SentinelOne EDR ログを収集する
以下でサポートされています。
Google SecOpsSIEM
このドキュメントでは、Google Security Operations フィードを設定して SentinelOne EDR のログを収集する方法について説明します。
詳細については、Google Security Operations へのデータの取り込みの概要をご覧ください。
取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。このドキュメントの情報は、取り込みラベル SENTINEL_EDR が付加されたパーサーに適用されます。
SentinelOne EDR を構成する
- 視聴者アカウントでデバイス管理コンソールにログインします。
- [ユーザー名] > [自分のユーザー] を選択します。
- ダイアログで [Generate API Token] をクリックします。
- API トークンをコピーして保存します。
SentinelOne EDR ログを取り込むように Google Security Operations でフィードを構成する
- [SIEM 設定] > [フィード] に移動します。
- [Add New] をクリックします。
- [フィールド名] に一意の名前を入力します。
- [ソースタイプ] として [Google Cloud Storage] を選択します。
- [Log Type] として [SentinelOne EDR] を選択します。
- [Get a Service Account] をクリックします。Google Security Operations は、Google Security Operations がデータの取り込みに使用する一意のサービス アカウントを提供します。
- Cloud Storage オブジェクトにアクセスするためのサービス アカウントのアクセス権を構成します。詳細については、Google Security Operations サービス アカウントへのアクセス権を付与するをご覧ください。
- [次へ] をクリックします。
- 次の必須入力パラメータを構成します。
- ストレージ バケット URI
- URI は
- ソース削除オプション
- [次へ] をクリックし、[送信] をクリックします。
Google Security Operations フィードの詳細については、Google Security Operations フィードのドキュメントをご覧ください。各フィードタイプの要件については、タイプ別のフィード構成をご覧ください。
フィードの作成時に問題が発生した場合は、Google Security Operations サポートにお問い合わせください。
フィールド マッピング リファレンス
このパーサーは、SentinelOne EDR ログを抽出し、UDM に変換します。また、従来形式と Cloud Funnel(v1 と v2)の両方の形式を処理します。イベントの種類とデータソースに基づく条件ロジックを活用して、ネットワーク接続、プロセス イベント、ファイルとレジストリのアクティビティ、スケジュールされたタスク、脅威インテリジェンスの指標など、広範なフィールド マッピングを行います。このパーサーは、MITRE ATT&CK フレームワークのマッピングと、タイムスタンプの変換や文字列操作などのさまざまなデータ標準化タスクも処理します。
SentinelOne パーサーの UDM マッピング
| ログフィールド | UDM マッピング | ロジック |
|---|---|---|
@timestamp |
metadata.event_timestamp |
SentinelOne によって記録されたイベントのタイムスタンプ。未加工ログの @timestamp フィールドから解析されます。 |
agentDetectionInfo.accountId |
metadata.product_deployment_id |
SentinelOne のアカウントの ID。 |
agentDetectionInfo.accountName |
principal.administrative_domain |
SentinelOne のアカウント名。 |
agentDetectionInfo.agentDomain |
principal.administrative_domain |
エージェントのドメイン。 |
agentDetectionInfo.agentIpV4 |
principal.ip、principal.asset.ip |
エージェントの IPv4 アドレス。 |
agentDetectionInfo.agentLastLoggedInUserName |
principal.user.user_display_name |
エージェントで最後にログインしたユーザーのユーザー名。 |
agentDetectionInfo.agentMachineType |
principal.asset.machine_type |
エージェントがインストールされているマシンのタイプ(デスクトップ、サーバー、ノートパソコンなど)。 |
agentDetectionInfo.agentMitigationMode |
なし | エージェントの軽減モード。UDM にマッピングされていません。 |
agentDetectionInfo.agentNetworkStatus |
なし | エージェントのネットワーク ステータス。UDM にマッピングされていません。 |
agentDetectionInfo.agentOsName |
principal.asset.platform_software.platform |
エージェントのオペレーティング システム名。 |
agentDetectionInfo.agentOsRevision |
principal.asset.platform_software.platform_version |
エージェントのオペレーティング システムのリビジョン。 |
agentDetectionInfo.agentRegisteredAt |
principal.asset.first_discover_time |
エージェントが登録されたときのタイムスタンプ。 |
agentDetectionInfo.agentUuid |
principal.asset.asset_id、principal.asset.product_object_id |
エージェントの UUID。「デバイス ID: {uuid}」の形式です。 |
agentDetectionInfo.agentVersion |
metadata.product_version |
SentinelOne エージェントのバージョン。 |
agentDetectionInfo.externalIp |
principal.ip、principal.asset.ip |
エージェントの外部 IP アドレス。 |
agentDetectionInfo.groupId |
principal.user.group_identifiers |
エージェントが属するグループの ID。 |
agentDetectionInfo.groupName |
principal.group.group_display_name |
エージェントが属するグループの名前。 |
agentDetectionInfo.siteId |
principal.namespace |
エージェントが所属するサイトの ID。 |
agentDetectionInfo.siteName |
principal.location.name |
エージェントが所属するサイトの名前。 |
agentRealtimeInfo.accountId |
metadata.product_deployment_id |
SentinelOne のアカウントの ID。 |
agentRealtimeInfo.accountName |
principal.administrative_domain |
SentinelOne のアカウント名。 |
agentRealtimeInfo.activeThreats |
なし | エージェント上のアクティブな脅威の数。UDM にマッピングされていません。 |
agentRealtimeInfo.agentComputerName |
principal.hostname、principal.asset.hostname |
エージェントのパソコンのホスト名。 |
agentRealtimeInfo.agentDecommissionedAt |
なし | エージェントが廃止されているかどうかを示します。UDM にマッピングされていません。 |
agentRealtimeInfo.agentDomain |
principal.administrative_domain |
エージェントのドメイン。 |
agentRealtimeInfo.agentId |
なし | エージェントの ID。UDM にマッピングされていません。 |
agentRealtimeInfo.agentInfected |
なし | エージェントが感染しているかどうかを示します。UDM にマッピングされていません。 |
agentRealtimeInfo.agentIsActive |
なし | エージェントがアクティブかどうかを示します。UDM にマッピングされていません。 |
agentRealtimeInfo.agentIsDecommissioned |
なし | エージェントが廃止されているかどうかを示します。UDM にマッピングされていません。 |
agentRealtimeInfo.agentMachineType |
principal.asset.machine_type |
エージェントがインストールされているマシンのタイプ(デスクトップ、サーバー、ノートパソコンなど)。 |
agentRealtimeInfo.agentMitigationMode |
なし | エージェントの軽減モード。UDM にマッピングされていません。 |
agentRealtimeInfo.agentNetworkStatus |
なし | エージェントのネットワーク ステータス。UDM にマッピングされていません。 |
agentRealtimeInfo.agentOsName |
principal.asset.platform_software.platform |
エージェントのオペレーティング システム名。 |
agentRealtimeInfo.agentOsRevision |
principal.asset.platform_software.platform_version |
エージェントのオペレーティング システムのリビジョン。 |
agentRealtimeInfo.agentOsType |
principal.platform |
エージェントのオペレーティング システムの種類。 |
agentRealtimeInfo.agentUuid |
principal.asset.asset_id、principal.asset.product_object_id |
エージェントの UUID。「デバイス ID: {uuid}」の形式です。 |
agentRealtimeInfo.agentVersion |
metadata.product_version |
SentinelOne エージェントのバージョン。 |
agentRealtimeInfo.groupId |
principal.user.group_identifiers |
エージェントが属するグループの ID。 |
agentRealtimeInfo.groupName |
principal.group.group_display_name |
エージェントが属するグループの名前。 |
agentRealtimeInfo.networkInterfaces |
principal.ip、principal.asset.ip、principal.mac |
IP アドレスや MAC アドレスなどのネットワーク インターフェース情報。 |
agentRealtimeInfo.operationalState |
なし | エージェントの動作状態。UDM にマッピングされていません。 |
agentRealtimeInfo.rebootRequired |
なし | 再起動が必要かどうかを示します。UDM にマッピングされていません。 |
agentRealtimeInfo.scanAbortedAt |
なし | スキャンが中止されたときのタイムスタンプ。UDM にマッピングされていません。 |
agentRealtimeInfo.scanFinishedAt |
なし | スキャンが完了したとき刻。UDM にマッピングされていません。 |
agentRealtimeInfo.scanStartedAt |
なし | スキャンが開始されたときのタイムスタンプ。UDM にマッピングされていません。 |
agentRealtimeInfo.scanStatus |
なし | スキャンのステータス。UDM にマッピングされていません。 |
agentRealtimeInfo.siteId |
principal.namespace |
エージェントが所属するサイトの ID。 |
agentRealtimeInfo.siteName |
principal.location.name |
エージェントが所属するサイトの名前。 |
agentRealtimeInfo.storageName |
なし | ストレージ名。UDM にマッピングされていません。 |
agentRealtimeInfo.storageType |
なし | ストレージの種類。UDM にマッピングされていません。 |
agentRealtimeInfo.userActionsNeeded |
なし | ユーザーの対応が必要UDM にマッピングされていません。 |
batch.customer_id |
なし | お客様 ID。UDM にマッピングされていません。 |
batch.collector_id |
なし | コレクタ ID。UDM にマッピングされていません。 |
batch.type |
metadata.log_type |
バッチのタイプ。 |
collection_time |
metadata.collected_timestamp |
ログが収集された時刻。 |
create_time |
metadata.event_timestamp |
予定の作成日時。 |
data |
(各種) | SentinelOne イベントの主なデータペイロード。このオブジェクト内のフィールドは、イベントタイプに応じてさまざまな UDM フィールドにマッピングされます。 |
event.activityType |
なし | アクティビティの種類。UDM にマッピングされていません。 |
event.agentId |
metadata.product_deployment_id |
エージェントの ID。 |
event.agentUpdatedVersion |
なし | エージェントの更新バージョン。UDM にマッピングされていません。 |
event.comments |
なし | イベントに関連付けられているコメント。UDM にマッピングされていません。 |
event.createdAt |
metadata.event_timestamp |
予定の作成日時。 |
event.data |
(各種) | イベントに関連付けられているデータ。このオブジェクト内のフィールドは、イベントタイプに応じてさまざまな UDM フィールドにマッピングされます。 |
event.description |
metadata.product_event_type |
イベントの説明です。 |
event.destinationAddress.address |
target.ip |
宛先の IP アドレス。 |
event.destinationAddress.port |
target.port |
宛先のポート。 |
event.direction |
network.direction |
ネットワーク接続の方向。「INBOUND」または「OUTBOUND」にマッピングされます。 |
event.executable.commandLine |
principal.process.command_line、target.process.command_line |
実行可能ファイルのコマンドライン。 |
event.executable.creationTime.millisecondsSinceEpoch |
なし | 実行可能ファイルの作成日時。UDM にマッピングされていません。 |
event.executable.full_path |
principal.process.file.full_path、target.process.file.full_path |
実行可能ファイルのフルパス。 |
event.executable.hashes.md5 |
principal.process.file.md5、target.process.file.md5 |
実行可能ファイルの MD5 ハッシュ。 |
event.executable.hashes.sha1 |
principal.process.file.sha1、target.process.file.sha1 |
実行可能ファイルの SHA1 ハッシュ。 |
event.executable.hashes.sha256 |
principal.process.file.sha256、target.process.file.sha256 |
実行可能ファイルの SHA256 ハッシュ。 |
event.executable.isDir |
なし | 実行可能ファイルがディレクトリかどうかを示します。UDM にマッピングされていません。 |
event.executable.isKernelModule |
なし | 実行可能ファイルがカーネル モジュールかどうかを示します。UDM にマッピングされていません。 |
event.executable.name |
なし | 実行可能ファイルの名前。UDM にマッピングされていません。 |
event.executable.node.key.value |
なし | 実行可能ファイルのノードキー値。UDM にマッピングされていません。 |
event.executable.owner.name |
なし | 実行可能ファイルのオーナー名。UDM にマッピングされていません。 |
event.executable.owner.sid |
なし | 実行可能ファイルのオーナー SID。UDM にマッピングされていません。 |
event.executable.pUnix |
なし | 実行可能ファイルの pUnix 値。UDM にマッピングされていません。 |
event.executable.signature.signed.identity |
principal.resource.attribute.labels、target.resource.attribute.labels |
署名付き実行可能ファイルの ID。「ソース署名署名済み ID: {identity}」という形式です。 |
event.executable.signature.signed.valid |
なし | 署名が有効かどうかを示します。UDM にマッピングされていません。 |
event.executable.signature.unsigned |
なし | 実行可能ファイルが未署名かどうかを示します。UDM にマッピングされていません。 |
event.executable.sizeBytes |
principal.process.file.size、target.process.file.size |
実行可能ファイルのサイズ(バイト単位)。 |
event.excluded |
なし | イベントが除外されているかどうかを示します。UDM にマッピングされていません。 |
event.file.creationTime.millisecondsSinceEpoch |
なし | ファイルの作成日時。UDM にマッピングされていません。 |
event.file.full_path |
target.file.full_path |
ファイルのフルパス。 |
event.file.hashes.md5 |
target.process.file.md5 |
ファイルの MD5 ハッシュ。 |
event.file.hashes.sha1 |
target.process.file.sha1 |
ファイルの SHA1 ハッシュ。 |
event.file.hashes.sha256 |
target.process.file.sha256 |
ファイルの SHA256 ハッシュ。 |
event.file.isDir |
なし | ファイルがディレクトリかどうかを示します。UDM にマッピングされていません。 |
event.file.isKernelModule |
なし | ファイルがカーネル モジュールかどうかを示します。UDM にマッピングされていません。 |
event.file.node.key.value |
なし | ファイルのノードキー値。UDM にマッピングされていません。 |
event.file.owner.name |
なし | ファイルのオーナー名。UDM にマッピングされていません。 |
event.file.owner.sid |
なし | ファイルのオーナー SID。UDM にマッピングされていません。 |
event.file.pUnix |
なし | ファイルの pUnix 値。UDM にマッピングされていません。 |
event.file.signature.unsigned |
なし | ファイルが未署名かどうかを示します。UDM にマッピングされていません。 |
event.file.sizeBytes |
なし | ファイルのサイズ(バイト単位)。UDM にマッピングされていません。 |
event.fullPid.pid |
principal.process.pid、target.process.pid |
プロセス ID。 |
event.fullPid.startTime.millisecondsSinceEpoch |
なし | プロセスの開始時間。UDM にマッピングされていません。 |
event.hashes.md5 |
target.file.md5 |
MD5 ハッシュ。 |
event.hashes.sha1 |
target.file.sha1 |
SHA1 ハッシュ。 |
event.hashes.sha256 |
target.file.sha256 |
SHA256 ハッシュ。 |
event.id |
metadata.product_log_id |
イベント ID。 |
event.interactive |
なし | イベントがインタラクティブかどうかを示します。UDM にマッピングされていません。 |
event.isRedirectedCommandProcessor |
なし | イベントがリダイレクトされたコマンド プロセッサかどうかを示します。UDM にマッピングされていません。 |
event.isWow64 |
なし | イベントが WoW64 かどうかを示します。UDM にマッピングされていません。 |
event.method |
network.http.method |
HTTP メソッド。 |
event.name |
なし | イベントの名前。UDM にマッピングされていません。 |
event.node.key.value |
なし | イベントのノードキー値。UDM にマッピングされていません。 |
event.oldHashes.md5 |
なし | 古い MD5 ハッシュ。UDM にマッピングされていません。 |
event.oldHashes.sha1 |
なし | 古い SHA1 ハッシュ。UDM にマッピングされていません。 |
event.oldHashes.sha256 |
なし | 古い SHA256 ハッシュ。UDM にマッピングされていません。 |
event.parent.commandLine |
principal.process.parent_process.command_line、target.process.parent_process.command_line |
親プロセスのコマンドライン。 |
event.parent.excluded |
なし | 親イベントが除外されているかどうかを示します。UDM にマッピングされていません。 |
event.parent.executable.creationTime.millisecondsSinceEpoch |
なし | 親実行可能ファイルの作成日時。UDM にマッピングされていません。 |
event.parent.executable.full_path |
principal.process.parent_process.file.full_path、target.process.parent_process.file.full_path |
親実行可能ファイルのフルパス。 |
event.parent.executable.hashes.md5 |
principal.process.parent_process.file.md5、target.process.parent_process.file.md5 |
親実行可能ファイルの MD5 ハッシュ。 |
event.parent.executable.hashes.sha1 |
principal.process.parent_process.file.sha1、target.process.parent_process.file.sha1 |
親実行可能ファイルの SHA1 ハッシュ。 |
event.parent.executable.hashes.sha256 |
principal.process.parent_process.file.sha256、target.process.parent_process.file.sha256 |
親実行可能ファイルの SHA256 ハッシュ。 |
event.parent.executable.isDir |
なし | 親実行可能ファイルがディレクトリかどうかを示します。UDM にマッピングされていません。 |
event.parent.executable.isKernelModule |
なし | 親実行可能ファイルがカーネル モジュールかどうかを示します。UDM にマッピングされていません。 |
event.parent.executable.node.key.value |
なし | 親実行可能ファイルのノードキー値。UDM にマッピングされていません。 |
event.parent.executable.owner.name |
なし | 親実行可能ファイルのオーナー名。UDM にマッピングされていません。 |
event.parent.executable.owner.sid |
なし | 親実行可能ファイルのオーナー SID。UDM にマッピングされていません。 |
event.parent.executable.pUnix |
なし | 親実行可能ファイルの pUnix 値。UDM にマッピングされていません。 |
event.parent.executable.signature.signed.identity |
principal.resource.attribute.labels、target.resource.attribute.labels |
署名付き親実行可能ファイルの ID。「送信元の親の署名付き ID: {identity}」という形式で指定します。 |
event.parent.executable.signature.signed.valid |
なし | 親の署名が有効かどうかを示します。UDM にマッピングされていません。 |
event.parent.executable.signature.unsigned |
なし | 親実行可能ファイルが未署名かどうかを示します。UDM にマッピングされていません。 |
event.parent.executable.sizeBytes |
principal.process.parent_process.file.size、target.process.parent_process.file.size |
親実行可能ファイルのサイズ(バイト単位)。 |
event.parent.fullPid.pid |
principal.process.parent_process.pid、target.process.parent_process.pid |
親プロセス ID。 |
event.parent.fullPid.startTime.millisecondsSinceEpoch |
なし | 親プロセスの開始時間。UDM にマッピングされていません。 |
event.parent.interactive |
なし | 親イベントがインタラクティブかどうかを示します。UDM にマッピングされていません。 |
event.parent.isRedirectedCommandProcessor |
なし | 親イベントがリダイレクトされたコマンド プロセッサかどうかを示します。UDM にマッピングされていません。 |
event.parent.isWow64 |
なし | 親イベントが WoW64 かどうかを示します。UDM にマッピングされていません。 |
event.parent.name |
なし | 親イベントの名前。UDM にマッピングされていません。 |
event.parent.node.key.value |
なし | 親イベントのノードキー値。UDM にマッピングされていません。 |
event.parent.root |
なし | 親イベントがルートかどうかを示します。UDM にマッピングされていません。 |
event.parent.sessionId |
なし | 親イベントのセッション ID。UDM にマッピングされていません。 |
event.parent.subsystem |
なし | 親イベントのサブシステム。UDM にマッピングされていません。 |
event.parent.trueContext.key.value |
なし | 親イベントの実際のコンテキスト キー値。UDM にマッピングされていません。 |
event.parent.user.integrityLevel |
なし | 親ユーザーの完全性レベル。UDM にマッピングされていません。 |
event.parent.user.name |
principal.user.userid |
親プロセスのユーザー名。 |
event.parent.user.sid |
principal.user.windows_sid |
親ユーザーの Windows SID。 |
event.process.commandLine |
target.process.command_line |
プロセスのコマンドライン。 |
event.process.executable.creationTime.millisecondsSinceEpoch |
なし | プロセスの実行可能ファイルの作成日時。UDM にマッピングされていません。 |
event.process.executable.full_path |
target.process.file.full_path |
プロセスの実行可能ファイルのフルパス。 |
event.process.executable.hashes.md5 |
target.process.file.md5 |
プロセス実行可能ファイルの MD5 ハッシュ。 |
event.process.executable.hashes.sha1 |
target.process.file.sha1 |
プロセス実行可能ファイルの SHA1 ハッシュ。 |
event.process.executable.hashes.sha256 |
target.process.file.sha256 |
プロセス実行可能ファイルの SHA256 ハッシュ。 |
event.process.executable.isDir |
なし | プロセス実行可能ファイルがディレクトリかどうかを示します。UDM にマッピングされていません。 |
event.process.executable.isKernelModule |
なし | プロセス実行可能ファイルがカーネル モジュールかどうかを示します。UDM にマッピングされていません。 |
event.process.executable.node.key.value |
なし | プロセス実行可能ファイルのノードキー値。UDM にマッピングされていません。 |
event.process.executable.owner.name |
なし | プロセス実行可能ファイルのオーナー名。UDM にマッピングされていません。 |
event.process.executable.owner.sid |
なし | プロセス実行可能ファイルのオーナー SID。UDM にマッピングされていません。 |
event.process.executable.pUnix |
なし | プロセス実行可能ファイルの pUnix 値。UDM にマッピングされていません。 |
event.process.executable.signature.unsigned |
なし | プロセスの実行可能ファイルが未署名かどうかを示します。UDM にマッピングされていません。 |
event.process.executable.sizeBytes |
target.process.file.size |
プロセス実行可能ファイルのサイズ(バイト単位)。 |
event.process.excluded |
なし | プロセスが除外されているかどうかを示します。UDM にマッピングされていません。 |
event.process.fullPid.pid |
target.process.pid |
プロセス ID。 |
event.process.fullPid.startTime.millisecondsSinceEpoch |
なし | プロセスの開始時間。UDM にマッピングされていません。 |
event.process.interactive |
なし | プロセスがインタラクティブかどうかを示します。UDM にマッピングされていません。 |
event.process.isRedirectedCommandProcessor |
なし | プロセスがリダイレクトされたコマンド プロセッサかどうかを示します。UDM にマッピングされていません。 |
event.process.isWow64 |
なし | プロセスが WoW64 かどうかを示します。UDM にマッピングされていません。 |
event.process.name |
なし | プロセスの名前。UDM にマッピングされていません。 |
event.process.node.key.value |
なし | プロセスのノードキー値。UDM にマッピングされていません。 |
event.process.root |
なし | プロセスが root かどうかを示します。UDM にマッピングされていません。 |
event.process.sessionId |
なし | プロセスのセッション ID。UDM にマッピングされていません。 |
event.process.subsystem |
なし | プロセスのサブシステム。UDM にマッピングされていません。 |
event.process.trueContext.key.value |
なし | プロセスの実際のコンテキスト キー値。UDM にマッピングされていません。 |
event.process.user.integrityLevel |
なし | プロセス ユーザーの完全性レベル。UDM にマッピングされていません。 |
event.process.user.name |
target.user.userid |
プロセスのユーザー名。 |
event.process.user.sid |
target.user.windows_sid |
プロセス ユーザーの Windows SID。 |
event.query |
network.dns.questions.name |
DNS クエリ。 |
event.regKey.key.value |
なし | レジストリキーの値。UDM にマッピングされていません。 |
event.regKey.full_path |
target.registry.registry_key |
レジストリキーのパス。 |
event.regValue.key.value |
target.registry.registry_value_name |
レジストリ値の名前。 |
event.regValue.full_path |
target.registry.registry_key |
レジストリ値のパス。 |
event.results |
network.dns.answers.data |
DNS の結果。 |
event.root |
なし | イベントがルートかどうかを示します。UDM にマッピングされていません。 |
event.sessionId |
なし | イベントのセッション ID。UDM にマッピングされていません。 |
event.signature.signed.identity |
principal.resource.attribute.labels、target.resource.attribute.labels |
署名されたイベントの ID。「ソース署名署名済み ID: {identity}」という形式です。 |
event.signature.signed.valid |
なし | 署名が有効かどうかを示します。UDM にマッピングされていません。 |
event.signature.unsigned |
なし | イベントが未署名かどうかを示します。UDM にマッピングされていません。 |
event.source.commandLine |
principal.process.command_line、target.process.command_line |
ソースのコマンドライン。 |
event.source.executable.creationTime.millisecondsSinceEpoch |
なし | ソース実行可能ファイルの作成日時。UDM にマッピングされていません。 |
event.source.executable.full_path |
principal.process.file.full_path、target.process.file.full_path |
ソース実行可能ファイルのフルパス。 |
event.source.executable.hashes.md5 |
principal.process.file.md5、target.process.file.md5 |
ソース実行可能ファイルの MD5 ハッシュ。 |
event.source.executable.hashes.sha1 |
principal.process.file.sha1、target.process.file.sha1 |
ソース実行可能ファイルの SHA1 ハッシュ。 |
event.source.executable.hashes.sha256 |
principal.process.file.sha256、target.process.file.sha256 |
ソース実行可能ファイルの SHA256 ハッシュ。 |
event.source.executable.isDir |
なし | ソース実行可能ファイルがディレクトリかどうかを示します。UDM にマッピングされていません。 |
event.source.executable.isKernelModule |
なし | ソース実行可能ファイルがカーネル モジュールかどうかを示します。UDM にマッピングされていません。 |
event.source.executable.node.key.value |
なし | ソース実行可能ファイルのノードキー値。UDM にマッピングされていません。 |
event.source.executable.owner.name |
なし | ソース実行可能ファイルのオーナー名。UDM にマッピングされていません。 |
event.source.executable.owner.sid |
なし | ソース実行可能ファイルのオーナー SID。UDM にマッピングされていません。 |
event.source.executable.pUnix |
なし | ソース実行可能ファイルの pUnix 値。UDM にマッピングされていません。 |
event.source.executable.signature.signed.identity |
principal.resource.attribute.labels、target.resource.attribute.labels |
署名付きソース実行可能ファイルの ID。「ソース署名署名済み ID: {identity}」という形式です。 |
event.source.executable.signature.signed.valid |
なし | ソース署名が有効かどうかを示します。UDM にマッピングされていません。 |
event.source.executable.signature.unsigned |
なし | ソース エグゼキューブルが未署名かどうかを示します。UDM にマッピングされていません。 |
event.source.executable.sizeBytes |
principal.process.file.size、target.process.file.size |
ソース実行可能ファイルのサイズ(バイト単位)。 |
event.source.excluded |
なし | ソースが除外されているかどうかを示します。UDM にマッピングされていません。 |
event.source.fullPid.pid |
principal.process.pid、target.process.pid |
ソースのプロセス ID。 |
event.source.fullPid.startTime.millisecondsSinceEpoch |
なし | ソースプロセスの開始時間。UDM にマッピングされていません。 |
event.source.interactive |
なし | ソースがインタラクティブかどうかを示します。UDM にマッピングされていません。 |
event.source.isRedirectedCommandProcessor |
なし | ソースがリダイレクトされたコマンド プロセッサかどうかを示します。UDM にマッピングされていません。 |
event.source.isWow64 |
なし | ソースが WoW64 かどうかを示します。UDM にマッピングされていません。 |
event.source.name |
なし | ソースの名前。UDM にマッピングされていません。 |
event.source.node.key.value |
なし | ソースのノードキー値。UDM にマッピングされていません。 |
event.source.parent.commandLine |
principal.process.parent_process.command_line |
ソースの親のコマンドライン。 |
event.source.parent.excluded |
なし | ソースの親が除外されているかどうかを示します。UDM にマッピングされていません。 |
event.source.parent.executable.full_path |
principal.process.parent_process.file.full_path |
ソースの親実行可能ファイルのフルパス。 |
event.source.parent.executable.hashes.md5 |
principal.process.parent_process.file.md5 |
ソースの親実行可能ファイルの MD5 ハッシュ。 |
event.source.parent.executable.hashes.sha1 |
principal.process.parent_process.file.sha1 |
ソースの親実行可能ファイルの SHA1 ハッシュ。 |
event.source.parent.executable.hashes.sha256 |
principal.process.parent_process.file.sha256 |
ソースの親実行可能ファイルの SHA256 ハッシュ。 |
event.source.parent.fullPid.pid |
principal.process.parent_process.pid |
ソースの親のプロセス ID。 |
event.source.parent.fullPid.startTime.millisecondsSinceEpoch |
なし | ソースの親プロセスの開始時間。UDM にマッピングされていません。 |
event.source.parent.interactive |
なし | ソースの親がインタラクティブかどうかを示します。UDM にマッピングされていません。 |
event.source.parent.isRedirectedCommandProcessor |
なし | ソースの親がリダイレクトされたコマンド プロセッサかどうかを示します。UDM にマッピングされていません。 |
event.source.parent.isWow64 |
なし | ソースの親が WoW64 かどうかを示します。UDM にマッピングされていません。 |
event.source.parent.name |
なし | ソースの親の名前。UDM にマッピングされていません。 |
event.source.parent.node.key.value |
なし | ソースの親のノードキー値。UDM にマッピングされていません。 |
event.source.parent.root |
なし | ソースの親がルートかどうかを示します。UDM にマッピングされていません。 |
event.source.parent.sessionId |
なし | ソースの親のセッション ID。UDM にマッピングされていません。 |
event.source.parent.subsystem |
なし | ソースの親のサブシステム。UDM にマッピングされていません。 |
event.source.parent.trueContext.key.value |
なし | ソースの親の真のコンテキスト キー値。UDM にマッピングされていません。 |
event.source.parent.user.integrityLevel |
なし | ソースの親ユーザーの完全性レベル。UDM にマッピングされていません。 |
event.source.parent.user.name |
なし | ソースの親のユーザー名。UDM にマッピングされていません。 |
event.source.parent.user.sid |
なし | 移行元の親ユーザーの Windows SID。UDM にマッピングされていません。 |
event.source.root |
なし | ソースがルートかどうかを示します。UDM にマッピングされていません。 |
event.source.sessionId |
なし | ソースのセッション ID。UDM にマッピングされていません。 |
event.source.subsystem |
なし | ソースのサブシステム。UDM にマッピングされていません。 |
event.source.trueContext.key.value |
なし | ソースの実際のコンテキスト キー値。UDM にマッピングされていません。 |
event.source.user.integrityLevel |
なし | ソースユーザーの完全性レベル。UDM にマッピングされていません。 |
event.source.user.name |
principal.user.userid |
ソースのユーザー名。 |
event.source.user.sid |
principal.user.windows_sid |
移行元ユーザーの Windows SID。 |
event.sourceAddress.address |
principal.ip |
送信元の IP アドレス。 |
event.sourceAddress.port |
principal.port |
送信元のポート。 |
event.status |
なし | イベントのステータス。UDM にマッピングされていません。 |
event.subsystem |
なし | イベントのサブシステム。UDM にマッピングされていません。 |
event.targetFile.creationTime.millisecondsSinceEpoch |
なし | ターゲット ファイルの作成日時。UDM にマッピングされていません。 |
event.targetFile.full_path |
target.file.full_path |
ターゲット ファイルのフルパス。 |
event.targetFile.hashes.md5 |
target.process.file.md5 |
ターゲット ファイルの MD5 ハッシュ。 |
event.targetFile.hashes.sha1 |
target.process.file.sha1 |
ターゲット ファイルの SHA1 ハッシュ。 |
event.targetFile.hashes.sha256 |
target.process.file.sha256 |
ターゲット ファイルの SHA256 ハッシュ。 |
event.targetFile.isDir |
なし | ターゲット ファイルがディレクトリかどうかを示します。UDM にマッピングされていません。 |
event.targetFile.isKernelModule |
変更点
2024-06-03
- 「suser」を「principal.user.userid」にマッピングしました。
- 「accountId」を「target.user.userid」にマッピングしました。
- 「MessageSourceAddress」を「principal.ip」にマッピングしました。
- 「machine_host」を「principal.hostname」にマッピングしました。
2024-05-20
- 「event.dns.response」を「network.dns.answers.data」にマッピングしました。
2024-05-06
- JSON ログの新しいパターンのサポートを追加しました。
2024-03-22
- タブ区切りの新しい形式の KV ログを解析するための新しい Grok パターンを追加しました。
- 「osName」を「src.platform」にマッピングしました。
2024-03-15
- 「site.id:account.id:agent.uuid:tgt.process.uid」を「target.process.product_specific_process_id」にマッピングしました。
- 「site.id:account.id:agent.uuid:src.process.uid」を「principal.process.product_specific_process_id」にマッピングしました。
- 「site.id:account.id:agent.uuid:src.process.parent.uid」を「principal.process.parent_process.product_specific_process_id」にマッピングしました。
- 「src.process.cmdline」を「target.process.command_line」にマッピングしないようにしました。
2023-11-09
- 修正:
- 「tgt.process.user」を「target.user.userid」にマッピングしました。
2023-10-30
- 修正:
- UDM にマッピングする前に「principal_port」に null チェックを追加しました。
- 「event.category」が「url」で、「meta.event.name」が「HTTP」の場合、「metadata.event_type」を「NETWORK_HTTP」にマッピングしました。
2023-09-06
- 「tgt.process.storyline.id」から「security_result.about.resource.attribute.labels」へのマッピングを追加しました。
- 「src.process.storyline.id」のマッピングを「principal.process.product_specific_process_id」から「security_result.about.resource.attribute.labels」に変更しました。
- 「src.process.parent.storyline.id」のマッピングを「principal.parent.process.product_specific_process_id」から「security_result.about.resource.attribute.labels」に変更しました。
2023-08-31
- 「indicator.category」を「security_result.category_details」にマッピングしました。
2023-08-03
- 「event_data.login.loginIsSuccessful」を null に初期化しました。
- 「module.path」を「target.process.file.full_path」と「target.file.full_path」にマッピングしました(「event.type」が「Module Load」の場合)。
- 「module.sha1」を「target.process.file.sha1」と「target.file.sha1」にマッピングしました(「event.type」が「Module Load」の場合)。
- 「metadata.event_type」を「PROCESS_MODULE_LOAD」にマッピングしました。ここで、「event.type」は「Module Load」です。
- 「REGISTRY*」イベントの「registry.keyPath」を「target.registry.registrykey」にマッピングしました。
- 「REGISTRY*」イベントの「registry.value」を「target.registry.registry_valuedata」にマッピングしました。
- 「event.network.protocolName」を「network.application_protocol」にマッピングしました。
- 「endpoint.os」が「linux」の場合、「principal.platform」、「principal.asset.platform_software.platform」を「LINUX」にマッピングしました。
- 「event.type」が「Login」または「Logout」の場合、「event.login.userName」を「target.user.userid」にマッピングしました。
- 「event.type」が「GET」、「OPTIONS」、「POST」、「PUT」、「DELETE」、「CONNECT」、「HEAD」の場合、「url.address」からホスト名を取得して「target.hostname」をマッピングしました。
2023-06-09
- 「osSrc.process.parent.publisher」を「principal.resource.attribute.labels」にマッピングしました。
- 「src.process.rUserName/src.process.eUserName/src.process.lUserName」を「principal.user.user_display_name」にマッピングしました。
- UDM にマッピングする前に、フィールド「src.process.eUserId」、「src.process.lUserId」、「tgt.process.rUserUid」にチェックを追加しました。
- 「tgt.file.location」、「registry.valueFullSize」、「registry.valueType」を「target.resource.attribute.labels」にマッピングしました。
- 「indicator.description」を「security_result.summary」にマッピングしました。
- 「event.type」が「Behavioral Indicators」の場合、「metadata.event_type」を「SCAN_NETWORK」にマッピングしました。
- 「metadata.event_type」を「SCAN_UNCATEGORIZED」にマッピングしました(「event.type」が「Command Script」の場合)。
- フィールド「meta.osFamily」、「meta.osRevision」、「event.type」を初期化しました。
- ISO8601 タイムスタンプをパースする日付フィルタに ISO8601 を追加しました。
- 「@timestamp」文字列変換に on_error を追加しました。
- マッピング前に「meta.uuid」に on_error を追加しました。
2023-05-25
- 「event.source.commandLine」を「principal.process.command_line」にマッピングしました。
- 「event.source.executable.path」を「principal.process.file.full_path」にマッピングしました。
- 「metadata.event_type」を「PROCESS_OPEN」に設定します(「event.type」は「openProcess」です)。
- 「site.name」と「site.id」の両方が null でない場合、「site.name:site.id」を「principal.namespace」にマッピングしました。
- 「event.network.direction」を「network.direction」にマッピングしました。
- 「meta.event.name」を「metadata.description」にマッピングしました。
- 「task.name」を「target.resource.name」にマッピングしました。
- 「agent.uuid」を「principal.asset.product_object_id」にマッピングしました。
- 「src.process.publisher」を「principal.resource.attribute.labels」にマッピングしました。
- 「src.process.cmdline」を「target.process.command_line」にマッピングしました。
- 「mgmt.osRevision」を「principal.asset.platform_software.platform_version」にマッピングしました。
- 「indicator.category」の値に従って「security_result.category」をマッピングしました。
- 「event.dns.response」を「network.dns.answers」にマッピングしました。
- 「registry.keyPath」を「target.registry.registry_key」にマッピングしました。
- 「event.id」を「target.registry.registry_value_name」にマッピングしました。
2023-04-27
- Cloud Funnel v2 ログの「event.type」を「metadata.product_event_type」にマッピングしました。
2023-04-20
- フィールド「data.ipAddress」の null と「-」の条件チェックを追加しました。
- フィールド「sourceMacAddresses」の grok 条件付きチェックを追加しました。
2023-03-02
- (「event.type」が「tcpv4」で「event.direction」が「INCOMING」)または「event.type」に「(processExit|processTermination|processModification|duplicate)」が含まれている場合は、「event.source.executable.signature.signed.identity」を「target.resource.attribute.labels」にマッピングし、それ以外の場合は「principal.resource.attribute.labels」にマッピングしました。
- 「event.parent.executable.signature.signed.identity」、「event.process.executable.signature.signed.identity」を「principal.resource.attribute.labels」、「""」にマッピングしました。
- 「event.targetFile.signature.signed.identity」、「event.target.executable.signature.signed.identity」、「event.target.parent.executable.signature.signed.identity」を「target.resource.attribute.labels」にマッピングしました。
2023-02-24
- バグの修正:
- ログのバージョンを明確に区別できるようにコードをリファクタリングしました。
- USER_LOGIN Cloud ファネル v2 ログで、「event.login.lognIsSuccessful」の詳細を「security_result.action」と「security_result.summary」にマッピングしました
2023-02-13
- バグの修正:
- 必要に応じて、Cloud ファネル v1 ログを解析。
- すべての HTTP ログを「NETWORK_HTTP」にマッピング。
- 「NETWORK_HTTP」の URL フィールドは、「metadata.url_back_to_product」ではなく「target.url」にマッピングする必要があります。
2023-01-20
- フィールド「event.url」を「target.hostname」と「target.url」にマッピングしました。
- 「event.type」が「http」の場合、「metadata.event_type」を「NETWORK_HTTP」にマッピングしました。
2023-01-16
- 修正
- 「mgmt.url」を「target.url」ではなく「metadata.url_back_to_product」にマッピングしました。
- 「site.name」を「principal.location.name」にマッピングしました。
- 「src.process.rUserUid」を「principal.user.userid」にマッピングしました。
- 「src.process.eUserId」を「principal.user.userid」にマッピングしました。
- 「src.process.lUserId」を「principal.user.userid」にマッピングしました。
- 「src.process.parent.rUserUid」を「metadata.ingestion_labels」にマッピングしました。
- 「src.process.parent.eUserId」を「metadata.ingestion_labels」にマッピングしました。
- 「src.process.parent.lUserId」を「metadata.ingestion_labels」にマッピングしました。
- 「tgt.process.rUserUid」を「target.user.userid」にマッピングしました。
- 「tgt.process.eUserId」を「target.user.userid」にマッピングしました。
- 「tgt.process.lUserId」を「target.user.userid」にマッピングしました。
- 「event.type」が「Process Creation」の場合、「metadata.event_type」を「PROCESS_LAUNCH」にマッピングします。
- 「event.type」が「Duplicate Process Handle」の場合、「metadata.event_type」を「PROCESS_OPEN」にマッピングしました。
- 「event.type」が「Duplicate Thread Handle」の場合、「metadata.event_type」を「PROCESS_OPEN」にマッピングしました。
- 「event.type」が「Open Remote Process Handle」の場合、「metadata.event_type」を「PROCESS_OPEN」にマッピングしました。
- 「event.type」が「Remote Thread Creation」の場合、「metadata.event_type」を「PROCESS_LAUNCH」にマッピングしました。
- 「event.type」が「Command Script」の場合、「metadata.event_type」を「FILE_UNCATEGORIZED」にマッピングしました。
- 「event.type」が「IP Connect」の場合、「metadata.event_type」を「NETWORK_CONNECTION」にマッピングしました。
- 「event.type」が「IP Listen」の場合、「metadata.event_type」を「NETWORK_UNCATEGORIZED」にマッピングしました。
- 「event.type」が「File ModIfication」の場合、「metadata.event_type」を「FILE_MODIfICATION」にマッピングしました。
- 「event.type」が「File Creation」の場合、「metadata.event_type」を「FILE_CREATION」にマッピングしました。
- 「event.type」が「File Scan」の場合、「metadata.event_type」を「FILE_UNCATEGORIZED」にマッピングしました。
- 「event.type」が「File Deletion」の場合、「metadata.event_type」を「FILE_DELETION」にマッピングしました。
- 「event.type」が「File Rename」の場合、「metadata.event_type」を「FILE_MODIfICATION」にマッピングしました。
- 「event.type」が「Pre Execution Detection」の場合、「metadata.event_type」を「FILE_UNCATEGORIZED」にマッピングしました。
- 「event.type」が「Login」の場合、「metadata.event_type」を「USER_LOGIN」にマッピングしました。
- 「event.type」が「Logout」の場合、「metadata.event_type」を「USER_LOGOUT」にマッピングしました。
- 「event.type」が「GET」の場合、「metadata.event_type」を「NETWORK_HTTP」にマッピングしました。
- 「event.type」が「OPTIONS」の場合、「metadata.event_type」を「NETWORK_HTTP」にマッピングしました。
- 「event.type」が「POST」の場合、「metadata.event_type」を「NETWORK_HTTP」にマッピングしました。
- 「event.type」が「PUT」の場合、「metadata.event_type」を「NETWORK_HTTP」にマッピングしました。
- 「event.type」が「DELETE」の場合、「metadata.event_type」を「NETWORK_HTTP」にマッピングしました。
- 「event.type」が「CONNECT」の場合、「metadata.event_type」を「NETWORK_HTTP」にマッピングしました。
- 「event.type」が「HEAD」の場合、「metadata.event_type」を「NETWORK_HTTP」にマッピングしました。
- 「event.type」が「Not Reported」の場合、「metadata.event_type」を「STATUS_UNCATEGORIZED」にマッピングしました。
- 「event.type」が「DNS Resolved」の場合、「metadata.event_type」を「NETWORK_DNS」にマッピングしました。
- 「event.type」が「DNS Unresolved」の場合、「metadata.event_type」を「NETWORK_DNS」にマッピングしました。
- 「event.type」が「Task Register」の場合、「metadata.event_type」を「SCHEDULED_TASK_CREATION」にマッピングしました。
- 「event.type」が「Task Update」の場合、「metadata.event_type」を「SCHEDULED_TASK_MODIfICATION」にマッピングしました。
- 「event.type」が「Task Start」の場合、「metadata.event_type」を「SCHEDULED_TASK_UNCATEGORIZED」にマッピングしました。
- 「event.type」が「Task Trigger」の場合、「metadata.event_type」を「SCHEDULED_TASK_UNCATEGORIZED」にマッピングしました。
- 「event.type」が「Task Delete」の場合、「metadata.event_type」を「SCHEDULED_TASK_DELETION」にマッピングしました。
- 「event.type」が「Registry Key Create」の場合、「metadata.event_type」を「REGISTRY_CREATION」にマッピングしました。
- 「event.type」が「Registry Key Rename」の場合、「metadata.event_type」を「REGISTRY_MODIfICATION」にマッピングしました。
- 「event.type」が「Registry Key Delete」の場合、「metadata.event_type」を「REGISTRY_DELETION」にマッピングしました。
- 「event.type」が「Registry Key Export」の場合、「metadata.event_type」を「REGISTRY_UNCATEGORIZED」にマッピングしました。
- 「event.type」が「Registry Key Security Changed」の場合、「metadata.event_type」を「REGISTRY_MODIfICATION」にマッピングしました。
- 「event.type」が「Registry Key Import」の場合、「metadata.event_type」を「REGISTRY_CREATION」にマッピングしました。
- 「event.type」が「Registry Value ModIfied」の場合、「metadata.event_type」を「REGISTRY_MODIfICATION」にマッピングしました。
- 「event.type」が「Registry Value Create」の場合、「metadata.event_type」を「REGISTRY_CREATION」にマッピングしました。
- 「event.type」が「Registry Value Delete」の場合、「metadata.event_type」を「REGISTRY_DELETION」にマッピングしました。
- 「event.type」が「Behavioral Indicators」の場合、「metadata.event_type」を「SCAN_UNCATEGORIZED」にマッピングしました。
- 「event.type」が「Module Load」の場合、「metadata.event_type」を「PROCESS_MODULE_LOAD」にマッピングしました。
- 「event.type」が「Threat Intelligence Indicators」の場合、「metadata.event_type」を「SCAN_UNCATEGORIZED」にマッピングしました。
- 「event.type」が「Named Pipe Creation」の場合、「metadata.event_type」を「PROCESS_UNCATEGORIZED」にマッピングしました。
- 「event.type」が「Named Pipe Connection」の場合、「metadata.event_type」を「PROCESS_UNCATEGORIZED」にマッピングしました。
- 「event.type」が「Driver Load」の場合、「metadata.event_type」を「PROCESS_MODULE_LOAD」にマッピングしました。
2022-11-30
- 強化
- 次のフィールドをマッピングして、バージョン V2 で取り込まれたログをサポートするようにパーサーを強化しました。
- 「account.id」を「metadata.product_deployment_id」にマッピングしました。
- 「agent.uuid」を「principal.asset.asset_id」にマッピングしました。
- 「dst.ip.address」を「target.ip」にマッピングしました。
- 「src.ip.address」を「principal.ip」にマッピングしました。
- 「src.process.parent.image.sha1」を「principal.process.parent_process.file.sha1」にマッピングしました。
- 「src.process.parent.image.sha256」を「principal.process.parent_process.file.sha256」にマッピングしました。
- 「src.process.parent.image.path」を「principal.process.parent_process.file.full_path」にマッピングしました。
- 「src.process.parent.cmdline」を「principal.process.parent_process.command_line」にマッピングしました。
- 「src.process.parent.image.md5」を「principal.process.parent_process.file.md5」にマッピングしました。
- 「src.process.parent.pid」を「principal.process.parent_process.pid」にマッピングしました。
- 「src.process.image.sha1」を「principal.process.file.sha1」にマッピングしました。
- 「src.process.image.md5」を「principal.process.file.md5」にマッピングしました。
- 「src.process.pid」を「principal.process.pid」にマッピングしました。
- 「src.process.cmdline」を「principal.process.command_line」にマッピングしました。
- 「src.process.image.path」を「principal.process.file.full_path」にマッピングしました。
- 「src.process.image.sha256」を「principal.process.file.sha256」にマッピングしました。
- 「src.process.user」を「principal.user.user_display_name」にマッピングしました。
- 「src.process.uid」を「principal.user.userid」にマッピングしました。
- 「src.process.storyline.id」を「principal.process.product_specific_process_id」にマッピングしました。
- 「src.process.parent.storyline.id」を「principal.process.parent_process.product_specific_process_id」にマッピングしました。
- 「mgmt.url」を「target.url」にマッピングしました。
- 「site.id」を「principal.namespace」にマッピングしました。
- 「src.port.number」を「principal.port」にマッピングしました。
- 「dst.port.number」を「target.port」にマッピングしました。
- 「event_data.id」を「metadata.product_log_id」にマッピングしました。
2022-10-11
- 強化
- 「threatClassification」を「security_result.category_details」にマッピングしました。
- 「threatConfidenceLevel」と「threatMitigationStatus」を「security_result.detection_fields」にマッピングしました。
- 「Location」を「principal.location.name」にマッピングしました。
- 「data.filePath」を「principal.process.parent_process.file.full_path」にマッピングしました。
- マッピング(CAT 値)security_result.category_details を metadata.product_event_type に更新しました
2022-09-01
- 強化
- metadata.product_name を SentinelOne から Singularity に変更しました。
- 「event.regValue.key.value」を「target.registry.registry_value_name」にマッピングしました。
- 「principal_userid」を「principal.user.userid」にマッピングしました。
- 「principal_domain」を「principal.administrative_domain」にマッピングしました。
- 「threatInfo.threatId」を「security_result.threat_id」にマッピングしました
- 「threatInfo.identifiedAt」を「metadata.event_timestamp」にマッピングしました。
- 「threatInfo.threatId」を「metadata.product_log_id」にマッピングしました。
- 「security_result.alert_state」を「ALERTING」にマッピングしました。
- 「threatInfo.maliciousProcessArguments」を「security_result.description」にマッピングしました。
- 「threatInfo.threatName」を「security_result.threat_name」にマッピングしました。
- 「threatInfo.classification」を「security_result.category_details」にマッピングしました。
- threatInfo.classification がマルウェアの場合、「security_result.category」を「SOFTWARE_MALICIOUS」にマッピングし、それ以外の場合は「NETWORK_SUSPICIOUS」にマッピングしました。
- threatInfo.mitigationStatus が「mitigated」の場合、「security_result.action」を「ALLOW」にマッピングし、それ以外の場合は「BLOCK」にマッピングしました。
- 「threatInfo.mitigationStatus」を「security_result.action_details」にマッピングしました。
- 「threatInfo.classification threatInfo.classificationSource threatInfo.analystVerdictDescription threatInfo.threatName」を「security_result.summary」にマッピングしました。
- 「threatInfo.createdAt」を「metadata.collected_timestamp」にマッピングしました。
- 「agentRealtimeInfo.accountId」を「metadata.product_deployment_id」にマッピングしました。
- 「agentRealtimeInfo.agentVersion」を「metadata.product_version」にマッピングしました。
- 「indicator.category」を「detection_fields.key」に、「indicator.description」を「detection_fields.value」にマッピングしました。
- 「detectionEngines.key」を「detection_fields.key」に、「detectionEngines.title」を「detection_fields.value」にマッピングしました。
- 「meta.computerName」が null でない「metadata.event_type」を「SCAN_UNCATEGORIZED」にマッピングしました。
2022-07-21
- 強化
- event.source.executable.hashes.md5 を principal.process.file.md5 にマッピングしました。
- event.source.executable.hashes.sha256 を principal.process.file.sha256 にマッピングしました。
- event.source.executable.hashes.sha1 を principal.process.file.sha1 にマッピングしました。
- event.source.fullPid.pid を principal.process.pid にマッピングしました。
- event.source.user.name を principal.user.userid にマッピングしました。
- meta.agentVersion を metadata.product_version にマッピングしました。
- event.appName を target.application にマッピングしました。
- event.contentHash.sha256 を target.process.file.sha256 にマッピングしました。
- event.source.commandLine を target.process.command_line にマッピングしました。
- event.decodedContent を target.labels にマッピングしました。
- event.type が scripts の場合に、metadata.description を scripts から Command Scripts に変更しました。
- ベンダーを metadata.vendor_name にマッピングしました。
- data.fileContentHash を target.process.file.md5 にマッピングしました。
- data.ipAddress を principal.ip にマッピングしました。
- activityUuid を target.asset.product_object_id にマッピングしました。
- agentId を metadata.product_deployment_id にマッピングしました。
- user_email を principal.user.email_addresses にマッピングする前に、メール確認を追加しました。確認に失敗した場合は、principal.user.userid にマッピングされます。
- sourceIpAddresses を principal.ip にマッピングしました。
- accountName を principal.administrative_domain にマッピングしました。
- activityId を additional.fields にマッピングしました。
2022-07-15
- 機能拡張 - JSON 形式の新しいログを解析し、次の新しいフィールドをマッピングしました。
- 「metadata.product_name」を「SENTINEL_ONE」に変更。
- 「sourceParentProcessMd5」を「principal.process.parent_process.file.md5」に変更しました。
- 「sourceParentProcessPath」を「principal.process.parent_process.file.full_path」に変更。
- 「sourceParentProcessPid」を「principal.process.parent_process.pid」に変更。
- 「sourceParentProcessSha1」を「principal.process.parent_process.file.sha1」に変更。
- 「sourceParentProcessSha256」を「principal.process.parent_process.file.sha256」に変更しました。
- 「sourceParentProcessCmdArgs」を「principal.process.parent_process.command_line」に変更。
- 「sourceProcessCmdArgs」を「principal.process.command_line」にマッピングしました。
- 「sourceProcessMd5」を「principal.process.file.md5」に変更しました。
- 「sourceProcessPid」を「principal.process.pid」に変更しました。
- 「sourceProcessSha1」を「principal.process.file.sha1」に変更。
- 「sourceProcessSha256」を「principal.process.file.sha256」に変更しました。
- 「sourceProcessPath」を「principal.process.file.full_path」に変更。
- 「tgtFilePath」を「target.file.full_path」にマッピング。
- 「tgtFileHashSha256」を「target.file.sha256」に変更しました。
- 「tgtFileHashSha1」を「target.file.sha1」に変更。
- 「tgtProcUid」を「target.process.product_specific_process_id」に変更しました。
- 「tgtProcCmdLine」を「target.process.command_line」に変更。
- 「tgtProcPid」を「target.process.pid」に変更。
- 「tgtProcName」を「target.application」に変更。
- 「dstIp」を「target.ip」に変更しました。
- 「srcIp」を「principal.ip」にマッピングしました。
- 「dstPort」を「target.port」にマッピングしました。
- 「srcPort」を「principal.port」にマッピングしました。
- 「origAgentName」を「principal.hostname」に変更しました。
- 「agentIpV4」を「principal.ip」にマッピングしました。
- 「groupId」を「principal.user.group_identifiers」に変更。
- 「groupName」を「principal.user.group_display_name」にマッピングしました。
- 「origAgentVersion」を「principal.asset.software.version」にマッピングしました。
- 「origAgentOsFamily」を「principal.platform」に変更。
- 「origAgentOsName」を principal.asset.software.name」にマッピングしました。
- sourceEventType が FILEMODIFICATION の場合、「event_type」を「FILE_MODIFICATION」に変更しました。
- sourceEventType = FILEDELETION の場合、「event_type」を「FILE_DELETION」に変更しました。
- sourceEventType = PROCESSCREATION の場合に「event_type」を「PROCESS_LAUNCH」に変更。
- sourceEventType = TCPV4 の場合に「event_type」を「NETWORK_CONNECTION」に変更しました。
2022-06-13
- 強化
- for [event][type] == "fileCreation" and [event][type] == "fileDeletion"
- 「event.targetFile.path」を「target.file.full_path」にマッピングしました。
- 「event.targetFile.hashes.md5」を「target.process.file.md5」にマッピングしました。
- 「event.targetFile.hashes.sha1」を「target.process.file.sha1」にマッピングしました。
- 「event.targetFile.hashes.sha256」を「target.process.file.sha256」にマッピングしました。
- for [event][type] == "fileModification"
- 「event.file.path」を「target.file.full_path」にマッピングしました。
- 「event.file.hashes.md5」を「target.process.file.md5」にマッピングしました。
- 「event.file.hashes.sha1」を「target.process.file.sha1」にマッピングしました。
- 「event.file.hashes.sha256」を「target.process.file.sha256」にマッピングしました。
2022-04-18
- 未解析の未加工ログをすべて処理するようにパーサーを強化しました。