Diese Seite wurde von der Cloud Translation API übersetzt.

Bitdefender-Protokolle erfassen

Unterstützt in:

Google SecOps SIEM

Dieser Parser extrahiert Bitdefender-Protokolle im CEF- oder CSV-Format, normalisiert Felder an das UDM und führt bestimmte Aktionen basierend auf den Feldern event_name und module aus. Es verarbeitet verschiedene Ereignistypen wie Dateivorgänge, Netzwerkverbindungen, Prozesserstellung und Registrierungsänderungen, ordnet relevante Informationen den entsprechenden UDM-Feldern zu und ergänzt die Daten um zusätzlichen Kontext aus den Rohprotokollen.

Hinweis

Sie benötigen eine Google Security Operations-Instanz.
Sie benötigen Windows 2016 oder höher oder einen Linux-Host mit systemd.
Wenn die Ausführung hinter einem Proxy erfolgt, müssen die Firewallports geöffnet sein.
Sie benötigen erhöhte Zugriffsrechte für Bitdefender.

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

Melden Sie sich in der Google SecOps Console an.
Gehen Sie zu SIEM-Einstellungen > Erfassungsagenten.
Lade die Datei zur Authentifizierung der Datenaufnahme herunter.

Google SecOps-Kundennummer abrufen

Melden Sie sich in der Google SecOps Console an.
Gehen Sie zu SIEM-Einstellungen > Profile.
Kopieren und speichern Sie die Kundennummer aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Führen Sie für die Windows-Installation das folgende Script aus:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Führen Sie für die Linux-Installation das folgende Script aus:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Weitere Installationsoptionen finden Sie in diesem Installationsleitfaden.

BindPlane-Agent so konfigurieren, dass er Syslog-Protokolle aufnimmt und an Google SecOps sendet

Rufen Sie den Computer auf, auf dem BindPlane installiert ist.

Bearbeiten Sie die Datei config.yamlso:

receivers:
    tcplog:
        # Replace the below port <54525> and IP <0.0.0.0> with your specific values
        listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: bitdefender
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

Starten Sie den BindPlane-Agent neu, um die Änderungen anzuwenden:
```
sudo systemctl restart bindplane
```

Syslog-Streaming in Bitdefender GravityZone konfigurieren

Melden Sie sich im GravityZone Control Center an.
Gehen Sie zu Konfiguration > Integrationen > Syslog.
Klicken Sie auf Syslog-Server hinzufügen.
Geben Sie die erforderlichen Details an:
- Name: Geben Sie einen eindeutigen Namen für den syslog-Server an, z. B. CentralSyslog.
- IP-Adresse/Hostname: Geben Sie die IP-Adresse oder den Hostnamen des Bindplane-Servers ein.
- Protocol (Protokoll): Wählen Sie das zu verwendende Protokoll aus: TCP / UDP.
- Port: Geben Sie die Portnummer des Bindplane-Servers an.
- Wählen Sie die Protokolltypen aus, die gestreamt werden sollen, z. B. Anti-Malware-Ereignisse, NAD-Ereignisse (Network Attack Defense), Webkontroll-Ereignisse, Firewall-Ereignisse oder Richtlinienänderungen.
- Optional: Konfigurieren Sie Filter, um bestimmte Ereignistypen ein- oder auszuschließen.
Klicken Sie auf Speichern.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
`BitdefenderGZAttackEntry`	`security_result.detection_fields.value`	Der Wert von `BitdefenderGZAttackEntry` aus dem Rohprotokoll wird einem `security_result.detection_fields`-Objekt mit dem Schlüssel „attack_entry“ zugewiesen.
`BitdefenderGZAttackTypes`	`security_result.category_details`	Der Wert von `BitdefenderGZAttackTypes` aus dem Rohprotokoll wird `security_result.category_details` zugewiesen. Der Wert wird dann in einzelne Strings aufgeteilt und jeder String wird dem `security_result.category_details`-Array als Wert hinzugefügt.
`BitdefenderGZAttCkId`	`security_result.detection_fields.value`	Der Wert von `BitdefenderGZAttCkId` aus dem Rohprotokoll wird einem `security_result.detection_fields`-Objekt mit dem Schlüssel „BitdefenderGZAttCkId“ zugewiesen.
`BitdefenderGZCompanyId`	`target.user.company_name`	Der Wert von `BitdefenderGZCompanyId` aus dem Rohprotokoll wird `target.user.company_name` zugewiesen.
`BitdefenderGZComputerFQDN`	`principal.asset.network_domain`	Der Wert von `BitdefenderGZComputerFQDN` aus dem Rohprotokoll wird `principal.asset.network_domain` zugewiesen.
`BitdefenderGZDetectionName`	`security_result.threat_name`	Der Wert von `BitdefenderGZDetectionName` aus dem Rohprotokoll wird `security_result.threat_name` zugewiesen.
`BitdefenderGZEndpointId`	`security_result.detection_fields.value`	Der Wert von `BitdefenderGZEndpointId` aus dem Rohprotokoll wird einem `security_result.detection_fields`-Objekt mit dem Schlüssel „BitdefenderGZEndpointId“ zugewiesen.
`BitdefenderGZIncidentId`	`metadata.product_log_id`	Der Wert von `BitdefenderGZIncidentId` aus dem Rohprotokoll wird `metadata.product_log_id` zugewiesen.
`BitdefenderGZMainAction`	`security_result.action_details`	Der Wert von `BitdefenderGZMainAction` aus dem Rohprotokoll wird `security_result.action_details` zugewiesen. Anhand dieses Werts wird das Feld `security_result.action` festgelegt (z.B. „blocked“ wird in „BLOCK“ umgewandelt. Das Feld `security_result.description` enthält außerdem „main_action:“, gefolgt vom Wert von `BitdefenderGZMainAction`.
`BitdefenderGZMalwareHash`	`principal.process.file.sha256`	Der Wert von `BitdefenderGZMalwareHash` aus dem Rohprotokoll wird `principal.process.file.sha256` zugewiesen.
`BitdefenderGZMalwareName`	`security_result.threat_name`	Der Wert von `BitdefenderGZMalwareName` aus dem Rohprotokoll wird `security_result.threat_name` zugewiesen.
`BitdefenderGZMalwareType`	`security_result.detection_fields.value`	Der Wert von `BitdefenderGZMalwareType` aus dem Rohprotokoll wird einem `security_result.detection_fields`-Objekt mit dem Schlüssel „malware_type“ zugewiesen.
`BitdefenderGZModule`	`metadata.product_event_type`	Der Wert von `BitdefenderGZModule` aus dem Rohprotokoll wird `metadata.product_event_type` zugewiesen.
`BitdefenderGZSeverityScore`	`security_result.severity_details`	Der Wert von `BitdefenderGZSeverityScore` aus dem Rohprotokoll wird `security_result.severity_details` zugewiesen.
`BitdefenderGZHwId`	`target.resource.id`	Der Wert von `BitdefenderGZHwId` aus dem Rohprotokoll wird `target.resource.id` zugewiesen.
`act`	`security_result.action_details`	Der Wert von `act` aus dem Rohprotokoll wird `security_result.action_details` zugewiesen.
`actionTaken`	`security_result.action_details`	Der Wert von `actionTaken` aus dem Rohprotokoll wird `security_result.action_details` zugewiesen. Anhand dieses Werts wird das Feld `security_result.action` festgelegt (z.B. „block“ wird zu „BLOCK“ zugeordnet). Das Feld `security_result.description` enthält außerdem „actionTaken:“, gefolgt vom Wert von `actionTaken`.
`additional.fields`	`additional.fields`	Die Parserlogik erstellt ein Schlüssel/Wert-Paar für „product_installed“ und fügt es dem `additional.fields`-Objekt hinzu.
`categories`	`principal.asset.category`	Der Wert von `categories` aus dem Rohprotokoll wird `principal.asset.category` zugewiesen.
`cmd_line`	`target.process.command_line`	Der Wert von `cmd_line` aus dem Rohprotokoll wird `target.process.command_line` zugewiesen.
`companyId`	`target.user.company_name`	Der Wert von `companyId` aus dem Rohprotokoll wird `target.user.company_name` zugewiesen.
`computer_fqdn`	`principal.asset.network_domain`	Der Wert von `computer_fqdn` aus dem Rohprotokoll wird `principal.asset.network_domain` zugewiesen.
`computer_id`	`principal.asset.asset_id`	Der Wert von `computer_id` aus dem Rohprotokoll wird `principal.asset.asset_id` zugewiesen, nachdem „ComputerId:“ vorangestellt wurde.
`computer_ip`	`principal.asset.ip`	Der Wert von `computer_ip` aus dem Rohprotokoll wird analysiert, durch Kommas getrennt und jede resultierende IP-Adresse wird dem `principal.asset.ip`-Array hinzugefügt.
`computer_name`	`principal.resource.attribute.labels.value`	Der Wert von `computer_name` aus dem Rohprotokoll wird einem `principal.resource.attribute.labels`-Objekt mit dem Schlüssel „computer_name“ zugewiesen. Außerdem wird er einem `security_result.detection_fields`-Objekt als Wert hinzugefügt, wobei „computer_name“ der Schlüssel ist.
`column1`	`metadata.product_log_id`	Der Wert von `column1` aus dem Rohprotokoll wird `metadata.product_log_id` zugewiesen.
`column3`	`observer.ip`	Der Wert von `column3` aus dem Rohprotokoll wird `observer.ip` zugewiesen.
`command_line`	`target.process.command_line`	Der Wert von `command_line` aus dem Rohprotokoll wird `target.process.command_line` zugewiesen.
`data`	`target.registry.registry_value_data`	Der Wert von `data` aus dem Rohprotokoll wird `target.registry.registry_value_data` zugewiesen.
`detection_attackTechnique`	`security_result.detection_fields.value`	Der Wert von `detection_attackTechnique` aus dem Rohprotokoll wird einem `security_result.detection_fields`-Objekt zugewiesen, dessen Schlüssel „detection attackTechnique“ ist.
`detection_name`	`security_result.threat_name`	Der Wert von `detection_name` aus dem Rohprotokoll wird `security_result.threat_name` zugewiesen.
`destination_ip`	`target.ip`	Der Wert von `destination_ip` aus dem Rohprotokoll wird `target.ip` zugewiesen.
`destination_port`	`target.port`	Der Wert von `destination_port` aus dem Rohprotokoll wird `target.port` zugewiesen.
`direction`	`network.direction`	Der Wert von `direction` aus dem Rohprotokoll wird in Großbuchstaben geschrieben und `network.direction` zugewiesen.
`dvc`	`principal.ip`	Der Wert von `dvc` aus dem Rohprotokoll wird analysiert, durch Kommas getrennt und jede resultierende IP-Adresse wird dem `principal.ip`-Array hinzugefügt.
`dvchost`	`about.hostname`	Der Wert von `dvchost` aus dem Rohprotokoll wird `about.hostname` zugewiesen.
`event_description`	`metadata.description`	Der Wert von `event_description` aus dem Rohprotokoll wird `metadata.description` zugewiesen.
`event_name`	`metadata.product_event_type`	Der Wert von `event_name` aus dem Rohprotokoll wird `metadata.product_event_type` zugewiesen. Wenn der Wert „Antiphishing“ ist, wird `security_result.category` auf „PHISHING“ gesetzt. Wenn der Wert „AntiMalware“ ist, wird `security_result.category` auf „SOFTWARE_MALICIOUS“ festgelegt. Das Feld `metadata.event_type` wird mithilfe einer Reihe von bedingten Anweisungen im Parser aus `event_name` abgeleitet.
`ev`	`metadata.product_event_type`	Der Wert von `ev` aus dem Rohprotokoll wird `metadata.product_event_type` zugewiesen.
`extra_info.command_line`	`target.process.command_line`	Der Wert von `extra_info.command_line` aus dem Rohprotokoll wird `target.process.command_line` zugewiesen.
`extra_info.parent_pid`	`principal.process.pid`	Der Wert von `extra_info.parent_pid` aus dem Rohprotokoll wird `principal.process.pid` zugewiesen.
`extra_info.parent_process_cmdline`	`principal.process.command_line`	Der Wert von `extra_info.parent_process_cmdline` aus dem Rohprotokoll wird `principal.process.command_line` zugewiesen.
`extra_info.parent_process_path`	`principal.process.file.full_path`	Der Wert von `extra_info.parent_process_path` aus dem Rohprotokoll wird `principal.process.file.full_path` zugewiesen.
`extra_info.pid`	`target.process.pid`	Der Wert von `extra_info.pid` aus dem Rohprotokoll wird `target.process.pid` zugewiesen.
`extra_info.process_path`	`target.process.file.full_path`	Der Wert von `extra_info.process_path` aus dem Rohprotokoll wird `target.process.file.full_path` zugewiesen.
`extra_info.user`	`target.user.userid`	Der Wert von `extra_info.user` aus dem Rohprotokoll wird `target.user.userid` zugewiesen.
`filePath`	`principal.process.file.full_path`	Der Wert von `filePath` aus dem Rohprotokoll wird `principal.process.file.full_path` zugewiesen.
`file_path`	`principal.process.file.full_path`	Der Wert von `file_path` aus dem Rohprotokoll wird `principal.process.file.full_path` zugewiesen.
`final_status`	`security_result.action_details`	Der Wert von `final_status` aus dem Rohprotokoll wird `security_result.action_details` zugewiesen. Anhand dieses Werts wird das Feld `security_result.action` festgelegt (z.B. „deleted“ wird zu „BLOCK“, „ignored“ zu „ALLOW“ zugeordnet. Das Feld `security_result.description` enthält außerdem „final_status: " gefolgt vom Wert `final_status`. Wenn der Wert „gelöscht“ oder „blockiert“ ist, wird `metadata.event_type` auf „SCAN_NETWORK“ gesetzt.
`hash`	`principal.process.file.sha256`	Der Wert von `hash` aus dem Rohprotokoll wird `principal.process.file.sha256` zugewiesen.
`host`	`principal.hostname`	Der Wert von `host` aus dem Rohprotokoll wird `principal.hostname` zugewiesen.
`hostname`	`principal.hostname`	Der Wert von `hostname` aus dem Rohprotokoll wird `principal.hostname` zugewiesen, wenn `event_name` nicht „log_on“ oder „log_out“ ist. Andernfalls wird er `target.hostname` zugewiesen.
`host_name`	`principal.hostname`	Der Wert von `host_name` aus dem Rohprotokoll wird `principal.hostname` zugewiesen.
`hwid`	`principal.resource.id`	Der Wert von `hwid` aus dem Rohprotokoll wird `principal.resource.id` zugewiesen, sofern er nicht leer ist. Ist das Feld leer und das Ereignis ist nicht „log_on“ oder „log_out“, wird `source_hwid` `principal.resource.id` zugewiesen. Wenn das Ereignis „log_on“ oder „log_out“ ist, wird es `target.resource.id` zugewiesen.
`incident_id`	`metadata.product_log_id`	Der Wert von `incident_id` aus dem Rohprotokoll wird `metadata.product_log_id` zugewiesen.
`ip_dest`	`target.ip`	Der Wert von `ip_dest` aus dem Rohprotokoll wird `target.ip` zugewiesen.
`ip_source`	`principal.ip`	Der Wert von `ip_source` aus dem Rohprotokoll wird `principal.ip` zugewiesen.
`key_path`	`target.registry.registry_key`	Der Wert von `key_path` aus dem Rohprotokoll wird `target.registry.registry_key` zugewiesen.
`local_port`	`principal.port`	Der Wert von `local_port` aus dem Rohprotokoll wird in eine Ganzzahl konvertiert und `principal.port` zugewiesen.
`logon_type`	`extensions.auth.mechanism`	Der Wert von `logon_type` aus dem Rohprotokoll wird verwendet, um den Wert von `extensions.auth.mechanism` zu bestimmen. Unterschiedliche numerische Werte von `logon_type` entsprechen verschiedenen Authentifizierungsmechanismen (z.B. 2 Karten zu „LOCAL“, 3 zu „NETWORK“). Wenn keine übereinstimmende `logon_type` gefunden wird, wird der Mechanismus auf „MECHANISM_UNSPECIFIED“ festgelegt.
`lurker_id`	`intermediary.resource.id`	Der Wert von `lurker_id` aus dem Rohprotokoll wird `intermediary.resource.id` zugewiesen.
`main_action`	`security_result.action_details`	Der Wert von `main_action` aus dem Rohprotokoll wird `security_result.action_details` zugewiesen. Anhand dieses Werts wird das Feld `security_result.action` festgelegt (z.B. „blockiert“ wird „BLOCKIEREN“ zugeordnet, „keine Aktion“ wird „ZULASSEN“ zugeordnet. Das Feld `security_result.description` enthält außerdem „main_action:“, gefolgt vom Wert von `main_action`.
`malware_name`	`security_result.threat_name`	Der Wert von `malware_name` aus dem Rohprotokoll wird `security_result.threat_name` zugewiesen.
`malware_type`	`security_result.detection_fields.value`	Der Wert von `malware_type` aus dem Rohprotokoll wird einem `security_result.detection_fields`-Objekt mit dem Schlüssel „malware_type“ zugewiesen.
`metadata.description`	`metadata.description`	Der Parser setzt das Feld `metadata.description` anhand des Felds `event_name`.
`metadata.event_type`	`metadata.event_type`	Der Parser setzt das Feld `metadata.event_type` anhand des Felds `event_name`.
`metadata.product_event_type`	`metadata.product_event_type`	Der Parser legt das Feld `metadata.product_event_type` anhand der Felder `event_name` oder `module` fest.
`metadata.product_log_id`	`metadata.product_log_id`	Der Parser legt das Feld `metadata.product_log_id` anhand der Felder `msg_id` oder `incident_id` fest.
`metadata.product_name`	`metadata.product_name`	Der Parser setzt `metadata.product_name` auf „BitDefender EDR“.
`metadata.product_version`	`metadata.product_version`	Der Parser benennt das Feld `product_version` in `metadata.product_version` um.
`metadata.vendor_name`	`metadata.vendor_name`	Der Parser setzt `metadata.vendor_name` auf „BitDefender“.
`module`	`metadata.product_event_type`	Der Wert von `module` aus dem Rohprotokoll wird `metadata.product_event_type` zugewiesen. Wenn der Wert „new-incident“ ist und `target_process_file_full_path` nicht leer ist, wird `metadata.event_type` auf „PROCESS_UNCATEGORIZED“ gesetzt. Wenn der Wert „task-status“ ist, wird `metadata.event_type` auf „STATUS_UPDATE“ gesetzt. Wenn der Wert „network-monitor“ oder „fw“ ist, wird `metadata.event_type` auf „SCAN_NETWORK“ gesetzt.
`msg_id`	`metadata.product_log_id`	Der Wert von `msg_id` aus dem Rohprotokoll wird `metadata.product_log_id` zugewiesen.
`network.application_protocol`	`network.application_protocol`	Der Wert von `uc_type` aus dem Rohprotokoll wird in Großbuchstaben geschrieben und `network.application_protocol` zugewiesen.
`network.direction`	`network.direction`	Der Parser setzt das Feld `network.direction` anhand des Felds `direction`.
`network.ip_protocol`	`network.ip_protocol`	Wenn `protocol_id` „6“ ist, setzt der Parser `network.ip_protocol` auf „TCP“.
`new_path`	`target.file.full_path`	Der Wert von `new_path` aus dem Rohprotokoll wird `target.file.full_path` zugewiesen.
`old_path`	`src.file.full_path`	Der Wert von `old_path` aus dem Rohprotokoll wird `src.file.full_path` zugewiesen.
`origin_ip`	`intermediary.ip`	Der Wert von `origin_ip` aus dem Rohprotokoll wird `intermediary.ip` zugewiesen.
`os`	`principal.platform_version`	Der Wert von `os` aus dem Rohprotokoll wird `principal.platform_version` zugewiesen. Das Feld `principal.platform` wird aus `os` abgeleitet (z.B. „Win“ wird in „WINDOWS“ umgewandelt. Wenn das Ereignis „log_on“ oder „log_out“ ist, werden die Felder `principal.platform` und `principal.platform_version` in `target.platform` und `target.platform_version` umbenannt.
`os_type`	`principal.platform`	Der Wert von `os_type` aus dem Rohprotokoll wird verwendet, um den Wert von `principal.platform` zu bestimmen (z.B. „Win“ wird in „WINDOWS“ umgewandelt.
`parent_pid`	`principal.process.pid`	Der Wert von `parent_pid` aus dem Rohprotokoll wird `principal.process.pid` zugewiesen.
`parent_process_path`	`principal.process.file.full_path`	Der Wert von `parent_process_path` aus dem Rohprotokoll wird `principal.process.file.full_path` zugewiesen.
`parent_process_pid`	`principal.process.pid`	Der Wert von `parent_process_pid` aus dem Rohprotokoll wird `principal.process.pid` zugewiesen.
`path`	`target.file.full_path`	Der Wert von `path` aus dem Rohprotokoll wird `target.file.full_path` zugewiesen.
`pid`	`principal.process.pid` oder `target.process.pid`	Der Wert von `pid` aus dem Rohprotokoll wird `principal.process.pid` zugewiesen, wenn `event_name` mit „file“ oder „reg“ beginnt oder einer der Werte „process_signal“, „network_connection“ oder „connection_connect“ ist. Andernfalls wird er `target.process.pid` zugewiesen.
`pid_path`	`principal.process.file.full_path`	Der Wert von `pid_path` aus dem Rohprotokoll wird `principal.process.file.full_path` zugewiesen.
`port_dest`	`target.port`	Der Wert von `port_dest` aus dem Rohprotokoll wird in eine Ganzzahl konvertiert und `target.port` zugewiesen.
`port_source`	`principal.port`	Der Wert von `port_source` aus dem Rohprotokoll wird in eine Ganzzahl konvertiert und `principal.port` zugewiesen.
`ppid`	`principal.process.pid`	Der Wert von `ppid` aus dem Rohprotokoll wird `principal.process.pid` zugewiesen.
`principal.ip`	`principal.ip`	Der Parser legt das Feld `principal.ip` anhand der Felder `ip_source` oder `dvc` fest.
`principal.platform`	`principal.platform`	Der Parser legt das Feld `principal.platform` anhand der Felder `os` oder `os_type` fest.
`principal.platform_version`	`principal.platform_version`	Der Parser legt das Feld `principal.platform_version` anhand der Felder `os` oder `osi_version` fest.
`principal.process.command_line`	`principal.process.command_line`	Der Parser setzt das Feld `principal.process.command_line` anhand des Felds `parent_process_cmdline`.
`principal.process.file.full_path`	`principal.process.file.full_path`	Der Parser legt das Feld `principal.process.file.full_path` basierend auf den Feldern `pid_path`, `file_path`, `parent_process_path` oder `process_path` fest.
`principal.process.file.md5`	`principal.process.file.md5`	Der Parser benennt das Feld `file_hash_md5` in `principal.process.file.md5` um.
`principal.process.file.sha256`	`principal.process.file.sha256`	Der Parser setzt das Feld `principal.process.file.sha256` basierend auf den Feldern `hash`, `BitdefenderGZMalwareHash` oder `file_hash_sha256`.
`principal.process.parent_process.pid`	`principal.process.parent_process.pid`	Der Parser benennt das Feld `ppid` in `principal.process.parent_process.pid` um.
`principal.process.pid`	`principal.process.pid`	Der Parser legt das Feld `principal.process.pid` basierend auf den Feldern `pid`, `parent_pid`, `ppid` oder `parent_process_pid` fest.
`principal.resource.id`	`principal.resource.id`	Der Parser legt das Feld `principal.resource.id` anhand der Felder `hwid` oder `source_hwid` fest.
`principal.url`	`principal.url`	Der Parser setzt das Feld `principal.url` anhand des Felds `url`.
`process_command_line`	`target.process.command_line`	Der Wert von `process_command_line` aus dem Rohprotokoll wird `target.process.command_line` zugewiesen.
`process_path`	`principal.process.file.full_path` oder `target.process.file.full_path`	Der Wert von `process_path` aus dem Rohprotokoll wird `principal.process.file.full_path` zugewiesen, wenn `event_name` „network_connection“ oder „connection_connect“ ist. Andernfalls wird er `target.process.file.full_path` zugewiesen.
`product_installed`	`additional.fields.value.string_value`	Der Wert von `product_installed` aus dem Rohprotokoll wird einem `additional.fields`-Objekt mit dem Schlüssel „product_installed“ zugewiesen.
`product_version`	`metadata.product_version`	Der Wert von `product_version` aus dem Rohprotokoll wird `metadata.product_version` zugewiesen.
`protocol_id`	`network.ip_protocol`	Wenn `protocol_id` „6“ ist, setzt der Parser `network.ip_protocol` auf „TCP“.
`request`	`target.url`	Der Wert von `request` aus dem Rohprotokoll wird `target.url` zugewiesen.
`security_result.action`	`security_result.action`	Der Parser legt das Feld `security_result.action` basierend auf den Feldern `main_action`, `actionTaken`, `status` oder `final_status` fest. Wenn in keinem dieser Felder eine gültige Aktion angegeben ist, wird standardmäßig „UNKNOWN_ACTION“ verwendet.
`security_result.action_details`	`security_result.action_details`	Der Parser legt das Feld `security_result.action_details` basierend auf den Feldern `main_action`, `actionTaken`, `status` oder `final_status` fest.
`security_result.category`	`security_result.category`	Der Parser setzt das Feld `security_result.category` auf „PHISHING“, wenn `event_name` „Antiphishing“ ist, auf „SOFTWARE_MALICIOUS“, wenn `event_name` „Anti-Malware“ ist, oder fügt den Wert aus dem Feld `sec_category` zusammen.
`security_result.category_details`	`security_result.category_details`	Der Parser legt das Feld `security_result.category_details` anhand der Felder `block_type` oder `attack_types` fest.
`security_result.detection_fields`	`security_result.detection_fields`	Der Parser erstellt `security_result.detection_fields`-Objekte für verschiedene Felder, darunter „malware_type“, „attack_entry“, „BitdefenderGZAttCkId“, „BitdefenderGZEndpointId“, „final_status“, „detection attackTechnique“ und „computer_name“.
`security_result.description`	`security_result.description`	Der Parser setzt das Feld `security_result.description` basierend auf den Feldern `main_action`, `actionTaken` oder `final_status`.
`security_result.severity`	`security_result.severity`	Der Parser legt das Feld `security_result.severity` basierend auf dem Wert des Felds `severity` fest, wenn es nicht leer ist und `module` „new-incident“ ist.
`security_result.severity_details`	`security_result.severity_details`	Der Parser setzt das Feld `security_result.severity_details` anhand des Felds `severity_score`.
`security_result.threat_name`	`security_result.threat_name`	Der Parser legt das Feld `security_result.threat_name` anhand der Felder `malware_name` oder `detection_name` fest.
`severity`	`security_result.severity`	Der Wert von `severity` aus dem Rohprotokoll wird in Großbuchstaben geschrieben und `security_result.severity` zugewiesen, wenn er nicht leer ist und `module` „new-incident“ ist.
`severity_score`	`security_result.severity_details`	Der Wert von `severity_score` aus dem Rohprotokoll wird in einen String konvertiert und `security_result.severity_details` zugewiesen.
`source_host`	`observer.ip`	Der Wert von `source_host` aus dem Rohprotokoll wird `observer.ip` zugewiesen.
`source_hwid`	`principal.resource.id`	Der Wert von `source_hwid` aus dem Rohprotokoll wird `principal.resource.id` zugewiesen.
`source_ip`	`src.ip`	Der Wert von `source_ip` aus dem Rohprotokoll wird `src.ip` zugewiesen.
`source_port`	`principal.port`	Der Wert von `source_port` aus dem Rohprotokoll wird in eine Ganzzahl konvertiert und `principal.port` zugewiesen.
`spt`	`principal.port`	Der Wert von `spt` aus dem Rohprotokoll wird `principal.port` zugewiesen.
`sproc`	`principal.process.command_line`	Der Wert von `sproc` aus dem Rohprotokoll wird `principal.process.command_line` zugewiesen.
`src`	`principal.ip`	Der Wert von `src` aus dem Rohprotokoll wird `principal.ip` zugewiesen.
`src.ip`	`src.ip`	Der Parser setzt das Feld `src.ip` anhand des Felds `source_ip`.
`src.file.full_path`	`src.file.full_path`	Der Parser setzt das Feld `src.file.full_path` anhand des Felds `old_path`.
`status`	`security_result.action_details`	Der Wert von `status` aus dem Rohprotokoll wird `security_result.action_details` zugewiesen. Anhand dieses Werts wird das Feld `security_result.action` festgelegt (z.B. „portscan_blocked“ und „uc_site_blocked“ werden mit „BLOCK“ abgeglichen. Das Feld `security_result.description` enthält außerdem „status:“, gefolgt vom Wert `status`.
`suid`	`principal.user.userid`	Der Wert von `suid` aus dem Rohprotokoll wird `principal.user.userid` zugewiesen.
`suser`	`principal.user.user_display_name`	Der Wert von `suser` aus dem Rohprotokoll wird `principal.user.user_display_name` zugewiesen.
`target.file.full_path`	`target.file.full_path`	Der Parser legt das Feld `target.file.full_path` anhand der Felder `path` oder `new_path` fest.
`target.hostname`	`target.hostname`	Der Parser setzt das Feld `target.hostname` anhand des Felds `hostname`.
`target.ip`	`target.ip`	Der Parser legt das Feld `target.ip` anhand der Felder `ip_dest` oder `destination_ip` fest.
`target.platform`	`target.platform`	Der Parser setzt das Feld `target.platform` anhand des Felds `principal.platform`.
`target.platform_version`	`target.platform_version`	Der Parser setzt das Feld `target.platform_version` anhand des Felds `principal.platform_version`.
`target.port`	`target.port`	Der Parser legt das Feld `target.port` anhand der Felder `port_dest` oder `destination_port` fest.
`target.process.command_line`	`target.process.command_line`	Der Parser setzt das Feld `target.process.command_line` basierend auf den Feldern `command_line`, `process_command_line` oder `cmd_line`.
`target.process.file.full_path`	`target.process.file.full_path`	Der Parser setzt das Feld `target.process.file.full_path` anhand des Felds `process_path`.
`target.process.pid`	`target.process.pid`	Der Parser setzt das Feld `target.process.pid` anhand des Felds `pid`.
`target.registry.registry_key`	`target.registry.registry_key`	Der Parser setzt das Feld `target.registry.registry_key` anhand des Felds `key_path`.
`target.registry.registry_value_data`	`target.registry.registry_value_data`	Der Parser setzt das Feld `target.registry.registry_value_data` anhand des Felds `data`.
`target.registry.registry_value_name`	`target.registry.registry_value_name`	Der Parser setzt das Feld `target.registry.registry_value_name` anhand des Felds `value`.
`target.resource.id`	`target.resource.id`	Der Parser legt das Feld `target.resource.id` anhand der Felder `hwid` oder `BitdefenderGZHwId` fest.
`target.url`	`target.url`	Der Parser setzt das Feld `target.url` anhand des Felds `request`.
`target.user.company_name`	`target.user.company_name`	Der Parser setzt das Feld `target.user.company_name` anhand des Felds `companyId`.
`target.user.user_display_name`	`target.user.user_display_name`	Der Parser legt das Feld `target.user.user_display_name` anhand der Felder `user.name` oder `user.userName` fest.
`target.user.userid`	`target.user.userid`	Der Parser legt das Feld `target.user.userid` basierend auf den Feldern `user_name`, `user`, `user.id` oder `extra_info.user` fest.
`target_pid`	`target.process.pid`	Der Wert von `target_pid` aus dem Rohprotokoll wird `target.process.pid` zugewiesen.
`timestamp`	`metadata.event_timestamp`	Der Wert von `timestamp` aus dem Rohprotokoll wird analysiert und `metadata.event_timestamp` zugewiesen.
`uc_type`	`network.application_protocol`	Der Wert von `uc_type` aus dem Rohprotokoll wird in Großbuchstaben geschrieben und `network.application_protocol` zugewiesen. Wenn `target_user_userid` nicht leer ist, wird `metadata.event_type` auf „USER_UNCATEGORIZED“ festgelegt. Andernfalls wird „STATUS_UPDATE“ festgelegt.
`url`	`principal.url`	Der Wert von `url` aus dem Rohprotokoll wird `principal.url` zugewiesen, wenn er nicht leer oder „0.0.0.0“ ist.
`user`	`target.user.userid`	Der Wert von `user` aus dem Rohprotokoll wird `target.user.userid` zugewiesen.
`user.id`	`target.user.userid`	Der Wert von `user.id` aus dem Rohprotokoll wird `target.user.userid` zugewiesen.
`user.name`	`target.user.user_display_name`	Der Wert von `user.name` aus dem Rohprotokoll wird `target.user.user_display_name` zugewiesen.
`user.userName`	`target.user.user_display_name`	Der Wert von `user.userName` aus dem Rohprotokoll wird `target.user.user_display_name` zugewiesen.
`user.userSid`	`principal.user.windows_sid`	Der Wert von `user.userSid` aus dem Rohprotokoll wird `principal.user.windows_sid` zugewiesen.
`user_name`	`target.user.userid`	Der Wert von `user_name` aus dem Rohprotokoll wird `target.user.userid` zugewiesen.
`value`	`target.registry.registry_value_data` oder `target.registry.registry_value_name`	Der Wert von `value` aus dem Rohprotokoll wird `target.registry.registry_value_data` zugewiesen, wenn `event_name` „reg_delete_value“ ist. Andernfalls wird er `target.registry.registry_value_name` zugewiesen.

Änderungen

2023-05-02

Geparste Protokolle, die im CEF-Format aufgenommen wurden.

2022-09-28

„security_result.action“ wurde in „BLOCK“ geändert, wenn „status“ „portscan_blocked“ oder „uc_site_blocked“ ist.
„security_result.action“ wurde in „BLOCK“ geändert, wenn „main_action“ „blocked“ ist.
„security_result.action“ wurde auf „BLOCK“ umgestellt, wenn „actionTaken“ „block“ ist.
„security_result.action“ wurde in „BLOCK“ geändert, wenn „final_status“ den Wert „blocked“ oder „deleted“ hat.
„security_result.action“ wurde in „ALLOW“ geändert, wenn „final_status“ den Wert „ignored“ oder „still present“ hat.
„security_result.action“ wurde in „ALLOW“ (ZULASSEN) umgewandelt, wenn „main_action“ den Wert „no action“ (keine Aktion) hat.
„security_result.action“ wurde in „QUARANTINE“ umgewandelt, wenn „final_status“ den Wert „unter Quarantäne“ hat.
„security_result.action“ wurde in „ALLOW_WITH_MODIFICATION“ geändert, wenn „final_status“ „desinfiziert“ oder „wiederhergestellt“ ist.

2022-08-17

Verbesserung: Die Zuordnung für „source_ip“ wurde von „principal.ip“ zu „srcc.ip“ geändert.
Legen Sie „event_type“ auf „SCAN_NETWORK“ fest, wenn „module“ mit „network-monitor“ oder „fw“ übereinstimmt.
„user.userSid“ wurde auf „principal.user.windows_sid“ zugeordnet.
„user.userName“ wurde mit „target.user.user_display_name“ verknüpft.
„protocol_id“ wurde in „network.ip_protocol“ umgewandelt.
Legen Sie „security_result.action“ auf „BLOCK“ fest, wenn „status“ mit „portscan_blocked“ oder „uc_site_blocked“ übereinstimmt.
„local_port“ wurde auf „principal.port“ zugeordnet.
„actionTaken“ wurde in „security_result.action“ geändert.
„detection_attackTechnique“ wurde in „security_result.detection_fields“ geändert.

2022-08-13

Fehlerkorrektur: Die Zuordnung für das Feld „computer_name“ wurde von „principal.asset.hostname“ zu „event.idm.read_only_udm.principal.resource.attribute.labels“ geändert.

2022-08-11

Fehlerkorrektur: Bedingte Prüfungen für das Feld „main_action“, das „security_result.action“ zugeordnet ist, wurden geändert.
„STATUS_UPDATE“ wurde für Protokolle mit dem Modul „task-status“ auf „metadata.event_type“ zugeordnet.

2022-04-14

Verbesserung: Zuordnungen für computer_name, computer_id, uc_type, block_type,status,product_installed hinzugefügt.

2022-03-30

Fehlerkorrektur: Der Zeitstempelfehler wurde korrigiert und die Felder „user.id“, „user.name“, „companyId“, „computer_name“, „computer_fqdn“, „computer_ip“, „computer_id“, „url“ und „categories“ wurden zugeordnet.