Coletar registros de firewall do Check Point

Compatível com:

Esse analisador extrai registros de firewall do Check Point. Ele processa mensagens formatadas CEF e não CEF, incluindo syslog, pares de chave-valor e JSON. Ele normaliza os campos, os mapeia para o UDM e executa uma lógica específica para login/saída, conexões de rede e eventos de segurança. Ele enriquece os dados com informações contextuais, como geolocalização e informações sobre ameaças.

Antes de começar

  • Verifique se você tem uma instância do Google Security Operations.
  • Verifique se você está usando o Windows 2016 ou uma versão mais recente ou um host Linux com systemd.
  • Se estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas.
  • Verifique se você tem acesso privilegiado a um firewall Check Point.

Receber o arquivo de autenticação de ingestão do Google SecOps

  1. Faça login no console do Google SecOps.
  2. Acesse Configurações do SIEM > Agentes de coleta.
  3. Faça o download do arquivo de autenticação de transferência.

Receber o ID de cliente do Google SecOps

  1. Faça login no console do Google SecOps.
  2. Acesse Configurações do SIEM > Perfil.
  3. Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do BindPlane

  1. Para a instalação do Windows, execute o seguinte script:
    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
  2. Para a instalação do Linux, execute o seguinte script:
    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
  3. Outras opções de instalação podem ser encontradas neste guia de instalação.

Configurar o agente BindPlane para ingerir o Syslog e enviar ao Google SecOps

  1. Acesse a máquina em que o BindPlane está instalado.
  2. Edite o arquivo config.yaml da seguinte forma:

    receivers:
        udplog:
            # Replace the below port <54525> and IP <0.0.0.0> with your specific values
            listen_address: "0.0.0.0:54525" 
    
    exporters:
        chronicle/chronicle_w_labels:
            compression: gzip
            # Adjust the creds location below according the placement of the credentials file you downloaded
            creds: '{ json file for creds }'
            # Replace <customer_id> below with your actual ID that you copied
            customer_id: <customer_id>
            endpoint: malachiteingestion-pa.googleapis.com
            # You can apply ingestion labels below as preferred
            ingestion_labels:
            log_type: SYSLOG
            namespace: Checkpoint_Firewall
            raw_log_field: body
    service:
        pipelines:
            logs/source0__chronicle_w_labels-0:
                receivers:
                    - udplog
                exporters:
                    - chronicle/chronicle_w_labels
    
  3. Reinicie o agente do BindPlane para aplicar as mudanças:

    sudo systemctl restart bindplane
    

Configurar a exportação de Syslog em um firewall Check Point

  1. Faça login na interface da firewall do Check Point usando uma conta privilegiada.
  2. Acesse Logs e monitoramento > Servidores de registro.
  3. Navegue até Servidores Syslog.
  4. Clique em Configurar e defina os seguintes valores:
    • Protocolo: selecione UDP para enviar registros de segurança e/ou do sistema.
    • Nome: forneça um nome exclusivo (por exemplo, Bindplane_Server).
    • Endereço IP: informe o endereço IP do servidor de syslog (IP do Bindplane).
    • Porta: informe a porta do servidor syslog (porta Bindplane).
  5. Selecione Ativar o servidor de registro.
  6. Selecione os registros a serem encaminhados: Registros do sistema e de segurança.
  7. Clique em Aplicar.

Tabela de mapeamento do UDM

Campo de registro Mapeamento do UDM Lógica
Action event.idm.read_only_udm.security_result.action_details Mapeado diretamente do campo Action.
Activity event.idm.read_only_udm.security_result.summary Mapeado diretamente do campo Activity.
additional_info event.idm.read_only_udm.security_result.description Mapeado diretamente do campo additional_info.
administrator event.idm.read_only_udm.security_result.detection_fields[].value Mapeado diretamente do campo administrator. A chave é "administrator".
aggregated_log_count event.idm.read_only_udm.security_result.detection_fields[].value Mapeado diretamente do campo aggregated_log_count. A chave é "aggregated_log_count".
appi_name event.idm.read_only_udm.security_result.detection_fields[].value Mapeado diretamente do campo appi_name. A chave é "appi_name".
app_category event.idm.read_only_udm.security_result.category_details Mapeado diretamente do campo app_category.
app_properties event.idm.read_only_udm.security_result.detection_fields[].value Mapeado diretamente do campo app_properties. A chave é "app_properties".
app_risk event.idm.read_only_udm.security_result.detection_fields[].value Mapeado diretamente do campo app_risk. A chave é "app_risk".
app_session_id event.idm.read_only_udm.network.session_id Mapeado diretamente do campo app_session_id, convertido em uma string.
attack event.idm.read_only_udm.security_result.summary Mapeado diretamente do campo attack quando Info está presente.
attack event.idm.read_only_udm.security_result.threat_name Mapeado diretamente do campo attack quando Info está presente.
attack_info event.idm.read_only_udm.security_result.description Mapeado diretamente do campo attack_info.
auth_status event.idm.read_only_udm.security_result.summary Mapeado diretamente do campo auth_status.
browse_time event.idm.read_only_udm.additional.fields[].value.string_value Mapeado diretamente do campo browse_time. A chave é "browse_time".
bytes event.idm.read_only_udm.additional.fields[].value.string_value Mapeado diretamente do campo bytes. A chave é "bytes".
bytes event.idm.read_only_udm.additional.fields[].value.string_value Mapeado diretamente do campo bytes. A chave é "bytes".
calc_service event.idm.read_only_udm.additional.fields[].value.string_value Mapeado diretamente do campo calc_service. A chave é "calc_service".
category event.idm.read_only_udm.security_result.category_details Mapeado diretamente do campo category.
client_version event.idm.read_only_udm.intermediary.platform_version Mapeado diretamente do campo client_version.
conn_direction event.idm.read_only_udm.additional.fields[].value.string_value Mapeado diretamente do campo conn_direction. A chave é "conn_direction".
conn_direction event.idm.read_only_udm.network.direction Se conn_direction for "Entrada", será mapeado para "INBOUND". Caso contrário, é mapeado para "SAÍDA".
connection_count event.idm.read_only_udm.security_result.detection_fields[].value Mapeado diretamente do campo connection_count. A chave é "connection_count".
contract_name event.idm.read_only_udm.security_result.description Mapeado diretamente do campo contract_name.
cs2 event.idm.read_only_udm.security_result.rule_name Mapeado diretamente do campo cs2.
date_time event.idm.read_only_udm.metadata.event_timestamp Analisado e convertido em um carimbo de data/hora usando vários formatos de data.
dedup_time event.idm.read_only_udm.additional.fields[].value.string_value Mapeado diretamente do campo dedup_time. A chave é "dedup_time".
desc event.idm.read_only_udm.security_result.summary Mapeado diretamente do campo desc.
description event.idm.read_only_udm.security_result.description Mapeado diretamente do campo description.
description_url event.idm.read_only_udm.additional.fields[].value.string_value Mapeado diretamente do campo description_url. A chave é "description_url".
destinationAddress event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip Mapeado diretamente do campo destinationAddress.
destinationPort event.idm.read_only_udm.target.port Mapeado diretamente do campo destinationPort, convertido em um número inteiro.
destinationTranslatedAddress event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip Mapeado diretamente do campo destinationTranslatedAddress.
destinationTranslatedAddress event.idm.read_only_udm.target.nat_ip Mapeado diretamente do campo destinationTranslatedAddress.
destinationTranslatedPort event.idm.read_only_udm.target.port Mapeado diretamente do campo destinationTranslatedPort, convertido em um número inteiro.
destinationTranslatedPort event.idm.read_only_udm.target.nat_port Mapeado diretamente do campo destinationTranslatedPort, convertido em um número inteiro.
deviceCustomString2 event.idm.read_only_udm.security_result.rule_name Mapeado diretamente do campo deviceCustomString2.
deviceDirection event.idm.read_only_udm.network.direction Se deviceDirection for 0, será mapeado para "SAÍDA". Se 1, é mapeado para "INBOUND".
domain event.idm.read_only_udm.principal.administrative_domain Mapeado diretamente do campo domain.
domain_name event.idm.read_only_udm.principal.administrative_domain Mapeado diretamente do campo domain_name.
drop_reason event.idm.read_only_udm.security_result.summary Mapeado diretamente do campo drop_reason.
ds event.idm.read_only_udm.metadata.event_timestamp Usado com ts e tz para criar o carimbo de data/hora do evento.
dst event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip Mapeado diretamente do campo dst.
dst_country event.idm.read_only_udm.target.location.country_or_region Mapeado diretamente do campo dst_country.
dst_ip event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip Mapeado diretamente do campo dst_ip.
dpt event.idm.read_only_udm.target.port Mapeado diretamente do campo dpt, convertido em um número inteiro.
duration event.idm.read_only_udm.network.session_duration.seconds Mapeado diretamente do campo duration, convertido em um número inteiro, se for maior que 0.
duser event.idm.read_only_udm.target.user.email_addresses, event.idm.read_only_udm.target.user.user_display_name Mapeado diretamente do campo duser se ele corresponder a um formato de endereço de e-mail.
environment_id event.idm.read_only_udm.target.resource.product_object_id Mapeado diretamente do campo environment_id.
event_type event.idm.read_only_udm.metadata.event_type Determinado pela lógica com base na presença de determinados campos e valores. O padrão é GENERIC_EVENT se nenhum tipo de evento específico for identificado. Pode ser NETWORK_CONNECTION, USER_LOGIN, USER_CHANGE_PASSWORD, USER_LOGOUT, NETWORK_HTTP ou STATUS_UPDATE.
fieldschanges event.idm.read_only_udm.security_result.detection_fields[].value Mapeado diretamente do campo fieldschanges. A chave é "fieldschanges".
flags event.idm.read_only_udm.security_result.detection_fields[].value Mapeado diretamente do campo flags. A chave é "flags".
flexString2 event.idm.read_only_udm.security_result.detection_fields[].value Mapeado diretamente do campo flexString2. A chave é o valor de flexString2Label.
from_user event.idm.read_only_udm.principal.user.userid Mapeado diretamente do campo from_user.
fservice event.idm.read_only_udm.security_result.detection_fields[].value Mapeado diretamente do campo fservice. A chave é "fservice".
fw_subproduct event.idm.read_only_udm.metadata.product_name Mapeado diretamente do campo fw_subproduct quando product está vazio.
geoip_dst.country_name event.idm.read_only_udm.target.location.country_or_region Mapeado diretamente do campo geoip_dst.country_name.
hll_key event.idm.read_only_udm.additional.fields[].value.string_value Mapeado diretamente do campo hll_key. A chave é "hll_key".
hostname event.idm.read_only_udm.target.hostname, event.idm.read_only_udm.target.asset.hostname, event.idm.read_only_udm.intermediary.hostname Mapeado diretamente do campo hostname quando inter_host está vazio.
http_host event.idm.read_only_udm.target.resource.attribute.labels[].value Mapeado diretamente do campo http_host. A chave é "http_host".
id event.idm.read_only_udm.metadata.product_log_id Mapeado diretamente do campo _id.
identity_src event.idm.read_only_udm.target.application Mapeado diretamente do campo identity_src.
identity_type event.idm.read_only_udm.extensions.auth.type Se identity_type for "user", será mapeado para "VPN". Caso contrário, é mapeado como "MACHINE".
if_direction event.idm.read_only_udm.network.direction Mapeado diretamente do campo if_direction, convertido em letras maiúsculas.
ifdir event.idm.read_only_udm.network.direction Mapeado diretamente do campo ifdir, convertido em letras maiúsculas.
ifname event.idm.read_only_udm.security_result.detection_fields[].value Mapeado diretamente do campo ifname. A chave é "ifname".
IKE event.idm.read_only_udm.metadata.description Mapeado diretamente do campo IKE.
inzone event.idm.read_only_udm.security_result.detection_fields[].value Mapeado diretamente do campo inzone. A chave é "inzone".
industry_reference event.idm.read_only_udm.additional.fields[].value.string_value Mapeado diretamente do campo industry_reference. A chave é "industry_reference".
instance_id event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname Mapeado diretamente do campo instance_id.
inter_host event.idm.read_only_udm.intermediary.hostname Mapeado diretamente do campo inter_host.
ip_proto event.idm.read_only_udm.network.ip_protocol Determinado com base no campo proto ou service. Pode ser TCP, UDP, ICMP, IP6IN4 ou GRE.
ipv6_dst event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip Mapeado diretamente do campo ipv6_dst.
ipv6_src event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip Mapeado diretamente do campo ipv6_src.
layer_name event.idm.read_only_udm.security_result.rule_set_display_name, event.idm.read_only_udm.security_result.detection_fields[].value Mapeado diretamente do campo layer_name. A chave é "layer_name".
layer_uuid event.idm.read_only_udm.security_result.rule_set, event.idm.read_only_udm.security_result.detection_fields[].value Mapeado diretamente do campo layer_uuid após a remoção de colchetes. A chave é "layer_uuid".
layer_uuid_rule_uuid event.idm.read_only_udm.security_result.rule_id Mapeado diretamente do campo layer_uuid_rule_uuid após a remoção de colchetes e aspas.
log_id event.idm.read_only_udm.metadata.product_log_id Mapeado diretamente do campo log_id.
log_type event.idm.read_only_udm.metadata.log_type Mapeado diretamente do campo log_type. Fixado em "CHECKPOINT_FIREWALL".
loguid event.idm.read_only_udm.metadata.product_log_id Mapeado diretamente do campo loguid após a remoção de colchetes.
logic_changes event.idm.read_only_udm.security_result.detection_fields[].value Mapeado diretamente do campo logic_changes. A chave é "logic_changes".
localhost event.idm.read_only_udm.target.hostname, event.idm.read_only_udm.target.asset.hostname Mapeado diretamente do campo localhost. dst_ip está definido como "127.0.0.1".
malware_action event.idm.read_only_udm.security_result.detection_fields[].value, event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value Mapeado diretamente do campo malware_action. A chave é "malware_action".
malware_family event.idm.read_only_udm.security_result.detection_fields[].value, event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value Mapeado diretamente do campo malware_family. A chave é "malware_family".
malware_rule_id event.idm.read_only_udm.security_result.detection_fields[].value Mapeado diretamente do campo malware_rule_id após a remoção de colchetes. A chave é "ID da regra de malware".
malware_rule_name event.idm.read_only_udm.security_result.detection_fields[].value Mapeado diretamente do campo malware_rule_name. A chave é "Nome da regra de malware".
match_id event.idm.read_only_udm.security_result.detection_fields[].value Mapeado diretamente do campo match_id. A chave é "match_id".
matched_category event.idm.read_only_udm.security_result.detection_fields[].value Mapeado diretamente do campo matched_category. A chave é "matched_category".
message_info event.idm.read_only_udm.metadata.description Mapeado diretamente do campo message_info.
method event.idm.read_only_udm.network.http.method Mapeado diretamente do campo method.
mitre_execution event.idm.read_only_udm.additional.fields[].value.string_value Mapeado diretamente do campo mitre_execution. A chave é "mitre_execution".
mitre_initial_access event.idm.read_only_udm.security_result.detection_fields[].value Mapeado diretamente do campo mitre_initial_access. A chave é "mitre_initial_access".
nat_rulenum event.idm.read_only_udm.security_result.rule_id Mapeado diretamente do campo nat_rulenum, convertido em uma string.
objecttype event.idm.read_only_udm.security_result.detection_fields[].value Mapeado diretamente do campo objecttype. A chave é "objecttype".
operation event.idm.read_only_udm.security_result.summary Mapeado diretamente do campo operation.
operation event.idm.read_only_udm.security_result.detection_fields[].value Mapeado diretamente do campo operation. A chave é "operation".
orig event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname Mapeado diretamente do campo orig.
origin event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip, event.idm.read_only_udm.target.ip, event.idm.read_only_udm.target.asset.ip, event.idm.read_only_udm.intermediary.ip Mapeado diretamente do campo origin.
origin_sic_name event.idm.read_only_udm.intermediary.asset_id, event.idm.read_only_udm.intermediary.labels[].value Mapeado diretamente do campo origin_sic_name. A chave é "Machine SIC". O ID do recurso tem o prefixo "asset:".
originsicname event.idm.read_only_udm.additional.fields[].value.string_value Mapeado diretamente do campo originsicname. A chave é "originsicname".
originsicname event.idm.read_only_udm.intermediary.asset_id, event.idm.read_only_udm.intermediary.labels[].value Mapeado diretamente do campo originsicname. A chave é "Machine SIC". O ID do recurso tem o prefixo "asset:".
os_name event.idm.read_only_udm.principal.asset.platform_software.platform Se os_name contém "Win", ele é mapeado para "WINDOWS". Se ele contiver "MAC" ou "IOS", será mapeado como "MAC". Se ele contiver "LINUX", será mapeado para "LINUX".
os_version event.idm.read_only_udm.principal.asset.platform_software.platform_patch_level Mapeado diretamente do campo os_version.
outzone event.idm.read_only_udm.security_result.detection_fields[].value Mapeado diretamente do campo outzone. A chave é "outzone".
packets event.idm.read_only_udm.additional.fields[].value.string_value Mapeado diretamente do campo packets. A chave é "packets".
packet_capture_name event.idm.read_only_udm.additional.fields[].value.string_value Mapeado diretamente do campo packet_capture_name. A chave é "packet_capture_name".
packet_capture_time event.idm.read_only_udm.additional.fields[].value.string_value Mapeado diretamente do campo packet_capture_time. A chave é "packet_capture_time".
packet_capture_unique_id event.idm.read_only_udm.additional.fields[].value.string_value Mapeado diretamente do campo packet_capture_unique_id. A chave é "packet_capture_unique_id".
parent_rule event.idm.read_only_udm.security_result.detection_fields[].value Mapeado diretamente do campo parent_rule. A chave é "parent_rule".
performance_impact event.idm.read_only_udm.additional.fields[].value.string_value Mapeado diretamente do campo performance_impact. A chave é "performance_impact".
policy_name event.idm.read_only_udm.security_result.detection_fields[].value Extraídos do campo __policy_id_tag usando grok e mapeados. A chave é "Nome da política".
policy_time event.idm.read_only_udm.security_result.detection_fields[].value Mapeado diretamente do campo policy_time. A chave é "policy_time".
portal_message event.idm.read_only_udm.security_result.description Mapeado diretamente do campo portal_message.
principal_hostname event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip Mapeado diretamente do campo principal_hostname se for um endereço IP válido.
principal_hostname event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname Mapeado diretamente do campo principal_hostname se não for um endereço IP válido nem "Checkpoint".
prod_family_label event.idm.read_only_udm.additional.fields[].value.string_value Mapeado diretamente do campo ProductFamily. A chave é "ProductFamily".
product event.idm.read_only_udm.metadata.product_name Mapeado diretamente do campo product.
product_family event.idm.read_only_udm.additional.fields[].value.string_value Mapeado diretamente do campo product_family. A chave é "product_family".
product_family event.idm.read_only_udm.additional.fields[].value.string_value Mapeado diretamente do campo product_family. A chave é "product_family".
ProductName event.idm.read_only_udm.metadata.product_name Mapeado diretamente do campo ProductName quando product está vazio.
product_name event.idm.read_only_udm.metadata.product_name Mapeado diretamente do campo product_name.
profile event.idm.read_only_udm.security_result.detection_fields[].value Mapeado diretamente do campo profile. A chave é "profile".
protocol event.idm.read_only_udm.network.application_protocol Mapeado diretamente do campo protocol se for "HTTP".
proxy_src_ip event.idm.read_only_udm.principal.nat_ip Mapeado diretamente do campo proxy_src_ip.
reason event.idm.read_only_udm.security_result.summary Mapeado diretamente do campo reason.
received_bytes event.idm.read_only_udm.network.received_bytes Mapeado diretamente do campo received_bytes, convertido em um número inteiro não assinado.
Reference event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value, event.idm.read_only_udm.security_result.detection_fields[].value Mapeado diretamente do campo Reference. A chave é "Referência". Usada para construir _vuln.name com attack.
reject_id_kid event.idm.read_only_udm.security_result.detection_fields[].value Mapeado diretamente do campo reject_id_kid. A chave é "reject_id_kid".
resource event.idm.read_only_udm.target.url Analisado como JSON e mapeado para o URL de destino. Se a análise falhar, ela será mapeada diretamente.
resource event.idm.read_only_udm.additional.fields[].value.list_value.values[].string_value Analisado como JSON, e cada valor na matriz resource é adicionado à lista. A chave é "Recurso".
result event.idm.read_only_udm.metadata.event_timestamp Analisado com date_time para criar o carimbo de data/hora do evento.
rt event.idm.read_only_udm.metadata.event_timestamp Analisado como milissegundos desde a época e convertido em um carimbo de data/hora.
rule event.idm.read_only_udm.security_result.rule_name Mapeado diretamente do campo rule.
rule_action event.idm.read_only_udm.security_result.detection_fields[].value Mapeado diretamente do campo rule_action. A chave é "rule_action".
rule_name event.idm.read_only_udm.security_result.rule_name Mapeado diretamente do campo rule_name.
rule_uid event.idm.read_only_udm.security_result.rule_id Mapeado diretamente do campo rule_uid.
s_port event.idm.read_only_udm.principal.port Mapeado diretamente do campo s_port, convertido em um número inteiro.
scheme event.idm.read_only_udm.additional.fields[].value.string_value Mapeado diretamente do campo scheme. A chave é "scheme".
security_inzone event.idm.read_only_udm.security_result.detection_fields[].value Mapeado diretamente do campo security_inzone. A chave é "security_inzone".
security_outzone event.idm.read_only_udm.security_result.detection_fields[].value Mapeado diretamente do campo security_outzone. A chave é "security_outzone".
security_result_action event.idm.read_only_udm.security_result.action Mapeado diretamente do campo security_result_action.
sendtotrackerasadvancedauditlog event.idm.read_only_udm.security_result.detection_fields[].value Mapeado diretamente do campo sendtotrackerasadvancedauditlog. A chave é "sendtotrackerasadvancedauditlog".
sent_bytes event.idm.read_only_udm.network.sent_bytes Mapeado diretamente do campo sent_bytes, convertido em um número inteiro não assinado.
sequencenum event.idm.read_only_udm.additional.fields[].value.string_value Mapeado diretamente do campo sequencenum. A chave é "sequencenum".
ser_agent_kid event.idm.read_only_udm.security_result.detection_fields[].value Mapeado diretamente do campo ser_agent_kid. A chave é "ser_agent_kid".
service event.idm.read_only_udm.target.port Mapeado diretamente do campo service, convertido em um número inteiro.
service_id event.idm.read_only_udm.network.application_protocol Mapeado diretamente do campo service_id se for "dhcp", "dns", "http", "https" ou "quic", convertido em letras maiúsculas.
service_id event.idm.read_only_udm.principal.application Mapeado diretamente do campo service_id se não for um dos protocolos de aplicativo de rede.
service_id event.idm.read_only_udm.security_result.detection_fields[].value Mapeado diretamente do campo service_id. A chave é "service_id".
session_description event.idm.read_only_udm.security_result.detection_fields[].value Mapeado diretamente do campo session_description. A chave é "session_description".
session_id event.idm.read_only_udm.network.session_id Mapeado diretamente do campo session_id após a remoção de colchetes.
session_name event.idm.read_only_udm.security_result.detection_fields[].value Mapeado diretamente do campo session_name. A chave é "session_name".
session_uid event.idm.read_only_udm.network.session_id Mapeado diretamente do campo session_uid após a remoção de colchetes.
Severity event.idm.read_only_udm.security_result.severity Mapeado para "LOW", "MEDIUM", "HIGH" ou "CRITICAL" com base no valor de Severity.
severity event.idm.read_only_udm.security_result.severity Mapeado para "LOW", "MEDIUM", "HIGH" ou "CRITICAL" com base no valor de severity.
site event.idm.read_only_udm.network.http.user_agent Mapeado diretamente do campo site.
smartdefense_profile event.idm.read_only_udm.security_result.detection_fields[].value Mapeado diretamente do campo smartdefense_profile. A chave é "smartdefense_profile".
snid event.idm.read_only_udm.network.session_id Mapeado diretamente do campo snid se não estiver vazio ou "0".
sourceAddress event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip Mapeado diretamente do campo sourceAddress.
sourcePort event.idm.read_only_udm.principal.port Mapeado diretamente do campo sourcePort, convertido em um número inteiro.
sourceTranslatedAddress event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip Mapeado diretamente do campo sourceTranslatedAddress.
sourceTranslatedAddress event.idm.read_only_udm.principal.nat_ip Mapeado diretamente do campo sourceTranslatedAddress.
sourceTranslatedPort event.idm.read_only_udm.principal.port Mapeado diretamente do campo sourceTranslatedPort, convertido em um número inteiro.
sourceTranslatedPort event.idm.read_only_udm.principal.nat_port Mapeado diretamente do campo sourceTranslatedPort, convertido em um número inteiro.
sourceUserName event.idm.read_only_udm.principal.user.userid, event.idm.read_only_udm.principal.user.first_name, event.idm.read_only_udm.principal.user.last_name Analisado usando grok para extrair o ID do usuário, o primeiro nome e o sobrenome.
spt event.idm.read_only_udm.principal.port Mapeado diretamente do campo spt, convertido em um número inteiro.
src event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip Mapeado diretamente do campo src.
src_ip event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip Mapeado diretamente do campo src_ip.
src_localhost event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname Mapeado diretamente do campo src_localhost. src_ip está definido como "127.0.0.1".
src_machine_name event.idm.read_only_udm.security_result.detection_fields[].value Mapeado diretamente do campo src_machine_name. A chave é "src_machine_name".
src_port event.idm.read_only_udm.principal.port Mapeado diretamente do campo src_port, convertido em um número inteiro.
src_user event.idm.read_only_udm.principal.user.userid Mapeado diretamente do campo src_user.
src_user_dn event.idm.read_only_udm.security_result.detection_fields[].value Mapeado diretamente do campo src_user_dn. A chave é "src_user_dn".
src_user_name event.idm.read_only_udm.principal.user.userid Mapeado diretamente do campo src_user_name.
sub_policy_name event.idm.read_only_udm.security_result.detection_fields[].value Mapeado diretamente do campo sub_policy_name. A chave é "sub_policy_name".
sub_policy_uid event.idm.read_only_udm.security_result.detection_fields[].value Mapeado diretamente do campo sub_policy_uid. A chave é "sub_policy_uid".
subject event.idm.read_only_udm.security_result.detection_fields[].value Mapeado diretamente do campo subject. A chave é "assunto".
subscription_stat_desc event.idm.read_only_udm.security_result.summary Mapeado diretamente do campo subscription_stat_desc.
tags event.idm.read_only_udm.security_result.detection_fields[].value Mapeado diretamente do campo tags. A chave é "tags".
tar_user event.idm.read_only_udm.target.user.userid Mapeado diretamente do campo tar_user.
target_port event.idm.read_only_udm.target.port Mapeado diretamente do campo target_port.
tcp_flags event.idm.read_only_udm.security_result.detection_fields[].value Mapeado diretamente do campo tcp_flags. A chave é "tcp_flags".
tcp_packet_out_of_state event.idm.read_only_udm.security_result.detection_fields[].value Mapeado diretamente do campo tcp_packet_out_of_state. A chave é "tcp_packet_out_of_state".
time event.idm.read_only_udm.metadata.event_timestamp Analisado e convertido em um carimbo de data/hora usando vários formatos de data.
ts event.idm.read_only_udm.metadata.event_timestamp Analisado com ds e tz para criar o carimbo de data/hora do evento.
type event.idm.read_only_udm.security_result.rule_type Mapeado diretamente do campo type.
tz event.idm.read_only_udm.metadata.event_timestamp Usado com ds e ts para criar o carimbo de data/hora do evento.
update_count event.idm.read_only_udm.security_result.detection_fields[].value Mapeado diretamente do campo update_count. A chave é "update_count".
URL event.idm.read_only_udm.security_result.about.url Mapeado diretamente do campo URL.
user event.idm.read_only_udm.principal.user.userid Mapeado diretamente do campo user.
user_agent event.idm.read_only_udm.network.http.user_agent Mapeado diretamente do campo user_agent. Também analisado e mapeado para event.idm.read_only_udm.network.http.parsed_user_agent.
userip event.idm.read_only_udm.principal.ip, event.idm.read_only_udm.principal.asset.ip Mapeado diretamente do campo userip se for um endereço IP válido.
UUid event.idm.read_only_udm.metadata.product_log_id Mapeado diretamente do campo UUid após a remoção de colchetes.
version event.idm.read_only_udm.metadata.product_version Mapeado diretamente do campo version.
web_client_type event.idm.read_only_udm.network.http.user_agent Mapeado diretamente do campo web_client_type.
xlatedport event.idm.read_only_udm.target.nat_port Mapeado diretamente do campo xlatedport, convertido em um número inteiro.
xlatedst event.idm.read_only_udm.target.nat_ip Mapeado diretamente do campo xlatedst.
xlatesport event.idm.read_only_udm.principal.nat_port Mapeado diretamente do campo xlatesport, convertido em um número inteiro.
xlatesrc event.idm.read_only_udm.principal.nat_ip Mapeado diretamente do campo xlatesrc.
event.idm.read_only_udm.metadata.vendor_name Check Point Valor codificado.
event.idm.read_only_udm.metadata.log_type CHECKPOINT_FIREWALL Valor codificado.
event.idm.read_only_udm.security_result.rule_type Firewall Rule Valor padrão, a menos que seja substituído por uma lógica específica.
event.idm.is_alert true Defina como verdadeiro se o campo alert for "sim".
has_principal true É definido como verdadeiro quando o IP principal ou o nome do host é extraído.
has_target true É definido como verdadeiro quando o IP ou o nome de host de destino é extraído.

Alterações

2024-05-29

  • Mapeamos "layer_uuid_rule_uuid" para "security_result.rule_id".
  • O "domain" foi mapeado para "principal.administrative_domain".
  • "Fservice", "appi_name", "app_risk" e "policy_name" foram mapeados para "security_result.detection_fields".
  • "Packets", "__id", "dedup_time", "browse_time", "bytes", "product_family", "hll_key" e "calc_service" foram mapeados para "additional.fields".
  • O "id" foi mapeado para "metadata.product_log_id".
  • "orig_log_server" foi associado a "principal.resource.product_object_id".
  • "environment_id" foi mapeado para "target.resource.product_object_id".
  • "client_outbound_packets" e "client_inbound_packets" foram mapeados para "principal.resource.attribute.labels".
  • "server_outbound_bytes" e "server_inbound_bytes" foram mapeados para "target.resource.attribute.labels".
  • "Orig" foi mapeado para "principal.hostname" e "principal.asset.hostname".
  • "orig_log_server_ip" foi associado a "principal.ip" e "principal.asset.ip".
  • "Proto" foi mapeado para "network.ip_protocol".

2024-05-20

  • Um padrão Grok foi adicionado para extrair "inter_host".
  • "inter_host" foi mapeado para "intermediary.hostname".

2024-04-19

  • Melhorias e correções de bugs:
  • "origin" foi mapeado para "target.ip" e "target.asset.ip".
  • Foram adicionados novos padrões Grok para analisar o novo formato de registros SYSLOG.
  • Mapeamos "smartdefense_profile", "malware_rule_id" e "malware_rule_name" para "security_result.detection_fields".
  • Mapeou "sequencenum", "description_url", "industry_reference", "mitre_execution", "packet_capture_name", "packet_capture_unique_id", "packet_capture_time" e "performance_impact" para "additional.fields".
  • "version" foi mapeada para "metadata.product_version".
  • "http_host" foi associado a "target.resource.attribute.labels".
  • "log_id" foi mapeado para "metadata.product_log_id".
  • Mapeamos "user_agent" para "network.http.user_agent" e "http.parsed_user_agent".
  • Mapeamos "hostname", "dvc" e "principal_hostname" para "target.hostname" e "target.asset.hostname".
  • Se "has_principal" for "true", "has_target" for "true" e "Action"/"action" for "Log In" ou "Failed Log In" ou "Failed Login" ou "Update", defina "metadata.event_type" como "USER_LOGIN" e "extensions.auth.type" como "AUTHTYPE_UNSPECIFIED".
  • Se "has_principal" for "true", "has_target" for "true" e "Action"/"act"/"event_type" for "Log Out" ou "Logout", defina "metadata.event_type" como "USER_LOGOUT" e "extensions.auth.type" como "AUTHTYPE_UNSPECIFIED".
  • Se "has_principal" for "true" e "has_target" for "true", defina "metadata.event_type" como "NETWORK_CONNECTION".
  • Se "has_principal" for "true" e "has_target" for "false", defina "metadata.event_type" como "STATUS_UPDATE".

2024-02-07

  • Mapeamento adicionado para os seguintes campos:
  • "protection_id", "malware_action", "malware_family,protection_name" e "protection_type" foram mapeados para "security_result.detection_fields".
  • "confidence_level" foi associado a "security_result.confidence" e "security_result.confidence_details".

2024-02-05

  • Mapeamento adicionado para os seguintes campos:
  • O "method" foi mapeado para "network.http.method".

2024-01-24

  • Mapeamento adicionado para os seguintes campos:
  • O "method" foi mapeado para "network.http.method".
  • "duration" foi mapeado para "network.session_duration.seconds".
  • "additional_info" foi associado a "security_result.description".
  • Mapeamos "operation" para "security_result.summary".
  • O "sujeito" foi mapeado para "metadata.description".
  • "principal_hostname" foi mapeado para "intermediary.hostname".
  • Mapeou "tcp_packet_out_of_state", "aggregated_log_count", "connection_count", "appi_name", "src_user_dn",
  • "update_count", "additional_info", "administrator", "operation", "sendtotrackerasadvancedauditlog",
  • "subject", "fieldschanges", "logic_changes", "objecttype", "session_description",
  • "session_name" para "security_result.detection_fields".

2023-12-27

  • Mapeamento adicionado para os seguintes campos:
  • As "flags" foram mapeadas para "security_result.detection_fields".
  • "tcp_flags" foi mapeado para "security_result.detection_fields".
  • "tcp_packet_out_of_state" foi mapeado para "security_result.detection_fields".

2023-12-11

  • Se "principal_hostname" for um IP válido, mapeie-o para "principal.ip".
  • Se "principal_hostname" não for um IP válido, mapeie-o para "principal.hostname".
  • "sport_svc" foi associado a "principal.port".
  • Mapeamos "ProductFamily" para "additional.fields".
  • "mitre_initial_access" foi associado a "security_result.detection_fields".
  • "policy_time" foi associado a "security_result.detection_fields".
  • O "profile" foi mapeado para "security_result.detection_fields".
  • "reject_id_kid" foi mapeado para "security_result.detection_fields".
  • Mapeamos "ser_agent_kid" para "security_result.detection_fields".

2023-10-11

  • Se "product" for "New Anti Virus", o mapeamento de "firewall management node" para "principal.hostname" será removido e mapeado para "security_result.detection_fields".

2023-07-06

  • Mapeamento adicionado para os seguintes campos:
  • "app_category" foi associado a "security_result.category_details".
  • "matched_category" foi associado a "security_result.detection_fields".
  • "app_properties" foi mapeado para "security_result.detection_fields".

2023-06-14

  • Mapeamento adicionado para os seguintes campos
  • Mapeamos "conn_direction" para "additional.fields".
  • O gsub foi modificado para não substituir o ":" por "=" dos valores reais.

2023-05-12

  • Mapeamento adicionado para os seguintes campos
  • "rule_name" foi mapeado para "security_result.rule_name".
  • "rule","sub_policy_name","sub_policy_uid","smartdefense_profile","tags","flexString2" foram mapeados para "security_result.detection_fields".
  • Novo padrão Grok adicionado para oferecer suporte aos novos formatos de registro.
  • "dvc" foi mapeado para "intermediary.hostname".
  • "hostname" foi mapeado para "intermediary.hostname".
  • "origin_sic_name" foi mapeado para "intermediary.asset_id".
  • "Conn_direction" foi mapeado para "network.ip_protocol".
  • "ifname" foi mapeado para "security_result.detection_fields".
  • "security_inzone" foi mapeado para "security_result.detection_fields".
  • "match_id" foi mapeado para "security_result.detection_fields".
  • "parent_rule" foi mapeado para "security_result.detection_fields".
  • "security_outzone" foi mapeado para "security_result.detection_fields".
  • "sub_policy_name" foi mapeado para "security_result.detection_fields".
  • "sub_policy_uid" foi associado a "security_result.detection_fields".
  • "drop_reason" foi mapeado para "security_result.summary".
  • O "reason" foi mapeado para "security_result.summary".
  • "Xlatesport" foi mapeado para "principal.nat_port".
  • "Xlatedport" foi mapeado para "target.nat_port".
  • "ipv6_dst" foi mapeado para "target.ip".
  • "ipv6_src" foi mapeado para "principal.ip".

2023-04-24

  • Adição de suporte a registros com formato CEF.

2022-11-18

  • O mapeamento de "service" foi modificado e mapeado para "target.port".

2022-10-27

  • Adição de uma verificação condicional para "attack","attack_info" e "policy_name".
  • O padrão grok foi adicionado para extrair "principal_hostname".
  • Adição de gsub para mudar "=" para ":".
  • O mapeamento de "service" foi modificado para "target.resource.attribute.labels".

2022-10-13

  • O campo "fw_subproduct" foi associado a "metadata.product_name".
  • O padrão grok foi adicionado para extrair o IP do campo "src".

2022-08-30

  • As mudanças de versões específicas do cliente foram mescladas para o padrão.
  • Os registros que contêm "*****" foram removidos do UserCheck.

2022-08-18

  • "portal_message" foi associado a "security_result.description".
  • "security_result.category" foi mapeado como "SOFTWARE_MALICIOUS" caso "portal_message" contenha as palavras-chave "malware/malicious".
  • "URL" foi associado a "security_result.about.url".
  • "Atividade" foi mapeada para "security_result.summary".
  • "Reference" foi associado a "security_result.about.resource.attribute.labels".
  • "event_type" foi modificado de "GENERIC_EVENT" para "STATUS_UPDATE", replicando o valor de "intermediary.ip" para "principal.ip".

2022-08-12

  • "malware_action", "malware_family,protection_name" e "protection_type" foram mapeados para "security_result.about.resource.attribute.labels".
  • Mapeamos "src_machine_name" para "security_result.detection_fields".

2022-06-30

  • "message_info" foi mapeado para "metadata.description".

2022-06-17

  • Foram adicionadas verificações condicionais para os campos "nat_rulenum", "rule", "sent_bytes", "received_bytes", "s_port" e "service".
  • Modificado event_types para os seguintes casos:
  • "GENERIC_EVENT" para "NETWORK_CONNECTION", em que "principal.ip ou principal.hostname" e "target.ip ou target.hostname" não são nulos.
  • "GENERIC_EVENT" para "STATUS_UNCATEGORIZED", em que "principal.ip ou principal.hostname" não é nulo.

2022-06-14

  • O analisador foi modificado para analisar mais registros removendo a verificação de condição para passwd.

2022-06-07

  • O src_machine_name foi associado a security_result.detection_fields.

2022-05-19

  • Mapeou inzone, outzone, layer_name, layer_uuid e policy_name para security_result.detection_fields.
  • O service_id foi mapeado para principal.application.