Diese Seite wurde von der Cloud Translation API übersetzt.

Check Point-Firewall-Logs erfassen

Unterstützt in:

Google SecOps SIEM

Dieser Parser extrahiert Check Point-Firewall-Logs. Es werden sowohl CEF- als auch Nicht-CEF-formatierte Nachrichten verarbeitet, einschließlich Syslog, Schlüssel/Wert-Paare und JSON. Sie normalisiert Felder, ordnet sie dem UDM zu und führt eine spezifische Logik für An- und Abmeldungen, Netzwerkverbindungen und Sicherheitsereignisse aus. Die Daten werden mit Kontextinformationen wie Geolocation und Threat Intelligence angereichert.

Hinweise

Prüfen Sie, ob Sie eine Google Security Operations-Instanz haben.
Achten Sie darauf, dass Sie Windows 2016 oder höher oder einen Linux-Host mit systemd verwenden.
Wenn Sie einen Proxy verwenden, müssen die Firewallports geöffnet sein.
Sie benötigen privilegierten Zugriff auf eine Check Point-Firewall.

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie SIEM-Einstellungen > Collection Agents auf.
Laden Sie die Authentifizierungsdatei für die Aufnahme herunter.

Google SecOps-Kundennummer abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie die SIEM-Einstellungen > „Profil“ auf.
Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Führen Sie für die Windows-Installation das folgende Skript aus:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Führen Sie für die Linux-Installation das folgende Skript aus:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Weitere Installationsoptionen finden Sie in dieser Installationsanleitung.

Bindplane-Agent so konfigurieren, dass Syslog-Daten aufgenommen und an Google SecOps gesendet werden

Greifen Sie auf den Computer zu, auf dem BindPlane installiert ist.

Bearbeiten Sie die Datei config.yamlso:

receivers:
    udplog:
        # Replace the below port <54525> and IP <0.0.0.0> with your specific values
        listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: Checkpoint_Firewall
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Starten Sie den Bindplane-Agent neu, um die Änderungen zu übernehmen:
```
sudo systemctl restart bindplane
```

Syslog-Export in einer Check Point-Firewall konfigurieren

Melden Sie sich mit einem privilegierten Konto in der Check Point-Firewall-Benutzeroberfläche an.
Rufen Sie Logs & Monitoring > Log-Server auf.
Rufen Sie Syslog Servers (Syslog-Server) auf.
Klicken Sie auf Konfigurieren und legen Sie die folgenden Werte fest:
- Protokoll: Wählen Sie UDP aus, um Sicherheits- und/oder Systemprotokolle zu senden.
- Name: Geben Sie einen eindeutigen Namen an, z. B. „Bindplane_Server“.
- IP-Adresse: Geben Sie die IP-Adresse Ihres Syslog-Servers (Bindplane-IP) an.
- Port: Geben Sie den Port Ihres Syslog-Servers (Bindplane-Port) an.
Wählen Sie Logserver aktivieren aus.
Wählen Sie die weiterzuleitenden Logs aus: Sowohl System- als auch Sicherheitslogs.
Klicken Sie auf Übernehmen.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
`Action`	`event.idm.read_only_udm.security_result.action_details`	Direkt aus dem Feld `Action` zugeordnet.
`Activity`	`event.idm.read_only_udm.security_result.summary`	Direkt aus dem Feld `Activity` zugeordnet.
`additional_info`	`event.idm.read_only_udm.security_result.description`	Direkt aus dem Feld `additional_info` zugeordnet.
`administrator`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `administrator` zugeordnet. Der Schlüssel ist „administrator“.
`aggregated_log_count`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `aggregated_log_count` zugeordnet. Der Schlüssel ist „aggregated_log_count“.
`appi_name`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `appi_name` zugeordnet. Der Schlüssel ist „appi_name“.
`app_category`	`event.idm.read_only_udm.security_result.category_details`	Direkt aus dem Feld `app_category` zugeordnet.
`app_properties`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `app_properties` zugeordnet. Der Schlüssel ist „app_properties“.
`app_risk`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `app_risk` zugeordnet. Der Schlüssel ist „app_risk“.
`app_session_id`	`event.idm.read_only_udm.network.session_id`	Direkt aus dem Feld `app_session_id` zugeordnet und in einen String konvertiert.
`attack`	`event.idm.read_only_udm.security_result.summary`	Wird direkt aus dem Feld `attack` zugeordnet, wenn `Info` vorhanden ist.
`attack`	`event.idm.read_only_udm.security_result.threat_name`	Wird direkt aus dem Feld `attack` zugeordnet, wenn `Info` vorhanden ist.
`attack_info`	`event.idm.read_only_udm.security_result.description`	Direkt aus dem Feld `attack_info` zugeordnet.
`auth_status`	`event.idm.read_only_udm.security_result.summary`	Direkt aus dem Feld `auth_status` zugeordnet.
`browse_time`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Direkt aus dem Feld `browse_time` zugeordnet. Der Schlüssel ist „browse_time“.
`bytes`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Direkt aus dem Feld `bytes` zugeordnet. Der Schlüssel ist „bytes“.
`bytes`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Direkt aus dem Feld `bytes` zugeordnet. Der Schlüssel ist „bytes“.
`calc_service`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Direkt aus dem Feld `calc_service` zugeordnet. Der Schlüssel ist „calc_service“.
`category`	`event.idm.read_only_udm.security_result.category_details`	Direkt aus dem Feld `category` zugeordnet.
`client_version`	`event.idm.read_only_udm.intermediary.platform_version`	Direkt aus dem Feld `client_version` zugeordnet.
`conn_direction`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Direkt aus dem Feld `conn_direction` zugeordnet. Der Schlüssel ist „conn_direction“.
`conn_direction`	`event.idm.read_only_udm.network.direction`	Wenn `conn_direction` „Eingehend“ ist, wird „INBOUND“ zugeordnet. Andernfalls wird „OUTBOUND“ zugeordnet.
`connection_count`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `connection_count` zugeordnet. Der Schlüssel ist „connection_count“.
`contract_name`	`event.idm.read_only_udm.security_result.description`	Direkt aus dem Feld `contract_name` zugeordnet.
`cs2`	`event.idm.read_only_udm.security_result.rule_name`	Direkt aus dem Feld `cs2` zugeordnet.
`date_time`	`event.idm.read_only_udm.metadata.event_timestamp`	Geparsed und mit verschiedenen Datumsformaten in einen Zeitstempel konvertiert.
`dedup_time`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Direkt aus dem Feld `dedup_time` zugeordnet. Der Schlüssel ist „dedup_time“.
`desc`	`event.idm.read_only_udm.security_result.summary`	Direkt aus dem Feld `desc` zugeordnet.
`description`	`event.idm.read_only_udm.security_result.description`	Direkt aus dem Feld `description` zugeordnet.
`description_url`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Direkt aus dem Feld `description_url` zugeordnet. Der Schlüssel ist „description_url“.
`destinationAddress`	`event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`	Direkt aus dem Feld `destinationAddress` zugeordnet.
`destinationPort`	`event.idm.read_only_udm.target.port`	Direkt aus dem Feld `destinationPort` zugeordnet und in eine Ganzzahl konvertiert.
`destinationTranslatedAddress`	`event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`	Direkt aus dem Feld `destinationTranslatedAddress` zugeordnet.
`destinationTranslatedAddress`	`event.idm.read_only_udm.target.nat_ip`	Direkt aus dem Feld `destinationTranslatedAddress` zugeordnet.
`destinationTranslatedPort`	`event.idm.read_only_udm.target.port`	Direkt aus dem Feld `destinationTranslatedPort` zugeordnet und in eine Ganzzahl konvertiert.
`destinationTranslatedPort`	`event.idm.read_only_udm.target.nat_port`	Direkt aus dem Feld `destinationTranslatedPort` zugeordnet und in eine Ganzzahl konvertiert.
`deviceCustomString2`	`event.idm.read_only_udm.security_result.rule_name`	Direkt aus dem Feld `deviceCustomString2` zugeordnet.
`deviceDirection`	`event.idm.read_only_udm.network.direction`	Wenn `deviceDirection` = 0, wird „OUTBOUND“ zugeordnet. Wenn 1, wird „INBOUND“ zugeordnet.
`domain`	`event.idm.read_only_udm.principal.administrative_domain`	Direkt aus dem Feld `domain` zugeordnet.
`domain_name`	`event.idm.read_only_udm.principal.administrative_domain`	Direkt aus dem Feld `domain_name` zugeordnet.
`drop_reason`	`event.idm.read_only_udm.security_result.summary`	Direkt aus dem Feld `drop_reason` zugeordnet.
`ds`	`event.idm.read_only_udm.metadata.event_timestamp`	Wird zusammen mit `ts` und `tz` verwendet, um den Zeitstempel des Ereignisses zu erstellen.
`dst`	`event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`	Direkt aus dem Feld `dst` zugeordnet.
`dst_country`	`event.idm.read_only_udm.target.location.country_or_region`	Direkt aus dem Feld `dst_country` zugeordnet.
`dst_ip`	`event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`	Direkt aus dem Feld `dst_ip` zugeordnet.
`dpt`	`event.idm.read_only_udm.target.port`	Direkt aus dem Feld `dpt` zugeordnet und in eine Ganzzahl konvertiert.
`duration`	`event.idm.read_only_udm.network.session_duration.seconds`	Direkt aus dem Feld `duration` abgeleitet, in eine Ganzzahl umgewandelt, wenn größer als 0.
`duser`	`event.idm.read_only_udm.target.user.email_addresses`, `event.idm.read_only_udm.target.user.user_display_name`	Direkt aus dem Feld `duser`, wenn es einem E-Mail-Adressformat entspricht.
`environment_id`	`event.idm.read_only_udm.target.resource.product_object_id`	Direkt aus dem Feld `environment_id` zugeordnet.
`event_type`	`event.idm.read_only_udm.metadata.event_type`	Wird durch Logik basierend auf dem Vorhandensein bestimmter Felder und Werte bestimmt. Wenn kein bestimmter Ereignistyp identifiziert wird, wird standardmäßig `GENERIC_EVENT` verwendet. Kann `NETWORK_CONNECTION`, `USER_LOGIN`, `USER_CHANGE_PASSWORD`, `USER_LOGOUT`, `NETWORK_HTTP` oder `STATUS_UPDATE` sein.
`fieldschanges`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `fieldschanges` zugeordnet. Der Schlüssel ist „fieldschanges“.
`flags`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `flags` zugeordnet. Der Schlüssel ist „flags“.
`flexString2`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `flexString2` zugeordnet. Der Schlüssel ist der Wert von `flexString2Label`.
`from_user`	`event.idm.read_only_udm.principal.user.userid`	Direkt aus dem Feld `from_user` zugeordnet.
`fservice`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `fservice` zugeordnet. Der Schlüssel ist „fservice“.
`fw_subproduct`	`event.idm.read_only_udm.metadata.product_name`	Wird direkt aus dem Feld `fw_subproduct` zugeordnet, wenn `product` leer ist.
`geoip_dst.country_name`	`event.idm.read_only_udm.target.location.country_or_region`	Direkt aus dem Feld `geoip_dst.country_name` zugeordnet.
`hll_key`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Direkt aus dem Feld `hll_key` zugeordnet. Der Schlüssel ist „hll_key“.
`hostname`	`event.idm.read_only_udm.target.hostname`, `event.idm.read_only_udm.target.asset.hostname`, `event.idm.read_only_udm.intermediary.hostname`	Wird direkt aus dem Feld `hostname` zugeordnet, wenn `inter_host` leer ist.
`http_host`	`event.idm.read_only_udm.target.resource.attribute.labels[].value`	Direkt aus dem Feld `http_host` zugeordnet. Der Schlüssel ist „http_host“.
`id`	`event.idm.read_only_udm.metadata.product_log_id`	Direkt aus dem Feld `_id` zugeordnet.
`identity_src`	`event.idm.read_only_udm.target.application`	Direkt aus dem Feld `identity_src` zugeordnet.
`identity_type`	`event.idm.read_only_udm.extensions.auth.type`	Wenn `identity_type` „user“ ist, wird „VPN“ zugeordnet. Andernfalls wird „MACHINE“ zugeordnet.
`if_direction`	`event.idm.read_only_udm.network.direction`	Direkt aus dem Feld `if_direction` zugeordnet und in Großbuchstaben konvertiert.
`ifdir`	`event.idm.read_only_udm.network.direction`	Direkt aus dem Feld `ifdir` zugeordnet und in Großbuchstaben konvertiert.
`ifname`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `ifname` zugeordnet. Der Schlüssel ist „ifname“.
`IKE`	`event.idm.read_only_udm.metadata.description`	Direkt aus dem Feld `IKE` zugeordnet.
`inzone`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `inzone` zugeordnet. Der Schlüssel ist „inzone“.
`industry_reference`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Direkt aus dem Feld `industry_reference` zugeordnet. Der Schlüssel ist „industry_reference“.
`instance_id`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Direkt aus dem Feld `instance_id` zugeordnet.
`inter_host`	`event.idm.read_only_udm.intermediary.hostname`	Direkt aus dem Feld `inter_host` zugeordnet.
`ip_proto`	`event.idm.read_only_udm.network.ip_protocol`	Wird anhand des Felds `proto` oder `service` bestimmt. Kann TCP, UDP, ICMP, IP6IN4 oder GRE sein.
`ipv6_dst`	`event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`	Direkt aus dem Feld `ipv6_dst` zugeordnet.
`ipv6_src`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Direkt aus dem Feld `ipv6_src` zugeordnet.
`layer_name`	`event.idm.read_only_udm.security_result.rule_set_display_name`, `event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `layer_name` zugeordnet. Der Schlüssel ist „layer_name“.
`layer_uuid`	`event.idm.read_only_udm.security_result.rule_set`, `event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `layer_uuid` zugeordnet, nachdem die geschweiften Klammern entfernt wurden. Der Schlüssel ist „layer_uuid“.
`layer_uuid_rule_uuid`	`event.idm.read_only_udm.security_result.rule_id`	Direkt aus dem Feld `layer_uuid_rule_uuid` zugeordnet, nachdem Klammern und Anführungszeichen entfernt wurden.
`log_id`	`event.idm.read_only_udm.metadata.product_log_id`	Direkt aus dem Feld `log_id` zugeordnet.
`log_type`	`event.idm.read_only_udm.metadata.log_type`	Direkt aus dem Feld `log_type` zugeordnet. Fest codiert auf „CHECKPOINT_FIREWALL“.
`loguid`	`event.idm.read_only_udm.metadata.product_log_id`	Direkt aus dem Feld `loguid` zugeordnet, nachdem die geschweiften Klammern entfernt wurden.
`logic_changes`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `logic_changes` zugeordnet. Der Schlüssel ist „logic_changes“.
`localhost`	`event.idm.read_only_udm.target.hostname`, `event.idm.read_only_udm.target.asset.hostname`	Direkt aus dem Feld `localhost` zugeordnet. `dst_ip` ist auf „127.0.0.1“ festgelegt.
`malware_action`	`event.idm.read_only_udm.security_result.detection_fields[].value`, `event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value`	Direkt aus dem Feld `malware_action` zugeordnet. Der Schlüssel ist „malware_action“.
`malware_family`	`event.idm.read_only_udm.security_result.detection_fields[].value`, `event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value`	Direkt aus dem Feld `malware_family` zugeordnet. Der Schlüssel ist „malware_family“.
`malware_rule_id`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `malware_rule_id` zugeordnet, nachdem die geschweiften Klammern entfernt wurden. Der Schlüssel ist „Malware Rule ID“.
`malware_rule_name`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `malware_rule_name` zugeordnet. Der Schlüssel ist „Malware Rule Name“.
`match_id`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `match_id` zugeordnet. Der Schlüssel ist „match_id“.
`matched_category`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `matched_category` zugeordnet. Der Schlüssel ist „matched_category“.
`message_info`	`event.idm.read_only_udm.metadata.description`	Direkt aus dem Feld `message_info` zugeordnet.
`method`	`event.idm.read_only_udm.network.http.method`	Direkt aus dem Feld `method` zugeordnet.
`mitre_execution`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Direkt aus dem Feld `mitre_execution` zugeordnet. Der Schlüssel ist „mitre_execution“.
`mitre_initial_access`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `mitre_initial_access` zugeordnet. Der Schlüssel ist „mitre_initial_access“.
`nat_rulenum`	`event.idm.read_only_udm.security_result.rule_id`	Direkt aus dem Feld `nat_rulenum` zugeordnet und in einen String konvertiert.
`objecttype`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `objecttype` zugeordnet. Der Schlüssel ist „objecttype“.
`operation`	`event.idm.read_only_udm.security_result.summary`	Direkt aus dem Feld `operation` zugeordnet.
`operation`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `operation` zugeordnet. Der Schlüssel ist „operation“.
`orig`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Direkt aus dem Feld `orig` zugeordnet.
`origin`	`event.idm.read_only_udm.principal.ip`: `event.idm.read_only_udm.principal.asset.ip`, `event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`, `event.idm.read_only_udm.intermediary.ip`	Direkt aus dem Feld `origin` zugeordnet.
`origin_sic_name`	`event.idm.read_only_udm.intermediary.asset_id`, `event.idm.read_only_udm.intermediary.labels[].value`	Direkt aus dem Feld `origin_sic_name` zugeordnet. Der Schlüssel ist „Machine SIC“. Der Asset-ID wird „asset:“ vorangestellt.
`originsicname`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Direkt aus dem Feld `originsicname` zugeordnet. Der Schlüssel ist „originsicname“.
`originsicname`	`event.idm.read_only_udm.intermediary.asset_id`, `event.idm.read_only_udm.intermediary.labels[].value`	Direkt aus dem Feld `originsicname` zugeordnet. Der Schlüssel ist „Machine SIC“. Der Asset-ID wird „asset:“ vorangestellt.
`os_name`	`event.idm.read_only_udm.principal.asset.platform_software.platform`	Wenn `os_name` „Win“ enthält, wird „WINDOWS“ zugeordnet. Wenn sie „MAC“ oder „IOS“ enthält, wird sie „MAC“ zugeordnet. Wenn sie „LINUX“ enthält, wird sie „LINUX“ zugeordnet.
`os_version`	`event.idm.read_only_udm.principal.asset.platform_software.platform_patch_level`	Direkt aus dem Feld `os_version` zugeordnet.
`outzone`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `outzone` zugeordnet. Der Schlüssel ist „outzone“.
`packets`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Direkt aus dem Feld `packets` zugeordnet. Der Schlüssel ist „packets“.
`packet_capture_name`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Direkt aus dem Feld `packet_capture_name` zugeordnet. Der Schlüssel ist „packet_capture_name“.
`packet_capture_time`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Direkt aus dem Feld `packet_capture_time` zugeordnet. Der Schlüssel ist „packet_capture_time“.
`packet_capture_unique_id`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Direkt aus dem Feld `packet_capture_unique_id` zugeordnet. Der Schlüssel ist „packet_capture_unique_id“.
`parent_rule`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `parent_rule` zugeordnet. Der Schlüssel ist „parent_rule“.
`performance_impact`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Direkt aus dem Feld `performance_impact` zugeordnet. Der Schlüssel ist „performance_impact“.
`policy_name`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Aus dem Feld `__policy_id_tag` extrahiert und mit „grok“ zugeordnet. Der Schlüssel ist „Policy Name“.
`policy_time`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `policy_time` zugeordnet. Der Schlüssel ist „policy_time“.
`portal_message`	`event.idm.read_only_udm.security_result.description`	Direkt aus dem Feld `portal_message` zugeordnet.
`principal_hostname`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Direkt aus dem Feld `principal_hostname`, wenn es sich um eine gültige IP-Adresse handelt.
`principal_hostname`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Direkt aus dem Feld `principal_hostname` übernommen, wenn es sich nicht um eine gültige IP-Adresse und nicht um „Checkpoint“ handelt.
`prod_family_label`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Direkt aus dem Feld `ProductFamily` zugeordnet. Der Schlüssel ist „ProductFamily“.
`product`	`event.idm.read_only_udm.metadata.product_name`	Direkt aus dem Feld `product` zugeordnet.
`product_family`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Direkt aus dem Feld `product_family` zugeordnet. Der Schlüssel ist „product_family“.
`product_family`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Direkt aus dem Feld `product_family` zugeordnet. Der Schlüssel ist „product_family“.
`ProductName`	`event.idm.read_only_udm.metadata.product_name`	Wird direkt aus dem Feld `ProductName` zugeordnet, wenn `product` leer ist.
`product_name`	`event.idm.read_only_udm.metadata.product_name`	Direkt aus dem Feld `product_name` zugeordnet.
`profile`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `profile` zugeordnet. Der Schlüssel ist „profile“.
`protocol`	`event.idm.read_only_udm.network.application_protocol`	Direkt aus dem Feld `protocol` zugeordnet, wenn es „HTTP“ ist.
`proxy_src_ip`	`event.idm.read_only_udm.principal.nat_ip`	Direkt aus dem Feld `proxy_src_ip` zugeordnet.
`reason`	`event.idm.read_only_udm.security_result.summary`	Direkt aus dem Feld `reason` zugeordnet.
`received_bytes`	`event.idm.read_only_udm.network.received_bytes`	Direkt aus dem Feld `received_bytes` abgeleitet und in eine vorzeichenlose Ganzzahl konvertiert.
`Reference`	`event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value`, `event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `Reference` zugeordnet. Der Schlüssel ist „Reference“. Wird zum Erstellen von `_vuln.name` mit `attack` verwendet.
`reject_id_kid`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `reject_id_kid` zugeordnet. Der Schlüssel ist „reject_id_kid“.
`resource`	`event.idm.read_only_udm.target.url`	Wird als JSON geparst und der Ziel-URL zugeordnet. Wenn das Parsen fehlschlägt, wird es direkt zugeordnet.
`resource`	`event.idm.read_only_udm.additional.fields[].value.list_value.values[].string_value`	Wird als JSON geparst und jeder Wert im `resource`-Array wird der Liste hinzugefügt. Der Schlüssel ist „Resource“.
`result`	`event.idm.read_only_udm.metadata.event_timestamp`	Wird mit `date_time` geparst, um den Ereigniszeitstempel zu erstellen.
`rt`	`event.idm.read_only_udm.metadata.event_timestamp`	Wird als Millisekunden seit der Epoche geparst und in einen Zeitstempel umgewandelt.
`rule`	`event.idm.read_only_udm.security_result.rule_name`	Direkt aus dem Feld `rule` zugeordnet.
`rule_action`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `rule_action` zugeordnet. Der Schlüssel ist „rule_action“.
`rule_name`	`event.idm.read_only_udm.security_result.rule_name`	Direkt aus dem Feld `rule_name` zugeordnet.
`rule_uid`	`event.idm.read_only_udm.security_result.rule_id`	Direkt aus dem Feld `rule_uid` zugeordnet.
`s_port`	`event.idm.read_only_udm.principal.port`	Direkt aus dem Feld `s_port` zugeordnet und in eine Ganzzahl konvertiert.
`scheme`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Direkt aus dem Feld `scheme` zugeordnet. Der Schlüssel ist „scheme“.
`security_inzone`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `security_inzone` zugeordnet. Der Schlüssel ist „security_inzone“.
`security_outzone`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `security_outzone` zugeordnet. Der Schlüssel ist „security_outzone“.
`security_result_action`	`event.idm.read_only_udm.security_result.action`	Direkt aus dem Feld `security_result_action` zugeordnet.
`sendtotrackerasadvancedauditlog`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `sendtotrackerasadvancedauditlog` zugeordnet. Der Schlüssel ist „sendtotrackerasadvancedauditlog“.
`sent_bytes`	`event.idm.read_only_udm.network.sent_bytes`	Direkt aus dem Feld `sent_bytes` abgeleitet und in eine vorzeichenlose Ganzzahl konvertiert.
`sequencenum`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Direkt aus dem Feld `sequencenum` zugeordnet. Der Schlüssel ist „sequencenum“.
`ser_agent_kid`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `ser_agent_kid` zugeordnet. Der Schlüssel ist „ser_agent_kid“.
`service`	`event.idm.read_only_udm.target.port`	Direkt aus dem Feld `service` zugeordnet und in eine Ganzzahl konvertiert.
`service_id`	`event.idm.read_only_udm.network.application_protocol`	Direkt aus dem Feld `service_id` zugeordnet, wenn es „dhcp“, „dns“, „http“, „https“ oder „quic“ ist. In diesem Fall wird es in Großbuchstaben umgewandelt.
`service_id`	`event.idm.read_only_udm.principal.application`	Direkt aus dem Feld `service_id` zugeordnet, wenn es sich nicht um eines der Netzwerkprotokolle handelt.
`service_id`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `service_id` zugeordnet. Der Schlüssel ist „service_id“.
`session_description`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `session_description` zugeordnet. Der Schlüssel ist „session_description“.
`session_id`	`event.idm.read_only_udm.network.session_id`	Direkt aus dem Feld `session_id` zugeordnet, nachdem die geschweiften Klammern entfernt wurden.
`session_name`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `session_name` zugeordnet. Der Schlüssel ist „session_name“.
`session_uid`	`event.idm.read_only_udm.network.session_id`	Direkt aus dem Feld `session_uid` zugeordnet, nachdem die geschweiften Klammern entfernt wurden.
`Severity`	`event.idm.read_only_udm.security_result.severity`	Wird basierend auf dem Wert von `Severity` auf „LOW“, „MEDIUM“, „HIGH“ oder „CRITICAL“ abgebildet.
`severity`	`event.idm.read_only_udm.security_result.severity`	Wird basierend auf dem Wert von `severity` auf „LOW“, „MEDIUM“, „HIGH“ oder „CRITICAL“ abgebildet.
`site`	`event.idm.read_only_udm.network.http.user_agent`	Direkt aus dem Feld `site` zugeordnet.
`smartdefense_profile`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `smartdefense_profile` zugeordnet. Der Schlüssel ist „smartdefense_profile“.
`snid`	`event.idm.read_only_udm.network.session_id`	Direkt aus dem Feld `snid` zugeordnet, wenn es nicht leer oder „0“ ist.
`sourceAddress`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Direkt aus dem Feld `sourceAddress` zugeordnet.
`sourcePort`	`event.idm.read_only_udm.principal.port`	Direkt aus dem Feld `sourcePort` zugeordnet und in eine Ganzzahl konvertiert.
`sourceTranslatedAddress`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Direkt aus dem Feld `sourceTranslatedAddress` zugeordnet.
`sourceTranslatedAddress`	`event.idm.read_only_udm.principal.nat_ip`	Direkt aus dem Feld `sourceTranslatedAddress` zugeordnet.
`sourceTranslatedPort`	`event.idm.read_only_udm.principal.port`	Direkt aus dem Feld `sourceTranslatedPort` zugeordnet und in eine Ganzzahl konvertiert.
`sourceTranslatedPort`	`event.idm.read_only_udm.principal.nat_port`	Direkt aus dem Feld `sourceTranslatedPort` zugeordnet und in eine Ganzzahl konvertiert.
`sourceUserName`	`event.idm.read_only_udm.principal.user.userid`, `event.idm.read_only_udm.principal.user.first_name`, `event.idm.read_only_udm.principal.user.last_name`	Mit grok geparst, um Nutzer-ID, Vorname und Nachname zu extrahieren.
`spt`	`event.idm.read_only_udm.principal.port`	Direkt aus dem Feld `spt` zugeordnet und in eine Ganzzahl konvertiert.
`src`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Direkt aus dem Feld `src` zugeordnet.
`src_ip`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Direkt aus dem Feld `src_ip` zugeordnet.
`src_localhost`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Direkt aus dem Feld `src_localhost` zugeordnet. `src_ip` ist auf „127.0.0.1“ festgelegt.
`src_machine_name`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `src_machine_name` zugeordnet. Der Schlüssel ist „src_machine_name“.
`src_port`	`event.idm.read_only_udm.principal.port`	Direkt aus dem Feld `src_port` zugeordnet und in eine Ganzzahl konvertiert.
`src_user`	`event.idm.read_only_udm.principal.user.userid`	Direkt aus dem Feld `src_user` zugeordnet.
`src_user_dn`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `src_user_dn` zugeordnet. Der Schlüssel ist „src_user_dn“.
`src_user_name`	`event.idm.read_only_udm.principal.user.userid`	Direkt aus dem Feld `src_user_name` zugeordnet.
`sub_policy_name`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `sub_policy_name` zugeordnet. Der Schlüssel ist „sub_policy_name“.
`sub_policy_uid`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `sub_policy_uid` zugeordnet. Der Schlüssel ist „sub_policy_uid“.
`subject`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `subject` zugeordnet. Der Schlüssel ist „subject“.
`subscription_stat_desc`	`event.idm.read_only_udm.security_result.summary`	Direkt aus dem Feld `subscription_stat_desc` zugeordnet.
`tags`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `tags` zugeordnet. Der Schlüssel ist „tags“.
`tar_user`	`event.idm.read_only_udm.target.user.userid`	Direkt aus dem Feld `tar_user` zugeordnet.
`target_port`	`event.idm.read_only_udm.target.port`	Direkt aus dem Feld `target_port` zugeordnet.
`tcp_flags`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `tcp_flags` zugeordnet. Der Schlüssel ist „tcp_flags“.
`tcp_packet_out_of_state`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `tcp_packet_out_of_state` zugeordnet. Der Schlüssel ist „tcp_packet_out_of_state“.
`time`	`event.idm.read_only_udm.metadata.event_timestamp`	Geparsed und mit verschiedenen Datumsformaten in einen Zeitstempel konvertiert.
`ts`	`event.idm.read_only_udm.metadata.event_timestamp`	Wird mit `ds` und `tz` geparst, um den Ereigniszeitstempel zu erstellen.
`type`	`event.idm.read_only_udm.security_result.rule_type`	Direkt aus dem Feld `type` zugeordnet.
`tz`	`event.idm.read_only_udm.metadata.event_timestamp`	Wird zusammen mit `ds` und `ts` verwendet, um den Zeitstempel des Ereignisses zu erstellen.
`update_count`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Direkt aus dem Feld `update_count` zugeordnet. Der Schlüssel ist „update_count“.
`URL`	`event.idm.read_only_udm.security_result.about.url`	Direkt aus dem Feld `URL` zugeordnet.
`user`	`event.idm.read_only_udm.principal.user.userid`	Direkt aus dem Feld `user` zugeordnet.
`user_agent`	`event.idm.read_only_udm.network.http.user_agent`	Direkt aus dem Feld `user_agent` zugeordnet. Wird auch geparst und `event.idm.read_only_udm.network.http.parsed_user_agent` zugeordnet.
`userip`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Direkt aus dem Feld `userip`, wenn es sich um eine gültige IP-Adresse handelt.
`UUid`	`event.idm.read_only_udm.metadata.product_log_id`	Direkt aus dem Feld `UUid` zugeordnet, nachdem die geschweiften Klammern entfernt wurden.
`version`	`event.idm.read_only_udm.metadata.product_version`	Direkt aus dem Feld `version` zugeordnet.
`web_client_type`	`event.idm.read_only_udm.network.http.user_agent`	Direkt aus dem Feld `web_client_type` zugeordnet.
`xlatedport`	`event.idm.read_only_udm.target.nat_port`	Direkt aus dem Feld `xlatedport` zugeordnet und in eine Ganzzahl konvertiert.
`xlatedst`	`event.idm.read_only_udm.target.nat_ip`	Direkt aus dem Feld `xlatedst` zugeordnet.
`xlatesport`	`event.idm.read_only_udm.principal.nat_port`	Direkt aus dem Feld `xlatesport` zugeordnet und in eine Ganzzahl konvertiert.
`xlatesrc`	`event.idm.read_only_udm.principal.nat_ip`	Direkt aus dem Feld `xlatesrc` zugeordnet.
`event.idm.read_only_udm.metadata.vendor_name`	`Check Point`	Hartcodierter Wert.
`event.idm.read_only_udm.metadata.log_type`	`CHECKPOINT_FIREWALL`	Hartcodierter Wert.
`event.idm.read_only_udm.security_result.rule_type`	`Firewall Rule`	Standardwert, sofern er nicht durch eine bestimmte Logik überschrieben wird.
`has_principal`	`true`	Wird auf „true“ gesetzt, wenn die IP-Adresse oder der Hostname des Hauptkontos extrahiert wird.
`has_target`	`true`	Wird auf „true“ gesetzt, wenn die Ziel-IP-Adresse oder der Ziel-Hostname extrahiert wird.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten