Esta página foi traduzida pela API Cloud Translation.

Coletar registros de firewall do Check Point

Compatível com:

Google SecOps SIEM

Esse analisador extrai registros de firewall do Check Point. Ele processa mensagens formatadas em CEF e não CEF, incluindo syslog, pares de chave-valor e JSON. Ele normaliza os campos, os mapeia para o UDM e executa uma lógica específica para login/logout, conexões de rede e eventos de segurança. Ele enriquece os dados com informações contextuais, como geolocalização e inteligência de ameaças.

Antes de começar

Verifique se você tem uma instância do Google Security Operations.
Verifique se você está usando o Windows 2016 ou uma versão mais recente ou um host Linux com systemd.
Se você estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas.
Verifique se você tem acesso privilegiado a um firewall do Check Point.

Receber o arquivo de autenticação de ingestão do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Agentes de coleta.
Baixe o arquivo de autenticação de ingestão.

Receber o ID do cliente do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Perfil.
Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do BindPlane

Para instalação no Windows, execute o seguinte script:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Para instalação no Linux, execute o seguinte script:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Outras opções de instalação estão disponíveis neste guia de instalação.

Configurar o agente do Bindplane para ingerir Syslog e enviar ao Google SecOps

Acesse a máquina em que o Bindplane está instalado.

Edite o arquivo config.yaml da seguinte forma:

receivers:
    udplog:
        # Replace the below port <54525> and IP <0.0.0.0> with your specific values
        listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: Checkpoint_Firewall
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Reinicie o agente do Bindplane para aplicar as mudanças:
```
sudo systemctl restart bindplane
```

Configurar a exportação do Syslog em um firewall do Check Point

Faça login na UI do firewall Check Point usando uma conta privilegiada.
Acesse Registros e monitoramento > Servidores de registro.
Navegue até Servidores Syslog.
Clique em Configurar e defina os seguintes valores:
- Protocolo: selecione UDP para enviar registros de segurança e/ou do sistema.
- Nome: forneça um nome exclusivo (por exemplo, Bindplane_Server).
- Endereço IP: informe o endereço IP do servidor syslog (IP do Bindplane).
- Porta: informe a porta do servidor syslog (porta do BindPlane).
Selecione Ativar servidor de registros.
Selecione os registros a serem encaminhados: Registros do sistema e de segurança.
Clique em Aplicar.

Tabela de mapeamento do UDM

Campo de registro	Mapeamento do UDM	Lógica
`Action`	`event.idm.read_only_udm.security_result.action_details`	Mapeado diretamente do campo `Action`.
`Activity`	`event.idm.read_only_udm.security_result.summary`	Mapeado diretamente do campo `Activity`.
`additional_info`	`event.idm.read_only_udm.security_result.description`	Mapeado diretamente do campo `additional_info`.
`administrator`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `administrator`. A chave é "administrator".
`aggregated_log_count`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `aggregated_log_count`. A chave é "aggregated_log_count".
`appi_name`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `appi_name`. A chave é "appi_name".
`app_category`	`event.idm.read_only_udm.security_result.category_details`	Mapeado diretamente do campo `app_category`.
`app_properties`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `app_properties`. A chave é "app_properties".
`app_risk`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `app_risk`. A chave é "app_risk".
`app_session_id`	`event.idm.read_only_udm.network.session_id`	Mapeado diretamente do campo `app_session_id` e convertido em uma string.
`attack`	`event.idm.read_only_udm.security_result.summary`	Mapeado diretamente do campo `attack` quando `Info` está presente.
`attack`	`event.idm.read_only_udm.security_result.threat_name`	Mapeado diretamente do campo `attack` quando `Info` está presente.
`attack_info`	`event.idm.read_only_udm.security_result.description`	Mapeado diretamente do campo `attack_info`.
`auth_status`	`event.idm.read_only_udm.security_result.summary`	Mapeado diretamente do campo `auth_status`.
`browse_time`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mapeado diretamente do campo `browse_time`. A chave é "browse_time".
`bytes`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mapeado diretamente do campo `bytes`. A chave é "bytes".
`bytes`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mapeado diretamente do campo `bytes`. A chave é "bytes".
`calc_service`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mapeado diretamente do campo `calc_service`. A chave é "calc_service".
`category`	`event.idm.read_only_udm.security_result.category_details`	Mapeado diretamente do campo `category`.
`client_version`	`event.idm.read_only_udm.intermediary.platform_version`	Mapeado diretamente do campo `client_version`.
`conn_direction`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mapeado diretamente do campo `conn_direction`. A chave é "conn_direction".
`conn_direction`	`event.idm.read_only_udm.network.direction`	Se `conn_direction` for "Incoming", será mapeado como "INBOUND". Caso contrário, mapeia para "OUTBOUND".
`connection_count`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `connection_count`. A chave é "connection_count".
`contract_name`	`event.idm.read_only_udm.security_result.description`	Mapeado diretamente do campo `contract_name`.
`cs2`	`event.idm.read_only_udm.security_result.rule_name`	Mapeado diretamente do campo `cs2`.
`date_time`	`event.idm.read_only_udm.metadata.event_timestamp`	Analisado e convertido em um carimbo de data/hora usando vários formatos de data.
`dedup_time`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mapeado diretamente do campo `dedup_time`. A chave é "dedup_time".
`desc`	`event.idm.read_only_udm.security_result.summary`	Mapeado diretamente do campo `desc`.
`description`	`event.idm.read_only_udm.security_result.description`	Mapeado diretamente do campo `description`.
`description_url`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mapeado diretamente do campo `description_url`. A chave é "description_url".
`destinationAddress`	`event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`	Mapeado diretamente do campo `destinationAddress`.
`destinationPort`	`event.idm.read_only_udm.target.port`	Mapeado diretamente do campo `destinationPort` e convertido em um número inteiro.
`destinationTranslatedAddress`	`event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`	Mapeado diretamente do campo `destinationTranslatedAddress`.
`destinationTranslatedAddress`	`event.idm.read_only_udm.target.nat_ip`	Mapeado diretamente do campo `destinationTranslatedAddress`.
`destinationTranslatedPort`	`event.idm.read_only_udm.target.port`	Mapeado diretamente do campo `destinationTranslatedPort` e convertido em um número inteiro.
`destinationTranslatedPort`	`event.idm.read_only_udm.target.nat_port`	Mapeado diretamente do campo `destinationTranslatedPort` e convertido em um número inteiro.
`deviceCustomString2`	`event.idm.read_only_udm.security_result.rule_name`	Mapeado diretamente do campo `deviceCustomString2`.
`deviceDirection`	`event.idm.read_only_udm.network.direction`	Se `deviceDirection` for 0, será mapeado para "OUTBOUND". Se for 1, será mapeado para "INBOUND".
`domain`	`event.idm.read_only_udm.principal.administrative_domain`	Mapeado diretamente do campo `domain`.
`domain_name`	`event.idm.read_only_udm.principal.administrative_domain`	Mapeado diretamente do campo `domain_name`.
`drop_reason`	`event.idm.read_only_udm.security_result.summary`	Mapeado diretamente do campo `drop_reason`.
`ds`	`event.idm.read_only_udm.metadata.event_timestamp`	Usado com `ts` e `tz` para criar o carimbo de data/hora do evento.
`dst`	`event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`	Mapeado diretamente do campo `dst`.
`dst_country`	`event.idm.read_only_udm.target.location.country_or_region`	Mapeado diretamente do campo `dst_country`.
`dst_ip`	`event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`	Mapeado diretamente do campo `dst_ip`.
`dpt`	`event.idm.read_only_udm.target.port`	Mapeado diretamente do campo `dpt` e convertido em um número inteiro.
`duration`	`event.idm.read_only_udm.network.session_duration.seconds`	Mapeado diretamente do campo `duration` e convertido em um número inteiro, se for maior que 0.
`duser`	`event.idm.read_only_udm.target.user.email_addresses`, `event.idm.read_only_udm.target.user.user_display_name`	Mapeado diretamente do campo `duser` se corresponder a um formato de endereço de e-mail.
`environment_id`	`event.idm.read_only_udm.target.resource.product_object_id`	Mapeado diretamente do campo `environment_id`.
`event_type`	`event.idm.read_only_udm.metadata.event_type`	Determinado por uma lógica baseada na presença de determinados campos e valores. O padrão é `GENERIC_EVENT` se nenhum tipo de evento específico for identificado. Pode ser `NETWORK_CONNECTION`, `USER_LOGIN`, `USER_CHANGE_PASSWORD`, `USER_LOGOUT`, `NETWORK_HTTP` ou `STATUS_UPDATE`.
`fieldschanges`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `fieldschanges`. A chave é "fieldschanges".
`flags`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `flags`. A chave é "flags".
`flexString2`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `flexString2`. A chave é o valor de `flexString2Label`.
`from_user`	`event.idm.read_only_udm.principal.user.userid`	Mapeado diretamente do campo `from_user`.
`fservice`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `fservice`. A chave é "fservice".
`fw_subproduct`	`event.idm.read_only_udm.metadata.product_name`	Mapeado diretamente do campo `fw_subproduct` quando `product` está vazio.
`geoip_dst.country_name`	`event.idm.read_only_udm.target.location.country_or_region`	Mapeado diretamente do campo `geoip_dst.country_name`.
`hll_key`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mapeado diretamente do campo `hll_key`. A chave é "hll_key".
`hostname`	`event.idm.read_only_udm.target.hostname`, `event.idm.read_only_udm.target.asset.hostname`, `event.idm.read_only_udm.intermediary.hostname`	Mapeado diretamente do campo `hostname` quando `inter_host` está vazio.
`http_host`	`event.idm.read_only_udm.target.resource.attribute.labels[].value`	Mapeado diretamente do campo `http_host`. A chave é "http_host".
`id`	`event.idm.read_only_udm.metadata.product_log_id`	Mapeado diretamente do campo `_id`.
`identity_src`	`event.idm.read_only_udm.target.application`	Mapeado diretamente do campo `identity_src`.
`identity_type`	`event.idm.read_only_udm.extensions.auth.type`	Se `identity_type` for "user", será mapeado como "VPN". Caso contrário, será mapeado para "MACHINE".
`if_direction`	`event.idm.read_only_udm.network.direction`	Mapeado diretamente do campo `if_direction` e convertido para maiúsculas.
`ifdir`	`event.idm.read_only_udm.network.direction`	Mapeado diretamente do campo `ifdir` e convertido para maiúsculas.
`ifname`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `ifname`. A chave é "ifname".
`IKE`	`event.idm.read_only_udm.metadata.description`	Mapeado diretamente do campo `IKE`.
`inzone`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `inzone`. A chave é "inzone".
`industry_reference`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mapeado diretamente do campo `industry_reference`. A chave é "industry_reference".
`instance_id`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Mapeado diretamente do campo `instance_id`.
`inter_host`	`event.idm.read_only_udm.intermediary.hostname`	Mapeado diretamente do campo `inter_host`.
`ip_proto`	`event.idm.read_only_udm.network.ip_protocol`	Determinado com base no campo `proto` ou `service`. Pode ser TCP, UDP, ICMP, IP6IN4 ou GRE.
`ipv6_dst`	`event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`	Mapeado diretamente do campo `ipv6_dst`.
`ipv6_src`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Mapeado diretamente do campo `ipv6_src`.
`layer_name`	`event.idm.read_only_udm.security_result.rule_set_display_name`, `event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `layer_name`. A chave é "layer_name".
`layer_uuid`	`event.idm.read_only_udm.security_result.rule_set`, `event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `layer_uuid` após a remoção das chaves. A chave é "layer_uuid".
`layer_uuid_rule_uuid`	`event.idm.read_only_udm.security_result.rule_id`	Mapeado diretamente do campo `layer_uuid_rule_uuid` após a remoção de colchetes e aspas.
`log_id`	`event.idm.read_only_udm.metadata.product_log_id`	Mapeado diretamente do campo `log_id`.
`log_type`	`event.idm.read_only_udm.metadata.log_type`	Mapeado diretamente do campo `log_type`. Codificado como "CHECKPOINT_FIREWALL".
`loguid`	`event.idm.read_only_udm.metadata.product_log_id`	Mapeado diretamente do campo `loguid` após a remoção das chaves.
`logic_changes`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `logic_changes`. A chave é "logic_changes".
`localhost`	`event.idm.read_only_udm.target.hostname`, `event.idm.read_only_udm.target.asset.hostname`	Mapeado diretamente do campo `localhost`. `dst_ip` está definido como "127.0.0.1".
`malware_action`	`event.idm.read_only_udm.security_result.detection_fields[].value`, `event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value`	Mapeado diretamente do campo `malware_action`. A chave é "malware_action".
`malware_family`	`event.idm.read_only_udm.security_result.detection_fields[].value`, `event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value`	Mapeado diretamente do campo `malware_family`. A chave é "malware_family".
`malware_rule_id`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `malware_rule_id` após a remoção das chaves. A chave é "ID da regra de malware".
`malware_rule_name`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `malware_rule_name`. A chave é "Nome da regra de malware".
`match_id`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `match_id`. A chave é "match_id".
`matched_category`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `matched_category`. A chave é "matched_category".
`message_info`	`event.idm.read_only_udm.metadata.description`	Mapeado diretamente do campo `message_info`.
`method`	`event.idm.read_only_udm.network.http.method`	Mapeado diretamente do campo `method`.
`mitre_execution`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mapeado diretamente do campo `mitre_execution`. A chave é "mitre_execution".
`mitre_initial_access`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `mitre_initial_access`. A chave é "mitre_initial_access".
`nat_rulenum`	`event.idm.read_only_udm.security_result.rule_id`	Mapeado diretamente do campo `nat_rulenum` e convertido em uma string.
`objecttype`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `objecttype`. A chave é "objecttype".
`operation`	`event.idm.read_only_udm.security_result.summary`	Mapeado diretamente do campo `operation`.
`operation`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `operation`. A chave é "operation".
`orig`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Mapeado diretamente do campo `orig`.
`origin`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`, `event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`, `event.idm.read_only_udm.intermediary.ip`	Mapeado diretamente do campo `origin`.
`origin_sic_name`	`event.idm.read_only_udm.intermediary.asset_id`, `event.idm.read_only_udm.intermediary.labels[].value`	Mapeado diretamente do campo `origin_sic_name`. A chave é "Machine SIC". O ID do recurso tem o prefixo "asset:".
`originsicname`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mapeado diretamente do campo `originsicname`. A chave é "originsicname".
`originsicname`	`event.idm.read_only_udm.intermediary.asset_id`, `event.idm.read_only_udm.intermediary.labels[].value`	Mapeado diretamente do campo `originsicname`. A chave é "Machine SIC". O ID do recurso tem o prefixo "asset:".
`os_name`	`event.idm.read_only_udm.principal.asset.platform_software.platform`	Se `os_name` contiver "Win", será mapeado para "WINDOWS". Se ele contiver "MAC" ou "IOS", será mapeado para "MAC". Se contiver "LINUX", será mapeado para "LINUX".
`os_version`	`event.idm.read_only_udm.principal.asset.platform_software.platform_patch_level`	Mapeado diretamente do campo `os_version`.
`outzone`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `outzone`. A chave é "outzone".
`packets`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mapeado diretamente do campo `packets`. A chave é "packets".
`packet_capture_name`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mapeado diretamente do campo `packet_capture_name`. A chave é "packet_capture_name".
`packet_capture_time`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mapeado diretamente do campo `packet_capture_time`. A chave é "packet_capture_time".
`packet_capture_unique_id`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mapeado diretamente do campo `packet_capture_unique_id`. A chave é "packet_capture_unique_id".
`parent_rule`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `parent_rule`. A chave é "parent_rule".
`performance_impact`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mapeado diretamente do campo `performance_impact`. A chave é "performance_impact".
`policy_name`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Extraído do campo `__policy_id_tag` usando grok e mapeado. A chave é "Nome da política".
`policy_time`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `policy_time`. A chave é "policy_time".
`portal_message`	`event.idm.read_only_udm.security_result.description`	Mapeado diretamente do campo `portal_message`.
`principal_hostname`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Mapeado diretamente do campo `principal_hostname` se for um endereço IP válido.
`principal_hostname`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Mapeado diretamente do campo `principal_hostname` se não for um endereço IP válido nem "Checkpoint".
`prod_family_label`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mapeado diretamente do campo `ProductFamily`. A chave é "ProductFamily".
`product`	`event.idm.read_only_udm.metadata.product_name`	Mapeado diretamente do campo `product`.
`product_family`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mapeado diretamente do campo `product_family`. A chave é "product_family".
`product_family`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mapeado diretamente do campo `product_family`. A chave é "product_family".
`ProductName`	`event.idm.read_only_udm.metadata.product_name`	Mapeado diretamente do campo `ProductName` quando `product` está vazio.
`product_name`	`event.idm.read_only_udm.metadata.product_name`	Mapeado diretamente do campo `product_name`.
`profile`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `profile`. A chave é "profile".
`protocol`	`event.idm.read_only_udm.network.application_protocol`	Mapeado diretamente do campo `protocol` se for "HTTP".
`proxy_src_ip`	`event.idm.read_only_udm.principal.nat_ip`	Mapeado diretamente do campo `proxy_src_ip`.
`reason`	`event.idm.read_only_udm.security_result.summary`	Mapeado diretamente do campo `reason`.
`received_bytes`	`event.idm.read_only_udm.network.received_bytes`	Mapeado diretamente do campo `received_bytes` e convertido em um número inteiro sem sinal.
`Reference`	`event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value`, `event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `Reference`. A chave é "Reference". Usado para construir `_vuln.name` com `attack`.
`reject_id_kid`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `reject_id_kid`. A chave é "reject_id_kid".
`resource`	`event.idm.read_only_udm.target.url`	Analisado como JSON e mapeado para o URL de destino. Se a análise falhar, ela será mapeada diretamente.
`resource`	`event.idm.read_only_udm.additional.fields[].value.list_value.values[].string_value`	Analisado como JSON, e cada valor na matriz `resource` é adicionado à lista. A chave é "Resource".
`result`	`event.idm.read_only_udm.metadata.event_timestamp`	Analisado com `date_time` para criar o carimbo de data/hora do evento.
`rt`	`event.idm.read_only_udm.metadata.event_timestamp`	Analisado como milissegundos desde a época e convertido em um carimbo de data/hora.
`rule`	`event.idm.read_only_udm.security_result.rule_name`	Mapeado diretamente do campo `rule`.
`rule_action`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `rule_action`. A chave é "rule_action".
`rule_name`	`event.idm.read_only_udm.security_result.rule_name`	Mapeado diretamente do campo `rule_name`.
`rule_uid`	`event.idm.read_only_udm.security_result.rule_id`	Mapeado diretamente do campo `rule_uid`.
`s_port`	`event.idm.read_only_udm.principal.port`	Mapeado diretamente do campo `s_port` e convertido em um número inteiro.
`scheme`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mapeado diretamente do campo `scheme`. A chave é "scheme".
`security_inzone`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `security_inzone`. A chave é "security_inzone".
`security_outzone`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `security_outzone`. A chave é "security_outzone".
`security_result_action`	`event.idm.read_only_udm.security_result.action`	Mapeado diretamente do campo `security_result_action`.
`sendtotrackerasadvancedauditlog`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `sendtotrackerasadvancedauditlog`. A chave é "sendtotrackerasadvancedauditlog".
`sent_bytes`	`event.idm.read_only_udm.network.sent_bytes`	Mapeado diretamente do campo `sent_bytes` e convertido em um número inteiro sem sinal.
`sequencenum`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mapeado diretamente do campo `sequencenum`. A chave é "sequencenum".
`ser_agent_kid`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `ser_agent_kid`. A chave é "ser_agent_kid".
`service`	`event.idm.read_only_udm.target.port`	Mapeado diretamente do campo `service` e convertido em um número inteiro.
`service_id`	`event.idm.read_only_udm.network.application_protocol`	Mapeado diretamente do campo `service_id` se for "dhcp", "dns", "http", "https" ou "quic", convertido para maiúsculas.
`service_id`	`event.idm.read_only_udm.principal.application`	Mapeado diretamente do campo `service_id` se não for um dos protocolos de aplicativo de rede.
`service_id`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `service_id`. A chave é "service_id".
`session_description`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `session_description`. A chave é "session_description".
`session_id`	`event.idm.read_only_udm.network.session_id`	Mapeado diretamente do campo `session_id` após a remoção das chaves.
`session_name`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `session_name`. A chave é "session_name".
`session_uid`	`event.idm.read_only_udm.network.session_id`	Mapeado diretamente do campo `session_uid` após a remoção das chaves.
`Severity`	`event.idm.read_only_udm.security_result.severity`	Mapeado como "LOW", "MEDIUM", "HIGH" ou "CRITICAL" com base no valor de `Severity`.
`severity`	`event.idm.read_only_udm.security_result.severity`	Mapeado como "LOW", "MEDIUM", "HIGH" ou "CRITICAL" com base no valor de `severity`.
`site`	`event.idm.read_only_udm.network.http.user_agent`	Mapeado diretamente do campo `site`.
`smartdefense_profile`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `smartdefense_profile`. A chave é "smartdefense_profile".
`snid`	`event.idm.read_only_udm.network.session_id`	Mapeado diretamente do campo `snid` se não estiver vazio ou for "0".
`sourceAddress`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Mapeado diretamente do campo `sourceAddress`.
`sourcePort`	`event.idm.read_only_udm.principal.port`	Mapeado diretamente do campo `sourcePort` e convertido em um número inteiro.
`sourceTranslatedAddress`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Mapeado diretamente do campo `sourceTranslatedAddress`.
`sourceTranslatedAddress`	`event.idm.read_only_udm.principal.nat_ip`	Mapeado diretamente do campo `sourceTranslatedAddress`.
`sourceTranslatedPort`	`event.idm.read_only_udm.principal.port`	Mapeado diretamente do campo `sourceTranslatedPort` e convertido em um número inteiro.
`sourceTranslatedPort`	`event.idm.read_only_udm.principal.nat_port`	Mapeado diretamente do campo `sourceTranslatedPort` e convertido em um número inteiro.
`sourceUserName`	`event.idm.read_only_udm.principal.user.userid`, `event.idm.read_only_udm.principal.user.first_name`, `event.idm.read_only_udm.principal.user.last_name`	Analisado usando grok para extrair userid, nome e sobrenome.
`spt`	`event.idm.read_only_udm.principal.port`	Mapeado diretamente do campo `spt` e convertido em um número inteiro.
`src`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Mapeado diretamente do campo `src`.
`src_ip`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Mapeado diretamente do campo `src_ip`.
`src_localhost`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Mapeado diretamente do campo `src_localhost`. `src_ip` está definido como "127.0.0.1".
`src_machine_name`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `src_machine_name`. A chave é "src_machine_name".
`src_port`	`event.idm.read_only_udm.principal.port`	Mapeado diretamente do campo `src_port` e convertido em um número inteiro.
`src_user`	`event.idm.read_only_udm.principal.user.userid`	Mapeado diretamente do campo `src_user`.
`src_user_dn`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `src_user_dn`. A chave é "src_user_dn".
`src_user_name`	`event.idm.read_only_udm.principal.user.userid`	Mapeado diretamente do campo `src_user_name`.
`sub_policy_name`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `sub_policy_name`. A chave é "sub_policy_name".
`sub_policy_uid`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `sub_policy_uid`. A chave é "sub_policy_uid".
`subject`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `subject`. A chave é "subject".
`subscription_stat_desc`	`event.idm.read_only_udm.security_result.summary`	Mapeado diretamente do campo `subscription_stat_desc`.
`tags`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `tags`. A chave é "tags".
`tar_user`	`event.idm.read_only_udm.target.user.userid`	Mapeado diretamente do campo `tar_user`.
`target_port`	`event.idm.read_only_udm.target.port`	Mapeado diretamente do campo `target_port`.
`tcp_flags`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `tcp_flags`. A chave é "tcp_flags".
`tcp_packet_out_of_state`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `tcp_packet_out_of_state`. A chave é "tcp_packet_out_of_state".
`time`	`event.idm.read_only_udm.metadata.event_timestamp`	Analisado e convertido em um carimbo de data/hora usando vários formatos de data.
`ts`	`event.idm.read_only_udm.metadata.event_timestamp`	Analisado com `ds` e `tz` para criar o carimbo de data/hora do evento.
`type`	`event.idm.read_only_udm.security_result.rule_type`	Mapeado diretamente do campo `type`.
`tz`	`event.idm.read_only_udm.metadata.event_timestamp`	Usado com `ds` e `ts` para criar o carimbo de data/hora do evento.
`update_count`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente do campo `update_count`. A chave é "update_count".
`URL`	`event.idm.read_only_udm.security_result.about.url`	Mapeado diretamente do campo `URL`.
`user`	`event.idm.read_only_udm.principal.user.userid`	Mapeado diretamente do campo `user`.
`user_agent`	`event.idm.read_only_udm.network.http.user_agent`	Mapeado diretamente do campo `user_agent`. Também analisado e mapeado para `event.idm.read_only_udm.network.http.parsed_user_agent`.
`userip`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Mapeado diretamente do campo `userip` se for um endereço IP válido.
`UUid`	`event.idm.read_only_udm.metadata.product_log_id`	Mapeado diretamente do campo `UUid` após a remoção das chaves.
`version`	`event.idm.read_only_udm.metadata.product_version`	Mapeado diretamente do campo `version`.
`web_client_type`	`event.idm.read_only_udm.network.http.user_agent`	Mapeado diretamente do campo `web_client_type`.
`xlatedport`	`event.idm.read_only_udm.target.nat_port`	Mapeado diretamente do campo `xlatedport` e convertido em um número inteiro.
`xlatedst`	`event.idm.read_only_udm.target.nat_ip`	Mapeado diretamente do campo `xlatedst`.
`xlatesport`	`event.idm.read_only_udm.principal.nat_port`	Mapeado diretamente do campo `xlatesport` e convertido em um número inteiro.
`xlatesrc`	`event.idm.read_only_udm.principal.nat_ip`	Mapeado diretamente do campo `xlatesrc`.
`event.idm.read_only_udm.metadata.vendor_name`	`Check Point`	Valor codificado.
`event.idm.read_only_udm.metadata.log_type`	`CHECKPOINT_FIREWALL`	Valor codificado.
`event.idm.read_only_udm.security_result.rule_type`	`Firewall Rule`	Valor padrão, a menos que seja substituído por uma lógica específica.
`has_principal`	`true`	Definido como "true" quando o IP ou o nome do host principal é extraído.
`has_target`	`true`	Definido como "true" quando o IP ou nome do host de destino é extraído.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.