Mengumpulkan log firewall Check Point
Didukung di:
Google SecOps
SIEM
Parser ini mengekstrak log firewall Check Point. Fungsi ini menangani pesan berformat CEF dan non-CEF, termasuk syslog, pasangan nilai kunci, dan JSON. Fungsi ini menormalisasi kolom, memetakan kolom ke UDM, dan menjalankan logika tertentu untuk login/logout, koneksi jaringan, dan peristiwa keamanan. Fitur ini memperkaya data dengan informasi kontekstual seperti geolokasi dan intelijen ancaman.
Sebelum memulai
- Pastikan Anda memiliki instance Google Security Operations.
- Pastikan Anda menggunakan Windows 2016 atau yang lebih baru, atau host Linux dengan systemd.
- Jika berjalan di balik proxy, pastikan port firewall terbuka.
- Pastikan Anda memiliki akses dengan hak istimewa ke Check Point Firewall.
Mendapatkan file autentikasi penyerapan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Agen Pengumpulan.
- Download File Autentikasi Proses Transfer.
Mendapatkan ID pelanggan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Profil.
- Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.
Menginstal Agen Bindplane
- Untuk penginstalan Windows, jalankan skrip berikut:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet - Untuk penginstalan Linux, jalankan skrip berikut:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh - Opsi penginstalan tambahan dapat ditemukan di panduan penginstalan ini.
Mengonfigurasi Agen Bindplane untuk menyerap Syslog dan mengirimnya ke Google SecOps
- Akses komputer tempat Bindplane diinstal.
Edit file
config.yamlsebagai berikut:receivers: udplog: # Replace the below port <54525> and IP <0.0.0.0> with your specific values listen_address: "0.0.0.0:54525" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the creds location below according the placement of the credentials file you downloaded creds: '{ json file for creds }' # Replace <customer_id> below with your actual ID that you copied customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # You can apply ingestion labels below as preferred ingestion_labels: log_type: SYSLOG namespace: Checkpoint_Firewall raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labelsMulai ulang Agen Bindplane untuk menerapkan perubahan:
sudo systemctl restart bindplane
Mengonfigurasi Ekspor Syslog di Firewall Check Point
- Login ke UI firewall Check Point menggunakan akun dengan hak istimewa.
- Buka Logs & Monitoring > Log Servers.
- Buka Server Syslog.
- Klik Konfigurasi, lalu tetapkan nilai berikut:
- Protokol: pilih UDP untuk mengirim log keamanan dan/atau log sistem.
- Name: berikan nama unik (misalnya, Bindplane_Server).
- Alamat IP: berikan alamat IP server syslog Anda (IP Bindplane).
- Port: berikan Port server syslog Anda (Port Bindplane).
- Pilih Aktifkan server log.
- Pilih log yang akan diteruskan: Log sistem dan keamanan.
- Klik Terapkan.
Tabel Pemetaan UDM
| Kolom Log | Pemetaan UDM | Logika |
|---|---|---|
Action |
event.idm.read_only_udm.security_result.action_details |
Dipetakan langsung dari kolom Action. |
Activity |
event.idm.read_only_udm.security_result.summary |
Dipetakan langsung dari kolom Activity. |
additional_info |
event.idm.read_only_udm.security_result.description |
Dipetakan langsung dari kolom additional_info. |
administrator |
event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom administrator. Kuncinya adalah "administrator". |
aggregated_log_count |
event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom aggregated_log_count. Kuncinya adalah "aggregated_log_count". |
appi_name |
event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom appi_name. Kuncinya adalah "appi_name". |
app_category |
event.idm.read_only_udm.security_result.category_details |
Dipetakan langsung dari kolom app_category. |
app_properties |
event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom app_properties. Kuncinya adalah "app_properties". |
app_risk |
event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom app_risk. Kuncinya adalah "app_risk". |
app_session_id |
event.idm.read_only_udm.network.session_id |
Dipetakan langsung dari kolom app_session_id, dikonversi menjadi string. |
attack |
event.idm.read_only_udm.security_result.summary |
Dipetakan langsung dari kolom attack jika Info ada. |
attack |
event.idm.read_only_udm.security_result.threat_name |
Dipetakan langsung dari kolom attack jika Info ada. |
attack_info |
event.idm.read_only_udm.security_result.description |
Dipetakan langsung dari kolom attack_info. |
auth_status |
event.idm.read_only_udm.security_result.summary |
Dipetakan langsung dari kolom auth_status. |
browse_time |
event.idm.read_only_udm.additional.fields[].value.string_value |
Dipetakan langsung dari kolom browse_time. Kuncinya adalah "browse_time". |
bytes |
event.idm.read_only_udm.additional.fields[].value.string_value |
Dipetakan langsung dari kolom bytes. Kuncinya adalah "byte". |
bytes |
event.idm.read_only_udm.additional.fields[].value.string_value |
Dipetakan langsung dari kolom bytes. Kuncinya adalah "byte". |
calc_service |
event.idm.read_only_udm.additional.fields[].value.string_value |
Dipetakan langsung dari kolom calc_service. Kuncinya adalah "calc_service". |
category |
event.idm.read_only_udm.security_result.category_details |
Dipetakan langsung dari kolom category. |
client_version |
event.idm.read_only_udm.intermediary.platform_version |
Dipetakan langsung dari kolom client_version. |
conn_direction |
event.idm.read_only_udm.additional.fields[].value.string_value |
Dipetakan langsung dari kolom conn_direction. Kuncinya adalah "conn_direction". |
conn_direction |
event.idm.read_only_udm.network.direction |
Jika conn_direction adalah "Masuk", akan dipetakan ke "INBOUND". Jika tidak, akan dipetakan ke "KELUAR". |
connection_count |
event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom connection_count. Kuncinya adalah "connection_count". |
contract_name |
event.idm.read_only_udm.security_result.description |
Dipetakan langsung dari kolom contract_name. |
cs2 |
event.idm.read_only_udm.security_result.rule_name |
Dipetakan langsung dari kolom cs2. |
date_time |
event.idm.read_only_udm.metadata.event_timestamp |
Diurai dan dikonversi menjadi stempel waktu menggunakan berbagai format tanggal. |
dedup_time |
event.idm.read_only_udm.additional.fields[].value.string_value |
Dipetakan langsung dari kolom dedup_time. Kuncinya adalah "dedup_time". |
desc |
event.idm.read_only_udm.security_result.summary |
Dipetakan langsung dari kolom desc. |
description |
event.idm.read_only_udm.security_result.description |
Dipetakan langsung dari kolom description. |
description_url |
event.idm.read_only_udm.additional.fields[].value.string_value |
Dipetakan langsung dari kolom description_url. Kuncinya adalah "description_url". |
destinationAddress |
event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip |
Dipetakan langsung dari kolom destinationAddress. |
destinationPort |
event.idm.read_only_udm.target.port |
Dipetakan langsung dari kolom destinationPort, dikonversi menjadi bilangan bulat. |
destinationTranslatedAddress |
event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip |
Dipetakan langsung dari kolom destinationTranslatedAddress. |
destinationTranslatedAddress |
event.idm.read_only_udm.target.nat_ip |
Dipetakan langsung dari kolom destinationTranslatedAddress. |
destinationTranslatedPort |
event.idm.read_only_udm.target.port |
Dipetakan langsung dari kolom destinationTranslatedPort, dikonversi menjadi bilangan bulat. |
destinationTranslatedPort |
event.idm.read_only_udm.target.nat_port |
Dipetakan langsung dari kolom destinationTranslatedPort, dikonversi menjadi bilangan bulat. |
deviceCustomString2 |
event.idm.read_only_udm.security_result.rule_name |
Dipetakan langsung dari kolom deviceCustomString2. |
deviceDirection |
event.idm.read_only_udm.network.direction |
Jika deviceDirection adalah 0, akan dipetakan ke "OUTBOUND". Jika 1, dipetakan ke "INBOUND". |
domain |
event.idm.read_only_udm.principal.administrative_domain |
Dipetakan langsung dari kolom domain. |
domain_name |
event.idm.read_only_udm.principal.administrative_domain |
Dipetakan langsung dari kolom domain_name. |
drop_reason |
event.idm.read_only_udm.security_result.summary |
Dipetakan langsung dari kolom drop_reason. |
ds |
event.idm.read_only_udm.metadata.event_timestamp |
Digunakan dengan ts dan tz untuk membuat stempel waktu peristiwa. |
dst |
event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip |
Dipetakan langsung dari kolom dst. |
dst_country |
event.idm.read_only_udm.target.location.country_or_region |
Dipetakan langsung dari kolom dst_country. |
dst_ip |
event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip |
Dipetakan langsung dari kolom dst_ip. |
dpt |
event.idm.read_only_udm.target.port |
Dipetakan langsung dari kolom dpt, dikonversi menjadi bilangan bulat. |
duration |
event.idm.read_only_udm.network.session_duration.seconds |
Dipetakan langsung dari kolom duration, dikonversi menjadi bilangan bulat, jika lebih besar dari 0. |
duser |
event.idm.read_only_udm.target.user.email_addresses, event.idm.read_only_udm.target.user.user_display_name |
Dipetakan langsung dari kolom duser jika cocok dengan format alamat email. |
environment_id |
event.idm.read_only_udm.target.resource.product_object_id |
Dipetakan langsung dari kolom environment_id. |
event_type |
event.idm.read_only_udm.metadata.event_type |
Ditentukan oleh logika berdasarkan keberadaan kolom dan nilai tertentu. Secara default ke GENERIC_EVENT jika tidak ada jenis peristiwa tertentu yang diidentifikasi. Dapat berupa NETWORK_CONNECTION, USER_LOGIN, USER_CHANGE_PASSWORD, USER_LOGOUT, NETWORK_HTTP, atau STATUS_UPDATE. |
fieldschanges |
event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom fieldschanges. Kuncinya adalah "fieldschanges". |
flags |
event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom flags. Kuncinya adalah "flags". |
flexString2 |
event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom flexString2. Kunci adalah nilai flexString2Label. |
from_user |
event.idm.read_only_udm.principal.user.userid |
Dipetakan langsung dari kolom from_user. |
fservice |
event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom fservice. Kuncinya adalah "fservice". |
fw_subproduct |
event.idm.read_only_udm.metadata.product_name |
Dipetakan langsung dari kolom fw_subproduct saat product kosong. |
geoip_dst.country_name |
event.idm.read_only_udm.target.location.country_or_region |
Dipetakan langsung dari kolom geoip_dst.country_name. |
hll_key |
event.idm.read_only_udm.additional.fields[].value.string_value |
Dipetakan langsung dari kolom hll_key. Kuncinya adalah "hll_key". |
hostname |
event.idm.read_only_udm.target.hostname, event.idm.read_only_udm.target.asset.hostname, event.idm.read_only_udm.intermediary.hostname |
Dipetakan langsung dari kolom hostname saat inter_host kosong. |
http_host |
event.idm.read_only_udm.target.resource.attribute.labels[].value |
Dipetakan langsung dari kolom http_host. Kuncinya adalah "http_host". |
id |
event.idm.read_only_udm.metadata.product_log_id |
Dipetakan langsung dari kolom _id. |
identity_src |
event.idm.read_only_udm.target.application |
Dipetakan langsung dari kolom identity_src. |
identity_type |
event.idm.read_only_udm.extensions.auth.type |
Jika identity_type adalah "user", akan dipetakan ke "VPN". Jika tidak, dipetakan ke "MACHINE". |
if_direction |
event.idm.read_only_udm.network.direction |
Dipetakan langsung dari kolom if_direction, dikonversi ke huruf besar. |
ifdir |
event.idm.read_only_udm.network.direction |
Dipetakan langsung dari kolom ifdir, dikonversi ke huruf besar. |
ifname |
event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom ifname. Kuncinya adalah "ifname". |
IKE |
event.idm.read_only_udm.metadata.description |
Dipetakan langsung dari kolom IKE. |
inzone |
event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom inzone. Kuncinya adalah "inzone". |
industry_reference |
event.idm.read_only_udm.additional.fields[].value.string_value |
Dipetakan langsung dari kolom industry_reference. Kuncinya adalah "industry_reference". |
instance_id |
event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname |
Dipetakan langsung dari kolom instance_id. |
inter_host |
event.idm.read_only_udm.intermediary.hostname |
Dipetakan langsung dari kolom inter_host. |
ip_proto |
event.idm.read_only_udm.network.ip_protocol |
Ditentukan berdasarkan kolom proto atau kolom service. Dapat berupa TCP, UDP, ICMP, IP6IN4, atau GRE. |
ipv6_dst |
event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip |
Dipetakan langsung dari kolom ipv6_dst. |
ipv6_src |
event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip |
Dipetakan langsung dari kolom ipv6_src. |
layer_name |
event.idm.read_only_udm.security_result.rule_set_display_name, event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom layer_name. Kuncinya adalah "layer_name". |
layer_uuid |
event.idm.read_only_udm.security_result.rule_set, event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom layer_uuid setelah menghapus tanda kurung kurawal. Kuncinya adalah "layer_uuid". |
layer_uuid_rule_uuid |
event.idm.read_only_udm.security_result.rule_id |
Dipetakan langsung dari kolom layer_uuid_rule_uuid setelah menghapus tanda kurung dan tanda kutip. |
log_id |
event.idm.read_only_udm.metadata.product_log_id |
Dipetakan langsung dari kolom log_id. |
log_type |
event.idm.read_only_udm.metadata.log_type |
Dipetakan langsung dari kolom log_type. Di-hardcode ke "CHECKPOINT_FIREWALL". |
loguid |
event.idm.read_only_udm.metadata.product_log_id |
Dipetakan langsung dari kolom loguid setelah menghapus tanda kurung kurawal. |
logic_changes |
event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom logic_changes. Kuncinya adalah "logic_changes". |
localhost |
event.idm.read_only_udm.target.hostname, event.idm.read_only_udm.target.asset.hostname |
Dipetakan langsung dari kolom localhost. dst_ip ditetapkan ke "127.0.0.1". |
malware_action |
event.idm.read_only_udm.security_result.detection_fields[].value, event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value |
Dipetakan langsung dari kolom malware_action. Kuncinya adalah "malware_action". |
malware_family |
event.idm.read_only_udm.security_result.detection_fields[].value, event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value |
Dipetakan langsung dari kolom malware_family. Kuncinya adalah "malware_family". |
malware_rule_id |
event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom malware_rule_id setelah menghapus tanda kurung kurawal. Kuncinya adalah "Malware Rule ID". |
malware_rule_name |
event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom malware_rule_name. Kuncinya adalah "Nama Aturan Malware". |
match_id |
event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom match_id. Kuncinya adalah "match_id". |
matched_category |
event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom matched_category. Kuncinya adalah "matched_category". |
message_info |
event.idm.read_only_udm.metadata.description |
Dipetakan langsung dari kolom message_info. |
method |
event.idm.read_only_udm.network.http.method |
Dipetakan langsung dari kolom method. |
mitre_execution |
event.idm.read_only_udm.additional.fields[].value.string_value |
Dipetakan langsung dari kolom mitre_execution. Kuncinya adalah "mitre_execution". |
mitre_initial_access |
event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom mitre_initial_access. Kuncinya adalah "mitre_initial_access". |
nat_rulenum |
event.idm.read_only_udm.security_result.rule_id |
Dipetakan langsung dari kolom nat_rulenum, dikonversi menjadi string. |
objecttype |
event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom objecttype. Kuncinya adalah "objecttype". |
operation |
event.idm.read_only_udm.security_result.summary |
Dipetakan langsung dari kolom operation. |
operation |
event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom operation. Kuncinya adalah "operation". |
orig |
event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname |
Dipetakan langsung dari kolom orig. |
origin |
event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip, event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip, event.idm.read_only_udm.intermediary.ip |
Dipetakan langsung dari kolom origin. |
origin_sic_name |
event.idm.read_only_udm.intermediary.asset_id, event.idm.read_only_udm.intermediary.labels[].value |
Dipetakan langsung dari kolom origin_sic_name. Kuncinya adalah "Machine SIC". ID aset diawali dengan "asset:". |
originsicname |
event.idm.read_only_udm.additional.fields[].value.string_value |
Dipetakan langsung dari kolom originsicname. Kuncinya adalah "originsicname". |
originsicname |
event.idm.read_only_udm.intermediary.asset_id, event.idm.read_only_udm.intermediary.labels[].value |
Dipetakan langsung dari kolom originsicname. Kuncinya adalah "Machine SIC". ID aset diawali dengan "asset:". |
os_name |
event.idm.read_only_udm.principal.asset.platform_software.platform |
Jika os_name berisi "Win", akan dipetakan ke "WINDOWS". Jika berisi "MAC" atau "IOS", akan dipetakan ke "MAC". Jika berisi "LINUX", akan dipetakan ke "LINUX". |
os_version |
event.idm.read_only_udm.principal.asset.platform_software.platform_patch_level |
Dipetakan langsung dari kolom os_version. |
outzone |
event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom outzone. Kuncinya adalah "outzone". |
packets |
event.idm.read_only_udm.additional.fields[].value.string_value |
Dipetakan langsung dari kolom packets. Kuncinya adalah "paket". |
packet_capture_name |
event.idm.read_only_udm.additional.fields[].value.string_value |
Dipetakan langsung dari kolom packet_capture_name. Kuncinya adalah "packet_capture_name". |
packet_capture_time |
event.idm.read_only_udm.additional.fields[].value.string_value |
Dipetakan langsung dari kolom packet_capture_time. Kuncinya adalah "packet_capture_time". |
packet_capture_unique_id |
event.idm.read_only_udm.additional.fields[].value.string_value |
Dipetakan langsung dari kolom packet_capture_unique_id. Kuncinya adalah "packet_capture_unique_id". |
parent_rule |
event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom parent_rule. Kuncinya adalah "parent_rule". |
performance_impact |
event.idm.read_only_udm.additional.fields[].value.string_value |
Dipetakan langsung dari kolom performance_impact. Kuncinya adalah "performance_impact". |
policy_name |
event.idm.read_only_udm.security_result.detection_fields[].value |
Diekstrak dari kolom __policy_id_tag menggunakan grok dan dipetakan. Kuncinya adalah "Nama Kebijakan". |
policy_time |
event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom policy_time. Kuncinya adalah "policy_time". |
portal_message |
event.idm.read_only_udm.security_result.description |
Dipetakan langsung dari kolom portal_message. |
principal_hostname |
event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip |
Dipetakan langsung dari kolom principal_hostname jika merupakan alamat IP yang valid. |
principal_hostname |
event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname |
Dipetakan langsung dari kolom principal_hostname jika bukan alamat IP yang valid dan bukan "Checkpoint". |
prod_family_label |
event.idm.read_only_udm.additional.fields[].value.string_value |
Dipetakan langsung dari kolom ProductFamily. Kuncinya adalah "ProductFamily". |
product |
event.idm.read_only_udm.metadata.product_name |
Dipetakan langsung dari kolom product. |
product_family |
event.idm.read_only_udm.additional.fields[].value.string_value |
Dipetakan langsung dari kolom product_family. Kuncinya adalah "product_family". |
product_family |
event.idm.read_only_udm.additional.fields[].value.string_value |
Dipetakan langsung dari kolom product_family. Kuncinya adalah "product_family". |
ProductName |
event.idm.read_only_udm.metadata.product_name |
Dipetakan langsung dari kolom ProductName saat product kosong. |
product_name |
event.idm.read_only_udm.metadata.product_name |
Dipetakan langsung dari kolom product_name. |
profile |
event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom profile. Kuncinya adalah "profile". |
protocol |
event.idm.read_only_udm.network.application_protocol |
Dipetakan langsung dari kolom protocol jika "HTTP". |
proxy_src_ip |
event.idm.read_only_udm.principal.nat_ip |
Dipetakan langsung dari kolom proxy_src_ip. |
reason |
event.idm.read_only_udm.security_result.summary |
Dipetakan langsung dari kolom reason. |
received_bytes |
event.idm.read_only_udm.network.received_bytes |
Dipetakan langsung dari kolom received_bytes, dikonversi menjadi bilangan bulat tanpa tanda tangan. |
Reference |
event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value, event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom Reference. Kuncinya adalah "Referensi". Digunakan untuk membuat _vuln.name dengan attack. |
reject_id_kid |
event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom reject_id_kid. Kuncinya adalah "reject_id_kid". |
resource |
event.idm.read_only_udm.target.url |
Diurai sebagai JSON dan dipetakan ke URL target. Jika penguraian gagal, penguraian akan langsung dipetakan. |
resource |
event.idm.read_only_udm.additional.fields[].value.list_value.values[].string_value |
Diurai sebagai JSON dan setiap nilai dalam array resource ditambahkan ke daftar. Kuncinya adalah "Resource". |
result |
event.idm.read_only_udm.metadata.event_timestamp |
Diurai dengan date_time untuk membuat stempel waktu peristiwa. |
rt |
event.idm.read_only_udm.metadata.event_timestamp |
Diurai sebagai milidetik sejak epoch dan dikonversi menjadi stempel waktu. |
rule |
event.idm.read_only_udm.security_result.rule_name |
Dipetakan langsung dari kolom rule. |
rule_action |
event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom rule_action. Kuncinya adalah "rule_action". |
rule_name |
event.idm.read_only_udm.security_result.rule_name |
Dipetakan langsung dari kolom rule_name. |
rule_uid |
event.idm.read_only_udm.security_result.rule_id |
Dipetakan langsung dari kolom rule_uid. |
s_port |
event.idm.read_only_udm.principal.port |
Dipetakan langsung dari kolom s_port, dikonversi menjadi bilangan bulat. |
scheme |
event.idm.read_only_udm.additional.fields[].value.string_value |
Dipetakan langsung dari kolom scheme. Kuncinya adalah "skema". |
security_inzone |
event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom security_inzone. Kuncinya adalah "security_inzone". |
security_outzone |
event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom security_outzone. Kuncinya adalah "security_outzone". |
security_result_action |
event.idm.read_only_udm.security_result.action |
Dipetakan langsung dari kolom security_result_action. |
sendtotrackerasadvancedauditlog |
event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom sendtotrackerasadvancedauditlog. Kuncinya adalah "sendtotrackerasadvancedauditlog". |
sent_bytes |
event.idm.read_only_udm.network.sent_bytes |
Dipetakan langsung dari kolom sent_bytes, dikonversi menjadi bilangan bulat tanpa tanda tangan. |
sequencenum |
event.idm.read_only_udm.additional.fields[].value.string_value |
Dipetakan langsung dari kolom sequencenum. Kuncinya adalah "sequencenum". |
ser_agent_kid |
event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom ser_agent_kid. Kuncinya adalah "ser_agent_kid". |
service |
event.idm.read_only_udm.target.port |
Dipetakan langsung dari kolom service, dikonversi menjadi bilangan bulat. |
service_id |
event.idm.read_only_udm.network.application_protocol |
Dipetakan langsung dari kolom service_id jika "dhcp", "dns", "http", "https", atau "quic", dikonversi ke huruf besar. |
service_id |
event.idm.read_only_udm.principal.application |
Dipetakan langsung dari kolom service_id jika bukan salah satu protokol aplikasi jaringan. |
service_id |
event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom service_id. Kuncinya adalah "service_id". |
session_description |
event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom session_description. Kuncinya adalah "session_description". |
session_id |
event.idm.read_only_udm.network.session_id |
Dipetakan langsung dari kolom session_id setelah menghapus tanda kurung kurawal. |
session_name |
event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom session_name. Kuncinya adalah "session_name". |
session_uid |
event.idm.read_only_udm.network.session_id |
Dipetakan langsung dari kolom session_uid setelah menghapus tanda kurung kurawal. |
Severity |
event.idm.read_only_udm.security_result.severity |
Dipetakan ke "LOW", "MEDIUM", "HIGH", atau "CRITICAL" berdasarkan nilai Severity. |
severity |
event.idm.read_only_udm.security_result.severity |
Dipetakan ke "LOW", "MEDIUM", "HIGH", atau "CRITICAL" berdasarkan nilai severity. |
site |
event.idm.read_only_udm.network.http.user_agent |
Dipetakan langsung dari kolom site. |
smartdefense_profile |
event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom smartdefense_profile. Kuncinya adalah "smartdefense_profile". |
snid |
event.idm.read_only_udm.network.session_id |
Dipetakan langsung dari kolom snid jika tidak kosong atau "0". |
sourceAddress |
event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip |
Dipetakan langsung dari kolom sourceAddress. |
sourcePort |
event.idm.read_only_udm.principal.port |
Dipetakan langsung dari kolom sourcePort, dikonversi menjadi bilangan bulat. |
sourceTranslatedAddress |
event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip |
Dipetakan langsung dari kolom sourceTranslatedAddress. |
sourceTranslatedAddress |
event.idm.read_only_udm.principal.nat_ip |
Dipetakan langsung dari kolom sourceTranslatedAddress. |
sourceTranslatedPort |
event.idm.read_only_udm.principal.port |
Dipetakan langsung dari kolom sourceTranslatedPort, dikonversi menjadi bilangan bulat. |
sourceTranslatedPort |
event.idm.read_only_udm.principal.nat_port |
Dipetakan langsung dari kolom sourceTranslatedPort, dikonversi menjadi bilangan bulat. |
sourceUserName |
event.idm.read_only_udm.principal.user.userid, event.idm.read_only_udm.principal.user.first_name, event.idm.read_only_udm.principal.user.last_name |
Diurai menggunakan grok untuk mengekstrak userid, nama depan, dan nama belakang. |
spt |
event.idm.read_only_udm.principal.port |
Dipetakan langsung dari kolom spt, dikonversi menjadi bilangan bulat. |
src |
event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip |
Dipetakan langsung dari kolom src. |
src_ip |
event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip |
Dipetakan langsung dari kolom src_ip. |
src_localhost |
event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname |
Dipetakan langsung dari kolom src_localhost. src_ip ditetapkan ke "127.0.0.1". |
src_machine_name |
event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom src_machine_name. Kuncinya adalah "src_machine_name". |
src_port |
event.idm.read_only_udm.principal.port |
Dipetakan langsung dari kolom src_port, dikonversi menjadi bilangan bulat. |
src_user |
event.idm.read_only_udm.principal.user.userid |
Dipetakan langsung dari kolom src_user. |
src_user_dn |
event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom src_user_dn. Kuncinya adalah "src_user_dn". |
src_user_name |
event.idm.read_only_udm.principal.user.userid |
Dipetakan langsung dari kolom src_user_name. |
sub_policy_name |
event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom sub_policy_name. Kuncinya adalah "sub_policy_name". |
sub_policy_uid |
event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom sub_policy_uid. Kuncinya adalah "sub_policy_uid". |
subject |
event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom subject. Kuncinya adalah "subjek". |
subscription_stat_desc |
event.idm.read_only_udm.security_result.summary |
Dipetakan langsung dari kolom subscription_stat_desc. |
tags |
event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom tags. Kuncinya adalah "tags". |
tar_user |
event.idm.read_only_udm.target.user.userid |
Dipetakan langsung dari kolom tar_user. |
target_port |
event.idm.read_only_udm.target.port |
Dipetakan langsung dari kolom target_port. |
tcp_flags |
event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom tcp_flags. Kuncinya adalah "tcp_flags". |
tcp_packet_out_of_state |
event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom tcp_packet_out_of_state. Kuncinya adalah "tcp_packet_out_of_state". |
time |
event.idm.read_only_udm.metadata.event_timestamp |
Diurai dan dikonversi menjadi stempel waktu menggunakan berbagai format tanggal. |
ts |
event.idm.read_only_udm.metadata.event_timestamp |
Diurai dengan ds dan tz untuk membuat stempel waktu peristiwa. |
type |
event.idm.read_only_udm.security_result.rule_type |
Dipetakan langsung dari kolom type. |
tz |
event.idm.read_only_udm.metadata.event_timestamp |
Digunakan dengan ds dan ts untuk membuat stempel waktu peristiwa. |
update_count |
event.idm.read_only_udm.security_result.detection_fields[].value |
Dipetakan langsung dari kolom update_count. Kuncinya adalah "update_count". |
URL |
event.idm.read_only_udm.security_result.about.url |
Dipetakan langsung dari kolom URL. |
user |
event.idm.read_only_udm.principal.user.userid |
Dipetakan langsung dari kolom user. |
user_agent |
event.idm.read_only_udm.network.http.user_agent |
Dipetakan langsung dari kolom user_agent. Juga diuraikan dan dipetakan ke event.idm.read_only_udm.network.http.parsed_user_agent. |
userip |
event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip |
Dipetakan langsung dari kolom userip jika merupakan alamat IP yang valid. |
UUid |
event.idm.read_only_udm.metadata.product_log_id |
Dipetakan langsung dari kolom UUid setelah menghapus tanda kurung kurawal. |
version |
event.idm.read_only_udm.metadata.product_version |
Dipetakan langsung dari kolom version. |
web_client_type |
event.idm.read_only_udm.network.http.user_agent |
Dipetakan langsung dari kolom web_client_type. |
xlatedport |
event.idm.read_only_udm.target.nat_port |
Dipetakan langsung dari kolom xlatedport, dikonversi menjadi bilangan bulat. |
xlatedst |
event.idm.read_only_udm.target.nat_ip |
Dipetakan langsung dari kolom xlatedst. |
xlatesport |
event.idm.read_only_udm.principal.nat_port |
Dipetakan langsung dari kolom xlatesport, dikonversi menjadi bilangan bulat. |
xlatesrc |
event.idm.read_only_udm.principal.nat_ip |
Dipetakan langsung dari kolom xlatesrc. |
event.idm.read_only_udm.metadata.vendor_name |
Check Point |
Nilai hardcode. |
event.idm.read_only_udm.metadata.log_type |
CHECKPOINT_FIREWALL |
Nilai hardcode. |
event.idm.read_only_udm.security_result.rule_type |
Firewall Rule |
Nilai default, kecuali jika diganti oleh logika tertentu. |
event.idm.is_alert |
true |
Tetapkan ke benar jika kolom alert adalah "ya". |
has_principal |
true |
Tetapkan ke benar jika IP utama atau nama host diekstrak. |
has_target |
true |
Tetapkan ke benar jika IP target atau nama host diekstrak. |
Perubahan
2024-05-29
- Memetakan "layer_uuid_rule_uuid" ke "security_result.rule_id".
- Memetakan "domain" ke "principal.administrative_domain".
- Memetakan "fservice", "appi_name", "app_risk", dan "policy_name" ke "security_result.detection_fields".
- Memetakan "packets", "__id", "dedup_time", "browse_time", "bytes", "product_family", "hll_key", dan "calc_service" ke "additional.fields".
- Memetakan "id" ke "metadata.product_log_id".
- Memetakan "orig_log_server" ke "principal.resource.product_object_id".
- Memetakan "environment_id" ke "target.resource.product_object_id".
- Memetakan "client_outbound_packets" dan "client_inbound_packets" ke "principal.resource.attribute.labels".
- Memetakan "server_outbound_bytes" dan "server_inbound_bytes" ke "target.resource.attribute.labels".
- Memetakan "orig" ke "principal.hostname" dan "principal.asset.hostname".
- Memetakan "orig_log_server_ip" ke "principal.ip" dan "principal.asset.ip".
- Memetakan "proto" ke "network.ip_protocol".
2024-05-20
- Menambahkan pola Grok untuk mengekstrak "inter_host".
- Memetakan "inter_host" ke "intermediary.hostname".
2024-04-19
- Peningkatan dan Perbaikan Bug:
- Memetakan "origin" ke "target.ip" dan "target.asset.ip".
- Menambahkan pola Grok baru untuk mengurai format baru log SYSLOG.
- Memetakan "smartdefense_profile", "malware_rule_id", dan "malware_rule_name" ke "security_result.detection_fields".
- Memetakan "sequencenum", "description_url", "industry_reference", "mitre_execution", "packet_capture_name", "packet_capture_unique_id", "packet_capture_time", dan "performance_impact" ke "additional.fields".
- Memetakan "version" ke "metadata.product_version".
- Memetakan "http_host" ke "target.resource.attribute.labels".
- Memetakan "log_id" ke "metadata.product_log_id".
- Memetakan "user_agent" ke "network.http.user_agent" dan "http.parsed_user_agent".
- Memetakan "hostname", "dvc", dan "principal_hostname" ke "target.hostname" dan "target.asset.hostname".
- Jika "has_principal" adalah "true", "has_target" adalah "true", dan "Action"/"action" adalah "Login" atau "Failed Login" atau "Failed Login" atau "Update", tetapkan "metadata.event_type" ke "USER_LOGIN" dan "extensions.auth.type" ke "AUTHTYPE_UNSPECIFIED".
- Jika "has_principal" adalah "true", "has_target" adalah "true", dan "Action"/"act"/"event_type" adalah "Log Out" atau "Logout", tetapkan "metadata.event_type" ke "USER_LOGOUT" dan "extensions.auth.type" ke "AUTHTYPE_UNSPECIFIED".
- Jika "has_principal" adalah "true", "has_target" adalah "true", lalu tetapkan "metadata.event_type" ke "NETWORK_CONNECTION".
- Jika "has_principal" adalah "true", "has_target" adalah "false", tetapkan "metadata.event_type" ke "STATUS_UPDATE".
2024-02-07
- menambahkan pemetaan untuk kolom berikut:
- Memetakan "protection_id", "malware_action", "malware_family,protection_name", "protection_type" ke "security_result.detection_fields".
- Memetakan "confidence_level" ke "security_result.confidence" dan "security_result.confidence_details".
2024-02-05
- menambahkan pemetaan untuk kolom berikut:
- Memetakan "method" ke "network.http.method".
2024-01-24
- menambahkan pemetaan untuk kolom berikut:
- Memetakan "method" ke "network.http.method".
- Memetakan "duration" ke "network.session_duration.seconds".
- Memetakan "additional_info" ke "security_result.description".
- Memetakan "operation" ke "security_result.summary".
- Memetakan "subject" ke "metadata.description".
- Memetakan "principal_hostname" ke "intermediary.hostname".
- Memetakan "tcp_packet_out_of_state", "aggregated_log_count", "connection_count", "appi_name", "src_user_dn",
- "update_count", "additional_info", "administrator", "operation", "sendtotrackerasadvancedauditlog",
- "subject", "fieldschanges", "logic_changes", "objecttype", "session_description",
- "session_name" menjadi "security_result.detection_fields".
2023-12-27
- menambahkan pemetaan untuk kolom berikut:
- Memetakan "flag" ke "security_result.detection_fields".
- Memetakan "tcp_flags" ke "security_result.detection_fields".
- Memetakan "tcp_packet_out_of_state" ke "security_result.detection_fields".
2023-12-11
- Jika "principal_hostname" adalah IP yang valid, petakan ke "principal.ip".
- Jika "principal_hostname" bukan IP yang valid, petakan ke "principal.hostname".
- Memetakan "sport_svc" ke "principal.port".
- Memetakan "ProductFamily" ke "additional.fields".
- Memetakan "mitre_initial_access" ke "security_result.detection_fields".
- Memetakan "policy_time" ke "security_result.detection_fields".
- Memetakan "profile" ke "security_result.detection_fields".
- Memetakan "reject_id_kid" ke "security_result.detection_fields".
- Memetakan "ser_agent_kid" ke "security_result.detection_fields".
2023-10-11
- Jika "product" adalah "New Anti Virus", pemetaan dari "firewall management node" ke "principal.hostname" akan dihapus dan dipetakan ke "security_result.detection_fields".
2023-07-06
- menambahkan pemetaan untuk kolom berikut:
- Memetakan "app_category" ke "security_result.category_details".
- Memetakan "matched_category" ke "security_result.detection_fields".
- Memetakan "app_properties" ke "security_result.detection_fields".
2023-06-14
- menambahkan pemetaan untuk kolom berikut
- Memetakan "conn_direction" ke "additional.fields".
- Mengubah gsub agar tidak mengganti ":" dengan "=" dari nilai sebenarnya.
2023-05-12
- menambahkan pemetaan untuk kolom berikut
- Memetakan "rule_name" ke "security_result.rule_name".
- Memetakan "rule","sub_policy_name","sub_policy_uid","smartdefense_profile","tags","flexString2" ke "security_result.detection_fields".
- Menambahkan pola Grok baru untuk mendukung format log baru.
- Memetakan "dvc" ke "intermediary.hostname".
- Memetakan "hostname" ke "intermediary.hostname".
- Memetakan "origin_sic_name" ke "intermediary.asset_id".
- Memetakan "conn_direction" ke "network.ip_protocol".
- Memetakan "ifname" ke "security_result.detection_fields".
- Memetakan "security_inzone" ke "security_result.detection_fields".
- Memetakan "match_id" ke "security_result.detection_fields".
- Memetakan "parent_rule" ke "security_result.detection_fields".
- Memetakan "security_outzone" ke "security_result.detection_fields".
- Memetakan "sub_policy_name" ke "security_result.detection_fields".
- Memetakan "sub_policy_uid" ke "security_result.detection_fields".
- Memetakan "drop_reason" ke "security_result.summary".
- Memetakan "reason" ke "security_result.summary".
- Memetakan "xlatesport" ke "principal.nat_port".
- Memetakan "xlatedport" ke "target.nat_port".
- Memetakan "ipv6_dst" ke "target.ip".
- Memetakan "ipv6_src" ke "principal.ip".
2023-04-24
- Menambahkan dukungan untuk log dengan format CEF.
2022-11-18
- Mengubah pemetaan untuk "service" dan memetakan ke "target.port".
2022-10-27
- Menambahkan pemeriksaan bersyarat untuk "attack","attack_info","policy_name".
- Menambahkan pola grok untuk mengambil "principal_hostname".
- Menambahkan gsub untuk mengubah "=" menjadi ":".
- Mengubah pemetaan untuk "service" dan memetakan ke "target.resource.attribute.labels".
2022-10-13
- Memetakan kolom 'fw_subproduct' ke 'metadata.product_name'.
- Menambahkan pola grok untuk mengekstrak ip dari kolom 'src'.
2022-08-30
- Menggabungkan perubahan versi khusus Pelanggan ke default.
- Menghapus log yang berisi "*****" di UserCheck.
18-08-2022
- Memetakan "portal_message" ke "security_result.description".
- Memetakan "security_result.category" sebagai "SOFTWARE_MALICIOUS" jika "portal_message" berisi kata kunci "malware/malicious".
- Memetakan "URL" ke "security_result.about.url".
- Memetakan "Aktivitas" ke "security_result.summary".
- Memetakan "Referensi" ke "security_result.about.resource.attribute.labels".
- Mengubah "event_type" dari "GENERIC_EVENT" menjadi "STATUS_UPDATE" dengan mereplikasi nilai "intermediary.ip" ke "principal.ip".
2022-08-12
- Memetakan "malware_action", "malware_family,protection_name", "protection_type" ke "security_result.about.resource.attribute.labels".
- Memetakan "src_machine_name" ke "security_result.detection_fields".
2022-06-30
- Memetakan "message_info" ke "metadata.description".
2022-06-17
- Menambahkan pemeriksaan bersyarat untuk kolom "nat_rulenum", "rule", "sent_bytes", "received_bytes", "s_port", "service".
- Mengubah event_types untuk kasus berikut:
- "GENERIC_EVENT" ke "NETWORK_CONNECTION" dengan "principal.ip or principal.hostname" dan "target.ip or target.hostname" tidak null.
- "GENERIC_EVENT" ke "STATUS_UNCATEGORIZED" dengan "principal.ip atau principal.hostname" tidak null.
2022-06-14
- Mengubah parser untuk mengurai lebih banyak log dengan menghapus pemeriksaan kondisi untuk passwd.
2022-06-07
- Memetakan src_machine_name ke security_result.detection_fields.
2022-05-19
- Memetakan inzone, outzone, layer_name, layer_uuid, dan policy_name ke security_result.detection_fields.
- Memetakan service_id ke principal.application.
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.