Check Point ファイアウォール ログを収集する

以下でサポートされています。

このパーサーは、チェック ポイント ファイアウォールのログを抽出します。CEF 形式と CEF 以外の形式のメッセージ(syslog、Key-Value ペア、JSON など)の両方を処理します。フィールドを正規化し、UDM にマッピングし、ログイン/ログアウト、ネットワーク接続、セキュリティ イベントに関する特定のロジックを実行します。位置情報や脅威インテリジェンスなどのコンテキスト情報をデータに追加します。

始める前に

  • Google Security Operations インスタンスがあることを確認します。
  • Windows 2016 以降、または systemd を搭載した Linux ホストを使用していることを確認します。
  • プロキシの背後で実行している場合は、ファイアウォールのポートが開いていることを確認します。
  • Check Point ファイアウォールへの特権アクセス権があることを確認します。

Google SecOps 取り込み認証ファイルを取得する

  1. Google SecOps コンソールにログインします。
  2. [SIEM 設定> 収集エージェント] に移動します。
  3. 取り込み認証ファイルをダウンロードします。

Google SecOps のお客様 ID を取得する

  1. Google SecOps コンソールにログインします。
  2. [SIEM 設定] > [プロファイル] に移動します。
  3. [組織の詳細] セクションから [お客様 ID] をコピーして保存します。

BindPlane Agent をインストールする

  1. Windows へのインストールの場合は、次のスクリプトを実行します。
    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
  2. Linux へのインストールの場合は、次のスクリプトを実行します。
    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
  3. その他のインストール オプションについては、こちらのインストール ガイドをご覧ください。

Syslog を取り込んで Google SecOps に送信するように BindPlane エージェントを構成する

  1. BindPlane がインストールされているマシンにアクセスします。
  2. config.yaml ファイルを次のように編集します。

    receivers:
        udplog:
            # Replace the below port <54525> and IP <0.0.0.0> with your specific values
            listen_address: "0.0.0.0:54525" 
    
    exporters:
        chronicle/chronicle_w_labels:
            compression: gzip
            # Adjust the creds location below according the placement of the credentials file you downloaded
            creds: '{ json file for creds }'
            # Replace <customer_id> below with your actual ID that you copied
            customer_id: <customer_id>
            endpoint: malachiteingestion-pa.googleapis.com
            # You can apply ingestion labels below as preferred
            ingestion_labels:
            log_type: SYSLOG
            namespace: Checkpoint_Firewall
            raw_log_field: body
    service:
        pipelines:
            logs/source0__chronicle_w_labels-0:
                receivers:
                    - udplog
                exporters:
                    - chronicle/chronicle_w_labels
    
  3. BindPlane エージェントを再起動して変更を適用します。

    sudo systemctl restart bindplane
    

Check Point Firewall で Syslog エクスポートを構成する

  1. 特権アカウントを使用して Check Point ファイアウォールの UI にログインします。
  2. [ログとモニタリング] > [ログサーバー] に移動します。
  3. [Syslog サーバー] に移動します。
  4. [構成] をクリックして、次の値を設定します。
    • プロトコル: セキュリティ ログやシステムログを送信するには、[UDP] を選択します。
    • 名前: 一意の名前を指定します(例: Bindplane_Server)。
    • IP アドレス: syslog サーバーの IP アドレス(Bindplane IP)を指定します。
    • ポート: syslog サーバー ポート(Bindplane ポート)を指定します。
  5. [Enable log server] を選択します。
  6. 転送するログを選択します。[システムログとセキュリティ ログの両方] を選択します。
  7. [適用] をクリックします。

UDM マッピング テーブル

ログフィールド UDM マッピング ロジック
Action event.idm.read_only_udm.security_result.action_details Action フィールドから直接マッピングされます。
Activity event.idm.read_only_udm.security_result.summary Activity フィールドから直接マッピングされます。
additional_info event.idm.read_only_udm.security_result.description additional_info フィールドから直接マッピングされます。
administrator event.idm.read_only_udm.security_result.detection_fields[].value administrator フィールドから直接マッピングされます。キーは「administrator」です。
aggregated_log_count event.idm.read_only_udm.security_result.detection_fields[].value aggregated_log_count フィールドから直接マッピングされます。キーは「aggregated_log_count」です。
appi_name event.idm.read_only_udm.security_result.detection_fields[].value appi_name フィールドから直接マッピングされます。キーは「appi_name」です。
app_category event.idm.read_only_udm.security_result.category_details app_category フィールドから直接マッピングされます。
app_properties event.idm.read_only_udm.security_result.detection_fields[].value app_properties フィールドから直接マッピングされます。キーは「app_properties」です。
app_risk event.idm.read_only_udm.security_result.detection_fields[].value app_risk フィールドから直接マッピングされます。キーは「app_risk」です。
app_session_id event.idm.read_only_udm.network.session_id app_session_id フィールドから直接マッピングされ、文字列に変換されます。
attack event.idm.read_only_udm.security_result.summary Info が存在する場合は、attack フィールドから直接マッピングされます。
attack event.idm.read_only_udm.security_result.threat_name Info が存在する場合は、attack フィールドから直接マッピングされます。
attack_info event.idm.read_only_udm.security_result.description attack_info フィールドから直接マッピングされます。
auth_status event.idm.read_only_udm.security_result.summary auth_status フィールドから直接マッピングされます。
browse_time event.idm.read_only_udm.additional.fields[].value.string_value browse_time フィールドから直接マッピングされます。キーは「browse_time」です。
bytes event.idm.read_only_udm.additional.fields[].value.string_value bytes フィールドから直接マッピングされます。キーは「bytes」です。
bytes event.idm.read_only_udm.additional.fields[].value.string_value bytes フィールドから直接マッピングされます。キーは「bytes」です。
calc_service event.idm.read_only_udm.additional.fields[].value.string_value calc_service フィールドから直接マッピングされます。キーは「calc_service」です。
category event.idm.read_only_udm.security_result.category_details category フィールドから直接マッピングされます。
client_version event.idm.read_only_udm.intermediary.platform_version client_version フィールドから直接マッピングされます。
conn_direction event.idm.read_only_udm.additional.fields[].value.string_value conn_direction フィールドから直接マッピングされます。キーは「conn_direction」です。
conn_direction event.idm.read_only_udm.network.direction conn_direction が「Incoming」の場合は、「INBOUND」にマッピングされます。それ以外の場合は「OUTBOUND」にマッピングされます。
connection_count event.idm.read_only_udm.security_result.detection_fields[].value connection_count フィールドから直接マッピングされます。キーは「connection_count」です。
contract_name event.idm.read_only_udm.security_result.description contract_name フィールドから直接マッピングされます。
cs2 event.idm.read_only_udm.security_result.rule_name cs2 フィールドから直接マッピングされます。
date_time event.idm.read_only_udm.metadata.event_timestamp 解析され、さまざまな日付形式を使用してタイムスタンプに変換されます。
dedup_time event.idm.read_only_udm.additional.fields[].value.string_value dedup_time フィールドから直接マッピングされます。キーは「dedup_time」です。
desc event.idm.read_only_udm.security_result.summary desc フィールドから直接マッピングされます。
description event.idm.read_only_udm.security_result.description description フィールドから直接マッピングされます。
description_url event.idm.read_only_udm.additional.fields[].value.string_value description_url フィールドから直接マッピングされます。キーは「description_url」です。
destinationAddress event.idm.read_only_udm.target.ipevent.idm.read_only_udm.target.asset.ip destinationAddress フィールドから直接マッピングされます。
destinationPort event.idm.read_only_udm.target.port destinationPort フィールドから直接マッピングされ、整数に変換されます。
destinationTranslatedAddress event.idm.read_only_udm.target.ipevent.idm.read_only_udm.target.asset.ip destinationTranslatedAddress フィールドから直接マッピングされます。
destinationTranslatedAddress event.idm.read_only_udm.target.nat_ip destinationTranslatedAddress フィールドから直接マッピングされます。
destinationTranslatedPort event.idm.read_only_udm.target.port destinationTranslatedPort フィールドから直接マッピングされ、整数に変換されます。
destinationTranslatedPort event.idm.read_only_udm.target.nat_port destinationTranslatedPort フィールドから直接マッピングされ、整数に変換されます。
deviceCustomString2 event.idm.read_only_udm.security_result.rule_name deviceCustomString2 フィールドから直接マッピングされます。
deviceDirection event.idm.read_only_udm.network.direction deviceDirection が 0 の場合、「OUTBOUND」にマッピングされます。1 の場合、「INBOUND」にマッピングされます。
domain event.idm.read_only_udm.principal.administrative_domain domain フィールドから直接マッピングされます。
domain_name event.idm.read_only_udm.principal.administrative_domain domain_name フィールドから直接マッピングされます。
drop_reason event.idm.read_only_udm.security_result.summary drop_reason フィールドから直接マッピングされます。
ds event.idm.read_only_udm.metadata.event_timestamp tstz とともに使用して、イベント タイムスタンプを作成します。
dst event.idm.read_only_udm.target.ipevent.idm.read_only_udm.target.asset.ip dst フィールドから直接マッピングされます。
dst_country event.idm.read_only_udm.target.location.country_or_region dst_country フィールドから直接マッピングされます。
dst_ip event.idm.read_only_udm.target.ipevent.idm.read_only_udm.target.asset.ip dst_ip フィールドから直接マッピングされます。
dpt event.idm.read_only_udm.target.port dpt フィールドから直接マッピングされ、整数に変換されます。
duration event.idm.read_only_udm.network.session_duration.seconds duration フィールドから直接マッピングされ、0 より大きい場合は整数に変換されます。
duser event.idm.read_only_udm.target.user.email_addressesevent.idm.read_only_udm.target.user.user_display_name メールアドレスの形式と一致する場合は、duser フィールドから直接マッピングされます。
environment_id event.idm.read_only_udm.target.resource.product_object_id environment_id フィールドから直接マッピングされます。
event_type event.idm.read_only_udm.metadata.event_type 特定のフィールドと値の存在に基づくロジックによって決定されます。特定のイベントタイプが特定されていない場合、デフォルトは GENERIC_EVENT です。NETWORK_CONNECTIONUSER_LOGINUSER_CHANGE_PASSWORDUSER_LOGOUTNETWORK_HTTPSTATUS_UPDATE のいずれかです。
fieldschanges event.idm.read_only_udm.security_result.detection_fields[].value fieldschanges フィールドから直接マッピングされます。キーは「fieldschanges」です。
flags event.idm.read_only_udm.security_result.detection_fields[].value flags フィールドから直接マッピングされます。キーは「flags」です。
flexString2 event.idm.read_only_udm.security_result.detection_fields[].value flexString2 フィールドから直接マッピングされます。Key は flexString2Label の値です。
from_user event.idm.read_only_udm.principal.user.userid from_user フィールドから直接マッピングされます。
fservice event.idm.read_only_udm.security_result.detection_fields[].value fservice フィールドから直接マッピングされます。キーは「fservice」です。
fw_subproduct event.idm.read_only_udm.metadata.product_name product が空の場合、fw_subproduct フィールドから直接マッピングされます。
geoip_dst.country_name event.idm.read_only_udm.target.location.country_or_region geoip_dst.country_name フィールドから直接マッピングされます。
hll_key event.idm.read_only_udm.additional.fields[].value.string_value hll_key フィールドから直接マッピングされます。キーは「hll_key」です。
hostname event.idm.read_only_udm.target.hostnameevent.idm.read_only_udm.target.asset.hostnameevent.idm.read_only_udm.intermediary.hostname inter_host が空の場合、hostname フィールドから直接マッピングされます。
http_host event.idm.read_only_udm.target.resource.attribute.labels[].value http_host フィールドから直接マッピングされます。キーは「http_host」です。
id event.idm.read_only_udm.metadata.product_log_id _id フィールドから直接マッピングされます。
identity_src event.idm.read_only_udm.target.application identity_src フィールドから直接マッピングされます。
identity_type event.idm.read_only_udm.extensions.auth.type identity_type が「user」の場合、「VPN」にマッピングされます。それ以外の場合は「MACHINE」にマッピングされます。
if_direction event.idm.read_only_udm.network.direction if_direction フィールドから直接マッピングされ、大文字に変換されます。
ifdir event.idm.read_only_udm.network.direction ifdir フィールドから直接マッピングされ、大文字に変換されます。
ifname event.idm.read_only_udm.security_result.detection_fields[].value ifname フィールドから直接マッピングされます。キーは「ifname」です。
IKE event.idm.read_only_udm.metadata.description IKE フィールドから直接マッピングされます。
inzone event.idm.read_only_udm.security_result.detection_fields[].value inzone フィールドから直接マッピングされます。キーは「inzone」です。
industry_reference event.idm.read_only_udm.additional.fields[].value.string_value industry_reference フィールドから直接マッピングされます。キーは「industry_reference」です。
instance_id event.idm.read_only_udm.principal.hostnameevent.idm.read_only_udm.principal.asset.hostname instance_id フィールドから直接マッピングされます。
inter_host event.idm.read_only_udm.intermediary.hostname inter_host フィールドから直接マッピングされます。
ip_proto event.idm.read_only_udm.network.ip_protocol proto フィールドまたは service フィールドに基づいて決定されます。TCP、UDP、ICMP、IP6IN4、GRE のいずれかです。
ipv6_dst event.idm.read_only_udm.target.ipevent.idm.read_only_udm.target.asset.ip ipv6_dst フィールドから直接マッピングされます。
ipv6_src event.idm.read_only_udm.principal.ipevent.idm.read_only_udm.principal.asset.ip ipv6_src フィールドから直接マッピングされます。
layer_name event.idm.read_only_udm.security_result.rule_set_display_nameevent.idm.read_only_udm.security_result.detection_fields[].value layer_name フィールドから直接マッピングされます。キーは「layer_name」です。
layer_uuid event.idm.read_only_udm.security_result.rule_setevent.idm.read_only_udm.security_result.detection_fields[].value 中かっこを削除した layer_uuid フィールドから直接マッピングされます。キーは「layer_uuid」です。
layer_uuid_rule_uuid event.idm.read_only_udm.security_result.rule_id layer_uuid_rule_uuid フィールドから直接マッピングされ、角かっこと引用符が削除されています。
log_id event.idm.read_only_udm.metadata.product_log_id log_id フィールドから直接マッピングされます。
log_type event.idm.read_only_udm.metadata.log_type log_type フィールドから直接マッピングされます。「CHECKPOINT_FIREWALL」にハードコードされています。
loguid event.idm.read_only_udm.metadata.product_log_id 中かっこを削除した loguid フィールドから直接マッピングされます。
logic_changes event.idm.read_only_udm.security_result.detection_fields[].value logic_changes フィールドから直接マッピングされます。キーは「logic_changes」です。
localhost event.idm.read_only_udm.target.hostnameevent.idm.read_only_udm.target.asset.hostname localhost フィールドから直接マッピングされます。dst_ip は「127.0.0.1」に設定されています。
malware_action event.idm.read_only_udm.security_result.detection_fields[].valueevent.idm.read_only_udm.security_result.about.resource.attribute.labels[].value malware_action フィールドから直接マッピングされます。キーは「malware_action」です。
malware_family event.idm.read_only_udm.security_result.detection_fields[].valueevent.idm.read_only_udm.security_result.about.resource.attribute.labels[].value malware_family フィールドから直接マッピングされます。キーは「malware_family」です。
malware_rule_id event.idm.read_only_udm.security_result.detection_fields[].value 中かっこを削除した malware_rule_id フィールドから直接マッピングされます。キーは「マルウェアルール ID」です。
malware_rule_name event.idm.read_only_udm.security_result.detection_fields[].value malware_rule_name フィールドから直接マッピングされます。キーは「マルウェアルール名」です。
match_id event.idm.read_only_udm.security_result.detection_fields[].value match_id フィールドから直接マッピングされます。キーは「match_id」です。
matched_category event.idm.read_only_udm.security_result.detection_fields[].value matched_category フィールドから直接マッピングされます。キーは「matched_category」です。
message_info event.idm.read_only_udm.metadata.description message_info フィールドから直接マッピングされます。
method event.idm.read_only_udm.network.http.method method フィールドから直接マッピングされます。
mitre_execution event.idm.read_only_udm.additional.fields[].value.string_value mitre_execution フィールドから直接マッピングされます。キーは「mitre_execution」です。
mitre_initial_access event.idm.read_only_udm.security_result.detection_fields[].value mitre_initial_access フィールドから直接マッピングされます。キーは「mitre_initial_access」です。
nat_rulenum event.idm.read_only_udm.security_result.rule_id nat_rulenum フィールドから直接マッピングされ、文字列に変換されます。
objecttype event.idm.read_only_udm.security_result.detection_fields[].value objecttype フィールドから直接マッピングされます。キーは「objecttype」です。
operation event.idm.read_only_udm.security_result.summary operation フィールドから直接マッピングされます。
operation event.idm.read_only_udm.security_result.detection_fields[].value operation フィールドから直接マッピングされます。キーは「operation」です。
orig event.idm.read_only_udm.principal.hostnameevent.idm.read_only_udm.principal.asset.hostname orig フィールドから直接マッピングされます。
origin event.idm.read_only_udm.principal.ipevent.idm.read_only_udm.principal.asset.ipevent.idm.read_only_udm.target.ipevent.idm.read_only_udm.target.asset.ipevent.idm.read_only_udm.intermediary.ip origin フィールドから直接マッピングされます。
origin_sic_name event.idm.read_only_udm.intermediary.asset_idevent.idm.read_only_udm.intermediary.labels[].value origin_sic_name フィールドから直接マッピングされます。キーは「Machine SIC」です。アセット ID には「asset:」という接頭辞が付いています。
originsicname event.idm.read_only_udm.additional.fields[].value.string_value originsicname フィールドから直接マッピングされます。キーは「originsicname」です。
originsicname event.idm.read_only_udm.intermediary.asset_idevent.idm.read_only_udm.intermediary.labels[].value originsicname フィールドから直接マッピングされます。キーは「Machine SIC」です。アセット ID には「asset:」という接頭辞が付いています。
os_name event.idm.read_only_udm.principal.asset.platform_software.platform os_name に「Win」が含まれている場合は、「WINDOWS」にマッピングされます。「MAC」または「IOS」が含まれている場合は、「MAC」にマッピングされます。「LINUX」が含まれている場合は、「LINUX」にマッピングされます。
os_version event.idm.read_only_udm.principal.asset.platform_software.platform_patch_level os_version フィールドから直接マッピングされます。
outzone event.idm.read_only_udm.security_result.detection_fields[].value outzone フィールドから直接マッピングされます。キーは「outzone」です。
packets event.idm.read_only_udm.additional.fields[].value.string_value packets フィールドから直接マッピングされます。キーは「packets」です。
packet_capture_name event.idm.read_only_udm.additional.fields[].value.string_value packet_capture_name フィールドから直接マッピングされます。キーは「packet_capture_name」です。
packet_capture_time event.idm.read_only_udm.additional.fields[].value.string_value packet_capture_time フィールドから直接マッピングされます。キーは「packet_capture_time」です。
packet_capture_unique_id event.idm.read_only_udm.additional.fields[].value.string_value packet_capture_unique_id フィールドから直接マッピングされます。キーは「packet_capture_unique_id」です。
parent_rule event.idm.read_only_udm.security_result.detection_fields[].value parent_rule フィールドから直接マッピングされます。キーは「parent_rule」です。
performance_impact event.idm.read_only_udm.additional.fields[].value.string_value performance_impact フィールドから直接マッピングされます。キーは「performance_impact」です。
policy_name event.idm.read_only_udm.security_result.detection_fields[].value Grok を使用して __policy_id_tag フィールドから抽出され、マッピングされます。キーは「ポリシー名」です。
policy_time event.idm.read_only_udm.security_result.detection_fields[].value policy_time フィールドから直接マッピングされます。キーは「policy_time」です。
portal_message event.idm.read_only_udm.security_result.description portal_message フィールドから直接マッピングされます。
principal_hostname event.idm.read_only_udm.principal.ipevent.idm.read_only_udm.principal.asset.ip 有効な IP アドレスの場合は、principal_hostname フィールドから直接マッピングされます。
principal_hostname event.idm.read_only_udm.principal.hostnameevent.idm.read_only_udm.principal.asset.hostname 有効な IP アドレスでも「チェックポイント」でもない場合は、principal_hostname フィールドから直接マッピングされます。
prod_family_label event.idm.read_only_udm.additional.fields[].value.string_value ProductFamily フィールドから直接マッピングされます。キーは「ProductFamily」です。
product event.idm.read_only_udm.metadata.product_name product フィールドから直接マッピングされます。
product_family event.idm.read_only_udm.additional.fields[].value.string_value product_family フィールドから直接マッピングされます。キーは「product_family」です。
product_family event.idm.read_only_udm.additional.fields[].value.string_value product_family フィールドから直接マッピングされます。キーは「product_family」です。
ProductName event.idm.read_only_udm.metadata.product_name product が空の場合、ProductName フィールドから直接マッピングされます。
product_name event.idm.read_only_udm.metadata.product_name product_name フィールドから直接マッピングされます。
profile event.idm.read_only_udm.security_result.detection_fields[].value profile フィールドから直接マッピングされます。キーは「profile」です。
protocol event.idm.read_only_udm.network.application_protocol protocol フィールドが「HTTP」の場合、そのフィールドから直接マッピングされます。
proxy_src_ip event.idm.read_only_udm.principal.nat_ip proxy_src_ip フィールドから直接マッピングされます。
reason event.idm.read_only_udm.security_result.summary reason フィールドから直接マッピングされます。
received_bytes event.idm.read_only_udm.network.received_bytes received_bytes フィールドから直接マッピングされ、符号なし整数に変換されます。
Reference event.idm.read_only_udm.security_result.about.resource.attribute.labels[].valueevent.idm.read_only_udm.security_result.detection_fields[].value Reference フィールドから直接マッピングされます。キーは「Reference」です。attack を使用して _vuln.name を作成するために使用されます。
reject_id_kid event.idm.read_only_udm.security_result.detection_fields[].value reject_id_kid フィールドから直接マッピングされます。キーは「reject_id_kid」です。
resource event.idm.read_only_udm.target.url JSON として解析され、ターゲット URL にマッピングされます。解析に失敗した場合は、直接マッピングされます。
resource event.idm.read_only_udm.additional.fields[].value.list_value.values[].string_value JSON として解析され、resource 配列の各値がリストに追加されます。キーは「Resource」です。
result event.idm.read_only_udm.metadata.event_timestamp date_time で解析され、イベントのタイムスタンプが作成されます。
rt event.idm.read_only_udm.metadata.event_timestamp エポックからのミリ秒として解析され、タイムスタンプに変換されます。
rule event.idm.read_only_udm.security_result.rule_name rule フィールドから直接マッピングされます。
rule_action event.idm.read_only_udm.security_result.detection_fields[].value rule_action フィールドから直接マッピングされます。キーは「rule_action」です。
rule_name event.idm.read_only_udm.security_result.rule_name rule_name フィールドから直接マッピングされます。
rule_uid event.idm.read_only_udm.security_result.rule_id rule_uid フィールドから直接マッピングされます。
s_port event.idm.read_only_udm.principal.port s_port フィールドから直接マッピングされ、整数に変換されます。
scheme event.idm.read_only_udm.additional.fields[].value.string_value scheme フィールドから直接マッピングされます。キーは「scheme」です。
security_inzone event.idm.read_only_udm.security_result.detection_fields[].value security_inzone フィールドから直接マッピングされます。キーは「security_inzone」です。
security_outzone event.idm.read_only_udm.security_result.detection_fields[].value security_outzone フィールドから直接マッピングされます。キーは「security_outzone」です。
security_result_action event.idm.read_only_udm.security_result.action security_result_action フィールドから直接マッピングされます。
sendtotrackerasadvancedauditlog event.idm.read_only_udm.security_result.detection_fields[].value sendtotrackerasadvancedauditlog フィールドから直接マッピングされます。キーは「sendtotrackerasadvancedauditlog」です。
sent_bytes event.idm.read_only_udm.network.sent_bytes sent_bytes フィールドから直接マッピングされ、符号なし整数に変換されます。
sequencenum event.idm.read_only_udm.additional.fields[].value.string_value sequencenum フィールドから直接マッピングされます。キーは「sequencenum」です。
ser_agent_kid event.idm.read_only_udm.security_result.detection_fields[].value ser_agent_kid フィールドから直接マッピングされます。キーは「ser_agent_kid」です。
service event.idm.read_only_udm.target.port service フィールドから直接マッピングされ、整数に変換されます。
service_id event.idm.read_only_udm.network.application_protocol service_id フィールドから直接マッピングされます。値が「dhcp」、「dns」、「http」、「https」、「quic」の場合は大文字に変換されます。
service_id event.idm.read_only_udm.principal.application ネットワーク アプリケーション プロトコルのいずれでない場合、service_id フィールドから直接マッピングされます。
service_id event.idm.read_only_udm.security_result.detection_fields[].value service_id フィールドから直接マッピングされます。キーは「service_id」です。
session_description event.idm.read_only_udm.security_result.detection_fields[].value session_description フィールドから直接マッピングされます。キーは「session_description」です。
session_id event.idm.read_only_udm.network.session_id 中かっこを削除した session_id フィールドから直接マッピングされます。
session_name event.idm.read_only_udm.security_result.detection_fields[].value session_name フィールドから直接マッピングされます。キーは「session_name」です。
session_uid event.idm.read_only_udm.network.session_id 中かっこを削除した session_uid フィールドから直接マッピングされます。
Severity event.idm.read_only_udm.security_result.severity Severity の値に基づいて「LOW」、「MEDIUM」、「HIGH」、「CRITICAL」にマッピングされます。
severity event.idm.read_only_udm.security_result.severity severity の値に基づいて「LOW」、「MEDIUM」、「HIGH」、「CRITICAL」にマッピングされます。
site event.idm.read_only_udm.network.http.user_agent site フィールドから直接マッピングされます。
smartdefense_profile event.idm.read_only_udm.security_result.detection_fields[].value smartdefense_profile フィールドから直接マッピングされます。キーは「smartdefense_profile」です。
snid event.idm.read_only_udm.network.session_id snid フィールドが空でないか「0」でない場合、snid フィールドから直接マッピングされます。
sourceAddress event.idm.read_only_udm.principal.ipevent.idm.read_only_udm.principal.asset.ip sourceAddress フィールドから直接マッピングされます。
sourcePort event.idm.read_only_udm.principal.port sourcePort フィールドから直接マッピングされ、整数に変換されます。
sourceTranslatedAddress event.idm.read_only_udm.principal.ipevent.idm.read_only_udm.principal.asset.ip sourceTranslatedAddress フィールドから直接マッピングされます。
sourceTranslatedAddress event.idm.read_only_udm.principal.nat_ip sourceTranslatedAddress フィールドから直接マッピングされます。
sourceTranslatedPort event.idm.read_only_udm.principal.port sourceTranslatedPort フィールドから直接マッピングされ、整数に変換されます。
sourceTranslatedPort event.idm.read_only_udm.principal.nat_port sourceTranslatedPort フィールドから直接マッピングされ、整数に変換されます。
sourceUserName event.idm.read_only_udm.principal.user.useridevent.idm.read_only_udm.principal.user.first_nameevent.idm.read_only_udm.principal.user.last_name grok を使用して解析され、ユーザー ID、名、姓が抽出されます。
spt event.idm.read_only_udm.principal.port spt フィールドから直接マッピングされ、整数に変換されます。
src event.idm.read_only_udm.principal.ipevent.idm.read_only_udm.principal.asset.ip src フィールドから直接マッピングされます。
src_ip event.idm.read_only_udm.principal.ipevent.idm.read_only_udm.principal.asset.ip src_ip フィールドから直接マッピングされます。
src_localhost event.idm.read_only_udm.principal.hostnameevent.idm.read_only_udm.principal.asset.hostname src_localhost フィールドから直接マッピングされます。src_ip は「127.0.0.1」に設定されています。
src_machine_name event.idm.read_only_udm.security_result.detection_fields[].value src_machine_name フィールドから直接マッピングされます。キーは「src_machine_name」です。
src_port event.idm.read_only_udm.principal.port src_port フィールドから直接マッピングされ、整数に変換されます。
src_user event.idm.read_only_udm.principal.user.userid src_user フィールドから直接マッピングされます。
src_user_dn event.idm.read_only_udm.security_result.detection_fields[].value src_user_dn フィールドから直接マッピングされます。キーは「src_user_dn」です。
src_user_name event.idm.read_only_udm.principal.user.userid src_user_name フィールドから直接マッピングされます。
sub_policy_name event.idm.read_only_udm.security_result.detection_fields[].value sub_policy_name フィールドから直接マッピングされます。キーは「sub_policy_name」です。
sub_policy_uid event.idm.read_only_udm.security_result.detection_fields[].value sub_policy_uid フィールドから直接マッピングされます。キーは「sub_policy_uid」です。
subject event.idm.read_only_udm.security_result.detection_fields[].value subject フィールドから直接マッピングされます。キーは「subject」です。
subscription_stat_desc event.idm.read_only_udm.security_result.summary subscription_stat_desc フィールドから直接マッピングされます。
tags event.idm.read_only_udm.security_result.detection_fields[].value tags フィールドから直接マッピングされます。キーは「tags」です。
tar_user event.idm.read_only_udm.target.user.userid tar_user フィールドから直接マッピングされます。
target_port event.idm.read_only_udm.target.port target_port フィールドから直接マッピングされます。
tcp_flags event.idm.read_only_udm.security_result.detection_fields[].value tcp_flags フィールドから直接マッピングされます。キーは「tcp_flags」です。
tcp_packet_out_of_state event.idm.read_only_udm.security_result.detection_fields[].value tcp_packet_out_of_state フィールドから直接マッピングされます。キーは「tcp_packet_out_of_state」です。
time event.idm.read_only_udm.metadata.event_timestamp 解析され、さまざまな日付形式を使用してタイムスタンプに変換されます。
ts event.idm.read_only_udm.metadata.event_timestamp dstz で解析され、イベント タイムスタンプが作成されます。
type event.idm.read_only_udm.security_result.rule_type type フィールドから直接マッピングされます。
tz event.idm.read_only_udm.metadata.event_timestamp dsts とともに使用して、イベント タイムスタンプを作成します。
update_count event.idm.read_only_udm.security_result.detection_fields[].value update_count フィールドから直接マッピングされます。キーは「update_count」です。
URL event.idm.read_only_udm.security_result.about.url URL フィールドから直接マッピングされます。
user event.idm.read_only_udm.principal.user.userid user フィールドから直接マッピングされます。
user_agent event.idm.read_only_udm.network.http.user_agent user_agent フィールドから直接マッピングされます。解析され、event.idm.read_only_udm.network.http.parsed_user_agent にマッピングされます。
userip event.idm.read_only_udm.principal.ipevent.idm.read_only_udm.principal.asset.ip 有効な IP アドレスの場合は、userip フィールドから直接マッピングされます。
UUid event.idm.read_only_udm.metadata.product_log_id 中かっこを削除した UUid フィールドから直接マッピングされます。
version event.idm.read_only_udm.metadata.product_version version フィールドから直接マッピングされます。
web_client_type event.idm.read_only_udm.network.http.user_agent web_client_type フィールドから直接マッピングされます。
xlatedport event.idm.read_only_udm.target.nat_port xlatedport フィールドから直接マッピングされ、整数に変換されます。
xlatedst event.idm.read_only_udm.target.nat_ip xlatedst フィールドから直接マッピングされます。
xlatesport event.idm.read_only_udm.principal.nat_port xlatesport フィールドから直接マッピングされ、整数に変換されます。
xlatesrc event.idm.read_only_udm.principal.nat_ip xlatesrc フィールドから直接マッピングされます。
event.idm.read_only_udm.metadata.vendor_name Check Point ハードコードされた値。
event.idm.read_only_udm.metadata.log_type CHECKPOINT_FIREWALL ハードコードされた値。
event.idm.read_only_udm.security_result.rule_type Firewall Rule 特定のロジックでオーバーライドされない限り、デフォルト値。
event.idm.is_alert true alert フィールドが「yes」の場合は true に設定します。
has_principal true プリンシパルの IP またはホスト名が抽出された場合は true に設定します。
has_target true ターゲット IP またはホスト名が抽出された場合は true に設定します。

変更点

2024-05-29

  • 「layer_uuid_rule_uuid」を「security_result.rule_id」にマッピングしました。
  • 「domain」を「principal.administrative_domain」にマッピングしました。
  • 「fservice」、「appi_name」、「app_risk」、「policy_name」を「security_result.detection_fields」にマッピングしました。
  • 「packets」、「__id」、「dedup_time」、「browse_time」、「bytes」、「product_family」、「hll_key」、「calc_service」を「additional.fields」にマッピングしました。
  • 「id」を「metadata.product_log_id」にマッピングしました。
  • 「orig_log_server」を「principal.resource.product_object_id」にマッピングしました。
  • 「environment_id」を「target.resource.product_object_id」にマッピングしました。
  • 「client_outbound_packets」と「client_inbound_packets」を「principal.resource.attribute.labels」にマッピングしました。
  • 「server_outbound_bytes」と「server_inbound_bytes」を「target.resource.attribute.labels」にマッピングしました。
  • 「orig」を「principal.hostname」と「principal.asset.hostname」にマッピングしました。
  • 「orig_log_server_ip」を「principal.ip」と「principal.asset.ip」にマッピングしました。
  • 「proto」を「network.ip_protocol」にマッピングしました。

2024-05-20

  • 「inter_host」を抽出する Grok パターンを追加しました。
  • 「inter_host」を「intermediary.hostname」にマッピングしました。

2024-04-19

  • 機能強化とバグの修正:
  • 「origin」を「target.ip」と「target.asset.ip」にマッピングしました。
  • 新しい形式の SYSLOG ログを解析するための新しい Grok パターンを追加しました。
  • 「smartdefense_profile」、「malware_rule_id」、「malware_rule_name」を「security_result.detection_fields」にマッピングしました。
  • 「sequencenum」、「description_url」、「industry_reference」、「mitre_execution」、「packet_capture_name」、「packet_capture_unique_id」、「packet_capture_time」、「performance_impact」を「additional.fields」にマッピングしました。
  • 「version」を「metadata.product_version」にマッピングしました。
  • 「http_host」を「target.resource.attribute.labels」にマッピングしました。
  • 「log_id」を「metadata.product_log_id」にマッピングしました。
  • 「user_agent」を「network.http.user_agent」と「http.parsed_user_agent」にマッピングしました。
  • 「hostname」、「dvc」、「principal_hostname」を「target.hostname」と「target.asset.hostname」にマッピングしました。
  • 「has_principal」が「true」、"has_target" が「true」、"Action"/"action" が「Log In」、「Failed Log In」、「Failed Login」、「Update」の場合、「metadata.event_type」を「USER_LOGIN」に設定し、「extensions.auth.type」を「AUTHTYPE_UNSPECIFIED」に設定します。
  • 「has_principal」が「true」、"has_target" が「true」、"Action"/"act"/"event_type" が「Log Out」または「Logout」の場合、「metadata.event_type」を「USER_LOGOUT」に設定し、「extensions.auth.type」を「AUTHTYPE_UNSPECIFIED」に設定します。
  • 「has_principal」が「true」、かつ「has_target」が「true」の場合、「metadata.event_type」を「NETWORK_CONNECTION」に設定します。
  • 「has_principal」が「true」、かつ「has_target」が「false」の場合、「metadata.event_type」を「STATUS_UPDATE」に設定します。

2024-02-07

  • 次のフィールドのマッピングを追加しました。
  • 「protection_id」、「malware_action」、「malware_family」、「protection_name」、「protection_type」を「security_result.detection_fields」にマッピングしました。
  • 「confidence_level」を「security_result.confidence」と「security_result.confidence_details」にマッピングしました。

2024-02-05

  • 次のフィールドのマッピングを追加しました。
  • 「method」を「network.http.method」にマッピングしました。

2024-01-24

  • 次のフィールドのマッピングを追加しました。
  • 「method」を「network.http.method」にマッピングしました。
  • 「duration」を「network.session_duration.seconds」にマッピングしました。
  • 「additional_info」を「security_result.description」にマッピングしました。
  • 「operation」を「security_result.summary」にマッピングしました。
  • 「subject」を「metadata.description」にマッピングしました。
  • 「principal_hostname」を「intermediary.hostname」にマッピングしました。
  • 「tcp_packet_out_of_state」、「aggregated_log_count」、「connection_count」、「appi_name」、「src_user_dn」をマッピングしました。
  • "update_count", "additional_info", "administrator", "operation", "sendtotrackerasadvancedauditlog",
  • "subject", "fieldschanges", "logic_changes", "objecttype", "session_description",
  • 「session_name」を「security_result.detection_fields」にマッピング。

2023-12-27

  • 次のフィールドのマッピングを追加しました。
  • 「flags」を「security_result.detection_fields」にマッピングしました。
  • 「tcp_flags」を「security_result.detection_fields」にマッピングしました。
  • 「tcp_packet_out_of_state」を「security_result.detection_fields」にマッピングしました。

2023-12-11

  • 「principal_hostname」が有効な IP の場合は、「principal.ip」にマッピングしました。
  • 「principal_hostname」が有効な IP でない場合、「principal.hostname」にマッピングします。
  • 「sport_svc」を「principal.port」にマッピングしました。
  • 「ProductFamily」を「additional.fields」にマッピングしました。
  • 「mitre_initial_access」を「security_result.detection_fields」にマッピングしました。
  • 「policy_time」を「security_result.detection_fields」にマッピングしました。
  • 「profile」を「security_result.detection_fields」にマッピングしました。
  • 「reject_id_kid」を「security_result.detection_fields」にマッピングしました。
  • 「ser_agent_kid」を「security_result.detection_fields」にマッピングしました。

2023-10-11

  • 「product」が「New Anti Virus」の場合、「firewall management node」から「principal.hostname」へのマッピングが削除され、代わりに「security_result.detection_fields」にマッピングされます。

2023-07-06

  • 次のフィールドのマッピングを追加しました。
  • 「app_category」を「security_result.category_details」にマッピングしました。
  • 「matched_category」を「security_result.detection_fields」にマッピングしました。
  • 「app_properties」を「security_result.detection_fields」にマッピングしました。

2023-06-14

  • 次のフィールドのマッピングを追加しました
  • 「conn_direction」を「additional.fields」にマッピングしました。
  • 実際の値の「:」を「="」に置き換えないように gsub を変更しました。

2023-05-12

  • 次のフィールドのマッピングを追加しました
  • 「rule_name」を「security_result.rule_name」にマッピングしました。
  • 「rule」、「sub_policy_name」、「sub_policy_uid」、「smartdefense_profile」、「tags」、「flexString2」を「security_result.detection_fields」にマッピングしました。
  • 新しいログ形式をサポートする新しい Grok パターンを追加しました。
  • 「dvc」を「intermediary.hostname」にマッピングしました。
  • 「hostname」を「intermediary.hostname」にマッピングしました。
  • 「origin_sic_name」を「intermediary.asset_id」にマッピングしました。
  • 「conn_direction」を「network.ip_protocol」にマッピングしました。
  • 「ifname」を「security_result.detection_fields」にマッピングしました。
  • 「security_inzone」を「security_result.detection_fields」にマッピングしました。
  • 「match_id」を「security_result.detection_fields」にマッピングしました。
  • 「parent_rule」を「security_result.detection_fields」にマッピングしました。
  • 「security_outzone」を「security_result.detection_fields」にマッピングしました。
  • 「sub_policy_name」を「security_result.detection_fields」にマッピングしました。
  • 「sub_policy_uid」を「security_result.detection_fields」にマッピングしました。
  • 「drop_reason」を「security_result.summary」にマッピングしました。
  • 「reason」を「security_result.summary」にマッピングしました。
  • 「xlatesport」を「principal.nat_port」にマッピングしました。
  • 「xlatedport」を「target.nat_port」にマッピングしました。
  • 「ipv6_dst」を「target.ip」にマッピングしました。
  • 「ipv6_src」を「principal.ip」にマッピングしました。

2023-04-24

  • CEF 形式のログのサポートを追加しました。

2022-11-18

  • 「service」のマッピングを変更し、「target.port」にマッピングしました。

2022-10-27

  • 「attack」、「attack_info」、「policy_name」の条件付きチェックを追加しました。
  • 「principal_hostname」を取得するための grok パターンを追加しました。
  • gsub を追加して「="」を「:」に変更しました。
  • 「service」のマッピングを変更し、「target.resource.attribute.labels」にマッピングしました。

2022-10-13

  • フィールド「fw_subproduct」を「metadata.product_name」にマッピングしました。
  • フィールド「src」から IP を抽出するための grok パターンを追加しました。

2022-08-30

  • お客様固有のバージョンの変更をデフォルトに統合しました。
  • UserCheck で「*****」を含むログのドロップを解除しました。

2022-08-18

  • 「portal_message」を「security_result.description」にマッピングしました。
  • 「portal_message」に「malware/malicious」というキーワードが含まれている場合に備えて、「security_result.category」を「SOFTWARE_MALICIOUS」にマッピングしました。
  • 「URL」を「security_result.about.url」にマッピングしました。
  • 「Activity」を「security_result.summary」にマッピングしました。
  • 「Reference」を「security_result.about.resource.attribute.labels」にマッピングしました。
  • 「intermediary.ip」の値を「principal.ip」に複製することで、「event_type」を「GENERIC_EVENT」から「STATUS_UPDATE」に変更しました。

2022-08-12

  • 「malware_action」、「malware_family」、「protection_name」、「protection_type」を「security_result.about.resource.attribute.labels」にマッピングしました。
  • 「src_machine_name」を「security_result.detection_fields」にマッピングしました。

2022-06-30

  • 「message_info」を「metadata.description」にマッピングしました。

2022-06-17

  • フィールド「nat_rulenum」、「rule」、「sent_bytes」、「received_bytes」、「s_port」、「service」の条件付きチェックを追加しました。
  • 次のケースで event_types を変更しました。
  • 「principal.ip または principal.hostname」と「target.ip または target.hostname」が null でない場合、「GENERIC_EVENT」を「NETWORK_CONNECTION」にマッピングします。
  • 「principal.ip」または「principal.hostname」が null でない場合は、「GENERIC_EVENT」を「STATUS_UNCATEGORIZED」に変更しました。

2022-06-14

  • passwd の条件チェックを削除して、より多くのログを解析するようにパーサーを変更しました。

2022-06-07

  • src_machine_name を security_result.detection_fields にマッピングしました。

2022-05-19

  • inzone、outzone、layer_name、layer_uuid、policy_name を security_result.detection_fields にマッピングしました。
  • service_id を principal.application にマッピングしました。