Esta página foi traduzida pela API Cloud Translation.

Recolha registos do Bitdefender

Compatível com:

Google secops SIEM

Este analisador extrai registos do Bitdefender no formato CEF ou CSV, normaliza os campos para o UDM e realiza ações específicas com base nos campos event_name e module. Processa vários tipos de eventos, como operações de ficheiros, ligações de rede, criação de processos e modificações de registos, mapeando informações relevantes para os campos da UDM adequados e enriquecendo os dados com contexto adicional dos registos não processados.

Antes de começar

Certifique-se de que tem uma instância do Google Security Operations.
Certifique-se de que tem um anfitrião Windows 2016 ou posterior, ou Linux com systemd.
Se estiver a executar o serviço através de um proxy, certifique-se de que as portas da firewall estão abertas.
Certifique-se de que tem acesso privilegiado ao Bitdefender.

Obtenha o ficheiro de autenticação de carregamento do Google SecOps

Inicie sessão na consola Google SecOps.
Aceda a Definições do SIEM > Agentes de recolha.
Transfira o ficheiro de autenticação de carregamento.

Obtenha o ID de cliente do Google SecOps

Inicie sessão na consola Google SecOps.
Aceda a Definições do SIEM > Perfil.
Copie e guarde o ID do cliente da secção Detalhes da organização.

Instale o agente do Bindplane

Para a instalação do Windows, execute o seguinte script:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Para a instalação do Linux, execute o seguinte script:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Pode encontrar opções de instalação adicionais neste guia de instalação.

Configure o agente Bindplane para carregar o Syslog e enviá-lo para o Google SecOps

Aceda à máquina onde o Bindplane está instalado.

Edite o ficheiro config.yaml da seguinte forma:

receivers:
    tcplog:
        # Replace the below port <54525> and IP <0.0.0.0> with your specific values
        listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: bitdefender
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

Reinicie o agente do Bindplane para aplicar as alterações:
```
sudo systemctl restart bindplane
```

Configure o streaming de Syslog no Bitdefender GravityZone

Inicie sessão no GravityZone Control Center.
Aceda a Configuração > Integrações > Syslog.
Clique em Adicionar servidor Syslog.
Indique os detalhes necessários:
- Nome: indique um nome exclusivo para o servidor syslog (por exemplo, CentralSyslog).
- Endereço IP/nome de anfitrião: introduza o endereço IP ou o nome de anfitrião do servidor Bindplane.
- Protocolo: selecione o protocolo a usar: TCP / UDP.
- Porta: especifique o número da porta do servidor Bindplane.
- Selecione os tipos de registos para transmitir (por exemplo, Eventos antimalware, Eventos de defesa contra ataques de rede (NAD), Eventos de controlo da Web, Eventos de firewall ou Alterações de políticas).
- Opcional: configure filtros para incluir ou excluir tipos de eventos específicos.
Clique em Guardar.

Tabela de mapeamento da UDM

Campo de registo	Mapeamento de UDM	Lógica
`BitdefenderGZAttackEntry`	`security_result.detection_fields.value`	O valor de `BitdefenderGZAttackEntry` do registo não processado é atribuído como um valor a um objeto `security_result.detection_fields` em que a chave é "attack_entry".
`BitdefenderGZAttackTypes`	`security_result.category_details`	O valor de `BitdefenderGZAttackTypes` do registo não processado é atribuído a `security_result.category_details`. Em seguida, o valor é dividido em strings individuais e cada string é adicionada como um valor à matriz `security_result.category_details`.
`BitdefenderGZAttCkId`	`security_result.detection_fields.value`	O valor de `BitdefenderGZAttCkId` do registo não processado é atribuído como um valor a um objeto `security_result.detection_fields` em que a chave é "BitdefenderGZAttCkId".
`BitdefenderGZCompanyId`	`target.user.company_name`	O valor de `BitdefenderGZCompanyId` do registo não processado é atribuído a `target.user.company_name`.
`BitdefenderGZComputerFQDN`	`principal.asset.network_domain`	O valor de `BitdefenderGZComputerFQDN` do registo não processado é atribuído a `principal.asset.network_domain`.
`BitdefenderGZDetectionName`	`security_result.threat_name`	O valor de `BitdefenderGZDetectionName` do registo não processado é atribuído a `security_result.threat_name`.
`BitdefenderGZEndpointId`	`security_result.detection_fields.value`	O valor de `BitdefenderGZEndpointId` do registo não processado é atribuído como um valor a um objeto `security_result.detection_fields` em que a chave é "BitdefenderGZEndpointId".
`BitdefenderGZIncidentId`	`metadata.product_log_id`	O valor de `BitdefenderGZIncidentId` do registo não processado é atribuído a `metadata.product_log_id`.
`BitdefenderGZMainAction`	`security_result.action_details`	O valor de `BitdefenderGZMainAction` do registo não processado é atribuído a `security_result.action_details`. Com base neste valor, o campo `security_result.action` é definido (por exemplo, "blocked" é mapeado para "BLOCK"). O campo `security_result.description` também é preenchido com "main_action: " seguido do valor de `BitdefenderGZMainAction`.
`BitdefenderGZMalwareHash`	`principal.process.file.sha256`	O valor de `BitdefenderGZMalwareHash` do registo não processado é atribuído a `principal.process.file.sha256`.
`BitdefenderGZMalwareName`	`security_result.threat_name`	O valor de `BitdefenderGZMalwareName` do registo não processado é atribuído a `security_result.threat_name`.
`BitdefenderGZMalwareType`	`security_result.detection_fields.value`	O valor de `BitdefenderGZMalwareType` do registo não processado é atribuído como um valor a um objeto `security_result.detection_fields` em que a chave é "malware_type".
`BitdefenderGZModule`	`metadata.product_event_type`	O valor de `BitdefenderGZModule` do registo não processado é atribuído a `metadata.product_event_type`.
`BitdefenderGZSeverityScore`	`security_result.severity_details`	O valor de `BitdefenderGZSeverityScore` do registo não processado é atribuído a `security_result.severity_details`.
`BitdefenderGZHwId`	`target.resource.id`	O valor de `BitdefenderGZHwId` do registo não processado é atribuído a `target.resource.id`.
`act`	`security_result.action_details`	O valor de `act` do registo não processado é atribuído a `security_result.action_details`.
`actionTaken`	`security_result.action_details`	O valor de `actionTaken` do registo não processado é atribuído a `security_result.action_details`. Com base neste valor, o campo `security_result.action` é definido (por exemplo, "block" é mapeado para "BLOCK"). O campo `security_result.description` também é preenchido com "actionTaken: " seguido do valor de `actionTaken`.
`additional.fields`	`additional.fields`	A lógica do analisador cria um par de chave/valor para "product_installed" e adiciona-o ao objeto `additional.fields`.
`categories`	`principal.asset.category`	O valor de `categories` do registo não processado é atribuído a `principal.asset.category`.
`cmd_line`	`target.process.command_line`	O valor de `cmd_line` do registo não processado é atribuído a `target.process.command_line`.
`companyId`	`target.user.company_name`	O valor de `companyId` do registo não processado é atribuído a `target.user.company_name`.
`computer_fqdn`	`principal.asset.network_domain`	O valor de `computer_fqdn` do registo não processado é atribuído a `principal.asset.network_domain`.
`computer_id`	`principal.asset.asset_id`	O valor de `computer_id` do registo não processado é atribuído a `principal.asset.asset_id` após a adição de "ComputerId:" no início.
`computer_ip`	`principal.asset.ip`	O valor de `computer_ip` do registo não processado é analisado, dividido por vírgulas e cada endereço IP resultante é adicionado à matriz `principal.asset.ip`.
`computer_name`	`principal.resource.attribute.labels.value`	O valor de `computer_name` do registo não processado é atribuído como um valor a um objeto `principal.resource.attribute.labels` em que a chave é "computer_name". Também é adicionado como um valor a um objeto `security_result.detection_fields` em que a chave é "computer_name".
`column1`	`metadata.product_log_id`	O valor de `column1` do registo não processado é atribuído a `metadata.product_log_id`.
`column3`	`observer.ip`	O valor de `column3` do registo não processado é atribuído a `observer.ip`.
`command_line`	`target.process.command_line`	O valor de `command_line` do registo não processado é atribuído a `target.process.command_line`.
`data`	`target.registry.registry_value_data`	O valor de `data` do registo não processado é atribuído a `target.registry.registry_value_data`.
`detection_attackTechnique`	`security_result.detection_fields.value`	O valor de `detection_attackTechnique` do registo não processado é atribuído como um valor a um objeto `security_result.detection_fields` em que a chave é "detection attackTechnique".
`detection_name`	`security_result.threat_name`	O valor de `detection_name` do registo não processado é atribuído a `security_result.threat_name`.
`destination_ip`	`target.ip`	O valor de `destination_ip` do registo não processado é atribuído a `target.ip`.
`destination_port`	`target.port`	O valor de `destination_port` do registo não processado é atribuído a `target.port`.
`direction`	`network.direction`	O valor de `direction` do registo não processado é convertido em maiúsculas e atribuído a `network.direction`.
`dvc`	`principal.ip`	O valor de `dvc` do registo não processado é analisado, dividido por vírgulas e cada endereço IP resultante é adicionado à matriz `principal.ip`.
`dvchost`	`about.hostname`	O valor de `dvchost` do registo não processado é atribuído a `about.hostname`.
`event_description`	`metadata.description`	O valor de `event_description` do registo não processado é atribuído a `metadata.description`.
`event_name`	`metadata.product_event_type`	O valor de `event_name` do registo não processado é atribuído a `metadata.product_event_type`. Se o valor for "Antiphishing", `security_result.category` é definido como "PHISHING". Se o valor for "AntiMalware", `security_result.category` é definido como "SOFTWARE_MALICIOUS". O campo `metadata.event_type` é derivado de `event_name` através de uma série de declarações condicionais no analisador.
`ev`	`metadata.product_event_type`	O valor de `ev` do registo não processado é atribuído a `metadata.product_event_type`.
`extra_info.command_line`	`target.process.command_line`	O valor de `extra_info.command_line` do registo não processado é atribuído a `target.process.command_line`.
`extra_info.parent_pid`	`principal.process.pid`	O valor de `extra_info.parent_pid` do registo não processado é atribuído a `principal.process.pid`.
`extra_info.parent_process_cmdline`	`principal.process.command_line`	O valor de `extra_info.parent_process_cmdline` do registo não processado é atribuído a `principal.process.command_line`.
`extra_info.parent_process_path`	`principal.process.file.full_path`	O valor de `extra_info.parent_process_path` do registo não processado é atribuído a `principal.process.file.full_path`.
`extra_info.pid`	`target.process.pid`	O valor de `extra_info.pid` do registo não processado é atribuído a `target.process.pid`.
`extra_info.process_path`	`target.process.file.full_path`	O valor de `extra_info.process_path` do registo não processado é atribuído a `target.process.file.full_path`.
`extra_info.user`	`target.user.userid`	O valor de `extra_info.user` do registo não processado é atribuído a `target.user.userid`.
`filePath`	`principal.process.file.full_path`	O valor de `filePath` do registo não processado é atribuído a `principal.process.file.full_path`.
`file_path`	`principal.process.file.full_path`	O valor de `file_path` do registo não processado é atribuído a `principal.process.file.full_path`.
`final_status`	`security_result.action_details`	O valor de `final_status` do registo não processado é atribuído a `security_result.action_details`. Com base neste valor, o campo `security_result.action` é definido (por exemplo, "deleted" é mapeado para "BLOCK" e "ignored" para "ALLOW"). O campo `security_result.description` também é preenchido com "final_status: " seguido do valor de `final_status`. Se o valor for "deleted" ou "blocked", `metadata.event_type` é definido como "SCAN_NETWORK".
`hash`	`principal.process.file.sha256`	O valor de `hash` do registo não processado é atribuído a `principal.process.file.sha256`.
`host`	`principal.hostname`	O valor de `host` do registo não processado é atribuído a `principal.hostname`.
`hostname`	`principal.hostname`	O valor de `hostname` do registo não processado é atribuído a `principal.hostname` se `event_name` não for "log_on" nem "log_out". Caso contrário, é atribuído a `target.hostname`.
`host_name`	`principal.hostname`	O valor de `host_name` do registo não processado é atribuído a `principal.hostname`.
`hwid`	`principal.resource.id`	O valor de `hwid` do registo não processado é atribuído a `principal.resource.id` se não estiver vazio. Se estiver vazio e o evento não for "log_on" nem "log_out", o valor de `source_hwid` é atribuído a `principal.resource.id`. Se o evento for "log_on" ou "log_out", é atribuído a `target.resource.id`.
`incident_id`	`metadata.product_log_id`	O valor de `incident_id` do registo não processado é atribuído a `metadata.product_log_id`.
`ip_dest`	`target.ip`	O valor de `ip_dest` do registo não processado é atribuído a `target.ip`.
`ip_source`	`principal.ip`	O valor de `ip_source` do registo não processado é atribuído a `principal.ip`.
`key_path`	`target.registry.registry_key`	O valor de `key_path` do registo não processado é atribuído a `target.registry.registry_key`.
`local_port`	`principal.port`	O valor de `local_port` do registo não processado é convertido num número inteiro e atribuído a `principal.port`.
`logon_type`	`extensions.auth.mechanism`	O valor de `logon_type` do registo não processado é usado para determinar o valor de `extensions.auth.mechanism`. Os diferentes valores numéricos de `logon_type` são mapeados com diferentes mecanismos de autenticação (por exemplo, 2 é mapeado para "LOCAL" e 3 para "NETWORK"). Se não for encontrado nenhum `logon_type` correspondente, o mecanismo é definido como "MECHANISM_UNSPECIFIED".
`lurker_id`	`intermediary.resource.id`	O valor de `lurker_id` do registo não processado é atribuído a `intermediary.resource.id`.
`main_action`	`security_result.action_details`	O valor de `main_action` do registo não processado é atribuído a `security_result.action_details`. Com base neste valor, o campo `security_result.action` é definido (por exemplo, "blocked" é mapeado para "BLOCK" e "no action" para "ALLOW"). O campo `security_result.description` também é preenchido com "main_action: " seguido do valor de `main_action`.
`malware_name`	`security_result.threat_name`	O valor de `malware_name` do registo não processado é atribuído a `security_result.threat_name`.
`malware_type`	`security_result.detection_fields.value`	O valor de `malware_type` do registo não processado é atribuído como um valor a um objeto `security_result.detection_fields` em que a chave é "malware_type".
`metadata.description`	`metadata.description`	O analisador define o campo `metadata.description` com base no campo `event_name`.
`metadata.event_type`	`metadata.event_type`	O analisador define o campo `metadata.event_type` com base no campo `event_name`.
`metadata.product_event_type`	`metadata.product_event_type`	O analisador define o campo `metadata.product_event_type` com base nos campos `event_name` ou `module`.
`metadata.product_log_id`	`metadata.product_log_id`	O analisador define o campo `metadata.product_log_id` com base nos campos `msg_id` ou `incident_id`.
`metadata.product_name`	`metadata.product_name`	O analisador define o `metadata.product_name` como "BitDefender EDR".
`metadata.product_version`	`metadata.product_version`	O analisador muda o nome do campo `product_version` para `metadata.product_version`.
`metadata.vendor_name`	`metadata.vendor_name`	O analisador define o `metadata.vendor_name` como "BitDefender".
`module`	`metadata.product_event_type`	O valor de `module` do registo não processado é atribuído a `metadata.product_event_type`. Se o valor for "new-incident" e `target_process_file_full_path` não estiver vazio, `metadata.event_type` é definido como "PROCESS_UNCATEGORIZED". Se o valor for "task-status", `metadata.event_type` é definido como "STATUS_UPDATE". Se o valor for "network-monitor" ou "fw", `metadata.event_type` é definido como "SCAN_NETWORK".
`msg_id`	`metadata.product_log_id`	O valor de `msg_id` do registo não processado é atribuído a `metadata.product_log_id`.
`network.application_protocol`	`network.application_protocol`	O valor de `uc_type` do registo não processado é convertido em maiúsculas e atribuído a `network.application_protocol`.
`network.direction`	`network.direction`	O analisador define o campo `network.direction` com base no campo `direction`.
`network.ip_protocol`	`network.ip_protocol`	Se `protocol_id` for "6", o analisador define `network.ip_protocol` como "TCP".
`new_path`	`target.file.full_path`	O valor de `new_path` do registo não processado é atribuído a `target.file.full_path`.
`old_path`	`src.file.full_path`	O valor de `old_path` do registo não processado é atribuído a `src.file.full_path`.
`origin_ip`	`intermediary.ip`	O valor de `origin_ip` do registo não processado é atribuído a `intermediary.ip`.
`os`	`principal.platform_version`	O valor de `os` do registo não processado é atribuído a `principal.platform_version`. O campo `principal.platform` é derivado de `os` (por exemplo, "Win" é mapeado para "WINDOWS"). Se o evento for "log_on" ou "log_out", os campos `principal.platform` e `principal.platform_version` são renomeados para `target.platform` e `target.platform_version`, respetivamente.
`os_type`	`principal.platform`	O valor de `os_type` do registo não processado é usado para determinar o valor de `principal.platform` (por exemplo, "Win" é mapeado para "WINDOWS").
`parent_pid`	`principal.process.pid`	O valor de `parent_pid` do registo não processado é atribuído a `principal.process.pid`.
`parent_process_path`	`principal.process.file.full_path`	O valor de `parent_process_path` do registo não processado é atribuído a `principal.process.file.full_path`.
`parent_process_pid`	`principal.process.pid`	O valor de `parent_process_pid` do registo não processado é atribuído a `principal.process.pid`.
`path`	`target.file.full_path`	O valor de `path` do registo não processado é atribuído a `target.file.full_path`.
`pid`	`principal.process.pid` ou `target.process.pid`	O valor de `pid` do registo não processado é atribuído a `principal.process.pid` se `event_name` começar por "file" ou "reg" ou se for um de "process_signal", "network_connection" ou "connection_connect". Caso contrário, é atribuído a `target.process.pid`.
`pid_path`	`principal.process.file.full_path`	O valor de `pid_path` do registo não processado é atribuído a `principal.process.file.full_path`.
`port_dest`	`target.port`	O valor de `port_dest` do registo não processado é convertido num número inteiro e atribuído a `target.port`.
`port_source`	`principal.port`	O valor de `port_source` do registo não processado é convertido num número inteiro e atribuído a `principal.port`.
`ppid`	`principal.process.pid`	O valor de `ppid` do registo não processado é atribuído a `principal.process.pid`.
`principal.ip`	`principal.ip`	O analisador define o campo `principal.ip` com base nos campos `ip_source` ou `dvc`.
`principal.platform`	`principal.platform`	O analisador define o campo `principal.platform` com base nos campos `os` ou `os_type`.
`principal.platform_version`	`principal.platform_version`	O analisador define o campo `principal.platform_version` com base nos campos `os` ou `osi_version`.
`principal.process.command_line`	`principal.process.command_line`	O analisador define o campo `principal.process.command_line` com base no campo `parent_process_cmdline`.
`principal.process.file.full_path`	`principal.process.file.full_path`	O analisador define o campo `principal.process.file.full_path` com base nos campos `pid_path`, `file_path`, `parent_process_path` ou `process_path`.
`principal.process.file.md5`	`principal.process.file.md5`	O analisador muda o nome do campo `file_hash_md5` para `principal.process.file.md5`.
`principal.process.file.sha256`	`principal.process.file.sha256`	O analisador define o campo `principal.process.file.sha256` com base nos campos `hash`, `BitdefenderGZMalwareHash` ou `file_hash_sha256`.
`principal.process.parent_process.pid`	`principal.process.parent_process.pid`	O analisador muda o nome do campo `ppid` para `principal.process.parent_process.pid`.
`principal.process.pid`	`principal.process.pid`	O analisador define o campo `principal.process.pid` com base nos campos `pid`, `parent_pid`, `ppid` ou `parent_process_pid`.
`principal.resource.id`	`principal.resource.id`	O analisador define o campo `principal.resource.id` com base nos campos `hwid` ou `source_hwid`.
`principal.url`	`principal.url`	O analisador define o campo `principal.url` com base no campo `url`.
`process_command_line`	`target.process.command_line`	O valor de `process_command_line` do registo não processado é atribuído a `target.process.command_line`.
`process_path`	`principal.process.file.full_path` ou `target.process.file.full_path`	O valor de `process_path` do registo não processado é atribuído a `principal.process.file.full_path` se `event_name` for "network_connection" ou "connection_connect". Caso contrário, é atribuído a `target.process.file.full_path`.
`product_installed`	`additional.fields.value.string_value`	O valor de `product_installed` do registo não processado é atribuído como um valor a um objeto `additional.fields` em que a chave é "product_installed".
`product_version`	`metadata.product_version`	O valor de `product_version` do registo não processado é atribuído a `metadata.product_version`.
`protocol_id`	`network.ip_protocol`	Se `protocol_id` for "6", o analisador define `network.ip_protocol` como "TCP".
`request`	`target.url`	O valor de `request` do registo não processado é atribuído a `target.url`.
`security_result.action`	`security_result.action`	O analisador define o campo `security_result.action` com base nos campos `main_action`, `actionTaken`, `status` ou `final_status`. Se nenhum destes campos fornecer uma ação válida, o valor predefinido é "UNKNOWN_ACTION".
`security_result.action_details`	`security_result.action_details`	O analisador define o campo `security_result.action_details` com base nos campos `main_action`, `actionTaken`, `status` ou `final_status`.
`security_result.category`	`security_result.category`	O analisador define o campo `security_result.category` como "PHISHING" se `event_name` for "Antiphishing", como "SOFTWARE_MALICIOUS" se `event_name` for "AntiMalware" ou une o valor do campo `sec_category`.
`security_result.category_details`	`security_result.category_details`	O analisador define o campo `security_result.category_details` com base nos campos `block_type` ou `attack_types`.
`security_result.detection_fields`	`security_result.detection_fields`	O analisador cria objetos `security_result.detection_fields` para vários campos, incluindo "malware_type", "attack_entry", "BitdefenderGZAttCkId", "BitdefenderGZEndpointId", "final_status", "detection attackTechnique" e "computer_name".
`security_result.description`	`security_result.description`	O analisador define o campo `security_result.description` com base nos campos `main_action`, `actionTaken` ou `final_status`.
`security_result.severity`	`security_result.severity`	O analisador define o campo `security_result.severity` com base no valor em maiúsculas do campo `severity` se não estiver vazio e o campo `module` for "new-incident".
`security_result.severity_details`	`security_result.severity_details`	O analisador define o campo `security_result.severity_details` com base no campo `severity_score`.
`security_result.threat_name`	`security_result.threat_name`	O analisador define o campo `security_result.threat_name` com base nos campos `malware_name` ou `detection_name`.
`severity`	`security_result.severity`	O valor de `severity` do registo não processado é convertido em maiúsculas e atribuído a `security_result.severity` se não estiver vazio e o `module` for "new-incident".
`severity_score`	`security_result.severity_details`	O valor de `severity_score` do registo não processado é convertido numa string e atribuído a `security_result.severity_details`.
`source_host`	`observer.ip`	O valor de `source_host` do registo não processado é atribuído a `observer.ip`.
`source_hwid`	`principal.resource.id`	O valor de `source_hwid` do registo não processado é atribuído a `principal.resource.id`.
`source_ip`	`src.ip`	O valor de `source_ip` do registo não processado é atribuído a `src.ip`.
`source_port`	`principal.port`	O valor de `source_port` do registo não processado é convertido num número inteiro e atribuído a `principal.port`.
`spt`	`principal.port`	O valor de `spt` do registo não processado é atribuído a `principal.port`.
`sproc`	`principal.process.command_line`	O valor de `sproc` do registo não processado é atribuído a `principal.process.command_line`.
`src`	`principal.ip`	O valor de `src` do registo não processado é atribuído a `principal.ip`.
`src.ip`	`src.ip`	O analisador define o campo `src.ip` com base no campo `source_ip`.
`src.file.full_path`	`src.file.full_path`	O analisador define o campo `src.file.full_path` com base no campo `old_path`.
`status`	`security_result.action_details`	O valor de `status` do registo não processado é atribuído a `security_result.action_details`. Com base neste valor, o campo `security_result.action` é definido (por exemplo, "portscan_blocked" e "uc_site_blocked" são mapeados para "BLOCK"). O campo `security_result.description` também é preenchido com "status: " seguido do valor de `status`.
`suid`	`principal.user.userid`	O valor de `suid` do registo não processado é atribuído a `principal.user.userid`.
`suser`	`principal.user.user_display_name`	O valor de `suser` do registo não processado é atribuído a `principal.user.user_display_name`.
`target.file.full_path`	`target.file.full_path`	O analisador define o campo `target.file.full_path` com base nos campos `path` ou `new_path`.
`target.hostname`	`target.hostname`	O analisador define o campo `target.hostname` com base no campo `hostname`.
`target.ip`	`target.ip`	O analisador define o campo `target.ip` com base nos campos `ip_dest` ou `destination_ip`.
`target.platform`	`target.platform`	O analisador define o campo `target.platform` com base no campo `principal.platform`.
`target.platform_version`	`target.platform_version`	O analisador define o campo `target.platform_version` com base no campo `principal.platform_version`.
`target.port`	`target.port`	O analisador define o campo `target.port` com base nos campos `port_dest` ou `destination_port`.
`target.process.command_line`	`target.process.command_line`	O analisador define o campo `target.process.command_line` com base nos campos `command_line`, `process_command_line` ou `cmd_line`.
`target.process.file.full_path`	`target.process.file.full_path`	O analisador define o campo `target.process.file.full_path` com base no campo `process_path`.
`target.process.pid`	`target.process.pid`	O analisador define o campo `target.process.pid` com base no campo `pid`.
`target.registry.registry_key`	`target.registry.registry_key`	O analisador define o campo `target.registry.registry_key` com base no campo `key_path`.
`target.registry.registry_value_data`	`target.registry.registry_value_data`	O analisador define o campo `target.registry.registry_value_data` com base no campo `data`.
`target.registry.registry_value_name`	`target.registry.registry_value_name`	O analisador define o campo `target.registry.registry_value_name` com base no campo `value`.
`target.resource.id`	`target.resource.id`	O analisador define o campo `target.resource.id` com base nos campos `hwid` ou `BitdefenderGZHwId`.
`target.url`	`target.url`	O analisador define o campo `target.url` com base no campo `request`.
`target.user.company_name`	`target.user.company_name`	O analisador define o campo `target.user.company_name` com base no campo `companyId`.
`target.user.user_display_name`	`target.user.user_display_name`	O analisador define o campo `target.user.user_display_name` com base nos campos `user.name` ou `user.userName`.
`target.user.userid`	`target.user.userid`	O analisador define o campo `target.user.userid` com base nos campos `user_name`, `user`, `user.id` ou `extra_info.user`.
`target_pid`	`target.process.pid`	O valor de `target_pid` do registo não processado é atribuído a `target.process.pid`.
`timestamp`	`metadata.event_timestamp`	O valor de `timestamp` do registo não processado é analisado e atribuído a `metadata.event_timestamp`.
`uc_type`	`network.application_protocol`	O valor de `uc_type` do registo não processado é convertido em maiúsculas e atribuído a `network.application_protocol`. Se `target_user_userid` não estiver vazio, `metadata.event_type` é definido como "USER_UNCATEGORIZED". Caso contrário, é definido como "STATUS_UPDATE".
`url`	`principal.url`	O valor de `url` do registo não processado é atribuído a `principal.url` se não estiver vazio ou for "0.0.0.0".
`user`	`target.user.userid`	O valor de `user` do registo não processado é atribuído a `target.user.userid`.
`user.id`	`target.user.userid`	O valor de `user.id` do registo não processado é atribuído a `target.user.userid`.
`user.name`	`target.user.user_display_name`	O valor de `user.name` do registo não processado é atribuído a `target.user.user_display_name`.
`user.userName`	`target.user.user_display_name`	O valor de `user.userName` do registo não processado é atribuído a `target.user.user_display_name`.
`user.userSid`	`principal.user.windows_sid`	O valor de `user.userSid` do registo não processado é atribuído a `principal.user.windows_sid`.
`user_name`	`target.user.userid`	O valor de `user_name` do registo não processado é atribuído a `target.user.userid`.
`value`	`target.registry.registry_value_data` ou `target.registry.registry_value_name`	O valor de `value` do registo não processado é atribuído a `target.registry.registry_value_data` se `event_name` for "reg_delete_value". Caso contrário, é atribuído a `target.registry.registry_value_name`.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.