Esta página foi traduzida pela API Cloud Translation.

Recolha registos de firewall do Check Point

Compatível com:

Google secops SIEM

Este analisador extrai registos da firewall da Check Point. Processa mensagens formatadas em CEF e não CEF, incluindo syslog, pares de chave-valor e JSON. Normaliza os campos, mapeia-os para o UDM e executa uma lógica específica para início/fim de sessão, ligações de rede e eventos de segurança. Enriquece os dados com informações contextuais, como a geolocalização e a inteligência contra ameaças.

Antes de começar

Certifique-se de que tem uma instância do Google Security Operations.
Certifique-se de que está a usar o Windows 2016 ou posterior, ou um anfitrião Linux com systemd.
Se estiver a executar o serviço através de um proxy, certifique-se de que as portas da firewall estão abertas.
Certifique-se de que tem acesso privilegiado a uma firewall da Check Point.

Obtenha o ficheiro de autenticação de carregamento do Google SecOps

Inicie sessão na consola Google SecOps.
Aceda a Definições do SIEM > Agentes de recolha.
Transfira o ficheiro de autenticação de carregamento.

Obtenha o ID de cliente do Google SecOps

Inicie sessão na consola Google SecOps.
Aceda a Definições do SIEM > Perfil.
Copie e guarde o ID do cliente da secção Detalhes da organização.

Instale o agente do Bindplane

Para a instalação do Windows, execute o seguinte script:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Para a instalação do Linux, execute o seguinte script:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Pode encontrar opções de instalação adicionais neste guia de instalação.

Configure o agente Bindplane para carregar o Syslog e enviá-lo para o Google SecOps

Aceda à máquina onde o Bindplane está instalado.

Edite o ficheiro config.yaml da seguinte forma:

receivers:
    udplog:
        # Replace the below port <54525> and IP <0.0.0.0> with your specific values
        listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: Checkpoint_Firewall
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Reinicie o agente do Bindplane para aplicar as alterações:
```
sudo systemctl restart bindplane
```

Configure a exportação de Syslog numa firewall da Check Point

Inicie sessão na IU da firewall da Check Point com uma conta privilegiada.
Aceda a Registos e monitorização > Servidores de registos.
Navegue para Servidores Syslog.
Clique em Configurar e defina os seguintes valores:
- Protocolo: selecione UDP para enviar registos de segurança e/ou registos do sistema.
- Nome: indique um nome exclusivo (por exemplo, Bindplane_Server).
- Endereço IP: indique o endereço IP do servidor syslog (IP do Bindplane).
- Porta: indique a porta do servidor Syslog (porta do Bindplane).
Selecione Ativar servidor de registo.
Selecione os registos a encaminhar: Registos do sistema e de segurança.
Clique em Aplicar.

Tabela de mapeamento da UDM

Campo de registo	Mapeamento de UDM	Lógica
`Action`	`event.idm.read_only_udm.security_result.action_details`	Mapeado diretamente a partir do campo `Action`.
`Activity`	`event.idm.read_only_udm.security_result.summary`	Mapeado diretamente a partir do campo `Activity`.
`additional_info`	`event.idm.read_only_udm.security_result.description`	Mapeado diretamente a partir do campo `additional_info`.
`administrator`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente a partir do campo `administrator`. A chave é "administrator".
`aggregated_log_count`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente a partir do campo `aggregated_log_count`. A chave é "aggregated_log_count".
`appi_name`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente a partir do campo `appi_name`. A chave é "appi_name".
`app_category`	`event.idm.read_only_udm.security_result.category_details`	Mapeado diretamente a partir do campo `app_category`.
`app_properties`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente a partir do campo `app_properties`. A chave é "app_properties".
`app_risk`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente a partir do campo `app_risk`. A chave é "app_risk".
`app_session_id`	`event.idm.read_only_udm.network.session_id`	Mapeado diretamente a partir do campo `app_session_id`, convertido numa string.
`attack`	`event.idm.read_only_udm.security_result.summary`	Mapeado diretamente a partir do campo `attack` quando `Info` está presente.
`attack`	`event.idm.read_only_udm.security_result.threat_name`	Mapeado diretamente a partir do campo `attack` quando `Info` está presente.
`attack_info`	`event.idm.read_only_udm.security_result.description`	Mapeado diretamente a partir do campo `attack_info`.
`auth_status`	`event.idm.read_only_udm.security_result.summary`	Mapeado diretamente a partir do campo `auth_status`.
`browse_time`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mapeado diretamente a partir do campo `browse_time`. A chave é "browse_time".
`bytes`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mapeado diretamente a partir do campo `bytes`. A chave é "bytes".
`bytes`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mapeado diretamente a partir do campo `bytes`. A chave é "bytes".
`calc_service`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mapeado diretamente a partir do campo `calc_service`. A chave é "calc_service".
`category`	`event.idm.read_only_udm.security_result.category_details`	Mapeado diretamente a partir do campo `category`.
`client_version`	`event.idm.read_only_udm.intermediary.platform_version`	Mapeado diretamente a partir do campo `client_version`.
`conn_direction`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mapeado diretamente a partir do campo `conn_direction`. A chave é "conn_direction".
`conn_direction`	`event.idm.read_only_udm.network.direction`	Se `conn_direction` for "Incoming", é mapeado para "INBOUND". Caso contrário, é mapeado para "OUTBOUND".
`connection_count`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente a partir do campo `connection_count`. A chave é "connection_count".
`contract_name`	`event.idm.read_only_udm.security_result.description`	Mapeado diretamente a partir do campo `contract_name`.
`cs2`	`event.idm.read_only_udm.security_result.rule_name`	Mapeado diretamente a partir do campo `cs2`.
`date_time`	`event.idm.read_only_udm.metadata.event_timestamp`	Analisado e convertido num formato de data/hora através de vários formatos de data.
`dedup_time`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mapeado diretamente a partir do campo `dedup_time`. A chave é "dedup_time".
`desc`	`event.idm.read_only_udm.security_result.summary`	Mapeado diretamente a partir do campo `desc`.
`description`	`event.idm.read_only_udm.security_result.description`	Mapeado diretamente a partir do campo `description`.
`description_url`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mapeado diretamente a partir do campo `description_url`. A chave é "description_url".
`destinationAddress`	`event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`	Mapeado diretamente a partir do campo `destinationAddress`.
`destinationPort`	`event.idm.read_only_udm.target.port`	Mapeado diretamente a partir do campo `destinationPort`, convertido num número inteiro.
`destinationTranslatedAddress`	`event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`	Mapeado diretamente a partir do campo `destinationTranslatedAddress`.
`destinationTranslatedAddress`	`event.idm.read_only_udm.target.nat_ip`	Mapeado diretamente a partir do campo `destinationTranslatedAddress`.
`destinationTranslatedPort`	`event.idm.read_only_udm.target.port`	Mapeado diretamente a partir do campo `destinationTranslatedPort`, convertido num número inteiro.
`destinationTranslatedPort`	`event.idm.read_only_udm.target.nat_port`	Mapeado diretamente a partir do campo `destinationTranslatedPort`, convertido num número inteiro.
`deviceCustomString2`	`event.idm.read_only_udm.security_result.rule_name`	Mapeado diretamente a partir do campo `deviceCustomString2`.
`deviceDirection`	`event.idm.read_only_udm.network.direction`	Se `deviceDirection` for 0, é mapeado para "OUTBOUND". Se for 1, mapeia para "INBOUND".
`domain`	`event.idm.read_only_udm.principal.administrative_domain`	Mapeado diretamente a partir do campo `domain`.
`domain_name`	`event.idm.read_only_udm.principal.administrative_domain`	Mapeado diretamente a partir do campo `domain_name`.
`drop_reason`	`event.idm.read_only_udm.security_result.summary`	Mapeado diretamente a partir do campo `drop_reason`.
`ds`	`event.idm.read_only_udm.metadata.event_timestamp`	Usado com `ts` e `tz` para criar a data/hora do evento.
`dst`	`event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`	Mapeado diretamente a partir do campo `dst`.
`dst_country`	`event.idm.read_only_udm.target.location.country_or_region`	Mapeado diretamente a partir do campo `dst_country`.
`dst_ip`	`event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`	Mapeado diretamente a partir do campo `dst_ip`.
`dpt`	`event.idm.read_only_udm.target.port`	Mapeado diretamente a partir do campo `dpt`, convertido num número inteiro.
`duration`	`event.idm.read_only_udm.network.session_duration.seconds`	Mapeado diretamente a partir do campo `duration`, convertido num número inteiro, se for superior a 0.
`duser`	`event.idm.read_only_udm.target.user.email_addresses`, `event.idm.read_only_udm.target.user.user_display_name`	Mapeado diretamente a partir do campo `duser` se corresponder a um formato de endereço de email.
`environment_id`	`event.idm.read_only_udm.target.resource.product_object_id`	Mapeado diretamente a partir do campo `environment_id`.
`event_type`	`event.idm.read_only_udm.metadata.event_type`	Determinada pela lógica com base na presença de determinados campos e valores. A predefinição é `GENERIC_EVENT` se não for identificado nenhum tipo de evento específico. Pode ser `NETWORK_CONNECTION`, `USER_LOGIN`, `USER_CHANGE_PASSWORD`, `USER_LOGOUT`, `NETWORK_HTTP` ou `STATUS_UPDATE`.
`fieldschanges`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente a partir do campo `fieldschanges`. A chave é "fieldschanges".
`flags`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente a partir do campo `flags`. A chave é "flags".
`flexString2`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente a partir do campo `flexString2`. A chave é o valor de `flexString2Label`.
`from_user`	`event.idm.read_only_udm.principal.user.userid`	Mapeado diretamente a partir do campo `from_user`.
`fservice`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente a partir do campo `fservice`. A chave é "fservice".
`fw_subproduct`	`event.idm.read_only_udm.metadata.product_name`	Mapeado diretamente a partir do campo `fw_subproduct` quando `product` está vazio.
`geoip_dst.country_name`	`event.idm.read_only_udm.target.location.country_or_region`	Mapeado diretamente a partir do campo `geoip_dst.country_name`.
`hll_key`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mapeado diretamente a partir do campo `hll_key`. A chave é "hll_key".
`hostname`	`event.idm.read_only_udm.target.hostname`, `event.idm.read_only_udm.target.asset.hostname`, `event.idm.read_only_udm.intermediary.hostname`	Mapeado diretamente a partir do campo `hostname` quando `inter_host` está vazio.
`http_host`	`event.idm.read_only_udm.target.resource.attribute.labels[].value`	Mapeado diretamente a partir do campo `http_host`. A chave é "http_host".
`id`	`event.idm.read_only_udm.metadata.product_log_id`	Mapeado diretamente a partir do campo `_id`.
`identity_src`	`event.idm.read_only_udm.target.application`	Mapeado diretamente a partir do campo `identity_src`.
`identity_type`	`event.idm.read_only_udm.extensions.auth.type`	Se `identity_type` for "user", é mapeado para "VPN". Caso contrário, é mapeado para "MACHINE".
`if_direction`	`event.idm.read_only_udm.network.direction`	Mapeado diretamente a partir do campo `if_direction`, convertido em maiúsculas.
`ifdir`	`event.idm.read_only_udm.network.direction`	Mapeado diretamente a partir do campo `ifdir`, convertido em maiúsculas.
`ifname`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente a partir do campo `ifname`. A chave é "ifname".
`IKE`	`event.idm.read_only_udm.metadata.description`	Mapeado diretamente a partir do campo `IKE`.
`inzone`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente a partir do campo `inzone`. A chave é "inzone".
`industry_reference`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mapeado diretamente a partir do campo `industry_reference`. A chave é "industry_reference".
`instance_id`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Mapeado diretamente a partir do campo `instance_id`.
`inter_host`	`event.idm.read_only_udm.intermediary.hostname`	Mapeado diretamente a partir do campo `inter_host`.
`ip_proto`	`event.idm.read_only_udm.network.ip_protocol`	Determinado com base no campo `proto` ou no campo `service`. Pode ser TCP, UDP, ICMP, IP6IN4 ou GRE.
`ipv6_dst`	`event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip`	Mapeado diretamente a partir do campo `ipv6_dst`.
`ipv6_src`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Mapeado diretamente a partir do campo `ipv6_src`.
`layer_name`	`event.idm.read_only_udm.security_result.rule_set_display_name`, `event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente a partir do campo `layer_name`. A chave é "layer_name".
`layer_uuid`	`event.idm.read_only_udm.security_result.rule_set`, `event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente a partir do campo `layer_uuid` após a remoção das chavetas. A chave é "layer_uuid".
`layer_uuid_rule_uuid`	`event.idm.read_only_udm.security_result.rule_id`	Mapeado diretamente a partir do campo `layer_uuid_rule_uuid` após a remoção de parênteses e aspas.
`log_id`	`event.idm.read_only_udm.metadata.product_log_id`	Mapeado diretamente a partir do campo `log_id`.
`log_type`	`event.idm.read_only_udm.metadata.log_type`	Mapeado diretamente a partir do campo `log_type`. Codificado de forma rígida para "CHECKPOINT_FIREWALL".
`loguid`	`event.idm.read_only_udm.metadata.product_log_id`	Mapeado diretamente a partir do campo `loguid` após a remoção das chavetas.
`logic_changes`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente a partir do campo `logic_changes`. A chave é "logic_changes".
`localhost`	`event.idm.read_only_udm.target.hostname`, `event.idm.read_only_udm.target.asset.hostname`	Mapeado diretamente a partir do campo `localhost`. `dst_ip` está definido como "127.0.0.1".
`malware_action`	`event.idm.read_only_udm.security_result.detection_fields[].value`, `event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value`	Mapeado diretamente a partir do campo `malware_action`. A chave é "malware_action".
`malware_family`	`event.idm.read_only_udm.security_result.detection_fields[].value`, `event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value`	Mapeado diretamente a partir do campo `malware_family`. A chave é "malware_family".
`malware_rule_id`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente a partir do campo `malware_rule_id` após a remoção das chavetas. A chave é "ID da regra de software malicioso".
`malware_rule_name`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente a partir do campo `malware_rule_name`. A chave é "Nome da regra de software malicioso".
`match_id`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente a partir do campo `match_id`. A chave é "match_id".
`matched_category`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente a partir do campo `matched_category`. A chave é "matched_category".
`message_info`	`event.idm.read_only_udm.metadata.description`	Mapeado diretamente a partir do campo `message_info`.
`method`	`event.idm.read_only_udm.network.http.method`	Mapeado diretamente a partir do campo `method`.
`mitre_execution`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mapeado diretamente a partir do campo `mitre_execution`. A chave é "mitre_execution".
`mitre_initial_access`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente a partir do campo `mitre_initial_access`. A chave é "mitre_initial_access".
`nat_rulenum`	`event.idm.read_only_udm.security_result.rule_id`	Mapeado diretamente a partir do campo `nat_rulenum`, convertido numa string.
`objecttype`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente a partir do campo `objecttype`. A chave é "objecttype".
`operation`	`event.idm.read_only_udm.security_result.summary`	Mapeado diretamente a partir do campo `operation`.
`operation`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente a partir do campo `operation`. A chave é "operation".
`orig`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Mapeado diretamente a partir do campo `orig`.
`origin`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`, `event.idm.read_only_udm.target.ip`, `event.idm.read_only_udm.target.asset.ip` e `event.idm.read_only_udm.intermediary.ip`	Mapeado diretamente a partir do campo `origin`.
`origin_sic_name`	`event.idm.read_only_udm.intermediary.asset_id`, `event.idm.read_only_udm.intermediary.labels[].value`	Mapeado diretamente a partir do campo `origin_sic_name`. A chave é "Machine SIC". O ID do recurso tem o prefixo "asset:".
`originsicname`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mapeado diretamente a partir do campo `originsicname`. A chave é "originsicname".
`originsicname`	`event.idm.read_only_udm.intermediary.asset_id`, `event.idm.read_only_udm.intermediary.labels[].value`	Mapeado diretamente a partir do campo `originsicname`. A chave é "Machine SIC". O ID do recurso tem o prefixo "asset:".
`os_name`	`event.idm.read_only_udm.principal.asset.platform_software.platform`	Se `os_name` contiver "Win", é mapeado para "WINDOWS". Se contiver "MAC" ou "IOS", é mapeado para "MAC". Se contiver "LINUX", é mapeado para "LINUX".
`os_version`	`event.idm.read_only_udm.principal.asset.platform_software.platform_patch_level`	Mapeado diretamente a partir do campo `os_version`.
`outzone`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente a partir do campo `outzone`. A chave é "outzone".
`packets`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mapeado diretamente a partir do campo `packets`. A chave é "packets".
`packet_capture_name`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mapeado diretamente a partir do campo `packet_capture_name`. A chave é "packet_capture_name".
`packet_capture_time`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mapeado diretamente a partir do campo `packet_capture_time`. A chave é "packet_capture_time".
`packet_capture_unique_id`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mapeado diretamente a partir do campo `packet_capture_unique_id`. A chave é "packet_capture_unique_id".
`parent_rule`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente a partir do campo `parent_rule`. A chave é "parent_rule".
`performance_impact`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mapeado diretamente a partir do campo `performance_impact`. A chave é "performance_impact".
`policy_name`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Extraído do campo `__policy_id_tag` através do grok e mapeado. A chave é "Nome da política".
`policy_time`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente a partir do campo `policy_time`. A chave é "policy_time".
`portal_message`	`event.idm.read_only_udm.security_result.description`	Mapeado diretamente a partir do campo `portal_message`.
`principal_hostname`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Mapeado diretamente a partir do campo `principal_hostname` se for um endereço IP válido.
`principal_hostname`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Mapeado diretamente a partir do campo `principal_hostname` se não for um endereço IP válido e não for "Checkpoint".
`prod_family_label`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mapeado diretamente a partir do campo `ProductFamily`. A chave é "ProductFamily".
`product`	`event.idm.read_only_udm.metadata.product_name`	Mapeado diretamente a partir do campo `product`.
`product_family`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mapeado diretamente a partir do campo `product_family`. A chave é "product_family".
`product_family`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mapeado diretamente a partir do campo `product_family`. A chave é "product_family".
`ProductName`	`event.idm.read_only_udm.metadata.product_name`	Mapeado diretamente a partir do campo `ProductName` quando `product` está vazio.
`product_name`	`event.idm.read_only_udm.metadata.product_name`	Mapeado diretamente a partir do campo `product_name`.
`profile`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente a partir do campo `profile`. A chave é "profile".
`protocol`	`event.idm.read_only_udm.network.application_protocol`	Mapeado diretamente a partir do campo `protocol` se for "HTTP".
`proxy_src_ip`	`event.idm.read_only_udm.principal.nat_ip`	Mapeado diretamente a partir do campo `proxy_src_ip`.
`reason`	`event.idm.read_only_udm.security_result.summary`	Mapeado diretamente a partir do campo `reason`.
`received_bytes`	`event.idm.read_only_udm.network.received_bytes`	Mapeado diretamente a partir do campo `received_bytes`, convertido num número inteiro não assinado.
`Reference`	`event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value`, `event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente a partir do campo `Reference`. A chave é "Reference". Usado para criar `_vuln.name` com `attack`.
`reject_id_kid`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente a partir do campo `reject_id_kid`. A chave é "reject_id_kid".
`resource`	`event.idm.read_only_udm.target.url`	Analisado como JSON e mapeado para o URL de destino. Se a análise falhar, é mapeada diretamente.
`resource`	`event.idm.read_only_udm.additional.fields[].value.list_value.values[].string_value`	Analisado como JSON e cada valor na matriz `resource` é adicionado à lista. A chave é "Resource".
`result`	`event.idm.read_only_udm.metadata.event_timestamp`	Analisado com `date_time` para criar a data/hora do evento.
`rt`	`event.idm.read_only_udm.metadata.event_timestamp`	Analisado como milissegundos desde a época e convertido numa indicação de tempo.
`rule`	`event.idm.read_only_udm.security_result.rule_name`	Mapeado diretamente a partir do campo `rule`.
`rule_action`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente a partir do campo `rule_action`. A chave é "rule_action".
`rule_name`	`event.idm.read_only_udm.security_result.rule_name`	Mapeado diretamente a partir do campo `rule_name`.
`rule_uid`	`event.idm.read_only_udm.security_result.rule_id`	Mapeado diretamente a partir do campo `rule_uid`.
`s_port`	`event.idm.read_only_udm.principal.port`	Mapeado diretamente a partir do campo `s_port`, convertido num número inteiro.
`scheme`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mapeado diretamente a partir do campo `scheme`. A chave é "scheme".
`security_inzone`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente a partir do campo `security_inzone`. A chave é "security_inzone".
`security_outzone`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente a partir do campo `security_outzone`. A chave é "security_outzone".
`security_result_action`	`event.idm.read_only_udm.security_result.action`	Mapeado diretamente a partir do campo `security_result_action`.
`sendtotrackerasadvancedauditlog`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente a partir do campo `sendtotrackerasadvancedauditlog`. A chave é "sendtotrackerasadvancedauditlog".
`sent_bytes`	`event.idm.read_only_udm.network.sent_bytes`	Mapeado diretamente a partir do campo `sent_bytes`, convertido num número inteiro não assinado.
`sequencenum`	`event.idm.read_only_udm.additional.fields[].value.string_value`	Mapeado diretamente a partir do campo `sequencenum`. A chave é "sequencenum".
`ser_agent_kid`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente a partir do campo `ser_agent_kid`. A chave é "ser_agent_kid".
`service`	`event.idm.read_only_udm.target.port`	Mapeado diretamente a partir do campo `service`, convertido num número inteiro.
`service_id`	`event.idm.read_only_udm.network.application_protocol`	Mapeado diretamente a partir do campo `service_id` se for "dhcp", "dns", "http", "https" ou "quic", convertido em maiúsculas.
`service_id`	`event.idm.read_only_udm.principal.application`	Mapeado diretamente a partir do campo `service_id` se não for um dos protocolos de aplicação de rede.
`service_id`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente a partir do campo `service_id`. A chave é "service_id".
`session_description`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente a partir do campo `session_description`. A chave é "session_description".
`session_id`	`event.idm.read_only_udm.network.session_id`	Mapeado diretamente a partir do campo `session_id` após a remoção das chavetas.
`session_name`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente a partir do campo `session_name`. A chave é "session_name".
`session_uid`	`event.idm.read_only_udm.network.session_id`	Mapeado diretamente a partir do campo `session_uid` após a remoção das chavetas.
`Severity`	`event.idm.read_only_udm.security_result.severity`	Mapeado para "LOW", "MEDIUM", "HIGH" ou "CRITICAL" com base no valor de `Severity`.
`severity`	`event.idm.read_only_udm.security_result.severity`	Mapeado para "LOW", "MEDIUM", "HIGH" ou "CRITICAL" com base no valor de `severity`.
`site`	`event.idm.read_only_udm.network.http.user_agent`	Mapeado diretamente a partir do campo `site`.
`smartdefense_profile`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente a partir do campo `smartdefense_profile`. A chave é "smartdefense_profile".
`snid`	`event.idm.read_only_udm.network.session_id`	Mapeado diretamente a partir do campo `snid` se não estiver vazio ou for "0".
`sourceAddress`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Mapeado diretamente a partir do campo `sourceAddress`.
`sourcePort`	`event.idm.read_only_udm.principal.port`	Mapeado diretamente a partir do campo `sourcePort`, convertido num número inteiro.
`sourceTranslatedAddress`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Mapeado diretamente a partir do campo `sourceTranslatedAddress`.
`sourceTranslatedAddress`	`event.idm.read_only_udm.principal.nat_ip`	Mapeado diretamente a partir do campo `sourceTranslatedAddress`.
`sourceTranslatedPort`	`event.idm.read_only_udm.principal.port`	Mapeado diretamente a partir do campo `sourceTranslatedPort`, convertido num número inteiro.
`sourceTranslatedPort`	`event.idm.read_only_udm.principal.nat_port`	Mapeado diretamente a partir do campo `sourceTranslatedPort`, convertido num número inteiro.
`sourceUserName`	`event.idm.read_only_udm.principal.user.userid`, `event.idm.read_only_udm.principal.user.first_name`, `event.idm.read_only_udm.principal.user.last_name`	Analisado através do grok para extrair o ID do utilizador, o nome próprio e o apelido.
`spt`	`event.idm.read_only_udm.principal.port`	Mapeado diretamente a partir do campo `spt`, convertido num número inteiro.
`src`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Mapeado diretamente a partir do campo `src`.
`src_ip`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Mapeado diretamente a partir do campo `src_ip`.
`src_localhost`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Mapeado diretamente a partir do campo `src_localhost`. `src_ip` está definido como "127.0.0.1".
`src_machine_name`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente a partir do campo `src_machine_name`. A chave é "src_machine_name".
`src_port`	`event.idm.read_only_udm.principal.port`	Mapeado diretamente a partir do campo `src_port`, convertido num número inteiro.
`src_user`	`event.idm.read_only_udm.principal.user.userid`	Mapeado diretamente a partir do campo `src_user`.
`src_user_dn`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente a partir do campo `src_user_dn`. A chave é "src_user_dn".
`src_user_name`	`event.idm.read_only_udm.principal.user.userid`	Mapeado diretamente a partir do campo `src_user_name`.
`sub_policy_name`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente a partir do campo `sub_policy_name`. A chave é "sub_policy_name".
`sub_policy_uid`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente a partir do campo `sub_policy_uid`. A chave é "sub_policy_uid".
`subject`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente a partir do campo `subject`. A chave é "subject".
`subscription_stat_desc`	`event.idm.read_only_udm.security_result.summary`	Mapeado diretamente a partir do campo `subscription_stat_desc`.
`tags`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente a partir do campo `tags`. A chave é "tags".
`tar_user`	`event.idm.read_only_udm.target.user.userid`	Mapeado diretamente a partir do campo `tar_user`.
`target_port`	`event.idm.read_only_udm.target.port`	Mapeado diretamente a partir do campo `target_port`.
`tcp_flags`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente a partir do campo `tcp_flags`. A chave é "tcp_flags".
`tcp_packet_out_of_state`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente a partir do campo `tcp_packet_out_of_state`. A chave é "tcp_packet_out_of_state".
`time`	`event.idm.read_only_udm.metadata.event_timestamp`	Analisado e convertido num formato de data/hora através de vários formatos de data.
`ts`	`event.idm.read_only_udm.metadata.event_timestamp`	Analisado com `ds` e `tz` para criar a data/hora do evento.
`type`	`event.idm.read_only_udm.security_result.rule_type`	Mapeado diretamente a partir do campo `type`.
`tz`	`event.idm.read_only_udm.metadata.event_timestamp`	Usado com `ds` e `ts` para criar a data/hora do evento.
`update_count`	`event.idm.read_only_udm.security_result.detection_fields[].value`	Mapeado diretamente a partir do campo `update_count`. A chave é "update_count".
`URL`	`event.idm.read_only_udm.security_result.about.url`	Mapeado diretamente a partir do campo `URL`.
`user`	`event.idm.read_only_udm.principal.user.userid`	Mapeado diretamente a partir do campo `user`.
`user_agent`	`event.idm.read_only_udm.network.http.user_agent`	Mapeado diretamente a partir do campo `user_agent`. Também analisado e mapeado para `event.idm.read_only_udm.network.http.parsed_user_agent`.
`userip`	`event.idm.read_only_udm.principal.ip`, `event.idm.read_only_udm.principal.asset.ip`	Mapeado diretamente a partir do campo `userip` se for um endereço IP válido.
`UUid`	`event.idm.read_only_udm.metadata.product_log_id`	Mapeado diretamente a partir do campo `UUid` após a remoção das chavetas.
`version`	`event.idm.read_only_udm.metadata.product_version`	Mapeado diretamente a partir do campo `version`.
`web_client_type`	`event.idm.read_only_udm.network.http.user_agent`	Mapeado diretamente a partir do campo `web_client_type`.
`xlatedport`	`event.idm.read_only_udm.target.nat_port`	Mapeado diretamente a partir do campo `xlatedport`, convertido num número inteiro.
`xlatedst`	`event.idm.read_only_udm.target.nat_ip`	Mapeado diretamente a partir do campo `xlatedst`.
`xlatesport`	`event.idm.read_only_udm.principal.nat_port`	Mapeado diretamente a partir do campo `xlatesport`, convertido num número inteiro.
`xlatesrc`	`event.idm.read_only_udm.principal.nat_ip`	Mapeado diretamente a partir do campo `xlatesrc`.
`event.idm.read_only_udm.metadata.vendor_name`	`Check Point`	Valor codificado.
`event.idm.read_only_udm.metadata.log_type`	`CHECKPOINT_FIREWALL`	Valor codificado.
`event.idm.read_only_udm.security_result.rule_type`	`Firewall Rule`	Valor predefinido, a menos que seja substituído por uma lógica específica.
`has_principal`	`true`	Definido como verdadeiro quando o IP principal ou o nome do anfitrião é extraído.
`has_target`	`true`	Definido como verdadeiro quando o endereço IP ou o nome de anfitrião de destino é extraído.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.