收集 SentinelOne EDR 日志

本文档介绍了如何使用 SentinelOne Cloud Funnel 将 SentinelOne 日志导出到 Google Cloud Storage。由于 SentinelOne 不提供用于直接将日志导出到 Google Cloud Storage 的内置集成，因此 Cloud Funnel 可充当将日志推送到 Cloud Storage 的中介服务。

准备工作

• 确保您拥有 Google SecOps 实例。
• 确保您拥有对 Google Cloud 平台的特权访问权限。
• 确保您拥有对 SentinelOne 的特权访问权限。

为 Cloud Funnel 配置访问 Cloud Storage 的权限

1. 登录 Google Cloud 控制台。
2. 前往 IAM 和管理。
3. 在 IAM 页面中，为 Cloud 漏斗服务账号添加新的 IAM 角色：
   • 分配 Storage Object Creator 权限。
   • 可选：如果您需要 Cloud Funnel 从存储分区中读取对象，请分配 Storage Object Viewer。
4. 向 Cloud Funnel 服务账号授予这些权限。

创建 Cloud Storage 存储桶

1. 登录 Google Cloud 控制台。
2. 依次前往 Storage > 浏览器。
3. 点击创建存储分区。
4. 提供以下配置：
   • 存储分区名称：为存储分区选择一个唯一的名称（例如 sentinelone-logs）。
   • 存储位置：选择存储分区所在的区域（例如 US-West1）。
   • 存储类别：选择标准存储类别。
5. 点击创建。

在 SentinelOne 中配置 Cloud Funnel

1. 在 SentinelOne 控制台中，前往设置。
2. 找到 Cloud Funnel 选项（位于 Integrations 下）。
3. 如果尚未启用，请点击启用 Cloud Funnel。
4. 启用后，系统会提示您配置目标设置。
   • 目标位置选择：选择 Google Cloud Storage 作为日志导出的目标位置。
   • Google Cloud Storage：提供 Google Cloud Storage 凭据。
   • 日志导出频率：设置日志导出的频率（例如，每小时或每天）。

配置 Cloud Funnel 日志导出

1. 在 SentinelOne 控制台的云漏斗配置部分，设置以下各项：
   • 日志导出频率：选择日志导出的频率（例如，每小时或每天）。
   • 日志格式：选择 JSON 格式。
   • 存储分区名称：输入您之前创建的 Google Cloud Storage 存储分区的名称（例如 sentinelone-logs）。
   • 可选：日志路径前缀：指定一个前缀以整理存储分区中的日志（例如 sentinelone-logs/）。
2. 配置完设置后，点击保存以应用更改。

在 Google SecOps 中配置 Feed 以提取 Sentinel EDR 日志

1. 依次前往 SIEM 设置 > Feed。
2. 点击新增。
3. 在 Feed 名称字段中，输入 Feed 的名称（例如 Sentinel EDR 日志）。
4. 选择 Google Cloud Storage 作为来源类型。
5. 选择 Sentinel EDR 作为日志类型。
6. 点击获取服务账号作为 Chronicle 服务账号。
7. 点击下一步。

8. 为以下输入参数指定值：

   • 存储分区 URI：采用 gs://my-bucket/<value> 格式的 Cloud Storage 存储分区网址。
   • URI 类型：选择包含子目录的目录。

   • 来源删除选项：根据您的偏好选择删除选项。

   • 资源命名空间：资源命名空间。

   • 提取标签：应用于此 Feed 中的事件的标签。

9. 点击下一步。

10. 在最终确定界面中查看新的 Feed 配置，然后点击提交。

UDM 映射表

日志字段	UDM 映射	逻辑
event.contentHash.sha256	target.process.file.sha256	目标进程文件的 SHA-256 哈希值，从原始日志中的 event.contentHash.sha256 字段中提取。
event.decodedContent	target.labels	脚本的解码内容，从原始日志中的 event.decodedContent 字段中提取。它会作为键为 Decoded Content 的标签添加到目标对象。
event.destinationAddress.address	target.ip	目标的 IP 地址，从原始日志中的 event.destinationAddress.address 字段中提取。
event.destinationAddress.port	target.port	目的地的端口，从原始日志中的 event.destinationAddress.port 字段中提取。
event.method	network.http.method	事件的 HTTP 方法，从原始日志中的 event.method 字段中提取。
event.newValueData	target.registry.registry_value_data	注册表值的新值数据，从原始日志中的 event.newValueData 字段中提取。
event.process.commandLine	target.process.command_line	进程的命令行，从原始日志中的 event.process.commandLine 字段中提取。
event.process.executable.hashes.md5	target.process.file.md5	进程可执行文件的 MD5 哈希，从原始日志中的 event.process.executable.hashes.md5 字段中提取。
event.process.executable.hashes.sha1	target.process.file.sha1	进程可执行文件的 SHA-1 哈希，从原始日志中的 event.process.executable.hashes.sha1 字段中提取。
event.process.executable.hashes.sha256	target.process.file.sha256	进程的可执行文件的 SHA-256 哈希值，从原始日志中的 event.process.executable.hashes.sha256 字段中提取。
event.process.executable.path	target.process.file.full_path	进程可执行文件的完整路径，从原始日志中的 event.process.executable.path 字段中提取。
event.process.executable.sizeBytes	target.process.file.size	进程的可执行文件的大小，从原始日志中的 event.process.executable.sizeBytes 字段中提取。
event.process.fullPid.pid	target.process.pid	进程的 PID，从原始日志中的 event.process.fullPid.pid 字段中提取。
event.query	network.dns.questions.name	从原始日志中的 event.query 字段中提取的 DNS 查询。
event.regKey.path	target.registry.registry_key	注册表键的路径，从原始日志中的 event.regKey.path 字段中提取。
event.regValue.key.value	target.registry.registry_name，target.registry.registry_value_name	注册表值的名称，从原始日志中的 event.regValue.key.value 字段中提取。
event.regValue.path	target.registry.registry_key	注册表值的路径，从原始日志中的 event.regValue.path 字段中提取。
event.results	network.dns.answers.data	从原始日志中的 event.results 字段中提取的 DNS 回答。系统会使用“;”分隔符将数据拆分为各个答案。
event.source.commandLine	principal.process.command_line	来源进程的命令行，从原始日志中的 event.source.commandLine 字段中提取。
event.source.executable.hashes.md5	principal.process.file.md5	源进程可执行文件的 MD5 哈希，从原始日志中的 event.source.executable.hashes.md5 字段中提取。
event.source.executable.hashes.sha1	principal.process.file.sha1	源进程可执行文件的 SHA-1 哈希，从原始日志中的 event.source.executable.hashes.sha1 字段中提取。
event.source.executable.hashes.sha256	principal.process.file.sha256	源进程的可执行文件的 SHA-256 哈希值，从原始日志中的 event.source.executable.hashes.sha256 字段中提取。
event.source.executable.path	principal.process.file.full_path	源进程可执行文件的完整路径，从原始日志中的 event.source.executable.path 字段中提取。
event.source.executable.signature.signed.identity	principal.resource.attribute.labels	源进程可执行文件的已签名身份，从原始日志中的 event.source.executable.signature.signed.identity 字段中提取。它会作为键为 Source Signature Signed Identity 的标签添加到主要资源属性标签中。
event.source.executable.sizeBytes	principal.process.file.size	源代码进程的可执行文件的大小，从原始日志中的 event.source.executable.sizeBytes 字段中提取。
event.source.fullPid.pid	principal.process.pid	来源进程的 PID，从原始日志中的 event.source.fullPid.pid 字段中提取。
event.source.parent.commandLine	principal.process.parent_process.command_line	来源父进程的命令行，从原始日志中的 event.source.parent.commandLine 字段中提取。
event.source.parent.executable.hashes.md5	principal.process.parent_process.file.md5	从原始日志中的 event.source.parent.executable.hashes.md5 字段中提取的来源父进程的可执行文件的 MD5 哈希。
event.source.parent.executable.hashes.sha1	principal.process.parent_process.file.sha1	源父进程可执行文件的 SHA-1 哈希，从原始日志中的 event.source.parent.executable.hashes.sha1 字段中提取。
event.source.parent.executable.hashes.sha256	principal.process.parent_process.file.sha256	来源父进程的可执行文件的 SHA-256 哈希值，从原始日志中的 event.source.parent.executable.hashes.sha256 字段中提取。
event.source.parent.executable.signature.signed.identity	principal.resource.attribute.labels	源父进程可执行文件的已签名身份，从原始日志中的 event.source.parent.executable.signature.signed.identity 字段中提取。它会作为键为 Source Parent Signature Signed Identity 的标签添加到主要资源属性标签中。
event.source.parent.fullPid.pid	principal.process.parent_process.pid	来源父进程的 PID，从原始日志中的 event.source.parent.fullPid.pid 字段中提取。
event.source.user.name	principal.user.userid	来源进程用户的用户名，从原始日志中的 event.source.user.name 字段中提取。
event.source.user.sid	principal.user.windows_sid	来源进程用户的 Windows SID，从原始日志中的 event.source.user.sid 字段中提取。
event.sourceAddress.address	principal.ip	来源的 IP 地址，从原始日志中的 event.sourceAddress.address 字段中提取。
event.sourceAddress.port	principal.port	来源的端口，从原始日志中的 event.sourceAddress.port 字段中提取。
event.target.executable.hashes.md5	target.process.file.md5	目标进程的可执行文件的 MD5 哈希，从原始日志中的 event.target.executable.hashes.md5 字段中提取。
event.target.executable.hashes.sha1	target.process.file.sha1	目标进程的可执行文件的 SHA-1 哈希，从原始日志中的 event.target.executable.hashes.sha1 字段中提取。
event.target.executable.hashes.sha256	target.process.file.sha256	目标进程的可执行文件的 SHA-256 哈希值，从原始日志中的 event.target.executable.hashes.sha256 字段中提取。
event.target.executable.path	target.process.file.full_path	目标进程的可执行文件的完整路径，从原始日志中的 event.target.executable.path 字段中提取。
event.target.executable.signature.signed.identity	target.resource.attribute.labels	目标进程可执行文件的已签名身份，从原始日志中的 event.target.executable.signature.signed.identity 字段中提取。它会作为键为 Target Signature Signed Identity 的标签添加到目标资源属性标签中。
event.target.executable.sizeBytes	target.process.file.size	目标进程的可执行文件的大小，从原始日志中的 event.target.executable.sizeBytes 字段中提取。
event.target.fullPid.pid	target.process.pid	目标进程的 PID，从原始日志中的 event.target.fullPid.pid 字段中提取。
event.targetFile.path	target.file.full_path	目标文件的完整路径，从原始日志中的 event.targetFile.path 字段中提取。
event.targetFile.signature.signed.identity	target.resource.attribute.labels	目标文件的已签名身份，从原始日志中的 event.targetFile.signature.signed.identity 字段中提取。它会作为键为 Target File Signature Signed Identity 的标签添加到目标资源属性标签中。
event.trueContext.key.value		未映射到 UDM。
event.type	metadata.description	事件类型，从原始日志中的 event.type 字段中提取。
event.url	target.url	事件的网址，从原始日志中的 event.url 字段中提取。
meta.agentVersion	metadata.product_version，metadata.product_version	代理的版本，从原始日志中的 meta.agentVersion 字段中提取。
meta.computerName	principal.hostname，target.hostname	计算机的主机名，从原始日志中的 meta.computerName 字段中提取。
meta.osFamily	principal.asset.platform_software.platform，target.asset.platform_software.platform	计算机的操作系统系列，从原始日志中的 meta.osFamily 字段中提取。它会映射到 linux 的 LINUX，并映射到 windows 的 WINDOWS。
meta.osRevision	principal.asset.platform_software.platform_version，target.asset.platform_software.platform_version	计算机的操作系统修订版本，从原始日志中的 meta.osRevision 字段中提取。
meta.traceId	metadata.product_log_id	事件的轨迹 ID，从原始日志中的 meta.traceId 字段中提取。
meta.uuid	principal.asset.product_object_id，target.asset.product_object_id	计算机的 UUID，从原始日志中的 meta.uuid 字段中提取。
metadata_event_type	metadata.event_type	事件类型，由解析器逻辑根据 event.type 字段设置。
metadata_product_name	metadata.product_name	商品的名称，由解析器逻辑设置为 Singularity XDR。
metadata_vendor_name	metadata.vendor_name	供应商的名称，由解析器逻辑设置为 SentinelOne。
network_application_protocol	network.application_protocol	网络连接的应用协议，由解析器逻辑将 DNS 事件设为 DNS。
network_dns_questions.name	network.dns.questions.name	DNS 问题的名称，从原始日志中的 event.query 字段中提取。
network_direction	network.direction	网络连接的方向，由解析器逻辑设置为 OUTBOUND（出站连接）和 INBOUND（入站连接）。
network_http_method	network.http.method	事件的 HTTP 方法，从原始日志中的 event.method 字段中提取。
principal.process.command_line	target.process.command_line	主进程的命令行，从 principal.process.command_line 字段中提取并映射到目标进程命令行。
principal.process.file.full_path	target.process.file.full_path	主进程文件的完整路径，从 principal.process.file.full_path 字段中提取并映射到目标进程文件的完整路径。
principal.process.file.md5	target.process.file.md5	主进程文件的 MD5 哈希，从 principal.process.file.md5 字段中提取并映射到目标进程文件 MD5。
principal.process.file.sha1	target.process.file.sha1	主进程文件的 SHA-1 哈希值，从 principal.process.file.sha1 字段中提取并映射到目标进程文件 SHA-1。
principal.process.file.sha256	target.process.file.sha256	主进程文件的 SHA-256 哈希值，从 principal.process.file.sha256 字段中提取并映射到目标进程文件 SHA-256。
principal.process.file.size	target.process.file.size	主进程文件的大小，从 principal.process.file.size 字段中提取并映射到目标进程文件大小。
principal.process.pid	target.process.pid	主进程的 PID，从 principal.process.pid 字段中提取并映射到目标进程 PID。
principal.user.userid	target.user.userid	正文的用户 ID，从 principal.user.userid 字段中提取并映射到目标用户 ID。
principal.user.windows_sid	target.user.windows_sid	主账号的 Windows SID，从 principal.user.windows_sid 字段中提取并映射到目标用户的 Windows SID。

变化

2024-07-29

增强功能：

• 如果 registry.keyPath 或 registry.value 不为 null，则仅将 metadata.event_type 映射到 REGISTRY_CREATION。

2024-07-23

增强功能：

• 将 agentDetectionInfo.agentOsName 映射到 target.platform_version。
• 将 agentDetectionInfo.agentLastLoggedInUserName 映射到 target.user.userid。

2024-07-09

bug 修复：

• 将 suser 的映射从 principal.user.userid 更改为了 target.user.userid。
• 将 suser 的映射从 principal.user.user_display_name 更改为了 target.user.user_display_name。
• 从 target.user.userid 中移除了 accountId 的映射。
• 将 prin_user 映射到 principal.user.userid。

2024-06-03

增强功能：

• 将 suser 映射到 principal.user.userid。
• 将 accountId 映射到 target.user.userid。
• 将 MessageSourceAddress 映射到 principal.ip。
• 将 machine_host 映射到 principal.hostname。

2024-05-20

增强功能：

• 将 event.dns.response 映射到 network.dns.answers.data。

2024-05-06

增强功能：

• 添加了对 JSON 日志的新模式的支持。

2024-03-22

增强功能：

• 添加了新的 Grok 模式，用于解析新格式的制表符分隔 KV 日志。
• 将 osName 映射到 src.platform。

2024-03-15

增强功能：

• 将 site.id:account.id:agent.uuid:tgt.process.uid 映射到 target.process.product_specific_process_id。
• 将 site.id:account.id:agent.uuid:src.process.uid 映射到 principal.process.product_specific_process_id。
• 将 site.id:account.id:agent.uuid:src.process.parent.uid 映射到 principal.process.parent_process.product_specific_process_id。
• 移除了将 src.process.cmdline 映射到 target.process.command_line 的操作。

2023-11-09

• 修复：
• 将 tgt.process.user 映射到 target.user.userid。

2023-10-30

• 修复：
• 在将 principal_port 映射到 UDM 之前，向其添加了非 null 检查。
• 当 event.category 为 url 且 meta.event.name 为 HTTP 时，将 metadata.event_type 映射到 NETWORK_HTTP。

2023-09-06

• 添加了 tgt.process.storyline.id 到 security_result.about.resource.attribute.labels 的映射。
• 将 src.process.storyline.id 的映射从 principal.process.product_specific_process_id 更改为了 security_result.about.resource.attribute.labels。
• 将 src.process.parent.storyline.id 的映射从 principal.parent.process.product_specific_process_id 更改为了 security_result.about.resource.attribute.labels。

2023-08-31

• 将 indicator.category 映射到 security_result.category_details。

2023-08-03

• 将 event_data.login.loginIsSuccessful 初始化为 null。
• 将 module.path 映射到 target.process.file.full_path 和 target.file.full_path，其中 event.type 为 Module Load。
• 将 module.sha1 映射到 target.process.file.sha1 和 target.file.sha1，其中 event.type 为 Module Load。
• 将 metadata.event_type 映射到 PROCESS_MODULE_LOAD，其中 event.type 为 Module Load。
• 将 registry.keyPath 映射到 target.registry.registry_key（适用于 REGISTRY_* 事件）。
• 将 registry.value 映射到 target.registry.registry_value_data（适用于 REGISTRY_* 事件）。
• 将 event.network.protocolName 映射到 network.application_protocol。
• 如果 endpoint.os 为 linux，则将 principal.platform、principal.asset.platform_software.platform 映射到 LINUX。
• 将 event.login.userName 映射到 target.user.userid（当 event.type 为 Login 或 Logout. 时）
• 当 event.type 为 GET、OPTIONS、POST、PUT、DELETE、CONNECT、HEAD 时，通过从 url.address 获取主机名来映射 target.hostname。

2023-06-09

• 将 osSrc.process.parent.publisher 映射到 principal.resource.attribute.labels。
• 将 src.process.rUserName/src.process.eUserName/src.process.lUserName 映射到 principal.user.user_display_name。
• 在将字段映射到 UDM 之前，对字段 src.process.eUserId、src.process.lUserId 和 tgt.process.rUserUid 添加了检查。
• 将 tgt.file.location、registry.valueFullSize 和 registry.valueType 映射到 target.resource.attribute.labels。
• 将 indicator.description 映射到 security_result.summary。
• 将 metadata.event_type 映射到 SCAN_NETWORK，其中 event.type 为 Behavioral Indicators。
• 将 metadata.event_type 映射到 SCAN_UNCATEGORIZED，其中 event.type 为 Command Script。
• 初始化了字段 meta.osFamily、meta.osRevision、event.type。
• 向日期过滤器添加了 ISO8601，以解析 ISO8601 时间戳。
• 向 @timestamp 字符串转换添加了 on_error。
• 向 meta.uuid 之前的映射添加了 on_error。

2023-05-25

• 将 event.source.commandLine 映射到 principal.process.command_line。
• 将 event.source.executable.path 映射到 principal.process.file.full_path。
• 将 metadata.event_type 设置为 PROCESS_OPEN，其中 event.type 为 openProcess。
• 如果 site.name 和 site.id 均不为 null，则将 site.name:site.id 映射到 principal.namespace。
• 将 event.network.direction 映射到 network.direction。
• 将 meta.event.name 映射到 metadata.description。
• 将 task.name 映射到 target.resource.name。
• 将 agent.uuid 映射到 principal.asset.product_object_id。
• 将 src.process.publisher 映射到 principal.resource.attribute.labels。
• 将 src.process.cmdline 映射到 target.process.command_line。
• 将 mgmt.osRevision 映射到 principal.asset.platform_software.platform_version。
• 根据 indicator.category 值映射了 security_result.category。
• 将 event.dns.response 映射到 network.dns.answers。
• 将 registry.keyPath 映射到 target.registry.registry_key。
• 将 event.id 映射到 target.registry.registry_value_name。

2023-04-27

• 将 Cloud Funnel v2 日志的 event.type 映射到 metadata.product_event_type。

2023-04-20

增强功能：

• 为字段 data.ipAddress 添加了 null 和“-”条件检查。
• 为字段 sourceMacAddresses 添加了 Grok 条件检查。

2023-03-02

增强功能：

• 如果 (event.type == tcpv4 and event.direction == INCOMING) 或 event.type 包含 (processExit|processTermination|processModification|duplicate)，则将 event.source.executable.signature.signed.identity 映射到 target.resource.attribute.labels，否则将其映射到 principal.resource.attribute.labels。
• 映射了 event.parent.executable.signature.signed.identity、event.process.executable.signature.signed.identity toprincipal.resource.attribute.labels,`。
• 将 event.targetFile.signature.signed.identity、event.target.executable.signature.signed.identity、event.target.parent.executable.signature.signed.identity 映射到 target.resource.attribute.labels。

2023-02-24

BugFix：

• 重构了代码，以明确区分日志版本。
• 对于 USER_LOGIN Cloud 漏斗 v2 日志，将 event.login.lognIsSuccessful 详细信息映射到 security_result.action 和 security_result.summary

2023-02-13

BugFix：

• 根据需要解析了 Cloud 漏斗 v1 日志。
• 将所有 http 日志映射到 NETWORK_HTTP。
• NETWORK_HTTP 的网址字段应映射到 target.url，而非 metadata.url_back_to_product。

2023-01-20

增强功能：

• 将“event.url”字段映射到了“target.hostname”和“target.url”。
• 将“metadata.event_type”映射到“NETWORK_HTTP”，前提是“event.type”为“http”。

2023-01-16

BugFix：

• 将 mgmt.url 映射到 metadata.url_back_to_product，而不是 target.url。
• 将 site.name 映射到 principal.location.name。
• 将 src.process.rUserUid 映射到 principal.user.userid。
• 将 src.process.eUserId 映射到 principal.user.userid。
• 将 src.process.lUserId 映射到 principal.user.userid。
• 将 src.process.parent.rUserUid 映射到 metadata.ingestion_labels。
• 将 src.process.parent.eUserId 映射到 metadata.ingestion_labels。
• 将 src.process.parent.lUserId 映射到 metadata.ingestion_labels。
• 将 tgt.process.rUserUid 映射到 target.user.userid。
• 将 tgt.process.eUserId 映射到 target.user.userid。
• 将 tgt.process.lUserId 映射到 target.user.userid。
• 如果 event.type 为 Process Creation，则将 metadata.event_type 映射到 PROCESS_LAUNCH。
• 如果 event.type 为 Duplicate Process Handle，则将 metadata.event_type 映射到 PROCESS_OPEN。
• 如果 event.type 为 Duplicate Thread Handle，则将 metadata.event_type 映射到 PROCESS_OPEN。
• 如果 event.type 为 Open Remote Process Handle，则将 metadata.event_type 映射到 PROCESS_OPEN。
• 如果 event.type 为 Remote Thread Creation，则将 metadata.event_type 映射到 PROCESS_LAUNCH。
• 如果 event.type 为 Command Script，则将 metadata.event_type 映射到 FILE_UNCATEGORIZED。
• 如果 event.type 为 IP Connect，则将 metadata.event_type 映射到 NETWORK_CONNECTION。
• 如果 event.type 为 IP Listen，则将 metadata.event_type 映射到 NETWORK_UNCATEGORIZED。
• 如果 event.type 为 File ModIfication，则将 metadata.event_type 映射到 FILE_MODIfICATION。
• 如果 event.type 为 File Creation，则将 metadata.event_type 映射到 FILE_CREATION。
• 如果 event.type 为 File Scan，则将 metadata.event_type 映射到 FILE_UNCATEGORIZED。
• 如果 event.type 为 File Deletion，则将 metadata.event_type 映射到 FILE_DELETION。
• 如果 event.type 为 File Rename，则将 metadata.event_type 映射到 FILE_MODIfICATION。
• 如果 event.type 为 Pre Execution Detection，则将 metadata.event_type 映射到 FILE_UNCATEGORIZED。
• 如果 event.type 为 Login，则将 metadata.event_type 映射到 USER_LOGIN。
• 如果 event.type 为 Logout，则将 metadata.event_type 映射到 USER_LOGOUT。
• 如果 event.type 为 GET，则将 metadata.event_type 映射到 NETWORK_HTTP。
• 如果 event.type 为 OPTIONS，则将 metadata.event_type 映射到 NETWORK_HTTP。
• 如果 event.type 为 POST，则将 metadata.event_type 映射到 NETWORK_HTTP。
• 如果 event.type 为 PUT，则将 metadata.event_type 映射到 NETWORK_HTTP。
• 如果 event.type 为 DELETE，则将 metadata.event_type 映射到 NETWORK_HTTP。
• 如果 event.type 为 CONNECT，则将 metadata.event_type 映射到 NETWORK_HTTP。
• 如果 event.type 为 HEAD，则将 metadata.event_type 映射到 NETWORK_HTTP。
• 如果 event.type 为 Not Reported，则将 metadata.event_type 映射到 STATUS_UNCATEGORIZED。
• 如果 event.type 为 DNS Resolved，则将 metadata.event_type 映射到 NETWORK_DNS。
• 如果 event.type 为 DNS Unresolved，则将 metadata.event_type 映射到 NETWORK_DNS。
• 如果 event.type 为 Task Register，则将 metadata.event_type 映射到 SCHEDULED_TASK_CREATION。
• 如果 event.type 为 Task Update，则将 metadata.event_type 映射到 SCHEDULED_TASK_MODIfICATION。
• 如果 event.type 为 Task Start，则将 metadata.event_type 映射到 SCHEDULED_TASK_UNCATEGORIZED。
• 如果 event.type 为 Task Trigger，则将 metadata.event_type 映射到 SCHEDULED_TASK_UNCATEGORIZED。
• 如果 event.type 为 Task Delete，则将 metadata.event_type 映射到 SCHEDULED_TASK_DELETION。
• 如果 event.type 为 Registry Key Create，则将 metadata.event_type 映射到 REGISTRY_CREATION。
• 如果 event.type 为 Registry Key Rename，则将 metadata.event_type 映射到 REGISTRY_MODIfICATION。
• 如果 event.type 为 Registry Key Delete，则将 metadata.event_type 映射到 REGISTRY_DELETION。
• 如果 event.type 为 Registry Key Export，则将 metadata.event_type 映射到 REGISTRY_UNCATEGORIZED。
• 如果 event.type 为 Registry Key Security Changed，则将 metadata.event_type 映射到 REGISTRY_MODIfICATION。
• 如果 event.type 为 Registry Key Import，则将 metadata.event_type 映射到 REGISTRY_CREATION。
• 如果 event.type 为 Registry Value ModIfied，则将 metadata.event_type 映射到 REGISTRY_MODIfICATION。
• 如果 event.type 为 Registry Value Create，则将 metadata.event_type 映射到 REGISTRY_CREATION。
• 如果 event.type 为 Registry Value Delete，则将 metadata.event_type 映射到 REGISTRY_DELETION。
• 如果 event.type 为 Behavioral Indicators，则将 metadata.event_type 映射到 SCAN_UNCATEGORIZED。
• 如果 event.type 为 Module Load，则将 metadata.event_type 映射到 PROCESS_MODULE_LOAD。
• 如果 event.type 为 Threat Intelligence Indicators，则将 metadata.event_type 映射到 SCAN_UNCATEGORIZED。
• 如果 event.type 为 Named Pipe Creation，则将 metadata.event_type 映射到 PROCESS_UNCATEGORIZED。
• 如果 event.type 为 Named Pipe Connection，则将 metadata.event_type 映射到 PROCESS_UNCATEGORIZED。
• 如果 event.type 为 Driver Load，则将 metadata.event_type 映射到 PROCESS_MODULE_LOAD。

2022-11-30

增强功能：

• 通过映射以下字段，增强了解析器，以支持在版本 V2 中提取的日志。
• 将 account.id 映射到 metadata.product_deployment_id。
• 将 agent.uuid 映射到 principal.asset.asset_id。
• 将 dst.ip.address 映射到 target.ip。
• 将 src.ip.address 映射到 principal.ip。
• 将 src.process.parent.image.sha1 映射到 principal.process.parent_process.file.sha1。
• 将 src.process.parent.image.sha256 映射到 principal.process.parent_process.file.sha256。
• 将 src.process.parent.image.path 映射到 principal.process.parent_process.file.full_path。
• 将 src.process.parent.cmdline 映射到 principal.process.parent_process.command_line。
• 将 src.process.parent.image.md5 映射到 principal.process.parent_process.file.md5。
• 将 src.process.parent.pid 映射到 principal.process.parent_process.pid。
• 将 src.process.image.sha1 映射到 principal.process.file.sha1。
• 将 src.process.image.md5 映射到 principal.process.file.md5。
• 将 src.process.pid 映射到 principal.process.pid。
• 将 src.process.cmdline 映射到 principal.process.command_line。
• 将 src.process.image.path 映射到 principal.process.file.full_path。
• 将 src.process.image.sha256 映射到 principal.process.file.sha256。
• 将 src.process.user 映射到 principal.user.user_display_name。
• 将 src.process.uid 映射到 principal.user.userid。
• 将 src.process.storyline.id 映射到 principal.process.product_specific_process_id。
• 将 src.process.parent.storyline.id 映射到 principal.process.parent_process.product_specific_process_id。
• 将 mgmt.url 映射到 target.url。
• 将 site.id 映射到 principal.namespace。
• 将 src.port.number 映射到 principal.port。
• 将 dst.port.number 映射到 target.port。
• 将 event_data.id 映射到 metadata.product_log_id。

2022-10-11

增强功能：

• 将 threatClassification 映射到 security_result.category_details。
• 将 threatConfidenceLevel 和 threatMitigationStatus 映射到 security_result.detection_fields。
• 将 Location 映射到 principal.location.name。
• 将 data.filePath 映射到 principal.process.parent_process.file.full_path。
• 更新了 (CAT Value)security_result.category_details 与 metadata.product_event_type 之间的映射

2022-09-01

增强功能：

• 将 metadata.product_name 从 SentinelOne 更改为 Singularity。
• 将 event.regValue.key.value 映射到 target.registry.registry_value_name。
• 将 principal_userid 映射到 principal.user.userid。
• 将 principal_domain 映射到 principal.administrative_domain。
• 将 threatInfo.threatId 映射到 security_result.threat_id
• 将 threatInfo.identifiedAt 映射到 metadata.event_timestamp。
• 将 threatInfo.threatId 映射到 metadata.product_log_id。
• 将 security_result.alert_state 映射到 ALERTING。
• 将 threatInfo.maliciousProcessArguments 映射到 security_result.description。
• 将 threatInfo.threatName 映射到 security_result.threat_name。
• 将 threatInfo.classification 映射到 security_result.category_details。
• 将 security_result.category 映射到 SOFTWARE_MALICIOUS（如果 threatInfo.classification 为恶意），否则映射到 NETWORK_SUSPICIOUS。
• 将 security_result.action 映射到 ALLOW（如果 threatInfo.mitigationStatus 为“mitigated”），否则映射到 BLOCK。
• 将 threatInfo.mitigationStatus 映射到 security_result.action_details。
• 将 threatInfo.classification threatInfo.classificationSource threatInfo.analystVerdictDescription threatInfo.threatName 映射到 security_result.summary。
• 将 threatInfo.createdAt 映射到 metadata.collected_timestamp。
• 将 agentRealtimeInfo.accountId 映射到 metadata.product_deployment_id。
• 将 agentRealtimeInfo.agentVersion 映射到 metadata.product_version。
• 将 indicator.category 映射到 detection_fields.key，将 indicator.description 映射到 detection_fields.value。
• 将 detectionEngines.key 映射到 detection_fields.key，将 detectionEngines.title 映射到 detection_fields.value。
• 将 metadata.event_type 映射到 SCAN_UNCATEGORIZED，其中 meta.computerName 不为 null。

2022-07-21

增强功能：

• 将 event.source.executable.hashes.md5 映射到 principal.process.file.md5。
• 将 event.source.executable.hashes.sha256 映射到 principal.process.file.sha256。
• 将 event.source.executable.hashes.sha1 映射到 principal.process.file.sha1。
• 将 event.source.fullPid.pid 映射到 principal.process.pid。
• 将 event.source.user.name 映射到 principal.user.userid。
• 将 meta.agentVersion 映射到 metadata.product_version。
• 将 event.appName 映射到 target.application。
• 将 event.contentHash.sha256 映射到 target.process.file.sha256。
• 将 event.source.commandLine 映射到 target.process.command_line。
• 将 event.decodedContent 映射到 target.labels。
• 将 metadata.description 从脚本更改为命令脚本（event.type 为脚本）。
• 将供应商映射到 metadata.vendor_name。
• 将 data.fileContentHash 映射到 target.process.file.md5。
• 将 data.ipAddress 映射到 principal.ip。
• 将 activityUuid 映射到 target.asset.product_object_id。
• 将 agentId 映射到 metadata.product_deployment_id。
• 在将 user_email 映射到 principal.user.email_addresses 之前，添加了电子邮件验证；如果验证失败，则将其映射到 principal.user.userid。
• 将 sourceIpAddresses 映射到 principal.ip。
• 将 accountName 映射到 principal.administrative_domain。
• 将 activityId 映射到 additional.fields。

2022-07-15

增强功能：

• 使用 JSON 格式解析了新日志，并映射了以下新字段：-
• 将 metadata.product_name 映射到 SENTINEL_ONE。
• 将 sourceParentProcessMd5 映射到 principal.process.parent_process.file.md5。
• 将 sourceParentProcessPath 映射到 principal.process.parent_process.file.full_path。
• 将 sourceParentProcessPid 映射到 principal.process.parent_process.pid。
• 将 sourceParentProcessSha1 映射到 principal.process.parent_process.file.sha1。
• 将 sourceParentProcessSha256 映射到 principal.process.parent_process.file.sha256。
• 将 sourceParentProcessCmdArgs 映射到 principal.process.parent_process.command_line。
• 将 sourceProcessCmdArgs 映射到 principal.process.command_line。
• 将 sourceProcessMd5 映射到 principal.process.file.md5。
• 将 sourceProcessPid 映射到 principal.process.pid。
• 将 sourceProcessSha1 映射到 principal.process.file.sha1。
• 将 sourceProcessSha256 映射到 principal.process.file.sha256。
• 将 sourceProcessPath 映射到 principal.process.file.full_path。
• 将 tgtFilePath 映射到 target.file.full_path。
• 将 tgtFileHashSha256 映射到 target.file.sha256。
• 将 tgtFileHashSha1 映射到 target.file.sha1。
• 将 tgtProcUid 映射到 target.process.product_specific_process_id。
• 将 tgtProcCmdLine 映射到 target.process.command_line。
• 将 tgtProcPid 映射到 target.process.pid。
• 将 tgtProcName 映射到 target.application。
• 将 dstIp 映射到 target.ip。
• 将 srcIp 映射到 principal.ip。
• 将 dstPort 映射到 target.port。
• 将 srcPort 映射到 principal.port。
• 将 origAgentName 映射到 principal.hostname。
• 将 agentIpV4 映射到 principal.ip。
• 将 groupId 映射到 principal.user.group_identifiers。
• 将 groupName 映射到 principal.user.group_display_name。
• 将 origAgentVersion 映射到 principal.asset.software.version。
• 将 origAgentOsFamily 映射到 principal.platform。
• origAgentOsName 更改为 principal.asset.software.name`。
• 当 sourceEventType = FILEMODIFICATION 时，将 event_type 更改为 FILE_MODIFICATION。
• 当 sourceEventType = FILEDELETION 时，将 event_type 更改为 FILE_DELETION。
• 当 sourceEventType = PROCESSCREATION 时，将 event_type 更改为 PROCESS_LAUNCH。
• 当 sourceEventType = TCPV4 时，将 event_type 更改为 NETWORK_CONNECTION。

2022-06-13

增强功能：

• for [event][type] == fileCreation and [event][type] == fileDeletion
• 将 event.targetFile.path 映射到 target.file.full_path。
• 将 event.targetFile.hashes.md5 映射到 target.process.file.md5。
• 将 event.targetFile.hashes.sha1 映射到 target.process.file.sha1。
• 将 event.targetFile.hashes.sha256 映射到 target.process.file.sha256。
• for [event][type] == fileModification
• 将 event.file.path 映射到 target.file.full_path。
• 将 event.file.hashes.md5 映射到 target.process.file.md5。
• 将 event.file.hashes.sha1 映射到 target.process.file.sha1。
• 将 event.file.hashes.sha256 映射到 target.process.file.sha256。

2022-04-18

• 增强了解析器，以处理所有未解析的原始日志。

需要更多帮助？向社区成员和 Google SecOps 专业人士寻求解答。