Check Point 방화벽 로그 수집
다음에서 지원:
Google SecOps
SIEM
이 파서는 Check Point 방화벽 로그를 추출합니다. syslog, 키-값 쌍, JSON을 비롯한 CEF 및 비-CEF 형식 메시지를 모두 처리합니다. 필드를 정규화하고 UDM에 매핑하며 로그인/로그아웃, 네트워크 연결, 보안 이벤트에 관한 특정 로직을 실행합니다. 위치정보 및 위협 인텔리전스와 같은 상황 정보를 사용하여 데이터를 보강합니다.
시작하기 전에
- Google Security Operations 인스턴스가 있는지 확인합니다.
- Windows 2016 이상 또는 systemd가 있는 Linux 호스트를 사용하고 있는지 확인합니다.
- 프록시 뒤에서 실행하는 경우 방화벽 포트가 열려 있는지 확인합니다.
- Check Point 방화벽에 대한 권한이 있는지 확인합니다.
Google SecOps 처리 인증 파일 가져오기
- Google SecOps 콘솔에 로그인합니다.
- SIEM 설정 > 수집 에이전트로 이동합니다.
- 처리 인증 파일을 다운로드합니다.
Google SecOps 고객 ID 가져오기
- Google SecOps 콘솔에 로그인합니다.
- SIEM 설정 > 프로필로 이동합니다.
- 조직 세부정보 섹션에서 고객 ID를 복사하여 저장합니다.
BindPlane 에이전트 설치
- Windows 설치의 경우 다음 스크립트를 실행합니다.
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
- Linux 설치의 경우 다음 스크립트를 실행합니다.
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
- 추가 설치 옵션은 이 설치 가이드에서 확인할 수 있습니다.
Syslog를 수집하고 Google SecOps로 전송하도록 BindPlane 에이전트 구성
- BindPlane이 설치된 머신에 액세스합니다.
다음과 같이
config.yaml
파일을 수정합니다.receivers: udplog: # Replace the below port <54525> and IP <0.0.0.0> with your specific values listen_address: "0.0.0.0:54525" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the creds location below according the placement of the credentials file you downloaded creds: '{ json file for creds }' # Replace <customer_id> below with your actual ID that you copied customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # You can apply ingestion labels below as preferred ingestion_labels: log_type: SYSLOG namespace: Checkpoint_Firewall raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels
BindPlane 에이전트를 다시 시작하여 변경사항을 적용합니다.
sudo systemctl restart bindplane
Check Point 방화벽에서 Syslog 내보내기 구성
- 권한이 있는 계정을 사용하여 Check Point 방화벽 UI에 로그인합니다.
- 로그 및 모니터링 > 로그 서버로 이동합니다.
- 시스템로그 서버로 이동합니다.
- 구성을 클릭하고 다음 값을 설정합니다.
- 프로토콜: 보안 로그 또는 시스템 로그를 전송하려면 UDP를 선택합니다.
- 이름: 고유한 이름을 입력합니다 (예: Bindplane_Server).
- IP 주소: syslog 서버 IP 주소 (Bindplane IP)를 입력합니다.
- 포트: 시스템로그 서버 포트 (Bindplane 포트)를 입력합니다.
- 로그 서버 사용 설정을 선택합니다.
- 전달할 로그를 선택합니다. 시스템 및 보안 로그 모두
- 적용을 클릭합니다.
UDM 매핑 표
로그 필드 | UDM 매핑 | 논리 |
---|---|---|
Action |
event.idm.read_only_udm.security_result.action_details |
Action 필드에서 직접 매핑됩니다. |
Activity |
event.idm.read_only_udm.security_result.summary |
Activity 필드에서 직접 매핑됩니다. |
additional_info |
event.idm.read_only_udm.security_result.description |
additional_info 필드에서 직접 매핑됩니다. |
administrator |
event.idm.read_only_udm.security_result.detection_fields[].value |
administrator 필드에서 직접 매핑됩니다. 키는 'administrator'입니다. |
aggregated_log_count |
event.idm.read_only_udm.security_result.detection_fields[].value |
aggregated_log_count 필드에서 직접 매핑됩니다. 키는 'aggregated_log_count'입니다. |
appi_name |
event.idm.read_only_udm.security_result.detection_fields[].value |
appi_name 필드에서 직접 매핑됩니다. 키는 'appi_name'입니다. |
app_category |
event.idm.read_only_udm.security_result.category_details |
app_category 필드에서 직접 매핑됩니다. |
app_properties |
event.idm.read_only_udm.security_result.detection_fields[].value |
app_properties 필드에서 직접 매핑됩니다. 키는 'app_properties'입니다. |
app_risk |
event.idm.read_only_udm.security_result.detection_fields[].value |
app_risk 필드에서 직접 매핑됩니다. 키는 'app_risk'입니다. |
app_session_id |
event.idm.read_only_udm.network.session_id |
app_session_id 필드에서 직접 매핑되고 문자열로 변환됩니다. |
attack |
event.idm.read_only_udm.security_result.summary |
Info 가 있는 경우 attack 필드에서 직접 매핑됩니다. |
attack |
event.idm.read_only_udm.security_result.threat_name |
Info 가 있는 경우 attack 필드에서 직접 매핑됩니다. |
attack_info |
event.idm.read_only_udm.security_result.description |
attack_info 필드에서 직접 매핑됩니다. |
auth_status |
event.idm.read_only_udm.security_result.summary |
auth_status 필드에서 직접 매핑됩니다. |
browse_time |
event.idm.read_only_udm.additional.fields[].value.string_value |
browse_time 필드에서 직접 매핑됩니다. 키는 'browse_time'입니다. |
bytes |
event.idm.read_only_udm.additional.fields[].value.string_value |
bytes 필드에서 직접 매핑됩니다. 키는 'bytes'입니다. |
bytes |
event.idm.read_only_udm.additional.fields[].value.string_value |
bytes 필드에서 직접 매핑됩니다. 키는 'bytes'입니다. |
calc_service |
event.idm.read_only_udm.additional.fields[].value.string_value |
calc_service 필드에서 직접 매핑됩니다. 키는 'calc_service'입니다. |
category |
event.idm.read_only_udm.security_result.category_details |
category 필드에서 직접 매핑됩니다. |
client_version |
event.idm.read_only_udm.intermediary.platform_version |
client_version 필드에서 직접 매핑됩니다. |
conn_direction |
event.idm.read_only_udm.additional.fields[].value.string_value |
conn_direction 필드에서 직접 매핑됩니다. 키는 'conn_direction'입니다. |
conn_direction |
event.idm.read_only_udm.network.direction |
conn_direction 이 '수신'인 경우 'INBOUND'에 매핑됩니다. 그 외의 경우에는 'OUTBOUND'로 매핑됩니다. |
connection_count |
event.idm.read_only_udm.security_result.detection_fields[].value |
connection_count 필드에서 직접 매핑됩니다. 키는 'connection_count'입니다. |
contract_name |
event.idm.read_only_udm.security_result.description |
contract_name 필드에서 직접 매핑됩니다. |
cs2 |
event.idm.read_only_udm.security_result.rule_name |
cs2 필드에서 직접 매핑됩니다. |
date_time |
event.idm.read_only_udm.metadata.event_timestamp |
다양한 날짜 형식을 사용하여 파싱되고 타임스탬프로 변환됩니다. |
dedup_time |
event.idm.read_only_udm.additional.fields[].value.string_value |
dedup_time 필드에서 직접 매핑됩니다. 키는 'dedup_time'입니다. |
desc |
event.idm.read_only_udm.security_result.summary |
desc 필드에서 직접 매핑됩니다. |
description |
event.idm.read_only_udm.security_result.description |
description 필드에서 직접 매핑됩니다. |
description_url |
event.idm.read_only_udm.additional.fields[].value.string_value |
description_url 필드에서 직접 매핑됩니다. 키는 'description_url'입니다. |
destinationAddress |
event.idm.read_only_udm.target.ip , event.idm.read_only_udm.target.asset.ip |
destinationAddress 필드에서 직접 매핑됩니다. |
destinationPort |
event.idm.read_only_udm.target.port |
destinationPort 필드에서 직접 매핑되고 정수로 변환됩니다. |
destinationTranslatedAddress |
event.idm.read_only_udm.target.ip , event.idm.read_only_udm.target.asset.ip |
destinationTranslatedAddress 필드에서 직접 매핑됩니다. |
destinationTranslatedAddress |
event.idm.read_only_udm.target.nat_ip |
destinationTranslatedAddress 필드에서 직접 매핑됩니다. |
destinationTranslatedPort |
event.idm.read_only_udm.target.port |
destinationTranslatedPort 필드에서 직접 매핑되고 정수로 변환됩니다. |
destinationTranslatedPort |
event.idm.read_only_udm.target.nat_port |
destinationTranslatedPort 필드에서 직접 매핑되고 정수로 변환됩니다. |
deviceCustomString2 |
event.idm.read_only_udm.security_result.rule_name |
deviceCustomString2 필드에서 직접 매핑됩니다. |
deviceDirection |
event.idm.read_only_udm.network.direction |
deviceDirection 가 0이면 'OUTBOUND'에 매핑됩니다. 1인 경우 'INBOUND'에 매핑됩니다. |
domain |
event.idm.read_only_udm.principal.administrative_domain |
domain 필드에서 직접 매핑됩니다. |
domain_name |
event.idm.read_only_udm.principal.administrative_domain |
domain_name 필드에서 직접 매핑됩니다. |
drop_reason |
event.idm.read_only_udm.security_result.summary |
drop_reason 필드에서 직접 매핑됩니다. |
ds |
event.idm.read_only_udm.metadata.event_timestamp |
ts 및 tz 와 함께 사용하여 이벤트 타임스탬프를 구성합니다. |
dst |
event.idm.read_only_udm.target.ip , event.idm.read_only_udm.target.asset.ip |
dst 필드에서 직접 매핑됩니다. |
dst_country |
event.idm.read_only_udm.target.location.country_or_region |
dst_country 필드에서 직접 매핑됩니다. |
dst_ip |
event.idm.read_only_udm.target.ip , event.idm.read_only_udm.target.asset.ip |
dst_ip 필드에서 직접 매핑됩니다. |
dpt |
event.idm.read_only_udm.target.port |
dpt 필드에서 직접 매핑되고 정수로 변환됩니다. |
duration |
event.idm.read_only_udm.network.session_duration.seconds |
duration 필드에서 직접 매핑되며 0보다 크면 정수로 변환됩니다. |
duser |
event.idm.read_only_udm.target.user.email_addresses , event.idm.read_only_udm.target.user.user_display_name |
이메일 주소 형식과 일치하는 경우 duser 필드에서 직접 매핑됩니다. |
environment_id |
event.idm.read_only_udm.target.resource.product_object_id |
environment_id 필드에서 직접 매핑됩니다. |
event_type |
event.idm.read_only_udm.metadata.event_type |
특정 필드 및 값의 존재 여부에 따라 로직에 의해 결정됩니다. 특정 이벤트 유형이 식별되지 않은 경우 기본값은 GENERIC_EVENT 입니다. NETWORK_CONNECTION , USER_LOGIN , USER_CHANGE_PASSWORD , USER_LOGOUT , NETWORK_HTTP , STATUS_UPDATE 일 수 있습니다. |
fieldschanges |
event.idm.read_only_udm.security_result.detection_fields[].value |
fieldschanges 필드에서 직접 매핑됩니다. 키는 'fieldschanges'입니다. |
flags |
event.idm.read_only_udm.security_result.detection_fields[].value |
flags 필드에서 직접 매핑됩니다. 키는 'flags'입니다. |
flexString2 |
event.idm.read_only_udm.security_result.detection_fields[].value |
flexString2 필드에서 직접 매핑됩니다. 키는 flexString2Label 의 값입니다. |
from_user |
event.idm.read_only_udm.principal.user.userid |
from_user 필드에서 직접 매핑됩니다. |
fservice |
event.idm.read_only_udm.security_result.detection_fields[].value |
fservice 필드에서 직접 매핑됩니다. 키는 'fservice'입니다. |
fw_subproduct |
event.idm.read_only_udm.metadata.product_name |
product 가 비어 있으면 fw_subproduct 필드에서 직접 매핑됩니다. |
geoip_dst.country_name |
event.idm.read_only_udm.target.location.country_or_region |
geoip_dst.country_name 필드에서 직접 매핑됩니다. |
hll_key |
event.idm.read_only_udm.additional.fields[].value.string_value |
hll_key 필드에서 직접 매핑됩니다. 키는 'hll_key'입니다. |
hostname |
event.idm.read_only_udm.target.hostname , event.idm.read_only_udm.target.asset.hostname , event.idm.read_only_udm.intermediary.hostname |
inter_host 가 비어 있으면 hostname 필드에서 직접 매핑됩니다. |
http_host |
event.idm.read_only_udm.target.resource.attribute.labels[].value |
http_host 필드에서 직접 매핑됩니다. 키는 'http_host'입니다. |
id |
event.idm.read_only_udm.metadata.product_log_id |
_id 필드에서 직접 매핑됩니다. |
identity_src |
event.idm.read_only_udm.target.application |
identity_src 필드에서 직접 매핑됩니다. |
identity_type |
event.idm.read_only_udm.extensions.auth.type |
identity_type 이 'user'인 경우 'VPN'에 매핑됩니다. 그 외의 경우에는 'MACHINE'에 매핑됩니다. |
if_direction |
event.idm.read_only_udm.network.direction |
if_direction 필드에서 직접 매핑되며 대문자로 변환됩니다. |
ifdir |
event.idm.read_only_udm.network.direction |
ifdir 필드에서 직접 매핑되며 대문자로 변환됩니다. |
ifname |
event.idm.read_only_udm.security_result.detection_fields[].value |
ifname 필드에서 직접 매핑됩니다. 키는 'ifname'입니다. |
IKE |
event.idm.read_only_udm.metadata.description |
IKE 필드에서 직접 매핑됩니다. |
inzone |
event.idm.read_only_udm.security_result.detection_fields[].value |
inzone 필드에서 직접 매핑됩니다. 키는 'inzone'입니다. |
industry_reference |
event.idm.read_only_udm.additional.fields[].value.string_value |
industry_reference 필드에서 직접 매핑됩니다. 키는 'industry_reference'입니다. |
instance_id |
event.idm.read_only_udm.principal.hostname , event.idm.read_only_udm.principal.asset.hostname |
instance_id 필드에서 직접 매핑됩니다. |
inter_host |
event.idm.read_only_udm.intermediary.hostname |
inter_host 필드에서 직접 매핑됩니다. |
ip_proto |
event.idm.read_only_udm.network.ip_protocol |
proto 필드 또는 service 필드를 기준으로 결정됩니다. TCP, UDP, ICMP, IP6IN4 또는 GRE일 수 있습니다. |
ipv6_dst |
event.idm.read_only_udm.target.ip , event.idm.read_only_udm.target.asset.ip |
ipv6_dst 필드에서 직접 매핑됩니다. |
ipv6_src |
event.idm.read_only_udm.principal.ip , event.idm.read_only_udm.principal.asset.ip |
ipv6_src 필드에서 직접 매핑됩니다. |
layer_name |
event.idm.read_only_udm.security_result.rule_set_display_name , event.idm.read_only_udm.security_result.detection_fields[].value |
layer_name 필드에서 직접 매핑됩니다. 키는 'layer_name'입니다. |
layer_uuid |
event.idm.read_only_udm.security_result.rule_set , event.idm.read_only_udm.security_result.detection_fields[].value |
중괄호를 삭제한 후 layer_uuid 필드에서 직접 매핑됩니다. 키는 'layer_uuid'입니다. |
layer_uuid_rule_uuid |
event.idm.read_only_udm.security_result.rule_id |
대괄호와 따옴표를 삭제한 후 layer_uuid_rule_uuid 필드에서 직접 매핑됩니다. |
log_id |
event.idm.read_only_udm.metadata.product_log_id |
log_id 필드에서 직접 매핑됩니다. |
log_type |
event.idm.read_only_udm.metadata.log_type |
log_type 필드에서 직접 매핑됩니다. 'CHECKPOINT_FIREWALL'로 하드코딩됩니다. |
loguid |
event.idm.read_only_udm.metadata.product_log_id |
중괄호를 삭제한 후 loguid 필드에서 직접 매핑됩니다. |
logic_changes |
event.idm.read_only_udm.security_result.detection_fields[].value |
logic_changes 필드에서 직접 매핑됩니다. 키는 'logic_changes'입니다. |
localhost |
event.idm.read_only_udm.target.hostname , event.idm.read_only_udm.target.asset.hostname |
localhost 필드에서 직접 매핑됩니다. dst_ip 이 '127.0.0.1'로 설정됩니다. |
malware_action |
event.idm.read_only_udm.security_result.detection_fields[].value , event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value |
malware_action 필드에서 직접 매핑됩니다. 키는 'malware_action'입니다. |
malware_family |
event.idm.read_only_udm.security_result.detection_fields[].value , event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value |
malware_family 필드에서 직접 매핑됩니다. 키는 'malware_family'입니다. |
malware_rule_id |
event.idm.read_only_udm.security_result.detection_fields[].value |
중괄호를 삭제한 후 malware_rule_id 필드에서 직접 매핑됩니다. 키는 'Malware Rule ID'입니다. |
malware_rule_name |
event.idm.read_only_udm.security_result.detection_fields[].value |
malware_rule_name 필드에서 직접 매핑됩니다. 키는 'Malware Rule Name'입니다. |
match_id |
event.idm.read_only_udm.security_result.detection_fields[].value |
match_id 필드에서 직접 매핑됩니다. 키는 'match_id'입니다. |
matched_category |
event.idm.read_only_udm.security_result.detection_fields[].value |
matched_category 필드에서 직접 매핑됩니다. 키는 'matched_category'입니다. |
message_info |
event.idm.read_only_udm.metadata.description |
message_info 필드에서 직접 매핑됩니다. |
method |
event.idm.read_only_udm.network.http.method |
method 필드에서 직접 매핑됩니다. |
mitre_execution |
event.idm.read_only_udm.additional.fields[].value.string_value |
mitre_execution 필드에서 직접 매핑됩니다. 키는 'mitre_execution'입니다. |
mitre_initial_access |
event.idm.read_only_udm.security_result.detection_fields[].value |
mitre_initial_access 필드에서 직접 매핑됩니다. 키는 'mitre_initial_access'입니다. |
nat_rulenum |
event.idm.read_only_udm.security_result.rule_id |
nat_rulenum 필드에서 직접 매핑되고 문자열로 변환됩니다. |
objecttype |
event.idm.read_only_udm.security_result.detection_fields[].value |
objecttype 필드에서 직접 매핑됩니다. 키는 'objecttype'입니다. |
operation |
event.idm.read_only_udm.security_result.summary |
operation 필드에서 직접 매핑됩니다. |
operation |
event.idm.read_only_udm.security_result.detection_fields[].value |
operation 필드에서 직접 매핑됩니다. 키는 'operation'입니다. |
orig |
event.idm.read_only_udm.principal.hostname , event.idm.read_only_udm.principal.asset.hostname |
orig 필드에서 직접 매핑됩니다. |
origin |
event.idm.read_only_udm.principal.ip , event.idm.read_only_udm.principal.asset.ip , event.idm.read_only_udm.target.ip , event.idm.read_only_udm.target.asset.ip , event.idm.read_only_udm.intermediary.ip |
origin 필드에서 직접 매핑됩니다. |
origin_sic_name |
event.idm.read_only_udm.intermediary.asset_id , event.idm.read_only_udm.intermediary.labels[].value |
origin_sic_name 필드에서 직접 매핑됩니다. 키는 'Machine SIC'입니다. 확장 소재 ID 앞에는 'asset:'이 붙습니다. |
originsicname |
event.idm.read_only_udm.additional.fields[].value.string_value |
originsicname 필드에서 직접 매핑됩니다. 키는 'originsicname'입니다. |
originsicname |
event.idm.read_only_udm.intermediary.asset_id , event.idm.read_only_udm.intermediary.labels[].value |
originsicname 필드에서 직접 매핑됩니다. 키는 'Machine SIC'입니다. 확장 소재 ID 앞에는 'asset:'이 붙습니다. |
os_name |
event.idm.read_only_udm.principal.asset.platform_software.platform |
os_name 에 'Win'이 포함된 경우 'WINDOWS'에 매핑됩니다. 'MAC' 또는 'IOS'가 포함된 경우 'MAC'에 매핑됩니다. 'LINUX'가 포함된 경우 'LINUX'에 매핑됩니다. |
os_version |
event.idm.read_only_udm.principal.asset.platform_software.platform_patch_level |
os_version 필드에서 직접 매핑됩니다. |
outzone |
event.idm.read_only_udm.security_result.detection_fields[].value |
outzone 필드에서 직접 매핑됩니다. 키는 'outzone'입니다. |
packets |
event.idm.read_only_udm.additional.fields[].value.string_value |
packets 필드에서 직접 매핑됩니다. 키는 'packets'입니다. |
packet_capture_name |
event.idm.read_only_udm.additional.fields[].value.string_value |
packet_capture_name 필드에서 직접 매핑됩니다. 키는 'packet_capture_name'입니다. |
packet_capture_time |
event.idm.read_only_udm.additional.fields[].value.string_value |
packet_capture_time 필드에서 직접 매핑됩니다. 키는 'packet_capture_time'입니다. |
packet_capture_unique_id |
event.idm.read_only_udm.additional.fields[].value.string_value |
packet_capture_unique_id 필드에서 직접 매핑됩니다. 키는 'packet_capture_unique_id'입니다. |
parent_rule |
event.idm.read_only_udm.security_result.detection_fields[].value |
parent_rule 필드에서 직접 매핑됩니다. 키는 'parent_rule'입니다. |
performance_impact |
event.idm.read_only_udm.additional.fields[].value.string_value |
performance_impact 필드에서 직접 매핑됩니다. 키는 'performance_impact'입니다. |
policy_name |
event.idm.read_only_udm.security_result.detection_fields[].value |
Grok을 사용하여 __policy_id_tag 필드에서 추출하고 매핑했습니다. 키는 '정책 이름'입니다. |
policy_time |
event.idm.read_only_udm.security_result.detection_fields[].value |
policy_time 필드에서 직접 매핑됩니다. 키는 'policy_time'입니다. |
portal_message |
event.idm.read_only_udm.security_result.description |
portal_message 필드에서 직접 매핑됩니다. |
principal_hostname |
event.idm.read_only_udm.principal.ip , event.idm.read_only_udm.principal.asset.ip |
올바른 IP 주소인 경우 principal_hostname 필드에서 직접 매핑됩니다. |
principal_hostname |
event.idm.read_only_udm.principal.hostname , event.idm.read_only_udm.principal.asset.hostname |
유효한 IP 주소가 아니고 'Checkpoint'가 아닌 경우 principal_hostname 필드에서 직접 매핑됩니다. |
prod_family_label |
event.idm.read_only_udm.additional.fields[].value.string_value |
ProductFamily 필드에서 직접 매핑됩니다. 키는 'ProductFamily'입니다. |
product |
event.idm.read_only_udm.metadata.product_name |
product 필드에서 직접 매핑됩니다. |
product_family |
event.idm.read_only_udm.additional.fields[].value.string_value |
product_family 필드에서 직접 매핑됩니다. 키는 'product_family'입니다. |
product_family |
event.idm.read_only_udm.additional.fields[].value.string_value |
product_family 필드에서 직접 매핑됩니다. 키는 'product_family'입니다. |
ProductName |
event.idm.read_only_udm.metadata.product_name |
product 가 비어 있으면 ProductName 필드에서 직접 매핑됩니다. |
product_name |
event.idm.read_only_udm.metadata.product_name |
product_name 필드에서 직접 매핑됩니다. |
profile |
event.idm.read_only_udm.security_result.detection_fields[].value |
profile 필드에서 직접 매핑됩니다. 키는 'profile'입니다. |
protocol |
event.idm.read_only_udm.network.application_protocol |
protocol 필드가 'HTTP'인 경우 protocol 필드에서 직접 매핑됩니다. |
proxy_src_ip |
event.idm.read_only_udm.principal.nat_ip |
proxy_src_ip 필드에서 직접 매핑됩니다. |
reason |
event.idm.read_only_udm.security_result.summary |
reason 필드에서 직접 매핑됩니다. |
received_bytes |
event.idm.read_only_udm.network.received_bytes |
received_bytes 필드에서 직접 매핑되며 부호 없는 정수로 변환됩니다. |
Reference |
event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value , event.idm.read_only_udm.security_result.detection_fields[].value |
Reference 필드에서 직접 매핑됩니다. 키는 'Reference'입니다. attack 로 _vuln.name 를 구성하는 데 사용됩니다. |
reject_id_kid |
event.idm.read_only_udm.security_result.detection_fields[].value |
reject_id_kid 필드에서 직접 매핑됩니다. 키는 'reject_id_kid'입니다. |
resource |
event.idm.read_only_udm.target.url |
JSON으로 파싱되고 대상 URL에 매핑됩니다. 파싱에 실패하면 직접 매핑됩니다. |
resource |
event.idm.read_only_udm.additional.fields[].value.list_value.values[].string_value |
JSON으로 파싱되고 resource 배열의 각 값이 목록에 추가됩니다. 키는 'Resource'입니다. |
result |
event.idm.read_only_udm.metadata.event_timestamp |
date_time 로 파싱하여 이벤트 타임스탬프를 만듭니다. |
rt |
event.idm.read_only_udm.metadata.event_timestamp |
에포크 이후 경과된 밀리초로 파싱되고 타임스탬프로 변환됩니다. |
rule |
event.idm.read_only_udm.security_result.rule_name |
rule 필드에서 직접 매핑됩니다. |
rule_action |
event.idm.read_only_udm.security_result.detection_fields[].value |
rule_action 필드에서 직접 매핑됩니다. 키는 'rule_action'입니다. |
rule_name |
event.idm.read_only_udm.security_result.rule_name |
rule_name 필드에서 직접 매핑됩니다. |
rule_uid |
event.idm.read_only_udm.security_result.rule_id |
rule_uid 필드에서 직접 매핑됩니다. |
s_port |
event.idm.read_only_udm.principal.port |
s_port 필드에서 직접 매핑되고 정수로 변환됩니다. |
scheme |
event.idm.read_only_udm.additional.fields[].value.string_value |
scheme 필드에서 직접 매핑됩니다. 키는 'scheme'입니다. |
security_inzone |
event.idm.read_only_udm.security_result.detection_fields[].value |
security_inzone 필드에서 직접 매핑됩니다. 키는 'security_inzone'입니다. |
security_outzone |
event.idm.read_only_udm.security_result.detection_fields[].value |
security_outzone 필드에서 직접 매핑됩니다. 키는 'security_outzone'입니다. |
security_result_action |
event.idm.read_only_udm.security_result.action |
security_result_action 필드에서 직접 매핑됩니다. |
sendtotrackerasadvancedauditlog |
event.idm.read_only_udm.security_result.detection_fields[].value |
sendtotrackerasadvancedauditlog 필드에서 직접 매핑됩니다. 키는 'sendtotrackerasadvancedauditlog'입니다. |
sent_bytes |
event.idm.read_only_udm.network.sent_bytes |
sent_bytes 필드에서 직접 매핑되며 부호 없는 정수로 변환됩니다. |
sequencenum |
event.idm.read_only_udm.additional.fields[].value.string_value |
sequencenum 필드에서 직접 매핑됩니다. 키는 'sequencenum'입니다. |
ser_agent_kid |
event.idm.read_only_udm.security_result.detection_fields[].value |
ser_agent_kid 필드에서 직접 매핑됩니다. 키는 'ser_agent_kid'입니다. |
service |
event.idm.read_only_udm.target.port |
service 필드에서 직접 매핑되고 정수로 변환됩니다. |
service_id |
event.idm.read_only_udm.network.application_protocol |
service_id 필드에서 직접 매핑되며, 'dhcp', 'dns', 'http', 'https', 'quic'인 경우 대문자로 변환됩니다. |
service_id |
event.idm.read_only_udm.principal.application |
네트워크 애플리케이션 프로토콜이 아닌 경우 service_id 필드에서 직접 매핑됩니다. |
service_id |
event.idm.read_only_udm.security_result.detection_fields[].value |
service_id 필드에서 직접 매핑됩니다. 키는 'service_id'입니다. |
session_description |
event.idm.read_only_udm.security_result.detection_fields[].value |
session_description 필드에서 직접 매핑됩니다. 키는 'session_description'입니다. |
session_id |
event.idm.read_only_udm.network.session_id |
중괄호를 삭제한 후 session_id 필드에서 직접 매핑됩니다. |
session_name |
event.idm.read_only_udm.security_result.detection_fields[].value |
session_name 필드에서 직접 매핑됩니다. 키는 'session_name'입니다. |
session_uid |
event.idm.read_only_udm.network.session_id |
중괄호를 삭제한 후 session_uid 필드에서 직접 매핑됩니다. |
Severity |
event.idm.read_only_udm.security_result.severity |
Severity 값에 따라 'LOW', 'MEDIUM', 'HIGH' 또는 'CRITICAL'에 매핑됩니다. |
severity |
event.idm.read_only_udm.security_result.severity |
severity 값에 따라 'LOW', 'MEDIUM', 'HIGH' 또는 'CRITICAL'에 매핑됩니다. |
site |
event.idm.read_only_udm.network.http.user_agent |
site 필드에서 직접 매핑됩니다. |
smartdefense_profile |
event.idm.read_only_udm.security_result.detection_fields[].value |
smartdefense_profile 필드에서 직접 매핑됩니다. 키는 'smartdefense_profile'입니다. |
snid |
event.idm.read_only_udm.network.session_id |
snid 필드가 비어 있지 않거나 '0'이 아닌 경우 snid 필드에서 직접 매핑됩니다. |
sourceAddress |
event.idm.read_only_udm.principal.ip , event.idm.read_only_udm.principal.asset.ip |
sourceAddress 필드에서 직접 매핑됩니다. |
sourcePort |
event.idm.read_only_udm.principal.port |
sourcePort 필드에서 직접 매핑되고 정수로 변환됩니다. |
sourceTranslatedAddress |
event.idm.read_only_udm.principal.ip , event.idm.read_only_udm.principal.asset.ip |
sourceTranslatedAddress 필드에서 직접 매핑됩니다. |
sourceTranslatedAddress |
event.idm.read_only_udm.principal.nat_ip |
sourceTranslatedAddress 필드에서 직접 매핑됩니다. |
sourceTranslatedPort |
event.idm.read_only_udm.principal.port |
sourceTranslatedPort 필드에서 직접 매핑되고 정수로 변환됩니다. |
sourceTranslatedPort |
event.idm.read_only_udm.principal.nat_port |
sourceTranslatedPort 필드에서 직접 매핑되고 정수로 변환됩니다. |
sourceUserName |
event.idm.read_only_udm.principal.user.userid , event.idm.read_only_udm.principal.user.first_name , event.idm.read_only_udm.principal.user.last_name |
grok를 사용하여 파싱하여 사용자 ID, 이름, 성을 추출합니다. |
spt |
event.idm.read_only_udm.principal.port |
spt 필드에서 직접 매핑되고 정수로 변환됩니다. |
src |
event.idm.read_only_udm.principal.ip , event.idm.read_only_udm.principal.asset.ip |
src 필드에서 직접 매핑됩니다. |
src_ip |
event.idm.read_only_udm.principal.ip , event.idm.read_only_udm.principal.asset.ip |
src_ip 필드에서 직접 매핑됩니다. |
src_localhost |
event.idm.read_only_udm.principal.hostname , event.idm.read_only_udm.principal.asset.hostname |
src_localhost 필드에서 직접 매핑됩니다. src_ip 이 '127.0.0.1'로 설정됩니다. |
src_machine_name |
event.idm.read_only_udm.security_result.detection_fields[].value |
src_machine_name 필드에서 직접 매핑됩니다. 키는 'src_machine_name'입니다. |
src_port |
event.idm.read_only_udm.principal.port |
src_port 필드에서 직접 매핑되고 정수로 변환됩니다. |
src_user |
event.idm.read_only_udm.principal.user.userid |
src_user 필드에서 직접 매핑됩니다. |
src_user_dn |
event.idm.read_only_udm.security_result.detection_fields[].value |
src_user_dn 필드에서 직접 매핑됩니다. 키는 'src_user_dn'입니다. |
src_user_name |
event.idm.read_only_udm.principal.user.userid |
src_user_name 필드에서 직접 매핑됩니다. |
sub_policy_name |
event.idm.read_only_udm.security_result.detection_fields[].value |
sub_policy_name 필드에서 직접 매핑됩니다. 키는 'sub_policy_name'입니다. |
sub_policy_uid |
event.idm.read_only_udm.security_result.detection_fields[].value |
sub_policy_uid 필드에서 직접 매핑됩니다. 키는 'sub_policy_uid'입니다. |
subject |
event.idm.read_only_udm.security_result.detection_fields[].value |
subject 필드에서 직접 매핑됩니다. 키는 'subject'입니다. |
subscription_stat_desc |
event.idm.read_only_udm.security_result.summary |
subscription_stat_desc 필드에서 직접 매핑됩니다. |
tags |
event.idm.read_only_udm.security_result.detection_fields[].value |
tags 필드에서 직접 매핑됩니다. 키는 'tags'입니다. |
tar_user |
event.idm.read_only_udm.target.user.userid |
tar_user 필드에서 직접 매핑됩니다. |
target_port |
event.idm.read_only_udm.target.port |
target_port 필드에서 직접 매핑됩니다. |
tcp_flags |
event.idm.read_only_udm.security_result.detection_fields[].value |
tcp_flags 필드에서 직접 매핑됩니다. 키는 'tcp_flags'입니다. |
tcp_packet_out_of_state |
event.idm.read_only_udm.security_result.detection_fields[].value |
tcp_packet_out_of_state 필드에서 직접 매핑됩니다. 키는 'tcp_packet_out_of_state'입니다. |
time |
event.idm.read_only_udm.metadata.event_timestamp |
다양한 날짜 형식을 사용하여 파싱되고 타임스탬프로 변환됩니다. |
ts |
event.idm.read_only_udm.metadata.event_timestamp |
ds 및 tz 로 파싱하여 이벤트 타임스탬프를 만듭니다. |
type |
event.idm.read_only_udm.security_result.rule_type |
type 필드에서 직접 매핑됩니다. |
tz |
event.idm.read_only_udm.metadata.event_timestamp |
ds 및 ts 와 함께 사용하여 이벤트 타임스탬프를 구성합니다. |
update_count |
event.idm.read_only_udm.security_result.detection_fields[].value |
update_count 필드에서 직접 매핑됩니다. 키는 'update_count'입니다. |
URL |
event.idm.read_only_udm.security_result.about.url |
URL 필드에서 직접 매핑됩니다. |
user |
event.idm.read_only_udm.principal.user.userid |
user 필드에서 직접 매핑됩니다. |
user_agent |
event.idm.read_only_udm.network.http.user_agent |
user_agent 필드에서 직접 매핑됩니다. 또한 파싱되어 event.idm.read_only_udm.network.http.parsed_user_agent 에 매핑됩니다. |
userip |
event.idm.read_only_udm.principal.ip , event.idm.read_only_udm.principal.asset.ip |
올바른 IP 주소인 경우 userip 필드에서 직접 매핑됩니다. |
UUid |
event.idm.read_only_udm.metadata.product_log_id |
중괄호를 삭제한 후 UUid 필드에서 직접 매핑됩니다. |
version |
event.idm.read_only_udm.metadata.product_version |
version 필드에서 직접 매핑됩니다. |
web_client_type |
event.idm.read_only_udm.network.http.user_agent |
web_client_type 필드에서 직접 매핑됩니다. |
xlatedport |
event.idm.read_only_udm.target.nat_port |
xlatedport 필드에서 직접 매핑되고 정수로 변환됩니다. |
xlatedst |
event.idm.read_only_udm.target.nat_ip |
xlatedst 필드에서 직접 매핑됩니다. |
xlatesport |
event.idm.read_only_udm.principal.nat_port |
xlatesport 필드에서 직접 매핑되고 정수로 변환됩니다. |
xlatesrc |
event.idm.read_only_udm.principal.nat_ip |
xlatesrc 필드에서 직접 매핑됩니다. |
event.idm.read_only_udm.metadata.vendor_name |
Check Point |
하드 코딩된 값 |
event.idm.read_only_udm.metadata.log_type |
CHECKPOINT_FIREWALL |
하드 코딩된 값 |
event.idm.read_only_udm.security_result.rule_type |
Firewall Rule |
특정 로직으로 재정의되지 않는 한 기본값입니다. |
event.idm.is_alert |
true |
alert 필드가 'yes'인 경우 true로 설정합니다. |
has_principal |
true |
기본 IP 또는 호스트 이름이 추출된 경우 true로 설정합니다. |
has_target |
true |
타겟 IP 또는 호스트 이름이 추출되면 true로 설정합니다. |
변경사항
2024-05-29
- 'layer_uuid_rule_uuid'가 'security_result.rule_id'에 매핑되었습니다.
- 'domain'이 'principal.administrative_domain'에 매핑되었습니다.
- 'fservice', 'appi_name', 'app_risk', 'policy_name'이 'security_result.detection_fields'에 매핑되었습니다.
- 'packets', '__id', 'dedup_time', 'browse_time', 'bytes', 'product_family', 'hll_key', 'calc_service'가 'additional.fields'에 매핑되었습니다.
- 'id'가 'metadata.product_log_id'에 매핑되었습니다.
- 'orig_log_server'가 'principal.resource.product_object_id'에 매핑되었습니다.
- 'environment_id'가 'target.resource.product_object_id'에 매핑되었습니다.
- 'client_outbound_packets' 및 'client_inbound_packets'가 'principal.resource.attribute.labels'에 매핑되었습니다.
- 'server_outbound_bytes' 및 'server_inbound_bytes'가 'target.resource.attribute.labels'에 매핑되었습니다.
- 'orig'이 'principal.hostname' 및 'principal.asset.hostname'에 매핑되었습니다.
- 'orig_log_server_ip'가 'principal.ip' 및 'principal.asset.ip'에 매핑되었습니다.
- 'proto'가 'network.ip_protocol'에 매핑되었습니다.
2024-05-20
- 'inter_host'를 추출하는 Grok 패턴을 추가했습니다.
- 'inter_host'가 'intermediary.hostname'에 매핑되었습니다.
2024-04-19
- 개선사항 및 버그 수정:
- 'origin'이 'target.ip' 및 'target.asset.ip'에 매핑되었습니다.
- 새 형식의 SYSLOG 로그를 파싱하기 위한 새로운 Grok 패턴이 추가되었습니다.
- 'smartdefense_profile', 'malware_rule_id', 'malware_rule_name'이 'security_result.detection_fields'에 매핑되었습니다.
- 'sequencenum', 'description_url', 'industry_reference', 'mitre_execution', 'packet_capture_name', 'packet_capture_unique_id', 'packet_capture_time', 'performance_impact'가 'additional.fields'에 매핑되었습니다.
- 'version'이 'metadata.product_version'에 매핑되었습니다.
- 'http_host'가 'target.resource.attribute.labels'에 매핑되었습니다.
- 'log_id'가 'metadata.product_log_id'에 매핑되었습니다.
- 'user_agent'가 'network.http.user_agent' 및 'http.parsed_user_agent'에 매핑되었습니다.
- 'hostname', 'dvc', 'principal_hostname'이 'target.hostname' 및 'target.asset.hostname'에 매핑되었습니다.
- 'has_principal'이 'true'이고 'has_target'이 'true'이고 'Action'/'action'이 'Log In'(로그인) 또는 'Failed Log In'(로그인 실패) 또는 'Failed Login'(로그인 실패) 또는 'Update'(업데이트)인 경우 'metadata.event_type'을 'USER_LOGIN'으로, 'extensions.auth.type'을 'AUTHTYPE_UNSPECIFIED'로 설정합니다.
- 'has_principal'이 'true'이고, 'has_target'이 'true'이고, 'Action'/'act'/'event_type'이 'Log Out' 또는 'Logout'인 경우 'metadata.event_type'을 'USER_LOGOUT'으로, 'extensions.auth.type'을 'AUTHTYPE_UNSPECIFIED'로 설정합니다.
- 'has_principal'이 'true'이고 'has_target'이 'true'인 경우 'metadata.event_type'을 'NETWORK_CONNECTION'으로 설정합니다.
- 'has_principal'이 'true'이고 'has_target'이 'false'인 경우 'metadata.event_type'을 'STATUS_UPDATE'로 설정합니다.
2024-02-07
- 다음 필드에 대한 매핑을 추가했습니다.
- 'protection_id', 'malware_action', 'malware_family,protection_name', 'protection_type'이 'security_result.detection_fields'에 매핑되었습니다.
- 'confidence_level'이 'security_result.confidence' 및 'security_result.confidence_details'에 매핑되었습니다.
2024-02-05
- 다음 필드에 대한 매핑을 추가했습니다.
- 'method'가 'network.http.method'에 매핑되었습니다.
2024-01-24
- 다음 필드에 대한 매핑을 추가했습니다.
- 'method'가 'network.http.method'에 매핑되었습니다.
- 'duration'이 'network.session_duration.seconds'에 매핑되었습니다.
- 'additional_info'가 'security_result.description'에 매핑되었습니다.
- 'operation'이 'security_result.summary'에 매핑되었습니다.
- 'subject'가 'metadata.description'에 매핑되었습니다.
- 'principal_hostname'이 'intermediary.hostname'에 매핑되었습니다.
- 'tcp_packet_out_of_state', 'aggregated_log_count', 'connection_count', 'appi_name', 'src_user_dn',
- "update_count", "additional_info", "administrator", "operation", "sendtotrackerasadvancedauditlog",
- "subject", "fieldschanges", "logic_changes", "objecttype", "session_description",
- 'session_name'이 'security_result.detection_fields'에 매핑되었습니다.
2023-12-27
- 다음 필드에 대한 매핑을 추가했습니다.
- 'flags'가 'security_result.detection_fields'에 매핑되었습니다.
- 'tcp_flags'가 'security_result.detection_fields'에 매핑되었습니다.
- 'tcp_packet_out_of_state'가 'security_result.detection_fields'에 매핑되었습니다.
2023-12-11
- 'principal_hostname'이 유효한 IP인 경우 'principal.ip'에 매핑했습니다.
- 'principal_hostname'이 유효한 IP가 아닌 경우 'principal.hostname'에 매핑했습니다.
- 'sport_svc'가 'principal.port'에 매핑되었습니다.
- 'ProductFamily'가 'additional.fields'에 매핑되었습니다.
- 'mitre_initial_access'가 'security_result.detection_fields'에 매핑되었습니다.
- 'policy_time'이 'security_result.detection_fields'에 매핑되었습니다.
- 'profile'이 'security_result.detection_fields'에 매핑되었습니다.
- 'reject_id_kid'가 'security_result.detection_fields'에 매핑되었습니다.
- 'ser_agent_kid'가 'security_result.detection_fields'에 매핑되었습니다.
2023-10-11
- 'product'가 'New Anti Virus'인 경우 'firewall management node'에서 'principal.hostname'으로의 매핑이 삭제되고 대신 'security_result.detection_fields'에 매핑됩니다.
2023-07-06
- 다음 필드에 대한 매핑을 추가했습니다.
- 'app_category'가 'security_result.category_details'에 매핑되었습니다.
- 'matched_category'가 'security_result.detection_fields'에 매핑되었습니다.
- 'app_properties'가 'security_result.detection_fields'에 매핑되었습니다.
2023-06-14
- 다음 필드에 대한 매핑이 추가되었습니다.
- 'conn_direction'이 'additional.fields'에 매핑되었습니다.
- 실제 값에서 ':'을 '="로 바꾸지 않도록 gsub을 수정했습니다.
2023-05-12
- 다음 필드에 대한 매핑 추가
- 'rule_name'이 'security_result.rule_name'에 매핑되었습니다.
- 'rule','sub_policy_name','sub_policy_uid','smartdefense_profile','tags','flexString2'가 'security_result.detection_fields'에 매핑되었습니다.
- 새로운 로그 형식을 지원하도록 새로운 Grok 패턴이 추가되었습니다.
- 'dvc'가 'intermediary.hostname'에 매핑되었습니다.
- 'hostname'이 'intermediary.hostname'에 매핑되었습니다.
- 'origin_sic_name'이 'intermediary.asset_id'에 매핑되었습니다.
- 'conn_direction'이 'network.ip_protocol'에 매핑되었습니다.
- 'ifname'이 'security_result.detection_fields'에 매핑되었습니다.
- 'security_inzone'이 'security_result.detection_fields'에 매핑되었습니다.
- 'match_id'가 'security_result.detection_fields'에 매핑되었습니다.
- 'parent_rule'이 'security_result.detection_fields'에 매핑되었습니다.
- 'security_outzone'이 'security_result.detection_fields'에 매핑되었습니다.
- 'sub_policy_name'이 'security_result.detection_fields'에 매핑되었습니다.
- 'sub_policy_uid'가 'security_result.detection_fields'에 매핑되었습니다.
- 'drop_reason'이 'security_result.summary'에 매핑되었습니다.
- 'reason'이 'security_result.summary'에 매핑되었습니다.
- 'xlatesport'가 'principal.nat_port'에 매핑되었습니다.
- 'xlatedport'가 'target.nat_port'에 매핑되었습니다.
- 'ipv6_dst'가 'target.ip'에 매핑되었습니다.
- 'ipv6_src'가 'principal.ip'에 매핑되었습니다.
2023-04-24
- CEF 형식의 로그 지원이 추가되었습니다.
2022-11-18
- 'service'의 매핑을 수정하여 'target.port'에 매핑했습니다.
2022-10-27
- 'attack','attack_info','policy_name'에 대한 조건부 검사를 추가했습니다.
- 'principal_hostname'을 검색하는 grok 패턴이 추가되었습니다.
- '="를 ':'로 변경하는 gsub를 추가했습니다.
- 'service'의 매핑을 수정하여 'target.resource.attribute.labels'에 매핑했습니다.
2022-10-13
- 'fw_subproduct' 필드가 'metadata.product_name'에 매핑되었습니다.
- 'src' 필드에서 IP를 추출하는 grok 패턴을 추가했습니다.
2022-08-30
- 고객별 버전의 변경사항을 기본값으로 병합했습니다.
- UserCheck에서 '*****'가 포함된 로그를 삭제했습니다.
2022-08-18
- 'portal_message'가 'security_result.description'에 매핑되었습니다.
- 'portal_message'에 'malware/malicious' 키워드가 포함된 경우 'security_result.category'가 'SOFTWARE_MALICIOUS'로 매핑되었습니다.
- 'URL'이 'security_result.about.url'에 매핑되었습니다.
- 'Activity'가 'security_result.summary'에 매핑되었습니다.
- 'Reference'가 'security_result.about.resource.attribute.labels'에 매핑되었습니다.
- 'intermediary.ip' 값을 'principal.ip'에 복제하여 'event_type'을 'GENERIC_EVENT'에서 'STATUS_UPDATE'로 수정했습니다.
2022-08-12
- 'malware_action', 'malware_family,protection_name', 'protection_type'이 'security_result.about.resource.attribute.labels'에 매핑되었습니다.
- 'src_machine_name'이 'security_result.detection_fields'에 매핑되었습니다.
2022-06-30
- 'message_info'가 'metadata.description'에 매핑되었습니다.
2022-06-17
- 'nat_rulenum', 'rule', 'sent_bytes', 'received_bytes', 's_port', 'service' 필드에 대한 조건부 검사가 추가되었습니다.
- 다음 케이스의 event_types를 수정했습니다.
- 'principal.ip 또는 principal.hostname' 및 'target.ip 또는 target.hostname'이 null이 아닌 경우 'GENERIC_EVENT'를 'NETWORK_CONNECTION'으로 업데이트했습니다.
- 'principal.ip' 또는 'principal.hostname'이 null이 아닌 경우 'GENERIC_EVENT'에서 'STATUS_UNCATEGORIZED'로 변경했습니다.
2022-06-14
- passwd의 조건 검사를 삭제하여 더 많은 로그를 파싱하도록 파서를 수정했습니다.
2022-06-07
- src_machine_name을 security_result.detection_fields에 매핑했습니다.
2022-05-19
- inzone, outzone, layer_name, layer_uuid, policy_name을 security_result.detection_fields에 매핑했습니다.
- service_id를 principal.application에 매핑했습니다.