Se usó la API de Cloud Translation para traducir esta página.

Recopila registros de Bitdefender

Compatible con:

Google SecOps SIEM

Este analizador extrae registros de Bitdefender en formato CEF o CSV, normaliza los campos al UDM y realiza acciones específicas según los campos event_name y module. Controla varios tipos de eventos, como operaciones de archivos, conexiones de red, creación de procesos y modificaciones del registro, asigna información relevante a los campos de la AUA adecuados y enriquece los datos con contexto adicional de los registros sin procesar.

Antes de comenzar

Asegúrate de tener una instancia de Google Security Operations.
Asegúrate de tener un host de Windows 2016 o una versión posterior, o Linux con systemd.
Si se ejecuta detrás de un proxy, asegúrate de que los puertos del firewall estén abiertos.
Asegúrate de tener acceso con privilegios a Bitdefender.

Obtén el archivo de autenticación de transferencia de Google SecOps

Accede a la consola de Google SecOps.
Ve a Configuración de SIEM > Agentes de recopilación.
Descarga el archivo de autenticación de transferencia.

Obtén el ID de cliente de Google SecOps

Accede a la consola de Google SecOps.
Ve a Configuración de SIEM > Perfil.
Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de BindPlane

Para la instalación de Windows, ejecuta la siguiente secuencia de comandos:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Para la instalación de Linux, ejecuta la siguiente secuencia de comandos:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Puedes encontrar opciones de instalación adicionales en esta guía de instalación.

Configura el agente de BindPlane para transferir Syslog y enviarlo a Google SecOps

Accede a la máquina en la que está instalado BindPlane.

Edita el archivo config.yaml de la siguiente manera:

receivers:
    tcplog:
        # Replace the below port <54525> and IP <0.0.0.0> with your specific values
        listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: bitdefender
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

Reinicia el agente de BindPlane para aplicar los cambios:
```
sudo systemctl restart bindplane
```

Cómo configurar la transmisión de Syslog en Bitdefender GravityZone

Accede al Control Center de GravityZone.
Ve a Configuración > Integraciones > Syslog.
Haz clic en Agregar servidor de Syslog.
Proporciona los detalles requeridos:
- Nombre: Proporciona un nombre único para el servidor de syslog (por ejemplo, CentralSyslog).
- Dirección IP o nombre de host: Ingresa la dirección IP o el nombre de host del servidor de Bindplane.
- Protocolo: Selecciona el protocolo que se usará: TCP / UDP.
- Puerto: Especifica el número de puerto del servidor de Bindplane.
- Selecciona los tipos de registro que deseas transmitir (por ejemplo, Eventos de antimalware, Eventos de defensa contra ataques de red (NAD), Eventos de control web, Eventos de firewall o Cambios de política).
- Opcional: Configura filtros para incluir o excluir tipos de eventos específicos.
Haz clic en Guardar.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
`BitdefenderGZAttackEntry`	`security_result.detection_fields.value`	El valor de `BitdefenderGZAttackEntry` del registro sin procesar se asigna como valor a un objeto `security_result.detection_fields` en el que la clave es "attack_entry".
`BitdefenderGZAttackTypes`	`security_result.category_details`	El valor de `BitdefenderGZAttackTypes` del registro sin procesar se asigna a `security_result.category_details`. Luego, el valor se divide en cadenas individuales y cada una se agrega como valor al array `security_result.category_details`.
`BitdefenderGZAttCkId`	`security_result.detection_fields.value`	El valor de `BitdefenderGZAttCkId` del registro sin procesar se asigna como valor a un objeto `security_result.detection_fields` en el que la clave es "BitdefenderGZAttCkId".
`BitdefenderGZCompanyId`	`target.user.company_name`	El valor de `BitdefenderGZCompanyId` del registro sin procesar se asigna a `target.user.company_name`.
`BitdefenderGZComputerFQDN`	`principal.asset.network_domain`	El valor de `BitdefenderGZComputerFQDN` del registro sin procesar se asigna a `principal.asset.network_domain`.
`BitdefenderGZDetectionName`	`security_result.threat_name`	El valor de `BitdefenderGZDetectionName` del registro sin procesar se asigna a `security_result.threat_name`.
`BitdefenderGZEndpointId`	`security_result.detection_fields.value`	El valor de `BitdefenderGZEndpointId` del registro sin procesar se asigna como valor a un objeto `security_result.detection_fields` en el que la clave es "BitdefenderGZEndpointId".
`BitdefenderGZIncidentId`	`metadata.product_log_id`	El valor de `BitdefenderGZIncidentId` del registro sin procesar se asigna a `metadata.product_log_id`.
`BitdefenderGZMainAction`	`security_result.action_details`	El valor de `BitdefenderGZMainAction` del registro sin procesar se asigna a `security_result.action_details`. En función de este valor, se establece el campo `security_result.action` (p.ej., "blocked" se asigna a "BLOCK"). El campo `security_result.description` también se propaga con "main_action: " seguido del valor de `BitdefenderGZMainAction`.
`BitdefenderGZMalwareHash`	`principal.process.file.sha256`	El valor de `BitdefenderGZMalwareHash` del registro sin procesar se asigna a `principal.process.file.sha256`.
`BitdefenderGZMalwareName`	`security_result.threat_name`	El valor de `BitdefenderGZMalwareName` del registro sin procesar se asigna a `security_result.threat_name`.
`BitdefenderGZMalwareType`	`security_result.detection_fields.value`	El valor de `BitdefenderGZMalwareType` del registro sin procesar se asigna como valor a un objeto `security_result.detection_fields` en el que la clave es "malware_type".
`BitdefenderGZModule`	`metadata.product_event_type`	El valor de `BitdefenderGZModule` del registro sin procesar se asigna a `metadata.product_event_type`.
`BitdefenderGZSeverityScore`	`security_result.severity_details`	El valor de `BitdefenderGZSeverityScore` del registro sin procesar se asigna a `security_result.severity_details`.
`BitdefenderGZHwId`	`target.resource.id`	El valor de `BitdefenderGZHwId` del registro sin procesar se asigna a `target.resource.id`.
`act`	`security_result.action_details`	El valor de `act` del registro sin procesar se asigna a `security_result.action_details`.
`actionTaken`	`security_result.action_details`	El valor de `actionTaken` del registro sin procesar se asigna a `security_result.action_details`. En función de este valor, se establece el campo `security_result.action` (p.ej., "block" se asigna a "BLOCK"). El campo `security_result.description` también se propaga con "actionTaken: " seguido del valor de `actionTaken`.
`additional.fields`	`additional.fields`	La lógica del analizador crea un par clave-valor para "product_installed" y lo agrega al objeto `additional.fields`.
`categories`	`principal.asset.category`	El valor de `categories` del registro sin procesar se asigna a `principal.asset.category`.
`cmd_line`	`target.process.command_line`	El valor de `cmd_line` del registro sin procesar se asigna a `target.process.command_line`.
`companyId`	`target.user.company_name`	El valor de `companyId` del registro sin procesar se asigna a `target.user.company_name`.
`computer_fqdn`	`principal.asset.network_domain`	El valor de `computer_fqdn` del registro sin procesar se asigna a `principal.asset.network_domain`.
`computer_id`	`principal.asset.asset_id`	El valor de `computer_id` del registro sin procesar se asigna a `principal.asset.asset_id` después de anteponer "ComputerId:".
`computer_ip`	`principal.asset.ip`	El valor de `computer_ip` del registro sin procesar se analiza, se divide por comas y cada dirección IP resultante se agrega al array `principal.asset.ip`.
`computer_name`	`principal.resource.attribute.labels.value`	El valor de `computer_name` del registro sin procesar se asigna como valor a un objeto `principal.resource.attribute.labels` en el que la clave es "computer_name". También se agrega como valor a un objeto `security_result.detection_fields` en el que la clave es "computer_name".
`column1`	`metadata.product_log_id`	El valor de `column1` del registro sin procesar se asigna a `metadata.product_log_id`.
`column3`	`observer.ip`	El valor de `column3` del registro sin procesar se asigna a `observer.ip`.
`command_line`	`target.process.command_line`	El valor de `command_line` del registro sin procesar se asigna a `target.process.command_line`.
`data`	`target.registry.registry_value_data`	El valor de `data` del registro sin procesar se asigna a `target.registry.registry_value_data`.
`detection_attackTechnique`	`security_result.detection_fields.value`	El valor de `detection_attackTechnique` del registro sin procesar se asigna como valor a un objeto `security_result.detection_fields` en el que la clave es "detection attackTechnique".
`detection_name`	`security_result.threat_name`	El valor de `detection_name` del registro sin procesar se asigna a `security_result.threat_name`.
`destination_ip`	`target.ip`	El valor de `destination_ip` del registro sin procesar se asigna a `target.ip`.
`destination_port`	`target.port`	El valor de `destination_port` del registro sin procesar se asigna a `target.port`.
`direction`	`network.direction`	El valor de `direction` del registro sin procesar se convierte a mayúsculas y se asigna a `network.direction`.
`dvc`	`principal.ip`	El valor de `dvc` del registro sin procesar se analiza, se divide por comas y cada dirección IP resultante se agrega al array `principal.ip`.
`dvchost`	`about.hostname`	El valor de `dvchost` del registro sin procesar se asigna a `about.hostname`.
`event_description`	`metadata.description`	El valor de `event_description` del registro sin procesar se asigna a `metadata.description`.
`event_name`	`metadata.product_event_type`	El valor de `event_name` del registro sin procesar se asigna a `metadata.product_event_type`. Si el valor es "Antiphishing", `security_result.category` se establece en "PHISHING". Si el valor es "AntiMalware", `security_result.category` se establece en "SOFTWARE_MALICIOUS". El campo `metadata.event_type` se deriva de `event_name` mediante una serie de sentencias condicionales dentro del analizador.
`ev`	`metadata.product_event_type`	El valor de `ev` del registro sin procesar se asigna a `metadata.product_event_type`.
`extra_info.command_line`	`target.process.command_line`	El valor de `extra_info.command_line` del registro sin procesar se asigna a `target.process.command_line`.
`extra_info.parent_pid`	`principal.process.pid`	El valor de `extra_info.parent_pid` del registro sin procesar se asigna a `principal.process.pid`.
`extra_info.parent_process_cmdline`	`principal.process.command_line`	El valor de `extra_info.parent_process_cmdline` del registro sin procesar se asigna a `principal.process.command_line`.
`extra_info.parent_process_path`	`principal.process.file.full_path`	El valor de `extra_info.parent_process_path` del registro sin procesar se asigna a `principal.process.file.full_path`.
`extra_info.pid`	`target.process.pid`	El valor de `extra_info.pid` del registro sin procesar se asigna a `target.process.pid`.
`extra_info.process_path`	`target.process.file.full_path`	El valor de `extra_info.process_path` del registro sin procesar se asigna a `target.process.file.full_path`.
`extra_info.user`	`target.user.userid`	El valor de `extra_info.user` del registro sin procesar se asigna a `target.user.userid`.
`filePath`	`principal.process.file.full_path`	El valor de `filePath` del registro sin procesar se asigna a `principal.process.file.full_path`.
`file_path`	`principal.process.file.full_path`	El valor de `file_path` del registro sin procesar se asigna a `principal.process.file.full_path`.
`final_status`	`security_result.action_details`	El valor de `final_status` del registro sin procesar se asigna a `security_result.action_details`. En función de este valor, se establece el campo `security_result.action` (p.ej., “deleted” se asigna a “BLOCK” y “ignored” a “ALLOW”). El campo `security_result.description` también se propaga con "final_status: " seguido del valor de `final_status`. Si el valor es "deleted" o "blocked", `metadata.event_type` se establece en "SCAN_NETWORK".
`hash`	`principal.process.file.sha256`	El valor de `hash` del registro sin procesar se asigna a `principal.process.file.sha256`.
`host`	`principal.hostname`	El valor de `host` del registro sin procesar se asigna a `principal.hostname`.
`hostname`	`principal.hostname`	El valor de `hostname` del registro sin procesar se asigna a `principal.hostname` si `event_name` no es "log_on" o "log_out". De lo contrario, se asigna a `target.hostname`.
`host_name`	`principal.hostname`	El valor de `host_name` del registro sin procesar se asigna a `principal.hostname`.
`hwid`	`principal.resource.id`	El valor de `hwid` del registro sin procesar se asigna a `principal.resource.id` si no está vacío. Si está vacío y el evento no es "log_on" o "log_out", el valor de `source_hwid` se asigna a `principal.resource.id`. Si el evento es "log_on" o "log_out", se asigna a `target.resource.id`.
`incident_id`	`metadata.product_log_id`	El valor de `incident_id` del registro sin procesar se asigna a `metadata.product_log_id`.
`ip_dest`	`target.ip`	El valor de `ip_dest` del registro sin procesar se asigna a `target.ip`.
`ip_source`	`principal.ip`	El valor de `ip_source` del registro sin procesar se asigna a `principal.ip`.
`key_path`	`target.registry.registry_key`	El valor de `key_path` del registro sin procesar se asigna a `target.registry.registry_key`.
`local_port`	`principal.port`	El valor de `local_port` del registro sin procesar se convierte en un número entero y se asigna a `principal.port`.
`logon_type`	`extensions.auth.mechanism`	El valor de `logon_type` del registro sin procesar se usa para determinar el valor de `extensions.auth.mechanism`. Los diferentes valores numéricos de `logon_type` se asignan a diferentes mecanismos de autenticación (p.ej., 2 mapas a "LOCAL", 3 a "NETWORK"). Si no se encuentra ningún `logon_type` coincidente, el mecanismo se establece en "MECHANISM_UNSPECIFIED".
`lurker_id`	`intermediary.resource.id`	El valor de `lurker_id` del registro sin procesar se asigna a `intermediary.resource.id`.
`main_action`	`security_result.action_details`	El valor de `main_action` del registro sin procesar se asigna a `security_result.action_details`. En función de este valor, se establece el campo `security_result.action` (p.ej., “blocked” se asigna a “BLOCK” y “no action” a “ALLOW”). El campo `security_result.description` también se propaga con "main_action: " seguido del valor de `main_action`.
`malware_name`	`security_result.threat_name`	El valor de `malware_name` del registro sin procesar se asigna a `security_result.threat_name`.
`malware_type`	`security_result.detection_fields.value`	El valor de `malware_type` del registro sin procesar se asigna como valor a un objeto `security_result.detection_fields` en el que la clave es "malware_type".
`metadata.description`	`metadata.description`	El analizador establece el campo `metadata.description` en función del campo `event_name`.
`metadata.event_type`	`metadata.event_type`	El analizador establece el campo `metadata.event_type` en función del campo `event_name`.
`metadata.product_event_type`	`metadata.product_event_type`	El analizador establece el campo `metadata.product_event_type` en función de los campos `event_name` o `module`.
`metadata.product_log_id`	`metadata.product_log_id`	El analizador establece el campo `metadata.product_log_id` en función de los campos `msg_id` o `incident_id`.
`metadata.product_name`	`metadata.product_name`	El analizador establece `metadata.product_name` en “BitDefender EDR”.
`metadata.product_version`	`metadata.product_version`	El analizador cambia el nombre del campo `product_version` a `metadata.product_version`.
`metadata.vendor_name`	`metadata.vendor_name`	El analizador establece `metadata.vendor_name` en "BitDefender".
`module`	`metadata.product_event_type`	El valor de `module` del registro sin procesar se asigna a `metadata.product_event_type`. Si el valor es "new-incident" y `target_process_file_full_path` no está vacío, `metadata.event_type` se establece en "PROCESS_UNCATEGORIZED". Si el valor es "task-status", `metadata.event_type` se establece en "STATUS_UPDATE". Si el valor es "network-monitor" o "fw", `metadata.event_type` se establece en "SCAN_NETWORK".
`msg_id`	`metadata.product_log_id`	El valor de `msg_id` del registro sin procesar se asigna a `metadata.product_log_id`.
`network.application_protocol`	`network.application_protocol`	El valor de `uc_type` del registro sin procesar se convierte a mayúsculas y se asigna a `network.application_protocol`.
`network.direction`	`network.direction`	El analizador establece el campo `network.direction` en función del campo `direction`.
`network.ip_protocol`	`network.ip_protocol`	Si `protocol_id` es “6”, el analizador establece `network.ip_protocol` en “TCP”.
`new_path`	`target.file.full_path`	El valor de `new_path` del registro sin procesar se asigna a `target.file.full_path`.
`old_path`	`src.file.full_path`	El valor de `old_path` del registro sin procesar se asigna a `src.file.full_path`.
`origin_ip`	`intermediary.ip`	El valor de `origin_ip` del registro sin procesar se asigna a `intermediary.ip`.
`os`	`principal.platform_version`	El valor de `os` del registro sin procesar se asigna a `principal.platform_version`. El campo `principal.platform` se deriva de `os` (p.ej., "Win" se asigna a "WINDOWS"). Si el evento es "log_on" o "log_out", los campos `principal.platform` y `principal.platform_version` se cambian a `target.platform` y `target.platform_version`, respectivamente.
`os_type`	`principal.platform`	El valor de `os_type` del registro sin procesar se usa para determinar el valor de `principal.platform` (p.ej., "Win" se asigna a "WINDOWS").
`parent_pid`	`principal.process.pid`	El valor de `parent_pid` del registro sin procesar se asigna a `principal.process.pid`.
`parent_process_path`	`principal.process.file.full_path`	El valor de `parent_process_path` del registro sin procesar se asigna a `principal.process.file.full_path`.
`parent_process_pid`	`principal.process.pid`	El valor de `parent_process_pid` del registro sin procesar se asigna a `principal.process.pid`.
`path`	`target.file.full_path`	El valor de `path` del registro sin procesar se asigna a `target.file.full_path`.
`pid`	`principal.process.pid` o `target.process.pid`	El valor de `pid` del registro sin procesar se asigna a `principal.process.pid` si `event_name` comienza con "file" o "reg", o si es uno de "process_signal", "network_connection" o "connection_connect". De lo contrario, se asigna a `target.process.pid`.
`pid_path`	`principal.process.file.full_path`	El valor de `pid_path` del registro sin procesar se asigna a `principal.process.file.full_path`.
`port_dest`	`target.port`	El valor de `port_dest` del registro sin procesar se convierte en un número entero y se asigna a `target.port`.
`port_source`	`principal.port`	El valor de `port_source` del registro sin procesar se convierte en un número entero y se asigna a `principal.port`.
`ppid`	`principal.process.pid`	El valor de `ppid` del registro sin procesar se asigna a `principal.process.pid`.
`principal.ip`	`principal.ip`	El analizador establece el campo `principal.ip` en función de los campos `ip_source` o `dvc`.
`principal.platform`	`principal.platform`	El analizador establece el campo `principal.platform` en función de los campos `os` o `os_type`.
`principal.platform_version`	`principal.platform_version`	El analizador establece el campo `principal.platform_version` en función de los campos `os` o `osi_version`.
`principal.process.command_line`	`principal.process.command_line`	El analizador establece el campo `principal.process.command_line` en función del campo `parent_process_cmdline`.
`principal.process.file.full_path`	`principal.process.file.full_path`	El analizador establece el campo `principal.process.file.full_path` según los campos `pid_path`, `file_path`, `parent_process_path` o `process_path`.
`principal.process.file.md5`	`principal.process.file.md5`	El analizador cambia el nombre del campo `file_hash_md5` a `principal.process.file.md5`.
`principal.process.file.sha256`	`principal.process.file.sha256`	El analizador establece el campo `principal.process.file.sha256` según los campos `hash`, `BitdefenderGZMalwareHash` o `file_hash_sha256`.
`principal.process.parent_process.pid`	`principal.process.parent_process.pid`	El analizador cambia el nombre del campo `ppid` a `principal.process.parent_process.pid`.
`principal.process.pid`	`principal.process.pid`	El analizador establece el campo `principal.process.pid` según los campos `pid`, `parent_pid`, `ppid` o `parent_process_pid`.
`principal.resource.id`	`principal.resource.id`	El analizador establece el campo `principal.resource.id` en función de los campos `hwid` o `source_hwid`.
`principal.url`	`principal.url`	El analizador establece el campo `principal.url` en función del campo `url`.
`process_command_line`	`target.process.command_line`	El valor de `process_command_line` del registro sin procesar se asigna a `target.process.command_line`.
`process_path`	`principal.process.file.full_path` o `target.process.file.full_path`	El valor de `process_path` del registro sin procesar se asigna a `principal.process.file.full_path` si `event_name` es "network_connection" o "connection_connect". De lo contrario, se asigna a `target.process.file.full_path`.
`product_installed`	`additional.fields.value.string_value`	El valor de `product_installed` del registro sin procesar se asigna como valor a un objeto `additional.fields` en el que la clave es "product_installed".
`product_version`	`metadata.product_version`	El valor de `product_version` del registro sin procesar se asigna a `metadata.product_version`.
`protocol_id`	`network.ip_protocol`	Si `protocol_id` es “6”, el analizador establece `network.ip_protocol` en “TCP”.
`request`	`target.url`	El valor de `request` del registro sin procesar se asigna a `target.url`.
`security_result.action`	`security_result.action`	El analizador establece el campo `security_result.action` según los campos `main_action`, `actionTaken`, `status` o `final_status`. Si ninguno de estos campos proporciona una acción válida, el valor predeterminado será "UNKNOWN_ACTION".
`security_result.action_details`	`security_result.action_details`	El analizador establece el campo `security_result.action_details` según los campos `main_action`, `actionTaken`, `status` o `final_status`.
`security_result.category`	`security_result.category`	El analizador establece el campo `security_result.category` en "PHISHING" si `event_name` es "Antiphishing", en "SOFTWARE_MALICIOUS" si `event_name` es "AntiMalware" o combina el valor del campo `sec_category`.
`security_result.category_details`	`security_result.category_details`	El analizador establece el campo `security_result.category_details` en función de los campos `block_type` o `attack_types`.
`security_result.detection_fields`	`security_result.detection_fields`	El analizador crea objetos `security_result.detection_fields` para varios campos, incluidos "malware_type", "attack_entry", "BitdefenderGZAttCkId", "BitdefenderGZEndpointId", "final_status", "detection attackTechnique" y "computer_name".
`security_result.description`	`security_result.description`	El analizador establece el campo `security_result.description` según los campos `main_action`, `actionTaken` o `final_status`.
`security_result.severity`	`security_result.severity`	El analizador establece el campo `security_result.severity` en función del valor en mayúsculas del campo `severity` si no está vacío y `module` es "new-incident".
`security_result.severity_details`	`security_result.severity_details`	El analizador establece el campo `security_result.severity_details` en función del campo `severity_score`.
`security_result.threat_name`	`security_result.threat_name`	El analizador establece el campo `security_result.threat_name` en función de los campos `malware_name` o `detection_name`.
`severity`	`security_result.severity`	El valor de `severity` del registro sin procesar se convierte a mayúsculas y se asigna a `security_result.severity` si no está vacío y `module` es "new-incident".
`severity_score`	`security_result.severity_details`	El valor de `severity_score` del registro sin procesar se convierte en una cadena y se asigna a `security_result.severity_details`.
`source_host`	`observer.ip`	El valor de `source_host` del registro sin procesar se asigna a `observer.ip`.
`source_hwid`	`principal.resource.id`	El valor de `source_hwid` del registro sin procesar se asigna a `principal.resource.id`.
`source_ip`	`src.ip`	El valor de `source_ip` del registro sin procesar se asigna a `src.ip`.
`source_port`	`principal.port`	El valor de `source_port` del registro sin procesar se convierte en un número entero y se asigna a `principal.port`.
`spt`	`principal.port`	El valor de `spt` del registro sin procesar se asigna a `principal.port`.
`sproc`	`principal.process.command_line`	El valor de `sproc` del registro sin procesar se asigna a `principal.process.command_line`.
`src`	`principal.ip`	El valor de `src` del registro sin procesar se asigna a `principal.ip`.
`src.ip`	`src.ip`	El analizador establece el campo `src.ip` en función del campo `source_ip`.
`src.file.full_path`	`src.file.full_path`	El analizador establece el campo `src.file.full_path` en función del campo `old_path`.
`status`	`security_result.action_details`	El valor de `status` del registro sin procesar se asigna a `security_result.action_details`. En función de este valor, se establece el campo `security_result.action` (p.ej., "portscan_blocked" y "uc_site_blocked" se asignan a "BLOCK"). El campo `security_result.description` también se propaga con "status: " seguido del valor de `status`.
`suid`	`principal.user.userid`	El valor de `suid` del registro sin procesar se asigna a `principal.user.userid`.
`suser`	`principal.user.user_display_name`	El valor de `suser` del registro sin procesar se asigna a `principal.user.user_display_name`.
`target.file.full_path`	`target.file.full_path`	El analizador establece el campo `target.file.full_path` en función de los campos `path` o `new_path`.
`target.hostname`	`target.hostname`	El analizador establece el campo `target.hostname` en función del campo `hostname`.
`target.ip`	`target.ip`	El analizador establece el campo `target.ip` en función de los campos `ip_dest` o `destination_ip`.
`target.platform`	`target.platform`	El analizador establece el campo `target.platform` en función del campo `principal.platform`.
`target.platform_version`	`target.platform_version`	El analizador establece el campo `target.platform_version` en función del campo `principal.platform_version`.
`target.port`	`target.port`	El analizador establece el campo `target.port` en función de los campos `port_dest` o `destination_port`.
`target.process.command_line`	`target.process.command_line`	El analizador establece el campo `target.process.command_line` según los campos `command_line`, `process_command_line` o `cmd_line`.
`target.process.file.full_path`	`target.process.file.full_path`	El analizador establece el campo `target.process.file.full_path` en función del campo `process_path`.
`target.process.pid`	`target.process.pid`	El analizador establece el campo `target.process.pid` en función del campo `pid`.
`target.registry.registry_key`	`target.registry.registry_key`	El analizador establece el campo `target.registry.registry_key` en función del campo `key_path`.
`target.registry.registry_value_data`	`target.registry.registry_value_data`	El analizador establece el campo `target.registry.registry_value_data` en función del campo `data`.
`target.registry.registry_value_name`	`target.registry.registry_value_name`	El analizador establece el campo `target.registry.registry_value_name` en función del campo `value`.
`target.resource.id`	`target.resource.id`	El analizador establece el campo `target.resource.id` en función de los campos `hwid` o `BitdefenderGZHwId`.
`target.url`	`target.url`	El analizador establece el campo `target.url` en función del campo `request`.
`target.user.company_name`	`target.user.company_name`	El analizador establece el campo `target.user.company_name` en función del campo `companyId`.
`target.user.user_display_name`	`target.user.user_display_name`	El analizador establece el campo `target.user.user_display_name` en función de los campos `user.name` o `user.userName`.
`target.user.userid`	`target.user.userid`	El analizador establece el campo `target.user.userid` según los campos `user_name`, `user`, `user.id` o `extra_info.user`.
`target_pid`	`target.process.pid`	El valor de `target_pid` del registro sin procesar se asigna a `target.process.pid`.
`timestamp`	`metadata.event_timestamp`	El valor de `timestamp` del registro sin procesar se analiza y se asigna a `metadata.event_timestamp`.
`uc_type`	`network.application_protocol`	El valor de `uc_type` del registro sin procesar se convierte a mayúsculas y se asigna a `network.application_protocol`. Si `target_user_userid` no está vacío, `metadata.event_type` se establece en "USER_UNCATEGORIZED". De lo contrario, se establece como "STATUS_UPDATE".
`url`	`principal.url`	El valor de `url` del registro sin procesar se asigna a `principal.url` si no está vacío o es “0.0.0.0”.
`user`	`target.user.userid`	El valor de `user` del registro sin procesar se asigna a `target.user.userid`.
`user.id`	`target.user.userid`	El valor de `user.id` del registro sin procesar se asigna a `target.user.userid`.
`user.name`	`target.user.user_display_name`	El valor de `user.name` del registro sin procesar se asigna a `target.user.user_display_name`.
`user.userName`	`target.user.user_display_name`	El valor de `user.userName` del registro sin procesar se asigna a `target.user.user_display_name`.
`user.userSid`	`principal.user.windows_sid`	El valor de `user.userSid` del registro sin procesar se asigna a `principal.user.windows_sid`.
`user_name`	`target.user.userid`	El valor de `user_name` del registro sin procesar se asigna a `target.user.userid`.
`value`	`target.registry.registry_value_data` o `target.registry.registry_value_name`	El valor de `value` del registro sin procesar se asigna a `target.registry.registry_value_data` si `event_name` es "reg_delete_value". De lo contrario, se asigna a `target.registry.registry_value_name`.

Cambios

2023-05-02

Registros analizados transferidos en formato CEF

2022-09-28

Se asignó "security_result.action" a "BLOCK" cuando "status" es "portscan_blocked" o "uc_site_blocked".
Se asignó "security_result.action" a "BLOCK" cuando "main_action" está "bloqueada".
Se asignó "security_result.action" a "BLOCK" cuando "actionTaken" es "block".
Se asignó "security_result.action" a "BLOCK" cuando "final_status" es "blocked" o "deleted".
Se asignó "security_result.action" a "ALLOW" cuando "final_status" se "ignora" o "aún está presente".
Se asignó "security_result.action" a "ALLOW" cuando "main_action" es "no action".
Se asignó "security_result.action" a "QUARANTINE" cuando "final_status" es "quarantined".
Se asignó "security_result.action" a "ALLOW_WITH_MODIFICATION" cuando "final_status" es "disinfected" o "restored".

2022-08-17

Mejora: Se modificó la asignación de "source_ip" de "principal.ip" a "srcc.ip".
Establece "event_type" en "SCAN_NETWORK" cuando "module" sea igual a "network-monitor" o "fw".
Se asignó "user.userSid" a "principal.user.windows_sid".
Se asignó "user.userName" a "target.user.user_display_name".
Se asignó "protocol_id" a "network.ip_protocol".
Establece "security_result.action" en "BLOCK" cuando "status" sea igual a "portscan_blocked" o "uc_site_blocked".
Se asignó "local_port" a "principal.port".
Se asignó "actionTaken" a "security_result.action".
Se asignó "detection_attackTechnique" a "security_result.detection_fields".

2022-08-13

Se corrigió el error: Se modificó la asignación del campo "computer_name" de "principal.asset.hostname" a "event.idm.read_only_udm.principal.resource.attribute.labels".

2022-08-11

Corrección de errores: Se modificaron las verificaciones condicionales para el campo "main_action" asignado a "security_result.action".
Se asignó "STATUS_UPDATE" a "metadata.event_type" para los registros que tienen el módulo "task-status".

2022-04-14

Mejora: Se agregaron asignaciones para computer_name, computer_id, uc_type, block_type,status,product_installed.

2022-03-30

Se corrigió el error de marca de tiempo y se asignaron los campos user.id, user.name, companyId, computer_name, computer_fqdn, computer_ip, computer_id, url y categories.