Bitdefender ログを収集する
以下でサポートされています。
Google SecOpsSIEM
このパーサーは、Bitdefender ログを CEF 形式または CSV 形式で抽出し、フィールドを UDM に正規化し、event_name フィールドと module フィールドに基づいて特定のアクションを実行します。ファイル操作、ネットワーク接続、プロセスの作成、レジストリの変更など、さまざまなイベントタイプを処理し、関連情報を適切な UDM フィールドにマッピングし、未加工ログの追加コンテキストでデータを拡充します。
始める前に
- Google Security Operations インスタンスがあることを確認します。
- systemd を搭載した Windows 2016 以降または Linux ホストがあることを確認します。
- プロキシの背後で実行している場合は、ファイアウォールのポートが開いていることを確認します。
- Bitdefender への特権アクセス権があることを確認します。
Google SecOps 取り込み認証ファイルを取得する
- Google SecOps コンソールにログインします。
- [SIEM Settings] > [Collection Agents] に移動します。
- 取り込み認証ファイルをダウンロードします。
Google SecOps のお客様 ID を取得する
- Google SecOps コンソールにログインします。
- [SIEM Settings] > [Profile] に移動します。
- [Organization Details] セクションから [Customer ID] をコピーして保存します。
BindPlane Agent をインストールする
- Windows へのインストールの場合は、次のスクリプトを実行します。
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet - Linux へのインストールの場合は、次のスクリプトを実行します。
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh - その他のインストール オプションについては、こちらのインストール ガイドをご覧ください。
Syslog を取り込んで Google SecOps に送信するように BindPlane Agent を構成する
- BindPlane がインストールされているマシンにアクセスします。
config.yamlファイルを次のように編集します。receivers: tcplog: # Replace the below port <54525> and IP <0.0.0.0> with your specific values listen_address: "0.0.0.0:54525" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the creds location below according the placement of the credentials file you downloaded creds: '{ json file for creds }' # Replace <customer_id> below with your actual ID that you copied customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # You can apply ingestion labels below as preferred ingestion_labels: log_type: SYSLOG namespace: bitdefender raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - tcplog exporters: - chronicle/chronicle_w_labelsBindPlane エージェントを再起動して変更を適用します。
sudo systemctl restart bindplane
Bitdefender GravityZone で Syslog Streaming を構成する
- GravityZone Control Center にログインします。
- [Configuration] > [Integrations] > [Syslog] に移動します。
- [Add Syslog Server] をクリックします。
- 必須情報を入力します。
- Name: syslog サーバーの一意の名前を指定します(例: CentralSyslog)。
- IP Address/Hostname: Bindplane サーバーの IP アドレスまたはホスト名を入力します。
- Protocol: 使用するプロトコル(TCP / UDP)を選択します。
- Port: Bindplane サーバーのポート番号を指定します。
- ストリーミングするログタイプを選択します(マルウェア対策イベント、ネットワーク攻撃防御(NAD)イベント、ウェブ制御イベント、ファイアウォール イベント、ポリシー変更など)。
- 省略可: 特定のイベントタイプを含めるか除外するかを指定するためのフィルタを設定します。
- [Save] をクリックします。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | 論理 |
|---|---|---|
BitdefenderGZAttackEntry |
security_result.detection_fields.value |
未加工ログの BitdefenderGZAttackEntry の値が、キーが「attack_entry」の security_result.detection_fields オブジェクトに値として割り当てられます。 |
BitdefenderGZAttackTypes |
security_result.category_details |
未加工ログの BitdefenderGZAttackTypes の値が security_result.category_details に割り当てられます。値は個々の文字列に分割され、各文字列が値として security_result.category_details 配列に追加されます。 |
BitdefenderGZAttCkId |
security_result.detection_fields.value |
元のログの BitdefenderGZAttCkId の値が、キーが「BitdefenderGZAttCkId」の security_result.detection_fields オブジェクトに値として割り当てられます。 |
BitdefenderGZCompanyId |
target.user.company_name |
未加工ログの BitdefenderGZCompanyId の値が target.user.company_name に割り当てられます。 |
BitdefenderGZComputerFQDN |
principal.asset.network_domain |
未加工ログの BitdefenderGZComputerFQDN の値が principal.asset.network_domain に割り当てられます。 |
BitdefenderGZDetectionName |
security_result.threat_name |
未加工ログの BitdefenderGZDetectionName の値が security_result.threat_name に割り当てられます。 |
BitdefenderGZEndpointId |
security_result.detection_fields.value |
未加工ログの BitdefenderGZEndpointId の値は、キーが「BitdefenderGZEndpointId」の security_result.detection_fields オブジェクトに値として割り当てられます。 |
BitdefenderGZIncidentId |
metadata.product_log_id |
未加工ログの BitdefenderGZIncidentId の値が metadata.product_log_id に割り当てられます。 |
BitdefenderGZMainAction |
security_result.action_details |
未加工ログの BitdefenderGZMainAction の値が security_result.action_details に割り当てられます。この値に基づいて、security_result.action フィールドが設定されます(例: 「blocked」は「BLOCK」にマッピングされます)。security_result.description フィールドには、「main_action:」と BitdefenderGZMainAction の値も設定されます。 |
BitdefenderGZMalwareHash |
principal.process.file.sha256 |
未加工ログの BitdefenderGZMalwareHash の値が principal.process.file.sha256 に割り当てられます。 |
BitdefenderGZMalwareName |
security_result.threat_name |
未加工ログの BitdefenderGZMalwareName の値が security_result.threat_name に割り当てられます。 |
BitdefenderGZMalwareType |
security_result.detection_fields.value |
元のログの BitdefenderGZMalwareType の値が、キーが「malware_type」の security_result.detection_fields オブジェクトに値として割り当てられます。 |
BitdefenderGZModule |
metadata.product_event_type |
未加工ログの BitdefenderGZModule の値が metadata.product_event_type に割り当てられます。 |
BitdefenderGZSeverityScore |
security_result.severity_details |
未加工ログの BitdefenderGZSeverityScore の値が security_result.severity_details に割り当てられます。 |
BitdefenderGZHwId |
target.resource.id |
未加工ログの BitdefenderGZHwId の値が target.resource.id に割り当てられます。 |
act |
security_result.action_details |
未加工ログの act の値が security_result.action_details に割り当てられます。 |
actionTaken |
security_result.action_details |
未加工ログの actionTaken の値が security_result.action_details に割り当てられます。この値に基づいて、security_result.action フィールドが設定されます(例: 「block」は「BLOCK」にマッピングされます)。security_result.description フィールドには、「actionTaken:」の後に actionTaken の値が設定されます。 |
additional.fields |
additional.fields |
パーサー ロジックは、「product_installed」の Key-Value ペアを作成し、additional.fields オブジェクトに追加します。 |
categories |
principal.asset.category |
未加工ログの categories の値が principal.asset.category に割り当てられます。 |
cmd_line |
target.process.command_line |
未加工ログの cmd_line の値が target.process.command_line に割り当てられます。 |
companyId |
target.user.company_name |
未加工ログの companyId の値が target.user.company_name に割り当てられます。 |
computer_fqdn |
principal.asset.network_domain |
未加工ログの computer_fqdn の値が principal.asset.network_domain に割り当てられます。 |
computer_id |
principal.asset.asset_id |
未加工ログの computer_id の値は、「ComputerId:」を接頭辞として追加した後、principal.asset.asset_id に割り当てられます。 |
computer_ip |
principal.asset.ip |
未加工ログの computer_ip の値が解析されてカンマで分割され、結果の各 IP アドレスが principal.asset.ip 配列に追加されます。 |
computer_name |
principal.resource.attribute.labels.value |
元のログの computer_name の値は、キーが「computer_name」の principal.resource.attribute.labels オブジェクトに値として割り当てられます。また、security_result.detection_fields オブジェクトの値として追加されます。このオブジェクトのキーは「computer_name」です。 |
column1 |
metadata.product_log_id |
未加工ログの column1 の値が metadata.product_log_id に割り当てられます。 |
column3 |
observer.ip |
未加工ログの column3 の値が observer.ip に割り当てられます。 |
command_line |
target.process.command_line |
未加工ログの command_line の値が target.process.command_line に割り当てられます。 |
data |
target.registry.registry_value_data |
未加工ログの data の値が target.registry.registry_value_data に割り当てられます。 |
detection_attackTechnique |
security_result.detection_fields.value |
未加工ログの detection_attackTechnique の値が、キーが「detection attackTechnique」の security_result.detection_fields オブジェクトに値として割り当てられます。 |
detection_name |
security_result.threat_name |
未加工ログの detection_name の値が security_result.threat_name に割り当てられます。 |
destination_ip |
target.ip |
未加工ログの destination_ip の値が target.ip に割り当てられます。 |
destination_port |
target.port |
未加工ログの destination_port の値が target.port に割り当てられます。 |
direction |
network.direction |
未加工ログの direction の値は大文字に変換され、network.direction に割り当てられます。 |
dvc |
principal.ip |
未加工ログの dvc の値が解析されてカンマで分割され、結果の各 IP アドレスが principal.ip 配列に追加されます。 |
dvchost |
about.hostname |
未加工ログの dvchost の値が about.hostname に割り当てられます。 |
event_description |
metadata.description |
未加工ログの event_description の値が metadata.description に割り当てられます。 |
event_name |
metadata.product_event_type |
未加工ログの event_name の値が metadata.product_event_type に割り当てられます。値が「Antiphishing」の場合、security_result.category は「PHISHING」に設定されます。値が「AntiMalware」の場合、security_result.category は「SOFTWARE_MALICIOUS」に設定されます。metadata.event_type フィールドは、パーサー内の一連の条件文を使用して event_name から派生します。 |
ev |
metadata.product_event_type |
未加工ログの ev の値が metadata.product_event_type に割り当てられます。 |
extra_info.command_line |
target.process.command_line |
未加工ログの extra_info.command_line の値が target.process.command_line に割り当てられます。 |
extra_info.parent_pid |
principal.process.pid |
未加工ログの extra_info.parent_pid の値が principal.process.pid に割り当てられます。 |
extra_info.parent_process_cmdline |
principal.process.command_line |
未加工ログの extra_info.parent_process_cmdline の値が principal.process.command_line に割り当てられます。 |
extra_info.parent_process_path |
principal.process.file.full_path |
未加工ログの extra_info.parent_process_path の値が principal.process.file.full_path に割り当てられます。 |
extra_info.pid |
target.process.pid |
未加工ログの extra_info.pid の値が target.process.pid に割り当てられます。 |
extra_info.process_path |
target.process.file.full_path |
未加工ログの extra_info.process_path の値が target.process.file.full_path に割り当てられます。 |
extra_info.user |
target.user.userid |
未加工ログの extra_info.user の値が target.user.userid に割り当てられます。 |
filePath |
principal.process.file.full_path |
未加工ログの filePath の値が principal.process.file.full_path に割り当てられます。 |
file_path |
principal.process.file.full_path |
未加工ログの file_path の値が principal.process.file.full_path に割り当てられます。 |
final_status |
security_result.action_details |
未加工ログの final_status の値が security_result.action_details に割り当てられます。この値に基づいて、security_result.action フィールドが設定されます(例: 「deleted」は「BLOCK」にマッピングされ、「ignored」は「ALLOW」にマッピングされます)。security_result.description フィールドには、「final_status:」の後に final_status の値が挿入されます。値が「deleted」または「blocked」の場合、metadata.event_type は「SCAN_NETWORK」に設定されます。 |
hash |
principal.process.file.sha256 |
未加工ログの hash の値が principal.process.file.sha256 に割り当てられます。 |
host |
principal.hostname |
未加工ログの host の値が principal.hostname に割り当てられます。 |
hostname |
principal.hostname |
event_name が「log_on」または「log_out」でない場合、元のログの hostname の値は principal.hostname に割り当てられます。それ以外の場合は target.hostname に割り当てられます。 |
host_name |
principal.hostname |
未加工ログの host_name の値が principal.hostname に割り当てられます。 |
hwid |
principal.resource.id |
未加工ログの hwid の値が空でない場合、principal.resource.id に割り当てられます。空で、イベントが「log_on」または「log_out」でない場合、source_hwid の値が principal.resource.id に割り当てられます。イベントが「log_on」または「log_out」の場合は、target.resource.id に割り当てられます。 |
incident_id |
metadata.product_log_id |
未加工ログの incident_id の値が metadata.product_log_id に割り当てられます。 |
ip_dest |
target.ip |
未加工ログの ip_dest の値が target.ip に割り当てられます。 |
ip_source |
principal.ip |
未加工ログの ip_source の値が principal.ip に割り当てられます。 |
key_path |
target.registry.registry_key |
未加工ログの key_path の値が target.registry.registry_key に割り当てられます。 |
local_port |
principal.port |
未加工ログの local_port の値が整数に変換され、principal.port に割り当てられます。 |
logon_type |
extensions.auth.mechanism |
extensions.auth.mechanism の値を決定するために、未加工ログの logon_type の値が使用されます。logon_type の数値が異なると、異なる認証メカニズムにマッピングされます(例: 2 は「ローカル」、3 は「ネットワーク」にマッピングされます)。一致する logon_type が見つからない場合、メカニズムは「MECHANISM_UNSPECIFIED」に設定されます。 |
lurker_id |
intermediary.resource.id |
未加工ログの lurker_id の値が intermediary.resource.id に割り当てられます。 |
main_action |
security_result.action_details |
未加工ログの main_action の値が security_result.action_details に割り当てられます。この値に基づいて、security_result.action フィールドが設定されます(例: 「blocked」は「BLOCK」に、「no action」は「ALLOW」にマッピングされます)。security_result.description フィールドには、「main_action:」と main_action の値も設定されます。 |
malware_name |
security_result.threat_name |
未加工ログの malware_name の値が security_result.threat_name に割り当てられます。 |
malware_type |
security_result.detection_fields.value |
元のログの malware_type の値が、キーが「malware_type」の security_result.detection_fields オブジェクトに値として割り当てられます。 |
metadata.description |
metadata.description |
パーサーは、event_name フィールドに基づいて metadata.description フィールドを設定します。 |
metadata.event_type |
metadata.event_type |
パーサーは、event_name フィールドに基づいて metadata.event_type フィールドを設定します。 |
metadata.product_event_type |
metadata.product_event_type |
パーサーは、event_name フィールドまたは module フィールドに基づいて metadata.product_event_type フィールドを設定します。 |
metadata.product_log_id |
metadata.product_log_id |
パーサーは、msg_id フィールドまたは incident_id フィールドに基づいて metadata.product_log_id フィールドを設定します。 |
metadata.product_name |
metadata.product_name |
パーサーは metadata.product_name を「BitDefender EDR」に設定します。 |
metadata.product_version |
metadata.product_version |
パーサーは product_version フィールドの名前を metadata.product_version に変更します。 |
metadata.vendor_name |
metadata.vendor_name |
パーサーは metadata.vendor_name を「BitDefender」に設定します。 |
module |
metadata.product_event_type |
未加工ログの module の値が metadata.product_event_type に割り当てられます。値が「new-incident」で、target_process_file_full_path が空でない場合、metadata.event_type は「PROCESS_UNCATEGORIZED」に設定されます。値が「task-status」の場合、metadata.event_type は「STATUS_UPDATE」に設定されます。値が「network-monitor」または「fw」の場合、metadata.event_type は「SCAN_NETWORK」に設定されます。 |
msg_id |
metadata.product_log_id |
未加工ログの msg_id の値が metadata.product_log_id に割り当てられます。 |
network.application_protocol |
network.application_protocol |
未加工ログの uc_type の値は大文字に変換され、network.application_protocol に割り当てられます。 |
network.direction |
network.direction |
パーサーは、direction フィールドに基づいて network.direction フィールドを設定します。 |
network.ip_protocol |
network.ip_protocol |
protocol_id が「6」の場合、パーサーは network.ip_protocol を「TCP」に設定します。 |
new_path |
target.file.full_path |
未加工ログの new_path の値が target.file.full_path に割り当てられます。 |
old_path |
src.file.full_path |
未加工ログの old_path の値が src.file.full_path に割り当てられます。 |
origin_ip |
intermediary.ip |
未加工ログの origin_ip の値が intermediary.ip に割り当てられます。 |
os |
principal.platform_version |
未加工ログの os の値が principal.platform_version に割り当てられます。principal.platform フィールドは os から派生します(例: 「Win」は「WINDOWS」にマッピングされます)。イベントが「log_on」または「log_out」の場合、principal.platform フィールドと principal.platform_version フィールドの名前はそれぞれ target.platform と target.platform_version に変更されます。 |
os_type |
principal.platform |
principal.platform の値を決定するために、元のログの os_type の値が使用されます(例: 「Win」は「WINDOWS」にマッピングされます)。 |
parent_pid |
principal.process.pid |
未加工ログの parent_pid の値が principal.process.pid に割り当てられます。 |
parent_process_path |
principal.process.file.full_path |
未加工ログの parent_process_path の値が principal.process.file.full_path に割り当てられます。 |
parent_process_pid |
principal.process.pid |
未加工ログの parent_process_pid の値が principal.process.pid に割り当てられます。 |
path |
target.file.full_path |
未加工ログの path の値が target.file.full_path に割り当てられます。 |
pid |
principal.process.pid または target.process.pid |
event_name が「file」または「reg」で始まる場合、または「process_signal」、「network_connection」、「connection_connect」のいずれかである場合、元のログの pid の値は principal.process.pid に割り当てられます。それ以外の場合は target.process.pid に割り当てられます。 |
pid_path |
principal.process.file.full_path |
未加工ログの pid_path の値が principal.process.file.full_path に割り当てられます。 |
port_dest |
target.port |
未加工ログの port_dest の値が整数に変換され、target.port に割り当てられます。 |
port_source |
principal.port |
未加工ログの port_source の値が整数に変換され、principal.port に割り当てられます。 |
ppid |
principal.process.pid |
未加工ログの ppid の値が principal.process.pid に割り当てられます。 |
principal.ip |
principal.ip |
パーサーは、ip_source フィールドまたは dvc フィールドに基づいて principal.ip フィールドを設定します。 |
principal.platform |
principal.platform |
パーサーは、os フィールドまたは os_type フィールドに基づいて principal.platform フィールドを設定します。 |
principal.platform_version |
principal.platform_version |
パーサーは、os フィールドまたは osi_version フィールドに基づいて principal.platform_version フィールドを設定します。 |
principal.process.command_line |
principal.process.command_line |
パーサーは、parent_process_cmdline フィールドに基づいて principal.process.command_line フィールドを設定します。 |
principal.process.file.full_path |
principal.process.file.full_path |
パーサーは、pid_path、file_path、parent_process_path、または process_path フィールドに基づいて principal.process.file.full_path フィールドを設定します。 |
principal.process.file.md5 |
principal.process.file.md5 |
パーサーは file_hash_md5 フィールドの名前を principal.process.file.md5 に変更します。 |
principal.process.file.sha256 |
principal.process.file.sha256 |
パーサーは、hash、BitdefenderGZMalwareHash、または file_hash_sha256 フィールドに基づいて principal.process.file.sha256 フィールドを設定します。 |
principal.process.parent_process.pid |
principal.process.parent_process.pid |
パーサーは ppid フィールドの名前を principal.process.parent_process.pid に変更します。 |
principal.process.pid |
principal.process.pid |
パーサーは、pid、parent_pid、ppid、または parent_process_pid フィールドに基づいて principal.process.pid フィールドを設定します。 |
principal.resource.id |
principal.resource.id |
パーサーは、hwid フィールドまたは source_hwid フィールドに基づいて principal.resource.id フィールドを設定します。 |
principal.url |
principal.url |
パーサーは、url フィールドに基づいて principal.url フィールドを設定します。 |
process_command_line |
target.process.command_line |
未加工ログの process_command_line の値が target.process.command_line に割り当てられます。 |
process_path |
principal.process.file.full_path または target.process.file.full_path |
event_name が「network_connection」または「connection_connect」の場合、元のログの process_path の値が principal.process.file.full_path に割り当てられます。それ以外の場合は target.process.file.full_path に割り当てられます。 |
product_installed |
additional.fields.value.string_value |
未加工ログの product_installed の値が、キーが「product_installed」の additional.fields オブジェクトに値として割り当てられます。 |
product_version |
metadata.product_version |
未加工ログの product_version の値が metadata.product_version に割り当てられます。 |
protocol_id |
network.ip_protocol |
protocol_id が「6」の場合、パーサーは network.ip_protocol を「TCP」に設定します。 |
request |
target.url |
未加工ログの request の値が target.url に割り当てられます。 |
security_result.action |
security_result.action |
パーサーは、main_action、actionTaken、status、または final_status フィールドに基づいて security_result.action フィールドを設定します。これらのフィールドのいずれにも有効なアクションが指定されていない場合、デフォルトは「UNKNOWN_ACTION」になります。 |
security_result.action_details |
security_result.action_details |
パーサーは、main_action、actionTaken、status、または final_status フィールドに基づいて security_result.action_details フィールドを設定します。 |
security_result.category |
security_result.category |
パーサーは、event_name が「Antiphishing」の場合は security_result.category フィールドを「PHISHING」に、event_name が「AntiMalware」の場合は「SOFTWARE_MALICIOUS」に設定します。または、sec_category フィールドの値をマージします。 |
security_result.category_details |
security_result.category_details |
パーサーは、block_type フィールドまたは attack_types フィールドに基づいて security_result.category_details フィールドを設定します。 |
security_result.detection_fields |
security_result.detection_fields |
パーサーは、「malware_type」、「attack_entry」、「BitdefenderGZAttCkId」、「BitdefenderGZEndpointId」、「final_status」、「detection attackTechnique」、「computer_name」など、さまざまなフィールドの security_result.detection_fields オブジェクトを作成します。 |
security_result.description |
security_result.description |
パーサーは、main_action、actionTaken、または final_status フィールドに基づいて security_result.description フィールドを設定します。 |
security_result.severity |
security_result.severity |
パーサーは、severity フィールドが空ではなく、module が「new-incident」の場合、このフィールドの大文字の値に基づいて security_result.severity フィールドを設定します。 |
security_result.severity_details |
security_result.severity_details |
パーサーは、severity_score フィールドに基づいて security_result.severity_details フィールドを設定します。 |
security_result.threat_name |
security_result.threat_name |
パーサーは、malware_name フィールドまたは detection_name フィールドに基づいて security_result.threat_name フィールドを設定します。 |
severity |
security_result.severity |
未加工ログの severity の値は、空でない場合と module が「new-incident」の場合、大文字に変換されて security_result.severity に割り当てられます。 |
severity_score |
security_result.severity_details |
未加工ログの severity_score の値が文字列に変換され、security_result.severity_details に割り当てられます。 |
source_host |
observer.ip |
未加工ログの source_host の値が observer.ip に割り当てられます。 |
source_hwid |
principal.resource.id |
未加工ログの source_hwid の値が principal.resource.id に割り当てられます。 |
source_ip |
src.ip |
未加工ログの source_ip の値が src.ip に割り当てられます。 |
source_port |
principal.port |
未加工ログの source_port の値が整数に変換され、principal.port に割り当てられます。 |
spt |
principal.port |
未加工ログの spt の値が principal.port に割り当てられます。 |
sproc |
principal.process.command_line |
未加工ログの sproc の値が principal.process.command_line に割り当てられます。 |
src |
principal.ip |
未加工ログの src の値が principal.ip に割り当てられます。 |
src.ip |
src.ip |
パーサーは、source_ip フィールドに基づいて src.ip フィールドを設定します。 |
src.file.full_path |
src.file.full_path |
パーサーは、old_path フィールドに基づいて src.file.full_path フィールドを設定します。 |
status |
security_result.action_details |
未加工ログの status の値が security_result.action_details に割り当てられます。この値に基づいて、security_result.action フィールドが設定されます(例: 「portscan_blocked」と「uc_site_blocked」は「BLOCK」にマッピングされます)。security_result.description フィールドには、「status:」の後に status の値が設定されます。 |
suid |
principal.user.userid |
未加工ログの suid の値が principal.user.userid に割り当てられます。 |
suser |
principal.user.user_display_name |
未加工ログの suser の値が principal.user.user_display_name に割り当てられます。 |
target.file.full_path |
target.file.full_path |
パーサーは、path フィールドまたは new_path フィールドに基づいて target.file.full_path フィールドを設定します。 |
target.hostname |
target.hostname |
パーサーは、hostname フィールドに基づいて target.hostname フィールドを設定します。 |
target.ip |
target.ip |
パーサーは、ip_dest フィールドまたは destination_ip フィールドに基づいて target.ip フィールドを設定します。 |
target.platform |
target.platform |
パーサーは、principal.platform フィールドに基づいて target.platform フィールドを設定します。 |
target.platform_version |
target.platform_version |
パーサーは、principal.platform_version フィールドに基づいて target.platform_version フィールドを設定します。 |
target.port |
target.port |
パーサーは、port_dest フィールドまたは destination_port フィールドに基づいて target.port フィールドを設定します。 |
target.process.command_line |
target.process.command_line |
パーサーは、command_line、process_command_line、または cmd_line フィールドに基づいて target.process.command_line フィールドを設定します。 |
target.process.file.full_path |
target.process.file.full_path |
パーサーは、process_path フィールドに基づいて target.process.file.full_path フィールドを設定します。 |
target.process.pid |
target.process.pid |
パーサーは、pid フィールドに基づいて target.process.pid フィールドを設定します。 |
target.registry.registry_key |
target.registry.registry_key |
パーサーは、key_path フィールドに基づいて target.registry.registry_key フィールドを設定します。 |
target.registry.registry_value_data |
target.registry.registry_value_data |
パーサーは、data フィールドに基づいて target.registry.registry_value_data フィールドを設定します。 |
target.registry.registry_value_name |
target.registry.registry_value_name |
パーサーは、value フィールドに基づいて target.registry.registry_value_name フィールドを設定します。 |
target.resource.id |
target.resource.id |
パーサーは、hwid フィールドまたは BitdefenderGZHwId フィールドに基づいて target.resource.id フィールドを設定します。 |
target.url |
target.url |
パーサーは、request フィールドに基づいて target.url フィールドを設定します。 |
target.user.company_name |
target.user.company_name |
パーサーは、companyId フィールドに基づいて target.user.company_name フィールドを設定します。 |
target.user.user_display_name |
target.user.user_display_name |
パーサーは、user.name フィールドまたは user.userName フィールドに基づいて target.user.user_display_name フィールドを設定します。 |
target.user.userid |
target.user.userid |
パーサーは、user_name、user、user.id、または extra_info.user フィールドに基づいて target.user.userid フィールドを設定します。 |
target_pid |
target.process.pid |
未加工ログの target_pid の値が target.process.pid に割り当てられます。 |
timestamp |
metadata.event_timestamp |
未加工ログの timestamp の値が解析され、metadata.event_timestamp に割り当てられます。 |
uc_type |
network.application_protocol |
未加工ログの uc_type の値は大文字に変換され、network.application_protocol に割り当てられます。target_user_userid が空でない場合、metadata.event_type は「USER_UNCATEGORIZED」に設定されます。それ以外の場合は、「STATUS_UPDATE」に設定されます。 |
url |
principal.url |
未加工ログの url の値が空でないか「0.0.0.0」でない場合、その値が principal.url に割り当てられます。 |
user |
target.user.userid |
未加工ログの user の値が target.user.userid に割り当てられます。 |
user.id |
target.user.userid |
未加工ログの user.id の値が target.user.userid に割り当てられます。 |
user.name |
target.user.user_display_name |
未加工ログの user.name の値が target.user.user_display_name に割り当てられます。 |
user.userName |
target.user.user_display_name |
未加工ログの user.userName の値が target.user.user_display_name に割り当てられます。 |
user.userSid |
principal.user.windows_sid |
未加工ログの user.userSid の値が principal.user.windows_sid に割り当てられます。 |
user_name |
target.user.userid |
未加工ログの user_name の値が target.user.userid に割り当てられます。 |
value |
target.registry.registry_value_data または target.registry.registry_value_name |
event_name が「reg_delete_value」の場合、未加工ログの value の値が target.registry.registry_value_data に割り当てられます。それ以外の場合は target.registry.registry_value_name に割り当てられます。 |
変更
2023-05-02
- CEF 形式で取り込まれたログを解析しました。
2022-09-28
- 「status」が「portscan_blocked」または「uc_site_blocked」の場合に、「security_result.action」を「BLOCK」にマッピングしました。
- 「main_action」が「blocked」の場合に、「security_result.action」を「BLOCK」にマッピングしました。
- 「actionTaken」が「block」の場合に、「security_result.action」を「BLOCK」にマッピングしました。
- 「final_status」が「blocked」または「deleted」の場合に、「security_result.action」を「BLOCK」にマッピングしました。
- 「final_status」が「ignored」または「still present」の場合に、「security_result.action」を「ALLOW」にマッピングしました。
- 「main_action」が「no action」の場合に、「security_result.action」を「ALLOW」にマッピングしました。
- 「final_status」が「quarantined」の場合に、「security_result.action」を「QUARANTINE」にマッピングしました。
- 「final_status」が「disinfected」または「restored」の場合に、「security_result.action」を「ALLOW_WITH_MODIFICATION」にマッピングしました。
2022-08-17
- 機能拡張 - 「source_ip」のマッピングを「principal.ip」から「srcc.ip」に変更しました。
- 「module」が「network-monitor」または「fw」の場合に、「event_type」を「SCAN_NETWORK」に設定しました。
- 「user.userSid」を「principal.user.windows_sid」にマッピングしました。
- 「user.userName」を「target.user.user_display_name」にマッピングしました。
- 「protocol_id」を「network.ip_protocol」にマッピングしました。
- 「status」が「portscan_blocked」または「uc_site_blocked」の場合に、「security_result.action」を「BLOCK」に設定します。
- 「src_port」を「principal.port」にマッピングしました。
- 「actionTaken」を「security_result.action」にマッピングしました。
- 「detection_attackTechnique」を「security_result.detection_fields」にマッピングしました。
2022-08-13
- バグの修正 - フィールド「computer_name」のマッピングを「principal.asset.hostname」から「event.idm.read_only_udm.principal.resource.attribute.labels」に変更しました。
2022-08-11
- バグの修正 - 「security_result.action」にマッピングされたフィールド「main_action」の条件付きチェックを変更しました。
- 「task-status」モジュールを含むログの「STATUS_UPDATE」を「metadata.event_type」にマッピングしました。
2022-04-14
- 機能強化 - computer_name、computer_id、uc_type、block_type、status、product_installed のマッピングを追加しました。
2022-03-30
- バグの修正 - タイムスタンプ エラーを修正し、user.id、user.name、companyId、computer_name、computer_fqdn、computer_ip、computer_id、url、categories の各フィールドをマッピングしました。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps の専門家から回答を得る。