このページは Cloud Translation API によって翻訳されました。

Check Point ファイアウォールログを収集する

以下でサポートされています。

Google SecOps SIEM

このパーサーは Check Point ファイアウォールのログを抽出します。syslog、Key-Value ペア、JSON など、CEF 形式と CEF 以外の形式の両方のメッセージを処理します。フィールドを正規化し、UDM にマッピングし、ログイン / ログアウト、ネットワーク接続、セキュリティイベントに関する特定のロジックを実行します。位置情報や脅威インテリジェンスなどのコンテキスト情報でデータを拡充します。

始める前に

Google Security Operations インスタンスがあることを確認します。
Windows 2016 以降、または systemd を使用する Linux ホストを使用していることを確認します。
プロキシの背後で実行している場合は、ファイアウォールポートが開いていることを確認します。
Check Point Firewall への特権アクセス権があることを確認します。

Google SecOps の取り込み認証ファイルを取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [収集エージェント] に移動します。
Ingestion Authentication File をダウンロードします。

Google SecOps のお客様 ID を取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [プロファイル] に移動します。
[組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。

Bindplane エージェントをインストールする

Windows へのインストールの場合は、次のスクリプトを実行します。
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux へのインストールの場合は、次のスクリプトを実行します。
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
その他のインストールオプションについては、インストールガイドをご覧ください。

Syslog を取り込んで Google SecOps に送信するように Bindplane Agent を構成する

Bindplane がインストールされているマシンにアクセスします。

config.yaml ファイルを次のように編集します。

receivers:
    udplog:
        # Replace the below port <54525> and IP <0.0.0.0> with your specific values
        listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: Checkpoint_Firewall
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Bindplane エージェントを再起動して変更を適用します。
```
sudo systemctl restart bindplane
```

Check Point Firewall で Syslog Export を構成する

特権アカウントを使用して Check Point ファイアウォール UI にログインします。
[Logs & Monitoring] > [Log Servers] に移動します。
[Syslog サーバー] に移動します。
[構成] をクリックし、次の値を設定します。
- Protocol: セキュリティログやシステムログを送信するには、[UDP] を選択します。
- 名前: 一意の名前を指定します（例: Bindplane_Server）。
- IP アドレス: Syslog サーバーの IP アドレス（Bindplane IP）を指定します。
- ポート: Syslog サーバーポート（Bindplane ポート）を指定します。
[ログサーバーを有効にする] を選択します。
転送するログを選択します: [システムログとセキュリティログの両方]。
[適用] をクリックします。

UDM マッピングテーブル

ログフィールド	UDM マッピング	論理
`Action`	`event.idm.read_only_udm.security_result.action_details`	`Action` フィールドから直接マッピングされます。
`Activity`	`event.idm.read_only_udm.security_result.summary`	`Activity` フィールドから直接マッピングされます。
`additional_info`	`event.idm.read_only_udm.security_result.description`	`additional_info` フィールドから直接マッピングされます。
`administrator`	`event.idm.read_only_udm.security_result.detection_fields[].value`	`administrator` フィールドから直接マッピングされます。キーは「administrator」です。
`aggregated_log_count`	`event.idm.read_only_udm.security_result.detection_fields[].value`	`aggregated_log_count` フィールドから直接マッピングされます。キーは「aggregated_log_count」です。
`appi_name`	`event.idm.read_only_udm.security_result.detection_fields[].value`	`appi_name` フィールドから直接マッピングされます。キーは「appi_name」です。
`app_category`	`event.idm.read_only_udm.security_result.category_details`	`app_category` フィールドから直接マッピングされます。
`app_properties`	`event.idm.read_only_udm.security_result.detection_fields[].value`	`app_properties` フィールドから直接マッピングされます。キーは「app_properties」です。
`app_risk`	`event.idm.read_only_udm.security_result.detection_fields[].value`	`app_risk` フィールドから直接マッピングされます。キーは「app_risk」です。
`app_session_id`	`event.idm.read_only_udm.network.session_id`	`app_session_id` フィールドから直接マッピングされ、文字列に変換されます。
`attack`	`event.idm.read_only_udm.security_result.summary`	`Info` が存在する場合、`attack` フィールドから直接マッピングされます。
`attack`	`event.idm.read_only_udm.security_result.threat_name`	`Info` が存在する場合、`attack` フィールドから直接マッピングされます。
`attack_info`	`event.idm.read_only_udm.security_result.description`	`attack_info` フィールドから直接マッピングされます。
`auth_status`	`event.idm.read_only_udm.security_result.summary`	`auth_status` フィールドから直接マッピングされます。
`browse_time`	`event.idm.read_only_udm.additional.fields[].value.string_value`	`browse_time` フィールドから直接マッピングされます。キーは「browse_time」です。
`bytes`	`event.idm.read_only_udm.additional.fields[].value.string_value`	`bytes` フィールドから直接マッピングされます。キーは「bytes」です。
`bytes`	`event.idm.read_only_udm.additional.fields[].value.string_value`	`bytes` フィールドから直接マッピングされます。キーは「bytes」です。
`calc_service`	`event.idm.read_only_udm.additional.fields[].value.string_value`	`calc_service` フィールドから直接マッピングされます。キーは「calc_service」です。
`category`	`event.idm.read_only_udm.security_result.category_details`	`category` フィールドから直接マッピングされます。
`client_version`	`event.idm.read_only_udm.intermediary.platform_version`	`client_version` フィールドから直接マッピングされます。
`conn_direction`	`event.idm.read_only_udm.additional.fields[].value.string_value`	`conn_direction` フィールドから直接マッピングされます。キーは「conn_direction」です。
`conn_direction`	`event.idm.read_only_udm.network.direction`	`conn_direction` が「Incoming」の場合は「INBOUND」にマッピングします。それ以外の場合は「OUTBOUND」にマッピングされます。
`connection_count`	`event.idm.read_only_udm.security_result.detection_fields[].value`	`connection_count` フィールドから直接マッピングされます。キーは「connection_count」です。
`contract_name`	`event.idm.read_only_udm.security_result.description`	`contract_name` フィールドから直接マッピングされます。
`cs2`	`event.idm.read_only_udm.security_result.rule_name`	`cs2` フィールドから直接マッピングされます。
`date_time`	`event.idm.read_only_udm.metadata.event_timestamp`	さまざまな日付形式を使用して解析され、タイムスタンプに変換されます。
`dedup_time`	`event.idm.read_only_udm.additional.fields[].value.string_value`	`dedup_time` フィールドから直接マッピングされます。キーは「dedup_time」です。
`desc`	`event.idm.read_only_udm.security_result.summary`	`desc` フィールドから直接マッピングされます。
`description`	`event.idm.read_only_udm.security_result.description`	`description` フィールドから直接マッピングされます。
`description_url`	`event.idm.read_only_udm.additional.fields[].value.string_value`	`description_url` フィールドから直接マッピングされます。キーは「description_url」です。
`destinationAddress`	`event.idm.read_only_udm.target.ip`、`event.idm.read_only_udm.target.asset.ip`	`destinationAddress` フィールドから直接マッピングされます。
`destinationPort`	`event.idm.read_only_udm.target.port`	`destinationPort` フィールドから直接マッピングされ、整数に変換されます。
`destinationTranslatedAddress`	`event.idm.read_only_udm.target.ip`、`event.idm.read_only_udm.target.asset.ip`	`destinationTranslatedAddress` フィールドから直接マッピングされます。
`destinationTranslatedAddress`	`event.idm.read_only_udm.target.nat_ip`	`destinationTranslatedAddress` フィールドから直接マッピングされます。
`destinationTranslatedPort`	`event.idm.read_only_udm.target.port`	`destinationTranslatedPort` フィールドから直接マッピングされ、整数に変換されます。
`destinationTranslatedPort`	`event.idm.read_only_udm.target.nat_port`	`destinationTranslatedPort` フィールドから直接マッピングされ、整数に変換されます。
`deviceCustomString2`	`event.idm.read_only_udm.security_result.rule_name`	`deviceCustomString2` フィールドから直接マッピングされます。
`deviceDirection`	`event.idm.read_only_udm.network.direction`	`deviceDirection` が 0 の場合は「OUTBOUND」にマッピングします。1 の場合は「INBOUND」にマッピングします。
`domain`	`event.idm.read_only_udm.principal.administrative_domain`	`domain` フィールドから直接マッピングされます。
`domain_name`	`event.idm.read_only_udm.principal.administrative_domain`	`domain_name` フィールドから直接マッピングされます。
`drop_reason`	`event.idm.read_only_udm.security_result.summary`	`drop_reason` フィールドから直接マッピングされます。
`ds`	`event.idm.read_only_udm.metadata.event_timestamp`	`ts` および `tz` とともに使用して、イベントタイムスタンプを構築します。
`dst`	`event.idm.read_only_udm.target.ip`、`event.idm.read_only_udm.target.asset.ip`	`dst` フィールドから直接マッピングされます。
`dst_country`	`event.idm.read_only_udm.target.location.country_or_region`	`dst_country` フィールドから直接マッピングされます。
`dst_ip`	`event.idm.read_only_udm.target.ip`、`event.idm.read_only_udm.target.asset.ip`	`dst_ip` フィールドから直接マッピングされます。
`dpt`	`event.idm.read_only_udm.target.port`	`dpt` フィールドから直接マッピングされ、整数に変換されます。
`duration`	`event.idm.read_only_udm.network.session_duration.seconds`	`duration` フィールドから直接マッピングされ、0 より大きい場合は整数に変換されます。
`duser`	`event.idm.read_only_udm.target.user.email_addresses`、`event.idm.read_only_udm.target.user.user_display_name`	メールアドレス形式と一致する場合は、`duser` フィールドから直接マッピングされます。
`environment_id`	`event.idm.read_only_udm.target.resource.product_object_id`	`environment_id` フィールドから直接マッピングされます。
`event_type`	`event.idm.read_only_udm.metadata.event_type`	特定のフィールドと値の有無に基づいてロジックで決定されます。特定のイベントタイプが特定されていない場合、デフォルトは `GENERIC_EVENT` です。`NETWORK_CONNECTION`、`USER_LOGIN`、`USER_CHANGE_PASSWORD`、`USER_LOGOUT`、`NETWORK_HTTP`、`STATUS_UPDATE` のいずれかです。
`fieldschanges`	`event.idm.read_only_udm.security_result.detection_fields[].value`	`fieldschanges` フィールドから直接マッピングされます。キーは「fieldschanges」です。
`flags`	`event.idm.read_only_udm.security_result.detection_fields[].value`	`flags` フィールドから直接マッピングされます。キーは「flags」です。
`flexString2`	`event.idm.read_only_udm.security_result.detection_fields[].value`	`flexString2` フィールドから直接マッピングされます。キーは `flexString2Label` の値です。
`from_user`	`event.idm.read_only_udm.principal.user.userid`	`from_user` フィールドから直接マッピングされます。
`fservice`	`event.idm.read_only_udm.security_result.detection_fields[].value`	`fservice` フィールドから直接マッピングされます。キーは「fservice」です。
`fw_subproduct`	`event.idm.read_only_udm.metadata.product_name`	`product` が空の場合、`fw_subproduct` フィールドから直接マッピングされます。
`geoip_dst.country_name`	`event.idm.read_only_udm.target.location.country_or_region`	`geoip_dst.country_name` フィールドから直接マッピングされます。
`hll_key`	`event.idm.read_only_udm.additional.fields[].value.string_value`	`hll_key` フィールドから直接マッピングされます。キーは「hll_key」です。
`hostname`	`event.idm.read_only_udm.target.hostname`、`event.idm.read_only_udm.target.asset.hostname`、`event.idm.read_only_udm.intermediary.hostname`	`inter_host` が空の場合、`hostname` フィールドから直接マッピングされます。
`http_host`	`event.idm.read_only_udm.target.resource.attribute.labels[].value`	`http_host` フィールドから直接マッピングされます。キーは「http_host」です。
`id`	`event.idm.read_only_udm.metadata.product_log_id`	`_id` フィールドから直接マッピングされます。
`identity_src`	`event.idm.read_only_udm.target.application`	`identity_src` フィールドから直接マッピングされます。
`identity_type`	`event.idm.read_only_udm.extensions.auth.type`	`identity_type` が「user」の場合は「VPN」にマッピングします。それ以外の場合は「MACHINE」にマッピングされます。
`if_direction`	`event.idm.read_only_udm.network.direction`	`if_direction` フィールドから直接マッピングされ、大文字に変換されます。
`ifdir`	`event.idm.read_only_udm.network.direction`	`ifdir` フィールドから直接マッピングされ、大文字に変換されます。
`ifname`	`event.idm.read_only_udm.security_result.detection_fields[].value`	`ifname` フィールドから直接マッピングされます。キーは「ifname」です。
`IKE`	`event.idm.read_only_udm.metadata.description`	`IKE` フィールドから直接マッピングされます。
`inzone`	`event.idm.read_only_udm.security_result.detection_fields[].value`	`inzone` フィールドから直接マッピングされます。キーは「inzone」です。
`industry_reference`	`event.idm.read_only_udm.additional.fields[].value.string_value`	`industry_reference` フィールドから直接マッピングされます。キーは「industry_reference」です。
`instance_id`	`event.idm.read_only_udm.principal.hostname`、`event.idm.read_only_udm.principal.asset.hostname`	`instance_id` フィールドから直接マッピングされます。
`inter_host`	`event.idm.read_only_udm.intermediary.hostname`	`inter_host` フィールドから直接マッピングされます。
`ip_proto`	`event.idm.read_only_udm.network.ip_protocol`	`proto` フィールドまたは `service` フィールドに基づいて決定されます。TCP、UDP、ICMP、IP6IN4、GRE のいずれかになります。
`ipv6_dst`	`event.idm.read_only_udm.target.ip`、`event.idm.read_only_udm.target.asset.ip`	`ipv6_dst` フィールドから直接マッピングされます。
`ipv6_src`	`event.idm.read_only_udm.principal.ip`、`event.idm.read_only_udm.principal.asset.ip`	`ipv6_src` フィールドから直接マッピングされます。
`layer_name`	`event.idm.read_only_udm.security_result.rule_set_display_name`、`event.idm.read_only_udm.security_result.detection_fields[].value`	`layer_name` フィールドから直接マッピングされます。キーは「layer_name」です。
`layer_uuid`	`event.idm.read_only_udm.security_result.rule_set`、`event.idm.read_only_udm.security_result.detection_fields[].value`	中かっこを削除した後、`layer_uuid` フィールドから直接マッピングされます。キーは「layer_uuid」です。
`layer_uuid_rule_uuid`	`event.idm.read_only_udm.security_result.rule_id`	角かっこと引用符を削除した後、`layer_uuid_rule_uuid` フィールドから直接マッピングされ
`log_id`	`event.idm.read_only_udm.metadata.product_log_id`	`log_id` フィールドから直接マッピングされます。
`log_type`	`event.idm.read_only_udm.metadata.log_type`	`log_type` フィールドから直接マッピングされます。「CHECKPOINT_FIREWALL」にハードコードされます。
`loguid`	`event.idm.read_only_udm.metadata.product_log_id`	中かっこを削除した後、`loguid` フィールドから直接マッピングされます。
`logic_changes`	`event.idm.read_only_udm.security_result.detection_fields[].value`	`logic_changes` フィールドから直接マッピングされます。キーは「logic_changes」です。
`localhost`	`event.idm.read_only_udm.target.hostname`、`event.idm.read_only_udm.target.asset.hostname`	`localhost` フィールドから直接マッピングされます。`dst_ip` は「127.0.0.1」に設定されています。
`malware_action`	`event.idm.read_only_udm.security_result.detection_fields[].value`、`event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value`	`malware_action` フィールドから直接マッピングされます。キーは「malware_action」です。
`malware_family`	`event.idm.read_only_udm.security_result.detection_fields[].value`、`event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value`	`malware_family` フィールドから直接マッピングされます。キーは「malware_family」です。
`malware_rule_id`	`event.idm.read_only_udm.security_result.detection_fields[].value`	中かっこを削除した後、`malware_rule_id` フィールドから直接マッピングされます。キーは「Malware Rule ID」です。
`malware_rule_name`	`event.idm.read_only_udm.security_result.detection_fields[].value`	`malware_rule_name` フィールドから直接マッピングされます。キーは「Malware Rule Name」です。
`match_id`	`event.idm.read_only_udm.security_result.detection_fields[].value`	`match_id` フィールドから直接マッピングされます。キーは「match_id」です。
`matched_category`	`event.idm.read_only_udm.security_result.detection_fields[].value`	`matched_category` フィールドから直接マッピングされます。キーは「matched_category」です。
`message_info`	`event.idm.read_only_udm.metadata.description`	`message_info` フィールドから直接マッピングされます。
`method`	`event.idm.read_only_udm.network.http.method`	`method` フィールドから直接マッピングされます。
`mitre_execution`	`event.idm.read_only_udm.additional.fields[].value.string_value`	`mitre_execution` フィールドから直接マッピングされます。キーは「mitre_execution」です。
`mitre_initial_access`	`event.idm.read_only_udm.security_result.detection_fields[].value`	`mitre_initial_access` フィールドから直接マッピングされます。キーは「mitre_initial_access」です。
`nat_rulenum`	`event.idm.read_only_udm.security_result.rule_id`	`nat_rulenum` フィールドから直接マッピングされ、文字列に変換されます。
`objecttype`	`event.idm.read_only_udm.security_result.detection_fields[].value`	`objecttype` フィールドから直接マッピングされます。キーは「objecttype」です。
`operation`	`event.idm.read_only_udm.security_result.summary`	`operation` フィールドから直接マッピングされます。
`operation`	`event.idm.read_only_udm.security_result.detection_fields[].value`	`operation` フィールドから直接マッピングされます。キーは「operation」です。
`orig`	`event.idm.read_only_udm.principal.hostname`、`event.idm.read_only_udm.principal.asset.hostname`	`orig` フィールドから直接マッピングされます。
`origin`	`event.idm.read_only_udm.principal.ip`、`event.idm.read_only_udm.principal.asset.ip`、`event.idm.read_only_udm.target.ip`、`event.idm.read_only_udm.target.asset.ip`、`event.idm.read_only_udm.intermediary.ip`	`origin` フィールドから直接マッピングされます。
`origin_sic_name`	`event.idm.read_only_udm.intermediary.asset_id`、`event.idm.read_only_udm.intermediary.labels[].value`	`origin_sic_name` フィールドから直接マッピングされます。キーは「Machine SIC」です。アセット ID には「asset:」という接頭辞が付きます。
`originsicname`	`event.idm.read_only_udm.additional.fields[].value.string_value`	`originsicname` フィールドから直接マッピングされます。キーは「originsicname」です。
`originsicname`	`event.idm.read_only_udm.intermediary.asset_id`、`event.idm.read_only_udm.intermediary.labels[].value`	`originsicname` フィールドから直接マッピングされます。キーは「Machine SIC」です。アセット ID には「asset:」という接頭辞が付きます。
`os_name`	`event.idm.read_only_udm.principal.asset.platform_software.platform`	`os_name` に「Win」が含まれている場合は、「WINDOWS」にマッピングします。「MAC」または「IOS」が含まれている場合は、「MAC」にマッピングされます。「LINUX」が含まれている場合は、「LINUX」にマッピングします。
`os_version`	`event.idm.read_only_udm.principal.asset.platform_software.platform_patch_level`	`os_version` フィールドから直接マッピングされます。
`outzone`	`event.idm.read_only_udm.security_result.detection_fields[].value`	`outzone` フィールドから直接マッピングされます。キーは「outzone」です。
`packets`	`event.idm.read_only_udm.additional.fields[].value.string_value`	`packets` フィールドから直接マッピングされます。キーは「packets」です。
`packet_capture_name`	`event.idm.read_only_udm.additional.fields[].value.string_value`	`packet_capture_name` フィールドから直接マッピングされます。キーは「packet_capture_name」です。
`packet_capture_time`	`event.idm.read_only_udm.additional.fields[].value.string_value`	`packet_capture_time` フィールドから直接マッピングされます。キーは「packet_capture_time」です。
`packet_capture_unique_id`	`event.idm.read_only_udm.additional.fields[].value.string_value`	`packet_capture_unique_id` フィールドから直接マッピングされます。キーは「packet_capture_unique_id」です。
`parent_rule`	`event.idm.read_only_udm.security_result.detection_fields[].value`	`parent_rule` フィールドから直接マッピングされます。キーは「parent_rule」です。
`performance_impact`	`event.idm.read_only_udm.additional.fields[].value.string_value`	`performance_impact` フィールドから直接マッピングされます。キーは「performance_impact」です。
`policy_name`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Grok を使用して `__policy_id_tag` フィールドから抽出され、マッピングされます。キーは「Policy Name」です。
`policy_time`	`event.idm.read_only_udm.security_result.detection_fields[].value`	`policy_time` フィールドから直接マッピングされます。キーは「policy_time」です。
`portal_message`	`event.idm.read_only_udm.security_result.description`	`portal_message` フィールドから直接マッピングされます。
`principal_hostname`	`event.idm.read_only_udm.principal.ip`、`event.idm.read_only_udm.principal.asset.ip`	有効な IP アドレスの場合、`principal_hostname` フィールドから直接マッピングされます。
`principal_hostname`	`event.idm.read_only_udm.principal.hostname`、`event.idm.read_only_udm.principal.asset.hostname`	有効な IP アドレスでも「Checkpoint」でもない場合は、`principal_hostname` フィールドから直接マッピングされます。
`prod_family_label`	`event.idm.read_only_udm.additional.fields[].value.string_value`	`ProductFamily` フィールドから直接マッピングされます。キーは「ProductFamily」です。
`product`	`event.idm.read_only_udm.metadata.product_name`	`product` フィールドから直接マッピングされます。
`product_family`	`event.idm.read_only_udm.additional.fields[].value.string_value`	`product_family` フィールドから直接マッピングされます。キーは「product_family」です。
`product_family`	`event.idm.read_only_udm.additional.fields[].value.string_value`	`product_family` フィールドから直接マッピングされます。キーは「product_family」です。
`ProductName`	`event.idm.read_only_udm.metadata.product_name`	`product` が空の場合、`ProductName` フィールドから直接マッピングされます。
`product_name`	`event.idm.read_only_udm.metadata.product_name`	`product_name` フィールドから直接マッピングされます。
`profile`	`event.idm.read_only_udm.security_result.detection_fields[].value`	`profile` フィールドから直接マッピングされます。キーは「profile」です。
`protocol`	`event.idm.read_only_udm.network.application_protocol`	「HTTP」の場合、`protocol` フィールドから直接マッピングされます。
`proxy_src_ip`	`event.idm.read_only_udm.principal.nat_ip`	`proxy_src_ip` フィールドから直接マッピングされます。
`reason`	`event.idm.read_only_udm.security_result.summary`	`reason` フィールドから直接マッピングされます。
`received_bytes`	`event.idm.read_only_udm.network.received_bytes`	`received_bytes` フィールドから直接マッピングされ、符号なし整数に変換されます。
`Reference`	`event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value`、`event.idm.read_only_udm.security_result.detection_fields[].value`	`Reference` フィールドから直接マッピングされます。キーは「Reference」です。`attack` を使用して `_vuln.name` を構築するために使用されます。
`reject_id_kid`	`event.idm.read_only_udm.security_result.detection_fields[].value`	`reject_id_kid` フィールドから直接マッピングされます。キーは「reject_id_kid」です。
`resource`	`event.idm.read_only_udm.target.url`	JSON として解析され、ターゲット URL にマッピングされます。解析に失敗した場合は、直接マッピングされます。
`resource`	`event.idm.read_only_udm.additional.fields[].value.list_value.values[].string_value`	JSON として解析され、`resource` 配列の各値がリストに追加されます。キーは「Resource」です。
`result`	`event.idm.read_only_udm.metadata.event_timestamp`	`date_time` で解析され、イベントタイムスタンプを作成します。
`rt`	`event.idm.read_only_udm.metadata.event_timestamp`	エポックからのミリ秒数として解析され、タイムスタンプに変換されます。
`rule`	`event.idm.read_only_udm.security_result.rule_name`	`rule` フィールドから直接マッピングされます。
`rule_action`	`event.idm.read_only_udm.security_result.detection_fields[].value`	`rule_action` フィールドから直接マッピングされます。キーは「rule_action」です。
`rule_name`	`event.idm.read_only_udm.security_result.rule_name`	`rule_name` フィールドから直接マッピングされます。
`rule_uid`	`event.idm.read_only_udm.security_result.rule_id`	`rule_uid` フィールドから直接マッピングされます。
`s_port`	`event.idm.read_only_udm.principal.port`	`s_port` フィールドから直接マッピングされ、整数に変換されます。
`scheme`	`event.idm.read_only_udm.additional.fields[].value.string_value`	`scheme` フィールドから直接マッピングされます。キーは「scheme」です。
`security_inzone`	`event.idm.read_only_udm.security_result.detection_fields[].value`	`security_inzone` フィールドから直接マッピングされます。キーは「security_inzone」です。
`security_outzone`	`event.idm.read_only_udm.security_result.detection_fields[].value`	`security_outzone` フィールドから直接マッピングされます。キーは「security_outzone」です。
`security_result_action`	`event.idm.read_only_udm.security_result.action`	`security_result_action` フィールドから直接マッピングされます。
`sendtotrackerasadvancedauditlog`	`event.idm.read_only_udm.security_result.detection_fields[].value`	`sendtotrackerasadvancedauditlog` フィールドから直接マッピングされます。キーは「sendtotrackerasadvancedauditlog」です。
`sent_bytes`	`event.idm.read_only_udm.network.sent_bytes`	`sent_bytes` フィールドから直接マッピングされ、符号なし整数に変換されます。
`sequencenum`	`event.idm.read_only_udm.additional.fields[].value.string_value`	`sequencenum` フィールドから直接マッピングされます。キーは「sequencenum」です。
`ser_agent_kid`	`event.idm.read_only_udm.security_result.detection_fields[].value`	`ser_agent_kid` フィールドから直接マッピングされます。キーは「ser_agent_kid」です。
`service`	`event.idm.read_only_udm.target.port`	`service` フィールドから直接マッピングされ、整数に変換されます。
`service_id`	`event.idm.read_only_udm.network.application_protocol`	「dhcp」、「dns」、「http」、「https」、「quic」のいずれかの場合、`service_id` フィールドから直接マッピングされ、大文字に変換されます。
`service_id`	`event.idm.read_only_udm.principal.application`	ネットワークアプリケーションプロトコルのいずれでもない場合、`service_id` フィールドから直接マッピングされます。
`service_id`	`event.idm.read_only_udm.security_result.detection_fields[].value`	`service_id` フィールドから直接マッピングされます。キーは「service_id」です。
`session_description`	`event.idm.read_only_udm.security_result.detection_fields[].value`	`session_description` フィールドから直接マッピングされます。キーは「session_description」です。
`session_id`	`event.idm.read_only_udm.network.session_id`	中かっこを削除した後、`session_id` フィールドから直接マッピングされます。
`session_name`	`event.idm.read_only_udm.security_result.detection_fields[].value`	`session_name` フィールドから直接マッピングされます。キーは「session_name」です。
`session_uid`	`event.idm.read_only_udm.network.session_id`	中かっこを削除した後、`session_uid` フィールドから直接マッピングされます。
`Severity`	`event.idm.read_only_udm.security_result.severity`	`Severity` の値に基づいて、「LOW」、「MEDIUM」、「HIGH」、「CRITICAL」にマッピングされます。
`severity`	`event.idm.read_only_udm.security_result.severity`	`severity` の値に基づいて、「LOW」、「MEDIUM」、「HIGH」、「CRITICAL」にマッピングされます。
`site`	`event.idm.read_only_udm.network.http.user_agent`	`site` フィールドから直接マッピングされます。
`smartdefense_profile`	`event.idm.read_only_udm.security_result.detection_fields[].value`	`smartdefense_profile` フィールドから直接マッピングされます。キーは「smartdefense_profile」です。
`snid`	`event.idm.read_only_udm.network.session_id`	空でないか「0」でない場合、`snid` フィールドから直接マッピングされます。
`sourceAddress`	`event.idm.read_only_udm.principal.ip`、`event.idm.read_only_udm.principal.asset.ip`	`sourceAddress` フィールドから直接マッピングされます。
`sourcePort`	`event.idm.read_only_udm.principal.port`	`sourcePort` フィールドから直接マッピングされ、整数に変換されます。
`sourceTranslatedAddress`	`event.idm.read_only_udm.principal.ip`、`event.idm.read_only_udm.principal.asset.ip`	`sourceTranslatedAddress` フィールドから直接マッピングされます。
`sourceTranslatedAddress`	`event.idm.read_only_udm.principal.nat_ip`	`sourceTranslatedAddress` フィールドから直接マッピングされます。
`sourceTranslatedPort`	`event.idm.read_only_udm.principal.port`	`sourceTranslatedPort` フィールドから直接マッピングされ、整数に変換されます。
`sourceTranslatedPort`	`event.idm.read_only_udm.principal.nat_port`	`sourceTranslatedPort` フィールドから直接マッピングされ、整数に変換されます。
`sourceUserName`	`event.idm.read_only_udm.principal.user.userid`、`event.idm.read_only_udm.principal.user.first_name`、`event.idm.read_only_udm.principal.user.last_name`	grok を使用して解析し、ユーザー ID、名、姓を抽出します。
`spt`	`event.idm.read_only_udm.principal.port`	`spt` フィールドから直接マッピングされ、整数に変換されます。
`src`	`event.idm.read_only_udm.principal.ip`、`event.idm.read_only_udm.principal.asset.ip`	`src` フィールドから直接マッピングされます。
`src_ip`	`event.idm.read_only_udm.principal.ip`、`event.idm.read_only_udm.principal.asset.ip`	`src_ip` フィールドから直接マッピングされます。
`src_localhost`	`event.idm.read_only_udm.principal.hostname`、`event.idm.read_only_udm.principal.asset.hostname`	`src_localhost` フィールドから直接マッピングされます。`src_ip` は「127.0.0.1」に設定されています。
`src_machine_name`	`event.idm.read_only_udm.security_result.detection_fields[].value`	`src_machine_name` フィールドから直接マッピングされます。キーは「src_machine_name」です。
`src_port`	`event.idm.read_only_udm.principal.port`	`src_port` フィールドから直接マッピングされ、整数に変換されます。
`src_user`	`event.idm.read_only_udm.principal.user.userid`	`src_user` フィールドから直接マッピングされます。
`src_user_dn`	`event.idm.read_only_udm.security_result.detection_fields[].value`	`src_user_dn` フィールドから直接マッピングされます。キーは「src_user_dn」です。
`src_user_name`	`event.idm.read_only_udm.principal.user.userid`	`src_user_name` フィールドから直接マッピングされます。
`sub_policy_name`	`event.idm.read_only_udm.security_result.detection_fields[].value`	`sub_policy_name` フィールドから直接マッピングされます。キーは「sub_policy_name」です。
`sub_policy_uid`	`event.idm.read_only_udm.security_result.detection_fields[].value`	`sub_policy_uid` フィールドから直接マッピングされます。キーは「sub_policy_uid」です。
`subject`	`event.idm.read_only_udm.security_result.detection_fields[].value`	`subject` フィールドから直接マッピングされます。キーは「subject」です。
`subscription_stat_desc`	`event.idm.read_only_udm.security_result.summary`	`subscription_stat_desc` フィールドから直接マッピングされます。
`tags`	`event.idm.read_only_udm.security_result.detection_fields[].value`	`tags` フィールドから直接マッピングされます。キーは「tags」です。
`tar_user`	`event.idm.read_only_udm.target.user.userid`	`tar_user` フィールドから直接マッピングされます。
`target_port`	`event.idm.read_only_udm.target.port`	`target_port` フィールドから直接マッピングされます。
`tcp_flags`	`event.idm.read_only_udm.security_result.detection_fields[].value`	`tcp_flags` フィールドから直接マッピングされます。キーは「tcp_flags」です。
`tcp_packet_out_of_state`	`event.idm.read_only_udm.security_result.detection_fields[].value`	`tcp_packet_out_of_state` フィールドから直接マッピングされます。キーは「tcp_packet_out_of_state」です。
`time`	`event.idm.read_only_udm.metadata.event_timestamp`	さまざまな日付形式を使用して解析され、タイムスタンプに変換されます。
`ts`	`event.idm.read_only_udm.metadata.event_timestamp`	`ds` と `tz` で解析され、イベントタイムスタンプを作成します。
`type`	`event.idm.read_only_udm.security_result.rule_type`	`type` フィールドから直接マッピングされます。
`tz`	`event.idm.read_only_udm.metadata.event_timestamp`	`ds` および `ts` とともに使用して、イベントタイムスタンプを構築します。
`update_count`	`event.idm.read_only_udm.security_result.detection_fields[].value`	`update_count` フィールドから直接マッピングされます。キーは「update_count」です。
`URL`	`event.idm.read_only_udm.security_result.about.url`	`URL` フィールドから直接マッピングされます。
`user`	`event.idm.read_only_udm.principal.user.userid`	`user` フィールドから直接マッピングされます。
`user_agent`	`event.idm.read_only_udm.network.http.user_agent`	`user_agent` フィールドから直接マッピングされます。また、解析されて `event.idm.read_only_udm.network.http.parsed_user_agent` にマッピングされます。
`userip`	`event.idm.read_only_udm.principal.ip`、`event.idm.read_only_udm.principal.asset.ip`	有効な IP アドレスの場合、`userip` フィールドから直接マッピングされます。
`UUid`	`event.idm.read_only_udm.metadata.product_log_id`	中かっこを削除した後、`UUid` フィールドから直接マッピングされます。
`version`	`event.idm.read_only_udm.metadata.product_version`	`version` フィールドから直接マッピングされます。
`web_client_type`	`event.idm.read_only_udm.network.http.user_agent`	`web_client_type` フィールドから直接マッピングされます。
`xlatedport`	`event.idm.read_only_udm.target.nat_port`	`xlatedport` フィールドから直接マッピングされ、整数に変換されます。
`xlatedst`	`event.idm.read_only_udm.target.nat_ip`	`xlatedst` フィールドから直接マッピングされます。
`xlatesport`	`event.idm.read_only_udm.principal.nat_port`	`xlatesport` フィールドから直接マッピングされ、整数に変換されます。
`xlatesrc`	`event.idm.read_only_udm.principal.nat_ip`	`xlatesrc` フィールドから直接マッピングされます。
`event.idm.read_only_udm.metadata.vendor_name`	`Check Point`	ハードコードされた値。
`event.idm.read_only_udm.metadata.log_type`	`CHECKPOINT_FIREWALL`	ハードコードされた値。
`event.idm.read_only_udm.security_result.rule_type`	`Firewall Rule`	特定のロジックでオーバーライドされない限り、デフォルト値。
`has_principal`	`true`	プリンシパルの IP またはホスト名が抽出された場合は true に設定します。
`has_target`	`true`	ターゲットの IP またはホスト名が抽出された場合は true に設定します。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。