Esta página foi traduzida pela API Cloud Translation.

Recolha registos de firewall da Palo Alto Networks

Compatível com:

Google secops SIEM

Vista geral

Este documento descreve como pode configurar o syslog e um encaminhador do Google Security Operations para recolher registos da firewall da Palo Alto Networks. Este documento também explica como os campos de registo da firewall da Palo Alto Networks são mapeados para os campos do modelo de dados unificado (UDM) do Google Security Operations.

Para uma vista geral acerca da ingestão de dados do Google Security Operations, consulte o artigo Ingestão de dados no Google Security Operations.

Uma etiqueta de carregamento identifica o analisador que normaliza os dados de registo não processados para o formato UDM estruturado. As informações neste documento aplicam-se ao analisador com a etiqueta de carregamento PAN_FIREWALL.

Antes de começar

Certifique-se de que o produto de firewall da Palo Alto Networks está implementado e configurado corretamente. Para ver instruções de configuração detalhadas, consulte a documentação do PAN-OS.
Para compreender os componentes implementados para recolher registos da firewall da Palo Alto Networks, reveja a arquitetura de implementação. Cada implementação do cliente pode diferir desta representação e pode ser mais complexa.

O diagrama seguinte mostra como pode configurar o syslog numa firewall da Palo Alto Networks e instalar um encaminhador do Google Security Operations num servidor Linux para encaminhar dados de registo para o Google Security Operations. O analisador suporta registos escritos nos seguintes formatos de dados: valores separados por vírgulas (CSV), formato de evento comum (CEF) e formato de evento de registo alargado (LEEF).
Valide os formatos de registo e as versões do PAN-OS que o analisador do Google Security Operations suporta. A tabela seguinte indica os formatos de registos e as versões do PAN-OS correspondentes que o analisador do Google Security Operations suporta:

Formato do registo Versão do PAN-OS

CSV 10.1.3

CEF 10.0.0

LEEF 9.1.0
Verifique os tipos de registos da firewall da Palo Alto Networks que o analisador do Google Security Operations suporta. O analisador do Google Security Operations suporta os seguintes tipos de registos de firewall da Palo Alto Networks:
- Trânsito
- Ameaça
- Envios do WildFire
- Inspeção de túneis
- Configuração
- Sistema
- Correspondência de HIP
- IP-Tag
- User-ID
- Desencriptação
- Autenticação
- Filtragem de URLs
- Filtragem de dados
- GlobalProtect
- Correlação
- GTP
Para mais informações sobre os tipos de registos da firewall da Palo Alto Networks, consulte o artigo Tipos de registos do PAN-OS.
Certifique-se de que todos os sistemas na arquitetura de implementação estão configurados no fuso horário UTC.
Antes de usar o analisador do firewall da Palo Alto Networks, reveja as alterações nas associações de campos entre o analisador anterior e o analisador do firewall da Palo Alto Networks atual. Como parte da migração, certifique-se de que as regras, as pesquisas, os painéis de controlo ou outros processos que dependem dos campos originais usam os campos atualizados.

Por exemplo, na versão anterior do analisador, o campo de registo category é mapeado para o campo security_result.description UDM. No analisador do firewall da Palo Alto Networks atual, o campo de registo category é mapeado para o campo UDM security_result.category_details. Se migrar para o analisador de firewall da Palo Alto Networks atual e usar o campo category nas suas regras, tem de modificar as regras para usar o campo security_result.category_details UDM do analisador atual.

Configure o syslog e o encaminhador do Google Security Operations

Para configurar o syslog e o encaminhador do Google Security Operations, conclua os seguintes passos:

Para monitorizar registos CSV, configure o perfil do servidor syslog. Para mais informações, consulte o artigo Configure o perfil do servidor syslog.

Quando configurar o perfil do servidor syslog, especifique "Predefinição" como o formato de registo personalizado.
Para monitorizar registos CEF, configure a firewall da Palo Alto Networks para encaminhar registos CEF. Para mais informações, transfira o PDF do guia de integração do CEF do PAN-OS e consulte a secção "Configuração do NGFW da Palo Alto Networks para gerar eventos CEF".
Para monitorizar registos LEEF, configure o perfil do servidor syslog. Para mais informações, consulte o artigo Encaminhamento de registos personalizados no formato LEEF.
Configure o encaminhador do Google Security Operations para enviar registos para o Google Security Operations. Para mais informações, consulte o artigo Instalar e configurar o encaminhador no Linux. Segue-se um exemplo de uma configuração de encaminhador do Google Security Operations:
```
  - syslog:
      common:
        enabled: true
        data_type: PAN_FIREWALL
        batch_n_seconds: 10
        batch_n_bytes: 1048576
      tcp_address: 0.0.0.0:10518
      connection_timeout_sec: 60
```

Formatos de registo de firewall da Palo Alto Networks suportados

O analisador do firewall da Palo Alto Networks suporta registos nos formatos LEEF,CEF e CSV.

Registos de exemplo de firewall da Palo Alto Networks suportados

LEEF

<14>Jan 22 02:20:19 device_host LEEF:1.0|Palo Alto Networks|PAN-OS Syslog Integration|10.2.12-h4|Microsoft MSOFFICE(52033)|ReceiveTime=2025/01/22 02:20:18|SerialNumber=01250100xxxx|cat=THREAT|Subtype=wildfire|devTime=Jan 22 2025 08:20:18 GMT|src=198.50.100.1|dst=198.50.100.2|srcPostNAT=198.50.100.3|dstPostNAT=198.50.100.4|RuleName=AZURE-US-NEW-CNF_Inbound_To_Azure-ALLOW|usrName=|SourceUser=|DestinationUser=|Application=smtp-base|VirtualSystem=vsys1|SourceZone=McD-Global-Zone|DestinationZone=Azure-Zone|IngressInterface=ae1.111|EgressInterface=ae2.409|LogForwardingProfile=Default-Traffic-Logging|SessionID=35331795|RepeatCount=1|srcPort=21578|dstPort=25|srcPostNATPort=0|dstPostNATPort=0|Flags=0x2000|proto=tcp|action=allow|Miscellaneous=\"......3...................xls\"|ThreatID=Microsoft MSOFFICE(52033)|URLCategory=malicious|sev=4|Severity=high|Direction=client-to-server|sequence=7462614601465681755|ActionFlags=0x8000000000000000|SourceLocation=198.50.100.1-198.50.100.255|DestinationLocation=United States|ContentType=|PCAP_ID=0|FileDigest=0ea04c99bf188c2e4207f60f92ca7c6f5088c7943ee63f45c50032bbd2bf7ea9|Cloud=demo.com|URLIndex=1|RequestMethod=|FileType=ms-office|Sender=sender@ab.myownpersonaldomain.com|Subject=\"............:.................................................................................-.........(Name)-2025-01-22...............:Y107202501220005, ............:........................, ...............:.........\"|Recipient=abc@demo.myownpersonaldomain.com|ReportID=117022282776|DeviceGroupHierarchyL1=143|DeviceGroupHierarchyL2=144|DeviceGroupHierarchyL3=39|DeviceGroupHierarchyL4=0|vSrcName=|DeviceName=device_host|SrcUUID=|DstUUID=|TunnelID=0|MonitorTag=|ParentSessionID=0|ParentStartTime=|TunnelType=N/A|ThreatCategory=N/A|ContentVer=WildFire-0

CEF

14>1 2024-04-04T16:21:56+02:00 FW-PERIMETRAL-AVG-01 - - - - CEF:0|Palo Alto Networks|PAN-OS|10.1.10-h2|end|TRAFFIC|1|src=198.51.100.1 dst=198.51.100.2 srcTranslatedAddress=198.51.100.3 dstTranslatedAddress=198.51.100.4 rule=FW_USER_NATS2_APP suser= duser= app=bittorrent vs=vsys1 sz=INSIDE dz=EXTERNAL InboundInterface=ae2.2266 OutboundInterface=ae1 lp=log_forwarding sid=2935823 cnt=1 spt=6881 dpt=51413 srcTranslatedPort=0 dstTranslatedPort=0 flags=0x7a proto=udp act=allow tbytes=475 in=150 out=325 pkt=2 pktReceived=1 pktSent=1 start=Apr 04 2024 14:21:56 GMT stime=1206 urlcat=any externalId=externalId reason=aged-out DGl1=11 DGl2=161 DGl3=0 DGl4=0 VsysName=STONESOFT dvchost=FW-PERIMETRAL-AVG-01 cat=from-policy ActionFlags=0x8000000000000000 srcUUID= dstUUID= TunnelID=0 MonitorTag= ParentSessionID=0 ParentStartTime= TunnelType=N/A SCTPAssocID=0 SCTPChunks=0 SCTPChunkSent=0 SCTPChunksRcv=0 RuleUUID=746c3eb6-3d51-4679-8438-bd0e00e170a8 HTTP2Con=0 LinkChange=0 PolicyID= LinkDetail= SDWANCluster= SDWANDevice= SDWANClustype= SDWANSite= DynamicUsrgrp= XFFIP= srcDevCat= srcDevProf= srcDevModel= srcDevVendor= srcDevOS= srcDevOSv= srcHostname= srcMac= dstDevCat= dstDevProf= dstDevModel= dstDevVendor= dstDevOS= dstDevOSv= dstHostname= dstMac= ContainerName= PODNamespace= PODName= srcEDL= dstEDL= GPHostID= EPSerial= srcDAG= dstDAG= HASessionOwner= TimeHighRes=2024-04-04T16:21:56.250+02:00 ASServiceType= ASServiceDiff="

CSV

1,2021/10/24 15:30:07,,CONFIG,0,2561,2021/10/24 15:30:07,198.51.100.0,,set,admin,Web,Succeeded, network virtual-router  VR1,,VR1  { ecmp { algorithm { ip-modulo ; } } protocol { bgp { routing-options { graceful-restart { enable yes; } } enable no; } rip { enable no; } ospf { enable no; } ospfv3 { enable no; } } routing-table { ip { static-route { vr1-log  { path-monitor { enable no; failure-condition any; hold-time 2; } nexthop { ip-address 198.51.100.0; } bfd { profile None; } interface ethernet1/1; metric 10; destination 0.0.0.0/0; route-table { unicast ; } } } } } interface [ ethernet1/1 ethernet1/2 ]; } ,7022390503849066572,0x0,0,0,0,0,,PA-VM,0,

Referência de mapeamento de campos: mapeamento de campos de registos da firewall PAN para campos UDM

Esta secção explica como o analisador mapeia os campos de registo da firewall da Palo Alto Networks para os campos de eventos da UDM do Google Security Operations para cada tipo de registo.

A chave da etiqueta do Google Security Operations refere-se ao nome da chave mapeada para o campo UDM Labels.key. Por exemplo, no caso do campo "Sistema virtual", o nome do campo é "cs3" no formato CEF e "VirtualSystem" no formato LEEF. O campo UDM "about.labels.key" contém o valor "vsys" e o campo UDM "about.labels.value" contém o valor desse campo.

Alguns dos nomes dos campos CEF ou LEEF não têm um nome correspondente aos nomes dos campos CSV. Nestes casos, se adicionar o seu próprio nome de variável no formato de registo personalizado no perfil do syslog, o analisador não o mapeia para o campo UDM.

Consulte as secções seguintes para obter uma referência de mapeamento de cada tipo de registo:

Sistema
Config
Ameaça/incêndio florestal
Tráfego
ID do utilizador
Correspondência de HIP
Etiqueta de IP
Desencriptação
Túnel
Autenticação
URL
Dados
GlobalProtect
Correlação
GTP

Sistema

A tabela seguinte apresenta os campos de registo do tipo de registo do sistema e os respetivos campos da UDM.

Campo CSV	Campo CEF	Campo LEEF	Chave de etiqueta do Google Security Operations	Campo UDM
Hora de receção (receive_time ou cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (se "Generate Time" estiver ausente)
Número de série (serial)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Tipo (tipo)	tipo (cabeçalho)	gato		metadata.product_event_type está definido como "%{type} - %{subtype}".
Tipo de ameaça/conteúdo (subtipo)	subtipo (cabeçalho)	Subtipo		metadata.product_event_type está definido como "%{type} - %{subtype}".
Hora de geração (time_generated ou cef-formatted-time_generated)				metadata.event_timestamp
Sistema virtual (vsys)	cs3	VirtualSystem	vsys	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID do evento (eventid)	gato		eventid	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Objeto (objeto)	fname	Nome do ficheiro	objeto	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Módulo (module)	flexString2	Módulo	módulo	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Gravidade (gravidade)	$number-of-severity(header)	Gravidade		security_result.severity e security_result.severity_details
Descrição (opaca)	msg	msg		metadata.description
	principal_user_userid (este campo é extraído do campo msg)			principal.user.userid
	principal_ip3 (este campo é extraído do campo msg)			principal.ip
	Motivo (este campo é extraído do campo msg)			security_result.description
	server_address (Este campo é extraído do campo msg.)			target.ip
	server_profile (Este campo é extraído do campo msg.)			additional.fields.key e additional.fields.value.string_value
Número de sequência (seqno)	externalId	sequência		metadata.product_log_id
Sinalizadores de ações (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hierarquia do grupo de dispositivos (dg_hier_level_1 a dg_hier_level_4)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hierarquia do grupo de dispositivos (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hierarquia do grupo de dispositivos (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hierarquia do grupo de dispositivos (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome do sistema virtual (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nome do dispositivo (device_name)	dvchost	DeviceName		intermediary.hostname
Indicação de tempo de alta resolução (high_res_timestamp)	anOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp (se "Generate Time" estiver ausente)

Configuração

A tabela seguinte lista os campos de registo do tipo de registo de configuração e os respetivos campos do UDM.

Campo CSV	Campo CEF	Campo LEEF	Chave de etiqueta do Google Security Operations	Campo UDM
Hora de receção (receive_time ou cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (se "Generate Time" estiver ausente)
Número de série (serial)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Tipo (tipo)	tipo (cabeçalho)	gato		metadata.product_event_type
Tipo de ameaça/conteúdo (subtipo)	subtipo (cabeçalho)			metadata.product_event_type
Hora de geração (time_generated ou cef-formatted-time_generated)				metadata.event_timestamp
Anfitrião (host)	shost	src		principal.ip/hostname
Sistema virtual (vsys)	cs3	VirtualSystem	vsys	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Comando (cmd)	agir	msg	cmd	metadata.description
Administrador (admin)	duser	usrName		principal.user.userid
Cliente (cliente)	destinationServiceName	cliente		principal.application
Resultado (resultado)	ID da assinatura (cabeçalho)(motivo)	Resultado		security_result.summary
Caminho de configuração (caminho)	msg	ConfigurationPath		principal.process.command_line
Detalhe antes da alteração (before_change_detail)	cs1	BeforeChangeDetail	before_change_detail	target.resource.attribute.labels.key/value
Detalhe da alteração (after_change_detail)	cs2	AfterChangeDetail	after_change_detail	target.resource.attribute.labels.key/value
Número de sequência (seqno)	externalId	sequência		metadata.product_log_id
Sinalizadores de ações (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hierarquia do grupo de dispositivos (dg_hier_level_1 a dg_hier_level_4)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hierarquia do grupo de dispositivos (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hierarquia do grupo de dispositivos (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hierarquia do grupo de dispositivos (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome do sistema virtual (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nome do dispositivo (device_name)	dvchost	DeviceName		intermediary.hostname
Grupo de dispositivos (dg_id)	PanOSFWDeviceGroup		dg_id	principal.asset.attribute.labels.key/value
Comentário de auditoria (comment)	PanOSPolicyAuditComment		comentário	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Gravidade (gravidade)	number-of-severity(header)			security_result.severity e security_result.severity_details

Ameaça/incêndio

A tabela seguinte apresenta os campos de registo do tipo de registo Threat/WildFire e os respetivos campos da UDM.

Campo CSV	Campo CEF	Campo LEEF	Chave de etiqueta do Google Security Operations	Campo UDM
Hora de receção (receive_time ou cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (se "Generate Time" estiver ausente)
Número de série	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Tipo (tipo)	tipo (cabeçalho)	gato		metadata.product_event_type
Tipo de ameaça/conteúdo (subtipo)	cat/subtype (cabeçalho)	Subtipo		metadata.product_event_type
Hora de geração (time_generated ou cef-formatted-time_generated)				metadata.event_timestamp
Endereço de origem (src)	src	src		principal.ip
Endereço de destino (dst)	dst	dst		target.ip
IP de origem da NAT (natsrc)	sourceTranslatedAddress	srcPostNAT		principal.nat_ip
IP de destino da NAT (natdst)	destinationTranslatedAddress	dstPostNAT		target.nat_ip
Nome da regra (regra)	cs1	RuleName		security_result.rule_name
Utilizador de origem (srcuser)	suser	SourceUser / usrName		principal.user.userid
Utilizador de destino (dstuser)	duser	DestinationUser		target.user.userid
Aplicação (app)	app	Aplicação		target.application
Sistema virtual (vsys)	cs3	VirtualSystem	vsys	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Zona de origem (de)	cs4	SourceZone	de	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Zona de destino (para)	cs5	DestinationZone	a	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Interface de entrada (inbound_if)	deviceInboundInterface	IngressInterface	inbound_if	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Interface de saída (outbound_if)	deviceOutboundInterface	EgressInterface	outbound_if	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Ação de registo (logset)	cs6	LogForwardingProfile	logset	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID da sessão (sessionid)	cn1	SessionID		network.session_id
Número de repetições (repeatcnt)	cnt	RepeatCount	repeatcnt	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Porta de origem (sport)	spt	srcPort		principal.port
Porta de destino (dport)	dpt	dstPort		target.port
Porta de origem NAT (natsport)	sourceTranslatedPort	srcPostNATPort		principal.nat_port
Porta de destino NAT (natdport)	destinationTranslatedPort	dstPostNATPort		target.nat_port
Flags (flags)	flexString1	Bandeiras	flags	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Protocolo IP (proto)	proto	proto		network.ip_protocol
Ação (ação)	agir	ação		security_result.action_details security_result.action
URL/nome do ficheiro (diversos)	pedido	Diversos		target.file.full_path (se o subtipo for "file", "virus", "wildfire-virus" ou "wildfire", o campo `misc` é mapeado para target.file.full_path) target.url (se o subtipo for "url", o campo "misc" é mapeado para target.url e target.hostname) target.hostname (se o subtipo for "spyware" ou "vulnerability", o campo `misc` é mapeado para target.file.full_path e target.url)
Nome da ameaça/conteúdo (threatid)	gato	ThreatID		security_result.threat_name
Categoria (categoria)	cs2	URLCategory		security_result.category_details
Gravidade (gravidade)	number-of-severity(header)	Gravidade		security_result.severity e security_result.severity_details
Direção (direction)	flexString2	Direção		network.direction
Número de sequência (seqno)	externalId	sequência		metadata.product_log_id
Sinalizadores de ações (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
País de origem (srcloc)		SourceLocation		principal.location.country_or_region
País de destino (dstloc)		DestinationLocation		target.location.country_or_region
Tipo de conteúdo (contenttype)		ContentType	contenttype	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID do PCAP (pcap_id)	fileId	PCAP_ID	pcap_id	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Resumo do ficheiro (filedigest)	fileHash	FileDigest		about.file.sha1/md5/sha256
Nuvem (nuvem)	filePath	Google Cloud	nuvem	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Índice de URL (url_idx)		URLIndex	url_idx	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Agente do utilizador (user_agent)				network.http.user_agent
Tipo de ficheiro (filetype)	fileType	FileType		about.file.mime_type
X-Forwarded-For (xff)				principal.ip
Referenciador (referer)				network.http.referral_url
Remetente (remetente)	suid	Remetente		network.email.from
Assunto (subject)	msg	Assunto		network.email.subject
Destinatário (destinatário)	duid	Destinatário		network.email.to
ID do relatório (reportid)	oldFileId	ReportID	reportid	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hierarquia do grupo de dispositivos (dg_hier_level_1 a dg_hier_level_4)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hierarquia do grupo de dispositivos (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hierarquia do grupo de dispositivos (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hierarquia do grupo de dispositivos (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome do sistema virtual (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nome do dispositivo (device_name)	dvchost	DeviceName		intermediary.hostname
UUID da VM de origem (src_uuid)	PanOSSrcUUID	SrcUUID		principal.user.product_object_id
UUID da VM de destino (dst_uuid)	PanOSDstUUID	DstUUID		target.user.product_object_id
Método HTTP (http_method)		RequestMethod		network.http.method
ID do túnel/IMSI (tunnel_id/imsi)	PanOSTunnelID	TunnelID	tunnel_id/imsi	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Monitor Tag/IMEI (monitortag/imei)	PanOSMonitorTag	MonitorTag	monitortag/imei	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID da sessão principal (parent_session_id)	PanOSParentSessionID	ParentSessionID	parent_session_id	network.parent_session_id
Hora de início da sessão principal (parent_start_time)	PanOSParentStartTime	ParentStartTime	parent_start_time	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Tipo de túnel (túnel)	PanOSTunnelType	TunnelType	túnel	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Categoria de ameaça (thr_category)	PanOSThreatCategory	ThreatCategory	thr_category	security_result.detection_fields.key/value
Versão do conteúdo (contentver)	PanOSContentVer	ContentVer	contentver	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID de associação SCTP (assoc_id)	PanOSAssocID		assoc_id	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID do protocolo de carga útil (ppid)	PanOSPPID		ppid	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Cabeçalhos HTTP (http_headers)	PanOSHTTPHeader		http_headers	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Lista de categorias de URLs (url_category_list)	PanOSURLCatList		url_category_list	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
UUID da regra (rule_uuid)	PanOSRuleUUID			security_result.rule_id
Ligação HTTP/2 (http2_connection)	PanOSHTTP2Con		http2_connection	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome do grupo de utilizadores dinâmico (dynusergroup_name)	PanDynamicUsrgrp		dynusergroup_name	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Endereço XFF (xff_ip)	PanXFFIP			principal.ip
Categoria do dispositivo de origem (src_category)	PanSrcDeviceCat		src_category	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Perfil do dispositivo de origem (src_profile)	PanSrcDeviceProf		src_profile	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Modelo do dispositivo de origem (src_model)	PanSrcDeviceModel		src_model	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Fornecedor do dispositivo de origem (src_vendor)	PanSrcDeviceVendor		src_vendor	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Família de SO do dispositivo de origem (src_osfamily)	PanSrcDeviceOS		src_osfamily	principal.asset.platform_software.platform principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Versão do SO do dispositivo de origem (src_osversion)	PanSrcDeviceOSv			principal.asset.software.version
Nome do anfitrião de origem (src_host)	PanSrcHostname			principal.hostname
Endereço MAC de origem (src_mac)	PanSrcMac			principal.mac
Categoria do dispositivo de destino (dst_category)	PanDstDeviceCat		dst_category	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Perfil do dispositivo de destino (dst_profile)	PanDstDeviceProf		dst_profile	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Modelo do dispositivo de destino (dst_model)	PanDstDeviceModel		dst_model	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Fornecedor do dispositivo de destino (dst_vendor)	PanDstDeviceVendor		dst_vendor	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Família de SO do dispositivo de destino (dst_osfamily)	PanDstDeviceOS		dst_osfamily	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Versão do SO do dispositivo de destino (dst_osversion)	PanDstDeviceOSv			target.asset.software.version
Nome do anfitrião de destino (dst_host)	PanDstHostname			target.hostname
Endereço MAC de destino (dst_mac)	PanDstMac			target.mac
ID do contentor (container_id)	PanContainerName		container_id	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Espaço de nomes do POD (pod_namespace)	PanPODNamespace		pod_namespace	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome do POD (pod_name)	PanPODName		pod_name	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Lista dinâmica externa de origem (src_edl)	PanSrcEDL		src_edl	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Lista dinâmica externa de destino (dst_edl)	PanDstEDL		dst_edl	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID do anfitrião (hostid)	PanGPHostID		hostid	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Número de série do dispositivo do utilizador (serialnumber)	PanEPSerial			principal.asset.hardware.serial_number
EDL de domínio (domain_edl)	PanDomainEDL		domain_edl	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Grupo de endereços dinâmicos de origem (src_dag)	PanSrcDAG			principal.group.group_display_name
Grupo de endereços dinâmicos de destino (dst_dag)	PanDstDAG			target.group.group_display_name
Hash parcial (partial_hash)	PanPartialHash		partial_hash	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Indicação de tempo de alta resolução (high_res timestamp)	PanTimeHighRes		Data/hora de alta resolução	metadata.collected_timestamp, metadata.event_timestamp (se "Generate Time" estiver ausente)
Motivo (motivo)	PanReasonFilteringAction		motivo	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Justificação (justification)	PanJustification		justificação	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Um tipo de serviço de divisão (nssai_sst)	PanASServiceType		nssai_sst	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Subcategoria da aplicação (subcategory_of_app)			subcategory_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Categoria de aplicações (category_of_app)			category_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Tecnologia de aplicações (technology_of_app)			technology_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Risco da aplicação (risk_of_app)			risk_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Caraterística da aplicação (characteristic_of_app)			characteristic_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Contentor de aplicações (container_of_app)			container_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Aplicação SaaS (is_saas_of_app)			is_saas_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Estado sancionado da aplicação (sanctioned_state_of_app)			sanctioned_state_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value

Trânsito

A tabela seguinte apresenta os campos de registo do tipo de registo de tráfego e os respetivos campos da UDM.

Campo CSV	Campo CEF	Campo LEEF	Chave de etiqueta do Google Security Operations	Campo UDM
Hora de receção (receive_time ou cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (se "Generate Time" estiver ausente)
Número de série (serial)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Tipo (tipo)	tipo (cabeçalho)	cat/Type		metadata.product_event_type
Tipo de ameaça/conteúdo (subtipo)	subtipo (cabeçalho)	Subtipo		metadata.product_event_type
Hora de geração (time_generated ou cef-formatted-time_generated)	iniciar			metadata.event_timestamp
Endereço de origem (src)	src	src		principal.ip
Endereço de destino (dst)	dst	dst		target.ip
IP de origem da NAT (natsrc)	sourceTranslatedAddress	srcPostNAT		principal.nat_ip
IP de destino da NAT (natdst)	destinationTranslatedAddress	dstPostNAT		target.nat_ip
Nome da regra (regra)	cs1	RuleName		security_result.rule_name
Utilizador de origem (srcuser)	suser	SourceUser		principal.user.userid
Utilizador de destino (dstuser)	duser	DestinationUser		target.user.userid
Aplicação (app)	app	Aplicação		target.application
Sistema virtual (vsys)	cs3	VirtualSystem	vsys	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Zona de origem (de)	cs4	SourceZone	de	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Zona de destino (para)	cs5	DestinationZone	a	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Interface de entrada (inbound_if)	deviceInboundInterface	IngressInterface	inbound_if	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Interface de saída (outbound_if)	deviceOutboundInterface	EgressInterface	outbound_if	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Ação de registo (logset)	cs6	LogForwardingProfile	logset	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID da sessão (sessionid)	cn1	SessionID		network.session_id
Número de repetições (repeatcnt)	cnt	RepeatCount	repeatcnt	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Porta de origem (sport)	spt	srcPort		principal.port
Porta de destino (dport)	dpt	dstPort		target.port
Porta de origem NAT (natsport)	sourceTranslatedPort	srcPostNATPort		principal.nat_port
Porta de destino NAT (natdport)	destinationTranslatedPort	dstPostNATPort		target.nat_port
Flags (flags)	flexString1	Bandeiras	flags	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Protocolo IP (proto)	proto	proto		network.ip_protocol
Ação (ação)	agir	ação		security_result.action_details security_result.action
Bytes (bytes)	flexNumber1	totalBytes	bytes	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Bytes enviados (bytes_sent)	em	srcBytes		network.sent_bytes
Bytes recebidos (bytes_received)	sair	dstBytes		network.received_bytes
Pacotes (pacotes)	cn2	totalPackets	pacotes	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hora de início (início)		StartTime	iniciar	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Tempo decorrido (decorrido)	cn3	ElapsedTime	decorrido	network.session_duration.seconds
Categoria (categoria)	cs2	URLCategory		security_result.category / security_result.category_details
Número de sequência (seqno)	externalId	sequência		metadata.product_log_id
Sinalizadores de ações (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
País de origem (srcloc)		SourceLocation		principal.location.country_or_region
País de destino (dstloc)		DestinationLocation		target.location.country_or_region
Pacotes enviados (pkts_sent)	PanOSPacketsSent	srcPackets	pkts_sent	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Pacotes recebidos (pkts_received)	PanOSPacketsReceived	dstPackets	pkts_received	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Motivo do fim da sessão (session_end_reason)	motivo	SessionEndReason		security_result.summary
Hierarquia do grupo de dispositivos 1 (dg_hier_level_1 a dg_hier_level_4)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hierarquia do grupo de dispositivos 2 (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hierarquia do grupo de dispositivos3 (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hierarquia do grupo de dispositivos (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome do sistema virtual (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nome do dispositivo (device_name)	dvchost	DeviceName		intermediary.hostname
Origem da ação (action_source)	gato	ActionSource	action_source	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
UUID da VM de origem (src_uuid)	PanOSSrcUUID	SrcUUID		principal.asset.product_object_id
UUID da VM de destino (dst_uuid)	PanOSDstUUID	DstUUID		target.asset.product_object_id
Tunnel ID/IMSI (tunnelid/imsi)	PanOSTunnelID	TunnelID	tunnelid/imsi	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Monitor Tag/IMEI (monitortag/imei)	PanOSMonitorTag	MonitorTag	monitortag/imei	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID da sessão principal (parent_session_id)	PanOSParentSessionID	ParentSessionID	parent_session_id	network.parent_session_id
Hora de início principal (parent_start_time)	PanOSParentStartTime	ParentStartTime	parent_start_time	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Tipo de túnel (túnel)	PanOSTunnelType	TunnelType	túnel	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID de associação SCTP (assoc_id)	PanOSSCTPAssocID		assoc_id	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Blocos SCTP (blocos)	PanOSSCTPChunks		pedaços	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
SCTP Chunks Sent (chunks_sent)	PanOSSCTPChunkSent		chunks_sent	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
SCTP Chunks Received (chunks_received)	PanOSSCTPChunksRcv		chunks_received	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
UUID da regra (rule_uuid)	PanOSRuleUUID			security_result.rule_id
Ligação HTTP/2 (http2_connection)	PanOSHTTP2Con		http2_connection	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Número de alterações rápidas da app (link_change_count)	PanLinkChange		link_change_count	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID da política (policy_id)	PanPolicyID		policy_id	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Interruptores de links (link_switches)	PanLinkDetail		link_switches	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Cluster SD-WAN (sdwan_cluster)	PanSDWANCluster		sdwan_cluster	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Tipo de dispositivo SD-WAN (sdwan_device_type)	PanSDWANDevice		sdwan_device_type	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Tipo de cluster SD-WAN (sdwan_cluster_type)	PanSDWANClustype		sdwan_cluster_type	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Site SD-WAN (sdwan_site)	PanSDWANSite		sdwan_site	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome do grupo de utilizadores dinâmico (dynusergroup_name)	PanDynamicUsrgrp		dynusergroup_name	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Endereço XFF (xff_ip)	PanXFFIP			principal.ip
Categoria do dispositivo de origem (src_category)	PanSrcDeviceCat		src_category	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Perfil do dispositivo de origem (src_profile)	PanSrcDeviceProf		src_profile	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Modelo do dispositivo de origem (src_model)	PanSrcDeviceModel		src_model	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Fornecedor do dispositivo de origem (src_vendor)	PanSrcDeviceVendor		src_vendor	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Família de SO do dispositivo de origem (src_osfamily)	PanSrcDeviceOS			principal.asset.platform_software.platform principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Versão do SO do dispositivo de origem (src_osversion)	PanSrcDeviceOSv			principal.asset.software.version
Nome do anfitrião de origem (src_host)	PanSrcHostname			principal.hostname
Endereço MAC de origem (src_mac)	PanSrcMac			principal.mac
Categoria do dispositivo de destino (dst_category)	PanDstDeviceCat		dst_category	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Perfil do dispositivo de destino (dst_profile)	PanDstDeviceProf		dst_profile	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Modelo do dispositivo de destino (dst_model)	PanDstDeviceModel		dst_model	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Fornecedor do dispositivo de destino (dst_vendor)	PanDstDeviceVendor		dst_vendor	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Família de SO do dispositivo de destino (dst_osfamily)	PanDstDeviceOS		dst_osfamily	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Versão do SO do dispositivo de destino (dst_osversion)	PanDstDeviceOSv			target.asset.software.version
Nome do anfitrião de destino (dst_host)	PanDstHostname			target.hostname
Endereço MAC de destino (dst_mac)	PanDstMac			target.mac
ID do contentor (container_id)	PanContainerName		container_id	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Espaço de nomes do POD (pod_namespace)	PanPODNamespace		pod_namespace	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome do POD (pod_name)	PanPODName		pod_name	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Lista dinâmica externa de origem (src_edl)	PanSrcEDL		src_edl	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Lista dinâmica externa de destino (dst_edl)	PanDstEDL		dst_edl	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
ID do anfitrião (hostid)	PanGPHostID		hostid	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Número de série do dispositivo do utilizador (serialnumber)	PanEPSerial			principal.asset.hardware.serial_number
Grupo de endereços dinâmicos de origem (src_dag)	PanSrcDAG			principal.group.group_display_name
Grupo de endereços dinâmicos de destino (dst_dag)	PanDstDAG			target.group.group_display_name
Proprietário da sessão (session_owner)	PanHASessionOwner		session_owner	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Indicação de tempo de alta resolução (high_res_timestamp)	PanTimeHighRes			metadata.collected_timestamp, metadata.event_timestamp (se "Generate Time" estiver ausente)
Um tipo de serviço de divisão (nsdsai_sst)	PanASServiceType		nsdsai_sst	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Um diferenciador de fatia (nsdsai_sd)	PanASServiceDiff		nsdsai_sd	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Subcategoria da aplicação (subcategory_of_app)			subcategory_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Categoria de aplicações (category_of_app)			category_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Tecnologia de aplicações (technology_of_app)			technology_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Risco da aplicação (risk_of_app)				security_result.severity
Caraterística da aplicação (characteristic_of_app)			characteristic_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Contentor de aplicações (container_of_app)			container_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Aplicação SaaS (is_saas_of_app)			is_saas_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Estado sancionado da aplicação (sanctioned_state_of_app)			sanctioned_state_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Subcategoria da aplicação (subcategory_of_app)			subcategory_of_app1	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Gravidade (gravidade)	number-of-severity(header)			security_result.severity e security_result.severity_details

User-ID

A tabela seguinte apresenta os campos de registo do tipo de registo user-id e os respetivos campos da UDM.

Campo CSV	Campo CEF	Campo LEEF	Chave de etiqueta do Google Security Operations	Campo UDM
Hora de receção (receive_time ou cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (se "Generate Time" estiver ausente)
Número de série (serial)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Tipo (tipo)	tipo (cabeçalho)	gato		metadata.product_event_type
Tipo de ameaça/conteúdo (subtipo)	subtipo (cabeçalho)	Subtipo		metadata.product_event_type
Hora de geração (time_generated ou cef-formatted-time_generated)				metadata.event_timestamp
Sistema virtual (vsys)	cs3	VirtualSystem	vsys	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
IP de origem (ip)	src	src		principal.ip
Utilizador (user)	duser	usrName		target.user.userid target.administrative_domain target.user.email_addresses
Nome da origem de dados (datasourcename)	cs4	DataSourceName	datasourcename	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
ID do evento (eventid)		EventID	eventid	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Número de repetições (repeatcnt)	cnt	RepeatCount	repeatcnt	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Limite de tempo (tempo limite)	cn3	TimeoutThreshold	tempo limite excedido	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Porta de origem (beginport)	spt	srcPort		principal.port
Porta de destino (endport)	dpt	dstPort		target.port
Origem de dados	cs5	DataSource	origem de dados	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Tipo de origem de dados (datasourcetype)	cs6	DataSourceType	datasourcetype	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Número de sequência (seqno)	externalId	sequência		metadata.product_log_id
Sinalizadores de ações (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hierarquia do grupo de dispositivos (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hierarquia do grupo de dispositivos (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hierarquia do grupo de dispositivos (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hierarquia do grupo de dispositivos (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome do sistema virtual (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nome do dispositivo (device_name)	dvchost	DeviceName		intermediary.hostname
ID do sistema virtual (vsys_id)	cn2	VirtualSystemID		principal.resource.resource_type=VIRTUAL_MACHINE e principal.resource.product_object_id
Tipo de fator (factortype)	cs1	FactorType	factortype	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Tempo de conclusão do fator (factorcompletiontime)	fim	FactorCompletionTime	factorcompletiontime	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Número do fator (factorno)	cn1	FactorNumber	factorno	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
User Group Flags (ugflags)	PanOSUGFlags		ugflags	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Utilizador por origem (userbysource)	PanOSUserBySource			principal.user.userid principal.administrative_domain principal.user.email_addresses
Indicação de tempo de alta resolução (high_res timestamp)	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp (se "Generate Time" estiver ausente)
Gravidade (gravidade)	number-of-severity(header)			security_result.severity e security_result.severity_details

Correspondência de HIP

A tabela seguinte apresenta os campos de registo do tipo de registo de correspondência de HIP e os respetivos campos de UDM.

Campo CSV	Campo CEF	Campo LEEF	Chave de etiqueta do Google Security Operations	Campo UDM
Hora de receção (receive_time ou cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (se "Generate Time" estiver ausente)
Número de série (serial)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Tipo (tipo)	tipo (cabeçalho)	gato		metadata.product_event_type
Tipo de ameaça/conteúdo (subtipo)	subtipo (cabeçalho)	Subtipo
Hora de geração (time_generated ou cef-formatted-time_generated)	iniciar	startTime		metadata.event_timestamp
Utilizador de origem (srcuser)	suser	usrName		principal.user.userid
Sistema virtual (vsys)	cs3	VirtualSystem	vsys	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome do computador (machinename)	shost	identHostName		principal.hostname
Sistema operativo (os)	cs2	SO		principal.asset.platform_software.platform
Endereço de origem (src)	src	identsrc		principal.ip
HIP (matchname)	gato	HIP	matchname	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Número de repetições (repeatcnt)	cnt	RepeatCount	repeatcnt	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Tipo de HIP (matchtype)	ID da classe do evento do dispositivo (cabeçalho)	HIPType	matchtype	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Número de sequência (seqno)	externalId	sequência		metadata.product_log_id
Sinalizadores de ações (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hierarquia do grupo de dispositivos (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hierarquia do grupo de dispositivos (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hierarquia do grupo de dispositivos (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hierarquia do grupo de dispositivos (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome do sistema virtual (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nome do dispositivo (device_name)	dvchost	DeviceName		intermediary.hostname
ID do sistema virtual (vsys_id)	cn2	VirtualSystemID		principal.resource.resource_type=VIRTUAL_MACHINE e principal.resource.product_object_id
Endereço do sistema IPv6 (srcipv6)	c6a2	srcipv6		principal.asset.ip
ID do anfitrião (hostid)	PanOSHostID			principal.asset.product_object_id
Número de série do dispositivo do utilizador (serialnumber)	PanOSEndpointSerialNumber			principal.asset.hardware.serial_number
Endereço MAC do dispositivo (mac)	PanOSEndpointMac			principal.asset.mac
Indicação de tempo de alta resolução (high_res_timestamp)	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp (se "Generate Time" estiver ausente)
Gravidade (gravidade)	number-of-severity(header)			security_result.severity e security_result.severity_details

Etiqueta de IP

A tabela seguinte apresenta os campos de registo do tipo de registo de etiquetas de IP e os respetivos campos da UDM.

Campo CSV	Campo CEF	Campo LEEF	Chave de etiqueta do Google Security Operations	Campo UDM
Hora de receção (receive_time ou cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (se "Generate Time" estiver ausente)
Número de série (serial)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Tipo (tipo)	tipo (cabeçalho)	gato		metadata.product_event_type
Tipo de ameaça/conteúdo (subtipo)	subtipo (cabeçalho)	Subtipo		metadata.product_event_type
Hora de geração (time_generated ou cef-formatted-time_generated)		GenerateTime		metadata.event_timestamp
Sistema virtual (vsys)	cs3	VirtualSystem	vsys	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
IP de origem (ip)	src	src		principal.ip
Nome da etiqueta (tag_name)	PanOSTagName	TagName	tag_name	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
ID do evento (event_id)	PanOSEventID	EventID	event_id	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Número de repetições (repeatcnt)	cnt	RepeatCount	repeatcnt	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Limite de tempo (timeout)	PanOSTimeout	TimeoutThreshold	tempo limite excedido	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome da origem de dados (datasourcename)	PanOSDataSourceName	DataSourceName	datasourcename	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Tipo de origem de dados (datasource_type)	PanOSDataSourceType	DataSource	datasource_type	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Subtipo da origem de dados (datasource_subtype)	PanOSDataSourceSubType	DataSourceType	datasource_subtype	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Número de sequência (seqno)	externalId	sequência		metadata.product_log_id
Sinalizadores de ações (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hierarquia do grupo de dispositivos (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hierarquia do grupo de dispositivos (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hierarquia do grupo de dispositivos (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hierarquia do grupo de dispositivos (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome do sistema virtual (vsys_name)	PanOsVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nome do dispositivo (device_name)	dvchost	DeviceName		intermediary.hostname
ID do sistema virtual (vsys_id)	cn2	VirtualSystemID		principal.resource.resource_type=VIRTUAL_MACHINE e principal.resource.product_object_id
Indicação de tempo de alta resolução (high_res timestamp)	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp (se "Generate Time" estiver ausente)
Gravidade (gravidade)	number-of-severity(header)			security_result.severity e security_result.severity_details

Desencriptação

A tabela seguinte apresenta os campos de registo do tipo de registo de desencriptação e os respetivos campos UDM.

Campo CSV	Campo CEF	Campo LEEF	Chave de etiqueta do Google Security Operations	Campo UDM
Hora de receção (receive_time ou cef-formatted-receive_time)	rt			metadata.collected_timestamp, metadata.event_timestamp (se "Generate Time" estiver ausente)
Número de série (serial)	PanOSDeviceSN			intermediary.asset.hardware.serial_number
Tipo (tipo)	tipo (cabeçalho)			metadata.product_event_type
Tipo de ameaça/conteúdo (subtipo)	subtipo (cabeçalho)			metadata.product_event_type
Versão da configuração (config_ver)	PanOSConfigVersion		config_ver	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hora de geração (time_generated)	PanOSLogTimeStamp			metadata.event_timestamp
Endereço de origem (src)	src			principal.ip
Endereço de destino (dst)	dst			target.ip
IP de origem da NAT (natsrc)	sourceTranslatedAddress			principa.nat_ip
IP de destino da NAT (natdst)	destinationTranslatedAddress			target.nat_ip
Regra (regra)	cs1			security_result.rule_name
Utilizador de origem (srcuser)	suser			principal.user.userid
Utilizador de destino (dstuser)	duser			target.user.userid
Aplicação (app)	app			target.application
Sistema virtual (vsys)	cs3		vsys	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Zona de origem (de)	cs4		de	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Zona de destino (para)	cs5		a	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Interface de entrada (inbound_if)	deviceInboundInterface		inbound_if	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Interface de saída (outbound_if)	deviceOutboundInterface		outbound_if	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Ação de registo (logset)	cs6		logset	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hora de registo (time_received)	PanOSTimeReceivedManagementPlane			-
ID da sessão (sessionid)	cn1			network.session_id
Número de repetições (repeatcnt)	PanOSCountOfRepeats/RepeatCount		repeatcnt	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Porta de origem (sport)	spt			principal.port
Porta de destino (dport)	dpt			target.port
Porta de origem NAT (natsport)	sourceTranslatedPort			principal.nat_port
Porta de destino NAT (natdport)	destinationTranslatedPort			target.nat_port
Flags (flags)	flexString1		flags	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Protocolo IP (proto)	proto			network.ip_protocol
Ação (ação)	agir			security_result.action_details security_result.action
Túnel (túnel)	PanOSTunnel		túnel	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
UUID da VM de origem (src_uuid)	PanOSSourceUUID			principal.asset.asset_id
UUID da VM de destino (dst_uuid)	PanOSDestinationUUID			target.asset.asset_id
UUID da regra (rule_uuid)	PanOSRuleUUID			security_result.rule_id
Fase de cliente para firewall (hs_stage_c2f)	PanOSClientToFirewall		hs_stage_c2f	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Stage for Firewall to Server (hs_stage_f2s)	PanOSFirewallToServer		hs_stage_f2s	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Versão de TLS (tls_version)	PanOSTLSVersion			network.tls.version
Algoritmo de troca de chaves (tls_keyxchg)	PanOSTLSKeyExchange		tls_keyxchg	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Algoritmo de encriptação (tls_enc)	PanOSTLSEncryptionAlgorithm		tls_enc	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Algoritmo hash (tls_auth)	PanOSTLSAuth		tls_auth	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome da política (policy_name)	PanOSPolicyName		policy_name	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Curva elíptica (ec_curve)	PanOSEllipticCurve			network.tls.curve
Índice de erros (err_index)	PanOSErrorIndex		err_index	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Estado de acesso de superutilizador (root_status)	PanOSRootStatus		root_status	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Estado da cadeia (chain_status)	PanOSChainStatus		chain_status	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Tipo de proxy (proxy_type)	PanOSProxyType		proxy_type	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Número de série do certificado (cert_serial)	PanOSCertificateSerial			network.tls.server.certificate.serial
Impressão digital do certificado (impressão digital)	PanOSFingerprint			network.tls.server.certificate.md5/sha1/sha256
Data de início do certificado (notbefore)	PanOSTimeNotBefore			network.tls.server.certificate.not_before
Data de fim do certificado (notafter)	PanOSTimeNotAfter			network.tls.server.certificate.not_after
Versão do certificado (cert_ver)	PanOSCertificateVersion			network.tls.server.certificate.version
Tamanho do certificado (cert_size)	PanOSCertificateSize		cert_size	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Comprimento do nome comum (cn_len)	PanOSCommonNameLength		cn_len	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Comprimento do nome comum do emissor (issuer_len)	PanOSIssuerNameLength		issuer_len	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Comprimento do nome comum da raiz (rootcn_len)	PanOSRootCNLength		rootcn_len	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Comprimento do SNI (sni_len)	PanOSSNILength		sni_len	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Sinalizadores de certificado (cert_flags)	PanOSCertificateFlags		cert_flags	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome comum do requerente (cn)	PanOSCommonName		cn	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome comum do emissor (issuer_cn)	PanOSIssuerCommonName			network.tls.server.certificate.issuer
Nome comum da raiz (root_cn)	PanOSRootCommonName		root_cn	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Indicação de Nome do Servidor (sni)				network.tls.client.server_name
Erro (erro)	PanOSErrorMessage		erro	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID do contentor (container_id)	PanOSContainerID		container_id	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Espaço de nomes do POD (pod_namespace)	PanOSContainerNameSpace		pod_namespace	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome do POD (pod_name)	PanOSContainerName		pod_name	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Lista dinâmica externa de origem (src_edl)	PanOSSourceEDL		src_edl	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Lista dinâmica externa de destino (dst_edl)	PanOSDestinationEDL		dst_edl	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Grupo de endereços dinâmicos de origem (src_dag)	PanOSSourceDynamicAddressGroup			principal.group.group_display_name
Grupo de endereços dinâmicos de destino (dst_dag)	PanOSDestinationDynamicAddressGroup			target.group.group_display_name
Indicação de tempo de alta resolução (high_res_timestamp)	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp (se "Generate Time" estiver ausente)
Categoria do dispositivo de origem (src_category)	PanOSSourceDeviceCategory		src_category	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Perfil do dispositivo de origem (src_profile)	PanOSSourceDeviceProfile		src_profile	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Modelo do dispositivo de origem (src_model)	PanOSSourceDeviceModel		src_model	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Fornecedor do dispositivo de origem (src_vendor)	PanOSSourceDeviceVendor		src_vendor	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Família de SO do dispositivo de origem (src_osfamily)	PanOSSourceDeviceOSFamily			principal.asset.platform_software.platform principal.labels.key e principal.labels.value
Versão do SO do dispositivo de origem (src_osversion)	PanOSSourceDeviceOSVersion			principal.asset.software.version
Nome do anfitrião de origem (src_host)	PanOSSourceDeviceHost			principal.hostname
Endereço MAC de origem (src_mac)	PanOSSourceDeviceMac			principal.mac
Categoria do dispositivo de destino (dst_category)	PanOSDestinationDeviceCategory		dst_category	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Perfil do dispositivo de destino (dst_profile)	PanOSDestinationDeviceProfile		dst_profile	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Modelo do dispositivo de destino (dst_model)	PanOSDestinationDeviceModel		dst_model	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Fornecedor do dispositivo de destino (dst_vendor)	PanOSDestinationDeviceVendor		dst_vendor	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Família de SO do dispositivo de destino (dst_osfamily)	PanOSDestinationDeviceOSFamily		dst_osfamily	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Versão do SO do dispositivo de destino (dst_osversion)	PanOSDestinationDeviceOSVersion			target.asset.software.version
Nome do anfitrião de destino (dst_host)	PanOSDestinationDeviceHost			target.hostname
Endereço MAC de destino (dst_mac)	PanOSDestinationDeviceMac			target.mac
Número de sequência (seqno)	PanOSLogTypeSeqNo			metadata.product_log_id
Sinalizadores de ações (actionflags)	PanOSActionFlags		actionflags	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hierarquia do grupo de dispositivos (dg_hier_level_1)		DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hierarquia do grupo de dispositivos (dg_hier_level_2)		DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hierarquia do grupo de dispositivos (dg_hier_level_3)		DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hierarquia do grupo de dispositivos (dg_hier_level_4)		DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome do sistema virtual (vsys_name)				principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nome do dispositivo (device_name)				intermediary.hostname
ID do sistema virtual (vsys_id)				principal.resource.resource_type=VIRTUAL_MACHINE e principal.resource.product_object_id
Subcategoria da aplicação (subcategory_of_app)			subcategory_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Categoria de aplicações (category_of_app)			category_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Tecnologia de aplicações (technology_of_app)			technology_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Risco da aplicação (risk_of_app)				security_result.severity
Caraterística da aplicação (characteristic_of_app)			characteristic_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Contentor de aplicações (container_of_app)			container_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Aplicação SaaS (is_saas_of_app)			is_saas_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Estado sancionado da aplicação (sanctioned_state_of_app)			sanctioned_state_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Gravidade (gravidade)	number-of-severity(header)			security_result.severity e security_result.severity_details

Túnel

A tabela seguinte apresenta os campos de registo do tipo de registo de túnel e os respetivos campos do UDM.

Campo CSV	Campo CEF	Campo LEEF	Chave de etiqueta do Google Security Operations	Campo UDM
Hora de receção (receive_time ou cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (se "Generate Time" estiver ausente)
Número de série (serial)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Tipo (tipo)	tipo (cabeçalho)	gato		metadata.product_event_type
Tipo de ameaça/conteúdo (subtipo)	subtipo (cabeçalho)	Subtipo		metadata.product_event_type
Hora de geração (time_generated ou cef-formatted-time_generated)				metadata.event_timestamp
Endereço de origem (src)	src	src		principal.ip
Endereço de destino (dst)	dst	dst		target.ip
IP de origem da NAT (natsrc)	sourceTranslatedAddress	srcPostNAT		principal.nat_ip
IP de destino da NAT (natdst)	destinationTranslatedAddress	dstPostNAT		target.nat_ip
Nome da regra (regra)	cs1	RuleName		security_result.rule_name
Utilizador de origem (srcuser)	suser	SourceUser / usrName		principal.user.userid
Utilizador de destino (dstuser)	duser	DestinationUser		target.user.userid
Aplicação (app)	app	Aplicação		network.application_protocol
Sistema virtual (vsys)	cs3	VirtualSystem	vsys	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Zona de origem (de)	cs4	SourceZone	de	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Zona de destino (para)	cs5	DestinationZone	a	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Interface de entrada (inbound_if)	deviceInboundInterface	IngressInterface	inbound_if	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Interface de saída (outbound_if)	deviceOutboundInterface	EgressInterface	outbound_if	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Ação de registo (logset)	cs6	LogForwardingProfile	logset	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID da sessão (sessionid)	cn1	SessionID		network.session_id
Número de repetições (repeatcnt)	cnt	RepeatCount	repeatcnt	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Porta de origem (sport)	spt	srcPort		principal.port
Porta de destino (dport)	dpt	dstPort		target.port
Porta de origem NAT (natsport)	sourceTranslatedPort	srcPostNATPort		principal.nat_port
Porta de destino NAT (natdport)	destinationTranslatedPort	dstPostNATPort		target.nat_port
Flags (flags)	flexString1	Bandeiras	flags	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Protocolo IP (proto)	proto	proto		network.ip_protocol
Ação (ação)	agir	ação		security_result.action_details security_result.action
Gravidade (gravidade)	number-of-severity(header)			security_result.severity e security_result.severity_details
Número de sequência (seqno)	externalId	sequência		metadata.product_log_id
Sinalizadores de ações (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Localização da origem (srcloc)				principal.location.country_or_region
Localização de destino (dstloc)				target.location.country_or_region
Hierarquia do grupo de dispositivos (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hierarquia do grupo de dispositivos (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hierarquia do grupo de dispositivos (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hierarquia do grupo de dispositivos (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome do sistema virtual (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nome do dispositivo (device_name)	dvchost	DeviceName		intermediary.hostname
ID do túnel (tunnelid)	PanOSTunnelID	TunnelID	tunnelid	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Etiqueta de monitorização (monitortag)	PanOSMonitorTag	MonitorTag	monitortag	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID da sessão principal (parent_session_id)	PanOSParentSessionID	ParentSessionID	parent_session_id	network.parent_session_id
Hora de início principal (parent_start_time)	PanOSParentStartTime	ParentStartTime	parent_start_time	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Tipo de túnel (túnel)	cs2	TunnelType	túnel	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Bytes (bytes)	flexNumber1	totalBytes	bytes	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Bytes enviados (bytes_sent)	em	srcBytes		network.sent_bytes
Bytes recebidos (bytes_received)	sair	dstBytes		network.received_bytes
Pacotes (pacotes)	cn2	totalPackets	pacotes	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Pacotes enviados (pkts_sent)	PanOSPacketsSent	srcPackets	pkts_sent	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Pacotes recebidos (pkts_received)	PanOSPacketsReceived	dstPackets	pkts_received	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Encapsulamento máximo (max_encap)	flexNumber2	MaximumEncapsulation	max_encap	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Protocolo desconhecido (unknown_proto)	cfp1	UnknownProtocol	unknown_proto	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Verificação rigorosa (strict_check)	cfp2	StrictChecking	strict_check	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Fragmento de túnel (tunnel_fragment)	PanOSTunnelFragment	TunnelFragment	tunnel_fragment	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Sessões criadas (sessions_created)	cfp3	SessionsCreated	sessions_created	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Sessões fechadas (sessions_closed)	cfp4	SessionsClosed	sessions_closed	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Motivo do fim da sessão (session_end_reason)	motivo	SessionEndReason		security_result.summary
Origem da ação (action_source)	gato	ActionSource	action_source	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hora de início (início)		startTime	iniciar	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Tempo decorrido (decorrido)	cn3	ElapsedTime	decorrido	network.session_duration.seconds
Regra de inspeção de túnel (tunnel_insp_rule)	PanOSTunneInspectionRule			security_result.rule_name = "Tunnel Inspection Rule: %{PanOSTunnelInspectionRule}"
IP do utilizador remoto (remote_user_ip)	PanOSRmtUserIP			target.ip
ID do utilizador remoto (remote_user_id)	PanOSRmtUserID		remote_user_id	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
UUID da regra de segurança (rule_uuid)	PanOSRuleUUID			security_result.rule_id
ID do PCAP (pcap_id)	PanOSPcapID		pcap_id	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome do grupo de utilizadores dinâmico (dynusergroup_name)	PanDynamicUsrgrp			principal.group.group_display_name
Lista dinâmica externa de origem (src_edl)	PanOSSourceEDL		src_edl	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Lista dinâmica externa de destino (dst_edl)	PanOSDestinationEDL		dst_edl	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Indicação de tempo de alta resolução (high_res timestamp)	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp (se "Generate Time" estiver ausente)
Um diferenciador de fatia (nssai_sd)			nssai_sd	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Um tipo de serviço de divisão (nssai_sd)			nssai_sd1	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID da sessão de PDU (pdu_session_id)			pdu_session_id	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Subcategoria da aplicação (subcategory_of_app)			subcategory_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Categoria de aplicações (category_of_app)			category_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Tecnologia de aplicações (technology_of_app)			technology_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Risco da aplicação (risk_of_app)			risk_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Caraterística da aplicação (characteristic_of_app)			characteristic_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Contentor de aplicações (container_of_app)			container_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Aplicação SaaS (is_saas_of_app)			is_saas_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Estado sancionado da aplicação (sanctioned_state_of_app)			sanctioned_state_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value

Autenticação

A tabela seguinte lista os campos de registo do tipo de registo de autenticação e os respetivos campos do UDM.

Campo CSV	Campo CEF	Campo LEEF	Chave de etiqueta do Google Security Operations	Campo UDM
Hora de receção (receive_time ou cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (se "Generate Time" estiver ausente)
Número de série (serial)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Tipo (tipo)	tipo (cabeçalho)	gato		metadata.product_event_type
Tipo de ameaça/conteúdo (subtipo)	subtipo (cabeçalho)	Subtipo		metadata.product_event_type
Hora de geração (time_generated ou cef-formatted-time_generated)				metadata.event_timestamp
Sistema virtual (vsys)	cs3	VirtualSystem	vsys	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
IP de origem (ip)	src	src		principal.ip
Utilizador (user)	duser	usrName		target.user.userid
Normalizar utilizador (normalize_user)	cs2	NormalizeUser		target.user.user_display_name
Objeto (objeto)	fname	ObjectName	objeto	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Política de autenticação (authpolicy)	cs4	AuthPolicy	authpolicy	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Número de repetições (repeatcnt)	cnt	RepeatCount	repeatcnt	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID de autenticação (authid)	cn2	AuthenticationID	authid	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Fornecedor (vendor)	flexString2	Fornecedor	fornecedor	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Ação de registo (logset)	cs6	LogForwardingProfile	logset	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Perfil do servidor (serverprofile)	cs1	ServerProfile	serverprofile	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Descrição (desc.)	PanOSDesc	AdditionalAuthInfo		security_result.description
Tipo de cliente (clienttype)	cs5	ClientType	clienttype	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Tipo de evento (evento)	msg	msg		extensions.auth.auth_details
Número do fator (factorno)	cn1	FactorNumber	factorno	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Número de sequência (seqno)	externalId	sequência		metadata.product_log_id
Sinalizadores de ações (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hierarquia do grupo de dispositivos (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hierarquia do grupo de dispositivos (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hierarquia do grupo de dispositivos (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hierarquia do grupo de dispositivos (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome do sistema virtual (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nome do dispositivo (device_name)	dvchost	DeviceName		intermediary.hostname
ID do sistema virtual (vsys_id)				principal.resource.resource_type=VIRTUAL_MACHINE e principal.resource.product_object_id
Protocolo de autenticação (authproto)			authproto	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
UUID da regra (rule_uuid)	PanOSRuleUUID/RuleUUID			security_result.rule_id
Indicação de tempo de alta resolução (high_res_timestamp)	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp (se "Generate Time" estiver ausente)
Categoria do dispositivo de origem (src_category)	PanOSSourceDeviceCategory		src_category	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Perfil do dispositivo de origem (src_profile)	PanOSSourceDeviceProfile		src_profile	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Modelo do dispositivo de origem (src_model)	PanOSSourceDeviceModel		src_model	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Fornecedor do dispositivo de origem (src_vendor)	PanOSSourceDeviceVendor		src_vendor	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Família de SO do dispositivo de origem (src_osfamily)	PanOSSourceDeviceOSFamily			principal.asset.platform_software.platform principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Versão do SO do dispositivo de origem (src_osversion)	PanOSSourceDeviceOSVersion			principal.asset.software.version
Nome do anfitrião de origem (src_host)	PanOSSourceHostname			principal.hostname
Endereço MAC de origem (src_mac)	PanOSSourceMac			principal.asset.mac
Região (região)	PanOSTrafficOriginRegion			principal.location.country_or_region
Agente do utilizador (user_agent)	PanOSHTTPUserAgent			network.http.user_agent
ID da sessão(sessionid)	PanOSTrafficSessionID			network.session_id
Gravidade (gravidade)	number-of-severity(header)			security_result.severity e security_result.severity_details

URL

A tabela seguinte apresenta os campos de registo do tipo de registo de URL e os respetivos campos da UDM.

Campo CSV	Campo CEF	Campo LEEF	Chave de etiqueta do Google Security Operations	Campo UDM
Hora de receção (cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (se "Generate Time" estiver ausente)
N.º de série (série)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Tipo (tipo)	tipo (cabeçalho)	gato		metadata.product_event_type
Tipo de ameaça/conteúdo (subtipo)	subtipo (cabeçalho)	Subtipo		metadata.product_event_type
Tempo de geração				metadata.event_timestamp
Endereço de origem (src)	src	src		principal.ip
Endereço de destino (dst)	dst	dst		target.ip
IP de origem da NAT (natsrc)	sourceTranslatedAddress	srcPostNAT		principal.nat_ip
IP de destino da NAT (natdst)	destinationTranslatedAddress	dstPostNAT		target.nat_ip
Regra (regra)	cs1	RuleName		security_result.rule_name
Utilizador de origem (srcuser)	suser	SourceUser		principal.user.userid
Utilizador de destino (dstuser)	duser	DestinationUser		target.user.userid
Aplicação (app)	app	Aplicação		network.application_protocol
Sistema virtual (vsys)	cs3	VirtualSystem	vsys	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Zona de origem (de)	cs4	SourceZone	de	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Zona de destino (para)	cs5	DestinationZone	a	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Interface de entrada (inbound_if)	deviceInboundInterface	IngressInterface	inbound_if	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Interface de saída (outbound_if)	deviceOutboundInterface	EgressInterface	outbound_if	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Ação de registo (logset)	cs6	LogForwardingProfile	logset	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hora de registo			time_logged	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID da sessão (sessionid)	cn1	SessionID		network.session_id
Número de repetições (repeatcnt)	cnt	RepeatCount	repeatcnt	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Porta de origem (sport)	spt	srcPort		principal.port
Porta de destino (dport)	dpt	dstPort		target.port
Porta de origem NAT (natsport)	sourceTranslatedPort	srcPostNATPort		principal.nat_port
Porta de destino NAT (natdport)	destinationTranslatedPort	dstPostNATPort		target.nat_port
Flags (flags)	flexString1	Bandeiras	flags	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Protocolo IP (proto)	proto	proto		network.ip_protocol
Ação (ação)	agir	ação		security_result.action_details security_result.action
URL/nome do ficheiro (diversos)		Diversos		target.file.full_path target.url
Nome da ameaça/conteúdo (threatid)	gato	ThreatID		security_result.threat_id
Categoria (categoria)	cs2	URLCategory	categoria	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Gravidade (gravidade)	number-of-severity (cabeçalho)	Gravidade		security_result.severity security_result.severity_details
Direção (direction)	flexString2	Direção		network.direction
Número de sequência (seqno)	externalId	sequência		metadata.product_log_id
Sinalizadores de ações (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
País de origem (srcloc)		SourceLocation		principal.location.country_or_region
País de destino (dstloc)		DestinationLocation		target.location.country_or_region
contenttype (contenttype)	requestContext	ContentType	contenttype	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
pcap_id (pcap_id)	fileId	PCAP_ID	pcap_id	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
filedigest (filedigest)		FileDigest		about.file.sha1/md5/sha256
nuvem (nuvem)		Google Cloud	nuvem	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
url_idx (url_idx)		URLIndex	url_idx	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
user_agent (user_agent)	requestClientApplication	UserAgent		network.http.user_agent
filetype (filetype)				about.file.mime_type
xff (xff)	PanOSXForwarderfor	identSrc	xff	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Referenciador (referer)	PanOSReferer	Referenciador		network.http.referral_url
remetente (remetente)				network.email.from
subject (subject)		Assunto		network.email.subject
destinatário (destinatário)				network.email.to
reportid (reportid)			reportid	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nível 1 da hierarquia de grupos de anúncios (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nível 2 da hierarquia de grupos de destino (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nível 3 da hierarquia de grupos de destino (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nível 4 da hierarquia de grupos de anúncios (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome do sistema virtual (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nome do dispositivo (device_name)	dvchost	DeviceName		intermediary.hostname
file_url (file_url)				about.url
UUID da VM de origem (src_uuid)		SrcUUID		principal.asset.asset_id
UUID da VM de destino (dst_uuid)		DstUUID		target.asset.asset_id
http_method (http_method)	requestMethod	RequestMethod		network.http.method
ID do túnel/IMSI (tunnelid)	PanOSTunnelID	TunnelID	tunnelid	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Monitor Tag/IMEI (monitortag)	PanOSMonitorTag	MonitorTag	monitortag	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID da sessão principal (parent_session_id)	PanOSParentSessionID	ParentSessionID	parent_session_id	network.parent_session_id
Hora de início da sessão principal (parent_start_time)	PanOSParentStartTime	ParentStartTime	parent_start_time	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Túnel (túnel)	PanOSTunnelType	TunnelType	túnel	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
thr_category (thr_category)	PanOSThreatCategory	ThreatCategory	thr_category	security_result.detection_fields.key/value
contentver (contentver)	PanOSContentVer	ContentVer	contentver	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
sig_flags (sig_flags)			sig_flags	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID de associação SCTP (assoc_id)	PanOSAssocID		assoc_id	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID do protocolo de carga útil (ppid)	PanOSPPID		ppid	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
http_headers (http_headers)	PanOSHTTPHeader		http_headers	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Lista de categorias de URLs (url_category_list)	PanOSURLCatList		url_category_list	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
UUID da regra (rule_uuid)	PanOSRuleUUID		rule_uuid	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Ligação HTTP/2 (http2_connection)	PanOSHTTP2Con		http2_connection	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
dynusergroup_name (dynusergroup_name)	PanDynamicUsrgrp		dynusergroup_name	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Endereço XFF (xff_ip)	PanXFFIP			principal.ip
Categoria do dispositivo de origem (src_category)	PanSrcDeviceCat		src_category	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Perfil do dispositivo de origem (src_profile)	PanSrcDeviceProf		src_profile	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Modelo do dispositivo de origem (src_model)	PanSrcDeviceModel		src_model	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Fornecedor do dispositivo de origem (src_vendor)	PanSrcDeviceVendor		src_vendor	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Família de SO do dispositivo de origem (src_osfamily)	PanSrcDeviceOS			principal.asset.platform_software.platform principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Versão do SO do dispositivo de origem (src_osversion)	PanSrcDeviceOSv			principal.asset.software.version
Nome do anfitrião de origem (src_host)	PanSrcHostname		src_host	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Endereço MAC de origem (src_mac)	PanSrcMac			principal.mac
Categoria do dispositivo de destino (dst_category)	PanDstDeviceCat		dst_category	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Perfil do dispositivo de destino (dst_profile)	PanDstDeviceProf		dst_profile	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Modelo do dispositivo de destino (dst_model)	PanDstDeviceModel		dst_model	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Fornecedor do dispositivo de destino (dst_vendor)	PanDstDeviceVendor		dst_vendor	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Família de SO do dispositivo de destino (dst_osfamily)	PanDstDeviceOS			target.asset.platform_software.platform target.labels.key e target.labels.value
Versão do SO do dispositivo de destino (dst_osversion)	PanDstDeviceOSv			target.asset.software.version
Nome do anfitrião de destino (dst_host)	PanPODNamespace			target.hostname
Endereço MAC de destino (dst_mac)	PanDstMac			target.mac
ID do contentor (container_id)	PanContainerName		container_id	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Espaço de nomes do POD (pod_namespace)	PanPODNamespace		pod_namespace	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome do POD (pod_name)	PanPODName		pod_name	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Lista dinâmica externa de origem (src_edl)	PanSrcEDL		src_edl	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Lista dinâmica externa de destino (dst_edl)	PanDstEDL		dst_edl	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
ID do anfitrião (hostid)	PanGPHostID		hostid	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Número de série (serialnumber)	PanEPSerial			principal.asset.hardware.serial_number
domain_edl (domain_edl)	PanDomainEDL		domain_edl	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Grupo de endereços dinâmicos de origem (src_dag)	PanSrcDAG			principal.group.group_display_name
Grupo de endereços dinâmicos de destino (dst_dag)	PanDstDAG			target.group.group_display_name
partial_hash (partial_hash)	PanPartialHash		partial_hash	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Data/hora de alta resolução (high_res_timestamp)	PanTimeHighRes			metadata.collected_timestamp, metadata.event_timestamp (se "Generate Time" estiver ausente)
Motivo (motivo)	PanReasonFilteringAction		motivo	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
justificação (justification)	PanJustification		justificação	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
nssai_sst (nssai_sst)	PanASServiceType		nssai_sst	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Subcategoria da app (subcategory_of_app)			subcategory_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Categoria da app (category_of_app)			category_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Tecnologia da app (technology_of_app)			technology_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Risco da app (risk_of_app)			risk_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Caraterística da app (characteristic_of_app)			characteristic_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Contentor da app (container_of_app)			container_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
App com túnel (tunneled_app)			tunneled_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
SaaS da app (is_saas_of_app)			is_saas_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Estado sancionado da app (sanctioned_state_of_app)			sanctioned_state_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value

Dados

A tabela seguinte lista os campos de registo do tipo de registo de dados e os respetivos campos da UDM.

Campo CSV	Campo CEF	Campo LEEF	Chave de etiqueta do Google Security Operations	Campo UDM
Hora de receção (cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (se "Generate Time" estiver ausente)
N.º de série (série)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Tipo (tipo)	tipo (cabeçalho)	gato		metadata.product_event_type
Tipo de ameaça/conteúdo (subtipo)	subtipo (cabeçalho)	Subtipo		metadata.product_event_type
Tempo de geração				metadata.event_timestamp
Endereço de origem (src)	src	src		principal.ip
Endereço de destino (dst)	dst	dst		target.ip
IP de origem da NAT (natsrc)	sourceTranslatedAddress	srcPostNAT		principal.nat_ip
IP de destino da NAT (natdst)	destinationTranslatedAddress	dstPostNAT		target.nat_ip
Regra (regra)	cs1	RuleName		security_result.rule_name
Utilizador de origem (srcuser)	suser	SourceUser		principal.user.userid
Utilizador de destino (dstuser)	duser	DestinationUser		target.user.userid
Aplicação (app)	app	Aplicação		network.application_protocol
Sistema virtual (vsys)	cs3	VirtualSystem	vsys	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Zona de origem (de)	cs4	SourceZone	de	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Zona de destino (para)	cs5	DestinationZone	a	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Interface de entrada (inbound_if)	deviceInboundInterface	IngressInterface	inbound_if	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Interface de saída (outbound_if)	deviceOutboundInterface	EgressInterface	outbound_if	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Ação de registo (logset)	cs6	LogForwardingProfile	logset	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hora de registo			time_logged	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID da sessão (sessionid)	cn1	SessionID		network.session_id
Número de repetições (repeatcnt)	cnt	RepeatCount	repeatcnt	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Porta de origem (sport)	spt	srcPort		principal.port
Porta de destino (dport)	dpt	dstPort		target.port
Porta de origem NAT (natsport)	sourceTranslatedPort	srcPostNATPort		principal.nat_port
Porta de destino NAT (natdport)	destinationTranslatedPort	dstPostNATPort		target.nat_port
Flags (flags)	flexString1	Bandeiras	flags	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Protocolo IP (proto)	proto	proto		network.ip_protocol
Ação (ação)	agir	ação		security_result.action_details security_result.action
URL/nome do ficheiro (diversos)		Diversos		target.file.full_path target.url
Nome da ameaça/conteúdo (threatid)	gato	ThreatID		security_result.threat_id
Categoria (categoria)	cs2	URLCategory	categoria	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Gravidade (gravidade)	number-of-severity (cabeçalho)	Gravidade		security_result.severity security_result.severity_details
Direção (direction)	flexString2	Direção		network.direction
Número de sequência (seqno)	externalId	sequência		metadata.product_log_id
Sinalizadores de ações (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
País de origem (srcloc)		SourceLocation		principal.location.country_or_region
País de destino (dstloc)		DestinationLocation		target.location.country_or_region
contenttype (contenttype)		ContentType	contenttype	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
pcap_id (pcap_id)	fileId	PCAP_ID	pcap_id	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
filedigest (filedigest)		FileDigest		about.file.sha1/md5/sha256
nuvem (nuvem)		Google Cloud	nuvem	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
url_idx (url_idx)		URLIndex	url_idx	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
user_agent (user_agent)				network.http.user_agent
filetype (filetype)				about.file.mime_type
xff (xff)			xff	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Referenciador (referer)				network.http.referral_url
remetente (remetente)				network.email.from
subject (subject)		Assunto		network.email.subject
destinatário (destinatário)				network.email.to
reportid (reportid)			reportid	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nível 1 da hierarquia de grupos de anúncios (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nível 2 da hierarquia de grupos de destino (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nível 3 da hierarquia de grupos de destino (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nível 4 da hierarquia de grupos de anúncios (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome do sistema virtual (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nome do dispositivo (device_name)	dvchost	DeviceName		intermediary.hostname
file_url (file_url)				about.url
UUID da VM de origem (src_uuid)		SrcUUID		principal.asset.asset_id
UUID da VM de destino (dst_uuid)		DstUUID		target.asset.asset_id
http_method (http_method)		RequestMethod		network.http.method
ID do túnel/IMSI (tunnelid)	PanOSTunnelID	TunnelID	tunnelid	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Monitor Tag/IMEI (monitortag)	PanOSMonitorTag	MonitorTag	monitortag	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID da sessão principal (parent_session_id)	PanOSParentSessionID	ParentSessionID	parent_session_id	network.parent_session_id
Hora de início da sessão principal (parent_start_time)	PanOSParentStartTime	ParentStartTime	parent_start_time	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Túnel (túnel)	PanOSTunnelType	TunnelType	túnel	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
thr_category (thr_category)	PanOSThreatCategory	ThreatCategory	thr_category	security_result.detection_fields.key/value
contentver (contentver)	PanOSContentVer	ContentVer	contentver	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
sig_flags (sig_flags)			sig_flags	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID de associação SCTP (assoc_id)	PanOSAssocID		assoc_id	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID do protocolo de carga útil (ppid)	PanOSPPID		ppid	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
http_headers (http_headers)	PanOSHTTPHeader		http_headers	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Lista de categorias de URLs (url_category_list)			url_category_list	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
UUID da regra (rule_uuid)	PanOSRuleUUID		rule_uuid	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Ligação HTTP/2 (http2_connection)			http2_connection	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
dynusergroup_name (dynusergroup_name)			dynusergroup_name	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Endereço XFF (xff_ip)				principal.ip
Categoria do dispositivo de origem (src_category)			src_category	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Perfil do dispositivo de origem (src_profile)			src_profile	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Modelo do dispositivo de origem (src_model)			src_model	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Fornecedor do dispositivo de origem (src_vendor)			src_vendor	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Família de SO do dispositivo de origem (src_osfamily)				principal.asset.platform_software.platform principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Versão do SO do dispositivo de origem (src_osversion)				principal.asset.software.version
Nome do anfitrião de origem (src_host)			src_host	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Endereço MAC de origem (src_mac)				principal.mac
Categoria do dispositivo de destino (dst_category)			dst_category	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Perfil do dispositivo de destino (dst_profile)			dst_profile	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Modelo do dispositivo de destino (dst_model)			dst_model	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Fornecedor do dispositivo de destino (dst_vendor)			dst_vendor	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Família de SO do dispositivo de destino (dst_osfamily)				target.asset.platform_software.platform target.labels.key e target.labels.value
Versão do SO do dispositivo de destino (dst_osversion)				target.asset.software.version
Nome do anfitrião de destino (dst_host)				target.hostname
Endereço MAC de destino (dst_mac)				target.mac
ID do contentor (container_id)			container_id	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Espaço de nomes do POD (pod_namespace)			pod_namespace	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome do POD (pod_name)			pod_name	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Lista dinâmica externa de origem (src_edl)			src_edl	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Lista dinâmica externa de destino (dst_edl)			dst_edl	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
ID do anfitrião (hostid)			hostid	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Número de série (serialnumber)				principal.asset.hardware.serial_number
domain_edl (domain_edl)			domain_edl	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Grupo de endereços dinâmicos de origem (src_dag)				principal.group.group_display_name
Grupo de endereços dinâmicos de destino (dst_dag)				target.group.group_display_name
partial_hash (partial_hash)			partial_hash	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Data/hora de alta resolução (high_res_timestamp)				metadata.collected_timestamp, metadata.event_timestamp (se "Generate Time" estiver ausente)
Motivo (motivo)			motivo	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
justificação (justification)			justificação	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
nssai_sst (nssai_sst)			nssai_sst	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Subcategoria da app (subcategory_of_app)			subcategory_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Categoria da app (category_of_app)			category_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Tecnologia da app (technology_of_app)			technology_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Risco da app (risk_of_app)			risk_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Caraterística da app (characteristic_of_app)			characteristic_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Contentor da app (container_of_app)			container_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
App com túnel (tunneled_app)			tunneled_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
SaaS da app (is_saas_of_app)			is_saas_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Estado sancionado da app (sanctioned_state_of_app)			sanctioned_state_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value

GlobalProtect

A tabela seguinte apresenta os campos de registo do tipo de registo GlobalProtect e os respetivos campos UDM.

Campo CSV	Campo CEF	Campo LEEF	Chave de etiqueta do Google Security Operations	Campo UDM
Hora de receção (receive_time)	rt		received_time	metadata.event_timestamp
N.º de série (série)	PanOSDeviceSN		intermediary_asset_hardware_serial_number	intermediary.asset.hardware.serial_number
Tipo (tipo)	tipo (cabeçalho)			metadata.product_event_type
Tipo de ameaça/conteúdo (subtipo)	subtipo (cabeçalho)	Subtipo		metadata.product_event_type
Hora de geração (time_generated)	PanOSLogTimeStamp		generated_timestamp	metadata.event_timestamp
Sistema virtual (vsys)	PanOSVirtualSystem		vsys	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID do evento (eventid)	PanOSEventID		event_id	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Fase (fase)	PanOSStage		armazenar dados em área intermediária	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Método de autenticação (auth_method)	PanOSAuthMethod		extension_auth_auth_details	extensions.auth.auth_details
Tipo de túnel (tunnel_type)	PanOSTunnelType		túnel	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Utilizador de origem (srcuser)	PanOSSourceUserName		src_user	principal.user.email_address principal.user.userid principal.administrative_domain
Região de origem (srcregion)	PanOSSourceRegion		src_region	principal.location.country_or_region
Nome do computador (machinename)	PanOSEndpointDeviceName		machine_name	principal.hostname
IP público (public_ip)	PanOSPublicIPv4			principal.nat_ip
IPv6 público (public_ipv6)	PanOSPublicIPv6			principal.nat_ip
IP privado (private_ip)	PanOSPrivateIPv4			principal.ip
IPv6 privado (private_ipv6)	PanOSPrivateIPv6			principal.ip
ID do anfitrião (hostid)	PanOSHostID		hostid	principal.asset.asset_id
Número de série (serialnumber)	PanOSDeviceSN			principal.asset.hardware.serial_number
Versão do cliente (client_ver)	PanOSGlobalProtectClientVersion		client_ver	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
SO do cliente (client_os)	PanOSEndpointOSType			principal.asset.platform_software.platform(enum)
Versão do SO do cliente (client_os_ver)	PanOSEndpointOSVersion			principal.asset.platform_software.platform_version
Número de repetições (repeatcnt)	PanOSCountOfRepeats		repeatcnt	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Motivo (motivo)	PanOSQuarantineReason			security_result.summary
Erro (erro)	PanOSConnectionError		erro	security_result.description
Descrição (opaca)	PanOSDescription			security_result.description
Estado (estado)	PanOSEventStatus		estado	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Localização (localização)	PanOSGPGatewayLocation			target.location.country_or_region
Duração do início de sessão (login_duration)	PanOSLoginDuration			network.session_duration
Método de ligação (connect_method)	PanOSConnectionMethod		connect_method	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Código de erro (error_code)	PanOSConnectionErrorID		error_code	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Portal (portal)	PanOSPortal		portal	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Número de sequência (seqno)	PanOSSequenceNo			metadata.product_log_id
Sinalizadores de ações (actionflags)	PanOSActionFlags		actionflags	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Indicação de tempo de alta resolução (high_res_timestamp)	anOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp (se "Generate Time" estiver ausente)
Método de seleção de gateway (selection_type)	PanOSGatewaySelectionType		selection_type	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Tempo de resposta SSL (response_time)	PanOSSSLResponseTime		response_time	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Prioridade do gateway (prioridade)	PanOSGatewayPriority		prioridade	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Gateways tentados (attempted_gateways)	PanOSAttemptedGateways		attempted_gateways	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome do gateway (gateway)	PanOSAttemptedGateways		gateway	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hierarquia do grupo de dispositivos (dg_hier_level_1)			dg_hier_level_1	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hierarquia do grupo de dispositivos (dg_hier_level_2)			dg_hier_level_2	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hierarquia do grupo de dispositivos (dg_hier_level_3)			dg_hier_level_3	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hierarquia do grupo de dispositivos (dg_hier_level_4)			dg_hier_level_4	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome do sistema virtual (vsys_name)				principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nome do dispositivo (device_name)				target.hostname
ID do sistema virtual (vsys_id)				principal.resource.resource_type=VIRTUAL_MACHINE e principal.resource.product_object_id
Gravidade (gravidade)	number-of-severity(header)			security_result.severity e security_result.severity_details

Correlação

A tabela seguinte apresenta os campos de registo do tipo de registo de correlação e os respetivos campos da UDM.

Campo CSV	Campo LEEF	Chave de etiqueta do Google Security Operations	Campo UDM
Hora de geração (time_generated ou cef-formatted-time_generated)	startTime	generated_timestamp	metadata.event_timestamp
Endereço de origem (src)	src		principal.ip
Utilizador de origem (srcuser)	SourceUser / usrName		principal.user.userid
Sistema virtual (vsys)	VirtualSystem	vsys	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Categoria (categoria)			security_result.category_details
Gravidade (gravidade)	Gravidade		security_result.severity e security_result.severity_details
Nível 1 da hierarquia do grupo de dispositivos	DeviceGroupHierarchyL1		about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nível 2 da hierarquia do grupo de dispositivos	DeviceGroupHierarchyL2		about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nível 3 da hierarquia do grupo de dispositivos	DeviceGroupHierarchyL3		about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nível 4 da hierarquia do grupo de dispositivos	DeviceGroupHierarchyL4		about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome do sistema virtual (vsys_name)	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nome do dispositivo (device_name)	DeviceName		intermediary.hostname
ID do sistema virtual (vsys_id)	VirtualSystemID		principal.resource.resource_type=VIRTUAL_MACHINE e principal.resource.product_object_id
Nome do objeto (objectname)	ObjectName		target.resource.name
ID do objeto (object_id)	ObjectID		target.resource.product_object_id

GTP

A tabela seguinte apresenta os campos de registo do tipo de registo gtp e os respetivos campos UDM correspondentes.

Campo CSV	Chave de etiqueta do Google Security Operations	Campo UDM
Hora de receção (receive_time ou cef-formatted-receive_time)		metadata.collected_timestamp, metadata.event_timestamp (se "Generate Time" estiver ausente)
Número de série (serial)		intermediary.asset.hardware.serial_number
Tipo (tipo)		metadata.product_event_type
Tipo de ameaça/conteúdo (subtipo)		metadata.product_event_type
Hora de geração (time_generated ou cef-formatted-time_generated)		metadata.event_timestamp
Endereço de origem (src)		principal.ip
Endereço de destino (dst)		target.ip
Nome da regra (regra)		security_result.rule_name
Aplicação (app)		network.application_protocol
Sistema virtual (vsys)	vsys	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Zona de origem (de)	de	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Zona de destino (para)	a	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Interface de entrada (inbound_if)	inbound_if	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Interface de saída (outbound_if)	outbound_if	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Ação de registo (logset)	logset	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID da sessão (sessionid)		network.session_id
Porta de origem (sport)		principal.port
Porta de destino (dport)		target.port
Protocolo IP (proto)		network.ip_protocol
Ação (ação)		security_result.action_details security_result.action
Tipo de evento de GTP (event_type)	gtp_event_type	additional.fields.key e additional.fields.value.string_value
MSISDN (msisdn)	msisdn	additional.fields.key e additional.fields.value.string_value
Nome do Ponto de Acesso (APN)	apn	additional.fields.key e additional.fields.value.string_value
Tecnologia de acesso por rádio (rat)	rato	additional.fields.key e additional.fields.value.string_value
Tipo de mensagem de GTP (msg_type)	gtp_msg_type	additional.fields.key e additional.fields.value.string_value
Endereço IP final (end_ip_adr)		principal.ip
Identificador do ponto final do túnel 1 (teid1)	teid1	additional.fields.key e additional.fields.value.string_value
Identificador de ponto final do túnel 2 (teid2)	teid2	additional.fields.key e additional.fields.value.string_value
Interface GTP (gtp_interface)	gtp_interface	additional.fields.key e additional.fields.value.string_value
GTP Cause (cause_code)	gtp_cause_code	additional.fields.key e additional.fields.value.string_value
Gravidade (gravidade)		security_result.severity e security_result.severity_details
MCC da rede de serviço (mcc)	mcc	additional.fields.key e additional.fields.value.string_value
Serving Network MNC (mnc)	mnc	additional.fields.key e additional.fields.value.string_value
Indicativo de área (area_code)	area_code	additional.fields.key e additional.fields.value.string_value
ID da célula (cell_id)	cell_id	additional.fields.key e additional.fields.value.string_value
Código do evento GTP (event_code)	event_code	additional.fields.key e additional.fields.value.string_value
Localização da origem (srcloc)		principal.location.country_or_region
Localização de destino (dstloc)		target.location.country_or_region
ID do túnel/IMSI (imsi)	tunnelid	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Monitorizar etiqueta/IMEI (imei)	monitortag	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hora de início (início)	iniciar	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Tempo decorrido (decorrido)		network.session_duration.seconds
Tunnel Inspection RuleTunnel (tunnel_insp_rule)	tunnel_insp_rule	security_result.detection_fields.key/value
IP do utilizador remoto (remote_user_ip)		target.ip
ID do utilizador remoto (remote_user_id)	remote_user_id	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
UUID da regra (rule_uuid)		security_result.rule_id
ID do PCAP (pcap_id)	pcap_id	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Indicação de tempo de alta resolução (high_res_timestamp)		metadata.collected_timestamp, metadata.event_timestamp (se "Generate Time" estiver ausente)
Um tipo de serviço de divisão (nsdsai_sst)	nsdsai_sst	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Um diferenciador de fatia (nsdsai_sd)	nsdsai_sd	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Subcategoria da aplicação (subcategory_of_app)	subcategory_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Categoria de aplicações (category_of_app)	category_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Tecnologia de aplicações (technology_of_app)	technology_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Risco da aplicação (risk_of_app)	risk_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Caraterística da aplicação (characteristic_of_app)	characteristic_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Contentor de aplicações (container_of_app)	container_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Aplicação SaaS (is_saas_of_app)	is_saas_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Estado sancionado da aplicação (sanctioned_state_of_app)	sanctioned_state_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value

Referência de mapeamento de campos: tipos de registos para o tipo de evento da UDM

A tabela seguinte apresenta os tipos de registos da firewall da Palo Alto Networks e os respetivos tipos de eventos da UDM.

Tipo de registo	Tipo de evento UDM
Trânsito	NETWORK_CONNECTION
Ameaça	NETWORK_CONNECTION
Filtragem de URLs	NETWORK_CONNECTION
WildFire	NETWORK_CONNECTION Os registos de envios do WildFire são um subtipo do tipo de registo de ameaças e usam o mesmo formato de syslog.
Filtragem de dados	NETWORK_CONNECTION
Túnel	NETWORK_CONNECTION
GTP	NETWORK_CONNECTION
Configuração	SETTING_MODIFICATION/SETTING_CREATION/SETTING_DELETION/SETTING_UNCATEGORIZED O valor do campo "Comando (cmd)" determina o mapeamento do tipo de evento da UDM. Se o valor do campo cmd for add ou clone, SETTING_CREATION é definido. Se o valor do campo cmd for delete, SETTING_DELETION é definido. Se o valor do campo cmd for edit, move, rename, set ou commit, SETTING_MODIFICATION é definido. Se o valor do campo cmd não contiver valores, é definido SETTING_UNCATEGORIZED
Sistema	Se o valor do subtipo for "dhcp", é definido NETWORK_DHCP. Se o valor do subtipo for "auth", USER_LOGIN é definido. Se o valor da descrição for "logged in", USER_LOGIN é definido. Se o valor da descrição for "logged out", é definido USER_LOGOUT. Para outros valores do subtipo, é definido GENERIC_EVENT.
HIP Match	NETWORK_CONNECTION
Etiqueta de IP	GENERIC_EVENT
User-ID	USER_LOGIN/USER_LOGOUT/USER_UNCATEGORIZED Se o valor do subtipo for "login", USER_LOGIN é definido. Se o valor do subtipo for "logout", é definido USER_LOGOUT. Se o subtipo não contiver nenhum valor, é definido USER_UNCATEGORIZED.
Desencriptação	NETWORK_CONNECTION
Autenticação	GENERIC_EVENT

O que se segue?

Carregamento de dados para o Google Security Operations

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.

Formato do registo	Versão do PAN-OS
CSV	10.1.3
CEF	10.0.0
LEEF	9.1.0