收集 Check Point Harmony 日志
支持的语言:
Google SecOps
SIEM
本文档介绍了如何使用 Bindplane 将 Check Point Harmony Email and Collaboration (HEC) 日志注入到 Google Security Operations。此解析器代码从 Check Point Harmony syslog 消息中提取键值对,并将其映射到统一数据模型 (UDM)。它首先对消息格式进行归一化处理,然后以迭代方式解析字段并将其映射到 principal、target、network 和 security_result 等 UDM 类别,从而丰富数据以供安全分析。
准备工作
请确保满足以下前提条件:
- Google SecOps 实例
- Windows 2016 或更高版本,或者具有
systemd的 Linux 主机 - 如果在代理后运行,防火墙端口处于开放状态
- 对 Check Point Harmony HEC (Infinity Portal) 的特权访问权限
获取 Google SecOps 注入身份验证文件
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 收集代理。
- 下载注入身份验证文件。将该文件安全地保存在将要安装 Bindplane 的系统上。
获取 Google SecOps 客户 ID
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 配置文件。
- 复制并保存组织详细信息部分中的客户 ID。
安装 Bindplane 代理
按照以下说明在 Windows 或 Linux 操作系统上安装 Bindplane 代理。
Windows 安装
- 以管理员身份打开命令提示符或 PowerShell。
运行以下命令:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux 安装
- 打开具有 root 或 sudo 权限的终端。
运行以下命令:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
其他安装资源
如需了解其他安装选项,请参阅安装指南。
配置 Bindplane 代理以注入 Syslog 并将其发送到 Google SecOps
- 访问配置文件:
- 找到
config.yaml文件。通常,它位于 Linux 上的/etc/bindplane-agent/目录中或 Windows 上的安装目录中。 - 使用文本编辑器(例如
nano、vi或记事本)打开该文件。
- 找到
按如下方式修改
config.yaml文件:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization log_type: 'CHECKPOINT_HARMONY' raw_log_field: body ingestion_labels: service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels- 根据基础架构的需要替换端口和 IP 地址。
- 将
<customer_id>替换为实际的客户 ID。 - 将
/path/to/ingestion-authentication-file.json更新为获取 Google SecOps 提取身份验证文件部分中保存身份验证文件的路径。
重启 Bindplane 代理以应用更改
如需在 Linux 中重启 Bindplane 代理,请运行以下命令:
sudo systemctl restart bindplane-agent如需在 Windows 中重启 Bindplane 代理,您可以使用服务控制台,也可以输入以下命令:
net stop BindPlaneAgent && net start BindPlaneAgent
为 Check Point Harmony HEC 配置 Syslog
- 登录 Infinity Portal > Harmony Email & Collaboration Web 界面。
- 依次前往设置> 监控 > SIEM。
- 点击添加 SIEM 服务器。
- 提供以下配置详细信息:
- 主机:输入 Bindplane 代理 IP 地址。
- 端口:输入 Bindplane 代理端口号。
- 协议:选择 UDP。
- (可选)令牌:为日志输入可选标记。
- 点击保存。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
| 操作 | security_result.action_details | 直接映射。 |
| security_result.action | 根据操作字段的值映射到 ALLOW、BLOCK、ALLOW_WITH_MODIFICATION 或 QUARANTINE。 | |
| additional_info | additional.fields.value.string_value | 直接映射,键 = additional_info。 |
| analyzed_on | security_result.detection_fields.value | 直接映射,键 = analyzed_on。 |
| client_name | additional.fields.value.string_value | 直接映射,键 = client_name。 |
| client_version | intermediary.platform_version | 直接映射。 |
| confidence_level | security_result.detection_fields.value | 直接映射,键 = confidence_level。 |
| security_result.confidence | 根据 confidence_level 字段的值映射到 UNKNOWN_CONFIDENCE、LOW_CONFIDENCE、MEDIUM_CONFIDENCE 或 HIGH_CONFIDENCE。 | |
| 说明 | security_result.description | 直接映射。 |
| dst | target.ip | 直接映射。 |
| dst_dns_name | security_result.detection_fields.value | 直接映射,键 = dst_dns_name。 |
| dst_machine_name | security_result.detection_fields.value | 直接映射,键 = dst_machine_name。 |
| target.asset.hostname | 直接映射。 | |
| target.hostname | 直接映射。 | |
| dst_user_dn | security_result.detection_fields.value | 直接映射,键 = dst_user_dn。 |
| dst_user_name | target.user.userid | 直接映射。 |
| ep_rule_id | security_result.rule_id | 如果 rule_uid 为空,则直接映射。 |
| 错误 | security_result.summary | 直接映射。 |
| event_type | metadata.product_event_type | 直接映射。 |
| file_md5 | target.process.file.md5 | 如果该值是有效的 MD5 哈希且不全为零,则直接映射。 |
| target.file.md5 | 如果该值是有效的 MD5 哈希且不全为零,则直接映射。 | |
| file_name | target.process.file.full_path | 直接映射。 |
| file_sha1 | target.process.file.sha1 | 如果该值是有效的 SHA-1 哈希值且不全为零,则直接映射。 |
| target.file.sha1 | 如果该值是有效的 SHA-1 哈希值且不全为零,则直接映射。 | |
| file_sha256 | target.process.file.sha256 | 如果该值是有效的 SHA256 哈希值且不全为零,则直接映射。 |
| target.file.sha256 | 如果该值是有效的 SHA256 哈希值且不全为零,则直接映射。 | |
| file_size | target.file.size | 直接映射。 |
| file_type | target.file.file_type | 根据 file_type 字段的值,映射到 FILE_TYPE_ZIP、FILE_TYPE_DOS_EXE、FILE_TYPE_PDF 或 FILE_TYPE_XLSX。 |
| flags | additional.fields.value.string_value | 直接映射,键 = flags。 |
| fw_subproduct | additional.fields.value.string_value | 如果商品为空,则直接映射到键 = fw_subproduct。 |
| metadata.product_name | 如果商品为空,则直接映射。 | |
| host_type | security_result.detection_fields.value | 直接映射,键 = host_type。 |
| ifdir | network.direction | 转换为大写后直接映射。 |
| ifname | security_result.detection_fields.value | 直接映射,键 = ifname。 |
| installed_products | security_result.detection_fields.value | 直接映射,键 = installed_products。 |
| is_scanned | security_result.detection_fields.value | 直接映射,键 = is_scanned。 |
| layer_name | security_result.detection_fields.value | 直接映射,键 = layer_name。 |
| security_result.rule_set_display_name | 直接映射。 | |
| layer_uuid | security_result.detection_fields.value | 直接映射,键 = layer_uuid。 |
| security_result.rule_set | 直接映射。 | |
| loguid | metadata.product_log_id | 直接映射。 |
| machine_guid | principal.asset.attribute.labels.value | 直接映射,键 = machine_guid。 |
| malware_action | security_result.detection_fields.value | 直接映射,键 = malware_action。 |
| malware_family | security_result.detection_fields.value | 直接映射,键 = malware_family。 |
| media_authorized | security_result.detection_fields.value | 直接映射,键 = media_authorized。 |
| media_class_id | security_result.detection_fields.value | 直接映射,键 = media_class_id。 |
| media_description | security_result.detection_fields.value | 直接映射,键 = media_description。 |
| media_encrypted | security_result.detection_fields.value | 直接映射,键 = media_encrypted。 |
| media_manufacturer | security_result.detection_fields.value | 直接映射,键 = media_manufacturer。 |
| media_type | security_result.detection_fields.value | 直接映射,键 = media_type。 |
| 方法 | security_result.detection_fields.value | 直接映射,键 = methods。 |
| originsicname | security_result.detection_fields.value | 直接映射,键 = originsicname。 |
| 来源 | intermediary.ip | 直接映射。 |
| os_version | principal.asset.platform_software.platform_patch_level | 直接映射。 |
| outzone | security_result.detection_fields.value | 直接映射,键 = outzone。 |
| parent_rule | security_result.detection_fields.value | 直接映射,键 = parent_rule。 |
| peer_gateway | intermediary.ip | 直接映射。 |
| policy_guid | security_result.detection_fields.value | 直接映射,键 = policy_guid。 |
| policy_name | security_result.detection_fields.value | 直接映射,键 = policy_name。 |
| policy_number | security_result.detection_fields.value | 直接映射,键 = policy_number。 |
| policy_type | security_result.detection_fields.value | 直接映射,键 = policy_type。 |
| 产品 | additional.fields.value.string_value | 直接映射,键 = product。 |
| metadata.product_name | 直接映射。 | |
| product_family | additional.fields.value.string_value | 直接映射,键 = product_family。 |
| program_name | additional.fields.value.string_value | 直接映射,键 = program_name。 |
| protection_name | security_result.detection_fields.value | 直接映射,键 = protection_name。 |
| protection_type | security_result.detection_fields.value | 直接映射,键 = protection_type。 |
| reading_data_access | security_result.detection_fields.value | 直接映射,键 = reading_data_access。 |
| rule_action | security_result.detection_fields.value | 直接映射,键 = rule_action。 |
| rule_name | security_result.rule_name | 直接映射。 |
| rule_uid | security_result.rule_id | 如果 ep_rule_id 为空,则直接映射。 |
| s_port | principal.port | 直接映射。 |
| scheme | security_result.detection_fields.value | 直接映射,键 = scheme。 |
| sequencenum | additional.fields.value.string_value | 直接映射,键 = sequencenum。 |
| 服务 | target.port | 直接映射。 |
| service_id | security_result.detection_fields.value | 直接映射,键 = service_id。 |
| session_uid | network.session_id | 直接映射。 |
| src | principal.ip | 直接映射。 |
| src_dns_name | security_result.detection_fields.value | 直接映射,键 = src_dns_name。 |
| src_machine_name | security_result.detection_fields.value | 直接映射,键 = src_machine_name。 |
| principal.asset.hostname | 直接映射。 | |
| principal.hostname | 直接映射。 | |
| src_user_dn | security_result.detection_fields.value | 直接映射,键 = src_user_dn。 |
| src_user_name | principal.user.userid | 直接映射。 |
| principal.user.email_addresses | 如果 src_user_name 字段存在且采用 userid (email) 格式,则从中提取电子邮件地址。 |
|
| te_verdict_determined_by | security_result.detection_fields.value | 直接映射,键 = te_verdict_determined_by。 |
| 时间戳 | metadata.event_timestamp | 直接映射。 |
| trusted_domain | security_result.detection_fields.value | 直接映射,键 = trusted_domain。 |
| 用户 | principal.user.userid | 如果 src_user_name 为空,则直接映射。 |
| principal.user.email_addresses | 如果用户字段存在且采用 userid (email) 格式,则从中提取电子邮件地址。 |
|
| user_name | principal.user.email_addresses | 如果值是有效的电子邮件地址,则直接映射。 |
| user_sid | principal.user.windows_sid | 直接映射。 |
| 判决 | security_result.detection_fields.value | 直接映射,键 = verdict。 |
| 版本 | additional.fields.value.string_value | 直接映射,键 = version。 |
| vpn_feature_name | security_result.detection_fields.value | 直接映射,键 = vpn_feature_name。 |
| web_client_type | security_result.detection_fields.value | 直接映射,键 = web_client_type。 |
| metadata.log_type | 此字段已硬编码为 CHECKPOINT_HARMONY。 |
|
| metadata.vendor_name | 此字段已硬编码为 CHECKPOINT_HARMONY。 |
|
| principal.asset.platform_software.platform | 根据 os_name 字段的值映射到 WINDOWS、MAC 或 LINUX。 | |
| network.ip_protocol | 根据 proto 字段的值以及服务和 service_id 等其他字段映射到 TCP、UDP、ICMP、IP6IN4 或 GRE。 | |
| security_result.severity | 根据严重程度字段的值映射到 LOW、MEDIUM、HIGH 或 CRITICAL。 | |
| metadata.event_type | 如果主账号和目标账号都存在,则此字段设置为 NETWORK_CONNECTION;如果只有主账号存在,则设置为 STATUS_UNCATEGORIZED;否则设置为 GENERIC_EVENT。 |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。