Mengumpulkan log Bitdefender

Didukung di:

Parser ini mengekstrak log Bitdefender dalam format CEF atau CSV, menormalisasi kolom ke UDM, dan melakukan tindakan tertentu berdasarkan kolom event_name dan module. Fitur ini menangani berbagai jenis peristiwa, seperti operasi file, koneksi jaringan, pembuatan proses, dan perubahan registry, memetakan informasi yang relevan ke kolom UDM yang sesuai, serta memperkaya data dengan konteks tambahan dari log mentah.

Sebelum memulai

  • Pastikan Anda memiliki instance Google Security Operations.
  • Pastikan Anda memiliki host Windows 2016 atau yang lebih baru atau Linux dengan systemd.
  • Jika berjalan di balik proxy, pastikan port firewall terbuka.
  • Pastikan Anda memiliki akses dengan hak istimewa ke Bitdefender.

Mendapatkan file autentikasi penyerapan Google SecOps

  1. Login ke konsol Google SecOps.
  2. Buka SIEM Settings > Collection Agents.
  3. Download File Autentikasi Proses Transfer.

Mendapatkan ID pelanggan Google SecOps

  1. Login ke konsol Google SecOps.
  2. Buka Setelan SIEM > Profil.
  3. Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal Agen BindPlane

  1. Untuk penginstalan Windows, jalankan skrip berikut:
    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
  2. Untuk penginstalan Linux, jalankan skrip berikut:
    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
  3. Opsi penginstalan tambahan dapat ditemukan di panduan penginstalan ini.

Mengonfigurasi Agen BindPlane untuk menyerap Syslog dan mengirim ke Google SecOps

  1. Akses komputer tempat BindPlane diinstal.
  2. Edit file config.yaml sebagai berikut:

    receivers:
        tcplog:
            # Replace the below port <54525> and IP <0.0.0.0> with your specific values
            listen_address: "0.0.0.0:54525" 
    
    exporters:
        chronicle/chronicle_w_labels:
            compression: gzip
            # Adjust the creds location below according the placement of the credentials file you downloaded
            creds: '{ json file for creds }'
            # Replace <customer_id> below with your actual ID that you copied
            customer_id: <customer_id>
            endpoint: malachiteingestion-pa.googleapis.com
            # You can apply ingestion labels below as preferred
            ingestion_labels:
            log_type: SYSLOG
            namespace: bitdefender
            raw_log_field: body
    service:
        pipelines:
            logs/source0__chronicle_w_labels-0:
                receivers:
                    - tcplog
                exporters:
                    - chronicle/chronicle_w_labels
    
  3. Mulai ulang Agen BindPlane untuk menerapkan perubahan:

    sudo systemctl restart bindplane
    

Mengonfigurasi Streaming Syslog di Bitdefender GravityZone

  1. Login ke Pusat Kontrol GravityZone.
  2. Buka Configuration > Integrations > Syslog.
  3. Klik Tambahkan Server Syslog.
  4. Berikan detail yang diperlukan:
    • Name: berikan nama unik untuk server syslog (misalnya, CentralSyslog).
    • Alamat IP/Nama Host: masukkan alamat IP atau nama host server Bindplane.
    • Protocol: pilih protokol yang akan digunakan: TCP / UDP.
    • Port: tentukan nomor port server Bindplane.
    • Pilih jenis log yang akan di-streaming (misalnya, Peristiwa Antimalware, Peristiwa Pertahanan Serangan Jaringan (NAD), Peristiwa Kontrol Web, Peristiwa Firewall, atau Perubahan Kebijakan).
    • Opsional: konfigurasikan filter untuk menyertakan atau mengecualikan jenis peristiwa tertentu.
  5. Klik Save.

Tabel Pemetaan UDM

Kolom Log Pemetaan UDM Logika
BitdefenderGZAttackEntry security_result.detection_fields.value Nilai BitdefenderGZAttackEntry dari log mentah ditetapkan sebagai nilai ke objek security_result.detection_fields dengan kunci "attack_entry".
BitdefenderGZAttackTypes security_result.category_details Nilai BitdefenderGZAttackTypes dari log mentah ditetapkan ke security_result.category_details. Nilai tersebut kemudian dibagi menjadi beberapa string dan setiap string ditambahkan sebagai nilai ke array security_result.category_details.
BitdefenderGZAttCkId security_result.detection_fields.value Nilai BitdefenderGZAttCkId dari log mentah ditetapkan sebagai nilai ke objek security_result.detection_fields dengan kunci "BitdefenderGZAttCkId".
BitdefenderGZCompanyId target.user.company_name Nilai BitdefenderGZCompanyId dari log mentah ditetapkan ke target.user.company_name.
BitdefenderGZComputerFQDN principal.asset.network_domain Nilai BitdefenderGZComputerFQDN dari log mentah ditetapkan ke principal.asset.network_domain.
BitdefenderGZDetectionName security_result.threat_name Nilai BitdefenderGZDetectionName dari log mentah ditetapkan ke security_result.threat_name.
BitdefenderGZEndpointId security_result.detection_fields.value Nilai BitdefenderGZEndpointId dari log mentah ditetapkan sebagai nilai ke objek security_result.detection_fields dengan kunci "BitdefenderGZEndpointId".
BitdefenderGZIncidentId metadata.product_log_id Nilai BitdefenderGZIncidentId dari log mentah ditetapkan ke metadata.product_log_id.
BitdefenderGZMainAction security_result.action_details Nilai BitdefenderGZMainAction dari log mentah ditetapkan ke security_result.action_details. Berdasarkan nilai ini, kolom security_result.action ditetapkan (misalnya, "blocked" dipetakan ke "BLOCK"). Kolom security_result.description juga diisi dengan "main_action: " diikuti dengan nilai BitdefenderGZMainAction.
BitdefenderGZMalwareHash principal.process.file.sha256 Nilai BitdefenderGZMalwareHash dari log mentah ditetapkan ke principal.process.file.sha256.
BitdefenderGZMalwareName security_result.threat_name Nilai BitdefenderGZMalwareName dari log mentah ditetapkan ke security_result.threat_name.
BitdefenderGZMalwareType security_result.detection_fields.value Nilai BitdefenderGZMalwareType dari log mentah ditetapkan sebagai nilai ke objek security_result.detection_fields dengan kunci "malware_type".
BitdefenderGZModule metadata.product_event_type Nilai BitdefenderGZModule dari log mentah ditetapkan ke metadata.product_event_type.
BitdefenderGZSeverityScore security_result.severity_details Nilai BitdefenderGZSeverityScore dari log mentah ditetapkan ke security_result.severity_details.
BitdefenderGZHwId target.resource.id Nilai BitdefenderGZHwId dari log mentah ditetapkan ke target.resource.id.
act security_result.action_details Nilai act dari log mentah ditetapkan ke security_result.action_details.
actionTaken security_result.action_details Nilai actionTaken dari log mentah ditetapkan ke security_result.action_details. Berdasarkan nilai ini, kolom security_result.action ditetapkan (misalnya, "block" dipetakan ke "BLOCK"). Kolom security_result.description juga diisi dengan "actionTaken: " diikuti dengan nilai actionTaken.
additional.fields additional.fields Logika parser membuat pasangan nilai kunci untuk "product_installed" dan menambahkannya ke objek additional.fields.
categories principal.asset.category Nilai categories dari log mentah ditetapkan ke principal.asset.category.
cmd_line target.process.command_line Nilai cmd_line dari log mentah ditetapkan ke target.process.command_line.
companyId target.user.company_name Nilai companyId dari log mentah ditetapkan ke target.user.company_name.
computer_fqdn principal.asset.network_domain Nilai computer_fqdn dari log mentah ditetapkan ke principal.asset.network_domain.
computer_id principal.asset.asset_id Nilai computer_id dari log mentah ditetapkan ke principal.asset.asset_id setelah menambahkan "ComputerId:" di awal.
computer_ip principal.asset.ip Nilai computer_ip dari log mentah diuraikan, dipisahkan dengan koma, dan setiap alamat IP yang dihasilkan ditambahkan ke array principal.asset.ip.
computer_name principal.resource.attribute.labels.value Nilai computer_name dari log mentah ditetapkan sebagai nilai ke objek principal.resource.attribute.labels dengan kunci "computer_name". Nilai ini juga ditambahkan sebagai nilai ke objek security_result.detection_fields dengan kunci "computer_name".
column1 metadata.product_log_id Nilai column1 dari log mentah ditetapkan ke metadata.product_log_id.
column3 observer.ip Nilai column3 dari log mentah ditetapkan ke observer.ip.
command_line target.process.command_line Nilai command_line dari log mentah ditetapkan ke target.process.command_line.
data target.registry.registry_value_data Nilai data dari log mentah ditetapkan ke target.registry.registry_value_data.
detection_attackTechnique security_result.detection_fields.value Nilai detection_attackTechnique dari log mentah ditetapkan sebagai nilai ke objek security_result.detection_fields dengan kunci "detection attackTechnique".
detection_name security_result.threat_name Nilai detection_name dari log mentah ditetapkan ke security_result.threat_name.
destination_ip target.ip Nilai destination_ip dari log mentah ditetapkan ke target.ip.
destination_port target.port Nilai destination_port dari log mentah ditetapkan ke target.port.
direction network.direction Nilai direction dari log mentah akan diubah menjadi huruf besar dan ditetapkan ke network.direction.
dvc principal.ip Nilai dvc dari log mentah diuraikan, dipisahkan dengan koma, dan setiap alamat IP yang dihasilkan ditambahkan ke array principal.ip.
dvchost about.hostname Nilai dvchost dari log mentah ditetapkan ke about.hostname.
event_description metadata.description Nilai event_description dari log mentah ditetapkan ke metadata.description.
event_name metadata.product_event_type Nilai event_name dari log mentah ditetapkan ke metadata.product_event_type. Jika nilainya adalah "Antiphishing", security_result.category ditetapkan ke "PHISHING". Jika nilainya adalah "AntiMalware", security_result.category ditetapkan ke "SOFTWARE_MALICIOUS". Kolom metadata.event_type berasal dari event_name menggunakan serangkaian pernyataan bersyarat dalam parser.
ev metadata.product_event_type Nilai ev dari log mentah ditetapkan ke metadata.product_event_type.
extra_info.command_line target.process.command_line Nilai extra_info.command_line dari log mentah ditetapkan ke target.process.command_line.
extra_info.parent_pid principal.process.pid Nilai extra_info.parent_pid dari log mentah ditetapkan ke principal.process.pid.
extra_info.parent_process_cmdline principal.process.command_line Nilai extra_info.parent_process_cmdline dari log mentah ditetapkan ke principal.process.command_line.
extra_info.parent_process_path principal.process.file.full_path Nilai extra_info.parent_process_path dari log mentah ditetapkan ke principal.process.file.full_path.
extra_info.pid target.process.pid Nilai extra_info.pid dari log mentah ditetapkan ke target.process.pid.
extra_info.process_path target.process.file.full_path Nilai extra_info.process_path dari log mentah ditetapkan ke target.process.file.full_path.
extra_info.user target.user.userid Nilai extra_info.user dari log mentah ditetapkan ke target.user.userid.
filePath principal.process.file.full_path Nilai filePath dari log mentah ditetapkan ke principal.process.file.full_path.
file_path principal.process.file.full_path Nilai file_path dari log mentah ditetapkan ke principal.process.file.full_path.
final_status security_result.action_details Nilai final_status dari log mentah ditetapkan ke security_result.action_details. Berdasarkan nilai ini, kolom security_result.action ditetapkan (misalnya, "deleted" dipetakan ke "BLOCK", "ignored" ke "ALLOW"). Kolom security_result.description juga diisi dengan "final_status: " diikuti dengan nilai final_status. Jika nilainya "dihapus" atau "diblokir", metadata.event_type ditetapkan ke "SCAN_NETWORK".
hash principal.process.file.sha256 Nilai hash dari log mentah ditetapkan ke principal.process.file.sha256.
host principal.hostname Nilai host dari log mentah ditetapkan ke principal.hostname.
hostname principal.hostname Nilai hostname dari log mentah ditetapkan ke principal.hostname jika event_name bukan "log_on" atau "log_out". Jika tidak, nilai ini akan ditetapkan ke target.hostname.
host_name principal.hostname Nilai host_name dari log mentah ditetapkan ke principal.hostname.
hwid principal.resource.id Nilai hwid dari log mentah ditetapkan ke principal.resource.id jika tidak kosong. Jika kosong dan peristiwanya bukan "log_on" atau "log_out", nilai source_hwid akan ditetapkan ke principal.resource.id. Jika peristiwanya adalah "log_on" atau "log_out", peristiwa tersebut akan ditetapkan ke target.resource.id.
incident_id metadata.product_log_id Nilai incident_id dari log mentah ditetapkan ke metadata.product_log_id.
ip_dest target.ip Nilai ip_dest dari log mentah ditetapkan ke target.ip.
ip_source principal.ip Nilai ip_source dari log mentah ditetapkan ke principal.ip.
key_path target.registry.registry_key Nilai key_path dari log mentah ditetapkan ke target.registry.registry_key.
local_port principal.port Nilai local_port dari log mentah dikonversi menjadi bilangan bulat dan ditetapkan ke principal.port.
logon_type extensions.auth.mechanism Nilai logon_type dari log mentah digunakan untuk menentukan nilai extensions.auth.mechanism. Nilai numerik logon_type yang berbeda dipetakan ke mekanisme autentikasi yang berbeda (misalnya, 2 dipetakan ke "LOCAL", 3 ke "NETWORK"). Jika tidak ditemukan logon_type yang cocok, mekanisme akan ditetapkan ke "MECHANISM_UNSPECIFIED".
lurker_id intermediary.resource.id Nilai lurker_id dari log mentah ditetapkan ke intermediary.resource.id.
main_action security_result.action_details Nilai main_action dari log mentah ditetapkan ke security_result.action_details. Berdasarkan nilai ini, kolom security_result.action ditetapkan (misalnya, "diblokir" dipetakan ke "BLOCK", "tidak ada tindakan" ke "ALLOW"). Kolom security_result.description juga diisi dengan "main_action: " diikuti dengan nilai main_action.
malware_name security_result.threat_name Nilai malware_name dari log mentah ditetapkan ke security_result.threat_name.
malware_type security_result.detection_fields.value Nilai malware_type dari log mentah ditetapkan sebagai nilai ke objek security_result.detection_fields dengan kunci "malware_type".
metadata.description metadata.description Parser menetapkan kolom metadata.description berdasarkan kolom event_name.
metadata.event_type metadata.event_type Parser menetapkan kolom metadata.event_type berdasarkan kolom event_name.
metadata.product_event_type metadata.product_event_type Parser menetapkan kolom metadata.product_event_type berdasarkan kolom event_name atau module.
metadata.product_log_id metadata.product_log_id Parser menetapkan kolom metadata.product_log_id berdasarkan kolom msg_id atau incident_id.
metadata.product_name metadata.product_name Parser menetapkan metadata.product_name ke "BitDefender EDR".
metadata.product_version metadata.product_version Parser mengganti nama kolom product_version menjadi metadata.product_version.
metadata.vendor_name metadata.vendor_name Parser menetapkan metadata.vendor_name ke "BitDefender".
module metadata.product_event_type Nilai module dari log mentah ditetapkan ke metadata.product_event_type. Jika nilainya "new-incident" dan target_process_file_full_path tidak kosong, metadata.event_type ditetapkan ke "PROCESS_UNCATEGORIZED". Jika nilainya adalah "task-status", metadata.event_type ditetapkan ke "STATUS_UPDATE". Jika nilainya adalah "network-monitor" atau "fw", metadata.event_type ditetapkan ke "SCAN_NETWORK".
msg_id metadata.product_log_id Nilai msg_id dari log mentah ditetapkan ke metadata.product_log_id.
network.application_protocol network.application_protocol Nilai uc_type dari log mentah akan diubah menjadi huruf besar dan ditetapkan ke network.application_protocol.
network.direction network.direction Parser menetapkan kolom network.direction berdasarkan kolom direction.
network.ip_protocol network.ip_protocol Jika protocol_id adalah "6", parser akan menetapkan network.ip_protocol ke "TCP".
new_path target.file.full_path Nilai new_path dari log mentah ditetapkan ke target.file.full_path.
old_path src.file.full_path Nilai old_path dari log mentah ditetapkan ke src.file.full_path.
origin_ip intermediary.ip Nilai origin_ip dari log mentah ditetapkan ke intermediary.ip.
os principal.platform_version Nilai os dari log mentah ditetapkan ke principal.platform_version. Kolom principal.platform berasal dari os (misalnya, "Win" dipetakan ke "WINDOWS"). Jika peristiwanya adalah "log_on" atau "log_out", kolom principal.platform dan principal.platform_version masing-masing akan diganti namanya menjadi target.platform dan target.platform_version.
os_type principal.platform Nilai os_type dari log mentah digunakan untuk menentukan nilai principal.platform (misalnya, "Win" dipetakan ke "WINDOWS").
parent_pid principal.process.pid Nilai parent_pid dari log mentah ditetapkan ke principal.process.pid.
parent_process_path principal.process.file.full_path Nilai parent_process_path dari log mentah ditetapkan ke principal.process.file.full_path.
parent_process_pid principal.process.pid Nilai parent_process_pid dari log mentah ditetapkan ke principal.process.pid.
path target.file.full_path Nilai path dari log mentah ditetapkan ke target.file.full_path.
pid principal.process.pid atau target.process.pid Nilai pid dari log mentah ditetapkan ke principal.process.pid jika event_name dimulai dengan "file" atau "reg", atau jika merupakan salah satu dari "process_signal", "network_connection", atau "connection_connect". Jika tidak, nilai ini akan ditetapkan ke target.process.pid.
pid_path principal.process.file.full_path Nilai pid_path dari log mentah ditetapkan ke principal.process.file.full_path.
port_dest target.port Nilai port_dest dari log mentah dikonversi menjadi bilangan bulat dan ditetapkan ke target.port.
port_source principal.port Nilai port_source dari log mentah dikonversi menjadi bilangan bulat dan ditetapkan ke principal.port.
ppid principal.process.pid Nilai ppid dari log mentah ditetapkan ke principal.process.pid.
principal.ip principal.ip Parser menetapkan kolom principal.ip berdasarkan kolom ip_source atau dvc.
principal.platform principal.platform Parser menetapkan kolom principal.platform berdasarkan kolom os atau os_type.
principal.platform_version principal.platform_version Parser menetapkan kolom principal.platform_version berdasarkan kolom os atau osi_version.
principal.process.command_line principal.process.command_line Parser menetapkan kolom principal.process.command_line berdasarkan kolom parent_process_cmdline.
principal.process.file.full_path principal.process.file.full_path Parser menetapkan kolom principal.process.file.full_path berdasarkan kolom pid_path, file_path, parent_process_path, atau process_path.
principal.process.file.md5 principal.process.file.md5 Parser mengganti nama kolom file_hash_md5 menjadi principal.process.file.md5.
principal.process.file.sha256 principal.process.file.sha256 Parser menetapkan kolom principal.process.file.sha256 berdasarkan kolom hash, BitdefenderGZMalwareHash, atau file_hash_sha256.
principal.process.parent_process.pid principal.process.parent_process.pid Parser mengganti nama kolom ppid menjadi principal.process.parent_process.pid.
principal.process.pid principal.process.pid Parser menetapkan kolom principal.process.pid berdasarkan kolom pid, parent_pid, ppid, atau parent_process_pid.
principal.resource.id principal.resource.id Parser menetapkan kolom principal.resource.id berdasarkan kolom hwid atau source_hwid.
principal.url principal.url Parser menetapkan kolom principal.url berdasarkan kolom url.
process_command_line target.process.command_line Nilai process_command_line dari log mentah ditetapkan ke target.process.command_line.
process_path principal.process.file.full_path atau target.process.file.full_path Nilai process_path dari log mentah ditetapkan ke principal.process.file.full_path jika event_name adalah "network_connection" atau "connection_connect". Jika tidak, nilai ini akan ditetapkan ke target.process.file.full_path.
product_installed additional.fields.value.string_value Nilai product_installed dari log mentah ditetapkan sebagai nilai ke objek additional.fields dengan kunci "product_installed".
product_version metadata.product_version Nilai product_version dari log mentah ditetapkan ke metadata.product_version.
protocol_id network.ip_protocol Jika protocol_id adalah "6", parser akan menetapkan network.ip_protocol ke "TCP".
request target.url Nilai request dari log mentah ditetapkan ke target.url.
security_result.action security_result.action Parser menetapkan kolom security_result.action berdasarkan kolom main_action, actionTaken, status, atau final_status. Jika tidak ada kolom yang memberikan tindakan yang valid, defaultnya adalah "UNKNOWN_ACTION".
security_result.action_details security_result.action_details Parser menetapkan kolom security_result.action_details berdasarkan kolom main_action, actionTaken, status, atau final_status.
security_result.category security_result.category Parser menetapkan kolom security_result.category ke "PHISHING" jika event_name adalah "Antiphishing", ke "SOFTWARE_MALICIOUS" jika event_name adalah "AntiMalware", atau menggabungkan nilai dari kolom sec_category.
security_result.category_details security_result.category_details Parser menetapkan kolom security_result.category_details berdasarkan kolom block_type atau attack_types.
security_result.detection_fields security_result.detection_fields Parser membuat objek security_result.detection_fields untuk berbagai kolom, termasuk "malware_type", "attack_entry", "BitdefenderGZAttCkId", "BitdefenderGZEndpointId", "final_status", "detection attackTechnique", dan "computer_name".
security_result.description security_result.description Parser menetapkan kolom security_result.description berdasarkan kolom main_action, actionTaken, atau final_status.
security_result.severity security_result.severity Parser menetapkan kolom security_result.severity berdasarkan nilai kolom severity yang dicetak besar jika tidak kosong dan module adalah "new-incident".
security_result.severity_details security_result.severity_details Parser menetapkan kolom security_result.severity_details berdasarkan kolom severity_score.
security_result.threat_name security_result.threat_name Parser menetapkan kolom security_result.threat_name berdasarkan kolom malware_name atau detection_name.
severity security_result.severity Nilai severity dari log mentah akan diubah menjadi huruf besar dan ditetapkan ke security_result.severity jika tidak kosong dan module adalah "new-incident".
severity_score security_result.severity_details Nilai severity_score dari log mentah dikonversi menjadi string dan ditetapkan ke security_result.severity_details.
source_host observer.ip Nilai source_host dari log mentah ditetapkan ke observer.ip.
source_hwid principal.resource.id Nilai source_hwid dari log mentah ditetapkan ke principal.resource.id.
source_ip src.ip Nilai source_ip dari log mentah ditetapkan ke src.ip.
source_port principal.port Nilai source_port dari log mentah dikonversi menjadi bilangan bulat dan ditetapkan ke principal.port.
spt principal.port Nilai spt dari log mentah ditetapkan ke principal.port.
sproc principal.process.command_line Nilai sproc dari log mentah ditetapkan ke principal.process.command_line.
src principal.ip Nilai src dari log mentah ditetapkan ke principal.ip.
src.ip src.ip Parser menetapkan kolom src.ip berdasarkan kolom source_ip.
src.file.full_path src.file.full_path Parser menetapkan kolom src.file.full_path berdasarkan kolom old_path.
status security_result.action_details Nilai status dari log mentah ditetapkan ke security_result.action_details. Berdasarkan nilai ini, kolom security_result.action ditetapkan (misalnya, "portscan_blocked" dan "uc_site_blocked" dipetakan ke "BLOCK"). Kolom security_result.description juga diisi dengan "status: " diikuti dengan nilai status.
suid principal.user.userid Nilai suid dari log mentah ditetapkan ke principal.user.userid.
suser principal.user.user_display_name Nilai suser dari log mentah ditetapkan ke principal.user.user_display_name.
target.file.full_path target.file.full_path Parser menetapkan kolom target.file.full_path berdasarkan kolom path atau new_path.
target.hostname target.hostname Parser menetapkan kolom target.hostname berdasarkan kolom hostname.
target.ip target.ip Parser menetapkan kolom target.ip berdasarkan kolom ip_dest atau destination_ip.
target.platform target.platform Parser menetapkan kolom target.platform berdasarkan kolom principal.platform.
target.platform_version target.platform_version Parser menetapkan kolom target.platform_version berdasarkan kolom principal.platform_version.
target.port target.port Parser menetapkan kolom target.port berdasarkan kolom port_dest atau destination_port.
target.process.command_line target.process.command_line Parser menetapkan kolom target.process.command_line berdasarkan kolom command_line, process_command_line, atau cmd_line.
target.process.file.full_path target.process.file.full_path Parser menetapkan kolom target.process.file.full_path berdasarkan kolom process_path.
target.process.pid target.process.pid Parser menetapkan kolom target.process.pid berdasarkan kolom pid.
target.registry.registry_key target.registry.registry_key Parser menetapkan kolom target.registry.registry_key berdasarkan kolom key_path.
target.registry.registry_value_data target.registry.registry_value_data Parser menetapkan kolom target.registry.registry_value_data berdasarkan kolom data.
target.registry.registry_value_name target.registry.registry_value_name Parser menetapkan kolom target.registry.registry_value_name berdasarkan kolom value.
target.resource.id target.resource.id Parser menetapkan kolom target.resource.id berdasarkan kolom hwid atau BitdefenderGZHwId.
target.url target.url Parser menetapkan kolom target.url berdasarkan kolom request.
target.user.company_name target.user.company_name Parser menetapkan kolom target.user.company_name berdasarkan kolom companyId.
target.user.user_display_name target.user.user_display_name Parser menetapkan kolom target.user.user_display_name berdasarkan kolom user.name atau user.userName.
target.user.userid target.user.userid Parser menetapkan kolom target.user.userid berdasarkan kolom user_name, user, user.id, atau extra_info.user.
target_pid target.process.pid Nilai target_pid dari log mentah ditetapkan ke target.process.pid.
timestamp metadata.event_timestamp Nilai timestamp dari log mentah diuraikan dan ditetapkan ke metadata.event_timestamp.
uc_type network.application_protocol Nilai uc_type dari log mentah akan diubah menjadi huruf besar dan ditetapkan ke network.application_protocol. Jika target_user_userid tidak kosong, metadata.event_type ditetapkan ke "USER_UNCATEGORIZED". Jika tidak, nilai ini akan ditetapkan ke "STATUS_UPDATE".
url principal.url Nilai url dari log mentah ditetapkan ke principal.url jika tidak kosong atau "0.0.0.0".
user target.user.userid Nilai user dari log mentah ditetapkan ke target.user.userid.
user.id target.user.userid Nilai user.id dari log mentah ditetapkan ke target.user.userid.
user.name target.user.user_display_name Nilai user.name dari log mentah ditetapkan ke target.user.user_display_name.
user.userName target.user.user_display_name Nilai user.userName dari log mentah ditetapkan ke target.user.user_display_name.
user.userSid principal.user.windows_sid Nilai user.userSid dari log mentah ditetapkan ke principal.user.windows_sid.
user_name target.user.userid Nilai user_name dari log mentah ditetapkan ke target.user.userid.
value target.registry.registry_value_data atau target.registry.registry_value_name Nilai value dari log mentah ditetapkan ke target.registry.registry_value_data jika event_name adalah "reg_delete_value". Jika tidak, nilai ini akan ditetapkan ke target.registry.registry_value_name.

Perubahan

2023-05-02

  • Log yang diuraikan dan diserap dalam format CEF.

2022-09-28

  • Memetakan "security_result.action" ke "BLOCK" jika "status" adalah "portscan_blocked" atau "uc_site_blocked".
  • Memetakan "security_result.action" ke "BLOCK" saat "main_action" "diblokir".
  • Memetakan "security_result.action" ke "BLOCK" saat "actionTaken" adalah "block".
  • Memetakan "security_result.action" ke "BLOCK" saat "final_status" adalah "blocked" atau "deleted".
  • Memetakan "security_result.action" ke "ALLOW" saat "final_status" "diabaikan" atau "masih ada".
  • Memetakan "security_result.action" ke "ALLOW" saat "main_action" adalah "no action".
  • Memetakan "security_result.action" ke "QUARANTINE" saat "final_status" adalah "di-karantina".
  • Memetakan "security_result.action" ke "ALLOW_WITH_MODIFICATION" saat "final_status" adalah "disinfected" atau "restored".

2022-08-17

  • Peningkatan - Pemetaan yang diubah untuk "source_ip" dari "principal.ip" menjadi "srcc.ip".
  • Tetapkan "event_type" ke "SCAN_NETWORK" jika "module" sama dengan "network-monitor" atau "fw".
  • Memetakan "user.userSid" ke "principal.user.windows_sid".
  • Memetakan "user.userName" ke "target.user.user_display_name".
  • Memetakan "protocol_id" ke "network.ip_protocol".
  • Tetapkan "security_result.action" ke "BLOCK" jika "status" sama dengan "portscan_blocked" atau "uc_site_blocked".
  • Memetakan "local_port" ke "principal.port".
  • Memetakan "actionTaken" ke "security_result.action".
  • Memetakan "detection_attackTechnique" ke "security_result.detection_fields".

2022-08-13

  • Perbaikan bug - Mengubah pemetaan untuk kolom 'computer_name' dari 'principal.asset.hostname' menjadi 'event.idm.read_only_udm.principal.resource.attribute.labels'.

2022-08-11

  • Perbaikan bug - Mengubah pemeriksaan bersyarat untuk kolom 'main_action' yang dipetakan ke 'security_result.action'.
  • Memetakan 'STATUS_UPDATE' ke 'metadata.event_type' untuk log yang memiliki modul 'task-status'.

2022-04-14

  • Peningkatan - Menambahkan pemetaan untuk computer_name, computer_id, uc_type, block_type,status,product_installed.

2022-03-30

  • Perbaikan bug - Memperbaiki error stempel waktu dan memetakan kolom user.id, user.name, companyId, computer_name, computer_fqdn, computer_ip, computer_id, url, dan categories.