Raccogliere i log di Bitdefender

Supportato in:

Questo parser estrae i log di Bitdefender in formato CEF o CSV, normalizza i campi per l'UDM ed esegue azioni specifiche in base ai campi event_name e module. Gestisce vari tipi di eventi, come operazioni sui file, connessioni di rete, creazione di processi e modifiche del registro, mappando le informazioni pertinenti ai campi UDM appropriati e arricchendo i dati con un contesto aggiuntivo dai log non elaborati.

Prima di iniziare

  • Assicurati di avere un'istanza Google Security Operations.
  • Assicurati di avere un host Windows 2016 o versioni successive o Linux con systemd.
  • Se il servizio è in esecuzione dietro un proxy, assicurati che le porte del firewall siano aperte.
  • Assicurati di disporre dell'accesso privilegiato a Bitdefender.

Recupera il file di autenticazione di importazione di Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Agenti di raccolta.
  3. Scarica il file di autenticazione dell'importazione.

Ottenere l'ID cliente Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Profilo.
  3. Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa BindPlane Agent

  1. Per l'installazione su Windows, esegui il seguente script:
    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
  2. Per l'installazione di Linux, esegui il seguente script:
    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
  3. Ulteriori opzioni di installazione sono disponibili in questa guida all'installazione.

Configurare l'agente BindPlane per importare i syslog e inviarli a Google SecOps

  1. Accedi al computer su cui è installato BindPlane.
  2. Modifica il file config.yaml come segue:

    receivers:
        tcplog:
            # Replace the below port <54525> and IP <0.0.0.0> with your specific values
            listen_address: "0.0.0.0:54525" 
    
    exporters:
        chronicle/chronicle_w_labels:
            compression: gzip
            # Adjust the creds location below according the placement of the credentials file you downloaded
            creds: '{ json file for creds }'
            # Replace <customer_id> below with your actual ID that you copied
            customer_id: <customer_id>
            endpoint: malachiteingestion-pa.googleapis.com
            # You can apply ingestion labels below as preferred
            ingestion_labels:
            log_type: SYSLOG
            namespace: bitdefender
            raw_log_field: body
    service:
        pipelines:
            logs/source0__chronicle_w_labels-0:
                receivers:
                    - tcplog
                exporters:
                    - chronicle/chronicle_w_labels
    
  3. Riavvia l'agente BindPlane per applicare le modifiche:

    sudo systemctl restart bindplane
    

Configurare lo streaming Syslog in Bitdefender GravityZone

  1. Accedi al GravityZone Control Center.
  2. Vai a Configurazione > Integrazioni > Syslog.
  3. Fai clic su Aggiungi server Syslog.
  4. Fornisci i dettagli richiesti:
    • Nome: fornisci un nome univoco per il server syslog (ad esempio CentralSyslog).
    • Indirizzo IP/nome host: inserisci l'indirizzo IP o il nome host del server Bindplane.
    • Protocollo: seleziona il protocollo da utilizzare: TCP / UDP.
    • Porta: specifica il numero di porta del server Bindplane.
    • Seleziona i tipi di log da trasmettere in streaming (ad esempio Eventi antimalware, Eventi NAD (Network Attack Defense), Eventi di controllo web, Eventi del firewall o Modifiche ai criteri).
    • (Facoltativo) Configura i filtri per includere o escludere tipi di eventi specifici.
  5. Fai clic su Salva.

Tabella di mappatura UDM

Campo log Mappatura UDM Logica
BitdefenderGZAttackEntry security_result.detection_fields.value Il valore di BitdefenderGZAttackEntry dal log non elaborato viene assegnato come valore a un oggetto security_result.detection_fields in cui la chiave è "attack_entry".
BitdefenderGZAttackTypes security_result.category_details Il valore BitdefenderGZAttackTypes del log non elaborato viene assegnato a security_result.category_details. Il valore viene quindi suddiviso in singole stringhe e ogni stringa viene aggiunta come valore all'array security_result.category_details.
BitdefenderGZAttCkId security_result.detection_fields.value Il valore di BitdefenderGZAttCkId dal log non elaborato viene assegnato come valore a un oggetto security_result.detection_fields in cui la chiave è "BitdefenderGZAttCkId".
BitdefenderGZCompanyId target.user.company_name Il valore BitdefenderGZCompanyId del log non elaborato viene assegnato a target.user.company_name.
BitdefenderGZComputerFQDN principal.asset.network_domain Il valore BitdefenderGZComputerFQDN del log non elaborato viene assegnato a principal.asset.network_domain.
BitdefenderGZDetectionName security_result.threat_name Il valore BitdefenderGZDetectionName del log non elaborato viene assegnato a security_result.threat_name.
BitdefenderGZEndpointId security_result.detection_fields.value Il valore di BitdefenderGZEndpointId dal log non elaborato viene assegnato come valore a un oggetto security_result.detection_fields in cui la chiave è "BitdefenderGZEndpointId".
BitdefenderGZIncidentId metadata.product_log_id Il valore BitdefenderGZIncidentId del log non elaborato viene assegnato a metadata.product_log_id.
BitdefenderGZMainAction security_result.action_details Il valore BitdefenderGZMainAction del log non elaborato viene assegnato a security_result.action_details. In base a questo valore, viene impostato il campo security_result.action (ad es. "blocked" corrisponde a "BLOCK"). Il campo security_result.description viene compilato anche con "main_action: " seguito dal valore di BitdefenderGZMainAction.
BitdefenderGZMalwareHash principal.process.file.sha256 Il valore BitdefenderGZMalwareHash del log non elaborato viene assegnato a principal.process.file.sha256.
BitdefenderGZMalwareName security_result.threat_name Il valore BitdefenderGZMalwareName del log non elaborato viene assegnato a security_result.threat_name.
BitdefenderGZMalwareType security_result.detection_fields.value Il valore di BitdefenderGZMalwareType dal log non elaborato viene assegnato come valore a un oggetto security_result.detection_fields in cui la chiave è "malware_type".
BitdefenderGZModule metadata.product_event_type Il valore BitdefenderGZModule del log non elaborato viene assegnato a metadata.product_event_type.
BitdefenderGZSeverityScore security_result.severity_details Il valore BitdefenderGZSeverityScore del log non elaborato viene assegnato a security_result.severity_details.
BitdefenderGZHwId target.resource.id Il valore BitdefenderGZHwId del log non elaborato viene assegnato a target.resource.id.
act security_result.action_details Il valore act del log non elaborato viene assegnato a security_result.action_details.
actionTaken security_result.action_details Il valore actionTaken del log non elaborato viene assegnato a security_result.action_details. In base a questo valore, viene impostato il campo security_result.action (ad es. "block" corrisponde a "BLOCK"). Il campo security_result.description viene compilato anche con "actionTaken: " seguito dal valore di actionTaken.
additional.fields additional.fields La logica del parser crea una coppia chiave/valore per "product_installed" e la aggiunge all'oggetto additional.fields.
categories principal.asset.category Il valore categories del log non elaborato viene assegnato a principal.asset.category.
cmd_line target.process.command_line Il valore cmd_line del log non elaborato viene assegnato a target.process.command_line.
companyId target.user.company_name Il valore companyId del log non elaborato viene assegnato a target.user.company_name.
computer_fqdn principal.asset.network_domain Il valore computer_fqdn del log non elaborato viene assegnato a principal.asset.network_domain.
computer_id principal.asset.asset_id Il valore di computer_id dal log non elaborato viene assegnato a principal.asset.asset_id dopo aver anteposto "ComputerId:".
computer_ip principal.asset.ip Il valore di computer_ip dal log non elaborato viene analizzato, suddiviso da virgole e ogni indirizzo IP risultante viene aggiunto all'array principal.asset.ip.
computer_name principal.resource.attribute.labels.value Il valore di computer_name dal log non elaborato viene assegnato come valore a un oggetto principal.resource.attribute.labels in cui la chiave è "computer_name". Viene aggiunto anche come valore a un oggetto security_result.detection_fields in cui la chiave è "computer_name".
column1 metadata.product_log_id Il valore column1 del log non elaborato viene assegnato a metadata.product_log_id.
column3 observer.ip Il valore column3 del log non elaborato viene assegnato a observer.ip.
command_line target.process.command_line Il valore command_line del log non elaborato viene assegnato a target.process.command_line.
data target.registry.registry_value_data Il valore data del log non elaborato viene assegnato a target.registry.registry_value_data.
detection_attackTechnique security_result.detection_fields.value Il valore di detection_attackTechnique dal log non elaborato viene assegnato come valore a un oggetto security_result.detection_fields in cui la chiave è "detection attackTechnique".
detection_name security_result.threat_name Il valore detection_name del log non elaborato viene assegnato a security_result.threat_name.
destination_ip target.ip Il valore destination_ip del log non elaborato viene assegnato a target.ip.
destination_port target.port Il valore destination_port del log non elaborato viene assegnato a target.port.
direction network.direction Il valore di direction dal log non elaborato è in maiuscolo e assegnato a network.direction.
dvc principal.ip Il valore di dvc dal log non elaborato viene analizzato, suddiviso da virgole e ogni indirizzo IP risultante viene aggiunto all'array principal.ip.
dvchost about.hostname Il valore dvchost del log non elaborato viene assegnato a about.hostname.
event_description metadata.description Il valore event_description del log non elaborato viene assegnato a metadata.description.
event_name metadata.product_event_type Il valore event_name del log non elaborato viene assegnato a metadata.product_event_type. Se il valore è "Antiphishing", security_result.category viene impostato su "PHISHING". Se il valore è "AntiMalware", security_result.category viene impostato su "SOFTWARE_MALICIOUS". Il campo metadata.event_type è derivato da event_name utilizzando una serie di istruzioni condizionali all'interno del parser.
ev metadata.product_event_type Il valore ev del log non elaborato viene assegnato a metadata.product_event_type.
extra_info.command_line target.process.command_line Il valore extra_info.command_line del log non elaborato viene assegnato a target.process.command_line.
extra_info.parent_pid principal.process.pid Il valore extra_info.parent_pid del log non elaborato viene assegnato a principal.process.pid.
extra_info.parent_process_cmdline principal.process.command_line Il valore extra_info.parent_process_cmdline del log non elaborato viene assegnato a principal.process.command_line.
extra_info.parent_process_path principal.process.file.full_path Il valore extra_info.parent_process_path del log non elaborato viene assegnato a principal.process.file.full_path.
extra_info.pid target.process.pid Il valore extra_info.pid del log non elaborato viene assegnato a target.process.pid.
extra_info.process_path target.process.file.full_path Il valore extra_info.process_path del log non elaborato viene assegnato a target.process.file.full_path.
extra_info.user target.user.userid Il valore extra_info.user del log non elaborato viene assegnato a target.user.userid.
filePath principal.process.file.full_path Il valore filePath del log non elaborato viene assegnato a principal.process.file.full_path.
file_path principal.process.file.full_path Il valore file_path del log non elaborato viene assegnato a principal.process.file.full_path.
final_status security_result.action_details Il valore final_status del log non elaborato viene assegnato a security_result.action_details. In base a questo valore, viene impostato il campo security_result.action (ad es. "deleted" corrisponde a "BLOCK", "ignored" a "ALLOW"). Il campo security_result.description viene compilato anche con "final_status: " seguito dal valore di final_status. Se il valore è "deleted" o "blocked", metadata.event_type viene impostato su "SCAN_NETWORK".
hash principal.process.file.sha256 Il valore hash del log non elaborato viene assegnato a principal.process.file.sha256.
host principal.hostname Il valore host del log non elaborato viene assegnato a principal.hostname.
hostname principal.hostname Il valore di hostname dal log non elaborato viene assegnato a principal.hostname se event_name non è "log_on" o "log_out". In caso contrario, viene assegnato a target.hostname.
host_name principal.hostname Il valore host_name del log non elaborato viene assegnato a principal.hostname.
hwid principal.resource.id Il valore di hwid dal log non elaborato viene assegnato a principal.resource.id se non è vuoto. Se è vuoto e l'evento non è "log_on" o "log_out", il valore di source_hwid viene assegnato a principal.resource.id. Se l'evento è "log_on" o "log_out", viene assegnato a target.resource.id.
incident_id metadata.product_log_id Il valore incident_id del log non elaborato viene assegnato a metadata.product_log_id.
ip_dest target.ip Il valore ip_dest del log non elaborato viene assegnato a target.ip.
ip_source principal.ip Il valore ip_source del log non elaborato viene assegnato a principal.ip.
key_path target.registry.registry_key Il valore key_path del log non elaborato viene assegnato a target.registry.registry_key.
local_port principal.port Il valore di local_port dal log non elaborato viene convertito in un numero intero e assegnato a principal.port.
logon_type extensions.auth.mechanism Il valore di logon_type dal log non elaborato viene utilizzato per determinare il valore di extensions.auth.mechanism. Valori numerici diversi di logon_type corrispondono a diversi meccanismi di autenticazione (ad es. 2 mappe a "LOCAL", 3 a "NETWORK"). Se non viene trovato alcun logon_type corrispondente, il meccanismo viene impostato su "MECHANISM_UNSPECIFIED".
lurker_id intermediary.resource.id Il valore lurker_id del log non elaborato viene assegnato a intermediary.resource.id.
main_action security_result.action_details Il valore main_action del log non elaborato viene assegnato a security_result.action_details. In base a questo valore, viene impostato il campo security_result.action (ad es. "blocked" corrisponde a "BLOCK", "no action" a "ALLOW"). Il campo security_result.description viene compilato anche con "main_action: " seguito dal valore di main_action.
malware_name security_result.threat_name Il valore malware_name del log non elaborato viene assegnato a security_result.threat_name.
malware_type security_result.detection_fields.value Il valore di malware_type dal log non elaborato viene assegnato come valore a un oggetto security_result.detection_fields in cui la chiave è "malware_type".
metadata.description metadata.description L'analizzatore imposta il campo metadata.description in base al campo event_name.
metadata.event_type metadata.event_type L'analizzatore imposta il campo metadata.event_type in base al campo event_name.
metadata.product_event_type metadata.product_event_type Il parser imposta il campo metadata.product_event_type in base ai campi event_name o module.
metadata.product_log_id metadata.product_log_id Il parser imposta il campo metadata.product_log_id in base ai campi msg_id o incident_id.
metadata.product_name metadata.product_name Il parser imposta metadata.product_name su "BitDefender EDR".
metadata.product_version metadata.product_version Il parser rinomina il campo product_version in metadata.product_version.
metadata.vendor_name metadata.vendor_name Il parser imposta metadata.vendor_name su "BitDefender".
module metadata.product_event_type Il valore module del log non elaborato viene assegnato a metadata.product_event_type. Se il valore è "new-incident" e target_process_file_full_path non è vuoto, metadata.event_type viene impostato su "PROCESS_UNCATEGORIZED". Se il valore è "task-status", metadata.event_type viene impostato su "STATUS_UPDATE". Se il valore è "network-monitor" o "fw", metadata.event_type viene impostato su "SCAN_NETWORK".
msg_id metadata.product_log_id Il valore msg_id del log non elaborato viene assegnato a metadata.product_log_id.
network.application_protocol network.application_protocol Il valore di uc_type dal log non elaborato è in maiuscolo e assegnato a network.application_protocol.
network.direction network.direction L'analizzatore imposta il campo network.direction in base al campo direction.
network.ip_protocol network.ip_protocol Se protocol_id è "6", il parser imposta network.ip_protocol su "TCP".
new_path target.file.full_path Il valore new_path del log non elaborato viene assegnato a target.file.full_path.
old_path src.file.full_path Il valore old_path del log non elaborato viene assegnato a src.file.full_path.
origin_ip intermediary.ip Il valore origin_ip del log non elaborato viene assegnato a intermediary.ip.
os principal.platform_version Il valore os del log non elaborato viene assegnato a principal.platform_version. Il campo principal.platform è derivato da os (ad es. "Win" corrisponde a "WINDOWS"). Se l'evento è "log_on" o "log_out", i campi principal.platform e principal.platform_version vengono rinominati rispettivamente in target.platform e target.platform_version.
os_type principal.platform Il valore di os_type dal log non elaborato viene utilizzato per determinare il valore di principal.platform (ad es. "Win" corrisponde a "WINDOWS").
parent_pid principal.process.pid Il valore parent_pid del log non elaborato viene assegnato a principal.process.pid.
parent_process_path principal.process.file.full_path Il valore parent_process_path del log non elaborato viene assegnato a principal.process.file.full_path.
parent_process_pid principal.process.pid Il valore parent_process_pid del log non elaborato viene assegnato a principal.process.pid.
path target.file.full_path Il valore path del log non elaborato viene assegnato a target.file.full_path.
pid principal.process.pid o target.process.pid Il valore di pid dal log non elaborato viene assegnato a principal.process.pid se event_name inizia con "file" o "reg" oppure se è uno dei valori "process_signal", "network_connection" o "connection_connect". In caso contrario, viene assegnato a target.process.pid.
pid_path principal.process.file.full_path Il valore pid_path del log non elaborato viene assegnato a principal.process.file.full_path.
port_dest target.port Il valore di port_dest dal log non elaborato viene convertito in un numero intero e assegnato a target.port.
port_source principal.port Il valore di port_source dal log non elaborato viene convertito in un numero intero e assegnato a principal.port.
ppid principal.process.pid Il valore ppid del log non elaborato viene assegnato a principal.process.pid.
principal.ip principal.ip Il parser imposta il campo principal.ip in base ai campi ip_source o dvc.
principal.platform principal.platform Il parser imposta il campo principal.platform in base ai campi os o os_type.
principal.platform_version principal.platform_version Il parser imposta il campo principal.platform_version in base ai campi os o osi_version.
principal.process.command_line principal.process.command_line L'analizzatore imposta il campo principal.process.command_line in base al campo parent_process_cmdline.
principal.process.file.full_path principal.process.file.full_path L'analizzatore imposta il campo principal.process.file.full_path in base ai campi pid_path, file_path, parent_process_path o process_path.
principal.process.file.md5 principal.process.file.md5 Il parser rinomina il campo file_hash_md5 in principal.process.file.md5.
principal.process.file.sha256 principal.process.file.sha256 L'analizzatore imposta il campo principal.process.file.sha256 in base ai campi hash, BitdefenderGZMalwareHash o file_hash_sha256.
principal.process.parent_process.pid principal.process.parent_process.pid Il parser rinomina il campo ppid in principal.process.parent_process.pid.
principal.process.pid principal.process.pid L'analizzatore imposta il campo principal.process.pid in base ai campi pid, parent_pid, ppid o parent_process_pid.
principal.resource.id principal.resource.id Il parser imposta il campo principal.resource.id in base ai campi hwid o source_hwid.
principal.url principal.url L'analizzatore imposta il campo principal.url in base al campo url.
process_command_line target.process.command_line Il valore process_command_line del log non elaborato viene assegnato a target.process.command_line.
process_path principal.process.file.full_path o target.process.file.full_path Il valore di process_path dal log non elaborato viene assegnato a principal.process.file.full_path se event_name è "network_connection" o "connection_connect". In caso contrario, viene assegnato a target.process.file.full_path.
product_installed additional.fields.value.string_value Il valore di product_installed dal log non elaborato viene assegnato come valore a un oggetto additional.fields in cui la chiave è "product_installed".
product_version metadata.product_version Il valore product_version del log non elaborato viene assegnato a metadata.product_version.
protocol_id network.ip_protocol Se protocol_id è "6", il parser imposta network.ip_protocol su "TCP".
request target.url Il valore request del log non elaborato viene assegnato a target.url.
security_result.action security_result.action L'analizzatore imposta il campo security_result.action in base ai campi main_action, actionTaken, status o final_status. Se nessuno di questi campi fornisce un'azione valida, il valore predefinito è "UNKNOWN_ACTION".
security_result.action_details security_result.action_details L'analizzatore imposta il campo security_result.action_details in base ai campi main_action, actionTaken, status o final_status.
security_result.category security_result.category Il parser imposta il campo security_result.category su "PHISHING" se event_name è "Antiphishing", su "SOFTWARE_MALICIOUS" se event_name è "AntiMalware" o unisce il valore del campo sec_category.
security_result.category_details security_result.category_details Il parser imposta il campo security_result.category_details in base ai campi block_type o attack_types.
security_result.detection_fields security_result.detection_fields Il parser crea oggetti security_result.detection_fields per vari campi, tra cui "malware_type", "attack_entry", "BitdefenderGZAttCkId", "BitdefenderGZEndpointId", "final_status", "detection attackTechnique" e "computer_name".
security_result.description security_result.description L'analizzatore imposta il campo security_result.description in base ai campi main_action, actionTaken o final_status.
security_result.severity security_result.severity Il parser imposta il campo security_result.severity in base al valore in maiuscolo del campo severity, se non è vuoto e module è "new-incident".
security_result.severity_details security_result.severity_details L'analizzatore imposta il campo security_result.severity_details in base al campo severity_score.
security_result.threat_name security_result.threat_name Il parser imposta il campo security_result.threat_name in base ai campi malware_name o detection_name.
severity security_result.severity Il valore di severity dal log non elaborato è in maiuscolo e viene assegnato a security_result.severity se non è vuoto e module è "new-incident".
severity_score security_result.severity_details Il valore di severity_score dal log non elaborato viene convertito in una stringa e assegnato a security_result.severity_details.
source_host observer.ip Il valore source_host del log non elaborato viene assegnato a observer.ip.
source_hwid principal.resource.id Il valore source_hwid del log non elaborato viene assegnato a principal.resource.id.
source_ip src.ip Il valore source_ip del log non elaborato viene assegnato a src.ip.
source_port principal.port Il valore di source_port dal log non elaborato viene convertito in un numero intero e assegnato a principal.port.
spt principal.port Il valore spt del log non elaborato viene assegnato a principal.port.
sproc principal.process.command_line Il valore sproc del log non elaborato viene assegnato a principal.process.command_line.
src principal.ip Il valore src del log non elaborato viene assegnato a principal.ip.
src.ip src.ip L'analizzatore imposta il campo src.ip in base al campo source_ip.
src.file.full_path src.file.full_path L'analizzatore imposta il campo src.file.full_path in base al campo old_path.
status security_result.action_details Il valore status del log non elaborato viene assegnato a security_result.action_details. In base a questo valore, viene impostato il campo security_result.action (ad es. "portscan_blocked" e "uc_site_blocked" corrispondono a "BLOCK"). Il campo security_result.description viene compilato anche con "status: " seguito dal valore di status.
suid principal.user.userid Il valore suid del log non elaborato viene assegnato a principal.user.userid.
suser principal.user.user_display_name Il valore suser del log non elaborato viene assegnato a principal.user.user_display_name.
target.file.full_path target.file.full_path Il parser imposta il campo target.file.full_path in base ai campi path o new_path.
target.hostname target.hostname L'analizzatore imposta il campo target.hostname in base al campo hostname.
target.ip target.ip Il parser imposta il campo target.ip in base ai campi ip_dest o destination_ip.
target.platform target.platform L'analizzatore imposta il campo target.platform in base al campo principal.platform.
target.platform_version target.platform_version L'analizzatore imposta il campo target.platform_version in base al campo principal.platform_version.
target.port target.port Il parser imposta il campo target.port in base ai campi port_dest o destination_port.
target.process.command_line target.process.command_line L'analizzatore imposta il campo target.process.command_line in base ai campi command_line, process_command_line o cmd_line.
target.process.file.full_path target.process.file.full_path L'analizzatore imposta il campo target.process.file.full_path in base al campo process_path.
target.process.pid target.process.pid L'analizzatore imposta il campo target.process.pid in base al campo pid.
target.registry.registry_key target.registry.registry_key L'analizzatore imposta il campo target.registry.registry_key in base al campo key_path.
target.registry.registry_value_data target.registry.registry_value_data L'analizzatore imposta il campo target.registry.registry_value_data in base al campo data.
target.registry.registry_value_name target.registry.registry_value_name L'analizzatore imposta il campo target.registry.registry_value_name in base al campo value.
target.resource.id target.resource.id Il parser imposta il campo target.resource.id in base ai campi hwid o BitdefenderGZHwId.
target.url target.url L'analizzatore imposta il campo target.url in base al campo request.
target.user.company_name target.user.company_name L'analizzatore imposta il campo target.user.company_name in base al campo companyId.
target.user.user_display_name target.user.user_display_name Il parser imposta il campo target.user.user_display_name in base ai campi user.name o user.userName.
target.user.userid target.user.userid L'analizzatore imposta il campo target.user.userid in base ai campi user_name, user, user.id o extra_info.user.
target_pid target.process.pid Il valore target_pid del log non elaborato viene assegnato a target.process.pid.
timestamp metadata.event_timestamp Il valore di timestamp dal log non elaborato viene analizzato e assegnato a metadata.event_timestamp.
uc_type network.application_protocol Il valore di uc_type dal log non elaborato è in maiuscolo e assegnato a network.application_protocol. Se target_user_userid non è vuoto, metadata.event_type viene impostato su "USER_UNCATEGORIZED". In caso contrario, viene impostato su "STATUS_UPDATE".
url principal.url Il valore di url dal log non elaborato viene assegnato a principal.url se non è vuoto o "0.0.0.0".
user target.user.userid Il valore user del log non elaborato viene assegnato a target.user.userid.
user.id target.user.userid Il valore user.id del log non elaborato viene assegnato a target.user.userid.
user.name target.user.user_display_name Il valore user.name del log non elaborato viene assegnato a target.user.user_display_name.
user.userName target.user.user_display_name Il valore user.userName del log non elaborato viene assegnato a target.user.user_display_name.
user.userSid principal.user.windows_sid Il valore user.userSid del log non elaborato viene assegnato a principal.user.windows_sid.
user_name target.user.userid Il valore user_name del log non elaborato viene assegnato a target.user.userid.
value target.registry.registry_value_data o target.registry.registry_value_name Il valore di value dal log non elaborato viene assegnato a target.registry.registry_value_data se event_name è "reg_delete_value". In caso contrario, viene assegnato a target.registry.registry_value_name.

Modifiche

2023-05-02

  • Log analizzati importati in formato CEF.

2022-09-28

  • "security_result.action" è stato mappato a "BLOCK" quando "status" è "portscan_blocked" o "uc_site_blocked".
  • "security_result.action" è stato mappato a "BLOCK" quando "main_action" è "blocked".
  • "security_result.action" è stato mappato a "BLOCK" quando "actionTaken" è "block".
  • "security_result.action" è stato mappato a "BLOCK" quando "final_status" è "blocked" o "deleted".
  • "security_result.action" è stato mappato su "ALLOW" quando "final_status" è "ignored" o "still present".
  • "security_result.action" è stato mappato a "ALLOW" quando "main_action" è "no action".
  • "security_result.action" è stato mappato a "QUARANTINE" quando "final_status" è "quarantined".
  • "security_result.action" è stato mappato a "ALLOW_WITH_MODIFICATION" quando "final_status" è "disinfected" o "restored".

2022-08-17

  • Miglioramento: mappatura modificata per "source_ip" da "principal.ip" a "srcc.ip".
  • Imposta "event_type" su "SCAN_NETWORK" quando "module" è uguale a "network-monitor" o "fw".
  • "user.userSid" è stato mappato a "principal.user.windows_sid".
  • "user.userName" è stato mappato a "target.user.user_display_name".
  • "protocol_id" è stato mappato a "network.ip_protocol".
  • Imposta "security_result.action" su "BLOCK" quando "status" è uguale a "portscan_blocked" o "uc_site_blocked".
  • "local_port" è stato mappato a "principal.port".
  • "actionTaken" è stato mappato a "security_result.action".
  • "detection_attackTechnique" è stato mappato a "security_result.detection_fields".

2022-08-13

  • Correzione di bug: mappatura modificata per il campo "computer_name" da "principal.asset.hostname" a "event.idm.read_only_udm.principal.resource.attribute.labels".

2022-08-11

  • Correzione di bug: controlli condizionali modificati per il campo "main_action" mappato a "security_result.action".
  • È stato mappato "STATUS_UPDATE" a "metadata.event_type" per i log con il modulo "task-status".

2022-04-14

  • Miglioramento: sono state aggiunte mappature per computer_name, computer_id, uc_type, block_type,status,product_installed.

2022-03-30

  • Correzione di bug: è stato corretto l'errore del timestamp e sono stati mappati i campi user.id, user.name, companyId, computer_name, computer_fqdn, computer_ip, computer_id, url e categories.