Recolha registos do Microsoft Windows Defender ATP
Compatível com:
Google secops
SIEM
Este documento explica como recolher registos do Microsoft Windows Defender ATP para o Google Security Operations através de uma conta de armazenamento do Azure. Este analisador processa registos do Windows Defender ATP nos formatos SYSLOG, XML e JSON. Normaliza os diversos campos destes formatos numa estrutura unificada, extraindo informações importantes, como detalhes de eventos, dados do utilizador, informações de processos, atividade de rede e resultados de segurança, e mapeando-os para o UDM. O analisador também executa uma lógica condicional com base em EventID e ActionType para categorizar eventos e enriquecer o UDM com detalhes específicos relevantes para cada tipo de evento.
Antes de começar
- Certifique-se de que tem uma instância do Google SecOps.
- Certifique-se de que tem uma subscrição ativa do Azure.
- Certifique-se de que tem a função de administrador global ou de deteção avançada de ameaças do Microsoft Defender.
- Inicie sessão no seu inquilino do Azure, aceda a Subscrições > A sua subscrição > Fornecedores de recursos > Registe-se no Microsoft.Insights.
Configure a conta de armazenamento do Azure
- Na consola do Azure, pesquise Contas de armazenamento.
- Clique em Criar.
- Especifique valores para os seguintes parâmetros de entrada:
- Subscrição: selecione a subscrição.
- Grupo de recursos: selecione o grupo de recursos.
- Região: selecione a região.
- Desempenho: selecione o desempenho (padrão recomendado).
- Redundância: selecione a redundância (GRS ou LRS recomendado).
- Nome da conta de armazenamento: introduza um nome para a nova conta de armazenamento.
- Clique em Rever + criar.
- Reveja a vista geral da conta e clique em Criar.
- Na página Vista geral da conta de armazenamento, selecione o submenu Chaves de acesso em Segurança + rede.
- Clique em Mostrar junto a key1 ou key2
- Clique em Copiar para a área de transferência para copiar a chave.
- Guarde a chave num local seguro para utilização posterior.
- Na página Vista geral da conta de armazenamento, selecione o submenu Pontos finais em Definições.
- Clique em Copiar para a área de transferência para copiar o URL do ponto final do serviço Blob; por exemplo,
https://<storageaccountname>.blob.core.windows.net. - Guarde o URL do ponto final numa localização segura para utilização posterior.
Configure a exportação de registos da deteção de ameaças avançadas do Windows Defender
- Inicie sessão em security.microsoft.com como administrador global ou administrador de segurança.
- Aceda a Definições > Microsoft Defender XDR.
- Selecione API Streaming.
- Clique em Adicionar.
- Selecione Encaminhar eventos para o Azure Storage.
- Aceda à conta de armazenamento criada anteriormente.
- Copie o ID do recurso e introduza-o no ID do recurso da conta de armazenamento.
- Selecione todos os Tipos de eventos.
- Clique em Guardar.
Configure um feed no Google SecOps para carregar os registos de deteção de ameaças avançada do Windows Defender
- Aceda a Definições do SIEM > Feeds.
- Clique em Adicionar novo.
- No campo Nome do feed, introduza um nome para o feed; por exemplo,
Defender ATP Logs. - Selecione Microsoft Azure Blob Storage V2 como o Tipo de origem.
- Selecione Windows Defender ATP como o Tipo de registo.
- Clicar em Seguinte.
Especifique valores para os seguintes parâmetros de entrada:
- URI do Azure: o URL do ponto final do blob.
ENDPOINT_URL/BLOB_NAME- Substitua o seguinte:
ENDPOINT_URL: o URL do ponto final do blob (https://<storageaccountname>.blob.core.windows.net).BLOB_NAME: o nome do blob, como<logname>-logs.
Opções de eliminação de origens: selecione a opção de eliminação de acordo com a sua preferência.
Idade máxima do ficheiro: inclui ficheiros modificados no último número de dias. A predefinição é 180 dias.
Chave partilhada: a chave de acesso ao armazenamento de blobs do Azure.
Espaço de nomes do recurso: o espaço de nomes do recurso.
Etiquetas de carregamento: a etiqueta a aplicar aos eventos deste feed.
- URI do Azure: o URL do ponto final do blob.
Clicar em Seguinte.
Reveja a nova configuração do feed no ecrã Finalizar e, de seguida, clique em Enviar.
Tabela de mapeamento da UDM
| Campo de registo | Mapeamento de UDM | Lógica |
|---|---|---|
AccountName |
target.user.userid |
Preenchido quando properties.AccountName está presente e properties.InitiatingProcessAccountName está em branco. |
AccountSid |
target.user.windows_sid |
Preenchido quando properties.AccountSid está presente. |
AccountType |
principal.user.attribute.labels |
Chave: AccountType, valor: properties.AccountType |
Action |
security_result.action_details |
O valor de properties.Action. |
Action |
security_result.action |
Se properties.Action contiver quarantine, o valor é QUARANTINE. |
Action Name |
security_result.description |
Parte dos security_result.description quando EventID é 1117. |
AdditionalFields |
about.labels, principal.resource.attribute.labels |
Chave: AdditionalFields, valor: properties.AdditionalFields (ou AdditionalFields se for analisado como JSON). Os pares de chave-valor individuais de properties.AdditionalFields (ou AdditionalFields2, se analisados como JSON) também são adicionados como etiquetas. |
AdditionalFields.ClientMachine |
principal.resource.attribute.labels |
Chave: ClientMachine, valor: _AdditionalFields.ClientMachine |
AdditionalFields.Command |
target.process.command_line |
Usado quando ActionType é PowerShellCommand. |
AdditionalFields.Count |
read_only_udm.additional.fields |
Chave: Count, valor: properties.AdditionalFields.Count |
AdditionalFields.DesiredAccess |
principal.resource.attribute.labels |
Chave: DesiredAccess, valor: _AdditionalFields.DesiredAccess |
AdditionalFields.DnsQueryString |
network.dns.questions.name |
Usado quando ActionType é DnsQueryResponse. |
AdditionalFields.DnsQueryResult |
network.dns.answers |
Analisado num ciclo para extrair respostas DNS. Result torna-se name e DnsQueryType é mapeado para o valor numérico type. |
AdditionalFields.Experience |
security_result.threat_name |
Usado quando properties.ActionType contém SmartScreen. |
AdditionalFields.FileOperation |
principal.resource.attribute.labels |
Chave: FileOperation, valor: _AdditionalFields.FileOperation |
AdditionalFields.InitiatingProcess |
principal.resource.attribute.labels |
Chave: InitiatingProcess, valor: _AdditionalFields.InitiatingProcess |
AdditionalFields.IsAudit |
principal.resource.attribute.labels |
Chave: IsAudit, valor: _AdditionalFields.IsAudit |
AdditionalFields.IsLocalLogon |
extensions.auth.mechanism |
Se o valor for true, define auth_mechanism como LOCAL. Se false, define como REMOTE. |
AdditionalFields.IsRemoteMachine |
principal.resource.attribute.labels |
Chave: IsRemoteMachine, valor: _AdditionalFields.IsRemoteMachine |
AdditionalFields.NamedPipeEnd |
principal.resource.attribute.labels |
Chave: NamedPipeEnd, valor: _AdditionalFields.NamedPipeEnd |
AdditionalFields.PipeName |
principal.resource.attribute.labels |
Chave: PipeName, valor: _AdditionalFields.PipeName |
AdditionalFields.RemoteClientsAccess |
principal.resource.attribute.labels |
Chave: RemoteClientsAccess, valor: _AdditionalFields.RemoteClientsAccess |
AdditionalFields.SessionId |
principal.resource.attribute.labels |
Chave: SessionId, valor: _AdditionalFields.SessionId |
AdditionalFields.SignatureName |
security_result.rule_id |
Usado quando properties.ActionType é AntivirusDetection. |
AdditionalFields.TaskName |
target.resource.name |
Usado quando properties.ActionType contém Scheduled. |
AdditionalFields.ThreatName |
security_result.threat_name |
Usado quando properties.ActionType é AntivirusDetection. |
AdditionalFields.ThreadId |
principal.resource.attribute.labels |
Chave: ThreadId, valor: _AdditionalFields.ThreadId |
AdditionalFields.TokenModificationProperties |
principal.resource.attribute.labels |
Chave: TokenModificationProperties, valor: _AdditionalFields.TokenModificationProperties |
AdditionalFields.TotalBytesCopied |
principal.resource.attribute.labels |
Chave: TotalBytesCopied, valor: _AdditionalFields.TotalBytesCopied |
AdditionalFields.WasExecutingWhileDetected |
about.labels, principal.resource.attribute.labels |
Chave: WasExecutingWhileDetected, valor: _AdditionalFields.WasExecutingWhileDetected |
AdditionalFields.WasRemediated |
security_result.action |
Se o valor for true, define sr_action como BLOCK. Se false, define como ALLOW. |
AppGuardContainerId ApplicationId |
read_only_udm.additional.fields |
Chave: ApplicationId, valor: properties.ApplicationId |
category |
metadata.product_name |
O valor de category. |
category |
metadata.product_event_type |
O valor de category com AdvancedHunting- removido. |
City |
principal.location.city |
O valor de properties.City. |
ClientIP |
principal.ip, principal.asset.ip |
O valor de properties.RawEventData.ClientIP, se for um endereço IP válido. |
ClientIPAddress |
principal.ip, principal.asset.ip |
O valor de properties.RawEventData.ClientIPAddress, se for um endereço IP válido. |
ClientInfoString |
read_only_udm.additional.fields |
Chave: ClientInfoString, valor: properties.RawEventData.ClientInfoString |
ClientProcessName |
read_only_udm.additional.fields |
Chave: ClientProcessName, valor: properties.RawEventData.ClientProcessName |
ClientRequestId |
read_only_udm.additional.fields |
Chave: ClientRequestId, valor: properties.RawEventData.ClientRequestId |
ClientVersion |
read_only_udm.additional.fields |
Chave: ClientVersion, valor: properties.RawEventData.ClientVersion |
ConnectedNetworks |
entity.asset.network_domain |
O campo Name em ConnectedNetworks, se estiver presente. |
CountryCode |
principal.location.country_or_region |
O valor de properties.CountryCode. |
CreationTime |
read_only_udm.additional.fields |
Chave: CreationTime, valor: properties.RawEventData.CreationTime |
Current Engine Version |
security_result.description |
Parte dos security_result.description quando EventID é 2000. |
Current Signature Version |
security_result.description |
Parte dos security_result.description quando EventID é 2000. |
DeliveryAction |
read_only_udm.additional.fields |
Chave: DeliveryAction, valor: properties.DeliveryAction |
DeliveryAction |
security_result.action |
Se properties.DeliveryAction contiver Blocked, o valor é BLOCK. |
DeliveryLocation |
read_only_udm.additional.fields |
Chave: DeliveryLocation, valor: properties.DeliveryLocation |
DestinationLocationType |
read_only_udm.additional.fields |
Chave: DestinationLocationType, valor: properties.RawEventData.DestinationLocationType |
DetectionMethods |
security_result.rule_name, security_result.detection_fields |
O valor de properties.DetectionMethods com as aspas removidas torna-se rule_name e detection_fields (chave: Detection Method). |
Detection User |
principal.user.userid |
Usado quando EventID é 1116 ou 1117. |
DeviceCategory |
entity.asset.category |
O valor de properties.DeviceCategory. |
DeviceId |
principal.asset_id |
WINDOWS_DEFENDER: + DeviceId ao analisar syslog/JSON ou XML. DeviceId: + properties.DeviceId ao analisar JSON. |
DeviceName |
principal.hostname, principal.asset.hostname |
DeviceName ao analisar syslog/JSON ou XML. properties.DeviceName ao analisar JSON. properties.RawEventData.DeviceName, se estiver presente. |
DeviceType |
read_only_udm.additional.fields |
Chave: DeviceType, valor: properties.DeviceType |
Domain |
principal.administrative_domain |
Usado quando analisa syslog/JSON ou XML. |
Dynamic Signature Compilation Timestamp |
security_result.description |
Parte do security_result.description quando EventID é 2010 ou 2011. |
Dynamic Signature Type |
security_result.description |
Parte do security_result.description quando EventID é 2010 ou 2011. |
Dynamic Signature Version |
security_result.description |
Parte do security_result.description quando EventID é 2010 ou 2011. |
EmailClusterId |
read_only_udm.additional.fields |
Chave: EmailClusterId, valor: properties.EmailClusterId |
EmailDirection |
network.direction |
Se o valor for Inbound, é definido como INBOUND. Se Outbound, define como OUTBOUND. Caso contrário, define como UNKNOWN_DIRECTION. |
EmailLanguage |
read_only_udm.additional.fields |
Chave: EmailLanguage, valor: properties.EmailLanguage |
Engine Version |
security_result.description |
Parte dos security_result.description quando EventID é 1011. |
EnforcementMode |
read_only_udm.additional.fields |
Chave: EnforcementMode, valor: properties.EnforcementMode |
Error Code |
security_result.description |
Parte dos security_result.description quando EventID é 1117 ou 2001. |
Error Description |
security_result.description |
Parte dos security_result.description quando EventID é 1117 ou 2001. |
EventID |
metadata.product_event_type |
Parte do metadata.product_event_type ao analisar syslog/JSON ou XML. |
EventTime |
metadata.event_timestamp |
Analisado para gerar o metadata.event_timestamp. |
ExchangeLocations |
security_result.category_details |
O valor de properties.RawEventData.ExchangeLocations. |
ExternalAccess |
read_only_udm.additional.fields |
Chave: ExternalAccess, valor: properties.RawEventData.ExternalAccess |
FailureReason |
security_result.description |
O valor de properties.FailureReason quando ActionType é LogonFailed. |
FileExtension |
read_only_udm.additional.fields |
Chave: FileExtension, valor: properties.RawEventData.FileExtension |
FileName |
about.file.full_path |
O valor de properties.FileName quando category contém EmailAttachmentInfo. Caso contrário, target.process.file.full_path. |
FileSize |
target.process.file.size |
O valor de properties.FileSize convertido num número inteiro sem sinal. |
FileSize |
about.file.size |
O valor de properties.FileSize convertido num número inteiro sem sinal quando category contém EmailAttachmentInfo. |
FileSize |
principal.process.file.size |
O valor de properties.RawEventData.FileSize convertido num número inteiro sem sinal. |
FileType |
about.file.mime_type |
O valor de properties.FileType quando category contém EmailAttachmentInfo. Caso contrário, target.process.file.mime_type. |
FileType |
read_only_udm.additional.fields |
Chave: FileType, valor: properties.RawEventData.FileType se não estiver vazio ou Unknown. |
FolderPath |
target.file.full_path |
O valor de properties.FolderPath. |
FolderPath |
target.process.file.full_path |
O valor de FolderPath quando ActionType é CreateRemoteThreadApiCall, ExploitGuardNonMicrosoftSignedBlocked, DriverLoad, FileRenamed, OpenProcessApiCall, ReadProcessMemoryApiCall, ImageLoaded ou properties.ActionType é FileCreatedOnNetworkShare. |
Hidden |
read_only_udm.additional.fields |
Chave: Hidden, valor: properties.RawEventData.Hidden |
Hostname |
principal.hostname, principal.asset.hostname |
Usado quando analisa syslog/JSON ou XML. |
IPAddresses |
entity.asset.ip |
O campo IPAddress em cada objeto na matriz IPAddresses, excluindo os endereços IPv6 link-local, IPv4 APIPA, IPv6 loopback, IPv6 multicast e loopback. |
IPAddress |
principal.ip, principal.asset.ip |
O valor de properties.IPAddress, se for um endereço IP válido. |
IPCategory |
read_only_udm.additional.fields |
Chave: IPCategory, valor: properties.IPCategory |
IPTags |
read_only_udm.additional.fields |
Chave: IPTags, valor: properties.IPTags |
ISP |
read_only_udm.additional.fields |
Chave: ISP, valor: properties.ISP |
InitiatingProcessAccountName |
principal.user.userid |
Preenchido quando está presente e properties.AccountName está em branco ou quando ambos estão presentes. |
InitiatingProcessAccountSid |
principal.user.windows_sid |
Preenchido quando está presente e properties.AccountSid está em branco ou quando ambos estão presentes. |
InitiatingProcessAccountUpn |
principal.user.email_addresses |
O valor de properties.InitiatingProcessAccountUpn. |
InitiatingProcessCommandLine |
principal.process.command_line |
O valor de properties.InitiatingProcessCommandLine com as aspas removidas. |
InitiatingProcessFileName |
principal.process.file.full_path |
O valor de properties.InitiatingProcessFileName. |
InitiatingProcessFileSize |
principal.process.file.size |
O valor de properties.InitiatingProcessFileSize convertido num número inteiro sem sinal. |
InitiatingProcessFolderPath |
principal.process.file.full_path |
O valor de properties.InitiatingProcessFolderPath. |
InitiatingProcessId |
principal.process.pid |
O valor de properties.InitiatingProcessId convertido numa string. |
InitiatingProcessIntegrityLevel |
about.labels, principal.resource.attribute.labels |
Chave: InitiatingProcessIntegrityLevel, valor: properties.InitiatingProcessIntegrityLevel |
InitiatingProcessMD5 |
principal.process.file.md5 |
O valor de properties.InitiatingProcessMD5. |
InitiatingProcessParentFileName |
principal.process.parent_process.file.full_path |
O valor de properties.InitiatingProcessParentFileName. |
InitiatingProcessParentId |
principal.process.parent_process.pid |
O valor de properties.InitiatingProcessParentId convertido numa string. |
InitiatingProcessSHA1 |
principal.process.file.sha1 |
O valor de properties.InitiatingProcessSHA1. |
InitiatingProcessSHA256 |
principal.process.file.sha256 |
O valor de properties.InitiatingProcessSHA256. |
InitiatingProcessSignatureStatus |
read_only_udm.additional.fields |
Chave: InitiatingProcessSignatureStatus, valor: properties.InitiatingProcessSignatureStatus |
InitiatingProcessSignerType |
read_only_udm.additional.fields |
Chave: InitiatingProcessSignerType, valor: properties.InitiatingProcessSignerType |
InitiatingProcessTokenElevation |
about.labels, principal.resource.attribute.labels |
Chave: InitiatingProcessTokenElevation, valor: properties.InitiatingProcessTokenElevation |
InitiatingProcessVersionInfoCompanyName |
principal.user.company_name |
O valor de properties.InitiatingProcessVersionInfoCompanyName. |
InitiatingProcessVersionInfoFileDescription |
principal.resource.attribute.labels |
Chave: File Description, valor: properties.InitiatingProcessVersionInfoFileDescription |
InitiatingProcessVersionInfoInternalFileName |
principal.resource.attribute.labels |
Chave: File Name, valor: properties.InitiatingProcessVersionInfoInternalFileName |
InitiatingProcessVersionInfoOriginalFileName |
principal.resource.attribute.labels |
Chave: Original File Name, valor: properties.InitiatingProcessVersionInfoOriginalFileName |
InitiatingProcessVersionInfoProductName |
read_only_udm.additional.fields |
Chave: InitiatingProcessVersionInfoProductName, valor: properties.InitiatingProcessVersionInfoProductName |
InitiatingProcessVersionInfoProductVersion |
metadata.product_version |
O valor de properties.InitiatingProcessVersionInfoProductVersion. |
InternetMessageId |
read_only_udm.additional.fields |
Chave: InternetMessageId, valor: properties.InternetMessageId com os parênteses angulares removidos. |
IsAdminOperation |
read_only_udm.additional.fields |
Chave: IsAdminOperation, valor: properties.IsAdminOperation |
IsAnonymousProxy |
read_only_udm.additional.fields |
Chave: IsAnonymousProxy, valor: properties.IsAnonymousProxy |
IsExternalUser |
read_only_udm.additional.fields |
Chave: IsExternalUser, valor: properties.IsExternalUser |
IsImpersonated |
read_only_udm.additional.fields |
Chave: IsImpersonated, valor: properties.IsImpersonated |
IsLocalAdmin |
about.labels, principal.resource.attribute.labels |
Chave: IsLocalAdmin, valor: true ou false, consoante o valor booleano de properties.IsLocalAdmin. |
LoggedOnUsers |
target.user.userid, entity.relations.entity.user.userid |
O campo UserName em cada objeto na matriz LoggedOnUsers é adicionado como um target.user.userid e uma entidade de utilizador relacionada. O campo Sid é adicionado como entity.relations.entity.user.windows_sid. |
LocalIP |
principal.ip, principal.asset.ip |
O valor de LocalIP ao analisar JSON. |
LocalPort |
principal.port |
O valor de LocalPort foi convertido num número inteiro ao analisar o JSON. |
LogonType |
extensions.auth.mechanism |
Mapeado para um mecanismo de autenticação UDM com base no valor. |
LogonType |
read_only_udm.additional.fields |
Chave: LogonType, valor: properties.RawEventData.LogonType |
LogonUserSid |
read_only_udm.additional.fields |
Chave: LogonUserSid, valor: properties.RawEventData.LogonUserSid |
MacAddress |
entity.asset.mac |
O valor de MacAddress ou properties.MacAddress formatado como uma string separada por dois pontos. |
MailboxGuid |
read_only_udm.additional.fields |
Chave: MailboxGuid, valor: properties.RawEventData.MailboxGuid |
MailboxOwnerMasterAccountSid |
read_only_udm.additional.fields |
Chave: MailboxOwnerMasterAccountSid, valor: properties.RawEventData.MailboxOwnerMasterAccountSid |
MailboxOwnerSid |
read_only_udm.additional.fields |
Chave: MailboxOwnerSid, valor: properties.RawEventData.MailboxOwnerSid |
MailboxOwnerUPN |
read_only_udm.additional.fields |
Chave: MailboxOwnerUPN, valor: properties.RawEventData.MailboxOwnerUPN |
MD5 |
target.process.file.md5 |
O valor de properties.MD5. |
Message |
security_result.description |
Parte do security_result.description quando EventID é 1000, 1001, 1002, 1013, 1116, 1117, 2000, 2001, 2002, 2010, 2011 ou 5007. |
NetworkAdapterType |
metadata.product_event_type |
O valor de NetworkAdapterType ao analisar JSON. |
NetworkMessageId |
network.email.mail_id |
O valor de properties.NetworkMessageId. |
New Value |
security_result.description |
Parte do security_result.description quando EventID é 5007. |
Object Name |
read_only_udm.additional.fields |
Chave: ObjectName, valor: properties.ObjectName |
Object Type |
read_only_udm.additional.fields |
Chave: ObjectType, valor: properties.ObjectType |
ObjectId |
read_only_udm.additional.fields |
Chave: ObjectId, valor: properties.ObjectId ou properties.RawEventData.ObjectId. |
Old Value |
security_result.description |
Parte do security_result.description quando EventID é 5007. |
Operation |
read_only_udm.additional.fields |
Chave: Operation, valor: properties.RawEventData.Operation |
operationName |
read_only_udm.additional.fields |
Chave: OperationName, valor: operationName |
OrganizationId |
read_only_udm.additional.fields |
Chave: OrganizationId, valor: properties.RawEventData.OrganizationId |
OrganizationName |
read_only_udm.additional.fields |
Chave: OrganizationName, valor: properties.RawEventData.OrganizationName |
OriginatingServer |
read_only_udm.additional.fields |
Chave: OriginatingServer, valor: properties.RawEventData.OriginatingServer |
OSPlatform |
asset.platform_software.platform |
Se o valor contiver macos, define platform como MAC. Se windows, define como WINDOWS. Se nix, define como LINUX. |
OSVersion |
asset.platform_software.platform_version |
O valor de properties.OSVersion. |
Path |
target.file.full_path |
Usado quando EventID é 1011 ou 1116. |
Persistence Limit Type |
security_result.description |
Parte do security_result.description quando EventID é 2010 ou 2011. |
Persistence Limit Value |
security_result.description |
Parte do security_result.description quando EventID é 2010 ou 2011. |
Persistence Path |
target.file.full_path |
Usado quando EventID é 2010 ou 2011. |
Previous Engine Version |
security_result.description |
Parte dos security_result.description quando EventID é 2000, 2001 ou 2002. |
PreviousRegistryKey |
target.registry.registry_key |
O valor de properties.PreviousRegistryKey. |
PreviousRegistryValueData |
target.resource.attribute.labels |
Chave: PreviousRegistryValueData, valor: properties.PreviousRegistryValueData |
PreviousRegistryValueName |
target.resource.attribute.labels |
Chave: PreviousRegistryValueName, valor: properties.PreviousRegistryValueName |
Previous security intelligence Version |
security_result.description |
Parte dos security_result.description quando EventID é 2001. |
Previous Signature Version |
security_result.description |
Parte dos security_result.description quando EventID é 2000. |
ProcessCommandLine |
target.process.command_line |
O valor de properties.ProcessCommandLine. |
ProcessID |
principal.process.pid |
Usado quando analisa syslog/JSON ou XML. |
ProcessId |
target.process.pid |
O valor de properties.ProcessId convertido numa string. |
Process Name |
target.process.pid |
Usado quando EventID é 1116 ou 1117. |
Product Version |
metadata.product_version |
Usado quando analisa syslog/JSON ou XML. |
Protocol |
network.ip_protocol |
Se o valor contiver Tcp, define como TCP. Se Udp, define como UDP. Se Icmp, define como ICMP. |
ProviderGuid |
principal.resource.id |
Usado quando analisa syslog/JSON ou XML. |
PublicIP |
principal.ip, principal.asset.ip |
O valor de properties.PublicIP. |
RawEventData.Application |
principal.application |
O valor de properties.RawEventData.Application. |
RawEventData.ClientIP |
principal.ip, principal.asset.ip |
O valor de properties.RawEventData.ClientIP, se for um endereço IP válido. |
RawEventData.ClientIPAddress |
principal.ip, principal.asset.ip |
O valor de properties.RawEventData.ClientIPAddress, se for um endereço IP válido. |
RawEventData.ClientInfoString |
read_only_udm.additional.fields |
Chave: ClientInfoString, valor: properties.RawEventData.ClientInfoString |
RawEventData.ClientProcessName |
read_only_udm.additional.fields |
Chave: ClientProcessName, valor: properties.RawEventData.ClientProcessName |
RawEventData.ClientRequestId |
read_only_udm.additional.fields |
Chave: ClientRequestId, valor: properties.RawEventData.ClientRequestId |
RawEventData.ClientVersion |
read_only_udm.additional.fields |
Chave: ClientVersion, valor: properties.RawEventData.ClientVersion |
RawEventData.CreationTime |
read_only_udm.additional.fields |
Chave: CreationTime, valor: properties.RawEventData.CreationTime |
RawEventData.DeviceName |
principal.hostname, principal.asset.hostname |
O valor de properties.RawEventData.DeviceName. |
RawEventData.DestinationLocationType |
read_only_udm.additional.fields |
Chave: DestinationLocationType, valor: properties.RawEventData.DestinationLocationType |
RawEventData.ExchangeLocations |
security_result.category_details |
O valor de properties.RawEventData.ExchangeLocations. |
RawEventData.ExternalAccess |
read_only_udm.additional.fields |
Chave: ExternalAccess, valor: properties.RawEventData.ExternalAccess |
RawEventData.FileExtension |
read_only_udm.additional.fields |
Chave: FileExtension, valor: properties.RawEventData.FileExtension |
RawEventData.FileSize |
target.process.file.size |
O valor de properties.RawEventData.FileSize convertido num número inteiro sem sinal. |
RawEventData.FileType |
read_only_udm.additional.fields |
Chave: FileType, valor: properties.RawEventData.FileType se não estiver vazio ou Unknown. |
RawEventData.Hidden |
read_only_udm.additional.fields |
Chave: Hidden, valor: properties.RawEventData.Hidden |
RawEventData.Id |
read_only_udm.additional.fields |
Chave: RawEventDataId, valor: properties.RawEventData.Id |
RawEventData.Item.Id |
item_idm.read_only_udm.additional.fields |
Chave: RawEventDataItemId, valor: properties.RawEventData.item.id |
RawEventData.LogonType |
read_only_udm.additional.fields |
Chave: LogonType, valor: properties.RawEventData.LogonType |
RawEventData.LogonUserSid |
read_only_udm.additional.fields |
Chave: LogonUserSid, valor: properties.RawEventData.LogonUserSid |
RawEventData.MailboxGuid |
read_only_udm.additional.fields |
Chave: MailboxGuid, valor: properties.RawEventData.MailboxGuid |
RawEventData.MailboxOwnerMasterAccountSid |
read_only_udm.additional.fields |
Chave: MailboxOwnerMasterAccountSid, valor: properties.RawEventData.MailboxOwnerMasterAccountSid |
RawEventData.MailboxOwnerSid |
read_only_udm.additional.fields |
Chave: MailboxOwnerSid, valor: properties.RawEventData.MailboxOwnerSid |
RawEventData.MailboxOwnerUPN |
read_only_udm.additional.fields |
Chave: MailboxOwnerUPN, valor: properties.RawEventData.MailboxOwnerUPN |
RawEventData.MDATPDeviceId |
read_only_udm.additional.fields |
Chave: MDATPDeviceId, valor: properties.RawEventData.MDATPDeviceId |
RawEventData.ObjectId |
read_only_udm.additional.fields |
Chave: ObjectId, valor: properties.RawEventData.ObjectId |
RawEventData.Operation |
read_only_udm.additional.fields |
Chave: Operation, valor: properties.RawEventData.Operation |
RawEventData.OrganizationId |
read_only_udm.additional.fields |
Chave: OrganizationId, valor: properties.RawEventData.OrganizationId |
RawEventData.OrganizationName |
read_only_udm.additional.fields |
Chave: OrganizationName, valor: properties.RawEventData.OrganizationName |
RawEventData.OriginatingServer |
read_only_udm.additional.fields |
Chave: OriginatingServer, valor: properties.RawEventData.OriginatingServer |
RawEventData.ParentFolder.Id |
read_only_udm.additional.fields |
Chave: RawEventDataParentFolderId, valor: properties.RawEventData.ParentFolder.Id |
RawEventData.Pid |
target.process.pid |
O valor de properties.RawEventData.Pid convertido numa string. |
RawEventData.Query |
read_only_udm.additional.fields |
Chave: Query, valor: properties.RawEventData.Query |
RawEventData.RecordType |
network.dns.questions.type |
O valor de properties.RawEventData.RecordType convertido num número inteiro sem sinal. |
RawEventData.ResultStatus |
read_only_udm.additional.fields |
Chave: ResultStatus, valor: properties.RawEventData.ResultStatus |
RawEventData.Scope |
read_only_udm.additional.fields |
Chave: Scope, valor: properties.RawEventData.Scope |
RawEventData.SessionId |
network.session_id |
O valor de properties.RawEventData.SessionId. |
RawEventData.Sha1 |
target.process.file.sha1 |
O valor de properties.RawEventData.Sha1. |
RawEventData.Sha256 |
target.process.file.sha256 |
O valor de properties.RawEventData.Sha256. |
RawEventData.TargetDomain |
target.hostname, target.asset.hostname |
O valor de properties.RawEventData.TargetDomain. |
RawEventData.TargetFilePath |
target.file.full_path |
O valor de properties.RawEventData.TargetFilePath. |
RawEventData.UserId |
principal.user.email_addresses |
O valor de properties.RawEventData.UserId se for um endereço de email. |
RawEventData.UserKey |
read_only_udm.additional.fields |
Chave: UserKey, valor: properties.RawEventData.UserKey |
RawEventData.UserType |
read_only_udm.additional.fields |
Chave: UserType, valor: properties.RawEventData.UserType |
RawEventData.Version |
read_only_udm.additional.fields |
Chave: Version, valor: properties.RawEventData.Version |
RawEventData.Workload |
read_only_udm.additional.fields |
Chave: Workload, valor: properties.RawEventData.Workload |
RecipientEmailAddress |
network.email.to, target.user.email_addresses |
O valor de properties.RecipientEmailAddress. |
RecipientObjectId |
target.user.product_object_id |
O valor de properties.RecipientObjectId. |
RegistryKey |
target.registry.registry_key |
O valor de properties.RegistryKey. |
RegistryValueData |
target.registry.registry_value_data |
O valor de properties.RegistryValueData. |
RegistryValueName |
target.registry.registry_value_name |
O valor de properties.RegistryValueName. |
Remediation User |
intermediary.user.userid |
Usado quando EventID é 1117. |
RemoteDeviceName |
target.hostname, target.asset.hostname |
O valor de properties.RemoteDeviceName. |
RemoteIP |
target.ip, target.asset.ip |
O valor de properties.RemoteIP se não for vazio, - ou null. |
RemoteIPType |
about.labels, principal.resource.attribute.labels |
Chave: RemoteIPType, valor: properties.RemoteIPType |
RemotePort |
target.port |
O valor de properties.RemotePort convertido num número inteiro. |
RemoteUrl |
target.url |
O valor de properties.RemoteUrl. Se contiver um nome do anfitrião, o nome do anfitrião é extraído e mapeado para target.hostname e target.asset.hostname. |
Removal Reason Value |
security_result.description |
Parte dos security_result.description quando EventID é 2011. |
ReportId |
metadata.product_log_id |
O valor de properties.ReportId convertido numa string. |
Scan ID |
security_result.description |
Parte dos security_result.description quando EventID é 1000, 1001 ou 1002. |
Scan Parameters |
security_result.description |
Parte dos security_result.description quando EventID é 1000, 1001 ou 1002. |
Scan Resources |
target.file.full_path |
Usado quando EventID é 1000. |
Scan Time Hours |
security_result.description |
Parte dos security_result.description quando EventID é 1001. |
Scan Time Minutes |
security_result.description |
Parte dos security_result.description quando EventID é 1001. |
Scan Time Seconds |
security_result.description |
Parte dos security_result.description quando EventID é 1001. |
Scan Type |
security_result.description |
Parte dos security_result.description quando EventID é 1000, 1001 ou 1002. |
Security intelligence Type |
security_result.description |
Parte dos security_result.description quando EventID é 2001. |
Security intelligence Version |
security_result.description |
Parte dos security_result.description quando EventID é 1011. |
SenderDisplayName |
principal.user.user_display_name |
O valor de properties.SenderDisplayName. |
SenderFromAddress |
network.email.from, principal.user.email_addresses |
O valor de properties.SenderFromAddress. |
SenderFromDomain |
principal.administrative_domain |
O valor de properties.SenderFromDomain. |
SenderIPv4 |
principal.ip, principal.asset.ip |
O valor de properties.SenderIPv4. |
SenderIPv6 |
principal.ip, principal.asset.ip |
O valor de properties.SenderIPv6. |
SenderMailFromAddress |
principal.user.attribute.labels |
Chave: SenderMailFromAddress, valor: properties.SenderMailFromAddress |
SenderMailFromDomain |
principal.user.attribute.labels |
Chave: SenderMailFromDomain, valor: properties.SenderMailFromDomain |
SenderObjectId |
principal.user.product_object_id |
O valor de properties.SenderObjectId. |
Severity Name |
security_result.severity |
Se o valor for Low, é definido como LOW. Se Moderate, define como MEDIUM. Se High ou Severe, define como HIGH. |
Severity |
security_result.severity |
Se o valor contiver informational, define como INFORMATIONAL. Se low, define como LOW. Se medium, define como MEDIUM. Se high, define como HIGH. Caso contrário, define como UNKNOWN_SEVERITY. |
Severity |
security_result.severity_details |
O valor de properties.Severity. |
SHA1 |
target.process.file.sha1 |
O valor de properties.SHA1. |
SHA256 |
target.process.file.sha256 |
O valor de properties.SHA256. |
SHA256 |
about.file.sha256 |
O valor de properties.SHA256 quando category contém EmailAttachmentInfo. |
Signature Type |
security_result.description |
Parte dos security_result.description quando EventID é 2000 ou 2010. |
SourceModuleName |
target.resource.name |
Usado quando EventID é 2008. |
Source Path |
security_result.description |
Parte dos security_result.description quando EventID é 2001. |
Subject |
network.email.subject |
O valor de properties.Subject. |
Tenant |
read_only_udm.additional.fields |
Chave: Tenant, valor: Tenant |
tenantId |
observer.cloud.project.id, target.resource_ancestors.product_object_id |
O valor de tenantId ou properties.tenantId. |
Threat ID |
security_result.threat_name |
Parte do security_result.threat_name quando EventID é 1011 ou 1116. |
ThreatNames |
security_result.threat_name |
O valor de properties.ThreatNames. |
Threat Types |
security_result.category |
Se o valor for Phish, define security_result_category como MAIL_PHISHING. Caso contrário, define como UNKNOWN_CATEGORY. |
Timestamp |
security_result.description |
Parte do security_result.description quando EventID é 1013. |
Timestamp |
metadata.event_timestamp |
Analisado para gerar o metadata.event_timestamp. |
Timestamp |
entity.asset.system_last_update_time |
O valor de properties.Timestamp quando category é AdvancedHunting-DeviceNetworkInfo. |
Title |
security_result.threat_name |
O valor de properties.Title. |
Update Source |
security_result.description |
Parte dos security_result.description quando EventID é 2001. |
Update State |
security_result.description |
Parte dos security_result.description quando EventID é 2001. |
Update Type |
security_result.description |
Parte dos security_result.description quando EventID é 2000 ou 2001. |
UserAgent |
network.http.user_agent |
O valor de properties.UserAgent. |
UserAgentTags |
additional.fields |
Cada elemento na matriz properties.UserAgentTags é adicionado como uma etiqueta com a chave UserAgentTags. |
Url |
target.url |
O valor de properties.Url. |
UrlCount |
read_only_udm.additional.fields |
Chave: UrlCount, valor: properties.UrlCount |
UrlDomain |
target.hostname, target.asset.hostname |
O valor de properties.UrlDomain. |
UrlLocation |
read_only_udm.additional.fields |
Chave: UrlLocation, valor: properties.UrlLocation |
User |
target.user.userid |
Usado quando EventID é 1000, 1001, 1002, 1011, 1013, 2000 ou 2002, ou quando Message contém \tUser:. |
UserID |
principal.user.userid |
Usado quando EventID é 2010 ou 2011. |
| (Lógica do analisador) | metadata.event_type |
Inicialmente, é definido como GENERIC_EVENT e, em seguida, é substituído com base noutros campos e lógica. Os valores comuns incluem NETWORK_CONNECTION, PROCESS_LAUNCH, FILE_CREATION, FILE_MODIFICATION, USER_LOGIN, SCAN_HOST, SCAN_PROCESS, SYSTEM_AUDIT_LOG_WIPE, SETTING_MODIFICATION, FILE_DELETION, PROCESS_MODULE_LOAD, PROCESS_UNCATEGORIZED, STATUS_UPDATE, PROCESS_OPEN, NETWORK_DNS, FILE_MOVE, REGISTRY_CREATION, REGISTRY_DELETION, REGISTRY_MODIFICATION, SCHEDULED_TASK_CREATION, SCHEDULED_TASK_DELETION, SCHEDULED_TASK_MODIFICATION, SCAN_NETWORK e USER_UNCATEGORIZED. |
| (Lógica do analisador) | metadata.vendor_name |
Definido como Microsoft. |
| (Lógica do analisador) | metadata.product_name |
Inicialmente, é definido como Windows Defender ATP e, em seguida, pode ser substituído pelo campo category. |
| (Lógica do analisador) | metadata.product_event_type |
Inicialmente, é definido como GENERIC_EVENT e, em seguida, é substituído com base noutros campos e lógica. |
| (Lógica do analisador) | metadata.product_version |
Definido com base em Product Version ou properties.InitiatingProcessVersionInfoProductVersion. |
| (Lógica do analisador) | metadata.log_type |
Definido como WINDOWS_DEFENDER_ATP. |
| (Lógica do analisador) | principal.resource.type |
Definido como PROVIDER ao analisar syslog/JSON ou XML. |
| (Lógica do analisador) | target.resource_ancestors |
Contém um único elemento principal com product_object_id definido como tenantId. |
| (Lógica do analisador) | security_result.summary |
Definido com base em EventID, properties.ActionType ou properties.Title e properties.Category. |
| (Lógica do analisador) | security_result.description |
Construído a partir de vários campos, consoante o EventID ou o properties.ActionType. |
| (Lógica do analisador) | security_result.action |
Inicialmente, definido como ALLOW e, em seguida, potencialmente substituído com base em AdditionalFields.WasRemediated, ActionType ou Action Name. |
| (Lógica do analisador) | security_result.severity |
Definido com base em Severity Name ou properties.Severity. |
| (Lógica do analisador) | security_result.category |
Definido com base em Threat Types. |
| (Lógica do analisador) | network.direction |
Definido com base em RemoteIP, LocalIP ou EmailDirection. |
| (Lógica do analisador) | network.ip_protocol |
Definido como TCP quando metadata.event_type é NETWORK_CONNECTION. |
| (Lógica do analisador) | network.session_id |
Definido com base em properties.RawEventData.SessionId. |
| (Lógica do analisador) | network.http.user_agent |
Definido com base em properties.UserAgent. |
| (Lógica do analisador) | network.email.mail_id |
Definido com base em properties.NetworkMessageId. |
| (Lógica do analisador) | network.email.subject |
Definido com base em properties.Subject. |
| (Lógica do analisador) | network.email.from |
Definido com base em properties.SenderFromAddress. |
| (Lógica do analisador) | network.email.to |
Definido com base em properties.RecipientEmailAddress. |
| (Lógica do analisador) | network.dns.questions.name |
Definido com base em AdditionalFields.DnsQueryString. |
| (Lógica do analisador) | network.dns.questions.type |
Definido com base em properties.RawEventData.RecordType. |
| (Lógica do analisador) | network.dns.answers |
Construído a partir de AdditionalFields.DnsQueryResult. |
| (Lógica do analisador) | extensions.auth.type |
Defina como MACHINE quando ActionType for LogonAttempted ou LogonSuccess. |
| (Lógica do analisador) | extensions.auth.mechanism |
Definido com base em LogonType ou AdditionalFields.IsLocalLogon. |
| (Lógica do analisador) | extensions.auth.auth_details |
Definido com base em properties.AuthenticationDetails. |
| (Lógica do analisador) | entity.asset.asset_id |
Construído com WINDOWS: + DeviceId ou properties.DeviceId. |
| (Lógica do analisador) | entity.asset.product_object_id |
Definido como DeviceId ou properties.DeviceId. |
| (Lógica do analisador) | entity.asset.network_domain |
Extraído de ConnectedNetworks. |
| (Lógica do analisador) | entity.asset.ip |
Definido com base em IPAddresses, _ipaddress, PublicIP ou LocalIP. |
| (Lógica do analisador) | entity.asset.mac |
Definido com base em MacAddress ou properties.MacAddress. |
| (Lógica do analisador) | entity.asset.hostname |
Definido com base em DeviceName ou properties.DeviceName. |
| (Lógica do analisador) | entity.asset.platform_software.platform |
Definido com base em OSPlatform. |
| (Lógica do analisador) | entity.asset.platform_software.platform_version |
Definido com base em OSVersion. |
| (Lógica do analisador) | entity.asset.category |
Definido com base em DeviceCategory. |
| (Lógica do analisador) | entity.asset.type |
Definido como WORKSTATION para eventos de informações de dispositivos e redes. |
| (Lógica do analisador) | entity.asset.system_last_update_time |
Definido com base em properties.Timestamp para eventos de informações de rede. |
| (Lógica do analisador) | entity.relations |
Construído a partir de LoggedOnUsers. |
| (Lógica do analisador) | entity.metadata.entity_type |
Definido como ASSET para eventos de dispositivos, de rede e de recursos. |
| (Lógica do analisador) | about.labels |
Contém etiquetas para vários campos que não se enquadram diretamente no esquema de UDM. |
| (Lógica do analisador) | principal.user.attribute.labels |
Contém etiquetas para vários campos relacionados com o utilizador. |
| (Lógica do analisador) | principal.resource.attribute.labels |
Contém etiquetas para vários campos relacionados com recursos. |
| (Lógica do analisador) | target.resource.resource_type |
Definido como TASK para eventos de tarefas agendadas e SETTING para eventos de modificação de definições. |
| (Lógica do analisador) | target.resource.name |
Definido com base em SourceModuleName, AdditionalFields.TaskName ou _taskname. |
| (Lógica do analisador) | target.resource.product_object_id |
Definido com base em properties.ReportId. |
| (Lógica do analisador) | target.resource_ancestors |
Definido com base em tenantId. |
| (Lógica do analisador) | target.registry.registry_key |
Definido com base em RegistryKey, PreviousRegistryKey ou properties.RegistryKey. |
| (Lógica do analisador) | target.registry.registry_value_name |
Definido com base em RegistryValueName ou properties.RegistryValueName. |
| (Lógica do analisador) | target.registry.registry_value_data |
Definido com base em RegistryValueData ou properties.RegistryValueData. |
| (Lógica do analisador) | intermediary.user.userid |
Definido com base em Remediation User. |
| (Lógica do analisador) | metadata.collected_timestamp |
Definido como a data/hora do evento para eventos de informações de recursos e de rede. |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.