Diese Seite wurde von der Cloud Translation API übersetzt.

Bitdefender-Logs erfassen

Unterstützt in:

Google SecOps SIEM

Dieser Parser extrahiert Bitdefender-Logs im CEF- oder CSV-Format, normalisiert Felder für das UDM und führt bestimmte Aktionen basierend auf den Feldern event_name und module aus. Es verarbeitet verschiedene Ereignistypen wie Dateivorgänge, Netzwerkverbindungen, Prozessgenerierung und Registrierungsänderungen, ordnet relevante Informationen den entsprechenden UDM-Feldern zu und reichert die Daten mit zusätzlichem Kontext aus den Rohlogs an.

Hinweise

Prüfen Sie, ob Sie eine Google Security Operations-Instanz haben.
Achten Sie darauf, dass Sie einen Windows 2016- oder höher- oder Linux-Host mit systemd haben.
Wenn Sie einen Proxy verwenden, müssen die Firewallports geöffnet sein.
Prüfen Sie, ob Sie privilegierten Zugriff auf Bitdefender haben.

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie die SIEM-Einstellungen > Collection Agents auf.
Laden Sie die Authentifizierungsdatei für die Aufnahme herunter.

Google SecOps-Kundennummer abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie die SIEM-Einstellungen > Profil auf.
Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Führen Sie für die Windows-Installation das folgende Skript aus:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Führen Sie für die Linux-Installation das folgende Skript aus:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Weitere Installationsoptionen finden Sie in dieser Installationsanleitung.

Bindplane-Agent so konfigurieren, dass Syslog-Daten aufgenommen und an Google SecOps gesendet werden

Greifen Sie auf den Computer zu, auf dem BindPlane installiert ist.

Bearbeiten Sie die Datei config.yamlso:

receivers:
    tcplog:
        # Replace the below port <54525> and IP <0.0.0.0> with your specific values
        listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: bitdefender
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

Starten Sie den Bindplane-Agent neu, um die Änderungen zu übernehmen:
```
sudo systemctl restart bindplane
```

Syslog-Streaming in Bitdefender GravityZone konfigurieren

Melden Sie sich im GravityZone Control Center an.
Gehen Sie zu Konfiguration > Integrationen > Syslog.
Klicken Sie auf Syslog-Server hinzufügen.
Geben Sie die erforderlichen Informationen an:
- Name: Geben Sie einen eindeutigen Namen für den Syslog-Server an, z. B. CentralSyslog.
- IP-Adresse/Hostname: Geben Sie die IP-Adresse oder den Hostnamen des Bindplane-Servers ein.
- Protokoll: Wählen Sie das zu verwendende Protokoll aus: TCP / UDP.
- Port: Geben Sie die Portnummer des Bindplane-Servers an.
- Wählen Sie die Log-Typen aus, die gestreamt werden sollen (z. B. Antimalware-Ereignisse, NAD-Ereignisse (Network Attack Defense), Web Control-Ereignisse, Firewall-Ereignisse oder Richtlinienänderungen).
- Optional: Konfigurieren Sie Filter, um bestimmte Ereignistypen ein- oder auszuschließen.
Klicken Sie auf Speichern.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
`BitdefenderGZAttackEntry`	`security_result.detection_fields.value`	Der Wert von `BitdefenderGZAttackEntry` aus dem Rohlog wird einem `security_result.detection_fields`-Objekt zugewiesen, wobei der Schlüssel „attack_entry“ ist.
`BitdefenderGZAttackTypes`	`security_result.category_details`	Der Wert von `BitdefenderGZAttackTypes` aus dem Rohlog wird `security_result.category_details` zugewiesen. Der Wert wird dann in einzelne Strings aufgeteilt und jeder String wird als Wert zum `security_result.category_details`-Array hinzugefügt.
`BitdefenderGZAttCkId`	`security_result.detection_fields.value`	Der Wert von `BitdefenderGZAttCkId` aus dem Rohlog wird einem `security_result.detection_fields`-Objekt zugewiesen, wobei der Schlüssel „BitdefenderGZAttCkId“ ist.
`BitdefenderGZCompanyId`	`target.user.company_name`	Der Wert von `BitdefenderGZCompanyId` aus dem Rohlog wird `target.user.company_name` zugewiesen.
`BitdefenderGZComputerFQDN`	`principal.asset.network_domain`	Der Wert von `BitdefenderGZComputerFQDN` aus dem Rohlog wird `principal.asset.network_domain` zugewiesen.
`BitdefenderGZDetectionName`	`security_result.threat_name`	Der Wert von `BitdefenderGZDetectionName` aus dem Rohlog wird `security_result.threat_name` zugewiesen.
`BitdefenderGZEndpointId`	`security_result.detection_fields.value`	Der Wert von `BitdefenderGZEndpointId` aus dem Rohlog wird einem `security_result.detection_fields`-Objekt zugewiesen, wobei der Schlüssel „BitdefenderGZEndpointId“ ist.
`BitdefenderGZIncidentId`	`metadata.product_log_id`	Der Wert von `BitdefenderGZIncidentId` aus dem Rohlog wird `metadata.product_log_id` zugewiesen.
`BitdefenderGZMainAction`	`security_result.action_details`	Der Wert von `BitdefenderGZMainAction` aus dem Rohlog wird `security_result.action_details` zugewiesen. Anhand dieses Werts wird das Feld `security_result.action` festgelegt (z.B. „blocked“ entspricht „BLOCK“. Das Feld `security_result.description` wird auch mit „main_action: “ gefolgt vom Wert von `BitdefenderGZMainAction` ausgefüllt.
`BitdefenderGZMalwareHash`	`principal.process.file.sha256`	Der Wert von `BitdefenderGZMalwareHash` aus dem Rohlog wird `principal.process.file.sha256` zugewiesen.
`BitdefenderGZMalwareName`	`security_result.threat_name`	Der Wert von `BitdefenderGZMalwareName` aus dem Rohlog wird `security_result.threat_name` zugewiesen.
`BitdefenderGZMalwareType`	`security_result.detection_fields.value`	Der Wert von `BitdefenderGZMalwareType` aus dem Rohlog wird einem `security_result.detection_fields`-Objekt zugewiesen, wobei der Schlüssel „malware_type“ ist.
`BitdefenderGZModule`	`metadata.product_event_type`	Der Wert von `BitdefenderGZModule` aus dem Rohlog wird `metadata.product_event_type` zugewiesen.
`BitdefenderGZSeverityScore`	`security_result.severity_details`	Der Wert von `BitdefenderGZSeverityScore` aus dem Rohlog wird `security_result.severity_details` zugewiesen.
`BitdefenderGZHwId`	`target.resource.id`	Der Wert von `BitdefenderGZHwId` aus dem Rohlog wird `target.resource.id` zugewiesen.
`act`	`security_result.action_details`	Der Wert von `act` aus dem Rohlog wird `security_result.action_details` zugewiesen.
`actionTaken`	`security_result.action_details`	Der Wert von `actionTaken` aus dem Rohlog wird `security_result.action_details` zugewiesen. Anhand dieses Werts wird das Feld `security_result.action` festgelegt (z.B. „block“ wird „BLOCK“ zugeordnet. Das Feld `security_result.description` enthält außerdem „actionTaken: “ gefolgt vom Wert von `actionTaken`.
`additional.fields`	`additional.fields`	Die Parserlogik erstellt ein Schlüssel/Wert-Paar für „product_installed“ und fügt es dem `additional.fields`-Objekt hinzu.
`categories`	`principal.asset.category`	Der Wert von `categories` aus dem Rohlog wird `principal.asset.category` zugewiesen.
`cmd_line`	`target.process.command_line`	Der Wert von `cmd_line` aus dem Rohlog wird `target.process.command_line` zugewiesen.
`companyId`	`target.user.company_name`	Der Wert von `companyId` aus dem Rohlog wird `target.user.company_name` zugewiesen.
`computer_fqdn`	`principal.asset.network_domain`	Der Wert von `computer_fqdn` aus dem Rohlog wird `principal.asset.network_domain` zugewiesen.
`computer_id`	`principal.asset.asset_id`	Der Wert von `computer_id` aus dem Rohlog wird `principal.asset.asset_id` zugewiesen, nachdem „ComputerId:“ vorangestellt wurde.
`computer_ip`	`principal.asset.ip`	Der Wert von `computer_ip` aus dem Rohlog wird geparst, durch Kommas getrennt und jede resultierende IP-Adresse wird dem `principal.asset.ip`-Array hinzugefügt.
`computer_name`	`principal.resource.attribute.labels.value`	Der Wert von `computer_name` aus dem Rohlog wird einem `principal.resource.attribute.labels`-Objekt zugewiesen, dessen Schlüssel „computer_name“ ist. Außerdem wird er als Wert zu einem `security_result.detection_fields`-Objekt hinzugefügt, wobei der Schlüssel „computer_name“ ist.
`column1`	`metadata.product_log_id`	Der Wert von `column1` aus dem Rohlog wird `metadata.product_log_id` zugewiesen.
`column3`	`observer.ip`	Der Wert von `column3` aus dem Rohlog wird `observer.ip` zugewiesen.
`command_line`	`target.process.command_line`	Der Wert von `command_line` aus dem Rohlog wird `target.process.command_line` zugewiesen.
`data`	`target.registry.registry_value_data`	Der Wert von `data` aus dem Rohlog wird `target.registry.registry_value_data` zugewiesen.
`detection_attackTechnique`	`security_result.detection_fields.value`	Der Wert von `detection_attackTechnique` aus dem Rohlog wird einem `security_result.detection_fields`-Objekt zugewiesen, wobei der Schlüssel „detection attackTechnique“ ist.
`detection_name`	`security_result.threat_name`	Der Wert von `detection_name` aus dem Rohlog wird `security_result.threat_name` zugewiesen.
`destination_ip`	`target.ip`	Der Wert von `destination_ip` aus dem Rohlog wird `target.ip` zugewiesen.
`destination_port`	`target.port`	Der Wert von `destination_port` aus dem Rohlog wird `target.port` zugewiesen.
`direction`	`network.direction`	Der Wert von `direction` aus dem Rohlog wird in Großbuchstaben umgewandelt und `network.direction` zugewiesen.
`dvc`	`principal.ip`	Der Wert von `dvc` aus dem Rohlog wird geparst, durch Kommas getrennt und jede resultierende IP-Adresse wird dem `principal.ip`-Array hinzugefügt.
`dvchost`	`about.hostname`	Der Wert von `dvchost` aus dem Rohlog wird `about.hostname` zugewiesen.
`event_description`	`metadata.description`	Der Wert von `event_description` aus dem Rohlog wird `metadata.description` zugewiesen.
`event_name`	`metadata.product_event_type`	Der Wert von `event_name` aus dem Rohlog wird `metadata.product_event_type` zugewiesen. Wenn der Wert „Antiphishing“ ist, wird `security_result.category` auf „PHISHING“ gesetzt. Wenn der Wert „AntiMalware“ ist, wird `security_result.category` auf „SOFTWARE_MALICIOUS“ festgelegt. Das Feld `metadata.event_type` wird aus `event_name` abgeleitet. Dazu werden im Parser eine Reihe von bedingten Anweisungen verwendet.
`ev`	`metadata.product_event_type`	Der Wert von `ev` aus dem Rohlog wird `metadata.product_event_type` zugewiesen.
`extra_info.command_line`	`target.process.command_line`	Der Wert von `extra_info.command_line` aus dem Rohlog wird `target.process.command_line` zugewiesen.
`extra_info.parent_pid`	`principal.process.pid`	Der Wert von `extra_info.parent_pid` aus dem Rohlog wird `principal.process.pid` zugewiesen.
`extra_info.parent_process_cmdline`	`principal.process.command_line`	Der Wert von `extra_info.parent_process_cmdline` aus dem Rohlog wird `principal.process.command_line` zugewiesen.
`extra_info.parent_process_path`	`principal.process.file.full_path`	Der Wert von `extra_info.parent_process_path` aus dem Rohlog wird `principal.process.file.full_path` zugewiesen.
`extra_info.pid`	`target.process.pid`	Der Wert von `extra_info.pid` aus dem Rohlog wird `target.process.pid` zugewiesen.
`extra_info.process_path`	`target.process.file.full_path`	Der Wert von `extra_info.process_path` aus dem Rohlog wird `target.process.file.full_path` zugewiesen.
`extra_info.user`	`target.user.userid`	Der Wert von `extra_info.user` aus dem Rohlog wird `target.user.userid` zugewiesen.
`filePath`	`principal.process.file.full_path`	Der Wert von `filePath` aus dem Rohlog wird `principal.process.file.full_path` zugewiesen.
`file_path`	`principal.process.file.full_path`	Der Wert von `file_path` aus dem Rohlog wird `principal.process.file.full_path` zugewiesen.
`final_status`	`security_result.action_details`	Der Wert von `final_status` aus dem Rohlog wird `security_result.action_details` zugewiesen. Anhand dieses Werts wird das Feld `security_result.action` festgelegt (z.B. „deleted“ wird „BLOCK“ und „ignored“ wird „ALLOW“ zugeordnet. Das Feld `security_result.description` enthält außerdem „final_status: “ gefolgt vom Wert von `final_status`. Wenn der Wert „deleted“ oder „blocked“ ist, wird `metadata.event_type` auf „SCAN_NETWORK“ gesetzt.
`hash`	`principal.process.file.sha256`	Der Wert von `hash` aus dem Rohlog wird `principal.process.file.sha256` zugewiesen.
`host`	`principal.hostname`	Der Wert von `host` aus dem Rohlog wird `principal.hostname` zugewiesen.
`hostname`	`principal.hostname`	Der Wert von `hostname` aus dem Rohlog wird `principal.hostname` zugewiesen, wenn `event_name` nicht „log_on“ oder „log_out“ ist. Andernfalls wird sie `target.hostname` zugewiesen.
`host_name`	`principal.hostname`	Der Wert von `host_name` aus dem Rohlog wird `principal.hostname` zugewiesen.
`hwid`	`principal.resource.id`	Der Wert von `hwid` aus dem Rohlog wird `principal.resource.id` zugewiesen, wenn er nicht leer ist. Wenn das Feld leer ist und das Ereignis nicht „log_on“ oder „log_out“ ist, wird `principal.resource.id` der Wert von `source_hwid` zugewiesen. Wenn das Ereignis „log_on“ oder „log_out“ ist, wird es `target.resource.id` zugewiesen.
`incident_id`	`metadata.product_log_id`	Der Wert von `incident_id` aus dem Rohlog wird `metadata.product_log_id` zugewiesen.
`ip_dest`	`target.ip`	Der Wert von `ip_dest` aus dem Rohlog wird `target.ip` zugewiesen.
`ip_source`	`principal.ip`	Der Wert von `ip_source` aus dem Rohlog wird `principal.ip` zugewiesen.
`key_path`	`target.registry.registry_key`	Der Wert von `key_path` aus dem Rohlog wird `target.registry.registry_key` zugewiesen.
`local_port`	`principal.port`	Der Wert von `local_port` aus dem Rohlog wird in eine Ganzzahl konvertiert und `principal.port` zugewiesen.
`logon_type`	`extensions.auth.mechanism`	Der Wert von `logon_type` aus dem Rohlog wird verwendet, um den Wert von `extensions.auth.mechanism` zu bestimmen. Verschiedene numerische Werte von `logon_type` entsprechen verschiedenen Authentifizierungsmechanismen (z.B. 2 Karten zu „LOCAL“, 3 zu „NETWORK“). Wenn keine übereinstimmende `logon_type` gefunden wird, wird der Mechanismus auf „MECHANISM_UNSPECIFIED“ gesetzt.
`lurker_id`	`intermediary.resource.id`	Der Wert von `lurker_id` aus dem Rohlog wird `intermediary.resource.id` zugewiesen.
`main_action`	`security_result.action_details`	Der Wert von `main_action` aus dem Rohlog wird `security_result.action_details` zugewiesen. Anhand dieses Werts wird das Feld `security_result.action` festgelegt (z.B. „blocked“ wird „BLOCK“ und „no action“ wird „ALLOW“ zugeordnet. Das Feld `security_result.description` wird auch mit „main_action: “ gefolgt vom Wert von `main_action` ausgefüllt.
`malware_name`	`security_result.threat_name`	Der Wert von `malware_name` aus dem Rohlog wird `security_result.threat_name` zugewiesen.
`malware_type`	`security_result.detection_fields.value`	Der Wert von `malware_type` aus dem Rohlog wird einem `security_result.detection_fields`-Objekt zugewiesen, wobei der Schlüssel „malware_type“ ist.
`metadata.description`	`metadata.description`	Der Parser legt das Feld `metadata.description` anhand des Felds `event_name` fest.
`metadata.event_type`	`metadata.event_type`	Der Parser legt das Feld `metadata.event_type` anhand des Felds `event_name` fest.
`metadata.product_event_type`	`metadata.product_event_type`	Der Parser legt das Feld `metadata.product_event_type` anhand der Felder `event_name` oder `module` fest.
`metadata.product_log_id`	`metadata.product_log_id`	Der Parser legt das Feld `metadata.product_log_id` anhand der Felder `msg_id` oder `incident_id` fest.
`metadata.product_name`	`metadata.product_name`	Der Parser legt `metadata.product_name` auf „BitDefender EDR“ fest.
`metadata.product_version`	`metadata.product_version`	Der Parser benennt das Feld `product_version` in `metadata.product_version` um.
`metadata.vendor_name`	`metadata.vendor_name`	Der Parser legt `metadata.vendor_name` auf „BitDefender“ fest.
`module`	`metadata.product_event_type`	Der Wert von `module` aus dem Rohlog wird `metadata.product_event_type` zugewiesen. Wenn der Wert „new-incident“ ist und `target_process_file_full_path` nicht leer ist, wird `metadata.event_type` auf „PROCESS_UNCATEGORIZED“ gesetzt. Wenn der Wert „task-status“ ist, wird `metadata.event_type` auf „STATUS_UPDATE“ gesetzt. Wenn der Wert „network-monitor“ oder „fw“ ist, wird `metadata.event_type` auf „SCAN_NETWORK“ gesetzt.
`msg_id`	`metadata.product_log_id`	Der Wert von `msg_id` aus dem Rohlog wird `metadata.product_log_id` zugewiesen.
`network.application_protocol`	`network.application_protocol`	Der Wert von `uc_type` aus dem Rohlog wird in Großbuchstaben umgewandelt und `network.application_protocol` zugewiesen.
`network.direction`	`network.direction`	Der Parser legt das Feld `network.direction` anhand des Felds `direction` fest.
`network.ip_protocol`	`network.ip_protocol`	Wenn `protocol_id` „6“ ist, legt der Parser `network.ip_protocol` auf „TCP“ fest.
`new_path`	`target.file.full_path`	Der Wert von `new_path` aus dem Rohlog wird `target.file.full_path` zugewiesen.
`old_path`	`src.file.full_path`	Der Wert von `old_path` aus dem Rohlog wird `src.file.full_path` zugewiesen.
`origin_ip`	`intermediary.ip`	Der Wert von `origin_ip` aus dem Rohlog wird `intermediary.ip` zugewiesen.
`os`	`principal.platform_version`	Der Wert von `os` aus dem Rohlog wird `principal.platform_version` zugewiesen. Das Feld `principal.platform` wird aus `os` abgeleitet (z.B. „Win“ wird „WINDOWS“ zugeordnet. Wenn das Ereignis „log_on“ oder „log_out“ ist, werden die Felder `principal.platform` und `principal.platform_version` in `target.platform` bzw. `target.platform_version` umbenannt.
`os_type`	`principal.platform`	Der Wert von `os_type` aus dem Rohlog wird verwendet, um den Wert von `principal.platform` zu bestimmen (z.B. „Win“ wird „WINDOWS“ zugeordnet.
`parent_pid`	`principal.process.pid`	Der Wert von `parent_pid` aus dem Rohlog wird `principal.process.pid` zugewiesen.
`parent_process_path`	`principal.process.file.full_path`	Der Wert von `parent_process_path` aus dem Rohlog wird `principal.process.file.full_path` zugewiesen.
`parent_process_pid`	`principal.process.pid`	Der Wert von `parent_process_pid` aus dem Rohlog wird `principal.process.pid` zugewiesen.
`path`	`target.file.full_path`	Der Wert von `path` aus dem Rohlog wird `target.file.full_path` zugewiesen.
`pid`	`principal.process.pid` oder `target.process.pid`	Der Wert von `pid` aus dem Rohlog wird `principal.process.pid` zugewiesen, wenn `event_name` mit „file“ oder „reg“ beginnt oder wenn es sich um „process_signal“, „network_connection“ oder „connection_connect“ handelt. Andernfalls wird sie `target.process.pid` zugewiesen.
`pid_path`	`principal.process.file.full_path`	Der Wert von `pid_path` aus dem Rohlog wird `principal.process.file.full_path` zugewiesen.
`port_dest`	`target.port`	Der Wert von `port_dest` aus dem Rohlog wird in eine Ganzzahl konvertiert und `target.port` zugewiesen.
`port_source`	`principal.port`	Der Wert von `port_source` aus dem Rohlog wird in eine Ganzzahl konvertiert und `principal.port` zugewiesen.
`ppid`	`principal.process.pid`	Der Wert von `ppid` aus dem Rohlog wird `principal.process.pid` zugewiesen.
`principal.ip`	`principal.ip`	Der Parser legt das Feld `principal.ip` anhand der Felder `ip_source` oder `dvc` fest.
`principal.platform`	`principal.platform`	Der Parser legt das Feld `principal.platform` anhand der Felder `os` oder `os_type` fest.
`principal.platform_version`	`principal.platform_version`	Der Parser legt das Feld `principal.platform_version` anhand der Felder `os` oder `osi_version` fest.
`principal.process.command_line`	`principal.process.command_line`	Der Parser legt das Feld `principal.process.command_line` anhand des Felds `parent_process_cmdline` fest.
`principal.process.file.full_path`	`principal.process.file.full_path`	Der Parser legt das Feld `principal.process.file.full_path` basierend auf den Feldern `pid_path`, `file_path`, `parent_process_path` oder `process_path` fest.
`principal.process.file.md5`	`principal.process.file.md5`	Der Parser benennt das Feld `file_hash_md5` in `principal.process.file.md5` um.
`principal.process.file.sha256`	`principal.process.file.sha256`	Der Parser legt das Feld `principal.process.file.sha256` basierend auf den Feldern `hash`, `BitdefenderGZMalwareHash` oder `file_hash_sha256` fest.
`principal.process.parent_process.pid`	`principal.process.parent_process.pid`	Der Parser benennt das Feld `ppid` in `principal.process.parent_process.pid` um.
`principal.process.pid`	`principal.process.pid`	Der Parser legt das Feld `principal.process.pid` basierend auf den Feldern `pid`, `parent_pid`, `ppid` oder `parent_process_pid` fest.
`principal.resource.id`	`principal.resource.id`	Der Parser legt das Feld `principal.resource.id` anhand der Felder `hwid` oder `source_hwid` fest.
`principal.url`	`principal.url`	Der Parser legt das Feld `principal.url` anhand des Felds `url` fest.
`process_command_line`	`target.process.command_line`	Der Wert von `process_command_line` aus dem Rohlog wird `target.process.command_line` zugewiesen.
`process_path`	`principal.process.file.full_path` oder `target.process.file.full_path`	Der Wert von `process_path` aus dem Rohlog wird `principal.process.file.full_path` zugewiesen, wenn `event_name` „network_connection“ oder „connection_connect“ ist. Andernfalls wird sie `target.process.file.full_path` zugewiesen.
`product_installed`	`additional.fields.value.string_value`	Der Wert von `product_installed` aus dem Rohlog wird einem `additional.fields`-Objekt zugewiesen, wobei der Schlüssel „product_installed“ ist.
`product_version`	`metadata.product_version`	Der Wert von `product_version` aus dem Rohlog wird `metadata.product_version` zugewiesen.
`protocol_id`	`network.ip_protocol`	Wenn `protocol_id` „6“ ist, legt der Parser `network.ip_protocol` auf „TCP“ fest.
`request`	`target.url`	Der Wert von `request` aus dem Rohlog wird `target.url` zugewiesen.
`security_result.action`	`security_result.action`	Der Parser legt das Feld `security_result.action` basierend auf den Feldern `main_action`, `actionTaken`, `status` oder `final_status` fest. Wenn keines dieser Felder eine gültige Aktion enthält, wird standardmäßig „UNKNOWN_ACTION“ verwendet.
`security_result.action_details`	`security_result.action_details`	Der Parser legt das Feld `security_result.action_details` basierend auf den Feldern `main_action`, `actionTaken`, `status` oder `final_status` fest.
`security_result.category`	`security_result.category`	Der Parser legt das Feld `security_result.category` auf „PHISHING“ fest, wenn `event_name` „Antiphishing“ ist, auf „SOFTWARE_MALICIOUS“, wenn `event_name` „AntiMalware“ ist, oder führt den Wert aus dem Feld `sec_category` zusammen.
`security_result.category_details`	`security_result.category_details`	Der Parser legt das Feld `security_result.category_details` anhand der Felder `block_type` oder `attack_types` fest.
`security_result.detection_fields`	`security_result.detection_fields`	Der Parser erstellt `security_result.detection_fields`-Objekte für verschiedene Felder, darunter „malware_type“, „attack_entry“, „BitdefenderGZAttCkId“, „BitdefenderGZEndpointId“, „final_status“, „detection attackTechnique“ und „computer_name“.
`security_result.description`	`security_result.description`	Der Parser legt das Feld `security_result.description` basierend auf den Feldern `main_action`, `actionTaken` oder `final_status` fest.
`security_result.severity`	`security_result.severity`	Der Parser legt das Feld `security_result.severity` basierend auf dem in Großbuchstaben geschriebenen Wert des Felds `severity` fest, wenn es nicht leer ist und `module` „new-incident“ ist.
`security_result.severity_details`	`security_result.severity_details`	Der Parser legt das Feld `security_result.severity_details` anhand des Felds `severity_score` fest.
`security_result.threat_name`	`security_result.threat_name`	Der Parser legt das Feld `security_result.threat_name` anhand der Felder `malware_name` oder `detection_name` fest.
`severity`	`security_result.severity`	Der Wert von `severity` aus dem Rohlog wird in Großbuchstaben geschrieben und `security_result.severity` zugewiesen, wenn er nicht leer ist und `module` „new-incident“ ist.
`severity_score`	`security_result.severity_details`	Der Wert von `severity_score` aus dem Rohlog wird in einen String konvertiert und `security_result.severity_details` zugewiesen.
`source_host`	`observer.ip`	Der Wert von `source_host` aus dem Rohlog wird `observer.ip` zugewiesen.
`source_hwid`	`principal.resource.id`	Der Wert von `source_hwid` aus dem Rohlog wird `principal.resource.id` zugewiesen.
`source_ip`	`src.ip`	Der Wert von `source_ip` aus dem Rohlog wird `src.ip` zugewiesen.
`source_port`	`principal.port`	Der Wert von `source_port` aus dem Rohlog wird in eine Ganzzahl konvertiert und `principal.port` zugewiesen.
`spt`	`principal.port`	Der Wert von `spt` aus dem Rohlog wird `principal.port` zugewiesen.
`sproc`	`principal.process.command_line`	Der Wert von `sproc` aus dem Rohlog wird `principal.process.command_line` zugewiesen.
`src`	`principal.ip`	Der Wert von `src` aus dem Rohlog wird `principal.ip` zugewiesen.
`src.ip`	`src.ip`	Der Parser legt das Feld `src.ip` anhand des Felds `source_ip` fest.
`src.file.full_path`	`src.file.full_path`	Der Parser legt das Feld `src.file.full_path` anhand des Felds `old_path` fest.
`status`	`security_result.action_details`	Der Wert von `status` aus dem Rohlog wird `security_result.action_details` zugewiesen. Anhand dieses Werts wird das Feld `security_result.action` festgelegt (z.B. „portscan_blocked“ und „uc_site_blocked“ werden „BLOCK“ zugeordnet. Das Feld `security_result.description` wird auch mit „status: “ gefolgt vom Wert von `status` ausgefüllt.
`suid`	`principal.user.userid`	Der Wert von `suid` aus dem Rohlog wird `principal.user.userid` zugewiesen.
`suser`	`principal.user.user_display_name`	Der Wert von `suser` aus dem Rohlog wird `principal.user.user_display_name` zugewiesen.
`target.file.full_path`	`target.file.full_path`	Der Parser legt das Feld `target.file.full_path` anhand der Felder `path` oder `new_path` fest.
`target.hostname`	`target.hostname`	Der Parser legt das Feld `target.hostname` anhand des Felds `hostname` fest.
`target.ip`	`target.ip`	Der Parser legt das Feld `target.ip` anhand der Felder `ip_dest` oder `destination_ip` fest.
`target.platform`	`target.platform`	Der Parser legt das Feld `target.platform` anhand des Felds `principal.platform` fest.
`target.platform_version`	`target.platform_version`	Der Parser legt das Feld `target.platform_version` anhand des Felds `principal.platform_version` fest.
`target.port`	`target.port`	Der Parser legt das Feld `target.port` anhand der Felder `port_dest` oder `destination_port` fest.
`target.process.command_line`	`target.process.command_line`	Der Parser legt das Feld `target.process.command_line` basierend auf den Feldern `command_line`, `process_command_line` oder `cmd_line` fest.
`target.process.file.full_path`	`target.process.file.full_path`	Der Parser legt das Feld `target.process.file.full_path` anhand des Felds `process_path` fest.
`target.process.pid`	`target.process.pid`	Der Parser legt das Feld `target.process.pid` anhand des Felds `pid` fest.
`target.registry.registry_key`	`target.registry.registry_key`	Der Parser legt das Feld `target.registry.registry_key` anhand des Felds `key_path` fest.
`target.registry.registry_value_data`	`target.registry.registry_value_data`	Der Parser legt das Feld `target.registry.registry_value_data` anhand des Felds `data` fest.
`target.registry.registry_value_name`	`target.registry.registry_value_name`	Der Parser legt das Feld `target.registry.registry_value_name` anhand des Felds `value` fest.
`target.resource.id`	`target.resource.id`	Der Parser legt das Feld `target.resource.id` anhand der Felder `hwid` oder `BitdefenderGZHwId` fest.
`target.url`	`target.url`	Der Parser legt das Feld `target.url` anhand des Felds `request` fest.
`target.user.company_name`	`target.user.company_name`	Der Parser legt das Feld `target.user.company_name` anhand des Felds `companyId` fest.
`target.user.user_display_name`	`target.user.user_display_name`	Der Parser legt das Feld `target.user.user_display_name` anhand der Felder `user.name` oder `user.userName` fest.
`target.user.userid`	`target.user.userid`	Der Parser legt das Feld `target.user.userid` basierend auf den Feldern `user_name`, `user`, `user.id` oder `extra_info.user` fest.
`target_pid`	`target.process.pid`	Der Wert von `target_pid` aus dem Rohlog wird `target.process.pid` zugewiesen.
`timestamp`	`metadata.event_timestamp`	Der Wert von `timestamp` aus dem Rohlog wird geparst und `metadata.event_timestamp` zugewiesen.
`uc_type`	`network.application_protocol`	Der Wert von `uc_type` aus dem Rohlog wird in Großbuchstaben umgewandelt und `network.application_protocol` zugewiesen. Wenn `target_user_userid` nicht leer ist, wird `metadata.event_type` auf „USER_UNCATEGORIZED“ gesetzt. Andernfalls wird er auf „STATUS_UPDATE“ gesetzt.
`url`	`principal.url`	Der Wert von `url` aus dem Rohlog wird `principal.url` zugewiesen, wenn er nicht leer oder „0.0.0.0“ ist.
`user`	`target.user.userid`	Der Wert von `user` aus dem Rohlog wird `target.user.userid` zugewiesen.
`user.id`	`target.user.userid`	Der Wert von `user.id` aus dem Rohlog wird `target.user.userid` zugewiesen.
`user.name`	`target.user.user_display_name`	Der Wert von `user.name` aus dem Rohlog wird `target.user.user_display_name` zugewiesen.
`user.userName`	`target.user.user_display_name`	Der Wert von `user.userName` aus dem Rohlog wird `target.user.user_display_name` zugewiesen.
`user.userSid`	`principal.user.windows_sid`	Der Wert von `user.userSid` aus dem Rohlog wird `principal.user.windows_sid` zugewiesen.
`user_name`	`target.user.userid`	Der Wert von `user_name` aus dem Rohlog wird `target.user.userid` zugewiesen.
`value`	`target.registry.registry_value_data` oder `target.registry.registry_value_name`	Der Wert von `value` aus dem Rohlog wird `target.registry.registry_value_data` zugewiesen, wenn `event_name` „reg_delete_value“ ist. Andernfalls wird sie `target.registry.registry_value_name` zugewiesen.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten