本頁面由 Cloud Translation API 翻譯而成。

收集 Check Point EDR 記錄

支援的國家/地區：

Google SecOps SIEM

本文說明如何使用 Bindplane，將 Check Point Antivirus 記錄擷取至 Google Security Operations。剖析器會處理 Check Point SandBlast 的記錄，並將 SYSLOG + KV 和 SYSLOG + CEF 格式的記錄轉換為統合式資料模型 (UDM)。剖析器會使用內含的模組從 CEF 訊息中擷取欄位，並將這些欄位對應至 UDM 欄位，處理各種事件類型，以及從原始記錄中擷取額外背景資訊，進而擴充資料。對於非 CEF 訊息，剖析器會使用鍵/值擷取、grok 模式和條件邏輯，將相關欄位對應至 EDR UDM 架構。

事前準備

請確認您已完成下列事前準備事項：

Google SecOps 執行個體
Windows 2016 以上版本，或搭載 systemd 的 Linux 主機
如果透過 Proxy 執行，防火牆通訊埠已開啟
透過 SandBlast 取得 Check Point 裝置的特殊存取權

取得 Google SecOps 擷取驗證檔案

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「收集代理程式」。
下載擷取驗證檔案。將檔案安全地儲存在要安裝 Bindplane 的系統上。

取得 Google SecOps 客戶 ID

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「設定檔」。
複製並儲存「機構詳細資料」專區中的客戶 ID。

安裝 Bindplane 代理程式

Windows 安裝

以系統管理員身分開啟「命令提示字元」或「PowerShell」。

執行下列指令：

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 安裝

開啟具有根層級或 sudo 權限的終端機。

執行下列指令：

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安裝資源

如需其他安裝選項，請參閱安裝指南。

設定 Bindplane 代理程式，擷取系統記錄檔並傳送至 Google SecOps

存取設定檔：
- 找出 config.yaml 檔案。通常位於 Linux 的 /etc/bindplane-agent/ 目錄，或 Windows 的安裝目錄。
- 使用文字編輯器 (例如 nano、vi 或記事本) 開啟檔案。

按照下列方式編輯 config.yaml 檔案：

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: 'CHECKPOINT_EDR'
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

視基礎架構需求，替換通訊埠和 IP 位址。
將 <customer_id> 替換為實際的客戶 ID。
將 /path/to/ingestion-authentication-file.json 更新為「取得 Google SecOps 擷取驗證檔案」一節中驗證檔案的儲存路徑。

重新啟動 BindPlane 代理程式，以套用變更

如要在 Linux 中重新啟動 Bindplane 代理程式，請執行下列指令：
```
sudo systemctl restart bindplane-agent
```
如要在 Windows 中重新啟動 Bindplane 代理程式，可以使用「服務」控制台，或輸入下列指令：
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

在 Checkpoint 1500 設備系列中設定 Syslog

登入 Checkpoint 裝置。
依序前往「記錄和監控」>「記錄伺服器」>「系統記錄伺服器」。
按一下 [設定]。
提供下列設定詳細資料：
- 「通訊協定」：選取「UDP」。
- 名稱：輸入描述性名稱。
- IP 位址：輸入 Bindplane 代理程式 IP 位址。
- 「Port」(通訊埠)：輸入 Bindplane 代理程式通訊埠編號。
- 選取「啟用」記錄伺服器。
- 選取要轉送的記錄：系統記錄和安全性記錄。
按一下 [套用]。

UDM 對應表

記錄欄位	UDM 對應	邏輯
`action`	`event.idm.read_only_udm.security_result.action`	直接對應至 `action` CEF 欄位。
`action_comment`	`event.idm.read_only_udm.additional.fields[<N>].key`：`action_comment` `event.idm.read_only_udm.additional.fields[<N>].value.string_value`：`action_comment` 的值	直接從「`action_comment`」欄位對應。
`action_details`	`event.idm.read_only_udm.security_result.action_details`	直接對應至 `action_details` CEF 欄位。
`additional_info`	`event.idm.read_only_udm.additional.fields[<N>].key`：`additional_info` `event.idm.read_only_udm.additional.fields[<N>].value.string_value`：`additional_info` 的值	直接從「`additional_info`」欄位對應。
`am_update_proxy`	`event.idm.read_only_udm.intermediary.domain.name`	直接從「`am_update_proxy`」欄位對應。
`am_update_source`	`event.idm.read_only_udm.target.url`	直接從「`am_update_source`」欄位對應。
`client_version`	`event.idm.read_only_udm.metadata.product_version`	直接從「`client_version`」欄位對應。
`cn1`	`event.idm.read_only_udm.security_result.severity`	從 `cn1` CEF 欄位對應，並轉換為 UDM 嚴重程度值 (嚴重、高、中、低、資訊)。
`cs1`	`event.idm.read_only_udm.additional.fields[<N>].key`：`Connectivity State` `event.idm.read_only_udm.additional.fields[<N>].value.string_value`：`cs1` 的值	直接從「`cs1`」欄位對應。
`description`	`event.idm.read_only_udm.metadata.description`	直接對應至 `description` CEF 欄位。
`deviceDirection`	`event.idm.read_only_udm.network.direction`	對應「`deviceDirection`」欄位。值 `0` 會對應至 `INBOUND`，其他值則不會對應。
`deviceFacility`	`event.idm.read_only_udm.additional.fields[<N>].key`：`deviceFacility` `event.idm.read_only_udm.additional.fields[<N>].value.string_value`：`deviceFacility` 的值	直接從「`deviceFacility`」欄位對應。
`dst`	`event.idm.read_only_udm.network.target.ip`	直接從 `dst` 欄位對應，前提是 `event_type` 為 `Firewall`。
`engine_ver`	`event.idm.read_only_udm.additional.fields[<N>].key`：`engine_ver` `event.idm.read_only_udm.additional.fields[<N>].value.string_value`：`engine_ver` 的值	直接從「`engine_ver`」欄位對應。
`ep_rule_id`	`event.idm.read_only_udm.firewall.firewall_rule_id`	直接從 `ep_rule_id` 欄位對應，前提是 `event_type` 為 `Firewall`。
`event_type`	`event.idm.read_only_udm.metadata.product_event_type`	直接對應至 `event_type` CEF 欄位。
`failed_updates`	`event.idm.read_only_udm.additional.fields[<N>].key`：`failed_updates` `event.idm.read_only_udm.additional.fields[<N>].value.string_value`：`failed_updates` 的值	直接從「`failed_updates`」欄位對應。
`file_md5`	`event.idm.read_only_udm.source_file.hash_md5`	直接從 `file_md5` 欄位對應，前提是 `event_type` 為 `TE Event`。
`file_name`	`event.idm.read_only_udm.source_file.file_name`	直接從 `file_name` 欄位對應，前提是 `event_type` 為 `TE Event`。
`file_sha1`	`event.idm.read_only_udm.source_file.hash_sha1`	直接從 `file_sha1` 欄位對應，前提是 `event_type` 為 `TE Event`。
`file_sha256`	`event.idm.read_only_udm.source_file.hash_sha256`	直接從 `file_sha256` 欄位對應，前提是 `event_type` 為 `TE Event`。
`host_type`	`event.idm.read_only_udm.principal.asset.type`	對應「`host_type`」欄位。`Desktop` 會轉換為 `WORKSTATION`，然後值會轉換為大寫。
`ifdir`	`event.idm.read_only_udm.network.direction`	直接從 `ifdir` 欄位對應，且 `event_type` 為 `Firewall` 時會轉換為大寫。
`installed_products`	`event.idm.read_only_udm.principal.asset.software.name`	直接從「`installed_products`」欄位對應。
`is_scanned`	`sec_res.detection_fields[<N>].key`：`is_scanned` `sec_res.detection_fields[<N>].value`：`is_scanned` 的值	直接從「`is_scanned`」欄位對應。
`local_time`	`event.idm.read_only_udm.additional.fields[<N>].key`：`local_time` `event.idm.read_only_udm.additional.fields[<N>].value.string_value`：`local_time` 的值	直接從「`local_time`」欄位對應。
`log_type`	`event.idm.read_only_udm.metadata.log_type`	直接從「`log_type`」欄位對應。
`loguid`	`event.idm.read_only_udm.metadata.product_log_id`	直接從「`loguid`」欄位對應。
`machine_guid`	`event.idm.read_only_udm.principal.asset.product_object_id`	直接從「`machine_guid`」欄位對應。
`media_authorized`	`event.idm.read_only_udm.additional.fields[<N>].key`：`media_authorized` `event.idm.read_only_udm.additional.fields[<N>].value.string_value`：`media_authorized` 的值	直接從「`media_authorized`」欄位對應。
`media_class_id`	`event.idm.read_only_udm.additional.fields[<N>].key`：`media_class_id` `event.idm.read_only_udm.additional.fields[<N>].value.string_value`：`media_class_id` 的值	直接從「`media_class_id`」欄位對應。
`media_description`	`event.idm.read_only_udm.additional.fields[<N>].key`：`media_description` `event.idm.read_only_udm.additional.fields[<N>].value.string_value`：`media_description` 的值	直接從「`media_description`」欄位對應。
`media_encrypted`	`event.idm.read_only_udm.additional.fields[<N>].key`：`media_encrypted` `event.idm.read_only_udm.additional.fields[<N>].value.string_value`：`media_encrypted` 的值	直接從「`media_encrypted`」欄位對應。
`media_manufacturer`	`event.idm.read_only_udm.additional.fields[<N>].key`：`media_manufacturer` `event.idm.read_only_udm.additional.fields[<N>].value.string_value`：`media_manufacturer` 的值	直接從「`media_manufacturer`」欄位對應。
`media_type`	`event.idm.read_only_udm.additional.fields[<N>].key`：`media_type` `event.idm.read_only_udm.additional.fields[<N>].value.string_value`：`media_type` 的值	直接從「`media_type`」欄位對應。
`msg`	`event.idm.read_only_udm.metadata.description`	直接對應至 `msg` CEF 欄位。
`origin`	`event.idm.read_only_udm.about.ip`	直接對應至 `origin` CEF 欄位。
`os_name`	`event.idm.read_only_udm.additional.fields[<N>].key`：`os_name` `event.idm.read_only_udm.additional.fields[<N>].value.string_value`：`os_name` 的值	直接從「`os_name`」欄位對應。
`os_version`	`event.idm.read_only_udm.principal.asset.platform_software.platform_version`	直接從「`os_version`」欄位對應。
`policy_date`	`event.idm.read_only_udm.additional.fields[<N>].key`：`policy_date` `event.idm.read_only_udm.additional.fields[<N>].value.string_value`：`policy_date` 的值	直接從「`policy_date`」欄位對應。
`policy_guid`	`event.idm.read_only_udm.principal.resource.product_object_id`	直接從「`policy_guid`」欄位對應。
`policy_name`	`event.idm.read_only_udm.principal.resource.name`	直接從「`policy_name`」欄位對應。
`policy_number`	`event.idm.read_only_udm.principal.resource.product_object_id`	直接從「`policy_number`」欄位對應。
`policy_type`	`event.idm.read_only_udm.additional.fields[<N>].key`：`policy_type` `event.idm.read_only_udm.additional.fields[<N>].value.string_value`：`policy_type` 的值	直接從「`policy_type`」欄位對應。
`policy_version`	`event.idm.read_only_udm.additional.fields[<N>].key`：`policy_version` `event.idm.read_only_udm.additional.fields[<N>].value.string_value`：`policy_version` 的值	直接從「`policy_version`」欄位對應。
`product`	`event.idm.read_only_udm.metadata.product_name`	直接對應至 `product` CEF 欄位。
`proto`	`event.idm.read_only_udm.network.protocol`	直接從 `proto` 欄位對應，前提是 `event_type` 為 `Firewall`。
`reading_data_access`	`event.idm.read_only_udm.additional.fields[<N>].key`：`reading_data_access` `event.idm.read_only_udm.additional.fields[<N>].value.string_value`：`reading_data_access` 的值	直接從「`reading_data_access`」欄位對應。
`requestClientApplication`	`event.idm.read_only_udm.network.http.user_agent`	直接從「`requestClientApplication`」欄位對應。
`result`	`event.idm.read_only_udm.security_result.summary`	直接從「`result`」欄位對應。
`rt`	`event.idm.read_only_udm.metadata.event_timestamp.seconds`	從 `rt` 欄位對應，除以 1000，並將整數部分視為秒數。
`rule_name`	`event.idm.read_only_udm.firewall.firewall_rule`	直接從 `rule_name` 欄位對應，前提是 `event_type` 為 `Firewall`。
`s_port`	`event.idm.read_only_udm.network.client.port`	直接從 `s_port` 欄位對應，前提是 `event_type` 為 `Firewall`。
`sequencenum`	`event.idm.read_only_udm.additional.fields[<N>].key`：`sequencenum` `event.idm.read_only_udm.additional.fields[<N>].value.string_value`：`sequencenum` 的值	直接從「`sequencenum`」欄位對應。
`service`	`event.idm.read_only_udm.network.target.port`	直接從 `service` 欄位對應，前提是 `event_type` 為 `Firewall`。
`severity`	`event.idm.read_only_udm.security_result.severity`	從 `severity` 欄位對應，並轉換為 UDM 嚴重性值 (CRITICAL、HIGH、MEDIUM、LOW、INFO)。
`shost`	`event.idm.read_only_udm.principal.hostname`	直接對應至 `shost` CEF 欄位。
`sig_ver`	`event.idm.read_only_udm.additional.fields[<N>].key`：`sig_ver` `event.idm.read_only_udm.additional.fields[<N>].value.string_value`：`sig_ver` 的值	直接從「`sig_ver`」欄位對應。
`src`	`event.idm.read_only_udm.principal.ip`	直接對應至 `src` CEF 欄位。
`src_machine_name`	`event.idm.read_only_udm.principal.hostname`	如果 `event_type` 為空，則直接從 `src_machine_name` 欄位對應。
`subject`	`event.idm.read_only_udm.task.task_name`	如果 `event_type` 為空，則直接從 `subject` 欄位對應。
`suser`	`event.idm.read_only_udm.principal.user.user_display_name`	直接對應至 `suser` CEF 欄位。
`time`	`event.idm.read_only_udm.metadata.event_timestamp.seconds`	直接從 `time` 欄位對應，並轉換為 Unix Epoch 秒數。
`user_name`	`event.idm.read_only_udm.principal.user.email_addresses`	直接對應至 `user_name` CEF 欄位。
`user_sid`	`event.idm.read_only_udm.principal.user.windows_sid`	直接從「`user_sid`」欄位對應。
`version`	`event.idm.read_only_udm.additional.fields[<N>].key`：`version` `event.idm.read_only_udm.additional.fields[<N>].value.string_value`：`version` 的值	直接從「`version`」欄位對應。
`writing_data_access`	`event.idm.read_only_udm.additional.fields[<N>].key`：`writing_data_access` `event.idm.read_only_udm.additional.fields[<N>].value.string_value`：`writing_data_access` 的值	直接從「`writing_data_access`」欄位對應。
不適用	`event.idm.read_only_udm.metadata.event_type`	如果原始記錄中沒有 `principal.ip`、`principal.hostname` 或 `principal.mac`，請設為 `GENERIC_EVENT`，否則請設為 `STATUS_UPDATE`。
不適用	`event.idm.read_only_udm.metadata.vendor_name`	常數值：`Check Point`。
不適用	`event.idm.read_only_udm.metadata.log_type`	常數值：`CHECKPOINT_EDR`。
不適用	`event.idm.read_only_udm.principal.asset.platform_software.platform`	如果 `os_name` 包含 `WINDOWS` 或 `Windows`，請設為 `WINDOWS`。
不適用	`event.idm.read_only_udm.network.http.user_agent`	如果 `requestClientApplication` 存在，請設為 `Check Point Endpoint Security Client`。
不適用	`event.edr.data_source`	常數值：`message` 不含 `CEF` 時為 `CHECKPOINT_SANDBLAST`。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。