Se usó la API de Cloud Translation para traducir esta página.

Recopila registros de Bitdefender

Compatible con:

Google SecOps SIEM

Este analizador extrae los registros de Bitdefender en formato CEF o CSV, normaliza los campos en el UDM y realiza acciones específicas según los campos event_name y module. Maneja varios tipos de eventos, como operaciones de archivos, conexiones de red, creación de procesos y modificaciones del registro, asigna información pertinente a los campos adecuados del UDM y enriquece los datos con contexto adicional de los registros sin procesar.

Antes de comenzar

Asegúrate de tener una instancia de Google Security Operations.
Asegúrate de tener un host de Windows 2016 o posterior, o bien de Linux con systemd.
Si ejecutas la herramienta detrás de un proxy, asegúrate de que los puertos del firewall estén abiertos.
Asegúrate de tener acceso con privilegios a Bitdefender.

Obtén el archivo de autenticación de transferencia de Google SecOps

Accede a la consola de Google SecOps.
Ve a SIEM Settings > Collection Agents.
Descarga el archivo de autenticación de transferencia.

Obtén el ID de cliente de Google SecOps

Accede a la consola de Google SecOps.
Ve a Configuración del SIEM > Perfil.
Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de BindPlane

Para la instalación en Windows, ejecuta la siguiente secuencia de comandos:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Para la instalación en Linux, ejecuta la siguiente secuencia de comandos:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Puedes encontrar opciones de instalación adicionales en esta guía de instalación.

Configura el agente de Bindplane para que ingiera Syslog y lo envíe a Google SecOps

Accede a la máquina en la que está instalado Bindplane.

Edita el archivo config.yaml de la siguiente manera:

receivers:
    tcplog:
        # Replace the below port <54525> and IP <0.0.0.0> with your specific values
        listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: bitdefender
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

Reinicia el agente de Bindplane para aplicar los cambios:
```
sudo systemctl restart bindplane
```

Cómo configurar la transmisión de Syslog en Bitdefender GravityZone

Accede a GravityZone Control Center.
Ve a Configuration > Integrations > Syslog.
Haz clic en Add Syslog Server.
Proporciona los detalles requeridos:
- Nombre: Proporciona un nombre único para el servidor syslog (por ejemplo, CentralSyslog).
- Dirección IP o nombre de host: Ingresa la dirección IP o el nombre de host del servidor de Bindplane.
- Protocolo: Selecciona el protocolo que se usará: TCP o UDP.
- Puerto: Especifica el número de puerto del servidor de BindPlane.
- Selecciona los tipos de registros que deseas transmitir (por ejemplo, Eventos de software malicioso, Eventos de defensa contra ataques de red (NAD), Eventos de control web, Eventos de firewall o Cambios en la política).
- Opcional: Configura filtros para incluir o excluir tipos de eventos específicos.
Haz clic en Guardar.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
`BitdefenderGZAttackEntry`	`security_result.detection_fields.value`	El valor de `BitdefenderGZAttackEntry` del registro sin procesar se asigna como valor a un objeto `security_result.detection_fields` en el que la clave es "attack_entry".
`BitdefenderGZAttackTypes`	`security_result.category_details`	El valor de `BitdefenderGZAttackTypes` del registro sin procesar se asigna a `security_result.category_details`. Luego, el valor se divide en cadenas individuales y cada cadena se agrega como un valor al array `security_result.category_details`.
`BitdefenderGZAttCkId`	`security_result.detection_fields.value`	El valor de `BitdefenderGZAttCkId` del registro sin procesar se asigna como valor a un objeto `security_result.detection_fields` en el que la clave es "BitdefenderGZAttCkId".
`BitdefenderGZCompanyId`	`target.user.company_name`	El valor de `BitdefenderGZCompanyId` del registro sin procesar se asigna a `target.user.company_name`.
`BitdefenderGZComputerFQDN`	`principal.asset.network_domain`	El valor de `BitdefenderGZComputerFQDN` del registro sin procesar se asigna a `principal.asset.network_domain`.
`BitdefenderGZDetectionName`	`security_result.threat_name`	El valor de `BitdefenderGZDetectionName` del registro sin procesar se asigna a `security_result.threat_name`.
`BitdefenderGZEndpointId`	`security_result.detection_fields.value`	El valor de `BitdefenderGZEndpointId` del registro sin procesar se asigna como valor a un objeto `security_result.detection_fields` en el que la clave es "BitdefenderGZEndpointId".
`BitdefenderGZIncidentId`	`metadata.product_log_id`	El valor de `BitdefenderGZIncidentId` del registro sin procesar se asigna a `metadata.product_log_id`.
`BitdefenderGZMainAction`	`security_result.action_details`	El valor de `BitdefenderGZMainAction` del registro sin procesar se asigna a `security_result.action_details`. Según este valor, se establece el campo `security_result.action` (p.ej., "blocked" se asigna a "BLOCK"). El campo `security_result.description` también se propaga con "main_action: " seguido del valor de `BitdefenderGZMainAction`.
`BitdefenderGZMalwareHash`	`principal.process.file.sha256`	El valor de `BitdefenderGZMalwareHash` del registro sin procesar se asigna a `principal.process.file.sha256`.
`BitdefenderGZMalwareName`	`security_result.threat_name`	El valor de `BitdefenderGZMalwareName` del registro sin procesar se asigna a `security_result.threat_name`.
`BitdefenderGZMalwareType`	`security_result.detection_fields.value`	El valor de `BitdefenderGZMalwareType` del registro sin procesar se asigna como valor a un objeto `security_result.detection_fields` en el que la clave es "malware_type".
`BitdefenderGZModule`	`metadata.product_event_type`	El valor de `BitdefenderGZModule` del registro sin procesar se asigna a `metadata.product_event_type`.
`BitdefenderGZSeverityScore`	`security_result.severity_details`	El valor de `BitdefenderGZSeverityScore` del registro sin procesar se asigna a `security_result.severity_details`.
`BitdefenderGZHwId`	`target.resource.id`	El valor de `BitdefenderGZHwId` del registro sin procesar se asigna a `target.resource.id`.
`act`	`security_result.action_details`	El valor de `act` del registro sin procesar se asigna a `security_result.action_details`.
`actionTaken`	`security_result.action_details`	El valor de `actionTaken` del registro sin procesar se asigna a `security_result.action_details`. Según este valor, se establece el campo `security_result.action` (p.ej., "block" se asigna a "BLOCK"). El campo `security_result.description` también se propaga con "actionTaken: " seguido del valor de `actionTaken`.
`additional.fields`	`additional.fields`	La lógica del analizador crea un par clave-valor para "product_installed" y lo agrega al objeto `additional.fields`.
`categories`	`principal.asset.category`	El valor de `categories` del registro sin procesar se asigna a `principal.asset.category`.
`cmd_line`	`target.process.command_line`	El valor de `cmd_line` del registro sin procesar se asigna a `target.process.command_line`.
`companyId`	`target.user.company_name`	El valor de `companyId` del registro sin procesar se asigna a `target.user.company_name`.
`computer_fqdn`	`principal.asset.network_domain`	El valor de `computer_fqdn` del registro sin procesar se asigna a `principal.asset.network_domain`.
`computer_id`	`principal.asset.asset_id`	El valor de `computer_id` del registro sin procesar se asigna a `principal.asset.asset_id` después de anteponer "ComputerId:".
`computer_ip`	`principal.asset.ip`	El valor de `computer_ip` del registro sin procesar se analiza, se divide por comas y cada dirección IP resultante se agrega al array `principal.asset.ip`.
`computer_name`	`principal.resource.attribute.labels.value`	El valor de `computer_name` del registro sin procesar se asigna como valor a un objeto `principal.resource.attribute.labels` en el que la clave es "computer_name". También se agrega como un valor a un objeto `security_result.detection_fields` en el que la clave es "computer_name".
`column1`	`metadata.product_log_id`	El valor de `column1` del registro sin procesar se asigna a `metadata.product_log_id`.
`column3`	`observer.ip`	El valor de `column3` del registro sin procesar se asigna a `observer.ip`.
`command_line`	`target.process.command_line`	El valor de `command_line` del registro sin procesar se asigna a `target.process.command_line`.
`data`	`target.registry.registry_value_data`	El valor de `data` del registro sin procesar se asigna a `target.registry.registry_value_data`.
`detection_attackTechnique`	`security_result.detection_fields.value`	El valor de `detection_attackTechnique` del registro sin procesar se asigna como valor a un objeto `security_result.detection_fields` en el que la clave es "detection attackTechnique".
`detection_name`	`security_result.threat_name`	El valor de `detection_name` del registro sin procesar se asigna a `security_result.threat_name`.
`destination_ip`	`target.ip`	El valor de `destination_ip` del registro sin procesar se asigna a `target.ip`.
`destination_port`	`target.port`	El valor de `destination_port` del registro sin procesar se asigna a `target.port`.
`direction`	`network.direction`	El valor de `direction` del registro sin procesar se convierte a mayúsculas y se asigna a `network.direction`.
`dvc`	`principal.ip`	El valor de `dvc` del registro sin procesar se analiza, se divide por comas y cada dirección IP resultante se agrega al array `principal.ip`.
`dvchost`	`about.hostname`	El valor de `dvchost` del registro sin procesar se asigna a `about.hostname`.
`event_description`	`metadata.description`	El valor de `event_description` del registro sin procesar se asigna a `metadata.description`.
`event_name`	`metadata.product_event_type`	El valor de `event_name` del registro sin procesar se asigna a `metadata.product_event_type`. Si el valor es "Antiphishing", `security_result.category` se establece en "PHISHING". Si el valor es "AntiMalware", `security_result.category` se establece en "SOFTWARE_MALICIOUS". El campo `metadata.event_type` se deriva de `event_name` a través de una serie de sentencias condicionales dentro del analizador.
`ev`	`metadata.product_event_type`	El valor de `ev` del registro sin procesar se asigna a `metadata.product_event_type`.
`extra_info.command_line`	`target.process.command_line`	El valor de `extra_info.command_line` del registro sin procesar se asigna a `target.process.command_line`.
`extra_info.parent_pid`	`principal.process.pid`	El valor de `extra_info.parent_pid` del registro sin procesar se asigna a `principal.process.pid`.
`extra_info.parent_process_cmdline`	`principal.process.command_line`	El valor de `extra_info.parent_process_cmdline` del registro sin procesar se asigna a `principal.process.command_line`.
`extra_info.parent_process_path`	`principal.process.file.full_path`	El valor de `extra_info.parent_process_path` del registro sin procesar se asigna a `principal.process.file.full_path`.
`extra_info.pid`	`target.process.pid`	El valor de `extra_info.pid` del registro sin procesar se asigna a `target.process.pid`.
`extra_info.process_path`	`target.process.file.full_path`	El valor de `extra_info.process_path` del registro sin procesar se asigna a `target.process.file.full_path`.
`extra_info.user`	`target.user.userid`	El valor de `extra_info.user` del registro sin procesar se asigna a `target.user.userid`.
`filePath`	`principal.process.file.full_path`	El valor de `filePath` del registro sin procesar se asigna a `principal.process.file.full_path`.
`file_path`	`principal.process.file.full_path`	El valor de `file_path` del registro sin procesar se asigna a `principal.process.file.full_path`.
`final_status`	`security_result.action_details`	El valor de `final_status` del registro sin procesar se asigna a `security_result.action_details`. Según este valor, se establece el campo `security_result.action` (p.ej., "deleted" se asigna a "BLOCK" y "ignored" a "ALLOW"). El campo `security_result.description` también se propaga con "final_status: " seguido del valor de `final_status`. Si el valor es "deleted" o "blocked", `metadata.event_type` se establece en "SCAN_NETWORK".
`hash`	`principal.process.file.sha256`	El valor de `hash` del registro sin procesar se asigna a `principal.process.file.sha256`.
`host`	`principal.hostname`	El valor de `host` del registro sin procesar se asigna a `principal.hostname`.
`hostname`	`principal.hostname`	El valor de `hostname` del registro sin procesar se asigna a `principal.hostname` si `event_name` no es "log_on" ni "log_out". De lo contrario, se asigna a `target.hostname`.
`host_name`	`principal.hostname`	El valor de `host_name` del registro sin procesar se asigna a `principal.hostname`.
`hwid`	`principal.resource.id`	El valor de `hwid` del registro sin procesar se asigna a `principal.resource.id` si no está vacío. Si está vacío y el evento no es "log_on" ni "log_out", el valor de `source_hwid` se asigna a `principal.resource.id`. Si el evento es "log_on" o "log_out", se asigna a `target.resource.id`.
`incident_id`	`metadata.product_log_id`	El valor de `incident_id` del registro sin procesar se asigna a `metadata.product_log_id`.
`ip_dest`	`target.ip`	El valor de `ip_dest` del registro sin procesar se asigna a `target.ip`.
`ip_source`	`principal.ip`	El valor de `ip_source` del registro sin procesar se asigna a `principal.ip`.
`key_path`	`target.registry.registry_key`	El valor de `key_path` del registro sin procesar se asigna a `target.registry.registry_key`.
`local_port`	`principal.port`	El valor de `local_port` del registro sin procesar se convierte en un número entero y se asigna a `principal.port`.
`logon_type`	`extensions.auth.mechanism`	El valor de `logon_type` del registro sin procesar se usa para determinar el valor de `extensions.auth.mechanism`. Los diferentes valores numéricos de `logon_type` se asignan a diferentes mecanismos de autenticación (p.ej., 2 mapas a "LOCAL" y 3 a "NETWORK"). Si no se encuentra ningún `logon_type` coincidente, el mecanismo se establece en "MECHANISM_UNSPECIFIED".
`lurker_id`	`intermediary.resource.id`	El valor de `lurker_id` del registro sin procesar se asigna a `intermediary.resource.id`.
`main_action`	`security_result.action_details`	El valor de `main_action` del registro sin procesar se asigna a `security_result.action_details`. Según este valor, se establece el campo `security_result.action` (p.ej., "blocked" se asigna a "BLOCK" y "no action" a "ALLOW"). El campo `security_result.description` también se propaga con "main_action: " seguido del valor de `main_action`.
`malware_name`	`security_result.threat_name`	El valor de `malware_name` del registro sin procesar se asigna a `security_result.threat_name`.
`malware_type`	`security_result.detection_fields.value`	El valor de `malware_type` del registro sin procesar se asigna como valor a un objeto `security_result.detection_fields` en el que la clave es "malware_type".
`metadata.description`	`metadata.description`	El analizador establece el campo `metadata.description` según el campo `event_name`.
`metadata.event_type`	`metadata.event_type`	El analizador establece el campo `metadata.event_type` según el campo `event_name`.
`metadata.product_event_type`	`metadata.product_event_type`	El analizador establece el campo `metadata.product_event_type` en función de los campos `event_name` o `module`.
`metadata.product_log_id`	`metadata.product_log_id`	El analizador establece el campo `metadata.product_log_id` en función de los campos `msg_id` o `incident_id`.
`metadata.product_name`	`metadata.product_name`	El analizador establece `metadata.product_name` en "BitDefender EDR".
`metadata.product_version`	`metadata.product_version`	El analizador cambia el nombre del campo `product_version` a `metadata.product_version`.
`metadata.vendor_name`	`metadata.vendor_name`	El analizador establece `metadata.vendor_name` en "BitDefender".
`module`	`metadata.product_event_type`	El valor de `module` del registro sin procesar se asigna a `metadata.product_event_type`. Si el valor es "new-incident" y `target_process_file_full_path` no está vacío, `metadata.event_type` se establece en "PROCESS_UNCATEGORIZED". Si el valor es "task-status", `metadata.event_type` se establece en "STATUS_UPDATE". Si el valor es "network-monitor" o "fw", `metadata.event_type` se establece en "SCAN_NETWORK".
`msg_id`	`metadata.product_log_id`	El valor de `msg_id` del registro sin procesar se asigna a `metadata.product_log_id`.
`network.application_protocol`	`network.application_protocol`	El valor de `uc_type` del registro sin procesar se convierte a mayúsculas y se asigna a `network.application_protocol`.
`network.direction`	`network.direction`	El analizador establece el campo `network.direction` según el campo `direction`.
`network.ip_protocol`	`network.ip_protocol`	Si `protocol_id` es "6", el analizador establece `network.ip_protocol` en "TCP".
`new_path`	`target.file.full_path`	El valor de `new_path` del registro sin procesar se asigna a `target.file.full_path`.
`old_path`	`src.file.full_path`	El valor de `old_path` del registro sin procesar se asigna a `src.file.full_path`.
`origin_ip`	`intermediary.ip`	El valor de `origin_ip` del registro sin procesar se asigna a `intermediary.ip`.
`os`	`principal.platform_version`	El valor de `os` del registro sin procesar se asigna a `principal.platform_version`. El campo `principal.platform` se deriva de `os` (p.ej., "Win" se asigna a "WINDOWS"). Si el evento es "log_on" o "log_out", los campos `principal.platform` y `principal.platform_version` se renombran como `target.platform` y `target.platform_version`, respectivamente.
`os_type`	`principal.platform`	El valor de `os_type` del registro sin procesar se usa para determinar el valor de `principal.platform` (p.ej., "Win" se asigna a "WINDOWS").
`parent_pid`	`principal.process.pid`	El valor de `parent_pid` del registro sin procesar se asigna a `principal.process.pid`.
`parent_process_path`	`principal.process.file.full_path`	El valor de `parent_process_path` del registro sin procesar se asigna a `principal.process.file.full_path`.
`parent_process_pid`	`principal.process.pid`	El valor de `parent_process_pid` del registro sin procesar se asigna a `principal.process.pid`.
`path`	`target.file.full_path`	El valor de `path` del registro sin procesar se asigna a `target.file.full_path`.
`pid`	`principal.process.pid` o `target.process.pid`	El valor de `pid` del registro sin procesar se asigna a `principal.process.pid` si `event_name` comienza con "file" o "reg", o si es uno de "process_signal", "network_connection" o "connection_connect". De lo contrario, se asigna a `target.process.pid`.
`pid_path`	`principal.process.file.full_path`	El valor de `pid_path` del registro sin procesar se asigna a `principal.process.file.full_path`.
`port_dest`	`target.port`	El valor de `port_dest` del registro sin procesar se convierte en un número entero y se asigna a `target.port`.
`port_source`	`principal.port`	El valor de `port_source` del registro sin procesar se convierte en un número entero y se asigna a `principal.port`.
`ppid`	`principal.process.pid`	El valor de `ppid` del registro sin procesar se asigna a `principal.process.pid`.
`principal.ip`	`principal.ip`	El analizador establece el campo `principal.ip` en función de los campos `ip_source` o `dvc`.
`principal.platform`	`principal.platform`	El analizador establece el campo `principal.platform` en función de los campos `os` o `os_type`.
`principal.platform_version`	`principal.platform_version`	El analizador establece el campo `principal.platform_version` en función de los campos `os` o `osi_version`.
`principal.process.command_line`	`principal.process.command_line`	El analizador establece el campo `principal.process.command_line` según el campo `parent_process_cmdline`.
`principal.process.file.full_path`	`principal.process.file.full_path`	El analizador establece el campo `principal.process.file.full_path` en función de los campos `pid_path`, `file_path`, `parent_process_path` o `process_path`.
`principal.process.file.md5`	`principal.process.file.md5`	El analizador cambia el nombre del campo `file_hash_md5` a `principal.process.file.md5`.
`principal.process.file.sha256`	`principal.process.file.sha256`	El analizador establece el campo `principal.process.file.sha256` según los campos `hash`, `BitdefenderGZMalwareHash` o `file_hash_sha256`.
`principal.process.parent_process.pid`	`principal.process.parent_process.pid`	El analizador cambia el nombre del campo `ppid` a `principal.process.parent_process.pid`.
`principal.process.pid`	`principal.process.pid`	El analizador establece el campo `principal.process.pid` en función de los campos `pid`, `parent_pid`, `ppid` o `parent_process_pid`.
`principal.resource.id`	`principal.resource.id`	El analizador establece el campo `principal.resource.id` en función de los campos `hwid` o `source_hwid`.
`principal.url`	`principal.url`	El analizador establece el campo `principal.url` según el campo `url`.
`process_command_line`	`target.process.command_line`	El valor de `process_command_line` del registro sin procesar se asigna a `target.process.command_line`.
`process_path`	`principal.process.file.full_path` o `target.process.file.full_path`	El valor de `process_path` del registro sin procesar se asigna a `principal.process.file.full_path` si `event_name` es "network_connection" o "connection_connect". De lo contrario, se asigna a `target.process.file.full_path`.
`product_installed`	`additional.fields.value.string_value`	El valor de `product_installed` del registro sin procesar se asigna como valor a un objeto `additional.fields` en el que la clave es "product_installed".
`product_version`	`metadata.product_version`	El valor de `product_version` del registro sin procesar se asigna a `metadata.product_version`.
`protocol_id`	`network.ip_protocol`	Si `protocol_id` es "6", el analizador establece `network.ip_protocol` en "TCP".
`request`	`target.url`	El valor de `request` del registro sin procesar se asigna a `target.url`.
`security_result.action`	`security_result.action`	El analizador establece el campo `security_result.action` en función de los campos `main_action`, `actionTaken`, `status` o `final_status`. Si ninguno de estos campos proporciona una acción válida, se establece de forma predeterminada en "UNKNOWN_ACTION".
`security_result.action_details`	`security_result.action_details`	El analizador establece el campo `security_result.action_details` en función de los campos `main_action`, `actionTaken`, `status` o `final_status`.
`security_result.category`	`security_result.category`	El analizador establece el campo `security_result.category` en "PHISHING" si `event_name` es "Antiphishing", en "SOFTWARE_MALICIOUS" si `event_name` es "AntiMalware", o bien combina el valor del campo `sec_category`.
`security_result.category_details`	`security_result.category_details`	El analizador establece el campo `security_result.category_details` en función de los campos `block_type` o `attack_types`.
`security_result.detection_fields`	`security_result.detection_fields`	El analizador crea objetos `security_result.detection_fields` para varios campos, incluidos "malware_type", "attack_entry", "BitdefenderGZAttCkId", "BitdefenderGZEndpointId", "final_status", "detection attackTechnique" y "computer_name".
`security_result.description`	`security_result.description`	El analizador establece el campo `security_result.description` según los campos `main_action`, `actionTaken` o `final_status`.
`security_result.severity`	`security_result.severity`	El analizador establece el campo `security_result.severity` según el valor en mayúsculas del campo `severity` si no está vacío y el `module` es "new-incident".
`security_result.severity_details`	`security_result.severity_details`	El analizador establece el campo `security_result.severity_details` según el campo `severity_score`.
`security_result.threat_name`	`security_result.threat_name`	El analizador establece el campo `security_result.threat_name` en función de los campos `malware_name` o `detection_name`.
`severity`	`security_result.severity`	El valor de `severity` del registro sin procesar se convierte a mayúsculas y se asigna a `security_result.severity` si no está vacío y `module` es "new-incident".
`severity_score`	`security_result.severity_details`	El valor de `severity_score` del registro sin procesar se convierte en una cadena y se asigna a `security_result.severity_details`.
`source_host`	`observer.ip`	El valor de `source_host` del registro sin procesar se asigna a `observer.ip`.
`source_hwid`	`principal.resource.id`	El valor de `source_hwid` del registro sin procesar se asigna a `principal.resource.id`.
`source_ip`	`src.ip`	El valor de `source_ip` del registro sin procesar se asigna a `src.ip`.
`source_port`	`principal.port`	El valor de `source_port` del registro sin procesar se convierte en un número entero y se asigna a `principal.port`.
`spt`	`principal.port`	El valor de `spt` del registro sin procesar se asigna a `principal.port`.
`sproc`	`principal.process.command_line`	El valor de `sproc` del registro sin procesar se asigna a `principal.process.command_line`.
`src`	`principal.ip`	El valor de `src` del registro sin procesar se asigna a `principal.ip`.
`src.ip`	`src.ip`	El analizador establece el campo `src.ip` según el campo `source_ip`.
`src.file.full_path`	`src.file.full_path`	El analizador establece el campo `src.file.full_path` según el campo `old_path`.
`status`	`security_result.action_details`	El valor de `status` del registro sin procesar se asigna a `security_result.action_details`. Según este valor, se establece el campo `security_result.action` (p.ej., "portscan_blocked" y "uc_site_blocked" se asignan a "BLOCK"). El campo `security_result.description` también se propaga con "status: " seguido del valor de `status`.
`suid`	`principal.user.userid`	El valor de `suid` del registro sin procesar se asigna a `principal.user.userid`.
`suser`	`principal.user.user_display_name`	El valor de `suser` del registro sin procesar se asigna a `principal.user.user_display_name`.
`target.file.full_path`	`target.file.full_path`	El analizador establece el campo `target.file.full_path` en función de los campos `path` o `new_path`.
`target.hostname`	`target.hostname`	El analizador establece el campo `target.hostname` según el campo `hostname`.
`target.ip`	`target.ip`	El analizador establece el campo `target.ip` en función de los campos `ip_dest` o `destination_ip`.
`target.platform`	`target.platform`	El analizador establece el campo `target.platform` según el campo `principal.platform`.
`target.platform_version`	`target.platform_version`	El analizador establece el campo `target.platform_version` según el campo `principal.platform_version`.
`target.port`	`target.port`	El analizador establece el campo `target.port` en función de los campos `port_dest` o `destination_port`.
`target.process.command_line`	`target.process.command_line`	El analizador establece el campo `target.process.command_line` según los campos `command_line`, `process_command_line` o `cmd_line`.
`target.process.file.full_path`	`target.process.file.full_path`	El analizador establece el campo `target.process.file.full_path` según el campo `process_path`.
`target.process.pid`	`target.process.pid`	El analizador establece el campo `target.process.pid` según el campo `pid`.
`target.registry.registry_key`	`target.registry.registry_key`	El analizador establece el campo `target.registry.registry_key` según el campo `key_path`.
`target.registry.registry_value_data`	`target.registry.registry_value_data`	El analizador establece el campo `target.registry.registry_value_data` según el campo `data`.
`target.registry.registry_value_name`	`target.registry.registry_value_name`	El analizador establece el campo `target.registry.registry_value_name` según el campo `value`.
`target.resource.id`	`target.resource.id`	El analizador establece el campo `target.resource.id` en función de los campos `hwid` o `BitdefenderGZHwId`.
`target.url`	`target.url`	El analizador establece el campo `target.url` según el campo `request`.
`target.user.company_name`	`target.user.company_name`	El analizador establece el campo `target.user.company_name` según el campo `companyId`.
`target.user.user_display_name`	`target.user.user_display_name`	El analizador establece el campo `target.user.user_display_name` en función de los campos `user.name` o `user.userName`.
`target.user.userid`	`target.user.userid`	El analizador establece el campo `target.user.userid` en función de los campos `user_name`, `user`, `user.id` o `extra_info.user`.
`target_pid`	`target.process.pid`	El valor de `target_pid` del registro sin procesar se asigna a `target.process.pid`.
`timestamp`	`metadata.event_timestamp`	El valor de `timestamp` del registro sin procesar se analiza y se asigna a `metadata.event_timestamp`.
`uc_type`	`network.application_protocol`	El valor de `uc_type` del registro sin procesar se convierte a mayúsculas y se asigna a `network.application_protocol`. Si `target_user_userid` no está vacío, `metadata.event_type` se establece en "USER_UNCATEGORIZED". De lo contrario, se establece como "STATUS_UPDATE".
`url`	`principal.url`	El valor de `url` del registro sin procesar se asigna a `principal.url` si no está vacío o es "0.0.0.0".
`user`	`target.user.userid`	El valor de `user` del registro sin procesar se asigna a `target.user.userid`.
`user.id`	`target.user.userid`	El valor de `user.id` del registro sin procesar se asigna a `target.user.userid`.
`user.name`	`target.user.user_display_name`	El valor de `user.name` del registro sin procesar se asigna a `target.user.user_display_name`.
`user.userName`	`target.user.user_display_name`	El valor de `user.userName` del registro sin procesar se asigna a `target.user.user_display_name`.
`user.userSid`	`principal.user.windows_sid`	El valor de `user.userSid` del registro sin procesar se asigna a `principal.user.windows_sid`.
`user_name`	`target.user.userid`	El valor de `user_name` del registro sin procesar se asigna a `target.user.userid`.
`value`	`target.registry.registry_value_data` o `target.registry.registry_value_name`	El valor de `value` del registro sin procesar se asigna a `target.registry.registry_value_data` si `event_name` es "reg_delete_value". De lo contrario, se asigna a `target.registry.registry_value_name`.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.