このページは Cloud Translation API によって翻訳されました。

Bitdefender ログを収集する

以下でサポートされています。

Google SecOpsSIEM

このパーサーは、Bitdefender ログを CEF 形式または CSV 形式で抽出し、フィールドを UDM に正規化し、event_name フィールドと module フィールドに基づいて特定のアクションを実行します。ファイル操作、ネットワーク接続、プロセスの作成、レジストリの変更など、さまざまなイベントタイプを処理し、関連情報を適切な UDM フィールドにマッピングし、未加工ログの追加コンテキストでデータを拡充します。

始める前に

Google Security Operations インスタンスがあることを確認します。
systemd を搭載した Windows 2016 以降または Linux ホストがあることを確認します。
プロキシの背後で実行している場合は、ファイアウォールのポートが開いていることを確認します。
Bitdefender への特権アクセス権があることを確認します。

Google SecOps 取り込み認証ファイルを取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [収集エージェント] に移動します。
取り込み認証ファイルをダウンロードします。

Google SecOps のお客様 ID を取得する

Google SecOps コンソールにログインします。
[SIEM 設定] > [プロファイル] に移動します。
[組織の詳細] セクションから [お客様 ID] をコピーして保存します。

BindPlane Agent をインストールする

Windows へのインストールの場合は、次のスクリプトを実行します。
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux へのインストールの場合は、次のスクリプトを実行します。
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
その他のインストールオプションについては、こちらのインストールガイドをご覧ください。

Syslog を取り込んで Google SecOps に送信するように BindPlane エージェントを構成する

BindPlane がインストールされているマシンにアクセスします。

config.yaml ファイルを次のように編集します。

receivers:
    tcplog:
        # Replace the below port <54525> and IP <0.0.0.0> with your specific values
        listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: bitdefender
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

BindPlane エージェントを再起動して変更を適用します。
```
sudo systemctl restart bindplane
```

Bitdefender GravityZone で Syslog ストリーミングを構成する

GravityZone コントロールセンターにログインします。
[設定] > [統合] > [Syslog] に移動します。
[Add Syslog Server] をクリックします。
必要な情報を入力します。
- 名前: syslog サーバーの一意の名前を指定します（例: CentralSyslog）。
- IP Address/Hostname: Bindplane サーバーの IP アドレスまたはホスト名を入力します。
- プロトコル: 使用するプロトコル（TCP / UDP）を選択します。
- ポート: Bindplane サーバーのポート番号を指定します。
- ストリーミングするログタイプを選択します（マルウェア対策イベント、ネットワーク攻撃防御（NAD）イベント、ウェブ制御イベント、ファイアウォールイベント、ポリシー変更など）。
- 省略可: 特定のイベントタイプを含めるか除外するかを指定するためのフィルタを設定します。
[保存] をクリックします。

UDM マッピングテーブル

ログフィールド	UDM マッピング	ロジック
`BitdefenderGZAttackEntry`	`security_result.detection_fields.value`	未加工ログの `BitdefenderGZAttackEntry` の値が、キーが「attack_entry」の `security_result.detection_fields` オブジェクトに値として割り当てられます。
`BitdefenderGZAttackTypes`	`security_result.category_details`	未加工ログの `BitdefenderGZAttackTypes` の値が `security_result.category_details` に割り当てられます。値は個々の文字列に分割され、各文字列が値として `security_result.category_details` 配列に追加されます。
`BitdefenderGZAttCkId`	`security_result.detection_fields.value`	未加工ログの `BitdefenderGZAttCkId` の値が、キーが「BitdefenderGZAttCkId」の `security_result.detection_fields` オブジェクトに値として割り当てられます。
`BitdefenderGZCompanyId`	`target.user.company_name`	未加工ログの `BitdefenderGZCompanyId` の値が `target.user.company_name` に割り当てられます。
`BitdefenderGZComputerFQDN`	`principal.asset.network_domain`	未加工ログの `BitdefenderGZComputerFQDN` の値が `principal.asset.network_domain` に割り当てられます。
`BitdefenderGZDetectionName`	`security_result.threat_name`	未加工ログの `BitdefenderGZDetectionName` の値が `security_result.threat_name` に割り当てられます。
`BitdefenderGZEndpointId`	`security_result.detection_fields.value`	元のログの `BitdefenderGZEndpointId` の値が、キーが「BitdefenderGZEndpointId」の `security_result.detection_fields` オブジェクトに値として割り当てられます。
`BitdefenderGZIncidentId`	`metadata.product_log_id`	未加工ログの `BitdefenderGZIncidentId` の値が `metadata.product_log_id` に割り当てられます。
`BitdefenderGZMainAction`	`security_result.action_details`	未加工ログの `BitdefenderGZMainAction` の値が `security_result.action_details` に割り当てられます。この値に基づいて、`security_result.action` フィールドが設定されます（例: 「blocked」は「BLOCK」にマッピングされます）。`security_result.description` フィールドには、「main_action:」と `BitdefenderGZMainAction` の値も設定されます。
`BitdefenderGZMalwareHash`	`principal.process.file.sha256`	未加工ログの `BitdefenderGZMalwareHash` の値が `principal.process.file.sha256` に割り当てられます。
`BitdefenderGZMalwareName`	`security_result.threat_name`	未加工ログの `BitdefenderGZMalwareName` の値が `security_result.threat_name` に割り当てられます。
`BitdefenderGZMalwareType`	`security_result.detection_fields.value`	元のログの `BitdefenderGZMalwareType` の値が、キーが「malware_type」の `security_result.detection_fields` オブジェクトに値として割り当てられます。
`BitdefenderGZModule`	`metadata.product_event_type`	未加工ログの `BitdefenderGZModule` の値が `metadata.product_event_type` に割り当てられます。
`BitdefenderGZSeverityScore`	`security_result.severity_details`	未加工ログの `BitdefenderGZSeverityScore` の値が `security_result.severity_details` に割り当てられます。
`BitdefenderGZHwId`	`target.resource.id`	未加工ログの `BitdefenderGZHwId` の値が `target.resource.id` に割り当てられます。
`act`	`security_result.action_details`	未加工ログの `act` の値が `security_result.action_details` に割り当てられます。
`actionTaken`	`security_result.action_details`	未加工ログの `actionTaken` の値が `security_result.action_details` に割り当てられます。この値に基づいて、`security_result.action` フィールドが設定されます（例: 「block」は「BLOCK」にマッピングされます）。`security_result.description` フィールドには、「actionTaken:」の後に `actionTaken` の値が設定されます。
`additional.fields`	`additional.fields`	パーサーロジックは、「product_installed」の Key-Value ペアを作成し、`additional.fields` オブジェクトに追加します。
`categories`	`principal.asset.category`	未加工ログの `categories` の値が `principal.asset.category` に割り当てられます。
`cmd_line`	`target.process.command_line`	未加工ログの `cmd_line` の値が `target.process.command_line` に割り当てられます。
`companyId`	`target.user.company_name`	未加工ログの `companyId` の値が `target.user.company_name` に割り当てられます。
`computer_fqdn`	`principal.asset.network_domain`	未加工ログの `computer_fqdn` の値が `principal.asset.network_domain` に割り当てられます。
`computer_id`	`principal.asset.asset_id`	未加工ログの `computer_id` の値は、「ComputerId:」を接頭辞として追加した後、`principal.asset.asset_id` に割り当てられます。
`computer_ip`	`principal.asset.ip`	未加工ログの `computer_ip` の値が解析され、カンマで分割され、結果の各 IP アドレスが `principal.asset.ip` 配列に追加されます。
`computer_name`	`principal.resource.attribute.labels.value`	元のログの `computer_name` の値は、キーが「computer_name」の `principal.resource.attribute.labels` オブジェクトに値として割り当てられます。また、キーが「computer_name」の `security_result.detection_fields` オブジェクトに値として追加されます。
`column1`	`metadata.product_log_id`	未加工ログの `column1` の値が `metadata.product_log_id` に割り当てられます。
`column3`	`observer.ip`	未加工ログの `column3` の値が `observer.ip` に割り当てられます。
`command_line`	`target.process.command_line`	未加工ログの `command_line` の値が `target.process.command_line` に割り当てられます。
`data`	`target.registry.registry_value_data`	未加工ログの `data` の値が `target.registry.registry_value_data` に割り当てられます。
`detection_attackTechnique`	`security_result.detection_fields.value`	未加工ログの `detection_attackTechnique` の値が、キーが「detection attackTechnique」の `security_result.detection_fields` オブジェクトに値として割り当てられます。
`detection_name`	`security_result.threat_name`	未加工ログの `detection_name` の値が `security_result.threat_name` に割り当てられます。
`destination_ip`	`target.ip`	未加工ログの `destination_ip` の値が `target.ip` に割り当てられます。
`destination_port`	`target.port`	未加工ログの `destination_port` の値が `target.port` に割り当てられます。
`direction`	`network.direction`	未加工ログの `direction` の値は大文字に変換され、`network.direction` に割り当てられます。
`dvc`	`principal.ip`	未加工ログの `dvc` の値が解析され、カンマで分割され、結果の各 IP アドレスが `principal.ip` 配列に追加されます。
`dvchost`	`about.hostname`	未加工ログの `dvchost` の値が `about.hostname` に割り当てられます。
`event_description`	`metadata.description`	未加工ログの `event_description` の値が `metadata.description` に割り当てられます。
`event_name`	`metadata.product_event_type`	未加工ログの `event_name` の値が `metadata.product_event_type` に割り当てられます。値が「Antiphishing」の場合、`security_result.category` は「PHISHING」に設定されます。値が「AntiMalware」の場合、`security_result.category` は「SOFTWARE_MALICIOUS」に設定されます。`metadata.event_type` フィールドは、パーサー内の一連の条件文を使用して `event_name` から派生します。
`ev`	`metadata.product_event_type`	未加工ログの `ev` の値が `metadata.product_event_type` に割り当てられます。
`extra_info.command_line`	`target.process.command_line`	未加工ログの `extra_info.command_line` の値が `target.process.command_line` に割り当てられます。
`extra_info.parent_pid`	`principal.process.pid`	未加工ログの `extra_info.parent_pid` の値が `principal.process.pid` に割り当てられます。
`extra_info.parent_process_cmdline`	`principal.process.command_line`	未加工ログの `extra_info.parent_process_cmdline` の値が `principal.process.command_line` に割り当てられます。
`extra_info.parent_process_path`	`principal.process.file.full_path`	未加工ログの `extra_info.parent_process_path` の値が `principal.process.file.full_path` に割り当てられます。
`extra_info.pid`	`target.process.pid`	未加工ログの `extra_info.pid` の値が `target.process.pid` に割り当てられます。
`extra_info.process_path`	`target.process.file.full_path`	未加工ログの `extra_info.process_path` の値が `target.process.file.full_path` に割り当てられます。
`extra_info.user`	`target.user.userid`	未加工ログの `extra_info.user` の値が `target.user.userid` に割り当てられます。
`filePath`	`principal.process.file.full_path`	未加工ログの `filePath` の値が `principal.process.file.full_path` に割り当てられます。
`file_path`	`principal.process.file.full_path`	未加工ログの `file_path` の値が `principal.process.file.full_path` に割り当てられます。
`final_status`	`security_result.action_details`	未加工ログの `final_status` の値が `security_result.action_details` に割り当てられます。この値に基づいて、`security_result.action` フィールドが設定されます（例: 「deleted」は「BLOCK」にマッピングされ、「ignored」は「ALLOW」にマッピングされます）。`security_result.description` フィールドには、「final_status:」の後に `final_status` の値が挿入されます。値が「deleted」または「blocked」の場合、`metadata.event_type` は「SCAN_NETWORK」に設定されます。
`hash`	`principal.process.file.sha256`	未加工ログの `hash` の値が `principal.process.file.sha256` に割り当てられます。
`host`	`principal.hostname`	未加工ログの `host` の値が `principal.hostname` に割り当てられます。
`hostname`	`principal.hostname`	`event_name` が「log_on」または「log_out」でない場合、元のログの `hostname` の値は `principal.hostname` に割り当てられます。それ以外の場合は `target.hostname` に割り当てられます。
`host_name`	`principal.hostname`	未加工ログの `host_name` の値が `principal.hostname` に割り当てられます。
`hwid`	`principal.resource.id`	未加工ログの `hwid` の値が空でない場合、`principal.resource.id` に割り当てられます。空で、イベントが「log_on」または「log_out」でない場合、`source_hwid` の値が `principal.resource.id` に割り当てられます。イベントが「log_on」または「log_out」の場合は、`target.resource.id` に割り当てられます。
`incident_id`	`metadata.product_log_id`	未加工ログの `incident_id` の値が `metadata.product_log_id` に割り当てられます。
`ip_dest`	`target.ip`	未加工ログの `ip_dest` の値が `target.ip` に割り当てられます。
`ip_source`	`principal.ip`	未加工ログの `ip_source` の値が `principal.ip` に割り当てられます。
`key_path`	`target.registry.registry_key`	未加工ログの `key_path` の値が `target.registry.registry_key` に割り当てられます。
`local_port`	`principal.port`	未加工ログの `local_port` の値が整数に変換され、`principal.port` に割り当てられます。
`logon_type`	`extensions.auth.mechanism`	`extensions.auth.mechanism` の値を決定するために、未加工ログの `logon_type` の値が使用されます。`logon_type` の数値が異なると、異なる認証メカニズムにマッピングされます（2 つは「ローカル」、3 つは「ネットワーク」にマッピングされます）。一致する `logon_type` が見つからない場合、メカニズムは「MECHANISM_UNSPECIFIED」に設定されます。
`lurker_id`	`intermediary.resource.id`	未加工ログの `lurker_id` の値が `intermediary.resource.id` に割り当てられます。
`main_action`	`security_result.action_details`	未加工ログの `main_action` の値が `security_result.action_details` に割り当てられます。この値に基づいて、`security_result.action` フィールドが設定されます（例: 「blocked」は「BLOCK」に、「no action」は「ALLOW」にマッピングされます）。`security_result.description` フィールドには、「main_action:」と `main_action` の値も設定されます。
`malware_name`	`security_result.threat_name`	未加工ログの `malware_name` の値が `security_result.threat_name` に割り当てられます。
`malware_type`	`security_result.detection_fields.value`	元のログの `malware_type` の値が、キーが「malware_type」の `security_result.detection_fields` オブジェクトに値として割り当てられます。
`metadata.description`	`metadata.description`	パーサーは、`event_name` フィールドに基づいて `metadata.description` フィールドを設定します。
`metadata.event_type`	`metadata.event_type`	パーサーは、`event_name` フィールドに基づいて `metadata.event_type` フィールドを設定します。
`metadata.product_event_type`	`metadata.product_event_type`	パーサーは、`event_name` フィールドまたは `module` フィールドに基づいて `metadata.product_event_type` フィールドを設定します。
`metadata.product_log_id`	`metadata.product_log_id`	パーサーは、`msg_id` フィールドまたは `incident_id` フィールドに基づいて `metadata.product_log_id` フィールドを設定します。
`metadata.product_name`	`metadata.product_name`	パーサーは `metadata.product_name` を「BitDefender EDR」に設定します。
`metadata.product_version`	`metadata.product_version`	パーサーは `product_version` フィールドの名前を `metadata.product_version` に変更します。
`metadata.vendor_name`	`metadata.vendor_name`	パーサーは `metadata.vendor_name` を「BitDefender」に設定します。
`module`	`metadata.product_event_type`	未加工ログの `module` の値が `metadata.product_event_type` に割り当てられます。値が「new-incident」で、`target_process_file_full_path` が空でない場合、`metadata.event_type` は「PROCESS_UNCATEGORIZED」に設定されます。値が「task-status」の場合、`metadata.event_type` は「STATUS_UPDATE」に設定されます。値が「network-monitor」または「fw」の場合、`metadata.event_type` は「SCAN_NETWORK」に設定されます。
`msg_id`	`metadata.product_log_id`	未加工ログの `msg_id` の値が `metadata.product_log_id` に割り当てられます。
`network.application_protocol`	`network.application_protocol`	未加工ログの `uc_type` の値は大文字に変換され、`network.application_protocol` に割り当てられます。
`network.direction`	`network.direction`	パーサーは、`direction` フィールドに基づいて `network.direction` フィールドを設定します。
`network.ip_protocol`	`network.ip_protocol`	`protocol_id` が「6」の場合、パーサーは `network.ip_protocol` を「TCP」に設定します。
`new_path`	`target.file.full_path`	未加工ログの `new_path` の値が `target.file.full_path` に割り当てられます。
`old_path`	`src.file.full_path`	未加工ログの `old_path` の値が `src.file.full_path` に割り当てられます。
`origin_ip`	`intermediary.ip`	未加工ログの `origin_ip` の値が `intermediary.ip` に割り当てられます。
`os`	`principal.platform_version`	未加工ログの `os` の値が `principal.platform_version` に割り当てられます。`principal.platform` フィールドは `os` から派生します（例: 「Win」は「WINDOWS」にマッピングされます）。イベントが「log_on」または「log_out」の場合、`principal.platform` フィールドと `principal.platform_version` フィールドの名前はそれぞれ `target.platform` と `target.platform_version` に変更されます。
`os_type`	`principal.platform`	`principal.platform` の値を決定するために、元のログの `os_type` の値が使用されます（例: 「Win」は「WINDOWS」にマッピングされます）。
`parent_pid`	`principal.process.pid`	未加工ログの `parent_pid` の値が `principal.process.pid` に割り当てられます。
`parent_process_path`	`principal.process.file.full_path`	未加工ログの `parent_process_path` の値が `principal.process.file.full_path` に割り当てられます。
`parent_process_pid`	`principal.process.pid`	未加工ログの `parent_process_pid` の値が `principal.process.pid` に割り当てられます。
`path`	`target.file.full_path`	未加工ログの `path` の値が `target.file.full_path` に割り当てられます。
`pid`	`principal.process.pid` または `target.process.pid`	`event_name` が「file」または「reg」で始まる場合、または「process_signal」、「network_connection」、「connection_connect」のいずれかである場合、元のログの `pid` の値は `principal.process.pid` に割り当てられます。それ以外の場合は `target.process.pid` に割り当てられます。
`pid_path`	`principal.process.file.full_path`	未加工ログの `pid_path` の値が `principal.process.file.full_path` に割り当てられます。
`port_dest`	`target.port`	未加工ログの `port_dest` の値が整数に変換され、`target.port` に割り当てられます。
`port_source`	`principal.port`	未加工ログの `port_source` の値が整数に変換され、`principal.port` に割り当てられます。
`ppid`	`principal.process.pid`	未加工ログの `ppid` の値が `principal.process.pid` に割り当てられます。
`principal.ip`	`principal.ip`	パーサーは、`ip_source` フィールドまたは `dvc` フィールドに基づいて `principal.ip` フィールドを設定します。
`principal.platform`	`principal.platform`	パーサーは、`os` フィールドまたは `os_type` フィールドに基づいて `principal.platform` フィールドを設定します。
`principal.platform_version`	`principal.platform_version`	パーサーは、`os` フィールドまたは `osi_version` フィールドに基づいて `principal.platform_version` フィールドを設定します。
`principal.process.command_line`	`principal.process.command_line`	パーサーは、`parent_process_cmdline` フィールドに基づいて `principal.process.command_line` フィールドを設定します。
`principal.process.file.full_path`	`principal.process.file.full_path`	パーサーは、`pid_path`、`file_path`、`parent_process_path`、または `process_path` フィールドに基づいて `principal.process.file.full_path` フィールドを設定します。
`principal.process.file.md5`	`principal.process.file.md5`	パーサーは `file_hash_md5` フィールドの名前を `principal.process.file.md5` に変更します。
`principal.process.file.sha256`	`principal.process.file.sha256`	パーサーは、`hash`、`BitdefenderGZMalwareHash`、または `file_hash_sha256` フィールドに基づいて `principal.process.file.sha256` フィールドを設定します。
`principal.process.parent_process.pid`	`principal.process.parent_process.pid`	パーサーは `ppid` フィールドの名前を `principal.process.parent_process.pid` に変更します。
`principal.process.pid`	`principal.process.pid`	パーサーは、`pid`、`parent_pid`、`ppid`、または `parent_process_pid` フィールドに基づいて `principal.process.pid` フィールドを設定します。
`principal.resource.id`	`principal.resource.id`	パーサーは、`hwid` フィールドまたは `source_hwid` フィールドに基づいて `principal.resource.id` フィールドを設定します。
`principal.url`	`principal.url`	パーサーは、`url` フィールドに基づいて `principal.url` フィールドを設定します。
`process_command_line`	`target.process.command_line`	未加工ログの `process_command_line` の値が `target.process.command_line` に割り当てられます。
`process_path`	`principal.process.file.full_path` または `target.process.file.full_path`	`event_name` が「network_connection」または「connection_connect」の場合、元のログの `process_path` の値が `principal.process.file.full_path` に割り当てられます。それ以外の場合は `target.process.file.full_path` に割り当てられます。
`product_installed`	`additional.fields.value.string_value`	未加工ログの `product_installed` の値が、キーが「product_installed」の `additional.fields` オブジェクトに値として割り当てられます。
`product_version`	`metadata.product_version`	未加工ログの `product_version` の値が `metadata.product_version` に割り当てられます。
`protocol_id`	`network.ip_protocol`	`protocol_id` が「6」の場合、パーサーは `network.ip_protocol` を「TCP」に設定します。
`request`	`target.url`	未加工ログの `request` の値が `target.url` に割り当てられます。
`security_result.action`	`security_result.action`	パーサーは、`main_action`、`actionTaken`、`status`、または `final_status` フィールドに基づいて `security_result.action` フィールドを設定します。これらのフィールドのいずれにも有効なアクションが指定されていない場合、デフォルトは「UNKNOWN_ACTION」になります。
`security_result.action_details`	`security_result.action_details`	パーサーは、`main_action`、`actionTaken`、`status`、または `final_status` フィールドに基づいて `security_result.action_details` フィールドを設定します。
`security_result.category`	`security_result.category`	パーサーは、`event_name` が「Antiphishing」の場合は `security_result.category` フィールドを「PHISHING」に、`event_name` が「AntiMalware」の場合は「SOFTWARE_MALICIOUS」に設定するか、`sec_category` フィールドの値をマージします。
`security_result.category_details`	`security_result.category_details`	パーサーは、`block_type` フィールドまたは `attack_types` フィールドに基づいて `security_result.category_details` フィールドを設定します。
`security_result.detection_fields`	`security_result.detection_fields`	パーサーは、「malware_type」、「attack_entry」、「BitdefenderGZAttCkId」、「BitdefenderGZEndpointId」、「final_status」、「detection attackTechnique」、「computer_name」など、さまざまなフィールドの `security_result.detection_fields` オブジェクトを作成します。
`security_result.description`	`security_result.description`	パーサーは、`main_action`、`actionTaken`、または `final_status` フィールドに基づいて `security_result.description` フィールドを設定します。
`security_result.severity`	`security_result.severity`	パーサーは、`severity` フィールドが空ではなく、`module` が「new-incident」の場合、`severity` フィールドの大文字の値に基づいて `security_result.severity` フィールドを設定します。
`security_result.severity_details`	`security_result.severity_details`	パーサーは、`severity_score` フィールドに基づいて `security_result.severity_details` フィールドを設定します。
`security_result.threat_name`	`security_result.threat_name`	パーサーは、`malware_name` フィールドまたは `detection_name` フィールドに基づいて `security_result.threat_name` フィールドを設定します。
`severity`	`security_result.severity`	未加工ログの `severity` の値は、空でない場合と `module` が「new-incident」の場合に大文字に変換され、`security_result.severity` に割り当てられます。
`severity_score`	`security_result.severity_details`	未加工ログの `severity_score` の値が文字列に変換され、`security_result.severity_details` に割り当てられます。
`source_host`	`observer.ip`	未加工ログの `source_host` の値が `observer.ip` に割り当てられます。
`source_hwid`	`principal.resource.id`	未加工ログの `source_hwid` の値が `principal.resource.id` に割り当てられます。
`source_ip`	`src.ip`	未加工ログの `source_ip` の値が `src.ip` に割り当てられます。
`source_port`	`principal.port`	未加工ログの `source_port` の値が整数に変換され、`principal.port` に割り当てられます。
`spt`	`principal.port`	未加工ログの `spt` の値が `principal.port` に割り当てられます。
`sproc`	`principal.process.command_line`	未加工ログの `sproc` の値が `principal.process.command_line` に割り当てられます。
`src`	`principal.ip`	未加工ログの `src` の値が `principal.ip` に割り当てられます。
`src.ip`	`src.ip`	パーサーは、`source_ip` フィールドに基づいて `src.ip` フィールドを設定します。
`src.file.full_path`	`src.file.full_path`	パーサーは、`old_path` フィールドに基づいて `src.file.full_path` フィールドを設定します。
`status`	`security_result.action_details`	未加工ログの `status` の値が `security_result.action_details` に割り当てられます。この値に基づいて、`security_result.action` フィールドが設定されます（例: 「portscan_blocked」と「uc_site_blocked」は「BLOCK」にマッピングされます）。`security_result.description` フィールドには、「status:」の後に `status` の値が設定されます。
`suid`	`principal.user.userid`	未加工ログの `suid` の値が `principal.user.userid` に割り当てられます。
`suser`	`principal.user.user_display_name`	未加工ログの `suser` の値が `principal.user.user_display_name` に割り当てられます。
`target.file.full_path`	`target.file.full_path`	パーサーは、`path` フィールドまたは `new_path` フィールドに基づいて `target.file.full_path` フィールドを設定します。
`target.hostname`	`target.hostname`	パーサーは、`hostname` フィールドに基づいて `target.hostname` フィールドを設定します。
`target.ip`	`target.ip`	パーサーは、`ip_dest` フィールドまたは `destination_ip` フィールドに基づいて `target.ip` フィールドを設定します。
`target.platform`	`target.platform`	パーサーは、`principal.platform` フィールドに基づいて `target.platform` フィールドを設定します。
`target.platform_version`	`target.platform_version`	パーサーは、`principal.platform_version` フィールドに基づいて `target.platform_version` フィールドを設定します。
`target.port`	`target.port`	パーサーは、`port_dest` フィールドまたは `destination_port` フィールドに基づいて `target.port` フィールドを設定します。
`target.process.command_line`	`target.process.command_line`	パーサーは、`command_line`、`process_command_line`、または `cmd_line` フィールドに基づいて `target.process.command_line` フィールドを設定します。
`target.process.file.full_path`	`target.process.file.full_path`	パーサーは、`process_path` フィールドに基づいて `target.process.file.full_path` フィールドを設定します。
`target.process.pid`	`target.process.pid`	パーサーは、`pid` フィールドに基づいて `target.process.pid` フィールドを設定します。
`target.registry.registry_key`	`target.registry.registry_key`	パーサーは、`key_path` フィールドに基づいて `target.registry.registry_key` フィールドを設定します。
`target.registry.registry_value_data`	`target.registry.registry_value_data`	パーサーは、`data` フィールドに基づいて `target.registry.registry_value_data` フィールドを設定します。
`target.registry.registry_value_name`	`target.registry.registry_value_name`	パーサーは、`value` フィールドに基づいて `target.registry.registry_value_name` フィールドを設定します。
`target.resource.id`	`target.resource.id`	パーサーは、`hwid` フィールドまたは `BitdefenderGZHwId` フィールドに基づいて `target.resource.id` フィールドを設定します。
`target.url`	`target.url`	パーサーは、`request` フィールドに基づいて `target.url` フィールドを設定します。
`target.user.company_name`	`target.user.company_name`	パーサーは、`companyId` フィールドに基づいて `target.user.company_name` フィールドを設定します。
`target.user.user_display_name`	`target.user.user_display_name`	パーサーは、`user.name` フィールドまたは `user.userName` フィールドに基づいて `target.user.user_display_name` フィールドを設定します。
`target.user.userid`	`target.user.userid`	パーサーは、`user_name`、`user`、`user.id`、または `extra_info.user` フィールドに基づいて `target.user.userid` フィールドを設定します。
`target_pid`	`target.process.pid`	未加工ログの `target_pid` の値が `target.process.pid` に割り当てられます。
`timestamp`	`metadata.event_timestamp`	未加工ログの `timestamp` の値が解析され、`metadata.event_timestamp` に割り当てられます。
`uc_type`	`network.application_protocol`	未加工ログの `uc_type` の値は大文字に変換され、`network.application_protocol` に割り当てられます。`target_user_userid` が空でない場合、`metadata.event_type` は「USER_UNCATEGORIZED」に設定されます。それ以外の場合は、「STATUS_UPDATE」に設定されます。
`url`	`principal.url`	未加工ログの `url` の値が空でないか「0.0.0.0」でない場合、その値が `principal.url` に割り当てられます。
`user`	`target.user.userid`	未加工ログの `user` の値が `target.user.userid` に割り当てられます。
`user.id`	`target.user.userid`	未加工ログの `user.id` の値が `target.user.userid` に割り当てられます。
`user.name`	`target.user.user_display_name`	未加工ログの `user.name` の値が `target.user.user_display_name` に割り当てられます。
`user.userName`	`target.user.user_display_name`	未加工ログの `user.userName` の値が `target.user.user_display_name` に割り当てられます。
`user.userSid`	`principal.user.windows_sid`	未加工ログの `user.userSid` の値が `principal.user.windows_sid` に割り当てられます。
`user_name`	`target.user.userid`	未加工ログの `user_name` の値が `target.user.userid` に割り当てられます。
`value`	`target.registry.registry_value_data` または `target.registry.registry_value_name`	`event_name` が「reg_delete_value」の場合、未加工ログの `value` の値が `target.registry.registry_value_data` に割り当てられます。それ以外の場合は `target.registry.registry_value_name` に割り当てられます。

変更点

2023-05-02

CEF 形式で取り込まれた解析済みログ。

2022-09-28

「status」が「portscan_blocked」または「uc_site_blocked」の場合、「security_result.action」を「BLOCK」にマッピングしました。
「main_action」が「blocked」の場合に、「security_result.action」を「BLOCK」にマッピングしました。
「actionTaken」が「block」の場合に、「security_result.action」を「BLOCK」にマッピングしました。
「final_status」が「blocked」または「deleted」の場合、「security_result.action」を「BLOCK」にマッピングしました。
「final_status」が「ignored」または「still present」の場合、「security_result.action」を「ALLOW」にマッピングしました。
「main_action」が「no action」の場合、「security_result.action」を「ALLOW」にマッピングしました。
「final_status」が「quarantined」の場合、「security_result.action」を「QUARANTINE」にマッピングしました。
「final_status」が「disinfected」または「restored」の場合、「security_result.action」を「ALLOW_WITH_MODIFICATION」にマッピングしました。

2022-08-17

機能拡張 - 「source_ip」のマッピングを「principal.ip」から「srcc.ip」に変更しました。
「module」が「network-monitor」または「fw」の場合、「event_type」を「SCAN_NETWORK」に設定しました。
「user.userSid」を「principal.user.windows_sid」にマッピングしました。
「user.userName」を「target.user.user_display_name」にマッピングしました。
「protocol_id」を「network.ip_protocol」にマッピングしました。
「status」が「portscan_blocked」または「uc_site_blocked」の場合、「security_result.action」を「BLOCK」に設定します。
「local_port」を「principal.port」にマッピングしました。
「actionTaken」を「security_result.action」にマッピングしました。
「detection_attackTechnique」を「security_result.detection_fields」にマッピングしました。

2022-08-13

バグの修正 - フィールド「computer_name」のマッピングを「principal.asset.hostname」から「event.idm.read_only_udm.principal.resource.attribute.labels」に変更しました。

2022-08-11

バグの修正 - 「security_result.action」にマッピングされたフィールド「main_action」の条件付きチェックを変更しました。
「task-status」モジュールを含むログの「STATUS_UPDATE」を「metadata.event_type」にマッピングしました。

2022-04-14

機能強化 - computer_name、computer_id、uc_type、block_type、status、product_installed のマッピングを追加しました。

2022-03-30

バグの修正 - タイムスタンプエラーを修正し、user.id、user.name、companyId、computer_name、computer_fqdn、computer_ip、computer_id、url、categories の各フィールドをマッピングしました。