Bitdefender 로그 수집

다음에서 지원:

이 파서는 CEF 또는 CSV 형식의 Bitdefender 로그를 추출하고, 필드를 UDM으로 정규화하며, event_namemodule 필드를 기반으로 특정 작업을 실행합니다. 파일 작업, 네트워크 연결, 프로세스 생성, 레지스트리 수정과 같은 다양한 이벤트 유형을 처리하고 관련 정보를 적절한 UDM 필드에 매핑하며 원시 로그의 추가 컨텍스트로 데이터를 보강합니다.

시작하기 전에

  • Google Security Operations 인스턴스가 있는지 확인합니다.
  • Windows 2016 이상 또는 systemd가 있는 Linux 호스트가 있는지 확인합니다.
  • 프록시 뒤에서 실행하는 경우 방화벽 포트가 열려 있는지 확인합니다.
  • Bitdefender에 대한 액세스 권한이 있는지 확인합니다.

Google SecOps 처리 인증 파일 가져오기

  1. Google SecOps 콘솔에 로그인합니다.
  2. SIEM 설정 > 수집 에이전트로 이동합니다.
  3. 처리 인증 파일을 다운로드합니다.

Google SecOps 고객 ID 가져오기

  1. Google SecOps 콘솔에 로그인합니다.
  2. SIEM 설정 > 프로필로 이동합니다.
  3. 조직 세부정보 섹션에서 고객 ID를 복사하여 저장합니다.

BindPlane 에이전트 설치

  1. Windows 설치의 경우 다음 스크립트를 실행합니다.
    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
  2. Linux 설치의 경우 다음 스크립트를 실행합니다.
    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
  3. 추가 설치 옵션은 이 설치 가이드에서 확인할 수 있습니다.

Syslog를 수집하고 Google SecOps로 전송하도록 BindPlane 에이전트 구성

  1. BindPlane이 설치된 머신에 액세스합니다.

  2. 다음과 같이 config.yaml 파일을 수정합니다.

    receivers:
    tcplog:
        # Replace the below port <54525> and IP <0.0.0.0> with your specific values
        listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: bitdefender
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

  3. BindPlane 에이전트를 다시 시작하여 변경사항을 적용합니다.

    sudo systemctl restart bindplane

Bitdefender GravityZone에서 Syslog 스트리밍 구성

  1. GravityZone Control Center에 로그인합니다.
  2. 구성 > 통합 > Syslog로 이동합니다.
  3. Syslog Server 추가를 클릭합니다.
  4. 다음과 같은 세부정보를 제공합니다.
    • 이름: 시스템로그 서버의 고유한 이름을 지정합니다 (예: CentralSyslog).
    • IP 주소/호스트 이름: Bindplane 서버의 IP 주소 또는 호스트 이름을 입력합니다.
    • 프로토콜: 사용할 프로토콜(TCP / UDP)을 선택합니다.
    • 포트: Bindplane 서버의 포트 번호를 지정합니다.
    • 스트리밍할 로그 유형을 선택합니다 (예: 악성코드 방지 이벤트, 네트워크 공격 방어 (NAD) 이벤트, 웹 제어 이벤트, 방화벽 이벤트, 정책 변경).
    • 선택사항: 특정 이벤트 유형을 포함하거나 제외하도록 필터를 구성합니다.
  5. 저장을 클릭합니다.

UDM 매핑 표

로그 필드 UDM 매핑 논리
BitdefenderGZAttackEntry security_result.detection_fields.value 원시 로그의 BitdefenderGZAttackEntry 값은 키가 'attack_entry'인 security_result.detection_fields 객체에 값으로 할당됩니다.
BitdefenderGZAttackTypes security_result.category_details 원시 로그의 BitdefenderGZAttackTypes 값이 security_result.category_details에 할당됩니다. 그런 다음 값이 개별 문자열로 분할되고 각 문자열이 security_result.category_details 배열에 값으로 추가됩니다.
BitdefenderGZAttCkId security_result.detection_fields.value 원시 로그의 BitdefenderGZAttCkId 값은 키가 'BitdefenderGZAttCkId'인 security_result.detection_fields 객체에 값으로 할당됩니다.
BitdefenderGZCompanyId target.user.company_name 원시 로그의 BitdefenderGZCompanyId 값이 target.user.company_name에 할당됩니다.
BitdefenderGZComputerFQDN principal.asset.network_domain 원시 로그의 BitdefenderGZComputerFQDN 값이 principal.asset.network_domain에 할당됩니다.
BitdefenderGZDetectionName security_result.threat_name 원시 로그의 BitdefenderGZDetectionName 값이 security_result.threat_name에 할당됩니다.
BitdefenderGZEndpointId security_result.detection_fields.value 원시 로그의 BitdefenderGZEndpointId 값은 키가 'BitdefenderGZEndpointId'인 security_result.detection_fields 객체에 값으로 할당됩니다.
BitdefenderGZIncidentId metadata.product_log_id 원시 로그의 BitdefenderGZIncidentId 값이 metadata.product_log_id에 할당됩니다.
BitdefenderGZMainAction security_result.action_details 원시 로그의 BitdefenderGZMainAction 값이 security_result.action_details에 할당됩니다. 이 값에 따라 security_result.action 필드가 설정됩니다 (예: '차단됨'이 'BLOCK'에 매핑됨) security_result.description 필드에는 'main_action: '과 BitdefenderGZMainAction 값이 채워집니다.
BitdefenderGZMalwareHash principal.process.file.sha256 원시 로그의 BitdefenderGZMalwareHash 값이 principal.process.file.sha256에 할당됩니다.
BitdefenderGZMalwareName security_result.threat_name 원시 로그의 BitdefenderGZMalwareName 값이 security_result.threat_name에 할당됩니다.
BitdefenderGZMalwareType security_result.detection_fields.value 원시 로그의 BitdefenderGZMalwareType 값은 키가 'malware_type'인 security_result.detection_fields 객체에 값으로 할당됩니다.
BitdefenderGZModule metadata.product_event_type 원시 로그의 BitdefenderGZModule 값이 metadata.product_event_type에 할당됩니다.
BitdefenderGZSeverityScore security_result.severity_details 원시 로그의 BitdefenderGZSeverityScore 값이 security_result.severity_details에 할당됩니다.
BitdefenderGZHwId target.resource.id 원시 로그의 BitdefenderGZHwId 값이 target.resource.id에 할당됩니다.
act security_result.action_details 원시 로그의 act 값이 security_result.action_details에 할당됩니다.
actionTaken security_result.action_details 원시 로그의 actionTaken 값이 security_result.action_details에 할당됩니다. 이 값에 따라 security_result.action 필드가 설정됩니다 (예: 'block'이 'BLOCK'에 매핑됨) security_result.description 필드에는 'actionTaken: '과 actionTaken 값이 채워집니다.
additional.fields additional.fields 파서 로직은 'product_installed'의 키-값 쌍을 만들고 additional.fields 객체에 추가합니다.
categories principal.asset.category 원시 로그의 categories 값이 principal.asset.category에 할당됩니다.
cmd_line target.process.command_line 원시 로그의 cmd_line 값이 target.process.command_line에 할당됩니다.
companyId target.user.company_name 원시 로그의 companyId 값이 target.user.company_name에 할당됩니다.
computer_fqdn principal.asset.network_domain 원시 로그의 computer_fqdn 값이 principal.asset.network_domain에 할당됩니다.
computer_id principal.asset.asset_id 원시 로그의 computer_id 값은 'ComputerId:'를 접두사로 추가한 후 principal.asset.asset_id에 할당됩니다.
computer_ip principal.asset.ip 원시 로그의 computer_ip 값이 파싱되고 쉼표로 구분된 후 각 결과 IP 주소가 principal.asset.ip 배열에 추가됩니다.
computer_name principal.resource.attribute.labels.value 원시 로그의 computer_name 값은 키가 'computer_name'인 principal.resource.attribute.labels 객체에 값으로 할당됩니다. 또한 키가 'computer_name'인 security_result.detection_fields 객체에 값으로 추가됩니다.
column1 metadata.product_log_id 원시 로그의 column1 값이 metadata.product_log_id에 할당됩니다.
column3 observer.ip 원시 로그의 column3 값이 observer.ip에 할당됩니다.
command_line target.process.command_line 원시 로그의 command_line 값이 target.process.command_line에 할당됩니다.
data target.registry.registry_value_data 원시 로그의 data 값이 target.registry.registry_value_data에 할당됩니다.
detection_attackTechnique security_result.detection_fields.value 원시 로그의 detection_attackTechnique 값은 키가 'detection attackTechnique'인 security_result.detection_fields 객체에 값으로 할당됩니다.
detection_name security_result.threat_name 원시 로그의 detection_name 값이 security_result.threat_name에 할당됩니다.
destination_ip target.ip 원시 로그의 destination_ip 값이 target.ip에 할당됩니다.
destination_port target.port 원시 로그의 destination_port 값이 target.port에 할당됩니다.
direction network.direction 원시 로그의 direction 값은 대문자로 변환되어 network.direction에 할당됩니다.
dvc principal.ip 원시 로그의 dvc 값이 파싱되고 쉼표로 구분된 후 각 결과 IP 주소가 principal.ip 배열에 추가됩니다.
dvchost about.hostname 원시 로그의 dvchost 값이 about.hostname에 할당됩니다.
event_description metadata.description 원시 로그의 event_description 값이 metadata.description에 할당됩니다.
event_name metadata.product_event_type 원시 로그의 event_name 값이 metadata.product_event_type에 할당됩니다. 값이 'Antiphishing'인 경우 security_result.category은 'PHISHING'으로 설정됩니다. 값이 'AntiMalware'인 경우 security_result.category는 'SOFTWARE_MALICIOUS'로 설정됩니다. metadata.event_type 필드는 파서 내의 일련의 조건문을 사용하여 event_name에서 파생됩니다.
ev metadata.product_event_type 원시 로그의 ev 값이 metadata.product_event_type에 할당됩니다.
extra_info.command_line target.process.command_line 원시 로그의 extra_info.command_line 값이 target.process.command_line에 할당됩니다.
extra_info.parent_pid principal.process.pid 원시 로그의 extra_info.parent_pid 값이 principal.process.pid에 할당됩니다.
extra_info.parent_process_cmdline principal.process.command_line 원시 로그의 extra_info.parent_process_cmdline 값이 principal.process.command_line에 할당됩니다.
extra_info.parent_process_path principal.process.file.full_path 원시 로그의 extra_info.parent_process_path 값이 principal.process.file.full_path에 할당됩니다.
extra_info.pid target.process.pid 원시 로그의 extra_info.pid 값이 target.process.pid에 할당됩니다.
extra_info.process_path target.process.file.full_path 원시 로그의 extra_info.process_path 값이 target.process.file.full_path에 할당됩니다.
extra_info.user target.user.userid 원시 로그의 extra_info.user 값이 target.user.userid에 할당됩니다.
filePath principal.process.file.full_path 원시 로그의 filePath 값이 principal.process.file.full_path에 할당됩니다.
file_path principal.process.file.full_path 원시 로그의 file_path 값이 principal.process.file.full_path에 할당됩니다.
final_status security_result.action_details 원시 로그의 final_status 값이 security_result.action_details에 할당됩니다. 이 값에 따라 security_result.action 필드가 설정됩니다 (예: '삭제됨'은 '차단'에 매핑되고 '무시됨'은 '허용'에 매핑됩니다. security_result.description 필드에는 'final_status: '와 final_status 값이 채워집니다. 값이 '삭제됨' 또는 '차단됨'인 경우 metadata.event_type는 'SCAN_NETWORK'로 설정됩니다.
hash principal.process.file.sha256 원시 로그의 hash 값이 principal.process.file.sha256에 할당됩니다.
host principal.hostname 원시 로그의 host 값이 principal.hostname에 할당됩니다.
hostname principal.hostname event_name이 'log_on' 또는 'log_out'이 아닌 경우 원시 로그의 hostname 값이 principal.hostname에 할당됩니다. 그렇지 않으면 target.hostname로 할당됩니다.
host_name principal.hostname 원시 로그의 host_name 값이 principal.hostname에 할당됩니다.
hwid principal.resource.id 원시 로그의 hwid 값이 비어 있지 않으면 principal.resource.id에 할당됩니다. 값이 비어 있고 이벤트가 'log_on' 또는 'log_out'이 아닌 경우 source_hwid 값이 principal.resource.id에 할당됩니다. 이벤트가 'log_on' 또는 'log_out'인 경우 target.resource.id에 할당됩니다.
incident_id metadata.product_log_id 원시 로그의 incident_id 값이 metadata.product_log_id에 할당됩니다.
ip_dest target.ip 원시 로그의 ip_dest 값이 target.ip에 할당됩니다.
ip_source principal.ip 원시 로그의 ip_source 값이 principal.ip에 할당됩니다.
key_path target.registry.registry_key 원시 로그의 key_path 값이 target.registry.registry_key에 할당됩니다.
local_port principal.port 원시 로그의 local_port 값이 정수로 변환되어 principal.port에 할당됩니다.
logon_type extensions.auth.mechanism 원시 로그의 logon_type 값은 extensions.auth.mechanism 값을 결정하는 데 사용됩니다. logon_type의 서로 다른 숫자 값은 서로 다른 인증 메커니즘에 매핑됩니다 (예: 2는 'LOCAL'에, 3은 'NETWORK'에 매핑됩니다. 일치하는 logon_type가 없으면 메커니즘이 'MECHANISM_UNSPECIFIED'로 설정됩니다.
lurker_id intermediary.resource.id 원시 로그의 lurker_id 값이 intermediary.resource.id에 할당됩니다.
main_action security_result.action_details 원시 로그의 main_action 값이 security_result.action_details에 할당됩니다. 이 값을 기반으로 security_result.action 필드가 설정됩니다 (예: '차단됨'은 '차단'에, '조치 없음'은 '허용'에 매핑됩니다. security_result.description 필드에는 'main_action: '과 main_action 값이 채워집니다.
malware_name security_result.threat_name 원시 로그의 malware_name 값이 security_result.threat_name에 할당됩니다.
malware_type security_result.detection_fields.value 원시 로그의 malware_type 값은 키가 'malware_type'인 security_result.detection_fields 객체에 값으로 할당됩니다.
metadata.description metadata.description 파서는 event_name 필드를 기반으로 metadata.description 필드를 설정합니다.
metadata.event_type metadata.event_type 파서는 event_name 필드를 기반으로 metadata.event_type 필드를 설정합니다.
metadata.product_event_type metadata.product_event_type 파서는 event_name 또는 module 필드를 기반으로 metadata.product_event_type 필드를 설정합니다.
metadata.product_log_id metadata.product_log_id 파서는 msg_id 또는 incident_id 필드를 기반으로 metadata.product_log_id 필드를 설정합니다.
metadata.product_name metadata.product_name 파서는 metadata.product_name를 'BitDefender EDR'으로 설정합니다.
metadata.product_version metadata.product_version 파서는 product_version 필드의 이름을 metadata.product_version로 바꿉니다.
metadata.vendor_name metadata.vendor_name 파서는 metadata.vendor_name를 'BitDefender'로 설정합니다.
module metadata.product_event_type 원시 로그의 module 값이 metadata.product_event_type에 할당됩니다. 값이 'new-incident'이고 target_process_file_full_path가 비어 있지 않으면 metadata.event_type가 'PROCESS_UNCATEGORIZED'로 설정됩니다. 값이 'task-status'인 경우 metadata.event_type은 'STATUS_UPDATE'로 설정됩니다. 값이 'network-monitor' 또는 'fw'인 경우 metadata.event_type는 'SCAN_NETWORK'로 설정됩니다.
msg_id metadata.product_log_id 원시 로그의 msg_id 값이 metadata.product_log_id에 할당됩니다.
network.application_protocol network.application_protocol 원시 로그의 uc_type 값이 대문자로 변환되어 network.application_protocol에 할당됩니다.
network.direction network.direction 파서는 direction 필드를 기반으로 network.direction 필드를 설정합니다.
network.ip_protocol network.ip_protocol protocol_id이 '6'이면 파서는 network.ip_protocol를 'TCP'로 설정합니다.
new_path target.file.full_path 원시 로그의 new_path 값이 target.file.full_path에 할당됩니다.
old_path src.file.full_path 원시 로그의 old_path 값이 src.file.full_path에 할당됩니다.
origin_ip intermediary.ip 원시 로그의 origin_ip 값이 intermediary.ip에 할당됩니다.
os principal.platform_version 원시 로그의 os 값이 principal.platform_version에 할당됩니다. principal.platform 필드는 os에서 파생됩니다 (예: 'Win'이 'WINDOWS'에 매핑됨). 이벤트가 'log_on' 또는 'log_out'인 경우 principal.platformprincipal.platform_version 필드의 이름이 각각 target.platformtarget.platform_version로 바뀝습니다.
os_type principal.platform 원시 로그의 os_type 값은 principal.platform 값을 결정하는 데 사용됩니다 (예: 'Win'이 'WINDOWS'에 매핑됨).
parent_pid principal.process.pid 원시 로그의 parent_pid 값이 principal.process.pid에 할당됩니다.
parent_process_path principal.process.file.full_path 원시 로그의 parent_process_path 값이 principal.process.file.full_path에 할당됩니다.
parent_process_pid principal.process.pid 원시 로그의 parent_process_pid 값이 principal.process.pid에 할당됩니다.
path target.file.full_path 원시 로그의 path 값이 target.file.full_path에 할당됩니다.
pid principal.process.pid 또는 target.process.pid 원시 로그의 pid 값은 event_name가 'file' 또는 'reg'로 시작하거나 'process_signal', 'network_connection', 'connection_connect' 중 하나인 경우 principal.process.pid에 할당됩니다. 그렇지 않으면 target.process.pid로 할당됩니다.
pid_path principal.process.file.full_path 원시 로그의 pid_path 값이 principal.process.file.full_path에 할당됩니다.
port_dest target.port 원시 로그의 port_dest 값이 정수로 변환되고 target.port에 할당됩니다.
port_source principal.port 원시 로그의 port_source 값이 정수로 변환되어 principal.port에 할당됩니다.
ppid principal.process.pid 원시 로그의 ppid 값이 principal.process.pid에 할당됩니다.
principal.ip principal.ip 파서는 ip_source 또는 dvc 필드를 기반으로 principal.ip 필드를 설정합니다.
principal.platform principal.platform 파서는 os 또는 os_type 필드를 기반으로 principal.platform 필드를 설정합니다.
principal.platform_version principal.platform_version 파서는 os 또는 osi_version 필드를 기반으로 principal.platform_version 필드를 설정합니다.
principal.process.command_line principal.process.command_line 파서는 parent_process_cmdline 필드를 기반으로 principal.process.command_line 필드를 설정합니다.
principal.process.file.full_path principal.process.file.full_path 파서는 pid_path, file_path, parent_process_path 또는 process_path 필드를 기반으로 principal.process.file.full_path 필드를 설정합니다.
principal.process.file.md5 principal.process.file.md5 파서는 file_hash_md5 필드의 이름을 principal.process.file.md5로 바꿉니다.
principal.process.file.sha256 principal.process.file.sha256 파서는 hash, BitdefenderGZMalwareHash 또는 file_hash_sha256 필드를 기반으로 principal.process.file.sha256 필드를 설정합니다.
principal.process.parent_process.pid principal.process.parent_process.pid 파서는 ppid 필드의 이름을 principal.process.parent_process.pid로 바꿉니다.
principal.process.pid principal.process.pid 파서는 pid, parent_pid, ppid 또는 parent_process_pid 필드를 기반으로 principal.process.pid 필드를 설정합니다.
principal.resource.id principal.resource.id 파서는 hwid 또는 source_hwid 필드를 기반으로 principal.resource.id 필드를 설정합니다.
principal.url principal.url 파서는 url 필드를 기반으로 principal.url 필드를 설정합니다.
process_command_line target.process.command_line 원시 로그의 process_command_line 값이 target.process.command_line에 할당됩니다.
process_path principal.process.file.full_path 또는 target.process.file.full_path 원시 로그의 process_path 값은 event_name가 'network_connection' 또는 'connection_connect'인 경우 principal.process.file.full_path에 할당됩니다. 그렇지 않으면 target.process.file.full_path로 할당됩니다.
product_installed additional.fields.value.string_value 원시 로그의 product_installed 값은 키가 'product_installed'인 additional.fields 객체에 값으로 할당됩니다.
product_version metadata.product_version 원시 로그의 product_version 값이 metadata.product_version에 할당됩니다.
protocol_id network.ip_protocol protocol_id이 '6'이면 파서는 network.ip_protocol를 'TCP'로 설정합니다.
request target.url 원시 로그의 request 값이 target.url에 할당됩니다.
security_result.action security_result.action 파서는 main_action, actionTaken, status 또는 final_status 필드를 기반으로 security_result.action 필드를 설정합니다. 이러한 필드 중 하나라도 유효한 작업을 제공하지 않으면 기본값은 'UNKNOWN_ACTION'입니다.
security_result.action_details security_result.action_details 파서는 main_action, actionTaken, status 또는 final_status 필드를 기반으로 security_result.action_details 필드를 설정합니다.
security_result.category security_result.category 파서는 event_name이 'Antiphishing'인 경우 security_result.category 필드를 'PHISHING'으로, event_name이 'AntiMalware'인 경우 'SOFTWARE_MALICIOUS'로 설정하거나 sec_category 필드의 값을 병합합니다.
security_result.category_details security_result.category_details 파서는 block_type 또는 attack_types 필드를 기반으로 security_result.category_details 필드를 설정합니다.
security_result.detection_fields security_result.detection_fields 파서는 'malware_type', 'attack_entry', 'BitdefenderGZAttCkId', 'BitdefenderGZEndpointId', 'final_status', 'detection attackTechnique', 'computer_name'을 비롯한 다양한 필드의 security_result.detection_fields 객체를 만듭니다.
security_result.description security_result.description 파서는 main_action, actionTaken 또는 final_status 필드를 기반으로 security_result.description 필드를 설정합니다.
security_result.severity security_result.severity 파서는 severity 필드가 비어 있지 않고 module가 'new-incident'인 경우 severity 필드의 대문자 값을 기반으로 security_result.severity 필드를 설정합니다.
security_result.severity_details security_result.severity_details 파서는 severity_score 필드를 기반으로 security_result.severity_details 필드를 설정합니다.
security_result.threat_name security_result.threat_name 파서는 malware_name 또는 detection_name 필드를 기반으로 security_result.threat_name 필드를 설정합니다.
severity security_result.severity 원시 로그의 severity 값은 대문자로 변환되고 빈 값이 아니며 module이 'new-incident'인 경우 security_result.severity에 할당됩니다.
severity_score security_result.severity_details 원시 로그의 severity_score 값이 문자열로 변환되어 security_result.severity_details에 할당됩니다.
source_host observer.ip 원시 로그의 source_host 값이 observer.ip에 할당됩니다.
source_hwid principal.resource.id 원시 로그의 source_hwid 값이 principal.resource.id에 할당됩니다.
source_ip src.ip 원시 로그의 source_ip 값이 src.ip에 할당됩니다.
source_port principal.port 원시 로그의 source_port 값이 정수로 변환되어 principal.port에 할당됩니다.
spt principal.port 원시 로그의 spt 값이 principal.port에 할당됩니다.
sproc principal.process.command_line 원시 로그의 sproc 값이 principal.process.command_line에 할당됩니다.
src principal.ip 원시 로그의 src 값이 principal.ip에 할당됩니다.
src.ip src.ip 파서는 source_ip 필드를 기반으로 src.ip 필드를 설정합니다.
src.file.full_path src.file.full_path 파서는 old_path 필드를 기반으로 src.file.full_path 필드를 설정합니다.
status security_result.action_details 원시 로그의 status 값이 security_result.action_details에 할당됩니다. 이 값에 따라 security_result.action 필드가 설정됩니다 (예: 'portscan_blocked' 및 'uc_site_blocked'가 'BLOCK'에 매핑됨). security_result.description 필드에는 'status: '와 status 값이 채워집니다.
suid principal.user.userid 원시 로그의 suid 값이 principal.user.userid에 할당됩니다.
suser principal.user.user_display_name 원시 로그의 suser 값이 principal.user.user_display_name에 할당됩니다.
target.file.full_path target.file.full_path 파서는 path 또는 new_path 필드를 기반으로 target.file.full_path 필드를 설정합니다.
target.hostname target.hostname 파서는 hostname 필드를 기반으로 target.hostname 필드를 설정합니다.
target.ip target.ip 파서는 ip_dest 또는 destination_ip 필드를 기반으로 target.ip 필드를 설정합니다.
target.platform target.platform 파서는 principal.platform 필드를 기반으로 target.platform 필드를 설정합니다.
target.platform_version target.platform_version 파서는 principal.platform_version 필드를 기반으로 target.platform_version 필드를 설정합니다.
target.port target.port 파서는 port_dest 또는 destination_port 필드를 기반으로 target.port 필드를 설정합니다.
target.process.command_line target.process.command_line 파서는 command_line, process_command_line 또는 cmd_line 필드를 기반으로 target.process.command_line 필드를 설정합니다.
target.process.file.full_path target.process.file.full_path 파서는 process_path 필드를 기반으로 target.process.file.full_path 필드를 설정합니다.
target.process.pid target.process.pid 파서는 pid 필드를 기반으로 target.process.pid 필드를 설정합니다.
target.registry.registry_key target.registry.registry_key 파서는 key_path 필드를 기반으로 target.registry.registry_key 필드를 설정합니다.
target.registry.registry_value_data target.registry.registry_value_data 파서는 data 필드를 기반으로 target.registry.registry_value_data 필드를 설정합니다.
target.registry.registry_value_name target.registry.registry_value_name 파서는 value 필드를 기반으로 target.registry.registry_value_name 필드를 설정합니다.
target.resource.id target.resource.id 파서는 hwid 또는 BitdefenderGZHwId 필드를 기반으로 target.resource.id 필드를 설정합니다.
target.url target.url 파서는 request 필드를 기반으로 target.url 필드를 설정합니다.
target.user.company_name target.user.company_name 파서는 companyId 필드를 기반으로 target.user.company_name 필드를 설정합니다.
target.user.user_display_name target.user.user_display_name 파서는 user.name 또는 user.userName 필드를 기반으로 target.user.user_display_name 필드를 설정합니다.
target.user.userid target.user.userid 파서는 user_name, user, user.id 또는 extra_info.user 필드를 기반으로 target.user.userid 필드를 설정합니다.
target_pid target.process.pid 원시 로그의 target_pid 값이 target.process.pid에 할당됩니다.
timestamp metadata.event_timestamp 원시 로그의 timestamp 값이 파싱되어 metadata.event_timestamp에 할당됩니다.
uc_type network.application_protocol 원시 로그의 uc_type 값은 대문자로 변환되어 network.application_protocol에 할당됩니다. target_user_userid이 비어 있지 않으면 metadata.event_type이 'USER_UNCATEGORIZED'로 설정됩니다. 그렇지 않으면 'STATUS_UPDATE'로 설정됩니다.
url principal.url 원시 로그의 url 값이 비어 있지 않거나 '0.0.0.0'이 아닌 경우 principal.url에 할당됩니다.
user target.user.userid 원시 로그의 user 값이 target.user.userid에 할당됩니다.
user.id target.user.userid 원시 로그의 user.id 값이 target.user.userid에 할당됩니다.
user.name target.user.user_display_name 원시 로그의 user.name 값이 target.user.user_display_name에 할당됩니다.
user.userName target.user.user_display_name 원시 로그의 user.userName 값이 target.user.user_display_name에 할당됩니다.
user.userSid principal.user.windows_sid 원시 로그의 user.userSid 값이 principal.user.windows_sid에 할당됩니다.
user_name target.user.userid 원시 로그의 user_name 값이 target.user.userid에 할당됩니다.
value target.registry.registry_value_data 또는 target.registry.registry_value_name event_name이 'reg_delete_value'인 경우 원시 로그의 value 값이 target.registry.registry_value_data에 할당됩니다. 그렇지 않으면 target.registry.registry_value_name로 할당됩니다.

변경사항

2023-05-02

  • CEF 형식으로 처리된 파싱된 로그

2022-09-28

  • 'status'가 'portscan_blocked' 또는 'uc_site_blocked'인 경우 'security_result.action'이 'BLOCK'에 매핑되었습니다.
  • 'main_action'이 'blocked'인 경우 'security_result.action'이 'BLOCK'에 매핑되었습니다.
  • 'actionTaken'이 'block'인 경우 'security_result.action'이 'BLOCK'에 매핑되었습니다.
  • 'final_status'가 'blocked' 또는 'deleted'인 경우 'security_result.action'이 'BLOCK'에 매핑되었습니다.
  • 'final_status'가 'ignored' 또는 'still present'인 경우 'security_result.action'이 'ALLOW'에 매핑되었습니다.
  • 'main_action'이 'no action'인 경우 'security_result.action'이 'ALLOW'에 매핑되었습니다.
  • 'final_status'가 'quarantined'인 경우 'security_result.action'이 'QUARANTINE'에 매핑되었습니다.
  • 'final_status'가 'disinfected' 또는 'restored'인 경우 'security_result.action'이 'ALLOW_WITH_MODIFICATION'에 매핑되었습니다.

2022-08-17

  • 개선사항 - 'source_ip'의 매핑이 'principal.ip'에서 'srcc.ip'로 수정되었습니다.
  • 'module'이 'network-monitor' 또는 'fw'와 일치하는 경우 'event_type'을 'SCAN_NETWORK'로 설정합니다.
  • 'user.userSid'가 'principal.user.windows_sid'에 매핑되었습니다.
  • 'user.userName'이 'target.user.user_display_name'에 매핑되었습니다.
  • 'protocol_id'가 'network.ip_protocol'에 매핑되었습니다.
  • 'status'가 'portscan_blocked' 또는 'uc_site_blocked'와 일치하는 경우 'security_result.action'을 'BLOCK'으로 설정합니다.
  • 'local_port'가 'principal.port'에 매핑되었습니다.
  • 'actionTaken'이 'security_result.action'에 매핑되었습니다.
  • 'detection_attackTechnique'이 'security_result.detection_fields'에 매핑되었습니다.

2022-08-13

  • 버그 수정 - 'computer_name' 필드의 매핑이 'principal.asset.hostname'에서 'event.idm.read_only_udm.principal.resource.attribute.labels'로 수정되었습니다.

2022-08-11

  • 버그 수정 - 'security_result.action'에 매핑된 'main_action' 필드의 조건부 검사가 수정되었습니다.
  • 'task-status' 모듈이 있는 로그의 'STATUS_UPDATE'를 'metadata.event_type'에 매핑했습니다.

2022-04-14

  • 개선사항 - computer_name, computer_id, uc_type, block_type,status,product_installed에 대한 매핑이 추가되었습니다.

2022-03-30

  • 버그 수정 - 타임스탬프 오류를 수정하고 user.id, user.name, companyId, computer_name, computer_fqdn, computer_ip, computer_id, url, categories 필드를 매핑했습니다.