Collecter les journaux EDR SentinelOne

Compatible avec:

Ce document explique comment exporter les journaux SentinelOne vers Google Cloud Storage à l'aide de SentinelOne Cloud Funnel. Comme SentinelOne n'offre pas d'intégration intégrée pour exporter directement les journaux vers Google Cloud Storage, Cloud Funnel sert de service intermédiaire pour transférer les journaux vers Cloud Storage.

Avant de commencer

  • Assurez-vous de disposer d'une instance Google SecOps.
  • Assurez-vous de disposer d'un accès privilégié à la plate-forme Google Cloud .
  • Assurez-vous de disposer d'un accès privilégié à SentinelOne.

Configurer les autorisations de Cloud Funnel pour accéder à Cloud Storage

  1. Connectez-vous à la console Google Cloud.
  2. Accédez à IAM et administration.
  3. Sur la page IAM, ajoutez un nouveau rôle IAM pour le compte de service Cloud Funnel :
    • Attribuez des autorisations Storage Object Creator.
    • Facultatif: attribuez le rôle Lecteur des objets de l'espace de stockage si vous avez besoin que Cloud Funnel lise les objets du bucket.
  4. Accordez ces autorisations au compte de service Cloud Funnel.

Créer un bucket Cloud Storage

  1. Connectez-vous à la console Google Cloud.
  2. Accédez à Storage > Browser (Stockage > Navigateur).
  3. Cliquez sur Créer un bucket.
  4. Fournissez les configurations suivantes :
    • Nom du bucket: choisissez un nom unique pour votre bucket (par exemple, sentinelone-logs).
    • Storage Location (Emplacement de stockage) : sélectionnez la région dans laquelle le bucket sera situé (par exemple, US-West1).
    • Classe de stockage: sélectionnez une classe de stockage standard.
  5. Cliquez sur Créer.

Configurer Cloud Funnel dans SentinelOne

  1. Dans la console SentinelOne, accédez à Settings (Paramètres).
  2. Recherchez l'option Entonnoir Cloud (sous Intégrations).
  3. Si ce n'est pas déjà fait, cliquez sur Activer le canal Cloud.
  4. Une fois la fonctionnalité activée, vous êtes invité à configurer les paramètres de Destination.
    • Sélection de la destination: choisissez Google Cloud Storage comme destination pour l'exportation des journaux.
    • Google Cloud Storage: fournissez les identifiants Google Cloud Storage.
    • Fréquence d'exportation des journaux: définissez la fréquence d'exportation des journaux (par exemple, toutes les heures ou tous les jours).

Configurer l'exportation des journaux Cloud Funnel

  1. Dans la section Configuration de l'entonnoir cloud de la console SentinelOne, définissez les paramètres suivants :
    • Fréquence d'exportation des journaux: choisissez la fréquence d'exportation des journaux (par exemple, toutes les heures ou tous les jours).
    • Format de journal: choisissez le format JSON.
    • Nom du bucket: saisissez le nom du bucket Google Cloud Storage que vous avez créé précédemment (par exemple, sentinelone-logs).
    • Facultatif: Préfixe du chemin d'accès aux journaux: spécifiez un préfixe pour organiser les journaux dans le bucket (par exemple, sentinelone-logs/).
  2. Une fois les paramètres configurés, cliquez sur Enregistrer pour appliquer les modifications.

Configurer un flux dans Google SecOps pour ingérer les journaux Sentinel EDR

  1. Accédez à SIEM Settings > Feeds (Paramètres du SIEM > Flux).
  2. Cliquez sur Ajouter.
  3. Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Sentinel EDR Logs).
  4. Sélectionnez Google Cloud Storage comme Type de source.
  5. Sélectionnez Sentinel EDR comme Type de journal.
  6. Cliquez sur Obtenir un compte de service comme compte de service Chronicle.
  7. Cliquez sur Suivant.

  8. Spécifiez les valeurs des paramètres d'entrée suivants:

    • URI du bucket Storage: URL du bucket Cloud Storage au format gs://my-bucket/<value>.
    • L'URI est: sélectionnez Répertoire incluant des sous-répertoires.

    • Options de suppression de la source: sélectionnez l'option de suppression en fonction de vos préférences.

    • Espace de noms des éléments: espace de noms des éléments.

    • Libellés d'ingestion: libellé appliqué aux événements de ce flux.

  9. Cliquez sur Suivant.

  10. Vérifiez la configuration de votre nouveau flux dans l'écran Finaliser, puis cliquez sur Envoyer.

Tableau de mappage UDM

Champ de journal Mappage UDM Logique
event.contentHash.sha256 target.process.file.sha256 Hachage SHA-256 du fichier du processus cible, extrait du champ event.contentHash.sha256 dans le journal brut.
event.decodedContent target.labels Contenu décodé d'un script, extrait du champ event.decodedContent du journal brut. Il est ajouté en tant que libellé avec la clé Decoded Content à l'objet cible.
event.destinationAddress.address target.ip Adresse IP de la destination, extraite du champ event.destinationAddress.address du journal brut.
event.destinationAddress.port target.port Port de la destination, extrait du champ event.destinationAddress.port dans le journal brut.
event.method network.http.method Méthode HTTP de l'événement, extraite du champ event.method dans le journal brut.
event.newValueData target.registry.registry_value_data Données de la nouvelle valeur de la valeur de Registre, extraites du champ event.newValueData dans le journal brut.
event.process.commandLine target.process.command_line Ligne de commande du processus, extraite du champ event.process.commandLine du journal brut.
event.process.executable.hashes.md5 target.process.file.md5 Hachage MD5 de l'exécutable du processus, extrait du champ event.process.executable.hashes.md5 du journal brut.
event.process.executable.hashes.sha1 target.process.file.sha1 Le hachage SHA-1 de l'exécutable du processus, extrait du champ event.process.executable.hashes.sha1 dans le journal brut.
event.process.executable.hashes.sha256 target.process.file.sha256 Hachage SHA-256 de l'exécutable du processus, extrait du champ event.process.executable.hashes.sha256 du journal brut.
event.process.executable.path target.process.file.full_path Chemin d'accès complet de l'exécutable du processus, extrait du champ event.process.executable.path dans le journal brut.
event.process.executable.sizeBytes target.process.file.size Taille de l'exécutable du processus, extraite du champ event.process.executable.sizeBytes dans le journal brut.
event.process.fullPid.pid target.process.pid PID du processus, extrait du champ event.process.fullPid.pid dans le journal brut.
event.query network.dns.questions.name Requête DNS, extraite du champ event.query du journal brut.
event.regKey.path target.registry.registry_key Chemin d'accès de la clé de registre, extrait du champ event.regKey.path dans le journal brut.
event.regValue.key.value target.registry.registry_name, target.registry.registry_value_name Nom de la valeur de Registre, extrait du champ event.regValue.key.value dans le journal brut.
event.regValue.path target.registry.registry_key Chemin de la valeur du Registre, extrait du champ event.regValue.path dans le journal brut.
event.results network.dns.answers.data Réponses DNS, extraites du champ event.results dans le journal brut. Les données sont divisées en réponses individuelles à l'aide du séparateur ";".
event.source.commandLine principal.process.command_line Ligne de commande du processus source, extraite du champ event.source.commandLine du journal brut.
event.source.executable.hashes.md5 principal.process.file.md5 Le hachage MD5 de l'exécutable du processus source, extrait du champ event.source.executable.hashes.md5 du journal brut.
event.source.executable.hashes.sha1 principal.process.file.sha1 Le hachage SHA-1 de l'exécutable du processus source, extrait du champ event.source.executable.hashes.sha1 dans le journal brut.
event.source.executable.hashes.sha256 principal.process.file.sha256 Hachage SHA-256 de l'exécutable du processus source, extrait du champ event.source.executable.hashes.sha256 du journal brut.
event.source.executable.path principal.process.file.full_path Chemin d'accès complet de l'exécutable du processus source, extrait du champ event.source.executable.path du journal brut.
event.source.executable.signature.signed.identity principal.resource.attribute.labels Identité signée de l'exécutable du processus source, extraite du champ event.source.executable.signature.signed.identity du journal brut. Il est ajouté en tant que libellé avec la clé Source Signature Signed Identity aux libellés des attributs de ressources principaux.
event.source.executable.sizeBytes principal.process.file.size Taille de l'exécutable du processus source, extraite du champ event.source.executable.sizeBytes dans le journal brut.
event.source.fullPid.pid principal.process.pid PID du processus source, extrait du champ event.source.fullPid.pid dans le journal brut.
event.source.parent.commandLine principal.process.parent_process.command_line Ligne de commande du processus parent source, extraite du champ event.source.parent.commandLine du journal brut.
event.source.parent.executable.hashes.md5 principal.process.parent_process.file.md5 Le hachage MD5 de l'exécutable du processus parent source, extrait du champ event.source.parent.executable.hashes.md5 du journal brut.
event.source.parent.executable.hashes.sha1 principal.process.parent_process.file.sha1 Le hachage SHA-1 de l'exécutable du processus parent source, extrait du champ event.source.parent.executable.hashes.sha1 du journal brut.
event.source.parent.executable.hashes.sha256 principal.process.parent_process.file.sha256 Hachage SHA-256 de l'exécutable du processus parent source, extrait du champ event.source.parent.executable.hashes.sha256 du journal brut.
event.source.parent.executable.signature.signed.identity principal.resource.attribute.labels Identité signée de l'exécutable du processus parent source, extraite du champ event.source.parent.executable.signature.signed.identity du journal brut. Il est ajouté en tant que libellé avec la clé Source Parent Signature Signed Identity aux libellés des attributs de ressources principaux.
event.source.parent.fullPid.pid principal.process.parent_process.pid PID du processus parent source, extrait du champ event.source.parent.fullPid.pid dans le journal brut.
event.source.user.name principal.user.userid Nom d'utilisateur de l'utilisateur du processus source, extrait du champ event.source.user.name du journal brut.
event.source.user.sid principal.user.windows_sid SID Windows de l'utilisateur du processus source, extrait du champ event.source.user.sid du journal brut.
event.sourceAddress.address principal.ip Adresse IP de la source, extraite du champ event.sourceAddress.address du journal brut.
event.sourceAddress.port principal.port Port de la source, extrait du champ event.sourceAddress.port dans le journal brut.
event.target.executable.hashes.md5 target.process.file.md5 Le hachage MD5 de l'exécutable du processus cible, extrait du champ event.target.executable.hashes.md5 du journal brut.
event.target.executable.hashes.sha1 target.process.file.sha1 Le hachage SHA-1 de l'exécutable du processus cible, extrait du champ event.target.executable.hashes.sha1 dans le journal brut.
event.target.executable.hashes.sha256 target.process.file.sha256 Hachage SHA-256 de l'exécutable du processus cible, extrait du champ event.target.executable.hashes.sha256 du journal brut.
event.target.executable.path target.process.file.full_path Chemin complet de l'exécutable du processus cible, extrait du champ event.target.executable.path dans le journal brut.
event.target.executable.signature.signed.identity target.resource.attribute.labels Identité signée de l'exécutable du processus cible, extraite du champ event.target.executable.signature.signed.identity du journal brut. Il est ajouté en tant que libellé avec la clé Target Signature Signed Identity aux libellés d'attribut de la ressource cible.
event.target.executable.sizeBytes target.process.file.size Taille de l'exécutable du processus cible, extraite du champ event.target.executable.sizeBytes dans le journal brut.
event.target.fullPid.pid target.process.pid PID du processus cible, extrait du champ event.target.fullPid.pid dans le journal brut.
event.targetFile.path target.file.full_path Chemin d'accès complet du fichier cible, extrait du champ event.targetFile.path dans le journal brut.
event.targetFile.signature.signed.identity target.resource.attribute.labels Identité signée du fichier cible, extraite du champ event.targetFile.signature.signed.identity du journal brut. Il est ajouté en tant que libellé avec la clé Target File Signature Signed Identity aux libellés d'attribut de la ressource cible.
event.trueContext.key.value Non mappé sur l'UDM.
event.type metadata.description Type de l'événement, extrait du champ event.type dans le journal brut.
event.url target.url URL de l'événement, extraite du champ event.url dans le journal brut.
meta.agentVersion metadata.product_version – metadata.product_version Version de l'agent, extraite du champ meta.agentVersion dans le journal brut.
meta.computerName principal.hostname, target.hostname Nom d'hôte de l'ordinateur, extrait du champ meta.computerName du journal brut.
meta.osFamily principal.asset.platform_software.platform, target.asset.platform_software.platform Famille du système d'exploitation de l'ordinateur, extraite du champ meta.osFamily du journal brut. Il est mappé sur LINUX pour linux et WINDOWS pour windows.
meta.osRevision principal.asset.platform_software.platform_version, target.asset.platform_software.platform_version Version du système d'exploitation de l'ordinateur, extraite du champ meta.osRevision du journal brut.
meta.traceId metadata.product_log_id ID de trace de l'événement, extrait du champ meta.traceId du journal brut.
meta.uuid principal.asset.product_object_id, target.asset.product_object_id UUID de l'ordinateur, extrait du champ meta.uuid du journal brut.
metadata_event_type metadata.event_type Type de l'événement, défini par la logique de l'analyseur en fonction du champ event.type.
metadata_product_name metadata.product_name Nom du produit, défini sur Singularity XDR par la logique de l'analyseur.
metadata_vendor_name metadata.vendor_name Nom du fournisseur, défini sur SentinelOne par la logique d'analyseur.
network_application_protocol network.application_protocol Protocole d'application de la connexion réseau, défini sur DNS pour les événements DNS par la logique d'analyseur.
network_dns_questions.name network.dns.questions.name Nom de la question DNS, extrait du champ event.query dans le journal brut.
network_direction network.direction Sens de la connexion réseau, défini sur OUTBOUND pour les connexions sortantes et sur INBOUND pour les connexions entrantes par la logique de l'analyseur.
network_http_method network.http.method Méthode HTTP de l'événement, extraite du champ event.method dans le journal brut.
principal.process.command_line target.process.command_line Ligne de commande du processus principal, extraite du champ principal.process.command_line et mappée sur la ligne de commande du processus cible.
principal.process.file.full_path target.process.file.full_path Chemin d'accès complet du fichier du processus principal, extrait du champ principal.process.file.full_path et mappé sur le chemin d'accès complet du fichier du processus cible.
principal.process.file.md5 target.process.file.md5 Hachage MD5 du fichier du processus principal, extrait du champ principal.process.file.md5 et mappé sur le fichier MD5 du processus cible.
principal.process.file.sha1 target.process.file.sha1 Hachage SHA-1 du fichier du processus principal, extrait du champ principal.process.file.sha1 et mappé sur le fichier SHA-1 du processus cible.
principal.process.file.sha256 target.process.file.sha256 Hachage SHA-256 du fichier du processus principal, extrait du champ principal.process.file.sha256 et mappé sur le fichier SHA-256 du processus cible.
principal.process.file.size target.process.file.size Taille du fichier du processus principal, extraite du champ principal.process.file.size et mappée sur la taille du fichier du processus cible.
principal.process.pid target.process.pid PID du processus principal, extrait du champ principal.process.pid et mappé sur le PID du processus cible.
principal.user.userid target.user.userid ID utilisateur du principal, extrait du champ principal.user.userid et mappé à l'ID utilisateur cible.
principal.user.windows_sid target.user.windows_sid SID Windows du principal, extrait du champ principal.user.windows_sid et mappé sur le SID Windows de l'utilisateur cible.

Modifications

2024-07-29

Amélioration :

  • Si registry.keyPath ou registry.value n'est pas nul, seuls les metadata.event_type mappés sur REGISTRY_CREATION sont utilisés.

2024-07-23

Amélioration :

  • Mappage de agentDetectionInfo.agentOsName sur target.platform_version.
  • Mappage de agentDetectionInfo.agentLastLoggedInUserName sur target.user.userid.

2024-07-09

Correction de bug:

  • Modification de la mise en correspondance de suser de principal.user.userid à target.user.userid.
  • Modification de la mise en correspondance de suser de principal.user.user_display_name à target.user.user_display_name.
  • Suppression du mappage de accountId dans target.user.userid.
  • Mappage de prin_user sur principal.user.userid.

2024-06-03

Amélioration :

  • Mappage de suser sur principal.user.userid.
  • Mappage de accountId sur target.user.userid.
  • Mappage de MessageSourceAddress sur principal.ip.
  • Mappage de machine_host sur principal.hostname.

2024-05-20

Amélioration :

  • Mappage de event.dns.response sur network.dns.answers.data.

2024-05-06

Amélioration :

  • Prise en charge d'un nouveau format de journaux JSON.

2024-03-22

Amélioration :

  • Ajout d'un nouveau format Grok pour analyser le nouveau format de journaux KV séparés par tabulation.
  • Mappage de osName sur src.platform.

2024-03-15

Amélioration :

  • Mappage de site.id:account.id:agent.uuid:tgt.process.uid sur target.process.product_specific_process_id.
  • Mappage de site.id:account.id:agent.uuid:src.process.uid sur principal.process.product_specific_process_id.
  • Mappage de site.id:account.id:agent.uuid:src.process.parent.uid sur principal.process.parent_process.product_specific_process_id.
  • src.process.cmdline n'est plus mappé sur target.process.command_line.

2023-11-09

  • Correctif :
  • Mappage de tgt.process.user sur target.user.userid.

2023-10-30

  • Correctif :
  • Ajout d'une vérification de non-valeur nulle pour principal_port avant le mappage vers UDM.
  • Lorsque event.category est url et meta.event.name est HTTP, metadata.event_type est mappé sur NETWORK_HTTP.

2023-09-06

  • Ajout du mappage de tgt.process.storyline.id à security_result.about.resource.attribute.labels.
  • Modification de la mise en correspondance de src.process.storyline.id de principal.process.product_specific_process_id à security_result.about.resource.attribute.labels.
  • Modification de la mise en correspondance de src.process.parent.storyline.id de principal.parent.process.product_specific_process_id à security_result.about.resource.attribute.labels.

2023-08-31

  • Mappage de indicator.category sur security_result.category_details.

2023-08-03

  • event_data.login.loginIsSuccessful a été initialisé sur "null".
  • Mappage de module.path sur target.process.file.full_path et target.file.full_path, où event.type est Module Load.
  • Mappage de module.sha1 sur target.process.file.sha1 et target.file.sha1, où event.type est Module Load.
  • Mappage de metadata.event_type sur PROCESS_MODULE_LOAD, où event.type est Module Load.
  • registry.keyPath a été mappé sur target.registry.registry_key pour les événements REGISTRY_*.
  • registry.value a été mappé sur target.registry.registry_value_data pour les événements REGISTRY_*.
  • Mappage de event.network.protocolName sur network.application_protocol.
  • principal.platform, principal.asset.platform_software.platform mappés sur LINUX si endpoint.os est linux.
  • event.login.userName mappé sur target.user.userid lorsque event.type est Login ou Logout.
  • target.hostname mappé en obtenant le nom d'hôte à partir de url.address lorsque event.type est GET, OPTIONS, POST, PUT, DELETE, CONNECT ou HEAD.

2023-06-09

  • Mappage de osSrc.process.parent.publisher sur principal.resource.attribute.labels.
  • Mappage de src.process.rUserName/src.process.eUserName/src.process.lUserName sur principal.user.user_display_name.
  • Ajout d'une vérification des champs src.process.eUserId, src.process.lUserId et tgt.process.rUserUid avant le mappage vers UDM.
  • tgt.file.location, registry.valueFullSize et registry.valueType ont été mappés sur target.resource.attribute.labels.
  • Mappage de indicator.description sur security_result.summary.
  • Mappage de metadata.event_type sur SCAN_NETWORK, où event.type est Behavioral Indicators.
  • Mappage de metadata.event_type sur SCAN_UNCATEGORIZED, où event.type est Command Script.
  • Champs initialisés meta.osFamily, meta.osRevision, event.type.
  • Ajout de ISO8601 au filtre de date pour analyser le code temporel ISO8601.
  • Ajout de on_error à la conversion de chaîne @timestamp.
  • Ajout de on_error au mappage précédent de meta.uuid.

2023-05-25

  • Mappage de event.source.commandLine sur principal.process.command_line.
  • Mappage de event.source.executable.path sur principal.process.file.full_path.
  • Définissez metadata.event_type sur PROCESS_OPEN, où event.type est openProcess.
  • site.name:site.id a été mappé sur principal.namespace si site.name et site.id ne sont pas nuls.
  • Mappage de event.network.direction sur network.direction.
  • Mappage de meta.event.name sur metadata.description.
  • Mappage de task.name sur target.resource.name.
  • Mappage de agent.uuid sur principal.asset.product_object_id.
  • Mappage de src.process.publisher sur principal.resource.attribute.labels.
  • Mappage de src.process.cmdline sur target.process.command_line.
  • Mappage de mgmt.osRevision sur principal.asset.platform_software.platform_version.
  • security_result.category mappé en fonction de la valeur indicator.category.
  • Mappage de event.dns.response sur network.dns.answers.
  • Mappage de registry.keyPath sur target.registry.registry_key.
  • Mappage de event.id sur target.registry.registry_value_name.

2023-04-27

  • Mappage de event.type sur metadata.product_event_type pour les journaux de Cloud Funnel v2.

2023-04-20

Amélioration :

  • Ajout d'une vérification conditionnelle de la valeur nulle et de "-" pour le champ data.ipAddress.
  • Ajout d'une vérification conditionnelle grok pour le champ sourceMacAddresses.

2023-03-02

Amélioration :

  • Lorsque (event.type == tcpv4 et event.direction == INCOMING) ou event.type contient (processExit|processTermination|processModification|duplicate), event.source.executable.signature.signed.identity est mappé sur target.resource.attribute.labels, sinon sur principal.resource.attribute.labels.
  • event.parent.executable.signature.signed.identity mappé, event.process.executable.signature.signed.identity toprincipal.resource.attribute.labels,
  • event.targetFile.signature.signed.identity, event.target.executable.signature.signed.identity et event.target.parent.executable.signature.signed.identity ont été mappés sur target.resource.attribute.labels.

2023-02-24

Correction de bug:

  • Refactorisation du code pour différencier clairement les versions de journaux.
  • Pour les journaux de l'entonnoir cloud v2 USER_LOGIN, les informations event.login.lognIsSuccessful ont été mappées sur security_result.action et security_result.summary.

2023-02-13

BugFix :

  • Analyse des journaux de l'entonnoir cloud v1 selon les besoins.
  • Mappage de tous les journaux HTTP sur NETWORK_HTTP.
  • Le champ d'URL de NETWORK_HTTP doit être mappé sur target.url au lieu de metadata.url_back_to_product.

2023-01-20

Amélioration :

  • Mappage du champ "event.url" sur "target.hostname" et "target.url".
  • Mappage de "metadata.event_type" sur "NETWORK_HTTP" lorsque "event.type" == "http".

2023-01-16

BugFix :

  • Mappage de mgmt.url sur metadata.url_back_to_product au lieu de target.url.
  • Mappage de site.name sur principal.location.name.
  • Mappage de src.process.rUserUid sur principal.user.userid.
  • Mappage de src.process.eUserId sur principal.user.userid.
  • Mappage de src.process.lUserId sur principal.user.userid.
  • Mappage de src.process.parent.rUserUid sur metadata.ingestion_labels.
  • Mappage de src.process.parent.eUserId sur metadata.ingestion_labels.
  • Mappage de src.process.parent.lUserId sur metadata.ingestion_labels.
  • Mappage de tgt.process.rUserUid sur target.user.userid.
  • Mappage de tgt.process.eUserId sur target.user.userid.
  • Mappage de tgt.process.lUserId sur target.user.userid.
  • Si event.type est Process Creation, metadata.event_type est mappé sur PROCESS_LAUNCH.
  • Si event.type est Duplicate Process Handle, metadata.event_type est mappé sur PROCESS_OPEN.
  • Si event.type est Duplicate Thread Handle, metadata.event_type est mappé sur PROCESS_OPEN.
  • Si event.type est Open Remote Process Handle, metadata.event_type est mappé sur PROCESS_OPEN.
  • Si event.type est Remote Thread Creation, metadata.event_type est mappé sur PROCESS_LAUNCH.
  • Si event.type est Command Script, metadata.event_type est mappé sur FILE_UNCATEGORIZED.
  • Si event.type est IP Connect, metadata.event_type est mappé sur NETWORK_CONNECTION.
  • Si event.type est IP Listen, metadata.event_type est mappé sur NETWORK_UNCATEGORIZED.
  • Si event.type est File ModIfication, metadata.event_type est mappé sur FILE_MODIfICATION.
  • Si event.type est File Creation, metadata.event_type est mappé sur FILE_CREATION.
  • Si event.type est File Scan, metadata.event_type est mappé sur FILE_UNCATEGORIZED.
  • Si event.type est File Deletion, metadata.event_type est mappé sur FILE_DELETION.
  • Si event.type est File Rename, metadata.event_type est mappé sur FILE_MODIfICATION.
  • Si event.type est Pre Execution Detection, metadata.event_type est mappé sur FILE_UNCATEGORIZED.
  • Si event.type est Login, metadata.event_type est mappé sur USER_LOGIN.
  • Si event.type est Logout, metadata.event_type est mappé sur USER_LOGOUT.
  • Si event.type est GET, metadata.event_type est mappé sur NETWORK_HTTP.
  • Si event.type est OPTIONS, metadata.event_type est mappé sur NETWORK_HTTP.
  • Si event.type est POST, metadata.event_type est mappé sur NETWORK_HTTP.
  • Si event.type est PUT, metadata.event_type est mappé sur NETWORK_HTTP.
  • Si event.type est DELETE, metadata.event_type est mappé sur NETWORK_HTTP.
  • Si event.type est CONNECT, metadata.event_type est mappé sur NETWORK_HTTP.
  • Si event.type est HEAD, metadata.event_type est mappé sur NETWORK_HTTP.
  • Si event.type est Not Reported, metadata.event_type est mappé sur STATUS_UNCATEGORIZED.
  • Si event.type est DNS Resolved, metadata.event_type est mappé sur NETWORK_DNS.
  • Si event.type est DNS Unresolved, metadata.event_type est mappé sur NETWORK_DNS.
  • Si event.type est Task Register, metadata.event_type est mappé sur SCHEDULED_TASK_CREATION.
  • Si event.type est Task Update, metadata.event_type est mappé sur SCHEDULED_TASK_MODIfICATION.
  • Si event.type est Task Start, metadata.event_type est mappé sur SCHEDULED_TASK_UNCATEGORIZED.
  • Si event.type est Task Trigger, metadata.event_type est mappé sur SCHEDULED_TASK_UNCATEGORIZED.
  • Si event.type est Task Delete, metadata.event_type est mappé sur SCHEDULED_TASK_DELETION.
  • Si event.type est Registry Key Create, metadata.event_type est mappé sur REGISTRY_CREATION.
  • Si event.type est Registry Key Rename, metadata.event_type est mappé sur REGISTRY_MODIfICATION.
  • Si event.type est Registry Key Delete, metadata.event_type est mappé sur REGISTRY_DELETION.
  • Si event.type est Registry Key Export, metadata.event_type est mappé sur REGISTRY_UNCATEGORIZED.
  • Si event.type est Registry Key Security Changed, metadata.event_type est mappé sur REGISTRY_MODIfICATION.
  • Si event.type est Registry Key Import, metadata.event_type est mappé sur REGISTRY_CREATION.
  • Si event.type est Registry Value ModIfied, metadata.event_type est mappé sur REGISTRY_MODIfICATION.
  • Si event.type est Registry Value Create, metadata.event_type est mappé sur REGISTRY_CREATION.
  • Si event.type est Registry Value Delete, metadata.event_type est mappé sur REGISTRY_DELETION.
  • Si event.type est Behavioral Indicators, metadata.event_type est mappé sur SCAN_UNCATEGORIZED.
  • Si event.type est Module Load, metadata.event_type est mappé sur PROCESS_MODULE_LOAD.
  • Si event.type est Threat Intelligence Indicators, metadata.event_type est mappé sur SCAN_UNCATEGORIZED.
  • Si event.type est Named Pipe Creation, metadata.event_type est mappé sur PROCESS_UNCATEGORIZED.
  • Si event.type est Named Pipe Connection, metadata.event_type est mappé sur PROCESS_UNCATEGORIZED.
  • Si event.type est Driver Load, metadata.event_type est mappé sur PROCESS_MODULE_LOAD.

2022-11-30

Amélioration :

  • Amélioration de l'analyseur pour prendre en charge les journaux ingérés dans la version V2 en mappant les champs suivants.
  • Mappage de account.id sur metadata.product_deployment_id.
  • Mappage de agent.uuid sur principal.asset.asset_id.
  • Mappage de dst.ip.address sur target.ip.
  • Mappage de src.ip.address sur principal.ip.
  • Mappage de src.process.parent.image.sha1 sur principal.process.parent_process.file.sha1.
  • Mappage de src.process.parent.image.sha256 sur principal.process.parent_process.file.sha256.
  • Mappage de src.process.parent.image.path sur principal.process.parent_process.file.full_path.
  • Mappage de src.process.parent.cmdline sur principal.process.parent_process.command_line.
  • Mappage de src.process.parent.image.md5 sur principal.process.parent_process.file.md5.
  • Mappage de src.process.parent.pid sur principal.process.parent_process.pid.
  • Mappage de src.process.image.sha1 sur principal.process.file.sha1.
  • Mappage de src.process.image.md5 sur principal.process.file.md5.
  • Mappage de src.process.pid sur principal.process.pid.
  • Mappage de src.process.cmdline sur principal.process.command_line.
  • Mappage de src.process.image.path sur principal.process.file.full_path.
  • Mappage de src.process.image.sha256 sur principal.process.file.sha256.
  • Mappage de src.process.user sur principal.user.user_display_name.
  • Mappage de src.process.uid sur principal.user.userid.
  • Mappage de src.process.storyline.id sur principal.process.product_specific_process_id.
  • Mappage de src.process.parent.storyline.id sur principal.process.parent_process.product_specific_process_id.
  • Mappage de mgmt.url sur target.url.
  • Mappage de site.id sur principal.namespace.
  • Mappage de src.port.number sur principal.port.
  • Mappage de dst.port.number sur target.port.
  • Mappage de event_data.id sur metadata.product_log_id.

2022-10-11

Amélioration :

  • Mappage de threatClassification sur security_result.category_details.
  • Mappage de threatConfidenceLevel et threatMitigationStatus sur security_result.detection_fields.
  • Mappage de Location sur principal.location.name.
  • Mappage de data.filePath sur principal.process.parent_process.file.full_path.
  • Mise à jour du mappage (valeur CAT)security_result.category_details vers metadata.product_event_type

2022-09-01

Amélioration :

  • Modification de metadata.product_name de SentinelOne en Singularity.
  • Mappage de event.regValue.key.value sur target.registry.registry_value_name.
  • Mappage de principal_userid sur principal.user.userid.
  • Mappage de principal_domain sur principal.administrative_domain.
  • threatInfo.threatId mappé sur security_result.threat_id
  • Mappage de threatInfo.identifiedAt sur metadata.event_timestamp.
  • Mappage de threatInfo.threatId sur metadata.product_log_id.
  • Mappage de security_result.alert_state sur ALERTING.
  • Mappage de threatInfo.maliciousProcessArguments sur security_result.description.
  • Mappage de threatInfo.threatName sur security_result.threat_name.
  • Mappage de threatInfo.classification sur security_result.category_details.
  • Mappage de security_result.category sur SOFTWARE_MALICIOUS lorsque threatInfo.classification est malveillant, sinon sur NETWORK_SUSPICIOUS.
  • Mappage de security_result.action sur ALLOW lorsque threatInfo.mitigationStatus est "mitigated" (atténué), sinon sur BLOCK.
  • Mappage de threatInfo.mitigationStatus sur security_result.action_details.
  • Mappage de threatInfo.classification threatInfo.classificationSource threatInfo.analystVerdictDescription threatInfo.threatName sur security_result.summary.
  • Mappage de threatInfo.createdAt sur metadata.collected_timestamp.
  • Mappage de agentRealtimeInfo.accountId sur metadata.product_deployment_id.
  • Mappage de agentRealtimeInfo.agentVersion sur metadata.product_version.
  • Mappage de indicator.category sur detection_fields.key et de indicator.description sur detection_fields.value.
  • Mappage de detectionEngines.key sur detection_fields.key et de detectionEngines.title sur detection_fields.value.
  • Mappage de metadata.event_type sur SCAN_UNCATEGORIZED lorsque meta.computerName n'est pas nul.

2022-07-21

Amélioration :

  • Mappage de event.source.executable.hashes.md5 sur principal.process.file.md5.
  • Mappage de event.source.executable.hashes.sha256 sur principal.process.file.sha256.
  • Mappage de event.source.executable.hashes.sha1 sur principal.process.file.sha1.
  • Mappage de event.source.fullPid.pid sur principal.process.pid.
  • Mappage de event.source.user.name sur principal.user.userid.
  • Mise en correspondance de meta.agentVersion avec metadata.product_version.
  • Mappage de event.appName sur target.application.
  • Mappage de event.contentHash.sha256 sur target.process.file.sha256.
  • Mappage de event.source.commandLine sur target.process.command_line.
  • Mappage de event.decodedContent sur target.labels.
  • Modification de metadata.description de "scripts" à "Command Scripts" lorsque event.type est "scripts".
  • Fournisseur mappé sur metadata.vendor_name.
  • Mappage de data.fileContentHash sur target.process.file.md5.
  • Mappage de data.ipAddress sur principal.ip.
  • Mappage de l'attribut activityUuid sur target.asset.product_object_id.
  • Mise en correspondance de l'agentId avec metadata.product_deployment_id.
  • Ajout de la validation de l'adresse e-mail pour user_email avant de la mapper sur principal.user.email_addresses. En cas d'échec, la mappage a été effectué sur principal.user.userid.
  • Mapped sourceIpAddresses to principal.ip.
  • Mappage de accountName sur principal.administrative_domain.
  • Mappage de l'attribut activityId sur additional.fields.

2022-07-15

Amélioration :

  • Analyse des nouveaux journaux au format JSON et mappage des nouveaux champs suivants :
  • metadata.product_name à SENTINEL_ONE.
  • sourceParentProcessMd5 à principal.process.parent_process.file.md5.
  • sourceParentProcessPath à principal.process.parent_process.file.full_path.
  • sourceParentProcessPid à principal.process.parent_process.pid.
  • sourceParentProcessSha1 à principal.process.parent_process.file.sha1.
  • sourceParentProcessSha256 à principal.process.parent_process.file.sha256.
  • sourceParentProcessCmdArgs à principal.process.parent_process.command_line.
  • sourceProcessCmdArgs à principal.process.command_line.
  • sourceProcessMd5 à principal.process.file.md5.
  • sourceProcessPid à principal.process.pid.
  • sourceProcessSha1 à principal.process.file.sha1.
  • sourceProcessSha256 à principal.process.file.sha256.
  • sourceProcessPath à principal.process.file.full_path.
  • tgtFilePath à target.file.full_path.
  • tgtFileHashSha256 à target.file.sha256.
  • tgtFileHashSha1 à target.file.sha1.
  • tgtProcUid à target.process.product_specific_process_id.
  • tgtProcCmdLine à target.process.command_line.
  • tgtProcPid à target.process.pid.
  • tgtProcName à target.application.
  • dstIp à target.ip.
  • srcIp à principal.ip.
  • dstPort à target.port.
  • srcPort à principal.port.
  • origAgentName à principal.hostname.
  • agentIpV4 à principal.ip.
  • groupId à principal.user.group_identifiers.
  • groupName à principal.user.group_display_name.
  • origAgentVersion à principal.asset.software.version.
  • origAgentOsFamily à principal.platform.
  • origAgentOsName à principal.asset.software.name.
  • event_type à FILE_MODIFICATION lorsque sourceEventType = FILEMODIFICATION.
  • event_type à FILE_DELETION lorsque sourceEventType = FILEDELETION.
  • event_type à PROCESS_LAUNCH lorsque sourceEventType = PROCESSCREATION.
  • event_type à NETWORK_CONNECTION lorsque sourceEventType = TCPV4.

2022-06-13

Amélioration :

  • for [event][type] == fileCreation and [event][type] == fileDeletion
  • Mappage de event.targetFile.path sur target.file.full_path.
  • Mappage de event.targetFile.hashes.md5 sur target.process.file.md5.
  • Mappage de event.targetFile.hashes.sha1 sur target.process.file.sha1.
  • Mappage de event.targetFile.hashes.sha256 sur target.process.file.sha256.
  • pour [event][type] == fileModification
  • Mappage de event.file.path sur target.file.full_path.
  • Mappage de event.file.hashes.md5 sur target.process.file.md5.
  • Mappage de event.file.hashes.sha1 sur target.process.file.sha1.
  • Mappage de event.file.hashes.sha256 sur target.process.file.sha256.

2022-04-18

  • Amélioration de l'analyseur pour gérer tous les journaux bruts non analysés.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.