Mengumpulkan log EDR SentinelOne
Didukung di:
Google SecOps
SIEM
Dokumen ini menjelaskan cara mengumpulkan log EDR SentinelOne dengan menyiapkan feed Google Security Operations.
Untuk mengetahui informasi selengkapnya, lihat Penambahan data ke Google Security Operations.
Label penyerapan mengidentifikasi parser yang menormalisasi data log mentah
ke format UDM terstruktur. Informasi dalam dokumen ini berlaku untuk parser
dengan label transfer SENTINEL_EDR.
Mengonfigurasi EDR SentinelOne
- Login ke konsol Pengelolaan Perangkat dengan akun pelihat.
- Pilih Nama Pengguna > Pengguna Saya.
- Dalam dialog, klik Generate API Token.
- Salin dan simpan token API.
Mengonfigurasi feed di Google Security Operations untuk menyerap log EDR SentinelOne
- Buka Setelan SIEM > Feed.
- Klik Add New.
- Masukkan nama unik untuk Nama Kolom.
- Pilih Google Cloud Storage sebagai Source Type.
- Pilih SentinelOne EDR sebagai Jenis Log.
- Klik Dapatkan Akun Layanan. Google Security Operations menyediakan akun layanan unik yang digunakan Google Security Operations untuk menyerap data.
- Konfigurasikan akses untuk akun layanan guna mengakses objek Cloud Storage. Untuk mengetahui informasi selengkapnya, lihat Memberikan akses ke akun layanan Google Security Operations.
- Klik Berikutnya.
- Konfigurasikan parameter input wajib berikut:
- URI bucket penyimpanan
- URI adalah
- Opsi penghapusan sumber
- Klik Berikutnya, lalu klik Kirim.
Untuk informasi selengkapnya tentang feed Google Security Operations, lihat dokumentasi feed Google Security Operations. Untuk mengetahui informasi tentang persyaratan untuk setiap jenis feed, lihat Konfigurasi feed menurut jenis.
Jika Anda mengalami masalah saat membuat feed, hubungi dukungan Google Security Operations.
Referensi pemetaan kolom
Parser ini mengekstrak log EDR SentinelOne, mengubahnya menjadi UDM, dan menangani format lama dan Cloud Funnel (v1 dan v2). Alat ini melakukan pemetaan kolom yang ekstensif, termasuk koneksi jaringan, peristiwa proses, aktivitas file dan registry, tugas terjadwal, dan indikator intelijen ancaman, dengan memanfaatkan logika kondisional berdasarkan jenis peristiwa dan sumber data. Parser juga menangani pemetaan framework MITRE ATT&CK dan berbagai tugas normalisasi data seperti konversi stempel waktu dan manipulasi string.
Pemetaan UDM Parser SentinelOne
| Kolom Log | Pemetaan UDM | Logika |
|---|---|---|
@timestamp |
metadata.event_timestamp |
Stempel waktu peristiwa seperti yang dicatat oleh SentinelOne. Diurai dari kolom @timestamp dalam log mentah. |
agentDetectionInfo.accountId |
metadata.product_deployment_id |
ID akun di SentinelOne. |
agentDetectionInfo.accountName |
principal.administrative_domain |
Nama akun di SentinelOne. |
agentDetectionInfo.agentDomain |
principal.administrative_domain |
Domain agen. |
agentDetectionInfo.agentIpV4 |
principal.ip, principal.asset.ip |
Alamat IPv4 agen. |
agentDetectionInfo.agentLastLoggedInUserName |
principal.user.user_display_name |
Nama pengguna pengguna terakhir yang login di agen. |
agentDetectionInfo.agentMachineType |
principal.asset.machine_type |
Jenis mesin tempat agen diinstal (misalnya, desktop, server, laptop). |
agentDetectionInfo.agentMitigationMode |
T/A | Mode mitigasi agen. Tidak dipetakan ke UDM. |
agentDetectionInfo.agentNetworkStatus |
T/A | Status jaringan agen. Tidak dipetakan ke UDM. |
agentDetectionInfo.agentOsName |
principal.asset.platform_software.platform |
Nama sistem operasi agen. |
agentDetectionInfo.agentOsRevision |
principal.asset.platform_software.platform_version |
Revisi sistem operasi agen. |
agentDetectionInfo.agentRegisteredAt |
principal.asset.first_discover_time |
Stempel waktu saat agen didaftarkan. |
agentDetectionInfo.agentUuid |
principal.asset.asset_id, principal.asset.product_object_id |
UUID agen. Diformat sebagai "ID Perangkat: {uuid}". |
agentDetectionInfo.agentVersion |
metadata.product_version |
Versi agen SentinelOne. |
agentDetectionInfo.externalIp |
principal.ip, principal.asset.ip |
Alamat IP eksternal agen. |
agentDetectionInfo.groupId |
principal.user.group_identifiers |
ID grup tempat agen berada. |
agentDetectionInfo.groupName |
principal.group.group_display_name |
Nama grup tempat agen berada. |
agentDetectionInfo.siteId |
principal.namespace |
ID situs tempat agen berada. |
agentDetectionInfo.siteName |
principal.location.name |
Nama situs tempat agen berada. |
agentRealtimeInfo.accountId |
metadata.product_deployment_id |
ID akun di SentinelOne. |
agentRealtimeInfo.accountName |
principal.administrative_domain |
Nama akun di SentinelOne. |
agentRealtimeInfo.activeThreats |
T/A | Jumlah ancaman aktif di agen. Tidak dipetakan ke UDM. |
agentRealtimeInfo.agentComputerName |
principal.hostname, principal.asset.hostname |
Nama host komputer agen. |
agentRealtimeInfo.agentDecommissionedAt |
T/A | Menunjukkan apakah agen dinonaktifkan. Tidak dipetakan ke UDM. |
agentRealtimeInfo.agentDomain |
principal.administrative_domain |
Domain agen. |
agentRealtimeInfo.agentId |
T/A | ID agen. Tidak dipetakan ke UDM. |
agentRealtimeInfo.agentInfected |
T/A | Menunjukkan apakah agen terinfeksi. Tidak dipetakan ke UDM. |
agentRealtimeInfo.agentIsActive |
T/A | Menunjukkan apakah agen aktif. Tidak dipetakan ke UDM. |
agentRealtimeInfo.agentIsDecommissioned |
T/A | Menunjukkan apakah agen dinonaktifkan. Tidak dipetakan ke UDM. |
agentRealtimeInfo.agentMachineType |
principal.asset.machine_type |
Jenis mesin tempat agen diinstal (misalnya, desktop, server, laptop). |
agentRealtimeInfo.agentMitigationMode |
T/A | Mode mitigasi agen. Tidak dipetakan ke UDM. |
agentRealtimeInfo.agentNetworkStatus |
T/A | Status jaringan agen. Tidak dipetakan ke UDM. |
agentRealtimeInfo.agentOsName |
principal.asset.platform_software.platform |
Nama sistem operasi agen. |
agentRealtimeInfo.agentOsRevision |
principal.asset.platform_software.platform_version |
Revisi sistem operasi agen. |
agentRealtimeInfo.agentOsType |
principal.platform |
Jenis sistem operasi agen. |
agentRealtimeInfo.agentUuid |
principal.asset.asset_id, principal.asset.product_object_id |
UUID agen. Diformat sebagai "ID Perangkat: {uuid}". |
agentRealtimeInfo.agentVersion |
metadata.product_version |
Versi agen SentinelOne. |
agentRealtimeInfo.groupId |
principal.user.group_identifiers |
ID grup tempat agen berada. |
agentRealtimeInfo.groupName |
principal.group.group_display_name |
Nama grup tempat agen berada. |
agentRealtimeInfo.networkInterfaces |
principal.ip, principal.asset.ip, principal.mac |
Informasi antarmuka jaringan, termasuk alamat IP dan alamat MAC. |
agentRealtimeInfo.operationalState |
T/A | Status operasional agen. Tidak dipetakan ke UDM. |
agentRealtimeInfo.rebootRequired |
T/A | Menunjukkan apakah perlu memulai ulang. Tidak dipetakan ke UDM. |
agentRealtimeInfo.scanAbortedAt |
T/A | Stempel waktu saat pemindaian dibatalkan. Tidak dipetakan ke UDM. |
agentRealtimeInfo.scanFinishedAt |
T/A | Stempel waktu saat pemindaian selesai. Tidak dipetakan ke UDM. |
agentRealtimeInfo.scanStartedAt |
T/A | Stempel waktu saat pemindaian dimulai. Tidak dipetakan ke UDM. |
agentRealtimeInfo.scanStatus |
T/A | Status pemindaian. Tidak dipetakan ke UDM. |
agentRealtimeInfo.siteId |
principal.namespace |
ID situs tempat agen berada. |
agentRealtimeInfo.siteName |
principal.location.name |
Nama situs tempat agen berada. |
agentRealtimeInfo.storageName |
T/A | Nama penyimpanan. Tidak dipetakan ke UDM. |
agentRealtimeInfo.storageType |
T/A | Jenis penyimpanan. Tidak dipetakan ke UDM. |
agentRealtimeInfo.userActionsNeeded |
T/A | Diperlukan tindakan pengguna. Tidak dipetakan ke UDM. |
batch.customer_id |
T/A | ID pelanggan. Tidak dipetakan ke UDM. |
batch.collector_id |
T/A | ID kolektor. Tidak dipetakan ke UDM. |
batch.type |
metadata.log_type |
Jenis batch. |
collection_time |
metadata.collected_timestamp |
Waktu saat log dikumpulkan. |
create_time |
metadata.event_timestamp |
Waktu saat peristiwa dibuat. |
data |
(Beragam) | Payload data utama peristiwa SentinelOne. Kolom dalam objek ini dipetakan ke berbagai kolom UDM, bergantung pada jenis peristiwa. |
event.activityType |
T/A | Jenis aktivitas. Tidak dipetakan ke UDM. |
event.agentId |
metadata.product_deployment_id |
ID agen. |
event.agentUpdatedVersion |
T/A | Versi agen yang diperbarui. Tidak dipetakan ke UDM. |
event.comments |
T/A | Komentar yang terkait dengan peristiwa. Tidak dipetakan ke UDM. |
event.createdAt |
metadata.event_timestamp |
Waktu saat peristiwa dibuat. |
event.data |
(Beragam) | Data yang terkait dengan peristiwa. Kolom dalam objek ini dipetakan ke berbagai kolom UDM, bergantung pada jenis peristiwa. |
event.description |
metadata.product_event_type |
Deskripsi peristiwa. |
event.destinationAddress.address |
target.ip |
Alamat IP tujuan. |
event.destinationAddress.port |
target.port |
Port tujuan. |
event.direction |
network.direction |
Arah koneksi jaringan. Dipetakan ke "INBOUND" atau "OUTBOUND". |
event.executable.commandLine |
principal.process.command_line, target.process.command_line |
Command line file yang dapat dieksekusi. |
event.executable.creationTime.millisecondsSinceEpoch |
T/A | Waktu pembuatan file yang dapat dieksekusi. Tidak dipetakan ke UDM. |
event.executable.full_path |
principal.process.file.full_path, target.process.file.full_path |
Jalur lengkap file yang dapat dieksekusi. |
event.executable.hashes.md5 |
principal.process.file.md5, target.process.file.md5 |
Hash MD5 dari file yang dapat dieksekusi. |
event.executable.hashes.sha1 |
principal.process.file.sha1, target.process.file.sha1 |
Hash SHA1 file yang dapat dieksekusi. |
event.executable.hashes.sha256 |
principal.process.file.sha256, target.process.file.sha256 |
Hash SHA256 dari file yang dapat dieksekusi. |
event.executable.isDir |
T/A | Menunjukkan apakah file yang dapat dieksekusi adalah direktori. Tidak dipetakan ke UDM. |
event.executable.isKernelModule |
T/A | Menunjukkan apakah file yang dapat dieksekusi adalah modul kernel. Tidak dipetakan ke UDM. |
event.executable.name |
T/A | Nama file yang dapat dieksekusi. Tidak dipetakan ke UDM. |
event.executable.node.key.value |
T/A | Nilai kunci node dari file yang dapat dieksekusi. Tidak dipetakan ke UDM. |
event.executable.owner.name |
T/A | Nama pemilik file yang dapat dieksekusi. Tidak dipetakan ke UDM. |
event.executable.owner.sid |
T/A | SID pemilik file yang dapat dieksekusi. Tidak dipetakan ke UDM. |
event.executable.pUnix |
T/A | Nilai pUnix dari file yang dapat dieksekusi. Tidak dipetakan ke UDM. |
event.executable.signature.signed.identity |
principal.resource.attribute.labels, target.resource.attribute.labels |
Identitas file yang dapat dieksekusi dan ditandatangani. Diformat sebagai "Identitas yang Ditandatangani Tanda Tangan Sumber: {identity}". |
event.executable.signature.signed.valid |
T/A | Menunjukkan apakah tanda tangan valid. Tidak dipetakan ke UDM. |
event.executable.signature.unsigned |
T/A | Menunjukkan apakah file yang dapat dieksekusi tidak ditandatangani. Tidak dipetakan ke UDM. |
event.executable.sizeBytes |
principal.process.file.size, target.process.file.size |
Ukuran file yang dapat dieksekusi dalam byte. |
event.excluded |
T/A | Menunjukkan apakah peristiwa dikecualikan. Tidak dipetakan ke UDM. |
event.file.creationTime.millisecondsSinceEpoch |
T/A | Waktu pembuatan file. Tidak dipetakan ke UDM. |
event.file.full_path |
target.file.full_path |
Jalur lengkap file. |
event.file.hashes.md5 |
target.process.file.md5 |
Hash MD5 dari file. |
event.file.hashes.sha1 |
target.process.file.sha1 |
Hash SHA1 file. |
event.file.hashes.sha256 |
target.process.file.sha256 |
Hash SHA256 file. |
event.file.isDir |
T/A | Menunjukkan apakah file adalah direktori. Tidak dipetakan ke UDM. |
event.file.isKernelModule |
T/A | Menunjukkan apakah file tersebut adalah modul kernel. Tidak dipetakan ke UDM. |
event.file.node.key.value |
T/A | Nilai kunci node file. Tidak dipetakan ke UDM. |
event.file.owner.name |
T/A | Nama pemilik file. Tidak dipetakan ke UDM. |
event.file.owner.sid |
T/A | SID pemilik file. Tidak dipetakan ke UDM. |
event.file.pUnix |
T/A | Nilai pUnix file. Tidak dipetakan ke UDM. |
event.file.signature.unsigned |
T/A | Menunjukkan apakah file tidak ditandatangani. Tidak dipetakan ke UDM. |
event.file.sizeBytes |
T/A | Ukuran file dalam byte. Tidak dipetakan ke UDM. |
event.fullPid.pid |
principal.process.pid, target.process.pid |
ID proses. |
event.fullPid.startTime.millisecondsSinceEpoch |
T/A | Waktu mulai proses. Tidak dipetakan ke UDM. |
event.hashes.md5 |
target.file.md5 |
Hash MD5. |
event.hashes.sha1 |
target.file.sha1 |
Hash SHA1. |
event.hashes.sha256 |
target.file.sha256 |
Hash SHA256. |
event.id |
metadata.product_log_id |
ID peristiwa. |
event.interactive |
T/A | Menunjukkan apakah peristiwa bersifat interaktif. Tidak dipetakan ke UDM. |
event.isRedirectedCommandProcessor |
T/A | Menunjukkan apakah peristiwa adalah pemroses perintah yang dialihkan. Tidak dipetakan ke UDM. |
event.isWow64 |
T/A | Menunjukkan apakah peristiwa adalah WoW64. Tidak dipetakan ke UDM. |
event.method |
network.http.method |
Metode HTTP. |
event.name |
T/A | Nama peristiwa. Tidak dipetakan ke UDM. |
event.node.key.value |
T/A | Nilai kunci node peristiwa. Tidak dipetakan ke UDM. |
event.oldHashes.md5 |
T/A | Hash MD5 lama. Tidak dipetakan ke UDM. |
event.oldHashes.sha1 |
T/A | Hash SHA1 lama. Tidak dipetakan ke UDM. |
event.oldHashes.sha256 |
T/A | Hash SHA256 lama. Tidak dipetakan ke UDM. |
event.parent.commandLine |
principal.process.parent_process.command_line, target.process.parent_process.command_line |
Command line proses induk. |
event.parent.excluded |
T/A | Menunjukkan apakah peristiwa induk dikecualikan. Tidak dipetakan ke UDM. |
event.parent.executable.creationTime.millisecondsSinceEpoch |
T/A | Waktu pembuatan file yang dapat dieksekusi induk. Tidak dipetakan ke UDM. |
event.parent.executable.full_path |
principal.process.parent_process.file.full_path, target.process.parent_process.file.full_path |
Jalur lengkap file yang dapat dieksekusi induk. |
event.parent.executable.hashes.md5 |
principal.process.parent_process.file.md5, target.process.parent_process.file.md5 |
Hash MD5 dari file yang dapat dieksekusi induk. |
event.parent.executable.hashes.sha1 |
principal.process.parent_process.file.sha1, target.process.parent_process.file.sha1 |
Hash SHA1 dari file yang dapat dieksekusi induk. |
event.parent.executable.hashes.sha256 |
principal.process.parent_process.file.sha256, target.process.parent_process.file.sha256 |
Hash SHA256 dari file yang dapat dieksekusi induk. |
event.parent.executable.isDir |
T/A | Menunjukkan apakah file yang dapat dieksekusi induk adalah direktori. Tidak dipetakan ke UDM. |
event.parent.executable.isKernelModule |
T/A | Menunjukkan apakah file yang dapat dieksekusi induk adalah modul kernel. Tidak dipetakan ke UDM. |
event.parent.executable.node.key.value |
T/A | Nilai kunci node dari file yang dapat dieksekusi induk. Tidak dipetakan ke UDM. |
event.parent.executable.owner.name |
T/A | Nama pemilik file yang dapat dieksekusi induk. Tidak dipetakan ke UDM. |
event.parent.executable.owner.sid |
T/A | SID pemilik file yang dapat dieksekusi induk. Tidak dipetakan ke UDM. |
event.parent.executable.pUnix |
T/A | Nilai pUnix dari file yang dapat dieksekusi induk. Tidak dipetakan ke UDM. |
event.parent.executable.signature.signed.identity |
principal.resource.attribute.labels, target.resource.attribute.labels |
Identitas file yang dapat dieksekusi induk yang ditandatangani. Diformat sebagai "Identitas yang Ditandatangani Tanda Tangan Induk Sumber: {identity}". |
event.parent.executable.signature.signed.valid |
T/A | Menunjukkan apakah tanda tangan induk valid. Tidak dipetakan ke UDM. |
event.parent.executable.signature.unsigned |
T/A | Menunjukkan apakah file yang dapat dieksekusi induk tidak ditandatangani. Tidak dipetakan ke UDM. |
event.parent.executable.sizeBytes |
principal.process.parent_process.file.size, target.process.parent_process.file.size |
Ukuran file yang dapat dieksekusi induk dalam byte. |
event.parent.fullPid.pid |
principal.process.parent_process.pid, target.process.parent_process.pid |
ID proses induk. |
event.parent.fullPid.startTime.millisecondsSinceEpoch |
T/A | Waktu mulai proses induk. Tidak dipetakan ke UDM. |
event.parent.interactive |
T/A | Menunjukkan apakah peristiwa induk bersifat interaktif. Tidak dipetakan ke UDM. |
event.parent.isRedirectedCommandProcessor |
T/A | Menunjukkan apakah peristiwa induk adalah pemroses perintah yang dialihkan. Tidak dipetakan ke UDM. |
event.parent.isWow64 |
T/A | Menunjukkan apakah peristiwa induk adalah WoW64. Tidak dipetakan ke UDM. |
event.parent.name |
T/A | Nama peristiwa induk. Tidak dipetakan ke UDM. |
event.parent.node.key.value |
T/A | Nilai kunci node peristiwa induk. Tidak dipetakan ke UDM. |
event.parent.root |
T/A | Menunjukkan apakah peristiwa induk adalah root. Tidak dipetakan ke UDM. |
event.parent.sessionId |
T/A | ID sesi peristiwa induk. Tidak dipetakan ke UDM. |
event.parent.subsystem |
T/A | Subsistem peristiwa induk. Tidak dipetakan ke UDM. |
event.parent.trueContext.key.value |
T/A | Nilai kunci konteks sebenarnya dari peristiwa induk. Tidak dipetakan ke UDM. |
event.parent.user.integrityLevel |
T/A | Tingkat integritas pengguna induk. Tidak dipetakan ke UDM. |
event.parent.user.name |
principal.user.userid |
Nama pengguna proses induk. |
event.parent.user.sid |
principal.user.windows_sid |
SID Windows pengguna induk. |
event.process.commandLine |
target.process.command_line |
Command line proses. |
event.process.executable.creationTime.millisecondsSinceEpoch |
T/A | Waktu pembuatan proses yang dapat dieksekusi. Tidak dipetakan ke UDM. |
event.process.executable.full_path |
target.process.file.full_path |
Jalur lengkap proses yang dapat dieksekusi. |
event.process.executable.hashes.md5 |
target.process.file.md5 |
Hash MD5 dari proses yang dapat dieksekusi. |
event.process.executable.hashes.sha1 |
target.process.file.sha1 |
Hash SHA1 dari proses yang dapat dieksekusi. |
event.process.executable.hashes.sha256 |
target.process.file.sha256 |
Hash SHA256 dari proses yang dapat dieksekusi. |
event.process.executable.isDir |
T/A | Menunjukkan apakah file yang dapat dieksekusi proses adalah direktori. Tidak dipetakan ke UDM. |
event.process.executable.isKernelModule |
T/A | Menunjukkan apakah file yang dapat dieksekusi proses adalah modul kernel. Tidak dipetakan ke UDM. |
event.process.executable.node.key.value |
T/A | Nilai kunci node dari proses yang dapat dieksekusi. Tidak dipetakan ke UDM. |
event.process.executable.owner.name |
T/A | Nama pemilik proses yang dapat dieksekusi. Tidak dipetakan ke UDM. |
event.process.executable.owner.sid |
T/A | SID pemilik proses yang dapat dieksekusi. Tidak dipetakan ke UDM. |
event.process.executable.pUnix |
T/A | Nilai pUnix dari proses yang dapat dieksekusi. Tidak dipetakan ke UDM. |
event.process.executable.signature.unsigned |
T/A | Menunjukkan apakah file yang dapat dieksekusi proses tidak ditandatangani. Tidak dipetakan ke UDM. |
event.process.executable.sizeBytes |
target.process.file.size |
Ukuran proses yang dapat dieksekusi dalam byte. |
event.process.excluded |
T/A | Menunjukkan apakah proses dikecualikan. Tidak dipetakan ke UDM. |
event.process.fullPid.pid |
target.process.pid |
ID proses. |
event.process.fullPid.startTime.millisecondsSinceEpoch |
T/A | Waktu mulai proses. Tidak dipetakan ke UDM. |
event.process.interactive |
T/A | Menunjukkan apakah proses bersifat interaktif. Tidak dipetakan ke UDM. |
event.process.isRedirectedCommandProcessor |
T/A | Menunjukkan apakah proses tersebut adalah pemroses perintah yang dialihkan. Tidak dipetakan ke UDM. |
event.process.isWow64 |
T/A | Menunjukkan apakah prosesnya adalah WoW64. Tidak dipetakan ke UDM. |
event.process.name |
T/A | Nama proses. Tidak dipetakan ke UDM. |
event.process.node.key.value |
T/A | Nilai kunci node proses. Tidak dipetakan ke UDM. |
event.process.root |
T/A | Menunjukkan apakah prosesnya adalah root. Tidak dipetakan ke UDM. |
event.process.sessionId |
T/A | ID sesi proses. Tidak dipetakan ke UDM. |
event.process.subsystem |
T/A | Subsistem proses. Tidak dipetakan ke UDM. |
event.process.trueContext.key.value |
T/A | Nilai kunci konteks sebenarnya dari proses. Tidak dipetakan ke UDM. |
event.process.user.integrityLevel |
T/A | Tingkat integritas pengguna proses. Tidak dipetakan ke UDM. |
event.process.user.name |
target.user.userid |
Nama pengguna proses. |
event.process.user.sid |
target.user.windows_sid |
SID Windows pengguna proses. |
event.query |
network.dns.questions.name |
Kueri DNS. |
event.regKey.key.value |
T/A | Nilai kunci registry. Tidak dipetakan ke UDM. |
event.regKey.full_path |
target.registry.registry_key |
Jalur kunci registry. |
event.regValue.key.value |
target.registry.registry_value_name |
Nama nilai registry. |
event.regValue.full_path |
target.registry.registry_key |
Jalur nilai registry. |
event.results |
network.dns.answers.data |
Hasil DNS. |
event.root |
T/A | Menunjukkan apakah peristiwa adalah root. Tidak dipetakan ke UDM. |
event.sessionId |
T/A | ID sesi peristiwa. Tidak dipetakan ke UDM. |
event.signature.signed.identity |
principal.resource.attribute.labels, target.resource.attribute.labels |
Identitas peristiwa yang ditandatangani. Diformat sebagai "Identitas yang Ditandatangani Tanda Tangan Sumber: {identity}". |
event.signature.signed.valid |
T/A | Menunjukkan apakah tanda tangan valid. Tidak dipetakan ke UDM. |
event.signature.unsigned |
T/A | Menunjukkan apakah peristiwa tidak ditandatangani. Tidak dipetakan ke UDM. |
event.source.commandLine |
principal.process.command_line, target.process.command_line |
Command line sumber. |
event.source.executable.creationTime.millisecondsSinceEpoch |
T/A | Waktu pembuatan file yang dapat dieksekusi sumber. Tidak dipetakan ke UDM. |
event.source.executable.full_path |
principal.process.file.full_path, target.process.file.full_path |
Jalur lengkap file yang dapat dieksekusi sumber. |
event.source.executable.hashes.md5 |
principal.process.file.md5, target.process.file.md5 |
Hash MD5 dari file yang dapat dieksekusi sumber. |
event.source.executable.hashes.sha1 |
principal.process.file.sha1, target.process.file.sha1 |
Hash SHA1 dari file yang dapat dieksekusi sumber. |
event.source.executable.hashes.sha256 |
principal.process.file.sha256, target.process.file.sha256 |
Hash SHA256 dari file yang dapat dieksekusi sumber. |
event.source.executable.isDir |
T/A | Menunjukkan apakah file yang dapat dieksekusi sumber adalah direktori. Tidak dipetakan ke UDM. |
event.source.executable.isKernelModule |
T/A | Menunjukkan apakah file yang dapat dieksekusi sumber adalah modul kernel. Tidak dipetakan ke UDM. |
event.source.executable.node.key.value |
T/A | Nilai kunci node dari file yang dapat dieksekusi sumber. Tidak dipetakan ke UDM. |
event.source.executable.owner.name |
T/A | Nama pemilik file yang dapat dieksekusi sumber. Tidak dipetakan ke UDM. |
event.source.executable.owner.sid |
T/A | SID pemilik file yang dapat dieksekusi sumber. Tidak dipetakan ke UDM. |
event.source.executable.pUnix |
T/A | Nilai pUnix dari file yang dapat dieksekusi sumber. Tidak dipetakan ke UDM. |
event.source.executable.signature.signed.identity |
principal.resource.attribute.labels, target.resource.attribute.labels |
Identitas file yang dapat dieksekusi sumber yang ditandatangani. Diformat sebagai "Identitas yang Ditandatangani Tanda Tangan Sumber: {identity}". |
event.source.executable.signature.signed.valid |
T/A | Menunjukkan apakah tanda tangan sumber valid. Tidak dipetakan ke UDM. |
event.source.executable.signature.unsigned |
T/A | Menunjukkan apakah file yang dapat dieksekusi sumber tidak ditandatangani. Tidak dipetakan ke UDM. |
event.source.executable.sizeBytes |
principal.process.file.size, target.process.file.size |
Ukuran file yang dapat dieksekusi sumber dalam byte. |
event.source.excluded |
T/A | Menunjukkan apakah sumber dikecualikan. Tidak dipetakan ke UDM. |
event.source.fullPid.pid |
principal.process.pid, target.process.pid |
ID proses sumber. |
event.source.fullPid.startTime.millisecondsSinceEpoch |
T/A | Waktu mulai proses sumber. Tidak dipetakan ke UDM. |
event.source.interactive |
T/A | Menunjukkan apakah sumber bersifat interaktif. Tidak dipetakan ke UDM. |
event.source.isRedirectedCommandProcessor |
T/A | Menunjukkan apakah sumber adalah pemroses perintah yang dialihkan. Tidak dipetakan ke UDM. |
event.source.isWow64 |
T/A | Menunjukkan apakah sumbernya adalah WoW64. Tidak dipetakan ke UDM. |
event.source.name |
T/A | Nama sumber. Tidak dipetakan ke UDM. |
event.source.node.key.value |
T/A | Nilai kunci node sumber. Tidak dipetakan ke UDM. |
event.source.parent.commandLine |
principal.process.parent_process.command_line |
Command line induk sumber. |
event.source.parent.excluded |
T/A | Menunjukkan apakah induk sumber dikecualikan. Tidak dipetakan ke UDM. |
event.source.parent.executable.full_path |
principal.process.parent_process.file.full_path |
Jalur lengkap file yang dapat dieksekusi induk sumber. |
event.source.parent.executable.hashes.md5 |
principal.process.parent_process.file.md5 |
Hash MD5 dari file yang dapat dieksekusi induk sumber. |
event.source.parent.executable.hashes.sha1 |
principal.process.parent_process.file.sha1 |
Hash SHA1 dari file yang dapat dieksekusi induk sumber. |
event.source.parent.executable.hashes.sha256 |
principal.process.parent_process.file.sha256 |
Hash SHA256 dari file yang dapat dieksekusi induk sumber. |
event.source.parent.fullPid.pid |
principal.process.parent_process.pid |
ID proses induk sumber. |
event.source.parent.fullPid.startTime.millisecondsSinceEpoch |
T/A | Waktu mulai proses induk sumber. Tidak dipetakan ke UDM. |
event.source.parent.interactive |
T/A | Menunjukkan apakah induk sumber bersifat interaktif. Tidak dipetakan ke UDM. |
event.source.parent.isRedirectedCommandProcessor |
T/A | Menunjukkan apakah induk sumber adalah pemroses perintah yang dialihkan. Tidak dipetakan ke UDM. |
event.source.parent.isWow64 |
T/A | Menunjukkan apakah induk sumber adalah WoW64. Tidak dipetakan ke UDM. |
event.source.parent.name |
T/A | Nama induk sumber. Tidak dipetakan ke UDM. |
event.source.parent.node.key.value |
T/A | Nilai kunci node induk sumber. Tidak dipetakan ke UDM. |
event.source.parent.root |
T/A | Menunjukkan apakah induk sumber adalah root. Tidak dipetakan ke UDM. |
event.source.parent.sessionId |
T/A | ID sesi induk sumber. Tidak dipetakan ke UDM. |
event.source.parent.subsystem |
T/A | Subsistem induk sumber. Tidak dipetakan ke UDM. |
event.source.parent.trueContext.key.value |
T/A | Nilai kunci konteks sebenarnya dari induk sumber. Tidak dipetakan ke UDM. |
event.source.parent.user.integrityLevel |
T/A | Tingkat integritas pengguna induk sumber. Tidak dipetakan ke UDM. |
event.source.parent.user.name |
T/A | Nama pengguna induk sumber. Tidak dipetakan ke UDM. |
event.source.parent.user.sid |
T/A | SID Windows pengguna induk sumber. Tidak dipetakan ke UDM. |
event.source.root |
T/A | Menunjukkan apakah sumbernya adalah root. Tidak dipetakan ke UDM. |
event.source.sessionId |
T/A | ID sesi sumber. Tidak dipetakan ke UDM. |
event.source.subsystem |
T/A | Subsistem sumber. Tidak dipetakan ke UDM. |
event.source.trueContext.key.value |
T/A | Nilai kunci konteks sebenarnya dari sumber. Tidak dipetakan ke UDM. |
event.source.user.integrityLevel |
T/A | Tingkat integritas pengguna sumber. Tidak dipetakan ke UDM. |
event.source.user.name |
principal.user.userid |
Nama pengguna sumber. |
event.source.user.sid |
principal.user.windows_sid |
SID Windows pengguna sumber. |
event.sourceAddress.address |
principal.ip |
Alamat IP sumber. |
event.sourceAddress.port |
principal.port |
Port sumber. |
event.status |
T/A | Status peristiwa. Tidak dipetakan ke UDM. |
event.subsystem |
T/A | Subsistem peristiwa. Tidak dipetakan ke UDM. |
event.targetFile.creationTime.millisecondsSinceEpoch |
T/A | Waktu pembuatan file target. Tidak dipetakan ke UDM. |
event.targetFile.full_path |
target.file.full_path |
Jalur lengkap file target. |
event.targetFile.hashes.md5 |
target.process.file.md5 |
Hash MD5 file target. |
event.targetFile.hashes.sha1 |
target.process.file.sha1 |
Hash SHA1 file target. |
event.targetFile.hashes.sha256 |
target.process.file.sha256 |
Hash SHA256 file target. |
event.targetFile.isDir |
T/A | Menunjukkan apakah file target adalah direktori. Tidak dipetakan ke UDM. |
event.targetFile.isKernelModule |
Perubahan
2024-06-03
- Memetakan "suser" ke "principal.user.userid".
- Memetakan "accountId" ke "target.user.userid".
- Memetakan "MessageSourceAddress" ke "principal.ip".
- Memetakan "machine_host" ke "principal.hostname".
2024-05-20
- Memetakan "event.dns.response" ke "network.dns.answers.data".
2024-05-06
- Menambahkan dukungan untuk pola log JSON baru.
2024-03-22
- Menambahkan pola Grok baru untuk mengurai format baru log KV yang dipisahkan tab.
- Memetakan "osName" ke "src.platform".
2024-03-15
- Memetakan "site.id:account.id:agent.uuid:tgt.process.uid" ke "target.process.product_specific_process_id".
- Memetakan "site.id:account.id:agent.uuid:src.process.uid" ke "principal.process.product_specific_process_id".
- Memetakan "site.id:account.id:agent.uuid:src.process.parent.uid" ke "principal.process.parent_process.product_specific_process_id".
- Menghapus "src.process.cmdline" agar tidak dipetakan ke "target.process.command_line".
2023-11-09
- Perbaikan:
- Memetakan "tgt.process.user" ke "target.user.userid".
2023-10-30
- Perbaikan:
- Menambahkan pemeriksaan not null ke "principal_port" sebelum pemetaan ke UDM.
- Jika "event.category" adalah "url" dan "meta.event.name" adalah "HTTP", pemetaan "metadata.event_type" ke "NETWORK_HTTP".
2023-09-06
- Menambahkan pemetaan "tgt.process.storyline.id" ke "security_result.about.resource.attribute.labels".
- Pemetaan "src.process.storyline.id" diubah dari "principal.process.product_specific_process_id" menjadi "security_result.about.resource.attribute.labels".
- Pemetaan "src.process.parent.storyline.id" diubah dari "principal.parent.process.product_specific_process_id" menjadi "security_result.about.resource.attribute.labels".
2023-08-31
- Memetakan "indicator.category" ke "security_result.category_details".
2023-08-03
- Melakukan inisialisasi "event_data.login.loginIsSuccessful" ke null.
- Memetakan "module.path" ke "target.process.file.full_path" dan "target.file.full_path" dengan "event.type" adalah "Module Load".
- Memetakan "module.sha1" ke "target.process.file.sha1" dan "target.file.sha1" dengan "event.type" adalah "Module Load".
- Memetakan "metadata.event_type" ke "PROCESS_MODULE_LOAD" dengan "event.type" adalah "Module Load".
- Memetakan "registry.keyPath" ke "target.registry.registrykey" untuk peristiwa "REGISTRY*".
- Memetakan "registry.value" ke "target.registry.registry_valuedata" untuk peristiwa "REGISTRY*".
- Memetakan "event.network.protocolName" ke "network.application_protocol".
- Memetakan "principal.platform", "principal.asset.platform_software.platform" ke "LINUX" jika "endpoint.os" adalah "linux".
- Memetakan "event.login.userName" ke "target.user.userid" saat "event.type" adalah "Login" atau "Logout".
- Memetakan "target.hostname" dengan mendapatkan nama host dari "url.address" saat "event.type" adalah "GET", "OPTIONS", "POST", "PUT", "DELETE", "CONNECT", "HEAD".
2023-06-09
- Memetakan "osSrc.process.parent.publisher" ke "principal.resource.attribute.labels".
- Memetakan "src.process.rUserName/src.process.eUserName/src.process.lUserName" ke "principal.user.user_display_name".
- Menambahkan pemeriksaan ke kolom: "src.process.eUserId", "src.process.lUserId", "tgt.process.rUserUid" sebelum pemetaan ke UDM.
- Memetakan "tgt.file.location", "registry.valueFullSize", "registry.valueType" ke "target.resource.attribute.labels".
- Memetakan "indicator.description" ke "security_result.summary".
- Memetakan "metadata.event_type" ke "SCAN_NETWORK" dengan "event.type" adalah "Behavioral Indicators".
- Memetakan "metadata.event_type" ke "SCAN_UNCATEGORIZED" dengan "event.type" adalah "Command Script".
- Kolom "meta.osFamily", "meta.osRevision", "event.type" diinisialisasi.
- Menambahkan ISO8601 ke filter tanggal untuk mengurai stempel waktu ISO8601.
- Menambahkan on_error ke konversi string "@timestamp".
- Menambahkan on_error ke "meta.uuid" sebelum pemetaan.
2023-05-25
- Memetakan "event.source.commandLine" ke "principal.process.command_line".
- Memetakan "event.source.executable.path" ke "principal.process.file.full_path".
- Tetapkan "metadata.event_type" ke "PROCESS_OPEN" dengan "event.type" adalah "openProcess".
- Memetakan "site.name:site.id" ke "principal.namespace" jika "site.name" dan "site.id" tidak null.
- Memetakan "event.network.direction" ke "network.direction".
- Memetakan "meta.event.name" ke "metadata.description".
- Memetakan "task.name" ke "target.resource.name".
- Memetakan "agent.uuid" ke "principal.asset.product_object_id".
- Memetakan "src.process.publisher" ke "principal.resource.attribute.labels".
- Memetakan "src.process.cmdline" ke "target.process.command_line".
- Memetakan "mgmt.osRevision" ke "principal.asset.platform_software.platform_version".
- Memetakan "security_result.category" sesuai dengan nilai "indicator.category".
- Memetakan "event.dns.response" ke "network.dns.answers".
- Memetakan "registry.keyPath" ke "target.registry.registry_key".
- Memetakan "event.id" ke "target.registry.registry_value_name".
2023-04-27
- Memetakan "event.type" ke "metadata.product_event_type" untuk log Cloud Funnel v2.
2023-04-20
- Menambahkan pemeriksaan kondisional null dan '-' untuk kolom "data.ipAddress".
- Menambahkan pemeriksaan kondisional grok untuk kolom "sourceMacAddresses".
2023-03-02
- Jika ("event.type" == "tcpv4" dan "event.direction" == "INCOMING") atau "event.type" berisi "(processExit|processTermination|processModification|duplicate)", maka petakan "event.source.executable.signature.signed.identity" ke "target.resource.attribute.labels", atau petakan ke "principal.resource.attribute.labels".
- Memetakan "event.parent.executable.signature.signed.identity", "event.process.executable.signature.signed.identity to "principal.resource.attribute.labels", "".
- Memetakan "event.targetFile.signature.signed.identity", "event.target.executable.signature.signed.identity", "event.target.parent.executable.signature.signed.identity" ke "target.resource.attribute.labels".
2023-02-24
- BugFix:
- Memfaktorkan ulang kode untuk membedakan dengan jelas antara versi log.
- Untuk log funnel cloud USER_LOGIN v2, memetakan detail "event.login.lognIsSuccessful" ke "security_result.action" dan "security_result.summary"
13-02-2023
- BugFix:
- Mengurai log funnel cloud v1 sesuai kebutuhan.
- Memetakan semua log http ke "NETWORK_HTTP".
- "NETWORK_HTTP" harus memiliki kolom URL yang dipetakan ke "target.url", bukan "metadata.url_back_to_product".
2023-01-20
- Memetakan kolom 'event.url' ke 'target.hostname' dan 'target.url'.
- Memetakan 'metadata.event_type' ke 'NETWORK_HTTP' dengan 'event.type' == 'http'.
2023-01-16
- Perbaiki
- Memetakan "mgmt.url" ke "metadata.url_back_to_product", bukan "target.url".
- Memetakan "site.name" ke "principal.location.name".
- Memetakan "src.process.rUserUid" ke "principal.user.userid".
- Memetakan "src.process.eUserId" ke "principal.user.userid".
- Memetakan "src.process.lUserId" ke "principal.user.userid".
- Memetakan "src.process.parent.rUserUid" ke "metadata.ingestion_labels".
- Memetakan "src.process.parent.eUserId" ke "metadata.ingestion_labels".
- Memetakan "src.process.parent.lUserId" ke "metadata.ingestion_labels".
- Memetakan "tgt.process.rUserUid" ke "target.user.userid".
- Memetakan "tgt.process.eUserId" ke "target.user.userid".
- Memetakan "tgt.process.lUserId" ke "target.user.userid".
- Jika "event.type" adalah "Pembuatan Proses", pemetaan "metadata.event_type" ke "PROCESS_LAUNCH".
- Jika "event.type" adalah "Duplicate Process Handle", "metadata.event_type" akan dipetakan ke "PROCESS_OPEN".
- Jika "event.type" adalah "Duplicate Thread Handle" yang dipetakan "metadata.event_type" ke "PROCESS_OPEN".
- Jika "event.type" adalah "Open Remote Process Handle" yang memetakan "metadata.event_type" ke "PROCESS_OPEN".
- Jika "event.type" adalah "Remote Thread Creation", "metadata.event_type" akan dipetakan ke "PROCESS_LAUNCH".
- Jika "event.type" adalah "Command Script", "metadata.event_type" akan dipetakan ke "FILE_UNCATEGORIZED".
- Jika "event.type" adalah "IP Connect", pemetaan "metadata.event_type" ke "NETWORK_CONNECTION".
- Jika "event.type" adalah "IP Listen", "metadata.event_type" akan dipetakan ke "NETWORK_UNCATEGORIZED".
- Jika "event.type" adalah "File ModIfication", pemetaan "metadata.event_type" ke "FILE_MODIfICATION".
- Jika "event.type" adalah "Pembuatan File", pemetaan "metadata.event_type" ke "FILE_CREATION".
- Jika "event.type" adalah "File Scan", "metadata.event_type" akan dipetakan ke "FILE_UNCATEGORIZED".
- Jika "event.type" adalah "File Deletion", pemetaan "metadata.event_type" ke "FILE_DELETION".
- Jika "event.type" adalah "File Rename", "metadata.event_type" akan dipetakan ke "FILE_MODIfICATION".
- Jika "event.type" adalah "Pre Execution Detection", "metadata.event_type" akan dipetakan ke "FILE_UNCATEGORIZED".
- Jika "event.type" adalah "Login", "metadata.event_type" akan dipetakan ke "USER_LOGIN".
- Jika "event.type" adalah "Logout", pemetaan "metadata.event_type" ke "USER_LOGOUT".
- Jika "event.type" adalah "GET", pemetaan "metadata.event_type" ke "NETWORK_HTTP".
- Jika "event.type" adalah "OPTIONS", "metadata.event_type" akan dipetakan ke "NETWORK_HTTP".
- Jika "event.type" adalah "POST", "metadata.event_type" akan dipetakan ke "NETWORK_HTTP".
- Jika "event.type" adalah "PUT", pemetaan "metadata.event_type" ke "NETWORK_HTTP".
- Jika "event.type" adalah "DELETE", pemetaan "metadata.event_type" ke "NETWORK_HTTP".
- Jika "event.type" adalah "CONNECT", pemetaan "metadata.event_type" ke "NETWORK_HTTP".
- Jika "event.type" adalah "HEAD", "metadata.event_type" akan dipetakan ke "NETWORK_HTTP".
- Jika "event.type" adalah "Not Reported", "metadata.event_type" akan dipetakan ke "STATUS_UNCATEGORIZED".
- Jika "event.type" adalah "DNS Resolved", "metadata.event_type" akan dipetakan ke "NETWORK_DNS".
- Jika "event.type" adalah "DNS Unresolved", "metadata.event_type" akan dipetakan ke "NETWORK_DNS".
- Jika "event.type" adalah "Task Register", "metadata.event_type" akan dipetakan ke "SCHEDULED_TASK_CREATION".
- Jika "event.type" adalah "Task Update", "metadata.event_type" akan dipetakan ke "SCHEDULED_TASK_MODIfICATION".
- Jika "event.type" adalah "Task Start" yang dipetakan "metadata.event_type" ke "SCHEDULED_TASK_UNCATEGORIZED".
- Jika "event.type" adalah "Task Trigger" yang dipetakan "metadata.event_type" ke "SCHEDULED_TASK_UNCATEGORIZED".
- Jika "event.type" adalah "Task Delete", "metadata.event_type" akan dipetakan ke "SCHEDULED_TASK_DELETION".
- Jika "event.type" adalah "Registry Key Create", pemetaan "metadata.event_type" ke "REGISTRY_CREATION".
- Jika "event.type" adalah "Registry Key Rename", "metadata.event_type" akan dipetakan ke "REGISTRY_MODIfICATION".
- Jika "event.type" adalah "Registry Key Delete", "metadata.event_type" akan dipetakan ke "REGISTRY_DELETION".
- Jika "event.type" adalah "Registry Key Export" yang memetakan "metadata.event_type" ke "REGISTRY_UNCATEGORIZED".
- Jika "event.type" adalah "Registry Key Security Changed", "metadata.event_type" akan dipetakan ke "REGISTRY_MODIfICATION".
- Jika "event.type" adalah "Registry Key Import", pemetaan "metadata.event_type" ke "REGISTRY_CREATION".
- Jika "event.type" adalah "Registry Value ModIfied", pemetaan "metadata.event_type" ke "REGISTRY_MODIfICATION".
- Jika "event.type" adalah "Registry Value Create", pemetakan "metadata.event_type" ke "REGISTRY_CREATION".
- Jika "event.type" adalah "Registry Value Delete", "metadata.event_type" yang dipetakan ke "REGISTRY_DELETION".
- Jika "event.type" adalah "Behavioral Indicators" yang memetakan "metadata.event_type" ke "SCAN_UNCATEGORIZED".
- Jika "event.type" adalah "Module Load", pemetaan "metadata.event_type" ke "PROCESS_MODULE_LOAD".
- Jika "event.type" adalah "Threat Intelligence Indicators" yang memetakan "metadata.event_type" ke "SCAN_UNCATEGORIZED".
- Jika "event.type" adalah "Pembuatan Named Pipe", "metadata.event_type" akan dipetakan ke "PROCESS_UNCATEGORIZED".
- Jika "event.type" adalah "Named Pipe Connection", "metadata.event_type" akan dipetakan ke "PROCESS_UNCATEGORIZED".
- Jika "event.type" adalah "Driver Load", "metadata.event_type" akan dipetakan ke "PROCESS_MODULE_LOAD".
2022-11-30
- Penyempurnaan
- Meningkatkan parser untuk mendukung log yang ditransfer dalam versi V2 dengan memetakan kolom berikut.
- Memetakan "account.id" ke "metadata.product_deployment_id".
- Memetakan "agent.uuid" ke "principal.asset.asset_id".
- Memetakan "dst.ip.address" ke "target.ip".
- Memetakan "src.ip.address" ke "principal.ip".
- Memetakan "src.process.parent.image.sha1" ke "principal.process.parent_process.file.sha1".
- Memetakan "src.process.parent.image.sha256" ke "principal.process.parent_process.file.sha256".
- Memetakan "src.process.parent.image.path" ke "principal.process.parent_process.file.full_path".
- Memetakan "src.process.parent.cmdline" ke "principal.process.parent_process.command_line".
- Memetakan "src.process.parent.image.md5" ke "principal.process.parent_process.file.md5".
- Memetakan "src.process.parent.pid" ke "principal.process.parent_process.pid".
- Memetakan "src.process.image.sha1" ke "principal.process.file.sha1".
- Memetakan "src.process.image.md5" ke "principal.process.file.md5".
- Memetakan "src.process.pid" ke "principal.process.pid".
- Memetakan "src.process.cmdline" ke "principal.process.command_line".
- Memetakan "src.process.image.path" ke "principal.process.file.full_path".
- Memetakan "src.process.image.sha256" ke "principal.process.file.sha256".
- Memetakan "src.process.user" ke "principal.user.user_display_name".
- Memetakan "src.process.uid" ke "principal.user.userid".
- Memetakan "src.process.storyline.id" ke "principal.process.product_specific_process_id".
- Memetakan "src.process.parent.storyline.id" ke "principal.process.parent_process.product_specific_process_id".
- Memetakan "mgmt.url" ke "target.url".
- Memetakan "site.id" ke "principal.namespace".
- Memetakan "src.port.number" ke "principal.port".
- Memetakan "dst.port.number" ke "target.port".
- Memetakan "event_data.id" ke "metadata.product_log_id".
2022-10-11
- Penyempurnaan
- Memetakan "threatClassification" ke "security_result.category_details".
- Memetakan "threatConfidenceLevel" dan "threatMitigationStatus" ke "security_result.detection_fields".
- Memetakan "Location" ke "principal.location.name".
- Memetakan "data.filePath" ke "principal.process.parent_process.file.full_path".
- Memperbarui pemetaan (Nilai CAT)security_result.category_details ke metadata.product_event_type
2022-09-01
- Penyempurnaan
- Mengubah metadata.product_name dari SentinelOne menjadi Singularity.
- Memetakan "event.regValue.key.value" ke "target.registry.registry_value_name".
- Memetakan "principal_userid" ke "principal.user.userid".
- Memetakan "principal_domain" ke "principal.administrative_domain".
- Memetakan "threatInfo.threatId" ke "security_result.threat_id"
- Memetakan "threatInfo.identifiedAt" ke "metadata.event_timestamp".
- Memetakan "threatInfo.threatId" ke "metadata.product_log_id".
- Memetakan "security_result.alert_state" ke "ALERTING".
- Memetakan "threatInfo.maliciousProcessArguments" ke "security_result.description".
- Memetakan "threatInfo.threatName" ke "security_result.threat_name".
- Memetakan "threatInfo.classification" ke "security_result.category_details".
- Memetakan "security_result.category" ke "SOFTWARE_MALICIOUS" jika threatInfo.classification bersifat berbahaya, atau ke "NETWORK_SUSPICIOUS".
- Memetakan "security_result.action" ke "ALLOW" jika threatInfo.mitigationStatus dimitigasi, atau ke "BLOCK".
- Memetakan "threatInfo.mitigationStatus" ke "security_result.action_details".
- Memetakan "threatInfo.classification threatInfo.classificationSource threatInfo.analystVerdictDescription threatInfo.threatName" ke "security_result.summary".
- Memetakan "threatInfo.createdAt" ke "metadata.collected_timestamp".
- Memetakan "agentRealtimeInfo.accountId" ke "metadata.product_deployment_id".
- Memetakan "agentRealtimeInfo.agentVersion" ke "metadata.product_version".
- Memetakan "indicator.category" ke "detection_fields.key" dan "indicator.description" ke "detection_fields.value".
- Memetakan "detectionEngines.key" ke "detection_fields.key" dan "detectionEngines.title" ke "detection_fields.value".
- Memetakan "metadata.event_type" ke "SCAN_UNCATEGORIZED" dengan "meta.computerName" bukan null.
2022-07-21
- Penyempurnaan
- Memetakan event.source.executable.hashes.md5 ke principal.process.file.md5.
- Memetakan event.source.executable.hashes.sha256 ke principal.process.file.sha256.
- Memetakan event.source.executable.hashes.sha1 ke principal.process.file.sha1.
- Memetakan event.source.fullPid.pid ke principal.process.pid.
- Memetakan event.source.user.name ke principal.user.userid.
- Memetakan meta.agentVersion ke metadata.product_version.
- Memetakan event.appName ke target.application.
- Memetakan event.contentHash.sha256 ke target.process.file.sha256.
- Memetakan event.source.commandLine ke target.process.command_line.
- Memetakan event.decodedContent ke target.labels.
- Mengubah metadata.description dari skrip menjadi Skrip Perintah dengan event.type adalah skrip.
- Vendor yang dipetakan ke metadata.vendor_name.
- Memetakan data.fileContentHash ke target.process.file.md5.
- Memetakan data.ipAddress ke principal.ip.
- ActivityUuid yang dipetakan ke target.asset.product_object_id.
- Memetakan agentId ke metadata.product_deployment_id.
- Menambahkan verifikasi email untuk user_email sebelum memetakan ke principal.user.email_addresses, jika gagal memetakan ke principal.user.userid.
- Memetakan sourceIpAddresses ke principal.ip.
- Memetakan accountName ke principal.administrative_domain.
- Memetakan activityId ke additional.fields.
2022-07-15
- Peningkatan - Mengurai log baru dengan format JSON dan memetakan kolom baru berikut:-
- "metadata.product_name" menjadi "SENTINEL_ONE".
- "sourceParentProcessMd5" menjadi "principal.process.parent_process.file.md5".
- "sourceParentProcessPath" menjadi "principal.process.parent_process.file.full_path".
- "sourceParentProcessPid" menjadi "principal.process.parent_process.pid".
- "sourceParentProcessSha1" menjadi "principal.process.parent_process.file.sha1".
- "sourceParentProcessSha256" menjadi "principal.process.parent_process.file.sha256".
- "sourceParentProcessCmdArgs" menjadi "principal.process.parent_process.command_line".
- "sourceProcessCmdArgs" menjadi "principal.process.command_line".
- "sourceProcessMd5" menjadi "principal.process.file.md5".
- "sourceProcessPid" menjadi "principal.process.pid".
- "sourceProcessSha1" menjadi "principal.process.file.sha1".
- "sourceProcessSha256" menjadi "principal.process.file.sha256".
- "sourceProcessPath" menjadi "principal.process.file.full_path".
- "tgtFilePath" menjadi "target.file.full_path".
- "tgtFileHashSha256" menjadi "target.file.sha256".
- "tgtFileHashSha1" menjadi "target.file.sha1".
- "tgtProcUid" menjadi "target.process.product_specific_process_id".
- "tgtProcCmdLine" menjadi "target.process.command_line".
- "tgtProcPid" menjadi "target.process.pid".
- "tgtProcName" menjadi "target.application".
- "dstIp" menjadi "target.ip".
- "srcIp" menjadi "principal.ip".
- "dstPort" menjadi "target.port".
- "srcPort" menjadi "principal.port".
- "origAgentName" menjadi "principal.hostname".
- "agentIpV4" menjadi "principal.ip".
- "groupId" menjadi "principal.user.group_identifiers".
- "groupName" menjadi "principal.user.group_display_name".
- "origAgentVersion" menjadi "principal.asset.software.version".
- "origAgentOsFamily" menjadi "principal.platform".
- "origAgentOsName" menjadi principal.asset.software.name".
- "event_type" ke "FILE_MODIFICATION" saat sourceEventType = FILEMODIFICATION.
- "event_type" ke "FILE_DELETION" saat sourceEventType = FILEDELETION.
- "event_type" ke "PROCESS_LAUNCH" saat sourceEventType = PROCESSCREATION.
- "event_type" ke "NETWORK_CONNECTION" saat sourceEventType = TCPV4.
2022-06-13
- Penyempurnaan
- for [event][type] == "fileCreation" and [event][type] == "fileDeletion"
- Memetakan "event.targetFile.path" ke "target.file.full_path".
- Memetakan "event.targetFile.hashes.md5" ke "target.process.file.md5".
- Memetakan "event.targetFile.hashes.sha1" ke "target.process.file.sha1".
- Memetakan "event.targetFile.hashes.sha256" ke "target.process.file.sha256".
- for [event][type] == "fileModification"
- Memetakan "event.file.path" ke "target.file.full_path".
- Memetakan "event.file.hashes.md5" ke "target.process.file.md5".
- Memetakan "event.file.hashes.sha1" ke "target.process.file.sha1".
- Memetakan "event.file.hashes.sha256" ke "target.process.file.sha256".
18-04-2022
- Meningkatkan parser untuk menangani semua log mentah yang tidak diuraikan.