收集 Palo Alto Networks 防火牆記錄

本文說明如何使用兩種主要部署方法，設定 Google SecOps 擷取 Palo Alto Networks 的記錄。

請選取下方與您架構相符的章節：

• Palo Alto Networks 防火牆
  • 說明：直接從 PAN-OS 防火牆收集記錄。
  • 擷取方法：使用 Syslog 將記錄傳送至 Google SecOps Forwarder 或 Bindplane 代理程式。Google SecOps Forwarder 即將於今年稍晚終止支援並淘汰，請改用 Bindplane 代理程式轉寄記錄。
  • 支援的格式：CSV、CEF 和 LEEF。
• Palo Alto Networks Firewall Strata Logging Service
  • 說明：從雲端 Strata Logging Service 收集記錄。
  • 擷取方式：使用 HTTPS Webhook 將記錄直接轉送至 Google SecOps。這個方法不需要本機轉送站。
  • 支援的格式：JSON。

Palo Alto Networks 防火牆

總覽

本文說明如何設定系統記錄檔和 Google SecOps 轉送器，以收集 Palo Alto Networks 防火牆記錄。本文也說明 Palo Alto Networks 防火牆記錄欄位如何對應至 Google SecOps 整合式資料模型 (UDM) 欄位。如要瞭解 Google SecOps 資料擷取作業的概況，請參閱「將資料擷取至 Google SecOps」。擷取標籤會識別剖析器，該剖析器會將原始記錄資料正規化為具結構性的 UDM 格式。本文中的資訊適用於具有 PAN_FIREWALL 擷取標籤的剖析器。

事前準備

• 確認 Palo Alto Networks 防火牆產品已正確部署及設定。如需詳細設定操作說明，請參閱 PAN-OS 說明文件。

• 如要瞭解部署的元件，以便收集 Palo Alto Networks 防火牆記錄，請查看部署架構。每個客戶部署作業可能與此表示法不同，也可能更複雜。下圖顯示如何在 Palo Alto Networks 防火牆上設定系統記錄，以及在 Linux 伺服器上安裝 Google SecOps 轉送器，將記錄資料轉送至 Google SecOps。剖析器支援以半形逗號分隔值 (CSV)、通用事件格式 (CEF) 和記錄事件擴充格式 (LEEF) 等資料格式編寫的記錄。

  

• 確認 Google SecOps 剖析器支援的記錄格式和 PAN-OS 版本。下表列出 Google SecOps 剖析器支援的記錄格式和對應的 PAN-OS 版本：

  記錄格式	PAN-OS 版本
  CSV	10.1.3
  CEF	10.0.0
  LEEF	9.1.0

• 確認 Google SecOps 剖析器支援的 Palo Alto Networks 防火牆記錄檔類型。 Google SecOps 剖析器支援下列 Palo Alto Networks 防火牆記錄類型：

  • 流量
  • 威脅
  • WildFire 提交
  • 隧道檢查
  • 設定
  • 系統
  • HIP 比對
  • IP-Tag
  • User-ID
  • 解密
  • 驗證
  • 網址篩選
  • 資料篩選
  • GlobalProtect
  • 關聯性
  • GTP
  • SCTP
  • 稽核

  如要進一步瞭解 Palo Alto Networks 防火牆記錄類型，請參閱 PAN-OS 記錄類型。

• 請確保部署架構中的所有系統都以世界標準時間設定。

• 使用 Palo Alto Networks 防火牆剖析器前，請先查看舊版剖析器與現行 Palo Alto Networks 防火牆剖析器之間的欄位對應關係變化。在遷移過程中，請確保依附於原始欄位的規則、搜尋、資訊主頁或其他程序，都使用更新後的欄位。

  舉例來說，在先前的剖析器版本中，category 記錄檔欄位會對應至 security_result.description UDM 欄位。在目前的 Palo Alto Networks 防火牆剖析器中，category 記錄欄位會對應至 security_result.category_details UDM 欄位。如果您遷移至目前的 Palo Alto Networks 防火牆剖析器，並在規則中使用 category 欄位，則需要修改規則，才能使用目前剖析器的 security_result.category_details UDM 欄位。

設定系統記錄和 Google Security Operations 轉送器

如要設定系統記錄和 Google SecOps 轉送器，請完成下列步驟：

1. 如要監控 CSV 記錄檔，請設定系統記錄檔伺服器設定檔。詳情請參閱「設定系統記錄伺服器設定檔」。設定系統記錄伺服器設定檔時，請將「Default」指定為自訂記錄格式。
2. 如要監控 CEF 記錄，請設定 Palo Alto Networks 防火牆轉送 CEF 記錄。詳情請下載 PAN-OS CEF 整合指南 PDF，並參閱「Configuration of Palo Alto Networks NGFW to output CEF events」(設定 Palo Alto Networks NGFW 以輸出 CEF 事件) 一節。
3. 如要監控 LEEF 記錄，請設定系統記錄檔伺服器設定檔。詳情請參閱「以 LEEF 格式轉送自訂記錄」。

4. 設定 Google SecOps 轉送器，將記錄傳送至 Google Security Operations。詳情請參閱「在 Linux 上安裝及設定轉送器」。以下是 Google SecOps 轉送站設定範例：

     - syslog:
         common:
           enabled: true
           data_type: PAN_FIREWALL
           batch_n_seconds: 10
           batch_n_bytes: 1048576
         tcp_address: 0.0.0.0:10518
         connection_timeout_sec: 60
   

在 PAN 防火牆上設定系統記錄轉送

建立系統記錄伺服器設定檔

1. 登入 Palo Alto Networks 防火牆管理主控台。
2. 依序前往「裝置」>「伺服器設定檔」>「系統記錄」。
3. 按一下「新增」，建立新的伺服器設定檔。
4. 請提供下列設定詳細資料：
   • 名稱：輸入描述性名稱 (例如 Google SecOps BindPlane)。
   • 位置：選取這個設定檔可用的虛擬系統 (vsys) 或「共用」。
5. 依序點選「Servers」(伺服器) >「Add」(新增)，設定系統記錄伺服器。
6. 請提供下列伺服器設定詳細資料：
   • 名稱：輸入伺服器的描述性名稱 (例如 BindPlane Agent)。
   • Syslog 伺服器：輸入 BindPlane 代理程式 IP 位址。
   • 傳輸：根據 BindPlane Agent 設定選取「UDP」或「TCP」 (預設為 UDP)。
   • 「Port」(通訊埠)：輸入 BindPlane 代理程式通訊埠編號 (例如 514)。
   • 格式：視需求選取「BSD」 (預設) 或「IETF」。
   • 設施：選取「LOG_USER」(預設) 或其他設施 (如有需要)。
7. 按一下「確定」儲存系統記錄伺服器設定檔。

選用：設定 CEF 或 LEEF 的自訂記錄格式

如需 CEF (通用事件格式) 或 LEEF (記錄事件擴充格式) 記錄，而非 CSV 檔案，請按照下列步驟操作：

1. 在 Syslog 伺服器設定檔中，選取「Custom Log Format」(自訂記錄格式) 分頁。
2. 為每種記錄類型 (設定、系統、威脅、流量、網址、資料、WildFire、通道、驗證、User-ID、HIP 比對) 設定自訂記錄格式。
3. 如要設定 CEF 格式，請參閱 Palo Alto Networks CEF 設定指南。
4. 按一下「確定」儲存設定。

建立記錄檔轉送設定檔

1. 依序前往「物件」>「記錄轉送」。
2. 按一下「新增」，建立新的記錄轉送設定檔。
3. 請提供下列設定詳細資料：
   • 名稱：輸入設定檔名稱 (例如 Google SecOps Forwarding)。如要讓防火牆自動將這個設定檔指派給新的安全性規則和區域，請將其命名為 default。
4. 針對要轉送的每個記錄類型 (流量、威脅、WildFire 提交、網址篩選、資料篩選、通道、驗證)，請設定下列項目：
   • 在對應的記錄類型部分中，按一下「新增」。
   • 「Syslog」Syslog：選取您建立的 Syslog 伺服器設定檔 (例如 Google SecOps BindPlane)。
   • 記錄嚴重程度：選取要轉送的嚴重程度等級 (例如「全部」)。
5. 按一下「確定」，儲存記錄轉送設定檔。

將記錄轉送設定檔套用至安全性政策

1. 依序前往「政策」>「安全性」。
2. 選取要啟用記錄轉送的安全規則。
3. 按一下規則即可編輯。
4. 前往「動作」分頁。
5. 在「記錄檔轉送」選單中，選取您建立的記錄檔轉送設定檔 (例如 Google SecOps Forwarding)。
6. 按一下「確定」，儲存安全性政策設定。

設定系統記錄的記錄設定

1. 依序點選「裝置」>「記錄設定」。
2. 針對每種記錄類型 (系統、設定、使用者 ID、HIP 比對、Global Protect、IP 標記、SCTP) 和嚴重程度，選取您建立的系統記錄伺服器設定檔。
3. 按一下「確定」儲存記錄設定。

修訂變更

1. 按一下防火牆網頁介面頂端的「Commit」。
2. 等待提交作業順利完成。
3. 檢查 Google SecOps 控制台是否有傳入的 Palo Alto Networks 防火牆記錄，確認記錄已傳送至 Bindplane 代理程式。

使用 Bindplane 代理程式將記錄轉送至 Google SecOps

1. 安裝並設定 Linux 虛擬機器。
2. 在 Linux 上安裝及設定 Bindplane 代理程式，將記錄轉寄至 Google SecOps。如要進一步瞭解如何安裝及設定 Bindplane 代理程式，請參閱 Bindplane 代理程式安裝及設定說明。

如果在建立動態饋給時遇到問題，請與 Google SecOps 支援團隊聯絡。

支援的記錄格式

Palo Alto Networks 防火牆剖析器支援 LEEF、CEF 和 CSV 格式的記錄。

支援的範例記錄

• LEEF

  <14>Jan 22 02:20:19 device_host LEEF:1.0|Palo Alto Networks|PAN-OS Syslog Integration|10.2.12-h4|Microsoft MSOFFICE(52033)|ReceiveTime=2025/01/22 02:20:18|SerialNumber=01250100xxxx|cat=THREAT|Subtype=wildfire|devTime=Jan 22 2025 08:20:18 GMT|src=198.50.100.1|dst=198.50.100.2|srcPostNAT=198.50.100.3|dstPostNAT=198.50.100.4|RuleName=AZURE-US-NEW-CNF_Inbound_To_Azure-ALLOW|usrName=|SourceUser=|DestinationUser=|Application=smtp-base|VirtualSystem=vsys1|SourceZone=McD-Global-Zone|DestinationZone=Azure-Zone|IngressInterface=ae1.111|EgressInterface=ae2.409|LogForwardingProfile=Default-Traffic-Logging|SessionID=35331795|RepeatCount=1|srcPort=21578|dstPort=25|srcPostNATPort=0|dstPostNATPort=0|Flags=0x2000|proto=tcp|action=allow|Miscellaneous=\"......3...................xls\"|ThreatID=Microsoft MSOFFICE(52033)|URLCategory=malicious|sev=4|Severity=high|Direction=client-to-server|sequence=7462614601465681755|ActionFlags=0x8000000000000000|SourceLocation=198.50.100.1-198.50.100.255|DestinationLocation=United States|ContentType=|PCAP_ID=0|FileDigest=0ea04c99bf188c2e4207f60f92ca7c6f5088c7943ee63f45c50032bbd2bf7ea9|Cloud=demo.com|URLIndex=1|RequestMethod=|FileType=ms-office|Sender=sender@ab.myownpersonaldomain.com|Subject=\"............:.................................................................................-.........(Name)-2025-01-22...............:Y107202501220005, ............:........................, ...............:.........\"|Recipient=abc@demo.myownpersonaldomain.com|ReportID=117022282776|DeviceGroupHierarchyL1=143|DeviceGroupHierarchyL2=144|DeviceGroupHierarchyL3=39|DeviceGroupHierarchyL4=0|vSrcName=|DeviceName=device_host|SrcUUID=|DstUUID=|TunnelID=0|MonitorTag=|ParentSessionID=0|ParentStartTime=|TunnelType=N/A|ThreatCategory=N/A|ContentVer=WildFire-0
  

• CEF

  14>1 2024-04-04T16:21:56+02:00 FW-PERIMETRAL-AVG-01 - - - - CEF:0|Palo Alto Networks|PAN-OS|10.1.10-h2|end|TRAFFIC|1|src=198.51.100.1 dst=198.51.100.2 srcTranslatedAddress=198.51.100.3 dstTranslatedAddress=198.51.100.4 rule=FW_USER_NATS2_APP suser= duser= app=bittorrent vs=vsys1 sz=INSIDE dz=EXTERNAL InboundInterface=ae2.2266 OutboundInterface=ae1 lp=log_forwarding sid=2935823 cnt=1 spt=6881 dpt=51413 srcTranslatedPort=0 dstTranslatedPort=0 flags=0x7a proto=udp act=allow tbytes=475 in=150 out=325 pkt=2 pktReceived=1 pktSent=1 start=Apr 04 2024 14:21:56 GMT stime=1206 urlcat=any externalId=externalId reason=aged-out DGl1=11 DGl2=161 DGl3=0 DGl4=0 VsysName=STONESOFT dvchost=FW-PERIMETRAL-AVG-01 cat=from-policy ActionFlags=0x8000000000000000 srcUUID= dstUUID= TunnelID=0 MonitorTag= ParentSessionID=0 ParentStartTime= TunnelType=N/A SCTPAssocID=0 SCTPChunks=0 SCTPChunkSent=0 SCTPChunksRcv=0 RuleUUID=746c3eb6-3d51-4679-8438-bd0e00e170a8 HTTP2Con=0 LinkChange=0 PolicyID= LinkDetail= SDWANCluster= SDWANDevice= SDWANClustype= SDWANSite= DynamicUsrgrp= XFFIP= srcDevCat= srcDevProf= srcDevModel= srcDevVendor= srcDevOS= srcDevOSv= srcHostname= srcMac= dstDevCat= dstDevProf= dstDevModel= dstDevVendor= dstDevOS= dstDevOSv= dstHostname= dstMac= ContainerName= PODNamespace= PODName= srcEDL= dstEDL= GPHostID= EPSerial= srcDAG= dstDAG= HASessionOwner= TimeHighRes=2024-04-04T16:21:56.250+02:00 ASServiceType= ASServiceDiff="
  

• CSV

  1,2021/10/24 15:30:07,,CONFIG,0,2561,2021/10/24 15:30:07,198.51.100.0,,set,admin,Web,Succeeded, network virtual-router  VR1,,VR1  { ecmp { algorithm { ip-modulo ; } } protocol { bgp { routing-options { graceful-restart { enable yes; } } enable no; } rip { enable no; } ospf { enable no; } ospfv3 { enable no; } } routing-table { ip { static-route { vr1-log  { path-monitor { enable no; failure-condition any; hold-time 2; } nexthop { ip-address 198.51.100.0; } bfd { profile None; } interface ethernet1/1; metric 10; destination 0.0.0.0/0; route-table { unicast ; } } } } } interface [ ethernet1/1 ethernet1/2 ]; } ,7022390503849066572,0x0,0,0,0,0,,PA-VM,0,
  

欄位對應參考資料：記錄欄位對應至 UDM 欄位

本節說明剖析器如何將 Palo Alto Networks 防火牆記錄欄位對應至各記錄類型的 Google SecOps UDM 事件欄位。Google SecOps 標籤鍵是指對應至 Labels.key UDM 欄位的鍵名稱。

舉例來說，如果是「虛擬系統」欄位，欄位名稱在 CEF 格式中為「cs3」，在 LEEF 格式中則為「VirtualSystem」。UDM 欄位「about.labels.key」包含值「vsys」，而 UDM 欄位「about.labels.value」包含該欄位的值。部分 CEF 或 LEEF 欄位名稱沒有對應的 CSV 欄位名稱。在這種情況下，如果您在系統記錄檔設定檔的自訂記錄格式中加入自己的變數名稱，剖析器不會將該名稱對應至 UDM 欄位。

如需各記錄類型的對應參考資料，請參閱下列章節：

• 系統
• 設定
• 威脅/野火
• 流量
• 使用者 ID
• HIP match
• IP 代碼
• 解密
• 隧道
• 驗證
• 網址
• 資料
• GlobalProtect
• 關聯性
• GTP
• SCTP
• 稽核

系統

下表列出系統記錄類型的記錄欄位，以及對應的 UDM 欄位。

設定

下表列出設定記錄類型的記錄欄位，以及對應的 UDM 欄位。

威脅/WildFire

下表列出 Threat/WildFire 記錄類型的記錄欄位，以及對應的 UDM 欄位。

流量

下表列出流量記錄類型的記錄欄位，以及對應的 UDM 欄位。

User-ID

下表列出使用者 ID 記錄類型的記錄欄位，以及對應的 UDM 欄位。

HIP 比對

下表列出 HIP 比對記錄類型的記錄欄位，以及對應的 UDM 欄位。

IP 標記

下表列出 IP 標記記錄類型的記錄欄位，以及對應的 UDM 欄位。

解密

下表列出解密記錄類型的記錄欄位，以及對應的 UDM 欄位。

隧道

下表列出通道記錄類型的記錄欄位，以及對應的 UDM 欄位。

驗證

下表列出驗證記錄類型的記錄欄位，以及對應的 UDM 欄位。

網址

下表列出網址記錄類型的記錄欄位，以及對應的 UDM 欄位。

資料

下表列出資料記錄類型的記錄欄位，以及對應的 UDM 欄位。

GlobalProtect

下表列出 GlobalProtect 記錄類型的記錄欄位，以及對應的 UDM 欄位。

關聯性

下表列出關聯記錄類型的記錄欄位，以及對應的 UDM 欄位。

GTP

下表列出 gtp 記錄類型的記錄欄位，以及對應的 UDM 欄位。

SCTP

稽核

欄位對應參考資料：記錄類型至 UDM 事件類型

下表列出 Palo Alto Networks 防火牆記錄類型，以及對應的 UDM 事件類型。

記錄類型	UDM 事件類型
流量	NETWORK_CONNECTION
威脅	NETWORK_CONNECTION
網址篩選	NETWORK_CONNECTION
WildFire	SCAN_UNCATEGORIZED WildFire 提交記錄是威脅記錄類型的子類型，且使用相同的系統記錄格式。
資料篩選	NETWORK_UNCATEGORIZED
Globalprotect	USER_LOGIN/USER_LOGOUT/USER_RESOURCE_ACCESS 如果子類型值為「auth」，系統會設定 USER_LOGIN。 如果子類型值為「logout」，系統會設定 USER_LOGOUT。 如果子類型不含任何值，系統會設定 USER_RESOURCE_ACCESS。
通道	NETWORK_CONNECTION
GTP	NETWORK_CONNECTION
設定	SETTING_MODIFICATION/SETTING_CREATION/SETTING_DELETION/SETTING_UNCATEGORIZED 「Command (cmd)」欄位的值會決定 UDM 事件類型對應。 如果 cmd 欄位值為 add 或 clone，系統會設定 SETTING_CREATION。 如果 cmd 欄位值為 delete，系統會設定 SETTING_DELETION。 如果 cmd 欄位值為 edit、move、rename、set 或 commit，系統會設定 SETTING_MODIFICATION。 如果 cmd 欄位值不含任何值，系統會設定 SETTING_UNCATEGORIZED。
系統	如果子類型值為「dhcp」，系統會設定 NETWORK_DHCP。 如果子類型值為「auth」，系統就會設定 USER_LOGIN。 如果說明值為「logged in」，系統就會設定 USER_LOGIN。 如果說明值為「logged out」，系統會設定 USER_LOGOUT。 如果是子類型的其他值，則會設定為 GENERIC_EVENT。
HIP Match	NETWORK_CONNECTION
IP 代碼	GENERIC_EVENT
User-ID	USER_LOGIN/USER_LOGOUT/USER_UNCATEGORIZED 如果子類型值為「login」，系統就會設定 USER_LOGIN。 如果子類型值為「logout」，系統會設定 USER_LOGOUT。 如果子類型不含任何值，系統會設定 USER_UNCATEGORIZED。
解密	NETWORK_CONNECTION
驗證	STATUS_UNCATEGORIZED
SCTP	NETWORK_CONNECTION
稽核	GENERIC_EVENT

Palo Alto Networks 防火牆 Strata 記錄服務

總覽

Palo Alto Networks Strata Logging Service 提供雲端式集中記錄儲存和彙整功能，適用於地端部署、虛擬 (私有雲和公有雲) 防火牆、Prisma Access，以及 Cortex XDR 等雲端服務。Strata Logging Service 安全無虞、具備復原能力且容錯，可確保記錄資料保持最新狀態，並在您需要時隨時可用。這項服務提供可擴充的記錄基礎架構，讓您不必規劃及部署記錄收集器，即可滿足記錄保留需求。如果您已有內部部署的記錄收集器，新的 Strata Logging Service 可做為現有設定的輔助工具。您可以透過雲端 Strata Logging Service 擴充現有的記錄檔收集基礎架構，在業務成長時擴大作業容量，或滿足新地點的容量需求。有了這項服務，Palo Alto Networks 會負責記錄檔基礎架構的持續維護和監控作業，讓您專注於業務。

• 確認 Strata Logging Service 剖析器支援的記錄格式和 PAN-OS 版本。下表列出 Strata Logging Service 剖析器支援的記錄格式和對應的 PAN-OS 版本：

  記錄格式	PAN-OS 版本
  JSON	12.1

• 確認 Google SecOps 剖析器支援的 Palo Alto Networks 防火牆記錄檔類型。 Google SecOps 剖析器支援下列 Palo Alto Networks 防火牆記錄類型：

  • 流量
  • 威脅
  • 隧道檢查
  • 系統
  • HIP 比對
  • IP-Tag
  • User-ID
  • 解密
  • 驗證
  • 網址篩選
  • GlobalProtect

部署 Strata Logging 服務

• 確認 Palo Alto Networks 防火牆產品已正確部署及設定。如需詳細設定說明，請參閱 PAN-OS 說明文件，然後按照這份部署文件操作，再將記錄傳送至 Strata Logging Service Strata Logging Service 部署作業必要條件

開始將記錄檔傳送至 Strata Logging 服務：

如要開始將記錄檔傳送至 Strata Logging Service，請按照下列步驟操作：

1. 安裝支援的 PAN-OS 版本
2. 啟用 Strata Logging Service：啟用 Strata Logging Service 時，系統會佈建防火牆安全連線至 Strata Logging Service 時所需的憑證。
3. 將防火牆加入 Strata Logging Service，可選擇是否使用 Panorama

如需詳細的啟用步驟，請參閱說明文件。

轉送 Strata Logging Service 的記錄

為滿足長期儲存、報表和監控，或法律和法規遵循需求，您可以設定 Strata Logging Service，將記錄檔轉送至 Google Chronicle。

使用 HTTPS 轉送方法，透過 Strata Logging Service 轉送記錄。如需詳細資訊，請參閱這份文件。

支援的記錄格式

Palo Alto Networks Strata Logging Service 防火牆剖析器支援 JSON 格式的記錄。

支援的範例記錄

• JSON

  {"source": "Palo Alto Networks FLS LF", "host": "dummy-loghost", "time": "1730265996460", "event": {"TimeReceived": "2024-10-30T05:25:50.000000Z", "DeviceSN": "no-serial", "LogType": "TRAFFIC", "Subtype": "end", "ConfigVersion": "10.2", "TimeGenerated": "2024-10-30T05:25:40.000000Z", "SourceAddress": "198.51.100.6", "DestinationAddress": "198.51.100.6", "NATSource": "", "NATDestination": "", "Rule": "egress-dns-ping-traceroute", "SourceUser": null, "DestinationUser": null, "Application": "dns-base", "VirtualLocation": "vsys1", "FromZone": "VA8280-RN", "ToZone": "inter-fw", "InboundInterface": "tunnel.101", "OutboundInterface": "tunnel.4005", "LogSetting": "Cortex Data Lake", "SessionID": 754194, "RepeatCount": 1, "SourcePort": 53578, "DestinationPort": 53, "NATSourcePort": 0, "NATDestinationPort": 0, "Protocol": "udp", "Action": "allow", "Bytes": 214, "BytesSent": 72, "BytesReceived": 142, "PacketsTotal": 2, "SessionStartTime": "2024-10-30T05:25:10.000000Z", "SessionDuration": 0, "URLCategory": "any", "SequenceNo": 7382192512716388639, "SourceLocation": "198.51.100.6-198.51.255.255", "DestinationLocation": "198.51.100.6-198.51.255.255", "PacketsSent": 1, "PacketsReceived": 1, "SessionEndReason": "aged-out", "DGHierarchyLevel1": 65537, "DGHierarchyLevel2": 65538, "DGHierarchyLevel3": 65541, "DGHierarchyLevel4": 0, "VirtualSystemName": "", "DeviceName": "VA8280-RN", "ActionSource": "from-policy", "SourceUUID": null, "DestinationUUID": null, "IMSI": 0, "IMEI": null, "ParentSessionID": 0, "ParentStarttime": "1970-01-01T00:00:00.000000Z", "Tunnel": "N/A", "EndpointAssociationID": 72057594037927936, "ChunksTotal": 0, "ChunksSent": 0, "ChunksReceived": 0, "RuleUUID": "95cfc3cc-cb00-4758-af1d-de9ab5f07f97", "HTTP2Connection": 0, "LinkChangeCount": 0, "SDWANPolicyName": null, "LinkSwitches": null, "SDWANCluster": null, "SDWANDeviceType": null, "SDWANClusterType": null, "SDWANSite": null, "DynamicUserGroupName": null, "X-Forwarded-ForIP": null, "SourceDeviceCategory": null, "SourceDeviceProfile": null, "SourceDeviceModel": null, "SourceDeviceVendor": null, "SourceDeviceOSFamily": null, "SourceDeviceOSVersion": null, "SourceDeviceHost": null, "SourceDeviceMac": null, "DestinationDeviceCategory": null, "DestinationDeviceProfile": null, "DestinationDeviceModel": null, "DestinationDeviceVendor": null, "DestinationDeviceOSFamily": null, "DestinationDeviceOSVersion": null, "DestinationDeviceHost": null, "DestinationDeviceMac": null, "ContainerID": null, "ContainerNameSpace": null, "ContainerName": null, "SourceEDL": null, "DestinationEDL": null, "GPHostID": null, "EndpointSerialNumber": null, "SourceDynamicAddressGroup": null, "DestinationDynamicAddressGroup": null, "HASessionOwner": null, "TimeGeneratedHighResolution": "2024-10-30T05:25:41.009000Z", "NSSAINetworkSliceType": null, "NSSAINetworkSliceDifferentiator": null}}"
  

欄位對應參考資料：記錄欄位對應至 UDM 欄位

本節說明剖析器如何將 Palo Alto Networks Strata Logging Service 防火牆記錄欄位，對應至各記錄類型的 Google UDM 事件欄位。

如需各記錄類型的對應參考資料，請參閱下列章節：

• 系統
• 威脅
• 流量
• 使用者 ID
• HIP match
• IP 代碼
• 解密
• 隧道
• 驗證
• 網址
• GlobalProtect
• SCTP
• 稽核

系統

下表列出「系統」記錄類型中的記錄欄位，以及對應的 UDM 欄位。

威脅

下表列出「威脅」記錄類型中的記錄欄位，以及對應的 UDM 欄位。

流量

下表列出「流量」記錄類型的記錄欄位，以及對應的 UDM 欄位。

User-ID

下表列出 User-ID 記錄類型的記錄欄位，以及對應的 UDM 欄位。

HIP 比對

下表列出 HIP 比對記錄類型的記錄欄位，以及對應的 UDM 欄位。

IP 標記

下表列出 IP 標記記錄類型的記錄欄位，以及對應的 UDM 欄位。

解密

下表列出「解密」記錄類型的記錄欄位，以及對應的 UDM 欄位。

隧道

下表列出 Tunnel 記錄類型的記錄欄位，以及對應的 UDM 欄位。

驗證

下表列出「驗證」記錄類型的記錄欄位，以及對應的 UDM 欄位。

網址

下表列出網址記錄類型的記錄欄位，以及對應的 UDM 欄位。

GlobalProtect

下表列出 GlobalProtect 記錄類型的記錄欄位，以及對應的 UDM 欄位。

SCTP

下表列出 SCTP 記錄類型的記錄欄位，以及對應的 UDM 欄位。

稽核

下表列出稽核記錄類型和對應 UDM 欄位的記錄檔欄位。

欄位對應參考資料：記錄類型至 UDM 事件類型

下表列出 Palo Alto Networks Strata Logging Service 防火牆記錄類型，以及對應的 UDM 事件類型。

記錄類型	UDM 事件類型
流量	NETWORK_CONNECTION
威脅	NETWORK_CONNECTION
網址篩選	NETWORK_CONNECTION
通道	NETWORK_CONNECTION
系統	如果子類型值為「dhcp」，系統會設定 NETWORK_DHCP。 如果子類型值為「auth」，系統就會設定 USER_LOGIN。 如果說明值為「logged in」，系統就會設定 USER_LOGIN。 如果說明值為「logged out」，系統會設定 USER_LOGOUT。 如果是子類型的其他值，則會設定為 GENERIC_EVENT。
HIP Match	NETWORK_CONNECTION
IP 代碼	GENERIC_EVENT
User-ID	USER_LOGIN/USER_LOGOUT/USER_UNCATEGORIZED 如果子類型值為「login」，系統就會設定 USER_LOGIN。 如果子類型值為「logout」，系統會設定 USER_LOGOUT。 如果子類型不含任何值，系統會設定 USER_UNCATEGORIZED。
解密	NETWORK_CONNECTION
驗證	STATUS_UNCATEGORIZED
Globalprotect	USER_LOGIN/USER_LOGOUT/USER_RESOURCE_ACCESS 如果子類型值為「auth」，系統會設定 USER_LOGIN。 如果子類型值為「logout」，系統會設定 USER_LOGOUT。 如果子類型不含任何值，系統會設定 USER_RESOURCE_ACCESS。
SCTP	NETWORK_CONNECTION
稽核	GENERIC_EVENT

後續步驟

• 將資料擷取至 Google SecOps

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。