Recopila registros de Bitdefender

Compatible con:

Este analizador extrae registros de Bitdefender en formato CEF o CSV, normaliza los campos al UDM y realiza acciones específicas según los campos event_name y module. Controla varios tipos de eventos, como operaciones de archivos, conexiones de red, creación de procesos y modificaciones del registro, asigna información relevante a los campos de la AUA adecuados y enriquece los datos con contexto adicional de los registros sin procesar.

Antes de comenzar

  • Asegúrate de tener una instancia de Google Security Operations.
  • Asegúrate de tener un host de Windows 2016 o una versión posterior, o Linux con systemd.
  • Si se ejecuta detrás de un proxy, asegúrate de que los puertos del firewall estén abiertos.
  • Asegúrate de tener acceso con privilegios a Bitdefender.

Obtén el archivo de autenticación de transferencia de Google SecOps

  1. Accede a la consola de Google SecOps.
  2. Ve a Configuración de SIEM > Agentes de recopilación.
  3. Descarga el archivo de autenticación de transferencia.

Obtén el ID de cliente de Google SecOps

  1. Accede a la consola de Google SecOps.
  2. Ve a Configuración de SIEM > Perfil.
  3. Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de BindPlane

  1. Para la instalación de Windows, ejecuta la siguiente secuencia de comandos:
    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
  2. Para la instalación de Linux, ejecuta la siguiente secuencia de comandos:
    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
  3. Puedes encontrar opciones de instalación adicionales en esta guía de instalación.

Configura el agente de BindPlane para transferir Syslog y enviarlo a Google SecOps

  1. Accede a la máquina en la que está instalado BindPlane.
  2. Edita el archivo config.yaml de la siguiente manera:

    receivers:
        tcplog:
            # Replace the below port <54525> and IP <0.0.0.0> with your specific values
            listen_address: "0.0.0.0:54525" 
    
    exporters:
        chronicle/chronicle_w_labels:
            compression: gzip
            # Adjust the creds location below according the placement of the credentials file you downloaded
            creds: '{ json file for creds }'
            # Replace <customer_id> below with your actual ID that you copied
            customer_id: <customer_id>
            endpoint: malachiteingestion-pa.googleapis.com
            # You can apply ingestion labels below as preferred
            ingestion_labels:
            log_type: SYSLOG
            namespace: bitdefender
            raw_log_field: body
    service:
        pipelines:
            logs/source0__chronicle_w_labels-0:
                receivers:
                    - tcplog
                exporters:
                    - chronicle/chronicle_w_labels
    
  3. Reinicia el agente de BindPlane para aplicar los cambios:

    sudo systemctl restart bindplane
    

Cómo configurar la transmisión de Syslog en Bitdefender GravityZone

  1. Accede al Control Center de GravityZone.
  2. Ve a Configuración > Integraciones > Syslog.
  3. Haz clic en Agregar servidor de Syslog.
  4. Proporciona los detalles requeridos:
    • Nombre: Proporciona un nombre único para el servidor de syslog (por ejemplo, CentralSyslog).
    • Dirección IP o nombre de host: Ingresa la dirección IP o el nombre de host del servidor de Bindplane.
    • Protocolo: Selecciona el protocolo que se usará: TCP / UDP.
    • Puerto: Especifica el número de puerto del servidor de Bindplane.
    • Selecciona los tipos de registro que deseas transmitir (por ejemplo, Eventos de antimalware, Eventos de defensa contra ataques de red (NAD), Eventos de control web, Eventos de firewall o Cambios de política).
    • Opcional: Configura filtros para incluir o excluir tipos de eventos específicos.
  5. Haz clic en Guardar.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
BitdefenderGZAttackEntry security_result.detection_fields.value El valor de BitdefenderGZAttackEntry del registro sin procesar se asigna como valor a un objeto security_result.detection_fields en el que la clave es "attack_entry".
BitdefenderGZAttackTypes security_result.category_details El valor de BitdefenderGZAttackTypes del registro sin procesar se asigna a security_result.category_details. Luego, el valor se divide en cadenas individuales y cada una se agrega como valor al array security_result.category_details.
BitdefenderGZAttCkId security_result.detection_fields.value El valor de BitdefenderGZAttCkId del registro sin procesar se asigna como valor a un objeto security_result.detection_fields en el que la clave es "BitdefenderGZAttCkId".
BitdefenderGZCompanyId target.user.company_name El valor de BitdefenderGZCompanyId del registro sin procesar se asigna a target.user.company_name.
BitdefenderGZComputerFQDN principal.asset.network_domain El valor de BitdefenderGZComputerFQDN del registro sin procesar se asigna a principal.asset.network_domain.
BitdefenderGZDetectionName security_result.threat_name El valor de BitdefenderGZDetectionName del registro sin procesar se asigna a security_result.threat_name.
BitdefenderGZEndpointId security_result.detection_fields.value El valor de BitdefenderGZEndpointId del registro sin procesar se asigna como valor a un objeto security_result.detection_fields en el que la clave es "BitdefenderGZEndpointId".
BitdefenderGZIncidentId metadata.product_log_id El valor de BitdefenderGZIncidentId del registro sin procesar se asigna a metadata.product_log_id.
BitdefenderGZMainAction security_result.action_details El valor de BitdefenderGZMainAction del registro sin procesar se asigna a security_result.action_details. En función de este valor, se establece el campo security_result.action (p.ej., "blocked" se asigna a "BLOCK"). El campo security_result.description también se propaga con "main_action: " seguido del valor de BitdefenderGZMainAction.
BitdefenderGZMalwareHash principal.process.file.sha256 El valor de BitdefenderGZMalwareHash del registro sin procesar se asigna a principal.process.file.sha256.
BitdefenderGZMalwareName security_result.threat_name El valor de BitdefenderGZMalwareName del registro sin procesar se asigna a security_result.threat_name.
BitdefenderGZMalwareType security_result.detection_fields.value El valor de BitdefenderGZMalwareType del registro sin procesar se asigna como valor a un objeto security_result.detection_fields en el que la clave es "malware_type".
BitdefenderGZModule metadata.product_event_type El valor de BitdefenderGZModule del registro sin procesar se asigna a metadata.product_event_type.
BitdefenderGZSeverityScore security_result.severity_details El valor de BitdefenderGZSeverityScore del registro sin procesar se asigna a security_result.severity_details.
BitdefenderGZHwId target.resource.id El valor de BitdefenderGZHwId del registro sin procesar se asigna a target.resource.id.
act security_result.action_details El valor de act del registro sin procesar se asigna a security_result.action_details.
actionTaken security_result.action_details El valor de actionTaken del registro sin procesar se asigna a security_result.action_details. En función de este valor, se establece el campo security_result.action (p.ej., "block" se asigna a "BLOCK"). El campo security_result.description también se propaga con "actionTaken: " seguido del valor de actionTaken.
additional.fields additional.fields La lógica del analizador crea un par clave-valor para "product_installed" y lo agrega al objeto additional.fields.
categories principal.asset.category El valor de categories del registro sin procesar se asigna a principal.asset.category.
cmd_line target.process.command_line El valor de cmd_line del registro sin procesar se asigna a target.process.command_line.
companyId target.user.company_name El valor de companyId del registro sin procesar se asigna a target.user.company_name.
computer_fqdn principal.asset.network_domain El valor de computer_fqdn del registro sin procesar se asigna a principal.asset.network_domain.
computer_id principal.asset.asset_id El valor de computer_id del registro sin procesar se asigna a principal.asset.asset_id después de anteponer "ComputerId:".
computer_ip principal.asset.ip El valor de computer_ip del registro sin procesar se analiza, se divide por comas y cada dirección IP resultante se agrega al array principal.asset.ip.
computer_name principal.resource.attribute.labels.value El valor de computer_name del registro sin procesar se asigna como valor a un objeto principal.resource.attribute.labels en el que la clave es "computer_name". También se agrega como valor a un objeto security_result.detection_fields en el que la clave es "computer_name".
column1 metadata.product_log_id El valor de column1 del registro sin procesar se asigna a metadata.product_log_id.
column3 observer.ip El valor de column3 del registro sin procesar se asigna a observer.ip.
command_line target.process.command_line El valor de command_line del registro sin procesar se asigna a target.process.command_line.
data target.registry.registry_value_data El valor de data del registro sin procesar se asigna a target.registry.registry_value_data.
detection_attackTechnique security_result.detection_fields.value El valor de detection_attackTechnique del registro sin procesar se asigna como valor a un objeto security_result.detection_fields en el que la clave es "detection attackTechnique".
detection_name security_result.threat_name El valor de detection_name del registro sin procesar se asigna a security_result.threat_name.
destination_ip target.ip El valor de destination_ip del registro sin procesar se asigna a target.ip.
destination_port target.port El valor de destination_port del registro sin procesar se asigna a target.port.
direction network.direction El valor de direction del registro sin procesar se convierte a mayúsculas y se asigna a network.direction.
dvc principal.ip El valor de dvc del registro sin procesar se analiza, se divide por comas y cada dirección IP resultante se agrega al array principal.ip.
dvchost about.hostname El valor de dvchost del registro sin procesar se asigna a about.hostname.
event_description metadata.description El valor de event_description del registro sin procesar se asigna a metadata.description.
event_name metadata.product_event_type El valor de event_name del registro sin procesar se asigna a metadata.product_event_type. Si el valor es "Antiphishing", security_result.category se establece en "PHISHING". Si el valor es "AntiMalware", security_result.category se establece en "SOFTWARE_MALICIOUS". El campo metadata.event_type se deriva de event_name mediante una serie de sentencias condicionales dentro del analizador.
ev metadata.product_event_type El valor de ev del registro sin procesar se asigna a metadata.product_event_type.
extra_info.command_line target.process.command_line El valor de extra_info.command_line del registro sin procesar se asigna a target.process.command_line.
extra_info.parent_pid principal.process.pid El valor de extra_info.parent_pid del registro sin procesar se asigna a principal.process.pid.
extra_info.parent_process_cmdline principal.process.command_line El valor de extra_info.parent_process_cmdline del registro sin procesar se asigna a principal.process.command_line.
extra_info.parent_process_path principal.process.file.full_path El valor de extra_info.parent_process_path del registro sin procesar se asigna a principal.process.file.full_path.
extra_info.pid target.process.pid El valor de extra_info.pid del registro sin procesar se asigna a target.process.pid.
extra_info.process_path target.process.file.full_path El valor de extra_info.process_path del registro sin procesar se asigna a target.process.file.full_path.
extra_info.user target.user.userid El valor de extra_info.user del registro sin procesar se asigna a target.user.userid.
filePath principal.process.file.full_path El valor de filePath del registro sin procesar se asigna a principal.process.file.full_path.
file_path principal.process.file.full_path El valor de file_path del registro sin procesar se asigna a principal.process.file.full_path.
final_status security_result.action_details El valor de final_status del registro sin procesar se asigna a security_result.action_details. En función de este valor, se establece el campo security_result.action (p.ej., “deleted” se asigna a “BLOCK” y “ignored” a “ALLOW”). El campo security_result.description también se propaga con "final_status: " seguido del valor de final_status. Si el valor es "deleted" o "blocked", metadata.event_type se establece en "SCAN_NETWORK".
hash principal.process.file.sha256 El valor de hash del registro sin procesar se asigna a principal.process.file.sha256.
host principal.hostname El valor de host del registro sin procesar se asigna a principal.hostname.
hostname principal.hostname El valor de hostname del registro sin procesar se asigna a principal.hostname si event_name no es "log_on" o "log_out". De lo contrario, se asigna a target.hostname.
host_name principal.hostname El valor de host_name del registro sin procesar se asigna a principal.hostname.
hwid principal.resource.id El valor de hwid del registro sin procesar se asigna a principal.resource.id si no está vacío. Si está vacío y el evento no es "log_on" o "log_out", el valor de source_hwid se asigna a principal.resource.id. Si el evento es "log_on" o "log_out", se asigna a target.resource.id.
incident_id metadata.product_log_id El valor de incident_id del registro sin procesar se asigna a metadata.product_log_id.
ip_dest target.ip El valor de ip_dest del registro sin procesar se asigna a target.ip.
ip_source principal.ip El valor de ip_source del registro sin procesar se asigna a principal.ip.
key_path target.registry.registry_key El valor de key_path del registro sin procesar se asigna a target.registry.registry_key.
local_port principal.port El valor de local_port del registro sin procesar se convierte en un número entero y se asigna a principal.port.
logon_type extensions.auth.mechanism El valor de logon_type del registro sin procesar se usa para determinar el valor de extensions.auth.mechanism. Los diferentes valores numéricos de logon_type se asignan a diferentes mecanismos de autenticación (p.ej., 2 mapas a "LOCAL", 3 a "NETWORK"). Si no se encuentra ningún logon_type coincidente, el mecanismo se establece en "MECHANISM_UNSPECIFIED".
lurker_id intermediary.resource.id El valor de lurker_id del registro sin procesar se asigna a intermediary.resource.id.
main_action security_result.action_details El valor de main_action del registro sin procesar se asigna a security_result.action_details. En función de este valor, se establece el campo security_result.action (p.ej., “blocked” se asigna a “BLOCK” y “no action” a “ALLOW”). El campo security_result.description también se propaga con "main_action: " seguido del valor de main_action.
malware_name security_result.threat_name El valor de malware_name del registro sin procesar se asigna a security_result.threat_name.
malware_type security_result.detection_fields.value El valor de malware_type del registro sin procesar se asigna como valor a un objeto security_result.detection_fields en el que la clave es "malware_type".
metadata.description metadata.description El analizador establece el campo metadata.description en función del campo event_name.
metadata.event_type metadata.event_type El analizador establece el campo metadata.event_type en función del campo event_name.
metadata.product_event_type metadata.product_event_type El analizador establece el campo metadata.product_event_type en función de los campos event_name o module.
metadata.product_log_id metadata.product_log_id El analizador establece el campo metadata.product_log_id en función de los campos msg_id o incident_id.
metadata.product_name metadata.product_name El analizador establece metadata.product_name en “BitDefender EDR”.
metadata.product_version metadata.product_version El analizador cambia el nombre del campo product_version a metadata.product_version.
metadata.vendor_name metadata.vendor_name El analizador establece metadata.vendor_name en "BitDefender".
module metadata.product_event_type El valor de module del registro sin procesar se asigna a metadata.product_event_type. Si el valor es "new-incident" y target_process_file_full_path no está vacío, metadata.event_type se establece en "PROCESS_UNCATEGORIZED". Si el valor es "task-status", metadata.event_type se establece en "STATUS_UPDATE". Si el valor es "network-monitor" o "fw", metadata.event_type se establece en "SCAN_NETWORK".
msg_id metadata.product_log_id El valor de msg_id del registro sin procesar se asigna a metadata.product_log_id.
network.application_protocol network.application_protocol El valor de uc_type del registro sin procesar se convierte a mayúsculas y se asigna a network.application_protocol.
network.direction network.direction El analizador establece el campo network.direction en función del campo direction.
network.ip_protocol network.ip_protocol Si protocol_id es “6”, el analizador establece network.ip_protocol en “TCP”.
new_path target.file.full_path El valor de new_path del registro sin procesar se asigna a target.file.full_path.
old_path src.file.full_path El valor de old_path del registro sin procesar se asigna a src.file.full_path.
origin_ip intermediary.ip El valor de origin_ip del registro sin procesar se asigna a intermediary.ip.
os principal.platform_version El valor de os del registro sin procesar se asigna a principal.platform_version. El campo principal.platform se deriva de os (p.ej., "Win" se asigna a "WINDOWS"). Si el evento es "log_on" o "log_out", los campos principal.platform y principal.platform_version se cambian a target.platform y target.platform_version, respectivamente.
os_type principal.platform El valor de os_type del registro sin procesar se usa para determinar el valor de principal.platform (p.ej., "Win" se asigna a "WINDOWS").
parent_pid principal.process.pid El valor de parent_pid del registro sin procesar se asigna a principal.process.pid.
parent_process_path principal.process.file.full_path El valor de parent_process_path del registro sin procesar se asigna a principal.process.file.full_path.
parent_process_pid principal.process.pid El valor de parent_process_pid del registro sin procesar se asigna a principal.process.pid.
path target.file.full_path El valor de path del registro sin procesar se asigna a target.file.full_path.
pid principal.process.pid o target.process.pid El valor de pid del registro sin procesar se asigna a principal.process.pid si event_name comienza con "file" o "reg", o si es uno de "process_signal", "network_connection" o "connection_connect". De lo contrario, se asigna a target.process.pid.
pid_path principal.process.file.full_path El valor de pid_path del registro sin procesar se asigna a principal.process.file.full_path.
port_dest target.port El valor de port_dest del registro sin procesar se convierte en un número entero y se asigna a target.port.
port_source principal.port El valor de port_source del registro sin procesar se convierte en un número entero y se asigna a principal.port.
ppid principal.process.pid El valor de ppid del registro sin procesar se asigna a principal.process.pid.
principal.ip principal.ip El analizador establece el campo principal.ip en función de los campos ip_source o dvc.
principal.platform principal.platform El analizador establece el campo principal.platform en función de los campos os o os_type.
principal.platform_version principal.platform_version El analizador establece el campo principal.platform_version en función de los campos os o osi_version.
principal.process.command_line principal.process.command_line El analizador establece el campo principal.process.command_line en función del campo parent_process_cmdline.
principal.process.file.full_path principal.process.file.full_path El analizador establece el campo principal.process.file.full_path según los campos pid_path, file_path, parent_process_path o process_path.
principal.process.file.md5 principal.process.file.md5 El analizador cambia el nombre del campo file_hash_md5 a principal.process.file.md5.
principal.process.file.sha256 principal.process.file.sha256 El analizador establece el campo principal.process.file.sha256 según los campos hash, BitdefenderGZMalwareHash o file_hash_sha256.
principal.process.parent_process.pid principal.process.parent_process.pid El analizador cambia el nombre del campo ppid a principal.process.parent_process.pid.
principal.process.pid principal.process.pid El analizador establece el campo principal.process.pid según los campos pid, parent_pid, ppid o parent_process_pid.
principal.resource.id principal.resource.id El analizador establece el campo principal.resource.id en función de los campos hwid o source_hwid.
principal.url principal.url El analizador establece el campo principal.url en función del campo url.
process_command_line target.process.command_line El valor de process_command_line del registro sin procesar se asigna a target.process.command_line.
process_path principal.process.file.full_path o target.process.file.full_path El valor de process_path del registro sin procesar se asigna a principal.process.file.full_path si event_name es "network_connection" o "connection_connect". De lo contrario, se asigna a target.process.file.full_path.
product_installed additional.fields.value.string_value El valor de product_installed del registro sin procesar se asigna como valor a un objeto additional.fields en el que la clave es "product_installed".
product_version metadata.product_version El valor de product_version del registro sin procesar se asigna a metadata.product_version.
protocol_id network.ip_protocol Si protocol_id es “6”, el analizador establece network.ip_protocol en “TCP”.
request target.url El valor de request del registro sin procesar se asigna a target.url.
security_result.action security_result.action El analizador establece el campo security_result.action según los campos main_action, actionTaken, status o final_status. Si ninguno de estos campos proporciona una acción válida, el valor predeterminado será "UNKNOWN_ACTION".
security_result.action_details security_result.action_details El analizador establece el campo security_result.action_details según los campos main_action, actionTaken, status o final_status.
security_result.category security_result.category El analizador establece el campo security_result.category en "PHISHING" si event_name es "Antiphishing", en "SOFTWARE_MALICIOUS" si event_name es "AntiMalware" o combina el valor del campo sec_category.
security_result.category_details security_result.category_details El analizador establece el campo security_result.category_details en función de los campos block_type o attack_types.
security_result.detection_fields security_result.detection_fields El analizador crea objetos security_result.detection_fields para varios campos, incluidos "malware_type", "attack_entry", "BitdefenderGZAttCkId", "BitdefenderGZEndpointId", "final_status", "detection attackTechnique" y "computer_name".
security_result.description security_result.description El analizador establece el campo security_result.description según los campos main_action, actionTaken o final_status.
security_result.severity security_result.severity El analizador establece el campo security_result.severity en función del valor en mayúsculas del campo severity si no está vacío y module es "new-incident".
security_result.severity_details security_result.severity_details El analizador establece el campo security_result.severity_details en función del campo severity_score.
security_result.threat_name security_result.threat_name El analizador establece el campo security_result.threat_name en función de los campos malware_name o detection_name.
severity security_result.severity El valor de severity del registro sin procesar se convierte a mayúsculas y se asigna a security_result.severity si no está vacío y module es "new-incident".
severity_score security_result.severity_details El valor de severity_score del registro sin procesar se convierte en una cadena y se asigna a security_result.severity_details.
source_host observer.ip El valor de source_host del registro sin procesar se asigna a observer.ip.
source_hwid principal.resource.id El valor de source_hwid del registro sin procesar se asigna a principal.resource.id.
source_ip src.ip El valor de source_ip del registro sin procesar se asigna a src.ip.
source_port principal.port El valor de source_port del registro sin procesar se convierte en un número entero y se asigna a principal.port.
spt principal.port El valor de spt del registro sin procesar se asigna a principal.port.
sproc principal.process.command_line El valor de sproc del registro sin procesar se asigna a principal.process.command_line.
src principal.ip El valor de src del registro sin procesar se asigna a principal.ip.
src.ip src.ip El analizador establece el campo src.ip en función del campo source_ip.
src.file.full_path src.file.full_path El analizador establece el campo src.file.full_path en función del campo old_path.
status security_result.action_details El valor de status del registro sin procesar se asigna a security_result.action_details. En función de este valor, se establece el campo security_result.action (p.ej., "portscan_blocked" y "uc_site_blocked" se asignan a "BLOCK"). El campo security_result.description también se propaga con "status: " seguido del valor de status.
suid principal.user.userid El valor de suid del registro sin procesar se asigna a principal.user.userid.
suser principal.user.user_display_name El valor de suser del registro sin procesar se asigna a principal.user.user_display_name.
target.file.full_path target.file.full_path El analizador establece el campo target.file.full_path en función de los campos path o new_path.
target.hostname target.hostname El analizador establece el campo target.hostname en función del campo hostname.
target.ip target.ip El analizador establece el campo target.ip en función de los campos ip_dest o destination_ip.
target.platform target.platform El analizador establece el campo target.platform en función del campo principal.platform.
target.platform_version target.platform_version El analizador establece el campo target.platform_version en función del campo principal.platform_version.
target.port target.port El analizador establece el campo target.port en función de los campos port_dest o destination_port.
target.process.command_line target.process.command_line El analizador establece el campo target.process.command_line según los campos command_line, process_command_line o cmd_line.
target.process.file.full_path target.process.file.full_path El analizador establece el campo target.process.file.full_path en función del campo process_path.
target.process.pid target.process.pid El analizador establece el campo target.process.pid en función del campo pid.
target.registry.registry_key target.registry.registry_key El analizador establece el campo target.registry.registry_key en función del campo key_path.
target.registry.registry_value_data target.registry.registry_value_data El analizador establece el campo target.registry.registry_value_data en función del campo data.
target.registry.registry_value_name target.registry.registry_value_name El analizador establece el campo target.registry.registry_value_name en función del campo value.
target.resource.id target.resource.id El analizador establece el campo target.resource.id en función de los campos hwid o BitdefenderGZHwId.
target.url target.url El analizador establece el campo target.url en función del campo request.
target.user.company_name target.user.company_name El analizador establece el campo target.user.company_name en función del campo companyId.
target.user.user_display_name target.user.user_display_name El analizador establece el campo target.user.user_display_name en función de los campos user.name o user.userName.
target.user.userid target.user.userid El analizador establece el campo target.user.userid según los campos user_name, user, user.id o extra_info.user.
target_pid target.process.pid El valor de target_pid del registro sin procesar se asigna a target.process.pid.
timestamp metadata.event_timestamp El valor de timestamp del registro sin procesar se analiza y se asigna a metadata.event_timestamp.
uc_type network.application_protocol El valor de uc_type del registro sin procesar se convierte a mayúsculas y se asigna a network.application_protocol. Si target_user_userid no está vacío, metadata.event_type se establece en "USER_UNCATEGORIZED". De lo contrario, se establece como "STATUS_UPDATE".
url principal.url El valor de url del registro sin procesar se asigna a principal.url si no está vacío o es “0.0.0.0”.
user target.user.userid El valor de user del registro sin procesar se asigna a target.user.userid.
user.id target.user.userid El valor de user.id del registro sin procesar se asigna a target.user.userid.
user.name target.user.user_display_name El valor de user.name del registro sin procesar se asigna a target.user.user_display_name.
user.userName target.user.user_display_name El valor de user.userName del registro sin procesar se asigna a target.user.user_display_name.
user.userSid principal.user.windows_sid El valor de user.userSid del registro sin procesar se asigna a principal.user.windows_sid.
user_name target.user.userid El valor de user_name del registro sin procesar se asigna a target.user.userid.
value target.registry.registry_value_data o target.registry.registry_value_name El valor de value del registro sin procesar se asigna a target.registry.registry_value_data si event_name es "reg_delete_value". De lo contrario, se asigna a target.registry.registry_value_name.

Cambios

2023-05-02

  • Registros analizados transferidos en formato CEF

2022-09-28

  • Se asignó "security_result.action" a "BLOCK" cuando "status" es "portscan_blocked" o "uc_site_blocked".
  • Se asignó "security_result.action" a "BLOCK" cuando "main_action" está "bloqueada".
  • Se asignó "security_result.action" a "BLOCK" cuando "actionTaken" es "block".
  • Se asignó "security_result.action" a "BLOCK" cuando "final_status" es "blocked" o "deleted".
  • Se asignó "security_result.action" a "ALLOW" cuando "final_status" se "ignora" o "aún está presente".
  • Se asignó "security_result.action" a "ALLOW" cuando "main_action" es "no action".
  • Se asignó "security_result.action" a "QUARANTINE" cuando "final_status" es "quarantined".
  • Se asignó "security_result.action" a "ALLOW_WITH_MODIFICATION" cuando "final_status" es "disinfected" o "restored".

2022-08-17

  • Mejora: Se modificó la asignación de "source_ip" de "principal.ip" a "srcc.ip".
  • Establece "event_type" en "SCAN_NETWORK" cuando "module" sea igual a "network-monitor" o "fw".
  • Se asignó "user.userSid" a "principal.user.windows_sid".
  • Se asignó "user.userName" a "target.user.user_display_name".
  • Se asignó "protocol_id" a "network.ip_protocol".
  • Establece "security_result.action" en "BLOCK" cuando "status" sea igual a "portscan_blocked" o "uc_site_blocked".
  • Se asignó "local_port" a "principal.port".
  • Se asignó "actionTaken" a "security_result.action".
  • Se asignó "detection_attackTechnique" a "security_result.detection_fields".

2022-08-13

  • Se corrigió el error: Se modificó la asignación del campo "computer_name" de "principal.asset.hostname" a "event.idm.read_only_udm.principal.resource.attribute.labels".

2022-08-11

  • Corrección de errores: Se modificaron las verificaciones condicionales para el campo "main_action" asignado a "security_result.action".
  • Se asignó "STATUS_UPDATE" a "metadata.event_type" para los registros que tienen el módulo "task-status".

2022-04-14

  • Mejora: Se agregaron asignaciones para computer_name, computer_id, uc_type, block_type,status,product_installed.

2022-03-30

  • Se corrigió el error de marca de tiempo y se asignaron los campos user.id, user.name, companyId, computer_name, computer_fqdn, computer_ip, computer_id, url y categories.