SentinelOne EDR 로그 수집

이 문서에서는 SentinelOne Cloud Funnel을 사용하여 SentinelOne 로그를 Google Cloud Storage로 내보내는 방법을 설명합니다. SentinelOne은 로그를 Google Cloud Storage로 직접 내보내는 기본 제공 통합을 제공하지 않으므로 Cloud Funnel은 로그를 Cloud Storage로 푸시하는 중간 서비스 역할을 합니다.

시작하기 전에

• Google SecOps 인스턴스가 있는지 확인합니다.
• Google Cloud 플랫폼에 대한 권한이 있는지 확인합니다.
• SentinelOne에 대한 권한이 있는지 확인합니다.

Cloud Storage에 액세스할 Cloud 유입경로의 권한 구성

1. Google Cloud 콘솔에 로그인합니다.
2. IAM 및 관리자로 이동합니다.
3. IAM 페이지에서 Cloud Funnel 서비스 계정에 새 IAM 역할을 추가합니다.
   • 스토리지 객체 생성자 권한을 할당합니다.
   • 선택사항: Cloud Funnel이 버킷에서 객체를 읽어야 하는 경우 스토리지 객체 뷰어를 할당합니다.
4. Cloud Funnel 서비스 계정에 이러한 권한을 부여합니다.

Cloud Storage 버킷 만들기

1. Google Cloud 콘솔에 로그인합니다.
2. 저장용량 > 브라우저로 이동합니다.
3. 버킷 만들기를 클릭합니다.
4. 다음 구성을 제공합니다.
   • 버킷 이름: 버킷의 고유한 이름을 선택합니다 (예: sentinelone-logs).
   • 스토리지 위치: 버킷이 저장될 리전을 선택합니다 (예: US-West1).
   • 스토리지 클래스: 표준 스토리지 클래스를 선택합니다.
5. 만들기를 클릭합니다.

SentinelOne에서 Cloud Funnel 구성

1. SentinelOne Console에서 설정으로 이동합니다.
2. 통합에서 Cloud Funnel 옵션을 찾습니다.
3. 아직 사용 설정되어 있지 않으면 Cloud Funnel 사용 설정을 클릭합니다.
4. 사용 설정하면 대상 설정을 구성하라는 메시지가 표시됩니다.
   • 대상 선택: 로그 내보내기 대상으로 Google Cloud Storage를 선택합니다.
   • Google Cloud Storage: Google Cloud Storage 사용자 인증 정보를 제공합니다.
   • 로그 내보내기 빈도: 로그 내보내기의 빈도를 설정합니다 (예: 시간별 또는 일별).

Cloud 유입경로 로그 내보내기 구성

1. SentinelOne Console의 Cloud Funnel Configuration(Cloud Funnel 구성) 섹션에서 다음을 설정합니다.
   • 로그 내보내기 빈도: 로그를 내보낼 빈도를 선택합니다 (예: 1시간마다 또는 매일).
   • 로그 형식: JSON 형식을 선택합니다.
   • 버킷 이름: 이전에 만든 Google Cloud Storage 버킷의 이름을 입력합니다 (예: sentinelone-logs).
   • 선택사항: 로그 경로 접두사: 버킷 내에서 로그를 구성할 접두사를 지정합니다 (예: sentinelone-logs/).
2. 설정을 구성한 후 저장을 클릭하여 변경사항을 적용합니다.

Sentinel EDR 로그를 수집하도록 Google SecOps에서 피드 구성

1. SIEM 설정 > 피드로 이동합니다.
2. 새로 추가를 클릭합니다.
3. 피드 이름 필드에 피드 이름을 입력합니다 (예: Sentinel EDR 로그).
4. 소스 유형으로 Google Cloud Storage를 선택합니다.
5. 로그 유형으로 Sentinel EDR을 선택합니다.
6. Chronicle 서비스 계정으로 서비스 계정 가져오기를 클릭합니다.
7. 다음을 클릭합니다.

8. 다음 입력 매개변수의 값을 지정합니다.

   • 스토리지 버킷 URI: gs://my-bucket/<value> 형식의 Cloud Storage 버킷 URL입니다.
   • URI Is A: 하위 디렉터리가 포함된 디렉터리를 선택합니다.

   • 소스 삭제 옵션: 원하는 삭제 옵션을 선택합니다.

   • 애셋 네임스페이스: 애셋 네임스페이스입니다.

   • 수집 라벨: 이 피드의 이벤트에 적용된 라벨입니다.

9. 다음을 클릭합니다.

10. 확정 화면에서 새 피드 구성을 검토한 다음 제출을 클릭합니다.

UDM 매핑 표

로그 필드	UDM 매핑	논리
event.contentHash.sha256	target.process.file.sha256	원시 로그의 event.contentHash.sha256 필드에서 추출된 대상 프로세스 파일의 SHA-256 해시입니다.
event.decodedContent	target.labels	원시 로그의 event.decodedContent 필드에서 추출된 스크립트의 디코딩된 콘텐츠입니다. 이는 대상 객체에 Decoded Content 키가 있는 라벨로 추가됩니다.
event.destinationAddress.address	target.ip	원시 로그의 event.destinationAddress.address 필드에서 추출된 대상의 IP 주소입니다.
event.destinationAddress.port	target.port	원시 로그의 event.destinationAddress.port 필드에서 추출한 대상 포트입니다.
event.method	network.http.method	원시 로그의 event.method 필드에서 추출된 이벤트의 HTTP 메서드입니다.
event.newValueData	target.registry.registry_value_data	원시 로그의 event.newValueData 필드에서 추출한 레지스트리 값의 새 값 데이터입니다.
event.process.commandLine	target.process.command_line	원시 로그의 event.process.commandLine 필드에서 추출된 프로세스의 명령줄입니다.
event.process.executable.hashes.md5	target.process.file.md5	원시 로그의 event.process.executable.hashes.md5 필드에서 추출된 프로세스 실행 파일의 MD5 해시입니다.
event.process.executable.hashes.sha1	target.process.file.sha1	원시 로그의 event.process.executable.hashes.sha1 필드에서 추출된 프로세스 실행 파일의 SHA-1 해시입니다.
event.process.executable.hashes.sha256	target.process.file.sha256	원시 로그의 event.process.executable.hashes.sha256 필드에서 추출된 프로세스 실행 파일의 SHA-256 해시입니다.
event.process.executable.path	target.process.file.full_path	원시 로그의 event.process.executable.path 필드에서 추출된 프로세스 실행 파일의 전체 경로입니다.
event.process.executable.sizeBytes	target.process.file.size	원시 로그의 event.process.executable.sizeBytes 필드에서 추출한 프로세스의 실행 파일 크기입니다.
event.process.fullPid.pid	target.process.pid	원시 로그의 event.process.fullPid.pid 필드에서 추출된 프로세스의 PID입니다.
event.query	network.dns.questions.name	원시 로그의 event.query 필드에서 추출된 DNS 쿼리입니다.
event.regKey.path	target.registry.registry_key	원시 로그의 event.regKey.path 필드에서 추출한 레지스트리 키의 경로입니다.
event.regValue.key.value	target.registry.registry_name, target.registry.registry_value_name	원시 로그의 event.regValue.key.value 필드에서 추출된 레지스트리 값의 이름입니다.
event.regValue.path	target.registry.registry_key	원시 로그의 event.regValue.path 필드에서 추출한 레지스트리 값의 경로입니다.
event.results	network.dns.answers.data	원시 로그의 event.results 필드에서 추출된 DNS 응답입니다. 데이터는 ';' 구분자를 사용하여 개별 답변으로 분할됩니다.
event.source.commandLine	principal.process.command_line	원시 로그의 event.source.commandLine 필드에서 추출한 소스 프로세스의 명령줄입니다.
event.source.executable.hashes.md5	principal.process.file.md5	원시 로그의 event.source.executable.hashes.md5 필드에서 추출된 소스 프로세스의 실행 파일의 MD5 해시입니다.
event.source.executable.hashes.sha1	principal.process.file.sha1	원시 로그의 event.source.executable.hashes.sha1 필드에서 추출된 소스 프로세스 실행 파일의 SHA-1 해시입니다.
event.source.executable.hashes.sha256	principal.process.file.sha256	원시 로그의 event.source.executable.hashes.sha256 필드에서 추출된 소스 프로세스의 실행 파일의 SHA-256 해시입니다.
event.source.executable.path	principal.process.file.full_path	원시 로그의 event.source.executable.path 필드에서 추출된 소스 프로세스의 실행 파일의 전체 경로입니다.
event.source.executable.signature.signed.identity	principal.resource.attribute.labels	원시 로그의 event.source.executable.signature.signed.identity 필드에서 추출된 소스 프로세스 실행 파일의 서명된 ID입니다. 기본 리소스 속성 라벨에 Source Signature Signed Identity 키가 있는 라벨로 추가됩니다.
event.source.executable.sizeBytes	principal.process.file.size	원시 로그의 event.source.executable.sizeBytes 필드에서 추출한 소스 프로세스의 실행 파일 크기입니다.
event.source.fullPid.pid	principal.process.pid	원시 로그의 event.source.fullPid.pid 필드에서 추출된 소스 프로세스의 PID입니다.
event.source.parent.commandLine	principal.process.parent_process.command_line	원시 로그의 event.source.parent.commandLine 필드에서 추출된 소스 상위 프로세스의 명령줄입니다.
event.source.parent.executable.hashes.md5	principal.process.parent_process.file.md5	원시 로그의 event.source.parent.executable.hashes.md5 필드에서 추출된 소스 상위 프로세스의 실행 파일의 MD5 해시입니다.
event.source.parent.executable.hashes.sha1	principal.process.parent_process.file.sha1	원시 로그의 event.source.parent.executable.hashes.sha1 필드에서 추출된 소스 상위 프로세스의 실행 파일의 SHA-1 해시입니다.
event.source.parent.executable.hashes.sha256	principal.process.parent_process.file.sha256	원시 로그의 event.source.parent.executable.hashes.sha256 필드에서 추출된 소스 상위 프로세스의 실행 파일의 SHA-256 해시입니다.
event.source.parent.executable.signature.signed.identity	principal.resource.attribute.labels	원시 로그의 event.source.parent.executable.signature.signed.identity 필드에서 추출된 소스 상위 프로세스 실행 파일의 서명된 ID입니다. 기본 리소스 속성 라벨에 Source Parent Signature Signed Identity 키가 있는 라벨로 추가됩니다.
event.source.parent.fullPid.pid	principal.process.parent_process.pid	원시 로그의 event.source.parent.fullPid.pid 필드에서 추출된 소스 상위 프로세스의 PID입니다.
event.source.user.name	principal.user.userid	원시 로그의 event.source.user.name 필드에서 추출된 소스 프로세스 사용자의 사용자 이름입니다.
event.source.user.sid	principal.user.windows_sid	원시 로그의 event.source.user.sid 필드에서 추출된 소스 프로세스 사용자의 Windows SID입니다.
event.sourceAddress.address	principal.ip	원시 로그의 event.sourceAddress.address 필드에서 추출된 소스의 IP 주소입니다.
event.sourceAddress.port	principal.port	원시 로그의 event.sourceAddress.port 필드에서 추출된 소스의 포트입니다.
event.target.executable.hashes.md5	target.process.file.md5	원시 로그의 event.target.executable.hashes.md5 필드에서 추출된 대상 프로세스의 실행 파일의 MD5 해시입니다.
event.target.executable.hashes.sha1	target.process.file.sha1	원시 로그의 event.target.executable.hashes.sha1 필드에서 추출된 대상 프로세스의 실행 파일의 SHA-1 해시입니다.
event.target.executable.hashes.sha256	target.process.file.sha256	원시 로그의 event.target.executable.hashes.sha256 필드에서 추출된 대상 프로세스의 실행 파일의 SHA-256 해시입니다.
event.target.executable.path	target.process.file.full_path	원시 로그의 event.target.executable.path 필드에서 추출된 대상 프로세스의 실행 파일의 전체 경로입니다.
event.target.executable.signature.signed.identity	target.resource.attribute.labels	원시 로그의 event.target.executable.signature.signed.identity 필드에서 추출된 대상 프로세스 실행 파일의 서명된 ID입니다. 타겟 리소스 속성 라벨에 Target Signature Signed Identity 키가 있는 라벨로 추가됩니다.
event.target.executable.sizeBytes	target.process.file.size	원시 로그의 event.target.executable.sizeBytes 필드에서 추출한 대상 프로세스의 실행 파일 크기입니다.
event.target.fullPid.pid	target.process.pid	원시 로그의 event.target.fullPid.pid 필드에서 추출된 대상 프로세스의 PID입니다.
event.targetFile.path	target.file.full_path	원시 로그의 event.targetFile.path 필드에서 추출된 대상 파일의 전체 경로입니다.
event.targetFile.signature.signed.identity	target.resource.attribute.labels	원시 로그의 event.targetFile.signature.signed.identity 필드에서 추출된 대상 파일의 서명된 ID입니다. 타겟 리소스 속성 라벨에 Target File Signature Signed Identity 키가 있는 라벨로 추가됩니다.
event.trueContext.key.value		UDM에 매핑되지 않았습니다.
event.type	metadata.description	원시 로그의 event.type 필드에서 추출된 이벤트 유형입니다.
event.url	target.url	원시 로그의 event.url 필드에서 추출한 이벤트의 URL입니다.
meta.agentVersion	metadata.product_version, metadata.product_version	원시 로그의 meta.agentVersion 필드에서 추출한 에이전트 버전입니다.
meta.computerName	principal.hostname, target.hostname	원시 로그의 meta.computerName 필드에서 추출된 컴퓨터의 호스트 이름입니다.
meta.osFamily	principal.asset.platform_software.platform, target.asset.platform_software.platform	원시 로그의 meta.osFamily 필드에서 추출된 컴퓨터의 운영체제 제품군입니다. linux의 경우 LINUX에, windows의 경우 WINDOWS에 매핑됩니다.
meta.osRevision	principal.asset.platform_software.platform_version, target.asset.platform_software.platform_version	원시 로그의 meta.osRevision 필드에서 추출된 컴퓨터의 운영체제 버전입니다.
meta.traceId	metadata.product_log_id	원시 로그의 meta.traceId 필드에서 추출된 이벤트의 트레이스 ID입니다.
meta.uuid	principal.asset.product_object_id, target.asset.product_object_id	원시 로그의 meta.uuid 필드에서 추출된 컴퓨터의 UUID입니다.
metadata_event_type	metadata.event_type	event.type 필드를 기반으로 파서 로직에 의해 설정된 이벤트 유형입니다.
metadata_product_name	metadata.product_name	제품 이름입니다. 파서 로직에 의해 Singularity XDR로 설정됩니다.
metadata_vendor_name	metadata.vendor_name	파서 로직에 의해 SentinelOne로 설정된 공급업체의 이름입니다.
network_application_protocol	network.application_protocol	네트워크 연결의 애플리케이션 프로토콜로, 파서 로직에 의해 DNS 이벤트의 경우 DNS로 설정됩니다.
network_dns_questions.name	network.dns.questions.name	원시 로그의 event.query 필드에서 추출된 DNS 질문의 이름입니다.
network_direction	network.direction	네트워크 연결의 방향으로, 파서 로직에 의해 발신 연결의 경우 OUTBOUND로, 수신 연결의 경우 INBOUND로 설정됩니다.
network_http_method	network.http.method	원시 로그의 event.method 필드에서 추출된 이벤트의 HTTP 메서드입니다.
principal.process.command_line	target.process.command_line	principal.process.command_line 필드에서 추출되고 대상 프로세스 명령줄에 매핑된 기본 프로세스의 명령줄입니다.
principal.process.file.full_path	target.process.file.full_path	principal.process.file.full_path 필드에서 추출되고 대상 프로세스 파일 전체 경로에 매핑된 기본 프로세스 파일의 전체 경로입니다.
principal.process.file.md5	target.process.file.md5	principal.process.file.md5 필드에서 추출되고 대상 프로세스 파일 MD5에 매핑된 기본 프로세스 파일의 MD5 해시입니다.
principal.process.file.sha1	target.process.file.sha1	principal.process.file.sha1 필드에서 추출되고 대상 프로세스 파일 SHA-1에 매핑된 기본 프로세스 파일의 SHA-1 해시입니다.
principal.process.file.sha256	target.process.file.sha256	principal.process.file.sha256 필드에서 추출되고 대상 프로세스 파일 SHA-256에 매핑된 기본 프로세스 파일의 SHA-256 해시입니다.
principal.process.file.size	target.process.file.size	principal.process.file.size 필드에서 추출되고 대상 프로세스 파일 크기에 매핑된 기본 프로세스 파일의 크기입니다.
principal.process.pid	target.process.pid	principal.process.pid 필드에서 추출되고 대상 프로세스 PID에 매핑된 기본 프로세스의 PID입니다.
principal.user.userid	target.user.userid	principal.user.userid 필드에서 추출되고 대상 사용자 ID에 매핑된 사용자의 사용자 ID입니다.
principal.user.windows_sid	target.user.windows_sid	principal.user.windows_sid 필드에서 추출되고 대상 사용자 Windows SID에 매핑된 주 구성원의 Windows SID입니다.

변경사항

2024-07-29

개선사항:

• registry.keyPath 또는 registry.value가 null이 아니면 metadata.event_type만 REGISTRY_CREATION에 매핑됩니다.

2024-07-23

개선사항:

• agentDetectionInfo.agentOsName를 target.platform_version에 매핑했습니다.
• agentDetectionInfo.agentLastLoggedInUserName를 target.user.userid에 매핑했습니다.

2024-07-09

버그 수정:

• suser의 매핑을 principal.user.userid에서 target.user.userid로 변경했습니다.
• suser의 매핑을 principal.user.user_display_name에서 target.user.user_display_name로 변경했습니다.
• target.user.userid에서 accountId의 매핑을 삭제했습니다.
• prin_user를 principal.user.userid에 매핑했습니다.

2024-06-03

개선사항:

• suser를 principal.user.userid에 매핑했습니다.
• accountId를 target.user.userid에 매핑했습니다.
• MessageSourceAddress를 principal.ip에 매핑했습니다.
• machine_host를 principal.hostname에 매핑했습니다.

2024-05-20

개선사항:

• event.dns.response를 network.dns.answers.data에 매핑했습니다.

2024-05-06

개선사항:

• JSON 로그의 새로운 패턴에 대한 지원이 추가되었습니다.

2024-03-22

개선사항:

• 탭 구분 KV 로그의 새 형식을 파싱하는 새로운 Grok 패턴을 추가했습니다.
• osName를 src.platform에 매핑했습니다.

2024-03-15

개선사항:

• site.id:account.id:agent.uuid:tgt.process.uid를 target.process.product_specific_process_id에 매핑했습니다.
• site.id:account.id:agent.uuid:src.process.uid를 principal.process.product_specific_process_id에 매핑했습니다.
• site.id:account.id:agent.uuid:src.process.parent.uid를 principal.process.parent_process.product_specific_process_id에 매핑했습니다.
• src.process.cmdline가 target.process.command_line에 매핑되지 않도록 했습니다.

2023-11-09

• 해결:
• tgt.process.user를 target.user.userid에 매핑했습니다.

2023-10-30

• 해결:
• UDM에 매핑하기 전에 principal_port에 not null 검사를 추가했습니다.
• event.category이 url이고 meta.event.name이 HTTP인 경우 metadata.event_type를 NETWORK_HTTP에 매핑했습니다.

2023-09-06

• tgt.process.storyline.id를 security_result.about.resource.attribute.labels에 매핑했습니다.
• src.process.storyline.id의 매핑을 principal.process.product_specific_process_id에서 security_result.about.resource.attribute.labels로 수정했습니다.
• src.process.parent.storyline.id의 매핑을 principal.parent.process.product_specific_process_id에서 security_result.about.resource.attribute.labels로 수정했습니다.

2023-08-31

• indicator.category를 security_result.category_details에 매핑했습니다.

2023-08-03

• event_data.login.loginIsSuccessful을 null로 초기화했습니다.
• event.type이 Module Load인 경우 module.path를 target.process.file.full_path 및 target.file.full_path에 매핑했습니다.
• event.type이 Module Load인 경우 module.sha1를 target.process.file.sha1 및 target.file.sha1에 매핑했습니다.
• event.type이 Module Load인 경우 metadata.event_type을 PROCESS_MODULE_LOAD에 매핑했습니다.
• REGISTRY_* 이벤트의 경우 registry.keyPath를 target.registry.registry_key에 매핑했습니다.
• REGISTRY_* 이벤트의 경우 registry.value를 target.registry.registry_value_data에 매핑했습니다.
• event.network.protocolName를 network.application_protocol에 매핑했습니다.
• endpoint.os이 linux인 경우 principal.platform, principal.asset.platform_software.platform를 LINUX에 매핑했습니다.
• event.type가 Login 또는 Logout.인 경우 event.login.userName를 target.user.userid에 매핑했습니다.
• event.type이 GET, OPTIONS, POST, PUT, DELETE, CONNECT, HEAD인 경우 url.address에서 호스트 이름을 가져와 target.hostname를 매핑했습니다.

2023-06-09

• osSrc.process.parent.publisher를 principal.resource.attribute.labels에 매핑했습니다.
• src.process.rUserName/src.process.eUserName/src.process.lUserName를 principal.user.user_display_name에 매핑했습니다.
• UDM에 매핑하기 전에 src.process.eUserId, src.process.lUserId, tgt.process.rUserUid 필드에 검사를 추가했습니다.
• tgt.file.location, registry.valueFullSize, registry.valueType를 target.resource.attribute.labels에 매핑했습니다.
• indicator.description를 security_result.summary에 매핑했습니다.
• event.type이 Behavioral Indicators인 경우 metadata.event_type을 SCAN_NETWORK에 매핑했습니다.
• event.type이 Command Script인 경우 metadata.event_type을 SCAN_UNCATEGORIZED에 매핑했습니다.
• 필드 meta.osFamily, meta.osRevision, event.type를 초기화했습니다.
• ISO8601 타임스탬프 파서에 날짜 필터에 ISO8601을 추가했습니다.
• @timestamp 문자열 변환에 on_error를 추가했습니다.
• 이전 매핑의 meta.uuid에 on_error를 추가했습니다.

2023-05-25

• event.source.commandLine를 principal.process.command_line에 매핑했습니다.
• event.source.executable.path를 principal.process.file.full_path에 매핑했습니다.
• event.type이 openProcess인 경우 metadata.event_type를 PROCESS_OPEN로 설정합니다.
• site.name와 site.id이 모두 null이 아닌 경우 site.name:site.id를 principal.namespace에 매핑했습니다.
• event.network.direction를 network.direction에 매핑했습니다.
• meta.event.name를 metadata.description에 매핑했습니다.
• task.name를 target.resource.name에 매핑했습니다.
• agent.uuid를 principal.asset.product_object_id에 매핑했습니다.
• src.process.publisher를 principal.resource.attribute.labels에 매핑했습니다.
• src.process.cmdline를 target.process.command_line에 매핑했습니다.
• mgmt.osRevision를 principal.asset.platform_software.platform_version에 매핑했습니다.
• indicator.category 값에 따라 security_result.category를 매핑했습니다.
• event.dns.response를 network.dns.answers에 매핑했습니다.
• registry.keyPath를 target.registry.registry_key에 매핑했습니다.
• event.id를 target.registry.registry_value_name에 매핑했습니다.

2023-04-27

• Cloud Funnel v2 로그의 event.type를 metadata.product_event_type에 매핑했습니다.

2023-04-20

개선사항:

• data.ipAddress 필드에 null 및 '-' 조건부 검사를 추가했습니다.
• sourceMacAddresses 필드에 grok 조건부 검사를 추가했습니다.

2023-03-02

개선사항:

• (event.type == tcpv4 and event.direction == INCOMING) 또는 event.type에 (processExit|processTermination|processModification|duplicate)가 포함된 경우 event.source.executable.signature.signed.identity를 target.resource.attribute.labels에 매핑하고 그렇지 않은 경우에는 principal.resource.attribute.labels에 매핑했습니다.
• event.parent.executable.signature.signed.identity, event.process.executable.signature.signed.identity toprincipal.resource.attribute.labels,`를 매핑했습니다.
• event.targetFile.signature.signed.identity, event.target.executable.signature.signed.identity, event.target.parent.executable.signature.signed.identity를 target.resource.attribute.labels에 매핑했습니다.

2023-02-24

버그 수정:

• 로그 버전을 명확하게 구분하도록 코드를 리팩터링했습니다.
• USER_LOGIN 클라우드 유입경로 v2 로그의 경우 event.login.lognIsSuccessful 세부정보를 security_result.action 및 security_result.summary에 매핑했습니다.

2023-02-13

버그 수정:

• 필요에 따라 클라우드 유입경로 v1 로그를 파싱했습니다.
• 모든 HTTP 로그를 NETWORK_HTTP에 매핑합니다.
• NETWORK_HTTP의 URL 필드는 metadata.url_back_to_product 대신 target.url에 매핑되어야 합니다.

2023-01-20

개선사항:

• 'event.url' 필드가 'target.hostname' 및 'target.url'에 매핑되었습니다.
• 'event.type' == 'http'인 경우 'metadata.event_type'이 'NETWORK_HTTP'에 매핑되었습니다.

2023-01-16

버그 수정:

• mgmt.url를 target.url 대신 metadata.url_back_to_product에 매핑했습니다.
• site.name를 principal.location.name에 매핑했습니다.
• src.process.rUserUid를 principal.user.userid에 매핑했습니다.
• src.process.eUserId를 principal.user.userid에 매핑했습니다.
• src.process.lUserId를 principal.user.userid에 매핑했습니다.
• src.process.parent.rUserUid를 metadata.ingestion_labels에 매핑했습니다.
• src.process.parent.eUserId를 metadata.ingestion_labels에 매핑했습니다.
• src.process.parent.lUserId를 metadata.ingestion_labels에 매핑했습니다.
• tgt.process.rUserUid를 target.user.userid에 매핑했습니다.
• tgt.process.eUserId를 target.user.userid에 매핑했습니다.
• tgt.process.lUserId를 target.user.userid에 매핑했습니다.
• event.type이 Process Creation인 경우 metadata.event_type를 PROCESS_LAUNCH에 매핑합니다.
• event.type이 Duplicate Process Handle인 경우 metadata.event_type를 PROCESS_OPEN에 매핑합니다.
• event.type이 Duplicate Thread Handle인 경우 metadata.event_type를 PROCESS_OPEN에 매핑합니다.
• event.type이 Open Remote Process Handle인 경우 metadata.event_type를 PROCESS_OPEN에 매핑합니다.
• event.type이 Remote Thread Creation인 경우 metadata.event_type를 PROCESS_LAUNCH에 매핑합니다.
• event.type이 Command Script인 경우 metadata.event_type를 FILE_UNCATEGORIZED에 매핑합니다.
• event.type이 IP Connect인 경우 metadata.event_type를 NETWORK_CONNECTION에 매핑합니다.
• event.type이 IP Listen인 경우 metadata.event_type를 NETWORK_UNCATEGORIZED에 매핑합니다.
• event.type이 File ModIfication인 경우 metadata.event_type를 FILE_MODIfICATION에 매핑합니다.
• event.type이 File Creation인 경우 metadata.event_type를 FILE_CREATION에 매핑합니다.
• event.type이 File Scan인 경우 metadata.event_type를 FILE_UNCATEGORIZED에 매핑합니다.
• event.type이 File Deletion인 경우 metadata.event_type를 FILE_DELETION에 매핑합니다.
• event.type이 File Rename인 경우 metadata.event_type를 FILE_MODIfICATION에 매핑합니다.
• event.type이 Pre Execution Detection인 경우 metadata.event_type를 FILE_UNCATEGORIZED에 매핑합니다.
• event.type이 Login인 경우 metadata.event_type를 USER_LOGIN에 매핑합니다.
• event.type이 Logout인 경우 metadata.event_type를 USER_LOGOUT에 매핑합니다.
• event.type이 GET인 경우 metadata.event_type를 NETWORK_HTTP에 매핑합니다.
• event.type이 OPTIONS인 경우 metadata.event_type를 NETWORK_HTTP에 매핑합니다.
• event.type이 POST인 경우 metadata.event_type를 NETWORK_HTTP에 매핑합니다.
• event.type이 PUT인 경우 metadata.event_type를 NETWORK_HTTP에 매핑합니다.
• event.type이 DELETE인 경우 metadata.event_type를 NETWORK_HTTP에 매핑합니다.
• event.type이 CONNECT인 경우 metadata.event_type를 NETWORK_HTTP에 매핑합니다.
• event.type이 HEAD인 경우 metadata.event_type를 NETWORK_HTTP에 매핑합니다.
• event.type이 Not Reported인 경우 metadata.event_type를 STATUS_UNCATEGORIZED에 매핑합니다.
• event.type이 DNS Resolved인 경우 metadata.event_type를 NETWORK_DNS에 매핑합니다.
• event.type이 DNS Unresolved인 경우 metadata.event_type를 NETWORK_DNS에 매핑합니다.
• event.type이 Task Register인 경우 metadata.event_type를 SCHEDULED_TASK_CREATION에 매핑합니다.
• event.type이 Task Update인 경우 metadata.event_type를 SCHEDULED_TASK_MODIfICATION에 매핑합니다.
• event.type이 Task Start인 경우 metadata.event_type를 SCHEDULED_TASK_UNCATEGORIZED에 매핑합니다.
• event.type이 Task Trigger인 경우 metadata.event_type를 SCHEDULED_TASK_UNCATEGORIZED에 매핑합니다.
• event.type이 Task Delete인 경우 metadata.event_type를 SCHEDULED_TASK_DELETION에 매핑합니다.
• event.type이 Registry Key Create인 경우 metadata.event_type를 REGISTRY_CREATION에 매핑합니다.
• event.type이 Registry Key Rename인 경우 metadata.event_type를 REGISTRY_MODIfICATION에 매핑합니다.
• event.type이 Registry Key Delete인 경우 metadata.event_type를 REGISTRY_DELETION에 매핑합니다.
• event.type이 Registry Key Export인 경우 metadata.event_type를 REGISTRY_UNCATEGORIZED에 매핑합니다.
• event.type이 Registry Key Security Changed인 경우 metadata.event_type를 REGISTRY_MODIfICATION에 매핑합니다.
• event.type이 Registry Key Import인 경우 metadata.event_type를 REGISTRY_CREATION에 매핑합니다.
• event.type이 Registry Value ModIfied인 경우 metadata.event_type를 REGISTRY_MODIfICATION에 매핑합니다.
• event.type이 Registry Value Create인 경우 metadata.event_type를 REGISTRY_CREATION에 매핑합니다.
• event.type이 Registry Value Delete인 경우 metadata.event_type를 REGISTRY_DELETION에 매핑합니다.
• event.type이 Behavioral Indicators인 경우 metadata.event_type를 SCAN_UNCATEGORIZED에 매핑합니다.
• event.type이 Module Load인 경우 metadata.event_type를 PROCESS_MODULE_LOAD에 매핑합니다.
• event.type이 Threat Intelligence Indicators인 경우 metadata.event_type를 SCAN_UNCATEGORIZED에 매핑합니다.
• event.type이 Named Pipe Creation인 경우 metadata.event_type를 PROCESS_UNCATEGORIZED에 매핑합니다.
• event.type이 Named Pipe Connection인 경우 metadata.event_type를 PROCESS_UNCATEGORIZED에 매핑합니다.
• event.type이 Driver Load인 경우 metadata.event_type를 PROCESS_MODULE_LOAD에 매핑합니다.

2022-11-30

개선사항:

• 다음 필드를 매핑하여 버전 V2에서 처리된 로그를 지원하도록 파서를 개선했습니다.
• account.id를 metadata.product_deployment_id에 매핑했습니다.
• agent.uuid를 principal.asset.asset_id에 매핑했습니다.
• dst.ip.address를 target.ip에 매핑했습니다.
• src.ip.address를 principal.ip에 매핑했습니다.
• src.process.parent.image.sha1를 principal.process.parent_process.file.sha1에 매핑했습니다.
• src.process.parent.image.sha256를 principal.process.parent_process.file.sha256에 매핑했습니다.
• src.process.parent.image.path를 principal.process.parent_process.file.full_path에 매핑했습니다.
• src.process.parent.cmdline를 principal.process.parent_process.command_line에 매핑했습니다.
• src.process.parent.image.md5를 principal.process.parent_process.file.md5에 매핑했습니다.
• src.process.parent.pid를 principal.process.parent_process.pid에 매핑했습니다.
• src.process.image.sha1를 principal.process.file.sha1에 매핑했습니다.
• src.process.image.md5를 principal.process.file.md5에 매핑했습니다.
• src.process.pid를 principal.process.pid에 매핑했습니다.
• src.process.cmdline를 principal.process.command_line에 매핑했습니다.
• src.process.image.path를 principal.process.file.full_path에 매핑했습니다.
• src.process.image.sha256를 principal.process.file.sha256에 매핑했습니다.
• src.process.user를 principal.user.user_display_name에 매핑했습니다.
• src.process.uid를 principal.user.userid에 매핑했습니다.
• src.process.storyline.id를 principal.process.product_specific_process_id에 매핑했습니다.
• src.process.parent.storyline.id를 principal.process.parent_process.product_specific_process_id에 매핑했습니다.
• mgmt.url를 target.url에 매핑했습니다.
• site.id를 principal.namespace에 매핑했습니다.
• src.port.number를 principal.port에 매핑했습니다.
• dst.port.number를 target.port에 매핑했습니다.
• event_data.id를 metadata.product_log_id에 매핑했습니다.

2022-10-11

개선사항:

• threatClassification를 security_result.category_details에 매핑했습니다.
• threatConfidenceLevel 및 threatMitigationStatus를 security_result.detection_fields에 매핑했습니다.
• Location를 principal.location.name에 매핑했습니다.
• data.filePath를 principal.process.parent_process.file.full_path에 매핑했습니다.
• (CAT 값)security_result.category_details의 매핑을 metadata.product_event_type으로 업데이트했습니다.

2022-09-01

개선사항:

• metadata.product_name을 SentinelOne에서 Singularity로 변경했습니다.
• event.regValue.key.value를 target.registry.registry_value_name에 매핑했습니다.
• principal_userid를 principal.user.userid에 매핑했습니다.
• principal_domain를 principal.administrative_domain에 매핑했습니다.
• threatInfo.threatId를 security_result.threat_id에 매핑함
• threatInfo.identifiedAt를 metadata.event_timestamp에 매핑했습니다.
• threatInfo.threatId를 metadata.product_log_id에 매핑했습니다.
• security_result.alert_state를 ALERTING에 매핑했습니다.
• threatInfo.maliciousProcessArguments를 security_result.description에 매핑했습니다.
• threatInfo.threatName를 security_result.threat_name에 매핑했습니다.
• threatInfo.classification를 security_result.category_details에 매핑했습니다.
• threatInfo.classification이 malicious인 경우 security_result.category을 SOFTWARE_MALICIOUS에 매핑하고 그렇지 않은 경우 NETWORK_SUSPICIOUS에 매핑했습니다.
• threatInfo.mitigationStatus가 완화된 경우 security_result.action를 ALLOW에 매핑하고 그렇지 않은 경우 BLOCK에 매핑했습니다.
• threatInfo.mitigationStatus를 security_result.action_details에 매핑했습니다.
• threatInfo.classification threatInfo.classificationSource threatInfo.analystVerdictDescription threatInfo.threatName를 security_result.summary에 매핑했습니다.
• threatInfo.createdAt를 metadata.collected_timestamp에 매핑했습니다.
• agentRealtimeInfo.accountId를 metadata.product_deployment_id에 매핑했습니다.
• agentRealtimeInfo.agentVersion를 metadata.product_version에 매핑했습니다.
• indicator.category를 detection_fields.key에, indicator.description를 detection_fields.value에 매핑했습니다.
• detectionEngines.key를 detection_fields.key에, detectionEngines.title를 detection_fields.value에 매핑했습니다.
• meta.computerName이 null이 아닌 경우 metadata.event_type를 SCAN_UNCATEGORIZED에 매핑했습니다.

2022-07-21

개선사항:

• event.source.executable.hashes.md5를 principal.process.file.md5에 매핑했습니다.
• event.source.executable.hashes.sha256을 principal.process.file.sha256에 매핑했습니다.
• event.source.executable.hashes.sha1을 principal.process.file.sha1에 매핑했습니다.
• event.source.fullPid.pid를 principal.process.pid에 매핑했습니다.
• event.source.user.name을 principal.user.userid에 매핑했습니다.
• meta.agentVersion이 metadata.product_version에 매핑되었습니다.
• event.appName이 target.application에 매핑되었습니다.
• event.contentHash.sha256을 target.process.file.sha256에 매핑했습니다.
• event.source.commandLine을 target.process.command_line에 매핑했습니다.
• event.decodedContent가 target.labels에 매핑되었습니다.
• event.type이 스크립트인 경우 metadata.description을 스크립트에서 명령어 스크립트로 변경했습니다.
• 공급업체를 metadata.vendor_name에 매핑했습니다.
• data.fileContentHash가 target.process.file.md5에 매핑되었습니다.
• data.ipAddress를 principal.ip에 매핑했습니다.
• activityUuid를 target.asset.product_object_id에 매핑했습니다.
• agentId를 metadata.product_deployment_id에 매핑했습니다.
• user_email을 principal.user.email_addresses에 매핑하기 전에 이메일 인증을 추가했습니다. 인증에 실패하면 principal.user.userid에 매핑되었습니다.
• sourceIpAddresses를 principal.ip에 매핑했습니다.
• accountName이 principal.administrative_domain에 매핑되었습니다.
• activityId가 additional.fields에 매핑되었습니다.

2022-07-15

개선사항:

• JSON 형식으로 새 로그를 파싱하고 다음과 같은 새 필드를 매핑했습니다.
• metadata.product_name은 SENTINEL_ONE에 매핑
• sourceParentProcessMd5은 principal.process.parent_process.file.md5에 매핑
• sourceParentProcessPath은 principal.process.parent_process.file.full_path에 매핑
• sourceParentProcessPid은 principal.process.parent_process.pid에 매핑
• sourceParentProcessSha1은 principal.process.parent_process.file.sha1에 매핑
• sourceParentProcessSha256은 principal.process.parent_process.file.sha256에 매핑
• sourceParentProcessCmdArgs은 principal.process.parent_process.command_line에 매핑
• sourceProcessCmdArgs은 principal.process.command_line에 매핑
• sourceProcessMd5은 principal.process.file.md5에 매핑
• sourceProcessPid은 principal.process.pid에 매핑
• sourceProcessSha1은 principal.process.file.sha1에 매핑
• sourceProcessSha256은 principal.process.file.sha256에 매핑
• sourceProcessPath은 principal.process.file.full_path에 매핑
• tgtFilePath은 target.file.full_path에 매핑
• tgtFileHashSha256은 target.file.sha256에 매핑
• tgtFileHashSha1은 target.file.sha1에 매핑
• tgtProcUid은 target.process.product_specific_process_id에 매핑
• tgtProcCmdLine은 target.process.command_line에 매핑
• tgtProcPid은 target.process.pid에 매핑
• tgtProcName은 target.application에 매핑
• dstIp은 target.ip에 매핑
• srcIp은 principal.ip에 매핑
• dstPort은 target.port에 매핑
• srcPort은 principal.port에 매핑
• origAgentName은 principal.hostname에 매핑
• agentIpV4은 principal.ip에 매핑
• groupId은 principal.user.group_identifiers에 매핑
• groupName은 principal.user.group_display_name에 매핑
• origAgentVersion은 principal.asset.software.version에 매핑
• origAgentOsFamily은 principal.platform에 매핑
• origAgentOsName to principal.asset.software.name`.
• sourceEventType = FILEMODIFICATION인 경우 event_type에서 FILE_MODIFICATION로
• sourceEventType = FILEDELETION인 경우 event_type에서 FILE_DELETION로
• sourceEventType = PROCESSCREATION인 경우 event_type에서 PROCESS_LAUNCH로
• sourceEventType = TCPV4인 경우 event_type에서 NETWORK_CONNECTION로 변경합니다.

2022-06-13

개선사항:

• [event][type] == fileCreation 및 [event][type] == fileDeletion인 경우
• event.targetFile.path를 target.file.full_path에 매핑했습니다.
• event.targetFile.hashes.md5를 target.process.file.md5에 매핑했습니다.
• event.targetFile.hashes.sha1를 target.process.file.sha1에 매핑했습니다.
• event.targetFile.hashes.sha256를 target.process.file.sha256에 매핑했습니다.
• [event][type] == fileModification인 경우
• event.file.path를 target.file.full_path에 매핑했습니다.
• event.file.hashes.md5를 target.process.file.md5에 매핑했습니다.
• event.file.hashes.sha1를 target.process.file.sha1에 매핑했습니다.
• event.file.hashes.sha256를 target.process.file.sha256에 매핑했습니다.

2022-04-18

• 파싱되지 않은 모든 원시 로그를 처리하도록 파서를 개선했습니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가의 답변을 받으세요.