Coletar registros do EDR do SentinelOne

Compatível com:

Este documento explica como exportar registros do SentinelOne para o Google Cloud Storage usando o SentinelOne Cloud Funnel. Como o SentinelOne não oferece uma integração integrada para exportar registros diretamente para o Google Cloud Storage, o Cloud Funnel atua como um serviço intermediário para enviar registros ao Cloud Storage.

Antes de começar

  • Verifique se você tem uma instância do Google SecOps.
  • Verifique se você tem acesso privilegiado à plataforma Google Cloud .
  • Verifique se você tem acesso privilegiado ao SentinelOne.

Configurar as permissões do funil do Cloud para acessar o Cloud Storage

  1. Faça login no console do Google Cloud.
  2. Acesse IAM e administrador.
  3. Na página IAM, adicione uma nova função do IAM à conta de serviço do Cloud Funnel:
    • Atribua permissões de Criador de objetos do Storage.
    • Opcional: atribua Leitor de objetos do Storage se você precisar que o Cloud Funnel leia objetos do bucket.
  4. Conceda essas permissões à conta de serviço do Cloud Funnel.

Crie um bucket do Cloud Storage

  1. Faça login no console do Google Cloud.
  2. Acesse Armazenamento > Navegador.
  3. Clique em Criar bucket.
  4. Forneça as seguintes configurações:
    • Nome do bucket: escolha um nome exclusivo para o bucket (por exemplo, sentinelone-logs).
    • Local de armazenamento: selecione a região em que o bucket vai ficar (por exemplo, US-West1).
    • Classe de armazenamento: escolha uma classe de armazenamento padrão.
  5. Clique em Criar.

Configurar o funil do Cloud no SentinelOne

  1. No console do SentinelOne, acesse Configurações.
  2. Localize a opção Funil do Cloud (em Integrações).
  3. Se ainda não estiver ativado, clique em Ativar funil do Cloud.
  4. Depois de ativar, você vai precisar configurar as definições de Destino.
    • Seleção de destino: escolha o Google Cloud Storage como destino para exportar registros.
    • Google Cloud Storage: forneça as credenciais do Google Cloud Storage.
    • Frequência de exportação de registros: defina a frequência para exportar registros (por exemplo, a cada hora ou dia).

Configurar a exportação de registros do funil do Cloud

  1. Na seção Configuração do funil do Cloud do console do SentinelOne, defina o seguinte:
    • Frequência de exportação de registros: escolha com que frequência os registros serão exportados (por exemplo, a cada hora ou dia).
    • Formato do registro: escolha o formato JSON.
    • Nome do bucket: insira o nome do bucket do Google Cloud Storage que você criou anteriormente (por exemplo, sentinelone-logs).
    • Opcional: Prefixo do caminho de registro: especifique um prefixo para organizar os registros no bucket (por exemplo, sentinelone-logs/).
  2. Depois de configurar as configurações, clique em Salvar para aplicar as mudanças.

Configurar um feed no Google SecOps para ingerir os registros do Sentinel EDR

  1. Acesse Configurações do SIEM > Feeds.
  2. Clique em Adicionar novo.
  3. No campo Nome do feed, insira um nome para o feed (por exemplo, Logs do Sentinel EDR).
  4. Selecione Google Cloud Storage como o Tipo de origem.
  5. Selecione Sentinel EDR como o Tipo de registro.
  6. Clique em Pegar conta de serviço como a Conta de serviço do Chronicle.
  7. Clique em Próxima.

  8. Especifique valores para os seguintes parâmetros de entrada:

    • URI do bucket do Storage: URL do bucket do Cloud Storage no formato gs://my-bucket/<value>.
    • URI Is A: selecione Directory which includes subdirectories.

    • Opções de exclusão da origem: selecione a opção de exclusão de acordo com sua preferência.

    • Namespace de recursos: o namespace de recursos.

    • Rótulos de ingestão: o rótulo aplicado aos eventos desse feed.

  9. Clique em Próxima.

  10. Revise a configuração do novo feed na tela Finalizar e clique em Enviar.

Tabela de mapeamento da UDM

Campo de registro Mapeamento do UDM Lógica
event.contentHash.sha256 target.process.file.sha256 O hash SHA-256 do arquivo do processo de destino, extraído do campo event.contentHash.sha256 no registro bruto.
event.decodedContent target.labels O conteúdo decodificado de um script, extraído do campo event.decodedContent no registro bruto. Ele é adicionado como um rótulo com a chave Decoded Content ao objeto de destino.
event.destinationAddress.address target.ip O endereço IP do destino, extraído do campo event.destinationAddress.address no registro bruto.
event.destinationAddress.port target.port A porta do destino, extraída do campo event.destinationAddress.port no registro bruto.
event.method network.http.method O método HTTP do evento, extraído do campo event.method no registro bruto.
event.newValueData target.registry.registry_value_data Os novos dados de valor do valor do registro, extraídos do campo event.newValueData no registro bruto.
event.process.commandLine target.process.command_line A linha de comando do processo, extraída do campo event.process.commandLine no registro bruto.
event.process.executable.hashes.md5 target.process.file.md5 O hash MD5 do executável do processo, extraído do campo event.process.executable.hashes.md5 no registro bruto.
event.process.executable.hashes.sha1 target.process.file.sha1 O hash SHA-1 do executável do processo, extraído do campo event.process.executable.hashes.sha1 no registro bruto.
event.process.executable.hashes.sha256 target.process.file.sha256 O hash SHA-256 do executável do processo, extraído do campo event.process.executable.hashes.sha256 no registro bruto.
event.process.executable.path target.process.file.full_path O caminho completo do executável do processo, extraído do campo event.process.executable.path no registro bruto.
event.process.executable.sizeBytes target.process.file.size O tamanho do executável do processo, extraído do campo event.process.executable.sizeBytes no registro bruto.
event.process.fullPid.pid target.process.pid O PID do processo, extraído do campo event.process.fullPid.pid no registro bruto.
event.query network.dns.questions.name A consulta DNS, extraída do campo event.query no registro bruto.
event.regKey.path target.registry.registry_key O caminho da chave de registro, extraído do campo event.regKey.path no registro bruto.
event.regValue.key.value target.registry.registry_name, target.registry.registry_value_name O nome do valor do registro, extraído do campo event.regValue.key.value no registro bruto.
event.regValue.path target.registry.registry_key O caminho do valor do registro, extraído do campo event.regValue.path no registro bruto.
event.results network.dns.answers.data As respostas do DNS, extraídas do campo event.results no registro bruto. Os dados são divididos em respostas individuais usando o separador ";".
event.source.commandLine principal.process.command_line A linha de comando do processo de origem, extraída do campo event.source.commandLine no registro bruto.
event.source.executable.hashes.md5 principal.process.file.md5 O hash MD5 do executável do processo de origem, extraído do campo event.source.executable.hashes.md5 no registro bruto.
event.source.executable.hashes.sha1 principal.process.file.sha1 O hash SHA-1 do executável do processo de origem, extraído do campo event.source.executable.hashes.sha1 no registro bruto.
event.source.executable.hashes.sha256 principal.process.file.sha256 O hash SHA-256 do executável do processo de origem, extraído do campo event.source.executable.hashes.sha256 no registro bruto.
event.source.executable.path principal.process.file.full_path O caminho completo do executável do processo de origem, extraído do campo event.source.executable.path no registro bruto.
event.source.executable.signature.signed.identity principal.resource.attribute.labels A identidade assinada do executável do processo de origem, extraída do campo event.source.executable.signature.signed.identity no registro bruto. Ele é adicionado como um rótulo com a chave Source Signature Signed Identity aos rótulos de atributo de recurso principal.
event.source.executable.sizeBytes principal.process.file.size O tamanho do executável do processo de origem, extraído do campo event.source.executable.sizeBytes no registro bruto.
event.source.fullPid.pid principal.process.pid O PID do processo de origem, extraído do campo event.source.fullPid.pid no registro bruto.
event.source.parent.commandLine principal.process.parent_process.command_line A linha de comando do processo pai de origem, extraída do campo event.source.parent.commandLine no registro bruto.
event.source.parent.executable.hashes.md5 principal.process.parent_process.file.md5 O hash MD5 do executável do processo pai de origem, extraído do campo event.source.parent.executable.hashes.md5 no registro bruto.
event.source.parent.executable.hashes.sha1 principal.process.parent_process.file.sha1 O hash SHA-1 do executável do processo pai de origem, extraído do campo event.source.parent.executable.hashes.sha1 no registro bruto.
event.source.parent.executable.hashes.sha256 principal.process.parent_process.file.sha256 O hash SHA-256 do executável do processo pai de origem, extraído do campo event.source.parent.executable.hashes.sha256 no registro bruto.
event.source.parent.executable.signature.signed.identity principal.resource.attribute.labels A identidade assinada do executável do processo pai de origem, extraída do campo event.source.parent.executable.signature.signed.identity no registro bruto. Ele é adicionado como um rótulo com a chave Source Parent Signature Signed Identity aos rótulos de atributo de recurso principal.
event.source.parent.fullPid.pid principal.process.parent_process.pid O PID do processo pai de origem, extraído do campo event.source.parent.fullPid.pid no registro bruto.
event.source.user.name principal.user.userid O nome de usuário do usuário do processo de origem, extraído do campo event.source.user.name no registro bruto.
event.source.user.sid principal.user.windows_sid O SID do Windows do usuário do processo de origem, extraído do campo event.source.user.sid no registro bruto.
event.sourceAddress.address principal.ip O endereço IP da origem, extraído do campo event.sourceAddress.address no registro bruto.
event.sourceAddress.port principal.port A porta da origem, extraída do campo event.sourceAddress.port no registro bruto.
event.target.executable.hashes.md5 target.process.file.md5 O hash MD5 do executável do processo de destino, extraído do campo event.target.executable.hashes.md5 no registro bruto.
event.target.executable.hashes.sha1 target.process.file.sha1 O hash SHA-1 do executável do processo de destino, extraído do campo event.target.executable.hashes.sha1 no registro bruto.
event.target.executable.hashes.sha256 target.process.file.sha256 O hash SHA-256 do executável do processo de destino, extraído do campo event.target.executable.hashes.sha256 no registro bruto.
event.target.executable.path target.process.file.full_path O caminho completo do executável do processo de destino, extraído do campo event.target.executable.path no registro bruto.
event.target.executable.signature.signed.identity target.resource.attribute.labels A identidade assinada do executável do processo de destino, extraída do campo event.target.executable.signature.signed.identity no registro bruto. Ele é adicionado como um rótulo com a chave Target Signature Signed Identity aos rótulos de atributo do recurso de destino.
event.target.executable.sizeBytes target.process.file.size O tamanho do executável do processo de destino, extraído do campo event.target.executable.sizeBytes no registro bruto.
event.target.fullPid.pid target.process.pid O PID do processo de destino, extraído do campo event.target.fullPid.pid no registro bruto.
event.targetFile.path target.file.full_path O caminho completo do arquivo de destino, extraído do campo event.targetFile.path no registro bruto.
event.targetFile.signature.signed.identity target.resource.attribute.labels A identidade assinada do arquivo de destino, extraída do campo event.targetFile.signature.signed.identity no registro bruto. Ele é adicionado como um rótulo com a chave Target File Signature Signed Identity aos rótulos de atributo do recurso de destino.
event.trueContext.key.value Não mapeados para a UDM.
event.type metadata.description O tipo do evento, extraído do campo event.type no registro bruto.
event.url target.url O URL do evento, extraído do campo event.url no registro bruto.
meta.agentVersion metadata.product_version, metadata.product_version A versão do agente, extraída do campo meta.agentVersion no registro bruto.
meta.computerName principal.hostname, target.hostname O nome do host do computador, extraído do campo meta.computerName no registro bruto.
meta.osFamily principal.asset.platform_software.platform, target.asset.platform_software.platform A família do sistema operacional do computador, extraída do campo meta.osFamily no registro bruto. Ele é mapeado para LINUX para linux e WINDOWS para windows.
meta.osRevision principal.asset.platform_software.platform_version, target.asset.platform_software.platform_version A revisão do sistema operacional do computador, extraída do campo meta.osRevision no registro bruto.
meta.traceId metadata.product_log_id O ID do trace do evento, extraído do campo meta.traceId no registro bruto.
meta.uuid principal.asset.product_object_id, target.asset.product_object_id O UUID do computador, extraído do campo meta.uuid no registro bruto.
metadata_event_type metadata.event_type O tipo do evento, definido pela lógica do analisador com base no campo event.type.
metadata_product_name metadata.product_name O nome do produto, definido como Singularity XDR pela lógica do analisador.
metadata_vendor_name metadata.vendor_name O nome do fornecedor, definido como SentinelOne pela lógica do analisador.
network_application_protocol network.application_protocol O protocolo do aplicativo da conexão de rede, definido como DNS para eventos DNS pela lógica do analisador.
network_dns_questions.name network.dns.questions.name O nome da consulta DNS, extraído do campo event.query no registro bruto.
network_direction network.direction A direção da conexão de rede, definida como OUTBOUND para conexões de saída e INBOUND para conexões de entrada pela lógica do analisador.
network_http_method network.http.method O método HTTP do evento, extraído do campo event.method no registro bruto.
principal.process.command_line target.process.command_line A linha de comando do processo principal, extraída do campo principal.process.command_line e mapeada para a linha de comando do processo de destino.
principal.process.file.full_path target.process.file.full_path O caminho completo do arquivo do processo principal, extraído do campo principal.process.file.full_path e mapeado para o caminho completo do arquivo do processo de destino.
principal.process.file.md5 target.process.file.md5 O hash MD5 do arquivo do processo principal, extraído do campo principal.process.file.md5 e mapeado para o MD5 do arquivo do processo de destino.
principal.process.file.sha1 target.process.file.sha1 O hash SHA-1 do arquivo do processo principal, extraído do campo principal.process.file.sha1 e mapeado para o SHA-1 do arquivo do processo de destino.
principal.process.file.sha256 target.process.file.sha256 O hash SHA-256 do arquivo do processo principal, extraído do campo principal.process.file.sha256 e mapeado para o SHA-256 do arquivo do processo de destino.
principal.process.file.size target.process.file.size O tamanho do arquivo do processo principal, extraído do campo principal.process.file.size e mapeado para o tamanho do arquivo do processo de destino.
principal.process.pid target.process.pid O PID do processo principal, extraído do campo principal.process.pid e mapeado para o PID do processo de destino.
principal.user.userid target.user.userid O ID do usuário do principal, extraído do campo principal.user.userid e mapeado para o ID do usuário de destino.
principal.user.windows_sid target.user.windows_sid O SID do Windows do principal, extraído do campo principal.user.windows_sid e mapeado para o SID do Windows do usuário de destino.

Alterações

2024-07-29

Melhoria:

  • Se registry.keyPath ou registry.value não for nulo, mapeie apenas metadata.event_type para REGISTRY_CREATION.

2024-07-23

Melhoria:

  • agentDetectionInfo.agentOsName foi mapeado para target.platform_version.
  • agentDetectionInfo.agentLastLoggedInUserName foi mapeado para target.user.userid.

2024-07-09

Correção de bug:

  • O mapeamento de suser foi alterado de principal.user.userid para target.user.userid.
  • O mapeamento de suser foi alterado de principal.user.user_display_name para target.user.user_display_name.
  • O mapeamento de accountId foi removido de target.user.userid.
  • prin_user foi mapeado para principal.user.userid.

2024-06-03

Melhoria:

  • suser foi mapeado para principal.user.userid.
  • accountId foi mapeado para target.user.userid.
  • MessageSourceAddress foi mapeado para principal.ip.
  • machine_host foi mapeado para principal.hostname.

2024-05-20

Melhoria:

  • event.dns.response foi mapeado para network.dns.answers.data.

2024-05-06

Melhoria:

  • Adição de suporte a um novo padrão de registros JSON.

2024-03-22

Melhoria:

  • Foi adicionado um novo padrão Grok para analisar o novo formato de registros KV separados por tabulação.
  • osName foi mapeado para src.platform.

2024-03-15

Melhoria:

  • site.id:account.id:agent.uuid:tgt.process.uid foi mapeado para target.process.product_specific_process_id.
  • site.id:account.id:agent.uuid:src.process.uid foi mapeado para principal.process.product_specific_process_id.
  • site.id:account.id:agent.uuid:src.process.parent.uid foi mapeado para principal.process.parent_process.product_specific_process_id.
  • src.process.cmdline foi removido do mapeamento para target.process.command_line.

2023-11-09

  • Corrigir:
  • tgt.process.user foi mapeado para target.user.userid.

2023-10-30

  • Corrigir:
  • Foi adicionada uma verificação não nula ao mapeamento anterior principal_port para o UDM.
  • Quando event.category é url e meta.event.name é HTTP, metadata.event_type é mapeado para NETWORK_HTTP.

2023-09-06

  • Mapeamento de tgt.process.storyline.id adicionado a security_result.about.resource.attribute.labels.
  • O mapeamento de src.process.storyline.id foi modificado de principal.process.product_specific_process_id para security_result.about.resource.attribute.labels.
  • O mapeamento de src.process.parent.storyline.id foi modificado de principal.parent.process.product_specific_process_id para security_result.about.resource.attribute.labels.

2023-08-31

  • indicator.category foi mapeado para security_result.category_details.

2023-08-03

  • event_data.login.loginIsSuccessful foi inicializado como nulo.
  • Mapeou module.path para target.process.file.full_path e target.file.full_path, em que event.type é Module Load.
  • Mapeou module.sha1 para target.process.file.sha1 e target.file.sha1, em que event.type é Module Load.
  • Mapeou metadata.event_type para PROCESS_MODULE_LOAD, em que event.type é Module Load.
  • Mapeou registry.keyPath para target.registry.registry_key para eventos REGISTRY_*.
  • Mapeou registry.value para target.registry.registry_value_data para eventos REGISTRY_*.
  • event.network.protocolName foi mapeado para network.application_protocol.
  • Mapeou principal.platform, principal.asset.platform_software.platform para LINUX se endpoint.os for linux.
  • Mapeou event.login.userName para target.user.userid quando event.type é Login ou Logout.
  • Mapeou target.hostname ao receber o nome do host de url.address quando event.type é GET, OPTIONS, POST, PUT, DELETE, CONNECT, HEAD.

2023-06-09

  • osSrc.process.parent.publisher foi mapeado para principal.resource.attribute.labels.
  • src.process.rUserName/src.process.eUserName/src.process.lUserName foi mapeado para principal.user.user_display_name.
  • Adição de verificação aos campos: src.process.eUserId, src.process.lUserId, tgt.process.rUserUid antes do mapeamento para o UDM.
  • Mapeamos tgt.file.location, registry.valueFullSize e registry.valueType para target.resource.attribute.labels.
  • indicator.description foi mapeado para security_result.summary.
  • Mapeou metadata.event_type para SCAN_NETWORK, em que event.type é Behavioral Indicators.
  • Mapeou metadata.event_type para SCAN_UNCATEGORIZED, em que event.type é Command Script.
  • Campos inicializados meta.osFamily, meta.osRevision, event.type.
  • Adição de ISO8601 ao filtro de data para o carimbo de data/hora ISO8601 do analisador.
  • Adição de on_error à conversão de string @timestamp.
  • Adicionamos on_error ao mapeamento anterior meta.uuid.

2023-05-25

  • event.source.commandLine foi mapeado para principal.process.command_line.
  • event.source.executable.path foi mapeado para principal.process.file.full_path.
  • Defina metadata.event_type como PROCESS_OPEN, em que event.type é openProcess.
  • Mapeou site.name:site.id para principal.namespace se site.name e site.id não forem nulos.
  • event.network.direction foi mapeado para network.direction.
  • meta.event.name foi mapeado para metadata.description.
  • task.name foi mapeado para target.resource.name.
  • agent.uuid foi mapeado para principal.asset.product_object_id.
  • src.process.publisher foi mapeado para principal.resource.attribute.labels.
  • src.process.cmdline foi mapeado para target.process.command_line.
  • mgmt.osRevision foi mapeado para principal.asset.platform_software.platform_version.
  • security_result.category mapeado de acordo com o valor de indicator.category.
  • event.dns.response foi mapeado para network.dns.answers.
  • registry.keyPath foi mapeado para target.registry.registry_key.
  • event.id foi mapeado para target.registry.registry_value_name.

2023-04-27

  • Mapeou event.type para metadata.product_event_type nos registros do Cloud Funnel v2.

2023-04-20

Melhoria:

  • Adição de verificação condicional de nulos e "-" para o campo data.ipAddress.
  • Foi adicionada uma verificação condicional de grok para o campo sourceMacAddresses.

2023-03-02

Melhoria:

  • Quando (event.type == tcpv4 e event.direction == INCOMING) ou event.type contém (processExit|processTermination|processModification|duplicate), o event.source.executable.signature.signed.identity é mapeado para target.resource.attribute.labels. Caso contrário, ele é mapeado para principal.resource.attribute.labels.
  • event.parent.executable.signature.signed.identity mapeado, event.process.executable.signature.signed.identity toprincipal.resource.attribute.labels,.
  • Mapeamos event.targetFile.signature.signed.identity, event.target.executable.signature.signed.identity e event.target.parent.executable.signature.signed.identity para target.resource.attribute.labels.

2023-02-24

Correção de bugs:

  • O código foi refatorizado para diferenciar claramente as versões do registro.
  • Para os logs do funil v2 do usuário USER_LOGIN, os detalhes de event.login.lognIsSuccessful foram mapeados para security_result.action e security_result.summary

2023-02-13

Correção de bugs:

  • Os registros do funil de nuvem v1 foram analisados conforme necessário.
  • Mapeamento de todos os registros HTTP para NETWORK_HTTP.
  • O campo de URL de NETWORK_HTTP precisa ser mapeado para target.url em vez de metadata.url_back_to_product.

2023-01-20

Melhoria:

  • Mapeou o campo "event.url" para "target.hostname" e "target.url".
  • Mapeamos "metadata.event_type" para "NETWORK_HTTP", em que "event.type" == "http".

2023-01-16

Correção de bugs:

  • Mapeou mgmt.url para metadata.url_back_to_product em vez de target.url.
  • site.name foi mapeado para principal.location.name.
  • src.process.rUserUid foi mapeado para principal.user.userid.
  • src.process.eUserId foi mapeado para principal.user.userid.
  • src.process.lUserId foi mapeado para principal.user.userid.
  • src.process.parent.rUserUid foi mapeado para metadata.ingestion_labels.
  • src.process.parent.eUserId foi mapeado para metadata.ingestion_labels.
  • src.process.parent.lUserId foi mapeado para metadata.ingestion_labels.
  • tgt.process.rUserUid foi mapeado para target.user.userid.
  • tgt.process.eUserId foi mapeado para target.user.userid.
  • tgt.process.lUserId foi mapeado para target.user.userid.
  • Se event.type for Process Creation mapeado metadata.event_type para PROCESS_LAUNCH.
  • Se event.type for Duplicate Process Handle mapeado metadata.event_type para PROCESS_OPEN.
  • Se event.type for Duplicate Thread Handle mapeado metadata.event_type para PROCESS_OPEN.
  • Se event.type for Open Remote Process Handle mapeado metadata.event_type para PROCESS_OPEN.
  • Se event.type for Remote Thread Creation mapeado metadata.event_type para PROCESS_LAUNCH.
  • Se event.type for Command Script mapeado metadata.event_type para FILE_UNCATEGORIZED.
  • Se event.type for IP Connect mapeado metadata.event_type para NETWORK_CONNECTION.
  • Se event.type for IP Listen mapeado metadata.event_type para NETWORK_UNCATEGORIZED.
  • Se event.type for File ModIfication mapeado metadata.event_type para FILE_MODIfICATION.
  • Se event.type for File Creation mapeado metadata.event_type para FILE_CREATION.
  • Se event.type for File Scan mapeado metadata.event_type para FILE_UNCATEGORIZED.
  • Se event.type for File Deletion mapeado metadata.event_type para FILE_DELETION.
  • Se event.type for File Rename mapeado metadata.event_type para FILE_MODIfICATION.
  • Se event.type for Pre Execution Detection mapeado metadata.event_type para FILE_UNCATEGORIZED.
  • Se event.type for Login mapeado metadata.event_type para USER_LOGIN.
  • Se event.type for Logout mapeado metadata.event_type para USER_LOGOUT.
  • Se event.type for GET mapeado metadata.event_type para NETWORK_HTTP.
  • Se event.type for OPTIONS mapeado metadata.event_type para NETWORK_HTTP.
  • Se event.type for POST mapeado metadata.event_type para NETWORK_HTTP.
  • Se event.type for PUT mapeado metadata.event_type para NETWORK_HTTP.
  • Se event.type for DELETE mapeado metadata.event_type para NETWORK_HTTP.
  • Se event.type for CONNECT mapeado metadata.event_type para NETWORK_HTTP.
  • Se event.type for HEAD mapeado metadata.event_type para NETWORK_HTTP.
  • Se event.type for Not Reported mapeado metadata.event_type para STATUS_UNCATEGORIZED.
  • Se event.type for DNS Resolved mapeado metadata.event_type para NETWORK_DNS.
  • Se event.type for DNS Unresolved mapeado metadata.event_type para NETWORK_DNS.
  • Se event.type for Task Register mapeado metadata.event_type para SCHEDULED_TASK_CREATION.
  • Se event.type for Task Update mapeado metadata.event_type para SCHEDULED_TASK_MODIfICATION.
  • Se event.type for Task Start mapeado metadata.event_type para SCHEDULED_TASK_UNCATEGORIZED.
  • Se event.type for Task Trigger mapeado metadata.event_type para SCHEDULED_TASK_UNCATEGORIZED.
  • Se event.type for Task Delete mapeado metadata.event_type para SCHEDULED_TASK_DELETION.
  • Se event.type for Registry Key Create mapeado metadata.event_type para REGISTRY_CREATION.
  • Se event.type for Registry Key Rename mapeado metadata.event_type para REGISTRY_MODIfICATION.
  • Se event.type for Registry Key Delete mapeado metadata.event_type para REGISTRY_DELETION.
  • Se event.type for Registry Key Export mapeado metadata.event_type para REGISTRY_UNCATEGORIZED.
  • Se event.type for Registry Key Security Changed mapeado metadata.event_type para REGISTRY_MODIfICATION.
  • Se event.type for Registry Key Import mapeado metadata.event_type para REGISTRY_CREATION.
  • Se event.type for Registry Value ModIfied mapeado metadata.event_type para REGISTRY_MODIfICATION.
  • Se event.type for Registry Value Create mapeado metadata.event_type para REGISTRY_CREATION.
  • Se event.type for Registry Value Delete mapeado metadata.event_type para REGISTRY_DELETION.
  • Se event.type for Behavioral Indicators mapeado metadata.event_type para SCAN_UNCATEGORIZED.
  • Se event.type for Module Load mapeado metadata.event_type para PROCESS_MODULE_LOAD.
  • Se event.type for Threat Intelligence Indicators mapeado metadata.event_type para SCAN_UNCATEGORIZED.
  • Se event.type for Named Pipe Creation mapeado metadata.event_type para PROCESS_UNCATEGORIZED.
  • Se event.type for Named Pipe Connection mapeado metadata.event_type para PROCESS_UNCATEGORIZED.
  • Se event.type for Driver Load mapeado metadata.event_type para PROCESS_MODULE_LOAD.

2022-11-30

Melhoria:

  • Melhoramos o analisador para oferecer suporte aos registros ingeridos na versão V2 mapeando os seguintes campos:
  • account.id foi mapeado para metadata.product_deployment_id.
  • agent.uuid foi mapeado para principal.asset.asset_id.
  • dst.ip.address foi mapeado para target.ip.
  • src.ip.address foi mapeado para principal.ip.
  • src.process.parent.image.sha1 foi mapeado para principal.process.parent_process.file.sha1.
  • src.process.parent.image.sha256 foi mapeado para principal.process.parent_process.file.sha256.
  • src.process.parent.image.path foi mapeado para principal.process.parent_process.file.full_path.
  • src.process.parent.cmdline foi mapeado para principal.process.parent_process.command_line.
  • src.process.parent.image.md5 foi mapeado para principal.process.parent_process.file.md5.
  • src.process.parent.pid foi mapeado para principal.process.parent_process.pid.
  • src.process.image.sha1 foi mapeado para principal.process.file.sha1.
  • src.process.image.md5 foi mapeado para principal.process.file.md5.
  • src.process.pid foi mapeado para principal.process.pid.
  • src.process.cmdline foi mapeado para principal.process.command_line.
  • src.process.image.path foi mapeado para principal.process.file.full_path.
  • src.process.image.sha256 foi mapeado para principal.process.file.sha256.
  • src.process.user foi mapeado para principal.user.user_display_name.
  • src.process.uid foi mapeado para principal.user.userid.
  • src.process.storyline.id foi mapeado para principal.process.product_specific_process_id.
  • src.process.parent.storyline.id foi mapeado para principal.process.parent_process.product_specific_process_id.
  • mgmt.url foi mapeado para target.url.
  • site.id foi mapeado para principal.namespace.
  • src.port.number foi mapeado para principal.port.
  • dst.port.number foi mapeado para target.port.
  • event_data.id foi mapeado para metadata.product_log_id.

2022-10-11

Melhoria:

  • threatClassification foi mapeado para security_result.category_details.
  • Mapeamento de threatConfidenceLevel e threatMitigationStatus para security_result.detection_fields.
  • Location foi mapeado para principal.location.name.
  • data.filePath foi mapeado para principal.process.parent_process.file.full_path.
  • O mapeamento (valor de CAT) security_result.category_details foi atualizado para metadata.product_event_type.

2022-09-01

Melhoria:

  • O nome do produto metadata.product_name foi alterado de SentinelOne para Singularity.
  • event.regValue.key.value foi mapeado para target.registry.registry_value_name.
  • principal_userid foi mapeado para principal.user.userid.
  • principal_domain foi mapeado para principal.administrative_domain.
  • Mapeou threatInfo.threatId para security_result.threat_id
  • threatInfo.identifiedAt foi mapeado para metadata.event_timestamp.
  • threatInfo.threatId foi mapeado para metadata.product_log_id.
  • security_result.alert_state foi mapeado para ALERTING.
  • threatInfo.maliciousProcessArguments foi mapeado para security_result.description.
  • threatInfo.threatName foi mapeado para security_result.threat_name.
  • threatInfo.classification foi mapeado para security_result.category_details.
  • security_result.category foi mapeado para SOFTWARE_MALICIOUS, em que threatInfo.classification é malicioso, caso contrário, para NETWORK_SUSPICIOUS.
  • security_result.action foi mapeado para ALLOW, em que threatInfo.mitigationStatus é mitigado, caso contrário, para BLOCK.
  • threatInfo.mitigationStatus foi mapeado para security_result.action_details.
  • threatInfo.classification threatInfo.classificationSource threatInfo.analystVerdictDescription threatInfo.threatName foi mapeado para security_result.summary.
  • threatInfo.createdAt foi mapeado para metadata.collected_timestamp.
  • agentRealtimeInfo.accountId foi mapeado para metadata.product_deployment_id.
  • agentRealtimeInfo.agentVersion foi mapeado para metadata.product_version.
  • indicator.category foi mapeado como detection_fields.key e indicator.description como detection_fields.value.
  • Mapeamento de detectionEngines.key para detection_fields.key e detectionEngines.title para detection_fields.value.
  • Mapeou metadata.event_type para SCAN_UNCATEGORIZED, em que meta.computerName não é nulo.

2022-07-21

Melhoria:

  • O evento event.source.executable.hashes.md5 foi mapeado para principal.process.file.md5.
  • O mapeamento de event.source.executable.hashes.sha256 para principal.process.file.sha256.
  • O mapeamento de event.source.executable.hashes.sha1 para principal.process.file.sha1.
  • O event.source.fullPid.pid foi mapeado para principal.process.pid.
  • O mapeamento de event.source.user.name para principal.user.userid.
  • Mapeamento de meta.agentVersion para metadata.product_version.
  • O event.appName foi associado a target.application.
  • O mapeamento de event.contentHash.sha256 para target.process.file.sha256.
  • O event.source.commandLine foi mapeado para target.process.command_line.
  • Mapeamos event.decodedContent para target.labels.
  • A metadata.description foi alterada de "scripts" para "Command Scripts", em que event.type é "scripts".
  • Mapeou o fornecedor para metadata.vendor_name.
  • O mapeamento de data.fileContentHash para target.process.file.md5.
  • Mapeou data.ipAddress para principal.ip.
  • Mapeou activityUuid para target.asset.product_object_id.
  • O agente ID foi mapeado para metadata.product_deployment_id.
  • Adição da verificação de e-mail para user_email antes de mapear para principal.user.email_addresses. Se não for possível, o mapeamento será feito para principal.user.userid.
  • sourceIpAddresses mapeados para principal.ip.
  • O accountName foi mapeado para principal.administrative_domain.
  • activityId mapeado para additional.fields.

2022-07-15

Melhoria:

  • Analisou os novos registros com formato JSON e mapeou os seguintes campos:
  • metadata.product_name para SENTINEL_ONE.
  • sourceParentProcessMd5 para principal.process.parent_process.file.md5.
  • sourceParentProcessPath para principal.process.parent_process.file.full_path.
  • sourceParentProcessPid para principal.process.parent_process.pid.
  • sourceParentProcessSha1 para principal.process.parent_process.file.sha1.
  • sourceParentProcessSha256 para principal.process.parent_process.file.sha256.
  • sourceParentProcessCmdArgs para principal.process.parent_process.command_line.
  • sourceProcessCmdArgs para principal.process.command_line.
  • sourceProcessMd5 para principal.process.file.md5.
  • sourceProcessPid para principal.process.pid.
  • sourceProcessSha1 para principal.process.file.sha1.
  • sourceProcessSha256 para principal.process.file.sha256.
  • sourceProcessPath para principal.process.file.full_path.
  • tgtFilePath para target.file.full_path.
  • tgtFileHashSha256 para target.file.sha256.
  • tgtFileHashSha1 para target.file.sha1.
  • tgtProcUid para target.process.product_specific_process_id.
  • tgtProcCmdLine para target.process.command_line.
  • tgtProcPid para target.process.pid.
  • tgtProcName para target.application.
  • dstIp para target.ip.
  • srcIp para principal.ip.
  • dstPort para target.port.
  • srcPort para principal.port.
  • origAgentName para principal.hostname.
  • agentIpV4 para principal.ip.
  • groupId para principal.user.group_identifiers.
  • groupName para principal.user.group_display_name.
  • origAgentVersion para principal.asset.software.version.
  • origAgentOsFamily para principal.platform.
  • origAgentOsName para principal.asset.software.name`.
  • event_type para FILE_MODIFICATION quando sourceEventType = FILEMODIFICATION.
  • event_type para FILE_DELETION quando sourceEventType = FILEDELETION.
  • event_type para PROCESS_LAUNCH quando sourceEventType = PROCESSCREATION.
  • event_type para NETWORK_CONNECTION quando sourceEventType = TCPV4.

2022-06-13

Melhoria:

  • for [event][type] == fileCreation and [event][type] == fileDeletion
  • event.targetFile.path foi mapeado para target.file.full_path.
  • event.targetFile.hashes.md5 foi mapeado para target.process.file.md5.
  • event.targetFile.hashes.sha1 foi mapeado para target.process.file.sha1.
  • event.targetFile.hashes.sha256 foi mapeado para target.process.file.sha256.
  • para [event][type] == fileModification
  • event.file.path foi mapeado para target.file.full_path.
  • event.file.hashes.md5 foi mapeado para target.process.file.md5.
  • event.file.hashes.sha1 foi mapeado para target.process.file.sha1.
  • event.file.hashes.sha256 foi mapeado para target.process.file.sha256.

2022-04-18

  • Melhoria no analisador para processar todos os registros brutos não analisados.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.