Mengumpulkan log firewall Check Point

Didukung di:

Parser ini mengekstrak log firewall Check Point. Fungsi ini menangani pesan berformat CEF dan non-CEF, termasuk syslog, pasangan nilai kunci, dan JSON. Fungsi ini menormalisasi kolom, memetakan kolom ke UDM, dan menjalankan logika tertentu untuk login/logout, koneksi jaringan, dan peristiwa keamanan. Fitur ini memperkaya data dengan informasi kontekstual seperti geolokasi dan intelijen ancaman.

Sebelum memulai

  • Pastikan Anda memiliki instance Google Security Operations.
  • Pastikan Anda menggunakan Windows 2016 atau yang lebih baru, atau host Linux dengan systemd.
  • Jika berjalan di balik proxy, pastikan port firewall terbuka.
  • Pastikan Anda memiliki akses dengan hak istimewa ke Check Point Firewall.

Mendapatkan file autentikasi penyerapan Google SecOps

  1. Login ke konsol Google SecOps.
  2. Buka Setelan SIEM > Agen Pengumpulan.
  3. Download File Autentikasi Proses Transfer.

Mendapatkan ID pelanggan Google SecOps

  1. Login ke konsol Google SecOps.
  2. Buka Setelan SIEM > Profil.
  3. Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal Agen BindPlane

  1. Untuk penginstalan Windows, jalankan skrip berikut:
    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
  2. Untuk penginstalan Linux, jalankan skrip berikut:
    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
  3. Opsi penginstalan tambahan dapat ditemukan di panduan penginstalan ini.

Mengonfigurasi Agen BindPlane untuk menyerap Syslog dan mengirim ke Google SecOps

  1. Akses komputer tempat BindPlane diinstal.
  2. Edit file config.yaml sebagai berikut:

    receivers:
        udplog:
            # Replace the below port <54525> and IP <0.0.0.0> with your specific values
            listen_address: "0.0.0.0:54525" 
    
    exporters:
        chronicle/chronicle_w_labels:
            compression: gzip
            # Adjust the creds location below according the placement of the credentials file you downloaded
            creds: '{ json file for creds }'
            # Replace <customer_id> below with your actual ID that you copied
            customer_id: <customer_id>
            endpoint: malachiteingestion-pa.googleapis.com
            # You can apply ingestion labels below as preferred
            ingestion_labels:
            log_type: SYSLOG
            namespace: Checkpoint_Firewall
            raw_log_field: body
    service:
        pipelines:
            logs/source0__chronicle_w_labels-0:
                receivers:
                    - udplog
                exporters:
                    - chronicle/chronicle_w_labels
    
  3. Mulai ulang Agen BindPlane untuk menerapkan perubahan:

    sudo systemctl restart bindplane
    

Mengonfigurasi Ekspor Syslog di Firewall Check Point

  1. Login ke UI firewall Check Point menggunakan akun dengan hak istimewa.
  2. Buka Logs & Monitoring > Log Servers.
  3. Buka Server Syslog.
  4. Klik Konfigurasi, lalu tetapkan nilai berikut:
    • Protokol: pilih UDP untuk mengirim log keamanan dan/atau log sistem.
    • Name: berikan nama unik (misalnya, Bindplane_Server).
    • Alamat IP: berikan alamat IP server syslog Anda (IP Bindplane).
    • Port: berikan Port server syslog Anda (Port Bindplane).
  5. Pilih Aktifkan server log.
  6. Pilih log yang akan diteruskan: Log sistem dan keamanan.
  7. Klik Terapkan.

Tabel Pemetaan UDM

Kolom Log Pemetaan UDM Logika
Action event.idm.read_only_udm.security_result.action_details Dipetakan langsung dari kolom Action.
Activity event.idm.read_only_udm.security_result.summary Dipetakan langsung dari kolom Activity.
additional_info event.idm.read_only_udm.security_result.description Dipetakan langsung dari kolom additional_info.
administrator event.idm.read_only_udm.security_result.detection_fields[].value Dipetakan langsung dari kolom administrator. Kuncinya adalah "administrator".
aggregated_log_count event.idm.read_only_udm.security_result.detection_fields[].value Dipetakan langsung dari kolom aggregated_log_count. Kuncinya adalah "aggregated_log_count".
appi_name event.idm.read_only_udm.security_result.detection_fields[].value Dipetakan langsung dari kolom appi_name. Kuncinya adalah "appi_name".
app_category event.idm.read_only_udm.security_result.category_details Dipetakan langsung dari kolom app_category.
app_properties event.idm.read_only_udm.security_result.detection_fields[].value Dipetakan langsung dari kolom app_properties. Kuncinya adalah "app_properties".
app_risk event.idm.read_only_udm.security_result.detection_fields[].value Dipetakan langsung dari kolom app_risk. Kuncinya adalah "app_risk".
app_session_id event.idm.read_only_udm.network.session_id Dipetakan langsung dari kolom app_session_id, yang dikonversi menjadi string.
attack event.idm.read_only_udm.security_result.summary Dipetakan langsung dari kolom attack jika Info ada.
attack event.idm.read_only_udm.security_result.threat_name Dipetakan langsung dari kolom attack jika Info ada.
attack_info event.idm.read_only_udm.security_result.description Dipetakan langsung dari kolom attack_info.
auth_status event.idm.read_only_udm.security_result.summary Dipetakan langsung dari kolom auth_status.
browse_time event.idm.read_only_udm.additional.fields[].value.string_value Dipetakan langsung dari kolom browse_time. Kuncinya adalah "browse_time".
bytes event.idm.read_only_udm.additional.fields[].value.string_value Dipetakan langsung dari kolom bytes. Kuncinya adalah "byte".
bytes event.idm.read_only_udm.additional.fields[].value.string_value Dipetakan langsung dari kolom bytes. Kuncinya adalah "byte".
calc_service event.idm.read_only_udm.additional.fields[].value.string_value Dipetakan langsung dari kolom calc_service. Kuncinya adalah "calc_service".
category event.idm.read_only_udm.security_result.category_details Dipetakan langsung dari kolom category.
client_version event.idm.read_only_udm.intermediary.platform_version Dipetakan langsung dari kolom client_version.
conn_direction event.idm.read_only_udm.additional.fields[].value.string_value Dipetakan langsung dari kolom conn_direction. Kuncinya adalah "conn_direction".
conn_direction event.idm.read_only_udm.network.direction Jika conn_direction adalah "Masuk", akan dipetakan ke "INBOUND". Jika tidak, akan dipetakan ke "KELUAR".
connection_count event.idm.read_only_udm.security_result.detection_fields[].value Dipetakan langsung dari kolom connection_count. Kuncinya adalah "connection_count".
contract_name event.idm.read_only_udm.security_result.description Dipetakan langsung dari kolom contract_name.
cs2 event.idm.read_only_udm.security_result.rule_name Dipetakan langsung dari kolom cs2.
date_time event.idm.read_only_udm.metadata.event_timestamp Diurai dan dikonversi menjadi stempel waktu menggunakan berbagai format tanggal.
dedup_time event.idm.read_only_udm.additional.fields[].value.string_value Dipetakan langsung dari kolom dedup_time. Kuncinya adalah "dedup_time".
desc event.idm.read_only_udm.security_result.summary Dipetakan langsung dari kolom desc.
description event.idm.read_only_udm.security_result.description Dipetakan langsung dari kolom description.
description_url event.idm.read_only_udm.additional.fields[].value.string_value Dipetakan langsung dari kolom description_url. Kuncinya adalah "description_url".
destinationAddress event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip Dipetakan langsung dari kolom destinationAddress.
destinationPort event.idm.read_only_udm.target.port Dipetakan langsung dari kolom destinationPort, dikonversi menjadi bilangan bulat.
destinationTranslatedAddress event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip Dipetakan langsung dari kolom destinationTranslatedAddress.
destinationTranslatedAddress event.idm.read_only_udm.target.nat_ip Dipetakan langsung dari kolom destinationTranslatedAddress.
destinationTranslatedPort event.idm.read_only_udm.target.port Dipetakan langsung dari kolom destinationTranslatedPort, dikonversi menjadi bilangan bulat.
destinationTranslatedPort event.idm.read_only_udm.target.nat_port Dipetakan langsung dari kolom destinationTranslatedPort, dikonversi menjadi bilangan bulat.
deviceCustomString2 event.idm.read_only_udm.security_result.rule_name Dipetakan langsung dari kolom deviceCustomString2.
deviceDirection event.idm.read_only_udm.network.direction Jika deviceDirection adalah 0, akan dipetakan ke "OUTBOUND". Jika 1, dipetakan ke "INBOUND".
domain event.idm.read_only_udm.principal.administrative_domain Dipetakan langsung dari kolom domain.
domain_name event.idm.read_only_udm.principal.administrative_domain Dipetakan langsung dari kolom domain_name.
drop_reason event.idm.read_only_udm.security_result.summary Dipetakan langsung dari kolom drop_reason.
ds event.idm.read_only_udm.metadata.event_timestamp Digunakan dengan ts dan tz untuk membuat stempel waktu peristiwa.
dst event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip Dipetakan langsung dari kolom dst.
dst_country event.idm.read_only_udm.target.location.country_or_region Dipetakan langsung dari kolom dst_country.
dst_ip event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip Dipetakan langsung dari kolom dst_ip.
dpt event.idm.read_only_udm.target.port Dipetakan langsung dari kolom dpt, dikonversi menjadi bilangan bulat.
duration event.idm.read_only_udm.network.session_duration.seconds Dipetakan langsung dari kolom duration, dikonversi menjadi bilangan bulat, jika lebih besar dari 0.
duser event.idm.read_only_udm.target.user.email_addresses, event.idm.read_only_udm.target.user.user_display_name Dipetakan langsung dari kolom duser jika cocok dengan format alamat email.
environment_id event.idm.read_only_udm.target.resource.product_object_id Dipetakan langsung dari kolom environment_id.
event_type event.idm.read_only_udm.metadata.event_type Ditentukan oleh logika berdasarkan keberadaan kolom dan nilai tertentu. Secara default ke GENERIC_EVENT jika tidak ada jenis peristiwa tertentu yang diidentifikasi. Dapat berupa NETWORK_CONNECTION, USER_LOGIN, USER_CHANGE_PASSWORD, USER_LOGOUT, NETWORK_HTTP, atau STATUS_UPDATE.
fieldschanges event.idm.read_only_udm.security_result.detection_fields[].value Dipetakan langsung dari kolom fieldschanges. Kuncinya adalah "fieldschanges".
flags event.idm.read_only_udm.security_result.detection_fields[].value Dipetakan langsung dari kolom flags. Kuncinya adalah "flags".
flexString2 event.idm.read_only_udm.security_result.detection_fields[].value Dipetakan langsung dari kolom flexString2. Kunci adalah nilai flexString2Label.
from_user event.idm.read_only_udm.principal.user.userid Dipetakan langsung dari kolom from_user.
fservice event.idm.read_only_udm.security_result.detection_fields[].value Dipetakan langsung dari kolom fservice. Kuncinya adalah "fservice".
fw_subproduct event.idm.read_only_udm.metadata.product_name Dipetakan langsung dari kolom fw_subproduct saat product kosong.
geoip_dst.country_name event.idm.read_only_udm.target.location.country_or_region Dipetakan langsung dari kolom geoip_dst.country_name.
hll_key event.idm.read_only_udm.additional.fields[].value.string_value Dipetakan langsung dari kolom hll_key. Kuncinya adalah "hll_key".
hostname event.idm.read_only_udm.target.hostname, event.idm.read_only_udm.target.asset.hostname, event.idm.read_only_udm.intermediary.hostname Dipetakan langsung dari kolom hostname saat inter_host kosong.
http_host event.idm.read_only_udm.target.resource.attribute.labels[].value Dipetakan langsung dari kolom http_host. Kuncinya adalah "http_host".
id event.idm.read_only_udm.metadata.product_log_id Dipetakan langsung dari kolom _id.
identity_src event.idm.read_only_udm.target.application Dipetakan langsung dari kolom identity_src.
identity_type event.idm.read_only_udm.extensions.auth.type Jika identity_type adalah "user", akan dipetakan ke "VPN". Jika tidak, dipetakan ke "MACHINE".
if_direction event.idm.read_only_udm.network.direction Dipetakan langsung dari kolom if_direction, dikonversi ke huruf besar.
ifdir event.idm.read_only_udm.network.direction Dipetakan langsung dari kolom ifdir, dikonversi ke huruf besar.
ifname event.idm.read_only_udm.security_result.detection_fields[].value Dipetakan langsung dari kolom ifname. Kuncinya adalah "ifname".
IKE event.idm.read_only_udm.metadata.description Dipetakan langsung dari kolom IKE.
inzone event.idm.read_only_udm.security_result.detection_fields[].value Dipetakan langsung dari kolom inzone. Kuncinya adalah "inzone".
industry_reference event.idm.read_only_udm.additional.fields[].value.string_value Dipetakan langsung dari kolom industry_reference. Kuncinya adalah "industry_reference".
instance_id event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname Dipetakan langsung dari kolom instance_id.
inter_host event.idm.read_only_udm.intermediary.hostname Dipetakan langsung dari kolom inter_host.
ip_proto event.idm.read_only_udm.network.ip_protocol Ditentukan berdasarkan kolom proto atau kolom service. Dapat berupa TCP, UDP, ICMP, IP6IN4, atau GRE.
ipv6_dst event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip Dipetakan langsung dari kolom ipv6_dst.
ipv6_src event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip Dipetakan langsung dari kolom ipv6_src.
layer_name event.idm.read_only_udm.security_result.rule_set_display_name, event.idm.read_only_udm.security_result.detection_fields[].value Dipetakan langsung dari kolom layer_name. Kuncinya adalah "layer_name".
layer_uuid event.idm.read_only_udm.security_result.rule_set, event.idm.read_only_udm.security_result.detection_fields[].value Dipetakan langsung dari kolom layer_uuid setelah menghapus tanda kurung kurawal. Kuncinya adalah "layer_uuid".
layer_uuid_rule_uuid event.idm.read_only_udm.security_result.rule_id Dipetakan langsung dari kolom layer_uuid_rule_uuid setelah menghapus tanda kurung dan tanda kutip.
log_id event.idm.read_only_udm.metadata.product_log_id Dipetakan langsung dari kolom log_id.
log_type event.idm.read_only_udm.metadata.log_type Dipetakan langsung dari kolom log_type. Di-hardcode ke "CHECKPOINT_FIREWALL".
loguid event.idm.read_only_udm.metadata.product_log_id Dipetakan langsung dari kolom loguid setelah menghapus tanda kurung kurawal.
logic_changes event.idm.read_only_udm.security_result.detection_fields[].value Dipetakan langsung dari kolom logic_changes. Kuncinya adalah "logic_changes".
localhost event.idm.read_only_udm.target.hostname, event.idm.read_only_udm.target.asset.hostname Dipetakan langsung dari kolom localhost. dst_ip ditetapkan ke "127.0.0.1".
malware_action event.idm.read_only_udm.security_result.detection_fields[].value, event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value Dipetakan langsung dari kolom malware_action. Kuncinya adalah "malware_action".
malware_family event.idm.read_only_udm.security_result.detection_fields[].value, event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value Dipetakan langsung dari kolom malware_family. Kuncinya adalah "malware_family".
malware_rule_id event.idm.read_only_udm.security_result.detection_fields[].value Dipetakan langsung dari kolom malware_rule_id setelah menghapus tanda kurung kurawal. Kuncinya adalah "Malware Rule ID".
malware_rule_name event.idm.read_only_udm.security_result.detection_fields[].value Dipetakan langsung dari kolom malware_rule_name. Kuncinya adalah "Nama Aturan Malware".
match_id event.idm.read_only_udm.security_result.detection_fields[].value Dipetakan langsung dari kolom match_id. Kuncinya adalah "match_id".
matched_category event.idm.read_only_udm.security_result.detection_fields[].value Dipetakan langsung dari kolom matched_category. Kuncinya adalah "matched_category".
message_info event.idm.read_only_udm.metadata.description Dipetakan langsung dari kolom message_info.
method event.idm.read_only_udm.network.http.method Dipetakan langsung dari kolom method.
mitre_execution event.idm.read_only_udm.additional.fields[].value.string_value Dipetakan langsung dari kolom mitre_execution. Kuncinya adalah "mitre_execution".
mitre_initial_access event.idm.read_only_udm.security_result.detection_fields[].value Dipetakan langsung dari kolom mitre_initial_access. Kuncinya adalah "mitre_initial_access".
nat_rulenum event.idm.read_only_udm.security_result.rule_id Dipetakan langsung dari kolom nat_rulenum, yang dikonversi menjadi string.
objecttype event.idm.read_only_udm.security_result.detection_fields[].value Dipetakan langsung dari kolom objecttype. Kuncinya adalah "objecttype".
operation event.idm.read_only_udm.security_result.summary Dipetakan langsung dari kolom operation.
operation event.idm.read_only_udm.security_result.detection_fields[].value Dipetakan langsung dari kolom operation. Kuncinya adalah "operation".
orig event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname Dipetakan langsung dari kolom orig.
origin event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip, event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip, event.idm.read_only_udm.intermediary.ip Dipetakan langsung dari kolom origin.
origin_sic_name event.idm.read_only_udm.intermediary.asset_id, event.idm.read_only_udm.intermediary.labels[].value Dipetakan langsung dari kolom origin_sic_name. Kuncinya adalah "Machine SIC". ID aset diawali dengan "asset:".
originsicname event.idm.read_only_udm.additional.fields[].value.string_value Dipetakan langsung dari kolom originsicname. Kuncinya adalah "originsicname".
originsicname event.idm.read_only_udm.intermediary.asset_id, event.idm.read_only_udm.intermediary.labels[].value Dipetakan langsung dari kolom originsicname. Kuncinya adalah "Machine SIC". ID aset diawali dengan "asset:".
os_name event.idm.read_only_udm.principal.asset.platform_software.platform Jika os_name berisi "Win", akan dipetakan ke "WINDOWS". Jika berisi "MAC" atau "IOS", akan dipetakan ke "MAC". Jika berisi "LINUX", akan dipetakan ke "LINUX".
os_version event.idm.read_only_udm.principal.asset.platform_software.platform_patch_level Dipetakan langsung dari kolom os_version.
outzone event.idm.read_only_udm.security_result.detection_fields[].value Dipetakan langsung dari kolom outzone. Kuncinya adalah "outzone".
packets event.idm.read_only_udm.additional.fields[].value.string_value Dipetakan langsung dari kolom packets. Kuncinya adalah "paket".
packet_capture_name event.idm.read_only_udm.additional.fields[].value.string_value Dipetakan langsung dari kolom packet_capture_name. Kuncinya adalah "packet_capture_name".
packet_capture_time event.idm.read_only_udm.additional.fields[].value.string_value Dipetakan langsung dari kolom packet_capture_time. Kuncinya adalah "packet_capture_time".
packet_capture_unique_id event.idm.read_only_udm.additional.fields[].value.string_value Dipetakan langsung dari kolom packet_capture_unique_id. Kuncinya adalah "packet_capture_unique_id".
parent_rule event.idm.read_only_udm.security_result.detection_fields[].value Dipetakan langsung dari kolom parent_rule. Kuncinya adalah "parent_rule".
performance_impact event.idm.read_only_udm.additional.fields[].value.string_value Dipetakan langsung dari kolom performance_impact. Kuncinya adalah "performance_impact".
policy_name event.idm.read_only_udm.security_result.detection_fields[].value Diekstrak dari kolom __policy_id_tag menggunakan grok dan dipetakan. Kuncinya adalah "Nama Kebijakan".
policy_time event.idm.read_only_udm.security_result.detection_fields[].value Dipetakan langsung dari kolom policy_time. Kuncinya adalah "policy_time".
portal_message event.idm.read_only_udm.security_result.description Dipetakan langsung dari kolom portal_message.
principal_hostname event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip Dipetakan langsung dari kolom principal_hostname jika merupakan alamat IP yang valid.
principal_hostname event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname Dipetakan langsung dari kolom principal_hostname jika bukan alamat IP yang valid dan bukan "Checkpoint".
prod_family_label event.idm.read_only_udm.additional.fields[].value.string_value Dipetakan langsung dari kolom ProductFamily. Kuncinya adalah "ProductFamily".
product event.idm.read_only_udm.metadata.product_name Dipetakan langsung dari kolom product.
product_family event.idm.read_only_udm.additional.fields[].value.string_value Dipetakan langsung dari kolom product_family. Kuncinya adalah "product_family".
product_family event.idm.read_only_udm.additional.fields[].value.string_value Dipetakan langsung dari kolom product_family. Kuncinya adalah "product_family".
ProductName event.idm.read_only_udm.metadata.product_name Dipetakan langsung dari kolom ProductName saat product kosong.
product_name event.idm.read_only_udm.metadata.product_name Dipetakan langsung dari kolom product_name.
profile event.idm.read_only_udm.security_result.detection_fields[].value Dipetakan langsung dari kolom profile. Kuncinya adalah "profile".
protocol event.idm.read_only_udm.network.application_protocol Dipetakan langsung dari kolom protocol jika "HTTP".
proxy_src_ip event.idm.read_only_udm.principal.nat_ip Dipetakan langsung dari kolom proxy_src_ip.
reason event.idm.read_only_udm.security_result.summary Dipetakan langsung dari kolom reason.
received_bytes event.idm.read_only_udm.network.received_bytes Dipetakan langsung dari kolom received_bytes, dikonversi menjadi bilangan bulat tanpa tanda tangan.
Reference event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value, event.idm.read_only_udm.security_result.detection_fields[].value Dipetakan langsung dari kolom Reference. Kuncinya adalah "Referensi". Digunakan untuk membuat _vuln.name dengan attack.
reject_id_kid event.idm.read_only_udm.security_result.detection_fields[].value Dipetakan langsung dari kolom reject_id_kid. Kuncinya adalah "reject_id_kid".
resource event.idm.read_only_udm.target.url Diurai sebagai JSON dan dipetakan ke URL target. Jika penguraian gagal, penguraian akan langsung dipetakan.
resource event.idm.read_only_udm.additional.fields[].value.list_value.values[].string_value Diurai sebagai JSON dan setiap nilai dalam array resource ditambahkan ke daftar. Kuncinya adalah "Resource".
result event.idm.read_only_udm.metadata.event_timestamp Diurai dengan date_time untuk membuat stempel waktu peristiwa.
rt event.idm.read_only_udm.metadata.event_timestamp Diurai sebagai milidetik sejak epoch dan dikonversi menjadi stempel waktu.
rule event.idm.read_only_udm.security_result.rule_name Dipetakan langsung dari kolom rule.
rule_action event.idm.read_only_udm.security_result.detection_fields[].value Dipetakan langsung dari kolom rule_action. Kuncinya adalah "rule_action".
rule_name event.idm.read_only_udm.security_result.rule_name Dipetakan langsung dari kolom rule_name.
rule_uid event.idm.read_only_udm.security_result.rule_id Dipetakan langsung dari kolom rule_uid.
s_port event.idm.read_only_udm.principal.port Dipetakan langsung dari kolom s_port, dikonversi menjadi bilangan bulat.
scheme event.idm.read_only_udm.additional.fields[].value.string_value Dipetakan langsung dari kolom scheme. Kuncinya adalah "skema".
security_inzone event.idm.read_only_udm.security_result.detection_fields[].value Dipetakan langsung dari kolom security_inzone. Kuncinya adalah "security_inzone".
security_outzone event.idm.read_only_udm.security_result.detection_fields[].value Dipetakan langsung dari kolom security_outzone. Kuncinya adalah "security_outzone".
security_result_action event.idm.read_only_udm.security_result.action Dipetakan langsung dari kolom security_result_action.
sendtotrackerasadvancedauditlog event.idm.read_only_udm.security_result.detection_fields[].value Dipetakan langsung dari kolom sendtotrackerasadvancedauditlog. Kuncinya adalah "sendtotrackerasadvancedauditlog".
sent_bytes event.idm.read_only_udm.network.sent_bytes Dipetakan langsung dari kolom sent_bytes, dikonversi menjadi bilangan bulat tanpa tanda tangan.
sequencenum event.idm.read_only_udm.additional.fields[].value.string_value Dipetakan langsung dari kolom sequencenum. Kuncinya adalah "sequencenum".
ser_agent_kid event.idm.read_only_udm.security_result.detection_fields[].value Dipetakan langsung dari kolom ser_agent_kid. Kuncinya adalah "ser_agent_kid".
service event.idm.read_only_udm.target.port Dipetakan langsung dari kolom service, dikonversi menjadi bilangan bulat.
service_id event.idm.read_only_udm.network.application_protocol Dipetakan langsung dari kolom service_id jika "dhcp", "dns", "http", "https", atau "quic", dikonversi ke huruf besar.
service_id event.idm.read_only_udm.principal.application Dipetakan langsung dari kolom service_id jika bukan salah satu protokol aplikasi jaringan.
service_id event.idm.read_only_udm.security_result.detection_fields[].value Dipetakan langsung dari kolom service_id. Kuncinya adalah "service_id".
session_description event.idm.read_only_udm.security_result.detection_fields[].value Dipetakan langsung dari kolom session_description. Kuncinya adalah "session_description".
session_id event.idm.read_only_udm.network.session_id Dipetakan langsung dari kolom session_id setelah menghapus tanda kurung kurawal.
session_name event.idm.read_only_udm.security_result.detection_fields[].value Dipetakan langsung dari kolom session_name. Kuncinya adalah "session_name".
session_uid event.idm.read_only_udm.network.session_id Dipetakan langsung dari kolom session_uid setelah menghapus tanda kurung kurawal.
Severity event.idm.read_only_udm.security_result.severity Dipetakan ke "LOW", "MEDIUM", "HIGH", atau "CRITICAL" berdasarkan nilai Severity.
severity event.idm.read_only_udm.security_result.severity Dipetakan ke "LOW", "MEDIUM", "HIGH", atau "CRITICAL" berdasarkan nilai severity.
site event.idm.read_only_udm.network.http.user_agent Dipetakan langsung dari kolom site.
smartdefense_profile event.idm.read_only_udm.security_result.detection_fields[].value Dipetakan langsung dari kolom smartdefense_profile. Kuncinya adalah "smartdefense_profile".
snid event.idm.read_only_udm.network.session_id Dipetakan langsung dari kolom snid jika tidak kosong atau "0".
sourceAddress event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip Dipetakan langsung dari kolom sourceAddress.
sourcePort event.idm.read_only_udm.principal.port Dipetakan langsung dari kolom sourcePort, dikonversi menjadi bilangan bulat.
sourceTranslatedAddress event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip Dipetakan langsung dari kolom sourceTranslatedAddress.
sourceTranslatedAddress event.idm.read_only_udm.principal.nat_ip Dipetakan langsung dari kolom sourceTranslatedAddress.
sourceTranslatedPort event.idm.read_only_udm.principal.port Dipetakan langsung dari kolom sourceTranslatedPort, dikonversi menjadi bilangan bulat.
sourceTranslatedPort event.idm.read_only_udm.principal.nat_port Dipetakan langsung dari kolom sourceTranslatedPort, dikonversi menjadi bilangan bulat.
sourceUserName event.idm.read_only_udm.principal.user.userid, event.idm.read_only_udm.principal.user.first_name, event.idm.read_only_udm.principal.user.last_name Diurai menggunakan grok untuk mengekstrak userid, nama depan, dan nama belakang.
spt event.idm.read_only_udm.principal.port Dipetakan langsung dari kolom spt, dikonversi menjadi bilangan bulat.
src event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip Dipetakan langsung dari kolom src.
src_ip event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip Dipetakan langsung dari kolom src_ip.
src_localhost event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname Dipetakan langsung dari kolom src_localhost. src_ip ditetapkan ke "127.0.0.1".
src_machine_name event.idm.read_only_udm.security_result.detection_fields[].value Dipetakan langsung dari kolom src_machine_name. Kuncinya adalah "src_machine_name".
src_port event.idm.read_only_udm.principal.port Dipetakan langsung dari kolom src_port, dikonversi menjadi bilangan bulat.
src_user event.idm.read_only_udm.principal.user.userid Dipetakan langsung dari kolom src_user.
src_user_dn event.idm.read_only_udm.security_result.detection_fields[].value Dipetakan langsung dari kolom src_user_dn. Kuncinya adalah "src_user_dn".
src_user_name event.idm.read_only_udm.principal.user.userid Dipetakan langsung dari kolom src_user_name.
sub_policy_name event.idm.read_only_udm.security_result.detection_fields[].value Dipetakan langsung dari kolom sub_policy_name. Kuncinya adalah "sub_policy_name".
sub_policy_uid event.idm.read_only_udm.security_result.detection_fields[].value Dipetakan langsung dari kolom sub_policy_uid. Kuncinya adalah "sub_policy_uid".
subject event.idm.read_only_udm.security_result.detection_fields[].value Dipetakan langsung dari kolom subject. Kuncinya adalah "subjek".
subscription_stat_desc event.idm.read_only_udm.security_result.summary Dipetakan langsung dari kolom subscription_stat_desc.
tags event.idm.read_only_udm.security_result.detection_fields[].value Dipetakan langsung dari kolom tags. Kuncinya adalah "tags".
tar_user event.idm.read_only_udm.target.user.userid Dipetakan langsung dari kolom tar_user.
target_port event.idm.read_only_udm.target.port Dipetakan langsung dari kolom target_port.
tcp_flags event.idm.read_only_udm.security_result.detection_fields[].value Dipetakan langsung dari kolom tcp_flags. Kuncinya adalah "tcp_flags".
tcp_packet_out_of_state event.idm.read_only_udm.security_result.detection_fields[].value Dipetakan langsung dari kolom tcp_packet_out_of_state. Kuncinya adalah "tcp_packet_out_of_state".
time event.idm.read_only_udm.metadata.event_timestamp Diurai dan dikonversi menjadi stempel waktu menggunakan berbagai format tanggal.
ts event.idm.read_only_udm.metadata.event_timestamp Diurai dengan ds dan tz untuk membuat stempel waktu peristiwa.
type event.idm.read_only_udm.security_result.rule_type Dipetakan langsung dari kolom type.
tz event.idm.read_only_udm.metadata.event_timestamp Digunakan dengan ds dan ts untuk membuat stempel waktu peristiwa.
update_count event.idm.read_only_udm.security_result.detection_fields[].value Dipetakan langsung dari kolom update_count. Kuncinya adalah "update_count".
URL event.idm.read_only_udm.security_result.about.url Dipetakan langsung dari kolom URL.
user event.idm.read_only_udm.principal.user.userid Dipetakan langsung dari kolom user.
user_agent event.idm.read_only_udm.network.http.user_agent Dipetakan langsung dari kolom user_agent. Juga diuraikan dan dipetakan ke event.idm.read_only_udm.network.http.parsed_user_agent.
userip event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip Dipetakan langsung dari kolom userip jika merupakan alamat IP yang valid.
UUid event.idm.read_only_udm.metadata.product_log_id Dipetakan langsung dari kolom UUid setelah menghapus tanda kurung kurawal.
version event.idm.read_only_udm.metadata.product_version Dipetakan langsung dari kolom version.
web_client_type event.idm.read_only_udm.network.http.user_agent Dipetakan langsung dari kolom web_client_type.
xlatedport event.idm.read_only_udm.target.nat_port Dipetakan langsung dari kolom xlatedport, dikonversi menjadi bilangan bulat.
xlatedst event.idm.read_only_udm.target.nat_ip Dipetakan langsung dari kolom xlatedst.
xlatesport event.idm.read_only_udm.principal.nat_port Dipetakan langsung dari kolom xlatesport, dikonversi menjadi bilangan bulat.
xlatesrc event.idm.read_only_udm.principal.nat_ip Dipetakan langsung dari kolom xlatesrc.
event.idm.read_only_udm.metadata.vendor_name Check Point Nilai hardcode.
event.idm.read_only_udm.metadata.log_type CHECKPOINT_FIREWALL Nilai hardcode.
event.idm.read_only_udm.security_result.rule_type Firewall Rule Nilai default, kecuali jika diganti oleh logika tertentu.
event.idm.is_alert true Tetapkan ke benar jika kolom alert adalah "ya".
has_principal true Tetapkan ke benar jika IP utama atau nama host diekstrak.
has_target true Tetapkan ke benar jika IP target atau nama host diekstrak.

Perubahan

2024-05-29

  • Memetakan "layer_uuid_rule_uuid" ke "security_result.rule_id".
  • Memetakan "domain" ke "principal.administrative_domain".
  • Memetakan "fservice", "appi_name", "app_risk", dan "policy_name" ke "security_result.detection_fields".
  • Memetakan "packets", "__id", "dedup_time", "browse_time", "bytes", "product_family", "hll_key", dan "calc_service" ke "additional.fields".
  • Memetakan "id" ke "metadata.product_log_id".
  • Memetakan "orig_log_server" ke "principal.resource.product_object_id".
  • Memetakan "environment_id" ke "target.resource.product_object_id".
  • Memetakan "client_outbound_packets" dan "client_inbound_packets" ke "principal.resource.attribute.labels".
  • Memetakan "server_outbound_bytes" dan "server_inbound_bytes" ke "target.resource.attribute.labels".
  • Memetakan "orig" ke "principal.hostname" dan "principal.asset.hostname".
  • Memetakan "orig_log_server_ip" ke "principal.ip" dan "principal.asset.ip".
  • Memetakan "proto" ke "network.ip_protocol".

2024-05-20

  • Menambahkan pola Grok untuk mengekstrak "inter_host".
  • Memetakan "inter_host" ke "intermediary.hostname".

2024-04-19

  • Peningkatan dan Perbaikan Bug:
  • Memetakan "origin" ke "target.ip" dan "target.asset.ip".
  • Menambahkan pola Grok baru untuk mengurai format baru log SYSLOG.
  • Memetakan "smartdefense_profile", "malware_rule_id", dan "malware_rule_name" ke "security_result.detection_fields".
  • Memetakan "sequencenum", "description_url", "industry_reference", "mitre_execution", "packet_capture_name", "packet_capture_unique_id", "packet_capture_time", dan "performance_impact" ke "additional.fields".
  • Memetakan "version" ke "metadata.product_version".
  • Memetakan "http_host" ke "target.resource.attribute.labels".
  • Memetakan "log_id" ke "metadata.product_log_id".
  • Memetakan "user_agent" ke "network.http.user_agent" dan "http.parsed_user_agent".
  • Memetakan "hostname", "dvc", dan "principal_hostname" ke "target.hostname" dan "target.asset.hostname".
  • Jika "has_principal" adalah "true", "has_target" adalah "true", dan "Action"/"action" adalah "Login" atau "Failed Login" atau "Failed Login" atau "Update", tetapkan "metadata.event_type" ke "USER_LOGIN" dan "extensions.auth.type" ke "AUTHTYPE_UNSPECIFIED".
  • Jika "has_principal" adalah "true", "has_target" adalah "true", dan "Action"/"act"/"event_type" adalah "Log Out" atau "Logout", tetapkan "metadata.event_type" ke "USER_LOGOUT" dan "extensions.auth.type" ke "AUTHTYPE_UNSPECIFIED".
  • Jika "has_principal" adalah "true", "has_target" adalah "true", lalu tetapkan "metadata.event_type" ke "NETWORK_CONNECTION".
  • Jika "has_principal" adalah "true", "has_target" adalah "false", tetapkan "metadata.event_type" ke "STATUS_UPDATE".

2024-02-07

  • menambahkan pemetaan untuk kolom berikut:
  • Memetakan "protection_id", "malware_action", "malware_family,protection_name", "protection_type" ke "security_result.detection_fields".
  • Memetakan "confidence_level" ke "security_result.confidence" dan "security_result.confidence_details".

2024-02-05

  • menambahkan pemetaan untuk kolom berikut:
  • Memetakan "method" ke "network.http.method".

2024-01-24

  • menambahkan pemetaan untuk kolom berikut:
  • Memetakan "method" ke "network.http.method".
  • Memetakan "duration" ke "network.session_duration.seconds".
  • Memetakan "additional_info" ke "security_result.description".
  • Memetakan "operation" ke "security_result.summary".
  • Memetakan "subject" ke "metadata.description".
  • Memetakan "principal_hostname" ke "intermediary.hostname".
  • Memetakan "tcp_packet_out_of_state", "aggregated_log_count", "connection_count", "appi_name", "src_user_dn",
  • "update_count", "additional_info", "administrator", "operation", "sendtotrackerasadvancedauditlog",
  • "subject", "fieldschanges", "logic_changes", "objecttype", "session_description",
  • "session_name" menjadi "security_result.detection_fields".

2023-12-27

  • menambahkan pemetaan untuk kolom berikut:
  • Memetakan "flag" ke "security_result.detection_fields".
  • Memetakan "tcp_flags" ke "security_result.detection_fields".
  • Memetakan "tcp_packet_out_of_state" ke "security_result.detection_fields".

2023-12-11

  • Jika "principal_hostname" adalah IP yang valid, petakan ke "principal.ip".
  • Jika "principal_hostname" bukan IP yang valid, petakan ke "principal.hostname".
  • Memetakan "sport_svc" ke "principal.port".
  • Memetakan "ProductFamily" ke "additional.fields".
  • Memetakan "mitre_initial_access" ke "security_result.detection_fields".
  • Memetakan "policy_time" ke "security_result.detection_fields".
  • Memetakan "profile" ke "security_result.detection_fields".
  • Memetakan "reject_id_kid" ke "security_result.detection_fields".
  • Memetakan "ser_agent_kid" ke "security_result.detection_fields".

2023-10-11

  • Jika "product" adalah "New Anti Virus", pemetaan dari "firewall management node" ke "principal.hostname" akan dihapus dan dipetakan ke "security_result.detection_fields".

2023-07-06

  • menambahkan pemetaan untuk kolom berikut:
  • Memetakan "app_category" ke "security_result.category_details".
  • Memetakan "matched_category" ke "security_result.detection_fields".
  • Memetakan "app_properties" ke "security_result.detection_fields".

2023-06-14

  • menambahkan pemetaan untuk kolom berikut
  • Memetakan "conn_direction" ke "additional.fields".
  • Mengubah gsub agar tidak mengganti ":" dengan "=" dari nilai sebenarnya.

2023-05-12

  • menambahkan pemetaan untuk kolom berikut
  • Memetakan "rule_name" ke "security_result.rule_name".
  • Memetakan "rule","sub_policy_name","sub_policy_uid","smartdefense_profile","tags","flexString2" ke "security_result.detection_fields".
  • Menambahkan pola Grok baru untuk mendukung format log baru.
  • Memetakan "dvc" ke "intermediary.hostname".
  • Memetakan "hostname" ke "intermediary.hostname".
  • Memetakan "origin_sic_name" ke "intermediary.asset_id".
  • Memetakan "conn_direction" ke "network.ip_protocol".
  • Memetakan "ifname" ke "security_result.detection_fields".
  • Memetakan "security_inzone" ke "security_result.detection_fields".
  • Memetakan "match_id" ke "security_result.detection_fields".
  • Memetakan "parent_rule" ke "security_result.detection_fields".
  • Memetakan "security_outzone" ke "security_result.detection_fields".
  • Memetakan "sub_policy_name" ke "security_result.detection_fields".
  • Memetakan "sub_policy_uid" ke "security_result.detection_fields".
  • Memetakan "drop_reason" ke "security_result.summary".
  • Memetakan "reason" ke "security_result.summary".
  • Memetakan "xlatesport" ke "principal.nat_port".
  • Memetakan "xlatedport" ke "target.nat_port".
  • Memetakan "ipv6_dst" ke "target.ip".
  • Memetakan "ipv6_src" ke "principal.ip".

2023-04-24

  • Menambahkan dukungan untuk log dengan format CEF.

2022-11-18

  • Mengubah pemetaan untuk "service" dan memetakan ke "target.port".

2022-10-27

  • Menambahkan pemeriksaan bersyarat untuk "attack","attack_info","policy_name".
  • Menambahkan pola grok untuk mengambil "principal_hostname".
  • Menambahkan gsub untuk mengubah "=" menjadi ":".
  • Mengubah pemetaan untuk "service" dan memetakan ke "target.resource.attribute.labels".

2022-10-13

  • Memetakan kolom 'fw_subproduct' ke 'metadata.product_name'.
  • Menambahkan pola grok untuk mengekstrak IP dari kolom 'src'.

2022-08-30

  • Menggabungkan perubahan versi khusus Pelanggan ke versi default.
  • Menghapus log yang berisi "*****" di UserCheck.

2022-08-18

  • Memetakan "portal_message" ke "security_result.description".
  • Memetakan "security_result.category" sebagai "SOFTWARE_MALICIOUS" jika "portal_message" berisi kata kunci "malware/malicious".
  • Memetakan "URL" ke "security_result.about.url".
  • Memetakan "Aktivitas" ke "security_result.summary".
  • Memetakan "Referensi" ke "security_result.about.resource.attribute.labels".
  • Mengubah "event_type" dari "GENERIC_EVENT" menjadi "STATUS_UPDATE" dengan mereplikasi nilai "intermediary.ip" ke "principal.ip".

2022-08-12

  • Memetakan "malware_action", "malware_family,protection_name", "protection_type" ke "security_result.about.resource.attribute.labels".
  • Memetakan "src_machine_name" ke "security_result.detection_fields".

2022-06-30

  • Memetakan "message_info" ke "metadata.description".

2022-06-17

  • Menambahkan pemeriksaan bersyarat untuk kolom "nat_rulenum", "rule", "sent_bytes", "received_bytes", "s_port", "service".
  • Mengubah event_types untuk kasus berikut:
  • "GENERIC_EVENT" ke "NETWORK_CONNECTION" dengan "principal.ip or principal.hostname" dan "target.ip or target.hostname" tidak null.
  • "GENERIC_EVENT" ke "STATUS_UNCATEGORIZED" dengan "principal.ip atau principal.hostname" tidak null.

2022-06-14

  • Mengubah parser untuk mengurai lebih banyak log dengan menghapus pemeriksaan kondisi untuk passwd.

2022-06-07

  • Memetakan src_machine_name ke security_result.detection_fields.

2022-05-19

  • Memetakan inzone, outzone, layer_name, layer_uuid, dan policy_name ke security_result.detection_fields.
  • Memetakan service_id ke principal.application.