Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log firewall Check Point
bookmark_border Tetap teratur dengan koleksi Simpan dan kategorikan konten berdasarkan preferensi Anda.

Didukung di:

Google SecOps SIEM

Parser ini mengekstrak log firewall Check Point. Fungsi ini menangani pesan berformat CEF dan non-CEF, termasuk syslog, pasangan nilai kunci, dan JSON. Fungsi ini menormalisasi kolom, memetakan kolom ke UDM, dan menjalankan logika tertentu untuk login/logout, koneksi jaringan, dan peristiwa keamanan. Fitur ini memperkaya data dengan informasi kontekstual seperti geolokasi dan intelijen ancaman.

Sebelum memulai

Pastikan Anda memiliki instance Google Security Operations.
Pastikan Anda menggunakan Windows 2016 atau yang lebih baru, atau host Linux dengan systemd.
Jika berjalan di balik proxy, pastikan port firewall terbuka.
Pastikan Anda memiliki akses dengan hak istimewa ke Check Point Firewall.

Mendapatkan file autentikasi penyerapan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Agen Pengumpulan.
Download File Autentikasi Proses Transfer.

Mendapatkan ID pelanggan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Profil.
Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal Agen Bindplane

Untuk penginstalan Windows, jalankan skrip berikut:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Untuk penginstalan Linux, jalankan skrip berikut:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Opsi penginstalan tambahan dapat ditemukan di panduan penginstalan ini.

Mengonfigurasi Agen Bindplane untuk menyerap Syslog dan mengirimnya ke Google SecOps

Akses komputer tempat Bindplane diinstal.

Edit file config.yaml sebagai berikut:

receivers:
    udplog:
        # Replace the below port <54525> and IP <0.0.0.0> with your specific values
        listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: Checkpoint_Firewall
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Mulai ulang Agen Bindplane untuk menerapkan perubahan:
```
sudo systemctl restart bindplane
```

Mengonfigurasi Ekspor Syslog di Firewall Check Point

Login ke UI firewall Check Point menggunakan akun dengan hak istimewa.
Buka Logs & Monitoring > Log Servers.
Buka Server Syslog.
Klik Konfigurasi, lalu tetapkan nilai berikut:
- Protokol: pilih UDP untuk mengirim log keamanan dan/atau log sistem.
- Name: berikan nama unik (misalnya, Bindplane_Server).
- Alamat IP: berikan alamat IP server syslog Anda (IP Bindplane).
- Port: berikan Port server syslog Anda (Port Bindplane).
Pilih Aktifkan server log.
Pilih log yang akan diteruskan: Log sistem dan keamanan.
Klik Terapkan.

Tabel Pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
`Action`	`event.idm.read_only_udm.security_result.action_details`	Dipetakan langsung dari kolom `Action`.
`Activity`	`event.idm.read_only_udm.security_result.summary`	Dipetakan langsung dari kolom `Activity`.
`additional_info`	`event.idm.read_only_udm.security_result.description`	Dipetakan langsung dari kolom `additional_info`.
`administrator`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Dipetakan langsung dari kolom `administrator`. Kuncinya adalah "administrator".
`aggregated_log_count`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Dipetakan langsung dari kolom `aggregated_log_count`. Kuncinya adalah "aggregated_log_count".
`appi_name`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Dipetakan langsung dari kolom `appi_name`. Kuncinya adalah "appi_name".
`app_category`	`event.idm.read_only_udm.security_result.category_details`	Dipetakan langsung dari kolom `app_category`.
`app_properties`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Dipetakan langsung dari kolom `app_properties`. Kuncinya adalah "app_properties".
`app_risk`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Dipetakan langsung dari kolom `app_risk`. Kuncinya adalah "app_risk".
`app_session_id`	`event.idm.read_only_udm.network.session_id`	Dipetakan langsung dari kolom `app_session_id`, dikonversi menjadi string.
`attack`	`event.idm.read_only_udm.security_result.summary`	Dipetakan langsung dari kolom `attack` jika `Info` ada.
`attack`	`event.idm.read_only_udm.security_result.threat_name`	Dipetakan langsung dari kolom `attack` jika `Info` ada.
`attack_info`	`event.idm.read_only_udm.security_result.description`	Dipetakan langsung dari kolom `attack_info`.
`auth_status`	`event.idm.read_only_udm.security_result.summary`	Dipetakan langsung dari kolom `auth_status`.
`browse_time`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Dipetakan langsung dari kolom `browse_time`. Kuncinya adalah "browse_time".
`bytes`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Dipetakan langsung dari kolom `bytes`. Kuncinya adalah "byte".
`bytes`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Dipetakan langsung dari kolom `bytes`. Kuncinya adalah "byte".
`calc_service`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Dipetakan langsung dari kolom `calc_service`. Kuncinya adalah "calc_service".
`category`	`event.idm.read_only_udm.security_result.category_details`	Dipetakan langsung dari kolom `category`.
`client_version`	`event.idm.read_only_udm.intermediary.platform_version`	Dipetakan langsung dari kolom `client_version`.
`conn_direction`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Dipetakan langsung dari kolom `conn_direction`. Kuncinya adalah "conn_direction".
`conn_direction`	`event.idm.read_only_udm.network.direction`	Jika `conn_direction` adalah "Masuk", akan dipetakan ke "INBOUND". Jika tidak, akan dipetakan ke "KELUAR".
`connection_count`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Dipetakan langsung dari kolom `connection_count`. Kuncinya adalah "connection_count".
`contract_name`	`event.idm.read_only_udm.security_result.description`	Dipetakan langsung dari kolom `contract_name`.
`cs2`	`event.idm.read_only_udm.security_result.rule_name`	Dipetakan langsung dari kolom `cs2`.
`date_time`	`event.idm.read_only_udm.metadata.event_timestamp`	Diurai dan dikonversi menjadi stempel waktu menggunakan berbagai format tanggal.
`dedup_time`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Dipetakan langsung dari kolom `dedup_time`. Kuncinya adalah "dedup_time".
`desc`	`event.idm.read_only_udm.security_result.summary`	Dipetakan langsung dari kolom `desc`.
`description`	`event.idm.read_only_udm.security_result.description`	Dipetakan langsung dari kolom `description`.
`description_url`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Dipetakan langsung dari kolom `description_url`. Kuncinya adalah "description_url".
`destinationAddress`	`event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`	Dipetakan langsung dari kolom `destinationAddress`.
`destinationPort`	`event.idm.read_only_udm.target.port`	Dipetakan langsung dari kolom `destinationPort`, dikonversi menjadi bilangan bulat.
`destinationTranslatedAddress`	`event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`	Dipetakan langsung dari kolom `destinationTranslatedAddress`.
`destinationTranslatedAddress`	`event.idm.read_only_udm.target.nat_ip`	Dipetakan langsung dari kolom `destinationTranslatedAddress`.
`destinationTranslatedPort`	`event.idm.read_only_udm.target.port`	Dipetakan langsung dari kolom `destinationTranslatedPort`, dikonversi menjadi bilangan bulat.
`destinationTranslatedPort`	`event.idm.read_only_udm.target.nat_port`	Dipetakan langsung dari kolom `destinationTranslatedPort`, dikonversi menjadi bilangan bulat.
`deviceCustomString2`	`event.idm.read_only_udm.security_result.rule_name`	Dipetakan langsung dari kolom `deviceCustomString2`.
`deviceDirection`	`event.idm.read_only_udm.network.direction`	Jika `deviceDirection` adalah 0, akan dipetakan ke "OUTBOUND". Jika 1, dipetakan ke "INBOUND".
`domain`	`event.idm.read_only_udm.principal.administrative_domain`	Dipetakan langsung dari kolom `domain`.
`domain_name`	`event.idm.read_only_udm.principal.administrative_domain`	Dipetakan langsung dari kolom `domain_name`.
`drop_reason`	`event.idm.read_only_udm.security_result.summary`	Dipetakan langsung dari kolom `drop_reason`.
`ds`	`event.idm.read_only_udm.metadata.event_timestamp`	Digunakan dengan `ts` dan `tz` untuk membuat stempel waktu peristiwa.
`dst`	`event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`	Dipetakan langsung dari kolom `dst`.
`dst_country`	`event.idm.read_only_udm.target.location.country_or_region`	Dipetakan langsung dari kolom `dst_country`.
`dst_ip`	`event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`	Dipetakan langsung dari kolom `dst_ip`.
`dpt`	`event.idm.read_only_udm.target.port`	Dipetakan langsung dari kolom `dpt`, dikonversi menjadi bilangan bulat.
`duration`	`event.idm.read_only_udm.network.session_duration.seconds`	Dipetakan langsung dari kolom `duration`, dikonversi menjadi bilangan bulat, jika lebih besar dari 0.
`duser`	`event.idm.read_only_udm.target.user.email_addresses`, `event.idm.read_only_udm.target.user.user_display_name`	Dipetakan langsung dari kolom `duser` jika cocok dengan format alamat email.
`environment_id`	`event.idm.read_only_udm.target.resource.product_object_id`	Dipetakan langsung dari kolom `environment_id`.
`event_type`	`event.idm.read_only_udm.metadata.event_type`	Ditentukan oleh logika berdasarkan keberadaan kolom dan nilai tertentu. Secara default ke `GENERIC_EVENT` jika tidak ada jenis peristiwa tertentu yang diidentifikasi. Dapat berupa `NETWORK_CONNECTION`, `USER_LOGIN`, `USER_CHANGE_PASSWORD`, `USER_LOGOUT`, `NETWORK_HTTP`, atau `STATUS_UPDATE`.
`fieldschanges`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Dipetakan langsung dari kolom `fieldschanges`. Kuncinya adalah "fieldschanges".
`flags`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Dipetakan langsung dari kolom `flags`. Kuncinya adalah "flags".
`flexString2`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Dipetakan langsung dari kolom `flexString2`. Kunci adalah nilai `flexString2Label`.
`from_user`	`event.idm.read_only_udm.principal.user.userid`	Dipetakan langsung dari kolom `from_user`.
`fservice`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Dipetakan langsung dari kolom `fservice`. Kuncinya adalah "fservice".
`fw_subproduct`	`event.idm.read_only_udm.metadata.product_name`	Dipetakan langsung dari kolom `fw_subproduct` saat `product` kosong.
`geoip_dst.country_name`	`event.idm.read_only_udm.target.location.country_or_region`	Dipetakan langsung dari kolom `geoip_dst.country_name`.
`hll_key`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Dipetakan langsung dari kolom `hll_key`. Kuncinya adalah "hll_key".
`hostname`	`event.idm.read_only_udm.target.hostname`, `event.idm.read_only_udm.target.asset.hostname`, `event.idm.read_only_udm.intermediary.hostname`	Dipetakan langsung dari kolom `hostname` saat `inter_host` kosong.
`http_host`	`event.idm.read_only_udm.target.resource.attribute.labels[].value`	Dipetakan langsung dari kolom `http_host`. Kuncinya adalah "http_host".
`id`	`event.idm.read_only_udm.metadata.product_log_id`	Dipetakan langsung dari kolom `_id`.
`identity_src`	`event.idm.read_only_udm.target.application`	Dipetakan langsung dari kolom `identity_src`.
`identity_type`	`event.idm.read_only_udm.extensions.auth.type`	Jika `identity_type` adalah "user", akan dipetakan ke "VPN". Jika tidak, dipetakan ke "MACHINE".
`if_direction`	`event.idm.read_only_udm.network.direction`	Dipetakan langsung dari kolom `if_direction`, dikonversi ke huruf besar.
`ifdir`	`event.idm.read_only_udm.network.direction`	Dipetakan langsung dari kolom `ifdir`, dikonversi ke huruf besar.
`ifname`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Dipetakan langsung dari kolom `ifname`. Kuncinya adalah "ifname".
`IKE`	`event.idm.read_only_udm.metadata.description`	Dipetakan langsung dari kolom `IKE`.
`inzone`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Dipetakan langsung dari kolom `inzone`. Kuncinya adalah "inzone".
`industry_reference`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Dipetakan langsung dari kolom `industry_reference`. Kuncinya adalah "industry_reference".
`instance_id`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Dipetakan langsung dari kolom `instance_id`.
`inter_host`	`event.idm.read_only_udm.intermediary.hostname`	Dipetakan langsung dari kolom `inter_host`.
`ip_proto`	`event.idm.read_only_udm.network.ip_protocol`	Ditentukan berdasarkan kolom `proto` atau kolom `service`. Dapat berupa TCP, UDP, ICMP, IP6IN4, atau GRE.
`ipv6_dst`	`event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`	Dipetakan langsung dari kolom `ipv6_dst`.
`ipv6_src`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Dipetakan langsung dari kolom `ipv6_src`.
`layer_name`	`event.idm.read_only_udm.security_result.rule_set_display_name`, `event.idm.read_only_udm.security_result.detection_fields[].value`	Dipetakan langsung dari kolom `layer_name`. Kuncinya adalah "layer_name".
`layer_uuid`	`event.idm.read_only_udm.security_result.rule_set`, `event.idm.read_only_udm.security_result.detection_fields[].value`	Dipetakan langsung dari kolom `layer_uuid` setelah menghapus tanda kurung kurawal. Kuncinya adalah "layer_uuid".
`layer_uuid_rule_uuid`	`event.idm.read_only_udm.security_result.rule_id`	Dipetakan langsung dari kolom `layer_uuid_rule_uuid` setelah menghapus tanda kurung dan tanda kutip.
`log_id`	`event.idm.read_only_udm.metadata.product_log_id`	Dipetakan langsung dari kolom `log_id`.
`log_type`	`event.idm.read_only_udm.metadata.log_type`	Dipetakan langsung dari kolom `log_type`. Di-hardcode ke "CHECKPOINT_FIREWALL".
`loguid`	`event.idm.read_only_udm.metadata.product_log_id`	Dipetakan langsung dari kolom `loguid` setelah menghapus tanda kurung kurawal.
`logic_changes`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Dipetakan langsung dari kolom `logic_changes`. Kuncinya adalah "logic_changes".
`localhost`	`event.idm.read_only_udm.target.hostname`, `event.idm.read_only_udm.target.asset.hostname`	Dipetakan langsung dari kolom `localhost`. `dst_ip` ditetapkan ke "127.0.0.1".
`malware_action`	`event.idm.read_only_udm.security_result.detection_fields[].value`, `event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value`	Dipetakan langsung dari kolom `malware_action`. Kuncinya adalah "malware_action".
`malware_family`	`event.idm.read_only_udm.security_result.detection_fields[].value`, `event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value`	Dipetakan langsung dari kolom `malware_family`. Kuncinya adalah "malware_family".
`malware_rule_id`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Dipetakan langsung dari kolom `malware_rule_id` setelah menghapus tanda kurung kurawal. Kuncinya adalah "Malware Rule ID".
`malware_rule_name`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Dipetakan langsung dari kolom `malware_rule_name`. Kuncinya adalah "Nama Aturan Malware".
`match_id`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Dipetakan langsung dari kolom `match_id`. Kuncinya adalah "match_id".
`matched_category`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Dipetakan langsung dari kolom `matched_category`. Kuncinya adalah "matched_category".
`message_info`	`event.idm.read_only_udm.metadata.description`	Dipetakan langsung dari kolom `message_info`.
`method`	`event.idm.read_only_udm.network.http.method`	Dipetakan langsung dari kolom `method`.
`mitre_execution`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Dipetakan langsung dari kolom `mitre_execution`. Kuncinya adalah "mitre_execution".
`mitre_initial_access`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Dipetakan langsung dari kolom `mitre_initial_access`. Kuncinya adalah "mitre_initial_access".
`nat_rulenum`	`event.idm.read_only_udm.security_result.rule_id`	Dipetakan langsung dari kolom `nat_rulenum`, dikonversi menjadi string.
`objecttype`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Dipetakan langsung dari kolom `objecttype`. Kuncinya adalah "objecttype".
`operation`	`event.idm.read_only_udm.security_result.summary`	Dipetakan langsung dari kolom `operation`.
`operation`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Dipetakan langsung dari kolom `operation`. Kuncinya adalah "operation".
`orig`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Dipetakan langsung dari kolom `orig`.
`origin`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`, `event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`, `event.idm.read_only_udm.intermediary.ip`	Dipetakan langsung dari kolom `origin`.
`origin_sic_name`	`event.idm.read_only_udm.intermediary.asset_id`, `event.idm.read_only_udm.intermediary.labels[].value`	Dipetakan langsung dari kolom `origin_sic_name`. Kuncinya adalah "Machine SIC". ID aset diawali dengan "asset:".
`originsicname`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Dipetakan langsung dari kolom `originsicname`. Kuncinya adalah "originsicname".
`originsicname`	`event.idm.read_only_udm.intermediary.asset_id`, `event.idm.read_only_udm.intermediary.labels[].value`	Dipetakan langsung dari kolom `originsicname`. Kuncinya adalah "Machine SIC". ID aset diawali dengan "asset:".
`os_name`	`event.idm.read_only_udm.principal.asset.platform_software.platform`	Jika `os_name` berisi "Win", akan dipetakan ke "WINDOWS". Jika berisi "MAC" atau "IOS", akan dipetakan ke "MAC". Jika berisi "LINUX", akan dipetakan ke "LINUX".
`os_version`	`event.idm.read_only_udm.principal.asset.platform_software.platform_patch_level`	Dipetakan langsung dari kolom `os_version`.
`outzone`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Dipetakan langsung dari kolom `outzone`. Kuncinya adalah "outzone".
`packets`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Dipetakan langsung dari kolom `packets`. Kuncinya adalah "paket".
`packet_capture_name`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Dipetakan langsung dari kolom `packet_capture_name`. Kuncinya adalah "packet_capture_name".
`packet_capture_time`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Dipetakan langsung dari kolom `packet_capture_time`. Kuncinya adalah "packet_capture_time".
`packet_capture_unique_id`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Dipetakan langsung dari kolom `packet_capture_unique_id`. Kuncinya adalah "packet_capture_unique_id".
`parent_rule`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Dipetakan langsung dari kolom `parent_rule`. Kuncinya adalah "parent_rule".
`performance_impact`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Dipetakan langsung dari kolom `performance_impact`. Kuncinya adalah "performance_impact".
`policy_name`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Diekstrak dari kolom `__policy_id_tag` menggunakan grok dan dipetakan. Kuncinya adalah "Nama Kebijakan".
`policy_time`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Dipetakan langsung dari kolom `policy_time`. Kuncinya adalah "policy_time".
`portal_message`	`event.idm.read_only_udm.security_result.description`	Dipetakan langsung dari kolom `portal_message`.
`principal_hostname`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Dipetakan langsung dari kolom `principal_hostname` jika merupakan alamat IP yang valid.
`principal_hostname`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Dipetakan langsung dari kolom `principal_hostname` jika bukan alamat IP yang valid dan bukan "Checkpoint".
`prod_family_label`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Dipetakan langsung dari kolom `ProductFamily`. Kuncinya adalah "ProductFamily".
`product`	`event.idm.read_only_udm.metadata.product_name`	Dipetakan langsung dari kolom `product`.
`product_family`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Dipetakan langsung dari kolom `product_family`. Kuncinya adalah "product_family".
`product_family`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Dipetakan langsung dari kolom `product_family`. Kuncinya adalah "product_family".
`ProductName`	`event.idm.read_only_udm.metadata.product_name`	Dipetakan langsung dari kolom `ProductName` saat `product` kosong.
`product_name`	`event.idm.read_only_udm.metadata.product_name`	Dipetakan langsung dari kolom `product_name`.
`profile`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Dipetakan langsung dari kolom `profile`. Kuncinya adalah "profile".
`protocol`	`event.idm.read_only_udm.network.application_protocol`	Dipetakan langsung dari kolom `protocol` jika "HTTP".
`proxy_src_ip`	`event.idm.read_only_udm.principal.nat_ip`	Dipetakan langsung dari kolom `proxy_src_ip`.
`reason`	`event.idm.read_only_udm.security_result.summary`	Dipetakan langsung dari kolom `reason`.
`received_bytes`	`event.idm.read_only_udm.network.received_bytes`	Dipetakan langsung dari kolom `received_bytes`, dikonversi menjadi bilangan bulat tanpa tanda tangan.
`Reference`	`event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value`, `event.idm.read_only_udm.security_result.detection_fields[].value`	Dipetakan langsung dari kolom `Reference`. Kuncinya adalah "Referensi". Digunakan untuk membuat `_vuln.name` dengan `attack`.
`reject_id_kid`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Dipetakan langsung dari kolom `reject_id_kid`. Kuncinya adalah "reject_id_kid".
`resource`	`event.idm.read_only_udm.target.url`	Diurai sebagai JSON dan dipetakan ke URL target. Jika penguraian gagal, penguraian akan langsung dipetakan.
`resource`	`event.idm.read_only_udm.additional.fields[].value.list_value.values[].string_value`	Diurai sebagai JSON dan setiap nilai dalam array `resource` ditambahkan ke daftar. Kuncinya adalah "Resource".
`result`	`event.idm.read_only_udm.metadata.event_timestamp`	Diurai dengan `date_time` untuk membuat stempel waktu peristiwa.
`rt`	`event.idm.read_only_udm.metadata.event_timestamp`	Diurai sebagai milidetik sejak epoch dan dikonversi menjadi stempel waktu.
`rule`	`event.idm.read_only_udm.security_result.rule_name`	Dipetakan langsung dari kolom `rule`.
`rule_action`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Dipetakan langsung dari kolom `rule_action`. Kuncinya adalah "rule_action".
`rule_name`	`event.idm.read_only_udm.security_result.rule_name`	Dipetakan langsung dari kolom `rule_name`.
`rule_uid`	`event.idm.read_only_udm.security_result.rule_id`	Dipetakan langsung dari kolom `rule_uid`.
`s_port`	`event.idm.read_only_udm.principal.port`	Dipetakan langsung dari kolom `s_port`, dikonversi menjadi bilangan bulat.
`scheme`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Dipetakan langsung dari kolom `scheme`. Kuncinya adalah "skema".
`security_inzone`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Dipetakan langsung dari kolom `security_inzone`. Kuncinya adalah "security_inzone".
`security_outzone`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Dipetakan langsung dari kolom `security_outzone`. Kuncinya adalah "security_outzone".
`security_result_action`	`event.idm.read_only_udm.security_result.action`	Dipetakan langsung dari kolom `security_result_action`.
`sendtotrackerasadvancedauditlog`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Dipetakan langsung dari kolom `sendtotrackerasadvancedauditlog`. Kuncinya adalah "sendtotrackerasadvancedauditlog".
`sent_bytes`	`event.idm.read_only_udm.network.sent_bytes`	Dipetakan langsung dari kolom `sent_bytes`, dikonversi menjadi bilangan bulat tanpa tanda tangan.
`sequencenum`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Dipetakan langsung dari kolom `sequencenum`. Kuncinya adalah "sequencenum".
`ser_agent_kid`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Dipetakan langsung dari kolom `ser_agent_kid`. Kuncinya adalah "ser_agent_kid".
`service`	`event.idm.read_only_udm.target.port`	Dipetakan langsung dari kolom `service`, dikonversi menjadi bilangan bulat.
`service_id`	`event.idm.read_only_udm.network.application_protocol`	Dipetakan langsung dari kolom `service_id` jika "dhcp", "dns", "http", "https", atau "quic", dikonversi ke huruf besar.
`service_id`	`event.idm.read_only_udm.principal.application`	Dipetakan langsung dari kolom `service_id` jika bukan salah satu protokol aplikasi jaringan.
`service_id`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Dipetakan langsung dari kolom `service_id`. Kuncinya adalah "service_id".
`session_description`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Dipetakan langsung dari kolom `session_description`. Kuncinya adalah "session_description".
`session_id`	`event.idm.read_only_udm.network.session_id`	Dipetakan langsung dari kolom `session_id` setelah menghapus tanda kurung kurawal.
`session_name`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Dipetakan langsung dari kolom `session_name`. Kuncinya adalah "session_name".
`session_uid`	`event.idm.read_only_udm.network.session_id`	Dipetakan langsung dari kolom `session_uid` setelah menghapus tanda kurung kurawal.
`Severity`	`event.idm.read_only_udm.security_result.severity`	Dipetakan ke "LOW", "MEDIUM", "HIGH", atau "CRITICAL" berdasarkan nilai `Severity`.
`severity`	`event.idm.read_only_udm.security_result.severity`	Dipetakan ke "LOW", "MEDIUM", "HIGH", atau "CRITICAL" berdasarkan nilai `severity`.
`site`	`event.idm.read_only_udm.network.http.user_agent`	Dipetakan langsung dari kolom `site`.
`smartdefense_profile`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Dipetakan langsung dari kolom `smartdefense_profile`. Kuncinya adalah "smartdefense_profile".
`snid`	`event.idm.read_only_udm.network.session_id`	Dipetakan langsung dari kolom `snid` jika tidak kosong atau "0".
`sourceAddress`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Dipetakan langsung dari kolom `sourceAddress`.
`sourcePort`	`event.idm.read_only_udm.principal.port`	Dipetakan langsung dari kolom `sourcePort`, dikonversi menjadi bilangan bulat.
`sourceTranslatedAddress`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Dipetakan langsung dari kolom `sourceTranslatedAddress`.
`sourceTranslatedAddress`	`event.idm.read_only_udm.principal.nat_ip`	Dipetakan langsung dari kolom `sourceTranslatedAddress`.
`sourceTranslatedPort`	`event.idm.read_only_udm.principal.port`	Dipetakan langsung dari kolom `sourceTranslatedPort`, dikonversi menjadi bilangan bulat.
`sourceTranslatedPort`	`event.idm.read_only_udm.principal.nat_port`	Dipetakan langsung dari kolom `sourceTranslatedPort`, dikonversi menjadi bilangan bulat.
`sourceUserName`	`event.idm.read_only_udm.principal.user.userid`, `event.idm.read_only_udm.principal.user.first_name`, `event.idm.read_only_udm.principal.user.last_name`	Diurai menggunakan grok untuk mengekstrak userid, nama depan, dan nama belakang.
`spt`	`event.idm.read_only_udm.principal.port`	Dipetakan langsung dari kolom `spt`, dikonversi menjadi bilangan bulat.
`src`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Dipetakan langsung dari kolom `src`.
`src_ip`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Dipetakan langsung dari kolom `src_ip`.
`src_localhost`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Dipetakan langsung dari kolom `src_localhost`. `src_ip` ditetapkan ke "127.0.0.1".
`src_machine_name`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Dipetakan langsung dari kolom `src_machine_name`. Kuncinya adalah "src_machine_name".
`src_port`	`event.idm.read_only_udm.principal.port`	Dipetakan langsung dari kolom `src_port`, dikonversi menjadi bilangan bulat.
`src_user`	`event.idm.read_only_udm.principal.user.userid`	Dipetakan langsung dari kolom `src_user`.
`src_user_dn`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Dipetakan langsung dari kolom `src_user_dn`. Kuncinya adalah "src_user_dn".
`src_user_name`	`event.idm.read_only_udm.principal.user.userid`	Dipetakan langsung dari kolom `src_user_name`.
`sub_policy_name`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Dipetakan langsung dari kolom `sub_policy_name`. Kuncinya adalah "sub_policy_name".
`sub_policy_uid`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Dipetakan langsung dari kolom `sub_policy_uid`. Kuncinya adalah "sub_policy_uid".
`subject`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Dipetakan langsung dari kolom `subject`. Kuncinya adalah "subjek".
`subscription_stat_desc`	`event.idm.read_only_udm.security_result.summary`	Dipetakan langsung dari kolom `subscription_stat_desc`.
`tags`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Dipetakan langsung dari kolom `tags`. Kuncinya adalah "tags".
`tar_user`	`event.idm.read_only_udm.target.user.userid`	Dipetakan langsung dari kolom `tar_user`.
`target_port`	`event.idm.read_only_udm.target.port`	Dipetakan langsung dari kolom `target_port`.
`tcp_flags`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Dipetakan langsung dari kolom `tcp_flags`. Kuncinya adalah "tcp_flags".
`tcp_packet_out_of_state`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Dipetakan langsung dari kolom `tcp_packet_out_of_state`. Kuncinya adalah "tcp_packet_out_of_state".
`time`	`event.idm.read_only_udm.metadata.event_timestamp`	Diurai dan dikonversi menjadi stempel waktu menggunakan berbagai format tanggal.
`ts`	`event.idm.read_only_udm.metadata.event_timestamp`	Diurai dengan `ds` dan `tz` untuk membuat stempel waktu peristiwa.
`type`	`event.idm.read_only_udm.security_result.rule_type`	Dipetakan langsung dari kolom `type`.
`tz`	`event.idm.read_only_udm.metadata.event_timestamp`	Digunakan dengan `ds` dan `ts` untuk membuat stempel waktu peristiwa.
`update_count`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Dipetakan langsung dari kolom `update_count`. Kuncinya adalah "update_count".
`URL`	`event.idm.read_only_udm.security_result.about.url`	Dipetakan langsung dari kolom `URL`.
`user`	`event.idm.read_only_udm.principal.user.userid`	Dipetakan langsung dari kolom `user`.
`user_agent`	`event.idm.read_only_udm.network.http.user_agent`	Dipetakan langsung dari kolom `user_agent`. Juga diuraikan dan dipetakan ke `event.idm.read_only_udm.network.http.parsed_user_agent`.
`userip`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Dipetakan langsung dari kolom `userip` jika merupakan alamat IP yang valid.
`UUid`	`event.idm.read_only_udm.metadata.product_log_id`	Dipetakan langsung dari kolom `UUid` setelah menghapus tanda kurung kurawal.
`version`	`event.idm.read_only_udm.metadata.product_version`	Dipetakan langsung dari kolom `version`.
`web_client_type`	`event.idm.read_only_udm.network.http.user_agent`	Dipetakan langsung dari kolom `web_client_type`.
`xlatedport`	`event.idm.read_only_udm.target.nat_port`	Dipetakan langsung dari kolom `xlatedport`, dikonversi menjadi bilangan bulat.
`xlatedst`	`event.idm.read_only_udm.target.nat_ip`	Dipetakan langsung dari kolom `xlatedst`.
`xlatesport`	`event.idm.read_only_udm.principal.nat_port`	Dipetakan langsung dari kolom `xlatesport`, dikonversi menjadi bilangan bulat.
`xlatesrc`	`event.idm.read_only_udm.principal.nat_ip`	Dipetakan langsung dari kolom `xlatesrc`.
`event.idm.read_only_udm.metadata.vendor_name`	`Check Point`	Nilai hardcode.
`event.idm.read_only_udm.metadata.log_type`	`CHECKPOINT_FIREWALL`	Nilai hardcode.
`event.idm.read_only_udm.security_result.rule_type`	`Firewall Rule`	Nilai default, kecuali jika diganti oleh logika tertentu.
`event.idm.is_alert`	`true`	Tetapkan ke benar jika kolom `alert` adalah "ya".
`has_principal`	`true`	Tetapkan ke benar jika IP utama atau nama host diekstrak.
`has_target`	`true`	Tetapkan ke benar jika IP target atau nama host diekstrak.

Perubahan

2024-05-29

Memetakan "layer_uuid_rule_uuid" ke "security_result.rule_id".
Memetakan "domain" ke "principal.administrative_domain".
Memetakan "fservice", "appi_name", "app_risk", dan "policy_name" ke "security_result.detection_fields".
Memetakan "packets", "__id", "dedup_time", "browse_time", "bytes", "product_family", "hll_key", dan "calc_service" ke "additional.fields".
Memetakan "id" ke "metadata.product_log_id".
Memetakan "orig_log_server" ke "principal.resource.product_object_id".
Memetakan "environment_id" ke "target.resource.product_object_id".
Memetakan "client_outbound_packets" dan "client_inbound_packets" ke "principal.resource.attribute.labels".
Memetakan "server_outbound_bytes" dan "server_inbound_bytes" ke "target.resource.attribute.labels".
Memetakan "orig" ke "principal.hostname" dan "principal.asset.hostname".
Memetakan "orig_log_server_ip" ke "principal.ip" dan "principal.asset.ip".
Memetakan "proto" ke "network.ip_protocol".

2024-05-20

Menambahkan pola Grok untuk mengekstrak "inter_host".
Memetakan "inter_host" ke "intermediary.hostname".

2024-04-19

Peningkatan dan Perbaikan Bug:
Memetakan "origin" ke "target.ip" dan "target.asset.ip".
Menambahkan pola Grok baru untuk mengurai format baru log SYSLOG.
Memetakan "smartdefense_profile", "malware_rule_id", dan "malware_rule_name" ke "security_result.detection_fields".
Memetakan "sequencenum", "description_url", "industry_reference", "mitre_execution", "packet_capture_name", "packet_capture_unique_id", "packet_capture_time", dan "performance_impact" ke "additional.fields".
Memetakan "version" ke "metadata.product_version".
Memetakan "http_host" ke "target.resource.attribute.labels".
Memetakan "log_id" ke "metadata.product_log_id".
Memetakan "user_agent" ke "network.http.user_agent" dan "http.parsed_user_agent".
Memetakan "hostname", "dvc", dan "principal_hostname" ke "target.hostname" dan "target.asset.hostname".
Jika "has_principal" adalah "true", "has_target" adalah "true", dan "Action"/"action" adalah "Login" atau "Failed Login" atau "Failed Login" atau "Update", tetapkan "metadata.event_type" ke "USER_LOGIN" dan "extensions.auth.type" ke "AUTHTYPE_UNSPECIFIED".
Jika "has_principal" adalah "true", "has_target" adalah "true", dan "Action"/"act"/"event_type" adalah "Log Out" atau "Logout", tetapkan "metadata.event_type" ke "USER_LOGOUT" dan "extensions.auth.type" ke "AUTHTYPE_UNSPECIFIED".
Jika "has_principal" adalah "true", "has_target" adalah "true", lalu tetapkan "metadata.event_type" ke "NETWORK_CONNECTION".
Jika "has_principal" adalah "true", "has_target" adalah "false", tetapkan "metadata.event_type" ke "STATUS_UPDATE".

2024-02-07

menambahkan pemetaan untuk kolom berikut:
Memetakan "protection_id", "malware_action", "malware_family,protection_name", "protection_type" ke "security_result.detection_fields".
Memetakan "confidence_level" ke "security_result.confidence" dan "security_result.confidence_details".

2024-02-05

menambahkan pemetaan untuk kolom berikut:
Memetakan "method" ke "network.http.method".

2024-01-24

menambahkan pemetaan untuk kolom berikut:
Memetakan "method" ke "network.http.method".
Memetakan "duration" ke "network.session_duration.seconds".
Memetakan "additional_info" ke "security_result.description".
Memetakan "operation" ke "security_result.summary".
Memetakan "subject" ke "metadata.description".
Memetakan "principal_hostname" ke "intermediary.hostname".
Memetakan "tcp_packet_out_of_state", "aggregated_log_count", "connection_count", "appi_name", "src_user_dn",
"update_count", "additional_info", "administrator", "operation", "sendtotrackerasadvancedauditlog",
"subject", "fieldschanges", "logic_changes", "objecttype", "session_description",
"session_name" menjadi "security_result.detection_fields".

2023-12-27

menambahkan pemetaan untuk kolom berikut:
Memetakan "flag" ke "security_result.detection_fields".
Memetakan "tcp_flags" ke "security_result.detection_fields".
Memetakan "tcp_packet_out_of_state" ke "security_result.detection_fields".

2023-12-11

Jika "principal_hostname" adalah IP yang valid, petakan ke "principal.ip".
Jika "principal_hostname" bukan IP yang valid, petakan ke "principal.hostname".
Memetakan "sport_svc" ke "principal.port".
Memetakan "ProductFamily" ke "additional.fields".
Memetakan "mitre_initial_access" ke "security_result.detection_fields".
Memetakan "policy_time" ke "security_result.detection_fields".
Memetakan "profile" ke "security_result.detection_fields".
Memetakan "reject_id_kid" ke "security_result.detection_fields".
Memetakan "ser_agent_kid" ke "security_result.detection_fields".

2023-10-11

Jika "product" adalah "New Anti Virus", pemetaan dari "firewall management node" ke "principal.hostname" akan dihapus dan dipetakan ke "security_result.detection_fields".

2023-07-06

menambahkan pemetaan untuk kolom berikut:
Memetakan "app_category" ke "security_result.category_details".
Memetakan "matched_category" ke "security_result.detection_fields".
Memetakan "app_properties" ke "security_result.detection_fields".

2023-06-14

menambahkan pemetaan untuk kolom berikut
Memetakan "conn_direction" ke "additional.fields".
Mengubah gsub agar tidak mengganti ":" dengan "=" dari nilai sebenarnya.

2023-05-12

menambahkan pemetaan untuk kolom berikut
Memetakan "rule_name" ke "security_result.rule_name".
Memetakan "rule","sub_policy_name","sub_policy_uid","smartdefense_profile","tags","flexString2" ke "security_result.detection_fields".
Menambahkan pola Grok baru untuk mendukung format log baru.
Memetakan "dvc" ke "intermediary.hostname".
Memetakan "hostname" ke "intermediary.hostname".
Memetakan "origin_sic_name" ke "intermediary.asset_id".
Memetakan "conn_direction" ke "network.ip_protocol".
Memetakan "ifname" ke "security_result.detection_fields".
Memetakan "security_inzone" ke "security_result.detection_fields".
Memetakan "match_id" ke "security_result.detection_fields".
Memetakan "parent_rule" ke "security_result.detection_fields".
Memetakan "security_outzone" ke "security_result.detection_fields".
Memetakan "sub_policy_name" ke "security_result.detection_fields".
Memetakan "sub_policy_uid" ke "security_result.detection_fields".
Memetakan "drop_reason" ke "security_result.summary".
Memetakan "reason" ke "security_result.summary".
Memetakan "xlatesport" ke "principal.nat_port".
Memetakan "xlatedport" ke "target.nat_port".
Memetakan "ipv6_dst" ke "target.ip".
Memetakan "ipv6_src" ke "principal.ip".

2023-04-24

Menambahkan dukungan untuk log dengan format CEF.

2022-11-18

Mengubah pemetaan untuk "service" dan memetakan ke "target.port".

2022-10-27

Menambahkan pemeriksaan bersyarat untuk "attack","attack_info","policy_name".
Menambahkan pola grok untuk mengambil "principal_hostname".
Menambahkan gsub untuk mengubah "=" menjadi ":".
Mengubah pemetaan untuk "service" dan memetakan ke "target.resource.attribute.labels".

2022-10-13

Memetakan kolom 'fw_subproduct' ke 'metadata.product_name'.
Menambahkan pola grok untuk mengekstrak ip dari kolom 'src'.

2022-08-30

Menggabungkan perubahan versi khusus Pelanggan ke default.
Menghapus log yang berisi "*****" di UserCheck.

18-08-2022

Memetakan "portal_message" ke "security_result.description".
Memetakan "security_result.category" sebagai "SOFTWARE_MALICIOUS" jika "portal_message" berisi kata kunci "malware/malicious".
Memetakan "URL" ke "security_result.about.url".
Memetakan "Aktivitas" ke "security_result.summary".
Memetakan "Referensi" ke "security_result.about.resource.attribute.labels".
Mengubah "event_type" dari "GENERIC_EVENT" menjadi "STATUS_UPDATE" dengan mereplikasi nilai "intermediary.ip" ke "principal.ip".

2022-08-12

Memetakan "malware_action", "malware_family,protection_name", "protection_type" ke "security_result.about.resource.attribute.labels".
Memetakan "src_machine_name" ke "security_result.detection_fields".

2022-06-30

Memetakan "message_info" ke "metadata.description".

2022-06-17

Menambahkan pemeriksaan bersyarat untuk kolom "nat_rulenum", "rule", "sent_bytes", "received_bytes", "s_port", "service".
Mengubah event_types untuk kasus berikut:
"GENERIC_EVENT" ke "NETWORK_CONNECTION" dengan "principal.ip or principal.hostname" dan "target.ip or target.hostname" tidak null.
"GENERIC_EVENT" ke "STATUS_UNCATEGORIZED" dengan "principal.ip atau principal.hostname" tidak null.

2022-06-14

Mengubah parser untuk mengurai lebih banyak log dengan menghapus pemeriksaan kondisi untuk passwd.

2022-06-07

Memetakan src_machine_name ke security_result.detection_fields.

2022-05-19

Memetakan inzone, outzone, layer_name, layer_uuid, dan policy_name ke security_result.detection_fields.
Memetakan service_id ke principal.application.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.