Palo Alto Networks ファイアウォール ログを収集する
概要
このドキュメントでは、Palo Alto Networks ファイアウォール ログを収集するように syslog と Google Security Operations フォワーダーを構成する方法について説明します。また、Palo Alto Networks ファイアウォール ログフィールドが Google Security Operations の統合データモデル(UDM)フィールドにマッピングされる方法についても説明します。
Google Security Operations のデータ取り込みの概要については、Google Security Operations へのデータの取り込みをご覧ください。
取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。このドキュメントの情報は、PAN_FIREWALL の取り込みラベルを持つパーサーに適用されます。
始める前に
Palo Alto Networks ファイアウォールのログを収集するためにデプロイされたコンポーネントを理解するには、デプロイ アーキテクチャを確認します。お客様のデプロイはそれぞれこの表現とは異なる可能性があり、より複雑になることがあります。
次の図は、Palo Alto Networks ファイアウォールで syslog を構成し、Linux サーバーに Google Security Operations フォワーダーをインストールして、ログデータを Google Security Operations に転送する方法を示しています。パーサーは、カンマ区切り値(CSV)、Common Event Format(CEF)、Log Event Extended Format(LEEF)のデータ形式で記述されたログをサポートします。
Google Security Operations パーサーがサポートするログ形式と PAN-OS バージョンを確認します。次の表に、Google Security Operations パーサーがサポートするログ形式と対応する PAN-OS バージョンを示します。
ログ形式 PAN-OS のバージョン CSV 10.1.3 CEF 10.0.0 LEEF 9.1.0 Palo Alto Networks ファイアウォール ログのタイプを、Google Security Operations パーサーがサポートすることを確認します。Google Security Operations パーサーは、次の Palo Alto Networks ファイアウォール ログタイプをサポートしています。
- トラフィック
- 脅威
- WildFire 提出
- トンネル検査
- Config
- システム
- HIP マッチング
- IP タグ
- User-ID
- 復号
- Authentication
- URL のフィルタリング
- データのフィルタリング
- GlobalProtect
- 相関
Palo Alto Networks ファイアウォールのログタイプの詳細については、PAN-OS ログタイプをご覧ください。
デプロイ アーキテクチャ内のすべてのシステムが、UTC タイムゾーンに構成されていることを確認します。
Palo Alto Networks ファイアウォールのゴールド パーサーを使用する前に、このドキュメントに記載されているデフォルトのパーサーとゴールド パーサー間のフィールド マッピングの変更を確認してください。移行の一環として、ルール、検索、ダッシュボード、元のフィールドに依存するその他のプロセスで、更新されたフィールドが使用されることを確認します。
たとえば、デフォルトのパーサーでは、「category」ログフィールドが「security_result.description」UDM フィールドにマッピングされます。PAN ファイアウォールのパーサーでは、「category」ログフィールドが「security_result.category_details」UDM フィールドにマッピングされます。PAN ファイアウォール Gold パーサーに移行して、ルールで「category」を使用する場合は、Gold パーサーの「security_result.category_details」UDM フィールドを使用するようにルールを変更する必要があります。
Syslog と Google Security Operations フォワーダーを構成する
Syslog と Google Security Operations フォワーダーを構成するには、次の手順を行います。
CSV ログをモニタリングするには、syslog サーバー プロファイルを構成します。詳細については、syslog サーバー プロファイルを構成するをご覧ください。
syslog サーバー プロファイルを構成するときは、カスタムログ形式として「デフォルト」を指定します。
CEF ログをモニタリングするには、CEF ログを転送するように Palo Alto Networks ファイアウォールを構成します。詳細については、PAN-OS CEF 統合ガイドの PDF をダウンロードし、「CEF イベントを出力する Palo Alto Networks NGFW の構成」のセクションをご覧ください。
LEEF ログをモニタリングするには、Syslog サーバー プロファイルを構成します。詳細については、LEEF 形式のカスタムログ転送をご覧ください。
Google Security Operations にログを送信するよう、Google Security Operations フォワーダーを構成します。詳細については、Linux でのフォワーダーのインストールと構成をご覧ください。Google Security Operations フォワーダーの構成の例を次に示します。
- syslog: common: enabled: true data_type: PAN_FIREWALL batch_n_seconds: 10 batch_n_bytes: 1048576 tcp_address: 0.0.0.0:10518 connection_timeout_sec: 60
フィールド マッピング リファレンス: PAN ファイアウォール ログ フィールドから UDM フィールド
このセクションでは、パーサーが Palo Alto Networks ファイアウォール ログフィールドを、各ログタイプの Google Security Operations UDM イベント フィールドにマッピングする方法について説明します。
Google Security Operations のラベルキーは、Labels.key UDM フィールドにマッピングされた鍵の名前を参照します。 たとえば、「Virtual System」フィールドの場合、フィールド名は CEF 形式の「cs3」、LEEF 形式の「VirtualSystem」です。UDM フィールド「about.labels.key」には値「vsys」が含まれ、UDM フィールド「about.labels.value」にはそのフィールドの値が含まれます。
一部の CEF または LEEF フィールド名には、CSV フィールド名に対応する名前がありません。このようなケースでは、独自の変数名をカスタムログ形式で syslog プロファイルに追加すると、パーサーは UDM フィールドにマッピングされません。
各ログタイプのマッピング リファレンスについては、以下のセクションをご覧ください。
システム
次の表に、システムログタイプのログ フィールドと、対応する UDM フィールドを示します。
CSV フィールド | CEF 項目 | LEEF フィールド | Google Security Operations のラベルキー | UDM フィールド |
---|---|---|---|---|
受信時刻(Received_time または cef-format-Received_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp(「生成時間」がない場合) |
|
シリアル番号(serial) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
タイプ(タイプ) | タイプ(ヘッダー) | cat | metadata.product_event_type は "%{type} - %{subtype}" に設定されている。 | |
脅威/コンテンツ タイプ(サブタイプ) | サブタイプ(ヘッダー) | サブタイプ | metadata.product_event_type は "%{type} - %{subtype}" に設定されている。 | |
Generated Time(time_generated または cef-format-time_generated) | metadata.event_timestamp | |||
仮想システム(vsys) | cs3 | VirtualSystem | vsys | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
イベント ID(eventid) | cat | eventid | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
オブジェクト(object) | fname | ファイル名 | オブジェクト | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
モジュール(モジュール) | flexString2 | モジュール | モジュール | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
重大度(severity) | $number-of-severity(ヘッダー) | 重大度 | security_result.severity と security_result.severity_details | |
説明(不透明) | msg | msg | metadata.description | |
principal_user_userid(このフィールドは msg フィールドから抽出されます) | principal.user.userid | |||
principal_ip3(このフィールドは msg フィールドから抽出されます) | principal.ip | |||
Reason(このフィールドは msg フィールドから抽出されます) | security_result.description | |||
server_address(このフィールドは、msg フィールドから抽出されます) | target.ip | |||
server_profile(このフィールドは msg フィールドから抽出されます) | additional.fields.key と additional.fields.value.string_value | |||
シーケンス番号(seqno) | externalId | シーケンス | metadata.product_log_id | |
アクション フラグ(アクションフラグ) | PanOSActionFlags | ActionFlags | actionflags | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
デバイス グループ階層(dg_hier_level_1 から dg_hier_level_4) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
デバイス グループ階層(dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
デバイス グループ階層(dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
デバイス グループ階層(dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
仮想システム名(vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
デバイス名(device_name) | dvchost | DeviceName | intermediary.hostname | |
高解像度のタイムスタンプ (high_res_timestamp) | anOSTimeGeneratedHighResolution | metadata.collected_timestamp,
metadata.event_timestamp(「生成時間」がない場合) |
Config
次の表に、設定ログタイプのログ フィールドと、対応する UDM フィールドを示します。
CSV フィールド | CEF 項目 | LEEF フィールド | Google Security Operations のラベルキー | UDM フィールド |
---|---|---|---|---|
受信時刻(Received_time または cef-format-Received_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp(「生成時間」がない場合) |
|
シリアル番号(serial) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
タイプ(タイプ) | タイプ(ヘッダー) | cat | metadata.product_event_type | |
脅威/コンテンツ タイプ(サブタイプ) | サブタイプ(ヘッダー) | metadata.product_event_type | ||
Generated Time(time_generated または cef-format-time_generated) | metadata.event_timestamp | |||
ホスト(host) | shost | src | principal.ip/hostname | |
仮想システム(vsys) | cs3 | VirtualSystem | vsys | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
コマンド(cmd) | 対処 | msg | cmd | metadata.description |
管理者 (admin) | duser | usrName | principal.user.userid | |
クライアント(client) | destinationServiceName | クライアント | principal.application | |
結果 (result) | シグネチャ ID(ヘッダー)(理由) | 結果 | security_result.summary | |
構成パス(path) | msg | ConfigurationPath | principal.process.command_line | |
変更前(before_change_detail) | cs1 | BeforeChangeDetail | before_change_detail | target.resource.attribute.labels.key/value |
変更後の詳細(after_change_detail) | cs2 | AfterChangeDetail | after_change_detail | target.resource.attribute.labels.key/value |
シーケンス番号(seqno) | externalId | シーケンス | metadata.product_log_id | |
アクション フラグ(アクションフラグ) | PanOSActionFlags | ActionFlags | actionflags | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
デバイス グループ階層(dg_hier_level_1 から dg_hier_level_4) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
デバイス グループ階層(dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
デバイス グループ階層(dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
デバイス グループ階層(dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
仮想システム名(vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
デバイス名(device_name) | dvchost | DeviceName | intermediary.hostname | |
デバイス グループ(dg_id) | PanOSFWDeviceGroup | dg_id | principal.asset.attribute.labels.key/value | |
監査コメント(comment) | PanOSPolicyAuditComment | コメント | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
脅威/wildfire
次の表に、ログタイプのログフィールドと、対応する UDM フィールドを示します。
CSV フィールド | CEF 項目 | LEEF フィールド | Google Security Operations のラベルキー | UDM フィールド |
---|---|---|---|---|
受信時刻(Received_time または cef-format-Received_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp(「生成時間」がない場合) |
|
シリアル番号(serial #) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
タイプ(タイプ) | タイプ(ヘッダー) | cat | metadata.product_event_type | |
脅威/コンテンツ タイプ(サブタイプ) | cat/subtype(ヘッダー) | サブタイプ | metadata.product_event_type | |
時間の生成(time_generated または cef-format-time_generated) | metadata.event_timestamp | |||
送信元アドレス(src) | src | src | principal.ip | |
宛先アドレス(dst) | dst | dst | target.ip | |
NAT ソース IP(natsrc) | sourceTranslatedAddress | srcPostNAT | principal.nat_ip | |
NAT 宛先 IP(natdst) | destinationTranslatedAddress | dstPostNAT | target.nat_ip | |
ルール名(rule) | cs1 | RuleName | security_result.rule_name | |
送信元ユーザー(srcuser) | suser | SourceUser / usrName | principal.user.userid | |
宛先ユーザー(dstuser) | duser | DestinationUser | target.user.userid | |
アプリケーション (app) | app | Application(アプリケーション) | target.application | |
仮想システム(vsys) | cs3 | VirtualSystem | vsys | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
送信元のゾーン(from) | cs4 | SourceZone | 送信元 | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
宛先のゾーン(送信先) | cs5 | DestinationZone | ~ | target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value |
インバウンドインターフェース(inbound_if) | deviceInboundInterface | IngressInterface | inbound_if | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
アウトバウンドインターフェース(outbound_if) | deviceOutboundInterface | EgressInterface | outbound_if | target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value |
ログ アクション(logset) | cs6 | LogForwardingProfile | logset | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
セッション ID(sessionid) | cn1 | SessionID | network.session_id | |
繰り返し回数(repeatcnt) | cnt | RepeatCount | repeatcnt | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
送信元ポート(sport) | spt | srcPort | principal.port | |
宛先ポート(dport) | dpt | dstPort | target.port | |
NAT 送信元ポート(natsport) | sourceTranslatedPort | srcPostNATPort | principal.nat_port | |
NAT 宛先ポート(natdport) | destinationTranslatedPort | dstPostNATPort | target.nat_port | |
フラグ(flags) | flexString1 | フラグ | flags | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
IP プロトコル(proto) | proto | proto | network.ip_protocol | |
アクション (action) | 対処 | action | security_result.action_details
security_result.action |
|
URL/ファイル名(misc) | request | その他 | target.file.full_path(サブタイプが「ファイル」、「ウィルス」、「Wildfire ウイルス」、「Wildfire」の場合、「misc」フィールドは target.file.full_path にマッピングされます) target.url(サブタイプが「url」の場合、「misc」フィールドは target.url と target.hostname にマッピングされます) target.hostname(サブタイプが「spyware」または「vulnerability」の場合、「misc」フィールドは target.file.full_path と target.url にマッピングされます) |
|
脅威/コンテンツ名(threatid) | cat | ThreatID | security_result.threat_name | |
カテゴリ(category) | cs2 | URL のカテゴリ | security_result.category_details | |
重大度(severity) | number-of-severity(ヘッダ) | 重大度 | security_result.severity と security_result.severity_details | |
目的地 (direction) | flexString2 | 方向 | network.direction | |
シーケンス番号(seqno) | externalId | シーケンス | metadata.product_log_id | |
アクション フラグ(アクションフラグ) | PanOSActionFlags | ActionFlags | actionflags | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
送信元の国(srcloc) | SourceLocation | principal.location.country_or_region | ||
宛先の国(dstloc) | DestinationLocation | target.location.country_or_region | ||
コンテンツ タイプ (contentType) | ContentType | contenttype | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
PCAP ID(pcap_id) | fileId | PCAP_ID | pcap_id | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
ファイル ダイジェスト(filedigest) | fileHash | FileDigest | about.file.sha1/md5/sha256 | |
クラウド(cloud) | filePath | クラウド | cloud | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
URL インデックス(url_idx) | URLIndex | url_idx | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
ユーザー エージェント(user_agent) | network.http.user_agent | |||
File Type(filetype) | File Type | FileType | about.file.mime_type | |
X-Forwarded-For(XFF) | principal.ip | |||
リファラー(referer) | network.http.referral_url | |||
送信者(sender) | suid | 送信者 | network.email.from | |
件名 (件名) | msg | 件名 | network.email.subject | |
受信者(rcipient) | duid | 受信者 | network.email.to | |
レポート ID (reportid) | oldFileId | ReportID | reportid | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
デバイス グループ階層(dg_hier_level_1 から dg_hier_level_4) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
デバイス グループ階層(dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
デバイス グループ階層(dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
デバイス グループ階層(dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
仮想システム名(vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
デバイス名(device_name) | dvchost | DeviceName | intermediary.hostname | |
ソース VM UUID(src_uuid) | PanOSSrcUUID | SrcUUID | principal.user.product_object_id | |
宛先 VM UUID(dst_uuid) | PanOSDstUUID | DstUUID | target.user.product_object_id | |
HTTP Method (http_method) | RequestMethod | network.http.method | ||
トンネル ID/IMSI(tunnel_id/imsi) | PanOSTunnelID | TunnelID | tunnel_id/imsi | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
タグ/IMEI のモニタリング(monitortag/imei) | PanOSMonitorTag | MonitorTag | monitortag/imei | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
親セッション ID(parent_session_id) | PanOSParentSessionID | ParentSessionID | parent_session_id | network.parent_session_id |
親セッション開始時間(parent_start_time) | PanOSParentStartTime | ParentStartTime | parent_start_time | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
トンネルタイプ(tunnel) | PanOSTunnelType | TunnelType | トンネル | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
脅威のカテゴリ(thr_category) | PanOSThreatCategory | ThreatCategory | thr_category | security_result.detection_fields.key/value |
コンテンツ バージョン(contentver) | PanOSContentVer | ContentVer | contentver | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
SCTP 関連付け ID(assoc_id) | PanOSAssocID | assoc_id | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
ペイロード プロトコル ID(ppid) | PanOSPPID | ppid | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
HTTP ヘッダー(http_headers) | PanOSHTTPHeader | http_headers | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
URL カテゴリリスト(url_category_list) | PanOSURLCatList | url_category_list | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
ルール UUID(rule_uuid) | PanOSRuleUUID | security_result.rule_id | ||
HTTP/2 接続(http2_connection) | PanOSHTTP2Con | http2_connection | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
動的ユーザー グループ名(dynusergroup_name) | PanDynamicUsrgrp | dynusergroup_name | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
|
XFF アドレス(xff_ip) | PanXFFIP | principal.ip | ||
ソースのデバイス カテゴリ(src_category) | PanSrcDeviceCat | src_category | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
|
ソースデバイス プロファイル(src_profile) | PanSrcDeviceProf | src_profile | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
|
ソースデバイス モデル(src_model) | PanSrcDeviceModel | src_model | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
|
ソースデバイス ベンダー(src_vendor) | PanSrcDeviceVendor | src_vendor | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
|
ソースデバイス OS ファミリー(src_osfamily) | PanSrcDeviceOS | src_osfamily | principal.asset.platform_software.platform principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
|
ソース デバイスの OS バージョン(src_osversion) | PanSrcDeviceOSv | principal.asset.software.version | ||
ソースホスト名(src_host) | PanSrcHostname | principal.hostname | ||
送信元 MAC アドレス(src_mac) | PanSrcMac | principal.mac | ||
宛先デバイス カテゴリ(dst_category) | PanDstDeviceCat | dst_category | target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value |
|
宛先デバイス プロファイル(dst_profile) | PanDstDeviceProf | dst_profile | target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value |
|
移行先のデバイスモデル(dst_model) | PanDstDeviceModel | dst_model | target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value |
|
宛先デバイス ベンダー(dst_Vendor) | PanDstDeviceVendor | dst_vendor | target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value |
|
宛先デバイス OS ファミリー(dst_osfamily) | PanDstDeviceOS | dst_osfamily | target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value |
|
移行先デバイスの OS バージョン(dst_osversion) | PanDstDeviceOSv | target.asset.software.version | ||
宛先ホスト名(dst_host) | PanDstHostname | target.hostname | ||
宛先 MAC アドレス(dst_mac) | PanDstMac | target.mac | ||
コンテナ ID (container_id) | PanContainerName | コンテナ ID | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
POD 名前空間(pod_namespace) | PanPODNamespace | pod_namespace | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
POD 名(pod_name) | PanPODName | pod_name | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
送信元外部動的リスト(src_edl) | PanSrcEDL | src_edl | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
宛先外部動的リスト(dst_edl) | PanDstEDL | dst_edl | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
ホスト ID(hostid) | PanGPHostID | hostid | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
ユーザー デバイスのシリアル番号(serialnumber) | PanEPSerial | principal.asset.hardware.serial_number | ||
ドメイン EDL(domain_edl) | PanDomainEDL | domain_edl | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
送信元動的アドレス グループ(src_dag) | PanSrcDAG | principal.group.group_display_name | ||
宛先動的アドレス グループ(dst_dag) | PanDstDAG | target.group.group_display_name | ||
部分ハッシュ (partial_hash) | PanPartialHash | partial_hash | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
高解像度のタイムスタンプ (high_res timestamp) | PanTimeHighRes | high_res タイムスタンプ | metadata.collected_timestamp,
metadata.event_timestamp(「生成時間」がない場合) |
|
理由 (reason) | PanReasonFilteringAction | reason | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
正当な理由 (justification) | PanJustification | 理由 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
スライス サービスタイプ(nssai_sst) | PanASServiceType | nssai_sst | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
アプリケーション サブカテゴリ(subcategory_of_app) | subcategory_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
アプリケーション カテゴリ(category_of_app) | category_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
アプリケーション テクノロジー(technology_of_app) | technology_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
アプリケーション リスク(risk_of_app) | risk_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
アプリケーションの特徴 (characteristic_of_app) | characteristic_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
アプリケーション コンテナ(container_of_app) | container_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
アプリケーション SaaS(is_saas_of_app) | is_saas_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
アプリケーション Sanctioned State(sanctioned_state_of_app) | sanctioned_state_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
トラフィック
次の表に、ログタイプのログ フィールドと、対応する UDM フィールドを示します。
CSV フィールド | CEF 項目 | LEEF フィールド | Google Security Operations のラベルキー | UDM フィールド |
---|---|---|---|---|
受信時刻(Received_time または cef-format-Received_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp(「生成時間」がない場合) |
|
シリアル番号(serial) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
タイプ(タイプ) | タイプ(ヘッダー) | cat/Type | metadata.product_event_type | |
脅威/コンテンツ タイプ(サブタイプ) | サブタイプ(ヘッダー) | サブタイプ | metadata.product_event_type | |
Generated Time(time_generated または cef-format-time_generated) | スタート | metadata.event_timestamp | ||
送信元アドレス(src) | src | src | principal.ip | |
宛先アドレス(dst) | dst | dst | target.ip | |
NAT ソース IP(natsrc) | sourceTranslatedAddress | srcPostNAT | principal.nat_ip | |
NAT 宛先 IP(natdst) | destinationTranslatedAddress | dstPostNAT | target.nat_ip | |
ルール名(rule) | cs1 | RuleName | security_result.rule_name | |
送信元ユーザー(srcuser) | suser | SourceUser | principal.user.userid | |
宛先ユーザー(dstuser) | duser | DestinationUser | target.user.userid | |
アプリケーション (app) | app | Application(アプリケーション) | target.application | |
仮想システム(vsys) | cs3 | VirtualSystem | vsys | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
送信元のゾーン(from) | cs4 | SourceZone | 送信元 | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
宛先のゾーン(送信先) | cs5 | DestinationZone | ~ | target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value |
インバウンドインターフェース(inbound_if) | deviceInboundInterface | IngressInterface | inbound_if | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
アウトバウンドインターフェース(outbound_if) | deviceOutboundInterface | EgressInterface | outbound_if | target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value |
ログ アクション(logset) | cs6 | LogForwardingProfile | logset | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
セッション ID(sessionid) | cn1 | SessionID | network.session_id | |
繰り返し回数(repeatcnt) | cnt | RepeatCount | repeatcnt | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
送信元ポート(sport) | spt | srcPort | principal.port | |
宛先ポート(dport) | dpt | dstPort | target.port | |
NAT 送信元ポート(natsport) | sourceTranslatedPort | srcPostNATPort | principal.nat_port | |
NAT 宛先ポート(natdport) | destinationTranslatedPort | dstPostNATPort | target.nat_port | |
フラグ(flags) | flexString1 | フラグ | flags | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
IP プロトコル(proto) | proto | proto | network.ip_protocol | |
アクション (action) | 対処 | action | security_result.action_details
security_result.action |
|
バイト(bytes) | flexNumber1 | totalBytes | バイト | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
送信バイト数(bytes_sent) | in | srcBytes | network.sent_bytes | |
受信バイト数(bytes_Receivedd) | out | dstBytes | network.received_bytes | |
パケット数(packets) | cn2 | totalPackets | パケット | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
開始時刻 (start) | StartTime | スタート | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
経過時間(elapsed) | cn3 | ElapsedTime | 経過時間 | network.session_duration.seconds |
カテゴリ(category) | cs2 | URL のカテゴリ | security_result.category / security_result.category_details | |
シーケンス番号(seqno) | externalId | シーケンス | metadata.product_log_id | |
アクション フラグ(アクションフラグ) | PanOSActionFlags | ActionFlags | actionflags | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
送信元の国(srcloc) | SourceLocation | principal.location.country_or_region | ||
宛先の国(dstloc) | DestinationLocation | target.location.country_or_region | ||
送信パケット(pkts_sent) | PanOSPacketsSent | srcPackets | pkts_sent | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
受信パケット数(pkts_Receivedd) | PanOSPacketsReceived | dstPackets | pkts_received | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
セッション終了の理由(session_end_reason) | reason | SessionEndReason | security_result.summary | |
デバイス グループ階層 1(dg_hier_level_1 から dg_hier_level_4) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
デバイス グループ階層 2(dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
デバイス グループ階層 3(dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
デバイス グループ階層(dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
仮想システム名(vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
デバイス名(device_name) | dvchost | DeviceName | intermediary.hostname | |
アクション宛先(action_source) | cat | ActionSource | action_source | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
ソース VM UUID(src_uuid) | PanOSSrcUUID | SrcUUID | principal.asset.product_object_id | |
宛先 VM UUID(dst_uuid) | PanOSDstUUID | DstUUID | target.asset.product_object_id | |
トンネル ID/IMSI(tunnelid/imsi) | PanOSTunnelID | TunnelID | tunnelid/imsi | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
タグ/IMEI のモニタリング(monitortag/imei) | PanOSMonitorTag | MonitorTag | monitortag/imei | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
親セッション ID(parent_session_id) | PanOSParentSessionID | ParentSessionID | parent_session_id | network.parent_session_id |
親開始時間(parent_start_time) | PanOSParentStartTime | ParentStartTime | parent_start_time | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
トンネルタイプ(tunnel) | PanOSTunnelType | TunnelType | トンネル | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
SCTP 関連付け ID(assoc_id) | PanOSSCTPAssocID | assoc_id | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
SCTP チャンク(chunks) | PanOSSCTPChunks | chunks | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
SCTP チャンク送信(chunks_sent) | PanOSSCTPChunkSent | chunks_sent | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
SCTP チャンク受信(chunks_received) | PanOSSCTPChunksRcv | chunks_received | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
ルール UUID(rule_uuid) | PanOSRuleUUID | security_result.rule_id | ||
HTTP/2 接続(http2_connection) | PanOSHTTP2Con | http2_connection | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
アプリのフラップ数(link_change_count) | PanLinkChange | link_change_count | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
ポリシー ID(policy_id) | PanPolicyID | policy_id | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
リンクスイッチ(link_switches) | PanLinkDetail | link_switches | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
SD-WAN クラスタ(sdwan_cluster) | PanSDWANCluster | sdwan_cluster | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
SD-WAN デバイスタイプ(sdwan_device_type) | PanSDWANDevice | sdwan_device_type | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
SD-WAN クラスタタイプ(sdwan_cluster_type) | PanSDWANClustype | sdwan_cluster_type | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
SD-WAN サイト(sdwan_site) | PanSDWANSite | sdwan_site | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
動的ユーザー グループ名(dynusergroup_name) | PanDynamicUsrgrp | dynusergroup_name | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
XFF アドレス(xff_ip) | PanXFFIP | principal.ip | ||
ソースのデバイス カテゴリ(src_category) | PanSrcDeviceCat | src_category | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
|
ソースデバイス プロファイル(src_profile) | PanSrcDeviceProf | src_profile | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
|
ソースデバイス モデル(src_model) | PanSrcDeviceModel | src_model | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
|
ソースデバイス ベンダー(src_vendor) | PanSrcDeviceVendor | src_vendor | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
|
ソースデバイス OS ファミリー(src_osfamily) | PanSrcDeviceOS | principal.asset.platform_software.platform principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
||
ソース デバイスの OS バージョン(src_osversion) | PanSrcDeviceOSv | principal.asset.software.version | ||
ソースホスト名(src_host) | PanSrcHostname | principal.hostname | ||
送信元 MAC アドレス(src_mac) | PanSrcMac | principal.mac | ||
宛先デバイス カテゴリ(dst_category) | PanDstDeviceCat | dst_category | target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value |
|
宛先デバイス プロファイル(dst_profile) | PanDstDeviceProf | dst_profile | target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value |
|
移行先のデバイスモデル(dst_model) | PanDstDeviceModel | dst_model | target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value |
|
宛先デバイス ベンダー(dst_Vendor) | PanDstDeviceVendor | dst_vendor | target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value |
|
宛先デバイス OS ファミリー(dst_osfamily) | PanDstDeviceOS | dst_osfamily | target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value |
|
移行先デバイスの OS バージョン(dst_osversion) | PanDstDeviceOSv | target.asset.software.version | ||
宛先ホスト名(dst_host) | PanDstHostname | target.hostname | ||
宛先 MAC アドレス(dst_mac) | PanDstMac | target.mac | ||
コンテナ ID (container_id) | PanContainerName | コンテナ ID | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
POD 名前空間(pod_namespace) | PanPODNamespace | pod_namespace | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
POD 名(pod_name) | PanPODName | pod_name | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
送信元外部動的リスト(src_edl) | PanSrcEDL | src_edl | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
|
宛先外部動的リスト(dst_edl) | PanDstEDL | dst_edl | target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value |
|
ホスト ID(hostid) | PanGPHostID | hostid | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
ユーザー デバイスのシリアル番号(serialnumber) | PanEPSerial | principal.asset.hardware.serial_number | ||
送信元動的アドレス グループ(src_dag) | PanSrcDAG | principal.group.group_display_name | ||
宛先動的アドレス グループ(dst_dag) | PanDstDAG | target.group.group_display_name | ||
セッション オーナー(session_owner) | PanHASessionOwner | session_owner | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
高解像度のタイムスタンプ (high_res_timestamp) | PanTimeHighRes | metadata.collected_timestamp,
metadata.event_timestamp(「生成時間」がない場合) |
||
スライス サービスタイプ(nsdsai_sst) | PanASServiceType | nsdsai_sst | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
スライス差分(nsdsai_sd) | PanASServiceDiff | nsdsai_sd | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
アプリケーション サブカテゴリ(subcategory_of_app) | subcategory_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
アプリケーション カテゴリ(category_of_app) | category_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
アプリケーション テクノロジー(technology_of_app) | technology_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
アプリケーション リスク(risk_of_app) | security_result.severity | |||
アプリケーションの特徴 (characteristic_of_app) | characteristic_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
アプリケーション コンテナ(container_of_app) | container_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
アプリケーション SaaS(is_saas_of_app) | is_saas_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
アプリケーション Sanctioned State(sanctioned_state_of_app) | sanctioned_state_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
アプリケーション サブカテゴリ(subcategory_of_app) | subcategory_of_app1 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
User-ID
次の表に、ユーザー ID ログタイプのログフィールドと対応する UDM フィールドを示します。
CSV フィールド | CEF 項目 | LEEF フィールド | Google Security Operations のラベルキー | UDM フィールド |
---|---|---|---|---|
受信時刻(Received_time または cef-format-Received_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp(「生成時間」がない場合) |
|
シリアル番号(serial) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
タイプ(タイプ) | タイプ(ヘッダー) | cat | metadata.product_event_type | |
脅威/コンテンツ タイプ(サブタイプ) | サブタイプ(ヘッダー) | サブタイプ | metadata.product_event_type | |
Generated Time(time_generated または cef-format-time_generated) | metadata.event_timestamp | |||
仮想システム(vsys) | cs3 | VirtualSystem | vsys | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
送信元 IP(ip) | src | src | principal.ip | |
User (user) | duser | usrName | target.user.userid
target.administrative_domain target.user.email_addresses |
|
データソース名(datasourcename) | cs4 | DataSourceName | データソース名 | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
イベント ID(eventid) | EventID | eventid | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
繰り返し回数(repeatcnt) | cnt | RepeatCount | repeatcnt | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
タイムアウトしきい値(timeout) | cn3 | TimeoutThreshold | timeout | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
送信元ポート(beginport) | spt | srcPort | principal.port | |
宛先ポート(endport) | dpt | dstPort | target.port | |
データソース(datasource) | cs5 | DataSource | データソース | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
データソース タイプ(datasourcetype) | cs6 | DataSourceType | データソースのタイプ | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
シーケンス番号(seqno) | externalId | シーケンス | metadata.product_log_id | |
アクション フラグ(アクションフラグ) | PanOSActionFlags | ActionFlags | actionflags | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
デバイス グループ階層(dg_hier_level_1) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
デバイス グループ階層(dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
デバイス グループ階層(dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
デバイス グループ階層(dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
仮想システム名(vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
デバイス名(device_name) | dvchost | DeviceName | intermediary.hostname | |
仮想システム ID(vsys_id) | cn2 | VirtualSystemID | principal.resource.resource_type=VIRTUAL_MACHINE と principal.resource.product_object_id | |
要素タイプ(factortype) | cs1 | FactorType | factortype | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
要素完了時間(factorcompletetime) | end | FactorCompletionTime | factorcompletetime | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
要素番号(factorno) | cn1 | FactorNumber | factorno | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
ユーザー グループ フラグ(ugflags) | PanOSUGFlags | ugflags | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
ソース別のユーザー(userbysource) | PanOSUserBySource | principal.user.userid
principal.administrative_domain principal.user.email_addresses |
||
高解像度のタイムスタンプ (high_res timestamp) | PanOSTimeGeneratedHighResolution | metadata.collected_timestamp,
metadata.event_timestamp(「生成時間」がない場合) |
HIP マッチング
次の表に、HIP マッチログタイプのログフィールドと対応する UDM フィールドを示します。
CSV フィールド | CEF 項目 | LEEF フィールド | Google Security Operations のラベルキー | UDM フィールド |
---|---|---|---|---|
受信時刻(Received_time または cef-format-Received_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp(「生成時間」がない場合) |
|
シリアル番号(serial) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
タイプ(タイプ) | タイプ(ヘッダー) | cat | metadata.product_event_type | |
脅威/コンテンツ タイプ(サブタイプ) | サブタイプ(ヘッダー) | サブタイプ | ||
Generated Time(time_generated または cef-format-time_generated) | スタート | startTime | metadata.event_timestamp | |
送信元ユーザー(srcuser) | suser | usrName | principal.user.userid | |
仮想システム(vsys) | cs3 | VirtualSystem | vsys | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
マシン名(machinename) | shost | identHostName | principal.hostname | |
オペレーティング システム(OS) | cs2 | OS | principal.asset.platform_software.platform | |
送信元アドレス(src) | src | identsrc | principal.ip | |
HIP(matchname) | cat | HIP | matchname | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
繰り返し回数(repeatcnt) | cnt | RepeatCount | repeatcnt | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
HIP タイプ(matchtype) | デバイス イベント クラス ID(Header) | HIPType | 一致タイプ | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
シーケンス番号(seqno) | externalId | シーケンス | metadata.product_log_id | |
アクション フラグ(アクションフラグ) | PanOSActionFlags | ActionFlags | actionflags | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
デバイス グループ階層(dg_hier_level_1) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
デバイス グループ階層(dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
デバイス グループ階層(dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
デバイス グループ階層(dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
仮想システム名(vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
デバイス名(device_name) | dvchost | DeviceName | intermediary.hostname | |
仮想システム ID(vsys_id) | cn2 | VirtualSystemID | principal.resource.resource_type=VIRTUAL_MACHINE と principal.resource.product_object_id | |
IPv6 システム アドレス(srcipv6) | c6a2 | srcipv6 | principal.asset.ip | |
ホスト ID(hostid) | PanOSHostID | principal.asset.product_object_id | ||
ユーザー デバイスのシリアル番号(serialnumber) | PanOSEndpointSerialNumber | principal.asset.hardware.serial_number | ||
デバイスの MAC アドレス(mac) | PanOSEndpointMac | principal.asset.mac | ||
高解像度のタイムスタンプ (high_res_timestamp) | PanOSTimeGeneratedHighResolution | metadata.collected_timestamp,
metadata.event_timestamp(「生成時間」がない場合) |
IP タグ
次の表に、IP タグのログタイプのログ フィールドと対応する UDM フィールドを示します。
CSV フィールド | CEF 項目 | LEEF フィールド | Google Security Operations のラベルキー | UDM フィールド |
---|---|---|---|---|
受信時刻(Received_time または cef-format-Received_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp(「生成時間」がない場合) |
|
シリアル番号(serial) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
タイプ(タイプ) | タイプ(ヘッダー) | cat | metadata.product_event_type | |
脅威/コンテンツ タイプ(サブタイプ) | サブタイプ(ヘッダー) | サブタイプ | metadata.product_event_type | |
Generated Time(time_generated または cef-format-time_generated) | GenerateTime | metadata.event_timestamp | ||
仮想システム(vsys) | cs3 | VirtualSystem | vsys | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
送信元 IP(ip) | src | src | principal.ip | |
タグ名(tag_name) | PanOSTagName | TagName | tag_name | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
イベント ID(event_id) | PanOSEventID | EventID | event_id | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
繰り返し回数(repeatcnt) | cnt | RepeatCount | repeatcnt | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
タイムアウト (timeout) | PanOSTimeout | TimeoutThreshold | timeout | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
データソース名(datasourcename) | PanOSDataSourceName | DataSourceName | データソース名 | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
データソース タイプ(datasource_type) | PanOSDataSourceType | DataSource | datasource_type | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
データソース サブタイプ(datasource_subtype) | PanOSDataSourceSubType | DataSourceType | datasource_subtype | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
シーケンス番号(seqno) | externalId | シーケンス | metadata.product_log_id | |
アクション フラグ(アクションフラグ) | PanOSActionFlags | ActionFlags | actionflags | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
デバイス グループ階層(dg_hier_level_1) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
デバイス グループ階層(dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
デバイス グループ階層(dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
デバイス グループ階層(dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
仮想システム名(vsys_name) | PanOsVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
デバイス名(device_name) | dvchost | DeviceName | intermediary.hostname | |
仮想システム ID(vsys_id) | cn2 | VirtualSystemID | principal.resource.resource_type=VIRTUAL_MACHINE と principal.resource.product_object_id | |
高解像度のタイムスタンプ (high_res timestamp) | PanOSTimeGeneratedHighResolution | metadata.collected_timestamp,
metadata.event_timestamp(「生成時間」がない場合) |
復号
次の表に、復号ログタイプのログ フィールドと、対応する UDM フィールドを示します。
CSV フィールド | CEF 項目 | LEEF フィールド | Google Security Operations のラベルキー | UDM フィールド |
---|---|---|---|---|
受信時刻(Received_time または cef-format-Received_time) | rt | metadata.collected_timestamp,
metadata.event_timestamp(「生成時間」がない場合) |
||
シリアル番号(serial) | PanOSDeviceSN | intermediary.asset.hardware.serial_number | ||
タイプ(タイプ) | タイプ(ヘッダー) | metadata.product_event_type | ||
脅威/コンテンツ タイプ(サブタイプ) | サブタイプ(ヘッダー) | metadata.product_event_type | ||
設定バージョン(config_ver) | PanOSConfigVersion | config_ver | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
生成時間(time_generated) | PanOSLogTimeStamp | metadata.event_timestamp | ||
送信元アドレス(src) | src | principal.ip | ||
宛先アドレス(dst) | dst | target.ip | ||
NAT ソース IP(natsrc) | sourceTranslatedAddress | principa.nat_ip | ||
NAT 宛先 IP(natdst) | destinationTranslatedAddress | target.nat_ip | ||
ルール(rule) | cs1 | security_result.rule_name | ||
送信元ユーザー(srcuser) | suser | principal.user.userid | ||
宛先ユーザー(dstuser) | duser | target.user.userid | ||
アプリケーション (app) | app | target.application | ||
仮想システム(vsys) | cs3 | vsys | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
送信元のゾーン(from) | cs4 | 送信元 | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
|
宛先のゾーン(送信先) | cs5 | ~ | target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value |
|
インバウンドインターフェース(inbound_if) | deviceInboundInterface | inbound_if | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
|
アウトバウンドインターフェース(outbound_if) | deviceOutboundInterface | outbound_if | target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value |
|
ログ アクション(logset) | cs6 | logset | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
ログに記録される時刻(time_received) | PanOSTimeReceivedManagementPlane | - | ||
セッション ID(sessionid) | cn1 | network.session_id | ||
繰り返し回数(repeatcnt) | PanOSCountOfRepeats/RepeatCount | repeatcnt | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
送信元ポート(sport) | spt | principal.port | ||
宛先ポート(dport) | dpt | target.port | ||
NAT 送信元ポート(natsport) | sourceTranslatedPort | principal.nat_port | ||
NAT 宛先ポート(natdport) | destinationTranslatedPort | target.nat_port | ||
フラグ(flags) | flexString1 | flags | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
IP プロトコル(proto) | proto | network.ip_protocol | ||
アクション (action) | 対処 | security_result.action_details
security_result.action |
||
トンネル(tunnel) | PanOSTunnel | トンネル | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
ソース VM UUID(src_uuid) | PanOSSourceUUID | principal.asset.asset_id | ||
宛先 VM UUID(dst_uuid) | PanOSDestinationUUID | target.asset.asset_id | ||
ルールの UUID(rule_uuid) | PanOSRuleUUID | security_result.rule_id | ||
クライアントからファイアウォールへのステージ(hs_stage_c2f) | PanOSClientToFirewall | hs_stage_c2f | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
ファイアウォールからサーバーまでのステージ(hs_stage_f2s) | PanOSFirewallToServer | hs_stage_f2s | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
TLS バージョン(tls_version) | PanOSTLSVersion | network.tls.version | ||
Key Exchange アルゴリズム(tls_keyxchg) | PanOSTLSKeyExchange | tls_keyxchg | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
暗号化アルゴリズム(tls_enc) | PanOSTLSEncryptionAlgorithm | tls_enc | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
ハッシュ アルゴリズム(tls_auth) | PanOSTLSAuth | tls_auth | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
ポリシー名(policy_name) | PanOSPolicyName | policy_name | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
楕円曲線(ec_curve) | PanOSEllipticCurve | network.tls.curve | ||
エラー インデックス(err_index) | PanOSErrorIndex | err_index | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
ルートのステータス(root_status) | PanOSRootStatus | root_status | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
チェーンステータス(chain_status) | PanOSChainStatus | chain_status | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
プロキシの種類(proxy_type) | PanOSProxyType | proxy_type | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
証明書のシリアル番号(cert_serial) | PanOSCertificateSerial | network.tls.server.certificate.serial | ||
証明書フィンガープリント(fingerprint) | PanOSFingerprint | network.tls.server.certificate.md5/sha1/sha256 | ||
証明書の開始日(以前) | PanOSTimeNotBefore | network.tls.server.certificate.not_before | ||
証明書の終了日(notafter) | PanOSTimeNotAfter | network.tls.server.certificate.not_after | ||
証明書のバージョン(cert_ver) | PanOSCertificateVersion | network.tls.server.certificate.version | ||
証明書のサイズ(cert_size) | PanOSCertificateSize | cert_size | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
共通名の長さ(cn_len) | PanOSCommonNameLength | cn_len | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
カード発行会社の共通名の長さ(issuer_len) | PanOSIssuerNameLength | issuer_len | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
ルート共通名の長さ(rootcn_len) | PanOSRootCNLength | rootcn_len | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
SNI の長さ(sni_len) | PanOSSNILength | sni_len | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
証明書フラグ(cert_flags) | PanOSCertificateFlags | cert_flags | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
サブジェクトの共通名(cn) | PanOSCommonName | cn | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
カード発行会社の共通名(issuer_cn) | PanOSIssuerCommonName | network.tls.server.certificate.issuer | ||
ルート共通名(root_cn) | PanOSRootCommonName | root_cn | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
Server Name Indication
(sni) |
network.tls.client.server_name | |||
エラー(error) | PanOSErrorMessage | エラー | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
コンテナ ID (container_id) | PanOSContainerID | コンテナ ID | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
POD 名前空間(pod_namespace) | PanOSContainerNameSpace | pod_namespace | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
POD 名(pod_name) | PanOSContainerName | pod_name | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
送信元外部動的リスト(src_edl) | PanOSSourceEDL | src_edl | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
|
宛先外部動的リスト(dst_edl) | PanOSDestinationEDL | dst_edl | target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value |
|
送信元動的アドレス グループ(src_dag) | PanOSSourceDynamicAddressGroup | principal.group.group_display_name | ||
宛先動的アドレス グループ(dst_dag) | PanOSDestinationDynamicAddressGroup | target.group.group_display_name | ||
高解像度のタイムスタンプ (high_res_timestamp) | PanOSTimeGeneratedHighResolution | metadata.collected_timestamp,
metadata.event_timestamp(「生成時間」がない場合) |
||
ソースのデバイス カテゴリ(src_category) | PanOSSourceDeviceCategory | src_category | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
|
ソースデバイス プロファイル(src_profile) | PanOSSourceDeviceProfile | src_profile | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
|
ソースデバイス モデル(src_model) | PanOSSourceDeviceModel | src_model | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
|
ソースデバイス ベンダー(src_vendor) | PanOSSourceDeviceVendor | src_vendor | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
|
ソースデバイス OS ファミリー(src_osfamily) | PanOSSourceDeviceOSFamily | principal.asset.platform_software.platform principal.labels.key と principal.labels.value |
||
ソース デバイスの OS バージョン(src_osversion) | PanOSSourceDeviceOSVersion | principal.asset.software.version | ||
ソースホスト名(src_host) | PanOSSourceDeviceHost | principal.hostname | ||
送信元 MAC アドレス(src_mac) | PanOSSourceDeviceMac | principal.mac | ||
宛先デバイス カテゴリ(dst_category) | PanOSDestinationDeviceCategory | dst_category | target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value |
|
宛先デバイス プロファイル(dst_profile) | PanOSDestinationDeviceProfile | dst_profile | target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value |
|
移行先のデバイスモデル(dst_model) | PanOSDestinationDeviceModel | dst_model | target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value |
|
宛先デバイス ベンダー(dst_Vendor) | PanOSDestinationDeviceVendor | dst_vendor | target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value |
|
宛先デバイス OS ファミリー(dst_osfamily) | PanOSDestinationDeviceOSFamily | dst_osfamily | target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value |
|
移行先デバイスの OS バージョン(dst_osversion) | PanOSDestinationDeviceOSVersion | target.asset.software.version | ||
宛先ホスト名(dst_host) | PanOSDestinationDeviceHost | target.hostname | ||
宛先 MAC アドレス(dst_mac) | PanOSDestinationDeviceMac | target.mac | ||
シーケンス番号(seqno) | PanOSLogTypeSeqNo | metadata.product_log_id | ||
アクション フラグ(アクションフラグ) | PanOSActionFlags | actionflags | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
デバイス グループ階層(dg_hier_level_1) | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
デバイス グループ階層(dg_hier_level_2) | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
デバイス グループ階層(dg_hier_level_3) | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
デバイス グループ階層(dg_hier_level_4) | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
仮想システム名(vsys_name) | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|||
デバイス名(device_name) | intermediary.hostname | |||
仮想システム ID(vsys_id) | principal.resource.resource_type=VIRTUAL_MACHINE と principal.resource.product_object_id | |||
アプリケーション サブカテゴリ(subcategory_of_app) | subcategory_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
アプリケーション カテゴリ(category_of_app) | category_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
アプリケーション テクノロジー(technology_of_app) | technology_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
アプリケーション リスク(risk_of_app) | security_result.severity | |||
アプリケーションの特徴 (characteristic_of_app) | characteristic_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
アプリケーション コンテナ(container_of_app) | container_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
アプリケーション SaaS(is_saas_of_app) | is_saas_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
アプリケーション Sanctioned State(sanctioned_state_of_app) | sanctioned_state_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
トンネル
次の表に、トンネルログタイプのログ フィールドと、対応する UDM フィールドを示します。
CSV フィールド | CEF 項目 | LEEF フィールド | Google Security Operations のラベルキー | UDM フィールド |
---|---|---|---|---|
受信時刻(Received_time または cef-format-Received_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp(「生成時間」がない場合) |
|
シリアル番号(serial) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
タイプ(タイプ) | タイプ(ヘッダー) | cat | metadata.product_event_type | |
脅威/コンテンツ タイプ(サブタイプ) | サブタイプ(ヘッダー) | サブタイプ | metadata.product_event_type | |
Generated Time(time_generated または cef-format-time_generated) | metadata.event_timestamp | |||
送信元アドレス(src) | src | src | principal.ip | |
宛先アドレス(dst) | dst | dst | target.ip | |
NAT ソース IP(natsrc) | sourceTranslatedAddress | srcPostNAT | principal.nat_ip | |
NAT 宛先 IP(natdst) | destinationTranslatedAddress | dstPostNAT | target.nat_ip | |
ルール名(rule) | cs1 | RuleName | security_result.rule_name | |
送信元ユーザー(srcuser) | suser | SourceUser / usrName | principal.user.userid | |
宛先ユーザー(dstuser) | duser | DestinationUser | target.user.userid | |
アプリケーション (app) | app | Application(アプリケーション) | network.application_protocol | |
仮想システム(vsys) | cs3 | VirtualSystem | vsys | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
送信元のゾーン(from) | cs4 | SourceZone | 送信元 | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
宛先のゾーン(送信先) | cs5 | DestinationZone | ~ | target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value |
インバウンドインターフェース(inbound_if) | deviceInboundInterface | IngressInterface | inbound_if | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
アウトバウンドインターフェース(outbound_if) | deviceOutboundInterface | EgressInterface | outbound_if | target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value |
ログ アクション(logset) | cs6 | LogForwardingProfile | logset | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
セッション ID(sessionid) | cn1 | SessionID | network.session_id | |
繰り返し回数(repeatcnt) | cnt | RepeatCount | repeatcnt | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
送信元ポート(sport) | spt | srcPort | principal.port | |
宛先ポート(dport) | dpt | dstPort | target.port | |
NAT 送信元ポート(natsport) | sourceTranslatedPort | srcPostNATPort | principal.nat_port | |
NAT 宛先ポート(natdport) | destinationTranslatedPort | dstPostNATPort | target.nat_port | |
フラグ(flags) | flexString1 | フラグ | flags | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
IP プロトコル(proto) | proto | proto | network.ip_protocol | |
アクション (action) | 対処 | action | security_result.action_details
security_result.action |
|
重大度(severity) | security_result.severity と security_result.severity_details | |||
シーケンス番号(seqno) | externalId | シーケンス | metadata.product_log_id | |
アクション フラグ(アクションフラグ) | PanOSActionFlags | ActionFlags | actionflags | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
送信元の場所(srcloc) | principal.location.country_or_region | |||
宛先のロケーション(dstloc) | target.location.country_or_region | |||
デバイス グループ階層(dg_hier_level_1) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
デバイス グループ階層(dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
デバイス グループ階層(dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
デバイス グループ階層(dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
仮想システム名(vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
デバイス名(device_name) | dvchost | DeviceName | intermediary.hostname | |
トンネル ID(tunnelid) | PanOSTunnelID | TunnelID | tunnelid | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
タグのモニタリング(monitortag) | PanOSMonitorTag | MonitorTag | monitortag | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
親セッション ID(parent_session_id) | PanOSParentSessionID | ParentSessionID | parent_session_id | network.parent_session_id |
親開始時間(parent_start_time) | PanOSParentStartTime | ParentStartTime | parent_start_time | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
トンネルタイプ(tunnel) | cs2 | TunnelType | トンネル | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
バイト(bytes) | flexNumber1 | totalBytes | バイト | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
送信バイト数(bytes_sent) | in | srcBytes | network.sent_bytes | |
受信バイト数(bytes_Receivedd) | out | dstBytes | network.received_bytes | |
パケット数(packets) | cn2 | totalPackets | パケット | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
送信パケット数(pkts_sent) | PanOSPacketsSent | srcPackets | pkts_sent | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
受信パケット数(pkts_Receivedd) | PanOSPacketsReceived | dstPackets | pkts_received | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
最大カプセル化(max_encap) | flexNumber2 | MaximumEncapsulation | max_encap | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
不明なプロトコル(unknown_proto) | cfp1 | UnknownProtocol | unknown_proto | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
厳密なチェック(strict_check) | cfp2 | StrictChecking | strict_check | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
トンネル フラグメント(tunnel_fragment) | PanOSTunnelFragment | TunnelFragment | tunnel_fragment | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
作成されたセッション(sessions_created) | cfp3 | SessionsCreated | sessions_created | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
閉じたセッション(sessions_closure) | cfp4 | SessionsClosed | sessions_closed | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
セッション終了の理由(session_end_reason) | reason | SessionEndReason | security_result.summary | |
アクション宛先(action_source) | cat | ActionSource | action_source | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
開始時刻 (start) | startTime | スタート | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
経過時間(elapsed) | cn3 | ElapsedTime | 経過時間 | network.session_duration.seconds |
トンネル検査ルール(tunnel_insp_rule) | PanOSTunneInspectionRule | security_result.rule_name = 「トンネル検査ルール: %{PanOSTunnelInspectionRule}」 | ||
リモート ユーザー IP(remote_user_ip) | PanOSRmtUserIP | target.ip | ||
リモート ユーザー ID(remote_user_id) | PanOSRmtUserID | remote_user_id | target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value |
|
セキュリティ ルールの UUID(rule_uuid) | PanOSRuleUUID | security_result.rule_id | ||
PCAP ID(pcap_id) | PanOSPcapID | pcap_id | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
動的ユーザー グループ名(dynusergroup_name) | PanDynamicUsrgrp | principal.group.group_display_name | ||
送信元外部動的リスト(src_edl) | PanOSSourceEDL | src_edl | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
|
宛先外部動的リスト(dst_edl) | PanOSDestinationEDL | dst_edl | target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value |
|
高解像度のタイムスタンプ (high_res timestamp) | PanOSTimeGeneratedHighResolution | metadata.collected_timestamp,
metadata.event_timestamp(「生成時間」がない場合) |
||
スライス差分(nssai_sd) | nssai_sd | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
スライス サービスタイプ(nssai_sd) | nssai_sd1 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
PDU セッション ID(pdu_session_id) | pdu_session_id | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
アプリケーション サブカテゴリ(subcategory_of_app) | subcategory_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
アプリケーション カテゴリ(category_of_app) | category_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
アプリケーション テクノロジー(technology_of_app) | technology_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
アプリケーション リスク(risk_of_app) | risk_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
アプリケーションの特徴 (characteristic_of_app) | characteristic_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
アプリケーション コンテナ(container_of_app) | container_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
アプリケーション SaaS(is_saas_of_app) | is_saas_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
アプリケーション Sanctioned State(sanctioned_state_of_app) | sanctioned_state_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
認証
次の表に、認証ログタイプのログ フィールドと、対応する UDM フィールドを示します。
CSV フィールド | CEF 項目 | LEEF フィールド | Google Security Operations のラベルキー | UDM フィールド |
---|---|---|---|---|
受信時刻(Received_time または cef-format-Received_time) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp(「生成時間」がない場合) |
|
シリアル番号(serial) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
タイプ(タイプ) | タイプ(ヘッダー) | cat | metadata.product_event_type | |
脅威/コンテンツ タイプ(サブタイプ) | サブタイプ(ヘッダー) | サブタイプ | metadata.product_event_type | |
Generated Time(time_generated または cef-format-time_generated) | metadata.event_timestamp | |||
仮想システム(vsys) | cs3 | VirtualSystem | vsys | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
送信元 IP(ip) | src | src | principal.ip | |
User (user) | duser | usrName | target.user.userid | |
正規化ユーザー(normalize_user) | cs2 | NormalizeUser | target.user.user_display_name | |
オブジェクト(object) | fname | ObjectName | オブジェクト | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
認証ポリシー(authpolicy) | cs4 | AuthPolicy | authpolicy | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
繰り返し回数(repeatcnt) | cnt | RepeatCount | repeatcnt | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
認証 ID(authid) | cn2 | AuthenticationID | authid | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
ベンダー(vendor) | flexString2 | ベンダー | vendor | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
ログ アクション(logset) | cs6 | LogForwardingProfile | logset | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
サーバー プロファイル(serverprofile) | cs1 | ServerProfile | serverprofile | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
説明(desc) | PanOSDesc | AdditionalAuthInfo | security_result.description | |
クライアント タイプ(clienttype) | cs5 | ClientType | clienttype | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
イベントタイプ(event) | msg | msg | extensions.auth.auth_details | |
要素番号(factorno) | cn1 | FactorNumber | factorno | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
シーケンス番号(seqno) | externalId | シーケンス | metadata.product_log_id | |
アクション フラグ(アクションフラグ) | PanOSActionFlags | ActionFlags | actionflags | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
デバイス グループ階層(dg_hier_level_1) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
デバイス グループ階層(dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
デバイス グループ階層(dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
デバイス グループ階層(dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
仮想システム名(vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
デバイス名(device_name) | dvchost | DeviceName | intermediary.hostname | |
仮想システム ID(vsys_id) | principal.resource.resource_type=VIRTUAL_MACHINE と principal.resource.product_object_id | |||
認証プロトコル(authproto) | authproto | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
ルールの UUID(rule_uuid) | PanOSRuleUUID/RuleUUID | security_result.rule_id | ||
高解像度のタイムスタンプ (high_res _timestamp) | PanOSTimeGeneratedHighResolution | metadata.collected_timestamp,
metadata.event_timestamp(「生成時間」がない場合) |
||
ソースのデバイス カテゴリ(src_category) | PanOSSourceDeviceCategory | src_category | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
|
ソースデバイス プロファイル(src_profile) | PanOSSourceDeviceProfile | src_profile | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
|
ソースデバイス モデル(src_model) | PanOSSourceDeviceModel | src_model | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
|
ソースデバイス ベンダー(src_vendor) | PanOSSourceDeviceVendor | src_vendor | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
|
ソースデバイス OS ファミリー(src_osfamily) | PanOSSourceDeviceOSFamily | principal.asset.platform_software.platform principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
||
ソース デバイスの OS バージョン(src_osversion) | PanOSSourceDeviceOSVersion | principal.asset.software.version | ||
ソースホスト名(src_host) | PanOSSourceHostname | principal.hostname | ||
送信元 MAC アドレス(src_mac) | PanOSSourceMac | principal.asset.mac | ||
リージョン (region) | PanOSTrafficOriginRegion | principal.location.country_or_region | ||
ユーザー エージェント(user_agent) | PanOSHTTPUserAgent | network.http.user_agent | ||
セッション ID(sessionid) | PanOSTrafficSessionID | network.session_id |
URL
次の表に、URL ログタイプのログ フィールドと、対応する UDM フィールドを示します。
CSV フィールド | CEF 項目 | LEEF フィールド | Google Security Operations のラベルキー | UDM フィールド |
---|---|---|---|---|
受信時間(cef 形式の受信時間) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp(「生成時間」がない場合) |
|
シリアル番号 (serial) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
タイプ(タイプ) | タイプ(ヘッダー) | cat | metadata.product_event_type | |
脅威/コンテンツ タイプ(サブタイプ) | サブタイプ(ヘッダー) | サブタイプ | metadata.product_event_type | |
生成時間 | metadata.event_timestamp | |||
送信元アドレス(src) | src | src | principal.ip | |
宛先アドレス(dst) | dst | dst | target.ip | |
NAT ソース IP(natsrc) | sourceTranslatedAddress | srcPostNAT | principal.nat_ip | |
NAT 宛先 IP(natdst) | destinationTranslatedAddress | dstPostNAT | target.nat_ip | |
ルール(rule) | cs1 | RuleName | security_result.rule_name | |
送信元ユーザー(srcuser) | suser | SourceUser | principal.user.userid | |
宛先ユーザー(dstuser) | duser | DestinationUser | target.user.userid | |
アプリケーション (app) | app | Application(アプリケーション) | network.application_protocol | |
仮想システム(vsys) | cs3 | VirtualSystem | vsys | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
送信元のゾーン(from) | cs4 | SourceZone | 送信元 | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
宛先のゾーン(送信先) | cs5 | DestinationZone | ~ | target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value |
インバウンドインターフェース(inbound_if) | deviceInboundInterface | IngressInterface | inbound_if | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
アウトバウンドインターフェース(outbound_if) | deviceOutboundInterface | EgressInterface | outbound_if | target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value |
ログ アクション(logset) | cs6 | LogForwardingProfile | logset | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
ログ時間 | time_logged | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
セッション ID(sessionid) | cn1 | SessionID | network.session_id | |
繰り返し回数(repeatcnt) | cnt | RepeatCount | repeatcnt | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
送信元ポート(sport) | spt | srcPort | principal.port | |
宛先ポート(dport) | dpt | dstPort | target.port | |
NAT 送信元ポート(natsport) | sourceTranslatedPort | srcPostNATPort | principal.nat_port | |
NAT 宛先ポート(natdport) | destinationTranslatedPort | dstPostNATPort | target.nat_port | |
フラグ(flags) | flexString1 | フラグ | flags | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
IP プロトコル(proto) | proto | proto | network.ip_protocol | |
アクション (action) | 対処 | action | security_result.action_details
security_result.action |
|
URL/ファイル名(misc) | その他 | target.file.full_path
target.url |
||
脅威/コンテンツ名(threatid) | cat | ThreatID | security_result.threat_id | |
カテゴリ(category) | cs2 | URL のカテゴリ | category | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
重大度(severity) | 重大度(ヘッダ) | 重大度 | security_result.severity
security_result.severity_details |
|
目的地 (direction) | flexString2 | 方向 | network.direction | |
シーケンス番号(seqno) | externalId | シーケンス | metadata.product_log_id | |
アクション フラグ(アクションフラグ) | PanOSActionFlags | ActionFlags | actionflags | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
送信元の国(srcloc) | SourceLocation | principal.location.country_or_region | ||
宛先の国(dstloc) | DestinationLocation | target.location.country_or_region | ||
コンテンツ タイプ (contenttype) | requestContext | ContentType | contenttype | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
pcap_id(pcap_id) | fileId | PCAP_ID | pcap_id | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
filedigest(filedigest) | FileDigest | about.file.sha1/md5/sha256 | ||
クラウド(cloud) | クラウド | cloud | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
url_idx(url_idx) | URLIndex | url_idx | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
user_agent(user_agent) | requestClientApplication | UserAgent | network.http.user_agent | |
ファイルの種類(filetype) | about.file.mime_type | |||
xff(xff) | PanOSXForwarderfor | identSrc | xff | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
リファラー(referer) | PanOSReferer | リファラー | network.http.referral_url | |
送信者(sender) | network.email.from | |||
件名(subject) | 件名 | network.email.subject | ||
受信者(recipient) | network.email.to | |||
reportid (reportid) | reportid | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
DG 階層レベル 1(dg_hier_level_1) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
DG 階層レベル 2(dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
DG 階層レベル 3(dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
DG 階層レベル 4(dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
仮想システム名(vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
デバイス名(device_name) | dvchost | DeviceName | intermediary.hostname | |
file_url(file_url) | about.url | |||
ソース VM UUID(src_uuid) | SrcUUID | principal.asset.asset_id | ||
宛先 VM UUID(dst_uuid) | DstUUID | target.asset.asset_id | ||
http_method (http_method) | requestMethod | RequestMethod | network.http.method | |
トンネル ID/IMSI (tunnelid) | PanOSTunnelID | TunnelID | tunnelid | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
タグ/IMEI のモニタリング(monitortag) | PanOSMonitorTag | MonitorTag | monitortag | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
親セッション ID(parent_session_id) | PanOSParentSessionID | ParentSessionID | parent_session_id | network.parent_session_id |
親セッション開始時間(parent_start_time) | PanOSParentStartTime | ParentStartTime | parent_start_time | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
トンネル(tunnel) | PanOSTunnelType | TunnelType | トンネル | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
thr_category(thr_category) | PanOSThreatCategory | ThreatCategory | thr_category | security_result.detection_fields.key/value |
contentver(contentver) | PanOSContentVer | ContentVer | contentver | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
sig_flags(sig_flags) | sig_flags | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
SCTP 関連付け ID(assoc_id) | PanOSAssocID | assoc_id | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
ペイロード プロトコル ID(ppid) | PanOSPPID | ppid | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
http_headers(http_headers) | PanOSHTTPHeader | http_headers | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
URL カテゴリリスト(url_category_list) | PanOSURLCatList | url_category_list | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
ルールの UUID(rule_uuid) | PanOSRuleUUID | rule_uuid | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
HTTP/2 接続(http2_connection) | PanOSHTTP2Con | http2_connection | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
dynusergroup_name(dynusergroup_name) | PanDynamicUsrgrp | dynusergroup_name | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
XFF アドレス(xff_ip) | PanXFFIP | principal.ip | ||
ソースのデバイス カテゴリ(src_category) | PanSrcDeviceCat | src_category | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
|
ソースデバイス プロファイル(src_profile) | PanSrcDeviceProf | src_profile | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
|
ソースデバイス モデル(src_model) | PanSrcDeviceModel | src_model | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
|
ソースデバイス ベンダー(src_vendor) | PanSrcDeviceVendor | src_vendor | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
|
ソースデバイス OS ファミリー(src_osfamily) | PanSrcDeviceOS | principal.asset.platform_software.platform principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
||
ソース デバイスの OS バージョン(src_osversion) | PanSrcDeviceOSv | principal.asset.software.version | ||
ソースホスト名(src_host) | PanSrcHostname | src_host | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
|
送信元 Mac アドレス(src_mac) | PanSrcMac | principal.mac | ||
宛先デバイス カテゴリ(dst_category) | PanDstDeviceCat | dst_category | target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value |
|
宛先デバイス プロファイル(dst_profile) | PanDstDeviceProf | dst_profile | target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value |
|
移行先のデバイスモデル(dst_model) | PanDstDeviceModel | dst_model | target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value |
|
宛先デバイス ベンダー(dst_Vendor) | PanDstDeviceVendor | dst_vendor | target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value |
|
宛先デバイス OS ファミリー(dst_osfamily) | PanDstDeviceOS | target.asset.platform_software.platform
target.labels.key と target.labels.value |
||
移行先デバイスの OS バージョン(dst_osversion) | PanDstDeviceOSv | target.asset.software.version | ||
宛先ホスト名(dst_host) | PanPODNamespace | target.hostname | ||
宛先 Mac アドレス(dst_mac) | PanDstMac | target.mac | ||
コンテナ ID (container_id) | PanContainerName | コンテナ ID | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
POD 名前空間(pod_namespace) | PanPODNamespace | pod_namespace | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
POD 名(pod_name) | PanPODName | pod_name | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
送信元外部動的リスト(src_edl) | PanSrcEDL | src_edl | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
|
宛先外部動的リスト(dst_edl) | PanDstEDL | dst_edl | target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value |
|
ホスト ID(hostid) | PanGPHostID | hostid | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
シリアル番号(serialnumber) | PanEPSerial | principal.asset.hardware.serial_number | ||
domain_edl(domain_edl) | PanDomainEDL | domain_edl | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
送信元動的アドレス グループ(src_dag) | PanSrcDAG | principal.group.group_display_name | ||
宛先動的アドレス グループ(dst_dag) | PanDstDAG | target.group.group_display_name | ||
partial_hash (partial_hash) | PanPartialHash | partial_hash | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
高解像度のタイムスタンプ(high_res_timestamp) | PanTimeHighRes | metadata.collected_timestamp,
metadata.event_timestamp(「生成時間」がない場合) |
||
理由 (reason) | PanReasonFilteringAction | reason | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
正当な理由 (justification) | PanJustification | 理由 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
nssai_sst(nssai_sst) | PanASServiceType | nssai_sst | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
アプリのサブカテゴリ(subcategory_of_app) | subcategory_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
アプリのカテゴリ(category_of_app) | category_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
アプリのテクノロジー(technology_of_app) | technology_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
アプリのリスク(risk_of_app) | risk_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
アプリの特性(characteristic_of_app) | characteristic_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
アプリのコンテナ(container_of_app) | container_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
トンネリングされたアプリ(tunneled_app) | tunneled_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
アプリの SaaS(is_saas_of_app) | is_saas_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
承認済みアプリ(sanctioned_state_of_app) | sanctioned_state_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
データ
次の表に、データ ログタイプのログ フィールドと、対応する UDM フィールドを示します。
CSV フィールド | CEF 項目 | LEEF フィールド | Google Security Operations のラベルキー | UDM フィールド |
---|---|---|---|---|
受信時間(cef 形式の受信時間) | rt | devTime | metadata.collected_timestamp,
metadata.event_timestamp(「生成時間」がない場合) |
|
シリアル番号 (serial) | deviceExternalId | SerialNumber | intermediary.asset.hardware.serial_number | |
タイプ(タイプ) | タイプ(ヘッダー) | cat | metadata.product_event_type | |
脅威/コンテンツ タイプ(サブタイプ) | サブタイプ(ヘッダー) | サブタイプ | metadata.product_event_type | |
生成時間 | metadata.event_timestamp | |||
送信元アドレス(src) | src | src | principal.ip | |
宛先アドレス(dst) | dst | dst | target.ip | |
NAT ソース IP(natsrc) | sourceTranslatedAddress | srcPostNAT | principal.nat_ip | |
NAT 宛先 IP(natdst) | destinationTranslatedAddress | dstPostNAT | target.nat_ip | |
ルール(rule) | cs1 | RuleName | security_result.rule_name | |
送信元ユーザー(srcuser) | suser | SourceUser | principal.user.userid | |
宛先ユーザー(dstuser) | duser | DestinationUser | target.user.userid | |
アプリケーション (app) | app | Application(アプリケーション) | network.application_protocol | |
仮想システム(vsys) | cs3 | VirtualSystem | vsys | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
送信元のゾーン(from) | cs4 | SourceZone | 送信元 | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
宛先のゾーン(送信先) | cs5 | DestinationZone | ~ | target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value |
インバウンドインターフェース(inbound_if) | deviceInboundInterface | IngressInterface | inbound_if | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
アウトバウンドインターフェース(outbound_if) | deviceOutboundInterface | EgressInterface | outbound_if | target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value |
ログ アクション(logset) | cs6 | LogForwardingProfile | logset | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
ログ時間 | time_logged | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
セッション ID(sessionid) | cn1 | SessionID | network.session_id | |
繰り返し回数(repeatcnt) | cnt | RepeatCount | repeatcnt | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
送信元ポート(sport) | spt | srcPort | principal.port | |
宛先ポート(dport) | dpt | dstPort | target.port | |
NAT 送信元ポート(natsport) | sourceTranslatedPort | srcPostNATPort | principal.nat_port | |
NAT 宛先ポート(natdport) | destinationTranslatedPort | dstPostNATPort | target.nat_port | |
フラグ(flags) | flexString1 | フラグ | flags | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
IP プロトコル(proto) | proto | proto | network.ip_protocol | |
アクション (action) | 対処 | action | security_result.action_details
security_result.action |
|
URL/ファイル名(misc) | その他 | target.file.full_path
target.url |
||
脅威/コンテンツ名(threatid) | cat | ThreatID | security_result.threat_id | |
カテゴリ(category) | cs2 | URL のカテゴリ | category | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
重大度(severity) | 重大度(ヘッダ) | 重大度 | security_result.severity
security_result.severity_details |
|
目的地 (direction) | flexString2 | 方向 | network.direction | |
シーケンス番号(seqno) | externalId | シーケンス | metadata.product_log_id | |
アクション フラグ(アクションフラグ) | PanOSActionFlags | ActionFlags | actionflags | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
送信元の国(srcloc) | SourceLocation | principal.location.country_or_region | ||
宛先の国(dstloc) | DestinationLocation | target.location.country_or_region | ||
コンテンツ タイプ (contenttype) | ContentType | contenttype | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
pcap_id(pcap_id) | fileId | PCAP_ID | pcap_id | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
filedigest(filedigest) | FileDigest | about.file.sha1/md5/sha256 | ||
クラウド(cloud) | クラウド | cloud | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
url_idx(url_idx) | URLIndex | url_idx | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
user_agent(user_agent) | network.http.user_agent | |||
ファイルの種類(filetype) | about.file.mime_type | |||
xff(xff) | xff | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
リファラー(referer) | network.http.referral_url | |||
送信者(sender) | network.email.from | |||
件名(subject) | 件名 | network.email.subject | ||
受信者(recipient) | network.email.to | |||
reportid (reportid) | reportid | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
DG 階層レベル 1(dg_hier_level_1) | PanOSDGl1 | DeviceGroupHierarchyL1 | dg_hier_level_1 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
DG 階層レベル 2(dg_hier_level_2) | PanOSDGl2 | DeviceGroupHierarchyL2 | dg_hier_level_2 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
DG 階層レベル 3(dg_hier_level_3) | PanOSDGl3 | DeviceGroupHierarchyL3 | dg_hier_level_3 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
DG 階層レベル 4(dg_hier_level_4) | PanOSDGl4 | DeviceGroupHierarchyL4 | dg_hier_level_4 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
仮想システム名(vsys_name) | PanOSVsysName | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|
デバイス名(device_name) | dvchost | DeviceName | intermediary.hostname | |
file_url(file_url) | about.url | |||
ソース VM UUID(src_uuid) | SrcUUID | principal.asset.asset_id | ||
宛先 VM UUID(dst_uuid) | DstUUID | target.asset.asset_id | ||
http_method (http_method) | RequestMethod | network.http.method | ||
トンネル ID/IMSI (tunnelid) | PanOSTunnelID | TunnelID | tunnelid | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
タグ/IMEI のモニタリング(monitortag) | PanOSMonitorTag | MonitorTag | monitortag | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
親セッション ID(parent_session_id) | PanOSParentSessionID | ParentSessionID | parent_session_id | network.parent_session_id |
親セッション開始時間(parent_start_time) | PanOSParentStartTime | ParentStartTime | parent_start_time | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
トンネル(tunnel) | PanOSTunnelType | TunnelType | トンネル | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
thr_category(thr_category) | PanOSThreatCategory | ThreatCategory | thr_category | security_result.detection_fields.key/value |
contentver(contentver) | PanOSContentVer | ContentVer | contentver | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
sig_flags(sig_flags) | sig_flags | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
SCTP 関連付け ID(assoc_id) | PanOSAssocID | assoc_id | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
ペイロード プロトコル ID(ppid) | PanOSPPID | ppid | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
http_headers(http_headers) | PanOSHTTPHeader | http_headers | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
URL カテゴリリスト(url_category_list) | url_category_list | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
ルールの UUID(rule_uuid) | PanOSRuleUUID | rule_uuid | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
HTTP/2 接続(http2_connection) | http2_connection | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
dynusergroup_name(dynusergroup_name) | dynusergroup_name | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
||
XFF アドレス(xff_ip) | principal.ip | |||
ソースのデバイス カテゴリ(src_category) | src_category | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
||
ソースデバイス プロファイル(src_profile) | src_profile | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
||
ソースデバイス モデル(src_model) | src_model | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
||
ソースデバイス ベンダー(src_vendor) | src_vendor | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
||
ソースデバイス OS ファミリー(src_osfamily) | principal.asset.platform_software.platform principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
|||
ソース デバイスの OS バージョン(src_osversion) | principal.asset.software.version | |||
ソースホスト名(src_host) | src_host | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
||
送信元 Mac アドレス(src_mac) | principal.mac | |||
宛先デバイス カテゴリ(dst_category) | dst_category | target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value |
||
宛先デバイス プロファイル(dst_profile) | dst_profile | target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value |
||
移行先のデバイスモデル(dst_model) | dst_model | target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value |
||
宛先デバイス ベンダー(dst_Vendor) | dst_vendor | target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value |
||
宛先デバイス OS ファミリー(dst_osfamily) | target.asset.platform_software.platform
target.labels.key と target.labels.value |
|||
移行先デバイスの OS バージョン(dst_osversion) | target.asset.software.version | |||
宛先ホスト名(dst_host) | target.hostname | |||
宛先 Mac アドレス(dst_mac) | target.mac | |||
コンテナ ID (container_id) | コンテナ ID | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
POD 名前空間(pod_namespace) | pod_namespace | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
POD 名(pod_name) | pod_name | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
送信元外部動的リスト(src_edl) | src_edl | principal.labels.key と principal.labels.value additional.fields.key と additional.fields.value.string_value |
||
宛先外部動的リスト(dst_edl) | dst_edl | target.labels.key と target.labels.value additional.fields.key と additional.fields.value.string_value |
||
ホスト ID(hostid) | hostid | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
シリアル番号(serialnumber) | principal.asset.hardware.serial_number | |||
domain_edl(domain_edl) | domain_edl | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
送信元動的アドレス グループ(src_dag) | principal.group.group_display_name | |||
宛先動的アドレス グループ(dst_dag) | target.group.group_display_name | |||
partial_hash (partial_hash) | partial_hash | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
高解像度のタイムスタンプ(high_res_timestamp) | metadata.collected_timestamp,
metadata.event_timestamp(「生成時間」がない場合) |
|||
理由 (reason) | reason | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
正当な理由 (justification) | 理由 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
nssai_sst(nssai_sst) | nssai_sst | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
アプリのサブカテゴリ(subcategory_of_app) | subcategory_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
アプリのカテゴリ(category_of_app) | category_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
アプリのテクノロジー(technology_of_app) | technology_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
アプリのリスク(risk_of_app) | risk_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
アプリの特性(characteristic_of_app) | characteristic_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
アプリのコンテナ(container_of_app) | container_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
トンネリングされたアプリ(tunneled_app) | tunneled_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
アプリの SaaS(is_saas_of_app) | is_saas_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
承認済みアプリ(sanctioned_state_of_app) | sanctioned_state_of_app | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
GlobalProtect
次の表に、GlobalProtect ログタイプのログ フィールドと、対応する UDM フィールドを示します。
CSV フィールド | CEF 項目 | LEEF フィールド | Google Security Operations のラベルキー | UDM フィールド |
---|---|---|---|---|
受信時刻(Received_time) | rt | received_time | metadata.event_timestamp | |
シリアル番号 (serial) | PanOSDeviceSN | intermediary_asset_hardware_serial_number | intermediary.asset.hardware.serial_number | |
タイプ(タイプ) | タイプ(ヘッダー) | metadata.product_event_type | ||
脅威/コンテンツ タイプ(サブタイプ) | サブタイプ(ヘッダー) | サブタイプ | metadata.product_event_type | |
生成時間(time_generated) | PanOSLogTimeStamp | generated_timestamp | metadata.event_timestamp | |
仮想システム(vsys) | PanOSVirtualSystem | vsys | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
イベント ID(eventid) | PanOSEventID | event_id | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
ステージ (stage) | PanOSStage | ステージ | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
認証方法(auth_method) | PanOSAuthMethod | extension_auth_auth_details | extensions.auth.auth_details | |
トンネルタイプ(tunnel_type) | PanOSTunnelType | トンネル | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
送信元ユーザー(srcuser) | PanOSSourceUserName | src_user | principal.user.email_address
principal.user.userid principal.administrative_domain |
|
送信元 リージョン(srcregion) | PanOSSourceRegion | src_region | principal.location.country_or_region | |
マシン名(machinename) | PanOSEndpointDeviceName | machine_name | principal.hostname | |
パブリック IP(public_ip) | PanOSPublicIPv4 | principal.nat_ip | ||
パブリック IPv6(public_ipv6) | PanOSPublicIPv6 | principal.nat_ip | ||
プライベート IP(private_ip) | PanOSPrivateIPv4 | principal.ip | ||
プライベート IPv6(private_ipv6) | PanOSPrivateIPv6 | principal.ip | ||
ホスト ID(hostid) | PanOSHostID | hostid | principal.asset.asset_id | |
シリアル番号(serialnumber) | PanOSDeviceSN | principal.asset.hardware.serial_number | ||
クライアント バージョン(client_ver) | PanOSGlobalProtectClientVersion | client_ver | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
クライアント OS(client_os) | PanOSEndpointOSType | principal.asset.platform_software.platform(enum) | ||
クライアント OS バージョン(client_os_ver) | PanOSEndpointOSVersion | principal.asset.platform_software.platform_version | ||
繰り返し回数(repeatcnt) | PanOSCountOfRepeats | repeatcnt | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
理由 (reason) | PanOSQuarantineReason | security_result.summary | ||
エラー(error) | PanOSConnectionError | エラー | security_result.description | |
説明(不透明) | PanOSDescription | security_result.description | ||
ステータス(status) | PanOSEventStatus | status | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
ロケーション(LOCATION) | PanOSGPGatewayLocation | target.location.country_or_region | ||
ログイン期間(login_duration) | PanOSLoginDuration | network.session_duration | ||
コネクトのメソッド(connect_method) | PanOSConnectionMethod | connect_method | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
エラーコード (error_code) | PanOSConnectionErrorID | error_code | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
ポータル(portal) | PanOSPortal | portal | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
シーケンス番号(seqno) | PanOSSequenceNo | metadata.product_log_id | ||
アクション フラグ(アクションフラグ) | PanOSActionFlags | actionflags | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
高解像度のタイムスタンプ (high_res_timestamp) | anOSTimeGeneratedHighResolution | metadata.collected_timestamp,
metadata.event_timestamp(「生成時間」がない場合) |
||
ゲートウェイの選択方法(selection_type) | PanOSGatewaySelectionType | 選択の種類 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
SSL レスポンス時間(response_time) | PanOSSSLResponseTime | response_time | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
ゲートウェイの優先度(proproity) | PanOSGatewayPriority | priority | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
試行されたゲートウェイ(attempted_gateways) | PanOSAttemptedGateways | attempted_gateways | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
ゲートウェイの名前(gateway) | PanOSAttemptedGateways | ゲートウェイ | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
デバイス グループ階層(dg_hier_level_1) | dg_hier_level_1 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
デバイス グループ階層(dg_hier_level_2) | dg_hier_level_2 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
デバイス グループ階層(dg_hier_level_3) | dg_hier_level_3 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
デバイス グループ階層(dg_hier_level_4) | dg_hier_level_4 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
仮想システム名(vsys_name) | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
|||
デバイス名(device_name) | target.hostname | |||
仮想システム ID(vsys_id) | principal.resource.resource_type=VIRTUAL_MACHINE と principal.resource.product_object_id |
相関
次の表に、修正ログタイプのログ フィールドと、対応する UDM フィールドを示します。
CSV フィールド | CEF 項目 | LEEF フィールド | Google Security Operations のラベルキー | UDM フィールド |
---|---|---|---|---|
Generated Time(time_generated または cef-format-time_generated) | startTime | generated_timestamp | metadata.event_timestamp | |
送信元アドレス(src) | src | principal.ip | ||
送信元ユーザー(srcuser) | SourceUser / usrName | principal.user.userid | ||
仮想システム(vsys) | VirtualSystem | vsys | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
|
カテゴリ(category) | security_result.category_details | |||
重大度(severity) | 重大度 | security_result.severity と security_result.severity_details | ||
デバイス グループ階層レベル 1 | DeviceGroupHierarchyL1 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
デバイス グループ階層レベル 2 | DeviceGroupHierarchyL2 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
デバイス グループ階層レベル 3 | DeviceGroupHierarchyL3 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
デバイス グループ階層レベル 4 | DeviceGroupHierarchyL4 | about.labels.key と about.labels.value additional.fields.key と additional.fields.value.string_value |
||
仮想システム名(vsys_name) | vSrcName | principal.resource.name
principal.resource.resource_type=VIRTUAL_MACHINE |
||
デバイス名(device_name) | DeviceName | intermediary.hostname | ||
仮想システム ID(vsys_id) | VirtualSystemID | principal.resource.resource_type=VIRTUAL_MACHINE と principal.resource.product_object_id | ||
オブジェクト名(objectname) | ObjectName | target.resource.name | ||
オブジェクト ID(object_id) | ObjectID | target.resource.product_object_id |
フィールド マッピング リファレンス: ログタイプから UDM イベントタイプ
次の表に、Palo Alto Networks ファイアウォールのログタイプと、対応する UDM イベントタイプを示します。
ログタイプ | UDM イベントタイプ |
トラフィック | NETWORK_CONNECTION |
脅威 | NETWORK_CONNECTION |
URL のフィルタリング | NETWORK_CONNECTION |
Wildfire | NETWORK_CONNECTION
WildFire 送信ログは、脅威ログタイプのサブタイプであり、同じ Syslog 形式を使用します。 |
データのフィルタリング | NETWORK_CONNECTION |
トンネル | NETWORK_CONNECTION |
Config | SETTING_MODIFICATION/SETTING_CREATION/SETTING_DELETION/SETTING_UNCATEGORIZED
UDM イベントタイプ マッピングは、「Command(cmd)」フィールドの値で決まります。 cmd フィールドの値が追加またはクローン化されると、SETTING_CREATION が設定されます。 cmd フィールドの値が削除されると、SETTING_DELETION が設定されます。 cmd フィールドの値が編集、移動、名前変更、設定、commit されている場合は、SETTING_MODIFICATION が設定されます。 cmd フィールドの値に値が含まれていない場合、SETTING_UNCATEGORIZED が設定されます。 |
システム |
サブタイプの値が「dhcp」の場合、NETWORK_DHCP が設定されます。 サブタイプの値が「auth」の場合、USER_LOGIN が設定されます。 説明の値が「ログイン中」の場合、USER_LOGIN が設定されます。 説明の値が「ログアウト」されている場合、USER_LOGOUT が設定されます。 サブタイプのその他の値には、GENERIC_EVENT が設定されます。 |
HIP Match | NETWORK_CONNECTION |
IP タグ | GENERIC_EVENT |
User-ID | USER_LOGIN/USER_LOGOUT/USER_UNCATEGORIZED
サブタイプの値が「login」の場合、USER_LOGIN が設定されます。 サブタイプの値が「logout」の場合、USER_LOGOUT が設定されます。 サブタイプに値が含まれていない場合、USER_UNCATEGORIZED が設定されています。 |
復号 | NETWORK_CONNECTION |
Authentication | GENERIC_EVENT |