Raccogli i log EDR di SentinelOne
Supportato in:
Google SecOps
SIEM
Questo documento descrive come raccogliere i log EDR di SentinelOne impostando un feed di Google Security Operations.
Per ulteriori informazioni, consulta Importazione dei dati in Google Security Operations.
Un'etichetta di importazione identifica l'analizzatore sintattico che normalizza i dati dei log non elaborati
in formato UDM strutturato. Le informazioni contenute in questo documento si applicano al parser con l'etichetta di importazione SENTINEL_EDR.
Configurare SentinelOne EDR
- Accedi alla console Gestione dispositivi con l'account visualizzatore.
- Seleziona Nome utente > Il mio utente.
- Nella finestra di dialogo, fai clic su Genera token API.
- Copia e salva il token API.
Configura un feed in Google Security Operations per importare i log EDR di SentinelOne
- Vai a Impostazioni SIEM > Feed.
- Fai clic su Add New (Aggiungi nuovo).
- Inserisci un nome univoco per il nome del campo.
- Seleziona Google Cloud Storage come Tipo di origine.
- Seleziona SentinelOne EDR come Tipo di log.
- Fai clic su Genera un account di servizio. Google Security Operations fornisce un account di servizio univoco utilizzato da Google Security Operations per importare i dati.
- Configura l'accesso per l'account di servizio in modo che possa accedere agli oggetti Cloud Storage. Per ulteriori informazioni, vedi Concedere l'accesso all'account di servizio Google Security Operations.
- Fai clic su Avanti.
- Configura i seguenti parametri di input obbligatori:
- URI del bucket di archiviazione
- L'URI è un
- Opzione di eliminazione dell'origine
- Fai clic su Avanti e poi su Invia.
Per saperne di più sui feed di Google Security Operations, consulta la documentazione dei feed di Google Security Operations. Per informazioni sui requisiti per ciascun tipo di feed, consulta Configurazione dei feed per tipo.
Se riscontri problemi durante la creazione dei feed, contatta l'assistenza di Google Security Operations.
Riferimento alla mappatura dei campi
Questo parser estrae i log EDR di SentinelOne, li trasforma in UDM e gestisce i formati legacy e Cloud Funnel (v1 e v2). Esegue una mappatura completa dei campi, tra cui connessioni di rete, eventi di processo, attività di file e del registro, attività pianificate e indicatori di intelligence sulle minacce, sfruttando la logica condizionale in base ai tipi di eventi e alle origini dati. Il parser gestisce anche la mappatura del framework MITRE ATT&CK e varie attività di normalizzazione dei dati, come la conversione del timestamp e la manipolazione delle stringhe.
Mappatura UDM del parser SentinelOne
| Campo log | Mappatura UDM | Logica |
|---|---|---|
@timestamp |
metadata.event_timestamp |
Il timestamp dell'evento registrato da SentinelOne. Analizzata dal campo @timestamp nel log non elaborato. |
agentDetectionInfo.accountId |
metadata.product_deployment_id |
L'ID dell'account in SentinelOne. |
agentDetectionInfo.accountName |
principal.administrative_domain |
Il nome dell'account in SentinelOne. |
agentDetectionInfo.agentDomain |
principal.administrative_domain |
Il dominio dell'agente. |
agentDetectionInfo.agentIpV4 |
principal.ip, principal.asset.ip |
L'indirizzo IPv4 dell'agente. |
agentDetectionInfo.agentLastLoggedInUserName |
principal.user.user_display_name |
Il nome utente dell'ultimo utente che ha eseguito l'accesso all'agente. |
agentDetectionInfo.agentMachineType |
principal.asset.machine_type |
Il tipo di macchina su cui è installato l'agente (ad es. computer, server, laptop). |
agentDetectionInfo.agentMitigationMode |
N/D | La modalità di mitigazione dell'agente. Non mappato all'UDM. |
agentDetectionInfo.agentNetworkStatus |
N/D | Lo stato della rete dell'agente. Non mappato all'UDM. |
agentDetectionInfo.agentOsName |
principal.asset.platform_software.platform |
Il nome del sistema operativo dell'agente. |
agentDetectionInfo.agentOsRevision |
principal.asset.platform_software.platform_version |
La revisione del sistema operativo dell'agente. |
agentDetectionInfo.agentRegisteredAt |
principal.asset.first_discover_time |
Il timestamp della registrazione dell'agente. |
agentDetectionInfo.agentUuid |
principal.asset.asset_id, principal.asset.product_object_id |
L'UUID dell'agente. Formattato come "ID dispositivo: {uuid}". |
agentDetectionInfo.agentVersion |
metadata.product_version |
La versione dell'agente SentinelOne. |
agentDetectionInfo.externalIp |
principal.ip, principal.asset.ip |
L'indirizzo IP esterno dell'agente. |
agentDetectionInfo.groupId |
principal.user.group_identifiers |
L'ID del gruppo a cui appartiene l'agente. |
agentDetectionInfo.groupName |
principal.group.group_display_name |
Il nome del gruppo a cui appartiene l'agente. |
agentDetectionInfo.siteId |
principal.namespace |
L'ID del sito a cui appartiene l'agente. |
agentDetectionInfo.siteName |
principal.location.name |
Il nome del sito a cui appartiene l'agente. |
agentRealtimeInfo.accountId |
metadata.product_deployment_id |
L'ID dell'account in SentinelOne. |
agentRealtimeInfo.accountName |
principal.administrative_domain |
Il nome dell'account in SentinelOne. |
agentRealtimeInfo.activeThreats |
N/D | Il numero di minacce attive nell'agente. Non mappato all'UDM. |
agentRealtimeInfo.agentComputerName |
principal.hostname, principal.asset.hostname |
Il nome host del computer dell'agente. |
agentRealtimeInfo.agentDecommissionedAt |
N/D | Indica se l'agente è stato ritirato. Non mappato all'UDM. |
agentRealtimeInfo.agentDomain |
principal.administrative_domain |
Il dominio dell'agente. |
agentRealtimeInfo.agentId |
N/D | L'ID dell'agente. Non mappato all'UDM. |
agentRealtimeInfo.agentInfected |
N/D | Indica se l'agente è infetto. Non mappato all'UDM. |
agentRealtimeInfo.agentIsActive |
N/D | Indica se l'agente è attivo. Non mappato all'UDM. |
agentRealtimeInfo.agentIsDecommissioned |
N/D | Indica se l'agente è stato ritirato. Non mappato all'UDM. |
agentRealtimeInfo.agentMachineType |
principal.asset.machine_type |
Il tipo di macchina su cui è installato l'agente (ad es. computer, server, laptop). |
agentRealtimeInfo.agentMitigationMode |
N/D | La modalità di mitigazione dell'agente. Non mappato all'UDM. |
agentRealtimeInfo.agentNetworkStatus |
N/D | Lo stato della rete dell'agente. Non mappato all'UDM. |
agentRealtimeInfo.agentOsName |
principal.asset.platform_software.platform |
Il nome del sistema operativo dell'agente. |
agentRealtimeInfo.agentOsRevision |
principal.asset.platform_software.platform_version |
La revisione del sistema operativo dell'agente. |
agentRealtimeInfo.agentOsType |
principal.platform |
Il tipo di sistema operativo dell'agente. |
agentRealtimeInfo.agentUuid |
principal.asset.asset_id, principal.asset.product_object_id |
L'UUID dell'agente. Formattato come "ID dispositivo: {uuid}". |
agentRealtimeInfo.agentVersion |
metadata.product_version |
La versione dell'agente SentinelOne. |
agentRealtimeInfo.groupId |
principal.user.group_identifiers |
L'ID del gruppo a cui appartiene l'agente. |
agentRealtimeInfo.groupName |
principal.group.group_display_name |
Il nome del gruppo a cui appartiene l'agente. |
agentRealtimeInfo.networkInterfaces |
principal.ip, principal.asset.ip, principal.mac |
Informazioni sull'interfaccia di rete, inclusi indirizzi IP e indirizzi MAC. |
agentRealtimeInfo.operationalState |
N/D | Lo stato di funzionamento dell'agente. Non mappato all'UDM. |
agentRealtimeInfo.rebootRequired |
N/D | Indica se è necessario un riavvio. Non mappato all'UDM. |
agentRealtimeInfo.scanAbortedAt |
N/D | Il timestamp dell'interruzione di una scansione. Non mappato all'UDM. |
agentRealtimeInfo.scanFinishedAt |
N/D | Il timestamp al termine di una scansione. Non mappato all'UDM. |
agentRealtimeInfo.scanStartedAt |
N/D | Il timestamp dell'inizio di una scansione. Non mappato all'UDM. |
agentRealtimeInfo.scanStatus |
N/D | Lo stato di una scansione. Non mappato all'UDM. |
agentRealtimeInfo.siteId |
principal.namespace |
L'ID del sito a cui appartiene l'agente. |
agentRealtimeInfo.siteName |
principal.location.name |
Il nome del sito a cui appartiene l'agente. |
agentRealtimeInfo.storageName |
N/D | Il nome dello spazio di archiviazione. Non mappato all'UDM. |
agentRealtimeInfo.storageType |
N/D | Il tipo di archiviazione. Non mappato all'UDM. |
agentRealtimeInfo.userActionsNeeded |
N/D | Azioni dell'utente necessarie. Non mappato all'UDM. |
batch.customer_id |
N/D | L'ID cliente. Non mappato all'UDM. |
batch.collector_id |
N/D | L'ID commerciante. Non mappato all'UDM. |
batch.type |
metadata.log_type |
Il tipo di batch. |
collection_time |
metadata.collected_timestamp |
L'ora in cui è stato raccolto il log. |
create_time |
metadata.event_timestamp |
L'ora in cui è stato creato l'evento. |
data |
(Vari) | Il payload di dati principale dell'evento SentinelOne. I campi all'interno di questo oggetto sono mappati a vari campi UDM a seconda del tipo di evento. |
event.activityType |
N/D | Il tipo di attività. Non mappato all'UDM. |
event.agentId |
metadata.product_deployment_id |
L'ID dell'agente. |
event.agentUpdatedVersion |
N/D | La versione aggiornata dell'agente. Non mappato all'UDM. |
event.comments |
N/D | Commenti associati all'evento. Non mappato all'UDM. |
event.createdAt |
metadata.event_timestamp |
L'ora in cui è stato creato l'evento. |
event.data |
(Vari) | Dati associati all'evento. I campi all'interno di questo oggetto sono mappati a vari campi UDM a seconda del tipo di evento. |
event.description |
metadata.product_event_type |
La descrizione dell'evento. |
event.destinationAddress.address |
target.ip |
L'indirizzo IP della destinazione. |
event.destinationAddress.port |
target.port |
La porta della destinazione. |
event.direction |
network.direction |
La direzione della connessione di rete. Mappato a "INBOUND" o "OUTBOUND". |
event.executable.commandLine |
principal.process.command_line, target.process.command_line |
La riga di comando dell'eseguibile. |
event.executable.creationTime.millisecondsSinceEpoch |
N/D | L'ora di creazione dell'eseguibile. Non mappato all'UDM. |
event.executable.full_path |
principal.process.file.full_path, target.process.file.full_path |
Il percorso completo dell'eseguibile. |
event.executable.hashes.md5 |
principal.process.file.md5, target.process.file.md5 |
L'hash MD5 dell'eseguibile. |
event.executable.hashes.sha1 |
principal.process.file.sha1, target.process.file.sha1 |
L'hash SHA1 dell'eseguibile. |
event.executable.hashes.sha256 |
principal.process.file.sha256, target.process.file.sha256 |
L'hash SHA256 dell'eseguibile. |
event.executable.isDir |
N/D | Indica se l'eseguibile è una directory. Non mappato all'UDM. |
event.executable.isKernelModule |
N/D | Indica se l'eseguibile è un modulo del kernel. Non mappato all'UDM. |
event.executable.name |
N/D | Il nome dell'eseguibile. Non mappato all'UDM. |
event.executable.node.key.value |
N/D | Il valore della chiave del nodo dell'eseguibile. Non mappato all'UDM. |
event.executable.owner.name |
N/D | Il nome del proprietario dell'eseguibile. Non mappato all'UDM. |
event.executable.owner.sid |
N/D | L'SID proprietario dell'eseguibile. Non mappato all'UDM. |
event.executable.pUnix |
N/D | Il valore pUnix dell'eseguibile. Non mappato all'UDM. |
event.executable.signature.signed.identity |
principal.resource.attribute.labels, target.resource.attribute.labels |
L'identità dell'eseguibile firmato. Formattato come "Identità firmata della firma dell'origine: {identity}". |
event.executable.signature.signed.valid |
N/D | Indica se la firma è valida. Non mappato all'UDM. |
event.executable.signature.unsigned |
N/D | Indica se l'eseguibile non è firmato. Non mappato all'UDM. |
event.executable.sizeBytes |
principal.process.file.size, target.process.file.size |
Le dimensioni dell'eseguibile in byte. |
event.excluded |
N/D | Indica se l'evento è escluso. Non mappato all'UDM. |
event.file.creationTime.millisecondsSinceEpoch |
N/D | L'ora di creazione del file. Non mappato all'UDM. |
event.file.full_path |
target.file.full_path |
Il percorso completo del file. |
event.file.hashes.md5 |
target.process.file.md5 |
L'hash MD5 del file. |
event.file.hashes.sha1 |
target.process.file.sha1 |
L'hash SHA1 del file. |
event.file.hashes.sha256 |
target.process.file.sha256 |
L'hash SHA256 del file. |
event.file.isDir |
N/D | Indica se il file è una directory. Non mappato all'UDM. |
event.file.isKernelModule |
N/D | Indica se il file è un modulo del kernel. Non mappato all'UDM. |
event.file.node.key.value |
N/D | Il valore della chiave del nodo del file. Non mappato all'UDM. |
event.file.owner.name |
N/D | Il nome del proprietario del file. Non mappato all'UDM. |
event.file.owner.sid |
N/D | L'SID proprietario del file. Non mappato all'UDM. |
event.file.pUnix |
N/D | Il valore pUnix del file. Non mappato all'UDM. |
event.file.signature.unsigned |
N/D | Indica se il file non è firmato. Non mappato all'UDM. |
event.file.sizeBytes |
N/D | Le dimensioni del file in byte. Non mappato all'UDM. |
event.fullPid.pid |
principal.process.pid, target.process.pid |
L'ID processo. |
event.fullPid.startTime.millisecondsSinceEpoch |
N/D | L'ora di inizio della procedura. Non mappato all'UDM. |
event.hashes.md5 |
target.file.md5 |
L'hash MD5. |
event.hashes.sha1 |
target.file.sha1 |
L'hash SHA1. |
event.hashes.sha256 |
target.file.sha256 |
L'hash SHA256. |
event.id |
metadata.product_log_id |
L'ID evento. |
event.interactive |
N/D | Indica se l'evento è interattivo. Non mappato all'UDM. |
event.isRedirectedCommandProcessor |
N/D | Indica se l'evento è un elaboratore di comandi reindirizzato. Non mappato all'UDM. |
event.isWow64 |
N/D | Indica se l'evento è WoW64. Non mappato all'UDM. |
event.method |
network.http.method |
Il metodo HTTP. |
event.name |
N/D | Il nome dell'evento. Non mappato all'UDM. |
event.node.key.value |
N/D | Il valore della chiave del nodo dell'evento. Non mappato all'UDM. |
event.oldHashes.md5 |
N/D | Il vecchio hash MD5. Non mappato all'UDM. |
event.oldHashes.sha1 |
N/D | Il vecchio hash SHA1. Non mappato all'UDM. |
event.oldHashes.sha256 |
N/D | Il vecchio hash SHA256. Non mappato all'UDM. |
event.parent.commandLine |
principal.process.parent_process.command_line, target.process.parent_process.command_line |
La riga di comando del processo principale. |
event.parent.excluded |
N/D | Indica se l'evento principale è escluso. Non mappato all'UDM. |
event.parent.executable.creationTime.millisecondsSinceEpoch |
N/D | L'ora di creazione dell'eseguibile principale. Non mappato all'UDM. |
event.parent.executable.full_path |
principal.process.parent_process.file.full_path, target.process.parent_process.file.full_path |
Il percorso completo del file eseguibile principale. |
event.parent.executable.hashes.md5 |
principal.process.parent_process.file.md5, target.process.parent_process.file.md5 |
L'hash MD5 dell'eseguibile principale. |
event.parent.executable.hashes.sha1 |
principal.process.parent_process.file.sha1, target.process.parent_process.file.sha1 |
L'hash SHA1 dell'eseguibile principale. |
event.parent.executable.hashes.sha256 |
principal.process.parent_process.file.sha256, target.process.parent_process.file.sha256 |
L'hash SHA256 dell'eseguibile principale. |
event.parent.executable.isDir |
N/D | Indica se l'eseguibile principale è una directory. Non mappato all'UDM. |
event.parent.executable.isKernelModule |
N/D | Indica se l'eseguibile principale è un modulo del kernel. Non mappato all'UDM. |
event.parent.executable.node.key.value |
N/D | Il valore della chiave del nodo dell'eseguibile principale. Non mappato all'UDM. |
event.parent.executable.owner.name |
N/D | Il nome del proprietario dell'eseguibile principale. Non mappato all'UDM. |
event.parent.executable.owner.sid |
N/D | L'SID proprietario dell'eseguibile principale. Non mappato all'UDM. |
event.parent.executable.pUnix |
N/D | Il valore pUnix dell'eseguibile principale. Non mappato all'UDM. |
event.parent.executable.signature.signed.identity |
principal.resource.attribute.labels, target.resource.attribute.labels |
L'identità dell'eseguibile principale firmato. Deve essere formattato come "Identità firmata della firma principale dell'origine: {identity}". |
event.parent.executable.signature.signed.valid |
N/D | Indica se la firma principale è valida. Non mappato all'UDM. |
event.parent.executable.signature.unsigned |
N/D | Indica se l'eseguibile principale non è firmato. Non mappato all'UDM. |
event.parent.executable.sizeBytes |
principal.process.parent_process.file.size, target.process.parent_process.file.size |
Le dimensioni dell'eseguibile principale in byte. |
event.parent.fullPid.pid |
principal.process.parent_process.pid, target.process.parent_process.pid |
L'ID processo padre. |
event.parent.fullPid.startTime.millisecondsSinceEpoch |
N/D | L'ora di inizio del processo principale. Non mappato all'UDM. |
event.parent.interactive |
N/D | Indica se l'evento principale è interattivo. Non mappato all'UDM. |
event.parent.isRedirectedCommandProcessor |
N/D | Indica se l'evento principale è un elaboratore di comandi reindirizzato. Non mappato all'UDM. |
event.parent.isWow64 |
N/D | Indica se l'evento principale è WoW64. Non mappato all'UDM. |
event.parent.name |
N/D | Il nome dell'evento principale. Non mappato all'UDM. |
event.parent.node.key.value |
N/D | Il valore della chiave del nodo dell'evento principale. Non mappato all'UDM. |
event.parent.root |
N/D | Indica se l'evento principale è principale. Non mappato all'UDM. |
event.parent.sessionId |
N/D | L'ID sessione dell'evento principale. Non mappato all'UDM. |
event.parent.subsystem |
N/D | Il sottosistema dell'evento principale. Non mappato all'UDM. |
event.parent.trueContext.key.value |
N/D | Il valore della chiave di contesto reale dell'evento principale. Non mappato all'UDM. |
event.parent.user.integrityLevel |
N/D | Il livello di integrità dell'utente principale. Non mappato all'UDM. |
event.parent.user.name |
principal.user.userid |
Il nome utente del processo principale. |
event.parent.user.sid |
principal.user.windows_sid |
Il SID Windows dell'utente principale. |
event.process.commandLine |
target.process.command_line |
La riga di comando del processo. |
event.process.executable.creationTime.millisecondsSinceEpoch |
N/D | L'ora di creazione dell'eseguibile del processo. Non mappato all'UDM. |
event.process.executable.full_path |
target.process.file.full_path |
Il percorso completo dell'eseguibile del processo. |
event.process.executable.hashes.md5 |
target.process.file.md5 |
L'hash MD5 dell'eseguibile del processo. |
event.process.executable.hashes.sha1 |
target.process.file.sha1 |
L'hash SHA1 dell'eseguibile del processo. |
event.process.executable.hashes.sha256 |
target.process.file.sha256 |
L'hash SHA256 dell'eseguibile del processo. |
event.process.executable.isDir |
N/D | Indica se l'eseguibile del processo è una directory. Non mappato all'UDM. |
event.process.executable.isKernelModule |
N/D | Indica se l'eseguibile del processo è un modulo del kernel. Non mappato all'UDM. |
event.process.executable.node.key.value |
N/D | Il valore della chiave del nodo dell'eseguibile del processo. Non mappato all'UDM. |
event.process.executable.owner.name |
N/D | Il nome del proprietario dell'eseguibile del processo. Non mappato all'UDM. |
event.process.executable.owner.sid |
N/D | L'SID proprietario dell'eseguibile del processo. Non mappato all'UDM. |
event.process.executable.pUnix |
N/D | Il valore pUnix dell'eseguibile del processo. Non mappato all'UDM. |
event.process.executable.signature.unsigned |
N/D | Indica se l'eseguibile del processo non è firmato. Non mappato all'UDM. |
event.process.executable.sizeBytes |
target.process.file.size |
Le dimensioni dell'eseguibile del processo in byte. |
event.process.excluded |
N/D | Indica se il processo è escluso. Non mappato all'UDM. |
event.process.fullPid.pid |
target.process.pid |
L'ID processo. |
event.process.fullPid.startTime.millisecondsSinceEpoch |
N/D | L'ora di inizio della procedura. Non mappato all'UDM. |
event.process.interactive |
N/D | Indica se il processo è interattivo. Non mappato all'UDM. |
event.process.isRedirectedCommandProcessor |
N/D | Indica se il processo è un elaboratore di comandi reindirizzato. Non mappato all'UDM. |
event.process.isWow64 |
N/D | Indica se il processo è WoW64. Non mappato all'UDM. |
event.process.name |
N/D | Il nome del processo. Non mappato all'UDM. |
event.process.node.key.value |
N/D | Il valore della chiave del nodo del processo. Non mappato all'UDM. |
event.process.root |
N/D | Indica se il processo è root. Non mappato all'UDM. |
event.process.sessionId |
N/D | L'ID sessione del processo. Non mappato all'UDM. |
event.process.subsystem |
N/D | Il sottosistema del processo. Non mappato all'UDM. |
event.process.trueContext.key.value |
N/D | Il valore della chiave del contesto reale del processo. Non mappato all'UDM. |
event.process.user.integrityLevel |
N/D | Il livello di integrità dell'utente del processo. Non mappato all'UDM. |
event.process.user.name |
target.user.userid |
Il nome utente del processo. |
event.process.user.sid |
target.user.windows_sid |
L'SID Windows dell'utente del processo. |
event.query |
network.dns.questions.name |
La query DNS. |
event.regKey.key.value |
N/D | Il valore della chiave del Registro di sistema. Non mappato all'UDM. |
event.regKey.full_path |
target.registry.registry_key |
Il percorso della chiave del Registro di sistema. |
event.regValue.key.value |
target.registry.registry_value_name |
Il nome del valore del registry. |
event.regValue.full_path |
target.registry.registry_key |
Il percorso del valore del registry. |
event.results |
network.dns.answers.data |
I risultati DNS. |
event.root |
N/D | Indica se l'evento è principale. Non mappato all'UDM. |
event.sessionId |
N/D | L'ID sessione dell'evento. Non mappato all'UDM. |
event.signature.signed.identity |
principal.resource.attribute.labels, target.resource.attribute.labels |
L'identità dell'evento firmato. Formattato come "Identità firmata della firma dell'origine: {identity}". |
event.signature.signed.valid |
N/D | Indica se la firma è valida. Non mappato all'UDM. |
event.signature.unsigned |
N/D | Indica se l'evento non è firmato. Non mappato all'UDM. |
event.source.commandLine |
principal.process.command_line, target.process.command_line |
La riga di comando dell'origine. |
event.source.executable.creationTime.millisecondsSinceEpoch |
N/D | L'ora di creazione dell'eseguibile di origine. Non mappato all'UDM. |
event.source.executable.full_path |
principal.process.file.full_path, target.process.file.full_path |
Il percorso completo dell'eseguibile di origine. |
event.source.executable.hashes.md5 |
principal.process.file.md5, target.process.file.md5 |
L'hash MD5 dell'eseguibile di origine. |
event.source.executable.hashes.sha1 |
principal.process.file.sha1, target.process.file.sha1 |
L'hash SHA1 dell'eseguibile di origine. |
event.source.executable.hashes.sha256 |
principal.process.file.sha256, target.process.file.sha256 |
L'hash SHA256 dell'eseguibile di origine. |
event.source.executable.isDir |
N/D | Indica se l'eseguibile di origine è una directory. Non mappato all'UDM. |
event.source.executable.isKernelModule |
N/D | Indica se l'eseguibile di origine è un modulo del kernel. Non mappato all'UDM. |
event.source.executable.node.key.value |
N/D | Il valore della chiave del nodo dell'eseguibile di origine. Non mappato all'UDM. |
event.source.executable.owner.name |
N/D | Il nome del proprietario dell'eseguibile di origine. Non mappato all'UDM. |
event.source.executable.owner.sid |
N/D | L'SID proprietario dell'eseguibile di origine. Non mappato all'UDM. |
event.source.executable.pUnix |
N/D | Il valore pUnix dell'eseguibile di origine. Non mappato all'UDM. |
event.source.executable.signature.signed.identity |
principal.resource.attribute.labels, target.resource.attribute.labels |
L'identità dell'eseguibile di origine firmato. Formattato come "Identità firmata della firma dell'origine: {identity}". |
event.source.executable.signature.signed.valid |
N/D | Indica se la firma dell'origine è valida. Non mappato all'UDM. |
event.source.executable.signature.unsigned |
N/D | Indica se l'eseguibile di origine non è firmato. Non mappato all'UDM. |
event.source.executable.sizeBytes |
principal.process.file.size, target.process.file.size |
Le dimensioni dell'eseguibile di origine in byte. |
event.source.excluded |
N/D | Indica se l'origine è esclusa. Non mappato all'UDM. |
event.source.fullPid.pid |
principal.process.pid, target.process.pid |
L'ID processo dell'origine. |
event.source.fullPid.startTime.millisecondsSinceEpoch |
N/D | L'ora di inizio del processo di origine. Non mappato all'UDM. |
event.source.interactive |
N/D | Indica se l'origine è interattiva. Non mappato all'UDM. |
event.source.isRedirectedCommandProcessor |
N/D | Indica se l'origine è un elaboratore di comandi reindirizzato. Non mappato all'UDM. |
event.source.isWow64 |
N/D | Indica se l'origine è WoW64. Non mappato all'UDM. |
event.source.name |
N/D | Il nome dell'origine. Non mappato all'UDM. |
event.source.node.key.value |
N/D | Il valore della chiave del nodo dell'origine. Non mappato all'UDM. |
event.source.parent.commandLine |
principal.process.parent_process.command_line |
La riga di comando dell'elemento principale dell'origine. |
event.source.parent.excluded |
N/D | Indica se l'account principale dell'origine è escluso. Non mappato all'UDM. |
event.source.parent.executable.full_path |
principal.process.parent_process.file.full_path |
Il percorso completo dell'eseguibile principale dell'origine. |
event.source.parent.executable.hashes.md5 |
principal.process.parent_process.file.md5 |
L'hash MD5 dell'eseguibile principale dell'origine. |
event.source.parent.executable.hashes.sha1 |
principal.process.parent_process.file.sha1 |
L'hash SHA1 dell'eseguibile principale dell'origine. |
event.source.parent.executable.hashes.sha256 |
principal.process.parent_process.file.sha256 |
L'hash SHA256 dell'eseguibile principale dell'origine. |
event.source.parent.fullPid.pid |
principal.process.parent_process.pid |
L'ID processo del processo padre dell'origine. |
event.source.parent.fullPid.startTime.millisecondsSinceEpoch |
N/D | L'ora di inizio del processo principale dell'origine. Non mappato all'UDM. |
event.source.parent.interactive |
N/D | Indica se l'elemento principale dell'origine è interattivo. Non mappato all'UDM. |
event.source.parent.isRedirectedCommandProcessor |
N/D | Indica se l'elemento principale dell'origine è un elaboratore di comandi reindirizzato. Non mappato all'UDM. |
event.source.parent.isWow64 |
N/D | Indica se l'elemento principale dell'origine è WoW64. Non mappato all'UDM. |
event.source.parent.name |
N/D | Il nome dell'elemento principale della sorgente. Non mappato all'UDM. |
event.source.parent.node.key.value |
N/D | Il valore della chiave del nodo del nodo principale dell'origine. Non mappato all'UDM. |
event.source.parent.root |
N/D | Indica se l'elemento principale dell'origine è l'elemento principale. Non mappato all'UDM. |
event.source.parent.sessionId |
N/D | L'ID sessione dell'elemento principale della sorgente. Non mappato all'UDM. |
event.source.parent.subsystem |
N/D | Il sottosistema del contenitore principale dell'origine. Non mappato all'UDM. |
event.source.parent.trueContext.key.value |
N/D | Il valore della chiave di contesto reale dell'elemento principale dell'origine. Non mappato all'UDM. |
event.source.parent.user.integrityLevel |
N/D | Il livello di integrità dell'utente principale dell'origine. Non mappato all'UDM. |
event.source.parent.user.name |
N/D | Il nome utente dell'elemento principale dell'origine. Non mappato all'UDM. |
event.source.parent.user.sid |
N/D | L'SID Windows dell'utente principale dell'origine. Non mappato all'UDM. |
event.source.root |
N/D | Indica se l'origine è principale. Non mappato all'UDM. |
event.source.sessionId |
N/D | L'ID sessione dell'origine. Non mappato all'UDM. |
event.source.subsystem |
N/D | Il sottosistema dell'origine. Non mappato all'UDM. |
event.source.trueContext.key.value |
N/D | Il valore della chiave di contesto reale dell'origine. Non mappato all'UDM. |
event.source.user.integrityLevel |
N/D | Il livello di integrità dell'utente di origine. Non mappato all'UDM. |
event.source.user.name |
principal.user.userid |
Il nome utente dell'origine. |
event.source.user.sid |
principal.user.windows_sid |
L'SID Windows dell'utente di origine. |
event.sourceAddress.address |
principal.ip |
L'indirizzo IP dell'origine. |
event.sourceAddress.port |
principal.port |
La porta dell'origine. |
event.status |
N/D | Lo stato dell'evento. Non mappato all'UDM. |
event.subsystem |
N/D | Il sottosistema dell'evento. Non mappato all'UDM. |
event.targetFile.creationTime.millisecondsSinceEpoch |
N/D | L'ora di creazione del file di destinazione. Non mappato all'UDM. |
event.targetFile.full_path |
target.file.full_path |
Il percorso completo del file di destinazione. |
event.targetFile.hashes.md5 |
target.process.file.md5 |
L'hash MD5 del file di destinazione. |
event.targetFile.hashes.sha1 |
target.process.file.sha1 |
L'hash SHA1 del file di destinazione. |
event.targetFile.hashes.sha256 |
target.process.file.sha256 |
L'hash SHA256 del file di destinazione. |
event.targetFile.isDir |
N/D | Indica se il file di destinazione è una directory. Non mappato all'UDM. |
event.targetFile.isKernelModule |
Modifiche
2024-06-03
- "suser" è stato mappato a "principal.user.userid".
- "accountid" è stato mappato a "target.user.userid".
- "MessageSourceAddress" è stato mappato a "principal.ip".
- "machine_host" è stato mappato a "principal.hostname".
2024-05-20
- "event.dns.response" è stato mappato a "network.dns.answers.data".
2024-05-06
- È stato aggiunto il supporto di un nuovo pattern di log JSON.
2024-03-22
- È stato aggiunto un nuovo pattern Grok per analizzare il nuovo formato dei log KV separati da tabulazione.
- "osName" è stato mappato a "src.platform".
2024-03-15
- È stato mappato "site.id:account.id:agent.uuid:tgt.process.uid" a "target.process.product_specific_process_id".
- È stato mappato "site.id:account.id:agent.uuid:src.process.uid" a "principal.process.product_specific_process_id".
- È stato mappato "site.id:account.id:agent.uuid:src.process.parent.uid" a "principal.process.parent_process.product_specific_process_id".
- È stata rimossa la mappatura di "src.process.cmdline" a "target.process.command_line".
2023-11-09
- Correzione:
- "tgt.process.user" è stato mappato a "target.user.userid".
2023-10-30
- Correzione:
- È stato aggiunto il controllo non null a "principal_port" prima del mapping a UDM.
- Quando "event.category" è "url" e "meta.event.name" è "HTTP", mappa "metadata.event_type" a "NETWORK_HTTP".
2023-09-06
- È stata aggiunta la mappatura di "tgt.process.storyline.id" a "security_result.about.resource.attribute.labels".
- Mappatura modificata di "src.process.storyline.id" da "principal.process.product_specific_process_id" a "security_result.about.resource.attribute.labels".
- Mappatura modificata di "src.process.parent.storyline.id" da "principal.parent.process.product_specific_process_id" a "security_result.about.resource.attribute.labels".
2023-08-31
- "indicator.category" è stato mappato a "security_result.category_details".
2023-08-03
- "event_data.login.loginIsSuccessful" è stato inizializzato su null.
- "module.path" è stato mappato a "target.process.file.full_path" e "target.file.full_path" se "event.type" è "Module Load".
- "module.sha1" è stato mappato a "target.process.file.sha1" e "target.file.sha1" se "event.type" è "Module Load".
- "metadata.event_type" è stato mappato a "PROCESS_MODULE_LOAD", dove "event.type" è "Module Load".
- "registry.keyPath" è stato mappato a "target.registry.registrykey" per gli eventi "REGISTRY*".
- "registry.value" è stato mappato a "target.registry.registry_valuedata" per gli eventi "REGISTRY*".
- "event.network.protocolName" è stato mappato a "network.application_protocol".
- "principal.platform" e "principal.asset.platform_software.platform" sono stati mappati a "LINUX" se "endpoint.os" è "linux".
- "event.login.userName" è stato mappato a "target.user.userid" quando "event.type" è "Login" o "Logout".
- "target.hostname" è stato mappato ottenendo il nome host da "url.address" quando "event.type" è "GET", "OPTIONS", "POST", "PUT", "DELETE", "CONNECT", "HEAD".
2023-06-09
- È stata mappata la colonna "osSrc.process.parent.publisher" a "principal.resource.attribute.labels".
- È stata eseguita la mappatura di "src.process.rUserName/src.process.eUserName/src.process.lUserName" a "principal.user.user_display_name".
- È stato aggiunto il controllo ai campi "src.process.eUserId", "src.process.lUserId", "tgt.process.rUserUid" prima della mappatura a UDM.
- "tgt.file.location", "registry.valueFullSize" e "registry.valueType" sono stati mappati a "target.resource.attribute.labels".
- "indicator.description" è stato mappato a "security_result.summary".
- "metadata.event_type" è stato mappato a "SCAN_NETWORK" se "event.type" è "Indicatori di comportamento".
- "metadata.event_type" è stato mappato a "SCAN_UNCATEGORIZED" se "event.type" è "Command Script".
- I campi inizializzati "meta.osFamily", "meta.osRevision", "event.type".
- È stato aggiunto il filtro data ISO8601 al timestamp ISO8601 del parser.
- È stato aggiunto on_error alla conversione della stringa "@timestamp".
- È stato aggiunto on_error a "meta.uuid" prima della mappatura.
2023-05-25
- "event.source.commandLine" è stato mappato a "principal.process.command_line".
- "event.source.executable.path" è stato mappato a "principal.process.file.full_path".
- Imposta "metadata.event_type" su "PROCESS_OPEN" dove "event.type" è "openProcess".
- "site.name:site.id" è stato mappato a "principal.namespace" se sia "site.name" sia "site.id" non sono null.
- "event.network.direction" è stato mappato a "network.direction".
- "meta.event.name" è stato mappato a "metadata.description".
- "task.name" è stato mappato a "target.resource.name".
- "agent.uuid" è stato mappato a "principal.asset.product_object_id".
- "src.process.publisher" è stato mappato a "principal.resource.attribute.labels".
- "src.process.cmdline" è stato mappato a "target.process.command_line".
- "mgmt.osRevision" è stato mappato a "principal.asset.platform_software.platform_version".
- "security_result.category" è stato mappato in base al valore "indicator.category".
- "event.dns.response" è stato mappato a "network.dns.answers".
- "registry.keyPath" è stato mappato a "target.registry.registry_key".
- "event.id" è stato mappato a "target.registry.registry_value_name".
2023-04-27
- "event.type" è stato mappato a "metadata.product_event_type" per i log di Cloud Funnel 2.
2023-04-20
- È stato aggiunto il controllo condizionale di valori null e "-" per il campo "data.ipAddress".
- È stato aggiunto il controllo condizionale di Grok per il campo "sourceMacAddresses".
2023-03-02
- Quando ("event.type" == "tcpv4" and "event.direction" == "INCOMING") or "event.type" contains "(processExit|processTermination|processModification|duplicate)" , then mapped "event.source.executable.signature.signed.identity" to "target.resource.attribute.labels" else mapped it to "principal.resource.attribute.labels".
- Sono stati mappati "event.parent.executable.signature.signed.identity", "event.process.executable.signature.signed.identity" a "principal.resource.attribute.labels", "".
- Sono stati mappati "event.targetFile.signature.signed.identity", "event.target.executable.signature.signed.identity", "event.target.parent.executable.signature.signed.identity" a "target.resource.attribute.labels".
2023-02-24
- BugFix:
- È stato eseguito il refactoring del codice per distinguere chiaramente le versioni dei log.
- Per i log della canalizzazione cloud v2 di USER_LOGIN, i dettagli di "event.login.lognIsSuccessful" sono stati mappati a "security_result.action" e "security_result.summary"
2023-02-13
- BugFix:
- Log analizzati della canalizzazione cloud v1 come richiesto.
- Mappatura di tutti i log HTTP a "NETWORK_HTTP".
- Per "NETWORK_HTTP" il campo URL deve essere mappato a "target.url" anziché a "metadata.url_back_to_product".
2023-01-20
- È stato mappato il campo "event.url" a "target.hostname" e "target.url".
- È stata mappata la colonna "metadata.event_type" a "NETWORK_HTTP" se "event.type" == "http".
2023-01-16
- Correggi
- "mgmt.url" è stato mappato a "metadata.url_back_to_product" anziché a "target.url".
- "site.name" è stato mappato a "principal.location.name".
- "src.process.rUserUid" è stato mappato a "principal.user.userid".
- "src.process.eUserId" è stato mappato a "principal.user.userid".
- "src.process.lUserId" è stato mappato a "principal.user.userid".
- "src.process.parent.rUserUid" è stato mappato a "metadata.ingestion_labels".
- "src.process.parent.eUserId" è stato mappato a "metadata.ingestion_labels".
- "src.process.parent.lUserId" è stato mappato a "metadata.ingestion_labels".
- "tgt.process.rUserUid" è stato mappato a "target.user.userid".
- "tgt.process.eUserId" è stato mappato a "target.user.userid".
- "tgt.process.lUserId" è stato mappato a "target.user.userid".
- Se "event.type" è "Creazione processo", mappa "metadata.event_type" a "PROCESS_LAUNCH".
- Se "event.type" è "Handle processo duplicato", mappa "metadata.event_type" a "PROCESS_OPEN".
- Se "event.type" è "Handle thread duplicato", mappa "metadata.event_type" a "PROCESS_OPEN".
- Se "event.type" è "Handle processo remoto aperto", mappa "metadata.event_type" a "PROCESS_OPEN".
- Se "event.type" è "Creazione thread remoto", mappa "metadata.event_type" a "PROCESS_LAUNCH".
- Se "event.type" è "Command Script", mappa "metadata.event_type" a "FILE_UNCATEGORIZED".
- Se "event.type" è "IP Connect", mappa "metadata.event_type" a "NETWORK_CONNECTION".
- Se "event.type" è "IP Listen", mappa "metadata.event_type" a "NETWORK_UNCATEGORIZED".
- Se "event.type" è "File ModIfication", mappa "metadata.event_type" a "FILE_MODIfICATION".
- Se "event.type" è "Creazione file", mappa "metadata.event_type" a "FILE_CREATION".
- Se "event.type" è "Scansione file", mappa "metadata.event_type" a "FILE_UNCATEGORIZED".
- Se "event.type" è "File Deletion", mappa "metadata.event_type" a "FILE_DELETION".
- Se "event.type" è "File Rename", mappa "metadata.event_type" a "FILE_MODIfICATION".
- Se "event.type" è "Pre Execution Detection", mappa "metadata.event_type" a "FILE_UNCATEGORIZED".
- Se "event.type" è "Login", mappa "metadata.event_type" a "USER_LOGIN".
- Se "event.type" è "Logout", mappa "metadata.event_type" a "USER_LOGOUT".
- Se "event.type" è "GET", mappa "metadata.event_type" a "NETWORK_HTTP".
- Se "event.type" è "OPTIONS", mappa "metadata.event_type" a "NETWORK_HTTP".
- Se "event.type" è "POST", mappa "metadata.event_type" a "NETWORK_HTTP".
- Se "event.type" è "PUT", mappa "metadata.event_type" a "NETWORK_HTTP".
- Se "event.type" è "DELETE", mappa "metadata.event_type" a "NETWORK_HTTP".
- Se "event.type" è "CONNECT", mappa "metadata.event_type" a "NETWORK_HTTP".
- Se "event.type" è "HEAD", mappa "metadata.event_type" a "NETWORK_HTTP".
- Se "event.type" è "Not Reported", mappa "metadata.event_type" a "STATUS_UNCATEGORIZED".
- Se "event.type" è "DNS Resolved", mappa "metadata.event_type" a "NETWORK_DNS".
- Se "event.type" è "DNS Unresolved", mappa "metadata.event_type" a "NETWORK_DNS".
- Se "event.type" è "Task Register", mappa "metadata.event_type" a "SCHEDULED_TASK_CREATION".
- Se "event.type" è "Aggiornamento attività", mappa "metadata.event_type" a "SCHEDULED_TASK_MODIFICATION".
- Se "event.type" è "Avvio attività", mappa "metadata.event_type" a "SCHEDULED_TASK_UNCATEGORIZED".
- Se "event.type" è "Task Trigger", mappa "metadata.event_type" a "SCHEDULED_TASK_UNCATEGORIZED".
- Se "event.type" è "Task Delete", mappa "metadata.event_type" a "SCHEDULED_TASK_DELETION".
- Se "event.type" è "Registry Key Create", mappa "metadata.event_type" a "REGISTRY_CREATION".
- Se "event.type" è "Registry Key Rename", mappa "metadata.event_type" a "REGISTRY_MODIfICATION".
- Se "event.type" è "Registry Key Delete", mappa "metadata.event_type" a "REGISTRY_DELETION".
- Se "event.type" è "Registry Key Export", mappa "metadata.event_type" a "REGISTRY_UNCATEGORIZED".
- Se "event.type" è "Registry Key Security Changed", mappa "metadata.event_type" a "REGISTRY_MODIfICATION".
- Se "event.type" è "Importazione chiave del registry", mappa "metadata.event_type" a "REGISTRY_CREATION".
- Se "event.type" è "Registry Value ModIfied", mappa "metadata.event_type" a "REGISTRY_MODIfICATION".
- Se "event.type" è "Registry Value Create", mappa "metadata.event_type" a "REGISTRY_CREATION".
- Se "event.type" è "Registry Value Delete", mappa "metadata.event_type" a "REGISTRY_DELETION".
- Se "event.type" è "Indicatori di comportamento", mappa "metadata.event_type" a "SCAN_UNCATEGORIZED".
- Se "event.type" è "Caricamento modulo", mappa "metadata.event_type" a "PROCESS_MODULE_LOAD".
- Se "event.type" è "Indicatori di intelligence sulle minacce", mappa "metadata.event_type" a "SCAN_UNCATEGORIZED".
- Se "event.type" è "Creazione di pipe con nome", mappa "metadata.event_type" a "PROCESS_UNCATEGORIZED".
- Se "event.type" è "Named Pipe Connection", mappa "metadata.event_type" a "PROCESS_UNCATEGORIZED".
- Se "event.type" è "Driver Load", mappa "metadata.event_type" a "PROCESS_MODULE_LOAD".
2022-11-30
- Miglioramento
- È stato migliorato l'analizzatore per supportare i log importati nella versione V2 mappando i seguenti campi.
- "account.id" è stato mappato a "metadata.product_deployment_id".
- "agent.uuid" è stato mappato a "principal.asset.asset_id".
- "dst.ip.address" è stato mappato a "target.ip".
- "src.ip.address" è stato mappato a "principal.ip".
- "src.process.parent.image.sha1" è stato mappato a "principal.process.parent_process.file.sha1".
- È stata mappata la stringa "src.process.parent.image.sha256" a "principal.process.parent_process.file.sha256".
- È stato mappato "src.process.parent.image.path" a "principal.process.parent_process.file.full_path".
- "src.process.parent.cmdline" è stato mappato a "principal.process.parent_process.command_line".
- "src.process.parent.image.md5" è stato mappato a "principal.process.parent_process.file.md5".
- È stato mappato "src.process.parent.pid" a "principal.process.parent_process.pid".
- "src.process.image.sha1" è stato mappato a "principal.process.file.sha1".
- "src.process.image.md5" è stato mappato a "principal.process.file.md5".
- "src.process.pid" è stato mappato a "principal.process.pid".
- "src.process.cmdline" è stato mappato a "principal.process.command_line".
- "src.process.image.path" è stato mappato a "principal.process.file.full_path".
- "src.process.image.sha256" è stato mappato a "principal.process.file.sha256".
- "src.process.user" è stato mappato a "principal.user.user_display_name".
- "src.process.uid" è stato mappato a "principal.user.userid".
- È stato mappato "src.process.storyline.id" a "principal.process.product_specific_process_id".
- "src.process.parent.storyline.id" è stato mappato a "principal.process.parent_process.product_specific_process_id".
- "mgmt.url" è stato mappato a "target.url".
- "site.id" è stato mappato a "principal.namespace".
- "src.port.number" è stato mappato a "principal.port".
- "dst.port.number" è stato mappato a "target.port".
- "event_data.id" è stato mappato a "metadata.product_log_id".
2022-10-11
- Miglioramento
- "threatClassification" è stato mappato a "security_result.category_details".
- "threatConfidenceLevel" e "threatMitigationStatus" sono stati mappati a "security_result.detection_fields".
- "Località" è stato mappato a "principal.location.name".
- "data.filePath" è stato mappato a "principal.process.parent_process.file.full_path".
- Aggiornamento della mappatura (valore CAT) security_result.category_details in metadata.product_event_type
2022-09-01
- Miglioramento
- Modifica di metadata.product_name da SentinelOne a Singularity.
- "event.regValue.key.value" è stato mappato a "target.registry.registry_value_name".
- "principal_userid" è stato mappato a "principal.user.userid".
- "principal_domain" è stato mappato a "principal.administrative_domain".
- "threatInfo.threatId" è stato mappato a "security_result.threat_id"
- "threatInfo.identifiedAt" è stato mappato a "metadata.event_timestamp".
- "threatInfo.threatId" è stato mappato a "metadata.product_log_id".
- "security_result.alert_state" è stato mappato a "ALERTING".
- "threatInfo.maliciousProcessArguments" è stato mappato a "security_result.description".
- "threatInfo.threatName" è stato mappato a "security_result.threat_name".
- "threatInfo.classification" è stato mappato a "security_result.category_details".
- "security_result.category" è stato mappato a "SOFTWARE_MALICIOUS" se threatInfo.classification è dannoso, altrimenti a "NETWORK_SUSPICIOUS".
- "security_result.action" è stato mappato su "ALLOW" se threatInfo.mitigationStatus è mitigato, altrimenti su "BLOCK".
- "threatInfo.mitigationStatus" è stato mappato a "security_result.action_details".
- "threatInfo.classification threatInfo.classificationSource threatInfo.analystVerdictDescription threatInfo.threatName" è stato mappato a "security_result.summary".
- "threatInfo.createdAt" è stato mappato a "metadata.collected_timestamp".
- "agentRealtimeInfo.accountId" è stato mappato a "metadata.product_deployment_id".
- "agentRealtimeInfo.agentVersion" è stato mappato a "metadata.product_version".
- "indicator.category" è stato mappato a "detection_fields.key" e "indicator.description" a "detection_fields.value".
- "detectionEngines.key" è stato mappato a "detection_fields.key" e "detectionEngines.title" a "detection_fields.value".
- "metadata.event_type" è stato mappato a "SCAN_UNCATEGORIZED" se "meta.computerName" non è nullo.
2022-07-21
- Miglioramento
- È stata mappata la colonna event.source.executable.hashes.md5 a principal.process.file.md5.
- È stata mappata la colonna event.source.executable.hashes.sha256 a principal.process.file.sha256.
- È stata mappata la colonna event.source.executable.hashes.sha1 a principal.process.file.sha1.
- È stata mappata la colonna event.source.fullPid.pid alla colonna principal.process.pid.
- È stata mappata la colonna event.source.user.name alla colonna principal.user.userid.
- È stata mappata meta.agentVersion a metadata.product_version.
- È stato eseguito il mapping di event.appName a target.application.
- È stata mappata la colonna event.contentHash.sha256 alla colonna target.process.file.sha256.
- È stata eseguita la mappatura di event.source.commandLine a target.process.command_line.
- È stata eseguita la mappatura di event.decodedContent a target.labels.
- È stato modificato il valore metadata.description da script a Command Scripts se event.type è script.
- Il fornitore è stato mappato a metadata.vendor_name.
- È stata mappata la dimensione data.fileContentHash a target.process.file.md5.
- È stata mappata la proprietà data.ipAddress alla proprietà principal.ip.
- L'attributo activityUuid è stato mappato a target.asset.product_object_id.
- AgentId mappato a metadata.product_deployment_id.
- È stata aggiunta la verifica email per user_email prima di mapparla a principal.user.email_addresses. Se non è riuscita, è stata mappata a principal.user.userid.
- Ho mappato sourceIpAddresses a principal.ip.
- accountName è stato mappato a principal.administrative_domain.
- L'attributo activityId è stato mappato a additional.fields.
2022-07-15
- Miglioramento: sono stati analizzati i nuovi log con formato JSON e sono stati mappati i seguenti nuovi campi:
- "metadata.product_name" a "SENTINEL_ONE".
- "sourceParentProcessMd5" a "principal.process.parent_process.file.md5".
- "sourceParentProcessPath" a "principal.process.parent_process.file.full_path".
- "sourceParentProcessPid" a "principal.process.parent_process.pid".
- "sourceParentProcessSha1" a "principal.process.parent_process.file.sha1".
- "sourceParentProcessSha256" in "principal.process.parent_process.file.sha256".
- "sourceParentProcessCmdArgs" a "principal.process.parent_process.command_line".
- "sourceProcessCmdArgs" a "principal.process.command_line".
- "sourceProcessMd5" a "principal.process.file.md5".
- "sourceProcessPid" a "principal.process.pid".
- "sourceProcessSha1" a "principal.process.file.sha1".
- "sourceProcessSha256" in "principal.process.file.sha256".
- "sourceProcessPath" a "principal.process.file.full_path".
- "tgtFilePath" a "target.file.full_path".
- "tgtFileHashSha256" a "target.file.sha256".
- "tgtFileHashSha1" a "target.file.sha1".
- "tgtProcUid" a "target.process.product_specific_process_id".
- "tgtProcCmdLine" a "target.process.command_line".
- "tgtProcPid" a "target.process.pid".
- "tgtProcName" a "target.application".
- "dstIp" a "target.ip".
- "srcIp" a "principal.ip".
- "dstPort" a "target.port".
- "srcPort" a "principal.port".
- "origAgentName" a "principal.hostname".
- "agentIpV4" a "principal.ip".
- "groupId" a "principal.user.group_identifiers".
- "groupName" in "principal.user.group_display_name".
- "origAgentVersion" a "principal.asset.software.version".
- "origAgentOsFamily" a "principal.platform".
- "origAgentOsName" in principal.asset.software.name".
- "event_type" a "FILE_MODIFICATION" quando sourceEventType = FILEMODIFICATION.
- "event_type" su "FILE_DELETION" quando sourceEventType = FILEDELETION.
- "event_type" su "PROCESS_LAUNCH" quando sourceEventType = PROCESSCREATION.
- "event_type" a "NETWORK_CONNECTION" quando sourceEventType = TCPV4.
2022-06-13
- Miglioramento
- per [event][type] == "fileCreation" e [event][type] == "fileDeletion"
- "event.targetFile.path" è stato mappato a "target.file.full_path".
- "event.targetFile.hashes.md5" è stato mappato a "target.process.file.md5".
- "event.targetFile.hashes.sha1" è stato mappato a "target.process.file.sha1".
- È stata mappata la stringa "event.targetFile.hashes.sha256" a "target.process.file.sha256".
- for [event][type] == "fileModification"
- "event.file.path" è stato mappato a "target.file.full_path".
- "event.file.hashes.md5" è stato mappato a "target.process.file.md5".
- "event.file.hashes.sha1" è stato mappato a "target.process.file.sha1".
- "event.file.hashes.sha256" è stato mappato a "target.process.file.sha256".
2022-04-18
- È stato migliorato l'interprete per gestire tutti i log non analizzati.