SentinelOne Deep Visibility-Protokolle erfassen
In diesem Dokument wird beschrieben, wie Sie SentinelOne Deep Visibility-Logs mit Cloud Funnel nach Google Security Operations exportieren, um sie dann in Google Cloud Storage zu speichern. Der Parser wandelt Roh-Sicherheitsereignisprotokolle im JSON-Format in ein strukturiertes Format um, das dem UDM entspricht. Zuerst werden eine Reihe von Variablen initialisiert, dann wird der Ereignistyp extrahiert und die JSON-Nutzlast geparst. Relevante Felder werden dem UDM-Schema zugeordnet, während Windows-Ereignisprotokolle separat verarbeitet werden.
Vorbereitung
- Sie benötigen eine Google SecOps-Instanz.
- Sie benötigen Berechtigungen für Google Cloud.
- Prüfen Sie, ob SentinelOne Deep Visibility in Ihrer Umgebung eingerichtet ist.
- Sie benötigen erhöhte Zugriffsrechte für SentinelOne.
Google Cloud Storage-Bucket erstellen
- Melden Sie sich in der Google Cloud Console an.
Rufen Sie die Seite Cloud Storage-Buckets auf.
Klicken Sie auf Erstellen.
Geben Sie auf der Seite Bucket erstellen die Bucket-Informationen ein. Klicken Sie nach jedem der folgenden Schritte auf Weiter, um mit dem nächsten Schritt fortzufahren:
Führen Sie im Abschnitt Einstieg die folgenden Schritte aus:
- Geben Sie einen eindeutigen Namen ein, der den Anforderungen für Bucket-Namen entspricht, z. B. sentinelone-deepvisibility.
Wenn Sie den hierarchischen Namespace aktivieren möchten, klicken Sie auf den Maximierungspfeil, um den Bereich Für dateiorientierte und datenintensive Arbeitslasten optimieren zu maximieren, und wählen Sie dann Hierarchischen Namespace für diesen Bucket aktivieren aus.
Wenn Sie ein Bucket-Label hinzufügen möchten, klicken Sie auf den Erweiterungspfeil, um den Bereich Labels zu maximieren.
Klicken Sie auf Label hinzufügen und geben Sie einen Schlüssel und einen Wert für das Label an.
Gehen Sie im Bereich Speicherort für Daten auswählen so vor:
- Standorttyp auswählen.
Wählen Sie im Menü „Standorttyp“ einen Speicherort aus, an dem die Objektdaten in Ihrem Bucket dauerhaft gespeichert werden sollen.
Wenn Sie die Bucket-übergreifende Replikation einrichten möchten, maximieren Sie den Bereich Bucket-übergreifende Replikation einrichten.
Wählen Sie im Abschnitt Speicherklasse für Ihre Daten auswählen entweder eine Standardspeicherklasse für den Bucket oder Autoclass für die automatische Verwaltung der Speicherklassen Ihrer Bucket-Daten aus.
Wählen Sie im Abschnitt Zugriff auf Objekte steuern die Option nicht aus, um die Verhinderung des öffentlichen Zugriffs zu erzwingen, und wählen Sie ein Zugriffssteuerungsmodell für die Objekte Ihres Buckets aus.
Gehen Sie im Bereich Auswählen, wie Objektdaten geschützt werden so vor:
- Wählen Sie unter Datenschutz die Optionen aus, die Sie für den Bucket festlegen möchten.
- Um auszuwählen, wie Ihre Objektdaten verschlüsselt werden, klicken Sie auf den Erweiterungspfeil mit Label Datenverschlüsselung und wählen Sie eine Methode für die Datenverschlüsselung aus.
Klicken Sie auf Erstellen.
Google Cloud-Dienstkonto erstellen
- Gehen Sie zu IAM und Verwaltung > Dienstkonten.
- Erstellen Sie ein neues Dienstkonto.
- Geben Sie einen aussagekräftigen Namen für den Bucket ein, z. B. sentinelone-dv-logs.
- Weisen Sie dem Dienstkonto die Rolle Storage Object Creator für den im vorherigen Schritt erstellten Cloud Storage-Bucket zu.
- Erstellen Sie einen SSH-Schlüssel für das Dienstkonto.
- Laden Sie eine JSON-Schlüsseldatei für das Dienstkonto herunter. Bewahren Sie diese Datei sicher auf.
Cloud-Trichter in SentinelOne DeepVisibility konfigurieren
- Melden Sie sich in SentinelOne DeepVisibility an.
- Klicken Sie auf Konfigurieren > Richtlinien und Einstellungen.
- Klicken Sie im Bereich Singularity Data Lake auf Cloud Funnel.
- Geben Sie die folgenden Konfigurationsdetails an:
- Cloud-Anbieter: Wählen Sie Google Cloudaus.
- Bucket-Name: Geben Sie den Namen des Cloud Storage-Buckets ein, das Sie für die SentinelOne DeepVisibility-Protokollaufnahme erstellt haben.
- Telemetrie-Streaming: Wählen Sie Aktivieren aus.
- Abfragefilter: Erstellen Sie eine Abfrage, die die Agents enthält, die Daten an einen Cloud Storage-Bucket senden müssen.
- Klicke auf Validieren.
- Einzuschließende Felder: Wählen Sie alle Felder aus.
- Klicken Sie auf Speichern.
Feed in Google SecOps konfigurieren, um SentinelOne Deep Visibility-Protokolle zu verarbeiten
- Gehen Sie zu SIEM-Einstellungen > Feeds.
- Klicken Sie auf Neu hinzufügen.
- Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. SentinelOne DV-Logs.
- Wählen Sie Google Cloud Storage als Quelltyp aus.
- Wählen Sie SentinelOne Deep Visibility als Logtyp aus.
- Klicken Sie als Chronicle-Dienstkonto auf Dienstkonto abrufen.
- Klicken Sie auf Weiter.
Geben Sie Werte für die folgenden Eingabeparameter an:
- Storage Bucket-URI: Google Cloud Storage-Bucket-URL im Format
gs://my-bucket/<value>
. - URI ist: Wählen Sie Verzeichnis mit Unterverzeichnissen aus.
Optionen zum Löschen der Quelle: Wählen Sie die gewünschte Löschoption aus.
Asset-Namespace: der Asset-Namespace.
Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet wird.
- Storage Bucket-URI: Google Cloud Storage-Bucket-URL im Format
Klicken Sie auf Weiter.
Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm „Abschließen“ und klicken Sie dann auf Senden.
UDM-Zuordnungstabelle
Logfeld | UDM-Zuordnung | Logik |
---|---|---|
AdapterName | security_result.about.resource.attribute.labels.value | Der Wert wird aus dem Feld „AdapterName“ im Rohprotokoll übernommen. |
AdapterSuffixName | security_result.about.resource.attribute.labels.value | Der Wert wird aus dem Feld „AdapterSuffixName“ im Rohprotokoll übernommen. |
agent_version | read_only_udm.metadata.product_version | Der Wert wird aus dem Feld „meta.agent_version“ im Rohprotokoll übernommen. |
Version | security_result.about.resource.attribute.labels.value | Der Wert wird aus dem Feld „Channel“ im Rohprotokoll übernommen. |
commandLine | read_only_udm.principal.process.command_line | Der Wert wird aus dem Feld „event.Event. |
computer_name | read_only_udm.principal.hostname | Der Wert wird aus dem Feld „meta.computer_name“ im Rohprotokoll übernommen. |
destinationAddress.address | read_only_udm.target.ip | Der Wert wird aus dem Feld „event.Event.Tcpv4.destinationAddress.address“ im Rohprotokoll übernommen. |
destinationAddress.port | read_only_udm.target.port | Der Wert wird aus dem Feld „event.Event.Tcpv4.destinationAddress.port“ im Rohprotokoll übernommen. |
DnsServerList | read_only_udm.principal.ip | Der Wert wird aus dem Feld „DnsServerList“ im Rohprotokoll übernommen. |
ErrorCode_new | security_result.detection_fields.value | Der Wert wird aus dem Feld „ErrorCode_new“ im Rohprotokoll übernommen. |
EventID | security_result.about.resource.attribute.labels.value | Der Wert wird aus dem Feld „EventID“ im Rohprotokoll übernommen. |
event.Event.Dns.query | read_only_udm.network.dns.questions.name | Der Wert wird aus dem Feld „event.Event.Dns.query“ im Rohprotokoll übernommen. |
event.Event.Dns.results | read_only_udm.network.dns.answers.data | Der Wert wird aus dem Feld „event.Event.Dns.results“ im Rohprotokoll übernommen. |
event.Event.Dns.source.fullPid.pid | read_only_udm.principal.process.pid | Der Wert wird aus dem Feld „event.Event.Dns.source.fullPid.pid“ im Rohprotokoll übernommen. |
event.Event.Dns.source.user.name | read_only_udm.principal.user.userid | Der Wert wird aus dem Feld „event.Event.Dns.source.user.name“ im Rohprotokoll übernommen. |
event.Event.FileCreation.source.fullPid.pid | read_only_udm.principal.process.pid | Der Wert wird aus dem Feld „event.Event.FileCreation.source.fullPid.pid“ im Rohprotokoll übernommen. |
event.Event.FileCreation.source.user.name | read_only_udm.principal.user.userid | Der Wert wird aus dem Feld „event.Event.FileCreation.source.user.name“ im Rohprotokoll übernommen. |
event.Event.FileCreation.targetFile.path | read_only_udm.target.file.full_path | Der Wert wird aus dem Feld „event.Event.FileCreation.targetFile.path“ im Rohprotokoll übernommen. |
event.Event.FileDeletion.source.fullPid.pid | read_only_udm.principal.process.pid | Der Wert wird aus dem Feld „event.Event.FileDeletion.source.fullPid.pid“ im Rohprotokoll übernommen. |
event.Event.FileDeletion.source.user.name | read_only_udm.principal.user.userid | Der Wert wird aus dem Feld „event.Event.FileDeletion.source.user.name“ im Rohprotokoll übernommen. |
event.Event.FileDeletion.targetFile.path | read_only_udm.target.file.full_path | Der Wert wird aus dem Feld „event.Event.FileDeletion.targetFile.path“ im Rohprotokoll übernommen. |
event.Event.FileModification.file.path | read_only_udm.target.file.full_path | Der Wert wird aus dem Feld „event.Event.FileModification.file.path“ im Rohprotokoll übernommen. |
event.Event.FileModification.source.user.name | read_only_udm.principal.user.userid | Der Wert wird aus dem Feld „event.Event.FileModification.source.user.name“ im Rohprotokoll übernommen. |
event.Event.FileModification.targetFile.path | read_only_udm.target.file.full_path | Der Wert wird aus dem Feld „event.Event.FileModification.targetFile.path“ im Rohprotokoll übernommen. |
event.Event.Http.source.user.name | read_only_udm.principal.user.userid | Der Wert wird aus dem Feld „event.Event.Http.source.user.name“ im Rohprotokoll übernommen. |
event.Event.Http.url | read_only_udm.target.url | Der Wert wird aus dem Feld „event.Event.Http.url“ im Rohprotokoll übernommen. |
event.Event.ProcessCreation.process.user.name | read_only_udm.principal.user.userid | Der Wert wird aus dem Feld „event.Event.ProcessCreation.process.user.name“ im Rohprotokoll übernommen. |
event.Event.ProcessCreation.source.user.name | read_only_udm.principal.user.userid | Der Wert wird aus dem Feld „event.Event.ProcessCreation.source.user.name“ im Rohprotokoll übernommen. |
event.Event.ProcessExit.source.user.name | read_only_udm.principal.user.userid | Der Wert wird aus dem Feld „event.Event.ProcessExit.source.user.name“ im Rohprotokoll übernommen. |
event.Event.ProcessTermination.source.user.name | read_only_udm.principal.user.userid | Der Wert wird aus dem Feld „event.Event.ProcessTermination.source.user.name“ im Rohprotokoll übernommen. |
event.Event.RegKeyCreate.source.fullPid.pid | read_only_udm.principal.process.pid | Der Wert wird aus dem Feld „event.Event.RegKeyCreate.source.fullPid.pid“ im Rohprotokoll übernommen. |
event.Event.RegKeyCreate.source.user.name | read_only_udm.principal.user.userid | Der Wert wird aus dem Feld „event.Event.RegKeyCreate.source.user.name“ im Rohprotokoll übernommen. |
event.Event.RegKeyDelete.source.user.name | read_only_udm.principal.user.userid | Der Wert wird aus dem Feld „event.Event.RegKeyDelete.source.user.name“ im Rohprotokoll übernommen. |
event.Event.RegValueModified.source.user.name | read_only_udm.principal.user.userid | Der Wert wird aus dem Feld „event.Event.RegValueModified.source.user.name“ im Rohprotokoll übernommen. |
event.Event.SchedTaskDelete.source.user.name | read_only_udm.principal.user.userid | Der Wert wird aus dem Feld „event.Event.SchedTaskDelete.source.user.name“ im Rohprotokoll übernommen. |
event.Event.SchedTaskRegister.source.user.name | read_only_udm.principal.user.userid | Der Wert wird aus dem Feld „event.Event.SchedTaskRegister.source.user.name“ im Rohprotokoll übernommen. |
event.Event.SchedTaskStart.source.user.name | read_only_udm.principal.user.userid | Der Wert wird aus dem Feld „event.Event.SchedTaskStart.source.user.name“ im Rohprotokoll übernommen. |
event.Event.SchedTaskTrigger.source.fullPid.pid | read_only_udm.principal.process.pid | Der Wert wird aus dem Feld „event.Event.SchedTaskTrigger.source.fullPid.pid“ im Rohprotokoll übernommen. |
event.Event.SchedTaskTrigger.source.user.name | read_only_udm.principal.user.userid | Der Wert wird aus dem Feld „event.Event.SchedTaskTrigger.source.user.name“ im Rohprotokoll übernommen. |
event.Event.Tcpv4.source.fullPid.pid | read_only_udm.principal.process.pid | Der Wert wird aus dem Feld „event.Event.Tcpv4.source.fullPid.pid“ im Rohprotokoll übernommen. |
event.Event.Tcpv4.source.user.name | read_only_udm.principal.user.userid | Der Wert wird aus dem Feld „event.Event.Tcpv4.source.user.name“ im Rohprotokoll übernommen. |
event.Event.Tcpv4Listen.local.address | read_only_udm.principal.ip | Der Wert wird aus dem Feld „event.Event.Tcpv4Listen.local.address“ im Rohprotokoll übernommen. |
event.timestamp.millisecondsSinceEpoch | read_only_udm.metadata.event_timestamp.seconds | Der Wert wird aus dem Feld „event.timestamp.millisecondsSinceEpoch“ im Rohprotokoll übernommen und in Sekunden umgewandelt. |
event.timestamp.millisecondsSinceEpoch | read_only_udm.metadata.event_timestamp.nanos | Der Wert wird aus dem Feld „event.timestamp.millisecondsSinceEpoch“ im Rohprotokoll übernommen und in Nanosekunden umgewandelt. |
event.timestamp.millisecondsSinceEpoch | security_result.about.resource.attribute.labels.value | Der Wert wird aus dem Feld „event.timestamp.millisecondsSinceEpoch“ im Rohprotokoll übernommen und als Wert für ein Label im Array „security_result.about.resource.attribute.labels“ verwendet. |
event_type | read_only_udm.metadata.product_event_type | Der Wert wird mithilfe eines Grok-Musters aus dem Feld „message“ im Rohprotokoll extrahiert. |
executable.hashes.md5 | read_only_udm.principal.process.file.md5 | Der Wert wird aus dem Feld „event.Event. |
executable.hashes.sha1 | read_only_udm.principal.process.file.sha1 | Der Wert wird aus dem Feld „event.Event. |
executable.hashes.sha256 | read_only_udm.principal.process.file.sha256 | Der Wert wird aus dem Feld „event.Event. |
executable.path | read_only_udm.principal.process.file.full_path | Der Wert wird aus dem Feld „event.Event. |
executable.sizeBytes | read_only_udm.principal.process.file.size | Der Wert wird aus dem Feld „event.Event. |
fullPid.pid | read_only_udm.principal.process.pid | Der Wert wird aus dem Feld „event.Event. |
hashes.md5 | read_only_udm.target.file.md5 | Der Wert wird aus dem Feld „event.Event.ProcessCreation.hashes.md5“ im Rohprotokoll übernommen. |
hashes.sha1 | read_only_udm.target.file.sha1 | Der Wert wird aus dem Feld „event.Event.ProcessCreation.hashes.sha1“ im Rohprotokoll übernommen. |
hashes.sha256 | read_only_udm.target.file.sha256 | Der Wert wird aus dem Feld „event.Event.ProcessCreation.hashes.sha256“ im Rohprotokoll übernommen. |
IpAddress | read_only_udm.target.ip | Der Wert wird aus dem Feld „IpAddress“ im Rohprotokoll übernommen. |
local.address | read_only_udm.principal.ip | Der Wert wird aus dem Feld „event.Event.Tcpv4Listen.local.address“ im Rohprotokoll übernommen. |
local.port | read_only_udm.principal.port | Der Wert wird aus dem Feld „event.Event.Tcpv4Listen.local.port“ im Rohprotokoll übernommen. |
log_type | read_only_udm.metadata.log_type | Der Wert wird aus dem Feld „log_type“ im Rohprotokoll übernommen. |
meta.agent_version | read_only_udm.metadata.product_version | Der Wert wird aus dem Feld „meta.agent_version“ im Rohprotokoll übernommen. |
meta.computer_name | read_only_udm.principal.hostname | Der Wert wird aus dem Feld „meta.computer_name“ im Rohprotokoll übernommen. |
meta.os_family | read_only_udm.principal.platform | Der Wert wird aus dem Feld „meta.os_family“ im Rohprotokoll übernommen und der entsprechenden Plattform zugeordnet (z.B. windows für WINDOWS, osx für MAC und linux für LINUX). |
meta.os_name | read_only_udm.principal.platform_version | Der Wert wird aus dem Feld „meta.os_name“ im Rohprotokoll übernommen. |
meta.os_revision | read_only_udm.principal.platform_patch_level | Der Wert wird aus dem Feld „meta.os_revision“ im Rohprotokoll übernommen. |
meta.uuid | read_only_udm.principal.asset_id | Der Wert wird aus dem Feld „meta.uuid“ im Rohprotokoll übernommen und mit SENTINELONE: vorangestellt. |
Name | read_only_udm.principal.application | Der Wert wird aus dem Feld „event.Event. |
parent.executable.hashes.md5 | read_only_udm.target.process.parent_process.file.md5 | Der Wert wird aus dem Feld „event.Event. |
parent.executable.hashes.sha1 | read_only_udm.target.process.parent_process.file.sha1 | Der Wert wird aus dem Feld „event.Event. |
parent.executable.hashes.sha256 | read_only_udm.target.process.parent_process.file.sha256 | Der Wert wird aus dem Feld „event.Event. |
parent.executable.path | read_only_udm.target.process.parent_process.file.full_path | Der Wert wird aus dem Feld „event.Event. |
parent.fullPid.pid | read_only_udm.target.process.parent_process.pid | Der Wert wird aus dem Feld „event.Event. |
Pfad | read_only_udm.principal.process.file.full_path | Der Wert wird aus dem Feld „event.Event. |
process.commandLine | read_only_udm.target.process.command_line | Der Wert wird aus dem Feld „event.Event.ProcessCreation.process.commandLine“ im Rohprotokoll übernommen. |
process.fullPid.pid | read_only_udm.target.process.pid | Der Wert wird aus dem Feld „event.Event.ProcessCreation.process.fullPid.pid“ im Rohprotokoll übernommen. |
process.parent.fullPid.pid | read_only_udm.target.process.parent_process.pid | Der Wert wird aus dem Feld „event.Event.ProcessCreation.process.parent.fullPid.pid“ im Rohprotokoll übernommen. |
ProviderGuid | security_result.about.resource.attribute.labels.value | Der Wert wird aus dem Feld „ProviderGuid“ im Rohprotokoll übernommen, wobei die geschweiften Klammern entfernt werden. |
Abfrage | read_only_udm.network.dns.questions.name | Der Wert wird aus dem Feld „event.Event.Dns.query“ im Rohprotokoll übernommen. |
RecordNumber | security_result.about.resource.attribute.labels.value | Der Wert wird aus dem Feld „RecordNumber“ im Rohprotokoll übernommen. |
regKey.path | read_only_udm.target.registry.registry_key | Der Wert wird aus dem Feld „event.Event.RegKeyCreate.regKey.path“ oder „event.Event.RegKeyDelete.regKey.path“ im Rohprotokoll übernommen. |
regValue.path | read_only_udm.target.registry.registry_key | Der Wert wird aus dem Feld „event.Event.RegValueDelete.regValue.path“ oder „event.Event.RegValueModified.regValue.path“ im Rohprotokoll übernommen. |
Ergebnisse | read_only_udm.network.dns.answers.data | Der Wert wird aus dem Feld „event.Event.Dns.results“ im Rohprotokoll übernommen. |
UpdateServer gesendet | intermediary.hostname | Der Wert wird aus dem Feld „Sent UpdateServer“ im Rohprotokoll übernommen. |
seq_id | Dieses Feld wird nicht direkt dem UDM zugeordnet. | |
signature.Status.Signed.identity | Dieses Feld wird nicht direkt dem UDM zugeordnet. | |
sizeBytes | read_only_udm.principal.process.file.size | Der Wert wird aus dem Feld „event.Event. |
sourceAddress.address | read_only_udm.principal.ip | Der Wert wird aus dem Feld „event.Event.Tcpv4.sourceAddress.address“ im Rohprotokoll übernommen. |
sourceAddress.port | read_only_udm.principal.port | Der Wert wird aus dem Feld „event.Event.Tcpv4.sourceAddress.port“ im Rohprotokoll übernommen. |
SourceName | security_result.about.resource.attribute.labels.value | Der Wert wird aus dem Feld „SourceName“ im Rohprotokoll übernommen. |
Status | Dieses Feld wird nicht direkt dem UDM zugeordnet. | |
taskName | read_only_udm.target.resource.name | Der Wert wird aus dem Feld „event.Event.SchedTaskStart.taskName“, „event.Event.SchedTaskTrigger.taskName“ oder „event.Event.SchedTaskDelete.taskName“ im Rohprotokoll übernommen. |
targetFile.hashes.md5 | read_only_udm.target.file.md5 | Der Wert wird aus dem Feld „event.Event.FileDeletion.targetFile.hashes.md5“ oder „event.Event.SchedTaskStart.targetFile.hashes.md5“ im Rohprotokoll übernommen. |
targetFile.hashes.sha1 | read_only_udm.target.file.sha1 | Der Wert wird aus dem Feld „event.Event.FileDeletion.targetFile.hashes.sha1“ oder „event.Event.SchedTaskStart.targetFile.hashes.sha1“ im Rohprotokoll übernommen. |
targetFile.hashes.sha256 | read_only_udm.target.file.sha256 | Der Wert wird aus dem Feld „event.Event.FileDeletion.targetFile.hashes.sha256“ oder „event.Event.SchedTaskStart.targetFile.hashes.sha256“ im Rohprotokoll übernommen. |
targetFile.path | read_only_udm.target.file.full_path | Der Wert wird aus dem Feld „event.Event.FileDeletion.targetFile.path“ oder „event.Event.SchedTaskStart.targetFile.path“ im Rohprotokoll übernommen. |
Aufgabe | security_result.about.resource.attribute.labels.value | Der Wert wird aus dem Feld „Task“ im Rohprotokoll übernommen. |
timestamp.millisecondsSinceEpoch | read_only_udm.metadata.event_timestamp.seconds | Der Wert wird aus dem Feld „event.timestamp.millisecondsSinceEpoch“ im Rohprotokoll übernommen und in Sekunden umgewandelt. |
timestamp.millisecondsSinceEpoch | read_only_udm.metadata.event_timestamp.nanos | Der Wert wird aus dem Feld „event.timestamp.millisecondsSinceEpoch“ im Rohprotokoll übernommen und in Nanosekunden umgewandelt. |
trace_id | Dieses Feld wird nicht direkt dem UDM zugeordnet. | |
triggerType | Dieses Feld wird nicht direkt dem UDM zugeordnet. | |
trueContext | Dieses Feld wird nicht direkt dem UDM zugeordnet. | |
trueContext.key | Dieses Feld wird nicht direkt dem UDM zugeordnet. | |
trueContext.key.value | Dieses Feld wird nicht direkt dem UDM zugeordnet. | |
Typ | read_only_udm.network.dns.answers.type | Der Wert wird aus dem Feld „event.Event.Dns.results“ im Rohprotokoll übernommen und mit einem regulären Ausdruck extrahiert. |
URL | read_only_udm.target.url | Der Wert wird aus dem Feld „event.Event.Http.url“ im Rohprotokoll übernommen. |
nutzer.name | read_only_udm.principal.user.userid | Der Wert wird aus dem Feld „event.Event. |
user.sid | read_only_udm.principal.user.windows_sid | Der Wert wird aus dem Feld „event.Event. |
UserID | read_only_udm.target.user.windows_sid | Der Wert wird nur dann aus dem Feld „UserID“ im Rohprotokoll übernommen, wenn er mit dem Windows-SID-Muster übereinstimmt. |
UserSid | read_only_udm.target.user.windows_sid | Der Wert wird nur aus dem Feld „UserSid“ im Rohprotokoll übernommen, wenn er mit dem Windows-SID-Muster übereinstimmt. |
valueType | Dieses Feld wird nicht direkt dem UDM zugeordnet. | |
winEventLog.channel | security_result.about.resource.attribute.labels.value | Der Wert wird aus dem Feld „winEventLog.channel“ im Rohprotokoll übernommen. |
winEventLog.description | Dieses Feld wird nicht direkt dem UDM zugeordnet. | |
winEventLog.id | security_result.about.resource.attribute.labels.value | Der Wert wird aus dem Feld „winEventLog.id“ im Rohprotokoll übernommen. |
winEventLog.level | security_result.severity | Der Wert wird aus dem Feld „winEventLog.level“ im Rohprotokoll übernommen und der entsprechenden Schwerestufe zugeordnet (z.B. Warning bis MITTEL). |
winEventLog.providerName | security_result.about.resource.attribute.labels.value | Der Wert wird aus dem Feld „winEventLog.providerName“ im Rohprotokoll übernommen. |
winEventLog.xml | Dieses Feld wird nicht direkt dem UDM zugeordnet. | |
read_only_udm.metadata.event_type | Der Wert wird anhand des Felds „event_type“ ermittelt und dem entsprechenden UDM-Ereignistyp zugeordnet. | |
read_only_udm.metadata.vendor_name | Der Wert ist auf SentinelOne festgelegt. |
|
read_only_udm.metadata.product_name | Der Wert ist auf Deep Visibility festgelegt. |
|
read_only_udm.metadata.product_log_id | Der Wert wird aus dem Feld „trace.id“ im Rohprotokoll übernommen, jedoch nur für Ereignisse, bei denen „meta.event.name“ PROCESSCREATION entspricht. |
|
read_only_udm.metadata.product_deployment_id | Der Wert wird aus dem Feld „account.id“ im Rohprotokoll übernommen, jedoch nur für Ereignisse, bei denen „meta.event.name“ PROCESSCREATION entspricht. |
|
read_only_udm.metadata.url_back_to_product | Der Wert wird aus dem Feld „mgmt.url“ im Rohprotokoll übernommen, jedoch nur für Ereignisse, bei denen „meta.event.name“ den Wert PROCESSCREATION hat. |
|
read_only_udm.metadata.ingestion_labels.key | Der Wert wird auf Process eUserUid oder Process lUserUid festgelegt, wenn „meta.event.name“ den Wert PROCESSCREATION hat. |
|
read_only_udm.metadata.ingestion_labels.value | Der Wert wird aus dem Feld „src.process.eUserUid“ oder „src.process.lUserUid“ im Rohprotokoll übernommen, jedoch nur für Ereignisse, bei denen „meta.event.name“ dem Wert PROCESSCREATION entspricht. |
|
read_only_udm.principal.administrative_domain | Der Domainteil des Felds „event.Event. |
|
read_only_udm.target.process.parent_process.command_line | Der Wert wird aus dem Feld „event.Event. |
|
read_only_udm.target.file | Wenn „event_type“ nicht „FileCreation “, „FileDeletion “, „FileModification “, „SchedTaskStart “ oder „ProcessCreation “ ist, wird ein leeres Objekt erstellt. |
|
read_only_udm.network.ip_protocol | Der Wert wird auf „TCP“ festgelegt, wenn „event_type“ den Werten Tcpv4 , Tcpv4Listen oder Http entspricht. |
|
read_only_udm.network.application_protocol | Der Wert wird auf „DNS“ festgelegt, wenn „event_type“ den Wert Dns hat. |
|
read_only_udm.target.resource.type | Der Wert wird auf TASK festgelegt, wenn „event_type“ den Werten SchedTaskStart , SchedTaskTrigger oder SchedTaskDelete entspricht. |
|
read_only_udm.target.resource.resource_type | Der Wert wird auf „TASK“ festgelegt, wenn „event_type“ den Werten SchedTaskStart , SchedTaskTrigger oder SchedTaskDelete entspricht. |
|
read_only_udm.principal.process.product_specific_process_id | Der Wert wird auf ExecutionThreadID:<ExecutionThreadID> festgelegt, wenn das Feld „ExecutionThreadID“ im Rohprotokoll vorhanden ist. |
|
read_only_udm.principal.asset.asset_id | Der Wert wird auf Device ID:<agent.uuid> gesetzt, wenn das Feld „agent.uuid“ im Rohprotokoll vorhanden ist. |
|
read_only_udm.principal.namespace | Der Wert wird aus dem Feld „site.id“ im Rohprotokoll übernommen, jedoch nur für Ereignisse, bei denen „meta.event.name“ den Wert PROCESSCREATION hat. |
|
read_only_udm.principal.location.name | Der Wert wird aus dem Feld „site.name“ im Rohprotokoll übernommen, jedoch nur für Ereignisse, bei denen „meta.event.name“ den Wert PROCESSCREATION hat. |
|
read_only_udm.principal.resource.attribute.labels.key | Der Wert wird auf src.process.displayName , src.process.uid , isRedirectCmdProcessor , isNative64Bit , isStorylineRoot , signedStatus , src process subsystem , src process integrityLevel oder childProcCount festgelegt, wenn „meta.event.name“ den Wert PROCESSCREATION hat. |
|
read_only_udm.principal.resource.attribute.labels.value | Der Wert wird nur für Ereignisse mit „meta.event.name“ = PROCESSCREATION aus dem entsprechenden Feld im Rohprotokoll übernommen. |
|
read_only_udm.target.user.userid | Der Wert wird aus dem Feld „tgt.process.uid“ im Rohprotokoll übernommen, jedoch nur für Ereignisse, bei denen „meta.event.name“ dem Wert PROCESSCREATION entspricht. |
|
read_only_udm.target.user.user_display_name | Der Wert wird aus dem Feld „tgt.process.displayName“ im Rohprotokoll übernommen, jedoch nur für Ereignisse, bei denen „meta.event.name“ PROCESSCREATION entspricht. |
|
read_only_udm.target.resource.attribute.labels.key | Der Wert wird auf isRedirectCmdProcessor , isNative64Bit , isStorylineRoot , signedStatus , file_isSigned , tgt process subsystem oder tgt process integrityLevel festgelegt, wenn „meta.event.name“ den Wert PROCESSCREATION hat. |
|
read_only_udm.target.resource.attribute.labels.value | Der Wert wird nur für Ereignisse mit „meta.event.name“ = PROCESSCREATION aus dem entsprechenden Feld im Rohprotokoll übernommen. |
|
read_only_udm.security_result.about.resource.attribute.labels.key | Der Wert wird auf tgt.process.storyline.id , endpoint_type , packet_id , src.process.storyline.id oder src.process.parent.storyline.id festgelegt, wenn „meta.event.name“ dem Wert PROCESSCREATION entspricht. |
|
read_only_udm.security_result.about.resource.attribute.labels.value | Der Wert wird aus dem entsprechenden Feld im Rohprotokoll übernommen und für Storyline-IDs mit „meta.event.name“ = PROCESSCREATION mit ID: vorangestellt. |
|
read_only_udm.security_result.category_details | Der Wert wird auf security festgelegt, wenn „meta.event.name“ den Wert PROCESSCREATION hat. |
|
read_only_udm.target.asset.product_object_id | Der Wert wird aus dem Feld „AdapterName“ im Rohprotokoll übernommen, aber nur für Ereignisse, bei denen „meta.event.name“ EVENTLOG entspricht. |
|
security_result.about.resource.attribute.labels.key | Der Wert wird auf TimeCreated SystemTime , EventID , Task , Channel , ProviderGuid , RecordNumber , SourceName , endpoint_type oder packet_id festgelegt, wenn „meta.event.name“ den Wert EVENTLOG hat. |
|
security_result.detection_fields.key | Der Wert wird auf Activity ID festgelegt, wenn „meta.event.name“ den Wert EVENTLOG hat und das Feld „ActivityID“ nicht leer ist. |
|
security_result.detection_fields.value | Der Wert wird aus dem Feld „ActivityID“ im Rohprotokoll übernommen, jedoch nur für Ereignisse, bei denen „meta.event.name“ EVENTLOG entspricht und das Feld „ActivityID“ nicht leer ist. |
Änderungen
2023-09-06
Optimierung:
- Die Zuordnung von
tgt.process.storyline.id
wurde vontarget.process.product_specific_process_id
zusecurity_result.about.resource.attribute.labels
geändert. - Die Zuordnung von
src.process.storyline.id
wurde vonprincipal.process.product_specific_process_id
zusecurity_result.about.resource.attribute.labels
geändert. - Die Zuordnung von
src.process.parent.storyline.id
wurde vonprincipal.parent.process.product_specific_process_id
zusecurity_result.about.resource.attribute.labels
geändert.
2023-07-31
Optimierung:
- Gehandhabte Protokolle mit
XML
-Daten
2023-04-09
Optimierung:
- Wenn
event.type
=Process Creation
ist, wirdmetadata.event_type
=PROCESS_LAUNCH
zugeordnet. - Wenn
event.type
=Duplicate Process Handle
ist, wirdmetadata.event_type
=PROCESS_OPEN
zugeordnet. - Wenn
event.type
=Duplicate Thread Handle
ist, wirdmetadata.event_type
=PROCESS_OPEN
zugeordnet. - Wenn
event.type
=Open Remote Process Handle
ist, wirdmetadata.event_type
=PROCESS_OPEN
zugeordnet. - Wenn
event.type
=Remote Thread Creation
ist, wirdmetadata.event_type
=PROCESS_LAUNCH
zugeordnet. - Wenn
event.type
=Command Script
ist, wirdmetadata.event_type
=FILE_UNCATEGORIZED
zugeordnet. - Wenn
event.type
=IP Connect
ist, wirdmetadata.event_type
=NETWORK_CONNECTION
zugeordnet. - Wenn
event.type
=IP Listen
ist, wirdmetadata.event_type
=NETWORK_UNCATEGORIZED
zugeordnet. - Wenn
event.type
=File ModIfication
ist, wirdmetadata.event_type
=FILE_MODIfICATION
zugeordnet. - Wenn
event.type
=File Creation
ist, wirdmetadata.event_type
=FILE_CREATION
zugeordnet. - Wenn
event.type
=File Scan
ist, wirdmetadata.event_type
=FILE_UNCATEGORIZED
zugeordnet. - Wenn
event.type
=File Deletion
ist, wirdmetadata.event_type
=FILE_DELETION
zugeordnet. - Wenn
event.type
=File Rename
ist, wirdmetadata.event_type
=FILE_MODIfICATION
zugeordnet. - Wenn
event.type
=Pre Execution Detection
ist, wirdmetadata.event_type
=FILE_UNCATEGORIZED
zugeordnet. - Wenn
event.type
=Login
ist, wirdmetadata.event_type
=USER_LOGIN
zugeordnet. - Wenn
event.type
=Logout
ist, wirdmetadata.event_type
=USER_LOGOUT
zugeordnet. - Wenn
event.type
=GET
ist, wirdmetadata.event_type
=NETWORK_HTTP
zugeordnet. - Wenn
event.type
=OPTIONS
ist, wirdmetadata.event_type
=NETWORK_HTTP
zugeordnet. - Wenn
event.type
=POST
ist, wirdmetadata.event_type
=NETWORK_HTTP
zugeordnet. - Wenn
event.type
=PUT
ist, wirdmetadata.event_type
=NETWORK_HTTP
zugeordnet. - Wenn
event.type
=DELETE
ist, wirdmetadata.event_type
=NETWORK_HTTP
zugeordnet. - Wenn
event.type
=CONNECT
ist, wirdmetadata.event_type
=NETWORK_HTTP
zugeordnet. - Wenn
event.type
=HEAD
ist, wirdmetadata.event_type
=NETWORK_HTTP
zugeordnet. - Wenn
event.type
=Not Reported
ist, wirdmetadata.event_type
=STATUS_UNCATEGORIZED
zugeordnet. - Wenn
event.type
=DNS Resolved
ist, wirdmetadata.event_type
=NETWORK_DNS
zugeordnet. - Wenn
event.type
=DNS Unresolved
ist, wirdmetadata.event_type
=NETWORK_DNS
zugeordnet. - Wenn
event.type
=Task Register
ist, wirdmetadata.event_type
=SCHEDULED_TASK_CREATION
zugeordnet. - Wenn
event.type
=Task Update
ist, wirdmetadata.event_type
=SCHEDULED_TASK_MODIfICATION
zugeordnet. - Wenn
event.type
=Task Start
ist, wirdmetadata.event_type
=SCHEDULED_TASK_UNCATEGORIZED
zugeordnet. - Wenn
event.type
=Task Trigger
ist, wirdmetadata.event_type
=SCHEDULED_TASK_UNCATEGORIZED
zugeordnet. - Wenn
event.type
=Task Delete
ist, wirdmetadata.event_type
=SCHEDULED_TASK_DELETION
zugeordnet. - Wenn
event.type
=Registry Key Create
ist, wirdmetadata.event_type
=REGISTRY_CREATION
zugeordnet. - Wenn
event.type
=Registry Key Rename
ist, wirdmetadata.event_type
=REGISTRY_MODIfICATION
zugeordnet. - Wenn
event.type
=Registry Key Delete
ist, wirdmetadata.event_type
=REGISTRY_DELETION
zugeordnet. - Wenn
event.type
=Registry Key Export
ist, wirdmetadata.event_type
=REGISTRY_UNCATEGORIZED
zugeordnet. - Wenn
event.type
=Registry Key Security Changed
ist, wirdmetadata.event_type
=REGISTRY_MODIfICATION
zugeordnet. - Wenn
event.type
=Registry Key Import
ist, wirdmetadata.event_type
=REGISTRY_CREATION
zugeordnet. - Wenn
event.type
=Registry Value ModIfied
ist, wirdmetadata.event_type
=REGISTRY_MODIfICATION
zugeordnet. - Wenn
event.type
=Registry Value Create
ist, wirdmetadata.event_type
=REGISTRY_CREATION
zugeordnet. - Wenn
event.type
=Registry Value Delete
ist, wirdmetadata.event_type
=REGISTRY_DELETION
zugeordnet. - Wenn
event.type
=Behavioral Indicators
ist, wirdmetadata.event_type
=SCAN_UNCATEGORIZED
zugeordnet. - Wenn
event.type
=Module Load
ist, wirdmetadata.event_type
=PROCESS_MODULE_LOAD
zugeordnet. - Wenn
event.type
=Threat Intelligence Indicators
ist, wirdmetadata.event_type
=SCAN_UNCATEGORIZED
zugeordnet. - Wenn
event.type
=Named Pipe Creation
ist, wirdmetadata.event_type
=PROCESS_UNCATEGORIZED
zugeordnet. - Wenn
event.type
=Named Pipe Connection
ist, wirdmetadata.event_type
=PROCESS_UNCATEGORIZED
zugeordnet. - Wenn
event.type
=Driver Load
ist, wirdmetadata.event_type
=PROCESS_MODULE_LOAD
zugeordnet.
2023-02-13
Optimierung:
endpoint.os
wurdeprincipal.platform
zugeordnet.endpoint.name
wurdetarget.hostname
zugeordnet.src.process.pid
wurdeprincipal.process.pid
zugeordnet.src.process.cmdline
wurdeprincipal.process.command_line
zugeordnet.src.process.image.path
wurdeprincipal.process.file.full_path
zugeordnet.src.process.image.sha1
wurdeprincipal.process.file.sha1
zugeordnet.src.process.eUserUid
wurdemetadata.ingestion_labels
zugeordnet.src.process.lUserUid
wurdemetadata.ingestion_labels
zugeordnet.src.process.uid
wurdeprincipal.user.userid
zugeordnet.src.process.displayName
wurdeprincipal.user.user_display_name
zugeordnet.src.process.isRedirectCmdProcessor
,src.process.isNative64Bit
,src.process.isStorylineRoot
,src.process.signedStatus
,src.file.isSigned
,src.process.subsystem
,src.process.integrityLevel
,src.process.tgtFileCreationCount
,src.process.childProcCount
,src.process.indicatorBootConfigurationUpdateCount
,src.process.indicatorEvasionCount
,src.process.indicatorExploitationCount
,src.process.indicatorGeneralCount
,src.process.indicatorInfostealerCount
,src.process.moduleCount
aufprincipal.resource.attribute.labels
.src.process.image.md5
wurdeprincipal.process.file.md5
zugeordnet.agent.uuid
wurdeprincipal.asset.asset_id
zugeordnet.agent.version
wurdemetadata.product_version
zugeordnet.site.id
wurdeprincipal.namespace
zugeordnet.site.name
wurdeprincipal.location.name
zugeordnet.trace.id
wurdemetadata.product_log_id
zugeordnet.dataSource.category
wurdesecurity_result.category_details
zugeordnet.packet.id
wurdeabout.resource.attribute.labels
zugeordnet.mgmt.url
,endpoint.type
wurdemetadata.url_back_to_product
zugeordnet.tgt.process.image.sha1
wurdetarget.process.file.sha1
zugeordnet.tgt.process.image.path
wurdetarget.process.file.full_path
zugeordnet.tgt.process.pid
wurdetarget.process.pid
zugeordnet.tgt.process.uid
wurdetarget.user.userid
zugeordnet.tgt.process.cmdline
wurdetarget.process.command_line
zugeordnet.tgt.process.displayName
wurdetarget.user.user_display_name
zugeordnet.tgt.process.image.md5
wurdetarget.process.file.md5
zugeordnet.src.process.parent.image.sha256
wurdeprincipal.process.file.sha256
zugeordnet.tgt.process.image.sha256
wurdetarget.process.file.sha256
zugeordnet.tgt.process.sessionId
wurdenetwork.session_id
zugeordnet.tgt.process.storyline.id
wurdetarget.process.product_specific_process_id
zugeordnet.tgt.process.isRedirectCmdProcessor
,tgt.process.isNative64Bit
,tgt.process.isStorylineRoot
,tgt.process.signedStatus
,tgt.file.isSigned
,tgt.process.subsystem
,tgt.process.integrityLevel
,tgt.process.publisher
auftarget.resource.attribute.labels
zugeordnetprod_event_type
wurdemetadata.product_event_type
zugeordnet.
2022-09-09
Optimierung:
- Die Logs mit
event_type
= null wurden wiederhergestellt. - Es wurden Null-Prüfungen für
meta.os_version
,meta.os_name
,meta.uuid
,meta.computer_name
undmeta.os_revision
hinzugefügt. - Die Größe von
*.targetFile.hashes.sha1
und*.source.executable.hashes.sha1
wurde auf 64 Byte reduziert, wenn das Limit von 64 Byte überschritten wurde.
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten