Coletar registros do EDR do SentinelOne
Compatível com:
Google SecOps
SIEM
Este documento descreve como coletar registros de EDR do SentinelOne configurando um feed do Google Security Operations.
Para mais informações, consulte Ingestão de dados para as operações de segurança do Google.
Um rótulo de transferência identifica o analisador que normaliza os dados de registro brutos
para o formato estruturado do UDM. As informações neste documento se aplicam ao analisador
com o rótulo de transferência SENTINEL_EDR.
Configurar o EDR do SentinelOne
- Faça login no console Gerenciamento de dispositivos com a conta de visualização.
- Selecione Nome de usuário > Meu usuário.
- Na caixa de diálogo, clique em Generate API Token.
- Copie e salve o token da API.
Configurar um feed no Google Security Operations para processar registros do SentinelOne EDR
- Acesse Configurações do SIEM > Feeds.
- Clique em Add New.
- Insira um nome exclusivo para o Nome do campo.
- Selecione Google Cloud Storage como o Tipo de origem.
- Selecione SentinelOne EDR como o Tipo de registro.
- Clique em Conseguir uma conta de serviço. O Google Security Operations fornece uma conta de serviço exclusiva que ele usa para ingerir dados.
- Configure o acesso da conta de serviço aos objetos do Cloud Storage. Para mais informações, consulte Conceder acesso à conta de serviço do Google Security Operations.
- Clique em Próxima.
- Configure os seguintes parâmetros de entrada obrigatórios:
- URI do bucket do Storage
- O URI é um
- Opção de exclusão da origem
- Clique em Próxima e em Enviar.
Para mais informações sobre os feeds do Google Security Operations, consulte a documentação dos feeds do Google Security Operations. Para informações sobre os requisitos de cada tipo de feed, consulte Configuração de feeds por tipo.
Se você tiver problemas ao criar feeds, entre em contato com o suporte da Google Security Operations.
Referência do mapeamento de campo
Esse analisador extrai os registros do EDR do SentinelOne, os transforma em UDM e processa os formatos legados e do funil do Cloud (v1 e v2). Ele realiza um mapeamento de campo extensivo, incluindo conexões de rede, eventos de processo, atividades de registro e de arquivos, tarefas programadas e indicadores de informações sobre ameaças, aproveitando a lógica condicional com base em tipos de eventos e fontes de dados. O analisador também processa o mapeamento do framework MITRE ATT&CK e várias tarefas de normalização de dados, como conversão de carimbo de data/hora e manipulação de strings.
Mapeamento de UDM do analisador da SentinelOne
| Campo de registro | Mapeamento do UDM | Lógica |
|---|---|---|
@timestamp |
metadata.event_timestamp |
O carimbo de data/hora do evento registrado pelo SentinelOne. Analisado do campo @timestamp no registro bruto. |
agentDetectionInfo.accountId |
metadata.product_deployment_id |
O ID da conta no SentinelOne. |
agentDetectionInfo.accountName |
principal.administrative_domain |
O nome da conta no SentinelOne. |
agentDetectionInfo.agentDomain |
principal.administrative_domain |
O domínio do agente. |
agentDetectionInfo.agentIpV4 |
principal.ip, principal.asset.ip |
O endereço IPv4 do agente. |
agentDetectionInfo.agentLastLoggedInUserName |
principal.user.user_display_name |
O nome de usuário do último usuário conectado no agente. |
agentDetectionInfo.agentMachineType |
principal.asset.machine_type |
O tipo de máquina em que o agente está instalado (por exemplo, computador, servidor, laptop). |
agentDetectionInfo.agentMitigationMode |
N/A | O modo de mitigação do agente. Não mapeado para a UDM. |
agentDetectionInfo.agentNetworkStatus |
N/A | O status de rede do agente. Não mapeado para a UDM. |
agentDetectionInfo.agentOsName |
principal.asset.platform_software.platform |
O nome do sistema operacional do agente. |
agentDetectionInfo.agentOsRevision |
principal.asset.platform_software.platform_version |
A revisão do sistema operacional do agente. |
agentDetectionInfo.agentRegisteredAt |
principal.asset.first_discover_time |
O carimbo de data/hora em que o agente foi registrado. |
agentDetectionInfo.agentUuid |
principal.asset.asset_id, principal.asset.product_object_id |
O UUID do agente. Formatado como "ID do dispositivo: {uuid}". |
agentDetectionInfo.agentVersion |
metadata.product_version |
A versão do agente do SentinelOne. |
agentDetectionInfo.externalIp |
principal.ip, principal.asset.ip |
O endereço IP externo do agente. |
agentDetectionInfo.groupId |
principal.user.group_identifiers |
O ID do grupo ao qual o agente pertence. |
agentDetectionInfo.groupName |
principal.group.group_display_name |
O nome do grupo ao qual o agente pertence. |
agentDetectionInfo.siteId |
principal.namespace |
O ID do site ao qual o agente pertence. |
agentDetectionInfo.siteName |
principal.location.name |
O nome do site ao qual o agente pertence. |
agentRealtimeInfo.accountId |
metadata.product_deployment_id |
O ID da conta no SentinelOne. |
agentRealtimeInfo.accountName |
principal.administrative_domain |
O nome da conta no SentinelOne. |
agentRealtimeInfo.activeThreats |
N/A | O número de ameaças ativas no agente. Não mapeado para a UDM. |
agentRealtimeInfo.agentComputerName |
principal.hostname, principal.asset.hostname |
O nome do host do computador do agente. |
agentRealtimeInfo.agentDecommissionedAt |
N/A | Indica se o agente foi desativado. Não mapeado para a UDM. |
agentRealtimeInfo.agentDomain |
principal.administrative_domain |
O domínio do agente. |
agentRealtimeInfo.agentId |
N/A | O ID do agente. Não mapeado para a UDM. |
agentRealtimeInfo.agentInfected |
N/A | Indica se o agente está infectado. Não mapeado para a UDM. |
agentRealtimeInfo.agentIsActive |
N/A | Indica se o agente está ativo. Não mapeado para a UDM. |
agentRealtimeInfo.agentIsDecommissioned |
N/A | Indica se o agente foi desativado. Não mapeado para a UDM. |
agentRealtimeInfo.agentMachineType |
principal.asset.machine_type |
O tipo de máquina em que o agente está instalado (por exemplo, computador, servidor, laptop). |
agentRealtimeInfo.agentMitigationMode |
N/A | O modo de mitigação do agente. Não mapeado para a UDM. |
agentRealtimeInfo.agentNetworkStatus |
N/A | O status de rede do agente. Não mapeado para a UDM. |
agentRealtimeInfo.agentOsName |
principal.asset.platform_software.platform |
O nome do sistema operacional do agente. |
agentRealtimeInfo.agentOsRevision |
principal.asset.platform_software.platform_version |
A revisão do sistema operacional do agente. |
agentRealtimeInfo.agentOsType |
principal.platform |
O tipo de sistema operacional do agente. |
agentRealtimeInfo.agentUuid |
principal.asset.asset_id, principal.asset.product_object_id |
O UUID do agente. Formatado como "ID do dispositivo: {uuid}". |
agentRealtimeInfo.agentVersion |
metadata.product_version |
A versão do agente do SentinelOne. |
agentRealtimeInfo.groupId |
principal.user.group_identifiers |
O ID do grupo ao qual o agente pertence. |
agentRealtimeInfo.groupName |
principal.group.group_display_name |
O nome do grupo ao qual o agente pertence. |
agentRealtimeInfo.networkInterfaces |
principal.ip, principal.asset.ip, principal.mac |
Informações da interface de rede, incluindo endereços IP e MAC. |
agentRealtimeInfo.operationalState |
N/A | O estado operacional do agente. Não mapeado para a UDM. |
agentRealtimeInfo.rebootRequired |
N/A | Indica se uma reinicialização é necessária. Não mapeado para a UDM. |
agentRealtimeInfo.scanAbortedAt |
N/A | O carimbo de data/hora em que uma verificação foi interrompida. Não mapeado para a UDM. |
agentRealtimeInfo.scanFinishedAt |
N/A | O carimbo de data/hora de quando uma verificação foi concluída. Não mapeado para a UDM. |
agentRealtimeInfo.scanStartedAt |
N/A | O carimbo de data/hora em que uma verificação começou. Não mapeado para a UDM. |
agentRealtimeInfo.scanStatus |
N/A | O status de uma verificação. Não mapeado para a UDM. |
agentRealtimeInfo.siteId |
principal.namespace |
O ID do site ao qual o agente pertence. |
agentRealtimeInfo.siteName |
principal.location.name |
O nome do site ao qual o agente pertence. |
agentRealtimeInfo.storageName |
N/A | O nome do armazenamento. Não mapeado para a UDM. |
agentRealtimeInfo.storageType |
N/A | O tipo de armazenamento. Não mapeado para a UDM. |
agentRealtimeInfo.userActionsNeeded |
N/A | Ações do usuário necessárias. Não mapeado para a UDM. |
batch.customer_id |
N/A | O ID do cliente. Não mapeado para a UDM. |
batch.collector_id |
N/A | O ID do coletor. Não mapeado para a UDM. |
batch.type |
metadata.log_type |
O tipo do lote. |
collection_time |
metadata.collected_timestamp |
O horário em que o registro foi coletado. |
create_time |
metadata.event_timestamp |
O horário em que o evento foi criado. |
data |
(Vários) | O payload de dados principal do evento do SentinelOne. Os campos desse objeto são mapeados para vários campos do UDM, dependendo do tipo de evento. |
event.activityType |
N/A | O tipo de atividade. Não mapeado para a UDM. |
event.agentId |
metadata.product_deployment_id |
O ID do agente. |
event.agentUpdatedVersion |
N/A | A versão atualizada do agente. Não mapeado para a UDM. |
event.comments |
N/A | Comentários associados ao evento. Não mapeado para a UDM. |
event.createdAt |
metadata.event_timestamp |
O horário em que o evento foi criado. |
event.data |
(Vários) | Dados associados ao evento. Os campos desse objeto são mapeados para vários campos do UDM, dependendo do tipo de evento. |
event.description |
metadata.product_event_type |
É a descrição do evento. |
event.destinationAddress.address |
target.ip |
O endereço IP do destino. |
event.destinationAddress.port |
target.port |
A porta do destino. |
event.direction |
network.direction |
A direção da conexão de rede. Mapeado para "INBOUND" ou "OUTBOUND". |
event.executable.commandLine |
principal.process.command_line, target.process.command_line |
A linha de comando do executável. |
event.executable.creationTime.millisecondsSinceEpoch |
N/A | A hora de criação do executável. Não mapeado para a UDM. |
event.executable.full_path |
principal.process.file.full_path, target.process.file.full_path |
O caminho completo do executável. |
event.executable.hashes.md5 |
principal.process.file.md5, target.process.file.md5 |
O hash MD5 do executável. |
event.executable.hashes.sha1 |
principal.process.file.sha1, target.process.file.sha1 |
O hash SHA1 do executável. |
event.executable.hashes.sha256 |
principal.process.file.sha256, target.process.file.sha256 |
O hash SHA256 do executável. |
event.executable.isDir |
N/A | Indica se o executável é um diretório. Não mapeado para a UDM. |
event.executable.isKernelModule |
N/A | Indica se o executável é um módulo do kernel. Não mapeado para a UDM. |
event.executable.name |
N/A | O nome do executável. Não mapeado para a UDM. |
event.executable.node.key.value |
N/A | O valor da chave do nó do executável. Não mapeado para a UDM. |
event.executable.owner.name |
N/A | O nome do proprietário do executável. Não mapeado para a UDM. |
event.executable.owner.sid |
N/A | O SID do proprietário do executável. Não mapeado para a UDM. |
event.executable.pUnix |
N/A | O valor pUnix do executável. Não mapeado para a UDM. |
event.executable.signature.signed.identity |
principal.resource.attribute.labels, target.resource.attribute.labels |
A identidade do executável assinado. Formatado como "Identidade assinada da assinatura de origem: {identity}". |
event.executable.signature.signed.valid |
N/A | Indica se a assinatura é válida. Não mapeado para a UDM. |
event.executable.signature.unsigned |
N/A | Indica se o executável não tem assinatura. Não mapeado para a UDM. |
event.executable.sizeBytes |
principal.process.file.size, target.process.file.size |
O tamanho do executável em bytes. |
event.excluded |
N/A | Indica se o evento está excluído. Não mapeado para a UDM. |
event.file.creationTime.millisecondsSinceEpoch |
N/A | A hora de criação do arquivo. Não mapeado para a UDM. |
event.file.full_path |
target.file.full_path |
O caminho completo do arquivo. |
event.file.hashes.md5 |
target.process.file.md5 |
O hash MD5 do arquivo. |
event.file.hashes.sha1 |
target.process.file.sha1 |
O hash SHA1 do arquivo. |
event.file.hashes.sha256 |
target.process.file.sha256 |
O hash SHA256 do arquivo. |
event.file.isDir |
N/A | Indica se o arquivo é um diretório. Não mapeado para a UDM. |
event.file.isKernelModule |
N/A | Indica se o arquivo é um módulo do kernel. Não mapeado para a UDM. |
event.file.node.key.value |
N/A | O valor da chave do nó do arquivo. Não mapeado para a UDM. |
event.file.owner.name |
N/A | O nome do proprietário do arquivo. Não mapeado para a UDM. |
event.file.owner.sid |
N/A | O SID do proprietário do arquivo. Não mapeado para a UDM. |
event.file.pUnix |
N/A | O valor pUnix do arquivo. Não mapeado para a UDM. |
event.file.signature.unsigned |
N/A | Indica se o arquivo não tem assinatura. Não mapeado para a UDM. |
event.file.sizeBytes |
N/A | O tamanho do arquivo em bytes. Não mapeado para a UDM. |
event.fullPid.pid |
principal.process.pid, target.process.pid |
O ID do processo. |
event.fullPid.startTime.millisecondsSinceEpoch |
N/A | O horário de início do processo. Não mapeado para a UDM. |
event.hashes.md5 |
target.file.md5 |
O hash MD5. |
event.hashes.sha1 |
target.file.sha1 |
O hash SHA1. |
event.hashes.sha256 |
target.file.sha256 |
O hash SHA256. |
event.id |
metadata.product_log_id |
O ID do evento. |
event.interactive |
N/A | Indica se o evento é interativo. Não mapeado para a UDM. |
event.isRedirectedCommandProcessor |
N/A | Indica se o evento é um processador de comando redirecionado. Não mapeado para a UDM. |
event.isWow64 |
N/A | Indica se o evento é WoW64. Não mapeado para a UDM. |
event.method |
network.http.method |
O método HTTP. |
event.name |
N/A | O nome do evento. Não mapeado para a UDM. |
event.node.key.value |
N/A | O valor da chave do nó do evento. Não mapeado para a UDM. |
event.oldHashes.md5 |
N/A | O hash MD5 antigo. Não mapeado para a UDM. |
event.oldHashes.sha1 |
N/A | O hash SHA1 antigo. Não mapeado para a UDM. |
event.oldHashes.sha256 |
N/A | O hash SHA256 antigo. Não mapeado para a UDM. |
event.parent.commandLine |
principal.process.parent_process.command_line, target.process.parent_process.command_line |
A linha de comando do processo pai. |
event.parent.excluded |
N/A | Indica se o evento pai está excluído. Não mapeado para a UDM. |
event.parent.executable.creationTime.millisecondsSinceEpoch |
N/A | A hora de criação do executável pai. Não mapeado para a UDM. |
event.parent.executable.full_path |
principal.process.parent_process.file.full_path, target.process.parent_process.file.full_path |
O caminho completo do executável pai. |
event.parent.executable.hashes.md5 |
principal.process.parent_process.file.md5, target.process.parent_process.file.md5 |
O hash MD5 do executável pai. |
event.parent.executable.hashes.sha1 |
principal.process.parent_process.file.sha1, target.process.parent_process.file.sha1 |
O hash SHA1 do executável pai. |
event.parent.executable.hashes.sha256 |
principal.process.parent_process.file.sha256, target.process.parent_process.file.sha256 |
O hash SHA256 do executável pai. |
event.parent.executable.isDir |
N/A | Indica se o executável pai é um diretório. Não mapeado para a UDM. |
event.parent.executable.isKernelModule |
N/A | Indica se o executável pai é um módulo do kernel. Não mapeado para a UDM. |
event.parent.executable.node.key.value |
N/A | O valor da chave do nó do executável pai. Não mapeado para a UDM. |
event.parent.executable.owner.name |
N/A | O nome do proprietário do executável pai. Não mapeado para a UDM. |
event.parent.executable.owner.sid |
N/A | O SID do proprietário do executável pai. Não mapeado para a UDM. |
event.parent.executable.pUnix |
N/A | O valor pUnix do executável pai. Não mapeado para a UDM. |
event.parent.executable.signature.signed.identity |
principal.resource.attribute.labels, target.resource.attribute.labels |
A identidade do executável pai assinado. Formatado como "Identidade assinada com assinatura do pai de origem: {identity}". |
event.parent.executable.signature.signed.valid |
N/A | Indica se a assinatura mãe é válida. Não mapeado para a UDM. |
event.parent.executable.signature.unsigned |
N/A | Indica se o executável pai não tem assinatura. Não mapeado para a UDM. |
event.parent.executable.sizeBytes |
principal.process.parent_process.file.size, target.process.parent_process.file.size |
O tamanho do executável pai em bytes. |
event.parent.fullPid.pid |
principal.process.parent_process.pid, target.process.parent_process.pid |
O ID do processo pai. |
event.parent.fullPid.startTime.millisecondsSinceEpoch |
N/A | O horário de início do processo pai. Não mapeado para a UDM. |
event.parent.interactive |
N/A | Indica se o evento pai é interativo. Não mapeado para a UDM. |
event.parent.isRedirectedCommandProcessor |
N/A | Indica se o evento pai é um processador de comando redirecionado. Não mapeado para a UDM. |
event.parent.isWow64 |
N/A | Indica se o evento pai é WoW64. Não mapeado para a UDM. |
event.parent.name |
N/A | O nome do evento pai. Não mapeado para a UDM. |
event.parent.node.key.value |
N/A | O valor da chave do nó do evento pai. Não mapeado para a UDM. |
event.parent.root |
N/A | Indica se o evento pai é raiz. Não mapeado para a UDM. |
event.parent.sessionId |
N/A | O ID da sessão do evento pai. Não mapeado para a UDM. |
event.parent.subsystem |
N/A | O subsistema do evento pai. Não mapeado para a UDM. |
event.parent.trueContext.key.value |
N/A | O valor da chave de contexto real do evento pai. Não mapeado para a UDM. |
event.parent.user.integrityLevel |
N/A | O nível de integridade do usuário pai. Não mapeado para a UDM. |
event.parent.user.name |
principal.user.userid |
O nome de usuário do processo pai. |
event.parent.user.sid |
principal.user.windows_sid |
O SID do Windows do usuário pai. |
event.process.commandLine |
target.process.command_line |
A linha de comando do processo. |
event.process.executable.creationTime.millisecondsSinceEpoch |
N/A | A hora de criação do executável do processo. Não mapeado para a UDM. |
event.process.executable.full_path |
target.process.file.full_path |
O caminho completo do executável do processo. |
event.process.executable.hashes.md5 |
target.process.file.md5 |
O hash MD5 do executável do processo. |
event.process.executable.hashes.sha1 |
target.process.file.sha1 |
O hash SHA1 do executável do processo. |
event.process.executable.hashes.sha256 |
target.process.file.sha256 |
O hash SHA256 do processo executável. |
event.process.executable.isDir |
N/A | Indica se o executável do processo é um diretório. Não mapeado para a UDM. |
event.process.executable.isKernelModule |
N/A | Indica se o executável do processo é um módulo do kernel. Não mapeado para a UDM. |
event.process.executable.node.key.value |
N/A | O valor da chave do nó do executável do processo. Não mapeado para a UDM. |
event.process.executable.owner.name |
N/A | O nome do proprietário do executável do processo. Não mapeado para a UDM. |
event.process.executable.owner.sid |
N/A | O SID do proprietário do executável do processo. Não mapeado para a UDM. |
event.process.executable.pUnix |
N/A | O valor pUnix do executável do processo. Não mapeado para a UDM. |
event.process.executable.signature.unsigned |
N/A | Indica se o executável do processo não tem assinatura. Não mapeado para a UDM. |
event.process.executable.sizeBytes |
target.process.file.size |
O tamanho do executável do processo em bytes. |
event.process.excluded |
N/A | Indica se o processo está excluído. Não mapeado para a UDM. |
event.process.fullPid.pid |
target.process.pid |
O ID do processo. |
event.process.fullPid.startTime.millisecondsSinceEpoch |
N/A | O horário de início do processo. Não mapeado para a UDM. |
event.process.interactive |
N/A | Indica se o processo é interativo. Não mapeado para a UDM. |
event.process.isRedirectedCommandProcessor |
N/A | Indica se o processo é um processador de comando redirecionado. Não mapeado para a UDM. |
event.process.isWow64 |
N/A | Indica se o processo é WoW64. Não mapeado para a UDM. |
event.process.name |
N/A | O nome do processo. Não mapeado para a UDM. |
event.process.node.key.value |
N/A | O valor da chave do nó do processo. Não mapeado para a UDM. |
event.process.root |
N/A | Indica se o processo é raiz. Não mapeado para a UDM. |
event.process.sessionId |
N/A | O ID da sessão do processo. Não mapeado para a UDM. |
event.process.subsystem |
N/A | O subsistema do processo. Não mapeado para a UDM. |
event.process.trueContext.key.value |
N/A | O valor da chave de contexto real do processo. Não mapeado para a UDM. |
event.process.user.integrityLevel |
N/A | O nível de integridade do usuário do processo. Não mapeado para a UDM. |
event.process.user.name |
target.user.userid |
O nome de usuário do processo. |
event.process.user.sid |
target.user.windows_sid |
O SID do Windows do usuário do processo. |
event.query |
network.dns.questions.name |
A consulta DNS. |
event.regKey.key.value |
N/A | O valor da chave de registro. Não mapeado para a UDM. |
event.regKey.full_path |
target.registry.registry_key |
O caminho da chave de registro. |
event.regValue.key.value |
target.registry.registry_value_name |
O nome do valor do registro. |
event.regValue.full_path |
target.registry.registry_key |
O caminho do valor do registro. |
event.results |
network.dns.answers.data |
Os resultados do DNS. |
event.root |
N/A | Indica se o evento é raiz. Não mapeado para a UDM. |
event.sessionId |
N/A | O ID da sessão do evento. Não mapeado para a UDM. |
event.signature.signed.identity |
principal.resource.attribute.labels, target.resource.attribute.labels |
A identidade do evento assinado. Formatado como "Identidade assinada da assinatura de origem: {identity}". |
event.signature.signed.valid |
N/A | Indica se a assinatura é válida. Não mapeado para a UDM. |
event.signature.unsigned |
N/A | Indica se o evento não tem assinatura. Não mapeado para a UDM. |
event.source.commandLine |
principal.process.command_line, target.process.command_line |
A linha de comando da origem. |
event.source.executable.creationTime.millisecondsSinceEpoch |
N/A | A hora de criação do executável de origem. Não mapeado para a UDM. |
event.source.executable.full_path |
principal.process.file.full_path, target.process.file.full_path |
O caminho completo do executável de origem. |
event.source.executable.hashes.md5 |
principal.process.file.md5, target.process.file.md5 |
O hash MD5 do executável de origem. |
event.source.executable.hashes.sha1 |
principal.process.file.sha1, target.process.file.sha1 |
O hash SHA1 do executável de origem. |
event.source.executable.hashes.sha256 |
principal.process.file.sha256, target.process.file.sha256 |
O hash SHA256 do executável de origem. |
event.source.executable.isDir |
N/A | Indica se o executável de origem é um diretório. Não mapeado para a UDM. |
event.source.executable.isKernelModule |
N/A | Indica se o executável de origem é um módulo do kernel. Não mapeado para a UDM. |
event.source.executable.node.key.value |
N/A | O valor da chave do nó do executável de origem. Não mapeado para a UDM. |
event.source.executable.owner.name |
N/A | O nome do proprietário do executável de origem. Não mapeado para a UDM. |
event.source.executable.owner.sid |
N/A | O SID do proprietário do executável de origem. Não mapeado para a UDM. |
event.source.executable.pUnix |
N/A | O valor pUnix do executável de origem. Não mapeado para a UDM. |
event.source.executable.signature.signed.identity |
principal.resource.attribute.labels, target.resource.attribute.labels |
A identidade do executável de origem assinado. Formatado como "Identidade assinada da assinatura de origem: {identity}". |
event.source.executable.signature.signed.valid |
N/A | Indica se a assinatura de origem é válida. Não mapeado para a UDM. |
event.source.executable.signature.unsigned |
N/A | Indica se o executável de origem não tem assinatura. Não mapeado para a UDM. |
event.source.executable.sizeBytes |
principal.process.file.size, target.process.file.size |
O tamanho do executável de origem em bytes. |
event.source.excluded |
N/A | Indica se a origem está excluída. Não mapeado para a UDM. |
event.source.fullPid.pid |
principal.process.pid, target.process.pid |
O ID do processo da origem. |
event.source.fullPid.startTime.millisecondsSinceEpoch |
N/A | O horário de início do processo de origem. Não mapeado para a UDM. |
event.source.interactive |
N/A | Indica se a origem é interativa. Não mapeado para a UDM. |
event.source.isRedirectedCommandProcessor |
N/A | Indica se a origem é um processador de comando redirecionado. Não mapeado para a UDM. |
event.source.isWow64 |
N/A | Indica se a origem é WoW64. Não mapeado para a UDM. |
event.source.name |
N/A | O nome da fonte. Não mapeado para a UDM. |
event.source.node.key.value |
N/A | O valor da chave do nó da origem. Não mapeado para a UDM. |
event.source.parent.commandLine |
principal.process.parent_process.command_line |
A linha de comando do pai da origem. |
event.source.parent.excluded |
N/A | Indica se o pai da origem está excluído. Não mapeado para a UDM. |
event.source.parent.executable.full_path |
principal.process.parent_process.file.full_path |
O caminho completo do executável pai da origem. |
event.source.parent.executable.hashes.md5 |
principal.process.parent_process.file.md5 |
O hash MD5 do executável pai da origem. |
event.source.parent.executable.hashes.sha1 |
principal.process.parent_process.file.sha1 |
O hash SHA1 do executável pai da origem. |
event.source.parent.executable.hashes.sha256 |
principal.process.parent_process.file.sha256 |
O hash SHA256 do executável pai da origem. |
event.source.parent.fullPid.pid |
principal.process.parent_process.pid |
O ID do processo da origem. |
event.source.parent.fullPid.startTime.millisecondsSinceEpoch |
N/A | O horário de início do processo pai da origem. Não mapeado para a UDM. |
event.source.parent.interactive |
N/A | Indica se o pai da origem é interativo. Não mapeado para a UDM. |
event.source.parent.isRedirectedCommandProcessor |
N/A | Indica se o pai da origem é um processador de comando redirecionado. Não mapeado para a UDM. |
event.source.parent.isWow64 |
N/A | Indica se a origem da mãe é WoW64. Não mapeado para a UDM. |
event.source.parent.name |
N/A | O nome do pai da origem. Não mapeado para a UDM. |
event.source.parent.node.key.value |
N/A | O valor da chave do nó do pai da origem. Não mapeado para a UDM. |
event.source.parent.root |
N/A | Indica se o pai da origem é raiz. Não mapeado para a UDM. |
event.source.parent.sessionId |
N/A | O ID da sessão da origem. Não mapeado para a UDM. |
event.source.parent.subsystem |
N/A | O subsistema do pai da origem. Não mapeado para a UDM. |
event.source.parent.trueContext.key.value |
N/A | O valor da chave de contexto real da origem do pai. Não mapeado para a UDM. |
event.source.parent.user.integrityLevel |
N/A | O nível de integridade do usuário pai da fonte. Não mapeado para a UDM. |
event.source.parent.user.name |
N/A | O nome de usuário do pai da origem. Não mapeado para a UDM. |
event.source.parent.user.sid |
N/A | O SID do Windows do usuário pai da origem. Não mapeado para a UDM. |
event.source.root |
N/A | Indica se a origem é raiz. Não mapeado para a UDM. |
event.source.sessionId |
N/A | O ID da sessão da origem. Não mapeado para a UDM. |
event.source.subsystem |
N/A | O subsistema da origem. Não mapeado para a UDM. |
event.source.trueContext.key.value |
N/A | O valor da chave de contexto real da fonte. Não mapeado para a UDM. |
event.source.user.integrityLevel |
N/A | O nível de integridade do usuário de origem. Não mapeado para a UDM. |
event.source.user.name |
principal.user.userid |
O nome de usuário da origem. |
event.source.user.sid |
principal.user.windows_sid |
O SID do Windows do usuário de origem. |
event.sourceAddress.address |
principal.ip |
O endereço IP da origem. |
event.sourceAddress.port |
principal.port |
A porta da origem. |
event.status |
N/A | O status do evento. Não mapeado para a UDM. |
event.subsystem |
N/A | O subsistema do evento. Não mapeado para a UDM. |
event.targetFile.creationTime.millisecondsSinceEpoch |
N/A | A hora de criação do arquivo de destino. Não mapeado para a UDM. |
event.targetFile.full_path |
target.file.full_path |
O caminho completo do arquivo de destino. |
event.targetFile.hashes.md5 |
target.process.file.md5 |
O hash MD5 do arquivo de destino. |
event.targetFile.hashes.sha1 |
target.process.file.sha1 |
O hash SHA1 do arquivo de destino. |
event.targetFile.hashes.sha256 |
target.process.file.sha256 |
O hash SHA256 do arquivo de destino. |
event.targetFile.isDir |
N/A | Indica se o arquivo de destino é um diretório. Não mapeado para a UDM. |
event.targetFile.isKernelModule |
Alterações
2024-06-03
- Mapeamos "suser" para "principal.user.userid".
- "accountId" foi mapeado para "target.user.userid".
- "MessageSourceAddress" foi mapeado para "principal.ip".
- "machine_host" foi mapeado para "principal.hostname".
2024-05-20
- "event.dns.response" foi associado a "network.dns.answers.data".
2024-05-06
- Adição de suporte a um novo padrão de registros JSON.
2024-03-22
- Foi adicionado um novo padrão Grok para analisar o novo formato de registros KV separados por tabulação.
- O "osName" foi mapeado para "src.platform".
2024-03-15
- Mapeamos "site.id:account.id:agent.uuid:tgt.process.uid" para "target.process.product_specific_process_id".
- Mapeamos "site.id:account.id:agent.uuid:src.process.uid" para "principal.process.product_specific_process_id".
- Mapeou "site.id:account.id:agent.uuid:src.process.parent.uid" para "principal.process.parent_process.product_specific_process_id".
- A "src.process.cmdline" foi removida do mapeamento para "target.process.command_line".
2023-11-09
- Corrigir:
- Mapeamos "tgt.process.user" para "target.user.userid".
2023-10-30
- Corrigir:
- Foi adicionada uma verificação de não nulo para o mapeamento "principal_port" anterior à UDM.
- Quando "event.category" é "url" e "meta.event.name" é "HTTP", mapeie "metadata.event_type" para "NETWORK_HTTP".
2023-09-06
- Mapeamento de "tgt.process.storyline.id" adicionado a "security_result.about.resource.attribute.labels".
- O mapeamento de "src.process.storyline.id" foi modificado de "principal.process.product_specific_process_id" para "security_result.about.resource.attribute.labels".
- O mapeamento de "src.process.parent.storyline.id" foi modificado de "principal.parent.process.product_specific_process_id" para "security_result.about.resource.attribute.labels".
2023-08-31
- "indicator.category" foi associado a "security_result.category_details".
2023-08-03
- "event_data.login.loginIsSuccessful" foi inicializado como nulo.
- "module.path" foi associado a "target.process.file.full_path" e "target.file.full_path", em que "event.type" é "Module Load".
- "module.sha1" foi associado a "target.process.file.sha1" e "target.file.sha1", em que "event.type" é "Module Load".
- "metadata.event_type" foi mapeado para "PROCESS_MODULE_LOAD", em que "event.type" é "Module Load".
- "registry.keyPath" foi mapeado para "target.registry.registrykey" para eventos "REGISTRY*".
- Mapeamos "registry.value" para "target.registry.registry_valuedata" para eventos "REGISTRY*".
- "event.network.protocolName" foi mapeado para "network.application_protocol".
- "principal.platform" e "principal.asset.platform_software.platform" foram mapeados para "LINUX" se "endpoint.os" for "linux".
- "event.login.userName" foi associado a "target.user.userid" quando "event.type" é "Login" ou "Logout".
- "target.hostname" foi mapeado ao receber o nome do host de "url.address" quando "event.type" é "GET", "OPTIONS", "POST", "PUT", "DELETE", "CONNECT", "HEAD".
2023-06-09
- "osSrc.process.parent.publisher" foi mapeado para "principal.resource.attribute.labels".
- Mapeamos "src.process.rUserName/src.process.eUserName/src.process.lUserName" para "principal.user.user_display_name".
- Adição de verificação aos campos: "src.process.eUserId", "src.process.lUserId" e "tgt.process.rUserUid" antes do mapeamento para a UDM.
- "tgt.file.location", "registry.valueFullSize" e "registry.valueType" foram mapeados para "target.resource.attribute.labels".
- Mapeamos "indicator.description" para "security_result.summary".
- Mapeamos "metadata.event_type" para "SCAN_NETWORK", em que "event.type" é "Indicadores comportamentais".
- "metadata.event_type" foi mapeado para "SCAN_UNCATEGORIZED", em que "event.type" é "Command Script".
- Campos "meta.osFamily", "meta.osRevision" e "event.type" inicializados.
- Adição de ISO8601 ao filtro de data para o carimbo de data/hora ISO8601 do analisador.
- Adição de on_error à conversão de string "@timestamp".
- Adição de on_error ao mapeamento anterior "meta.uuid".
2023-05-25
- "event.source.commandLine" foi associado a "principal.process.command_line".
- "event.source.executable.path" foi associado a "principal.process.file.full_path".
- Defina "metadata.event_type" como "PROCESS_OPEN", em que "event.type" é "openProcess".
- Mapeou "site.name:site.id" para "principal.namespace" se "site.name" e "site.id" não forem nulos.
- "event.network.direction" foi mapeado para "network.direction".
- "meta.event.name" foi associado a "metadata.description".
- Mapeamos "task.name" para "target.resource.name".
- Mapeamos "agent.uuid" para "principal.asset.product_object_id".
- "src.process.publisher" foi associado a "principal.resource.attribute.labels".
- "src.process.cmdline" foi associado a "target.process.command_line".
- "mgmt.osRevision" foi mapeado para "principal.asset.platform_software.platform_version".
- "security_result.category" foi mapeado de acordo com o valor "indicator.category".
- "event.dns.response" foi mapeado para "network.dns.answers".
- "registry.keyPath" foi mapeado para "target.registry.registry_key".
- "event.id" foi mapeado para "target.registry.registry_value_name".
2023-04-27
- Mapeamos "event.type" para "metadata.product_event_type" nos registros do funil v2 do Cloud.
2023-04-20
- Adição de verificação condicional de nulos e "-" para o campo "data.ipAddress".
- Foi adicionada uma verificação condicional de grok para o campo "sourceMacAddresses".
2023-03-02
- Quando ("event.type" == "tcpv4" e "event.direction" == "INCOMING") ou "event.type" contém "(processExit|processTermination|processModification|duplicate)", "event.source.executable.signature.signed.identity" é mapeado para "target.resource.attribute.labels", caso contrário, é mapeado para "principal.resource.attribute.labels".
- Mapeou "event.parent.executable.signature.signed.identity" e "event.process.executable.signature.signed.identity" para "principal.resource.attribute.labels".
- Mapeamos "event.targetFile.signature.signed.identity", "event.target.executable.signature.signed.identity" e "event.target.parent.executable.signature.signed.identity" para "target.resource.attribute.labels".
2023-02-24
- BugFix:
- O código foi refatorizado para diferenciar claramente as versões do registro.
- Para os registros do funil v2 do Cloud USER_LOGIN, os detalhes de "event.login.lognIsSuccessful" foram mapeados para "security_result.action" e "security_result.summary".
2023-02-13
- BugFix:
- Os registros do funil de nuvem v1 foram analisados conforme necessário.
- Mapeamento de todos os registros http para "NETWORK_HTTP".
- O campo de URL "NETWORK_HTTP" precisa ser mapeado para "target.url" em vez de "metadata.url_back_to_product".
2023-01-20
- Mapeou o campo "event.url" para "target.hostname" e "target.url".
- Mapeamos "metadata.event_type" para "NETWORK_HTTP", em que "event.type" == "http".
2023-01-16
- Corrigir
- "mgmt.url" foi mapeado para "metadata.url_back_to_product" em vez de "target.url".
- "site.name" foi mapeado para "principal.location.name".
- "src.process.rUserUid" foi associado a "principal.user.userid".
- "src.process.eUserId" foi mapeado para "principal.user.userid".
- "src.process.lUserId" foi associado a "principal.user.userid".
- "src.process.parent.rUserUid" foi associado a "metadata.ingestion_labels".
- "src.process.parent.eUserId" foi associado a "metadata.ingestion_labels".
- "src.process.parent.lUserId" foi associado a "metadata.ingestion_labels".
- Mapeamos "tgt.process.rUserUid" para "target.user.userid".
- "tgt.process.eUserId" foi mapeado para "target.user.userid".
- Mapeamos "tgt.process.lUserId" para "target.user.userid".
- Se "event.type" for "Process Creation", mapeie "metadata.event_type" para "PROCESS_LAUNCH".
- Se "event.type" for "Duplicate Process Handle", mapeie "metadata.event_type" para "PROCESS_OPEN".
- Se "event.type" for "Duplicate Thread Handle", mapeie "metadata.event_type" para "PROCESS_OPEN".
- Se "event.type" for "Open Remote Process Handle", mapeie "metadata.event_type" para "PROCESS_OPEN".
- Se "event.type" for "Criação de linha de execução remota", mapeie "metadata.event_type" para "PROCESS_LAUNCH".
- Se "event.type" for "Command script", mapeie "metadata.event_type" para "FILE_UNCATEGORIZED".
- Se "event.type" for "IP Connect", mapeie "metadata.event_type" para "NETWORK_CONNECTION".
- Se "event.type" for "IP Listen", mapeie "metadata.event_type" para "NETWORK_UNCATEGORIZED".
- Se "event.type" for "File ModIfication", mapeie "metadata.event_type" para "FILE_MODIfICATION".
- Se "event.type" for "Criação de arquivo", mapeie "metadata.event_type" para "FILE_CREATION".
- Se "event.type" for "Verificação de arquivo", mapeie "metadata.event_type" para "FILE_UNCATEGORIZED".
- Se "event.type" for "File Deletion", mapeie "metadata.event_type" para "FILE_DELETION".
- Se "event.type" for "File Rename", mapeie "metadata.event_type" para "FILE_MODIfICATION".
- Se "event.type" for "Pre Execution Detection", mapeie "metadata.event_type" para "FILE_UNCATEGORIZED".
- Se "event.type" for "Login", mapeie "metadata.event_type" para "USER_LOGIN".
- Se "event.type" for "Logout", mapeie "metadata.event_type" para "USER_LOGOUT".
- Se "event.type" for "GET", mapeie "metadata.event_type" para "NETWORK_HTTP".
- Se "event.type" for "OPTIONS", mapeie "metadata.event_type" para "NETWORK_HTTP".
- Se "event.type" for "POST", mapeie "metadata.event_type" para "NETWORK_HTTP".
- Se "event.type" for "PUT", mapeie "metadata.event_type" para "NETWORK_HTTP".
- Se "event.type" for "DELETE", mapeie "metadata.event_type" para "NETWORK_HTTP".
- Se "event.type" for "CONNECT", mapeie "metadata.event_type" para "NETWORK_HTTP".
- Se "event.type" for "HEAD", mapeie "metadata.event_type" para "NETWORK_HTTP".
- Se "event.type" for "Not Reported", mapeie "metadata.event_type" para "STATUS_UNCATEGORIZED".
- Se "event.type" for "DNS Resolved", mapeie "metadata.event_type" para "NETWORK_DNS".
- Se "event.type" for "DNS Unresolved", mapeie "metadata.event_type" para "NETWORK_DNS".
- Se "event.type" for "Task Register", mapeie "metadata.event_type" para "SCHEDULED_TASK_CREATION".
- Se "event.type" for "Task Update", mapeie "metadata.event_type" para "SCHEDULED_TASK_MODIfICATION".
- Se "event.type" for "Início da tarefa", mapeie "metadata.event_type" para "SCHEDULED_TASK_UNCATEGORIZED".
- Se "event.type" for "Task Trigger", mapeie "metadata.event_type" para "SCHEDULED_TASK_UNCATEGORIZED".
- Se "event.type" for "Task Delete", mapeie "metadata.event_type" para "SCHEDULED_TASK_DELETION".
- Se "event.type" for "Chave de registro criada", mapeie "metadata.event_type" para "REGISTRY_CREATION".
- Se "event.type" for "Registry Key Rename", mapeie "metadata.event_type" para "REGISTRY_MODIfICATION".
- Se "event.type" for "Registry Key Delete", mapeie "metadata.event_type" para "REGISTRY_DELETION".
- Se "event.type" for "Exportação de chave de registro", mapeie "metadata.event_type" para "REGISTRY_UNCATEGORIZED".
- Se "event.type" for "Registry Key Security Changed", mapeie "metadata.event_type" para "REGISTRY_MODIfICATION".
- Se "event.type" for "Importação de chave de registro", mapeie "metadata.event_type" para "REGISTRY_CREATION".
- Se "event.type" for "Registry Value ModIfied", mapeie "metadata.event_type" para "REGISTRY_MODIfICATION".
- Se "event.type" for "Registry Value Create", mapeie "metadata.event_type" para "REGISTRY_CREATION".
- Se "event.type" for "Registry Value Delete", mapeie "metadata.event_type" para "REGISTRY_DELETION".
- Se "event.type" for "Indicadores comportamentais", mapeie "metadata.event_type" para "SCAN_UNCATEGORIZED".
- Se "event.type" for "Module Load" mapeado "metadata.event_type" para "PROCESS_MODULE_LOAD".
- Se "event.type" for "Indicadores de informações sobre ameaças", mapeie "metadata.event_type" para "SCAN_UNCATEGORIZED".
- Se "event.type" for "Criação de pipe com nome", mapeie "metadata.event_type" para "PROCESS_UNCATEGORIZED".
- Se "event.type" for "Named Pipe Connection", mapeie "metadata.event_type" para "PROCESS_UNCATEGORIZED".
- Se "event.type" for "Driver Load", mapeie "metadata.event_type" para "PROCESS_MODULE_LOAD".
2022-11-30
- Melhoria
- Melhoramos o analisador para oferecer suporte aos registros ingeridos na versão V2 mapeando os seguintes campos.
- "account.id" foi mapeado para "metadata.product_deployment_id".
- Mapeamos "agent.uuid" para "principal.asset.asset_id".
- "dst.ip.address" foi mapeado para "target.ip".
- "src.ip.address" foi mapeado para "principal.ip".
- "src.process.parent.image.sha1" foi mapeado para "principal.process.parent_process.file.sha1".
- "src.process.parent.image.sha256" foi associado a "principal.process.parent_process.file.sha256".
- "src.process.parent.image.path" foi mapeado para "principal.process.parent_process.file.full_path".
- "src.process.parent.cmdline" foi associado a "principal.process.parent_process.command_line".
- "src.process.parent.image.md5" foi associado a "principal.process.parent_process.file.md5".
- "src.process.parent.pid" foi mapeado para "principal.process.parent_process.pid".
- "src.process.image.sha1" foi mapeado para "principal.process.file.sha1".
- "src.process.image.md5" foi associado a "principal.process.file.md5".
- "src.process.pid" foi mapeado para "principal.process.pid".
- "src.process.cmdline" foi associado a "principal.process.command_line".
- "src.process.image.path" foi associado a "principal.process.file.full_path".
- "src.process.image.sha256" foi associado a "principal.process.file.sha256".
- "src.process.user" foi associado a "principal.user.user_display_name".
- Mapeamos "src.process.uid" para "principal.user.userid".
- "src.process.storyline.id" foi associado a "principal.process.product_specific_process_id".
- Mapeamos "src.process.parent.storyline.id" para "principal.process.parent_process.product_specific_process_id".
- "mgmt.url" foi mapeado para "target.url".
- "site.id" foi associado a "principal.namespace".
- "src.port.number" foi mapeado para "principal.port".
- "dst.port.number" foi mapeado para "target.port".
- "event_data.id" foi associado a "metadata.product_log_id".
2022-10-11
- Melhoria
- "threatClassification" foi associado a "security_result.category_details".
- "threatConfidenceLevel" e "threatMitigationStatus" foram mapeados para "security_result.detection_fields".
- "Location" foi mapeado para "principal.location.name".
- "data.filePath" foi associado a "principal.process.parent_process.file.full_path".
- O mapeamento (valor de CAT) security_result.category_details foi atualizado para metadata.product_event_type.
2022-09-01
- Melhoria
- O nome do produto metadata.product_name foi alterado de SentinelOne para Singularity.
- "event.regValue.key.value" foi mapeado para "target.registry.registry_value_name".
- "principal_userid" foi associado a "principal.user.userid".
- "principal_domain" foi associado a "principal.administrative_domain".
- "threatInfo.threatId" foi mapeado para "security_result.threat_id".
- "threatInfo.identifiedAt" foi associado a "metadata.event_timestamp".
- "threatInfo.threatId" foi associado a "metadata.product_log_id".
- "security_result.alert_state" foi mapeado para "ALERTING".
- Mapeamos "threatInfo.maliciousProcessArguments" para "security_result.description".
- "threatInfo.threatName" foi mapeado para "security_result.threat_name".
- "threatInfo.classification" foi associado a "security_result.category_details".
- O "security_result.category" foi mapeado para "SOFTWARE_MALICIOUS", em que threatInfo.classification é malicioso, ou para "NETWORK_SUSPICIOUS".
- "security_result.action" foi mapeado para "ALLOW" quando threatInfo.mitigationStatus é mitigado, caso contrário, para "BLOCK".
- "threatInfo.mitigationStatus" foi associado a "security_result.action_details".
- "threatInfo.classification threatInfo.classificationSource threatInfo.analystVerdictDescription threatInfo.threatName" foi associado a "security_result.summary".
- "threatInfo.createdAt" foi associado a "metadata.collected_timestamp".
- "agentRealtimeInfo.accountId" foi associado a "metadata.product_deployment_id".
- "agentRealtimeInfo.agentVersion" foi associado a "metadata.product_version".
- "indicator.category" foi mapeado para "detection_fields.key" e "indicator.description" para "detection_fields.value".
- "detectionEngines.key" foi mapeado para "detection_fields.key" e "detectionEngines.title" para "detection_fields.value".
- "metadata.event_type" foi mapeado para "SCAN_UNCATEGORIZED", em que "meta.computerName" não é nulo.
2022-07-21
- Melhoria
- O mapeamento de event.source.executable.hashes.md5 para principal.process.file.md5.
- O mapeamento de event.source.executable.hashes.sha256 para principal.process.file.sha256.
- O mapeamento de event.source.executable.hashes.sha1 para principal.process.file.sha1.
- O event.source.fullPid.pid foi mapeado para principal.process.pid.
- O mapeamento de event.source.user.name para principal.user.userid.
- Mapeamento de meta.agentVersion para metadata.product_version.
- O event.appName foi associado a target.application.
- O mapeamento de event.contentHash.sha256 para target.process.file.sha256.
- O event.source.commandLine foi mapeado para target.process.command_line.
- Mapeamos event.decodedContent para target.labels.
- A metadata.description foi alterada de "scripts" para "Command Scripts", em que event.type é "scripts".
- Mapeou o fornecedor para metadata.vendor_name.
- O mapeamento de data.fileContentHash para target.process.file.md5.
- Mapeou data.ipAddress para principal.ip.
- Mapeou activityUuid para target.asset.product_object_id.
- O agente ID foi mapeado para metadata.product_deployment_id.
- Adição da verificação de e-mail para user_email antes de mapear para principal.user.email_addresses. Se falhar, ele será mapeado para principal.user.userid.
- sourceIpAddresses mapeados para principal.ip.
- O nome da conta foi mapeado para principal.administrative_domain.
- O activityId foi mapeado para additional.fields.
2022-07-15
- Melhoria: analisou os novos registros com formato JSON e mapeou os seguintes campos:
- "metadata.product_name" para "SENTINEL_ONE".
- "sourceParentProcessMd5" para "principal.process.parent_process.file.md5".
- "sourceParentProcessPath" para "principal.process.parent_process.file.full_path".
- "sourceParentProcessPid" para "principal.process.parent_process.pid".
- "sourceParentProcessSha1" para "principal.process.parent_process.file.sha1".
- "sourceParentProcessSha256" para "principal.process.parent_process.file.sha256".
- "sourceParentProcessCmdArgs" para "principal.process.parent_process.command_line".
- "sourceProcessCmdArgs" para "principal.process.command_line".
- "sourceProcessMd5" para "principal.process.file.md5".
- "sourceProcessPid" para "principal.process.pid".
- "sourceProcessSha1" para "principal.process.file.sha1".
- "sourceProcessSha256" para "principal.process.file.sha256".
- "sourceProcessPath" para "principal.process.file.full_path".
- "tgtFilePath" para "target.file.full_path".
- "tgtFileHashSha256" para "target.file.sha256".
- "tgtFileHashSha1" para "target.file.sha1".
- "tgtProcUid" para "target.process.product_specific_process_id".
- "tgtProcCmdLine" para "target.process.command_line".
- "tgtProcPid" para "target.process.pid".
- "tgtProcName" para "target.application".
- "dstIp" para "target.ip".
- "srcIp" para "principal.ip".
- "dstPort" para "target.port".
- "srcPort" para "principal.port".
- De "origAgentName" para "principal.hostname".
- "agentIpV4" para "principal.ip".
- "groupId" para "principal.user.group_identifiers".
- "groupName" para "principal.user.group_display_name".
- "origAgentVersion" para "principal.asset.software.version".
- De "origAgentOsFamily" para "principal.platform".
- "origAgentOsName" para principal.asset.software.name".
- "event_type" para "FILE_MODIFICATION" quando sourceEventType = FILEMODIFICATION.
- "event_type" para "FILE_DELETION" quando sourceEventType = FILEDELETION.
- "event_type" para "PROCESS_LAUNCH" quando sourceEventType = PROCESSCREATION.
- "event_type" para "NETWORK_CONNECTION" quando sourceEventType = TCPV4.
2022-06-13
- Melhoria
- for [event][type] == "fileCreation" and [event][type] == "fileDeletion"
- "event.targetFile.path" foi associado a "target.file.full_path".
- "event.targetFile.hashes.md5" foi mapeado para "target.process.file.md5".
- "event.targetFile.hashes.sha1" foi mapeado para "target.process.file.sha1".
- "event.targetFile.hashes.sha256" foi associado a "target.process.file.sha256".
- for [event][type] == "fileModification"
- "event.file.path" foi associado a "target.file.full_path".
- "event.file.hashes.md5" foi associado a "target.process.file.md5".
- "event.file.hashes.sha1" foi mapeado para "target.process.file.sha1".
- "event.file.hashes.sha256" foi associado a "target.process.file.sha256".
2022-04-18
- Melhoria no analisador para processar todos os registros brutos não analisados.