Bitdefender のログを収集する
以下でサポートされています。
Google SecOps
SIEM
このドキュメントでは、Bindplane エージェントを使用して Bitdefender ログを Google Security Operations に取り込む方法について説明します。
このパーサーは、CEF または CSV 形式の Bitdefender GravityZone ログを抽出し、フィールドを UDM に正規化し、イベントタイプに基づいて特定のアクションを実行します。ファイル オペレーション、ネットワーク接続、プロセス作成、レジストリ変更を処理し、関連情報を適切な UDM フィールドにマッピングします。
始める前に
次の前提条件を満たしていることを確認してください。
- Google SecOps インスタンス
- Windows Server 2016 以降、または
systemdを使用する Linux ホスト - Bindplane エージェントと Bitdefender GravityZone アプライアンス間のネットワーク接続
- プロキシの背後で実行している場合は、Bindplane エージェントの要件に従ってファイアウォール ポートが開いていることを確認します。
- Bitdefender GravityZone への特権アクセス
Google SecOps の取り込み認証ファイルを取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [収集エージェント] に移動します。
- 取り込み認証ファイルをダウンロードする
Bindplane エージェントがインストールされるシステムにファイルを安全に保存します。
Google SecOps のお客様 ID を取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [プロファイル] に移動します。
[組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。
Bindplane エージェントをインストールする
次の手順に沿って、Windows または Linux オペレーティング システムに Bindplane エージェントをインストールします。
Windows のインストール
- 管理者としてコマンド プロンプトまたは PowerShell を開きます。
次のコマンドを実行します。
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quietインストールが完了するまで待ちます。
次のコマンドを実行して、インストールの内容を確認します。
sc query observiq-otel-collectorサービスは RUNNING と表示されます。
Linux のインストール
- root 権限または sudo 権限でターミナルを開きます。
次のコマンドを実行します。
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.shインストールが完了するまで待ちます。
次のコマンドを実行して、インストールの内容を確認します。
sudo systemctl status observiq-otel-collectorサービスが [active (running)] と表示されます。
その他のインストール リソース
その他のインストール オプションとトラブルシューティングについては、Bindplane エージェントのインストール ガイドをご覧ください。
syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する
構成ファイルを見つける
Linux:
sudo nano /etc/bindplane-agent/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
構成ファイルを編集します。
config.yamlの内容全体を次の構成に置き換えます。receivers: tcplog: listen_address: "0.0.0.0:514" exporters: chronicle/bitdefender: compression: gzip creds_file_path: '/etc/bindplane-agent/ingestion-auth.json' customer_id: '<customer_id>' endpoint: malachiteingestion-pa.googleapis.com log_type: BITDEFENDER raw_log_field: body service: pipelines: logs/bitdefender_to_chronicle: receivers: - tcplog exporters: - chronicle/bitdefender
構成パラメータ
各プレースホルダを次のように置き換えます。
レシーバーの構成:
listen_address: リッスンする IP アドレスとポート:- すべてのインターフェースでリッスンする
0.0.0.0(推奨) - ポート
514は標準の syslog ポートです(Linux で root が必要。root 以外の場合は1514を使用)
- すべてのインターフェースでリッスンする
エクスポータの構成:
creds_file_path: 取り込み認証ファイルのフルパス:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
customer_id: Google SecOps コンソールからコピーしたお客様 IDendpoint: リージョナル エンドポイント URL:- 米国:
malachiteingestion-pa.googleapis.com - ヨーロッパ:
europe-malachiteingestion-pa.googleapis.com - アジア:
asia-southeast1-malachiteingestion-pa.googleapis.com - 完全なリストについては、リージョン エンドポイントをご覧ください。
- 米国:
構成ファイルを保存する
- 編集後、ファイルを保存します。
- Linux:
Ctrl+O、Enter、Ctrl+Xの順に押します。 - Windows: [ファイル>保存] をクリックします。
- Linux:
Bindplane エージェントを再起動して変更を適用する
Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。
sudo systemctl restart observiq-otel-collectorサービスが実行されていることを確認します。
```bash sudo systemctl status observiq-otel-collector ```ログでエラーを確認します。
```bash sudo journalctl -u observiq-otel-collector -f ```
Windows で Bindplane エージェントを再起動するには、次のいずれかのオプションを選択します。
管理者としてコマンド プロンプトまたは PowerShell を開きます。
net stop observiq-otel-collector && net start observiq-otel-collectorサービス コンソール:
Win+Rキーを押して「services.msc」と入力し、Enter キーを押します。- observIQ OpenTelemetry Collector を見つけます。
- 右クリックして [再起動] を選択します。
サービスが実行されていることを確認します。
sc query observiq-otel-collectorログでエラーを確認します。
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
Bitdefender GravityZone で Syslog Streaming を構成する
- GravityZone Control Center にログインします。
- [構成> 統合> Syslog] に移動します。
- [Syslog Server を追加] をクリックします。
- 必須情報を入力します。
- 名前: syslog サーバーの一意の名前を指定します(例: CentralSyslog)。
- IP アドレス/ホスト名: Bindplane サーバーの IP アドレスまたはホスト名を入力します。
- プロトコル: 使用するプロトコル(TCP または UDP)を選択します。
- ポート: Bindplane サーバーのポート番号を指定します。
- ストリーミングするログタイプ([Antimalware Events]、[Network Attack Defense (NAD) Events]、[Web Control Events]、[Firewall Events]、[Policy Changes] など)を選択します。
- 省略可: 特定のイベントタイプを含めるか除外するかを指定するフィルタを設定します。
- [保存] をクリックします。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | 論理 |
|---|---|---|
BitdefenderGZAttackEntry |
security_result.detection_fields.value |
未加工ログの BitdefenderGZAttackEntry の値は、キーが「attack_entry」の security_result.detection_fields オブジェクトの値として割り当てられます。 |
BitdefenderGZAttackTypes |
security_result.category_details |
未加工ログの BitdefenderGZAttackTypes の値が security_result.category_details に割り当てられます。次に、値が個々の文字列に分割され、各文字列が security_result.category_details 配列の値として追加されます。 |
BitdefenderGZAttCkId |
security_result.detection_fields.value |
未加工ログの BitdefenderGZAttCkId の値は、キーが「BitdefenderGZAttCkId」の security_result.detection_fields オブジェクトの値として割り当てられます。 |
BitdefenderGZCompanyId |
target.user.company_name |
未加工ログの BitdefenderGZCompanyId の値が target.user.company_name に割り当てられます。 |
BitdefenderGZComputerFQDN |
principal.asset.network_domain |
未加工ログの BitdefenderGZComputerFQDN の値が principal.asset.network_domain に割り当てられます。 |
BitdefenderGZDetectionName |
security_result.threat_name |
未加工ログの BitdefenderGZDetectionName の値が security_result.threat_name に割り当てられます。 |
BitdefenderGZEndpointId |
security_result.detection_fields.value |
未加工ログの BitdefenderGZEndpointId の値は、キーが「BitdefenderGZEndpointId」である security_result.detection_fields オブジェクトの値として割り当てられます。 |
BitdefenderGZIncidentId |
metadata.product_log_id |
未加工ログの BitdefenderGZIncidentId の値が metadata.product_log_id に割り当てられます。 |
BitdefenderGZMainAction |
security_result.action_details |
未加工ログの BitdefenderGZMainAction の値が security_result.action_details に割り当てられます。この値に基づいて、security_result.action フィールドが設定されます(たとえば、「blocked」は「BLOCK」にマッピングされます)。security_result.description フィールドには、「main_action: 」の後に BitdefenderGZMainAction の値が入力されます。 |
BitdefenderGZMalwareHash |
principal.process.file.sha256 |
未加工ログの BitdefenderGZMalwareHash の値が principal.process.file.sha256 に割り当てられます。 |
BitdefenderGZMalwareName |
security_result.threat_name |
未加工ログの BitdefenderGZMalwareName の値が security_result.threat_name に割り当てられます。 |
BitdefenderGZMalwareType |
security_result.detection_fields.value |
未加工ログの BitdefenderGZMalwareType の値は、キーが「malware_type」の security_result.detection_fields オブジェクトの値として割り当てられます。 |
BitdefenderGZModule |
metadata.product_event_type |
未加工ログの BitdefenderGZModule の値が metadata.product_event_type に割り当てられます。 |
BitdefenderGZSeverityScore |
security_result.severity_details |
未加工ログの BitdefenderGZSeverityScore の値が security_result.severity_details に割り当てられます。 |
BitdefenderGZHwId |
target.resource.id |
未加工ログの BitdefenderGZHwId の値が target.resource.id に割り当てられます。 |
act |
security_result.action_details |
未加工ログの act の値が security_result.action_details に割り当てられます。 |
actionTaken |
security_result.action_details |
未加工ログの actionTaken の値が security_result.action_details に割り当てられます。この値に基づいて、security_result.action フィールドが設定されます(たとえば、「block」は「BLOCK」にマッピングされます)。security_result.description フィールドにも、「actionTaken: 」の後に actionTaken の値が入力されます。 |
additional.fields |
additional.fields |
パーサーのロジックは、「product_installed」の Key-Value ペアを作成し、additional.fields オブジェクトに追加します。 |
categories |
principal.asset.category |
未加工ログの categories の値が principal.asset.category に割り当てられます。 |
cmd_line |
target.process.command_line |
未加工ログの cmd_line の値が target.process.command_line に割り当てられます。 |
companyId |
target.user.company_name |
未加工ログの companyId の値が target.user.company_name に割り当てられます。 |
computer_fqdn |
principal.asset.network_domain |
未加工ログの computer_fqdn の値が principal.asset.network_domain に割り当てられます。 |
computer_id |
principal.asset.asset_id |
未加工ログの computer_id の値は、「ComputerId:」を先頭に追加してから principal.asset.asset_id に割り当てられます。 |
computer_ip |
principal.asset.ip |
未加工ログの computer_ip の値が解析されてカンマで分割され、結果の各 IP アドレスが principal.asset.ip 配列に追加されます。 |
computer_name |
principal.resource.attribute.labels.value |
未加工ログの computer_name の値は、キーが「computer_name」の principal.resource.attribute.labels オブジェクトの値として割り当てられます。また、キーが「computer_name」の security_result.detection_fields オブジェクトの値としても追加されます。 |
column1 |
metadata.product_log_id |
未加工ログの column1 の値が metadata.product_log_id に割り当てられます。 |
column3 |
observer.ip |
未加工ログの column3 の値が observer.ip に割り当てられます。 |
command_line |
target.process.command_line |
未加工ログの command_line の値が target.process.command_line に割り当てられます。 |
data |
target.registry.registry_value_data |
未加工ログの data の値が target.registry.registry_value_data に割り当てられます。 |
detection_attackTechnique |
security_result.detection_fields.value |
未加工ログの detection_attackTechnique の値は、キーが「detection attackTechnique」である security_result.detection_fields オブジェクトの値として割り当てられます。 |
detection_name |
security_result.threat_name |
未加工ログの detection_name の値が security_result.threat_name に割り当てられます。 |
destination_ip |
target.ip |
未加工ログの destination_ip の値が target.ip に割り当てられます。 |
destination_port |
target.port |
未加工ログの destination_port の値が target.port に割り当てられます。 |
direction |
network.direction |
未加工ログの direction の値は大文字に変換され、network.direction に割り当てられます。 |
dvc |
principal.ip |
未加工ログの dvc の値が解析されてカンマで分割され、結果の各 IP アドレスが principal.ip 配列に追加されます。 |
dvchost |
about.hostname |
未加工ログの dvchost の値が about.hostname に割り当てられます。 |
event_description |
metadata.description |
未加工ログの event_description の値が metadata.description に割り当てられます。 |
event_name |
metadata.product_event_type |
未加工ログの event_name の値が metadata.product_event_type に割り当てられます。値が「Antiphishing」の場合、security_result.category は「PHISHING」に設定されます。値が「AntiMalware」の場合、security_result.category は「SOFTWARE_MALICIOUS」に設定されます。metadata.event_type フィールドは、パーサー内の一連の条件文を使用して event_name から導出されます。 |
ev |
metadata.product_event_type |
未加工ログの ev の値が metadata.product_event_type に割り当てられます。 |
extra_info.command_line |
target.process.command_line |
未加工ログの extra_info.command_line の値が target.process.command_line に割り当てられます。 |
extra_info.parent_pid |
principal.process.pid |
未加工ログの extra_info.parent_pid の値が principal.process.pid に割り当てられます。 |
extra_info.parent_process_cmdline |
principal.process.command_line |
未加工ログの extra_info.parent_process_cmdline の値が principal.process.command_line に割り当てられます。 |
extra_info.parent_process_path |
principal.process.file.full_path |
未加工ログの extra_info.parent_process_path の値が principal.process.file.full_path に割り当てられます。 |
extra_info.pid |
target.process.pid |
未加工ログの extra_info.pid の値が target.process.pid に割り当てられます。 |
extra_info.process_path |
target.process.file.full_path |
未加工ログの extra_info.process_path の値が target.process.file.full_path に割り当てられます。 |
extra_info.user |
target.user.userid |
未加工ログの extra_info.user の値が target.user.userid に割り当てられます。 |
filePath |
principal.process.file.full_path |
未加工ログの filePath の値が principal.process.file.full_path に割り当てられます。 |
file_path |
principal.process.file.full_path |
未加工ログの file_path の値が principal.process.file.full_path に割り当てられます。 |
final_status |
security_result.action_details |
未加工ログの final_status の値が security_result.action_details に割り当てられます。この値に基づいて、security_result.action フィールドが設定されます(たとえば、「deleted」は「BLOCK」に、「ignored」は「ALLOW」にマッピングされます)。security_result.description フィールドには、「final_status: 」の後に final_status の値が入力されます。値が「deleted」または「blocked」の場合、metadata.event_type は「SCAN_NETWORK」に設定されます。 |
hash |
principal.process.file.sha256 |
未加工ログの hash の値が principal.process.file.sha256 に割り当てられます。 |
host |
principal.hostname |
未加工ログの host の値が principal.hostname に割り当てられます。 |
hostname |
principal.hostname |
event_name が「log_on」または「log_out」でない場合、未加工ログの hostname の値が principal.hostname に割り当てられます。それ以外の場合は、target.hostname が割り当てられます。 |
host_name |
principal.hostname |
未加工ログの host_name の値が principal.hostname に割り当てられます。 |
hwid |
principal.resource.id |
未加工ログの hwid の値が空でない場合、その値が principal.resource.id に割り当てられます。空で、イベントが「log_on」または「log_out」でない場合、source_hwid の値が principal.resource.id に割り当てられます。イベントが「log_on」または「log_out」の場合、target.resource.id に割り当てられます。 |
incident_id |
metadata.product_log_id |
未加工ログの incident_id の値が metadata.product_log_id に割り当てられます。 |
ip_dest |
target.ip |
未加工ログの ip_dest の値が target.ip に割り当てられます。 |
ip_source |
principal.ip |
未加工ログの ip_source の値が principal.ip に割り当てられます。 |
key_path |
target.registry.registry_key |
未加工ログの key_path の値が target.registry.registry_key に割り当てられます。 |
local_port |
principal.port |
未加工ログの local_port の値は整数に変換され、principal.port に割り当てられます。 |
logon_type |
extensions.auth.mechanism |
未加工ログの logon_type の値は、extensions.auth.mechanism の値を決定するために使用されます。logon_type の数値が異なると、異なる認証メカニズムにマッピングされます(例: 2 は「ローカル」、3 は「ネットワーク」にマッピングされます)。一致する logon_type が見つからない場合、メカニズムは「MECHANISM_UNSPECIFIED」に設定されます。 |
lurker_id |
intermediary.resource.id |
未加工ログの lurker_id の値が intermediary.resource.id に割り当てられます。 |
main_action |
security_result.action_details |
未加工ログの main_action の値が security_result.action_details に割り当てられます。この値に基づいて、security_result.action フィールドが設定されます(例: 「blocked」は「BLOCK」に、「no action」は「ALLOW」にマッピングされます)。security_result.description フィールドには、「main_action: 」の後に main_action の値が入力されます。 |
malware_name |
security_result.threat_name |
未加工ログの malware_name の値が security_result.threat_name に割り当てられます。 |
malware_type |
security_result.detection_fields.value |
未加工ログの malware_type の値は、キーが「malware_type」の security_result.detection_fields オブジェクトの値として割り当てられます。 |
metadata.description |
metadata.description |
パーサーは event_name フィールドに基づいて metadata.description フィールドを設定します。 |
metadata.event_type |
metadata.event_type |
パーサーは event_name フィールドに基づいて metadata.event_type フィールドを設定します。 |
metadata.product_event_type |
metadata.product_event_type |
パーサーは、event_name フィールドまたは module フィールドに基づいて metadata.product_event_type フィールドを設定します。 |
metadata.product_log_id |
metadata.product_log_id |
パーサーは、msg_id フィールドまたは incident_id フィールドに基づいて metadata.product_log_id フィールドを設定します。 |
metadata.product_name |
metadata.product_name |
パーサーは metadata.product_name を「BitDefender EDR」に設定します。 |
metadata.product_version |
metadata.product_version |
パーサーは product_version フィールドの名前を metadata.product_version に変更します。 |
metadata.vendor_name |
metadata.vendor_name |
パーサーは metadata.vendor_name を「BitDefender」に設定します。 |
module |
metadata.product_event_type |
未加工ログの module の値が metadata.product_event_type に割り当てられます。値が「new-incident」で、target_process_file_full_path が空でない場合、metadata.event_type は「PROCESS_UNCATEGORIZED」に設定されます。値が「task-status」の場合、metadata.event_type は「STATUS_UPDATE」に設定されます。値が「network-monitor」または「fw」の場合、metadata.event_type は「SCAN_NETWORK」に設定されます。 |
msg_id |
metadata.product_log_id |
未加工ログの msg_id の値が metadata.product_log_id に割り当てられます。 |
network.application_protocol |
network.application_protocol |
未加工ログの uc_type の値は大文字に変換され、network.application_protocol に割り当てられます。 |
network.direction |
network.direction |
パーサーは direction フィールドに基づいて network.direction フィールドを設定します。 |
network.ip_protocol |
network.ip_protocol |
protocol_id が「6」の場合、パーサーは network.ip_protocol を「TCP」に設定します。 |
new_path |
target.file.full_path |
未加工ログの new_path の値が target.file.full_path に割り当てられます。 |
old_path |
src.file.full_path |
未加工ログの old_path の値が src.file.full_path に割り当てられます。 |
origin_ip |
intermediary.ip |
未加工ログの origin_ip の値が intermediary.ip に割り当てられます。 |
os |
principal.platform_version |
未加工ログの os の値が principal.platform_version に割り当てられます。principal.platform フィールドは os から派生します(例: 「Win」は「WINDOWS」にマッピングされます)。イベントが「log_on」または「log_out」の場合、principal.platform フィールドと principal.platform_version フィールドの名前がそれぞれ target.platform と target.platform_version に変更されます。 |
os_type |
principal.platform |
未加工ログの os_type の値は、principal.platform の値を決定するために使用されます(例: 「Win」は「WINDOWS」にマッピングされます)。 |
parent_pid |
principal.process.pid |
未加工ログの parent_pid の値が principal.process.pid に割り当てられます。 |
parent_process_path |
principal.process.file.full_path |
未加工ログの parent_process_path の値が principal.process.file.full_path に割り当てられます。 |
parent_process_pid |
principal.process.pid |
未加工ログの parent_process_pid の値が principal.process.pid に割り当てられます。 |
path |
target.file.full_path |
未加工ログの path の値が target.file.full_path に割り当てられます。 |
pid |
principal.process.pid または target.process.pid |
event_name が「file」または「reg」で始まる場合、または「process_signal」、「network_connection」、「connection_connect」のいずれかである場合、元のログの pid の値は principal.process.pid に割り当てられます。それ以外の場合は、target.process.pid が割り当てられます。 |
pid_path |
principal.process.file.full_path |
未加工ログの pid_path の値が principal.process.file.full_path に割り当てられます。 |
port_dest |
target.port |
未加工ログの port_dest の値は整数に変換され、target.port に割り当てられます。 |
port_source |
principal.port |
未加工ログの port_source の値は整数に変換され、principal.port に割り当てられます。 |
ppid |
principal.process.pid |
未加工ログの ppid の値が principal.process.pid に割り当てられます。 |
principal.ip |
principal.ip |
パーサーは、ip_source フィールドまたは dvc フィールドに基づいて principal.ip フィールドを設定します。 |
principal.platform |
principal.platform |
パーサーは、os フィールドまたは os_type フィールドに基づいて principal.platform フィールドを設定します。 |
principal.platform_version |
principal.platform_version |
パーサーは、os フィールドまたは osi_version フィールドに基づいて principal.platform_version フィールドを設定します。 |
principal.process.command_line |
principal.process.command_line |
パーサーは parent_process_cmdline フィールドに基づいて principal.process.command_line フィールドを設定します。 |
principal.process.file.full_path |
principal.process.file.full_path |
パーサーは、pid_path、file_path、parent_process_path、または process_path フィールドに基づいて principal.process.file.full_path フィールドを設定します。 |
principal.process.file.md5 |
principal.process.file.md5 |
パーサーは file_hash_md5 フィールドの名前を principal.process.file.md5 に変更します。 |
principal.process.file.sha256 |
principal.process.file.sha256 |
パーサーは、hash、BitdefenderGZMalwareHash、または file_hash_sha256 フィールドに基づいて principal.process.file.sha256 フィールドを設定します。 |
principal.process.parent_process.pid |
principal.process.parent_process.pid |
パーサーは ppid フィールドの名前を principal.process.parent_process.pid に変更します。 |
principal.process.pid |
principal.process.pid |
パーサーは、pid、parent_pid、ppid、または parent_process_pid フィールドに基づいて principal.process.pid フィールドを設定します。 |
principal.resource.id |
principal.resource.id |
パーサーは、hwid フィールドまたは source_hwid フィールドに基づいて principal.resource.id フィールドを設定します。 |
principal.url |
principal.url |
パーサーは url フィールドに基づいて principal.url フィールドを設定します。 |
process_command_line |
target.process.command_line |
未加工ログの process_command_line の値が target.process.command_line に割り当てられます。 |
process_path |
principal.process.file.full_path または target.process.file.full_path |
event_name が「network_connection」または「connection_connect」の場合、未加工ログの process_path の値が principal.process.file.full_path に割り当てられます。それ以外の場合は、target.process.file.full_path が割り当てられます。 |
product_installed |
additional.fields.value.string_value |
未加工ログの product_installed の値は、キーが「product_installed」の additional.fields オブジェクトの値として割り当てられます。 |
product_version |
metadata.product_version |
未加工ログの product_version の値が metadata.product_version に割り当てられます。 |
protocol_id |
network.ip_protocol |
protocol_id が「6」の場合、パーサーは network.ip_protocol を「TCP」に設定します。 |
request |
target.url |
未加工ログの request の値が target.url に割り当てられます。 |
security_result.action |
security_result.action |
パーサーは、main_action、actionTaken、status、または final_status フィールドに基づいて security_result.action フィールドを設定します。これらのフィールドのいずれも有効なアクションを提供しない場合、デフォルトは「UNKNOWN_ACTION」になります。 |
security_result.action_details |
security_result.action_details |
パーサーは、main_action、actionTaken、status、または final_status フィールドに基づいて security_result.action_details フィールドを設定します。 |
security_result.category |
security_result.category |
event_name が「Antiphishing」の場合は security_result.category フィールドを「PHISHING」に設定し、event_name が「AntiMalware」の場合は「SOFTWARE_MALICIOUS」に設定します。それ以外の場合は、sec_category フィールドの値を統合します。 |
security_result.category_details |
security_result.category_details |
パーサーは、block_type フィールドまたは attack_types フィールドに基づいて security_result.category_details フィールドを設定します。 |
security_result.detection_fields |
security_result.detection_fields |
パーサーは、「malware_type」、「attack_entry」、「BitdefenderGZAttCkId」、「BitdefenderGZEndpointId」、「final_status」、「detection attackTechnique」、「computer_name」など、さまざまなフィールドの security_result.detection_fields オブジェクトを作成します。 |
security_result.description |
security_result.description |
パーサーは、main_action、actionTaken、または final_status フィールドに基づいて security_result.description フィールドを設定します。 |
security_result.severity |
security_result.severity |
パーサーは、severity フィールドが空ではなく、module が「new-incident」の場合、このフィールドの大文字の値に基づいて security_result.severity フィールドを設定します。 |
security_result.severity_details |
security_result.severity_details |
パーサーは severity_score フィールドに基づいて security_result.severity_details フィールドを設定します。 |
security_result.threat_name |
security_result.threat_name |
パーサーは、malware_name フィールドまたは detection_name フィールドに基づいて security_result.threat_name フィールドを設定します。 |
severity |
security_result.severity |
未加工ログの severity の値が空ではなく、module が「new-incident」の場合、この値は大文字に変換されて security_result.severity に割り当てられます。 |
severity_score |
security_result.severity_details |
未加工ログの severity_score の値は文字列に変換され、security_result.severity_details に割り当てられます。 |
source_host |
observer.ip |
未加工ログの source_host の値が observer.ip に割り当てられます。 |
source_hwid |
principal.resource.id |
未加工ログの source_hwid の値が principal.resource.id に割り当てられます。 |
source_ip |
src.ip |
未加工ログの source_ip の値が src.ip に割り当てられます。 |
source_port |
principal.port |
未加工ログの source_port の値は整数に変換され、principal.port に割り当てられます。 |
spt |
principal.port |
未加工ログの spt の値が principal.port に割り当てられます。 |
sproc |
principal.process.command_line |
未加工ログの sproc の値が principal.process.command_line に割り当てられます。 |
src |
principal.ip |
未加工ログの src の値が principal.ip に割り当てられます。 |
src.ip |
src.ip |
パーサーは source_ip フィールドに基づいて src.ip フィールドを設定します。 |
src.file.full_path |
src.file.full_path |
パーサーは old_path フィールドに基づいて src.file.full_path フィールドを設定します。 |
status |
security_result.action_details |
未加工ログの status の値が security_result.action_details に割り当てられます。この値に基づいて、security_result.action フィールドが設定されます(たとえば、「portscan_blocked」と「uc_site_blocked」は「BLOCK」にマッピングされます)。security_result.description フィールドには、「status: 」の後に status の値が入力されます。 |
suid |
principal.user.userid |
未加工ログの suid の値が principal.user.userid に割り当てられます。 |
suser |
principal.user.user_display_name |
未加工ログの suser の値が principal.user.user_display_name に割り当てられます。 |
target.file.full_path |
target.file.full_path |
パーサーは、path フィールドまたは new_path フィールドに基づいて target.file.full_path フィールドを設定します。 |
target.hostname |
target.hostname |
パーサーは hostname フィールドに基づいて target.hostname フィールドを設定します。 |
target.ip |
target.ip |
パーサーは、ip_dest フィールドまたは destination_ip フィールドに基づいて target.ip フィールドを設定します。 |
target.platform |
target.platform |
パーサーは principal.platform フィールドに基づいて target.platform フィールドを設定します。 |
target.platform_version |
target.platform_version |
パーサーは principal.platform_version フィールドに基づいて target.platform_version フィールドを設定します。 |
target.port |
target.port |
パーサーは、port_dest フィールドまたは destination_port フィールドに基づいて target.port フィールドを設定します。 |
target.process.command_line |
target.process.command_line |
パーサーは、command_line、process_command_line、または cmd_line フィールドに基づいて target.process.command_line フィールドを設定します。 |
target.process.file.full_path |
target.process.file.full_path |
パーサーは process_path フィールドに基づいて target.process.file.full_path フィールドを設定します。 |
target.process.pid |
target.process.pid |
パーサーは pid フィールドに基づいて target.process.pid フィールドを設定します。 |
target.registry.registry_key |
target.registry.registry_key |
パーサーは key_path フィールドに基づいて target.registry.registry_key フィールドを設定します。 |
target.registry.registry_value_data |
target.registry.registry_value_data |
パーサーは data フィールドに基づいて target.registry.registry_value_data フィールドを設定します。 |
target.registry.registry_value_name |
target.registry.registry_value_name |
パーサーは value フィールドに基づいて target.registry.registry_value_name フィールドを設定します。 |
target.resource.id |
target.resource.id |
パーサーは、hwid フィールドまたは BitdefenderGZHwId フィールドに基づいて target.resource.id フィールドを設定します。 |
target.url |
target.url |
パーサーは request フィールドに基づいて target.url フィールドを設定します。 |
target.user.company_name |
target.user.company_name |
パーサーは companyId フィールドに基づいて target.user.company_name フィールドを設定します。 |
target.user.user_display_name |
target.user.user_display_name |
パーサーは、user.name フィールドまたは user.userName フィールドに基づいて target.user.user_display_name フィールドを設定します。 |
target.user.userid |
target.user.userid |
パーサーは、user_name、user、user.id、または extra_info.user フィールドに基づいて target.user.userid フィールドを設定します。 |
target_pid |
target.process.pid |
未加工ログの target_pid の値が target.process.pid に割り当てられます。 |
timestamp |
metadata.event_timestamp |
未加工ログの timestamp の値が解析され、metadata.event_timestamp に割り当てられます。 |
uc_type |
network.application_protocol |
未加工ログの uc_type の値は大文字に変換され、network.application_protocol に割り当てられます。target_user_userid が空でない場合、metadata.event_type は「USER_UNCATEGORIZED」に設定されます。それ以外の場合は、「STATUS_UPDATE」に設定されます。 |
url |
principal.url |
未加工ログの url の値が空でないか「0.0.0.0」でない場合、principal.url に割り当てられます。 |
user |
target.user.userid |
未加工ログの user の値が target.user.userid に割り当てられます。 |
user.id |
target.user.userid |
未加工ログの user.id の値が target.user.userid に割り当てられます。 |
user.name |
target.user.user_display_name |
未加工ログの user.name の値が target.user.user_display_name に割り当てられます。 |
user.userName |
target.user.user_display_name |
未加工ログの user.userName の値が target.user.user_display_name に割り当てられます。 |
user.userSid |
principal.user.windows_sid |
未加工ログの user.userSid の値が principal.user.windows_sid に割り当てられます。 |
user_name |
target.user.userid |
未加工ログの user_name の値が target.user.userid に割り当てられます。 |
value |
target.registry.registry_value_data または target.registry.registry_value_name |
event_name が「reg_delete_value」の場合、未加工ログの value の値が target.registry.registry_value_data に割り当てられます。それ以外の場合は、target.registry.registry_value_name が割り当てられます。 |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。