Coletar registros de firewall do Check Point
Esse analisador extrai registros de firewall do Check Point. Ele processa mensagens formatadas CEF e não CEF, incluindo syslog, pares de chave-valor e JSON. Ele normaliza os campos, os mapeia para o UDM e executa uma lógica específica para login/saída, conexões de rede e eventos de segurança. Ele enriquece os dados com informações contextuais, como geolocalização e informações sobre ameaças.
Antes de começar
- Verifique se você tem uma instância do Google Security Operations.
- Verifique se você está usando o Windows 2016 ou uma versão mais recente ou um host Linux com systemd.
- Se estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas.
- Verifique se você tem acesso privilegiado a um firewall Check Point.
Receber o arquivo de autenticação de ingestão do Google SecOps
- Faça login no console do Google SecOps.
- Acesse Configurações do SIEM > Agentes de coleta.
- Faça o download do arquivo de autenticação de transferência.
Receber o ID de cliente do Google SecOps
- Faça login no console do Google SecOps.
- Acesse Configurações do SIEM > Perfil.
- Copie e salve o ID do cliente na seção Detalhes da organização.
Instalar o agente do BindPlane
- Para a instalação do Windows, execute o seguinte script:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
- Para a instalação do Linux, execute o seguinte script:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
- Outras opções de instalação podem ser encontradas neste guia de instalação.
Configurar o agente BindPlane para ingerir o Syslog e enviar ao Google SecOps
- Acesse a máquina em que o BindPlane está instalado.
Edite o arquivo
config.yaml
da seguinte forma:receivers: udplog: # Replace the below port <54525> and IP <0.0.0.0> with your specific values listen_address: "0.0.0.0:54525" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the creds location below according the placement of the credentials file you downloaded creds: '{ json file for creds }' # Replace <customer_id> below with your actual ID that you copied customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # You can apply ingestion labels below as preferred ingestion_labels: log_type: SYSLOG namespace: Checkpoint_Firewall raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels
Reinicie o agente do BindPlane para aplicar as mudanças:
sudo systemctl restart bindplane
Configurar a exportação de Syslog em um firewall Check Point
- Faça login na interface da firewall do Check Point usando uma conta privilegiada.
- Acesse Logs e monitoramento > Servidores de registro.
- Navegue até Servidores Syslog.
- Clique em Configurar e defina os seguintes valores:
- Protocolo: selecione UDP para enviar registros de segurança e/ou do sistema.
- Nome: forneça um nome exclusivo (por exemplo, Bindplane_Server).
- Endereço IP: informe o endereço IP do servidor de syslog (IP do Bindplane).
- Porta: informe a porta do servidor syslog (porta Bindplane).
- Selecione Ativar o servidor de registro.
- Selecione os registros a serem encaminhados: Registros do sistema e de segurança.
- Clique em Aplicar.
Tabela de mapeamento do UDM
Campo de registro | Mapeamento do UDM | Lógica |
---|---|---|
Action |
event.idm.read_only_udm.security_result.action_details |
Mapeado diretamente do campo Action . |
Activity |
event.idm.read_only_udm.security_result.summary |
Mapeado diretamente do campo Activity . |
additional_info |
event.idm.read_only_udm.security_result.description |
Mapeado diretamente do campo additional_info . |
administrator |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo administrator . A chave é "administrator". |
aggregated_log_count |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo aggregated_log_count . A chave é "aggregated_log_count". |
appi_name |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo appi_name . A chave é "appi_name". |
app_category |
event.idm.read_only_udm.security_result.category_details |
Mapeado diretamente do campo app_category . |
app_properties |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo app_properties . A chave é "app_properties". |
app_risk |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo app_risk . A chave é "app_risk". |
app_session_id |
event.idm.read_only_udm.network.session_id |
Mapeado diretamente do campo app_session_id , convertido em uma string. |
attack |
event.idm.read_only_udm.security_result.summary |
Mapeado diretamente do campo attack quando Info está presente. |
attack |
event.idm.read_only_udm.security_result.threat_name |
Mapeado diretamente do campo attack quando Info está presente. |
attack_info |
event.idm.read_only_udm.security_result.description |
Mapeado diretamente do campo attack_info . |
auth_status |
event.idm.read_only_udm.security_result.summary |
Mapeado diretamente do campo auth_status . |
browse_time |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mapeado diretamente do campo browse_time . A chave é "browse_time". |
bytes |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mapeado diretamente do campo bytes . A chave é "bytes". |
bytes |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mapeado diretamente do campo bytes . A chave é "bytes". |
calc_service |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mapeado diretamente do campo calc_service . A chave é "calc_service". |
category |
event.idm.read_only_udm.security_result.category_details |
Mapeado diretamente do campo category . |
client_version |
event.idm.read_only_udm.intermediary.platform_version |
Mapeado diretamente do campo client_version . |
conn_direction |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mapeado diretamente do campo conn_direction . A chave é "conn_direction". |
conn_direction |
event.idm.read_only_udm.network.direction |
Se conn_direction for "Entrada", será mapeado para "INBOUND". Caso contrário, é mapeado para "SAÍDA". |
connection_count |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo connection_count . A chave é "connection_count". |
contract_name |
event.idm.read_only_udm.security_result.description |
Mapeado diretamente do campo contract_name . |
cs2 |
event.idm.read_only_udm.security_result.rule_name |
Mapeado diretamente do campo cs2 . |
date_time |
event.idm.read_only_udm.metadata.event_timestamp |
Analisado e convertido em um carimbo de data/hora usando vários formatos de data. |
dedup_time |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mapeado diretamente do campo dedup_time . A chave é "dedup_time". |
desc |
event.idm.read_only_udm.security_result.summary |
Mapeado diretamente do campo desc . |
description |
event.idm.read_only_udm.security_result.description |
Mapeado diretamente do campo description . |
description_url |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mapeado diretamente do campo description_url . A chave é "description_url". |
destinationAddress |
event.idm.read_only_udm.target.ip , event.idm.read_only_udm.target.asset.ip |
Mapeado diretamente do campo destinationAddress . |
destinationPort |
event.idm.read_only_udm.target.port |
Mapeado diretamente do campo destinationPort , convertido em um número inteiro. |
destinationTranslatedAddress |
event.idm.read_only_udm.target.ip , event.idm.read_only_udm.target.asset.ip |
Mapeado diretamente do campo destinationTranslatedAddress . |
destinationTranslatedAddress |
event.idm.read_only_udm.target.nat_ip |
Mapeado diretamente do campo destinationTranslatedAddress . |
destinationTranslatedPort |
event.idm.read_only_udm.target.port |
Mapeado diretamente do campo destinationTranslatedPort , convertido em um número inteiro. |
destinationTranslatedPort |
event.idm.read_only_udm.target.nat_port |
Mapeado diretamente do campo destinationTranslatedPort , convertido em um número inteiro. |
deviceCustomString2 |
event.idm.read_only_udm.security_result.rule_name |
Mapeado diretamente do campo deviceCustomString2 . |
deviceDirection |
event.idm.read_only_udm.network.direction |
Se deviceDirection for 0, será mapeado para "SAÍDA". Se 1, é mapeado para "INBOUND". |
domain |
event.idm.read_only_udm.principal.administrative_domain |
Mapeado diretamente do campo domain . |
domain_name |
event.idm.read_only_udm.principal.administrative_domain |
Mapeado diretamente do campo domain_name . |
drop_reason |
event.idm.read_only_udm.security_result.summary |
Mapeado diretamente do campo drop_reason . |
ds |
event.idm.read_only_udm.metadata.event_timestamp |
Usado com ts e tz para criar o carimbo de data/hora do evento. |
dst |
event.idm.read_only_udm.target.ip , event.idm.read_only_udm.target.asset.ip |
Mapeado diretamente do campo dst . |
dst_country |
event.idm.read_only_udm.target.location.country_or_region |
Mapeado diretamente do campo dst_country . |
dst_ip |
event.idm.read_only_udm.target.ip , event.idm.read_only_udm.target.asset.ip |
Mapeado diretamente do campo dst_ip . |
dpt |
event.idm.read_only_udm.target.port |
Mapeado diretamente do campo dpt , convertido em um número inteiro. |
duration |
event.idm.read_only_udm.network.session_duration.seconds |
Mapeado diretamente do campo duration , convertido em um número inteiro, se for maior que 0. |
duser |
event.idm.read_only_udm.target.user.email_addresses , event.idm.read_only_udm.target.user.user_display_name |
Mapeado diretamente do campo duser se ele corresponder a um formato de endereço de e-mail. |
environment_id |
event.idm.read_only_udm.target.resource.product_object_id |
Mapeado diretamente do campo environment_id . |
event_type |
event.idm.read_only_udm.metadata.event_type |
Determinado pela lógica com base na presença de determinados campos e valores. O padrão é GENERIC_EVENT se nenhum tipo de evento específico for identificado. Pode ser NETWORK_CONNECTION , USER_LOGIN , USER_CHANGE_PASSWORD , USER_LOGOUT , NETWORK_HTTP ou STATUS_UPDATE . |
fieldschanges |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo fieldschanges . A chave é "fieldschanges". |
flags |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo flags . A chave é "flags". |
flexString2 |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo flexString2 . A chave é o valor de flexString2Label . |
from_user |
event.idm.read_only_udm.principal.user.userid |
Mapeado diretamente do campo from_user . |
fservice |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo fservice . A chave é "fservice". |
fw_subproduct |
event.idm.read_only_udm.metadata.product_name |
Mapeado diretamente do campo fw_subproduct quando product está vazio. |
geoip_dst.country_name |
event.idm.read_only_udm.target.location.country_or_region |
Mapeado diretamente do campo geoip_dst.country_name . |
hll_key |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mapeado diretamente do campo hll_key . A chave é "hll_key". |
hostname |
event.idm.read_only_udm.target.hostname , event.idm.read_only_udm.target.asset.hostname , event.idm.read_only_udm.intermediary.hostname |
Mapeado diretamente do campo hostname quando inter_host está vazio. |
http_host |
event.idm.read_only_udm.target.resource.attribute.labels[].value |
Mapeado diretamente do campo http_host . A chave é "http_host". |
id |
event.idm.read_only_udm.metadata.product_log_id |
Mapeado diretamente do campo _id . |
identity_src |
event.idm.read_only_udm.target.application |
Mapeado diretamente do campo identity_src . |
identity_type |
event.idm.read_only_udm.extensions.auth.type |
Se identity_type for "user", será mapeado para "VPN". Caso contrário, é mapeado como "MACHINE". |
if_direction |
event.idm.read_only_udm.network.direction |
Mapeado diretamente do campo if_direction , convertido em letras maiúsculas. |
ifdir |
event.idm.read_only_udm.network.direction |
Mapeado diretamente do campo ifdir , convertido em letras maiúsculas. |
ifname |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo ifname . A chave é "ifname". |
IKE |
event.idm.read_only_udm.metadata.description |
Mapeado diretamente do campo IKE . |
inzone |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo inzone . A chave é "inzone". |
industry_reference |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mapeado diretamente do campo industry_reference . A chave é "industry_reference". |
instance_id |
event.idm.read_only_udm.principal.hostname , event.idm.read_only_udm.principal.asset.hostname |
Mapeado diretamente do campo instance_id . |
inter_host |
event.idm.read_only_udm.intermediary.hostname |
Mapeado diretamente do campo inter_host . |
ip_proto |
event.idm.read_only_udm.network.ip_protocol |
Determinado com base no campo proto ou service . Pode ser TCP, UDP, ICMP, IP6IN4 ou GRE. |
ipv6_dst |
event.idm.read_only_udm.target.ip , event.idm.read_only_udm.target.asset.ip |
Mapeado diretamente do campo ipv6_dst . |
ipv6_src |
event.idm.read_only_udm.principal.ip , event.idm.read_only_udm.principal.asset.ip |
Mapeado diretamente do campo ipv6_src . |
layer_name |
event.idm.read_only_udm.security_result.rule_set_display_name , event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo layer_name . A chave é "layer_name". |
layer_uuid |
event.idm.read_only_udm.security_result.rule_set , event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo layer_uuid após a remoção de colchetes. A chave é "layer_uuid". |
layer_uuid_rule_uuid |
event.idm.read_only_udm.security_result.rule_id |
Mapeado diretamente do campo layer_uuid_rule_uuid após a remoção de colchetes e aspas. |
log_id |
event.idm.read_only_udm.metadata.product_log_id |
Mapeado diretamente do campo log_id . |
log_type |
event.idm.read_only_udm.metadata.log_type |
Mapeado diretamente do campo log_type . Fixado em "CHECKPOINT_FIREWALL". |
loguid |
event.idm.read_only_udm.metadata.product_log_id |
Mapeado diretamente do campo loguid após a remoção de colchetes. |
logic_changes |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo logic_changes . A chave é "logic_changes". |
localhost |
event.idm.read_only_udm.target.hostname , event.idm.read_only_udm.target.asset.hostname |
Mapeado diretamente do campo localhost . dst_ip está definido como "127.0.0.1". |
malware_action |
event.idm.read_only_udm.security_result.detection_fields[].value , event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value |
Mapeado diretamente do campo malware_action . A chave é "malware_action". |
malware_family |
event.idm.read_only_udm.security_result.detection_fields[].value , event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value |
Mapeado diretamente do campo malware_family . A chave é "malware_family". |
malware_rule_id |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo malware_rule_id após a remoção de colchetes. A chave é "ID da regra de malware". |
malware_rule_name |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo malware_rule_name . A chave é "Nome da regra de malware". |
match_id |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo match_id . A chave é "match_id". |
matched_category |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo matched_category . A chave é "matched_category". |
message_info |
event.idm.read_only_udm.metadata.description |
Mapeado diretamente do campo message_info . |
method |
event.idm.read_only_udm.network.http.method |
Mapeado diretamente do campo method . |
mitre_execution |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mapeado diretamente do campo mitre_execution . A chave é "mitre_execution". |
mitre_initial_access |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo mitre_initial_access . A chave é "mitre_initial_access". |
nat_rulenum |
event.idm.read_only_udm.security_result.rule_id |
Mapeado diretamente do campo nat_rulenum , convertido em uma string. |
objecttype |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo objecttype . A chave é "objecttype". |
operation |
event.idm.read_only_udm.security_result.summary |
Mapeado diretamente do campo operation . |
operation |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo operation . A chave é "operation". |
orig |
event.idm.read_only_udm.principal.hostname , event.idm.read_only_udm.principal.asset.hostname |
Mapeado diretamente do campo orig . |
origin |
event.idm.read_only_udm.principal.ip , event.idm.read_only_udm.principal.asset.ip , event.idm.read_only_udm.target.ip , event.idm.read_only_udm.target.asset.ip , event.idm.read_only_udm.intermediary.ip |
Mapeado diretamente do campo origin . |
origin_sic_name |
event.idm.read_only_udm.intermediary.asset_id , event.idm.read_only_udm.intermediary.labels[].value |
Mapeado diretamente do campo origin_sic_name . A chave é "Machine SIC". O ID do recurso tem o prefixo "asset:". |
originsicname |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mapeado diretamente do campo originsicname . A chave é "originsicname". |
originsicname |
event.idm.read_only_udm.intermediary.asset_id , event.idm.read_only_udm.intermediary.labels[].value |
Mapeado diretamente do campo originsicname . A chave é "Machine SIC". O ID do recurso tem o prefixo "asset:". |
os_name |
event.idm.read_only_udm.principal.asset.platform_software.platform |
Se os_name contém "Win", ele é mapeado para "WINDOWS". Se ele contiver "MAC" ou "IOS", será mapeado como "MAC". Se ele contiver "LINUX", será mapeado para "LINUX". |
os_version |
event.idm.read_only_udm.principal.asset.platform_software.platform_patch_level |
Mapeado diretamente do campo os_version . |
outzone |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo outzone . A chave é "outzone". |
packets |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mapeado diretamente do campo packets . A chave é "packets". |
packet_capture_name |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mapeado diretamente do campo packet_capture_name . A chave é "packet_capture_name". |
packet_capture_time |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mapeado diretamente do campo packet_capture_time . A chave é "packet_capture_time". |
packet_capture_unique_id |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mapeado diretamente do campo packet_capture_unique_id . A chave é "packet_capture_unique_id". |
parent_rule |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo parent_rule . A chave é "parent_rule". |
performance_impact |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mapeado diretamente do campo performance_impact . A chave é "performance_impact". |
policy_name |
event.idm.read_only_udm.security_result.detection_fields[].value |
Extraídos do campo __policy_id_tag usando grok e mapeados. A chave é "Nome da política". |
policy_time |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo policy_time . A chave é "policy_time". |
portal_message |
event.idm.read_only_udm.security_result.description |
Mapeado diretamente do campo portal_message . |
principal_hostname |
event.idm.read_only_udm.principal.ip , event.idm.read_only_udm.principal.asset.ip |
Mapeado diretamente do campo principal_hostname se for um endereço IP válido. |
principal_hostname |
event.idm.read_only_udm.principal.hostname , event.idm.read_only_udm.principal.asset.hostname |
Mapeado diretamente do campo principal_hostname se não for um endereço IP válido nem "Checkpoint". |
prod_family_label |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mapeado diretamente do campo ProductFamily . A chave é "ProductFamily". |
product |
event.idm.read_only_udm.metadata.product_name |
Mapeado diretamente do campo product . |
product_family |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mapeado diretamente do campo product_family . A chave é "product_family". |
product_family |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mapeado diretamente do campo product_family . A chave é "product_family". |
ProductName |
event.idm.read_only_udm.metadata.product_name |
Mapeado diretamente do campo ProductName quando product está vazio. |
product_name |
event.idm.read_only_udm.metadata.product_name |
Mapeado diretamente do campo product_name . |
profile |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo profile . A chave é "profile". |
protocol |
event.idm.read_only_udm.network.application_protocol |
Mapeado diretamente do campo protocol se for "HTTP". |
proxy_src_ip |
event.idm.read_only_udm.principal.nat_ip |
Mapeado diretamente do campo proxy_src_ip . |
reason |
event.idm.read_only_udm.security_result.summary |
Mapeado diretamente do campo reason . |
received_bytes |
event.idm.read_only_udm.network.received_bytes |
Mapeado diretamente do campo received_bytes , convertido em um número inteiro não assinado. |
Reference |
event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value , event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo Reference . A chave é "Referência". Usada para construir _vuln.name com attack . |
reject_id_kid |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo reject_id_kid . A chave é "reject_id_kid". |
resource |
event.idm.read_only_udm.target.url |
Analisado como JSON e mapeado para o URL de destino. Se a análise falhar, ela será mapeada diretamente. |
resource |
event.idm.read_only_udm.additional.fields[].value.list_value.values[].string_value |
Analisado como JSON, e cada valor na matriz resource é adicionado à lista. A chave é "Recurso". |
result |
event.idm.read_only_udm.metadata.event_timestamp |
Analisado com date_time para criar o carimbo de data/hora do evento. |
rt |
event.idm.read_only_udm.metadata.event_timestamp |
Analisado como milissegundos desde a época e convertido em um carimbo de data/hora. |
rule |
event.idm.read_only_udm.security_result.rule_name |
Mapeado diretamente do campo rule . |
rule_action |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo rule_action . A chave é "rule_action". |
rule_name |
event.idm.read_only_udm.security_result.rule_name |
Mapeado diretamente do campo rule_name . |
rule_uid |
event.idm.read_only_udm.security_result.rule_id |
Mapeado diretamente do campo rule_uid . |
s_port |
event.idm.read_only_udm.principal.port |
Mapeado diretamente do campo s_port , convertido em um número inteiro. |
scheme |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mapeado diretamente do campo scheme . A chave é "scheme". |
security_inzone |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo security_inzone . A chave é "security_inzone". |
security_outzone |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo security_outzone . A chave é "security_outzone". |
security_result_action |
event.idm.read_only_udm.security_result.action |
Mapeado diretamente do campo security_result_action . |
sendtotrackerasadvancedauditlog |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo sendtotrackerasadvancedauditlog . A chave é "sendtotrackerasadvancedauditlog". |
sent_bytes |
event.idm.read_only_udm.network.sent_bytes |
Mapeado diretamente do campo sent_bytes , convertido em um número inteiro não assinado. |
sequencenum |
event.idm.read_only_udm.additional.fields[].value.string_value |
Mapeado diretamente do campo sequencenum . A chave é "sequencenum". |
ser_agent_kid |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo ser_agent_kid . A chave é "ser_agent_kid". |
service |
event.idm.read_only_udm.target.port |
Mapeado diretamente do campo service , convertido em um número inteiro. |
service_id |
event.idm.read_only_udm.network.application_protocol |
Mapeado diretamente do campo service_id se for "dhcp", "dns", "http", "https" ou "quic", convertido em letras maiúsculas. |
service_id |
event.idm.read_only_udm.principal.application |
Mapeado diretamente do campo service_id se não for um dos protocolos de aplicativo de rede. |
service_id |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo service_id . A chave é "service_id". |
session_description |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo session_description . A chave é "session_description". |
session_id |
event.idm.read_only_udm.network.session_id |
Mapeado diretamente do campo session_id após a remoção de colchetes. |
session_name |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo session_name . A chave é "session_name". |
session_uid |
event.idm.read_only_udm.network.session_id |
Mapeado diretamente do campo session_uid após a remoção de colchetes. |
Severity |
event.idm.read_only_udm.security_result.severity |
Mapeado para "LOW", "MEDIUM", "HIGH" ou "CRITICAL" com base no valor de Severity . |
severity |
event.idm.read_only_udm.security_result.severity |
Mapeado para "LOW", "MEDIUM", "HIGH" ou "CRITICAL" com base no valor de severity . |
site |
event.idm.read_only_udm.network.http.user_agent |
Mapeado diretamente do campo site . |
smartdefense_profile |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo smartdefense_profile . A chave é "smartdefense_profile". |
snid |
event.idm.read_only_udm.network.session_id |
Mapeado diretamente do campo snid se não estiver vazio ou "0". |
sourceAddress |
event.idm.read_only_udm.principal.ip , event.idm.read_only_udm.principal.asset.ip |
Mapeado diretamente do campo sourceAddress . |
sourcePort |
event.idm.read_only_udm.principal.port |
Mapeado diretamente do campo sourcePort , convertido em um número inteiro. |
sourceTranslatedAddress |
event.idm.read_only_udm.principal.ip , event.idm.read_only_udm.principal.asset.ip |
Mapeado diretamente do campo sourceTranslatedAddress . |
sourceTranslatedAddress |
event.idm.read_only_udm.principal.nat_ip |
Mapeado diretamente do campo sourceTranslatedAddress . |
sourceTranslatedPort |
event.idm.read_only_udm.principal.port |
Mapeado diretamente do campo sourceTranslatedPort , convertido em um número inteiro. |
sourceTranslatedPort |
event.idm.read_only_udm.principal.nat_port |
Mapeado diretamente do campo sourceTranslatedPort , convertido em um número inteiro. |
sourceUserName |
event.idm.read_only_udm.principal.user.userid , event.idm.read_only_udm.principal.user.first_name , event.idm.read_only_udm.principal.user.last_name |
Analisado usando grok para extrair o ID do usuário, o primeiro nome e o sobrenome. |
spt |
event.idm.read_only_udm.principal.port |
Mapeado diretamente do campo spt , convertido em um número inteiro. |
src |
event.idm.read_only_udm.principal.ip , event.idm.read_only_udm.principal.asset.ip |
Mapeado diretamente do campo src . |
src_ip |
event.idm.read_only_udm.principal.ip , event.idm.read_only_udm.principal.asset.ip |
Mapeado diretamente do campo src_ip . |
src_localhost |
event.idm.read_only_udm.principal.hostname , event.idm.read_only_udm.principal.asset.hostname |
Mapeado diretamente do campo src_localhost . src_ip está definido como "127.0.0.1". |
src_machine_name |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo src_machine_name . A chave é "src_machine_name". |
src_port |
event.idm.read_only_udm.principal.port |
Mapeado diretamente do campo src_port , convertido em um número inteiro. |
src_user |
event.idm.read_only_udm.principal.user.userid |
Mapeado diretamente do campo src_user . |
src_user_dn |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo src_user_dn . A chave é "src_user_dn". |
src_user_name |
event.idm.read_only_udm.principal.user.userid |
Mapeado diretamente do campo src_user_name . |
sub_policy_name |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo sub_policy_name . A chave é "sub_policy_name". |
sub_policy_uid |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo sub_policy_uid . A chave é "sub_policy_uid". |
subject |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo subject . A chave é "assunto". |
subscription_stat_desc |
event.idm.read_only_udm.security_result.summary |
Mapeado diretamente do campo subscription_stat_desc . |
tags |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo tags . A chave é "tags". |
tar_user |
event.idm.read_only_udm.target.user.userid |
Mapeado diretamente do campo tar_user . |
target_port |
event.idm.read_only_udm.target.port |
Mapeado diretamente do campo target_port . |
tcp_flags |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo tcp_flags . A chave é "tcp_flags". |
tcp_packet_out_of_state |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo tcp_packet_out_of_state . A chave é "tcp_packet_out_of_state". |
time |
event.idm.read_only_udm.metadata.event_timestamp |
Analisado e convertido em um carimbo de data/hora usando vários formatos de data. |
ts |
event.idm.read_only_udm.metadata.event_timestamp |
Analisado com ds e tz para criar o carimbo de data/hora do evento. |
type |
event.idm.read_only_udm.security_result.rule_type |
Mapeado diretamente do campo type . |
tz |
event.idm.read_only_udm.metadata.event_timestamp |
Usado com ds e ts para criar o carimbo de data/hora do evento. |
update_count |
event.idm.read_only_udm.security_result.detection_fields[].value |
Mapeado diretamente do campo update_count . A chave é "update_count". |
URL |
event.idm.read_only_udm.security_result.about.url |
Mapeado diretamente do campo URL . |
user |
event.idm.read_only_udm.principal.user.userid |
Mapeado diretamente do campo user . |
user_agent |
event.idm.read_only_udm.network.http.user_agent |
Mapeado diretamente do campo user_agent . Também analisado e mapeado para event.idm.read_only_udm.network.http.parsed_user_agent . |
userip |
event.idm.read_only_udm.principal.ip , event.idm.read_only_udm.principal.asset.ip |
Mapeado diretamente do campo userip se for um endereço IP válido. |
UUid |
event.idm.read_only_udm.metadata.product_log_id |
Mapeado diretamente do campo UUid após a remoção de colchetes. |
version |
event.idm.read_only_udm.metadata.product_version |
Mapeado diretamente do campo version . |
web_client_type |
event.idm.read_only_udm.network.http.user_agent |
Mapeado diretamente do campo web_client_type . |
xlatedport |
event.idm.read_only_udm.target.nat_port |
Mapeado diretamente do campo xlatedport , convertido em um número inteiro. |
xlatedst |
event.idm.read_only_udm.target.nat_ip |
Mapeado diretamente do campo xlatedst . |
xlatesport |
event.idm.read_only_udm.principal.nat_port |
Mapeado diretamente do campo xlatesport , convertido em um número inteiro. |
xlatesrc |
event.idm.read_only_udm.principal.nat_ip |
Mapeado diretamente do campo xlatesrc . |
event.idm.read_only_udm.metadata.vendor_name |
Check Point |
Valor codificado. |
event.idm.read_only_udm.metadata.log_type |
CHECKPOINT_FIREWALL |
Valor codificado. |
event.idm.read_only_udm.security_result.rule_type |
Firewall Rule |
Valor padrão, a menos que seja substituído por uma lógica específica. |
event.idm.is_alert |
true |
Defina como verdadeiro se o campo alert for "sim". |
has_principal |
true |
É definido como verdadeiro quando o IP principal ou o nome do host é extraído. |
has_target |
true |
É definido como verdadeiro quando o IP ou o nome de host de destino é extraído. |
Alterações
2024-05-29
- Mapeamos "layer_uuid_rule_uuid" para "security_result.rule_id".
- O "domain" foi mapeado para "principal.administrative_domain".
- "Fservice", "appi_name", "app_risk" e "policy_name" foram mapeados para "security_result.detection_fields".
- "Packets", "__id", "dedup_time", "browse_time", "bytes", "product_family", "hll_key" e "calc_service" foram mapeados para "additional.fields".
- O "id" foi mapeado para "metadata.product_log_id".
- "orig_log_server" foi associado a "principal.resource.product_object_id".
- "environment_id" foi mapeado para "target.resource.product_object_id".
- "client_outbound_packets" e "client_inbound_packets" foram mapeados para "principal.resource.attribute.labels".
- "server_outbound_bytes" e "server_inbound_bytes" foram mapeados para "target.resource.attribute.labels".
- "Orig" foi mapeado para "principal.hostname" e "principal.asset.hostname".
- "orig_log_server_ip" foi associado a "principal.ip" e "principal.asset.ip".
- "Proto" foi mapeado para "network.ip_protocol".
2024-05-20
- Um padrão Grok foi adicionado para extrair "inter_host".
- "inter_host" foi mapeado para "intermediary.hostname".
2024-04-19
- Melhorias e correções de bugs:
- "origin" foi mapeado para "target.ip" e "target.asset.ip".
- Foram adicionados novos padrões Grok para analisar o novo formato de registros SYSLOG.
- Mapeamos "smartdefense_profile", "malware_rule_id" e "malware_rule_name" para "security_result.detection_fields".
- Mapeou "sequencenum", "description_url", "industry_reference", "mitre_execution", "packet_capture_name", "packet_capture_unique_id", "packet_capture_time" e "performance_impact" para "additional.fields".
- "version" foi mapeada para "metadata.product_version".
- "http_host" foi associado a "target.resource.attribute.labels".
- "log_id" foi mapeado para "metadata.product_log_id".
- Mapeamos "user_agent" para "network.http.user_agent" e "http.parsed_user_agent".
- Mapeamos "hostname", "dvc" e "principal_hostname" para "target.hostname" e "target.asset.hostname".
- Se "has_principal" for "true", "has_target" for "true" e "Action"/"action" for "Log In" ou "Failed Log In" ou "Failed Login" ou "Update", defina "metadata.event_type" como "USER_LOGIN" e "extensions.auth.type" como "AUTHTYPE_UNSPECIFIED".
- Se "has_principal" for "true", "has_target" for "true" e "Action"/"act"/"event_type" for "Log Out" ou "Logout", defina "metadata.event_type" como "USER_LOGOUT" e "extensions.auth.type" como "AUTHTYPE_UNSPECIFIED".
- Se "has_principal" for "true" e "has_target" for "true", defina "metadata.event_type" como "NETWORK_CONNECTION".
- Se "has_principal" for "true" e "has_target" for "false", defina "metadata.event_type" como "STATUS_UPDATE".
2024-02-07
- Mapeamento adicionado para os seguintes campos:
- "protection_id", "malware_action", "malware_family,protection_name" e "protection_type" foram mapeados para "security_result.detection_fields".
- "confidence_level" foi associado a "security_result.confidence" e "security_result.confidence_details".
2024-02-05
- Mapeamento adicionado para os seguintes campos:
- O "method" foi mapeado para "network.http.method".
2024-01-24
- Mapeamento adicionado para os seguintes campos:
- O "method" foi mapeado para "network.http.method".
- "duration" foi mapeado para "network.session_duration.seconds".
- "additional_info" foi associado a "security_result.description".
- Mapeamos "operation" para "security_result.summary".
- O "sujeito" foi mapeado para "metadata.description".
- "principal_hostname" foi mapeado para "intermediary.hostname".
- Mapeou "tcp_packet_out_of_state", "aggregated_log_count", "connection_count", "appi_name", "src_user_dn",
- "update_count", "additional_info", "administrator", "operation", "sendtotrackerasadvancedauditlog",
- "subject", "fieldschanges", "logic_changes", "objecttype", "session_description",
- "session_name" para "security_result.detection_fields".
2023-12-27
- Mapeamento adicionado para os seguintes campos:
- As "flags" foram mapeadas para "security_result.detection_fields".
- "tcp_flags" foi mapeado para "security_result.detection_fields".
- "tcp_packet_out_of_state" foi mapeado para "security_result.detection_fields".
2023-12-11
- Se "principal_hostname" for um IP válido, mapeie-o para "principal.ip".
- Se "principal_hostname" não for um IP válido, mapeie-o para "principal.hostname".
- "sport_svc" foi associado a "principal.port".
- Mapeamos "ProductFamily" para "additional.fields".
- "mitre_initial_access" foi associado a "security_result.detection_fields".
- "policy_time" foi associado a "security_result.detection_fields".
- O "profile" foi mapeado para "security_result.detection_fields".
- "reject_id_kid" foi mapeado para "security_result.detection_fields".
- Mapeamos "ser_agent_kid" para "security_result.detection_fields".
2023-10-11
- Se "product" for "New Anti Virus", o mapeamento de "firewall management node" para "principal.hostname" será removido e mapeado para "security_result.detection_fields".
2023-07-06
- Mapeamento adicionado para os seguintes campos:
- "app_category" foi associado a "security_result.category_details".
- "matched_category" foi associado a "security_result.detection_fields".
- "app_properties" foi mapeado para "security_result.detection_fields".
2023-06-14
- Mapeamento adicionado para os seguintes campos
- Mapeamos "conn_direction" para "additional.fields".
- O gsub foi modificado para não substituir o ":" por "=" dos valores reais.
2023-05-12
- Mapeamento adicionado para os seguintes campos
- "rule_name" foi mapeado para "security_result.rule_name".
- "rule","sub_policy_name","sub_policy_uid","smartdefense_profile","tags","flexString2" foram mapeados para "security_result.detection_fields".
- Novo padrão Grok adicionado para oferecer suporte aos novos formatos de registro.
- "dvc" foi mapeado para "intermediary.hostname".
- "hostname" foi mapeado para "intermediary.hostname".
- "origin_sic_name" foi mapeado para "intermediary.asset_id".
- "Conn_direction" foi mapeado para "network.ip_protocol".
- "ifname" foi mapeado para "security_result.detection_fields".
- "security_inzone" foi mapeado para "security_result.detection_fields".
- "match_id" foi mapeado para "security_result.detection_fields".
- "parent_rule" foi mapeado para "security_result.detection_fields".
- "security_outzone" foi mapeado para "security_result.detection_fields".
- "sub_policy_name" foi mapeado para "security_result.detection_fields".
- "sub_policy_uid" foi associado a "security_result.detection_fields".
- "drop_reason" foi mapeado para "security_result.summary".
- O "reason" foi mapeado para "security_result.summary".
- "Xlatesport" foi mapeado para "principal.nat_port".
- "Xlatedport" foi mapeado para "target.nat_port".
- "ipv6_dst" foi mapeado para "target.ip".
- "ipv6_src" foi mapeado para "principal.ip".
2023-04-24
- Adição de suporte a registros com formato CEF.
2022-11-18
- O mapeamento de "service" foi modificado e mapeado para "target.port".
2022-10-27
- Adição de uma verificação condicional para "attack","attack_info" e "policy_name".
- O padrão grok foi adicionado para extrair "principal_hostname".
- Adição de gsub para mudar "=" para ":".
- O mapeamento de "service" foi modificado para "target.resource.attribute.labels".
2022-10-13
- O campo "fw_subproduct" foi associado a "metadata.product_name".
- O padrão grok foi adicionado para extrair o IP do campo "src".
2022-08-30
- As mudanças de versões específicas do cliente foram mescladas para o padrão.
- Os registros que contêm "*****" foram removidos do UserCheck.
2022-08-18
- "portal_message" foi associado a "security_result.description".
- "security_result.category" foi mapeado como "SOFTWARE_MALICIOUS" caso "portal_message" contenha as palavras-chave "malware/malicious".
- "URL" foi associado a "security_result.about.url".
- "Atividade" foi mapeada para "security_result.summary".
- "Reference" foi associado a "security_result.about.resource.attribute.labels".
- "event_type" foi modificado de "GENERIC_EVENT" para "STATUS_UPDATE", replicando o valor de "intermediary.ip" para "principal.ip".
2022-08-12
- "malware_action", "malware_family,protection_name" e "protection_type" foram mapeados para "security_result.about.resource.attribute.labels".
- Mapeamos "src_machine_name" para "security_result.detection_fields".
2022-06-30
- "message_info" foi mapeado para "metadata.description".
2022-06-17
- Foram adicionadas verificações condicionais para os campos "nat_rulenum", "rule", "sent_bytes", "received_bytes", "s_port" e "service".
- Modificado event_types para os seguintes casos:
- "GENERIC_EVENT" para "NETWORK_CONNECTION", em que "principal.ip ou principal.hostname" e "target.ip ou target.hostname" não são nulos.
- "GENERIC_EVENT" para "STATUS_UNCATEGORIZED", em que "principal.ip ou principal.hostname" não é nulo.
2022-06-14
- O analisador foi modificado para analisar mais registros removendo a verificação de condição para passwd.
2022-06-07
- O src_machine_name foi associado a security_result.detection_fields.
2022-05-19
- Mapeou inzone, outzone, layer_name, layer_uuid e policy_name para security_result.detection_fields.
- O service_id foi mapeado para principal.application.