收集 Check Point 防火墙日志
支持的平台:
Google SecOps
SIEM
此解析器会提取 Check Point 防火墙日志。它可以处理 CEF 和非 CEF 格式的消息,包括 syslog、键值对和 JSON。它会对字段进行标准化处理,将其映射到 UDM,并针对登录/退出、网络连接和安全事件执行特定逻辑。它会使用地理位置和威胁情报等情境信息来丰富数据。
准备工作
- 确保您有一个 Google Security Operations 实例。
- 确保您使用的是 Windows 2016 或更高版本,或者使用 systemd 的 Linux 主机。
- 如果在代理后面运行,请确保防火墙端口处于打开状态。
- 确保您拥有对 Check Point 防火墙的特权访问权限。
获取 Google SecOps 提取身份验证文件
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 收集代理。
- 下载提取身份验证文件。
获取 Google SecOps 客户 ID
- 登录 Google SecOps 控制台。
- 依次选择 SIEM 设置 > 配置文件。
- 复制并保存组织详细信息部分中的客户 ID。
安装 BindPlane Agent
- 对于 Windows 安装,请运行以下脚本:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
- 对于 Linux 安装,请运行以下脚本:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
- 如需了解其他安装选项,请参阅此安装指南。
配置 BindPlane Agent 以提取 Syslog 并将其发送到 Google SecOps
- 访问安装了 BindPlane 的机器。
按如下方式修改
config.yaml
文件:receivers: udplog: # Replace the below port <54525> and IP <0.0.0.0> with your specific values listen_address: "0.0.0.0:54525" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the creds location below according the placement of the credentials file you downloaded creds: '{ json file for creds }' # Replace <customer_id> below with your actual ID that you copied customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # You can apply ingestion labels below as preferred ingestion_labels: log_type: SYSLOG namespace: Checkpoint_Firewall raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels
重启 BindPlane 代理以应用更改:
sudo systemctl restart bindplane
在 Check Point 防火墙中配置 Syslog 导出
- 使用特权账号登录 Check Point 防火墙界面。
- 依次前往日志和监控 > 日志服务器。
- 前往 Syslog 服务器。
- 点击配置,然后设置以下值:
- 协议:选择 UDP 以发送安全日志和/或系统日志。
- 名称:提供唯一的名称(例如 Bindplane_Server)。
- IP 地址:提供您的 syslog 服务器 IP 地址(绑定平面 IP)。
- 端口:提供您的 Syslog 服务器端口(BindPlane 端口)。
- 选择启用日志服务器。
- 选择要转发的日志:系统日志和安全日志。
- 点击应用。
UDM 映射表
日志字段 | UDM 映射 | 逻辑 |
---|---|---|
Action |
event.idm.read_only_udm.security_result.action_details |
直接从 Action 字段映射。 |
Activity |
event.idm.read_only_udm.security_result.summary |
直接从 Activity 字段映射。 |
additional_info |
event.idm.read_only_udm.security_result.description |
直接从 additional_info 字段映射。 |
administrator |
event.idm.read_only_udm.security_result.detection_fields[].value |
直接从 administrator 字段映射。键为“administrator”。 |
aggregated_log_count |
event.idm.read_only_udm.security_result.detection_fields[].value |
直接从 aggregated_log_count 字段映射。键为“aggregated_log_count”。 |
appi_name |
event.idm.read_only_udm.security_result.detection_fields[].value |
直接从 appi_name 字段映射。键为“appi_name”。 |
app_category |
event.idm.read_only_udm.security_result.category_details |
直接从 app_category 字段映射。 |
app_properties |
event.idm.read_only_udm.security_result.detection_fields[].value |
直接从 app_properties 字段映射。键为“app_properties”。 |
app_risk |
event.idm.read_only_udm.security_result.detection_fields[].value |
直接从 app_risk 字段映射。键为“app_risk”。 |
app_session_id |
event.idm.read_only_udm.network.session_id |
直接从 app_session_id 字段映射,并转换为字符串。 |
attack |
event.idm.read_only_udm.security_result.summary |
当 Info 存在时,直接从 attack 字段映射。 |
attack |
event.idm.read_only_udm.security_result.threat_name |
当 Info 存在时,直接从 attack 字段映射。 |
attack_info |
event.idm.read_only_udm.security_result.description |
直接从 attack_info 字段映射。 |
auth_status |
event.idm.read_only_udm.security_result.summary |
直接从 auth_status 字段映射。 |
browse_time |
event.idm.read_only_udm.additional.fields[].value.string_value |
直接从 browse_time 字段映射。键为“browse_time”。 |
bytes |
event.idm.read_only_udm.additional.fields[].value.string_value |
直接从 bytes 字段映射。键为“bytes”。 |
bytes |
event.idm.read_only_udm.additional.fields[].value.string_value |
直接从 bytes 字段映射。键为“bytes”。 |
calc_service |
event.idm.read_only_udm.additional.fields[].value.string_value |
直接从 calc_service 字段映射。键为“calc_service”。 |
category |
event.idm.read_only_udm.security_result.category_details |
直接从 category 字段映射。 |
client_version |
event.idm.read_only_udm.intermediary.platform_version |
直接从 client_version 字段映射。 |
conn_direction |
event.idm.read_only_udm.additional.fields[].value.string_value |
直接从 conn_direction 字段映射。键为“conn_direction”。 |
conn_direction |
event.idm.read_only_udm.network.direction |
如果 conn_direction 为“Incoming”,则映射为“INBOUND”。否则,映射到“OUTBOUND”。 |
connection_count |
event.idm.read_only_udm.security_result.detection_fields[].value |
直接从 connection_count 字段映射。键为“connection_count”。 |
contract_name |
event.idm.read_only_udm.security_result.description |
直接从 contract_name 字段映射。 |
cs2 |
event.idm.read_only_udm.security_result.rule_name |
直接从 cs2 字段映射。 |
date_time |
event.idm.read_only_udm.metadata.event_timestamp |
使用各种日期格式解析并转换为时间戳。 |
dedup_time |
event.idm.read_only_udm.additional.fields[].value.string_value |
直接从 dedup_time 字段映射。键为“dedup_time”。 |
desc |
event.idm.read_only_udm.security_result.summary |
直接从 desc 字段映射。 |
description |
event.idm.read_only_udm.security_result.description |
直接从 description 字段映射。 |
description_url |
event.idm.read_only_udm.additional.fields[].value.string_value |
直接从 description_url 字段映射。键为“description_url”。 |
destinationAddress |
event.idm.read_only_udm.target.ip ,event.idm.read_only_udm.target.asset.ip |
直接从 destinationAddress 字段映射。 |
destinationPort |
event.idm.read_only_udm.target.port |
直接从 destinationPort 字段映射,并转换为整数。 |
destinationTranslatedAddress |
event.idm.read_only_udm.target.ip ,event.idm.read_only_udm.target.asset.ip |
直接从 destinationTranslatedAddress 字段映射。 |
destinationTranslatedAddress |
event.idm.read_only_udm.target.nat_ip |
直接从 destinationTranslatedAddress 字段映射。 |
destinationTranslatedPort |
event.idm.read_only_udm.target.port |
直接从 destinationTranslatedPort 字段映射,并转换为整数。 |
destinationTranslatedPort |
event.idm.read_only_udm.target.nat_port |
直接从 destinationTranslatedPort 字段映射,并转换为整数。 |
deviceCustomString2 |
event.idm.read_only_udm.security_result.rule_name |
直接从 deviceCustomString2 字段映射。 |
deviceDirection |
event.idm.read_only_udm.network.direction |
如果 deviceDirection 为 0,则映射到“OUTBOUND”。如果为 1,则映射到“INBOUND”。 |
domain |
event.idm.read_only_udm.principal.administrative_domain |
直接从 domain 字段映射。 |
domain_name |
event.idm.read_only_udm.principal.administrative_domain |
直接从 domain_name 字段映射。 |
drop_reason |
event.idm.read_only_udm.security_result.summary |
直接从 drop_reason 字段映射。 |
ds |
event.idm.read_only_udm.metadata.event_timestamp |
与 ts 和 tz 搭配使用,用于构建事件时间戳。 |
dst |
event.idm.read_only_udm.target.ip ,event.idm.read_only_udm.target.asset.ip |
直接从 dst 字段映射。 |
dst_country |
event.idm.read_only_udm.target.location.country_or_region |
直接从 dst_country 字段映射。 |
dst_ip |
event.idm.read_only_udm.target.ip ,event.idm.read_only_udm.target.asset.ip |
直接从 dst_ip 字段映射。 |
dpt |
event.idm.read_only_udm.target.port |
直接从 dpt 字段映射,并转换为整数。 |
duration |
event.idm.read_only_udm.network.session_duration.seconds |
直接从 duration 字段映射,如果大于 0,则转换为整数。 |
duser |
event.idm.read_only_udm.target.user.email_addresses ,event.idm.read_only_udm.target.user.user_display_name |
如果 duser 字段与电子邮件地址格式匹配,则直接从该字段映射。 |
environment_id |
event.idm.read_only_udm.target.resource.product_object_id |
直接从 environment_id 字段映射。 |
event_type |
event.idm.read_only_udm.metadata.event_type |
由逻辑确定,基于是否存在特定字段和值。如果未识别出特定事件类型,则默认为 GENERIC_EVENT 。可以是 NETWORK_CONNECTION 、USER_LOGIN 、USER_CHANGE_PASSWORD 、USER_LOGOUT 、NETWORK_HTTP 或 STATUS_UPDATE 。 |
fieldschanges |
event.idm.read_only_udm.security_result.detection_fields[].value |
直接从 fieldschanges 字段映射。键为“fieldschanges”。 |
flags |
event.idm.read_only_udm.security_result.detection_fields[].value |
直接从 flags 字段映射。键为“flags”。 |
flexString2 |
event.idm.read_only_udm.security_result.detection_fields[].value |
直接从 flexString2 字段映射。键是 flexString2Label 的值。 |
from_user |
event.idm.read_only_udm.principal.user.userid |
直接从 from_user 字段映射。 |
fservice |
event.idm.read_only_udm.security_result.detection_fields[].value |
直接从 fservice 字段映射。键为“fservice”。 |
fw_subproduct |
event.idm.read_only_udm.metadata.product_name |
当 product 为空时,直接从 fw_subproduct 字段映射。 |
geoip_dst.country_name |
event.idm.read_only_udm.target.location.country_or_region |
直接从 geoip_dst.country_name 字段映射。 |
hll_key |
event.idm.read_only_udm.additional.fields[].value.string_value |
直接从 hll_key 字段映射。键为“hll_key”。 |
hostname |
event.idm.read_only_udm.target.hostname 、event.idm.read_only_udm.target.asset.hostname 、event.idm.read_only_udm.intermediary.hostname |
当 inter_host 为空时,直接从 hostname 字段映射。 |
http_host |
event.idm.read_only_udm.target.resource.attribute.labels[].value |
直接从 http_host 字段映射。键为“http_host”。 |
id |
event.idm.read_only_udm.metadata.product_log_id |
直接从 _id 字段映射。 |
identity_src |
event.idm.read_only_udm.target.application |
直接从 identity_src 字段映射。 |
identity_type |
event.idm.read_only_udm.extensions.auth.type |
如果 identity_type 为“user”,则映射到“VPN”。否则,映射到“MACHINE”。 |
if_direction |
event.idm.read_only_udm.network.direction |
直接从 if_direction 字段映射,并转换为大写形式。 |
ifdir |
event.idm.read_only_udm.network.direction |
直接从 ifdir 字段映射,并转换为大写形式。 |
ifname |
event.idm.read_only_udm.security_result.detection_fields[].value |
直接从 ifname 字段映射。键为“ifname”。 |
IKE |
event.idm.read_only_udm.metadata.description |
直接从 IKE 字段映射。 |
inzone |
event.idm.read_only_udm.security_result.detection_fields[].value |
直接从 inzone 字段映射。键为“inzone”。 |
industry_reference |
event.idm.read_only_udm.additional.fields[].value.string_value |
直接从 industry_reference 字段映射。键为“industry_reference”。 |
instance_id |
event.idm.read_only_udm.principal.hostname ,event.idm.read_only_udm.principal.asset.hostname |
直接从 instance_id 字段映射。 |
inter_host |
event.idm.read_only_udm.intermediary.hostname |
直接从 inter_host 字段映射。 |
ip_proto |
event.idm.read_only_udm.network.ip_protocol |
根据 proto 字段或 service 字段确定。可以是 TCP、UDP、ICMP、IP6IN4 或 GRE。 |
ipv6_dst |
event.idm.read_only_udm.target.ip ,event.idm.read_only_udm.target.asset.ip |
直接从 ipv6_dst 字段映射。 |
ipv6_src |
event.idm.read_only_udm.principal.ip ,event.idm.read_only_udm.principal.asset.ip |
直接从 ipv6_src 字段映射。 |
layer_name |
event.idm.read_only_udm.security_result.rule_set_display_name ,event.idm.read_only_udm.security_result.detection_fields[].value |
直接从 layer_name 字段映射。键为“layer_name”。 |
layer_uuid |
event.idm.read_only_udm.security_result.rule_set ,event.idm.read_only_udm.security_result.detection_fields[].value |
移除大括号后,直接从 layer_uuid 字段映射。键为“layer_uuid”。 |
layer_uuid_rule_uuid |
event.idm.read_only_udm.security_result.rule_id |
移除括号和引号后,直接从 layer_uuid_rule_uuid 字段映射。 |
log_id |
event.idm.read_only_udm.metadata.product_log_id |
直接从 log_id 字段映射。 |
log_type |
event.idm.read_only_udm.metadata.log_type |
直接从 log_type 字段映射。已硬编码为“CHECKPOINT_FIREWALL”。 |
loguid |
event.idm.read_only_udm.metadata.product_log_id |
移除大括号后,直接从 loguid 字段映射。 |
logic_changes |
event.idm.read_only_udm.security_result.detection_fields[].value |
直接从 logic_changes 字段映射。键为“logic_changes”。 |
localhost |
event.idm.read_only_udm.target.hostname ,event.idm.read_only_udm.target.asset.hostname |
直接从 localhost 字段映射。dst_ip 设置为“127.0.0.1”。 |
malware_action |
event.idm.read_only_udm.security_result.detection_fields[].value ,event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value |
直接从 malware_action 字段映射。键为“malware_action”。 |
malware_family |
event.idm.read_only_udm.security_result.detection_fields[].value ,event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value |
直接从 malware_family 字段映射。键为“malware_family”。 |
malware_rule_id |
event.idm.read_only_udm.security_result.detection_fields[].value |
移除大括号后,直接从 malware_rule_id 字段映射。键为“恶意软件规则 ID”。 |
malware_rule_name |
event.idm.read_only_udm.security_result.detection_fields[].value |
直接从 malware_rule_name 字段映射。键为“恶意软件规则名称”。 |
match_id |
event.idm.read_only_udm.security_result.detection_fields[].value |
直接从 match_id 字段映射。键为“match_id”。 |
matched_category |
event.idm.read_only_udm.security_result.detection_fields[].value |
直接从 matched_category 字段映射。键为“matched_category”。 |
message_info |
event.idm.read_only_udm.metadata.description |
直接从 message_info 字段映射。 |
method |
event.idm.read_only_udm.network.http.method |
直接从 method 字段映射。 |
mitre_execution |
event.idm.read_only_udm.additional.fields[].value.string_value |
直接从 mitre_execution 字段映射。键为“mitre_execution”。 |
mitre_initial_access |
event.idm.read_only_udm.security_result.detection_fields[].value |
直接从 mitre_initial_access 字段映射。键为“mitre_initial_access”。 |
nat_rulenum |
event.idm.read_only_udm.security_result.rule_id |
直接从 nat_rulenum 字段映射,并转换为字符串。 |
objecttype |
event.idm.read_only_udm.security_result.detection_fields[].value |
直接从 objecttype 字段映射。键为“objecttype”。 |
operation |
event.idm.read_only_udm.security_result.summary |
直接从 operation 字段映射。 |
operation |
event.idm.read_only_udm.security_result.detection_fields[].value |
直接从 operation 字段映射。键为“operation”。 |
orig |
event.idm.read_only_udm.principal.hostname ,event.idm.read_only_udm.principal.asset.hostname |
直接从 orig 字段映射。 |
origin |
event.idm.read_only_udm.principal.ip 、event.idm.read_only_udm.principal.asset.ip 、event.idm.read_only_udm.target.ip 、event.idm.read_only_udm.target.asset.ip 、event.idm.read_only_udm.intermediary.ip |
直接从 origin 字段映射。 |
origin_sic_name |
event.idm.read_only_udm.intermediary.asset_id ,event.idm.read_only_udm.intermediary.labels[].value |
直接从 origin_sic_name 字段映射。键为“Machine SIC”。素材资源 ID 以“asset:”开头。 |
originsicname |
event.idm.read_only_udm.additional.fields[].value.string_value |
直接从 originsicname 字段映射。键为“originsicname”。 |
originsicname |
event.idm.read_only_udm.intermediary.asset_id ,event.idm.read_only_udm.intermediary.labels[].value |
直接从 originsicname 字段映射。键为“Machine SIC”。素材资源 ID 以“asset:”开头。 |
os_name |
event.idm.read_only_udm.principal.asset.platform_software.platform |
如果 os_name 包含“Win”,则映射到“WINDOWS”。如果设备名称包含“MAC”或“IOS”,则映射到“MAC”。如果包含“LINUX”,则映射到“LINUX”。 |
os_version |
event.idm.read_only_udm.principal.asset.platform_software.platform_patch_level |
直接从 os_version 字段映射。 |
outzone |
event.idm.read_only_udm.security_result.detection_fields[].value |
直接从 outzone 字段映射。键为“outzone”。 |
packets |
event.idm.read_only_udm.additional.fields[].value.string_value |
直接从 packets 字段映射。键为“packets”。 |
packet_capture_name |
event.idm.read_only_udm.additional.fields[].value.string_value |
直接从 packet_capture_name 字段映射。键为“packet_capture_name”。 |
packet_capture_time |
event.idm.read_only_udm.additional.fields[].value.string_value |
直接从 packet_capture_time 字段映射。键为“packet_capture_time”。 |
packet_capture_unique_id |
event.idm.read_only_udm.additional.fields[].value.string_value |
直接从 packet_capture_unique_id 字段映射。键为“packet_capture_unique_id”。 |
parent_rule |
event.idm.read_only_udm.security_result.detection_fields[].value |
直接从 parent_rule 字段映射。键为“parent_rule”。 |
performance_impact |
event.idm.read_only_udm.additional.fields[].value.string_value |
直接从 performance_impact 字段映射。键为“performance_impact”。 |
policy_name |
event.idm.read_only_udm.security_result.detection_fields[].value |
使用 grok 从 __policy_id_tag 字段中提取并映射。键为“政策名称”。 |
policy_time |
event.idm.read_only_udm.security_result.detection_fields[].value |
直接从 policy_time 字段映射。键为“policy_time”。 |
portal_message |
event.idm.read_only_udm.security_result.description |
直接从 portal_message 字段映射。 |
principal_hostname |
event.idm.read_only_udm.principal.ip ,event.idm.read_only_udm.principal.asset.ip |
如果 principal_hostname 字段是有效的 IP 地址,则直接从该字段映射。 |
principal_hostname |
event.idm.read_only_udm.principal.hostname ,event.idm.read_only_udm.principal.asset.hostname |
如果 principal_hostname 字段不是有效的 IP 地址,也不是“检查点”,则直接从该字段映射。 |
prod_family_label |
event.idm.read_only_udm.additional.fields[].value.string_value |
直接从 ProductFamily 字段映射。键为“ProductFamily”。 |
product |
event.idm.read_only_udm.metadata.product_name |
直接从 product 字段映射。 |
product_family |
event.idm.read_only_udm.additional.fields[].value.string_value |
直接从 product_family 字段映射。键为“product_family”。 |
product_family |
event.idm.read_only_udm.additional.fields[].value.string_value |
直接从 product_family 字段映射。键为“product_family”。 |
ProductName |
event.idm.read_only_udm.metadata.product_name |
当 product 为空时,直接从 ProductName 字段映射。 |
product_name |
event.idm.read_only_udm.metadata.product_name |
直接从 product_name 字段映射。 |
profile |
event.idm.read_only_udm.security_result.detection_fields[].value |
直接从 profile 字段映射。键为“profile”。 |
protocol |
event.idm.read_only_udm.network.application_protocol |
如果 protocol 字段为“HTTP”,则直接从该字段映射。 |
proxy_src_ip |
event.idm.read_only_udm.principal.nat_ip |
直接从 proxy_src_ip 字段映射。 |
reason |
event.idm.read_only_udm.security_result.summary |
直接从 reason 字段映射。 |
received_bytes |
event.idm.read_only_udm.network.received_bytes |
直接从 received_bytes 字段映射,转换为无符号整数。 |
Reference |
event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value ,event.idm.read_only_udm.security_result.detection_fields[].value |
直接从 Reference 字段映射。键为“Reference”。用于使用 attack 构造 _vuln.name 。 |
reject_id_kid |
event.idm.read_only_udm.security_result.detection_fields[].value |
直接从 reject_id_kid 字段映射。键为“reject_id_kid”。 |
resource |
event.idm.read_only_udm.target.url |
会解析为 JSON 并映射到目标网址。如果解析失败,则会直接映射。 |
resource |
event.idm.read_only_udm.additional.fields[].value.list_value.values[].string_value |
会解析为 JSON,并将 resource 数组中的每个值添加到列表中。键为“Resource”。 |
result |
event.idm.read_only_udm.metadata.event_timestamp |
使用 date_time 解析,以创建事件时间戳。 |
rt |
event.idm.read_only_udm.metadata.event_timestamp |
解析为自公元纪年以来的毫秒数,并转换为时间戳。 |
rule |
event.idm.read_only_udm.security_result.rule_name |
直接从 rule 字段映射。 |
rule_action |
event.idm.read_only_udm.security_result.detection_fields[].value |
直接从 rule_action 字段映射。键为“rule_action”。 |
rule_name |
event.idm.read_only_udm.security_result.rule_name |
直接从 rule_name 字段映射。 |
rule_uid |
event.idm.read_only_udm.security_result.rule_id |
直接从 rule_uid 字段映射。 |
s_port |
event.idm.read_only_udm.principal.port |
直接从 s_port 字段映射,并转换为整数。 |
scheme |
event.idm.read_only_udm.additional.fields[].value.string_value |
直接从 scheme 字段映射。键为“scheme”。 |
security_inzone |
event.idm.read_only_udm.security_result.detection_fields[].value |
直接从 security_inzone 字段映射。键为“security_inzone”。 |
security_outzone |
event.idm.read_only_udm.security_result.detection_fields[].value |
直接从 security_outzone 字段映射。键为“security_outzone”。 |
security_result_action |
event.idm.read_only_udm.security_result.action |
直接从 security_result_action 字段映射。 |
sendtotrackerasadvancedauditlog |
event.idm.read_only_udm.security_result.detection_fields[].value |
直接从 sendtotrackerasadvancedauditlog 字段映射。键为“sendtotrackerasadvancedauditlog”。 |
sent_bytes |
event.idm.read_only_udm.network.sent_bytes |
直接从 sent_bytes 字段映射,转换为无符号整数。 |
sequencenum |
event.idm.read_only_udm.additional.fields[].value.string_value |
直接从 sequencenum 字段映射。键为“sequencenum”。 |
ser_agent_kid |
event.idm.read_only_udm.security_result.detection_fields[].value |
直接从 ser_agent_kid 字段映射。键为“ser_agent_kid”。 |
service |
event.idm.read_only_udm.target.port |
直接从 service 字段映射,并转换为整数。 |
service_id |
event.idm.read_only_udm.network.application_protocol |
如果 service_id 字段的值为“dhcp”“dns”“http”“https”或“quic”,则直接从该字段映射,并转换为大写。 |
service_id |
event.idm.read_only_udm.principal.application |
如果不是网络应用协议,则直接从 service_id 字段映射。 |
service_id |
event.idm.read_only_udm.security_result.detection_fields[].value |
直接从 service_id 字段映射。键为“service_id”。 |
session_description |
event.idm.read_only_udm.security_result.detection_fields[].value |
直接从 session_description 字段映射。键为“session_description”。 |
session_id |
event.idm.read_only_udm.network.session_id |
移除大括号后,直接从 session_id 字段映射。 |
session_name |
event.idm.read_only_udm.security_result.detection_fields[].value |
直接从 session_name 字段映射。键为“session_name”。 |
session_uid |
event.idm.read_only_udm.network.session_id |
移除大括号后,直接从 session_uid 字段映射。 |
Severity |
event.idm.read_only_udm.security_result.severity |
根据 Severity 的值映射为“LOW”“MEDIUM”“HIGH”或“CRITICAL”。 |
severity |
event.idm.read_only_udm.security_result.severity |
根据 severity 的值映射为“LOW”“MEDIUM”“HIGH”或“CRITICAL”。 |
site |
event.idm.read_only_udm.network.http.user_agent |
直接从 site 字段映射。 |
smartdefense_profile |
event.idm.read_only_udm.security_result.detection_fields[].value |
直接从 smartdefense_profile 字段映射。键为“smartdefense_profile”。 |
snid |
event.idm.read_only_udm.network.session_id |
直接从 snid 字段映射(如果该字段不为空或不为“0”)。 |
sourceAddress |
event.idm.read_only_udm.principal.ip ,event.idm.read_only_udm.principal.asset.ip |
直接从 sourceAddress 字段映射。 |
sourcePort |
event.idm.read_only_udm.principal.port |
直接从 sourcePort 字段映射,并转换为整数。 |
sourceTranslatedAddress |
event.idm.read_only_udm.principal.ip ,event.idm.read_only_udm.principal.asset.ip |
直接从 sourceTranslatedAddress 字段映射。 |
sourceTranslatedAddress |
event.idm.read_only_udm.principal.nat_ip |
直接从 sourceTranslatedAddress 字段映射。 |
sourceTranslatedPort |
event.idm.read_only_udm.principal.port |
直接从 sourceTranslatedPort 字段映射,并转换为整数。 |
sourceTranslatedPort |
event.idm.read_only_udm.principal.nat_port |
直接从 sourceTranslatedPort 字段映射,并转换为整数。 |
sourceUserName |
event.idm.read_only_udm.principal.user.userid 、event.idm.read_only_udm.principal.user.first_name 、event.idm.read_only_udm.principal.user.last_name |
使用 grok 解析,以提取用户 ID、名字和姓氏。 |
spt |
event.idm.read_only_udm.principal.port |
直接从 spt 字段映射,并转换为整数。 |
src |
event.idm.read_only_udm.principal.ip ,event.idm.read_only_udm.principal.asset.ip |
直接从 src 字段映射。 |
src_ip |
event.idm.read_only_udm.principal.ip ,event.idm.read_only_udm.principal.asset.ip |
直接从 src_ip 字段映射。 |
src_localhost |
event.idm.read_only_udm.principal.hostname ,event.idm.read_only_udm.principal.asset.hostname |
直接从 src_localhost 字段映射。src_ip 设置为“127.0.0.1”。 |
src_machine_name |
event.idm.read_only_udm.security_result.detection_fields[].value |
直接从 src_machine_name 字段映射。键为“src_machine_name”。 |
src_port |
event.idm.read_only_udm.principal.port |
直接从 src_port 字段映射,并转换为整数。 |
src_user |
event.idm.read_only_udm.principal.user.userid |
直接从 src_user 字段映射。 |
src_user_dn |
event.idm.read_only_udm.security_result.detection_fields[].value |
直接从 src_user_dn 字段映射。键为“src_user_dn”。 |
src_user_name |
event.idm.read_only_udm.principal.user.userid |
直接从 src_user_name 字段映射。 |
sub_policy_name |
event.idm.read_only_udm.security_result.detection_fields[].value |
直接从 sub_policy_name 字段映射。键为“sub_policy_name”。 |
sub_policy_uid |
event.idm.read_only_udm.security_result.detection_fields[].value |
直接从 sub_policy_uid 字段映射。键为“sub_policy_uid”。 |
subject |
event.idm.read_only_udm.security_result.detection_fields[].value |
直接从 subject 字段映射。键为“subject”。 |
subscription_stat_desc |
event.idm.read_only_udm.security_result.summary |
直接从 subscription_stat_desc 字段映射。 |
tags |
event.idm.read_only_udm.security_result.detection_fields[].value |
直接从 tags 字段映射。键为“tags”。 |
tar_user |
event.idm.read_only_udm.target.user.userid |
直接从 tar_user 字段映射。 |
target_port |
event.idm.read_only_udm.target.port |
直接从 target_port 字段映射。 |
tcp_flags |
event.idm.read_only_udm.security_result.detection_fields[].value |
直接从 tcp_flags 字段映射。键为“tcp_flags”。 |
tcp_packet_out_of_state |
event.idm.read_only_udm.security_result.detection_fields[].value |
直接从 tcp_packet_out_of_state 字段映射。键为“tcp_packet_out_of_state”。 |
time |
event.idm.read_only_udm.metadata.event_timestamp |
使用各种日期格式解析并转换为时间戳。 |
ts |
event.idm.read_only_udm.metadata.event_timestamp |
使用 ds 和 tz 解析,以创建事件时间戳。 |
type |
event.idm.read_only_udm.security_result.rule_type |
直接从 type 字段映射。 |
tz |
event.idm.read_only_udm.metadata.event_timestamp |
与 ds 和 ts 搭配使用,用于构建事件时间戳。 |
update_count |
event.idm.read_only_udm.security_result.detection_fields[].value |
直接从 update_count 字段映射。键为“update_count”。 |
URL |
event.idm.read_only_udm.security_result.about.url |
直接从 URL 字段映射。 |
user |
event.idm.read_only_udm.principal.user.userid |
直接从 user 字段映射。 |
user_agent |
event.idm.read_only_udm.network.http.user_agent |
直接从 user_agent 字段映射。也会被解析并映射到 event.idm.read_only_udm.network.http.parsed_user_agent 。 |
userip |
event.idm.read_only_udm.principal.ip ,event.idm.read_only_udm.principal.asset.ip |
如果 userip 字段是有效的 IP 地址,则直接从该字段映射。 |
UUid |
event.idm.read_only_udm.metadata.product_log_id |
移除大括号后,直接从 UUid 字段映射。 |
version |
event.idm.read_only_udm.metadata.product_version |
直接从 version 字段映射。 |
web_client_type |
event.idm.read_only_udm.network.http.user_agent |
直接从 web_client_type 字段映射。 |
xlatedport |
event.idm.read_only_udm.target.nat_port |
直接从 xlatedport 字段映射,并转换为整数。 |
xlatedst |
event.idm.read_only_udm.target.nat_ip |
直接从 xlatedst 字段映射。 |
xlatesport |
event.idm.read_only_udm.principal.nat_port |
直接从 xlatesport 字段映射,并转换为整数。 |
xlatesrc |
event.idm.read_only_udm.principal.nat_ip |
直接从 xlatesrc 字段映射。 |
event.idm.read_only_udm.metadata.vendor_name |
Check Point |
硬编码的值。 |
event.idm.read_only_udm.metadata.log_type |
CHECKPOINT_FIREWALL |
硬编码的值。 |
event.idm.read_only_udm.security_result.rule_type |
Firewall Rule |
默认值,除非被特定逻辑替换。 |
event.idm.is_alert |
true |
如果 alert 字段为“yes”,则设置为 true。 |
has_principal |
true |
提取主 IP 或主机名时设为 true。 |
has_target |
true |
提取目标 IP 或主机名时设为 true。 |
更改
2024-05-29
- 将“layer_uuid_rule_uuid”映射到“security_result.rule_id”。
- 将“domain”映射到“principal.administrative_domain”。
- 将“fservice”“appi_name”“app_risk”和“policy_name”映射到“security_result.detection_fields”。
- 将“packets”“__id”“dedup_time”“browse_time”“bytes”“product_family”“hll_key”和“calc_service”映射到“additional.fields”。
- 将“id”映射到“metadata.product_log_id”。
- 将“orig_log_server”映射到“principal.resource.product_object_id”。
- 将“environment_id”映射到“target.resource.product_object_id”。
- 将“client_outbound_packets”和“client_inbound_packets”映射到“principal.resource.attribute.labels”。
- 将“server_outbound_bytes”和“server_inbound_bytes”映射到“target.resource.attribute.labels”。
- 将“orig”映射到“principal.hostname”和“principal.asset.hostname”。
- 将“orig_log_server_ip”映射到“principal.ip”和“principal.asset.ip”。
- 将“proto”映射到“network.ip_protocol”。
2024-05-20
- 添加了 Grok 模式以提取“inter_host”。
- 将“inter_host”映射到“intermediary.hostname”。
2024-04-19
- 增强功能和 bug 修复:
- 将“origin”映射到“target.ip”和“target.asset.ip”。
- 添加了新的 Grok 模式,用于解析新格式的 SYSLOG 日志。
- 将“smartdefense_profile”“malware_rule_id”和“malware_rule_name”映射到“security_result.detection_fields”。
- 将“sequencenum”“description_url”“industry_reference”“mitre_execution”“packet_capture_name”“packet_capture_unique_id”“packet_capture_time”和“performance_impact”映射到“additional.fields”。
- 将“version”映射到“metadata.product_version”。
- 将“http_host”映射到“target.resource.attribute.labels”。
- 将“log_id”映射到“metadata.product_log_id”。
- 将“user_agent”映射到“network.http.user_agent”和“http.parsed_user_agent”。
- 将“hostname”“dvc”和“principal_hostname”映射到“target.hostname”和“target.asset.hostname”。
- 如果“has_principal”为“true”“has_target”为“true”,并且“Action”/“action”为“Log In”或“Failed Log In”或“Failed Login”或“Update”,请将“metadata.event_type”设置为“USER_LOGIN”并将“extensions.auth.type”设置为“AUTHTYPE_UNSPECIFIED”。
- 如果“has_principal”为“true”“has_target”为“true”,并且“Action”“act”“event_type”为“Log Out”或“Logout”,请将“metadata.event_type”设置为“USER_LOGOUT”并将“extensions.auth.type”设置为“AUTHTYPE_UNSPECIFIED”。
- 如果“has_principal”为“true”且“has_target”为“true”,则将“metadata.event_type”设置为“NETWORK_CONNECTION”。
- 如果“has_principal”为“true”,“has_target”为“false”,则将“metadata.event_type”设置为“STATUS_UPDATE”。
2024-02-07
- 添加了以下字段的映射:
- 将“protection_id”“malware_action”“malware_family”“protection_name”“protection_type”映射到“security_result.detection_fields”。
- 将“confidence_level”映射到“security_result.confidence”和“security_result.confidence_details”。
2024-02-05
- 添加了以下字段的映射:
- 将“method”映射到“network.http.method”。
2024-01-24
- 添加了以下字段的映射:
- 将“method”映射到“network.http.method”。
- 将“时长”映射到“network.session_duration.seconds”。
- 将“additional_info”映射到“security_result.description”。
- 将“operation”映射到“security_result.summary”。
- 将“subject”映射到“metadata.description”。
- 将“principal_hostname”映射到“intermediary.hostname”。
- 映射了“tcp_packet_out_of_state”“aggregated_log_count”“connection_count”“appi_name”“src_user_dn”
- “update_count”“additional_info”“administrator”“operation”“sendtotrackerasadvancedauditlog”
- "subject", "fieldschanges", "logic_changes", "objecttype", "session_description",
- “session_name”更改为“security_result.detection_fields”。
2023-12-27
- 添加了以下字段的映射:
- 将“flags”映射到“security_result.detection_fields”。
- 将“tcp_flags”映射到“security_result.detection_fields”。
- 将“tcp_packet_out_of_state”映射到“security_result.detection_fields”。
2023-12-11
- 如果“principal_hostname”是有效 IP,则将其映射到“principal.ip”。
- 如果“principal_hostname”不是有效的 IP 地址,则将其映射到“principal.hostname”。
- 将“sport_svc”映射到“principal.port”。
- 将“ProductFamily”映射到“additional.fields”。
- 将“mitre_initial_access”映射到“security_result.detection_fields”。
- 将“policy_time”映射到“security_result.detection_fields”。
- 将“profile”映射到“security_result.detection_fields”。
- 将“reject_id_kid”映射到“security_result.detection_fields”。
- 将“ser_agent_kid”映射到“security_result.detection_fields”。
2023-10-11
- 如果“product”为“New Anti Virus”,则移除“firewall management node”与“principal.hostname”之间的映射,改为映射到“security_result.detection_fields”。
2023-07-06
- 添加了以下字段的映射:
- 将“app_category”映射到“security_result.category_details”。
- 将“matched_category”映射到“security_result.detection_fields”。
- 将“app_properties”映射到“security_result.detection_fields”。
2023-06-14
- 添加了以下字段的映射
- 将“conn_direction”映射到“additional.fields”。
- 修改了 gsub,以免将实际值中的“:”替换为“=”。
2023-05-12
- 添加了以下字段的映射
- 将“rule_name”映射到“security_result.rule_name”。
- 将“rule”“sub_policy_name”“sub_policy_uid”“smartdefense_profile”“tags”“flexString2”映射到“security_result.detection_fields”。
- 添加了新的 Grok 模式,以支持新的日志格式。
- 将“dvc”映射到“intermediary.hostname”。
- 将“hostname”映射到“intermediary.hostname”。
- 将“origin_sic_name”映射到“intermediary.asset_id”。
- 将“conn_direction”映射到“network.ip_protocol”。
- 将“ifname”映射到“security_result.detection_fields”。
- 将“security_inzone”映射到“security_result.detection_fields”。
- 将“match_id”映射到“security_result.detection_fields”。
- 将“parent_rule”映射到“security_result.detection_fields”。
- 将“security_outzone”映射到“security_result.detection_fields”。
- 将“sub_policy_name”映射到“security_result.detection_fields”。
- 将“sub_policy_uid”映射到“security_result.detection_fields”。
- 将“drop_reason”映射到“security_result.summary”。
- 将“reason”映射到“security_result.summary”。
- 将“xlatesport”映射到“principal.nat_port”。
- 将“xlatedport”映射到“target.nat_port”。
- 将“ipv6_dst”映射到“target.ip”。
- 将“ipv6_src”映射到“principal.ip”。
2023-04-24
- 添加了对 CEF 格式日志的支持。
2022-11-18
- 修改了“service”的映射,并将其映射到“target.port”。
2022-10-27
- 添加了针对“attack”“attack_info”“policy_name”的条件检查。
- 添加了 Grok 模式以检索“principal_hostname”。
- 添加了 gsub 来将“=”更改为“:”。
- 修改了“service”的映射,并将其映射到“target.resource.attribute.labels”。
2022-10-13
- 将字段“fw_subproduct”映射到“metadata.product_name”。
- 添加了 Grok 模式,用于从字段“src”中提取 IP。
2022-08-30
- 将客户专用版本的更改合并到了默认版本。
- 在 UserCheck 中取消丢弃包含“*****”的日志。
2022-08-18
- 将“portal_message”映射到“security_result.description”。
- 如果“portal_message”包含“malware/malicious”关键字,则将“security_result.category”映射为“SOFTWARE_MALICIOUS”。
- 将“网址”映射到“security_result.about.url”。
- 将“activity”映射到“security_result.summary”。
- 将“Reference”映射到“security_result.about.resource.attribute.labels”。
- 将“event_type”从“GENERIC_EVENT”修改为“STATUS_UPDATE”,方法是将“intermediary.ip”的值复制到“principal.ip”。
2022-08-12
- 将“malware_action”“malware_family”“protection_name”“protection_type”映射到“security_result.about.resource.attribute.labels”。
- 将“src_machine_name”映射到“security_result.detection_fields”。
2022-06-30
- 将“message_info”映射到“metadata.description”。
2022-06-17
- 为“nat_rulenum”“rule”“sent_bytes”“received_bytes”“s_port”“service”字段添加了条件检查。
- 修改了以下情形的 event_type:
- 将“GENERIC_EVENT”更改为“NETWORK_CONNECTION”,其中“principal.ip or principal.hostname”和“target.ip or target.hostname”均不为 null。
- 将“GENERIC_EVENT”更改为“STATUS_UNCATEGORIZED”,前提是“principal.ip 或 principal.hostname”不为 null。
2022-06-14
- 修改了解析器,移除了对 passwd 的条件检查,以便解析更多日志。
2022-06-07
- 将 src_machine_name 映射到 security_result.detection_fields。
2022-05-19
- 将 inzone、outzone、layer_name、layer_uuid 和 policy_name 映射到 security_result.detection_fields。
- 将 service_id 映射到 principal.application。