Collecter les journaux de pare-feu Check Point

Compatible avec:

Cet analyseur extrait les journaux du pare-feu Check Point. Il gère les messages au format CEF et non CEF, y compris les messages syslog, les paires clé-valeur et le format JSON. Il normalise les champs, les met en correspondance avec l'UDM et exécute une logique spécifique pour la connexion/déconnexion, les connexions réseau et les événements de sécurité. Il enrichit les données d'informations contextuelles telles que la géolocalisation et les renseignements sur les menaces.

Avant de commencer

  • Assurez-vous de disposer d'une instance Google Security Operations.
  • Assurez-vous d'utiliser Windows 2016 ou une version ultérieure, ou un hôte Linux avec systemd.
  • Si vous exécutez l'application derrière un proxy, assurez-vous que les ports du pare-feu sont ouverts.
  • Assurez-vous de disposer d'un accès privilégié à un pare-feu Check Point.

Obtenir le fichier d'authentification d'ingestion Google SecOps

  1. Connectez-vous à la console Google SecOps.
  2. Accédez à Paramètres du SIEM > Agents de collecte.
  3. Téléchargez le fichier d'authentification d'ingestion.

Obtenir le numéro client Google SecOps

  1. Connectez-vous à la console Google SecOps.
  2. Accédez à Paramètres du SIEM > Profil.
  3. Copiez et sauvegardez l'ID client dans la section Détails de l'organisation.

Installer l'agent BindPlane

  1. Pour l'installation sous Windows, exécutez le script suivant:
    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
  2. Pour l'installation Linux, exécutez le script suivant:
    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
  3. Pour en savoir plus sur les options d'installation, consultez ce guide d'installation.

Configurer l'agent BindPlane pour ingérer Syslog et l'envoyer à Google SecOps

  1. Accédez à la machine sur laquelle BindPlane est installé.
  2. Modifiez le fichier config.yaml comme suit :

    receivers:
        udplog:
            # Replace the below port <54525> and IP <0.0.0.0> with your specific values
            listen_address: "0.0.0.0:54525" 
    
    exporters:
        chronicle/chronicle_w_labels:
            compression: gzip
            # Adjust the creds location below according the placement of the credentials file you downloaded
            creds: '{ json file for creds }'
            # Replace <customer_id> below with your actual ID that you copied
            customer_id: <customer_id>
            endpoint: malachiteingestion-pa.googleapis.com
            # You can apply ingestion labels below as preferred
            ingestion_labels:
            log_type: SYSLOG
            namespace: Checkpoint_Firewall
            raw_log_field: body
    service:
        pipelines:
            logs/source0__chronicle_w_labels-0:
                receivers:
                    - udplog
                exporters:
                    - chronicle/chronicle_w_labels
    
  3. Redémarrez l'agent BindPlane pour appliquer les modifications:

    sudo systemctl restart bindplane
    

Configurer l'exportation Syslog dans un pare-feu Check Point

  1. Connectez-vous à l'interface utilisateur du pare-feu Check Point à l'aide d'un compte privilégié.
  2. Accédez à Journaux et surveillance > Serveurs de journaux.
  3. Accédez à Syslog Servers (Serveurs Syslog).
  4. Cliquez sur Configurer, puis définissez les valeurs suivantes :
    • Protocole: sélectionnez UDP pour envoyer des journaux de sécurité et/ou des journaux système.
    • Nom: indiquez un nom unique (par exemple, "Bindplane_Server").
    • Adresse IP: indiquez l'adresse IP de votre serveur syslog (adresse IP de Bindplane).
    • Port: indiquez le port de votre serveur syslog (port Bindplane).
  5. Sélectionnez Enable log server (Activer le serveur de journaux).
  6. Sélectionnez les journaux à transférer: Journaux système et de sécurité.
  7. Cliquez sur Appliquer.

Tableau de mappage UDM

Champ de journal Mappage UDM Logique
Action event.idm.read_only_udm.security_result.action_details Mappé directement à partir du champ Action.
Activity event.idm.read_only_udm.security_result.summary Mappé directement à partir du champ Activity.
additional_info event.idm.read_only_udm.security_result.description Mappé directement à partir du champ additional_info.
administrator event.idm.read_only_udm.security_result.detection_fields[].value Mappé directement à partir du champ administrator. La clé est "administrator".
aggregated_log_count event.idm.read_only_udm.security_result.detection_fields[].value Mappé directement à partir du champ aggregated_log_count. La clé est "aggregated_log_count".
appi_name event.idm.read_only_udm.security_result.detection_fields[].value Mappé directement à partir du champ appi_name. La clé est "appi_name".
app_category event.idm.read_only_udm.security_result.category_details Mappé directement à partir du champ app_category.
app_properties event.idm.read_only_udm.security_result.detection_fields[].value Mappé directement à partir du champ app_properties. La clé est "app_properties".
app_risk event.idm.read_only_udm.security_result.detection_fields[].value Mappé directement à partir du champ app_risk. La clé est "app_risk".
app_session_id event.idm.read_only_udm.network.session_id Mappé directement à partir du champ app_session_id, converti en chaîne.
attack event.idm.read_only_udm.security_result.summary Mappé directement à partir du champ attack lorsque Info est présent.
attack event.idm.read_only_udm.security_result.threat_name Mappé directement à partir du champ attack lorsque Info est présent.
attack_info event.idm.read_only_udm.security_result.description Mappé directement à partir du champ attack_info.
auth_status event.idm.read_only_udm.security_result.summary Mappé directement à partir du champ auth_status.
browse_time event.idm.read_only_udm.additional.fields[].value.string_value Mappé directement à partir du champ browse_time. La clé est "browse_time".
bytes event.idm.read_only_udm.additional.fields[].value.string_value Mappé directement à partir du champ bytes. La clé est "octets".
bytes event.idm.read_only_udm.additional.fields[].value.string_value Mappé directement à partir du champ bytes. La clé est "octets".
calc_service event.idm.read_only_udm.additional.fields[].value.string_value Mappé directement à partir du champ calc_service. La clé est "calc_service".
category event.idm.read_only_udm.security_result.category_details Mappé directement à partir du champ category.
client_version event.idm.read_only_udm.intermediary.platform_version Mappé directement à partir du champ client_version.
conn_direction event.idm.read_only_udm.additional.fields[].value.string_value Mappé directement à partir du champ conn_direction. La clé est "conn_direction".
conn_direction event.idm.read_only_udm.network.direction Si conn_direction est "Incoming" (Entrants), la valeur est mappée sur "INBOUND". Sinon, il est mappé sur "SORTANT".
connection_count event.idm.read_only_udm.security_result.detection_fields[].value Mappé directement à partir du champ connection_count. La clé est "connection_count".
contract_name event.idm.read_only_udm.security_result.description Mappé directement à partir du champ contract_name.
cs2 event.idm.read_only_udm.security_result.rule_name Mappé directement à partir du champ cs2.
date_time event.idm.read_only_udm.metadata.event_timestamp Analyse et conversion en code temporel à l'aide de différents formats de date.
dedup_time event.idm.read_only_udm.additional.fields[].value.string_value Mappé directement à partir du champ dedup_time. La clé est "dedup_time".
desc event.idm.read_only_udm.security_result.summary Mappé directement à partir du champ desc.
description event.idm.read_only_udm.security_result.description Mappé directement à partir du champ description.
description_url event.idm.read_only_udm.additional.fields[].value.string_value Mappé directement à partir du champ description_url. La clé est "description_url".
destinationAddress event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip Mappé directement à partir du champ destinationAddress.
destinationPort event.idm.read_only_udm.target.port Mappé directement à partir du champ destinationPort, converti en entier.
destinationTranslatedAddress event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip Mappé directement à partir du champ destinationTranslatedAddress.
destinationTranslatedAddress event.idm.read_only_udm.target.nat_ip Mappé directement à partir du champ destinationTranslatedAddress.
destinationTranslatedPort event.idm.read_only_udm.target.port Mappé directement à partir du champ destinationTranslatedPort, converti en entier.
destinationTranslatedPort event.idm.read_only_udm.target.nat_port Mappé directement à partir du champ destinationTranslatedPort, converti en entier.
deviceCustomString2 event.idm.read_only_udm.security_result.rule_name Mappé directement à partir du champ deviceCustomString2.
deviceDirection event.idm.read_only_udm.network.direction Si deviceDirection est égal à 0, correspond à "SORTANT". Si la valeur est 1, correspond à "INBOUND".
domain event.idm.read_only_udm.principal.administrative_domain Mappé directement à partir du champ domain.
domain_name event.idm.read_only_udm.principal.administrative_domain Mappé directement à partir du champ domain_name.
drop_reason event.idm.read_only_udm.security_result.summary Mappé directement à partir du champ drop_reason.
ds event.idm.read_only_udm.metadata.event_timestamp Utilisé avec ts et tz pour créer le code temporel de l'événement.
dst event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip Mappé directement à partir du champ dst.
dst_country event.idm.read_only_udm.target.location.country_or_region Mappé directement à partir du champ dst_country.
dst_ip event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip Mappé directement à partir du champ dst_ip.
dpt event.idm.read_only_udm.target.port Mappé directement à partir du champ dpt, converti en entier.
duration event.idm.read_only_udm.network.session_duration.seconds Mappé directement à partir du champ duration, converti en entier, s'il est supérieur à 0.
duser event.idm.read_only_udm.target.user.email_addresses, event.idm.read_only_udm.target.user.user_display_name Mappé directement à partir du champ duser s'il correspond à un format d'adresse e-mail.
environment_id event.idm.read_only_udm.target.resource.product_object_id Mappé directement à partir du champ environment_id.
event_type event.idm.read_only_udm.metadata.event_type Déterminé par une logique basée sur la présence de certains champs et valeurs. La valeur par défaut est GENERIC_EVENT si aucun type d'événement spécifique n'est identifié. Il peut s'agir de NETWORK_CONNECTION, USER_LOGIN, USER_CHANGE_PASSWORD, USER_LOGOUT, NETWORK_HTTP ou STATUS_UPDATE.
fieldschanges event.idm.read_only_udm.security_result.detection_fields[].value Mappé directement à partir du champ fieldschanges. La clé est "fieldschanges".
flags event.idm.read_only_udm.security_result.detection_fields[].value Mappé directement à partir du champ flags. La clé est "flags".
flexString2 event.idm.read_only_udm.security_result.detection_fields[].value Mappé directement à partir du champ flexString2. La clé correspond à la valeur de flexString2Label.
from_user event.idm.read_only_udm.principal.user.userid Mappé directement à partir du champ from_user.
fservice event.idm.read_only_udm.security_result.detection_fields[].value Mappé directement à partir du champ fservice. La clé est "fservice".
fw_subproduct event.idm.read_only_udm.metadata.product_name Mappé directement à partir du champ fw_subproduct lorsque product est vide.
geoip_dst.country_name event.idm.read_only_udm.target.location.country_or_region Mappé directement à partir du champ geoip_dst.country_name.
hll_key event.idm.read_only_udm.additional.fields[].value.string_value Mappé directement à partir du champ hll_key. La clé est "hll_key".
hostname event.idm.read_only_udm.target.hostname, event.idm.read_only_udm.target.asset.hostname, event.idm.read_only_udm.intermediary.hostname Mappé directement à partir du champ hostname lorsque inter_host est vide.
http_host event.idm.read_only_udm.target.resource.attribute.labels[].value Mappé directement à partir du champ http_host. La clé est "http_host".
id event.idm.read_only_udm.metadata.product_log_id Mappé directement à partir du champ _id.
identity_src event.idm.read_only_udm.target.application Mappé directement à partir du champ identity_src.
identity_type event.idm.read_only_udm.extensions.auth.type Si identity_type est "user", correspond à "VPN". Sinon, il correspond à "MACHINE".
if_direction event.idm.read_only_udm.network.direction Mappé directement à partir du champ if_direction, converti en majuscules.
ifdir event.idm.read_only_udm.network.direction Mappé directement à partir du champ ifdir, converti en majuscules.
ifname event.idm.read_only_udm.security_result.detection_fields[].value Mappé directement à partir du champ ifname. La clé est "ifname".
IKE event.idm.read_only_udm.metadata.description Mappé directement à partir du champ IKE.
inzone event.idm.read_only_udm.security_result.detection_fields[].value Mappé directement à partir du champ inzone. La clé est "inzone".
industry_reference event.idm.read_only_udm.additional.fields[].value.string_value Mappé directement à partir du champ industry_reference. La clé est "industry_reference".
instance_id event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname Mappé directement à partir du champ instance_id.
inter_host event.idm.read_only_udm.intermediary.hostname Mappé directement à partir du champ inter_host.
ip_proto event.idm.read_only_udm.network.ip_protocol Déterminé en fonction du champ proto ou service. Il peut s'agir de TCP, UDP, ICMP, IP6IN4 ou GRE.
ipv6_dst event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip Mappé directement à partir du champ ipv6_dst.
ipv6_src event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip Mappé directement à partir du champ ipv6_src.
layer_name event.idm.read_only_udm.security_result.rule_set_display_name, event.idm.read_only_udm.security_result.detection_fields[].value Mappé directement à partir du champ layer_name. La clé est "nom_couche".
layer_uuid event.idm.read_only_udm.security_result.rule_set, event.idm.read_only_udm.security_result.detection_fields[].value Mappé directement à partir du champ layer_uuid après suppression des accolades. La clé est "layer_uuid".
layer_uuid_rule_uuid event.idm.read_only_udm.security_result.rule_id Mappé directement à partir du champ layer_uuid_rule_uuid après suppression des crochets et des guillemets.
log_id event.idm.read_only_udm.metadata.product_log_id Mappé directement à partir du champ log_id.
log_type event.idm.read_only_udm.metadata.log_type Mappé directement à partir du champ log_type. Code codé en dur sur "CHECKPOINT_FIREWALL".
loguid event.idm.read_only_udm.metadata.product_log_id Mappé directement à partir du champ loguid après suppression des accolades.
logic_changes event.idm.read_only_udm.security_result.detection_fields[].value Mappé directement à partir du champ logic_changes. La clé est "logic_changes".
localhost event.idm.read_only_udm.target.hostname, event.idm.read_only_udm.target.asset.hostname Mappé directement à partir du champ localhost. dst_ip est défini sur "127.0.0.1".
malware_action event.idm.read_only_udm.security_result.detection_fields[].value, event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value Mappé directement à partir du champ malware_action. La clé est "malware_action".
malware_family event.idm.read_only_udm.security_result.detection_fields[].value, event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value Mappé directement à partir du champ malware_family. La clé est "malware_family".
malware_rule_id event.idm.read_only_udm.security_result.detection_fields[].value Mappé directement à partir du champ malware_rule_id après suppression des accolades. La clé est "ID de règle de logiciel malveillant".
malware_rule_name event.idm.read_only_udm.security_result.detection_fields[].value Mappé directement à partir du champ malware_rule_name. La clé est "Nom de la règle de logiciel malveillant".
match_id event.idm.read_only_udm.security_result.detection_fields[].value Mappé directement à partir du champ match_id. La clé est "match_id".
matched_category event.idm.read_only_udm.security_result.detection_fields[].value Mappé directement à partir du champ matched_category. La clé est "matched_category".
message_info event.idm.read_only_udm.metadata.description Mappé directement à partir du champ message_info.
method event.idm.read_only_udm.network.http.method Mappé directement à partir du champ method.
mitre_execution event.idm.read_only_udm.additional.fields[].value.string_value Mappé directement à partir du champ mitre_execution. La clé est "mitre_execution".
mitre_initial_access event.idm.read_only_udm.security_result.detection_fields[].value Mappé directement à partir du champ mitre_initial_access. La clé est "mitre_initial_access".
nat_rulenum event.idm.read_only_udm.security_result.rule_id Mappé directement à partir du champ nat_rulenum, converti en chaîne.
objecttype event.idm.read_only_udm.security_result.detection_fields[].value Mappé directement à partir du champ objecttype. La clé est "objecttype".
operation event.idm.read_only_udm.security_result.summary Mappé directement à partir du champ operation.
operation event.idm.read_only_udm.security_result.detection_fields[].value Mappé directement à partir du champ operation. La clé est "operation".
orig event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname Mappé directement à partir du champ orig.
origin event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip, event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip, event.idm.read_only_udm.intermediary.ip Mappé directement à partir du champ origin.
origin_sic_name event.idm.read_only_udm.intermediary.asset_id, event.idm.read_only_udm.intermediary.labels[].value Mappé directement à partir du champ origin_sic_name. La clé est "Machine SIC". L'ID de l'asset est précédé du préfixe "asset:".
originsicname event.idm.read_only_udm.additional.fields[].value.string_value Mappé directement à partir du champ originsicname. La clé est "originsicname".
originsicname event.idm.read_only_udm.intermediary.asset_id, event.idm.read_only_udm.intermediary.labels[].value Mappé directement à partir du champ originsicname. La clé est "Machine SIC". L'ID de l'asset est précédé du préfixe "asset:".
os_name event.idm.read_only_udm.principal.asset.platform_software.platform Si os_name contient "Win", il est mappé sur "WINDOWS". Si elle contient "MAC" ou "IOS", elle est mappée sur "MAC". S'il contient "LINUX", il est mappé sur "LINUX".
os_version event.idm.read_only_udm.principal.asset.platform_software.platform_patch_level Mappé directement à partir du champ os_version.
outzone event.idm.read_only_udm.security_result.detection_fields[].value Mappé directement à partir du champ outzone. La clé est "outzone".
packets event.idm.read_only_udm.additional.fields[].value.string_value Mappé directement à partir du champ packets. La clé est "packets".
packet_capture_name event.idm.read_only_udm.additional.fields[].value.string_value Mappé directement à partir du champ packet_capture_name. La clé est "packet_capture_name".
packet_capture_time event.idm.read_only_udm.additional.fields[].value.string_value Mappé directement à partir du champ packet_capture_time. La clé est "packet_capture_time".
packet_capture_unique_id event.idm.read_only_udm.additional.fields[].value.string_value Mappé directement à partir du champ packet_capture_unique_id. La clé est "packet_capture_unique_id".
parent_rule event.idm.read_only_udm.security_result.detection_fields[].value Mappé directement à partir du champ parent_rule. La clé est "parent_rule".
performance_impact event.idm.read_only_udm.additional.fields[].value.string_value Mappé directement à partir du champ performance_impact. La clé est "performance_impact".
policy_name event.idm.read_only_udm.security_result.detection_fields[].value Extrait du champ __policy_id_tag à l'aide de grok et mappé. La clé est "Nom de la règle".
policy_time event.idm.read_only_udm.security_result.detection_fields[].value Mappé directement à partir du champ policy_time. La clé est "policy_time".
portal_message event.idm.read_only_udm.security_result.description Mappé directement à partir du champ portal_message.
principal_hostname event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip Mappée directement à partir du champ principal_hostname s'il s'agit d'une adresse IP valide.
principal_hostname event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname Mappé directement à partir du champ principal_hostname s'il ne s'agit pas d'une adresse IP valide ni de "Point de contrôle".
prod_family_label event.idm.read_only_udm.additional.fields[].value.string_value Mappé directement à partir du champ ProductFamily. La clé est "ProductFamily".
product event.idm.read_only_udm.metadata.product_name Mappé directement à partir du champ product.
product_family event.idm.read_only_udm.additional.fields[].value.string_value Mappé directement à partir du champ product_family. La clé est "product_family".
product_family event.idm.read_only_udm.additional.fields[].value.string_value Mappé directement à partir du champ product_family. La clé est "product_family".
ProductName event.idm.read_only_udm.metadata.product_name Mappé directement à partir du champ ProductName lorsque product est vide.
product_name event.idm.read_only_udm.metadata.product_name Mappé directement à partir du champ product_name.
profile event.idm.read_only_udm.security_result.detection_fields[].value Mappé directement à partir du champ profile. La clé est "profile".
protocol event.idm.read_only_udm.network.application_protocol Mappé directement à partir du champ protocol s'il s'agit de "HTTP".
proxy_src_ip event.idm.read_only_udm.principal.nat_ip Mappé directement à partir du champ proxy_src_ip.
reason event.idm.read_only_udm.security_result.summary Mappé directement à partir du champ reason.
received_bytes event.idm.read_only_udm.network.received_bytes Mappé directement à partir du champ received_bytes, converti en entier non signé.
Reference event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value, event.idm.read_only_udm.security_result.detection_fields[].value Mappé directement à partir du champ Reference. La clé est "Reference". Permet de créer _vuln.name avec attack.
reject_id_kid event.idm.read_only_udm.security_result.detection_fields[].value Mappé directement à partir du champ reject_id_kid. La clé est "reject_id_kid".
resource event.idm.read_only_udm.target.url Analysé au format JSON et mappé sur l'URL cible. Si l'analyse échoue, elle est mappée directement.
resource event.idm.read_only_udm.additional.fields[].value.list_value.values[].string_value Il est analysé en tant que JSON, et chaque valeur du tableau resource est ajoutée à la liste. La clé est "Resource" (Ressource).
result event.idm.read_only_udm.metadata.event_timestamp Analysé avec date_time pour créer l'horodatage de l'événement.
rt event.idm.read_only_udm.metadata.event_timestamp Analysé en millisecondes depuis l'epoch et converti en code temporel.
rule event.idm.read_only_udm.security_result.rule_name Mappé directement à partir du champ rule.
rule_action event.idm.read_only_udm.security_result.detection_fields[].value Mappé directement à partir du champ rule_action. La clé est "rule_action".
rule_name event.idm.read_only_udm.security_result.rule_name Mappé directement à partir du champ rule_name.
rule_uid event.idm.read_only_udm.security_result.rule_id Mappé directement à partir du champ rule_uid.
s_port event.idm.read_only_udm.principal.port Mappé directement à partir du champ s_port, converti en entier.
scheme event.idm.read_only_udm.additional.fields[].value.string_value Mappé directement à partir du champ scheme. La clé est "scheme".
security_inzone event.idm.read_only_udm.security_result.detection_fields[].value Mappé directement à partir du champ security_inzone. La clé est "security_inzone".
security_outzone event.idm.read_only_udm.security_result.detection_fields[].value Mappé directement à partir du champ security_outzone. La clé est "security_outzone".
security_result_action event.idm.read_only_udm.security_result.action Mappé directement à partir du champ security_result_action.
sendtotrackerasadvancedauditlog event.idm.read_only_udm.security_result.detection_fields[].value Mappé directement à partir du champ sendtotrackerasadvancedauditlog. La clé est "sendtotrackerasadvancedauditlog".
sent_bytes event.idm.read_only_udm.network.sent_bytes Mappé directement à partir du champ sent_bytes, converti en entier non signé.
sequencenum event.idm.read_only_udm.additional.fields[].value.string_value Mappé directement à partir du champ sequencenum. La clé est "sequencenum".
ser_agent_kid event.idm.read_only_udm.security_result.detection_fields[].value Mappé directement à partir du champ ser_agent_kid. La clé est "ser_agent_kid".
service event.idm.read_only_udm.target.port Mappé directement à partir du champ service, converti en entier.
service_id event.idm.read_only_udm.network.application_protocol Mappé directement à partir du champ service_id s'il s'agit de "dhcp", "dns", "http", "https" ou "quic", converti en majuscules.
service_id event.idm.read_only_udm.principal.application Mappé directement à partir du champ service_id s'il ne s'agit pas de l'un des protocoles d'application réseau.
service_id event.idm.read_only_udm.security_result.detection_fields[].value Mappé directement à partir du champ service_id. La clé est "service_id".
session_description event.idm.read_only_udm.security_result.detection_fields[].value Mappé directement à partir du champ session_description. La clé est "session_description".
session_id event.idm.read_only_udm.network.session_id Mappé directement à partir du champ session_id après suppression des accolades.
session_name event.idm.read_only_udm.security_result.detection_fields[].value Mappé directement à partir du champ session_name. La clé est "session_name".
session_uid event.idm.read_only_udm.network.session_id Mappé directement à partir du champ session_uid après suppression des accolades.
Severity event.idm.read_only_udm.security_result.severity Mappé sur "LOW", "MEDIUM", "HIGH" ou "CRITICAL" en fonction de la valeur de Severity.
severity event.idm.read_only_udm.security_result.severity Mappé sur "LOW", "MEDIUM", "HIGH" ou "CRITICAL" en fonction de la valeur de severity.
site event.idm.read_only_udm.network.http.user_agent Mappé directement à partir du champ site.
smartdefense_profile event.idm.read_only_udm.security_result.detection_fields[].value Mappé directement à partir du champ smartdefense_profile. La clé est "smartdefense_profile".
snid event.idm.read_only_udm.network.session_id Mappé directement à partir du champ snid s'il n'est pas vide ou s'il ne contient pas la valeur "0".
sourceAddress event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip Mappé directement à partir du champ sourceAddress.
sourcePort event.idm.read_only_udm.principal.port Mappé directement à partir du champ sourcePort, converti en entier.
sourceTranslatedAddress event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip Mappé directement à partir du champ sourceTranslatedAddress.
sourceTranslatedAddress event.idm.read_only_udm.principal.nat_ip Mappé directement à partir du champ sourceTranslatedAddress.
sourceTranslatedPort event.idm.read_only_udm.principal.port Mappé directement à partir du champ sourceTranslatedPort, converti en entier.
sourceTranslatedPort event.idm.read_only_udm.principal.nat_port Mappé directement à partir du champ sourceTranslatedPort, converti en entier.
sourceUserName event.idm.read_only_udm.principal.user.userid, event.idm.read_only_udm.principal.user.first_name, event.idm.read_only_udm.principal.user.last_name Analyse avec grok pour extraire l'ID utilisateur, le prénom et le nom.
spt event.idm.read_only_udm.principal.port Mappé directement à partir du champ spt, converti en entier.
src event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip Mappé directement à partir du champ src.
src_ip event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip Mappé directement à partir du champ src_ip.
src_localhost event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname Mappé directement à partir du champ src_localhost. src_ip est défini sur "127.0.0.1".
src_machine_name event.idm.read_only_udm.security_result.detection_fields[].value Mappé directement à partir du champ src_machine_name. La clé est "src_machine_name".
src_port event.idm.read_only_udm.principal.port Mappé directement à partir du champ src_port, converti en entier.
src_user event.idm.read_only_udm.principal.user.userid Mappé directement à partir du champ src_user.
src_user_dn event.idm.read_only_udm.security_result.detection_fields[].value Mappé directement à partir du champ src_user_dn. La clé est "src_user_dn".
src_user_name event.idm.read_only_udm.principal.user.userid Mappé directement à partir du champ src_user_name.
sub_policy_name event.idm.read_only_udm.security_result.detection_fields[].value Mappé directement à partir du champ sub_policy_name. La clé est "sub_policy_name".
sub_policy_uid event.idm.read_only_udm.security_result.detection_fields[].value Mappé directement à partir du champ sub_policy_uid. La clé est "sub_policy_uid".
subject event.idm.read_only_udm.security_result.detection_fields[].value Mappé directement à partir du champ subject. La clé est "subject".
subscription_stat_desc event.idm.read_only_udm.security_result.summary Mappé directement à partir du champ subscription_stat_desc.
tags event.idm.read_only_udm.security_result.detection_fields[].value Mappé directement à partir du champ tags. La clé est "tags".
tar_user event.idm.read_only_udm.target.user.userid Mappé directement à partir du champ tar_user.
target_port event.idm.read_only_udm.target.port Mappé directement à partir du champ target_port.
tcp_flags event.idm.read_only_udm.security_result.detection_fields[].value Mappé directement à partir du champ tcp_flags. La clé est "tcp_flags".
tcp_packet_out_of_state event.idm.read_only_udm.security_result.detection_fields[].value Mappé directement à partir du champ tcp_packet_out_of_state. La clé est "tcp_packet_out_of_state".
time event.idm.read_only_udm.metadata.event_timestamp Analyse et conversion en code temporel à l'aide de différents formats de date.
ts event.idm.read_only_udm.metadata.event_timestamp Analysé avec ds et tz pour créer le code temporel de l'événement.
type event.idm.read_only_udm.security_result.rule_type Mappé directement à partir du champ type.
tz event.idm.read_only_udm.metadata.event_timestamp Utilisé avec ds et ts pour créer le code temporel de l'événement.
update_count event.idm.read_only_udm.security_result.detection_fields[].value Mappé directement à partir du champ update_count. La clé est "update_count".
URL event.idm.read_only_udm.security_result.about.url Mappé directement à partir du champ URL.
user event.idm.read_only_udm.principal.user.userid Mappé directement à partir du champ user.
user_agent event.idm.read_only_udm.network.http.user_agent Mappé directement à partir du champ user_agent. Il est également analysé et mappé sur event.idm.read_only_udm.network.http.parsed_user_agent.
userip event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip Mappée directement à partir du champ userip s'il s'agit d'une adresse IP valide.
UUid event.idm.read_only_udm.metadata.product_log_id Mappé directement à partir du champ UUid après suppression des accolades.
version event.idm.read_only_udm.metadata.product_version Mappé directement à partir du champ version.
web_client_type event.idm.read_only_udm.network.http.user_agent Mappé directement à partir du champ web_client_type.
xlatedport event.idm.read_only_udm.target.nat_port Mappé directement à partir du champ xlatedport, converti en entier.
xlatedst event.idm.read_only_udm.target.nat_ip Mappé directement à partir du champ xlatedst.
xlatesport event.idm.read_only_udm.principal.nat_port Mappé directement à partir du champ xlatesport, converti en entier.
xlatesrc event.idm.read_only_udm.principal.nat_ip Mappé directement à partir du champ xlatesrc.
event.idm.read_only_udm.metadata.vendor_name Check Point Valeur codée en dur.
event.idm.read_only_udm.metadata.log_type CHECKPOINT_FIREWALL Valeur codée en dur.
event.idm.read_only_udm.security_result.rule_type Firewall Rule Valeur par défaut, sauf si elle est remplacée par une logique spécifique.
event.idm.is_alert true Définissez sur "true" si le champ alert est défini sur "yes".
has_principal true Valeur définie sur "true" lorsque l'adresse IP ou le nom d'hôte principal est extrait.
has_target true Défini sur "true" lorsque l'adresse IP ou le nom d'hôte cible est extrait.

Modifications

2024-05-29

  • Mappage de "layer_uuid_rule_uuid" sur "security_result.rule_id".
  • Mappage de "domain" sur "principal.administrative_domain".
  • Mappage de "fservice", "appi_name", "app_risk" et "policy_name" sur "security_result.detection_fields".
  • Mappage des champs "packets", "__id", "dedup_time", "browse_time", "bytes", "product_family", "hll_key" et "calc_service" sur "additional.fields".
  • "id" a été mappé sur "metadata.product_log_id".
  • Mappage de "orig_log_server" sur "principal.resource.product_object_id".
  • "environment_id" a été mappé sur "target.resource.product_object_id".
  • Mappage de "client_outbound_packets" et "client_inbound_packets" sur "principal.resource.attribute.labels".
  • "server_outbound_bytes" et "server_inbound_bytes" ont été mappés sur "target.resource.attribute.labels".
  • Mappage de "orig" sur "principal.hostname" et "principal.asset.hostname".
  • Mappage de "orig_log_server_ip" sur "principal.ip" et "principal.asset.ip".
  • Mappage de "proto" sur "network.ip_protocol".

2024-05-20

  • Ajout d'un modèle Grok pour extraire "inter_host".
  • Mappage de "inter_host" sur "intermediary.hostname".

2024-04-19

  • Améliorations et correction de bugs:
  • Mappage de "origin" sur "target.ip" et "target.asset.ip".
  • Ajout de nouveaux modèles Grok pour analyser le nouveau format des journaux SYSLOG.
  • Mappage de "smartdefense_profile", "malware_rule_id" et "malware_rule_name" sur "security_result.detection_fields".
  • Mappage de "sequencenum", "description_url", "industry_reference", "mitre_execution", "packet_capture_name", "packet_capture_unique_id", "packet_capture_time" et "performance_impact" sur "additional.fields".
  • Mappage de "version" sur "metadata.product_version".
  • "http_host" a été mappé sur "target.resource.attribute.labels".
  • "log_id" a été mappé sur "metadata.product_log_id".
  • Mappage de "user_agent" sur "network.http.user_agent" et "http.parsed_user_agent".
  • Mappage de "hostname", "dvc" et "principal_hostname" sur "target.hostname" et "target.asset.hostname".
  • Si "has_principal" est défini sur "true", "has_target" sur "true" et "Action"/"action" sur "Log In" (Connexion), "Failed Log In" (Connexion échouée), "Failed Login" (Connexion échouée) ou "Update" (Mise à jour), définissez "metadata.event_type" sur "USER_LOGIN" et "extensions.auth.type" sur "AUTHTYPE_UNSPECIFIED".
  • Si "has_principal" est "true", "has_target" est "true" et "Action"/"act"/"event_type" est "Déconnexion" ou "Logout", définissez "metadata.event_type" sur "USER_LOGOUT" et "extensions.auth.type" sur "AUTHTYPE_UNSPECIFIED".
  • Si "has_principal" est défini sur "true" et que "has_target" est défini sur "true", définissez "metadata.event_type" sur "NETWORK_CONNECTION".
  • Si "has_principal" est "true" et que "has_target" est "false", définissez "metadata.event_type" sur "STATUS_UPDATE".

2024-02-07

  • Ajout d'un mappage pour les champs suivants:
  • "protection_id", "malware_action", "malware_family,protection_name" et "protection_type" ont été mappés sur "security_result.detection_fields".
  • Mappage de "confidence_level" sur "security_result.confidence" et "security_result.confidence_details".

2024-02-05

  • Ajout d'un mappage pour les champs suivants:
  • Mappage de "method" sur "network.http.method".

2024-01-24

  • Ajout d'un mappage pour les champs suivants:
  • Mappage de "method" sur "network.http.method".
  • Mappage de "durée" sur "network.session_duration.seconds".
  • Mappage de "additional_info" sur "security_result.description".
  • Mappage de "operation" sur "security_result.summary".
  • Mappage de "subject" sur "metadata.description".
  • "principal_hostname" a été mappé sur "intermediary.hostname".
  • "tcp_packet_out_of_state", "aggregated_log_count", "connection_count", "appi_name", "src_user_dn",
  • "update_count", "additional_info", "administrator", "operation", "sendtotrackerasadvancedauditlog",
  • "subject", "fieldschanges", "logic_changes", "objecttype", "session_description",
  • "session_name" à "security_result.detection_fields".

2023-12-27

  • Ajout d'un mappage pour les champs suivants:
  • Mappage des "indicateurs" sur "security_result.detection_fields".
  • Mappage de "tcp_flags" sur "security_result.detection_fields".
  • "tcp_packet_out_of_state" a été mappé sur "security_result.detection_fields".

2023-12-11

  • Si "principal_hostname" est une adresse IP valide, mappez-la sur "principal.ip".
  • Si "principal_hostname" n'est pas une adresse IP valide, mappez-le sur "principal.hostname".
  • Mappage de "sport_svc" sur "principal.port".
  • Mappage de "ProductFamily" sur "additional.fields".
  • Mappage de "mitre_initial_access" sur "security_result.detection_fields".
  • Mappage de "policy_time" sur "security_result.detection_fields".
  • Mappage de "profile" sur "security_result.detection_fields".
  • Mappage de "reject_id_kid" sur "security_result.detection_fields".
  • Mappage de "ser_agent_kid" sur "security_result.detection_fields".

2023-10-11

  • Si "product" est "New Anti Virus" (Nouveau logiciel antivirus), la mise en correspondance de "firewall management node" (Nœud de gestion du pare-feu) avec "principal.hostname" est supprimée et remplacée par "security_result.detection_fields".

2023-07-06

  • Ajout d'un mappage pour les champs suivants:
  • "app_category" a été mappé sur "security_result.category_details".
  • Mappage de "matched_category" sur "security_result.detection_fields".
  • Mappage de "app_properties" sur "security_result.detection_fields".

2023-06-14

  • Ajout du mappage pour les champs suivants
  • Mappage de "conn_direction" sur "additional.fields".
  • Modification des gsub afin de ne pas remplacer le ":" par "=" à partir des valeurs réelles.

2023-05-12

  • Ajout du mappage pour les champs suivants
  • "rule_name" a été mappé sur "security_result.rule_name".
  • Mappage de "rule","sub_policy_name","sub_policy_uid","smartdefense_profile","tags" et "flexString2" sur "security_result.detection_fields".
  • Ajout d'un nouveau format Grok pour prendre en charge les nouveaux formats de journaux.
  • "dvc" a été mappé sur "intermediary.hostname".
  • "hostname" a été mappé sur "intermediary.hostname".
  • Mappage de "origin_sic_name" sur "intermediary.asset_id".
  • Mappage de "conn_direction" sur "network.ip_protocol".
  • Mappage de "ifname" sur "security_result.detection_fields".
  • Mappage de "security_inzone" sur "security_result.detection_fields".
  • "match_id" a été mappé sur "security_result.detection_fields".
  • Mappage de "parent_rule" sur "security_result.detection_fields".
  • Mappage de "security_outzone" sur "security_result.detection_fields".
  • "sub_policy_name" a été mappé sur "security_result.detection_fields".
  • Mappage de "sub_policy_uid" sur "security_result.detection_fields".
  • Mappage de "drop_reason" sur "security_result.summary".
  • Mappage de "reason" sur "security_result.summary".
  • Mappage de "xlatesport" sur "principal.nat_port".
  • Mappage de "xlatedport" sur "target.nat_port".
  • Mappage de "ipv6_dst" sur "target.ip".
  • Mappage de "ipv6_src" sur "principal.ip".

2023-04-24

  • Prise en charge des journaux au format CEF.

2022-11-18

  • Modification du mappage de "service" et mappage sur "target.port".

2022-10-27

  • Ajout d'une vérification conditionnelle pour "attack", "attack_info" et "policy_name".
  • Ajout d'un modèle Grok pour récupérer "principal_hostname".
  • Ajout de gsub pour remplacer "=" par ":".
  • Modification du mappage de "service" et mappage sur "target.resource.attribute.labels".

2022-10-13

  • Mappage du champ "fw_subproduct" sur "metadata.product_name".
  • Ajout d'un modèle Grok pour extraire l'adresse IP du champ "src".

2022-08-30

  • Fusion des modifications apportées aux versions spécifiques au client avec les valeurs par défaut.
  • Récupération des journaux contenant "*****" dans UserCheck.

2022-08-18

  • Mappage de "portal_message" sur "security_result.description".
  • "security_result.category" a été mappé sur "SOFTWARE_MALICIOUS" si "portal_message" contient les mots clés "logiciel malveillant/malveillant".
  • "URL" a été mappée sur "security_result.about.url".
  • "Activité" a été mappée sur "security_result.summary".
  • "Référence" a été mappée sur "security_result.about.resource.attribute.labels".
  • Modification de "event_type" de "GENERIC_EVENT" à "STATUS_UPDATE" en répliquant la valeur de "intermediary.ip" à "principal.ip".

2022-08-12

  • Mappage de "malware_action", "malware_family,protection_name" et "protection_type" sur "security_result.about.resource.attribute.labels".
  • "src_machine_name" a été mappé sur "security_result.detection_fields".

2022-06-30

  • "message_info" a été mappé sur "metadata.description".

2022-06-17

  • Ajout de vérifications conditionnelles pour les champs "nat_rulenum", "rule", "sent_bytes", "received_bytes", "s_port" et "service".
  • Modification de event_types dans les cas suivants:
  • "GENERIC_EVENT" à "NETWORK_CONNECTION", où "principal.ip ou principal.hostname" et "target.ip ou target.hostname" ne sont pas nuls.
  • "GENERIC_EVENT" à "STATUS_UNCATEGORIZED", où "principal.ip" ou "principal.hostname" n'est pas nul.

2022-06-14

  • Modification de l'analyseur pour analyser davantage de journaux en supprimant la vérification de la condition pour passwd.

2022-06-07

  • Mappage de src_machine_name sur security_result.detection_fields.

2022-05-19

  • Mappage de inzone, outzone, layer_name, layer_uuid et policy_name sur security_result.detection_fields.
  • Mapper service_id sur principal.application.