Check Point 방화벽 로그 수집

다음에서 지원:

이 파서는 Check Point 방화벽 로그를 추출합니다. syslog, 키-값 쌍, JSON을 비롯한 CEF 및 비 CEF 형식 메시지를 모두 처리합니다. 필드를 정규화하고 UDM에 매핑하며 로그인/로그아웃, 네트워크 연결, 보안 이벤트에 관한 특정 로직을 실행합니다. 위치 정보 및 위협 인텔리전스와 같은 컨텍스트 정보로 데이터를 보강합니다.

시작하기 전에

  • Google Security Operations 인스턴스가 있는지 확인합니다.
  • Windows 2016 이상 또는 systemd가 있는 Linux 호스트를 사용하고 있는지 확인합니다.
  • 프록시 뒤에서 실행하는 경우 방화벽 포트가 열려 있는지 확인합니다.
  • Check Point 방화벽에 대한 권한 있는 액세스 권한이 있는지 확인합니다.

Google SecOps 수집 인증 파일 가져오기

  1. Google SecOps 콘솔에 로그인합니다.
  2. SIEM 설정 > 수집 에이전트로 이동합니다.
  3. 수집 인증 파일을 다운로드합니다.

Google SecOps 고객 ID 가져오기

  1. Google SecOps 콘솔에 로그인합니다.
  2. SIEM 설정 > 프로필로 이동합니다.
  3. 조직 세부정보 섹션에서 고객 ID를 복사하여 저장합니다.

Bindplane 에이전트 설치

  1. Windows 설치의 경우 다음 스크립트를 실행합니다.
    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
  2. Linux 설치의 경우 다음 스크립트를 실행합니다.
    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
  3. 추가 설치 옵션은 이 설치 가이드를 참고하세요.

Syslog를 수집하여 Google SecOps로 전송하도록 Bindplane 에이전트 구성

  1. Bindplane이 설치된 머신에 액세스합니다.
  2. 다음과 같이 config.yaml 파일을 수정합니다.

    receivers:
        udplog:
            # Replace the below port <54525> and IP <0.0.0.0> with your specific values
            listen_address: "0.0.0.0:54525" 
    
    exporters:
        chronicle/chronicle_w_labels:
            compression: gzip
            # Adjust the creds location below according the placement of the credentials file you downloaded
            creds: '{ json file for creds }'
            # Replace <customer_id> below with your actual ID that you copied
            customer_id: <customer_id>
            endpoint: malachiteingestion-pa.googleapis.com
            # You can apply ingestion labels below as preferred
            ingestion_labels:
            log_type: SYSLOG
            namespace: Checkpoint_Firewall
            raw_log_field: body
    service:
        pipelines:
            logs/source0__chronicle_w_labels-0:
                receivers:
                    - udplog
                exporters:
                    - chronicle/chronicle_w_labels
    
  3. Bindplane 에이전트를 다시 시작하여 변경사항을 적용합니다.

    sudo systemctl restart bindplane
    

Check Point 방화벽에서 Syslog 내보내기 구성

  1. 권한이 있는 계정을 사용하여 Check Point 방화벽 UI에 로그인합니다.
  2. 로그 및 모니터링 > 로그 서버로 이동합니다.
  3. 시스템로그 서버로 이동합니다.
  4. 구성을 클릭하고 다음 값을 설정합니다.
    • 프로토콜: 보안 로그 또는 시스템 로그를 전송하려면 UDP를 선택합니다.
    • 이름: 고유한 이름을 제공합니다 (예: Bindplane_Server).
    • IP 주소: syslog 서버 IP 주소 (Bindplane IP)를 제공합니다.
    • 포트: 시스템로그 서버 포트 (Bindplane 포트)를 입력합니다.
  5. 로그 서버 사용 설정을 선택합니다.
  6. 전달할 로그를 선택합니다(시스템 및 보안 로그 모두).
  7. 적용을 클릭합니다.

UDM 매핑 테이블

로그 필드 UDM 매핑 논리
Action event.idm.read_only_udm.security_result.action_details Action 필드에서 직접 매핑됩니다.
Activity event.idm.read_only_udm.security_result.summary Activity 필드에서 직접 매핑됩니다.
additional_info event.idm.read_only_udm.security_result.description additional_info 필드에서 직접 매핑됩니다.
administrator event.idm.read_only_udm.security_result.detection_fields[].value administrator 필드에서 직접 매핑됩니다. 키는 'administrator'입니다.
aggregated_log_count event.idm.read_only_udm.security_result.detection_fields[].value aggregated_log_count 필드에서 직접 매핑됩니다. 키는 'aggregated_log_count'입니다.
appi_name event.idm.read_only_udm.security_result.detection_fields[].value appi_name 필드에서 직접 매핑됩니다. 키는 'appi_name'입니다.
app_category event.idm.read_only_udm.security_result.category_details app_category 필드에서 직접 매핑됩니다.
app_properties event.idm.read_only_udm.security_result.detection_fields[].value app_properties 필드에서 직접 매핑됩니다. 키는 'app_properties'입니다.
app_risk event.idm.read_only_udm.security_result.detection_fields[].value app_risk 필드에서 직접 매핑됩니다. 키는 'app_risk'입니다.
app_session_id event.idm.read_only_udm.network.session_id app_session_id 필드에서 직접 매핑되고 문자열로 변환됩니다.
attack event.idm.read_only_udm.security_result.summary Info이 있는 경우 attack 필드에서 직접 매핑됩니다.
attack event.idm.read_only_udm.security_result.threat_name Info이 있는 경우 attack 필드에서 직접 매핑됩니다.
attack_info event.idm.read_only_udm.security_result.description attack_info 필드에서 직접 매핑됩니다.
auth_status event.idm.read_only_udm.security_result.summary auth_status 필드에서 직접 매핑됩니다.
browse_time event.idm.read_only_udm.additional.fields[].value.string_value browse_time 필드에서 직접 매핑됩니다. 키는 'browse_time'입니다.
bytes event.idm.read_only_udm.additional.fields[].value.string_value bytes 필드에서 직접 매핑됩니다. 키는 'bytes'입니다.
bytes event.idm.read_only_udm.additional.fields[].value.string_value bytes 필드에서 직접 매핑됩니다. 키는 'bytes'입니다.
calc_service event.idm.read_only_udm.additional.fields[].value.string_value calc_service 필드에서 직접 매핑됩니다. 키는 'calc_service'입니다.
category event.idm.read_only_udm.security_result.category_details category 필드에서 직접 매핑됩니다.
client_version event.idm.read_only_udm.intermediary.platform_version client_version 필드에서 직접 매핑됩니다.
conn_direction event.idm.read_only_udm.additional.fields[].value.string_value conn_direction 필드에서 직접 매핑됩니다. 키는 'conn_direction'입니다.
conn_direction event.idm.read_only_udm.network.direction conn_direction이 'Incoming'인 경우 'INBOUND'에 매핑됩니다. 그렇지 않으면 'OUTBOUND'로 매핑됩니다.
connection_count event.idm.read_only_udm.security_result.detection_fields[].value connection_count 필드에서 직접 매핑됩니다. 키는 'connection_count'입니다.
contract_name event.idm.read_only_udm.security_result.description contract_name 필드에서 직접 매핑됩니다.
cs2 event.idm.read_only_udm.security_result.rule_name cs2 필드에서 직접 매핑됩니다.
date_time event.idm.read_only_udm.metadata.event_timestamp 다양한 날짜 형식을 사용하여 파싱되고 타임스탬프로 변환됩니다.
dedup_time event.idm.read_only_udm.additional.fields[].value.string_value dedup_time 필드에서 직접 매핑됩니다. 키는 'dedup_time'입니다.
desc event.idm.read_only_udm.security_result.summary desc 필드에서 직접 매핑됩니다.
description event.idm.read_only_udm.security_result.description description 필드에서 직접 매핑됩니다.
description_url event.idm.read_only_udm.additional.fields[].value.string_value description_url 필드에서 직접 매핑됩니다. 키는 'description_url'입니다.
destinationAddress event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip destinationAddress 필드에서 직접 매핑됩니다.
destinationPort event.idm.read_only_udm.target.port destinationPort 필드에서 직접 매핑되며 정수로 변환됩니다.
destinationTranslatedAddress event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip destinationTranslatedAddress 필드에서 직접 매핑됩니다.
destinationTranslatedAddress event.idm.read_only_udm.target.nat_ip destinationTranslatedAddress 필드에서 직접 매핑됩니다.
destinationTranslatedPort event.idm.read_only_udm.target.port destinationTranslatedPort 필드에서 직접 매핑되며 정수로 변환됩니다.
destinationTranslatedPort event.idm.read_only_udm.target.nat_port destinationTranslatedPort 필드에서 직접 매핑되며 정수로 변환됩니다.
deviceCustomString2 event.idm.read_only_udm.security_result.rule_name deviceCustomString2 필드에서 직접 매핑됩니다.
deviceDirection event.idm.read_only_udm.network.direction deviceDirection이 0이면 'OUTBOUND'에 매핑됩니다. 1인 경우 'INBOUND'에 매핑됩니다.
domain event.idm.read_only_udm.principal.administrative_domain domain 필드에서 직접 매핑됩니다.
domain_name event.idm.read_only_udm.principal.administrative_domain domain_name 필드에서 직접 매핑됩니다.
drop_reason event.idm.read_only_udm.security_result.summary drop_reason 필드에서 직접 매핑됩니다.
ds event.idm.read_only_udm.metadata.event_timestamp tstz와 함께 사용하여 이벤트 타임스탬프를 구성합니다.
dst event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip dst 필드에서 직접 매핑됩니다.
dst_country event.idm.read_only_udm.target.location.country_or_region dst_country 필드에서 직접 매핑됩니다.
dst_ip event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip dst_ip 필드에서 직접 매핑됩니다.
dpt event.idm.read_only_udm.target.port dpt 필드에서 직접 매핑되며 정수로 변환됩니다.
duration event.idm.read_only_udm.network.session_duration.seconds duration 필드에서 직접 매핑되며, 0보다 큰 경우 정수로 변환됩니다.
duser event.idm.read_only_udm.target.user.email_addresses, event.idm.read_only_udm.target.user.user_display_name 이메일 주소 형식과 일치하는 경우 duser 필드에서 직접 매핑됩니다.
environment_id event.idm.read_only_udm.target.resource.product_object_id environment_id 필드에서 직접 매핑됩니다.
event_type event.idm.read_only_udm.metadata.event_type 특정 필드와 값의 존재 여부에 따라 로직으로 결정됩니다. 특정 이벤트 유형이 식별되지 않은 경우 기본값은 GENERIC_EVENT입니다. NETWORK_CONNECTION, USER_LOGIN, USER_CHANGE_PASSWORD, USER_LOGOUT, NETWORK_HTTP, STATUS_UPDATE일 수 있습니다.
fieldschanges event.idm.read_only_udm.security_result.detection_fields[].value fieldschanges 필드에서 직접 매핑됩니다. 키는 'fieldschanges'입니다.
flags event.idm.read_only_udm.security_result.detection_fields[].value flags 필드에서 직접 매핑됩니다. 키는 'flags'입니다.
flexString2 event.idm.read_only_udm.security_result.detection_fields[].value flexString2 필드에서 직접 매핑됩니다. 키는 flexString2Label의 값입니다.
from_user event.idm.read_only_udm.principal.user.userid from_user 필드에서 직접 매핑됩니다.
fservice event.idm.read_only_udm.security_result.detection_fields[].value fservice 필드에서 직접 매핑됩니다. 키는 'fservice'입니다.
fw_subproduct event.idm.read_only_udm.metadata.product_name product이 비어 있을 때 fw_subproduct 필드에서 직접 매핑됩니다.
geoip_dst.country_name event.idm.read_only_udm.target.location.country_or_region geoip_dst.country_name 필드에서 직접 매핑됩니다.
hll_key event.idm.read_only_udm.additional.fields[].value.string_value hll_key 필드에서 직접 매핑됩니다. 키는 'hll_key'입니다.
hostname event.idm.read_only_udm.target.hostname, event.idm.read_only_udm.target.asset.hostname, event.idm.read_only_udm.intermediary.hostname inter_host이 비어 있을 때 hostname 필드에서 직접 매핑됩니다.
http_host event.idm.read_only_udm.target.resource.attribute.labels[].value http_host 필드에서 직접 매핑됩니다. 키는 'http_host'입니다.
id event.idm.read_only_udm.metadata.product_log_id _id 필드에서 직접 매핑됩니다.
identity_src event.idm.read_only_udm.target.application identity_src 필드에서 직접 매핑됩니다.
identity_type event.idm.read_only_udm.extensions.auth.type identity_type이 'user'인 경우 'VPN'에 매핑됩니다. 그렇지 않으면 'MACHINE'에 매핑됩니다.
if_direction event.idm.read_only_udm.network.direction if_direction 필드에서 직접 매핑되며 대문자로 변환됩니다.
ifdir event.idm.read_only_udm.network.direction ifdir 필드에서 직접 매핑되며 대문자로 변환됩니다.
ifname event.idm.read_only_udm.security_result.detection_fields[].value ifname 필드에서 직접 매핑됩니다. 키는 'ifname'입니다.
IKE event.idm.read_only_udm.metadata.description IKE 필드에서 직접 매핑됩니다.
inzone event.idm.read_only_udm.security_result.detection_fields[].value inzone 필드에서 직접 매핑됩니다. 키는 'inzone'입니다.
industry_reference event.idm.read_only_udm.additional.fields[].value.string_value industry_reference 필드에서 직접 매핑됩니다. 키는 'industry_reference'입니다.
instance_id event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname instance_id 필드에서 직접 매핑됩니다.
inter_host event.idm.read_only_udm.intermediary.hostname inter_host 필드에서 직접 매핑됩니다.
ip_proto event.idm.read_only_udm.network.ip_protocol proto 필드 또는 service 필드를 기반으로 결정됩니다. TCP, UDP, ICMP, IP6IN4 또는 GRE일 수 있습니다.
ipv6_dst event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip ipv6_dst 필드에서 직접 매핑됩니다.
ipv6_src event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip ipv6_src 필드에서 직접 매핑됩니다.
layer_name event.idm.read_only_udm.security_result.rule_set_display_name, event.idm.read_only_udm.security_result.detection_fields[].value layer_name 필드에서 직접 매핑됩니다. 키는 'layer_name'입니다.
layer_uuid event.idm.read_only_udm.security_result.rule_set, event.idm.read_only_udm.security_result.detection_fields[].value 중괄호를 삭제한 후 layer_uuid 필드에서 직접 매핑됩니다. 키는 'layer_uuid'입니다.
layer_uuid_rule_uuid event.idm.read_only_udm.security_result.rule_id 괄호와 따옴표를 삭제한 후 layer_uuid_rule_uuid 필드에서 직접 매핑됩니다.
log_id event.idm.read_only_udm.metadata.product_log_id log_id 필드에서 직접 매핑됩니다.
log_type event.idm.read_only_udm.metadata.log_type log_type 필드에서 직접 매핑됩니다. 'CHECKPOINT_FIREWALL'로 하드코딩됩니다.
loguid event.idm.read_only_udm.metadata.product_log_id 중괄호를 삭제한 후 loguid 필드에서 직접 매핑됩니다.
logic_changes event.idm.read_only_udm.security_result.detection_fields[].value logic_changes 필드에서 직접 매핑됩니다. 키는 'logic_changes'입니다.
localhost event.idm.read_only_udm.target.hostname, event.idm.read_only_udm.target.asset.hostname localhost 필드에서 직접 매핑됩니다. dst_ip이(가) '127.0.0.1'로 설정됩니다.
malware_action event.idm.read_only_udm.security_result.detection_fields[].value, event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value malware_action 필드에서 직접 매핑됩니다. 키는 'malware_action'입니다.
malware_family event.idm.read_only_udm.security_result.detection_fields[].value, event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value malware_family 필드에서 직접 매핑됩니다. 키는 'malware_family'입니다.
malware_rule_id event.idm.read_only_udm.security_result.detection_fields[].value 중괄호를 삭제한 후 malware_rule_id 필드에서 직접 매핑됩니다. 키는 '멀웨어 규칙 ID'입니다.
malware_rule_name event.idm.read_only_udm.security_result.detection_fields[].value malware_rule_name 필드에서 직접 매핑됩니다. 키는 'Malware Rule Name'입니다.
match_id event.idm.read_only_udm.security_result.detection_fields[].value match_id 필드에서 직접 매핑됩니다. 키는 'match_id'입니다.
matched_category event.idm.read_only_udm.security_result.detection_fields[].value matched_category 필드에서 직접 매핑됩니다. 키는 'matched_category'입니다.
message_info event.idm.read_only_udm.metadata.description message_info 필드에서 직접 매핑됩니다.
method event.idm.read_only_udm.network.http.method method 필드에서 직접 매핑됩니다.
mitre_execution event.idm.read_only_udm.additional.fields[].value.string_value mitre_execution 필드에서 직접 매핑됩니다. 키는 'mitre_execution'입니다.
mitre_initial_access event.idm.read_only_udm.security_result.detection_fields[].value mitre_initial_access 필드에서 직접 매핑됩니다. 키는 'mitre_initial_access'입니다.
nat_rulenum event.idm.read_only_udm.security_result.rule_id nat_rulenum 필드에서 직접 매핑되고 문자열로 변환됩니다.
objecttype event.idm.read_only_udm.security_result.detection_fields[].value objecttype 필드에서 직접 매핑됩니다. 키는 'objecttype'입니다.
operation event.idm.read_only_udm.security_result.summary operation 필드에서 직접 매핑됩니다.
operation event.idm.read_only_udm.security_result.detection_fields[].value operation 필드에서 직접 매핑됩니다. 키는 'operation'입니다.
orig event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname orig 필드에서 직접 매핑됩니다.
origin event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip, event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip, event.idm.read_only_udm.intermediary.ip origin 필드에서 직접 매핑됩니다.
origin_sic_name event.idm.read_only_udm.intermediary.asset_id, event.idm.read_only_udm.intermediary.labels[].value origin_sic_name 필드에서 직접 매핑됩니다. 키는 'Machine SIC'입니다. 애셋 ID에는 'asset:'이 접두사로 붙습니다.
originsicname event.idm.read_only_udm.additional.fields[].value.string_value originsicname 필드에서 직접 매핑됩니다. 키는 'originsicname'입니다.
originsicname event.idm.read_only_udm.intermediary.asset_id, event.idm.read_only_udm.intermediary.labels[].value originsicname 필드에서 직접 매핑됩니다. 키는 'Machine SIC'입니다. 애셋 ID에는 'asset:'이 접두사로 붙습니다.
os_name event.idm.read_only_udm.principal.asset.platform_software.platform os_name에 'Win'이 포함되어 있으면 'WINDOWS'에 매핑됩니다. 'MAC' 또는 'IOS'가 포함된 경우 'MAC'에 매핑됩니다. 'LINUX'가 포함된 경우 'LINUX'에 매핑됩니다.
os_version event.idm.read_only_udm.principal.asset.platform_software.platform_patch_level os_version 필드에서 직접 매핑됩니다.
outzone event.idm.read_only_udm.security_result.detection_fields[].value outzone 필드에서 직접 매핑됩니다. 키는 'outzone'입니다.
packets event.idm.read_only_udm.additional.fields[].value.string_value packets 필드에서 직접 매핑됩니다. 키는 'packets'입니다.
packet_capture_name event.idm.read_only_udm.additional.fields[].value.string_value packet_capture_name 필드에서 직접 매핑됩니다. 키는 'packet_capture_name'입니다.
packet_capture_time event.idm.read_only_udm.additional.fields[].value.string_value packet_capture_time 필드에서 직접 매핑됩니다. 키는 'packet_capture_time'입니다.
packet_capture_unique_id event.idm.read_only_udm.additional.fields[].value.string_value packet_capture_unique_id 필드에서 직접 매핑됩니다. 키는 'packet_capture_unique_id'입니다.
parent_rule event.idm.read_only_udm.security_result.detection_fields[].value parent_rule 필드에서 직접 매핑됩니다. 키는 'parent_rule'입니다.
performance_impact event.idm.read_only_udm.additional.fields[].value.string_value performance_impact 필드에서 직접 매핑됩니다. 키는 'performance_impact'입니다.
policy_name event.idm.read_only_udm.security_result.detection_fields[].value grok을 사용하여 __policy_id_tag 필드에서 추출하고 매핑했습니다. 키는 '정책 이름'입니다.
policy_time event.idm.read_only_udm.security_result.detection_fields[].value policy_time 필드에서 직접 매핑됩니다. 키는 'policy_time'입니다.
portal_message event.idm.read_only_udm.security_result.description portal_message 필드에서 직접 매핑됩니다.
principal_hostname event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip 유효한 IP 주소인 경우 principal_hostname 필드에서 직접 매핑됩니다.
principal_hostname event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname 유효한 IP 주소가 아니고 'Checkpoint'가 아닌 경우 principal_hostname 필드에서 직접 매핑됩니다.
prod_family_label event.idm.read_only_udm.additional.fields[].value.string_value ProductFamily 필드에서 직접 매핑됩니다. 키는 'ProductFamily'입니다.
product event.idm.read_only_udm.metadata.product_name product 필드에서 직접 매핑됩니다.
product_family event.idm.read_only_udm.additional.fields[].value.string_value product_family 필드에서 직접 매핑됩니다. 키는 'product_family'입니다.
product_family event.idm.read_only_udm.additional.fields[].value.string_value product_family 필드에서 직접 매핑됩니다. 키는 'product_family'입니다.
ProductName event.idm.read_only_udm.metadata.product_name product이 비어 있을 때 ProductName 필드에서 직접 매핑됩니다.
product_name event.idm.read_only_udm.metadata.product_name product_name 필드에서 직접 매핑됩니다.
profile event.idm.read_only_udm.security_result.detection_fields[].value profile 필드에서 직접 매핑됩니다. 키는 'profile'입니다.
protocol event.idm.read_only_udm.network.application_protocol 'HTTP'인 경우 protocol 필드에서 직접 매핑됩니다.
proxy_src_ip event.idm.read_only_udm.principal.nat_ip proxy_src_ip 필드에서 직접 매핑됩니다.
reason event.idm.read_only_udm.security_result.summary reason 필드에서 직접 매핑됩니다.
received_bytes event.idm.read_only_udm.network.received_bytes received_bytes 필드에서 직접 매핑되며 부호 없는 정수로 변환됩니다.
Reference event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value, event.idm.read_only_udm.security_result.detection_fields[].value Reference 필드에서 직접 매핑됩니다. 키는 'Reference'입니다. attack_vuln.name를 구성하는 데 사용됩니다.
reject_id_kid event.idm.read_only_udm.security_result.detection_fields[].value reject_id_kid 필드에서 직접 매핑됩니다. 키는 'reject_id_kid'입니다.
resource event.idm.read_only_udm.target.url JSON으로 파싱되고 타겟 URL에 매핑됩니다. 파싱이 실패하면 직접 매핑됩니다.
resource event.idm.read_only_udm.additional.fields[].value.list_value.values[].string_value JSON으로 파싱되고 resource 배열의 각 값이 목록에 추가됩니다. 키는 '리소스'입니다.
result event.idm.read_only_udm.metadata.event_timestamp date_time로 파싱되어 이벤트 타임스탬프를 만듭니다.
rt event.idm.read_only_udm.metadata.event_timestamp 에포크 이후 경과된 시간(밀리초)으로 파싱되고 타임스탬프로 변환됩니다.
rule event.idm.read_only_udm.security_result.rule_name rule 필드에서 직접 매핑됩니다.
rule_action event.idm.read_only_udm.security_result.detection_fields[].value rule_action 필드에서 직접 매핑됩니다. 키는 'rule_action'입니다.
rule_name event.idm.read_only_udm.security_result.rule_name rule_name 필드에서 직접 매핑됩니다.
rule_uid event.idm.read_only_udm.security_result.rule_id rule_uid 필드에서 직접 매핑됩니다.
s_port event.idm.read_only_udm.principal.port s_port 필드에서 직접 매핑되며 정수로 변환됩니다.
scheme event.idm.read_only_udm.additional.fields[].value.string_value scheme 필드에서 직접 매핑됩니다. 키는 'scheme'입니다.
security_inzone event.idm.read_only_udm.security_result.detection_fields[].value security_inzone 필드에서 직접 매핑됩니다. 키는 'security_inzone'입니다.
security_outzone event.idm.read_only_udm.security_result.detection_fields[].value security_outzone 필드에서 직접 매핑됩니다. 키는 'security_outzone'입니다.
security_result_action event.idm.read_only_udm.security_result.action security_result_action 필드에서 직접 매핑됩니다.
sendtotrackerasadvancedauditlog event.idm.read_only_udm.security_result.detection_fields[].value sendtotrackerasadvancedauditlog 필드에서 직접 매핑됩니다. 키는 'sendtotrackerasadvancedauditlog'입니다.
sent_bytes event.idm.read_only_udm.network.sent_bytes sent_bytes 필드에서 직접 매핑되며 부호 없는 정수로 변환됩니다.
sequencenum event.idm.read_only_udm.additional.fields[].value.string_value sequencenum 필드에서 직접 매핑됩니다. 키는 'sequencenum'입니다.
ser_agent_kid event.idm.read_only_udm.security_result.detection_fields[].value ser_agent_kid 필드에서 직접 매핑됩니다. 키는 'ser_agent_kid'입니다.
service event.idm.read_only_udm.target.port service 필드에서 직접 매핑되며 정수로 변환됩니다.
service_id event.idm.read_only_udm.network.application_protocol 'dhcp', 'dns', 'http', 'https' 또는 'quic'인 경우 service_id 필드에서 직접 매핑되며 대문자로 변환됩니다.
service_id event.idm.read_only_udm.principal.application 네트워크 애플리케이션 프로토콜 중 하나가 아닌 경우 service_id 필드에서 직접 매핑됩니다.
service_id event.idm.read_only_udm.security_result.detection_fields[].value service_id 필드에서 직접 매핑됩니다. 키는 'service_id'입니다.
session_description event.idm.read_only_udm.security_result.detection_fields[].value session_description 필드에서 직접 매핑됩니다. 키는 'session_description'입니다.
session_id event.idm.read_only_udm.network.session_id 중괄호를 삭제한 후 session_id 필드에서 직접 매핑됩니다.
session_name event.idm.read_only_udm.security_result.detection_fields[].value session_name 필드에서 직접 매핑됩니다. 키는 'session_name'입니다.
session_uid event.idm.read_only_udm.network.session_id 중괄호를 삭제한 후 session_uid 필드에서 직접 매핑됩니다.
Severity event.idm.read_only_udm.security_result.severity Severity 값에 따라 'LOW', 'MEDIUM', 'HIGH' 또는 'CRITICAL'에 매핑됩니다.
severity event.idm.read_only_udm.security_result.severity severity 값에 따라 'LOW', 'MEDIUM', 'HIGH' 또는 'CRITICAL'에 매핑됩니다.
site event.idm.read_only_udm.network.http.user_agent site 필드에서 직접 매핑됩니다.
smartdefense_profile event.idm.read_only_udm.security_result.detection_fields[].value smartdefense_profile 필드에서 직접 매핑됩니다. 키는 'smartdefense_profile'입니다.
snid event.idm.read_only_udm.network.session_id 비어 있지 않거나 '0'인 경우 snid 필드에서 직접 매핑됩니다.
sourceAddress event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip sourceAddress 필드에서 직접 매핑됩니다.
sourcePort event.idm.read_only_udm.principal.port sourcePort 필드에서 직접 매핑되며 정수로 변환됩니다.
sourceTranslatedAddress event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip sourceTranslatedAddress 필드에서 직접 매핑됩니다.
sourceTranslatedAddress event.idm.read_only_udm.principal.nat_ip sourceTranslatedAddress 필드에서 직접 매핑됩니다.
sourceTranslatedPort event.idm.read_only_udm.principal.port sourceTranslatedPort 필드에서 직접 매핑되며 정수로 변환됩니다.
sourceTranslatedPort event.idm.read_only_udm.principal.nat_port sourceTranslatedPort 필드에서 직접 매핑되며 정수로 변환됩니다.
sourceUserName event.idm.read_only_udm.principal.user.userid, event.idm.read_only_udm.principal.user.first_name, event.idm.read_only_udm.principal.user.last_name grok을 사용하여 파싱하여 사용자 ID, 이름, 성을 추출합니다.
spt event.idm.read_only_udm.principal.port spt 필드에서 직접 매핑되며 정수로 변환됩니다.
src event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip src 필드에서 직접 매핑됩니다.
src_ip event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip src_ip 필드에서 직접 매핑됩니다.
src_localhost event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname src_localhost 필드에서 직접 매핑됩니다. src_ip이(가) '127.0.0.1'로 설정됩니다.
src_machine_name event.idm.read_only_udm.security_result.detection_fields[].value src_machine_name 필드에서 직접 매핑됩니다. 키는 'src_machine_name'입니다.
src_port event.idm.read_only_udm.principal.port src_port 필드에서 직접 매핑되며 정수로 변환됩니다.
src_user event.idm.read_only_udm.principal.user.userid src_user 필드에서 직접 매핑됩니다.
src_user_dn event.idm.read_only_udm.security_result.detection_fields[].value src_user_dn 필드에서 직접 매핑됩니다. 키는 'src_user_dn'입니다.
src_user_name event.idm.read_only_udm.principal.user.userid src_user_name 필드에서 직접 매핑됩니다.
sub_policy_name event.idm.read_only_udm.security_result.detection_fields[].value sub_policy_name 필드에서 직접 매핑됩니다. 키는 'sub_policy_name'입니다.
sub_policy_uid event.idm.read_only_udm.security_result.detection_fields[].value sub_policy_uid 필드에서 직접 매핑됩니다. 키는 'sub_policy_uid'입니다.
subject event.idm.read_only_udm.security_result.detection_fields[].value subject 필드에서 직접 매핑됩니다. 키는 'subject'입니다.
subscription_stat_desc event.idm.read_only_udm.security_result.summary subscription_stat_desc 필드에서 직접 매핑됩니다.
tags event.idm.read_only_udm.security_result.detection_fields[].value tags 필드에서 직접 매핑됩니다. 키는 'tags'입니다.
tar_user event.idm.read_only_udm.target.user.userid tar_user 필드에서 직접 매핑됩니다.
target_port event.idm.read_only_udm.target.port target_port 필드에서 직접 매핑됩니다.
tcp_flags event.idm.read_only_udm.security_result.detection_fields[].value tcp_flags 필드에서 직접 매핑됩니다. 키는 'tcp_flags'입니다.
tcp_packet_out_of_state event.idm.read_only_udm.security_result.detection_fields[].value tcp_packet_out_of_state 필드에서 직접 매핑됩니다. 키는 'tcp_packet_out_of_state'입니다.
time event.idm.read_only_udm.metadata.event_timestamp 다양한 날짜 형식을 사용하여 파싱되고 타임스탬프로 변환됩니다.
ts event.idm.read_only_udm.metadata.event_timestamp dstz로 파싱하여 이벤트 타임스탬프를 만듭니다.
type event.idm.read_only_udm.security_result.rule_type type 필드에서 직접 매핑됩니다.
tz event.idm.read_only_udm.metadata.event_timestamp dsts와 함께 사용하여 이벤트 타임스탬프를 구성합니다.
update_count event.idm.read_only_udm.security_result.detection_fields[].value update_count 필드에서 직접 매핑됩니다. 키는 'update_count'입니다.
URL event.idm.read_only_udm.security_result.about.url URL 필드에서 직접 매핑됩니다.
user event.idm.read_only_udm.principal.user.userid user 필드에서 직접 매핑됩니다.
user_agent event.idm.read_only_udm.network.http.user_agent user_agent 필드에서 직접 매핑됩니다. event.idm.read_only_udm.network.http.parsed_user_agent에도 파싱되고 매핑됩니다.
userip event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip 유효한 IP 주소인 경우 userip 필드에서 직접 매핑됩니다.
UUid event.idm.read_only_udm.metadata.product_log_id 중괄호를 삭제한 후 UUid 필드에서 직접 매핑됩니다.
version event.idm.read_only_udm.metadata.product_version version 필드에서 직접 매핑됩니다.
web_client_type event.idm.read_only_udm.network.http.user_agent web_client_type 필드에서 직접 매핑됩니다.
xlatedport event.idm.read_only_udm.target.nat_port xlatedport 필드에서 직접 매핑되며 정수로 변환됩니다.
xlatedst event.idm.read_only_udm.target.nat_ip xlatedst 필드에서 직접 매핑됩니다.
xlatesport event.idm.read_only_udm.principal.nat_port xlatesport 필드에서 직접 매핑되며 정수로 변환됩니다.
xlatesrc event.idm.read_only_udm.principal.nat_ip xlatesrc 필드에서 직접 매핑됩니다.
event.idm.read_only_udm.metadata.vendor_name Check Point 하드 코딩된 값입니다.
event.idm.read_only_udm.metadata.log_type CHECKPOINT_FIREWALL 하드 코딩된 값입니다.
event.idm.read_only_udm.security_result.rule_type Firewall Rule 특정 논리로 재정의되지 않는 한 기본값입니다.
has_principal true 주 구성원 IP 또는 호스트 이름이 추출된 경우 true로 설정됩니다.
has_target true 타겟 IP 또는 호스트 이름이 추출된 경우 true로 설정됩니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.