Coletar registros de firewall do Check Point
Compatível com:
Google SecOps
SIEM
Esse analisador extrai registros de firewall do Check Point. Ele processa mensagens formatadas CEF e não CEF, incluindo syslog, pares de chave-valor e JSON. Ele normaliza os campos, os mapeia para o UDM e executa uma lógica específica para login/saída, conexões de rede e eventos de segurança. Ele enriquece os dados com informações contextuais, como geolocalização e informações sobre ameaças.
Antes de começar
- Verifique se você tem uma instância do Google Security Operations.
- Verifique se você está usando o Windows 2016 ou uma versão mais recente ou um host Linux com systemd.
- Se estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas.
- Verifique se você tem acesso privilegiado a um firewall Check Point.
Receber o arquivo de autenticação de ingestão do Google SecOps
- Faça login no console do Google SecOps.
- Acesse Configurações do SIEM > Agentes de coleta.
- Faça o download do arquivo de autenticação de transferência.
Receber o ID de cliente do Google SecOps
- Faça login no console do Google SecOps.
- Acesse Configurações do SIEM > Perfil.
- Copie e salve o ID do cliente na seção Detalhes da organização.
Instalar o agente do BindPlane
- Para a instalação do Windows, execute o seguinte script:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet - Para a instalação do Linux, execute o seguinte script:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh - Outras opções de instalação podem ser encontradas neste guia de instalação.
Configurar o agente BindPlane para ingerir o Syslog e enviar ao Google SecOps
- Acesse a máquina em que o BindPlane está instalado.
Edite o arquivo
config.yamlda seguinte forma:receivers: udplog: # Replace the below port <54525> and IP <0.0.0.0> with your specific values listen_address: "0.0.0.0:54525" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the creds location below according the placement of the credentials file you downloaded creds: '{ json file for creds }' # Replace <customer_id> below with your actual ID that you copied customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # You can apply ingestion labels below as preferred ingestion_labels: log_type: SYSLOG namespace: Checkpoint_Firewall raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labelsReinicie o agente do BindPlane para aplicar as mudanças:
sudo systemctl restart bindplane
Configurar a exportação de Syslog em um firewall Check Point
- Faça login na interface da firewall do Check Point usando uma conta privilegiada.
- Acesse Logs e monitoramento > Servidores de registro.
- Navegue até Servidores Syslog.
- Clique em Configurar e defina os seguintes valores:
- Protocolo: selecione UDP para enviar registros de segurança e/ou do sistema.
- Nome: forneça um nome exclusivo (por exemplo, Bindplane_Server).
- Endereço IP: informe o endereço IP do servidor de syslog (IP do Bindplane).
- Porta: informe a porta do servidor syslog (porta Bindplane).
- Selecione Ativar o servidor de registro.
- Selecione os registros a serem encaminhados: Registros do sistema e de segurança.
- Clique em Aplicar.
Tabela de mapeamento do UDM
| Campo de registro | Mapeamento do UDM | Lógica |
|---|---|---|
Action |
event.idm.read_only_udm.security_result.action_details |
Mapeado diretamente do campo Action. |
Activity |
event.idm.read_only_udm.security_result.summary |
Mapeado diretamente do campo Activity. |
additional_info |
event.idm.read_only_udm.security_result.description |
Mapeado diretamente do campo additional_info. |
administrator |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo administrator. A chave é "administrator". |
aggregated_log_count |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo aggregated_log_count. A chave é "aggregated_log_count". |
appi_name |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo appi_name. A chave é "appi_name". |
app_category |
event.idm.read_only_udm.security_result.category_details |
Mapeado diretamente do campo app_category. |
app_properties |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo app_properties. A chave é "app_properties". |
app_risk |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo app_risk. A chave é "app_risk". |
app_session_id |
event.idm.read_only_udm.network.session_id |
Mapeado diretamente do campo app_session_id, convertido em uma string. |
attack |
event.idm.read_only_udm.security_result.summary |
Mapeado diretamente do campo attack quando Info está presente. |
attack |
event.idm.read_only_udm.security_result.threat_name |
Mapeado diretamente do campo attack quando Info está presente. |
attack_info |
event.idm.read_only_udm.security_result.description |
Mapeado diretamente do campo attack_info. |
auth_status |
event.idm.read_only_udm.security_result.summary |
Mapeado diretamente do campo auth_status. |
browse_time |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mapeado diretamente do campo browse_time. A chave é "browse_time". |
bytes |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mapeado diretamente do campo bytes. A chave é "bytes". |
bytes |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mapeado diretamente do campo bytes. A chave é "bytes". |
calc_service |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mapeado diretamente do campo calc_service. A chave é "calc_service". |
category |
event.idm.read_only_udm.security_result.category_details |
Mapeado diretamente do campo category. |
client_version |
event.idm.read_only_udm.intermediary.platform_version |
Mapeado diretamente do campo client_version. |
conn_direction |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mapeado diretamente do campo conn_direction. A chave é "conn_direction". |
conn_direction |
event.idm.read_only_udm.network.direction |
Se conn_direction for "Entrada", será mapeado para "INBOUND". Caso contrário, é mapeado para "SAÍDA". |
connection_count |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo connection_count. A chave é "connection_count". |
contract_name |
event.idm.read_only_udm.security_result.description |
Mapeado diretamente do campo contract_name. |
cs2 |
event.idm.read_only_udm.security_result.rule_name |
Mapeado diretamente do campo cs2. |
date_time |
event.idm.read_only_udm.metadata.event_timestamp |
Analisado e convertido em um carimbo de data/hora usando vários formatos de data. |
dedup_time |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mapeado diretamente do campo dedup_time. A chave é "dedup_time". |
desc |
event.idm.read_only_udm.security_result.summary |
Mapeado diretamente do campo desc. |
description |
event.idm.read_only_udm.security_result.description |
Mapeado diretamente do campo description. |
description_url |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mapeado diretamente do campo description_url. A chave é "description_url". |
destinationAddress |
event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip |
Mapeado diretamente do campo destinationAddress. |
destinationPort |
event.idm.read_only_udm.target.port |
Mapeado diretamente do campo destinationPort, convertido em um número inteiro. |
destinationTranslatedAddress |
event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip |
Mapeado diretamente do campo destinationTranslatedAddress. |
destinationTranslatedAddress |
event.idm.read_only_udm.target.nat_ip |
Mapeado diretamente do campo destinationTranslatedAddress. |
destinationTranslatedPort |
event.idm.read_only_udm.target.port |
Mapeado diretamente do campo destinationTranslatedPort, convertido em um número inteiro. |
destinationTranslatedPort |
event.idm.read_only_udm.target.nat_port |
Mapeado diretamente do campo destinationTranslatedPort, convertido em um número inteiro. |
deviceCustomString2 |
event.idm.read_only_udm.security_result.rule_name |
Mapeado diretamente do campo deviceCustomString2. |
deviceDirection |
event.idm.read_only_udm.network.direction |
Se deviceDirection for 0, será mapeado para "SAÍDA". Se 1, é mapeado para "INBOUND". |
domain |
event.idm.read_only_udm.principal.administrative_domain |
Mapeado diretamente do campo domain. |
domain_name |
event.idm.read_only_udm.principal.administrative_domain |
Mapeado diretamente do campo domain_name. |
drop_reason |
event.idm.read_only_udm.security_result.summary |
Mapeado diretamente do campo drop_reason. |
ds |
event.idm.read_only_udm.metadata.event_timestamp |
Usado com ts e tz para criar o carimbo de data/hora do evento. |
dst |
event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip |
Mapeado diretamente do campo dst. |
dst_country |
event.idm.read_only_udm.target.location.country_or_region |
Mapeado diretamente do campo dst_country. |
dst_ip |
event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip |
Mapeado diretamente do campo dst_ip. |
dpt |
event.idm.read_only_udm.target.port |
Mapeado diretamente do campo dpt, convertido em um número inteiro. |
duration |
event.idm.read_only_udm.network.session_duration.seconds |
Mapeado diretamente do campo duration, convertido em um número inteiro, se for maior que 0. |
duser |
event.idm.read_only_udm.target.user.email_addresses, event.idm.read_only_udm.target.user.user_display_name |
Mapeado diretamente do campo duser se ele corresponder a um formato de endereço de e-mail. |
environment_id |
event.idm.read_only_udm.target.resource.product_object_id |
Mapeado diretamente do campo environment_id. |
event_type |
event.idm.read_only_udm.metadata.event_type |
Determinado pela lógica com base na presença de determinados campos e valores. O padrão é GENERIC_EVENT se nenhum tipo de evento específico for identificado. Pode ser NETWORK_CONNECTION, USER_LOGIN, USER_CHANGE_PASSWORD, USER_LOGOUT, NETWORK_HTTP ou STATUS_UPDATE. |
fieldschanges |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo fieldschanges. A chave é "fieldschanges". |
flags |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo flags. A chave é "flags". |
flexString2 |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo flexString2. A chave é o valor de flexString2Label. |
from_user |
event.idm.read_only_udm.principal.user.userid |
Mapeado diretamente do campo from_user. |
fservice |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo fservice. A chave é "fservice". |
fw_subproduct |
event.idm.read_only_udm.metadata.product_name |
Mapeado diretamente do campo fw_subproduct quando product está vazio. |
geoip_dst.country_name |
event.idm.read_only_udm.target.location.country_or_region |
Mapeado diretamente do campo geoip_dst.country_name. |
hll_key |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mapeado diretamente do campo hll_key. A chave é "hll_key". |
hostname |
event.idm.read_only_udm.target.hostname, event.idm.read_only_udm.target.asset.hostname, event.idm.read_only_udm.intermediary.hostname |
Mapeado diretamente do campo hostname quando inter_host está vazio. |
http_host |
event.idm.read_only_udm.target.resource.attribute.labels[].value |
Mapeado diretamente do campo http_host. A chave é "http_host". |
id |
event.idm.read_only_udm.metadata.product_log_id |
Mapeado diretamente do campo _id. |
identity_src |
event.idm.read_only_udm.target.application |
Mapeado diretamente do campo identity_src. |
identity_type |
event.idm.read_only_udm.extensions.auth.type |
Se identity_type for "user", será mapeado para "VPN". Caso contrário, é mapeado como "MACHINE". |
if_direction |
event.idm.read_only_udm.network.direction |
Mapeado diretamente do campo if_direction, convertido em letras maiúsculas. |
ifdir |
event.idm.read_only_udm.network.direction |
Mapeado diretamente do campo ifdir, convertido em letras maiúsculas. |
ifname |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo ifname. A chave é "ifname". |
IKE |
event.idm.read_only_udm.metadata.description |
Mapeado diretamente do campo IKE. |
inzone |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo inzone. A chave é "inzone". |
industry_reference |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mapeado diretamente do campo industry_reference. A chave é "industry_reference". |
instance_id |
event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname |
Mapeado diretamente do campo instance_id. |
inter_host |
event.idm.read_only_udm.intermediary.hostname |
Mapeado diretamente do campo inter_host. |
ip_proto |
event.idm.read_only_udm.network.ip_protocol |
Determinado com base no campo proto ou service. Pode ser TCP, UDP, ICMP, IP6IN4 ou GRE. |
ipv6_dst |
event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip |
Mapeado diretamente do campo ipv6_dst. |
ipv6_src |
event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip |
Mapeado diretamente do campo ipv6_src. |
layer_name |
event.idm.read_only_udm.security_result.rule_set_display_name, event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo layer_name. A chave é "layer_name". |
layer_uuid |
event.idm.read_only_udm.security_result.rule_set, event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo layer_uuid após a remoção de colchetes. A chave é "layer_uuid". |
layer_uuid_rule_uuid |
event.idm.read_only_udm.security_result.rule_id |
Mapeado diretamente do campo layer_uuid_rule_uuid após a remoção de colchetes e aspas. |
log_id |
event.idm.read_only_udm.metadata.product_log_id |
Mapeado diretamente do campo log_id. |
log_type |
event.idm.read_only_udm.metadata.log_type |
Mapeado diretamente do campo log_type. Fixado em "CHECKPOINT_FIREWALL". |
loguid |
event.idm.read_only_udm.metadata.product_log_id |
Mapeado diretamente do campo loguid após a remoção de colchetes. |
logic_changes |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo logic_changes. A chave é "logic_changes". |
localhost |
event.idm.read_only_udm.target.hostname, event.idm.read_only_udm.target.asset.hostname |
Mapeado diretamente do campo localhost. dst_ip está definido como "127.0.0.1". |
malware_action |
event.idm.read_only_udm.security_result.detection_fields[].value, event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value |
Mapeado diretamente do campo malware_action. A chave é "malware_action". |
malware_family |
event.idm.read_only_udm.security_result.detection_fields[].value, event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value |
Mapeado diretamente do campo malware_family. A chave é "malware_family". |
malware_rule_id |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo malware_rule_id após a remoção de colchetes. A chave é "ID da regra de malware". |
malware_rule_name |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo malware_rule_name. A chave é "Nome da regra de malware". |
match_id |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo match_id. A chave é "match_id". |
matched_category |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo matched_category. A chave é "matched_category". |
message_info |
event.idm.read_only_udm.metadata.description |
Mapeado diretamente do campo message_info. |
method |
event.idm.read_only_udm.network.http.method |
Mapeado diretamente do campo method. |
mitre_execution |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mapeado diretamente do campo mitre_execution. A chave é "mitre_execution". |
mitre_initial_access |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo mitre_initial_access. A chave é "mitre_initial_access". |
nat_rulenum |
event.idm.read_only_udm.security_result.rule_id |
Mapeado diretamente do campo nat_rulenum, convertido em uma string. |
objecttype |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo objecttype. A chave é "objecttype". |
operation |
event.idm.read_only_udm.security_result.summary |
Mapeado diretamente do campo operation. |
operation |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo operation. A chave é "operation". |
orig |
event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname |
Mapeado diretamente do campo orig. |
origin |
event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip, event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip, event.idm.read_only_udm.intermediary.ip |
Mapeado diretamente do campo origin. |
origin_sic_name |
event.idm.read_only_udm.intermediary.asset_id, event.idm.read_only_udm.intermediary.labels[].value |
Mapeado diretamente do campo origin_sic_name. A chave é "Machine SIC". O ID do recurso tem o prefixo "asset:". |
originsicname |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mapeado diretamente do campo originsicname. A chave é "originsicname". |
originsicname |
event.idm.read_only_udm.intermediary.asset_id, event.idm.read_only_udm.intermediary.labels[].value |
Mapeado diretamente do campo originsicname. A chave é "Machine SIC". O ID do recurso tem o prefixo "asset:". |
os_name |
event.idm.read_only_udm.principal.asset.platform_software.platform |
Se os_name contém "Win", ele é mapeado para "WINDOWS". Se ele contiver "MAC" ou "IOS", será mapeado como "MAC". Se ele contiver "LINUX", será mapeado para "LINUX". |
os_version |
event.idm.read_only_udm.principal.asset.platform_software.platform_patch_level |
Mapeado diretamente do campo os_version. |
outzone |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo outzone. A chave é "outzone". |
packets |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mapeado diretamente do campo packets. A chave é "packets". |
packet_capture_name |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mapeado diretamente do campo packet_capture_name. A chave é "packet_capture_name". |
packet_capture_time |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mapeado diretamente do campo packet_capture_time. A chave é "packet_capture_time". |
packet_capture_unique_id |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mapeado diretamente do campo packet_capture_unique_id. A chave é "packet_capture_unique_id". |
parent_rule |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo parent_rule. A chave é "parent_rule". |
performance_impact |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mapeado diretamente do campo performance_impact. A chave é "performance_impact". |
policy_name |
event.idm.read_only_udm.security_result.detection_fields[].value |
Extraídos do campo __policy_id_tag usando grok e mapeados. A chave é "Nome da política". |
policy_time |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo policy_time. A chave é "policy_time". |
portal_message |
event.idm.read_only_udm.security_result.description |
Mapeado diretamente do campo portal_message. |
principal_hostname |
event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip |
Mapeado diretamente do campo principal_hostname se for um endereço IP válido. |
principal_hostname |
event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname |
Mapeado diretamente do campo principal_hostname se não for um endereço IP válido nem "Checkpoint". |
prod_family_label |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mapeado diretamente do campo ProductFamily. A chave é "ProductFamily". |
product |
event.idm.read_only_udm.metadata.product_name |
Mapeado diretamente do campo product. |
product_family |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mapeado diretamente do campo product_family. A chave é "product_family". |
product_family |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mapeado diretamente do campo product_family. A chave é "product_family". |
ProductName |
event.idm.read_only_udm.metadata.product_name |
Mapeado diretamente do campo ProductName quando product está vazio. |
product_name |
event.idm.read_only_udm.metadata.product_name |
Mapeado diretamente do campo product_name. |
profile |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo profile. A chave é "profile". |
protocol |
event.idm.read_only_udm.network.application_protocol |
Mapeado diretamente do campo protocol se for "HTTP". |
proxy_src_ip |
event.idm.read_only_udm.principal.nat_ip |
Mapeado diretamente do campo proxy_src_ip. |
reason |
event.idm.read_only_udm.security_result.summary |
Mapeado diretamente do campo reason. |
received_bytes |
event.idm.read_only_udm.network.received_bytes |
Mapeado diretamente do campo received_bytes, convertido em um número inteiro não assinado. |
Reference |
event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value, event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo Reference. A chave é "Referência". Usada para construir _vuln.name com attack. |
reject_id_kid |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo reject_id_kid. A chave é "reject_id_kid". |
resource |
event.idm.read_only_udm.target.url |
Analisado como JSON e mapeado para o URL de destino. Se a análise falhar, ela será mapeada diretamente. |
resource |
event.idm.read_only_udm.additional.fields[].value.list_value.values[].string_value |
Analisado como JSON, e cada valor na matriz resource é adicionado à lista. A chave é "Recurso". |
result |
event.idm.read_only_udm.metadata.event_timestamp |
Analisado com date_time para criar o carimbo de data/hora do evento. |
rt |
event.idm.read_only_udm.metadata.event_timestamp |
Analisado como milissegundos desde a época e convertido em um carimbo de data/hora. |
rule |
event.idm.read_only_udm.security_result.rule_name |
Mapeado diretamente do campo rule. |
rule_action |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo rule_action. A chave é "rule_action". |
rule_name |
event.idm.read_only_udm.security_result.rule_name |
Mapeado diretamente do campo rule_name. |
rule_uid |
event.idm.read_only_udm.security_result.rule_id |
Mapeado diretamente do campo rule_uid. |
s_port |
event.idm.read_only_udm.principal.port |
Mapeado diretamente do campo s_port, convertido em um número inteiro. |
scheme |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mapeado diretamente do campo scheme. A chave é "scheme". |
security_inzone |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo security_inzone. A chave é "security_inzone". |
security_outzone |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo security_outzone. A chave é "security_outzone". |
security_result_action |
event.idm.read_only_udm.security_result.action |
Mapeado diretamente do campo security_result_action. |
sendtotrackerasadvancedauditlog |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo sendtotrackerasadvancedauditlog. A chave é "sendtotrackerasadvancedauditlog". |
sent_bytes |
event.idm.read_only_udm.network.sent_bytes |
Mapeado diretamente do campo sent_bytes, convertido em um número inteiro não assinado. |
sequencenum |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mapeado diretamente do campo sequencenum. A chave é "sequencenum". |
ser_agent_kid |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo ser_agent_kid. A chave é "ser_agent_kid". |
service |
event.idm.read_only_udm.target.port |
Mapeado diretamente do campo service, convertido em um número inteiro. |
service_id |
event.idm.read_only_udm.network.application_protocol |
Mapeado diretamente do campo service_id se for "dhcp", "dns", "http", "https" ou "quic", convertido em letras maiúsculas. |
service_id |
event.idm.read_only_udm.principal.application |
Mapeado diretamente do campo service_id se não for um dos protocolos de aplicativo de rede. |
service_id |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo service_id. A chave é "service_id". |
session_description |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo session_description. A chave é "session_description". |
session_id |
event.idm.read_only_udm.network.session_id |
Mapeado diretamente do campo session_id após a remoção de colchetes. |
session_name |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo session_name. A chave é "session_name". |
session_uid |
event.idm.read_only_udm.network.session_id |
Mapeado diretamente do campo session_uid após a remoção de colchetes. |
Severity |
event.idm.read_only_udm.security_result.severity |
Mapeado para "LOW", "MEDIUM", "HIGH" ou "CRITICAL" com base no valor de Severity. |
severity |
event.idm.read_only_udm.security_result.severity |
Mapeado para "LOW", "MEDIUM", "HIGH" ou "CRITICAL" com base no valor de severity. |
site |
event.idm.read_only_udm.network.http.user_agent |
Mapeado diretamente do campo site. |
smartdefense_profile |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo smartdefense_profile. A chave é "smartdefense_profile". |
snid |
event.idm.read_only_udm.network.session_id |
Mapeado diretamente do campo snid se não estiver vazio ou "0". |
sourceAddress |
event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip |
Mapeado diretamente do campo sourceAddress. |
sourcePort |
event.idm.read_only_udm.principal.port |
Mapeado diretamente do campo sourcePort, convertido em um número inteiro. |
sourceTranslatedAddress |
event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip |
Mapeado diretamente do campo sourceTranslatedAddress. |
sourceTranslatedAddress |
event.idm.read_only_udm.principal.nat_ip |
Mapeado diretamente do campo sourceTranslatedAddress. |
sourceTranslatedPort |
event.idm.read_only_udm.principal.port |
Mapeado diretamente do campo sourceTranslatedPort, convertido em um número inteiro. |
sourceTranslatedPort |
event.idm.read_only_udm.principal.nat_port |
Mapeado diretamente do campo sourceTranslatedPort, convertido em um número inteiro. |
sourceUserName |
event.idm.read_only_udm.principal.user.userid, event.idm.read_only_udm.principal.user.first_name, event.idm.read_only_udm.principal.user.last_name |
Analisado usando grok para extrair o ID do usuário, o primeiro nome e o sobrenome. |
spt |
event.idm.read_only_udm.principal.port |
Mapeado diretamente do campo spt, convertido em um número inteiro. |
src |
event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip |
Mapeado diretamente do campo src. |
src_ip |
event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip |
Mapeado diretamente do campo src_ip. |
src_localhost |
event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname |
Mapeado diretamente do campo src_localhost. src_ip está definido como "127.0.0.1". |
src_machine_name |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo src_machine_name. A chave é "src_machine_name". |
src_port |
event.idm.read_only_udm.principal.port |
Mapeado diretamente do campo src_port, convertido em um número inteiro. |
src_user |
event.idm.read_only_udm.principal.user.userid |
Mapeado diretamente do campo src_user. |
src_user_dn |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo src_user_dn. A chave é "src_user_dn". |
src_user_name |
event.idm.read_only_udm.principal.user.userid |
Mapeado diretamente do campo src_user_name. |
sub_policy_name |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo sub_policy_name. A chave é "sub_policy_name". |
sub_policy_uid |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo sub_policy_uid. A chave é "sub_policy_uid". |
subject |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo subject. A chave é "assunto". |
subscription_stat_desc |
event.idm.read_only_udm.security_result.summary |
Mapeado diretamente do campo subscription_stat_desc. |
tags |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo tags. A chave é "tags". |
tar_user |
event.idm.read_only_udm.target.user.userid |
Mapeado diretamente do campo tar_user. |
target_port |
event.idm.read_only_udm.target.port |
Mapeado diretamente do campo target_port. |
tcp_flags |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo tcp_flags. A chave é "tcp_flags". |
tcp_packet_out_of_state |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo tcp_packet_out_of_state. A chave é "tcp_packet_out_of_state". |
time |
event.idm.read_only_udm.metadata.event_timestamp |
Analisado e convertido em um carimbo de data/hora usando vários formatos de data. |
ts |
event.idm.read_only_udm.metadata.event_timestamp |
Analisado com ds e tz para criar o carimbo de data/hora do evento. |
type |
event.idm.read_only_udm.security_result.rule_type |
Mapeado diretamente do campo type. |
tz |
event.idm.read_only_udm.metadata.event_timestamp |
Usado com ds e ts para criar o carimbo de data/hora do evento. |
update_count |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo update_count. A chave é "update_count". |
URL |
event.idm.read_only_udm.security_result.about.url |
Mapeado diretamente do campo URL. |
user |
event.idm.read_only_udm.principal.user.userid |
Mapeado diretamente do campo user. |
user_agent |
event.idm.read_only_udm.network.http.user_agent |
Mapeado diretamente do campo user_agent. Também analisado e mapeado para event.idm.read_only_udm.network.http.parsed_user_agent. |
userip |
event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip |
Mapeado diretamente do campo userip se for um endereço IP válido. |
UUid |
event.idm.read_only_udm.metadata.product_log_id |
Mapeado diretamente do campo UUid após a remoção de colchetes. |
version |
event.idm.read_only_udm.metadata.product_version |
Mapeado diretamente do campo version. |
web_client_type |
event.idm.read_only_udm.network.http.user_agent |
Mapeado diretamente do campo web_client_type. |
xlatedport |
event.idm.read_only_udm.target.nat_port |
Mapeado diretamente do campo xlatedport, convertido em um número inteiro. |
xlatedst |
event.idm.read_only_udm.target.nat_ip |
Mapeado diretamente do campo xlatedst. |
xlatesport |
event.idm.read_only_udm.principal.nat_port |
Mapeado diretamente do campo xlatesport, convertido em um número inteiro. |
xlatesrc |
event.idm.read_only_udm.principal.nat_ip |
Mapeado diretamente do campo xlatesrc. |
event.idm.read_only_udm.metadata.vendor_name |
Check Point |
Valor codificado. |
event.idm.read_only_udm.metadata.log_type |
CHECKPOINT_FIREWALL |
Valor codificado. |
event.idm.read_only_udm.security_result.rule_type |
Firewall Rule |
Valor padrão, a menos que seja substituído por uma lógica específica. |
event.idm.is_alert |
true |
Defina como verdadeiro se o campo alert for "sim". |
has_principal |
true |
É definido como verdadeiro quando o IP principal ou o nome do host é extraído. |
has_target |
true |
É definido como verdadeiro quando o IP ou o nome de host de destino é extraído. |
Alterações
2024-05-29
- Mapeamos "layer_uuid_rule_uuid" para "security_result.rule_id".
- O "domain" foi mapeado para "principal.administrative_domain".
- "Fservice", "appi_name", "app_risk" e "policy_name" foram mapeados para "security_result.detection_fields".
- "Packets", "__id", "dedup_time", "browse_time", "bytes", "product_family", "hll_key" e "calc_service" foram mapeados para "additional.fields".
- O "id" foi mapeado para "metadata.product_log_id".
- "orig_log_server" foi associado a "principal.resource.product_object_id".
- "environment_id" foi mapeado para "target.resource.product_object_id".
- "client_outbound_packets" e "client_inbound_packets" foram mapeados para "principal.resource.attribute.labels".
- "server_outbound_bytes" e "server_inbound_bytes" foram mapeados para "target.resource.attribute.labels".
- "Orig" foi mapeado para "principal.hostname" e "principal.asset.hostname".
- "orig_log_server_ip" foi associado a "principal.ip" e "principal.asset.ip".
- "Proto" foi mapeado para "network.ip_protocol".
2024-05-20
- Um padrão Grok foi adicionado para extrair "inter_host".
- "inter_host" foi mapeado para "intermediary.hostname".
2024-04-19
- Melhorias e correções de bugs:
- "origin" foi mapeado para "target.ip" e "target.asset.ip".
- Foram adicionados novos padrões Grok para analisar o novo formato de registros SYSLOG.
- Mapeamos "smartdefense_profile", "malware_rule_id" e "malware_rule_name" para "security_result.detection_fields".
- Mapeou "sequencenum", "description_url", "industry_reference", "mitre_execution", "packet_capture_name", "packet_capture_unique_id", "packet_capture_time" e "performance_impact" para "additional.fields".
- "version" foi mapeada para "metadata.product_version".
- "http_host" foi associado a "target.resource.attribute.labels".
- "log_id" foi mapeado para "metadata.product_log_id".
- Mapeamos "user_agent" para "network.http.user_agent" e "http.parsed_user_agent".
- Mapeamos "hostname", "dvc" e "principal_hostname" para "target.hostname" e "target.asset.hostname".
- Se "has_principal" for "true", "has_target" for "true" e "Action"/"action" for "Log In" ou "Failed Log In" ou "Failed Login" ou "Update", defina "metadata.event_type" como "USER_LOGIN" e "extensions.auth.type" como "AUTHTYPE_UNSPECIFIED".
- Se "has_principal" for "true", "has_target" for "true" e "Action"/"act"/"event_type" for "Log Out" ou "Logout", defina "metadata.event_type" como "USER_LOGOUT" e "extensions.auth.type" como "AUTHTYPE_UNSPECIFIED".
- Se "has_principal" for "true" e "has_target" for "true", defina "metadata.event_type" como "NETWORK_CONNECTION".
- Se "has_principal" for "true" e "has_target" for "false", defina "metadata.event_type" como "STATUS_UPDATE".
2024-02-07
- Mapeamento adicionado para os seguintes campos:
- "protection_id", "malware_action", "malware_family,protection_name" e "protection_type" foram mapeados para "security_result.detection_fields".
- "confidence_level" foi associado a "security_result.confidence" e "security_result.confidence_details".
2024-02-05
- Mapeamento adicionado para os seguintes campos:
- O "method" foi mapeado para "network.http.method".
2024-01-24
- Mapeamento adicionado para os seguintes campos:
- O "method" foi mapeado para "network.http.method".
- "duration" foi mapeado para "network.session_duration.seconds".
- "additional_info" foi associado a "security_result.description".
- Mapeamos "operation" para "security_result.summary".
- O "sujeito" foi mapeado para "metadata.description".
- "principal_hostname" foi mapeado para "intermediary.hostname".
- Mapeou "tcp_packet_out_of_state", "aggregated_log_count", "connection_count", "appi_name", "src_user_dn",
- "update_count", "additional_info", "administrator", "operation", "sendtotrackerasadvancedauditlog",
- "subject", "fieldschanges", "logic_changes", "objecttype", "session_description",
- "session_name" para "security_result.detection_fields".
2023-12-27
- Mapeamento adicionado para os seguintes campos:
- As "flags" foram mapeadas para "security_result.detection_fields".
- "tcp_flags" foi mapeado para "security_result.detection_fields".
- "tcp_packet_out_of_state" foi mapeado para "security_result.detection_fields".
2023-12-11
- Se "principal_hostname" for um IP válido, mapeie-o para "principal.ip".
- Se "principal_hostname" não for um IP válido, mapeie-o para "principal.hostname".
- "sport_svc" foi associado a "principal.port".
- Mapeamos "ProductFamily" para "additional.fields".
- "mitre_initial_access" foi associado a "security_result.detection_fields".
- "policy_time" foi associado a "security_result.detection_fields".
- O "profile" foi mapeado para "security_result.detection_fields".
- "reject_id_kid" foi mapeado para "security_result.detection_fields".
- Mapeamos "ser_agent_kid" para "security_result.detection_fields".
2023-10-11
- Se "product" for "New Anti Virus", o mapeamento de "firewall management node" para "principal.hostname" será removido e mapeado para "security_result.detection_fields".
2023-07-06
- Mapeamento adicionado para os seguintes campos:
- "app_category" foi associado a "security_result.category_details".
- "matched_category" foi associado a "security_result.detection_fields".
- "app_properties" foi mapeado para "security_result.detection_fields".
2023-06-14
- Mapeamento adicionado para os seguintes campos
- Mapeamos "conn_direction" para "additional.fields".
- O gsub foi modificado para não substituir o ":" por "=" dos valores reais.
2023-05-12
- Mapeamento adicionado para os seguintes campos
- "rule_name" foi mapeado para "security_result.rule_name".
- "rule","sub_policy_name","sub_policy_uid","smartdefense_profile","tags","flexString2" foram mapeados para "security_result.detection_fields".
- Novo padrão Grok adicionado para oferecer suporte aos novos formatos de registro.
- "dvc" foi mapeado para "intermediary.hostname".
- "hostname" foi mapeado para "intermediary.hostname".
- "origin_sic_name" foi mapeado para "intermediary.asset_id".
- "Conn_direction" foi mapeado para "network.ip_protocol".
- "ifname" foi mapeado para "security_result.detection_fields".
- "security_inzone" foi mapeado para "security_result.detection_fields".
- "match_id" foi mapeado para "security_result.detection_fields".
- "parent_rule" foi mapeado para "security_result.detection_fields".
- "security_outzone" foi mapeado para "security_result.detection_fields".
- "sub_policy_name" foi mapeado para "security_result.detection_fields".
- "sub_policy_uid" foi associado a "security_result.detection_fields".
- "drop_reason" foi mapeado para "security_result.summary".
- O "reason" foi mapeado para "security_result.summary".
- "Xlatesport" foi mapeado para "principal.nat_port".
- "Xlatedport" foi mapeado para "target.nat_port".
- "ipv6_dst" foi mapeado para "target.ip".
- "ipv6_src" foi mapeado para "principal.ip".
2023-04-24
- Adição de suporte a registros com formato CEF.
2022-11-18
- O mapeamento de "service" foi modificado e mapeado para "target.port".
2022-10-27
- Adição de uma verificação condicional para "attack","attack_info" e "policy_name".
- O padrão grok foi adicionado para extrair "principal_hostname".
- Adição de gsub para mudar "=" para ":".
- O mapeamento de "service" foi modificado para "target.resource.attribute.labels".
2022-10-13
- O campo "fw_subproduct" foi associado a "metadata.product_name".
- O padrão grok foi adicionado para extrair o IP do campo "src".
2022-08-30
- As mudanças de versões específicas do cliente foram mescladas para o padrão.
- Os registros que contêm "*****" foram removidos do UserCheck.
2022-08-18
- "portal_message" foi associado a "security_result.description".
- "security_result.category" foi mapeado como "SOFTWARE_MALICIOUS" caso "portal_message" contenha as palavras-chave "malware/malicious".
- "URL" foi associado a "security_result.about.url".
- "Atividade" foi mapeada para "security_result.summary".
- "Reference" foi associado a "security_result.about.resource.attribute.labels".
- "event_type" foi modificado de "GENERIC_EVENT" para "STATUS_UPDATE", replicando o valor de "intermediary.ip" para "principal.ip".
2022-08-12
- "malware_action", "malware_family,protection_name" e "protection_type" foram mapeados para "security_result.about.resource.attribute.labels".
- Mapeamos "src_machine_name" para "security_result.detection_fields".
2022-06-30
- "message_info" foi mapeado para "metadata.description".
2022-06-17
- Foram adicionadas verificações condicionais para os campos "nat_rulenum", "rule", "sent_bytes", "received_bytes", "s_port" e "service".
- Modificado event_types para os seguintes casos:
- "GENERIC_EVENT" para "NETWORK_CONNECTION", em que "principal.ip ou principal.hostname" e "target.ip ou target.hostname" não são nulos.
- "GENERIC_EVENT" para "STATUS_UNCATEGORIZED", em que "principal.ip ou principal.hostname" não é nulo.
2022-06-14
- O analisador foi modificado para analisar mais registros removendo a verificação de condição para passwd.
2022-06-07
- O src_machine_name foi associado a security_result.detection_fields.
2022-05-19
- Mapeou inzone, outzone, layer_name, layer_uuid e policy_name para security_result.detection_fields.
- O service_id foi mapeado para principal.application.