Collecter les journaux Bitdefender

Compatible avec:

Cet analyseur extrait les journaux Bitdefender au format CEF ou CSV, normalise les champs dans l'UDM et effectue des actions spécifiques en fonction des champs event_name et module. Il gère différents types d'événements, tels que les opérations de fichiers, les connexions réseau, la création de processus et les modifications de Registre, en mappant les informations pertinentes sur les champs UDM appropriés et en enrichissant les données avec un contexte supplémentaire provenant des journaux bruts.

Avant de commencer

  • Assurez-vous de disposer d'une instance Google Security Operations.
  • Assurez-vous de disposer d'un hôte Windows 2016 ou version ultérieure ou Linux avec systemd.
  • Si vous exécutez l'application derrière un proxy, assurez-vous que les ports du pare-feu sont ouverts.
  • Assurez-vous de disposer d'un accès privilégié à Bitdefender.

Obtenir le fichier d'authentification d'ingestion Google SecOps

  1. Connectez-vous à la console Google SecOps.
  2. Accédez à Paramètres du SIEM > Agents de collecte.
  3. Téléchargez le fichier d'authentification d'ingestion.

Obtenir le numéro client Google SecOps

  1. Connectez-vous à la console Google SecOps.
  2. Accédez à Paramètres du SIEM > Profil.
  3. Copiez et sauvegardez l'ID client dans la section Détails de l'organisation.

Installer l'agent BindPlane

  1. Pour l'installation sous Windows, exécutez le script suivant:
    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
  2. Pour l'installation Linux, exécutez le script suivant:
    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
  3. Pour en savoir plus sur les options d'installation, consultez ce guide d'installation.

Configurer l'agent BindPlane pour ingérer Syslog et l'envoyer à Google SecOps

  1. Accédez à la machine sur laquelle BindPlane est installé.
  2. Modifiez le fichier config.yaml comme suit :

    receivers:
        tcplog:
            # Replace the below port <54525> and IP <0.0.0.0> with your specific values
            listen_address: "0.0.0.0:54525" 
    
    exporters:
        chronicle/chronicle_w_labels:
            compression: gzip
            # Adjust the creds location below according the placement of the credentials file you downloaded
            creds: '{ json file for creds }'
            # Replace <customer_id> below with your actual ID that you copied
            customer_id: <customer_id>
            endpoint: malachiteingestion-pa.googleapis.com
            # You can apply ingestion labels below as preferred
            ingestion_labels:
            log_type: SYSLOG
            namespace: bitdefender
            raw_log_field: body
    service:
        pipelines:
            logs/source0__chronicle_w_labels-0:
                receivers:
                    - tcplog
                exporters:
                    - chronicle/chronicle_w_labels
    
  3. Redémarrez l'agent BindPlane pour appliquer les modifications:

    sudo systemctl restart bindplane
    

Configurer le streaming Syslog dans Bitdefender GravityZone

  1. Connectez-vous au centre de contrôle GravityZone.
  2. Accédez à Configuration > Intégrations > Syslog.
  3. Cliquez sur Ajouter un serveur Syslog.
  4. Fournissez les informations requises :
    • Nom: indiquez un nom unique pour le serveur syslog (par exemple, CentralSyslog).
    • Adresse IP/Nom d'hôte: saisissez l'adresse IP ou le nom d'hôte du serveur Bindplane.
    • Protocole: sélectionnez le protocole à utiliser: TCP / UDP.
    • Port: spécifiez le numéro de port du serveur Bindplane.
    • Sélectionnez les types de journaux à diffuser (par exemple, Événements de protection contre les logiciels malveillants, Événements de défense contre les attaques réseau, Événements de contrôle Web, Événements de pare-feu ou Modifications de règles).
    • (Facultatif) Configurez des filtres pour inclure ou exclure des types d'événements spécifiques.
  5. Cliquez sur Enregistrer.

Tableau de mappage UDM

Champ de journal Mappage UDM Logique
BitdefenderGZAttackEntry security_result.detection_fields.value La valeur de BitdefenderGZAttackEntry du journal brut est attribuée à un objet security_result.detection_fields dont la clé est "attack_entry".
BitdefenderGZAttackTypes security_result.category_details La valeur de BitdefenderGZAttackTypes du journal brut est attribuée à security_result.category_details. La valeur est ensuite divisée en chaînes individuelles, et chaque chaîne est ajoutée en tant que valeur au tableau security_result.category_details.
BitdefenderGZAttCkId security_result.detection_fields.value La valeur de BitdefenderGZAttCkId du journal brut est attribuée à un objet security_result.detection_fields dont la clé est "BitdefenderGZAttCkId".
BitdefenderGZCompanyId target.user.company_name La valeur de BitdefenderGZCompanyId du journal brut est attribuée à target.user.company_name.
BitdefenderGZComputerFQDN principal.asset.network_domain La valeur de BitdefenderGZComputerFQDN du journal brut est attribuée à principal.asset.network_domain.
BitdefenderGZDetectionName security_result.threat_name La valeur de BitdefenderGZDetectionName du journal brut est attribuée à security_result.threat_name.
BitdefenderGZEndpointId security_result.detection_fields.value La valeur de BitdefenderGZEndpointId du journal brut est attribuée à un objet security_result.detection_fields dont la clé est "BitdefenderGZEndpointId".
BitdefenderGZIncidentId metadata.product_log_id La valeur de BitdefenderGZIncidentId du journal brut est attribuée à metadata.product_log_id.
BitdefenderGZMainAction security_result.action_details La valeur de BitdefenderGZMainAction du journal brut est attribuée à security_result.action_details. En fonction de cette valeur, le champ security_result.action est défini (par exemple, "blocked" est mappé sur "BLOCK"). Le champ security_result.description est également renseigné avec "main_action: ", suivi de la valeur BitdefenderGZMainAction.
BitdefenderGZMalwareHash principal.process.file.sha256 La valeur de BitdefenderGZMalwareHash du journal brut est attribuée à principal.process.file.sha256.
BitdefenderGZMalwareName security_result.threat_name La valeur de BitdefenderGZMalwareName du journal brut est attribuée à security_result.threat_name.
BitdefenderGZMalwareType security_result.detection_fields.value La valeur de BitdefenderGZMalwareType du journal brut est attribuée à un objet security_result.detection_fields dont la clé est "malware_type".
BitdefenderGZModule metadata.product_event_type La valeur de BitdefenderGZModule du journal brut est attribuée à metadata.product_event_type.
BitdefenderGZSeverityScore security_result.severity_details La valeur de BitdefenderGZSeverityScore du journal brut est attribuée à security_result.severity_details.
BitdefenderGZHwId target.resource.id La valeur de BitdefenderGZHwId du journal brut est attribuée à target.resource.id.
act security_result.action_details La valeur de act du journal brut est attribuée à security_result.action_details.
actionTaken security_result.action_details La valeur de actionTaken du journal brut est attribuée à security_result.action_details. En fonction de cette valeur, le champ security_result.action est défini (par exemple, "block" est mappé sur "BLOCK"). Le champ security_result.description est également renseigné avec "actionTaken: " suivi de la valeur de actionTaken.
additional.fields additional.fields La logique d'analyseur crée une paire clé-valeur pour "product_installed" et l'ajoute à l'objet additional.fields.
categories principal.asset.category La valeur de categories du journal brut est attribuée à principal.asset.category.
cmd_line target.process.command_line La valeur de cmd_line du journal brut est attribuée à target.process.command_line.
companyId target.user.company_name La valeur de companyId du journal brut est attribuée à target.user.company_name.
computer_fqdn principal.asset.network_domain La valeur de computer_fqdn du journal brut est attribuée à principal.asset.network_domain.
computer_id principal.asset.asset_id La valeur de computer_id du journal brut est attribuée à principal.asset.asset_id après avoir ajouté "ComputerId:".
computer_ip principal.asset.ip La valeur de computer_ip du journal brut est analysée, divisée par des virgules, et chaque adresse IP obtenue est ajoutée au tableau principal.asset.ip.
computer_name principal.resource.attribute.labels.value La valeur de computer_name du journal brut est attribuée à un objet principal.resource.attribute.labels dont la clé est "computer_name". Il est également ajouté en tant que valeur à un objet security_result.detection_fields dont la clé est "computer_name".
column1 metadata.product_log_id La valeur de column1 du journal brut est attribuée à metadata.product_log_id.
column3 observer.ip La valeur de column3 du journal brut est attribuée à observer.ip.
command_line target.process.command_line La valeur de command_line du journal brut est attribuée à target.process.command_line.
data target.registry.registry_value_data La valeur de data du journal brut est attribuée à target.registry.registry_value_data.
detection_attackTechnique security_result.detection_fields.value La valeur de detection_attackTechnique du journal brut est attribuée à un objet security_result.detection_fields dont la clé est "detection attackTechnique".
detection_name security_result.threat_name La valeur de detection_name du journal brut est attribuée à security_result.threat_name.
destination_ip target.ip La valeur de destination_ip du journal brut est attribuée à target.ip.
destination_port target.port La valeur de destination_port du journal brut est attribuée à target.port.
direction network.direction La valeur de direction du journal brut est mise en majuscule et attribuée à network.direction.
dvc principal.ip La valeur de dvc du journal brut est analysée, divisée par des virgules, et chaque adresse IP obtenue est ajoutée au tableau principal.ip.
dvchost about.hostname La valeur de dvchost du journal brut est attribuée à about.hostname.
event_description metadata.description La valeur de event_description du journal brut est attribuée à metadata.description.
event_name metadata.product_event_type La valeur de event_name du journal brut est attribuée à metadata.product_event_type. Si la valeur est "Antiphishing", security_result.category est définie sur "PHISHING". Si la valeur est "Anti-logiciel malveillant", security_result.category est définie sur "SOFTWARE_MALICIOUS". Le champ metadata.event_type est dérivé de event_name à l'aide d'une série d'instructions conditionnelles dans l'analyseur.
ev metadata.product_event_type La valeur de ev du journal brut est attribuée à metadata.product_event_type.
extra_info.command_line target.process.command_line La valeur de extra_info.command_line du journal brut est attribuée à target.process.command_line.
extra_info.parent_pid principal.process.pid La valeur de extra_info.parent_pid du journal brut est attribuée à principal.process.pid.
extra_info.parent_process_cmdline principal.process.command_line La valeur de extra_info.parent_process_cmdline du journal brut est attribuée à principal.process.command_line.
extra_info.parent_process_path principal.process.file.full_path La valeur de extra_info.parent_process_path du journal brut est attribuée à principal.process.file.full_path.
extra_info.pid target.process.pid La valeur de extra_info.pid du journal brut est attribuée à target.process.pid.
extra_info.process_path target.process.file.full_path La valeur de extra_info.process_path du journal brut est attribuée à target.process.file.full_path.
extra_info.user target.user.userid La valeur de extra_info.user du journal brut est attribuée à target.user.userid.
filePath principal.process.file.full_path La valeur de filePath du journal brut est attribuée à principal.process.file.full_path.
file_path principal.process.file.full_path La valeur de file_path du journal brut est attribuée à principal.process.file.full_path.
final_status security_result.action_details La valeur de final_status du journal brut est attribuée à security_result.action_details. En fonction de cette valeur, le champ security_result.action est défini (par exemple, "deleted" correspond à "BLOCK", "ignored" à "ALLOW"). Le champ security_result.description est également renseigné avec "final_status: ", suivi de la valeur final_status. Si la valeur est "deleted" (supprimé) ou "blocked" (bloqué), metadata.event_type est défini sur "SCAN_NETWORK".
hash principal.process.file.sha256 La valeur de hash du journal brut est attribuée à principal.process.file.sha256.
host principal.hostname La valeur de host du journal brut est attribuée à principal.hostname.
hostname principal.hostname La valeur de hostname du journal brut est attribuée à principal.hostname si event_name n'est pas "log_on" ou "log_out". Sinon, il est attribué à target.hostname.
host_name principal.hostname La valeur de host_name du journal brut est attribuée à principal.hostname.
hwid principal.resource.id La valeur de hwid du journal brut est attribuée à principal.resource.id si elle n'est pas vide. S'il est vide et que l'événement n'est pas "log_on" ou "log_out", la valeur de source_hwid est attribuée à principal.resource.id. Si l'événement est "log_on" ou "log_out", il est attribué à target.resource.id.
incident_id metadata.product_log_id La valeur de incident_id du journal brut est attribuée à metadata.product_log_id.
ip_dest target.ip La valeur de ip_dest du journal brut est attribuée à target.ip.
ip_source principal.ip La valeur de ip_source du journal brut est attribuée à principal.ip.
key_path target.registry.registry_key La valeur de key_path du journal brut est attribuée à target.registry.registry_key.
local_port principal.port La valeur de local_port du journal brut est convertie en entier et attribuée à principal.port.
logon_type extensions.auth.mechanism La valeur de logon_type dans le journal brut est utilisée pour déterminer la valeur de extensions.auth.mechanism. Différentes valeurs numériques de logon_type correspondent à différents mécanismes d'authentification (par exemple, 2 cartes correspondent à "LOCAL", 3 à "NETWORK"). Si aucun logon_type correspondant n'est trouvé, le mécanisme est défini sur "MECHANISM_UNSPECIFIED".
lurker_id intermediary.resource.id La valeur de lurker_id du journal brut est attribuée à intermediary.resource.id.
main_action security_result.action_details La valeur de main_action du journal brut est attribuée à security_result.action_details. En fonction de cette valeur, le champ security_result.action est défini (par exemple, "blocked" correspond à "BLOCK", "no action" à "ALLOW"). Le champ security_result.description est également renseigné avec "main_action: ", suivi de la valeur main_action.
malware_name security_result.threat_name La valeur de malware_name du journal brut est attribuée à security_result.threat_name.
malware_type security_result.detection_fields.value La valeur de malware_type du journal brut est attribuée à un objet security_result.detection_fields dont la clé est "malware_type".
metadata.description metadata.description L'analyseur définit le champ metadata.description en fonction du champ event_name.
metadata.event_type metadata.event_type L'analyseur définit le champ metadata.event_type en fonction du champ event_name.
metadata.product_event_type metadata.product_event_type L'analyseur définit le champ metadata.product_event_type en fonction des champs event_name ou module.
metadata.product_log_id metadata.product_log_id L'analyseur définit le champ metadata.product_log_id en fonction des champs msg_id ou incident_id.
metadata.product_name metadata.product_name L'analyseur définit metadata.product_name sur "BitDefender EDR".
metadata.product_version metadata.product_version L'analyseur renomme le champ product_version en metadata.product_version.
metadata.vendor_name metadata.vendor_name L'analyseur définit metadata.vendor_name sur "BitDefender".
module metadata.product_event_type La valeur de module du journal brut est attribuée à metadata.product_event_type. Si la valeur est "new-incident" et que target_process_file_full_path n'est pas vide, metadata.event_type est défini sur "PROCESS_UNCATEGORIZED". Si la valeur est "task-status", metadata.event_type est défini sur "STATUS_UPDATE". Si la valeur est "network-monitor" ou "fw", metadata.event_type est défini sur "SCAN_NETWORK".
msg_id metadata.product_log_id La valeur de msg_id du journal brut est attribuée à metadata.product_log_id.
network.application_protocol network.application_protocol La valeur de uc_type du journal brut est mise en majuscule et attribuée à network.application_protocol.
network.direction network.direction L'analyseur définit le champ network.direction en fonction du champ direction.
network.ip_protocol network.ip_protocol Si protocol_id est défini sur "6", l'analyseur définit network.ip_protocol sur "TCP".
new_path target.file.full_path La valeur de new_path du journal brut est attribuée à target.file.full_path.
old_path src.file.full_path La valeur de old_path du journal brut est attribuée à src.file.full_path.
origin_ip intermediary.ip La valeur de origin_ip du journal brut est attribuée à intermediary.ip.
os principal.platform_version La valeur de os du journal brut est attribuée à principal.platform_version. Le champ principal.platform est dérivé de os (par exemple, "Win" est mappé sur "WINDOWS"). Si l'événement est "log_on" ou "log_out", les champs principal.platform et principal.platform_version sont renommés target.platform et target.platform_version, respectivement.
os_type principal.platform La valeur de os_type du journal brut est utilisée pour déterminer la valeur de principal.platform (par exemple, "Win" est mappé sur "WINDOWS").
parent_pid principal.process.pid La valeur de parent_pid du journal brut est attribuée à principal.process.pid.
parent_process_path principal.process.file.full_path La valeur de parent_process_path du journal brut est attribuée à principal.process.file.full_path.
parent_process_pid principal.process.pid La valeur de parent_process_pid du journal brut est attribuée à principal.process.pid.
path target.file.full_path La valeur de path du journal brut est attribuée à target.file.full_path.
pid principal.process.pid ou target.process.pid La valeur de pid du journal brut est attribuée à principal.process.pid si event_name commence par "file" ou "reg", ou si elle est l'une des valeurs "process_signal", "network_connection" ou "connection_connect". Sinon, il est attribué à target.process.pid.
pid_path principal.process.file.full_path La valeur de pid_path du journal brut est attribuée à principal.process.file.full_path.
port_dest target.port La valeur de port_dest du journal brut est convertie en entier et attribuée à target.port.
port_source principal.port La valeur de port_source du journal brut est convertie en entier et attribuée à principal.port.
ppid principal.process.pid La valeur de ppid du journal brut est attribuée à principal.process.pid.
principal.ip principal.ip L'analyseur définit le champ principal.ip en fonction des champs ip_source ou dvc.
principal.platform principal.platform L'analyseur définit le champ principal.platform en fonction des champs os ou os_type.
principal.platform_version principal.platform_version L'analyseur définit le champ principal.platform_version en fonction des champs os ou osi_version.
principal.process.command_line principal.process.command_line L'analyseur définit le champ principal.process.command_line en fonction du champ parent_process_cmdline.
principal.process.file.full_path principal.process.file.full_path L'analyseur définit le champ principal.process.file.full_path en fonction des champs pid_path, file_path, parent_process_path ou process_path.
principal.process.file.md5 principal.process.file.md5 L'analyseur renomme le champ file_hash_md5 en principal.process.file.md5.
principal.process.file.sha256 principal.process.file.sha256 L'analyseur définit le champ principal.process.file.sha256 en fonction des champs hash, BitdefenderGZMalwareHash ou file_hash_sha256.
principal.process.parent_process.pid principal.process.parent_process.pid L'analyseur renomme le champ ppid en principal.process.parent_process.pid.
principal.process.pid principal.process.pid L'analyseur définit le champ principal.process.pid en fonction des champs pid, parent_pid, ppid ou parent_process_pid.
principal.resource.id principal.resource.id L'analyseur définit le champ principal.resource.id en fonction des champs hwid ou source_hwid.
principal.url principal.url L'analyseur définit le champ principal.url en fonction du champ url.
process_command_line target.process.command_line La valeur de process_command_line du journal brut est attribuée à target.process.command_line.
process_path principal.process.file.full_path ou target.process.file.full_path La valeur de process_path du journal brut est attribuée à principal.process.file.full_path si event_name est "network_connection" ou "connection_connect". Sinon, il est attribué à target.process.file.full_path.
product_installed additional.fields.value.string_value La valeur de product_installed du journal brut est attribuée à un objet additional.fields dont la clé est "product_installed".
product_version metadata.product_version La valeur de product_version du journal brut est attribuée à metadata.product_version.
protocol_id network.ip_protocol Si protocol_id est défini sur "6", l'analyseur définit network.ip_protocol sur "TCP".
request target.url La valeur de request du journal brut est attribuée à target.url.
security_result.action security_result.action L'analyseur définit le champ security_result.action en fonction des champs main_action, actionTaken, status ou final_status. Si aucun de ces champs ne fournit d'action valide, la valeur par défaut est "UNKNOWN_ACTION".
security_result.action_details security_result.action_details L'analyseur définit le champ security_result.action_details en fonction des champs main_action, actionTaken, status ou final_status.
security_result.category security_result.category L'analyseur définit le champ security_result.category sur "PHISHING" si event_name est "Antiphishing", sur "SOFTWARE_MALICIOUS" si event_name est "Anti-logiciel malveillant", ou fusionne la valeur du champ sec_category.
security_result.category_details security_result.category_details L'analyseur définit le champ security_result.category_details en fonction des champs block_type ou attack_types.
security_result.detection_fields security_result.detection_fields L'analyseur crée des objets security_result.detection_fields pour divers champs, y compris "malware_type", "attack_entry", "BitdefenderGZAttCkId", "BitdefenderGZEndpointId", "final_status", "detection attackTechnique" et "computer_name".
security_result.description security_result.description L'analyseur définit le champ security_result.description en fonction des champs main_action, actionTaken ou final_status.
security_result.severity security_result.severity L'analyseur définit le champ security_result.severity en fonction de la valeur en majuscules du champ severity s'il n'est pas vide et que module est "new-incident".
security_result.severity_details security_result.severity_details L'analyseur définit le champ security_result.severity_details en fonction du champ severity_score.
security_result.threat_name security_result.threat_name L'analyseur définit le champ security_result.threat_name en fonction des champs malware_name ou detection_name.
severity security_result.severity La valeur de severity du journal brut est mise en majuscule et attribuée à security_result.severity si elle n'est pas vide et que module est "new-incident".
severity_score security_result.severity_details La valeur de severity_score du journal brut est convertie en chaîne et attribuée à security_result.severity_details.
source_host observer.ip La valeur de source_host du journal brut est attribuée à observer.ip.
source_hwid principal.resource.id La valeur de source_hwid du journal brut est attribuée à principal.resource.id.
source_ip src.ip La valeur de source_ip du journal brut est attribuée à src.ip.
source_port principal.port La valeur de source_port du journal brut est convertie en entier et attribuée à principal.port.
spt principal.port La valeur de spt du journal brut est attribuée à principal.port.
sproc principal.process.command_line La valeur de sproc du journal brut est attribuée à principal.process.command_line.
src principal.ip La valeur de src du journal brut est attribuée à principal.ip.
src.ip src.ip L'analyseur définit le champ src.ip en fonction du champ source_ip.
src.file.full_path src.file.full_path L'analyseur définit le champ src.file.full_path en fonction du champ old_path.
status security_result.action_details La valeur de status du journal brut est attribuée à security_result.action_details. En fonction de cette valeur, le champ security_result.action est défini (par exemple, "portscan_blocked" et "uc_site_blocked" correspondent à "BLOCK"). Le champ security_result.description est également renseigné avec "status: ", suivi de la valeur status.
suid principal.user.userid La valeur de suid du journal brut est attribuée à principal.user.userid.
suser principal.user.user_display_name La valeur de suser du journal brut est attribuée à principal.user.user_display_name.
target.file.full_path target.file.full_path L'analyseur définit le champ target.file.full_path en fonction des champs path ou new_path.
target.hostname target.hostname L'analyseur définit le champ target.hostname en fonction du champ hostname.
target.ip target.ip L'analyseur définit le champ target.ip en fonction des champs ip_dest ou destination_ip.
target.platform target.platform L'analyseur définit le champ target.platform en fonction du champ principal.platform.
target.platform_version target.platform_version L'analyseur définit le champ target.platform_version en fonction du champ principal.platform_version.
target.port target.port L'analyseur définit le champ target.port en fonction des champs port_dest ou destination_port.
target.process.command_line target.process.command_line L'analyseur définit le champ target.process.command_line en fonction des champs command_line, process_command_line ou cmd_line.
target.process.file.full_path target.process.file.full_path L'analyseur définit le champ target.process.file.full_path en fonction du champ process_path.
target.process.pid target.process.pid L'analyseur définit le champ target.process.pid en fonction du champ pid.
target.registry.registry_key target.registry.registry_key L'analyseur définit le champ target.registry.registry_key en fonction du champ key_path.
target.registry.registry_value_data target.registry.registry_value_data L'analyseur définit le champ target.registry.registry_value_data en fonction du champ data.
target.registry.registry_value_name target.registry.registry_value_name L'analyseur définit le champ target.registry.registry_value_name en fonction du champ value.
target.resource.id target.resource.id L'analyseur définit le champ target.resource.id en fonction des champs hwid ou BitdefenderGZHwId.
target.url target.url L'analyseur définit le champ target.url en fonction du champ request.
target.user.company_name target.user.company_name L'analyseur définit le champ target.user.company_name en fonction du champ companyId.
target.user.user_display_name target.user.user_display_name L'analyseur définit le champ target.user.user_display_name en fonction des champs user.name ou user.userName.
target.user.userid target.user.userid L'analyseur définit le champ target.user.userid en fonction des champs user_name, user, user.id ou extra_info.user.
target_pid target.process.pid La valeur de target_pid du journal brut est attribuée à target.process.pid.
timestamp metadata.event_timestamp La valeur de timestamp du journal brut est analysée et attribuée à metadata.event_timestamp.
uc_type network.application_protocol La valeur de uc_type du journal brut est mise en majuscule et attribuée à network.application_protocol. Si target_user_userid n'est pas vide, metadata.event_type est défini sur "USER_UNCATEGORIZED". Sinon, il est défini sur "STATUS_UPDATE".
url principal.url La valeur de url du journal brut est attribuée à principal.url si elle n'est pas vide ou si elle n'est pas "0.0.0.0".
user target.user.userid La valeur de user du journal brut est attribuée à target.user.userid.
user.id target.user.userid La valeur de user.id du journal brut est attribuée à target.user.userid.
user.name target.user.user_display_name La valeur de user.name du journal brut est attribuée à target.user.user_display_name.
user.userName target.user.user_display_name La valeur de user.userName du journal brut est attribuée à target.user.user_display_name.
user.userSid principal.user.windows_sid La valeur de user.userSid du journal brut est attribuée à principal.user.windows_sid.
user_name target.user.userid La valeur de user_name du journal brut est attribuée à target.user.userid.
value target.registry.registry_value_data ou target.registry.registry_value_name La valeur de value du journal brut est attribuée à target.registry.registry_value_data si event_name est "reg_delete_value". Sinon, il est attribué à target.registry.registry_value_name.

Modifications

2023-05-02

  • Journaux analysés ingérés au format CEF.

2022-09-28

  • "security_result.action" a été mappé sur "BLOCK" lorsque "status" est "portscan_blocked" ou "uc_site_blocked".
  • Mappage de "security_result.action" sur "BLOCK" lorsque "main_action" est "blocked".
  • Mappage de "security_result.action" sur "BLOCK" lorsque "actionTaken" est "block".
  • Mappage de "security_result.action" sur "BLOCK" lorsque "final_status" est "blocked" ou "deleted".
  • Mappage de "security_result.action" sur "ALLOW" lorsque "final_status" est "ignored" ou "still present".
  • Mappage de "security_result.action" sur "ALLOW" lorsque "main_action" est "no action".
  • Mappage de "security_result.action" sur "QUARANTINE" lorsque "final_status" est "quarantined".
  • Mappage de "security_result.action" sur "ALLOW_WITH_MODIFICATION" lorsque "final_status" est "disinfected" ou "restored".

2022-08-17

  • Amélioration : modification de la mise en correspondance de "source_ip" de "principal.ip" à "srcc.ip".
  • Définissez "event_type" sur "SCAN_NETWORK" lorsque "module" est égal à "network-monitor" ou "fw".
  • Mappage de "user.userSid" sur "principal.user.windows_sid".
  • "user.userName" a été mappé sur "target.user.user_display_name".
  • Mappage de "protocol_id" sur "network.ip_protocol".
  • Définissez "security_result.action" sur "BLOCK" lorsque "status" est égal à "portscan_blocked" ou "uc_site_blocked".
  • "local_port" a été mappé sur "principal.port".
  • Mappage de "actionTaken" sur "security_result.action".
  • Mappage de "detection_attackTechnique" sur "security_result.detection_fields".

2022-08-13

  • Correction de bug : modification du mappage du champ "computer_name" de "principal.asset.hostname" à "event.idm.read_only_udm.principal.resource.attribute.labels".

2022-08-11

  • Correction de bug : modification des vérifications conditionnelles pour le champ "main_action" mappé sur "security_result.action".
  • Mappage de "STATUS_UPDATE" sur "metadata.event_type" pour les journaux avec le module "task-status".

2022-04-14

  • Amélioration : ajout de mappages pour computer_name, computer_id, uc_type, block_type,status et product_installed.

2022-03-30

  • Correction d'un bug : correction de l'erreur de code temporel et mappage des champs user.id, user.name, companyId, computer_name, computer_fqdn, computer_ip, computer_id, url et categories.