Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Recopila registros de Bitdefender

Compatible con:

Google SecOps SIEM

En este documento, se explica cómo transferir registros de Bitdefender a Google Security Operations con el agente de Bindplane.

Este analizador extrae los registros de Bitdefender GravityZone en formato CEF o CSV, normaliza los campos al UDM y realiza acciones específicas según los tipos de eventos. Maneja las operaciones de archivos, las conexiones de red, la creación de procesos y las modificaciones del registro, y asigna la información pertinente a los campos correspondientes del UDM.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

Una instancia de Google SecOps
Windows Server 2016 o versiones posteriores, o host de Linux con systemd
Conectividad de red entre el agente de Bindplane y el dispositivo de Bitdefender GravityZone
Si se ejecuta detrás de un proxy, asegúrate de que los puertos de firewall estén abiertos según los requisitos del agente de Bindplane.
Acceso con privilegios a Bitdefender GravityZone

Obtén el archivo de autenticación de transferencia de Google SecOps

Accede a la consola de Google SecOps.
Ve a Configuración de SIEM > Agentes de recopilación.
Descarga el archivo de autenticación de transferencia
Guarda el archivo de forma segura en el sistema en el que se instalará el agente de BindPlane.

Nota: Este archivo JSON contiene credenciales para autenticar el agente de Bindplane en Google SecOps.

Obtén el ID de cliente de Google SecOps

Accede a la consola de Google SecOps.
Ve a Configuración de SIEM > Perfil.
Copia y guarda el ID de cliente de la sección Detalles de la organización.

Nota: Se requiere el ID de cliente para configurar el exportador del agente de Bindplane.

Instala el agente de BindPlane

Instala el agente de Bindplane en tu sistema operativo Windows o Linux según las siguientes instrucciones.

Instalación en Windows

Abre el símbolo del sistema o PowerShell como administrador.

Ejecuta el comando siguiente:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Espera a que se complete la instalación.
Ejecuta el siguiente comando para verificar la instalación:
```
sc query observiq-otel-collector
```
El servicio debe mostrarse como RUNNING.

Instalación en Linux

Abre una terminal con privilegios de administrador o sudo.

Ejecuta el comando siguiente:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Espera a que se complete la instalación.
Ejecuta el siguiente comando para verificar la instalación:
```
sudo systemctl status observiq-otel-collector
```
El servicio debería mostrarse como activo (en ejecución).

Recursos de instalación adicionales

Para obtener más opciones de instalación y solución de problemas, consulta la guía de instalación del agente de Bindplane.

Configura el agente de BindPlane para transferir registros de Syslog y enviarlos a Google SecOps

Ubica el archivo de configuración

Linux:

sudo nano /etc/bindplane-agent/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Edita el archivo de configuración

Reemplaza todo el contenido de config.yaml por la siguiente configuración:

receivers:
    tcplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/bitdefender:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: BITDEFENDER
        raw_log_field: body

service:
    pipelines:
        logs/bitdefender_to_chronicle:
            receivers:
                - tcplog
            exporters:
                - chronicle/bitdefender

Parámetros de configuración

Reemplaza los marcadores de posición que se indican más abajo:

Configuración del receptor:
- listen_address: Dirección IP y puerto para escuchar:
  - 0.0.0.0 para escuchar en todas las interfaces (recomendado)
  - El puerto 514 es el puerto estándar de syslog (requiere acceso raíz en Linux; usa 1514 para acceso no raíz).
Configuración del exportador:
- creds_file_path: Ruta de acceso completa al archivo de autenticación de la transferencia:
  - Linux: /etc/bindplane-agent/ingestion-auth.json
  - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- customer_id: ID de cliente copiado de la consola de Google SecOps
- endpoint: URL del extremo regional:
  - EE.UU.: malachiteingestion-pa.googleapis.com
  - Europa: europe-malachiteingestion-pa.googleapis.com
  - Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
  - Consulta Extremos regionales para obtener la lista completa.

Guarda el archivo de configuración

Después de editarlo, guarda el archivo:
- Linux: Presiona Ctrl+O, luego Enter y, por último, Ctrl+X.
- Windows: Haz clic en Archivo > Guardar

Reinicia el agente de Bindplane para aplicar los cambios

Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:

sudo systemctl restart observiq-otel-collector

Verifica que el servicio esté en ejecución:

```bash
sudo systemctl status observiq-otel-collector
```

Revisa los registros en busca de errores:

```bash
sudo journalctl -u observiq-otel-collector -f
```

Para reiniciar el agente de Bindplane en Windows, elige una de las siguientes opciones:
- Símbolo del sistema o PowerShell como administrador:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Consola de Services:
  1. Presiona Win+R, escribe services.msc y presiona Intro.
  2. Busca observIQ OpenTelemetry Collector.
  3. Haz clic con el botón derecho y selecciona Reiniciar.
  4. Verifica que el servicio esté en ejecución:
```
sc query observiq-otel-collector
```
  5. Revisa los registros en busca de errores:
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Configura la transmisión de Syslog en Bitdefender GravityZone

Accede a GravityZone Control Center.
Ve a Configuration > Integrations > Syslog.
Haz clic en Add Syslog Server.
Proporciona los detalles requeridos:
- Nombre: Proporciona un nombre único para el servidor syslog (por ejemplo, CentralSyslog).
- Dirección IP o nombre de host: Ingresa la dirección IP o el nombre de host del servidor de Bindplane.
- Protocol: Selecciona el protocolo que se usará: TCP o UDP.
- Puerto: Especifica el número de puerto del servidor de BindPlane.
- Selecciona los tipos de registros que deseas transmitir (por ejemplo, Eventos de software malicioso, Eventos de defensa contra ataques de red (NAD), Eventos de control web, Eventos de firewall o Cambios en la política).
- Opcional: Configura filtros para incluir o excluir tipos de eventos específicos.
Haz clic en Guardar.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
`BitdefenderGZAttackEntry`	`security_result.detection_fields.value`	El valor de `BitdefenderGZAttackEntry` del registro sin procesar se asigna como valor a un objeto `security_result.detection_fields` en el que la clave es "attack_entry".
`BitdefenderGZAttackTypes`	`security_result.category_details`	El valor de `BitdefenderGZAttackTypes` del registro sin procesar se asigna a `security_result.category_details`. Luego, el valor se divide en cadenas individuales y cada cadena se agrega como un valor al array `security_result.category_details`.
`BitdefenderGZAttCkId`	`security_result.detection_fields.value`	El valor de `BitdefenderGZAttCkId` del registro sin procesar se asigna como valor a un objeto `security_result.detection_fields` en el que la clave es "BitdefenderGZAttCkId".
`BitdefenderGZCompanyId`	`target.user.company_name`	El valor de `BitdefenderGZCompanyId` del registro sin procesar se asigna a `target.user.company_name`.
`BitdefenderGZComputerFQDN`	`principal.asset.network_domain`	El valor de `BitdefenderGZComputerFQDN` del registro sin procesar se asigna a `principal.asset.network_domain`.
`BitdefenderGZDetectionName`	`security_result.threat_name`	El valor de `BitdefenderGZDetectionName` del registro sin procesar se asigna a `security_result.threat_name`.
`BitdefenderGZEndpointId`	`security_result.detection_fields.value`	El valor de `BitdefenderGZEndpointId` del registro sin procesar se asigna como valor a un objeto `security_result.detection_fields` en el que la clave es "BitdefenderGZEndpointId".
`BitdefenderGZIncidentId`	`metadata.product_log_id`	El valor de `BitdefenderGZIncidentId` del registro sin procesar se asigna a `metadata.product_log_id`.
`BitdefenderGZMainAction`	`security_result.action_details`	El valor de `BitdefenderGZMainAction` del registro sin procesar se asigna a `security_result.action_details`. En función de este valor, se establece el campo `security_result.action` (p.ej., "bloqueado" se asigna a "BLOCK"). El campo `security_result.description` también se completa con "main_action: " seguido del valor de `BitdefenderGZMainAction`.
`BitdefenderGZMalwareHash`	`principal.process.file.sha256`	El valor de `BitdefenderGZMalwareHash` del registro sin procesar se asigna a `principal.process.file.sha256`.
`BitdefenderGZMalwareName`	`security_result.threat_name`	El valor de `BitdefenderGZMalwareName` del registro sin procesar se asigna a `security_result.threat_name`.
`BitdefenderGZMalwareType`	`security_result.detection_fields.value`	El valor de `BitdefenderGZMalwareType` del registro sin procesar se asigna como valor a un objeto `security_result.detection_fields` en el que la clave es "malware_type".
`BitdefenderGZModule`	`metadata.product_event_type`	El valor de `BitdefenderGZModule` del registro sin procesar se asigna a `metadata.product_event_type`.
`BitdefenderGZSeverityScore`	`security_result.severity_details`	El valor de `BitdefenderGZSeverityScore` del registro sin procesar se asigna a `security_result.severity_details`.
`BitdefenderGZHwId`	`target.resource.id`	El valor de `BitdefenderGZHwId` del registro sin procesar se asigna a `target.resource.id`.
`act`	`security_result.action_details`	El valor de `act` del registro sin procesar se asigna a `security_result.action_details`.
`actionTaken`	`security_result.action_details`	El valor de `actionTaken` del registro sin procesar se asigna a `security_result.action_details`. En función de este valor, se establece el campo `security_result.action` (p.ej., "block" se asigna a "BLOCK"). El campo `security_result.description` también se propaga con "actionTaken: " seguido del valor de `actionTaken`.
`additional.fields`	`additional.fields`	La lógica del analizador crea un par clave-valor para "product_installed" y lo agrega al objeto `additional.fields`.
`categories`	`principal.asset.category`	El valor de `categories` del registro sin procesar se asigna a `principal.asset.category`.
`cmd_line`	`target.process.command_line`	El valor de `cmd_line` del registro sin procesar se asigna a `target.process.command_line`.
`companyId`	`target.user.company_name`	El valor de `companyId` del registro sin procesar se asigna a `target.user.company_name`.
`computer_fqdn`	`principal.asset.network_domain`	El valor de `computer_fqdn` del registro sin procesar se asigna a `principal.asset.network_domain`.
`computer_id`	`principal.asset.asset_id`	El valor de `computer_id` del registro sin procesar se asigna a `principal.asset.asset_id` después de anteponer "ComputerId:".
`computer_ip`	`principal.asset.ip`	El valor de `computer_ip` del registro sin procesar se analiza, se divide por comas y cada dirección IP resultante se agrega al array `principal.asset.ip`.
`computer_name`	`principal.resource.attribute.labels.value`	El valor de `computer_name` del registro sin procesar se asigna como valor a un objeto `principal.resource.attribute.labels` en el que la clave es "computer_name". También se agrega como un valor a un objeto `security_result.detection_fields` en el que la clave es "computer_name".
`column1`	`metadata.product_log_id`	El valor de `column1` del registro sin procesar se asigna a `metadata.product_log_id`.
`column3`	`observer.ip`	El valor de `column3` del registro sin procesar se asigna a `observer.ip`.
`command_line`	`target.process.command_line`	El valor de `command_line` del registro sin procesar se asigna a `target.process.command_line`.
`data`	`target.registry.registry_value_data`	El valor de `data` del registro sin procesar se asigna a `target.registry.registry_value_data`.
`detection_attackTechnique`	`security_result.detection_fields.value`	El valor de `detection_attackTechnique` del registro sin procesar se asigna como valor a un objeto `security_result.detection_fields` en el que la clave es "detection attackTechnique".
`detection_name`	`security_result.threat_name`	El valor de `detection_name` del registro sin procesar se asigna a `security_result.threat_name`.
`destination_ip`	`target.ip`	El valor de `destination_ip` del registro sin procesar se asigna a `target.ip`.
`destination_port`	`target.port`	El valor de `destination_port` del registro sin procesar se asigna a `target.port`.
`direction`	`network.direction`	El valor de `direction` del registro sin procesar se convierte a mayúsculas y se asigna a `network.direction`.
`dvc`	`principal.ip`	El valor de `dvc` del registro sin procesar se analiza, se divide por comas y cada dirección IP resultante se agrega al array `principal.ip`.
`dvchost`	`about.hostname`	El valor de `dvchost` del registro sin procesar se asigna a `about.hostname`.
`event_description`	`metadata.description`	El valor de `event_description` del registro sin procesar se asigna a `metadata.description`.
`event_name`	`metadata.product_event_type`	El valor de `event_name` del registro sin procesar se asigna a `metadata.product_event_type`. Si el valor es "Antiphishing", `security_result.category` se establece en "PHISHING". Si el valor es "AntiMalware", `security_result.category` se establece en "SOFTWARE_MALICIOUS". El campo `metadata.event_type` se deriva de `event_name` a través de una serie de sentencias condicionales dentro del analizador.
`ev`	`metadata.product_event_type`	El valor de `ev` del registro sin procesar se asigna a `metadata.product_event_type`.
`extra_info.command_line`	`target.process.command_line`	El valor de `extra_info.command_line` del registro sin procesar se asigna a `target.process.command_line`.
`extra_info.parent_pid`	`principal.process.pid`	El valor de `extra_info.parent_pid` del registro sin procesar se asigna a `principal.process.pid`.
`extra_info.parent_process_cmdline`	`principal.process.command_line`	El valor de `extra_info.parent_process_cmdline` del registro sin procesar se asigna a `principal.process.command_line`.
`extra_info.parent_process_path`	`principal.process.file.full_path`	El valor de `extra_info.parent_process_path` del registro sin procesar se asigna a `principal.process.file.full_path`.
`extra_info.pid`	`target.process.pid`	El valor de `extra_info.pid` del registro sin procesar se asigna a `target.process.pid`.
`extra_info.process_path`	`target.process.file.full_path`	El valor de `extra_info.process_path` del registro sin procesar se asigna a `target.process.file.full_path`.
`extra_info.user`	`target.user.userid`	El valor de `extra_info.user` del registro sin procesar se asigna a `target.user.userid`.
`filePath`	`principal.process.file.full_path`	El valor de `filePath` del registro sin procesar se asigna a `principal.process.file.full_path`.
`file_path`	`principal.process.file.full_path`	El valor de `file_path` del registro sin procesar se asigna a `principal.process.file.full_path`.
`final_status`	`security_result.action_details`	El valor de `final_status` del registro sin procesar se asigna a `security_result.action_details`. En función de este valor, se configura el campo `security_result.action` (p.ej., "deleted" se asigna a "BLOCK", "ignored" a "ALLOW"). El campo `security_result.description` también se propaga con "final_status: " seguido del valor de `final_status`. Si el valor es "deleted" o "blocked", `metadata.event_type` se establece en "SCAN_NETWORK".
`hash`	`principal.process.file.sha256`	El valor de `hash` del registro sin procesar se asigna a `principal.process.file.sha256`.
`host`	`principal.hostname`	El valor de `host` del registro sin procesar se asigna a `principal.hostname`.
`hostname`	`principal.hostname`	El valor de `hostname` del registro sin procesar se asigna a `principal.hostname` si `event_name` no es "log_on" ni "log_out". De lo contrario, se asigna a `target.hostname`.
`host_name`	`principal.hostname`	El valor de `host_name` del registro sin procesar se asigna a `principal.hostname`.
`hwid`	`principal.resource.id`	El valor de `hwid` del registro sin procesar se asigna a `principal.resource.id` si no está vacío. Si está vacío y el evento no es "log_on" ni "log_out", el valor de `source_hwid` se asigna a `principal.resource.id`. Si el evento es "log_on" o "log_out", se asigna a `target.resource.id`.
`incident_id`	`metadata.product_log_id`	El valor de `incident_id` del registro sin procesar se asigna a `metadata.product_log_id`.
`ip_dest`	`target.ip`	El valor de `ip_dest` del registro sin procesar se asigna a `target.ip`.
`ip_source`	`principal.ip`	El valor de `ip_source` del registro sin procesar se asigna a `principal.ip`.
`key_path`	`target.registry.registry_key`	El valor de `key_path` del registro sin procesar se asigna a `target.registry.registry_key`.
`local_port`	`principal.port`	El valor de `local_port` del registro sin procesar se convierte en un número entero y se asigna a `principal.port`.
`logon_type`	`extensions.auth.mechanism`	El valor de `logon_type` del registro sin procesar se usa para determinar el valor de `extensions.auth.mechanism`. Los diferentes valores numéricos de `logon_type` se asignan a diferentes mecanismos de autenticación (p.ej., 2 se asigna a "LOCAL" y 3 a "NETWORK"). Si no se encuentra ningún `logon_type` coincidente, el mecanismo se establece en "MECHANISM_UNSPECIFIED".
`lurker_id`	`intermediary.resource.id`	El valor de `lurker_id` del registro sin procesar se asigna a `intermediary.resource.id`.
`main_action`	`security_result.action_details`	El valor de `main_action` del registro sin procesar se asigna a `security_result.action_details`. Según este valor, se establece el campo `security_result.action` (p.ej., "blocked" se asigna a "BLOCK" y "no action" a "ALLOW"). El campo `security_result.description` también se completa con "main_action: " seguido del valor de `main_action`.
`malware_name`	`security_result.threat_name`	El valor de `malware_name` del registro sin procesar se asigna a `security_result.threat_name`.
`malware_type`	`security_result.detection_fields.value`	El valor de `malware_type` del registro sin procesar se asigna como valor a un objeto `security_result.detection_fields` en el que la clave es "malware_type".
`metadata.description`	`metadata.description`	El analizador establece el campo `metadata.description` según el campo `event_name`.
`metadata.event_type`	`metadata.event_type`	El analizador establece el campo `metadata.event_type` según el campo `event_name`.
`metadata.product_event_type`	`metadata.product_event_type`	El analizador establece el campo `metadata.product_event_type` según los campos `event_name` o `module`.
`metadata.product_log_id`	`metadata.product_log_id`	El analizador establece el campo `metadata.product_log_id` según los campos `msg_id` o `incident_id`.
`metadata.product_name`	`metadata.product_name`	El analizador establece `metadata.product_name` en "BitDefender EDR".
`metadata.product_version`	`metadata.product_version`	El analizador cambia el nombre del campo `product_version` a `metadata.product_version`.
`metadata.vendor_name`	`metadata.vendor_name`	El analizador establece `metadata.vendor_name` en "BitDefender".
`module`	`metadata.product_event_type`	El valor de `module` del registro sin procesar se asigna a `metadata.product_event_type`. Si el valor es "new-incident" y `target_process_file_full_path` no está vacío, `metadata.event_type` se establece en "PROCESS_UNCATEGORIZED". Si el valor es "task-status", `metadata.event_type` se establece en "STATUS_UPDATE". Si el valor es "network-monitor" o "fw", `metadata.event_type` se establece en "SCAN_NETWORK".
`msg_id`	`metadata.product_log_id`	El valor de `msg_id` del registro sin procesar se asigna a `metadata.product_log_id`.
`network.application_protocol`	`network.application_protocol`	El valor de `uc_type` del registro sin procesar se convierte a mayúsculas y se asigna a `network.application_protocol`.
`network.direction`	`network.direction`	El analizador establece el campo `network.direction` según el campo `direction`.
`network.ip_protocol`	`network.ip_protocol`	Si `protocol_id` es "6", el analizador establece `network.ip_protocol` como "TCP".
`new_path`	`target.file.full_path`	El valor de `new_path` del registro sin procesar se asigna a `target.file.full_path`.
`old_path`	`src.file.full_path`	El valor de `old_path` del registro sin procesar se asigna a `src.file.full_path`.
`origin_ip`	`intermediary.ip`	El valor de `origin_ip` del registro sin procesar se asigna a `intermediary.ip`.
`os`	`principal.platform_version`	El valor de `os` del registro sin procesar se asigna a `principal.platform_version`. El campo `principal.platform` se deriva de `os` (p.ej., "Win" se asigna a "WINDOWS"). Si el evento es "log_on" o "log_out", los campos `principal.platform` y `principal.platform_version` se renombran como `target.platform` y `target.platform_version`, respectivamente.
`os_type`	`principal.platform`	El valor de `os_type` del registro sin procesar se usa para determinar el valor de `principal.platform` (p.ej., "Win" se asigna a "WINDOWS").
`parent_pid`	`principal.process.pid`	El valor de `parent_pid` del registro sin procesar se asigna a `principal.process.pid`.
`parent_process_path`	`principal.process.file.full_path`	El valor de `parent_process_path` del registro sin procesar se asigna a `principal.process.file.full_path`.
`parent_process_pid`	`principal.process.pid`	El valor de `parent_process_pid` del registro sin procesar se asigna a `principal.process.pid`.
`path`	`target.file.full_path`	El valor de `path` del registro sin procesar se asigna a `target.file.full_path`.
`pid`	`principal.process.pid` o `target.process.pid`	El valor de `pid` del registro sin procesar se asigna a `principal.process.pid` si `event_name` comienza con "file" o "reg", o si es uno de "process_signal", "network_connection" o "connection_connect". De lo contrario, se asigna a `target.process.pid`.
`pid_path`	`principal.process.file.full_path`	El valor de `pid_path` del registro sin procesar se asigna a `principal.process.file.full_path`.
`port_dest`	`target.port`	El valor de `port_dest` del registro sin procesar se convierte en un número entero y se asigna a `target.port`.
`port_source`	`principal.port`	El valor de `port_source` del registro sin procesar se convierte en un número entero y se asigna a `principal.port`.
`ppid`	`principal.process.pid`	El valor de `ppid` del registro sin procesar se asigna a `principal.process.pid`.
`principal.ip`	`principal.ip`	El analizador establece el campo `principal.ip` según los campos `ip_source` o `dvc`.
`principal.platform`	`principal.platform`	El analizador establece el campo `principal.platform` según los campos `os` o `os_type`.
`principal.platform_version`	`principal.platform_version`	El analizador establece el campo `principal.platform_version` según los campos `os` o `osi_version`.
`principal.process.command_line`	`principal.process.command_line`	El analizador establece el campo `principal.process.command_line` según el campo `parent_process_cmdline`.
`principal.process.file.full_path`	`principal.process.file.full_path`	El analizador establece el campo `principal.process.file.full_path` en función de los campos `pid_path`, `file_path`, `parent_process_path` o `process_path`.
`principal.process.file.md5`	`principal.process.file.md5`	El analizador cambia el nombre del campo `file_hash_md5` a `principal.process.file.md5`.
`principal.process.file.sha256`	`principal.process.file.sha256`	El analizador establece el campo `principal.process.file.sha256` según los campos `hash`, `BitdefenderGZMalwareHash` o `file_hash_sha256`.
`principal.process.parent_process.pid`	`principal.process.parent_process.pid`	El analizador cambia el nombre del campo `ppid` a `principal.process.parent_process.pid`.
`principal.process.pid`	`principal.process.pid`	El analizador establece el campo `principal.process.pid` en función de los campos `pid`, `parent_pid`, `ppid` o `parent_process_pid`.
`principal.resource.id`	`principal.resource.id`	El analizador establece el campo `principal.resource.id` según los campos `hwid` o `source_hwid`.
`principal.url`	`principal.url`	El analizador establece el campo `principal.url` según el campo `url`.
`process_command_line`	`target.process.command_line`	El valor de `process_command_line` del registro sin procesar se asigna a `target.process.command_line`.
`process_path`	`principal.process.file.full_path` o `target.process.file.full_path`	El valor de `process_path` del registro sin procesar se asigna a `principal.process.file.full_path` si `event_name` es "network_connection" o "connection_connect". De lo contrario, se asigna a `target.process.file.full_path`.
`product_installed`	`additional.fields.value.string_value`	El valor de `product_installed` del registro sin procesar se asigna como valor a un objeto `additional.fields` en el que la clave es "product_installed".
`product_version`	`metadata.product_version`	El valor de `product_version` del registro sin procesar se asigna a `metadata.product_version`.
`protocol_id`	`network.ip_protocol`	Si `protocol_id` es "6", el analizador establece `network.ip_protocol` como "TCP".
`request`	`target.url`	El valor de `request` del registro sin procesar se asigna a `target.url`.
`security_result.action`	`security_result.action`	El analizador establece el campo `security_result.action` en función de los campos `main_action`, `actionTaken`, `status` o `final_status`. Si ninguno de estos campos proporciona una acción válida, se establece de forma predeterminada "UNKNOWN_ACTION".
`security_result.action_details`	`security_result.action_details`	El analizador establece el campo `security_result.action_details` en función de los campos `main_action`, `actionTaken`, `status` o `final_status`.
`security_result.category`	`security_result.category`	El analizador establece el campo `security_result.category` en "PHISHING" si `event_name` es "Antiphishing", en "SOFTWARE_MALICIOUS" si `event_name` es "AntiMalware", o bien combina el valor del campo `sec_category`.
`security_result.category_details`	`security_result.category_details`	El analizador establece el campo `security_result.category_details` según los campos `block_type` o `attack_types`.
`security_result.detection_fields`	`security_result.detection_fields`	El analizador crea objetos `security_result.detection_fields` para varios campos, incluidos "malware_type", "attack_entry", "BitdefenderGZAttCkId", "BitdefenderGZEndpointId", "final_status", "detection attackTechnique" y "computer_name".
`security_result.description`	`security_result.description`	El analizador establece el campo `security_result.description` según los campos `main_action`, `actionTaken` o `final_status`.
`security_result.severity`	`security_result.severity`	El analizador establece el campo `security_result.severity` según el valor en mayúsculas del campo `severity` si no está vacío y `module` es "new-incident".
`security_result.severity_details`	`security_result.severity_details`	El analizador establece el campo `security_result.severity_details` según el campo `severity_score`.
`security_result.threat_name`	`security_result.threat_name`	El analizador establece el campo `security_result.threat_name` según los campos `malware_name` o `detection_name`.
`severity`	`security_result.severity`	El valor de `severity` del registro sin procesar se convierte a mayúsculas y se asigna a `security_result.severity` si no está vacío y `module` es "new-incident".
`severity_score`	`security_result.severity_details`	El valor de `severity_score` del registro sin procesar se convierte en una cadena y se asigna a `security_result.severity_details`.
`source_host`	`observer.ip`	El valor de `source_host` del registro sin procesar se asigna a `observer.ip`.
`source_hwid`	`principal.resource.id`	El valor de `source_hwid` del registro sin procesar se asigna a `principal.resource.id`.
`source_ip`	`src.ip`	El valor de `source_ip` del registro sin procesar se asigna a `src.ip`.
`source_port`	`principal.port`	El valor de `source_port` del registro sin procesar se convierte en un número entero y se asigna a `principal.port`.
`spt`	`principal.port`	El valor de `spt` del registro sin procesar se asigna a `principal.port`.
`sproc`	`principal.process.command_line`	El valor de `sproc` del registro sin procesar se asigna a `principal.process.command_line`.
`src`	`principal.ip`	El valor de `src` del registro sin procesar se asigna a `principal.ip`.
`src.ip`	`src.ip`	El analizador establece el campo `src.ip` según el campo `source_ip`.
`src.file.full_path`	`src.file.full_path`	El analizador establece el campo `src.file.full_path` según el campo `old_path`.
`status`	`security_result.action_details`	El valor de `status` del registro sin procesar se asigna a `security_result.action_details`. Según este valor, se establece el campo `security_result.action` (p.ej., "portscan_blocked" y "uc_site_blocked" se asignan a "BLOCK"). El campo `security_result.description` también se propaga con "status: " seguido del valor de `status`.
`suid`	`principal.user.userid`	El valor de `suid` del registro sin procesar se asigna a `principal.user.userid`.
`suser`	`principal.user.user_display_name`	El valor de `suser` del registro sin procesar se asigna a `principal.user.user_display_name`.
`target.file.full_path`	`target.file.full_path`	El analizador establece el campo `target.file.full_path` según los campos `path` o `new_path`.
`target.hostname`	`target.hostname`	El analizador establece el campo `target.hostname` según el campo `hostname`.
`target.ip`	`target.ip`	El analizador establece el campo `target.ip` según los campos `ip_dest` o `destination_ip`.
`target.platform`	`target.platform`	El analizador establece el campo `target.platform` según el campo `principal.platform`.
`target.platform_version`	`target.platform_version`	El analizador establece el campo `target.platform_version` según el campo `principal.platform_version`.
`target.port`	`target.port`	El analizador establece el campo `target.port` según los campos `port_dest` o `destination_port`.
`target.process.command_line`	`target.process.command_line`	El analizador establece el campo `target.process.command_line` según los campos `command_line`, `process_command_line` o `cmd_line`.
`target.process.file.full_path`	`target.process.file.full_path`	El analizador establece el campo `target.process.file.full_path` según el campo `process_path`.
`target.process.pid`	`target.process.pid`	El analizador establece el campo `target.process.pid` según el campo `pid`.
`target.registry.registry_key`	`target.registry.registry_key`	El analizador establece el campo `target.registry.registry_key` según el campo `key_path`.
`target.registry.registry_value_data`	`target.registry.registry_value_data`	El analizador establece el campo `target.registry.registry_value_data` según el campo `data`.
`target.registry.registry_value_name`	`target.registry.registry_value_name`	El analizador establece el campo `target.registry.registry_value_name` según el campo `value`.
`target.resource.id`	`target.resource.id`	El analizador establece el campo `target.resource.id` según los campos `hwid` o `BitdefenderGZHwId`.
`target.url`	`target.url`	El analizador establece el campo `target.url` según el campo `request`.
`target.user.company_name`	`target.user.company_name`	El analizador establece el campo `target.user.company_name` según el campo `companyId`.
`target.user.user_display_name`	`target.user.user_display_name`	El analizador establece el campo `target.user.user_display_name` según los campos `user.name` o `user.userName`.
`target.user.userid`	`target.user.userid`	El analizador establece el campo `target.user.userid` en función de los campos `user_name`, `user`, `user.id` o `extra_info.user`.
`target_pid`	`target.process.pid`	El valor de `target_pid` del registro sin procesar se asigna a `target.process.pid`.
`timestamp`	`metadata.event_timestamp`	El valor de `timestamp` del registro sin procesar se analiza y se asigna a `metadata.event_timestamp`.
`uc_type`	`network.application_protocol`	El valor de `uc_type` del registro sin procesar se convierte a mayúsculas y se asigna a `network.application_protocol`. Si `target_user_userid` no está vacío, `metadata.event_type` se establece en "USER_UNCATEGORIZED". De lo contrario, se establece en "STATUS_UPDATE".
`url`	`principal.url`	El valor de `url` del registro sin procesar se asigna a `principal.url` si no está vacío o es "0.0.0.0".
`user`	`target.user.userid`	El valor de `user` del registro sin procesar se asigna a `target.user.userid`.
`user.id`	`target.user.userid`	El valor de `user.id` del registro sin procesar se asigna a `target.user.userid`.
`user.name`	`target.user.user_display_name`	El valor de `user.name` del registro sin procesar se asigna a `target.user.user_display_name`.
`user.userName`	`target.user.user_display_name`	El valor de `user.userName` del registro sin procesar se asigna a `target.user.user_display_name`.
`user.userSid`	`principal.user.windows_sid`	El valor de `user.userSid` del registro sin procesar se asigna a `principal.user.windows_sid`.
`user_name`	`target.user.userid`	El valor de `user_name` del registro sin procesar se asigna a `target.user.userid`.
`value`	`target.registry.registry_value_data` o `target.registry.registry_value_name`	El valor de `value` del registro sin procesar se asigna a `target.registry.registry_value_data` si `event_name` es "reg_delete_value". De lo contrario, se asigna a `target.registry.registry_value_name`.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.