收集 Bitdefender 記錄

本文說明如何使用 Bindplane 代理程式，將 Bitdefender 記錄擷取至 Google Security Operations。

這個剖析器會以 CEF 或 CSV 格式擷取 Bitdefender GravityZone 記錄，將欄位正規化為 UDM，並根據事件類型執行特定動作。這個外掛程式會處理檔案作業、網路連線、程序建立和登錄檔修改，並將相關資訊對應至適當的 UDM 欄位。

事前準備

請確認您已完成下列事前準備事項：

• Google SecOps 執行個體
• Windows Server 2016 以上版本，或搭載 systemd 的 Linux 主機
• Bindplane 代理程式與 Bitdefender GravityZone 設備之間的網路連線
• 如果透過 Proxy 執行，請確保防火牆通訊埠已根據 Bindplane 代理程式需求開啟
• Bitdefender GravityZone 的特殊存取權

取得 Google SecOps 擷取驗證檔案

1. 登入 Google SecOps 控制台。
2. 依序前往「SIEM 設定」>「收集代理程式」。
3. 下載擷取驗證檔案

4. 將檔案安全地儲存在要安裝 Bindplane 代理程式的系統中。

取得 Google SecOps 客戶 ID

1. 登入 Google SecOps 控制台。
2. 依序前往「SIEM 設定」>「設定檔」。

3. 複製並儲存「機構詳細資料」部分中的客戶 ID。

安裝 Bindplane 代理程式

請按照下列操作說明，在 Windows 或 Linux 作業系統上安裝 Bindplane 代理程式。

Windows 安裝

1. 以管理員身分開啟「命令提示字元」或「PowerShell」。

2. 執行下列指令：

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

3. 等待安裝完成。

4. 執行下列指令，確認安裝成功：

   sc query observiq-otel-collector
   

   服務應顯示為RUNNING。

Linux 安裝

1. 開啟具有根層級或 sudo 權限的終端機。

2. 執行下列指令：

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

3. 等待安裝完成。

4. 執行下列指令，確認安裝成功：

   sudo systemctl status observiq-otel-collector
   

   服務應顯示為有效 (執行中)。

其他安裝資源

如需其他安裝選項和疑難排解資訊，請參閱 Bindplane 代理程式安裝指南。

設定 Bindplane 代理程式，擷取系統記錄檔並傳送至 Google SecOps

找出設定檔

• Linux：

  sudo nano /etc/bindplane-agent/config.yaml
  

• Windows：

  notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
  

編輯設定檔

• 將 config.yaml 的所有內容替換為下列設定：

  receivers:
      tcplog:
          listen_address: "0.0.0.0:514"
  
  exporters:
      chronicle/bitdefender:
          compression: gzip
          creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
          customer_id: '<customer_id>'
          endpoint: malachiteingestion-pa.googleapis.com
          log_type: BITDEFENDER
          raw_log_field: body
  
  service:
      pipelines:
          logs/bitdefender_to_chronicle:
              receivers:
                  - tcplog
              exporters:
                  - chronicle/bitdefender
  

設定參數

替換下列預留位置：

• 接收器設定：

  • listen_address：要接聽的 IP 位址和通訊埠：
    • 0.0.0.0，監聽所有介面 (建議)
    • 通訊埠 514 是標準的系統記錄通訊埠 (在 Linux 上需要根層級權限；非根層級權限請使用 1514)

• 匯出工具設定：

  • creds_file_path：擷取驗證檔案的完整路徑：
    • Linux：/etc/bindplane-agent/ingestion-auth.json
    • Windows：C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
  • customer_id：從 Google SecOps 控制台複製的客戶 ID
  • endpoint：區域端點網址：
    • 美國：malachiteingestion-pa.googleapis.com
    • 歐洲：europe-malachiteingestion-pa.googleapis.com
    • 亞洲：asia-southeast1-malachiteingestion-pa.googleapis.com
    • 如需完整清單，請參閱「區域端點」

儲存設定檔

• 編輯完成後，請儲存檔案：
  • Linux：依序按下 Ctrl+O、Enter 和 Ctrl+X
  • Windows：依序點選「檔案」>「儲存」

重新啟動 Bindplane 代理程式，以套用變更

• 如要在 Linux 中重新啟動 Bindplane 代理程式，請執行下列指令：

  sudo systemctl restart observiq-otel-collector
  

  1. 確認服務正在執行：

     ```bash
     sudo systemctl status observiq-otel-collector
     ```
     

  2. 檢查記錄中是否有錯誤：

     ```bash
     sudo journalctl -u observiq-otel-collector -f
     ```
     

• 如要在 Windows 中重新啟動 Bindplane 代理程式，請選擇下列任一做法：

  • 以管理員身分開啟命令提示字元或 PowerShell：

    net stop observiq-otel-collector && net start observiq-otel-collector
    

  • 服務控制台：

    1. 按下 Win+R，輸入 services.msc，然後按下 Enter 鍵。
    2. 找出 observIQ OpenTelemetry Collector。
    3. 按一下滑鼠右鍵，然後選取「重新啟動」。

    4. 確認服務正在執行：

       sc query observiq-otel-collector
       

    5. 檢查記錄中是否有錯誤：

       type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
       

在 Bitdefender GravityZone 中設定系統記錄檔串流

1. 登入 GravityZone Control Center。
2. 依序前往「Configuration」>「Integrations」>「Syslog」。
3. 按一下「新增 Syslog 伺服器」。
4. 提供必要詳細資料：
   • 名稱：為系統記錄伺服器提供不重複的名稱 (例如 CentralSyslog)。
   • IP 位址/主機名稱：輸入 Bindplane 伺服器的 IP 位址或主機名稱。
   • 通訊協定：選取要使用的通訊協定：TCP 或 UDP。
   • 「Port」(通訊埠)：指定 Bindplane 伺服器的通訊埠號碼。
   • 選取要串流的記錄類型 (例如「防惡意軟體事件」、「網路攻擊防禦 (NAD) 事件」、「網頁控管事件」、「防火牆事件」或「政策變更」)。
   • 選用：設定篩選器，納入或排除特定事件類型。
5. 按一下 [儲存]。

UDM 對應表

記錄欄位	UDM 對應	邏輯
BitdefenderGZAttackEntry	security_result.detection_fields.value	原始記錄中的 BitdefenderGZAttackEntry 值會指派給 security_result.detection_fields 物件，其中鍵為「attack_entry」。
BitdefenderGZAttackTypes	security_result.category_details	原始記錄中的 BitdefenderGZAttackTypes 值會指派給 security_result.category_details。接著，系統會將該值分割成個別字串，並將每個字串做為值新增至 security_result.category_details 陣列。
BitdefenderGZAttCkId	security_result.detection_fields.value	原始記錄中的 BitdefenderGZAttCkId 值會指派為 security_result.detection_fields 物件的值，而鍵為「BitdefenderGZAttCkId」。
BitdefenderGZCompanyId	target.user.company_name	原始記錄中的 BitdefenderGZCompanyId 值會指派給 target.user.company_name。
BitdefenderGZComputerFQDN	principal.asset.network_domain	原始記錄中的 BitdefenderGZComputerFQDN 值會指派給 principal.asset.network_domain。
BitdefenderGZDetectionName	security_result.threat_name	原始記錄中的 BitdefenderGZDetectionName 值會指派給 security_result.threat_name。
BitdefenderGZEndpointId	security_result.detection_fields.value	原始記錄中的 BitdefenderGZEndpointId 值會指派為 security_result.detection_fields 物件的值，而鍵為「BitdefenderGZEndpointId」。
BitdefenderGZIncidentId	metadata.product_log_id	原始記錄中的 BitdefenderGZIncidentId 值會指派給 metadata.product_log_id。
BitdefenderGZMainAction	security_result.action_details	原始記錄中的 BitdefenderGZMainAction 值會指派給 security_result.action_details。系統會根據這個值設定 security_result.action 欄位 (例如，「blocked」會對應至「BLOCK」)。「main_action: 」也會填入 security_result.description 欄位，後方接著 BitdefenderGZMainAction 的值。
BitdefenderGZMalwareHash	principal.process.file.sha256	原始記錄中的 BitdefenderGZMalwareHash 值會指派給 principal.process.file.sha256。
BitdefenderGZMalwareName	security_result.threat_name	原始記錄中的 BitdefenderGZMalwareName 值會指派給 security_result.threat_name。
BitdefenderGZMalwareType	security_result.detection_fields.value	原始記錄中的 BitdefenderGZMalwareType 值會指派為 security_result.detection_fields 物件的值，而鍵為「malware_type」。
BitdefenderGZModule	metadata.product_event_type	原始記錄中的 BitdefenderGZModule 值會指派給 metadata.product_event_type。
BitdefenderGZSeverityScore	security_result.severity_details	原始記錄中的 BitdefenderGZSeverityScore 值會指派給 security_result.severity_details。
BitdefenderGZHwId	target.resource.id	原始記錄中的 BitdefenderGZHwId 值會指派給 target.resource.id。
act	security_result.action_details	原始記錄中的 act 值會指派給 security_result.action_details。
actionTaken	security_result.action_details	原始記錄中的 actionTaken 值會指派給 security_result.action_details。系統會根據這個值設定 security_result.action 欄位 (例如，「block」會對應至「BLOCK」)。「actionTaken: 」也會填入 security_result.description 欄位，後面接著 actionTaken 的值。
additional.fields	additional.fields	剖析器邏輯會為「product_installed」建立鍵/值組合，並將其新增至 additional.fields 物件。
categories	principal.asset.category	原始記錄中的 categories 值會指派給 principal.asset.category。
cmd_line	target.process.command_line	原始記錄中的 cmd_line 值會指派給 target.process.command_line。
companyId	target.user.company_name	原始記錄中的 companyId 值會指派給 target.user.company_name。
computer_fqdn	principal.asset.network_domain	原始記錄中的 computer_fqdn 值會指派給 principal.asset.network_domain。
computer_id	principal.asset.asset_id	原始記錄中的 computer_id 值會指派給 principal.asset.asset_id，並在前面加上「ComputerId:」。
computer_ip	principal.asset.ip	系統會剖析原始記錄中的 computer_ip 值，並以半形逗號分隔，然後將每個產生的 IP 位址新增至 principal.asset.ip 陣列。
computer_name	principal.resource.attribute.labels.value	原始記錄中的 computer_name 值會指派給 principal.resource.attribute.labels 物件，而該物件的鍵為「computer_name」。此外，系統也會將其新增為 security_result.detection_fields 物件的值，其中鍵為「computer_name」。
column1	metadata.product_log_id	原始記錄中的 column1 值會指派給 metadata.product_log_id。
column3	observer.ip	原始記錄中的 column3 值會指派給 observer.ip。
command_line	target.process.command_line	原始記錄中的 command_line 值會指派給 target.process.command_line。
data	target.registry.registry_value_data	原始記錄中的 data 值會指派給 target.registry.registry_value_data。
detection_attackTechnique	security_result.detection_fields.value	原始記錄中的 detection_attackTechnique 值會指派為 security_result.detection_fields 物件的值，而鍵則是「detection attackTechnique」。
detection_name	security_result.threat_name	原始記錄中的 detection_name 值會指派給 security_result.threat_name。
destination_ip	target.ip	原始記錄中的 destination_ip 值會指派給 target.ip。
destination_port	target.port	原始記錄中的 destination_port 值會指派給 target.port。
direction	network.direction	原始記錄中的 direction 值會轉換為大寫，並指派給 network.direction。
dvc	principal.ip	系統會剖析原始記錄中的 dvc 值，並以半形逗號分隔，然後將每個產生的 IP 位址新增至 principal.ip 陣列。
dvchost	about.hostname	原始記錄中的 dvchost 值會指派給 about.hostname。
event_description	metadata.description	原始記錄中的 event_description 值會指派給 metadata.description。
event_name	metadata.product_event_type	原始記錄中的 event_name 值會指派給 metadata.product_event_type。如果值為「Antiphishing」，security_result.category 會設為「PHISHING」。如果值為「AntiMalware」，security_result.category 會設為「SOFTWARE_MALICIOUS」。metadata.event_type 欄位是從 event_name 衍生而來，方法是在剖析器中使用一系列條件陳述式。
ev	metadata.product_event_type	原始記錄中的 ev 值會指派給 metadata.product_event_type。
extra_info.command_line	target.process.command_line	原始記錄中的 extra_info.command_line 值會指派給 target.process.command_line。
extra_info.parent_pid	principal.process.pid	原始記錄中的 extra_info.parent_pid 值會指派給 principal.process.pid。
extra_info.parent_process_cmdline	principal.process.command_line	原始記錄中的 extra_info.parent_process_cmdline 值會指派給 principal.process.command_line。
extra_info.parent_process_path	principal.process.file.full_path	原始記錄中的 extra_info.parent_process_path 值會指派給 principal.process.file.full_path。
extra_info.pid	target.process.pid	原始記錄中的 extra_info.pid 值會指派給 target.process.pid。
extra_info.process_path	target.process.file.full_path	原始記錄中的 extra_info.process_path 值會指派給 target.process.file.full_path。
extra_info.user	target.user.userid	原始記錄中的 extra_info.user 值會指派給 target.user.userid。
filePath	principal.process.file.full_path	原始記錄中的 filePath 值會指派給 principal.process.file.full_path。
file_path	principal.process.file.full_path	原始記錄中的 file_path 值會指派給 principal.process.file.full_path。
final_status	security_result.action_details	原始記錄中的 final_status 值會指派給 security_result.action_details。系統會根據這個值設定 security_result.action 欄位 (例如，「已刪除」會對應至「BLOCK」，「已忽略」則對應至「ALLOW」)。「final_status: 」後方也會填入 final_status 的值。security_result.description如果值為「deleted」或「blocked」，metadata.event_type 會設為「SCAN_NETWORK」。
hash	principal.process.file.sha256	原始記錄中的 hash 值會指派給 principal.process.file.sha256。
host	principal.hostname	原始記錄中的 host 值會指派給 principal.hostname。
hostname	principal.hostname	如果 event_name 不是「log_on」或「log_out」，系統會將原始記錄中的 hostname 值指派給 principal.hostname。否則會指派給 target.hostname。
host_name	principal.hostname	原始記錄中的 host_name 值會指派給 principal.hostname。
hwid	principal.resource.id	如果原始記錄檔中的 hwid 值不為空白，則會指派給 principal.resource.id。如果這個欄位空白，且事件不是「log_on」或「log_out」，系統會將 source_hwid 的值指派給 principal.resource.id。如果事件為「log_on」或「log_out」，則會指派給 target.resource.id。
incident_id	metadata.product_log_id	原始記錄中的 incident_id 值會指派給 metadata.product_log_id。
ip_dest	target.ip	原始記錄中的 ip_dest 值會指派給 target.ip。
ip_source	principal.ip	原始記錄中的 ip_source 值會指派給 principal.ip。
key_path	target.registry.registry_key	原始記錄中的 key_path 值會指派給 target.registry.registry_key。
local_port	principal.port	原始記錄中的 local_port 值會轉換為整數，並指派給 principal.port。
logon_type	extensions.auth.mechanism	系統會使用原始記錄中的 logon_type 值來判斷 extensions.auth.mechanism 的值。logon_type 的不同數值會對應至不同的驗證機制 (例如，2 對應至「LOCAL」，3 對應至「NETWORK」)。如果找不到相符的 logon_type，機制會設為「MECHANISM_UNSPECIFIED」。
lurker_id	intermediary.resource.id	原始記錄中的 lurker_id 值會指派給 intermediary.resource.id。
main_action	security_result.action_details	原始記錄中的 main_action 值會指派給 security_result.action_details。系統會根據這個值設定 security_result.action 欄位 (例如「blocked」會對應至「BLOCK」，「no action」則對應至「ALLOW」)。「main_action: 」也會填入 security_result.description 欄位，後方接著 main_action 的值。
malware_name	security_result.threat_name	原始記錄中的 malware_name 值會指派給 security_result.threat_name。
malware_type	security_result.detection_fields.value	原始記錄中的 malware_type 值會指派為 security_result.detection_fields 物件的值，而鍵為「malware_type」。
metadata.description	metadata.description	剖析器會根據 event_name 欄位設定 metadata.description 欄位。
metadata.event_type	metadata.event_type	剖析器會根據 event_name 欄位設定 metadata.event_type 欄位。
metadata.product_event_type	metadata.product_event_type	剖析器會根據 event_name 或 module 欄位設定 metadata.product_event_type 欄位。
metadata.product_log_id	metadata.product_log_id	剖析器會根據 msg_id 或 incident_id 欄位設定 metadata.product_log_id 欄位。
metadata.product_name	metadata.product_name	剖析器會將 metadata.product_name 設為「BitDefender EDR」。
metadata.product_version	metadata.product_version	剖析器會將 product_version 欄位重新命名為 metadata.product_version。
metadata.vendor_name	metadata.vendor_name	剖析器會將 metadata.vendor_name 設為「BitDefender」。
module	metadata.product_event_type	原始記錄中的 module 值會指派給 metadata.product_event_type。如果值為「new-incident」且 target_process_file_full_path 不為空白，metadata.event_type 會設為「PROCESS_UNCATEGORIZED」。如果值為「task-status」，metadata.event_type 會設為「STATUS_UPDATE」。如果值為「network-monitor」或「fw」，metadata.event_type 會設為「SCAN_NETWORK」。
msg_id	metadata.product_log_id	原始記錄中的 msg_id 值會指派給 metadata.product_log_id。
network.application_protocol	network.application_protocol	原始記錄中的 uc_type 值會轉換為大寫，並指派給 network.application_protocol。
network.direction	network.direction	剖析器會根據 direction 欄位設定 network.direction 欄位。
network.ip_protocol	network.ip_protocol	如果 protocol_id 為「6」，剖析器會將 network.ip_protocol 設為「TCP」。
new_path	target.file.full_path	原始記錄中的 new_path 值會指派給 target.file.full_path。
old_path	src.file.full_path	原始記錄中的 old_path 值會指派給 src.file.full_path。
origin_ip	intermediary.ip	原始記錄中的 origin_ip 值會指派給 intermediary.ip。
os	principal.platform_version	原始記錄中的 os 值會指派給 principal.platform_version。「principal.platform」欄位衍生自「os」(例如「Win」對應至「WINDOWS」)。如果事件是「log_on」或「log_out」，則 principal.platform 和 principal.platform_version 欄位會分別重新命名為 target.platform 和 target.platform_version。
os_type	principal.platform	原始記錄中的 os_type 值會用於判斷 principal.platform 的值 (例如，「Win」會對應至「WINDOWS」)。
parent_pid	principal.process.pid	原始記錄中的 parent_pid 值會指派給 principal.process.pid。
parent_process_path	principal.process.file.full_path	原始記錄中的 parent_process_path 值會指派給 principal.process.file.full_path。
parent_process_pid	principal.process.pid	原始記錄中的 parent_process_pid 值會指派給 principal.process.pid。
path	target.file.full_path	原始記錄中的 path 值會指派給 target.file.full_path。
pid	principal.process.pid或target.process.pid	如果 event_name 以「file」或「reg」開頭，或是「process_signal」、「network_connection」或「connection_connect」其中之一，系統就會將原始記錄中的 pid 值指派給 principal.process.pid。否則會指派給 target.process.pid。
pid_path	principal.process.file.full_path	原始記錄中的 pid_path 值會指派給 principal.process.file.full_path。
port_dest	target.port	原始記錄中的 port_dest 值會轉換為整數，並指派給 target.port。
port_source	principal.port	原始記錄中的 port_source 值會轉換為整數，並指派給 principal.port。
ppid	principal.process.pid	原始記錄中的 ppid 值會指派給 principal.process.pid。
principal.ip	principal.ip	剖析器會根據 ip_source 或 dvc 欄位設定 principal.ip 欄位。
principal.platform	principal.platform	剖析器會根據 os 或 os_type 欄位設定 principal.platform 欄位。
principal.platform_version	principal.platform_version	剖析器會根據 os 或 osi_version 欄位設定 principal.platform_version 欄位。
principal.process.command_line	principal.process.command_line	剖析器會根據 parent_process_cmdline 欄位設定 principal.process.command_line 欄位。
principal.process.file.full_path	principal.process.file.full_path	剖析器會根據 pid_path、file_path、parent_process_path 或 process_path 欄位設定 principal.process.file.full_path 欄位。
principal.process.file.md5	principal.process.file.md5	剖析器會將 file_hash_md5 欄位重新命名為 principal.process.file.md5。
principal.process.file.sha256	principal.process.file.sha256	剖析器會根據 hash、BitdefenderGZMalwareHash 或 file_hash_sha256 欄位設定 principal.process.file.sha256 欄位。
principal.process.parent_process.pid	principal.process.parent_process.pid	剖析器會將 ppid 欄位重新命名為 principal.process.parent_process.pid。
principal.process.pid	principal.process.pid	剖析器會根據 pid、parent_pid、ppid 或 parent_process_pid 欄位設定 principal.process.pid 欄位。
principal.resource.id	principal.resource.id	剖析器會根據 hwid 或 source_hwid 欄位設定 principal.resource.id 欄位。
principal.url	principal.url	剖析器會根據 url 欄位設定 principal.url 欄位。
process_command_line	target.process.command_line	原始記錄中的 process_command_line 值會指派給 target.process.command_line。
process_path	principal.process.file.full_path或target.process.file.full_path	如果 event_name 是「network_connection」或「connection_connect」，系統會將原始記錄中的 process_path 值指派給 principal.process.file.full_path。否則會指派給 target.process.file.full_path。
product_installed	additional.fields.value.string_value	原始記錄中的 product_installed 值會指派給 additional.fields 物件，而該物件的鍵為「product_installed」。
product_version	metadata.product_version	原始記錄中的 product_version 值會指派給 metadata.product_version。
protocol_id	network.ip_protocol	如果 protocol_id 為「6」，剖析器會將 network.ip_protocol 設為「TCP」。
request	target.url	原始記錄中的 request 值會指派給 target.url。
security_result.action	security_result.action	剖析器會根據 main_action、actionTaken、status 或 final_status 欄位設定 security_result.action 欄位。如果這些欄位都未提供有效動作，系統會預設為「UNKNOWN_ACTION」。
security_result.action_details	security_result.action_details	剖析器會根據 main_action、actionTaken、status 或 final_status 欄位設定 security_result.action_details 欄位。
security_result.category	security_result.category	如果 event_name 為「Antiphishing」，剖析器會將 security_result.category 欄位設為「PHISHING」；如果 event_name 為「AntiMalware」，則設為「SOFTWARE_MALICIOUS」；否則會合併 sec_category 欄位的值。
security_result.category_details	security_result.category_details	剖析器會根據 block_type 或 attack_types 欄位設定 security_result.category_details 欄位。
security_result.detection_fields	security_result.detection_fields	剖析器會為各種欄位建立 security_result.detection_fields 物件，包括「malware_type」、「attack_entry」、「BitdefenderGZAttCkId」、「BitdefenderGZEndpointId」、「final_status」、「detection attackTechnique」和「computer_name」。
security_result.description	security_result.description	剖析器會根據 main_action、actionTaken 或 final_status 欄位設定 security_result.description 欄位。
security_result.severity	security_result.severity	如果 severity 欄位不為空白，且 module 為「new-incident」，剖析器會根據 severity 欄位的大寫值設定 security_result.severity 欄位。
security_result.severity_details	security_result.severity_details	剖析器會根據 severity_score 欄位設定 security_result.severity_details 欄位。
security_result.threat_name	security_result.threat_name	剖析器會根據 malware_name 或 detection_name 欄位設定 security_result.threat_name 欄位。
severity	security_result.severity	如果原始記錄中的 severity 值不為空，且 module 為「new-incident」，則該值會轉換為大寫並指派給 security_result.severity。
severity_score	security_result.severity_details	原始記錄中的 severity_score 值會轉換為字串，並指派給 security_result.severity_details。
source_host	observer.ip	原始記錄中的 source_host 值會指派給 observer.ip。
source_hwid	principal.resource.id	原始記錄中的 source_hwid 值會指派給 principal.resource.id。
source_ip	src.ip	原始記錄中的 source_ip 值會指派給 src.ip。
source_port	principal.port	原始記錄中的 source_port 值會轉換為整數，並指派給 principal.port。
spt	principal.port	原始記錄中的 spt 值會指派給 principal.port。
sproc	principal.process.command_line	原始記錄中的 sproc 值會指派給 principal.process.command_line。
src	principal.ip	原始記錄中的 src 值會指派給 principal.ip。
src.ip	src.ip	剖析器會根據 source_ip 欄位設定 src.ip 欄位。
src.file.full_path	src.file.full_path	剖析器會根據 old_path 欄位設定 src.file.full_path 欄位。
status	security_result.action_details	原始記錄中的 status 值會指派給 security_result.action_details。系統會根據這個值設定 security_result.action 欄位 (例如，「portscan_blocked」和「uc_site_blocked」會對應至「BLOCK」)。「狀態：」後方也會填入 security_result.description 欄位，並加上 status 的值。
suid	principal.user.userid	原始記錄中的 suid 值會指派給 principal.user.userid。
suser	principal.user.user_display_name	原始記錄中的 suser 值會指派給 principal.user.user_display_name。
target.file.full_path	target.file.full_path	剖析器會根據 path 或 new_path 欄位設定 target.file.full_path 欄位。
target.hostname	target.hostname	剖析器會根據 hostname 欄位設定 target.hostname 欄位。
target.ip	target.ip	剖析器會根據 ip_dest 或 destination_ip 欄位設定 target.ip 欄位。
target.platform	target.platform	剖析器會根據 principal.platform 欄位設定 target.platform 欄位。
target.platform_version	target.platform_version	剖析器會根據 principal.platform_version 欄位設定 target.platform_version 欄位。
target.port	target.port	剖析器會根據 port_dest 或 destination_port 欄位設定 target.port 欄位。
target.process.command_line	target.process.command_line	剖析器會根據 command_line、process_command_line 或 cmd_line 欄位設定 target.process.command_line 欄位。
target.process.file.full_path	target.process.file.full_path	剖析器會根據 process_path 欄位設定 target.process.file.full_path 欄位。
target.process.pid	target.process.pid	剖析器會根據 pid 欄位設定 target.process.pid 欄位。
target.registry.registry_key	target.registry.registry_key	剖析器會根據 key_path 欄位設定 target.registry.registry_key 欄位。
target.registry.registry_value_data	target.registry.registry_value_data	剖析器會根據 data 欄位設定 target.registry.registry_value_data 欄位。
target.registry.registry_value_name	target.registry.registry_value_name	剖析器會根據 value 欄位設定 target.registry.registry_value_name 欄位。
target.resource.id	target.resource.id	剖析器會根據 hwid 或 BitdefenderGZHwId 欄位設定 target.resource.id 欄位。
target.url	target.url	剖析器會根據 request 欄位設定 target.url 欄位。
target.user.company_name	target.user.company_name	剖析器會根據 companyId 欄位設定 target.user.company_name 欄位。
target.user.user_display_name	target.user.user_display_name	剖析器會根據 user.name 或 user.userName 欄位設定 target.user.user_display_name 欄位。
target.user.userid	target.user.userid	剖析器會根據 user_name、user、user.id 或 extra_info.user 欄位設定 target.user.userid 欄位。
target_pid	target.process.pid	原始記錄中的 target_pid 值會指派給 target.process.pid。
timestamp	metadata.event_timestamp	系統會剖析原始記錄中的 timestamp 值，並指派給 metadata.event_timestamp。
uc_type	network.application_protocol	原始記錄中的 uc_type 值會轉換為大寫，並指派給 network.application_protocol。如果 target_user_userid 不為空白，metadata.event_type 會設為「USER_UNCATEGORIZED」。否則會設為「STATUS_UPDATE」。
url	principal.url	如果原始記錄中的 url 值不是空白或「0.0.0.0」，系統就會將該值指派給 principal.url。
user	target.user.userid	原始記錄中的 user 值會指派給 target.user.userid。
user.id	target.user.userid	原始記錄中的 user.id 值會指派給 target.user.userid。
user.name	target.user.user_display_name	原始記錄中的 user.name 值會指派給 target.user.user_display_name。
user.userName	target.user.user_display_name	原始記錄中的 user.userName 值會指派給 target.user.user_display_name。
user.userSid	principal.user.windows_sid	原始記錄中的 user.userSid 值會指派給 principal.user.windows_sid。
user_name	target.user.userid	原始記錄中的 user_name 值會指派給 target.user.userid。
value	target.registry.registry_value_data或target.registry.registry_value_name	如果 event_name 是「reg_delete_value」，則原始記錄中的 value 值會指派給 target.registry.registry_value_data。否則會指派給 target.registry.registry_value_name。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。