Questa pagina è stata tradotta dall'API Cloud Translation.

Raccogliere i log di Bitdefender

Supportato in:

Google SecOps SIEM

Questo parser estrae i log di Bitdefender in formato CEF o CSV, normalizza i campi per l'UDM ed esegue azioni specifiche in base ai campi event_name e module. Gestisce vari tipi di eventi, come operazioni sui file, connessioni di rete, creazione di processi e modifiche del registro, mappando le informazioni pertinenti ai campi UDM appropriati e arricchendo i dati con un contesto aggiuntivo dai log non elaborati.

Prima di iniziare

Assicurati di avere un'istanza Google Security Operations.
Assicurati di avere un host Windows 2016 o versioni successive o Linux con systemd.
Se il servizio è in esecuzione dietro un proxy, assicurati che le porte del firewall siano aperte.
Assicurati di disporre dell'accesso privilegiato a Bitdefender.

Recupera il file di autenticazione di importazione di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Agenti di raccolta.
Scarica il file di autenticazione dell'importazione.

Ottenere l'ID cliente Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa BindPlane Agent

Per l'installazione su Windows, esegui il seguente script:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Per l'installazione di Linux, esegui il seguente script:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Ulteriori opzioni di installazione sono disponibili in questa guida all'installazione.

Configurare l'agente BindPlane per importare i dati Syslog e inviarli a Google SecOps

Accedi al computer su cui è installato BindPlane.

Modifica il file config.yaml come segue:

receivers:
    tcplog:
        # Replace the below port <54525> and IP <0.0.0.0> with your specific values
        listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: bitdefender
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

Riavvia l'agente BindPlane per applicare le modifiche:
```
sudo systemctl restart bindplane
```

Configurare lo streaming Syslog in Bitdefender GravityZone

Accedi al GravityZone Control Center.
Vai a Configurazione > Integrazioni > Syslog.
Fai clic su Aggiungi server Syslog.
Fornisci i dettagli richiesti:
- Nome: fornisci un nome univoco per il server syslog (ad esempio CentralSyslog).
- Indirizzo IP/nome host: inserisci l'indirizzo IP o il nome host del server Bindplane.
- Protocollo: seleziona il protocollo da utilizzare: TCP / UDP.
- Porta: specifica il numero di porta del server Bindplane.
- Seleziona i tipi di log da trasmettere in streaming (ad esempio Eventi antimalware, Eventi NAD (Network Attack Defense), Eventi di controllo web, Eventi del firewall o Modifiche ai criteri).
- (Facoltativo) Configura i filtri per includere o escludere tipi di eventi specifici.
Fai clic su Salva.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logica
`BitdefenderGZAttackEntry`	`security_result.detection_fields.value`	Il valore di `BitdefenderGZAttackEntry` dal log non elaborato viene assegnato come valore a un oggetto `security_result.detection_fields` in cui la chiave è "attack_entry".
`BitdefenderGZAttackTypes`	`security_result.category_details`	Il valore `BitdefenderGZAttackTypes` del log non elaborato viene assegnato a `security_result.category_details`. Il valore viene quindi suddiviso in singole stringhe e ogni stringa viene aggiunta come valore all'array `security_result.category_details`.
`BitdefenderGZAttCkId`	`security_result.detection_fields.value`	Il valore di `BitdefenderGZAttCkId` dal log non elaborato viene assegnato come valore a un oggetto `security_result.detection_fields` in cui la chiave è "BitdefenderGZAttCkId".
`BitdefenderGZCompanyId`	`target.user.company_name`	Il valore `BitdefenderGZCompanyId` del log non elaborato viene assegnato a `target.user.company_name`.
`BitdefenderGZComputerFQDN`	`principal.asset.network_domain`	Il valore `BitdefenderGZComputerFQDN` del log non elaborato viene assegnato a `principal.asset.network_domain`.
`BitdefenderGZDetectionName`	`security_result.threat_name`	Il valore `BitdefenderGZDetectionName` del log non elaborato viene assegnato a `security_result.threat_name`.
`BitdefenderGZEndpointId`	`security_result.detection_fields.value`	Il valore di `BitdefenderGZEndpointId` dal log non elaborato viene assegnato come valore a un oggetto `security_result.detection_fields` in cui la chiave è "BitdefenderGZEndpointId".
`BitdefenderGZIncidentId`	`metadata.product_log_id`	Il valore `BitdefenderGZIncidentId` del log non elaborato viene assegnato a `metadata.product_log_id`.
`BitdefenderGZMainAction`	`security_result.action_details`	Il valore `BitdefenderGZMainAction` del log non elaborato viene assegnato a `security_result.action_details`. In base a questo valore, viene impostato il campo `security_result.action` (ad es. "blocked" corrisponde a "BLOCK"). Il campo `security_result.description` viene compilato anche con "main_action: " seguito dal valore di `BitdefenderGZMainAction`.
`BitdefenderGZMalwareHash`	`principal.process.file.sha256`	Il valore `BitdefenderGZMalwareHash` del log non elaborato viene assegnato a `principal.process.file.sha256`.
`BitdefenderGZMalwareName`	`security_result.threat_name`	Il valore `BitdefenderGZMalwareName` del log non elaborato viene assegnato a `security_result.threat_name`.
`BitdefenderGZMalwareType`	`security_result.detection_fields.value`	Il valore di `BitdefenderGZMalwareType` dal log non elaborato viene assegnato come valore a un oggetto `security_result.detection_fields` in cui la chiave è "malware_type".
`BitdefenderGZModule`	`metadata.product_event_type`	Il valore `BitdefenderGZModule` del log non elaborato viene assegnato a `metadata.product_event_type`.
`BitdefenderGZSeverityScore`	`security_result.severity_details`	Il valore `BitdefenderGZSeverityScore` del log non elaborato viene assegnato a `security_result.severity_details`.
`BitdefenderGZHwId`	`target.resource.id`	Il valore `BitdefenderGZHwId` del log non elaborato viene assegnato a `target.resource.id`.
`act`	`security_result.action_details`	Il valore `act` del log non elaborato viene assegnato a `security_result.action_details`.
`actionTaken`	`security_result.action_details`	Il valore `actionTaken` del log non elaborato viene assegnato a `security_result.action_details`. In base a questo valore, viene impostato il campo `security_result.action` (ad es. "block" corrisponde a "BLOCK"). Il campo `security_result.description` viene compilato anche con "actionTaken: " seguito dal valore di `actionTaken`.
`additional.fields`	`additional.fields`	La logica del parser crea una coppia chiave/valore per "product_installed" e la aggiunge all'oggetto `additional.fields`.
`categories`	`principal.asset.category`	Il valore `categories` del log non elaborato viene assegnato a `principal.asset.category`.
`cmd_line`	`target.process.command_line`	Il valore `cmd_line` del log non elaborato viene assegnato a `target.process.command_line`.
`companyId`	`target.user.company_name`	Il valore `companyId` del log non elaborato viene assegnato a `target.user.company_name`.
`computer_fqdn`	`principal.asset.network_domain`	Il valore `computer_fqdn` del log non elaborato viene assegnato a `principal.asset.network_domain`.
`computer_id`	`principal.asset.asset_id`	Il valore di `computer_id` dal log non elaborato viene assegnato a `principal.asset.asset_id` dopo aver anteposto "ComputerId:".
`computer_ip`	`principal.asset.ip`	Il valore di `computer_ip` dal log non elaborato viene analizzato, suddiviso da virgole e ogni indirizzo IP risultante viene aggiunto all'array `principal.asset.ip`.
`computer_name`	`principal.resource.attribute.labels.value`	Il valore di `computer_name` dal log non elaborato viene assegnato come valore a un oggetto `principal.resource.attribute.labels` in cui la chiave è "computer_name". Viene aggiunto anche come valore a un oggetto `security_result.detection_fields` in cui la chiave è "computer_name".
`column1`	`metadata.product_log_id`	Il valore `column1` del log non elaborato viene assegnato a `metadata.product_log_id`.
`column3`	`observer.ip`	Il valore `column3` del log non elaborato viene assegnato a `observer.ip`.
`command_line`	`target.process.command_line`	Il valore `command_line` del log non elaborato viene assegnato a `target.process.command_line`.
`data`	`target.registry.registry_value_data`	Il valore `data` del log non elaborato viene assegnato a `target.registry.registry_value_data`.
`detection_attackTechnique`	`security_result.detection_fields.value`	Il valore di `detection_attackTechnique` dal log non elaborato viene assegnato come valore a un oggetto `security_result.detection_fields` in cui la chiave è "detection attackTechnique".
`detection_name`	`security_result.threat_name`	Il valore `detection_name` del log non elaborato viene assegnato a `security_result.threat_name`.
`destination_ip`	`target.ip`	Il valore `destination_ip` del log non elaborato viene assegnato a `target.ip`.
`destination_port`	`target.port`	Il valore `destination_port` del log non elaborato viene assegnato a `target.port`.
`direction`	`network.direction`	Il valore di `direction` dal log non elaborato è in maiuscolo e assegnato a `network.direction`.
`dvc`	`principal.ip`	Il valore di `dvc` dal log non elaborato viene analizzato, suddiviso da virgole e ogni indirizzo IP risultante viene aggiunto all'array `principal.ip`.
`dvchost`	`about.hostname`	Il valore `dvchost` del log non elaborato viene assegnato a `about.hostname`.
`event_description`	`metadata.description`	Il valore `event_description` del log non elaborato viene assegnato a `metadata.description`.
`event_name`	`metadata.product_event_type`	Il valore `event_name` del log non elaborato viene assegnato a `metadata.product_event_type`. Se il valore è "Antiphishing", `security_result.category` viene impostato su "PHISHING". Se il valore è "AntiMalware", `security_result.category` viene impostato su "SOFTWARE_MALICIOUS". Il campo `metadata.event_type` è derivato da `event_name` utilizzando una serie di istruzioni condizionali all'interno del parser.
`ev`	`metadata.product_event_type`	Il valore `ev` del log non elaborato viene assegnato a `metadata.product_event_type`.
`extra_info.command_line`	`target.process.command_line`	Il valore `extra_info.command_line` del log non elaborato viene assegnato a `target.process.command_line`.
`extra_info.parent_pid`	`principal.process.pid`	Il valore `extra_info.parent_pid` del log non elaborato viene assegnato a `principal.process.pid`.
`extra_info.parent_process_cmdline`	`principal.process.command_line`	Il valore `extra_info.parent_process_cmdline` del log non elaborato viene assegnato a `principal.process.command_line`.
`extra_info.parent_process_path`	`principal.process.file.full_path`	Il valore `extra_info.parent_process_path` del log non elaborato viene assegnato a `principal.process.file.full_path`.
`extra_info.pid`	`target.process.pid`	Il valore `extra_info.pid` del log non elaborato viene assegnato a `target.process.pid`.
`extra_info.process_path`	`target.process.file.full_path`	Il valore `extra_info.process_path` del log non elaborato viene assegnato a `target.process.file.full_path`.
`extra_info.user`	`target.user.userid`	Il valore `extra_info.user` del log non elaborato viene assegnato a `target.user.userid`.
`filePath`	`principal.process.file.full_path`	Il valore `filePath` del log non elaborato viene assegnato a `principal.process.file.full_path`.
`file_path`	`principal.process.file.full_path`	Il valore `file_path` del log non elaborato viene assegnato a `principal.process.file.full_path`.
`final_status`	`security_result.action_details`	Il valore `final_status` del log non elaborato viene assegnato a `security_result.action_details`. In base a questo valore, viene impostato il campo `security_result.action` (ad es. "deleted" corrisponde a "BLOCK", "ignored" a "ALLOW"). Il campo `security_result.description` viene compilato anche con "final_status: " seguito dal valore di `final_status`. Se il valore è "deleted" o "blocked", `metadata.event_type` viene impostato su "SCAN_NETWORK".
`hash`	`principal.process.file.sha256`	Il valore `hash` del log non elaborato viene assegnato a `principal.process.file.sha256`.
`host`	`principal.hostname`	Il valore `host` del log non elaborato viene assegnato a `principal.hostname`.
`hostname`	`principal.hostname`	Il valore di `hostname` dal log non elaborato viene assegnato a `principal.hostname` se `event_name` non è "log_on" o "log_out". In caso contrario, viene assegnato a `target.hostname`.
`host_name`	`principal.hostname`	Il valore `host_name` del log non elaborato viene assegnato a `principal.hostname`.
`hwid`	`principal.resource.id`	Il valore di `hwid` dal log non elaborato viene assegnato a `principal.resource.id` se non è vuoto. Se è vuoto e l'evento non è "log_on" o "log_out", il valore di `source_hwid` viene assegnato a `principal.resource.id`. Se l'evento è "log_on" o "log_out", viene assegnato a `target.resource.id`.
`incident_id`	`metadata.product_log_id`	Il valore `incident_id` del log non elaborato viene assegnato a `metadata.product_log_id`.
`ip_dest`	`target.ip`	Il valore `ip_dest` del log non elaborato viene assegnato a `target.ip`.
`ip_source`	`principal.ip`	Il valore `ip_source` del log non elaborato viene assegnato a `principal.ip`.
`key_path`	`target.registry.registry_key`	Il valore `key_path` del log non elaborato viene assegnato a `target.registry.registry_key`.
`local_port`	`principal.port`	Il valore di `local_port` dal log non elaborato viene convertito in un numero intero e assegnato a `principal.port`.
`logon_type`	`extensions.auth.mechanism`	Il valore di `logon_type` dal log non elaborato viene utilizzato per determinare il valore di `extensions.auth.mechanism`. Valori numerici diversi di `logon_type` corrispondono a diversi meccanismi di autenticazione (ad es. 2 mappe a "LOCAL", 3 a "NETWORK"). Se non viene trovato alcun `logon_type` corrispondente, il meccanismo viene impostato su "MECHANISM_UNSPECIFIED".
`lurker_id`	`intermediary.resource.id`	Il valore `lurker_id` del log non elaborato viene assegnato a `intermediary.resource.id`.
`main_action`	`security_result.action_details`	Il valore `main_action` del log non elaborato viene assegnato a `security_result.action_details`. In base a questo valore, viene impostato il campo `security_result.action` (ad es. "blocked" corrisponde a "BLOCK", "no action" a "ALLOW"). Il campo `security_result.description` viene compilato anche con "main_action: " seguito dal valore di `main_action`.
`malware_name`	`security_result.threat_name`	Il valore `malware_name` del log non elaborato viene assegnato a `security_result.threat_name`.
`malware_type`	`security_result.detection_fields.value`	Il valore di `malware_type` dal log non elaborato viene assegnato come valore a un oggetto `security_result.detection_fields` in cui la chiave è "malware_type".
`metadata.description`	`metadata.description`	L'analizzatore imposta il campo `metadata.description` in base al campo `event_name`.
`metadata.event_type`	`metadata.event_type`	L'analizzatore imposta il campo `metadata.event_type` in base al campo `event_name`.
`metadata.product_event_type`	`metadata.product_event_type`	Il parser imposta il campo `metadata.product_event_type` in base ai campi `event_name` o `module`.
`metadata.product_log_id`	`metadata.product_log_id`	Il parser imposta il campo `metadata.product_log_id` in base ai campi `msg_id` o `incident_id`.
`metadata.product_name`	`metadata.product_name`	Il parser imposta `metadata.product_name` su "BitDefender EDR".
`metadata.product_version`	`metadata.product_version`	Il parser rinomina il campo `product_version` in `metadata.product_version`.
`metadata.vendor_name`	`metadata.vendor_name`	Il parser imposta `metadata.vendor_name` su "BitDefender".
`module`	`metadata.product_event_type`	Il valore `module` del log non elaborato viene assegnato a `metadata.product_event_type`. Se il valore è "new-incident" e `target_process_file_full_path` non è vuoto, `metadata.event_type` viene impostato su "PROCESS_UNCATEGORIZED". Se il valore è "task-status", `metadata.event_type` viene impostato su "STATUS_UPDATE". Se il valore è "network-monitor" o "fw", `metadata.event_type` viene impostato su "SCAN_NETWORK".
`msg_id`	`metadata.product_log_id`	Il valore `msg_id` del log non elaborato viene assegnato a `metadata.product_log_id`.
`network.application_protocol`	`network.application_protocol`	Il valore di `uc_type` dal log non elaborato è in maiuscolo e assegnato a `network.application_protocol`.
`network.direction`	`network.direction`	L'analizzatore imposta il campo `network.direction` in base al campo `direction`.
`network.ip_protocol`	`network.ip_protocol`	Se `protocol_id` è "6", il parser imposta `network.ip_protocol` su "TCP".
`new_path`	`target.file.full_path`	Il valore `new_path` del log non elaborato viene assegnato a `target.file.full_path`.
`old_path`	`src.file.full_path`	Il valore `old_path` del log non elaborato viene assegnato a `src.file.full_path`.
`origin_ip`	`intermediary.ip`	Il valore `origin_ip` del log non elaborato viene assegnato a `intermediary.ip`.
`os`	`principal.platform_version`	Il valore `os` del log non elaborato viene assegnato a `principal.platform_version`. Il campo `principal.platform` è derivato da `os` (ad es. "Win" corrisponde a "WINDOWS"). Se l'evento è "log_on" o "log_out", i campi `principal.platform` e `principal.platform_version` vengono rinominati rispettivamente in `target.platform` e `target.platform_version`.
`os_type`	`principal.platform`	Il valore di `os_type` dal log non elaborato viene utilizzato per determinare il valore di `principal.platform` (ad es. "Win" corrisponde a "WINDOWS").
`parent_pid`	`principal.process.pid`	Il valore `parent_pid` del log non elaborato viene assegnato a `principal.process.pid`.
`parent_process_path`	`principal.process.file.full_path`	Il valore `parent_process_path` del log non elaborato viene assegnato a `principal.process.file.full_path`.
`parent_process_pid`	`principal.process.pid`	Il valore `parent_process_pid` del log non elaborato viene assegnato a `principal.process.pid`.
`path`	`target.file.full_path`	Il valore `path` del log non elaborato viene assegnato a `target.file.full_path`.
`pid`	`principal.process.pid` o `target.process.pid`	Il valore di `pid` dal log non elaborato viene assegnato a `principal.process.pid` se `event_name` inizia con "file" o "reg" oppure se è uno dei valori "process_signal", "network_connection" o "connection_connect". In caso contrario, viene assegnato a `target.process.pid`.
`pid_path`	`principal.process.file.full_path`	Il valore `pid_path` del log non elaborato viene assegnato a `principal.process.file.full_path`.
`port_dest`	`target.port`	Il valore di `port_dest` dal log non elaborato viene convertito in un numero intero e assegnato a `target.port`.
`port_source`	`principal.port`	Il valore di `port_source` dal log non elaborato viene convertito in un numero intero e assegnato a `principal.port`.
`ppid`	`principal.process.pid`	Il valore `ppid` del log non elaborato viene assegnato a `principal.process.pid`.
`principal.ip`	`principal.ip`	Il parser imposta il campo `principal.ip` in base ai campi `ip_source` o `dvc`.
`principal.platform`	`principal.platform`	Il parser imposta il campo `principal.platform` in base ai campi `os` o `os_type`.
`principal.platform_version`	`principal.platform_version`	Il parser imposta il campo `principal.platform_version` in base ai campi `os` o `osi_version`.
`principal.process.command_line`	`principal.process.command_line`	L'analizzatore imposta il campo `principal.process.command_line` in base al campo `parent_process_cmdline`.
`principal.process.file.full_path`	`principal.process.file.full_path`	L'analizzatore imposta il campo `principal.process.file.full_path` in base ai campi `pid_path`, `file_path`, `parent_process_path` o `process_path`.
`principal.process.file.md5`	`principal.process.file.md5`	Il parser rinomina il campo `file_hash_md5` in `principal.process.file.md5`.
`principal.process.file.sha256`	`principal.process.file.sha256`	L'analizzatore imposta il campo `principal.process.file.sha256` in base ai campi `hash`, `BitdefenderGZMalwareHash` o `file_hash_sha256`.
`principal.process.parent_process.pid`	`principal.process.parent_process.pid`	Il parser rinomina il campo `ppid` in `principal.process.parent_process.pid`.
`principal.process.pid`	`principal.process.pid`	L'analizzatore imposta il campo `principal.process.pid` in base ai campi `pid`, `parent_pid`, `ppid` o `parent_process_pid`.
`principal.resource.id`	`principal.resource.id`	Il parser imposta il campo `principal.resource.id` in base ai campi `hwid` o `source_hwid`.
`principal.url`	`principal.url`	L'analizzatore imposta il campo `principal.url` in base al campo `url`.
`process_command_line`	`target.process.command_line`	Il valore `process_command_line` del log non elaborato viene assegnato a `target.process.command_line`.
`process_path`	`principal.process.file.full_path` o `target.process.file.full_path`	Il valore di `process_path` dal log non elaborato viene assegnato a `principal.process.file.full_path` se `event_name` è "network_connection" o "connection_connect". In caso contrario, viene assegnato a `target.process.file.full_path`.
`product_installed`	`additional.fields.value.string_value`	Il valore di `product_installed` dal log non elaborato viene assegnato come valore a un oggetto `additional.fields` in cui la chiave è "product_installed".
`product_version`	`metadata.product_version`	Il valore `product_version` del log non elaborato viene assegnato a `metadata.product_version`.
`protocol_id`	`network.ip_protocol`	Se `protocol_id` è "6", il parser imposta `network.ip_protocol` su "TCP".
`request`	`target.url`	Il valore `request` del log non elaborato viene assegnato a `target.url`.
`security_result.action`	`security_result.action`	L'analizzatore imposta il campo `security_result.action` in base ai campi `main_action`, `actionTaken`, `status` o `final_status`. Se nessuno di questi campi fornisce un'azione valida, il valore predefinito è "UNKNOWN_ACTION".
`security_result.action_details`	`security_result.action_details`	L'analizzatore imposta il campo `security_result.action_details` in base ai campi `main_action`, `actionTaken`, `status` o `final_status`.
`security_result.category`	`security_result.category`	Il parser imposta il campo `security_result.category` su "PHISHING" se `event_name` è "Antiphishing", su "SOFTWARE_MALICIOUS" se `event_name` è "AntiMalware" o unisce il valore del campo `sec_category`.
`security_result.category_details`	`security_result.category_details`	Il parser imposta il campo `security_result.category_details` in base ai campi `block_type` o `attack_types`.
`security_result.detection_fields`	`security_result.detection_fields`	Il parser crea oggetti `security_result.detection_fields` per vari campi, tra cui "malware_type", "attack_entry", "BitdefenderGZAttCkId", "BitdefenderGZEndpointId", "final_status", "detection attackTechnique" e "computer_name".
`security_result.description`	`security_result.description`	L'analizzatore imposta il campo `security_result.description` in base ai campi `main_action`, `actionTaken` o `final_status`.
`security_result.severity`	`security_result.severity`	Il parser imposta il campo `security_result.severity` in base al valore in maiuscolo del campo `severity`, se non è vuoto e `module` è "new-incident".
`security_result.severity_details`	`security_result.severity_details`	L'analizzatore imposta il campo `security_result.severity_details` in base al campo `severity_score`.
`security_result.threat_name`	`security_result.threat_name`	Il parser imposta il campo `security_result.threat_name` in base ai campi `malware_name` o `detection_name`.
`severity`	`security_result.severity`	Il valore di `severity` dal log non elaborato è in maiuscolo e viene assegnato a `security_result.severity` se non è vuoto e `module` è "new-incident".
`severity_score`	`security_result.severity_details`	Il valore di `severity_score` dal log non elaborato viene convertito in una stringa e assegnato a `security_result.severity_details`.
`source_host`	`observer.ip`	Il valore `source_host` del log non elaborato viene assegnato a `observer.ip`.
`source_hwid`	`principal.resource.id`	Il valore `source_hwid` del log non elaborato viene assegnato a `principal.resource.id`.
`source_ip`	`src.ip`	Il valore `source_ip` del log non elaborato viene assegnato a `src.ip`.
`source_port`	`principal.port`	Il valore di `source_port` dal log non elaborato viene convertito in un numero intero e assegnato a `principal.port`.
`spt`	`principal.port`	Il valore `spt` del log non elaborato viene assegnato a `principal.port`.
`sproc`	`principal.process.command_line`	Il valore `sproc` del log non elaborato viene assegnato a `principal.process.command_line`.
`src`	`principal.ip`	Il valore `src` del log non elaborato viene assegnato a `principal.ip`.
`src.ip`	`src.ip`	L'analizzatore imposta il campo `src.ip` in base al campo `source_ip`.
`src.file.full_path`	`src.file.full_path`	L'analizzatore imposta il campo `src.file.full_path` in base al campo `old_path`.
`status`	`security_result.action_details`	Il valore `status` del log non elaborato viene assegnato a `security_result.action_details`. In base a questo valore, viene impostato il campo `security_result.action` (ad es. "portscan_blocked" e "uc_site_blocked" corrispondono a "BLOCK"). Il campo `security_result.description` viene compilato anche con "status: " seguito dal valore di `status`.
`suid`	`principal.user.userid`	Il valore `suid` del log non elaborato viene assegnato a `principal.user.userid`.
`suser`	`principal.user.user_display_name`	Il valore `suser` del log non elaborato viene assegnato a `principal.user.user_display_name`.
`target.file.full_path`	`target.file.full_path`	Il parser imposta il campo `target.file.full_path` in base ai campi `path` o `new_path`.
`target.hostname`	`target.hostname`	L'analizzatore imposta il campo `target.hostname` in base al campo `hostname`.
`target.ip`	`target.ip`	Il parser imposta il campo `target.ip` in base ai campi `ip_dest` o `destination_ip`.
`target.platform`	`target.platform`	L'analizzatore imposta il campo `target.platform` in base al campo `principal.platform`.
`target.platform_version`	`target.platform_version`	L'analizzatore imposta il campo `target.platform_version` in base al campo `principal.platform_version`.
`target.port`	`target.port`	Il parser imposta il campo `target.port` in base ai campi `port_dest` o `destination_port`.
`target.process.command_line`	`target.process.command_line`	L'analizzatore imposta il campo `target.process.command_line` in base ai campi `command_line`, `process_command_line` o `cmd_line`.
`target.process.file.full_path`	`target.process.file.full_path`	L'analizzatore imposta il campo `target.process.file.full_path` in base al campo `process_path`.
`target.process.pid`	`target.process.pid`	L'analizzatore imposta il campo `target.process.pid` in base al campo `pid`.
`target.registry.registry_key`	`target.registry.registry_key`	L'analizzatore imposta il campo `target.registry.registry_key` in base al campo `key_path`.
`target.registry.registry_value_data`	`target.registry.registry_value_data`	L'analizzatore imposta il campo `target.registry.registry_value_data` in base al campo `data`.
`target.registry.registry_value_name`	`target.registry.registry_value_name`	L'analizzatore imposta il campo `target.registry.registry_value_name` in base al campo `value`.
`target.resource.id`	`target.resource.id`	Il parser imposta il campo `target.resource.id` in base ai campi `hwid` o `BitdefenderGZHwId`.
`target.url`	`target.url`	L'analizzatore imposta il campo `target.url` in base al campo `request`.
`target.user.company_name`	`target.user.company_name`	L'analizzatore imposta il campo `target.user.company_name` in base al campo `companyId`.
`target.user.user_display_name`	`target.user.user_display_name`	Il parser imposta il campo `target.user.user_display_name` in base ai campi `user.name` o `user.userName`.
`target.user.userid`	`target.user.userid`	L'analizzatore imposta il campo `target.user.userid` in base ai campi `user_name`, `user`, `user.id` o `extra_info.user`.
`target_pid`	`target.process.pid`	Il valore `target_pid` del log non elaborato viene assegnato a `target.process.pid`.
`timestamp`	`metadata.event_timestamp`	Il valore di `timestamp` dal log non elaborato viene analizzato e assegnato a `metadata.event_timestamp`.
`uc_type`	`network.application_protocol`	Il valore di `uc_type` dal log non elaborato è in maiuscolo e assegnato a `network.application_protocol`. Se `target_user_userid` non è vuoto, `metadata.event_type` viene impostato su "USER_UNCATEGORIZED". In caso contrario, viene impostato su "STATUS_UPDATE".
`url`	`principal.url`	Il valore di `url` dal log non elaborato viene assegnato a `principal.url` se non è vuoto o "0.0.0.0".
`user`	`target.user.userid`	Il valore `user` del log non elaborato viene assegnato a `target.user.userid`.
`user.id`	`target.user.userid`	Il valore `user.id` del log non elaborato viene assegnato a `target.user.userid`.
`user.name`	`target.user.user_display_name`	Il valore `user.name` del log non elaborato viene assegnato a `target.user.user_display_name`.
`user.userName`	`target.user.user_display_name`	Il valore `user.userName` del log non elaborato viene assegnato a `target.user.user_display_name`.
`user.userSid`	`principal.user.windows_sid`	Il valore `user.userSid` del log non elaborato viene assegnato a `principal.user.windows_sid`.
`user_name`	`target.user.userid`	Il valore `user_name` del log non elaborato viene assegnato a `target.user.userid`.
`value`	`target.registry.registry_value_data` o `target.registry.registry_value_name`	Il valore di `value` dal log non elaborato viene assegnato a `target.registry.registry_value_data` se `event_name` è "reg_delete_value". In caso contrario, viene assegnato a `target.registry.registry_value_name`.

Modifiche

2023-05-02

Log analizzati importati in formato CEF.

2022-09-28

"security_result.action" è stato mappato a "BLOCK" quando "status" è "portscan_blocked" o "uc_site_blocked".
"security_result.action" è stato mappato a "BLOCK" quando "main_action" è "blocked".
"security_result.action" è stato mappato a "BLOCK" quando "actionTaken" è "block".
"security_result.action" è stato mappato a "BLOCK" quando "final_status" è "blocked" o "deleted".
"security_result.action" è stato mappato su "ALLOW" quando "final_status" è "ignored" o "still present".
"security_result.action" è stato mappato a "ALLOW" quando "main_action" è "no action".
"security_result.action" è stato mappato a "QUARANTINE" quando "final_status" è "quarantined".
"security_result.action" è stato mappato a "ALLOW_WITH_MODIFICATION" quando "final_status" è "disinfected" o "restored".

2022-08-17

Miglioramento: mappatura modificata per "source_ip" da "principal.ip" a "srcc.ip".
Imposta "event_type" su "SCAN_NETWORK" quando "module" è uguale a "network-monitor" o "fw".
"user.userSid" è stato mappato a "principal.user.windows_sid".
"user.userName" è stato mappato a "target.user.user_display_name".
"protocol_id" è stato mappato a "network.ip_protocol".
Imposta "security_result.action" su "BLOCK" quando "status" è uguale a "portscan_blocked" o "uc_site_blocked".
"local_port" è stato mappato a "principal.port".
"actionTaken" è stato mappato a "security_result.action".
"detection_attackTechnique" è stato mappato a "security_result.detection_fields".

2022-08-13

Correzione di bug: mappatura modificata per il campo "computer_name" da "principal.asset.hostname" a "event.idm.read_only_udm.principal.resource.attribute.labels".

2022-08-11

Correzione di bug: controlli condizionali modificati per il campo "main_action" mappato a "security_result.action".
È stato mappato "STATUS_UPDATE" a "metadata.event_type" per i log con il modulo "task-status".

2022-04-14

Miglioramento: sono state aggiunte mappature per computer_name, computer_id, uc_type, block_type,status,product_installed.

2022-03-30

Correzione di bug: è stato corretto l'errore del timestamp e sono stati mappati i campi user.id, user.name, companyId, computer_name, computer_fqdn, computer_ip, computer_id, url e categories.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.