Raccogliere i log di Bitdefender
Questo parser estrae i log di Bitdefender in formato CEF o CSV, normalizza i campi per l'UDM ed esegue azioni specifiche in base ai campi event_name
e module. Gestisce vari tipi di eventi, come operazioni sui file, connessioni di rete, creazione di processi e modifiche del registro, mappando le informazioni pertinenti ai campi UDM appropriati e arricchendo i dati con un contesto aggiuntivo dai log non elaborati.
Prima di iniziare
- Assicurati di avere un'istanza Google Security Operations.
- Assicurati di avere un host Windows 2016 o versioni successive o Linux con systemd.
- Se il servizio è in esecuzione dietro un proxy, assicurati che le porte del firewall siano aperte.
- Assicurati di disporre dell'accesso privilegiato a Bitdefender.
Recupera il file di autenticazione di importazione di Google SecOps
- Accedi alla console Google SecOps.
- Vai a Impostazioni SIEM > Agenti di raccolta.
- Scarica il file di autenticazione dell'importazione.
Ottenere l'ID cliente Google SecOps
- Accedi alla console Google SecOps.
- Vai a Impostazioni SIEM > Profilo.
- Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.
Installa BindPlane Agent
- Per l'installazione su Windows, esegui il seguente script:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
- Per l'installazione di Linux, esegui il seguente script:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
- Ulteriori opzioni di installazione sono disponibili in questa guida all'installazione.
Configurare l'agente BindPlane per importare i syslog e inviarli a Google SecOps
- Accedi al computer su cui è installato BindPlane.
Modifica il file
config.yaml
come segue:receivers: tcplog: # Replace the below port <54525> and IP <0.0.0.0> with your specific values listen_address: "0.0.0.0:54525" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the creds location below according the placement of the credentials file you downloaded creds: '{ json file for creds }' # Replace <customer_id> below with your actual ID that you copied customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # You can apply ingestion labels below as preferred ingestion_labels: log_type: SYSLOG namespace: bitdefender raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - tcplog exporters: - chronicle/chronicle_w_labels
Riavvia l'agente BindPlane per applicare le modifiche:
sudo systemctl restart bindplane
Configurare lo streaming Syslog in Bitdefender GravityZone
- Accedi al GravityZone Control Center.
- Vai a Configurazione > Integrazioni > Syslog.
- Fai clic su Aggiungi server Syslog.
- Fornisci i dettagli richiesti:
- Nome: fornisci un nome univoco per il server syslog (ad esempio CentralSyslog).
- Indirizzo IP/nome host: inserisci l'indirizzo IP o il nome host del server Bindplane.
- Protocollo: seleziona il protocollo da utilizzare: TCP / UDP.
- Porta: specifica il numero di porta del server Bindplane.
- Seleziona i tipi di log da trasmettere in streaming (ad esempio Eventi antimalware, Eventi NAD (Network Attack Defense), Eventi di controllo web, Eventi del firewall o Modifiche ai criteri).
- (Facoltativo) Configura i filtri per includere o escludere tipi di eventi specifici.
- Fai clic su Salva.
Tabella di mappatura UDM
Campo log | Mappatura UDM | Logica |
---|---|---|
BitdefenderGZAttackEntry |
security_result.detection_fields.value |
Il valore di BitdefenderGZAttackEntry dal log non elaborato viene assegnato come valore a un oggetto security_result.detection_fields in cui la chiave è "attack_entry". |
BitdefenderGZAttackTypes |
security_result.category_details |
Il valore BitdefenderGZAttackTypes del log non elaborato viene assegnato a security_result.category_details . Il valore viene quindi suddiviso in singole stringhe e ogni stringa viene aggiunta come valore all'array security_result.category_details . |
BitdefenderGZAttCkId |
security_result.detection_fields.value |
Il valore di BitdefenderGZAttCkId dal log non elaborato viene assegnato come valore a un oggetto security_result.detection_fields in cui la chiave è "BitdefenderGZAttCkId". |
BitdefenderGZCompanyId |
target.user.company_name |
Il valore BitdefenderGZCompanyId del log non elaborato viene assegnato a target.user.company_name . |
BitdefenderGZComputerFQDN |
principal.asset.network_domain |
Il valore BitdefenderGZComputerFQDN del log non elaborato viene assegnato a principal.asset.network_domain . |
BitdefenderGZDetectionName |
security_result.threat_name |
Il valore BitdefenderGZDetectionName del log non elaborato viene assegnato a security_result.threat_name . |
BitdefenderGZEndpointId |
security_result.detection_fields.value |
Il valore di BitdefenderGZEndpointId dal log non elaborato viene assegnato come valore a un oggetto security_result.detection_fields in cui la chiave è "BitdefenderGZEndpointId". |
BitdefenderGZIncidentId |
metadata.product_log_id |
Il valore BitdefenderGZIncidentId del log non elaborato viene assegnato a metadata.product_log_id . |
BitdefenderGZMainAction |
security_result.action_details |
Il valore BitdefenderGZMainAction del log non elaborato viene assegnato a security_result.action_details . In base a questo valore, viene impostato il campo security_result.action (ad es. "blocked" corrisponde a "BLOCK"). Il campo security_result.description viene compilato anche con "main_action: " seguito dal valore di BitdefenderGZMainAction . |
BitdefenderGZMalwareHash |
principal.process.file.sha256 |
Il valore BitdefenderGZMalwareHash del log non elaborato viene assegnato a principal.process.file.sha256 . |
BitdefenderGZMalwareName |
security_result.threat_name |
Il valore BitdefenderGZMalwareName del log non elaborato viene assegnato a security_result.threat_name . |
BitdefenderGZMalwareType |
security_result.detection_fields.value |
Il valore di BitdefenderGZMalwareType dal log non elaborato viene assegnato come valore a un oggetto security_result.detection_fields in cui la chiave è "malware_type". |
BitdefenderGZModule |
metadata.product_event_type |
Il valore BitdefenderGZModule del log non elaborato viene assegnato a metadata.product_event_type . |
BitdefenderGZSeverityScore |
security_result.severity_details |
Il valore BitdefenderGZSeverityScore del log non elaborato viene assegnato a security_result.severity_details . |
BitdefenderGZHwId |
target.resource.id |
Il valore BitdefenderGZHwId del log non elaborato viene assegnato a target.resource.id . |
act |
security_result.action_details |
Il valore act del log non elaborato viene assegnato a security_result.action_details . |
actionTaken |
security_result.action_details |
Il valore actionTaken del log non elaborato viene assegnato a security_result.action_details . In base a questo valore, viene impostato il campo security_result.action (ad es. "block" corrisponde a "BLOCK"). Il campo security_result.description viene compilato anche con "actionTaken: " seguito dal valore di actionTaken . |
additional.fields |
additional.fields |
La logica del parser crea una coppia chiave/valore per "product_installed" e la aggiunge all'oggetto additional.fields . |
categories |
principal.asset.category |
Il valore categories del log non elaborato viene assegnato a principal.asset.category . |
cmd_line |
target.process.command_line |
Il valore cmd_line del log non elaborato viene assegnato a target.process.command_line . |
companyId |
target.user.company_name |
Il valore companyId del log non elaborato viene assegnato a target.user.company_name . |
computer_fqdn |
principal.asset.network_domain |
Il valore computer_fqdn del log non elaborato viene assegnato a principal.asset.network_domain . |
computer_id |
principal.asset.asset_id |
Il valore di computer_id dal log non elaborato viene assegnato a principal.asset.asset_id dopo aver anteposto "ComputerId:". |
computer_ip |
principal.asset.ip |
Il valore di computer_ip dal log non elaborato viene analizzato, suddiviso da virgole e ogni indirizzo IP risultante viene aggiunto all'array principal.asset.ip . |
computer_name |
principal.resource.attribute.labels.value |
Il valore di computer_name dal log non elaborato viene assegnato come valore a un oggetto principal.resource.attribute.labels in cui la chiave è "computer_name". Viene aggiunto anche come valore a un oggetto security_result.detection_fields in cui la chiave è "computer_name". |
column1 |
metadata.product_log_id |
Il valore column1 del log non elaborato viene assegnato a metadata.product_log_id . |
column3 |
observer.ip |
Il valore column3 del log non elaborato viene assegnato a observer.ip . |
command_line |
target.process.command_line |
Il valore command_line del log non elaborato viene assegnato a target.process.command_line . |
data |
target.registry.registry_value_data |
Il valore data del log non elaborato viene assegnato a target.registry.registry_value_data . |
detection_attackTechnique |
security_result.detection_fields.value |
Il valore di detection_attackTechnique dal log non elaborato viene assegnato come valore a un oggetto security_result.detection_fields in cui la chiave è "detection attackTechnique". |
detection_name |
security_result.threat_name |
Il valore detection_name del log non elaborato viene assegnato a security_result.threat_name . |
destination_ip |
target.ip |
Il valore destination_ip del log non elaborato viene assegnato a target.ip . |
destination_port |
target.port |
Il valore destination_port del log non elaborato viene assegnato a target.port . |
direction |
network.direction |
Il valore di direction dal log non elaborato è in maiuscolo e assegnato a network.direction . |
dvc |
principal.ip |
Il valore di dvc dal log non elaborato viene analizzato, suddiviso da virgole e ogni indirizzo IP risultante viene aggiunto all'array principal.ip . |
dvchost |
about.hostname |
Il valore dvchost del log non elaborato viene assegnato a about.hostname . |
event_description |
metadata.description |
Il valore event_description del log non elaborato viene assegnato a metadata.description . |
event_name |
metadata.product_event_type |
Il valore event_name del log non elaborato viene assegnato a metadata.product_event_type . Se il valore è "Antiphishing", security_result.category viene impostato su "PHISHING". Se il valore è "AntiMalware", security_result.category viene impostato su "SOFTWARE_MALICIOUS". Il campo metadata.event_type è derivato da event_name utilizzando una serie di istruzioni condizionali all'interno del parser. |
ev |
metadata.product_event_type |
Il valore ev del log non elaborato viene assegnato a metadata.product_event_type . |
extra_info.command_line |
target.process.command_line |
Il valore extra_info.command_line del log non elaborato viene assegnato a target.process.command_line . |
extra_info.parent_pid |
principal.process.pid |
Il valore extra_info.parent_pid del log non elaborato viene assegnato a principal.process.pid . |
extra_info.parent_process_cmdline |
principal.process.command_line |
Il valore extra_info.parent_process_cmdline del log non elaborato viene assegnato a principal.process.command_line . |
extra_info.parent_process_path |
principal.process.file.full_path |
Il valore extra_info.parent_process_path del log non elaborato viene assegnato a principal.process.file.full_path . |
extra_info.pid |
target.process.pid |
Il valore extra_info.pid del log non elaborato viene assegnato a target.process.pid . |
extra_info.process_path |
target.process.file.full_path |
Il valore extra_info.process_path del log non elaborato viene assegnato a target.process.file.full_path . |
extra_info.user |
target.user.userid |
Il valore extra_info.user del log non elaborato viene assegnato a target.user.userid . |
filePath |
principal.process.file.full_path |
Il valore filePath del log non elaborato viene assegnato a principal.process.file.full_path . |
file_path |
principal.process.file.full_path |
Il valore file_path del log non elaborato viene assegnato a principal.process.file.full_path . |
final_status |
security_result.action_details |
Il valore final_status del log non elaborato viene assegnato a security_result.action_details . In base a questo valore, viene impostato il campo security_result.action (ad es. "deleted" corrisponde a "BLOCK", "ignored" a "ALLOW"). Il campo security_result.description viene compilato anche con "final_status: " seguito dal valore di final_status . Se il valore è "deleted" o "blocked", metadata.event_type viene impostato su "SCAN_NETWORK". |
hash |
principal.process.file.sha256 |
Il valore hash del log non elaborato viene assegnato a principal.process.file.sha256 . |
host |
principal.hostname |
Il valore host del log non elaborato viene assegnato a principal.hostname . |
hostname |
principal.hostname |
Il valore di hostname dal log non elaborato viene assegnato a principal.hostname se event_name non è "log_on" o "log_out". In caso contrario, viene assegnato a target.hostname . |
host_name |
principal.hostname |
Il valore host_name del log non elaborato viene assegnato a principal.hostname . |
hwid |
principal.resource.id |
Il valore di hwid dal log non elaborato viene assegnato a principal.resource.id se non è vuoto. Se è vuoto e l'evento non è "log_on" o "log_out", il valore di source_hwid viene assegnato a principal.resource.id . Se l'evento è "log_on" o "log_out", viene assegnato a target.resource.id . |
incident_id |
metadata.product_log_id |
Il valore incident_id del log non elaborato viene assegnato a metadata.product_log_id . |
ip_dest |
target.ip |
Il valore ip_dest del log non elaborato viene assegnato a target.ip . |
ip_source |
principal.ip |
Il valore ip_source del log non elaborato viene assegnato a principal.ip . |
key_path |
target.registry.registry_key |
Il valore key_path del log non elaborato viene assegnato a target.registry.registry_key . |
local_port |
principal.port |
Il valore di local_port dal log non elaborato viene convertito in un numero intero e assegnato a principal.port . |
logon_type |
extensions.auth.mechanism |
Il valore di logon_type dal log non elaborato viene utilizzato per determinare il valore di extensions.auth.mechanism . Valori numerici diversi di logon_type corrispondono a diversi meccanismi di autenticazione (ad es. 2 mappe a "LOCAL", 3 a "NETWORK"). Se non viene trovato alcun logon_type corrispondente, il meccanismo viene impostato su "MECHANISM_UNSPECIFIED". |
lurker_id |
intermediary.resource.id |
Il valore lurker_id del log non elaborato viene assegnato a intermediary.resource.id . |
main_action |
security_result.action_details |
Il valore main_action del log non elaborato viene assegnato a security_result.action_details . In base a questo valore, viene impostato il campo security_result.action (ad es. "blocked" corrisponde a "BLOCK", "no action" a "ALLOW"). Il campo security_result.description viene compilato anche con "main_action: " seguito dal valore di main_action . |
malware_name |
security_result.threat_name |
Il valore malware_name del log non elaborato viene assegnato a security_result.threat_name . |
malware_type |
security_result.detection_fields.value |
Il valore di malware_type dal log non elaborato viene assegnato come valore a un oggetto security_result.detection_fields in cui la chiave è "malware_type". |
metadata.description |
metadata.description |
L'analizzatore imposta il campo metadata.description in base al campo event_name . |
metadata.event_type |
metadata.event_type |
L'analizzatore imposta il campo metadata.event_type in base al campo event_name . |
metadata.product_event_type |
metadata.product_event_type |
Il parser imposta il campo metadata.product_event_type in base ai campi event_name o module . |
metadata.product_log_id |
metadata.product_log_id |
Il parser imposta il campo metadata.product_log_id in base ai campi msg_id o incident_id . |
metadata.product_name |
metadata.product_name |
Il parser imposta metadata.product_name su "BitDefender EDR". |
metadata.product_version |
metadata.product_version |
Il parser rinomina il campo product_version in metadata.product_version . |
metadata.vendor_name |
metadata.vendor_name |
Il parser imposta metadata.vendor_name su "BitDefender". |
module |
metadata.product_event_type |
Il valore module del log non elaborato viene assegnato a metadata.product_event_type . Se il valore è "new-incident" e target_process_file_full_path non è vuoto, metadata.event_type viene impostato su "PROCESS_UNCATEGORIZED". Se il valore è "task-status", metadata.event_type viene impostato su "STATUS_UPDATE". Se il valore è "network-monitor" o "fw", metadata.event_type viene impostato su "SCAN_NETWORK". |
msg_id |
metadata.product_log_id |
Il valore msg_id del log non elaborato viene assegnato a metadata.product_log_id . |
network.application_protocol |
network.application_protocol |
Il valore di uc_type dal log non elaborato è in maiuscolo e assegnato a network.application_protocol . |
network.direction |
network.direction |
L'analizzatore imposta il campo network.direction in base al campo direction . |
network.ip_protocol |
network.ip_protocol |
Se protocol_id è "6", il parser imposta network.ip_protocol su "TCP". |
new_path |
target.file.full_path |
Il valore new_path del log non elaborato viene assegnato a target.file.full_path . |
old_path |
src.file.full_path |
Il valore old_path del log non elaborato viene assegnato a src.file.full_path . |
origin_ip |
intermediary.ip |
Il valore origin_ip del log non elaborato viene assegnato a intermediary.ip . |
os |
principal.platform_version |
Il valore os del log non elaborato viene assegnato a principal.platform_version . Il campo principal.platform è derivato da os (ad es. "Win" corrisponde a "WINDOWS"). Se l'evento è "log_on" o "log_out", i campi principal.platform e principal.platform_version vengono rinominati rispettivamente in target.platform e target.platform_version . |
os_type |
principal.platform |
Il valore di os_type dal log non elaborato viene utilizzato per determinare il valore di principal.platform (ad es. "Win" corrisponde a "WINDOWS"). |
parent_pid |
principal.process.pid |
Il valore parent_pid del log non elaborato viene assegnato a principal.process.pid . |
parent_process_path |
principal.process.file.full_path |
Il valore parent_process_path del log non elaborato viene assegnato a principal.process.file.full_path . |
parent_process_pid |
principal.process.pid |
Il valore parent_process_pid del log non elaborato viene assegnato a principal.process.pid . |
path |
target.file.full_path |
Il valore path del log non elaborato viene assegnato a target.file.full_path . |
pid |
principal.process.pid o target.process.pid |
Il valore di pid dal log non elaborato viene assegnato a principal.process.pid se event_name inizia con "file" o "reg" oppure se è uno dei valori "process_signal", "network_connection" o "connection_connect". In caso contrario, viene assegnato a target.process.pid . |
pid_path |
principal.process.file.full_path |
Il valore pid_path del log non elaborato viene assegnato a principal.process.file.full_path . |
port_dest |
target.port |
Il valore di port_dest dal log non elaborato viene convertito in un numero intero e assegnato a target.port . |
port_source |
principal.port |
Il valore di port_source dal log non elaborato viene convertito in un numero intero e assegnato a principal.port . |
ppid |
principal.process.pid |
Il valore ppid del log non elaborato viene assegnato a principal.process.pid . |
principal.ip |
principal.ip |
Il parser imposta il campo principal.ip in base ai campi ip_source o dvc . |
principal.platform |
principal.platform |
Il parser imposta il campo principal.platform in base ai campi os o os_type . |
principal.platform_version |
principal.platform_version |
Il parser imposta il campo principal.platform_version in base ai campi os o osi_version . |
principal.process.command_line |
principal.process.command_line |
L'analizzatore imposta il campo principal.process.command_line in base al campo parent_process_cmdline . |
principal.process.file.full_path |
principal.process.file.full_path |
L'analizzatore imposta il campo principal.process.file.full_path in base ai campi pid_path , file_path , parent_process_path o process_path . |
principal.process.file.md5 |
principal.process.file.md5 |
Il parser rinomina il campo file_hash_md5 in principal.process.file.md5 . |
principal.process.file.sha256 |
principal.process.file.sha256 |
L'analizzatore imposta il campo principal.process.file.sha256 in base ai campi hash , BitdefenderGZMalwareHash o file_hash_sha256 . |
principal.process.parent_process.pid |
principal.process.parent_process.pid |
Il parser rinomina il campo ppid in principal.process.parent_process.pid . |
principal.process.pid |
principal.process.pid |
L'analizzatore imposta il campo principal.process.pid in base ai campi pid , parent_pid , ppid o parent_process_pid . |
principal.resource.id |
principal.resource.id |
Il parser imposta il campo principal.resource.id in base ai campi hwid o source_hwid . |
principal.url |
principal.url |
L'analizzatore imposta il campo principal.url in base al campo url . |
process_command_line |
target.process.command_line |
Il valore process_command_line del log non elaborato viene assegnato a target.process.command_line . |
process_path |
principal.process.file.full_path o target.process.file.full_path |
Il valore di process_path dal log non elaborato viene assegnato a principal.process.file.full_path se event_name è "network_connection" o "connection_connect". In caso contrario, viene assegnato a target.process.file.full_path . |
product_installed |
additional.fields.value.string_value |
Il valore di product_installed dal log non elaborato viene assegnato come valore a un oggetto additional.fields in cui la chiave è "product_installed". |
product_version |
metadata.product_version |
Il valore product_version del log non elaborato viene assegnato a metadata.product_version . |
protocol_id |
network.ip_protocol |
Se protocol_id è "6", il parser imposta network.ip_protocol su "TCP". |
request |
target.url |
Il valore request del log non elaborato viene assegnato a target.url . |
security_result.action |
security_result.action |
L'analizzatore imposta il campo security_result.action in base ai campi main_action , actionTaken , status o final_status . Se nessuno di questi campi fornisce un'azione valida, il valore predefinito è "UNKNOWN_ACTION". |
security_result.action_details |
security_result.action_details |
L'analizzatore imposta il campo security_result.action_details in base ai campi main_action , actionTaken , status o final_status . |
security_result.category |
security_result.category |
Il parser imposta il campo security_result.category su "PHISHING" se event_name è "Antiphishing", su "SOFTWARE_MALICIOUS" se event_name è "AntiMalware" o unisce il valore del campo sec_category . |
security_result.category_details |
security_result.category_details |
Il parser imposta il campo security_result.category_details in base ai campi block_type o attack_types . |
security_result.detection_fields |
security_result.detection_fields |
Il parser crea oggetti security_result.detection_fields per vari campi, tra cui "malware_type", "attack_entry", "BitdefenderGZAttCkId", "BitdefenderGZEndpointId", "final_status", "detection attackTechnique" e "computer_name". |
security_result.description |
security_result.description |
L'analizzatore imposta il campo security_result.description in base ai campi main_action , actionTaken o final_status . |
security_result.severity |
security_result.severity |
Il parser imposta il campo security_result.severity in base al valore in maiuscolo del campo severity , se non è vuoto e module è "new-incident". |
security_result.severity_details |
security_result.severity_details |
L'analizzatore imposta il campo security_result.severity_details in base al campo severity_score . |
security_result.threat_name |
security_result.threat_name |
Il parser imposta il campo security_result.threat_name in base ai campi malware_name o detection_name . |
severity |
security_result.severity |
Il valore di severity dal log non elaborato è in maiuscolo e viene assegnato a security_result.severity se non è vuoto e module è "new-incident". |
severity_score |
security_result.severity_details |
Il valore di severity_score dal log non elaborato viene convertito in una stringa e assegnato a security_result.severity_details . |
source_host |
observer.ip |
Il valore source_host del log non elaborato viene assegnato a observer.ip . |
source_hwid |
principal.resource.id |
Il valore source_hwid del log non elaborato viene assegnato a principal.resource.id . |
source_ip |
src.ip |
Il valore source_ip del log non elaborato viene assegnato a src.ip . |
source_port |
principal.port |
Il valore di source_port dal log non elaborato viene convertito in un numero intero e assegnato a principal.port . |
spt |
principal.port |
Il valore spt del log non elaborato viene assegnato a principal.port . |
sproc |
principal.process.command_line |
Il valore sproc del log non elaborato viene assegnato a principal.process.command_line . |
src |
principal.ip |
Il valore src del log non elaborato viene assegnato a principal.ip . |
src.ip |
src.ip |
L'analizzatore imposta il campo src.ip in base al campo source_ip . |
src.file.full_path |
src.file.full_path |
L'analizzatore imposta il campo src.file.full_path in base al campo old_path . |
status |
security_result.action_details |
Il valore status del log non elaborato viene assegnato a security_result.action_details . In base a questo valore, viene impostato il campo security_result.action (ad es. "portscan_blocked" e "uc_site_blocked" corrispondono a "BLOCK"). Il campo security_result.description viene compilato anche con "status: " seguito dal valore di status . |
suid |
principal.user.userid |
Il valore suid del log non elaborato viene assegnato a principal.user.userid . |
suser |
principal.user.user_display_name |
Il valore suser del log non elaborato viene assegnato a principal.user.user_display_name . |
target.file.full_path |
target.file.full_path |
Il parser imposta il campo target.file.full_path in base ai campi path o new_path . |
target.hostname |
target.hostname |
L'analizzatore imposta il campo target.hostname in base al campo hostname . |
target.ip |
target.ip |
Il parser imposta il campo target.ip in base ai campi ip_dest o destination_ip . |
target.platform |
target.platform |
L'analizzatore imposta il campo target.platform in base al campo principal.platform . |
target.platform_version |
target.platform_version |
L'analizzatore imposta il campo target.platform_version in base al campo principal.platform_version . |
target.port |
target.port |
Il parser imposta il campo target.port in base ai campi port_dest o destination_port . |
target.process.command_line |
target.process.command_line |
L'analizzatore imposta il campo target.process.command_line in base ai campi command_line , process_command_line o cmd_line . |
target.process.file.full_path |
target.process.file.full_path |
L'analizzatore imposta il campo target.process.file.full_path in base al campo process_path . |
target.process.pid |
target.process.pid |
L'analizzatore imposta il campo target.process.pid in base al campo pid . |
target.registry.registry_key |
target.registry.registry_key |
L'analizzatore imposta il campo target.registry.registry_key in base al campo key_path . |
target.registry.registry_value_data |
target.registry.registry_value_data |
L'analizzatore imposta il campo target.registry.registry_value_data in base al campo data . |
target.registry.registry_value_name |
target.registry.registry_value_name |
L'analizzatore imposta il campo target.registry.registry_value_name in base al campo value . |
target.resource.id |
target.resource.id |
Il parser imposta il campo target.resource.id in base ai campi hwid o BitdefenderGZHwId . |
target.url |
target.url |
L'analizzatore imposta il campo target.url in base al campo request . |
target.user.company_name |
target.user.company_name |
L'analizzatore imposta il campo target.user.company_name in base al campo companyId . |
target.user.user_display_name |
target.user.user_display_name |
Il parser imposta il campo target.user.user_display_name in base ai campi user.name o user.userName . |
target.user.userid |
target.user.userid |
L'analizzatore imposta il campo target.user.userid in base ai campi user_name , user , user.id o extra_info.user . |
target_pid |
target.process.pid |
Il valore target_pid del log non elaborato viene assegnato a target.process.pid . |
timestamp |
metadata.event_timestamp |
Il valore di timestamp dal log non elaborato viene analizzato e assegnato a metadata.event_timestamp . |
uc_type |
network.application_protocol |
Il valore di uc_type dal log non elaborato è in maiuscolo e assegnato a network.application_protocol . Se target_user_userid non è vuoto, metadata.event_type viene impostato su "USER_UNCATEGORIZED". In caso contrario, viene impostato su "STATUS_UPDATE". |
url |
principal.url |
Il valore di url dal log non elaborato viene assegnato a principal.url se non è vuoto o "0.0.0.0". |
user |
target.user.userid |
Il valore user del log non elaborato viene assegnato a target.user.userid . |
user.id |
target.user.userid |
Il valore user.id del log non elaborato viene assegnato a target.user.userid . |
user.name |
target.user.user_display_name |
Il valore user.name del log non elaborato viene assegnato a target.user.user_display_name . |
user.userName |
target.user.user_display_name |
Il valore user.userName del log non elaborato viene assegnato a target.user.user_display_name . |
user.userSid |
principal.user.windows_sid |
Il valore user.userSid del log non elaborato viene assegnato a principal.user.windows_sid . |
user_name |
target.user.userid |
Il valore user_name del log non elaborato viene assegnato a target.user.userid . |
value |
target.registry.registry_value_data o target.registry.registry_value_name |
Il valore di value dal log non elaborato viene assegnato a target.registry.registry_value_data se event_name è "reg_delete_value". In caso contrario, viene assegnato a target.registry.registry_value_name . |
Modifiche
2023-05-02
- Log analizzati importati in formato CEF.
2022-09-28
- "security_result.action" è stato mappato a "BLOCK" quando "status" è "portscan_blocked" o "uc_site_blocked".
- "security_result.action" è stato mappato a "BLOCK" quando "main_action" è "blocked".
- "security_result.action" è stato mappato a "BLOCK" quando "actionTaken" è "block".
- "security_result.action" è stato mappato a "BLOCK" quando "final_status" è "blocked" o "deleted".
- "security_result.action" è stato mappato su "ALLOW" quando "final_status" è "ignored" o "still present".
- "security_result.action" è stato mappato a "ALLOW" quando "main_action" è "no action".
- "security_result.action" è stato mappato a "QUARANTINE" quando "final_status" è "quarantined".
- "security_result.action" è stato mappato a "ALLOW_WITH_MODIFICATION" quando "final_status" è "disinfected" o "restored".
2022-08-17
- Miglioramento: mappatura modificata per "source_ip" da "principal.ip" a "srcc.ip".
- Imposta "event_type" su "SCAN_NETWORK" quando "module" è uguale a "network-monitor" o "fw".
- "user.userSid" è stato mappato a "principal.user.windows_sid".
- "user.userName" è stato mappato a "target.user.user_display_name".
- "protocol_id" è stato mappato a "network.ip_protocol".
- Imposta "security_result.action" su "BLOCK" quando "status" è uguale a "portscan_blocked" o "uc_site_blocked".
- "local_port" è stato mappato a "principal.port".
- "actionTaken" è stato mappato a "security_result.action".
- "detection_attackTechnique" è stato mappato a "security_result.detection_fields".
2022-08-13
- Correzione di bug: mappatura modificata per il campo "computer_name" da "principal.asset.hostname" a "event.idm.read_only_udm.principal.resource.attribute.labels".
2022-08-11
- Correzione di bug: controlli condizionali modificati per il campo "main_action" mappato a "security_result.action".
- È stato mappato "STATUS_UPDATE" a "metadata.event_type" per i log con il modulo "task-status".
2022-04-14
- Miglioramento: sono state aggiunte mappature per computer_name, computer_id, uc_type, block_type,status,product_installed.
2022-03-30
- Correzione di bug: è stato corretto l'errore del timestamp e sono stati mappati i campi user.id, user.name, companyId, computer_name, computer_fqdn, computer_ip, computer_id, url e categories.