收集 Check Point 防火牆記錄
支援的國家/地區:
    
      
      
        
        
        
  
    
      Google SecOps
    
  
      
    
      
      
        
        
        
  
    
      SIEM
    
  
      
    
    
  這個剖析器會擷取 Check Point 防火牆記錄。可處理 CEF 和非 CEF 格式的訊息,包括系統記錄、鍵/值組合和 JSON。這項服務會將欄位標準化、對應至 UDM,並針對登入/登出、網路連線和安全性事件執行特定邏輯。並加入地理位置和威脅情報等情境資訊,讓資料更加豐富。
事前準備
- 確認您有 Google Security Operations 執行個體。
- 確認您使用的是 Windows 2016 以上版本,或是搭載 systemd 的 Linux 主機。
- 如果透過 Proxy 執行,請確認防火牆通訊埠已開啟。
- 確認您擁有 Check Point 防火牆的特殊權限。
取得 Google SecOps 擷取驗證檔案
- 登入 Google SecOps 控制台。
- 依序前往「SIEM 設定」>「收集代理程式」。
- 下載擷取驗證檔案。
取得 Google SecOps 客戶 ID
- 登入 Google SecOps 控制台。
- 依序前往「SIEM 設定」>「設定檔」。
- 複製並儲存「機構詳細資料」專區中的客戶 ID。
安裝 Bindplane 代理程式
- 如要在 Windows 上安裝,請執行下列指令碼:
 msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
- 如要在 Linux 上安裝,請執行下列指令碼:
 sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
- 如需其他安裝選項,請參閱這份安裝指南。
設定 Bindplane 代理程式,擷取系統記錄檔並傳送至 Google SecOps
- 存取安裝 Bindplane 的電腦。
- 按照下列方式編輯 - config.yaml檔案:- receivers: udplog: # Replace the below port <54525> and IP <0.0.0.0> with your specific values listen_address: "0.0.0.0:54525" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the creds location below according the placement of the credentials file you downloaded creds: '{ json file for creds }' # Replace <customer_id> below with your actual ID that you copied customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # You can apply ingestion labels below as preferred ingestion_labels: log_type: SYSLOG namespace: Checkpoint_Firewall raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels
- 重新啟動 Bindplane 代理程式,以套用變更: - sudo systemctl restart bindplane
在 Check Point 防火牆中設定 Syslog 匯出功能
- 使用具備權限的帳戶登入 Check Point 防火牆使用者介面。
- 依序前往「記錄和監控」>「記錄伺服器」。
- 前往「Syslog Servers」。
- 按一下「設定」,然後設定下列值:
- 通訊協定:選取「UDP」,傳送安全性記錄和/或系統記錄。
- 名稱:提供專屬名稱 (例如 Bindplane_Server)。
- IP 位址:提供系統記錄伺服器 IP 位址 (Bindplane IP)。
- 「Port」(通訊埠):提供系統記錄檔伺服器通訊埠 (Bindplane 通訊埠)。
 
- 選取「啟用記錄伺服器」。
- 選取要轉送的記錄:系統記錄和安全性記錄。
- 按一下 [套用]。
UDM 對應表
| 記錄欄位 | UDM 對應 | 邏輯 | 
|---|---|---|
| Action | event.idm.read_only_udm.security_result.action_details | 直接從「 Action」欄位對應。 | 
| Activity | event.idm.read_only_udm.security_result.summary | 直接從「 Activity」欄位對應。 | 
| additional_info | event.idm.read_only_udm.security_result.description | 直接從「 additional_info」欄位對應。 | 
| administrator | event.idm.read_only_udm.security_result.detection_fields[].value | 直接從「 administrator」欄位對應。索引鍵為「administrator」。 | 
| aggregated_log_count | event.idm.read_only_udm.security_result.detection_fields[].value | 直接從「 aggregated_log_count」欄位對應。鍵為「aggregated_log_count」。 | 
| appi_name | event.idm.read_only_udm.security_result.detection_fields[].value | 直接從「 appi_name」欄位對應。索引鍵為「appi_name」。 | 
| app_category | event.idm.read_only_udm.security_result.category_details | 直接從「 app_category」欄位對應。 | 
| app_properties | event.idm.read_only_udm.security_result.detection_fields[].value | 直接從「 app_properties」欄位對應。金鑰為「app_properties」。 | 
| app_risk | event.idm.read_only_udm.security_result.detection_fields[].value | 直接從「 app_risk」欄位對應。金鑰為「app_risk」。 | 
| app_session_id | event.idm.read_only_udm.network.session_id | 直接從 app_session_id欄位對應,並轉換為字串。 | 
| attack | event.idm.read_only_udm.security_result.summary | 如果存在 Info,則直接從attack欄位對應。 | 
| attack | event.idm.read_only_udm.security_result.threat_name | 如果存在 Info,則直接從attack欄位對應。 | 
| attack_info | event.idm.read_only_udm.security_result.description | 直接從「 attack_info」欄位對應。 | 
| auth_status | event.idm.read_only_udm.security_result.summary | 直接從「 auth_status」欄位對應。 | 
| browse_time | event.idm.read_only_udm.additional.fields[].value.string_value | 直接從「 browse_time」欄位對應。鍵為「browse_time」。 | 
| bytes | event.idm.read_only_udm.additional.fields[].value.string_value | 直接從「 bytes」欄位對應。索引鍵為「bytes」。 | 
| bytes | event.idm.read_only_udm.additional.fields[].value.string_value | 直接從「 bytes」欄位對應。索引鍵為「bytes」。 | 
| calc_service | event.idm.read_only_udm.additional.fields[].value.string_value | 直接從「 calc_service」欄位對應。金鑰為「calc_service」。 | 
| category | event.idm.read_only_udm.security_result.category_details | 直接從「 category」欄位對應。 | 
| client_version | event.idm.read_only_udm.intermediary.platform_version | 直接從「 client_version」欄位對應。 | 
| conn_direction | event.idm.read_only_udm.additional.fields[].value.string_value | 直接從「 conn_direction」欄位對應。金鑰為「conn_direction」。 | 
| conn_direction | event.idm.read_only_udm.network.direction | 如果 conn_direction是「Incoming」,則對應至「INBOUND」。否則會對應至「OUTBOUND」。 | 
| connection_count | event.idm.read_only_udm.security_result.detection_fields[].value | 直接從「 connection_count」欄位對應。金鑰為「connection_count」。 | 
| contract_name | event.idm.read_only_udm.security_result.description | 直接從「 contract_name」欄位對應。 | 
| cs2 | event.idm.read_only_udm.security_result.rule_name | 直接從「 cs2」欄位對應。 | 
| date_time | event.idm.read_only_udm.metadata.event_timestamp | 使用各種日期格式剖析並轉換為時間戳記。 | 
| dedup_time | event.idm.read_only_udm.additional.fields[].value.string_value | 直接從「 dedup_time」欄位對應。索引鍵為「dedup_time」。 | 
| desc | event.idm.read_only_udm.security_result.summary | 直接從「 desc」欄位對應。 | 
| description | event.idm.read_only_udm.security_result.description | 直接從「 description」欄位對應。 | 
| description_url | event.idm.read_only_udm.additional.fields[].value.string_value | 直接從「 description_url」欄位對應。鍵為「description_url」。 | 
| destinationAddress | event.idm.read_only_udm.target.ip、event.idm.read_only_udm.target.asset.ip | 直接從「 destinationAddress」欄位對應。 | 
| destinationPort | event.idm.read_only_udm.target.port | 直接從 destinationPort欄位對應,並轉換為整數。 | 
| destinationTranslatedAddress | event.idm.read_only_udm.target.ip、event.idm.read_only_udm.target.asset.ip | 直接從「 destinationTranslatedAddress」欄位對應。 | 
| destinationTranslatedAddress | event.idm.read_only_udm.target.nat_ip | 直接從「 destinationTranslatedAddress」欄位對應。 | 
| destinationTranslatedPort | event.idm.read_only_udm.target.port | 直接從 destinationTranslatedPort欄位對應,並轉換為整數。 | 
| destinationTranslatedPort | event.idm.read_only_udm.target.nat_port | 直接從 destinationTranslatedPort欄位對應,並轉換為整數。 | 
| deviceCustomString2 | event.idm.read_only_udm.security_result.rule_name | 直接從「 deviceCustomString2」欄位對應。 | 
| deviceDirection | event.idm.read_only_udm.network.direction | 如果 deviceDirection為 0,則對應「OUTBOUND」。如果為 1,則對應「INBOUND」。 | 
| domain | event.idm.read_only_udm.principal.administrative_domain | 直接從「 domain」欄位對應。 | 
| domain_name | event.idm.read_only_udm.principal.administrative_domain | 直接從「 domain_name」欄位對應。 | 
| drop_reason | event.idm.read_only_udm.security_result.summary | 直接從「 drop_reason」欄位對應。 | 
| ds | event.idm.read_only_udm.metadata.event_timestamp | 與 ts和tz搭配使用,建構事件時間戳記。 | 
| dst | event.idm.read_only_udm.target.ip、event.idm.read_only_udm.target.asset.ip | 直接從「 dst」欄位對應。 | 
| dst_country | event.idm.read_only_udm.target.location.country_or_region | 直接從「 dst_country」欄位對應。 | 
| dst_ip | event.idm.read_only_udm.target.ip、event.idm.read_only_udm.target.asset.ip | 直接從「 dst_ip」欄位對應。 | 
| dpt | event.idm.read_only_udm.target.port | 直接從 dpt欄位對應,並轉換為整數。 | 
| duration | event.idm.read_only_udm.network.session_duration.seconds | 直接從 duration欄位對應,如果大於 0,則轉換為整數。 | 
| duser | event.idm.read_only_udm.target.user.email_addresses、event.idm.read_only_udm.target.user.user_display_name | 如果符合電子郵件地址格式,則直接從 duser欄位對應。 | 
| environment_id | event.idm.read_only_udm.target.resource.product_object_id | 直接從「 environment_id」欄位對應。 | 
| event_type | event.idm.read_only_udm.metadata.event_type | 系統會根據特定欄位和值是否存在,以邏輯方式判斷。如果未識別出特定事件類型,則預設值為 GENERIC_EVENT。可以是NETWORK_CONNECTION、USER_LOGIN、USER_CHANGE_PASSWORD、USER_LOGOUT、NETWORK_HTTP或STATUS_UPDATE。 | 
| fieldschanges | event.idm.read_only_udm.security_result.detection_fields[].value | 直接從「 fieldschanges」欄位對應。索引鍵為「fieldschanges」。 | 
| flags | event.idm.read_only_udm.security_result.detection_fields[].value | 直接從「 flags」欄位對應。索引鍵為「flags」。 | 
| flexString2 | event.idm.read_only_udm.security_result.detection_fields[].value | 直接從「 flexString2」欄位對應。鍵是flexString2Label的值。 | 
| from_user | event.idm.read_only_udm.principal.user.userid | 直接從「 from_user」欄位對應。 | 
| fservice | event.idm.read_only_udm.security_result.detection_fields[].value | 直接從「 fservice」欄位對應。金鑰為「fservice」。 | 
| fw_subproduct | event.idm.read_only_udm.metadata.product_name | 如果 product為空,則直接從fw_subproduct欄位對應。 | 
| geoip_dst.country_name | event.idm.read_only_udm.target.location.country_or_region | 直接從「 geoip_dst.country_name」欄位對應。 | 
| hll_key | event.idm.read_only_udm.additional.fields[].value.string_value | 直接從「 hll_key」欄位對應。金鑰為「hll_key」。 | 
| hostname | event.idm.read_only_udm.target.hostname、event.idm.read_only_udm.target.asset.hostname、event.idm.read_only_udm.intermediary.hostname | 如果 inter_host為空,則直接從hostname欄位對應。 | 
| http_host | event.idm.read_only_udm.target.resource.attribute.labels[].value | 直接從「 http_host」欄位對應。金鑰為「http_host」。 | 
| id | event.idm.read_only_udm.metadata.product_log_id | 直接從「 _id」欄位對應。 | 
| identity_src | event.idm.read_only_udm.target.application | 直接從「 identity_src」欄位對應。 | 
| identity_type | event.idm.read_only_udm.extensions.auth.type | 如果 identity_type是「user」,則會對應至「VPN」。否則會對應至「MACHINE」。 | 
| if_direction | event.idm.read_only_udm.network.direction | 直接從 if_direction欄位對應,並轉換為大寫。 | 
| ifdir | event.idm.read_only_udm.network.direction | 直接從 ifdir欄位對應,並轉換為大寫。 | 
| ifname | event.idm.read_only_udm.security_result.detection_fields[].value | 直接從「 ifname」欄位對應。索引鍵為「ifname」。 | 
| IKE | event.idm.read_only_udm.metadata.description | 直接從「 IKE」欄位對應。 | 
| inzone | event.idm.read_only_udm.security_result.detection_fields[].value | 直接從「 inzone」欄位對應。索引鍵為「inzone」。 | 
| industry_reference | event.idm.read_only_udm.additional.fields[].value.string_value | 直接從「 industry_reference」欄位對應。索引鍵為「industry_reference」。 | 
| instance_id | event.idm.read_only_udm.principal.hostname、event.idm.read_only_udm.principal.asset.hostname | 直接從「 instance_id」欄位對應。 | 
| inter_host | event.idm.read_only_udm.intermediary.hostname | 直接從「 inter_host」欄位對應。 | 
| ip_proto | event.idm.read_only_udm.network.ip_protocol | 根據 proto欄位或service欄位決定。可以是 TCP、UDP、ICMP、IP6IN4 或 GRE。 | 
| ipv6_dst | event.idm.read_only_udm.target.ip、event.idm.read_only_udm.target.asset.ip | 直接從「 ipv6_dst」欄位對應。 | 
| ipv6_src | event.idm.read_only_udm.principal.ip、event.idm.read_only_udm.principal.asset.ip | 直接從「 ipv6_src」欄位對應。 | 
| layer_name | event.idm.read_only_udm.security_result.rule_set_display_name、event.idm.read_only_udm.security_result.detection_fields[].value | 直接從「 layer_name」欄位對應。索引鍵為「layer_name」。 | 
| layer_uuid | event.idm.read_only_udm.security_result.rule_set、event.idm.read_only_udm.security_result.detection_fields[].value | 移除大括號後,直接從 layer_uuid欄位對應。金鑰為「layer_uuid」。 | 
| layer_uuid_rule_uuid | event.idm.read_only_udm.security_result.rule_id | 移除方括號和引號後,直接從 layer_uuid_rule_uuid欄位對應。 | 
| log_id | event.idm.read_only_udm.metadata.product_log_id | 直接從「 log_id」欄位對應。 | 
| log_type | event.idm.read_only_udm.metadata.log_type | 直接從「 log_type」欄位對應。硬式編碼為「CHECKPOINT_FIREWALL」。 | 
| loguid | event.idm.read_only_udm.metadata.product_log_id | 移除大括號後,直接從 loguid欄位對應。 | 
| logic_changes | event.idm.read_only_udm.security_result.detection_fields[].value | 直接從「 logic_changes」欄位對應。金鑰為「logic_changes」。 | 
| localhost | event.idm.read_only_udm.target.hostname、event.idm.read_only_udm.target.asset.hostname | 直接從「 localhost」欄位對應。dst_ip設為「127.0.0.1」。 | 
| malware_action | event.idm.read_only_udm.security_result.detection_fields[].value、event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value | 直接從「 malware_action」欄位對應。金鑰為「malware_action」。 | 
| malware_family | event.idm.read_only_udm.security_result.detection_fields[].value、event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value | 直接從「 malware_family」欄位對應。金鑰為「malware_family」。 | 
| malware_rule_id | event.idm.read_only_udm.security_result.detection_fields[].value | 移除大括號後,直接從 malware_rule_id欄位對應。索引鍵為「惡意軟體規則 ID」。 | 
| malware_rule_name | event.idm.read_only_udm.security_result.detection_fields[].value | 直接從「 malware_rule_name」欄位對應。索引鍵為「惡意軟體規則名稱」。 | 
| match_id | event.idm.read_only_udm.security_result.detection_fields[].value | 直接從「 match_id」欄位對應。金鑰為「match_id」。 | 
| matched_category | event.idm.read_only_udm.security_result.detection_fields[].value | 直接從「 matched_category」欄位對應。鍵為「matched_category」。 | 
| message_info | event.idm.read_only_udm.metadata.description | 直接從「 message_info」欄位對應。 | 
| method | event.idm.read_only_udm.network.http.method | 直接從「 method」欄位對應。 | 
| mitre_execution | event.idm.read_only_udm.additional.fields[].value.string_value | 直接從「 mitre_execution」欄位對應。金鑰為「mitre_execution」。 | 
| mitre_initial_access | event.idm.read_only_udm.security_result.detection_fields[].value | 直接從「 mitre_initial_access」欄位對應。金鑰為「mitre_initial_access」。 | 
| nat_rulenum | event.idm.read_only_udm.security_result.rule_id | 直接從 nat_rulenum欄位對應,並轉換為字串。 | 
| objecttype | event.idm.read_only_udm.security_result.detection_fields[].value | 直接從「 objecttype」欄位對應。索引鍵為「objecttype」。 | 
| operation | event.idm.read_only_udm.security_result.summary | 直接從「 operation」欄位對應。 | 
| operation | event.idm.read_only_udm.security_result.detection_fields[].value | 直接從「 operation」欄位對應。索引鍵為「operation」。 | 
| orig | event.idm.read_only_udm.principal.hostname、event.idm.read_only_udm.principal.asset.hostname | 直接從「 orig」欄位對應。 | 
| origin | event.idm.read_only_udm.principal.ip、event.idm.read_only_udm.principal.asset.ip、event.idm.read_only_udm.target.ip、event.idm.read_only_udm.target.asset.ip、event.idm.read_only_udm.intermediary.ip | 直接從「 origin」欄位對應。 | 
| origin_sic_name | event.idm.read_only_udm.intermediary.asset_id、event.idm.read_only_udm.intermediary.labels[].value | 直接從「 origin_sic_name」欄位對應。索引鍵為「Machine SIC」。資產 ID 的開頭為「asset:」。 | 
| originsicname | event.idm.read_only_udm.additional.fields[].value.string_value | 直接從「 originsicname」欄位對應。索引鍵為「originsicname」。 | 
| originsicname | event.idm.read_only_udm.intermediary.asset_id、event.idm.read_only_udm.intermediary.labels[].value | 直接從「 originsicname」欄位對應。索引鍵為「Machine SIC」。資產 ID 的開頭為「asset:」。 | 
| os_name | event.idm.read_only_udm.principal.asset.platform_software.platform | 如果 os_name包含「Win」,則對應至「WINDOWS」。如果包含「MAC」或「IOS」,則對應至「MAC」。如果包含「LINUX」,則對應至「LINUX」。 | 
| os_version | event.idm.read_only_udm.principal.asset.platform_software.platform_patch_level | 直接從「 os_version」欄位對應。 | 
| outzone | event.idm.read_only_udm.security_result.detection_fields[].value | 直接從「 outzone」欄位對應。索引鍵為「outzone」。 | 
| packets | event.idm.read_only_udm.additional.fields[].value.string_value | 直接從「 packets」欄位對應。索引鍵為「packets」。 | 
| packet_capture_name | event.idm.read_only_udm.additional.fields[].value.string_value | 直接從「 packet_capture_name」欄位對應。索引鍵為「packet_capture_name」。 | 
| packet_capture_time | event.idm.read_only_udm.additional.fields[].value.string_value | 直接從「 packet_capture_time」欄位對應。索引鍵為「packet_capture_time」。 | 
| packet_capture_unique_id | event.idm.read_only_udm.additional.fields[].value.string_value | 直接從「 packet_capture_unique_id」欄位對應。金鑰為「packet_capture_unique_id」。 | 
| parent_rule | event.idm.read_only_udm.security_result.detection_fields[].value | 直接從「 parent_rule」欄位對應。金鑰為「parent_rule」。 | 
| performance_impact | event.idm.read_only_udm.additional.fields[].value.string_value | 直接從「 performance_impact」欄位對應。索引鍵為「performance_impact」。 | 
| policy_name | event.idm.read_only_udm.security_result.detection_fields[].value | 使用 grok 從 __policy_id_tag欄位擷取並對應。索引鍵為「Policy Name」。 | 
| policy_time | event.idm.read_only_udm.security_result.detection_fields[].value | 直接從「 policy_time」欄位對應。金鑰為「policy_time」。 | 
| portal_message | event.idm.read_only_udm.security_result.description | 直接從「 portal_message」欄位對應。 | 
| principal_hostname | event.idm.read_only_udm.principal.ip、event.idm.read_only_udm.principal.asset.ip | 如果 principal_hostname欄位是有效的 IP 位址,則直接對應。 | 
| principal_hostname | event.idm.read_only_udm.principal.hostname、event.idm.read_only_udm.principal.asset.hostname | 如果不是有效的 IP 位址,也不是「檢查點」,則直接從 principal_hostname欄位對應。 | 
| prod_family_label | event.idm.read_only_udm.additional.fields[].value.string_value | 直接從「 ProductFamily」欄位對應。索引鍵為「ProductFamily」。 | 
| product | event.idm.read_only_udm.metadata.product_name | 直接從「 product」欄位對應。 | 
| product_family | event.idm.read_only_udm.additional.fields[].value.string_value | 直接從「 product_family」欄位對應。索引鍵為「product_family」。 | 
| product_family | event.idm.read_only_udm.additional.fields[].value.string_value | 直接從「 product_family」欄位對應。索引鍵為「product_family」。 | 
| ProductName | event.idm.read_only_udm.metadata.product_name | 如果 product為空,則直接從ProductName欄位對應。 | 
| product_name | event.idm.read_only_udm.metadata.product_name | 直接從「 product_name」欄位對應。 | 
| profile | event.idm.read_only_udm.security_result.detection_fields[].value | 直接從「 profile」欄位對應。索引鍵為「profile」。 | 
| protocol | event.idm.read_only_udm.network.application_protocol | 如果為「HTTP」,則直接從 protocol欄位對應。 | 
| proxy_src_ip | event.idm.read_only_udm.principal.nat_ip | 直接從「 proxy_src_ip」欄位對應。 | 
| reason | event.idm.read_only_udm.security_result.summary | 直接從「 reason」欄位對應。 | 
| received_bytes | event.idm.read_only_udm.network.received_bytes | 直接從 received_bytes欄位對應,並轉換為不帶正負號的整數。 | 
| Reference | event.idm.read_only_udm.security_result.about.resource.attribute.labels[].value、event.idm.read_only_udm.security_result.detection_fields[].value | 直接從「 Reference」欄位對應。索引鍵為「Reference」。用於使用attack建構_vuln.name。 | 
| reject_id_kid | event.idm.read_only_udm.security_result.detection_fields[].value | 直接從「 reject_id_kid」欄位對應。金鑰為「reject_id_kid」。 | 
| resource | event.idm.read_only_udm.target.url | 系統會將其剖析為 JSON,並對應至目標網址。如果剖析失敗,系統會直接對應。 | 
| resource | event.idm.read_only_udm.additional.fields[].value.list_value.values[].string_value | 系統會將其剖析為 JSON,並將 resource陣列中的每個值新增至清單。金鑰為「Resource」。 | 
| result | event.idm.read_only_udm.metadata.event_timestamp | 使用 date_time剖析,建立事件時間戳記。 | 
| rt | event.idm.read_only_udm.metadata.event_timestamp | 系統會將這個值剖析為 Epoch 紀元時間起算的毫秒數,並轉換為時間戳記。 | 
| rule | event.idm.read_only_udm.security_result.rule_name | 直接從「 rule」欄位對應。 | 
| rule_action | event.idm.read_only_udm.security_result.detection_fields[].value | 直接從「 rule_action」欄位對應。金鑰為「rule_action」。 | 
| rule_name | event.idm.read_only_udm.security_result.rule_name | 直接從「 rule_name」欄位對應。 | 
| rule_uid | event.idm.read_only_udm.security_result.rule_id | 直接從「 rule_uid」欄位對應。 | 
| s_port | event.idm.read_only_udm.principal.port | 直接從 s_port欄位對應,並轉換為整數。 | 
| scheme | event.idm.read_only_udm.additional.fields[].value.string_value | 直接從「 scheme」欄位對應。索引鍵為「scheme」。 | 
| security_inzone | event.idm.read_only_udm.security_result.detection_fields[].value | 直接從「 security_inzone」欄位對應。索引鍵為「security_inzone」。 | 
| security_outzone | event.idm.read_only_udm.security_result.detection_fields[].value | 直接從「 security_outzone」欄位對應。金鑰為「security_outzone」。 | 
| security_result_action | event.idm.read_only_udm.security_result.action | 直接從「 security_result_action」欄位對應。 | 
| sendtotrackerasadvancedauditlog | event.idm.read_only_udm.security_result.detection_fields[].value | 直接從「 sendtotrackerasadvancedauditlog」欄位對應。金鑰為「sendtotrackerasadvancedauditlog」。 | 
| sent_bytes | event.idm.read_only_udm.network.sent_bytes | 直接從 sent_bytes欄位對應,並轉換為不帶正負號的整數。 | 
| sequencenum | event.idm.read_only_udm.additional.fields[].value.string_value | 直接從「 sequencenum」欄位對應。索引鍵為「sequencenum」。 | 
| ser_agent_kid | event.idm.read_only_udm.security_result.detection_fields[].value | 直接從「 ser_agent_kid」欄位對應。金鑰為「ser_agent_kid」。 | 
| service | event.idm.read_only_udm.target.port | 直接從 service欄位對應,並轉換為整數。 | 
| service_id | event.idm.read_only_udm.network.application_protocol | 如果 service_id欄位為「dhcp」、「dns」、「http」、「https」或「quic」,則直接對應,並轉換為大寫。 | 
| service_id | event.idm.read_only_udm.principal.application | 如果不是網路應用程式通訊協定,則直接從 service_id欄位對應。 | 
| service_id | event.idm.read_only_udm.security_result.detection_fields[].value | 直接從「 service_id」欄位對應。金鑰為「service_id」。 | 
| session_description | event.idm.read_only_udm.security_result.detection_fields[].value | 直接從「 session_description」欄位對應。金鑰為「session_description」。 | 
| session_id | event.idm.read_only_udm.network.session_id | 移除大括號後,直接從 session_id欄位對應。 | 
| session_name | event.idm.read_only_udm.security_result.detection_fields[].value | 直接從「 session_name」欄位對應。金鑰為「session_name」。 | 
| session_uid | event.idm.read_only_udm.network.session_id | 移除大括號後,直接從 session_uid欄位對應。 | 
| Severity | event.idm.read_only_udm.security_result.severity | 根據 Severity的值對應至「LOW」、「MEDIUM」、「HIGH」或「CRITICAL」。 | 
| severity | event.idm.read_only_udm.security_result.severity | 根據 severity的值對應至「LOW」、「MEDIUM」、「HIGH」或「CRITICAL」。 | 
| site | event.idm.read_only_udm.network.http.user_agent | 直接從「 site」欄位對應。 | 
| smartdefense_profile | event.idm.read_only_udm.security_result.detection_fields[].value | 直接從「 smartdefense_profile」欄位對應。金鑰為「smartdefense_profile」。 | 
| snid | event.idm.read_only_udm.network.session_id | 如果 snid欄位不為空白或「0」,則直接對應。 | 
| sourceAddress | event.idm.read_only_udm.principal.ip、event.idm.read_only_udm.principal.asset.ip | 直接從「 sourceAddress」欄位對應。 | 
| sourcePort | event.idm.read_only_udm.principal.port | 直接從 sourcePort欄位對應,並轉換為整數。 | 
| sourceTranslatedAddress | event.idm.read_only_udm.principal.ip、event.idm.read_only_udm.principal.asset.ip | 直接從「 sourceTranslatedAddress」欄位對應。 | 
| sourceTranslatedAddress | event.idm.read_only_udm.principal.nat_ip | 直接從「 sourceTranslatedAddress」欄位對應。 | 
| sourceTranslatedPort | event.idm.read_only_udm.principal.port | 直接從 sourceTranslatedPort欄位對應,並轉換為整數。 | 
| sourceTranslatedPort | event.idm.read_only_udm.principal.nat_port | 直接從 sourceTranslatedPort欄位對應,並轉換為整數。 | 
| sourceUserName | event.idm.read_only_udm.principal.user.userid、event.idm.read_only_udm.principal.user.first_name、event.idm.read_only_udm.principal.user.last_name | 使用 grok 剖析,擷取使用者 ID、名字和姓氏。 | 
| spt | event.idm.read_only_udm.principal.port | 直接從 spt欄位對應,並轉換為整數。 | 
| src | event.idm.read_only_udm.principal.ip、event.idm.read_only_udm.principal.asset.ip | 直接從「 src」欄位對應。 | 
| src_ip | event.idm.read_only_udm.principal.ip、event.idm.read_only_udm.principal.asset.ip | 直接從「 src_ip」欄位對應。 | 
| src_localhost | event.idm.read_only_udm.principal.hostname、event.idm.read_only_udm.principal.asset.hostname | 直接從「 src_localhost」欄位對應。src_ip設為「127.0.0.1」。 | 
| src_machine_name | event.idm.read_only_udm.security_result.detection_fields[].value | 直接從「 src_machine_name」欄位對應。索引鍵為「src_machine_name」。 | 
| src_port | event.idm.read_only_udm.principal.port | 直接從 src_port欄位對應,並轉換為整數。 | 
| src_user | event.idm.read_only_udm.principal.user.userid | 直接從「 src_user」欄位對應。 | 
| src_user_dn | event.idm.read_only_udm.security_result.detection_fields[].value | 直接從「 src_user_dn」欄位對應。金鑰為「src_user_dn」。 | 
| src_user_name | event.idm.read_only_udm.principal.user.userid | 直接從「 src_user_name」欄位對應。 | 
| sub_policy_name | event.idm.read_only_udm.security_result.detection_fields[].value | 直接從「 sub_policy_name」欄位對應。索引鍵為「sub_policy_name」。 | 
| sub_policy_uid | event.idm.read_only_udm.security_result.detection_fields[].value | 直接從「 sub_policy_uid」欄位對應。金鑰為「sub_policy_uid」。 | 
| subject | event.idm.read_only_udm.security_result.detection_fields[].value | 直接從「 subject」欄位對應。金鑰為「subject」。 | 
| subscription_stat_desc | event.idm.read_only_udm.security_result.summary | 直接從「 subscription_stat_desc」欄位對應。 | 
| tags | event.idm.read_only_udm.security_result.detection_fields[].value | 直接從「 tags」欄位對應。索引鍵為「tags」。 | 
| tar_user | event.idm.read_only_udm.target.user.userid | 直接從「 tar_user」欄位對應。 | 
| target_port | event.idm.read_only_udm.target.port | 直接從「 target_port」欄位對應。 | 
| tcp_flags | event.idm.read_only_udm.security_result.detection_fields[].value | 直接從「 tcp_flags」欄位對應。索引鍵為「tcp_flags」。 | 
| tcp_packet_out_of_state | event.idm.read_only_udm.security_result.detection_fields[].value | 直接從「 tcp_packet_out_of_state」欄位對應。索引鍵為「tcp_packet_out_of_state」。 | 
| time | event.idm.read_only_udm.metadata.event_timestamp | 使用各種日期格式剖析並轉換為時間戳記。 | 
| ts | event.idm.read_only_udm.metadata.event_timestamp | 使用 ds和tz剖析,建立事件時間戳記。 | 
| type | event.idm.read_only_udm.security_result.rule_type | 直接從「 type」欄位對應。 | 
| tz | event.idm.read_only_udm.metadata.event_timestamp | 與 ds和ts搭配使用,建構事件時間戳記。 | 
| update_count | event.idm.read_only_udm.security_result.detection_fields[].value | 直接從「 update_count」欄位對應。索引鍵為「update_count」。 | 
| URL | event.idm.read_only_udm.security_result.about.url | 直接從「 URL」欄位對應。 | 
| user | event.idm.read_only_udm.principal.user.userid | 直接從「 user」欄位對應。 | 
| user_agent | event.idm.read_only_udm.network.http.user_agent | 直接從「 user_agent」欄位對應。並剖析及對應至event.idm.read_only_udm.network.http.parsed_user_agent。 | 
| userip | event.idm.read_only_udm.principal.ip、event.idm.read_only_udm.principal.asset.ip | 如果 userip欄位是有效的 IP 位址,則直接對應。 | 
| UUid | event.idm.read_only_udm.metadata.product_log_id | 移除大括號後,直接從 UUid欄位對應。 | 
| version | event.idm.read_only_udm.metadata.product_version | 直接從「 version」欄位對應。 | 
| web_client_type | event.idm.read_only_udm.network.http.user_agent | 直接從「 web_client_type」欄位對應。 | 
| xlatedport | event.idm.read_only_udm.target.nat_port | 直接從 xlatedport欄位對應,並轉換為整數。 | 
| xlatedst | event.idm.read_only_udm.target.nat_ip | 直接從「 xlatedst」欄位對應。 | 
| xlatesport | event.idm.read_only_udm.principal.nat_port | 直接從 xlatesport欄位對應,並轉換為整數。 | 
| xlatesrc | event.idm.read_only_udm.principal.nat_ip | 直接從「 xlatesrc」欄位對應。 | 
| event.idm.read_only_udm.metadata.vendor_name | Check Point | 硬式編碼值。 | 
| event.idm.read_only_udm.metadata.log_type | CHECKPOINT_FIREWALL | 硬式編碼值。 | 
| event.idm.read_only_udm.security_result.rule_type | Firewall Rule | 除非特定邏輯覆寫,否則為預設值。 | 
| has_principal | true | 擷取主體 IP 或主機名稱時,請設為 true。 | 
| has_target | true | 擷取目標 IP 或主機名稱時,請設為 true。 | 
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。