收集 Check Point 防火墙日志

支持的平台:

此解析器会提取 Check Point 防火墙日志。它可以处理 CEF 和非 CEF 格式的消息,包括 syslog、键值对和 JSON。它会对字段进行标准化处理,将其映射到 UDM,并针对登录/退出、网络连接和安全事件执行特定逻辑。它会使用地理位置和威胁情报等情境信息来丰富数据。

准备工作

  • 确保您有一个 Google Security Operations 实例。
  • 确保您使用的是 Windows 2016 或更高版本,或者使用 systemd 的 Linux 主机。
  • 如果在代理后面运行,请确保防火墙端口处于打开状态。
  • 确保您拥有对 Check Point 防火墙的特权访问权限。

获取 Google SecOps 提取身份验证文件

  1. 登录 Google SecOps 控制台。
  2. 依次前往 SIEM 设置 > 收集代理
  3. 下载提取身份验证文件

获取 Google SecOps 客户 ID

  1. 登录 Google SecOps 控制台。
  2. 依次选择 SIEM 设置 > 配置文件
  3. 复制并保存组织详细信息部分中的客户 ID

安装 BindPlane Agent

  1. 对于 Windows 安装,请运行以下脚本:
    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
  2. 对于 Linux 安装,请运行以下脚本:
    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
  3. 如需了解其他安装选项,请参阅此安装指南

配置 BindPlane Agent 以提取 Syslog 并将其发送到 Google SecOps

  1. 访问安装了 BindPlane 的机器。
  2. 按如下方式修改 config.yaml 文件:

    receivers:
        udplog:
            # Replace the below port <54525> and IP <0.0.0.0> with your specific values
            listen_address: "0.0.0.0:54525" 
    
    exporters:
        chronicle/chronicle_w_labels:
            compression: gzip
            # Adjust the creds location below according the placement of the credentials file you downloaded
            creds: '{ json file for creds }'
            # Replace <customer_id> below with your actual ID that you copied
            customer_id: <customer_id>
            endpoint: malachiteingestion-pa.googleapis.com
            # You can apply ingestion labels below as preferred
            ingestion_labels:
            log_type: SYSLOG
            namespace: Checkpoint_Firewall
            raw_log_field: body
    service:
        pipelines:
            logs/source0__chronicle_w_labels-0:
                receivers:
                    - udplog
                exporters:
                    - chronicle/chronicle_w_labels
    
  3. 重启 BindPlane 代理以应用更改:

    sudo systemctl restart bindplane
    

在 Check Point 防火墙中配置 Syslog 导出

  1. 使用特权账号登录 Check Point 防火墙界面。
  2. 依次前往日志和监控 > 日志服务器
  3. 前往 Syslog 服务器
  4. 点击配置,然后设置以下值:
    • 协议:选择 UDP 以发送安全日志和/或系统日志。
    • 名称:提供唯一的名称(例如 Bindplane_Server)。
    • IP 地址:提供您的 syslog 服务器 IP 地址(绑定平面 IP)。
    • 端口:提供您的 Syslog 服务器端口(BindPlane 端口)。
  5. 选择启用日志服务器
  6. 选择要转发的日志:系统日志和安全日志
  7. 点击应用

UDM 映射表

日志字段 UDM 映射 逻辑
Action event.idm.read_only_udm.security_result.action_details 直接从 Action 字段映射。
Activity event.idm.read_only_udm.security_result.summary 直接从 Activity 字段映射。
additional_info event.idm.read_only_udm.security_result.description 直接从 additional_info 字段映射。
administrator event.idm.read_only_udm.security_result.detection_fields[].value 直接从 administrator 字段映射。键为“administrator”。
aggregated_log_count event.idm.read_only_udm.security_result.detection_fields[].value 直接从 aggregated_log_count 字段映射。键为“aggregated_log_count”。
appi_name event.idm.read_only_udm.security_result.detection_fields[].value 直接从 appi_name 字段映射。键为“appi_name”。
app_category event.idm.read_only_udm.security_result.category_details 直接从 app_category 字段映射。
app_properties event.idm.read_only_udm.security_result.detection_fields[].value 直接从 app_properties 字段映射。键为“app_properties”。
app_risk event.idm.read_only_udm.security_result.detection_fields[].value 直接从 app_risk 字段映射。键为“app_risk”。
app_session_id event.idm.read_only_udm.network.session_id 直接从 app_session_id 字段映射,并转换为字符串。
attack event.idm.read_only_udm.security_result.summary Info 存在时,直接从 attack 字段映射。
attack event.idm.read_only_udm.security_result.threat_name Info 存在时,直接从 attack 字段映射。
attack_info event.idm.read_only_udm.security_result.description 直接从 attack_info 字段映射。
auth_status event.idm.read_only_udm.security_result.summary 直接从 auth_status 字段映射。
browse_time event.idm.read_only_udm.additional.fields[].value.string_value 直接从 browse_time 字段映射。键为“browse_time”。
bytes event.idm.read_only_udm.additional.fields[].value.string_value 直接从 bytes 字段映射。键为“bytes”。
bytes event.idm.read_only_udm.additional.fields[].value.string_value 直接从 bytes 字段映射。键为“bytes”。
calc_service event.idm.read_only_udm.additional.fields[].value.string_value 直接从 calc_service 字段映射。键为“calc_service”。
category event.idm.read_only_udm.security_result.category_details 直接从 category 字段映射。
client_version event.idm.read_only_udm.intermediary.platform_version 直接从 client_version 字段映射。
conn_direction event.idm.read_only_udm.additional.fields[].value.string_value 直接从 conn_direction 字段映射。键为“conn_direction”。
conn_direction event.idm.read_only_udm.network.direction 如果 conn_direction 为“Incoming”,则映射为“INBOUND”。否则,映射到“OUTBOUND”。
connection_count event.idm.read_only_udm.security_result.detection_fields[].value 直接从 connection_count 字段映射。键为“connection_count”。
contract_name event.idm.read_only_udm.security_result.description 直接从 contract_name 字段映射。
cs2 event.idm.read_only_udm.security_result.rule_name 直接从 cs2 字段映射。
date_time event.idm.read_only_udm.metadata.event_timestamp 使用各种日期格式解析并转换为时间戳。
dedup_time event.idm.read_only_udm.additional.fields[].value.string_value 直接从 dedup_time 字段映射。键为“dedup_time”。
desc event.idm.read_only_udm.security_result.summary 直接从 desc 字段映射。
description event.idm.read_only_udm.security_result.description 直接从 description 字段映射。
description_url event.idm.read_only_udm.additional.fields[].value.string_value 直接从 description_url 字段映射。键为“description_url”。
destinationAddress event.idm.read_only_udm.target.ipevent.idm.read_only_udm.target.asset.ip 直接从 destinationAddress 字段映射。
destinationPort event.idm.read_only_udm.target.port 直接从 destinationPort 字段映射,并转换为整数。
destinationTranslatedAddress event.idm.read_only_udm.target.ipevent.idm.read_only_udm.target.asset.ip 直接从 destinationTranslatedAddress 字段映射。
destinationTranslatedAddress event.idm.read_only_udm.target.nat_ip 直接从 destinationTranslatedAddress 字段映射。
destinationTranslatedPort event.idm.read_only_udm.target.port 直接从 destinationTranslatedPort 字段映射,并转换为整数。
destinationTranslatedPort event.idm.read_only_udm.target.nat_port 直接从 destinationTranslatedPort 字段映射,并转换为整数。
deviceCustomString2 event.idm.read_only_udm.security_result.rule_name 直接从 deviceCustomString2 字段映射。
deviceDirection event.idm.read_only_udm.network.direction 如果 deviceDirection 为 0,则映射到“OUTBOUND”。如果为 1,则映射到“INBOUND”。
domain event.idm.read_only_udm.principal.administrative_domain 直接从 domain 字段映射。
domain_name event.idm.read_only_udm.principal.administrative_domain 直接从 domain_name 字段映射。
drop_reason event.idm.read_only_udm.security_result.summary 直接从 drop_reason 字段映射。
ds event.idm.read_only_udm.metadata.event_timestamp tstz 搭配使用,用于构建事件时间戳。
dst event.idm.read_only_udm.target.ipevent.idm.read_only_udm.target.asset.ip 直接从 dst 字段映射。
dst_country event.idm.read_only_udm.target.location.country_or_region 直接从 dst_country 字段映射。
dst_ip event.idm.read_only_udm.target.ipevent.idm.read_only_udm.target.asset.ip 直接从 dst_ip 字段映射。
dpt event.idm.read_only_udm.target.port 直接从 dpt 字段映射,并转换为整数。
duration event.idm.read_only_udm.network.session_duration.seconds 直接从 duration 字段映射,如果大于 0,则转换为整数。
duser event.idm.read_only_udm.target.user.email_addressesevent.idm.read_only_udm.target.user.user_display_name 如果 duser 字段与电子邮件地址格式匹配,则直接从该字段映射。
environment_id event.idm.read_only_udm.target.resource.product_object_id 直接从 environment_id 字段映射。
event_type event.idm.read_only_udm.metadata.event_type 由逻辑确定,基于是否存在特定字段和值。如果未识别出特定事件类型,则默认为 GENERIC_EVENT。可以是 NETWORK_CONNECTIONUSER_LOGINUSER_CHANGE_PASSWORDUSER_LOGOUTNETWORK_HTTPSTATUS_UPDATE
fieldschanges event.idm.read_only_udm.security_result.detection_fields[].value 直接从 fieldschanges 字段映射。键为“fieldschanges”。
flags event.idm.read_only_udm.security_result.detection_fields[].value 直接从 flags 字段映射。键为“flags”。
flexString2 event.idm.read_only_udm.security_result.detection_fields[].value 直接从 flexString2 字段映射。键是 flexString2Label 的值。
from_user event.idm.read_only_udm.principal.user.userid 直接从 from_user 字段映射。
fservice event.idm.read_only_udm.security_result.detection_fields[].value 直接从 fservice 字段映射。键为“fservice”。
fw_subproduct event.idm.read_only_udm.metadata.product_name product 为空时,直接从 fw_subproduct 字段映射。
geoip_dst.country_name event.idm.read_only_udm.target.location.country_or_region 直接从 geoip_dst.country_name 字段映射。
hll_key event.idm.read_only_udm.additional.fields[].value.string_value 直接从 hll_key 字段映射。键为“hll_key”。
hostname event.idm.read_only_udm.target.hostnameevent.idm.read_only_udm.target.asset.hostnameevent.idm.read_only_udm.intermediary.hostname inter_host 为空时,直接从 hostname 字段映射。
http_host event.idm.read_only_udm.target.resource.attribute.labels[].value 直接从 http_host 字段映射。键为“http_host”。
id event.idm.read_only_udm.metadata.product_log_id 直接从 _id 字段映射。
identity_src event.idm.read_only_udm.target.application 直接从 identity_src 字段映射。
identity_type event.idm.read_only_udm.extensions.auth.type 如果 identity_type 为“user”,则映射到“VPN”。否则,映射到“MACHINE”。
if_direction event.idm.read_only_udm.network.direction 直接从 if_direction 字段映射,并转换为大写形式。
ifdir event.idm.read_only_udm.network.direction 直接从 ifdir 字段映射,并转换为大写形式。
ifname event.idm.read_only_udm.security_result.detection_fields[].value 直接从 ifname 字段映射。键为“ifname”。
IKE event.idm.read_only_udm.metadata.description 直接从 IKE 字段映射。
inzone event.idm.read_only_udm.security_result.detection_fields[].value 直接从 inzone 字段映射。键为“inzone”。
industry_reference event.idm.read_only_udm.additional.fields[].value.string_value 直接从 industry_reference 字段映射。键为“industry_reference”。
instance_id event.idm.read_only_udm.principal.hostnameevent.idm.read_only_udm.principal.asset.hostname 直接从 instance_id 字段映射。
inter_host event.idm.read_only_udm.intermediary.hostname 直接从 inter_host 字段映射。
ip_proto event.idm.read_only_udm.network.ip_protocol 根据 proto 字段或 service 字段确定。可以是 TCP、UDP、ICMP、IP6IN4 或 GRE。
ipv6_dst event.idm.read_only_udm.target.ipevent.idm.read_only_udm.target.asset.ip 直接从 ipv6_dst 字段映射。
ipv6_src event.idm.read_only_udm.principal.ipevent.idm.read_only_udm.principal.asset.ip 直接从 ipv6_src 字段映射。
layer_name event.idm.read_only_udm.security_result.rule_set_display_nameevent.idm.read_only_udm.security_result.detection_fields[].value 直接从 layer_name 字段映射。键为“layer_name”。
layer_uuid event.idm.read_only_udm.security_result.rule_setevent.idm.read_only_udm.security_result.detection_fields[].value 移除大括号后,直接从 layer_uuid 字段映射。键为“layer_uuid”。
layer_uuid_rule_uuid event.idm.read_only_udm.security_result.rule_id 移除括号和引号后,直接从 layer_uuid_rule_uuid 字段映射。
log_id event.idm.read_only_udm.metadata.product_log_id 直接从 log_id 字段映射。
log_type event.idm.read_only_udm.metadata.log_type 直接从 log_type 字段映射。已硬编码为“CHECKPOINT_FIREWALL”。
loguid event.idm.read_only_udm.metadata.product_log_id 移除大括号后,直接从 loguid 字段映射。
logic_changes event.idm.read_only_udm.security_result.detection_fields[].value 直接从 logic_changes 字段映射。键为“logic_changes”。
localhost event.idm.read_only_udm.target.hostnameevent.idm.read_only_udm.target.asset.hostname 直接从 localhost 字段映射。dst_ip 设置为“127.0.0.1”。
malware_action event.idm.read_only_udm.security_result.detection_fields[].valueevent.idm.read_only_udm.security_result.about.resource.attribute.labels[].value 直接从 malware_action 字段映射。键为“malware_action”。
malware_family event.idm.read_only_udm.security_result.detection_fields[].valueevent.idm.read_only_udm.security_result.about.resource.attribute.labels[].value 直接从 malware_family 字段映射。键为“malware_family”。
malware_rule_id event.idm.read_only_udm.security_result.detection_fields[].value 移除大括号后,直接从 malware_rule_id 字段映射。键为“恶意软件规则 ID”。
malware_rule_name event.idm.read_only_udm.security_result.detection_fields[].value 直接从 malware_rule_name 字段映射。键为“恶意软件规则名称”。
match_id event.idm.read_only_udm.security_result.detection_fields[].value 直接从 match_id 字段映射。键为“match_id”。
matched_category event.idm.read_only_udm.security_result.detection_fields[].value 直接从 matched_category 字段映射。键为“matched_category”。
message_info event.idm.read_only_udm.metadata.description 直接从 message_info 字段映射。
method event.idm.read_only_udm.network.http.method 直接从 method 字段映射。
mitre_execution event.idm.read_only_udm.additional.fields[].value.string_value 直接从 mitre_execution 字段映射。键为“mitre_execution”。
mitre_initial_access event.idm.read_only_udm.security_result.detection_fields[].value 直接从 mitre_initial_access 字段映射。键为“mitre_initial_access”。
nat_rulenum event.idm.read_only_udm.security_result.rule_id 直接从 nat_rulenum 字段映射,并转换为字符串。
objecttype event.idm.read_only_udm.security_result.detection_fields[].value 直接从 objecttype 字段映射。键为“objecttype”。
operation event.idm.read_only_udm.security_result.summary 直接从 operation 字段映射。
operation event.idm.read_only_udm.security_result.detection_fields[].value 直接从 operation 字段映射。键为“operation”。
orig event.idm.read_only_udm.principal.hostnameevent.idm.read_only_udm.principal.asset.hostname 直接从 orig 字段映射。
origin event.idm.read_only_udm.principal.ipevent.idm.read_only_udm.principal.asset.ipevent.idm.read_only_udm.target.ipevent.idm.read_only_udm.target.asset.ipevent.idm.read_only_udm.intermediary.ip 直接从 origin 字段映射。
origin_sic_name event.idm.read_only_udm.intermediary.asset_idevent.idm.read_only_udm.intermediary.labels[].value 直接从 origin_sic_name 字段映射。键为“Machine SIC”。素材资源 ID 以“asset:”开头。
originsicname event.idm.read_only_udm.additional.fields[].value.string_value 直接从 originsicname 字段映射。键为“originsicname”。
originsicname event.idm.read_only_udm.intermediary.asset_idevent.idm.read_only_udm.intermediary.labels[].value 直接从 originsicname 字段映射。键为“Machine SIC”。素材资源 ID 以“asset:”开头。
os_name event.idm.read_only_udm.principal.asset.platform_software.platform 如果 os_name 包含“Win”,则映射到“WINDOWS”。如果设备名称包含“MAC”或“IOS”,则映射到“MAC”。如果包含“LINUX”,则映射到“LINUX”。
os_version event.idm.read_only_udm.principal.asset.platform_software.platform_patch_level 直接从 os_version 字段映射。
outzone event.idm.read_only_udm.security_result.detection_fields[].value 直接从 outzone 字段映射。键为“outzone”。
packets event.idm.read_only_udm.additional.fields[].value.string_value 直接从 packets 字段映射。键为“packets”。
packet_capture_name event.idm.read_only_udm.additional.fields[].value.string_value 直接从 packet_capture_name 字段映射。键为“packet_capture_name”。
packet_capture_time event.idm.read_only_udm.additional.fields[].value.string_value 直接从 packet_capture_time 字段映射。键为“packet_capture_time”。
packet_capture_unique_id event.idm.read_only_udm.additional.fields[].value.string_value 直接从 packet_capture_unique_id 字段映射。键为“packet_capture_unique_id”。
parent_rule event.idm.read_only_udm.security_result.detection_fields[].value 直接从 parent_rule 字段映射。键为“parent_rule”。
performance_impact event.idm.read_only_udm.additional.fields[].value.string_value 直接从 performance_impact 字段映射。键为“performance_impact”。
policy_name event.idm.read_only_udm.security_result.detection_fields[].value 使用 grok 从 __policy_id_tag 字段中提取并映射。键为“政策名称”。
policy_time event.idm.read_only_udm.security_result.detection_fields[].value 直接从 policy_time 字段映射。键为“policy_time”。
portal_message event.idm.read_only_udm.security_result.description 直接从 portal_message 字段映射。
principal_hostname event.idm.read_only_udm.principal.ipevent.idm.read_only_udm.principal.asset.ip 如果 principal_hostname 字段是有效的 IP 地址,则直接从该字段映射。
principal_hostname event.idm.read_only_udm.principal.hostnameevent.idm.read_only_udm.principal.asset.hostname 如果 principal_hostname 字段不是有效的 IP 地址,也不是“检查点”,则直接从该字段映射。
prod_family_label event.idm.read_only_udm.additional.fields[].value.string_value 直接从 ProductFamily 字段映射。键为“ProductFamily”。
product event.idm.read_only_udm.metadata.product_name 直接从 product 字段映射。
product_family event.idm.read_only_udm.additional.fields[].value.string_value 直接从 product_family 字段映射。键为“product_family”。
product_family event.idm.read_only_udm.additional.fields[].value.string_value 直接从 product_family 字段映射。键为“product_family”。
ProductName event.idm.read_only_udm.metadata.product_name product 为空时,直接从 ProductName 字段映射。
product_name event.idm.read_only_udm.metadata.product_name 直接从 product_name 字段映射。
profile event.idm.read_only_udm.security_result.detection_fields[].value 直接从 profile 字段映射。键为“profile”。
protocol event.idm.read_only_udm.network.application_protocol 如果 protocol 字段为“HTTP”,则直接从该字段映射。
proxy_src_ip event.idm.read_only_udm.principal.nat_ip 直接从 proxy_src_ip 字段映射。
reason event.idm.read_only_udm.security_result.summary 直接从 reason 字段映射。
received_bytes event.idm.read_only_udm.network.received_bytes 直接从 received_bytes 字段映射,转换为无符号整数。
Reference event.idm.read_only_udm.security_result.about.resource.attribute.labels[].valueevent.idm.read_only_udm.security_result.detection_fields[].value 直接从 Reference 字段映射。键为“Reference”。用于使用 attack 构造 _vuln.name
reject_id_kid event.idm.read_only_udm.security_result.detection_fields[].value 直接从 reject_id_kid 字段映射。键为“reject_id_kid”。
resource event.idm.read_only_udm.target.url 会解析为 JSON 并映射到目标网址。如果解析失败,则会直接映射。
resource event.idm.read_only_udm.additional.fields[].value.list_value.values[].string_value 会解析为 JSON,并将 resource 数组中的每个值添加到列表中。键为“Resource”。
result event.idm.read_only_udm.metadata.event_timestamp 使用 date_time 解析,以创建事件时间戳。
rt event.idm.read_only_udm.metadata.event_timestamp 解析为自公元纪年以来的毫秒数,并转换为时间戳。
rule event.idm.read_only_udm.security_result.rule_name 直接从 rule 字段映射。
rule_action event.idm.read_only_udm.security_result.detection_fields[].value 直接从 rule_action 字段映射。键为“rule_action”。
rule_name event.idm.read_only_udm.security_result.rule_name 直接从 rule_name 字段映射。
rule_uid event.idm.read_only_udm.security_result.rule_id 直接从 rule_uid 字段映射。
s_port event.idm.read_only_udm.principal.port 直接从 s_port 字段映射,并转换为整数。
scheme event.idm.read_only_udm.additional.fields[].value.string_value 直接从 scheme 字段映射。键为“scheme”。
security_inzone event.idm.read_only_udm.security_result.detection_fields[].value 直接从 security_inzone 字段映射。键为“security_inzone”。
security_outzone event.idm.read_only_udm.security_result.detection_fields[].value 直接从 security_outzone 字段映射。键为“security_outzone”。
security_result_action event.idm.read_only_udm.security_result.action 直接从 security_result_action 字段映射。
sendtotrackerasadvancedauditlog event.idm.read_only_udm.security_result.detection_fields[].value 直接从 sendtotrackerasadvancedauditlog 字段映射。键为“sendtotrackerasadvancedauditlog”。
sent_bytes event.idm.read_only_udm.network.sent_bytes 直接从 sent_bytes 字段映射,转换为无符号整数。
sequencenum event.idm.read_only_udm.additional.fields[].value.string_value 直接从 sequencenum 字段映射。键为“sequencenum”。
ser_agent_kid event.idm.read_only_udm.security_result.detection_fields[].value 直接从 ser_agent_kid 字段映射。键为“ser_agent_kid”。
service event.idm.read_only_udm.target.port 直接从 service 字段映射,并转换为整数。
service_id event.idm.read_only_udm.network.application_protocol 如果 service_id 字段的值为“dhcp”“dns”“http”“https”或“quic”,则直接从该字段映射,并转换为大写。
service_id event.idm.read_only_udm.principal.application 如果不是网络应用协议,则直接从 service_id 字段映射。
service_id event.idm.read_only_udm.security_result.detection_fields[].value 直接从 service_id 字段映射。键为“service_id”。
session_description event.idm.read_only_udm.security_result.detection_fields[].value 直接从 session_description 字段映射。键为“session_description”。
session_id event.idm.read_only_udm.network.session_id 移除大括号后,直接从 session_id 字段映射。
session_name event.idm.read_only_udm.security_result.detection_fields[].value 直接从 session_name 字段映射。键为“session_name”。
session_uid event.idm.read_only_udm.network.session_id 移除大括号后,直接从 session_uid 字段映射。
Severity event.idm.read_only_udm.security_result.severity 根据 Severity 的值映射为“LOW”“MEDIUM”“HIGH”或“CRITICAL”。
severity event.idm.read_only_udm.security_result.severity 根据 severity 的值映射为“LOW”“MEDIUM”“HIGH”或“CRITICAL”。
site event.idm.read_only_udm.network.http.user_agent 直接从 site 字段映射。
smartdefense_profile event.idm.read_only_udm.security_result.detection_fields[].value 直接从 smartdefense_profile 字段映射。键为“smartdefense_profile”。
snid event.idm.read_only_udm.network.session_id 直接从 snid 字段映射(如果该字段不为空或不为“0”)。
sourceAddress event.idm.read_only_udm.principal.ipevent.idm.read_only_udm.principal.asset.ip 直接从 sourceAddress 字段映射。
sourcePort event.idm.read_only_udm.principal.port 直接从 sourcePort 字段映射,并转换为整数。
sourceTranslatedAddress event.idm.read_only_udm.principal.ipevent.idm.read_only_udm.principal.asset.ip 直接从 sourceTranslatedAddress 字段映射。
sourceTranslatedAddress event.idm.read_only_udm.principal.nat_ip 直接从 sourceTranslatedAddress 字段映射。
sourceTranslatedPort event.idm.read_only_udm.principal.port 直接从 sourceTranslatedPort 字段映射,并转换为整数。
sourceTranslatedPort event.idm.read_only_udm.principal.nat_port 直接从 sourceTranslatedPort 字段映射,并转换为整数。
sourceUserName event.idm.read_only_udm.principal.user.useridevent.idm.read_only_udm.principal.user.first_nameevent.idm.read_only_udm.principal.user.last_name 使用 grok 解析,以提取用户 ID、名字和姓氏。
spt event.idm.read_only_udm.principal.port 直接从 spt 字段映射,并转换为整数。
src event.idm.read_only_udm.principal.ipevent.idm.read_only_udm.principal.asset.ip 直接从 src 字段映射。
src_ip event.idm.read_only_udm.principal.ipevent.idm.read_only_udm.principal.asset.ip 直接从 src_ip 字段映射。
src_localhost event.idm.read_only_udm.principal.hostnameevent.idm.read_only_udm.principal.asset.hostname 直接从 src_localhost 字段映射。src_ip 设置为“127.0.0.1”。
src_machine_name event.idm.read_only_udm.security_result.detection_fields[].value 直接从 src_machine_name 字段映射。键为“src_machine_name”。
src_port event.idm.read_only_udm.principal.port 直接从 src_port 字段映射,并转换为整数。
src_user event.idm.read_only_udm.principal.user.userid 直接从 src_user 字段映射。
src_user_dn event.idm.read_only_udm.security_result.detection_fields[].value 直接从 src_user_dn 字段映射。键为“src_user_dn”。
src_user_name event.idm.read_only_udm.principal.user.userid 直接从 src_user_name 字段映射。
sub_policy_name event.idm.read_only_udm.security_result.detection_fields[].value 直接从 sub_policy_name 字段映射。键为“sub_policy_name”。
sub_policy_uid event.idm.read_only_udm.security_result.detection_fields[].value 直接从 sub_policy_uid 字段映射。键为“sub_policy_uid”。
subject event.idm.read_only_udm.security_result.detection_fields[].value 直接从 subject 字段映射。键为“subject”。
subscription_stat_desc event.idm.read_only_udm.security_result.summary 直接从 subscription_stat_desc 字段映射。
tags event.idm.read_only_udm.security_result.detection_fields[].value 直接从 tags 字段映射。键为“tags”。
tar_user event.idm.read_only_udm.target.user.userid 直接从 tar_user 字段映射。
target_port event.idm.read_only_udm.target.port 直接从 target_port 字段映射。
tcp_flags event.idm.read_only_udm.security_result.detection_fields[].value 直接从 tcp_flags 字段映射。键为“tcp_flags”。
tcp_packet_out_of_state event.idm.read_only_udm.security_result.detection_fields[].value 直接从 tcp_packet_out_of_state 字段映射。键为“tcp_packet_out_of_state”。
time event.idm.read_only_udm.metadata.event_timestamp 使用各种日期格式解析并转换为时间戳。
ts event.idm.read_only_udm.metadata.event_timestamp 使用 dstz 解析,以创建事件时间戳。
type event.idm.read_only_udm.security_result.rule_type 直接从 type 字段映射。
tz event.idm.read_only_udm.metadata.event_timestamp dsts 搭配使用,用于构建事件时间戳。
update_count event.idm.read_only_udm.security_result.detection_fields[].value 直接从 update_count 字段映射。键为“update_count”。
URL event.idm.read_only_udm.security_result.about.url 直接从 URL 字段映射。
user event.idm.read_only_udm.principal.user.userid 直接从 user 字段映射。
user_agent event.idm.read_only_udm.network.http.user_agent 直接从 user_agent 字段映射。也会被解析并映射到 event.idm.read_only_udm.network.http.parsed_user_agent
userip event.idm.read_only_udm.principal.ipevent.idm.read_only_udm.principal.asset.ip 如果 userip 字段是有效的 IP 地址,则直接从该字段映射。
UUid event.idm.read_only_udm.metadata.product_log_id 移除大括号后,直接从 UUid 字段映射。
version event.idm.read_only_udm.metadata.product_version 直接从 version 字段映射。
web_client_type event.idm.read_only_udm.network.http.user_agent 直接从 web_client_type 字段映射。
xlatedport event.idm.read_only_udm.target.nat_port 直接从 xlatedport 字段映射,并转换为整数。
xlatedst event.idm.read_only_udm.target.nat_ip 直接从 xlatedst 字段映射。
xlatesport event.idm.read_only_udm.principal.nat_port 直接从 xlatesport 字段映射,并转换为整数。
xlatesrc event.idm.read_only_udm.principal.nat_ip 直接从 xlatesrc 字段映射。
event.idm.read_only_udm.metadata.vendor_name Check Point 硬编码的值。
event.idm.read_only_udm.metadata.log_type CHECKPOINT_FIREWALL 硬编码的值。
event.idm.read_only_udm.security_result.rule_type Firewall Rule 默认值,除非被特定逻辑替换。
event.idm.is_alert true 如果 alert 字段为“yes”,则设置为 true。
has_principal true 提取主 IP 或主机名时设为 true。
has_target true 提取目标 IP 或主机名时设为 true。

更改

2024-05-29

  • 将“layer_uuid_rule_uuid”映射到“security_result.rule_id”。
  • 将“domain”映射到“principal.administrative_domain”。
  • 将“fservice”“appi_name”“app_risk”和“policy_name”映射到“security_result.detection_fields”。
  • 将“packets”“__id”“dedup_time”“browse_time”“bytes”“product_family”“hll_key”和“calc_service”映射到“additional.fields”。
  • 将“id”映射到“metadata.product_log_id”。
  • 将“orig_log_server”映射到“principal.resource.product_object_id”。
  • 将“environment_id”映射到“target.resource.product_object_id”。
  • 将“client_outbound_packets”和“client_inbound_packets”映射到“principal.resource.attribute.labels”。
  • 将“server_outbound_bytes”和“server_inbound_bytes”映射到“target.resource.attribute.labels”。
  • 将“orig”映射到“principal.hostname”和“principal.asset.hostname”。
  • 将“orig_log_server_ip”映射到“principal.ip”和“principal.asset.ip”。
  • 将“proto”映射到“network.ip_protocol”。

2024-05-20

  • 添加了 Grok 模式以提取“inter_host”。
  • 将“inter_host”映射到“intermediary.hostname”。

2024-04-19

  • 增强功能和 bug 修复:
  • 将“origin”映射到“target.ip”和“target.asset.ip”。
  • 添加了新的 Grok 模式,用于解析新格式的 SYSLOG 日志。
  • 将“smartdefense_profile”“malware_rule_id”和“malware_rule_name”映射到“security_result.detection_fields”。
  • 将“sequencenum”“description_url”“industry_reference”“mitre_execution”“packet_capture_name”“packet_capture_unique_id”“packet_capture_time”和“performance_impact”映射到“additional.fields”。
  • 将“version”映射到“metadata.product_version”。
  • 将“http_host”映射到“target.resource.attribute.labels”。
  • 将“log_id”映射到“metadata.product_log_id”。
  • 将“user_agent”映射到“network.http.user_agent”和“http.parsed_user_agent”。
  • 将“hostname”“dvc”和“principal_hostname”映射到“target.hostname”和“target.asset.hostname”。
  • 如果“has_principal”为“true”“has_target”为“true”,并且“Action”/“action”为“Log In”或“Failed Log In”或“Failed Login”或“Update”,请将“metadata.event_type”设置为“USER_LOGIN”并将“extensions.auth.type”设置为“AUTHTYPE_UNSPECIFIED”。
  • 如果“has_principal”为“true”“has_target”为“true”,并且“Action”“act”“event_type”为“Log Out”或“Logout”,请将“metadata.event_type”设置为“USER_LOGOUT”并将“extensions.auth.type”设置为“AUTHTYPE_UNSPECIFIED”。
  • 如果“has_principal”为“true”且“has_target”为“true”,则将“metadata.event_type”设置为“NETWORK_CONNECTION”。
  • 如果“has_principal”为“true”,“has_target”为“false”,则将“metadata.event_type”设置为“STATUS_UPDATE”。

2024-02-07

  • 添加了以下字段的映射:
  • 将“protection_id”“malware_action”“malware_family”“protection_name”“protection_type”映射到“security_result.detection_fields”。
  • 将“confidence_level”映射到“security_result.confidence”和“security_result.confidence_details”。

2024-02-05

  • 添加了以下字段的映射:
  • 将“method”映射到“network.http.method”。

2024-01-24

  • 添加了以下字段的映射:
  • 将“method”映射到“network.http.method”。
  • 将“时长”映射到“network.session_duration.seconds”。
  • 将“additional_info”映射到“security_result.description”。
  • 将“operation”映射到“security_result.summary”。
  • 将“subject”映射到“metadata.description”。
  • 将“principal_hostname”映射到“intermediary.hostname”。
  • 映射了“tcp_packet_out_of_state”“aggregated_log_count”“connection_count”“appi_name”“src_user_dn”
  • “update_count”“additional_info”“administrator”“operation”“sendtotrackerasadvancedauditlog”
  • "subject", "fieldschanges", "logic_changes", "objecttype", "session_description",
  • “session_name”更改为“security_result.detection_fields”。

2023-12-27

  • 添加了以下字段的映射:
  • 将“flags”映射到“security_result.detection_fields”。
  • 将“tcp_flags”映射到“security_result.detection_fields”。
  • 将“tcp_packet_out_of_state”映射到“security_result.detection_fields”。

2023-12-11

  • 如果“principal_hostname”是有效 IP,则将其映射到“principal.ip”。
  • 如果“principal_hostname”不是有效的 IP 地址,则将其映射到“principal.hostname”。
  • 将“sport_svc”映射到“principal.port”。
  • 将“ProductFamily”映射到“additional.fields”。
  • 将“mitre_initial_access”映射到“security_result.detection_fields”。
  • 将“policy_time”映射到“security_result.detection_fields”。
  • 将“profile”映射到“security_result.detection_fields”。
  • 将“reject_id_kid”映射到“security_result.detection_fields”。
  • 将“ser_agent_kid”映射到“security_result.detection_fields”。

2023-10-11

  • 如果“product”为“New Anti Virus”,则移除“firewall management node”与“principal.hostname”之间的映射,改为映射到“security_result.detection_fields”。

2023-07-06

  • 添加了以下字段的映射:
  • 将“app_category”映射到“security_result.category_details”。
  • 将“matched_category”映射到“security_result.detection_fields”。
  • 将“app_properties”映射到“security_result.detection_fields”。

2023-06-14

  • 添加了以下字段的映射
  • 将“conn_direction”映射到“additional.fields”。
  • 修改了 gsub,以免将实际值中的“:”替换为“=”。

2023-05-12

  • 添加了以下字段的映射
  • 将“rule_name”映射到“security_result.rule_name”。
  • 将“rule”“sub_policy_name”“sub_policy_uid”“smartdefense_profile”“tags”“flexString2”映射到“security_result.detection_fields”。
  • 添加了新的 Grok 模式,以支持新的日志格式。
  • 将“dvc”映射到“intermediary.hostname”。
  • 将“hostname”映射到“intermediary.hostname”。
  • 将“origin_sic_name”映射到“intermediary.asset_id”。
  • 将“conn_direction”映射到“network.ip_protocol”。
  • 将“ifname”映射到“security_result.detection_fields”。
  • 将“security_inzone”映射到“security_result.detection_fields”。
  • 将“match_id”映射到“security_result.detection_fields”。
  • 将“parent_rule”映射到“security_result.detection_fields”。
  • 将“security_outzone”映射到“security_result.detection_fields”。
  • 将“sub_policy_name”映射到“security_result.detection_fields”。
  • 将“sub_policy_uid”映射到“security_result.detection_fields”。
  • 将“drop_reason”映射到“security_result.summary”。
  • 将“reason”映射到“security_result.summary”。
  • 将“xlatesport”映射到“principal.nat_port”。
  • 将“xlatedport”映射到“target.nat_port”。
  • 将“ipv6_dst”映射到“target.ip”。
  • 将“ipv6_src”映射到“principal.ip”。

2023-04-24

  • 添加了对 CEF 格式日志的支持。

2022-11-18

  • 修改了“service”的映射,并将其映射到“target.port”。

2022-10-27

  • 添加了针对“attack”“attack_info”“policy_name”的条件检查。
  • 添加了 Grok 模式以检索“principal_hostname”。
  • 添加了 gsub 来将“=”更改为“:”。
  • 修改了“service”的映射,并将其映射到“target.resource.attribute.labels”。

2022-10-13

  • 将字段“fw_subproduct”映射到“metadata.product_name”。
  • 添加了 Grok 模式,用于从字段“src”中提取 IP。

2022-08-30

  • 将客户专用版本的更改合并到了默认版本。
  • 在 UserCheck 中取消丢弃包含“*****”的日志。

2022-08-18

  • 将“portal_message”映射到“security_result.description”。
  • 如果“portal_message”包含“malware/malicious”关键字,则将“security_result.category”映射为“SOFTWARE_MALICIOUS”。
  • 将“网址”映射到“security_result.about.url”。
  • 将“activity”映射到“security_result.summary”。
  • 将“Reference”映射到“security_result.about.resource.attribute.labels”。
  • 将“event_type”从“GENERIC_EVENT”修改为“STATUS_UPDATE”,方法是将“intermediary.ip”的值复制到“principal.ip”。

2022-08-12

  • 将“malware_action”“malware_family”“protection_name”“protection_type”映射到“security_result.about.resource.attribute.labels”。
  • 将“src_machine_name”映射到“security_result.detection_fields”。

2022-06-30

  • 将“message_info”映射到“metadata.description”。

2022-06-17

  • 为“nat_rulenum”“rule”“sent_bytes”“received_bytes”“s_port”“service”字段添加了条件检查。
  • 修改了以下情形的 event_type:
  • 将“GENERIC_EVENT”更改为“NETWORK_CONNECTION”,其中“principal.ip or principal.hostname”和“target.ip or target.hostname”均不为 null。
  • 将“GENERIC_EVENT”更改为“STATUS_UNCATEGORIZED”,前提是“principal.ip 或 principal.hostname”不为 null。

2022-06-14

  • 修改了解析器,移除了对 passwd 的条件检查,以便解析更多日志。

2022-06-07

  • 将 src_machine_name 映射到 security_result.detection_fields。

2022-05-19

  • 将 inzone、outzone、layer_name、layer_uuid 和 policy_name 映射到 security_result.detection_fields。
  • 将 service_id 映射到 principal.application。