Collecter les journaux de pare-feu Check Point
Cet analyseur extrait les journaux du pare-feu Check Point. Il gère les messages au format CEF et non CEF, y compris les messages syslog, les paires clé-valeur et le format JSON. Il normalise les champs, les met en correspondance avec l'UDM et exécute une logique spécifique pour la connexion/déconnexion, les connexions réseau et les événements de sécurité. Il enrichit les données d'informations contextuelles telles que la géolocalisation et les renseignements sur les menaces.
Avant de commencer
- Assurez-vous de disposer d'une instance Google Security Operations.
- Assurez-vous d'utiliser Windows 2016 ou une version ultérieure, ou un hôte Linux avec systemd.
- Si vous exécutez l'application derrière un proxy, assurez-vous que les ports du pare-feu sont ouverts.
- Assurez-vous de disposer d'un accès privilégié à un pare-feu Check Point.
Obtenir le fichier d'authentification d'ingestion Google SecOps
- Connectez-vous à la console Google SecOps.
- Accédez à Paramètres du SIEM > Agents de collecte.
- Téléchargez le fichier d'authentification d'ingestion.
Obtenir le numéro client Google SecOps
- Connectez-vous à la console Google SecOps.
- Accédez à Paramètres du SIEM > Profil.
- Copiez et sauvegardez l'ID client dans la section Détails de l'organisation.
Installer l'agent BindPlane
- Pour l'installation sous Windows, exécutez le script suivant:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
- Pour l'installation Linux, exécutez le script suivant:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
- Pour en savoir plus sur les options d'installation, consultez ce guide d'installation.
Configurer l'agent BindPlane pour ingérer Syslog et l'envoyer à Google SecOps
- Accédez à la machine sur laquelle BindPlane est installé.
Modifiez le fichier
config.yaml
comme suit :receivers: udplog: # Replace the below port <54525> and IP <0.0.0.0> with your specific values listen_address: "0.0.0.0:54525" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the creds location below according the placement of the credentials file you downloaded creds: '{ json file for creds }' # Replace <customer_id> below with your actual ID that you copied customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # You can apply ingestion labels below as preferred ingestion_labels: log_type: SYSLOG namespace: Checkpoint_Firewall raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels
Redémarrez l'agent BindPlane pour appliquer les modifications:
sudo systemctl restart bindplane
Configurer l'exportation Syslog dans un pare-feu Check Point
- Connectez-vous à l'interface utilisateur du pare-feu Check Point à l'aide d'un compte privilégié.
- Accédez à Journaux et surveillance > Serveurs de journaux.
- Accédez à Syslog Servers (Serveurs Syslog).
- Cliquez sur Configurer, puis définissez les valeurs suivantes :
- Protocole: sélectionnez UDP pour envoyer des journaux de sécurité et/ou des journaux système.
- Nom: indiquez un nom unique (par exemple, "Bindplane_Server").
- Adresse IP: indiquez l'adresse IP de votre serveur syslog (adresse IP de Bindplane).
- Port: indiquez le port de votre serveur syslog (port Bindplane).
- Sélectionnez Enable log server (Activer le serveur de journaux).
- Sélectionnez les journaux à transférer: Journaux système et de sécurité.
- Cliquez sur Appliquer.
Tableau de mappage UDM
Champ de journal | Mappage UDM | Logique |
---|---|---|
Action |
event.idm.read_only_udm.security_result.action_details |
Mappé directement à partir du champ Action . |
Activity |
event.idm.read_only_udm.security_result.summary |
Mappé directement à partir du champ Activity . |
additional_info |
event.idm.read_only_udm.security_result.description |
Mappé directement à partir du champ additional_info . |
administrator |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappé directement à partir du champ administrator . La clé est "administrator". |
aggregated_log_count |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappé directement à partir du champ aggregated_log_count . La clé est "aggregated_log_count". |
appi_name |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappé directement à partir du champ appi_name . La clé est "appi_name". |
app_category |
event.idm.read_only_udm.security_result.category_details |
Mappé directement à partir du champ app_category . |
app_properties |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappé directement à partir du champ app_properties . La clé est "app_properties". |
app_risk |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappé directement à partir du champ app_risk . La clé est "app_risk". |
app_session_id |
event.idm.read_only_udm.network.session_id |
Mappé directement à partir du champ app_session_id , converti en chaîne. |
attack |
event.idm.read_only_udm.security_result.summary |
Mappé directement à partir du champ attack lorsque Info est présent. |
attack |
event.idm.read_only_udm.security_result.threat_name |
Mappé directement à partir du champ attack lorsque Info est présent. |
attack_info |
event.idm.read_only_udm.security_result.description |
Mappé directement à partir du champ attack_info . |
auth_status |
event.idm.read_only_udm.security_result.summary |
Mappé directement à partir du champ auth_status . |
browse_time |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mappé directement à partir du champ browse_time . La clé est "browse_time". |
bytes |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mappé directement à partir du champ bytes . La clé est "octets". |
bytes |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mappé directement à partir du champ bytes . La clé est "octets". |
calc_service |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mappé directement à partir du champ calc_service . La clé est "calc_service". |
category |
event.idm.read_only_udm.security_result.category_details |
Mappé directement à partir du champ category . |
client_version |
event.idm.read_only_udm.intermediary.platform_version |
Mappé directement à partir du champ client_version . |
conn_direction |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mappé directement à partir du champ conn_direction . La clé est "conn_direction". |
conn_direction |
event.idm.read_only_udm.network.direction |
Si conn_direction est "Incoming" (Entrants), la valeur est mappée sur "INBOUND". Sinon, il est mappé sur "SORTANT". |
connection_count |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappé directement à partir du champ connection_count . La clé est "connection_count". |
contract_name |
event.idm.read_only_udm.security_result.description |
Mappé directement à partir du champ contract_name . |
cs2 |
event.idm.read_only_udm.security_result.rule_name |
Mappé directement à partir du champ cs2 . |
date_time |
event.idm.read_only_udm.metadata.event_timestamp |
Analyse et conversion en code temporel à l'aide de différents formats de date. |
dedup_time |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mappé directement à partir du champ dedup_time . La clé est "dedup_time". |
desc |
event.idm.read_only_udm.security_result.summary |
Mappé directement à partir du champ desc . |
description |
event.idm.read_only_udm.security_result.description |
Mappé directement à partir du champ description . |
description_url |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mappé directement à partir du champ description_url . La clé est "description_url". |
destinationAddress |
event.idm.read_only_udm.target.ip , event.idm.read_only_udm.target.asset.ip |
Mappé directement à partir du champ destinationAddress . |
destinationPort |
event.idm.read_only_udm.target.port |
Mappé directement à partir du champ destinationPort , converti en entier. |
destinationTranslatedAddress |
event.idm.read_only_udm.target.ip , event.idm.read_only_udm.target.asset.ip |
Mappé directement à partir du champ destinationTranslatedAddress . |
destinationTranslatedAddress |
event.idm.read_only_udm.target.nat_ip |
Mappé directement à partir du champ destinationTranslatedAddress . |
destinationTranslatedPort |
event.idm.read_only_udm.target.port |
Mappé directement à partir du champ destinationTranslatedPort , converti en entier. |
destinationTranslatedPort |
event.idm.read_only_udm.target.nat_port |
Mappé directement à partir du champ destinationTranslatedPort , converti en entier. |
deviceCustomString2 |
event.idm.read_only_udm.security_result.rule_name |
Mappé directement à partir du champ deviceCustomString2 . |
deviceDirection |
event.idm.read_only_udm.network.direction |
Si deviceDirection est égal à 0, correspond à "SORTANT". Si la valeur est 1, correspond à "INBOUND". |
domain |
event.idm.read_only_udm.principal.administrative_domain |
Mappé directement à partir du champ domain . |
domain_name |
event.idm.read_only_udm.principal.administrative_domain |
Mappé directement à partir du champ domain_name . |
drop_reason |
event.idm.read_only_udm.security_result.summary |
Mappé directement à partir du champ drop_reason . |
ds |
event.idm.read_only_udm.metadata.event_timestamp |
Utilisé avec ts et tz pour créer le code temporel de l'événement. |
dst |
event.idm.read_only_udm.target.ip , event.idm.read_only_udm.target.asset.ip |
Mappé directement à partir du champ dst . |
dst_country |
event.idm.read_only_udm.target.location.country_or_region |
Mappé directement à partir du champ dst_country . |
dst_ip |
event.idm.read_only_udm.target.ip , event.idm.read_only_udm.target.asset.ip |
Mappé directement à partir du champ dst_ip . |
dpt |
event.idm.read_only_udm.target.port |
Mappé directement à partir du champ dpt , converti en entier. |
duration |
event.idm.read_only_udm.network.session_duration.seconds |
Mappé directement à partir du champ duration , converti en entier, s'il est supérieur à 0. |
duser |
event.idm.read_only_udm.target.user.email_addresses , event.idm.read_only_udm.target.user.user_display_name |
Mappé directement à partir du champ duser s'il correspond à un format d'adresse e-mail. |
environment_id |
event.idm.read_only_udm.target.resource.product_object_id |
Mappé directement à partir du champ environment_id . |
event_type |
event.idm.read_only_udm.metadata.event_type |
Déterminé par une logique basée sur la présence de certains champs et valeurs. La valeur par défaut est GENERIC_EVENT si aucun type d'événement spécifique n'est identifié. Il peut s'agir de NETWORK_CONNECTION , USER_LOGIN , USER_CHANGE_PASSWORD , USER_LOGOUT , NETWORK_HTTP ou STATUS_UPDATE . |
fieldschanges |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappé directement à partir du champ fieldschanges . La clé est "fieldschanges". |
flags |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappé directement à partir du champ flags . La clé est "flags". |
flexString2 |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappé directement à partir du champ flexString2 . La clé correspond à la valeur de flexString2Label . |
from_user |
event.idm.read_only_udm.principal.user.userid |
Mappé directement à partir du champ from_user . |
fservice |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappé directement à partir du champ fservice . La clé est "fservice". |
fw_subproduct |
event.idm.read_only_udm.metadata.product_name |
Mappé directement à partir du champ fw_subproduct lorsque product est vide. |
geoip_dst.country_name |
event.idm.read_only_udm.target.location.country_or_region |
Mappé directement à partir du champ geoip_dst.country_name . |
hll_key |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mappé directement à partir du champ hll_key . La clé est "hll_key". |
hostname |
event.idm.read_only_udm.target.hostname , event.idm.read_only_udm.target.asset.hostname , event.idm.read_only_udm.intermediary.hostname |
Mappé directement à partir du champ hostname lorsque inter_host est vide. |
http_host |
event.idm.read_only_udm.target.resource.attribute.labels[].value |
Mappé directement à partir du champ http_host . La clé est "http_host". |
id |
event.idm.read_only_udm.metadata.product_log_id |
Mappé directement à partir du champ _id . |
identity_src |
event.idm.read_only_udm.target.application |
Mappé directement à partir du champ identity_src . |
identity_type |
event.idm.read_only_udm.extensions.auth.type |
Si identity_type est "user", correspond à "VPN". Sinon, il correspond à "MACHINE". |
if_direction |
event.idm.read_only_udm.network.direction |
Mappé directement à partir du champ if_direction , converti en majuscules. |
ifdir |
event.idm.read_only_udm.network.direction |
Mappé directement à partir du champ ifdir , converti en majuscules. |
ifname |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappé directement à partir du champ ifname . La clé est "ifname". |
IKE |
event.idm.read_only_udm.metadata.description |
Mappé directement à partir du champ IKE . |
inzone |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappé directement à partir du champ inzone . La clé est "inzone". |
industry_reference |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mappé directement à partir du champ industry_reference . La clé est "industry_reference". |
instance_id |
event.idm.read_only_udm.principal.hostname , event.idm.read_only_udm.principal.asset.hostname |
Mappé directement à partir du champ instance_id . |
inter_host |
event.idm.read_only_udm.intermediary.hostname |
Mappé directement à partir du champ inter_host . |
ip_proto |
event.idm.read_only_udm.network.ip_protocol |
Déterminé en fonction du champ proto ou service . Il peut s'agir de TCP, UDP, ICMP, IP6IN4 ou GRE. |
ipv6_dst |
event.idm.read_only_udm.target.ip , event.idm.read_only_udm.target.asset.ip |
Mappé directement à partir du champ ipv6_dst . |
ipv6_src |
event.idm.read_only_udm.principal.ip , event.idm.read_only_udm.principal.asset.ip |
Mappé directement à partir du champ ipv6_src . |
layer_name |
event.idm.read_only_udm.security_result.rule_set_display_name , event.idm.read_only_udm.security_result.detection_fields[].value |
Mappé directement à partir du champ layer_name . La clé est "nom_couche". |
layer_uuid |
event.idm.read_only_udm.security_result.rule_set , event.idm.read_only_udm.security_result.detection_fields[].value |
Mappé directement à partir du champ layer_uuid après suppression des accolades. La clé est "layer_uuid". |
layer_uuid_rule_uuid |
event.idm.read_only_udm.security_result.rule_id |
Mappé directement à partir du champ layer_uuid_rule_uuid après suppression des crochets et des guillemets. |
log_id |
event.idm.read_only_udm.metadata.product_log_id |
Mappé directement à partir du champ log_id . |
log_type |
event.idm.read_only_udm.metadata.log_type |
Mappé directement à partir du champ log_type . Code codé en dur sur "CHECKPOINT_FIREWALL". |
loguid |
event.idm.read_only_udm.metadata.product_log_id |
Mappé directement à partir du champ loguid après suppression des accolades. |
logic_changes |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappé directement à partir du champ logic_changes . La clé est "logic_changes". |
localhost |
event.idm.read_only_udm.target.hostname , event.idm.read_only_udm.target.asset.hostname |
Mappé directement à partir du champ localhost . dst_ip est défini sur "127.0.0.1". |
malware_action |
event.idm.read_only_udm.security_result.detection_fields[].value , event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value |
Mappé directement à partir du champ malware_action . La clé est "malware_action". |
malware_family |
event.idm.read_only_udm.security_result.detection_fields[].value , event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value |
Mappé directement à partir du champ malware_family . La clé est "malware_family". |
malware_rule_id |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappé directement à partir du champ malware_rule_id après suppression des accolades. La clé est "ID de règle de logiciel malveillant". |
malware_rule_name |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappé directement à partir du champ malware_rule_name . La clé est "Nom de la règle de logiciel malveillant". |
match_id |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappé directement à partir du champ match_id . La clé est "match_id". |
matched_category |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappé directement à partir du champ matched_category . La clé est "matched_category". |
message_info |
event.idm.read_only_udm.metadata.description |
Mappé directement à partir du champ message_info . |
method |
event.idm.read_only_udm.network.http.method |
Mappé directement à partir du champ method . |
mitre_execution |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mappé directement à partir du champ mitre_execution . La clé est "mitre_execution". |
mitre_initial_access |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappé directement à partir du champ mitre_initial_access . La clé est "mitre_initial_access". |
nat_rulenum |
event.idm.read_only_udm.security_result.rule_id |
Mappé directement à partir du champ nat_rulenum , converti en chaîne. |
objecttype |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappé directement à partir du champ objecttype . La clé est "objecttype". |
operation |
event.idm.read_only_udm.security_result.summary |
Mappé directement à partir du champ operation . |
operation |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappé directement à partir du champ operation . La clé est "operation". |
orig |
event.idm.read_only_udm.principal.hostname , event.idm.read_only_udm.principal.asset.hostname |
Mappé directement à partir du champ orig . |
origin |
event.idm.read_only_udm.principal.ip , event.idm.read_only_udm.principal.asset.ip , event.idm.read_only_udm.target.ip , event.idm.read_only_udm.target.asset.ip , event.idm.read_only_udm.intermediary.ip |
Mappé directement à partir du champ origin . |
origin_sic_name |
event.idm.read_only_udm.intermediary.asset_id , event.idm.read_only_udm.intermediary.labels[].value |
Mappé directement à partir du champ origin_sic_name . La clé est "Machine SIC". L'ID de l'asset est précédé du préfixe "asset:". |
originsicname |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mappé directement à partir du champ originsicname . La clé est "originsicname". |
originsicname |
event.idm.read_only_udm.intermediary.asset_id , event.idm.read_only_udm.intermediary.labels[].value |
Mappé directement à partir du champ originsicname . La clé est "Machine SIC". L'ID de l'asset est précédé du préfixe "asset:". |
os_name |
event.idm.read_only_udm.principal.asset.platform_software.platform |
Si os_name contient "Win", il est mappé sur "WINDOWS". Si elle contient "MAC" ou "IOS", elle est mappée sur "MAC". S'il contient "LINUX", il est mappé sur "LINUX". |
os_version |
event.idm.read_only_udm.principal.asset.platform_software.platform_patch_level |
Mappé directement à partir du champ os_version . |
outzone |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappé directement à partir du champ outzone . La clé est "outzone". |
packets |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mappé directement à partir du champ packets . La clé est "packets". |
packet_capture_name |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mappé directement à partir du champ packet_capture_name . La clé est "packet_capture_name". |
packet_capture_time |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mappé directement à partir du champ packet_capture_time . La clé est "packet_capture_time". |
packet_capture_unique_id |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mappé directement à partir du champ packet_capture_unique_id . La clé est "packet_capture_unique_id". |
parent_rule |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappé directement à partir du champ parent_rule . La clé est "parent_rule". |
performance_impact |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mappé directement à partir du champ performance_impact . La clé est "performance_impact". |
policy_name |
event.idm.read_only_udm.security_result.detection_fields[].value |
Extrait du champ __policy_id_tag à l'aide de grok et mappé. La clé est "Nom de la règle". |
policy_time |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappé directement à partir du champ policy_time . La clé est "policy_time". |
portal_message |
event.idm.read_only_udm.security_result.description |
Mappé directement à partir du champ portal_message . |
principal_hostname |
event.idm.read_only_udm.principal.ip , event.idm.read_only_udm.principal.asset.ip |
Mappée directement à partir du champ principal_hostname s'il s'agit d'une adresse IP valide. |
principal_hostname |
event.idm.read_only_udm.principal.hostname , event.idm.read_only_udm.principal.asset.hostname |
Mappé directement à partir du champ principal_hostname s'il ne s'agit pas d'une adresse IP valide ni de "Point de contrôle". |
prod_family_label |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mappé directement à partir du champ ProductFamily . La clé est "ProductFamily". |
product |
event.idm.read_only_udm.metadata.product_name |
Mappé directement à partir du champ product . |
product_family |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mappé directement à partir du champ product_family . La clé est "product_family". |
product_family |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mappé directement à partir du champ product_family . La clé est "product_family". |
ProductName |
event.idm.read_only_udm.metadata.product_name |
Mappé directement à partir du champ ProductName lorsque product est vide. |
product_name |
event.idm.read_only_udm.metadata.product_name |
Mappé directement à partir du champ product_name . |
profile |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappé directement à partir du champ profile . La clé est "profile". |
protocol |
event.idm.read_only_udm.network.application_protocol |
Mappé directement à partir du champ protocol s'il s'agit de "HTTP". |
proxy_src_ip |
event.idm.read_only_udm.principal.nat_ip |
Mappé directement à partir du champ proxy_src_ip . |
reason |
event.idm.read_only_udm.security_result.summary |
Mappé directement à partir du champ reason . |
received_bytes |
event.idm.read_only_udm.network.received_bytes |
Mappé directement à partir du champ received_bytes , converti en entier non signé. |
Reference |
event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value , event.idm.read_only_udm.security_result.detection_fields[].value |
Mappé directement à partir du champ Reference . La clé est "Reference". Permet de créer _vuln.name avec attack . |
reject_id_kid |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappé directement à partir du champ reject_id_kid . La clé est "reject_id_kid". |
resource |
event.idm.read_only_udm.target.url |
Analysé au format JSON et mappé sur l'URL cible. Si l'analyse échoue, elle est mappée directement. |
resource |
event.idm.read_only_udm.additional.fields[].value.list_value.values[].string_value |
Il est analysé en tant que JSON, et chaque valeur du tableau resource est ajoutée à la liste. La clé est "Resource" (Ressource). |
result |
event.idm.read_only_udm.metadata.event_timestamp |
Analysé avec date_time pour créer l'horodatage de l'événement. |
rt |
event.idm.read_only_udm.metadata.event_timestamp |
Analysé en millisecondes depuis l'epoch et converti en code temporel. |
rule |
event.idm.read_only_udm.security_result.rule_name |
Mappé directement à partir du champ rule . |
rule_action |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappé directement à partir du champ rule_action . La clé est "rule_action". |
rule_name |
event.idm.read_only_udm.security_result.rule_name |
Mappé directement à partir du champ rule_name . |
rule_uid |
event.idm.read_only_udm.security_result.rule_id |
Mappé directement à partir du champ rule_uid . |
s_port |
event.idm.read_only_udm.principal.port |
Mappé directement à partir du champ s_port , converti en entier. |
scheme |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mappé directement à partir du champ scheme . La clé est "scheme". |
security_inzone |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappé directement à partir du champ security_inzone . La clé est "security_inzone". |
security_outzone |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappé directement à partir du champ security_outzone . La clé est "security_outzone". |
security_result_action |
event.idm.read_only_udm.security_result.action |
Mappé directement à partir du champ security_result_action . |
sendtotrackerasadvancedauditlog |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappé directement à partir du champ sendtotrackerasadvancedauditlog . La clé est "sendtotrackerasadvancedauditlog". |
sent_bytes |
event.idm.read_only_udm.network.sent_bytes |
Mappé directement à partir du champ sent_bytes , converti en entier non signé. |
sequencenum |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mappé directement à partir du champ sequencenum . La clé est "sequencenum". |
ser_agent_kid |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappé directement à partir du champ ser_agent_kid . La clé est "ser_agent_kid". |
service |
event.idm.read_only_udm.target.port |
Mappé directement à partir du champ service , converti en entier. |
service_id |
event.idm.read_only_udm.network.application_protocol |
Mappé directement à partir du champ service_id s'il s'agit de "dhcp", "dns", "http", "https" ou "quic", converti en majuscules. |
service_id |
event.idm.read_only_udm.principal.application |
Mappé directement à partir du champ service_id s'il ne s'agit pas de l'un des protocoles d'application réseau. |
service_id |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappé directement à partir du champ service_id . La clé est "service_id". |
session_description |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappé directement à partir du champ session_description . La clé est "session_description". |
session_id |
event.idm.read_only_udm.network.session_id |
Mappé directement à partir du champ session_id après suppression des accolades. |
session_name |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappé directement à partir du champ session_name . La clé est "session_name". |
session_uid |
event.idm.read_only_udm.network.session_id |
Mappé directement à partir du champ session_uid après suppression des accolades. |
Severity |
event.idm.read_only_udm.security_result.severity |
Mappé sur "LOW", "MEDIUM", "HIGH" ou "CRITICAL" en fonction de la valeur de Severity . |
severity |
event.idm.read_only_udm.security_result.severity |
Mappé sur "LOW", "MEDIUM", "HIGH" ou "CRITICAL" en fonction de la valeur de severity . |
site |
event.idm.read_only_udm.network.http.user_agent |
Mappé directement à partir du champ site . |
smartdefense_profile |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappé directement à partir du champ smartdefense_profile . La clé est "smartdefense_profile". |
snid |
event.idm.read_only_udm.network.session_id |
Mappé directement à partir du champ snid s'il n'est pas vide ou s'il ne contient pas la valeur "0". |
sourceAddress |
event.idm.read_only_udm.principal.ip , event.idm.read_only_udm.principal.asset.ip |
Mappé directement à partir du champ sourceAddress . |
sourcePort |
event.idm.read_only_udm.principal.port |
Mappé directement à partir du champ sourcePort , converti en entier. |
sourceTranslatedAddress |
event.idm.read_only_udm.principal.ip , event.idm.read_only_udm.principal.asset.ip |
Mappé directement à partir du champ sourceTranslatedAddress . |
sourceTranslatedAddress |
event.idm.read_only_udm.principal.nat_ip |
Mappé directement à partir du champ sourceTranslatedAddress . |
sourceTranslatedPort |
event.idm.read_only_udm.principal.port |
Mappé directement à partir du champ sourceTranslatedPort , converti en entier. |
sourceTranslatedPort |
event.idm.read_only_udm.principal.nat_port |
Mappé directement à partir du champ sourceTranslatedPort , converti en entier. |
sourceUserName |
event.idm.read_only_udm.principal.user.userid , event.idm.read_only_udm.principal.user.first_name , event.idm.read_only_udm.principal.user.last_name |
Analyse avec grok pour extraire l'ID utilisateur, le prénom et le nom. |
spt |
event.idm.read_only_udm.principal.port |
Mappé directement à partir du champ spt , converti en entier. |
src |
event.idm.read_only_udm.principal.ip , event.idm.read_only_udm.principal.asset.ip |
Mappé directement à partir du champ src . |
src_ip |
event.idm.read_only_udm.principal.ip , event.idm.read_only_udm.principal.asset.ip |
Mappé directement à partir du champ src_ip . |
src_localhost |
event.idm.read_only_udm.principal.hostname , event.idm.read_only_udm.principal.asset.hostname |
Mappé directement à partir du champ src_localhost . src_ip est défini sur "127.0.0.1". |
src_machine_name |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappé directement à partir du champ src_machine_name . La clé est "src_machine_name". |
src_port |
event.idm.read_only_udm.principal.port |
Mappé directement à partir du champ src_port , converti en entier. |
src_user |
event.idm.read_only_udm.principal.user.userid |
Mappé directement à partir du champ src_user . |
src_user_dn |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappé directement à partir du champ src_user_dn . La clé est "src_user_dn". |
src_user_name |
event.idm.read_only_udm.principal.user.userid |
Mappé directement à partir du champ src_user_name . |
sub_policy_name |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappé directement à partir du champ sub_policy_name . La clé est "sub_policy_name". |
sub_policy_uid |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappé directement à partir du champ sub_policy_uid . La clé est "sub_policy_uid". |
subject |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappé directement à partir du champ subject . La clé est "subject". |
subscription_stat_desc |
event.idm.read_only_udm.security_result.summary |
Mappé directement à partir du champ subscription_stat_desc . |
tags |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappé directement à partir du champ tags . La clé est "tags". |
tar_user |
event.idm.read_only_udm.target.user.userid |
Mappé directement à partir du champ tar_user . |
target_port |
event.idm.read_only_udm.target.port |
Mappé directement à partir du champ target_port . |
tcp_flags |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappé directement à partir du champ tcp_flags . La clé est "tcp_flags". |
tcp_packet_out_of_state |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappé directement à partir du champ tcp_packet_out_of_state . La clé est "tcp_packet_out_of_state". |
time |
event.idm.read_only_udm.metadata.event_timestamp |
Analyse et conversion en code temporel à l'aide de différents formats de date. |
ts |
event.idm.read_only_udm.metadata.event_timestamp |
Analysé avec ds et tz pour créer le code temporel de l'événement. |
type |
event.idm.read_only_udm.security_result.rule_type |
Mappé directement à partir du champ type . |
tz |
event.idm.read_only_udm.metadata.event_timestamp |
Utilisé avec ds et ts pour créer le code temporel de l'événement. |
update_count |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappé directement à partir du champ update_count . La clé est "update_count". |
URL |
event.idm.read_only_udm.security_result.about.url |
Mappé directement à partir du champ URL . |
user |
event.idm.read_only_udm.principal.user.userid |
Mappé directement à partir du champ user . |
user_agent |
event.idm.read_only_udm.network.http.user_agent |
Mappé directement à partir du champ user_agent . Il est également analysé et mappé sur event.idm.read_only_udm.network.http.parsed_user_agent . |
userip |
event.idm.read_only_udm.principal.ip , event.idm.read_only_udm.principal.asset.ip |
Mappée directement à partir du champ userip s'il s'agit d'une adresse IP valide. |
UUid |
event.idm.read_only_udm.metadata.product_log_id |
Mappé directement à partir du champ UUid après suppression des accolades. |
version |
event.idm.read_only_udm.metadata.product_version |
Mappé directement à partir du champ version . |
web_client_type |
event.idm.read_only_udm.network.http.user_agent |
Mappé directement à partir du champ web_client_type . |
xlatedport |
event.idm.read_only_udm.target.nat_port |
Mappé directement à partir du champ xlatedport , converti en entier. |
xlatedst |
event.idm.read_only_udm.target.nat_ip |
Mappé directement à partir du champ xlatedst . |
xlatesport |
event.idm.read_only_udm.principal.nat_port |
Mappé directement à partir du champ xlatesport , converti en entier. |
xlatesrc |
event.idm.read_only_udm.principal.nat_ip |
Mappé directement à partir du champ xlatesrc . |
event.idm.read_only_udm.metadata.vendor_name |
Check Point |
Valeur codée en dur. |
event.idm.read_only_udm.metadata.log_type |
CHECKPOINT_FIREWALL |
Valeur codée en dur. |
event.idm.read_only_udm.security_result.rule_type |
Firewall Rule |
Valeur par défaut, sauf si elle est remplacée par une logique spécifique. |
event.idm.is_alert |
true |
Définissez sur "true" si le champ alert est défini sur "yes". |
has_principal |
true |
Valeur définie sur "true" lorsque l'adresse IP ou le nom d'hôte principal est extrait. |
has_target |
true |
Défini sur "true" lorsque l'adresse IP ou le nom d'hôte cible est extrait. |
Modifications
2024-05-29
- Mappage de "layer_uuid_rule_uuid" sur "security_result.rule_id".
- Mappage de "domain" sur "principal.administrative_domain".
- Mappage de "fservice", "appi_name", "app_risk" et "policy_name" sur "security_result.detection_fields".
- Mappage des champs "packets", "__id", "dedup_time", "browse_time", "bytes", "product_family", "hll_key" et "calc_service" sur "additional.fields".
- "id" a été mappé sur "metadata.product_log_id".
- Mappage de "orig_log_server" sur "principal.resource.product_object_id".
- "environment_id" a été mappé sur "target.resource.product_object_id".
- Mappage de "client_outbound_packets" et "client_inbound_packets" sur "principal.resource.attribute.labels".
- "server_outbound_bytes" et "server_inbound_bytes" ont été mappés sur "target.resource.attribute.labels".
- Mappage de "orig" sur "principal.hostname" et "principal.asset.hostname".
- Mappage de "orig_log_server_ip" sur "principal.ip" et "principal.asset.ip".
- Mappage de "proto" sur "network.ip_protocol".
2024-05-20
- Ajout d'un modèle Grok pour extraire "inter_host".
- Mappage de "inter_host" sur "intermediary.hostname".
2024-04-19
- Améliorations et correction de bugs:
- Mappage de "origin" sur "target.ip" et "target.asset.ip".
- Ajout de nouveaux modèles Grok pour analyser le nouveau format des journaux SYSLOG.
- Mappage de "smartdefense_profile", "malware_rule_id" et "malware_rule_name" sur "security_result.detection_fields".
- Mappage de "sequencenum", "description_url", "industry_reference", "mitre_execution", "packet_capture_name", "packet_capture_unique_id", "packet_capture_time" et "performance_impact" sur "additional.fields".
- Mappage de "version" sur "metadata.product_version".
- "http_host" a été mappé sur "target.resource.attribute.labels".
- "log_id" a été mappé sur "metadata.product_log_id".
- Mappage de "user_agent" sur "network.http.user_agent" et "http.parsed_user_agent".
- Mappage de "hostname", "dvc" et "principal_hostname" sur "target.hostname" et "target.asset.hostname".
- Si "has_principal" est défini sur "true", "has_target" sur "true" et "Action"/"action" sur "Log In" (Connexion), "Failed Log In" (Connexion échouée), "Failed Login" (Connexion échouée) ou "Update" (Mise à jour), définissez "metadata.event_type" sur "USER_LOGIN" et "extensions.auth.type" sur "AUTHTYPE_UNSPECIFIED".
- Si "has_principal" est "true", "has_target" est "true" et "Action"/"act"/"event_type" est "Déconnexion" ou "Logout", définissez "metadata.event_type" sur "USER_LOGOUT" et "extensions.auth.type" sur "AUTHTYPE_UNSPECIFIED".
- Si "has_principal" est défini sur "true" et que "has_target" est défini sur "true", définissez "metadata.event_type" sur "NETWORK_CONNECTION".
- Si "has_principal" est "true" et que "has_target" est "false", définissez "metadata.event_type" sur "STATUS_UPDATE".
2024-02-07
- Ajout d'un mappage pour les champs suivants:
- "protection_id", "malware_action", "malware_family,protection_name" et "protection_type" ont été mappés sur "security_result.detection_fields".
- Mappage de "confidence_level" sur "security_result.confidence" et "security_result.confidence_details".
2024-02-05
- Ajout d'un mappage pour les champs suivants:
- Mappage de "method" sur "network.http.method".
2024-01-24
- Ajout d'un mappage pour les champs suivants:
- Mappage de "method" sur "network.http.method".
- Mappage de "durée" sur "network.session_duration.seconds".
- Mappage de "additional_info" sur "security_result.description".
- Mappage de "operation" sur "security_result.summary".
- Mappage de "subject" sur "metadata.description".
- "principal_hostname" a été mappé sur "intermediary.hostname".
- "tcp_packet_out_of_state", "aggregated_log_count", "connection_count", "appi_name", "src_user_dn",
- "update_count", "additional_info", "administrator", "operation", "sendtotrackerasadvancedauditlog",
- "subject", "fieldschanges", "logic_changes", "objecttype", "session_description",
- "session_name" à "security_result.detection_fields".
2023-12-27
- Ajout d'un mappage pour les champs suivants:
- Mappage des "indicateurs" sur "security_result.detection_fields".
- Mappage de "tcp_flags" sur "security_result.detection_fields".
- "tcp_packet_out_of_state" a été mappé sur "security_result.detection_fields".
2023-12-11
- Si "principal_hostname" est une adresse IP valide, mappez-la sur "principal.ip".
- Si "principal_hostname" n'est pas une adresse IP valide, mappez-le sur "principal.hostname".
- Mappage de "sport_svc" sur "principal.port".
- Mappage de "ProductFamily" sur "additional.fields".
- Mappage de "mitre_initial_access" sur "security_result.detection_fields".
- Mappage de "policy_time" sur "security_result.detection_fields".
- Mappage de "profile" sur "security_result.detection_fields".
- Mappage de "reject_id_kid" sur "security_result.detection_fields".
- Mappage de "ser_agent_kid" sur "security_result.detection_fields".
2023-10-11
- Si "product" est "New Anti Virus" (Nouveau logiciel antivirus), la mise en correspondance de "firewall management node" (Nœud de gestion du pare-feu) avec "principal.hostname" est supprimée et remplacée par "security_result.detection_fields".
2023-07-06
- Ajout d'un mappage pour les champs suivants:
- "app_category" a été mappé sur "security_result.category_details".
- Mappage de "matched_category" sur "security_result.detection_fields".
- Mappage de "app_properties" sur "security_result.detection_fields".
2023-06-14
- Ajout du mappage pour les champs suivants
- Mappage de "conn_direction" sur "additional.fields".
- Modification des gsub afin de ne pas remplacer le ":" par "=" à partir des valeurs réelles.
2023-05-12
- Ajout du mappage pour les champs suivants
- "rule_name" a été mappé sur "security_result.rule_name".
- Mappage de "rule","sub_policy_name","sub_policy_uid","smartdefense_profile","tags" et "flexString2" sur "security_result.detection_fields".
- Ajout d'un nouveau format Grok pour prendre en charge les nouveaux formats de journaux.
- "dvc" a été mappé sur "intermediary.hostname".
- "hostname" a été mappé sur "intermediary.hostname".
- Mappage de "origin_sic_name" sur "intermediary.asset_id".
- Mappage de "conn_direction" sur "network.ip_protocol".
- Mappage de "ifname" sur "security_result.detection_fields".
- Mappage de "security_inzone" sur "security_result.detection_fields".
- "match_id" a été mappé sur "security_result.detection_fields".
- Mappage de "parent_rule" sur "security_result.detection_fields".
- Mappage de "security_outzone" sur "security_result.detection_fields".
- "sub_policy_name" a été mappé sur "security_result.detection_fields".
- Mappage de "sub_policy_uid" sur "security_result.detection_fields".
- Mappage de "drop_reason" sur "security_result.summary".
- Mappage de "reason" sur "security_result.summary".
- Mappage de "xlatesport" sur "principal.nat_port".
- Mappage de "xlatedport" sur "target.nat_port".
- Mappage de "ipv6_dst" sur "target.ip".
- Mappage de "ipv6_src" sur "principal.ip".
2023-04-24
- Prise en charge des journaux au format CEF.
2022-11-18
- Modification du mappage de "service" et mappage sur "target.port".
2022-10-27
- Ajout d'une vérification conditionnelle pour "attack", "attack_info" et "policy_name".
- Ajout d'un modèle Grok pour récupérer "principal_hostname".
- Ajout de gsub pour remplacer "=" par ":".
- Modification du mappage de "service" et mappage sur "target.resource.attribute.labels".
2022-10-13
- Mappage du champ "fw_subproduct" sur "metadata.product_name".
- Ajout d'un modèle Grok pour extraire l'adresse IP du champ "src".
2022-08-30
- Fusion des modifications apportées aux versions spécifiques au client avec les valeurs par défaut.
- Récupération des journaux contenant "*****" dans UserCheck.
2022-08-18
- Mappage de "portal_message" sur "security_result.description".
- "security_result.category" a été mappé sur "SOFTWARE_MALICIOUS" si "portal_message" contient les mots clés "logiciel malveillant/malveillant".
- "URL" a été mappée sur "security_result.about.url".
- "Activité" a été mappée sur "security_result.summary".
- "Référence" a été mappée sur "security_result.about.resource.attribute.labels".
- Modification de "event_type" de "GENERIC_EVENT" à "STATUS_UPDATE" en répliquant la valeur de "intermediary.ip" à "principal.ip".
2022-08-12
- Mappage de "malware_action", "malware_family,protection_name" et "protection_type" sur "security_result.about.resource.attribute.labels".
- "src_machine_name" a été mappé sur "security_result.detection_fields".
2022-06-30
- "message_info" a été mappé sur "metadata.description".
2022-06-17
- Ajout de vérifications conditionnelles pour les champs "nat_rulenum", "rule", "sent_bytes", "received_bytes", "s_port" et "service".
- Modification de event_types dans les cas suivants:
- "GENERIC_EVENT" à "NETWORK_CONNECTION", où "principal.ip ou principal.hostname" et "target.ip ou target.hostname" ne sont pas nuls.
- "GENERIC_EVENT" à "STATUS_UNCATEGORIZED", où "principal.ip" ou "principal.hostname" n'est pas nul.
2022-06-14
- Modification de l'analyseur pour analyser davantage de journaux en supprimant la vérification de la condition pour passwd.
2022-06-07
- Mappage de src_machine_name sur security_result.detection_fields.
2022-05-19
- Mappage de inzone, outzone, layer_name, layer_uuid et policy_name sur security_result.detection_fields.
- Mapper service_id sur principal.application.