Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log Bitdefender

Didukung di:

Google SecOps SIEM

Parser ini mengekstrak log Bitdefender dalam format CEF atau CSV, menormalisasi kolom ke UDM, dan melakukan tindakan tertentu berdasarkan kolom event_name dan module. Fitur ini menangani berbagai jenis peristiwa, seperti operasi file, koneksi jaringan, pembuatan proses, dan perubahan registry, memetakan informasi yang relevan ke kolom UDM yang sesuai, serta memperkaya data dengan konteks tambahan dari log mentah.

Sebelum memulai

Pastikan Anda memiliki instance Google Security Operations.
Pastikan Anda memiliki host Windows 2016 atau yang lebih baru atau Linux dengan systemd.
Jika berjalan di balik proxy, pastikan port firewall terbuka.
Pastikan Anda memiliki akses dengan hak istimewa ke Bitdefender.

Mendapatkan file autentikasi penyerapan Google SecOps

Login ke konsol Google SecOps.
Buka SIEM Settings > Collection Agents.
Download File Autentikasi Proses Transfer.

Mendapatkan ID pelanggan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Profil.
Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal Agen BindPlane

Untuk penginstalan Windows, jalankan skrip berikut:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Untuk penginstalan Linux, jalankan skrip berikut:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Opsi penginstalan tambahan dapat ditemukan di panduan penginstalan ini.

Mengonfigurasi Agen BindPlane untuk menyerap Syslog dan mengirim ke Google SecOps

Akses komputer tempat BindPlane diinstal.

Edit file config.yaml sebagai berikut:

receivers:
    tcplog:
        # Replace the below port <54525> and IP <0.0.0.0> with your specific values
        listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: bitdefender
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

Mulai ulang Agen BindPlane untuk menerapkan perubahan:
```
sudo systemctl restart bindplane
```

Mengonfigurasi Streaming Syslog di Bitdefender GravityZone

Login ke Pusat Kontrol GravityZone.
Buka Configuration > Integrations > Syslog.
Klik Tambahkan Server Syslog.
Berikan detail yang diperlukan:
- Name: berikan nama unik untuk server syslog (misalnya, CentralSyslog).
- Alamat IP/Nama Host: masukkan alamat IP atau nama host server Bindplane.
- Protocol: pilih protokol yang akan digunakan: TCP / UDP.
- Port: tentukan nomor port server Bindplane.
- Pilih jenis log yang akan di-streaming (misalnya, Peristiwa Antimalware, Peristiwa Pertahanan Serangan Jaringan (NAD), Peristiwa Kontrol Web, Peristiwa Firewall, atau Perubahan Kebijakan).
- Opsional: konfigurasikan filter untuk menyertakan atau mengecualikan jenis peristiwa tertentu.
Klik Save.

Tabel Pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
`BitdefenderGZAttackEntry`	`security_result.detection_fields.value`	Nilai `BitdefenderGZAttackEntry` dari log mentah ditetapkan sebagai nilai ke objek `security_result.detection_fields` dengan kunci "attack_entry".
`BitdefenderGZAttackTypes`	`security_result.category_details`	Nilai `BitdefenderGZAttackTypes` dari log mentah ditetapkan ke `security_result.category_details`. Nilai tersebut kemudian dibagi menjadi beberapa string dan setiap string ditambahkan sebagai nilai ke array `security_result.category_details`.
`BitdefenderGZAttCkId`	`security_result.detection_fields.value`	Nilai `BitdefenderGZAttCkId` dari log mentah ditetapkan sebagai nilai ke objek `security_result.detection_fields` dengan kunci "BitdefenderGZAttCkId".
`BitdefenderGZCompanyId`	`target.user.company_name`	Nilai `BitdefenderGZCompanyId` dari log mentah ditetapkan ke `target.user.company_name`.
`BitdefenderGZComputerFQDN`	`principal.asset.network_domain`	Nilai `BitdefenderGZComputerFQDN` dari log mentah ditetapkan ke `principal.asset.network_domain`.
`BitdefenderGZDetectionName`	`security_result.threat_name`	Nilai `BitdefenderGZDetectionName` dari log mentah ditetapkan ke `security_result.threat_name`.
`BitdefenderGZEndpointId`	`security_result.detection_fields.value`	Nilai `BitdefenderGZEndpointId` dari log mentah ditetapkan sebagai nilai ke objek `security_result.detection_fields` dengan kunci "BitdefenderGZEndpointId".
`BitdefenderGZIncidentId`	`metadata.product_log_id`	Nilai `BitdefenderGZIncidentId` dari log mentah ditetapkan ke `metadata.product_log_id`.
`BitdefenderGZMainAction`	`security_result.action_details`	Nilai `BitdefenderGZMainAction` dari log mentah ditetapkan ke `security_result.action_details`. Berdasarkan nilai ini, kolom `security_result.action` ditetapkan (misalnya, "blocked" dipetakan ke "BLOCK"). Kolom `security_result.description` juga diisi dengan "main_action: " diikuti dengan nilai `BitdefenderGZMainAction`.
`BitdefenderGZMalwareHash`	`principal.process.file.sha256`	Nilai `BitdefenderGZMalwareHash` dari log mentah ditetapkan ke `principal.process.file.sha256`.
`BitdefenderGZMalwareName`	`security_result.threat_name`	Nilai `BitdefenderGZMalwareName` dari log mentah ditetapkan ke `security_result.threat_name`.
`BitdefenderGZMalwareType`	`security_result.detection_fields.value`	Nilai `BitdefenderGZMalwareType` dari log mentah ditetapkan sebagai nilai ke objek `security_result.detection_fields` dengan kunci "malware_type".
`BitdefenderGZModule`	`metadata.product_event_type`	Nilai `BitdefenderGZModule` dari log mentah ditetapkan ke `metadata.product_event_type`.
`BitdefenderGZSeverityScore`	`security_result.severity_details`	Nilai `BitdefenderGZSeverityScore` dari log mentah ditetapkan ke `security_result.severity_details`.
`BitdefenderGZHwId`	`target.resource.id`	Nilai `BitdefenderGZHwId` dari log mentah ditetapkan ke `target.resource.id`.
`act`	`security_result.action_details`	Nilai `act` dari log mentah ditetapkan ke `security_result.action_details`.
`actionTaken`	`security_result.action_details`	Nilai `actionTaken` dari log mentah ditetapkan ke `security_result.action_details`. Berdasarkan nilai ini, kolom `security_result.action` ditetapkan (misalnya, "block" dipetakan ke "BLOCK"). Kolom `security_result.description` juga diisi dengan "actionTaken: " diikuti dengan nilai `actionTaken`.
`additional.fields`	`additional.fields`	Logika parser membuat pasangan nilai kunci untuk "product_installed" dan menambahkannya ke objek `additional.fields`.
`categories`	`principal.asset.category`	Nilai `categories` dari log mentah ditetapkan ke `principal.asset.category`.
`cmd_line`	`target.process.command_line`	Nilai `cmd_line` dari log mentah ditetapkan ke `target.process.command_line`.
`companyId`	`target.user.company_name`	Nilai `companyId` dari log mentah ditetapkan ke `target.user.company_name`.
`computer_fqdn`	`principal.asset.network_domain`	Nilai `computer_fqdn` dari log mentah ditetapkan ke `principal.asset.network_domain`.
`computer_id`	`principal.asset.asset_id`	Nilai `computer_id` dari log mentah ditetapkan ke `principal.asset.asset_id` setelah menambahkan "ComputerId:" di awal.
`computer_ip`	`principal.asset.ip`	Nilai `computer_ip` dari log mentah diuraikan, dipisahkan dengan koma, dan setiap alamat IP yang dihasilkan ditambahkan ke array `principal.asset.ip`.
`computer_name`	`principal.resource.attribute.labels.value`	Nilai `computer_name` dari log mentah ditetapkan sebagai nilai ke objek `principal.resource.attribute.labels` dengan kunci "computer_name". Nilai ini juga ditambahkan sebagai nilai ke objek `security_result.detection_fields` dengan kunci "computer_name".
`column1`	`metadata.product_log_id`	Nilai `column1` dari log mentah ditetapkan ke `metadata.product_log_id`.
`column3`	`observer.ip`	Nilai `column3` dari log mentah ditetapkan ke `observer.ip`.
`command_line`	`target.process.command_line`	Nilai `command_line` dari log mentah ditetapkan ke `target.process.command_line`.
`data`	`target.registry.registry_value_data`	Nilai `data` dari log mentah ditetapkan ke `target.registry.registry_value_data`.
`detection_attackTechnique`	`security_result.detection_fields.value`	Nilai `detection_attackTechnique` dari log mentah ditetapkan sebagai nilai ke objek `security_result.detection_fields` dengan kunci "detection attackTechnique".
`detection_name`	`security_result.threat_name`	Nilai `detection_name` dari log mentah ditetapkan ke `security_result.threat_name`.
`destination_ip`	`target.ip`	Nilai `destination_ip` dari log mentah ditetapkan ke `target.ip`.
`destination_port`	`target.port`	Nilai `destination_port` dari log mentah ditetapkan ke `target.port`.
`direction`	`network.direction`	Nilai `direction` dari log mentah akan diubah menjadi huruf besar dan ditetapkan ke `network.direction`.
`dvc`	`principal.ip`	Nilai `dvc` dari log mentah diuraikan, dipisahkan dengan koma, dan setiap alamat IP yang dihasilkan ditambahkan ke array `principal.ip`.
`dvchost`	`about.hostname`	Nilai `dvchost` dari log mentah ditetapkan ke `about.hostname`.
`event_description`	`metadata.description`	Nilai `event_description` dari log mentah ditetapkan ke `metadata.description`.
`event_name`	`metadata.product_event_type`	Nilai `event_name` dari log mentah ditetapkan ke `metadata.product_event_type`. Jika nilainya adalah "Antiphishing", `security_result.category` ditetapkan ke "PHISHING". Jika nilainya adalah "AntiMalware", `security_result.category` ditetapkan ke "SOFTWARE_MALICIOUS". Kolom `metadata.event_type` berasal dari `event_name` menggunakan serangkaian pernyataan bersyarat dalam parser.
`ev`	`metadata.product_event_type`	Nilai `ev` dari log mentah ditetapkan ke `metadata.product_event_type`.
`extra_info.command_line`	`target.process.command_line`	Nilai `extra_info.command_line` dari log mentah ditetapkan ke `target.process.command_line`.
`extra_info.parent_pid`	`principal.process.pid`	Nilai `extra_info.parent_pid` dari log mentah ditetapkan ke `principal.process.pid`.
`extra_info.parent_process_cmdline`	`principal.process.command_line`	Nilai `extra_info.parent_process_cmdline` dari log mentah ditetapkan ke `principal.process.command_line`.
`extra_info.parent_process_path`	`principal.process.file.full_path`	Nilai `extra_info.parent_process_path` dari log mentah ditetapkan ke `principal.process.file.full_path`.
`extra_info.pid`	`target.process.pid`	Nilai `extra_info.pid` dari log mentah ditetapkan ke `target.process.pid`.
`extra_info.process_path`	`target.process.file.full_path`	Nilai `extra_info.process_path` dari log mentah ditetapkan ke `target.process.file.full_path`.
`extra_info.user`	`target.user.userid`	Nilai `extra_info.user` dari log mentah ditetapkan ke `target.user.userid`.
`filePath`	`principal.process.file.full_path`	Nilai `filePath` dari log mentah ditetapkan ke `principal.process.file.full_path`.
`file_path`	`principal.process.file.full_path`	Nilai `file_path` dari log mentah ditetapkan ke `principal.process.file.full_path`.
`final_status`	`security_result.action_details`	Nilai `final_status` dari log mentah ditetapkan ke `security_result.action_details`. Berdasarkan nilai ini, kolom `security_result.action` ditetapkan (misalnya, "deleted" dipetakan ke "BLOCK", "ignored" ke "ALLOW"). Kolom `security_result.description` juga diisi dengan "final_status: " diikuti dengan nilai `final_status`. Jika nilainya "dihapus" atau "diblokir", `metadata.event_type` ditetapkan ke "SCAN_NETWORK".
`hash`	`principal.process.file.sha256`	Nilai `hash` dari log mentah ditetapkan ke `principal.process.file.sha256`.
`host`	`principal.hostname`	Nilai `host` dari log mentah ditetapkan ke `principal.hostname`.
`hostname`	`principal.hostname`	Nilai `hostname` dari log mentah ditetapkan ke `principal.hostname` jika `event_name` bukan "log_on" atau "log_out". Jika tidak, nilai ini akan ditetapkan ke `target.hostname`.
`host_name`	`principal.hostname`	Nilai `host_name` dari log mentah ditetapkan ke `principal.hostname`.
`hwid`	`principal.resource.id`	Nilai `hwid` dari log mentah ditetapkan ke `principal.resource.id` jika tidak kosong. Jika kosong dan peristiwanya bukan "log_on" atau "log_out", nilai `source_hwid` akan ditetapkan ke `principal.resource.id`. Jika peristiwanya adalah "log_on" atau "log_out", peristiwa tersebut akan ditetapkan ke `target.resource.id`.
`incident_id`	`metadata.product_log_id`	Nilai `incident_id` dari log mentah ditetapkan ke `metadata.product_log_id`.
`ip_dest`	`target.ip`	Nilai `ip_dest` dari log mentah ditetapkan ke `target.ip`.
`ip_source`	`principal.ip`	Nilai `ip_source` dari log mentah ditetapkan ke `principal.ip`.
`key_path`	`target.registry.registry_key`	Nilai `key_path` dari log mentah ditetapkan ke `target.registry.registry_key`.
`local_port`	`principal.port`	Nilai `local_port` dari log mentah dikonversi menjadi bilangan bulat dan ditetapkan ke `principal.port`.
`logon_type`	`extensions.auth.mechanism`	Nilai `logon_type` dari log mentah digunakan untuk menentukan nilai `extensions.auth.mechanism`. Nilai numerik `logon_type` yang berbeda dipetakan ke mekanisme autentikasi yang berbeda (misalnya, 2 dipetakan ke "LOCAL", 3 ke "NETWORK"). Jika tidak ditemukan `logon_type` yang cocok, mekanisme akan ditetapkan ke "MECHANISM_UNSPECIFIED".
`lurker_id`	`intermediary.resource.id`	Nilai `lurker_id` dari log mentah ditetapkan ke `intermediary.resource.id`.
`main_action`	`security_result.action_details`	Nilai `main_action` dari log mentah ditetapkan ke `security_result.action_details`. Berdasarkan nilai ini, kolom `security_result.action` ditetapkan (misalnya, "diblokir" dipetakan ke "BLOCK", "tidak ada tindakan" ke "ALLOW"). Kolom `security_result.description` juga diisi dengan "main_action: " diikuti dengan nilai `main_action`.
`malware_name`	`security_result.threat_name`	Nilai `malware_name` dari log mentah ditetapkan ke `security_result.threat_name`.
`malware_type`	`security_result.detection_fields.value`	Nilai `malware_type` dari log mentah ditetapkan sebagai nilai ke objek `security_result.detection_fields` dengan kunci "malware_type".
`metadata.description`	`metadata.description`	Parser menetapkan kolom `metadata.description` berdasarkan kolom `event_name`.
`metadata.event_type`	`metadata.event_type`	Parser menetapkan kolom `metadata.event_type` berdasarkan kolom `event_name`.
`metadata.product_event_type`	`metadata.product_event_type`	Parser menetapkan kolom `metadata.product_event_type` berdasarkan kolom `event_name` atau `module`.
`metadata.product_log_id`	`metadata.product_log_id`	Parser menetapkan kolom `metadata.product_log_id` berdasarkan kolom `msg_id` atau `incident_id`.
`metadata.product_name`	`metadata.product_name`	Parser menetapkan `metadata.product_name` ke "BitDefender EDR".
`metadata.product_version`	`metadata.product_version`	Parser mengganti nama kolom `product_version` menjadi `metadata.product_version`.
`metadata.vendor_name`	`metadata.vendor_name`	Parser menetapkan `metadata.vendor_name` ke "BitDefender".
`module`	`metadata.product_event_type`	Nilai `module` dari log mentah ditetapkan ke `metadata.product_event_type`. Jika nilainya "new-incident" dan `target_process_file_full_path` tidak kosong, `metadata.event_type` ditetapkan ke "PROCESS_UNCATEGORIZED". Jika nilainya adalah "task-status", `metadata.event_type` ditetapkan ke "STATUS_UPDATE". Jika nilainya adalah "network-monitor" atau "fw", `metadata.event_type` ditetapkan ke "SCAN_NETWORK".
`msg_id`	`metadata.product_log_id`	Nilai `msg_id` dari log mentah ditetapkan ke `metadata.product_log_id`.
`network.application_protocol`	`network.application_protocol`	Nilai `uc_type` dari log mentah akan diubah menjadi huruf besar dan ditetapkan ke `network.application_protocol`.
`network.direction`	`network.direction`	Parser menetapkan kolom `network.direction` berdasarkan kolom `direction`.
`network.ip_protocol`	`network.ip_protocol`	Jika `protocol_id` adalah "6", parser akan menetapkan `network.ip_protocol` ke "TCP".
`new_path`	`target.file.full_path`	Nilai `new_path` dari log mentah ditetapkan ke `target.file.full_path`.
`old_path`	`src.file.full_path`	Nilai `old_path` dari log mentah ditetapkan ke `src.file.full_path`.
`origin_ip`	`intermediary.ip`	Nilai `origin_ip` dari log mentah ditetapkan ke `intermediary.ip`.
`os`	`principal.platform_version`	Nilai `os` dari log mentah ditetapkan ke `principal.platform_version`. Kolom `principal.platform` berasal dari `os` (misalnya, "Win" dipetakan ke "WINDOWS"). Jika peristiwanya adalah "log_on" atau "log_out", kolom `principal.platform` dan `principal.platform_version` masing-masing akan diganti namanya menjadi `target.platform` dan `target.platform_version`.
`os_type`	`principal.platform`	Nilai `os_type` dari log mentah digunakan untuk menentukan nilai `principal.platform` (misalnya, "Win" dipetakan ke "WINDOWS").
`parent_pid`	`principal.process.pid`	Nilai `parent_pid` dari log mentah ditetapkan ke `principal.process.pid`.
`parent_process_path`	`principal.process.file.full_path`	Nilai `parent_process_path` dari log mentah ditetapkan ke `principal.process.file.full_path`.
`parent_process_pid`	`principal.process.pid`	Nilai `parent_process_pid` dari log mentah ditetapkan ke `principal.process.pid`.
`path`	`target.file.full_path`	Nilai `path` dari log mentah ditetapkan ke `target.file.full_path`.
`pid`	`principal.process.pid` atau `target.process.pid`	Nilai `pid` dari log mentah ditetapkan ke `principal.process.pid` jika `event_name` dimulai dengan "file" atau "reg", atau jika merupakan salah satu dari "process_signal", "network_connection", atau "connection_connect". Jika tidak, nilai ini akan ditetapkan ke `target.process.pid`.
`pid_path`	`principal.process.file.full_path`	Nilai `pid_path` dari log mentah ditetapkan ke `principal.process.file.full_path`.
`port_dest`	`target.port`	Nilai `port_dest` dari log mentah dikonversi menjadi bilangan bulat dan ditetapkan ke `target.port`.
`port_source`	`principal.port`	Nilai `port_source` dari log mentah dikonversi menjadi bilangan bulat dan ditetapkan ke `principal.port`.
`ppid`	`principal.process.pid`	Nilai `ppid` dari log mentah ditetapkan ke `principal.process.pid`.
`principal.ip`	`principal.ip`	Parser menetapkan kolom `principal.ip` berdasarkan kolom `ip_source` atau `dvc`.
`principal.platform`	`principal.platform`	Parser menetapkan kolom `principal.platform` berdasarkan kolom `os` atau `os_type`.
`principal.platform_version`	`principal.platform_version`	Parser menetapkan kolom `principal.platform_version` berdasarkan kolom `os` atau `osi_version`.
`principal.process.command_line`	`principal.process.command_line`	Parser menetapkan kolom `principal.process.command_line` berdasarkan kolom `parent_process_cmdline`.
`principal.process.file.full_path`	`principal.process.file.full_path`	Parser menetapkan kolom `principal.process.file.full_path` berdasarkan kolom `pid_path`, `file_path`, `parent_process_path`, atau `process_path`.
`principal.process.file.md5`	`principal.process.file.md5`	Parser mengganti nama kolom `file_hash_md5` menjadi `principal.process.file.md5`.
`principal.process.file.sha256`	`principal.process.file.sha256`	Parser menetapkan kolom `principal.process.file.sha256` berdasarkan kolom `hash`, `BitdefenderGZMalwareHash`, atau `file_hash_sha256`.
`principal.process.parent_process.pid`	`principal.process.parent_process.pid`	Parser mengganti nama kolom `ppid` menjadi `principal.process.parent_process.pid`.
`principal.process.pid`	`principal.process.pid`	Parser menetapkan kolom `principal.process.pid` berdasarkan kolom `pid`, `parent_pid`, `ppid`, atau `parent_process_pid`.
`principal.resource.id`	`principal.resource.id`	Parser menetapkan kolom `principal.resource.id` berdasarkan kolom `hwid` atau `source_hwid`.
`principal.url`	`principal.url`	Parser menetapkan kolom `principal.url` berdasarkan kolom `url`.
`process_command_line`	`target.process.command_line`	Nilai `process_command_line` dari log mentah ditetapkan ke `target.process.command_line`.
`process_path`	`principal.process.file.full_path` atau `target.process.file.full_path`	Nilai `process_path` dari log mentah ditetapkan ke `principal.process.file.full_path` jika `event_name` adalah "network_connection" atau "connection_connect". Jika tidak, nilai ini akan ditetapkan ke `target.process.file.full_path`.
`product_installed`	`additional.fields.value.string_value`	Nilai `product_installed` dari log mentah ditetapkan sebagai nilai ke objek `additional.fields` dengan kunci "product_installed".
`product_version`	`metadata.product_version`	Nilai `product_version` dari log mentah ditetapkan ke `metadata.product_version`.
`protocol_id`	`network.ip_protocol`	Jika `protocol_id` adalah "6", parser akan menetapkan `network.ip_protocol` ke "TCP".
`request`	`target.url`	Nilai `request` dari log mentah ditetapkan ke `target.url`.
`security_result.action`	`security_result.action`	Parser menetapkan kolom `security_result.action` berdasarkan kolom `main_action`, `actionTaken`, `status`, atau `final_status`. Jika tidak ada kolom yang memberikan tindakan yang valid, defaultnya adalah "UNKNOWN_ACTION".
`security_result.action_details`	`security_result.action_details`	Parser menetapkan kolom `security_result.action_details` berdasarkan kolom `main_action`, `actionTaken`, `status`, atau `final_status`.
`security_result.category`	`security_result.category`	Parser menetapkan kolom `security_result.category` ke "PHISHING" jika `event_name` adalah "Antiphishing", ke "SOFTWARE_MALICIOUS" jika `event_name` adalah "AntiMalware", atau menggabungkan nilai dari kolom `sec_category`.
`security_result.category_details`	`security_result.category_details`	Parser menetapkan kolom `security_result.category_details` berdasarkan kolom `block_type` atau `attack_types`.
`security_result.detection_fields`	`security_result.detection_fields`	Parser membuat objek `security_result.detection_fields` untuk berbagai kolom, termasuk "malware_type", "attack_entry", "BitdefenderGZAttCkId", "BitdefenderGZEndpointId", "final_status", "detection attackTechnique", dan "computer_name".
`security_result.description`	`security_result.description`	Parser menetapkan kolom `security_result.description` berdasarkan kolom `main_action`, `actionTaken`, atau `final_status`.
`security_result.severity`	`security_result.severity`	Parser menetapkan kolom `security_result.severity` berdasarkan nilai kolom `severity` yang dicetak besar jika tidak kosong dan `module` adalah "new-incident".
`security_result.severity_details`	`security_result.severity_details`	Parser menetapkan kolom `security_result.severity_details` berdasarkan kolom `severity_score`.
`security_result.threat_name`	`security_result.threat_name`	Parser menetapkan kolom `security_result.threat_name` berdasarkan kolom `malware_name` atau `detection_name`.
`severity`	`security_result.severity`	Nilai `severity` dari log mentah akan diubah menjadi huruf besar dan ditetapkan ke `security_result.severity` jika tidak kosong dan `module` adalah "new-incident".
`severity_score`	`security_result.severity_details`	Nilai `severity_score` dari log mentah dikonversi menjadi string dan ditetapkan ke `security_result.severity_details`.
`source_host`	`observer.ip`	Nilai `source_host` dari log mentah ditetapkan ke `observer.ip`.
`source_hwid`	`principal.resource.id`	Nilai `source_hwid` dari log mentah ditetapkan ke `principal.resource.id`.
`source_ip`	`src.ip`	Nilai `source_ip` dari log mentah ditetapkan ke `src.ip`.
`source_port`	`principal.port`	Nilai `source_port` dari log mentah dikonversi menjadi bilangan bulat dan ditetapkan ke `principal.port`.
`spt`	`principal.port`	Nilai `spt` dari log mentah ditetapkan ke `principal.port`.
`sproc`	`principal.process.command_line`	Nilai `sproc` dari log mentah ditetapkan ke `principal.process.command_line`.
`src`	`principal.ip`	Nilai `src` dari log mentah ditetapkan ke `principal.ip`.
`src.ip`	`src.ip`	Parser menetapkan kolom `src.ip` berdasarkan kolom `source_ip`.
`src.file.full_path`	`src.file.full_path`	Parser menetapkan kolom `src.file.full_path` berdasarkan kolom `old_path`.
`status`	`security_result.action_details`	Nilai `status` dari log mentah ditetapkan ke `security_result.action_details`. Berdasarkan nilai ini, kolom `security_result.action` ditetapkan (misalnya, "portscan_blocked" dan "uc_site_blocked" dipetakan ke "BLOCK"). Kolom `security_result.description` juga diisi dengan "status: " diikuti dengan nilai `status`.
`suid`	`principal.user.userid`	Nilai `suid` dari log mentah ditetapkan ke `principal.user.userid`.
`suser`	`principal.user.user_display_name`	Nilai `suser` dari log mentah ditetapkan ke `principal.user.user_display_name`.
`target.file.full_path`	`target.file.full_path`	Parser menetapkan kolom `target.file.full_path` berdasarkan kolom `path` atau `new_path`.
`target.hostname`	`target.hostname`	Parser menetapkan kolom `target.hostname` berdasarkan kolom `hostname`.
`target.ip`	`target.ip`	Parser menetapkan kolom `target.ip` berdasarkan kolom `ip_dest` atau `destination_ip`.
`target.platform`	`target.platform`	Parser menetapkan kolom `target.platform` berdasarkan kolom `principal.platform`.
`target.platform_version`	`target.platform_version`	Parser menetapkan kolom `target.platform_version` berdasarkan kolom `principal.platform_version`.
`target.port`	`target.port`	Parser menetapkan kolom `target.port` berdasarkan kolom `port_dest` atau `destination_port`.
`target.process.command_line`	`target.process.command_line`	Parser menetapkan kolom `target.process.command_line` berdasarkan kolom `command_line`, `process_command_line`, atau `cmd_line`.
`target.process.file.full_path`	`target.process.file.full_path`	Parser menetapkan kolom `target.process.file.full_path` berdasarkan kolom `process_path`.
`target.process.pid`	`target.process.pid`	Parser menetapkan kolom `target.process.pid` berdasarkan kolom `pid`.
`target.registry.registry_key`	`target.registry.registry_key`	Parser menetapkan kolom `target.registry.registry_key` berdasarkan kolom `key_path`.
`target.registry.registry_value_data`	`target.registry.registry_value_data`	Parser menetapkan kolom `target.registry.registry_value_data` berdasarkan kolom `data`.
`target.registry.registry_value_name`	`target.registry.registry_value_name`	Parser menetapkan kolom `target.registry.registry_value_name` berdasarkan kolom `value`.
`target.resource.id`	`target.resource.id`	Parser menetapkan kolom `target.resource.id` berdasarkan kolom `hwid` atau `BitdefenderGZHwId`.
`target.url`	`target.url`	Parser menetapkan kolom `target.url` berdasarkan kolom `request`.
`target.user.company_name`	`target.user.company_name`	Parser menetapkan kolom `target.user.company_name` berdasarkan kolom `companyId`.
`target.user.user_display_name`	`target.user.user_display_name`	Parser menetapkan kolom `target.user.user_display_name` berdasarkan kolom `user.name` atau `user.userName`.
`target.user.userid`	`target.user.userid`	Parser menetapkan kolom `target.user.userid` berdasarkan kolom `user_name`, `user`, `user.id`, atau `extra_info.user`.
`target_pid`	`target.process.pid`	Nilai `target_pid` dari log mentah ditetapkan ke `target.process.pid`.
`timestamp`	`metadata.event_timestamp`	Nilai `timestamp` dari log mentah diuraikan dan ditetapkan ke `metadata.event_timestamp`.
`uc_type`	`network.application_protocol`	Nilai `uc_type` dari log mentah akan diubah menjadi huruf besar dan ditetapkan ke `network.application_protocol`. Jika `target_user_userid` tidak kosong, `metadata.event_type` ditetapkan ke "USER_UNCATEGORIZED". Jika tidak, nilai ini akan ditetapkan ke "STATUS_UPDATE".
`url`	`principal.url`	Nilai `url` dari log mentah ditetapkan ke `principal.url` jika tidak kosong atau "0.0.0.0".
`user`	`target.user.userid`	Nilai `user` dari log mentah ditetapkan ke `target.user.userid`.
`user.id`	`target.user.userid`	Nilai `user.id` dari log mentah ditetapkan ke `target.user.userid`.
`user.name`	`target.user.user_display_name`	Nilai `user.name` dari log mentah ditetapkan ke `target.user.user_display_name`.
`user.userName`	`target.user.user_display_name`	Nilai `user.userName` dari log mentah ditetapkan ke `target.user.user_display_name`.
`user.userSid`	`principal.user.windows_sid`	Nilai `user.userSid` dari log mentah ditetapkan ke `principal.user.windows_sid`.
`user_name`	`target.user.userid`	Nilai `user_name` dari log mentah ditetapkan ke `target.user.userid`.
`value`	`target.registry.registry_value_data` atau `target.registry.registry_value_name`	Nilai `value` dari log mentah ditetapkan ke `target.registry.registry_value_data` jika `event_name` adalah "reg_delete_value". Jika tidak, nilai ini akan ditetapkan ke `target.registry.registry_value_name`.

Perubahan

2023-05-02

Log yang diuraikan dan diserap dalam format CEF.

2022-09-28

Memetakan "security_result.action" ke "BLOCK" jika "status" adalah "portscan_blocked" atau "uc_site_blocked".
Memetakan "security_result.action" ke "BLOCK" saat "main_action" "diblokir".
Memetakan "security_result.action" ke "BLOCK" saat "actionTaken" adalah "block".
Memetakan "security_result.action" ke "BLOCK" saat "final_status" adalah "blocked" atau "deleted".
Memetakan "security_result.action" ke "ALLOW" saat "final_status" "diabaikan" atau "masih ada".
Memetakan "security_result.action" ke "ALLOW" saat "main_action" adalah "no action".
Memetakan "security_result.action" ke "QUARANTINE" saat "final_status" adalah "di-karantina".
Memetakan "security_result.action" ke "ALLOW_WITH_MODIFICATION" saat "final_status" adalah "disinfected" atau "restored".

2022-08-17

Peningkatan - Pemetaan yang diubah untuk "source_ip" dari "principal.ip" menjadi "srcc.ip".
Tetapkan "event_type" ke "SCAN_NETWORK" jika "module" sama dengan "network-monitor" atau "fw".
Memetakan "user.userSid" ke "principal.user.windows_sid".
Memetakan "user.userName" ke "target.user.user_display_name".
Memetakan "protocol_id" ke "network.ip_protocol".
Tetapkan "security_result.action" ke "BLOCK" jika "status" sama dengan "portscan_blocked" atau "uc_site_blocked".
Memetakan "local_port" ke "principal.port".
Memetakan "actionTaken" ke "security_result.action".
Memetakan "detection_attackTechnique" ke "security_result.detection_fields".

2022-08-13

Perbaikan bug - Mengubah pemetaan untuk kolom 'computer_name' dari 'principal.asset.hostname' menjadi 'event.idm.read_only_udm.principal.resource.attribute.labels'.

2022-08-11

Perbaikan bug - Mengubah pemeriksaan bersyarat untuk kolom 'main_action' yang dipetakan ke 'security_result.action'.
Memetakan 'STATUS_UPDATE' ke 'metadata.event_type' untuk log yang memiliki modul 'task-status'.

2022-04-14

Peningkatan - Menambahkan pemetaan untuk computer_name, computer_id, uc_type, block_type,status,product_installed.

2022-03-30

Perbaikan bug - Memperbaiki error stempel waktu dan memetakan kolom user.id, user.name, companyId, computer_name, computer_fqdn, computer_ip, computer_id, url, dan categories.