Check Point ファイアウォール ログを収集する
以下でサポートされています。
Google SecOpsSIEM
このパーサーは、チェック ポイント ファイアウォールのログを抽出します。CEF 形式と CEF 以外の形式のメッセージ(syslog、Key-Value ペア、JSON など)の両方を処理します。フィールドを正規化し、UDM にマッピングし、ログイン/ログアウト、ネットワーク接続、セキュリティ イベントに関する特定のロジックを実行します。位置情報や脅威インテリジェンスなどのコンテキスト情報をデータに追加します。
始める前に
- Google Security Operations インスタンスがあることを確認します。
- Windows 2016 以降、または systemd を搭載した Linux ホストを使用していることを確認します。
- プロキシの背後で実行している場合は、ファイアウォールのポートが開いていることを確認します。
- Check Point ファイアウォールへの特権アクセス権があることを確認します。
Google SecOps 取り込み認証ファイルを取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定> 収集エージェント] に移動します。
- 取り込み認証ファイルをダウンロードします。
Google SecOps のお客様 ID を取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [プロファイル] に移動します。
- [組織の詳細] セクションから [お客様 ID] をコピーして保存します。
BindPlane Agent をインストールする
- Windows へのインストールの場合は、次のスクリプトを実行します。
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
- Linux へのインストールの場合は、次のスクリプトを実行します。
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
- その他のインストール オプションについては、こちらのインストール ガイドをご覧ください。
Syslog を取り込んで Google SecOps に送信するように BindPlane エージェントを構成する
- BindPlane がインストールされているマシンにアクセスします。
config.yaml
ファイルを次のように編集します。receivers: udplog: # Replace the below port <54525> and IP <0.0.0.0> with your specific values listen_address: "0.0.0.0:54525" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the creds location below according the placement of the credentials file you downloaded creds: '{ json file for creds }' # Replace <customer_id> below with your actual ID that you copied customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # You can apply ingestion labels below as preferred ingestion_labels: log_type: SYSLOG namespace: Checkpoint_Firewall raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels
BindPlane エージェントを再起動して変更を適用します。
sudo systemctl restart bindplane
Check Point Firewall で Syslog エクスポートを構成する
- 特権アカウントを使用して Check Point ファイアウォールの UI にログインします。
- [ログとモニタリング] > [ログサーバー] に移動します。
- [Syslog サーバー] に移動します。
- [構成] をクリックして、次の値を設定します。
- プロトコル: セキュリティ ログやシステムログを送信するには、[UDP] を選択します。
- 名前: 一意の名前を指定します(例: Bindplane_Server)。
- IP アドレス: syslog サーバーの IP アドレス(Bindplane IP)を指定します。
- ポート: syslog サーバー ポート(Bindplane ポート)を指定します。
- [Enable log server] を選択します。
- 転送するログを選択します。[システムログとセキュリティ ログの両方] を選択します。
- [適用] をクリックします。
UDM マッピング テーブル
ログフィールド | UDM マッピング | ロジック |
---|---|---|
Action |
event.idm.read_only_udm.security_result.action_details |
Action フィールドから直接マッピングされます。 |
Activity |
event.idm.read_only_udm.security_result.summary |
Activity フィールドから直接マッピングされます。 |
additional_info |
event.idm.read_only_udm.security_result.description |
additional_info フィールドから直接マッピングされます。 |
administrator |
event.idm.read_only_udm.security_result.detection_fields[].value |
administrator フィールドから直接マッピングされます。キーは「administrator」です。 |
aggregated_log_count |
event.idm.read_only_udm.security_result.detection_fields[].value |
aggregated_log_count フィールドから直接マッピングされます。キーは「aggregated_log_count」です。 |
appi_name |
event.idm.read_only_udm.security_result.detection_fields[].value |
appi_name フィールドから直接マッピングされます。キーは「appi_name」です。 |
app_category |
event.idm.read_only_udm.security_result.category_details |
app_category フィールドから直接マッピングされます。 |
app_properties |
event.idm.read_only_udm.security_result.detection_fields[].value |
app_properties フィールドから直接マッピングされます。キーは「app_properties」です。 |
app_risk |
event.idm.read_only_udm.security_result.detection_fields[].value |
app_risk フィールドから直接マッピングされます。キーは「app_risk」です。 |
app_session_id |
event.idm.read_only_udm.network.session_id |
app_session_id フィールドから直接マッピングされ、文字列に変換されます。 |
attack |
event.idm.read_only_udm.security_result.summary |
Info が存在する場合は、attack フィールドから直接マッピングされます。 |
attack |
event.idm.read_only_udm.security_result.threat_name |
Info が存在する場合は、attack フィールドから直接マッピングされます。 |
attack_info |
event.idm.read_only_udm.security_result.description |
attack_info フィールドから直接マッピングされます。 |
auth_status |
event.idm.read_only_udm.security_result.summary |
auth_status フィールドから直接マッピングされます。 |
browse_time |
event.idm.read_only_udm.additional.fields[].value.string_value |
browse_time フィールドから直接マッピングされます。キーは「browse_time」です。 |
bytes |
event.idm.read_only_udm.additional.fields[].value.string_value |
bytes フィールドから直接マッピングされます。キーは「bytes」です。 |
bytes |
event.idm.read_only_udm.additional.fields[].value.string_value |
bytes フィールドから直接マッピングされます。キーは「bytes」です。 |
calc_service |
event.idm.read_only_udm.additional.fields[].value.string_value |
calc_service フィールドから直接マッピングされます。キーは「calc_service」です。 |
category |
event.idm.read_only_udm.security_result.category_details |
category フィールドから直接マッピングされます。 |
client_version |
event.idm.read_only_udm.intermediary.platform_version |
client_version フィールドから直接マッピングされます。 |
conn_direction |
event.idm.read_only_udm.additional.fields[].value.string_value |
conn_direction フィールドから直接マッピングされます。キーは「conn_direction」です。 |
conn_direction |
event.idm.read_only_udm.network.direction |
conn_direction が「Incoming」の場合は、「INBOUND」にマッピングされます。それ以外の場合は「OUTBOUND」にマッピングされます。 |
connection_count |
event.idm.read_only_udm.security_result.detection_fields[].value |
connection_count フィールドから直接マッピングされます。キーは「connection_count」です。 |
contract_name |
event.idm.read_only_udm.security_result.description |
contract_name フィールドから直接マッピングされます。 |
cs2 |
event.idm.read_only_udm.security_result.rule_name |
cs2 フィールドから直接マッピングされます。 |
date_time |
event.idm.read_only_udm.metadata.event_timestamp |
解析され、さまざまな日付形式を使用してタイムスタンプに変換されます。 |
dedup_time |
event.idm.read_only_udm.additional.fields[].value.string_value |
dedup_time フィールドから直接マッピングされます。キーは「dedup_time」です。 |
desc |
event.idm.read_only_udm.security_result.summary |
desc フィールドから直接マッピングされます。 |
description |
event.idm.read_only_udm.security_result.description |
description フィールドから直接マッピングされます。 |
description_url |
event.idm.read_only_udm.additional.fields[].value.string_value |
description_url フィールドから直接マッピングされます。キーは「description_url」です。 |
destinationAddress |
event.idm.read_only_udm.target.ip 、event.idm.read_only_udm.target.asset.ip |
destinationAddress フィールドから直接マッピングされます。 |
destinationPort |
event.idm.read_only_udm.target.port |
destinationPort フィールドから直接マッピングされ、整数に変換されます。 |
destinationTranslatedAddress |
event.idm.read_only_udm.target.ip 、event.idm.read_only_udm.target.asset.ip |
destinationTranslatedAddress フィールドから直接マッピングされます。 |
destinationTranslatedAddress |
event.idm.read_only_udm.target.nat_ip |
destinationTranslatedAddress フィールドから直接マッピングされます。 |
destinationTranslatedPort |
event.idm.read_only_udm.target.port |
destinationTranslatedPort フィールドから直接マッピングされ、整数に変換されます。 |
destinationTranslatedPort |
event.idm.read_only_udm.target.nat_port |
destinationTranslatedPort フィールドから直接マッピングされ、整数に変換されます。 |
deviceCustomString2 |
event.idm.read_only_udm.security_result.rule_name |
deviceCustomString2 フィールドから直接マッピングされます。 |
deviceDirection |
event.idm.read_only_udm.network.direction |
deviceDirection が 0 の場合、「OUTBOUND」にマッピングされます。1 の場合、「INBOUND」にマッピングされます。 |
domain |
event.idm.read_only_udm.principal.administrative_domain |
domain フィールドから直接マッピングされます。 |
domain_name |
event.idm.read_only_udm.principal.administrative_domain |
domain_name フィールドから直接マッピングされます。 |
drop_reason |
event.idm.read_only_udm.security_result.summary |
drop_reason フィールドから直接マッピングされます。 |
ds |
event.idm.read_only_udm.metadata.event_timestamp |
ts と tz とともに使用して、イベント タイムスタンプを作成します。 |
dst |
event.idm.read_only_udm.target.ip 、event.idm.read_only_udm.target.asset.ip |
dst フィールドから直接マッピングされます。 |
dst_country |
event.idm.read_only_udm.target.location.country_or_region |
dst_country フィールドから直接マッピングされます。 |
dst_ip |
event.idm.read_only_udm.target.ip 、event.idm.read_only_udm.target.asset.ip |
dst_ip フィールドから直接マッピングされます。 |
dpt |
event.idm.read_only_udm.target.port |
dpt フィールドから直接マッピングされ、整数に変換されます。 |
duration |
event.idm.read_only_udm.network.session_duration.seconds |
duration フィールドから直接マッピングされ、0 より大きい場合は整数に変換されます。 |
duser |
event.idm.read_only_udm.target.user.email_addresses 、event.idm.read_only_udm.target.user.user_display_name |
メールアドレスの形式と一致する場合は、duser フィールドから直接マッピングされます。 |
environment_id |
event.idm.read_only_udm.target.resource.product_object_id |
environment_id フィールドから直接マッピングされます。 |
event_type |
event.idm.read_only_udm.metadata.event_type |
特定のフィールドと値の存在に基づくロジックによって決定されます。特定のイベントタイプが特定されていない場合、デフォルトは GENERIC_EVENT です。NETWORK_CONNECTION 、USER_LOGIN 、USER_CHANGE_PASSWORD 、USER_LOGOUT 、NETWORK_HTTP 、STATUS_UPDATE のいずれかです。 |
fieldschanges |
event.idm.read_only_udm.security_result.detection_fields[].value |
fieldschanges フィールドから直接マッピングされます。キーは「fieldschanges」です。 |
flags |
event.idm.read_only_udm.security_result.detection_fields[].value |
flags フィールドから直接マッピングされます。キーは「flags」です。 |
flexString2 |
event.idm.read_only_udm.security_result.detection_fields[].value |
flexString2 フィールドから直接マッピングされます。Key は flexString2Label の値です。 |
from_user |
event.idm.read_only_udm.principal.user.userid |
from_user フィールドから直接マッピングされます。 |
fservice |
event.idm.read_only_udm.security_result.detection_fields[].value |
fservice フィールドから直接マッピングされます。キーは「fservice」です。 |
fw_subproduct |
event.idm.read_only_udm.metadata.product_name |
product が空の場合、fw_subproduct フィールドから直接マッピングされます。 |
geoip_dst.country_name |
event.idm.read_only_udm.target.location.country_or_region |
geoip_dst.country_name フィールドから直接マッピングされます。 |
hll_key |
event.idm.read_only_udm.additional.fields[].value.string_value |
hll_key フィールドから直接マッピングされます。キーは「hll_key」です。 |
hostname |
event.idm.read_only_udm.target.hostname 、event.idm.read_only_udm.target.asset.hostname 、event.idm.read_only_udm.intermediary.hostname |
inter_host が空の場合、hostname フィールドから直接マッピングされます。 |
http_host |
event.idm.read_only_udm.target.resource.attribute.labels[].value |
http_host フィールドから直接マッピングされます。キーは「http_host」です。 |
id |
event.idm.read_only_udm.metadata.product_log_id |
_id フィールドから直接マッピングされます。 |
identity_src |
event.idm.read_only_udm.target.application |
identity_src フィールドから直接マッピングされます。 |
identity_type |
event.idm.read_only_udm.extensions.auth.type |
identity_type が「user」の場合、「VPN」にマッピングされます。それ以外の場合は「MACHINE」にマッピングされます。 |
if_direction |
event.idm.read_only_udm.network.direction |
if_direction フィールドから直接マッピングされ、大文字に変換されます。 |
ifdir |
event.idm.read_only_udm.network.direction |
ifdir フィールドから直接マッピングされ、大文字に変換されます。 |
ifname |
event.idm.read_only_udm.security_result.detection_fields[].value |
ifname フィールドから直接マッピングされます。キーは「ifname」です。 |
IKE |
event.idm.read_only_udm.metadata.description |
IKE フィールドから直接マッピングされます。 |
inzone |
event.idm.read_only_udm.security_result.detection_fields[].value |
inzone フィールドから直接マッピングされます。キーは「inzone」です。 |
industry_reference |
event.idm.read_only_udm.additional.fields[].value.string_value |
industry_reference フィールドから直接マッピングされます。キーは「industry_reference」です。 |
instance_id |
event.idm.read_only_udm.principal.hostname 、event.idm.read_only_udm.principal.asset.hostname |
instance_id フィールドから直接マッピングされます。 |
inter_host |
event.idm.read_only_udm.intermediary.hostname |
inter_host フィールドから直接マッピングされます。 |
ip_proto |
event.idm.read_only_udm.network.ip_protocol |
proto フィールドまたは service フィールドに基づいて決定されます。TCP、UDP、ICMP、IP6IN4、GRE のいずれかです。 |
ipv6_dst |
event.idm.read_only_udm.target.ip 、event.idm.read_only_udm.target.asset.ip |
ipv6_dst フィールドから直接マッピングされます。 |
ipv6_src |
event.idm.read_only_udm.principal.ip 、event.idm.read_only_udm.principal.asset.ip |
ipv6_src フィールドから直接マッピングされます。 |
layer_name |
event.idm.read_only_udm.security_result.rule_set_display_name 、event.idm.read_only_udm.security_result.detection_fields[].value |
layer_name フィールドから直接マッピングされます。キーは「layer_name」です。 |
layer_uuid |
event.idm.read_only_udm.security_result.rule_set 、event.idm.read_only_udm.security_result.detection_fields[].value |
中かっこを削除した layer_uuid フィールドから直接マッピングされます。キーは「layer_uuid」です。 |
layer_uuid_rule_uuid |
event.idm.read_only_udm.security_result.rule_id |
layer_uuid_rule_uuid フィールドから直接マッピングされ、角かっこと引用符が削除されています。 |
log_id |
event.idm.read_only_udm.metadata.product_log_id |
log_id フィールドから直接マッピングされます。 |
log_type |
event.idm.read_only_udm.metadata.log_type |
log_type フィールドから直接マッピングされます。「CHECKPOINT_FIREWALL」にハードコードされています。 |
loguid |
event.idm.read_only_udm.metadata.product_log_id |
中かっこを削除した loguid フィールドから直接マッピングされます。 |
logic_changes |
event.idm.read_only_udm.security_result.detection_fields[].value |
logic_changes フィールドから直接マッピングされます。キーは「logic_changes」です。 |
localhost |
event.idm.read_only_udm.target.hostname 、event.idm.read_only_udm.target.asset.hostname |
localhost フィールドから直接マッピングされます。dst_ip は「127.0.0.1」に設定されています。 |
malware_action |
event.idm.read_only_udm.security_result.detection_fields[].value 、event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value |
malware_action フィールドから直接マッピングされます。キーは「malware_action」です。 |
malware_family |
event.idm.read_only_udm.security_result.detection_fields[].value 、event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value |
malware_family フィールドから直接マッピングされます。キーは「malware_family」です。 |
malware_rule_id |
event.idm.read_only_udm.security_result.detection_fields[].value |
中かっこを削除した malware_rule_id フィールドから直接マッピングされます。キーは「マルウェアルール ID」です。 |
malware_rule_name |
event.idm.read_only_udm.security_result.detection_fields[].value |
malware_rule_name フィールドから直接マッピングされます。キーは「マルウェアルール名」です。 |
match_id |
event.idm.read_only_udm.security_result.detection_fields[].value |
match_id フィールドから直接マッピングされます。キーは「match_id」です。 |
matched_category |
event.idm.read_only_udm.security_result.detection_fields[].value |
matched_category フィールドから直接マッピングされます。キーは「matched_category」です。 |
message_info |
event.idm.read_only_udm.metadata.description |
message_info フィールドから直接マッピングされます。 |
method |
event.idm.read_only_udm.network.http.method |
method フィールドから直接マッピングされます。 |
mitre_execution |
event.idm.read_only_udm.additional.fields[].value.string_value |
mitre_execution フィールドから直接マッピングされます。キーは「mitre_execution」です。 |
mitre_initial_access |
event.idm.read_only_udm.security_result.detection_fields[].value |
mitre_initial_access フィールドから直接マッピングされます。キーは「mitre_initial_access」です。 |
nat_rulenum |
event.idm.read_only_udm.security_result.rule_id |
nat_rulenum フィールドから直接マッピングされ、文字列に変換されます。 |
objecttype |
event.idm.read_only_udm.security_result.detection_fields[].value |
objecttype フィールドから直接マッピングされます。キーは「objecttype」です。 |
operation |
event.idm.read_only_udm.security_result.summary |
operation フィールドから直接マッピングされます。 |
operation |
event.idm.read_only_udm.security_result.detection_fields[].value |
operation フィールドから直接マッピングされます。キーは「operation」です。 |
orig |
event.idm.read_only_udm.principal.hostname 、event.idm.read_only_udm.principal.asset.hostname |
orig フィールドから直接マッピングされます。 |
origin |
event.idm.read_only_udm.principal.ip 、event.idm.read_only_udm.principal.asset.ip 、event.idm.read_only_udm.target.ip 、event.idm.read_only_udm.target.asset.ip 、event.idm.read_only_udm.intermediary.ip |
origin フィールドから直接マッピングされます。 |
origin_sic_name |
event.idm.read_only_udm.intermediary.asset_id 、event.idm.read_only_udm.intermediary.labels[].value |
origin_sic_name フィールドから直接マッピングされます。キーは「Machine SIC」です。アセット ID には「asset:」という接頭辞が付いています。 |
originsicname |
event.idm.read_only_udm.additional.fields[].value.string_value |
originsicname フィールドから直接マッピングされます。キーは「originsicname」です。 |
originsicname |
event.idm.read_only_udm.intermediary.asset_id 、event.idm.read_only_udm.intermediary.labels[].value |
originsicname フィールドから直接マッピングされます。キーは「Machine SIC」です。アセット ID には「asset:」という接頭辞が付いています。 |
os_name |
event.idm.read_only_udm.principal.asset.platform_software.platform |
os_name に「Win」が含まれている場合は、「WINDOWS」にマッピングされます。「MAC」または「IOS」が含まれている場合は、「MAC」にマッピングされます。「LINUX」が含まれている場合は、「LINUX」にマッピングされます。 |
os_version |
event.idm.read_only_udm.principal.asset.platform_software.platform_patch_level |
os_version フィールドから直接マッピングされます。 |
outzone |
event.idm.read_only_udm.security_result.detection_fields[].value |
outzone フィールドから直接マッピングされます。キーは「outzone」です。 |
packets |
event.idm.read_only_udm.additional.fields[].value.string_value |
packets フィールドから直接マッピングされます。キーは「packets」です。 |
packet_capture_name |
event.idm.read_only_udm.additional.fields[].value.string_value |
packet_capture_name フィールドから直接マッピングされます。キーは「packet_capture_name」です。 |
packet_capture_time |
event.idm.read_only_udm.additional.fields[].value.string_value |
packet_capture_time フィールドから直接マッピングされます。キーは「packet_capture_time」です。 |
packet_capture_unique_id |
event.idm.read_only_udm.additional.fields[].value.string_value |
packet_capture_unique_id フィールドから直接マッピングされます。キーは「packet_capture_unique_id」です。 |
parent_rule |
event.idm.read_only_udm.security_result.detection_fields[].value |
parent_rule フィールドから直接マッピングされます。キーは「parent_rule」です。 |
performance_impact |
event.idm.read_only_udm.additional.fields[].value.string_value |
performance_impact フィールドから直接マッピングされます。キーは「performance_impact」です。 |
policy_name |
event.idm.read_only_udm.security_result.detection_fields[].value |
Grok を使用して __policy_id_tag フィールドから抽出され、マッピングされます。キーは「ポリシー名」です。 |
policy_time |
event.idm.read_only_udm.security_result.detection_fields[].value |
policy_time フィールドから直接マッピングされます。キーは「policy_time」です。 |
portal_message |
event.idm.read_only_udm.security_result.description |
portal_message フィールドから直接マッピングされます。 |
principal_hostname |
event.idm.read_only_udm.principal.ip 、event.idm.read_only_udm.principal.asset.ip |
有効な IP アドレスの場合は、principal_hostname フィールドから直接マッピングされます。 |
principal_hostname |
event.idm.read_only_udm.principal.hostname 、event.idm.read_only_udm.principal.asset.hostname |
有効な IP アドレスでも「チェックポイント」でもない場合は、principal_hostname フィールドから直接マッピングされます。 |
prod_family_label |
event.idm.read_only_udm.additional.fields[].value.string_value |
ProductFamily フィールドから直接マッピングされます。キーは「ProductFamily」です。 |
product |
event.idm.read_only_udm.metadata.product_name |
product フィールドから直接マッピングされます。 |
product_family |
event.idm.read_only_udm.additional.fields[].value.string_value |
product_family フィールドから直接マッピングされます。キーは「product_family」です。 |
product_family |
event.idm.read_only_udm.additional.fields[].value.string_value |
product_family フィールドから直接マッピングされます。キーは「product_family」です。 |
ProductName |
event.idm.read_only_udm.metadata.product_name |
product が空の場合、ProductName フィールドから直接マッピングされます。 |
product_name |
event.idm.read_only_udm.metadata.product_name |
product_name フィールドから直接マッピングされます。 |
profile |
event.idm.read_only_udm.security_result.detection_fields[].value |
profile フィールドから直接マッピングされます。キーは「profile」です。 |
protocol |
event.idm.read_only_udm.network.application_protocol |
protocol フィールドが「HTTP」の場合、そのフィールドから直接マッピングされます。 |
proxy_src_ip |
event.idm.read_only_udm.principal.nat_ip |
proxy_src_ip フィールドから直接マッピングされます。 |
reason |
event.idm.read_only_udm.security_result.summary |
reason フィールドから直接マッピングされます。 |
received_bytes |
event.idm.read_only_udm.network.received_bytes |
received_bytes フィールドから直接マッピングされ、符号なし整数に変換されます。 |
Reference |
event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value 、event.idm.read_only_udm.security_result.detection_fields[].value |
Reference フィールドから直接マッピングされます。キーは「Reference」です。attack を使用して _vuln.name を作成するために使用されます。 |
reject_id_kid |
event.idm.read_only_udm.security_result.detection_fields[].value |
reject_id_kid フィールドから直接マッピングされます。キーは「reject_id_kid」です。 |
resource |
event.idm.read_only_udm.target.url |
JSON として解析され、ターゲット URL にマッピングされます。解析に失敗した場合は、直接マッピングされます。 |
resource |
event.idm.read_only_udm.additional.fields[].value.list_value.values[].string_value |
JSON として解析され、resource 配列の各値がリストに追加されます。キーは「Resource」です。 |
result |
event.idm.read_only_udm.metadata.event_timestamp |
date_time で解析され、イベントのタイムスタンプが作成されます。 |
rt |
event.idm.read_only_udm.metadata.event_timestamp |
エポックからのミリ秒として解析され、タイムスタンプに変換されます。 |
rule |
event.idm.read_only_udm.security_result.rule_name |
rule フィールドから直接マッピングされます。 |
rule_action |
event.idm.read_only_udm.security_result.detection_fields[].value |
rule_action フィールドから直接マッピングされます。キーは「rule_action」です。 |
rule_name |
event.idm.read_only_udm.security_result.rule_name |
rule_name フィールドから直接マッピングされます。 |
rule_uid |
event.idm.read_only_udm.security_result.rule_id |
rule_uid フィールドから直接マッピングされます。 |
s_port |
event.idm.read_only_udm.principal.port |
s_port フィールドから直接マッピングされ、整数に変換されます。 |
scheme |
event.idm.read_only_udm.additional.fields[].value.string_value |
scheme フィールドから直接マッピングされます。キーは「scheme」です。 |
security_inzone |
event.idm.read_only_udm.security_result.detection_fields[].value |
security_inzone フィールドから直接マッピングされます。キーは「security_inzone」です。 |
security_outzone |
event.idm.read_only_udm.security_result.detection_fields[].value |
security_outzone フィールドから直接マッピングされます。キーは「security_outzone」です。 |
security_result_action |
event.idm.read_only_udm.security_result.action |
security_result_action フィールドから直接マッピングされます。 |
sendtotrackerasadvancedauditlog |
event.idm.read_only_udm.security_result.detection_fields[].value |
sendtotrackerasadvancedauditlog フィールドから直接マッピングされます。キーは「sendtotrackerasadvancedauditlog」です。 |
sent_bytes |
event.idm.read_only_udm.network.sent_bytes |
sent_bytes フィールドから直接マッピングされ、符号なし整数に変換されます。 |
sequencenum |
event.idm.read_only_udm.additional.fields[].value.string_value |
sequencenum フィールドから直接マッピングされます。キーは「sequencenum」です。 |
ser_agent_kid |
event.idm.read_only_udm.security_result.detection_fields[].value |
ser_agent_kid フィールドから直接マッピングされます。キーは「ser_agent_kid」です。 |
service |
event.idm.read_only_udm.target.port |
service フィールドから直接マッピングされ、整数に変換されます。 |
service_id |
event.idm.read_only_udm.network.application_protocol |
service_id フィールドから直接マッピングされます。値が「dhcp」、「dns」、「http」、「https」、「quic」の場合は大文字に変換されます。 |
service_id |
event.idm.read_only_udm.principal.application |
ネットワーク アプリケーション プロトコルのいずれでない場合、service_id フィールドから直接マッピングされます。 |
service_id |
event.idm.read_only_udm.security_result.detection_fields[].value |
service_id フィールドから直接マッピングされます。キーは「service_id」です。 |
session_description |
event.idm.read_only_udm.security_result.detection_fields[].value |
session_description フィールドから直接マッピングされます。キーは「session_description」です。 |
session_id |
event.idm.read_only_udm.network.session_id |
中かっこを削除した session_id フィールドから直接マッピングされます。 |
session_name |
event.idm.read_only_udm.security_result.detection_fields[].value |
session_name フィールドから直接マッピングされます。キーは「session_name」です。 |
session_uid |
event.idm.read_only_udm.network.session_id |
中かっこを削除した session_uid フィールドから直接マッピングされます。 |
Severity |
event.idm.read_only_udm.security_result.severity |
Severity の値に基づいて「LOW」、「MEDIUM」、「HIGH」、「CRITICAL」にマッピングされます。 |
severity |
event.idm.read_only_udm.security_result.severity |
severity の値に基づいて「LOW」、「MEDIUM」、「HIGH」、「CRITICAL」にマッピングされます。 |
site |
event.idm.read_only_udm.network.http.user_agent |
site フィールドから直接マッピングされます。 |
smartdefense_profile |
event.idm.read_only_udm.security_result.detection_fields[].value |
smartdefense_profile フィールドから直接マッピングされます。キーは「smartdefense_profile」です。 |
snid |
event.idm.read_only_udm.network.session_id |
snid フィールドが空でないか「0」でない場合、snid フィールドから直接マッピングされます。 |
sourceAddress |
event.idm.read_only_udm.principal.ip 、event.idm.read_only_udm.principal.asset.ip |
sourceAddress フィールドから直接マッピングされます。 |
sourcePort |
event.idm.read_only_udm.principal.port |
sourcePort フィールドから直接マッピングされ、整数に変換されます。 |
sourceTranslatedAddress |
event.idm.read_only_udm.principal.ip 、event.idm.read_only_udm.principal.asset.ip |
sourceTranslatedAddress フィールドから直接マッピングされます。 |
sourceTranslatedAddress |
event.idm.read_only_udm.principal.nat_ip |
sourceTranslatedAddress フィールドから直接マッピングされます。 |
sourceTranslatedPort |
event.idm.read_only_udm.principal.port |
sourceTranslatedPort フィールドから直接マッピングされ、整数に変換されます。 |
sourceTranslatedPort |
event.idm.read_only_udm.principal.nat_port |
sourceTranslatedPort フィールドから直接マッピングされ、整数に変換されます。 |
sourceUserName |
event.idm.read_only_udm.principal.user.userid 、event.idm.read_only_udm.principal.user.first_name 、event.idm.read_only_udm.principal.user.last_name |
grok を使用して解析され、ユーザー ID、名、姓が抽出されます。 |
spt |
event.idm.read_only_udm.principal.port |
spt フィールドから直接マッピングされ、整数に変換されます。 |
src |
event.idm.read_only_udm.principal.ip 、event.idm.read_only_udm.principal.asset.ip |
src フィールドから直接マッピングされます。 |
src_ip |
event.idm.read_only_udm.principal.ip 、event.idm.read_only_udm.principal.asset.ip |
src_ip フィールドから直接マッピングされます。 |
src_localhost |
event.idm.read_only_udm.principal.hostname 、event.idm.read_only_udm.principal.asset.hostname |
src_localhost フィールドから直接マッピングされます。src_ip は「127.0.0.1」に設定されています。 |
src_machine_name |
event.idm.read_only_udm.security_result.detection_fields[].value |
src_machine_name フィールドから直接マッピングされます。キーは「src_machine_name」です。 |
src_port |
event.idm.read_only_udm.principal.port |
src_port フィールドから直接マッピングされ、整数に変換されます。 |
src_user |
event.idm.read_only_udm.principal.user.userid |
src_user フィールドから直接マッピングされます。 |
src_user_dn |
event.idm.read_only_udm.security_result.detection_fields[].value |
src_user_dn フィールドから直接マッピングされます。キーは「src_user_dn」です。 |
src_user_name |
event.idm.read_only_udm.principal.user.userid |
src_user_name フィールドから直接マッピングされます。 |
sub_policy_name |
event.idm.read_only_udm.security_result.detection_fields[].value |
sub_policy_name フィールドから直接マッピングされます。キーは「sub_policy_name」です。 |
sub_policy_uid |
event.idm.read_only_udm.security_result.detection_fields[].value |
sub_policy_uid フィールドから直接マッピングされます。キーは「sub_policy_uid」です。 |
subject |
event.idm.read_only_udm.security_result.detection_fields[].value |
subject フィールドから直接マッピングされます。キーは「subject」です。 |
subscription_stat_desc |
event.idm.read_only_udm.security_result.summary |
subscription_stat_desc フィールドから直接マッピングされます。 |
tags |
event.idm.read_only_udm.security_result.detection_fields[].value |
tags フィールドから直接マッピングされます。キーは「tags」です。 |
tar_user |
event.idm.read_only_udm.target.user.userid |
tar_user フィールドから直接マッピングされます。 |
target_port |
event.idm.read_only_udm.target.port |
target_port フィールドから直接マッピングされます。 |
tcp_flags |
event.idm.read_only_udm.security_result.detection_fields[].value |
tcp_flags フィールドから直接マッピングされます。キーは「tcp_flags」です。 |
tcp_packet_out_of_state |
event.idm.read_only_udm.security_result.detection_fields[].value |
tcp_packet_out_of_state フィールドから直接マッピングされます。キーは「tcp_packet_out_of_state」です。 |
time |
event.idm.read_only_udm.metadata.event_timestamp |
解析され、さまざまな日付形式を使用してタイムスタンプに変換されます。 |
ts |
event.idm.read_only_udm.metadata.event_timestamp |
ds と tz で解析され、イベント タイムスタンプが作成されます。 |
type |
event.idm.read_only_udm.security_result.rule_type |
type フィールドから直接マッピングされます。 |
tz |
event.idm.read_only_udm.metadata.event_timestamp |
ds と ts とともに使用して、イベント タイムスタンプを作成します。 |
update_count |
event.idm.read_only_udm.security_result.detection_fields[].value |
update_count フィールドから直接マッピングされます。キーは「update_count」です。 |
URL |
event.idm.read_only_udm.security_result.about.url |
URL フィールドから直接マッピングされます。 |
user |
event.idm.read_only_udm.principal.user.userid |
user フィールドから直接マッピングされます。 |
user_agent |
event.idm.read_only_udm.network.http.user_agent |
user_agent フィールドから直接マッピングされます。解析され、event.idm.read_only_udm.network.http.parsed_user_agent にマッピングされます。 |
userip |
event.idm.read_only_udm.principal.ip 、event.idm.read_only_udm.principal.asset.ip |
有効な IP アドレスの場合は、userip フィールドから直接マッピングされます。 |
UUid |
event.idm.read_only_udm.metadata.product_log_id |
中かっこを削除した UUid フィールドから直接マッピングされます。 |
version |
event.idm.read_only_udm.metadata.product_version |
version フィールドから直接マッピングされます。 |
web_client_type |
event.idm.read_only_udm.network.http.user_agent |
web_client_type フィールドから直接マッピングされます。 |
xlatedport |
event.idm.read_only_udm.target.nat_port |
xlatedport フィールドから直接マッピングされ、整数に変換されます。 |
xlatedst |
event.idm.read_only_udm.target.nat_ip |
xlatedst フィールドから直接マッピングされます。 |
xlatesport |
event.idm.read_only_udm.principal.nat_port |
xlatesport フィールドから直接マッピングされ、整数に変換されます。 |
xlatesrc |
event.idm.read_only_udm.principal.nat_ip |
xlatesrc フィールドから直接マッピングされます。 |
event.idm.read_only_udm.metadata.vendor_name |
Check Point |
ハードコードされた値。 |
event.idm.read_only_udm.metadata.log_type |
CHECKPOINT_FIREWALL |
ハードコードされた値。 |
event.idm.read_only_udm.security_result.rule_type |
Firewall Rule |
特定のロジックでオーバーライドされない限り、デフォルト値。 |
event.idm.is_alert |
true |
alert フィールドが「yes」の場合は true に設定します。 |
has_principal |
true |
プリンシパルの IP またはホスト名が抽出された場合は true に設定します。 |
has_target |
true |
ターゲット IP またはホスト名が抽出された場合は true に設定します。 |
変更点
2024-05-29
- 「layer_uuid_rule_uuid」を「security_result.rule_id」にマッピングしました。
- 「domain」を「principal.administrative_domain」にマッピングしました。
- 「fservice」、「appi_name」、「app_risk」、「policy_name」を「security_result.detection_fields」にマッピングしました。
- 「packets」、「__id」、「dedup_time」、「browse_time」、「bytes」、「product_family」、「hll_key」、「calc_service」を「additional.fields」にマッピングしました。
- 「id」を「metadata.product_log_id」にマッピングしました。
- 「orig_log_server」を「principal.resource.product_object_id」にマッピングしました。
- 「environment_id」を「target.resource.product_object_id」にマッピングしました。
- 「client_outbound_packets」と「client_inbound_packets」を「principal.resource.attribute.labels」にマッピングしました。
- 「server_outbound_bytes」と「server_inbound_bytes」を「target.resource.attribute.labels」にマッピングしました。
- 「orig」を「principal.hostname」と「principal.asset.hostname」にマッピングしました。
- 「orig_log_server_ip」を「principal.ip」と「principal.asset.ip」にマッピングしました。
- 「proto」を「network.ip_protocol」にマッピングしました。
2024-05-20
- 「inter_host」を抽出する Grok パターンを追加しました。
- 「inter_host」を「intermediary.hostname」にマッピングしました。
2024-04-19
- 機能強化とバグの修正:
- 「origin」を「target.ip」と「target.asset.ip」にマッピングしました。
- 新しい形式の SYSLOG ログを解析するための新しい Grok パターンを追加しました。
- 「smartdefense_profile」、「malware_rule_id」、「malware_rule_name」を「security_result.detection_fields」にマッピングしました。
- 「sequencenum」、「description_url」、「industry_reference」、「mitre_execution」、「packet_capture_name」、「packet_capture_unique_id」、「packet_capture_time」、「performance_impact」を「additional.fields」にマッピングしました。
- 「version」を「metadata.product_version」にマッピングしました。
- 「http_host」を「target.resource.attribute.labels」にマッピングしました。
- 「log_id」を「metadata.product_log_id」にマッピングしました。
- 「user_agent」を「network.http.user_agent」と「http.parsed_user_agent」にマッピングしました。
- 「hostname」、「dvc」、「principal_hostname」を「target.hostname」と「target.asset.hostname」にマッピングしました。
- 「has_principal」が「true」、"has_target" が「true」、"Action"/"action" が「Log In」、「Failed Log In」、「Failed Login」、「Update」の場合、「metadata.event_type」を「USER_LOGIN」に設定し、「extensions.auth.type」を「AUTHTYPE_UNSPECIFIED」に設定します。
- 「has_principal」が「true」、"has_target" が「true」、"Action"/"act"/"event_type" が「Log Out」または「Logout」の場合、「metadata.event_type」を「USER_LOGOUT」に設定し、「extensions.auth.type」を「AUTHTYPE_UNSPECIFIED」に設定します。
- 「has_principal」が「true」、かつ「has_target」が「true」の場合、「metadata.event_type」を「NETWORK_CONNECTION」に設定します。
- 「has_principal」が「true」、かつ「has_target」が「false」の場合、「metadata.event_type」を「STATUS_UPDATE」に設定します。
2024-02-07
- 次のフィールドのマッピングを追加しました。
- 「protection_id」、「malware_action」、「malware_family」、「protection_name」、「protection_type」を「security_result.detection_fields」にマッピングしました。
- 「confidence_level」を「security_result.confidence」と「security_result.confidence_details」にマッピングしました。
2024-02-05
- 次のフィールドのマッピングを追加しました。
- 「method」を「network.http.method」にマッピングしました。
2024-01-24
- 次のフィールドのマッピングを追加しました。
- 「method」を「network.http.method」にマッピングしました。
- 「duration」を「network.session_duration.seconds」にマッピングしました。
- 「additional_info」を「security_result.description」にマッピングしました。
- 「operation」を「security_result.summary」にマッピングしました。
- 「subject」を「metadata.description」にマッピングしました。
- 「principal_hostname」を「intermediary.hostname」にマッピングしました。
- 「tcp_packet_out_of_state」、「aggregated_log_count」、「connection_count」、「appi_name」、「src_user_dn」をマッピングしました。
- "update_count", "additional_info", "administrator", "operation", "sendtotrackerasadvancedauditlog",
- "subject", "fieldschanges", "logic_changes", "objecttype", "session_description",
- 「session_name」を「security_result.detection_fields」にマッピング。
2023-12-27
- 次のフィールドのマッピングを追加しました。
- 「flags」を「security_result.detection_fields」にマッピングしました。
- 「tcp_flags」を「security_result.detection_fields」にマッピングしました。
- 「tcp_packet_out_of_state」を「security_result.detection_fields」にマッピングしました。
2023-12-11
- 「principal_hostname」が有効な IP の場合は、「principal.ip」にマッピングしました。
- 「principal_hostname」が有効な IP でない場合、「principal.hostname」にマッピングします。
- 「sport_svc」を「principal.port」にマッピングしました。
- 「ProductFamily」を「additional.fields」にマッピングしました。
- 「mitre_initial_access」を「security_result.detection_fields」にマッピングしました。
- 「policy_time」を「security_result.detection_fields」にマッピングしました。
- 「profile」を「security_result.detection_fields」にマッピングしました。
- 「reject_id_kid」を「security_result.detection_fields」にマッピングしました。
- 「ser_agent_kid」を「security_result.detection_fields」にマッピングしました。
2023-10-11
- 「product」が「New Anti Virus」の場合、「firewall management node」から「principal.hostname」へのマッピングが削除され、代わりに「security_result.detection_fields」にマッピングされます。
2023-07-06
- 次のフィールドのマッピングを追加しました。
- 「app_category」を「security_result.category_details」にマッピングしました。
- 「matched_category」を「security_result.detection_fields」にマッピングしました。
- 「app_properties」を「security_result.detection_fields」にマッピングしました。
2023-06-14
- 次のフィールドのマッピングを追加しました
- 「conn_direction」を「additional.fields」にマッピングしました。
- 実際の値の「:」を「="」に置き換えないように gsub を変更しました。
2023-05-12
- 次のフィールドのマッピングを追加しました
- 「rule_name」を「security_result.rule_name」にマッピングしました。
- 「rule」、「sub_policy_name」、「sub_policy_uid」、「smartdefense_profile」、「tags」、「flexString2」を「security_result.detection_fields」にマッピングしました。
- 新しいログ形式をサポートする新しい Grok パターンを追加しました。
- 「dvc」を「intermediary.hostname」にマッピングしました。
- 「hostname」を「intermediary.hostname」にマッピングしました。
- 「origin_sic_name」を「intermediary.asset_id」にマッピングしました。
- 「conn_direction」を「network.ip_protocol」にマッピングしました。
- 「ifname」を「security_result.detection_fields」にマッピングしました。
- 「security_inzone」を「security_result.detection_fields」にマッピングしました。
- 「match_id」を「security_result.detection_fields」にマッピングしました。
- 「parent_rule」を「security_result.detection_fields」にマッピングしました。
- 「security_outzone」を「security_result.detection_fields」にマッピングしました。
- 「sub_policy_name」を「security_result.detection_fields」にマッピングしました。
- 「sub_policy_uid」を「security_result.detection_fields」にマッピングしました。
- 「drop_reason」を「security_result.summary」にマッピングしました。
- 「reason」を「security_result.summary」にマッピングしました。
- 「xlatesport」を「principal.nat_port」にマッピングしました。
- 「xlatedport」を「target.nat_port」にマッピングしました。
- 「ipv6_dst」を「target.ip」にマッピングしました。
- 「ipv6_src」を「principal.ip」にマッピングしました。
2023-04-24
- CEF 形式のログのサポートを追加しました。
2022-11-18
- 「service」のマッピングを変更し、「target.port」にマッピングしました。
2022-10-27
- 「attack」、「attack_info」、「policy_name」の条件付きチェックを追加しました。
- 「principal_hostname」を取得するための grok パターンを追加しました。
- gsub を追加して「="」を「:」に変更しました。
- 「service」のマッピングを変更し、「target.resource.attribute.labels」にマッピングしました。
2022-10-13
- フィールド「fw_subproduct」を「metadata.product_name」にマッピングしました。
- フィールド「src」から IP を抽出するための grok パターンを追加しました。
2022-08-30
- お客様固有のバージョンの変更をデフォルトに統合しました。
- UserCheck で「*****」を含むログのドロップを解除しました。
2022-08-18
- 「portal_message」を「security_result.description」にマッピングしました。
- 「portal_message」に「malware/malicious」というキーワードが含まれている場合に備えて、「security_result.category」を「SOFTWARE_MALICIOUS」にマッピングしました。
- 「URL」を「security_result.about.url」にマッピングしました。
- 「Activity」を「security_result.summary」にマッピングしました。
- 「Reference」を「security_result.about.resource.attribute.labels」にマッピングしました。
- 「intermediary.ip」の値を「principal.ip」に複製することで、「event_type」を「GENERIC_EVENT」から「STATUS_UPDATE」に変更しました。
2022-08-12
- 「malware_action」、「malware_family」、「protection_name」、「protection_type」を「security_result.about.resource.attribute.labels」にマッピングしました。
- 「src_machine_name」を「security_result.detection_fields」にマッピングしました。
2022-06-30
- 「message_info」を「metadata.description」にマッピングしました。
2022-06-17
- フィールド「nat_rulenum」、「rule」、「sent_bytes」、「received_bytes」、「s_port」、「service」の条件付きチェックを追加しました。
- 次のケースで event_types を変更しました。
- 「principal.ip または principal.hostname」と「target.ip または target.hostname」が null でない場合、「GENERIC_EVENT」を「NETWORK_CONNECTION」にマッピングします。
- 「principal.ip」または「principal.hostname」が null でない場合は、「GENERIC_EVENT」を「STATUS_UNCATEGORIZED」に変更しました。
2022-06-14
- passwd の条件チェックを削除して、より多くのログを解析するようにパーサーを変更しました。
2022-06-07
- src_machine_name を security_result.detection_fields にマッピングしました。
2022-05-19
- inzone、outzone、layer_name、layer_uuid、policy_name を security_result.detection_fields にマッピングしました。
- service_id を principal.application にマッピングしました。