Raccogliere i log del firewall Check Point
Supportato in:
Google SecOps
SIEM
Questo parser estrae i log del firewall Check Point. Gestisce i messaggi formattati sia CEF che non CEF, inclusi syslog, coppie chiave-valore e JSON. Normalizza i campi, li mappa all'UDM ed esegue una logica specifica per l'accesso/la disconnessione, le connessioni di rete e gli eventi di sicurezza. Arricchisce i dati con informazioni contestuali come la geolocalizzazione e le informazioni sulle minacce.
Prima di iniziare
- Assicurati di avere un'istanza Google Security Operations.
- Assicurati di utilizzare Windows 2016 o versioni successive o un host Linux con systemd.
- Se il servizio è in esecuzione dietro un proxy, assicurati che le porte del firewall siano aperte.
- Assicurati di disporre di accesso privilegiato a un firewall Check Point.
Recupera il file di autenticazione di importazione di Google SecOps
- Accedi alla console Google SecOps.
- Vai a Impostazioni SIEM > Agenti di raccolta.
- Scarica il file di autenticazione dell'importazione.
Ottenere l'ID cliente Google SecOps
- Accedi alla console Google SecOps.
- Vai a Impostazioni SIEM > Profilo.
- Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.
Installa BindPlane Agent
- Per l'installazione su Windows, esegui il seguente script:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet - Per l'installazione di Linux, esegui il seguente script:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh - Ulteriori opzioni di installazione sono disponibili in questa guida all'installazione.
Configurare l'agente BindPlane per importare i syslog e inviarli a Google SecOps
- Accedi al computer su cui è installato BindPlane.
Modifica il file
config.yamlcome segue:receivers: udplog: # Replace the below port <54525> and IP <0.0.0.0> with your specific values listen_address: "0.0.0.0:54525" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the creds location below according the placement of the credentials file you downloaded creds: '{ json file for creds }' # Replace <customer_id> below with your actual ID that you copied customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # You can apply ingestion labels below as preferred ingestion_labels: log_type: SYSLOG namespace: Checkpoint_Firewall raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labelsRiavvia l'agente BindPlane per applicare le modifiche:
sudo systemctl restart bindplane
Configurare l'esportazione Syslog in un firewall Check Point
- Accedi all'interfaccia utente del firewall Check Point utilizzando un account con privilegi.
- Vai a Log e monitoraggio > Server di log.
- Vai a Server Syslog.
- Fai clic su Configura e imposta i seguenti valori:
- Protocollo: seleziona UDP per inviare log di sicurezza e/o di sistema.
- Nome: fornisci un nome univoco (ad esempio Bindplane_Server).
- Indirizzo IP: fornisci l'indirizzo IP del server syslog (IP Bindplane).
- Porta: fornisci la porta del server syslog (porta Bindplane).
- Seleziona Attiva il server di log.
- Seleziona i log da inoltrare: Log di sistema e di sicurezza.
- Fai clic su Applica.
Tabella di mappatura UDM
| Campo log | Mappatura UDM | Logica |
|---|---|---|
Action |
event.idm.read_only_udm.security_result.action_details |
Mappato direttamente dal campo Action. |
Activity |
event.idm.read_only_udm.security_result.summary |
Mappato direttamente dal campo Activity. |
additional_info |
event.idm.read_only_udm.security_result.description |
Mappato direttamente dal campo additional_info. |
administrator |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo administrator. La chiave è "administrator". |
aggregated_log_count |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo aggregated_log_count. La chiave è "aggregated_log_count". |
appi_name |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo appi_name. La chiave è "appi_name". |
app_category |
event.idm.read_only_udm.security_result.category_details |
Mappato direttamente dal campo app_category. |
app_properties |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo app_properties. La chiave è "app_properties". |
app_risk |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo app_risk. La chiave è "app_risk". |
app_session_id |
event.idm.read_only_udm.network.session_id |
Mappato direttamente dal campo app_session_id, convertito in una stringa. |
attack |
event.idm.read_only_udm.security_result.summary |
Mappato direttamente dal campo attack quando è presente Info. |
attack |
event.idm.read_only_udm.security_result.threat_name |
Mappato direttamente dal campo attack quando è presente Info. |
attack_info |
event.idm.read_only_udm.security_result.description |
Mappato direttamente dal campo attack_info. |
auth_status |
event.idm.read_only_udm.security_result.summary |
Mappato direttamente dal campo auth_status. |
browse_time |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mappato direttamente dal campo browse_time. La chiave è "browse_time". |
bytes |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mappato direttamente dal campo bytes. La chiave è "bytes". |
bytes |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mappato direttamente dal campo bytes. La chiave è "bytes". |
calc_service |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mappato direttamente dal campo calc_service. La chiave è "calc_service". |
category |
event.idm.read_only_udm.security_result.category_details |
Mappato direttamente dal campo category. |
client_version |
event.idm.read_only_udm.intermediary.platform_version |
Mappato direttamente dal campo client_version. |
conn_direction |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mappato direttamente dal campo conn_direction. La chiave è "conn_direction". |
conn_direction |
event.idm.read_only_udm.network.direction |
Se conn_direction è "In entrata", viene mappato a "INBOUND". In caso contrario, corrisponde a "OUTBOUND". |
connection_count |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo connection_count. La chiave è "connection_count". |
contract_name |
event.idm.read_only_udm.security_result.description |
Mappato direttamente dal campo contract_name. |
cs2 |
event.idm.read_only_udm.security_result.rule_name |
Mappato direttamente dal campo cs2. |
date_time |
event.idm.read_only_udm.metadata.event_timestamp |
Analizzati e convertiti in un timestamp utilizzando vari formati di data. |
dedup_time |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mappato direttamente dal campo dedup_time. La chiave è "dedup_time". |
desc |
event.idm.read_only_udm.security_result.summary |
Mappato direttamente dal campo desc. |
description |
event.idm.read_only_udm.security_result.description |
Mappato direttamente dal campo description. |
description_url |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mappato direttamente dal campo description_url. La chiave è "description_url". |
destinationAddress |
event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip |
Mappato direttamente dal campo destinationAddress. |
destinationPort |
event.idm.read_only_udm.target.port |
Mappato direttamente dal campo destinationPort, convertito in un numero intero. |
destinationTranslatedAddress |
event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip |
Mappato direttamente dal campo destinationTranslatedAddress. |
destinationTranslatedAddress |
event.idm.read_only_udm.target.nat_ip |
Mappato direttamente dal campo destinationTranslatedAddress. |
destinationTranslatedPort |
event.idm.read_only_udm.target.port |
Mappato direttamente dal campo destinationTranslatedPort, convertito in un numero intero. |
destinationTranslatedPort |
event.idm.read_only_udm.target.nat_port |
Mappato direttamente dal campo destinationTranslatedPort, convertito in un numero intero. |
deviceCustomString2 |
event.idm.read_only_udm.security_result.rule_name |
Mappato direttamente dal campo deviceCustomString2. |
deviceDirection |
event.idm.read_only_udm.network.direction |
Se deviceDirection è 0, viene mappato a "OUTBOUND". Se 1, corrisponde a "INBOUND". |
domain |
event.idm.read_only_udm.principal.administrative_domain |
Mappato direttamente dal campo domain. |
domain_name |
event.idm.read_only_udm.principal.administrative_domain |
Mappato direttamente dal campo domain_name. |
drop_reason |
event.idm.read_only_udm.security_result.summary |
Mappato direttamente dal campo drop_reason. |
ds |
event.idm.read_only_udm.metadata.event_timestamp |
Utilizzato con ts e tz per creare il timestamp dell'evento. |
dst |
event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip |
Mappato direttamente dal campo dst. |
dst_country |
event.idm.read_only_udm.target.location.country_or_region |
Mappato direttamente dal campo dst_country. |
dst_ip |
event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip |
Mappato direttamente dal campo dst_ip. |
dpt |
event.idm.read_only_udm.target.port |
Mappato direttamente dal campo dpt, convertito in un numero intero. |
duration |
event.idm.read_only_udm.network.session_duration.seconds |
Mappato direttamente dal campo duration, convertito in un numero intero, se maggiore di 0. |
duser |
event.idm.read_only_udm.target.user.email_addresses, event.idm.read_only_udm.target.user.user_display_name |
Mappato direttamente dal campo duser se corrisponde a un formato di indirizzo email. |
environment_id |
event.idm.read_only_udm.target.resource.product_object_id |
Mappato direttamente dal campo environment_id. |
event_type |
event.idm.read_only_udm.metadata.event_type |
Determinato da una logica basata sulla presenza di determinati campi e valori. Il valore predefinito è GENERIC_EVENT se non viene identificato un tipo di evento specifico. Può essere NETWORK_CONNECTION, USER_LOGIN, USER_CHANGE_PASSWORD, USER_LOGOUT, NETWORK_HTTP o STATUS_UPDATE. |
fieldschanges |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo fieldschanges. La chiave è "fieldschanges". |
flags |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo flags. La chiave è "flags". |
flexString2 |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo flexString2. La chiave è il valore di flexString2Label. |
from_user |
event.idm.read_only_udm.principal.user.userid |
Mappato direttamente dal campo from_user. |
fservice |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo fservice. La chiave è "fservice". |
fw_subproduct |
event.idm.read_only_udm.metadata.product_name |
Mappato direttamente dal campo fw_subproduct quando product è vuoto. |
geoip_dst.country_name |
event.idm.read_only_udm.target.location.country_or_region |
Mappato direttamente dal campo geoip_dst.country_name. |
hll_key |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mappato direttamente dal campo hll_key. La chiave è "hll_key". |
hostname |
event.idm.read_only_udm.target.hostname, event.idm.read_only_udm.target.asset.hostname, event.idm.read_only_udm.intermediary.hostname |
Mappato direttamente dal campo hostname quando inter_host è vuoto. |
http_host |
event.idm.read_only_udm.target.resource.attribute.labels[].value |
Mappato direttamente dal campo http_host. La chiave è "http_host". |
id |
event.idm.read_only_udm.metadata.product_log_id |
Mappato direttamente dal campo _id. |
identity_src |
event.idm.read_only_udm.target.application |
Mappato direttamente dal campo identity_src. |
identity_type |
event.idm.read_only_udm.extensions.auth.type |
Se identity_type è "user", viene mappato a "VPN". In caso contrario, viene mappato a "MACCHINA". |
if_direction |
event.idm.read_only_udm.network.direction |
Mappato direttamente dal campo if_direction, convertito in maiuscolo. |
ifdir |
event.idm.read_only_udm.network.direction |
Mappato direttamente dal campo ifdir, convertito in maiuscolo. |
ifname |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo ifname. La chiave è "ifname". |
IKE |
event.idm.read_only_udm.metadata.description |
Mappato direttamente dal campo IKE. |
inzone |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo inzone. La chiave è "inzone". |
industry_reference |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mappato direttamente dal campo industry_reference. La chiave è "industry_reference". |
instance_id |
event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname |
Mappato direttamente dal campo instance_id. |
inter_host |
event.idm.read_only_udm.intermediary.hostname |
Mappato direttamente dal campo inter_host. |
ip_proto |
event.idm.read_only_udm.network.ip_protocol |
Determinato in base al campo proto o service. Può essere TCP, UDP, ICMP, IP6IN4 o GRE. |
ipv6_dst |
event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip |
Mappato direttamente dal campo ipv6_dst. |
ipv6_src |
event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip |
Mappato direttamente dal campo ipv6_src. |
layer_name |
event.idm.read_only_udm.security_result.rule_set_display_name, event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo layer_name. La chiave è "layer_name". |
layer_uuid |
event.idm.read_only_udm.security_result.rule_set, event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo layer_uuid dopo la rimozione delle parentesi graffe. La chiave è "layer_uuid". |
layer_uuid_rule_uuid |
event.idm.read_only_udm.security_result.rule_id |
Mappato direttamente dal campo layer_uuid_rule_uuid dopo aver rimosso parentesi e virgolette. |
log_id |
event.idm.read_only_udm.metadata.product_log_id |
Mappato direttamente dal campo log_id. |
log_type |
event.idm.read_only_udm.metadata.log_type |
Mappato direttamente dal campo log_type. Hardcoded to "CHECKPOINT_FIREWALL". |
loguid |
event.idm.read_only_udm.metadata.product_log_id |
Mappato direttamente dal campo loguid dopo la rimozione delle parentesi graffe. |
logic_changes |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo logic_changes. La chiave è "logic_changes". |
localhost |
event.idm.read_only_udm.target.hostname, event.idm.read_only_udm.target.asset.hostname |
Mappato direttamente dal campo localhost. dst_ip è impostato su "127.0.0.1". |
malware_action |
event.idm.read_only_udm.security_result.detection_fields[].value, event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value |
Mappato direttamente dal campo malware_action. La chiave è "malware_action". |
malware_family |
event.idm.read_only_udm.security_result.detection_fields[].value, event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value |
Mappato direttamente dal campo malware_family. La chiave è "malware_family". |
malware_rule_id |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo malware_rule_id dopo la rimozione delle parentesi graffe. La chiave è "ID regola malware". |
malware_rule_name |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo malware_rule_name. La chiave è "Nome regola malware". |
match_id |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo match_id. La chiave è "match_id". |
matched_category |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo matched_category. La chiave è "matched_category". |
message_info |
event.idm.read_only_udm.metadata.description |
Mappato direttamente dal campo message_info. |
method |
event.idm.read_only_udm.network.http.method |
Mappato direttamente dal campo method. |
mitre_execution |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mappato direttamente dal campo mitre_execution. La chiave è "mitre_execution". |
mitre_initial_access |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo mitre_initial_access. La chiave è "mitre_initial_access". |
nat_rulenum |
event.idm.read_only_udm.security_result.rule_id |
Mappato direttamente dal campo nat_rulenum, convertito in una stringa. |
objecttype |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo objecttype. La chiave è "objecttype". |
operation |
event.idm.read_only_udm.security_result.summary |
Mappato direttamente dal campo operation. |
operation |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo operation. La chiave è "operation". |
orig |
event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname |
Mappato direttamente dal campo orig. |
origin |
event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip, event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip, event.idm.read_only_udm.intermediary.ip |
Mappato direttamente dal campo origin. |
origin_sic_name |
event.idm.read_only_udm.intermediary.asset_id, event.idm.read_only_udm.intermediary.labels[].value |
Mappato direttamente dal campo origin_sic_name. La chiave è "SIC macchina". L'ID risorsa è preceduto dal prefisso "asset:". |
originsicname |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mappato direttamente dal campo originsicname. La chiave è "originsicname". |
originsicname |
event.idm.read_only_udm.intermediary.asset_id, event.idm.read_only_udm.intermediary.labels[].value |
Mappato direttamente dal campo originsicname. La chiave è "SIC macchina". L'ID risorsa è preceduto dal prefisso "asset:". |
os_name |
event.idm.read_only_udm.principal.asset.platform_software.platform |
Se os_name contiene "Win", viene mappato a "WINDOWS". Se contiene "MAC" o "IOS", viene mappato a "MAC". Se contiene "LINUX", viene mappato a "LINUX". |
os_version |
event.idm.read_only_udm.principal.asset.platform_software.platform_patch_level |
Mappato direttamente dal campo os_version. |
outzone |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo outzone. La chiave è "outzone". |
packets |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mappato direttamente dal campo packets. La chiave è "packets". |
packet_capture_name |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mappato direttamente dal campo packet_capture_name. La chiave è "packet_capture_name". |
packet_capture_time |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mappato direttamente dal campo packet_capture_time. La chiave è "packet_capture_time". |
packet_capture_unique_id |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mappato direttamente dal campo packet_capture_unique_id. La chiave è "packet_capture_unique_id". |
parent_rule |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo parent_rule. La chiave è "parent_rule". |
performance_impact |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mappato direttamente dal campo performance_impact. La chiave è "performance_impact". |
policy_name |
event.idm.read_only_udm.security_result.detection_fields[].value |
Estratto dal campo __policy_id_tag utilizzando grok e mappato. La chiave è "Nome norma". |
policy_time |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo policy_time. La chiave è "policy_time". |
portal_message |
event.idm.read_only_udm.security_result.description |
Mappato direttamente dal campo portal_message. |
principal_hostname |
event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip |
Mappato direttamente dal campo principal_hostname se si tratta di un indirizzo IP valido. |
principal_hostname |
event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname |
Mappato direttamente dal campo principal_hostname se non è un indirizzo IP valido e non è "Punto di controllo". |
prod_family_label |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mappato direttamente dal campo ProductFamily. La chiave è "ProductFamily". |
product |
event.idm.read_only_udm.metadata.product_name |
Mappato direttamente dal campo product. |
product_family |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mappato direttamente dal campo product_family. La chiave è "product_family". |
product_family |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mappato direttamente dal campo product_family. La chiave è "product_family". |
ProductName |
event.idm.read_only_udm.metadata.product_name |
Mappato direttamente dal campo ProductName quando product è vuoto. |
product_name |
event.idm.read_only_udm.metadata.product_name |
Mappato direttamente dal campo product_name. |
profile |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo profile. La chiave è "profile". |
protocol |
event.idm.read_only_udm.network.application_protocol |
Mappato direttamente dal campo protocol se è "HTTP". |
proxy_src_ip |
event.idm.read_only_udm.principal.nat_ip |
Mappato direttamente dal campo proxy_src_ip. |
reason |
event.idm.read_only_udm.security_result.summary |
Mappato direttamente dal campo reason. |
received_bytes |
event.idm.read_only_udm.network.received_bytes |
Mappato direttamente dal campo received_bytes, convertito in un numero intero non firmato. |
Reference |
event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value, event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo Reference. La chiave è "Reference". Utilizzato per costruire _vuln.name con attack. |
reject_id_kid |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo reject_id_kid. La chiave è "reject_id_kid". |
resource |
event.idm.read_only_udm.target.url |
Analizzati come JSON e mappati all'URL di destinazione. Se l'analisi non va a buon fine, l'attributo viene mappato direttamente. |
resource |
event.idm.read_only_udm.additional.fields[].value.list_value.values[].string_value |
Analizza come JSON e ogni valore nell'array resource viene aggiunto all'elenco. La chiave è "Risorsa". |
result |
event.idm.read_only_udm.metadata.event_timestamp |
Analizzata con date_time per creare il timestamp dell'evento. |
rt |
event.idm.read_only_udm.metadata.event_timestamp |
Analizzati come millisecondi dall'epoca e convertiti in un timestamp. |
rule |
event.idm.read_only_udm.security_result.rule_name |
Mappato direttamente dal campo rule. |
rule_action |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo rule_action. La chiave è "rule_action". |
rule_name |
event.idm.read_only_udm.security_result.rule_name |
Mappato direttamente dal campo rule_name. |
rule_uid |
event.idm.read_only_udm.security_result.rule_id |
Mappato direttamente dal campo rule_uid. |
s_port |
event.idm.read_only_udm.principal.port |
Mappato direttamente dal campo s_port, convertito in un numero intero. |
scheme |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mappato direttamente dal campo scheme. La chiave è "scheme". |
security_inzone |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo security_inzone. La chiave è "security_inzone". |
security_outzone |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo security_outzone. La chiave è "security_outzone". |
security_result_action |
event.idm.read_only_udm.security_result.action |
Mappato direttamente dal campo security_result_action. |
sendtotrackerasadvancedauditlog |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo sendtotrackerasadvancedauditlog. La chiave è "sendtotrackerasadvancedauditlog". |
sent_bytes |
event.idm.read_only_udm.network.sent_bytes |
Mappato direttamente dal campo sent_bytes, convertito in un numero intero non firmato. |
sequencenum |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mappato direttamente dal campo sequencenum. La chiave è "sequencenum". |
ser_agent_kid |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo ser_agent_kid. La chiave è "ser_agent_kid". |
service |
event.idm.read_only_udm.target.port |
Mappato direttamente dal campo service, convertito in un numero intero. |
service_id |
event.idm.read_only_udm.network.application_protocol |
Mappato direttamente dal campo service_id se è "dhcp", "dns", "http", "https" o "quic", convertito in maiuscolo. |
service_id |
event.idm.read_only_udm.principal.application |
Mappato direttamente dal campo service_id se non è uno dei protocolli di applicazione di rete. |
service_id |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo service_id. La chiave è "service_id". |
session_description |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo session_description. La chiave è "session_description". |
session_id |
event.idm.read_only_udm.network.session_id |
Mappato direttamente dal campo session_id dopo la rimozione delle parentesi graffe. |
session_name |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo session_name. La chiave è "session_name". |
session_uid |
event.idm.read_only_udm.network.session_id |
Mappato direttamente dal campo session_uid dopo la rimozione delle parentesi graffe. |
Severity |
event.idm.read_only_udm.security_result.severity |
Mappato a "LOW", "MEDIUM", "HIGH" o "CRITICAL" in base al valore di Severity. |
severity |
event.idm.read_only_udm.security_result.severity |
Mappato a "LOW", "MEDIUM", "HIGH" o "CRITICAL" in base al valore di severity. |
site |
event.idm.read_only_udm.network.http.user_agent |
Mappato direttamente dal campo site. |
smartdefense_profile |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo smartdefense_profile. La chiave è "smartdefense_profile". |
snid |
event.idm.read_only_udm.network.session_id |
Mappato direttamente dal campo snid se non è vuoto o "0". |
sourceAddress |
event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip |
Mappato direttamente dal campo sourceAddress. |
sourcePort |
event.idm.read_only_udm.principal.port |
Mappato direttamente dal campo sourcePort, convertito in un numero intero. |
sourceTranslatedAddress |
event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip |
Mappato direttamente dal campo sourceTranslatedAddress. |
sourceTranslatedAddress |
event.idm.read_only_udm.principal.nat_ip |
Mappato direttamente dal campo sourceTranslatedAddress. |
sourceTranslatedPort |
event.idm.read_only_udm.principal.port |
Mappato direttamente dal campo sourceTranslatedPort, convertito in un numero intero. |
sourceTranslatedPort |
event.idm.read_only_udm.principal.nat_port |
Mappato direttamente dal campo sourceTranslatedPort, convertito in un numero intero. |
sourceUserName |
event.idm.read_only_udm.principal.user.userid, event.idm.read_only_udm.principal.user.first_name, event.idm.read_only_udm.principal.user.last_name |
Analizzati utilizzando grok per estrarre userid, nome e cognome. |
spt |
event.idm.read_only_udm.principal.port |
Mappato direttamente dal campo spt, convertito in un numero intero. |
src |
event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip |
Mappato direttamente dal campo src. |
src_ip |
event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip |
Mappato direttamente dal campo src_ip. |
src_localhost |
event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname |
Mappato direttamente dal campo src_localhost. src_ip è impostato su "127.0.0.1". |
src_machine_name |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo src_machine_name. La chiave è "src_machine_name". |
src_port |
event.idm.read_only_udm.principal.port |
Mappato direttamente dal campo src_port, convertito in un numero intero. |
src_user |
event.idm.read_only_udm.principal.user.userid |
Mappato direttamente dal campo src_user. |
src_user_dn |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo src_user_dn. La chiave è "src_user_dn". |
src_user_name |
event.idm.read_only_udm.principal.user.userid |
Mappato direttamente dal campo src_user_name. |
sub_policy_name |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo sub_policy_name. La chiave è "sub_policy_name". |
sub_policy_uid |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo sub_policy_uid. La chiave è "sub_policy_uid". |
subject |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo subject. La chiave è "subject". |
subscription_stat_desc |
event.idm.read_only_udm.security_result.summary |
Mappato direttamente dal campo subscription_stat_desc. |
tags |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo tags. La chiave è "tags". |
tar_user |
event.idm.read_only_udm.target.user.userid |
Mappato direttamente dal campo tar_user. |
target_port |
event.idm.read_only_udm.target.port |
Mappato direttamente dal campo target_port. |
tcp_flags |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo tcp_flags. La chiave è "tcp_flags". |
tcp_packet_out_of_state |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo tcp_packet_out_of_state. La chiave è "tcp_packet_out_of_state". |
time |
event.idm.read_only_udm.metadata.event_timestamp |
Analizzati e convertiti in un timestamp utilizzando vari formati di data. |
ts |
event.idm.read_only_udm.metadata.event_timestamp |
Analizzati con ds e tz per creare il timestamp dell'evento. |
type |
event.idm.read_only_udm.security_result.rule_type |
Mappato direttamente dal campo type. |
tz |
event.idm.read_only_udm.metadata.event_timestamp |
Utilizzato con ds e ts per creare il timestamp dell'evento. |
update_count |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mappato direttamente dal campo update_count. La chiave è "update_count". |
URL |
event.idm.read_only_udm.security_result.about.url |
Mappato direttamente dal campo URL. |
user |
event.idm.read_only_udm.principal.user.userid |
Mappato direttamente dal campo user. |
user_agent |
event.idm.read_only_udm.network.http.user_agent |
Mappato direttamente dal campo user_agent. Inoltre, viene analizzato e mappato a event.idm.read_only_udm.network.http.parsed_user_agent. |
userip |
event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip |
Mappato direttamente dal campo userip se si tratta di un indirizzo IP valido. |
UUid |
event.idm.read_only_udm.metadata.product_log_id |
Mappato direttamente dal campo UUid dopo la rimozione delle parentesi graffe. |
version |
event.idm.read_only_udm.metadata.product_version |
Mappato direttamente dal campo version. |
web_client_type |
event.idm.read_only_udm.network.http.user_agent |
Mappato direttamente dal campo web_client_type. |
xlatedport |
event.idm.read_only_udm.target.nat_port |
Mappato direttamente dal campo xlatedport, convertito in un numero intero. |
xlatedst |
event.idm.read_only_udm.target.nat_ip |
Mappato direttamente dal campo xlatedst. |
xlatesport |
event.idm.read_only_udm.principal.nat_port |
Mappato direttamente dal campo xlatesport, convertito in un numero intero. |
xlatesrc |
event.idm.read_only_udm.principal.nat_ip |
Mappato direttamente dal campo xlatesrc. |
event.idm.read_only_udm.metadata.vendor_name |
Check Point |
Valore hardcoded. |
event.idm.read_only_udm.metadata.log_type |
CHECKPOINT_FIREWALL |
Valore hardcoded. |
event.idm.read_only_udm.security_result.rule_type |
Firewall Rule |
Valore predefinito, a meno che non venga ignorato da una logica specifica. |
event.idm.is_alert |
true |
Imposta su true se il campo alert è "yes". |
has_principal |
true |
Impostato su true quando viene estratto l'indirizzo IP o il nome host principale. |
has_target |
true |
Impostato su true quando viene estratto l'indirizzo IP o il nome host di destinazione. |
Modifiche
2024-05-29
- "layer_uuid_rule_uuid" è stato mappato a "security_result.rule_id".
- "domain" è stato mappato a "principal.administrative_domain".
- "fservice", "appi_name", "app_risk" e "policy_name" sono stati mappati a "security_result.detection_fields".
- "packets", "__id", "dedup_time", "browse_time", "bytes", "product_family", "hll_key" e "calc_service" sono stati mappati a "additional.fields".
- "id" è stato mappato a "metadata.product_log_id".
- "orig_log_server" è stato mappato a "principal.resource.product_object_id".
- "environment_id" è stato mappato a "target.resource.product_object_id".
- "client_outbound_packets" e "client_inbound_packets" sono stati mappati a "principal.resource.attribute.labels".
- "server_outbound_bytes" e "server_inbound_bytes" sono stati mappati a "target.resource.attribute.labels".
- "orig" è stato mappato a "principal.hostname" e "principal.asset.hostname".
- "orig_log_server_ip" è stato mappato a "principal.ip" e "principal.asset.ip".
- "proto" è stato mappato a "network.ip_protocol".
2024-05-20
- È stato aggiunto un pattern Grok per estrarre "inter_host".
- "inter_host" è stato mappato a "intermediary.hostname".
2024-04-19
- Miglioramento e correzione di bug:
- "origin" è stato mappato a "target.ip" e "target.asset.ip".
- Sono stati aggiunti nuovi pattern Grok per analizzare il nuovo formato dei log SYSLOG.
- "smartdefense_profile", "malware_rule_id" e "malware_rule_name" sono stati mappati a "security_result.detection_fields".
- Ho mappato "sequencenum", "description_url", "industry_reference", "mitre_execution", "packet_capture_name", "packet_capture_unique_id", "packet_capture_time" e "performance_impact" a "additional.fields".
- "version" è stato mappato a "metadata.product_version".
- "http_host" è stato mappato a "target.resource.attribute.labels".
- "log_id" è stato mappato a "metadata.product_log_id".
- "user_agent" è stato mappato a "network.http.user_agent" e "http.parsed_user_agent".
- "hostname", "dvc" e "principal_hostname" sono stati mappati a "target.hostname" e "target.asset.hostname".
- Se "has_principal" è "true", "has_target" è "true" ed "Action"/"action" è "Log In" o "Failed Log In" o "Failed Login" o "Update", imposta "metadata.event_type" su "USER_LOGIN" ed "extensions.auth.type" su "AUTHTYPE_UNSPECIFIED".
- Se "has_principal" è "true", "has_target" è "true" ed "Action"/"act"/"event_type" è "Log Out" o "Logout", imposta "metadata.event_type" su "USER_LOGOUT" ed "extensions.auth.type" su "AUTHTYPE_UNSPECIFIED".
- Se "has_principal" è "true", "has_target" è "true", imposta "metadata.event_type" su "NETWORK_CONNECTION".
- Se "has_principal" è "true", "has_target" è "false", imposta "metadata.event_type" su "STATUS_UPDATE".
2024-02-07
- è stata aggiunta la mappatura per i seguenti campi:
- "protection_id", "malware_action", "malware_family,protection_name", "protection_type" sono stati mappati a "security_result.detection_fields".
- "confidence_level" è stato mappato a "security_result.confidence" e "security_result.confidence_details".
2024-02-05
- è stata aggiunta la mappatura per i seguenti campi:
- "method" è stato mappato a "network.http.method".
2024-01-24
- è stata aggiunta la mappatura per i seguenti campi:
- "method" è stato mappato a "network.http.method".
- "duration" è stato mappato a "network.session_duration.seconds".
- "additional_info" è stato mappato a "security_result.description".
- "operation" è stato mappato a "security_result.summary".
- "subject" è stato mappato a "metadata.description".
- "principal_hostname" è stato mappato a "intermediary.hostname".
- "tcp_packet_out_of_state", "aggregated_log_count", "connection_count", "appi_name", "src_user_dn",
- "update_count", "additional_info", "administrator", "operation", "sendtotrackerasadvancedauditlog",
- "subject", "fieldschanges", "logic_changes", "objecttype", "session_description",
- "session_name" a "security_result.detection_fields".
2023-12-27
- è stata aggiunta la mappatura per i seguenti campi:
- "flags" è stato mappato a "security_result.detection_fields".
- "tcp_flags" è stato mappato a "security_result.detection_fields".
- "tcp_packet_out_of_state" è stato mappato a "security_result.detection_fields".
2023-12-11
- Se "principal_hostname" è un indirizzo IP valido, mappalo a "principal.ip".
- Se "principal_hostname" non è un indirizzo IP valido, mappalo a "principal.hostname".
- "sport_svc" è stato mappato a "principal.port".
- "ProductFamily" è stato mappato a "additional.fields".
- "mitre_initial_access" è stato mappato a "security_result.detection_fields".
- "policy_time" è stato mappato a "security_result.detection_fields".
- "profile" è stato mappato a "security_result.detection_fields".
- "reject_id_kid" è stato mappato a "security_result.detection_fields".
- "ser_agent_kid" è stato mappato a "security_result.detection_fields".
2023-10-11
- Se "product" è "New Anti Virus", la mappatura da "firewall management node" a "principal.hostname" viene rimossa e mappata a "security_result.detection_fields".
2023-07-06
- è stata aggiunta la mappatura per i seguenti campi:
- "app_category" è stato mappato a "security_result.category_details".
- "matched_category" è stato mappato a "security_result.detection_fields".
- "app_properties" è stato mappato a "security_result.detection_fields".
2023-06-14
- è stata aggiunta la mappatura per i seguenti campi
- "conn_direction" è stato mappato a "additional.fields".
- Modifica di gsub per non sostituire il ":" con "=" dai valori effettivi.
2023-05-12
- è stata aggiunta la mappatura per i seguenti campi
- "rule_name" è stato mappato a "security_result.rule_name".
- Sono stati mappati "rule","sub_policy_name","sub_policy_uid","smartdefense_profile","tags","flexString2" a "security_result.detection_fields".
- È stato aggiunto un nuovo pattern Grok per supportare i nuovi formati di log.
- "dvc" è stato mappato a "intermediary.hostname".
- "hostname" è stato mappato a "intermediary.hostname".
- "origin_sic_name" è stato mappato a "intermediary.asset_id".
- "conn_direction" è stato mappato a "network.ip_protocol".
- "ifname" è stato mappato a "security_result.detection_fields".
- "security_inzone" è stato mappato a "security_result.detection_fields".
- "match_id" è stato mappato a "security_result.detection_fields".
- "parent_rule" è stato mappato a "security_result.detection_fields".
- "security_outzone" è stato mappato a "security_result.detection_fields".
- "sub_policy_name" è stato mappato a "security_result.detection_fields".
- "sub_policy_uid" è stato mappato a "security_result.detection_fields".
- "drop_reason" è stato mappato a "security_result.summary".
- "reason" è stato mappato a "security_result.summary".
- "xlatesport" è stato mappato a "principal.nat_port".
- "xlatedport" è stato mappato a "target.nat_port".
- "ipv6_dst" è stato mappato a "target.ip".
- "ipv6_src" è stato mappato a "principal.ip".
2023-04-24
- È stato aggiunto il supporto per i log con formato CEF.
2022-11-18
- Ho modificato la mappatura di "service" e l'ho mappata a "target.port".
2022-10-27
- È stato aggiunto il controllo condizionale per "attack","attack_info","policy_name".
- È stato aggiunto il pattern Grok per recuperare "principal_hostname".
- È stato aggiunto gsub per cambiare "=" in ":".
- È stata modificata la mappatura di "service" e mappata a "target.resource.attribute.labels".
2022-10-13
- È stato mappato il campo "fw_subproduct" a "metadata.product_name".
- È stato aggiunto il pattern grok per estrarre l'IP dal campo "src".
2022-08-30
- Le modifiche delle versioni specifiche del cliente sono state unite a quelle predefinite.
- I log contenenti "*****" in UserCheck non sono stati eliminati.
2022-08-18
- "portal_message" è stato mappato a "security_result.description".
- "security_result.category" è stato mappato come "SOFTWARE_MALICIOUS" nel caso in cui "portal_message" contenga le parole chiave "malware/malicious".
- "URL" è stato mappato a "security_result.about.url".
- "Attività" è stato mappato a "security_result.summary".
- "Riferimento" è stato mappato a "security_result.about.resource.attribute.labels".
- Modificato "event_type" da "GENERIC_EVENT" a "STATUS_UPDATE" replicando il valore di "intermediary.ip" in "principal.ip".
2022-08-12
- "malware_action", "malware_family,protection_name", "protection_type" sono stati mappati a "security_result.about.resource.attribute.labels".
- "src_machine_name" è stato mappato a "security_result.detection_fields".
2022-06-30
- "message_info" è stato mappato a "metadata.description".
2022-06-17
- Sono stati aggiunti controlli condizionali per i campi "nat_rulenum", "rule", "sent_bytes", "received_bytes", "s_port", "service".
- Event_types modificato per i seguenti casi:
- "GENERIC_EVENT" a "NETWORK_CONNECTION" dove "principal.ip o principal.hostname" e "target.ip o target.hostname" non sono null.
- "GENERIC_EVENT" in "STATUS_UNCATEGORIZED" dove "principal.ip o principal.hostname" non è nullo.
2022-06-14
- È stato modificato il parser per analizzare più log rimuovendo il controllo della condizione per passwd.
2022-06-07
- È stata mappata la stringa src_machine_name a security_result.detection_fields.
2022-05-19
- I campi inzone, outzone, layer_name, layer_uuid e policy_name sono stati mappati a security_result.detection_fields.
- Service_id è stato mappato a principal.application.