收集 Bitdefender 日志
支持的平台:
Google SecOps
SIEM
此解析器会以 CEF 或 CSV 格式提取 Bitdefender 日志,将字段标准化为 UDM,并根据 event_name 和 module 字段执行特定操作。它可处理各种事件类型(例如文件操作、网络连接、进程创建和注册表修改),将相关信息映射到适当的 UDM 字段,并使用来自原始日志的其他上下文丰富数据。
准备工作
- 确保您有一个 Google Security Operations 实例。
- 确保您使用的是 Windows 2016 或更高版本或搭载 systemd 的 Linux 主机。
- 如果在代理后面运行,请确保防火墙端口处于打开状态。
- 确保您拥有对 Bitdefender 的超级用户访问权限。
获取 Google SecOps 提取身份验证文件
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 收集代理。
- 下载提取身份验证文件。
获取 Google SecOps 客户 ID
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 配置文件。
- 复制并保存组织详细信息部分中的客户 ID。
安装 Bindplane Agent
- 对于 Windows 安装,请运行以下脚本:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet - 对于 Linux 安装,请运行以下脚本:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh - 如需了解其他安装选项,请参阅此安装指南。
配置 Bindplane Agent 以提取 Syslog 并将其发送到 Google SecOps
- 访问安装了 Bindplane 的机器。
按如下方式修改
config.yaml文件:receivers: tcplog: # Replace the below port <54525> and IP <0.0.0.0> with your specific values listen_address: "0.0.0.0:54525" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the creds location below according the placement of the credentials file you downloaded creds: '{ json file for creds }' # Replace <customer_id> below with your actual ID that you copied customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # You can apply ingestion labels below as preferred ingestion_labels: log_type: SYSLOG namespace: bitdefender raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - tcplog exporters: - chronicle/chronicle_w_labels重启 Bindplane 代理以应用更改:
sudo systemctl restart bindplane
在 Bitdefender GravityZone 中配置 Syslog 流式传输
- 登录 GravityZone 控制中心。
- 依次前往配置 > 集成 > Syslog。
- 点击添加 Syslog 服务器。
- 提供所需的详细信息:
- 名称:为 Syslog 服务器提供唯一名称(例如 CentralSyslog)。
- IP 地址/主机名:输入 Bindplane 服务器的 IP 地址或主机名。
- 协议:选择要使用的协议:TCP / UDP。
- 端口:指定 Bindplane 服务器的端口号。
- 选择要流式传输的日志类型(例如反恶意软件事件、网络攻击防范 (NAD) 事件、网站控制事件、防火墙事件或政策更改)。
- 可选:配置过滤条件以包含或排除特定事件类型。
- 点击保存。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
BitdefenderGZAttackEntry |
security_result.detection_fields.value |
将原始日志中的 BitdefenderGZAttackEntry 值分配为 security_result.detection_fields 对象的值,其中键为“attack_entry”。 |
BitdefenderGZAttackTypes |
security_result.category_details |
原始日志中的 BitdefenderGZAttackTypes 值会分配给 security_result.category_details。然后,该值会拆分为单个字符串,并将每个字符串作为值添加到 security_result.category_details 数组。 |
BitdefenderGZAttCkId |
security_result.detection_fields.value |
将原始日志中的 BitdefenderGZAttCkId 值分配为 security_result.detection_fields 对象的值,其中键为“BitdefenderGZAttCkId”。 |
BitdefenderGZCompanyId |
target.user.company_name |
将原始日志中的 BitdefenderGZCompanyId 值分配给 target.user.company_name。 |
BitdefenderGZComputerFQDN |
principal.asset.network_domain |
将原始日志中的 BitdefenderGZComputerFQDN 值分配给 principal.asset.network_domain。 |
BitdefenderGZDetectionName |
security_result.threat_name |
将原始日志中的 BitdefenderGZDetectionName 值分配给 security_result.threat_name。 |
BitdefenderGZEndpointId |
security_result.detection_fields.value |
将原始日志中的 BitdefenderGZEndpointId 值分配为 security_result.detection_fields 对象的值,其中键为“BitdefenderGZEndpointId”。 |
BitdefenderGZIncidentId |
metadata.product_log_id |
将原始日志中的 BitdefenderGZIncidentId 值分配给 metadata.product_log_id。 |
BitdefenderGZMainAction |
security_result.action_details |
原始日志中的 BitdefenderGZMainAction 值会分配给 security_result.action_details。系统会根据此值设置 security_result.action 字段(例如“blocked”映射到“BLOCK”)。security_result.description 字段还会填充“main_action:”后跟 BitdefenderGZMainAction 的值。 |
BitdefenderGZMalwareHash |
principal.process.file.sha256 |
将原始日志中的 BitdefenderGZMalwareHash 值分配给 principal.process.file.sha256。 |
BitdefenderGZMalwareName |
security_result.threat_name |
将原始日志中的 BitdefenderGZMalwareName 值分配给 security_result.threat_name。 |
BitdefenderGZMalwareType |
security_result.detection_fields.value |
将原始日志中的 BitdefenderGZMalwareType 值分配为 security_result.detection_fields 对象的值,其中键为“malware_type”。 |
BitdefenderGZModule |
metadata.product_event_type |
将原始日志中的 BitdefenderGZModule 值分配给 metadata.product_event_type。 |
BitdefenderGZSeverityScore |
security_result.severity_details |
将原始日志中的 BitdefenderGZSeverityScore 值分配给 security_result.severity_details。 |
BitdefenderGZHwId |
target.resource.id |
将原始日志中的 BitdefenderGZHwId 值分配给 target.resource.id。 |
act |
security_result.action_details |
将原始日志中的 act 值分配给 security_result.action_details。 |
actionTaken |
security_result.action_details |
原始日志中的 actionTaken 值会分配给 security_result.action_details。系统会根据此值设置 security_result.action 字段(例如“block”映射到“BLOCK”)。security_result.description 字段还会填充“actionTaken:”后跟 actionTaken 的值。 |
additional.fields |
additional.fields |
解析器逻辑会为“product_installed”创建键值对,并将其添加到 additional.fields 对象。 |
categories |
principal.asset.category |
将原始日志中的 categories 值分配给 principal.asset.category。 |
cmd_line |
target.process.command_line |
将原始日志中的 cmd_line 值分配给 target.process.command_line。 |
companyId |
target.user.company_name |
将原始日志中的 companyId 值分配给 target.user.company_name。 |
computer_fqdn |
principal.asset.network_domain |
将原始日志中的 computer_fqdn 值分配给 principal.asset.network_domain。 |
computer_id |
principal.asset.asset_id |
在 raw 日志中的 computer_id 值前面添加“ComputerId:”后,该值会分配给 principal.asset.asset_id。 |
computer_ip |
principal.asset.ip |
系统会解析原始日志中的 computer_ip 值,并按逗号分隔,然后将每个生成的 IP 地址添加到 principal.asset.ip 数组。 |
computer_name |
principal.resource.attribute.labels.value |
原始日志中的 computer_name 值会被分配为 principal.resource.attribute.labels 对象的值,其中键为“computer_name”。它还会作为值添加到键为“computer_name”的 security_result.detection_fields 对象中。 |
column1 |
metadata.product_log_id |
将原始日志中的 column1 值分配给 metadata.product_log_id。 |
column3 |
observer.ip |
将原始日志中的 column3 值分配给 observer.ip。 |
command_line |
target.process.command_line |
将原始日志中的 command_line 值分配给 target.process.command_line。 |
data |
target.registry.registry_value_data |
将原始日志中的 data 值分配给 target.registry.registry_value_data。 |
detection_attackTechnique |
security_result.detection_fields.value |
将原始日志中的 detection_attackTechnique 值分配为 security_result.detection_fields 对象的值,其中键为“detection attackTechnique”。 |
detection_name |
security_result.threat_name |
将原始日志中的 detection_name 值分配给 security_result.threat_name。 |
destination_ip |
target.ip |
将原始日志中的 destination_ip 值分配给 target.ip。 |
destination_port |
target.port |
将原始日志中的 destination_port 值分配给 target.port。 |
direction |
network.direction |
将原始日志中的 direction 值转换为大写并分配给 network.direction。 |
dvc |
principal.ip |
系统会解析原始日志中的 dvc 值,并按逗号分隔,然后将每个生成的 IP 地址添加到 principal.ip 数组。 |
dvchost |
about.hostname |
将原始日志中的 dvchost 值分配给 about.hostname。 |
event_description |
metadata.description |
将原始日志中的 event_description 值分配给 metadata.description。 |
event_name |
metadata.product_event_type |
原始日志中的 event_name 值会分配给 metadata.product_event_type。如果值为“Antiphishing”,security_result.category 会设为“PHISHING”。如果值为“AntiMalware”,则 security_result.category 会设为“SOFTWARE_MALICIOUS”。metadata.event_type 字段是使用解析器中的一系列条件语句从 event_name 派生的。 |
ev |
metadata.product_event_type |
将原始日志中的 ev 值分配给 metadata.product_event_type。 |
extra_info.command_line |
target.process.command_line |
将原始日志中的 extra_info.command_line 值分配给 target.process.command_line。 |
extra_info.parent_pid |
principal.process.pid |
将原始日志中的 extra_info.parent_pid 值分配给 principal.process.pid。 |
extra_info.parent_process_cmdline |
principal.process.command_line |
将原始日志中的 extra_info.parent_process_cmdline 值分配给 principal.process.command_line。 |
extra_info.parent_process_path |
principal.process.file.full_path |
将原始日志中的 extra_info.parent_process_path 值分配给 principal.process.file.full_path。 |
extra_info.pid |
target.process.pid |
将原始日志中的 extra_info.pid 值分配给 target.process.pid。 |
extra_info.process_path |
target.process.file.full_path |
将原始日志中的 extra_info.process_path 值分配给 target.process.file.full_path。 |
extra_info.user |
target.user.userid |
将原始日志中的 extra_info.user 值分配给 target.user.userid。 |
filePath |
principal.process.file.full_path |
将原始日志中的 filePath 值分配给 principal.process.file.full_path。 |
file_path |
principal.process.file.full_path |
将原始日志中的 file_path 值分配给 principal.process.file.full_path。 |
final_status |
security_result.action_details |
原始日志中的 final_status 值会分配给 security_result.action_details。系统会根据此值设置 security_result.action 字段(例如“deleted”映射到“BLOCK”“ignored”映射到“ALLOW”)。security_result.description 字段还会填充“final_status:”后跟 final_status 的值。如果值为“已删除”或“已屏蔽”,则 metadata.event_type 会设置为“SCAN_NETWORK”。 |
hash |
principal.process.file.sha256 |
将原始日志中的 hash 值分配给 principal.process.file.sha256。 |
host |
principal.hostname |
将原始日志中的 host 值分配给 principal.hostname。 |
hostname |
principal.hostname |
如果 event_name 不是“log_on”或“log_out”,则将原始日志中的 hostname 值分配给 principal.hostname。否则,系统会将其分配给 target.hostname。 |
host_name |
principal.hostname |
将原始日志中的 host_name 值分配给 principal.hostname。 |
hwid |
principal.resource.id |
如果原始日志中的 hwid 值不为空,则将其分配给 principal.resource.id。如果该值为空且事件不是“log_on”或“log_out”,则系统会将 source_hwid 的值分配给 principal.resource.id。如果事件为“log_on”或“log_out”,则将其分配给 target.resource.id。 |
incident_id |
metadata.product_log_id |
将原始日志中的 incident_id 值分配给 metadata.product_log_id。 |
ip_dest |
target.ip |
将原始日志中的 ip_dest 值分配给 target.ip。 |
ip_source |
principal.ip |
将原始日志中的 ip_source 值分配给 principal.ip。 |
key_path |
target.registry.registry_key |
将原始日志中的 key_path 值分配给 target.registry.registry_key。 |
local_port |
principal.port |
原始日志中的 local_port 值会转换为整数并赋给 principal.port。 |
logon_type |
extensions.auth.mechanism |
原始日志中的 logon_type 值用于确定 extensions.auth.mechanism 的值。logon_type 的不同数字值对应于不同的身份验证机制(例如2 映射到“LOCAL”,3 映射到“NETWORK”)。如果未找到匹配的 logon_type,则将机制设置为“MECHANISM_UNSPECIFIED”。 |
lurker_id |
intermediary.resource.id |
将原始日志中的 lurker_id 值分配给 intermediary.resource.id。 |
main_action |
security_result.action_details |
原始日志中的 main_action 值会分配给 security_result.action_details。系统会根据此值设置 security_result.action 字段(例如“已屏蔽”对应于“屏蔽”“无操作”对应于“允许”)。security_result.description 字段还会填充“main_action:”后跟 main_action 的值。 |
malware_name |
security_result.threat_name |
将原始日志中的 malware_name 值分配给 security_result.threat_name。 |
malware_type |
security_result.detection_fields.value |
将原始日志中的 malware_type 值分配为 security_result.detection_fields 对象的值,其中键为“malware_type”。 |
metadata.description |
metadata.description |
解析器会根据 event_name 字段设置 metadata.description 字段。 |
metadata.event_type |
metadata.event_type |
解析器会根据 event_name 字段设置 metadata.event_type 字段。 |
metadata.product_event_type |
metadata.product_event_type |
解析器会根据 event_name 或 module 字段设置 metadata.product_event_type 字段。 |
metadata.product_log_id |
metadata.product_log_id |
解析器会根据 msg_id 或 incident_id 字段设置 metadata.product_log_id 字段。 |
metadata.product_name |
metadata.product_name |
解析器将 metadata.product_name 设置为“BitDefender EDR”。 |
metadata.product_version |
metadata.product_version |
解析器会将 product_version 字段重命名为 metadata.product_version。 |
metadata.vendor_name |
metadata.vendor_name |
解析器将 metadata.vendor_name 设置为“BitDefender”。 |
module |
metadata.product_event_type |
原始日志中的 module 值会分配给 metadata.product_event_type。如果值为“new-incident”且 target_process_file_full_path 不为空,则 metadata.event_type 会设为“PROCESS_UNCATEGORIZED”。如果值为“task-status”,则 metadata.event_type 设置为“STATUS_UPDATE”。如果值为“network-monitor”或“fw”,则 metadata.event_type 会设为“SCAN_NETWORK”。 |
msg_id |
metadata.product_log_id |
将原始日志中的 msg_id 值分配给 metadata.product_log_id。 |
network.application_protocol |
network.application_protocol |
将原始日志中的 uc_type 值转换为大写并分配给 network.application_protocol。 |
network.direction |
network.direction |
解析器会根据 direction 字段设置 network.direction 字段。 |
network.ip_protocol |
network.ip_protocol |
如果 protocol_id 为“6”,则解析器会将 network.ip_protocol 设置为“TCP”。 |
new_path |
target.file.full_path |
将原始日志中的 new_path 值分配给 target.file.full_path。 |
old_path |
src.file.full_path |
将原始日志中的 old_path 值分配给 src.file.full_path。 |
origin_ip |
intermediary.ip |
将原始日志中的 origin_ip 值分配给 intermediary.ip。 |
os |
principal.platform_version |
原始日志中的 os 值会分配给 principal.platform_version。principal.platform 字段派生自 os(例如“Win”映射到“WINDOWS”)。如果事件为“log_on”或“log_out”,则 principal.platform 和 principal.platform_version 字段会分别重命名为 target.platform 和 target.platform_version。 |
os_type |
principal.platform |
原始日志中的 os_type 值用于确定 principal.platform 的值(例如,“Win”映射到“WINDOWS”)。 |
parent_pid |
principal.process.pid |
将原始日志中的 parent_pid 值分配给 principal.process.pid。 |
parent_process_path |
principal.process.file.full_path |
将原始日志中的 parent_process_path 值分配给 principal.process.file.full_path。 |
parent_process_pid |
principal.process.pid |
将原始日志中的 parent_process_pid 值分配给 principal.process.pid。 |
path |
target.file.full_path |
将原始日志中的 path 值分配给 target.file.full_path。 |
pid |
principal.process.pid 或 target.process.pid |
如果 event_name 以“file”或“reg”开头,或者是“process_signal”“network_connection”或“connection_connect”之一,则将原始日志中的 pid 值分配给 principal.process.pid。否则,系统会将其分配给 target.process.pid。 |
pid_path |
principal.process.file.full_path |
将原始日志中的 pid_path 值分配给 principal.process.file.full_path。 |
port_dest |
target.port |
原始日志中的 port_dest 值会转换为整数并赋给 target.port。 |
port_source |
principal.port |
原始日志中的 port_source 值会转换为整数并赋给 principal.port。 |
ppid |
principal.process.pid |
将原始日志中的 ppid 值分配给 principal.process.pid。 |
principal.ip |
principal.ip |
解析器会根据 ip_source 或 dvc 字段设置 principal.ip 字段。 |
principal.platform |
principal.platform |
解析器会根据 os 或 os_type 字段设置 principal.platform 字段。 |
principal.platform_version |
principal.platform_version |
解析器会根据 os 或 osi_version 字段设置 principal.platform_version 字段。 |
principal.process.command_line |
principal.process.command_line |
解析器会根据 parent_process_cmdline 字段设置 principal.process.command_line 字段。 |
principal.process.file.full_path |
principal.process.file.full_path |
解析器会根据 pid_path、file_path、parent_process_path 或 process_path 字段设置 principal.process.file.full_path 字段。 |
principal.process.file.md5 |
principal.process.file.md5 |
解析器会将 file_hash_md5 字段重命名为 principal.process.file.md5。 |
principal.process.file.sha256 |
principal.process.file.sha256 |
解析器会根据 hash、BitdefenderGZMalwareHash 或 file_hash_sha256 字段设置 principal.process.file.sha256 字段。 |
principal.process.parent_process.pid |
principal.process.parent_process.pid |
解析器会将 ppid 字段重命名为 principal.process.parent_process.pid。 |
principal.process.pid |
principal.process.pid |
解析器会根据 pid、parent_pid、ppid 或 parent_process_pid 字段设置 principal.process.pid 字段。 |
principal.resource.id |
principal.resource.id |
解析器会根据 hwid 或 source_hwid 字段设置 principal.resource.id 字段。 |
principal.url |
principal.url |
解析器会根据 url 字段设置 principal.url 字段。 |
process_command_line |
target.process.command_line |
将原始日志中的 process_command_line 值分配给 target.process.command_line。 |
process_path |
principal.process.file.full_path 或 target.process.file.full_path |
如果 event_name 为“network_connection”或“connection_connect”,则将原始日志中的 process_path 值分配给 principal.process.file.full_path。否则,系统会将其分配给 target.process.file.full_path。 |
product_installed |
additional.fields.value.string_value |
将原始日志中的 product_installed 值分配为 additional.fields 对象的值,其中键为“product_installed”。 |
product_version |
metadata.product_version |
将原始日志中的 product_version 值分配给 metadata.product_version。 |
protocol_id |
network.ip_protocol |
如果 protocol_id 为“6”,则解析器会将 network.ip_protocol 设置为“TCP”。 |
request |
target.url |
将原始日志中的 request 值分配给 target.url。 |
security_result.action |
security_result.action |
解析器会根据 main_action、actionTaken、status 或 final_status 字段设置 security_result.action 字段。如果这些字段都未提供有效的操作,则默认为“UNKNOWN_ACTION”。 |
security_result.action_details |
security_result.action_details |
解析器会根据 main_action、actionTaken、status 或 final_status 字段设置 security_result.action_details 字段。 |
security_result.category |
security_result.category |
如果 event_name 为“Antiphishing”,解析器会将 security_result.category 字段设置为“PHISHING”;如果 event_name 为“AntiMalware”,则将其设置为“SOFTWARE_MALICIOUS”;或者合并 sec_category 字段中的值。 |
security_result.category_details |
security_result.category_details |
解析器会根据 block_type 或 attack_types 字段设置 security_result.category_details 字段。 |
security_result.detection_fields |
security_result.detection_fields |
解析器会为各种字段(包括“malware_type”“attack_entry”“BitdefenderGZAttCkId”“BitdefenderGZEndpointId”“final_status”“detection attackTechnique”和“computer_name”)创建 security_result.detection_fields 对象。 |
security_result.description |
security_result.description |
解析器会根据 main_action、actionTaken 或 final_status 字段设置 security_result.description 字段。 |
security_result.severity |
security_result.severity |
如果 severity 字段不为空且 module 为“new-incident”,解析器会根据 severity 字段的转换为大写的值来设置 security_result.severity 字段。 |
security_result.severity_details |
security_result.severity_details |
解析器会根据 severity_score 字段设置 security_result.severity_details 字段。 |
security_result.threat_name |
security_result.threat_name |
解析器会根据 malware_name 或 detection_name 字段设置 security_result.threat_name 字段。 |
severity |
security_result.severity |
如果原始日志中的 severity 值不为空且 module 为“new-incident”,则将其转换为大写并分配给 security_result.severity。 |
severity_score |
security_result.severity_details |
原始日志中的 severity_score 值会转换为字符串并赋给 security_result.severity_details。 |
source_host |
observer.ip |
将原始日志中的 source_host 值分配给 observer.ip。 |
source_hwid |
principal.resource.id |
将原始日志中的 source_hwid 值分配给 principal.resource.id。 |
source_ip |
src.ip |
将原始日志中的 source_ip 值分配给 src.ip。 |
source_port |
principal.port |
原始日志中的 source_port 值会转换为整数并赋给 principal.port。 |
spt |
principal.port |
将原始日志中的 spt 值分配给 principal.port。 |
sproc |
principal.process.command_line |
将原始日志中的 sproc 值分配给 principal.process.command_line。 |
src |
principal.ip |
将原始日志中的 src 值分配给 principal.ip。 |
src.ip |
src.ip |
解析器会根据 source_ip 字段设置 src.ip 字段。 |
src.file.full_path |
src.file.full_path |
解析器会根据 old_path 字段设置 src.file.full_path 字段。 |
status |
security_result.action_details |
原始日志中的 status 值会分配给 security_result.action_details。系统会根据此值设置 security_result.action 字段(例如“portscan_blocked”和“uc_site_blocked”映射到“BLOCK”)。security_result.description 字段还会填充“status:”后跟 status 的值。 |
suid |
principal.user.userid |
将原始日志中的 suid 值分配给 principal.user.userid。 |
suser |
principal.user.user_display_name |
将原始日志中的 suser 值分配给 principal.user.user_display_name。 |
target.file.full_path |
target.file.full_path |
解析器会根据 path 或 new_path 字段设置 target.file.full_path 字段。 |
target.hostname |
target.hostname |
解析器会根据 hostname 字段设置 target.hostname 字段。 |
target.ip |
target.ip |
解析器会根据 ip_dest 或 destination_ip 字段设置 target.ip 字段。 |
target.platform |
target.platform |
解析器会根据 principal.platform 字段设置 target.platform 字段。 |
target.platform_version |
target.platform_version |
解析器会根据 principal.platform_version 字段设置 target.platform_version 字段。 |
target.port |
target.port |
解析器会根据 port_dest 或 destination_port 字段设置 target.port 字段。 |
target.process.command_line |
target.process.command_line |
解析器会根据 command_line、process_command_line 或 cmd_line 字段设置 target.process.command_line 字段。 |
target.process.file.full_path |
target.process.file.full_path |
解析器会根据 process_path 字段设置 target.process.file.full_path 字段。 |
target.process.pid |
target.process.pid |
解析器会根据 pid 字段设置 target.process.pid 字段。 |
target.registry.registry_key |
target.registry.registry_key |
解析器会根据 key_path 字段设置 target.registry.registry_key 字段。 |
target.registry.registry_value_data |
target.registry.registry_value_data |
解析器会根据 data 字段设置 target.registry.registry_value_data 字段。 |
target.registry.registry_value_name |
target.registry.registry_value_name |
解析器会根据 value 字段设置 target.registry.registry_value_name 字段。 |
target.resource.id |
target.resource.id |
解析器会根据 hwid 或 BitdefenderGZHwId 字段设置 target.resource.id 字段。 |
target.url |
target.url |
解析器会根据 request 字段设置 target.url 字段。 |
target.user.company_name |
target.user.company_name |
解析器会根据 companyId 字段设置 target.user.company_name 字段。 |
target.user.user_display_name |
target.user.user_display_name |
解析器会根据 user.name 或 user.userName 字段设置 target.user.user_display_name 字段。 |
target.user.userid |
target.user.userid |
解析器会根据 user_name、user、user.id 或 extra_info.user 字段设置 target.user.userid 字段。 |
target_pid |
target.process.pid |
将原始日志中的 target_pid 值分配给 target.process.pid。 |
timestamp |
metadata.event_timestamp |
系统会解析原始日志中的 timestamp 值,并将其分配给 metadata.event_timestamp。 |
uc_type |
network.application_protocol |
系统会将原始日志中的 uc_type 值转换为大写并分配给 network.application_protocol。如果 target_user_userid 不为空,则 metadata.event_type 会设置为“USER_UNCATEGORIZED”。否则,将其设置为“STATUS_UPDATE”。 |
url |
principal.url |
如果原始日志中的 url 值不为空或不为“0.0.0.0”,则将其分配给 principal.url。 |
user |
target.user.userid |
将原始日志中的 user 值分配给 target.user.userid。 |
user.id |
target.user.userid |
将原始日志中的 user.id 值分配给 target.user.userid。 |
user.name |
target.user.user_display_name |
将原始日志中的 user.name 值分配给 target.user.user_display_name。 |
user.userName |
target.user.user_display_name |
将原始日志中的 user.userName 值分配给 target.user.user_display_name。 |
user.userSid |
principal.user.windows_sid |
将原始日志中的 user.userSid 值分配给 principal.user.windows_sid。 |
user_name |
target.user.userid |
将原始日志中的 user_name 值分配给 target.user.userid。 |
value |
target.registry.registry_value_data 或 target.registry.registry_value_name |
如果 event_name 为“reg_delete_value”,则将原始日志中的 value 值分配给 target.registry.registry_value_data。否则,系统会将其分配给 target.registry.registry_value_name。 |
变化
2023-05-02
- 以 CEF 格式提取的解析日志。
2022-09-28
- 当“status”为“portscan_blocked”或“uc_site_blocked”时,将“security_result.action”映射到“BLOCK”。
- 将“security_result.action”映射到“BLOCK”,前提是“main_action”为“blocked”。
- 将“security_result.action”映射到“BLOCK”,前提是“actionTaken”为“block”。
- 当“final_status”为“blocked”或“deleted”时,将“security_result.action”映射到“BLOCK”。
- 当“final_status”为“ignored”或“still present”时,将“security_result.action”映射为“ALLOW”。
- 当“main_action”为“no action”时,将“security_result.action”映射到“ALLOW”。
- 将“security_result.action”映射到“QUARANTINE”,前提是“final_status”为“quarantined”。
- 将“security_result.action”映射到“ALLOW_WITH_MODIFICATION”,前提是“final_status”为“disinfected”或“restored”。
2022-08-17
- 增强功能 - 将“source_ip”的映射从“principal.ip”更改为“srcc.ip”。
- 当“module”等于“network-monitor”或“fw”时,将“event_type”设置为“SCAN_NETWORK”。
- 将“user.userSid”映射到“principal.user.windows_sid”。
- 将“user.userName”映射到“target.user.user_display_name”。
- 将“protocol_id”映射到“network.ip_protocol”。
- 如果“status”等于“portscan_blocked”或“uc_site_blocked”,请将“security_result.action”设为“BLOCK”。
- 将“local_port”映射到“principal.port”。
- 将“actionTaken”映射到“security_result.action”。
- 将“detection_attackTechnique”映射到“security_result.detection_fields”。
2022-08-13
- 问题修复 - 将“computer_name”字段的映射从“principal.asset.hostname”更改为“event.idm.read_only_udm.principal.resource.attribute.labels”。
2022-08-11
- bug 修复 - 修改了映射到“security_result.action”的“main_action”字段的条件检查。
- 将具有“task-status”模块的日志的“STATUS_UPDATE”映射到“metadata.event_type”。
2022-04-14
- 增强功能 - 添加了 computer_name、computer_id、uc_type、block_type、status、product_installed 的映射。
2022-03-30
- 错误修复 - 更正了时间戳错误,并映射了 user.id、user.name、companyId、computer_name、computer_fqdn、computer_ip、computer_id、url 和 categories 字段。
需要更多帮助?向社区成员和 Google SecOps 专业人士寻求解答。