Check Point 방화벽 로그 수집

다음에서 지원:

이 파서는 Check Point 방화벽 로그를 추출합니다. syslog, 키-값 쌍, JSON을 비롯한 CEF 및 비-CEF 형식 메시지를 모두 처리합니다. 필드를 정규화하고 UDM에 매핑하며 로그인/로그아웃, 네트워크 연결, 보안 이벤트에 관한 특정 로직을 실행합니다. 위치정보 및 위협 인텔리전스와 같은 상황 정보를 사용하여 데이터를 보강합니다.

시작하기 전에

  • Google Security Operations 인스턴스가 있는지 확인합니다.
  • Windows 2016 이상 또는 systemd가 있는 Linux 호스트를 사용하고 있는지 확인합니다.
  • 프록시 뒤에서 실행하는 경우 방화벽 포트가 열려 있는지 확인합니다.
  • Check Point 방화벽에 대한 권한이 있는지 확인합니다.

Google SecOps 처리 인증 파일 가져오기

  1. Google SecOps 콘솔에 로그인합니다.
  2. SIEM 설정 > 수집 에이전트로 이동합니다.
  3. 처리 인증 파일을 다운로드합니다.

Google SecOps 고객 ID 가져오기

  1. Google SecOps 콘솔에 로그인합니다.
  2. SIEM 설정 > 프로필로 이동합니다.
  3. 조직 세부정보 섹션에서 고객 ID를 복사하여 저장합니다.

BindPlane 에이전트 설치

  1. Windows 설치의 경우 다음 스크립트를 실행합니다.
    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
  2. Linux 설치의 경우 다음 스크립트를 실행합니다.
    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
  3. 추가 설치 옵션은 이 설치 가이드에서 확인할 수 있습니다.

Syslog를 수집하고 Google SecOps로 전송하도록 BindPlane 에이전트 구성

  1. BindPlane이 설치된 머신에 액세스합니다.
  2. 다음과 같이 config.yaml 파일을 수정합니다.

    receivers:
        udplog:
            # Replace the below port <54525> and IP <0.0.0.0> with your specific values
            listen_address: "0.0.0.0:54525" 
    
    exporters:
        chronicle/chronicle_w_labels:
            compression: gzip
            # Adjust the creds location below according the placement of the credentials file you downloaded
            creds: '{ json file for creds }'
            # Replace <customer_id> below with your actual ID that you copied
            customer_id: <customer_id>
            endpoint: malachiteingestion-pa.googleapis.com
            # You can apply ingestion labels below as preferred
            ingestion_labels:
            log_type: SYSLOG
            namespace: Checkpoint_Firewall
            raw_log_field: body
    service:
        pipelines:
            logs/source0__chronicle_w_labels-0:
                receivers:
                    - udplog
                exporters:
                    - chronicle/chronicle_w_labels
    
  3. BindPlane 에이전트를 다시 시작하여 변경사항을 적용합니다.

    sudo systemctl restart bindplane
    

Check Point 방화벽에서 Syslog 내보내기 구성

  1. 권한이 있는 계정을 사용하여 Check Point 방화벽 UI에 로그인합니다.
  2. 로그 및 모니터링 > 로그 서버로 이동합니다.
  3. 시스템로그 서버로 이동합니다.
  4. 구성을 클릭하고 다음 값을 설정합니다.
    • 프로토콜: 보안 로그 또는 시스템 로그를 전송하려면 UDP를 선택합니다.
    • 이름: 고유한 이름을 입력합니다 (예: Bindplane_Server).
    • IP 주소: syslog 서버 IP 주소 (Bindplane IP)를 입력합니다.
    • 포트: 시스템로그 서버 포트 (Bindplane 포트)를 입력합니다.
  5. 로그 서버 사용 설정을 선택합니다.
  6. 전달할 로그를 선택합니다. 시스템 및 보안 로그 모두
  7. 적용을 클릭합니다.

UDM 매핑 표

로그 필드 UDM 매핑 논리
Action event.idm.read_only_udm.security_result.action_details Action 필드에서 직접 매핑됩니다.
Activity event.idm.read_only_udm.security_result.summary Activity 필드에서 직접 매핑됩니다.
additional_info event.idm.read_only_udm.security_result.description additional_info 필드에서 직접 매핑됩니다.
administrator event.idm.read_only_udm.security_result.detection_fields[].value administrator 필드에서 직접 매핑됩니다. 키는 'administrator'입니다.
aggregated_log_count event.idm.read_only_udm.security_result.detection_fields[].value aggregated_log_count 필드에서 직접 매핑됩니다. 키는 'aggregated_log_count'입니다.
appi_name event.idm.read_only_udm.security_result.detection_fields[].value appi_name 필드에서 직접 매핑됩니다. 키는 'appi_name'입니다.
app_category event.idm.read_only_udm.security_result.category_details app_category 필드에서 직접 매핑됩니다.
app_properties event.idm.read_only_udm.security_result.detection_fields[].value app_properties 필드에서 직접 매핑됩니다. 키는 'app_properties'입니다.
app_risk event.idm.read_only_udm.security_result.detection_fields[].value app_risk 필드에서 직접 매핑됩니다. 키는 'app_risk'입니다.
app_session_id event.idm.read_only_udm.network.session_id app_session_id 필드에서 직접 매핑되고 문자열로 변환됩니다.
attack event.idm.read_only_udm.security_result.summary Info가 있는 경우 attack 필드에서 직접 매핑됩니다.
attack event.idm.read_only_udm.security_result.threat_name Info가 있는 경우 attack 필드에서 직접 매핑됩니다.
attack_info event.idm.read_only_udm.security_result.description attack_info 필드에서 직접 매핑됩니다.
auth_status event.idm.read_only_udm.security_result.summary auth_status 필드에서 직접 매핑됩니다.
browse_time event.idm.read_only_udm.additional.fields[].value.string_value browse_time 필드에서 직접 매핑됩니다. 키는 'browse_time'입니다.
bytes event.idm.read_only_udm.additional.fields[].value.string_value bytes 필드에서 직접 매핑됩니다. 키는 'bytes'입니다.
bytes event.idm.read_only_udm.additional.fields[].value.string_value bytes 필드에서 직접 매핑됩니다. 키는 'bytes'입니다.
calc_service event.idm.read_only_udm.additional.fields[].value.string_value calc_service 필드에서 직접 매핑됩니다. 키는 'calc_service'입니다.
category event.idm.read_only_udm.security_result.category_details category 필드에서 직접 매핑됩니다.
client_version event.idm.read_only_udm.intermediary.platform_version client_version 필드에서 직접 매핑됩니다.
conn_direction event.idm.read_only_udm.additional.fields[].value.string_value conn_direction 필드에서 직접 매핑됩니다. 키는 'conn_direction'입니다.
conn_direction event.idm.read_only_udm.network.direction conn_direction이 '수신'인 경우 'INBOUND'에 매핑됩니다. 그 외의 경우에는 'OUTBOUND'로 매핑됩니다.
connection_count event.idm.read_only_udm.security_result.detection_fields[].value connection_count 필드에서 직접 매핑됩니다. 키는 'connection_count'입니다.
contract_name event.idm.read_only_udm.security_result.description contract_name 필드에서 직접 매핑됩니다.
cs2 event.idm.read_only_udm.security_result.rule_name cs2 필드에서 직접 매핑됩니다.
date_time event.idm.read_only_udm.metadata.event_timestamp 다양한 날짜 형식을 사용하여 파싱되고 타임스탬프로 변환됩니다.
dedup_time event.idm.read_only_udm.additional.fields[].value.string_value dedup_time 필드에서 직접 매핑됩니다. 키는 'dedup_time'입니다.
desc event.idm.read_only_udm.security_result.summary desc 필드에서 직접 매핑됩니다.
description event.idm.read_only_udm.security_result.description description 필드에서 직접 매핑됩니다.
description_url event.idm.read_only_udm.additional.fields[].value.string_value description_url 필드에서 직접 매핑됩니다. 키는 'description_url'입니다.
destinationAddress event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip destinationAddress 필드에서 직접 매핑됩니다.
destinationPort event.idm.read_only_udm.target.port destinationPort 필드에서 직접 매핑되고 정수로 변환됩니다.
destinationTranslatedAddress event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip destinationTranslatedAddress 필드에서 직접 매핑됩니다.
destinationTranslatedAddress event.idm.read_only_udm.target.nat_ip destinationTranslatedAddress 필드에서 직접 매핑됩니다.
destinationTranslatedPort event.idm.read_only_udm.target.port destinationTranslatedPort 필드에서 직접 매핑되고 정수로 변환됩니다.
destinationTranslatedPort event.idm.read_only_udm.target.nat_port destinationTranslatedPort 필드에서 직접 매핑되고 정수로 변환됩니다.
deviceCustomString2 event.idm.read_only_udm.security_result.rule_name deviceCustomString2 필드에서 직접 매핑됩니다.
deviceDirection event.idm.read_only_udm.network.direction deviceDirection가 0이면 'OUTBOUND'에 매핑됩니다. 1인 경우 'INBOUND'에 매핑됩니다.
domain event.idm.read_only_udm.principal.administrative_domain domain 필드에서 직접 매핑됩니다.
domain_name event.idm.read_only_udm.principal.administrative_domain domain_name 필드에서 직접 매핑됩니다.
drop_reason event.idm.read_only_udm.security_result.summary drop_reason 필드에서 직접 매핑됩니다.
ds event.idm.read_only_udm.metadata.event_timestamp tstz와 함께 사용하여 이벤트 타임스탬프를 구성합니다.
dst event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip dst 필드에서 직접 매핑됩니다.
dst_country event.idm.read_only_udm.target.location.country_or_region dst_country 필드에서 직접 매핑됩니다.
dst_ip event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip dst_ip 필드에서 직접 매핑됩니다.
dpt event.idm.read_only_udm.target.port dpt 필드에서 직접 매핑되고 정수로 변환됩니다.
duration event.idm.read_only_udm.network.session_duration.seconds duration 필드에서 직접 매핑되며 0보다 크면 정수로 변환됩니다.
duser event.idm.read_only_udm.target.user.email_addresses, event.idm.read_only_udm.target.user.user_display_name 이메일 주소 형식과 일치하는 경우 duser 필드에서 직접 매핑됩니다.
environment_id event.idm.read_only_udm.target.resource.product_object_id environment_id 필드에서 직접 매핑됩니다.
event_type event.idm.read_only_udm.metadata.event_type 특정 필드 및 값의 존재 여부에 따라 로직에 의해 결정됩니다. 특정 이벤트 유형이 식별되지 않은 경우 기본값은 GENERIC_EVENT입니다. NETWORK_CONNECTION, USER_LOGIN, USER_CHANGE_PASSWORD, USER_LOGOUT, NETWORK_HTTP, STATUS_UPDATE일 수 있습니다.
fieldschanges event.idm.read_only_udm.security_result.detection_fields[].value fieldschanges 필드에서 직접 매핑됩니다. 키는 'fieldschanges'입니다.
flags event.idm.read_only_udm.security_result.detection_fields[].value flags 필드에서 직접 매핑됩니다. 키는 'flags'입니다.
flexString2 event.idm.read_only_udm.security_result.detection_fields[].value flexString2 필드에서 직접 매핑됩니다. 키는 flexString2Label의 값입니다.
from_user event.idm.read_only_udm.principal.user.userid from_user 필드에서 직접 매핑됩니다.
fservice event.idm.read_only_udm.security_result.detection_fields[].value fservice 필드에서 직접 매핑됩니다. 키는 'fservice'입니다.
fw_subproduct event.idm.read_only_udm.metadata.product_name product가 비어 있으면 fw_subproduct 필드에서 직접 매핑됩니다.
geoip_dst.country_name event.idm.read_only_udm.target.location.country_or_region geoip_dst.country_name 필드에서 직접 매핑됩니다.
hll_key event.idm.read_only_udm.additional.fields[].value.string_value hll_key 필드에서 직접 매핑됩니다. 키는 'hll_key'입니다.
hostname event.idm.read_only_udm.target.hostname, event.idm.read_only_udm.target.asset.hostname, event.idm.read_only_udm.intermediary.hostname inter_host가 비어 있으면 hostname 필드에서 직접 매핑됩니다.
http_host event.idm.read_only_udm.target.resource.attribute.labels[].value http_host 필드에서 직접 매핑됩니다. 키는 'http_host'입니다.
id event.idm.read_only_udm.metadata.product_log_id _id 필드에서 직접 매핑됩니다.
identity_src event.idm.read_only_udm.target.application identity_src 필드에서 직접 매핑됩니다.
identity_type event.idm.read_only_udm.extensions.auth.type identity_type이 'user'인 경우 'VPN'에 매핑됩니다. 그 외의 경우에는 'MACHINE'에 매핑됩니다.
if_direction event.idm.read_only_udm.network.direction if_direction 필드에서 직접 매핑되며 대문자로 변환됩니다.
ifdir event.idm.read_only_udm.network.direction ifdir 필드에서 직접 매핑되며 대문자로 변환됩니다.
ifname event.idm.read_only_udm.security_result.detection_fields[].value ifname 필드에서 직접 매핑됩니다. 키는 'ifname'입니다.
IKE event.idm.read_only_udm.metadata.description IKE 필드에서 직접 매핑됩니다.
inzone event.idm.read_only_udm.security_result.detection_fields[].value inzone 필드에서 직접 매핑됩니다. 키는 'inzone'입니다.
industry_reference event.idm.read_only_udm.additional.fields[].value.string_value industry_reference 필드에서 직접 매핑됩니다. 키는 'industry_reference'입니다.
instance_id event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname instance_id 필드에서 직접 매핑됩니다.
inter_host event.idm.read_only_udm.intermediary.hostname inter_host 필드에서 직접 매핑됩니다.
ip_proto event.idm.read_only_udm.network.ip_protocol proto 필드 또는 service 필드를 기준으로 결정됩니다. TCP, UDP, ICMP, IP6IN4 또는 GRE일 수 있습니다.
ipv6_dst event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip ipv6_dst 필드에서 직접 매핑됩니다.
ipv6_src event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip ipv6_src 필드에서 직접 매핑됩니다.
layer_name event.idm.read_only_udm.security_result.rule_set_display_name, event.idm.read_only_udm.security_result.detection_fields[].value layer_name 필드에서 직접 매핑됩니다. 키는 'layer_name'입니다.
layer_uuid event.idm.read_only_udm.security_result.rule_set, event.idm.read_only_udm.security_result.detection_fields[].value 중괄호를 삭제한 후 layer_uuid 필드에서 직접 매핑됩니다. 키는 'layer_uuid'입니다.
layer_uuid_rule_uuid event.idm.read_only_udm.security_result.rule_id 대괄호와 따옴표를 삭제한 후 layer_uuid_rule_uuid 필드에서 직접 매핑됩니다.
log_id event.idm.read_only_udm.metadata.product_log_id log_id 필드에서 직접 매핑됩니다.
log_type event.idm.read_only_udm.metadata.log_type log_type 필드에서 직접 매핑됩니다. 'CHECKPOINT_FIREWALL'로 하드코딩됩니다.
loguid event.idm.read_only_udm.metadata.product_log_id 중괄호를 삭제한 후 loguid 필드에서 직접 매핑됩니다.
logic_changes event.idm.read_only_udm.security_result.detection_fields[].value logic_changes 필드에서 직접 매핑됩니다. 키는 'logic_changes'입니다.
localhost event.idm.read_only_udm.target.hostname, event.idm.read_only_udm.target.asset.hostname localhost 필드에서 직접 매핑됩니다. dst_ip이 '127.0.0.1'로 설정됩니다.
malware_action event.idm.read_only_udm.security_result.detection_fields[].value, event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value malware_action 필드에서 직접 매핑됩니다. 키는 'malware_action'입니다.
malware_family event.idm.read_only_udm.security_result.detection_fields[].value, event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value malware_family 필드에서 직접 매핑됩니다. 키는 'malware_family'입니다.
malware_rule_id event.idm.read_only_udm.security_result.detection_fields[].value 중괄호를 삭제한 후 malware_rule_id 필드에서 직접 매핑됩니다. 키는 'Malware Rule ID'입니다.
malware_rule_name event.idm.read_only_udm.security_result.detection_fields[].value malware_rule_name 필드에서 직접 매핑됩니다. 키는 'Malware Rule Name'입니다.
match_id event.idm.read_only_udm.security_result.detection_fields[].value match_id 필드에서 직접 매핑됩니다. 키는 'match_id'입니다.
matched_category event.idm.read_only_udm.security_result.detection_fields[].value matched_category 필드에서 직접 매핑됩니다. 키는 'matched_category'입니다.
message_info event.idm.read_only_udm.metadata.description message_info 필드에서 직접 매핑됩니다.
method event.idm.read_only_udm.network.http.method method 필드에서 직접 매핑됩니다.
mitre_execution event.idm.read_only_udm.additional.fields[].value.string_value mitre_execution 필드에서 직접 매핑됩니다. 키는 'mitre_execution'입니다.
mitre_initial_access event.idm.read_only_udm.security_result.detection_fields[].value mitre_initial_access 필드에서 직접 매핑됩니다. 키는 'mitre_initial_access'입니다.
nat_rulenum event.idm.read_only_udm.security_result.rule_id nat_rulenum 필드에서 직접 매핑되고 문자열로 변환됩니다.
objecttype event.idm.read_only_udm.security_result.detection_fields[].value objecttype 필드에서 직접 매핑됩니다. 키는 'objecttype'입니다.
operation event.idm.read_only_udm.security_result.summary operation 필드에서 직접 매핑됩니다.
operation event.idm.read_only_udm.security_result.detection_fields[].value operation 필드에서 직접 매핑됩니다. 키는 'operation'입니다.
orig event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname orig 필드에서 직접 매핑됩니다.
origin event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip, event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip, event.idm.read_only_udm.intermediary.ip origin 필드에서 직접 매핑됩니다.
origin_sic_name event.idm.read_only_udm.intermediary.asset_id, event.idm.read_only_udm.intermediary.labels[].value origin_sic_name 필드에서 직접 매핑됩니다. 키는 'Machine SIC'입니다. 확장 소재 ID 앞에는 'asset:'이 붙습니다.
originsicname event.idm.read_only_udm.additional.fields[].value.string_value originsicname 필드에서 직접 매핑됩니다. 키는 'originsicname'입니다.
originsicname event.idm.read_only_udm.intermediary.asset_id, event.idm.read_only_udm.intermediary.labels[].value originsicname 필드에서 직접 매핑됩니다. 키는 'Machine SIC'입니다. 확장 소재 ID 앞에는 'asset:'이 붙습니다.
os_name event.idm.read_only_udm.principal.asset.platform_software.platform os_name에 'Win'이 포함된 경우 'WINDOWS'에 매핑됩니다. 'MAC' 또는 'IOS'가 포함된 경우 'MAC'에 매핑됩니다. 'LINUX'가 포함된 경우 'LINUX'에 매핑됩니다.
os_version event.idm.read_only_udm.principal.asset.platform_software.platform_patch_level os_version 필드에서 직접 매핑됩니다.
outzone event.idm.read_only_udm.security_result.detection_fields[].value outzone 필드에서 직접 매핑됩니다. 키는 'outzone'입니다.
packets event.idm.read_only_udm.additional.fields[].value.string_value packets 필드에서 직접 매핑됩니다. 키는 'packets'입니다.
packet_capture_name event.idm.read_only_udm.additional.fields[].value.string_value packet_capture_name 필드에서 직접 매핑됩니다. 키는 'packet_capture_name'입니다.
packet_capture_time event.idm.read_only_udm.additional.fields[].value.string_value packet_capture_time 필드에서 직접 매핑됩니다. 키는 'packet_capture_time'입니다.
packet_capture_unique_id event.idm.read_only_udm.additional.fields[].value.string_value packet_capture_unique_id 필드에서 직접 매핑됩니다. 키는 'packet_capture_unique_id'입니다.
parent_rule event.idm.read_only_udm.security_result.detection_fields[].value parent_rule 필드에서 직접 매핑됩니다. 키는 'parent_rule'입니다.
performance_impact event.idm.read_only_udm.additional.fields[].value.string_value performance_impact 필드에서 직접 매핑됩니다. 키는 'performance_impact'입니다.
policy_name event.idm.read_only_udm.security_result.detection_fields[].value Grok을 사용하여 __policy_id_tag 필드에서 추출하고 매핑했습니다. 키는 '정책 이름'입니다.
policy_time event.idm.read_only_udm.security_result.detection_fields[].value policy_time 필드에서 직접 매핑됩니다. 키는 'policy_time'입니다.
portal_message event.idm.read_only_udm.security_result.description portal_message 필드에서 직접 매핑됩니다.
principal_hostname event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip 올바른 IP 주소인 경우 principal_hostname 필드에서 직접 매핑됩니다.
principal_hostname event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname 유효한 IP 주소가 아니고 'Checkpoint'가 아닌 경우 principal_hostname 필드에서 직접 매핑됩니다.
prod_family_label event.idm.read_only_udm.additional.fields[].value.string_value ProductFamily 필드에서 직접 매핑됩니다. 키는 'ProductFamily'입니다.
product event.idm.read_only_udm.metadata.product_name product 필드에서 직접 매핑됩니다.
product_family event.idm.read_only_udm.additional.fields[].value.string_value product_family 필드에서 직접 매핑됩니다. 키는 'product_family'입니다.
product_family event.idm.read_only_udm.additional.fields[].value.string_value product_family 필드에서 직접 매핑됩니다. 키는 'product_family'입니다.
ProductName event.idm.read_only_udm.metadata.product_name product가 비어 있으면 ProductName 필드에서 직접 매핑됩니다.
product_name event.idm.read_only_udm.metadata.product_name product_name 필드에서 직접 매핑됩니다.
profile event.idm.read_only_udm.security_result.detection_fields[].value profile 필드에서 직접 매핑됩니다. 키는 'profile'입니다.
protocol event.idm.read_only_udm.network.application_protocol protocol 필드가 'HTTP'인 경우 protocol 필드에서 직접 매핑됩니다.
proxy_src_ip event.idm.read_only_udm.principal.nat_ip proxy_src_ip 필드에서 직접 매핑됩니다.
reason event.idm.read_only_udm.security_result.summary reason 필드에서 직접 매핑됩니다.
received_bytes event.idm.read_only_udm.network.received_bytes received_bytes 필드에서 직접 매핑되며 부호 없는 정수로 변환됩니다.
Reference event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value, event.idm.read_only_udm.security_result.detection_fields[].value Reference 필드에서 직접 매핑됩니다. 키는 'Reference'입니다. attack_vuln.name를 구성하는 데 사용됩니다.
reject_id_kid event.idm.read_only_udm.security_result.detection_fields[].value reject_id_kid 필드에서 직접 매핑됩니다. 키는 'reject_id_kid'입니다.
resource event.idm.read_only_udm.target.url JSON으로 파싱되고 대상 URL에 매핑됩니다. 파싱에 실패하면 직접 매핑됩니다.
resource event.idm.read_only_udm.additional.fields[].value.list_value.values[].string_value JSON으로 파싱되고 resource 배열의 각 값이 목록에 추가됩니다. 키는 'Resource'입니다.
result event.idm.read_only_udm.metadata.event_timestamp date_time로 파싱하여 이벤트 타임스탬프를 만듭니다.
rt event.idm.read_only_udm.metadata.event_timestamp 에포크 이후 경과된 밀리초로 파싱되고 타임스탬프로 변환됩니다.
rule event.idm.read_only_udm.security_result.rule_name rule 필드에서 직접 매핑됩니다.
rule_action event.idm.read_only_udm.security_result.detection_fields[].value rule_action 필드에서 직접 매핑됩니다. 키는 'rule_action'입니다.
rule_name event.idm.read_only_udm.security_result.rule_name rule_name 필드에서 직접 매핑됩니다.
rule_uid event.idm.read_only_udm.security_result.rule_id rule_uid 필드에서 직접 매핑됩니다.
s_port event.idm.read_only_udm.principal.port s_port 필드에서 직접 매핑되고 정수로 변환됩니다.
scheme event.idm.read_only_udm.additional.fields[].value.string_value scheme 필드에서 직접 매핑됩니다. 키는 'scheme'입니다.
security_inzone event.idm.read_only_udm.security_result.detection_fields[].value security_inzone 필드에서 직접 매핑됩니다. 키는 'security_inzone'입니다.
security_outzone event.idm.read_only_udm.security_result.detection_fields[].value security_outzone 필드에서 직접 매핑됩니다. 키는 'security_outzone'입니다.
security_result_action event.idm.read_only_udm.security_result.action security_result_action 필드에서 직접 매핑됩니다.
sendtotrackerasadvancedauditlog event.idm.read_only_udm.security_result.detection_fields[].value sendtotrackerasadvancedauditlog 필드에서 직접 매핑됩니다. 키는 'sendtotrackerasadvancedauditlog'입니다.
sent_bytes event.idm.read_only_udm.network.sent_bytes sent_bytes 필드에서 직접 매핑되며 부호 없는 정수로 변환됩니다.
sequencenum event.idm.read_only_udm.additional.fields[].value.string_value sequencenum 필드에서 직접 매핑됩니다. 키는 'sequencenum'입니다.
ser_agent_kid event.idm.read_only_udm.security_result.detection_fields[].value ser_agent_kid 필드에서 직접 매핑됩니다. 키는 'ser_agent_kid'입니다.
service event.idm.read_only_udm.target.port service 필드에서 직접 매핑되고 정수로 변환됩니다.
service_id event.idm.read_only_udm.network.application_protocol service_id 필드에서 직접 매핑되며, 'dhcp', 'dns', 'http', 'https', 'quic'인 경우 대문자로 변환됩니다.
service_id event.idm.read_only_udm.principal.application 네트워크 애플리케이션 프로토콜이 아닌 경우 service_id 필드에서 직접 매핑됩니다.
service_id event.idm.read_only_udm.security_result.detection_fields[].value service_id 필드에서 직접 매핑됩니다. 키는 'service_id'입니다.
session_description event.idm.read_only_udm.security_result.detection_fields[].value session_description 필드에서 직접 매핑됩니다. 키는 'session_description'입니다.
session_id event.idm.read_only_udm.network.session_id 중괄호를 삭제한 후 session_id 필드에서 직접 매핑됩니다.
session_name event.idm.read_only_udm.security_result.detection_fields[].value session_name 필드에서 직접 매핑됩니다. 키는 'session_name'입니다.
session_uid event.idm.read_only_udm.network.session_id 중괄호를 삭제한 후 session_uid 필드에서 직접 매핑됩니다.
Severity event.idm.read_only_udm.security_result.severity Severity 값에 따라 'LOW', 'MEDIUM', 'HIGH' 또는 'CRITICAL'에 매핑됩니다.
severity event.idm.read_only_udm.security_result.severity severity 값에 따라 'LOW', 'MEDIUM', 'HIGH' 또는 'CRITICAL'에 매핑됩니다.
site event.idm.read_only_udm.network.http.user_agent site 필드에서 직접 매핑됩니다.
smartdefense_profile event.idm.read_only_udm.security_result.detection_fields[].value smartdefense_profile 필드에서 직접 매핑됩니다. 키는 'smartdefense_profile'입니다.
snid event.idm.read_only_udm.network.session_id snid 필드가 비어 있지 않거나 '0'이 아닌 경우 snid 필드에서 직접 매핑됩니다.
sourceAddress event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip sourceAddress 필드에서 직접 매핑됩니다.
sourcePort event.idm.read_only_udm.principal.port sourcePort 필드에서 직접 매핑되고 정수로 변환됩니다.
sourceTranslatedAddress event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip sourceTranslatedAddress 필드에서 직접 매핑됩니다.
sourceTranslatedAddress event.idm.read_only_udm.principal.nat_ip sourceTranslatedAddress 필드에서 직접 매핑됩니다.
sourceTranslatedPort event.idm.read_only_udm.principal.port sourceTranslatedPort 필드에서 직접 매핑되고 정수로 변환됩니다.
sourceTranslatedPort event.idm.read_only_udm.principal.nat_port sourceTranslatedPort 필드에서 직접 매핑되고 정수로 변환됩니다.
sourceUserName event.idm.read_only_udm.principal.user.userid, event.idm.read_only_udm.principal.user.first_name, event.idm.read_only_udm.principal.user.last_name grok를 사용하여 파싱하여 사용자 ID, 이름, 성을 추출합니다.
spt event.idm.read_only_udm.principal.port spt 필드에서 직접 매핑되고 정수로 변환됩니다.
src event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip src 필드에서 직접 매핑됩니다.
src_ip event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip src_ip 필드에서 직접 매핑됩니다.
src_localhost event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname src_localhost 필드에서 직접 매핑됩니다. src_ip이 '127.0.0.1'로 설정됩니다.
src_machine_name event.idm.read_only_udm.security_result.detection_fields[].value src_machine_name 필드에서 직접 매핑됩니다. 키는 'src_machine_name'입니다.
src_port event.idm.read_only_udm.principal.port src_port 필드에서 직접 매핑되고 정수로 변환됩니다.
src_user event.idm.read_only_udm.principal.user.userid src_user 필드에서 직접 매핑됩니다.
src_user_dn event.idm.read_only_udm.security_result.detection_fields[].value src_user_dn 필드에서 직접 매핑됩니다. 키는 'src_user_dn'입니다.
src_user_name event.idm.read_only_udm.principal.user.userid src_user_name 필드에서 직접 매핑됩니다.
sub_policy_name event.idm.read_only_udm.security_result.detection_fields[].value sub_policy_name 필드에서 직접 매핑됩니다. 키는 'sub_policy_name'입니다.
sub_policy_uid event.idm.read_only_udm.security_result.detection_fields[].value sub_policy_uid 필드에서 직접 매핑됩니다. 키는 'sub_policy_uid'입니다.
subject event.idm.read_only_udm.security_result.detection_fields[].value subject 필드에서 직접 매핑됩니다. 키는 'subject'입니다.
subscription_stat_desc event.idm.read_only_udm.security_result.summary subscription_stat_desc 필드에서 직접 매핑됩니다.
tags event.idm.read_only_udm.security_result.detection_fields[].value tags 필드에서 직접 매핑됩니다. 키는 'tags'입니다.
tar_user event.idm.read_only_udm.target.user.userid tar_user 필드에서 직접 매핑됩니다.
target_port event.idm.read_only_udm.target.port target_port 필드에서 직접 매핑됩니다.
tcp_flags event.idm.read_only_udm.security_result.detection_fields[].value tcp_flags 필드에서 직접 매핑됩니다. 키는 'tcp_flags'입니다.
tcp_packet_out_of_state event.idm.read_only_udm.security_result.detection_fields[].value tcp_packet_out_of_state 필드에서 직접 매핑됩니다. 키는 'tcp_packet_out_of_state'입니다.
time event.idm.read_only_udm.metadata.event_timestamp 다양한 날짜 형식을 사용하여 파싱되고 타임스탬프로 변환됩니다.
ts event.idm.read_only_udm.metadata.event_timestamp dstz로 파싱하여 이벤트 타임스탬프를 만듭니다.
type event.idm.read_only_udm.security_result.rule_type type 필드에서 직접 매핑됩니다.
tz event.idm.read_only_udm.metadata.event_timestamp dsts와 함께 사용하여 이벤트 타임스탬프를 구성합니다.
update_count event.idm.read_only_udm.security_result.detection_fields[].value update_count 필드에서 직접 매핑됩니다. 키는 'update_count'입니다.
URL event.idm.read_only_udm.security_result.about.url URL 필드에서 직접 매핑됩니다.
user event.idm.read_only_udm.principal.user.userid user 필드에서 직접 매핑됩니다.
user_agent event.idm.read_only_udm.network.http.user_agent user_agent 필드에서 직접 매핑됩니다. 또한 파싱되어 event.idm.read_only_udm.network.http.parsed_user_agent에 매핑됩니다.
userip event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip 올바른 IP 주소인 경우 userip 필드에서 직접 매핑됩니다.
UUid event.idm.read_only_udm.metadata.product_log_id 중괄호를 삭제한 후 UUid 필드에서 직접 매핑됩니다.
version event.idm.read_only_udm.metadata.product_version version 필드에서 직접 매핑됩니다.
web_client_type event.idm.read_only_udm.network.http.user_agent web_client_type 필드에서 직접 매핑됩니다.
xlatedport event.idm.read_only_udm.target.nat_port xlatedport 필드에서 직접 매핑되고 정수로 변환됩니다.
xlatedst event.idm.read_only_udm.target.nat_ip xlatedst 필드에서 직접 매핑됩니다.
xlatesport event.idm.read_only_udm.principal.nat_port xlatesport 필드에서 직접 매핑되고 정수로 변환됩니다.
xlatesrc event.idm.read_only_udm.principal.nat_ip xlatesrc 필드에서 직접 매핑됩니다.
event.idm.read_only_udm.metadata.vendor_name Check Point 하드 코딩된 값
event.idm.read_only_udm.metadata.log_type CHECKPOINT_FIREWALL 하드 코딩된 값
event.idm.read_only_udm.security_result.rule_type Firewall Rule 특정 로직으로 재정의되지 않는 한 기본값입니다.
event.idm.is_alert true alert 필드가 'yes'인 경우 true로 설정합니다.
has_principal true 기본 IP 또는 호스트 이름이 추출된 경우 true로 설정합니다.
has_target true 타겟 IP 또는 호스트 이름이 추출되면 true로 설정합니다.

변경사항

2024-05-29

  • 'layer_uuid_rule_uuid'가 'security_result.rule_id'에 매핑되었습니다.
  • 'domain'이 'principal.administrative_domain'에 매핑되었습니다.
  • 'fservice', 'appi_name', 'app_risk', 'policy_name'이 'security_result.detection_fields'에 매핑되었습니다.
  • 'packets', '__id', 'dedup_time', 'browse_time', 'bytes', 'product_family', 'hll_key', 'calc_service'가 'additional.fields'에 매핑되었습니다.
  • 'id'가 'metadata.product_log_id'에 매핑되었습니다.
  • 'orig_log_server'가 'principal.resource.product_object_id'에 매핑되었습니다.
  • 'environment_id'가 'target.resource.product_object_id'에 매핑되었습니다.
  • 'client_outbound_packets' 및 'client_inbound_packets'가 'principal.resource.attribute.labels'에 매핑되었습니다.
  • 'server_outbound_bytes' 및 'server_inbound_bytes'가 'target.resource.attribute.labels'에 매핑되었습니다.
  • 'orig'이 'principal.hostname' 및 'principal.asset.hostname'에 매핑되었습니다.
  • 'orig_log_server_ip'가 'principal.ip' 및 'principal.asset.ip'에 매핑되었습니다.
  • 'proto'가 'network.ip_protocol'에 매핑되었습니다.

2024-05-20

  • 'inter_host'를 추출하는 Grok 패턴을 추가했습니다.
  • 'inter_host'가 'intermediary.hostname'에 매핑되었습니다.

2024-04-19

  • 개선사항 및 버그 수정:
  • 'origin'이 'target.ip' 및 'target.asset.ip'에 매핑되었습니다.
  • 새 형식의 SYSLOG 로그를 파싱하기 위한 새로운 Grok 패턴이 추가되었습니다.
  • 'smartdefense_profile', 'malware_rule_id', 'malware_rule_name'이 'security_result.detection_fields'에 매핑되었습니다.
  • 'sequencenum', 'description_url', 'industry_reference', 'mitre_execution', 'packet_capture_name', 'packet_capture_unique_id', 'packet_capture_time', 'performance_impact'가 'additional.fields'에 매핑되었습니다.
  • 'version'이 'metadata.product_version'에 매핑되었습니다.
  • 'http_host'가 'target.resource.attribute.labels'에 매핑되었습니다.
  • 'log_id'가 'metadata.product_log_id'에 매핑되었습니다.
  • 'user_agent'가 'network.http.user_agent' 및 'http.parsed_user_agent'에 매핑되었습니다.
  • 'hostname', 'dvc', 'principal_hostname'이 'target.hostname' 및 'target.asset.hostname'에 매핑되었습니다.
  • 'has_principal'이 'true'이고 'has_target'이 'true'이고 'Action'/'action'이 'Log In'(로그인) 또는 'Failed Log In'(로그인 실패) 또는 'Failed Login'(로그인 실패) 또는 'Update'(업데이트)인 경우 'metadata.event_type'을 'USER_LOGIN'으로, 'extensions.auth.type'을 'AUTHTYPE_UNSPECIFIED'로 설정합니다.
  • 'has_principal'이 'true'이고, 'has_target'이 'true'이고, 'Action'/'act'/'event_type'이 'Log Out' 또는 'Logout'인 경우 'metadata.event_type'을 'USER_LOGOUT'으로, 'extensions.auth.type'을 'AUTHTYPE_UNSPECIFIED'로 설정합니다.
  • 'has_principal'이 'true'이고 'has_target'이 'true'인 경우 'metadata.event_type'을 'NETWORK_CONNECTION'으로 설정합니다.
  • 'has_principal'이 'true'이고 'has_target'이 'false'인 경우 'metadata.event_type'을 'STATUS_UPDATE'로 설정합니다.

2024-02-07

  • 다음 필드에 대한 매핑을 추가했습니다.
  • 'protection_id', 'malware_action', 'malware_family,protection_name', 'protection_type'이 'security_result.detection_fields'에 매핑되었습니다.
  • 'confidence_level'이 'security_result.confidence' 및 'security_result.confidence_details'에 매핑되었습니다.

2024-02-05

  • 다음 필드에 대한 매핑을 추가했습니다.
  • 'method'가 'network.http.method'에 매핑되었습니다.

2024-01-24

  • 다음 필드에 대한 매핑을 추가했습니다.
  • 'method'가 'network.http.method'에 매핑되었습니다.
  • 'duration'이 'network.session_duration.seconds'에 매핑되었습니다.
  • 'additional_info'가 'security_result.description'에 매핑되었습니다.
  • 'operation'이 'security_result.summary'에 매핑되었습니다.
  • 'subject'가 'metadata.description'에 매핑되었습니다.
  • 'principal_hostname'이 'intermediary.hostname'에 매핑되었습니다.
  • 'tcp_packet_out_of_state', 'aggregated_log_count', 'connection_count', 'appi_name', 'src_user_dn',
  • "update_count", "additional_info", "administrator", "operation", "sendtotrackerasadvancedauditlog",
  • "subject", "fieldschanges", "logic_changes", "objecttype", "session_description",
  • 'session_name'이 'security_result.detection_fields'에 매핑되었습니다.

2023-12-27

  • 다음 필드에 대한 매핑을 추가했습니다.
  • 'flags'가 'security_result.detection_fields'에 매핑되었습니다.
  • 'tcp_flags'가 'security_result.detection_fields'에 매핑되었습니다.
  • 'tcp_packet_out_of_state'가 'security_result.detection_fields'에 매핑되었습니다.

2023-12-11

  • 'principal_hostname'이 유효한 IP인 경우 'principal.ip'에 매핑했습니다.
  • 'principal_hostname'이 유효한 IP가 아닌 경우 'principal.hostname'에 매핑했습니다.
  • 'sport_svc'가 'principal.port'에 매핑되었습니다.
  • 'ProductFamily'가 'additional.fields'에 매핑되었습니다.
  • 'mitre_initial_access'가 'security_result.detection_fields'에 매핑되었습니다.
  • 'policy_time'이 'security_result.detection_fields'에 매핑되었습니다.
  • 'profile'이 'security_result.detection_fields'에 매핑되었습니다.
  • 'reject_id_kid'가 'security_result.detection_fields'에 매핑되었습니다.
  • 'ser_agent_kid'가 'security_result.detection_fields'에 매핑되었습니다.

2023-10-11

  • 'product'가 'New Anti Virus'인 경우 'firewall management node'에서 'principal.hostname'으로의 매핑이 삭제되고 대신 'security_result.detection_fields'에 매핑됩니다.

2023-07-06

  • 다음 필드에 대한 매핑을 추가했습니다.
  • 'app_category'가 'security_result.category_details'에 매핑되었습니다.
  • 'matched_category'가 'security_result.detection_fields'에 매핑되었습니다.
  • 'app_properties'가 'security_result.detection_fields'에 매핑되었습니다.

2023-06-14

  • 다음 필드에 대한 매핑이 추가되었습니다.
  • 'conn_direction'이 'additional.fields'에 매핑되었습니다.
  • 실제 값에서 ':'을 '="로 바꾸지 않도록 gsub을 수정했습니다.

2023-05-12

  • 다음 필드에 대한 매핑 추가
  • 'rule_name'이 'security_result.rule_name'에 매핑되었습니다.
  • 'rule','sub_policy_name','sub_policy_uid','smartdefense_profile','tags','flexString2'가 'security_result.detection_fields'에 매핑되었습니다.
  • 새로운 로그 형식을 지원하도록 새로운 Grok 패턴이 추가되었습니다.
  • 'dvc'가 'intermediary.hostname'에 매핑되었습니다.
  • 'hostname'이 'intermediary.hostname'에 매핑되었습니다.
  • 'origin_sic_name'이 'intermediary.asset_id'에 매핑되었습니다.
  • 'conn_direction'이 'network.ip_protocol'에 매핑되었습니다.
  • 'ifname'이 'security_result.detection_fields'에 매핑되었습니다.
  • 'security_inzone'이 'security_result.detection_fields'에 매핑되었습니다.
  • 'match_id'가 'security_result.detection_fields'에 매핑되었습니다.
  • 'parent_rule'이 'security_result.detection_fields'에 매핑되었습니다.
  • 'security_outzone'이 'security_result.detection_fields'에 매핑되었습니다.
  • 'sub_policy_name'이 'security_result.detection_fields'에 매핑되었습니다.
  • 'sub_policy_uid'가 'security_result.detection_fields'에 매핑되었습니다.
  • 'drop_reason'이 'security_result.summary'에 매핑되었습니다.
  • 'reason'이 'security_result.summary'에 매핑되었습니다.
  • 'xlatesport'가 'principal.nat_port'에 매핑되었습니다.
  • 'xlatedport'가 'target.nat_port'에 매핑되었습니다.
  • 'ipv6_dst'가 'target.ip'에 매핑되었습니다.
  • 'ipv6_src'가 'principal.ip'에 매핑되었습니다.

2023-04-24

  • CEF 형식의 로그 지원이 추가되었습니다.

2022-11-18

  • 'service'의 매핑을 수정하여 'target.port'에 매핑했습니다.

2022-10-27

  • 'attack','attack_info','policy_name'에 대한 조건부 검사를 추가했습니다.
  • 'principal_hostname'을 검색하는 grok 패턴이 추가되었습니다.
  • '="를 ':'로 변경하는 gsub를 추가했습니다.
  • 'service'의 매핑을 수정하여 'target.resource.attribute.labels'에 매핑했습니다.

2022-10-13

  • 'fw_subproduct' 필드가 'metadata.product_name'에 매핑되었습니다.
  • 'src' 필드에서 IP를 추출하는 grok 패턴을 추가했습니다.

2022-08-30

  • 고객별 버전의 변경사항을 기본값으로 병합했습니다.
  • UserCheck에서 '*****'가 포함된 로그를 삭제했습니다.

2022-08-18

  • 'portal_message'가 'security_result.description'에 매핑되었습니다.
  • 'portal_message'에 'malware/malicious' 키워드가 포함된 경우 'security_result.category'가 'SOFTWARE_MALICIOUS'로 매핑되었습니다.
  • 'URL'이 'security_result.about.url'에 매핑되었습니다.
  • 'Activity'가 'security_result.summary'에 매핑되었습니다.
  • 'Reference'가 'security_result.about.resource.attribute.labels'에 매핑되었습니다.
  • 'intermediary.ip' 값을 'principal.ip'에 복제하여 'event_type'을 'GENERIC_EVENT'에서 'STATUS_UPDATE'로 수정했습니다.

2022-08-12

  • 'malware_action', 'malware_family,protection_name', 'protection_type'이 'security_result.about.resource.attribute.labels'에 매핑되었습니다.
  • 'src_machine_name'이 'security_result.detection_fields'에 매핑되었습니다.

2022-06-30

  • 'message_info'가 'metadata.description'에 매핑되었습니다.

2022-06-17

  • 'nat_rulenum', 'rule', 'sent_bytes', 'received_bytes', 's_port', 'service' 필드에 대한 조건부 검사가 추가되었습니다.
  • 다음 케이스의 event_types를 수정했습니다.
  • 'principal.ip 또는 principal.hostname' 및 'target.ip 또는 target.hostname'이 null이 아닌 경우 'GENERIC_EVENT'를 'NETWORK_CONNECTION'으로 업데이트했습니다.
  • 'principal.ip' 또는 'principal.hostname'이 null이 아닌 경우 'GENERIC_EVENT'에서 'STATUS_UNCATEGORIZED'로 변경했습니다.

2022-06-14

  • passwd의 조건 검사를 삭제하여 더 많은 로그를 파싱하도록 파서를 수정했습니다.

2022-06-07

  • src_machine_name을 security_result.detection_fields에 매핑했습니다.

2022-05-19

  • inzone, outzone, layer_name, layer_uuid, policy_name을 security_result.detection_fields에 매핑했습니다.
  • service_id를 principal.application에 매핑했습니다.