Recopila registros de EDR de SentinelOne

Compatible con:

En este documento, se explica cómo exportar registros de SentinelOne a Google Cloud Storage con SentinelOne Cloud Funnel. Dado que SentinelOne no ofrece una integración integrada para exportar registros directamente a Google Cloud Storage, Cloud Funnel actúa como un servicio intermediario para enviar registros a Cloud Storage.

Antes de comenzar

  • Asegúrate de tener una instancia de Google SecOps.
  • Asegúrate de tener acceso con privilegios a la Google Cloud plataforma.
  • Asegúrate de tener acceso con privilegios a SentinelOne.

Configura los permisos de Cloud Funnel para acceder a Cloud Storage

  1. Accede a la consola de Google Cloud.
  2. Ve a IAM y administración.
  3. En la página IAM, agrega un rol de IAM nuevo para la cuenta de servicio de Cloud Funnel:
    • Asigna permisos de Creador de objetos de almacenamiento.
    • Opcional: Asigna el Visualizador de objetos de almacenamiento si necesitas que Cloud Funnel lea objetos del bucket.
  4. Otorga estos permisos a la cuenta de servicio de Cloud Funnel.

Crea un bucket de Cloud Storage

  1. Accede a la consola de Google Cloud.
  2. Ve a Almacenamiento > Navegador.
  3. Haz clic en Crear bucket.
  4. Proporciona la siguiente configuración:
    • Nombre del bucket: Elige un nombre único para tu bucket (por ejemplo, sentinelone-logs).
    • Ubicación de almacenamiento: Selecciona la región en la que residirá el bucket (por ejemplo, US-West1).
    • Clase de almacenamiento: Elige una clase de almacenamiento Estándar.
  5. Haz clic en Crear.

Configura Cloud Funnel en SentinelOne

  1. En la consola de SentinelOne, ve a Configuración.
  2. Busca la opción Cloud Funnel (en Integrations).
  3. Si aún no está habilitado, haz clic en Habilitar embudo de Cloud.
  4. Una vez habilitada, se te solicitará que configures la configuración de Destino.
    • Selección de destino: Elige Google Cloud Storage como destino para exportar registros.
    • Google Cloud Storage: Proporciona las credenciales de Google Cloud Storage.
    • Frecuencia de exportación de registros: Establece la frecuencia para exportar registros (por ejemplo, por hora o a diario).

Configura la exportación de registros de embudo de Cloud

  1. En la sección Configuración del embudo de Cloud de la consola de SentinelOne, establece lo siguiente:
    • Frecuencia de exportación de registros: Elige la frecuencia con la que se deben exportar los registros (por ejemplo, cada hora o cada día).
    • Formato de registro: Elige el formato JSON.
    • Nombre del bucket: Ingresa el nombre del bucket de Google Cloud Storage que creaste antes (por ejemplo, sentinelone-logs).
    • Opcional: Prefijo de ruta de registro: Especifica un prefijo para organizar los registros dentro del bucket (por ejemplo, sentinelone-logs/).
  2. Una vez que hayas configurado los parámetros, haz clic en Guardar para aplicar los cambios.

Configura un feed en Google SecOps para transferir los registros de EDR de Sentinel

  1. Ve a Configuración de SIEM > Feeds.
  2. Haz clic en Agregar nueva.
  3. En el campo Nombre del feed, ingresa un nombre para el feed (por ejemplo, Registros de EDR de Sentinel).
  4. Selecciona Google Cloud Storage como el Tipo de fuente.
  5. Selecciona Sentinel EDR como el Tipo de registro.
  6. Haz clic en Obtener cuenta de servicio como la cuenta de servicio de Chronicle.
  7. Haz clic en Siguiente.

  8. Especifica valores para los siguientes parámetros de entrada:

    • URI del bucket de almacenamiento: Es la URL del bucket de Cloud Storage en formato gs://my-bucket/<value>.
    • URI Is A: Selecciona Directorio que incluye subdirectorios.

    • Opciones de eliminación de fuentes: Selecciona la opción de eliminación según tus preferencias.

    • Espacio de nombres de recursos: Es el espacio de nombres de recursos.

    • Etiquetas de transferencia: Es la etiqueta que se aplica a los eventos de este feed.

  9. Haz clic en Siguiente.

  10. Revisa la configuración de tu nuevo feed en la pantalla Finalizar y, luego, haz clic en Enviar.

Tabla de asignación de la UDM

Campo de registro Asignación de UDM Lógica
event.contentHash.sha256 target.process.file.sha256 Es el hash SHA-256 del archivo del proceso de destino, extraído del campo event.contentHash.sha256 en el registro sin procesar.
event.decodedContent target.labels Es el contenido decodificado de una secuencia de comandos, extraído del campo event.decodedContent en el registro sin procesar. Se agrega como una etiqueta con la clave Decoded Content al objeto de destino.
event.destinationAddress.address target.ip Es la dirección IP del destino, extraída del campo event.destinationAddress.address en el registro sin procesar.
event.destinationAddress.port target.port Es el puerto del destino, extraído del campo event.destinationAddress.port en el registro sin procesar.
event.method network.http.method Es el método HTTP del evento, extraído del campo event.method en el registro sin procesar.
event.newValueData target.registry.registry_value_data Los datos del valor nuevo del valor del registro, extraídos del campo event.newValueData en el registro sin procesar
event.process.commandLine target.process.command_line La línea de comandos del proceso, extraída del campo event.process.commandLine en el registro sin procesar.
event.process.executable.hashes.md5 target.process.file.md5 El hash MD5 del ejecutable del proceso, extraído del campo event.process.executable.hashes.md5 en el registro sin procesar
event.process.executable.hashes.sha1 target.process.file.sha1 El hash SHA-1 del ejecutable del proceso, extraído del campo event.process.executable.hashes.sha1 en el registro sin procesar
event.process.executable.hashes.sha256 target.process.file.sha256 El hash SHA-256 del ejecutable del proceso, extraído del campo event.process.executable.hashes.sha256 en el registro sin procesar.
event.process.executable.path target.process.file.full_path Es la ruta de acceso completa del ejecutable del proceso, extraída del campo event.process.executable.path en el registro sin procesar.
event.process.executable.sizeBytes target.process.file.size Es el tamaño del ejecutable del proceso, extraído del campo event.process.executable.sizeBytes en el registro sin procesar.
event.process.fullPid.pid target.process.pid El PID del proceso, extraído del campo event.process.fullPid.pid en el registro sin procesar.
event.query network.dns.questions.name La consulta de DNS, extraída del campo event.query en el registro sin procesar
event.regKey.path target.registry.registry_key Es la ruta de acceso de la clave de registro, extraída del campo event.regKey.path en el registro sin procesar.
event.regValue.key.value target.registry.registry_name, target.registry.registry_value_name Es el nombre del valor del registro, extraído del campo event.regValue.key.value en el registro sin procesar.
event.regValue.path target.registry.registry_key Es la ruta de acceso del valor del registro, que se extrae del campo event.regValue.path en el registro sin procesar.
event.results network.dns.answers.data Las respuestas de DNS, extraídas del campo event.results en el registro sin procesar Los datos se dividen en respuestas individuales con el separador ";".
event.source.commandLine principal.process.command_line La línea de comandos del proceso de origen, extraída del campo event.source.commandLine en el registro sin procesar.
event.source.executable.hashes.md5 principal.process.file.md5 El hash MD5 del ejecutable del proceso de origen, extraído del campo event.source.executable.hashes.md5 en el registro sin procesar.
event.source.executable.hashes.sha1 principal.process.file.sha1 El hash SHA-1 del ejecutable del proceso de origen, extraído del campo event.source.executable.hashes.sha1 en el registro sin procesar.
event.source.executable.hashes.sha256 principal.process.file.sha256 El hash SHA-256 del ejecutable del proceso de origen, extraído del campo event.source.executable.hashes.sha256 en el registro sin procesar.
event.source.executable.path principal.process.file.full_path Es la ruta de acceso completa del ejecutable del proceso de origen, extraída del campo event.source.executable.path en el registro sin procesar.
event.source.executable.signature.signed.identity principal.resource.attribute.labels La identidad firmada del ejecutable del proceso de origen, extraída del campo event.source.executable.signature.signed.identity en el registro sin procesar. Se agrega como una etiqueta con la clave Source Signature Signed Identity a las etiquetas de atributos de recursos principales.
event.source.executable.sizeBytes principal.process.file.size Es el tamaño del ejecutable del proceso de origen, extraído del campo event.source.executable.sizeBytes en el registro sin procesar.
event.source.fullPid.pid principal.process.pid El PID del proceso de origen, extraído del campo event.source.fullPid.pid en el registro sin procesar
event.source.parent.commandLine principal.process.parent_process.command_line La línea de comandos del proceso superior de origen, extraída del campo event.source.parent.commandLine en el registro sin procesar
event.source.parent.executable.hashes.md5 principal.process.parent_process.file.md5 El hash MD5 del ejecutable del proceso superior de la fuente, extraído del campo event.source.parent.executable.hashes.md5 en el registro sin procesar
event.source.parent.executable.hashes.sha1 principal.process.parent_process.file.sha1 El hash SHA-1 del ejecutable del proceso superior de la fuente, extraído del campo event.source.parent.executable.hashes.sha1 en el registro sin procesar
event.source.parent.executable.hashes.sha256 principal.process.parent_process.file.sha256 El hash SHA-256 del ejecutable del proceso superior de origen, extraído del campo event.source.parent.executable.hashes.sha256 en el registro sin procesar.
event.source.parent.executable.signature.signed.identity principal.resource.attribute.labels La identidad firmada del ejecutable del proceso superior de origen, extraída del campo event.source.parent.executable.signature.signed.identity en el registro sin procesar. Se agrega como una etiqueta con la clave Source Parent Signature Signed Identity a las etiquetas de atributos de recursos principales.
event.source.parent.fullPid.pid principal.process.parent_process.pid El PID del proceso superior de origen, extraído del campo event.source.parent.fullPid.pid en el registro sin procesar.
event.source.user.name principal.user.userid Es el nombre de usuario del usuario del proceso de origen, extraído del campo event.source.user.name en el registro sin procesar.
event.source.user.sid principal.user.windows_sid El SID de Windows del usuario del proceso de origen, extraído del campo event.source.user.sid en el registro sin procesar.
event.sourceAddress.address principal.ip Es la dirección IP de la fuente, extraída del campo event.sourceAddress.address en el registro sin procesar.
event.sourceAddress.port principal.port Es el puerto de la fuente, extraído del campo event.sourceAddress.port en el registro sin procesar.
event.target.executable.hashes.md5 target.process.file.md5 El hash MD5 del ejecutable del proceso de destino, extraído del campo event.target.executable.hashes.md5 en el registro sin procesar
event.target.executable.hashes.sha1 target.process.file.sha1 El hash SHA-1 del ejecutable del proceso de destino, extraído del campo event.target.executable.hashes.sha1 en el registro sin procesar.
event.target.executable.hashes.sha256 target.process.file.sha256 El hash SHA-256 del ejecutable del proceso de destino, extraído del campo event.target.executable.hashes.sha256 en el registro sin procesar.
event.target.executable.path target.process.file.full_path Es la ruta de acceso completa del ejecutable del proceso de destino, extraída del campo event.target.executable.path en el registro sin procesar.
event.target.executable.signature.signed.identity target.resource.attribute.labels La identidad firmada del ejecutable del proceso de destino, extraída del campo event.target.executable.signature.signed.identity en el registro sin procesar. Se agrega como una etiqueta con la clave Target Signature Signed Identity a las etiquetas de atributos del recurso de destino.
event.target.executable.sizeBytes target.process.file.size Es el tamaño del ejecutable del proceso de destino, extraído del campo event.target.executable.sizeBytes en el registro sin procesar.
event.target.fullPid.pid target.process.pid El PID del proceso de destino, extraído del campo event.target.fullPid.pid en el registro sin procesar.
event.targetFile.path target.file.full_path Es la ruta de acceso completa del archivo de destino, extraída del campo event.targetFile.path en el registro sin procesar.
event.targetFile.signature.signed.identity target.resource.attribute.labels La identidad firmada del archivo de destino, extraída del campo event.targetFile.signature.signed.identity en el registro sin procesar Se agrega como una etiqueta con la clave Target File Signature Signed Identity a las etiquetas de atributos del recurso de destino.
event.trueContext.key.value No se asignan a la UDM.
event.type metadata.description Es el tipo de evento, extraído del campo event.type en el registro sin procesar.
event.url target.url Es la URL del evento, extraída del campo event.url en el registro sin procesar.
meta.agentVersion metadata.product_version, metadata.product_version Es la versión del agente, extraída del campo meta.agentVersion en el registro sin procesar.
meta.computerName principal.hostname, target.hostname Es el nombre de host de la computadora, extraído del campo meta.computerName en el registro sin procesar.
meta.osFamily principal.asset.platform_software.platform, target.asset.platform_software.platform Es la familia del sistema operativo de la computadora, que se extrae del campo meta.osFamily en el registro sin procesar. Se asigna a LINUX para linux y a WINDOWS para windows.
meta.osRevision principal.asset.platform_software.platform_version, target.asset.platform_software.platform_version Es la revisión del sistema operativo de la computadora, extraída del campo meta.osRevision en el registro sin procesar.
meta.traceId metadata.product_log_id El ID de seguimiento del evento, extraído del campo meta.traceId en el registro sin procesar
meta.uuid principal.asset.product_object_id, target.asset.product_object_id El UUID de la computadora, extraído del campo meta.uuid en el registro sin procesar
metadata_event_type metadata.event_type Es el tipo de evento que establece la lógica del analizador en función del campo event.type.
metadata_product_name metadata.product_name Es el nombre del producto, que la lógica del analizador establece en Singularity XDR.
metadata_vendor_name metadata.vendor_name Es el nombre del proveedor, que la lógica del analizador establece en SentinelOne.
network_application_protocol network.application_protocol Es el protocolo de aplicación de la conexión de red, que la lógica del analizador establece en DNS para los eventos de DNS.
network_dns_questions.name network.dns.questions.name Es el nombre de la pregunta de DNS, que se extrae del campo event.query en el registro sin procesar.
network_direction network.direction Es la dirección de la conexión de red, que la lógica del analizador establece en OUTBOUND para las conexiones salientes y en INBOUND para las entrantes.
network_http_method network.http.method Es el método HTTP del evento, extraído del campo event.method en el registro sin procesar.
principal.process.command_line target.process.command_line La línea de comandos del proceso principal, extraída del campo principal.process.command_line y asignada a la línea de comandos del proceso de destino.
principal.process.file.full_path target.process.file.full_path Es la ruta de acceso completa del archivo del proceso principal, que se extrae del campo principal.process.file.full_path y se asigna a la ruta de acceso completa del archivo del proceso de destino.
principal.process.file.md5 target.process.file.md5 El hash MD5 del archivo del proceso principal, extraído del campo principal.process.file.md5 y asignado al MD5 del archivo del proceso de destino.
principal.process.file.sha1 target.process.file.sha1 El hash SHA-1 del archivo del proceso principal, extraído del campo principal.process.file.sha1 y asignado al SHA-1 del archivo del proceso de destino.
principal.process.file.sha256 target.process.file.sha256 El hash SHA-256 del archivo del proceso principal, extraído del campo principal.process.file.sha256 y asignado al hash SHA-256 del archivo del proceso de destino.
principal.process.file.size target.process.file.size Es el tamaño del archivo del proceso principal, extraído del campo principal.process.file.size y asignado al tamaño del archivo del proceso de destino.
principal.process.pid target.process.pid El PID del proceso principal, extraído del campo principal.process.pid y asignado al PID del proceso de destino.
principal.user.userid target.user.userid El ID de usuario del principal, extraído del campo principal.user.userid y asignado al ID de usuario de destino
principal.user.windows_sid target.user.windows_sid El SID de Windows del principal, extraído del campo principal.user.windows_sid y asignado al SID de Windows del usuario de destino

Cambios

2024-07-29

Mejora:

  • Si registry.keyPath o registry.value no son nulos, solo se asignó metadata.event_type a REGISTRY_CREATION.

2024-07-23

Mejora:

  • Se asignó agentDetectionInfo.agentOsName a target.platform_version.
  • Se asignó agentDetectionInfo.agentLastLoggedInUserName a target.user.userid.

2024-07-09

Corrección de errores:

  • Se cambió la asignación de suser de principal.user.userid a target.user.userid.
  • Se cambió la asignación de suser de principal.user.user_display_name a target.user.user_display_name.
  • Se quitó la asignación de accountId de target.user.userid.
  • Se asignó prin_user a principal.user.userid.

2024-06-03

Mejora:

  • Se asignó suser a principal.user.userid.
  • Se asignó accountId a target.user.userid.
  • Se asignó MessageSourceAddress a principal.ip.
  • Se asignó machine_host a principal.hostname.

2024-05-20

Mejora:

  • Se asignó event.dns.response a network.dns.answers.data.

2024-05-06

Mejora:

  • Se agregó compatibilidad con un nuevo patrón de registros JSON.

2024-03-22

Mejora:

  • Se agregó un nuevo patrón de Grok para analizar el nuevo formato de registros de KV separados por tabulaciones.
  • Se asignó osName a src.platform.

2024-03-15

Mejora:

  • Se asignó site.id:account.id:agent.uuid:tgt.process.uid a target.process.product_specific_process_id.
  • Se asignó site.id:account.id:agent.uuid:src.process.uid a principal.process.product_specific_process_id.
  • Se asignó site.id:account.id:agent.uuid:src.process.parent.uid a principal.process.parent_process.product_specific_process_id.
  • Se quitó src.process.cmdline de la asignación a target.process.command_line.

2023-11-09

  • Solución:
  • Se asignó tgt.process.user a target.user.userid.

2023-10-30

  • Solución:
  • Se agregó la verificación de no nulo a principal_port antes de la asignación a UDM.
  • Cuando event.category es url y meta.event.name es HTTP, se asignó metadata.event_type a NETWORK_HTTP.

2023-09-06

  • Se agregó la asignación de tgt.process.storyline.id a security_result.about.resource.attribute.labels.
  • Se modificó la asignación de src.process.storyline.id de principal.process.product_specific_process_id a security_result.about.resource.attribute.labels.
  • Se modificó la asignación de src.process.parent.storyline.id de principal.parent.process.product_specific_process_id a security_result.about.resource.attribute.labels.

2023-08-31

  • Se asignó indicator.category a security_result.category_details.

2023-08-03

  • Se inicializó event_data.login.loginIsSuccessful como nulo.
  • Se asignó module.path a target.process.file.full_path y target.file.full_path, donde event.type es Module Load.
  • Se asignó module.sha1 a target.process.file.sha1 y target.file.sha1, donde event.type es Module Load.
  • Se asignó metadata.event_type a PROCESS_MODULE_LOAD, donde event.type es Module Load.
  • Se asignó registry.keyPath a target.registry.registry_key para los eventos REGISTRY_*.
  • Se asignó registry.value a target.registry.registry_value_data para los eventos REGISTRY_*.
  • Se asignó event.network.protocolName a network.application_protocol.
  • Se asignan principal.platform y principal.asset.platform_software.platform a LINUX si endpoint.os es linux.
  • Se asignó event.login.userName a target.user.userid cuando event.type es Login o Logout..
  • Se asignó target.hostname mediante la obtención del nombre de host de url.address cuando event.type es GET, OPTIONS, POST, PUT, DELETE, CONNECT, HEAD.

2023-06-09

  • Se asignó osSrc.process.parent.publisher a principal.resource.attribute.labels.
  • Se asignó src.process.rUserName/src.process.eUserName/src.process.lUserName a principal.user.user_display_name.
  • Se agregó una verificación a los campos src.process.eUserId, src.process.lUserId y tgt.process.rUserUid antes de la asignación a la UDM.
  • Se asignaron tgt.file.location, registry.valueFullSize y registry.valueType a target.resource.attribute.labels.
  • Se asignó indicator.description a security_result.summary.
  • Se asignó metadata.event_type a SCAN_NETWORK, en el que event.type es Behavioral Indicators.
  • Se asignó metadata.event_type a SCAN_UNCATEGORIZED, en el que event.type es Command Script.
  • Campos inicializados meta.osFamily, meta.osRevision, event.type.
  • Se agregó ISO8601 al filtro de fecha para analizar la marca de tiempo ISO8601.
  • Se agregó on_error a la conversión de cadenas @timestamp.
  • Se agregó on_error a la asignación anterior de meta.uuid.

2023-05-25

  • Se asignó event.source.commandLine a principal.process.command_line.
  • Se asignó event.source.executable.path a principal.process.file.full_path.
  • Establece metadata.event_type en PROCESS_OPEN, donde event.type es openProcess.
  • Se asignó site.name:site.id a principal.namespace si site.name y site.id no son nulos.
  • Se asignó event.network.direction a network.direction.
  • Se asignó meta.event.name a metadata.description.
  • Se asignó task.name a target.resource.name.
  • Se asignó agent.uuid a principal.asset.product_object_id.
  • Se asignó src.process.publisher a principal.resource.attribute.labels.
  • Se asignó src.process.cmdline a target.process.command_line.
  • Se asignó mgmt.osRevision a principal.asset.platform_software.platform_version.
  • security_result.category asignado según el valor de indicator.category
  • Se asignó event.dns.response a network.dns.answers.
  • Se asignó registry.keyPath a target.registry.registry_key.
  • Se asignó event.id a target.registry.registry_value_name.

2023-04-27

  • Se asignó event.type a metadata.product_event_type para los registros de Cloud Funnel v2.

2023-04-20

Mejora:

  • Se agregó la verificación condicional nula y de "-" para el campo data.ipAddress.
  • Se agregó la verificación condicional de grok para el campo sourceMacAddresses.

2023-03-02

Mejora:

  • Cuando (event.type == tcpv4 y event.direction == INCOMING) o event.type contiene (processExit|processTermination|processModification|duplicate), se asignó event.source.executable.signature.signed.identity a target.resource.attribute.labels, de lo contrario, se asignó a principal.resource.attribute.labels.
  • Se asignó event.parent.executable.signature.signed.identity, event.process.executable.signature.signed.identity toprincipal.resource.attribute.labels,`.
  • Se asignaron event.targetFile.signature.signed.identity, event.target.executable.signature.signed.identity y event.target.parent.executable.signature.signed.identity a target.resource.attribute.labels.

2023-02-24

Corrección de errores:

  • Se refactorizó el código para diferenciar claramente entre las versiones de registro.
  • En el caso de los registros de embudo de nube USER_LOGIN v2, se asignaron los detalles de event.login.lognIsSuccessful a security_result.action y security_result.summary.

13-2-2023

Corrección de errores:

  • Se analizaron los registros de embudo de nube v1 según sea necesario.
  • Asignar todos los registros HTTP a NETWORK_HTTP
  • NETWORK_HTTP debe tener el campo de URL asignado a target.url en lugar de metadata.url_back_to_product.

2023-01-20

Mejora:

  • Se asignó el campo "event.url" a "target.hostname" y "target.url".
  • Se asignó "metadata.event_type" a "NETWORK_HTTP" donde "event.type" == "http".

2023-01-16

BugFix:

  • Se asignó mgmt.url a metadata.url_back_to_product en lugar de target.url.
  • Se asignó site.name a principal.location.name.
  • Se asignó src.process.rUserUid a principal.user.userid.
  • Se asignó src.process.eUserId a principal.user.userid.
  • Se asignó src.process.lUserId a principal.user.userid.
  • Se asignó src.process.parent.rUserUid a metadata.ingestion_labels.
  • Se asignó src.process.parent.eUserId a metadata.ingestion_labels.
  • Se asignó src.process.parent.lUserId a metadata.ingestion_labels.
  • Se asignó tgt.process.rUserUid a target.user.userid.
  • Se asignó tgt.process.eUserId a target.user.userid.
  • Se asignó tgt.process.lUserId a target.user.userid.
  • Si event.type es Process Creation, se asigna metadata.event_type a PROCESS_LAUNCH.
  • Si event.type es Duplicate Process Handle, se asigna metadata.event_type a PROCESS_OPEN.
  • Si event.type es Duplicate Thread Handle, se asigna metadata.event_type a PROCESS_OPEN.
  • Si event.type es Open Remote Process Handle, metadata.event_type se asigna a PROCESS_OPEN.
  • Si event.type es Remote Thread Creation, se asigna metadata.event_type a PROCESS_LAUNCH.
  • Si event.type es Command Script, metadata.event_type se asigna a FILE_UNCATEGORIZED.
  • Si event.type es IP Connect, se asigna metadata.event_type a NETWORK_CONNECTION.
  • Si event.type es IP Listen, se asigna metadata.event_type a NETWORK_UNCATEGORIZED.
  • Si event.type es File ModIfication, se asigna metadata.event_type a FILE_MODIfICATION.
  • Si event.type es File Creation, se asigna metadata.event_type a FILE_CREATION.
  • Si event.type es File Scan, se asigna metadata.event_type a FILE_UNCATEGORIZED.
  • Si event.type es File Deletion, se asigna metadata.event_type a FILE_DELETION.
  • Si event.type es File Rename, se asigna metadata.event_type a FILE_MODIfICATION.
  • Si event.type es Pre Execution Detection, se asigna metadata.event_type a FILE_UNCATEGORIZED.
  • Si event.type es Login, se asigna metadata.event_type a USER_LOGIN.
  • Si event.type es Logout, metadata.event_type se asigna a USER_LOGOUT.
  • Si event.type es GET, metadata.event_type se asigna a NETWORK_HTTP.
  • Si event.type es OPTIONS, metadata.event_type se asigna a NETWORK_HTTP.
  • Si event.type es POST, se asigna metadata.event_type a NETWORK_HTTP.
  • Si event.type es PUT, se asigna metadata.event_type a NETWORK_HTTP.
  • Si event.type es DELETE, metadata.event_type se asigna a NETWORK_HTTP.
  • Si event.type es CONNECT, metadata.event_type se asigna a NETWORK_HTTP.
  • Si event.type es HEAD, se asigna metadata.event_type a NETWORK_HTTP.
  • Si event.type es Not Reported, metadata.event_type se asigna a STATUS_UNCATEGORIZED.
  • Si event.type es DNS Resolved, metadata.event_type se asigna a NETWORK_DNS.
  • Si event.type es DNS Unresolved, metadata.event_type se asigna a NETWORK_DNS.
  • Si event.type es Task Register, se asigna metadata.event_type a SCHEDULED_TASK_CREATION.
  • Si event.type es Task Update, se asigna metadata.event_type a SCHEDULED_TASK_MODIfICATION.
  • Si event.type es Task Start, metadata.event_type se asigna a SCHEDULED_TASK_UNCATEGORIZED.
  • Si event.type es Task Trigger, metadata.event_type se asigna a SCHEDULED_TASK_UNCATEGORIZED.
  • Si event.type es Task Delete, metadata.event_type se asigna a SCHEDULED_TASK_DELETION.
  • Si event.type es Registry Key Create, se asigna metadata.event_type a REGISTRY_CREATION.
  • Si event.type es Registry Key Rename, se asigna metadata.event_type a REGISTRY_MODIfICATION.
  • Si event.type es Registry Key Delete, se asigna metadata.event_type a REGISTRY_DELETION.
  • Si event.type es Registry Key Export, metadata.event_type se asigna a REGISTRY_UNCATEGORIZED.
  • Si event.type es Registry Key Security Changed, se asigna metadata.event_type a REGISTRY_MODIfICATION.
  • Si event.type es Registry Key Import, metadata.event_type se asigna a REGISTRY_CREATION.
  • Si event.type es Registry Value ModIfied, metadata.event_type se asigna a REGISTRY_MODIfICATION.
  • Si event.type es Registry Value Create, se asigna metadata.event_type a REGISTRY_CREATION.
  • Si event.type es Registry Value Delete, metadata.event_type se asigna a REGISTRY_DELETION.
  • Si event.type es Behavioral Indicators, se asigna metadata.event_type a SCAN_UNCATEGORIZED.
  • Si event.type es Module Load, se asigna metadata.event_type a PROCESS_MODULE_LOAD.
  • Si event.type es Threat Intelligence Indicators, se asigna metadata.event_type a SCAN_UNCATEGORIZED.
  • Si event.type es Named Pipe Creation, metadata.event_type se asigna a PROCESS_UNCATEGORIZED.
  • Si event.type es Named Pipe Connection, metadata.event_type se asigna a PROCESS_UNCATEGORIZED.
  • Si event.type es Driver Load, metadata.event_type se asigna a PROCESS_MODULE_LOAD.

30-11-2022

Mejora:

  • Se mejoró el analizador para admitir los registros transferidos en la versión 2 asignando los siguientes campos.
  • Se asignó account.id a metadata.product_deployment_id.
  • Se asignó agent.uuid a principal.asset.asset_id.
  • Se asignó dst.ip.address a target.ip.
  • Se asignó src.ip.address a principal.ip.
  • Se asignó src.process.parent.image.sha1 a principal.process.parent_process.file.sha1.
  • Se asignó src.process.parent.image.sha256 a principal.process.parent_process.file.sha256.
  • Se asignó src.process.parent.image.path a principal.process.parent_process.file.full_path.
  • Se asignó src.process.parent.cmdline a principal.process.parent_process.command_line.
  • Se asignó src.process.parent.image.md5 a principal.process.parent_process.file.md5.
  • Se asignó src.process.parent.pid a principal.process.parent_process.pid.
  • Se asignó src.process.image.sha1 a principal.process.file.sha1.
  • Se asignó src.process.image.md5 a principal.process.file.md5.
  • Se asignó src.process.pid a principal.process.pid.
  • Se asignó src.process.cmdline a principal.process.command_line.
  • Se asignó src.process.image.path a principal.process.file.full_path.
  • Se asignó src.process.image.sha256 a principal.process.file.sha256.
  • Se asignó src.process.user a principal.user.user_display_name.
  • Se asignó src.process.uid a principal.user.userid.
  • Se asignó src.process.storyline.id a principal.process.product_specific_process_id.
  • Se asignó src.process.parent.storyline.id a principal.process.parent_process.product_specific_process_id.
  • Se asignó mgmt.url a target.url.
  • Se asignó site.id a principal.namespace.
  • Se asignó src.port.number a principal.port.
  • Se asignó dst.port.number a target.port.
  • Se asignó event_data.id a metadata.product_log_id.

2022-10-11

Mejora:

  • Se asignó threatClassification a security_result.category_details.
  • Se asignaron threatConfidenceLevel y threatMitigationStatus a security_result.detection_fields.
  • Se asignó Location a principal.location.name.
  • Se asignó data.filePath a principal.process.parent_process.file.full_path.
  • Se actualizó la asignación (valor de CAT)security_result.category_details a metadata.product_event_type.

2022-09-01

Mejora:

  • Se cambió metadata.product_name de SentinelOne a Singularity.
  • Se asignó event.regValue.key.value a target.registry.registry_value_name.
  • Se asignó principal_userid a principal.user.userid.
  • Se asignó principal_domain a principal.administrative_domain.
  • Se asignó threatInfo.threatId a security_result.threat_id
  • Se asignó threatInfo.identifiedAt a metadata.event_timestamp.
  • Se asignó threatInfo.threatId a metadata.product_log_id.
  • Se asignó security_result.alert_state a ALERTING.
  • Se asignó threatInfo.maliciousProcessArguments a security_result.description.
  • Se asignó threatInfo.threatName a security_result.threat_name.
  • Se asignó threatInfo.classification a security_result.category_details.
  • Se asignó security_result.category a SOFTWARE_MALICIOUS cuando threatInfo.classification es malicious, de lo contrario, a NETWORK_SUSPICIOUS.
  • Se asignó security_result.action a ALLOW, donde threatInfo.mitigationStatus se mitiga de otra manera a BLOCK.
  • Se asignó threatInfo.mitigationStatus a security_result.action_details.
  • Se asignó threatInfo.classification threatInfo.classificationSource threatInfo.analystVerdictDescription threatInfo.threatName a security_result.summary.
  • Se asignó threatInfo.createdAt a metadata.collected_timestamp.
  • Se asignó agentRealtimeInfo.accountId a metadata.product_deployment_id.
  • Se asignó agentRealtimeInfo.agentVersion a metadata.product_version.
  • Se asignó indicator.category a detection_fields.key y indicator.description a detection_fields.value.
  • Se asignó detectionEngines.key a detection_fields.key y detectionEngines.title a detection_fields.value.
  • Se asignó metadata.event_type a SCAN_UNCATEGORIZED, donde meta.computerName no es nulo.

2022-07-21

Mejora:

  • Se asignó event.source.executable.hashes.md5 a principal.process.file.md5.
  • Se asignó event.source.executable.hashes.sha256 a principal.process.file.sha256.
  • Se asignó event.source.executable.hashes.sha1 a principal.process.file.sha1.
  • Se asignó event.source.fullPid.pid a principal.process.pid.
  • Se asignó event.source.user.name a principal.user.userid.
  • Se asignó meta.agentVersion a metadata.product_version.
  • Se asignó event.appName a target.application.
  • Se asignó event.contentHash.sha256 a target.process.file.sha256.
  • Se asignó event.source.commandLine a target.process.command_line.
  • Se asignó event.decodedContent a target.labels.
  • Se cambió metadata.description de secuencias de comandos a Secuencias de comandos de comando cuando event.type es secuencias de comandos.
  • Se asignó el proveedor a metadata.vendor_name.
  • Se asignó data.fileContentHash a target.process.file.md5.
  • Se asignó data.ipAddress a principal.ip.
  • Se asignó activityUuid a target.asset.product_object_id.
  • Se asignó agentId a metadata.product_deployment_id.
  • Se agregó la verificación de correo electrónico para user_email antes de asignarlo a principal.user.email_addresses. Si fallaba, se asignaba a principal.user.userid.
  • Se asignaron sourceIpAddresses a principal.ip.
  • Se asignó accountName a principal.administrative_domain.
  • Se asignó activityId a additional.fields.

2022-07-15

Mejora:

  • Se analizaron los registros nuevos con formato JSON y se asignaron los siguientes campos nuevos:
  • metadata.product_name a SENTINEL_ONE.
  • sourceParentProcessMd5 a principal.process.parent_process.file.md5.
  • sourceParentProcessPath a principal.process.parent_process.file.full_path.
  • sourceParentProcessPid a principal.process.parent_process.pid.
  • sourceParentProcessSha1 a principal.process.parent_process.file.sha1.
  • sourceParentProcessSha256 a principal.process.parent_process.file.sha256.
  • sourceParentProcessCmdArgs a principal.process.parent_process.command_line.
  • sourceProcessCmdArgs a principal.process.command_line.
  • sourceProcessMd5 a principal.process.file.md5.
  • sourceProcessPid a principal.process.pid.
  • sourceProcessSha1 a principal.process.file.sha1.
  • sourceProcessSha256 a principal.process.file.sha256.
  • sourceProcessPath a principal.process.file.full_path.
  • tgtFilePath a target.file.full_path.
  • tgtFileHashSha256 a target.file.sha256.
  • tgtFileHashSha1 a target.file.sha1.
  • tgtProcUid a target.process.product_specific_process_id.
  • tgtProcCmdLine a target.process.command_line.
  • tgtProcPid a target.process.pid.
  • tgtProcName a target.application.
  • dstIp a target.ip.
  • srcIp a principal.ip.
  • dstPort a target.port.
  • srcPort a principal.port.
  • origAgentName a principal.hostname.
  • agentIpV4 a principal.ip.
  • groupId a principal.user.group_identifiers.
  • groupName a principal.user.group_display_name.
  • origAgentVersion a principal.asset.software.version.
  • origAgentOsFamily a principal.platform.
  • origAgentOsName a principal.asset.software.name`.
  • De event_type a FILE_MODIFICATION cuando sourceEventType = FILEMODIFICATION.
  • De event_type a FILE_DELETION cuando sourceEventType = FILEDELETION.
  • De event_type a PROCESS_LAUNCH cuando sourceEventType = PROCESSCREATION.
  • De event_type a NETWORK_CONNECTION cuando sourceEventType = TCPV4.

2022-06-13

Mejora:

  • for [event][type] == fileCreation and [event][type] == fileDeletion
  • Se asignó event.targetFile.path a target.file.full_path.
  • Se asignó event.targetFile.hashes.md5 a target.process.file.md5.
  • Se asignó event.targetFile.hashes.sha1 a target.process.file.sha1.
  • Se asignó event.targetFile.hashes.sha256 a target.process.file.sha256.
  • for [event][type] == fileModification
  • Se asignó event.file.path a target.file.full_path.
  • Se asignó event.file.hashes.md5 a target.process.file.md5.
  • Se asignó event.file.hashes.sha1 a target.process.file.sha1.
  • Se asignó event.file.hashes.sha256 a target.process.file.sha256.

2022-04-18

  • Se mejoró el analizador para controlar todos los registros sin procesar.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.