Raccogliere i log del firewall Check Point

Supportato in:

Questo parser estrae i log del firewall Check Point. Gestisce i messaggi formattati sia CEF che non CEF, inclusi syslog, coppie chiave-valore e JSON. Normalizza i campi, li mappa all'UDM ed esegue una logica specifica per l'accesso/la disconnessione, le connessioni di rete e gli eventi di sicurezza. Arricchisce i dati con informazioni contestuali come la geolocalizzazione e le informazioni sulle minacce.

Prima di iniziare

  • Assicurati di avere un'istanza Google Security Operations.
  • Assicurati di utilizzare Windows 2016 o versioni successive o un host Linux con systemd.
  • Se il servizio è in esecuzione dietro un proxy, assicurati che le porte del firewall siano aperte.
  • Assicurati di disporre di accesso privilegiato a un firewall Check Point.

Recupera il file di autenticazione di importazione di Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Agenti di raccolta.
  3. Scarica il file di autenticazione dell'importazione.

Ottenere l'ID cliente Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Profilo.
  3. Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa BindPlane Agent

  1. Per l'installazione su Windows, esegui il seguente script:
    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
  2. Per l'installazione di Linux, esegui il seguente script:
    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
  3. Ulteriori opzioni di installazione sono disponibili in questa guida all'installazione.

Configurare l'agente BindPlane per importare i syslog e inviarli a Google SecOps

  1. Accedi al computer su cui è installato BindPlane.
  2. Modifica il file config.yaml come segue:

    receivers:
        udplog:
            # Replace the below port <54525> and IP <0.0.0.0> with your specific values
            listen_address: "0.0.0.0:54525" 
    
    exporters:
        chronicle/chronicle_w_labels:
            compression: gzip
            # Adjust the creds location below according the placement of the credentials file you downloaded
            creds: '{ json file for creds }'
            # Replace <customer_id> below with your actual ID that you copied
            customer_id: <customer_id>
            endpoint: malachiteingestion-pa.googleapis.com
            # You can apply ingestion labels below as preferred
            ingestion_labels:
            log_type: SYSLOG
            namespace: Checkpoint_Firewall
            raw_log_field: body
    service:
        pipelines:
            logs/source0__chronicle_w_labels-0:
                receivers:
                    - udplog
                exporters:
                    - chronicle/chronicle_w_labels
    
  3. Riavvia l'agente BindPlane per applicare le modifiche:

    sudo systemctl restart bindplane
    

Configurare l'esportazione Syslog in un firewall Check Point

  1. Accedi all'interfaccia utente del firewall Check Point utilizzando un account con privilegi.
  2. Vai a Log e monitoraggio > Server di log.
  3. Vai a Server Syslog.
  4. Fai clic su Configura e imposta i seguenti valori:
    • Protocollo: seleziona UDP per inviare log di sicurezza e/o di sistema.
    • Nome: fornisci un nome univoco (ad esempio Bindplane_Server).
    • Indirizzo IP: fornisci l'indirizzo IP del server syslog (IP Bindplane).
    • Porta: fornisci la porta del server syslog (porta Bindplane).
  5. Seleziona Attiva il server di log.
  6. Seleziona i log da inoltrare: Log di sistema e di sicurezza.
  7. Fai clic su Applica.

Tabella di mappatura UDM

Campo log Mappatura UDM Logica
Action event.idm.read_only_udm.security_result.action_details Mappato direttamente dal campo Action.
Activity event.idm.read_only_udm.security_result.summary Mappato direttamente dal campo Activity.
additional_info event.idm.read_only_udm.security_result.description Mappato direttamente dal campo additional_info.
administrator event.idm.read_only_udm.security_result.detection_fields[].value Mappato direttamente dal campo administrator. La chiave è "administrator".
aggregated_log_count event.idm.read_only_udm.security_result.detection_fields[].value Mappato direttamente dal campo aggregated_log_count. La chiave è "aggregated_log_count".
appi_name event.idm.read_only_udm.security_result.detection_fields[].value Mappato direttamente dal campo appi_name. La chiave è "appi_name".
app_category event.idm.read_only_udm.security_result.category_details Mappato direttamente dal campo app_category.
app_properties event.idm.read_only_udm.security_result.detection_fields[].value Mappato direttamente dal campo app_properties. La chiave è "app_properties".
app_risk event.idm.read_only_udm.security_result.detection_fields[].value Mappato direttamente dal campo app_risk. La chiave è "app_risk".
app_session_id event.idm.read_only_udm.network.session_id Mappato direttamente dal campo app_session_id, convertito in una stringa.
attack event.idm.read_only_udm.security_result.summary Mappato direttamente dal campo attack quando è presente Info.
attack event.idm.read_only_udm.security_result.threat_name Mappato direttamente dal campo attack quando è presente Info.
attack_info event.idm.read_only_udm.security_result.description Mappato direttamente dal campo attack_info.
auth_status event.idm.read_only_udm.security_result.summary Mappato direttamente dal campo auth_status.
browse_time event.idm.read_only_udm.additional.fields[].value.string_value Mappato direttamente dal campo browse_time. La chiave è "browse_time".
bytes event.idm.read_only_udm.additional.fields[].value.string_value Mappato direttamente dal campo bytes. La chiave è "bytes".
bytes event.idm.read_only_udm.additional.fields[].value.string_value Mappato direttamente dal campo bytes. La chiave è "bytes".
calc_service event.idm.read_only_udm.additional.fields[].value.string_value Mappato direttamente dal campo calc_service. La chiave è "calc_service".
category event.idm.read_only_udm.security_result.category_details Mappato direttamente dal campo category.
client_version event.idm.read_only_udm.intermediary.platform_version Mappato direttamente dal campo client_version.
conn_direction event.idm.read_only_udm.additional.fields[].value.string_value Mappato direttamente dal campo conn_direction. La chiave è "conn_direction".
conn_direction event.idm.read_only_udm.network.direction Se conn_direction è "In entrata", viene mappato a "INBOUND". In caso contrario, corrisponde a "OUTBOUND".
connection_count event.idm.read_only_udm.security_result.detection_fields[].value Mappato direttamente dal campo connection_count. La chiave è "connection_count".
contract_name event.idm.read_only_udm.security_result.description Mappato direttamente dal campo contract_name.
cs2 event.idm.read_only_udm.security_result.rule_name Mappato direttamente dal campo cs2.
date_time event.idm.read_only_udm.metadata.event_timestamp Analizzati e convertiti in un timestamp utilizzando vari formati di data.
dedup_time event.idm.read_only_udm.additional.fields[].value.string_value Mappato direttamente dal campo dedup_time. La chiave è "dedup_time".
desc event.idm.read_only_udm.security_result.summary Mappato direttamente dal campo desc.
description event.idm.read_only_udm.security_result.description Mappato direttamente dal campo description.
description_url event.idm.read_only_udm.additional.fields[].value.string_value Mappato direttamente dal campo description_url. La chiave è "description_url".
destinationAddress event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip Mappato direttamente dal campo destinationAddress.
destinationPort event.idm.read_only_udm.target.port Mappato direttamente dal campo destinationPort, convertito in un numero intero.
destinationTranslatedAddress event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip Mappato direttamente dal campo destinationTranslatedAddress.
destinationTranslatedAddress event.idm.read_only_udm.target.nat_ip Mappato direttamente dal campo destinationTranslatedAddress.
destinationTranslatedPort event.idm.read_only_udm.target.port Mappato direttamente dal campo destinationTranslatedPort, convertito in un numero intero.
destinationTranslatedPort event.idm.read_only_udm.target.nat_port Mappato direttamente dal campo destinationTranslatedPort, convertito in un numero intero.
deviceCustomString2 event.idm.read_only_udm.security_result.rule_name Mappato direttamente dal campo deviceCustomString2.
deviceDirection event.idm.read_only_udm.network.direction Se deviceDirection è 0, viene mappato a "OUTBOUND". Se 1, corrisponde a "INBOUND".
domain event.idm.read_only_udm.principal.administrative_domain Mappato direttamente dal campo domain.
domain_name event.idm.read_only_udm.principal.administrative_domain Mappato direttamente dal campo domain_name.
drop_reason event.idm.read_only_udm.security_result.summary Mappato direttamente dal campo drop_reason.
ds event.idm.read_only_udm.metadata.event_timestamp Utilizzato con ts e tz per creare il timestamp dell'evento.
dst event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip Mappato direttamente dal campo dst.
dst_country event.idm.read_only_udm.target.location.country_or_region Mappato direttamente dal campo dst_country.
dst_ip event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip Mappato direttamente dal campo dst_ip.
dpt event.idm.read_only_udm.target.port Mappato direttamente dal campo dpt, convertito in un numero intero.
duration event.idm.read_only_udm.network.session_duration.seconds Mappato direttamente dal campo duration, convertito in un numero intero, se maggiore di 0.
duser event.idm.read_only_udm.target.user.email_addresses, event.idm.read_only_udm.target.user.user_display_name Mappato direttamente dal campo duser se corrisponde a un formato di indirizzo email.
environment_id event.idm.read_only_udm.target.resource.product_object_id Mappato direttamente dal campo environment_id.
event_type event.idm.read_only_udm.metadata.event_type Determinato da una logica basata sulla presenza di determinati campi e valori. Il valore predefinito è GENERIC_EVENT se non viene identificato un tipo di evento specifico. Può essere NETWORK_CONNECTION, USER_LOGIN, USER_CHANGE_PASSWORD, USER_LOGOUT, NETWORK_HTTP o STATUS_UPDATE.
fieldschanges event.idm.read_only_udm.security_result.detection_fields[].value Mappato direttamente dal campo fieldschanges. La chiave è "fieldschanges".
flags event.idm.read_only_udm.security_result.detection_fields[].value Mappato direttamente dal campo flags. La chiave è "flags".
flexString2 event.idm.read_only_udm.security_result.detection_fields[].value Mappato direttamente dal campo flexString2. La chiave è il valore di flexString2Label.
from_user event.idm.read_only_udm.principal.user.userid Mappato direttamente dal campo from_user.
fservice event.idm.read_only_udm.security_result.detection_fields[].value Mappato direttamente dal campo fservice. La chiave è "fservice".
fw_subproduct event.idm.read_only_udm.metadata.product_name Mappato direttamente dal campo fw_subproduct quando product è vuoto.
geoip_dst.country_name event.idm.read_only_udm.target.location.country_or_region Mappato direttamente dal campo geoip_dst.country_name.
hll_key event.idm.read_only_udm.additional.fields[].value.string_value Mappato direttamente dal campo hll_key. La chiave è "hll_key".
hostname event.idm.read_only_udm.target.hostname, event.idm.read_only_udm.target.asset.hostname, event.idm.read_only_udm.intermediary.hostname Mappato direttamente dal campo hostname quando inter_host è vuoto.
http_host event.idm.read_only_udm.target.resource.attribute.labels[].value Mappato direttamente dal campo http_host. La chiave è "http_host".
id event.idm.read_only_udm.metadata.product_log_id Mappato direttamente dal campo _id.
identity_src event.idm.read_only_udm.target.application Mappato direttamente dal campo identity_src.
identity_type event.idm.read_only_udm.extensions.auth.type Se identity_type è "user", viene mappato a "VPN". In caso contrario, viene mappato a "MACCHINA".
if_direction event.idm.read_only_udm.network.direction Mappato direttamente dal campo if_direction, convertito in maiuscolo.
ifdir event.idm.read_only_udm.network.direction Mappato direttamente dal campo ifdir, convertito in maiuscolo.
ifname event.idm.read_only_udm.security_result.detection_fields[].value Mappato direttamente dal campo ifname. La chiave è "ifname".
IKE event.idm.read_only_udm.metadata.description Mappato direttamente dal campo IKE.
inzone event.idm.read_only_udm.security_result.detection_fields[].value Mappato direttamente dal campo inzone. La chiave è "inzone".
industry_reference event.idm.read_only_udm.additional.fields[].value.string_value Mappato direttamente dal campo industry_reference. La chiave è "industry_reference".
instance_id event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname Mappato direttamente dal campo instance_id.
inter_host event.idm.read_only_udm.intermediary.hostname Mappato direttamente dal campo inter_host.
ip_proto event.idm.read_only_udm.network.ip_protocol Determinato in base al campo proto o service. Può essere TCP, UDP, ICMP, IP6IN4 o GRE.
ipv6_dst event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip Mappato direttamente dal campo ipv6_dst.
ipv6_src event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip Mappato direttamente dal campo ipv6_src.
layer_name event.idm.read_only_udm.security_result.rule_set_display_name, event.idm.read_only_udm.security_result.detection_fields[].value Mappato direttamente dal campo layer_name. La chiave è "layer_name".
layer_uuid event.idm.read_only_udm.security_result.rule_set, event.idm.read_only_udm.security_result.detection_fields[].value Mappato direttamente dal campo layer_uuid dopo la rimozione delle parentesi graffe. La chiave è "layer_uuid".
layer_uuid_rule_uuid event.idm.read_only_udm.security_result.rule_id Mappato direttamente dal campo layer_uuid_rule_uuid dopo aver rimosso parentesi e virgolette.
log_id event.idm.read_only_udm.metadata.product_log_id Mappato direttamente dal campo log_id.
log_type event.idm.read_only_udm.metadata.log_type Mappato direttamente dal campo log_type. Hardcoded to "CHECKPOINT_FIREWALL".
loguid event.idm.read_only_udm.metadata.product_log_id Mappato direttamente dal campo loguid dopo la rimozione delle parentesi graffe.
logic_changes event.idm.read_only_udm.security_result.detection_fields[].value Mappato direttamente dal campo logic_changes. La chiave è "logic_changes".
localhost event.idm.read_only_udm.target.hostname, event.idm.read_only_udm.target.asset.hostname Mappato direttamente dal campo localhost. dst_ip è impostato su "127.0.0.1".
malware_action event.idm.read_only_udm.security_result.detection_fields[].value, event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value Mappato direttamente dal campo malware_action. La chiave è "malware_action".
malware_family event.idm.read_only_udm.security_result.detection_fields[].value, event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value Mappato direttamente dal campo malware_family. La chiave è "malware_family".
malware_rule_id event.idm.read_only_udm.security_result.detection_fields[].value Mappato direttamente dal campo malware_rule_id dopo la rimozione delle parentesi graffe. La chiave è "ID regola malware".
malware_rule_name event.idm.read_only_udm.security_result.detection_fields[].value Mappato direttamente dal campo malware_rule_name. La chiave è "Nome regola malware".
match_id event.idm.read_only_udm.security_result.detection_fields[].value Mappato direttamente dal campo match_id. La chiave è "match_id".
matched_category event.idm.read_only_udm.security_result.detection_fields[].value Mappato direttamente dal campo matched_category. La chiave è "matched_category".
message_info event.idm.read_only_udm.metadata.description Mappato direttamente dal campo message_info.
method event.idm.read_only_udm.network.http.method Mappato direttamente dal campo method.
mitre_execution event.idm.read_only_udm.additional.fields[].value.string_value Mappato direttamente dal campo mitre_execution. La chiave è "mitre_execution".
mitre_initial_access event.idm.read_only_udm.security_result.detection_fields[].value Mappato direttamente dal campo mitre_initial_access. La chiave è "mitre_initial_access".
nat_rulenum event.idm.read_only_udm.security_result.rule_id Mappato direttamente dal campo nat_rulenum, convertito in una stringa.
objecttype event.idm.read_only_udm.security_result.detection_fields[].value Mappato direttamente dal campo objecttype. La chiave è "objecttype".
operation event.idm.read_only_udm.security_result.summary Mappato direttamente dal campo operation.
operation event.idm.read_only_udm.security_result.detection_fields[].value Mappato direttamente dal campo operation. La chiave è "operation".
orig event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname Mappato direttamente dal campo orig.
origin event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip, event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip, event.idm.read_only_udm.intermediary.ip Mappato direttamente dal campo origin.
origin_sic_name event.idm.read_only_udm.intermediary.asset_id, event.idm.read_only_udm.intermediary.labels[].value Mappato direttamente dal campo origin_sic_name. La chiave è "SIC macchina". L'ID risorsa è preceduto dal prefisso "asset:".
originsicname event.idm.read_only_udm.additional.fields[].value.string_value Mappato direttamente dal campo originsicname. La chiave è "originsicname".
originsicname event.idm.read_only_udm.intermediary.asset_id, event.idm.read_only_udm.intermediary.labels[].value Mappato direttamente dal campo originsicname. La chiave è "SIC macchina". L'ID risorsa è preceduto dal prefisso "asset:".
os_name event.idm.read_only_udm.principal.asset.platform_software.platform Se os_name contiene "Win", viene mappato a "WINDOWS". Se contiene "MAC" o "IOS", viene mappato a "MAC". Se contiene "LINUX", viene mappato a "LINUX".
os_version event.idm.read_only_udm.principal.asset.platform_software.platform_patch_level Mappato direttamente dal campo os_version.
outzone event.idm.read_only_udm.security_result.detection_fields[].value Mappato direttamente dal campo outzone. La chiave è "outzone".
packets event.idm.read_only_udm.additional.fields[].value.string_value Mappato direttamente dal campo packets. La chiave è "packets".
packet_capture_name event.idm.read_only_udm.additional.fields[].value.string_value Mappato direttamente dal campo packet_capture_name. La chiave è "packet_capture_name".
packet_capture_time event.idm.read_only_udm.additional.fields[].value.string_value Mappato direttamente dal campo packet_capture_time. La chiave è "packet_capture_time".
packet_capture_unique_id event.idm.read_only_udm.additional.fields[].value.string_value Mappato direttamente dal campo packet_capture_unique_id. La chiave è "packet_capture_unique_id".
parent_rule event.idm.read_only_udm.security_result.detection_fields[].value Mappato direttamente dal campo parent_rule. La chiave è "parent_rule".
performance_impact event.idm.read_only_udm.additional.fields[].value.string_value Mappato direttamente dal campo performance_impact. La chiave è "performance_impact".
policy_name event.idm.read_only_udm.security_result.detection_fields[].value Estratto dal campo __policy_id_tag utilizzando grok e mappato. La chiave è "Nome norma".
policy_time event.idm.read_only_udm.security_result.detection_fields[].value Mappato direttamente dal campo policy_time. La chiave è "policy_time".
portal_message event.idm.read_only_udm.security_result.description Mappato direttamente dal campo portal_message.
principal_hostname event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip Mappato direttamente dal campo principal_hostname se si tratta di un indirizzo IP valido.
principal_hostname event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname Mappato direttamente dal campo principal_hostname se non è un indirizzo IP valido e non è "Punto di controllo".
prod_family_label event.idm.read_only_udm.additional.fields[].value.string_value Mappato direttamente dal campo ProductFamily. La chiave è "ProductFamily".
product event.idm.read_only_udm.metadata.product_name Mappato direttamente dal campo product.
product_family event.idm.read_only_udm.additional.fields[].value.string_value Mappato direttamente dal campo product_family. La chiave è "product_family".
product_family event.idm.read_only_udm.additional.fields[].value.string_value Mappato direttamente dal campo product_family. La chiave è "product_family".
ProductName event.idm.read_only_udm.metadata.product_name Mappato direttamente dal campo ProductName quando product è vuoto.
product_name event.idm.read_only_udm.metadata.product_name Mappato direttamente dal campo product_name.
profile event.idm.read_only_udm.security_result.detection_fields[].value Mappato direttamente dal campo profile. La chiave è "profile".
protocol event.idm.read_only_udm.network.application_protocol Mappato direttamente dal campo protocol se è "HTTP".
proxy_src_ip event.idm.read_only_udm.principal.nat_ip Mappato direttamente dal campo proxy_src_ip.
reason event.idm.read_only_udm.security_result.summary Mappato direttamente dal campo reason.
received_bytes event.idm.read_only_udm.network.received_bytes Mappato direttamente dal campo received_bytes, convertito in un numero intero non firmato.
Reference event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value, event.idm.read_only_udm.security_result.detection_fields[].value Mappato direttamente dal campo Reference. La chiave è "Reference". Utilizzato per costruire _vuln.name con attack.
reject_id_kid event.idm.read_only_udm.security_result.detection_fields[].value Mappato direttamente dal campo reject_id_kid. La chiave è "reject_id_kid".
resource event.idm.read_only_udm.target.url Analizzati come JSON e mappati all'URL di destinazione. Se l'analisi non va a buon fine, l'attributo viene mappato direttamente.
resource event.idm.read_only_udm.additional.fields[].value.list_value.values[].string_value Analizza come JSON e ogni valore nell'array resource viene aggiunto all'elenco. La chiave è "Risorsa".
result event.idm.read_only_udm.metadata.event_timestamp Analizzata con date_time per creare il timestamp dell'evento.
rt event.idm.read_only_udm.metadata.event_timestamp Analizzati come millisecondi dall'epoca e convertiti in un timestamp.
rule event.idm.read_only_udm.security_result.rule_name Mappato direttamente dal campo rule.
rule_action event.idm.read_only_udm.security_result.detection_fields[].value Mappato direttamente dal campo rule_action. La chiave è "rule_action".
rule_name event.idm.read_only_udm.security_result.rule_name Mappato direttamente dal campo rule_name.
rule_uid event.idm.read_only_udm.security_result.rule_id Mappato direttamente dal campo rule_uid.
s_port event.idm.read_only_udm.principal.port Mappato direttamente dal campo s_port, convertito in un numero intero.
scheme event.idm.read_only_udm.additional.fields[].value.string_value Mappato direttamente dal campo scheme. La chiave è "scheme".
security_inzone event.idm.read_only_udm.security_result.detection_fields[].value Mappato direttamente dal campo security_inzone. La chiave è "security_inzone".
security_outzone event.idm.read_only_udm.security_result.detection_fields[].value Mappato direttamente dal campo security_outzone. La chiave è "security_outzone".
security_result_action event.idm.read_only_udm.security_result.action Mappato direttamente dal campo security_result_action.
sendtotrackerasadvancedauditlog event.idm.read_only_udm.security_result.detection_fields[].value Mappato direttamente dal campo sendtotrackerasadvancedauditlog. La chiave è "sendtotrackerasadvancedauditlog".
sent_bytes event.idm.read_only_udm.network.sent_bytes Mappato direttamente dal campo sent_bytes, convertito in un numero intero non firmato.
sequencenum event.idm.read_only_udm.additional.fields[].value.string_value Mappato direttamente dal campo sequencenum. La chiave è "sequencenum".
ser_agent_kid event.idm.read_only_udm.security_result.detection_fields[].value Mappato direttamente dal campo ser_agent_kid. La chiave è "ser_agent_kid".
service event.idm.read_only_udm.target.port Mappato direttamente dal campo service, convertito in un numero intero.
service_id event.idm.read_only_udm.network.application_protocol Mappato direttamente dal campo service_id se è "dhcp", "dns", "http", "https" o "quic", convertito in maiuscolo.
service_id event.idm.read_only_udm.principal.application Mappato direttamente dal campo service_id se non è uno dei protocolli di applicazione di rete.
service_id event.idm.read_only_udm.security_result.detection_fields[].value Mappato direttamente dal campo service_id. La chiave è "service_id".
session_description event.idm.read_only_udm.security_result.detection_fields[].value Mappato direttamente dal campo session_description. La chiave è "session_description".
session_id event.idm.read_only_udm.network.session_id Mappato direttamente dal campo session_id dopo la rimozione delle parentesi graffe.
session_name event.idm.read_only_udm.security_result.detection_fields[].value Mappato direttamente dal campo session_name. La chiave è "session_name".
session_uid event.idm.read_only_udm.network.session_id Mappato direttamente dal campo session_uid dopo la rimozione delle parentesi graffe.
Severity event.idm.read_only_udm.security_result.severity Mappato a "LOW", "MEDIUM", "HIGH" o "CRITICAL" in base al valore di Severity.
severity event.idm.read_only_udm.security_result.severity Mappato a "LOW", "MEDIUM", "HIGH" o "CRITICAL" in base al valore di severity.
site event.idm.read_only_udm.network.http.user_agent Mappato direttamente dal campo site.
smartdefense_profile event.idm.read_only_udm.security_result.detection_fields[].value Mappato direttamente dal campo smartdefense_profile. La chiave è "smartdefense_profile".
snid event.idm.read_only_udm.network.session_id Mappato direttamente dal campo snid se non è vuoto o "0".
sourceAddress event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip Mappato direttamente dal campo sourceAddress.
sourcePort event.idm.read_only_udm.principal.port Mappato direttamente dal campo sourcePort, convertito in un numero intero.
sourceTranslatedAddress event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip Mappato direttamente dal campo sourceTranslatedAddress.
sourceTranslatedAddress event.idm.read_only_udm.principal.nat_ip Mappato direttamente dal campo sourceTranslatedAddress.
sourceTranslatedPort event.idm.read_only_udm.principal.port Mappato direttamente dal campo sourceTranslatedPort, convertito in un numero intero.
sourceTranslatedPort event.idm.read_only_udm.principal.nat_port Mappato direttamente dal campo sourceTranslatedPort, convertito in un numero intero.
sourceUserName event.idm.read_only_udm.principal.user.userid, event.idm.read_only_udm.principal.user.first_name, event.idm.read_only_udm.principal.user.last_name Analizzati utilizzando grok per estrarre userid, nome e cognome.
spt event.idm.read_only_udm.principal.port Mappato direttamente dal campo spt, convertito in un numero intero.
src event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip Mappato direttamente dal campo src.
src_ip event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip Mappato direttamente dal campo src_ip.
src_localhost event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname Mappato direttamente dal campo src_localhost. src_ip è impostato su "127.0.0.1".
src_machine_name event.idm.read_only_udm.security_result.detection_fields[].value Mappato direttamente dal campo src_machine_name. La chiave è "src_machine_name".
src_port event.idm.read_only_udm.principal.port Mappato direttamente dal campo src_port, convertito in un numero intero.
src_user event.idm.read_only_udm.principal.user.userid Mappato direttamente dal campo src_user.
src_user_dn event.idm.read_only_udm.security_result.detection_fields[].value Mappato direttamente dal campo src_user_dn. La chiave è "src_user_dn".
src_user_name event.idm.read_only_udm.principal.user.userid Mappato direttamente dal campo src_user_name.
sub_policy_name event.idm.read_only_udm.security_result.detection_fields[].value Mappato direttamente dal campo sub_policy_name. La chiave è "sub_policy_name".
sub_policy_uid event.idm.read_only_udm.security_result.detection_fields[].value Mappato direttamente dal campo sub_policy_uid. La chiave è "sub_policy_uid".
subject event.idm.read_only_udm.security_result.detection_fields[].value Mappato direttamente dal campo subject. La chiave è "subject".
subscription_stat_desc event.idm.read_only_udm.security_result.summary Mappato direttamente dal campo subscription_stat_desc.
tags event.idm.read_only_udm.security_result.detection_fields[].value Mappato direttamente dal campo tags. La chiave è "tags".
tar_user event.idm.read_only_udm.target.user.userid Mappato direttamente dal campo tar_user.
target_port event.idm.read_only_udm.target.port Mappato direttamente dal campo target_port.
tcp_flags event.idm.read_only_udm.security_result.detection_fields[].value Mappato direttamente dal campo tcp_flags. La chiave è "tcp_flags".
tcp_packet_out_of_state event.idm.read_only_udm.security_result.detection_fields[].value Mappato direttamente dal campo tcp_packet_out_of_state. La chiave è "tcp_packet_out_of_state".
time event.idm.read_only_udm.metadata.event_timestamp Analizzati e convertiti in un timestamp utilizzando vari formati di data.
ts event.idm.read_only_udm.metadata.event_timestamp Analizzati con ds e tz per creare il timestamp dell'evento.
type event.idm.read_only_udm.security_result.rule_type Mappato direttamente dal campo type.
tz event.idm.read_only_udm.metadata.event_timestamp Utilizzato con ds e ts per creare il timestamp dell'evento.
update_count event.idm.read_only_udm.security_result.detection_fields[].value Mappato direttamente dal campo update_count. La chiave è "update_count".
URL event.idm.read_only_udm.security_result.about.url Mappato direttamente dal campo URL.
user event.idm.read_only_udm.principal.user.userid Mappato direttamente dal campo user.
user_agent event.idm.read_only_udm.network.http.user_agent Mappato direttamente dal campo user_agent. Inoltre, viene analizzato e mappato a event.idm.read_only_udm.network.http.parsed_user_agent.
userip event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip Mappato direttamente dal campo userip se si tratta di un indirizzo IP valido.
UUid event.idm.read_only_udm.metadata.product_log_id Mappato direttamente dal campo UUid dopo la rimozione delle parentesi graffe.
version event.idm.read_only_udm.metadata.product_version Mappato direttamente dal campo version.
web_client_type event.idm.read_only_udm.network.http.user_agent Mappato direttamente dal campo web_client_type.
xlatedport event.idm.read_only_udm.target.nat_port Mappato direttamente dal campo xlatedport, convertito in un numero intero.
xlatedst event.idm.read_only_udm.target.nat_ip Mappato direttamente dal campo xlatedst.
xlatesport event.idm.read_only_udm.principal.nat_port Mappato direttamente dal campo xlatesport, convertito in un numero intero.
xlatesrc event.idm.read_only_udm.principal.nat_ip Mappato direttamente dal campo xlatesrc.
event.idm.read_only_udm.metadata.vendor_name Check Point Valore hardcoded.
event.idm.read_only_udm.metadata.log_type CHECKPOINT_FIREWALL Valore hardcoded.
event.idm.read_only_udm.security_result.rule_type Firewall Rule Valore predefinito, a meno che non venga ignorato da una logica specifica.
event.idm.is_alert true Imposta su true se il campo alert è "yes".
has_principal true Impostato su true quando viene estratto l'indirizzo IP o il nome host principale.
has_target true Impostato su true quando viene estratto l'indirizzo IP o il nome host di destinazione.

Modifiche

2024-05-29

  • "layer_uuid_rule_uuid" è stato mappato a "security_result.rule_id".
  • "domain" è stato mappato a "principal.administrative_domain".
  • "fservice", "appi_name", "app_risk" e "policy_name" sono stati mappati a "security_result.detection_fields".
  • "packets", "__id", "dedup_time", "browse_time", "bytes", "product_family", "hll_key" e "calc_service" sono stati mappati a "additional.fields".
  • "id" è stato mappato a "metadata.product_log_id".
  • "orig_log_server" è stato mappato a "principal.resource.product_object_id".
  • "environment_id" è stato mappato a "target.resource.product_object_id".
  • "client_outbound_packets" e "client_inbound_packets" sono stati mappati a "principal.resource.attribute.labels".
  • "server_outbound_bytes" e "server_inbound_bytes" sono stati mappati a "target.resource.attribute.labels".
  • "orig" è stato mappato a "principal.hostname" e "principal.asset.hostname".
  • "orig_log_server_ip" è stato mappato a "principal.ip" e "principal.asset.ip".
  • "proto" è stato mappato a "network.ip_protocol".

2024-05-20

  • È stato aggiunto un pattern Grok per estrarre "inter_host".
  • "inter_host" è stato mappato a "intermediary.hostname".

2024-04-19

  • Miglioramento e correzione di bug:
  • "origin" è stato mappato a "target.ip" e "target.asset.ip".
  • Sono stati aggiunti nuovi pattern Grok per analizzare il nuovo formato dei log SYSLOG.
  • "smartdefense_profile", "malware_rule_id" e "malware_rule_name" sono stati mappati a "security_result.detection_fields".
  • Ho mappato "sequencenum", "description_url", "industry_reference", "mitre_execution", "packet_capture_name", "packet_capture_unique_id", "packet_capture_time" e "performance_impact" a "additional.fields".
  • "version" è stato mappato a "metadata.product_version".
  • "http_host" è stato mappato a "target.resource.attribute.labels".
  • "log_id" è stato mappato a "metadata.product_log_id".
  • "user_agent" è stato mappato a "network.http.user_agent" e "http.parsed_user_agent".
  • "hostname", "dvc" e "principal_hostname" sono stati mappati a "target.hostname" e "target.asset.hostname".
  • Se "has_principal" è "true", "has_target" è "true" ed "Action"/"action" è "Log In" o "Failed Log In" o "Failed Login" o "Update", imposta "metadata.event_type" su "USER_LOGIN" ed "extensions.auth.type" su "AUTHTYPE_UNSPECIFIED".
  • Se "has_principal" è "true", "has_target" è "true" ed "Action"/"act"/"event_type" è "Log Out" o "Logout", imposta "metadata.event_type" su "USER_LOGOUT" ed "extensions.auth.type" su "AUTHTYPE_UNSPECIFIED".
  • Se "has_principal" è "true", "has_target" è "true", imposta "metadata.event_type" su "NETWORK_CONNECTION".
  • Se "has_principal" è "true", "has_target" è "false", imposta "metadata.event_type" su "STATUS_UPDATE".

2024-02-07

  • è stata aggiunta la mappatura per i seguenti campi:
  • "protection_id", "malware_action", "malware_family,protection_name", "protection_type" sono stati mappati a "security_result.detection_fields".
  • "confidence_level" è stato mappato a "security_result.confidence" e "security_result.confidence_details".

2024-02-05

  • è stata aggiunta la mappatura per i seguenti campi:
  • "method" è stato mappato a "network.http.method".

2024-01-24

  • è stata aggiunta la mappatura per i seguenti campi:
  • "method" è stato mappato a "network.http.method".
  • "duration" è stato mappato a "network.session_duration.seconds".
  • "additional_info" è stato mappato a "security_result.description".
  • "operation" è stato mappato a "security_result.summary".
  • "subject" è stato mappato a "metadata.description".
  • "principal_hostname" è stato mappato a "intermediary.hostname".
  • "tcp_packet_out_of_state", "aggregated_log_count", "connection_count", "appi_name", "src_user_dn",
  • "update_count", "additional_info", "administrator", "operation", "sendtotrackerasadvancedauditlog",
  • "subject", "fieldschanges", "logic_changes", "objecttype", "session_description",
  • "session_name" a "security_result.detection_fields".

2023-12-27

  • è stata aggiunta la mappatura per i seguenti campi:
  • "flags" è stato mappato a "security_result.detection_fields".
  • "tcp_flags" è stato mappato a "security_result.detection_fields".
  • "tcp_packet_out_of_state" è stato mappato a "security_result.detection_fields".

2023-12-11

  • Se "principal_hostname" è un indirizzo IP valido, mappalo a "principal.ip".
  • Se "principal_hostname" non è un indirizzo IP valido, mappalo a "principal.hostname".
  • "sport_svc" è stato mappato a "principal.port".
  • "ProductFamily" è stato mappato a "additional.fields".
  • "mitre_initial_access" è stato mappato a "security_result.detection_fields".
  • "policy_time" è stato mappato a "security_result.detection_fields".
  • "profile" è stato mappato a "security_result.detection_fields".
  • "reject_id_kid" è stato mappato a "security_result.detection_fields".
  • "ser_agent_kid" è stato mappato a "security_result.detection_fields".

2023-10-11

  • Se "product" è "New Anti Virus", la mappatura da "firewall management node" a "principal.hostname" viene rimossa e mappata a "security_result.detection_fields".

2023-07-06

  • è stata aggiunta la mappatura per i seguenti campi:
  • "app_category" è stato mappato a "security_result.category_details".
  • "matched_category" è stato mappato a "security_result.detection_fields".
  • "app_properties" è stato mappato a "security_result.detection_fields".

2023-06-14

  • è stata aggiunta la mappatura per i seguenti campi
  • "conn_direction" è stato mappato a "additional.fields".
  • Modifica di gsub per non sostituire il ":" con "=" dai valori effettivi.

2023-05-12

  • è stata aggiunta la mappatura per i seguenti campi
  • "rule_name" è stato mappato a "security_result.rule_name".
  • Sono stati mappati "rule","sub_policy_name","sub_policy_uid","smartdefense_profile","tags","flexString2" a "security_result.detection_fields".
  • È stato aggiunto un nuovo pattern Grok per supportare i nuovi formati di log.
  • "dvc" è stato mappato a "intermediary.hostname".
  • "hostname" è stato mappato a "intermediary.hostname".
  • "origin_sic_name" è stato mappato a "intermediary.asset_id".
  • "conn_direction" è stato mappato a "network.ip_protocol".
  • "ifname" è stato mappato a "security_result.detection_fields".
  • "security_inzone" è stato mappato a "security_result.detection_fields".
  • "match_id" è stato mappato a "security_result.detection_fields".
  • "parent_rule" è stato mappato a "security_result.detection_fields".
  • "security_outzone" è stato mappato a "security_result.detection_fields".
  • "sub_policy_name" è stato mappato a "security_result.detection_fields".
  • "sub_policy_uid" è stato mappato a "security_result.detection_fields".
  • "drop_reason" è stato mappato a "security_result.summary".
  • "reason" è stato mappato a "security_result.summary".
  • "xlatesport" è stato mappato a "principal.nat_port".
  • "xlatedport" è stato mappato a "target.nat_port".
  • "ipv6_dst" è stato mappato a "target.ip".
  • "ipv6_src" è stato mappato a "principal.ip".

2023-04-24

  • È stato aggiunto il supporto per i log con formato CEF.

2022-11-18

  • Ho modificato la mappatura di "service" e l'ho mappata a "target.port".

2022-10-27

  • È stato aggiunto il controllo condizionale per "attack","attack_info","policy_name".
  • È stato aggiunto il pattern Grok per recuperare "principal_hostname".
  • È stato aggiunto gsub per cambiare "=" in ":".
  • È stata modificata la mappatura di "service" e mappata a "target.resource.attribute.labels".

2022-10-13

  • È stato mappato il campo "fw_subproduct" a "metadata.product_name".
  • È stato aggiunto il pattern grok per estrarre l'IP dal campo "src".

2022-08-30

  • Le modifiche delle versioni specifiche del cliente sono state unite a quelle predefinite.
  • I log contenenti "*****" in UserCheck non sono stati eliminati.

2022-08-18

  • "portal_message" è stato mappato a "security_result.description".
  • "security_result.category" è stato mappato come "SOFTWARE_MALICIOUS" nel caso in cui "portal_message" contenga le parole chiave "malware/malicious".
  • "URL" è stato mappato a "security_result.about.url".
  • "Attività" è stato mappato a "security_result.summary".
  • "Riferimento" è stato mappato a "security_result.about.resource.attribute.labels".
  • Modificato "event_type" da "GENERIC_EVENT" a "STATUS_UPDATE" replicando il valore di "intermediary.ip" in "principal.ip".

2022-08-12

  • "malware_action", "malware_family,protection_name", "protection_type" sono stati mappati a "security_result.about.resource.attribute.labels".
  • "src_machine_name" è stato mappato a "security_result.detection_fields".

2022-06-30

  • "message_info" è stato mappato a "metadata.description".

2022-06-17

  • Sono stati aggiunti controlli condizionali per i campi "nat_rulenum", "rule", "sent_bytes", "received_bytes", "s_port", "service".
  • Event_types modificato per i seguenti casi:
  • "GENERIC_EVENT" a "NETWORK_CONNECTION" dove "principal.ip o principal.hostname" e "target.ip o target.hostname" non sono null.
  • "GENERIC_EVENT" in "STATUS_UNCATEGORIZED" dove "principal.ip o principal.hostname" non è nullo.

2022-06-14

  • È stato modificato il parser per analizzare più log rimuovendo il controllo della condizione per passwd.

2022-06-07

  • È stata mappata la stringa src_machine_name a security_result.detection_fields.

2022-05-19

  • I campi inzone, outzone, layer_name, layer_uuid e policy_name sono stati mappati a security_result.detection_fields.
  • Service_id è stato mappato a principal.application.