Esta página se ha traducido con Cloud Translation API.

Recoger registros de cortafuegos de Check Point

Disponible en:

SecOps de Google SIEM

Este analizador extrae registros de cortafuegos de Check Point. Gestiona mensajes con formato CEF y sin formato CEF, incluidos syslog, pares clave-valor y JSON. Normaliza los campos, los asigna a UDM y aplica una lógica específica para los eventos de inicio y cierre de sesión, las conexiones de red y los eventos de seguridad. Enriquece los datos con información contextual, como la geolocalización y la inteligencia sobre amenazas.

Antes de empezar

Asegúrate de que tienes una instancia de Google Security Operations.
Asegúrate de que usas Windows 2016 o una versión posterior, o un host Linux con systemd.
Si se ejecuta a través de un proxy, asegúrate de que los puertos del cortafuegos estén abiertos.
Asegúrate de que tienes acceso con privilegios a un cortafuegos de Check Point.

Obtener el archivo de autenticación de ingestión de Google SecOps

Inicia sesión en la consola de Google SecOps.
Ve a Configuración de SIEM > Agentes de recogida.
Descarga el archivo de autenticación de ingestión.

Obtener el ID de cliente de Google SecOps

Inicia sesión en la consola de Google SecOps.
Ve a Configuración de SIEM > Perfil.
Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instalar el agente de Bindplane

Para instalar en Windows, ejecuta la siguiente secuencia de comandos:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Para instalar Linux, ejecuta la siguiente secuencia de comandos:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Puedes consultar otras opciones de instalación en esta guía de instalación.

Configurar el agente de Bindplane para ingerir Syslog y enviarlo a Google SecOps

Accede al equipo en el que está instalado Bindplane.

Edita el archivo config.yaml de la siguiente manera:

receivers:
    udplog:
        # Replace the below port <54525> and IP <0.0.0.0> with your specific values
        listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: Checkpoint_Firewall
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Reinicia el agente de Bindplane para aplicar los cambios:
```
sudo systemctl restart bindplane
```

Configurar la exportación de Syslog en un firewall de Check Point

Inicia sesión en la interfaz de usuario del cortafuegos de Check Point con una cuenta con privilegios.
Ve a Registros y monitorización > Servidores de registro.
Ve a Servidores Syslog.
Haz clic en Configurar y define los siguientes valores:
- Protocolo: selecciona UDP para enviar registros de seguridad o del sistema.
- Nombre: proporciona un nombre único (por ejemplo, Bindplane_Server).
- Dirección IP: proporcione la dirección IP de su servidor syslog (IP de Bindplane).
- Puerto: indica el puerto de tu servidor syslog (puerto de Bindplane).
Selecciona Habilitar servidor de registro.
Selecciona los registros que quieras reenviar: Registros del sistema y de seguridad.
Haz clic en Aplicar.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
`Action`	`event.idm.read_only_udm.security_result.action_details`	Se asigna directamente desde el campo `Action`.
`Activity`	`event.idm.read_only_udm.security_result.summary`	Se asigna directamente desde el campo `Activity`.
`additional_info`	`event.idm.read_only_udm.security_result.description`	Se asigna directamente desde el campo `additional_info`.
`administrator`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Se asigna directamente desde el campo `administrator`. La clave es "administrator".
`aggregated_log_count`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Se asigna directamente desde el campo `aggregated_log_count`. La clave es "aggregated_log_count".
`appi_name`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Se asigna directamente desde el campo `appi_name`. La clave es "appi_name".
`app_category`	`event.idm.read_only_udm.security_result.category_details`	Se asigna directamente desde el campo `app_category`.
`app_properties`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Se asigna directamente desde el campo `app_properties`. La clave es "app_properties".
`app_risk`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Se asigna directamente desde el campo `app_risk`. La clave es "app_risk".
`app_session_id`	`event.idm.read_only_udm.network.session_id`	Se asigna directamente desde el campo `app_session_id` y se convierte en una cadena.
`attack`	`event.idm.read_only_udm.security_result.summary`	Se asigna directamente desde el campo `attack` cuando `Info` está presente.
`attack`	`event.idm.read_only_udm.security_result.threat_name`	Se asigna directamente desde el campo `attack` cuando `Info` está presente.
`attack_info`	`event.idm.read_only_udm.security_result.description`	Se asigna directamente desde el campo `attack_info`.
`auth_status`	`event.idm.read_only_udm.security_result.summary`	Se asigna directamente desde el campo `auth_status`.
`browse_time`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Se asigna directamente desde el campo `browse_time`. La clave es "browse_time".
`bytes`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Se asigna directamente desde el campo `bytes`. La clave es "bytes".
`bytes`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Se asigna directamente desde el campo `bytes`. La clave es "bytes".
`calc_service`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Se asigna directamente desde el campo `calc_service`. La clave es "calc_service".
`category`	`event.idm.read_only_udm.security_result.category_details`	Se asigna directamente desde el campo `category`.
`client_version`	`event.idm.read_only_udm.intermediary.platform_version`	Se asigna directamente desde el campo `client_version`.
`conn_direction`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Se asigna directamente desde el campo `conn_direction`. La clave es "conn_direction".
`conn_direction`	`event.idm.read_only_udm.network.direction`	Si `conn_direction` es "Incoming", se asigna a "INBOUND". De lo contrario, se asigna a "OUTBOUND".
`connection_count`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Se asigna directamente desde el campo `connection_count`. La clave es "connection_count".
`contract_name`	`event.idm.read_only_udm.security_result.description`	Se asigna directamente desde el campo `contract_name`.
`cs2`	`event.idm.read_only_udm.security_result.rule_name`	Se asigna directamente desde el campo `cs2`.
`date_time`	`event.idm.read_only_udm.metadata.event_timestamp`	Se analiza y se convierte en una marca de tiempo con varios formatos de fecha.
`dedup_time`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Se asigna directamente desde el campo `dedup_time`. La clave es "dedup_time".
`desc`	`event.idm.read_only_udm.security_result.summary`	Se asigna directamente desde el campo `desc`.
`description`	`event.idm.read_only_udm.security_result.description`	Se asigna directamente desde el campo `description`.
`description_url`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Se asigna directamente desde el campo `description_url`. La clave es "description_url".
`destinationAddress`	`event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`	Se asigna directamente desde el campo `destinationAddress`.
`destinationPort`	`event.idm.read_only_udm.target.port`	Se asigna directamente desde el campo `destinationPort` y se convierte en un número entero.
`destinationTranslatedAddress`	`event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`	Se asigna directamente desde el campo `destinationTranslatedAddress`.
`destinationTranslatedAddress`	`event.idm.read_only_udm.target.nat_ip`	Se asigna directamente desde el campo `destinationTranslatedAddress`.
`destinationTranslatedPort`	`event.idm.read_only_udm.target.port`	Se asigna directamente desde el campo `destinationTranslatedPort` y se convierte en un número entero.
`destinationTranslatedPort`	`event.idm.read_only_udm.target.nat_port`	Se asigna directamente desde el campo `destinationTranslatedPort` y se convierte en un número entero.
`deviceCustomString2`	`event.idm.read_only_udm.security_result.rule_name`	Se asigna directamente desde el campo `deviceCustomString2`.
`deviceDirection`	`event.idm.read_only_udm.network.direction`	Si `deviceDirection` es 0, se asigna a "OUTBOUND". Si es 1, se asigna a "INBOUND".
`domain`	`event.idm.read_only_udm.principal.administrative_domain`	Se asigna directamente desde el campo `domain`.
`domain_name`	`event.idm.read_only_udm.principal.administrative_domain`	Se asigna directamente desde el campo `domain_name`.
`drop_reason`	`event.idm.read_only_udm.security_result.summary`	Se asigna directamente desde el campo `drop_reason`.
`ds`	`event.idm.read_only_udm.metadata.event_timestamp`	Se usa con `ts` y `tz` para crear la marca de tiempo del evento.
`dst`	`event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`	Se asigna directamente desde el campo `dst`.
`dst_country`	`event.idm.read_only_udm.target.location.country_or_region`	Se asigna directamente desde el campo `dst_country`.
`dst_ip`	`event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`	Se asigna directamente desde el campo `dst_ip`.
`dpt`	`event.idm.read_only_udm.target.port`	Se asigna directamente desde el campo `dpt` y se convierte en un número entero.
`duration`	`event.idm.read_only_udm.network.session_duration.seconds`	Se asigna directamente desde el campo `duration` y se convierte en un número entero si es mayor que 0.
`duser`	`event.idm.read_only_udm.target.user.email_addresses`, `event.idm.read_only_udm.target.user.user_display_name`	Se asigna directamente desde el campo `duser` si coincide con el formato de una dirección de correo electrónico.
`environment_id`	`event.idm.read_only_udm.target.resource.product_object_id`	Se asigna directamente desde el campo `environment_id`.
`event_type`	`event.idm.read_only_udm.metadata.event_type`	Se determina mediante una lógica basada en la presencia de determinados campos y valores. El valor predeterminado es `GENERIC_EVENT` si no se identifica ningún tipo de evento específico. Puede ser `NETWORK_CONNECTION`, `USER_LOGIN`, `USER_CHANGE_PASSWORD`, `USER_LOGOUT`, `NETWORK_HTTP` o `STATUS_UPDATE`.
`fieldschanges`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Se asigna directamente desde el campo `fieldschanges`. La clave es "fieldschanges".
`flags`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Se asigna directamente desde el campo `flags`. La clave es "flags".
`flexString2`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Se asigna directamente desde el campo `flexString2`. La clave es el valor de `flexString2Label`.
`from_user`	`event.idm.read_only_udm.principal.user.userid`	Se asigna directamente desde el campo `from_user`.
`fservice`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Se asigna directamente desde el campo `fservice`. La clave es "fservice".
`fw_subproduct`	`event.idm.read_only_udm.metadata.product_name`	Se asigna directamente desde el campo `fw_subproduct` cuando `product` está vacío.
`geoip_dst.country_name`	`event.idm.read_only_udm.target.location.country_or_region`	Se asigna directamente desde el campo `geoip_dst.country_name`.
`hll_key`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Se asigna directamente desde el campo `hll_key`. La clave es "hll_key".
`hostname`	`event.idm.read_only_udm.target.hostname`, `event.idm.read_only_udm.target.asset.hostname`, `event.idm.read_only_udm.intermediary.hostname`	Se asigna directamente desde el campo `hostname` cuando `inter_host` está vacío.
`http_host`	`event.idm.read_only_udm.target.resource.attribute.labels[].value`	Se asigna directamente desde el campo `http_host`. La clave es "http_host".
`id`	`event.idm.read_only_udm.metadata.product_log_id`	Se asigna directamente desde el campo `_id`.
`identity_src`	`event.idm.read_only_udm.target.application`	Se asigna directamente desde el campo `identity_src`.
`identity_type`	`event.idm.read_only_udm.extensions.auth.type`	Si `identity_type` es "user", se asigna a "VPN". De lo contrario, se asigna a "MACHINE".
`if_direction`	`event.idm.read_only_udm.network.direction`	Se asigna directamente desde el campo `if_direction` y se convierte a mayúsculas.
`ifdir`	`event.idm.read_only_udm.network.direction`	Se asigna directamente desde el campo `ifdir` y se convierte a mayúsculas.
`ifname`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Se asigna directamente desde el campo `ifname`. La clave es "ifname".
`IKE`	`event.idm.read_only_udm.metadata.description`	Se asigna directamente desde el campo `IKE`.
`inzone`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Se asigna directamente desde el campo `inzone`. La clave es "inzone".
`industry_reference`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Se asigna directamente desde el campo `industry_reference`. La clave es "industry_reference".
`instance_id`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Se asigna directamente desde el campo `instance_id`.
`inter_host`	`event.idm.read_only_udm.intermediary.hostname`	Se asigna directamente desde el campo `inter_host`.
`ip_proto`	`event.idm.read_only_udm.network.ip_protocol`	Se determina en función del campo `proto` o del campo `service`. Puede ser TCP, UDP, ICMP, IP6IN4 o GRE.
`ipv6_dst`	`event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`	Se asigna directamente desde el campo `ipv6_dst`.
`ipv6_src`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Se asigna directamente desde el campo `ipv6_src`.
`layer_name`	`event.idm.read_only_udm.security_result.rule_set_display_name`, `event.idm.read_only_udm.security_result.detection_fields[].value`	Se asigna directamente desde el campo `layer_name`. La clave es "layer_name".
`layer_uuid`	`event.idm.read_only_udm.security_result.rule_set`, `event.idm.read_only_udm.security_result.detection_fields[].value`	Se asigna directamente desde el campo `layer_uuid` después de quitar las llaves. La clave es "layer_uuid".
`layer_uuid_rule_uuid`	`event.idm.read_only_udm.security_result.rule_id`	Se asigna directamente desde el campo `layer_uuid_rule_uuid` después de quitar los corchetes y las comillas.
`log_id`	`event.idm.read_only_udm.metadata.product_log_id`	Se asigna directamente desde el campo `log_id`.
`log_type`	`event.idm.read_only_udm.metadata.log_type`	Se asigna directamente desde el campo `log_type`. Codificado como "CHECKPOINT_FIREWALL".
`loguid`	`event.idm.read_only_udm.metadata.product_log_id`	Se asigna directamente desde el campo `loguid` después de quitar las llaves.
`logic_changes`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Se asigna directamente desde el campo `logic_changes`. La clave es "logic_changes".
`localhost`	`event.idm.read_only_udm.target.hostname`, `event.idm.read_only_udm.target.asset.hostname`	Se asigna directamente desde el campo `localhost`. `dst_ip` se ha definido como "127.0.0.1".
`malware_action`	`event.idm.read_only_udm.security_result.detection_fields[].value`, `event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value`	Se asigna directamente desde el campo `malware_action`. La clave es "malware_action".
`malware_family`	`event.idm.read_only_udm.security_result.detection_fields[].value`, `event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value`	Se asigna directamente desde el campo `malware_family`. La clave es "malware_family".
`malware_rule_id`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Se asigna directamente desde el campo `malware_rule_id` después de quitar las llaves. La clave es "Malware Rule ID".
`malware_rule_name`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Se asigna directamente desde el campo `malware_rule_name`. La clave es "Nombre de la regla de malware".
`match_id`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Se asigna directamente desde el campo `match_id`. La clave es "match_id".
`matched_category`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Se asigna directamente desde el campo `matched_category`. La clave es "matched_category".
`message_info`	`event.idm.read_only_udm.metadata.description`	Se asigna directamente desde el campo `message_info`.
`method`	`event.idm.read_only_udm.network.http.method`	Se asigna directamente desde el campo `method`.
`mitre_execution`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Se asigna directamente desde el campo `mitre_execution`. La clave es "mitre_execution".
`mitre_initial_access`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Se asigna directamente desde el campo `mitre_initial_access`. La clave es "mitre_initial_access".
`nat_rulenum`	`event.idm.read_only_udm.security_result.rule_id`	Se asigna directamente desde el campo `nat_rulenum` y se convierte en una cadena.
`objecttype`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Se asigna directamente desde el campo `objecttype`. La clave es "objecttype".
`operation`	`event.idm.read_only_udm.security_result.summary`	Se asigna directamente desde el campo `operation`.
`operation`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Se asigna directamente desde el campo `operation`. La clave es "operation".
`orig`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Se asigna directamente desde el campo `orig`.
`origin`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`, `event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip` y `event.idm.read_only_udm.intermediary.ip`	Se asigna directamente desde el campo `origin`.
`origin_sic_name`	`event.idm.read_only_udm.intermediary.asset_id`, `event.idm.read_only_udm.intermediary.labels[].value`	Se asigna directamente desde el campo `origin_sic_name`. La clave es "Machine SIC". El ID de recurso tiene el prefijo "asset:".
`originsicname`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Se asigna directamente desde el campo `originsicname`. La clave es "originsicname".
`originsicname`	`event.idm.read_only_udm.intermediary.asset_id`, `event.idm.read_only_udm.intermediary.labels[].value`	Se asigna directamente desde el campo `originsicname`. La clave es "Machine SIC". El ID de recurso tiene el prefijo "asset:".
`os_name`	`event.idm.read_only_udm.principal.asset.platform_software.platform`	Si `os_name` contiene "Win", se asigna a "WINDOWS". Si contiene "MAC" o "IOS", se asigna a "MAC". Si contiene "LINUX", se asigna a "LINUX".
`os_version`	`event.idm.read_only_udm.principal.asset.platform_software.platform_patch_level`	Se asigna directamente desde el campo `os_version`.
`outzone`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Se asigna directamente desde el campo `outzone`. La clave es "outzone".
`packets`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Se asigna directamente desde el campo `packets`. La clave es "packets".
`packet_capture_name`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Se asigna directamente desde el campo `packet_capture_name`. La clave es "packet_capture_name".
`packet_capture_time`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Se asigna directamente desde el campo `packet_capture_time`. La clave es "packet_capture_time".
`packet_capture_unique_id`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Se asigna directamente desde el campo `packet_capture_unique_id`. La clave es "packet_capture_unique_id".
`parent_rule`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Se asigna directamente desde el campo `parent_rule`. La clave es "parent_rule".
`performance_impact`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Se asigna directamente desde el campo `performance_impact`. La clave es "performance_impact".
`policy_name`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Se extrae del campo `__policy_id_tag` mediante grok y se asigna. La clave es "Policy Name".
`policy_time`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Se asigna directamente desde el campo `policy_time`. La clave es "policy_time".
`portal_message`	`event.idm.read_only_udm.security_result.description`	Se asigna directamente desde el campo `portal_message`.
`principal_hostname`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Se asigna directamente desde el campo `principal_hostname` si es una dirección IP válida.
`principal_hostname`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Se asigna directamente desde el campo `principal_hostname` si no es una dirección IP válida y no es "Checkpoint".
`prod_family_label`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Se asigna directamente desde el campo `ProductFamily`. La clave es "ProductFamily".
`product`	`event.idm.read_only_udm.metadata.product_name`	Se asigna directamente desde el campo `product`.
`product_family`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Se asigna directamente desde el campo `product_family`. La clave es "product_family".
`product_family`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Se asigna directamente desde el campo `product_family`. La clave es "product_family".
`ProductName`	`event.idm.read_only_udm.metadata.product_name`	Se asigna directamente desde el campo `ProductName` cuando `product` está vacío.
`product_name`	`event.idm.read_only_udm.metadata.product_name`	Se asigna directamente desde el campo `product_name`.
`profile`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Se asigna directamente desde el campo `profile`. La clave es "profile".
`protocol`	`event.idm.read_only_udm.network.application_protocol`	Se asigna directamente desde el campo `protocol` si es "HTTP".
`proxy_src_ip`	`event.idm.read_only_udm.principal.nat_ip`	Se asigna directamente desde el campo `proxy_src_ip`.
`reason`	`event.idm.read_only_udm.security_result.summary`	Se asigna directamente desde el campo `reason`.
`received_bytes`	`event.idm.read_only_udm.network.received_bytes`	Se asigna directamente desde el campo `received_bytes` y se convierte en un entero sin signo.
`Reference`	`event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value`, `event.idm.read_only_udm.security_result.detection_fields[].value`	Se asigna directamente desde el campo `Reference`. La clave es "Reference". Se usa para crear `_vuln.name` con `attack`.
`reject_id_kid`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Se asigna directamente desde el campo `reject_id_kid`. La clave es "reject_id_kid".
`resource`	`event.idm.read_only_udm.target.url`	Se analiza como JSON y se asigna a la URL de destino. Si el análisis falla, se asigna directamente.
`resource`	`event.idm.read_only_udm.additional.fields[].value.list_value.values[].string_value`	Se analiza como JSON y cada valor de la matriz `resource` se añade a la lista. La clave es "Resource".
`result`	`event.idm.read_only_udm.metadata.event_timestamp`	Analizado con `date_time` para crear la marca de tiempo del evento.
`rt`	`event.idm.read_only_udm.metadata.event_timestamp`	Se analiza como milisegundos desde el inicio del registro de tiempo y se convierte en una marca de tiempo.
`rule`	`event.idm.read_only_udm.security_result.rule_name`	Se asigna directamente desde el campo `rule`.
`rule_action`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Se asigna directamente desde el campo `rule_action`. La clave es "rule_action".
`rule_name`	`event.idm.read_only_udm.security_result.rule_name`	Se asigna directamente desde el campo `rule_name`.
`rule_uid`	`event.idm.read_only_udm.security_result.rule_id`	Se asigna directamente desde el campo `rule_uid`.
`s_port`	`event.idm.read_only_udm.principal.port`	Se asigna directamente desde el campo `s_port` y se convierte en un número entero.
`scheme`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Se asigna directamente desde el campo `scheme`. La clave es "scheme".
`security_inzone`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Se asigna directamente desde el campo `security_inzone`. La clave es "security_inzone".
`security_outzone`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Se asigna directamente desde el campo `security_outzone`. La clave es "security_outzone".
`security_result_action`	`event.idm.read_only_udm.security_result.action`	Se asigna directamente desde el campo `security_result_action`.
`sendtotrackerasadvancedauditlog`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Se asigna directamente desde el campo `sendtotrackerasadvancedauditlog`. La clave es "sendtotrackerasadvancedauditlog".
`sent_bytes`	`event.idm.read_only_udm.network.sent_bytes`	Se asigna directamente desde el campo `sent_bytes` y se convierte en un entero sin signo.
`sequencenum`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Se asigna directamente desde el campo `sequencenum`. La clave es "sequencenum".
`ser_agent_kid`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Se asigna directamente desde el campo `ser_agent_kid`. La clave es "ser_agent_kid".
`service`	`event.idm.read_only_udm.target.port`	Se asigna directamente desde el campo `service` y se convierte en un número entero.
`service_id`	`event.idm.read_only_udm.network.application_protocol`	Se asigna directamente desde el campo `service_id` si es "dhcp", "dns", "http", "https" o "quic", convertido a mayúsculas.
`service_id`	`event.idm.read_only_udm.principal.application`	Se asigna directamente desde el campo `service_id` si no es uno de los protocolos de aplicación de red.
`service_id`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Se asigna directamente desde el campo `service_id`. La clave es "service_id".
`session_description`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Se asigna directamente desde el campo `session_description`. La clave es "session_description".
`session_id`	`event.idm.read_only_udm.network.session_id`	Se asigna directamente desde el campo `session_id` después de quitar las llaves.
`session_name`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Se asigna directamente desde el campo `session_name`. La clave es "session_name".
`session_uid`	`event.idm.read_only_udm.network.session_id`	Se asigna directamente desde el campo `session_uid` después de quitar las llaves.
`Severity`	`event.idm.read_only_udm.security_result.severity`	Se asigna a "LOW" (BAJO), "MEDIUM" (MEDIO), "HIGH" (ALTO) o "CRITICAL" (CRÍTICO) en función del valor de `Severity`.
`severity`	`event.idm.read_only_udm.security_result.severity`	Se asigna a "LOW" (BAJO), "MEDIUM" (MEDIO), "HIGH" (ALTO) o "CRITICAL" (CRÍTICO) en función del valor de `severity`.
`site`	`event.idm.read_only_udm.network.http.user_agent`	Se asigna directamente desde el campo `site`.
`smartdefense_profile`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Se asigna directamente desde el campo `smartdefense_profile`. La clave es "smartdefense_profile".
`snid`	`event.idm.read_only_udm.network.session_id`	Se asigna directamente desde el campo `snid` si no está vacío o no es "0".
`sourceAddress`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Se asigna directamente desde el campo `sourceAddress`.
`sourcePort`	`event.idm.read_only_udm.principal.port`	Se asigna directamente desde el campo `sourcePort` y se convierte en un número entero.
`sourceTranslatedAddress`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Se asigna directamente desde el campo `sourceTranslatedAddress`.
`sourceTranslatedAddress`	`event.idm.read_only_udm.principal.nat_ip`	Se asigna directamente desde el campo `sourceTranslatedAddress`.
`sourceTranslatedPort`	`event.idm.read_only_udm.principal.port`	Se asigna directamente desde el campo `sourceTranslatedPort` y se convierte en un número entero.
`sourceTranslatedPort`	`event.idm.read_only_udm.principal.nat_port`	Se asigna directamente desde el campo `sourceTranslatedPort` y se convierte en un número entero.
`sourceUserName`	`event.idm.read_only_udm.principal.user.userid`, `event.idm.read_only_udm.principal.user.first_name`, `event.idm.read_only_udm.principal.user.last_name`	Se analiza con grok para extraer el ID de usuario, el nombre y los apellidos.
`spt`	`event.idm.read_only_udm.principal.port`	Se asigna directamente desde el campo `spt` y se convierte en un número entero.
`src`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Se asigna directamente desde el campo `src`.
`src_ip`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Se asigna directamente desde el campo `src_ip`.
`src_localhost`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Se asigna directamente desde el campo `src_localhost`. `src_ip` se ha definido como "127.0.0.1".
`src_machine_name`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Se asigna directamente desde el campo `src_machine_name`. La clave es "src_machine_name".
`src_port`	`event.idm.read_only_udm.principal.port`	Se asigna directamente desde el campo `src_port` y se convierte en un número entero.
`src_user`	`event.idm.read_only_udm.principal.user.userid`	Se asigna directamente desde el campo `src_user`.
`src_user_dn`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Se asigna directamente desde el campo `src_user_dn`. La clave es "src_user_dn".
`src_user_name`	`event.idm.read_only_udm.principal.user.userid`	Se asigna directamente desde el campo `src_user_name`.
`sub_policy_name`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Se asigna directamente desde el campo `sub_policy_name`. La clave es "sub_policy_name".
`sub_policy_uid`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Se asigna directamente desde el campo `sub_policy_uid`. La clave es "sub_policy_uid".
`subject`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Se asigna directamente desde el campo `subject`. La clave es "subject".
`subscription_stat_desc`	`event.idm.read_only_udm.security_result.summary`	Se asigna directamente desde el campo `subscription_stat_desc`.
`tags`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Se asigna directamente desde el campo `tags`. La clave es "tags".
`tar_user`	`event.idm.read_only_udm.target.user.userid`	Se asigna directamente desde el campo `tar_user`.
`target_port`	`event.idm.read_only_udm.target.port`	Se asigna directamente desde el campo `target_port`.
`tcp_flags`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Se asigna directamente desde el campo `tcp_flags`. La clave es "tcp_flags".
`tcp_packet_out_of_state`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Se asigna directamente desde el campo `tcp_packet_out_of_state`. La clave es "tcp_packet_out_of_state".
`time`	`event.idm.read_only_udm.metadata.event_timestamp`	Se analiza y se convierte en una marca de tiempo con varios formatos de fecha.
`ts`	`event.idm.read_only_udm.metadata.event_timestamp`	Se analiza con `ds` y `tz` para crear la marca de tiempo del evento.
`type`	`event.idm.read_only_udm.security_result.rule_type`	Se asigna directamente desde el campo `type`.
`tz`	`event.idm.read_only_udm.metadata.event_timestamp`	Se usa con `ds` y `ts` para crear la marca de tiempo del evento.
`update_count`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Se asigna directamente desde el campo `update_count`. La clave es "update_count".
`URL`	`event.idm.read_only_udm.security_result.about.url`	Se asigna directamente desde el campo `URL`.
`user`	`event.idm.read_only_udm.principal.user.userid`	Se asigna directamente desde el campo `user`.
`user_agent`	`event.idm.read_only_udm.network.http.user_agent`	Se asigna directamente desde el campo `user_agent`. También se ha analizado y asignado a `event.idm.read_only_udm.network.http.parsed_user_agent`.
`userip`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Se asigna directamente desde el campo `userip` si es una dirección IP válida.
`UUid`	`event.idm.read_only_udm.metadata.product_log_id`	Se asigna directamente desde el campo `UUid` después de quitar las llaves.
`version`	`event.idm.read_only_udm.metadata.product_version`	Se asigna directamente desde el campo `version`.
`web_client_type`	`event.idm.read_only_udm.network.http.user_agent`	Se asigna directamente desde el campo `web_client_type`.
`xlatedport`	`event.idm.read_only_udm.target.nat_port`	Se asigna directamente desde el campo `xlatedport` y se convierte en un número entero.
`xlatedst`	`event.idm.read_only_udm.target.nat_ip`	Se asigna directamente desde el campo `xlatedst`.
`xlatesport`	`event.idm.read_only_udm.principal.nat_port`	Se asigna directamente desde el campo `xlatesport` y se convierte en un número entero.
`xlatesrc`	`event.idm.read_only_udm.principal.nat_ip`	Se asigna directamente desde el campo `xlatesrc`.
`event.idm.read_only_udm.metadata.vendor_name`	`Check Point`	Valor codificado.
`event.idm.read_only_udm.metadata.log_type`	`CHECKPOINT_FIREWALL`	Valor codificado.
`event.idm.read_only_udm.security_result.rule_type`	`Firewall Rule`	Valor predeterminado, a menos que se anule mediante una lógica específica.
`has_principal`	`true`	Se define como true cuando se extrae la IP o el nombre de host principal.
`has_target`	`true`	Se define como true cuando se extrae la IP o el nombre de host de destino.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.