Diese Seite wurde von der Cloud Translation API übersetzt.

Check Point-Firewall-Logs erfassen

Unterstützt in:

Google SecOps SIEM

Dieser Parser extrahiert Check Point-Firewall-Logs. Es verarbeitet sowohl CEF- als auch nicht CEF-formatierte Nachrichten, einschließlich syslog, Schlüssel/Wert-Paare und JSON. Er normalisiert Felder, ordnet sie dem UDM zu und führt eine spezielle Logik für Anmeldungen/Abmeldungen, Netzwerkverbindungen und Sicherheitsereignisse aus. Die Daten werden um Kontextinformationen wie Standort und Bedrohungsinformationen ergänzt.

Hinweise

Sie benötigen eine Google Security Operations-Instanz.
Sie müssen Windows 2016 oder höher oder einen Linux-Host mit systemd verwenden.
Wenn die Ausführung hinter einem Proxy erfolgt, müssen die Firewallports geöffnet sein.
Sie benötigen Berechtigungen für den Zugriff auf eine Check Point-Firewall.

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

Melden Sie sich in der Google SecOps Console an.
Gehen Sie zu SIEM-Einstellungen > Erfassungsagenten.
Lade die Datei für die Datenaufnahmeauthentifizierung herunter.

Google SecOps-Kundennummer abrufen

Melden Sie sich in der Google SecOps Console an.
Gehen Sie zu SIEM-Einstellungen > Profil.
Kopieren und speichern Sie die Kundennummer aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Führen Sie für die Windows-Installation das folgende Script aus:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Führen Sie für die Linux-Installation das folgende Script aus:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Weitere Installationsoptionen finden Sie in diesem Installationsleitfaden.

Bindplane-Agent so konfigurieren, dass er Syslog-Dateien aufnimmt und an Google SecOps sendet

Rufen Sie den Computer auf, auf dem BindPlane installiert ist.

Bearbeiten Sie die Datei config.yamlso:

receivers:
    udplog:
        # Replace the below port <54525> and IP <0.0.0.0> with your specific values
        listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: Checkpoint_Firewall
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Starten Sie den Bindplane-Agent neu, um die Änderungen anzuwenden:
```
sudo systemctl restart bindplane
```

Syslog-Export in einer Check Point-Firewall konfigurieren

Melden Sie sich mit einem Konto mit Berechtigungen in der Check Point-Firewall-Benutzeroberfläche an.
Gehen Sie zu Protokolle und Monitoring > Protokollserver.
Rufen Sie Syslog-Server auf.
Klicken Sie auf Konfigurieren und legen Sie die folgenden Werte fest:
- Protokoll: Wählen Sie UDP aus, um Sicherheitsprotokolle und/oder Systemprotokolle zu senden.
- Name: Geben Sie einen eindeutigen Namen an (z. B. Bindplane_Server).
- IP-Adresse: Geben Sie die IP-Adresse Ihres syslog-Servers (Bindplane-IP) an.
- Port: Geben Sie den Port Ihres Syslog-Servers (BindPlane-Port) an.
Wählen Sie Log-Server aktivieren aus.
Wählen Sie die zu weiterleitenden Protokolle aus: Sowohl System- als auch Sicherheitsprotokolle.
Klicken Sie auf Übernehmen.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
`Action`	`event.idm.read_only_udm.security_result.action_details`	Direkt aus dem Feld `Action` zugeordnet.
`Activity`	`event.idm.read_only_udm.security_result.summary`	Direkt aus dem Feld `Activity` zugeordnet.
`additional_info`	`event.idm.read_only_udm.security_result.description`	Direkt aus dem Feld `additional_info` zugeordnet.
`administrator`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `administrator` zugeordnet. Schlüssel ist „administrator“.
`aggregated_log_count`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `aggregated_log_count` zugeordnet. Schlüssel ist „aggregated_log_count“.
`appi_name`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `appi_name` zugeordnet. Schlüssel ist „appi_name“.
`app_category`	`event.idm.read_only_udm.security_result.category_details`	Direkt aus dem Feld `app_category` zugeordnet.
`app_properties`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `app_properties` zugeordnet. Schlüssel ist „app_properties“.
`app_risk`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `app_risk` zugeordnet. Schlüssel ist „app_risk“.
`app_session_id`	`event.idm.read_only_udm.network.session_id`	Wird direkt aus dem Feld `app_session_id` zugeordnet und in einen String umgewandelt.
`attack`	`event.idm.read_only_udm.security_result.summary`	Wird direkt aus dem Feld `attack` zugeordnet, wenn `Info` vorhanden ist.
`attack`	`event.idm.read_only_udm.security_result.threat_name`	Wird direkt aus dem Feld `attack` zugeordnet, wenn `Info` vorhanden ist.
`attack_info`	`event.idm.read_only_udm.security_result.description`	Direkt aus dem Feld `attack_info` zugeordnet.
`auth_status`	`event.idm.read_only_udm.security_result.summary`	Direkt aus dem Feld `auth_status` zugeordnet.
`browse_time`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Direkt aus dem Feld `browse_time` zugeordnet. Schlüssel ist „browse_time“.
`bytes`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Direkt aus dem Feld `bytes` zugeordnet. Schlüssel ist „bytes“.
`bytes`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Direkt aus dem Feld `bytes` zugeordnet. Schlüssel ist „bytes“.
`calc_service`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Direkt aus dem Feld `calc_service` zugeordnet. Schlüssel ist „calc_service“.
`category`	`event.idm.read_only_udm.security_result.category_details`	Direkt aus dem Feld `category` zugeordnet.
`client_version`	`event.idm.read_only_udm.intermediary.platform_version`	Direkt aus dem Feld `client_version` zugeordnet.
`conn_direction`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Direkt aus dem Feld `conn_direction` zugeordnet. Schlüssel ist „conn_direction“.
`conn_direction`	`event.idm.read_only_udm.network.direction`	Wenn `conn_direction` „Eingehend“ ist, wird dies „INBOUND“ zugeordnet. Andernfalls wird „OUTBOUND“ zugeordnet.
`connection_count`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `connection_count` zugeordnet. Schlüssel ist „connection_count“.
`contract_name`	`event.idm.read_only_udm.security_result.description`	Direkt aus dem Feld `contract_name` zugeordnet.
`cs2`	`event.idm.read_only_udm.security_result.rule_name`	Direkt aus dem Feld `cs2` zugeordnet.
`date_time`	`event.idm.read_only_udm.metadata.event_timestamp`	Sie werden mit verschiedenen Datumsformaten geparst und in einen Zeitstempel konvertiert.
`dedup_time`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Direkt aus dem Feld `dedup_time` zugeordnet. Schlüssel ist „dedup_time“.
`desc`	`event.idm.read_only_udm.security_result.summary`	Direkt aus dem Feld `desc` zugeordnet.
`description`	`event.idm.read_only_udm.security_result.description`	Direkt aus dem Feld `description` zugeordnet.
`description_url`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Direkt aus dem Feld `description_url` zugeordnet. Schlüssel ist „description_url“.
`destinationAddress`	`event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`	Direkt aus dem Feld `destinationAddress` zugeordnet.
`destinationPort`	`event.idm.read_only_udm.target.port`	Wird direkt aus dem Feld `destinationPort` zugeordnet und in eine Ganzzahl umgewandelt.
`destinationTranslatedAddress`	`event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`	Direkt aus dem Feld `destinationTranslatedAddress` zugeordnet.
`destinationTranslatedAddress`	`event.idm.read_only_udm.target.nat_ip`	Direkt aus dem Feld `destinationTranslatedAddress` zugeordnet.
`destinationTranslatedPort`	`event.idm.read_only_udm.target.port`	Wird direkt aus dem Feld `destinationTranslatedPort` zugeordnet und in eine Ganzzahl umgewandelt.
`destinationTranslatedPort`	`event.idm.read_only_udm.target.nat_port`	Wird direkt aus dem Feld `destinationTranslatedPort` zugeordnet und in eine Ganzzahl umgewandelt.
`deviceCustomString2`	`event.idm.read_only_udm.security_result.rule_name`	Direkt aus dem Feld `deviceCustomString2` zugeordnet.
`deviceDirection`	`event.idm.read_only_udm.network.direction`	Wenn `deviceDirection` 0 ist, wird „OUTBOUND“ (AUSGEHEND) zugeordnet. Wenn „1“, wird „INBOUND“ zugeordnet.
`domain`	`event.idm.read_only_udm.principal.administrative_domain`	Direkt aus dem Feld `domain` zugeordnet.
`domain_name`	`event.idm.read_only_udm.principal.administrative_domain`	Direkt aus dem Feld `domain_name` zugeordnet.
`drop_reason`	`event.idm.read_only_udm.security_result.summary`	Direkt aus dem Feld `drop_reason` zugeordnet.
`ds`	`event.idm.read_only_udm.metadata.event_timestamp`	Wird mit `ts` und `tz` verwendet, um den Ereigniszeitstempel zu erstellen.
`dst`	`event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`	Direkt aus dem Feld `dst` zugeordnet.
`dst_country`	`event.idm.read_only_udm.target.location.country_or_region`	Direkt aus dem Feld `dst_country` zugeordnet.
`dst_ip`	`event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`	Direkt aus dem Feld `dst_ip` zugeordnet.
`dpt`	`event.idm.read_only_udm.target.port`	Wird direkt aus dem Feld `dpt` zugeordnet und in eine Ganzzahl umgewandelt.
`duration`	`event.idm.read_only_udm.network.session_duration.seconds`	Wird direkt aus dem Feld `duration` abgeleitet und in eine Ganzzahl umgewandelt, wenn der Wert größer als 0 ist.
`duser`	`event.idm.read_only_udm.target.user.email_addresses`, `event.idm.read_only_udm.target.user.user_display_name`	Wird direkt aus dem Feld `duser` zugeordnet, wenn es einem E-Mail-Adressformat entspricht.
`environment_id`	`event.idm.read_only_udm.target.resource.product_object_id`	Direkt aus dem Feld `environment_id` zugeordnet.
`event_type`	`event.idm.read_only_udm.metadata.event_type`	Wird durch Logik bestimmt, die auf dem Vorhandensein bestimmter Felder und Werte basiert. Wenn kein bestimmter Ereignistyp angegeben ist, wird standardmäßig `GENERIC_EVENT` verwendet. Kann `NETWORK_CONNECTION`, `USER_LOGIN`, `USER_CHANGE_PASSWORD`, `USER_LOGOUT`, `NETWORK_HTTP` oder `STATUS_UPDATE` sein.
`fieldschanges`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `fieldschanges` zugeordnet. Schlüssel ist „fieldschanges“.
`flags`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `flags` zugeordnet. Schlüssel ist „flags“.
`flexString2`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `flexString2` zugeordnet. „Schlüssel“ ist der Wert von `flexString2Label`.
`from_user`	`event.idm.read_only_udm.principal.user.userid`	Direkt aus dem Feld `from_user` zugeordnet.
`fservice`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `fservice` zugeordnet. Schlüssel ist „fservice“.
`fw_subproduct`	`event.idm.read_only_udm.metadata.product_name`	Wird direkt aus dem Feld `fw_subproduct` zugeordnet, wenn `product` leer ist.
`geoip_dst.country_name`	`event.idm.read_only_udm.target.location.country_or_region`	Direkt aus dem Feld `geoip_dst.country_name` zugeordnet.
`hll_key`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Direkt aus dem Feld `hll_key` zugeordnet. Schlüssel ist „hll_key“.
`hostname`	`event.idm.read_only_udm.target.hostname`, `event.idm.read_only_udm.target.asset.hostname`, `event.idm.read_only_udm.intermediary.hostname`	Wird direkt aus dem Feld `hostname` zugeordnet, wenn `inter_host` leer ist.
`http_host`	`event.idm.read_only_udm.target.resource.attribute.labels[].value`	Direkt aus dem Feld `http_host` zugeordnet. Schlüssel ist „http_host“.
`id`	`event.idm.read_only_udm.metadata.product_log_id`	Direkt aus dem Feld `_id` zugeordnet.
`identity_src`	`event.idm.read_only_udm.target.application`	Direkt aus dem Feld `identity_src` zugeordnet.
`identity_type`	`event.idm.read_only_udm.extensions.auth.type`	Wenn `identity_type` „user“ ist, wird „VPN“ zugeordnet. Andernfalls wird „MACHINE“ zugeordnet.
`if_direction`	`event.idm.read_only_udm.network.direction`	Wird direkt aus dem Feld `if_direction` zugeordnet und in Großbuchstaben konvertiert.
`ifdir`	`event.idm.read_only_udm.network.direction`	Wird direkt aus dem Feld `ifdir` zugeordnet und in Großbuchstaben konvertiert.
`ifname`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `ifname` zugeordnet. Schlüssel ist „ifname“.
`IKE`	`event.idm.read_only_udm.metadata.description`	Direkt aus dem Feld `IKE` zugeordnet.
`inzone`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `inzone` zugeordnet. Schlüssel ist „inzone“.
`industry_reference`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Direkt aus dem Feld `industry_reference` zugeordnet. Schlüssel ist „industry_reference“.
`instance_id`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Direkt aus dem Feld `instance_id` zugeordnet.
`inter_host`	`event.idm.read_only_udm.intermediary.hostname`	Direkt aus dem Feld `inter_host` zugeordnet.
`ip_proto`	`event.idm.read_only_udm.network.ip_protocol`	Wird anhand des Felds `proto` oder `service` ermittelt. Kann TCP, UDP, ICMP, IP6IN4 oder GRE sein.
`ipv6_dst`	`event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`	Direkt aus dem Feld `ipv6_dst` zugeordnet.
`ipv6_src`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Direkt aus dem Feld `ipv6_src` zugeordnet.
`layer_name`	`event.idm.read_only_udm.security_result.rule_set_display_name`, `event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `layer_name` zugeordnet. Schlüssel ist „layer_name“.
`layer_uuid`	`event.idm.read_only_udm.security_result.rule_set`, `event.idm.read_only_udm.security_result.detection_fields[].value`	Wird direkt aus dem Feld `layer_uuid` zugeordnet, nachdem geschweifte Klammern entfernt wurden. Schlüssel ist „layer_uuid“.
`layer_uuid_rule_uuid`	`event.idm.read_only_udm.security_result.rule_id`	Wird direkt aus dem Feld `layer_uuid_rule_uuid` zugeordnet, nachdem Klammern und Anführungszeichen entfernt wurden.
`log_id`	`event.idm.read_only_udm.metadata.product_log_id`	Direkt aus dem Feld `log_id` zugeordnet.
`log_type`	`event.idm.read_only_udm.metadata.log_type`	Direkt aus dem Feld `log_type` zugeordnet. Hartcodiert auf „CHECKPOINT_FIREWALL“.
`loguid`	`event.idm.read_only_udm.metadata.product_log_id`	Wird direkt aus dem Feld `loguid` zugeordnet, nachdem geschweifte Klammern entfernt wurden.
`logic_changes`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `logic_changes` zugeordnet. Schlüssel ist „logic_changes“.
`localhost`	`event.idm.read_only_udm.target.hostname`, `event.idm.read_only_udm.target.asset.hostname`	Direkt aus dem Feld `localhost` zugeordnet. `dst_ip` ist auf „127.0.0.1“ festgelegt.
`malware_action`	`event.idm.read_only_udm.security_result.detection_fields[].value`, `event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value`	Direkt aus dem Feld `malware_action` zugeordnet. Schlüssel ist „malware_action“.
`malware_family`	`event.idm.read_only_udm.security_result.detection_fields[].value`, `event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value`	Direkt aus dem Feld `malware_family` zugeordnet. Schlüssel ist „malware_family“.
`malware_rule_id`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Wird direkt aus dem Feld `malware_rule_id` zugeordnet, nachdem geschweifte Klammern entfernt wurden. Schlüssel ist „Malware-Regeln-ID“.
`malware_rule_name`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `malware_rule_name` zugeordnet. Schlüssel ist „Malware Rule Name“.
`match_id`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `match_id` zugeordnet. Schlüssel ist „match_id“.
`matched_category`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `matched_category` zugeordnet. Schlüssel ist „matched_category“.
`message_info`	`event.idm.read_only_udm.metadata.description`	Direkt aus dem Feld `message_info` zugeordnet.
`method`	`event.idm.read_only_udm.network.http.method`	Direkt aus dem Feld `method` zugeordnet.
`mitre_execution`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Direkt aus dem Feld `mitre_execution` zugeordnet. Schlüssel ist „mitre_execution“.
`mitre_initial_access`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `mitre_initial_access` zugeordnet. Schlüssel ist „mitre_initial_access“.
`nat_rulenum`	`event.idm.read_only_udm.security_result.rule_id`	Wird direkt aus dem Feld `nat_rulenum` zugeordnet und in einen String umgewandelt.
`objecttype`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `objecttype` zugeordnet. Schlüssel ist „objecttype“.
`operation`	`event.idm.read_only_udm.security_result.summary`	Direkt aus dem Feld `operation` zugeordnet.
`operation`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `operation` zugeordnet. Schlüssel ist „operation“.
`orig`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Direkt aus dem Feld `orig` zugeordnet.
`origin`	`event.idm.read_only_udm.principal.ip`: `event.idm.read_only_udm.principal.asset.ip`, `event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`, `event.idm.read_only_udm.intermediary.ip`	Direkt aus dem Feld `origin` zugeordnet.
`origin_sic_name`	`event.idm.read_only_udm.intermediary.asset_id`, `event.idm.read_only_udm.intermediary.labels[].value`	Direkt aus dem Feld `origin_sic_name` zugeordnet. Schlüssel ist „Machine SIC“. Die Asset-ID beginnt mit „asset:“.
`originsicname`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Direkt aus dem Feld `originsicname` zugeordnet. Schlüssel ist „originsicname“.
`originsicname`	`event.idm.read_only_udm.intermediary.asset_id`, `event.idm.read_only_udm.intermediary.labels[].value`	Direkt aus dem Feld `originsicname` zugeordnet. Schlüssel ist „Machine SIC“. Die Asset-ID beginnt mit „asset:“.
`os_name`	`event.idm.read_only_udm.principal.asset.platform_software.platform`	Wenn `os_name` „Win“ enthält, wird „WINDOWS“ zugeordnet. Wenn der String „MAC“ oder „IOS“ enthält, wird „MAC“ zugeordnet. Wenn der String „LINUX“ enthält, wird er „LINUX“ zugeordnet.
`os_version`	`event.idm.read_only_udm.principal.asset.platform_software.platform_patch_level`	Direkt aus dem Feld `os_version` zugeordnet.
`outzone`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `outzone` zugeordnet. Schlüssel ist „outzone“.
`packets`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Direkt aus dem Feld `packets` zugeordnet. Schlüssel ist „packets“.
`packet_capture_name`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Direkt aus dem Feld `packet_capture_name` zugeordnet. Schlüssel ist „packet_capture_name“.
`packet_capture_time`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Direkt aus dem Feld `packet_capture_time` zugeordnet. Schlüssel ist „packet_capture_time“.
`packet_capture_unique_id`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Direkt aus dem Feld `packet_capture_unique_id` zugeordnet. Schlüssel ist „packet_capture_unique_id“.
`parent_rule`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `parent_rule` zugeordnet. Schlüssel ist „parent_rule“.
`performance_impact`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Direkt aus dem Feld `performance_impact` zugeordnet. Schlüssel ist „performance_impact“.
`policy_name`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mit Grok aus dem Feld `__policy_id_tag` extrahiert und zugeordnet. Schlüssel ist „Policy Name“.
`policy_time`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `policy_time` zugeordnet. Schlüssel ist „policy_time“.
`portal_message`	`event.idm.read_only_udm.security_result.description`	Direkt aus dem Feld `portal_message` zugeordnet.
`principal_hostname`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Wird direkt aus dem Feld `principal_hostname` zugeordnet, wenn es sich um eine gültige IP-Adresse handelt.
`principal_hostname`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Wird direkt aus dem Feld `principal_hostname` zugeordnet, wenn es sich nicht um eine gültige IP-Adresse und nicht um „Checkpoint“ handelt.
`prod_family_label`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Direkt aus dem Feld `ProductFamily` zugeordnet. Schlüssel ist „ProductFamily“.
`product`	`event.idm.read_only_udm.metadata.product_name`	Direkt aus dem Feld `product` zugeordnet.
`product_family`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Direkt aus dem Feld `product_family` zugeordnet. Schlüssel ist „product_family“.
`product_family`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Direkt aus dem Feld `product_family` zugeordnet. Schlüssel ist „product_family“.
`ProductName`	`event.idm.read_only_udm.metadata.product_name`	Wird direkt aus dem Feld `ProductName` zugeordnet, wenn `product` leer ist.
`product_name`	`event.idm.read_only_udm.metadata.product_name`	Direkt aus dem Feld `product_name` zugeordnet.
`profile`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `profile` zugeordnet. Schlüssel ist „profile“.
`protocol`	`event.idm.read_only_udm.network.application_protocol`	Wird direkt aus dem Feld `protocol` zugeordnet, wenn es „HTTP“ lautet.
`proxy_src_ip`	`event.idm.read_only_udm.principal.nat_ip`	Direkt aus dem Feld `proxy_src_ip` zugeordnet.
`reason`	`event.idm.read_only_udm.security_result.summary`	Direkt aus dem Feld `reason` zugeordnet.
`received_bytes`	`event.idm.read_only_udm.network.received_bytes`	Wird direkt aus dem Feld `received_bytes` abgeleitet und in eine positive Ganzzahl umgewandelt.
`Reference`	`event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value`, `event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `Reference` zugeordnet. Schlüssel ist „Reference“. Wird verwendet, um `_vuln.name` mit `attack` zu erstellen.
`reject_id_kid`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `reject_id_kid` zugeordnet. Schlüssel ist „reject_id_kid“.
`resource`	`event.idm.read_only_udm.target.url`	Als JSON geparst und der Ziel-URL zugeordnet. Wenn das Parsen fehlschlägt, wird es direkt zugeordnet.
`resource`	`event.idm.read_only_udm.additional.fields[].value.list_value.values[].string_value`	Wird als JSON geparst und jeder Wert im `resource`-Array wird der Liste hinzugefügt. Schlüssel ist „Ressource“.
`result`	`event.idm.read_only_udm.metadata.event_timestamp`	Mit `date_time` geparst, um den Ereigniszeitstempel zu erstellen.
`rt`	`event.idm.read_only_udm.metadata.event_timestamp`	Wird als Millisekunden seit der Epoche geparst und in einen Zeitstempel umgewandelt.
`rule`	`event.idm.read_only_udm.security_result.rule_name`	Direkt aus dem Feld `rule` zugeordnet.
`rule_action`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `rule_action` zugeordnet. Schlüssel ist „rule_action“.
`rule_name`	`event.idm.read_only_udm.security_result.rule_name`	Direkt aus dem Feld `rule_name` zugeordnet.
`rule_uid`	`event.idm.read_only_udm.security_result.rule_id`	Direkt aus dem Feld `rule_uid` zugeordnet.
`s_port`	`event.idm.read_only_udm.principal.port`	Wird direkt aus dem Feld `s_port` zugeordnet und in eine Ganzzahl umgewandelt.
`scheme`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Direkt aus dem Feld `scheme` zugeordnet. Schlüssel ist „scheme“.
`security_inzone`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `security_inzone` zugeordnet. Schlüssel ist „security_inzone“.
`security_outzone`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `security_outzone` zugeordnet. Schlüssel ist „security_outzone“.
`security_result_action`	`event.idm.read_only_udm.security_result.action`	Direkt aus dem Feld `security_result_action` zugeordnet.
`sendtotrackerasadvancedauditlog`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `sendtotrackerasadvancedauditlog` zugeordnet. Schlüssel ist „sendtotrackerasadvancedauditlog“.
`sent_bytes`	`event.idm.read_only_udm.network.sent_bytes`	Wird direkt aus dem Feld `sent_bytes` abgeleitet und in eine positive Ganzzahl umgewandelt.
`sequencenum`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Direkt aus dem Feld `sequencenum` zugeordnet. Schlüssel ist „sequencenum“.
`ser_agent_kid`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `ser_agent_kid` zugeordnet. Schlüssel ist „ser_agent_kid“.
`service`	`event.idm.read_only_udm.target.port`	Wird direkt aus dem Feld `service` zugeordnet und in eine Ganzzahl umgewandelt.
`service_id`	`event.idm.read_only_udm.network.application_protocol`	Wird direkt aus dem Feld `service_id` zugeordnet, wenn es sich um „dhcp“, „dns“, „http“, „https“ oder „quic“ handelt, die in Großbuchstaben umgewandelt werden.
`service_id`	`event.idm.read_only_udm.principal.application`	Wird direkt aus dem Feld `service_id` zugeordnet, wenn es sich nicht um eines der Netzwerkanwendungsprotokolle handelt.
`service_id`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `service_id` zugeordnet. Schlüssel ist „service_id“.
`session_description`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `session_description` zugeordnet. Schlüssel ist „session_description“.
`session_id`	`event.idm.read_only_udm.network.session_id`	Wird direkt aus dem Feld `session_id` zugeordnet, nachdem geschweifte Klammern entfernt wurden.
`session_name`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `session_name` zugeordnet. Schlüssel ist „session_name“.
`session_uid`	`event.idm.read_only_udm.network.session_id`	Wird direkt aus dem Feld `session_uid` zugeordnet, nachdem geschweifte Klammern entfernt wurden.
`Severity`	`event.idm.read_only_udm.security_result.severity`	Wird basierend auf dem Wert von `Severity` den Status „LOW“, „MEDIUM“, „HIGH“ oder „CRITICAL“ zugeordnet.
`severity`	`event.idm.read_only_udm.security_result.severity`	Wird basierend auf dem Wert von `severity` den Status „LOW“, „MEDIUM“, „HIGH“ oder „CRITICAL“ zugeordnet.
`site`	`event.idm.read_only_udm.network.http.user_agent`	Direkt aus dem Feld `site` zugeordnet.
`smartdefense_profile`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `smartdefense_profile` zugeordnet. Schlüssel ist „smartdefense_profile“.
`snid`	`event.idm.read_only_udm.network.session_id`	Wird direkt aus dem Feld `snid` zugeordnet, wenn es nicht leer oder „0“ ist.
`sourceAddress`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Direkt aus dem Feld `sourceAddress` zugeordnet.
`sourcePort`	`event.idm.read_only_udm.principal.port`	Wird direkt aus dem Feld `sourcePort` zugeordnet und in eine Ganzzahl umgewandelt.
`sourceTranslatedAddress`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Direkt aus dem Feld `sourceTranslatedAddress` zugeordnet.
`sourceTranslatedAddress`	`event.idm.read_only_udm.principal.nat_ip`	Direkt aus dem Feld `sourceTranslatedAddress` zugeordnet.
`sourceTranslatedPort`	`event.idm.read_only_udm.principal.port`	Wird direkt aus dem Feld `sourceTranslatedPort` zugeordnet und in eine Ganzzahl umgewandelt.
`sourceTranslatedPort`	`event.idm.read_only_udm.principal.nat_port`	Wird direkt aus dem Feld `sourceTranslatedPort` zugeordnet und in eine Ganzzahl umgewandelt.
`sourceUserName`	`event.idm.read_only_udm.principal.user.userid`, `event.idm.read_only_udm.principal.user.first_name`, `event.idm.read_only_udm.principal.user.last_name`	Mit Grok geparst, um Nutzer-ID, Vornamen und Nachnamen zu extrahieren.
`spt`	`event.idm.read_only_udm.principal.port`	Wird direkt aus dem Feld `spt` zugeordnet und in eine Ganzzahl umgewandelt.
`src`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Direkt aus dem Feld `src` zugeordnet.
`src_ip`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Direkt aus dem Feld `src_ip` zugeordnet.
`src_localhost`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Direkt aus dem Feld `src_localhost` zugeordnet. `src_ip` ist auf „127.0.0.1“ festgelegt.
`src_machine_name`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `src_machine_name` zugeordnet. Schlüssel ist „src_machine_name“.
`src_port`	`event.idm.read_only_udm.principal.port`	Wird direkt aus dem Feld `src_port` zugeordnet und in eine Ganzzahl umgewandelt.
`src_user`	`event.idm.read_only_udm.principal.user.userid`	Direkt aus dem Feld `src_user` zugeordnet.
`src_user_dn`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `src_user_dn` zugeordnet. Schlüssel ist „src_user_dn“.
`src_user_name`	`event.idm.read_only_udm.principal.user.userid`	Direkt aus dem Feld `src_user_name` zugeordnet.
`sub_policy_name`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `sub_policy_name` zugeordnet. Schlüssel ist „sub_policy_name“.
`sub_policy_uid`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `sub_policy_uid` zugeordnet. Schlüssel ist „sub_policy_uid“.
`subject`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `subject` zugeordnet. Schlüssel ist „subject“.
`subscription_stat_desc`	`event.idm.read_only_udm.security_result.summary`	Direkt aus dem Feld `subscription_stat_desc` zugeordnet.
`tags`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `tags` zugeordnet. Schlüssel ist „tags“.
`tar_user`	`event.idm.read_only_udm.target.user.userid`	Direkt aus dem Feld `tar_user` zugeordnet.
`target_port`	`event.idm.read_only_udm.target.port`	Direkt aus dem Feld `target_port` zugeordnet.
`tcp_flags`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `tcp_flags` zugeordnet. Schlüssel ist „tcp_flags“.
`tcp_packet_out_of_state`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `tcp_packet_out_of_state` zugeordnet. Schlüssel ist „tcp_packet_out_of_state“.
`time`	`event.idm.read_only_udm.metadata.event_timestamp`	Sie werden mit verschiedenen Datumsformaten geparst und in einen Zeitstempel konvertiert.
`ts`	`event.idm.read_only_udm.metadata.event_timestamp`	Wird mit `ds` und `tz` geparst, um den Ereigniszeitstempel zu erstellen.
`type`	`event.idm.read_only_udm.security_result.rule_type`	Direkt aus dem Feld `type` zugeordnet.
`tz`	`event.idm.read_only_udm.metadata.event_timestamp`	Wird mit `ds` und `ts` verwendet, um den Ereigniszeitstempel zu erstellen.
`update_count`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `update_count` zugeordnet. Schlüssel ist „update_count“.
`URL`	`event.idm.read_only_udm.security_result.about.url`	Direkt aus dem Feld `URL` zugeordnet.
`user`	`event.idm.read_only_udm.principal.user.userid`	Direkt aus dem Feld `user` zugeordnet.
`user_agent`	`event.idm.read_only_udm.network.http.user_agent`	Direkt aus dem Feld `user_agent` zugeordnet. Wird auch geparst und `event.idm.read_only_udm.network.http.parsed_user_agent` zugeordnet.
`userip`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Wird direkt aus dem Feld `userip` zugeordnet, wenn es sich um eine gültige IP-Adresse handelt.
`UUid`	`event.idm.read_only_udm.metadata.product_log_id`	Wird direkt aus dem Feld `UUid` zugeordnet, nachdem geschweifte Klammern entfernt wurden.
`version`	`event.idm.read_only_udm.metadata.product_version`	Direkt aus dem Feld `version` zugeordnet.
`web_client_type`	`event.idm.read_only_udm.network.http.user_agent`	Direkt aus dem Feld `web_client_type` zugeordnet.
`xlatedport`	`event.idm.read_only_udm.target.nat_port`	Wird direkt aus dem Feld `xlatedport` zugeordnet und in eine Ganzzahl umgewandelt.
`xlatedst`	`event.idm.read_only_udm.target.nat_ip`	Direkt aus dem Feld `xlatedst` zugeordnet.
`xlatesport`	`event.idm.read_only_udm.principal.nat_port`	Wird direkt aus dem Feld `xlatesport` zugeordnet und in eine Ganzzahl umgewandelt.
`xlatesrc`	`event.idm.read_only_udm.principal.nat_ip`	Direkt aus dem Feld `xlatesrc` zugeordnet.
`event.idm.read_only_udm.metadata.vendor_name`	`Check Point`	Hartcodierter Wert.
`event.idm.read_only_udm.metadata.log_type`	`CHECKPOINT_FIREWALL`	Hartcodierter Wert.
`event.idm.read_only_udm.security_result.rule_type`	`Firewall Rule`	Standardwert, sofern nicht durch eine bestimmte Logik überschrieben.
`event.idm.is_alert`	`true`	Setzen Sie den Wert auf „true“, wenn das Feld `alert` „yes“ (ja) enthält.
`has_principal`	`true`	Legt fest, ob die Haupt-IP-Adresse oder der Haupt-Hostname extrahiert wird.
`has_target`	`true`	Legt fest, ob die Ziel-IP-Adresse oder der Ziel-Hostname extrahiert wird.

Änderungen

2024-05-29

„layer_uuid_rule_uuid“ wurde „security_result.rule_id“ zugeordnet.
„domain“ wurde zu „principal.administrative_domain“ zugeordnet.
„fservice“, „appi_name“, „app_risk“ und „policy_name“ wurden in „security_result.detection_fields“ zugeordnet.
„packets“, „__id“, „dedup_time“, „browse_time“, „bytes“, „product_family“, „hll_key“ und „calc_service“ wurden in „additional.fields“ zugeordnet.
„id“ wurde „metadata.product_log_id“ zugeordnet.
„orig_log_server“ wurde „principal.resource.product_object_id“ zugeordnet.
„environment_id“ wurde „target.resource.product_object_id“ zugeordnet.
„client_outbound_packets“ und „client_inbound_packets“ wurden auf „principal.resource.attribute.labels“ zugeordnet.
„server_outbound_bytes“ und „server_inbound_bytes“ wurden auf „target.resource.attribute.labels“ zugeordnet.
„orig“ wurde „principal.hostname“ und „principal.asset.hostname“ zugeordnet.
„orig_log_server_ip“ wurde auf „principal.ip“ und „principal.asset.ip“ zugeordnet.
„proto“ wurde in „network.ip_protocol“ umgewandelt.

2024-05-20

Grok-Muster zum Extrahieren von „inter_host“ hinzugefügt.
„inter_host“ wurde „intermediary.hostname“ zugeordnet.

2024-04-19

Verbesserungen und Fehlerkorrekturen:
„origin“ wurde „target.ip“ und „target.asset.ip“ zugeordnet.
Es wurden neue Grok-Muster hinzugefügt, um das neue Format von SYSLOG-Protokollen zu analysieren.
„smartdefense_profile“, „malware_rule_id“ und „malware_rule_name“ wurden zu „security_result.detection_fields“ zugeordnet.
„sequencenum“, „description_url“, „industry_reference“, „mitre_execution“, „packet_capture_name“, „packet_capture_unique_id“, „packet_capture_time“ und „performance_impact“ wurden in „additional.fields“ zugeordnet.
„version“ wurde mit „metadata.product_version“ abgeglichen.
„http_host“ wurde auf „target.resource.attribute.labels“ zugeordnet.
„log_id“ wurde „metadata.product_log_id“ zugeordnet.
„user_agent“ wurde in „network.http.user_agent“ und „http.parsed_user_agent“ umgewandelt.
„hostname“, „dvc“ und „principal_hostname“ wurden in „target.hostname“ und „target.asset.hostname“ ummapped.
Wenn „has_principal“ „wahr“ und „has_target“ „wahr“ ist und „Action“/„action“ „Anmelden“ oder „Anmeldung fehlgeschlagen“ oder „Aktualisieren“ ist, legen Sie „metadata.event_type“ auf „USER_LOGIN“ und „extensions.auth.type“ auf „AUTHTYPE_UNSPECIFIED“ fest.
Wenn „has_principal“ „wahr“ und „has_target“ „wahr“ ist und „Action“/„act“/„event_type“ „Log Out“ oder „Logout“ ist, legen Sie „metadata.event_type“ auf „USER_LOGOUT“ und „extensions.auth.type“ auf „AUTHTYPE_UNSPECIFIED“ fest.
Wenn „has_principal“ „wahr“ und „has_target“ „wahr“ ist, legen Sie „metadata.event_type“ auf „NETWORK_CONNECTION“ fest.
Wenn „has_principal“ „true“ und „has_target“ „false“ ist, setze „metadata.event_type“ auf „STATUS_UPDATE“.

2024-02-07

Es wurde eine Zuordnung für die folgenden Felder hinzugefügt:
„protection_id“, „malware_action“, „malware_family“, „protection_name“ und „protection_type“ wurden in „security_result.detection_fields“ zugeordnet.
„confidence_level“ wurde auf „security_result.confidence“ und „security_result.confidence_details“ zugeordnet.

2024-02-05

Es wurde eine Zuordnung für die folgenden Felder hinzugefügt:
„method“ wurde „network.http.method“ zugeordnet.

2024-01-24

Es wurde eine Zuordnung für die folgenden Felder hinzugefügt:
„method“ wurde „network.http.method“ zugeordnet.
„duration“ wurde zu „network.session_duration.seconds“ zugeordnet.
„additional_info“ wurde in „security_result.description“ geändert.
„operation“ wurde „security_result.summary“ zugeordnet.
„subject“ wurde „metadata.description“ zugeordnet.
„principal_hostname“ wurde „intermediary.hostname“ zugeordnet.
Zugewiesen „tcp_packet_out_of_state“, „aggregated_log_count“, „connection_count“, „appi_name“, „src_user_dn“,
„update_count“, „additional_info“, „administrator“, „operation“, „sendtotrackerasadvancedauditlog“,
„subject“, „fieldschanges“, „logic_changes“, „objecttype“, „session_description“,
„session_name“ zu „security_result.detection_fields“

2023-12-27

Es wurde eine Zuordnung für die folgenden Felder hinzugefügt:
„flags“ wurde in „security_result.detection_fields“ geändert.
„tcp_flags“ wurde „security_result.detection_fields“ zugeordnet.
„tcp_packet_out_of_state“ wurde in „security_result.detection_fields“ geändert.

2023-12-11

Wenn „principal_hostname“ eine gültige IP-Adresse ist, ordnen Sie sie „principal.ip“ zu.
Wenn „principal_hostname“ keine gültige IP-Adresse ist, ordnen Sie sie „principal.hostname“ zu.
„sport_svc“ wurde „principal.port“ zugeordnet.
„ProductFamily“ wurde „additional.fields“ zugeordnet.
„mitre_initial_access“ wurde in „security_result.detection_fields“ geändert.
„policy_time“ wurde in „security_result.detection_fields“ umgewandelt.
„Profil“ wurde zu „security_result.detection_fields“ zugeordnet.
„reject_id_kid“ wurde „security_result.detection_fields“ zugeordnet.
„ser_agent_kid“ wurde „security_result.detection_fields“ zugeordnet.

2023-10-11

Wenn „product“ „New Anti Virus“ ist, wird die Zuordnung von „firewall management node“ zu „principal.hostname“ entfernt und stattdessen zu „security_result.detection_fields“ zugeordnet.

2023-07-06

Es wurde eine Zuordnung für die folgenden Felder hinzugefügt:
„app_category“ wurde in „security_result.category_details“ umgewandelt.
„matched_category“ wurde in „security_result.detection_fields“ umgewandelt.
„app_properties“ wurde in „security_result.detection_fields“ umgewandelt.

2023-06-14

Zuordnung für die folgenden Felder hinzugefügt
„conn_direction“ wurde „additional.fields“ zugeordnet.
Die Funktion „gsub“ wurde so geändert, dass das „:“ nicht durch „=“ in den tatsächlichen Werten ersetzt wird.

2023-05-12

Zuordnung für die folgenden Felder hinzugefügt
„rule_name“ wurde in „security_result.rule_name“ geändert.
„rule“, „sub_policy_name“, „sub_policy_uid“, „smartdefense_profile“, „tags“ und „flexString2“ wurden in „security_result.detection_fields“ zugeordnet.
Neues Grok-Muster hinzugefügt, um die neuen Protokollformate zu unterstützen.
„dvc“ wurde „intermediary.hostname“ zugeordnet.
„hostname“ wurde „intermediary.hostname“ zugeordnet.
„origin_sic_name“ wurde „intermediary.asset_id“ zugeordnet.
„conn_direction“ wurde in „network.ip_protocol“ geändert.
„ifname“ wurde in „security_result.detection_fields“ geändert.
„security_inzone“ wurde „security_result.detection_fields“ zugeordnet.
„match_id“ wurde in „security_result.detection_fields“ geändert.
„parent_rule“ wurde „security_result.detection_fields“ zugeordnet.
„security_outzone“ wurde in „security_result.detection_fields“ geändert.
„sub_policy_name“ wurde „security_result.detection_fields“ zugeordnet.
„sub_policy_uid“ wurde in „security_result.detection_fields“ zugeordnet.
„drop_reason“ wurde in „security_result.summary“ umgewandelt.
„reason“ wurde „security_result.summary“ zugeordnet.
„xlatesport“ wurde auf „principal.nat_port“ zugeordnet.
„xlatedport“ wurde auf „target.nat_port“ zugeordnet.
„ipv6_dst“ wurde auf „target.ip“ zugeordnet.
„ipv6_src“ wurde zu „principal.ip“ zugeordnet.

2023-04-24

Unterstützung für CEF-Protokolle hinzugefügt.

2022-11-18

Die Zuordnung für „service“ wurde geändert und „target.port“ zugewiesen.

2022-10-27

Bedingte Prüfung für „attack“, „attack_info“ und „policy_name“ hinzugefügt.
Grok-Muster zum Abrufen von „principal_hostname“ hinzugefügt.
„gsub“ hinzugefügt, um „="“ in „:" zu ändern.
Die Zuordnung für „service“ wurde geändert und mit „target.resource.attribute.labels“ verknüpft.

2022-10-13

Das Feld „fw_subproduct“ wurde auf „metadata.product_name“ zugeordnet.
Grok-Muster hinzugefügt, um die IP-Adresse aus dem Feld „src“ zu extrahieren.

2022-08-30

Die Änderungen an den kundenspezifischen Versionen wurden in die Standardversion übernommen.
Die Logs, die „*****“ in UserCheck enthalten, wurden wiederhergestellt.

2022-08-18

„portal_message“ wurde in „security_result.description“ geändert.
„security_result.category“ wurde als „SOFTWARE_MALICIOUS“ zugeordnet, wenn „portal_message“ die Keywords „malware/malicious“ enthält.
„URL“ wurde „security_result.about.url“ zugeordnet.
„Aktivität“ wurde „security_result.summary“ zugeordnet.
„Referenz“ wurde auf „security_result.about.resource.attribute.labels“ zugeordnet.
„event_type“ von „GENERIC_EVENT“ in „STATUS_UPDATE“ geändert, indem der Wert von „intermediary.ip“ in „principal.ip“ repliziert wurde.

2022-08-12

„malware_action“, „malware_family“, „protection_name“ und „protection_type“ wurden in „security_result.about.resource.attribute.labels“ zugeordnet.
„src_machine_name“ wurde „security_result.detection_fields“ zugeordnet.

2022-06-30

„message_info“ wurde in „metadata.description“ umgewandelt.

2022-06-17

Bedingte Prüfungen für die Felder „nat_rulenum“, „rule“, „sent_bytes“, „received_bytes“, „s_port“ und „service“ hinzugefügt.
Die Ereignistypen wurden in den folgenden Fällen geändert:
„GENERIC_EVENT“ nach „NETWORK_CONNECTION“, wobei „principal.ip or principal.hostname“ und „target.ip or target.hostname“ nicht null sind.
„GENERIC_EVENT“ in „STATUS_UNCATEGORIZED“, wenn „principal.ip“ oder „principal.hostname“ nicht null ist.

2022-06-14

Der Parser wurde so geändert, dass mehr Protokolle geparst werden, indem die Bedingungsüberprüfung für passwd entfernt wurde.

2022-06-07

„src_machine_name“ wurde „security_result.detection_fields“ zugeordnet.

2022-05-19

„inzone“, „outzone“, „layer_name“, „layer_uuid“ und „policy_name“ wurden in „security_result.detection_fields“ zugeordnet.
„service_id“ wurde „principal.application“ zugeordnet.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten