Raccogliere i log del firewall Check Point
Questo parser estrae i log del firewall Check Point. Gestisce i messaggi formattati sia CEF che non CEF, inclusi syslog, coppie chiave-valore e JSON. Normalizza i campi, li mappa all'UDM ed esegue una logica specifica per l'accesso/la disconnessione, le connessioni di rete e gli eventi di sicurezza. Arricchisce i dati con informazioni contestuali come la geolocalizzazione e le informazioni sulle minacce.
Prima di iniziare
- Assicurati di avere un'istanza Google Security Operations.
- Assicurati di utilizzare Windows 2016 o versioni successive o un host Linux con systemd.
- Se il servizio è in esecuzione dietro un proxy, assicurati che le porte del firewall siano aperte.
- Assicurati di disporre di accesso privilegiato a un firewall Check Point.
Recupera il file di autenticazione di importazione di Google SecOps
- Accedi alla console Google SecOps.
- Vai a Impostazioni SIEM > Agenti di raccolta.
- Scarica il file di autenticazione dell'importazione.
Ottenere l'ID cliente Google SecOps
- Accedi alla console Google SecOps.
- Vai a Impostazioni SIEM > Profilo.
- Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.
Installa BindPlane Agent
- Per l'installazione su Windows, esegui il seguente script:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
- Per l'installazione di Linux, esegui il seguente script:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
- Ulteriori opzioni di installazione sono disponibili in questa guida all'installazione.
Configurare l'agente BindPlane per importare i syslog e inviarli a Google SecOps
- Accedi al computer su cui è installato BindPlane.
Modifica il file
config.yaml
come segue:receivers: udplog: # Replace the below port <54525> and IP <0.0.0.0> with your specific values listen_address: "0.0.0.0:54525" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the creds location below according the placement of the credentials file you downloaded creds: '{ json file for creds }' # Replace <customer_id> below with your actual ID that you copied customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # You can apply ingestion labels below as preferred ingestion_labels: log_type: SYSLOG namespace: Checkpoint_Firewall raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels
Riavvia l'agente BindPlane per applicare le modifiche:
sudo systemctl restart bindplane
Configurare l'esportazione Syslog in un firewall Check Point
- Accedi all'interfaccia utente del firewall Check Point utilizzando un account con privilegi.
- Vai a Log e monitoraggio > Server di log.
- Vai a Server Syslog.
- Fai clic su Configura e imposta i seguenti valori:
- Protocollo: seleziona UDP per inviare log di sicurezza e/o di sistema.
- Nome: fornisci un nome univoco (ad esempio Bindplane_Server).
- Indirizzo IP: fornisci l'indirizzo IP del server syslog (IP Bindplane).
- Porta: fornisci la porta del server syslog (porta Bindplane).
- Seleziona Attiva il server di log.
- Seleziona i log da inoltrare: Log di sistema e di sicurezza.
- Fai clic su Applica.
Tabella di mappatura UDM
Campo log | Mappatura UDM | Logica |
---|---|---|
Action |
event.idm.read_only_udm.security_result.action_details |
Mappato direttamente dal campo Action . |
Activity |
event.idm.read_only_udm.security_result.summary |
Mappato direttamente dal campo Activity . |
additional_info |
event.idm.read_only_udm.security_result.description |
Mappato direttamente dal campo additional_info . |
administrator |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo administrator . La chiave è "administrator". |
aggregated_log_count |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo aggregated_log_count . La chiave è "aggregated_log_count". |
appi_name |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo appi_name . La chiave è "appi_name". |
app_category |
event.idm.read_only_udm.security_result.category_details |
Mappato direttamente dal campo app_category . |
app_properties |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo app_properties . La chiave è "app_properties". |
app_risk |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo app_risk . La chiave è "app_risk". |
app_session_id |
event.idm.read_only_udm.network.session_id |
Mappato direttamente dal campo app_session_id , convertito in una stringa. |
attack |
event.idm.read_only_udm.security_result.summary |
Mappato direttamente dal campo attack quando è presente Info . |
attack |
event.idm.read_only_udm.security_result.threat_name |
Mappato direttamente dal campo attack quando è presente Info . |
attack_info |
event.idm.read_only_udm.security_result.description |
Mappato direttamente dal campo attack_info . |
auth_status |
event.idm.read_only_udm.security_result.summary |
Mappato direttamente dal campo auth_status . |
browse_time |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mappato direttamente dal campo browse_time . La chiave è "browse_time". |
bytes |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mappato direttamente dal campo bytes . La chiave è "bytes". |
bytes |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mappato direttamente dal campo bytes . La chiave è "bytes". |
calc_service |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mappato direttamente dal campo calc_service . La chiave è "calc_service". |
category |
event.idm.read_only_udm.security_result.category_details |
Mappato direttamente dal campo category . |
client_version |
event.idm.read_only_udm.intermediary.platform_version |
Mappato direttamente dal campo client_version . |
conn_direction |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mappato direttamente dal campo conn_direction . La chiave è "conn_direction". |
conn_direction |
event.idm.read_only_udm.network.direction |
Se conn_direction è "In entrata", viene mappato a "INBOUND". In caso contrario, corrisponde a "OUTBOUND". |
connection_count |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo connection_count . La chiave è "connection_count". |
contract_name |
event.idm.read_only_udm.security_result.description |
Mappato direttamente dal campo contract_name . |
cs2 |
event.idm.read_only_udm.security_result.rule_name |
Mappato direttamente dal campo cs2 . |
date_time |
event.idm.read_only_udm.metadata.event_timestamp |
Analizzati e convertiti in un timestamp utilizzando vari formati di data. |
dedup_time |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mappato direttamente dal campo dedup_time . La chiave è "dedup_time". |
desc |
event.idm.read_only_udm.security_result.summary |
Mappato direttamente dal campo desc . |
description |
event.idm.read_only_udm.security_result.description |
Mappato direttamente dal campo description . |
description_url |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mappato direttamente dal campo description_url . La chiave è "description_url". |
destinationAddress |
event.idm.read_only_udm.target.ip , event.idm.read_only_udm.target.asset.ip |
Mappato direttamente dal campo destinationAddress . |
destinationPort |
event.idm.read_only_udm.target.port |
Mappato direttamente dal campo destinationPort , convertito in un numero intero. |
destinationTranslatedAddress |
event.idm.read_only_udm.target.ip , event.idm.read_only_udm.target.asset.ip |
Mappato direttamente dal campo destinationTranslatedAddress . |
destinationTranslatedAddress |
event.idm.read_only_udm.target.nat_ip |
Mappato direttamente dal campo destinationTranslatedAddress . |
destinationTranslatedPort |
event.idm.read_only_udm.target.port |
Mappato direttamente dal campo destinationTranslatedPort , convertito in un numero intero. |
destinationTranslatedPort |
event.idm.read_only_udm.target.nat_port |
Mappato direttamente dal campo destinationTranslatedPort , convertito in un numero intero. |
deviceCustomString2 |
event.idm.read_only_udm.security_result.rule_name |
Mappato direttamente dal campo deviceCustomString2 . |
deviceDirection |
event.idm.read_only_udm.network.direction |
Se deviceDirection è 0, viene mappato a "OUTBOUND". Se 1, corrisponde a "INBOUND". |
domain |
event.idm.read_only_udm.principal.administrative_domain |
Mappato direttamente dal campo domain . |
domain_name |
event.idm.read_only_udm.principal.administrative_domain |
Mappato direttamente dal campo domain_name . |
drop_reason |
event.idm.read_only_udm.security_result.summary |
Mappato direttamente dal campo drop_reason . |
ds |
event.idm.read_only_udm.metadata.event_timestamp |
Utilizzato con ts e tz per creare il timestamp dell'evento. |
dst |
event.idm.read_only_udm.target.ip , event.idm.read_only_udm.target.asset.ip |
Mappato direttamente dal campo dst . |
dst_country |
event.idm.read_only_udm.target.location.country_or_region |
Mappato direttamente dal campo dst_country . |
dst_ip |
event.idm.read_only_udm.target.ip , event.idm.read_only_udm.target.asset.ip |
Mappato direttamente dal campo dst_ip . |
dpt |
event.idm.read_only_udm.target.port |
Mappato direttamente dal campo dpt , convertito in un numero intero. |
duration |
event.idm.read_only_udm.network.session_duration.seconds |
Mappato direttamente dal campo duration , convertito in un numero intero, se maggiore di 0. |
duser |
event.idm.read_only_udm.target.user.email_addresses , event.idm.read_only_udm.target.user.user_display_name |
Mappato direttamente dal campo duser se corrisponde a un formato di indirizzo email. |
environment_id |
event.idm.read_only_udm.target.resource.product_object_id |
Mappato direttamente dal campo environment_id . |
event_type |
event.idm.read_only_udm.metadata.event_type |
Determinato da una logica basata sulla presenza di determinati campi e valori. Il valore predefinito è GENERIC_EVENT se non viene identificato un tipo di evento specifico. Può essere NETWORK_CONNECTION , USER_LOGIN , USER_CHANGE_PASSWORD , USER_LOGOUT , NETWORK_HTTP o STATUS_UPDATE . |
fieldschanges |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo fieldschanges . La chiave è "fieldschanges". |
flags |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo flags . La chiave è "flags". |
flexString2 |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo flexString2 . La chiave è il valore di flexString2Label . |
from_user |
event.idm.read_only_udm.principal.user.userid |
Mappato direttamente dal campo from_user . |
fservice |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo fservice . La chiave è "fservice". |
fw_subproduct |
event.idm.read_only_udm.metadata.product_name |
Mappato direttamente dal campo fw_subproduct quando product è vuoto. |
geoip_dst.country_name |
event.idm.read_only_udm.target.location.country_or_region |
Mappato direttamente dal campo geoip_dst.country_name . |
hll_key |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mappato direttamente dal campo hll_key . La chiave è "hll_key". |
hostname |
event.idm.read_only_udm.target.hostname , event.idm.read_only_udm.target.asset.hostname , event.idm.read_only_udm.intermediary.hostname |
Mappato direttamente dal campo hostname quando inter_host è vuoto. |
http_host |
event.idm.read_only_udm.target.resource.attribute.labels[].value |
Mappato direttamente dal campo http_host . La chiave è "http_host". |
id |
event.idm.read_only_udm.metadata.product_log_id |
Mappato direttamente dal campo _id . |
identity_src |
event.idm.read_only_udm.target.application |
Mappato direttamente dal campo identity_src . |
identity_type |
event.idm.read_only_udm.extensions.auth.type |
Se identity_type è "user", viene mappato a "VPN". In caso contrario, viene mappato a "MACCHINA". |
if_direction |
event.idm.read_only_udm.network.direction |
Mappato direttamente dal campo if_direction , convertito in maiuscolo. |
ifdir |
event.idm.read_only_udm.network.direction |
Mappato direttamente dal campo ifdir , convertito in maiuscolo. |
ifname |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo ifname . La chiave è "ifname". |
IKE |
event.idm.read_only_udm.metadata.description |
Mappato direttamente dal campo IKE . |
inzone |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo inzone . La chiave è "inzone". |
industry_reference |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mappato direttamente dal campo industry_reference . La chiave è "industry_reference". |
instance_id |
event.idm.read_only_udm.principal.hostname , event.idm.read_only_udm.principal.asset.hostname |
Mappato direttamente dal campo instance_id . |
inter_host |
event.idm.read_only_udm.intermediary.hostname |
Mappato direttamente dal campo inter_host . |
ip_proto |
event.idm.read_only_udm.network.ip_protocol |
Determinato in base al campo proto o service . Può essere TCP, UDP, ICMP, IP6IN4 o GRE. |
ipv6_dst |
event.idm.read_only_udm.target.ip , event.idm.read_only_udm.target.asset.ip |
Mappato direttamente dal campo ipv6_dst . |
ipv6_src |
event.idm.read_only_udm.principal.ip , event.idm.read_only_udm.principal.asset.ip |
Mappato direttamente dal campo ipv6_src . |
layer_name |
event.idm.read_only_udm.security_result.rule_set_display_name , event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo layer_name . La chiave è "layer_name". |
layer_uuid |
event.idm.read_only_udm.security_result.rule_set , event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo layer_uuid dopo la rimozione delle parentesi graffe. La chiave è "layer_uuid". |
layer_uuid_rule_uuid |
event.idm.read_only_udm.security_result.rule_id |
Mappato direttamente dal campo layer_uuid_rule_uuid dopo aver rimosso parentesi e virgolette. |
log_id |
event.idm.read_only_udm.metadata.product_log_id |
Mappato direttamente dal campo log_id . |
log_type |
event.idm.read_only_udm.metadata.log_type |
Mappato direttamente dal campo log_type . Hardcoded to "CHECKPOINT_FIREWALL". |
loguid |
event.idm.read_only_udm.metadata.product_log_id |
Mappato direttamente dal campo loguid dopo la rimozione delle parentesi graffe. |
logic_changes |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo logic_changes . La chiave è "logic_changes". |
localhost |
event.idm.read_only_udm.target.hostname , event.idm.read_only_udm.target.asset.hostname |
Mappato direttamente dal campo localhost . dst_ip è impostato su "127.0.0.1". |
malware_action |
event.idm.read_only_udm.security_result.detection_fields[].value , event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value |
Mappato direttamente dal campo malware_action . La chiave è "malware_action". |
malware_family |
event.idm.read_only_udm.security_result.detection_fields[].value , event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value |
Mappato direttamente dal campo malware_family . La chiave è "malware_family". |
malware_rule_id |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo malware_rule_id dopo la rimozione delle parentesi graffe. La chiave è "ID regola malware". |
malware_rule_name |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo malware_rule_name . La chiave è "Nome regola malware". |
match_id |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo match_id . La chiave è "match_id". |
matched_category |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo matched_category . La chiave è "matched_category". |
message_info |
event.idm.read_only_udm.metadata.description |
Mappato direttamente dal campo message_info . |
method |
event.idm.read_only_udm.network.http.method |
Mappato direttamente dal campo method . |
mitre_execution |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mappato direttamente dal campo mitre_execution . La chiave è "mitre_execution". |
mitre_initial_access |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo mitre_initial_access . La chiave è "mitre_initial_access". |
nat_rulenum |
event.idm.read_only_udm.security_result.rule_id |
Mappato direttamente dal campo nat_rulenum , convertito in una stringa. |
objecttype |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo objecttype . La chiave è "objecttype". |
operation |
event.idm.read_only_udm.security_result.summary |
Mappato direttamente dal campo operation . |
operation |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo operation . La chiave è "operation". |
orig |
event.idm.read_only_udm.principal.hostname , event.idm.read_only_udm.principal.asset.hostname |
Mappato direttamente dal campo orig . |
origin |
event.idm.read_only_udm.principal.ip , event.idm.read_only_udm.principal.asset.ip , event.idm.read_only_udm.target.ip , event.idm.read_only_udm.target.asset.ip , event.idm.read_only_udm.intermediary.ip |
Mappato direttamente dal campo origin . |
origin_sic_name |
event.idm.read_only_udm.intermediary.asset_id , event.idm.read_only_udm.intermediary.labels[].value |
Mappato direttamente dal campo origin_sic_name . La chiave è "SIC macchina". L'ID risorsa è preceduto dal prefisso "asset:". |
originsicname |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mappato direttamente dal campo originsicname . La chiave è "originsicname". |
originsicname |
event.idm.read_only_udm.intermediary.asset_id , event.idm.read_only_udm.intermediary.labels[].value |
Mappato direttamente dal campo originsicname . La chiave è "SIC macchina". L'ID risorsa è preceduto dal prefisso "asset:". |
os_name |
event.idm.read_only_udm.principal.asset.platform_software.platform |
Se os_name contiene "Win", viene mappato a "WINDOWS". Se contiene "MAC" o "IOS", viene mappato a "MAC". Se contiene "LINUX", viene mappato a "LINUX". |
os_version |
event.idm.read_only_udm.principal.asset.platform_software.platform_patch_level |
Mappato direttamente dal campo os_version . |
outzone |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo outzone . La chiave è "outzone". |
packets |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mappato direttamente dal campo packets . La chiave è "packets". |
packet_capture_name |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mappato direttamente dal campo packet_capture_name . La chiave è "packet_capture_name". |
packet_capture_time |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mappato direttamente dal campo packet_capture_time . La chiave è "packet_capture_time". |
packet_capture_unique_id |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mappato direttamente dal campo packet_capture_unique_id . La chiave è "packet_capture_unique_id". |
parent_rule |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo parent_rule . La chiave è "parent_rule". |
performance_impact |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mappato direttamente dal campo performance_impact . La chiave è "performance_impact". |
policy_name |
event.idm.read_only_udm.security_result.detection_fields[].value |
Estratto dal campo __policy_id_tag utilizzando grok e mappato. La chiave è "Nome norma". |
policy_time |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo policy_time . La chiave è "policy_time". |
portal_message |
event.idm.read_only_udm.security_result.description |
Mappato direttamente dal campo portal_message . |
principal_hostname |
event.idm.read_only_udm.principal.ip , event.idm.read_only_udm.principal.asset.ip |
Mappato direttamente dal campo principal_hostname se si tratta di un indirizzo IP valido. |
principal_hostname |
event.idm.read_only_udm.principal.hostname , event.idm.read_only_udm.principal.asset.hostname |
Mappato direttamente dal campo principal_hostname se non è un indirizzo IP valido e non è "Punto di controllo". |
prod_family_label |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mappato direttamente dal campo ProductFamily . La chiave è "ProductFamily". |
product |
event.idm.read_only_udm.metadata.product_name |
Mappato direttamente dal campo product . |
product_family |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mappato direttamente dal campo product_family . La chiave è "product_family". |
product_family |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mappato direttamente dal campo product_family . La chiave è "product_family". |
ProductName |
event.idm.read_only_udm.metadata.product_name |
Mappato direttamente dal campo ProductName quando product è vuoto. |
product_name |
event.idm.read_only_udm.metadata.product_name |
Mappato direttamente dal campo product_name . |
profile |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo profile . La chiave è "profile". |
protocol |
event.idm.read_only_udm.network.application_protocol |
Mappato direttamente dal campo protocol se è "HTTP". |
proxy_src_ip |
event.idm.read_only_udm.principal.nat_ip |
Mappato direttamente dal campo proxy_src_ip . |
reason |
event.idm.read_only_udm.security_result.summary |
Mappato direttamente dal campo reason . |
received_bytes |
event.idm.read_only_udm.network.received_bytes |
Mappato direttamente dal campo received_bytes , convertito in un numero intero non firmato. |
Reference |
event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value , event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo Reference . La chiave è "Reference". Utilizzato per costruire _vuln.name con attack . |
reject_id_kid |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo reject_id_kid . La chiave è "reject_id_kid". |
resource |
event.idm.read_only_udm.target.url |
Analizzati come JSON e mappati all'URL di destinazione. Se l'analisi non va a buon fine, l'attributo viene mappato direttamente. |
resource |
event.idm.read_only_udm.additional.fields[].value.list_value.values[].string_value |
Analizza come JSON e ogni valore nell'array resource viene aggiunto all'elenco. La chiave è "Risorsa". |
result |
event.idm.read_only_udm.metadata.event_timestamp |
Analizzata con date_time per creare il timestamp dell'evento. |
rt |
event.idm.read_only_udm.metadata.event_timestamp |
Analizzati come millisecondi dall'epoca e convertiti in un timestamp. |
rule |
event.idm.read_only_udm.security_result.rule_name |
Mappato direttamente dal campo rule . |
rule_action |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo rule_action . La chiave è "rule_action". |
rule_name |
event.idm.read_only_udm.security_result.rule_name |
Mappato direttamente dal campo rule_name . |
rule_uid |
event.idm.read_only_udm.security_result.rule_id |
Mappato direttamente dal campo rule_uid . |
s_port |
event.idm.read_only_udm.principal.port |
Mappato direttamente dal campo s_port , convertito in un numero intero. |
scheme |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mappato direttamente dal campo scheme . La chiave è "scheme". |
security_inzone |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo security_inzone . La chiave è "security_inzone". |
security_outzone |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo security_outzone . La chiave è "security_outzone". |
security_result_action |
event.idm.read_only_udm.security_result.action |
Mappato direttamente dal campo security_result_action . |
sendtotrackerasadvancedauditlog |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo sendtotrackerasadvancedauditlog . La chiave è "sendtotrackerasadvancedauditlog". |
sent_bytes |
event.idm.read_only_udm.network.sent_bytes |
Mappato direttamente dal campo sent_bytes , convertito in un numero intero non firmato. |
sequencenum |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mappato direttamente dal campo sequencenum . La chiave è "sequencenum". |
ser_agent_kid |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo ser_agent_kid . La chiave è "ser_agent_kid". |
service |
event.idm.read_only_udm.target.port |
Mappato direttamente dal campo service , convertito in un numero intero. |
service_id |
event.idm.read_only_udm.network.application_protocol |
Mappato direttamente dal campo service_id se è "dhcp", "dns", "http", "https" o "quic", convertito in maiuscolo. |
service_id |
event.idm.read_only_udm.principal.application |
Mappato direttamente dal campo service_id se non è uno dei protocolli di applicazione di rete. |
service_id |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo service_id . La chiave è "service_id". |
session_description |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo session_description . La chiave è "session_description". |
session_id |
event.idm.read_only_udm.network.session_id |
Mappato direttamente dal campo session_id dopo la rimozione delle parentesi graffe. |
session_name |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo session_name . La chiave è "session_name". |
session_uid |
event.idm.read_only_udm.network.session_id |
Mappato direttamente dal campo session_uid dopo la rimozione delle parentesi graffe. |
Severity |
event.idm.read_only_udm.security_result.severity |
Mappato a "LOW", "MEDIUM", "HIGH" o "CRITICAL" in base al valore di Severity . |
severity |
event.idm.read_only_udm.security_result.severity |
Mappato a "LOW", "MEDIUM", "HIGH" o "CRITICAL" in base al valore di severity . |
site |
event.idm.read_only_udm.network.http.user_agent |
Mappato direttamente dal campo site . |
smartdefense_profile |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo smartdefense_profile . La chiave è "smartdefense_profile". |
snid |
event.idm.read_only_udm.network.session_id |
Mappato direttamente dal campo snid se non è vuoto o "0". |
sourceAddress |
event.idm.read_only_udm.principal.ip , event.idm.read_only_udm.principal.asset.ip |
Mappato direttamente dal campo sourceAddress . |
sourcePort |
event.idm.read_only_udm.principal.port |
Mappato direttamente dal campo sourcePort , convertito in un numero intero. |
sourceTranslatedAddress |
event.idm.read_only_udm.principal.ip , event.idm.read_only_udm.principal.asset.ip |
Mappato direttamente dal campo sourceTranslatedAddress . |
sourceTranslatedAddress |
event.idm.read_only_udm.principal.nat_ip |
Mappato direttamente dal campo sourceTranslatedAddress . |
sourceTranslatedPort |
event.idm.read_only_udm.principal.port |
Mappato direttamente dal campo sourceTranslatedPort , convertito in un numero intero. |
sourceTranslatedPort |
event.idm.read_only_udm.principal.nat_port |
Mappato direttamente dal campo sourceTranslatedPort , convertito in un numero intero. |
sourceUserName |
event.idm.read_only_udm.principal.user.userid , event.idm.read_only_udm.principal.user.first_name , event.idm.read_only_udm.principal.user.last_name |
Analizzati utilizzando grok per estrarre userid, nome e cognome. |
spt |
event.idm.read_only_udm.principal.port |
Mappato direttamente dal campo spt , convertito in un numero intero. |
src |
event.idm.read_only_udm.principal.ip , event.idm.read_only_udm.principal.asset.ip |
Mappato direttamente dal campo src . |
src_ip |
event.idm.read_only_udm.principal.ip , event.idm.read_only_udm.principal.asset.ip |
Mappato direttamente dal campo src_ip . |
src_localhost |
event.idm.read_only_udm.principal.hostname , event.idm.read_only_udm.principal.asset.hostname |
Mappato direttamente dal campo src_localhost . src_ip è impostato su "127.0.0.1". |
src_machine_name |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo src_machine_name . La chiave è "src_machine_name". |
src_port |
event.idm.read_only_udm.principal.port |
Mappato direttamente dal campo src_port , convertito in un numero intero. |
src_user |
event.idm.read_only_udm.principal.user.userid |
Mappato direttamente dal campo src_user . |
src_user_dn |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo src_user_dn . La chiave è "src_user_dn". |
src_user_name |
event.idm.read_only_udm.principal.user.userid |
Mappato direttamente dal campo src_user_name . |
sub_policy_name |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo sub_policy_name . La chiave è "sub_policy_name". |
sub_policy_uid |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo sub_policy_uid . La chiave è "sub_policy_uid". |
subject |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo subject . La chiave è "subject". |
subscription_stat_desc |
event.idm.read_only_udm.security_result.summary |
Mappato direttamente dal campo subscription_stat_desc . |
tags |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo tags . La chiave è "tags". |
tar_user |
event.idm.read_only_udm.target.user.userid |
Mappato direttamente dal campo tar_user . |
target_port |
event.idm.read_only_udm.target.port |
Mappato direttamente dal campo target_port . |
tcp_flags |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo tcp_flags . La chiave è "tcp_flags". |
tcp_packet_out_of_state |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo tcp_packet_out_of_state . La chiave è "tcp_packet_out_of_state". |
time |
event.idm.read_only_udm.metadata.event_timestamp |
Analizzati e convertiti in un timestamp utilizzando vari formati di data. |
ts |
event.idm.read_only_udm.metadata.event_timestamp |
Analizzati con ds e tz per creare il timestamp dell'evento. |
type |
event.idm.read_only_udm.security_result.rule_type |
Mappato direttamente dal campo type . |
tz |
event.idm.read_only_udm.metadata.event_timestamp |
Utilizzato con ds e ts per creare il timestamp dell'evento. |
update_count |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo update_count . La chiave è "update_count". |
URL |
event.idm.read_only_udm.security_result.about.url |
Mappato direttamente dal campo URL . |
user |
event.idm.read_only_udm.principal.user.userid |
Mappato direttamente dal campo user . |
user_agent |
event.idm.read_only_udm.network.http.user_agent |
Mappato direttamente dal campo user_agent . Inoltre, viene analizzato e mappato a event.idm.read_only_udm.network.http.parsed_user_agent . |
userip |
event.idm.read_only_udm.principal.ip , event.idm.read_only_udm.principal.asset.ip |
Mappato direttamente dal campo userip se si tratta di un indirizzo IP valido. |
UUid |
event.idm.read_only_udm.metadata.product_log_id |
Mappato direttamente dal campo UUid dopo la rimozione delle parentesi graffe. |
version |
event.idm.read_only_udm.metadata.product_version |
Mappato direttamente dal campo version . |
web_client_type |
event.idm.read_only_udm.network.http.user_agent |
Mappato direttamente dal campo web_client_type . |
xlatedport |
event.idm.read_only_udm.target.nat_port |
Mappato direttamente dal campo xlatedport , convertito in un numero intero. |
xlatedst |
event.idm.read_only_udm.target.nat_ip |
Mappato direttamente dal campo xlatedst . |
xlatesport |
event.idm.read_only_udm.principal.nat_port |
Mappato direttamente dal campo xlatesport , convertito in un numero intero. |
xlatesrc |
event.idm.read_only_udm.principal.nat_ip |
Mappato direttamente dal campo xlatesrc . |
event.idm.read_only_udm.metadata.vendor_name |
Check Point |
Valore hardcoded. |
event.idm.read_only_udm.metadata.log_type |
CHECKPOINT_FIREWALL |
Valore hardcoded. |
event.idm.read_only_udm.security_result.rule_type |
Firewall Rule |
Valore predefinito, a meno che non venga ignorato da una logica specifica. |
event.idm.is_alert |
true |
Imposta su true se il campo alert è "yes". |
has_principal |
true |
Impostato su true quando viene estratto l'indirizzo IP o il nome host principale. |
has_target |
true |
Impostato su true quando viene estratto l'indirizzo IP o il nome host di destinazione. |
Modifiche
2024-05-29
- "layer_uuid_rule_uuid" è stato mappato a "security_result.rule_id".
- "domain" è stato mappato a "principal.administrative_domain".
- "fservice", "appi_name", "app_risk" e "policy_name" sono stati mappati a "security_result.detection_fields".
- "packets", "__id", "dedup_time", "browse_time", "bytes", "product_family", "hll_key" e "calc_service" sono stati mappati a "additional.fields".
- "id" è stato mappato a "metadata.product_log_id".
- "orig_log_server" è stato mappato a "principal.resource.product_object_id".
- "environment_id" è stato mappato a "target.resource.product_object_id".
- "client_outbound_packets" e "client_inbound_packets" sono stati mappati a "principal.resource.attribute.labels".
- "server_outbound_bytes" e "server_inbound_bytes" sono stati mappati a "target.resource.attribute.labels".
- "orig" è stato mappato a "principal.hostname" e "principal.asset.hostname".
- "orig_log_server_ip" è stato mappato a "principal.ip" e "principal.asset.ip".
- "proto" è stato mappato a "network.ip_protocol".
2024-05-20
- È stato aggiunto un pattern Grok per estrarre "inter_host".
- "inter_host" è stato mappato a "intermediary.hostname".
2024-04-19
- Miglioramento e correzione di bug:
- "origin" è stato mappato a "target.ip" e "target.asset.ip".
- Sono stati aggiunti nuovi pattern Grok per analizzare il nuovo formato dei log SYSLOG.
- "smartdefense_profile", "malware_rule_id" e "malware_rule_name" sono stati mappati a "security_result.detection_fields".
- Ho mappato "sequencenum", "description_url", "industry_reference", "mitre_execution", "packet_capture_name", "packet_capture_unique_id", "packet_capture_time" e "performance_impact" a "additional.fields".
- "version" è stato mappato a "metadata.product_version".
- "http_host" è stato mappato a "target.resource.attribute.labels".
- "log_id" è stato mappato a "metadata.product_log_id".
- "user_agent" è stato mappato a "network.http.user_agent" e "http.parsed_user_agent".
- "hostname", "dvc" e "principal_hostname" sono stati mappati a "target.hostname" e "target.asset.hostname".
- Se "has_principal" è "true", "has_target" è "true" ed "Action"/"action" è "Log In" o "Failed Log In" o "Failed Login" o "Update", imposta "metadata.event_type" su "USER_LOGIN" ed "extensions.auth.type" su "AUTHTYPE_UNSPECIFIED".
- Se "has_principal" è "true", "has_target" è "true" ed "Action"/"act"/"event_type" è "Log Out" o "Logout", imposta "metadata.event_type" su "USER_LOGOUT" ed "extensions.auth.type" su "AUTHTYPE_UNSPECIFIED".
- Se "has_principal" è "true", "has_target" è "true", imposta "metadata.event_type" su "NETWORK_CONNECTION".
- Se "has_principal" è "true", "has_target" è "false", imposta "metadata.event_type" su "STATUS_UPDATE".
2024-02-07
- è stata aggiunta la mappatura per i seguenti campi:
- "protection_id", "malware_action", "malware_family,protection_name", "protection_type" sono stati mappati a "security_result.detection_fields".
- "confidence_level" è stato mappato a "security_result.confidence" e "security_result.confidence_details".
2024-02-05
- è stata aggiunta la mappatura per i seguenti campi:
- "method" è stato mappato a "network.http.method".
2024-01-24
- è stata aggiunta la mappatura per i seguenti campi:
- "method" è stato mappato a "network.http.method".
- "duration" è stato mappato a "network.session_duration.seconds".
- "additional_info" è stato mappato a "security_result.description".
- "operation" è stato mappato a "security_result.summary".
- "subject" è stato mappato a "metadata.description".
- "principal_hostname" è stato mappato a "intermediary.hostname".
- "tcp_packet_out_of_state", "aggregated_log_count", "connection_count", "appi_name", "src_user_dn",
- "update_count", "additional_info", "administrator", "operation", "sendtotrackerasadvancedauditlog",
- "subject", "fieldschanges", "logic_changes", "objecttype", "session_description",
- "session_name" a "security_result.detection_fields".
2023-12-27
- è stata aggiunta la mappatura per i seguenti campi:
- "flags" è stato mappato a "security_result.detection_fields".
- "tcp_flags" è stato mappato a "security_result.detection_fields".
- "tcp_packet_out_of_state" è stato mappato a "security_result.detection_fields".
2023-12-11
- Se "principal_hostname" è un indirizzo IP valido, mappalo a "principal.ip".
- Se "principal_hostname" non è un indirizzo IP valido, mappalo a "principal.hostname".
- "sport_svc" è stato mappato a "principal.port".
- "ProductFamily" è stato mappato a "additional.fields".
- "mitre_initial_access" è stato mappato a "security_result.detection_fields".
- "policy_time" è stato mappato a "security_result.detection_fields".
- "profile" è stato mappato a "security_result.detection_fields".
- "reject_id_kid" è stato mappato a "security_result.detection_fields".
- "ser_agent_kid" è stato mappato a "security_result.detection_fields".
2023-10-11
- Se "product" è "New Anti Virus", la mappatura da "firewall management node" a "principal.hostname" viene rimossa e mappata a "security_result.detection_fields".
2023-07-06
- è stata aggiunta la mappatura per i seguenti campi:
- "app_category" è stato mappato a "security_result.category_details".
- "matched_category" è stato mappato a "security_result.detection_fields".
- "app_properties" è stato mappato a "security_result.detection_fields".
2023-06-14
- è stata aggiunta la mappatura per i seguenti campi
- "conn_direction" è stato mappato a "additional.fields".
- Modifica di gsub per non sostituire il ":" con "=" dai valori effettivi.
2023-05-12
- è stata aggiunta la mappatura per i seguenti campi
- "rule_name" è stato mappato a "security_result.rule_name".
- Sono stati mappati "rule","sub_policy_name","sub_policy_uid","smartdefense_profile","tags","flexString2" a "security_result.detection_fields".
- È stato aggiunto un nuovo pattern Grok per supportare i nuovi formati di log.
- "dvc" è stato mappato a "intermediary.hostname".
- "hostname" è stato mappato a "intermediary.hostname".
- "origin_sic_name" è stato mappato a "intermediary.asset_id".
- "conn_direction" è stato mappato a "network.ip_protocol".
- "ifname" è stato mappato a "security_result.detection_fields".
- "security_inzone" è stato mappato a "security_result.detection_fields".
- "match_id" è stato mappato a "security_result.detection_fields".
- "parent_rule" è stato mappato a "security_result.detection_fields".
- "security_outzone" è stato mappato a "security_result.detection_fields".
- "sub_policy_name" è stato mappato a "security_result.detection_fields".
- "sub_policy_uid" è stato mappato a "security_result.detection_fields".
- "drop_reason" è stato mappato a "security_result.summary".
- "reason" è stato mappato a "security_result.summary".
- "xlatesport" è stato mappato a "principal.nat_port".
- "xlatedport" è stato mappato a "target.nat_port".
- "ipv6_dst" è stato mappato a "target.ip".
- "ipv6_src" è stato mappato a "principal.ip".
2023-04-24
- È stato aggiunto il supporto per i log con formato CEF.
2022-11-18
- Ho modificato la mappatura di "service" e l'ho mappata a "target.port".
2022-10-27
- È stato aggiunto il controllo condizionale per "attack","attack_info","policy_name".
- È stato aggiunto il pattern Grok per recuperare "principal_hostname".
- È stato aggiunto gsub per cambiare "=" in ":".
- È stata modificata la mappatura di "service" e mappata a "target.resource.attribute.labels".
2022-10-13
- È stato mappato il campo "fw_subproduct" a "metadata.product_name".
- È stato aggiunto il pattern grok per estrarre l'IP dal campo "src".
2022-08-30
- Le modifiche delle versioni specifiche del cliente sono state unite a quelle predefinite.
- I log contenenti "*****" in UserCheck non sono stati eliminati.
2022-08-18
- "portal_message" è stato mappato a "security_result.description".
- "security_result.category" è stato mappato come "SOFTWARE_MALICIOUS" nel caso in cui "portal_message" contenga le parole chiave "malware/malicious".
- "URL" è stato mappato a "security_result.about.url".
- "Attività" è stato mappato a "security_result.summary".
- "Riferimento" è stato mappato a "security_result.about.resource.attribute.labels".
- Modificato "event_type" da "GENERIC_EVENT" a "STATUS_UPDATE" replicando il valore di "intermediary.ip" in "principal.ip".
2022-08-12
- "malware_action", "malware_family,protection_name", "protection_type" sono stati mappati a "security_result.about.resource.attribute.labels".
- "src_machine_name" è stato mappato a "security_result.detection_fields".
2022-06-30
- "message_info" è stato mappato a "metadata.description".
2022-06-17
- Sono stati aggiunti controlli condizionali per i campi "nat_rulenum", "rule", "sent_bytes", "received_bytes", "s_port", "service".
- Event_types modificato per i seguenti casi:
- "GENERIC_EVENT" a "NETWORK_CONNECTION" dove "principal.ip o principal.hostname" e "target.ip o target.hostname" non sono null.
- "GENERIC_EVENT" in "STATUS_UNCATEGORIZED" dove "principal.ip o principal.hostname" non è nullo.
2022-06-14
- È stato modificato il parser per analizzare più log rimuovendo il controllo della condizione per passwd.
2022-06-07
- È stata mappata la stringa src_machine_name a security_result.detection_fields.
2022-05-19
- I campi inzone, outzone, layer_name, layer_uuid e policy_name sono stati mappati a security_result.detection_fields.
- Service_id è stato mappato a principal.application.