Coletar registros do Bitdefender
Esse analisador extrai os registros do Bitdefender no formato CEF ou CSV, normaliza os campos para o UDM e executa ações específicas com base nos campos event_name
e module. Ele processa vários tipos de eventos, como operações de arquivos, conexões de rede, criação de processos e modificações de registro, mapeando informações relevantes para os campos apropriados do UDM e enriquecendo os dados com contexto adicional dos registros brutos.
Antes de começar
- Verifique se você tem uma instância do Google Security Operations.
- Verifique se você tem um host do Windows 2016 ou mais recente ou um host Linux com systemd.
- Se estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas.
- Verifique se você tem acesso privilegiado ao Bitdefender.
Receber o arquivo de autenticação de ingestão do Google SecOps
- Faça login no console do Google SecOps.
- Acesse Configurações do SIEM > Agentes de coleta.
- Faça o download do arquivo de autenticação de transferência.
Receber o ID de cliente do Google SecOps
- Faça login no console do Google SecOps.
- Acesse Configurações do SIEM > Perfil.
- Copie e salve o ID do cliente na seção Detalhes da organização.
Instalar o agente do BindPlane
- Para a instalação do Windows, execute o seguinte script:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
- Para a instalação do Linux, execute o seguinte script:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
- Outras opções de instalação podem ser encontradas neste guia de instalação.
Configurar o agente BindPlane para ingerir o Syslog e enviar ao Google SecOps
- Acesse a máquina em que o BindPlane está instalado.
Edite o arquivo
config.yaml
da seguinte forma:receivers: tcplog: # Replace the below port <54525> and IP <0.0.0.0> with your specific values listen_address: "0.0.0.0:54525" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the creds location below according the placement of the credentials file you downloaded creds: '{ json file for creds }' # Replace <customer_id> below with your actual ID that you copied customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # You can apply ingestion labels below as preferred ingestion_labels: log_type: SYSLOG namespace: bitdefender raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - tcplog exporters: - chronicle/chronicle_w_labels
Reinicie o agente do BindPlane para aplicar as mudanças:
sudo systemctl restart bindplane
Configurar o streaming de syslog no Bitdefender GravityZone
- Faça login no Centro de Controle do GravityZone.
- Acesse Configuração > Integrações > Syslog.
- Clique em Adicionar servidor Syslog.
- Forneça os detalhes necessários:
- Nome: informe um nome exclusivo para o servidor syslog (por exemplo, CentralSyslog).
- Endereço IP/nome do host: insira o endereço IP ou o nome do host do servidor do Bindplane.
- Protocolo: selecione o protocolo a ser usado: TCP / UDP.
- Porta: especifique o número da porta do servidor do Bindplane.
- Selecione os tipos de registro para transmitir, por exemplo, Eventos de antimalware, Eventos de defesa contra ataques de rede (NAD, na sigla em inglês), Eventos de controle da Web, Eventos de firewall ou Mudanças de política.
- Opcional: configure filtros para incluir ou excluir tipos de eventos específicos.
- Clique em Salvar.
Tabela de mapeamento do UDM
Campo de registro | Mapeamento do UDM | Lógica |
---|---|---|
BitdefenderGZAttackEntry |
security_result.detection_fields.value |
O valor de BitdefenderGZAttackEntry do registro bruto é atribuído como um valor a um objeto security_result.detection_fields em que a chave é "attack_entry". |
BitdefenderGZAttackTypes |
security_result.category_details |
O valor de BitdefenderGZAttackTypes do registro bruto é atribuído a security_result.category_details . O valor é dividido em strings individuais, e cada string é adicionada como um valor à matriz security_result.category_details . |
BitdefenderGZAttCkId |
security_result.detection_fields.value |
O valor de BitdefenderGZAttCkId do registro bruto é atribuído como um valor a um objeto security_result.detection_fields em que a chave é "BitdefenderGZAttCkId". |
BitdefenderGZCompanyId |
target.user.company_name |
O valor de BitdefenderGZCompanyId do registro bruto é atribuído a target.user.company_name . |
BitdefenderGZComputerFQDN |
principal.asset.network_domain |
O valor de BitdefenderGZComputerFQDN do registro bruto é atribuído a principal.asset.network_domain . |
BitdefenderGZDetectionName |
security_result.threat_name |
O valor de BitdefenderGZDetectionName do registro bruto é atribuído a security_result.threat_name . |
BitdefenderGZEndpointId |
security_result.detection_fields.value |
O valor de BitdefenderGZEndpointId do registro bruto é atribuído como um valor a um objeto security_result.detection_fields em que a chave é "BitdefenderGZEndpointId". |
BitdefenderGZIncidentId |
metadata.product_log_id |
O valor de BitdefenderGZIncidentId do registro bruto é atribuído a metadata.product_log_id . |
BitdefenderGZMainAction |
security_result.action_details |
O valor de BitdefenderGZMainAction do registro bruto é atribuído a security_result.action_details . Com base nesse valor, o campo security_result.action é definido (por exemplo, "blocked" é mapeado para "BLOCK"). O campo security_result.description também é preenchido com "main_action: " seguido pelo valor de BitdefenderGZMainAction . |
BitdefenderGZMalwareHash |
principal.process.file.sha256 |
O valor de BitdefenderGZMalwareHash do registro bruto é atribuído a principal.process.file.sha256 . |
BitdefenderGZMalwareName |
security_result.threat_name |
O valor de BitdefenderGZMalwareName do registro bruto é atribuído a security_result.threat_name . |
BitdefenderGZMalwareType |
security_result.detection_fields.value |
O valor de BitdefenderGZMalwareType do registro bruto é atribuído como um valor a um objeto security_result.detection_fields em que a chave é "malware_type". |
BitdefenderGZModule |
metadata.product_event_type |
O valor de BitdefenderGZModule do registro bruto é atribuído a metadata.product_event_type . |
BitdefenderGZSeverityScore |
security_result.severity_details |
O valor de BitdefenderGZSeverityScore do registro bruto é atribuído a security_result.severity_details . |
BitdefenderGZHwId |
target.resource.id |
O valor de BitdefenderGZHwId do registro bruto é atribuído a target.resource.id . |
act |
security_result.action_details |
O valor de act do registro bruto é atribuído a security_result.action_details . |
actionTaken |
security_result.action_details |
O valor de actionTaken do registro bruto é atribuído a security_result.action_details . Com base nesse valor, o campo security_result.action é definido (por exemplo, "block" é mapeado para "BLOCK"). O campo security_result.description também é preenchido com "actionTaken: " seguido pelo valor de actionTaken . |
additional.fields |
additional.fields |
A lógica do analisador cria um par de chave-valor para "product_installed" e o adiciona ao objeto additional.fields . |
categories |
principal.asset.category |
O valor de categories do registro bruto é atribuído a principal.asset.category . |
cmd_line |
target.process.command_line |
O valor de cmd_line do registro bruto é atribuído a target.process.command_line . |
companyId |
target.user.company_name |
O valor de companyId do registro bruto é atribuído a target.user.company_name . |
computer_fqdn |
principal.asset.network_domain |
O valor de computer_fqdn do registro bruto é atribuído a principal.asset.network_domain . |
computer_id |
principal.asset.asset_id |
O valor de computer_id do registro bruto é atribuído a principal.asset.asset_id após a adição de "ComputerId:". |
computer_ip |
principal.asset.ip |
O valor de computer_ip do registro bruto é analisado, dividido por vírgulas, e cada endereço IP resultante é adicionado à matriz principal.asset.ip . |
computer_name |
principal.resource.attribute.labels.value |
O valor de computer_name do registro bruto é atribuído como um valor a um objeto principal.resource.attribute.labels em que a chave é "computer_name". Ele também é adicionado como um valor a um objeto security_result.detection_fields em que a chave é "computer_name". |
column1 |
metadata.product_log_id |
O valor de column1 do registro bruto é atribuído a metadata.product_log_id . |
column3 |
observer.ip |
O valor de column3 do registro bruto é atribuído a observer.ip . |
command_line |
target.process.command_line |
O valor de command_line do registro bruto é atribuído a target.process.command_line . |
data |
target.registry.registry_value_data |
O valor de data do registro bruto é atribuído a target.registry.registry_value_data . |
detection_attackTechnique |
security_result.detection_fields.value |
O valor de detection_attackTechnique do registro bruto é atribuído como um valor a um objeto security_result.detection_fields em que a chave é "detection attackTechnique". |
detection_name |
security_result.threat_name |
O valor de detection_name do registro bruto é atribuído a security_result.threat_name . |
destination_ip |
target.ip |
O valor de destination_ip do registro bruto é atribuído a target.ip . |
destination_port |
target.port |
O valor de destination_port do registro bruto é atribuído a target.port . |
direction |
network.direction |
O valor de direction do registro bruto é convertido em maiúsculas e atribuído a network.direction . |
dvc |
principal.ip |
O valor de dvc do registro bruto é analisado, dividido por vírgulas, e cada endereço IP resultante é adicionado à matriz principal.ip . |
dvchost |
about.hostname |
O valor de dvchost do registro bruto é atribuído a about.hostname . |
event_description |
metadata.description |
O valor de event_description do registro bruto é atribuído a metadata.description . |
event_name |
metadata.product_event_type |
O valor de event_name do registro bruto é atribuído a metadata.product_event_type . Se o valor for "Antiphishing", security_result.category será definido como "PHISHING". Se o valor for "AntiMalware", security_result.category será definido como "SOFTWARE_MALICIOUS". O campo metadata.event_type é derivado de event_name usando uma série de instruções condicionais no analisador. |
ev |
metadata.product_event_type |
O valor de ev do registro bruto é atribuído a metadata.product_event_type . |
extra_info.command_line |
target.process.command_line |
O valor de extra_info.command_line do registro bruto é atribuído a target.process.command_line . |
extra_info.parent_pid |
principal.process.pid |
O valor de extra_info.parent_pid do registro bruto é atribuído a principal.process.pid . |
extra_info.parent_process_cmdline |
principal.process.command_line |
O valor de extra_info.parent_process_cmdline do registro bruto é atribuído a principal.process.command_line . |
extra_info.parent_process_path |
principal.process.file.full_path |
O valor de extra_info.parent_process_path do registro bruto é atribuído a principal.process.file.full_path . |
extra_info.pid |
target.process.pid |
O valor de extra_info.pid do registro bruto é atribuído a target.process.pid . |
extra_info.process_path |
target.process.file.full_path |
O valor de extra_info.process_path do registro bruto é atribuído a target.process.file.full_path . |
extra_info.user |
target.user.userid |
O valor de extra_info.user do registro bruto é atribuído a target.user.userid . |
filePath |
principal.process.file.full_path |
O valor de filePath do registro bruto é atribuído a principal.process.file.full_path . |
file_path |
principal.process.file.full_path |
O valor de file_path do registro bruto é atribuído a principal.process.file.full_path . |
final_status |
security_result.action_details |
O valor de final_status do registro bruto é atribuído a security_result.action_details . Com base nesse valor, o campo security_result.action é definido (por exemplo, "deleted" é mapeado para "BLOCK", "ignored" para "ALLOW". O campo security_result.description também é preenchido com "final_status: " seguido pelo valor de final_status . Se o valor for "excluído" ou "bloqueado", metadata.event_type será definido como "SCAN_NETWORK". |
hash |
principal.process.file.sha256 |
O valor de hash do registro bruto é atribuído a principal.process.file.sha256 . |
host |
principal.hostname |
O valor de host do registro bruto é atribuído a principal.hostname . |
hostname |
principal.hostname |
O valor de hostname do registro bruto é atribuído a principal.hostname se event_name não for "log_on" ou "log_out". Caso contrário, será atribuído a target.hostname . |
host_name |
principal.hostname |
O valor de host_name do registro bruto é atribuído a principal.hostname . |
hwid |
principal.resource.id |
O valor de hwid do registro bruto é atribuído a principal.resource.id se não estiver vazio. Se estiver vazio e o evento não for "log_on" ou "log_out", o valor de source_hwid será atribuído a principal.resource.id . Se o evento for "log_on" ou "log_out", ele será atribuído a target.resource.id . |
incident_id |
metadata.product_log_id |
O valor de incident_id do registro bruto é atribuído a metadata.product_log_id . |
ip_dest |
target.ip |
O valor de ip_dest do registro bruto é atribuído a target.ip . |
ip_source |
principal.ip |
O valor de ip_source do registro bruto é atribuído a principal.ip . |
key_path |
target.registry.registry_key |
O valor de key_path do registro bruto é atribuído a target.registry.registry_key . |
local_port |
principal.port |
O valor de local_port do registro bruto é convertido em um número inteiro e atribuído a principal.port . |
logon_type |
extensions.auth.mechanism |
O valor de logon_type do registro bruto é usado para determinar o valor de extensions.auth.mechanism . Diferentes valores numéricos de logon_type são mapeados para diferentes mecanismos de autenticação (por exemplo, Dois mapas para "LOCAL", três para "NETWORK"). Se nenhum logon_type correspondente for encontrado, o mecanismo será definido como "MECHANISM_UNSPECIFIED". |
lurker_id |
intermediary.resource.id |
O valor de lurker_id do registro bruto é atribuído a intermediary.resource.id . |
main_action |
security_result.action_details |
O valor de main_action do registro bruto é atribuído a security_result.action_details . Com base nesse valor, o campo security_result.action é definido (por exemplo, "blocked" é mapeado para "BLOCK", "no action" para "ALLOW"). O campo security_result.description também é preenchido com "main_action: " seguido pelo valor de main_action . |
malware_name |
security_result.threat_name |
O valor de malware_name do registro bruto é atribuído a security_result.threat_name . |
malware_type |
security_result.detection_fields.value |
O valor de malware_type do registro bruto é atribuído como um valor a um objeto security_result.detection_fields em que a chave é "malware_type". |
metadata.description |
metadata.description |
O analisador define o campo metadata.description com base no campo event_name . |
metadata.event_type |
metadata.event_type |
O analisador define o campo metadata.event_type com base no campo event_name . |
metadata.product_event_type |
metadata.product_event_type |
O analisador define o campo metadata.product_event_type com base nos campos event_name ou module . |
metadata.product_log_id |
metadata.product_log_id |
O analisador define o campo metadata.product_log_id com base nos campos msg_id ou incident_id . |
metadata.product_name |
metadata.product_name |
O analisador define metadata.product_name como "BitDefender EDR". |
metadata.product_version |
metadata.product_version |
O analisador renomeia o campo product_version como metadata.product_version . |
metadata.vendor_name |
metadata.vendor_name |
O analisador define metadata.vendor_name como "BitDefender". |
module |
metadata.product_event_type |
O valor de module do registro bruto é atribuído a metadata.product_event_type . Se o valor for "new-incident" e target_process_file_full_path não estiver vazio, metadata.event_type será definido como "PROCESS_UNCATEGORIZED". Se o valor for "task-status", metadata.event_type será definido como "STATUS_UPDATE". Se o valor for "network-monitor" ou "fw", metadata.event_type será definido como "SCAN_NETWORK". |
msg_id |
metadata.product_log_id |
O valor de msg_id do registro bruto é atribuído a metadata.product_log_id . |
network.application_protocol |
network.application_protocol |
O valor de uc_type do registro bruto é convertido em maiúsculas e atribuído a network.application_protocol . |
network.direction |
network.direction |
O analisador define o campo network.direction com base no campo direction . |
network.ip_protocol |
network.ip_protocol |
Se protocol_id for "6", o analisador define network.ip_protocol como "TCP". |
new_path |
target.file.full_path |
O valor de new_path do registro bruto é atribuído a target.file.full_path . |
old_path |
src.file.full_path |
O valor de old_path do registro bruto é atribuído a src.file.full_path . |
origin_ip |
intermediary.ip |
O valor de origin_ip do registro bruto é atribuído a intermediary.ip . |
os |
principal.platform_version |
O valor de os do registro bruto é atribuído a principal.platform_version . O campo principal.platform é derivado de os (por exemplo, "Win" é mapeado para "WINDOWS"). Se o evento for "log_on" ou "log_out", os campos principal.platform e principal.platform_version serão renomeados como target.platform e target.platform_version , respectivamente. |
os_type |
principal.platform |
O valor de os_type do registro bruto é usado para determinar o valor de principal.platform (por exemplo, "Win" é mapeado para "WINDOWS"). |
parent_pid |
principal.process.pid |
O valor de parent_pid do registro bruto é atribuído a principal.process.pid . |
parent_process_path |
principal.process.file.full_path |
O valor de parent_process_path do registro bruto é atribuído a principal.process.file.full_path . |
parent_process_pid |
principal.process.pid |
O valor de parent_process_pid do registro bruto é atribuído a principal.process.pid . |
path |
target.file.full_path |
O valor de path do registro bruto é atribuído a target.file.full_path . |
pid |
principal.process.pid ou target.process.pid |
O valor de pid do registro bruto é atribuído a principal.process.pid se event_name começar com "file" ou "reg" ou se for "process_signal", "network_connection" ou "connection_connect". Caso contrário, será atribuído a target.process.pid . |
pid_path |
principal.process.file.full_path |
O valor de pid_path do registro bruto é atribuído a principal.process.file.full_path . |
port_dest |
target.port |
O valor de port_dest do registro bruto é convertido em um número inteiro e atribuído a target.port . |
port_source |
principal.port |
O valor de port_source do registro bruto é convertido em um número inteiro e atribuído a principal.port . |
ppid |
principal.process.pid |
O valor de ppid do registro bruto é atribuído a principal.process.pid . |
principal.ip |
principal.ip |
O analisador define o campo principal.ip com base nos campos ip_source ou dvc . |
principal.platform |
principal.platform |
O analisador define o campo principal.platform com base nos campos os ou os_type . |
principal.platform_version |
principal.platform_version |
O analisador define o campo principal.platform_version com base nos campos os ou osi_version . |
principal.process.command_line |
principal.process.command_line |
O analisador define o campo principal.process.command_line com base no campo parent_process_cmdline . |
principal.process.file.full_path |
principal.process.file.full_path |
O analisador define o campo principal.process.file.full_path com base nos campos pid_path , file_path , parent_process_path ou process_path . |
principal.process.file.md5 |
principal.process.file.md5 |
O analisador renomeia o campo file_hash_md5 como principal.process.file.md5 . |
principal.process.file.sha256 |
principal.process.file.sha256 |
O analisador define o campo principal.process.file.sha256 com base nos campos hash , BitdefenderGZMalwareHash ou file_hash_sha256 . |
principal.process.parent_process.pid |
principal.process.parent_process.pid |
O analisador renomeia o campo ppid como principal.process.parent_process.pid . |
principal.process.pid |
principal.process.pid |
O analisador define o campo principal.process.pid com base nos campos pid , parent_pid , ppid ou parent_process_pid . |
principal.resource.id |
principal.resource.id |
O analisador define o campo principal.resource.id com base nos campos hwid ou source_hwid . |
principal.url |
principal.url |
O analisador define o campo principal.url com base no campo url . |
process_command_line |
target.process.command_line |
O valor de process_command_line do registro bruto é atribuído a target.process.command_line . |
process_path |
principal.process.file.full_path ou target.process.file.full_path |
O valor de process_path do registro bruto é atribuído a principal.process.file.full_path se event_name for "network_connection" ou "connection_connect". Caso contrário, será atribuído a target.process.file.full_path . |
product_installed |
additional.fields.value.string_value |
O valor de product_installed do registro bruto é atribuído como um valor a um objeto additional.fields em que a chave é "product_installed". |
product_version |
metadata.product_version |
O valor de product_version do registro bruto é atribuído a metadata.product_version . |
protocol_id |
network.ip_protocol |
Se protocol_id for "6", o analisador define network.ip_protocol como "TCP". |
request |
target.url |
O valor de request do registro bruto é atribuído a target.url . |
security_result.action |
security_result.action |
O analisador define o campo security_result.action com base nos campos main_action , actionTaken , status ou final_status . Se nenhum desses campos fornecer uma ação válida, o padrão será "UNKNOWN_ACTION". |
security_result.action_details |
security_result.action_details |
O analisador define o campo security_result.action_details com base nos campos main_action , actionTaken , status ou final_status . |
security_result.category |
security_result.category |
O analisador define o campo security_result.category como "PHISHING" se event_name for "Antiphishing", como "SOFTWARE_MALICIOUS" se event_name for "AntiMalware" ou mescla o valor do campo sec_category . |
security_result.category_details |
security_result.category_details |
O analisador define o campo security_result.category_details com base nos campos block_type ou attack_types . |
security_result.detection_fields |
security_result.detection_fields |
O analisador cria objetos security_result.detection_fields para vários campos, incluindo "malware_type", "attack_entry", "BitdefenderGZAttCkId", "BitdefenderGZEndpointId", "final_status", "detection attackTechnique" e "computer_name". |
security_result.description |
security_result.description |
O analisador define o campo security_result.description com base nos campos main_action , actionTaken ou final_status . |
security_result.severity |
security_result.severity |
O analisador define o campo security_result.severity com base no valor em maiúsculas do campo severity , se ele não estiver vazio e o module for "new-incident". |
security_result.severity_details |
security_result.severity_details |
O analisador define o campo security_result.severity_details com base no campo severity_score . |
security_result.threat_name |
security_result.threat_name |
O analisador define o campo security_result.threat_name com base nos campos malware_name ou detection_name . |
severity |
security_result.severity |
O valor de severity do registro bruto é convertido em letras maiúsculas e atribuído a security_result.severity se não estiver vazio e o module for "new-incident". |
severity_score |
security_result.severity_details |
O valor de severity_score do registro bruto é convertido em uma string e atribuído a security_result.severity_details . |
source_host |
observer.ip |
O valor de source_host do registro bruto é atribuído a observer.ip . |
source_hwid |
principal.resource.id |
O valor de source_hwid do registro bruto é atribuído a principal.resource.id . |
source_ip |
src.ip |
O valor de source_ip do registro bruto é atribuído a src.ip . |
source_port |
principal.port |
O valor de source_port do registro bruto é convertido em um número inteiro e atribuído a principal.port . |
spt |
principal.port |
O valor de spt do registro bruto é atribuído a principal.port . |
sproc |
principal.process.command_line |
O valor de sproc do registro bruto é atribuído a principal.process.command_line . |
src |
principal.ip |
O valor de src do registro bruto é atribuído a principal.ip . |
src.ip |
src.ip |
O analisador define o campo src.ip com base no campo source_ip . |
src.file.full_path |
src.file.full_path |
O analisador define o campo src.file.full_path com base no campo old_path . |
status |
security_result.action_details |
O valor de status do registro bruto é atribuído a security_result.action_details . Com base nesse valor, o campo security_result.action é definido (por exemplo, "portscan_blocked" e "uc_site_blocked" são mapeados para "BLOCK". O campo security_result.description também é preenchido com "status: " seguido pelo valor de status . |
suid |
principal.user.userid |
O valor de suid do registro bruto é atribuído a principal.user.userid . |
suser |
principal.user.user_display_name |
O valor de suser do registro bruto é atribuído a principal.user.user_display_name . |
target.file.full_path |
target.file.full_path |
O analisador define o campo target.file.full_path com base nos campos path ou new_path . |
target.hostname |
target.hostname |
O analisador define o campo target.hostname com base no campo hostname . |
target.ip |
target.ip |
O analisador define o campo target.ip com base nos campos ip_dest ou destination_ip . |
target.platform |
target.platform |
O analisador define o campo target.platform com base no campo principal.platform . |
target.platform_version |
target.platform_version |
O analisador define o campo target.platform_version com base no campo principal.platform_version . |
target.port |
target.port |
O analisador define o campo target.port com base nos campos port_dest ou destination_port . |
target.process.command_line |
target.process.command_line |
O analisador define o campo target.process.command_line com base nos campos command_line , process_command_line ou cmd_line . |
target.process.file.full_path |
target.process.file.full_path |
O analisador define o campo target.process.file.full_path com base no campo process_path . |
target.process.pid |
target.process.pid |
O analisador define o campo target.process.pid com base no campo pid . |
target.registry.registry_key |
target.registry.registry_key |
O analisador define o campo target.registry.registry_key com base no campo key_path . |
target.registry.registry_value_data |
target.registry.registry_value_data |
O analisador define o campo target.registry.registry_value_data com base no campo data . |
target.registry.registry_value_name |
target.registry.registry_value_name |
O analisador define o campo target.registry.registry_value_name com base no campo value . |
target.resource.id |
target.resource.id |
O analisador define o campo target.resource.id com base nos campos hwid ou BitdefenderGZHwId . |
target.url |
target.url |
O analisador define o campo target.url com base no campo request . |
target.user.company_name |
target.user.company_name |
O analisador define o campo target.user.company_name com base no campo companyId . |
target.user.user_display_name |
target.user.user_display_name |
O analisador define o campo target.user.user_display_name com base nos campos user.name ou user.userName . |
target.user.userid |
target.user.userid |
O analisador define o campo target.user.userid com base nos campos user_name , user , user.id ou extra_info.user . |
target_pid |
target.process.pid |
O valor de target_pid do registro bruto é atribuído a target.process.pid . |
timestamp |
metadata.event_timestamp |
O valor de timestamp do registro bruto é analisado e atribuído a metadata.event_timestamp . |
uc_type |
network.application_protocol |
O valor de uc_type do registro bruto é convertido em maiúsculas e atribuído a network.application_protocol . Se target_user_userid não estiver vazio, metadata.event_type será definido como "USER_UNCATEGORIZED". Caso contrário, ele será definido como "STATUS_UPDATE". |
url |
principal.url |
O valor de url do registro bruto é atribuído a principal.url se não estiver vazio ou "0.0.0.0". |
user |
target.user.userid |
O valor de user do registro bruto é atribuído a target.user.userid . |
user.id |
target.user.userid |
O valor de user.id do registro bruto é atribuído a target.user.userid . |
user.name |
target.user.user_display_name |
O valor de user.name do registro bruto é atribuído a target.user.user_display_name . |
user.userName |
target.user.user_display_name |
O valor de user.userName do registro bruto é atribuído a target.user.user_display_name . |
user.userSid |
principal.user.windows_sid |
O valor de user.userSid do registro bruto é atribuído a principal.user.windows_sid . |
user_name |
target.user.userid |
O valor de user_name do registro bruto é atribuído a target.user.userid . |
value |
target.registry.registry_value_data ou target.registry.registry_value_name |
O valor de value do registro bruto é atribuído a target.registry.registry_value_data se event_name for "reg_delete_value". Caso contrário, será atribuído a target.registry.registry_value_name . |
Alterações
2023-05-02
- Registros analisados ingeridos no formato CEF.
2022-09-28
- "security_result.action" foi mapeado para "BLOCK" quando "status" é "portscan_blocked" ou "uc_site_blocked".
- "security_result.action" foi associado a "BLOCK" quando "main_action" é "blocked".
- "security_result.action" foi associado a "BLOCK" quando "actionTaken" é "block".
- "security_result.action" foi associado a "BLOCK" quando "final_status" é "blocked" ou "deleted".
- "security_result.action" foi mapeado para "ALLOW" quando "final_status" é "ignored" ou "still present".
- "security_result.action" foi mapeado para "ALLOW" quando "main_action" é "no action".
- "security_result.action" foi associado a "QUARANTINE" quando "final_status" é "quarantined".
- O "security_result.action" foi mapeado para "ALLOW_WITH_MODIFICATION" quando "final_status" é "disinfected" ou "restored".
2022-08-17
- Melhoria: o mapeamento de "source_ip" foi modificado de "principal.ip" para "srcc.ip".
- Defina "event_type" como "SCAN_NETWORK" quando "module" for igual a "network-monitor" ou "fw".
- "user.userSid" foi mapeado para "principal.user.windows_sid".
- "user.userName" foi associado a "target.user.user_display_name".
- "protocol_id" foi associado a "network.ip_protocol".
- Defina "security_result.action" como "BLOCK" quando "status" for igual a "portscan_blocked" ou "uc_site_blocked".
- "local_port" foi mapeado para "principal.port".
- "actionTaken" foi associado a "security_result.action".
- Mapeamos "detection_attackTechnique" para "security_result.detection_fields".
2022-08-13
- Correção de bug: o mapeamento do campo "computer_name" foi modificado de "principal.asset.hostname" para "event.idm.read_only_udm.principal.resource.attribute.labels".
2022-08-11
- Correção de bug: as verificações condicionais modificadas para o campo "main_action" foram mapeadas para "security_result.action".
- Mapeou "STATUS_UPDATE" para "metadata.event_type" nos registros com o módulo "status da tarefa".
2022-04-14
- Melhoria: foram adicionados mapeamentos para computer_name, computer_id, uc_type, block_type, status e product_installed.
2022-03-30
- Correção de bug: corrigimos o erro de carimbo de data/hora e mapeamos os campos user.id, user.name, companyId, computer_name, computer_fqdn, computer_ip, computer_id, url e categories.