Esta página foi traduzida pela API Cloud Translation.

Coletar registros de firewall da Palo Alto Networks

Compatível com:

Google SecOps SIEM

Visão geral

Neste documento, descrevemos como configurar o syslog e um encaminhador do Google Security Operations para coletar registros de firewall da Palo Alto Networks. Este documento também explica como os campos de registro do firewall da Palo Alto Networks são mapeados para os campos do Modelo de Dados Unificado (UDM) do Google Security Operations.

Para uma visão geral sobre a ingestão de dados do Google Security Operations, consulte Ingestão de dados no Google Security Operations.

Um rótulo de ingestão identifica o analisador que normaliza dados de registro brutos para o formato UDM estruturado. As informações neste documento se aplicam ao analisador com o rótulo de ingestão PAN_FIREWALL.

Antes de começar

Verifique se o produto de firewall da Palo Alto Networks está implantado e configurado corretamente. Para instruções detalhadas de configuração, consulte a documentação do PAN-OS.
Para entender os componentes implantados para coletar registros do firewall da Palo Alto Networks, revise a arquitetura de implantação. Cada implantação de cliente pode ser diferente dessa representação e mais complexa.

O diagrama a seguir mostra como configurar o syslog em um firewall da Palo Alto Networks e instalar um encaminhador do Google Security Operations em um servidor Linux para encaminhar dados de registro ao Google Security Operations. O analisador aceita registros gravados nos seguintes formatos de dados: valores separados por vírgula (CSV), formato de evento comum (CEF) e formato estendido de evento de registro (LEEF).
Verifique os formatos de registro e as versões do PAN-OS compatíveis com o analisador do Google Security Operations. A tabela a seguir lista os formatos de registro e as versões correspondentes do PAN-OS compatíveis com o analisador do Google Security Operations:

Formato do registro Versão do PAN-OS

CSV 10.1.3

CEF 10.0.0

LEEF 9.1.0
Verifique os tipos de registros de firewall da Palo Alto Networks compatíveis com o analisador do Google Security Operations. O analisador do Google Security Operations é compatível com os seguintes tipos de registros de firewall da Palo Alto Networks:
- Tráfego
- Ameaça
- Envios do WildFire
- Inspeção de túnel
- Configuração
- Sistema
- Correspondência de HIP
- IP-Tag
- User-ID
- Descriptografia
- Autenticação
- Filtragem de URL
- Filtragem de dados
- GlobalProtect
- Correlação
- GTP
Para mais informações sobre os tipos de registros de firewall da Palo Alto Networks, consulte Tipos de registros do PAN-OS.
Verifique se todos os sistemas na arquitetura de implantação estão configurados no fuso horário UTC.
Antes de usar o analisador de firewall da Palo Alto Networks, revise as mudanças nos mapeamentos de campos entre o analisador anterior e o atual analisador de firewall da Palo Alto Networks. Como parte da migração, verifique se as regras, pesquisas, painéis ou outros processos que dependem dos campos originais estão usando os campos atualizados.

Por exemplo, na versão anterior do analisador, o campo de registro category é mapeado para o campo security_result.description da UDM. No analisador atual do firewall da Palo Alto Networks, o campo de registro category é mapeado para o campo security_result.category_details do UDM. Se você migrar para o analisador de firewall atual da Palo Alto Networks e usar o campo category nas suas regras, será necessário modificar as regras para usar o campo security_result.category_details da UDM do analisador atual.

Configurar o syslog e o encaminhador do Google Security Operations

Para configurar o syslog e o encaminhador do Google Security Operations, siga estas etapas:

Para monitorar registros CSV, configure o perfil do servidor syslog. Para mais informações, consulte Configurar o perfil do servidor syslog.

Ao configurar o perfil do servidor syslog, especifique "Padrão" como o formato de registro personalizado.
Para monitorar registros CEF, configure o firewall da Palo Alto Networks para encaminhar esses registros. Para mais informações, faça o download do PDF do guia de integração do CEF do PAN-OS e consulte a seção "Configuração do NGFW da Palo Alto Networks para gerar eventos do CEF".
Para monitorar registros LEEF, configure o perfil do servidor syslog. Para mais informações, consulte Encaminhamento de registros personalizados no formato LEEF.
Configure o encaminhador do Google Security Operations para enviar registros ao Google Security Operations. Para mais informações, consulte Instalar e configurar o encaminhador no Linux. Confira a seguir um exemplo de configuração de encaminhador do Google Security Operations:
```
  - syslog:
      common:
        enabled: true
        data_type: PAN_FIREWALL
        batch_n_seconds: 10
        batch_n_bytes: 1048576
      tcp_address: 0.0.0.0:10518
      connection_timeout_sec: 60
```

Formatos de registros de firewall da Palo Alto Networks compatíveis

O analisador de firewall da Palo Alto Networks oferece suporte a registros nos formatos LEEF,CEF e CSV.

Registros de amostra de firewall da Palo Alto Networks compatíveis

LEEF

<14>Jan 22 02:20:19 device_host LEEF:1.0|Palo Alto Networks|PAN-OS Syslog Integration|10.2.12-h4|Microsoft MSOFFICE(52033)|ReceiveTime=2025/01/22 02:20:18|SerialNumber=01250100xxxx|cat=THREAT|Subtype=wildfire|devTime=Jan 22 2025 08:20:18 GMT|src=198.50.100.1|dst=198.50.100.2|srcPostNAT=198.50.100.3|dstPostNAT=198.50.100.4|RuleName=AZURE-US-NEW-CNF_Inbound_To_Azure-ALLOW|usrName=|SourceUser=|DestinationUser=|Application=smtp-base|VirtualSystem=vsys1|SourceZone=McD-Global-Zone|DestinationZone=Azure-Zone|IngressInterface=ae1.111|EgressInterface=ae2.409|LogForwardingProfile=Default-Traffic-Logging|SessionID=35331795|RepeatCount=1|srcPort=21578|dstPort=25|srcPostNATPort=0|dstPostNATPort=0|Flags=0x2000|proto=tcp|action=allow|Miscellaneous=\"......3...................xls\"|ThreatID=Microsoft MSOFFICE(52033)|URLCategory=malicious|sev=4|Severity=high|Direction=client-to-server|sequence=7462614601465681755|ActionFlags=0x8000000000000000|SourceLocation=198.50.100.1-198.50.100.255|DestinationLocation=United States|ContentType=|PCAP_ID=0|FileDigest=0ea04c99bf188c2e4207f60f92ca7c6f5088c7943ee63f45c50032bbd2bf7ea9|Cloud=demo.com|URLIndex=1|RequestMethod=|FileType=ms-office|Sender=sender@ab.myownpersonaldomain.com|Subject=\"............:.................................................................................-.........(Name)-2025-01-22...............:Y107202501220005, ............:........................, ...............:.........\"|Recipient=abc@demo.myownpersonaldomain.com|ReportID=117022282776|DeviceGroupHierarchyL1=143|DeviceGroupHierarchyL2=144|DeviceGroupHierarchyL3=39|DeviceGroupHierarchyL4=0|vSrcName=|DeviceName=device_host|SrcUUID=|DstUUID=|TunnelID=0|MonitorTag=|ParentSessionID=0|ParentStartTime=|TunnelType=N/A|ThreatCategory=N/A|ContentVer=WildFire-0

CEF

14>1 2024-04-04T16:21:56+02:00 FW-PERIMETRAL-AVG-01 - - - - CEF:0|Palo Alto Networks|PAN-OS|10.1.10-h2|end|TRAFFIC|1|src=198.51.100.1 dst=198.51.100.2 srcTranslatedAddress=198.51.100.3 dstTranslatedAddress=198.51.100.4 rule=FW_USER_NATS2_APP suser= duser= app=bittorrent vs=vsys1 sz=INSIDE dz=EXTERNAL InboundInterface=ae2.2266 OutboundInterface=ae1 lp=log_forwarding sid=2935823 cnt=1 spt=6881 dpt=51413 srcTranslatedPort=0 dstTranslatedPort=0 flags=0x7a proto=udp act=allow tbytes=475 in=150 out=325 pkt=2 pktReceived=1 pktSent=1 start=Apr 04 2024 14:21:56 GMT stime=1206 urlcat=any externalId=externalId reason=aged-out DGl1=11 DGl2=161 DGl3=0 DGl4=0 VsysName=STONESOFT dvchost=FW-PERIMETRAL-AVG-01 cat=from-policy ActionFlags=0x8000000000000000 srcUUID= dstUUID= TunnelID=0 MonitorTag= ParentSessionID=0 ParentStartTime= TunnelType=N/A SCTPAssocID=0 SCTPChunks=0 SCTPChunkSent=0 SCTPChunksRcv=0 RuleUUID=746c3eb6-3d51-4679-8438-bd0e00e170a8 HTTP2Con=0 LinkChange=0 PolicyID= LinkDetail= SDWANCluster= SDWANDevice= SDWANClustype= SDWANSite= DynamicUsrgrp= XFFIP= srcDevCat= srcDevProf= srcDevModel= srcDevVendor= srcDevOS= srcDevOSv= srcHostname= srcMac= dstDevCat= dstDevProf= dstDevModel= dstDevVendor= dstDevOS= dstDevOSv= dstHostname= dstMac= ContainerName= PODNamespace= PODName= srcEDL= dstEDL= GPHostID= EPSerial= srcDAG= dstDAG= HASessionOwner= TimeHighRes=2024-04-04T16:21:56.250+02:00 ASServiceType= ASServiceDiff="

CSV

1,2021/10/24 15:30:07,,CONFIG,0,2561,2021/10/24 15:30:07,198.51.100.0,,set,admin,Web,Succeeded, network virtual-router  VR1,,VR1  { ecmp { algorithm { ip-modulo ; } } protocol { bgp { routing-options { graceful-restart { enable yes; } } enable no; } rip { enable no; } ospf { enable no; } ospfv3 { enable no; } } routing-table { ip { static-route { vr1-log  { path-monitor { enable no; failure-condition any; hold-time 2; } nexthop { ip-address 198.51.100.0; } bfd { profile None; } interface ethernet1/1; metric 10; destination 0.0.0.0/0; route-table { unicast ; } } } } } interface [ ethernet1/1 ethernet1/2 ]; } ,7022390503849066572,0x0,0,0,0,0,,PA-VM,0,

Referência de mapeamento de campos: campos de registros de firewall da PAN para campos da UDM

Nesta seção, explicamos como o analisador mapeia campos de registro de firewall da Palo Alto Networks para campos de eventos da UDM do Google Security Operations em cada tipo de registro.

A chave de rótulo do Google Security Operations se refere ao nome da chave mapeada para o campo UDM "Labels.key". Por exemplo, no caso do campo "Virtual System", o nome do campo é "cs3" no formato CEF e "VirtualSystem" no formato LEEF. O campo "about.labels.key" do UDM contém o valor "vsys", e o campo "about.labels.value" do UDM contém o valor desse campo.

Alguns nomes de campos CEF ou LEEF não têm um nome correspondente aos nomes de campos CSV. Nesses casos, se você adicionar seu próprio nome de variável no formato de registro personalizado no perfil do syslog, o analisador não vai mapeá-lo para o campo do UDM.

Consulte as seções a seguir para ver a referência de mapeamento de cada tipo de registro:

Sistema
Config
Ameaça/incêndio florestal
Tráfego
ID do usuário
Correspondência de HIP
Tag de IP
Descriptografia
Tunnel
Authentication
URL
Dados
GlobalProtect
Correlação
GTP

Sistema

A tabela a seguir lista os campos de registro do tipo de registro do sistema e os campos correspondentes da UDM.

Campo CSV	Campo CEF	Campo LEEF	Chave do rótulo do Google Security Operations	Campo do UDM
Horário de recebimento (receive_time ou cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (se "Generate Time" estiver ausente)
Número de série (serial)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Tipo (tipo)	type (Header)	gato		metadata.product_event_type está definido como "%{type} - %{subtype}".
Tipo de ameaça/conteúdo (subtipo)	subtype (Header)	Subtipo		metadata.product_event_type está definido como "%{type} - %{subtype}".
Horário gerado (time_generated ou cef-formatted-time_generated)				metadata.event_timestamp
Sistema virtual (vsys)	cs3	VirtualSystem	vsys	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID do evento (eventid)	gato		eventid	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Objeto (objeto)	fname	Nome do arquivo	objeto	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Módulo (módulo)	flexString2	Módulo	module	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Gravidade (severity)	$number-of-severity(header)	Gravidade		security_result.severity e security_result.severity_details
Descrição (opaca)	msg	msg		metadata.description
	principal_user_userid (extraído do campo "msg")			principal.user.userid
	principal_ip3 (extraído do campo "msg")			principal.ip
	Motivo (este campo é extraído do campo "msg")			security_result.description
	server_address (este campo é extraído do campo "msg").			target.ip
	server_profile (esse campo é extraído do campo "msg")			additional.fields.key e additional.fields.value.string_value
Número de sequência (seqno)	externalId	sequência		metadata.product_log_id
Flags de ação (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hierarquia de grupos de dispositivos (dg_hier_level_1 a dg_hier_level_4)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hierarquia do grupo de dispositivos (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hierarquia de grupos de dispositivos (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hierarquia de grupo de dispositivos (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome do sistema virtual (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nome do dispositivo (device_name)	dvchost	DeviceName		intermediary.hostname
Carimbo de data/hora de alta resolução (high_res_timestamp)	anOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp (se "Generate Time" estiver ausente)

Configuração

A tabela a seguir lista os campos de registro do tipo de registro de configuração e os campos correspondentes da UDM.

Campo CSV	Campo CEF	Campo LEEF	Chave do rótulo do Google Security Operations	Campo do UDM
Horário de recebimento (receive_time ou cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (se "Generate Time" estiver ausente)
Número de série (serial)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Tipo (tipo)	type (Header)	gato		metadata.product_event_type
Tipo de ameaça/conteúdo (subtipo)	subtype (Header)			metadata.product_event_type
Horário gerado (time_generated ou cef-formatted-time_generated)				metadata.event_timestamp
Host (host)	shost	src		principal.ip/hostname
Sistema virtual (vsys)	cs3	VirtualSystem	vsys	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Comando (cmd)	age	msg	cmd	metadata.description
Administrador (admin)	duser	usrName		principal.user.userid
Cliente (cliente)	destinationServiceName	cliente		principal.application
Resultado (result)	ID da assinatura (cabeçalho)(motivo)	Resultado		security_result.summary
Caminho de configuração (caminho)	msg	ConfigurationPath		principal.process.command_line
Detalhe antes da mudança (before_change_detail)	cs1	BeforeChangeDetail	before_change_detail	target.resource.attribute.labels.key/value
Detalhe após a mudança (after_change_detail)	cs2	AfterChangeDetail	after_change_detail	target.resource.attribute.labels.key/value
Número de sequência (seqno)	externalId	sequência		metadata.product_log_id
Flags de ação (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hierarquia de grupos de dispositivos (dg_hier_level_1 a dg_hier_level_4)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hierarquia do grupo de dispositivos (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hierarquia de grupos de dispositivos (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hierarquia de grupo de dispositivos (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome do sistema virtual (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nome do dispositivo (device_name)	dvchost	DeviceName		intermediary.hostname
Grupo de dispositivos (dg_id)	PanOSFWDeviceGroup		dg_id	principal.asset.attribute.labels.key/value
Comentário de auditoria (comment)	PanOSPolicyAuditComment		comentário	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Gravidade (severity)	number-of-severity(header)			security_result.severity e security_result.severity_details

Ameaça/WildFire

A tabela a seguir lista os campos de registro do tipo de registro de ameaça/WildFire e os campos correspondentes da UDM.

Campo CSV	Campo CEF	Campo LEEF	Chave do rótulo do Google Security Operations	Campo do UDM
Horário de recebimento (receive_time ou cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (se "Generate Time" estiver ausente)
Número de série	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Tipo (tipo)	type (Header)	gato		metadata.product_event_type
Tipo de ameaça/conteúdo (subtipo)	cat/subtype (cabeçalho)	Subtipo		metadata.product_event_type
Gerar carimbo de data/hora (time_generated ou cef-formatted-time_generated)				metadata.event_timestamp
Endereço de origem (src)	src	src		principal.ip
Endereço de destino (dst)	dst	dst		target.ip
IP de origem NAT (natsrc)	sourceTranslatedAddress	srcPostNAT		principal.nat_ip
IP de destino NAT (natdst)	destinationTranslatedAddress	dstPostNAT		target.nat_ip
Nome da regra (regra)	cs1	RuleName		security_result.rule_name
Usuário de origem (srcuser)	suser	SourceUser / usrName		principal.user.userid
Usuário de destino (dstuser)	duser	DestinationUser		target.user.userid
Aplicativo	app	Aplicativo		target.application
Sistema virtual (vsys)	cs3	VirtualSystem	vsys	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Zona de origem (de)	cs4	SourceZone	de	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Zona de destino (para)	cs5	DestinationZone	a	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Interface de entrada (inbound_if)	deviceInboundInterface	IngressInterface	inbound_if	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Interface de saída (outbound_if)	deviceOutboundInterface	EgressInterface	outbound_if	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Ação de registro (logset)	cs6	LogForwardingProfile	logset	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID da sessão (sessionid)	cn1	SessionID		network.session_id
Contagem de repetições (repeatcnt)	cnt	RepeatCount	repeatcnt	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Porta de origem (sport)	spt	srcPort		principal.port
Porta de destino (dport)	dpt	dstPort		target.port
Porta de origem NAT (natsport)	sourceTranslatedPort	srcPostNATPort		principal.nat_port
Porta de destino do NAT (natdport)	destinationTranslatedPort	dstPostNATPort		target.nat_port
Flags (flags)	flexString1	Sinalizações	flags	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Protocolo IP (proto)	proto	proto		network.ip_protocol
Ação (action)	age	ação		security_result.action_details security_result.action
URL/nome do arquivo (misc)	solicitação	Diversos		target.file.full_path (se o subtipo for "file", "virus", "wildfire-virus" ou "wildfire", o campo "misc" será mapeado para target.file.full_path) target.url (se o subtipo for "url", o campo "misc" será mapeado para target.url e target.hostname) target.hostname (se o subtipo for "spyware" ou "vulnerability", o campo "misc" será mapeado para target.file.full_path e target.url)
Nome da ameaça/conteúdo (threatid)	gato	ThreatID		security_result.threat_name
Categoria (category)	cs2	URLCategory		security_result.category_details
Gravidade (severity)	number-of-severity(header)	Gravidade		security_result.severity e security_result.severity_details
Direção (direction)	flexString2	Direção		network.direction
Número de sequência (seqno)	externalId	sequência		metadata.product_log_id
Flags de ação (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
País de origem (srcloc)		SourceLocation		principal.location.country_or_region
País de destino (dstloc)		DestinationLocation		target.location.country_or_region
Tipo de conteúdo (contenttype)		ContentType	contenttype	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID do PCAP (pcap_id)	fileId	PCAP_ID	pcap_id	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Resumo de arquivo (filedigest)	fileHash	FileDigest		about.file.sha1/md5/sha256
Nuvem (nuvem)	filePath	Nuvem	nuvem	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Índice de URL (url_idx)		URLIndex	url_idx	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
User agent (user_agent)				network.http.user_agent
Tipo de arquivo (filetype)	fileType	FileType		about.file.mime_type
X-Forwarded-For (xff)				principal.ip
Referenciador (referer)				network.http.referral_url
Remetente (sender)	suid	Remetente		network.email.from
Assunto (subject)	msg	Assunto		network.email.subject
Destinatário (destinatário)	duid	Destinatário		network.email.to
ID do relatório (reportid)	oldFileId	ReportID	reportid	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hierarquia de grupos de dispositivos (dg_hier_level_1 a dg_hier_level_4)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hierarquia do grupo de dispositivos (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hierarquia de grupos de dispositivos (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hierarquia de grupo de dispositivos (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome do sistema virtual (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nome do dispositivo (device_name)	dvchost	DeviceName		intermediary.hostname
UUID da VM de origem (src_uuid)	PanOSSrcUUID	SrcUUID		principal.user.product_object_id
UUID da VM de destino (dst_uuid)	PanOSDstUUID	DstUUID		target.user.product_object_id
Método HTTP (http_method)		RequestMethod		network.http.method
ID do túnel/IMSI (tunnel_id/imsi)	PanOSTunnelID	TunnelID	tunnel_id/imsi	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Monitorar tag/IMEI (monitortag/imei)	PanOSMonitorTag	MonitorTag	monitortag/imei	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID da sessão principal (parent_session_id)	PanOSParentSessionID	ParentSessionID	parent_session_id	network.parent_session_id
Horário de início da sessão principal (parent_start_time)	PanOSParentStartTime	ParentStartTime	parent_start_time	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Tipo de túnel (túnel)	PanOSTunnelType	TunnelType	túnel	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Categoria de ameaça (thr_category)	PanOSThreatCategory	ThreatCategory	thr_category	security_result.detection_fields.key/value
Versão do conteúdo (contentver)	PanOSContentVer	ContentVer	contentver	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID da associação SCTP (assoc_id)	PanOSAssocID		assoc_id	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID do protocolo de payload (ppid)	PanOSPPID		ppid	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Cabeçalhos HTTP (http_headers)	PanOSHTTPHeader		http_headers	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Lista de categorias de URL (url_category_list)	PanOSURLCatList		url_category_list	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
UUID da regra (rule_uuid)	PanOSRuleUUID			security_result.rule_id
Conexão HTTP/2 (http2_connection)	PanOSHTTP2Con		http2_connection	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome do grupo dinâmico de usuários (dynusergroup_name)	PanDynamicUsrgrp		dynusergroup_name	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Endereço XFF (xff_ip)	PanXFFIP			principal.ip
Categoria do dispositivo de origem (src_category)	PanSrcDeviceCat		src_category	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Perfil do dispositivo de origem (src_profile)	PanSrcDeviceProf		src_profile	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Modelo do dispositivo de origem (src_model)	PanSrcDeviceModel		src_model	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Fornecedor do dispositivo de origem (src_vendor)	PanSrcDeviceVendor		src_vendor	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Família do SO do dispositivo de origem (src_osfamily)	PanSrcDeviceOS		src_osfamily	principal.asset.platform_software.platform principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Versão do SO do dispositivo de origem (src_osversion)	PanSrcDeviceOSv			principal.asset.software.version
Nome do host de origem (src_host)	PanSrcHostname			principal.hostname
Endereço MAC de origem (src_mac)	PanSrcMac			principal.mac
Categoria do dispositivo de destino (dst_category)	PanDstDeviceCat		dst_category	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Perfil do dispositivo de destino (dst_profile)	PanDstDeviceProf		dst_profile	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Modelo do dispositivo de destino (dst_model)	PanDstDeviceModel		dst_model	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Fornecedor do dispositivo de destino (dst_vendor)	PanDstDeviceVendor		dst_vendor	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Família do SO do dispositivo de destino (dst_osfamily)	PanDstDeviceOS		dst_osfamily	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Versão do SO do dispositivo de destino (dst_osversion)	PanDstDeviceOSv			target.asset.software.version
Nome do host de destino (dst_host)	PanDstHostname			target.hostname
Endereço MAC de destino (dst_mac)	PanDstMac			target.mac
ID do contêiner (container_id)	PanContainerName		container_id	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Namespace do POD (pod_namespace)	PanPODNamespace		pod_namespace	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome do POD (pod_name)	PanPODName		pod_name	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Lista dinâmica externa de origem (src_edl)	PanSrcEDL		src_edl	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Lista dinâmica externa de destino (dst_edl)	PanDstEDL		dst_edl	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID do host (hostid)	PanGPHostID		hostid	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Número de série do dispositivo do usuário (serialnumber)	PanEPSerial			principal.asset.hardware.serial_number
EDL de domínio (domain_edl)	PanDomainEDL		domain_edl	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Grupo de endereços dinâmicos de origem (src_dag)	PanSrcDAG			principal.group.group_display_name
Grupo de endereços dinâmicos de destino (dst_dag)	PanDstDAG			target.group.group_display_name
Hash parcial (partial_hash)	PanPartialHash		partial_hash	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Carimbo de data/hora de alta resolução (high_res timestamp)	PanTimeHighRes		marcação de tempo de alta resolução	metadata.collected_timestamp, metadata.event_timestamp (se "Generate Time" estiver ausente)
Motivo (reason)	PanReasonFilteringAction		reason	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Justificativa (justification)	PanJustification		justificativa	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Um tipo de serviço de intervalo (nssai_sst)	PanASServiceType		nssai_sst	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Subcategoria do aplicativo (subcategory_of_app)			subcategory_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Categoria do aplicativo (category_of_app)			category_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Tecnologia de aplicativos (technology_of_app)			technology_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Risco do aplicativo (risk_of_app)			risk_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Característica do aplicativo (characteristic_of_app)			characteristic_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Contêiner do aplicativo (container_of_app)			container_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
SaaS de aplicativo (is_saas_of_app)			is_saas_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Estado autorizado do aplicativo (sanctioned_state_of_app)			sanctioned_state_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value

Tráfego

A tabela a seguir lista os campos de registro do tipo de registro de tráfego e os campos correspondentes da UDM.

Campo CSV	Campo CEF	Campo LEEF	Chave do rótulo do Google Security Operations	Campo do UDM
Horário de recebimento (receive_time ou cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (se "Generate Time" estiver ausente)
Número de série (serial)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Tipo (tipo)	type (Header)	cat/Type		metadata.product_event_type
Tipo de ameaça/conteúdo (subtipo)	subtype (Header)	Subtipo		metadata.product_event_type
Horário gerado (time_generated ou cef-formatted-time_generated)	start			metadata.event_timestamp
Endereço de origem (src)	src	src		principal.ip
Endereço de destino (dst)	dst	dst		target.ip
IP de origem NAT (natsrc)	sourceTranslatedAddress	srcPostNAT		principal.nat_ip
IP de destino NAT (natdst)	destinationTranslatedAddress	dstPostNAT		target.nat_ip
Nome da regra (regra)	cs1	RuleName		security_result.rule_name
Usuário de origem (srcuser)	suser	SourceUser		principal.user.userid
Usuário de destino (dstuser)	duser	DestinationUser		target.user.userid
Aplicativo	app	Aplicativo		target.application
Sistema virtual (vsys)	cs3	VirtualSystem	vsys	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Zona de origem (de)	cs4	SourceZone	de	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Zona de destino (para)	cs5	DestinationZone	a	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Interface de entrada (inbound_if)	deviceInboundInterface	IngressInterface	inbound_if	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Interface de saída (outbound_if)	deviceOutboundInterface	EgressInterface	outbound_if	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Ação de registro (logset)	cs6	LogForwardingProfile	logset	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID da sessão (sessionid)	cn1	SessionID		network.session_id
Contagem de repetições (repeatcnt)	cnt	RepeatCount	repeatcnt	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Porta de origem (sport)	spt	srcPort		principal.port
Porta de destino (dport)	dpt	dstPort		target.port
Porta de origem NAT (natsport)	sourceTranslatedPort	srcPostNATPort		principal.nat_port
Porta de destino do NAT (natdport)	destinationTranslatedPort	dstPostNATPort		target.nat_port
Flags (flags)	flexString1	Sinalizações	flags	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Protocolo IP (proto)	proto	proto		network.ip_protocol
Ação (action)	age	ação		security_result.action_details security_result.action
Bytes (bytes)	flexNumber1	totalBytes	bytes	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Bytes enviados (bytes_sent)	em	srcBytes		network.sent_bytes
Bytes recebidos (bytes_received)	out	dstBytes		network.received_bytes
Pacotes (pacotes)	cn2	totalPackets	pacotes	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Horário de início (início)		StartTime	start	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Tempo decorrido (elapsed)	cn3	ElapsedTime	decorrido	network.session_duration.seconds
Categoria (category)	cs2	URLCategory		security_result.category / security_result.category_details
Número de sequência (seqno)	externalId	sequência		metadata.product_log_id
Flags de ação (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
País de origem (srcloc)		SourceLocation		principal.location.country_or_region
País de destino (dstloc)		DestinationLocation		target.location.country_or_region
Pacotes enviados (pkts_sent)	PanOSPacketsSent	srcPackets	pkts_sent	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Pacotes recebidos (pkts_received)	PanOSPacketsReceived	dstPackets	pkts_received	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Motivo do término da sessão (session_end_reason)	reason	SessionEndReason		security_result.summary
Hierarquia do grupo de dispositivos 1 (dg_hier_level_1 a dg_hier_level_4)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hierarquia de grupo de dispositivos 2 (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hierarquia de grupo de dispositivos 3 (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hierarquia de grupo de dispositivos (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome do sistema virtual (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nome do dispositivo (device_name)	dvchost	DeviceName		intermediary.hostname
Origem da ação (action_source)	gato	ActionSource	action_source	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
UUID da VM de origem (src_uuid)	PanOSSrcUUID	SrcUUID		principal.asset.product_object_id
UUID da VM de destino (dst_uuid)	PanOSDstUUID	DstUUID		target.asset.product_object_id
ID do túnel/IMSI (tunnelid/imsi)	PanOSTunnelID	TunnelID	tunnelid/imsi	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Monitorar tag/IMEI (monitortag/imei)	PanOSMonitorTag	MonitorTag	monitortag/imei	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID da sessão principal (parent_session_id)	PanOSParentSessionID	ParentSessionID	parent_session_id	network.parent_session_id
Horário de início do evento principal (parent_start_time)	PanOSParentStartTime	ParentStartTime	parent_start_time	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Tipo de túnel (túnel)	PanOSTunnelType	TunnelType	túnel	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID da associação SCTP (assoc_id)	PanOSSCTPAssocID		assoc_id	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Fragmentos SCTP (fragmentos)	PanOSSCTPChunks		pedaços	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Fragmentos SCTP enviados (chunks_sent)	PanOSSCTPChunkSent		chunks_sent	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Blocos SCTP recebidos (chunks_received)	PanOSSCTPChunksRcv		chunks_received	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
UUID da regra (rule_uuid)	PanOSRuleUUID			security_result.rule_id
Conexão HTTP/2 (http2_connection)	PanOSHTTP2Con		http2_connection	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Contagem de flaps do app (link_change_count)	PanLinkChange		link_change_count	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID da política (policy_id)	PanPolicyID		policy_id	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Chaves de link (link_switches)	PanLinkDetail		link_switches	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Cluster SD-WAN (sdwan_cluster)	PanSDWANCluster		sdwan_cluster	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Tipo de dispositivo SD-WAN (sdwan_device_type)	PanSDWANDevice		sdwan_device_type	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Tipo de cluster SD-WAN (sdwan_cluster_type)	PanSDWANClustype		sdwan_cluster_type	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Site SD-WAN (sdwan_site)	PanSDWANSite		sdwan_site	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome do grupo dinâmico de usuários (dynusergroup_name)	PanDynamicUsrgrp		dynusergroup_name	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Endereço XFF (xff_ip)	PanXFFIP			principal.ip
Categoria do dispositivo de origem (src_category)	PanSrcDeviceCat		src_category	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Perfil do dispositivo de origem (src_profile)	PanSrcDeviceProf		src_profile	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Modelo do dispositivo de origem (src_model)	PanSrcDeviceModel		src_model	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Fornecedor do dispositivo de origem (src_vendor)	PanSrcDeviceVendor		src_vendor	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Família do SO do dispositivo de origem (src_osfamily)	PanSrcDeviceOS			principal.asset.platform_software.platform principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Versão do SO do dispositivo de origem (src_osversion)	PanSrcDeviceOSv			principal.asset.software.version
Nome do host de origem (src_host)	PanSrcHostname			principal.hostname
Endereço MAC de origem (src_mac)	PanSrcMac			principal.mac
Categoria do dispositivo de destino (dst_category)	PanDstDeviceCat		dst_category	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Perfil do dispositivo de destino (dst_profile)	PanDstDeviceProf		dst_profile	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Modelo do dispositivo de destino (dst_model)	PanDstDeviceModel		dst_model	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Fornecedor do dispositivo de destino (dst_vendor)	PanDstDeviceVendor		dst_vendor	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Família do SO do dispositivo de destino (dst_osfamily)	PanDstDeviceOS		dst_osfamily	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Versão do SO do dispositivo de destino (dst_osversion)	PanDstDeviceOSv			target.asset.software.version
Nome do host de destino (dst_host)	PanDstHostname			target.hostname
Endereço MAC de destino (dst_mac)	PanDstMac			target.mac
ID do contêiner (container_id)	PanContainerName		container_id	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Namespace do POD (pod_namespace)	PanPODNamespace		pod_namespace	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome do POD (pod_name)	PanPODName		pod_name	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Lista dinâmica externa de origem (src_edl)	PanSrcEDL		src_edl	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Lista dinâmica externa de destino (dst_edl)	PanDstEDL		dst_edl	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
ID do host (hostid)	PanGPHostID		hostid	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Número de série do dispositivo do usuário (serialnumber)	PanEPSerial			principal.asset.hardware.serial_number
Grupo de endereços dinâmicos de origem (src_dag)	PanSrcDAG			principal.group.group_display_name
Grupo de endereços dinâmicos de destino (dst_dag)	PanDstDAG			target.group.group_display_name
Proprietário da sessão (session_owner)	PanHASessionOwner		session_owner	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Carimbo de data/hora de alta resolução (high_res_timestamp)	PanTimeHighRes			metadata.collected_timestamp, metadata.event_timestamp (se "Generate Time" estiver ausente)
Um tipo de serviço de fração (nsdsai_sst)	PanASServiceType		nsdsai_sst	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Um diferenciador de fração (nsdsai_sd)	PanASServiceDiff		nsdsai_sd	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Subcategoria do aplicativo (subcategory_of_app)			subcategory_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Categoria do aplicativo (category_of_app)			category_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Tecnologia de aplicativos (technology_of_app)			technology_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Risco do aplicativo (risk_of_app)				security_result.severity
Característica do aplicativo (characteristic_of_app)			characteristic_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Contêiner do aplicativo (container_of_app)			container_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
SaaS de aplicativo (is_saas_of_app)			is_saas_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Estado autorizado do aplicativo (sanctioned_state_of_app)			sanctioned_state_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Subcategoria do aplicativo (subcategory_of_app)			subcategory_of_app1	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Gravidade (severity)	number-of-severity(header)			security_result.severity e security_result.severity_details

User-ID

A tabela a seguir lista os campos de registro do tipo de registro de ID do usuário e os campos correspondentes da UDM.

Campo CSV	Campo CEF	Campo LEEF	Chave do rótulo do Google Security Operations	Campo do UDM
Horário de recebimento (receive_time ou cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (se "Generate Time" estiver ausente)
Número de série (serial)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Tipo (tipo)	type (Header)	gato		metadata.product_event_type
Tipo de ameaça/conteúdo (subtipo)	subtype (Header)	Subtipo		metadata.product_event_type
Horário gerado (time_generated ou cef-formatted-time_generated)				metadata.event_timestamp
Sistema virtual (vsys)	cs3	VirtualSystem	vsys	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
IP de origem (ip)	src	src		principal.ip
Usuário (user)	duser	usrName		target.user.userid target.administrative_domain target.user.email_addresses
Nome da fonte de dados (datasourcename)	cs4	DataSourceName	datasourcename	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
ID do evento (eventid)		EventID	eventid	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Contagem de repetições (repeatcnt)	cnt	RepeatCount	repeatcnt	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Limite de tempo limite	cn3	TimeoutThreshold	timeout	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Porta de origem (beginport)	spt	srcPort		principal.port
Porta de destino (endport)	dpt	dstPort		target.port
Fonte de dados	cs5	DataSource	fonte de dados	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Tipo de fonte de dados (datasourcetype)	cs6	DataSourceType	datasourcetype	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Número de sequência (seqno)	externalId	sequência		metadata.product_log_id
Flags de ação (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hierarquia de grupos de dispositivos (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hierarquia do grupo de dispositivos (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hierarquia de grupos de dispositivos (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hierarquia de grupo de dispositivos (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome do sistema virtual (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nome do dispositivo (device_name)	dvchost	DeviceName		intermediary.hostname
ID do sistema virtual (vsys_id)	cn2	VirtualSystemID		principal.resource.resource_type=VIRTUAL_MACHINE and principal.resource.product_object_id
Tipo de fator (factortype)	cs1	FactorType	factortype	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Tempo de conclusão do fator (factorcompletiontime)	end	FactorCompletionTime	factorcompletiontime	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Número do fator (factorno)	cn1	FactorNumber	factorno	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Flags de grupo de usuários (ugflags)	PanOSUGFlags		ugflags	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Usuário por origem (userbysource)	PanOSUserBySource			principal.user.userid principal.administrative_domain principal.user.email_addresses
Carimbo de data/hora de alta resolução (high_res timestamp)	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp (se "Generate Time" estiver ausente)
Gravidade (severity)	number-of-severity(header)			security_result.severity e security_result.severity_details

Correspondência de HIP

A tabela a seguir lista os campos de registro do tipo de registro de correspondência de HIP e os campos correspondentes da UDM.

Campo CSV	Campo CEF	Campo LEEF	Chave do rótulo do Google Security Operations	Campo do UDM
Horário de recebimento (receive_time ou cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (se "Generate Time" estiver ausente)
Número de série (serial)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Tipo (tipo)	type (Header)	gato		metadata.product_event_type
Tipo de ameaça/conteúdo (subtipo)	subtype (Header)	Subtipo
Horário gerado (time_generated ou cef-formatted-time_generated)	start	startTime		metadata.event_timestamp
Usuário de origem (srcuser)	suser	usrName		principal.user.userid
Sistema virtual (vsys)	cs3	VirtualSystem	vsys	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome da máquina (machinename)	shost	identHostName		principal.hostname
Sistema operacional (os)	cs2	SO		principal.asset.platform_software.platform
Endereço de origem (src)	src	identsrc		principal.ip
HIP (matchname)	gato	HIP	matchname	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Contagem de repetições (repeatcnt)	cnt	RepeatCount	repeatcnt	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Tipo de HIP (matchtype)	ID da classe de evento do dispositivo (cabeçalho)	HIPType	matchtype	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Número de sequência (seqno)	externalId	sequência		metadata.product_log_id
Flags de ação (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hierarquia de grupos de dispositivos (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hierarquia do grupo de dispositivos (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hierarquia de grupos de dispositivos (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hierarquia de grupo de dispositivos (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome do sistema virtual (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nome do dispositivo (device_name)	dvchost	DeviceName		intermediary.hostname
ID do sistema virtual (vsys_id)	cn2	VirtualSystemID		principal.resource.resource_type=VIRTUAL_MACHINE and principal.resource.product_object_id
Endereço IPv6 do sistema (srcipv6)	c6a2	srcipv6		principal.asset.ip
ID do host (hostid)	PanOSHostID			principal.asset.product_object_id
Número de série do dispositivo do usuário (serialnumber)	PanOSEndpointSerialNumber			principal.asset.hardware.serial_number
Endereço MAC do dispositivo (mac)	PanOSEndpointMac			principal.asset.mac
Carimbo de data/hora de alta resolução (high_res_timestamp)	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp (se "Generate Time" estiver ausente)
Gravidade (severity)	number-of-severity(header)			security_result.severity e security_result.severity_details

Tag de IP

A tabela a seguir lista os campos de registro do tipo de registro de tag de IP e os campos correspondentes da UDM.

Campo CSV	Campo CEF	Campo LEEF	Chave do rótulo do Google Security Operations	Campo do UDM
Horário de recebimento (receive_time ou cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (se "Generate Time" estiver ausente)
Número de série (serial)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Tipo (tipo)	type (Header)	gato		metadata.product_event_type
Tipo de ameaça/conteúdo (subtipo)	subtype (Header)	Subtipo		metadata.product_event_type
Horário gerado (time_generated ou cef-formatted-time_generated)		GenerateTime		metadata.event_timestamp
Sistema virtual (vsys)	cs3	VirtualSystem	vsys	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
IP de origem (ip)	src	src		principal.ip
Nome da tag (tag_name)	PanOSTagName	TagName	tag_name	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
ID do evento (event_id)	PanOSEventID	EventID	event_id	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Contagem de repetições (repeatcnt)	cnt	RepeatCount	repeatcnt	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Tempo limite (timeout)	PanOSTimeout	TimeoutThreshold	timeout	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome da fonte de dados (datasourcename)	PanOSDataSourceName	DataSourceName	datasourcename	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Tipo de fonte de dados (datasource_type)	PanOSDataSourceType	DataSource	datasource_type	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Subtipo de origem de dados (datasource_subtype)	PanOSDataSourceSubType	DataSourceType	datasource_subtype	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Número de sequência (seqno)	externalId	sequência		metadata.product_log_id
Flags de ação (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hierarquia de grupos de dispositivos (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hierarquia do grupo de dispositivos (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hierarquia de grupos de dispositivos (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hierarquia de grupo de dispositivos (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome do sistema virtual (vsys_name)	PanOsVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nome do dispositivo (device_name)	dvchost	DeviceName		intermediary.hostname
ID do sistema virtual (vsys_id)	cn2	VirtualSystemID		principal.resource.resource_type=VIRTUAL_MACHINE and principal.resource.product_object_id
Carimbo de data/hora de alta resolução (high_res timestamp)	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp (se "Generate Time" estiver ausente)
Gravidade (severity)	number-of-severity(header)			security_result.severity e security_result.severity_details

Descriptografia

A tabela a seguir lista os campos de registro do tipo de registro de descriptografia e os campos correspondentes da UDM.

Campo CSV	Campo CEF	Campo LEEF	Chave do rótulo do Google Security Operations	Campo do UDM
Horário de recebimento (receive_time ou cef-formatted-receive_time)	rt			metadata.collected_timestamp, metadata.event_timestamp (se "Generate Time" estiver ausente)
Número de série (serial)	PanOSDeviceSN			intermediary.asset.hardware.serial_number
Tipo (tipo)	type (Header)			metadata.product_event_type
Tipo de ameaça/conteúdo (subtipo)	subtype (Header)			metadata.product_event_type
Versão da configuração (config_ver)	PanOSConfigVersion		config_ver	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Horário de geração (time_generated)	PanOSLogTimeStamp			metadata.event_timestamp
Endereço de origem (src)	src			principal.ip
Endereço de destino (dst)	dst			target.ip
IP de origem NAT (natsrc)	sourceTranslatedAddress			principa.nat_ip
IP de destino NAT (natdst)	destinationTranslatedAddress			target.nat_ip
Rule (regra)	cs1			security_result.rule_name
Usuário de origem (srcuser)	suser			principal.user.userid
Usuário de destino (dstuser)	duser			target.user.userid
Aplicativo	app			target.application
Sistema virtual (vsys)	cs3		vsys	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Zona de origem (de)	cs4		de	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Zona de destino (para)	cs5		a	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Interface de entrada (inbound_if)	deviceInboundInterface		inbound_if	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Interface de saída (outbound_if)	deviceOutboundInterface		outbound_if	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Ação de registro (logset)	cs6		logset	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Horário registrado (time_received)	PanOSTimeReceivedManagementPlane			-
ID da sessão (sessionid)	cn1			network.session_id
Contagem de repetições (repeatcnt)	PanOSCountOfRepeats/RepeatCount		repeatcnt	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Porta de origem (sport)	spt			principal.port
Porta de destino (dport)	dpt			target.port
Porta de origem NAT (natsport)	sourceTranslatedPort			principal.nat_port
Porta de destino do NAT (natdport)	destinationTranslatedPort			target.nat_port
Flags (flags)	flexString1		flags	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Protocolo IP (proto)	proto			network.ip_protocol
Ação (action)	age			security_result.action_details security_result.action
Túnel (tunnel)	PanOSTunnel		túnel	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
UUID da VM de origem (src_uuid)	PanOSSourceUUID			principal.asset.asset_id
UUID da VM de destino (dst_uuid)	PanOSDestinationUUID			target.asset.asset_id
UUID da regra (rule_uuid)	PanOSRuleUUID			security_result.rule_id
Estágio de cliente para firewall (hs_stage_c2f)	PanOSClientToFirewall		hs_stage_c2f	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Estágio para firewall para servidor (hs_stage_f2s)	PanOSFirewallToServer		hs_stage_f2s	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Versão do TLS (tls_version)	PanOSTLSVersion			network.tls.version
Algoritmo de troca de chaves (tls_keyxchg)	PanOSTLSKeyExchange		tls_keyxchg	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Algoritmo de criptografia (tls_enc)	PanOSTLSEncryptionAlgorithm		tls_enc	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Algoritmo de hash (tls_auth)	PanOSTLSAuth		tls_auth	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome da política (policy_name)	PanOSPolicyName		policy_name	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Curva elíptica (ec_curve)	PanOSEllipticCurve			network.tls.curve
Índice de erro (err_index)	PanOSErrorIndex		err_index	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Status da raiz (root_status)	PanOSRootStatus		root_status	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Status da cadeia (chain_status)	PanOSChainStatus		chain_status	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Tipo de proxy (proxy_type)	PanOSProxyType		proxy_type	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Número de série do certificado (cert_serial)	PanOSCertificateSerial			network.tls.server.certificate.serial
Impressão digital do certificado (impressão digital)	PanOSFingerprint			network.tls.server.certificate.md5/sha1/sha256
Data de início do certificado (notbefore)	PanOSTimeNotBefore			network.tls.server.certificate.not_before
Data de término do certificado (notafter)	PanOSTimeNotAfter			network.tls.server.certificate.not_after
Versão do certificado (cert_ver)	PanOSCertificateVersion			network.tls.server.certificate.version
Tamanho do certificado (cert_size)	PanOSCertificateSize		cert_size	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Comprimento do nome comum (cn_len)	PanOSCommonNameLength		cn_len	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Comprimento do nome comum do emissor (issuer_len)	PanOSIssuerNameLength		issuer_len	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Comprimento do nome comum da raiz (rootcn_len)	PanOSRootCNLength		rootcn_len	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Comprimento do SNI (sni_len)	PanOSSNILength		sni_len	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Flags de certificado (cert_flags)	PanOSCertificateFlags		cert_flags	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome comum do assunto (cn)	PanOSCommonName		cn	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome comum do emissor (issuer_cn)	PanOSIssuerCommonName			network.tls.server.certificate.issuer
Nome comum da raiz (root_cn)	PanOSRootCommonName		root_cn	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Indicação de nome do servidor (sni)				network.tls.client.server_name
Erro (erro)	PanOSErrorMessage		erro	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID do contêiner (container_id)	PanOSContainerID		container_id	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Namespace do POD (pod_namespace)	PanOSContainerNameSpace		pod_namespace	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome do POD (pod_name)	PanOSContainerName		pod_name	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Lista dinâmica externa de origem (src_edl)	PanOSSourceEDL		src_edl	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Lista dinâmica externa de destino (dst_edl)	PanOSDestinationEDL		dst_edl	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Grupo de endereços dinâmicos de origem (src_dag)	PanOSSourceDynamicAddressGroup			principal.group.group_display_name
Grupo de endereços dinâmicos de destino (dst_dag)	PanOSDestinationDynamicAddressGroup			target.group.group_display_name
Carimbo de data/hora de alta resolução (high_res_timestamp)	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp (se "Generate Time" estiver ausente)
Categoria do dispositivo de origem (src_category)	PanOSSourceDeviceCategory		src_category	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Perfil do dispositivo de origem (src_profile)	PanOSSourceDeviceProfile		src_profile	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Modelo do dispositivo de origem (src_model)	PanOSSourceDeviceModel		src_model	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Fornecedor do dispositivo de origem (src_vendor)	PanOSSourceDeviceVendor		src_vendor	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Família do SO do dispositivo de origem (src_osfamily)	PanOSSourceDeviceOSFamily			principal.asset.platform_software.platform principal.labels.key e principal.labels.value
Versão do SO do dispositivo de origem (src_osversion)	PanOSSourceDeviceOSVersion			principal.asset.software.version
Nome do host de origem (src_host)	PanOSSourceDeviceHost			principal.hostname
Endereço MAC de origem (src_mac)	PanOSSourceDeviceMac			principal.mac
Categoria do dispositivo de destino (dst_category)	PanOSDestinationDeviceCategory		dst_category	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Perfil do dispositivo de destino (dst_profile)	PanOSDestinationDeviceProfile		dst_profile	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Modelo do dispositivo de destino (dst_model)	PanOSDestinationDeviceModel		dst_model	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Fornecedor do dispositivo de destino (dst_vendor)	PanOSDestinationDeviceVendor		dst_vendor	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Família do SO do dispositivo de destino (dst_osfamily)	PanOSDestinationDeviceOSFamily		dst_osfamily	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Versão do SO do dispositivo de destino (dst_osversion)	PanOSDestinationDeviceOSVersion			target.asset.software.version
Nome do host de destino (dst_host)	PanOSDestinationDeviceHost			target.hostname
Endereço MAC de destino (dst_mac)	PanOSDestinationDeviceMac			target.mac
Número de sequência (seqno)	PanOSLogTypeSeqNo			metadata.product_log_id
Flags de ação (actionflags)	PanOSActionFlags		actionflags	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hierarquia de grupos de dispositivos (dg_hier_level_1)		DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hierarquia do grupo de dispositivos (dg_hier_level_2)		DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hierarquia de grupos de dispositivos (dg_hier_level_3)		DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hierarquia de grupo de dispositivos (dg_hier_level_4)		DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome do sistema virtual (vsys_name)				principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nome do dispositivo (device_name)				intermediary.hostname
ID do sistema virtual (vsys_id)				principal.resource.resource_type=VIRTUAL_MACHINE and principal.resource.product_object_id
Subcategoria do aplicativo (subcategory_of_app)			subcategory_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Categoria do aplicativo (category_of_app)			category_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Tecnologia de aplicativos (technology_of_app)			technology_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Risco do aplicativo (risk_of_app)				security_result.severity
Característica do aplicativo (characteristic_of_app)			characteristic_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Contêiner do aplicativo (container_of_app)			container_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
SaaS de aplicativo (is_saas_of_app)			is_saas_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Estado autorizado do aplicativo (sanctioned_state_of_app)			sanctioned_state_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Gravidade (severity)	number-of-severity(header)			security_result.severity e security_result.severity_details

Túnel

A tabela a seguir lista os campos de registro do tipo de registro de túnel e os campos correspondentes da UDM.

Campo CSV	Campo CEF	Campo LEEF	Chave do rótulo do Google Security Operations	Campo do UDM
Horário de recebimento (receive_time ou cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (se "Generate Time" estiver ausente)
Número de série (serial)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Tipo (tipo)	type (Header)	gato		metadata.product_event_type
Tipo de ameaça/conteúdo (subtipo)	subtype (Header)	Subtipo		metadata.product_event_type
Horário gerado (time_generated ou cef-formatted-time_generated)				metadata.event_timestamp
Endereço de origem (src)	src	src		principal.ip
Endereço de destino (dst)	dst	dst		target.ip
IP de origem NAT (natsrc)	sourceTranslatedAddress	srcPostNAT		principal.nat_ip
IP de destino NAT (natdst)	destinationTranslatedAddress	dstPostNAT		target.nat_ip
Nome da regra (regra)	cs1	RuleName		security_result.rule_name
Usuário de origem (srcuser)	suser	SourceUser / usrName		principal.user.userid
Usuário de destino (dstuser)	duser	DestinationUser		target.user.userid
Aplicativo	app	Aplicativo		network.application_protocol
Sistema virtual (vsys)	cs3	VirtualSystem	vsys	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Zona de origem (de)	cs4	SourceZone	de	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Zona de destino (para)	cs5	DestinationZone	a	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Interface de entrada (inbound_if)	deviceInboundInterface	IngressInterface	inbound_if	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Interface de saída (outbound_if)	deviceOutboundInterface	EgressInterface	outbound_if	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Ação de registro (logset)	cs6	LogForwardingProfile	logset	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID da sessão (sessionid)	cn1	SessionID		network.session_id
Contagem de repetições (repeatcnt)	cnt	RepeatCount	repeatcnt	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Porta de origem (sport)	spt	srcPort		principal.port
Porta de destino (dport)	dpt	dstPort		target.port
Porta de origem NAT (natsport)	sourceTranslatedPort	srcPostNATPort		principal.nat_port
Porta de destino do NAT (natdport)	destinationTranslatedPort	dstPostNATPort		target.nat_port
Flags (flags)	flexString1	Sinalizações	flags	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Protocolo IP (proto)	proto	proto		network.ip_protocol
Ação (action)	age	ação		security_result.action_details security_result.action
Gravidade (severity)	number-of-severity(header)			security_result.severity e security_result.severity_details
Número de sequência (seqno)	externalId	sequência		metadata.product_log_id
Flags de ação (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Local de origem (srcloc)				principal.location.country_or_region
Local de destino (dstloc)				target.location.country_or_region
Hierarquia de grupos de dispositivos (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hierarquia do grupo de dispositivos (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hierarquia de grupos de dispositivos (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hierarquia de grupo de dispositivos (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome do sistema virtual (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nome do dispositivo (device_name)	dvchost	DeviceName		intermediary.hostname
ID do túnel (tunnelid)	PanOSTunnelID	TunnelID	tunnelid	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Tag de monitoramento (monitortag)	PanOSMonitorTag	MonitorTag	monitortag	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID da sessão principal (parent_session_id)	PanOSParentSessionID	ParentSessionID	parent_session_id	network.parent_session_id
Horário de início do evento principal (parent_start_time)	PanOSParentStartTime	ParentStartTime	parent_start_time	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Tipo de túnel (túnel)	cs2	TunnelType	túnel	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Bytes (bytes)	flexNumber1	totalBytes	bytes	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Bytes enviados (bytes_sent)	em	srcBytes		network.sent_bytes
Bytes recebidos (bytes_received)	out	dstBytes		network.received_bytes
Pacotes (pacotes)	cn2	totalPackets	pacotes	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Pacotes enviados (pkts_sent)	PanOSPacketsSent	srcPackets	pkts_sent	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Pacotes recebidos (pkts_received)	PanOSPacketsReceived	dstPackets	pkts_received	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Encapsulamento máximo (max_encap)	flexNumber2	MaximumEncapsulation	max_encap	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Protocolo desconhecido (unknown_proto)	cfp1	UnknownProtocol	unknown_proto	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Verificação estrita (strict_check)	cfp2	StrictChecking	strict_check	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Fragmento de túnel (tunnel_fragment)	PanOSTunnelFragment	TunnelFragment	tunnel_fragment	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Sessões criadas (sessions_created)	cfp3	SessionsCreated	sessions_created	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Sessões encerradas (sessions_closed)	cfp4	SessionsClosed	sessions_closed	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Motivo do término da sessão (session_end_reason)	reason	SessionEndReason		security_result.summary
Origem da ação (action_source)	gato	ActionSource	action_source	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Horário de início (início)		startTime	start	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Tempo decorrido (elapsed)	cn3	ElapsedTime	decorrido	network.session_duration.seconds
Regra de inspeção de túnel (tunnel_insp_rule)	PanOSTunneInspectionRule			security_result.rule_name = "Tunnel Inspection Rule: %{PanOSTunnelInspectionRule}"
IP do usuário remoto (remote_user_ip)	PanOSRmtUserIP			target.ip
ID do usuário remoto (remote_user_id)	PanOSRmtUserID		remote_user_id	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
UUID da regra de segurança (rule_uuid)	PanOSRuleUUID			security_result.rule_id
ID do PCAP (pcap_id)	PanOSPcapID		pcap_id	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome do grupo dinâmico de usuários (dynusergroup_name)	PanDynamicUsrgrp			principal.group.group_display_name
Lista dinâmica externa de origem (src_edl)	PanOSSourceEDL		src_edl	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Lista dinâmica externa de destino (dst_edl)	PanOSDestinationEDL		dst_edl	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Carimbo de data/hora de alta resolução (high_res timestamp)	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp (se "Generate Time" estiver ausente)
Um diferenciador de fração (nssai_sd)			nssai_sd	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Um tipo de serviço de fatia (nssai_sd)			nssai_sd1	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID da sessão de PDU (pdu_session_id)			pdu_session_id	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Subcategoria do aplicativo (subcategory_of_app)			subcategory_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Categoria do aplicativo (category_of_app)			category_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Tecnologia de aplicativos (technology_of_app)			technology_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Risco do aplicativo (risk_of_app)			risk_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Característica do aplicativo (characteristic_of_app)			characteristic_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Contêiner do aplicativo (container_of_app)			container_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
SaaS de aplicativo (is_saas_of_app)			is_saas_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Estado autorizado do aplicativo (sanctioned_state_of_app)			sanctioned_state_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value

Autenticação

A tabela a seguir lista os campos de registro do tipo de registro de autenticação e os campos correspondentes da UDM.

Campo CSV	Campo CEF	Campo LEEF	Chave do rótulo do Google Security Operations	Campo do UDM
Horário de recebimento (receive_time ou cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (se "Generate Time" estiver ausente)
Número de série (serial)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Tipo (tipo)	type (Header)	gato		metadata.product_event_type
Tipo de ameaça/conteúdo (subtipo)	subtype (Header)	Subtipo		metadata.product_event_type
Horário gerado (time_generated ou cef-formatted-time_generated)				metadata.event_timestamp
Sistema virtual (vsys)	cs3	VirtualSystem	vsys	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
IP de origem (ip)	src	src		principal.ip
Usuário (user)	duser	usrName		target.user.userid
Normalizar usuário (normalize_user)	cs2	NormalizeUser		target.user.user_display_name
Objeto (objeto)	fname	ObjectName	objeto	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Política de autenticação (authpolicy)	cs4	AuthPolicy	authpolicy	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Contagem de repetições (repeatcnt)	cnt	RepeatCount	repeatcnt	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID de autenticação (authid)	cn2	AuthenticationID	authid	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Fornecedor (vendor)	flexString2	Fornecedor	fornecedor	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Ação de registro (logset)	cs6	LogForwardingProfile	logset	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Perfil do servidor (serverprofile)	cs1	ServerProfile	serverprofile	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Descrição (decresc.)	PanOSDesc	AdditionalAuthInfo		security_result.description
Tipo de cliente (clienttype)	cs5	ClientType	clienttype	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Tipo de evento (event)	msg	msg		extensions.auth.auth_details
Número do fator (factorno)	cn1	FactorNumber	factorno	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Número de sequência (seqno)	externalId	sequência		metadata.product_log_id
Flags de ação (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hierarquia de grupos de dispositivos (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hierarquia do grupo de dispositivos (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hierarquia de grupos de dispositivos (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hierarquia de grupo de dispositivos (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome do sistema virtual (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nome do dispositivo (device_name)	dvchost	DeviceName		intermediary.hostname
ID do sistema virtual (vsys_id)				principal.resource.resource_type=VIRTUAL_MACHINE and principal.resource.product_object_id
Protocolo de autenticação (authproto)			authproto	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
UUID da regra (rule_uuid)	PanOSRuleUUID/RuleUUID			security_result.rule_id
Carimbo de data/hora de alta resolução (high_res_timestamp)	PanOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp (se "Generate Time" estiver ausente)
Categoria do dispositivo de origem (src_category)	PanOSSourceDeviceCategory		src_category	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Perfil do dispositivo de origem (src_profile)	PanOSSourceDeviceProfile		src_profile	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Modelo do dispositivo de origem (src_model)	PanOSSourceDeviceModel		src_model	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Fornecedor do dispositivo de origem (src_vendor)	PanOSSourceDeviceVendor		src_vendor	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Família do SO do dispositivo de origem (src_osfamily)	PanOSSourceDeviceOSFamily			principal.asset.platform_software.platform principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Versão do SO do dispositivo de origem (src_osversion)	PanOSSourceDeviceOSVersion			principal.asset.software.version
Nome do host de origem (src_host)	PanOSSourceHostname			principal.hostname
Endereço MAC de origem (src_mac)	PanOSSourceMac			principal.asset.mac
Região (região)	PanOSTrafficOriginRegion			principal.location.country_or_region
User agent (user_agent)	PanOSHTTPUserAgent			network.http.user_agent
ID da sessão(sessionid)	PanOSTrafficSessionID			network.session_id
Gravidade (severity)	number-of-severity(header)			security_result.severity e security_result.severity_details

URL

A tabela a seguir lista os campos de registro do tipo de registro de URL e os campos correspondentes da UDM.

Campo CSV	Campo CEF	Campo LEEF	Chave do rótulo do Google Security Operations	Campo do UDM
Horário de recebimento (cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (se "Generate Time" estiver ausente)
Nº de série (serial)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Tipo (tipo)	type (Header)	gato		metadata.product_event_type
Tipo de ameaça/conteúdo (subtipo)	subtype (Header)	Subtipo		metadata.product_event_type
Horário de geração				metadata.event_timestamp
Endereço de origem (src)	src	src		principal.ip
Endereço de destino (dst)	dst	dst		target.ip
IP de origem NAT (natsrc)	sourceTranslatedAddress	srcPostNAT		principal.nat_ip
IP de destino NAT (natdst)	destinationTranslatedAddress	dstPostNAT		target.nat_ip
Rule (regra)	cs1	RuleName		security_result.rule_name
Usuário de origem (srcuser)	suser	SourceUser		principal.user.userid
Usuário de destino (dstuser)	duser	DestinationUser		target.user.userid
Aplicativo	app	Aplicativo		network.application_protocol
Sistema virtual (vsys)	cs3	VirtualSystem	vsys	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Zona de origem (de)	cs4	SourceZone	de	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Zona de destino (para)	cs5	DestinationZone	a	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Interface de entrada (inbound_if)	deviceInboundInterface	IngressInterface	inbound_if	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Interface de saída (outbound_if)	deviceOutboundInterface	EgressInterface	outbound_if	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Ação de registro (logset)	cs6	LogForwardingProfile	logset	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Horário registrado			time_logged	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID da sessão (sessionid)	cn1	SessionID		network.session_id
Contagem de repetições (repeatcnt)	cnt	RepeatCount	repeatcnt	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Porta de origem (sport)	spt	srcPort		principal.port
Porta de destino (dport)	dpt	dstPort		target.port
Porta de origem NAT (natsport)	sourceTranslatedPort	srcPostNATPort		principal.nat_port
Porta de destino do NAT (natdport)	destinationTranslatedPort	dstPostNATPort		target.nat_port
Flags (flags)	flexString1	Sinalizações	flags	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Protocolo IP (proto)	proto	proto		network.ip_protocol
Ação (action)	age	ação		security_result.action_details security_result.action
URL/nome do arquivo (misc)		Diversos		target.file.full_path target.url
Nome da ameaça/conteúdo (threatid)	gato	ThreatID		security_result.threat_id
Categoria (category)	cs2	URLCategory	categoria	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Gravidade (severity)	number-of-severity (cabeçalho)	Gravidade		security_result.severity security_result.severity_details
Direção (direction)	flexString2	Direção		network.direction
Número de sequência (seqno)	externalId	sequência		metadata.product_log_id
Flags de ação (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
País de origem (srcloc)		SourceLocation		principal.location.country_or_region
País de destino (dstloc)		DestinationLocation		target.location.country_or_region
contenttype (contenttype)	requestContext	ContentType	contenttype	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
pcap_id (pcap_id)	fileId	PCAP_ID	pcap_id	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
filedigest (filedigest)		FileDigest		about.file.sha1/md5/sha256
nuvem (cloud)		Nuvem	nuvem	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
url_idx (url_idx)		URLIndex	url_idx	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
user_agent (user_agent)	requestClientApplication	UserAgent		network.http.user_agent
filetype (filetype)				about.file.mime_type
xff (xff)	PanOSXForwarderfor	identSrc	xff	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Referenciador (referer)	PanOSReferer	Referenciador		network.http.referral_url
sender (sender)				network.email.from
assunto (assunto)		Assunto		network.email.subject
destinatário (destinatário)				network.email.to
reportid (reportid)			reportid	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nível 1 da hierarquia de DG (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nível 2 da hierarquia de DG (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nível 3 da hierarquia de DG (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nível 4 da hierarquia de DG (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome do sistema virtual (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nome do dispositivo (device_name)	dvchost	DeviceName		intermediary.hostname
file_url (file_url)				about.url
UUID da VM de origem (src_uuid)		SrcUUID		principal.asset.asset_id
UUID da VM de destino (dst_uuid)		DstUUID		target.asset.asset_id
http_method (http_method)	requestMethod	RequestMethod		network.http.method
ID do túnel/IMSI (tunnelid)	PanOSTunnelID	TunnelID	tunnelid	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Monitorar tag/IMEI (monitortag)	PanOSMonitorTag	MonitorTag	monitortag	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID da sessão principal (parent_session_id)	PanOSParentSessionID	ParentSessionID	parent_session_id	network.parent_session_id
Horário de início da sessão principal (parent_start_time)	PanOSParentStartTime	ParentStartTime	parent_start_time	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Túnel (tunnel)	PanOSTunnelType	TunnelType	túnel	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
thr_category (thr_category)	PanOSThreatCategory	ThreatCategory	thr_category	security_result.detection_fields.key/value
contentver (contentver)	PanOSContentVer	ContentVer	contentver	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
sig_flags (sig_flags)			sig_flags	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID da associação SCTP (assoc_id)	PanOSAssocID		assoc_id	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID do protocolo de payload (ppid)	PanOSPPID		ppid	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
http_headers (http_headers)	PanOSHTTPHeader		http_headers	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Lista de categorias de URL (url_category_list)	PanOSURLCatList		url_category_list	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
UUID da regra (rule_uuid)	PanOSRuleUUID		rule_uuid	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Conexão HTTP/2 (http2_connection)	PanOSHTTP2Con		http2_connection	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
dynusergroup_name (dynusergroup_name)	PanDynamicUsrgrp		dynusergroup_name	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Endereço XFF (xff_ip)	PanXFFIP			principal.ip
Categoria do dispositivo de origem (src_category)	PanSrcDeviceCat		src_category	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Perfil do dispositivo de origem (src_profile)	PanSrcDeviceProf		src_profile	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Modelo do dispositivo de origem (src_model)	PanSrcDeviceModel		src_model	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Fornecedor do dispositivo de origem (src_vendor)	PanSrcDeviceVendor		src_vendor	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Família do SO do dispositivo de origem (src_osfamily)	PanSrcDeviceOS			principal.asset.platform_software.platform principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Versão do SO do dispositivo de origem (src_osversion)	PanSrcDeviceOSv			principal.asset.software.version
Nome do host de origem (src_host)	PanSrcHostname		src_host	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Endereço MAC de origem (src_mac)	PanSrcMac			principal.mac
Categoria do dispositivo de destino (dst_category)	PanDstDeviceCat		dst_category	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Perfil do dispositivo de destino (dst_profile)	PanDstDeviceProf		dst_profile	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Modelo do dispositivo de destino (dst_model)	PanDstDeviceModel		dst_model	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Fornecedor do dispositivo de destino (dst_vendor)	PanDstDeviceVendor		dst_vendor	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Família do SO do dispositivo de destino (dst_osfamily)	PanDstDeviceOS			target.asset.platform_software.platform target.labels.key e target.labels.value
Versão do SO do dispositivo de destino (dst_osversion)	PanDstDeviceOSv			target.asset.software.version
Nome do host de destino (dst_host)	PanPODNamespace			target.hostname
Endereço MAC de destino (dst_mac)	PanDstMac			target.mac
ID do contêiner (container_id)	PanContainerName		container_id	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Namespace do POD (pod_namespace)	PanPODNamespace		pod_namespace	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome do POD (pod_name)	PanPODName		pod_name	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Lista dinâmica externa de origem (src_edl)	PanSrcEDL		src_edl	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Lista dinâmica externa de destino (dst_edl)	PanDstEDL		dst_edl	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
ID do host (hostid)	PanGPHostID		hostid	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Número de série (serialnumber)	PanEPSerial			principal.asset.hardware.serial_number
domain_edl (domain_edl)	PanDomainEDL		domain_edl	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Grupo de endereços dinâmicos de origem (src_dag)	PanSrcDAG			principal.group.group_display_name
Grupo de endereços dinâmicos de destino (dst_dag)	PanDstDAG			target.group.group_display_name
partial_hash (partial_hash)	PanPartialHash		partial_hash	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Carimbo de data/hora de alta resolução (high_res_timestamp)	PanTimeHighRes			metadata.collected_timestamp, metadata.event_timestamp (se "Generate Time" estiver ausente)
Motivo (reason)	PanReasonFilteringAction		reason	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
justificação (justification)	PanJustification		justificativa	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
nssai_sst (nssai_sst)	PanASServiceType		nssai_sst	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Subcategoria do app (subcategory_of_app)			subcategory_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Categoria do app (category_of_app)			category_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Tecnologia do app (technology_of_app)			technology_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Risco do app (risk_of_app)			risk_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Característica do app (characteristic_of_app)			characteristic_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Contêiner do app (container_of_app)			container_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
App em túnel (tunneled_app)			tunneled_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
SaaS do app (is_saas_of_app)			is_saas_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Estado autorizado do app (sanctioned_state_of_app)			sanctioned_state_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value

Dados

A tabela a seguir lista os campos de registro do tipo de registro de dados e os campos correspondentes da UDM.

Campo CSV	Campo CEF	Campo LEEF	Chave do rótulo do Google Security Operations	Campo do UDM
Horário de recebimento (cef-formatted-receive_time)	rt	devTime		metadata.collected_timestamp, metadata.event_timestamp (se "Generate Time" estiver ausente)
Nº de série (serial)	deviceExternalId	SerialNumber		intermediary.asset.hardware.serial_number
Tipo (tipo)	type (Header)	gato		metadata.product_event_type
Tipo de ameaça/conteúdo (subtipo)	subtype (Header)	Subtipo		metadata.product_event_type
Horário de geração				metadata.event_timestamp
Endereço de origem (src)	src	src		principal.ip
Endereço de destino (dst)	dst	dst		target.ip
IP de origem NAT (natsrc)	sourceTranslatedAddress	srcPostNAT		principal.nat_ip
IP de destino NAT (natdst)	destinationTranslatedAddress	dstPostNAT		target.nat_ip
Rule (regra)	cs1	RuleName		security_result.rule_name
Usuário de origem (srcuser)	suser	SourceUser		principal.user.userid
Usuário de destino (dstuser)	duser	DestinationUser		target.user.userid
Aplicativo	app	Aplicativo		network.application_protocol
Sistema virtual (vsys)	cs3	VirtualSystem	vsys	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Zona de origem (de)	cs4	SourceZone	de	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Zona de destino (para)	cs5	DestinationZone	a	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Interface de entrada (inbound_if)	deviceInboundInterface	IngressInterface	inbound_if	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Interface de saída (outbound_if)	deviceOutboundInterface	EgressInterface	outbound_if	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Ação de registro (logset)	cs6	LogForwardingProfile	logset	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Horário registrado			time_logged	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID da sessão (sessionid)	cn1	SessionID		network.session_id
Contagem de repetições (repeatcnt)	cnt	RepeatCount	repeatcnt	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Porta de origem (sport)	spt	srcPort		principal.port
Porta de destino (dport)	dpt	dstPort		target.port
Porta de origem NAT (natsport)	sourceTranslatedPort	srcPostNATPort		principal.nat_port
Porta de destino do NAT (natdport)	destinationTranslatedPort	dstPostNATPort		target.nat_port
Flags (flags)	flexString1	Sinalizações	flags	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Protocolo IP (proto)	proto	proto		network.ip_protocol
Ação (action)	age	ação		security_result.action_details security_result.action
URL/nome do arquivo (misc)		Diversos		target.file.full_path target.url
Nome da ameaça/conteúdo (threatid)	gato	ThreatID		security_result.threat_id
Categoria (category)	cs2	URLCategory	categoria	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Gravidade (severity)	number-of-severity (cabeçalho)	Gravidade		security_result.severity security_result.severity_details
Direção (direction)	flexString2	Direção		network.direction
Número de sequência (seqno)	externalId	sequência		metadata.product_log_id
Flags de ação (actionflags)	PanOSActionFlags	ActionFlags	actionflags	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
País de origem (srcloc)		SourceLocation		principal.location.country_or_region
País de destino (dstloc)		DestinationLocation		target.location.country_or_region
contenttype (contenttype)		ContentType	contenttype	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
pcap_id (pcap_id)	fileId	PCAP_ID	pcap_id	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
filedigest (filedigest)		FileDigest		about.file.sha1/md5/sha256
nuvem (cloud)		Nuvem	nuvem	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
url_idx (url_idx)		URLIndex	url_idx	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
user_agent (user_agent)				network.http.user_agent
filetype (filetype)				about.file.mime_type
xff (xff)			xff	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Referenciador (referer)				network.http.referral_url
sender (sender)				network.email.from
assunto (assunto)		Assunto		network.email.subject
destinatário (destinatário)				network.email.to
reportid (reportid)			reportid	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nível 1 da hierarquia de DG (dg_hier_level_1)	PanOSDGl1	DeviceGroupHierarchyL1	dg_hier_level_1	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nível 2 da hierarquia de DG (dg_hier_level_2)	PanOSDGl2	DeviceGroupHierarchyL2	dg_hier_level_2	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nível 3 da hierarquia de DG (dg_hier_level_3)	PanOSDGl3	DeviceGroupHierarchyL3	dg_hier_level_3	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nível 4 da hierarquia de DG (dg_hier_level_4)	PanOSDGl4	DeviceGroupHierarchyL4	dg_hier_level_4	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome do sistema virtual (vsys_name)	PanOSVsysName	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nome do dispositivo (device_name)	dvchost	DeviceName		intermediary.hostname
file_url (file_url)				about.url
UUID da VM de origem (src_uuid)		SrcUUID		principal.asset.asset_id
UUID da VM de destino (dst_uuid)		DstUUID		target.asset.asset_id
http_method (http_method)		RequestMethod		network.http.method
ID do túnel/IMSI (tunnelid)	PanOSTunnelID	TunnelID	tunnelid	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Monitorar tag/IMEI (monitortag)	PanOSMonitorTag	MonitorTag	monitortag	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID da sessão principal (parent_session_id)	PanOSParentSessionID	ParentSessionID	parent_session_id	network.parent_session_id
Horário de início da sessão principal (parent_start_time)	PanOSParentStartTime	ParentStartTime	parent_start_time	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Túnel (tunnel)	PanOSTunnelType	TunnelType	túnel	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
thr_category (thr_category)	PanOSThreatCategory	ThreatCategory	thr_category	security_result.detection_fields.key/value
contentver (contentver)	PanOSContentVer	ContentVer	contentver	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
sig_flags (sig_flags)			sig_flags	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID da associação SCTP (assoc_id)	PanOSAssocID		assoc_id	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID do protocolo de payload (ppid)	PanOSPPID		ppid	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
http_headers (http_headers)	PanOSHTTPHeader		http_headers	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Lista de categorias de URL (url_category_list)			url_category_list	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
UUID da regra (rule_uuid)	PanOSRuleUUID		rule_uuid	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Conexão HTTP/2 (http2_connection)			http2_connection	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
dynusergroup_name (dynusergroup_name)			dynusergroup_name	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Endereço XFF (xff_ip)				principal.ip
Categoria do dispositivo de origem (src_category)			src_category	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Perfil do dispositivo de origem (src_profile)			src_profile	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Modelo do dispositivo de origem (src_model)			src_model	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Fornecedor do dispositivo de origem (src_vendor)			src_vendor	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Família do SO do dispositivo de origem (src_osfamily)				principal.asset.platform_software.platform principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Versão do SO do dispositivo de origem (src_osversion)				principal.asset.software.version
Nome do host de origem (src_host)			src_host	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Endereço MAC de origem (src_mac)				principal.mac
Categoria do dispositivo de destino (dst_category)			dst_category	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Perfil do dispositivo de destino (dst_profile)			dst_profile	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Modelo do dispositivo de destino (dst_model)			dst_model	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Fornecedor do dispositivo de destino (dst_vendor)			dst_vendor	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Família do SO do dispositivo de destino (dst_osfamily)				target.asset.platform_software.platform target.labels.key e target.labels.value
Versão do SO do dispositivo de destino (dst_osversion)				target.asset.software.version
Nome do host de destino (dst_host)				target.hostname
Endereço MAC de destino (dst_mac)				target.mac
ID do contêiner (container_id)			container_id	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Namespace do POD (pod_namespace)			pod_namespace	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome do POD (pod_name)			pod_name	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Lista dinâmica externa de origem (src_edl)			src_edl	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Lista dinâmica externa de destino (dst_edl)			dst_edl	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
ID do host (hostid)			hostid	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Número de série (serialnumber)				principal.asset.hardware.serial_number
domain_edl (domain_edl)			domain_edl	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Grupo de endereços dinâmicos de origem (src_dag)				principal.group.group_display_name
Grupo de endereços dinâmicos de destino (dst_dag)				target.group.group_display_name
partial_hash (partial_hash)			partial_hash	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Carimbo de data/hora de alta resolução (high_res_timestamp)				metadata.collected_timestamp, metadata.event_timestamp (se "Generate Time" estiver ausente)
Motivo (reason)			reason	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
justificação (justification)			justificativa	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
nssai_sst (nssai_sst)			nssai_sst	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Subcategoria do app (subcategory_of_app)			subcategory_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Categoria do app (category_of_app)			category_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Tecnologia do app (technology_of_app)			technology_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Risco do app (risk_of_app)			risk_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Característica do app (characteristic_of_app)			characteristic_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Contêiner do app (container_of_app)			container_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
App em túnel (tunneled_app)			tunneled_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
SaaS do app (is_saas_of_app)			is_saas_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Estado autorizado do app (sanctioned_state_of_app)			sanctioned_state_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value

GlobalProtect

A tabela a seguir lista os campos de registro do tipo GlobalProtect e os campos correspondentes da UDM.

Campo CSV	Campo CEF	Campo LEEF	Chave do rótulo do Google Security Operations	Campo do UDM
Horário de recebimento (receive_time)	rt		received_time	metadata.event_timestamp
Nº de série (serial)	PanOSDeviceSN		intermediary_asset_hardware_serial_number	intermediary.asset.hardware.serial_number
Tipo (tipo)	type (Header)			metadata.product_event_type
Tipo de ameaça/conteúdo (subtipo)	subtype (Header)	Subtipo		metadata.product_event_type
Horário de geração (time_generated)	PanOSLogTimeStamp		generated_timestamp	metadata.event_timestamp
Sistema virtual (vsys)	PanOSVirtualSystem		vsys	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID do evento (eventid)	PanOSEventID		event_id	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Etapa (stage)	PanOSStage		etapa	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Método de autenticação (auth_method)	PanOSAuthMethod		extension_auth_auth_details	extensions.auth.auth_details
Tipo de túnel (tunnel_type)	PanOSTunnelType		túnel	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Usuário de origem (srcuser)	PanOSSourceUserName		src_user	principal.user.email_address principal.user.userid principal.administrative_domain
Região de origem (srcregion)	PanOSSourceRegion		src_region	principal.location.country_or_region
Nome da máquina (machinename)	PanOSEndpointDeviceName		machine_name	principal.hostname
IP público (public_ip)	PanOSPublicIPv4			principal.nat_ip
IPv6 público (public_ipv6)	PanOSPublicIPv6			principal.nat_ip
IP particular (private_ip)	PanOSPrivateIPv4			principal.ip
IPv6 particular (private_ipv6)	PanOSPrivateIPv6			principal.ip
ID do host (hostid)	PanOSHostID		hostid	principal.asset.asset_id
Número de série (serialnumber)	PanOSDeviceSN			principal.asset.hardware.serial_number
Versão do cliente (client_ver)	PanOSGlobalProtectClientVersion		client_ver	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
SO do cliente (client_os)	PanOSEndpointOSType			principal.asset.platform_software.platform(enum)
Versão do SO do cliente (client_os_ver)	PanOSEndpointOSVersion			principal.asset.platform_software.platform_version
Contagem de repetições (repeatcnt)	PanOSCountOfRepeats		repeatcnt	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Motivo (reason)	PanOSQuarantineReason			security_result.summary
Erro (erro)	PanOSConnectionError		erro	security_result.description
Descrição (opaca)	PanOSDescription			security_result.description
Status (status)	PanOSEventStatus		status	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Local (local)	PanOSGPGatewayLocation			target.location.country_or_region
Duração do login (login_duration)	PanOSLoginDuration			network.session_duration
Método de conexão (connect_method)	PanOSConnectionMethod		connect_method	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Código do erro (error_code)	PanOSConnectionErrorID		error_code	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Portal (portal)	PanOSPortal		portal	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Número de sequência (seqno)	PanOSSequenceNo			metadata.product_log_id
Flags de ação (actionflags)	PanOSActionFlags		actionflags	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Carimbo de data/hora de alta resolução (high_res_timestamp)	anOSTimeGeneratedHighResolution			metadata.collected_timestamp, metadata.event_timestamp (se "Generate Time" estiver ausente)
Método de seleção de gateway (selection_type)	PanOSGatewaySelectionType		selection_type	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Tempo de resposta do SSL (response_time)	PanOSSSLResponseTime		response_time	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Prioridade do gateway (priority)	PanOSGatewayPriority		prioridade	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Tentativa de gateways (attempted_gateways)	PanOSAttemptedGateways		attempted_gateways	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome do gateway (gateway)	PanOSAttemptedGateways		gateway	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hierarquia de grupos de dispositivos (dg_hier_level_1)			dg_hier_level_1	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hierarquia do grupo de dispositivos (dg_hier_level_2)			dg_hier_level_2	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hierarquia de grupos de dispositivos (dg_hier_level_3)			dg_hier_level_3	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Hierarquia de grupo de dispositivos (dg_hier_level_4)			dg_hier_level_4	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome do sistema virtual (vsys_name)				principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nome do dispositivo (device_name)				target.hostname
ID do sistema virtual (vsys_id)				principal.resource.resource_type=VIRTUAL_MACHINE and principal.resource.product_object_id
Gravidade (severity)	number-of-severity(header)			security_result.severity e security_result.severity_details

Correlação

A tabela a seguir lista os campos de registro do tipo de registro de correlação e os campos correspondentes da UDM.

Campo CSV	Campo LEEF	Chave do rótulo do Google Security Operations	Campo do UDM
Horário gerado (time_generated ou cef-formatted-time_generated)	startTime	generated_timestamp	metadata.event_timestamp
Endereço de origem (src)	src		principal.ip
Usuário de origem (srcuser)	SourceUser / usrName		principal.user.userid
Sistema virtual (vsys)	VirtualSystem	vsys	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Categoria (category)			security_result.category_details
Gravidade (severity)	Gravidade		security_result.severity e security_result.severity_details
Nível 1 da hierarquia do grupo de dispositivos	DeviceGroupHierarchyL1		about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nível 2 da hierarquia do grupo de dispositivos	DeviceGroupHierarchyL2		about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nível 3 da hierarquia do grupo de dispositivos	DeviceGroupHierarchyL3		about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nível 4 da hierarquia do grupo de dispositivos	DeviceGroupHierarchyL4		about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Nome do sistema virtual (vsys_name)	vSrcName		principal.resource.name principal.resource.resource_type=VIRTUAL_MACHINE
Nome do dispositivo (device_name)	DeviceName		intermediary.hostname
ID do sistema virtual (vsys_id)	VirtualSystemID		principal.resource.resource_type=VIRTUAL_MACHINE and principal.resource.product_object_id
Nome do objeto (objectname)	ObjectName		target.resource.name
ID do objeto (object_id)	ObjectID		target.resource.product_object_id

GTP

A tabela a seguir lista os campos de registro do tipo gtp e os campos correspondentes da UDM.

Campo CSV	Chave do rótulo do Google Security Operations	Campo do UDM
Horário de recebimento (receive_time ou cef-formatted-receive_time)		metadata.collected_timestamp, metadata.event_timestamp (se "Generate Time" estiver ausente)
Número de série (serial)		intermediary.asset.hardware.serial_number
Tipo (tipo)		metadata.product_event_type
Tipo de ameaça/conteúdo (subtipo)		metadata.product_event_type
Horário gerado (time_generated ou cef-formatted-time_generated)		metadata.event_timestamp
Endereço de origem (src)		principal.ip
Endereço de destino (dst)		target.ip
Nome da regra (regra)		security_result.rule_name
Aplicativo		network.application_protocol
Sistema virtual (vsys)	vsys	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Zona de origem (de)	de	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Zona de destino (para)	a	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Interface de entrada (inbound_if)	inbound_if	principal.labels.key e principal.labels.value additional.fields.key e additional.fields.value.string_value
Interface de saída (outbound_if)	outbound_if	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
Ação de registro (logset)	logset	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
ID da sessão (sessionid)		network.session_id
Porta de origem (sport)		principal.port
Porta de destino (dport)		target.port
Protocolo IP (proto)		network.ip_protocol
Ação (action)		security_result.action_details security_result.action
Tipo de evento do GTP (event_type)	gtp_event_type	additional.fields.key e additional.fields.value.string_value
MSISDN (msisdn)	msisdn	additional.fields.key e additional.fields.value.string_value
Nome do ponto de acesso (apn)	apn	additional.fields.key e additional.fields.value.string_value
Tecnologia de acesso por rádio (RAT)	rato	additional.fields.key e additional.fields.value.string_value
Tipo de mensagem do GTP (msg_type)	gtp_msg_type	additional.fields.key e additional.fields.value.string_value
Endereço IP final (end_ip_adr)		principal.ip
Identificador do endpoint do túnel 1 (teid1)	teid1	additional.fields.key e additional.fields.value.string_value
Identificador do endpoint do túnel 2 (teid2)	teid2	additional.fields.key e additional.fields.value.string_value
Interface GTP (gtp_interface)	gtp_interface	additional.fields.key e additional.fields.value.string_value
Causa do GTP (cause_code)	gtp_cause_code	additional.fields.key e additional.fields.value.string_value
Gravidade (severity)		security_result.severity e security_result.severity_details
MCC da rede de veiculação (mcc)	mcc	additional.fields.key e additional.fields.value.string_value
MNC da rede de veiculação (mnc)	mnc	additional.fields.key e additional.fields.value.string_value
Código de área (area_code)	area_code	additional.fields.key e additional.fields.value.string_value
ID da célula (cell_id)	cell_id	additional.fields.key e additional.fields.value.string_value
Código do evento do GTP (event_code)	event_code	additional.fields.key e additional.fields.value.string_value
Local de origem (srcloc)		principal.location.country_or_region
Local de destino (dstloc)		target.location.country_or_region
ID do túnel/IMSI (imsi)	tunnelid	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Monitorar tag/IMEI (imei)	monitortag	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Horário de início (início)	start	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Tempo decorrido (elapsed)		network.session_duration.seconds
Tunnel Inspection RuleTunnel (tunnel_insp_rule)	tunnel_insp_rule	security_result.detection_fields.key/value
IP do usuário remoto (remote_user_ip)		target.ip
ID do usuário remoto (remote_user_id)	remote_user_id	target.labels.key e target.labels.value additional.fields.key e additional.fields.value.string_value
UUID da regra (rule_uuid)		security_result.rule_id
ID do PCAP (pcap_id)	pcap_id	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Carimbo de data/hora de alta resolução (high_res_timestamp)		metadata.collected_timestamp, metadata.event_timestamp (se "Generate Time" estiver ausente)
Um tipo de serviço de fração (nsdsai_sst)	nsdsai_sst	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Um diferenciador de fração (nsdsai_sd)	nsdsai_sd	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Subcategoria do aplicativo (subcategory_of_app)	subcategory_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Categoria do aplicativo (category_of_app)	category_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Tecnologia de aplicativos (technology_of_app)	technology_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Risco do aplicativo (risk_of_app)	risk_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Característica do aplicativo (characteristic_of_app)	characteristic_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Contêiner do aplicativo (container_of_app)	container_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
SaaS de aplicativo (is_saas_of_app)	is_saas_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value
Estado autorizado do aplicativo (sanctioned_state_of_app)	sanctioned_state_of_app	about.labels.key e about.labels.value additional.fields.key e additional.fields.value.string_value

Referência de mapeamento de campos: tipos de registros para tipo de evento do UDM

A tabela a seguir lista os tipos de registro do firewall da Palo Alto Networks e os tipos de evento da UDM correspondentes.

Tipo de registro	Tipo de evento do UDM
Tráfego	NETWORK_CONNECTION
Ameaça	NETWORK_CONNECTION
Filtragem de URL	NETWORK_CONNECTION
WildFire	NETWORK_CONNECTION Os registros de envios do WildFire são um subtipo do tipo de registro de ameaça e usam o mesmo formato syslog.
Filtragem de dados	NETWORK_CONNECTION
Túnel	NETWORK_CONNECTION
GTP	NETWORK_CONNECTION
Configuração	SETTING_MODIFICATION/SETTING_CREATION/SETTING_DELETION/SETTING_UNCATEGORIZED O valor do campo "Comando (cmd)" determina o mapeamento do tipo de evento da UDM. Se o valor do campo "cmd" for "add" ou "clone", SETTING_CREATION será definido. Se o valor do campo "cmd" for "delete", SETTING_DELETION será definido. Se o valor do campo "cmd" for "edit", "move", "rename", "set" ou "commit", SETTING_MODIFICATION será definido. Se o valor do campo "cmd" não tiver nenhum valor, SETTING_UNCATEGORIZED será definido.
Sistema	Se o valor do subtipo for "dhcp", NETWORK_DHCP será definido. Se o valor do subtipo for "auth", USER_LOGIN será definido. Se o valor da descrição for "logged in", USER_LOGIN será definido. Se o valor da descrição for "logged out", USER_LOGOUT será definido. Para outros valores do subtipo, GENERIC_EVENT é definido.
Correspondência de HIP	NETWORK_CONNECTION
Tag de IP	GENERIC_EVENT
User-ID	USER_LOGIN/USER_LOGOUT/USER_UNCATEGORIZED Se o valor do subtipo for "login", USER_LOGIN será definido. Se o valor do subtipo for "logout", USER_LOGOUT será definido. Se o subtipo não tiver nenhum valor, USER_UNCATEGORIZED será definido.
Descriptografia	NETWORK_CONNECTION
Autenticação	GENERIC_EVENT

A seguir

Ingestão de dados no Google Security Operations

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.

Formato do registro	Versão do PAN-OS
CSV	10.1.3
CEF	10.0.0
LEEF	9.1.0