Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Raccogliere i log di Bitdefender

Supportato in:

Google SecOps SIEM

Questo documento spiega come importare i log di Bitdefender in Google Security Operations utilizzando l'agente Bindplane.

Questo parser estrae i log di Bitdefender GravityZone in formato CEF o CSV, normalizza i campi in UDM ed esegue azioni specifiche in base ai tipi di eventi. Gestisce le operazioni sui file, le connessioni di rete, la creazione di processi e le modifiche al registro, mappando le informazioni pertinenti nei campi UDM appropriati.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

Un'istanza Google SecOps
Windows Server 2016 o versioni successive oppure host Linux con systemd
Connettività di rete tra l'agente Bindplane e l'appliance Bitdefender GravityZone
Se l'agente viene eseguito dietro un proxy, assicurati che le porte del firewall siano aperte in base ai requisiti dell'agente Bindplane
Accesso con privilegi a Bitdefender GravityZone

Recuperare il file di autenticazione importazione di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Agenti di raccolta.
Scarica il file di autenticazione importazione.
Salva il file in modo sicuro sul sistema in cui verrà installato l'agente Bindplane.

Nota :questo file JSON contiene le credenziali per l'autenticazione dell'agente Bindplane in Google SecOps.

Recuperare l'ID cliente Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Nota: l'ID cliente è necessario per configurare l'esportatore dell'agente Bindplane.

Installa l'agente Bindplane

Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.

Installazione di Windows

Apri Prompt dei comandi o PowerShell come amministratore.

Esegui questo comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Attendi il completamento dell'installazione.
Verifica l'installazione eseguendo:
```
sc query observiq-otel-collector
```
Il servizio dovrebbe essere visualizzato come IN ESECUZIONE.

Installazione di Linux

Apri un terminale con privilegi root o sudo.

Esegui questo comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Attendi il completamento dell'installazione.
Verifica l'installazione eseguendo:
```
sudo systemctl status observiq-otel-collector
```
Il servizio dovrebbe essere visualizzato come attivo (in esecuzione).

Risorse aggiuntive per l'installazione

Per ulteriori opzioni di installazione e risoluzione dei problemi, consulta la Guida all'installazione dell'agente Bindplane.

Configura l'agente Bindplane per importare syslog e inviarli a Google SecOps

Individua il file di configurazione

Linux:

sudo nano /etc/bindplane-agent/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Modifica il file di configurazione

Sostituisci l'intero contenuto di config.yaml con la seguente configurazione:

receivers:
    tcplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/bitdefender:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: '<customer_id>'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: BITDEFENDER
        raw_log_field: body

service:
    pipelines:
        logs/bitdefender_to_chronicle:
            receivers:
                - tcplog
            exporters:
                - chronicle/bitdefender

Parametri di configurazione

Sostituisci i seguenti segnaposto:

Configurazione del ricevitore:
- listen_address: Indirizzo IP e porta da ascoltare:
  - 0.0.0.0 per ascoltare su tutte le interfacce (consigliato)
  - La porta 514 è la porta syslog standard (richiede l'accesso root su Linux; utilizza 1514 per l'accesso non root)
Configurazione dell'esportatore:
- creds_file_path: percorso completo del file di autenticazione importazione:
  - Linux: /etc/bindplane-agent/ingestion-auth.json
  - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- customer_id: ID cliente copiato dalla console Google SecOps
- endpoint: URL endpoint regionale:
  - Stati Uniti: malachiteingestion-pa.googleapis.com
  - Europa: europe-malachiteingestion-pa.googleapis.com
  - Asia: asia-southeast1-malachiteingestion-pa.googleapis.com
  - Per un elenco completo, vedi Endpoint regionali.

Salvare il file di configurazione

Dopo la modifica, salva il file:
- Linux: premi Ctrl+O, poi Enter e infine Ctrl+X.
- Windows: fai clic su File > Salva.

Riavvia l'agente Bindplane per applicare le modifiche

Per riavviare l'agente Bindplane in Linux, esegui questo comando:

sudo systemctl restart observiq-otel-collector

Verifica che il servizio sia in esecuzione:

```bash
sudo systemctl status observiq-otel-collector
```

Controlla i log per individuare eventuali errori:

```bash
sudo journalctl -u observiq-otel-collector -f
```

Per riavviare l'agente Bindplane in Windows, scegli una delle seguenti opzioni:
- Prompt dei comandi o PowerShell come amministratore:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Console Services:
  1. Premi Win+R, digita services.msc e premi Invio.
  2. Individua observIQ OpenTelemetry Collector.
  3. Fai clic con il tasto destro del mouse e seleziona Riavvia.
  4. Verifica che il servizio sia in esecuzione:
```
sc query observiq-otel-collector
```
  5. Controlla i log per individuare eventuali errori:
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Configurare lo streaming Syslog in Bitdefender GravityZone

Accedi al GravityZone Control Center.
Vai a Configuration (Configurazione) > Integrations (Integrazioni) > Syslog.
Fai clic su Aggiungi server Syslog.
Fornisci i dettagli richiesti:
- Nome: fornisci un nome univoco per il server syslog (ad esempio CentralSyslog).
- Indirizzo IP/nome host: inserisci l'indirizzo IP o il nome host del server Bindplane.
- Protocollo: seleziona il protocollo da utilizzare: TCP o UDP.
- Porta: specifica il numero di porta del server Bindplane.
- Seleziona i tipi di log da trasmettere in streaming (ad esempio Eventi antimalware, Eventi di difesa dagli attacchi di rete (NAD), Eventi di controllo web, Eventi firewall o Modifiche alle norme).
- (Facoltativo) Configura i filtri per includere o escludere tipi di eventi specifici.
Fai clic su Salva.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logic
`BitdefenderGZAttackEntry`	`security_result.detection_fields.value`	Il valore di `BitdefenderGZAttackEntry` del log non elaborato viene assegnato come valore a un oggetto `security_result.detection_fields` in cui la chiave è "attack_entry".
`BitdefenderGZAttackTypes`	`security_result.category_details`	Il valore di `BitdefenderGZAttackTypes` del log non elaborato viene assegnato a `security_result.category_details`. Il valore viene quindi suddiviso in singole stringhe e ogni stringa viene aggiunta come valore all'array `security_result.category_details`.
`BitdefenderGZAttCkId`	`security_result.detection_fields.value`	Il valore di `BitdefenderGZAttCkId` del log non elaborato viene assegnato come valore a un oggetto `security_result.detection_fields` in cui la chiave è "BitdefenderGZAttCkId".
`BitdefenderGZCompanyId`	`target.user.company_name`	Il valore di `BitdefenderGZCompanyId` del log non elaborato viene assegnato a `target.user.company_name`.
`BitdefenderGZComputerFQDN`	`principal.asset.network_domain`	Il valore di `BitdefenderGZComputerFQDN` del log non elaborato viene assegnato a `principal.asset.network_domain`.
`BitdefenderGZDetectionName`	`security_result.threat_name`	Il valore di `BitdefenderGZDetectionName` del log non elaborato viene assegnato a `security_result.threat_name`.
`BitdefenderGZEndpointId`	`security_result.detection_fields.value`	Il valore di `BitdefenderGZEndpointId` del log non elaborato viene assegnato come valore a un oggetto `security_result.detection_fields` in cui la chiave è "BitdefenderGZEndpointId".
`BitdefenderGZIncidentId`	`metadata.product_log_id`	Il valore di `BitdefenderGZIncidentId` del log non elaborato viene assegnato a `metadata.product_log_id`.
`BitdefenderGZMainAction`	`security_result.action_details`	Il valore di `BitdefenderGZMainAction` del log non elaborato viene assegnato a `security_result.action_details`. In base a questo valore, viene impostato il campo `security_result.action` (ad es. "blocked" corrisponde a "BLOCK"). Il campo `security_result.description` viene compilato anche con "main_action: " seguito dal valore di `BitdefenderGZMainAction`.
`BitdefenderGZMalwareHash`	`principal.process.file.sha256`	Il valore di `BitdefenderGZMalwareHash` del log non elaborato viene assegnato a `principal.process.file.sha256`.
`BitdefenderGZMalwareName`	`security_result.threat_name`	Il valore di `BitdefenderGZMalwareName` del log non elaborato viene assegnato a `security_result.threat_name`.
`BitdefenderGZMalwareType`	`security_result.detection_fields.value`	Il valore di `BitdefenderGZMalwareType` del log non elaborato viene assegnato come valore a un oggetto `security_result.detection_fields` in cui la chiave è "malware_type".
`BitdefenderGZModule`	`metadata.product_event_type`	Il valore di `BitdefenderGZModule` del log non elaborato viene assegnato a `metadata.product_event_type`.
`BitdefenderGZSeverityScore`	`security_result.severity_details`	Il valore di `BitdefenderGZSeverityScore` del log non elaborato viene assegnato a `security_result.severity_details`.
`BitdefenderGZHwId`	`target.resource.id`	Il valore di `BitdefenderGZHwId` del log non elaborato viene assegnato a `target.resource.id`.
`act`	`security_result.action_details`	Il valore di `act` del log non elaborato viene assegnato a `security_result.action_details`.
`actionTaken`	`security_result.action_details`	Il valore di `actionTaken` del log non elaborato viene assegnato a `security_result.action_details`. In base a questo valore, viene impostato il campo `security_result.action` (ad es. "block" corrisponde a "BLOCK"). Il campo `security_result.description` viene compilato anche con "actionTaken: " seguito dal valore di `actionTaken`.
`additional.fields`	`additional.fields`	La logica dell'analizzatore sintattico crea una coppia chiave/valore per "product_installed" e la aggiunge all'oggetto `additional.fields`.
`categories`	`principal.asset.category`	Il valore di `categories` del log non elaborato viene assegnato a `principal.asset.category`.
`cmd_line`	`target.process.command_line`	Il valore di `cmd_line` del log non elaborato viene assegnato a `target.process.command_line`.
`companyId`	`target.user.company_name`	Il valore di `companyId` del log non elaborato viene assegnato a `target.user.company_name`.
`computer_fqdn`	`principal.asset.network_domain`	Il valore di `computer_fqdn` del log non elaborato viene assegnato a `principal.asset.network_domain`.
`computer_id`	`principal.asset.asset_id`	Il valore di `computer_id` del log non elaborato viene assegnato a `principal.asset.asset_id` dopo aver aggiunto il prefisso "ComputerId:".
`computer_ip`	`principal.asset.ip`	Il valore di `computer_ip` dal log non elaborato viene analizzato, suddiviso in base alle virgole e ogni indirizzo IP risultante viene aggiunto all'array `principal.asset.ip`.
`computer_name`	`principal.resource.attribute.labels.value`	Il valore di `computer_name` del log non elaborato viene assegnato come valore a un oggetto `principal.resource.attribute.labels` in cui la chiave è "computer_name". Viene inoltre aggiunto come valore a un oggetto `security_result.detection_fields` in cui la chiave è "computer_name".
`column1`	`metadata.product_log_id`	Il valore di `column1` del log non elaborato viene assegnato a `metadata.product_log_id`.
`column3`	`observer.ip`	Il valore di `column3` del log non elaborato viene assegnato a `observer.ip`.
`command_line`	`target.process.command_line`	Il valore di `command_line` del log non elaborato viene assegnato a `target.process.command_line`.
`data`	`target.registry.registry_value_data`	Il valore di `data` del log non elaborato viene assegnato a `target.registry.registry_value_data`.
`detection_attackTechnique`	`security_result.detection_fields.value`	Il valore di `detection_attackTechnique` del log non elaborato viene assegnato come valore a un oggetto `security_result.detection_fields` in cui la chiave è "detection attackTechnique".
`detection_name`	`security_result.threat_name`	Il valore di `detection_name` del log non elaborato viene assegnato a `security_result.threat_name`.
`destination_ip`	`target.ip`	Il valore di `destination_ip` del log non elaborato viene assegnato a `target.ip`.
`destination_port`	`target.port`	Il valore di `destination_port` del log non elaborato viene assegnato a `target.port`.
`direction`	`network.direction`	Il valore di `direction` del log non elaborato viene convertito in maiuscolo e assegnato a `network.direction`.
`dvc`	`principal.ip`	Il valore di `dvc` dal log non elaborato viene analizzato, suddiviso in base alle virgole e ogni indirizzo IP risultante viene aggiunto all'array `principal.ip`.
`dvchost`	`about.hostname`	Il valore di `dvchost` del log non elaborato viene assegnato a `about.hostname`.
`event_description`	`metadata.description`	Il valore di `event_description` del log non elaborato viene assegnato a `metadata.description`.
`event_name`	`metadata.product_event_type`	Il valore di `event_name` del log non elaborato viene assegnato a `metadata.product_event_type`. Se il valore è "Antiphishing", `security_result.category` è impostato su "PHISHING". Se il valore è "AntiMalware", `security_result.category` è impostato su "SOFTWARE_MALICIOUS". Il campo `metadata.event_type` viene derivato da `event_name` utilizzando una serie di istruzioni condizionali all'interno del parser.
`ev`	`metadata.product_event_type`	Il valore di `ev` del log non elaborato viene assegnato a `metadata.product_event_type`.
`extra_info.command_line`	`target.process.command_line`	Il valore di `extra_info.command_line` del log non elaborato viene assegnato a `target.process.command_line`.
`extra_info.parent_pid`	`principal.process.pid`	Il valore di `extra_info.parent_pid` del log non elaborato viene assegnato a `principal.process.pid`.
`extra_info.parent_process_cmdline`	`principal.process.command_line`	Il valore di `extra_info.parent_process_cmdline` del log non elaborato viene assegnato a `principal.process.command_line`.
`extra_info.parent_process_path`	`principal.process.file.full_path`	Il valore di `extra_info.parent_process_path` del log non elaborato viene assegnato a `principal.process.file.full_path`.
`extra_info.pid`	`target.process.pid`	Il valore di `extra_info.pid` del log non elaborato viene assegnato a `target.process.pid`.
`extra_info.process_path`	`target.process.file.full_path`	Il valore di `extra_info.process_path` del log non elaborato viene assegnato a `target.process.file.full_path`.
`extra_info.user`	`target.user.userid`	Il valore di `extra_info.user` del log non elaborato viene assegnato a `target.user.userid`.
`filePath`	`principal.process.file.full_path`	Il valore di `filePath` del log non elaborato viene assegnato a `principal.process.file.full_path`.
`file_path`	`principal.process.file.full_path`	Il valore di `file_path` del log non elaborato viene assegnato a `principal.process.file.full_path`.
`final_status`	`security_result.action_details`	Il valore di `final_status` del log non elaborato viene assegnato a `security_result.action_details`. In base a questo valore, viene impostato il campo `security_result.action` (ad esempio, "deleted" corrisponde a "BLOCK", "ignored" a "ALLOW"). Il campo `security_result.description` viene compilato anche con "final_status: " seguito dal valore di `final_status`. Se il valore è "deleted" o "blocked", `metadata.event_type` è impostato su "SCAN_NETWORK".
`hash`	`principal.process.file.sha256`	Il valore di `hash` del log non elaborato viene assegnato a `principal.process.file.sha256`.
`host`	`principal.hostname`	Il valore di `host` del log non elaborato viene assegnato a `principal.hostname`.
`hostname`	`principal.hostname`	Il valore di `hostname` dal log non elaborato viene assegnato a `principal.hostname` se `event_name` non è "log_on" o "log_out". In caso contrario, viene assegnato a `target.hostname`.
`host_name`	`principal.hostname`	Il valore di `host_name` del log non elaborato viene assegnato a `principal.hostname`.
`hwid`	`principal.resource.id`	Il valore di `hwid` del log non elaborato viene assegnato a `principal.resource.id` se non è vuoto. Se è vuoto e l'evento non è "log_on" o "log_out", il valore di `source_hwid` viene assegnato a `principal.resource.id`. Se l'evento è "log_on" o "log_out", viene assegnato a `target.resource.id`.
`incident_id`	`metadata.product_log_id`	Il valore di `incident_id` del log non elaborato viene assegnato a `metadata.product_log_id`.
`ip_dest`	`target.ip`	Il valore di `ip_dest` del log non elaborato viene assegnato a `target.ip`.
`ip_source`	`principal.ip`	Il valore di `ip_source` del log non elaborato viene assegnato a `principal.ip`.
`key_path`	`target.registry.registry_key`	Il valore di `key_path` del log non elaborato viene assegnato a `target.registry.registry_key`.
`local_port`	`principal.port`	Il valore di `local_port` del log non elaborato viene convertito in un numero intero e assegnato a `principal.port`.
`logon_type`	`extensions.auth.mechanism`	Il valore di `logon_type` del log non elaborato viene utilizzato per determinare il valore di `extensions.auth.mechanism`. Valori numerici diversi di `logon_type` vengono mappati a meccanismi di autenticazione diversi (ad es. 2 corrisponde a "LOCAL", 3 a "NETWORK"). Se non viene trovato alcun `logon_type` corrispondente, il meccanismo viene impostato su "MECHANISM_UNSPECIFIED".
`lurker_id`	`intermediary.resource.id`	Il valore di `lurker_id` del log non elaborato viene assegnato a `intermediary.resource.id`.
`main_action`	`security_result.action_details`	Il valore di `main_action` del log non elaborato viene assegnato a `security_result.action_details`. In base a questo valore, viene impostato il campo `security_result.action` (ad es. "bloccato" corrisponde a "BLOCK", "nessuna azione" a "ALLOW"). Il campo `security_result.description` viene compilato anche con "main_action: " seguito dal valore di `main_action`.
`malware_name`	`security_result.threat_name`	Il valore di `malware_name` del log non elaborato viene assegnato a `security_result.threat_name`.
`malware_type`	`security_result.detection_fields.value`	Il valore di `malware_type` del log non elaborato viene assegnato come valore a un oggetto `security_result.detection_fields` in cui la chiave è "malware_type".
`metadata.description`	`metadata.description`	Il parser imposta il campo `metadata.description` in base al campo `event_name`.
`metadata.event_type`	`metadata.event_type`	Il parser imposta il campo `metadata.event_type` in base al campo `event_name`.
`metadata.product_event_type`	`metadata.product_event_type`	Il parser imposta il campo `metadata.product_event_type` in base ai campi `event_name` o `module`.
`metadata.product_log_id`	`metadata.product_log_id`	Il parser imposta il campo `metadata.product_log_id` in base ai campi `msg_id` o `incident_id`.
`metadata.product_name`	`metadata.product_name`	Il parser imposta `metadata.product_name` su "BitDefender EDR".
`metadata.product_version`	`metadata.product_version`	Il parser rinomina il campo `product_version` in `metadata.product_version`.
`metadata.vendor_name`	`metadata.vendor_name`	Il parser imposta `metadata.vendor_name` su "BitDefender".
`module`	`metadata.product_event_type`	Il valore di `module` del log non elaborato viene assegnato a `metadata.product_event_type`. Se il valore è "new-incident" e `target_process_file_full_path` non è vuoto, `metadata.event_type` è impostato su "PROCESS_UNCATEGORIZED". Se il valore è "task-status", `metadata.event_type` è impostato su "STATUS_UPDATE". Se il valore è "network-monitor" o "fw", `metadata.event_type` è impostato su "SCAN_NETWORK".
`msg_id`	`metadata.product_log_id`	Il valore di `msg_id` del log non elaborato viene assegnato a `metadata.product_log_id`.
`network.application_protocol`	`network.application_protocol`	Il valore di `uc_type` del log non elaborato viene convertito in maiuscolo e assegnato a `network.application_protocol`.
`network.direction`	`network.direction`	Il parser imposta il campo `network.direction` in base al campo `direction`.
`network.ip_protocol`	`network.ip_protocol`	Se `protocol_id` è "6", il parser imposta `network.ip_protocol` su "TCP".
`new_path`	`target.file.full_path`	Il valore di `new_path` del log non elaborato viene assegnato a `target.file.full_path`.
`old_path`	`src.file.full_path`	Il valore di `old_path` del log non elaborato viene assegnato a `src.file.full_path`.
`origin_ip`	`intermediary.ip`	Il valore di `origin_ip` del log non elaborato viene assegnato a `intermediary.ip`.
`os`	`principal.platform_version`	Il valore di `os` del log non elaborato viene assegnato a `principal.platform_version`. Il campo `principal.platform` deriva da `os` (ad es. "Win" viene mappato a "WINDOWS"). Se l'evento è "log_on" o "log_out", i campi `principal.platform` e `principal.platform_version` vengono rinominati rispettivamente in `target.platform` e `target.platform_version`.
`os_type`	`principal.platform`	Il valore di `os_type` del log non elaborato viene utilizzato per determinare il valore di `principal.platform` (ad es. "Win" viene mappato a "WINDOWS").
`parent_pid`	`principal.process.pid`	Il valore di `parent_pid` del log non elaborato viene assegnato a `principal.process.pid`.
`parent_process_path`	`principal.process.file.full_path`	Il valore di `parent_process_path` del log non elaborato viene assegnato a `principal.process.file.full_path`.
`parent_process_pid`	`principal.process.pid`	Il valore di `parent_process_pid` del log non elaborato viene assegnato a `principal.process.pid`.
`path`	`target.file.full_path`	Il valore di `path` del log non elaborato viene assegnato a `target.file.full_path`.
`pid`	`principal.process.pid` o `target.process.pid`	Il valore di `pid` del log non elaborato viene assegnato a `principal.process.pid` se `event_name` inizia con "file" o "reg" oppure se è uno dei valori "process_signal", "network_connection" o "connection_connect". In caso contrario, viene assegnato a `target.process.pid`.
`pid_path`	`principal.process.file.full_path`	Il valore di `pid_path` del log non elaborato viene assegnato a `principal.process.file.full_path`.
`port_dest`	`target.port`	Il valore di `port_dest` del log non elaborato viene convertito in un numero intero e assegnato a `target.port`.
`port_source`	`principal.port`	Il valore di `port_source` del log non elaborato viene convertito in un numero intero e assegnato a `principal.port`.
`ppid`	`principal.process.pid`	Il valore di `ppid` del log non elaborato viene assegnato a `principal.process.pid`.
`principal.ip`	`principal.ip`	Il parser imposta il campo `principal.ip` in base ai campi `ip_source` o `dvc`.
`principal.platform`	`principal.platform`	Il parser imposta il campo `principal.platform` in base ai campi `os` o `os_type`.
`principal.platform_version`	`principal.platform_version`	Il parser imposta il campo `principal.platform_version` in base ai campi `os` o `osi_version`.
`principal.process.command_line`	`principal.process.command_line`	Il parser imposta il campo `principal.process.command_line` in base al campo `parent_process_cmdline`.
`principal.process.file.full_path`	`principal.process.file.full_path`	Il parser imposta il campo `principal.process.file.full_path` in base ai campi `pid_path`, `file_path`, `parent_process_path` o `process_path`.
`principal.process.file.md5`	`principal.process.file.md5`	Il parser rinomina il campo `file_hash_md5` in `principal.process.file.md5`.
`principal.process.file.sha256`	`principal.process.file.sha256`	Il parser imposta il campo `principal.process.file.sha256` in base ai campi `hash`, `BitdefenderGZMalwareHash` o `file_hash_sha256`.
`principal.process.parent_process.pid`	`principal.process.parent_process.pid`	Il parser rinomina il campo `ppid` in `principal.process.parent_process.pid`.
`principal.process.pid`	`principal.process.pid`	Il parser imposta il campo `principal.process.pid` in base ai campi `pid`, `parent_pid`, `ppid` o `parent_process_pid`.
`principal.resource.id`	`principal.resource.id`	Il parser imposta il campo `principal.resource.id` in base ai campi `hwid` o `source_hwid`.
`principal.url`	`principal.url`	Il parser imposta il campo `principal.url` in base al campo `url`.
`process_command_line`	`target.process.command_line`	Il valore di `process_command_line` del log non elaborato viene assegnato a `target.process.command_line`.
`process_path`	`principal.process.file.full_path` o `target.process.file.full_path`	Il valore di `process_path` del log non elaborato viene assegnato a `principal.process.file.full_path` se `event_name` è "network_connection" o "connection_connect". In caso contrario, viene assegnato a `target.process.file.full_path`.
`product_installed`	`additional.fields.value.string_value`	Il valore di `product_installed` del log non elaborato viene assegnato come valore a un oggetto `additional.fields` in cui la chiave è "product_installed".
`product_version`	`metadata.product_version`	Il valore di `product_version` del log non elaborato viene assegnato a `metadata.product_version`.
`protocol_id`	`network.ip_protocol`	Se `protocol_id` è "6", il parser imposta `network.ip_protocol` su "TCP".
`request`	`target.url`	Il valore di `request` del log non elaborato viene assegnato a `target.url`.
`security_result.action`	`security_result.action`	Il parser imposta il campo `security_result.action` in base ai campi `main_action`, `actionTaken`, `status` o `final_status`. Se nessuno di questi campi fornisce un'azione valida, il valore predefinito è "UNKNOWN_ACTION".
`security_result.action_details`	`security_result.action_details`	Il parser imposta il campo `security_result.action_details` in base ai campi `main_action`, `actionTaken`, `status` o `final_status`.
`security_result.category`	`security_result.category`	Il parser imposta il campo `security_result.category` su "PHISHING" se `event_name` è "Antiphishing", su "SOFTWARE_MALICIOUS" se `event_name` è "AntiMalware" o unisce il valore del campo `sec_category`.
`security_result.category_details`	`security_result.category_details`	Il parser imposta il campo `security_result.category_details` in base ai campi `block_type` o `attack_types`.
`security_result.detection_fields`	`security_result.detection_fields`	Il parser crea oggetti `security_result.detection_fields` per vari campi, tra cui "malware_type", "attack_entry", "BitdefenderGZAttCkId", "BitdefenderGZEndpointId", "final_status", "detection attackTechnique" e "computer_name".
`security_result.description`	`security_result.description`	Il parser imposta il campo `security_result.description` in base ai campi `main_action`, `actionTaken` o `final_status`.
`security_result.severity`	`security_result.severity`	Il parser imposta il campo `security_result.severity` in base al valore in maiuscolo del campo `severity` se non è vuoto e `module` è "new-incident".
`security_result.severity_details`	`security_result.severity_details`	Il parser imposta il campo `security_result.severity_details` in base al campo `severity_score`.
`security_result.threat_name`	`security_result.threat_name`	Il parser imposta il campo `security_result.threat_name` in base ai campi `malware_name` o `detection_name`.
`severity`	`security_result.severity`	Il valore di `severity` del log grezzo viene convertito in maiuscolo e assegnato a `security_result.severity` se non è vuoto e `module` è "new-incident".
`severity_score`	`security_result.severity_details`	Il valore di `severity_score` del log non elaborato viene convertito in una stringa e assegnato a `security_result.severity_details`.
`source_host`	`observer.ip`	Il valore di `source_host` del log non elaborato viene assegnato a `observer.ip`.
`source_hwid`	`principal.resource.id`	Il valore di `source_hwid` del log non elaborato viene assegnato a `principal.resource.id`.
`source_ip`	`src.ip`	Il valore di `source_ip` del log non elaborato viene assegnato a `src.ip`.
`source_port`	`principal.port`	Il valore di `source_port` del log non elaborato viene convertito in un numero intero e assegnato a `principal.port`.
`spt`	`principal.port`	Il valore di `spt` del log non elaborato viene assegnato a `principal.port`.
`sproc`	`principal.process.command_line`	Il valore di `sproc` del log non elaborato viene assegnato a `principal.process.command_line`.
`src`	`principal.ip`	Il valore di `src` del log non elaborato viene assegnato a `principal.ip`.
`src.ip`	`src.ip`	Il parser imposta il campo `src.ip` in base al campo `source_ip`.
`src.file.full_path`	`src.file.full_path`	Il parser imposta il campo `src.file.full_path` in base al campo `old_path`.
`status`	`security_result.action_details`	Il valore di `status` del log non elaborato viene assegnato a `security_result.action_details`. In base a questo valore, viene impostato il campo `security_result.action` (ad esempio, "portscan_blocked" e "uc_site_blocked" vengono mappati su "BLOCK"). Il campo `security_result.description` viene compilato anche con "status: " seguito dal valore di `status`.
`suid`	`principal.user.userid`	Il valore di `suid` del log non elaborato viene assegnato a `principal.user.userid`.
`suser`	`principal.user.user_display_name`	Il valore di `suser` del log non elaborato viene assegnato a `principal.user.user_display_name`.
`target.file.full_path`	`target.file.full_path`	Il parser imposta il campo `target.file.full_path` in base ai campi `path` o `new_path`.
`target.hostname`	`target.hostname`	Il parser imposta il campo `target.hostname` in base al campo `hostname`.
`target.ip`	`target.ip`	Il parser imposta il campo `target.ip` in base ai campi `ip_dest` o `destination_ip`.
`target.platform`	`target.platform`	Il parser imposta il campo `target.platform` in base al campo `principal.platform`.
`target.platform_version`	`target.platform_version`	Il parser imposta il campo `target.platform_version` in base al campo `principal.platform_version`.
`target.port`	`target.port`	Il parser imposta il campo `target.port` in base ai campi `port_dest` o `destination_port`.
`target.process.command_line`	`target.process.command_line`	Il parser imposta il campo `target.process.command_line` in base ai campi `command_line`, `process_command_line` o `cmd_line`.
`target.process.file.full_path`	`target.process.file.full_path`	Il parser imposta il campo `target.process.file.full_path` in base al campo `process_path`.
`target.process.pid`	`target.process.pid`	Il parser imposta il campo `target.process.pid` in base al campo `pid`.
`target.registry.registry_key`	`target.registry.registry_key`	Il parser imposta il campo `target.registry.registry_key` in base al campo `key_path`.
`target.registry.registry_value_data`	`target.registry.registry_value_data`	Il parser imposta il campo `target.registry.registry_value_data` in base al campo `data`.
`target.registry.registry_value_name`	`target.registry.registry_value_name`	Il parser imposta il campo `target.registry.registry_value_name` in base al campo `value`.
`target.resource.id`	`target.resource.id`	Il parser imposta il campo `target.resource.id` in base ai campi `hwid` o `BitdefenderGZHwId`.
`target.url`	`target.url`	Il parser imposta il campo `target.url` in base al campo `request`.
`target.user.company_name`	`target.user.company_name`	Il parser imposta il campo `target.user.company_name` in base al campo `companyId`.
`target.user.user_display_name`	`target.user.user_display_name`	Il parser imposta il campo `target.user.user_display_name` in base ai campi `user.name` o `user.userName`.
`target.user.userid`	`target.user.userid`	Il parser imposta il campo `target.user.userid` in base ai campi `user_name`, `user`, `user.id` o `extra_info.user`.
`target_pid`	`target.process.pid`	Il valore di `target_pid` del log non elaborato viene assegnato a `target.process.pid`.
`timestamp`	`metadata.event_timestamp`	Il valore di `timestamp` del log non elaborato viene analizzato e assegnato a `metadata.event_timestamp`.
`uc_type`	`network.application_protocol`	Il valore di `uc_type` del log non elaborato viene convertito in maiuscolo e assegnato a `network.application_protocol`. Se `target_user_userid` non è vuoto, `metadata.event_type` è impostato su "USER_UNCATEGORIZED". In caso contrario, è impostato su "STATUS_UPDATE".
`url`	`principal.url`	Il valore di `url` del log non elaborato viene assegnato a `principal.url` se non è vuoto o "0.0.0.0".
`user`	`target.user.userid`	Il valore di `user` del log non elaborato viene assegnato a `target.user.userid`.
`user.id`	`target.user.userid`	Il valore di `user.id` del log non elaborato viene assegnato a `target.user.userid`.
`user.name`	`target.user.user_display_name`	Il valore di `user.name` del log non elaborato viene assegnato a `target.user.user_display_name`.
`user.userName`	`target.user.user_display_name`	Il valore di `user.userName` del log non elaborato viene assegnato a `target.user.user_display_name`.
`user.userSid`	`principal.user.windows_sid`	Il valore di `user.userSid` del log non elaborato viene assegnato a `principal.user.windows_sid`.
`user_name`	`target.user.userid`	Il valore di `user_name` del log non elaborato viene assegnato a `target.user.userid`.
`value`	`target.registry.registry_value_data` o `target.registry.registry_value_name`	Il valore di `value` del log non elaborato viene assegnato a `target.registry.registry_value_data` se `event_name` è "reg_delete_value". In caso contrario, viene assegnato a `target.registry.registry_value_name`.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.