Raccogliere i log del firewall Check Point

Questo parser estrae i log del firewall Check Point. Gestisce i messaggi formattati sia CEF che non CEF, inclusi syslog, coppie chiave/valore e JSON. Normalizza i campi, li mappa all'UDM ed esegue una logica specifica per l'accesso/la disconnessione, le connessioni di rete e gli eventi di sicurezza. Arricchisce i dati con informazioni contestuali come la geolocalizzazione e le informazioni sulle minacce.

Prima di iniziare

• Assicurati di avere un'istanza Google Security Operations.
• Assicurati di utilizzare Windows 2016 o versioni successive o un host Linux con systemd.
• Se il servizio è in esecuzione dietro un proxy, assicurati che le porte del firewall siano aperte.
• Assicurati di disporre di accesso privilegiato a un firewall Check Point.

Ottenere il file di autenticazione di importazione di Google SecOps

1. Accedi alla console Google SecOps.
2. Vai a Impostazioni SIEM > Agenti di raccolta.
3. Scarica il file di autenticazione dell'importazione.

Ottenere l'ID cliente Google SecOps

1. Accedi alla console Google SecOps.
2. Vai a Impostazioni SIEM > Profilo.
3. Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

1. Per l'installazione su Windows, esegui il seguente script:
   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
2. Per l'installazione di Linux, esegui il seguente script:
   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
3. Ulteriori opzioni di installazione sono disponibili in questa guida all'installazione.

Configurare l'agente Bindplane per importare Syslog e inviarlo a Google SecOps

1. Accedi alla macchina su cui è installato Bindplane.

2. Modifica il file config.yaml come segue:

   receivers:
       udplog:
           # Replace the below port <54525> and IP <0.0.0.0> with your specific values
           listen_address: "0.0.0.0:54525" 
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the creds location below according the placement of the credentials file you downloaded
           creds: '{ json file for creds }'
           # Replace <customer_id> below with your actual ID that you copied
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # You can apply ingestion labels below as preferred
           ingestion_labels:
           log_type: SYSLOG
           namespace: Checkpoint_Firewall
           raw_log_field: body
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                   - udplog
               exporters:
                   - chronicle/chronicle_w_labels
   

3. Riavvia l'agente Bindplane per applicare le modifiche:

   sudo systemctl restart bindplane
   

Configurare l'esportazione Syslog in un firewall Check Point

1. Accedi all'interfaccia utente del firewall Check Point utilizzando un account con privilegi.
2. Vai a Log e monitoraggio > Server di log.
3. Vai a Server Syslog.
4. Fai clic su Configura e imposta i seguenti valori:
   • Protocollo: seleziona UDP per inviare log di sicurezza e/o di sistema.
   • Nome: fornisci un nome univoco (ad esempio Bindplane_Server).
   • Indirizzo IP: fornisci l'indirizzo IP del server syslog (IP Bindplane).
   • Porta: fornisci la porta del server syslog (porta Bindplane).
5. Seleziona Attiva il server di log.
6. Seleziona i log da inoltrare: Log di sistema e di sicurezza.
7. Fai clic su Applica.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logica
Action	event.idm.read_only_udm.security_result.action_details	Mappato direttamente dal campo Action.
Activity	event.idm.read_only_udm.security_result.summary	Mappato direttamente dal campo Activity.
additional_info	event.idm.read_only_udm.security_result.description	Mappato direttamente dal campo additional_info.
administrator	event.idm.read_only_udm.security_result.detection_fields[].value	Mappato direttamente dal campo administrator. La chiave è "administrator".
aggregated_log_count	event.idm.read_only_udm.security_result.detection_fields[].value	Mappato direttamente dal campo aggregated_log_count. La chiave è "aggregated_log_count".
appi_name	event.idm.read_only_udm.security_result.detection_fields[].value	Mappato direttamente dal campo appi_name. La chiave è "appi_name".
app_category	event.idm.read_only_udm.security_result.category_details	Mappato direttamente dal campo app_category.
app_properties	event.idm.read_only_udm.security_result.detection_fields[].value	Mappato direttamente dal campo app_properties. La chiave è "app_properties".
app_risk	event.idm.read_only_udm.security_result.detection_fields[].value	Mappato direttamente dal campo app_risk. La chiave è "app_risk".
app_session_id	event.idm.read_only_udm.network.session_id	Mappato direttamente dal campo app_session_id, convertito in una stringa.
attack	event.idm.read_only_udm.security_result.summary	Mappato direttamente dal campo attack quando è presente Info.
attack	event.idm.read_only_udm.security_result.threat_name	Mappato direttamente dal campo attack quando è presente Info.
attack_info	event.idm.read_only_udm.security_result.description	Mappato direttamente dal campo attack_info.
auth_status	event.idm.read_only_udm.security_result.summary	Mappato direttamente dal campo auth_status.
browse_time	event.idm.read_only_udm.additional.fields[].value.string_value	Mappato direttamente dal campo browse_time. La chiave è "browse_time".
bytes	event.idm.read_only_udm.additional.fields[].value.string_value	Mappato direttamente dal campo bytes. La chiave è "bytes".
bytes	event.idm.read_only_udm.additional.fields[].value.string_value	Mappato direttamente dal campo bytes. La chiave è "bytes".
calc_service	event.idm.read_only_udm.additional.fields[].value.string_value	Mappato direttamente dal campo calc_service. La chiave è "calc_service".
category	event.idm.read_only_udm.security_result.category_details	Mappato direttamente dal campo category.
client_version	event.idm.read_only_udm.intermediary.platform_version	Mappato direttamente dal campo client_version.
conn_direction	event.idm.read_only_udm.additional.fields[].value.string_value	Mappato direttamente dal campo conn_direction. La chiave è "conn_direction".
conn_direction	event.idm.read_only_udm.network.direction	Se conn_direction è "In entrata", viene mappato a "INBOUND". In caso contrario, corrisponde a "OUTBOUND".
connection_count	event.idm.read_only_udm.security_result.detection_fields[].value	Mappato direttamente dal campo connection_count. La chiave è "connection_count".
contract_name	event.idm.read_only_udm.security_result.description	Mappato direttamente dal campo contract_name.
cs2	event.idm.read_only_udm.security_result.rule_name	Mappato direttamente dal campo cs2.
date_time	event.idm.read_only_udm.metadata.event_timestamp	Analizzati e convertiti in un timestamp utilizzando vari formati di data.
dedup_time	event.idm.read_only_udm.additional.fields[].value.string_value	Mappato direttamente dal campo dedup_time. La chiave è "dedup_time".
desc	event.idm.read_only_udm.security_result.summary	Mappato direttamente dal campo desc.
description	event.idm.read_only_udm.security_result.description	Mappato direttamente dal campo description.
description_url	event.idm.read_only_udm.additional.fields[].value.string_value	Mappato direttamente dal campo description_url. La chiave è "description_url".
destinationAddress	event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip	Mappato direttamente dal campo destinationAddress.
destinationPort	event.idm.read_only_udm.target.port	Mappato direttamente dal campo destinationPort, convertito in un numero intero.
destinationTranslatedAddress	event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip	Mappato direttamente dal campo destinationTranslatedAddress.
destinationTranslatedAddress	event.idm.read_only_udm.target.nat_ip	Mappato direttamente dal campo destinationTranslatedAddress.
destinationTranslatedPort	event.idm.read_only_udm.target.port	Mappato direttamente dal campo destinationTranslatedPort, convertito in un numero intero.
destinationTranslatedPort	event.idm.read_only_udm.target.nat_port	Mappato direttamente dal campo destinationTranslatedPort, convertito in un numero intero.
deviceCustomString2	event.idm.read_only_udm.security_result.rule_name	Mappato direttamente dal campo deviceCustomString2.
deviceDirection	event.idm.read_only_udm.network.direction	Se deviceDirection è 0, viene mappato a "OUTBOUND". Se 1, corrisponde a "INBOUND".
domain	event.idm.read_only_udm.principal.administrative_domain	Mappato direttamente dal campo domain.
domain_name	event.idm.read_only_udm.principal.administrative_domain	Mappato direttamente dal campo domain_name.
drop_reason	event.idm.read_only_udm.security_result.summary	Mappato direttamente dal campo drop_reason.
ds	event.idm.read_only_udm.metadata.event_timestamp	Utilizzato con ts e tz per creare il timestamp dell'evento.
dst	event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip	Mappato direttamente dal campo dst.
dst_country	event.idm.read_only_udm.target.location.country_or_region	Mappato direttamente dal campo dst_country.
dst_ip	event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip	Mappato direttamente dal campo dst_ip.
dpt	event.idm.read_only_udm.target.port	Mappato direttamente dal campo dpt, convertito in un numero intero.
duration	event.idm.read_only_udm.network.session_duration.seconds	Mappato direttamente dal campo duration, convertito in un numero intero, se maggiore di 0.
duser	event.idm.read_only_udm.target.user.email_addresses, event.idm.read_only_udm.target.user.user_display_name	Mappato direttamente dal campo duser se corrisponde a un formato di indirizzo email.
environment_id	event.idm.read_only_udm.target.resource.product_object_id	Mappato direttamente dal campo environment_id.
event_type	event.idm.read_only_udm.metadata.event_type	Determinato da una logica basata sulla presenza di determinati campi e valori. Il valore predefinito è GENERIC_EVENT se non viene identificato un tipo di evento specifico. Può essere NETWORK_CONNECTION, USER_LOGIN, USER_CHANGE_PASSWORD, USER_LOGOUT, NETWORK_HTTP o STATUS_UPDATE.
fieldschanges	event.idm.read_only_udm.security_result.detection_fields[].value	Mappato direttamente dal campo fieldschanges. La chiave è "fieldschanges".
flags	event.idm.read_only_udm.security_result.detection_fields[].value	Mappato direttamente dal campo flags. La chiave è "flags".
flexString2	event.idm.read_only_udm.security_result.detection_fields[].value	Mappato direttamente dal campo flexString2. La chiave è il valore di flexString2Label.
from_user	event.idm.read_only_udm.principal.user.userid	Mappato direttamente dal campo from_user.
fservice	event.idm.read_only_udm.security_result.detection_fields[].value	Mappato direttamente dal campo fservice. La chiave è "fservice".
fw_subproduct	event.idm.read_only_udm.metadata.product_name	Mappato direttamente dal campo fw_subproduct quando product è vuoto.
geoip_dst.country_name	event.idm.read_only_udm.target.location.country_or_region	Mappato direttamente dal campo geoip_dst.country_name.
hll_key	event.idm.read_only_udm.additional.fields[].value.string_value	Mappato direttamente dal campo hll_key. La chiave è "hll_key".
hostname	event.idm.read_only_udm.target.hostname, event.idm.read_only_udm.target.asset.hostname, event.idm.read_only_udm.intermediary.hostname	Mappato direttamente dal campo hostname quando inter_host è vuoto.
http_host	event.idm.read_only_udm.target.resource.attribute.labels[].value	Mappato direttamente dal campo http_host. La chiave è "http_host".
id	event.idm.read_only_udm.metadata.product_log_id	Mappato direttamente dal campo _id.
identity_src	event.idm.read_only_udm.target.application	Mappato direttamente dal campo identity_src.
identity_type	event.idm.read_only_udm.extensions.auth.type	Se identity_type è "user", viene mappato a "VPN". In caso contrario, viene mappato a "MACCHINA".
if_direction	event.idm.read_only_udm.network.direction	Mappato direttamente dal campo if_direction, convertito in maiuscolo.
ifdir	event.idm.read_only_udm.network.direction	Mappato direttamente dal campo ifdir, convertito in maiuscolo.
ifname	event.idm.read_only_udm.security_result.detection_fields[].value	Mappato direttamente dal campo ifname. La chiave è "ifname".
IKE	event.idm.read_only_udm.metadata.description	Mappato direttamente dal campo IKE.
inzone	event.idm.read_only_udm.security_result.detection_fields[].value	Mappato direttamente dal campo inzone. La chiave è "inzone".
industry_reference	event.idm.read_only_udm.additional.fields[].value.string_value	Mappato direttamente dal campo industry_reference. La chiave è "industry_reference".
instance_id	event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname	Mappato direttamente dal campo instance_id.
inter_host	event.idm.read_only_udm.intermediary.hostname	Mappato direttamente dal campo inter_host.
ip_proto	event.idm.read_only_udm.network.ip_protocol	Determinato in base al campo proto o service. Può essere TCP, UDP, ICMP, IP6IN4 o GRE.
ipv6_dst	event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip	Mappato direttamente dal campo ipv6_dst.
ipv6_src	event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip	Mappato direttamente dal campo ipv6_src.
layer_name	event.idm.read_only_udm.security_result.rule_set_display_name, event.idm.read_only_udm.security_result.detection_fields[].value	Mappato direttamente dal campo layer_name. La chiave è "layer_name".
layer_uuid	event.idm.read_only_udm.security_result.rule_set, event.idm.read_only_udm.security_result.detection_fields[].value	Mappato direttamente dal campo layer_uuid dopo la rimozione delle parentesi graffe. La chiave è "layer_uuid".
layer_uuid_rule_uuid	event.idm.read_only_udm.security_result.rule_id	Mappata direttamente dal campo layer_uuid_rule_uuid dopo aver rimosso parentesi e virgolette.
log_id	event.idm.read_only_udm.metadata.product_log_id	Mappato direttamente dal campo log_id.
log_type	event.idm.read_only_udm.metadata.log_type	Mappato direttamente dal campo log_type. Hardcoded su "CHECKPOINT_FIREWALL".
loguid	event.idm.read_only_udm.metadata.product_log_id	Mappato direttamente dal campo loguid dopo la rimozione delle parentesi graffe.
logic_changes	event.idm.read_only_udm.security_result.detection_fields[].value	Mappato direttamente dal campo logic_changes. La chiave è "logic_changes".
localhost	event.idm.read_only_udm.target.hostname, event.idm.read_only_udm.target.asset.hostname	Mappato direttamente dal campo localhost. dst_ip è impostato su "127.0.0.1".
malware_action	event.idm.read_only_udm.security_result.detection_fields[].value, event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value	Mappato direttamente dal campo malware_action. La chiave è "malware_action".
malware_family	event.idm.read_only_udm.security_result.detection_fields[].value, event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value	Mappato direttamente dal campo malware_family. La chiave è "malware_family".
malware_rule_id	event.idm.read_only_udm.security_result.detection_fields[].value	Mappato direttamente dal campo malware_rule_id dopo la rimozione delle parentesi graffe. La chiave è "ID regola malware".
malware_rule_name	event.idm.read_only_udm.security_result.detection_fields[].value	Mappato direttamente dal campo malware_rule_name. La chiave è "Nome regola malware".
match_id	event.idm.read_only_udm.security_result.detection_fields[].value	Mappato direttamente dal campo match_id. La chiave è "match_id".
matched_category	event.idm.read_only_udm.security_result.detection_fields[].value	Mappato direttamente dal campo matched_category. La chiave è "matched_category".
message_info	event.idm.read_only_udm.metadata.description	Mappato direttamente dal campo message_info.
method	event.idm.read_only_udm.network.http.method	Mappato direttamente dal campo method.
mitre_execution	event.idm.read_only_udm.additional.fields[].value.string_value	Mappato direttamente dal campo mitre_execution. La chiave è "mitre_execution".
mitre_initial_access	event.idm.read_only_udm.security_result.detection_fields[].value	Mappato direttamente dal campo mitre_initial_access. La chiave è "mitre_initial_access".
nat_rulenum	event.idm.read_only_udm.security_result.rule_id	Mappato direttamente dal campo nat_rulenum, convertito in una stringa.
objecttype	event.idm.read_only_udm.security_result.detection_fields[].value	Mappato direttamente dal campo objecttype. La chiave è "objecttype".
operation	event.idm.read_only_udm.security_result.summary	Mappato direttamente dal campo operation.
operation	event.idm.read_only_udm.security_result.detection_fields[].value	Mappato direttamente dal campo operation. La chiave è "operation".
orig	event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname	Mappato direttamente dal campo orig.
origin	event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip, event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip, event.idm.read_only_udm.intermediary.ip	Mappato direttamente dal campo origin.
origin_sic_name	event.idm.read_only_udm.intermediary.asset_id, event.idm.read_only_udm.intermediary.labels[].value	Mappato direttamente dal campo origin_sic_name. La chiave è "SIC macchina". L'ID risorsa è preceduto dal prefisso "asset:".
originsicname	event.idm.read_only_udm.additional.fields[].value.string_value	Mappato direttamente dal campo originsicname. La chiave è "originsicname".
originsicname	event.idm.read_only_udm.intermediary.asset_id, event.idm.read_only_udm.intermediary.labels[].value	Mappato direttamente dal campo originsicname. La chiave è "SIC macchina". L'ID risorsa è preceduto dal prefisso "asset:".
os_name	event.idm.read_only_udm.principal.asset.platform_software.platform	Se os_name contiene "Win", viene mappato a "WINDOWS". Se contiene "MAC" o "IOS", viene mappato a "MAC". Se contiene "LINUX", viene mappato a "LINUX".
os_version	event.idm.read_only_udm.principal.asset.platform_software.platform_patch_level	Mappato direttamente dal campo os_version.
outzone	event.idm.read_only_udm.security_result.detection_fields[].value	Mappato direttamente dal campo outzone. La chiave è "outzone".
packets	event.idm.read_only_udm.additional.fields[].value.string_value	Mappato direttamente dal campo packets. La chiave è "packets".
packet_capture_name	event.idm.read_only_udm.additional.fields[].value.string_value	Mappato direttamente dal campo packet_capture_name. La chiave è "packet_capture_name".
packet_capture_time	event.idm.read_only_udm.additional.fields[].value.string_value	Mappato direttamente dal campo packet_capture_time. La chiave è "packet_capture_time".
packet_capture_unique_id	event.idm.read_only_udm.additional.fields[].value.string_value	Mappato direttamente dal campo packet_capture_unique_id. La chiave è "packet_capture_unique_id".
parent_rule	event.idm.read_only_udm.security_result.detection_fields[].value	Mappato direttamente dal campo parent_rule. La chiave è "parent_rule".
performance_impact	event.idm.read_only_udm.additional.fields[].value.string_value	Mappato direttamente dal campo performance_impact. La chiave è "performance_impact".
policy_name	event.idm.read_only_udm.security_result.detection_fields[].value	Estratto dal campo __policy_id_tag utilizzando grok e mappato. La chiave è "Nome norma".
policy_time	event.idm.read_only_udm.security_result.detection_fields[].value	Mappato direttamente dal campo policy_time. La chiave è "policy_time".
portal_message	event.idm.read_only_udm.security_result.description	Mappato direttamente dal campo portal_message.
principal_hostname	event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip	Mappato direttamente dal campo principal_hostname se si tratta di un indirizzo IP valido.
principal_hostname	event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname	Mappato direttamente dal campo principal_hostname se non è un indirizzo IP valido e non è "Punto di controllo".
prod_family_label	event.idm.read_only_udm.additional.fields[].value.string_value	Mappato direttamente dal campo ProductFamily. La chiave è "ProductFamily".
product	event.idm.read_only_udm.metadata.product_name	Mappato direttamente dal campo product.
product_family	event.idm.read_only_udm.additional.fields[].value.string_value	Mappato direttamente dal campo product_family. La chiave è "product_family".
product_family	event.idm.read_only_udm.additional.fields[].value.string_value	Mappato direttamente dal campo product_family. La chiave è "product_family".
ProductName	event.idm.read_only_udm.metadata.product_name	Mappato direttamente dal campo ProductName quando product è vuoto.
product_name	event.idm.read_only_udm.metadata.product_name	Mappato direttamente dal campo product_name.
profile	event.idm.read_only_udm.security_result.detection_fields[].value	Mappato direttamente dal campo profile. La chiave è "profile".
protocol	event.idm.read_only_udm.network.application_protocol	Mappato direttamente dal campo protocol se è "HTTP".
proxy_src_ip	event.idm.read_only_udm.principal.nat_ip	Mappato direttamente dal campo proxy_src_ip.
reason	event.idm.read_only_udm.security_result.summary	Mappato direttamente dal campo reason.
received_bytes	event.idm.read_only_udm.network.received_bytes	Mappato direttamente dal campo received_bytes, convertito in un numero intero non firmato.
Reference	event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value, event.idm.read_only_udm.security_result.detection_fields[].value	Mappato direttamente dal campo Reference. La chiave è "Reference". Utilizzato per costruire _vuln.name con attack.
reject_id_kid	event.idm.read_only_udm.security_result.detection_fields[].value	Mappato direttamente dal campo reject_id_kid. La chiave è "reject_id_kid".
resource	event.idm.read_only_udm.target.url	Analizzati come JSON e mappati all'URL di destinazione. Se l'analisi non va a buon fine, l'attributo viene mappato direttamente.
resource	event.idm.read_only_udm.additional.fields[].value.list_value.values[].string_value	Analizza come JSON e ogni valore nell'array resource viene aggiunto all'elenco. La chiave è "Risorsa".
result	event.idm.read_only_udm.metadata.event_timestamp	Analizzata con date_time per creare il timestamp dell'evento.
rt	event.idm.read_only_udm.metadata.event_timestamp	Analizzati come millisecondi dall'epoca e convertiti in un timestamp.
rule	event.idm.read_only_udm.security_result.rule_name	Mappato direttamente dal campo rule.
rule_action	event.idm.read_only_udm.security_result.detection_fields[].value	Mappato direttamente dal campo rule_action. La chiave è "rule_action".
rule_name	event.idm.read_only_udm.security_result.rule_name	Mappato direttamente dal campo rule_name.
rule_uid	event.idm.read_only_udm.security_result.rule_id	Mappato direttamente dal campo rule_uid.
s_port	event.idm.read_only_udm.principal.port	Mappato direttamente dal campo s_port, convertito in un numero intero.
scheme	event.idm.read_only_udm.additional.fields[].value.string_value	Mappato direttamente dal campo scheme. La chiave è "scheme".
security_inzone	event.idm.read_only_udm.security_result.detection_fields[].value	Mappato direttamente dal campo security_inzone. La chiave è "security_inzone".
security_outzone	event.idm.read_only_udm.security_result.detection_fields[].value	Mappato direttamente dal campo security_outzone. La chiave è "security_outzone".
security_result_action	event.idm.read_only_udm.security_result.action	Mappato direttamente dal campo security_result_action.
sendtotrackerasadvancedauditlog	event.idm.read_only_udm.security_result.detection_fields[].value	Mappato direttamente dal campo sendtotrackerasadvancedauditlog. La chiave è "sendtotrackerasadvancedauditlog".
sent_bytes	event.idm.read_only_udm.network.sent_bytes	Mappato direttamente dal campo sent_bytes, convertito in un numero intero non firmato.
sequencenum	event.idm.read_only_udm.additional.fields[].value.string_value	Mappato direttamente dal campo sequencenum. La chiave è "sequencenum".
ser_agent_kid	event.idm.read_only_udm.security_result.detection_fields[].value	Mappato direttamente dal campo ser_agent_kid. La chiave è "ser_agent_kid".
service	event.idm.read_only_udm.target.port	Mappato direttamente dal campo service, convertito in un numero intero.
service_id	event.idm.read_only_udm.network.application_protocol	Mappato direttamente dal campo service_id se è "dhcp", "dns", "http", "https" o "quic", convertito in maiuscolo.
service_id	event.idm.read_only_udm.principal.application	Mappato direttamente dal campo service_id se non è uno dei protocolli di applicazione di rete.
service_id	event.idm.read_only_udm.security_result.detection_fields[].value	Mappato direttamente dal campo service_id. La chiave è "service_id".
session_description	event.idm.read_only_udm.security_result.detection_fields[].value	Mappato direttamente dal campo session_description. La chiave è "session_description".
session_id	event.idm.read_only_udm.network.session_id	Mappato direttamente dal campo session_id dopo la rimozione delle parentesi graffe.
session_name	event.idm.read_only_udm.security_result.detection_fields[].value	Mappato direttamente dal campo session_name. La chiave è "session_name".
session_uid	event.idm.read_only_udm.network.session_id	Mappato direttamente dal campo session_uid dopo la rimozione delle parentesi graffe.
Severity	event.idm.read_only_udm.security_result.severity	Mappato a "LOW", "MEDIUM", "HIGH" o "CRITICAL" in base al valore di Severity.
severity	event.idm.read_only_udm.security_result.severity	Mappato a "LOW", "MEDIUM", "HIGH" o "CRITICAL" in base al valore di severity.
site	event.idm.read_only_udm.network.http.user_agent	Mappato direttamente dal campo site.
smartdefense_profile	event.idm.read_only_udm.security_result.detection_fields[].value	Mappato direttamente dal campo smartdefense_profile. La chiave è "smartdefense_profile".
snid	event.idm.read_only_udm.network.session_id	Mappato direttamente dal campo snid se non è vuoto o "0".
sourceAddress	event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip	Mappato direttamente dal campo sourceAddress.
sourcePort	event.idm.read_only_udm.principal.port	Mappato direttamente dal campo sourcePort, convertito in un numero intero.
sourceTranslatedAddress	event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip	Mappato direttamente dal campo sourceTranslatedAddress.
sourceTranslatedAddress	event.idm.read_only_udm.principal.nat_ip	Mappato direttamente dal campo sourceTranslatedAddress.
sourceTranslatedPort	event.idm.read_only_udm.principal.port	Mappato direttamente dal campo sourceTranslatedPort, convertito in un numero intero.
sourceTranslatedPort	event.idm.read_only_udm.principal.nat_port	Mappato direttamente dal campo sourceTranslatedPort, convertito in un numero intero.
sourceUserName	event.idm.read_only_udm.principal.user.userid, event.idm.read_only_udm.principal.user.first_name, event.idm.read_only_udm.principal.user.last_name	Analizzati utilizzando grok per estrarre userid, nome e cognome.
spt	event.idm.read_only_udm.principal.port	Mappato direttamente dal campo spt, convertito in un numero intero.
src	event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip	Mappato direttamente dal campo src.
src_ip	event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip	Mappato direttamente dal campo src_ip.
src_localhost	event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname	Mappato direttamente dal campo src_localhost. src_ip è impostato su "127.0.0.1".
src_machine_name	event.idm.read_only_udm.security_result.detection_fields[].value	Mappato direttamente dal campo src_machine_name. La chiave è "src_machine_name".
src_port	event.idm.read_only_udm.principal.port	Mappato direttamente dal campo src_port, convertito in un numero intero.
src_user	event.idm.read_only_udm.principal.user.userid	Mappato direttamente dal campo src_user.
src_user_dn	event.idm.read_only_udm.security_result.detection_fields[].value	Mappato direttamente dal campo src_user_dn. La chiave è "src_user_dn".
src_user_name	event.idm.read_only_udm.principal.user.userid	Mappato direttamente dal campo src_user_name.
sub_policy_name	event.idm.read_only_udm.security_result.detection_fields[].value	Mappato direttamente dal campo sub_policy_name. La chiave è "sub_policy_name".
sub_policy_uid	event.idm.read_only_udm.security_result.detection_fields[].value	Mappato direttamente dal campo sub_policy_uid. La chiave è "sub_policy_uid".
subject	event.idm.read_only_udm.security_result.detection_fields[].value	Mappato direttamente dal campo subject. La chiave è "subject".
subscription_stat_desc	event.idm.read_only_udm.security_result.summary	Mappato direttamente dal campo subscription_stat_desc.
tags	event.idm.read_only_udm.security_result.detection_fields[].value	Mappato direttamente dal campo tags. La chiave è "tags".
tar_user	event.idm.read_only_udm.target.user.userid	Mappato direttamente dal campo tar_user.
target_port	event.idm.read_only_udm.target.port	Mappato direttamente dal campo target_port.
tcp_flags	event.idm.read_only_udm.security_result.detection_fields[].value	Mappato direttamente dal campo tcp_flags. La chiave è "tcp_flags".
tcp_packet_out_of_state	event.idm.read_only_udm.security_result.detection_fields[].value	Mappato direttamente dal campo tcp_packet_out_of_state. La chiave è "tcp_packet_out_of_state".
time	event.idm.read_only_udm.metadata.event_timestamp	Analizzati e convertiti in un timestamp utilizzando vari formati di data.
ts	event.idm.read_only_udm.metadata.event_timestamp	Analizzati con ds e tz per creare il timestamp dell'evento.
type	event.idm.read_only_udm.security_result.rule_type	Mappato direttamente dal campo type.
tz	event.idm.read_only_udm.metadata.event_timestamp	Utilizzato con ds e ts per creare il timestamp dell'evento.
update_count	event.idm.read_only_udm.security_result.detection_fields[].value	Mappato direttamente dal campo update_count. La chiave è "update_count".
URL	event.idm.read_only_udm.security_result.about.url	Mappato direttamente dal campo URL.
user	event.idm.read_only_udm.principal.user.userid	Mappato direttamente dal campo user.
user_agent	event.idm.read_only_udm.network.http.user_agent	Mappato direttamente dal campo user_agent. Inoltre, viene analizzato e mappato a event.idm.read_only_udm.network.http.parsed_user_agent.
userip	event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip	Mappato direttamente dal campo userip se si tratta di un indirizzo IP valido.
UUid	event.idm.read_only_udm.metadata.product_log_id	Mappato direttamente dal campo UUid dopo la rimozione delle parentesi graffe.
version	event.idm.read_only_udm.metadata.product_version	Mappato direttamente dal campo version.
web_client_type	event.idm.read_only_udm.network.http.user_agent	Mappato direttamente dal campo web_client_type.
xlatedport	event.idm.read_only_udm.target.nat_port	Mappato direttamente dal campo xlatedport, convertito in un numero intero.
xlatedst	event.idm.read_only_udm.target.nat_ip	Mappato direttamente dal campo xlatedst.
xlatesport	event.idm.read_only_udm.principal.nat_port	Mappato direttamente dal campo xlatesport, convertito in un numero intero.
xlatesrc	event.idm.read_only_udm.principal.nat_ip	Mappato direttamente dal campo xlatesrc.
event.idm.read_only_udm.metadata.vendor_name	Check Point	Valore hardcoded.
event.idm.read_only_udm.metadata.log_type	CHECKPOINT_FIREWALL	Valore hardcoded.
event.idm.read_only_udm.security_result.rule_type	Firewall Rule	Valore predefinito, a meno che non venga ignorato da una logica specifica.
event.idm.is_alert	true	Imposta su true se il campo alert è "yes".
has_principal	true	Impostato su true quando viene estratto l'indirizzo IP o il nome host principale.
has_target	true	Impostato su true quando viene estratto l'indirizzo IP o il nome host di destinazione.

Modifiche

2024-05-29

• "layer_uuid_rule_uuid" è stato mappato a "security_result.rule_id".
• "domain" è stato mappato a "principal.administrative_domain".
• "fservice", "appi_name", "app_risk" e "policy_name" sono stati mappati a "security_result.detection_fields".
• Ho mappato "packets", "__id", "dedup_time", "browse_time", "bytes", "product_family", "hll_key" e "calc_service" a "additional.fields".
• "id" è stato mappato a "metadata.product_log_id".
• "orig_log_server" è stato mappato a "principal.resource.product_object_id".
• "environment_id" è stato mappato a "target.resource.product_object_id".
• "client_outbound_packets" e "client_inbound_packets" sono stati mappati a "principal.resource.attribute.labels".
• "server_outbound_bytes" e "server_inbound_bytes" sono stati mappati a "target.resource.attribute.labels".
• "orig" è stato mappato a "principal.hostname" e "principal.asset.hostname".
• "orig_log_server_ip" è stato mappato a "principal.ip" e "principal.asset.ip".
• "proto" è stato mappato a "network.ip_protocol".

2024-05-20

• È stato aggiunto un pattern Grok per estrarre "inter_host".
• "inter_host" è stato mappato a "intermediary.hostname".

2024-04-19

• Miglioramento e correzione di bug:
• "origin" è stato mappato a "target.ip" e "target.asset.ip".
• Sono stati aggiunti nuovi pattern Grok per analizzare il nuovo formato dei log SYSLOG.
• "smartdefense_profile", "malware_rule_id" e "malware_rule_name" sono stati mappati a "security_result.detection_fields".
• Ho mappato "sequencenum", "description_url", "industry_reference", "mitre_execution", "packet_capture_name", "packet_capture_unique_id", "packet_capture_time" e "performance_impact" a "additional.fields".
• "version" è stato mappato a "metadata.product_version".
• "http_host" è stato mappato a "target.resource.attribute.labels".
• "log_id" è stato mappato a "metadata.product_log_id".
• "user_agent" è stato mappato a "network.http.user_agent" e "http.parsed_user_agent".
• "hostname", "dvc" e "principal_hostname" sono stati mappati a "target.hostname" e "target.asset.hostname".
• Se "has_principal" è "true", "has_target" è "true" ed "Action"/"action" è "Log In" o "Failed Log In" o "Failed Login" o "Update", imposta "metadata.event_type" su "USER_LOGIN" ed "extensions.auth.type" su "AUTHTYPE_UNSPECIFIED".
• Se "has_principal" è "true", "has_target" è "true" ed "Action"/"act"/"event_type" è "Log Out" o "Logout", imposta "metadata.event_type" su "USER_LOGOUT" ed "extensions.auth.type" su "AUTHTYPE_UNSPECIFIED".
• Se "has_principal" è "true", "has_target" è "true", imposta "metadata.event_type" su "NETWORK_CONNECTION".
• Se "has_principal" è "true", "has_target" è "false", imposta "metadata.event_type" su "STATUS_UPDATE".

2024-02-07

• è stata aggiunta la mappatura per i seguenti campi:
• "protection_id", "malware_action", "malware_family,protection_name", "protection_type" sono stati mappati a "security_result.detection_fields".
• "confidence_level" è stato mappato a "security_result.confidence" e "security_result.confidence_details".

2024-02-05

• è stata aggiunta la mappatura per i seguenti campi:
• "method" è stato mappato a "network.http.method".

2024-01-24

• è stata aggiunta la mappatura per i seguenti campi:
• "method" è stato mappato a "network.http.method".
• "duration" è stato mappato a "network.session_duration.seconds".
• "additional_info" è stato mappato a "security_result.description".
• "operation" è stato mappato a "security_result.summary".
• "subject" è stato mappato a "metadata.description".
• "principal_hostname" è stato mappato a "intermediary.hostname".
• "tcp_packet_out_of_state", "aggregated_log_count", "connection_count", "appi_name", "src_user_dn",
• "update_count", "additional_info", "administrator", "operation", "sendtotrackerasadvancedauditlog",
• "subject", "fieldschanges", "logic_changes", "objecttype", "session_description",
• "session_name" a "security_result.detection_fields".

2023-12-27

• è stata aggiunta la mappatura per i seguenti campi:
• "flags" è stato mappato a "security_result.detection_fields".
• "tcp_flags" è stato mappato a "security_result.detection_fields".
• "tcp_packet_out_of_state" è stato mappato a "security_result.detection_fields".

2023-12-11

• Se "principal_hostname" è un indirizzo IP valido, mappalo a "principal.ip".
• Se "principal_hostname" non è un indirizzo IP valido, mappalo a "principal.hostname".
• "sport_svc" è stato mappato a "principal.port".
• "ProductFamily" è stato mappato a "additional.fields".
• "mitre_initial_access" è stato mappato a "security_result.detection_fields".
• "policy_time" è stato mappato a "security_result.detection_fields".
• "profile" è stato mappato a "security_result.detection_fields".
• "reject_id_kid" è stato mappato a "security_result.detection_fields".
• "ser_agent_kid" è stato mappato a "security_result.detection_fields".

2023-10-11

• Se "product" è "New Anti Virus", la mappatura da "firewall management node" a "principal.hostname" viene rimossa e mappata a "security_result.detection_fields".

2023-07-06

• è stata aggiunta la mappatura per i seguenti campi:
• "app_category" è stato mappato a "security_result.category_details".
• "matched_category" è stato mappato a "security_result.detection_fields".
• "app_properties" è stato mappato a "security_result.detection_fields".

2023-06-14

• è stata aggiunta la mappatura per i seguenti campi
• "conn_direction" è stato mappato a "additional.fields".
• Modifica di gsub per non sostituire il ":" con "=" dai valori effettivi.

2023-05-12

• è stata aggiunta la mappatura per i seguenti campi
• "rule_name" è stato mappato a "security_result.rule_name".
• Sono stati mappati "rule","sub_policy_name","sub_policy_uid","smartdefense_profile","tags","flexString2" a "security_result.detection_fields".
• È stato aggiunto un nuovo pattern Grok per supportare i nuovi formati di log.
• "dvc" è stato mappato a "intermediary.hostname".
• "hostname" è stato mappato a "intermediary.hostname".
• "origin_sic_name" è stato mappato a "intermediary.asset_id".
• "conn_direction" è stato mappato a "network.ip_protocol".
• "ifname" è stato mappato a "security_result.detection_fields".
• "security_inzone" è stato mappato a "security_result.detection_fields".
• "match_id" è stato mappato a "security_result.detection_fields".
• "parent_rule" è stato mappato a "security_result.detection_fields".
• "security_outzone" è stato mappato a "security_result.detection_fields".
• "sub_policy_name" è stato mappato a "security_result.detection_fields".
• "sub_policy_uid" è stato mappato a "security_result.detection_fields".
• "drop_reason" è stato mappato a "security_result.summary".
• "reason" è stato mappato a "security_result.summary".
• "xlatesport" è stato mappato a "principal.nat_port".
• "xlatedport" è stato mappato a "target.nat_port".
• "ipv6_dst" è stato mappato a "target.ip".
• "ipv6_src" è stato mappato a "principal.ip".

2023-04-24

• È stato aggiunto il supporto per i log con formato CEF.

2022-11-18

• Ho modificato la mappatura di "service" e l'ho mappata a "target.port".

2022-10-27

• È stato aggiunto il controllo condizionale per "attack","attack_info","policy_name".
• È stato aggiunto il pattern Grok per recuperare "principal_hostname".
• È stato aggiunto gsub per cambiare "=" in ":".
• È stata modificata la mappatura di "service" e l'attributo è stato mappato a "target.resource.attribute.labels".

2022-10-13

• È stato mappato il campo "fw_subproduct" a "metadata.product_name".
• È stato aggiunto il pattern grok per estrarre l'IP dal campo "src".

2022-08-30

• Le modifiche delle versioni specifiche del cliente sono state unite a quelle predefinite.
• I log contenenti "*****" in UserCheck non sono stati eliminati.

2022-08-18

• "portal_message" è stato mappato a "security_result.description".
• "security_result.category" è stato mappato come "SOFTWARE_MALICIOUS" nel caso in cui "portal_message" contenga le parole chiave "malware/malicious".
• "URL" è stato mappato a "security_result.about.url".
• "Attività" è stato mappato a "security_result.summary".
• "Riferimento" è stato mappato a "security_result.about.resource.attribute.labels".
• Modificato "event_type" da "GENERIC_EVENT" a "STATUS_UPDATE" replicando il valore di "intermediary.ip" in "principal.ip".

2022-08-12

• "malware_action", "malware_family,protection_name", "protection_type" sono stati mappati a "security_result.about.resource.attribute.labels".
• "src_machine_name" è stato mappato a "security_result.detection_fields".

2022-06-30

• "message_info" è stato mappato a "metadata.description".

2022-06-17

• Sono stati aggiunti controlli condizionali per i campi "nat_rulenum", "rule", "sent_bytes", "received_bytes", "s_port", "service".
• Event_types modificato per i seguenti casi:
• "GENERIC_EVENT" a "NETWORK_CONNECTION" dove "principal.ip o principal.hostname" e "target.ip o target.hostname" non sono null.
• "GENERIC_EVENT" in "STATUS_UNCATEGORIZED" dove "principal.ip o principal.hostname" non è nullo.

2022-06-14

• È stato modificato il parser per analizzare più log rimuovendo il controllo della condizione per passwd.

2022-06-07

• È stata mappata la stringa src_machine_name a security_result.detection_fields.

2022-05-19

• I campi inzone, outzone, layer_name, layer_uuid e policy_name sono stati mappati a security_result.detection_fields.
• service_id è stato mappato a principal.application.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.