Bitdefender-Protokolle erfassen

Unterstützt in:

Dieser Parser extrahiert Bitdefender-Protokolle im CEF- oder CSV-Format, normalisiert Felder an das UDM und führt bestimmte Aktionen basierend auf den Feldern event_name und module aus. Es verarbeitet verschiedene Ereignistypen wie Dateivorgänge, Netzwerkverbindungen, Prozesserstellung und Registrierungsänderungen, ordnet relevante Informationen den entsprechenden UDM-Feldern zu und ergänzt die Daten um zusätzlichen Kontext aus den Rohprotokollen.

Hinweis

  • Sie benötigen eine Google Security Operations-Instanz.
  • Sie benötigen Windows 2016 oder höher oder einen Linux-Host mit systemd.
  • Wenn die Ausführung hinter einem Proxy erfolgt, müssen die Firewallports geöffnet sein.
  • Sie benötigen erhöhte Zugriffsrechte für Bitdefender.

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

  1. Melden Sie sich in der Google SecOps Console an.
  2. Gehen Sie zu SIEM-Einstellungen > Erfassungsagenten.
  3. Lade die Datei zur Authentifizierung der Datenaufnahme herunter.

Google SecOps-Kundennummer abrufen

  1. Melden Sie sich in der Google SecOps Console an.
  2. Gehen Sie zu SIEM-Einstellungen > Profile.
  3. Kopieren und speichern Sie die Kundennummer aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

  1. Führen Sie für die Windows-Installation das folgende Script aus:
    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
  2. Führen Sie für die Linux-Installation das folgende Script aus:
    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
  3. Weitere Installationsoptionen finden Sie in diesem Installationsleitfaden.

BindPlane-Agent so konfigurieren, dass er Syslog-Protokolle aufnimmt und an Google SecOps sendet

  1. Rufen Sie den Computer auf, auf dem BindPlane installiert ist.
  2. Bearbeiten Sie die Datei config.yamlso:

    receivers:
        tcplog:
            # Replace the below port <54525> and IP <0.0.0.0> with your specific values
            listen_address: "0.0.0.0:54525" 
    
    exporters:
        chronicle/chronicle_w_labels:
            compression: gzip
            # Adjust the creds location below according the placement of the credentials file you downloaded
            creds: '{ json file for creds }'
            # Replace <customer_id> below with your actual ID that you copied
            customer_id: <customer_id>
            endpoint: malachiteingestion-pa.googleapis.com
            # You can apply ingestion labels below as preferred
            ingestion_labels:
            log_type: SYSLOG
            namespace: bitdefender
            raw_log_field: body
    service:
        pipelines:
            logs/source0__chronicle_w_labels-0:
                receivers:
                    - tcplog
                exporters:
                    - chronicle/chronicle_w_labels
    
  3. Starten Sie den BindPlane-Agent neu, um die Änderungen anzuwenden:

    sudo systemctl restart bindplane
    

Syslog-Streaming in Bitdefender GravityZone konfigurieren

  1. Melden Sie sich im GravityZone Control Center an.
  2. Gehen Sie zu Konfiguration > Integrationen > Syslog.
  3. Klicken Sie auf Syslog-Server hinzufügen.
  4. Geben Sie die erforderlichen Details an:
    • Name: Geben Sie einen eindeutigen Namen für den syslog-Server an, z. B. CentralSyslog.
    • IP-Adresse/Hostname: Geben Sie die IP-Adresse oder den Hostnamen des Bindplane-Servers ein.
    • Protocol (Protokoll): Wählen Sie das zu verwendende Protokoll aus: TCP / UDP.
    • Port: Geben Sie die Portnummer des Bindplane-Servers an.
    • Wählen Sie die Protokolltypen aus, die gestreamt werden sollen, z. B. Anti-Malware-Ereignisse, NAD-Ereignisse (Network Attack Defense), Webkontroll-Ereignisse, Firewall-Ereignisse oder Richtlinienänderungen.
    • Optional: Konfigurieren Sie Filter, um bestimmte Ereignistypen ein- oder auszuschließen.
  5. Klicken Sie auf Speichern.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
BitdefenderGZAttackEntry security_result.detection_fields.value Der Wert von BitdefenderGZAttackEntry aus dem Rohprotokoll wird einem security_result.detection_fields-Objekt mit dem Schlüssel „attack_entry“ zugewiesen.
BitdefenderGZAttackTypes security_result.category_details Der Wert von BitdefenderGZAttackTypes aus dem Rohprotokoll wird security_result.category_details zugewiesen. Der Wert wird dann in einzelne Strings aufgeteilt und jeder String wird dem security_result.category_details-Array als Wert hinzugefügt.
BitdefenderGZAttCkId security_result.detection_fields.value Der Wert von BitdefenderGZAttCkId aus dem Rohprotokoll wird einem security_result.detection_fields-Objekt mit dem Schlüssel „BitdefenderGZAttCkId“ zugewiesen.
BitdefenderGZCompanyId target.user.company_name Der Wert von BitdefenderGZCompanyId aus dem Rohprotokoll wird target.user.company_name zugewiesen.
BitdefenderGZComputerFQDN principal.asset.network_domain Der Wert von BitdefenderGZComputerFQDN aus dem Rohprotokoll wird principal.asset.network_domain zugewiesen.
BitdefenderGZDetectionName security_result.threat_name Der Wert von BitdefenderGZDetectionName aus dem Rohprotokoll wird security_result.threat_name zugewiesen.
BitdefenderGZEndpointId security_result.detection_fields.value Der Wert von BitdefenderGZEndpointId aus dem Rohprotokoll wird einem security_result.detection_fields-Objekt mit dem Schlüssel „BitdefenderGZEndpointId“ zugewiesen.
BitdefenderGZIncidentId metadata.product_log_id Der Wert von BitdefenderGZIncidentId aus dem Rohprotokoll wird metadata.product_log_id zugewiesen.
BitdefenderGZMainAction security_result.action_details Der Wert von BitdefenderGZMainAction aus dem Rohprotokoll wird security_result.action_details zugewiesen. Anhand dieses Werts wird das Feld security_result.action festgelegt (z.B. „blocked“ wird in „BLOCK“ umgewandelt. Das Feld security_result.description enthält außerdem „main_action:“, gefolgt vom Wert von BitdefenderGZMainAction.
BitdefenderGZMalwareHash principal.process.file.sha256 Der Wert von BitdefenderGZMalwareHash aus dem Rohprotokoll wird principal.process.file.sha256 zugewiesen.
BitdefenderGZMalwareName security_result.threat_name Der Wert von BitdefenderGZMalwareName aus dem Rohprotokoll wird security_result.threat_name zugewiesen.
BitdefenderGZMalwareType security_result.detection_fields.value Der Wert von BitdefenderGZMalwareType aus dem Rohprotokoll wird einem security_result.detection_fields-Objekt mit dem Schlüssel „malware_type“ zugewiesen.
BitdefenderGZModule metadata.product_event_type Der Wert von BitdefenderGZModule aus dem Rohprotokoll wird metadata.product_event_type zugewiesen.
BitdefenderGZSeverityScore security_result.severity_details Der Wert von BitdefenderGZSeverityScore aus dem Rohprotokoll wird security_result.severity_details zugewiesen.
BitdefenderGZHwId target.resource.id Der Wert von BitdefenderGZHwId aus dem Rohprotokoll wird target.resource.id zugewiesen.
act security_result.action_details Der Wert von act aus dem Rohprotokoll wird security_result.action_details zugewiesen.
actionTaken security_result.action_details Der Wert von actionTaken aus dem Rohprotokoll wird security_result.action_details zugewiesen. Anhand dieses Werts wird das Feld security_result.action festgelegt (z.B. „block“ wird zu „BLOCK“ zugeordnet). Das Feld security_result.description enthält außerdem „actionTaken:“, gefolgt vom Wert von actionTaken.
additional.fields additional.fields Die Parserlogik erstellt ein Schlüssel/Wert-Paar für „product_installed“ und fügt es dem additional.fields-Objekt hinzu.
categories principal.asset.category Der Wert von categories aus dem Rohprotokoll wird principal.asset.category zugewiesen.
cmd_line target.process.command_line Der Wert von cmd_line aus dem Rohprotokoll wird target.process.command_line zugewiesen.
companyId target.user.company_name Der Wert von companyId aus dem Rohprotokoll wird target.user.company_name zugewiesen.
computer_fqdn principal.asset.network_domain Der Wert von computer_fqdn aus dem Rohprotokoll wird principal.asset.network_domain zugewiesen.
computer_id principal.asset.asset_id Der Wert von computer_id aus dem Rohprotokoll wird principal.asset.asset_id zugewiesen, nachdem „ComputerId:“ vorangestellt wurde.
computer_ip principal.asset.ip Der Wert von computer_ip aus dem Rohprotokoll wird analysiert, durch Kommas getrennt und jede resultierende IP-Adresse wird dem principal.asset.ip-Array hinzugefügt.
computer_name principal.resource.attribute.labels.value Der Wert von computer_name aus dem Rohprotokoll wird einem principal.resource.attribute.labels-Objekt mit dem Schlüssel „computer_name“ zugewiesen. Außerdem wird er einem security_result.detection_fields-Objekt als Wert hinzugefügt, wobei „computer_name“ der Schlüssel ist.
column1 metadata.product_log_id Der Wert von column1 aus dem Rohprotokoll wird metadata.product_log_id zugewiesen.
column3 observer.ip Der Wert von column3 aus dem Rohprotokoll wird observer.ip zugewiesen.
command_line target.process.command_line Der Wert von command_line aus dem Rohprotokoll wird target.process.command_line zugewiesen.
data target.registry.registry_value_data Der Wert von data aus dem Rohprotokoll wird target.registry.registry_value_data zugewiesen.
detection_attackTechnique security_result.detection_fields.value Der Wert von detection_attackTechnique aus dem Rohprotokoll wird einem security_result.detection_fields-Objekt zugewiesen, dessen Schlüssel „detection attackTechnique“ ist.
detection_name security_result.threat_name Der Wert von detection_name aus dem Rohprotokoll wird security_result.threat_name zugewiesen.
destination_ip target.ip Der Wert von destination_ip aus dem Rohprotokoll wird target.ip zugewiesen.
destination_port target.port Der Wert von destination_port aus dem Rohprotokoll wird target.port zugewiesen.
direction network.direction Der Wert von direction aus dem Rohprotokoll wird in Großbuchstaben geschrieben und network.direction zugewiesen.
dvc principal.ip Der Wert von dvc aus dem Rohprotokoll wird analysiert, durch Kommas getrennt und jede resultierende IP-Adresse wird dem principal.ip-Array hinzugefügt.
dvchost about.hostname Der Wert von dvchost aus dem Rohprotokoll wird about.hostname zugewiesen.
event_description metadata.description Der Wert von event_description aus dem Rohprotokoll wird metadata.description zugewiesen.
event_name metadata.product_event_type Der Wert von event_name aus dem Rohprotokoll wird metadata.product_event_type zugewiesen. Wenn der Wert „Antiphishing“ ist, wird security_result.category auf „PHISHING“ gesetzt. Wenn der Wert „AntiMalware“ ist, wird security_result.category auf „SOFTWARE_MALICIOUS“ festgelegt. Das Feld metadata.event_type wird mithilfe einer Reihe von bedingten Anweisungen im Parser aus event_name abgeleitet.
ev metadata.product_event_type Der Wert von ev aus dem Rohprotokoll wird metadata.product_event_type zugewiesen.
extra_info.command_line target.process.command_line Der Wert von extra_info.command_line aus dem Rohprotokoll wird target.process.command_line zugewiesen.
extra_info.parent_pid principal.process.pid Der Wert von extra_info.parent_pid aus dem Rohprotokoll wird principal.process.pid zugewiesen.
extra_info.parent_process_cmdline principal.process.command_line Der Wert von extra_info.parent_process_cmdline aus dem Rohprotokoll wird principal.process.command_line zugewiesen.
extra_info.parent_process_path principal.process.file.full_path Der Wert von extra_info.parent_process_path aus dem Rohprotokoll wird principal.process.file.full_path zugewiesen.
extra_info.pid target.process.pid Der Wert von extra_info.pid aus dem Rohprotokoll wird target.process.pid zugewiesen.
extra_info.process_path target.process.file.full_path Der Wert von extra_info.process_path aus dem Rohprotokoll wird target.process.file.full_path zugewiesen.
extra_info.user target.user.userid Der Wert von extra_info.user aus dem Rohprotokoll wird target.user.userid zugewiesen.
filePath principal.process.file.full_path Der Wert von filePath aus dem Rohprotokoll wird principal.process.file.full_path zugewiesen.
file_path principal.process.file.full_path Der Wert von file_path aus dem Rohprotokoll wird principal.process.file.full_path zugewiesen.
final_status security_result.action_details Der Wert von final_status aus dem Rohprotokoll wird security_result.action_details zugewiesen. Anhand dieses Werts wird das Feld security_result.action festgelegt (z.B. „deleted“ wird zu „BLOCK“, „ignored“ zu „ALLOW“ zugeordnet. Das Feld security_result.description enthält außerdem „final_status: " gefolgt vom Wert final_status. Wenn der Wert „gelöscht“ oder „blockiert“ ist, wird metadata.event_type auf „SCAN_NETWORK“ gesetzt.
hash principal.process.file.sha256 Der Wert von hash aus dem Rohprotokoll wird principal.process.file.sha256 zugewiesen.
host principal.hostname Der Wert von host aus dem Rohprotokoll wird principal.hostname zugewiesen.
hostname principal.hostname Der Wert von hostname aus dem Rohprotokoll wird principal.hostname zugewiesen, wenn event_name nicht „log_on“ oder „log_out“ ist. Andernfalls wird er target.hostname zugewiesen.
host_name principal.hostname Der Wert von host_name aus dem Rohprotokoll wird principal.hostname zugewiesen.
hwid principal.resource.id Der Wert von hwid aus dem Rohprotokoll wird principal.resource.id zugewiesen, sofern er nicht leer ist. Ist das Feld leer und das Ereignis ist nicht „log_on“ oder „log_out“, wird source_hwid principal.resource.id zugewiesen. Wenn das Ereignis „log_on“ oder „log_out“ ist, wird es target.resource.id zugewiesen.
incident_id metadata.product_log_id Der Wert von incident_id aus dem Rohprotokoll wird metadata.product_log_id zugewiesen.
ip_dest target.ip Der Wert von ip_dest aus dem Rohprotokoll wird target.ip zugewiesen.
ip_source principal.ip Der Wert von ip_source aus dem Rohprotokoll wird principal.ip zugewiesen.
key_path target.registry.registry_key Der Wert von key_path aus dem Rohprotokoll wird target.registry.registry_key zugewiesen.
local_port principal.port Der Wert von local_port aus dem Rohprotokoll wird in eine Ganzzahl konvertiert und principal.port zugewiesen.
logon_type extensions.auth.mechanism Der Wert von logon_type aus dem Rohprotokoll wird verwendet, um den Wert von extensions.auth.mechanism zu bestimmen. Unterschiedliche numerische Werte von logon_type entsprechen verschiedenen Authentifizierungsmechanismen (z.B. 2 Karten zu „LOCAL“, 3 zu „NETWORK“). Wenn keine übereinstimmende logon_type gefunden wird, wird der Mechanismus auf „MECHANISM_UNSPECIFIED“ festgelegt.
lurker_id intermediary.resource.id Der Wert von lurker_id aus dem Rohprotokoll wird intermediary.resource.id zugewiesen.
main_action security_result.action_details Der Wert von main_action aus dem Rohprotokoll wird security_result.action_details zugewiesen. Anhand dieses Werts wird das Feld security_result.action festgelegt (z.B. „blockiert“ wird „BLOCKIEREN“ zugeordnet, „keine Aktion“ wird „ZULASSEN“ zugeordnet. Das Feld security_result.description enthält außerdem „main_action:“, gefolgt vom Wert von main_action.
malware_name security_result.threat_name Der Wert von malware_name aus dem Rohprotokoll wird security_result.threat_name zugewiesen.
malware_type security_result.detection_fields.value Der Wert von malware_type aus dem Rohprotokoll wird einem security_result.detection_fields-Objekt mit dem Schlüssel „malware_type“ zugewiesen.
metadata.description metadata.description Der Parser setzt das Feld metadata.description anhand des Felds event_name.
metadata.event_type metadata.event_type Der Parser setzt das Feld metadata.event_type anhand des Felds event_name.
metadata.product_event_type metadata.product_event_type Der Parser legt das Feld metadata.product_event_type anhand der Felder event_name oder module fest.
metadata.product_log_id metadata.product_log_id Der Parser legt das Feld metadata.product_log_id anhand der Felder msg_id oder incident_id fest.
metadata.product_name metadata.product_name Der Parser setzt metadata.product_name auf „BitDefender EDR“.
metadata.product_version metadata.product_version Der Parser benennt das Feld product_version in metadata.product_version um.
metadata.vendor_name metadata.vendor_name Der Parser setzt metadata.vendor_name auf „BitDefender“.
module metadata.product_event_type Der Wert von module aus dem Rohprotokoll wird metadata.product_event_type zugewiesen. Wenn der Wert „new-incident“ ist und target_process_file_full_path nicht leer ist, wird metadata.event_type auf „PROCESS_UNCATEGORIZED“ gesetzt. Wenn der Wert „task-status“ ist, wird metadata.event_type auf „STATUS_UPDATE“ gesetzt. Wenn der Wert „network-monitor“ oder „fw“ ist, wird metadata.event_type auf „SCAN_NETWORK“ gesetzt.
msg_id metadata.product_log_id Der Wert von msg_id aus dem Rohprotokoll wird metadata.product_log_id zugewiesen.
network.application_protocol network.application_protocol Der Wert von uc_type aus dem Rohprotokoll wird in Großbuchstaben geschrieben und network.application_protocol zugewiesen.
network.direction network.direction Der Parser setzt das Feld network.direction anhand des Felds direction.
network.ip_protocol network.ip_protocol Wenn protocol_id „6“ ist, setzt der Parser network.ip_protocol auf „TCP“.
new_path target.file.full_path Der Wert von new_path aus dem Rohprotokoll wird target.file.full_path zugewiesen.
old_path src.file.full_path Der Wert von old_path aus dem Rohprotokoll wird src.file.full_path zugewiesen.
origin_ip intermediary.ip Der Wert von origin_ip aus dem Rohprotokoll wird intermediary.ip zugewiesen.
os principal.platform_version Der Wert von os aus dem Rohprotokoll wird principal.platform_version zugewiesen. Das Feld principal.platform wird aus os abgeleitet (z.B. „Win“ wird in „WINDOWS“ umgewandelt. Wenn das Ereignis „log_on“ oder „log_out“ ist, werden die Felder principal.platform und principal.platform_version in target.platform und target.platform_version umbenannt.
os_type principal.platform Der Wert von os_type aus dem Rohprotokoll wird verwendet, um den Wert von principal.platform zu bestimmen (z.B. „Win“ wird in „WINDOWS“ umgewandelt.
parent_pid principal.process.pid Der Wert von parent_pid aus dem Rohprotokoll wird principal.process.pid zugewiesen.
parent_process_path principal.process.file.full_path Der Wert von parent_process_path aus dem Rohprotokoll wird principal.process.file.full_path zugewiesen.
parent_process_pid principal.process.pid Der Wert von parent_process_pid aus dem Rohprotokoll wird principal.process.pid zugewiesen.
path target.file.full_path Der Wert von path aus dem Rohprotokoll wird target.file.full_path zugewiesen.
pid principal.process.pid oder target.process.pid Der Wert von pid aus dem Rohprotokoll wird principal.process.pid zugewiesen, wenn event_name mit „file“ oder „reg“ beginnt oder einer der Werte „process_signal“, „network_connection“ oder „connection_connect“ ist. Andernfalls wird er target.process.pid zugewiesen.
pid_path principal.process.file.full_path Der Wert von pid_path aus dem Rohprotokoll wird principal.process.file.full_path zugewiesen.
port_dest target.port Der Wert von port_dest aus dem Rohprotokoll wird in eine Ganzzahl konvertiert und target.port zugewiesen.
port_source principal.port Der Wert von port_source aus dem Rohprotokoll wird in eine Ganzzahl konvertiert und principal.port zugewiesen.
ppid principal.process.pid Der Wert von ppid aus dem Rohprotokoll wird principal.process.pid zugewiesen.
principal.ip principal.ip Der Parser legt das Feld principal.ip anhand der Felder ip_source oder dvc fest.
principal.platform principal.platform Der Parser legt das Feld principal.platform anhand der Felder os oder os_type fest.
principal.platform_version principal.platform_version Der Parser legt das Feld principal.platform_version anhand der Felder os oder osi_version fest.
principal.process.command_line principal.process.command_line Der Parser setzt das Feld principal.process.command_line anhand des Felds parent_process_cmdline.
principal.process.file.full_path principal.process.file.full_path Der Parser legt das Feld principal.process.file.full_path basierend auf den Feldern pid_path, file_path, parent_process_path oder process_path fest.
principal.process.file.md5 principal.process.file.md5 Der Parser benennt das Feld file_hash_md5 in principal.process.file.md5 um.
principal.process.file.sha256 principal.process.file.sha256 Der Parser setzt das Feld principal.process.file.sha256 basierend auf den Feldern hash, BitdefenderGZMalwareHash oder file_hash_sha256.
principal.process.parent_process.pid principal.process.parent_process.pid Der Parser benennt das Feld ppid in principal.process.parent_process.pid um.
principal.process.pid principal.process.pid Der Parser legt das Feld principal.process.pid basierend auf den Feldern pid, parent_pid, ppid oder parent_process_pid fest.
principal.resource.id principal.resource.id Der Parser legt das Feld principal.resource.id anhand der Felder hwid oder source_hwid fest.
principal.url principal.url Der Parser setzt das Feld principal.url anhand des Felds url.
process_command_line target.process.command_line Der Wert von process_command_line aus dem Rohprotokoll wird target.process.command_line zugewiesen.
process_path principal.process.file.full_path oder target.process.file.full_path Der Wert von process_path aus dem Rohprotokoll wird principal.process.file.full_path zugewiesen, wenn event_name „network_connection“ oder „connection_connect“ ist. Andernfalls wird er target.process.file.full_path zugewiesen.
product_installed additional.fields.value.string_value Der Wert von product_installed aus dem Rohprotokoll wird einem additional.fields-Objekt mit dem Schlüssel „product_installed“ zugewiesen.
product_version metadata.product_version Der Wert von product_version aus dem Rohprotokoll wird metadata.product_version zugewiesen.
protocol_id network.ip_protocol Wenn protocol_id „6“ ist, setzt der Parser network.ip_protocol auf „TCP“.
request target.url Der Wert von request aus dem Rohprotokoll wird target.url zugewiesen.
security_result.action security_result.action Der Parser legt das Feld security_result.action basierend auf den Feldern main_action, actionTaken, status oder final_status fest. Wenn in keinem dieser Felder eine gültige Aktion angegeben ist, wird standardmäßig „UNKNOWN_ACTION“ verwendet.
security_result.action_details security_result.action_details Der Parser legt das Feld security_result.action_details basierend auf den Feldern main_action, actionTaken, status oder final_status fest.
security_result.category security_result.category Der Parser setzt das Feld security_result.category auf „PHISHING“, wenn event_name „Antiphishing“ ist, auf „SOFTWARE_MALICIOUS“, wenn event_name „Anti-Malware“ ist, oder fügt den Wert aus dem Feld sec_category zusammen.
security_result.category_details security_result.category_details Der Parser legt das Feld security_result.category_details anhand der Felder block_type oder attack_types fest.
security_result.detection_fields security_result.detection_fields Der Parser erstellt security_result.detection_fields-Objekte für verschiedene Felder, darunter „malware_type“, „attack_entry“, „BitdefenderGZAttCkId“, „BitdefenderGZEndpointId“, „final_status“, „detection attackTechnique“ und „computer_name“.
security_result.description security_result.description Der Parser setzt das Feld security_result.description basierend auf den Feldern main_action, actionTaken oder final_status.
security_result.severity security_result.severity Der Parser legt das Feld security_result.severity basierend auf dem Wert des Felds severity fest, wenn es nicht leer ist und module „new-incident“ ist.
security_result.severity_details security_result.severity_details Der Parser setzt das Feld security_result.severity_details anhand des Felds severity_score.
security_result.threat_name security_result.threat_name Der Parser legt das Feld security_result.threat_name anhand der Felder malware_name oder detection_name fest.
severity security_result.severity Der Wert von severity aus dem Rohprotokoll wird in Großbuchstaben geschrieben und security_result.severity zugewiesen, wenn er nicht leer ist und module „new-incident“ ist.
severity_score security_result.severity_details Der Wert von severity_score aus dem Rohprotokoll wird in einen String konvertiert und security_result.severity_details zugewiesen.
source_host observer.ip Der Wert von source_host aus dem Rohprotokoll wird observer.ip zugewiesen.
source_hwid principal.resource.id Der Wert von source_hwid aus dem Rohprotokoll wird principal.resource.id zugewiesen.
source_ip src.ip Der Wert von source_ip aus dem Rohprotokoll wird src.ip zugewiesen.
source_port principal.port Der Wert von source_port aus dem Rohprotokoll wird in eine Ganzzahl konvertiert und principal.port zugewiesen.
spt principal.port Der Wert von spt aus dem Rohprotokoll wird principal.port zugewiesen.
sproc principal.process.command_line Der Wert von sproc aus dem Rohprotokoll wird principal.process.command_line zugewiesen.
src principal.ip Der Wert von src aus dem Rohprotokoll wird principal.ip zugewiesen.
src.ip src.ip Der Parser setzt das Feld src.ip anhand des Felds source_ip.
src.file.full_path src.file.full_path Der Parser setzt das Feld src.file.full_path anhand des Felds old_path.
status security_result.action_details Der Wert von status aus dem Rohprotokoll wird security_result.action_details zugewiesen. Anhand dieses Werts wird das Feld security_result.action festgelegt (z.B. „portscan_blocked“ und „uc_site_blocked“ werden mit „BLOCK“ abgeglichen. Das Feld security_result.description enthält außerdem „status:“, gefolgt vom Wert status.
suid principal.user.userid Der Wert von suid aus dem Rohprotokoll wird principal.user.userid zugewiesen.
suser principal.user.user_display_name Der Wert von suser aus dem Rohprotokoll wird principal.user.user_display_name zugewiesen.
target.file.full_path target.file.full_path Der Parser legt das Feld target.file.full_path anhand der Felder path oder new_path fest.
target.hostname target.hostname Der Parser setzt das Feld target.hostname anhand des Felds hostname.
target.ip target.ip Der Parser legt das Feld target.ip anhand der Felder ip_dest oder destination_ip fest.
target.platform target.platform Der Parser setzt das Feld target.platform anhand des Felds principal.platform.
target.platform_version target.platform_version Der Parser setzt das Feld target.platform_version anhand des Felds principal.platform_version.
target.port target.port Der Parser legt das Feld target.port anhand der Felder port_dest oder destination_port fest.
target.process.command_line target.process.command_line Der Parser setzt das Feld target.process.command_line basierend auf den Feldern command_line, process_command_line oder cmd_line.
target.process.file.full_path target.process.file.full_path Der Parser setzt das Feld target.process.file.full_path anhand des Felds process_path.
target.process.pid target.process.pid Der Parser setzt das Feld target.process.pid anhand des Felds pid.
target.registry.registry_key target.registry.registry_key Der Parser setzt das Feld target.registry.registry_key anhand des Felds key_path.
target.registry.registry_value_data target.registry.registry_value_data Der Parser setzt das Feld target.registry.registry_value_data anhand des Felds data.
target.registry.registry_value_name target.registry.registry_value_name Der Parser setzt das Feld target.registry.registry_value_name anhand des Felds value.
target.resource.id target.resource.id Der Parser legt das Feld target.resource.id anhand der Felder hwid oder BitdefenderGZHwId fest.
target.url target.url Der Parser setzt das Feld target.url anhand des Felds request.
target.user.company_name target.user.company_name Der Parser setzt das Feld target.user.company_name anhand des Felds companyId.
target.user.user_display_name target.user.user_display_name Der Parser legt das Feld target.user.user_display_name anhand der Felder user.name oder user.userName fest.
target.user.userid target.user.userid Der Parser legt das Feld target.user.userid basierend auf den Feldern user_name, user, user.id oder extra_info.user fest.
target_pid target.process.pid Der Wert von target_pid aus dem Rohprotokoll wird target.process.pid zugewiesen.
timestamp metadata.event_timestamp Der Wert von timestamp aus dem Rohprotokoll wird analysiert und metadata.event_timestamp zugewiesen.
uc_type network.application_protocol Der Wert von uc_type aus dem Rohprotokoll wird in Großbuchstaben geschrieben und network.application_protocol zugewiesen. Wenn target_user_userid nicht leer ist, wird metadata.event_type auf „USER_UNCATEGORIZED“ festgelegt. Andernfalls wird „STATUS_UPDATE“ festgelegt.
url principal.url Der Wert von url aus dem Rohprotokoll wird principal.url zugewiesen, wenn er nicht leer oder „0.0.0.0“ ist.
user target.user.userid Der Wert von user aus dem Rohprotokoll wird target.user.userid zugewiesen.
user.id target.user.userid Der Wert von user.id aus dem Rohprotokoll wird target.user.userid zugewiesen.
user.name target.user.user_display_name Der Wert von user.name aus dem Rohprotokoll wird target.user.user_display_name zugewiesen.
user.userName target.user.user_display_name Der Wert von user.userName aus dem Rohprotokoll wird target.user.user_display_name zugewiesen.
user.userSid principal.user.windows_sid Der Wert von user.userSid aus dem Rohprotokoll wird principal.user.windows_sid zugewiesen.
user_name target.user.userid Der Wert von user_name aus dem Rohprotokoll wird target.user.userid zugewiesen.
value target.registry.registry_value_data oder target.registry.registry_value_name Der Wert von value aus dem Rohprotokoll wird target.registry.registry_value_data zugewiesen, wenn event_name „reg_delete_value“ ist. Andernfalls wird er target.registry.registry_value_name zugewiesen.

Änderungen

2023-05-02

  • Geparste Protokolle, die im CEF-Format aufgenommen wurden.

2022-09-28

  • „security_result.action“ wurde in „BLOCK“ geändert, wenn „status“ „portscan_blocked“ oder „uc_site_blocked“ ist.
  • „security_result.action“ wurde in „BLOCK“ geändert, wenn „main_action“ „blocked“ ist.
  • „security_result.action“ wurde auf „BLOCK“ umgestellt, wenn „actionTaken“ „block“ ist.
  • „security_result.action“ wurde in „BLOCK“ geändert, wenn „final_status“ den Wert „blocked“ oder „deleted“ hat.
  • „security_result.action“ wurde in „ALLOW“ geändert, wenn „final_status“ den Wert „ignored“ oder „still present“ hat.
  • „security_result.action“ wurde in „ALLOW“ (ZULASSEN) umgewandelt, wenn „main_action“ den Wert „no action“ (keine Aktion) hat.
  • „security_result.action“ wurde in „QUARANTINE“ umgewandelt, wenn „final_status“ den Wert „unter Quarantäne“ hat.
  • „security_result.action“ wurde in „ALLOW_WITH_MODIFICATION“ geändert, wenn „final_status“ „desinfiziert“ oder „wiederhergestellt“ ist.

2022-08-17

  • Verbesserung: Die Zuordnung für „source_ip“ wurde von „principal.ip“ zu „srcc.ip“ geändert.
  • Legen Sie „event_type“ auf „SCAN_NETWORK“ fest, wenn „module“ mit „network-monitor“ oder „fw“ übereinstimmt.
  • „user.userSid“ wurde auf „principal.user.windows_sid“ zugeordnet.
  • „user.userName“ wurde mit „target.user.user_display_name“ verknüpft.
  • „protocol_id“ wurde in „network.ip_protocol“ umgewandelt.
  • Legen Sie „security_result.action“ auf „BLOCK“ fest, wenn „status“ mit „portscan_blocked“ oder „uc_site_blocked“ übereinstimmt.
  • „local_port“ wurde auf „principal.port“ zugeordnet.
  • „actionTaken“ wurde in „security_result.action“ geändert.
  • „detection_attackTechnique“ wurde in „security_result.detection_fields“ geändert.

2022-08-13

  • Fehlerkorrektur: Die Zuordnung für das Feld „computer_name“ wurde von „principal.asset.hostname“ zu „event.idm.read_only_udm.principal.resource.attribute.labels“ geändert.

2022-08-11

  • Fehlerkorrektur: Bedingte Prüfungen für das Feld „main_action“, das „security_result.action“ zugeordnet ist, wurden geändert.
  • „STATUS_UPDATE“ wurde für Protokolle mit dem Modul „task-status“ auf „metadata.event_type“ zugeordnet.

2022-04-14

  • Verbesserung: Zuordnungen für computer_name, computer_id, uc_type, block_type,status,product_installed hinzugefügt.

2022-03-30

  • Fehlerkorrektur: Der Zeitstempelfehler wurde korrigiert und die Felder „user.id“, „user.name“, „companyId“, „computer_name“, „computer_fqdn“, „computer_ip“, „computer_id“, „url“ und „categories“ wurden zugeordnet.