Bitdefender ログを収集する

以下でサポートされています。

このパーサーは、Bitdefender ログを CEF 形式または CSV 形式で抽出し、フィールドを UDM に正規化し、event_name フィールドと module フィールドに基づいて特定のアクションを実行します。ファイル操作、ネットワーク接続、プロセスの作成、レジストリの変更など、さまざまなイベントタイプを処理し、関連情報を適切な UDM フィールドにマッピングし、未加工ログの追加コンテキストでデータを拡充します。

始める前に

  • Google Security Operations インスタンスがあることを確認します。
  • systemd を搭載した Windows 2016 以降または Linux ホストがあることを確認します。
  • プロキシの背後で実行している場合は、ファイアウォールのポートが開いていることを確認します。
  • Bitdefender への特権アクセス権があることを確認します。

Google SecOps 取り込み認証ファイルを取得する

  1. Google SecOps コンソールにログインします。
  2. [SIEM 設定] > [収集エージェント] に移動します。
  3. 取り込み認証ファイルをダウンロードします。

Google SecOps のお客様 ID を取得する

  1. Google SecOps コンソールにログインします。
  2. [SIEM 設定] > [プロファイル] に移動します。
  3. [組織の詳細] セクションから [お客様 ID] をコピーして保存します。

BindPlane Agent をインストールする

  1. Windows へのインストールの場合は、次のスクリプトを実行します。
    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
  2. Linux へのインストールの場合は、次のスクリプトを実行します。
    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
  3. その他のインストール オプションについては、こちらのインストール ガイドをご覧ください。

Syslog を取り込んで Google SecOps に送信するように BindPlane エージェントを構成する

  1. BindPlane がインストールされているマシンにアクセスします。
  2. config.yaml ファイルを次のように編集します。

    receivers:
        tcplog:
            # Replace the below port <54525> and IP <0.0.0.0> with your specific values
            listen_address: "0.0.0.0:54525" 
    
    exporters:
        chronicle/chronicle_w_labels:
            compression: gzip
            # Adjust the creds location below according the placement of the credentials file you downloaded
            creds: '{ json file for creds }'
            # Replace <customer_id> below with your actual ID that you copied
            customer_id: <customer_id>
            endpoint: malachiteingestion-pa.googleapis.com
            # You can apply ingestion labels below as preferred
            ingestion_labels:
            log_type: SYSLOG
            namespace: bitdefender
            raw_log_field: body
    service:
        pipelines:
            logs/source0__chronicle_w_labels-0:
                receivers:
                    - tcplog
                exporters:
                    - chronicle/chronicle_w_labels
    
  3. BindPlane エージェントを再起動して変更を適用します。

    sudo systemctl restart bindplane
    

Bitdefender GravityZone で Syslog ストリーミングを構成する

  1. GravityZone コントロール センターにログインします。
  2. [設定] > [統合] > [Syslog] に移動します。
  3. [Add Syslog Server] をクリックします。
  4. 必要な情報を入力します。
    • 名前: syslog サーバーの一意の名前を指定します(例: CentralSyslog)。
    • IP Address/Hostname: Bindplane サーバーの IP アドレスまたはホスト名を入力します。
    • プロトコル: 使用するプロトコル(TCP / UDP)を選択します。
    • ポート: Bindplane サーバーのポート番号を指定します。
    • ストリーミングするログタイプを選択します(マルウェア対策イベントネットワーク攻撃防御(NAD)イベントウェブ制御イベントファイアウォール イベントポリシー変更など)。
    • 省略可: 特定のイベントタイプを含めるか除外するかを指定するためのフィルタを設定します。
  5. [保存] をクリックします。

UDM マッピング テーブル

ログフィールド UDM マッピング ロジック
BitdefenderGZAttackEntry security_result.detection_fields.value 未加工ログの BitdefenderGZAttackEntry の値が、キーが「attack_entry」の security_result.detection_fields オブジェクトに値として割り当てられます。
BitdefenderGZAttackTypes security_result.category_details 未加工ログの BitdefenderGZAttackTypes の値が security_result.category_details に割り当てられます。値は個々の文字列に分割され、各文字列が値として security_result.category_details 配列に追加されます。
BitdefenderGZAttCkId security_result.detection_fields.value 未加工ログの BitdefenderGZAttCkId の値が、キーが「BitdefenderGZAttCkId」の security_result.detection_fields オブジェクトに値として割り当てられます。
BitdefenderGZCompanyId target.user.company_name 未加工ログの BitdefenderGZCompanyId の値が target.user.company_name に割り当てられます。
BitdefenderGZComputerFQDN principal.asset.network_domain 未加工ログの BitdefenderGZComputerFQDN の値が principal.asset.network_domain に割り当てられます。
BitdefenderGZDetectionName security_result.threat_name 未加工ログの BitdefenderGZDetectionName の値が security_result.threat_name に割り当てられます。
BitdefenderGZEndpointId security_result.detection_fields.value 元のログの BitdefenderGZEndpointId の値が、キーが「BitdefenderGZEndpointId」の security_result.detection_fields オブジェクトに値として割り当てられます。
BitdefenderGZIncidentId metadata.product_log_id 未加工ログの BitdefenderGZIncidentId の値が metadata.product_log_id に割り当てられます。
BitdefenderGZMainAction security_result.action_details 未加工ログの BitdefenderGZMainAction の値が security_result.action_details に割り当てられます。この値に基づいて、security_result.action フィールドが設定されます(例: 「blocked」は「BLOCK」にマッピングされます)。security_result.description フィールドには、「main_action:」と BitdefenderGZMainAction の値も設定されます。
BitdefenderGZMalwareHash principal.process.file.sha256 未加工ログの BitdefenderGZMalwareHash の値が principal.process.file.sha256 に割り当てられます。
BitdefenderGZMalwareName security_result.threat_name 未加工ログの BitdefenderGZMalwareName の値が security_result.threat_name に割り当てられます。
BitdefenderGZMalwareType security_result.detection_fields.value 元のログの BitdefenderGZMalwareType の値が、キーが「malware_type」の security_result.detection_fields オブジェクトに値として割り当てられます。
BitdefenderGZModule metadata.product_event_type 未加工ログの BitdefenderGZModule の値が metadata.product_event_type に割り当てられます。
BitdefenderGZSeverityScore security_result.severity_details 未加工ログの BitdefenderGZSeverityScore の値が security_result.severity_details に割り当てられます。
BitdefenderGZHwId target.resource.id 未加工ログの BitdefenderGZHwId の値が target.resource.id に割り当てられます。
act security_result.action_details 未加工ログの act の値が security_result.action_details に割り当てられます。
actionTaken security_result.action_details 未加工ログの actionTaken の値が security_result.action_details に割り当てられます。この値に基づいて、security_result.action フィールドが設定されます(例: 「block」は「BLOCK」にマッピングされます)。security_result.description フィールドには、「actionTaken:」の後に actionTaken の値が設定されます。
additional.fields additional.fields パーサー ロジックは、「product_installed」の Key-Value ペアを作成し、additional.fields オブジェクトに追加します。
categories principal.asset.category 未加工ログの categories の値が principal.asset.category に割り当てられます。
cmd_line target.process.command_line 未加工ログの cmd_line の値が target.process.command_line に割り当てられます。
companyId target.user.company_name 未加工ログの companyId の値が target.user.company_name に割り当てられます。
computer_fqdn principal.asset.network_domain 未加工ログの computer_fqdn の値が principal.asset.network_domain に割り当てられます。
computer_id principal.asset.asset_id 未加工ログの computer_id の値は、「ComputerId:」を接頭辞として追加した後、principal.asset.asset_id に割り当てられます。
computer_ip principal.asset.ip 未加工ログの computer_ip の値が解析され、カンマで分割され、結果の各 IP アドレスが principal.asset.ip 配列に追加されます。
computer_name principal.resource.attribute.labels.value 元のログの computer_name の値は、キーが「computer_name」の principal.resource.attribute.labels オブジェクトに値として割り当てられます。また、キーが「computer_name」の security_result.detection_fields オブジェクトに値として追加されます。
column1 metadata.product_log_id 未加工ログの column1 の値が metadata.product_log_id に割り当てられます。
column3 observer.ip 未加工ログの column3 の値が observer.ip に割り当てられます。
command_line target.process.command_line 未加工ログの command_line の値が target.process.command_line に割り当てられます。
data target.registry.registry_value_data 未加工ログの data の値が target.registry.registry_value_data に割り当てられます。
detection_attackTechnique security_result.detection_fields.value 未加工ログの detection_attackTechnique の値が、キーが「detection attackTechnique」の security_result.detection_fields オブジェクトに値として割り当てられます。
detection_name security_result.threat_name 未加工ログの detection_name の値が security_result.threat_name に割り当てられます。
destination_ip target.ip 未加工ログの destination_ip の値が target.ip に割り当てられます。
destination_port target.port 未加工ログの destination_port の値が target.port に割り当てられます。
direction network.direction 未加工ログの direction の値は大文字に変換され、network.direction に割り当てられます。
dvc principal.ip 未加工ログの dvc の値が解析され、カンマで分割され、結果の各 IP アドレスが principal.ip 配列に追加されます。
dvchost about.hostname 未加工ログの dvchost の値が about.hostname に割り当てられます。
event_description metadata.description 未加工ログの event_description の値が metadata.description に割り当てられます。
event_name metadata.product_event_type 未加工ログの event_name の値が metadata.product_event_type に割り当てられます。値が「Antiphishing」の場合、security_result.category は「PHISHING」に設定されます。値が「AntiMalware」の場合、security_result.category は「SOFTWARE_MALICIOUS」に設定されます。metadata.event_type フィールドは、パーサー内の一連の条件文を使用して event_name から派生します。
ev metadata.product_event_type 未加工ログの ev の値が metadata.product_event_type に割り当てられます。
extra_info.command_line target.process.command_line 未加工ログの extra_info.command_line の値が target.process.command_line に割り当てられます。
extra_info.parent_pid principal.process.pid 未加工ログの extra_info.parent_pid の値が principal.process.pid に割り当てられます。
extra_info.parent_process_cmdline principal.process.command_line 未加工ログの extra_info.parent_process_cmdline の値が principal.process.command_line に割り当てられます。
extra_info.parent_process_path principal.process.file.full_path 未加工ログの extra_info.parent_process_path の値が principal.process.file.full_path に割り当てられます。
extra_info.pid target.process.pid 未加工ログの extra_info.pid の値が target.process.pid に割り当てられます。
extra_info.process_path target.process.file.full_path 未加工ログの extra_info.process_path の値が target.process.file.full_path に割り当てられます。
extra_info.user target.user.userid 未加工ログの extra_info.user の値が target.user.userid に割り当てられます。
filePath principal.process.file.full_path 未加工ログの filePath の値が principal.process.file.full_path に割り当てられます。
file_path principal.process.file.full_path 未加工ログの file_path の値が principal.process.file.full_path に割り当てられます。
final_status security_result.action_details 未加工ログの final_status の値が security_result.action_details に割り当てられます。この値に基づいて、security_result.action フィールドが設定されます(例: 「deleted」は「BLOCK」にマッピングされ、「ignored」は「ALLOW」にマッピングされます)。security_result.description フィールドには、「final_status:」の後に final_status の値が挿入されます。値が「deleted」または「blocked」の場合、metadata.event_type は「SCAN_NETWORK」に設定されます。
hash principal.process.file.sha256 未加工ログの hash の値が principal.process.file.sha256 に割り当てられます。
host principal.hostname 未加工ログの host の値が principal.hostname に割り当てられます。
hostname principal.hostname event_name が「log_on」または「log_out」でない場合、元のログの hostname の値は principal.hostname に割り当てられます。それ以外の場合は target.hostname に割り当てられます。
host_name principal.hostname 未加工ログの host_name の値が principal.hostname に割り当てられます。
hwid principal.resource.id 未加工ログの hwid の値が空でない場合、principal.resource.id に割り当てられます。空で、イベントが「log_on」または「log_out」でない場合、source_hwid の値が principal.resource.id に割り当てられます。イベントが「log_on」または「log_out」の場合は、target.resource.id に割り当てられます。
incident_id metadata.product_log_id 未加工ログの incident_id の値が metadata.product_log_id に割り当てられます。
ip_dest target.ip 未加工ログの ip_dest の値が target.ip に割り当てられます。
ip_source principal.ip 未加工ログの ip_source の値が principal.ip に割り当てられます。
key_path target.registry.registry_key 未加工ログの key_path の値が target.registry.registry_key に割り当てられます。
local_port principal.port 未加工ログの local_port の値が整数に変換され、principal.port に割り当てられます。
logon_type extensions.auth.mechanism extensions.auth.mechanism の値を決定するために、未加工ログの logon_type の値が使用されます。logon_type の数値が異なると、異なる認証メカニズムにマッピングされます(2 つは「ローカル」、3 つは「ネットワーク」にマッピングされます)。一致する logon_type が見つからない場合、メカニズムは「MECHANISM_UNSPECIFIED」に設定されます。
lurker_id intermediary.resource.id 未加工ログの lurker_id の値が intermediary.resource.id に割り当てられます。
main_action security_result.action_details 未加工ログの main_action の値が security_result.action_details に割り当てられます。この値に基づいて、security_result.action フィールドが設定されます(例: 「blocked」は「BLOCK」に、「no action」は「ALLOW」にマッピングされます)。security_result.description フィールドには、「main_action:」と main_action の値も設定されます。
malware_name security_result.threat_name 未加工ログの malware_name の値が security_result.threat_name に割り当てられます。
malware_type security_result.detection_fields.value 元のログの malware_type の値が、キーが「malware_type」の security_result.detection_fields オブジェクトに値として割り当てられます。
metadata.description metadata.description パーサーは、event_name フィールドに基づいて metadata.description フィールドを設定します。
metadata.event_type metadata.event_type パーサーは、event_name フィールドに基づいて metadata.event_type フィールドを設定します。
metadata.product_event_type metadata.product_event_type パーサーは、event_name フィールドまたは module フィールドに基づいて metadata.product_event_type フィールドを設定します。
metadata.product_log_id metadata.product_log_id パーサーは、msg_id フィールドまたは incident_id フィールドに基づいて metadata.product_log_id フィールドを設定します。
metadata.product_name metadata.product_name パーサーは metadata.product_name を「BitDefender EDR」に設定します。
metadata.product_version metadata.product_version パーサーは product_version フィールドの名前を metadata.product_version に変更します。
metadata.vendor_name metadata.vendor_name パーサーは metadata.vendor_name を「BitDefender」に設定します。
module metadata.product_event_type 未加工ログの module の値が metadata.product_event_type に割り当てられます。値が「new-incident」で、target_process_file_full_path が空でない場合、metadata.event_type は「PROCESS_UNCATEGORIZED」に設定されます。値が「task-status」の場合、metadata.event_type は「STATUS_UPDATE」に設定されます。値が「network-monitor」または「fw」の場合、metadata.event_type は「SCAN_NETWORK」に設定されます。
msg_id metadata.product_log_id 未加工ログの msg_id の値が metadata.product_log_id に割り当てられます。
network.application_protocol network.application_protocol 未加工ログの uc_type の値は大文字に変換され、network.application_protocol に割り当てられます。
network.direction network.direction パーサーは、direction フィールドに基づいて network.direction フィールドを設定します。
network.ip_protocol network.ip_protocol protocol_id が「6」の場合、パーサーは network.ip_protocol を「TCP」に設定します。
new_path target.file.full_path 未加工ログの new_path の値が target.file.full_path に割り当てられます。
old_path src.file.full_path 未加工ログの old_path の値が src.file.full_path に割り当てられます。
origin_ip intermediary.ip 未加工ログの origin_ip の値が intermediary.ip に割り当てられます。
os principal.platform_version 未加工ログの os の値が principal.platform_version に割り当てられます。principal.platform フィールドは os から派生します(例: 「Win」は「WINDOWS」にマッピングされます)。イベントが「log_on」または「log_out」の場合、principal.platform フィールドと principal.platform_version フィールドの名前はそれぞれ target.platformtarget.platform_version に変更されます。
os_type principal.platform principal.platform の値を決定するために、元のログの os_type の値が使用されます(例: 「Win」は「WINDOWS」にマッピングされます)。
parent_pid principal.process.pid 未加工ログの parent_pid の値が principal.process.pid に割り当てられます。
parent_process_path principal.process.file.full_path 未加工ログの parent_process_path の値が principal.process.file.full_path に割り当てられます。
parent_process_pid principal.process.pid 未加工ログの parent_process_pid の値が principal.process.pid に割り当てられます。
path target.file.full_path 未加工ログの path の値が target.file.full_path に割り当てられます。
pid principal.process.pid または target.process.pid event_name が「file」または「reg」で始まる場合、または「process_signal」、「network_connection」、「connection_connect」のいずれかである場合、元のログの pid の値は principal.process.pid に割り当てられます。それ以外の場合は target.process.pid に割り当てられます。
pid_path principal.process.file.full_path 未加工ログの pid_path の値が principal.process.file.full_path に割り当てられます。
port_dest target.port 未加工ログの port_dest の値が整数に変換され、target.port に割り当てられます。
port_source principal.port 未加工ログの port_source の値が整数に変換され、principal.port に割り当てられます。
ppid principal.process.pid 未加工ログの ppid の値が principal.process.pid に割り当てられます。
principal.ip principal.ip パーサーは、ip_source フィールドまたは dvc フィールドに基づいて principal.ip フィールドを設定します。
principal.platform principal.platform パーサーは、os フィールドまたは os_type フィールドに基づいて principal.platform フィールドを設定します。
principal.platform_version principal.platform_version パーサーは、os フィールドまたは osi_version フィールドに基づいて principal.platform_version フィールドを設定します。
principal.process.command_line principal.process.command_line パーサーは、parent_process_cmdline フィールドに基づいて principal.process.command_line フィールドを設定します。
principal.process.file.full_path principal.process.file.full_path パーサーは、pid_pathfile_pathparent_process_path、または process_path フィールドに基づいて principal.process.file.full_path フィールドを設定します。
principal.process.file.md5 principal.process.file.md5 パーサーは file_hash_md5 フィールドの名前を principal.process.file.md5 に変更します。
principal.process.file.sha256 principal.process.file.sha256 パーサーは、hashBitdefenderGZMalwareHash、または file_hash_sha256 フィールドに基づいて principal.process.file.sha256 フィールドを設定します。
principal.process.parent_process.pid principal.process.parent_process.pid パーサーは ppid フィールドの名前を principal.process.parent_process.pid に変更します。
principal.process.pid principal.process.pid パーサーは、pidparent_pidppid、または parent_process_pid フィールドに基づいて principal.process.pid フィールドを設定します。
principal.resource.id principal.resource.id パーサーは、hwid フィールドまたは source_hwid フィールドに基づいて principal.resource.id フィールドを設定します。
principal.url principal.url パーサーは、url フィールドに基づいて principal.url フィールドを設定します。
process_command_line target.process.command_line 未加工ログの process_command_line の値が target.process.command_line に割り当てられます。
process_path principal.process.file.full_path または target.process.file.full_path event_name が「network_connection」または「connection_connect」の場合、元のログの process_path の値が principal.process.file.full_path に割り当てられます。それ以外の場合は target.process.file.full_path に割り当てられます。
product_installed additional.fields.value.string_value 未加工ログの product_installed の値が、キーが「product_installed」の additional.fields オブジェクトに値として割り当てられます。
product_version metadata.product_version 未加工ログの product_version の値が metadata.product_version に割り当てられます。
protocol_id network.ip_protocol protocol_id が「6」の場合、パーサーは network.ip_protocol を「TCP」に設定します。
request target.url 未加工ログの request の値が target.url に割り当てられます。
security_result.action security_result.action パーサーは、main_actionactionTakenstatus、または final_status フィールドに基づいて security_result.action フィールドを設定します。これらのフィールドのいずれにも有効なアクションが指定されていない場合、デフォルトは「UNKNOWN_ACTION」になります。
security_result.action_details security_result.action_details パーサーは、main_actionactionTakenstatus、または final_status フィールドに基づいて security_result.action_details フィールドを設定します。
security_result.category security_result.category パーサーは、event_name が「Antiphishing」の場合は security_result.category フィールドを「PHISHING」に、event_name が「AntiMalware」の場合は「SOFTWARE_MALICIOUS」に設定するか、sec_category フィールドの値をマージします。
security_result.category_details security_result.category_details パーサーは、block_type フィールドまたは attack_types フィールドに基づいて security_result.category_details フィールドを設定します。
security_result.detection_fields security_result.detection_fields パーサーは、「malware_type」、「attack_entry」、「BitdefenderGZAttCkId」、「BitdefenderGZEndpointId」、「final_status」、「detection attackTechnique」、「computer_name」など、さまざまなフィールドの security_result.detection_fields オブジェクトを作成します。
security_result.description security_result.description パーサーは、main_actionactionTaken、または final_status フィールドに基づいて security_result.description フィールドを設定します。
security_result.severity security_result.severity パーサーは、severity フィールドが空ではなく、module が「new-incident」の場合、severity フィールドの大文字の値に基づいて security_result.severity フィールドを設定します。
security_result.severity_details security_result.severity_details パーサーは、severity_score フィールドに基づいて security_result.severity_details フィールドを設定します。
security_result.threat_name security_result.threat_name パーサーは、malware_name フィールドまたは detection_name フィールドに基づいて security_result.threat_name フィールドを設定します。
severity security_result.severity 未加工ログの severity の値は、空でない場合と module が「new-incident」の場合に大文字に変換され、security_result.severity に割り当てられます。
severity_score security_result.severity_details 未加工ログの severity_score の値が文字列に変換され、security_result.severity_details に割り当てられます。
source_host observer.ip 未加工ログの source_host の値が observer.ip に割り当てられます。
source_hwid principal.resource.id 未加工ログの source_hwid の値が principal.resource.id に割り当てられます。
source_ip src.ip 未加工ログの source_ip の値が src.ip に割り当てられます。
source_port principal.port 未加工ログの source_port の値が整数に変換され、principal.port に割り当てられます。
spt principal.port 未加工ログの spt の値が principal.port に割り当てられます。
sproc principal.process.command_line 未加工ログの sproc の値が principal.process.command_line に割り当てられます。
src principal.ip 未加工ログの src の値が principal.ip に割り当てられます。
src.ip src.ip パーサーは、source_ip フィールドに基づいて src.ip フィールドを設定します。
src.file.full_path src.file.full_path パーサーは、old_path フィールドに基づいて src.file.full_path フィールドを設定します。
status security_result.action_details 未加工ログの status の値が security_result.action_details に割り当てられます。この値に基づいて、security_result.action フィールドが設定されます(例: 「portscan_blocked」と「uc_site_blocked」は「BLOCK」にマッピングされます)。security_result.description フィールドには、「status:」の後に status の値が設定されます。
suid principal.user.userid 未加工ログの suid の値が principal.user.userid に割り当てられます。
suser principal.user.user_display_name 未加工ログの suser の値が principal.user.user_display_name に割り当てられます。
target.file.full_path target.file.full_path パーサーは、path フィールドまたは new_path フィールドに基づいて target.file.full_path フィールドを設定します。
target.hostname target.hostname パーサーは、hostname フィールドに基づいて target.hostname フィールドを設定します。
target.ip target.ip パーサーは、ip_dest フィールドまたは destination_ip フィールドに基づいて target.ip フィールドを設定します。
target.platform target.platform パーサーは、principal.platform フィールドに基づいて target.platform フィールドを設定します。
target.platform_version target.platform_version パーサーは、principal.platform_version フィールドに基づいて target.platform_version フィールドを設定します。
target.port target.port パーサーは、port_dest フィールドまたは destination_port フィールドに基づいて target.port フィールドを設定します。
target.process.command_line target.process.command_line パーサーは、command_lineprocess_command_line、または cmd_line フィールドに基づいて target.process.command_line フィールドを設定します。
target.process.file.full_path target.process.file.full_path パーサーは、process_path フィールドに基づいて target.process.file.full_path フィールドを設定します。
target.process.pid target.process.pid パーサーは、pid フィールドに基づいて target.process.pid フィールドを設定します。
target.registry.registry_key target.registry.registry_key パーサーは、key_path フィールドに基づいて target.registry.registry_key フィールドを設定します。
target.registry.registry_value_data target.registry.registry_value_data パーサーは、data フィールドに基づいて target.registry.registry_value_data フィールドを設定します。
target.registry.registry_value_name target.registry.registry_value_name パーサーは、value フィールドに基づいて target.registry.registry_value_name フィールドを設定します。
target.resource.id target.resource.id パーサーは、hwid フィールドまたは BitdefenderGZHwId フィールドに基づいて target.resource.id フィールドを設定します。
target.url target.url パーサーは、request フィールドに基づいて target.url フィールドを設定します。
target.user.company_name target.user.company_name パーサーは、companyId フィールドに基づいて target.user.company_name フィールドを設定します。
target.user.user_display_name target.user.user_display_name パーサーは、user.name フィールドまたは user.userName フィールドに基づいて target.user.user_display_name フィールドを設定します。
target.user.userid target.user.userid パーサーは、user_nameuseruser.id、または extra_info.user フィールドに基づいて target.user.userid フィールドを設定します。
target_pid target.process.pid 未加工ログの target_pid の値が target.process.pid に割り当てられます。
timestamp metadata.event_timestamp 未加工ログの timestamp の値が解析され、metadata.event_timestamp に割り当てられます。
uc_type network.application_protocol 未加工ログの uc_type の値は大文字に変換され、network.application_protocol に割り当てられます。target_user_userid が空でない場合、metadata.event_type は「USER_UNCATEGORIZED」に設定されます。それ以外の場合は、「STATUS_UPDATE」に設定されます。
url principal.url 未加工ログの url の値が空でないか「0.0.0.0」でない場合、その値が principal.url に割り当てられます。
user target.user.userid 未加工ログの user の値が target.user.userid に割り当てられます。
user.id target.user.userid 未加工ログの user.id の値が target.user.userid に割り当てられます。
user.name target.user.user_display_name 未加工ログの user.name の値が target.user.user_display_name に割り当てられます。
user.userName target.user.user_display_name 未加工ログの user.userName の値が target.user.user_display_name に割り当てられます。
user.userSid principal.user.windows_sid 未加工ログの user.userSid の値が principal.user.windows_sid に割り当てられます。
user_name target.user.userid 未加工ログの user_name の値が target.user.userid に割り当てられます。
value target.registry.registry_value_data または target.registry.registry_value_name event_name が「reg_delete_value」の場合、未加工ログの value の値が target.registry.registry_value_data に割り当てられます。それ以外の場合は target.registry.registry_value_name に割り当てられます。

変更点

2023-05-02

  • CEF 形式で取り込まれた解析済みログ。

2022-09-28

  • 「status」が「portscan_blocked」または「uc_site_blocked」の場合、「security_result.action」を「BLOCK」にマッピングしました。
  • 「main_action」が「blocked」の場合に、「security_result.action」を「BLOCK」にマッピングしました。
  • 「actionTaken」が「block」の場合に、「security_result.action」を「BLOCK」にマッピングしました。
  • 「final_status」が「blocked」または「deleted」の場合、「security_result.action」を「BLOCK」にマッピングしました。
  • 「final_status」が「ignored」または「still present」の場合、「security_result.action」を「ALLOW」にマッピングしました。
  • 「main_action」が「no action」の場合、「security_result.action」を「ALLOW」にマッピングしました。
  • 「final_status」が「quarantined」の場合、「security_result.action」を「QUARANTINE」にマッピングしました。
  • 「final_status」が「disinfected」または「restored」の場合、「security_result.action」を「ALLOW_WITH_MODIFICATION」にマッピングしました。

2022-08-17

  • 機能拡張 - 「source_ip」のマッピングを「principal.ip」から「srcc.ip」に変更しました。
  • 「module」が「network-monitor」または「fw」の場合、「event_type」を「SCAN_NETWORK」に設定しました。
  • 「user.userSid」を「principal.user.windows_sid」にマッピングしました。
  • 「user.userName」を「target.user.user_display_name」にマッピングしました。
  • 「protocol_id」を「network.ip_protocol」にマッピングしました。
  • 「status」が「portscan_blocked」または「uc_site_blocked」の場合、「security_result.action」を「BLOCK」に設定します。
  • 「local_port」を「principal.port」にマッピングしました。
  • 「actionTaken」を「security_result.action」にマッピングしました。
  • 「detection_attackTechnique」を「security_result.detection_fields」にマッピングしました。

2022-08-13

  • バグの修正 - フィールド「computer_name」のマッピングを「principal.asset.hostname」から「event.idm.read_only_udm.principal.resource.attribute.labels」に変更しました。

2022-08-11

  • バグの修正 - 「security_result.action」にマッピングされたフィールド「main_action」の条件付きチェックを変更しました。
  • 「task-status」モジュールを含むログの「STATUS_UPDATE」を「metadata.event_type」にマッピングしました。

2022-04-14

  • 機能強化 - computer_name、computer_id、uc_type、block_type、status、product_installed のマッピングを追加しました。

2022-03-30

  • バグの修正 - タイムスタンプ エラーを修正し、user.id、user.name、companyId、computer_name、computer_fqdn、computer_ip、computer_id、url、categories の各フィールドをマッピングしました。