Mengumpulkan log Bitdefender
Parser ini mengekstrak log Bitdefender dalam format CEF atau CSV, menormalisasi kolom ke UDM, dan melakukan tindakan tertentu berdasarkan kolom event_name
dan module. Fitur ini menangani berbagai jenis peristiwa, seperti operasi file, koneksi jaringan, pembuatan proses, dan perubahan registry, memetakan informasi yang relevan ke kolom UDM yang sesuai, serta memperkaya data dengan konteks tambahan dari log mentah.
Sebelum memulai
- Pastikan Anda memiliki instance Google Security Operations.
- Pastikan Anda memiliki host Windows 2016 atau yang lebih baru atau Linux dengan systemd.
- Jika berjalan di balik proxy, pastikan port firewall terbuka.
- Pastikan Anda memiliki akses dengan hak istimewa ke Bitdefender.
Mendapatkan file autentikasi penyerapan Google SecOps
- Login ke konsol Google SecOps.
- Buka SIEM Settings > Collection Agents.
- Download File Autentikasi Proses Transfer.
Mendapatkan ID pelanggan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Profil.
- Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.
Menginstal Agen BindPlane
- Untuk penginstalan Windows, jalankan skrip berikut:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
- Untuk penginstalan Linux, jalankan skrip berikut:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
- Opsi penginstalan tambahan dapat ditemukan di panduan penginstalan ini.
Mengonfigurasi Agen BindPlane untuk menyerap Syslog dan mengirim ke Google SecOps
- Akses komputer tempat BindPlane diinstal.
Edit file
config.yaml
sebagai berikut:receivers: tcplog: # Replace the below port <54525> and IP <0.0.0.0> with your specific values listen_address: "0.0.0.0:54525" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the creds location below according the placement of the credentials file you downloaded creds: '{ json file for creds }' # Replace <customer_id> below with your actual ID that you copied customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # You can apply ingestion labels below as preferred ingestion_labels: log_type: SYSLOG namespace: bitdefender raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - tcplog exporters: - chronicle/chronicle_w_labels
Mulai ulang Agen BindPlane untuk menerapkan perubahan:
sudo systemctl restart bindplane
Mengonfigurasi Streaming Syslog di Bitdefender GravityZone
- Login ke Pusat Kontrol GravityZone.
- Buka Configuration > Integrations > Syslog.
- Klik Tambahkan Server Syslog.
- Berikan detail yang diperlukan:
- Name: berikan nama unik untuk server syslog (misalnya, CentralSyslog).
- Alamat IP/Nama Host: masukkan alamat IP atau nama host server Bindplane.
- Protocol: pilih protokol yang akan digunakan: TCP / UDP.
- Port: tentukan nomor port server Bindplane.
- Pilih jenis log yang akan di-streaming (misalnya, Peristiwa Antimalware, Peristiwa Pertahanan Serangan Jaringan (NAD), Peristiwa Kontrol Web, Peristiwa Firewall, atau Perubahan Kebijakan).
- Opsional: konfigurasikan filter untuk menyertakan atau mengecualikan jenis peristiwa tertentu.
- Klik Save.
Tabel Pemetaan UDM
Kolom Log | Pemetaan UDM | Logika |
---|---|---|
BitdefenderGZAttackEntry |
security_result.detection_fields.value |
Nilai BitdefenderGZAttackEntry dari log mentah ditetapkan sebagai nilai ke objek security_result.detection_fields dengan kunci "attack_entry". |
BitdefenderGZAttackTypes |
security_result.category_details |
Nilai BitdefenderGZAttackTypes dari log mentah ditetapkan ke security_result.category_details . Nilai tersebut kemudian dibagi menjadi beberapa string dan setiap string ditambahkan sebagai nilai ke array security_result.category_details . |
BitdefenderGZAttCkId |
security_result.detection_fields.value |
Nilai BitdefenderGZAttCkId dari log mentah ditetapkan sebagai nilai ke objek security_result.detection_fields dengan kunci "BitdefenderGZAttCkId". |
BitdefenderGZCompanyId |
target.user.company_name |
Nilai BitdefenderGZCompanyId dari log mentah ditetapkan ke target.user.company_name . |
BitdefenderGZComputerFQDN |
principal.asset.network_domain |
Nilai BitdefenderGZComputerFQDN dari log mentah ditetapkan ke principal.asset.network_domain . |
BitdefenderGZDetectionName |
security_result.threat_name |
Nilai BitdefenderGZDetectionName dari log mentah ditetapkan ke security_result.threat_name . |
BitdefenderGZEndpointId |
security_result.detection_fields.value |
Nilai BitdefenderGZEndpointId dari log mentah ditetapkan sebagai nilai ke objek security_result.detection_fields dengan kunci "BitdefenderGZEndpointId". |
BitdefenderGZIncidentId |
metadata.product_log_id |
Nilai BitdefenderGZIncidentId dari log mentah ditetapkan ke metadata.product_log_id . |
BitdefenderGZMainAction |
security_result.action_details |
Nilai BitdefenderGZMainAction dari log mentah ditetapkan ke security_result.action_details . Berdasarkan nilai ini, kolom security_result.action ditetapkan (misalnya, "blocked" dipetakan ke "BLOCK"). Kolom security_result.description juga diisi dengan "main_action: " diikuti dengan nilai BitdefenderGZMainAction . |
BitdefenderGZMalwareHash |
principal.process.file.sha256 |
Nilai BitdefenderGZMalwareHash dari log mentah ditetapkan ke principal.process.file.sha256 . |
BitdefenderGZMalwareName |
security_result.threat_name |
Nilai BitdefenderGZMalwareName dari log mentah ditetapkan ke security_result.threat_name . |
BitdefenderGZMalwareType |
security_result.detection_fields.value |
Nilai BitdefenderGZMalwareType dari log mentah ditetapkan sebagai nilai ke objek security_result.detection_fields dengan kunci "malware_type". |
BitdefenderGZModule |
metadata.product_event_type |
Nilai BitdefenderGZModule dari log mentah ditetapkan ke metadata.product_event_type . |
BitdefenderGZSeverityScore |
security_result.severity_details |
Nilai BitdefenderGZSeverityScore dari log mentah ditetapkan ke security_result.severity_details . |
BitdefenderGZHwId |
target.resource.id |
Nilai BitdefenderGZHwId dari log mentah ditetapkan ke target.resource.id . |
act |
security_result.action_details |
Nilai act dari log mentah ditetapkan ke security_result.action_details . |
actionTaken |
security_result.action_details |
Nilai actionTaken dari log mentah ditetapkan ke security_result.action_details . Berdasarkan nilai ini, kolom security_result.action ditetapkan (misalnya, "block" dipetakan ke "BLOCK"). Kolom security_result.description juga diisi dengan "actionTaken: " diikuti dengan nilai actionTaken . |
additional.fields |
additional.fields |
Logika parser membuat pasangan nilai kunci untuk "product_installed" dan menambahkannya ke objek additional.fields . |
categories |
principal.asset.category |
Nilai categories dari log mentah ditetapkan ke principal.asset.category . |
cmd_line |
target.process.command_line |
Nilai cmd_line dari log mentah ditetapkan ke target.process.command_line . |
companyId |
target.user.company_name |
Nilai companyId dari log mentah ditetapkan ke target.user.company_name . |
computer_fqdn |
principal.asset.network_domain |
Nilai computer_fqdn dari log mentah ditetapkan ke principal.asset.network_domain . |
computer_id |
principal.asset.asset_id |
Nilai computer_id dari log mentah ditetapkan ke principal.asset.asset_id setelah menambahkan "ComputerId:" di awal. |
computer_ip |
principal.asset.ip |
Nilai computer_ip dari log mentah diuraikan, dipisahkan dengan koma, dan setiap alamat IP yang dihasilkan ditambahkan ke array principal.asset.ip . |
computer_name |
principal.resource.attribute.labels.value |
Nilai computer_name dari log mentah ditetapkan sebagai nilai ke objek principal.resource.attribute.labels dengan kunci "computer_name". Nilai ini juga ditambahkan sebagai nilai ke objek security_result.detection_fields dengan kunci "computer_name". |
column1 |
metadata.product_log_id |
Nilai column1 dari log mentah ditetapkan ke metadata.product_log_id . |
column3 |
observer.ip |
Nilai column3 dari log mentah ditetapkan ke observer.ip . |
command_line |
target.process.command_line |
Nilai command_line dari log mentah ditetapkan ke target.process.command_line . |
data |
target.registry.registry_value_data |
Nilai data dari log mentah ditetapkan ke target.registry.registry_value_data . |
detection_attackTechnique |
security_result.detection_fields.value |
Nilai detection_attackTechnique dari log mentah ditetapkan sebagai nilai ke objek security_result.detection_fields dengan kunci "detection attackTechnique". |
detection_name |
security_result.threat_name |
Nilai detection_name dari log mentah ditetapkan ke security_result.threat_name . |
destination_ip |
target.ip |
Nilai destination_ip dari log mentah ditetapkan ke target.ip . |
destination_port |
target.port |
Nilai destination_port dari log mentah ditetapkan ke target.port . |
direction |
network.direction |
Nilai direction dari log mentah akan diubah menjadi huruf besar dan ditetapkan ke network.direction . |
dvc |
principal.ip |
Nilai dvc dari log mentah diuraikan, dipisahkan dengan koma, dan setiap alamat IP yang dihasilkan ditambahkan ke array principal.ip . |
dvchost |
about.hostname |
Nilai dvchost dari log mentah ditetapkan ke about.hostname . |
event_description |
metadata.description |
Nilai event_description dari log mentah ditetapkan ke metadata.description . |
event_name |
metadata.product_event_type |
Nilai event_name dari log mentah ditetapkan ke metadata.product_event_type . Jika nilainya adalah "Antiphishing", security_result.category ditetapkan ke "PHISHING". Jika nilainya adalah "AntiMalware", security_result.category ditetapkan ke "SOFTWARE_MALICIOUS". Kolom metadata.event_type berasal dari event_name menggunakan serangkaian pernyataan bersyarat dalam parser. |
ev |
metadata.product_event_type |
Nilai ev dari log mentah ditetapkan ke metadata.product_event_type . |
extra_info.command_line |
target.process.command_line |
Nilai extra_info.command_line dari log mentah ditetapkan ke target.process.command_line . |
extra_info.parent_pid |
principal.process.pid |
Nilai extra_info.parent_pid dari log mentah ditetapkan ke principal.process.pid . |
extra_info.parent_process_cmdline |
principal.process.command_line |
Nilai extra_info.parent_process_cmdline dari log mentah ditetapkan ke principal.process.command_line . |
extra_info.parent_process_path |
principal.process.file.full_path |
Nilai extra_info.parent_process_path dari log mentah ditetapkan ke principal.process.file.full_path . |
extra_info.pid |
target.process.pid |
Nilai extra_info.pid dari log mentah ditetapkan ke target.process.pid . |
extra_info.process_path |
target.process.file.full_path |
Nilai extra_info.process_path dari log mentah ditetapkan ke target.process.file.full_path . |
extra_info.user |
target.user.userid |
Nilai extra_info.user dari log mentah ditetapkan ke target.user.userid . |
filePath |
principal.process.file.full_path |
Nilai filePath dari log mentah ditetapkan ke principal.process.file.full_path . |
file_path |
principal.process.file.full_path |
Nilai file_path dari log mentah ditetapkan ke principal.process.file.full_path . |
final_status |
security_result.action_details |
Nilai final_status dari log mentah ditetapkan ke security_result.action_details . Berdasarkan nilai ini, kolom security_result.action ditetapkan (misalnya, "deleted" dipetakan ke "BLOCK", "ignored" ke "ALLOW"). Kolom security_result.description juga diisi dengan "final_status: " diikuti dengan nilai final_status . Jika nilainya "dihapus" atau "diblokir", metadata.event_type ditetapkan ke "SCAN_NETWORK". |
hash |
principal.process.file.sha256 |
Nilai hash dari log mentah ditetapkan ke principal.process.file.sha256 . |
host |
principal.hostname |
Nilai host dari log mentah ditetapkan ke principal.hostname . |
hostname |
principal.hostname |
Nilai hostname dari log mentah ditetapkan ke principal.hostname jika event_name bukan "log_on" atau "log_out". Jika tidak, nilai ini akan ditetapkan ke target.hostname . |
host_name |
principal.hostname |
Nilai host_name dari log mentah ditetapkan ke principal.hostname . |
hwid |
principal.resource.id |
Nilai hwid dari log mentah ditetapkan ke principal.resource.id jika tidak kosong. Jika kosong dan peristiwanya bukan "log_on" atau "log_out", nilai source_hwid akan ditetapkan ke principal.resource.id . Jika peristiwanya adalah "log_on" atau "log_out", peristiwa tersebut akan ditetapkan ke target.resource.id . |
incident_id |
metadata.product_log_id |
Nilai incident_id dari log mentah ditetapkan ke metadata.product_log_id . |
ip_dest |
target.ip |
Nilai ip_dest dari log mentah ditetapkan ke target.ip . |
ip_source |
principal.ip |
Nilai ip_source dari log mentah ditetapkan ke principal.ip . |
key_path |
target.registry.registry_key |
Nilai key_path dari log mentah ditetapkan ke target.registry.registry_key . |
local_port |
principal.port |
Nilai local_port dari log mentah dikonversi menjadi bilangan bulat dan ditetapkan ke principal.port . |
logon_type |
extensions.auth.mechanism |
Nilai logon_type dari log mentah digunakan untuk menentukan nilai extensions.auth.mechanism . Nilai numerik logon_type yang berbeda dipetakan ke mekanisme autentikasi yang berbeda (misalnya, 2 dipetakan ke "LOCAL", 3 ke "NETWORK"). Jika tidak ditemukan logon_type yang cocok, mekanisme akan ditetapkan ke "MECHANISM_UNSPECIFIED". |
lurker_id |
intermediary.resource.id |
Nilai lurker_id dari log mentah ditetapkan ke intermediary.resource.id . |
main_action |
security_result.action_details |
Nilai main_action dari log mentah ditetapkan ke security_result.action_details . Berdasarkan nilai ini, kolom security_result.action ditetapkan (misalnya, "diblokir" dipetakan ke "BLOCK", "tidak ada tindakan" ke "ALLOW"). Kolom security_result.description juga diisi dengan "main_action: " diikuti dengan nilai main_action . |
malware_name |
security_result.threat_name |
Nilai malware_name dari log mentah ditetapkan ke security_result.threat_name . |
malware_type |
security_result.detection_fields.value |
Nilai malware_type dari log mentah ditetapkan sebagai nilai ke objek security_result.detection_fields dengan kunci "malware_type". |
metadata.description |
metadata.description |
Parser menetapkan kolom metadata.description berdasarkan kolom event_name . |
metadata.event_type |
metadata.event_type |
Parser menetapkan kolom metadata.event_type berdasarkan kolom event_name . |
metadata.product_event_type |
metadata.product_event_type |
Parser menetapkan kolom metadata.product_event_type berdasarkan kolom event_name atau module . |
metadata.product_log_id |
metadata.product_log_id |
Parser menetapkan kolom metadata.product_log_id berdasarkan kolom msg_id atau incident_id . |
metadata.product_name |
metadata.product_name |
Parser menetapkan metadata.product_name ke "BitDefender EDR". |
metadata.product_version |
metadata.product_version |
Parser mengganti nama kolom product_version menjadi metadata.product_version . |
metadata.vendor_name |
metadata.vendor_name |
Parser menetapkan metadata.vendor_name ke "BitDefender". |
module |
metadata.product_event_type |
Nilai module dari log mentah ditetapkan ke metadata.product_event_type . Jika nilainya "new-incident" dan target_process_file_full_path tidak kosong, metadata.event_type ditetapkan ke "PROCESS_UNCATEGORIZED". Jika nilainya adalah "task-status", metadata.event_type ditetapkan ke "STATUS_UPDATE". Jika nilainya adalah "network-monitor" atau "fw", metadata.event_type ditetapkan ke "SCAN_NETWORK". |
msg_id |
metadata.product_log_id |
Nilai msg_id dari log mentah ditetapkan ke metadata.product_log_id . |
network.application_protocol |
network.application_protocol |
Nilai uc_type dari log mentah akan diubah menjadi huruf besar dan ditetapkan ke network.application_protocol . |
network.direction |
network.direction |
Parser menetapkan kolom network.direction berdasarkan kolom direction . |
network.ip_protocol |
network.ip_protocol |
Jika protocol_id adalah "6", parser akan menetapkan network.ip_protocol ke "TCP". |
new_path |
target.file.full_path |
Nilai new_path dari log mentah ditetapkan ke target.file.full_path . |
old_path |
src.file.full_path |
Nilai old_path dari log mentah ditetapkan ke src.file.full_path . |
origin_ip |
intermediary.ip |
Nilai origin_ip dari log mentah ditetapkan ke intermediary.ip . |
os |
principal.platform_version |
Nilai os dari log mentah ditetapkan ke principal.platform_version . Kolom principal.platform berasal dari os (misalnya, "Win" dipetakan ke "WINDOWS"). Jika peristiwanya adalah "log_on" atau "log_out", kolom principal.platform dan principal.platform_version masing-masing akan diganti namanya menjadi target.platform dan target.platform_version . |
os_type |
principal.platform |
Nilai os_type dari log mentah digunakan untuk menentukan nilai principal.platform (misalnya, "Win" dipetakan ke "WINDOWS"). |
parent_pid |
principal.process.pid |
Nilai parent_pid dari log mentah ditetapkan ke principal.process.pid . |
parent_process_path |
principal.process.file.full_path |
Nilai parent_process_path dari log mentah ditetapkan ke principal.process.file.full_path . |
parent_process_pid |
principal.process.pid |
Nilai parent_process_pid dari log mentah ditetapkan ke principal.process.pid . |
path |
target.file.full_path |
Nilai path dari log mentah ditetapkan ke target.file.full_path . |
pid |
principal.process.pid atau target.process.pid |
Nilai pid dari log mentah ditetapkan ke principal.process.pid jika event_name dimulai dengan "file" atau "reg", atau jika merupakan salah satu dari "process_signal", "network_connection", atau "connection_connect". Jika tidak, nilai ini akan ditetapkan ke target.process.pid . |
pid_path |
principal.process.file.full_path |
Nilai pid_path dari log mentah ditetapkan ke principal.process.file.full_path . |
port_dest |
target.port |
Nilai port_dest dari log mentah dikonversi menjadi bilangan bulat dan ditetapkan ke target.port . |
port_source |
principal.port |
Nilai port_source dari log mentah dikonversi menjadi bilangan bulat dan ditetapkan ke principal.port . |
ppid |
principal.process.pid |
Nilai ppid dari log mentah ditetapkan ke principal.process.pid . |
principal.ip |
principal.ip |
Parser menetapkan kolom principal.ip berdasarkan kolom ip_source atau dvc . |
principal.platform |
principal.platform |
Parser menetapkan kolom principal.platform berdasarkan kolom os atau os_type . |
principal.platform_version |
principal.platform_version |
Parser menetapkan kolom principal.platform_version berdasarkan kolom os atau osi_version . |
principal.process.command_line |
principal.process.command_line |
Parser menetapkan kolom principal.process.command_line berdasarkan kolom parent_process_cmdline . |
principal.process.file.full_path |
principal.process.file.full_path |
Parser menetapkan kolom principal.process.file.full_path berdasarkan kolom pid_path , file_path , parent_process_path , atau process_path . |
principal.process.file.md5 |
principal.process.file.md5 |
Parser mengganti nama kolom file_hash_md5 menjadi principal.process.file.md5 . |
principal.process.file.sha256 |
principal.process.file.sha256 |
Parser menetapkan kolom principal.process.file.sha256 berdasarkan kolom hash , BitdefenderGZMalwareHash , atau file_hash_sha256 . |
principal.process.parent_process.pid |
principal.process.parent_process.pid |
Parser mengganti nama kolom ppid menjadi principal.process.parent_process.pid . |
principal.process.pid |
principal.process.pid |
Parser menetapkan kolom principal.process.pid berdasarkan kolom pid , parent_pid , ppid , atau parent_process_pid . |
principal.resource.id |
principal.resource.id |
Parser menetapkan kolom principal.resource.id berdasarkan kolom hwid atau source_hwid . |
principal.url |
principal.url |
Parser menetapkan kolom principal.url berdasarkan kolom url . |
process_command_line |
target.process.command_line |
Nilai process_command_line dari log mentah ditetapkan ke target.process.command_line . |
process_path |
principal.process.file.full_path atau target.process.file.full_path |
Nilai process_path dari log mentah ditetapkan ke principal.process.file.full_path jika event_name adalah "network_connection" atau "connection_connect". Jika tidak, nilai ini akan ditetapkan ke target.process.file.full_path . |
product_installed |
additional.fields.value.string_value |
Nilai product_installed dari log mentah ditetapkan sebagai nilai ke objek additional.fields dengan kunci "product_installed". |
product_version |
metadata.product_version |
Nilai product_version dari log mentah ditetapkan ke metadata.product_version . |
protocol_id |
network.ip_protocol |
Jika protocol_id adalah "6", parser akan menetapkan network.ip_protocol ke "TCP". |
request |
target.url |
Nilai request dari log mentah ditetapkan ke target.url . |
security_result.action |
security_result.action |
Parser menetapkan kolom security_result.action berdasarkan kolom main_action , actionTaken , status , atau final_status . Jika tidak ada kolom yang memberikan tindakan yang valid, defaultnya adalah "UNKNOWN_ACTION". |
security_result.action_details |
security_result.action_details |
Parser menetapkan kolom security_result.action_details berdasarkan kolom main_action , actionTaken , status , atau final_status . |
security_result.category |
security_result.category |
Parser menetapkan kolom security_result.category ke "PHISHING" jika event_name adalah "Antiphishing", ke "SOFTWARE_MALICIOUS" jika event_name adalah "AntiMalware", atau menggabungkan nilai dari kolom sec_category . |
security_result.category_details |
security_result.category_details |
Parser menetapkan kolom security_result.category_details berdasarkan kolom block_type atau attack_types . |
security_result.detection_fields |
security_result.detection_fields |
Parser membuat objek security_result.detection_fields untuk berbagai kolom, termasuk "malware_type", "attack_entry", "BitdefenderGZAttCkId", "BitdefenderGZEndpointId", "final_status", "detection attackTechnique", dan "computer_name". |
security_result.description |
security_result.description |
Parser menetapkan kolom security_result.description berdasarkan kolom main_action , actionTaken , atau final_status . |
security_result.severity |
security_result.severity |
Parser menetapkan kolom security_result.severity berdasarkan nilai kolom severity yang dicetak besar jika tidak kosong dan module adalah "new-incident". |
security_result.severity_details |
security_result.severity_details |
Parser menetapkan kolom security_result.severity_details berdasarkan kolom severity_score . |
security_result.threat_name |
security_result.threat_name |
Parser menetapkan kolom security_result.threat_name berdasarkan kolom malware_name atau detection_name . |
severity |
security_result.severity |
Nilai severity dari log mentah akan diubah menjadi huruf besar dan ditetapkan ke security_result.severity jika tidak kosong dan module adalah "new-incident". |
severity_score |
security_result.severity_details |
Nilai severity_score dari log mentah dikonversi menjadi string dan ditetapkan ke security_result.severity_details . |
source_host |
observer.ip |
Nilai source_host dari log mentah ditetapkan ke observer.ip . |
source_hwid |
principal.resource.id |
Nilai source_hwid dari log mentah ditetapkan ke principal.resource.id . |
source_ip |
src.ip |
Nilai source_ip dari log mentah ditetapkan ke src.ip . |
source_port |
principal.port |
Nilai source_port dari log mentah dikonversi menjadi bilangan bulat dan ditetapkan ke principal.port . |
spt |
principal.port |
Nilai spt dari log mentah ditetapkan ke principal.port . |
sproc |
principal.process.command_line |
Nilai sproc dari log mentah ditetapkan ke principal.process.command_line . |
src |
principal.ip |
Nilai src dari log mentah ditetapkan ke principal.ip . |
src.ip |
src.ip |
Parser menetapkan kolom src.ip berdasarkan kolom source_ip . |
src.file.full_path |
src.file.full_path |
Parser menetapkan kolom src.file.full_path berdasarkan kolom old_path . |
status |
security_result.action_details |
Nilai status dari log mentah ditetapkan ke security_result.action_details . Berdasarkan nilai ini, kolom security_result.action ditetapkan (misalnya, "portscan_blocked" dan "uc_site_blocked" dipetakan ke "BLOCK"). Kolom security_result.description juga diisi dengan "status: " diikuti dengan nilai status . |
suid |
principal.user.userid |
Nilai suid dari log mentah ditetapkan ke principal.user.userid . |
suser |
principal.user.user_display_name |
Nilai suser dari log mentah ditetapkan ke principal.user.user_display_name . |
target.file.full_path |
target.file.full_path |
Parser menetapkan kolom target.file.full_path berdasarkan kolom path atau new_path . |
target.hostname |
target.hostname |
Parser menetapkan kolom target.hostname berdasarkan kolom hostname . |
target.ip |
target.ip |
Parser menetapkan kolom target.ip berdasarkan kolom ip_dest atau destination_ip . |
target.platform |
target.platform |
Parser menetapkan kolom target.platform berdasarkan kolom principal.platform . |
target.platform_version |
target.platform_version |
Parser menetapkan kolom target.platform_version berdasarkan kolom principal.platform_version . |
target.port |
target.port |
Parser menetapkan kolom target.port berdasarkan kolom port_dest atau destination_port . |
target.process.command_line |
target.process.command_line |
Parser menetapkan kolom target.process.command_line berdasarkan kolom command_line , process_command_line , atau cmd_line . |
target.process.file.full_path |
target.process.file.full_path |
Parser menetapkan kolom target.process.file.full_path berdasarkan kolom process_path . |
target.process.pid |
target.process.pid |
Parser menetapkan kolom target.process.pid berdasarkan kolom pid . |
target.registry.registry_key |
target.registry.registry_key |
Parser menetapkan kolom target.registry.registry_key berdasarkan kolom key_path . |
target.registry.registry_value_data |
target.registry.registry_value_data |
Parser menetapkan kolom target.registry.registry_value_data berdasarkan kolom data . |
target.registry.registry_value_name |
target.registry.registry_value_name |
Parser menetapkan kolom target.registry.registry_value_name berdasarkan kolom value . |
target.resource.id |
target.resource.id |
Parser menetapkan kolom target.resource.id berdasarkan kolom hwid atau BitdefenderGZHwId . |
target.url |
target.url |
Parser menetapkan kolom target.url berdasarkan kolom request . |
target.user.company_name |
target.user.company_name |
Parser menetapkan kolom target.user.company_name berdasarkan kolom companyId . |
target.user.user_display_name |
target.user.user_display_name |
Parser menetapkan kolom target.user.user_display_name berdasarkan kolom user.name atau user.userName . |
target.user.userid |
target.user.userid |
Parser menetapkan kolom target.user.userid berdasarkan kolom user_name , user , user.id , atau extra_info.user . |
target_pid |
target.process.pid |
Nilai target_pid dari log mentah ditetapkan ke target.process.pid . |
timestamp |
metadata.event_timestamp |
Nilai timestamp dari log mentah diuraikan dan ditetapkan ke metadata.event_timestamp . |
uc_type |
network.application_protocol |
Nilai uc_type dari log mentah akan diubah menjadi huruf besar dan ditetapkan ke network.application_protocol . Jika target_user_userid tidak kosong, metadata.event_type ditetapkan ke "USER_UNCATEGORIZED". Jika tidak, nilai ini akan ditetapkan ke "STATUS_UPDATE". |
url |
principal.url |
Nilai url dari log mentah ditetapkan ke principal.url jika tidak kosong atau "0.0.0.0". |
user |
target.user.userid |
Nilai user dari log mentah ditetapkan ke target.user.userid . |
user.id |
target.user.userid |
Nilai user.id dari log mentah ditetapkan ke target.user.userid . |
user.name |
target.user.user_display_name |
Nilai user.name dari log mentah ditetapkan ke target.user.user_display_name . |
user.userName |
target.user.user_display_name |
Nilai user.userName dari log mentah ditetapkan ke target.user.user_display_name . |
user.userSid |
principal.user.windows_sid |
Nilai user.userSid dari log mentah ditetapkan ke principal.user.windows_sid . |
user_name |
target.user.userid |
Nilai user_name dari log mentah ditetapkan ke target.user.userid . |
value |
target.registry.registry_value_data atau target.registry.registry_value_name |
Nilai value dari log mentah ditetapkan ke target.registry.registry_value_data jika event_name adalah "reg_delete_value". Jika tidak, nilai ini akan ditetapkan ke target.registry.registry_value_name . |
Perubahan
2023-05-02
- Log yang diuraikan dan diserap dalam format CEF.
2022-09-28
- Memetakan "security_result.action" ke "BLOCK" jika "status" adalah "portscan_blocked" atau "uc_site_blocked".
- Memetakan "security_result.action" ke "BLOCK" saat "main_action" "diblokir".
- Memetakan "security_result.action" ke "BLOCK" saat "actionTaken" adalah "block".
- Memetakan "security_result.action" ke "BLOCK" saat "final_status" adalah "blocked" atau "deleted".
- Memetakan "security_result.action" ke "ALLOW" saat "final_status" "diabaikan" atau "masih ada".
- Memetakan "security_result.action" ke "ALLOW" saat "main_action" adalah "no action".
- Memetakan "security_result.action" ke "QUARANTINE" saat "final_status" adalah "di-karantina".
- Memetakan "security_result.action" ke "ALLOW_WITH_MODIFICATION" saat "final_status" adalah "disinfected" atau "restored".
2022-08-17
- Peningkatan - Pemetaan yang diubah untuk "source_ip" dari "principal.ip" menjadi "srcc.ip".
- Tetapkan "event_type" ke "SCAN_NETWORK" jika "module" sama dengan "network-monitor" atau "fw".
- Memetakan "user.userSid" ke "principal.user.windows_sid".
- Memetakan "user.userName" ke "target.user.user_display_name".
- Memetakan "protocol_id" ke "network.ip_protocol".
- Tetapkan "security_result.action" ke "BLOCK" jika "status" sama dengan "portscan_blocked" atau "uc_site_blocked".
- Memetakan "local_port" ke "principal.port".
- Memetakan "actionTaken" ke "security_result.action".
- Memetakan "detection_attackTechnique" ke "security_result.detection_fields".
2022-08-13
- Perbaikan bug - Mengubah pemetaan untuk kolom 'computer_name' dari 'principal.asset.hostname' menjadi 'event.idm.read_only_udm.principal.resource.attribute.labels'.
2022-08-11
- Perbaikan bug - Mengubah pemeriksaan bersyarat untuk kolom 'main_action' yang dipetakan ke 'security_result.action'.
- Memetakan 'STATUS_UPDATE' ke 'metadata.event_type' untuk log yang memiliki modul 'task-status'.
2022-04-14
- Peningkatan - Menambahkan pemetaan untuk computer_name, computer_id, uc_type, block_type,status,product_installed.
2022-03-30
- Perbaikan bug - Memperbaiki error stempel waktu dan memetakan kolom user.id, user.name, companyId, computer_name, computer_fqdn, computer_ip, computer_id, url, dan categories.