收集 Check Point 防火牆記錄

支援的國家/地區:

這個剖析器會擷取 Check Point 防火牆記錄。可處理 CEF 和非 CEF 格式的訊息,包括系統記錄、鍵/值組合和 JSON。這項服務會將欄位標準化、對應至 UDM,並針對登入/登出、網路連線和安全性事件執行特定邏輯。並加入地理位置和威脅情報等情境資訊,讓資料更加豐富。

事前準備

  • 確認您有 Google Security Operations 執行個體。
  • 確認您使用的是 Windows 2016 以上版本,或是搭載 systemd 的 Linux 主機。
  • 如果透過 Proxy 執行,請確認防火牆通訊埠已開啟。
  • 確認您擁有 Check Point 防火牆的特殊權限。

取得 Google SecOps 擷取驗證檔案

  1. 登入 Google SecOps 控制台。
  2. 依序前往「SIEM 設定」>「收集代理程式」
  3. 下載擷取驗證檔案

取得 Google SecOps 客戶 ID

  1. 登入 Google SecOps 控制台。
  2. 依序前往「SIEM 設定」>「設定檔」
  3. 複製並儲存「機構詳細資料」專區中的客戶 ID

安裝 Bindplane 代理程式

  1. 如要在 Windows 上安裝,請執行下列指令碼:
    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
  2. 如要在 Linux 上安裝,請執行下列指令碼:
    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
  3. 如需其他安裝選項,請參閱這份安裝指南

設定 Bindplane 代理程式,擷取系統記錄檔並傳送至 Google SecOps

  1. 存取安裝 Bindplane 的電腦。

  2. 按照下列方式編輯 config.yaml 檔案:

    receivers:
    udplog:
        # Replace the below port <54525> and IP <0.0.0.0> with your specific values
        listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: Checkpoint_Firewall
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

  3. 重新啟動 Bindplane 代理程式,以套用變更:

    sudo systemctl restart bindplane

在 Check Point 防火牆中設定 Syslog 匯出功能

  1. 使用具備權限的帳戶登入 Check Point 防火牆使用者介面。
  2. 依序前往「記錄和監控」>「記錄伺服器」
  3. 前往「Syslog Servers」
  4. 按一下「設定」,然後設定下列值:
    • 通訊協定:選取「UDP」,傳送安全性記錄和/或系統記錄。
    • 名稱:提供專屬名稱 (例如 Bindplane_Server)。
    • IP 位址:提供系統記錄伺服器 IP 位址 (Bindplane IP)。
    • 「Port」(通訊埠):提供系統記錄檔伺服器通訊埠 (Bindplane 通訊埠)。
  5. 選取「啟用記錄伺服器」
  6. 選取要轉送的記錄:系統記錄和安全性記錄
  7. 按一下 [套用]

UDM 對應表

記錄欄位 UDM 對應 邏輯
Action event.idm.read_only_udm.security_result.action_details 直接從「Action」欄位對應。
Activity event.idm.read_only_udm.security_result.summary 直接從「Activity」欄位對應。
additional_info event.idm.read_only_udm.security_result.description 直接從「additional_info」欄位對應。
administrator event.idm.read_only_udm.security_result.detection_fields[].value 直接從「administrator」欄位對應。索引鍵為「administrator」。
aggregated_log_count event.idm.read_only_udm.security_result.detection_fields[].value 直接從「aggregated_log_count」欄位對應。鍵為「aggregated_log_count」。
appi_name event.idm.read_only_udm.security_result.detection_fields[].value 直接從「appi_name」欄位對應。索引鍵為「appi_name」。
app_category event.idm.read_only_udm.security_result.category_details 直接從「app_category」欄位對應。
app_properties event.idm.read_only_udm.security_result.detection_fields[].value 直接從「app_properties」欄位對應。金鑰為「app_properties」。
app_risk event.idm.read_only_udm.security_result.detection_fields[].value 直接從「app_risk」欄位對應。金鑰為「app_risk」。
app_session_id event.idm.read_only_udm.network.session_id 直接從 app_session_id 欄位對應,並轉換為字串。
attack event.idm.read_only_udm.security_result.summary 如果存在 Info,則直接從 attack 欄位對應。
attack event.idm.read_only_udm.security_result.threat_name 如果存在 Info,則直接從 attack 欄位對應。
attack_info event.idm.read_only_udm.security_result.description 直接從「attack_info」欄位對應。
auth_status event.idm.read_only_udm.security_result.summary 直接從「auth_status」欄位對應。
browse_time event.idm.read_only_udm.additional.fields[].value.string_value 直接從「browse_time」欄位對應。鍵為「browse_time」。
bytes event.idm.read_only_udm.additional.fields[].value.string_value 直接從「bytes」欄位對應。索引鍵為「bytes」。
bytes event.idm.read_only_udm.additional.fields[].value.string_value 直接從「bytes」欄位對應。索引鍵為「bytes」。
calc_service event.idm.read_only_udm.additional.fields[].value.string_value 直接從「calc_service」欄位對應。金鑰為「calc_service」。
category event.idm.read_only_udm.security_result.category_details 直接從「category」欄位對應。
client_version event.idm.read_only_udm.intermediary.platform_version 直接從「client_version」欄位對應。
conn_direction event.idm.read_only_udm.additional.fields[].value.string_value 直接從「conn_direction」欄位對應。金鑰為「conn_direction」。
conn_direction event.idm.read_only_udm.network.direction 如果 conn_direction 是「Incoming」,則對應至「INBOUND」。否則會對應至「OUTBOUND」。
connection_count event.idm.read_only_udm.security_result.detection_fields[].value 直接從「connection_count」欄位對應。金鑰為「connection_count」。
contract_name event.idm.read_only_udm.security_result.description 直接從「contract_name」欄位對應。
cs2 event.idm.read_only_udm.security_result.rule_name 直接從「cs2」欄位對應。
date_time event.idm.read_only_udm.metadata.event_timestamp 使用各種日期格式剖析並轉換為時間戳記。
dedup_time event.idm.read_only_udm.additional.fields[].value.string_value 直接從「dedup_time」欄位對應。索引鍵為「dedup_time」。
desc event.idm.read_only_udm.security_result.summary 直接從「desc」欄位對應。
description event.idm.read_only_udm.security_result.description 直接從「description」欄位對應。
description_url event.idm.read_only_udm.additional.fields[].value.string_value 直接從「description_url」欄位對應。鍵為「description_url」。
destinationAddress event.idm.read_only_udm.target.ipevent.idm.read_only_udm.target.asset.ip 直接從「destinationAddress」欄位對應。
destinationPort event.idm.read_only_udm.target.port 直接從 destinationPort 欄位對應,並轉換為整數。
destinationTranslatedAddress event.idm.read_only_udm.target.ipevent.idm.read_only_udm.target.asset.ip 直接從「destinationTranslatedAddress」欄位對應。
destinationTranslatedAddress event.idm.read_only_udm.target.nat_ip 直接從「destinationTranslatedAddress」欄位對應。
destinationTranslatedPort event.idm.read_only_udm.target.port 直接從 destinationTranslatedPort 欄位對應,並轉換為整數。
destinationTranslatedPort event.idm.read_only_udm.target.nat_port 直接從 destinationTranslatedPort 欄位對應,並轉換為整數。
deviceCustomString2 event.idm.read_only_udm.security_result.rule_name 直接從「deviceCustomString2」欄位對應。
deviceDirection event.idm.read_only_udm.network.direction 如果 deviceDirection 為 0,則對應「OUTBOUND」。如果為 1,則對應「INBOUND」。
domain event.idm.read_only_udm.principal.administrative_domain 直接從「domain」欄位對應。
domain_name event.idm.read_only_udm.principal.administrative_domain 直接從「domain_name」欄位對應。
drop_reason event.idm.read_only_udm.security_result.summary 直接從「drop_reason」欄位對應。
ds event.idm.read_only_udm.metadata.event_timestamp tstz 搭配使用,建構事件時間戳記。
dst event.idm.read_only_udm.target.ipevent.idm.read_only_udm.target.asset.ip 直接從「dst」欄位對應。
dst_country event.idm.read_only_udm.target.location.country_or_region 直接從「dst_country」欄位對應。
dst_ip event.idm.read_only_udm.target.ipevent.idm.read_only_udm.target.asset.ip 直接從「dst_ip」欄位對應。
dpt event.idm.read_only_udm.target.port 直接從 dpt 欄位對應,並轉換為整數。
duration event.idm.read_only_udm.network.session_duration.seconds 直接從 duration 欄位對應,如果大於 0,則轉換為整數。
duser event.idm.read_only_udm.target.user.email_addressesevent.idm.read_only_udm.target.user.user_display_name 如果符合電子郵件地址格式,則直接從 duser 欄位對應。
environment_id event.idm.read_only_udm.target.resource.product_object_id 直接從「environment_id」欄位對應。
event_type event.idm.read_only_udm.metadata.event_type 系統會根據特定欄位和值是否存在,以邏輯方式判斷。如果未識別出特定事件類型,則預設值為 GENERIC_EVENT。可以是 NETWORK_CONNECTIONUSER_LOGINUSER_CHANGE_PASSWORDUSER_LOGOUTNETWORK_HTTPSTATUS_UPDATE
fieldschanges event.idm.read_only_udm.security_result.detection_fields[].value 直接從「fieldschanges」欄位對應。索引鍵為「fieldschanges」。
flags event.idm.read_only_udm.security_result.detection_fields[].value 直接從「flags」欄位對應。索引鍵為「flags」。
flexString2 event.idm.read_only_udm.security_result.detection_fields[].value 直接從「flexString2」欄位對應。鍵是 flexString2Label 的值。
from_user event.idm.read_only_udm.principal.user.userid 直接從「from_user」欄位對應。
fservice event.idm.read_only_udm.security_result.detection_fields[].value 直接從「fservice」欄位對應。金鑰為「fservice」。
fw_subproduct event.idm.read_only_udm.metadata.product_name 如果 product 為空,則直接從 fw_subproduct 欄位對應。
geoip_dst.country_name event.idm.read_only_udm.target.location.country_or_region 直接從「geoip_dst.country_name」欄位對應。
hll_key event.idm.read_only_udm.additional.fields[].value.string_value 直接從「hll_key」欄位對應。金鑰為「hll_key」。
hostname event.idm.read_only_udm.target.hostnameevent.idm.read_only_udm.target.asset.hostnameevent.idm.read_only_udm.intermediary.hostname 如果 inter_host 為空,則直接從 hostname 欄位對應。
http_host event.idm.read_only_udm.target.resource.attribute.labels[].value 直接從「http_host」欄位對應。金鑰為「http_host」。
id event.idm.read_only_udm.metadata.product_log_id 直接從「_id」欄位對應。
identity_src event.idm.read_only_udm.target.application 直接從「identity_src」欄位對應。
identity_type event.idm.read_only_udm.extensions.auth.type 如果 identity_type 是「user」,則會對應至「VPN」。否則會對應至「MACHINE」。
if_direction event.idm.read_only_udm.network.direction 直接從 if_direction 欄位對應,並轉換為大寫。
ifdir event.idm.read_only_udm.network.direction 直接從 ifdir 欄位對應,並轉換為大寫。
ifname event.idm.read_only_udm.security_result.detection_fields[].value 直接從「ifname」欄位對應。索引鍵為「ifname」。
IKE event.idm.read_only_udm.metadata.description 直接從「IKE」欄位對應。
inzone event.idm.read_only_udm.security_result.detection_fields[].value 直接從「inzone」欄位對應。索引鍵為「inzone」。
industry_reference event.idm.read_only_udm.additional.fields[].value.string_value 直接從「industry_reference」欄位對應。索引鍵為「industry_reference」。
instance_id event.idm.read_only_udm.principal.hostnameevent.idm.read_only_udm.principal.asset.hostname 直接從「instance_id」欄位對應。
inter_host event.idm.read_only_udm.intermediary.hostname 直接從「inter_host」欄位對應。
ip_proto event.idm.read_only_udm.network.ip_protocol 根據 proto 欄位或 service 欄位決定。可以是 TCP、UDP、ICMP、IP6IN4 或 GRE。
ipv6_dst event.idm.read_only_udm.target.ipevent.idm.read_only_udm.target.asset.ip 直接從「ipv6_dst」欄位對應。
ipv6_src event.idm.read_only_udm.principal.ipevent.idm.read_only_udm.principal.asset.ip 直接從「ipv6_src」欄位對應。
layer_name event.idm.read_only_udm.security_result.rule_set_display_nameevent.idm.read_only_udm.security_result.detection_fields[].value 直接從「layer_name」欄位對應。索引鍵為「layer_name」。
layer_uuid event.idm.read_only_udm.security_result.rule_setevent.idm.read_only_udm.security_result.detection_fields[].value 移除大括號後,直接從 layer_uuid 欄位對應。金鑰為「layer_uuid」。
layer_uuid_rule_uuid event.idm.read_only_udm.security_result.rule_id 移除方括號和引號後,直接從 layer_uuid_rule_uuid 欄位對應。
log_id event.idm.read_only_udm.metadata.product_log_id 直接從「log_id」欄位對應。
log_type event.idm.read_only_udm.metadata.log_type 直接從「log_type」欄位對應。硬式編碼為「CHECKPOINT_FIREWALL」。
loguid event.idm.read_only_udm.metadata.product_log_id 移除大括號後,直接從 loguid 欄位對應。
logic_changes event.idm.read_only_udm.security_result.detection_fields[].value 直接從「logic_changes」欄位對應。金鑰為「logic_changes」。
localhost event.idm.read_only_udm.target.hostnameevent.idm.read_only_udm.target.asset.hostname 直接從「localhost」欄位對應。dst_ip 設為「127.0.0.1」。
malware_action event.idm.read_only_udm.security_result.detection_fields[].valueevent.idm.read_only_udm.security_result.about.resource.attribute.labels[].value 直接從「malware_action」欄位對應。金鑰為「malware_action」。
malware_family event.idm.read_only_udm.security_result.detection_fields[].valueevent.idm.read_only_udm.security_result.about.resource.attribute.labels[].value 直接從「malware_family」欄位對應。金鑰為「malware_family」。
malware_rule_id event.idm.read_only_udm.security_result.detection_fields[].value 移除大括號後,直接從 malware_rule_id 欄位對應。索引鍵為「惡意軟體規則 ID」。
malware_rule_name event.idm.read_only_udm.security_result.detection_fields[].value 直接從「malware_rule_name」欄位對應。索引鍵為「惡意軟體規則名稱」。
match_id event.idm.read_only_udm.security_result.detection_fields[].value 直接從「match_id」欄位對應。金鑰為「match_id」。
matched_category event.idm.read_only_udm.security_result.detection_fields[].value 直接從「matched_category」欄位對應。鍵為「matched_category」。
message_info event.idm.read_only_udm.metadata.description 直接從「message_info」欄位對應。
method event.idm.read_only_udm.network.http.method 直接從「method」欄位對應。
mitre_execution event.idm.read_only_udm.additional.fields[].value.string_value 直接從「mitre_execution」欄位對應。金鑰為「mitre_execution」。
mitre_initial_access event.idm.read_only_udm.security_result.detection_fields[].value 直接從「mitre_initial_access」欄位對應。金鑰為「mitre_initial_access」。
nat_rulenum event.idm.read_only_udm.security_result.rule_id 直接從 nat_rulenum 欄位對應,並轉換為字串。
objecttype event.idm.read_only_udm.security_result.detection_fields[].value 直接從「objecttype」欄位對應。索引鍵為「objecttype」。
operation event.idm.read_only_udm.security_result.summary 直接從「operation」欄位對應。
operation event.idm.read_only_udm.security_result.detection_fields[].value 直接從「operation」欄位對應。索引鍵為「operation」。
orig event.idm.read_only_udm.principal.hostnameevent.idm.read_only_udm.principal.asset.hostname 直接從「orig」欄位對應。
origin event.idm.read_only_udm.principal.ipevent.idm.read_only_udm.principal.asset.ipevent.idm.read_only_udm.target.ipevent.idm.read_only_udm.target.asset.ipevent.idm.read_only_udm.intermediary.ip 直接從「origin」欄位對應。
origin_sic_name event.idm.read_only_udm.intermediary.asset_idevent.idm.read_only_udm.intermediary.labels[].value 直接從「origin_sic_name」欄位對應。索引鍵為「Machine SIC」。資產 ID 的開頭為「asset:」。
originsicname event.idm.read_only_udm.additional.fields[].value.string_value 直接從「originsicname」欄位對應。索引鍵為「originsicname」。
originsicname event.idm.read_only_udm.intermediary.asset_idevent.idm.read_only_udm.intermediary.labels[].value 直接從「originsicname」欄位對應。索引鍵為「Machine SIC」。資產 ID 的開頭為「asset:」。
os_name event.idm.read_only_udm.principal.asset.platform_software.platform 如果 os_name 包含「Win」,則對應至「WINDOWS」。如果包含「MAC」或「IOS」,則對應至「MAC」。如果包含「LINUX」,則對應至「LINUX」。
os_version event.idm.read_only_udm.principal.asset.platform_software.platform_patch_level 直接從「os_version」欄位對應。
outzone event.idm.read_only_udm.security_result.detection_fields[].value 直接從「outzone」欄位對應。索引鍵為「outzone」。
packets event.idm.read_only_udm.additional.fields[].value.string_value 直接從「packets」欄位對應。索引鍵為「packets」。
packet_capture_name event.idm.read_only_udm.additional.fields[].value.string_value 直接從「packet_capture_name」欄位對應。索引鍵為「packet_capture_name」。
packet_capture_time event.idm.read_only_udm.additional.fields[].value.string_value 直接從「packet_capture_time」欄位對應。索引鍵為「packet_capture_time」。
packet_capture_unique_id event.idm.read_only_udm.additional.fields[].value.string_value 直接從「packet_capture_unique_id」欄位對應。金鑰為「packet_capture_unique_id」。
parent_rule event.idm.read_only_udm.security_result.detection_fields[].value 直接從「parent_rule」欄位對應。金鑰為「parent_rule」。
performance_impact event.idm.read_only_udm.additional.fields[].value.string_value 直接從「performance_impact」欄位對應。索引鍵為「performance_impact」。
policy_name event.idm.read_only_udm.security_result.detection_fields[].value 使用 grok 從 __policy_id_tag 欄位擷取並對應。索引鍵為「Policy Name」。
policy_time event.idm.read_only_udm.security_result.detection_fields[].value 直接從「policy_time」欄位對應。金鑰為「policy_time」。
portal_message event.idm.read_only_udm.security_result.description 直接從「portal_message」欄位對應。
principal_hostname event.idm.read_only_udm.principal.ipevent.idm.read_only_udm.principal.asset.ip 如果 principal_hostname 欄位是有效的 IP 位址,則直接對應。
principal_hostname event.idm.read_only_udm.principal.hostnameevent.idm.read_only_udm.principal.asset.hostname 如果不是有效的 IP 位址,也不是「檢查點」,則直接從 principal_hostname 欄位對應。
prod_family_label event.idm.read_only_udm.additional.fields[].value.string_value 直接從「ProductFamily」欄位對應。索引鍵為「ProductFamily」。
product event.idm.read_only_udm.metadata.product_name 直接從「product」欄位對應。
product_family event.idm.read_only_udm.additional.fields[].value.string_value 直接從「product_family」欄位對應。索引鍵為「product_family」。
product_family event.idm.read_only_udm.additional.fields[].value.string_value 直接從「product_family」欄位對應。索引鍵為「product_family」。
ProductName event.idm.read_only_udm.metadata.product_name 如果 product 為空,則直接從 ProductName 欄位對應。
product_name event.idm.read_only_udm.metadata.product_name 直接從「product_name」欄位對應。
profile event.idm.read_only_udm.security_result.detection_fields[].value 直接從「profile」欄位對應。索引鍵為「profile」。
protocol event.idm.read_only_udm.network.application_protocol 如果為「HTTP」,則直接從 protocol 欄位對應。
proxy_src_ip event.idm.read_only_udm.principal.nat_ip 直接從「proxy_src_ip」欄位對應。
reason event.idm.read_only_udm.security_result.summary 直接從「reason」欄位對應。
received_bytes event.idm.read_only_udm.network.received_bytes 直接從 received_bytes 欄位對應,並轉換為不帶正負號的整數。
Reference event.idm.read_only_udm.security_result.about.resource.attribute.labels[].valueevent.idm.read_only_udm.security_result.detection_fields[].value 直接從「Reference」欄位對應。索引鍵為「Reference」。用於使用 attack 建構 _vuln.name
reject_id_kid event.idm.read_only_udm.security_result.detection_fields[].value 直接從「reject_id_kid」欄位對應。金鑰為「reject_id_kid」。
resource event.idm.read_only_udm.target.url 系統會將其剖析為 JSON,並對應至目標網址。如果剖析失敗,系統會直接對應。
resource event.idm.read_only_udm.additional.fields[].value.list_value.values[].string_value 系統會將其剖析為 JSON,並將 resource 陣列中的每個值新增至清單。金鑰為「Resource」。
result event.idm.read_only_udm.metadata.event_timestamp 使用 date_time 剖析,建立事件時間戳記。
rt event.idm.read_only_udm.metadata.event_timestamp 系統會將這個值剖析為 Epoch 紀元時間起算的毫秒數,並轉換為時間戳記。
rule event.idm.read_only_udm.security_result.rule_name 直接從「rule」欄位對應。
rule_action event.idm.read_only_udm.security_result.detection_fields[].value 直接從「rule_action」欄位對應。金鑰為「rule_action」。
rule_name event.idm.read_only_udm.security_result.rule_name 直接從「rule_name」欄位對應。
rule_uid event.idm.read_only_udm.security_result.rule_id 直接從「rule_uid」欄位對應。
s_port event.idm.read_only_udm.principal.port 直接從 s_port 欄位對應,並轉換為整數。
scheme event.idm.read_only_udm.additional.fields[].value.string_value 直接從「scheme」欄位對應。索引鍵為「scheme」。
security_inzone event.idm.read_only_udm.security_result.detection_fields[].value 直接從「security_inzone」欄位對應。索引鍵為「security_inzone」。
security_outzone event.idm.read_only_udm.security_result.detection_fields[].value 直接從「security_outzone」欄位對應。金鑰為「security_outzone」。
security_result_action event.idm.read_only_udm.security_result.action 直接從「security_result_action」欄位對應。
sendtotrackerasadvancedauditlog event.idm.read_only_udm.security_result.detection_fields[].value 直接從「sendtotrackerasadvancedauditlog」欄位對應。金鑰為「sendtotrackerasadvancedauditlog」。
sent_bytes event.idm.read_only_udm.network.sent_bytes 直接從 sent_bytes 欄位對應,並轉換為不帶正負號的整數。
sequencenum event.idm.read_only_udm.additional.fields[].value.string_value 直接從「sequencenum」欄位對應。索引鍵為「sequencenum」。
ser_agent_kid event.idm.read_only_udm.security_result.detection_fields[].value 直接從「ser_agent_kid」欄位對應。金鑰為「ser_agent_kid」。
service event.idm.read_only_udm.target.port 直接從 service 欄位對應,並轉換為整數。
service_id event.idm.read_only_udm.network.application_protocol 如果 service_id 欄位為「dhcp」、「dns」、「http」、「https」或「quic」,則直接對應,並轉換為大寫。
service_id event.idm.read_only_udm.principal.application 如果不是網路應用程式通訊協定,則直接從 service_id 欄位對應。
service_id event.idm.read_only_udm.security_result.detection_fields[].value 直接從「service_id」欄位對應。金鑰為「service_id」。
session_description event.idm.read_only_udm.security_result.detection_fields[].value 直接從「session_description」欄位對應。金鑰為「session_description」。
session_id event.idm.read_only_udm.network.session_id 移除大括號後,直接從 session_id 欄位對應。
session_name event.idm.read_only_udm.security_result.detection_fields[].value 直接從「session_name」欄位對應。金鑰為「session_name」。
session_uid event.idm.read_only_udm.network.session_id 移除大括號後,直接從 session_uid 欄位對應。
Severity event.idm.read_only_udm.security_result.severity 根據 Severity 的值對應至「LOW」、「MEDIUM」、「HIGH」或「CRITICAL」。
severity event.idm.read_only_udm.security_result.severity 根據 severity 的值對應至「LOW」、「MEDIUM」、「HIGH」或「CRITICAL」。
site event.idm.read_only_udm.network.http.user_agent 直接從「site」欄位對應。
smartdefense_profile event.idm.read_only_udm.security_result.detection_fields[].value 直接從「smartdefense_profile」欄位對應。金鑰為「smartdefense_profile」。
snid event.idm.read_only_udm.network.session_id 如果 snid 欄位不為空白或「0」,則直接對應。
sourceAddress event.idm.read_only_udm.principal.ipevent.idm.read_only_udm.principal.asset.ip 直接從「sourceAddress」欄位對應。
sourcePort event.idm.read_only_udm.principal.port 直接從 sourcePort 欄位對應,並轉換為整數。
sourceTranslatedAddress event.idm.read_only_udm.principal.ipevent.idm.read_only_udm.principal.asset.ip 直接從「sourceTranslatedAddress」欄位對應。
sourceTranslatedAddress event.idm.read_only_udm.principal.nat_ip 直接從「sourceTranslatedAddress」欄位對應。
sourceTranslatedPort event.idm.read_only_udm.principal.port 直接從 sourceTranslatedPort 欄位對應,並轉換為整數。
sourceTranslatedPort event.idm.read_only_udm.principal.nat_port 直接從 sourceTranslatedPort 欄位對應,並轉換為整數。
sourceUserName event.idm.read_only_udm.principal.user.useridevent.idm.read_only_udm.principal.user.first_nameevent.idm.read_only_udm.principal.user.last_name 使用 grok 剖析,擷取使用者 ID、名字和姓氏。
spt event.idm.read_only_udm.principal.port 直接從 spt 欄位對應,並轉換為整數。
src event.idm.read_only_udm.principal.ipevent.idm.read_only_udm.principal.asset.ip 直接從「src」欄位對應。
src_ip event.idm.read_only_udm.principal.ipevent.idm.read_only_udm.principal.asset.ip 直接從「src_ip」欄位對應。
src_localhost event.idm.read_only_udm.principal.hostnameevent.idm.read_only_udm.principal.asset.hostname 直接從「src_localhost」欄位對應。src_ip 設為「127.0.0.1」。
src_machine_name event.idm.read_only_udm.security_result.detection_fields[].value 直接從「src_machine_name」欄位對應。索引鍵為「src_machine_name」。
src_port event.idm.read_only_udm.principal.port 直接從 src_port 欄位對應,並轉換為整數。
src_user event.idm.read_only_udm.principal.user.userid 直接從「src_user」欄位對應。
src_user_dn event.idm.read_only_udm.security_result.detection_fields[].value 直接從「src_user_dn」欄位對應。金鑰為「src_user_dn」。
src_user_name event.idm.read_only_udm.principal.user.userid 直接從「src_user_name」欄位對應。
sub_policy_name event.idm.read_only_udm.security_result.detection_fields[].value 直接從「sub_policy_name」欄位對應。索引鍵為「sub_policy_name」。
sub_policy_uid event.idm.read_only_udm.security_result.detection_fields[].value 直接從「sub_policy_uid」欄位對應。金鑰為「sub_policy_uid」。
subject event.idm.read_only_udm.security_result.detection_fields[].value 直接從「subject」欄位對應。金鑰為「subject」。
subscription_stat_desc event.idm.read_only_udm.security_result.summary 直接從「subscription_stat_desc」欄位對應。
tags event.idm.read_only_udm.security_result.detection_fields[].value 直接從「tags」欄位對應。索引鍵為「tags」。
tar_user event.idm.read_only_udm.target.user.userid 直接從「tar_user」欄位對應。
target_port event.idm.read_only_udm.target.port 直接從「target_port」欄位對應。
tcp_flags event.idm.read_only_udm.security_result.detection_fields[].value 直接從「tcp_flags」欄位對應。索引鍵為「tcp_flags」。
tcp_packet_out_of_state event.idm.read_only_udm.security_result.detection_fields[].value 直接從「tcp_packet_out_of_state」欄位對應。索引鍵為「tcp_packet_out_of_state」。
time event.idm.read_only_udm.metadata.event_timestamp 使用各種日期格式剖析並轉換為時間戳記。
ts event.idm.read_only_udm.metadata.event_timestamp 使用 dstz 剖析,建立事件時間戳記。
type event.idm.read_only_udm.security_result.rule_type 直接從「type」欄位對應。
tz event.idm.read_only_udm.metadata.event_timestamp dsts 搭配使用,建構事件時間戳記。
update_count event.idm.read_only_udm.security_result.detection_fields[].value 直接從「update_count」欄位對應。索引鍵為「update_count」。
URL event.idm.read_only_udm.security_result.about.url 直接從「URL」欄位對應。
user event.idm.read_only_udm.principal.user.userid 直接從「user」欄位對應。
user_agent event.idm.read_only_udm.network.http.user_agent 直接從「user_agent」欄位對應。並剖析及對應至 event.idm.read_only_udm.network.http.parsed_user_agent
userip event.idm.read_only_udm.principal.ipevent.idm.read_only_udm.principal.asset.ip 如果 userip 欄位是有效的 IP 位址,則直接對應。
UUid event.idm.read_only_udm.metadata.product_log_id 移除大括號後,直接從 UUid 欄位對應。
version event.idm.read_only_udm.metadata.product_version 直接從「version」欄位對應。
web_client_type event.idm.read_only_udm.network.http.user_agent 直接從「web_client_type」欄位對應。
xlatedport event.idm.read_only_udm.target.nat_port 直接從 xlatedport 欄位對應,並轉換為整數。
xlatedst event.idm.read_only_udm.target.nat_ip 直接從「xlatedst」欄位對應。
xlatesport event.idm.read_only_udm.principal.nat_port 直接從 xlatesport 欄位對應,並轉換為整數。
xlatesrc event.idm.read_only_udm.principal.nat_ip 直接從「xlatesrc」欄位對應。
event.idm.read_only_udm.metadata.vendor_name Check Point 硬式編碼值。
event.idm.read_only_udm.metadata.log_type CHECKPOINT_FIREWALL 硬式編碼值。
event.idm.read_only_udm.security_result.rule_type Firewall Rule 除非特定邏輯覆寫,否則為預設值。
has_principal true 擷取主體 IP 或主機名稱時,請設為 true。
has_target true 擷取目標 IP 或主機名稱時,請設為 true。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。