Collecter les journaux Bitdefender
Cet analyseur extrait les journaux Bitdefender au format CEF ou CSV, normalise les champs dans l'UDM et effectue des actions spécifiques en fonction des champs event_name
et module. Il gère différents types d'événements, tels que les opérations de fichiers, les connexions réseau, la création de processus et les modifications de Registre, en mappant les informations pertinentes sur les champs UDM appropriés et en enrichissant les données avec un contexte supplémentaire provenant des journaux bruts.
Avant de commencer
- Assurez-vous de disposer d'une instance Google Security Operations.
- Assurez-vous de disposer d'un hôte Windows 2016 ou version ultérieure ou Linux avec systemd.
- Si vous exécutez l'application derrière un proxy, assurez-vous que les ports du pare-feu sont ouverts.
- Assurez-vous de disposer d'un accès privilégié à Bitdefender.
Obtenir le fichier d'authentification d'ingestion Google SecOps
- Connectez-vous à la console Google SecOps.
- Accédez à Paramètres du SIEM > Agents de collecte.
- Téléchargez le fichier d'authentification d'ingestion.
Obtenir le numéro client Google SecOps
- Connectez-vous à la console Google SecOps.
- Accédez à Paramètres du SIEM > Profil.
- Copiez et sauvegardez l'ID client dans la section Détails de l'organisation.
Installer l'agent BindPlane
- Pour l'installation sous Windows, exécutez le script suivant:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
- Pour l'installation Linux, exécutez le script suivant:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
- Pour en savoir plus sur les options d'installation, consultez ce guide d'installation.
Configurer l'agent BindPlane pour ingérer Syslog et l'envoyer à Google SecOps
- Accédez à la machine sur laquelle BindPlane est installé.
Modifiez le fichier
config.yaml
comme suit :receivers: tcplog: # Replace the below port <54525> and IP <0.0.0.0> with your specific values listen_address: "0.0.0.0:54525" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the creds location below according the placement of the credentials file you downloaded creds: '{ json file for creds }' # Replace <customer_id> below with your actual ID that you copied customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # You can apply ingestion labels below as preferred ingestion_labels: log_type: SYSLOG namespace: bitdefender raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - tcplog exporters: - chronicle/chronicle_w_labels
Redémarrez l'agent BindPlane pour appliquer les modifications:
sudo systemctl restart bindplane
Configurer le streaming Syslog dans Bitdefender GravityZone
- Connectez-vous au centre de contrôle GravityZone.
- Accédez à Configuration > Intégrations > Syslog.
- Cliquez sur Ajouter un serveur Syslog.
- Fournissez les informations requises :
- Nom: indiquez un nom unique pour le serveur syslog (par exemple, CentralSyslog).
- Adresse IP/Nom d'hôte: saisissez l'adresse IP ou le nom d'hôte du serveur Bindplane.
- Protocole: sélectionnez le protocole à utiliser: TCP / UDP.
- Port: spécifiez le numéro de port du serveur Bindplane.
- Sélectionnez les types de journaux à diffuser (par exemple, Événements de protection contre les logiciels malveillants, Événements de défense contre les attaques réseau, Événements de contrôle Web, Événements de pare-feu ou Modifications de règles).
- (Facultatif) Configurez des filtres pour inclure ou exclure des types d'événements spécifiques.
- Cliquez sur Enregistrer.
Tableau de mappage UDM
Champ de journal | Mappage UDM | Logique |
---|---|---|
BitdefenderGZAttackEntry |
security_result.detection_fields.value |
La valeur de BitdefenderGZAttackEntry du journal brut est attribuée à un objet security_result.detection_fields dont la clé est "attack_entry". |
BitdefenderGZAttackTypes |
security_result.category_details |
La valeur de BitdefenderGZAttackTypes du journal brut est attribuée à security_result.category_details . La valeur est ensuite divisée en chaînes individuelles, et chaque chaîne est ajoutée en tant que valeur au tableau security_result.category_details . |
BitdefenderGZAttCkId |
security_result.detection_fields.value |
La valeur de BitdefenderGZAttCkId du journal brut est attribuée à un objet security_result.detection_fields dont la clé est "BitdefenderGZAttCkId". |
BitdefenderGZCompanyId |
target.user.company_name |
La valeur de BitdefenderGZCompanyId du journal brut est attribuée à target.user.company_name . |
BitdefenderGZComputerFQDN |
principal.asset.network_domain |
La valeur de BitdefenderGZComputerFQDN du journal brut est attribuée à principal.asset.network_domain . |
BitdefenderGZDetectionName |
security_result.threat_name |
La valeur de BitdefenderGZDetectionName du journal brut est attribuée à security_result.threat_name . |
BitdefenderGZEndpointId |
security_result.detection_fields.value |
La valeur de BitdefenderGZEndpointId du journal brut est attribuée à un objet security_result.detection_fields dont la clé est "BitdefenderGZEndpointId". |
BitdefenderGZIncidentId |
metadata.product_log_id |
La valeur de BitdefenderGZIncidentId du journal brut est attribuée à metadata.product_log_id . |
BitdefenderGZMainAction |
security_result.action_details |
La valeur de BitdefenderGZMainAction du journal brut est attribuée à security_result.action_details . En fonction de cette valeur, le champ security_result.action est défini (par exemple, "blocked" est mappé sur "BLOCK"). Le champ security_result.description est également renseigné avec "main_action: ", suivi de la valeur BitdefenderGZMainAction . |
BitdefenderGZMalwareHash |
principal.process.file.sha256 |
La valeur de BitdefenderGZMalwareHash du journal brut est attribuée à principal.process.file.sha256 . |
BitdefenderGZMalwareName |
security_result.threat_name |
La valeur de BitdefenderGZMalwareName du journal brut est attribuée à security_result.threat_name . |
BitdefenderGZMalwareType |
security_result.detection_fields.value |
La valeur de BitdefenderGZMalwareType du journal brut est attribuée à un objet security_result.detection_fields dont la clé est "malware_type". |
BitdefenderGZModule |
metadata.product_event_type |
La valeur de BitdefenderGZModule du journal brut est attribuée à metadata.product_event_type . |
BitdefenderGZSeverityScore |
security_result.severity_details |
La valeur de BitdefenderGZSeverityScore du journal brut est attribuée à security_result.severity_details . |
BitdefenderGZHwId |
target.resource.id |
La valeur de BitdefenderGZHwId du journal brut est attribuée à target.resource.id . |
act |
security_result.action_details |
La valeur de act du journal brut est attribuée à security_result.action_details . |
actionTaken |
security_result.action_details |
La valeur de actionTaken du journal brut est attribuée à security_result.action_details . En fonction de cette valeur, le champ security_result.action est défini (par exemple, "block" est mappé sur "BLOCK"). Le champ security_result.description est également renseigné avec "actionTaken: " suivi de la valeur de actionTaken . |
additional.fields |
additional.fields |
La logique d'analyseur crée une paire clé-valeur pour "product_installed" et l'ajoute à l'objet additional.fields . |
categories |
principal.asset.category |
La valeur de categories du journal brut est attribuée à principal.asset.category . |
cmd_line |
target.process.command_line |
La valeur de cmd_line du journal brut est attribuée à target.process.command_line . |
companyId |
target.user.company_name |
La valeur de companyId du journal brut est attribuée à target.user.company_name . |
computer_fqdn |
principal.asset.network_domain |
La valeur de computer_fqdn du journal brut est attribuée à principal.asset.network_domain . |
computer_id |
principal.asset.asset_id |
La valeur de computer_id du journal brut est attribuée à principal.asset.asset_id après avoir ajouté "ComputerId:". |
computer_ip |
principal.asset.ip |
La valeur de computer_ip du journal brut est analysée, divisée par des virgules, et chaque adresse IP obtenue est ajoutée au tableau principal.asset.ip . |
computer_name |
principal.resource.attribute.labels.value |
La valeur de computer_name du journal brut est attribuée à un objet principal.resource.attribute.labels dont la clé est "computer_name". Il est également ajouté en tant que valeur à un objet security_result.detection_fields dont la clé est "computer_name". |
column1 |
metadata.product_log_id |
La valeur de column1 du journal brut est attribuée à metadata.product_log_id . |
column3 |
observer.ip |
La valeur de column3 du journal brut est attribuée à observer.ip . |
command_line |
target.process.command_line |
La valeur de command_line du journal brut est attribuée à target.process.command_line . |
data |
target.registry.registry_value_data |
La valeur de data du journal brut est attribuée à target.registry.registry_value_data . |
detection_attackTechnique |
security_result.detection_fields.value |
La valeur de detection_attackTechnique du journal brut est attribuée à un objet security_result.detection_fields dont la clé est "detection attackTechnique". |
detection_name |
security_result.threat_name |
La valeur de detection_name du journal brut est attribuée à security_result.threat_name . |
destination_ip |
target.ip |
La valeur de destination_ip du journal brut est attribuée à target.ip . |
destination_port |
target.port |
La valeur de destination_port du journal brut est attribuée à target.port . |
direction |
network.direction |
La valeur de direction du journal brut est mise en majuscule et attribuée à network.direction . |
dvc |
principal.ip |
La valeur de dvc du journal brut est analysée, divisée par des virgules, et chaque adresse IP obtenue est ajoutée au tableau principal.ip . |
dvchost |
about.hostname |
La valeur de dvchost du journal brut est attribuée à about.hostname . |
event_description |
metadata.description |
La valeur de event_description du journal brut est attribuée à metadata.description . |
event_name |
metadata.product_event_type |
La valeur de event_name du journal brut est attribuée à metadata.product_event_type . Si la valeur est "Antiphishing", security_result.category est définie sur "PHISHING". Si la valeur est "Anti-logiciel malveillant", security_result.category est définie sur "SOFTWARE_MALICIOUS". Le champ metadata.event_type est dérivé de event_name à l'aide d'une série d'instructions conditionnelles dans l'analyseur. |
ev |
metadata.product_event_type |
La valeur de ev du journal brut est attribuée à metadata.product_event_type . |
extra_info.command_line |
target.process.command_line |
La valeur de extra_info.command_line du journal brut est attribuée à target.process.command_line . |
extra_info.parent_pid |
principal.process.pid |
La valeur de extra_info.parent_pid du journal brut est attribuée à principal.process.pid . |
extra_info.parent_process_cmdline |
principal.process.command_line |
La valeur de extra_info.parent_process_cmdline du journal brut est attribuée à principal.process.command_line . |
extra_info.parent_process_path |
principal.process.file.full_path |
La valeur de extra_info.parent_process_path du journal brut est attribuée à principal.process.file.full_path . |
extra_info.pid |
target.process.pid |
La valeur de extra_info.pid du journal brut est attribuée à target.process.pid . |
extra_info.process_path |
target.process.file.full_path |
La valeur de extra_info.process_path du journal brut est attribuée à target.process.file.full_path . |
extra_info.user |
target.user.userid |
La valeur de extra_info.user du journal brut est attribuée à target.user.userid . |
filePath |
principal.process.file.full_path |
La valeur de filePath du journal brut est attribuée à principal.process.file.full_path . |
file_path |
principal.process.file.full_path |
La valeur de file_path du journal brut est attribuée à principal.process.file.full_path . |
final_status |
security_result.action_details |
La valeur de final_status du journal brut est attribuée à security_result.action_details . En fonction de cette valeur, le champ security_result.action est défini (par exemple, "deleted" correspond à "BLOCK", "ignored" à "ALLOW"). Le champ security_result.description est également renseigné avec "final_status: ", suivi de la valeur final_status . Si la valeur est "deleted" (supprimé) ou "blocked" (bloqué), metadata.event_type est défini sur "SCAN_NETWORK". |
hash |
principal.process.file.sha256 |
La valeur de hash du journal brut est attribuée à principal.process.file.sha256 . |
host |
principal.hostname |
La valeur de host du journal brut est attribuée à principal.hostname . |
hostname |
principal.hostname |
La valeur de hostname du journal brut est attribuée à principal.hostname si event_name n'est pas "log_on" ou "log_out". Sinon, il est attribué à target.hostname . |
host_name |
principal.hostname |
La valeur de host_name du journal brut est attribuée à principal.hostname . |
hwid |
principal.resource.id |
La valeur de hwid du journal brut est attribuée à principal.resource.id si elle n'est pas vide. S'il est vide et que l'événement n'est pas "log_on" ou "log_out", la valeur de source_hwid est attribuée à principal.resource.id . Si l'événement est "log_on" ou "log_out", il est attribué à target.resource.id . |
incident_id |
metadata.product_log_id |
La valeur de incident_id du journal brut est attribuée à metadata.product_log_id . |
ip_dest |
target.ip |
La valeur de ip_dest du journal brut est attribuée à target.ip . |
ip_source |
principal.ip |
La valeur de ip_source du journal brut est attribuée à principal.ip . |
key_path |
target.registry.registry_key |
La valeur de key_path du journal brut est attribuée à target.registry.registry_key . |
local_port |
principal.port |
La valeur de local_port du journal brut est convertie en entier et attribuée à principal.port . |
logon_type |
extensions.auth.mechanism |
La valeur de logon_type dans le journal brut est utilisée pour déterminer la valeur de extensions.auth.mechanism . Différentes valeurs numériques de logon_type correspondent à différents mécanismes d'authentification (par exemple, 2 cartes correspondent à "LOCAL", 3 à "NETWORK"). Si aucun logon_type correspondant n'est trouvé, le mécanisme est défini sur "MECHANISM_UNSPECIFIED". |
lurker_id |
intermediary.resource.id |
La valeur de lurker_id du journal brut est attribuée à intermediary.resource.id . |
main_action |
security_result.action_details |
La valeur de main_action du journal brut est attribuée à security_result.action_details . En fonction de cette valeur, le champ security_result.action est défini (par exemple, "blocked" correspond à "BLOCK", "no action" à "ALLOW"). Le champ security_result.description est également renseigné avec "main_action: ", suivi de la valeur main_action . |
malware_name |
security_result.threat_name |
La valeur de malware_name du journal brut est attribuée à security_result.threat_name . |
malware_type |
security_result.detection_fields.value |
La valeur de malware_type du journal brut est attribuée à un objet security_result.detection_fields dont la clé est "malware_type". |
metadata.description |
metadata.description |
L'analyseur définit le champ metadata.description en fonction du champ event_name . |
metadata.event_type |
metadata.event_type |
L'analyseur définit le champ metadata.event_type en fonction du champ event_name . |
metadata.product_event_type |
metadata.product_event_type |
L'analyseur définit le champ metadata.product_event_type en fonction des champs event_name ou module . |
metadata.product_log_id |
metadata.product_log_id |
L'analyseur définit le champ metadata.product_log_id en fonction des champs msg_id ou incident_id . |
metadata.product_name |
metadata.product_name |
L'analyseur définit metadata.product_name sur "BitDefender EDR". |
metadata.product_version |
metadata.product_version |
L'analyseur renomme le champ product_version en metadata.product_version . |
metadata.vendor_name |
metadata.vendor_name |
L'analyseur définit metadata.vendor_name sur "BitDefender". |
module |
metadata.product_event_type |
La valeur de module du journal brut est attribuée à metadata.product_event_type . Si la valeur est "new-incident" et que target_process_file_full_path n'est pas vide, metadata.event_type est défini sur "PROCESS_UNCATEGORIZED". Si la valeur est "task-status", metadata.event_type est défini sur "STATUS_UPDATE". Si la valeur est "network-monitor" ou "fw", metadata.event_type est défini sur "SCAN_NETWORK". |
msg_id |
metadata.product_log_id |
La valeur de msg_id du journal brut est attribuée à metadata.product_log_id . |
network.application_protocol |
network.application_protocol |
La valeur de uc_type du journal brut est mise en majuscule et attribuée à network.application_protocol . |
network.direction |
network.direction |
L'analyseur définit le champ network.direction en fonction du champ direction . |
network.ip_protocol |
network.ip_protocol |
Si protocol_id est défini sur "6", l'analyseur définit network.ip_protocol sur "TCP". |
new_path |
target.file.full_path |
La valeur de new_path du journal brut est attribuée à target.file.full_path . |
old_path |
src.file.full_path |
La valeur de old_path du journal brut est attribuée à src.file.full_path . |
origin_ip |
intermediary.ip |
La valeur de origin_ip du journal brut est attribuée à intermediary.ip . |
os |
principal.platform_version |
La valeur de os du journal brut est attribuée à principal.platform_version . Le champ principal.platform est dérivé de os (par exemple, "Win" est mappé sur "WINDOWS"). Si l'événement est "log_on" ou "log_out", les champs principal.platform et principal.platform_version sont renommés target.platform et target.platform_version , respectivement. |
os_type |
principal.platform |
La valeur de os_type du journal brut est utilisée pour déterminer la valeur de principal.platform (par exemple, "Win" est mappé sur "WINDOWS"). |
parent_pid |
principal.process.pid |
La valeur de parent_pid du journal brut est attribuée à principal.process.pid . |
parent_process_path |
principal.process.file.full_path |
La valeur de parent_process_path du journal brut est attribuée à principal.process.file.full_path . |
parent_process_pid |
principal.process.pid |
La valeur de parent_process_pid du journal brut est attribuée à principal.process.pid . |
path |
target.file.full_path |
La valeur de path du journal brut est attribuée à target.file.full_path . |
pid |
principal.process.pid ou target.process.pid |
La valeur de pid du journal brut est attribuée à principal.process.pid si event_name commence par "file" ou "reg", ou si elle est l'une des valeurs "process_signal", "network_connection" ou "connection_connect". Sinon, il est attribué à target.process.pid . |
pid_path |
principal.process.file.full_path |
La valeur de pid_path du journal brut est attribuée à principal.process.file.full_path . |
port_dest |
target.port |
La valeur de port_dest du journal brut est convertie en entier et attribuée à target.port . |
port_source |
principal.port |
La valeur de port_source du journal brut est convertie en entier et attribuée à principal.port . |
ppid |
principal.process.pid |
La valeur de ppid du journal brut est attribuée à principal.process.pid . |
principal.ip |
principal.ip |
L'analyseur définit le champ principal.ip en fonction des champs ip_source ou dvc . |
principal.platform |
principal.platform |
L'analyseur définit le champ principal.platform en fonction des champs os ou os_type . |
principal.platform_version |
principal.platform_version |
L'analyseur définit le champ principal.platform_version en fonction des champs os ou osi_version . |
principal.process.command_line |
principal.process.command_line |
L'analyseur définit le champ principal.process.command_line en fonction du champ parent_process_cmdline . |
principal.process.file.full_path |
principal.process.file.full_path |
L'analyseur définit le champ principal.process.file.full_path en fonction des champs pid_path , file_path , parent_process_path ou process_path . |
principal.process.file.md5 |
principal.process.file.md5 |
L'analyseur renomme le champ file_hash_md5 en principal.process.file.md5 . |
principal.process.file.sha256 |
principal.process.file.sha256 |
L'analyseur définit le champ principal.process.file.sha256 en fonction des champs hash , BitdefenderGZMalwareHash ou file_hash_sha256 . |
principal.process.parent_process.pid |
principal.process.parent_process.pid |
L'analyseur renomme le champ ppid en principal.process.parent_process.pid . |
principal.process.pid |
principal.process.pid |
L'analyseur définit le champ principal.process.pid en fonction des champs pid , parent_pid , ppid ou parent_process_pid . |
principal.resource.id |
principal.resource.id |
L'analyseur définit le champ principal.resource.id en fonction des champs hwid ou source_hwid . |
principal.url |
principal.url |
L'analyseur définit le champ principal.url en fonction du champ url . |
process_command_line |
target.process.command_line |
La valeur de process_command_line du journal brut est attribuée à target.process.command_line . |
process_path |
principal.process.file.full_path ou target.process.file.full_path |
La valeur de process_path du journal brut est attribuée à principal.process.file.full_path si event_name est "network_connection" ou "connection_connect". Sinon, il est attribué à target.process.file.full_path . |
product_installed |
additional.fields.value.string_value |
La valeur de product_installed du journal brut est attribuée à un objet additional.fields dont la clé est "product_installed". |
product_version |
metadata.product_version |
La valeur de product_version du journal brut est attribuée à metadata.product_version . |
protocol_id |
network.ip_protocol |
Si protocol_id est défini sur "6", l'analyseur définit network.ip_protocol sur "TCP". |
request |
target.url |
La valeur de request du journal brut est attribuée à target.url . |
security_result.action |
security_result.action |
L'analyseur définit le champ security_result.action en fonction des champs main_action , actionTaken , status ou final_status . Si aucun de ces champs ne fournit d'action valide, la valeur par défaut est "UNKNOWN_ACTION". |
security_result.action_details |
security_result.action_details |
L'analyseur définit le champ security_result.action_details en fonction des champs main_action , actionTaken , status ou final_status . |
security_result.category |
security_result.category |
L'analyseur définit le champ security_result.category sur "PHISHING" si event_name est "Antiphishing", sur "SOFTWARE_MALICIOUS" si event_name est "Anti-logiciel malveillant", ou fusionne la valeur du champ sec_category . |
security_result.category_details |
security_result.category_details |
L'analyseur définit le champ security_result.category_details en fonction des champs block_type ou attack_types . |
security_result.detection_fields |
security_result.detection_fields |
L'analyseur crée des objets security_result.detection_fields pour divers champs, y compris "malware_type", "attack_entry", "BitdefenderGZAttCkId", "BitdefenderGZEndpointId", "final_status", "detection attackTechnique" et "computer_name". |
security_result.description |
security_result.description |
L'analyseur définit le champ security_result.description en fonction des champs main_action , actionTaken ou final_status . |
security_result.severity |
security_result.severity |
L'analyseur définit le champ security_result.severity en fonction de la valeur en majuscules du champ severity s'il n'est pas vide et que module est "new-incident". |
security_result.severity_details |
security_result.severity_details |
L'analyseur définit le champ security_result.severity_details en fonction du champ severity_score . |
security_result.threat_name |
security_result.threat_name |
L'analyseur définit le champ security_result.threat_name en fonction des champs malware_name ou detection_name . |
severity |
security_result.severity |
La valeur de severity du journal brut est mise en majuscule et attribuée à security_result.severity si elle n'est pas vide et que module est "new-incident". |
severity_score |
security_result.severity_details |
La valeur de severity_score du journal brut est convertie en chaîne et attribuée à security_result.severity_details . |
source_host |
observer.ip |
La valeur de source_host du journal brut est attribuée à observer.ip . |
source_hwid |
principal.resource.id |
La valeur de source_hwid du journal brut est attribuée à principal.resource.id . |
source_ip |
src.ip |
La valeur de source_ip du journal brut est attribuée à src.ip . |
source_port |
principal.port |
La valeur de source_port du journal brut est convertie en entier et attribuée à principal.port . |
spt |
principal.port |
La valeur de spt du journal brut est attribuée à principal.port . |
sproc |
principal.process.command_line |
La valeur de sproc du journal brut est attribuée à principal.process.command_line . |
src |
principal.ip |
La valeur de src du journal brut est attribuée à principal.ip . |
src.ip |
src.ip |
L'analyseur définit le champ src.ip en fonction du champ source_ip . |
src.file.full_path |
src.file.full_path |
L'analyseur définit le champ src.file.full_path en fonction du champ old_path . |
status |
security_result.action_details |
La valeur de status du journal brut est attribuée à security_result.action_details . En fonction de cette valeur, le champ security_result.action est défini (par exemple, "portscan_blocked" et "uc_site_blocked" correspondent à "BLOCK"). Le champ security_result.description est également renseigné avec "status: ", suivi de la valeur status . |
suid |
principal.user.userid |
La valeur de suid du journal brut est attribuée à principal.user.userid . |
suser |
principal.user.user_display_name |
La valeur de suser du journal brut est attribuée à principal.user.user_display_name . |
target.file.full_path |
target.file.full_path |
L'analyseur définit le champ target.file.full_path en fonction des champs path ou new_path . |
target.hostname |
target.hostname |
L'analyseur définit le champ target.hostname en fonction du champ hostname . |
target.ip |
target.ip |
L'analyseur définit le champ target.ip en fonction des champs ip_dest ou destination_ip . |
target.platform |
target.platform |
L'analyseur définit le champ target.platform en fonction du champ principal.platform . |
target.platform_version |
target.platform_version |
L'analyseur définit le champ target.platform_version en fonction du champ principal.platform_version . |
target.port |
target.port |
L'analyseur définit le champ target.port en fonction des champs port_dest ou destination_port . |
target.process.command_line |
target.process.command_line |
L'analyseur définit le champ target.process.command_line en fonction des champs command_line , process_command_line ou cmd_line . |
target.process.file.full_path |
target.process.file.full_path |
L'analyseur définit le champ target.process.file.full_path en fonction du champ process_path . |
target.process.pid |
target.process.pid |
L'analyseur définit le champ target.process.pid en fonction du champ pid . |
target.registry.registry_key |
target.registry.registry_key |
L'analyseur définit le champ target.registry.registry_key en fonction du champ key_path . |
target.registry.registry_value_data |
target.registry.registry_value_data |
L'analyseur définit le champ target.registry.registry_value_data en fonction du champ data . |
target.registry.registry_value_name |
target.registry.registry_value_name |
L'analyseur définit le champ target.registry.registry_value_name en fonction du champ value . |
target.resource.id |
target.resource.id |
L'analyseur définit le champ target.resource.id en fonction des champs hwid ou BitdefenderGZHwId . |
target.url |
target.url |
L'analyseur définit le champ target.url en fonction du champ request . |
target.user.company_name |
target.user.company_name |
L'analyseur définit le champ target.user.company_name en fonction du champ companyId . |
target.user.user_display_name |
target.user.user_display_name |
L'analyseur définit le champ target.user.user_display_name en fonction des champs user.name ou user.userName . |
target.user.userid |
target.user.userid |
L'analyseur définit le champ target.user.userid en fonction des champs user_name , user , user.id ou extra_info.user . |
target_pid |
target.process.pid |
La valeur de target_pid du journal brut est attribuée à target.process.pid . |
timestamp |
metadata.event_timestamp |
La valeur de timestamp du journal brut est analysée et attribuée à metadata.event_timestamp . |
uc_type |
network.application_protocol |
La valeur de uc_type du journal brut est mise en majuscule et attribuée à network.application_protocol . Si target_user_userid n'est pas vide, metadata.event_type est défini sur "USER_UNCATEGORIZED". Sinon, il est défini sur "STATUS_UPDATE". |
url |
principal.url |
La valeur de url du journal brut est attribuée à principal.url si elle n'est pas vide ou si elle n'est pas "0.0.0.0". |
user |
target.user.userid |
La valeur de user du journal brut est attribuée à target.user.userid . |
user.id |
target.user.userid |
La valeur de user.id du journal brut est attribuée à target.user.userid . |
user.name |
target.user.user_display_name |
La valeur de user.name du journal brut est attribuée à target.user.user_display_name . |
user.userName |
target.user.user_display_name |
La valeur de user.userName du journal brut est attribuée à target.user.user_display_name . |
user.userSid |
principal.user.windows_sid |
La valeur de user.userSid du journal brut est attribuée à principal.user.windows_sid . |
user_name |
target.user.userid |
La valeur de user_name du journal brut est attribuée à target.user.userid . |
value |
target.registry.registry_value_data ou target.registry.registry_value_name |
La valeur de value du journal brut est attribuée à target.registry.registry_value_data si event_name est "reg_delete_value". Sinon, il est attribué à target.registry.registry_value_name . |
Modifications
2023-05-02
- Journaux analysés ingérés au format CEF.
2022-09-28
- "security_result.action" a été mappé sur "BLOCK" lorsque "status" est "portscan_blocked" ou "uc_site_blocked".
- Mappage de "security_result.action" sur "BLOCK" lorsque "main_action" est "blocked".
- Mappage de "security_result.action" sur "BLOCK" lorsque "actionTaken" est "block".
- Mappage de "security_result.action" sur "BLOCK" lorsque "final_status" est "blocked" ou "deleted".
- Mappage de "security_result.action" sur "ALLOW" lorsque "final_status" est "ignored" ou "still present".
- Mappage de "security_result.action" sur "ALLOW" lorsque "main_action" est "no action".
- Mappage de "security_result.action" sur "QUARANTINE" lorsque "final_status" est "quarantined".
- Mappage de "security_result.action" sur "ALLOW_WITH_MODIFICATION" lorsque "final_status" est "disinfected" ou "restored".
2022-08-17
- Amélioration : modification de la mise en correspondance de "source_ip" de "principal.ip" à "srcc.ip".
- Définissez "event_type" sur "SCAN_NETWORK" lorsque "module" est égal à "network-monitor" ou "fw".
- Mappage de "user.userSid" sur "principal.user.windows_sid".
- "user.userName" a été mappé sur "target.user.user_display_name".
- Mappage de "protocol_id" sur "network.ip_protocol".
- Définissez "security_result.action" sur "BLOCK" lorsque "status" est égal à "portscan_blocked" ou "uc_site_blocked".
- "local_port" a été mappé sur "principal.port".
- Mappage de "actionTaken" sur "security_result.action".
- Mappage de "detection_attackTechnique" sur "security_result.detection_fields".
2022-08-13
- Correction de bug : modification du mappage du champ "computer_name" de "principal.asset.hostname" à "event.idm.read_only_udm.principal.resource.attribute.labels".
2022-08-11
- Correction de bug : modification des vérifications conditionnelles pour le champ "main_action" mappé sur "security_result.action".
- Mappage de "STATUS_UPDATE" sur "metadata.event_type" pour les journaux avec le module "task-status".
2022-04-14
- Amélioration : ajout de mappages pour computer_name, computer_id, uc_type, block_type,status et product_installed.
2022-03-30
- Correction d'un bug : correction de l'erreur de code temporel et mappage des champs user.id, user.name, companyId, computer_name, computer_fqdn, computer_ip, computer_id, url et categories.