Recopila registros de Bitdefender
Este analizador extrae registros de Bitdefender en formato CEF o CSV, normaliza los campos al UDM y realiza acciones específicas según los campos event_name
y module. Controla varios tipos de eventos, como operaciones de archivos, conexiones de red, creación de procesos y modificaciones del registro, asigna información relevante a los campos de la AUA adecuados y enriquece los datos con contexto adicional de los registros sin procesar.
Antes de comenzar
- Asegúrate de tener una instancia de Google Security Operations.
- Asegúrate de tener un host de Windows 2016 o una versión posterior, o Linux con systemd.
- Si se ejecuta detrás de un proxy, asegúrate de que los puertos del firewall estén abiertos.
- Asegúrate de tener acceso con privilegios a Bitdefender.
Obtén el archivo de autenticación de transferencia de Google SecOps
- Accede a la consola de Google SecOps.
- Ve a Configuración de SIEM > Agentes de recopilación.
- Descarga el archivo de autenticación de transferencia.
Obtén el ID de cliente de Google SecOps
- Accede a la consola de Google SecOps.
- Ve a Configuración de SIEM > Perfil.
- Copia y guarda el ID de cliente de la sección Detalles de la organización.
Instala el agente de BindPlane
- Para la instalación de Windows, ejecuta la siguiente secuencia de comandos:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
- Para la instalación de Linux, ejecuta la siguiente secuencia de comandos:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
- Puedes encontrar opciones de instalación adicionales en esta guía de instalación.
Configura el agente de BindPlane para transferir Syslog y enviarlo a Google SecOps
- Accede a la máquina en la que está instalado BindPlane.
Edita el archivo
config.yaml
de la siguiente manera:receivers: tcplog: # Replace the below port <54525> and IP <0.0.0.0> with your specific values listen_address: "0.0.0.0:54525" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the creds location below according the placement of the credentials file you downloaded creds: '{ json file for creds }' # Replace <customer_id> below with your actual ID that you copied customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # You can apply ingestion labels below as preferred ingestion_labels: log_type: SYSLOG namespace: bitdefender raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - tcplog exporters: - chronicle/chronicle_w_labels
Reinicia el agente de BindPlane para aplicar los cambios:
sudo systemctl restart bindplane
Cómo configurar la transmisión de Syslog en Bitdefender GravityZone
- Accede al Control Center de GravityZone.
- Ve a Configuración > Integraciones > Syslog.
- Haz clic en Agregar servidor de Syslog.
- Proporciona los detalles requeridos:
- Nombre: Proporciona un nombre único para el servidor de syslog (por ejemplo, CentralSyslog).
- Dirección IP o nombre de host: Ingresa la dirección IP o el nombre de host del servidor de Bindplane.
- Protocolo: Selecciona el protocolo que se usará: TCP / UDP.
- Puerto: Especifica el número de puerto del servidor de Bindplane.
- Selecciona los tipos de registro que deseas transmitir (por ejemplo, Eventos de antimalware, Eventos de defensa contra ataques de red (NAD), Eventos de control web, Eventos de firewall o Cambios de política).
- Opcional: Configura filtros para incluir o excluir tipos de eventos específicos.
- Haz clic en Guardar.
Tabla de asignación de UDM
Campo de registro | Asignación de UDM | Lógica |
---|---|---|
BitdefenderGZAttackEntry |
security_result.detection_fields.value |
El valor de BitdefenderGZAttackEntry del registro sin procesar se asigna como valor a un objeto security_result.detection_fields en el que la clave es "attack_entry". |
BitdefenderGZAttackTypes |
security_result.category_details |
El valor de BitdefenderGZAttackTypes del registro sin procesar se asigna a security_result.category_details . Luego, el valor se divide en cadenas individuales y cada una se agrega como valor al array security_result.category_details . |
BitdefenderGZAttCkId |
security_result.detection_fields.value |
El valor de BitdefenderGZAttCkId del registro sin procesar se asigna como valor a un objeto security_result.detection_fields en el que la clave es "BitdefenderGZAttCkId". |
BitdefenderGZCompanyId |
target.user.company_name |
El valor de BitdefenderGZCompanyId del registro sin procesar se asigna a target.user.company_name . |
BitdefenderGZComputerFQDN |
principal.asset.network_domain |
El valor de BitdefenderGZComputerFQDN del registro sin procesar se asigna a principal.asset.network_domain . |
BitdefenderGZDetectionName |
security_result.threat_name |
El valor de BitdefenderGZDetectionName del registro sin procesar se asigna a security_result.threat_name . |
BitdefenderGZEndpointId |
security_result.detection_fields.value |
El valor de BitdefenderGZEndpointId del registro sin procesar se asigna como valor a un objeto security_result.detection_fields en el que la clave es "BitdefenderGZEndpointId". |
BitdefenderGZIncidentId |
metadata.product_log_id |
El valor de BitdefenderGZIncidentId del registro sin procesar se asigna a metadata.product_log_id . |
BitdefenderGZMainAction |
security_result.action_details |
El valor de BitdefenderGZMainAction del registro sin procesar se asigna a security_result.action_details . En función de este valor, se establece el campo security_result.action (p.ej., "blocked" se asigna a "BLOCK"). El campo security_result.description también se propaga con "main_action: " seguido del valor de BitdefenderGZMainAction . |
BitdefenderGZMalwareHash |
principal.process.file.sha256 |
El valor de BitdefenderGZMalwareHash del registro sin procesar se asigna a principal.process.file.sha256 . |
BitdefenderGZMalwareName |
security_result.threat_name |
El valor de BitdefenderGZMalwareName del registro sin procesar se asigna a security_result.threat_name . |
BitdefenderGZMalwareType |
security_result.detection_fields.value |
El valor de BitdefenderGZMalwareType del registro sin procesar se asigna como valor a un objeto security_result.detection_fields en el que la clave es "malware_type". |
BitdefenderGZModule |
metadata.product_event_type |
El valor de BitdefenderGZModule del registro sin procesar se asigna a metadata.product_event_type . |
BitdefenderGZSeverityScore |
security_result.severity_details |
El valor de BitdefenderGZSeverityScore del registro sin procesar se asigna a security_result.severity_details . |
BitdefenderGZHwId |
target.resource.id |
El valor de BitdefenderGZHwId del registro sin procesar se asigna a target.resource.id . |
act |
security_result.action_details |
El valor de act del registro sin procesar se asigna a security_result.action_details . |
actionTaken |
security_result.action_details |
El valor de actionTaken del registro sin procesar se asigna a security_result.action_details . En función de este valor, se establece el campo security_result.action (p.ej., "block" se asigna a "BLOCK"). El campo security_result.description también se propaga con "actionTaken: " seguido del valor de actionTaken . |
additional.fields |
additional.fields |
La lógica del analizador crea un par clave-valor para "product_installed" y lo agrega al objeto additional.fields . |
categories |
principal.asset.category |
El valor de categories del registro sin procesar se asigna a principal.asset.category . |
cmd_line |
target.process.command_line |
El valor de cmd_line del registro sin procesar se asigna a target.process.command_line . |
companyId |
target.user.company_name |
El valor de companyId del registro sin procesar se asigna a target.user.company_name . |
computer_fqdn |
principal.asset.network_domain |
El valor de computer_fqdn del registro sin procesar se asigna a principal.asset.network_domain . |
computer_id |
principal.asset.asset_id |
El valor de computer_id del registro sin procesar se asigna a principal.asset.asset_id después de anteponer "ComputerId:". |
computer_ip |
principal.asset.ip |
El valor de computer_ip del registro sin procesar se analiza, se divide por comas y cada dirección IP resultante se agrega al array principal.asset.ip . |
computer_name |
principal.resource.attribute.labels.value |
El valor de computer_name del registro sin procesar se asigna como valor a un objeto principal.resource.attribute.labels en el que la clave es "computer_name". También se agrega como valor a un objeto security_result.detection_fields en el que la clave es "computer_name". |
column1 |
metadata.product_log_id |
El valor de column1 del registro sin procesar se asigna a metadata.product_log_id . |
column3 |
observer.ip |
El valor de column3 del registro sin procesar se asigna a observer.ip . |
command_line |
target.process.command_line |
El valor de command_line del registro sin procesar se asigna a target.process.command_line . |
data |
target.registry.registry_value_data |
El valor de data del registro sin procesar se asigna a target.registry.registry_value_data . |
detection_attackTechnique |
security_result.detection_fields.value |
El valor de detection_attackTechnique del registro sin procesar se asigna como valor a un objeto security_result.detection_fields en el que la clave es "detection attackTechnique". |
detection_name |
security_result.threat_name |
El valor de detection_name del registro sin procesar se asigna a security_result.threat_name . |
destination_ip |
target.ip |
El valor de destination_ip del registro sin procesar se asigna a target.ip . |
destination_port |
target.port |
El valor de destination_port del registro sin procesar se asigna a target.port . |
direction |
network.direction |
El valor de direction del registro sin procesar se convierte a mayúsculas y se asigna a network.direction . |
dvc |
principal.ip |
El valor de dvc del registro sin procesar se analiza, se divide por comas y cada dirección IP resultante se agrega al array principal.ip . |
dvchost |
about.hostname |
El valor de dvchost del registro sin procesar se asigna a about.hostname . |
event_description |
metadata.description |
El valor de event_description del registro sin procesar se asigna a metadata.description . |
event_name |
metadata.product_event_type |
El valor de event_name del registro sin procesar se asigna a metadata.product_event_type . Si el valor es "Antiphishing", security_result.category se establece en "PHISHING". Si el valor es "AntiMalware", security_result.category se establece en "SOFTWARE_MALICIOUS". El campo metadata.event_type se deriva de event_name mediante una serie de sentencias condicionales dentro del analizador. |
ev |
metadata.product_event_type |
El valor de ev del registro sin procesar se asigna a metadata.product_event_type . |
extra_info.command_line |
target.process.command_line |
El valor de extra_info.command_line del registro sin procesar se asigna a target.process.command_line . |
extra_info.parent_pid |
principal.process.pid |
El valor de extra_info.parent_pid del registro sin procesar se asigna a principal.process.pid . |
extra_info.parent_process_cmdline |
principal.process.command_line |
El valor de extra_info.parent_process_cmdline del registro sin procesar se asigna a principal.process.command_line . |
extra_info.parent_process_path |
principal.process.file.full_path |
El valor de extra_info.parent_process_path del registro sin procesar se asigna a principal.process.file.full_path . |
extra_info.pid |
target.process.pid |
El valor de extra_info.pid del registro sin procesar se asigna a target.process.pid . |
extra_info.process_path |
target.process.file.full_path |
El valor de extra_info.process_path del registro sin procesar se asigna a target.process.file.full_path . |
extra_info.user |
target.user.userid |
El valor de extra_info.user del registro sin procesar se asigna a target.user.userid . |
filePath |
principal.process.file.full_path |
El valor de filePath del registro sin procesar se asigna a principal.process.file.full_path . |
file_path |
principal.process.file.full_path |
El valor de file_path del registro sin procesar se asigna a principal.process.file.full_path . |
final_status |
security_result.action_details |
El valor de final_status del registro sin procesar se asigna a security_result.action_details . En función de este valor, se establece el campo security_result.action (p.ej., “deleted” se asigna a “BLOCK” y “ignored” a “ALLOW”). El campo security_result.description también se propaga con "final_status: " seguido del valor de final_status . Si el valor es "deleted" o "blocked", metadata.event_type se establece en "SCAN_NETWORK". |
hash |
principal.process.file.sha256 |
El valor de hash del registro sin procesar se asigna a principal.process.file.sha256 . |
host |
principal.hostname |
El valor de host del registro sin procesar se asigna a principal.hostname . |
hostname |
principal.hostname |
El valor de hostname del registro sin procesar se asigna a principal.hostname si event_name no es "log_on" o "log_out". De lo contrario, se asigna a target.hostname . |
host_name |
principal.hostname |
El valor de host_name del registro sin procesar se asigna a principal.hostname . |
hwid |
principal.resource.id |
El valor de hwid del registro sin procesar se asigna a principal.resource.id si no está vacío. Si está vacío y el evento no es "log_on" o "log_out", el valor de source_hwid se asigna a principal.resource.id . Si el evento es "log_on" o "log_out", se asigna a target.resource.id . |
incident_id |
metadata.product_log_id |
El valor de incident_id del registro sin procesar se asigna a metadata.product_log_id . |
ip_dest |
target.ip |
El valor de ip_dest del registro sin procesar se asigna a target.ip . |
ip_source |
principal.ip |
El valor de ip_source del registro sin procesar se asigna a principal.ip . |
key_path |
target.registry.registry_key |
El valor de key_path del registro sin procesar se asigna a target.registry.registry_key . |
local_port |
principal.port |
El valor de local_port del registro sin procesar se convierte en un número entero y se asigna a principal.port . |
logon_type |
extensions.auth.mechanism |
El valor de logon_type del registro sin procesar se usa para determinar el valor de extensions.auth.mechanism . Los diferentes valores numéricos de logon_type se asignan a diferentes mecanismos de autenticación (p.ej., 2 mapas a "LOCAL", 3 a "NETWORK"). Si no se encuentra ningún logon_type coincidente, el mecanismo se establece en "MECHANISM_UNSPECIFIED". |
lurker_id |
intermediary.resource.id |
El valor de lurker_id del registro sin procesar se asigna a intermediary.resource.id . |
main_action |
security_result.action_details |
El valor de main_action del registro sin procesar se asigna a security_result.action_details . En función de este valor, se establece el campo security_result.action (p.ej., “blocked” se asigna a “BLOCK” y “no action” a “ALLOW”). El campo security_result.description también se propaga con "main_action: " seguido del valor de main_action . |
malware_name |
security_result.threat_name |
El valor de malware_name del registro sin procesar se asigna a security_result.threat_name . |
malware_type |
security_result.detection_fields.value |
El valor de malware_type del registro sin procesar se asigna como valor a un objeto security_result.detection_fields en el que la clave es "malware_type". |
metadata.description |
metadata.description |
El analizador establece el campo metadata.description en función del campo event_name . |
metadata.event_type |
metadata.event_type |
El analizador establece el campo metadata.event_type en función del campo event_name . |
metadata.product_event_type |
metadata.product_event_type |
El analizador establece el campo metadata.product_event_type en función de los campos event_name o module . |
metadata.product_log_id |
metadata.product_log_id |
El analizador establece el campo metadata.product_log_id en función de los campos msg_id o incident_id . |
metadata.product_name |
metadata.product_name |
El analizador establece metadata.product_name en “BitDefender EDR”. |
metadata.product_version |
metadata.product_version |
El analizador cambia el nombre del campo product_version a metadata.product_version . |
metadata.vendor_name |
metadata.vendor_name |
El analizador establece metadata.vendor_name en "BitDefender". |
module |
metadata.product_event_type |
El valor de module del registro sin procesar se asigna a metadata.product_event_type . Si el valor es "new-incident" y target_process_file_full_path no está vacío, metadata.event_type se establece en "PROCESS_UNCATEGORIZED". Si el valor es "task-status", metadata.event_type se establece en "STATUS_UPDATE". Si el valor es "network-monitor" o "fw", metadata.event_type se establece en "SCAN_NETWORK". |
msg_id |
metadata.product_log_id |
El valor de msg_id del registro sin procesar se asigna a metadata.product_log_id . |
network.application_protocol |
network.application_protocol |
El valor de uc_type del registro sin procesar se convierte a mayúsculas y se asigna a network.application_protocol . |
network.direction |
network.direction |
El analizador establece el campo network.direction en función del campo direction . |
network.ip_protocol |
network.ip_protocol |
Si protocol_id es “6”, el analizador establece network.ip_protocol en “TCP”. |
new_path |
target.file.full_path |
El valor de new_path del registro sin procesar se asigna a target.file.full_path . |
old_path |
src.file.full_path |
El valor de old_path del registro sin procesar se asigna a src.file.full_path . |
origin_ip |
intermediary.ip |
El valor de origin_ip del registro sin procesar se asigna a intermediary.ip . |
os |
principal.platform_version |
El valor de os del registro sin procesar se asigna a principal.platform_version . El campo principal.platform se deriva de os (p.ej., "Win" se asigna a "WINDOWS"). Si el evento es "log_on" o "log_out", los campos principal.platform y principal.platform_version se cambian a target.platform y target.platform_version , respectivamente. |
os_type |
principal.platform |
El valor de os_type del registro sin procesar se usa para determinar el valor de principal.platform (p.ej., "Win" se asigna a "WINDOWS"). |
parent_pid |
principal.process.pid |
El valor de parent_pid del registro sin procesar se asigna a principal.process.pid . |
parent_process_path |
principal.process.file.full_path |
El valor de parent_process_path del registro sin procesar se asigna a principal.process.file.full_path . |
parent_process_pid |
principal.process.pid |
El valor de parent_process_pid del registro sin procesar se asigna a principal.process.pid . |
path |
target.file.full_path |
El valor de path del registro sin procesar se asigna a target.file.full_path . |
pid |
principal.process.pid o target.process.pid |
El valor de pid del registro sin procesar se asigna a principal.process.pid si event_name comienza con "file" o "reg", o si es uno de "process_signal", "network_connection" o "connection_connect". De lo contrario, se asigna a target.process.pid . |
pid_path |
principal.process.file.full_path |
El valor de pid_path del registro sin procesar se asigna a principal.process.file.full_path . |
port_dest |
target.port |
El valor de port_dest del registro sin procesar se convierte en un número entero y se asigna a target.port . |
port_source |
principal.port |
El valor de port_source del registro sin procesar se convierte en un número entero y se asigna a principal.port . |
ppid |
principal.process.pid |
El valor de ppid del registro sin procesar se asigna a principal.process.pid . |
principal.ip |
principal.ip |
El analizador establece el campo principal.ip en función de los campos ip_source o dvc . |
principal.platform |
principal.platform |
El analizador establece el campo principal.platform en función de los campos os o os_type . |
principal.platform_version |
principal.platform_version |
El analizador establece el campo principal.platform_version en función de los campos os o osi_version . |
principal.process.command_line |
principal.process.command_line |
El analizador establece el campo principal.process.command_line en función del campo parent_process_cmdline . |
principal.process.file.full_path |
principal.process.file.full_path |
El analizador establece el campo principal.process.file.full_path según los campos pid_path , file_path , parent_process_path o process_path . |
principal.process.file.md5 |
principal.process.file.md5 |
El analizador cambia el nombre del campo file_hash_md5 a principal.process.file.md5 . |
principal.process.file.sha256 |
principal.process.file.sha256 |
El analizador establece el campo principal.process.file.sha256 según los campos hash , BitdefenderGZMalwareHash o file_hash_sha256 . |
principal.process.parent_process.pid |
principal.process.parent_process.pid |
El analizador cambia el nombre del campo ppid a principal.process.parent_process.pid . |
principal.process.pid |
principal.process.pid |
El analizador establece el campo principal.process.pid según los campos pid , parent_pid , ppid o parent_process_pid . |
principal.resource.id |
principal.resource.id |
El analizador establece el campo principal.resource.id en función de los campos hwid o source_hwid . |
principal.url |
principal.url |
El analizador establece el campo principal.url en función del campo url . |
process_command_line |
target.process.command_line |
El valor de process_command_line del registro sin procesar se asigna a target.process.command_line . |
process_path |
principal.process.file.full_path o target.process.file.full_path |
El valor de process_path del registro sin procesar se asigna a principal.process.file.full_path si event_name es "network_connection" o "connection_connect". De lo contrario, se asigna a target.process.file.full_path . |
product_installed |
additional.fields.value.string_value |
El valor de product_installed del registro sin procesar se asigna como valor a un objeto additional.fields en el que la clave es "product_installed". |
product_version |
metadata.product_version |
El valor de product_version del registro sin procesar se asigna a metadata.product_version . |
protocol_id |
network.ip_protocol |
Si protocol_id es “6”, el analizador establece network.ip_protocol en “TCP”. |
request |
target.url |
El valor de request del registro sin procesar se asigna a target.url . |
security_result.action |
security_result.action |
El analizador establece el campo security_result.action según los campos main_action , actionTaken , status o final_status . Si ninguno de estos campos proporciona una acción válida, el valor predeterminado será "UNKNOWN_ACTION". |
security_result.action_details |
security_result.action_details |
El analizador establece el campo security_result.action_details según los campos main_action , actionTaken , status o final_status . |
security_result.category |
security_result.category |
El analizador establece el campo security_result.category en "PHISHING" si event_name es "Antiphishing", en "SOFTWARE_MALICIOUS" si event_name es "AntiMalware" o combina el valor del campo sec_category . |
security_result.category_details |
security_result.category_details |
El analizador establece el campo security_result.category_details en función de los campos block_type o attack_types . |
security_result.detection_fields |
security_result.detection_fields |
El analizador crea objetos security_result.detection_fields para varios campos, incluidos "malware_type", "attack_entry", "BitdefenderGZAttCkId", "BitdefenderGZEndpointId", "final_status", "detection attackTechnique" y "computer_name". |
security_result.description |
security_result.description |
El analizador establece el campo security_result.description según los campos main_action , actionTaken o final_status . |
security_result.severity |
security_result.severity |
El analizador establece el campo security_result.severity en función del valor en mayúsculas del campo severity si no está vacío y module es "new-incident". |
security_result.severity_details |
security_result.severity_details |
El analizador establece el campo security_result.severity_details en función del campo severity_score . |
security_result.threat_name |
security_result.threat_name |
El analizador establece el campo security_result.threat_name en función de los campos malware_name o detection_name . |
severity |
security_result.severity |
El valor de severity del registro sin procesar se convierte a mayúsculas y se asigna a security_result.severity si no está vacío y module es "new-incident". |
severity_score |
security_result.severity_details |
El valor de severity_score del registro sin procesar se convierte en una cadena y se asigna a security_result.severity_details . |
source_host |
observer.ip |
El valor de source_host del registro sin procesar se asigna a observer.ip . |
source_hwid |
principal.resource.id |
El valor de source_hwid del registro sin procesar se asigna a principal.resource.id . |
source_ip |
src.ip |
El valor de source_ip del registro sin procesar se asigna a src.ip . |
source_port |
principal.port |
El valor de source_port del registro sin procesar se convierte en un número entero y se asigna a principal.port . |
spt |
principal.port |
El valor de spt del registro sin procesar se asigna a principal.port . |
sproc |
principal.process.command_line |
El valor de sproc del registro sin procesar se asigna a principal.process.command_line . |
src |
principal.ip |
El valor de src del registro sin procesar se asigna a principal.ip . |
src.ip |
src.ip |
El analizador establece el campo src.ip en función del campo source_ip . |
src.file.full_path |
src.file.full_path |
El analizador establece el campo src.file.full_path en función del campo old_path . |
status |
security_result.action_details |
El valor de status del registro sin procesar se asigna a security_result.action_details . En función de este valor, se establece el campo security_result.action (p.ej., "portscan_blocked" y "uc_site_blocked" se asignan a "BLOCK"). El campo security_result.description también se propaga con "status: " seguido del valor de status . |
suid |
principal.user.userid |
El valor de suid del registro sin procesar se asigna a principal.user.userid . |
suser |
principal.user.user_display_name |
El valor de suser del registro sin procesar se asigna a principal.user.user_display_name . |
target.file.full_path |
target.file.full_path |
El analizador establece el campo target.file.full_path en función de los campos path o new_path . |
target.hostname |
target.hostname |
El analizador establece el campo target.hostname en función del campo hostname . |
target.ip |
target.ip |
El analizador establece el campo target.ip en función de los campos ip_dest o destination_ip . |
target.platform |
target.platform |
El analizador establece el campo target.platform en función del campo principal.platform . |
target.platform_version |
target.platform_version |
El analizador establece el campo target.platform_version en función del campo principal.platform_version . |
target.port |
target.port |
El analizador establece el campo target.port en función de los campos port_dest o destination_port . |
target.process.command_line |
target.process.command_line |
El analizador establece el campo target.process.command_line según los campos command_line , process_command_line o cmd_line . |
target.process.file.full_path |
target.process.file.full_path |
El analizador establece el campo target.process.file.full_path en función del campo process_path . |
target.process.pid |
target.process.pid |
El analizador establece el campo target.process.pid en función del campo pid . |
target.registry.registry_key |
target.registry.registry_key |
El analizador establece el campo target.registry.registry_key en función del campo key_path . |
target.registry.registry_value_data |
target.registry.registry_value_data |
El analizador establece el campo target.registry.registry_value_data en función del campo data . |
target.registry.registry_value_name |
target.registry.registry_value_name |
El analizador establece el campo target.registry.registry_value_name en función del campo value . |
target.resource.id |
target.resource.id |
El analizador establece el campo target.resource.id en función de los campos hwid o BitdefenderGZHwId . |
target.url |
target.url |
El analizador establece el campo target.url en función del campo request . |
target.user.company_name |
target.user.company_name |
El analizador establece el campo target.user.company_name en función del campo companyId . |
target.user.user_display_name |
target.user.user_display_name |
El analizador establece el campo target.user.user_display_name en función de los campos user.name o user.userName . |
target.user.userid |
target.user.userid |
El analizador establece el campo target.user.userid según los campos user_name , user , user.id o extra_info.user . |
target_pid |
target.process.pid |
El valor de target_pid del registro sin procesar se asigna a target.process.pid . |
timestamp |
metadata.event_timestamp |
El valor de timestamp del registro sin procesar se analiza y se asigna a metadata.event_timestamp . |
uc_type |
network.application_protocol |
El valor de uc_type del registro sin procesar se convierte a mayúsculas y se asigna a network.application_protocol . Si target_user_userid no está vacío, metadata.event_type se establece en "USER_UNCATEGORIZED". De lo contrario, se establece como "STATUS_UPDATE". |
url |
principal.url |
El valor de url del registro sin procesar se asigna a principal.url si no está vacío o es “0.0.0.0”. |
user |
target.user.userid |
El valor de user del registro sin procesar se asigna a target.user.userid . |
user.id |
target.user.userid |
El valor de user.id del registro sin procesar se asigna a target.user.userid . |
user.name |
target.user.user_display_name |
El valor de user.name del registro sin procesar se asigna a target.user.user_display_name . |
user.userName |
target.user.user_display_name |
El valor de user.userName del registro sin procesar se asigna a target.user.user_display_name . |
user.userSid |
principal.user.windows_sid |
El valor de user.userSid del registro sin procesar se asigna a principal.user.windows_sid . |
user_name |
target.user.userid |
El valor de user_name del registro sin procesar se asigna a target.user.userid . |
value |
target.registry.registry_value_data o target.registry.registry_value_name |
El valor de value del registro sin procesar se asigna a target.registry.registry_value_data si event_name es "reg_delete_value". De lo contrario, se asigna a target.registry.registry_value_name . |
Cambios
2023-05-02
- Registros analizados transferidos en formato CEF
2022-09-28
- Se asignó "security_result.action" a "BLOCK" cuando "status" es "portscan_blocked" o "uc_site_blocked".
- Se asignó "security_result.action" a "BLOCK" cuando "main_action" está "bloqueada".
- Se asignó "security_result.action" a "BLOCK" cuando "actionTaken" es "block".
- Se asignó "security_result.action" a "BLOCK" cuando "final_status" es "blocked" o "deleted".
- Se asignó "security_result.action" a "ALLOW" cuando "final_status" se "ignora" o "aún está presente".
- Se asignó "security_result.action" a "ALLOW" cuando "main_action" es "no action".
- Se asignó "security_result.action" a "QUARANTINE" cuando "final_status" es "quarantined".
- Se asignó "security_result.action" a "ALLOW_WITH_MODIFICATION" cuando "final_status" es "disinfected" o "restored".
2022-08-17
- Mejora: Se modificó la asignación de "source_ip" de "principal.ip" a "srcc.ip".
- Establece "event_type" en "SCAN_NETWORK" cuando "module" sea igual a "network-monitor" o "fw".
- Se asignó "user.userSid" a "principal.user.windows_sid".
- Se asignó "user.userName" a "target.user.user_display_name".
- Se asignó "protocol_id" a "network.ip_protocol".
- Establece "security_result.action" en "BLOCK" cuando "status" sea igual a "portscan_blocked" o "uc_site_blocked".
- Se asignó "local_port" a "principal.port".
- Se asignó "actionTaken" a "security_result.action".
- Se asignó "detection_attackTechnique" a "security_result.detection_fields".
2022-08-13
- Se corrigió el error: Se modificó la asignación del campo "computer_name" de "principal.asset.hostname" a "event.idm.read_only_udm.principal.resource.attribute.labels".
2022-08-11
- Corrección de errores: Se modificaron las verificaciones condicionales para el campo "main_action" asignado a "security_result.action".
- Se asignó "STATUS_UPDATE" a "metadata.event_type" para los registros que tienen el módulo "task-status".
2022-04-14
- Mejora: Se agregaron asignaciones para computer_name, computer_id, uc_type, block_type,status,product_installed.
2022-03-30
- Se corrigió el error de marca de tiempo y se asignaron los campos user.id, user.name, companyId, computer_name, computer_fqdn, computer_ip, computer_id, url y categories.