Check Point ファイアウォールログを収集する

以下でサポートされています。

Google SecOpsSIEM

このパーサーは Check Point ファイアウォールのログを抽出します。CEF 形式と CEF 以外の形式のメッセージ（syslog、Key-Value ペア、JSON など）の両方を処理します。フィールドを正規化し、UDM にマッピングし、ログイン / ログアウト、ネットワーク接続、セキュリティイベントに関する特定のロジックを実行します。位置情報や脅威インテリジェンスなどのコンテキスト情報をデータに追加します。

始める前に

Google Security Operations インスタンスがあることを確認します。
Windows 2016 以降、または systemd を使用した Linux ホストを使用していることを確認します。
プロキシの背後で実行している場合は、ファイアウォールのポートが開いていることを確認します。
Check Point ファイアウォールへの特権アクセス権があることを確認します。

Google SecOps 取り込み認証ファイルを取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [収集エージェント] に移動します。
取り込み認証ファイルをダウンロードします。

Google SecOps のお客様 ID を取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [プロファイル] に移動します。
[組織の詳細] セクションから [お客様 ID] をコピーして保存します。

BindPlane Agent をインストールする

Windows へのインストールの場合は、次のスクリプトを実行します。
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux へのインストールの場合は、次のスクリプトを実行します。
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
その他のインストールオプションについては、こちらのインストールガイドをご覧ください。

Syslog を取り込んで Google SecOps に送信するように BindPlane Agent を構成する

BindPlane がインストールされているマシンにアクセスします。

config.yaml ファイルを次のように編集します。

receivers:
    udplog:
        # Replace the below port <54525> and IP <0.0.0.0> with your specific values
        listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: Checkpoint_Firewall
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

BindPlane Agent を再起動して変更を適用します。
```
sudo systemctl restart bindplane
```

Check Point Firewall で Syslog Export を構成する

特権アカウントを使用して Check Point ファイアウォールの UI にログインします。
[ログとモニタリング] > [ログサーバー] に移動します。
[Syslog サーバー] に移動します。
[構成] をクリックして、次の値を設定します。
- プロトコル: セキュリティログやシステムログを送信するには、[UDP] を選択します。
- 名前: 一意の名前を指定します（例: Bindplane_Server）。
- IP アドレス: Syslog サーバーの IP アドレス（Bindplane IP）を指定します。
- ポート: Syslog サーバーポート（Bindplane ポート）を指定します。
[ログサーバーを有効にする] を選択します。
転送するログを選択します。[システムログとセキュリティログの両方] を選択します。
[適用] をクリックします。

UDM マッピングテーブル

ログフィールド	UDM マッピング	論理
`Action`	`event.idm.read_only_udm.security_result.action_details`	`Action` フィールドから直接マッピングされます。
`Activity`	`event.idm.read_only_udm.security_result.summary`	`Activity` フィールドから直接マッピングされます。
`additional_info`	`event.idm.read_only_udm.security_result.description`	`additional_info` フィールドから直接マッピングされます。
`administrator`	`event.idm.read_only_udm.security_result.detection_fields[].value`	`administrator` フィールドから直接マッピングされます。キーは「administrator」です。
`aggregated_log_count`	`event.idm.read_only_udm.security_result.detection_fields[].value`	`aggregated_log_count` フィールドから直接マッピングされます。キーは「aggregated_log_count」です。
`appi_name`	`event.idm.read_only_udm.security_result.detection_fields[].value`	`appi_name` フィールドから直接マッピングされます。キーは「appi_name」です。
`app_category`	`event.idm.read_only_udm.security_result.category_details`	`app_category` フィールドから直接マッピングされます。
`app_properties`	`event.idm.read_only_udm.security_result.detection_fields[].value`	`app_properties` フィールドから直接マッピングされます。キーは「app_properties」です。
`app_risk`	`event.idm.read_only_udm.security_result.detection_fields[].value`	`app_risk` フィールドから直接マッピングされます。キーは「app_risk」です。
`app_session_id`	`event.idm.read_only_udm.network.session_id`	`app_session_id` フィールドから直接マッピングされ、文字列に変換されます。
`attack`	`event.idm.read_only_udm.security_result.summary`	`Info` が存在する場合は、`attack` フィールドから直接マッピングされます。
`attack`	`event.idm.read_only_udm.security_result.threat_name`	`Info` が存在する場合は、`attack` フィールドから直接マッピングされます。
`attack_info`	`event.idm.read_only_udm.security_result.description`	`attack_info` フィールドから直接マッピングされます。
`auth_status`	`event.idm.read_only_udm.security_result.summary`	`auth_status` フィールドから直接マッピングされます。
`browse_time`	`event.idm.read_only_udm.additional.fields[].value.string_value`	`browse_time` フィールドから直接マッピングされます。キーは「browse_time」です。
`bytes`	`event.idm.read_only_udm.additional.fields[].value.string_value`	`bytes` フィールドから直接マッピングされます。キーは「bytes」です。
`bytes`	`event.idm.read_only_udm.additional.fields[].value.string_value`	`bytes` フィールドから直接マッピングされます。キーは「bytes」です。
`calc_service`	`event.idm.read_only_udm.additional.fields[].value.string_value`	`calc_service` フィールドから直接マッピングされます。キーは「calc_service」です。
`category`	`event.idm.read_only_udm.security_result.category_details`	`category` フィールドから直接マッピングされます。
`client_version`	`event.idm.read_only_udm.intermediary.platform_version`	`client_version` フィールドから直接マッピングされます。
`conn_direction`	`event.idm.read_only_udm.additional.fields[].value.string_value`	`conn_direction` フィールドから直接マッピングされます。キーは「conn_direction」です。
`conn_direction`	`event.idm.read_only_udm.network.direction`	`conn_direction` が「Incoming」の場合は、「INBOUND」にマッピングされます。それ以外の場合は「OUTBOUND」にマッピングされます。
`connection_count`	`event.idm.read_only_udm.security_result.detection_fields[].value`	`connection_count` フィールドから直接マッピングされます。キーは「connection_count」です。
`contract_name`	`event.idm.read_only_udm.security_result.description`	`contract_name` フィールドから直接マッピングされます。
`cs2`	`event.idm.read_only_udm.security_result.rule_name`	`cs2` フィールドから直接マッピングされます。
`date_time`	`event.idm.read_only_udm.metadata.event_timestamp`	解析され、さまざまな日付形式を使用してタイムスタンプに変換されます。
`dedup_time`	`event.idm.read_only_udm.additional.fields[].value.string_value`	`dedup_time` フィールドから直接マッピングされます。キーは「dedup_time」です。
`desc`	`event.idm.read_only_udm.security_result.summary`	`desc` フィールドから直接マッピングされます。
`description`	`event.idm.read_only_udm.security_result.description`	`description` フィールドから直接マッピングされます。
`description_url`	`event.idm.read_only_udm.additional.fields[].value.string_value`	`description_url` フィールドから直接マッピングされます。キーは「description_url」です。
`destinationAddress`	`event.idm.read_only_udm.target.ip`、`event.idm.read_only_udm.target.asset.ip`	`destinationAddress` フィールドから直接マッピングされます。
`destinationPort`	`event.idm.read_only_udm.target.port`	`destinationPort` フィールドから直接マッピングされ、整数に変換されます。
`destinationTranslatedAddress`	`event.idm.read_only_udm.target.ip`、`event.idm.read_only_udm.target.asset.ip`	`destinationTranslatedAddress` フィールドから直接マッピングされます。
`destinationTranslatedAddress`	`event.idm.read_only_udm.target.nat_ip`	`destinationTranslatedAddress` フィールドから直接マッピングされます。
`destinationTranslatedPort`	`event.idm.read_only_udm.target.port`	`destinationTranslatedPort` フィールドから直接マッピングされ、整数に変換されます。
`destinationTranslatedPort`	`event.idm.read_only_udm.target.nat_port`	`destinationTranslatedPort` フィールドから直接マッピングされ、整数に変換されます。
`deviceCustomString2`	`event.idm.read_only_udm.security_result.rule_name`	`deviceCustomString2` フィールドから直接マッピングされます。
`deviceDirection`	`event.idm.read_only_udm.network.direction`	`deviceDirection` が 0 の場合、「OUTBOUND」にマッピングされます。1 の場合、「INBOUND」にマッピングされます。
`domain`	`event.idm.read_only_udm.principal.administrative_domain`	`domain` フィールドから直接マッピングされます。
`domain_name`	`event.idm.read_only_udm.principal.administrative_domain`	`domain_name` フィールドから直接マッピングされます。
`drop_reason`	`event.idm.read_only_udm.security_result.summary`	`drop_reason` フィールドから直接マッピングされます。
`ds`	`event.idm.read_only_udm.metadata.event_timestamp`	`ts` と `tz` とともに使用して、イベントタイムスタンプを作成します。
`dst`	`event.idm.read_only_udm.target.ip`、`event.idm.read_only_udm.target.asset.ip`	`dst` フィールドから直接マッピングされます。
`dst_country`	`event.idm.read_only_udm.target.location.country_or_region`	`dst_country` フィールドから直接マッピングされます。
`dst_ip`	`event.idm.read_only_udm.target.ip`、`event.idm.read_only_udm.target.asset.ip`	`dst_ip` フィールドから直接マッピングされます。
`dpt`	`event.idm.read_only_udm.target.port`	`dpt` フィールドから直接マッピングされ、整数に変換されます。
`duration`	`event.idm.read_only_udm.network.session_duration.seconds`	`duration` フィールドから直接マッピングされ、0 より大きい場合は整数に変換されます。
`duser`	`event.idm.read_only_udm.target.user.email_addresses`、`event.idm.read_only_udm.target.user.user_display_name`	メールアドレスの形式と一致する場合は、`duser` フィールドから直接マッピングされます。
`environment_id`	`event.idm.read_only_udm.target.resource.product_object_id`	`environment_id` フィールドから直接マッピングされます。
`event_type`	`event.idm.read_only_udm.metadata.event_type`	特定のフィールドと値の存在に基づくロジックによって決定されます。特定のイベントタイプが特定されていない場合、デフォルトは `GENERIC_EVENT` です。`NETWORK_CONNECTION`、`USER_LOGIN`、`USER_CHANGE_PASSWORD`、`USER_LOGOUT`、`NETWORK_HTTP`、`STATUS_UPDATE` のいずれかです。
`fieldschanges`	`event.idm.read_only_udm.security_result.detection_fields[].value`	`fieldschanges` フィールドから直接マッピングされます。キーは「fieldschanges」です。
`flags`	`event.idm.read_only_udm.security_result.detection_fields[].value`	`flags` フィールドから直接マッピングされます。キーは「flags」です。
`flexString2`	`event.idm.read_only_udm.security_result.detection_fields[].value`	`flexString2` フィールドから直接マッピングされます。キーは `flexString2Label` の値です。
`from_user`	`event.idm.read_only_udm.principal.user.userid`	`from_user` フィールドから直接マッピングされます。
`fservice`	`event.idm.read_only_udm.security_result.detection_fields[].value`	`fservice` フィールドから直接マッピングされます。キーは「fservice」です。
`fw_subproduct`	`event.idm.read_only_udm.metadata.product_name`	`product` が空の場合、`fw_subproduct` フィールドから直接マッピングされます。
`geoip_dst.country_name`	`event.idm.read_only_udm.target.location.country_or_region`	`geoip_dst.country_name` フィールドから直接マッピングされます。
`hll_key`	`event.idm.read_only_udm.additional.fields[].value.string_value`	`hll_key` フィールドから直接マッピングされます。キーは「hll_key」です。
`hostname`	`event.idm.read_only_udm.target.hostname`、`event.idm.read_only_udm.target.asset.hostname`、`event.idm.read_only_udm.intermediary.hostname`	`inter_host` が空の場合、`hostname` フィールドから直接マッピングされます。
`http_host`	`event.idm.read_only_udm.target.resource.attribute.labels[].value`	`http_host` フィールドから直接マッピングされます。キーは「http_host」です。
`id`	`event.idm.read_only_udm.metadata.product_log_id`	`_id` フィールドから直接マッピングされます。
`identity_src`	`event.idm.read_only_udm.target.application`	`identity_src` フィールドから直接マッピングされます。
`identity_type`	`event.idm.read_only_udm.extensions.auth.type`	`identity_type` が「user」の場合、「VPN」にマッピングされます。それ以外の場合は「MACHINE」にマッピングされます。
`if_direction`	`event.idm.read_only_udm.network.direction`	`if_direction` フィールドから直接マッピングされ、大文字に変換されます。
`ifdir`	`event.idm.read_only_udm.network.direction`	`ifdir` フィールドから直接マッピングされ、大文字に変換されます。
`ifname`	`event.idm.read_only_udm.security_result.detection_fields[].value`	`ifname` フィールドから直接マッピングされます。キーは「ifname」です。
`IKE`	`event.idm.read_only_udm.metadata.description`	`IKE` フィールドから直接マッピングされます。
`inzone`	`event.idm.read_only_udm.security_result.detection_fields[].value`	`inzone` フィールドから直接マッピングされます。キーは「inzone」です。
`industry_reference`	`event.idm.read_only_udm.additional.fields[].value.string_value`	`industry_reference` フィールドから直接マッピングされます。キーは「industry_reference」です。
`instance_id`	`event.idm.read_only_udm.principal.hostname`、`event.idm.read_only_udm.principal.asset.hostname`	`instance_id` フィールドから直接マッピングされます。
`inter_host`	`event.idm.read_only_udm.intermediary.hostname`	`inter_host` フィールドから直接マッピングされます。
`ip_proto`	`event.idm.read_only_udm.network.ip_protocol`	`proto` フィールドまたは `service` フィールドに基づいて決定されます。TCP、UDP、ICMP、IP6IN4、GRE のいずれかです。
`ipv6_dst`	`event.idm.read_only_udm.target.ip`、`event.idm.read_only_udm.target.asset.ip`	`ipv6_dst` フィールドから直接マッピングされます。
`ipv6_src`	`event.idm.read_only_udm.principal.ip`、`event.idm.read_only_udm.principal.asset.ip`	`ipv6_src` フィールドから直接マッピングされます。
`layer_name`	`event.idm.read_only_udm.security_result.rule_set_display_name`、`event.idm.read_only_udm.security_result.detection_fields[].value`	`layer_name` フィールドから直接マッピングされます。キーは「layer_name」です。
`layer_uuid`	`event.idm.read_only_udm.security_result.rule_set`、`event.idm.read_only_udm.security_result.detection_fields[].value`	中かっこを削除した後、`layer_uuid` フィールドから直接マッピングされます。キーは「layer_uuid」です。
`layer_uuid_rule_uuid`	`event.idm.read_only_udm.security_result.rule_id`	角かっこと引用符を削除した後、`layer_uuid_rule_uuid` フィールドから直接マッピングされ
`log_id`	`event.idm.read_only_udm.metadata.product_log_id`	`log_id` フィールドから直接マッピングされます。
`log_type`	`event.idm.read_only_udm.metadata.log_type`	`log_type` フィールドから直接マッピングされます。「CHECKPOINT_FIREWALL」にハードコードされています。
`loguid`	`event.idm.read_only_udm.metadata.product_log_id`	中かっこを削除した後、`loguid` フィールドから直接マッピングされます。
`logic_changes`	`event.idm.read_only_udm.security_result.detection_fields[].value`	`logic_changes` フィールドから直接マッピングされます。キーは「logic_changes」です。
`localhost`	`event.idm.read_only_udm.target.hostname`、`event.idm.read_only_udm.target.asset.hostname`	`localhost` フィールドから直接マッピングされます。`dst_ip` は「127.0.0.1」に設定されています。
`malware_action`	`event.idm.read_only_udm.security_result.detection_fields[].value`、`event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value`	`malware_action` フィールドから直接マッピングされます。キーは「malware_action」です。
`malware_family`	`event.idm.read_only_udm.security_result.detection_fields[].value`、`event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value`	`malware_family` フィールドから直接マッピングされます。キーは「malware_family」です。
`malware_rule_id`	`event.idm.read_only_udm.security_result.detection_fields[].value`	中かっこを削除した後、`malware_rule_id` フィールドから直接マッピングされます。キーは「Malware Rule ID」です。
`malware_rule_name`	`event.idm.read_only_udm.security_result.detection_fields[].value`	`malware_rule_name` フィールドから直接マッピングされます。キーは「Malware Rule Name」です。
`match_id`	`event.idm.read_only_udm.security_result.detection_fields[].value`	`match_id` フィールドから直接マッピングされます。キーは「match_id」です。
`matched_category`	`event.idm.read_only_udm.security_result.detection_fields[].value`	`matched_category` フィールドから直接マッピングされます。キーは「matched_category」です。
`message_info`	`event.idm.read_only_udm.metadata.description`	`message_info` フィールドから直接マッピングされます。
`method`	`event.idm.read_only_udm.network.http.method`	`method` フィールドから直接マッピングされます。
`mitre_execution`	`event.idm.read_only_udm.additional.fields[].value.string_value`	`mitre_execution` フィールドから直接マッピングされます。キーは「mitre_execution」です。
`mitre_initial_access`	`event.idm.read_only_udm.security_result.detection_fields[].value`	`mitre_initial_access` フィールドから直接マッピングされます。キーは「mitre_initial_access」です。
`nat_rulenum`	`event.idm.read_only_udm.security_result.rule_id`	`nat_rulenum` フィールドから直接マッピングされ、文字列に変換されます。
`objecttype`	`event.idm.read_only_udm.security_result.detection_fields[].value`	`objecttype` フィールドから直接マッピングされます。キーは「objecttype」です。
`operation`	`event.idm.read_only_udm.security_result.summary`	`operation` フィールドから直接マッピングされます。
`operation`	`event.idm.read_only_udm.security_result.detection_fields[].value`	`operation` フィールドから直接マッピングされます。キーは「operation」です。
`orig`	`event.idm.read_only_udm.principal.hostname`、`event.idm.read_only_udm.principal.asset.hostname`	`orig` フィールドから直接マッピングされます。
`origin`	`event.idm.read_only_udm.principal.ip`、`event.idm.read_only_udm.principal.asset.ip`、`event.idm.read_only_udm.target.ip`、`event.idm.read_only_udm.target.asset.ip`、`event.idm.read_only_udm.intermediary.ip`	`origin` フィールドから直接マッピングされます。
`origin_sic_name`	`event.idm.read_only_udm.intermediary.asset_id`、`event.idm.read_only_udm.intermediary.labels[].value`	`origin_sic_name` フィールドから直接マッピングされます。キーは「Machine SIC」です。アセット ID には「asset:」という接頭辞が付いています。
`originsicname`	`event.idm.read_only_udm.additional.fields[].value.string_value`	`originsicname` フィールドから直接マッピングされます。キーは「originsicname」です。
`originsicname`	`event.idm.read_only_udm.intermediary.asset_id`、`event.idm.read_only_udm.intermediary.labels[].value`	`originsicname` フィールドから直接マッピングされます。キーは「Machine SIC」です。アセット ID には「asset:」という接頭辞が付いています。
`os_name`	`event.idm.read_only_udm.principal.asset.platform_software.platform`	`os_name` に「Win」が含まれている場合は、「WINDOWS」にマッピングされます。「MAC」または「IOS」が含まれている場合は、「MAC」にマッピングされます。「LINUX」が含まれている場合は、「LINUX」にマッピングされます。
`os_version`	`event.idm.read_only_udm.principal.asset.platform_software.platform_patch_level`	`os_version` フィールドから直接マッピングされます。
`outzone`	`event.idm.read_only_udm.security_result.detection_fields[].value`	`outzone` フィールドから直接マッピングされます。キーは「outzone」です。
`packets`	`event.idm.read_only_udm.additional.fields[].value.string_value`	`packets` フィールドから直接マッピングされます。キーは「packets」です。
`packet_capture_name`	`event.idm.read_only_udm.additional.fields[].value.string_value`	`packet_capture_name` フィールドから直接マッピングされます。キーは「packet_capture_name」です。
`packet_capture_time`	`event.idm.read_only_udm.additional.fields[].value.string_value`	`packet_capture_time` フィールドから直接マッピングされます。キーは「packet_capture_time」です。
`packet_capture_unique_id`	`event.idm.read_only_udm.additional.fields[].value.string_value`	`packet_capture_unique_id` フィールドから直接マッピングされます。キーは「packet_capture_unique_id」です。
`parent_rule`	`event.idm.read_only_udm.security_result.detection_fields[].value`	`parent_rule` フィールドから直接マッピングされます。キーは「parent_rule」です。
`performance_impact`	`event.idm.read_only_udm.additional.fields[].value.string_value`	`performance_impact` フィールドから直接マッピングされます。キーは「performance_impact」です。
`policy_name`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Grok を使用して `__policy_id_tag` フィールドから抽出され、マッピングされます。キーは「Policy Name」です。
`policy_time`	`event.idm.read_only_udm.security_result.detection_fields[].value`	`policy_time` フィールドから直接マッピングされます。キーは「policy_time」です。
`portal_message`	`event.idm.read_only_udm.security_result.description`	`portal_message` フィールドから直接マッピングされます。
`principal_hostname`	`event.idm.read_only_udm.principal.ip`、`event.idm.read_only_udm.principal.asset.ip`	有効な IP アドレスの場合は、`principal_hostname` フィールドから直接マッピングされます。
`principal_hostname`	`event.idm.read_only_udm.principal.hostname`、`event.idm.read_only_udm.principal.asset.hostname`	有効な IP アドレスでも「Checkpoint」でもない場合は、`principal_hostname` フィールドから直接マッピングされます。
`prod_family_label`	`event.idm.read_only_udm.additional.fields[].value.string_value`	`ProductFamily` フィールドから直接マッピングされます。キーは「ProductFamily」です。
`product`	`event.idm.read_only_udm.metadata.product_name`	`product` フィールドから直接マッピングされます。
`product_family`	`event.idm.read_only_udm.additional.fields[].value.string_value`	`product_family` フィールドから直接マッピングされます。キーは「product_family」です。
`product_family`	`event.idm.read_only_udm.additional.fields[].value.string_value`	`product_family` フィールドから直接マッピングされます。キーは「product_family」です。
`ProductName`	`event.idm.read_only_udm.metadata.product_name`	`product` が空の場合、`ProductName` フィールドから直接マッピングされます。
`product_name`	`event.idm.read_only_udm.metadata.product_name`	`product_name` フィールドから直接マッピングされます。
`profile`	`event.idm.read_only_udm.security_result.detection_fields[].value`	`profile` フィールドから直接マッピングされます。キーは「profile」です。
`protocol`	`event.idm.read_only_udm.network.application_protocol`	`protocol` フィールドが「HTTP」の場合、そのフィールドから直接マッピングされます。
`proxy_src_ip`	`event.idm.read_only_udm.principal.nat_ip`	`proxy_src_ip` フィールドから直接マッピングされます。
`reason`	`event.idm.read_only_udm.security_result.summary`	`reason` フィールドから直接マッピングされます。
`received_bytes`	`event.idm.read_only_udm.network.received_bytes`	`received_bytes` フィールドから直接マッピングされ、符号なし整数に変換されます。
`Reference`	`event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value`、`event.idm.read_only_udm.security_result.detection_fields[].value`	`Reference` フィールドから直接マッピングされます。キーは「Reference」です。`attack` を使用して `_vuln.name` を作成するために使用されます。
`reject_id_kid`	`event.idm.read_only_udm.security_result.detection_fields[].value`	`reject_id_kid` フィールドから直接マッピングされます。キーは「reject_id_kid」です。
`resource`	`event.idm.read_only_udm.target.url`	JSON として解析され、ターゲット URL にマッピングされます。解析に失敗した場合は、直接マッピングされます。
`resource`	`event.idm.read_only_udm.additional.fields[].value.list_value.values[].string_value`	JSON として解析され、`resource` 配列の各値がリストに追加されます。キーは「Resource」です。
`result`	`event.idm.read_only_udm.metadata.event_timestamp`	`date_time` で解析され、イベントタイムスタンプを作成します。
`rt`	`event.idm.read_only_udm.metadata.event_timestamp`	エポックからのミリ秒として解析され、タイムスタンプに変換されます。
`rule`	`event.idm.read_only_udm.security_result.rule_name`	`rule` フィールドから直接マッピングされます。
`rule_action`	`event.idm.read_only_udm.security_result.detection_fields[].value`	`rule_action` フィールドから直接マッピングされます。キーは「rule_action」です。
`rule_name`	`event.idm.read_only_udm.security_result.rule_name`	`rule_name` フィールドから直接マッピングされます。
`rule_uid`	`event.idm.read_only_udm.security_result.rule_id`	`rule_uid` フィールドから直接マッピングされます。
`s_port`	`event.idm.read_only_udm.principal.port`	`s_port` フィールドから直接マッピングされ、整数に変換されます。
`scheme`	`event.idm.read_only_udm.additional.fields[].value.string_value`	`scheme` フィールドから直接マッピングされます。キーは「scheme」です。
`security_inzone`	`event.idm.read_only_udm.security_result.detection_fields[].value`	`security_inzone` フィールドから直接マッピングされます。キーは「security_inzone」です。
`security_outzone`	`event.idm.read_only_udm.security_result.detection_fields[].value`	`security_outzone` フィールドから直接マッピングされます。キーは「security_outzone」です。
`security_result_action`	`event.idm.read_only_udm.security_result.action`	`security_result_action` フィールドから直接マッピングされます。
`sendtotrackerasadvancedauditlog`	`event.idm.read_only_udm.security_result.detection_fields[].value`	`sendtotrackerasadvancedauditlog` フィールドから直接マッピングされます。キーは「sendtotrackerasadvancedauditlog」です。
`sent_bytes`	`event.idm.read_only_udm.network.sent_bytes`	`sent_bytes` フィールドから直接マッピングされ、符号なし整数に変換されます。
`sequencenum`	`event.idm.read_only_udm.additional.fields[].value.string_value`	`sequencenum` フィールドから直接マッピングされます。キーは「sequencenum」です。
`ser_agent_kid`	`event.idm.read_only_udm.security_result.detection_fields[].value`	`ser_agent_kid` フィールドから直接マッピングされます。キーは「ser_agent_kid」です。
`service`	`event.idm.read_only_udm.target.port`	`service` フィールドから直接マッピングされ、整数に変換されます。
`service_id`	`event.idm.read_only_udm.network.application_protocol`	`service_id` フィールドから直接マッピングされます。値が「dhcp」、「dns」、「http」、「https」、「quic」の場合は大文字に変換されます。
`service_id`	`event.idm.read_only_udm.principal.application`	ネットワークアプリケーションプロトコルのいずれでもない場合、`service_id` フィールドから直接マッピングされます。
`service_id`	`event.idm.read_only_udm.security_result.detection_fields[].value`	`service_id` フィールドから直接マッピングされます。キーは「service_id」です。
`session_description`	`event.idm.read_only_udm.security_result.detection_fields[].value`	`session_description` フィールドから直接マッピングされます。キーは「session_description」です。
`session_id`	`event.idm.read_only_udm.network.session_id`	中かっこを削除した後、`session_id` フィールドから直接マッピングされます。
`session_name`	`event.idm.read_only_udm.security_result.detection_fields[].value`	`session_name` フィールドから直接マッピングされます。キーは「session_name」です。
`session_uid`	`event.idm.read_only_udm.network.session_id`	中かっこを削除した後、`session_uid` フィールドから直接マッピングされます。
`Severity`	`event.idm.read_only_udm.security_result.severity`	`Severity` の値に基づいて、「LOW」、「MEDIUM」、「HIGH」、「CRITICAL」にマッピングされます。
`severity`	`event.idm.read_only_udm.security_result.severity`	`severity` の値に基づいて、「LOW」、「MEDIUM」、「HIGH」、「CRITICAL」にマッピングされます。
`site`	`event.idm.read_only_udm.network.http.user_agent`	`site` フィールドから直接マッピングされます。
`smartdefense_profile`	`event.idm.read_only_udm.security_result.detection_fields[].value`	`smartdefense_profile` フィールドから直接マッピングされます。キーは「smartdefense_profile」です。
`snid`	`event.idm.read_only_udm.network.session_id`	空でないか「0」でない場合、`snid` フィールドから直接マッピングされます。
`sourceAddress`	`event.idm.read_only_udm.principal.ip`、`event.idm.read_only_udm.principal.asset.ip`	`sourceAddress` フィールドから直接マッピングされます。
`sourcePort`	`event.idm.read_only_udm.principal.port`	`sourcePort` フィールドから直接マッピングされ、整数に変換されます。
`sourceTranslatedAddress`	`event.idm.read_only_udm.principal.ip`、`event.idm.read_only_udm.principal.asset.ip`	`sourceTranslatedAddress` フィールドから直接マッピングされます。
`sourceTranslatedAddress`	`event.idm.read_only_udm.principal.nat_ip`	`sourceTranslatedAddress` フィールドから直接マッピングされます。
`sourceTranslatedPort`	`event.idm.read_only_udm.principal.port`	`sourceTranslatedPort` フィールドから直接マッピングされ、整数に変換されます。
`sourceTranslatedPort`	`event.idm.read_only_udm.principal.nat_port`	`sourceTranslatedPort` フィールドから直接マッピングされ、整数に変換されます。
`sourceUserName`	`event.idm.read_only_udm.principal.user.userid`、`event.idm.read_only_udm.principal.user.first_name`、`event.idm.read_only_udm.principal.user.last_name`	grok を使用して解析し、ユーザー ID、名、姓を抽出します。
`spt`	`event.idm.read_only_udm.principal.port`	`spt` フィールドから直接マッピングされ、整数に変換されます。
`src`	`event.idm.read_only_udm.principal.ip`、`event.idm.read_only_udm.principal.asset.ip`	`src` フィールドから直接マッピングされます。
`src_ip`	`event.idm.read_only_udm.principal.ip`、`event.idm.read_only_udm.principal.asset.ip`	`src_ip` フィールドから直接マッピングされます。
`src_localhost`	`event.idm.read_only_udm.principal.hostname`、`event.idm.read_only_udm.principal.asset.hostname`	`src_localhost` フィールドから直接マッピングされます。`src_ip` は「127.0.0.1」に設定されています。
`src_machine_name`	`event.idm.read_only_udm.security_result.detection_fields[].value`	`src_machine_name` フィールドから直接マッピングされます。キーは「src_machine_name」です。
`src_port`	`event.idm.read_only_udm.principal.port`	`src_port` フィールドから直接マッピングされ、整数に変換されます。
`src_user`	`event.idm.read_only_udm.principal.user.userid`	`src_user` フィールドから直接マッピングされます。
`src_user_dn`	`event.idm.read_only_udm.security_result.detection_fields[].value`	`src_user_dn` フィールドから直接マッピングされます。キーは「src_user_dn」です。
`src_user_name`	`event.idm.read_only_udm.principal.user.userid`	`src_user_name` フィールドから直接マッピングされます。
`sub_policy_name`	`event.idm.read_only_udm.security_result.detection_fields[].value`	`sub_policy_name` フィールドから直接マッピングされます。キーは「sub_policy_name」です。
`sub_policy_uid`	`event.idm.read_only_udm.security_result.detection_fields[].value`	`sub_policy_uid` フィールドから直接マッピングされます。キーは「sub_policy_uid」です。
`subject`	`event.idm.read_only_udm.security_result.detection_fields[].value`	`subject` フィールドから直接マッピングされます。キーは「subject」です。
`subscription_stat_desc`	`event.idm.read_only_udm.security_result.summary`	`subscription_stat_desc` フィールドから直接マッピングされます。
`tags`	`event.idm.read_only_udm.security_result.detection_fields[].value`	`tags` フィールドから直接マッピングされます。キーは「tags」です。
`tar_user`	`event.idm.read_only_udm.target.user.userid`	`tar_user` フィールドから直接マッピングされます。
`target_port`	`event.idm.read_only_udm.target.port`	`target_port` フィールドから直接マッピングされます。
`tcp_flags`	`event.idm.read_only_udm.security_result.detection_fields[].value`	`tcp_flags` フィールドから直接マッピングされます。キーは「tcp_flags」です。
`tcp_packet_out_of_state`	`event.idm.read_only_udm.security_result.detection_fields[].value`	`tcp_packet_out_of_state` フィールドから直接マッピングされます。キーは「tcp_packet_out_of_state」です。
`time`	`event.idm.read_only_udm.metadata.event_timestamp`	解析され、さまざまな日付形式を使用してタイムスタンプに変換されます。
`ts`	`event.idm.read_only_udm.metadata.event_timestamp`	`ds` と `tz` で解析され、イベントタイムスタンプを作成します。
`type`	`event.idm.read_only_udm.security_result.rule_type`	`type` フィールドから直接マッピングされます。
`tz`	`event.idm.read_only_udm.metadata.event_timestamp`	`ds` と `ts` とともに使用して、イベントタイムスタンプを作成します。
`update_count`	`event.idm.read_only_udm.security_result.detection_fields[].value`	`update_count` フィールドから直接マッピングされます。キーは「update_count」です。
`URL`	`event.idm.read_only_udm.security_result.about.url`	`URL` フィールドから直接マッピングされます。
`user`	`event.idm.read_only_udm.principal.user.userid`	`user` フィールドから直接マッピングされます。
`user_agent`	`event.idm.read_only_udm.network.http.user_agent`	`user_agent` フィールドから直接マッピングされます。解析され、`event.idm.read_only_udm.network.http.parsed_user_agent` にマッピングされます。
`userip`	`event.idm.read_only_udm.principal.ip`、`event.idm.read_only_udm.principal.asset.ip`	有効な IP アドレスの場合は、`userip` フィールドから直接マッピングされます。
`UUid`	`event.idm.read_only_udm.metadata.product_log_id`	中かっこを削除した後、`UUid` フィールドから直接マッピングされます。
`version`	`event.idm.read_only_udm.metadata.product_version`	`version` フィールドから直接マッピングされます。
`web_client_type`	`event.idm.read_only_udm.network.http.user_agent`	`web_client_type` フィールドから直接マッピングされます。
`xlatedport`	`event.idm.read_only_udm.target.nat_port`	`xlatedport` フィールドから直接マッピングされ、整数に変換されます。
`xlatedst`	`event.idm.read_only_udm.target.nat_ip`	`xlatedst` フィールドから直接マッピングされます。
`xlatesport`	`event.idm.read_only_udm.principal.nat_port`	`xlatesport` フィールドから直接マッピングされ、整数に変換されます。
`xlatesrc`	`event.idm.read_only_udm.principal.nat_ip`	`xlatesrc` フィールドから直接マッピングされます。
`event.idm.read_only_udm.metadata.vendor_name`	`Check Point`	ハードコードされた値。
`event.idm.read_only_udm.metadata.log_type`	`CHECKPOINT_FIREWALL`	ハードコードされた値。
`event.idm.read_only_udm.security_result.rule_type`	`Firewall Rule`	特定のロジックでオーバーライドされない限り、デフォルト値。
`event.idm.is_alert`	`true`	`alert` フィールドが「yes」の場合は true に設定します。
`has_principal`	`true`	プリンシパルの IP またはホスト名が抽出された場合は true に設定します。
`has_target`	`true`	ターゲット IP またはホスト名が抽出された場合は true に設定します。

変更

2024-05-29

「layer_uuid_rule_uuid」を「security_result.rule_id」にマッピングしました。
「domain」を「principal.administrative_domain」にマッピングしました。
「fservice」、「appi_name」、「app_risk」、「policy_name」を「security_result.detection_fields」にマッピングしました。
「packets」、「__id」、「dedup_time」、「browse_time」、「bytes」、「product_family」、「hll_key」、「calc_service」を「additional.fields」にマッピングしました。
「id」を「metadata.product_log_id」にマッピングしました。
「orig_log_server」を「principal.resource.product_object_id」にマッピングしました。
「environment_id」を「target.resource.product_object_id」にマッピングしました。
「client_outbound_packets」と「client_inbound_packets」を「principal.resource.attribute.labels」にマッピングしました。
「server_outbound_bytes」と「server_inbound_bytes」を「target.resource.attribute.labels」にマッピングしました。
「orig」を「principal.hostname」と「principal.asset.hostname」にマッピングしました。
「orig_log_server_ip」を「principal.ip」と「principal.asset.ip」にマッピングしました。
「proto」を「network.ip_protocol」にマッピングしました。

2024-05-20

「inter_host」を抽出する Grok パターンを追加しました。
「inter_host」を「intermediary.hostname」にマッピングしました。

2024-04-19

機能拡張とバグの修正:
「origin」を「target.ip」と「target.asset.ip」にマッピングしました。
新しい形式の SYSLOG ログを解析するための新しい Grok パターンを追加しました。
「smartdefense_profile」、「malware_rule_id」、「malware_rule_name」を「security_result.detection_fields」にマッピングしました。
「sequencenum」、「description_url」、「industry_reference」、「mitre_execution」、「packet_capture_name」、「packet_capture_unique_id」、「packet_capture_time」、「performance_impact」を「additional.fields」にマッピングしました。
「version」を「metadata.product_version」にマッピングしました。
「http_host」を「target.resource.attribute.labels」にマッピングしました。
「log_id」を「metadata.product_log_id」にマッピングしました。
「user_agent」を「network.http.user_agent」と「network.http.parsed_user_agent」にマッピングしました。
「hostname」、「dvc」、「principal_hostname」を「target.hostname」と「target.asset.hostname」にマッピングしました。
「has_principal」が「true」、「has_target」が「true」、および「Action」/「action」が「Log In」、「Failed Log In」、「Failed Login」または「Update」の場合、「metadata.event_type」を「USER_LOGIN」に設定し、「extensions.auth.type」を「AUTHTYPE_UNSPECIFIED」に設定します。
「has_principal」が「true」、「has_target」が「true」、「Action」/「act」/「event_type」が「Log Out」または「Logout」の場合、「metadata.event_type」を「USER_LOGOUT」に設定し、「extensions.auth.type」を「AUTHTYPE_UNSPECIFIED」に設定します。
「has_principal」が「true」、「has_target」が「true」の場合、「metadata.event_type」を「NETWORK_CONNECTION」に設定します。
「has_principal」が「true」、「has_target」が「false」の場合、「metadata.event_type」を「STATUS_UPDATE」に設定します。

2024-02-07

次のフィールドのマッピングを追加しました。
「protection_id」、「malware_action」、「malware_family」、「protection_name」、「protection_type」を「security_result.detection_fields」にマッピングしました。
「confidence_level」を「security_result.confidence」と「security_result.confidence_details」にマッピングしました。

2024-02-05

次のフィールドのマッピングを追加しました。
「method」を「network.http.method」にマッピングしました。

2024-01-24

次のフィールドのマッピングを追加しました。
「method」を「network.http.method」にマッピングしました。
「duration」を「network.session_duration.seconds」にマッピングしました。
「additional_info」を「security_result.description」にマッピングしました。
「operation」を「security_result.summary」にマッピングしました。
「subject」を「metadata.description」にマッピングしました。
「principal_hostname」を「intermediary.hostname」にマッピングしました。
「tcp_packet_out_of_state」、「aggregated_log_count」、「connection_count」、「appi_name」、「src_user_dn」、
「update_count」、「additional_info」、「administrator」、「operation」、「sendtotrackerasadvancedauditlog」、
「subject」、「fieldschanges」、「logic_changes」、「objecttype」、「session_description」、
「session_name」を「security_result.detection_fields」にマッピングしました。

2023-12-27

次のフィールドのマッピングを追加しました。
「flags」を「security_result.detection_fields」にマッピングしました。
「tcp_flags」を「security_result.detection_fields」にマッピングしました。
「tcp_packet_out_of_state」を「security_result.detection_fields」にマッピングしました。

2023-12-11

「principal_hostname」が有効な IP アドレスの場合、「principal.ip」にマッピングしました。
「principal_hostname」が有効な IP でない場合、「principal.hostname」にマッピングしました。
「sport_svc」を「principal.port」にマッピングしました。
「ProductFamily」を「additional.fields」にマッピングしました。
「mitre_initial_access」を「security_result.detection_fields」にマッピングしました。
「policy_time」を「security_result.detection_fields」にマッピングしました。
「profile」を「security_result.detection_fields」にマッピングしました。
「reject_id_kid」を「security_result.detection_fields」にマッピングしました。
「ser_agent_kid」を「security_result.detection_fields」にマッピングしました。

2023-10-11

「product」が「New Anti Virus」の場合、「firewall management node」から「principal.hostname」へのマッピングが削除され、代わりに「security_result.detection_fields」にマッピングされます。

2023-07-06

次のフィールドのマッピングを追加しました。
「app_category」を「security_result.category_details」にマッピングしました。
「matched_category」を「security_result.detection_fields」にマッピングしました。
「app_properties」を「security_result.detection_fields」にマッピングしました。

2023-06-14

次のフィールドのマッピングを追加しました
「conn_direction」を「additional.fields」にマッピングしました。
実際の値の「:」を「=」に置き換えないように gsub を変更しました。

2023-05-12

次のフィールドのマッピングを追加しました
「rule_name」を「security_result.rule_name」にマッピングしました。
「rule」、「sub_policy_name」、「sub_policy_uid」、「smartdefense_profile」、「tags」、「flexString2」を「security_result.detection_fields」にマッピングしました。
新しいログ形式をサポートする新しい Grok パターンを追加しました。
「dvc」を「intermediary.hostname」にマッピングしました。
「hostname」を「intermediary.hostname」にマッピングしました。
「origin_sic_name」を「intermediary.asset_id」にマッピングしました。
「conn_direction」を「network.ip_protocol」にマッピングしました。
「ifname」を「security_result.detection_fields」にマッピングしました。
「security_inzone」を「security_result.detection_fields」にマッピングしました。
「match_id」を「security_result.detection_fields」にマッピングしました。
「parent_rule」を「security_result.detection_fields」にマッピングしました。
「security_outzone」を「security_result.detection_fields」にマッピングしました。
「sub_policy_name」を「security_result.detection_fields」にマッピングしました。
「sub_policy_uid」を「security_result.detection_fields」にマッピングしました。
「drop_reason」を「security_result.summary」にマッピングしました。
「reason」を「security_result.summary」にマッピングしました。
「xlatesport」を「principal.nat_port」にマッピングしました。
「xlatedport」を「target.nat_port」にマッピングしました。
「ipv6_dst」を「target.ip」にマッピングしました。
「ipv6_src」を「principal.ip」にマッピングしました。

2023-04-24

CEF 形式のログのサポートを追加しました。

2022-11-18

「service」のマッピングを変更し、「target.port」にマッピングしました。

2022-10-27

「attack」、「attack_info」、「policy_name」の条件付きチェックを追加しました。
「principal_hostname」を取得するための Grok パターンを追加しました。
「="」を「:」に変更するために gsub を追加しました。
「service」のマッピングを変更し、「target.resource.attribute.labels」にマッピングしました。

2022-10-13

フィールド「fw_subproduct」を「metadata.product_name」にマッピングしました。
フィールド「src」から IP を抽出する Grok パターンを追加しました。

2022-08-30

お客様固有のバージョンの変更をデフォルトに統合しました。
UserCheck で「*****」を含むログのドロップを解除しました。

2022-08-18

「potential_message」を「security_result.description」にマッピングしました。
「portal_message」に「malware/malicious」というキーワードが含まれている場合に備えて、「security_result.category」を「SOFTWARE_MALICIOUS」としてマッピングしました。
「URL」を「security_result.about.url」にマッピングしました。
「Activity」を「security_result.summary」にマッピングしました。
「Reference」を「security_result.about.resource.attribute.labels」にマッピングしました。
「intermediary.ip」の値を「principal.ip」に複製することで、「event_type」を「GENERIC_EVENT」から「STATUS_UPDATE」に変更しました。

2022-08-12

「malware_action」、「malware_family.protection_name」、「protection_type」を「security_result.about.resource.attribute.labels」にマッピングしました。
「src_machine_name」を「security_result.detection_fields」にマッピングしました。

2022-06-30

「message_info」を「metadata.description」にマッピングしました。

2022-06-17

フィールド「nat_rulenum」、「rule」、「sent_bytes」、「received_bytes」、「s_port」、「service」の条件付きチェックを追加しました。
次のケースの event_types を変更しました。
「principal.ip または principal.hostname」と「target.ip または target.hostname」が null でない場合、「GENERIC_EVENT」を「NETWORK_CONNECTION」に。
「principal.ip」または「principal.hostname」が null でない場合、「GENERIC_EVENT」を「STATUS_UNCATEGORIZED」に。

2022-06-14

passwd の条件チェックを削除して、より多くのログを解析するようにパーサーを変更しました。

2022-06-07

src_machine_name を security_result.detection_fields にマッピングしました。

2022-05-19

inzone、outzone、layer_name、layer_uuid、policy_name を security_result.detection_fields にマッピングしました。
service_id を principal.application にマッピングしました。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps の専門家から回答を得る。