Coletar registros do Bitdefender

Compatível com:

Esse analisador extrai os registros do Bitdefender no formato CEF ou CSV, normaliza os campos para o UDM e executa ações específicas com base nos campos event_name e module. Ele processa vários tipos de eventos, como operações de arquivos, conexões de rede, criação de processos e modificações de registro, mapeando informações relevantes para os campos apropriados do UDM e enriquecendo os dados com contexto adicional dos registros brutos.

Antes de começar

  • Verifique se você tem uma instância do Google Security Operations.
  • Verifique se você tem um host do Windows 2016 ou mais recente ou um host Linux com systemd.
  • Se estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas.
  • Verifique se você tem acesso privilegiado ao Bitdefender.

Receber o arquivo de autenticação de ingestão do Google SecOps

  1. Faça login no console do Google SecOps.
  2. Acesse Configurações do SIEM > Agentes de coleta.
  3. Faça o download do arquivo de autenticação de transferência.

Receber o ID de cliente do Google SecOps

  1. Faça login no console do Google SecOps.
  2. Acesse Configurações do SIEM > Perfil.
  3. Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do BindPlane

  1. Para a instalação do Windows, execute o seguinte script:
    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
  2. Para a instalação do Linux, execute o seguinte script:
    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
  3. Outras opções de instalação podem ser encontradas neste guia de instalação.

Configurar o agente BindPlane para ingerir o Syslog e enviar ao Google SecOps

  1. Acesse a máquina em que o BindPlane está instalado.
  2. Edite o arquivo config.yaml da seguinte forma:

    receivers:
        tcplog:
            # Replace the below port <54525> and IP <0.0.0.0> with your specific values
            listen_address: "0.0.0.0:54525" 
    
    exporters:
        chronicle/chronicle_w_labels:
            compression: gzip
            # Adjust the creds location below according the placement of the credentials file you downloaded
            creds: '{ json file for creds }'
            # Replace <customer_id> below with your actual ID that you copied
            customer_id: <customer_id>
            endpoint: malachiteingestion-pa.googleapis.com
            # You can apply ingestion labels below as preferred
            ingestion_labels:
            log_type: SYSLOG
            namespace: bitdefender
            raw_log_field: body
    service:
        pipelines:
            logs/source0__chronicle_w_labels-0:
                receivers:
                    - tcplog
                exporters:
                    - chronicle/chronicle_w_labels
    
  3. Reinicie o agente do BindPlane para aplicar as mudanças:

    sudo systemctl restart bindplane
    

Configurar o streaming de syslog no Bitdefender GravityZone

  1. Faça login no Centro de Controle do GravityZone.
  2. Acesse Configuração > Integrações > Syslog.
  3. Clique em Adicionar servidor Syslog.
  4. Forneça os detalhes necessários:
    • Nome: informe um nome exclusivo para o servidor syslog (por exemplo, CentralSyslog).
    • Endereço IP/nome do host: insira o endereço IP ou o nome do host do servidor do Bindplane.
    • Protocolo: selecione o protocolo a ser usado: TCP / UDP.
    • Porta: especifique o número da porta do servidor do Bindplane.
    • Selecione os tipos de registro para transmitir, por exemplo, Eventos de antimalware, Eventos de defesa contra ataques de rede (NAD, na sigla em inglês), Eventos de controle da Web, Eventos de firewall ou Mudanças de política.
    • Opcional: configure filtros para incluir ou excluir tipos de eventos específicos.
  5. Clique em Salvar.

Tabela de mapeamento do UDM

Campo de registro Mapeamento do UDM Lógica
BitdefenderGZAttackEntry security_result.detection_fields.value O valor de BitdefenderGZAttackEntry do registro bruto é atribuído como um valor a um objeto security_result.detection_fields em que a chave é "attack_entry".
BitdefenderGZAttackTypes security_result.category_details O valor de BitdefenderGZAttackTypes do registro bruto é atribuído a security_result.category_details. O valor é dividido em strings individuais, e cada string é adicionada como um valor à matriz security_result.category_details.
BitdefenderGZAttCkId security_result.detection_fields.value O valor de BitdefenderGZAttCkId do registro bruto é atribuído como um valor a um objeto security_result.detection_fields em que a chave é "BitdefenderGZAttCkId".
BitdefenderGZCompanyId target.user.company_name O valor de BitdefenderGZCompanyId do registro bruto é atribuído a target.user.company_name.
BitdefenderGZComputerFQDN principal.asset.network_domain O valor de BitdefenderGZComputerFQDN do registro bruto é atribuído a principal.asset.network_domain.
BitdefenderGZDetectionName security_result.threat_name O valor de BitdefenderGZDetectionName do registro bruto é atribuído a security_result.threat_name.
BitdefenderGZEndpointId security_result.detection_fields.value O valor de BitdefenderGZEndpointId do registro bruto é atribuído como um valor a um objeto security_result.detection_fields em que a chave é "BitdefenderGZEndpointId".
BitdefenderGZIncidentId metadata.product_log_id O valor de BitdefenderGZIncidentId do registro bruto é atribuído a metadata.product_log_id.
BitdefenderGZMainAction security_result.action_details O valor de BitdefenderGZMainAction do registro bruto é atribuído a security_result.action_details. Com base nesse valor, o campo security_result.action é definido (por exemplo, "blocked" é mapeado para "BLOCK"). O campo security_result.description também é preenchido com "main_action: " seguido pelo valor de BitdefenderGZMainAction.
BitdefenderGZMalwareHash principal.process.file.sha256 O valor de BitdefenderGZMalwareHash do registro bruto é atribuído a principal.process.file.sha256.
BitdefenderGZMalwareName security_result.threat_name O valor de BitdefenderGZMalwareName do registro bruto é atribuído a security_result.threat_name.
BitdefenderGZMalwareType security_result.detection_fields.value O valor de BitdefenderGZMalwareType do registro bruto é atribuído como um valor a um objeto security_result.detection_fields em que a chave é "malware_type".
BitdefenderGZModule metadata.product_event_type O valor de BitdefenderGZModule do registro bruto é atribuído a metadata.product_event_type.
BitdefenderGZSeverityScore security_result.severity_details O valor de BitdefenderGZSeverityScore do registro bruto é atribuído a security_result.severity_details.
BitdefenderGZHwId target.resource.id O valor de BitdefenderGZHwId do registro bruto é atribuído a target.resource.id.
act security_result.action_details O valor de act do registro bruto é atribuído a security_result.action_details.
actionTaken security_result.action_details O valor de actionTaken do registro bruto é atribuído a security_result.action_details. Com base nesse valor, o campo security_result.action é definido (por exemplo, "block" é mapeado para "BLOCK"). O campo security_result.description também é preenchido com "actionTaken: " seguido pelo valor de actionTaken.
additional.fields additional.fields A lógica do analisador cria um par de chave-valor para "product_installed" e o adiciona ao objeto additional.fields.
categories principal.asset.category O valor de categories do registro bruto é atribuído a principal.asset.category.
cmd_line target.process.command_line O valor de cmd_line do registro bruto é atribuído a target.process.command_line.
companyId target.user.company_name O valor de companyId do registro bruto é atribuído a target.user.company_name.
computer_fqdn principal.asset.network_domain O valor de computer_fqdn do registro bruto é atribuído a principal.asset.network_domain.
computer_id principal.asset.asset_id O valor de computer_id do registro bruto é atribuído a principal.asset.asset_id após a adição de "ComputerId:".
computer_ip principal.asset.ip O valor de computer_ip do registro bruto é analisado, dividido por vírgulas, e cada endereço IP resultante é adicionado à matriz principal.asset.ip.
computer_name principal.resource.attribute.labels.value O valor de computer_name do registro bruto é atribuído como um valor a um objeto principal.resource.attribute.labels em que a chave é "computer_name". Ele também é adicionado como um valor a um objeto security_result.detection_fields em que a chave é "computer_name".
column1 metadata.product_log_id O valor de column1 do registro bruto é atribuído a metadata.product_log_id.
column3 observer.ip O valor de column3 do registro bruto é atribuído a observer.ip.
command_line target.process.command_line O valor de command_line do registro bruto é atribuído a target.process.command_line.
data target.registry.registry_value_data O valor de data do registro bruto é atribuído a target.registry.registry_value_data.
detection_attackTechnique security_result.detection_fields.value O valor de detection_attackTechnique do registro bruto é atribuído como um valor a um objeto security_result.detection_fields em que a chave é "detection attackTechnique".
detection_name security_result.threat_name O valor de detection_name do registro bruto é atribuído a security_result.threat_name.
destination_ip target.ip O valor de destination_ip do registro bruto é atribuído a target.ip.
destination_port target.port O valor de destination_port do registro bruto é atribuído a target.port.
direction network.direction O valor de direction do registro bruto é convertido em maiúsculas e atribuído a network.direction.
dvc principal.ip O valor de dvc do registro bruto é analisado, dividido por vírgulas, e cada endereço IP resultante é adicionado à matriz principal.ip.
dvchost about.hostname O valor de dvchost do registro bruto é atribuído a about.hostname.
event_description metadata.description O valor de event_description do registro bruto é atribuído a metadata.description.
event_name metadata.product_event_type O valor de event_name do registro bruto é atribuído a metadata.product_event_type. Se o valor for "Antiphishing", security_result.category será definido como "PHISHING". Se o valor for "AntiMalware", security_result.category será definido como "SOFTWARE_MALICIOUS". O campo metadata.event_type é derivado de event_name usando uma série de instruções condicionais no analisador.
ev metadata.product_event_type O valor de ev do registro bruto é atribuído a metadata.product_event_type.
extra_info.command_line target.process.command_line O valor de extra_info.command_line do registro bruto é atribuído a target.process.command_line.
extra_info.parent_pid principal.process.pid O valor de extra_info.parent_pid do registro bruto é atribuído a principal.process.pid.
extra_info.parent_process_cmdline principal.process.command_line O valor de extra_info.parent_process_cmdline do registro bruto é atribuído a principal.process.command_line.
extra_info.parent_process_path principal.process.file.full_path O valor de extra_info.parent_process_path do registro bruto é atribuído a principal.process.file.full_path.
extra_info.pid target.process.pid O valor de extra_info.pid do registro bruto é atribuído a target.process.pid.
extra_info.process_path target.process.file.full_path O valor de extra_info.process_path do registro bruto é atribuído a target.process.file.full_path.
extra_info.user target.user.userid O valor de extra_info.user do registro bruto é atribuído a target.user.userid.
filePath principal.process.file.full_path O valor de filePath do registro bruto é atribuído a principal.process.file.full_path.
file_path principal.process.file.full_path O valor de file_path do registro bruto é atribuído a principal.process.file.full_path.
final_status security_result.action_details O valor de final_status do registro bruto é atribuído a security_result.action_details. Com base nesse valor, o campo security_result.action é definido (por exemplo, "deleted" é mapeado para "BLOCK", "ignored" para "ALLOW". O campo security_result.description também é preenchido com "final_status: " seguido pelo valor de final_status. Se o valor for "excluído" ou "bloqueado", metadata.event_type será definido como "SCAN_NETWORK".
hash principal.process.file.sha256 O valor de hash do registro bruto é atribuído a principal.process.file.sha256.
host principal.hostname O valor de host do registro bruto é atribuído a principal.hostname.
hostname principal.hostname O valor de hostname do registro bruto é atribuído a principal.hostname se event_name não for "log_on" ou "log_out". Caso contrário, será atribuído a target.hostname.
host_name principal.hostname O valor de host_name do registro bruto é atribuído a principal.hostname.
hwid principal.resource.id O valor de hwid do registro bruto é atribuído a principal.resource.id se não estiver vazio. Se estiver vazio e o evento não for "log_on" ou "log_out", o valor de source_hwid será atribuído a principal.resource.id. Se o evento for "log_on" ou "log_out", ele será atribuído a target.resource.id.
incident_id metadata.product_log_id O valor de incident_id do registro bruto é atribuído a metadata.product_log_id.
ip_dest target.ip O valor de ip_dest do registro bruto é atribuído a target.ip.
ip_source principal.ip O valor de ip_source do registro bruto é atribuído a principal.ip.
key_path target.registry.registry_key O valor de key_path do registro bruto é atribuído a target.registry.registry_key.
local_port principal.port O valor de local_port do registro bruto é convertido em um número inteiro e atribuído a principal.port.
logon_type extensions.auth.mechanism O valor de logon_type do registro bruto é usado para determinar o valor de extensions.auth.mechanism. Diferentes valores numéricos de logon_type são mapeados para diferentes mecanismos de autenticação (por exemplo, Dois mapas para "LOCAL", três para "NETWORK"). Se nenhum logon_type correspondente for encontrado, o mecanismo será definido como "MECHANISM_UNSPECIFIED".
lurker_id intermediary.resource.id O valor de lurker_id do registro bruto é atribuído a intermediary.resource.id.
main_action security_result.action_details O valor de main_action do registro bruto é atribuído a security_result.action_details. Com base nesse valor, o campo security_result.action é definido (por exemplo, "blocked" é mapeado para "BLOCK", "no action" para "ALLOW"). O campo security_result.description também é preenchido com "main_action: " seguido pelo valor de main_action.
malware_name security_result.threat_name O valor de malware_name do registro bruto é atribuído a security_result.threat_name.
malware_type security_result.detection_fields.value O valor de malware_type do registro bruto é atribuído como um valor a um objeto security_result.detection_fields em que a chave é "malware_type".
metadata.description metadata.description O analisador define o campo metadata.description com base no campo event_name.
metadata.event_type metadata.event_type O analisador define o campo metadata.event_type com base no campo event_name.
metadata.product_event_type metadata.product_event_type O analisador define o campo metadata.product_event_type com base nos campos event_name ou module.
metadata.product_log_id metadata.product_log_id O analisador define o campo metadata.product_log_id com base nos campos msg_id ou incident_id.
metadata.product_name metadata.product_name O analisador define metadata.product_name como "BitDefender EDR".
metadata.product_version metadata.product_version O analisador renomeia o campo product_version como metadata.product_version.
metadata.vendor_name metadata.vendor_name O analisador define metadata.vendor_name como "BitDefender".
module metadata.product_event_type O valor de module do registro bruto é atribuído a metadata.product_event_type. Se o valor for "new-incident" e target_process_file_full_path não estiver vazio, metadata.event_type será definido como "PROCESS_UNCATEGORIZED". Se o valor for "task-status", metadata.event_type será definido como "STATUS_UPDATE". Se o valor for "network-monitor" ou "fw", metadata.event_type será definido como "SCAN_NETWORK".
msg_id metadata.product_log_id O valor de msg_id do registro bruto é atribuído a metadata.product_log_id.
network.application_protocol network.application_protocol O valor de uc_type do registro bruto é convertido em maiúsculas e atribuído a network.application_protocol.
network.direction network.direction O analisador define o campo network.direction com base no campo direction.
network.ip_protocol network.ip_protocol Se protocol_id for "6", o analisador define network.ip_protocol como "TCP".
new_path target.file.full_path O valor de new_path do registro bruto é atribuído a target.file.full_path.
old_path src.file.full_path O valor de old_path do registro bruto é atribuído a src.file.full_path.
origin_ip intermediary.ip O valor de origin_ip do registro bruto é atribuído a intermediary.ip.
os principal.platform_version O valor de os do registro bruto é atribuído a principal.platform_version. O campo principal.platform é derivado de os (por exemplo, "Win" é mapeado para "WINDOWS"). Se o evento for "log_on" ou "log_out", os campos principal.platform e principal.platform_version serão renomeados como target.platform e target.platform_version, respectivamente.
os_type principal.platform O valor de os_type do registro bruto é usado para determinar o valor de principal.platform (por exemplo, "Win" é mapeado para "WINDOWS").
parent_pid principal.process.pid O valor de parent_pid do registro bruto é atribuído a principal.process.pid.
parent_process_path principal.process.file.full_path O valor de parent_process_path do registro bruto é atribuído a principal.process.file.full_path.
parent_process_pid principal.process.pid O valor de parent_process_pid do registro bruto é atribuído a principal.process.pid.
path target.file.full_path O valor de path do registro bruto é atribuído a target.file.full_path.
pid principal.process.pid ou target.process.pid O valor de pid do registro bruto é atribuído a principal.process.pid se event_name começar com "file" ou "reg" ou se for "process_signal", "network_connection" ou "connection_connect". Caso contrário, será atribuído a target.process.pid.
pid_path principal.process.file.full_path O valor de pid_path do registro bruto é atribuído a principal.process.file.full_path.
port_dest target.port O valor de port_dest do registro bruto é convertido em um número inteiro e atribuído a target.port.
port_source principal.port O valor de port_source do registro bruto é convertido em um número inteiro e atribuído a principal.port.
ppid principal.process.pid O valor de ppid do registro bruto é atribuído a principal.process.pid.
principal.ip principal.ip O analisador define o campo principal.ip com base nos campos ip_source ou dvc.
principal.platform principal.platform O analisador define o campo principal.platform com base nos campos os ou os_type.
principal.platform_version principal.platform_version O analisador define o campo principal.platform_version com base nos campos os ou osi_version.
principal.process.command_line principal.process.command_line O analisador define o campo principal.process.command_line com base no campo parent_process_cmdline.
principal.process.file.full_path principal.process.file.full_path O analisador define o campo principal.process.file.full_path com base nos campos pid_path, file_path, parent_process_path ou process_path.
principal.process.file.md5 principal.process.file.md5 O analisador renomeia o campo file_hash_md5 como principal.process.file.md5.
principal.process.file.sha256 principal.process.file.sha256 O analisador define o campo principal.process.file.sha256 com base nos campos hash, BitdefenderGZMalwareHash ou file_hash_sha256.
principal.process.parent_process.pid principal.process.parent_process.pid O analisador renomeia o campo ppid como principal.process.parent_process.pid.
principal.process.pid principal.process.pid O analisador define o campo principal.process.pid com base nos campos pid, parent_pid, ppid ou parent_process_pid.
principal.resource.id principal.resource.id O analisador define o campo principal.resource.id com base nos campos hwid ou source_hwid.
principal.url principal.url O analisador define o campo principal.url com base no campo url.
process_command_line target.process.command_line O valor de process_command_line do registro bruto é atribuído a target.process.command_line.
process_path principal.process.file.full_path ou target.process.file.full_path O valor de process_path do registro bruto é atribuído a principal.process.file.full_path se event_name for "network_connection" ou "connection_connect". Caso contrário, será atribuído a target.process.file.full_path.
product_installed additional.fields.value.string_value O valor de product_installed do registro bruto é atribuído como um valor a um objeto additional.fields em que a chave é "product_installed".
product_version metadata.product_version O valor de product_version do registro bruto é atribuído a metadata.product_version.
protocol_id network.ip_protocol Se protocol_id for "6", o analisador define network.ip_protocol como "TCP".
request target.url O valor de request do registro bruto é atribuído a target.url.
security_result.action security_result.action O analisador define o campo security_result.action com base nos campos main_action, actionTaken, status ou final_status. Se nenhum desses campos fornecer uma ação válida, o padrão será "UNKNOWN_ACTION".
security_result.action_details security_result.action_details O analisador define o campo security_result.action_details com base nos campos main_action, actionTaken, status ou final_status.
security_result.category security_result.category O analisador define o campo security_result.category como "PHISHING" se event_name for "Antiphishing", como "SOFTWARE_MALICIOUS" se event_name for "AntiMalware" ou mescla o valor do campo sec_category.
security_result.category_details security_result.category_details O analisador define o campo security_result.category_details com base nos campos block_type ou attack_types.
security_result.detection_fields security_result.detection_fields O analisador cria objetos security_result.detection_fields para vários campos, incluindo "malware_type", "attack_entry", "BitdefenderGZAttCkId", "BitdefenderGZEndpointId", "final_status", "detection attackTechnique" e "computer_name".
security_result.description security_result.description O analisador define o campo security_result.description com base nos campos main_action, actionTaken ou final_status.
security_result.severity security_result.severity O analisador define o campo security_result.severity com base no valor em maiúsculas do campo severity, se ele não estiver vazio e o module for "new-incident".
security_result.severity_details security_result.severity_details O analisador define o campo security_result.severity_details com base no campo severity_score.
security_result.threat_name security_result.threat_name O analisador define o campo security_result.threat_name com base nos campos malware_name ou detection_name.
severity security_result.severity O valor de severity do registro bruto é convertido em letras maiúsculas e atribuído a security_result.severity se não estiver vazio e o module for "new-incident".
severity_score security_result.severity_details O valor de severity_score do registro bruto é convertido em uma string e atribuído a security_result.severity_details.
source_host observer.ip O valor de source_host do registro bruto é atribuído a observer.ip.
source_hwid principal.resource.id O valor de source_hwid do registro bruto é atribuído a principal.resource.id.
source_ip src.ip O valor de source_ip do registro bruto é atribuído a src.ip.
source_port principal.port O valor de source_port do registro bruto é convertido em um número inteiro e atribuído a principal.port.
spt principal.port O valor de spt do registro bruto é atribuído a principal.port.
sproc principal.process.command_line O valor de sproc do registro bruto é atribuído a principal.process.command_line.
src principal.ip O valor de src do registro bruto é atribuído a principal.ip.
src.ip src.ip O analisador define o campo src.ip com base no campo source_ip.
src.file.full_path src.file.full_path O analisador define o campo src.file.full_path com base no campo old_path.
status security_result.action_details O valor de status do registro bruto é atribuído a security_result.action_details. Com base nesse valor, o campo security_result.action é definido (por exemplo, "portscan_blocked" e "uc_site_blocked" são mapeados para "BLOCK". O campo security_result.description também é preenchido com "status: " seguido pelo valor de status.
suid principal.user.userid O valor de suid do registro bruto é atribuído a principal.user.userid.
suser principal.user.user_display_name O valor de suser do registro bruto é atribuído a principal.user.user_display_name.
target.file.full_path target.file.full_path O analisador define o campo target.file.full_path com base nos campos path ou new_path.
target.hostname target.hostname O analisador define o campo target.hostname com base no campo hostname.
target.ip target.ip O analisador define o campo target.ip com base nos campos ip_dest ou destination_ip.
target.platform target.platform O analisador define o campo target.platform com base no campo principal.platform.
target.platform_version target.platform_version O analisador define o campo target.platform_version com base no campo principal.platform_version.
target.port target.port O analisador define o campo target.port com base nos campos port_dest ou destination_port.
target.process.command_line target.process.command_line O analisador define o campo target.process.command_line com base nos campos command_line, process_command_line ou cmd_line.
target.process.file.full_path target.process.file.full_path O analisador define o campo target.process.file.full_path com base no campo process_path.
target.process.pid target.process.pid O analisador define o campo target.process.pid com base no campo pid.
target.registry.registry_key target.registry.registry_key O analisador define o campo target.registry.registry_key com base no campo key_path.
target.registry.registry_value_data target.registry.registry_value_data O analisador define o campo target.registry.registry_value_data com base no campo data.
target.registry.registry_value_name target.registry.registry_value_name O analisador define o campo target.registry.registry_value_name com base no campo value.
target.resource.id target.resource.id O analisador define o campo target.resource.id com base nos campos hwid ou BitdefenderGZHwId.
target.url target.url O analisador define o campo target.url com base no campo request.
target.user.company_name target.user.company_name O analisador define o campo target.user.company_name com base no campo companyId.
target.user.user_display_name target.user.user_display_name O analisador define o campo target.user.user_display_name com base nos campos user.name ou user.userName.
target.user.userid target.user.userid O analisador define o campo target.user.userid com base nos campos user_name, user, user.id ou extra_info.user.
target_pid target.process.pid O valor de target_pid do registro bruto é atribuído a target.process.pid.
timestamp metadata.event_timestamp O valor de timestamp do registro bruto é analisado e atribuído a metadata.event_timestamp.
uc_type network.application_protocol O valor de uc_type do registro bruto é convertido em maiúsculas e atribuído a network.application_protocol. Se target_user_userid não estiver vazio, metadata.event_type será definido como "USER_UNCATEGORIZED". Caso contrário, ele será definido como "STATUS_UPDATE".
url principal.url O valor de url do registro bruto é atribuído a principal.url se não estiver vazio ou "0.0.0.0".
user target.user.userid O valor de user do registro bruto é atribuído a target.user.userid.
user.id target.user.userid O valor de user.id do registro bruto é atribuído a target.user.userid.
user.name target.user.user_display_name O valor de user.name do registro bruto é atribuído a target.user.user_display_name.
user.userName target.user.user_display_name O valor de user.userName do registro bruto é atribuído a target.user.user_display_name.
user.userSid principal.user.windows_sid O valor de user.userSid do registro bruto é atribuído a principal.user.windows_sid.
user_name target.user.userid O valor de user_name do registro bruto é atribuído a target.user.userid.
value target.registry.registry_value_data ou target.registry.registry_value_name O valor de value do registro bruto é atribuído a target.registry.registry_value_data se event_name for "reg_delete_value". Caso contrário, será atribuído a target.registry.registry_value_name.

Alterações

2023-05-02

  • Registros analisados ingeridos no formato CEF.

2022-09-28

  • "security_result.action" foi mapeado para "BLOCK" quando "status" é "portscan_blocked" ou "uc_site_blocked".
  • "security_result.action" foi associado a "BLOCK" quando "main_action" é "blocked".
  • "security_result.action" foi associado a "BLOCK" quando "actionTaken" é "block".
  • "security_result.action" foi associado a "BLOCK" quando "final_status" é "blocked" ou "deleted".
  • "security_result.action" foi mapeado para "ALLOW" quando "final_status" é "ignored" ou "still present".
  • "security_result.action" foi mapeado para "ALLOW" quando "main_action" é "no action".
  • "security_result.action" foi associado a "QUARANTINE" quando "final_status" é "quarantined".
  • O "security_result.action" foi mapeado para "ALLOW_WITH_MODIFICATION" quando "final_status" é "disinfected" ou "restored".

2022-08-17

  • Melhoria: o mapeamento de "source_ip" foi modificado de "principal.ip" para "srcc.ip".
  • Defina "event_type" como "SCAN_NETWORK" quando "module" for igual a "network-monitor" ou "fw".
  • "user.userSid" foi mapeado para "principal.user.windows_sid".
  • "user.userName" foi associado a "target.user.user_display_name".
  • "protocol_id" foi associado a "network.ip_protocol".
  • Defina "security_result.action" como "BLOCK" quando "status" for igual a "portscan_blocked" ou "uc_site_blocked".
  • "local_port" foi mapeado para "principal.port".
  • "actionTaken" foi associado a "security_result.action".
  • Mapeamos "detection_attackTechnique" para "security_result.detection_fields".

2022-08-13

  • Correção de bug: o mapeamento do campo "computer_name" foi modificado de "principal.asset.hostname" para "event.idm.read_only_udm.principal.resource.attribute.labels".

2022-08-11

  • Correção de bug: as verificações condicionais modificadas para o campo "main_action" foram mapeadas para "security_result.action".
  • Mapeou "STATUS_UPDATE" para "metadata.event_type" nos registros com o módulo "status da tarefa".

2022-04-14

  • Melhoria: foram adicionados mapeamentos para computer_name, computer_id, uc_type, block_type, status e product_installed.

2022-03-30

  • Correção de bug: corrigimos o erro de carimbo de data/hora e mapeamos os campos user.id, user.name, companyId, computer_name, computer_fqdn, computer_ip, computer_id, url e categories.