Cette page a été traduite par l'API Cloud Translation.

Collecter les journaux Bitdefender

Compatible avec:

Google SecOps SIEM

Cet analyseur extrait les journaux Bitdefender au format CEF ou CSV, normalise les champs dans l'UDM et effectue des actions spécifiques en fonction des champs event_name et module. Il gère différents types d'événements, tels que les opérations de fichiers, les connexions réseau, la création de processus et les modifications de Registre, en mappant les informations pertinentes sur les champs UDM appropriés et en enrichissant les données avec un contexte supplémentaire provenant des journaux bruts.

Avant de commencer

Assurez-vous de disposer d'une instance Google Security Operations.
Assurez-vous de disposer d'un hôte Windows 2016 ou version ultérieure ou Linux avec systemd.
Si vous exécutez l'application derrière un proxy, assurez-vous que les ports du pare-feu sont ouverts.
Assurez-vous de disposer d'un accès privilégié à Bitdefender.

Obtenir le fichier d'authentification d'ingestion Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres du SIEM > Agents de collecte.
Téléchargez le fichier d'authentification d'ingestion.

Obtenir le numéro client Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres du SIEM > Profil.
Copiez et sauvegardez le numéro client dans la section Détails de l'organisation.

Installer l'agent Bindplane

Pour l'installation sous Windows, exécutez le script suivant:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Pour l'installation Linux, exécutez le script suivant:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Pour en savoir plus sur les options d'installation, consultez ce guide d'installation.

Configurer l'agent Bindplane pour qu'il ingère les journaux Syslog et les envoie à Google SecOps

Accédez à la machine sur laquelle Bindplane est installé.

Modifiez le fichier config.yaml comme suit :

receivers:
    tcplog:
        # Replace the below port <54525> and IP <0.0.0.0> with your specific values
        listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: bitdefender
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

Redémarrez l'agent Bindplane pour appliquer les modifications:
```
sudo systemctl restart bindplane
```

Configurer le streaming Syslog dans Bitdefender GravityZone

Connectez-vous au centre de contrôle GravityZone.
Accédez à Configuration > Intégrations > Syslog.
Cliquez sur Ajouter un serveur Syslog.
Fournissez les informations requises :
- Nom: indiquez un nom unique pour le serveur syslog (par exemple, CentralSyslog).
- Adresse IP/Nom d'hôte: saisissez l'adresse IP ou le nom d'hôte du serveur Bindplane.
- Protocole: sélectionnez le protocole à utiliser: TCP / UDP.
- Port: spécifiez le numéro de port du serveur Bindplane.
- Sélectionnez les types de journaux à diffuser (par exemple, Événements de protection contre les logiciels malveillants, Événements de défense contre les attaques réseau, Événements de contrôle Web, Événements de pare-feu ou Modifications de règles).
- (Facultatif) Configurez des filtres pour inclure ou exclure des types d'événements spécifiques.
Cliquez sur Enregistrer.

Tableau de mappage UDM

Champ de journal	Mappage UDM	Logique
`BitdefenderGZAttackEntry`	`security_result.detection_fields.value`	La valeur de `BitdefenderGZAttackEntry` du journal brut est attribuée à un objet `security_result.detection_fields` dont la clé est "attack_entry".
`BitdefenderGZAttackTypes`	`security_result.category_details`	La valeur de `BitdefenderGZAttackTypes` du journal brut est attribuée à `security_result.category_details`. La valeur est ensuite divisée en chaînes individuelles, et chaque chaîne est ajoutée en tant que valeur au tableau `security_result.category_details`.
`BitdefenderGZAttCkId`	`security_result.detection_fields.value`	La valeur de `BitdefenderGZAttCkId` du journal brut est attribuée à un objet `security_result.detection_fields` dont la clé est "BitdefenderGZAttCkId".
`BitdefenderGZCompanyId`	`target.user.company_name`	La valeur de `BitdefenderGZCompanyId` du journal brut est attribuée à `target.user.company_name`.
`BitdefenderGZComputerFQDN`	`principal.asset.network_domain`	La valeur de `BitdefenderGZComputerFQDN` du journal brut est attribuée à `principal.asset.network_domain`.
`BitdefenderGZDetectionName`	`security_result.threat_name`	La valeur de `BitdefenderGZDetectionName` du journal brut est attribuée à `security_result.threat_name`.
`BitdefenderGZEndpointId`	`security_result.detection_fields.value`	La valeur de `BitdefenderGZEndpointId` du journal brut est attribuée à un objet `security_result.detection_fields` dont la clé est "BitdefenderGZEndpointId".
`BitdefenderGZIncidentId`	`metadata.product_log_id`	La valeur de `BitdefenderGZIncidentId` du journal brut est attribuée à `metadata.product_log_id`.
`BitdefenderGZMainAction`	`security_result.action_details`	La valeur de `BitdefenderGZMainAction` du journal brut est attribuée à `security_result.action_details`. En fonction de cette valeur, le champ `security_result.action` est défini (par exemple, "blocked" est mappé sur "BLOCK"). Le champ `security_result.description` est également renseigné avec "main_action: ", suivi de la valeur `BitdefenderGZMainAction`.
`BitdefenderGZMalwareHash`	`principal.process.file.sha256`	La valeur de `BitdefenderGZMalwareHash` du journal brut est attribuée à `principal.process.file.sha256`.
`BitdefenderGZMalwareName`	`security_result.threat_name`	La valeur de `BitdefenderGZMalwareName` du journal brut est attribuée à `security_result.threat_name`.
`BitdefenderGZMalwareType`	`security_result.detection_fields.value`	La valeur de `BitdefenderGZMalwareType` du journal brut est attribuée à un objet `security_result.detection_fields` dont la clé est "malware_type".
`BitdefenderGZModule`	`metadata.product_event_type`	La valeur de `BitdefenderGZModule` du journal brut est attribuée à `metadata.product_event_type`.
`BitdefenderGZSeverityScore`	`security_result.severity_details`	La valeur de `BitdefenderGZSeverityScore` du journal brut est attribuée à `security_result.severity_details`.
`BitdefenderGZHwId`	`target.resource.id`	La valeur de `BitdefenderGZHwId` du journal brut est attribuée à `target.resource.id`.
`act`	`security_result.action_details`	La valeur de `act` du journal brut est attribuée à `security_result.action_details`.
`actionTaken`	`security_result.action_details`	La valeur de `actionTaken` du journal brut est attribuée à `security_result.action_details`. En fonction de cette valeur, le champ `security_result.action` est défini (par exemple, "block" est mappé sur "BLOCK"). Le champ `security_result.description` est également renseigné avec "actionTaken: " suivi de la valeur de `actionTaken`.
`additional.fields`	`additional.fields`	La logique d'analyseur crée une paire clé-valeur pour "product_installed" et l'ajoute à l'objet `additional.fields`.
`categories`	`principal.asset.category`	La valeur de `categories` du journal brut est attribuée à `principal.asset.category`.
`cmd_line`	`target.process.command_line`	La valeur de `cmd_line` du journal brut est attribuée à `target.process.command_line`.
`companyId`	`target.user.company_name`	La valeur de `companyId` du journal brut est attribuée à `target.user.company_name`.
`computer_fqdn`	`principal.asset.network_domain`	La valeur de `computer_fqdn` du journal brut est attribuée à `principal.asset.network_domain`.
`computer_id`	`principal.asset.asset_id`	La valeur de `computer_id` du journal brut est attribuée à `principal.asset.asset_id` après avoir ajouté "ComputerId:".
`computer_ip`	`principal.asset.ip`	La valeur de `computer_ip` du journal brut est analysée, divisée par des virgules, et chaque adresse IP obtenue est ajoutée au tableau `principal.asset.ip`.
`computer_name`	`principal.resource.attribute.labels.value`	La valeur de `computer_name` du journal brut est attribuée à un objet `principal.resource.attribute.labels` dont la clé est "computer_name". Il est également ajouté en tant que valeur à un objet `security_result.detection_fields` dont la clé est "computer_name".
`column1`	`metadata.product_log_id`	La valeur de `column1` du journal brut est attribuée à `metadata.product_log_id`.
`column3`	`observer.ip`	La valeur de `column3` du journal brut est attribuée à `observer.ip`.
`command_line`	`target.process.command_line`	La valeur de `command_line` du journal brut est attribuée à `target.process.command_line`.
`data`	`target.registry.registry_value_data`	La valeur de `data` du journal brut est attribuée à `target.registry.registry_value_data`.
`detection_attackTechnique`	`security_result.detection_fields.value`	La valeur de `detection_attackTechnique` du journal brut est attribuée à un objet `security_result.detection_fields` dont la clé est "detection attackTechnique".
`detection_name`	`security_result.threat_name`	La valeur de `detection_name` du journal brut est attribuée à `security_result.threat_name`.
`destination_ip`	`target.ip`	La valeur de `destination_ip` du journal brut est attribuée à `target.ip`.
`destination_port`	`target.port`	La valeur de `destination_port` du journal brut est attribuée à `target.port`.
`direction`	`network.direction`	La valeur de `direction` du journal brut est mise en majuscule et attribuée à `network.direction`.
`dvc`	`principal.ip`	La valeur de `dvc` du journal brut est analysée, divisée par des virgules, et chaque adresse IP obtenue est ajoutée au tableau `principal.ip`.
`dvchost`	`about.hostname`	La valeur de `dvchost` du journal brut est attribuée à `about.hostname`.
`event_description`	`metadata.description`	La valeur de `event_description` du journal brut est attribuée à `metadata.description`.
`event_name`	`metadata.product_event_type`	La valeur de `event_name` du journal brut est attribuée à `metadata.product_event_type`. Si la valeur est "Antiphishing", `security_result.category` est définie sur "PHISHING". Si la valeur est "Anti-logiciel malveillant", `security_result.category` est définie sur "SOFTWARE_MALICIOUS". Le champ `metadata.event_type` est dérivé de `event_name` à l'aide d'une série d'instructions conditionnelles dans l'analyseur.
`ev`	`metadata.product_event_type`	La valeur de `ev` du journal brut est attribuée à `metadata.product_event_type`.
`extra_info.command_line`	`target.process.command_line`	La valeur de `extra_info.command_line` du journal brut est attribuée à `target.process.command_line`.
`extra_info.parent_pid`	`principal.process.pid`	La valeur de `extra_info.parent_pid` du journal brut est attribuée à `principal.process.pid`.
`extra_info.parent_process_cmdline`	`principal.process.command_line`	La valeur de `extra_info.parent_process_cmdline` du journal brut est attribuée à `principal.process.command_line`.
`extra_info.parent_process_path`	`principal.process.file.full_path`	La valeur de `extra_info.parent_process_path` du journal brut est attribuée à `principal.process.file.full_path`.
`extra_info.pid`	`target.process.pid`	La valeur de `extra_info.pid` du journal brut est attribuée à `target.process.pid`.
`extra_info.process_path`	`target.process.file.full_path`	La valeur de `extra_info.process_path` du journal brut est attribuée à `target.process.file.full_path`.
`extra_info.user`	`target.user.userid`	La valeur de `extra_info.user` du journal brut est attribuée à `target.user.userid`.
`filePath`	`principal.process.file.full_path`	La valeur de `filePath` du journal brut est attribuée à `principal.process.file.full_path`.
`file_path`	`principal.process.file.full_path`	La valeur de `file_path` du journal brut est attribuée à `principal.process.file.full_path`.
`final_status`	`security_result.action_details`	La valeur de `final_status` du journal brut est attribuée à `security_result.action_details`. En fonction de cette valeur, le champ `security_result.action` est défini (par exemple, "deleted" correspond à "BLOCK", "ignored" à "ALLOW"). Le champ `security_result.description` est également renseigné avec "final_status: ", suivi de la valeur `final_status`. Si la valeur est "deleted" (supprimé) ou "blocked" (bloqué), `metadata.event_type` est défini sur "SCAN_NETWORK".
`hash`	`principal.process.file.sha256`	La valeur de `hash` du journal brut est attribuée à `principal.process.file.sha256`.
`host`	`principal.hostname`	La valeur de `host` du journal brut est attribuée à `principal.hostname`.
`hostname`	`principal.hostname`	La valeur de `hostname` du journal brut est attribuée à `principal.hostname` si `event_name` n'est pas "log_on" ou "log_out". Sinon, il est attribué à `target.hostname`.
`host_name`	`principal.hostname`	La valeur de `host_name` du journal brut est attribuée à `principal.hostname`.
`hwid`	`principal.resource.id`	La valeur de `hwid` du journal brut est attribuée à `principal.resource.id` si elle n'est pas vide. S'il est vide et que l'événement n'est pas "log_on" ou "log_out", la valeur de `source_hwid` est attribuée à `principal.resource.id`. Si l'événement est "log_on" ou "log_out", il est attribué à `target.resource.id`.
`incident_id`	`metadata.product_log_id`	La valeur de `incident_id` du journal brut est attribuée à `metadata.product_log_id`.
`ip_dest`	`target.ip`	La valeur de `ip_dest` du journal brut est attribuée à `target.ip`.
`ip_source`	`principal.ip`	La valeur de `ip_source` du journal brut est attribuée à `principal.ip`.
`key_path`	`target.registry.registry_key`	La valeur de `key_path` du journal brut est attribuée à `target.registry.registry_key`.
`local_port`	`principal.port`	La valeur de `local_port` du journal brut est convertie en entier et attribuée à `principal.port`.
`logon_type`	`extensions.auth.mechanism`	La valeur de `logon_type` dans le journal brut est utilisée pour déterminer la valeur de `extensions.auth.mechanism`. Différentes valeurs numériques de `logon_type` correspondent à différents mécanismes d'authentification (par exemple, 2 cartes correspondent à "LOCAL", 3 à "NETWORK"). Si aucun `logon_type` correspondant n'est trouvé, le mécanisme est défini sur "MECHANISM_UNSPECIFIED".
`lurker_id`	`intermediary.resource.id`	La valeur de `lurker_id` du journal brut est attribuée à `intermediary.resource.id`.
`main_action`	`security_result.action_details`	La valeur de `main_action` du journal brut est attribuée à `security_result.action_details`. En fonction de cette valeur, le champ `security_result.action` est défini (par exemple, "blocked" correspond à "BLOCK", "no action" à "ALLOW"). Le champ `security_result.description` est également renseigné avec "main_action: ", suivi de la valeur `main_action`.
`malware_name`	`security_result.threat_name`	La valeur de `malware_name` du journal brut est attribuée à `security_result.threat_name`.
`malware_type`	`security_result.detection_fields.value`	La valeur de `malware_type` du journal brut est attribuée à un objet `security_result.detection_fields` dont la clé est "malware_type".
`metadata.description`	`metadata.description`	L'analyseur définit le champ `metadata.description` en fonction du champ `event_name`.
`metadata.event_type`	`metadata.event_type`	L'analyseur définit le champ `metadata.event_type` en fonction du champ `event_name`.
`metadata.product_event_type`	`metadata.product_event_type`	L'analyseur définit le champ `metadata.product_event_type` en fonction des champs `event_name` ou `module`.
`metadata.product_log_id`	`metadata.product_log_id`	L'analyseur définit le champ `metadata.product_log_id` en fonction des champs `msg_id` ou `incident_id`.
`metadata.product_name`	`metadata.product_name`	L'analyseur définit `metadata.product_name` sur "BitDefender EDR".
`metadata.product_version`	`metadata.product_version`	L'analyseur renomme le champ `product_version` en `metadata.product_version`.
`metadata.vendor_name`	`metadata.vendor_name`	L'analyseur définit `metadata.vendor_name` sur "BitDefender".
`module`	`metadata.product_event_type`	La valeur de `module` du journal brut est attribuée à `metadata.product_event_type`. Si la valeur est "new-incident" et que `target_process_file_full_path` n'est pas vide, `metadata.event_type` est défini sur "PROCESS_UNCATEGORIZED". Si la valeur est "task-status", `metadata.event_type` est défini sur "STATUS_UPDATE". Si la valeur est "network-monitor" ou "fw", `metadata.event_type` est défini sur "SCAN_NETWORK".
`msg_id`	`metadata.product_log_id`	La valeur de `msg_id` du journal brut est attribuée à `metadata.product_log_id`.
`network.application_protocol`	`network.application_protocol`	La valeur de `uc_type` du journal brut est mise en majuscule et attribuée à `network.application_protocol`.
`network.direction`	`network.direction`	L'analyseur définit le champ `network.direction` en fonction du champ `direction`.
`network.ip_protocol`	`network.ip_protocol`	Si `protocol_id` est défini sur "6", l'analyseur définit `network.ip_protocol` sur "TCP".
`new_path`	`target.file.full_path`	La valeur de `new_path` du journal brut est attribuée à `target.file.full_path`.
`old_path`	`src.file.full_path`	La valeur de `old_path` du journal brut est attribuée à `src.file.full_path`.
`origin_ip`	`intermediary.ip`	La valeur de `origin_ip` du journal brut est attribuée à `intermediary.ip`.
`os`	`principal.platform_version`	La valeur de `os` du journal brut est attribuée à `principal.platform_version`. Le champ `principal.platform` est dérivé de `os` (par exemple, "Win" est mappé sur "WINDOWS"). Si l'événement est "log_on" ou "log_out", les champs `principal.platform` et `principal.platform_version` sont renommés `target.platform` et `target.platform_version`, respectivement.
`os_type`	`principal.platform`	La valeur de `os_type` du journal brut est utilisée pour déterminer la valeur de `principal.platform` (par exemple, "Win" est mappé sur "WINDOWS").
`parent_pid`	`principal.process.pid`	La valeur de `parent_pid` du journal brut est attribuée à `principal.process.pid`.
`parent_process_path`	`principal.process.file.full_path`	La valeur de `parent_process_path` du journal brut est attribuée à `principal.process.file.full_path`.
`parent_process_pid`	`principal.process.pid`	La valeur de `parent_process_pid` du journal brut est attribuée à `principal.process.pid`.
`path`	`target.file.full_path`	La valeur de `path` du journal brut est attribuée à `target.file.full_path`.
`pid`	`principal.process.pid` ou `target.process.pid`	La valeur de `pid` du journal brut est attribuée à `principal.process.pid` si `event_name` commence par "file" ou "reg", ou si elle est l'une des valeurs "process_signal", "network_connection" ou "connection_connect". Sinon, il est attribué à `target.process.pid`.
`pid_path`	`principal.process.file.full_path`	La valeur de `pid_path` du journal brut est attribuée à `principal.process.file.full_path`.
`port_dest`	`target.port`	La valeur de `port_dest` du journal brut est convertie en entier et attribuée à `target.port`.
`port_source`	`principal.port`	La valeur de `port_source` du journal brut est convertie en entier et attribuée à `principal.port`.
`ppid`	`principal.process.pid`	La valeur de `ppid` du journal brut est attribuée à `principal.process.pid`.
`principal.ip`	`principal.ip`	L'analyseur définit le champ `principal.ip` en fonction des champs `ip_source` ou `dvc`.
`principal.platform`	`principal.platform`	L'analyseur définit le champ `principal.platform` en fonction des champs `os` ou `os_type`.
`principal.platform_version`	`principal.platform_version`	L'analyseur définit le champ `principal.platform_version` en fonction des champs `os` ou `osi_version`.
`principal.process.command_line`	`principal.process.command_line`	L'analyseur définit le champ `principal.process.command_line` en fonction du champ `parent_process_cmdline`.
`principal.process.file.full_path`	`principal.process.file.full_path`	L'analyseur définit le champ `principal.process.file.full_path` en fonction des champs `pid_path`, `file_path`, `parent_process_path` ou `process_path`.
`principal.process.file.md5`	`principal.process.file.md5`	L'analyseur renomme le champ `file_hash_md5` en `principal.process.file.md5`.
`principal.process.file.sha256`	`principal.process.file.sha256`	L'analyseur définit le champ `principal.process.file.sha256` en fonction des champs `hash`, `BitdefenderGZMalwareHash` ou `file_hash_sha256`.
`principal.process.parent_process.pid`	`principal.process.parent_process.pid`	L'analyseur renomme le champ `ppid` en `principal.process.parent_process.pid`.
`principal.process.pid`	`principal.process.pid`	L'analyseur définit le champ `principal.process.pid` en fonction des champs `pid`, `parent_pid`, `ppid` ou `parent_process_pid`.
`principal.resource.id`	`principal.resource.id`	L'analyseur définit le champ `principal.resource.id` en fonction des champs `hwid` ou `source_hwid`.
`principal.url`	`principal.url`	L'analyseur définit le champ `principal.url` en fonction du champ `url`.
`process_command_line`	`target.process.command_line`	La valeur de `process_command_line` du journal brut est attribuée à `target.process.command_line`.
`process_path`	`principal.process.file.full_path` ou `target.process.file.full_path`	La valeur de `process_path` du journal brut est attribuée à `principal.process.file.full_path` si `event_name` est "network_connection" ou "connection_connect". Sinon, il est attribué à `target.process.file.full_path`.
`product_installed`	`additional.fields.value.string_value`	La valeur de `product_installed` du journal brut est attribuée à un objet `additional.fields` dont la clé est "product_installed".
`product_version`	`metadata.product_version`	La valeur de `product_version` du journal brut est attribuée à `metadata.product_version`.
`protocol_id`	`network.ip_protocol`	Si `protocol_id` est défini sur "6", l'analyseur définit `network.ip_protocol` sur "TCP".
`request`	`target.url`	La valeur de `request` du journal brut est attribuée à `target.url`.
`security_result.action`	`security_result.action`	L'analyseur définit le champ `security_result.action` en fonction des champs `main_action`, `actionTaken`, `status` ou `final_status`. Si aucun de ces champs n'indique une action valide, la valeur par défaut est "UNKNOWN_ACTION".
`security_result.action_details`	`security_result.action_details`	L'analyseur définit le champ `security_result.action_details` en fonction des champs `main_action`, `actionTaken`, `status` ou `final_status`.
`security_result.category`	`security_result.category`	L'analyseur définit le champ `security_result.category` sur "PHISHING" si `event_name` est "Antiphishing", sur "SOFTWARE_MALICIOUS" si `event_name` est "Anti-logiciel malveillant", ou fusionne la valeur du champ `sec_category`.
`security_result.category_details`	`security_result.category_details`	L'analyseur définit le champ `security_result.category_details` en fonction des champs `block_type` ou `attack_types`.
`security_result.detection_fields`	`security_result.detection_fields`	L'analyseur crée des objets `security_result.detection_fields` pour divers champs, y compris "malware_type", "attack_entry", "BitdefenderGZAttCkId", "BitdefenderGZEndpointId", "final_status", "detection attackTechnique" et "computer_name".
`security_result.description`	`security_result.description`	L'analyseur définit le champ `security_result.description` en fonction des champs `main_action`, `actionTaken` ou `final_status`.
`security_result.severity`	`security_result.severity`	L'analyseur définit le champ `security_result.severity` en fonction de la valeur en majuscules du champ `severity` s'il n'est pas vide et si `module` est "new-incident".
`security_result.severity_details`	`security_result.severity_details`	L'analyseur définit le champ `security_result.severity_details` en fonction du champ `severity_score`.
`security_result.threat_name`	`security_result.threat_name`	L'analyseur définit le champ `security_result.threat_name` en fonction des champs `malware_name` ou `detection_name`.
`severity`	`security_result.severity`	La valeur de `severity` du journal brut est mise en majuscule et attribuée à `security_result.severity` si elle n'est pas vide et que `module` est "new-incident".
`severity_score`	`security_result.severity_details`	La valeur de `severity_score` du journal brut est convertie en chaîne et attribuée à `security_result.severity_details`.
`source_host`	`observer.ip`	La valeur de `source_host` du journal brut est attribuée à `observer.ip`.
`source_hwid`	`principal.resource.id`	La valeur de `source_hwid` du journal brut est attribuée à `principal.resource.id`.
`source_ip`	`src.ip`	La valeur de `source_ip` du journal brut est attribuée à `src.ip`.
`source_port`	`principal.port`	La valeur de `source_port` du journal brut est convertie en entier et attribuée à `principal.port`.
`spt`	`principal.port`	La valeur de `spt` du journal brut est attribuée à `principal.port`.
`sproc`	`principal.process.command_line`	La valeur de `sproc` du journal brut est attribuée à `principal.process.command_line`.
`src`	`principal.ip`	La valeur de `src` du journal brut est attribuée à `principal.ip`.
`src.ip`	`src.ip`	L'analyseur définit le champ `src.ip` en fonction du champ `source_ip`.
`src.file.full_path`	`src.file.full_path`	L'analyseur définit le champ `src.file.full_path` en fonction du champ `old_path`.
`status`	`security_result.action_details`	La valeur de `status` du journal brut est attribuée à `security_result.action_details`. En fonction de cette valeur, le champ `security_result.action` est défini (par exemple, "portscan_blocked" et "uc_site_blocked" correspondent à "BLOCK"). Le champ `security_result.description` est également renseigné avec "status: ", suivi de la valeur `status`.
`suid`	`principal.user.userid`	La valeur de `suid` du journal brut est attribuée à `principal.user.userid`.
`suser`	`principal.user.user_display_name`	La valeur de `suser` du journal brut est attribuée à `principal.user.user_display_name`.
`target.file.full_path`	`target.file.full_path`	L'analyseur définit le champ `target.file.full_path` en fonction des champs `path` ou `new_path`.
`target.hostname`	`target.hostname`	L'analyseur définit le champ `target.hostname` en fonction du champ `hostname`.
`target.ip`	`target.ip`	L'analyseur définit le champ `target.ip` en fonction des champs `ip_dest` ou `destination_ip`.
`target.platform`	`target.platform`	L'analyseur définit le champ `target.platform` en fonction du champ `principal.platform`.
`target.platform_version`	`target.platform_version`	L'analyseur définit le champ `target.platform_version` en fonction du champ `principal.platform_version`.
`target.port`	`target.port`	L'analyseur définit le champ `target.port` en fonction des champs `port_dest` ou `destination_port`.
`target.process.command_line`	`target.process.command_line`	L'analyseur définit le champ `target.process.command_line` en fonction des champs `command_line`, `process_command_line` ou `cmd_line`.
`target.process.file.full_path`	`target.process.file.full_path`	L'analyseur définit le champ `target.process.file.full_path` en fonction du champ `process_path`.
`target.process.pid`	`target.process.pid`	L'analyseur définit le champ `target.process.pid` en fonction du champ `pid`.
`target.registry.registry_key`	`target.registry.registry_key`	L'analyseur définit le champ `target.registry.registry_key` en fonction du champ `key_path`.
`target.registry.registry_value_data`	`target.registry.registry_value_data`	L'analyseur définit le champ `target.registry.registry_value_data` en fonction du champ `data`.
`target.registry.registry_value_name`	`target.registry.registry_value_name`	L'analyseur définit le champ `target.registry.registry_value_name` en fonction du champ `value`.
`target.resource.id`	`target.resource.id`	L'analyseur définit le champ `target.resource.id` en fonction des champs `hwid` ou `BitdefenderGZHwId`.
`target.url`	`target.url`	L'analyseur définit le champ `target.url` en fonction du champ `request`.
`target.user.company_name`	`target.user.company_name`	L'analyseur définit le champ `target.user.company_name` en fonction du champ `companyId`.
`target.user.user_display_name`	`target.user.user_display_name`	L'analyseur définit le champ `target.user.user_display_name` en fonction des champs `user.name` ou `user.userName`.
`target.user.userid`	`target.user.userid`	L'analyseur définit le champ `target.user.userid` en fonction des champs `user_name`, `user`, `user.id` ou `extra_info.user`.
`target_pid`	`target.process.pid`	La valeur de `target_pid` du journal brut est attribuée à `target.process.pid`.
`timestamp`	`metadata.event_timestamp`	La valeur de `timestamp` du journal brut est analysée et attribuée à `metadata.event_timestamp`.
`uc_type`	`network.application_protocol`	La valeur de `uc_type` du journal brut est mise en majuscule et attribuée à `network.application_protocol`. Si `target_user_userid` n'est pas vide, `metadata.event_type` est défini sur "USER_UNCATEGORIZED". Sinon, il est défini sur "STATUS_UPDATE".
`url`	`principal.url`	La valeur de `url` du journal brut est attribuée à `principal.url` si elle n'est pas vide ou si elle n'est pas "0.0.0.0".
`user`	`target.user.userid`	La valeur de `user` du journal brut est attribuée à `target.user.userid`.
`user.id`	`target.user.userid`	La valeur de `user.id` du journal brut est attribuée à `target.user.userid`.
`user.name`	`target.user.user_display_name`	La valeur de `user.name` du journal brut est attribuée à `target.user.user_display_name`.
`user.userName`	`target.user.user_display_name`	La valeur de `user.userName` du journal brut est attribuée à `target.user.user_display_name`.
`user.userSid`	`principal.user.windows_sid`	La valeur de `user.userSid` du journal brut est attribuée à `principal.user.windows_sid`.
`user_name`	`target.user.userid`	La valeur de `user_name` du journal brut est attribuée à `target.user.userid`.
`value`	`target.registry.registry_value_data` ou `target.registry.registry_value_name`	La valeur de `value` du journal brut est attribuée à `target.registry.registry_value_data` si `event_name` est "reg_delete_value". Sinon, il est attribué à `target.registry.registry_value_name`.

Modifications

2023-05-02

Journaux analysés ingérés au format CEF.

2022-09-28

"security_result.action" a été mappé sur "BLOCK" lorsque "status" est "portscan_blocked" ou "uc_site_blocked".
Mappage de "security_result.action" sur "BLOCK" lorsque "main_action" est "blocked".
Mappage de "security_result.action" sur "BLOCK" lorsque "actionTaken" est "block".
Mappage de "security_result.action" sur "BLOCK" lorsque "final_status" est "blocked" ou "deleted".
Mappage de "security_result.action" sur "ALLOW" lorsque "final_status" est "ignored" ou "still present".
Mappage de "security_result.action" sur "ALLOW" lorsque "main_action" est "no action".
Mappage de "security_result.action" sur "QUARANTINE" lorsque "final_status" est "quarantined".
Mappage de "security_result.action" sur "ALLOW_WITH_MODIFICATION" lorsque "final_status" est "disinfected" ou "restored".

2022-08-17

Amélioration : modification de la mise en correspondance de "source_ip" de "principal.ip" à "srcc.ip".
Définissez "event_type" sur "SCAN_NETWORK" lorsque "module" est égal à "network-monitor" ou "fw".
Mappage de "user.userSid" sur "principal.user.windows_sid".
"user.userName" a été mappé sur "target.user.user_display_name".
Mappage de "protocol_id" sur "network.ip_protocol".
Définissez "security_result.action" sur "BLOCK" lorsque "status" est égal à "portscan_blocked" ou "uc_site_blocked".
"local_port" a été mappé sur "principal.port".
Mappage de "actionTaken" sur "security_result.action".
Mappage de "detection_attackTechnique" sur "security_result.detection_fields".

2022-08-13

Correction de bug : modification du mappage du champ "computer_name" de "principal.asset.hostname" à "event.idm.read_only_udm.principal.resource.attribute.labels".

2022-08-11

Correction de bug : vérifications conditionnelles modifiées pour le champ "main_action" mappé sur "security_result.action".
Mappage de "STATUS_UPDATE" sur "metadata.event_type" pour les journaux avec le module "task-status".

2022-04-14

Amélioration : ajout de mappages pour computer_name, computer_id, uc_type, block_type,status et product_installed.

2022-03-30

Correction d'un bug : correction de l'erreur de code temporel et mappage des champs user.id, user.name, companyId, computer_name, computer_fqdn, computer_ip, computer_id, url et categories.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.