收集 SentinelOne EDR 日志

支持的平台:

本文档介绍了如何通过设置 Google Security Operations Feed 来收集 SentinelOne EDR 日志。

如需了解详情,请参阅将数据提取到 Google 安全运营中心

注入标签标识将原始日志数据标准化为结构化 UDM 格式的解析器。本文档中的信息适用于具有 SENTINEL_EDR 注入标签的解析器。

配置 SentinelOne EDR

  1. 使用查看者账号登录设备管理控制台。
  2. 依次选择用户名 > 我的用户
  3. 在对话框中,点击 Generate API Token(生成 API 令牌)。
  4. 复制并保存 API 令牌。

在 Google Security Operations 中配置 Feed 以注入 SentinelOne EDR 日志

  1. 依次前往 SIEM 设置 > Feed
  2. 点击 Add New(新增)。
  3. 字段名称中输入一个具有唯一性的名称。
  4. 选择 Google Cloud Storage 作为来源类型
  5. 选择 SentinelOne EDR 作为日志类型
  6. 点击获取服务账号。Google 安全运营团队会提供一个唯一的服务账号,Google 安全运营团队会使用该账号注入数据。
  7. 为服务账号配置访问 Cloud Storage 对象的权限。如需了解详情,请参阅向 Google 安全运营服务账号授予访问权限
  8. 点击下一步
  9. 配置以下必需的输入参数:
    • 存储桶 URI
    • URI 是
    • 来源删除选项
  10. 点击下一步,然后点击提交

如需详细了解 Google Security Operations Feed,请参阅 Google Security Operations Feed 文档。 如需了解每种 Feed 类型的要求,请参阅按类型配置 Feed

如果您在创建 Feed 时遇到问题,请与 Google 安全运营支持团队联系。

字段映射参考文档

此解析器会提取 SentinelOne EDR 日志,将其转换为 UDM,并处理旧版和 Cloud Funnel(v1 和 v2)格式。它会根据事件类型和数据源利用条件逻辑执行广泛的字段映射,包括网络连接、进程事件、文件和注册表活动、安排的任务以及威胁情报指标。该解析器还会处理 MITRE ATT&CK 框架映射以及各种数据标准化任务,例如时间戳转换和字符串操作。

SentinelOne 解析器 UDM 映射

日志字段 UDM 映射 逻辑
@timestamp metadata.event_timestamp SentinelOne 记录的事件时间戳。从原始日志中的 @timestamp 字段解析得出。
agentDetectionInfo.accountId metadata.product_deployment_id SentinelOne 中的账号 ID。
agentDetectionInfo.accountName principal.administrative_domain SentinelOne 中的账号名称。
agentDetectionInfo.agentDomain principal.administrative_domain 代理的网域。
agentDetectionInfo.agentIpV4 principal.ipprincipal.asset.ip 代理的 IPv4 地址。
agentDetectionInfo.agentLastLoggedInUserName principal.user.user_display_name 代理上上次登录的用户的用户名。
agentDetectionInfo.agentMachineType principal.asset.machine_type 代理安装在的机器类型(例如桌面设备、服务器、笔记本电脑)。
agentDetectionInfo.agentMitigationMode 不适用 代理的缓解模式。未映射到 UDM。
agentDetectionInfo.agentNetworkStatus 不适用 代理的网络状态。未映射到 UDM。
agentDetectionInfo.agentOsName principal.asset.platform_software.platform 代理的操作系统名称。
agentDetectionInfo.agentOsRevision principal.asset.platform_software.platform_version 代理的操作系统修订版。
agentDetectionInfo.agentRegisteredAt principal.asset.first_discover_time 代理注册时的时间戳。
agentDetectionInfo.agentUuid principal.asset.asset_idprincipal.asset.product_object_id 代理的 UUID。格式为“设备 ID:{uuid}”。
agentDetectionInfo.agentVersion metadata.product_version SentinelOne 代理的版本。
agentDetectionInfo.externalIp principal.ipprincipal.asset.ip 代理的外部 IP 地址。
agentDetectionInfo.groupId principal.user.group_identifiers 代理所属的群组的 ID。
agentDetectionInfo.groupName principal.group.group_display_name 代理所属的组的名称。
agentDetectionInfo.siteId principal.namespace 客服人员所属网站的 ID。
agentDetectionInfo.siteName principal.location.name 客服人员所属的网站的名称。
agentRealtimeInfo.accountId metadata.product_deployment_id SentinelOne 中的账号 ID。
agentRealtimeInfo.accountName principal.administrative_domain SentinelOne 中的账号名称。
agentRealtimeInfo.activeThreats 不适用 代理上存在的有效威胁数量。未映射到 UDM。
agentRealtimeInfo.agentComputerName principal.hostnameprincipal.asset.hostname 代理计算机的主机名。
agentRealtimeInfo.agentDecommissionedAt 不适用 指示代理是否已弃用。未映射到 UDM。
agentRealtimeInfo.agentDomain principal.administrative_domain 代理的网域。
agentRealtimeInfo.agentId 不适用 代理的 ID。未映射到 UDM。
agentRealtimeInfo.agentInfected 不适用 指示代理是否已感染。未映射到 UDM。
agentRealtimeInfo.agentIsActive 不适用 指示代理是否处于活跃状态。未映射到 UDM。
agentRealtimeInfo.agentIsDecommissioned 不适用 指示代理是否已弃用。未映射到 UDM。
agentRealtimeInfo.agentMachineType principal.asset.machine_type 代理安装在的机器类型(例如桌面设备、服务器、笔记本电脑)。
agentRealtimeInfo.agentMitigationMode 不适用 代理的缓解模式。未映射到 UDM。
agentRealtimeInfo.agentNetworkStatus 不适用 代理的网络状态。未映射到 UDM。
agentRealtimeInfo.agentOsName principal.asset.platform_software.platform 代理的操作系统名称。
agentRealtimeInfo.agentOsRevision principal.asset.platform_software.platform_version 代理的操作系统修订版。
agentRealtimeInfo.agentOsType principal.platform 代理的操作系统类型。
agentRealtimeInfo.agentUuid principal.asset.asset_idprincipal.asset.product_object_id 代理的 UUID。格式为“设备 ID:{uuid}”。
agentRealtimeInfo.agentVersion metadata.product_version SentinelOne 代理的版本。
agentRealtimeInfo.groupId principal.user.group_identifiers 代理所属的群组的 ID。
agentRealtimeInfo.groupName principal.group.group_display_name 代理所属的组的名称。
agentRealtimeInfo.networkInterfaces principal.ipprincipal.asset.ipprincipal.mac 网络接口信息,包括 IP 地址和 MAC 地址。
agentRealtimeInfo.operationalState 不适用 代理的操作状态。未映射到 UDM。
agentRealtimeInfo.rebootRequired 不适用 指示是否需要重新启动。未映射到 UDM。
agentRealtimeInfo.scanAbortedAt 不适用 扫描中止时的时间戳。未映射到 UDM。
agentRealtimeInfo.scanFinishedAt 不适用 扫描完成时的时间戳。未映射到 UDM。
agentRealtimeInfo.scanStartedAt 不适用 扫描开始时的时间戳。未映射到 UDM。
agentRealtimeInfo.scanStatus 不适用 扫描的状态。未映射到 UDM。
agentRealtimeInfo.siteId principal.namespace 客服人员所属网站的 ID。
agentRealtimeInfo.siteName principal.location.name 客服人员所属的网站的名称。
agentRealtimeInfo.storageName 不适用 存储空间名称。未映射到 UDM。
agentRealtimeInfo.storageType 不适用 存储类型。未映射到 UDM。
agentRealtimeInfo.userActionsNeeded 不适用 需要用户执行操作。未映射到 UDM。
batch.customer_id 不适用 客户 ID。未映射到 UDM。
batch.collector_id 不适用 核销方 ID。未映射到 UDM。
batch.type metadata.log_type 批处理的类型。
collection_time metadata.collected_timestamp 日志收集的时间。
create_time metadata.event_timestamp 事件的创建时间。
data (各种) SentinelOne 事件的主要数据载荷。此对象中的字段会映射到各种 UDM 字段,具体取决于事件类型。
event.activityType 不适用 活动类型。未映射到 UDM。
event.agentId metadata.product_deployment_id 代理的 ID。
event.agentUpdatedVersion 不适用 代理的更新版本。未映射到 UDM。
event.comments 不适用 与事件相关的评论。未映射到 UDM。
event.createdAt metadata.event_timestamp 事件的创建时间。
event.data (各种) 与事件相关联的数据。此对象中的字段会映射到各种 UDM 字段,具体取决于事件类型。
event.description metadata.product_event_type 事件说明。
event.destinationAddress.address target.ip 目的地的 IP 地址。
event.destinationAddress.port target.port 目的地的端口。
event.direction network.direction 网络连接的方向。已映射到“INBOUND”或“OUTBOUND”。
event.executable.commandLine principal.process.command_linetarget.process.command_line 可执行文件的命令行。
event.executable.creationTime.millisecondsSinceEpoch 不适用 可执行文件的创建时间。未映射到 UDM。
event.executable.full_path principal.process.file.full_pathtarget.process.file.full_path 可执行文件的完整路径。
event.executable.hashes.md5 principal.process.file.md5target.process.file.md5 可执行文件的 MD5 哈希。
event.executable.hashes.sha1 principal.process.file.sha1target.process.file.sha1 可执行文件的 SHA1 哈希值。
event.executable.hashes.sha256 principal.process.file.sha256target.process.file.sha256 可执行文件的 SHA256 哈希值。
event.executable.isDir 不适用 指示可执行文件是否为目录。未映射到 UDM。
event.executable.isKernelModule 不适用 指示可执行文件是否为内核模块。未映射到 UDM。
event.executable.name 不适用 可执行文件的名称。未映射到 UDM。
event.executable.node.key.value 不适用 可执行文件的节点键值。未映射到 UDM。
event.executable.owner.name 不适用 可执行文件的所有者名称。未映射到 UDM。
event.executable.owner.sid 不适用 可执行文件的所有者 SID。未映射到 UDM。
event.executable.pUnix 不适用 可执行文件的 pUnix 值。未映射到 UDM。
event.executable.signature.signed.identity principal.resource.attribute.labelstarget.resource.attribute.labels 已签名的可执行文件的身份。格式为“Source Signature Signed Identity: {identity}”。
event.executable.signature.signed.valid 不适用 指示签名是否有效。未映射到 UDM。
event.executable.signature.unsigned 不适用 指示可执行文件是否未签名。未映射到 UDM。
event.executable.sizeBytes principal.process.file.sizetarget.process.file.size 可执行文件的大小(以字节为单位)。
event.excluded 不适用 指示事件是否已排除。未映射到 UDM。
event.file.creationTime.millisecondsSinceEpoch 不适用 文件的创建时间。未映射到 UDM。
event.file.full_path target.file.full_path 文件的完整路径。
event.file.hashes.md5 target.process.file.md5 文件的 MD5 哈希。
event.file.hashes.sha1 target.process.file.sha1 文件的 SHA1 哈希值。
event.file.hashes.sha256 target.process.file.sha256 文件的 SHA256 哈希值。
event.file.isDir 不适用 指示文件是否为目录。未映射到 UDM。
event.file.isKernelModule 不适用 指示文件是否为内核模块。未映射到 UDM。
event.file.node.key.value 不适用 文件的节点键值。未映射到 UDM。
event.file.owner.name 不适用 文件的所有者姓名。未映射到 UDM。
event.file.owner.sid 不适用 文件的所有者 SID。未映射到 UDM。
event.file.pUnix 不适用 文件的 pUnix 值。未映射到 UDM。
event.file.signature.unsigned 不适用 指示文件是否未签名。未映射到 UDM。
event.file.sizeBytes 不适用 文件的大小(以字节为单位)。未映射到 UDM。
event.fullPid.pid principal.process.pidtarget.process.pid 进程 ID。
event.fullPid.startTime.millisecondsSinceEpoch 不适用 进程的开始时间。未映射到 UDM。
event.hashes.md5 target.file.md5 MD5 哈希。
event.hashes.sha1 target.file.sha1 SHA1 哈希。
event.hashes.sha256 target.file.sha256 SHA256 哈希。
event.id metadata.product_log_id 事件 ID。
event.interactive 不适用 指示事件是否为互动式事件。未映射到 UDM。
event.isRedirectedCommandProcessor 不适用 指示事件是否为重定向的命令处理程序。未映射到 UDM。
event.isWow64 不适用 指示事件是否为 WoW64。未映射到 UDM。
event.method network.http.method HTTP 方法。
event.name 不适用 事件的名称。未映射到 UDM。
event.node.key.value 不适用 事件的节点键值。未映射到 UDM。
event.oldHashes.md5 不适用 旧的 MD5 哈希。未映射到 UDM。
event.oldHashes.sha1 不适用 旧的 SHA1 哈希。未映射到 UDM。
event.oldHashes.sha256 不适用 旧的 SHA256 哈希。未映射到 UDM。
event.parent.commandLine principal.process.parent_process.command_linetarget.process.parent_process.command_line 父进程的命令行。
event.parent.excluded 不适用 指示是否排除了父级事件。未映射到 UDM。
event.parent.executable.creationTime.millisecondsSinceEpoch 不适用 父级可执行文件的创建时间。未映射到 UDM。
event.parent.executable.full_path principal.process.parent_process.file.full_pathtarget.process.parent_process.file.full_path 父级可执行文件的完整路径。
event.parent.executable.hashes.md5 principal.process.parent_process.file.md5target.process.parent_process.file.md5 父级可执行文件的 MD5 哈希。
event.parent.executable.hashes.sha1 principal.process.parent_process.file.sha1target.process.parent_process.file.sha1 父级可执行文件的 SHA1 哈希值。
event.parent.executable.hashes.sha256 principal.process.parent_process.file.sha256target.process.parent_process.file.sha256 父级可执行文件的 SHA256 哈希值。
event.parent.executable.isDir 不适用 指示父级可执行文件是否为目录。未映射到 UDM。
event.parent.executable.isKernelModule 不适用 指示父级可执行文件是否为内核模块。未映射到 UDM。
event.parent.executable.node.key.value 不适用 父级可执行文件的节点键值。未映射到 UDM。
event.parent.executable.owner.name 不适用 父级可执行文件的所有者名称。未映射到 UDM。
event.parent.executable.owner.sid 不适用 父级可执行文件的所有者 SID。未映射到 UDM。
event.parent.executable.pUnix 不适用 父级可执行文件的 pUnix 值。未映射到 UDM。
event.parent.executable.signature.signed.identity principal.resource.attribute.labelstarget.resource.attribute.labels 已签名的父级可执行文件的身份。格式为“Source Parent Signature Signed Identity: {identity}”。
event.parent.executable.signature.signed.valid 不适用 指示父级签名是否有效。未映射到 UDM。
event.parent.executable.signature.unsigned 不适用 指示父级可执行文件是否未签名。未映射到 UDM。
event.parent.executable.sizeBytes principal.process.parent_process.file.sizetarget.process.parent_process.file.size 父级可执行文件的大小(以字节为单位)。
event.parent.fullPid.pid principal.process.parent_process.pidtarget.process.parent_process.pid 父级进程 ID。
event.parent.fullPid.startTime.millisecondsSinceEpoch 不适用 父进程的开始时间。未映射到 UDM。
event.parent.interactive 不适用 指示父级事件是否为 Interactive。未映射到 UDM。
event.parent.isRedirectedCommandProcessor 不适用 指示父事件是否为重定向的命令处理程序。未映射到 UDM。
event.parent.isWow64 不适用 指示父事件是否为 WoW64。未映射到 UDM。
event.parent.name 不适用 父事件的名称。未映射到 UDM。
event.parent.node.key.value 不适用 父事件的节点键值。未映射到 UDM。
event.parent.root 不适用 指示父级事件是否为根事件。未映射到 UDM。
event.parent.sessionId 不适用 父级事件的会话 ID。未映射到 UDM。
event.parent.subsystem 不适用 父事件的子系统。未映射到 UDM。
event.parent.trueContext.key.value 不适用 父事件的真实上下文键值。未映射到 UDM。
event.parent.user.integrityLevel 不适用 父级用户的完整性级别。未映射到 UDM。
event.parent.user.name principal.user.userid 父进程的用户名。
event.parent.user.sid principal.user.windows_sid 父级用户的 Windows SID。
event.process.commandLine target.process.command_line 进程的命令行。
event.process.executable.creationTime.millisecondsSinceEpoch 不适用 进程可执行文件的创建时间。未映射到 UDM。
event.process.executable.full_path target.process.file.full_path 进程可执行文件的完整路径。
event.process.executable.hashes.md5 target.process.file.md5 进程可执行文件的 MD5 哈希。
event.process.executable.hashes.sha1 target.process.file.sha1 进程可执行文件的 SHA1 哈希值。
event.process.executable.hashes.sha256 target.process.file.sha256 进程可执行文件的 SHA256 哈希值。
event.process.executable.isDir 不适用 指示进程可执行文件是否为目录。未映射到 UDM。
event.process.executable.isKernelModule 不适用 指示进程可执行文件是否为内核模块。未映射到 UDM。
event.process.executable.node.key.value 不适用 进程可执行文件的节点键值。未映射到 UDM。
event.process.executable.owner.name 不适用 进程可执行文件的所有者名称。未映射到 UDM。
event.process.executable.owner.sid 不适用 进程可执行文件的所有者 SID。未映射到 UDM。
event.process.executable.pUnix 不适用 进程可执行文件的 pUnix 值。未映射到 UDM。
event.process.executable.signature.unsigned 不适用 指示进程可执行文件是否未签名。未映射到 UDM。
event.process.executable.sizeBytes target.process.file.size 进程可执行文件的大小(以字节为单位)。
event.process.excluded 不适用 指示进程是否已排除。未映射到 UDM。
event.process.fullPid.pid target.process.pid 进程 ID。
event.process.fullPid.startTime.millisecondsSinceEpoch 不适用 进程的开始时间。未映射到 UDM。
event.process.interactive 不适用 指示进程是否是交互式进程。未映射到 UDM。
event.process.isRedirectedCommandProcessor 不适用 指示进程是否为重定向的命令处理程序。未映射到 UDM。
event.process.isWow64 不适用 指示进程是否为 WoW64。未映射到 UDM。
event.process.name 不适用 进程的名称。未映射到 UDM。
event.process.node.key.value 不适用 进程的节点键值。未映射到 UDM。
event.process.root 不适用 指示进程是否为 root 进程。未映射到 UDM。
event.process.sessionId 不适用 进程的会话 ID。未映射到 UDM。
event.process.subsystem 不适用 进程的子系统。未映射到 UDM。
event.process.trueContext.key.value 不适用 进程的真实上下文键值。未映射到 UDM。
event.process.user.integrityLevel 不适用 进程用户的完整性级别。未映射到 UDM。
event.process.user.name target.user.userid 进程的用户名。
event.process.user.sid target.user.windows_sid 进程用户的 Windows SID。
event.query network.dns.questions.name DNS 查询。
event.regKey.key.value 不适用 注册表项值。未映射到 UDM。
event.regKey.full_path target.registry.registry_key 注册表项路径。
event.regValue.key.value target.registry.registry_value_name 注册表值名称。
event.regValue.full_path target.registry.registry_key 注册表值路径。
event.results network.dns.answers.data DNS 结果。
event.root 不适用 指示事件是否为根事件。未映射到 UDM。
event.sessionId 不适用 事件的会话 ID。未映射到 UDM。
event.signature.signed.identity principal.resource.attribute.labelstarget.resource.attribute.labels 已签名事件的身份。格式为“Source Signature Signed Identity: {identity}”。
event.signature.signed.valid 不适用 指示签名是否有效。未映射到 UDM。
event.signature.unsigned 不适用 指示事件是否未签名。未映射到 UDM。
event.source.commandLine principal.process.command_linetarget.process.command_line 来源的命令行。
event.source.executable.creationTime.millisecondsSinceEpoch 不适用 源可执行文件的创建时间。未映射到 UDM。
event.source.executable.full_path principal.process.file.full_pathtarget.process.file.full_path 源可执行文件的完整路径。
event.source.executable.hashes.md5 principal.process.file.md5target.process.file.md5 源可执行文件的 MD5 哈希。
event.source.executable.hashes.sha1 principal.process.file.sha1target.process.file.sha1 源可执行文件的 SHA1 哈希值。
event.source.executable.hashes.sha256 principal.process.file.sha256target.process.file.sha256 源可执行文件的 SHA256 哈希值。
event.source.executable.isDir 不适用 指示源可执行文件是否为目录。未映射到 UDM。
event.source.executable.isKernelModule 不适用 指示源可执行文件是否为内核模块。未映射到 UDM。
event.source.executable.node.key.value 不适用 源可执行文件的节点键值。未映射到 UDM。
event.source.executable.owner.name 不适用 源可执行文件的所有者名称。未映射到 UDM。
event.source.executable.owner.sid 不适用 源可执行文件的所有者 SID。未映射到 UDM。
event.source.executable.pUnix 不适用 源可执行文件的 pUnix 值。未映射到 UDM。
event.source.executable.signature.signed.identity principal.resource.attribute.labelstarget.resource.attribute.labels 已签名的源可执行文件的身份。格式为“Source Signature Signed Identity: {identity}”。
event.source.executable.signature.signed.valid 不适用 指示来源签名是否有效。未映射到 UDM。
event.source.executable.signature.unsigned 不适用 指示源可执行文件是否未签名。未映射到 UDM。
event.source.executable.sizeBytes principal.process.file.sizetarget.process.file.size 源可执行文件的大小(以字节为单位)。
event.source.excluded 不适用 指示来源是否已排除。未映射到 UDM。
event.source.fullPid.pid principal.process.pidtarget.process.pid 来源的进程 ID。
event.source.fullPid.startTime.millisecondsSinceEpoch 不适用 来源进程的开始时间。未映射到 UDM。
event.source.interactive 不适用 指示来源是否为交互式来源。未映射到 UDM。
event.source.isRedirectedCommandProcessor 不适用 指示来源是否为重定向的命令处理程序。未映射到 UDM。
event.source.isWow64 不适用 指示来源是否为 WoW64。未映射到 UDM。
event.source.name 不适用 来源的名称。未映射到 UDM。
event.source.node.key.value 不适用 来源的节点键值。未映射到 UDM。
event.source.parent.commandLine principal.process.parent_process.command_line 来源父级的命令行。
event.source.parent.excluded 不适用 指示是否要排除来源的父级。未映射到 UDM。
event.source.parent.executable.full_path principal.process.parent_process.file.full_path 来源的父级可执行文件的完整路径。
event.source.parent.executable.hashes.md5 principal.process.parent_process.file.md5 来源的父级可执行文件的 MD5 哈希。
event.source.parent.executable.hashes.sha1 principal.process.parent_process.file.sha1 来源的父级可执行文件的 SHA1 哈希值。
event.source.parent.executable.hashes.sha256 principal.process.parent_process.file.sha256 来源的父级可执行文件的 SHA256 哈希值。
event.source.parent.fullPid.pid principal.process.parent_process.pid 来源父级的进程 ID。
event.source.parent.fullPid.startTime.millisecondsSinceEpoch 不适用 来源父进程的开始时间。未映射到 UDM。
event.source.parent.interactive 不适用 指示来源的父级是否为交互式。未映射到 UDM。
event.source.parent.isRedirectedCommandProcessor 不适用 指示来源的父级是否为重定向命令处理程序。未映射到 UDM。
event.source.parent.isWow64 不适用 指示来源的父级是否为 WoW64。未映射到 UDM。
event.source.parent.name 不适用 来源的父级名称。未映射到 UDM。
event.source.parent.node.key.value 不适用 来源父级的节点键值。未映射到 UDM。
event.source.parent.root 不适用 指示来源的父级是否为根。未映射到 UDM。
event.source.parent.sessionId 不适用 来源父级的会话 ID。未映射到 UDM。
event.source.parent.subsystem 不适用 来源父级的子系统。未映射到 UDM。
event.source.parent.trueContext.key.value 不适用 来源父级的真实情境键值。未映射到 UDM。
event.source.parent.user.integrityLevel 不适用 来源父级用户的完整性级别。未映射到 UDM。
event.source.parent.user.name 不适用 来源父级的用户名。未映射到 UDM。
event.source.parent.user.sid 不适用 来源父级用户的 Windows SID。未映射到 UDM。
event.source.root 不适用 指示来源是否为根源。未映射到 UDM。
event.source.sessionId 不适用 来源的会话 ID。未映射到 UDM。
event.source.subsystem 不适用 来源的子系统。未映射到 UDM。
event.source.trueContext.key.value 不适用 来源的真实上下文键值。未映射到 UDM。
event.source.user.integrityLevel 不适用 来源用户的完整性级别。未映射到 UDM。
event.source.user.name principal.user.userid 来源的用户名。
event.source.user.sid principal.user.windows_sid 源用户的 Windows SID。
event.sourceAddress.address principal.ip 来源的 IP 地址。
event.sourceAddress.port principal.port 来源的端口。
event.status 不适用 活动的状态。未映射到 UDM。
event.subsystem 不适用 事件的子系统。未映射到 UDM。
event.targetFile.creationTime.millisecondsSinceEpoch 不适用 目标文件的创建时间。未映射到 UDM。
event.targetFile.full_path target.file.full_path 目标文件的完整路径。
event.targetFile.hashes.md5 target.process.file.md5 目标文件的 MD5 哈希。
event.targetFile.hashes.sha1 target.process.file.sha1 目标文件的 SHA1 哈希值。
event.targetFile.hashes.sha256 target.process.file.sha256 目标文件的 SHA256 哈希值。
event.targetFile.isDir 不适用 指示目标文件是否为目录。未映射到 UDM。
event.targetFile.isKernelModule

变化

2024-06-03

  • 将“suser”映射到“principal.user.userid”。
  • 将“accountId”映射到“target.user.userid”。
  • 将“MessageSourceAddress”映射到“principal.ip”。
  • 将“machine_host”映射到“principal.hostname”。

2024-05-20

  • 将“event.dns.response”映射到“network.dns.answers.data”。

2024-05-06

  • 添加了对 JSON 日志的新模式的支持。

2024-03-22

  • 添加了新的 Grok 模式,用于解析新格式的制表符分隔 KV 日志。
  • 将“osName”映射到“src.platform”。

2024-03-15

  • 将“site.id:account.id:agent.uuid:tgt.process.uid”映射到“target.process.product_specific_process_id”。
  • 将“site.id:account.id:agent.uuid:src.process.uid”映射到“principal.process.product_specific_process_id”。
  • 将“site.id:account.id:agent.uuid:src.process.parent.uid”映射到“principal.process.parent_process.product_specific_process_id”。
  • 移除了将“src.process.cmdline”映射到“target.process.command_line”的操作。

2023-11-09

  • 修复:
  • 将“tgt.process.user”映射到“target.user.userid”。

2023-10-30

  • 修复:
  • 在映射到 UDM 之前,向“principal_port”添加了非 null 检查。
  • 当“event.category”为“url”且“meta.event.name”为“HTTP”时,将“metadata.event_type”映射到“NETWORK_HTTP”。

2023-09-06

  • 添加了“tgt.process.storyline.id”与“security_result.about.resource.attribute.labels”的映射。
  • 将“src.process.storyline.id”的映射从“principal.process.product_specific_process_id”更改为“security_result.about.resource.attribute.labels”。
  • 将“src.process.parent.storyline.id”的映射从“principal.parent.process.product_specific_process_id”更改为“security_result.about.resource.attribute.labels”。

2023-08-31

  • 将“indicator.category”映射到“security_result.category_details”。

2023-08-03

  • 将“event_data.login.loginIsSuccessful”初始化为 null。
  • 将“module.path”映射到“target.process.file.full_path”和“target.file.full_path”,其中“event.type”为“Module Load”。
  • 将“module.sha1”映射到“target.process.file.sha1”和“target.file.sha1”,其中“event.type”为“Module Load”。
  • 将“metadata.event_type”映射到“PROCESS_MODULE_LOAD”,其中“event.type”为“Module Load”。
  • 将“REGISTRY*”事件的“registry.keyPath”映射到“target.registry.registrykey”。
  • 将“REGISTRY*”事件的“registry.value”映射到“target.registry.registry_valuedata”。
  • 将“event.network.protocolName”映射到“network.application_protocol”。
  • 如果“endpoint.os”为“linux”,则将“principal.platform”“principal.asset.platform_software.platform”映射到“LINUX”。
  • 将“event.login.userName”映射到“target.user.userid”,前提是“event.type”为“登录”或“退出”。
  • 当“event.type”为“GET”“OPTIONS”“POST”“PUT”“DELETE”“CONNECT”“HEAD”时,通过从“url.address”获取主机名来映射“target.hostname”。

2023-06-09

  • 将“osSrc.process.parent.publisher”映射到“principal.resource.attribute.labels”。
  • 将“src.process.rUserName/src.process.eUserName/src.process.lUserName”映射到“principal.user.user_display_name”。
  • 在映射到 UDM 之前,向字段“src.process.eUserId”“src.process.lUserId”“tgt.process.rUserUid”添加了检查。
  • 将“tgt.file.location”“registry.valueFullSize”“registry.valueType”映射到“target.resource.attribute.labels”。
  • 将“indicator.description”映射到“security_result.summary”。
  • 将“metadata.event_type”映射到“SCAN_NETWORK”,其中“event.type”为“行为指标”。
  • 将“metadata.event_type”映射到“SCAN_UNCATEGORIZED”,其中“event.type”为“Command Script”。
  • 初始化了字段“meta.osFamily”“meta.osRevision”“event.type”。
  • 向日期过滤器添加了 ISO8601,以解析 ISO8601 时间戳。
  • 向“@timestamp”字符串转换添加了 on_error。
  • 在映射之前,向“meta.uuid”添加了 on_error。

2023-05-25

  • 将“event.source.commandLine”映射到“principal.process.command_line”。
  • 将“event.source.executable.path”映射到“principal.process.file.full_path”。
  • 将“metadata.event_type”设置为“PROCESS_OPEN”,其中“event.type”为“openProcess”。
  • 如果“site.name”和“site.id”均不为 null,则将“site.name:site.id”映射到“principal.namespace”。
  • 将“event.network.direction”映射到“network.direction”。
  • 将“meta.event.name”映射到“metadata.description”。
  • 将“task.name”映射到“target.resource.name”。
  • 将“agent.uuid”映射到“principal.asset.product_object_id”。
  • 将“src.process.publisher”映射到“principal.resource.attribute.labels”。
  • 将“src.process.cmdline”映射到“target.process.command_line”。
  • 将“mgmt.osRevision”映射到“principal.asset.platform_software.platform_version”。
  • 根据“indicator.category”值映射了“security_result.category”。
  • 将“event.dns.response”映射到“network.dns.answers”。
  • 将“registry.keyPath”映射到“target.registry.registry_key”。
  • 将“event.id”映射到“target.registry.registry_value_name”。

2023-04-27

  • 将 Cloud 漏斗 v2 日志的“event.type”映射到“metadata.product_event_type”。

2023-04-20

  • 为字段“data.ipAddress”添加了 null 和“-”条件检查。
  • 为“sourceMacAddresses”字段添加了 Grok 条件检查。

2023-03-02

  • 如果 ("event.type" == "tcpv4" and "event.direction" == "INCOMING") 或 "event.type" 包含“(processExit|processTermination|processModification|duplicate)”,则将“event.source.executable.signature.signed.identity”映射到“target.resource.attribute.labels”,否则将其映射到“principal.resource.attribute.labels”。
  • 将“event.parent.executable.signature.signed.identity”“event.process.executable.signature.signed.identity”映射到“principal.resource.attribute.labels”“"”。
  • 将“event.targetFile.signature.signed.identity”“event.target.executable.signature.signed.identity”“event.target.parent.executable.signature.signed.identity”映射到“target.resource.attribute.labels”。

2023-02-24

  • BugFix:
  • 重构了代码,以明确区分日志版本。
  • 对于 USER_LOGIN Cloud 漏斗 v2 日志,将“event.login.lognIsSuccessful”详细信息映射到“security_result.action”和“security_result.summary”

2023-02-13

  • BugFix:
  • 根据需要解析了 Cloud 漏斗 v1 日志。
  • 将所有 http 日志映射到“NETWORK_HTTP”。
  • “NETWORK_HTTP”的网址字段应映射到“target.url”,而不是“metadata.url_back_to_product”。

2023-01-20

  • 将“event.url”字段映射到了“target.hostname”和“target.url”。
  • 将“metadata.event_type”映射到“NETWORK_HTTP”,前提是“event.type”为“http”。

2023-01-16

  • 修复
  • 将“mgmt.url”映射到“metadata.url_back_to_product”,而不是“target.url”。
  • 将“site.name”映射到“principal.location.name”。
  • 将“src.process.rUserUid”映射到“principal.user.userid”。
  • 将“src.process.eUserId”映射到“principal.user.userid”。
  • 将“src.process.lUserId”映射到“principal.user.userid”。
  • 将“src.process.parent.rUserUid”映射到“metadata.ingestion_labels”。
  • 将“src.process.parent.eUserId”映射到“metadata.ingestion_labels”。
  • 将“src.process.parent.lUserId”映射到“metadata.ingestion_labels”。
  • 将“tgt.process.rUserUid”映射到“target.user.userid”。
  • 将“tgt.process.eUserId”映射到“target.user.userid”。
  • 将“tgt.process.lUserId”映射到“target.user.userid”。
  • 如果“event.type”为“Process Creation”,则将“metadata.event_type”映射到“PROCESS_LAUNCH”。
  • 如果“event.type”为“Duplicate Process Handle”,则将“metadata.event_type”映射到“PROCESS_OPEN”。
  • 如果“event.type”为“Duplicate Thread Handle”,则将“metadata.event_type”映射到“PROCESS_OPEN”。
  • 如果“event.type”为“Open Remote Process Handle”,则将“metadata.event_type”映射到“PROCESS_OPEN”。
  • 如果“event.type”为“Remote Thread Creation”,则将“metadata.event_type”映射到“PROCESS_LAUNCH”。
  • 如果“event.type”为“Command Script”,则将“metadata.event_type”映射到“FILE_UNCATEGORIZED”。
  • 如果“event.type”为“IP Connect”,则将“metadata.event_type”映射到“NETWORK_CONNECTION”。
  • 如果“event.type”为“IP Listen”,则将“metadata.event_type”映射到“NETWORK_UNCATEGORIZED”。
  • 如果“event.type”为“File ModIfication”,则将“metadata.event_type”映射到“FILE_MODIfICATION”。
  • 如果“event.type”为“File Creation”,则将“metadata.event_type”映射到“FILE_CREATION”。
  • 如果“event.type”为“File Scan”,则将“metadata.event_type”映射到“FILE_UNCATEGORIZED”。
  • 如果“event.type”为“File Deletion”,则将“metadata.event_type”映射到“FILE_DELETION”。
  • 如果“event.type”为“File Rename”,则将“metadata.event_type”映射到“FILE_MODIfICATION”。
  • 如果“event.type”为“Pre Execution Detection”,则将“metadata.event_type”映射到“FILE_UNCATEGORIZED”。
  • 如果“event.type”为“Login”,则将“metadata.event_type”映射到“USER_LOGIN”。
  • 如果“event.type”为“Logout”,则将“metadata.event_type”映射到“USER_LOGOUT”。
  • 如果“event.type”为“GET”,则将“metadata.event_type”映射到“NETWORK_HTTP”。
  • 如果“event.type”为“OPTIONS”,则将“metadata.event_type”映射到“NETWORK_HTTP”。
  • 如果“event.type”为“POST”,则将“metadata.event_type”映射到“NETWORK_HTTP”。
  • 如果“event.type”为“PUT”,则将“metadata.event_type”映射到“NETWORK_HTTP”。
  • 如果“event.type”为“DELETE”,则将“metadata.event_type”映射到“NETWORK_HTTP”。
  • 如果“event.type”为“CONNECT”,则将“metadata.event_type”映射到“NETWORK_HTTP”。
  • 如果“event.type”为“HEAD”,则将“metadata.event_type”映射到“NETWORK_HTTP”。
  • 如果“event.type”为“Not Reported”,则将“metadata.event_type”映射到“STATUS_UNCATEGORIZED”。
  • 如果“event.type”为“DNS 解析”,则将“metadata.event_type”映射到“NETWORK_DNS”。
  • 如果“event.type”为“DNS 未解析”,则将“metadata.event_type”映射到“NETWORK_DNS”。
  • 如果“event.type”为“Task Register”,则将“metadata.event_type”映射到“SCHEDULED_TASK_CREATION”。
  • 如果“event.type”为“Task Update”,则将“metadata.event_type”映射到“SCHEDULED_TASK_MODIfICATION”。
  • 如果“event.type”为“Task Start”,则将“metadata.event_type”映射到“SCHEDULED_TASK_UNCATEGORIZED”。
  • 如果“event.type”为“Task Trigger”,则将“metadata.event_type”映射到“SCHEDULED_TASK_UNCATEGORIZED”。
  • 如果“event.type”为“Task Delete”,则将“metadata.event_type”映射到“SCHEDULED_TASK_DELETION”。
  • 如果“event.type”为“Registry Key Create”,则将“metadata.event_type”映射到“REGISTRY_CREATION”。
  • 如果“event.type”为“Registry Key Rename”,则将“metadata.event_type”映射到“REGISTRY_MODIfICATION”。
  • 如果“event.type”为“Registry Key Delete”,则将“metadata.event_type”映射到“REGISTRY_DELETION”。
  • 如果“event.type”为“Registry Key Export”,则将“metadata.event_type”映射到“REGISTRY_UNCATEGORIZED”。
  • 如果“event.type”为“Registry Key Security Changed”,则将“metadata.event_type”映射到“REGISTRY_MODIfICATION”。
  • 如果“event.type”为“Registry Key Import”,则将“metadata.event_type”映射到“REGISTRY_CREATION”。
  • 如果“event.type”为“Registry Value ModIfied”,则将“metadata.event_type”映射到“REGISTRY_MODIfICATION”。
  • 如果“event.type”为“Registry Value Create”,则将“metadata.event_type”映射到“REGISTRY_CREATION”。
  • 如果“event.type”为“Registry Value Delete”,则将“metadata.event_type”映射到“REGISTRY_DELETION”。
  • 如果“event.type”为“行为指标”,则将“metadata.event_type”映射到“SCAN_UNCATEGORIZED”。
  • 如果“event.type”为“Module Load”,则将“metadata.event_type”映射到“PROCESS_MODULE_LOAD”。
  • 如果“event.type”为“Threat Intelligence Indicators”,则将“metadata.event_type”映射到“SCAN_UNCATEGORIZED”。
  • 如果“event.type”为“Named Pipe Creation”,则将“metadata.event_type”映射到“PROCESS_UNCATEGORIZED”。
  • 如果“event.type”为“Named Pipe Connection”,则将“metadata.event_type”映射到“PROCESS_UNCATEGORIZED”。
  • 如果“event.type”为“Driver Load”,则将“metadata.event_type”映射到“PROCESS_MODULE_LOAD”。

2022-11-30

  • 改进
  • 通过映射以下字段,增强了解析器,以支持在版本 V2 中提取的日志。
  • 将“account.id”映射到“metadata.product_deployment_id”。
  • 将“agent.uuid”映射到“principal.asset.asset_id”。
  • 将“dst.ip.address”映射到“target.ip”。
  • 将“src.ip.address”映射到“principal.ip”。
  • 将“src.process.parent.image.sha1”映射到“principal.process.parent_process.file.sha1”。
  • 将“src.process.parent.image.sha256”映射到“principal.process.parent_process.file.sha256”。
  • 将“src.process.parent.image.path”映射到“principal.process.parent_process.file.full_path”。
  • 将“src.process.parent.cmdline”映射到“principal.process.parent_process.command_line”。
  • 将“src.process.parent.image.md5”映射到“principal.process.parent_process.file.md5”。
  • 将“src.process.parent.pid”映射到“principal.process.parent_process.pid”。
  • 将“src.process.image.sha1”映射到“principal.process.file.sha1”。
  • 将“src.process.image.md5”映射到“principal.process.file.md5”。
  • 将“src.process.pid”映射到“principal.process.pid”。
  • 将“src.process.cmdline”映射到“principal.process.command_line”。
  • 将“src.process.image.path”映射到“principal.process.file.full_path”。
  • 将“src.process.image.sha256”映射到“principal.process.file.sha256”。
  • 将“src.process.user”映射到“principal.user.user_display_name”。
  • 将“src.process.uid”映射到“principal.user.userid”。
  • 将“src.process.storyline.id”映射到“principal.process.product_specific_process_id”。
  • 将“src.process.parent.storyline.id”映射到“principal.process.parent_process.product_specific_process_id”。
  • 将“mgmt.url”映射到“target.url”。
  • 将“site.id”映射到“principal.namespace”。
  • 将“src.port.number”映射到“principal.port”。
  • 将“dst.port.number”映射到“target.port”。
  • 将“event_data.id”映射到“metadata.product_log_id”。

2022-10-11

  • 改进
  • 将“threatClassification”映射到“security_result.category_details”。
  • 将“threatConfidenceLevel”和“threatMitigationStatus”映射到“security_result.detection_fields”。
  • 将“Location”映射到“principal.location.name”。
  • 将“data.filePath”映射到“principal.process.parent_process.file.full_path”。
  • 更新了映射(CAT 值)security_result.category_details 到 metadata.product_event_type

2022-09-01

  • 改进
  • 将 metadata.product_name 从 SentinelOne 更改为 Singularity。
  • 将“event.regValue.key.value”映射到“target.registry.registry_value_name”。
  • 将“principal_userid”映射到“principal.user.userid”。
  • 将“principal_domain”映射到“principal.administrative_domain”。
  • 将“threatInfo.threatId”映射到“security_result.threat_id”
  • 将“threatInfo.identifiedAt”映射到“metadata.event_timestamp”。
  • 将“threatInfo.threatId”映射到“metadata.product_log_id”。
  • 将“security_result.alert_state”映射到“ALERTING”。
  • 将“threatInfo.maliciousProcessArguments”映射到“security_result.description”。
  • 将“threatInfo.threatName”映射到“security_result.threat_name”。
  • 将“threatInfo.classification”映射到“security_result.category_details”。
  • 将“security_result.category”映射到“SOFTWARE_MALICIOUS”(如果 threatInfo.classification 为恶意),否则映射到“NETWORK_SUSPICIOUS”。
  • 将“security_result.action”映射为“ALLOW”,如果 threatInfo.mitigationStatus 为“mitigated”,否则映射为“BLOCK”。
  • 将“threatInfo.mitigationStatus”映射到“security_result.action_details”。
  • 将“threatInfo.classification threatInfo.classificationSource threatInfo.analystVerdictDescription threatInfo.threatName”映射到“security_result.summary”。
  • 将“threatInfo.createdAt”映射到“metadata.collected_timestamp”。
  • 将“agentRealtimeInfo.accountId”映射到“metadata.product_deployment_id”。
  • 将“agentRealtimeInfo.agentVersion”映射到“metadata.product_version”。
  • 将“indicator.category”映射到“detection_fields.key”,将“indicator.description”映射到“detection_fields.value”。
  • 将“detectionEngines.key”映射到“detection_fields.key”,将“detectionEngines.title”映射到“detection_fields.value”。
  • 将“metadata.event_type”映射到“SCAN_UNCATEGORIZED”,其中“meta.computerName”不为 null。

2022-07-21

  • 改进
  • 将 event.source.executable.hashes.md5 映射到 principal.process.file.md5。
  • 将 event.source.executable.hashes.sha256 映射到 principal.process.file.sha256。
  • 将 event.source.executable.hashes.sha1 映射到 principal.process.file.sha1。
  • 将 event.source.fullPid.pid 映射到 principal.process.pid。
  • 将 event.source.user.name 映射到 principal.user.userid。
  • 将 meta.agentVersion 映射到 metadata.product_version。
  • 将 event.appName 映射到 target.application。
  • 将 event.contentHash.sha256 映射到 target.process.file.sha256。
  • 将 event.source.commandLine 映射到 target.process.command_line。
  • 将 event.decodedContent 映射到 target.labels。
  • 将 metadata.description 从脚本更改为命令脚本(event.type 为脚本)。
  • 将供应商映射到 metadata.vendor_name。
  • 将 data.fileContentHash 映射到 target.process.file.md5。
  • 将 data.ipAddress 映射到 principal.ip。
  • 将 activityUuid 映射到 target.asset.product_object_id。
  • 将 agentId 映射到 metadata.product_deployment_id。
  • 在将 user_email 映射到 principal.user.email_addresses 之前,添加了电子邮件验证;如果验证失败,则将其映射到 principal.user.userid。
  • 将 sourceIpAddresses 映射到 principal.ip。
  • 将 accountName 映射到 principal.administrative_domain。
  • 将 activityId 映射到 additional.fields。

2022-07-15

  • 增强功能 - 使用 JSON 格式解析了新日志,并映射了以下新字段:-
  • “metadata.product_name”更改为“SENTINEL_ONE”。
  • “sourceParentProcessMd5”更改为“principal.process.parent_process.file.md5”。
  • “sourceParentProcessPath”更改为“principal.process.parent_process.file.full_path”。
  • “sourceParentProcessPid”更改为“principal.process.parent_process.pid”。
  • “sourceParentProcessSha1”更改为“principal.process.parent_process.file.sha1”。
  • “sourceParentProcessSha256”更改为“principal.process.parent_process.file.sha256”。
  • “sourceParentProcessCmdArgs”更改为“principal.process.parent_process.command_line”。
  • “sourceProcessCmdArgs”更改为“principal.process.command_line”。
  • “sourceProcessMd5”更改为“principal.process.file.md5”。
  • “sourceProcessPid”更改为“principal.process.pid”。
  • “sourceProcessSha1”更改为“principal.process.file.sha1”。
  • “sourceProcessSha256”更改为“principal.process.file.sha256”。
  • “sourceProcessPath”更改为“principal.process.file.full_path”。
  • “tgtFilePath”更改为“target.file.full_path”。
  • “tgtFileHashSha256”更改为“target.file.sha256”。
  • “tgtFileHashSha1”更改为“target.file.sha1”。
  • “tgtProcUid”更改为“target.process.product_specific_process_id”。
  • 将“tgtProcCmdLine”更改为“target.process.command_line”。
  • 将“tgtProcPid”更改为“target.process.pid”。
  • “tgtProcName”更改为“target.application”。
  • “dstIp”更改为“target.ip”。
  • “srcIp”更改为“principal.ip”。
  • “dstPort”更改为“target.port”。
  • “srcPort”更改为“principal.port”。
  • “origAgentName”更改为“principal.hostname”。
  • “agentIpV4”更改为“principal.ip”。
  • “groupId”更改为“principal.user.group_identifiers”。
  • “groupName”更改为“principal.user.group_display_name”。
  • “origAgentVersion”更改为“principal.asset.software.version”。
  • “origAgentOsFamily”更改为“principal.platform”。
  • “origAgentOsName”更改为“principal.asset.software.name”。
  • 当 sourceEventType 为 FILEMODIFICATION 时,“event_type”设为“FILE_MODIFICATION”。
  • 当 sourceEventType = FILEDELETION 时,“event_type”设为“FILE_DELETION”。
  • 当 sourceEventType = PROCESSCREATION 时,“event_type”设为“PROCESS_LAUNCH”。
  • 当 sourceEventType = TCPV4 时,“event_type”为“NETWORK_CONNECTION”。

2022-06-13

  • 改进
  • for [event][type] == "fileCreation" and [event][type] == "fileDeletion"
  • 将“event.targetFile.path”映射到“target.file.full_path”。
  • 将“event.targetFile.hashes.md5”映射到“target.process.file.md5”。
  • 将“event.targetFile.hashes.sha1”映射到“target.process.file.sha1”。
  • 将“event.targetFile.hashes.sha256”映射到“target.process.file.sha256”。
  • for [event][type] == "fileModification"
  • 将“event.file.path”映射到“target.file.full_path”。
  • 将“event.file.hashes.md5”映射到“target.process.file.md5”。
  • 将“event.file.hashes.sha1”映射到“target.process.file.sha1”。
  • 将“event.file.hashes.sha256”映射到“target.process.file.sha256”。

2022-04-18

  • 增强了解析器,以处理所有未解析的原始日志。