Cette page a été traduite par l'API Cloud Translation.

Collecter les journaux de pare-feu Check Point

Compatible avec :

Google SecOps SIEM

Cet analyseur extrait les journaux de pare-feu Check Point. Il gère les messages au format CEF et non CEF, y compris syslog, les paires clé-valeur et JSON. Il normalise les champs, les mappe à l'UDM et effectue une logique spécifique pour les événements de connexion/déconnexion, de connexions réseau et de sécurité. Elle enrichit les données avec des informations contextuelles telles que la géolocalisation et les renseignements sur les menaces.

Avant de commencer

Assurez-vous de disposer d'une instance Google Security Operations.
Assurez-vous d'utiliser Windows 2016 ou une version ultérieure, ou un hôte Linux avec systemd.
Si vous exécutez le programme derrière un proxy, assurez-vous que les ports du pare-feu sont ouverts.
Assurez-vous de disposer d'un accès privilégié à un pare-feu Check Point.

Obtenir le fichier d'authentification d'ingestion Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres du SIEM > Agents de collecte.
Téléchargez le fichier d'authentification d'ingestion.

Obtenir l'ID client Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres SIEM> Profil.
Copiez et enregistrez le numéro client de la section Informations sur l'organisation.

Installer l'agent BindPlane

Pour installer sous Windows, exécutez le script suivant :
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Pour installer sous Linux, exécutez le script suivant :
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Vous trouverez d'autres options d'installation dans ce guide d'installation.

Configurer l'agent Bindplane pour ingérer les journaux Syslog et les envoyer à Google SecOps

Accédez à la machine sur laquelle Bindplane est installé.

Modifiez le fichier config.yaml comme suit :

receivers:
    udplog:
        # Replace the below port <54525> and IP <0.0.0.0> with your specific values
        listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: Checkpoint_Firewall
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Redémarrez l'agent Bindplane pour appliquer les modifications :
```
sudo systemctl restart bindplane
```

Configurer l'exportation Syslog dans un pare-feu Check Point

Connectez-vous à l'interface utilisateur du pare-feu Check Point à l'aide d'un compte privilégié.
Accédez à Journaux et surveillance > Serveurs de journaux.
Accédez à Syslog Servers (Serveurs Syslog).
Cliquez sur Configurer, puis définissez les valeurs suivantes :
- Protocole : sélectionnez UDP pour envoyer les journaux de sécurité et/ou système.
- Nom : indiquez un nom unique (par exemple, Bindplane_Server).
- Adresse IP : indiquez l'adresse IP de votre serveur syslog (adresse IP Bindplane).
- Port : indiquez le port de votre serveur syslog (port Bindplane).
Sélectionnez Activer le serveur de journaux.
Sélectionnez les journaux à transférer : Journaux système et de sécurité.
Cliquez sur Appliquer.

Table de mappage UDM

Champ de journal	Mappage UDM	Logique
`Action`	`event.idm.read_only_udm.security_result.action_details`	Mappé directement à partir du champ `Action`.
`Activity`	`event.idm.read_only_udm.security_result.summary`	Mappé directement à partir du champ `Activity`.
`additional_info`	`event.idm.read_only_udm.security_result.description`	Mappé directement à partir du champ `additional_info`.
`administrator`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mappé directement à partir du champ `administrator`. La clé est "administrator".
`aggregated_log_count`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mappé directement à partir du champ `aggregated_log_count`. La clé est "aggregated_log_count".
`appi_name`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mappé directement à partir du champ `appi_name`. La clé est "appi_name".
`app_category`	`event.idm.read_only_udm.security_result.category_details`	Mappé directement à partir du champ `app_category`.
`app_properties`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mappé directement à partir du champ `app_properties`. La clé est "app_properties".
`app_risk`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mappé directement à partir du champ `app_risk`. La clé est "app_risk".
`app_session_id`	`event.idm.read_only_udm.network.session_id`	Mappé directement à partir du champ `app_session_id` et converti en chaîne.
`attack`	`event.idm.read_only_udm.security_result.summary`	Mappé directement à partir du champ `attack` lorsque `Info` est présent.
`attack`	`event.idm.read_only_udm.security_result.threat_name`	Mappé directement à partir du champ `attack` lorsque `Info` est présent.
`attack_info`	`event.idm.read_only_udm.security_result.description`	Mappé directement à partir du champ `attack_info`.
`auth_status`	`event.idm.read_only_udm.security_result.summary`	Mappé directement à partir du champ `auth_status`.
`browse_time`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mappé directement à partir du champ `browse_time`. La clé est "browse_time".
`bytes`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mappé directement à partir du champ `bytes`. La clé est "bytes".
`bytes`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mappé directement à partir du champ `bytes`. La clé est "bytes".
`calc_service`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mappé directement à partir du champ `calc_service`. La clé est "calc_service".
`category`	`event.idm.read_only_udm.security_result.category_details`	Mappé directement à partir du champ `category`.
`client_version`	`event.idm.read_only_udm.intermediary.platform_version`	Mappé directement à partir du champ `client_version`.
`conn_direction`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mappé directement à partir du champ `conn_direction`. La clé est "conn_direction".
`conn_direction`	`event.idm.read_only_udm.network.direction`	Si `conn_direction` est défini sur "Incoming", il correspond à "INBOUND". Sinon, la valeur est "OUTBOUND".
`connection_count`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mappé directement à partir du champ `connection_count`. La clé est "connection_count".
`contract_name`	`event.idm.read_only_udm.security_result.description`	Mappé directement à partir du champ `contract_name`.
`cs2`	`event.idm.read_only_udm.security_result.rule_name`	Mappé directement à partir du champ `cs2`.
`date_time`	`event.idm.read_only_udm.metadata.event_timestamp`	Analysée et convertie en code temporel à l'aide de différents formats de date.
`dedup_time`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mappé directement à partir du champ `dedup_time`. La clé est "dedup_time".
`desc`	`event.idm.read_only_udm.security_result.summary`	Mappé directement à partir du champ `desc`.
`description`	`event.idm.read_only_udm.security_result.description`	Mappé directement à partir du champ `description`.
`description_url`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mappé directement à partir du champ `description_url`. La clé est "description_url".
`destinationAddress`	`event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`	Mappé directement à partir du champ `destinationAddress`.
`destinationPort`	`event.idm.read_only_udm.target.port`	Mappé directement à partir du champ `destinationPort` et converti en entier.
`destinationTranslatedAddress`	`event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`	Mappé directement à partir du champ `destinationTranslatedAddress`.
`destinationTranslatedAddress`	`event.idm.read_only_udm.target.nat_ip`	Mappé directement à partir du champ `destinationTranslatedAddress`.
`destinationTranslatedPort`	`event.idm.read_only_udm.target.port`	Mappé directement à partir du champ `destinationTranslatedPort` et converti en entier.
`destinationTranslatedPort`	`event.idm.read_only_udm.target.nat_port`	Mappé directement à partir du champ `destinationTranslatedPort` et converti en entier.
`deviceCustomString2`	`event.idm.read_only_udm.security_result.rule_name`	Mappé directement à partir du champ `deviceCustomString2`.
`deviceDirection`	`event.idm.read_only_udm.network.direction`	Si `deviceDirection` est égal à 0, cela correspond à "OUTBOUND" (SORTANT). Si la valeur est 1, elle correspond à "INBOUND" (ENTRANT).
`domain`	`event.idm.read_only_udm.principal.administrative_domain`	Mappé directement à partir du champ `domain`.
`domain_name`	`event.idm.read_only_udm.principal.administrative_domain`	Mappé directement à partir du champ `domain_name`.
`drop_reason`	`event.idm.read_only_udm.security_result.summary`	Mappé directement à partir du champ `drop_reason`.
`ds`	`event.idm.read_only_udm.metadata.event_timestamp`	Utilisé avec `ts` et `tz` pour créer le code temporel de l'événement.
`dst`	`event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`	Mappé directement à partir du champ `dst`.
`dst_country`	`event.idm.read_only_udm.target.location.country_or_region`	Mappé directement à partir du champ `dst_country`.
`dst_ip`	`event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`	Mappé directement à partir du champ `dst_ip`.
`dpt`	`event.idm.read_only_udm.target.port`	Mappé directement à partir du champ `dpt` et converti en entier.
`duration`	`event.idm.read_only_udm.network.session_duration.seconds`	Directement mappé à partir du champ `duration`, converti en nombre entier, si la valeur est supérieure à 0.
`duser`	`event.idm.read_only_udm.target.user.email_addresses`, `event.idm.read_only_udm.target.user.user_display_name`	Directement mappé à partir du champ `duser` s'il correspond à un format d'adresse e-mail.
`environment_id`	`event.idm.read_only_udm.target.resource.product_object_id`	Mappé directement à partir du champ `environment_id`.
`event_type`	`event.idm.read_only_udm.metadata.event_type`	Déterminé par une logique basée sur la présence de certains champs et valeurs. La valeur par défaut est `GENERIC_EVENT` si aucun type d'événement spécifique n'est identifié. Il peut s'agir de `NETWORK_CONNECTION`, `USER_LOGIN`, `USER_CHANGE_PASSWORD`, `USER_LOGOUT`, `NETWORK_HTTP` ou `STATUS_UPDATE`.
`fieldschanges`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mappé directement à partir du champ `fieldschanges`. La clé est "fieldschanges".
`flags`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mappé directement à partir du champ `flags`. La clé est "flags".
`flexString2`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mappé directement à partir du champ `flexString2`. La clé correspond à la valeur de `flexString2Label`.
`from_user`	`event.idm.read_only_udm.principal.user.userid`	Mappé directement à partir du champ `from_user`.
`fservice`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mappé directement à partir du champ `fservice`. La clé est "fservice".
`fw_subproduct`	`event.idm.read_only_udm.metadata.product_name`	Directement mappé à partir du champ `fw_subproduct` lorsque `product` est vide.
`geoip_dst.country_name`	`event.idm.read_only_udm.target.location.country_or_region`	Mappé directement à partir du champ `geoip_dst.country_name`.
`hll_key`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mappé directement à partir du champ `hll_key`. La clé est "hll_key".
`hostname`	`event.idm.read_only_udm.target.hostname`, `event.idm.read_only_udm.target.asset.hostname`, `event.idm.read_only_udm.intermediary.hostname`	Directement mappé à partir du champ `hostname` lorsque `inter_host` est vide.
`http_host`	`event.idm.read_only_udm.target.resource.attribute.labels[].value`	Mappé directement à partir du champ `http_host`. La clé est "http_host".
`id`	`event.idm.read_only_udm.metadata.product_log_id`	Mappé directement à partir du champ `_id`.
`identity_src`	`event.idm.read_only_udm.target.application`	Mappé directement à partir du champ `identity_src`.
`identity_type`	`event.idm.read_only_udm.extensions.auth.type`	Si `identity_type` est défini sur "user", il correspond à "VPN". Sinon, elle correspond à "MACHINE".
`if_direction`	`event.idm.read_only_udm.network.direction`	Directement mappé à partir du champ `if_direction`, converti en majuscules.
`ifdir`	`event.idm.read_only_udm.network.direction`	Directement mappé à partir du champ `ifdir`, converti en majuscules.
`ifname`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mappé directement à partir du champ `ifname`. La clé est "ifname".
`IKE`	`event.idm.read_only_udm.metadata.description`	Mappé directement à partir du champ `IKE`.
`inzone`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mappé directement à partir du champ `inzone`. La clé est "inzone".
`industry_reference`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mappé directement à partir du champ `industry_reference`. La clé est "industry_reference".
`instance_id`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Mappé directement à partir du champ `instance_id`.
`inter_host`	`event.idm.read_only_udm.intermediary.hostname`	Mappé directement à partir du champ `inter_host`.
`ip_proto`	`event.idm.read_only_udm.network.ip_protocol`	Déterminé en fonction du champ `proto` ou `service`. Il peut s'agir de TCP, UDP, ICMP, IP6IN4 ou GRE.
`ipv6_dst`	`event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`	Mappé directement à partir du champ `ipv6_dst`.
`ipv6_src`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Mappé directement à partir du champ `ipv6_src`.
`layer_name`	`event.idm.read_only_udm.security_result.rule_set_display_name`, `event.idm.read_only_udm.security_result.detection_fields[].value`	Mappé directement à partir du champ `layer_name`. La clé est "layer_name".
`layer_uuid`	`event.idm.read_only_udm.security_result.rule_set`, `event.idm.read_only_udm.security_result.detection_fields[].value`	Mappé directement à partir du champ `layer_uuid` après suppression des accolades. La clé est "layer_uuid".
`layer_uuid_rule_uuid`	`event.idm.read_only_udm.security_result.rule_id`	Directement mappé à partir du champ `layer_uuid_rule_uuid` après suppression des crochets et des guillemets.
`log_id`	`event.idm.read_only_udm.metadata.product_log_id`	Mappé directement à partir du champ `log_id`.
`log_type`	`event.idm.read_only_udm.metadata.log_type`	Mappé directement à partir du champ `log_type`. Codé en dur sur "CHECKPOINT_FIREWALL".
`loguid`	`event.idm.read_only_udm.metadata.product_log_id`	Mappé directement à partir du champ `loguid` après suppression des accolades.
`logic_changes`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mappé directement à partir du champ `logic_changes`. La clé est "logic_changes".
`localhost`	`event.idm.read_only_udm.target.hostname`, `event.idm.read_only_udm.target.asset.hostname`	Mappé directement à partir du champ `localhost`. `dst_ip` est défini sur "127.0.0.1".
`malware_action`	`event.idm.read_only_udm.security_result.detection_fields[].value`, `event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value`	Mappé directement à partir du champ `malware_action`. La clé est "malware_action".
`malware_family`	`event.idm.read_only_udm.security_result.detection_fields[].value`, `event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value`	Mappé directement à partir du champ `malware_family`. La clé est "malware_family".
`malware_rule_id`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mappé directement à partir du champ `malware_rule_id` après suppression des accolades. La clé est "ID de la règle relative aux logiciels malveillants".
`malware_rule_name`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mappé directement à partir du champ `malware_rule_name`. La clé est "Nom de la règle relative aux logiciels malveillants".
`match_id`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mappé directement à partir du champ `match_id`. La clé est "match_id".
`matched_category`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mappé directement à partir du champ `matched_category`. La clé est "matched_category".
`message_info`	`event.idm.read_only_udm.metadata.description`	Mappé directement à partir du champ `message_info`.
`method`	`event.idm.read_only_udm.network.http.method`	Mappé directement à partir du champ `method`.
`mitre_execution`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mappé directement à partir du champ `mitre_execution`. La clé est "mitre_execution".
`mitre_initial_access`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mappé directement à partir du champ `mitre_initial_access`. La clé est "mitre_initial_access".
`nat_rulenum`	`event.idm.read_only_udm.security_result.rule_id`	Mappé directement à partir du champ `nat_rulenum` et converti en chaîne.
`objecttype`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mappé directement à partir du champ `objecttype`. La clé est "objecttype".
`operation`	`event.idm.read_only_udm.security_result.summary`	Mappé directement à partir du champ `operation`.
`operation`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mappé directement à partir du champ `operation`. La clé est "operation".
`orig`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Mappé directement à partir du champ `orig`.
`origin`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`, `event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip` et `event.idm.read_only_udm.intermediary.ip`	Mappé directement à partir du champ `origin`.
`origin_sic_name`	`event.idm.read_only_udm.intermediary.asset_id`, `event.idm.read_only_udm.intermediary.labels[].value`	Mappé directement à partir du champ `origin_sic_name`. La clé est "Machine SIC". L'ID du composant est précédé de "asset:".
`originsicname`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mappé directement à partir du champ `originsicname`. La clé est "originsicname".
`originsicname`	`event.idm.read_only_udm.intermediary.asset_id`, `event.idm.read_only_udm.intermediary.labels[].value`	Mappé directement à partir du champ `originsicname`. La clé est "Machine SIC". L'ID du composant est précédé de "asset:".
`os_name`	`event.idm.read_only_udm.principal.asset.platform_software.platform`	Si `os_name` contient "Win", la valeur est mappée sur "WINDOWS". Si elle contient "MAC" ou "IOS", elle est associée à "MAC". Si elle contient "LINUX", elle est associée à "LINUX".
`os_version`	`event.idm.read_only_udm.principal.asset.platform_software.platform_patch_level`	Mappé directement à partir du champ `os_version`.
`outzone`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mappé directement à partir du champ `outzone`. La clé est "outzone".
`packets`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mappé directement à partir du champ `packets`. La clé est "packets".
`packet_capture_name`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mappé directement à partir du champ `packet_capture_name`. La clé est "packet_capture_name".
`packet_capture_time`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mappé directement à partir du champ `packet_capture_time`. La clé est "packet_capture_time".
`packet_capture_unique_id`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mappé directement à partir du champ `packet_capture_unique_id`. La clé est "packet_capture_unique_id".
`parent_rule`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mappé directement à partir du champ `parent_rule`. La clé est "parent_rule".
`performance_impact`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mappé directement à partir du champ `performance_impact`. La clé est "performance_impact".
`policy_name`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Extrait du champ `__policy_id_tag` à l'aide de grok et mappé. La clé est "Nom de la règle".
`policy_time`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mappé directement à partir du champ `policy_time`. La clé est "policy_time".
`portal_message`	`event.idm.read_only_udm.security_result.description`	Mappé directement à partir du champ `portal_message`.
`principal_hostname`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Mappé directement à partir du champ `principal_hostname` s'il s'agit d'une adresse IP valide.
`principal_hostname`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Directement mappé à partir du champ `principal_hostname` s'il ne s'agit pas d'une adresse IP valide ni de "Checkpoint".
`prod_family_label`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mappé directement à partir du champ `ProductFamily`. La clé est "ProductFamily".
`product`	`event.idm.read_only_udm.metadata.product_name`	Mappé directement à partir du champ `product`.
`product_family`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mappé directement à partir du champ `product_family`. La clé est "product_family".
`product_family`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mappé directement à partir du champ `product_family`. La clé est "product_family".
`ProductName`	`event.idm.read_only_udm.metadata.product_name`	Directement mappé à partir du champ `ProductName` lorsque `product` est vide.
`product_name`	`event.idm.read_only_udm.metadata.product_name`	Mappé directement à partir du champ `product_name`.
`profile`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mappé directement à partir du champ `profile`. La clé est "profile".
`protocol`	`event.idm.read_only_udm.network.application_protocol`	Mappé directement à partir du champ `protocol` s'il est défini sur "HTTP".
`proxy_src_ip`	`event.idm.read_only_udm.principal.nat_ip`	Mappé directement à partir du champ `proxy_src_ip`.
`reason`	`event.idm.read_only_udm.security_result.summary`	Mappé directement à partir du champ `reason`.
`received_bytes`	`event.idm.read_only_udm.network.received_bytes`	Directement mappé à partir du champ `received_bytes`, converti en entier non signé.
`Reference`	`event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value`, `event.idm.read_only_udm.security_result.detection_fields[].value`	Mappé directement à partir du champ `Reference`. La clé est "Reference". Permet de créer `_vuln.name` avec `attack`.
`reject_id_kid`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mappé directement à partir du champ `reject_id_kid`. La clé est "reject_id_kid".
`resource`	`event.idm.read_only_udm.target.url`	Analysé au format JSON et mappé à l'URL cible. Si l'analyse échoue, elle est directement mappée.
`resource`	`event.idm.read_only_udm.additional.fields[].value.list_value.values[].string_value`	Les valeurs sont analysées au format JSON et chaque valeur du tableau `resource` est ajoutée à la liste. La clé est "Resource".
`result`	`event.idm.read_only_udm.metadata.event_timestamp`	Analysé avec `date_time` pour créer l'horodatage de l'événement.
`rt`	`event.idm.read_only_udm.metadata.event_timestamp`	Analysé en tant que millisecondes depuis l'epoch et converti en code temporel.
`rule`	`event.idm.read_only_udm.security_result.rule_name`	Mappé directement à partir du champ `rule`.
`rule_action`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mappé directement à partir du champ `rule_action`. La clé est "rule_action".
`rule_name`	`event.idm.read_only_udm.security_result.rule_name`	Mappé directement à partir du champ `rule_name`.
`rule_uid`	`event.idm.read_only_udm.security_result.rule_id`	Mappé directement à partir du champ `rule_uid`.
`s_port`	`event.idm.read_only_udm.principal.port`	Mappé directement à partir du champ `s_port` et converti en entier.
`scheme`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mappé directement à partir du champ `scheme`. La clé est "scheme".
`security_inzone`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mappé directement à partir du champ `security_inzone`. La clé est "security_inzone".
`security_outzone`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mappé directement à partir du champ `security_outzone`. La clé est "security_outzone".
`security_result_action`	`event.idm.read_only_udm.security_result.action`	Mappé directement à partir du champ `security_result_action`.
`sendtotrackerasadvancedauditlog`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mappé directement à partir du champ `sendtotrackerasadvancedauditlog`. La clé est "sendtotrackerasadvancedauditlog".
`sent_bytes`	`event.idm.read_only_udm.network.sent_bytes`	Directement mappé à partir du champ `sent_bytes`, converti en entier non signé.
`sequencenum`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mappé directement à partir du champ `sequencenum`. La clé est "sequencenum".
`ser_agent_kid`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mappé directement à partir du champ `ser_agent_kid`. La clé est "ser_agent_kid".
`service`	`event.idm.read_only_udm.target.port`	Mappé directement à partir du champ `service` et converti en entier.
`service_id`	`event.idm.read_only_udm.network.application_protocol`	Mappé directement à partir du champ `service_id` s'il s'agit de "dhcp", "dns", "http", "https" ou "quic", converti en majuscules.
`service_id`	`event.idm.read_only_udm.principal.application`	Directement mappé à partir du champ `service_id` s'il ne s'agit pas de l'un des protocoles d'application réseau.
`service_id`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mappé directement à partir du champ `service_id`. La clé est "service_id".
`session_description`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mappé directement à partir du champ `session_description`. La clé est "session_description".
`session_id`	`event.idm.read_only_udm.network.session_id`	Mappé directement à partir du champ `session_id` après suppression des accolades.
`session_name`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mappé directement à partir du champ `session_name`. La clé est "session_name".
`session_uid`	`event.idm.read_only_udm.network.session_id`	Mappé directement à partir du champ `session_uid` après suppression des accolades.
`Severity`	`event.idm.read_only_udm.security_result.severity`	Mappé sur "LOW", "MEDIUM", "HIGH" ou "CRITICAL" en fonction de la valeur de `Severity`.
`severity`	`event.idm.read_only_udm.security_result.severity`	Mappé sur "LOW", "MEDIUM", "HIGH" ou "CRITICAL" en fonction de la valeur de `severity`.
`site`	`event.idm.read_only_udm.network.http.user_agent`	Mappé directement à partir du champ `site`.
`smartdefense_profile`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mappé directement à partir du champ `smartdefense_profile`. La clé est "smartdefense_profile".
`snid`	`event.idm.read_only_udm.network.session_id`	Directement mappé à partir du champ `snid` s'il n'est pas vide ou s'il est défini sur "0".
`sourceAddress`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Mappé directement à partir du champ `sourceAddress`.
`sourcePort`	`event.idm.read_only_udm.principal.port`	Mappé directement à partir du champ `sourcePort` et converti en entier.
`sourceTranslatedAddress`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Mappé directement à partir du champ `sourceTranslatedAddress`.
`sourceTranslatedAddress`	`event.idm.read_only_udm.principal.nat_ip`	Mappé directement à partir du champ `sourceTranslatedAddress`.
`sourceTranslatedPort`	`event.idm.read_only_udm.principal.port`	Mappé directement à partir du champ `sourceTranslatedPort` et converti en entier.
`sourceTranslatedPort`	`event.idm.read_only_udm.principal.nat_port`	Mappé directement à partir du champ `sourceTranslatedPort` et converti en entier.
`sourceUserName`	`event.idm.read_only_udm.principal.user.userid`, `event.idm.read_only_udm.principal.user.first_name`, `event.idm.read_only_udm.principal.user.last_name`	Analysé à l'aide de grok pour extraire l'ID utilisateur, le prénom et le nom.
`spt`	`event.idm.read_only_udm.principal.port`	Mappé directement à partir du champ `spt` et converti en entier.
`src`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Mappé directement à partir du champ `src`.
`src_ip`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Mappé directement à partir du champ `src_ip`.
`src_localhost`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Mappé directement à partir du champ `src_localhost`. `src_ip` est défini sur "127.0.0.1".
`src_machine_name`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mappé directement à partir du champ `src_machine_name`. La clé est "src_machine_name".
`src_port`	`event.idm.read_only_udm.principal.port`	Mappé directement à partir du champ `src_port` et converti en entier.
`src_user`	`event.idm.read_only_udm.principal.user.userid`	Mappé directement à partir du champ `src_user`.
`src_user_dn`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mappé directement à partir du champ `src_user_dn`. La clé est "src_user_dn".
`src_user_name`	`event.idm.read_only_udm.principal.user.userid`	Mappé directement à partir du champ `src_user_name`.
`sub_policy_name`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mappé directement à partir du champ `sub_policy_name`. La clé est "sub_policy_name".
`sub_policy_uid`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mappé directement à partir du champ `sub_policy_uid`. La clé est "sub_policy_uid".
`subject`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mappé directement à partir du champ `subject`. La clé est "subject".
`subscription_stat_desc`	`event.idm.read_only_udm.security_result.summary`	Mappé directement à partir du champ `subscription_stat_desc`.
`tags`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mappé directement à partir du champ `tags`. La clé est "tags".
`tar_user`	`event.idm.read_only_udm.target.user.userid`	Mappé directement à partir du champ `tar_user`.
`target_port`	`event.idm.read_only_udm.target.port`	Mappé directement à partir du champ `target_port`.
`tcp_flags`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mappé directement à partir du champ `tcp_flags`. La clé est "tcp_flags".
`tcp_packet_out_of_state`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mappé directement à partir du champ `tcp_packet_out_of_state`. La clé est "tcp_packet_out_of_state".
`time`	`event.idm.read_only_udm.metadata.event_timestamp`	Analysée et convertie en code temporel à l'aide de différents formats de date.
`ts`	`event.idm.read_only_udm.metadata.event_timestamp`	Analysé avec `ds` et `tz` pour créer le code temporel de l'événement.
`type`	`event.idm.read_only_udm.security_result.rule_type`	Mappé directement à partir du champ `type`.
`tz`	`event.idm.read_only_udm.metadata.event_timestamp`	Utilisé avec `ds` et `ts` pour créer le code temporel de l'événement.
`update_count`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mappé directement à partir du champ `update_count`. La clé est "update_count".
`URL`	`event.idm.read_only_udm.security_result.about.url`	Mappé directement à partir du champ `URL`.
`user`	`event.idm.read_only_udm.principal.user.userid`	Mappé directement à partir du champ `user`.
`user_agent`	`event.idm.read_only_udm.network.http.user_agent`	Mappé directement à partir du champ `user_agent`. Également analysé et mappé sur `event.idm.read_only_udm.network.http.parsed_user_agent`.
`userip`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Mappé directement à partir du champ `userip` s'il s'agit d'une adresse IP valide.
`UUid`	`event.idm.read_only_udm.metadata.product_log_id`	Mappé directement à partir du champ `UUid` après suppression des accolades.
`version`	`event.idm.read_only_udm.metadata.product_version`	Mappé directement à partir du champ `version`.
`web_client_type`	`event.idm.read_only_udm.network.http.user_agent`	Mappé directement à partir du champ `web_client_type`.
`xlatedport`	`event.idm.read_only_udm.target.nat_port`	Mappé directement à partir du champ `xlatedport` et converti en entier.
`xlatedst`	`event.idm.read_only_udm.target.nat_ip`	Mappé directement à partir du champ `xlatedst`.
`xlatesport`	`event.idm.read_only_udm.principal.nat_port`	Mappé directement à partir du champ `xlatesport` et converti en entier.
`xlatesrc`	`event.idm.read_only_udm.principal.nat_ip`	Mappé directement à partir du champ `xlatesrc`.
`event.idm.read_only_udm.metadata.vendor_name`	`Check Point`	Valeur codée en dur.
`event.idm.read_only_udm.metadata.log_type`	`CHECKPOINT_FIREWALL`	Valeur codée en dur.
`event.idm.read_only_udm.security_result.rule_type`	`Firewall Rule`	Valeur par défaut, sauf si elle est remplacée par une logique spécifique.
`has_principal`	`true`	Définissez sur "true" lorsque l'adresse IP ou le nom d'hôte du compte principal sont extraits.
`has_target`	`true`	Définissez sur "true" lorsque l'adresse IP ou le nom d'hôte cible sont extraits.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.