Check Point-Firewall-Logs erfassen

Unterstützt in:

Dieser Parser extrahiert Check Point-Firewall-Logs. Es verarbeitet sowohl CEF- als auch nicht CEF-formatierte Nachrichten, einschließlich syslog, Schlüssel/Wert-Paare und JSON. Er normalisiert Felder, ordnet sie dem UDM zu und führt eine spezielle Logik für Anmeldungen/Abmeldungen, Netzwerkverbindungen und Sicherheitsereignisse aus. Die Daten werden um Kontextinformationen wie Standort und Bedrohungsinformationen ergänzt.

Hinweis

  • Sie benötigen eine Google Security Operations-Instanz.
  • Sie müssen Windows 2016 oder höher oder einen Linux-Host mit systemd verwenden.
  • Wenn die Ausführung hinter einem Proxy erfolgt, müssen die Firewallports geöffnet sein.
  • Sie benötigen erhöhte Zugriffsrechte auf eine Check Point-Firewall.

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

  1. Melden Sie sich in der Google SecOps Console an.
  2. Gehen Sie zu SIEM-Einstellungen > Erfassungsagenten.
  3. Lade die Datei zur Authentifizierung der Datenaufnahme herunter.

Google SecOps-Kundennummer abrufen

  1. Melden Sie sich in der Google SecOps Console an.
  2. Gehen Sie zu SIEM-Einstellungen > Profil.
  3. Kopieren und speichern Sie die Kundennummer aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

  1. Führen Sie für die Windows-Installation das folgende Script aus:
    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
  2. Führen Sie für die Linux-Installation das folgende Script aus:
    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
  3. Weitere Installationsoptionen finden Sie in diesem Installationsleitfaden.

BindPlane-Agent so konfigurieren, dass er Syslog-Protokolle aufnimmt und an Google SecOps sendet

  1. Rufen Sie den Computer auf, auf dem BindPlane installiert ist.
  2. Bearbeiten Sie die Datei config.yamlso:

    receivers:
        udplog:
            # Replace the below port <54525> and IP <0.0.0.0> with your specific values
            listen_address: "0.0.0.0:54525" 
    
    exporters:
        chronicle/chronicle_w_labels:
            compression: gzip
            # Adjust the creds location below according the placement of the credentials file you downloaded
            creds: '{ json file for creds }'
            # Replace <customer_id> below with your actual ID that you copied
            customer_id: <customer_id>
            endpoint: malachiteingestion-pa.googleapis.com
            # You can apply ingestion labels below as preferred
            ingestion_labels:
            log_type: SYSLOG
            namespace: Checkpoint_Firewall
            raw_log_field: body
    service:
        pipelines:
            logs/source0__chronicle_w_labels-0:
                receivers:
                    - udplog
                exporters:
                    - chronicle/chronicle_w_labels
    
  3. Starten Sie den BindPlane-Agent neu, um die Änderungen anzuwenden:

    sudo systemctl restart bindplane
    

Syslog-Export in einer Check Point-Firewall konfigurieren

  1. Melden Sie sich mit einem Konto mit Berechtigungen in der Check Point-Firewall-Benutzeroberfläche an.
  2. Gehen Sie zu Protokolle und Monitoring > Protokollserver.
  3. Rufen Sie Syslog-Server auf.
  4. Klicken Sie auf Konfigurieren und legen Sie die folgenden Werte fest:
    • Protokoll: Wählen Sie UDP aus, um Sicherheitsprotokolle und/oder Systemprotokolle zu senden.
    • Name: Geben Sie einen eindeutigen Namen an (z. B. Bindplane_Server).
    • IP-Adresse: Geben Sie die IP-Adresse Ihres syslog-Servers (Bindplane-IP) an.
    • Port: Geben Sie den Port Ihres syslog-Servers (BindPlane-Port) an.
  5. Wählen Sie Log-Server aktivieren aus.
  6. Wählen Sie die zu weiterleitenden Protokolle aus: Sowohl System- als auch Sicherheitsprotokolle.
  7. Klicken Sie auf Übernehmen.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
Action event.idm.read_only_udm.security_result.action_details Direkt aus dem Feld Action zugeordnet.
Activity event.idm.read_only_udm.security_result.summary Direkt aus dem Feld Activity zugeordnet.
additional_info event.idm.read_only_udm.security_result.description Direkt aus dem Feld additional_info zugeordnet.
administrator event.idm.read_only_udm.security_result.detection_fields[].value Direkt aus dem Feld administrator zugeordnet. Schlüssel ist „administrator“.
aggregated_log_count event.idm.read_only_udm.security_result.detection_fields[].value Direkt aus dem Feld aggregated_log_count zugeordnet. Schlüssel ist „aggregated_log_count“.
appi_name event.idm.read_only_udm.security_result.detection_fields[].value Direkt aus dem Feld appi_name zugeordnet. Schlüssel ist „appi_name“.
app_category event.idm.read_only_udm.security_result.category_details Direkt aus dem Feld app_category zugeordnet.
app_properties event.idm.read_only_udm.security_result.detection_fields[].value Direkt aus dem Feld app_properties zugeordnet. Schlüssel ist „app_properties“.
app_risk event.idm.read_only_udm.security_result.detection_fields[].value Direkt aus dem Feld app_risk zugeordnet. Schlüssel ist „app_risk“.
app_session_id event.idm.read_only_udm.network.session_id Wird direkt aus dem Feld app_session_id zugeordnet und in einen String umgewandelt.
attack event.idm.read_only_udm.security_result.summary Wird direkt aus dem Feld attack zugeordnet, wenn Info vorhanden ist.
attack event.idm.read_only_udm.security_result.threat_name Wird direkt aus dem Feld attack zugeordnet, wenn Info vorhanden ist.
attack_info event.idm.read_only_udm.security_result.description Direkt aus dem Feld attack_info zugeordnet.
auth_status event.idm.read_only_udm.security_result.summary Direkt aus dem Feld auth_status zugeordnet.
browse_time event.idm.read_only_udm.additional.fields[].value.string_value Direkt aus dem Feld browse_time zugeordnet. Schlüssel ist „browse_time“.
bytes event.idm.read_only_udm.additional.fields[].value.string_value Direkt aus dem Feld bytes zugeordnet. Schlüssel ist „bytes“.
bytes event.idm.read_only_udm.additional.fields[].value.string_value Direkt aus dem Feld bytes zugeordnet. Schlüssel ist „bytes“.
calc_service event.idm.read_only_udm.additional.fields[].value.string_value Direkt aus dem Feld calc_service zugeordnet. Schlüssel ist „calc_service“.
category event.idm.read_only_udm.security_result.category_details Direkt aus dem Feld category zugeordnet.
client_version event.idm.read_only_udm.intermediary.platform_version Direkt aus dem Feld client_version zugeordnet.
conn_direction event.idm.read_only_udm.additional.fields[].value.string_value Direkt aus dem Feld conn_direction zugeordnet. Schlüssel ist „conn_direction“.
conn_direction event.idm.read_only_udm.network.direction Wenn conn_direction „Eingehend“ ist, wird dies „INBOUND“ zugeordnet. Andernfalls wird „OUTBOUND“ zugeordnet.
connection_count event.idm.read_only_udm.security_result.detection_fields[].value Direkt aus dem Feld connection_count zugeordnet. Schlüssel ist „connection_count“.
contract_name event.idm.read_only_udm.security_result.description Direkt aus dem Feld contract_name zugeordnet.
cs2 event.idm.read_only_udm.security_result.rule_name Direkt aus dem Feld cs2 zugeordnet.
date_time event.idm.read_only_udm.metadata.event_timestamp Sie werden mit verschiedenen Datumsformaten geparst und in einen Zeitstempel konvertiert.
dedup_time event.idm.read_only_udm.additional.fields[].value.string_value Direkt aus dem Feld dedup_time zugeordnet. Schlüssel ist „dedup_time“.
desc event.idm.read_only_udm.security_result.summary Direkt aus dem Feld desc zugeordnet.
description event.idm.read_only_udm.security_result.description Direkt aus dem Feld description zugeordnet.
description_url event.idm.read_only_udm.additional.fields[].value.string_value Direkt aus dem Feld description_url zugeordnet. Schlüssel ist „description_url“.
destinationAddress event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip Direkt aus dem Feld destinationAddress zugeordnet.
destinationPort event.idm.read_only_udm.target.port Wird direkt aus dem Feld destinationPort abgeleitet und in eine Ganzzahl umgewandelt.
destinationTranslatedAddress event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip Direkt aus dem Feld destinationTranslatedAddress zugeordnet.
destinationTranslatedAddress event.idm.read_only_udm.target.nat_ip Direkt aus dem Feld destinationTranslatedAddress zugeordnet.
destinationTranslatedPort event.idm.read_only_udm.target.port Wird direkt aus dem Feld destinationTranslatedPort abgeleitet und in eine Ganzzahl umgewandelt.
destinationTranslatedPort event.idm.read_only_udm.target.nat_port Wird direkt aus dem Feld destinationTranslatedPort abgeleitet und in eine Ganzzahl umgewandelt.
deviceCustomString2 event.idm.read_only_udm.security_result.rule_name Direkt aus dem Feld deviceCustomString2 zugeordnet.
deviceDirection event.idm.read_only_udm.network.direction Wenn deviceDirection 0 ist, wird „OUTBOUND“ (AUSGEFÜHRT) zugeordnet. Wenn „1“, wird „INBOUND“ zugeordnet.
domain event.idm.read_only_udm.principal.administrative_domain Direkt aus dem Feld domain zugeordnet.
domain_name event.idm.read_only_udm.principal.administrative_domain Direkt aus dem Feld domain_name zugeordnet.
drop_reason event.idm.read_only_udm.security_result.summary Direkt aus dem Feld drop_reason zugeordnet.
ds event.idm.read_only_udm.metadata.event_timestamp Wird mit ts und tz verwendet, um den Ereigniszeitstempel zu erstellen.
dst event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip Direkt aus dem Feld dst zugeordnet.
dst_country event.idm.read_only_udm.target.location.country_or_region Direkt aus dem Feld dst_country zugeordnet.
dst_ip event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip Direkt aus dem Feld dst_ip zugeordnet.
dpt event.idm.read_only_udm.target.port Wird direkt aus dem Feld dpt abgeleitet und in eine Ganzzahl umgewandelt.
duration event.idm.read_only_udm.network.session_duration.seconds Wird direkt aus dem Feld duration abgeleitet und in eine Ganzzahl umgewandelt, wenn der Wert größer als 0 ist.
duser event.idm.read_only_udm.target.user.email_addresses, event.idm.read_only_udm.target.user.user_display_name Wird direkt aus dem Feld duser zugeordnet, wenn es einem E-Mail-Adressformat entspricht.
environment_id event.idm.read_only_udm.target.resource.product_object_id Direkt aus dem Feld environment_id zugeordnet.
event_type event.idm.read_only_udm.metadata.event_type Wird durch Logik bestimmt, die auf dem Vorhandensein bestimmter Felder und Werte basiert. Wenn kein bestimmter Ereignistyp angegeben ist, wird standardmäßig GENERIC_EVENT verwendet. Kann NETWORK_CONNECTION, USER_LOGIN, USER_CHANGE_PASSWORD, USER_LOGOUT, NETWORK_HTTP oder STATUS_UPDATE sein.
fieldschanges event.idm.read_only_udm.security_result.detection_fields[].value Direkt aus dem Feld fieldschanges zugeordnet. Schlüssel ist „fieldschanges“.
flags event.idm.read_only_udm.security_result.detection_fields[].value Direkt aus dem Feld flags zugeordnet. Schlüssel ist „flags“.
flexString2 event.idm.read_only_udm.security_result.detection_fields[].value Direkt aus dem Feld flexString2 zugeordnet. „Schlüssel“ ist der Wert von flexString2Label.
from_user event.idm.read_only_udm.principal.user.userid Direkt aus dem Feld from_user zugeordnet.
fservice event.idm.read_only_udm.security_result.detection_fields[].value Direkt aus dem Feld fservice zugeordnet. Schlüssel ist „fservice“.
fw_subproduct event.idm.read_only_udm.metadata.product_name Wird direkt aus dem Feld fw_subproduct zugeordnet, wenn product leer ist.
geoip_dst.country_name event.idm.read_only_udm.target.location.country_or_region Direkt aus dem Feld geoip_dst.country_name zugeordnet.
hll_key event.idm.read_only_udm.additional.fields[].value.string_value Direkt aus dem Feld hll_key zugeordnet. Schlüssel ist „hll_key“.
hostname event.idm.read_only_udm.target.hostname, event.idm.read_only_udm.target.asset.hostname, event.idm.read_only_udm.intermediary.hostname Wird direkt aus dem Feld hostname zugeordnet, wenn inter_host leer ist.
http_host event.idm.read_only_udm.target.resource.attribute.labels[].value Direkt aus dem Feld http_host zugeordnet. Schlüssel ist „http_host“.
id event.idm.read_only_udm.metadata.product_log_id Direkt aus dem Feld _id zugeordnet.
identity_src event.idm.read_only_udm.target.application Direkt aus dem Feld identity_src zugeordnet.
identity_type event.idm.read_only_udm.extensions.auth.type Wenn identity_type „user“ ist, wird „VPN“ zugeordnet. Andernfalls wird „MACHINE“ zugeordnet.
if_direction event.idm.read_only_udm.network.direction Wird direkt aus dem Feld if_direction zugeordnet und in Großbuchstaben konvertiert.
ifdir event.idm.read_only_udm.network.direction Wird direkt aus dem Feld ifdir zugeordnet und in Großbuchstaben konvertiert.
ifname event.idm.read_only_udm.security_result.detection_fields[].value Direkt aus dem Feld ifname zugeordnet. Schlüssel ist „ifname“.
IKE event.idm.read_only_udm.metadata.description Direkt aus dem Feld IKE zugeordnet.
inzone event.idm.read_only_udm.security_result.detection_fields[].value Direkt aus dem Feld inzone zugeordnet. Schlüssel ist „inzone“.
industry_reference event.idm.read_only_udm.additional.fields[].value.string_value Direkt aus dem Feld industry_reference zugeordnet. Schlüssel ist „industry_reference“.
instance_id event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname Direkt aus dem Feld instance_id zugeordnet.
inter_host event.idm.read_only_udm.intermediary.hostname Direkt aus dem Feld inter_host zugeordnet.
ip_proto event.idm.read_only_udm.network.ip_protocol Wird anhand des Felds proto oder service ermittelt. Kann TCP, UDP, ICMP, IP6IN4 oder GRE sein.
ipv6_dst event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip Direkt aus dem Feld ipv6_dst zugeordnet.
ipv6_src event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip Direkt aus dem Feld ipv6_src zugeordnet.
layer_name event.idm.read_only_udm.security_result.rule_set_display_name, event.idm.read_only_udm.security_result.detection_fields[].value Direkt aus dem Feld layer_name zugeordnet. Schlüssel ist „layer_name“.
layer_uuid event.idm.read_only_udm.security_result.rule_set, event.idm.read_only_udm.security_result.detection_fields[].value Wird direkt aus dem Feld layer_uuid zugeordnet, nachdem geschweifte Klammern entfernt wurden. Schlüssel ist „layer_uuid“.
layer_uuid_rule_uuid event.idm.read_only_udm.security_result.rule_id Wird direkt aus dem Feld layer_uuid_rule_uuid zugeordnet, nachdem Klammern und Anführungszeichen entfernt wurden.
log_id event.idm.read_only_udm.metadata.product_log_id Direkt aus dem Feld log_id zugeordnet.
log_type event.idm.read_only_udm.metadata.log_type Direkt aus dem Feld log_type zugeordnet. Hartcodiert auf „CHECKPOINT_FIREWALL“.
loguid event.idm.read_only_udm.metadata.product_log_id Wird direkt aus dem Feld loguid zugeordnet, nachdem geschweifte Klammern entfernt wurden.
logic_changes event.idm.read_only_udm.security_result.detection_fields[].value Direkt aus dem Feld logic_changes zugeordnet. Schlüssel ist „logic_changes“.
localhost event.idm.read_only_udm.target.hostname, event.idm.read_only_udm.target.asset.hostname Direkt aus dem Feld localhost zugeordnet. dst_ip ist auf „127.0.0.1“ festgelegt.
malware_action event.idm.read_only_udm.security_result.detection_fields[].value, event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value Direkt aus dem Feld malware_action zugeordnet. Schlüssel ist „malware_action“.
malware_family event.idm.read_only_udm.security_result.detection_fields[].value, event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value Direkt aus dem Feld malware_family zugeordnet. Schlüssel ist „malware_family“.
malware_rule_id event.idm.read_only_udm.security_result.detection_fields[].value Wird direkt aus dem Feld malware_rule_id zugeordnet, nachdem geschweifte Klammern entfernt wurden. Schlüssel ist „Malware-Regeln-ID“.
malware_rule_name event.idm.read_only_udm.security_result.detection_fields[].value Direkt aus dem Feld malware_rule_name zugeordnet. Schlüssel ist „Malware Rule Name“.
match_id event.idm.read_only_udm.security_result.detection_fields[].value Direkt aus dem Feld match_id zugeordnet. Schlüssel ist „match_id“.
matched_category event.idm.read_only_udm.security_result.detection_fields[].value Direkt aus dem Feld matched_category zugeordnet. Schlüssel ist „matched_category“.
message_info event.idm.read_only_udm.metadata.description Direkt aus dem Feld message_info zugeordnet.
method event.idm.read_only_udm.network.http.method Direkt aus dem Feld method zugeordnet.
mitre_execution event.idm.read_only_udm.additional.fields[].value.string_value Direkt aus dem Feld mitre_execution zugeordnet. Schlüssel ist „mitre_execution“.
mitre_initial_access event.idm.read_only_udm.security_result.detection_fields[].value Direkt aus dem Feld mitre_initial_access zugeordnet. Schlüssel ist „mitre_initial_access“.
nat_rulenum event.idm.read_only_udm.security_result.rule_id Wird direkt aus dem Feld nat_rulenum zugeordnet und in einen String umgewandelt.
objecttype event.idm.read_only_udm.security_result.detection_fields[].value Direkt aus dem Feld objecttype zugeordnet. Schlüssel ist „objecttype“.
operation event.idm.read_only_udm.security_result.summary Direkt aus dem Feld operation zugeordnet.
operation event.idm.read_only_udm.security_result.detection_fields[].value Direkt aus dem Feld operation zugeordnet. Schlüssel ist „operation“.
orig event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname Direkt aus dem Feld orig zugeordnet.
origin event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip, event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip, event.idm.read_only_udm.intermediary.ip Direkt aus dem Feld origin zugeordnet.
origin_sic_name event.idm.read_only_udm.intermediary.asset_id, event.idm.read_only_udm.intermediary.labels[].value Direkt aus dem Feld origin_sic_name zugeordnet. Schlüssel ist „Machine SIC“. Die Asset-ID beginnt mit „asset:“.
originsicname event.idm.read_only_udm.additional.fields[].value.string_value Direkt aus dem Feld originsicname zugeordnet. Schlüssel ist „originsicname“.
originsicname event.idm.read_only_udm.intermediary.asset_id, event.idm.read_only_udm.intermediary.labels[].value Direkt aus dem Feld originsicname zugeordnet. Schlüssel ist „Machine SIC“. Die Asset-ID beginnt mit „asset:“.
os_name event.idm.read_only_udm.principal.asset.platform_software.platform Wenn os_name „Win“ enthält, wird „WINDOWS“ zugeordnet. Wenn der String „MAC“ oder „IOS“ enthält, wird „MAC“ zugeordnet. Wenn der String „LINUX“ enthält, wird er „LINUX“ zugeordnet.
os_version event.idm.read_only_udm.principal.asset.platform_software.platform_patch_level Direkt aus dem Feld os_version zugeordnet.
outzone event.idm.read_only_udm.security_result.detection_fields[].value Direkt aus dem Feld outzone zugeordnet. Schlüssel ist „outzone“.
packets event.idm.read_only_udm.additional.fields[].value.string_value Direkt aus dem Feld packets zugeordnet. Schlüssel ist „packets“.
packet_capture_name event.idm.read_only_udm.additional.fields[].value.string_value Direkt aus dem Feld packet_capture_name zugeordnet. Schlüssel ist „packet_capture_name“.
packet_capture_time event.idm.read_only_udm.additional.fields[].value.string_value Direkt aus dem Feld packet_capture_time zugeordnet. Schlüssel ist „packet_capture_time“.
packet_capture_unique_id event.idm.read_only_udm.additional.fields[].value.string_value Direkt aus dem Feld packet_capture_unique_id zugeordnet. Schlüssel ist „packet_capture_unique_id“.
parent_rule event.idm.read_only_udm.security_result.detection_fields[].value Direkt aus dem Feld parent_rule zugeordnet. Schlüssel ist „parent_rule“.
performance_impact event.idm.read_only_udm.additional.fields[].value.string_value Direkt aus dem Feld performance_impact zugeordnet. Schlüssel ist „performance_impact“.
policy_name event.idm.read_only_udm.security_result.detection_fields[].value Mit Grok aus dem Feld __policy_id_tag extrahiert und zugeordnet. Schlüssel ist „Policy Name“.
policy_time event.idm.read_only_udm.security_result.detection_fields[].value Direkt aus dem Feld policy_time zugeordnet. Schlüssel ist „policy_time“.
portal_message event.idm.read_only_udm.security_result.description Direkt aus dem Feld portal_message zugeordnet.
principal_hostname event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip Wird direkt aus dem Feld principal_hostname zugeordnet, wenn es sich um eine gültige IP-Adresse handelt.
principal_hostname event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname Wird direkt aus dem Feld principal_hostname zugeordnet, wenn es sich nicht um eine gültige IP-Adresse und nicht um „Checkpoint“ handelt.
prod_family_label event.idm.read_only_udm.additional.fields[].value.string_value Direkt aus dem Feld ProductFamily zugeordnet. Schlüssel ist „ProductFamily“.
product event.idm.read_only_udm.metadata.product_name Direkt aus dem Feld product zugeordnet.
product_family event.idm.read_only_udm.additional.fields[].value.string_value Direkt aus dem Feld product_family zugeordnet. Schlüssel ist „product_family“.
product_family event.idm.read_only_udm.additional.fields[].value.string_value Direkt aus dem Feld product_family zugeordnet. Schlüssel ist „product_family“.
ProductName event.idm.read_only_udm.metadata.product_name Wird direkt aus dem Feld ProductName zugeordnet, wenn product leer ist.
product_name event.idm.read_only_udm.metadata.product_name Direkt aus dem Feld product_name zugeordnet.
profile event.idm.read_only_udm.security_result.detection_fields[].value Direkt aus dem Feld profile zugeordnet. Schlüssel ist „profile“.
protocol event.idm.read_only_udm.network.application_protocol Wird direkt aus dem Feld protocol zugeordnet, wenn es „HTTP“ lautet.
proxy_src_ip event.idm.read_only_udm.principal.nat_ip Direkt aus dem Feld proxy_src_ip zugeordnet.
reason event.idm.read_only_udm.security_result.summary Direkt aus dem Feld reason zugeordnet.
received_bytes event.idm.read_only_udm.network.received_bytes Wird direkt aus dem Feld received_bytes abgeleitet und in eine positive Ganzzahl umgewandelt.
Reference event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value, event.idm.read_only_udm.security_result.detection_fields[].value Direkt aus dem Feld Reference zugeordnet. Schlüssel ist „Reference“. Wird verwendet, um _vuln.name mit attack zu erstellen.
reject_id_kid event.idm.read_only_udm.security_result.detection_fields[].value Direkt aus dem Feld reject_id_kid zugeordnet. Schlüssel ist „reject_id_kid“.
resource event.idm.read_only_udm.target.url Als JSON geparst und der Ziel-URL zugeordnet. Wenn das Parsen fehlschlägt, wird es direkt zugeordnet.
resource event.idm.read_only_udm.additional.fields[].value.list_value.values[].string_value Wird als JSON geparst und jeder Wert im resource-Array wird der Liste hinzugefügt. Schlüssel ist „Ressource“.
result event.idm.read_only_udm.metadata.event_timestamp Mit date_time geparst, um den Ereigniszeitstempel zu erstellen.
rt event.idm.read_only_udm.metadata.event_timestamp Wird als Millisekunden seit der Epoche geparst und in einen Zeitstempel umgewandelt.
rule event.idm.read_only_udm.security_result.rule_name Direkt aus dem Feld rule zugeordnet.
rule_action event.idm.read_only_udm.security_result.detection_fields[].value Direkt aus dem Feld rule_action zugeordnet. Schlüssel ist „rule_action“.
rule_name event.idm.read_only_udm.security_result.rule_name Direkt aus dem Feld rule_name zugeordnet.
rule_uid event.idm.read_only_udm.security_result.rule_id Direkt aus dem Feld rule_uid zugeordnet.
s_port event.idm.read_only_udm.principal.port Wird direkt aus dem Feld s_port abgeleitet und in eine Ganzzahl umgewandelt.
scheme event.idm.read_only_udm.additional.fields[].value.string_value Direkt aus dem Feld scheme zugeordnet. Schlüssel ist „scheme“.
security_inzone event.idm.read_only_udm.security_result.detection_fields[].value Direkt aus dem Feld security_inzone zugeordnet. Schlüssel ist „security_inzone“.
security_outzone event.idm.read_only_udm.security_result.detection_fields[].value Direkt aus dem Feld security_outzone zugeordnet. Schlüssel ist „security_outzone“.
security_result_action event.idm.read_only_udm.security_result.action Direkt aus dem Feld security_result_action zugeordnet.
sendtotrackerasadvancedauditlog event.idm.read_only_udm.security_result.detection_fields[].value Direkt aus dem Feld sendtotrackerasadvancedauditlog zugeordnet. Schlüssel ist „sendtotrackerasadvancedauditlog“.
sent_bytes event.idm.read_only_udm.network.sent_bytes Wird direkt aus dem Feld sent_bytes abgeleitet und in eine positive Ganzzahl umgewandelt.
sequencenum event.idm.read_only_udm.additional.fields[].value.string_value Direkt aus dem Feld sequencenum zugeordnet. Schlüssel ist „sequencenum“.
ser_agent_kid event.idm.read_only_udm.security_result.detection_fields[].value Direkt aus dem Feld ser_agent_kid zugeordnet. Schlüssel ist „ser_agent_kid“.
service event.idm.read_only_udm.target.port Wird direkt aus dem Feld service abgeleitet und in eine Ganzzahl umgewandelt.
service_id event.idm.read_only_udm.network.application_protocol Wird direkt aus dem Feld service_id zugeordnet, wenn es sich um „dhcp“, „dns“, „http“, „https“ oder „quic“ handelt, die in Großbuchstaben umgewandelt werden.
service_id event.idm.read_only_udm.principal.application Wird direkt aus dem Feld service_id zugeordnet, wenn es sich nicht um eines der Netzwerkanwendungsprotokolle handelt.
service_id event.idm.read_only_udm.security_result.detection_fields[].value Direkt aus dem Feld service_id zugeordnet. Schlüssel ist „service_id“.
session_description event.idm.read_only_udm.security_result.detection_fields[].value Direkt aus dem Feld session_description zugeordnet. Schlüssel ist „session_description“.
session_id event.idm.read_only_udm.network.session_id Wird direkt aus dem Feld session_id zugeordnet, nachdem geschweifte Klammern entfernt wurden.
session_name event.idm.read_only_udm.security_result.detection_fields[].value Direkt aus dem Feld session_name zugeordnet. Schlüssel ist „session_name“.
session_uid event.idm.read_only_udm.network.session_id Wird direkt aus dem Feld session_uid zugeordnet, nachdem geschweifte Klammern entfernt wurden.
Severity event.idm.read_only_udm.security_result.severity Wird basierend auf dem Wert von Severity den Status „LOW“, „MEDIUM“, „HIGH“ oder „CRITICAL“ zugeordnet.
severity event.idm.read_only_udm.security_result.severity Wird basierend auf dem Wert von severity den Status „LOW“, „MEDIUM“, „HIGH“ oder „CRITICAL“ zugeordnet.
site event.idm.read_only_udm.network.http.user_agent Direkt aus dem Feld site zugeordnet.
smartdefense_profile event.idm.read_only_udm.security_result.detection_fields[].value Direkt aus dem Feld smartdefense_profile zugeordnet. Schlüssel ist „smartdefense_profile“.
snid event.idm.read_only_udm.network.session_id Wird direkt aus dem Feld snid zugeordnet, wenn es nicht leer oder „0“ ist.
sourceAddress event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip Direkt aus dem Feld sourceAddress zugeordnet.
sourcePort event.idm.read_only_udm.principal.port Wird direkt aus dem Feld sourcePort abgeleitet und in eine Ganzzahl umgewandelt.
sourceTranslatedAddress event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip Direkt aus dem Feld sourceTranslatedAddress zugeordnet.
sourceTranslatedAddress event.idm.read_only_udm.principal.nat_ip Direkt aus dem Feld sourceTranslatedAddress zugeordnet.
sourceTranslatedPort event.idm.read_only_udm.principal.port Wird direkt aus dem Feld sourceTranslatedPort abgeleitet und in eine Ganzzahl umgewandelt.
sourceTranslatedPort event.idm.read_only_udm.principal.nat_port Wird direkt aus dem Feld sourceTranslatedPort abgeleitet und in eine Ganzzahl umgewandelt.
sourceUserName event.idm.read_only_udm.principal.user.userid, event.idm.read_only_udm.principal.user.first_name, event.idm.read_only_udm.principal.user.last_name Mit Grok geparst, um Nutzer-ID, Vornamen und Nachnamen zu extrahieren.
spt event.idm.read_only_udm.principal.port Wird direkt aus dem Feld spt abgeleitet und in eine Ganzzahl umgewandelt.
src event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip Direkt aus dem Feld src zugeordnet.
src_ip event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip Direkt aus dem Feld src_ip zugeordnet.
src_localhost event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname Direkt aus dem Feld src_localhost zugeordnet. src_ip ist auf „127.0.0.1“ festgelegt.
src_machine_name event.idm.read_only_udm.security_result.detection_fields[].value Direkt aus dem Feld src_machine_name zugeordnet. Schlüssel ist „src_machine_name“.
src_port event.idm.read_only_udm.principal.port Wird direkt aus dem Feld src_port abgeleitet und in eine Ganzzahl umgewandelt.
src_user event.idm.read_only_udm.principal.user.userid Direkt aus dem Feld src_user zugeordnet.
src_user_dn event.idm.read_only_udm.security_result.detection_fields[].value Direkt aus dem Feld src_user_dn zugeordnet. Schlüssel ist „src_user_dn“.
src_user_name event.idm.read_only_udm.principal.user.userid Direkt aus dem Feld src_user_name zugeordnet.
sub_policy_name event.idm.read_only_udm.security_result.detection_fields[].value Direkt aus dem Feld sub_policy_name zugeordnet. Schlüssel ist „sub_policy_name“.
sub_policy_uid event.idm.read_only_udm.security_result.detection_fields[].value Direkt aus dem Feld sub_policy_uid zugeordnet. Schlüssel ist „sub_policy_uid“.
subject event.idm.read_only_udm.security_result.detection_fields[].value Direkt aus dem Feld subject zugeordnet. Schlüssel ist „subject“.
subscription_stat_desc event.idm.read_only_udm.security_result.summary Direkt aus dem Feld subscription_stat_desc zugeordnet.
tags event.idm.read_only_udm.security_result.detection_fields[].value Direkt aus dem Feld tags zugeordnet. Schlüssel ist „tags“.
tar_user event.idm.read_only_udm.target.user.userid Direkt aus dem Feld tar_user zugeordnet.
target_port event.idm.read_only_udm.target.port Direkt aus dem Feld target_port zugeordnet.
tcp_flags event.idm.read_only_udm.security_result.detection_fields[].value Direkt aus dem Feld tcp_flags zugeordnet. Schlüssel ist „tcp_flags“.
tcp_packet_out_of_state event.idm.read_only_udm.security_result.detection_fields[].value Direkt aus dem Feld tcp_packet_out_of_state zugeordnet. Schlüssel ist „tcp_packet_out_of_state“.
time event.idm.read_only_udm.metadata.event_timestamp Sie werden mit verschiedenen Datumsformaten geparst und in einen Zeitstempel konvertiert.
ts event.idm.read_only_udm.metadata.event_timestamp Wird mit ds und tz geparst, um den Ereigniszeitstempel zu erstellen.
type event.idm.read_only_udm.security_result.rule_type Direkt aus dem Feld type zugeordnet.
tz event.idm.read_only_udm.metadata.event_timestamp Wird mit ds und ts verwendet, um den Ereigniszeitstempel zu erstellen.
update_count event.idm.read_only_udm.security_result.detection_fields[].value Direkt aus dem Feld update_count zugeordnet. Schlüssel ist „update_count“.
URL event.idm.read_only_udm.security_result.about.url Direkt aus dem Feld URL zugeordnet.
user event.idm.read_only_udm.principal.user.userid Direkt aus dem Feld user zugeordnet.
user_agent event.idm.read_only_udm.network.http.user_agent Direkt aus dem Feld user_agent zugeordnet. Wird auch geparst und event.idm.read_only_udm.network.http.parsed_user_agent zugeordnet.
userip event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip Wird direkt aus dem Feld userip zugeordnet, wenn es sich um eine gültige IP-Adresse handelt.
UUid event.idm.read_only_udm.metadata.product_log_id Wird direkt aus dem Feld UUid zugeordnet, nachdem geschweifte Klammern entfernt wurden.
version event.idm.read_only_udm.metadata.product_version Direkt aus dem Feld version zugeordnet.
web_client_type event.idm.read_only_udm.network.http.user_agent Direkt aus dem Feld web_client_type zugeordnet.
xlatedport event.idm.read_only_udm.target.nat_port Wird direkt aus dem Feld xlatedport abgeleitet und in eine Ganzzahl umgewandelt.
xlatedst event.idm.read_only_udm.target.nat_ip Direkt aus dem Feld xlatedst zugeordnet.
xlatesport event.idm.read_only_udm.principal.nat_port Wird direkt aus dem Feld xlatesport abgeleitet und in eine Ganzzahl umgewandelt.
xlatesrc event.idm.read_only_udm.principal.nat_ip Direkt aus dem Feld xlatesrc zugeordnet.
event.idm.read_only_udm.metadata.vendor_name Check Point Hartcodierter Wert.
event.idm.read_only_udm.metadata.log_type CHECKPOINT_FIREWALL Hartcodierter Wert.
event.idm.read_only_udm.security_result.rule_type Firewall Rule Standardwert, sofern nicht durch eine bestimmte Logik überschrieben.
event.idm.is_alert true Setzen Sie den Wert auf „true“, wenn das Feld alert „yes“ (ja) enthält.
has_principal true Legt fest, ob die Haupt-IP-Adresse oder der Haupt-Hostname extrahiert wird.
has_target true Legt fest, ob die Ziel-IP-Adresse oder der Ziel-Hostname extrahiert wird.

Änderungen

2024-05-29

  • „layer_uuid_rule_uuid“ wurde „security_result.rule_id“ zugeordnet.
  • „domain“ wurde zu „principal.administrative_domain“ zugeordnet.
  • „fservice“, „appi_name“, „app_risk“ und „policy_name“ wurden zu „security_result.detection_fields“ zugeordnet.
  • „packets“, „__id“, „dedup_time“, „browse_time“, „bytes“, „product_family“, „hll_key“ und „calc_service“ wurden in „additional.fields“ zugeordnet.
  • „id“ wurde „metadata.product_log_id“ zugeordnet.
  • „orig_log_server“ wurde „principal.resource.product_object_id“ zugeordnet.
  • „environment_id“ wurde „target.resource.product_object_id“ zugeordnet.
  • „client_outbound_packets“ und „client_inbound_packets“ wurden auf „principal.resource.attribute.labels“ zugeordnet.
  • „server_outbound_bytes“ und „server_inbound_bytes“ wurden auf „target.resource.attribute.labels“ zugeordnet.
  • „orig“ wurde „principal.hostname“ und „principal.asset.hostname“ zugeordnet.
  • „orig_log_server_ip“ wurde auf „principal.ip“ und „principal.asset.ip“ zugeordnet.
  • „proto“ wurde in „network.ip_protocol“ umgewandelt.

2024-05-20

  • Es wurde ein Grok-Muster zum Extrahieren von „inter_host“ hinzugefügt.
  • „inter_host“ wurde „intermediary.hostname“ zugeordnet.

2024-04-19

  • Verbesserungen und Fehlerkorrekturen:
  • „origin“ wurde „target.ip“ und „target.asset.ip“ zugeordnet.
  • Es wurden neue Grok-Muster hinzugefügt, um das neue Format von SYSLOG-Protokollen zu analysieren.
  • „smartdefense_profile“, „malware_rule_id“ und „malware_rule_name“ wurden zu „security_result.detection_fields“ zugeordnet.
  • „sequencenum“, „description_url“, „industry_reference“, „mitre_execution“, „packet_capture_name“, „packet_capture_unique_id“, „packet_capture_time“ und „performance_impact“ wurden in „additional.fields“ zugeordnet.
  • „version“ wurde mit „metadata.product_version“ abgeglichen.
  • „http_host“ wurde auf „target.resource.attribute.labels“ zugeordnet.
  • „log_id“ wurde „metadata.product_log_id“ zugeordnet.
  • „user_agent“ wurde in „network.http.user_agent“ und „http.parsed_user_agent“ umgewandelt.
  • „hostname“, „dvc“ und „principal_hostname“ wurden in „target.hostname“ und „target.asset.hostname“ ummapped.
  • Wenn „has_principal“ „wahr“ und „has_target“ „wahr“ ist und „Action“/„action“ „Anmelden“ oder „Anmelden fehlgeschlagen“ oder „Aktualisieren“ ist, legen Sie „metadata.event_type“ auf „USER_LOGIN“ und „extensions.auth.type“ auf „AUTHTYPE_UNSPECIFIED“ fest.
  • Wenn „has_principal“ „wahr“ und „has_target“ „wahr“ ist und „Action“/„act“/„event_type“ „Log Out“ oder „Logout“ ist, legen Sie „metadata.event_type“ auf „USER_LOGOUT“ und „extensions.auth.type“ auf „AUTHTYPE_UNSPECIFIED“ fest.
  • Wenn „has_principal“ „wahr“ und „has_target“ „wahr“ ist, legen Sie „metadata.event_type“ auf „NETWORK_CONNECTION“ fest.
  • Wenn „has_principal“ „true“ und „has_target“ „false“ ist, setze „metadata.event_type“ auf „STATUS_UPDATE“.

2024-02-07

  • Es wurde eine Zuordnung für die folgenden Felder hinzugefügt:
  • „protection_id“, „malware_action“, „malware_family“, „protection_name“ und „protection_type“ wurden in „security_result.detection_fields“ zugeordnet.
  • „confidence_level“ wurde auf „security_result.confidence“ und „security_result.confidence_details“ zugeordnet.

2024-02-05

  • Es wurde eine Zuordnung für die folgenden Felder hinzugefügt:
  • „method“ wurde „network.http.method“ zugeordnet.

2024-01-24

  • Es wurde eine Zuordnung für die folgenden Felder hinzugefügt:
  • „method“ wurde „network.http.method“ zugeordnet.
  • „duration“ wurde zu „network.session_duration.seconds“ zugeordnet.
  • „additional_info“ wurde in „security_result.description“ geändert.
  • „operation“ wurde „security_result.summary“ zugeordnet.
  • „subject“ wurde „metadata.description“ zugeordnet.
  • „principal_hostname“ wurde „intermediary.hostname“ zugeordnet.
  • Zugewiesen „tcp_packet_out_of_state“, „aggregated_log_count“, „connection_count“, „appi_name“, „src_user_dn“,
  • „update_count“, „additional_info“, „administrator“, „operation“, „sendtotrackerasadvancedauditlog“,
  • „subject“, „fieldschanges“, „logic_changes“, „objecttype“, „session_description“,
  • „session_name“ zu „security_result.detection_fields“

2023-12-27

  • Es wurde eine Zuordnung für die folgenden Felder hinzugefügt:
  • „flags“ wurde in „security_result.detection_fields“ geändert.
  • „tcp_flags“ wurde „security_result.detection_fields“ zugeordnet.
  • „tcp_packet_out_of_state“ wurde in „security_result.detection_fields“ geändert.

2023-12-11

  • Wenn „principal_hostname“ eine gültige IP-Adresse ist, ordnen Sie sie „principal.ip“ zu.
  • Wenn „principal_hostname“ keine gültige IP-Adresse ist, ordnen Sie sie „principal.hostname“ zu.
  • „sport_svc“ wurde „principal.port“ zugeordnet.
  • „ProductFamily“ wurde „additional.fields“ zugeordnet.
  • „mitre_initial_access“ wurde in „security_result.detection_fields“ geändert.
  • „policy_time“ wurde in „security_result.detection_fields“ umgewandelt.
  • „Profil“ wurde „security_result.detection_fields“ zugeordnet.
  • „reject_id_kid“ wurde „security_result.detection_fields“ zugeordnet.
  • „ser_agent_kid“ wurde „security_result.detection_fields“ zugeordnet.

2023-10-11

  • Wenn „product“ „New Anti Virus“ ist, wird die Zuordnung von „firewall management node“ zu „principal.hostname“ entfernt und stattdessen zu „security_result.detection_fields“ zugeordnet.

2023-07-06

  • Es wurde eine Zuordnung für die folgenden Felder hinzugefügt:
  • „app_category“ wurde in „security_result.category_details“ umgewandelt.
  • „matched_category“ wurde in „security_result.detection_fields“ umgewandelt.
  • „app_properties“ wurde in „security_result.detection_fields“ umgewandelt.

2023-06-14

  • Zuordnung für die folgenden Felder hinzugefügt
  • „conn_direction“ wurde „additional.fields“ zugeordnet.
  • Die Funktion „gsub“ wurde so geändert, dass das „:“ nicht durch „=“ in den tatsächlichen Werten ersetzt wird.

2023-05-12

  • Zuordnung für die folgenden Felder hinzugefügt
  • „rule_name“ wurde in „security_result.rule_name“ geändert.
  • „rule“, „sub_policy_name“, „sub_policy_uid“, „smartdefense_profile“, „tags“ und „flexString2“ wurden in „security_result.detection_fields“ zugeordnet.
  • Neues Grok-Muster hinzugefügt, um die neuen Protokollformate zu unterstützen.
  • „dvc“ wurde „intermediary.hostname“ zugeordnet.
  • „hostname“ wurde „intermediary.hostname“ zugeordnet.
  • „origin_sic_name“ wurde „intermediary.asset_id“ zugeordnet.
  • „conn_direction“ wurde in „network.ip_protocol“ geändert.
  • „ifname“ wurde in „security_result.detection_fields“ geändert.
  • „security_inzone“ wurde in „security_result.detection_fields“ geändert.
  • „match_id“ wurde in „security_result.detection_fields“ geändert.
  • „parent_rule“ wurde „security_result.detection_fields“ zugeordnet.
  • „security_outzone“ wurde in „security_result.detection_fields“ geändert.
  • „sub_policy_name“ wurde „security_result.detection_fields“ zugeordnet.
  • „sub_policy_uid“ wurde in „security_result.detection_fields“ zugeordnet.
  • „drop_reason“ wurde in „security_result.summary“ umgewandelt.
  • „reason“ wurde „security_result.summary“ zugeordnet.
  • „xlatesport“ wurde auf „principal.nat_port“ zugeordnet.
  • „xlatedport“ wurde auf „target.nat_port“ zugeordnet.
  • „ipv6_dst“ wurde auf „target.ip“ zugeordnet.
  • „ipv6_src“ wurde zu „principal.ip“ zugeordnet.

2023-04-24

  • Unterstützung für CEF-Protokolle hinzugefügt.

2022-11-18

  • Die Zuordnung für „service“ wurde geändert und „target.port“ zugewiesen.

2022-10-27

  • Bedingte Prüfung für „attack“, „attack_info“ und „policy_name“ hinzugefügt.
  • Grok-Muster zum Abrufen von „principal_hostname“ hinzugefügt.
  • „gsub“ hinzugefügt, um „="“ in „:" zu ändern.
  • Die Zuordnung für „service“ wurde geändert und mit „target.resource.attribute.labels“ verknüpft.

2022-10-13

  • Das Feld „fw_subproduct“ wurde auf „metadata.product_name“ zugeordnet.
  • Grok-Muster hinzugefügt, um die IP-Adresse aus dem Feld „src“ zu extrahieren.

2022-08-30

  • Die Änderungen an den kundenspezifischen Versionen wurden in die Standardversion übernommen.
  • Die Logs, die „*****“ in UserCheck enthalten, wurden wiederhergestellt.

2022-08-18

  • „portal_message“ wurde in „security_result.description“ geändert.
  • „security_result.category“ wurde als „SOFTWARE_MALICIOUS“ zugeordnet, wenn „portal_message“ die Keywords „malware/malicious“ enthält.
  • „URL“ wurde „security_result.about.url“ zugeordnet.
  • „Aktivität“ wurde „security_result.summary“ zugeordnet.
  • „Referenz“ wurde auf „security_result.about.resource.attribute.labels“ zugeordnet.
  • „event_type“ von „GENERIC_EVENT“ in „STATUS_UPDATE“ geändert, indem der Wert von „intermediary.ip“ in „principal.ip“ repliziert wurde.

2022-08-12

  • „malware_action“, „malware_family“, „protection_name“ und „protection_type“ wurden in „security_result.about.resource.attribute.labels“ zugeordnet.
  • „src_machine_name“ wurde „security_result.detection_fields“ zugeordnet.

2022-06-30

  • „message_info“ wurde in „metadata.description“ umgewandelt.

2022-06-17

  • Bedingte Prüfungen für die Felder „nat_rulenum“, „rule“, „sent_bytes“, „received_bytes“, „s_port“ und „service“ hinzugefügt.
  • Die Ereignistypen wurden in den folgenden Fällen geändert:
  • „GENERIC_EVENT“ nach „NETWORK_CONNECTION“, wobei „principal.ip or principal.hostname“ und „target.ip or target.hostname“ nicht null sind.
  • „GENERIC_EVENT“ in „STATUS_UNCATEGORIZED“, wenn „principal.ip“ oder „principal.hostname“ nicht null ist.

2022-06-14

  • Der Parser wurde so geändert, dass mehr Protokolle geparst werden, indem die Bedingungsüberprüfung für passwd entfernt wurde.

2022-06-07

  • „src_machine_name“ wurde „security_result.detection_fields“ zugeordnet.

2022-05-19

  • „inzone“, „outzone“, „layer_name“, „layer_uuid“ und „policy_name“ wurden in „security_result.detection_fields“ zugeordnet.
  • „service_id“ wurde „principal.application“ zugeordnet.