Esta página foi traduzida pela API Cloud Translation.

Coletar registros de firewall do Check Point

Compatível com:

Google SecOps SIEM

Esse analisador extrai registros de firewall do Check Point. Ele processa mensagens formatadas CEF e não CEF, incluindo syslog, pares de chave-valor e JSON. Ele normaliza os campos, os mapeia para o UDM e executa uma lógica específica para login/saída, conexões de rede e eventos de segurança. Ele enriquece os dados com informações contextuais, como geolocalização e informações sobre ameaças.

Antes de começar

Verifique se você tem uma instância do Google Security Operations.
Verifique se você está usando o Windows 2016 ou uma versão mais recente ou um host Linux com systemd.
Se estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas.
Verifique se você tem acesso privilegiado a um firewall Check Point.

Receber o arquivo de autenticação de ingestão do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Agentes de coleta.
Faça o download do arquivo de autenticação de transferência.

Receber o ID de cliente do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Perfil.
Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do Bindplane

Para a instalação do Windows, execute o seguinte script:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Para a instalação do Linux, execute o seguinte script:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Outras opções de instalação podem ser encontradas neste guia de instalação.

Configurar o agente do Bindplane para processar o Syslog e enviar ao Google SecOps

Acesse a máquina em que o Bindplane está instalado.

Edite o arquivo config.yaml da seguinte forma:

receivers:
    udplog:
        # Replace the below port <54525> and IP <0.0.0.0> with your specific values
        listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: Checkpoint_Firewall
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Reinicie o agente do Bindplane para aplicar as mudanças:
```
sudo systemctl restart bindplane
```

Configurar a exportação de Syslog em um firewall Check Point

Faça login na interface da firewall do Check Point usando uma conta privilegiada.
Acesse Logs e monitoramento > Servidores de registro.
Navegue até Servidores Syslog.
Clique em Configurar e defina os seguintes valores:
- Protocolo: selecione UDP para enviar registros de segurança e/ou do sistema.
- Nome: forneça um nome exclusivo (por exemplo, Bindplane_Server).
- Endereço IP: informe o endereço IP do servidor de syslog (IP do Bindplane).
- Porta: informe a porta do servidor syslog (porta Bindplane).
Selecione Ativar o servidor de registro.
Selecione os registros a serem encaminhados: Registros do sistema e de segurança.
Clique em Aplicar.

Tabela de mapeamento do UDM

Campo de registro	Mapeamento do UDM	Lógica
`Action`	`event.idm.read_only_udm.security_result.action_details`	Mapeado diretamente do campo `Action`.
`Activity`	`event.idm.read_only_udm.security_result.summary`	Mapeado diretamente do campo `Activity`.
`additional_info`	`event.idm.read_only_udm.security_result.description`	Mapeado diretamente do campo `additional_info`.
`administrator`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `administrator`. A chave é "administrator".
`aggregated_log_count`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `aggregated_log_count`. A chave é "aggregated_log_count".
`appi_name`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `appi_name`. A chave é "appi_name".
`app_category`	`event.idm.read_only_udm.security_result.category_details`	Mapeado diretamente do campo `app_category`.
`app_properties`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `app_properties`. A chave é "app_properties".
`app_risk`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `app_risk`. A chave é "app_risk".
`app_session_id`	`event.idm.read_only_udm.network.session_id`	Mapeado diretamente do campo `app_session_id`, convertido em uma string.
`attack`	`event.idm.read_only_udm.security_result.summary`	Mapeado diretamente do campo `attack` quando `Info` está presente.
`attack`	`event.idm.read_only_udm.security_result.threat_name`	Mapeado diretamente do campo `attack` quando `Info` está presente.
`attack_info`	`event.idm.read_only_udm.security_result.description`	Mapeado diretamente do campo `attack_info`.
`auth_status`	`event.idm.read_only_udm.security_result.summary`	Mapeado diretamente do campo `auth_status`.
`browse_time`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mapeado diretamente do campo `browse_time`. A chave é "browse_time".
`bytes`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mapeado diretamente do campo `bytes`. A chave é "bytes".
`bytes`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mapeado diretamente do campo `bytes`. A chave é "bytes".
`calc_service`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mapeado diretamente do campo `calc_service`. A chave é "calc_service".
`category`	`event.idm.read_only_udm.security_result.category_details`	Mapeado diretamente do campo `category`.
`client_version`	`event.idm.read_only_udm.intermediary.platform_version`	Mapeado diretamente do campo `client_version`.
`conn_direction`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mapeado diretamente do campo `conn_direction`. A chave é "conn_direction".
`conn_direction`	`event.idm.read_only_udm.network.direction`	Se `conn_direction` for "Entrada", será mapeado para "INBOUND". Caso contrário, é mapeado como "SAÍDA".
`connection_count`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `connection_count`. A chave é "connection_count".
`contract_name`	`event.idm.read_only_udm.security_result.description`	Mapeado diretamente do campo `contract_name`.
`cs2`	`event.idm.read_only_udm.security_result.rule_name`	Mapeado diretamente do campo `cs2`.
`date_time`	`event.idm.read_only_udm.metadata.event_timestamp`	Analisado e convertido em um carimbo de data/hora usando vários formatos de data.
`dedup_time`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mapeado diretamente do campo `dedup_time`. A chave é "dedup_time".
`desc`	`event.idm.read_only_udm.security_result.summary`	Mapeado diretamente do campo `desc`.
`description`	`event.idm.read_only_udm.security_result.description`	Mapeado diretamente do campo `description`.
`description_url`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mapeado diretamente do campo `description_url`. A chave é "description_url".
`destinationAddress`	`event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`	Mapeado diretamente do campo `destinationAddress`.
`destinationPort`	`event.idm.read_only_udm.target.port`	Mapeado diretamente do campo `destinationPort`, convertido em um número inteiro.
`destinationTranslatedAddress`	`event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`	Mapeado diretamente do campo `destinationTranslatedAddress`.
`destinationTranslatedAddress`	`event.idm.read_only_udm.target.nat_ip`	Mapeado diretamente do campo `destinationTranslatedAddress`.
`destinationTranslatedPort`	`event.idm.read_only_udm.target.port`	Mapeado diretamente do campo `destinationTranslatedPort`, convertido em um número inteiro.
`destinationTranslatedPort`	`event.idm.read_only_udm.target.nat_port`	Mapeado diretamente do campo `destinationTranslatedPort`, convertido em um número inteiro.
`deviceCustomString2`	`event.idm.read_only_udm.security_result.rule_name`	Mapeado diretamente do campo `deviceCustomString2`.
`deviceDirection`	`event.idm.read_only_udm.network.direction`	Se `deviceDirection` for 0, será mapeado para "SAÍDA". Se 1, é mapeado para "INBOUND".
`domain`	`event.idm.read_only_udm.principal.administrative_domain`	Mapeado diretamente do campo `domain`.
`domain_name`	`event.idm.read_only_udm.principal.administrative_domain`	Mapeado diretamente do campo `domain_name`.
`drop_reason`	`event.idm.read_only_udm.security_result.summary`	Mapeado diretamente do campo `drop_reason`.
`ds`	`event.idm.read_only_udm.metadata.event_timestamp`	Usado com `ts` e `tz` para criar o carimbo de data/hora do evento.
`dst`	`event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`	Mapeado diretamente do campo `dst`.
`dst_country`	`event.idm.read_only_udm.target.location.country_or_region`	Mapeado diretamente do campo `dst_country`.
`dst_ip`	`event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`	Mapeado diretamente do campo `dst_ip`.
`dpt`	`event.idm.read_only_udm.target.port`	Mapeado diretamente do campo `dpt`, convertido em um número inteiro.
`duration`	`event.idm.read_only_udm.network.session_duration.seconds`	Mapeado diretamente do campo `duration`, convertido em um número inteiro, se for maior que 0.
`duser`	`event.idm.read_only_udm.target.user.email_addresses`, `event.idm.read_only_udm.target.user.user_display_name`	Mapeado diretamente do campo `duser` se ele corresponder a um formato de endereço de e-mail.
`environment_id`	`event.idm.read_only_udm.target.resource.product_object_id`	Mapeado diretamente do campo `environment_id`.
`event_type`	`event.idm.read_only_udm.metadata.event_type`	Determinado pela lógica com base na presença de determinados campos e valores. O padrão é `GENERIC_EVENT` se nenhum tipo de evento específico for identificado. Pode ser `NETWORK_CONNECTION`, `USER_LOGIN`, `USER_CHANGE_PASSWORD`, `USER_LOGOUT`, `NETWORK_HTTP` ou `STATUS_UPDATE`.
`fieldschanges`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `fieldschanges`. A chave é "fieldschanges".
`flags`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `flags`. A chave é "flags".
`flexString2`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `flexString2`. A chave é o valor de `flexString2Label`.
`from_user`	`event.idm.read_only_udm.principal.user.userid`	Mapeado diretamente do campo `from_user`.
`fservice`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `fservice`. A chave é "fservice".
`fw_subproduct`	`event.idm.read_only_udm.metadata.product_name`	Mapeado diretamente do campo `fw_subproduct` quando `product` está vazio.
`geoip_dst.country_name`	`event.idm.read_only_udm.target.location.country_or_region`	Mapeado diretamente do campo `geoip_dst.country_name`.
`hll_key`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mapeado diretamente do campo `hll_key`. A chave é "hll_key".
`hostname`	`event.idm.read_only_udm.target.hostname`, `event.idm.read_only_udm.target.asset.hostname`, `event.idm.read_only_udm.intermediary.hostname`	Mapeado diretamente do campo `hostname` quando `inter_host` está vazio.
`http_host`	`event.idm.read_only_udm.target.resource.attribute.labels[].value`	Mapeado diretamente do campo `http_host`. A chave é "http_host".
`id`	`event.idm.read_only_udm.metadata.product_log_id`	Mapeado diretamente do campo `_id`.
`identity_src`	`event.idm.read_only_udm.target.application`	Mapeado diretamente do campo `identity_src`.
`identity_type`	`event.idm.read_only_udm.extensions.auth.type`	Se `identity_type` for "user", será mapeado para "VPN". Caso contrário, é mapeado como "MACHINE".
`if_direction`	`event.idm.read_only_udm.network.direction`	Mapeado diretamente do campo `if_direction`, convertido em letras maiúsculas.
`ifdir`	`event.idm.read_only_udm.network.direction`	Mapeado diretamente do campo `ifdir`, convertido em letras maiúsculas.
`ifname`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `ifname`. A chave é "ifname".
`IKE`	`event.idm.read_only_udm.metadata.description`	Mapeado diretamente do campo `IKE`.
`inzone`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `inzone`. A chave é "inzone".
`industry_reference`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mapeado diretamente do campo `industry_reference`. A chave é "industry_reference".
`instance_id`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Mapeado diretamente do campo `instance_id`.
`inter_host`	`event.idm.read_only_udm.intermediary.hostname`	Mapeado diretamente do campo `inter_host`.
`ip_proto`	`event.idm.read_only_udm.network.ip_protocol`	Determinado com base no campo `proto` ou `service`. Pode ser TCP, UDP, ICMP, IP6IN4 ou GRE.
`ipv6_dst`	`event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`	Mapeado diretamente do campo `ipv6_dst`.
`ipv6_src`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Mapeado diretamente do campo `ipv6_src`.
`layer_name`	`event.idm.read_only_udm.security_result.rule_set_display_name`, `event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `layer_name`. A chave é "layer_name".
`layer_uuid`	`event.idm.read_only_udm.security_result.rule_set`, `event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `layer_uuid` após a remoção de colchetes. A chave é "layer_uuid".
`layer_uuid_rule_uuid`	`event.idm.read_only_udm.security_result.rule_id`	Mapeado diretamente do campo `layer_uuid_rule_uuid` após a remoção de colchetes e aspas.
`log_id`	`event.idm.read_only_udm.metadata.product_log_id`	Mapeado diretamente do campo `log_id`.
`log_type`	`event.idm.read_only_udm.metadata.log_type`	Mapeado diretamente do campo `log_type`. Fixado em "CHECKPOINT_FIREWALL".
`loguid`	`event.idm.read_only_udm.metadata.product_log_id`	Mapeado diretamente do campo `loguid` após a remoção de colchetes.
`logic_changes`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `logic_changes`. A chave é "logic_changes".
`localhost`	`event.idm.read_only_udm.target.hostname`, `event.idm.read_only_udm.target.asset.hostname`	Mapeado diretamente do campo `localhost`. `dst_ip` está definido como "127.0.0.1".
`malware_action`	`event.idm.read_only_udm.security_result.detection_fields[].value`, `event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value`	Mapeado diretamente do campo `malware_action`. A chave é "malware_action".
`malware_family`	`event.idm.read_only_udm.security_result.detection_fields[].value`, `event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value`	Mapeado diretamente do campo `malware_family`. A chave é "malware_family".
`malware_rule_id`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `malware_rule_id` após a remoção de colchetes. A chave é "ID da regra de malware".
`malware_rule_name`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `malware_rule_name`. A chave é "Nome da regra de malware".
`match_id`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `match_id`. A chave é "match_id".
`matched_category`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `matched_category`. A chave é "matched_category".
`message_info`	`event.idm.read_only_udm.metadata.description`	Mapeado diretamente do campo `message_info`.
`method`	`event.idm.read_only_udm.network.http.method`	Mapeado diretamente do campo `method`.
`mitre_execution`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mapeado diretamente do campo `mitre_execution`. A chave é "mitre_execution".
`mitre_initial_access`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `mitre_initial_access`. A chave é "mitre_initial_access".
`nat_rulenum`	`event.idm.read_only_udm.security_result.rule_id`	Mapeado diretamente do campo `nat_rulenum`, convertido em uma string.
`objecttype`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `objecttype`. A chave é "objecttype".
`operation`	`event.idm.read_only_udm.security_result.summary`	Mapeado diretamente do campo `operation`.
`operation`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `operation`. A chave é "operation".
`orig`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Mapeado diretamente do campo `orig`.
`origin`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`, `event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`, `event.idm.read_only_udm.intermediary.ip`	Mapeado diretamente do campo `origin`.
`origin_sic_name`	`event.idm.read_only_udm.intermediary.asset_id`, `event.idm.read_only_udm.intermediary.labels[].value`	Mapeado diretamente do campo `origin_sic_name`. A chave é "Machine SIC". O ID do recurso tem o prefixo "asset:".
`originsicname`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mapeado diretamente do campo `originsicname`. A chave é "originsicname".
`originsicname`	`event.idm.read_only_udm.intermediary.asset_id`, `event.idm.read_only_udm.intermediary.labels[].value`	Mapeado diretamente do campo `originsicname`. A chave é "Machine SIC". O ID do recurso tem o prefixo "asset:".
`os_name`	`event.idm.read_only_udm.principal.asset.platform_software.platform`	Se `os_name` contém "Win", ele é mapeado para "WINDOWS". Se ele contiver "MAC" ou "IOS", será mapeado como "MAC". Se ele contiver "LINUX", será mapeado para "LINUX".
`os_version`	`event.idm.read_only_udm.principal.asset.platform_software.platform_patch_level`	Mapeado diretamente do campo `os_version`.
`outzone`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `outzone`. A chave é "outzone".
`packets`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mapeado diretamente do campo `packets`. A chave é "packets".
`packet_capture_name`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mapeado diretamente do campo `packet_capture_name`. A chave é "packet_capture_name".
`packet_capture_time`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mapeado diretamente do campo `packet_capture_time`. A chave é "packet_capture_time".
`packet_capture_unique_id`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mapeado diretamente do campo `packet_capture_unique_id`. A chave é "packet_capture_unique_id".
`parent_rule`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `parent_rule`. A chave é "parent_rule".
`performance_impact`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mapeado diretamente do campo `performance_impact`. A chave é "performance_impact".
`policy_name`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Extraídos do campo `__policy_id_tag` usando grok e mapeados. A chave é "Nome da política".
`policy_time`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `policy_time`. A chave é "policy_time".
`portal_message`	`event.idm.read_only_udm.security_result.description`	Mapeado diretamente do campo `portal_message`.
`principal_hostname`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Mapeado diretamente do campo `principal_hostname` se for um endereço IP válido.
`principal_hostname`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Mapeado diretamente do campo `principal_hostname` se não for um endereço IP válido nem "Checkpoint".
`prod_family_label`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mapeado diretamente do campo `ProductFamily`. A chave é "ProductFamily".
`product`	`event.idm.read_only_udm.metadata.product_name`	Mapeado diretamente do campo `product`.
`product_family`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mapeado diretamente do campo `product_family`. A chave é "product_family".
`product_family`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mapeado diretamente do campo `product_family`. A chave é "product_family".
`ProductName`	`event.idm.read_only_udm.metadata.product_name`	Mapeado diretamente do campo `ProductName` quando `product` está vazio.
`product_name`	`event.idm.read_only_udm.metadata.product_name`	Mapeado diretamente do campo `product_name`.
`profile`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `profile`. A chave é "profile".
`protocol`	`event.idm.read_only_udm.network.application_protocol`	Mapeado diretamente do campo `protocol` se ele for "HTTP".
`proxy_src_ip`	`event.idm.read_only_udm.principal.nat_ip`	Mapeado diretamente do campo `proxy_src_ip`.
`reason`	`event.idm.read_only_udm.security_result.summary`	Mapeado diretamente do campo `reason`.
`received_bytes`	`event.idm.read_only_udm.network.received_bytes`	Mapeado diretamente do campo `received_bytes`, convertido em um número inteiro não assinado.
`Reference`	`event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value`, `event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `Reference`. A chave é "Referência". Usada para construir `_vuln.name` com `attack`.
`reject_id_kid`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `reject_id_kid`. A chave é "reject_id_kid".
`resource`	`event.idm.read_only_udm.target.url`	Analisado como JSON e mapeado para o URL de destino. Se a análise falhar, ela será mapeada diretamente.
`resource`	`event.idm.read_only_udm.additional.fields[].value.list_value.values[].string_value`	Analisado como JSON, e cada valor na matriz `resource` é adicionado à lista. A chave é "Recurso".
`result`	`event.idm.read_only_udm.metadata.event_timestamp`	Analisado com `date_time` para criar o carimbo de data/hora do evento.
`rt`	`event.idm.read_only_udm.metadata.event_timestamp`	Analisado como milissegundos desde a época e convertido em um carimbo de data/hora.
`rule`	`event.idm.read_only_udm.security_result.rule_name`	Mapeado diretamente do campo `rule`.
`rule_action`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `rule_action`. A chave é "rule_action".
`rule_name`	`event.idm.read_only_udm.security_result.rule_name`	Mapeado diretamente do campo `rule_name`.
`rule_uid`	`event.idm.read_only_udm.security_result.rule_id`	Mapeado diretamente do campo `rule_uid`.
`s_port`	`event.idm.read_only_udm.principal.port`	Mapeado diretamente do campo `s_port`, convertido em um número inteiro.
`scheme`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mapeado diretamente do campo `scheme`. A chave é "scheme".
`security_inzone`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `security_inzone`. A chave é "security_inzone".
`security_outzone`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `security_outzone`. A chave é "security_outzone".
`security_result_action`	`event.idm.read_only_udm.security_result.action`	Mapeado diretamente do campo `security_result_action`.
`sendtotrackerasadvancedauditlog`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `sendtotrackerasadvancedauditlog`. A chave é "sendtotrackerasadvancedauditlog".
`sent_bytes`	`event.idm.read_only_udm.network.sent_bytes`	Mapeado diretamente do campo `sent_bytes`, convertido em um número inteiro não assinado.
`sequencenum`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mapeado diretamente do campo `sequencenum`. A chave é "sequencenum".
`ser_agent_kid`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `ser_agent_kid`. A chave é "ser_agent_kid".
`service`	`event.idm.read_only_udm.target.port`	Mapeado diretamente do campo `service`, convertido em um número inteiro.
`service_id`	`event.idm.read_only_udm.network.application_protocol`	Mapeado diretamente do campo `service_id` se for "dhcp", "dns", "http", "https" ou "quic", convertido em letras maiúsculas.
`service_id`	`event.idm.read_only_udm.principal.application`	Mapeado diretamente do campo `service_id` se não for um dos protocolos de aplicativo de rede.
`service_id`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `service_id`. A chave é "service_id".
`session_description`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `session_description`. A chave é "session_description".
`session_id`	`event.idm.read_only_udm.network.session_id`	Mapeado diretamente do campo `session_id` após a remoção de colchetes.
`session_name`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `session_name`. A chave é "session_name".
`session_uid`	`event.idm.read_only_udm.network.session_id`	Mapeado diretamente do campo `session_uid` após a remoção de colchetes.
`Severity`	`event.idm.read_only_udm.security_result.severity`	Mapeado para "LOW", "MEDIUM", "HIGH" ou "CRITICAL" com base no valor de `Severity`.
`severity`	`event.idm.read_only_udm.security_result.severity`	Mapeado para "LOW", "MEDIUM", "HIGH" ou "CRITICAL" com base no valor de `severity`.
`site`	`event.idm.read_only_udm.network.http.user_agent`	Mapeado diretamente do campo `site`.
`smartdefense_profile`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `smartdefense_profile`. A chave é "smartdefense_profile".
`snid`	`event.idm.read_only_udm.network.session_id`	Mapeado diretamente do campo `snid` se ele não estiver vazio ou "0".
`sourceAddress`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Mapeado diretamente do campo `sourceAddress`.
`sourcePort`	`event.idm.read_only_udm.principal.port`	Mapeado diretamente do campo `sourcePort`, convertido em um número inteiro.
`sourceTranslatedAddress`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Mapeado diretamente do campo `sourceTranslatedAddress`.
`sourceTranslatedAddress`	`event.idm.read_only_udm.principal.nat_ip`	Mapeado diretamente do campo `sourceTranslatedAddress`.
`sourceTranslatedPort`	`event.idm.read_only_udm.principal.port`	Mapeado diretamente do campo `sourceTranslatedPort`, convertido em um número inteiro.
`sourceTranslatedPort`	`event.idm.read_only_udm.principal.nat_port`	Mapeado diretamente do campo `sourceTranslatedPort`, convertido em um número inteiro.
`sourceUserName`	`event.idm.read_only_udm.principal.user.userid`, `event.idm.read_only_udm.principal.user.first_name`, `event.idm.read_only_udm.principal.user.last_name`	Analisado usando grok para extrair o ID do usuário, o primeiro nome e o sobrenome.
`spt`	`event.idm.read_only_udm.principal.port`	Mapeado diretamente do campo `spt`, convertido em um número inteiro.
`src`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Mapeado diretamente do campo `src`.
`src_ip`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Mapeado diretamente do campo `src_ip`.
`src_localhost`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Mapeado diretamente do campo `src_localhost`. `src_ip` está definido como "127.0.0.1".
`src_machine_name`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `src_machine_name`. A chave é "src_machine_name".
`src_port`	`event.idm.read_only_udm.principal.port`	Mapeado diretamente do campo `src_port`, convertido em um número inteiro.
`src_user`	`event.idm.read_only_udm.principal.user.userid`	Mapeado diretamente do campo `src_user`.
`src_user_dn`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `src_user_dn`. A chave é "src_user_dn".
`src_user_name`	`event.idm.read_only_udm.principal.user.userid`	Mapeado diretamente do campo `src_user_name`.
`sub_policy_name`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `sub_policy_name`. A chave é "sub_policy_name".
`sub_policy_uid`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `sub_policy_uid`. A chave é "sub_policy_uid".
`subject`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `subject`. A chave é "assunto".
`subscription_stat_desc`	`event.idm.read_only_udm.security_result.summary`	Mapeado diretamente do campo `subscription_stat_desc`.
`tags`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `tags`. A chave é "tags".
`tar_user`	`event.idm.read_only_udm.target.user.userid`	Mapeado diretamente do campo `tar_user`.
`target_port`	`event.idm.read_only_udm.target.port`	Mapeado diretamente do campo `target_port`.
`tcp_flags`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `tcp_flags`. A chave é "tcp_flags".
`tcp_packet_out_of_state`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `tcp_packet_out_of_state`. A chave é "tcp_packet_out_of_state".
`time`	`event.idm.read_only_udm.metadata.event_timestamp`	Analisado e convertido em um carimbo de data/hora usando vários formatos de data.
`ts`	`event.idm.read_only_udm.metadata.event_timestamp`	Analisado com `ds` e `tz` para criar o carimbo de data/hora do evento.
`type`	`event.idm.read_only_udm.security_result.rule_type`	Mapeado diretamente do campo `type`.
`tz`	`event.idm.read_only_udm.metadata.event_timestamp`	Usado com `ds` e `ts` para construir o carimbo de data/hora do evento.
`update_count`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `update_count`. A chave é "update_count".
`URL`	`event.idm.read_only_udm.security_result.about.url`	Mapeado diretamente do campo `URL`.
`user`	`event.idm.read_only_udm.principal.user.userid`	Mapeado diretamente do campo `user`.
`user_agent`	`event.idm.read_only_udm.network.http.user_agent`	Mapeado diretamente do campo `user_agent`. Também analisado e mapeado para `event.idm.read_only_udm.network.http.parsed_user_agent`.
`userip`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Mapeado diretamente do campo `userip` se for um endereço IP válido.
`UUid`	`event.idm.read_only_udm.metadata.product_log_id`	Mapeado diretamente do campo `UUid` após a remoção de colchetes.
`version`	`event.idm.read_only_udm.metadata.product_version`	Mapeado diretamente do campo `version`.
`web_client_type`	`event.idm.read_only_udm.network.http.user_agent`	Mapeado diretamente do campo `web_client_type`.
`xlatedport`	`event.idm.read_only_udm.target.nat_port`	Mapeado diretamente do campo `xlatedport`, convertido em um número inteiro.
`xlatedst`	`event.idm.read_only_udm.target.nat_ip`	Mapeado diretamente do campo `xlatedst`.
`xlatesport`	`event.idm.read_only_udm.principal.nat_port`	Mapeado diretamente do campo `xlatesport`, convertido em um número inteiro.
`xlatesrc`	`event.idm.read_only_udm.principal.nat_ip`	Mapeado diretamente do campo `xlatesrc`.
`event.idm.read_only_udm.metadata.vendor_name`	`Check Point`	Valor codificado.
`event.idm.read_only_udm.metadata.log_type`	`CHECKPOINT_FIREWALL`	Valor codificado.
`event.idm.read_only_udm.security_result.rule_type`	`Firewall Rule`	Valor padrão, a menos que seja substituído por uma lógica específica.
`event.idm.is_alert`	`true`	Defina como verdadeiro se o campo `alert` for "sim".
`has_principal`	`true`	É definido como verdadeiro quando o IP principal ou o nome do host é extraído.
`has_target`	`true`	É definido como verdadeiro quando o IP ou o nome de host de destino é extraído.

Alterações

2024-05-29

Mapeamos "layer_uuid_rule_uuid" para "security_result.rule_id".
O "domain" foi mapeado para "principal.administrative_domain".
"Fservice", "appi_name", "app_risk" e "policy_name" foram mapeados para "security_result.detection_fields".
"Packets", "__id", "dedup_time", "browse_time", "bytes", "product_family", "hll_key" e "calc_service" foram mapeados para "additional.fields".
O "id" foi mapeado para "metadata.product_log_id".
"orig_log_server" foi associado a "principal.resource.product_object_id".
"environment_id" foi mapeado para "target.resource.product_object_id".
"client_outbound_packets" e "client_inbound_packets" foram mapeados para "principal.resource.attribute.labels".
"server_outbound_bytes" e "server_inbound_bytes" foram mapeados para "target.resource.attribute.labels".
"Orig" foi mapeado para "principal.hostname" e "principal.asset.hostname".
"orig_log_server_ip" foi associado a "principal.ip" e "principal.asset.ip".
"Proto" foi mapeado para "network.ip_protocol".

2024-05-20

Um padrão Grok foi adicionado para extrair "inter_host".
"inter_host" foi mapeado para "intermediary.hostname".

2024-04-19

Melhorias e correções de bugs:
"origin" foi mapeado para "target.ip" e "target.asset.ip".
Foram adicionados novos padrões Grok para analisar o novo formato de registros SYSLOG.
Mapeamos "smartdefense_profile", "malware_rule_id" e "malware_rule_name" para "security_result.detection_fields".
Mapeou "sequencenum", "description_url", "industry_reference", "mitre_execution", "packet_capture_name", "packet_capture_unique_id", "packet_capture_time" e "performance_impact" para "additional.fields".
"version" foi mapeada para "metadata.product_version".
Mapeou "http_host" para "target.resource.attribute.labels".
"log_id" foi mapeado para "metadata.product_log_id".
Mapeamos "user_agent" para "network.http.user_agent" e "http.parsed_user_agent".
Mapeamos "hostname", "dvc" e "principal_hostname" para "target.hostname" e "target.asset.hostname".
Se "has_principal" for "true", "has_target" for "true" e "Action"/"action" for "Log In" ou "Failed Log In" ou "Failed Login" ou "Update", defina "metadata.event_type" como "USER_LOGIN" e "extensions.auth.type" como "AUTHTYPE_UNSPECIFIED".
Se "has_principal" for "true", "has_target" for "true" e "Action"/"act"/"event_type" for "Log Out" ou "Logout", defina "metadata.event_type" como "USER_LOGOUT" e "extensions.auth.type" como "AUTHTYPE_UNSPECIFIED".
Se "has_principal" for "true" e "has_target" for "true", defina "metadata.event_type" como "NETWORK_CONNECTION".
Se "has_principal" for "true" e "has_target" for "false", defina "metadata.event_type" como "STATUS_UPDATE".

2024-02-07

Mapeamento adicionado para os seguintes campos:
"protection_id", "malware_action", "malware_family,protection_name" e "protection_type" foram mapeados para "security_result.detection_fields".
"confidence_level" foi associado a "security_result.confidence" e "security_result.confidence_details".

2024-02-05

Mapeamento adicionado para os seguintes campos:
O "method" foi mapeado para "network.http.method".

2024-01-24

Mapeamento adicionado para os seguintes campos:
O "method" foi mapeado para "network.http.method".
"duration" foi mapeado para "network.session_duration.seconds".
"additional_info" foi associado a "security_result.description".
Mapeamos "operation" para "security_result.summary".
O "sujeito" foi mapeado para "metadata.description".
"principal_hostname" foi mapeado para "intermediary.hostname".
Mapeou "tcp_packet_out_of_state", "aggregated_log_count", "connection_count", "appi_name", "src_user_dn",
"update_count", "additional_info", "administrator", "operation", "sendtotrackerasadvancedauditlog",
"subject", "fieldschanges", "logic_changes", "objecttype", "session_description",
"session_name" para "security_result.detection_fields".

2023-12-27

Mapeamento adicionado para os seguintes campos:
As "flags" foram mapeadas para "security_result.detection_fields".
"tcp_flags" foi mapeado para "security_result.detection_fields".
"tcp_packet_out_of_state" foi mapeado para "security_result.detection_fields".

2023-12-11

Se "principal_hostname" for um IP válido, mapeie-o para "principal.ip".
Se "principal_hostname" não for um IP válido, mapeie-o para "principal.hostname".
"sport_svc" foi associado a "principal.port".
Mapeamos "ProductFamily" para "additional.fields".
"mitre_initial_access" foi associado a "security_result.detection_fields".
"policy_time" foi associado a "security_result.detection_fields".
O "profile" foi mapeado para "security_result.detection_fields".
Mapeamos "reject_id_kid" para "security_result.detection_fields".
Mapeamos "ser_agent_kid" para "security_result.detection_fields".

2023-10-11

Se "product" for "New Anti Virus", o mapeamento de "firewall management node" para "principal.hostname" será removido e mapeado para "security_result.detection_fields".

2023-07-06

Mapeamento adicionado para os seguintes campos:
"app_category" foi associado a "security_result.category_details".
"matched_category" foi associado a "security_result.detection_fields".
"app_properties" foi mapeado para "security_result.detection_fields".

2023-06-14

Mapeamento adicionado para os seguintes campos
Mapeamos "conn_direction" para "additional.fields".
O gsub foi modificado para não substituir o ":" por "=" dos valores reais.

2023-05-12

Mapeamento adicionado para os seguintes campos
"rule_name" foi mapeado para "security_result.rule_name".
"rule","sub_policy_name","sub_policy_uid","smartdefense_profile","tags","flexString2" foram mapeados para "security_result.detection_fields".
Novo padrão Grok adicionado para oferecer suporte aos novos formatos de registro.
"dvc" foi mapeado para "intermediary.hostname".
"hostname" foi mapeado para "intermediary.hostname".
"origin_sic_name" foi mapeado para "intermediary.asset_id".
"Conn_direction" foi mapeado para "network.ip_protocol".
"ifname" foi mapeado para "security_result.detection_fields".
"security_inzone" foi mapeado para "security_result.detection_fields".
"match_id" foi mapeado para "security_result.detection_fields".
"parent_rule" foi mapeado para "security_result.detection_fields".
"security_outzone" foi mapeado para "security_result.detection_fields".
"sub_policy_name" foi mapeado para "security_result.detection_fields".
"sub_policy_uid" foi associado a "security_result.detection_fields".
"drop_reason" foi mapeado para "security_result.summary".
O "reason" foi mapeado para "security_result.summary".
"Xlatesport" foi mapeado para "principal.nat_port".
"Xlatedport" foi mapeado para "target.nat_port".
"ipv6_dst" foi mapeado para "target.ip".
"ipv6_src" foi mapeado para "principal.ip".

2023-04-24

Adição de suporte a registros com formato CEF.

2022-11-18

O mapeamento de "service" foi modificado e mapeado para "target.port".

2022-10-27

Adição de uma verificação condicional para "attack","attack_info" e "policy_name".
O padrão grok foi adicionado para extrair "principal_hostname".
Adição de gsub para mudar "=" para ":".
O mapeamento de "service" foi modificado para "target.resource.attribute.labels".

2022-10-13

O campo "fw_subproduct" foi associado a "metadata.product_name".
O padrão grok foi adicionado para extrair o IP do campo "src".

2022-08-30

As mudanças de versões específicas do cliente foram mescladas para o padrão.
Os registros que contêm "*****" no UserCheck foram retirados.

18/08/2022

"portal_message" foi associado a "security_result.description".
"security_result.category" foi mapeado como "SOFTWARE_MALICIOUS" caso "portal_message" contenha as palavras-chave "malware/malicious".
"URL" foi associado a "security_result.about.url".
"Atividade" foi mapeada para "security_result.summary".
Mapeamos "Reference" para "security_result.about.resource.attribute.labels".
"event_type" foi modificado de "GENERIC_EVENT" para "STATUS_UPDATE", replicando o valor de "intermediary.ip" para "principal.ip".

2022-08-12

"malware_action", "malware_family,protection_name" e "protection_type" foram mapeados para "security_result.about.resource.attribute.labels".
Mapeamos "src_machine_name" para "security_result.detection_fields".

2022-06-30

"message_info" foi mapeado para "metadata.description".

2022-06-17

Foram adicionadas verificações condicionais para os campos "nat_rulenum", "rule", "sent_bytes", "received_bytes", "s_port" e "service".
Modificado event_types para os seguintes casos:
"GENERIC_EVENT" para "NETWORK_CONNECTION", em que "principal.ip ou principal.hostname" e "target.ip ou target.hostname" não são nulos.
"GENERIC_EVENT" para "STATUS_UNCATEGORIZED", em que "principal.ip ou principal.hostname" não é nulo.

2022-06-14

O analisador foi modificado para analisar mais registros removendo a verificação de condição para passwd.

2022-06-07

src_machine_name foi mapeado para security_result.detection_fields.

2022-05-19

Mapeou inzone, outzone, layer_name, layer_uuid e policy_name para security_result.detection_fields.
O service_id foi mapeado para principal.application.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.