Mengumpulkan log EDR SentinelOne

Didukung di:

Dokumen ini menjelaskan cara mengekspor log SentinelOne ke Google Cloud Storage menggunakan SentinelOne Cloud Funnel. Karena SentinelOne tidak menawarkan integrasi bawaan untuk mengekspor log langsung ke Google Cloud Storage, Cloud Funnel bertindak sebagai layanan perantara untuk mengirim log ke Cloud Storage.

Sebelum Memulai

  • Pastikan Anda memiliki instance Google Chronicle.
  • Pastikan Anda memiliki akses dengan hak istimewa ke Google Cloud platform.
  • Pastikan Anda memiliki akses dengan hak istimewa ke SentinelOne.

Mengonfigurasi Izin agar Cloud Funnel Dapat Mengakses Cloud Storage

  1. Login ke konsol Google Cloud.
  2. Buka IAM & Admin.
  3. Di halaman IAM, tambahkan peran IAM baru untuk akun layanan Cloud Funnel:
    • Tetapkan izin Storage Object Creator.
    • Opsional: tetapkan Storage Object Viewer jika Anda memerlukan Cloud Funnel untuk membaca objek dari bucket.
  4. Berikan izin ini ke akun layanan Cloud Funnel.

Membuat Bucket Cloud Storage

  1. Login ke konsol Google Cloud.
  2. Buka Penyimpanan > Browser.
  3. Klik Create bucket.
  4. Berikan konfigurasi berikut:
    • Nama Bucket: pilih nama unik untuk bucket Anda (misalnya, sentinelone-logs).
    • Storage Location: pilih region tempat bucket akan berada (misalnya, US-West1).
    • Storage Class: pilih kelas penyimpanan Standard.
  5. Klik Buat.

Mengonfigurasi Funnel Cloud di SentinelOne

  1. Di Konsol SentinelOne, buka Setelan.
  2. Cari opsi Cloud Funnel (di bagian Integrasi).
  3. Jika belum diaktifkan, klik Aktifkan Cloud Funnel.
  4. Setelah diaktifkan, Anda akan diminta untuk mengonfigurasi setelan Tujuan.
    • Pilihan Tujuan: pilih Google Cloud Storage sebagai tujuan untuk mengekspor log.
    • Google Cloud Storage: berikan kredensial Google Cloud Storage.
    • Frekuensi Ekspor Log: tetapkan frekuensi untuk mengekspor log (misalnya, per jam atau per hari).

Mengonfigurasi Ekspor Log Funnel Cloud

  1. Di bagian Cloud Funnel Configuration di SentinelOne Console, tetapkan hal berikut:
    • Frekuensi Ekspor Log: pilih seberapa sering log harus diekspor (misalnya, setiap jam atau setiap hari).
    • Format Log: pilih format JSON.
    • Nama Bucket: masukkan nama bucket Google Cloud Storage yang Anda buat sebelumnya (misalnya, sentinelone-logs).
    • Opsional: Log Path Prefix: tentukan awalan untuk mengatur log dalam bucket (misalnya, sentinelone-logs/).
  2. Setelah setelan dikonfigurasi, klik Simpan untuk menerapkan perubahan.

Mengonfigurasi feed di Google SecOps untuk menyerap log Sentinel EDR

  1. Buka Setelan SIEM > Feed.
  2. Klik Tambahkan baru.
  3. Di kolom Nama feed, masukkan nama untuk feed (misalnya, Sentinel EDR Logs).
  4. Pilih Google Cloud Storage sebagai Source type.
  5. Pilih Sentinel EDR sebagai Jenis log.
  6. Klik Get Service Account sebagai Chronicle Service Account.
  7. Klik Berikutnya.

  8. Tentukan nilai untuk parameter input berikut:

    • Storage Bucket URI: URL bucket Cloud Storage dalam format gs://my-bucket/<value>.
    • URI Adalah: pilih Direktori yang menyertakan subdirektori.

    • Opsi penghapusan sumber: pilih opsi penghapusan sesuai preferensi Anda.

    • Namespace aset: namespace aset.

    • Label penyerapan: label yang diterapkan ke peristiwa dari feed ini.

  9. Klik Berikutnya.

  10. Tinjau konfigurasi feed baru Anda di layar Finalize, lalu klik Submit.

Tabel pemetaan UDM

Kolom Log Pemetaan UDM Logika
event.contentHash.sha256 target.process.file.sha256 Hash SHA-256 file proses target, diekstrak dari kolom event.contentHash.sha256 dalam log mentah.
event.decodedContent target.labels Konten skrip yang didekode, diekstrak dari kolom event.decodedContent dalam log mentah. Nilai ini ditambahkan sebagai label dengan kunci Decoded Content ke objek target.
event.destinationAddress.address target.ip Alamat IP tujuan, diekstrak dari kolom event.destinationAddress.address dalam log mentah.
event.destinationAddress.port target.port Port tujuan, diekstrak dari kolom event.destinationAddress.port dalam log mentah.
event.method network.http.method Metode HTTP peristiwa, diekstrak dari kolom event.method dalam log mentah.
event.newValueData target.registry.registry_value_data Data nilai baru dari nilai registry, diekstrak dari kolom event.newValueData dalam log mentah.
event.process.commandLine target.process.command_line Command line proses, diekstrak dari kolom event.process.commandLine dalam log mentah.
event.process.executable.hashes.md5 target.process.file.md5 Hash MD5 dari file yang dapat dieksekusi proses, diekstrak dari kolom event.process.executable.hashes.md5 dalam log mentah.
event.process.executable.hashes.sha1 target.process.file.sha1 Hash SHA-1 dari file yang dapat dieksekusi proses, diekstrak dari kolom event.process.executable.hashes.sha1 dalam log mentah.
event.process.executable.hashes.sha256 target.process.file.sha256 Hash SHA-256 dari file yang dapat dieksekusi proses, diekstrak dari kolom event.process.executable.hashes.sha256 dalam log mentah.
event.process.executable.path target.process.file.full_path Jalur lengkap file yang dapat dieksekusi proses, diekstrak dari kolom event.process.executable.path dalam log mentah.
event.process.executable.sizeBytes target.process.file.size Ukuran file yang dapat dieksekusi proses, diekstrak dari kolom event.process.executable.sizeBytes dalam log mentah.
event.process.fullPid.pid target.process.pid PID proses, diekstrak dari kolom event.process.fullPid.pid dalam log mentah.
event.query network.dns.questions.name Kueri DNS, diekstrak dari kolom event.query dalam log mentah.
event.regKey.path target.registry.registry_key Jalur kunci registry, diekstrak dari kolom event.regKey.path dalam log mentah.
event.regValue.key.value target.registry.registry_name, target.registry.registry_value_name Nama nilai registry, diekstrak dari kolom event.regValue.key.value dalam log mentah.
event.regValue.path target.registry.registry_key Jalur nilai registry, diekstrak dari kolom event.regValue.path dalam log mentah.
event.results network.dns.answers.data Jawaban DNS, diekstrak dari kolom event.results dalam log mentah. Data dibagi menjadi jawaban individual menggunakan pemisah ";".
event.source.commandLine principal.process.command_line Command line proses sumber, diekstrak dari kolom event.source.commandLine dalam log mentah.
event.source.executable.hashes.md5 principal.process.file.md5 Hash MD5 dari file yang dapat dieksekusi proses sumber, diekstrak dari kolom event.source.executable.hashes.md5 dalam log mentah.
event.source.executable.hashes.sha1 principal.process.file.sha1 Hash SHA-1 dari file yang dapat dieksekusi proses sumber, diekstrak dari kolom event.source.executable.hashes.sha1 dalam log mentah.
event.source.executable.hashes.sha256 principal.process.file.sha256 Hash SHA-256 dari file yang dapat dieksekusi proses sumber, diekstrak dari kolom event.source.executable.hashes.sha256 dalam log mentah.
event.source.executable.path principal.process.file.full_path Jalur lengkap file yang dapat dieksekusi proses sumber, diekstrak dari kolom event.source.executable.path dalam log mentah.
event.source.executable.signature.signed.identity principal.resource.attribute.labels Identitas yang ditandatangani dari file yang dapat dieksekusi proses sumber, diekstrak dari kolom event.source.executable.signature.signed.identity dalam log mentah. Atribut ini ditambahkan sebagai label dengan kunci Source Signature Signed Identity ke label atribut resource utama.
event.source.executable.sizeBytes principal.process.file.size Ukuran file yang dapat dieksekusi proses sumber, diekstrak dari kolom event.source.executable.sizeBytes dalam log mentah.
event.source.fullPid.pid principal.process.pid PID proses sumber, diekstrak dari kolom event.source.fullPid.pid dalam log mentah.
event.source.parent.commandLine principal.process.parent_process.command_line Command line proses induk sumber, diekstrak dari kolom event.source.parent.commandLine dalam log mentah.
event.source.parent.executable.hashes.md5 principal.process.parent_process.file.md5 Hash MD5 dari file yang dapat dieksekusi proses induk sumber, yang diekstrak dari kolom event.source.parent.executable.hashes.md5 dalam log mentah.
event.source.parent.executable.hashes.sha1 principal.process.parent_process.file.sha1 Hash SHA-1 dari file yang dapat dieksekusi proses induk sumber, yang diekstrak dari kolom event.source.parent.executable.hashes.sha1 dalam log mentah.
event.source.parent.executable.hashes.sha256 principal.process.parent_process.file.sha256 Hash SHA-256 dari file yang dapat dieksekusi proses induk sumber, diekstrak dari kolom event.source.parent.executable.hashes.sha256 dalam log mentah.
event.source.parent.executable.signature.signed.identity principal.resource.attribute.labels Identitas yang ditandatangani dari file yang dapat dieksekusi proses induk sumber, diekstrak dari kolom event.source.parent.executable.signature.signed.identity dalam log mentah. Atribut ini ditambahkan sebagai label dengan kunci Source Parent Signature Signed Identity ke label atribut resource utama.
event.source.parent.fullPid.pid principal.process.parent_process.pid PID proses induk sumber, diekstrak dari kolom event.source.parent.fullPid.pid dalam log mentah.
event.source.user.name principal.user.userid Nama pengguna pengguna proses sumber, diekstrak dari kolom event.source.user.name dalam log mentah.
event.source.user.sid principal.user.windows_sid SID Windows pengguna proses sumber, diekstrak dari kolom event.source.user.sid dalam log mentah.
event.sourceAddress.address principal.ip Alamat IP sumber, diekstrak dari kolom event.sourceAddress.address dalam log mentah.
event.sourceAddress.port principal.port Port sumber, diekstrak dari kolom event.sourceAddress.port dalam log mentah.
event.target.executable.hashes.md5 target.process.file.md5 Hash MD5 dari file yang dapat dieksekusi proses target, diekstrak dari kolom event.target.executable.hashes.md5 dalam log mentah.
event.target.executable.hashes.sha1 target.process.file.sha1 Hash SHA-1 dari file yang dapat dieksekusi proses target, diekstrak dari kolom event.target.executable.hashes.sha1 dalam log mentah.
event.target.executable.hashes.sha256 target.process.file.sha256 Hash SHA-256 dari file yang dapat dieksekusi proses target, diekstrak dari kolom event.target.executable.hashes.sha256 dalam log mentah.
event.target.executable.path target.process.file.full_path Jalur lengkap file yang dapat dieksekusi proses target, diekstrak dari kolom event.target.executable.path dalam log mentah.
event.target.executable.signature.signed.identity target.resource.attribute.labels Identitas yang ditandatangani dari file yang dapat dieksekusi proses target, diekstrak dari kolom event.target.executable.signature.signed.identity dalam log mentah. Atribut ini ditambahkan sebagai label dengan kunci Target Signature Signed Identity ke label atribut resource target.
event.target.executable.sizeBytes target.process.file.size Ukuran file yang dapat dieksekusi proses target, diekstrak dari kolom event.target.executable.sizeBytes dalam log mentah.
event.target.fullPid.pid target.process.pid PID proses target, diekstrak dari kolom event.target.fullPid.pid dalam log mentah.
event.targetFile.path target.file.full_path Jalur lengkap file target, diekstrak dari kolom event.targetFile.path dalam log mentah.
event.targetFile.signature.signed.identity target.resource.attribute.labels Identitas file target yang ditandatangani, diekstrak dari kolom event.targetFile.signature.signed.identity dalam log mentah. Atribut ini ditambahkan sebagai label dengan kunci Target File Signature Signed Identity ke label atribut resource target.
event.trueContext.key.value Tidak dipetakan ke UDM.
event.type metadata.description Jenis peristiwa, diekstrak dari kolom event.type dalam log mentah.
event.url target.url URL peristiwa, diekstrak dari kolom event.url dalam log mentah.
meta.agentVersion metadata.product_version, metadata.product_version Versi agen, diekstrak dari kolom meta.agentVersion dalam log mentah.
meta.computerName principal.hostname, target.hostname Nama host komputer, diekstrak dari kolom meta.computerName dalam log mentah.
meta.osFamily principal.asset.platform_software.platform, target.asset.platform_software.platform Kelompok sistem operasi komputer, diekstrak dari kolom meta.osFamily dalam log mentah. Ini dipetakan ke LINUX untuk linux dan WINDOWS untuk windows.
meta.osRevision principal.asset.platform_software.platform_version, target.asset.platform_software.platform_version Revisi sistem operasi komputer, diekstrak dari kolom meta.osRevision dalam log mentah.
meta.traceId metadata.product_log_id ID rekaman aktivitas peristiwa, yang diekstrak dari kolom meta.traceId dalam log mentah.
meta.uuid principal.asset.product_object_id, target.asset.product_object_id UUID komputer, diekstrak dari kolom meta.uuid dalam log mentah.
metadata_event_type metadata.event_type Jenis peristiwa, yang ditetapkan oleh logika parser berdasarkan kolom event.type.
metadata_product_name metadata.product_name Nama produk, ditetapkan ke Singularity XDR oleh logika parser.
metadata_vendor_name metadata.vendor_name Nama vendor, ditetapkan ke SentinelOne oleh logika parser.
network_application_protocol network.application_protocol Protokol aplikasi koneksi jaringan, ditetapkan ke DNS untuk peristiwa DNS oleh logika parser.
network_dns_questions.name network.dns.questions.name Nama pertanyaan DNS, diekstrak dari kolom event.query dalam log mentah.
network_direction network.direction Arah koneksi jaringan, ditetapkan ke OUTBOUND untuk koneksi keluar dan INBOUND untuk koneksi masuk oleh logika parser.
network_http_method network.http.method Metode HTTP peristiwa, diekstrak dari kolom event.method dalam log mentah.
principal.process.command_line target.process.command_line Command line proses utama, diekstrak dari kolom principal.process.command_line dan dipetakan ke command line proses target.
principal.process.file.full_path target.process.file.full_path Jalur lengkap file proses utama, diekstrak dari kolom principal.process.file.full_path dan dipetakan ke jalur lengkap file proses target.
principal.process.file.md5 target.process.file.md5 Hash MD5 file proses utama, diekstrak dari kolom principal.process.file.md5 dan dipetakan ke MD5 file proses target.
principal.process.file.sha1 target.process.file.sha1 Hash SHA-1 file proses utama, diekstrak dari kolom principal.process.file.sha1 dan dipetakan ke SHA-1 file proses target.
principal.process.file.sha256 target.process.file.sha256 Hash SHA-256 file proses utama, diekstrak dari kolom principal.process.file.sha256 dan dipetakan ke SHA-256 file proses target.
principal.process.file.size target.process.file.size Ukuran file proses utama, diekstrak dari kolom principal.process.file.size dan dipetakan ke ukuran file proses target.
principal.process.pid target.process.pid PID proses utama, diekstrak dari kolom principal.process.pid dan dipetakan ke PID proses target.
principal.user.userid target.user.userid ID pengguna akun utama, diekstrak dari kolom principal.user.userid dan dipetakan ke ID pengguna target.
principal.user.windows_sid target.user.windows_sid SID Windows akun utama, diekstrak dari kolom principal.user.windows_sid dan dipetakan ke SID Windows pengguna target.

Perubahan

2024-07-29

Peningkatan:

  • Jika registry.keyPath atau registry.value bukan null, hanya metadata.event_type yang dipetakan ke REGISTRY_CREATION.

2024-07-23

Peningkatan:

  • Memetakan agentDetectionInfo.agentOsName ke target.platform_version.
  • Memetakan agentDetectionInfo.agentLastLoggedInUserName ke target.user.userid.

2024-07-09

Perbaikan Bug:

  • Mengubah pemetaan untuk suser dari principal.user.userid menjadi target.user.userid.
  • Mengubah pemetaan untuk suser dari principal.user.user_display_name menjadi target.user.user_display_name.
  • Menghapus pemetaan untuk accountId dari target.user.userid.
  • Memetakan prin_user ke principal.user.userid.

2024-06-03

Peningkatan:

  • Memetakan suser ke principal.user.userid.
  • Memetakan accountId ke target.user.userid.
  • Memetakan MessageSourceAddress ke principal.ip.
  • Memetakan machine_host ke principal.hostname.

2024-05-20

Peningkatan:

  • Memetakan event.dns.response ke network.dns.answers.data.

2024-05-06

Peningkatan:

  • Menambahkan dukungan untuk pola log JSON baru.

2024-03-22

Peningkatan:

  • Menambahkan pola Grok baru untuk mengurai format baru log KV yang dipisahkan tab.
  • Memetakan osName ke src.platform.

2024-03-15

Peningkatan:

  • Memetakan site.id:account.id:agent.uuid:tgt.process.uid ke target.process.product_specific_process_id.
  • Memetakan site.id:account.id:agent.uuid:src.process.uid ke principal.process.product_specific_process_id.
  • Memetakan site.id:account.id:agent.uuid:src.process.parent.uid ke principal.process.parent_process.product_specific_process_id.
  • Menghapus src.process.cmdline agar tidak dipetakan ke target.process.command_line.

2023-11-09

  • Perbaikan:
  • Memetakan tgt.process.user ke target.user.userid.

2023-10-30

  • Perbaikan:
  • Menambahkan pemeriksaan not null ke principal_port sebelum pemetaan ke UDM.
  • Jika event.category adalah url dan meta.event.name adalah HTTP, pemetaannya adalah metadata.event_type ke NETWORK_HTTP.

2023-09-06

  • Menambahkan pemetaan tgt.process.storyline.id ke security_result.about.resource.attribute.labels.
  • Pemetaan src.process.storyline.id diubah dari principal.process.product_specific_process_id menjadi security_result.about.resource.attribute.labels.
  • Pemetaan src.process.parent.storyline.id diubah dari principal.parent.process.product_specific_process_id menjadi security_result.about.resource.attribute.labels.

2023-08-31

  • Memetakan indicator.category ke security_result.category_details.

2023-08-03

  • Melakukan inisialisasi event_data.login.loginIsSuccessful ke null.
  • Memetakan module.path ke target.process.file.full_path dan target.file.full_path dengan event.type adalah Module Load.
  • Memetakan module.sha1 ke target.process.file.sha1 dan target.file.sha1 dengan event.type adalah Module Load.
  • Memetakan metadata.event_type ke PROCESS_MODULE_LOAD dengan event.type adalah Module Load.
  • Memetakan registry.keyPath ke target.registry.registry_key untuk peristiwa REGISTRY_*.
  • Memetakan registry.value ke target.registry.registry_value_data untuk peristiwa REGISTRY_*.
  • Memetakan event.network.protocolName ke network.application_protocol.
  • Memetakan principal.platform, principal.asset.platform_software.platform ke LINUX jika endpoint.os adalah linux.
  • Memetakan event.login.userName ke target.user.userid jika event.type adalah Login atau Logout.
  • Memetakan target.hostname dengan mendapatkan nama host dari url.address saat event.type adalah GET, OPTIONS, POST, PUT, DELETE, CONNECT, HEAD.

2023-06-09

  • Memetakan osSrc.process.parent.publisher ke principal.resource.attribute.labels.
  • Memetakan src.process.rUserName/src.process.eUserName/src.process.lUserName ke principal.user.user_display_name.
  • Menambahkan pemeriksaan ke kolom: src.process.eUserId, src.process.lUserId, tgt.process.rUserUid sebelum pemetaan ke UDM.
  • Memetakan tgt.file.location, registry.valueFullSize, registry.valueType ke target.resource.attribute.labels.
  • Memetakan indicator.description ke security_result.summary.
  • Memetakan metadata.event_type ke SCAN_NETWORK dengan event.type adalah Behavioral Indicators.
  • Memetakan metadata.event_type ke SCAN_UNCATEGORIZED dengan event.type adalah Command Script.
  • Kolom yang diinisialisasi meta.osFamily, meta.osRevision, event.type.
  • Menambahkan ISO8601 ke filter tanggal untuk mengurai stempel waktu ISO8601.
  • Menambahkan on_error ke konversi string @timestamp.
  • Menambahkan on_error ke pemetaan meta.uuid sebelumnya.

2023-05-25

  • Memetakan event.source.commandLine ke principal.process.command_line.
  • Memetakan event.source.executable.path ke principal.process.file.full_path.
  • Tetapkan metadata.event_type ke PROCESS_OPEN dengan event.type adalah openProcess.
  • Memetakan site.name:site.id ke principal.namespace jika site.name dan site.id bukan null.
  • Memetakan event.network.direction ke network.direction.
  • Memetakan meta.event.name ke metadata.description.
  • Memetakan task.name ke target.resource.name.
  • Memetakan agent.uuid ke principal.asset.product_object_id.
  • Memetakan src.process.publisher ke principal.resource.attribute.labels.
  • Memetakan src.process.cmdline ke target.process.command_line.
  • Memetakan mgmt.osRevision ke principal.asset.platform_software.platform_version.
  • Memetakan security_result.category sesuai dengan nilai indicator.category.
  • Memetakan event.dns.response ke network.dns.answers.
  • Memetakan registry.keyPath ke target.registry.registry_key.
  • Memetakan event.id ke target.registry.registry_value_name.

2023-04-27

  • Memetakan event.type ke metadata.product_event_type untuk log Cloud Funnel v2.

2023-04-20

Peningkatan:

  • Menambahkan pemeriksaan kondisional null dan '-' untuk kolom data.ipAddress.
  • Menambahkan pemeriksaan kondisional grok untuk kolom sourceMacAddresses.

2023-03-02

Peningkatan:

  • Jika (event.type == tcpv4 dan event.direction == INCOMING) atau event.type berisi (processExit|processTermination|processModification|duplicate), maka pemetaan event.source.executable.signature.signed.identity ke target.resource.attribute.labels, jika tidak, pemetaannya ke principal.resource.attribute.labels.
  • Memetakan event.parent.executable.signature.signed.identity, event.process.executable.signature.signed.identity toprincipal.resource.attribute.labels,`.
  • Memetakan event.targetFile.signature.signed.identity, event.target.executable.signature.signed.identity, event.target.parent.executable.signature.signed.identity ke target.resource.attribute.labels.

2023-02-24

BugFix:

  • Memfaktorkan ulang kode untuk membedakan dengan jelas antara versi log.
  • Untuk log funnel cloud USER_LOGIN v2, memetakan detail event.login.lognIsSuccessful ke security_result.action dan security_result.summary

13-02-2023

BugFix:

  • Mengurai log funnel cloud v1 sesuai kebutuhan.
  • Memetakan semua log HTTP ke NETWORK_HTTP.
  • NETWORK_HTTP harus memiliki kolom URL yang dipetakan ke target.url, bukan metadata.url_back_to_product.

2023-01-20

Peningkatan:

  • Memetakan kolom 'event.url' ke 'target.hostname' dan 'target.url'.
  • Memetakan 'metadata.event_type' ke 'NETWORK_HTTP' dengan 'event.type' == 'http'.

2023-01-16

BugFix:

  • Memetakan mgmt.url ke metadata.url_back_to_product, bukan target.url.
  • Memetakan site.name ke principal.location.name.
  • Memetakan src.process.rUserUid ke principal.user.userid.
  • Memetakan src.process.eUserId ke principal.user.userid.
  • Memetakan src.process.lUserId ke principal.user.userid.
  • Memetakan src.process.parent.rUserUid ke metadata.ingestion_labels.
  • Memetakan src.process.parent.eUserId ke metadata.ingestion_labels.
  • Memetakan src.process.parent.lUserId ke metadata.ingestion_labels.
  • Memetakan tgt.process.rUserUid ke target.user.userid.
  • Memetakan tgt.process.eUserId ke target.user.userid.
  • Memetakan tgt.process.lUserId ke target.user.userid.
  • Jika event.type adalah Process Creation yang dipetakan metadata.event_type ke PROCESS_LAUNCH.
  • Jika event.type adalah Duplicate Process Handle yang dipetakan metadata.event_type ke PROCESS_OPEN.
  • Jika event.type adalah Duplicate Thread Handle yang dipetakan metadata.event_type ke PROCESS_OPEN.
  • Jika event.type adalah Open Remote Process Handle yang dipetakan metadata.event_type ke PROCESS_OPEN.
  • Jika event.type adalah Remote Thread Creation yang dipetakan metadata.event_type ke PROCESS_LAUNCH.
  • Jika event.type adalah Command Script yang dipetakan metadata.event_type ke FILE_UNCATEGORIZED.
  • Jika event.type adalah IP Connect yang dipetakan metadata.event_type ke NETWORK_CONNECTION.
  • Jika event.type adalah IP Listen yang dipetakan metadata.event_type ke NETWORK_UNCATEGORIZED.
  • Jika event.type adalah File ModIfication yang dipetakan metadata.event_type ke FILE_MODIfICATION.
  • Jika event.type adalah File Creation yang dipetakan metadata.event_type ke FILE_CREATION.
  • Jika event.type adalah File Scan yang dipetakan metadata.event_type ke FILE_UNCATEGORIZED.
  • Jika event.type adalah File Deletion yang dipetakan metadata.event_type ke FILE_DELETION.
  • Jika event.type adalah File Rename yang dipetakan metadata.event_type ke FILE_MODIfICATION.
  • Jika event.type adalah Pre Execution Detection yang dipetakan metadata.event_type ke FILE_UNCATEGORIZED.
  • Jika event.type adalah Login yang dipetakan metadata.event_type ke USER_LOGIN.
  • Jika event.type adalah Logout yang dipetakan metadata.event_type ke USER_LOGOUT.
  • Jika event.type adalah GET yang dipetakan metadata.event_type ke NETWORK_HTTP.
  • Jika event.type adalah OPTIONS yang dipetakan metadata.event_type ke NETWORK_HTTP.
  • Jika event.type adalah POST yang dipetakan metadata.event_type ke NETWORK_HTTP.
  • Jika event.type adalah PUT yang dipetakan metadata.event_type ke NETWORK_HTTP.
  • Jika event.type adalah DELETE yang dipetakan metadata.event_type ke NETWORK_HTTP.
  • Jika event.type adalah CONNECT yang dipetakan metadata.event_type ke NETWORK_HTTP.
  • Jika event.type adalah HEAD yang dipetakan metadata.event_type ke NETWORK_HTTP.
  • Jika event.type adalah Not Reported yang dipetakan metadata.event_type ke STATUS_UNCATEGORIZED.
  • Jika event.type adalah DNS Resolved yang dipetakan metadata.event_type ke NETWORK_DNS.
  • Jika event.type adalah DNS Unresolved yang dipetakan metadata.event_type ke NETWORK_DNS.
  • Jika event.type adalah Task Register yang dipetakan metadata.event_type ke SCHEDULED_TASK_CREATION.
  • Jika event.type adalah Task Update yang dipetakan metadata.event_type ke SCHEDULED_TASK_MODIfICATION.
  • Jika event.type adalah Task Start yang dipetakan metadata.event_type ke SCHEDULED_TASK_UNCATEGORIZED.
  • Jika event.type adalah Task Trigger yang dipetakan metadata.event_type ke SCHEDULED_TASK_UNCATEGORIZED.
  • Jika event.type adalah Task Delete yang dipetakan metadata.event_type ke SCHEDULED_TASK_DELETION.
  • Jika event.type adalah Registry Key Create yang dipetakan metadata.event_type ke REGISTRY_CREATION.
  • Jika event.type adalah Registry Key Rename yang dipetakan metadata.event_type ke REGISTRY_MODIfICATION.
  • Jika event.type adalah Registry Key Delete yang dipetakan metadata.event_type ke REGISTRY_DELETION.
  • Jika event.type adalah Registry Key Export yang dipetakan metadata.event_type ke REGISTRY_UNCATEGORIZED.
  • Jika event.type adalah Registry Key Security Changed yang dipetakan metadata.event_type ke REGISTRY_MODIfICATION.
  • Jika event.type adalah Registry Key Import yang dipetakan metadata.event_type ke REGISTRY_CREATION.
  • Jika event.type adalah Registry Value ModIfied yang dipetakan metadata.event_type ke REGISTRY_MODIfICATION.
  • Jika event.type adalah Registry Value Create yang dipetakan metadata.event_type ke REGISTRY_CREATION.
  • Jika event.type adalah Registry Value Delete yang dipetakan metadata.event_type ke REGISTRY_DELETION.
  • Jika event.type adalah Behavioral Indicators yang dipetakan metadata.event_type ke SCAN_UNCATEGORIZED.
  • Jika event.type adalah Module Load yang dipetakan metadata.event_type ke PROCESS_MODULE_LOAD.
  • Jika event.type adalah Threat Intelligence Indicators yang dipetakan metadata.event_type ke SCAN_UNCATEGORIZED.
  • Jika event.type adalah Named Pipe Creation yang dipetakan metadata.event_type ke PROCESS_UNCATEGORIZED.
  • Jika event.type adalah Named Pipe Connection yang dipetakan metadata.event_type ke PROCESS_UNCATEGORIZED.
  • Jika event.type adalah Driver Load yang dipetakan metadata.event_type ke PROCESS_MODULE_LOAD.

2022-11-30

Peningkatan:

  • Meningkatkan parser untuk mendukung log yang ditransfer dalam versi V2 dengan memetakan kolom berikut.
  • Memetakan account.id ke metadata.product_deployment_id.
  • Memetakan agent.uuid ke principal.asset.asset_id.
  • Memetakan dst.ip.address ke target.ip.
  • Memetakan src.ip.address ke principal.ip.
  • Memetakan src.process.parent.image.sha1 ke principal.process.parent_process.file.sha1.
  • Memetakan src.process.parent.image.sha256 ke principal.process.parent_process.file.sha256.
  • Memetakan src.process.parent.image.path ke principal.process.parent_process.file.full_path.
  • Memetakan src.process.parent.cmdline ke principal.process.parent_process.command_line.
  • Memetakan src.process.parent.image.md5 ke principal.process.parent_process.file.md5.
  • Memetakan src.process.parent.pid ke principal.process.parent_process.pid.
  • Memetakan src.process.image.sha1 ke principal.process.file.sha1.
  • Memetakan src.process.image.md5 ke principal.process.file.md5.
  • Memetakan src.process.pid ke principal.process.pid.
  • Memetakan src.process.cmdline ke principal.process.command_line.
  • Memetakan src.process.image.path ke principal.process.file.full_path.
  • Memetakan src.process.image.sha256 ke principal.process.file.sha256.
  • Memetakan src.process.user ke principal.user.user_display_name.
  • Memetakan src.process.uid ke principal.user.userid.
  • Memetakan src.process.storyline.id ke principal.process.product_specific_process_id.
  • Memetakan src.process.parent.storyline.id ke principal.process.parent_process.product_specific_process_id.
  • Memetakan mgmt.url ke target.url.
  • Memetakan site.id ke principal.namespace.
  • Memetakan src.port.number ke principal.port.
  • Memetakan dst.port.number ke target.port.
  • Memetakan event_data.id ke metadata.product_log_id.

2022-10-11

Peningkatan:

  • Memetakan threatClassification ke security_result.category_details.
  • Memetakan threatConfidenceLevel dan threatMitigationStatus ke security_result.detection_fields.
  • Memetakan Location ke principal.location.name.
  • Memetakan data.filePath ke principal.process.parent_process.file.full_path.
  • Memperbarui pemetaan (Nilai CAT)security_result.category_details ke metadata.product_event_type

2022-09-01

Peningkatan:

  • Mengubah metadata.product_name dari SentinelOne menjadi Singularity.
  • Memetakan event.regValue.key.value ke target.registry.registry_value_name.
  • Memetakan principal_userid ke principal.user.userid.
  • Memetakan principal_domain ke principal.administrative_domain.
  • Memetakan threatInfo.threatId ke security_result.threat_id
  • Memetakan threatInfo.identifiedAt ke metadata.event_timestamp.
  • Memetakan threatInfo.threatId ke metadata.product_log_id.
  • Memetakan security_result.alert_state ke ALERTING.
  • Memetakan threatInfo.maliciousProcessArguments ke security_result.description.
  • Memetakan threatInfo.threatName ke security_result.threat_name.
  • Memetakan threatInfo.classification ke security_result.category_details.
  • Memetakan security_result.category ke SOFTWARE_MALICIOUS jika threatInfo.classification bersifat berbahaya, atau ke NETWORK_SUSPICIOUS.
  • Memetakan security_result.action ke ALLOW jika threatInfo.mitigationStatus dimitigasi, jika tidak, ke BLOCK.
  • Memetakan threatInfo.mitigationStatus ke security_result.action_details.
  • Memetakan threatInfo.classification threatInfo.classificationSource threatInfo.analystVerdictDescription threatInfo.threatName ke security_result.summary.
  • Memetakan threatInfo.createdAt ke metadata.collected_timestamp.
  • Memetakan agentRealtimeInfo.accountId ke metadata.product_deployment_id.
  • Memetakan agentRealtimeInfo.agentVersion ke metadata.product_version.
  • Memetakan indicator.category ke detection_fields.key dan indicator.description ke detection_fields.value.
  • Memetakan detectionEngines.key ke detection_fields.key dan detectionEngines.title ke detection_fields.value.
  • Memetakan metadata.event_type ke SCAN_UNCATEGORIZED dengan meta.computerName bukan null.

2022-07-21

Peningkatan:

  • Memetakan event.source.executable.hashes.md5 ke principal.process.file.md5.
  • Memetakan event.source.executable.hashes.sha256 ke principal.process.file.sha256.
  • Memetakan event.source.executable.hashes.sha1 ke principal.process.file.sha1.
  • Memetakan event.source.fullPid.pid ke principal.process.pid.
  • Memetakan event.source.user.name ke principal.user.userid.
  • Memetakan meta.agentVersion ke metadata.product_version.
  • Memetakan event.appName ke target.application.
  • Memetakan event.contentHash.sha256 ke target.process.file.sha256.
  • Memetakan event.source.commandLine ke target.process.command_line.
  • Memetakan event.decodedContent ke target.labels.
  • Mengubah metadata.description dari skrip menjadi Skrip Perintah dengan event.type adalah skrip.
  • Vendor yang dipetakan ke metadata.vendor_name.
  • Memetakan data.fileContentHash ke target.process.file.md5.
  • Memetakan data.ipAddress ke principal.ip.
  • ActivityUuid yang dipetakan ke target.asset.product_object_id.
  • Memetakan agentId ke metadata.product_deployment_id.
  • Menambahkan verifikasi email untuk user_email sebelum memetakan ke principal.user.email_addresses, jika gagal memetakan ke principal.user.userid.
  • Memetakan sourceIpAddresses ke principal.ip.
  • Memetakan accountName ke principal.administrative_domain.
  • Memetakan activityId ke additional.fields.

2022-07-15

Peningkatan:

  • Mengurai log baru dengan format JSON dan memetakan kolom baru berikut:-
  • metadata.product_name ke SENTINEL_ONE.
  • sourceParentProcessMd5 ke principal.process.parent_process.file.md5.
  • sourceParentProcessPath ke principal.process.parent_process.file.full_path.
  • sourceParentProcessPid ke principal.process.parent_process.pid.
  • sourceParentProcessSha1 ke principal.process.parent_process.file.sha1.
  • sourceParentProcessSha256 ke principal.process.parent_process.file.sha256.
  • sourceParentProcessCmdArgs ke principal.process.parent_process.command_line.
  • sourceProcessCmdArgs ke principal.process.command_line.
  • sourceProcessMd5 ke principal.process.file.md5.
  • sourceProcessPid ke principal.process.pid.
  • sourceProcessSha1 ke principal.process.file.sha1.
  • sourceProcessSha256 ke principal.process.file.sha256.
  • sourceProcessPath ke principal.process.file.full_path.
  • tgtFilePath ke target.file.full_path.
  • tgtFileHashSha256 ke target.file.sha256.
  • tgtFileHashSha1 ke target.file.sha1.
  • tgtProcUid ke target.process.product_specific_process_id.
  • tgtProcCmdLine ke target.process.command_line.
  • tgtProcPid ke target.process.pid.
  • tgtProcName ke target.application.
  • dstIp ke target.ip.
  • srcIp ke principal.ip.
  • dstPort ke target.port.
  • srcPort ke principal.port.
  • origAgentName ke principal.hostname.
  • agentIpV4 ke principal.ip.
  • groupId ke principal.user.group_identifiers.
  • groupName ke principal.user.group_display_name.
  • origAgentVersion ke principal.asset.software.version.
  • origAgentOsFamily ke principal.platform.
  • origAgentOsName ke principal.asset.software.name`.
  • event_type ke FILE_MODIFICATION saat sourceEventType = FILEMODIFICATION.
  • event_type ke FILE_DELETION saat sourceEventType = FILEDELETION.
  • event_type ke PROCESS_LAUNCH saat sourceEventType = PROCESSCREATION.
  • event_type ke NETWORK_CONNECTION jika sourceEventType = TCPV4.

2022-06-13

Peningkatan:

  • for [event][type] == fileCreation and [event][type] == fileDeletion
  • Memetakan event.targetFile.path ke target.file.full_path.
  • Memetakan event.targetFile.hashes.md5 ke target.process.file.md5.
  • Memetakan event.targetFile.hashes.sha1 ke target.process.file.sha1.
  • Memetakan event.targetFile.hashes.sha256 ke target.process.file.sha256.
  • for [event][type] == fileModification
  • Memetakan event.file.path ke target.file.full_path.
  • Memetakan event.file.hashes.md5 ke target.process.file.md5.
  • Memetakan event.file.hashes.sha1 ke target.process.file.sha1.
  • Memetakan event.file.hashes.sha256 ke target.process.file.sha256.

18-04-2022

  • Meningkatkan parser untuk menangani semua log mentah yang tidak diuraikan.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.