Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Collecter les journaux Bitdefender

Compatible avec :

Google SecOps SIEM

Ce document explique comment ingérer des journaux Bitdefender dans Google Security Operations à l'aide de l'agent Bindplane.

Ce parseur extrait les journaux Bitdefender GravityZone au format CEF ou CSV, normalise les champs au format UDM et effectue des actions spécifiques en fonction des types d'événements. Il gère les opérations sur les fichiers, les connexions réseau, la création de processus et les modifications du registre, en mappant les informations pertinentes aux champs UDM appropriés.

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

Une instance Google SecOps
Windows Server 2016 ou version ultérieure, ou hôte Linux avec systemd
Connectivité réseau entre l'agent Bindplane et l'appliance Bitdefender GravityZone
Si vous exécutez l'agent derrière un proxy, assurez-vous que les ports de pare-feu sont ouverts conformément aux exigences de l'agent Bindplane.
Accès privilégié à Bitdefender GravityZone

Obtenir le fichier d'authentification d'ingestion Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres du SIEM > Agents de collecte.
Téléchargez le fichier d'authentification d'ingestion.
Enregistrez le fichier de manière sécurisée sur le système sur lequel l'agent Bindplane sera installé.

Remarque : Ce fichier JSON contient les identifiants permettant d'authentifier l'agent Bindplane auprès de Google SecOps.

Obtenir l'ID client Google SecOps

Connectez-vous à la console Google SecOps.
Accédez à Paramètres SIEM> Profil.
Copiez et enregistrez le numéro client de la section Informations sur l'organisation.

Remarque : L'ID client est requis pour configurer l'exportateur de l'agent Bindplane.

Installer l'agent Bindplane

Installez l'agent Bindplane sur votre système d'exploitation Windows ou Linux en suivant les instructions ci-dessous.

Installation de fenêtres

Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.

Exécutez la commande suivante :

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Attendez la fin de l'installation.
Vérifiez l'installation en exécutant la commande suivante :
```
sc query observiq-otel-collector
```
Le service doit être indiqué comme RUNNING (EN COURS D'EXÉCUTION).

Installation de Linux

Ouvrez un terminal avec les droits root ou sudo.

Exécutez la commande suivante :

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Attendez la fin de l'installation.
Vérifiez l'installation en exécutant la commande suivante :
```
sudo systemctl status observiq-otel-collector
```
Le service doit être indiqué comme actif (en cours d'exécution).

Ressources d'installation supplémentaires

Pour obtenir d'autres options d'installation et de dépannage, consultez le guide d'installation de l'agent Bindplane.

Configurer l'agent Bindplane pour ingérer les journaux syslog et les envoyer à Google SecOps

Localiser le fichier de configuration

Linux :

sudo nano /etc/bindplane-agent/config.yaml

Windows :

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modifiez le fichier de configuration

Remplacez l'intégralité du contenu de config.yaml par la configuration suivante :

receivers:
    tcplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/bitdefender:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: BITDEFENDER
        raw_log_field: body

service:
    pipelines:
        logs/bitdefender_to_chronicle:
            receivers:
                - tcplog
            exporters:
                - chronicle/bitdefender

Paramètres de configuration

Remplacez les espaces réservés suivants :

Configuration du récepteur :
- listen_address : adresse IP et port à écouter :
  - 0.0.0.0 pour écouter sur toutes les interfaces (recommandé)
  - Le port 514 est le port syslog standard (nécessite la racine sous Linux ; utilisez 1514 pour les utilisateurs non racine).
Configuration de l'exportateur :
- creds_file_path : chemin d'accès complet au fichier d'authentification de l'ingestion :
  - Linux : /etc/bindplane-agent/ingestion-auth.json
  - Windows : C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- customer_id : ID client copié depuis la console Google SecOps
- endpoint : URL du point de terminaison régional :
  - États-Unis : malachiteingestion-pa.googleapis.com
  - Europe : europe-malachiteingestion-pa.googleapis.com
  - Asie : asia-southeast1-malachiteingestion-pa.googleapis.com
  - Pour obtenir la liste complète, consultez Points de terminaison régionaux.

Enregistrez le fichier de configuration.

Après avoir modifié le fichier, enregistrez-le :
- Linux : appuyez sur Ctrl+O, puis sur Enter, puis sur Ctrl+X.
- Windows : cliquez sur Fichier > Enregistrer.

Redémarrez l'agent Bindplane pour appliquer les modifications.

Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :
```
sudo systemctl restart observiq-otel-collector
```
1. Vérifiez que le service est en cours d'exécution :
```
```bash
  sudo systemctl status observiq-otel-collector
```
```
2. Recherchez les erreurs dans les journaux :
```
```bash
  sudo journalctl -u observiq-otel-collector -f
```
```
Pour redémarrer l'agent Bindplane dans Windows, choisissez l'une des options suivantes :
- Invite de commandes ou PowerShell en tant qu'administrateur :
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Console Services :
  1. Appuyez sur Win+R, saisissez services.msc, puis appuyez sur Entrée.
  2. Localisez observIQ OpenTelemetry Collector.
  3. Effectuez un clic droit, puis sélectionnez Redémarrer.
  4. Vérifiez que le service est en cours d'exécution :
```
sc query observiq-otel-collector
```
  5. Recherchez les erreurs dans les journaux :
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Configurer le streaming syslog dans Bitdefender GravityZone

Connectez-vous au GravityZone Control Center.
Accédez à Configuration> Intégrations> Syslog.
Cliquez sur Ajouter un serveur Syslog.
Fournissez les informations requises :
- Nom : indiquez un nom unique pour le serveur syslog (par exemple, CentralSyslog).
- Adresse IP/Nom d'hôte : saisissez l'adresse IP ou le nom d'hôte du serveur Bindplane.
- Protocole : sélectionnez le protocole à utiliser (TCP ou UDP).
- Port : spécifiez le numéro de port du serveur Bindplane.
- Sélectionnez les types de journaux à diffuser (par exemple, Événements antimalware, Événements de protection contre les attaques réseau (NAD), Événements de contrôle Web, Événements de pare-feu ou Modifications des règles).
- (Facultatif) Configurez des filtres pour inclure ou exclure des types d'événements spécifiques.
Cliquez sur Enregistrer.

Table de mappage UDM

Champ de journal	Mappage UDM	Logique
`BitdefenderGZAttackEntry`	`security_result.detection_fields.value`	La valeur de `BitdefenderGZAttackEntry` du journal brut est attribuée en tant que valeur à un objet `security_result.detection_fields` où la clé est "attack_entry".
`BitdefenderGZAttackTypes`	`security_result.category_details`	La valeur de `BitdefenderGZAttackTypes` du journal brut est attribuée à `security_result.category_details`. La valeur est ensuite divisée en chaînes individuelles, et chaque chaîne est ajoutée en tant que valeur au tableau `security_result.category_details`.
`BitdefenderGZAttCkId`	`security_result.detection_fields.value`	La valeur de `BitdefenderGZAttCkId` du journal brut est attribuée en tant que valeur à un objet `security_result.detection_fields` dont la clé est "BitdefenderGZAttCkId".
`BitdefenderGZCompanyId`	`target.user.company_name`	La valeur de `BitdefenderGZCompanyId` du journal brut est attribuée à `target.user.company_name`.
`BitdefenderGZComputerFQDN`	`principal.asset.network_domain`	La valeur de `BitdefenderGZComputerFQDN` du journal brut est attribuée à `principal.asset.network_domain`.
`BitdefenderGZDetectionName`	`security_result.threat_name`	La valeur de `BitdefenderGZDetectionName` du journal brut est attribuée à `security_result.threat_name`.
`BitdefenderGZEndpointId`	`security_result.detection_fields.value`	La valeur de `BitdefenderGZEndpointId` du journal brut est attribuée en tant que valeur à un objet `security_result.detection_fields` dont la clé est "BitdefenderGZEndpointId".
`BitdefenderGZIncidentId`	`metadata.product_log_id`	La valeur de `BitdefenderGZIncidentId` du journal brut est attribuée à `metadata.product_log_id`.
`BitdefenderGZMainAction`	`security_result.action_details`	La valeur de `BitdefenderGZMainAction` du journal brut est attribuée à `security_result.action_details`. En fonction de cette valeur, le champ `security_result.action` est défini (par exemple, "blocked" correspond à "BLOCK"). Le champ `security_result.description` est également renseigné avec "main_action: " suivi de la valeur de `BitdefenderGZMainAction`.
`BitdefenderGZMalwareHash`	`principal.process.file.sha256`	La valeur de `BitdefenderGZMalwareHash` du journal brut est attribuée à `principal.process.file.sha256`.
`BitdefenderGZMalwareName`	`security_result.threat_name`	La valeur de `BitdefenderGZMalwareName` du journal brut est attribuée à `security_result.threat_name`.
`BitdefenderGZMalwareType`	`security_result.detection_fields.value`	La valeur de `BitdefenderGZMalwareType` du journal brut est attribuée en tant que valeur à un objet `security_result.detection_fields` dont la clé est "malware_type".
`BitdefenderGZModule`	`metadata.product_event_type`	La valeur de `BitdefenderGZModule` du journal brut est attribuée à `metadata.product_event_type`.
`BitdefenderGZSeverityScore`	`security_result.severity_details`	La valeur de `BitdefenderGZSeverityScore` du journal brut est attribuée à `security_result.severity_details`.
`BitdefenderGZHwId`	`target.resource.id`	La valeur de `BitdefenderGZHwId` du journal brut est attribuée à `target.resource.id`.
`act`	`security_result.action_details`	La valeur de `act` du journal brut est attribuée à `security_result.action_details`.
`actionTaken`	`security_result.action_details`	La valeur de `actionTaken` du journal brut est attribuée à `security_result.action_details`. Le champ `security_result.action` est défini en fonction de cette valeur (par exemple, "block" correspond à "BLOCK"). Le champ `security_result.description` est également renseigné avec "actionTaken: " suivi de la valeur de `actionTaken`.
`additional.fields`	`additional.fields`	La logique du parseur crée une paire clé/valeur pour "product_installed" et l'ajoute à l'objet `additional.fields`.
`categories`	`principal.asset.category`	La valeur de `categories` du journal brut est attribuée à `principal.asset.category`.
`cmd_line`	`target.process.command_line`	La valeur de `cmd_line` du journal brut est attribuée à `target.process.command_line`.
`companyId`	`target.user.company_name`	La valeur de `companyId` du journal brut est attribuée à `target.user.company_name`.
`computer_fqdn`	`principal.asset.network_domain`	La valeur de `computer_fqdn` du journal brut est attribuée à `principal.asset.network_domain`.
`computer_id`	`principal.asset.asset_id`	La valeur de `computer_id` du journal brut est attribuée à `principal.asset.asset_id` après l'ajout du préfixe "ComputerId:".
`computer_ip`	`principal.asset.ip`	La valeur de `computer_ip` du journal brut est analysée, divisée par des virgules, et chaque adresse IP obtenue est ajoutée au tableau `principal.asset.ip`.
`computer_name`	`principal.resource.attribute.labels.value`	La valeur de `computer_name` du journal brut est attribuée en tant que valeur à un objet `principal.resource.attribute.labels` dont la clé est "computer_name". Il est également ajouté en tant que valeur à un objet `security_result.detection_fields` où la clé est "computer_name".
`column1`	`metadata.product_log_id`	La valeur de `column1` du journal brut est attribuée à `metadata.product_log_id`.
`column3`	`observer.ip`	La valeur de `column3` du journal brut est attribuée à `observer.ip`.
`command_line`	`target.process.command_line`	La valeur de `command_line` du journal brut est attribuée à `target.process.command_line`.
`data`	`target.registry.registry_value_data`	La valeur de `data` du journal brut est attribuée à `target.registry.registry_value_data`.
`detection_attackTechnique`	`security_result.detection_fields.value`	La valeur de `detection_attackTechnique` du journal brut est attribuée en tant que valeur à un objet `security_result.detection_fields` dont la clé est "detection attackTechnique".
`detection_name`	`security_result.threat_name`	La valeur de `detection_name` du journal brut est attribuée à `security_result.threat_name`.
`destination_ip`	`target.ip`	La valeur de `destination_ip` du journal brut est attribuée à `target.ip`.
`destination_port`	`target.port`	La valeur de `destination_port` du journal brut est attribuée à `target.port`.
`direction`	`network.direction`	La valeur de `direction` du journal brut est mise en majuscules et attribuée à `network.direction`.
`dvc`	`principal.ip`	La valeur de `dvc` du journal brut est analysée, divisée par des virgules, et chaque adresse IP obtenue est ajoutée au tableau `principal.ip`.
`dvchost`	`about.hostname`	La valeur de `dvchost` du journal brut est attribuée à `about.hostname`.
`event_description`	`metadata.description`	La valeur de `event_description` du journal brut est attribuée à `metadata.description`.
`event_name`	`metadata.product_event_type`	La valeur de `event_name` du journal brut est attribuée à `metadata.product_event_type`. Si la valeur est "Antiphishing", `security_result.category` est défini sur "PHISHING". Si la valeur est "AntiMalware", `security_result.category` est défini sur "SOFTWARE_MALICIOUS". Le champ `metadata.event_type` est dérivé de `event_name` à l'aide d'une série d'instructions conditionnelles dans l'analyseur.
`ev`	`metadata.product_event_type`	La valeur de `ev` du journal brut est attribuée à `metadata.product_event_type`.
`extra_info.command_line`	`target.process.command_line`	La valeur de `extra_info.command_line` du journal brut est attribuée à `target.process.command_line`.
`extra_info.parent_pid`	`principal.process.pid`	La valeur de `extra_info.parent_pid` du journal brut est attribuée à `principal.process.pid`.
`extra_info.parent_process_cmdline`	`principal.process.command_line`	La valeur de `extra_info.parent_process_cmdline` du journal brut est attribuée à `principal.process.command_line`.
`extra_info.parent_process_path`	`principal.process.file.full_path`	La valeur de `extra_info.parent_process_path` du journal brut est attribuée à `principal.process.file.full_path`.
`extra_info.pid`	`target.process.pid`	La valeur de `extra_info.pid` du journal brut est attribuée à `target.process.pid`.
`extra_info.process_path`	`target.process.file.full_path`	La valeur de `extra_info.process_path` du journal brut est attribuée à `target.process.file.full_path`.
`extra_info.user`	`target.user.userid`	La valeur de `extra_info.user` du journal brut est attribuée à `target.user.userid`.
`filePath`	`principal.process.file.full_path`	La valeur de `filePath` du journal brut est attribuée à `principal.process.file.full_path`.
`file_path`	`principal.process.file.full_path`	La valeur de `file_path` du journal brut est attribuée à `principal.process.file.full_path`.
`final_status`	`security_result.action_details`	La valeur de `final_status` du journal brut est attribuée à `security_result.action_details`. Le champ `security_result.action` est défini en fonction de cette valeur (par exemple, "deleted" correspond à "BLOCK", "ignored" à "ALLOW"). Le champ `security_result.description` est également renseigné avec "final_status: " suivi de la valeur de `final_status`. Si la valeur est "deleted" (supprimée) ou "blocked" (bloquée), `metadata.event_type` est défini sur "SCAN_NETWORK".
`hash`	`principal.process.file.sha256`	La valeur de `hash` du journal brut est attribuée à `principal.process.file.sha256`.
`host`	`principal.hostname`	La valeur de `host` du journal brut est attribuée à `principal.hostname`.
`hostname`	`principal.hostname`	La valeur de `hostname` du journal brut est attribuée à `principal.hostname` si `event_name` n'est pas défini sur "log_on" ou "log_out". Sinon, il est attribué à `target.hostname`.
`host_name`	`principal.hostname`	La valeur de `host_name` du journal brut est attribuée à `principal.hostname`.
`hwid`	`principal.resource.id`	La valeur de `hwid` du journal brut est attribuée à `principal.resource.id` si elle n'est pas vide. Si ce champ est vide et que l'événement n'est pas "log_on" ni "log_out", la valeur `source_hwid` est attribuée à `principal.resource.id`. Si l'événement est "log_on" ou "log_out", il est attribué à `target.resource.id`.
`incident_id`	`metadata.product_log_id`	La valeur de `incident_id` du journal brut est attribuée à `metadata.product_log_id`.
`ip_dest`	`target.ip`	La valeur de `ip_dest` du journal brut est attribuée à `target.ip`.
`ip_source`	`principal.ip`	La valeur de `ip_source` du journal brut est attribuée à `principal.ip`.
`key_path`	`target.registry.registry_key`	La valeur de `key_path` du journal brut est attribuée à `target.registry.registry_key`.
`local_port`	`principal.port`	La valeur de `local_port` du journal brut est convertie en nombre entier et attribuée à `principal.port`.
`logon_type`	`extensions.auth.mechanism`	La valeur de `logon_type` du journal brut est utilisée pour déterminer la valeur de `extensions.auth.mechanism`. Différentes valeurs numériques de `logon_type` correspondent à différents mécanismes d'authentification (par exemple, 2 correspond à "LOCAL", 3 à "NETWORK"). Si aucune `logon_type` correspondante n'est trouvée, le mécanisme est défini sur "MECHANISM_UNSPECIFIED".
`lurker_id`	`intermediary.resource.id`	La valeur de `lurker_id` du journal brut est attribuée à `intermediary.resource.id`.
`main_action`	`security_result.action_details`	La valeur de `main_action` du journal brut est attribuée à `security_result.action_details`. En fonction de cette valeur, le champ `security_result.action` est défini (par exemple, "blocked" correspond à "BLOCK", "no action" à "ALLOW"). Le champ `security_result.description` est également renseigné avec "main_action: " suivi de la valeur de `main_action`.
`malware_name`	`security_result.threat_name`	La valeur de `malware_name` du journal brut est attribuée à `security_result.threat_name`.
`malware_type`	`security_result.detection_fields.value`	La valeur de `malware_type` du journal brut est attribuée en tant que valeur à un objet `security_result.detection_fields` dont la clé est "malware_type".
`metadata.description`	`metadata.description`	L'analyseur définit le champ `metadata.description` en fonction du champ `event_name`.
`metadata.event_type`	`metadata.event_type`	L'analyseur définit le champ `metadata.event_type` en fonction du champ `event_name`.
`metadata.product_event_type`	`metadata.product_event_type`	L'analyseur définit le champ `metadata.product_event_type` en fonction des champs `event_name` ou `module`.
`metadata.product_log_id`	`metadata.product_log_id`	L'analyseur définit le champ `metadata.product_log_id` en fonction des champs `msg_id` ou `incident_id`.
`metadata.product_name`	`metadata.product_name`	L'analyseur définit `metadata.product_name` sur "BitDefender EDR".
`metadata.product_version`	`metadata.product_version`	Le parseur renomme le champ `product_version` en `metadata.product_version`.
`metadata.vendor_name`	`metadata.vendor_name`	L'analyseur définit `metadata.vendor_name` sur "BitDefender".
`module`	`metadata.product_event_type`	La valeur de `module` du journal brut est attribuée à `metadata.product_event_type`. Si la valeur est "new-incident" et que `target_process_file_full_path` n'est pas vide, `metadata.event_type` est défini sur "PROCESS_UNCATEGORIZED". Si la valeur est "task-status", `metadata.event_type` est défini sur "STATUS_UPDATE". Si la valeur est "network-monitor" ou "fw", `metadata.event_type` est défini sur "SCAN_NETWORK".
`msg_id`	`metadata.product_log_id`	La valeur de `msg_id` du journal brut est attribuée à `metadata.product_log_id`.
`network.application_protocol`	`network.application_protocol`	La valeur de `uc_type` du journal brut est mise en majuscules et attribuée à `network.application_protocol`.
`network.direction`	`network.direction`	L'analyseur définit le champ `network.direction` en fonction du champ `direction`.
`network.ip_protocol`	`network.ip_protocol`	Si `protocol_id` est défini sur "6", l'analyseur définit `network.ip_protocol` sur "TCP".
`new_path`	`target.file.full_path`	La valeur de `new_path` du journal brut est attribuée à `target.file.full_path`.
`old_path`	`src.file.full_path`	La valeur de `old_path` du journal brut est attribuée à `src.file.full_path`.
`origin_ip`	`intermediary.ip`	La valeur de `origin_ip` du journal brut est attribuée à `intermediary.ip`.
`os`	`principal.platform_version`	La valeur de `os` du journal brut est attribuée à `principal.platform_version`. Le champ `principal.platform` est dérivé de `os` (par exemple, "Win" correspond à "WINDOWS"). Si l'événement est "log_on" ou "log_out", les champs `principal.platform` et `principal.platform_version` sont renommés `target.platform` et `target.platform_version`, respectivement.
`os_type`	`principal.platform`	La valeur de `os_type` du journal brut est utilisée pour déterminer la valeur de `principal.platform` (par exemple, "Win" correspond à "WINDOWS").
`parent_pid`	`principal.process.pid`	La valeur de `parent_pid` du journal brut est attribuée à `principal.process.pid`.
`parent_process_path`	`principal.process.file.full_path`	La valeur de `parent_process_path` du journal brut est attribuée à `principal.process.file.full_path`.
`parent_process_pid`	`principal.process.pid`	La valeur de `parent_process_pid` du journal brut est attribuée à `principal.process.pid`.
`path`	`target.file.full_path`	La valeur de `path` du journal brut est attribuée à `target.file.full_path`.
`pid`	`principal.process.pid` ou `target.process.pid`	La valeur de `pid` du journal brut est attribuée à `principal.process.pid` si `event_name` commence par "file" ou "reg", ou s'il s'agit de "process_signal", "network_connection" ou "connection_connect". Sinon, il est attribué à `target.process.pid`.
`pid_path`	`principal.process.file.full_path`	La valeur de `pid_path` du journal brut est attribuée à `principal.process.file.full_path`.
`port_dest`	`target.port`	La valeur de `port_dest` du journal brut est convertie en nombre entier et attribuée à `target.port`.
`port_source`	`principal.port`	La valeur de `port_source` du journal brut est convertie en nombre entier et attribuée à `principal.port`.
`ppid`	`principal.process.pid`	La valeur de `ppid` du journal brut est attribuée à `principal.process.pid`.
`principal.ip`	`principal.ip`	L'analyseur définit le champ `principal.ip` en fonction des champs `ip_source` ou `dvc`.
`principal.platform`	`principal.platform`	L'analyseur définit le champ `principal.platform` en fonction des champs `os` ou `os_type`.
`principal.platform_version`	`principal.platform_version`	L'analyseur définit le champ `principal.platform_version` en fonction des champs `os` ou `osi_version`.
`principal.process.command_line`	`principal.process.command_line`	L'analyseur définit le champ `principal.process.command_line` en fonction du champ `parent_process_cmdline`.
`principal.process.file.full_path`	`principal.process.file.full_path`	L'analyseur définit le champ `principal.process.file.full_path` en fonction des champs `pid_path`, `file_path`, `parent_process_path` ou `process_path`.
`principal.process.file.md5`	`principal.process.file.md5`	Le parseur renomme le champ `file_hash_md5` en `principal.process.file.md5`.
`principal.process.file.sha256`	`principal.process.file.sha256`	L'analyseur définit le champ `principal.process.file.sha256` en fonction des champs `hash`, `BitdefenderGZMalwareHash` ou `file_hash_sha256`.
`principal.process.parent_process.pid`	`principal.process.parent_process.pid`	Le parseur renomme le champ `ppid` en `principal.process.parent_process.pid`.
`principal.process.pid`	`principal.process.pid`	L'analyseur définit le champ `principal.process.pid` en fonction des champs `pid`, `parent_pid`, `ppid` ou `parent_process_pid`.
`principal.resource.id`	`principal.resource.id`	L'analyseur définit le champ `principal.resource.id` en fonction des champs `hwid` ou `source_hwid`.
`principal.url`	`principal.url`	L'analyseur définit le champ `principal.url` en fonction du champ `url`.
`process_command_line`	`target.process.command_line`	La valeur de `process_command_line` du journal brut est attribuée à `target.process.command_line`.
`process_path`	`principal.process.file.full_path` ou `target.process.file.full_path`	La valeur de `process_path` du journal brut est attribuée à `principal.process.file.full_path` si `event_name` est "network_connection" ou "connection_connect". Sinon, il est attribué à `target.process.file.full_path`.
`product_installed`	`additional.fields.value.string_value`	La valeur de `product_installed` du journal brut est attribuée en tant que valeur à un objet `additional.fields` dont la clé est "product_installed".
`product_version`	`metadata.product_version`	La valeur de `product_version` du journal brut est attribuée à `metadata.product_version`.
`protocol_id`	`network.ip_protocol`	Si `protocol_id` est défini sur "6", l'analyseur définit `network.ip_protocol` sur "TCP".
`request`	`target.url`	La valeur de `request` du journal brut est attribuée à `target.url`.
`security_result.action`	`security_result.action`	L'analyseur définit le champ `security_result.action` en fonction des champs `main_action`, `actionTaken`, `status` ou `final_status`. Si aucun de ces champs ne fournit d'action valide, la valeur par défaut est "UNKNOWN_ACTION".
`security_result.action_details`	`security_result.action_details`	L'analyseur définit le champ `security_result.action_details` en fonction des champs `main_action`, `actionTaken`, `status` ou `final_status`.
`security_result.category`	`security_result.category`	L'analyseur définit le champ `security_result.category` sur "PHISHING" si `event_name` est défini sur "Antiphishing", sur "SOFTWARE_MALICIOUS" si `event_name` est défini sur "AntiMalware", ou fusionne la valeur du champ `sec_category`.
`security_result.category_details`	`security_result.category_details`	L'analyseur définit le champ `security_result.category_details` en fonction des champs `block_type` ou `attack_types`.
`security_result.detection_fields`	`security_result.detection_fields`	L'analyseur crée des objets `security_result.detection_fields` pour différents champs, y compris "malware_type", "attack_entry", "BitdefenderGZAttCkId", "BitdefenderGZEndpointId", "final_status", "detection attackTechnique" et "computer_name".
`security_result.description`	`security_result.description`	L'analyseur définit le champ `security_result.description` en fonction des champs `main_action`, `actionTaken` ou `final_status`.
`security_result.severity`	`security_result.severity`	Le parseur définit le champ `security_result.severity` en fonction de la valeur en majuscules du champ `severity` s'il n'est pas vide et que `module` est défini sur "new-incident".
`security_result.severity_details`	`security_result.severity_details`	L'analyseur définit le champ `security_result.severity_details` en fonction du champ `severity_score`.
`security_result.threat_name`	`security_result.threat_name`	L'analyseur définit le champ `security_result.threat_name` en fonction des champs `malware_name` ou `detection_name`.
`severity`	`security_result.severity`	La valeur de `severity` du journal brut est mise en majuscules et attribuée à `security_result.severity` si elle n'est pas vide et que `module` est "new-incident".
`severity_score`	`security_result.severity_details`	La valeur de `severity_score` du journal brut est convertie en chaîne et attribuée à `security_result.severity_details`.
`source_host`	`observer.ip`	La valeur de `source_host` du journal brut est attribuée à `observer.ip`.
`source_hwid`	`principal.resource.id`	La valeur de `source_hwid` du journal brut est attribuée à `principal.resource.id`.
`source_ip`	`src.ip`	La valeur de `source_ip` du journal brut est attribuée à `src.ip`.
`source_port`	`principal.port`	La valeur de `source_port` du journal brut est convertie en nombre entier et attribuée à `principal.port`.
`spt`	`principal.port`	La valeur de `spt` du journal brut est attribuée à `principal.port`.
`sproc`	`principal.process.command_line`	La valeur de `sproc` du journal brut est attribuée à `principal.process.command_line`.
`src`	`principal.ip`	La valeur de `src` du journal brut est attribuée à `principal.ip`.
`src.ip`	`src.ip`	L'analyseur définit le champ `src.ip` en fonction du champ `source_ip`.
`src.file.full_path`	`src.file.full_path`	L'analyseur définit le champ `src.file.full_path` en fonction du champ `old_path`.
`status`	`security_result.action_details`	La valeur de `status` du journal brut est attribuée à `security_result.action_details`. Le champ `security_result.action` est défini en fonction de cette valeur (par exemple, "portscan_blocked" et "uc_site_blocked" correspondent à "BLOCK"). Le champ `security_result.description` est également renseigné avec "status: " suivi de la valeur de `status`.
`suid`	`principal.user.userid`	La valeur de `suid` du journal brut est attribuée à `principal.user.userid`.
`suser`	`principal.user.user_display_name`	La valeur de `suser` du journal brut est attribuée à `principal.user.user_display_name`.
`target.file.full_path`	`target.file.full_path`	L'analyseur définit le champ `target.file.full_path` en fonction des champs `path` ou `new_path`.
`target.hostname`	`target.hostname`	L'analyseur définit le champ `target.hostname` en fonction du champ `hostname`.
`target.ip`	`target.ip`	L'analyseur définit le champ `target.ip` en fonction des champs `ip_dest` ou `destination_ip`.
`target.platform`	`target.platform`	L'analyseur définit le champ `target.platform` en fonction du champ `principal.platform`.
`target.platform_version`	`target.platform_version`	L'analyseur définit le champ `target.platform_version` en fonction du champ `principal.platform_version`.
`target.port`	`target.port`	L'analyseur définit le champ `target.port` en fonction des champs `port_dest` ou `destination_port`.
`target.process.command_line`	`target.process.command_line`	L'analyseur définit le champ `target.process.command_line` en fonction des champs `command_line`, `process_command_line` ou `cmd_line`.
`target.process.file.full_path`	`target.process.file.full_path`	L'analyseur définit le champ `target.process.file.full_path` en fonction du champ `process_path`.
`target.process.pid`	`target.process.pid`	L'analyseur définit le champ `target.process.pid` en fonction du champ `pid`.
`target.registry.registry_key`	`target.registry.registry_key`	L'analyseur définit le champ `target.registry.registry_key` en fonction du champ `key_path`.
`target.registry.registry_value_data`	`target.registry.registry_value_data`	L'analyseur définit le champ `target.registry.registry_value_data` en fonction du champ `data`.
`target.registry.registry_value_name`	`target.registry.registry_value_name`	L'analyseur définit le champ `target.registry.registry_value_name` en fonction du champ `value`.
`target.resource.id`	`target.resource.id`	L'analyseur définit le champ `target.resource.id` en fonction des champs `hwid` ou `BitdefenderGZHwId`.
`target.url`	`target.url`	L'analyseur définit le champ `target.url` en fonction du champ `request`.
`target.user.company_name`	`target.user.company_name`	L'analyseur définit le champ `target.user.company_name` en fonction du champ `companyId`.
`target.user.user_display_name`	`target.user.user_display_name`	L'analyseur définit le champ `target.user.user_display_name` en fonction des champs `user.name` ou `user.userName`.
`target.user.userid`	`target.user.userid`	L'analyseur définit le champ `target.user.userid` en fonction des champs `user_name`, `user`, `user.id` ou `extra_info.user`.
`target_pid`	`target.process.pid`	La valeur de `target_pid` du journal brut est attribuée à `target.process.pid`.
`timestamp`	`metadata.event_timestamp`	La valeur de `timestamp` du journal brut est analysée et attribuée à `metadata.event_timestamp`.
`uc_type`	`network.application_protocol`	La valeur de `uc_type` du journal brut est mise en majuscules et attribuée à `network.application_protocol`. Si `target_user_userid` n'est pas vide, `metadata.event_type` est défini sur "USER_UNCATEGORIZED". Sinon, la valeur est définie sur "STATUS_UPDATE".
`url`	`principal.url`	La valeur de `url` du journal brut est attribuée à `principal.url` si elle n'est pas vide ou si elle n'est pas "0.0.0.0".
`user`	`target.user.userid`	La valeur de `user` du journal brut est attribuée à `target.user.userid`.
`user.id`	`target.user.userid`	La valeur de `user.id` du journal brut est attribuée à `target.user.userid`.
`user.name`	`target.user.user_display_name`	La valeur de `user.name` du journal brut est attribuée à `target.user.user_display_name`.
`user.userName`	`target.user.user_display_name`	La valeur de `user.userName` du journal brut est attribuée à `target.user.user_display_name`.
`user.userSid`	`principal.user.windows_sid`	La valeur de `user.userSid` du journal brut est attribuée à `principal.user.windows_sid`.
`user_name`	`target.user.userid`	La valeur de `user_name` du journal brut est attribuée à `target.user.userid`.
`value`	`target.registry.registry_value_data` ou `target.registry.registry_value_name`	La valeur de `value` du journal brut est attribuée à `target.registry.registry_value_data` si `event_name` est "reg_delete_value". Sinon, il est attribué à `target.registry.registry_value_name`.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.