Esta página foi traduzida pela API Cloud Translation.

Coletar registros do Bitdefender

Compatível com:

Google SecOps SIEM

Esse analisador extrai os registros do Bitdefender no formato CEF ou CSV, normaliza os campos para o UDM e executa ações específicas com base nos campos event_name e module. Ele processa vários tipos de eventos, como operações de arquivos, conexões de rede, criação de processos e modificações de registro, mapeando informações relevantes para os campos apropriados do UDM e enriquecendo os dados com contexto adicional dos registros brutos.

Antes de começar

Verifique se você tem uma instância do Google Security Operations.
Verifique se você tem um host do Windows 2016 ou mais recente ou um host Linux com systemd.
Se estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas.
Verifique se você tem acesso privilegiado ao Bitdefender.

Receber o arquivo de autenticação de ingestão do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Agentes de coleta.
Faça o download do arquivo de autenticação de transferência.

Receber o ID de cliente do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Perfil.
Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do Bindplane

Para a instalação do Windows, execute o seguinte script:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Para a instalação do Linux, execute o seguinte script:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Outras opções de instalação podem ser encontradas neste guia de instalação.

Configurar o agente do Bindplane para processar o Syslog e enviar ao Google SecOps

Acesse a máquina em que o Bindplane está instalado.

Edite o arquivo config.yaml da seguinte forma:

receivers:
    tcplog:
        # Replace the below port <54525> and IP <0.0.0.0> with your specific values
        listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: bitdefender
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

Reinicie o agente do Bindplane para aplicar as mudanças:
```
sudo systemctl restart bindplane
```

Configurar o streaming de syslog no Bitdefender GravityZone

Faça login no Centro de Controle do GravityZone.
Acesse Configuração > Integrações > Syslog.
Clique em Adicionar servidor Syslog.
Forneça os detalhes necessários:
- Nome: informe um nome exclusivo para o servidor syslog (por exemplo, CentralSyslog).
- Endereço IP/nome do host: insira o endereço IP ou o nome do host do servidor do Bindplane.
- Protocolo: selecione o protocolo a ser usado: TCP / UDP.
- Porta: especifique o número da porta do servidor do Bindplane.
- Selecione os tipos de registro para transmitir, por exemplo, Eventos de antimalware, Eventos de defesa contra ataques de rede (NAD, na sigla em inglês), Eventos de controle da Web, Eventos de firewall ou Mudanças de política.
- Opcional: configure filtros para incluir ou excluir tipos de eventos específicos.
Clique em Salvar.

Tabela de mapeamento do UDM

Campo de registro	Mapeamento do UDM	Lógica
`BitdefenderGZAttackEntry`	`security_result.detection_fields.value`	O valor de `BitdefenderGZAttackEntry` do registro bruto é atribuído como um valor a um objeto `security_result.detection_fields` em que a chave é "attack_entry".
`BitdefenderGZAttackTypes`	`security_result.category_details`	O valor de `BitdefenderGZAttackTypes` do registro bruto é atribuído a `security_result.category_details`. O valor é dividido em strings individuais, e cada string é adicionada como um valor à matriz `security_result.category_details`.
`BitdefenderGZAttCkId`	`security_result.detection_fields.value`	O valor de `BitdefenderGZAttCkId` do registro bruto é atribuído como um valor a um objeto `security_result.detection_fields` em que a chave é "BitdefenderGZAttCkId".
`BitdefenderGZCompanyId`	`target.user.company_name`	O valor de `BitdefenderGZCompanyId` do registro bruto é atribuído a `target.user.company_name`.
`BitdefenderGZComputerFQDN`	`principal.asset.network_domain`	O valor de `BitdefenderGZComputerFQDN` do registro bruto é atribuído a `principal.asset.network_domain`.
`BitdefenderGZDetectionName`	`security_result.threat_name`	O valor de `BitdefenderGZDetectionName` do registro bruto é atribuído a `security_result.threat_name`.
`BitdefenderGZEndpointId`	`security_result.detection_fields.value`	O valor de `BitdefenderGZEndpointId` do registro bruto é atribuído como um valor a um objeto `security_result.detection_fields` em que a chave é "BitdefenderGZEndpointId".
`BitdefenderGZIncidentId`	`metadata.product_log_id`	O valor de `BitdefenderGZIncidentId` do registro bruto é atribuído a `metadata.product_log_id`.
`BitdefenderGZMainAction`	`security_result.action_details`	O valor de `BitdefenderGZMainAction` do registro bruto é atribuído a `security_result.action_details`. Com base nesse valor, o campo `security_result.action` é definido (por exemplo, "blocked" é mapeado para "BLOCK"). O campo `security_result.description` também é preenchido com "main_action: " seguido pelo valor de `BitdefenderGZMainAction`.
`BitdefenderGZMalwareHash`	`principal.process.file.sha256`	O valor de `BitdefenderGZMalwareHash` do registro bruto é atribuído a `principal.process.file.sha256`.
`BitdefenderGZMalwareName`	`security_result.threat_name`	O valor de `BitdefenderGZMalwareName` do registro bruto é atribuído a `security_result.threat_name`.
`BitdefenderGZMalwareType`	`security_result.detection_fields.value`	O valor de `BitdefenderGZMalwareType` do registro bruto é atribuído como um valor a um objeto `security_result.detection_fields` em que a chave é "malware_type".
`BitdefenderGZModule`	`metadata.product_event_type`	O valor de `BitdefenderGZModule` do registro bruto é atribuído a `metadata.product_event_type`.
`BitdefenderGZSeverityScore`	`security_result.severity_details`	O valor de `BitdefenderGZSeverityScore` do registro bruto é atribuído a `security_result.severity_details`.
`BitdefenderGZHwId`	`target.resource.id`	O valor de `BitdefenderGZHwId` do registro bruto é atribuído a `target.resource.id`.
`act`	`security_result.action_details`	O valor de `act` do registro bruto é atribuído a `security_result.action_details`.
`actionTaken`	`security_result.action_details`	O valor de `actionTaken` do registro bruto é atribuído a `security_result.action_details`. Com base nesse valor, o campo `security_result.action` é definido (por exemplo, "block" é mapeado para "BLOCK"). O campo `security_result.description` também é preenchido com "actionTaken: " seguido pelo valor de `actionTaken`.
`additional.fields`	`additional.fields`	A lógica do analisador cria um par de chave-valor para "product_installed" e o adiciona ao objeto `additional.fields`.
`categories`	`principal.asset.category`	O valor de `categories` do registro bruto é atribuído a `principal.asset.category`.
`cmd_line`	`target.process.command_line`	O valor de `cmd_line` do registro bruto é atribuído a `target.process.command_line`.
`companyId`	`target.user.company_name`	O valor de `companyId` do registro bruto é atribuído a `target.user.company_name`.
`computer_fqdn`	`principal.asset.network_domain`	O valor de `computer_fqdn` do registro bruto é atribuído a `principal.asset.network_domain`.
`computer_id`	`principal.asset.asset_id`	O valor de `computer_id` do registro bruto é atribuído a `principal.asset.asset_id` após a adição de "ComputerId:".
`computer_ip`	`principal.asset.ip`	O valor de `computer_ip` do registro bruto é analisado, dividido por vírgulas, e cada endereço IP resultante é adicionado à matriz `principal.asset.ip`.
`computer_name`	`principal.resource.attribute.labels.value`	O valor de `computer_name` do registro bruto é atribuído como um valor a um objeto `principal.resource.attribute.labels` em que a chave é "computer_name". Ele também é adicionado como um valor a um objeto `security_result.detection_fields` em que a chave é "computer_name".
`column1`	`metadata.product_log_id`	O valor de `column1` do registro bruto é atribuído a `metadata.product_log_id`.
`column3`	`observer.ip`	O valor de `column3` do registro bruto é atribuído a `observer.ip`.
`command_line`	`target.process.command_line`	O valor de `command_line` do registro bruto é atribuído a `target.process.command_line`.
`data`	`target.registry.registry_value_data`	O valor de `data` do registro bruto é atribuído a `target.registry.registry_value_data`.
`detection_attackTechnique`	`security_result.detection_fields.value`	O valor de `detection_attackTechnique` do registro bruto é atribuído como um valor a um objeto `security_result.detection_fields` em que a chave é "detection attackTechnique".
`detection_name`	`security_result.threat_name`	O valor de `detection_name` do registro bruto é atribuído a `security_result.threat_name`.
`destination_ip`	`target.ip`	O valor de `destination_ip` do registro bruto é atribuído a `target.ip`.
`destination_port`	`target.port`	O valor de `destination_port` do registro bruto é atribuído a `target.port`.
`direction`	`network.direction`	O valor de `direction` do registro bruto é convertido em maiúsculas e atribuído a `network.direction`.
`dvc`	`principal.ip`	O valor de `dvc` do registro bruto é analisado, dividido por vírgulas, e cada endereço IP resultante é adicionado à matriz `principal.ip`.
`dvchost`	`about.hostname`	O valor de `dvchost` do registro bruto é atribuído a `about.hostname`.
`event_description`	`metadata.description`	O valor de `event_description` do registro bruto é atribuído a `metadata.description`.
`event_name`	`metadata.product_event_type`	O valor de `event_name` do registro bruto é atribuído a `metadata.product_event_type`. Se o valor for "Antiphishing", `security_result.category` será definido como "PHISHING". Se o valor for "AntiMalware", `security_result.category` será definido como "SOFTWARE_MALICIOUS". O campo `metadata.event_type` é derivado de `event_name` usando uma série de instruções condicionais no analisador.
`ev`	`metadata.product_event_type`	O valor de `ev` do registro bruto é atribuído a `metadata.product_event_type`.
`extra_info.command_line`	`target.process.command_line`	O valor de `extra_info.command_line` do registro bruto é atribuído a `target.process.command_line`.
`extra_info.parent_pid`	`principal.process.pid`	O valor de `extra_info.parent_pid` do registro bruto é atribuído a `principal.process.pid`.
`extra_info.parent_process_cmdline`	`principal.process.command_line`	O valor de `extra_info.parent_process_cmdline` do registro bruto é atribuído a `principal.process.command_line`.
`extra_info.parent_process_path`	`principal.process.file.full_path`	O valor de `extra_info.parent_process_path` do registro bruto é atribuído a `principal.process.file.full_path`.
`extra_info.pid`	`target.process.pid`	O valor de `extra_info.pid` do registro bruto é atribuído a `target.process.pid`.
`extra_info.process_path`	`target.process.file.full_path`	O valor de `extra_info.process_path` do registro bruto é atribuído a `target.process.file.full_path`.
`extra_info.user`	`target.user.userid`	O valor de `extra_info.user` do registro bruto é atribuído a `target.user.userid`.
`filePath`	`principal.process.file.full_path`	O valor de `filePath` do registro bruto é atribuído a `principal.process.file.full_path`.
`file_path`	`principal.process.file.full_path`	O valor de `file_path` do registro bruto é atribuído a `principal.process.file.full_path`.
`final_status`	`security_result.action_details`	O valor de `final_status` do registro bruto é atribuído a `security_result.action_details`. Com base nesse valor, o campo `security_result.action` é definido (por exemplo, "deleted" é mapeado para "BLOCK", "ignored" para "ALLOW". O campo `security_result.description` também é preenchido com "final_status: " seguido pelo valor de `final_status`. Se o valor for "excluído" ou "bloqueado", `metadata.event_type` será definido como "SCAN_NETWORK".
`hash`	`principal.process.file.sha256`	O valor de `hash` do registro bruto é atribuído a `principal.process.file.sha256`.
`host`	`principal.hostname`	O valor de `host` do registro bruto é atribuído a `principal.hostname`.
`hostname`	`principal.hostname`	O valor de `hostname` do registro bruto é atribuído a `principal.hostname` se `event_name` não for "log_on" ou "log_out". Caso contrário, será atribuído a `target.hostname`.
`host_name`	`principal.hostname`	O valor de `host_name` do registro bruto é atribuído a `principal.hostname`.
`hwid`	`principal.resource.id`	O valor de `hwid` do registro bruto é atribuído a `principal.resource.id` se não estiver vazio. Se estiver vazio e o evento não for "log_on" ou "log_out", o valor de `source_hwid` será atribuído a `principal.resource.id`. Se o evento for "log_on" ou "log_out", ele será atribuído a `target.resource.id`.
`incident_id`	`metadata.product_log_id`	O valor de `incident_id` do registro bruto é atribuído a `metadata.product_log_id`.
`ip_dest`	`target.ip`	O valor de `ip_dest` do registro bruto é atribuído a `target.ip`.
`ip_source`	`principal.ip`	O valor de `ip_source` do registro bruto é atribuído a `principal.ip`.
`key_path`	`target.registry.registry_key`	O valor de `key_path` do registro bruto é atribuído a `target.registry.registry_key`.
`local_port`	`principal.port`	O valor de `local_port` do registro bruto é convertido em um número inteiro e atribuído a `principal.port`.
`logon_type`	`extensions.auth.mechanism`	O valor de `logon_type` do registro bruto é usado para determinar o valor de `extensions.auth.mechanism`. Diferentes valores numéricos de `logon_type` são mapeados para diferentes mecanismos de autenticação (por exemplo, Dois mapas para "LOCAL", três para "NETWORK"). Se nenhum `logon_type` correspondente for encontrado, o mecanismo será definido como "MECHANISM_UNSPECIFIED".
`lurker_id`	`intermediary.resource.id`	O valor de `lurker_id` do registro bruto é atribuído a `intermediary.resource.id`.
`main_action`	`security_result.action_details`	O valor de `main_action` do registro bruto é atribuído a `security_result.action_details`. Com base nesse valor, o campo `security_result.action` é definido (por exemplo, "blocked" é mapeado para "BLOCK", "no action" para "ALLOW"). O campo `security_result.description` também é preenchido com "main_action: " seguido pelo valor de `main_action`.
`malware_name`	`security_result.threat_name`	O valor de `malware_name` do registro bruto é atribuído a `security_result.threat_name`.
`malware_type`	`security_result.detection_fields.value`	O valor de `malware_type` do registro bruto é atribuído como um valor a um objeto `security_result.detection_fields` em que a chave é "malware_type".
`metadata.description`	`metadata.description`	O analisador define o campo `metadata.description` com base no campo `event_name`.
`metadata.event_type`	`metadata.event_type`	O analisador define o campo `metadata.event_type` com base no campo `event_name`.
`metadata.product_event_type`	`metadata.product_event_type`	O analisador define o campo `metadata.product_event_type` com base nos campos `event_name` ou `module`.
`metadata.product_log_id`	`metadata.product_log_id`	O analisador define o campo `metadata.product_log_id` com base nos campos `msg_id` ou `incident_id`.
`metadata.product_name`	`metadata.product_name`	O analisador define `metadata.product_name` como "BitDefender EDR".
`metadata.product_version`	`metadata.product_version`	O analisador renomeia o campo `product_version` como `metadata.product_version`.
`metadata.vendor_name`	`metadata.vendor_name`	O analisador define `metadata.vendor_name` como "BitDefender".
`module`	`metadata.product_event_type`	O valor de `module` do registro bruto é atribuído a `metadata.product_event_type`. Se o valor for "new-incident" e `target_process_file_full_path` não estiver vazio, `metadata.event_type` será definido como "PROCESS_UNCATEGORIZED". Se o valor for "task-status", `metadata.event_type` será definido como "STATUS_UPDATE". Se o valor for "network-monitor" ou "fw", `metadata.event_type` será definido como "SCAN_NETWORK".
`msg_id`	`metadata.product_log_id`	O valor de `msg_id` do registro bruto é atribuído a `metadata.product_log_id`.
`network.application_protocol`	`network.application_protocol`	O valor de `uc_type` do registro bruto é convertido em maiúsculas e atribuído a `network.application_protocol`.
`network.direction`	`network.direction`	O analisador define o campo `network.direction` com base no campo `direction`.
`network.ip_protocol`	`network.ip_protocol`	Se `protocol_id` for "6", o analisador define `network.ip_protocol` como "TCP".
`new_path`	`target.file.full_path`	O valor de `new_path` do registro bruto é atribuído a `target.file.full_path`.
`old_path`	`src.file.full_path`	O valor de `old_path` do registro bruto é atribuído a `src.file.full_path`.
`origin_ip`	`intermediary.ip`	O valor de `origin_ip` do registro bruto é atribuído a `intermediary.ip`.
`os`	`principal.platform_version`	O valor de `os` do registro bruto é atribuído a `principal.platform_version`. O campo `principal.platform` é derivado de `os` (por exemplo, "Win" é mapeado para "WINDOWS"). Se o evento for "log_on" ou "log_out", os campos `principal.platform` e `principal.platform_version` serão renomeados como `target.platform` e `target.platform_version`, respectivamente.
`os_type`	`principal.platform`	O valor de `os_type` do registro bruto é usado para determinar o valor de `principal.platform` (por exemplo, "Win" é mapeado para "WINDOWS").
`parent_pid`	`principal.process.pid`	O valor de `parent_pid` do registro bruto é atribuído a `principal.process.pid`.
`parent_process_path`	`principal.process.file.full_path`	O valor de `parent_process_path` do registro bruto é atribuído a `principal.process.file.full_path`.
`parent_process_pid`	`principal.process.pid`	O valor de `parent_process_pid` do registro bruto é atribuído a `principal.process.pid`.
`path`	`target.file.full_path`	O valor de `path` do registro bruto é atribuído a `target.file.full_path`.
`pid`	`principal.process.pid` ou `target.process.pid`	O valor de `pid` do registro bruto é atribuído a `principal.process.pid` se `event_name` começar com "file" ou "reg" ou se for "process_signal", "network_connection" ou "connection_connect". Caso contrário, será atribuído a `target.process.pid`.
`pid_path`	`principal.process.file.full_path`	O valor de `pid_path` do registro bruto é atribuído a `principal.process.file.full_path`.
`port_dest`	`target.port`	O valor de `port_dest` do registro bruto é convertido em um número inteiro e atribuído a `target.port`.
`port_source`	`principal.port`	O valor de `port_source` do registro bruto é convertido em um número inteiro e atribuído a `principal.port`.
`ppid`	`principal.process.pid`	O valor de `ppid` do registro bruto é atribuído a `principal.process.pid`.
`principal.ip`	`principal.ip`	O analisador define o campo `principal.ip` com base nos campos `ip_source` ou `dvc`.
`principal.platform`	`principal.platform`	O analisador define o campo `principal.platform` com base nos campos `os` ou `os_type`.
`principal.platform_version`	`principal.platform_version`	O analisador define o campo `principal.platform_version` com base nos campos `os` ou `osi_version`.
`principal.process.command_line`	`principal.process.command_line`	O analisador define o campo `principal.process.command_line` com base no campo `parent_process_cmdline`.
`principal.process.file.full_path`	`principal.process.file.full_path`	O analisador define o campo `principal.process.file.full_path` com base nos campos `pid_path`, `file_path`, `parent_process_path` ou `process_path`.
`principal.process.file.md5`	`principal.process.file.md5`	O analisador renomeia o campo `file_hash_md5` como `principal.process.file.md5`.
`principal.process.file.sha256`	`principal.process.file.sha256`	O analisador define o campo `principal.process.file.sha256` com base nos campos `hash`, `BitdefenderGZMalwareHash` ou `file_hash_sha256`.
`principal.process.parent_process.pid`	`principal.process.parent_process.pid`	O analisador renomeia o campo `ppid` como `principal.process.parent_process.pid`.
`principal.process.pid`	`principal.process.pid`	O analisador define o campo `principal.process.pid` com base nos campos `pid`, `parent_pid`, `ppid` ou `parent_process_pid`.
`principal.resource.id`	`principal.resource.id`	O analisador define o campo `principal.resource.id` com base nos campos `hwid` ou `source_hwid`.
`principal.url`	`principal.url`	O analisador define o campo `principal.url` com base no campo `url`.
`process_command_line`	`target.process.command_line`	O valor de `process_command_line` do registro bruto é atribuído a `target.process.command_line`.
`process_path`	`principal.process.file.full_path` ou `target.process.file.full_path`	O valor de `process_path` do registro bruto é atribuído a `principal.process.file.full_path` se `event_name` for "network_connection" ou "connection_connect". Caso contrário, será atribuído a `target.process.file.full_path`.
`product_installed`	`additional.fields.value.string_value`	O valor de `product_installed` do registro bruto é atribuído como um valor a um objeto `additional.fields` em que a chave é "product_installed".
`product_version`	`metadata.product_version`	O valor de `product_version` do registro bruto é atribuído a `metadata.product_version`.
`protocol_id`	`network.ip_protocol`	Se `protocol_id` for "6", o analisador define `network.ip_protocol` como "TCP".
`request`	`target.url`	O valor de `request` do registro bruto é atribuído a `target.url`.
`security_result.action`	`security_result.action`	O analisador define o campo `security_result.action` com base nos campos `main_action`, `actionTaken`, `status` ou `final_status`. Se nenhum desses campos fornecer uma ação válida, o padrão será "UNKNOWN_ACTION".
`security_result.action_details`	`security_result.action_details`	O analisador define o campo `security_result.action_details` com base nos campos `main_action`, `actionTaken`, `status` ou `final_status`.
`security_result.category`	`security_result.category`	O analisador define o campo `security_result.category` como "PHISHING" se `event_name` for "Antiphishing", como "SOFTWARE_MALICIOUS" se `event_name` for "AntiMalware" ou mescla o valor do campo `sec_category`.
`security_result.category_details`	`security_result.category_details`	O analisador define o campo `security_result.category_details` com base nos campos `block_type` ou `attack_types`.
`security_result.detection_fields`	`security_result.detection_fields`	O analisador cria objetos `security_result.detection_fields` para vários campos, incluindo "malware_type", "attack_entry", "BitdefenderGZAttCkId", "BitdefenderGZEndpointId", "final_status", "detection attackTechnique" e "computer_name".
`security_result.description`	`security_result.description`	O analisador define o campo `security_result.description` com base nos campos `main_action`, `actionTaken` ou `final_status`.
`security_result.severity`	`security_result.severity`	O analisador define o campo `security_result.severity` com base no valor em maiúsculas do campo `severity` se ele não estiver vazio e o `module` for "new-incident".
`security_result.severity_details`	`security_result.severity_details`	O analisador define o campo `security_result.severity_details` com base no campo `severity_score`.
`security_result.threat_name`	`security_result.threat_name`	O analisador define o campo `security_result.threat_name` com base nos campos `malware_name` ou `detection_name`.
`severity`	`security_result.severity`	O valor de `severity` do registro bruto é convertido em letras maiúsculas e atribuído a `security_result.severity` se não estiver vazio e o `module` for "new-incident".
`severity_score`	`security_result.severity_details`	O valor de `severity_score` do registro bruto é convertido em uma string e atribuído a `security_result.severity_details`.
`source_host`	`observer.ip`	O valor de `source_host` do registro bruto é atribuído a `observer.ip`.
`source_hwid`	`principal.resource.id`	O valor de `source_hwid` do registro bruto é atribuído a `principal.resource.id`.
`source_ip`	`src.ip`	O valor de `source_ip` do registro bruto é atribuído a `src.ip`.
`source_port`	`principal.port`	O valor de `source_port` do registro bruto é convertido em um número inteiro e atribuído a `principal.port`.
`spt`	`principal.port`	O valor de `spt` do registro bruto é atribuído a `principal.port`.
`sproc`	`principal.process.command_line`	O valor de `sproc` do registro bruto é atribuído a `principal.process.command_line`.
`src`	`principal.ip`	O valor de `src` do registro bruto é atribuído a `principal.ip`.
`src.ip`	`src.ip`	O analisador define o campo `src.ip` com base no campo `source_ip`.
`src.file.full_path`	`src.file.full_path`	O analisador define o campo `src.file.full_path` com base no campo `old_path`.
`status`	`security_result.action_details`	O valor de `status` do registro bruto é atribuído a `security_result.action_details`. Com base nesse valor, o campo `security_result.action` é definido (por exemplo, "portscan_blocked" e "uc_site_blocked" são mapeados para "BLOCK". O campo `security_result.description` também é preenchido com "status: " seguido pelo valor de `status`.
`suid`	`principal.user.userid`	O valor de `suid` do registro bruto é atribuído a `principal.user.userid`.
`suser`	`principal.user.user_display_name`	O valor de `suser` do registro bruto é atribuído a `principal.user.user_display_name`.
`target.file.full_path`	`target.file.full_path`	O analisador define o campo `target.file.full_path` com base nos campos `path` ou `new_path`.
`target.hostname`	`target.hostname`	O analisador define o campo `target.hostname` com base no campo `hostname`.
`target.ip`	`target.ip`	O analisador define o campo `target.ip` com base nos campos `ip_dest` ou `destination_ip`.
`target.platform`	`target.platform`	O analisador define o campo `target.platform` com base no campo `principal.platform`.
`target.platform_version`	`target.platform_version`	O analisador define o campo `target.platform_version` com base no campo `principal.platform_version`.
`target.port`	`target.port`	O analisador define o campo `target.port` com base nos campos `port_dest` ou `destination_port`.
`target.process.command_line`	`target.process.command_line`	O analisador define o campo `target.process.command_line` com base nos campos `command_line`, `process_command_line` ou `cmd_line`.
`target.process.file.full_path`	`target.process.file.full_path`	O analisador define o campo `target.process.file.full_path` com base no campo `process_path`.
`target.process.pid`	`target.process.pid`	O analisador define o campo `target.process.pid` com base no campo `pid`.
`target.registry.registry_key`	`target.registry.registry_key`	O analisador define o campo `target.registry.registry_key` com base no campo `key_path`.
`target.registry.registry_value_data`	`target.registry.registry_value_data`	O analisador define o campo `target.registry.registry_value_data` com base no campo `data`.
`target.registry.registry_value_name`	`target.registry.registry_value_name`	O analisador define o campo `target.registry.registry_value_name` com base no campo `value`.
`target.resource.id`	`target.resource.id`	O analisador define o campo `target.resource.id` com base nos campos `hwid` ou `BitdefenderGZHwId`.
`target.url`	`target.url`	O analisador define o campo `target.url` com base no campo `request`.
`target.user.company_name`	`target.user.company_name`	O analisador define o campo `target.user.company_name` com base no campo `companyId`.
`target.user.user_display_name`	`target.user.user_display_name`	O analisador define o campo `target.user.user_display_name` com base nos campos `user.name` ou `user.userName`.
`target.user.userid`	`target.user.userid`	O analisador define o campo `target.user.userid` com base nos campos `user_name`, `user`, `user.id` ou `extra_info.user`.
`target_pid`	`target.process.pid`	O valor de `target_pid` do registro bruto é atribuído a `target.process.pid`.
`timestamp`	`metadata.event_timestamp`	O valor de `timestamp` do registro bruto é analisado e atribuído a `metadata.event_timestamp`.
`uc_type`	`network.application_protocol`	O valor de `uc_type` do registro bruto é convertido em maiúsculas e atribuído a `network.application_protocol`. Se `target_user_userid` não estiver vazio, `metadata.event_type` será definido como "USER_UNCATEGORIZED". Caso contrário, ele será definido como "STATUS_UPDATE".
`url`	`principal.url`	O valor de `url` do registro bruto é atribuído a `principal.url` se não estiver vazio ou "0.0.0.0".
`user`	`target.user.userid`	O valor de `user` do registro bruto é atribuído a `target.user.userid`.
`user.id`	`target.user.userid`	O valor de `user.id` do registro bruto é atribuído a `target.user.userid`.
`user.name`	`target.user.user_display_name`	O valor de `user.name` do registro bruto é atribuído a `target.user.user_display_name`.
`user.userName`	`target.user.user_display_name`	O valor de `user.userName` do registro bruto é atribuído a `target.user.user_display_name`.
`user.userSid`	`principal.user.windows_sid`	O valor de `user.userSid` do registro bruto é atribuído a `principal.user.windows_sid`.
`user_name`	`target.user.userid`	O valor de `user_name` do registro bruto é atribuído a `target.user.userid`.
`value`	`target.registry.registry_value_data` ou `target.registry.registry_value_name`	O valor de `value` do registro bruto é atribuído a `target.registry.registry_value_data` se `event_name` for "reg_delete_value". Caso contrário, será atribuído a `target.registry.registry_value_name`.

Alterações

2023-05-02

Registros analisados ingeridos no formato CEF.

2022-09-28

"security_result.action" foi mapeado para "BLOCK" quando "status" é "portscan_blocked" ou "uc_site_blocked".
"security_result.action" foi associado a "BLOCK" quando "main_action" é "blocked".
"security_result.action" foi associado a "BLOCK" quando "actionTaken" é "block".
"security_result.action" foi associado a "BLOCK" quando "final_status" é "blocked" ou "deleted".
"security_result.action" foi mapeado para "ALLOW" quando "final_status" é "ignored" ou "still present".
"security_result.action" foi mapeado para "ALLOW" quando "main_action" é "no action".
"security_result.action" foi associado a "QUARANTINE" quando "final_status" é "quarantined".
"security_result.action" foi mapeado para "ALLOW_WITH_MODIFICATION" quando "final_status" é "disinfected" ou "restored".

2022-08-17

Melhoria: o mapeamento de "source_ip" foi modificado de "principal.ip" para "srcc.ip".
Defina "event_type" como "SCAN_NETWORK" quando "module" for igual a "network-monitor" ou "fw".
"user.userSid" foi mapeado para "principal.user.windows_sid".
"user.userName" foi associado a "target.user.user_display_name".
"protocol_id" foi associado a "network.ip_protocol".
Defina "security_result.action" como "BLOCK" quando "status" for igual a "portscan_blocked" ou "uc_site_blocked".
"local_port" foi mapeado para "principal.port".
"actionTaken" foi associado a "security_result.action".
Mapeamos "detection_attackTechnique" para "security_result.detection_fields".

2022-08-13

Correção de bug: o mapeamento do campo "computer_name" foi modificado de "principal.asset.hostname" para "event.idm.read_only_udm.principal.resource.attribute.labels".

2022-08-11

Correção de bug: as verificações condicionais modificadas para o campo "main_action" foram mapeadas para "security_result.action".
Mapeou "STATUS_UPDATE" para "metadata.event_type" nos registros com o módulo "status da tarefa".

2022-04-14

Melhoria: foram adicionados mapeamentos para computer_name, computer_id, uc_type, block_type, status e product_installed.

2022-03-30

Correção de bug: corrigimos o erro de carimbo de data/hora e mapeamos os campos user.id, user.name, companyId, computer_name, computer_fqdn, computer_ip, computer_id, url e categories.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.