Bitdefender-Protokolle erfassen
Unterstützt in:
Google SecOps
SIEM
Dieser Parser extrahiert Bitdefender-Protokolle im CEF- oder CSV-Format, normalisiert Felder an das UDM und führt bestimmte Aktionen basierend auf den Feldern event_name und module aus. Es verarbeitet verschiedene Ereignistypen wie Dateivorgänge, Netzwerkverbindungen, Prozesserstellung und Registrierungsänderungen, ordnet relevante Informationen den entsprechenden UDM-Feldern zu und ergänzt die Daten um zusätzlichen Kontext aus den Rohlogs.
Hinweise
- Sie benötigen eine Google Security Operations-Instanz.
- Sie benötigen Windows 2016 oder höher oder einen Linux-Host mit systemd.
- Wenn die Ausführung hinter einem Proxy erfolgt, müssen die Firewallports geöffnet sein.
- Sie benötigen erhöhte Zugriffsrechte für Bitdefender.
Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen
- Melden Sie sich in der Google SecOps Console an.
- Gehen Sie zu SIEM-Einstellungen > Erfassungsagenten.
- Lade die Datei für die Datenaufnahmeauthentifizierung herunter.
Google SecOps-Kundennummer abrufen
- Melden Sie sich in der Google SecOps Console an.
- Gehen Sie zu SIEM-Einstellungen > Profile.
- Kopieren und speichern Sie die Kundennummer aus dem Bereich Organisationsdetails.
BindPlane-Agent installieren
- Führen Sie für die Windows-Installation das folgende Script aus:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet - Führen Sie für die Linux-Installation das folgende Script aus:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh - Weitere Installationsoptionen finden Sie in diesem Installationsleitfaden.
Bindplane-Agent so konfigurieren, dass er Syslog-Dateien aufnimmt und an Google SecOps sendet
- Rufen Sie den Computer auf, auf dem BindPlane installiert ist.
Bearbeiten Sie die Datei
config.yamlso:receivers: tcplog: # Replace the below port <54525> and IP <0.0.0.0> with your specific values listen_address: "0.0.0.0:54525" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the creds location below according the placement of the credentials file you downloaded creds: '{ json file for creds }' # Replace <customer_id> below with your actual ID that you copied customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # You can apply ingestion labels below as preferred ingestion_labels: log_type: SYSLOG namespace: bitdefender raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - tcplog exporters: - chronicle/chronicle_w_labelsStarten Sie den Bindplane-Agent neu, um die Änderungen anzuwenden:
sudo systemctl restart bindplane
Syslog-Streaming in Bitdefender GravityZone konfigurieren
- Melden Sie sich im GravityZone Control Center an.
- Gehen Sie zu Konfiguration > Integrationen > Syslog.
- Klicken Sie auf Syslog-Server hinzufügen.
- Geben Sie die erforderlichen Details an:
- Name: Geben Sie einen eindeutigen Namen für den syslog-Server an, z. B. CentralSyslog.
- IP-Adresse/Hostname: Geben Sie die IP-Adresse oder den Hostnamen des Bindplane-Servers ein.
- Protocol (Protokoll): Wählen Sie das zu verwendende Protokoll aus: TCP / UDP.
- Port: Geben Sie die Portnummer des Bindplane-Servers an.
- Wählen Sie die Protokolltypen aus, die gestreamt werden sollen, z. B. Anti-Malware-Ereignisse, NAD-Ereignisse (Network Attack Defense), Webkontroll-Ereignisse, Firewall-Ereignisse oder Richtlinienänderungen.
- Optional: Konfigurieren Sie Filter, um bestimmte Ereignistypen ein- oder auszuschließen.
- Klicken Sie auf Speichern.
UDM-Zuordnungstabelle
| Logfeld | UDM-Zuordnung | Logik |
|---|---|---|
BitdefenderGZAttackEntry |
security_result.detection_fields.value |
Der Wert von BitdefenderGZAttackEntry aus dem Rohprotokoll wird einem security_result.detection_fields-Objekt mit dem Schlüssel „attack_entry“ zugewiesen. |
BitdefenderGZAttackTypes |
security_result.category_details |
Der Wert von BitdefenderGZAttackTypes aus dem Rohprotokoll wird security_result.category_details zugewiesen. Der Wert wird dann in einzelne Strings aufgeteilt und jeder String wird dem security_result.category_details-Array als Wert hinzugefügt. |
BitdefenderGZAttCkId |
security_result.detection_fields.value |
Der Wert von BitdefenderGZAttCkId aus dem Rohprotokoll wird einem security_result.detection_fields-Objekt mit dem Schlüssel „BitdefenderGZAttCkId“ zugewiesen. |
BitdefenderGZCompanyId |
target.user.company_name |
Der Wert von BitdefenderGZCompanyId aus dem Rohprotokoll wird target.user.company_name zugewiesen. |
BitdefenderGZComputerFQDN |
principal.asset.network_domain |
Der Wert von BitdefenderGZComputerFQDN aus dem Rohprotokoll wird principal.asset.network_domain zugewiesen. |
BitdefenderGZDetectionName |
security_result.threat_name |
Der Wert von BitdefenderGZDetectionName aus dem Rohprotokoll wird security_result.threat_name zugewiesen. |
BitdefenderGZEndpointId |
security_result.detection_fields.value |
Der Wert von BitdefenderGZEndpointId aus dem Rohprotokoll wird einem security_result.detection_fields-Objekt mit dem Schlüssel „BitdefenderGZEndpointId“ zugewiesen. |
BitdefenderGZIncidentId |
metadata.product_log_id |
Der Wert von BitdefenderGZIncidentId aus dem Rohprotokoll wird metadata.product_log_id zugewiesen. |
BitdefenderGZMainAction |
security_result.action_details |
Der Wert von BitdefenderGZMainAction aus dem Rohprotokoll wird security_result.action_details zugewiesen. Anhand dieses Werts wird das Feld security_result.action festgelegt (z.B. „blocked“ wird in „BLOCK“ umgewandelt. Das Feld security_result.description enthält außerdem „main_action:“, gefolgt vom Wert von BitdefenderGZMainAction. |
BitdefenderGZMalwareHash |
principal.process.file.sha256 |
Der Wert von BitdefenderGZMalwareHash aus dem Rohprotokoll wird principal.process.file.sha256 zugewiesen. |
BitdefenderGZMalwareName |
security_result.threat_name |
Der Wert von BitdefenderGZMalwareName aus dem Rohprotokoll wird security_result.threat_name zugewiesen. |
BitdefenderGZMalwareType |
security_result.detection_fields.value |
Der Wert von BitdefenderGZMalwareType aus dem Rohprotokoll wird einem security_result.detection_fields-Objekt mit dem Schlüssel „malware_type“ zugewiesen. |
BitdefenderGZModule |
metadata.product_event_type |
Der Wert von BitdefenderGZModule aus dem Rohprotokoll wird metadata.product_event_type zugewiesen. |
BitdefenderGZSeverityScore |
security_result.severity_details |
Der Wert von BitdefenderGZSeverityScore aus dem Rohprotokoll wird security_result.severity_details zugewiesen. |
BitdefenderGZHwId |
target.resource.id |
Der Wert von BitdefenderGZHwId aus dem Rohprotokoll wird target.resource.id zugewiesen. |
act |
security_result.action_details |
Der Wert von act aus dem Rohprotokoll wird security_result.action_details zugewiesen. |
actionTaken |
security_result.action_details |
Der Wert von actionTaken aus dem Rohprotokoll wird security_result.action_details zugewiesen. Anhand dieses Werts wird das Feld security_result.action festgelegt (z.B. „block“ wird zu „BLOCK“ zugeordnet). Das Feld security_result.description enthält außerdem „actionTaken:“, gefolgt vom Wert von actionTaken. |
additional.fields |
additional.fields |
Die Parserlogik erstellt ein Schlüssel/Wert-Paar für „product_installed“ und fügt es dem additional.fields-Objekt hinzu. |
categories |
principal.asset.category |
Der Wert von categories aus dem Rohprotokoll wird principal.asset.category zugewiesen. |
cmd_line |
target.process.command_line |
Der Wert von cmd_line aus dem Rohprotokoll wird target.process.command_line zugewiesen. |
companyId |
target.user.company_name |
Der Wert von companyId aus dem Rohprotokoll wird target.user.company_name zugewiesen. |
computer_fqdn |
principal.asset.network_domain |
Der Wert von computer_fqdn aus dem Rohprotokoll wird principal.asset.network_domain zugewiesen. |
computer_id |
principal.asset.asset_id |
Der Wert von computer_id aus dem Rohprotokoll wird principal.asset.asset_id zugewiesen, nachdem „ComputerId:“ vorangestellt wurde. |
computer_ip |
principal.asset.ip |
Der Wert von computer_ip aus dem Rohprotokoll wird analysiert, durch Kommas getrennt und jede resultierende IP-Adresse wird dem principal.asset.ip-Array hinzugefügt. |
computer_name |
principal.resource.attribute.labels.value |
Der Wert von computer_name aus dem Rohprotokoll wird einem principal.resource.attribute.labels-Objekt mit dem Schlüssel „computer_name“ zugewiesen. Außerdem wird er einem security_result.detection_fields-Objekt als Wert hinzugefügt, wobei „computer_name“ der Schlüssel ist. |
column1 |
metadata.product_log_id |
Der Wert von column1 aus dem Rohprotokoll wird metadata.product_log_id zugewiesen. |
column3 |
observer.ip |
Der Wert von column3 aus dem Rohprotokoll wird observer.ip zugewiesen. |
command_line |
target.process.command_line |
Der Wert von command_line aus dem Rohprotokoll wird target.process.command_line zugewiesen. |
data |
target.registry.registry_value_data |
Der Wert von data aus dem Rohprotokoll wird target.registry.registry_value_data zugewiesen. |
detection_attackTechnique |
security_result.detection_fields.value |
Der Wert von detection_attackTechnique aus dem Rohprotokoll wird einem security_result.detection_fields-Objekt zugewiesen, dessen Schlüssel „detection attackTechnique“ ist. |
detection_name |
security_result.threat_name |
Der Wert von detection_name aus dem Rohprotokoll wird security_result.threat_name zugewiesen. |
destination_ip |
target.ip |
Der Wert von destination_ip aus dem Rohprotokoll wird target.ip zugewiesen. |
destination_port |
target.port |
Der Wert von destination_port aus dem Rohprotokoll wird target.port zugewiesen. |
direction |
network.direction |
Der Wert von direction aus dem Rohprotokoll wird in Großbuchstaben geschrieben und network.direction zugewiesen. |
dvc |
principal.ip |
Der Wert von dvc aus dem Rohprotokoll wird analysiert, durch Kommas getrennt und jede resultierende IP-Adresse wird dem principal.ip-Array hinzugefügt. |
dvchost |
about.hostname |
Der Wert von dvchost aus dem Rohprotokoll wird about.hostname zugewiesen. |
event_description |
metadata.description |
Der Wert von event_description aus dem Rohprotokoll wird metadata.description zugewiesen. |
event_name |
metadata.product_event_type |
Der Wert von event_name aus dem Rohprotokoll wird metadata.product_event_type zugewiesen. Wenn der Wert „Antiphishing“ ist, wird security_result.category auf „PHISHING“ gesetzt. Wenn der Wert „AntiMalware“ ist, wird security_result.category auf „SOFTWARE_MALICIOUS“ festgelegt. Das Feld metadata.event_type wird mithilfe einer Reihe von bedingten Anweisungen im Parser aus event_name abgeleitet. |
ev |
metadata.product_event_type |
Der Wert von ev aus dem Rohprotokoll wird metadata.product_event_type zugewiesen. |
extra_info.command_line |
target.process.command_line |
Der Wert von extra_info.command_line aus dem Rohprotokoll wird target.process.command_line zugewiesen. |
extra_info.parent_pid |
principal.process.pid |
Der Wert von extra_info.parent_pid aus dem Rohprotokoll wird principal.process.pid zugewiesen. |
extra_info.parent_process_cmdline |
principal.process.command_line |
Der Wert von extra_info.parent_process_cmdline aus dem Rohprotokoll wird principal.process.command_line zugewiesen. |
extra_info.parent_process_path |
principal.process.file.full_path |
Der Wert von extra_info.parent_process_path aus dem Rohprotokoll wird principal.process.file.full_path zugewiesen. |
extra_info.pid |
target.process.pid |
Der Wert von extra_info.pid aus dem Rohprotokoll wird target.process.pid zugewiesen. |
extra_info.process_path |
target.process.file.full_path |
Der Wert von extra_info.process_path aus dem Rohprotokoll wird target.process.file.full_path zugewiesen. |
extra_info.user |
target.user.userid |
Der Wert von extra_info.user aus dem Rohprotokoll wird target.user.userid zugewiesen. |
filePath |
principal.process.file.full_path |
Der Wert von filePath aus dem Rohprotokoll wird principal.process.file.full_path zugewiesen. |
file_path |
principal.process.file.full_path |
Der Wert von file_path aus dem Rohprotokoll wird principal.process.file.full_path zugewiesen. |
final_status |
security_result.action_details |
Der Wert von final_status aus dem Rohprotokoll wird security_result.action_details zugewiesen. Anhand dieses Werts wird das Feld security_result.action festgelegt (z.B. „deleted“ wird zu „BLOCK“, „ignored“ zu „ALLOW“ zugeordnet. Das Feld security_result.description enthält außerdem „final_status: " gefolgt vom Wert final_status. Wenn der Wert „gelöscht“ oder „blockiert“ ist, wird metadata.event_type auf „SCAN_NETWORK“ gesetzt. |
hash |
principal.process.file.sha256 |
Der Wert von hash aus dem Rohprotokoll wird principal.process.file.sha256 zugewiesen. |
host |
principal.hostname |
Der Wert von host aus dem Rohprotokoll wird principal.hostname zugewiesen. |
hostname |
principal.hostname |
Der Wert von hostname aus dem Rohprotokoll wird principal.hostname zugewiesen, wenn event_name nicht „log_on“ oder „log_out“ ist. Andernfalls wird er target.hostname zugewiesen. |
host_name |
principal.hostname |
Der Wert von host_name aus dem Rohprotokoll wird principal.hostname zugewiesen. |
hwid |
principal.resource.id |
Der Wert von hwid aus dem Rohprotokoll wird principal.resource.id zugewiesen, sofern er nicht leer ist. Ist das Feld leer und das Ereignis ist nicht „log_on“ oder „log_out“, wird source_hwid principal.resource.id zugewiesen. Wenn das Ereignis „log_on“ oder „log_out“ ist, wird es target.resource.id zugewiesen. |
incident_id |
metadata.product_log_id |
Der Wert von incident_id aus dem Rohprotokoll wird metadata.product_log_id zugewiesen. |
ip_dest |
target.ip |
Der Wert von ip_dest aus dem Rohprotokoll wird target.ip zugewiesen. |
ip_source |
principal.ip |
Der Wert von ip_source aus dem Rohprotokoll wird principal.ip zugewiesen. |
key_path |
target.registry.registry_key |
Der Wert von key_path aus dem Rohprotokoll wird target.registry.registry_key zugewiesen. |
local_port |
principal.port |
Der Wert von local_port aus dem Rohprotokoll wird in eine Ganzzahl konvertiert und principal.port zugewiesen. |
logon_type |
extensions.auth.mechanism |
Der Wert von logon_type aus dem Rohprotokoll wird verwendet, um den Wert von extensions.auth.mechanism zu bestimmen. Unterschiedliche numerische Werte von logon_type entsprechen verschiedenen Authentifizierungsmechanismen (z.B. 2 Karten zu „LOCAL“, 3 zu „NETWORK“). Wenn keine übereinstimmende logon_type gefunden wird, wird der Mechanismus auf „MECHANISM_UNSPECIFIED“ festgelegt. |
lurker_id |
intermediary.resource.id |
Der Wert von lurker_id aus dem Rohprotokoll wird intermediary.resource.id zugewiesen. |
main_action |
security_result.action_details |
Der Wert von main_action aus dem Rohprotokoll wird security_result.action_details zugewiesen. Anhand dieses Werts wird das Feld security_result.action festgelegt (z.B. „blockiert“ wird „BLOCKIEREN“ zugeordnet, „keine Aktion“ wird „ZULASSEN“ zugeordnet. Das Feld security_result.description enthält außerdem „main_action:“, gefolgt vom Wert von main_action. |
malware_name |
security_result.threat_name |
Der Wert von malware_name aus dem Rohprotokoll wird security_result.threat_name zugewiesen. |
malware_type |
security_result.detection_fields.value |
Der Wert von malware_type aus dem Rohprotokoll wird einem security_result.detection_fields-Objekt mit dem Schlüssel „malware_type“ zugewiesen. |
metadata.description |
metadata.description |
Der Parser legt das Feld metadata.description anhand des Felds event_name fest. |
metadata.event_type |
metadata.event_type |
Der Parser legt das Feld metadata.event_type anhand des Felds event_name fest. |
metadata.product_event_type |
metadata.product_event_type |
Der Parser legt das Feld metadata.product_event_type anhand der Felder event_name oder module fest. |
metadata.product_log_id |
metadata.product_log_id |
Der Parser legt das Feld metadata.product_log_id anhand der Felder msg_id oder incident_id fest. |
metadata.product_name |
metadata.product_name |
Der Parser setzt metadata.product_name auf „BitDefender EDR“. |
metadata.product_version |
metadata.product_version |
Der Parser benennt das Feld product_version in metadata.product_version um. |
metadata.vendor_name |
metadata.vendor_name |
Der Parser setzt metadata.vendor_name auf „BitDefender“. |
module |
metadata.product_event_type |
Der Wert von module aus dem Rohprotokoll wird metadata.product_event_type zugewiesen. Wenn der Wert „new-incident“ ist und target_process_file_full_path nicht leer ist, wird metadata.event_type auf „PROCESS_UNCATEGORIZED“ gesetzt. Wenn der Wert „task-status“ ist, wird metadata.event_type auf „STATUS_UPDATE“ gesetzt. Wenn der Wert „network-monitor“ oder „fw“ ist, wird metadata.event_type auf „SCAN_NETWORK“ gesetzt. |
msg_id |
metadata.product_log_id |
Der Wert von msg_id aus dem Rohprotokoll wird metadata.product_log_id zugewiesen. |
network.application_protocol |
network.application_protocol |
Der Wert von uc_type aus dem Rohprotokoll wird in Großbuchstaben geschrieben und network.application_protocol zugewiesen. |
network.direction |
network.direction |
Der Parser legt das Feld network.direction anhand des Felds direction fest. |
network.ip_protocol |
network.ip_protocol |
Wenn protocol_id „6“ ist, setzt der Parser network.ip_protocol auf „TCP“. |
new_path |
target.file.full_path |
Der Wert von new_path aus dem Rohprotokoll wird target.file.full_path zugewiesen. |
old_path |
src.file.full_path |
Der Wert von old_path aus dem Rohprotokoll wird src.file.full_path zugewiesen. |
origin_ip |
intermediary.ip |
Der Wert von origin_ip aus dem Rohprotokoll wird intermediary.ip zugewiesen. |
os |
principal.platform_version |
Der Wert von os aus dem Rohprotokoll wird principal.platform_version zugewiesen. Das Feld principal.platform wird aus os abgeleitet (z.B. „Win“ wird in „WINDOWS“ umgewandelt. Wenn das Ereignis „log_on“ oder „log_out“ ist, werden die Felder principal.platform und principal.platform_version in target.platform und target.platform_version umbenannt. |
os_type |
principal.platform |
Der Wert von os_type aus dem Rohprotokoll wird verwendet, um den Wert von principal.platform zu bestimmen (z.B. „Win“ wird in „WINDOWS“ umgewandelt. |
parent_pid |
principal.process.pid |
Der Wert von parent_pid aus dem Rohprotokoll wird principal.process.pid zugewiesen. |
parent_process_path |
principal.process.file.full_path |
Der Wert von parent_process_path aus dem Rohprotokoll wird principal.process.file.full_path zugewiesen. |
parent_process_pid |
principal.process.pid |
Der Wert von parent_process_pid aus dem Rohprotokoll wird principal.process.pid zugewiesen. |
path |
target.file.full_path |
Der Wert von path aus dem Rohprotokoll wird target.file.full_path zugewiesen. |
pid |
principal.process.pid oder target.process.pid |
Der Wert von pid aus dem Rohprotokoll wird principal.process.pid zugewiesen, wenn event_name mit „file“ oder „reg“ beginnt oder einer der Werte „process_signal“, „network_connection“ oder „connection_connect“ ist. Andernfalls wird er target.process.pid zugewiesen. |
pid_path |
principal.process.file.full_path |
Der Wert von pid_path aus dem Rohprotokoll wird principal.process.file.full_path zugewiesen. |
port_dest |
target.port |
Der Wert von port_dest aus dem Rohprotokoll wird in eine Ganzzahl konvertiert und target.port zugewiesen. |
port_source |
principal.port |
Der Wert von port_source aus dem Rohprotokoll wird in eine Ganzzahl konvertiert und principal.port zugewiesen. |
ppid |
principal.process.pid |
Der Wert von ppid aus dem Rohprotokoll wird principal.process.pid zugewiesen. |
principal.ip |
principal.ip |
Der Parser legt das Feld principal.ip anhand der Felder ip_source oder dvc fest. |
principal.platform |
principal.platform |
Der Parser legt das Feld principal.platform anhand der Felder os oder os_type fest. |
principal.platform_version |
principal.platform_version |
Der Parser legt das Feld principal.platform_version anhand der Felder os oder osi_version fest. |
principal.process.command_line |
principal.process.command_line |
Der Parser setzt das Feld principal.process.command_line anhand des Felds parent_process_cmdline. |
principal.process.file.full_path |
principal.process.file.full_path |
Der Parser legt das Feld principal.process.file.full_path basierend auf den Feldern pid_path, file_path, parent_process_path oder process_path fest. |
principal.process.file.md5 |
principal.process.file.md5 |
Der Parser benennt das Feld file_hash_md5 in principal.process.file.md5 um. |
principal.process.file.sha256 |
principal.process.file.sha256 |
Der Parser setzt das Feld principal.process.file.sha256 basierend auf den Feldern hash, BitdefenderGZMalwareHash oder file_hash_sha256. |
principal.process.parent_process.pid |
principal.process.parent_process.pid |
Der Parser benennt das Feld ppid in principal.process.parent_process.pid um. |
principal.process.pid |
principal.process.pid |
Der Parser legt das Feld principal.process.pid basierend auf den Feldern pid, parent_pid, ppid oder parent_process_pid fest. |
principal.resource.id |
principal.resource.id |
Der Parser legt das Feld principal.resource.id anhand der Felder hwid oder source_hwid fest. |
principal.url |
principal.url |
Der Parser legt das Feld principal.url anhand des Felds url fest. |
process_command_line |
target.process.command_line |
Der Wert von process_command_line aus dem Rohprotokoll wird target.process.command_line zugewiesen. |
process_path |
principal.process.file.full_path oder target.process.file.full_path |
Der Wert von process_path aus dem Rohprotokoll wird principal.process.file.full_path zugewiesen, wenn event_name „network_connection“ oder „connection_connect“ ist. Andernfalls wird ihm target.process.file.full_path zugewiesen. |
product_installed |
additional.fields.value.string_value |
Der Wert von product_installed aus dem Rohprotokoll wird einem additional.fields-Objekt mit dem Schlüssel „product_installed“ zugewiesen. |
product_version |
metadata.product_version |
Der Wert von product_version aus dem Rohprotokoll wird metadata.product_version zugewiesen. |
protocol_id |
network.ip_protocol |
Wenn protocol_id „6“ ist, setzt der Parser network.ip_protocol auf „TCP“. |
request |
target.url |
Der Wert von request aus dem Rohprotokoll wird target.url zugewiesen. |
security_result.action |
security_result.action |
Der Parser legt das Feld security_result.action basierend auf den Feldern main_action, actionTaken, status oder final_status fest. Wenn in keinem dieser Felder eine gültige Aktion angegeben ist, wird standardmäßig „UNKNOWN_ACTION“ verwendet. |
security_result.action_details |
security_result.action_details |
Der Parser legt das Feld security_result.action_details basierend auf den Feldern main_action, actionTaken, status oder final_status fest. |
security_result.category |
security_result.category |
Der Parser setzt das Feld security_result.category auf „PHISHING“, wenn event_name „Antiphishing“ ist, auf „SOFTWARE_MALICIOUS“, wenn event_name „Anti-Malware“ ist, oder fügt den Wert aus dem Feld sec_category zusammen. |
security_result.category_details |
security_result.category_details |
Der Parser legt das Feld security_result.category_details anhand der Felder block_type oder attack_types fest. |
security_result.detection_fields |
security_result.detection_fields |
Der Parser erstellt security_result.detection_fields-Objekte für verschiedene Felder, darunter „malware_type“, „attack_entry“, „BitdefenderGZAttCkId“, „BitdefenderGZEndpointId“, „final_status“, „detection attackTechnique“ und „computer_name“. |
security_result.description |
security_result.description |
Der Parser setzt das Feld security_result.description basierend auf den Feldern main_action, actionTaken oder final_status. |
security_result.severity |
security_result.severity |
Der Parser legt das Feld security_result.severity basierend auf dem Wert des Felds severity fest, wenn es nicht leer ist und module „new-incident“ ist. |
security_result.severity_details |
security_result.severity_details |
Der Parser legt das Feld security_result.severity_details anhand des Felds severity_score fest. |
security_result.threat_name |
security_result.threat_name |
Der Parser legt das Feld security_result.threat_name anhand der Felder malware_name oder detection_name fest. |
severity |
security_result.severity |
Der Wert von severity aus dem Rohprotokoll wird in Großbuchstaben geschrieben und security_result.severity zugewiesen, wenn er nicht leer ist und module „new-incident“ ist. |
severity_score |
security_result.severity_details |
Der Wert von severity_score aus dem Rohprotokoll wird in einen String konvertiert und security_result.severity_details zugewiesen. |
source_host |
observer.ip |
Der Wert von source_host aus dem Rohprotokoll wird observer.ip zugewiesen. |
source_hwid |
principal.resource.id |
Der Wert von source_hwid aus dem Rohprotokoll wird principal.resource.id zugewiesen. |
source_ip |
src.ip |
Der Wert von source_ip aus dem Rohprotokoll wird src.ip zugewiesen. |
source_port |
principal.port |
Der Wert von source_port aus dem Rohprotokoll wird in eine Ganzzahl konvertiert und principal.port zugewiesen. |
spt |
principal.port |
Der Wert von spt aus dem Rohprotokoll wird principal.port zugewiesen. |
sproc |
principal.process.command_line |
Der Wert von sproc aus dem Rohprotokoll wird principal.process.command_line zugewiesen. |
src |
principal.ip |
Der Wert von src aus dem Rohprotokoll wird principal.ip zugewiesen. |
src.ip |
src.ip |
Der Parser setzt das Feld src.ip anhand des Felds source_ip. |
src.file.full_path |
src.file.full_path |
Der Parser legt das Feld src.file.full_path anhand des Felds old_path fest. |
status |
security_result.action_details |
Der Wert von status aus dem Rohprotokoll wird security_result.action_details zugewiesen. Anhand dieses Werts wird das Feld security_result.action festgelegt (z.B. „portscan_blocked“ und „uc_site_blocked“ werden mit „BLOCK“ abgeglichen. Das Feld security_result.description enthält außerdem „status:“, gefolgt vom Wert status. |
suid |
principal.user.userid |
Der Wert von suid aus dem Rohprotokoll wird principal.user.userid zugewiesen. |
suser |
principal.user.user_display_name |
Der Wert von suser aus dem Rohprotokoll wird principal.user.user_display_name zugewiesen. |
target.file.full_path |
target.file.full_path |
Der Parser legt das Feld target.file.full_path anhand der Felder path oder new_path fest. |
target.hostname |
target.hostname |
Der Parser legt das Feld target.hostname anhand des Felds hostname fest. |
target.ip |
target.ip |
Der Parser legt das Feld target.ip anhand der Felder ip_dest oder destination_ip fest. |
target.platform |
target.platform |
Der Parser setzt das Feld target.platform anhand des Felds principal.platform. |
target.platform_version |
target.platform_version |
Der Parser setzt das Feld target.platform_version anhand des Felds principal.platform_version. |
target.port |
target.port |
Der Parser legt das Feld target.port anhand der Felder port_dest oder destination_port fest. |
target.process.command_line |
target.process.command_line |
Der Parser setzt das Feld target.process.command_line basierend auf den Feldern command_line, process_command_line oder cmd_line. |
target.process.file.full_path |
target.process.file.full_path |
Der Parser setzt das Feld target.process.file.full_path anhand des Felds process_path. |
target.process.pid |
target.process.pid |
Der Parser setzt das Feld target.process.pid anhand des Felds pid. |
target.registry.registry_key |
target.registry.registry_key |
Der Parser setzt das Feld target.registry.registry_key anhand des Felds key_path. |
target.registry.registry_value_data |
target.registry.registry_value_data |
Der Parser setzt das Feld target.registry.registry_value_data anhand des Felds data. |
target.registry.registry_value_name |
target.registry.registry_value_name |
Der Parser legt das Feld target.registry.registry_value_name anhand des Felds value fest. |
target.resource.id |
target.resource.id |
Der Parser legt das Feld target.resource.id anhand der Felder hwid oder BitdefenderGZHwId fest. |
target.url |
target.url |
Der Parser legt das Feld target.url anhand des Felds request fest. |
target.user.company_name |
target.user.company_name |
Der Parser legt das Feld target.user.company_name anhand des Felds companyId fest. |
target.user.user_display_name |
target.user.user_display_name |
Der Parser legt das Feld target.user.user_display_name anhand der Felder user.name oder user.userName fest. |
target.user.userid |
target.user.userid |
Der Parser legt das Feld target.user.userid basierend auf den Feldern user_name, user, user.id oder extra_info.user fest. |
target_pid |
target.process.pid |
Der Wert von target_pid aus dem Rohprotokoll wird target.process.pid zugewiesen. |
timestamp |
metadata.event_timestamp |
Der Wert von timestamp aus dem Rohprotokoll wird analysiert und metadata.event_timestamp zugewiesen. |
uc_type |
network.application_protocol |
Der Wert von uc_type aus dem Rohprotokoll wird in Großbuchstaben geschrieben und network.application_protocol zugewiesen. Wenn target_user_userid nicht leer ist, wird metadata.event_type auf „USER_UNCATEGORIZED“ festgelegt. Andernfalls wird „STATUS_UPDATE“ festgelegt. |
url |
principal.url |
Der Wert von url aus dem Rohprotokoll wird principal.url zugewiesen, wenn er nicht leer oder „0.0.0.0“ ist. |
user |
target.user.userid |
Der Wert von user aus dem Rohprotokoll wird target.user.userid zugewiesen. |
user.id |
target.user.userid |
Der Wert von user.id aus dem Rohprotokoll wird target.user.userid zugewiesen. |
user.name |
target.user.user_display_name |
Der Wert von user.name aus dem Rohprotokoll wird target.user.user_display_name zugewiesen. |
user.userName |
target.user.user_display_name |
Der Wert von user.userName aus dem Rohprotokoll wird target.user.user_display_name zugewiesen. |
user.userSid |
principal.user.windows_sid |
Der Wert von user.userSid aus dem Rohprotokoll wird principal.user.windows_sid zugewiesen. |
user_name |
target.user.userid |
Der Wert von user_name aus dem Rohprotokoll wird target.user.userid zugewiesen. |
value |
target.registry.registry_value_data oder target.registry.registry_value_name |
Der Wert von value aus dem Rohprotokoll wird target.registry.registry_value_data zugewiesen, wenn event_name „reg_delete_value“ ist. Andernfalls wird ihm target.registry.registry_value_name zugewiesen. |
Änderungen
2023-05-02
- Geparste Protokolle, die im CEF-Format aufgenommen wurden.
2022-09-28
- „security_result.action“ wurde in „BLOCK“ geändert, wenn „status“ „portscan_blocked“ oder „uc_site_blocked“ ist.
- „security_result.action“ wurde in „BLOCK“ geändert, wenn „main_action“ „blocked“ ist.
- „security_result.action“ wurde auf „BLOCK“ umgestellt, wenn „actionTaken“ „block“ ist.
- „security_result.action“ wurde in „BLOCK“ geändert, wenn „final_status“ den Wert „blocked“ oder „deleted“ hat.
- „security_result.action“ wurde in „ALLOW“ geändert, wenn „final_status“ den Wert „ignored“ oder „still present“ hat.
- „security_result.action“ wurde in „ALLOW“ (ZULASSEN) umgewandelt, wenn „main_action“ den Wert „no action“ (keine Aktion) hat.
- „security_result.action“ wurde in „QUARANTINE“ umgewandelt, wenn „final_status“ den Wert „unter Quarantäne“ hat.
- „security_result.action“ wurde in „ALLOW_WITH_MODIFICATION“ geändert, wenn „final_status“ „desinfiziert“ oder „wiederhergestellt“ ist.
2022-08-17
- Verbesserung: Die Zuordnung für „source_ip“ wurde von „principal.ip“ zu „srcc.ip“ geändert.
- Legen Sie „event_type“ auf „SCAN_NETWORK“ fest, wenn „module“ mit „network-monitor“ oder „fw“ übereinstimmt.
- „user.userSid“ wurde auf „principal.user.windows_sid“ zugeordnet.
- „user.userName“ wurde mit „target.user.user_display_name“ verknüpft.
- „protocol_id“ wurde auf „network.ip_protocol“ zugeordnet.
- Legen Sie „security_result.action“ auf „BLOCK“ fest, wenn „status“ mit „portscan_blocked“ oder „uc_site_blocked“ übereinstimmt.
- „local_port“ wurde auf „principal.port“ zugeordnet.
- „actionTaken“ wurde in „security_result.action“ geändert.
- „detection_attackTechnique“ wurde in „security_result.detection_fields“ geändert.
2022-08-13
- Fehlerkorrektur: Die Zuordnung für das Feld „computer_name“ wurde von „principal.asset.hostname“ zu „event.idm.read_only_udm.principal.resource.attribute.labels“ geändert.
2022-08-11
- Fehlerkorrektur: Bedingte Prüfungen für das Feld „main_action“, das „security_result.action“ zugeordnet ist, wurden geändert.
- „STATUS_UPDATE“ wurde für Protokolle mit dem Modul „task-status“ auf „metadata.event_type“ zugeordnet.
2022-04-14
- Verbesserung: Zuordnungen für „computer_name“, „computer_id“, „uc_type“, „block_type“, „status“ und „product_installed“ hinzugefügt.
2022-03-30
- Fehlerkorrektur: Der Zeitstempelfehler wurde korrigiert und die Felder „user.id“, „user.name“, „companyId“, „computer_name“, „computer_fqdn“, „computer_ip“, „computer_id“, „url“ und „categories“ wurden zugeordnet.
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten