本頁面由 Cloud Translation API 翻譯而成。

收集 Bitdefender 記錄

支援的國家/地區：

Google SecOps SIEM

這個剖析器會以 CEF 或 CSV 格式擷取 Bitdefender 記錄，將欄位正規化為 UDM，並根據 event_name 和 module 欄位執行特定動作。可處理各種事件類型，例如檔案作業、網路連線、程序建立和登錄修改，將相關資訊對應至適當的 UDM 欄位，並從原始記錄中擷取額外情境資訊，進一步豐富資料。

事前準備

確認您有 Google Security Operations 執行個體。
確認您有 Windows 2016 以上版本或 Linux 主機 (含 systemd)。
如果透過 Proxy 執行，請確認防火牆通訊埠已開啟。
確認您具備 Bitdefender 的特殊權限。

取得 Google SecOps 擷取驗證檔案

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「收集代理程式」。
下載擷取驗證檔案。

取得 Google SecOps 客戶 ID

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「設定檔」。
複製並儲存「機構詳細資料」專區中的客戶 ID。

安裝 Bindplane 代理程式

如要在 Windows 上安裝，請執行下列指令碼：
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
如要在 Linux 上安裝，請執行下列指令碼：
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
如需其他安裝選項，請參閱這份安裝指南。

設定 Bindplane 代理程式，擷取系統記錄檔並傳送至 Google SecOps

存取安裝 Bindplane 的電腦。

按照下列方式編輯 config.yaml 檔案：

receivers:
    tcplog:
        # Replace the below port <54525> and IP <0.0.0.0> with your specific values
        listen_address: "0.0.0.0:54525" 

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the creds location below according the placement of the credentials file you downloaded
        creds: '{ json file for creds }'
        # Replace <customer_id> below with your actual ID that you copied
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # You can apply ingestion labels below as preferred
        ingestion_labels:
        log_type: SYSLOG
        namespace: bitdefender
        raw_log_field: body
service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

重新啟動 Bindplane 代理程式，以套用變更：
```
sudo systemctl restart bindplane
```

在 Bitdefender GravityZone 中設定系統記錄檔串流

登入 GravityZone 控制中心。
依序前往「設定」>「整合」>「系統記錄」。
按一下「新增 Syslog 伺服器」。
提供必要詳細資料：
- 名稱：為系統記錄伺服器提供專屬名稱 (例如 CentralSyslog)。
- IP 位址/主機名稱：輸入 Bindplane 伺服器的 IP 位址或主機名稱。
- 通訊協定：選取要使用的通訊協定：TCP / UDP。
- 「Port」(通訊埠)：指定 Bindplane 伺服器的通訊埠編號。
- 選取要串流的記錄類型 (例如「防惡意軟體事件」、「網路攻擊防禦 (NAD) 事件」、「網頁控管事件」、「防火牆事件」或「政策變更」)。
- 選用步驟：設定篩選器，納入或排除特定事件類型。
按一下 [儲存]。

UDM 對應表

記錄欄位	UDM 對應	邏輯
`BitdefenderGZAttackEntry`	`security_result.detection_fields.value`	原始記錄中的 `BitdefenderGZAttackEntry` 值會指派為 `security_result.detection_fields` 物件的值，而鍵為「attack_entry」。
`BitdefenderGZAttackTypes`	`security_result.category_details`	原始記錄中的 `BitdefenderGZAttackTypes` 值會指派給 `security_result.category_details`。接著，系統會將該值分割成個別字串，並將每個字串做為值新增至 `security_result.category_details` 陣列。
`BitdefenderGZAttCkId`	`security_result.detection_fields.value`	原始記錄中的 `BitdefenderGZAttCkId` 值會指派為 `security_result.detection_fields` 物件的值，而鍵為「BitdefenderGZAttCkId」。
`BitdefenderGZCompanyId`	`target.user.company_name`	原始記錄中的 `BitdefenderGZCompanyId` 值會指派給 `target.user.company_name`。
`BitdefenderGZComputerFQDN`	`principal.asset.network_domain`	原始記錄中的 `BitdefenderGZComputerFQDN` 值會指派給 `principal.asset.network_domain`。
`BitdefenderGZDetectionName`	`security_result.threat_name`	原始記錄中的 `BitdefenderGZDetectionName` 值會指派給 `security_result.threat_name`。
`BitdefenderGZEndpointId`	`security_result.detection_fields.value`	原始記錄中的 `BitdefenderGZEndpointId` 值會指派為 `security_result.detection_fields` 物件的值，而鍵為「BitdefenderGZEndpointId」。
`BitdefenderGZIncidentId`	`metadata.product_log_id`	原始記錄中的 `BitdefenderGZIncidentId` 值會指派給 `metadata.product_log_id`。
`BitdefenderGZMainAction`	`security_result.action_details`	原始記錄中的 `BitdefenderGZMainAction` 值會指派給 `security_result.action_details`。系統會根據這個值設定 `security_result.action` 欄位 (例如「blocked」會對應至「BLOCK」。「`security_result.description`」欄位也會填入「main_action: 」，後面接著 `BitdefenderGZMainAction` 的值。
`BitdefenderGZMalwareHash`	`principal.process.file.sha256`	原始記錄中的 `BitdefenderGZMalwareHash` 值會指派給 `principal.process.file.sha256`。
`BitdefenderGZMalwareName`	`security_result.threat_name`	原始記錄中的 `BitdefenderGZMalwareName` 值會指派給 `security_result.threat_name`。
`BitdefenderGZMalwareType`	`security_result.detection_fields.value`	原始記錄中的 `BitdefenderGZMalwareType` 值會指派為 `security_result.detection_fields` 物件的值，而鍵為「malware_type」。
`BitdefenderGZModule`	`metadata.product_event_type`	原始記錄中的 `BitdefenderGZModule` 值會指派給 `metadata.product_event_type`。
`BitdefenderGZSeverityScore`	`security_result.severity_details`	原始記錄中的 `BitdefenderGZSeverityScore` 值會指派給 `security_result.severity_details`。
`BitdefenderGZHwId`	`target.resource.id`	原始記錄中的 `BitdefenderGZHwId` 值會指派給 `target.resource.id`。
`act`	`security_result.action_details`	原始記錄中的 `act` 值會指派給 `security_result.action_details`。
`actionTaken`	`security_result.action_details`	原始記錄中的 `actionTaken` 值會指派給 `security_result.action_details`。系統會根據這個值設定 `security_result.action` 欄位 (例如「block」會對應至「BLOCK」。「actionTaken: 」也會填入 `security_result.description` 欄位，後面接著 `actionTaken` 的值。
`additional.fields`	`additional.fields`	剖析器邏輯會為「product_installed」建立鍵/值組合，並將其新增至 `additional.fields` 物件。
`categories`	`principal.asset.category`	原始記錄中的 `categories` 值會指派給 `principal.asset.category`。
`cmd_line`	`target.process.command_line`	原始記錄中的 `cmd_line` 值會指派給 `target.process.command_line`。
`companyId`	`target.user.company_name`	原始記錄中的 `companyId` 值會指派給 `target.user.company_name`。
`computer_fqdn`	`principal.asset.network_domain`	原始記錄中的 `computer_fqdn` 值會指派給 `principal.asset.network_domain`。
`computer_id`	`principal.asset.asset_id`	在原始記錄中，`computer_id` 的值會先加上「ComputerId:」，然後指派給 `principal.asset.asset_id`。
`computer_ip`	`principal.asset.ip`	系統會剖析原始記錄中的 `computer_ip` 值，以半形逗號分隔，並將每個產生的 IP 位址新增至 `principal.asset.ip` 陣列。
`computer_name`	`principal.resource.attribute.labels.value`	原始記錄中的 `computer_name` 值會指派給 `principal.resource.attribute.labels` 物件，而該物件的鍵為「computer_name」。此外，系統也會將其新增為 `security_result.detection_fields` 物件的值，其中鍵為「computer_name」。
`column1`	`metadata.product_log_id`	原始記錄中的 `column1` 值會指派給 `metadata.product_log_id`。
`column3`	`observer.ip`	原始記錄中的 `column3` 值會指派給 `observer.ip`。
`command_line`	`target.process.command_line`	原始記錄中的 `command_line` 值會指派給 `target.process.command_line`。
`data`	`target.registry.registry_value_data`	原始記錄中的 `data` 值會指派給 `target.registry.registry_value_data`。
`detection_attackTechnique`	`security_result.detection_fields.value`	原始記錄中的 `detection_attackTechnique` 值會指派為 `security_result.detection_fields` 物件的值，而鍵則是「detection attackTechnique」。
`detection_name`	`security_result.threat_name`	原始記錄中的 `detection_name` 值會指派給 `security_result.threat_name`。
`destination_ip`	`target.ip`	原始記錄中的 `destination_ip` 值會指派給 `target.ip`。
`destination_port`	`target.port`	原始記錄中的 `destination_port` 值會指派給 `target.port`。
`direction`	`network.direction`	原始記錄中的 `direction` 值會轉換為大寫，並指派給 `network.direction`。
`dvc`	`principal.ip`	系統會剖析原始記錄中的 `dvc` 值，以半形逗號分隔，並將每個產生的 IP 位址新增至 `principal.ip` 陣列。
`dvchost`	`about.hostname`	原始記錄中的 `dvchost` 值會指派給 `about.hostname`。
`event_description`	`metadata.description`	原始記錄中的 `event_description` 值會指派給 `metadata.description`。
`event_name`	`metadata.product_event_type`	原始記錄中的 `event_name` 值會指派給 `metadata.product_event_type`。如果值為「Antiphishing」，`security_result.category` 會設為「PHISHING」。如果值為「AntiMalware」，`security_result.category` 會設為「SOFTWARE_MALICIOUS」。`metadata.event_type` 欄位是從 `event_name` 衍生而來，方法是在剖析器中使用一系列條件陳述式。
`ev`	`metadata.product_event_type`	原始記錄中的 `ev` 值會指派給 `metadata.product_event_type`。
`extra_info.command_line`	`target.process.command_line`	原始記錄中的 `extra_info.command_line` 值會指派給 `target.process.command_line`。
`extra_info.parent_pid`	`principal.process.pid`	原始記錄中的 `extra_info.parent_pid` 值會指派給 `principal.process.pid`。
`extra_info.parent_process_cmdline`	`principal.process.command_line`	原始記錄中的 `extra_info.parent_process_cmdline` 值會指派給 `principal.process.command_line`。
`extra_info.parent_process_path`	`principal.process.file.full_path`	原始記錄中的 `extra_info.parent_process_path` 值會指派給 `principal.process.file.full_path`。
`extra_info.pid`	`target.process.pid`	原始記錄中的 `extra_info.pid` 值會指派給 `target.process.pid`。
`extra_info.process_path`	`target.process.file.full_path`	原始記錄中的 `extra_info.process_path` 值會指派給 `target.process.file.full_path`。
`extra_info.user`	`target.user.userid`	原始記錄中的 `extra_info.user` 值會指派給 `target.user.userid`。
`filePath`	`principal.process.file.full_path`	原始記錄中的 `filePath` 值會指派給 `principal.process.file.full_path`。
`file_path`	`principal.process.file.full_path`	原始記錄中的 `file_path` 值會指派給 `principal.process.file.full_path`。
`final_status`	`security_result.action_details`	原始記錄中的 `final_status` 值會指派給 `security_result.action_details`。系統會根據這個值設定 `security_result.action` 欄位 (例如「deleted」對應至「BLOCK」，「ignored」則對應至「ALLOW」)。`security_result.description` 欄位也會填入「final_status:」，後面接著 `final_status` 的值。如果值為「deleted」或「blocked」，`metadata.event_type` 會設為「SCAN_NETWORK」。
`hash`	`principal.process.file.sha256`	原始記錄中的 `hash` 值會指派給 `principal.process.file.sha256`。
`host`	`principal.hostname`	原始記錄中的 `host` 值會指派給 `principal.hostname`。
`hostname`	`principal.hostname`	如果 `event_name` 不是「log_on」或「log_out」，系統會將原始記錄中的 `hostname` 值指派給 `principal.hostname`。否則會指派給 `target.hostname`。
`host_name`	`principal.hostname`	原始記錄中的 `host_name` 值會指派給 `principal.hostname`。
`hwid`	`principal.resource.id`	如果原始記錄檔中的 `hwid` 值不為空白，則會指派給 `principal.resource.id`。如果這個欄位空白，且事件不是「log_on」或「log_out」，系統會將 `source_hwid` 的值指派給 `principal.resource.id`。如果事件為「log_on」或「log_out」，則會指派給 `target.resource.id`。
`incident_id`	`metadata.product_log_id`	原始記錄中的 `incident_id` 值會指派給 `metadata.product_log_id`。
`ip_dest`	`target.ip`	原始記錄中的 `ip_dest` 值會指派給 `target.ip`。
`ip_source`	`principal.ip`	原始記錄中的 `ip_source` 值會指派給 `principal.ip`。
`key_path`	`target.registry.registry_key`	原始記錄中的 `key_path` 值會指派給 `target.registry.registry_key`。
`local_port`	`principal.port`	原始記錄中的 `local_port` 值會轉換為整數，並指派給 `principal.port`。
`logon_type`	`extensions.auth.mechanism`	系統會使用原始記錄中的 `logon_type` 值，判斷 `extensions.auth.mechanism` 的值。`logon_type` 的不同數值會對應至不同的驗證機制 (例如 2 個對應至「LOCAL」，3 個對應至「NETWORK」)。如果找不到相符的 `logon_type`，機制會設為「MECHANISM_UNSPECIFIED」。
`lurker_id`	`intermediary.resource.id`	原始記錄中的 `lurker_id` 值會指派給 `intermediary.resource.id`。
`main_action`	`security_result.action_details`	原始記錄中的 `main_action` 值會指派給 `security_result.action_details`。系統會根據這個值設定 `security_result.action` 欄位 (例如「blocked」對應至「BLOCK」，「no action」則對應至「ALLOW」)。「`security_result.description`」欄位也會填入「main_action: 」，後面接著 `main_action` 的值。
`malware_name`	`security_result.threat_name`	原始記錄中的 `malware_name` 值會指派給 `security_result.threat_name`。
`malware_type`	`security_result.detection_fields.value`	原始記錄中的 `malware_type` 值會指派為 `security_result.detection_fields` 物件的值，而鍵為「malware_type」。
`metadata.description`	`metadata.description`	剖析器會根據 `event_name` 欄位設定 `metadata.description` 欄位。
`metadata.event_type`	`metadata.event_type`	剖析器會根據 `event_name` 欄位設定 `metadata.event_type` 欄位。
`metadata.product_event_type`	`metadata.product_event_type`	剖析器會根據 `event_name` 或 `module` 欄位設定 `metadata.product_event_type` 欄位。
`metadata.product_log_id`	`metadata.product_log_id`	剖析器會根據 `msg_id` 或 `incident_id` 欄位設定 `metadata.product_log_id` 欄位。
`metadata.product_name`	`metadata.product_name`	剖析器會將 `metadata.product_name` 設為「BitDefender EDR」。
`metadata.product_version`	`metadata.product_version`	剖析器會將 `product_version` 欄位重新命名為 `metadata.product_version`。
`metadata.vendor_name`	`metadata.vendor_name`	剖析器會將 `metadata.vendor_name` 設為「BitDefender」。
`module`	`metadata.product_event_type`	原始記錄中的 `module` 值會指派給 `metadata.product_event_type`。如果值為「new-incident」且 `target_process_file_full_path` 不為空白，`metadata.event_type` 會設為「PROCESS_UNCATEGORIZED」。如果值為「task-status」，`metadata.event_type` 會設為「STATUS_UPDATE」。如果值為「network-monitor」或「fw」，`metadata.event_type` 會設為「SCAN_NETWORK」。
`msg_id`	`metadata.product_log_id`	原始記錄中的 `msg_id` 值會指派給 `metadata.product_log_id`。
`network.application_protocol`	`network.application_protocol`	原始記錄中的 `uc_type` 值會轉換為大寫，並指派給 `network.application_protocol`。
`network.direction`	`network.direction`	剖析器會根據 `direction` 欄位設定 `network.direction` 欄位。
`network.ip_protocol`	`network.ip_protocol`	如果 `protocol_id` 為「6」，剖析器會將 `network.ip_protocol` 設為「TCP」。
`new_path`	`target.file.full_path`	原始記錄中的 `new_path` 值會指派給 `target.file.full_path`。
`old_path`	`src.file.full_path`	原始記錄中的 `old_path` 值會指派給 `src.file.full_path`。
`origin_ip`	`intermediary.ip`	原始記錄中的 `origin_ip` 值會指派給 `intermediary.ip`。
`os`	`principal.platform_version`	原始記錄中的 `os` 值會指派給 `principal.platform_version`。`principal.platform` 欄位衍生自 `os` (例如「Win」對應至「WINDOWS」)。如果事件是「log_on」或「log_out」，則 `principal.platform` 和 `principal.platform_version` 欄位會分別重新命名為 `target.platform` 和 `target.platform_version`。
`os_type`	`principal.platform`	系統會根據原始記錄中的 `os_type` 值，判斷 `principal.platform` 的值 (例如「Win」對應至「WINDOWS」)。
`parent_pid`	`principal.process.pid`	原始記錄中的 `parent_pid` 值會指派給 `principal.process.pid`。
`parent_process_path`	`principal.process.file.full_path`	原始記錄中的 `parent_process_path` 值會指派給 `principal.process.file.full_path`。
`parent_process_pid`	`principal.process.pid`	原始記錄中的 `parent_process_pid` 值會指派給 `principal.process.pid`。
`path`	`target.file.full_path`	原始記錄中的 `path` 值會指派給 `target.file.full_path`。
`pid`	`principal.process.pid`或`target.process.pid`	如果 `event_name` 以「file」或「reg」開頭，或是「process_signal」、「network_connection」或「connection_connect」其中之一，系統就會將原始記錄中的 `pid` 值指派給 `principal.process.pid`。否則會指派給 `target.process.pid`。
`pid_path`	`principal.process.file.full_path`	原始記錄中的 `pid_path` 值會指派給 `principal.process.file.full_path`。
`port_dest`	`target.port`	原始記錄中的 `port_dest` 值會轉換為整數，並指派給 `target.port`。
`port_source`	`principal.port`	原始記錄中的 `port_source` 值會轉換為整數，並指派給 `principal.port`。
`ppid`	`principal.process.pid`	原始記錄中的 `ppid` 值會指派給 `principal.process.pid`。
`principal.ip`	`principal.ip`	剖析器會根據 `ip_source` 或 `dvc` 欄位設定 `principal.ip` 欄位。
`principal.platform`	`principal.platform`	剖析器會根據 `os` 或 `os_type` 欄位設定 `principal.platform` 欄位。
`principal.platform_version`	`principal.platform_version`	剖析器會根據 `os` 或 `osi_version` 欄位設定 `principal.platform_version` 欄位。
`principal.process.command_line`	`principal.process.command_line`	剖析器會根據 `parent_process_cmdline` 欄位設定 `principal.process.command_line` 欄位。
`principal.process.file.full_path`	`principal.process.file.full_path`	剖析器會根據 `pid_path`、`file_path`、`parent_process_path` 或 `process_path` 欄位設定 `principal.process.file.full_path` 欄位。
`principal.process.file.md5`	`principal.process.file.md5`	剖析器會將 `file_hash_md5` 欄位重新命名為 `principal.process.file.md5`。
`principal.process.file.sha256`	`principal.process.file.sha256`	剖析器會根據 `hash`、`BitdefenderGZMalwareHash` 或 `file_hash_sha256` 欄位設定 `principal.process.file.sha256` 欄位。
`principal.process.parent_process.pid`	`principal.process.parent_process.pid`	剖析器會將 `ppid` 欄位重新命名為 `principal.process.parent_process.pid`。
`principal.process.pid`	`principal.process.pid`	剖析器會根據 `pid`、`parent_pid`、`ppid` 或 `parent_process_pid` 欄位設定 `principal.process.pid` 欄位。
`principal.resource.id`	`principal.resource.id`	剖析器會根據 `hwid` 或 `source_hwid` 欄位設定 `principal.resource.id` 欄位。
`principal.url`	`principal.url`	剖析器會根據 `url` 欄位設定 `principal.url` 欄位。
`process_command_line`	`target.process.command_line`	原始記錄中的 `process_command_line` 值會指派給 `target.process.command_line`。
`process_path`	`principal.process.file.full_path`或`target.process.file.full_path`	如果 `event_name` 是「network_connection」或「connection_connect」，系統會將原始記錄中的 `process_path` 值指派給 `principal.process.file.full_path`。否則會指派給 `target.process.file.full_path`。
`product_installed`	`additional.fields.value.string_value`	原始記錄中的 `product_installed` 值會指派給 `additional.fields` 物件，而該物件的鍵為「product_installed」。
`product_version`	`metadata.product_version`	原始記錄中的 `product_version` 值會指派給 `metadata.product_version`。
`protocol_id`	`network.ip_protocol`	如果 `protocol_id` 為「6」，剖析器會將 `network.ip_protocol` 設為「TCP」。
`request`	`target.url`	原始記錄中的 `request` 值會指派給 `target.url`。
`security_result.action`	`security_result.action`	剖析器會根據 `main_action`、`actionTaken`、`status` 或 `final_status` 欄位設定 `security_result.action` 欄位。如果這些欄位都沒有提供有效動作，系統會預設為「UNKNOWN_ACTION」。
`security_result.action_details`	`security_result.action_details`	剖析器會根據 `main_action`、`actionTaken`、`status` 或 `final_status` 欄位設定 `security_result.action_details` 欄位。
`security_result.category`	`security_result.category`	如果 `event_name` 為「Antiphishing」，剖析器會將 `security_result.category` 欄位設為「PHISHING」；如果 `event_name` 為「AntiMalware」，則設為「SOFTWARE_MALICIOUS」；否則會合併 `sec_category` 欄位的值。
`security_result.category_details`	`security_result.category_details`	剖析器會根據 `block_type` 或 `attack_types` 欄位設定 `security_result.category_details` 欄位。
`security_result.detection_fields`	`security_result.detection_fields`	剖析器會為各種欄位建立 `security_result.detection_fields` 物件，包括「malware_type」、「attack_entry」、「BitdefenderGZAttCkId」、「BitdefenderGZEndpointId」、「final_status」、「detection attackTechnique」和「computer_name」。
`security_result.description`	`security_result.description`	剖析器會根據 `main_action`、`actionTaken` 或 `final_status` 欄位設定 `security_result.description` 欄位。
`security_result.severity`	`security_result.severity`	如果 `severity` 欄位不為空白，且 `module` 為「new-incident」，剖析器會根據 `severity` 欄位的大寫值設定 `security_result.severity` 欄位。
`security_result.severity_details`	`security_result.severity_details`	剖析器會根據 `severity_score` 欄位設定 `security_result.severity_details` 欄位。
`security_result.threat_name`	`security_result.threat_name`	剖析器會根據 `malware_name` 或 `detection_name` 欄位設定 `security_result.threat_name` 欄位。
`severity`	`security_result.severity`	如果原始記錄中的 `severity` 值不為空，且 `module` 為「new-incident」，則該值會轉換為大寫並指派給 `security_result.severity`。
`severity_score`	`security_result.severity_details`	原始記錄中的 `severity_score` 值會轉換為字串，並指派給 `security_result.severity_details`。
`source_host`	`observer.ip`	原始記錄中的 `source_host` 值會指派給 `observer.ip`。
`source_hwid`	`principal.resource.id`	原始記錄中的 `source_hwid` 值會指派給 `principal.resource.id`。
`source_ip`	`src.ip`	原始記錄中的 `source_ip` 值會指派給 `src.ip`。
`source_port`	`principal.port`	原始記錄中的 `source_port` 值會轉換為整數，並指派給 `principal.port`。
`spt`	`principal.port`	原始記錄中的 `spt` 值會指派給 `principal.port`。
`sproc`	`principal.process.command_line`	原始記錄中的 `sproc` 值會指派給 `principal.process.command_line`。
`src`	`principal.ip`	原始記錄中的 `src` 值會指派給 `principal.ip`。
`src.ip`	`src.ip`	剖析器會根據 `source_ip` 欄位設定 `src.ip` 欄位。
`src.file.full_path`	`src.file.full_path`	剖析器會根據 `old_path` 欄位設定 `src.file.full_path` 欄位。
`status`	`security_result.action_details`	原始記錄中的 `status` 值會指派給 `security_result.action_details`。系統會根據這個值設定 `security_result.action` 欄位 (例如「portscan_blocked」和「uc_site_blocked」會對應至「BLOCK」。`security_result.description` 欄位也會填入「status: 」，後面接著 `status` 的值。
`suid`	`principal.user.userid`	原始記錄中的 `suid` 值會指派給 `principal.user.userid`。
`suser`	`principal.user.user_display_name`	原始記錄中的 `suser` 值會指派給 `principal.user.user_display_name`。
`target.file.full_path`	`target.file.full_path`	剖析器會根據 `path` 或 `new_path` 欄位設定 `target.file.full_path` 欄位。
`target.hostname`	`target.hostname`	剖析器會根據 `hostname` 欄位設定 `target.hostname` 欄位。
`target.ip`	`target.ip`	剖析器會根據 `ip_dest` 或 `destination_ip` 欄位設定 `target.ip` 欄位。
`target.platform`	`target.platform`	剖析器會根據 `principal.platform` 欄位設定 `target.platform` 欄位。
`target.platform_version`	`target.platform_version`	剖析器會根據 `principal.platform_version` 欄位設定 `target.platform_version` 欄位。
`target.port`	`target.port`	剖析器會根據 `port_dest` 或 `destination_port` 欄位設定 `target.port` 欄位。
`target.process.command_line`	`target.process.command_line`	剖析器會根據 `command_line`、`process_command_line` 或 `cmd_line` 欄位設定 `target.process.command_line` 欄位。
`target.process.file.full_path`	`target.process.file.full_path`	剖析器會根據 `process_path` 欄位設定 `target.process.file.full_path` 欄位。
`target.process.pid`	`target.process.pid`	剖析器會根據 `pid` 欄位設定 `target.process.pid` 欄位。
`target.registry.registry_key`	`target.registry.registry_key`	剖析器會根據 `key_path` 欄位設定 `target.registry.registry_key` 欄位。
`target.registry.registry_value_data`	`target.registry.registry_value_data`	剖析器會根據 `data` 欄位設定 `target.registry.registry_value_data` 欄位。
`target.registry.registry_value_name`	`target.registry.registry_value_name`	剖析器會根據 `value` 欄位設定 `target.registry.registry_value_name` 欄位。
`target.resource.id`	`target.resource.id`	剖析器會根據 `hwid` 或 `BitdefenderGZHwId` 欄位設定 `target.resource.id` 欄位。
`target.url`	`target.url`	剖析器會根據 `request` 欄位設定 `target.url` 欄位。
`target.user.company_name`	`target.user.company_name`	剖析器會根據 `companyId` 欄位設定 `target.user.company_name` 欄位。
`target.user.user_display_name`	`target.user.user_display_name`	剖析器會根據 `user.name` 或 `user.userName` 欄位設定 `target.user.user_display_name` 欄位。
`target.user.userid`	`target.user.userid`	剖析器會根據 `user_name`、`user`、`user.id` 或 `extra_info.user` 欄位設定 `target.user.userid` 欄位。
`target_pid`	`target.process.pid`	原始記錄中的 `target_pid` 值會指派給 `target.process.pid`。
`timestamp`	`metadata.event_timestamp`	系統會剖析原始記錄中的 `timestamp` 值，並指派給 `metadata.event_timestamp`。
`uc_type`	`network.application_protocol`	原始記錄中的 `uc_type` 值會轉換為大寫，並指派給 `network.application_protocol`。如果 `target_user_userid` 不為空白，`metadata.event_type` 會設為「USER_UNCATEGORIZED」。否則會設為「STATUS_UPDATE」。
`url`	`principal.url`	如果原始記錄中的 `url` 值不是空白或「0.0.0.0」，系統會將該值指派給 `principal.url`。
`user`	`target.user.userid`	原始記錄中的 `user` 值會指派給 `target.user.userid`。
`user.id`	`target.user.userid`	原始記錄中的 `user.id` 值會指派給 `target.user.userid`。
`user.name`	`target.user.user_display_name`	原始記錄中的 `user.name` 值會指派給 `target.user.user_display_name`。
`user.userName`	`target.user.user_display_name`	原始記錄中的 `user.userName` 值會指派給 `target.user.user_display_name`。
`user.userSid`	`principal.user.windows_sid`	原始記錄中的 `user.userSid` 值會指派給 `principal.user.windows_sid`。
`user_name`	`target.user.userid`	原始記錄中的 `user_name` 值會指派給 `target.user.userid`。
`value`	`target.registry.registry_value_data`或`target.registry.registry_value_name`	如果 `event_name` 為「reg_delete_value」，則原始記錄中的 `value` 值會指派給 `target.registry.registry_value_data`。否則會指派給 `target.registry.registry_value_name`。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。