收集 Check Point Harmony 記錄
支援的國家/地區:
Google SecOps
SIEM
本文說明如何使用 Bindplane,將 Check Point Harmony Email and Collaboration (HEC) 記錄擷取至 Google Security Operations。這個剖析器程式碼會從 Check Point Harmony 系統記錄訊息中擷取鍵/值組合,並將其對應至 Unified Data Model (UDM)。系統會先將訊息格式標準化,然後反覆剖析欄位並對應至 UDM 類別,例如 principal、target、network 和 security_result,進而擴充資料以供安全分析。
事前準備
請確認您已完成下列事前準備事項:
- Google SecOps 執行個體
- Windows 2016 以上版本,或搭載
systemd的 Linux 主機 - 如果透過 Proxy 執行,防火牆通訊埠已開啟
- Check Point Harmony HEC (Infinity Portal) 的特殊存取權
取得 Google SecOps 擷取驗證檔案
- 登入 Google SecOps 控制台。
- 依序前往「SIEM 設定」>「收集代理程式」。
- 下載擷取驗證檔案。將檔案安全地儲存在要安裝 Bindplane 的系統上。
取得 Google SecOps 客戶 ID
- 登入 Google SecOps 控制台。
- 依序前往「SIEM 設定」>「設定檔」。
- 複製並儲存「機構詳細資料」專區中的客戶 ID。
安裝 Bindplane 代理程式
請按照下列操作說明,在 Windows 或 Linux 作業系統上安裝 Bindplane 代理程式。
Windows 安裝
- 以系統管理員身分開啟「命令提示字元」或「PowerShell」。
執行下列指令:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux 安裝
- 開啟具有根層級或 sudo 權限的終端機。
執行下列指令:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
其他安裝資源
如需其他安裝選項,請參閱安裝指南。
設定 Bindplane 代理程式,擷取系統記錄檔並傳送至 Google SecOps
- 存取設定檔:
- 找出
config.yaml檔案。通常位於 Linux 的/etc/bindplane-agent/目錄,或 Windows 的安裝目錄。 - 使用文字編輯器 (例如
nano、vi或記事本) 開啟檔案。
- 找出
按照下列方式編輯
config.yaml檔案:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization log_type: 'CHECKPOINT_HARMONY' raw_log_field: body ingestion_labels: service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels
重新啟動 Bindplane 代理程式,以套用變更
如要在 Linux 中重新啟動 Bindplane 代理程式,請執行下列指令:
sudo systemctl restart bindplane-agent如要在 Windows 中重新啟動 Bindplane 代理程式,可以使用「服務」控制台,或輸入下列指令:
net stop BindPlaneAgent && net start BindPlaneAgent
為 Check Point Harmony HEC 設定 Syslog
- 登入 Infinity Portal > Harmony Email & Collaboration 網頁使用者介面。
- 依序前往「設定」>「監控」>「SIEM」。
- 按一下「新增 SIEM 伺服器」。
- 提供下列設定詳細資料:
- 主機:輸入 Bindplane 代理程式 IP 位址。
- 通訊埠:輸入 Bindplane 代理程式通訊埠編號。
- 通訊協定:選取「UDP」。
- (選用) 權杖:輸入記錄的選用標記。
- 按一下 [儲存]。
UDM 對應表
| 記錄欄位 | UDM 對應 | 邏輯 |
|---|---|---|
| 動作 | security_result.action_details | 直接對應。 |
| security_result.action | 根據動作欄位的值,對應至 ALLOW、BLOCK、ALLOW_WITH_MODIFICATION 或 QUARANTINE。 | |
| additional_info | additional.fields.value.string_value | 直接對應,索引鍵 = additional_info。 |
| analyzed_on | security_result.detection_fields.value | 直接對應,索引鍵 = analyzed_on。 |
| client_name | additional.fields.value.string_value | 直接對應,索引鍵 = client_name。 |
| client_version | intermediary.platform_version | 直接對應。 |
| confidence_level | security_result.detection_fields.value | 直接對應,索引鍵 = confidence_level。 |
| security_result.confidence | 根據 confidence_level 欄位的值,對應至 UNKNOWN_CONFIDENCE、LOW_CONFIDENCE、MEDIUM_CONFIDENCE 或 HIGH_CONFIDENCE。 | |
| 說明 | security_result.description | 直接對應。 |
| dst | target.ip | 直接對應。 |
| dst_dns_name | security_result.detection_fields.value | 直接對應,索引鍵 = dst_dns_name。 |
| dst_machine_name | security_result.detection_fields.value | 直接對應,索引鍵 = dst_machine_name。 |
| target.asset.hostname | 直接對應。 | |
| target.hostname | 直接對應。 | |
| dst_user_dn | security_result.detection_fields.value | 直接對應,索引鍵 = dst_user_dn。 |
| dst_user_name | target.user.userid | 直接對應。 |
| ep_rule_id | security_result.rule_id | 如果 rule_uid 為空,則直接對應。 |
| 錯誤 | security_result.summary | 直接對應。 |
| event_type | metadata.product_event_type | 直接對應。 |
| file_md5 | target.process.file.md5 | 如果值是有效的 MD5 雜湊,且不全為零,則會直接對應。 |
| target.file.md5 | 如果值是有效的 MD5 雜湊,且不全為零,則會直接對應。 | |
| file_name | target.process.file.full_path | 直接對應。 |
| file_sha1 | target.process.file.sha1 | 如果值是有效的 SHA-1 雜湊,且不全為零,則會直接對應。 |
| target.file.sha1 | 如果值是有效的 SHA-1 雜湊,且不全為零,則會直接對應。 | |
| file_sha256 | target.process.file.sha256 | 如果值是有效的 SHA256 雜湊,且不全為零,則直接對應。 |
| target.file.sha256 | 如果值是有效的 SHA256 雜湊,且不全為零,則直接對應。 | |
| file_size | target.file.size | 直接對應。 |
| file_type | target.file.file_type | 根據 file_type 欄位的值,對應至 FILE_TYPE_ZIP、FILE_TYPE_DOS_EXE、FILE_TYPE_PDF 或 FILE_TYPE_XLSX。 |
| flags | additional.fields.value.string_value | 直接對應,索引鍵 = flags。 |
| fw_subproduct | additional.fields.value.string_value | 如果產品為空白,則直接對應至 key = fw_subproduct。 |
| metadata.product_name | 如果產品為空白,則直接對應。 | |
| host_type | security_result.detection_fields.value | 直接對應,索引鍵 = host_type。 |
| ifdir | network.direction | 轉換為大寫後直接對應。 |
| ifname | security_result.detection_fields.value | 直接對應,索引鍵 = ifname。 |
| installed_products | security_result.detection_fields.value | 直接對應,索引鍵 = installed_products。 |
| is_scanned | security_result.detection_fields.value | 直接對應,索引鍵 = is_scanned。 |
| layer_name | security_result.detection_fields.value | 直接對應,索引鍵 = layer_name。 |
| security_result.rule_set_display_name | 直接對應。 | |
| layer_uuid | security_result.detection_fields.value | 直接對應,索引鍵 = layer_uuid。 |
| security_result.rule_set | 直接對應。 | |
| loguid | metadata.product_log_id | 直接對應。 |
| machine_guid | principal.asset.attribute.labels.value | 直接對應,索引鍵 = machine_guid。 |
| malware_action | security_result.detection_fields.value | 直接對應,索引鍵 = malware_action。 |
| malware_family | security_result.detection_fields.value | 直接對應,索引鍵 = malware_family。 |
| media_authorized | security_result.detection_fields.value | 直接對應,索引鍵 = media_authorized。 |
| media_class_id | security_result.detection_fields.value | 直接對應,索引鍵 = media_class_id。 |
| media_description | security_result.detection_fields.value | 直接對應,索引鍵 = media_description。 |
| media_encrypted | security_result.detection_fields.value | 直接對應,索引鍵 = media_encrypted。 |
| media_manufacturer | security_result.detection_fields.value | 直接對應,索引鍵 = media_manufacturer。 |
| media_type | security_result.detection_fields.value | 直接對應,索引鍵 = media_type。 |
| 方法 | security_result.detection_fields.value | 直接對應,索引鍵 = methods。 |
| originsicname | security_result.detection_fields.value | 直接對應,索引鍵 = originsicname。 |
| 來源 | intermediary.ip | 直接對應。 |
| os_version | principal.asset.platform_software.platform_patch_level | 直接對應。 |
| outzone | security_result.detection_fields.value | 直接對應,索引鍵 = outzone。 |
| parent_rule | security_result.detection_fields.value | 直接對應,索引鍵 = parent_rule。 |
| peer_gateway | intermediary.ip | 直接對應。 |
| policy_guid | security_result.detection_fields.value | 直接對應,索引鍵 = policy_guid。 |
| policy_name | security_result.detection_fields.value | 直接對應,索引鍵 = policy_name。 |
| policy_number | security_result.detection_fields.value | 直接對應,索引鍵 = policy_number。 |
| policy_type | security_result.detection_fields.value | 直接對應,索引鍵 = policy_type。 |
| 產品 | additional.fields.value.string_value | 直接對應,索引鍵 = product。 |
| metadata.product_name | 直接對應。 | |
| product_family | additional.fields.value.string_value | 直接對應,索引鍵 = product_family。 |
| program_name | additional.fields.value.string_value | 直接對應,索引鍵 = program_name。 |
| protection_name | security_result.detection_fields.value | 直接對應,索引鍵 = protection_name。 |
| protection_type | security_result.detection_fields.value | 直接對應,索引鍵 = protection_type。 |
| reading_data_access | security_result.detection_fields.value | 直接對應,索引鍵 = reading_data_access。 |
| rule_action | security_result.detection_fields.value | 直接對應,索引鍵 = rule_action。 |
| rule_name | security_result.rule_name | 直接對應。 |
| rule_uid | security_result.rule_id | 如果 ep_rule_id 為空,則直接對應。 |
| s_port | principal.port | 直接對應。 |
| 配置 | security_result.detection_fields.value | 直接對應,索引鍵 = scheme。 |
| sequencenum | additional.fields.value.string_value | 直接對應,索引鍵 = sequencenum。 |
| 服務 | target.port | 直接對應。 |
| service_id | security_result.detection_fields.value | 直接對應,索引鍵 = service_id。 |
| session_uid | network.session_id | 直接對應。 |
| src | principal.ip | 直接對應。 |
| src_dns_name | security_result.detection_fields.value | 直接對應,索引鍵 = src_dns_name。 |
| src_machine_name | security_result.detection_fields.value | 直接對應,索引鍵 = src_machine_name。 |
| principal.asset.hostname | 直接對應。 | |
| principal.hostname | 直接對應。 | |
| src_user_dn | security_result.detection_fields.value | 直接對應,索引鍵 = src_user_dn。 |
| src_user_name | principal.user.userid | 直接對應。 |
| principal.user.email_addresses | 如果 src_user_name 欄位存在且格式為 userid (email),系統會從該欄位擷取電子郵件地址。 |
|
| te_verdict_determined_by | security_result.detection_fields.value | 直接對應,索引鍵 = te_verdict_determined_by。 |
| 時間戳記 | metadata.event_timestamp | 直接對應。 |
| trusted_domain | security_result.detection_fields.value | 直接對應,索引鍵 = trusted_domain。 |
| 使用者 | principal.user.userid | 如果 src_user_name 為空,則直接對應。 |
| principal.user.email_addresses | 如果使用者欄位存在且格式為 userid (email),系統會從中擷取電子郵件地址。 |
|
| user_name | principal.user.email_addresses | 如果值是有效的電子郵件地址,則直接對應。 |
| user_sid | principal.user.windows_sid | 直接對應。 |
| 判決 | security_result.detection_fields.value | 直接對應,索引鍵 = verdict。 |
| version | additional.fields.value.string_value | 直接對應,索引鍵 = version。 |
| vpn_feature_name | security_result.detection_fields.value | 直接對應,索引鍵 = vpn_feature_name。 |
| web_client_type | security_result.detection_fields.value | 直接對應,索引鍵 = web_client_type。 |
| metadata.log_type | 這個欄位已硬式編碼為 CHECKPOINT_HARMONY。 |
|
| metadata.vendor_name | 這個欄位已硬式編碼為 CHECKPOINT_HARMONY。 |
|
| principal.asset.platform_software.platform | 根據 os_name 欄位的值對應至 WINDOWS、MAC 或 LINUX。 | |
| network.ip_protocol | 根據 proto 欄位的值和其他欄位 (例如 service 和 service_id),對應至 TCP、UDP、ICMP、IP6IN4 或 GRE。 | |
| security_result.severity | 根據嚴重程度欄位的值,對應至「低」、「中」、「高」或「嚴重」。 | |
| metadata.event_type | 如果主體和目標都存在,這個欄位會設為 NETWORK_CONNECTION;如果只有主體存在,則會設為 STATUS_UNCATEGORIZED;否則會設為 GENERIC_EVENT。 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。