model | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
||
| ソースデバイス ベンダー(src_vendor) | src_vendor | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
||
| ソースデバイスの OS ファミリー(src_osfamily) | principal.asset.platform_software.platform principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
|||
| ソースデバイスの OS バージョン(src_osversion) | principal.asset.software.version | |||
| 送信元ホスト名(src_host) | src_host | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
||
| 送信元 MAC アドレス(src_mac) | principal.mac | |||
| 宛先デバイス カテゴリ(dst_category) | dst_category | target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value |
||
| 宛先デバイス プロファイル(dst_profile) | dst_profile | target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value |
||
| 移行先のデバイスモデル(dst_model) | dst_model | target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value |
||
| 宛先デバイスのベンダー(dst_vendor) | dst_vendor | target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value |
||
| 宛先デバイス OS ファミリー(dst_osfamily) | target.asset.platform_software.platform
target.labels.key と target.labels.value |
|||
| 移行先デバイスの OS バージョン(dst_osversion) | target.asset.software.version | |||
| 宛先ホスト名(dst_host) | target.hostname | |||
| 宛先 MAC アドレス(dst_mac) | target.mac | |||
| コンテナ ID (container_id) | コンテナ ID | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| POD 名前空間(pod_namespace) | pod_namespace | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| POD 名(pod_name) | pod_name | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| 送信元外部動的リスト(src_edl) | src_edl | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
||
| 宛先外部動的リスト(dst_edl) | dst_edl | target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value |
||
| ホスト ID(hostid) | hostid | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| シリアル番号(serialnumber) | principal.asset.hardware.serial_number | |||
| domain_edl(domain_edl) | domain_edl | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| 送信元動的アドレス グループ(src_dag) | principal.group.group_display_name | |||
| 宛先動的アドレス グループ(dst_dag) | target.group.group_display_name | |||
| partial_hash (partial_hash) | partial_hash | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| 高解像度のタイムスタンプ(high_res_timestamp) | metadata.collected_timestamp,
metadata.event_timestamp(「生成時間」がない場合) |
|||
| 理由 (reason) | reason | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| 正当な理由 (justification) | 理由 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| nssai_sst(nssai_sst) | nssai_sst | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| アプリのサブカテゴリ(subcategory_of_app) | subcategory_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| アプリのカテゴリ(category_of_app) | category_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| アプリのテクノロジー(technology_of_app) | technology_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| アプリのリスク(risk_of_app) | risk_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| アプリの特性(characteristic_of_app) | characteristic_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| アプリのコンテナ(container_of_app) | container_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| トンネリングされたアプリ(tunneled_app) | tunneled_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| アプリの SaaS(is_saas_of_app) | is_saas_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| 承認済みアプリ(sanctioned_state_of_app) | sanctioned_state_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
GlobalProtect
次の表に、GlobalProtect ログタイプのログ フィールドと、対応する UDM フィールドを示します。
| CSV フィールド | CEF フィールド | LEEF フィールド | Google Security Operations のラベルキー | UDM フィールド |
|---|---|---|---|---|
| 受信時刻(Received_time) | rt | received_time | metadata.event_timestamp | |
| シリアル番号 (serial) | PanOSDeviceSN | intermediary_asset_hardware_serial_number | intermediary.asset.hardware.serial_number | |
| タイプ(タイプ) | タイプ(ヘッダー) | metadata.product_event_type | ||
| 脅威/コンテンツの種類(subtype) | サブタイプ(ヘッダー) | サブタイプ | metadata.product_event_type | |
| 生成時間(time_generated) | PanOSLogTimeStamp | generated_timestamp | metadata.event_timestamp | |
| 仮想システム(vsys) | PanOSVirtualSystem | vsys | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| イベント ID(eventid) | PanOSEventID | event_id | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| ステージ (stage) | PanOSStage | ステージ | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| 認証方法(auth_method) | PanOSAuthMethod | extension_auth_auth_details | extensions.auth.auth_details | |
| トンネルタイプ(tunnel_type) | PanOSTunnelType | トンネル | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| 送信元ユーザー(srcuser) | PanOSSourceUserName | src_user | principal.user.email_address
principal.user.userid principal.administrative_domain |
|
| 送信元 リージョン(srcregion) | PanOSSourceRegion | src_region | principal.location.country_or_region | |
| マシン名(machinename) | PanOSEndpointDeviceName | machine_name | principal.hostname | |
| パブリック IP(public_ip) | PanOSPublicIPv4 | principal.nat_ip | ||
| パブリック IPv6(public_ipv6) | PanOSPublicIPv6 | principal.nat_ip | ||
| プライベート IP(private_ip) | PanOSPrivateIPv4 | principal.ip | ||
| プライベート IPv6(private_ipv6) | PanOSPrivateIPv6 | principal.ip | ||
| ホスト ID(hostid) | PanOSHostID | hostid | principal.asset.asset_id | |
| シリアル番号(serialnumber) | PanOSDeviceSN | principal.asset.hardware.serial_number | ||
| クライアント バージョン(client_ver) | PanOSGlobalProtectClientVersion | client_ver | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| クライアント OS(client_os) | PanOSEndpointOSType | principal.asset.platform_software.platform(enum) | ||
| クライアント OS バージョン(client_os_ver) | PanOSEndpointOSVersion | principal.asset.platform_software.platform_version | ||
| 繰り返し回数(repeatcnt) | PanOSCountOfRepeats | repeatcnt | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| 理由 (reason) | PanOSQuarantineReason | security_result.summary | ||
| エラー(error) | PanOSConnectionError | エラー | security_result.description | |
| 説明(opaque) | PanOSDescription | security_result.description | ||
| ステータス(status) | PanOSEventStatus | status | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| ロケーション(LOCATION) | PanOSGPGatewayLocation | target.location.country_or_region | ||
| ログイン時間(login_duration) | PanOSLoginDuration | network.session_duration | ||
| コネクトのメソッド(connect_method) | PanOSConnectionMethod | connect_method | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| エラーコード (error_code) | PanOSConnectionErrorID | error_code | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| ポータル(portal) | PanOSPortal | portal | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| シーケンス番号(seqno) | PanOSSequenceNo | metadata.product_log_id | ||
| アクション フラグ(actionflags) | PanOSActionFlags | actionflags | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| 高解像度のタイムスタンプ (high_res_timestamp) | anOSTimeGeneratedHighResolution | metadata.collected_timestamp,
metadata.event_timestamp(「生成時間」がない場合) |
||
| ゲートウェイの選択方法(selection_type) | PanOSGatewaySelectionType | 選択の種類 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| SSL レスポンス時間(response_time) | PanOSSSLResponseTime | response_time | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| ゲートウェイの優先度(proproity) | PanOSGatewayPriority | priority | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| 試行されたゲートウェイ(attempted_gateways) | PanOSAttemptedGateways | attempted_gateways | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| ゲートウェイの名前(gateway) | PanOSAttemptedGateways | ゲートウェイ | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| デバイス グループ階層(dg_hier_level_1) | dg_hier_level_1 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| デバイス グループ階層(dg_hier_level_2) | dg_hier_level_2 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| デバイス グループ階層(dg_hier_level_3) | dg_hier_level_3 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| デバイス グループ階層(dg_hier_level_4) | dg_hier_level_4 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| 仮想システム名(vsys_name) | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|||
| デバイス名(device_name) | target.hostname | |||
| 仮想システム ID(vsys_id) | principal.resource.resource_type=VIRTUAL_MACHINE と principal.resource.product_object_id | |||
| 重大度(severity) | number-of-severity(ヘッダ) | security_result.severity と security_result.severity_details |
相関
次の表に、修正ログタイプのログ フィールドと、対応する UDM フィールドを示します。
| CSV フィールド | CEF フィールド | LEEF フィールド | Google Security Operations のラベルキー | UDM フィールド |
|---|---|---|---|---|
| 時間の生成(time_generated または cef-format-time_generated) | startTime | generated_timestamp | metadata.event_timestamp | |
| 送信元アドレス(src) | src | principal.ip | ||
| 送信元ユーザー(srcuser) | SourceUser / usrName | principal.user.userid | ||
| 仮想システム(vsys) | VirtualSystem | vsys | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
| カテゴリ(category) | security_result.category_details | |||
| 重大度(severity) | 重大度 | security_result.severity と security_result.severity_details | ||
| デバイス グループ階層レベル 1 | DeviceGroupHierarchyL1 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| デバイス グループ階層レベル 2 | DeviceGroupHierarchyL2 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| デバイス グループ階層レベル 3 | DeviceGroupHierarchyL3 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| デバイス グループ階層レベル 4 | DeviceGroupHierarchyL4 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| 仮想システム名(vsys_name) | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
||
| デバイス名(device_name) | DeviceName | intermediary.hostname | ||
| 仮想システム ID(vsys_id) | VirtualSystemID | principal.resource.resource_type=VIRTUAL_MACHINE と principal.resource.product_object_id | ||
| オブジェクト名(objectname) | ObjectName | target.resource.name | ||
| オブジェクト ID(object_id) | ObjectID | target.resource.product_object_id |
GTP
次の表に、gtp ログタイプのログ フィールドと、対応する UDM フィールドを示します。
| CSV フィールド | CEF フィールド | LEEF フィールド | Google Security Operations のラベルキー | UDM フィールド |
|---|---|---|---|---|
| 受信時間(receive_time または cef-formatted-receive_time) | metadata.collected_timestamp,
metadata.event_timestamp(「生成時間」がない場合) |
|||
| シリアル番号(serial) | intermediary.asset.hardware.serial_number | |||
| タイプ(タイプ) | metadata.product_event_type | |||
| 脅威/コンテンツの種類(subtype) | metadata.product_event_type | |||
| 生成時間(time_generated または cef-formatted-time_generated) | metadata.event_timestamp | |||
| 送信元アドレス(src) | principal.ip | |||
| 宛先アドレス(dst) | target.ip | |||
| ルール名(rule) | security_result.rule_name | |||
| アプリケーション(アプリ) | network.application_protocol | |||
| 仮想システム(vsys) | vsys | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| 送信元のゾーン(from) | 送信元 | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
||
| 宛先のゾーン(送信先) | ~ | target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value |
||
| インバウンド インターフェース(inbound_if) | inbound_if | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
||
| アウトバウンド インターフェース(outbound_if) | outbound_if | target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value |
||
| ログ アクション(logset) | logset | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| セッション ID(sessionid) | network.session_id | |||
| 送信元ポート(sport) | principal.port | |||
| 宛先ポート(dport) | target.port | |||
| IP プロトコル(proto) | network.ip_protocol | |||
| アクション(action) | security_result.action_details
security_result.action |
|||
| GTP イベントタイプ(event_type) | gtp_event_type | additional.fields.key と additional.fields.value.string_value | ||
| MSISDN(msisdn) | msisdn | additional.fields.key と additional.fields.value.string_value | ||
| アクセス ポイント名(apn) | apn | additional.fields.key と additional.fields.value.string_value | ||
| 無線アクセス技術(rat) | rat | additional.fields.key と additional.fields.value.string_value | ||
| GTP メッセージ タイプ(msg_type) | gtp_msg_type | additional.fields.key と additional.fields.value.string_value | ||
| 終了 IP アドレス(end_ip_adr) | principal.ip | |||
| トンネル エンドポイント識別子 1(teid1) | teid1 | additional.fields.key と additional.fields.value.string_value | ||
| トンネル エンドポイント識別子 2(teid2) | teid2 | additional.fields.key と additional.fields.value.string_value | ||
| GTP インターフェース(gtp_interface) | gtp_interface | additional.fields.key と additional.fields.value.string_value | ||
| GTP 原因(cause_code) | gtp_cause_code | additional.fields.key と additional.fields.value.string_value | ||
| 重大度(severity) | security_result.severity と security_result.severity_details | |||
| サービング ネットワーク MCC(mcc) | mcc | additional.fields.key と additional.fields.value.string_value | ||
| サービング ネットワーク MNC(mnc) | mnc | additional.fields.key と additional.fields.value.string_value | ||
| 市外局番(area_code) | area_code | additional.fields.key と additional.fields.value.string_value | ||
| セル ID(cell_id) | cell_id | additional.fields.key と additional.fields.value.string_value | ||
| GTP イベントコード(event_code) | event_code | additional.fields.key と additional.fields.value.string_value | ||
| 送信元の場所(srcloc) | principal.location.country_or_region | |||
| 宛先のロケーション(dstloc) | target.location.country_or_region | |||
| トンネル ID/IMSI(imsi) | tunnelid | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| タグ/IMEI のモニタリング(imei) | monitortag | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| 開始時刻(start) | 開始 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| 経過時間(elapsed) | network.session_duration.seconds | |||
| トンネル検査ルール トンネル(tunnel_insp_rule) | tunnel_insp_rule | security_result.detection_fields.key/value | ||
| リモート ユーザー IP(remote_user_ip) | target.ip | |||
| リモート ユーザー ID(remote_user_id) | remote_user_id | target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value |
||
| ルールの UUID(rule_uuid) | security_result.rule_id | |||
| PCAP ID(pcap_id) | pcap_id | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| 高解像度のタイムスタンプ(high_res_timestamp) | metadata.collected_timestamp,
metadata.event_timestamp(「生成時間」がない場合) |
|||
| スライス サービスタイプ(nsdsai_sst) | nsdsai_sst | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| スライスの差別化(nsdsai_sd) | nsdsai_sd | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| アプリケーション サブカテゴリ(subcategory_of_app) | subcategory_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| アプリケーション カテゴリ(category_of_app) | category_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| アプリケーション テクノロジー(technology_of_app) | technology_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| アプリケーション リスク(risk_of_app) | risk_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| アプリケーションの特徴(characteristic_of_app) | characteristic_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| アプリケーション コンテナ(container_of_app) | container_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| アプリケーション SaaS(is_saas_of_app) | is_saas_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
| アプリケーションの承認済み状態(sanctioned_state_of_app) | sanctioned_state_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
フィールド マッピング リファレンス: ログタイプから UDM イベントタイプ
次の表に、Palo Alto Networks ファイアウォールのログタイプと、それぞれに対応する UDM イベントタイプを示します。
| ログタイプ | UDM イベントタイプ |
| トラフィック | NETWORK_CONNECTION |
| 脅威 | NETWORK_CONNECTION |
| URL のフィルタリング | NETWORK_CONNECTION |
| Wildfire | NETWORK_CONNECTION
WildFire 送信ログは、脅威ログタイプのサブタイプであり、同じ syslog 形式を使用します。 |
| データのフィルタリング | NETWORK_CONNECTION |
| トンネル | NETWORK_CONNECTION |
| GTP | NETWORK_CONNECTION |
| Config | SETTING_MODIFICATION/SETTING_CREATION/SETTING_DELETION/SETTING_UNCATEGORIZED
[Command (cmd)] フィールドの値によって、UDM イベントタイプのマッピングが決まります。 cmd フィールドの値が add または clone の場合、SETTING_CREATION が設定されます。 cmd フィールドの値が delete の場合、SETTING_DELETION が設定されます。 cmd フィールドの値が edit、move、rename、set、commit の場合、SETTING_MODIFICATION が設定されます。 cmd フィールドの値に値が含まれていない場合は、SETTING_UNCATEGORIZED が設定されます。 |
| システム |
サブタイプの値が「dhcp」の場合、NETWORK_DHCP が設定されます。 サブタイプの値が「auth」の場合、USER_LOGIN が設定されます。 説明の値が「logged in」の場合、USER_LOGIN が設定されます。 説明の値が「logged out」の場合、USER_LOGOUT が設定されます。 サブタイプのその他の値には、GENERIC_EVENT が設定されます。 |
| HIP Match | NETWORK_CONNECTION |
| IP タグ | GENERIC_EVENT |
| User-ID | USER_LOGIN/USER_LOGOUT/USER_UNCATEGORIZED
サブタイプの値が「login」の場合、USER_LOGIN が設定されます。 サブタイプの値が「logout」の場合、USER_LOGOUT が設定されます。 サブタイプに値が含まれていない場合は、USER_UNCATEGORIZED が設定されます。 |
| 復号 | NETWORK_CONNECTION |
| Authentication | GENERIC_EVENT |
次のステップ
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。