收集 Bitdefender 記錄
支援以下發布途徑:
Google secops
Siem
這個剖析器會以 CEF 或 CSV 格式擷取 Bitdefender 記錄,將欄位標準化為 UDM,並根據 event_name 和 module 欄位執行特定動作。它會處理各種事件類型,例如檔案作業、網路連線、程序建立和登錄修改,並將相關資訊對應至適當的 UDM 欄位,並透過原始記錄中的其他背景資訊來強化資料。
事前準備
- 確認您有 Google Security Operations 執行個體。
- 請確認您有 Windows 2016 以上版本或 Linux 主機,且已安裝 systemd。
- 如果在 Proxy 後方執行,請確認防火牆通訊埠已開啟。
- 確認您具備 Bitdefender 的特殊存取權。
取得 Google SecOps 擷取驗證檔案
- 登入 Google SecOps 控制台。
- 依序前往「SIEM 設定」>「收集代理程式」。
- 下載擷取驗證檔案。
取得 Google SecOps 客戶 ID
- 登入 Google SecOps 控制台。
- 依序前往「SIEM 設定」>「設定檔」。
- 複製並儲存「機構詳細資料」部分中的客戶 ID。
安裝 Bindplane 代理程式
- 如要在 Windows 上安裝,請執行下列指令碼:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet - 針對Linux 安裝程序,請執行下列指令碼:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh - 如需其他安裝選項,請參閱這份安裝指南。
設定 Bindplane Agent 擷取 Syslog 並傳送至 Google SecOps
- 存取已安裝 Bindplane 的電腦。
按照下列方式編輯
config.yaml檔案:receivers: tcplog: # Replace the below port <54525> and IP <0.0.0.0> with your specific values listen_address: "0.0.0.0:54525" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the creds location below according the placement of the credentials file you downloaded creds: '{ json file for creds }' # Replace <customer_id> below with your actual ID that you copied customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # You can apply ingestion labels below as preferred ingestion_labels: log_type: SYSLOG namespace: bitdefender raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - tcplog exporters: - chronicle/chronicle_w_labels重新啟動 Bindplane 代理程式,套用變更:
sudo systemctl restart bindplane
在 Bitdefender GravityZone 中設定系統記錄檔串流功能
- 登入 GravityZone Control Center。
- 依序前往「設定」>「整合」>「Syslog」。
- 按一下「新增 Syslog 伺服器」。
- 提供必要詳細資料:
- 名稱:為 syslog 伺服器提供不重複的名稱 (例如「CentralSyslog」)。
- IP 位址/主機名稱:輸入 Bindplane 伺服器的 IP 位址或主機名稱。
- 通訊協定:選取要使用的通訊協定:TCP / UDP。
- Port:指定 Bindplane 伺服器的通訊埠號碼。
- 選取要串流的記錄類型 (例如「Antimalware Events」、「Network Attack Defense (NAD) Events」、「Web Control Events」、「Firewall Events」或「Policy Changes」)。
- 選用步驟:設定篩選器,納入或排除特定事件類型。
- 按一下 [儲存]。
UDM 對應表
| 記錄欄位 | UDM 對應 | 邏輯 |
|---|---|---|
BitdefenderGZAttackEntry |
security_result.detection_fields.value |
原始記錄檔中的 BitdefenderGZAttackEntry 值會指派為 security_result.detection_fields 物件的值,其中索引鍵為「attack_entry」。 |
BitdefenderGZAttackTypes |
security_result.category_details |
原始記錄檔中的 BitdefenderGZAttackTypes 值會指派給 security_result.category_details。接著,系統會將值分割成個別字串,並將每個字串新增為 security_result.category_details 陣列的值。 |
BitdefenderGZAttCkId |
security_result.detection_fields.value |
原始記錄中的 BitdefenderGZAttCkId 值會指派為 security_result.detection_fields 物件的值,其中鍵為「BitdefenderGZAttCkId」。 |
BitdefenderGZCompanyId |
target.user.company_name |
原始記錄檔中的 BitdefenderGZCompanyId 值會指派給 target.user.company_name。 |
BitdefenderGZComputerFQDN |
principal.asset.network_domain |
原始記錄檔中的 BitdefenderGZComputerFQDN 值會指派給 principal.asset.network_domain。 |
BitdefenderGZDetectionName |
security_result.threat_name |
原始記錄檔中的 BitdefenderGZDetectionName 值會指派給 security_result.threat_name。 |
BitdefenderGZEndpointId |
security_result.detection_fields.value |
原始記錄中的 BitdefenderGZEndpointId 值會指派為 security_result.detection_fields 物件的值,其中鍵為「BitdefenderGZEndpointId」。 |
BitdefenderGZIncidentId |
metadata.product_log_id |
原始記錄檔中的 BitdefenderGZIncidentId 值會指派給 metadata.product_log_id。 |
BitdefenderGZMainAction |
security_result.action_details |
原始記錄檔中的 BitdefenderGZMainAction 值會指派給 security_result.action_details。系統會根據這個值設定 security_result.action 欄位 (例如「blocked」會對應至「BLOCK」)。security_result.description 欄位也會填入「main_action:」後面接著 BitdefenderGZMainAction 的值。 |
BitdefenderGZMalwareHash |
principal.process.file.sha256 |
原始記錄檔中的 BitdefenderGZMalwareHash 值會指派給 principal.process.file.sha256。 |
BitdefenderGZMalwareName |
security_result.threat_name |
原始記錄檔中的 BitdefenderGZMalwareName 值會指派給 security_result.threat_name。 |
BitdefenderGZMalwareType |
security_result.detection_fields.value |
原始記錄中的 BitdefenderGZMalwareType 值會指派為 security_result.detection_fields 物件的值,其中鍵為「malware_type」。 |
BitdefenderGZModule |
metadata.product_event_type |
原始記錄檔中的 BitdefenderGZModule 值會指派給 metadata.product_event_type。 |
BitdefenderGZSeverityScore |
security_result.severity_details |
原始記錄檔中的 BitdefenderGZSeverityScore 值會指派給 security_result.severity_details。 |
BitdefenderGZHwId |
target.resource.id |
原始記錄檔中的 BitdefenderGZHwId 值會指派給 target.resource.id。 |
act |
security_result.action_details |
原始記錄檔中的 act 值會指派給 security_result.action_details。 |
actionTaken |
security_result.action_details |
原始記錄檔中的 actionTaken 值會指派給 security_result.action_details。系統會根據這個值設定 security_result.action 欄位 (例如「block」會對應至「BLOCK」)。security_result.description 欄位也會填入「actionTaken:」後面加上 actionTaken 的值。 |
additional.fields |
additional.fields |
剖析器邏輯會為「product_installed」建立鍵/值組合,並將其新增至 additional.fields 物件。 |
categories |
principal.asset.category |
原始記錄檔中的 categories 值會指派給 principal.asset.category。 |
cmd_line |
target.process.command_line |
原始記錄檔中的 cmd_line 值會指派給 target.process.command_line。 |
companyId |
target.user.company_name |
原始記錄檔中的 companyId 值會指派給 target.user.company_name。 |
computer_fqdn |
principal.asset.network_domain |
原始記錄檔中的 computer_fqdn 值會指派給 principal.asset.network_domain。 |
computer_id |
principal.asset.asset_id |
在原始記錄中,computer_id 的值會在前面加上「ComputerId:」後,指派給 principal.asset.asset_id。 |
computer_ip |
principal.asset.ip |
系統會剖析原始記錄檔中的 computer_ip 值,並以半形逗號分隔,然後將每個產生的 IP 位址新增至 principal.asset.ip 陣列。 |
computer_name |
principal.resource.attribute.labels.value |
原始記錄檔中的 computer_name 值會指派給 principal.resource.attribute.labels 物件,其中索引鍵為「computer_name」。並將其新增為 security_result.detection_fields 物件的值,其中鍵為「computer_name」。 |
column1 |
metadata.product_log_id |
原始記錄檔中的 column1 值會指派給 metadata.product_log_id。 |
column3 |
observer.ip |
原始記錄檔中的 column3 值會指派給 observer.ip。 |
command_line |
target.process.command_line |
原始記錄檔中的 command_line 值會指派給 target.process.command_line。 |
data |
target.registry.registry_value_data |
原始記錄檔中的 data 值會指派給 target.registry.registry_value_data。 |
detection_attackTechnique |
security_result.detection_fields.value |
原始記錄檔中的 detection_attackTechnique 值會指派為 security_result.detection_fields 物件的值,其中鍵為「detection attackTechnique」。 |
detection_name |
security_result.threat_name |
原始記錄檔中的 detection_name 值會指派給 security_result.threat_name。 |
destination_ip |
target.ip |
原始記錄檔中的 destination_ip 值會指派給 target.ip。 |
destination_port |
target.port |
原始記錄檔中的 destination_port 值會指派給 target.port。 |
direction |
network.direction |
原始記錄檔中的 direction 值會轉為大寫,並指派給 network.direction。 |
dvc |
principal.ip |
系統會剖析原始記錄檔中的 dvc 值,並以半形逗號分隔,然後將每個產生的 IP 位址新增至 principal.ip 陣列。 |
dvchost |
about.hostname |
原始記錄檔中的 dvchost 值會指派給 about.hostname。 |
event_description |
metadata.description |
原始記錄檔中的 event_description 值會指派給 metadata.description。 |
event_name |
metadata.product_event_type |
原始記錄檔中的 event_name 值會指派給 metadata.product_event_type。如果值為「Antiphishing」,security_result.category 會設為「PHISHING」。如果值為「AntiMalware」,security_result.category 會設為「SOFTWARE_MALICIOUS」。metadata.event_type 欄位是使用剖析器中的一系列條件陳述式,從 event_name 衍生而來。 |
ev |
metadata.product_event_type |
原始記錄檔中的 ev 值會指派給 metadata.product_event_type。 |
extra_info.command_line |
target.process.command_line |
原始記錄檔中的 extra_info.command_line 值會指派給 target.process.command_line。 |
extra_info.parent_pid |
principal.process.pid |
原始記錄檔中的 extra_info.parent_pid 值會指派給 principal.process.pid。 |
extra_info.parent_process_cmdline |
principal.process.command_line |
原始記錄檔中的 extra_info.parent_process_cmdline 值會指派給 principal.process.command_line。 |
extra_info.parent_process_path |
principal.process.file.full_path |
原始記錄檔中的 extra_info.parent_process_path 值會指派給 principal.process.file.full_path。 |
extra_info.pid |
target.process.pid |
原始記錄檔中的 extra_info.pid 值會指派給 target.process.pid。 |
extra_info.process_path |
target.process.file.full_path |
原始記錄檔中的 extra_info.process_path 值會指派給 target.process.file.full_path。 |
extra_info.user |
target.user.userid |
原始記錄檔中的 extra_info.user 值會指派給 target.user.userid。 |
filePath |
principal.process.file.full_path |
原始記錄檔中的 filePath 值會指派給 principal.process.file.full_path。 |
file_path |
principal.process.file.full_path |
原始記錄檔中的 file_path 值會指派給 principal.process.file.full_path。 |
final_status |
security_result.action_details |
原始記錄檔中的 final_status 值會指派給 security_result.action_details。系統會根據這個值設定 security_result.action 欄位 (例如「deleted」會對應至「BLOCK」、「ignored」會對應至「ALLOW」)。security_result.description 欄位也會填入「final_status:」後面加上 final_status 的值。如果值為「已刪除」或「已封鎖」,metadata.event_type 會設為「SCAN_NETWORK」。 |
hash |
principal.process.file.sha256 |
原始記錄檔中的 hash 值會指派給 principal.process.file.sha256。 |
host |
principal.hostname |
原始記錄檔中的 host 值會指派給 principal.hostname。 |
hostname |
principal.hostname |
如果 event_name 不是「log_on」或「log_out」,則原始記錄檔中的 hostname 值會指派給 principal.hostname。否則會指派給 target.hostname。 |
host_name |
principal.hostname |
原始記錄檔中的 host_name 值會指派給 principal.hostname。 |
hwid |
principal.resource.id |
如果原始記錄檔中的 hwid 值非空白,則會指派給 principal.resource.id。如果空白且事件不是「log_on」或「log_out」,source_hwid 的值會指派給 principal.resource.id。如果事件為「log_on」或「log_out」,則會指派給 target.resource.id。 |
incident_id |
metadata.product_log_id |
原始記錄檔中的 incident_id 值會指派給 metadata.product_log_id。 |
ip_dest |
target.ip |
原始記錄檔中的 ip_dest 值會指派給 target.ip。 |
ip_source |
principal.ip |
原始記錄檔中的 ip_source 值會指派給 principal.ip。 |
key_path |
target.registry.registry_key |
原始記錄檔中的 key_path 值會指派給 target.registry.registry_key。 |
local_port |
principal.port |
原始記錄檔中的 local_port 值會轉換為整數,並指派給 principal.port。 |
logon_type |
extensions.auth.mechanism |
系統會使用原始記錄中的 logon_type 值,判斷 extensions.auth.mechanism 的值。logon_type 的不同數值會對應至不同的驗證機制 (例如2 個對應至「LOCAL」,3 個對應至「NETWORK」)。如果找不到相符的 logon_type,系統會將機制設為「MECHANISM_UNSPECIFIED」。 |
lurker_id |
intermediary.resource.id |
原始記錄檔中的 lurker_id 值會指派給 intermediary.resource.id。 |
main_action |
security_result.action_details |
原始記錄檔中的 main_action 值會指派給 security_result.action_details。系統會根據這個值設定 security_result.action 欄位 (例如「blocked」對應至「BLOCK」、「no action」對應至「ALLOW」)。security_result.description 欄位也會填入「main_action:」後面接著 main_action 的值。 |
malware_name |
security_result.threat_name |
原始記錄檔中的 malware_name 值會指派給 security_result.threat_name。 |
malware_type |
security_result.detection_fields.value |
原始記錄中的 malware_type 值會指派為 security_result.detection_fields 物件的值,其中鍵為「malware_type」。 |
metadata.description |
metadata.description |
剖析器會根據 event_name 欄位設定 metadata.description 欄位。 |
metadata.event_type |
metadata.event_type |
剖析器會根據 event_name 欄位設定 metadata.event_type 欄位。 |
metadata.product_event_type |
metadata.product_event_type |
剖析器會根據 event_name 或 module 欄位設定 metadata.product_event_type 欄位。 |
metadata.product_log_id |
metadata.product_log_id |
剖析器會根據 msg_id 或 incident_id 欄位設定 metadata.product_log_id 欄位。 |
metadata.product_name |
metadata.product_name |
剖析器會將 metadata.product_name 設為「BitDefender EDR」。 |
metadata.product_version |
metadata.product_version |
剖析器會將 product_version 欄位重新命名為 metadata.product_version。 |
metadata.vendor_name |
metadata.vendor_name |
剖析器會將 metadata.vendor_name 設為「BitDefender」。 |
module |
metadata.product_event_type |
原始記錄檔中的 module 值會指派給 metadata.product_event_type。如果值為「new-incident」,且 target_process_file_full_path 非空白,metadata.event_type 就會設為「PROCESS_UNCATEGORIZED」。如果值為「task-status」,metadata.event_type 會設為「STATUS_UPDATE」。如果值為「network-monitor」或「fw」,metadata.event_type 會設為「SCAN_NETWORK」。 |
msg_id |
metadata.product_log_id |
原始記錄檔中的 msg_id 值會指派給 metadata.product_log_id。 |
network.application_protocol |
network.application_protocol |
原始記錄檔中的 uc_type 值會轉為大寫,並指派給 network.application_protocol。 |
network.direction |
network.direction |
剖析器會根據 direction 欄位設定 network.direction 欄位。 |
network.ip_protocol |
network.ip_protocol |
如果 protocol_id 為「6」,剖析器會將 network.ip_protocol 設為「TCP」。 |
new_path |
target.file.full_path |
原始記錄檔中的 new_path 值會指派給 target.file.full_path。 |
old_path |
src.file.full_path |
原始記錄檔中的 old_path 值會指派給 src.file.full_path。 |
origin_ip |
intermediary.ip |
原始記錄檔中的 origin_ip 值會指派給 intermediary.ip。 |
os |
principal.platform_version |
原始記錄檔中的 os 值會指派給 principal.platform_version。principal.platform 欄位是從 os 衍生而來 (例如 「Win」會對應至「WINDOWS」)。如果事件為「log_on」或「log_out」,principal.platform 和 principal.platform_version 欄位會分別重新命名為 target.platform 和 target.platform_version。 |
os_type |
principal.platform |
系統會使用原始記錄檔中的 os_type 值,判斷 principal.platform 的值 (例如 「Win」會對應至「WINDOWS」)。 |
parent_pid |
principal.process.pid |
原始記錄檔中的 parent_pid 值會指派給 principal.process.pid。 |
parent_process_path |
principal.process.file.full_path |
原始記錄檔中的 parent_process_path 值會指派給 principal.process.file.full_path。 |
parent_process_pid |
principal.process.pid |
原始記錄檔中的 parent_process_pid 值會指派給 principal.process.pid。 |
path |
target.file.full_path |
原始記錄檔中的 path 值會指派給 target.file.full_path。 |
pid |
principal.process.pid或target.process.pid |
如果 event_name 開頭為「file」或「reg」,或是「process_signal」、「network_connection」或「connection_connect」其中之一,則原始記錄檔中的 pid 值會指派給 principal.process.pid。否則會指派給 target.process.pid。 |
pid_path |
principal.process.file.full_path |
原始記錄檔中的 pid_path 值會指派給 principal.process.file.full_path。 |
port_dest |
target.port |
原始記錄檔中的 port_dest 值會轉換為整數,並指派給 target.port。 |
port_source |
principal.port |
原始記錄檔中的 port_source 值會轉換為整數,並指派給 principal.port。 |
ppid |
principal.process.pid |
原始記錄檔中的 ppid 值會指派給 principal.process.pid。 |
principal.ip |
principal.ip |
剖析器會根據 ip_source 或 dvc 欄位設定 principal.ip 欄位。 |
principal.platform |
principal.platform |
剖析器會根據 os 或 os_type 欄位設定 principal.platform 欄位。 |
principal.platform_version |
principal.platform_version |
剖析器會根據 os 或 osi_version 欄位設定 principal.platform_version 欄位。 |
principal.process.command_line |
principal.process.command_line |
剖析器會根據 parent_process_cmdline 欄位設定 principal.process.command_line 欄位。 |
principal.process.file.full_path |
principal.process.file.full_path |
剖析器會根據 pid_path、file_path、parent_process_path 或 process_path 欄位設定 principal.process.file.full_path 欄位。 |
principal.process.file.md5 |
principal.process.file.md5 |
剖析器會將 file_hash_md5 欄位重新命名為 principal.process.file.md5。 |
principal.process.file.sha256 |
principal.process.file.sha256 |
剖析器會根據 hash、BitdefenderGZMalwareHash 或 file_hash_sha256 欄位設定 principal.process.file.sha256 欄位。 |
principal.process.parent_process.pid |
principal.process.parent_process.pid |
剖析器會將 ppid 欄位重新命名為 principal.process.parent_process.pid。 |
principal.process.pid |
principal.process.pid |
剖析器會根據 pid、parent_pid、ppid 或 parent_process_pid 欄位設定 principal.process.pid 欄位。 |
principal.resource.id |
principal.resource.id |
剖析器會根據 hwid 或 source_hwid 欄位設定 principal.resource.id 欄位。 |
principal.url |
principal.url |
剖析器會根據 url 欄位設定 principal.url 欄位。 |
process_command_line |
target.process.command_line |
原始記錄檔中的 process_command_line 值會指派給 target.process.command_line。 |
process_path |
principal.process.file.full_path或target.process.file.full_path |
如果 event_name 為「network_connection」或「connection_connect」,原始記錄檔中的 process_path 值會指派給 principal.process.file.full_path。否則會指派給 target.process.file.full_path。 |
product_installed |
additional.fields.value.string_value |
原始記錄檔中的 product_installed 值會指派為 additional.fields 物件的值,其中鍵為「product_installed」。 |
product_version |
metadata.product_version |
原始記錄檔中的 product_version 值會指派給 metadata.product_version。 |
protocol_id |
network.ip_protocol |
如果 protocol_id 為「6」,剖析器會將 network.ip_protocol 設為「TCP」。 |
request |
target.url |
原始記錄檔中的 request 值會指派給 target.url。 |
security_result.action |
security_result.action |
剖析器會根據 main_action、actionTaken、status 或 final_status 欄位設定 security_result.action 欄位。如果這些欄位都未提供有效的動作,系統會預設為「UNKNOWN_ACTION」。 |
security_result.action_details |
security_result.action_details |
剖析器會根據 main_action、actionTaken、status 或 final_status 欄位設定 security_result.action_details 欄位。 |
security_result.category |
security_result.category |
如果 event_name 為「Antiphishing」,剖析器會將 security_result.category 欄位設為「PHISHING」;如果 event_name 為「AntiMalware」,則會設為「SOFTWARE_MALICIOUS」;如果 event_name 為「AntiMalware」,則會合併 sec_category 欄位的值。 |
security_result.category_details |
security_result.category_details |
剖析器會根據 block_type 或 attack_types 欄位設定 security_result.category_details 欄位。 |
security_result.detection_fields |
security_result.detection_fields |
剖析器會為各種欄位建立 security_result.detection_fields 物件,包括「malware_type」、「attack_entry」、「BitdefenderGZAttCkId」、「BitdefenderGZEndpointId」、「final_status」、「detection attackTechnique」和「computer_name」。 |
security_result.description |
security_result.description |
剖析器會根據 main_action、actionTaken 或 final_status 欄位設定 security_result.description 欄位。 |
security_result.severity |
security_result.severity |
如果 severity 欄位非空白且 module 為「new-incident」,剖析器會根據 severity 欄位的大寫值設定 security_result.severity 欄位。 |
security_result.severity_details |
security_result.severity_details |
剖析器會根據 severity_score 欄位設定 security_result.severity_details 欄位。 |
security_result.threat_name |
security_result.threat_name |
剖析器會根據 malware_name 或 detection_name 欄位設定 security_result.threat_name 欄位。 |
severity |
security_result.severity |
如果原始記錄中的 severity 值非空白,且 module 為「new-incident」,則會將該值設為大寫並指派給 security_result.severity。 |
severity_score |
security_result.severity_details |
原始記錄檔中的 severity_score 值會轉換為字串,並指派給 security_result.severity_details。 |
source_host |
observer.ip |
原始記錄檔中的 source_host 值會指派給 observer.ip。 |
source_hwid |
principal.resource.id |
原始記錄檔中的 source_hwid 值會指派給 principal.resource.id。 |
source_ip |
src.ip |
原始記錄檔中的 source_ip 值會指派給 src.ip。 |
source_port |
principal.port |
原始記錄檔中的 source_port 值會轉換為整數,並指派給 principal.port。 |
spt |
principal.port |
原始記錄檔中的 spt 值會指派給 principal.port。 |
sproc |
principal.process.command_line |
原始記錄檔中的 sproc 值會指派給 principal.process.command_line。 |
src |
principal.ip |
原始記錄檔中的 src 值會指派給 principal.ip。 |
src.ip |
src.ip |
剖析器會根據 source_ip 欄位設定 src.ip 欄位。 |
src.file.full_path |
src.file.full_path |
剖析器會根據 old_path 欄位設定 src.file.full_path 欄位。 |
status |
security_result.action_details |
原始記錄檔中的 status 值會指派給 security_result.action_details。系統會根據這個值設定 security_result.action 欄位 (例如「portscan_blocked」和「uc_site_blocked」會對應至「BLOCK」)。security_result.description 欄位也會填入「status:」後面接著 status 的值。 |
suid |
principal.user.userid |
原始記錄檔中的 suid 值會指派給 principal.user.userid。 |
suser |
principal.user.user_display_name |
原始記錄檔中的 suser 值會指派給 principal.user.user_display_name。 |
target.file.full_path |
target.file.full_path |
剖析器會根據 path 或 new_path 欄位設定 target.file.full_path 欄位。 |
target.hostname |
target.hostname |
剖析器會根據 hostname 欄位設定 target.hostname 欄位。 |
target.ip |
target.ip |
剖析器會根據 ip_dest 或 destination_ip 欄位設定 target.ip 欄位。 |
target.platform |
target.platform |
剖析器會根據 principal.platform 欄位設定 target.platform 欄位。 |
target.platform_version |
target.platform_version |
剖析器會根據 principal.platform_version 欄位設定 target.platform_version 欄位。 |
target.port |
target.port |
剖析器會根據 port_dest 或 destination_port 欄位設定 target.port 欄位。 |
target.process.command_line |
target.process.command_line |
剖析器會根據 command_line、process_command_line 或 cmd_line 欄位設定 target.process.command_line 欄位。 |
target.process.file.full_path |
target.process.file.full_path |
剖析器會根據 process_path 欄位設定 target.process.file.full_path 欄位。 |
target.process.pid |
target.process.pid |
剖析器會根據 pid 欄位設定 target.process.pid 欄位。 |
target.registry.registry_key |
target.registry.registry_key |
剖析器會根據 key_path 欄位設定 target.registry.registry_key 欄位。 |
target.registry.registry_value_data |
target.registry.registry_value_data |
剖析器會根據 data 欄位設定 target.registry.registry_value_data 欄位。 |
target.registry.registry_value_name |
target.registry.registry_value_name |
剖析器會根據 value 欄位設定 target.registry.registry_value_name 欄位。 |
target.resource.id |
target.resource.id |
剖析器會根據 hwid 或 BitdefenderGZHwId 欄位設定 target.resource.id 欄位。 |
target.url |
target.url |
剖析器會根據 request 欄位設定 target.url 欄位。 |
target.user.company_name |
target.user.company_name |
剖析器會根據 companyId 欄位設定 target.user.company_name 欄位。 |
target.user.user_display_name |
target.user.user_display_name |
剖析器會根據 user.name 或 user.userName 欄位設定 target.user.user_display_name 欄位。 |
target.user.userid |
target.user.userid |
剖析器會根據 user_name、user、user.id 或 extra_info.user 欄位設定 target.user.userid 欄位。 |
target_pid |
target.process.pid |
原始記錄檔中的 target_pid 值會指派給 target.process.pid。 |
timestamp |
metadata.event_timestamp |
系統會剖析原始記錄中的 timestamp 值,並指派給 metadata.event_timestamp。 |
uc_type |
network.application_protocol |
原始記錄檔中的 uc_type 值會轉為大寫,並指派給 network.application_protocol。如果 target_user_userid 非空白,metadata.event_type 會設為「USER_UNCATEGORIZED」。否則會設為「STATUS_UPDATE」。 |
url |
principal.url |
如果原始記錄中的 url 值不是空白或「0.0.0.0」,則會指派給 principal.url。 |
user |
target.user.userid |
原始記錄檔中的 user 值會指派給 target.user.userid。 |
user.id |
target.user.userid |
原始記錄檔中的 user.id 值會指派給 target.user.userid。 |
user.name |
target.user.user_display_name |
原始記錄檔中的 user.name 值會指派給 target.user.user_display_name。 |
user.userName |
target.user.user_display_name |
原始記錄檔中的 user.userName 值會指派給 target.user.user_display_name。 |
user.userSid |
principal.user.windows_sid |
原始記錄檔中的 user.userSid 值會指派給 principal.user.windows_sid。 |
user_name |
target.user.userid |
原始記錄檔中的 user_name 值會指派給 target.user.userid。 |
value |
target.registry.registry_value_data或target.registry.registry_value_name |
如果 event_name 為「reg_delete_value」,系統會將原始記錄檔中的 value 值指派給 target.registry.registry_value_data。否則會指派給 target.registry.registry_value_name。 |
異動
2023-05-02
- 以 CEF 格式擷取的剖析記錄。
2022-09-28
- 當「status」為「portscan_blocked」或「uc_site_blocked」時,會將「security_result.action」對應至「BLOCK」。
- 當「main_action」為「blocked」時,將「security_result.action」對應至「BLOCK」。
- 當「actionTaken」為「block」時,將「security_result.action」對應至「BLOCK」。
- 當「final_status」為「blocked」或「deleted」時,會將「security_result.action」對應至「BLOCK」。
- 當「final_status」為「ignored」或「still present」時,會將「security_result.action」對應為「ALLOW」。
- 當「main_action」為「no action」時,將「security_result.action」對應至「ALLOW」。
- 當「final_status」為「quarantined」時,將「security_result.action」對應至「QUARANTINE」。
- 當「final_status」為「disinfected」或「restored」時,將「security_result.action」對應至「ALLOW_WITH_MODIFICATION」。
2022-08-17
- 改善項目:將「source_ip」的對應項目從「principal.ip」修改為「srcc.ip」。
- 如果「module」等於「network-monitor」或「fw」,請將「event_type」設為「SCAN_NETWORK」。
- 將「user.userSid」對應至「principal.user.windows_sid」。
- 將「user.userName」對應至「target.user.user_display_name」。
- 將「protocol_id」對應至「network.ip_protocol」。
- 如果「status」等於「portscan_blocked」或「uc_site_blocked」,請將「security_result.action」設為「BLOCK」。
- 將「local_port」對應至「principal.port」。
- 將「actionTaken」對應至「security_result.action」。
- 將「detection_attackTechnique」對應至「security_result.detection_fields」。
2022-08-13
- 錯誤修正:已將「computer_name」欄位的對應項目從「principal.asset.hostname」修改為「event.idm.read_only_udm.principal.resource.attribute.labels」。
2022-08-11
- 錯誤修正:修改了對應至「security_result.action」的「main_action」欄位條件式檢查。
- 針對含有「task-status」模組的記錄,將「STATUS_UPDATE」對應至「metadata.event_type」。
2022-04-14
- 改善項目:新增 computer_name、computer_id、uc_type、block_type、status、product_installed 的對應項目。
2022-03-30
- 錯誤修正:修正時間戳記錯誤,並對應 user.id、user.name、companyId、computer_name、computer_fqdn、computer_ip、computer_id、url 和 categories 欄位。
還有其他問題嗎?向社群成員和 Google SecOps 專家尋求解答。