Check Point-Firewall-Logs erfassen
Unterstützt in:
Google SecOps
SIEM
Dieser Parser extrahiert Check Point-Firewall-Logs. Es verarbeitet sowohl CEF- als auch nicht CEF-formatierte Nachrichten, einschließlich syslog, Schlüssel/Wert-Paare und JSON. Er normalisiert Felder, ordnet sie dem UDM zu und führt eine spezielle Logik für Anmeldungen/Abmeldungen, Netzwerkverbindungen und Sicherheitsereignisse aus. Die Daten werden um Kontextinformationen wie Standort und Bedrohungsinformationen ergänzt.
Hinweis
- Sie benötigen eine Google Security Operations-Instanz.
- Sie müssen Windows 2016 oder höher oder einen Linux-Host mit systemd verwenden.
- Wenn die Ausführung hinter einem Proxy erfolgt, müssen die Firewallports geöffnet sein.
- Sie benötigen erhöhte Zugriffsrechte auf eine Check Point-Firewall.
Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen
- Melden Sie sich in der Google SecOps Console an.
- Gehen Sie zu SIEM-Einstellungen > Erfassungsagenten.
- Lade die Datei zur Authentifizierung der Datenaufnahme herunter.
Google SecOps-Kundennummer abrufen
- Melden Sie sich in der Google SecOps Console an.
- Gehen Sie zu SIEM-Einstellungen > Profil.
- Kopieren und speichern Sie die Kundennummer aus dem Bereich Organisationsdetails.
BindPlane-Agent installieren
- Führen Sie für die Windows-Installation das folgende Script aus:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet - Führen Sie für die Linux-Installation das folgende Script aus:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh - Weitere Installationsoptionen finden Sie in diesem Installationsleitfaden.
BindPlane-Agent so konfigurieren, dass er Syslog-Protokolle aufnimmt und an Google SecOps sendet
- Rufen Sie den Computer auf, auf dem BindPlane installiert ist.
Bearbeiten Sie die Datei
config.yamlso:receivers: udplog: # Replace the below port <54525> and IP <0.0.0.0> with your specific values listen_address: "0.0.0.0:54525" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the creds location below according the placement of the credentials file you downloaded creds: '{ json file for creds }' # Replace <customer_id> below with your actual ID that you copied customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # You can apply ingestion labels below as preferred ingestion_labels: log_type: SYSLOG namespace: Checkpoint_Firewall raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labelsStarten Sie den BindPlane-Agent neu, um die Änderungen anzuwenden:
sudo systemctl restart bindplane
Syslog-Export in einer Check Point-Firewall konfigurieren
- Melden Sie sich mit einem Konto mit Berechtigungen in der Check Point-Firewall-Benutzeroberfläche an.
- Gehen Sie zu Protokolle und Monitoring > Protokollserver.
- Rufen Sie Syslog-Server auf.
- Klicken Sie auf Konfigurieren und legen Sie die folgenden Werte fest:
- Protokoll: Wählen Sie UDP aus, um Sicherheitsprotokolle und/oder Systemprotokolle zu senden.
- Name: Geben Sie einen eindeutigen Namen an (z. B. Bindplane_Server).
- IP-Adresse: Geben Sie die IP-Adresse Ihres syslog-Servers (Bindplane-IP) an.
- Port: Geben Sie den Port Ihres syslog-Servers (BindPlane-Port) an.
- Wählen Sie Log-Server aktivieren aus.
- Wählen Sie die zu weiterleitenden Protokolle aus: Sowohl System- als auch Sicherheitsprotokolle.
- Klicken Sie auf Übernehmen.
UDM-Zuordnungstabelle
| Logfeld | UDM-Zuordnung | Logik |
|---|---|---|
Action |
event.idm.read_only_udm.security_result.action_details |
Direkt aus dem Feld Action zugeordnet. |
Activity |
event.idm.read_only_udm.security_result.summary |
Direkt aus dem Feld Activity zugeordnet. |
additional_info |
event.idm.read_only_udm.security_result.description |
Direkt aus dem Feld additional_info zugeordnet. |
administrator |
event.idm.read_only_udm.security_result.detection_fields[].value |
Direkt aus dem Feld administrator zugeordnet. Schlüssel ist „administrator“. |
aggregated_log_count |
event.idm.read_only_udm.security_result.detection_fields[].value |
Direkt aus dem Feld aggregated_log_count zugeordnet. Schlüssel ist „aggregated_log_count“. |
appi_name |
event.idm.read_only_udm.security_result.detection_fields[].value |
Direkt aus dem Feld appi_name zugeordnet. Schlüssel ist „appi_name“. |
app_category |
event.idm.read_only_udm.security_result.category_details |
Direkt aus dem Feld app_category zugeordnet. |
app_properties |
event.idm.read_only_udm.security_result.detection_fields[].value |
Direkt aus dem Feld app_properties zugeordnet. Schlüssel ist „app_properties“. |
app_risk |
event.idm.read_only_udm.security_result.detection_fields[].value |
Direkt aus dem Feld app_risk zugeordnet. Schlüssel ist „app_risk“. |
app_session_id |
event.idm.read_only_udm.network.session_id |
Wird direkt aus dem Feld app_session_id zugeordnet und in einen String umgewandelt. |
attack |
event.idm.read_only_udm.security_result.summary |
Wird direkt aus dem Feld attack zugeordnet, wenn Info vorhanden ist. |
attack |
event.idm.read_only_udm.security_result.threat_name |
Wird direkt aus dem Feld attack zugeordnet, wenn Info vorhanden ist. |
attack_info |
event.idm.read_only_udm.security_result.description |
Direkt aus dem Feld attack_info zugeordnet. |
auth_status |
event.idm.read_only_udm.security_result.summary |
Direkt aus dem Feld auth_status zugeordnet. |
browse_time |
event.idm.read_only_udm.additional.fields[].value.string_value |
Direkt aus dem Feld browse_time zugeordnet. Schlüssel ist „browse_time“. |
bytes |
event.idm.read_only_udm.additional.fields[].value.string_value |
Direkt aus dem Feld bytes zugeordnet. Schlüssel ist „bytes“. |
bytes |
event.idm.read_only_udm.additional.fields[].value.string_value |
Direkt aus dem Feld bytes zugeordnet. Schlüssel ist „bytes“. |
calc_service |
event.idm.read_only_udm.additional.fields[].value.string_value |
Direkt aus dem Feld calc_service zugeordnet. Schlüssel ist „calc_service“. |
category |
event.idm.read_only_udm.security_result.category_details |
Direkt aus dem Feld category zugeordnet. |
client_version |
event.idm.read_only_udm.intermediary.platform_version |
Direkt aus dem Feld client_version zugeordnet. |
conn_direction |
event.idm.read_only_udm.additional.fields[].value.string_value |
Direkt aus dem Feld conn_direction zugeordnet. Schlüssel ist „conn_direction“. |
conn_direction |
event.idm.read_only_udm.network.direction |
Wenn conn_direction „Eingehend“ ist, wird dies „INBOUND“ zugeordnet. Andernfalls wird „OUTBOUND“ zugeordnet. |
connection_count |
event.idm.read_only_udm.security_result.detection_fields[].value |
Direkt aus dem Feld connection_count zugeordnet. Schlüssel ist „connection_count“. |
contract_name |
event.idm.read_only_udm.security_result.description |
Direkt aus dem Feld contract_name zugeordnet. |
cs2 |
event.idm.read_only_udm.security_result.rule_name |
Direkt aus dem Feld cs2 zugeordnet. |
date_time |
event.idm.read_only_udm.metadata.event_timestamp |
Sie werden mit verschiedenen Datumsformaten geparst und in einen Zeitstempel konvertiert. |
dedup_time |
event.idm.read_only_udm.additional.fields[].value.string_value |
Direkt aus dem Feld dedup_time zugeordnet. Schlüssel ist „dedup_time“. |
desc |
event.idm.read_only_udm.security_result.summary |
Direkt aus dem Feld desc zugeordnet. |
description |
event.idm.read_only_udm.security_result.description |
Direkt aus dem Feld description zugeordnet. |
description_url |
event.idm.read_only_udm.additional.fields[].value.string_value |
Direkt aus dem Feld description_url zugeordnet. Schlüssel ist „description_url“. |
destinationAddress |
event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip |
Direkt aus dem Feld destinationAddress zugeordnet. |
destinationPort |
event.idm.read_only_udm.target.port |
Wird direkt aus dem Feld destinationPort abgeleitet und in eine Ganzzahl umgewandelt. |
destinationTranslatedAddress |
event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip |
Direkt aus dem Feld destinationTranslatedAddress zugeordnet. |
destinationTranslatedAddress |
event.idm.read_only_udm.target.nat_ip |
Direkt aus dem Feld destinationTranslatedAddress zugeordnet. |
destinationTranslatedPort |
event.idm.read_only_udm.target.port |
Wird direkt aus dem Feld destinationTranslatedPort abgeleitet und in eine Ganzzahl umgewandelt. |
destinationTranslatedPort |
event.idm.read_only_udm.target.nat_port |
Wird direkt aus dem Feld destinationTranslatedPort abgeleitet und in eine Ganzzahl umgewandelt. |
deviceCustomString2 |
event.idm.read_only_udm.security_result.rule_name |
Direkt aus dem Feld deviceCustomString2 zugeordnet. |
deviceDirection |
event.idm.read_only_udm.network.direction |
Wenn deviceDirection 0 ist, wird „OUTBOUND“ (AUSGEFÜHRT) zugeordnet. Wenn „1“, wird „INBOUND“ zugeordnet. |
domain |
event.idm.read_only_udm.principal.administrative_domain |
Direkt aus dem Feld domain zugeordnet. |
domain_name |
event.idm.read_only_udm.principal.administrative_domain |
Direkt aus dem Feld domain_name zugeordnet. |
drop_reason |
event.idm.read_only_udm.security_result.summary |
Direkt aus dem Feld drop_reason zugeordnet. |
ds |
event.idm.read_only_udm.metadata.event_timestamp |
Wird mit ts und tz verwendet, um den Ereigniszeitstempel zu erstellen. |
dst |
event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip |
Direkt aus dem Feld dst zugeordnet. |
dst_country |
event.idm.read_only_udm.target.location.country_or_region |
Direkt aus dem Feld dst_country zugeordnet. |
dst_ip |
event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip |
Direkt aus dem Feld dst_ip zugeordnet. |
dpt |
event.idm.read_only_udm.target.port |
Wird direkt aus dem Feld dpt abgeleitet und in eine Ganzzahl umgewandelt. |
duration |
event.idm.read_only_udm.network.session_duration.seconds |
Wird direkt aus dem Feld duration abgeleitet und in eine Ganzzahl umgewandelt, wenn der Wert größer als 0 ist. |
duser |
event.idm.read_only_udm.target.user.email_addresses, event.idm.read_only_udm.target.user.user_display_name |
Wird direkt aus dem Feld duser zugeordnet, wenn es einem E-Mail-Adressformat entspricht. |
environment_id |
event.idm.read_only_udm.target.resource.product_object_id |
Direkt aus dem Feld environment_id zugeordnet. |
event_type |
event.idm.read_only_udm.metadata.event_type |
Wird durch Logik bestimmt, die auf dem Vorhandensein bestimmter Felder und Werte basiert. Wenn kein bestimmter Ereignistyp angegeben ist, wird standardmäßig GENERIC_EVENT verwendet. Kann NETWORK_CONNECTION, USER_LOGIN, USER_CHANGE_PASSWORD, USER_LOGOUT, NETWORK_HTTP oder STATUS_UPDATE sein. |
fieldschanges |
event.idm.read_only_udm.security_result.detection_fields[].value |
Direkt aus dem Feld fieldschanges zugeordnet. Schlüssel ist „fieldschanges“. |
flags |
event.idm.read_only_udm.security_result.detection_fields[].value |
Direkt aus dem Feld flags zugeordnet. Schlüssel ist „flags“. |
flexString2 |
event.idm.read_only_udm.security_result.detection_fields[].value |
Direkt aus dem Feld flexString2 zugeordnet. „Schlüssel“ ist der Wert von flexString2Label. |
from_user |
event.idm.read_only_udm.principal.user.userid |
Direkt aus dem Feld from_user zugeordnet. |
fservice |
event.idm.read_only_udm.security_result.detection_fields[].value |
Direkt aus dem Feld fservice zugeordnet. Schlüssel ist „fservice“. |
fw_subproduct |
event.idm.read_only_udm.metadata.product_name |
Wird direkt aus dem Feld fw_subproduct zugeordnet, wenn product leer ist. |
geoip_dst.country_name |
event.idm.read_only_udm.target.location.country_or_region |
Direkt aus dem Feld geoip_dst.country_name zugeordnet. |
hll_key |
event.idm.read_only_udm.additional.fields[].value.string_value |
Direkt aus dem Feld hll_key zugeordnet. Schlüssel ist „hll_key“. |
hostname |
event.idm.read_only_udm.target.hostname, event.idm.read_only_udm.target.asset.hostname, event.idm.read_only_udm.intermediary.hostname |
Wird direkt aus dem Feld hostname zugeordnet, wenn inter_host leer ist. |
http_host |
event.idm.read_only_udm.target.resource.attribute.labels[].value |
Direkt aus dem Feld http_host zugeordnet. Schlüssel ist „http_host“. |
id |
event.idm.read_only_udm.metadata.product_log_id |
Direkt aus dem Feld _id zugeordnet. |
identity_src |
event.idm.read_only_udm.target.application |
Direkt aus dem Feld identity_src zugeordnet. |
identity_type |
event.idm.read_only_udm.extensions.auth.type |
Wenn identity_type „user“ ist, wird „VPN“ zugeordnet. Andernfalls wird „MACHINE“ zugeordnet. |
if_direction |
event.idm.read_only_udm.network.direction |
Wird direkt aus dem Feld if_direction zugeordnet und in Großbuchstaben konvertiert. |
ifdir |
event.idm.read_only_udm.network.direction |
Wird direkt aus dem Feld ifdir zugeordnet und in Großbuchstaben konvertiert. |
ifname |
event.idm.read_only_udm.security_result.detection_fields[].value |
Direkt aus dem Feld ifname zugeordnet. Schlüssel ist „ifname“. |
IKE |
event.idm.read_only_udm.metadata.description |
Direkt aus dem Feld IKE zugeordnet. |
inzone |
event.idm.read_only_udm.security_result.detection_fields[].value |
Direkt aus dem Feld inzone zugeordnet. Schlüssel ist „inzone“. |
industry_reference |
event.idm.read_only_udm.additional.fields[].value.string_value |
Direkt aus dem Feld industry_reference zugeordnet. Schlüssel ist „industry_reference“. |
instance_id |
event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname |
Direkt aus dem Feld instance_id zugeordnet. |
inter_host |
event.idm.read_only_udm.intermediary.hostname |
Direkt aus dem Feld inter_host zugeordnet. |
ip_proto |
event.idm.read_only_udm.network.ip_protocol |
Wird anhand des Felds proto oder service ermittelt. Kann TCP, UDP, ICMP, IP6IN4 oder GRE sein. |
ipv6_dst |
event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip |
Direkt aus dem Feld ipv6_dst zugeordnet. |
ipv6_src |
event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip |
Direkt aus dem Feld ipv6_src zugeordnet. |
layer_name |
event.idm.read_only_udm.security_result.rule_set_display_name, event.idm.read_only_udm.security_result.detection_fields[].value |
Direkt aus dem Feld layer_name zugeordnet. Schlüssel ist „layer_name“. |
layer_uuid |
event.idm.read_only_udm.security_result.rule_set, event.idm.read_only_udm.security_result.detection_fields[].value |
Wird direkt aus dem Feld layer_uuid zugeordnet, nachdem geschweifte Klammern entfernt wurden. Schlüssel ist „layer_uuid“. |
layer_uuid_rule_uuid |
event.idm.read_only_udm.security_result.rule_id |
Wird direkt aus dem Feld layer_uuid_rule_uuid zugeordnet, nachdem Klammern und Anführungszeichen entfernt wurden. |
log_id |
event.idm.read_only_udm.metadata.product_log_id |
Direkt aus dem Feld log_id zugeordnet. |
log_type |
event.idm.read_only_udm.metadata.log_type |
Direkt aus dem Feld log_type zugeordnet. Hartcodiert auf „CHECKPOINT_FIREWALL“. |
loguid |
event.idm.read_only_udm.metadata.product_log_id |
Wird direkt aus dem Feld loguid zugeordnet, nachdem geschweifte Klammern entfernt wurden. |
logic_changes |
event.idm.read_only_udm.security_result.detection_fields[].value |
Direkt aus dem Feld logic_changes zugeordnet. Schlüssel ist „logic_changes“. |
localhost |
event.idm.read_only_udm.target.hostname, event.idm.read_only_udm.target.asset.hostname |
Direkt aus dem Feld localhost zugeordnet. dst_ip ist auf „127.0.0.1“ festgelegt. |
malware_action |
event.idm.read_only_udm.security_result.detection_fields[].value, event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value |
Direkt aus dem Feld malware_action zugeordnet. Schlüssel ist „malware_action“. |
malware_family |
event.idm.read_only_udm.security_result.detection_fields[].value, event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value |
Direkt aus dem Feld malware_family zugeordnet. Schlüssel ist „malware_family“. |
malware_rule_id |
event.idm.read_only_udm.security_result.detection_fields[].value |
Wird direkt aus dem Feld malware_rule_id zugeordnet, nachdem geschweifte Klammern entfernt wurden. Schlüssel ist „Malware-Regeln-ID“. |
malware_rule_name |
event.idm.read_only_udm.security_result.detection_fields[].value |
Direkt aus dem Feld malware_rule_name zugeordnet. Schlüssel ist „Malware Rule Name“. |
match_id |
event.idm.read_only_udm.security_result.detection_fields[].value |
Direkt aus dem Feld match_id zugeordnet. Schlüssel ist „match_id“. |
matched_category |
event.idm.read_only_udm.security_result.detection_fields[].value |
Direkt aus dem Feld matched_category zugeordnet. Schlüssel ist „matched_category“. |
message_info |
event.idm.read_only_udm.metadata.description |
Direkt aus dem Feld message_info zugeordnet. |
method |
event.idm.read_only_udm.network.http.method |
Direkt aus dem Feld method zugeordnet. |
mitre_execution |
event.idm.read_only_udm.additional.fields[].value.string_value |
Direkt aus dem Feld mitre_execution zugeordnet. Schlüssel ist „mitre_execution“. |
mitre_initial_access |
event.idm.read_only_udm.security_result.detection_fields[].value |
Direkt aus dem Feld mitre_initial_access zugeordnet. Schlüssel ist „mitre_initial_access“. |
nat_rulenum |
event.idm.read_only_udm.security_result.rule_id |
Wird direkt aus dem Feld nat_rulenum zugeordnet und in einen String umgewandelt. |
objecttype |
event.idm.read_only_udm.security_result.detection_fields[].value |
Direkt aus dem Feld objecttype zugeordnet. Schlüssel ist „objecttype“. |
operation |
event.idm.read_only_udm.security_result.summary |
Direkt aus dem Feld operation zugeordnet. |
operation |
event.idm.read_only_udm.security_result.detection_fields[].value |
Direkt aus dem Feld operation zugeordnet. Schlüssel ist „operation“. |
orig |
event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname |
Direkt aus dem Feld orig zugeordnet. |
origin |
event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip, event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip, event.idm.read_only_udm.intermediary.ip |
Direkt aus dem Feld origin zugeordnet. |
origin_sic_name |
event.idm.read_only_udm.intermediary.asset_id, event.idm.read_only_udm.intermediary.labels[].value |
Direkt aus dem Feld origin_sic_name zugeordnet. Schlüssel ist „Machine SIC“. Die Asset-ID beginnt mit „asset:“. |
originsicname |
event.idm.read_only_udm.additional.fields[].value.string_value |
Direkt aus dem Feld originsicname zugeordnet. Schlüssel ist „originsicname“. |
originsicname |
event.idm.read_only_udm.intermediary.asset_id, event.idm.read_only_udm.intermediary.labels[].value |
Direkt aus dem Feld originsicname zugeordnet. Schlüssel ist „Machine SIC“. Die Asset-ID beginnt mit „asset:“. |
os_name |
event.idm.read_only_udm.principal.asset.platform_software.platform |
Wenn os_name „Win“ enthält, wird „WINDOWS“ zugeordnet. Wenn der String „MAC“ oder „IOS“ enthält, wird „MAC“ zugeordnet. Wenn der String „LINUX“ enthält, wird er „LINUX“ zugeordnet. |
os_version |
event.idm.read_only_udm.principal.asset.platform_software.platform_patch_level |
Direkt aus dem Feld os_version zugeordnet. |
outzone |
event.idm.read_only_udm.security_result.detection_fields[].value |
Direkt aus dem Feld outzone zugeordnet. Schlüssel ist „outzone“. |
packets |
event.idm.read_only_udm.additional.fields[].value.string_value |
Direkt aus dem Feld packets zugeordnet. Schlüssel ist „packets“. |
packet_capture_name |
event.idm.read_only_udm.additional.fields[].value.string_value |
Direkt aus dem Feld packet_capture_name zugeordnet. Schlüssel ist „packet_capture_name“. |
packet_capture_time |
event.idm.read_only_udm.additional.fields[].value.string_value |
Direkt aus dem Feld packet_capture_time zugeordnet. Schlüssel ist „packet_capture_time“. |
packet_capture_unique_id |
event.idm.read_only_udm.additional.fields[].value.string_value |
Direkt aus dem Feld packet_capture_unique_id zugeordnet. Schlüssel ist „packet_capture_unique_id“. |
parent_rule |
event.idm.read_only_udm.security_result.detection_fields[].value |
Direkt aus dem Feld parent_rule zugeordnet. Schlüssel ist „parent_rule“. |
performance_impact |
event.idm.read_only_udm.additional.fields[].value.string_value |
Direkt aus dem Feld performance_impact zugeordnet. Schlüssel ist „performance_impact“. |
policy_name |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mit Grok aus dem Feld __policy_id_tag extrahiert und zugeordnet. Schlüssel ist „Policy Name“. |
policy_time |
event.idm.read_only_udm.security_result.detection_fields[].value |
Direkt aus dem Feld policy_time zugeordnet. Schlüssel ist „policy_time“. |
portal_message |
event.idm.read_only_udm.security_result.description |
Direkt aus dem Feld portal_message zugeordnet. |
principal_hostname |
event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip |
Wird direkt aus dem Feld principal_hostname zugeordnet, wenn es sich um eine gültige IP-Adresse handelt. |
principal_hostname |
event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname |
Wird direkt aus dem Feld principal_hostname zugeordnet, wenn es sich nicht um eine gültige IP-Adresse und nicht um „Checkpoint“ handelt. |
prod_family_label |
event.idm.read_only_udm.additional.fields[].value.string_value |
Direkt aus dem Feld ProductFamily zugeordnet. Schlüssel ist „ProductFamily“. |
product |
event.idm.read_only_udm.metadata.product_name |
Direkt aus dem Feld product zugeordnet. |
product_family |
event.idm.read_only_udm.additional.fields[].value.string_value |
Direkt aus dem Feld product_family zugeordnet. Schlüssel ist „product_family“. |
product_family |
event.idm.read_only_udm.additional.fields[].value.string_value |
Direkt aus dem Feld product_family zugeordnet. Schlüssel ist „product_family“. |
ProductName |
event.idm.read_only_udm.metadata.product_name |
Wird direkt aus dem Feld ProductName zugeordnet, wenn product leer ist. |
product_name |
event.idm.read_only_udm.metadata.product_name |
Direkt aus dem Feld product_name zugeordnet. |
profile |
event.idm.read_only_udm.security_result.detection_fields[].value |
Direkt aus dem Feld profile zugeordnet. Schlüssel ist „profile“. |
protocol |
event.idm.read_only_udm.network.application_protocol |
Wird direkt aus dem Feld protocol zugeordnet, wenn es „HTTP“ lautet. |
proxy_src_ip |
event.idm.read_only_udm.principal.nat_ip |
Direkt aus dem Feld proxy_src_ip zugeordnet. |
reason |
event.idm.read_only_udm.security_result.summary |
Direkt aus dem Feld reason zugeordnet. |
received_bytes |
event.idm.read_only_udm.network.received_bytes |
Wird direkt aus dem Feld received_bytes abgeleitet und in eine positive Ganzzahl umgewandelt. |
Reference |
event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value, event.idm.read_only_udm.security_result.detection_fields[].value |
Direkt aus dem Feld Reference zugeordnet. Schlüssel ist „Reference“. Wird verwendet, um _vuln.name mit attack zu erstellen. |
reject_id_kid |
event.idm.read_only_udm.security_result.detection_fields[].value |
Direkt aus dem Feld reject_id_kid zugeordnet. Schlüssel ist „reject_id_kid“. |
resource |
event.idm.read_only_udm.target.url |
Als JSON geparst und der Ziel-URL zugeordnet. Wenn das Parsen fehlschlägt, wird es direkt zugeordnet. |
resource |
event.idm.read_only_udm.additional.fields[].value.list_value.values[].string_value |
Wird als JSON geparst und jeder Wert im resource-Array wird der Liste hinzugefügt. Schlüssel ist „Ressource“. |
result |
event.idm.read_only_udm.metadata.event_timestamp |
Mit date_time geparst, um den Ereigniszeitstempel zu erstellen. |
rt |
event.idm.read_only_udm.metadata.event_timestamp |
Wird als Millisekunden seit der Epoche geparst und in einen Zeitstempel umgewandelt. |
rule |
event.idm.read_only_udm.security_result.rule_name |
Direkt aus dem Feld rule zugeordnet. |
rule_action |
event.idm.read_only_udm.security_result.detection_fields[].value |
Direkt aus dem Feld rule_action zugeordnet. Schlüssel ist „rule_action“. |
rule_name |
event.idm.read_only_udm.security_result.rule_name |
Direkt aus dem Feld rule_name zugeordnet. |
rule_uid |
event.idm.read_only_udm.security_result.rule_id |
Direkt aus dem Feld rule_uid zugeordnet. |
s_port |
event.idm.read_only_udm.principal.port |
Wird direkt aus dem Feld s_port abgeleitet und in eine Ganzzahl umgewandelt. |
scheme |
event.idm.read_only_udm.additional.fields[].value.string_value |
Direkt aus dem Feld scheme zugeordnet. Schlüssel ist „scheme“. |
security_inzone |
event.idm.read_only_udm.security_result.detection_fields[].value |
Direkt aus dem Feld security_inzone zugeordnet. Schlüssel ist „security_inzone“. |
security_outzone |
event.idm.read_only_udm.security_result.detection_fields[].value |
Direkt aus dem Feld security_outzone zugeordnet. Schlüssel ist „security_outzone“. |
security_result_action |
event.idm.read_only_udm.security_result.action |
Direkt aus dem Feld security_result_action zugeordnet. |
sendtotrackerasadvancedauditlog |
event.idm.read_only_udm.security_result.detection_fields[].value |
Direkt aus dem Feld sendtotrackerasadvancedauditlog zugeordnet. Schlüssel ist „sendtotrackerasadvancedauditlog“. |
sent_bytes |
event.idm.read_only_udm.network.sent_bytes |
Wird direkt aus dem Feld sent_bytes abgeleitet und in eine positive Ganzzahl umgewandelt. |
sequencenum |
event.idm.read_only_udm.additional.fields[].value.string_value |
Direkt aus dem Feld sequencenum zugeordnet. Schlüssel ist „sequencenum“. |
ser_agent_kid |
event.idm.read_only_udm.security_result.detection_fields[].value |
Direkt aus dem Feld ser_agent_kid zugeordnet. Schlüssel ist „ser_agent_kid“. |
service |
event.idm.read_only_udm.target.port |
Wird direkt aus dem Feld service abgeleitet und in eine Ganzzahl umgewandelt. |
service_id |
event.idm.read_only_udm.network.application_protocol |
Wird direkt aus dem Feld service_id zugeordnet, wenn es sich um „dhcp“, „dns“, „http“, „https“ oder „quic“ handelt, die in Großbuchstaben umgewandelt werden. |
service_id |
event.idm.read_only_udm.principal.application |
Wird direkt aus dem Feld service_id zugeordnet, wenn es sich nicht um eines der Netzwerkanwendungsprotokolle handelt. |
service_id |
event.idm.read_only_udm.security_result.detection_fields[].value |
Direkt aus dem Feld service_id zugeordnet. Schlüssel ist „service_id“. |
session_description |
event.idm.read_only_udm.security_result.detection_fields[].value |
Direkt aus dem Feld session_description zugeordnet. Schlüssel ist „session_description“. |
session_id |
event.idm.read_only_udm.network.session_id |
Wird direkt aus dem Feld session_id zugeordnet, nachdem geschweifte Klammern entfernt wurden. |
session_name |
event.idm.read_only_udm.security_result.detection_fields[].value |
Direkt aus dem Feld session_name zugeordnet. Schlüssel ist „session_name“. |
session_uid |
event.idm.read_only_udm.network.session_id |
Wird direkt aus dem Feld session_uid zugeordnet, nachdem geschweifte Klammern entfernt wurden. |
Severity |
event.idm.read_only_udm.security_result.severity |
Wird basierend auf dem Wert von Severity den Status „LOW“, „MEDIUM“, „HIGH“ oder „CRITICAL“ zugeordnet. |
severity |
event.idm.read_only_udm.security_result.severity |
Wird basierend auf dem Wert von severity den Status „LOW“, „MEDIUM“, „HIGH“ oder „CRITICAL“ zugeordnet. |
site |
event.idm.read_only_udm.network.http.user_agent |
Direkt aus dem Feld site zugeordnet. |
smartdefense_profile |
event.idm.read_only_udm.security_result.detection_fields[].value |
Direkt aus dem Feld smartdefense_profile zugeordnet. Schlüssel ist „smartdefense_profile“. |
snid |
event.idm.read_only_udm.network.session_id |
Wird direkt aus dem Feld snid zugeordnet, wenn es nicht leer oder „0“ ist. |
sourceAddress |
event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip |
Direkt aus dem Feld sourceAddress zugeordnet. |
sourcePort |
event.idm.read_only_udm.principal.port |
Wird direkt aus dem Feld sourcePort abgeleitet und in eine Ganzzahl umgewandelt. |
sourceTranslatedAddress |
event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip |
Direkt aus dem Feld sourceTranslatedAddress zugeordnet. |
sourceTranslatedAddress |
event.idm.read_only_udm.principal.nat_ip |
Direkt aus dem Feld sourceTranslatedAddress zugeordnet. |
sourceTranslatedPort |
event.idm.read_only_udm.principal.port |
Wird direkt aus dem Feld sourceTranslatedPort abgeleitet und in eine Ganzzahl umgewandelt. |
sourceTranslatedPort |
event.idm.read_only_udm.principal.nat_port |
Wird direkt aus dem Feld sourceTranslatedPort abgeleitet und in eine Ganzzahl umgewandelt. |
sourceUserName |
event.idm.read_only_udm.principal.user.userid, event.idm.read_only_udm.principal.user.first_name, event.idm.read_only_udm.principal.user.last_name |
Mit Grok geparst, um Nutzer-ID, Vornamen und Nachnamen zu extrahieren. |
spt |
event.idm.read_only_udm.principal.port |
Wird direkt aus dem Feld spt abgeleitet und in eine Ganzzahl umgewandelt. |
src |
event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip |
Direkt aus dem Feld src zugeordnet. |
src_ip |
event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip |
Direkt aus dem Feld src_ip zugeordnet. |
src_localhost |
event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname |
Direkt aus dem Feld src_localhost zugeordnet. src_ip ist auf „127.0.0.1“ festgelegt. |
src_machine_name |
event.idm.read_only_udm.security_result.detection_fields[].value |
Direkt aus dem Feld src_machine_name zugeordnet. Schlüssel ist „src_machine_name“. |
src_port |
event.idm.read_only_udm.principal.port |
Wird direkt aus dem Feld src_port abgeleitet und in eine Ganzzahl umgewandelt. |
src_user |
event.idm.read_only_udm.principal.user.userid |
Direkt aus dem Feld src_user zugeordnet. |
src_user_dn |
event.idm.read_only_udm.security_result.detection_fields[].value |
Direkt aus dem Feld src_user_dn zugeordnet. Schlüssel ist „src_user_dn“. |
src_user_name |
event.idm.read_only_udm.principal.user.userid |
Direkt aus dem Feld src_user_name zugeordnet. |
sub_policy_name |
event.idm.read_only_udm.security_result.detection_fields[].value |
Direkt aus dem Feld sub_policy_name zugeordnet. Schlüssel ist „sub_policy_name“. |
sub_policy_uid |
event.idm.read_only_udm.security_result.detection_fields[].value |
Direkt aus dem Feld sub_policy_uid zugeordnet. Schlüssel ist „sub_policy_uid“. |
subject |
event.idm.read_only_udm.security_result.detection_fields[].value |
Direkt aus dem Feld subject zugeordnet. Schlüssel ist „subject“. |
subscription_stat_desc |
event.idm.read_only_udm.security_result.summary |
Direkt aus dem Feld subscription_stat_desc zugeordnet. |
tags |
event.idm.read_only_udm.security_result.detection_fields[].value |
Direkt aus dem Feld tags zugeordnet. Schlüssel ist „tags“. |
tar_user |
event.idm.read_only_udm.target.user.userid |
Direkt aus dem Feld tar_user zugeordnet. |
target_port |
event.idm.read_only_udm.target.port |
Direkt aus dem Feld target_port zugeordnet. |
tcp_flags |
event.idm.read_only_udm.security_result.detection_fields[].value |
Direkt aus dem Feld tcp_flags zugeordnet. Schlüssel ist „tcp_flags“. |
tcp_packet_out_of_state |
event.idm.read_only_udm.security_result.detection_fields[].value |
Direkt aus dem Feld tcp_packet_out_of_state zugeordnet. Schlüssel ist „tcp_packet_out_of_state“. |
time |
event.idm.read_only_udm.metadata.event_timestamp |
Sie werden mit verschiedenen Datumsformaten geparst und in einen Zeitstempel konvertiert. |
ts |
event.idm.read_only_udm.metadata.event_timestamp |
Wird mit ds und tz geparst, um den Ereigniszeitstempel zu erstellen. |
type |
event.idm.read_only_udm.security_result.rule_type |
Direkt aus dem Feld type zugeordnet. |
tz |
event.idm.read_only_udm.metadata.event_timestamp |
Wird mit ds und ts verwendet, um den Ereigniszeitstempel zu erstellen. |
update_count |
event.idm.read_only_udm.security_result.detection_fields[].value |
Direkt aus dem Feld update_count zugeordnet. Schlüssel ist „update_count“. |
URL |
event.idm.read_only_udm.security_result.about.url |
Direkt aus dem Feld URL zugeordnet. |
user |
event.idm.read_only_udm.principal.user.userid |
Direkt aus dem Feld user zugeordnet. |
user_agent |
event.idm.read_only_udm.network.http.user_agent |
Direkt aus dem Feld user_agent zugeordnet. Wird auch geparst und event.idm.read_only_udm.network.http.parsed_user_agent zugeordnet. |
userip |
event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip |
Wird direkt aus dem Feld userip zugeordnet, wenn es sich um eine gültige IP-Adresse handelt. |
UUid |
event.idm.read_only_udm.metadata.product_log_id |
Wird direkt aus dem Feld UUid zugeordnet, nachdem geschweifte Klammern entfernt wurden. |
version |
event.idm.read_only_udm.metadata.product_version |
Direkt aus dem Feld version zugeordnet. |
web_client_type |
event.idm.read_only_udm.network.http.user_agent |
Direkt aus dem Feld web_client_type zugeordnet. |
xlatedport |
event.idm.read_only_udm.target.nat_port |
Wird direkt aus dem Feld xlatedport abgeleitet und in eine Ganzzahl umgewandelt. |
xlatedst |
event.idm.read_only_udm.target.nat_ip |
Direkt aus dem Feld xlatedst zugeordnet. |
xlatesport |
event.idm.read_only_udm.principal.nat_port |
Wird direkt aus dem Feld xlatesport abgeleitet und in eine Ganzzahl umgewandelt. |
xlatesrc |
event.idm.read_only_udm.principal.nat_ip |
Direkt aus dem Feld xlatesrc zugeordnet. |
event.idm.read_only_udm.metadata.vendor_name |
Check Point |
Hartcodierter Wert. |
event.idm.read_only_udm.metadata.log_type |
CHECKPOINT_FIREWALL |
Hartcodierter Wert. |
event.idm.read_only_udm.security_result.rule_type |
Firewall Rule |
Standardwert, sofern nicht durch eine bestimmte Logik überschrieben. |
event.idm.is_alert |
true |
Setzen Sie den Wert auf „true“, wenn das Feld alert „yes“ (ja) enthält. |
has_principal |
true |
Legt fest, ob die Haupt-IP-Adresse oder der Haupt-Hostname extrahiert wird. |
has_target |
true |
Legt fest, ob die Ziel-IP-Adresse oder der Ziel-Hostname extrahiert wird. |
Änderungen
2024-05-29
- „layer_uuid_rule_uuid“ wurde „security_result.rule_id“ zugeordnet.
- „domain“ wurde zu „principal.administrative_domain“ zugeordnet.
- „fservice“, „appi_name“, „app_risk“ und „policy_name“ wurden zu „security_result.detection_fields“ zugeordnet.
- „packets“, „__id“, „dedup_time“, „browse_time“, „bytes“, „product_family“, „hll_key“ und „calc_service“ wurden in „additional.fields“ zugeordnet.
- „id“ wurde „metadata.product_log_id“ zugeordnet.
- „orig_log_server“ wurde „principal.resource.product_object_id“ zugeordnet.
- „environment_id“ wurde „target.resource.product_object_id“ zugeordnet.
- „client_outbound_packets“ und „client_inbound_packets“ wurden auf „principal.resource.attribute.labels“ zugeordnet.
- „server_outbound_bytes“ und „server_inbound_bytes“ wurden auf „target.resource.attribute.labels“ zugeordnet.
- „orig“ wurde „principal.hostname“ und „principal.asset.hostname“ zugeordnet.
- „orig_log_server_ip“ wurde auf „principal.ip“ und „principal.asset.ip“ zugeordnet.
- „proto“ wurde in „network.ip_protocol“ umgewandelt.
2024-05-20
- Es wurde ein Grok-Muster zum Extrahieren von „inter_host“ hinzugefügt.
- „inter_host“ wurde „intermediary.hostname“ zugeordnet.
2024-04-19
- Verbesserungen und Fehlerkorrekturen:
- „origin“ wurde „target.ip“ und „target.asset.ip“ zugeordnet.
- Es wurden neue Grok-Muster hinzugefügt, um das neue Format von SYSLOG-Protokollen zu analysieren.
- „smartdefense_profile“, „malware_rule_id“ und „malware_rule_name“ wurden zu „security_result.detection_fields“ zugeordnet.
- „sequencenum“, „description_url“, „industry_reference“, „mitre_execution“, „packet_capture_name“, „packet_capture_unique_id“, „packet_capture_time“ und „performance_impact“ wurden in „additional.fields“ zugeordnet.
- „version“ wurde mit „metadata.product_version“ abgeglichen.
- „http_host“ wurde auf „target.resource.attribute.labels“ zugeordnet.
- „log_id“ wurde „metadata.product_log_id“ zugeordnet.
- „user_agent“ wurde in „network.http.user_agent“ und „http.parsed_user_agent“ umgewandelt.
- „hostname“, „dvc“ und „principal_hostname“ wurden in „target.hostname“ und „target.asset.hostname“ ummapped.
- Wenn „has_principal“ „wahr“ und „has_target“ „wahr“ ist und „Action“/„action“ „Anmelden“ oder „Anmelden fehlgeschlagen“ oder „Aktualisieren“ ist, legen Sie „metadata.event_type“ auf „USER_LOGIN“ und „extensions.auth.type“ auf „AUTHTYPE_UNSPECIFIED“ fest.
- Wenn „has_principal“ „wahr“ und „has_target“ „wahr“ ist und „Action“/„act“/„event_type“ „Log Out“ oder „Logout“ ist, legen Sie „metadata.event_type“ auf „USER_LOGOUT“ und „extensions.auth.type“ auf „AUTHTYPE_UNSPECIFIED“ fest.
- Wenn „has_principal“ „wahr“ und „has_target“ „wahr“ ist, legen Sie „metadata.event_type“ auf „NETWORK_CONNECTION“ fest.
- Wenn „has_principal“ „true“ und „has_target“ „false“ ist, setze „metadata.event_type“ auf „STATUS_UPDATE“.
2024-02-07
- Es wurde eine Zuordnung für die folgenden Felder hinzugefügt:
- „protection_id“, „malware_action“, „malware_family“, „protection_name“ und „protection_type“ wurden in „security_result.detection_fields“ zugeordnet.
- „confidence_level“ wurde auf „security_result.confidence“ und „security_result.confidence_details“ zugeordnet.
2024-02-05
- Es wurde eine Zuordnung für die folgenden Felder hinzugefügt:
- „method“ wurde „network.http.method“ zugeordnet.
2024-01-24
- Es wurde eine Zuordnung für die folgenden Felder hinzugefügt:
- „method“ wurde „network.http.method“ zugeordnet.
- „duration“ wurde zu „network.session_duration.seconds“ zugeordnet.
- „additional_info“ wurde in „security_result.description“ geändert.
- „operation“ wurde „security_result.summary“ zugeordnet.
- „subject“ wurde „metadata.description“ zugeordnet.
- „principal_hostname“ wurde „intermediary.hostname“ zugeordnet.
- Zugewiesen „tcp_packet_out_of_state“, „aggregated_log_count“, „connection_count“, „appi_name“, „src_user_dn“,
- „update_count“, „additional_info“, „administrator“, „operation“, „sendtotrackerasadvancedauditlog“,
- „subject“, „fieldschanges“, „logic_changes“, „objecttype“, „session_description“,
- „session_name“ zu „security_result.detection_fields“
2023-12-27
- Es wurde eine Zuordnung für die folgenden Felder hinzugefügt:
- „flags“ wurde in „security_result.detection_fields“ geändert.
- „tcp_flags“ wurde „security_result.detection_fields“ zugeordnet.
- „tcp_packet_out_of_state“ wurde in „security_result.detection_fields“ geändert.
2023-12-11
- Wenn „principal_hostname“ eine gültige IP-Adresse ist, ordnen Sie sie „principal.ip“ zu.
- Wenn „principal_hostname“ keine gültige IP-Adresse ist, ordnen Sie sie „principal.hostname“ zu.
- „sport_svc“ wurde „principal.port“ zugeordnet.
- „ProductFamily“ wurde „additional.fields“ zugeordnet.
- „mitre_initial_access“ wurde in „security_result.detection_fields“ geändert.
- „policy_time“ wurde in „security_result.detection_fields“ umgewandelt.
- „Profil“ wurde „security_result.detection_fields“ zugeordnet.
- „reject_id_kid“ wurde „security_result.detection_fields“ zugeordnet.
- „ser_agent_kid“ wurde „security_result.detection_fields“ zugeordnet.
2023-10-11
- Wenn „product“ „New Anti Virus“ ist, wird die Zuordnung von „firewall management node“ zu „principal.hostname“ entfernt und stattdessen zu „security_result.detection_fields“ zugeordnet.
2023-07-06
- Es wurde eine Zuordnung für die folgenden Felder hinzugefügt:
- „app_category“ wurde in „security_result.category_details“ umgewandelt.
- „matched_category“ wurde in „security_result.detection_fields“ umgewandelt.
- „app_properties“ wurde in „security_result.detection_fields“ umgewandelt.
2023-06-14
- Zuordnung für die folgenden Felder hinzugefügt
- „conn_direction“ wurde „additional.fields“ zugeordnet.
- Die Funktion „gsub“ wurde so geändert, dass das „:“ nicht durch „=“ in den tatsächlichen Werten ersetzt wird.
2023-05-12
- Zuordnung für die folgenden Felder hinzugefügt
- „rule_name“ wurde in „security_result.rule_name“ geändert.
- „rule“, „sub_policy_name“, „sub_policy_uid“, „smartdefense_profile“, „tags“ und „flexString2“ wurden in „security_result.detection_fields“ zugeordnet.
- Neues Grok-Muster hinzugefügt, um die neuen Protokollformate zu unterstützen.
- „dvc“ wurde „intermediary.hostname“ zugeordnet.
- „hostname“ wurde „intermediary.hostname“ zugeordnet.
- „origin_sic_name“ wurde „intermediary.asset_id“ zugeordnet.
- „conn_direction“ wurde in „network.ip_protocol“ geändert.
- „ifname“ wurde in „security_result.detection_fields“ geändert.
- „security_inzone“ wurde in „security_result.detection_fields“ geändert.
- „match_id“ wurde in „security_result.detection_fields“ geändert.
- „parent_rule“ wurde „security_result.detection_fields“ zugeordnet.
- „security_outzone“ wurde in „security_result.detection_fields“ geändert.
- „sub_policy_name“ wurde „security_result.detection_fields“ zugeordnet.
- „sub_policy_uid“ wurde in „security_result.detection_fields“ zugeordnet.
- „drop_reason“ wurde in „security_result.summary“ umgewandelt.
- „reason“ wurde „security_result.summary“ zugeordnet.
- „xlatesport“ wurde auf „principal.nat_port“ zugeordnet.
- „xlatedport“ wurde auf „target.nat_port“ zugeordnet.
- „ipv6_dst“ wurde auf „target.ip“ zugeordnet.
- „ipv6_src“ wurde zu „principal.ip“ zugeordnet.
2023-04-24
- Unterstützung für CEF-Protokolle hinzugefügt.
2022-11-18
- Die Zuordnung für „service“ wurde geändert und „target.port“ zugewiesen.
2022-10-27
- Bedingte Prüfung für „attack“, „attack_info“ und „policy_name“ hinzugefügt.
- Grok-Muster zum Abrufen von „principal_hostname“ hinzugefügt.
- „gsub“ hinzugefügt, um „="“ in „:" zu ändern.
- Die Zuordnung für „service“ wurde geändert und mit „target.resource.attribute.labels“ verknüpft.
2022-10-13
- Das Feld „fw_subproduct“ wurde auf „metadata.product_name“ zugeordnet.
- Grok-Muster hinzugefügt, um die IP-Adresse aus dem Feld „src“ zu extrahieren.
2022-08-30
- Die Änderungen an den kundenspezifischen Versionen wurden in die Standardversion übernommen.
- Die Logs, die „*****“ in UserCheck enthalten, wurden wiederhergestellt.
2022-08-18
- „portal_message“ wurde in „security_result.description“ geändert.
- „security_result.category“ wurde als „SOFTWARE_MALICIOUS“ zugeordnet, wenn „portal_message“ die Keywords „malware/malicious“ enthält.
- „URL“ wurde „security_result.about.url“ zugeordnet.
- „Aktivität“ wurde „security_result.summary“ zugeordnet.
- „Referenz“ wurde auf „security_result.about.resource.attribute.labels“ zugeordnet.
- „event_type“ von „GENERIC_EVENT“ in „STATUS_UPDATE“ geändert, indem der Wert von „intermediary.ip“ in „principal.ip“ repliziert wurde.
2022-08-12
- „malware_action“, „malware_family“, „protection_name“ und „protection_type“ wurden in „security_result.about.resource.attribute.labels“ zugeordnet.
- „src_machine_name“ wurde „security_result.detection_fields“ zugeordnet.
2022-06-30
- „message_info“ wurde in „metadata.description“ umgewandelt.
2022-06-17
- Bedingte Prüfungen für die Felder „nat_rulenum“, „rule“, „sent_bytes“, „received_bytes“, „s_port“ und „service“ hinzugefügt.
- Die Ereignistypen wurden in den folgenden Fällen geändert:
- „GENERIC_EVENT“ nach „NETWORK_CONNECTION“, wobei „principal.ip or principal.hostname“ und „target.ip or target.hostname“ nicht null sind.
- „GENERIC_EVENT“ in „STATUS_UNCATEGORIZED“, wenn „principal.ip“ oder „principal.hostname“ nicht null ist.
2022-06-14
- Der Parser wurde so geändert, dass mehr Protokolle geparst werden, indem die Bedingungsüberprüfung für passwd entfernt wurde.
2022-06-07
- „src_machine_name“ wurde „security_result.detection_fields“ zugeordnet.
2022-05-19
- „inzone“, „outzone“, „layer_name“, „layer_uuid“ und „policy_name“ wurden in „security_result.detection_fields“ zugeordnet.
- „service_id“ wurde „principal.application“ zugeordnet.