Mengumpulkan log firewall Check Point
Parser ini mengekstrak log firewall Check Point. Fungsi ini menangani pesan berformat CEF dan non-CEF, termasuk syslog, pasangan nilai kunci, dan JSON. Fungsi ini menormalisasi kolom, memetakan kolom ke UDM, dan menjalankan logika tertentu untuk login/logout, koneksi jaringan, dan peristiwa keamanan. Fitur ini memperkaya data dengan informasi kontekstual seperti geolokasi dan intelijen ancaman.
Sebelum memulai
- Pastikan Anda memiliki instance Google Security Operations.
- Pastikan Anda menggunakan Windows 2016 atau yang lebih baru, atau host Linux dengan systemd.
- Jika berjalan di balik proxy, pastikan port firewall terbuka.
- Pastikan Anda memiliki akses dengan hak istimewa ke Check Point Firewall.
Mendapatkan file autentikasi penyerapan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Agen Pengumpulan.
- Download File Autentikasi Proses Transfer.
Mendapatkan ID pelanggan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Profil.
- Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.
Menginstal Agen BindPlane
- Untuk penginstalan Windows, jalankan skrip berikut:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
- Untuk penginstalan Linux, jalankan skrip berikut:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
- Opsi penginstalan tambahan dapat ditemukan di panduan penginstalan ini.
Mengonfigurasi Agen BindPlane untuk menyerap Syslog dan mengirim ke Google SecOps
- Akses komputer tempat BindPlane diinstal.
Edit file
config.yaml
sebagai berikut:receivers: udplog: # Replace the below port <54525> and IP <0.0.0.0> with your specific values listen_address: "0.0.0.0:54525" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the creds location below according the placement of the credentials file you downloaded creds: '{ json file for creds }' # Replace <customer_id> below with your actual ID that you copied customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # You can apply ingestion labels below as preferred ingestion_labels: log_type: SYSLOG namespace: Checkpoint_Firewall raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels
Mulai ulang Agen BindPlane untuk menerapkan perubahan:
sudo systemctl restart bindplane
Mengonfigurasi Ekspor Syslog di Firewall Check Point
- Login ke UI firewall Check Point menggunakan akun dengan hak istimewa.
- Buka Logs & Monitoring > Log Servers.
- Buka Server Syslog.
- Klik Konfigurasi, lalu tetapkan nilai berikut:
- Protokol: pilih UDP untuk mengirim log keamanan dan/atau log sistem.
- Name: berikan nama unik (misalnya, Bindplane_Server).
- Alamat IP: berikan alamat IP server syslog Anda (IP Bindplane).
- Port: berikan Port server syslog Anda (Port Bindplane).
- Pilih Aktifkan server log.
- Pilih log yang akan diteruskan: Log sistem dan keamanan.
- Klik Terapkan.
Tabel Pemetaan UDM
Kolom Log | Pemetaan UDM | Logika |
---|---|---|
Action |
event.idm.read_only_udm.security_result.action_details |
Dipetakan langsung dari kolom Action . |
Activity |
event.idm.read_only_udm.security_result.summary |
Dipetakan langsung dari kolom Activity . |
additional_info |
event.idm.read_only_udm.security_result.description |
Dipetakan langsung dari kolom additional_info . |
administrator |
event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom administrator . Kuncinya adalah "administrator". |
aggregated_log_count |
event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom aggregated_log_count . Kuncinya adalah "aggregated_log_count". |
appi_name |
event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom appi_name . Kuncinya adalah "appi_name". |
app_category |
event.idm.read_only_udm.security_result.category_details |
Dipetakan langsung dari kolom app_category . |
app_properties |
event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom app_properties . Kuncinya adalah "app_properties". |
app_risk |
event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom app_risk . Kuncinya adalah "app_risk". |
app_session_id |
event.idm.read_only_udm.network.session_id |
Dipetakan langsung dari kolom app_session_id , yang dikonversi menjadi string. |
attack |
event.idm.read_only_udm.security_result.summary |
Dipetakan langsung dari kolom attack jika Info ada. |
attack |
event.idm.read_only_udm.security_result.threat_name |
Dipetakan langsung dari kolom attack jika Info ada. |
attack_info |
event.idm.read_only_udm.security_result.description |
Dipetakan langsung dari kolom attack_info . |
auth_status |
event.idm.read_only_udm.security_result.summary |
Dipetakan langsung dari kolom auth_status . |
browse_time |
event.idm.read_only_udm.additional.fields[].value.string_value |
Dipetakan langsung dari kolom browse_time . Kuncinya adalah "browse_time". |
bytes |
event.idm.read_only_udm.additional.fields[].value.string_value |
Dipetakan langsung dari kolom bytes . Kuncinya adalah "byte". |
bytes |
event.idm.read_only_udm.additional.fields[].value.string_value |
Dipetakan langsung dari kolom bytes . Kuncinya adalah "byte". |
calc_service |
event.idm.read_only_udm.additional.fields[].value.string_value |
Dipetakan langsung dari kolom calc_service . Kuncinya adalah "calc_service". |
category |
event.idm.read_only_udm.security_result.category_details |
Dipetakan langsung dari kolom category . |
client_version |
event.idm.read_only_udm.intermediary.platform_version |
Dipetakan langsung dari kolom client_version . |
conn_direction |
event.idm.read_only_udm.additional.fields[].value.string_value |
Dipetakan langsung dari kolom conn_direction . Kuncinya adalah "conn_direction". |
conn_direction |
event.idm.read_only_udm.network.direction |
Jika conn_direction adalah "Masuk", akan dipetakan ke "INBOUND". Jika tidak, akan dipetakan ke "KELUAR". |
connection_count |
event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom connection_count . Kuncinya adalah "connection_count". |
contract_name |
event.idm.read_only_udm.security_result.description |
Dipetakan langsung dari kolom contract_name . |
cs2 |
event.idm.read_only_udm.security_result.rule_name |
Dipetakan langsung dari kolom cs2 . |
date_time |
event.idm.read_only_udm.metadata.event_timestamp |
Diurai dan dikonversi menjadi stempel waktu menggunakan berbagai format tanggal. |
dedup_time |
event.idm.read_only_udm.additional.fields[].value.string_value |
Dipetakan langsung dari kolom dedup_time . Kuncinya adalah "dedup_time". |
desc |
event.idm.read_only_udm.security_result.summary |
Dipetakan langsung dari kolom desc . |
description |
event.idm.read_only_udm.security_result.description |
Dipetakan langsung dari kolom description . |
description_url |
event.idm.read_only_udm.additional.fields[].value.string_value |
Dipetakan langsung dari kolom description_url . Kuncinya adalah "description_url". |
destinationAddress |
event.idm.read_only_udm.target.ip , event.idm.read_only_udm.target.asset.ip |
Dipetakan langsung dari kolom destinationAddress . |
destinationPort |
event.idm.read_only_udm.target.port |
Dipetakan langsung dari kolom destinationPort , dikonversi menjadi bilangan bulat. |
destinationTranslatedAddress |
event.idm.read_only_udm.target.ip , event.idm.read_only_udm.target.asset.ip |
Dipetakan langsung dari kolom destinationTranslatedAddress . |
destinationTranslatedAddress |
event.idm.read_only_udm.target.nat_ip |
Dipetakan langsung dari kolom destinationTranslatedAddress . |
destinationTranslatedPort |
event.idm.read_only_udm.target.port |
Dipetakan langsung dari kolom destinationTranslatedPort , dikonversi menjadi bilangan bulat. |
destinationTranslatedPort |
event.idm.read_only_udm.target.nat_port |
Dipetakan langsung dari kolom destinationTranslatedPort , dikonversi menjadi bilangan bulat. |
deviceCustomString2 |
event.idm.read_only_udm.security_result.rule_name |
Dipetakan langsung dari kolom deviceCustomString2 . |
deviceDirection |
event.idm.read_only_udm.network.direction |
Jika deviceDirection adalah 0, akan dipetakan ke "OUTBOUND". Jika 1, dipetakan ke "INBOUND". |
domain |
event.idm.read_only_udm.principal.administrative_domain |
Dipetakan langsung dari kolom domain . |
domain_name |
event.idm.read_only_udm.principal.administrative_domain |
Dipetakan langsung dari kolom domain_name . |
drop_reason |
event.idm.read_only_udm.security_result.summary |
Dipetakan langsung dari kolom drop_reason . |
ds |
event.idm.read_only_udm.metadata.event_timestamp |
Digunakan dengan ts dan tz untuk membuat stempel waktu peristiwa. |
dst |
event.idm.read_only_udm.target.ip , event.idm.read_only_udm.target.asset.ip |
Dipetakan langsung dari kolom dst . |
dst_country |
event.idm.read_only_udm.target.location.country_or_region |
Dipetakan langsung dari kolom dst_country . |
dst_ip |
event.idm.read_only_udm.target.ip , event.idm.read_only_udm.target.asset.ip |
Dipetakan langsung dari kolom dst_ip . |
dpt |
event.idm.read_only_udm.target.port |
Dipetakan langsung dari kolom dpt , dikonversi menjadi bilangan bulat. |
duration |
event.idm.read_only_udm.network.session_duration.seconds |
Dipetakan langsung dari kolom duration , dikonversi menjadi bilangan bulat, jika lebih besar dari 0. |
duser |
event.idm.read_only_udm.target.user.email_addresses , event.idm.read_only_udm.target.user.user_display_name |
Dipetakan langsung dari kolom duser jika cocok dengan format alamat email. |
environment_id |
event.idm.read_only_udm.target.resource.product_object_id |
Dipetakan langsung dari kolom environment_id . |
event_type |
event.idm.read_only_udm.metadata.event_type |
Ditentukan oleh logika berdasarkan keberadaan kolom dan nilai tertentu. Secara default ke GENERIC_EVENT jika tidak ada jenis peristiwa tertentu yang diidentifikasi. Dapat berupa NETWORK_CONNECTION , USER_LOGIN , USER_CHANGE_PASSWORD , USER_LOGOUT , NETWORK_HTTP , atau STATUS_UPDATE . |
fieldschanges |
event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom fieldschanges . Kuncinya adalah "fieldschanges". |
flags |
event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom flags . Kuncinya adalah "flags". |
flexString2 |
event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom flexString2 . Kunci adalah nilai flexString2Label . |
from_user |
event.idm.read_only_udm.principal.user.userid |
Dipetakan langsung dari kolom from_user . |
fservice |
event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom fservice . Kuncinya adalah "fservice". |
fw_subproduct |
event.idm.read_only_udm.metadata.product_name |
Dipetakan langsung dari kolom fw_subproduct saat product kosong. |
geoip_dst.country_name |
event.idm.read_only_udm.target.location.country_or_region |
Dipetakan langsung dari kolom geoip_dst.country_name . |
hll_key |
event.idm.read_only_udm.additional.fields[].value.string_value |
Dipetakan langsung dari kolom hll_key . Kuncinya adalah "hll_key". |
hostname |
event.idm.read_only_udm.target.hostname , event.idm.read_only_udm.target.asset.hostname , event.idm.read_only_udm.intermediary.hostname |
Dipetakan langsung dari kolom hostname saat inter_host kosong. |
http_host |
event.idm.read_only_udm.target.resource.attribute.labels[].value |
Dipetakan langsung dari kolom http_host . Kuncinya adalah "http_host". |
id |
event.idm.read_only_udm.metadata.product_log_id |
Dipetakan langsung dari kolom _id . |
identity_src |
event.idm.read_only_udm.target.application |
Dipetakan langsung dari kolom identity_src . |
identity_type |
event.idm.read_only_udm.extensions.auth.type |
Jika identity_type adalah "user", akan dipetakan ke "VPN". Jika tidak, dipetakan ke "MACHINE". |
if_direction |
event.idm.read_only_udm.network.direction |
Dipetakan langsung dari kolom if_direction , dikonversi ke huruf besar. |
ifdir |
event.idm.read_only_udm.network.direction |
Dipetakan langsung dari kolom ifdir , dikonversi ke huruf besar. |
ifname |
event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom ifname . Kuncinya adalah "ifname". |
IKE |
event.idm.read_only_udm.metadata.description |
Dipetakan langsung dari kolom IKE . |
inzone |
event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom inzone . Kuncinya adalah "inzone". |
industry_reference |
event.idm.read_only_udm.additional.fields[].value.string_value |
Dipetakan langsung dari kolom industry_reference . Kuncinya adalah "industry_reference". |
instance_id |
event.idm.read_only_udm.principal.hostname , event.idm.read_only_udm.principal.asset.hostname |
Dipetakan langsung dari kolom instance_id . |
inter_host |
event.idm.read_only_udm.intermediary.hostname |
Dipetakan langsung dari kolom inter_host . |
ip_proto |
event.idm.read_only_udm.network.ip_protocol |
Ditentukan berdasarkan kolom proto atau kolom service . Dapat berupa TCP, UDP, ICMP, IP6IN4, atau GRE. |
ipv6_dst |
event.idm.read_only_udm.target.ip , event.idm.read_only_udm.target.asset.ip |
Dipetakan langsung dari kolom ipv6_dst . |
ipv6_src |
event.idm.read_only_udm.principal.ip , event.idm.read_only_udm.principal.asset.ip |
Dipetakan langsung dari kolom ipv6_src . |
layer_name |
event.idm.read_only_udm.security_result.rule_set_display_name , event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom layer_name . Kuncinya adalah "layer_name". |
layer_uuid |
event.idm.read_only_udm.security_result.rule_set , event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom layer_uuid setelah menghapus tanda kurung kurawal. Kuncinya adalah "layer_uuid". |
layer_uuid_rule_uuid |
event.idm.read_only_udm.security_result.rule_id |
Dipetakan langsung dari kolom layer_uuid_rule_uuid setelah menghapus tanda kurung dan tanda kutip. |
log_id |
event.idm.read_only_udm.metadata.product_log_id |
Dipetakan langsung dari kolom log_id . |
log_type |
event.idm.read_only_udm.metadata.log_type |
Dipetakan langsung dari kolom log_type . Di-hardcode ke "CHECKPOINT_FIREWALL". |
loguid |
event.idm.read_only_udm.metadata.product_log_id |
Dipetakan langsung dari kolom loguid setelah menghapus tanda kurung kurawal. |
logic_changes |
event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom logic_changes . Kuncinya adalah "logic_changes". |
localhost |
event.idm.read_only_udm.target.hostname , event.idm.read_only_udm.target.asset.hostname |
Dipetakan langsung dari kolom localhost . dst_ip ditetapkan ke "127.0.0.1". |
malware_action |
event.idm.read_only_udm.security_result.detection_fields[].value , event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value |
Dipetakan langsung dari kolom malware_action . Kuncinya adalah "malware_action". |
malware_family |
event.idm.read_only_udm.security_result.detection_fields[].value , event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value |
Dipetakan langsung dari kolom malware_family . Kuncinya adalah "malware_family". |
malware_rule_id |
event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom malware_rule_id setelah menghapus tanda kurung kurawal. Kuncinya adalah "Malware Rule ID". |
malware_rule_name |
event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom malware_rule_name . Kuncinya adalah "Nama Aturan Malware". |
match_id |
event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom match_id . Kuncinya adalah "match_id". |
matched_category |
event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom matched_category . Kuncinya adalah "matched_category". |
message_info |
event.idm.read_only_udm.metadata.description |
Dipetakan langsung dari kolom message_info . |
method |
event.idm.read_only_udm.network.http.method |
Dipetakan langsung dari kolom method . |
mitre_execution |
event.idm.read_only_udm.additional.fields[].value.string_value |
Dipetakan langsung dari kolom mitre_execution . Kuncinya adalah "mitre_execution". |
mitre_initial_access |
event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom mitre_initial_access . Kuncinya adalah "mitre_initial_access". |
nat_rulenum |
event.idm.read_only_udm.security_result.rule_id |
Dipetakan langsung dari kolom nat_rulenum , yang dikonversi menjadi string. |
objecttype |
event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom objecttype . Kuncinya adalah "objecttype". |
operation |
event.idm.read_only_udm.security_result.summary |
Dipetakan langsung dari kolom operation . |
operation |
event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom operation . Kuncinya adalah "operation". |
orig |
event.idm.read_only_udm.principal.hostname , event.idm.read_only_udm.principal.asset.hostname |
Dipetakan langsung dari kolom orig . |
origin |
event.idm.read_only_udm.principal.ip , event.idm.read_only_udm.principal.asset.ip , event.idm.read_only_udm.target.ip , event.idm.read_only_udm.target.asset.ip , event.idm.read_only_udm.intermediary.ip |
Dipetakan langsung dari kolom origin . |
origin_sic_name |
event.idm.read_only_udm.intermediary.asset_id , event.idm.read_only_udm.intermediary.labels[].value |
Dipetakan langsung dari kolom origin_sic_name . Kuncinya adalah "Machine SIC". ID aset diawali dengan "asset:". |
originsicname |
event.idm.read_only_udm.additional.fields[].value.string_value |
Dipetakan langsung dari kolom originsicname . Kuncinya adalah "originsicname". |
originsicname |
event.idm.read_only_udm.intermediary.asset_id , event.idm.read_only_udm.intermediary.labels[].value |
Dipetakan langsung dari kolom originsicname . Kuncinya adalah "Machine SIC". ID aset diawali dengan "asset:". |
os_name |
event.idm.read_only_udm.principal.asset.platform_software.platform |
Jika os_name berisi "Win", akan dipetakan ke "WINDOWS". Jika berisi "MAC" atau "IOS", akan dipetakan ke "MAC". Jika berisi "LINUX", akan dipetakan ke "LINUX". |
os_version |
event.idm.read_only_udm.principal.asset.platform_software.platform_patch_level |
Dipetakan langsung dari kolom os_version . |
outzone |
event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom outzone . Kuncinya adalah "outzone". |
packets |
event.idm.read_only_udm.additional.fields[].value.string_value |
Dipetakan langsung dari kolom packets . Kuncinya adalah "paket". |
packet_capture_name |
event.idm.read_only_udm.additional.fields[].value.string_value |
Dipetakan langsung dari kolom packet_capture_name . Kuncinya adalah "packet_capture_name". |
packet_capture_time |
event.idm.read_only_udm.additional.fields[].value.string_value |
Dipetakan langsung dari kolom packet_capture_time . Kuncinya adalah "packet_capture_time". |
packet_capture_unique_id |
event.idm.read_only_udm.additional.fields[].value.string_value |
Dipetakan langsung dari kolom packet_capture_unique_id . Kuncinya adalah "packet_capture_unique_id". |
parent_rule |
event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom parent_rule . Kuncinya adalah "parent_rule". |
performance_impact |
event.idm.read_only_udm.additional.fields[].value.string_value |
Dipetakan langsung dari kolom performance_impact . Kuncinya adalah "performance_impact". |
policy_name |
event.idm.read_only_udm.security_result.detection_fields[].value |
Diekstrak dari kolom __policy_id_tag menggunakan grok dan dipetakan. Kuncinya adalah "Nama Kebijakan". |
policy_time |
event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom policy_time . Kuncinya adalah "policy_time". |
portal_message |
event.idm.read_only_udm.security_result.description |
Dipetakan langsung dari kolom portal_message . |
principal_hostname |
event.idm.read_only_udm.principal.ip , event.idm.read_only_udm.principal.asset.ip |
Dipetakan langsung dari kolom principal_hostname jika merupakan alamat IP yang valid. |
principal_hostname |
event.idm.read_only_udm.principal.hostname , event.idm.read_only_udm.principal.asset.hostname |
Dipetakan langsung dari kolom principal_hostname jika bukan alamat IP yang valid dan bukan "Checkpoint". |
prod_family_label |
event.idm.read_only_udm.additional.fields[].value.string_value |
Dipetakan langsung dari kolom ProductFamily . Kuncinya adalah "ProductFamily". |
product |
event.idm.read_only_udm.metadata.product_name |
Dipetakan langsung dari kolom product . |
product_family |
event.idm.read_only_udm.additional.fields[].value.string_value |
Dipetakan langsung dari kolom product_family . Kuncinya adalah "product_family". |
product_family |
event.idm.read_only_udm.additional.fields[].value.string_value |
Dipetakan langsung dari kolom product_family . Kuncinya adalah "product_family". |
ProductName |
event.idm.read_only_udm.metadata.product_name |
Dipetakan langsung dari kolom ProductName saat product kosong. |
product_name |
event.idm.read_only_udm.metadata.product_name |
Dipetakan langsung dari kolom product_name . |
profile |
event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom profile . Kuncinya adalah "profile". |
protocol |
event.idm.read_only_udm.network.application_protocol |
Dipetakan langsung dari kolom protocol jika "HTTP". |
proxy_src_ip |
event.idm.read_only_udm.principal.nat_ip |
Dipetakan langsung dari kolom proxy_src_ip . |
reason |
event.idm.read_only_udm.security_result.summary |
Dipetakan langsung dari kolom reason . |
received_bytes |
event.idm.read_only_udm.network.received_bytes |
Dipetakan langsung dari kolom received_bytes , dikonversi menjadi bilangan bulat tanpa tanda tangan. |
Reference |
event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value , event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom Reference . Kuncinya adalah "Referensi". Digunakan untuk membuat _vuln.name dengan attack . |
reject_id_kid |
event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom reject_id_kid . Kuncinya adalah "reject_id_kid". |
resource |
event.idm.read_only_udm.target.url |
Diurai sebagai JSON dan dipetakan ke URL target. Jika penguraian gagal, penguraian akan langsung dipetakan. |
resource |
event.idm.read_only_udm.additional.fields[].value.list_value.values[].string_value |
Diurai sebagai JSON dan setiap nilai dalam array resource ditambahkan ke daftar. Kuncinya adalah "Resource". |
result |
event.idm.read_only_udm.metadata.event_timestamp |
Diurai dengan date_time untuk membuat stempel waktu peristiwa. |
rt |
event.idm.read_only_udm.metadata.event_timestamp |
Diurai sebagai milidetik sejak epoch dan dikonversi menjadi stempel waktu. |
rule |
event.idm.read_only_udm.security_result.rule_name |
Dipetakan langsung dari kolom rule . |
rule_action |
event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom rule_action . Kuncinya adalah "rule_action". |
rule_name |
event.idm.read_only_udm.security_result.rule_name |
Dipetakan langsung dari kolom rule_name . |
rule_uid |
event.idm.read_only_udm.security_result.rule_id |
Dipetakan langsung dari kolom rule_uid . |
s_port |
event.idm.read_only_udm.principal.port |
Dipetakan langsung dari kolom s_port , dikonversi menjadi bilangan bulat. |
scheme |
event.idm.read_only_udm.additional.fields[].value.string_value |
Dipetakan langsung dari kolom scheme . Kuncinya adalah "skema". |
security_inzone |
event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom security_inzone . Kuncinya adalah "security_inzone". |
security_outzone |
event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom security_outzone . Kuncinya adalah "security_outzone". |
security_result_action |
event.idm.read_only_udm.security_result.action |
Dipetakan langsung dari kolom security_result_action . |
sendtotrackerasadvancedauditlog |
event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom sendtotrackerasadvancedauditlog . Kuncinya adalah "sendtotrackerasadvancedauditlog". |
sent_bytes |
event.idm.read_only_udm.network.sent_bytes |
Dipetakan langsung dari kolom sent_bytes , dikonversi menjadi bilangan bulat tanpa tanda tangan. |
sequencenum |
event.idm.read_only_udm.additional.fields[].value.string_value |
Dipetakan langsung dari kolom sequencenum . Kuncinya adalah "sequencenum". |
ser_agent_kid |
event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom ser_agent_kid . Kuncinya adalah "ser_agent_kid". |
service |
event.idm.read_only_udm.target.port |
Dipetakan langsung dari kolom service , dikonversi menjadi bilangan bulat. |
service_id |
event.idm.read_only_udm.network.application_protocol |
Dipetakan langsung dari kolom service_id jika "dhcp", "dns", "http", "https", atau "quic", dikonversi ke huruf besar. |
service_id |
event.idm.read_only_udm.principal.application |
Dipetakan langsung dari kolom service_id jika bukan salah satu protokol aplikasi jaringan. |
service_id |
event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom service_id . Kuncinya adalah "service_id". |
session_description |
event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom session_description . Kuncinya adalah "session_description". |
session_id |
event.idm.read_only_udm.network.session_id |
Dipetakan langsung dari kolom session_id setelah menghapus tanda kurung kurawal. |
session_name |
event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom session_name . Kuncinya adalah "session_name". |
session_uid |
event.idm.read_only_udm.network.session_id |
Dipetakan langsung dari kolom session_uid setelah menghapus tanda kurung kurawal. |
Severity |
event.idm.read_only_udm.security_result.severity |
Dipetakan ke "LOW", "MEDIUM", "HIGH", atau "CRITICAL" berdasarkan nilai Severity . |
severity |
event.idm.read_only_udm.security_result.severity |
Dipetakan ke "LOW", "MEDIUM", "HIGH", atau "CRITICAL" berdasarkan nilai severity . |
site |
event.idm.read_only_udm.network.http.user_agent |
Dipetakan langsung dari kolom site . |
smartdefense_profile |
event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom smartdefense_profile . Kuncinya adalah "smartdefense_profile". |
snid |
event.idm.read_only_udm.network.session_id |
Dipetakan langsung dari kolom snid jika tidak kosong atau "0". |
sourceAddress |
event.idm.read_only_udm.principal.ip , event.idm.read_only_udm.principal.asset.ip |
Dipetakan langsung dari kolom sourceAddress . |
sourcePort |
event.idm.read_only_udm.principal.port |
Dipetakan langsung dari kolom sourcePort , dikonversi menjadi bilangan bulat. |
sourceTranslatedAddress |
event.idm.read_only_udm.principal.ip , event.idm.read_only_udm.principal.asset.ip |
Dipetakan langsung dari kolom sourceTranslatedAddress . |
sourceTranslatedAddress |
event.idm.read_only_udm.principal.nat_ip |
Dipetakan langsung dari kolom sourceTranslatedAddress . |
sourceTranslatedPort |
event.idm.read_only_udm.principal.port |
Dipetakan langsung dari kolom sourceTranslatedPort , dikonversi menjadi bilangan bulat. |
sourceTranslatedPort |
event.idm.read_only_udm.principal.nat_port |
Dipetakan langsung dari kolom sourceTranslatedPort , dikonversi menjadi bilangan bulat. |
sourceUserName |
event.idm.read_only_udm.principal.user.userid , event.idm.read_only_udm.principal.user.first_name , event.idm.read_only_udm.principal.user.last_name |
Diurai menggunakan grok untuk mengekstrak userid, nama depan, dan nama belakang. |
spt |
event.idm.read_only_udm.principal.port |
Dipetakan langsung dari kolom spt , dikonversi menjadi bilangan bulat. |
src |
event.idm.read_only_udm.principal.ip , event.idm.read_only_udm.principal.asset.ip |
Dipetakan langsung dari kolom src . |
src_ip |
event.idm.read_only_udm.principal.ip , event.idm.read_only_udm.principal.asset.ip |
Dipetakan langsung dari kolom src_ip . |
src_localhost |
event.idm.read_only_udm.principal.hostname , event.idm.read_only_udm.principal.asset.hostname |
Dipetakan langsung dari kolom src_localhost . src_ip ditetapkan ke "127.0.0.1". |
src_machine_name |
event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom src_machine_name . Kuncinya adalah "src_machine_name". |
src_port |
event.idm.read_only_udm.principal.port |
Dipetakan langsung dari kolom src_port , dikonversi menjadi bilangan bulat. |
src_user |
event.idm.read_only_udm.principal.user.userid |
Dipetakan langsung dari kolom src_user . |
src_user_dn |
event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom src_user_dn . Kuncinya adalah "src_user_dn". |
src_user_name |
event.idm.read_only_udm.principal.user.userid |
Dipetakan langsung dari kolom src_user_name . |
sub_policy_name |
event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom sub_policy_name . Kuncinya adalah "sub_policy_name". |
sub_policy_uid |
event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom sub_policy_uid . Kuncinya adalah "sub_policy_uid". |
subject |
event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom subject . Kuncinya adalah "subjek". |
subscription_stat_desc |
event.idm.read_only_udm.security_result.summary |
Dipetakan langsung dari kolom subscription_stat_desc . |
tags |
event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom tags . Kuncinya adalah "tags". |
tar_user |
event.idm.read_only_udm.target.user.userid |
Dipetakan langsung dari kolom tar_user . |
target_port |
event.idm.read_only_udm.target.port |
Dipetakan langsung dari kolom target_port . |
tcp_flags |
event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom tcp_flags . Kuncinya adalah "tcp_flags". |
tcp_packet_out_of_state |
event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom tcp_packet_out_of_state . Kuncinya adalah "tcp_packet_out_of_state". |
time |
event.idm.read_only_udm.metadata.event_timestamp |
Diurai dan dikonversi menjadi stempel waktu menggunakan berbagai format tanggal. |
ts |
event.idm.read_only_udm.metadata.event_timestamp |
Diurai dengan ds dan tz untuk membuat stempel waktu peristiwa. |
type |
event.idm.read_only_udm.security_result.rule_type |
Dipetakan langsung dari kolom type . |
tz |
event.idm.read_only_udm.metadata.event_timestamp |
Digunakan dengan ds dan ts untuk membuat stempel waktu peristiwa. |
update_count |
event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom update_count . Kuncinya adalah "update_count". |
URL |
event.idm.read_only_udm.security_result.about.url |
Dipetakan langsung dari kolom URL . |
user |
event.idm.read_only_udm.principal.user.userid |
Dipetakan langsung dari kolom user . |
user_agent |
event.idm.read_only_udm.network.http.user_agent |
Dipetakan langsung dari kolom user_agent . Juga diuraikan dan dipetakan ke event.idm.read_only_udm.network.http.parsed_user_agent . |
userip |
event.idm.read_only_udm.principal.ip , event.idm.read_only_udm.principal.asset.ip |
Dipetakan langsung dari kolom userip jika merupakan alamat IP yang valid. |
UUid |
event.idm.read_only_udm.metadata.product_log_id |
Dipetakan langsung dari kolom UUid setelah menghapus tanda kurung kurawal. |
version |
event.idm.read_only_udm.metadata.product_version |
Dipetakan langsung dari kolom version . |
web_client_type |
event.idm.read_only_udm.network.http.user_agent |
Dipetakan langsung dari kolom web_client_type . |
xlatedport |
event.idm.read_only_udm.target.nat_port |
Dipetakan langsung dari kolom xlatedport , dikonversi menjadi bilangan bulat. |
xlatedst |
event.idm.read_only_udm.target.nat_ip |
Dipetakan langsung dari kolom xlatedst . |
xlatesport |
event.idm.read_only_udm.principal.nat_port |
Dipetakan langsung dari kolom xlatesport , dikonversi menjadi bilangan bulat. |
xlatesrc |
event.idm.read_only_udm.principal.nat_ip |
Dipetakan langsung dari kolom xlatesrc . |
event.idm.read_only_udm.metadata.vendor_name |
Check Point |
Nilai hardcode. |
event.idm.read_only_udm.metadata.log_type |
CHECKPOINT_FIREWALL |
Nilai hardcode. |
event.idm.read_only_udm.security_result.rule_type |
Firewall Rule |
Nilai default, kecuali jika diganti oleh logika tertentu. |
event.idm.is_alert |
true |
Tetapkan ke benar jika kolom alert adalah "ya". |
has_principal |
true |
Tetapkan ke benar jika IP utama atau nama host diekstrak. |
has_target |
true |
Tetapkan ke benar jika IP target atau nama host diekstrak. |
Perubahan
2024-05-29
- Memetakan "layer_uuid_rule_uuid" ke "security_result.rule_id".
- Memetakan "domain" ke "principal.administrative_domain".
- Memetakan "fservice", "appi_name", "app_risk", dan "policy_name" ke "security_result.detection_fields".
- Memetakan "packets", "__id", "dedup_time", "browse_time", "bytes", "product_family", "hll_key", dan "calc_service" ke "additional.fields".
- Memetakan "id" ke "metadata.product_log_id".
- Memetakan "orig_log_server" ke "principal.resource.product_object_id".
- Memetakan "environment_id" ke "target.resource.product_object_id".
- Memetakan "client_outbound_packets" dan "client_inbound_packets" ke "principal.resource.attribute.labels".
- Memetakan "server_outbound_bytes" dan "server_inbound_bytes" ke "target.resource.attribute.labels".
- Memetakan "orig" ke "principal.hostname" dan "principal.asset.hostname".
- Memetakan "orig_log_server_ip" ke "principal.ip" dan "principal.asset.ip".
- Memetakan "proto" ke "network.ip_protocol".
2024-05-20
- Menambahkan pola Grok untuk mengekstrak "inter_host".
- Memetakan "inter_host" ke "intermediary.hostname".
2024-04-19
- Peningkatan dan Perbaikan Bug:
- Memetakan "origin" ke "target.ip" dan "target.asset.ip".
- Menambahkan pola Grok baru untuk mengurai format baru log SYSLOG.
- Memetakan "smartdefense_profile", "malware_rule_id", dan "malware_rule_name" ke "security_result.detection_fields".
- Memetakan "sequencenum", "description_url", "industry_reference", "mitre_execution", "packet_capture_name", "packet_capture_unique_id", "packet_capture_time", dan "performance_impact" ke "additional.fields".
- Memetakan "version" ke "metadata.product_version".
- Memetakan "http_host" ke "target.resource.attribute.labels".
- Memetakan "log_id" ke "metadata.product_log_id".
- Memetakan "user_agent" ke "network.http.user_agent" dan "http.parsed_user_agent".
- Memetakan "hostname", "dvc", dan "principal_hostname" ke "target.hostname" dan "target.asset.hostname".
- Jika "has_principal" adalah "true", "has_target" adalah "true", dan "Action"/"action" adalah "Login" atau "Failed Login" atau "Failed Login" atau "Update", tetapkan "metadata.event_type" ke "USER_LOGIN" dan "extensions.auth.type" ke "AUTHTYPE_UNSPECIFIED".
- Jika "has_principal" adalah "true", "has_target" adalah "true", dan "Action"/"act"/"event_type" adalah "Log Out" atau "Logout", tetapkan "metadata.event_type" ke "USER_LOGOUT" dan "extensions.auth.type" ke "AUTHTYPE_UNSPECIFIED".
- Jika "has_principal" adalah "true", "has_target" adalah "true", lalu tetapkan "metadata.event_type" ke "NETWORK_CONNECTION".
- Jika "has_principal" adalah "true", "has_target" adalah "false", tetapkan "metadata.event_type" ke "STATUS_UPDATE".
2024-02-07
- menambahkan pemetaan untuk kolom berikut:
- Memetakan "protection_id", "malware_action", "malware_family,protection_name", "protection_type" ke "security_result.detection_fields".
- Memetakan "confidence_level" ke "security_result.confidence" dan "security_result.confidence_details".
2024-02-05
- menambahkan pemetaan untuk kolom berikut:
- Memetakan "method" ke "network.http.method".
2024-01-24
- menambahkan pemetaan untuk kolom berikut:
- Memetakan "method" ke "network.http.method".
- Memetakan "duration" ke "network.session_duration.seconds".
- Memetakan "additional_info" ke "security_result.description".
- Memetakan "operation" ke "security_result.summary".
- Memetakan "subject" ke "metadata.description".
- Memetakan "principal_hostname" ke "intermediary.hostname".
- Memetakan "tcp_packet_out_of_state", "aggregated_log_count", "connection_count", "appi_name", "src_user_dn",
- "update_count", "additional_info", "administrator", "operation", "sendtotrackerasadvancedauditlog",
- "subject", "fieldschanges", "logic_changes", "objecttype", "session_description",
- "session_name" menjadi "security_result.detection_fields".
2023-12-27
- menambahkan pemetaan untuk kolom berikut:
- Memetakan "flag" ke "security_result.detection_fields".
- Memetakan "tcp_flags" ke "security_result.detection_fields".
- Memetakan "tcp_packet_out_of_state" ke "security_result.detection_fields".
2023-12-11
- Jika "principal_hostname" adalah IP yang valid, petakan ke "principal.ip".
- Jika "principal_hostname" bukan IP yang valid, petakan ke "principal.hostname".
- Memetakan "sport_svc" ke "principal.port".
- Memetakan "ProductFamily" ke "additional.fields".
- Memetakan "mitre_initial_access" ke "security_result.detection_fields".
- Memetakan "policy_time" ke "security_result.detection_fields".
- Memetakan "profile" ke "security_result.detection_fields".
- Memetakan "reject_id_kid" ke "security_result.detection_fields".
- Memetakan "ser_agent_kid" ke "security_result.detection_fields".
2023-10-11
- Jika "product" adalah "New Anti Virus", pemetaan dari "firewall management node" ke "principal.hostname" akan dihapus dan dipetakan ke "security_result.detection_fields".
2023-07-06
- menambahkan pemetaan untuk kolom berikut:
- Memetakan "app_category" ke "security_result.category_details".
- Memetakan "matched_category" ke "security_result.detection_fields".
- Memetakan "app_properties" ke "security_result.detection_fields".
2023-06-14
- menambahkan pemetaan untuk kolom berikut
- Memetakan "conn_direction" ke "additional.fields".
- Mengubah gsub agar tidak mengganti ":" dengan "=" dari nilai sebenarnya.
2023-05-12
- menambahkan pemetaan untuk kolom berikut
- Memetakan "rule_name" ke "security_result.rule_name".
- Memetakan "rule","sub_policy_name","sub_policy_uid","smartdefense_profile","tags","flexString2" ke "security_result.detection_fields".
- Menambahkan pola Grok baru untuk mendukung format log baru.
- Memetakan "dvc" ke "intermediary.hostname".
- Memetakan "hostname" ke "intermediary.hostname".
- Memetakan "origin_sic_name" ke "intermediary.asset_id".
- Memetakan "conn_direction" ke "network.ip_protocol".
- Memetakan "ifname" ke "security_result.detection_fields".
- Memetakan "security_inzone" ke "security_result.detection_fields".
- Memetakan "match_id" ke "security_result.detection_fields".
- Memetakan "parent_rule" ke "security_result.detection_fields".
- Memetakan "security_outzone" ke "security_result.detection_fields".
- Memetakan "sub_policy_name" ke "security_result.detection_fields".
- Memetakan "sub_policy_uid" ke "security_result.detection_fields".
- Memetakan "drop_reason" ke "security_result.summary".
- Memetakan "reason" ke "security_result.summary".
- Memetakan "xlatesport" ke "principal.nat_port".
- Memetakan "xlatedport" ke "target.nat_port".
- Memetakan "ipv6_dst" ke "target.ip".
- Memetakan "ipv6_src" ke "principal.ip".
2023-04-24
- Menambahkan dukungan untuk log dengan format CEF.
2022-11-18
- Mengubah pemetaan untuk "service" dan memetakan ke "target.port".
2022-10-27
- Menambahkan pemeriksaan bersyarat untuk "attack","attack_info","policy_name".
- Menambahkan pola grok untuk mengambil "principal_hostname".
- Menambahkan gsub untuk mengubah "=" menjadi ":".
- Mengubah pemetaan untuk "service" dan memetakan ke "target.resource.attribute.labels".
2022-10-13
- Memetakan kolom 'fw_subproduct' ke 'metadata.product_name'.
- Menambahkan pola grok untuk mengekstrak IP dari kolom 'src'.
2022-08-30
- Menggabungkan perubahan versi khusus Pelanggan ke versi default.
- Menghapus log yang berisi "*****" di UserCheck.
2022-08-18
- Memetakan "portal_message" ke "security_result.description".
- Memetakan "security_result.category" sebagai "SOFTWARE_MALICIOUS" jika "portal_message" berisi kata kunci "malware/malicious".
- Memetakan "URL" ke "security_result.about.url".
- Memetakan "Aktivitas" ke "security_result.summary".
- Memetakan "Referensi" ke "security_result.about.resource.attribute.labels".
- Mengubah "event_type" dari "GENERIC_EVENT" menjadi "STATUS_UPDATE" dengan mereplikasi nilai "intermediary.ip" ke "principal.ip".
2022-08-12
- Memetakan "malware_action", "malware_family,protection_name", "protection_type" ke "security_result.about.resource.attribute.labels".
- Memetakan "src_machine_name" ke "security_result.detection_fields".
2022-06-30
- Memetakan "message_info" ke "metadata.description".
2022-06-17
- Menambahkan pemeriksaan bersyarat untuk kolom "nat_rulenum", "rule", "sent_bytes", "received_bytes", "s_port", "service".
- Mengubah event_types untuk kasus berikut:
- "GENERIC_EVENT" ke "NETWORK_CONNECTION" dengan "principal.ip or principal.hostname" dan "target.ip or target.hostname" tidak null.
- "GENERIC_EVENT" ke "STATUS_UNCATEGORIZED" dengan "principal.ip atau principal.hostname" tidak null.
2022-06-14
- Mengubah parser untuk mengurai lebih banyak log dengan menghapus pemeriksaan kondisi untuk passwd.
2022-06-07
- Memetakan src_machine_name ke security_result.detection_fields.
2022-05-19
- Memetakan inzone, outzone, layer_name, layer_uuid, dan policy_name ke security_result.detection_fields.
- Memetakan service_id ke principal.application.