收集 Check Point 防火墙日志

支持的语言:

此解析器用于提取 Check Point 防火墙日志。它可处理 CEF 格式和非 CEF 格式的消息,包括 syslog、键值对和 JSON。它会对字段进行标准化处理,将其映射到 UDM,并针对登录/退出、网络连接和安全事件执行特定逻辑。它会使用地理定位和威胁情报等背景信息来丰富数据。

准备工作

  • 确保您拥有 Google Security Operations 实例。
  • 确保您使用的是 Windows 2016 或更高版本,或者使用带有 systemd 的 Linux 主机。
  • 如果通过代理运行,请确保防火墙端口处于开放状态。
  • 确保您拥有对 Check Point 防火墙的特权访问权限。

获取 Google SecOps 注入身份验证文件

  1. 登录 Google SecOps 控制台。
  2. 依次前往 SIEM 设置 > 收集代理
  3. 下载注入身份验证文件

获取 Google SecOps 客户 ID

  1. 登录 Google SecOps 控制台。
  2. 依次前往 SIEM 设置 > 配置文件
  3. 复制并保存组织详细信息部分中的客户 ID

安装 BindPlane 代理

  1. 对于 Windows 安装,请运行以下脚本:
    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
  2. 对于 Linux 安装,请运行以下脚本:
    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
  3. 如需了解其他安装选项,请参阅此安装指南

配置 Bindplane 代理以注入 Syslog 并将其发送到 Google SecOps

  1. 访问安装了 Bindplane 的机器。

  2. 按如下方式修改 config.yaml 文件:

    receivers:
    udplog:
        # Replace the below port <54525> and IP <0.0.0.0> with your specific values
        listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: Checkpoint_Firewall
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

  3. 重启 Bindplane 代理以应用更改:

    sudo systemctl restart bindplane

在 Check Point 防火墙中配置 Syslog 导出

  1. 使用具有特权的账号登录 Check Point 防火墙界面。
  2. 前往日志和监控 > 日志服务器
  3. 前往 Syslog 服务器
  4. 点击配置,然后设置以下值:
    • 协议:选择 UDP 以发送安全日志和/或系统日志。
    • 名称:提供唯一名称(例如 Bindplane_Server)。
    • IP 地址:提供您的 syslog 服务器 IP 地址(Bindplane IP)。
    • 端口:提供您的 Syslog 服务器端口(Bindplane 端口)。
  5. 选择启用日志服务器
  6. 选择要转发的日志:系统日志和安全日志
  7. 点击应用

UDM 映射表

日志字段 UDM 映射 逻辑
Action event.idm.read_only_udm.security_result.action_details 直接从 Action 字段映射。
Activity event.idm.read_only_udm.security_result.summary 直接从 Activity 字段映射。
additional_info event.idm.read_only_udm.security_result.description 直接从 additional_info 字段映射。
administrator event.idm.read_only_udm.security_result.detection_fields[].value 直接从 administrator 字段映射。键为“administrator”。
aggregated_log_count event.idm.read_only_udm.security_result.detection_fields[].value 直接从 aggregated_log_count 字段映射。键为“aggregated_log_count”。
appi_name event.idm.read_only_udm.security_result.detection_fields[].value 直接从 appi_name 字段映射。键为“appi_name”。
app_category event.idm.read_only_udm.security_result.category_details 直接从 app_category 字段映射。
app_properties event.idm.read_only_udm.security_result.detection_fields[].value 直接从 app_properties 字段映射。键为“app_properties”。
app_risk event.idm.read_only_udm.security_result.detection_fields[].value 直接从 app_risk 字段映射。键为“app_risk”。
app_session_id event.idm.read_only_udm.network.session_id 直接从 app_session_id 字段映射,并转换为字符串。
attack event.idm.read_only_udm.security_result.summary 如果存在 Info,则直接从 attack 字段映射。
attack event.idm.read_only_udm.security_result.threat_name 如果存在 Info,则直接从 attack 字段映射。
attack_info event.idm.read_only_udm.security_result.description 直接从 attack_info 字段映射。
auth_status event.idm.read_only_udm.security_result.summary 直接从 auth_status 字段映射。
browse_time event.idm.read_only_udm.additional.fields[].value.string_value 直接从 browse_time 字段映射。键为“browse_time”。
bytes event.idm.read_only_udm.additional.fields[].value.string_value 直接从 bytes 字段映射。键为“bytes”。
bytes event.idm.read_only_udm.additional.fields[].value.string_value 直接从 bytes 字段映射。键为“bytes”。
calc_service event.idm.read_only_udm.additional.fields[].value.string_value 直接从 calc_service 字段映射。键为“calc_service”。
category event.idm.read_only_udm.security_result.category_details 直接从 category 字段映射。
client_version event.idm.read_only_udm.intermediary.platform_version 直接从 client_version 字段映射。
conn_direction event.idm.read_only_udm.additional.fields[].value.string_value 直接从 conn_direction 字段映射。键为“conn_direction”。
conn_direction event.idm.read_only_udm.network.direction 如果 conn_direction 为“Incoming”,则映射到“INBOUND”。否则,映射到“OUTBOUND”。
connection_count event.idm.read_only_udm.security_result.detection_fields[].value 直接从 connection_count 字段映射。键为“connection_count”。
contract_name event.idm.read_only_udm.security_result.description 直接从 contract_name 字段映射。
cs2 event.idm.read_only_udm.security_result.rule_name 直接从 cs2 字段映射。
date_time event.idm.read_only_udm.metadata.event_timestamp 已使用各种日期格式解析并转换为时间戳。
dedup_time event.idm.read_only_udm.additional.fields[].value.string_value 直接从 dedup_time 字段映射。键为“dedup_time”。
desc event.idm.read_only_udm.security_result.summary 直接从 desc 字段映射。
description event.idm.read_only_udm.security_result.description 直接从 description 字段映射。
description_url event.idm.read_only_udm.additional.fields[].value.string_value 直接从 description_url 字段映射。键为“description_url”。
destinationAddress event.idm.read_only_udm.target.ipevent.idm.read_only_udm.target.asset.ip 直接从 destinationAddress 字段映射。
destinationPort event.idm.read_only_udm.target.port 直接从 destinationPort 字段映射,并转换为整数。
destinationTranslatedAddress event.idm.read_only_udm.target.ipevent.idm.read_only_udm.target.asset.ip 直接从 destinationTranslatedAddress 字段映射。
destinationTranslatedAddress event.idm.read_only_udm.target.nat_ip 直接从 destinationTranslatedAddress 字段映射。
destinationTranslatedPort event.idm.read_only_udm.target.port 直接从 destinationTranslatedPort 字段映射,并转换为整数。
destinationTranslatedPort event.idm.read_only_udm.target.nat_port 直接从 destinationTranslatedPort 字段映射,并转换为整数。
deviceCustomString2 event.idm.read_only_udm.security_result.rule_name 直接从 deviceCustomString2 字段映射。
deviceDirection event.idm.read_only_udm.network.direction 如果 deviceDirection 为 0,则映射到“OUTBOUND”。如果值为 1,则映射到“INBOUND”。
domain event.idm.read_only_udm.principal.administrative_domain 直接从 domain 字段映射。
domain_name event.idm.read_only_udm.principal.administrative_domain 直接从 domain_name 字段映射。
drop_reason event.idm.read_only_udm.security_result.summary 直接从 drop_reason 字段映射。
ds event.idm.read_only_udm.metadata.event_timestamp tstz 搭配使用,以构造事件时间戳。
dst event.idm.read_only_udm.target.ipevent.idm.read_only_udm.target.asset.ip 直接从 dst 字段映射。
dst_country event.idm.read_only_udm.target.location.country_or_region 直接从 dst_country 字段映射。
dst_ip event.idm.read_only_udm.target.ipevent.idm.read_only_udm.target.asset.ip 直接从 dst_ip 字段映射。
dpt event.idm.read_only_udm.target.port 直接从 dpt 字段映射,并转换为整数。
duration event.idm.read_only_udm.network.session_duration.seconds 直接从 duration 字段映射,如果大于 0,则转换为整数。
duser event.idm.read_only_udm.target.user.email_addressesevent.idm.read_only_udm.target.user.user_display_name 如果 duser 字段与电子邮件地址格式匹配,则直接从该字段映射。
environment_id event.idm.read_only_udm.target.resource.product_object_id 直接从 environment_id 字段映射。
event_type event.idm.read_only_udm.metadata.event_type 由基于特定字段和值的逻辑确定。如果未识别出具体事件类型,则默认为 GENERIC_EVENT。可以是 NETWORK_CONNECTIONUSER_LOGINUSER_CHANGE_PASSWORDUSER_LOGOUTNETWORK_HTTPSTATUS_UPDATE
fieldschanges event.idm.read_only_udm.security_result.detection_fields[].value 直接从 fieldschanges 字段映射。键为“fieldschanges”。
flags event.idm.read_only_udm.security_result.detection_fields[].value 直接从 flags 字段映射。键为“flags”。
flexString2 event.idm.read_only_udm.security_result.detection_fields[].value 直接从 flexString2 字段映射。键是 flexString2Label 的值。
from_user event.idm.read_only_udm.principal.user.userid 直接从 from_user 字段映射。
fservice event.idm.read_only_udm.security_result.detection_fields[].value 直接从 fservice 字段映射。键为“fservice”。
fw_subproduct event.idm.read_only_udm.metadata.product_name product 为空时,直接从 fw_subproduct 字段映射。
geoip_dst.country_name event.idm.read_only_udm.target.location.country_or_region 直接从 geoip_dst.country_name 字段映射。
hll_key event.idm.read_only_udm.additional.fields[].value.string_value 直接从 hll_key 字段映射。键为“hll_key”。
hostname event.idm.read_only_udm.target.hostnameevent.idm.read_only_udm.target.asset.hostnameevent.idm.read_only_udm.intermediary.hostname inter_host 为空时,直接从 hostname 字段映射。
http_host event.idm.read_only_udm.target.resource.attribute.labels[].value 直接从 http_host 字段映射。键为“http_host”。
id event.idm.read_only_udm.metadata.product_log_id 直接从 _id 字段映射。
identity_src event.idm.read_only_udm.target.application 直接从 identity_src 字段映射。
identity_type event.idm.read_only_udm.extensions.auth.type 如果 identity_type 为“user”,则映射到“VPN”。否则,映射到“MACHINE”。
if_direction event.idm.read_only_udm.network.direction 直接从 if_direction 字段映射,并转换为大写。
ifdir event.idm.read_only_udm.network.direction 直接从 ifdir 字段映射,并转换为大写。
ifname event.idm.read_only_udm.security_result.detection_fields[].value 直接从 ifname 字段映射。键为“ifname”。
IKE event.idm.read_only_udm.metadata.description 直接从 IKE 字段映射。
inzone event.idm.read_only_udm.security_result.detection_fields[].value 直接从 inzone 字段映射。键为“inzone”。
industry_reference event.idm.read_only_udm.additional.fields[].value.string_value 直接从 industry_reference 字段映射。键为“industry_reference”。
instance_id event.idm.read_only_udm.principal.hostnameevent.idm.read_only_udm.principal.asset.hostname 直接从 instance_id 字段映射。
inter_host event.idm.read_only_udm.intermediary.hostname 直接从 inter_host 字段映射。
ip_proto event.idm.read_only_udm.network.ip_protocol 根据 proto 字段或 service 字段确定。可以是 TCP、UDP、ICMP、IP6IN4 或 GRE。
ipv6_dst event.idm.read_only_udm.target.ipevent.idm.read_only_udm.target.asset.ip 直接从 ipv6_dst 字段映射。
ipv6_src event.idm.read_only_udm.principal.ipevent.idm.read_only_udm.principal.asset.ip 直接从 ipv6_src 字段映射。
layer_name event.idm.read_only_udm.security_result.rule_set_display_nameevent.idm.read_only_udm.security_result.detection_fields[].value 直接从 layer_name 字段映射。键为“layer_name”。
layer_uuid event.idm.read_only_udm.security_result.rule_setevent.idm.read_only_udm.security_result.detection_fields[].value 直接从 layer_uuid 字段映射,并移除了大括号。键为“layer_uuid”。
layer_uuid_rule_uuid event.idm.read_only_udm.security_result.rule_id 直接从 layer_uuid_rule_uuid 字段映射,并移除了方括号和引号。
log_id event.idm.read_only_udm.metadata.product_log_id 直接从 log_id 字段映射。
log_type event.idm.read_only_udm.metadata.log_type 直接从 log_type 字段映射。硬编码为“CHECKPOINT_FIREWALL”。
loguid event.idm.read_only_udm.metadata.product_log_id 直接从 loguid 字段映射,并移除了大括号。
logic_changes event.idm.read_only_udm.security_result.detection_fields[].value 直接从 logic_changes 字段映射。键为“logic_changes”。
localhost event.idm.read_only_udm.target.hostnameevent.idm.read_only_udm.target.asset.hostname 直接从 localhost 字段映射。dst_ip 设置为“127.0.0.1”。
malware_action event.idm.read_only_udm.security_result.detection_fields[].valueevent.idm.read_only_udm.security_result.about.resource.attribute.labels[].value 直接从 malware_action 字段映射。键为“malware_action”。
malware_family event.idm.read_only_udm.security_result.detection_fields[].valueevent.idm.read_only_udm.security_result.about.resource.attribute.labels[].value 直接从 malware_family 字段映射。键为“malware_family”。
malware_rule_id event.idm.read_only_udm.security_result.detection_fields[].value 直接从 malware_rule_id 字段映射,并移除了大括号。键为“恶意软件规则 ID”。
malware_rule_name event.idm.read_only_udm.security_result.detection_fields[].value 直接从 malware_rule_name 字段映射。键为“恶意软件规则名称”。
match_id event.idm.read_only_udm.security_result.detection_fields[].value 直接从 match_id 字段映射。键为“match_id”。
matched_category event.idm.read_only_udm.security_result.detection_fields[].value 直接从 matched_category 字段映射。键为“matched_category”。
message_info event.idm.read_only_udm.metadata.description 直接从 message_info 字段映射。
method event.idm.read_only_udm.network.http.method 直接从 method 字段映射。
mitre_execution event.idm.read_only_udm.additional.fields[].value.string_value 直接从 mitre_execution 字段映射。键为“mitre_execution”。
mitre_initial_access event.idm.read_only_udm.security_result.detection_fields[].value 直接从 mitre_initial_access 字段映射。键为“mitre_initial_access”。
nat_rulenum event.idm.read_only_udm.security_result.rule_id 直接从 nat_rulenum 字段映射,并转换为字符串。
objecttype event.idm.read_only_udm.security_result.detection_fields[].value 直接从 objecttype 字段映射。键为“objecttype”。
operation event.idm.read_only_udm.security_result.summary 直接从 operation 字段映射。
operation event.idm.read_only_udm.security_result.detection_fields[].value 直接从 operation 字段映射。键为“operation”。
orig event.idm.read_only_udm.principal.hostnameevent.idm.read_only_udm.principal.asset.hostname 直接从 orig 字段映射。
origin event.idm.read_only_udm.principal.ipevent.idm.read_only_udm.principal.asset.ipevent.idm.read_only_udm.target.ipevent.idm.read_only_udm.target.asset.ipevent.idm.read_only_udm.intermediary.ip 直接从 origin 字段映射。
origin_sic_name event.idm.read_only_udm.intermediary.asset_idevent.idm.read_only_udm.intermediary.labels[].value 直接从 origin_sic_name 字段映射。键为“Machine SIC”。素材资源 ID 以“asset:”为前缀。
originsicname event.idm.read_only_udm.additional.fields[].value.string_value 直接从 originsicname 字段映射。键为“originsicname”。
originsicname event.idm.read_only_udm.intermediary.asset_idevent.idm.read_only_udm.intermediary.labels[].value 直接从 originsicname 字段映射。键为“Machine SIC”。素材资源 ID 以“asset:”为前缀。
os_name event.idm.read_only_udm.principal.asset.platform_software.platform 如果 os_name 包含“Win”,则映射到“WINDOWS”。如果包含“MAC”或“IOS”,则映射到“MAC”。如果包含“LINUX”,则映射到“LINUX”。
os_version event.idm.read_only_udm.principal.asset.platform_software.platform_patch_level 直接从 os_version 字段映射。
outzone event.idm.read_only_udm.security_result.detection_fields[].value 直接从 outzone 字段映射。键为“outzone”。
packets event.idm.read_only_udm.additional.fields[].value.string_value 直接从 packets 字段映射。键为“packets”。
packet_capture_name event.idm.read_only_udm.additional.fields[].value.string_value 直接从 packet_capture_name 字段映射。键为“packet_capture_name”。
packet_capture_time event.idm.read_only_udm.additional.fields[].value.string_value 直接从 packet_capture_time 字段映射。键为“packet_capture_time”。
packet_capture_unique_id event.idm.read_only_udm.additional.fields[].value.string_value 直接从 packet_capture_unique_id 字段映射。键为“packet_capture_unique_id”。
parent_rule event.idm.read_only_udm.security_result.detection_fields[].value 直接从 parent_rule 字段映射。键为“parent_rule”。
performance_impact event.idm.read_only_udm.additional.fields[].value.string_value 直接从 performance_impact 字段映射。键为“performance_impact”。
policy_name event.idm.read_only_udm.security_result.detection_fields[].value 使用 grok 从 __policy_id_tag 字段中提取并映射。键为“政策名称”。
policy_time event.idm.read_only_udm.security_result.detection_fields[].value 直接从 policy_time 字段映射。键为“policy_time”。
portal_message event.idm.read_only_udm.security_result.description 直接从 portal_message 字段映射。
principal_hostname event.idm.read_only_udm.principal.ipevent.idm.read_only_udm.principal.asset.ip 如果 principal_hostname 字段是有效的 IP 地址,则直接从该字段映射。
principal_hostname event.idm.read_only_udm.principal.hostnameevent.idm.read_only_udm.principal.asset.hostname 如果不是有效的 IP 地址且不是“Checkpoint”,则直接从 principal_hostname 字段映射。
prod_family_label event.idm.read_only_udm.additional.fields[].value.string_value 直接从 ProductFamily 字段映射。键为“ProductFamily”。
product event.idm.read_only_udm.metadata.product_name 直接从 product 字段映射。
product_family event.idm.read_only_udm.additional.fields[].value.string_value 直接从 product_family 字段映射。键为“product_family”。
product_family event.idm.read_only_udm.additional.fields[].value.string_value 直接从 product_family 字段映射。键为“product_family”。
ProductName event.idm.read_only_udm.metadata.product_name product 为空时,直接从 ProductName 字段映射。
product_name event.idm.read_only_udm.metadata.product_name 直接从 product_name 字段映射。
profile event.idm.read_only_udm.security_result.detection_fields[].value 直接从 profile 字段映射。键为“profile”。
protocol event.idm.read_only_udm.network.application_protocol 如果 protocol 字段为“HTTP”,则直接从该字段映射。
proxy_src_ip event.idm.read_only_udm.principal.nat_ip 直接从 proxy_src_ip 字段映射。
reason event.idm.read_only_udm.security_result.summary 直接从 reason 字段映射。
received_bytes event.idm.read_only_udm.network.received_bytes 直接从 received_bytes 字段映射,并转换为无符号整数。
Reference event.idm.read_only_udm.security_result.about.resource.attribute.labels[].valueevent.idm.read_only_udm.security_result.detection_fields[].value 直接从 Reference 字段映射。键为“Reference”。用于使用 attack 构造 _vuln.name
reject_id_kid event.idm.read_only_udm.security_result.detection_fields[].value 直接从 reject_id_kid 字段映射。键为“reject_id_kid”。
resource event.idm.read_only_udm.target.url 解析为 JSON 并映射到目标网址。如果解析失败,则直接映射。
resource event.idm.read_only_udm.additional.fields[].value.list_value.values[].string_value 解析为 JSON,并将 resource 数组中的每个值添加到列表中。键为“资源”。
result event.idm.read_only_udm.metadata.event_timestamp 使用 date_time 进行解析以创建活动时间戳。
rt event.idm.read_only_udm.metadata.event_timestamp 解析为自纪元以来的毫秒数,并转换为时间戳。
rule event.idm.read_only_udm.security_result.rule_name 直接从 rule 字段映射。
rule_action event.idm.read_only_udm.security_result.detection_fields[].value 直接从 rule_action 字段映射。键为“rule_action”。
rule_name event.idm.read_only_udm.security_result.rule_name 直接从 rule_name 字段映射。
rule_uid event.idm.read_only_udm.security_result.rule_id 直接从 rule_uid 字段映射。
s_port event.idm.read_only_udm.principal.port 直接从 s_port 字段映射,并转换为整数。
scheme event.idm.read_only_udm.additional.fields[].value.string_value 直接从 scheme 字段映射。键为“scheme”。
security_inzone event.idm.read_only_udm.security_result.detection_fields[].value 直接从 security_inzone 字段映射。键为“security_inzone”。
security_outzone event.idm.read_only_udm.security_result.detection_fields[].value 直接从 security_outzone 字段映射。键为“security_outzone”。
security_result_action event.idm.read_only_udm.security_result.action 直接从 security_result_action 字段映射。
sendtotrackerasadvancedauditlog event.idm.read_only_udm.security_result.detection_fields[].value 直接从 sendtotrackerasadvancedauditlog 字段映射。键为“sendtotrackerasadvancedauditlog”。
sent_bytes event.idm.read_only_udm.network.sent_bytes 直接从 sent_bytes 字段映射,并转换为无符号整数。
sequencenum event.idm.read_only_udm.additional.fields[].value.string_value 直接从 sequencenum 字段映射。键为“sequencenum”。
ser_agent_kid event.idm.read_only_udm.security_result.detection_fields[].value 直接从 ser_agent_kid 字段映射。键为“ser_agent_kid”。
service event.idm.read_only_udm.target.port 直接从 service 字段映射,并转换为整数。
service_id event.idm.read_only_udm.network.application_protocol 如果 service_id 字段为“dhcp”“dns”“http”“https”或“quic”,则直接从该字段映射,并转换为大写。
service_id event.idm.read_only_udm.principal.application 如果不是网络应用协议,则直接从 service_id 字段映射。
service_id event.idm.read_only_udm.security_result.detection_fields[].value 直接从 service_id 字段映射。键为“service_id”。
session_description event.idm.read_only_udm.security_result.detection_fields[].value 直接从 session_description 字段映射。键为“session_description”。
session_id event.idm.read_only_udm.network.session_id 直接从 session_id 字段映射,并移除了大括号。
session_name event.idm.read_only_udm.security_result.detection_fields[].value 直接从 session_name 字段映射。键为“session_name”。
session_uid event.idm.read_only_udm.network.session_id 直接从 session_uid 字段映射,并移除了大括号。
Severity event.idm.read_only_udm.security_result.severity 根据 Severity 的值映射到“LOW”“MEDIUM”“HIGH”或“CRITICAL”。
severity event.idm.read_only_udm.security_result.severity 根据 severity 的值映射到“LOW”“MEDIUM”“HIGH”或“CRITICAL”。
site event.idm.read_only_udm.network.http.user_agent 直接从 site 字段映射。
smartdefense_profile event.idm.read_only_udm.security_result.detection_fields[].value 直接从 smartdefense_profile 字段映射。键为“smartdefense_profile”。
snid event.idm.read_only_udm.network.session_id 如果 snid 字段不为空或不为“0”,则直接从该字段映射。
sourceAddress event.idm.read_only_udm.principal.ipevent.idm.read_only_udm.principal.asset.ip 直接从 sourceAddress 字段映射。
sourcePort event.idm.read_only_udm.principal.port 直接从 sourcePort 字段映射,并转换为整数。
sourceTranslatedAddress event.idm.read_only_udm.principal.ipevent.idm.read_only_udm.principal.asset.ip 直接从 sourceTranslatedAddress 字段映射。
sourceTranslatedAddress event.idm.read_only_udm.principal.nat_ip 直接从 sourceTranslatedAddress 字段映射。
sourceTranslatedPort event.idm.read_only_udm.principal.port 直接从 sourceTranslatedPort 字段映射,并转换为整数。
sourceTranslatedPort event.idm.read_only_udm.principal.nat_port 直接从 sourceTranslatedPort 字段映射,并转换为整数。
sourceUserName event.idm.read_only_udm.principal.user.useridevent.idm.read_only_udm.principal.user.first_nameevent.idm.read_only_udm.principal.user.last_name 使用 Grok 进行解析,以提取用户 ID、名字和姓氏。
spt event.idm.read_only_udm.principal.port 直接从 spt 字段映射,并转换为整数。
src event.idm.read_only_udm.principal.ipevent.idm.read_only_udm.principal.asset.ip 直接从 src 字段映射。
src_ip event.idm.read_only_udm.principal.ipevent.idm.read_only_udm.principal.asset.ip 直接从 src_ip 字段映射。
src_localhost event.idm.read_only_udm.principal.hostnameevent.idm.read_only_udm.principal.asset.hostname 直接从 src_localhost 字段映射。src_ip 设置为“127.0.0.1”。
src_machine_name event.idm.read_only_udm.security_result.detection_fields[].value 直接从 src_machine_name 字段映射。键为“src_machine_name”。
src_port event.idm.read_only_udm.principal.port 直接从 src_port 字段映射,并转换为整数。
src_user event.idm.read_only_udm.principal.user.userid 直接从 src_user 字段映射。
src_user_dn event.idm.read_only_udm.security_result.detection_fields[].value 直接从 src_user_dn 字段映射。键为“src_user_dn”。
src_user_name event.idm.read_only_udm.principal.user.userid 直接从 src_user_name 字段映射。
sub_policy_name event.idm.read_only_udm.security_result.detection_fields[].value 直接从 sub_policy_name 字段映射。键为“sub_policy_name”。
sub_policy_uid event.idm.read_only_udm.security_result.detection_fields[].value 直接从 sub_policy_uid 字段映射。键为“sub_policy_uid”。
subject event.idm.read_only_udm.security_result.detection_fields[].value 直接从 subject 字段映射。键为“subject”。
subscription_stat_desc event.idm.read_only_udm.security_result.summary 直接从 subscription_stat_desc 字段映射。
tags event.idm.read_only_udm.security_result.detection_fields[].value 直接从 tags 字段映射。键为“tags”。
tar_user event.idm.read_only_udm.target.user.userid 直接从 tar_user 字段映射。
target_port event.idm.read_only_udm.target.port 直接从 target_port 字段映射。
tcp_flags event.idm.read_only_udm.security_result.detection_fields[].value 直接从 tcp_flags 字段映射。键为“tcp_flags”。
tcp_packet_out_of_state event.idm.read_only_udm.security_result.detection_fields[].value 直接从 tcp_packet_out_of_state 字段映射。键为“tcp_packet_out_of_state”。
time event.idm.read_only_udm.metadata.event_timestamp 已使用各种日期格式解析并转换为时间戳。
ts event.idm.read_only_udm.metadata.event_timestamp 使用 dstz 进行解析,以创建活动时间戳。
type event.idm.read_only_udm.security_result.rule_type 直接从 type 字段映射。
tz event.idm.read_only_udm.metadata.event_timestamp dsts 搭配使用,以构造事件时间戳。
update_count event.idm.read_only_udm.security_result.detection_fields[].value 直接从 update_count 字段映射。键为“update_count”。
URL event.idm.read_only_udm.security_result.about.url 直接从 URL 字段映射。
user event.idm.read_only_udm.principal.user.userid 直接从 user 字段映射。
user_agent event.idm.read_only_udm.network.http.user_agent 直接从 user_agent 字段映射。还会解析并映射到 event.idm.read_only_udm.network.http.parsed_user_agent
userip event.idm.read_only_udm.principal.ipevent.idm.read_only_udm.principal.asset.ip 如果 userip 字段是有效的 IP 地址,则直接从该字段映射。
UUid event.idm.read_only_udm.metadata.product_log_id 直接从 UUid 字段映射,并移除了大括号。
version event.idm.read_only_udm.metadata.product_version 直接从 version 字段映射。
web_client_type event.idm.read_only_udm.network.http.user_agent 直接从 web_client_type 字段映射。
xlatedport event.idm.read_only_udm.target.nat_port 直接从 xlatedport 字段映射,并转换为整数。
xlatedst event.idm.read_only_udm.target.nat_ip 直接从 xlatedst 字段映射。
xlatesport event.idm.read_only_udm.principal.nat_port 直接从 xlatesport 字段映射,并转换为整数。
xlatesrc event.idm.read_only_udm.principal.nat_ip 直接从 xlatesrc 字段映射。
event.idm.read_only_udm.metadata.vendor_name Check Point 硬编码的值。
event.idm.read_only_udm.metadata.log_type CHECKPOINT_FIREWALL 硬编码的值。
event.idm.read_only_udm.security_result.rule_type Firewall Rule 默认值,除非被特定逻辑覆盖。
has_principal true 当提取了主 IP 或主机名时,设置为 true。
has_target true 当提取目标 IP 或主机名时,设置为 true。

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。