SentinelOne Deep Visibility-Protokolle erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie SentinelOne Deep Visibility-Logs mit Cloud Funnel nach Google Security Operations exportieren, um sie dann in Google Cloud Storage zu speichern. Der Parser wandelt Roh-Sicherheitsereignisprotokolle im JSON-Format in ein strukturiertes Format um, das dem UDM entspricht. Zuerst werden eine Reihe von Variablen initialisiert, dann wird der Ereignistyp extrahiert und die JSON-Nutzlast geparst. Relevante Felder werden dem UDM-Schema zugeordnet, während Windows-Ereignisprotokolle separat verarbeitet werden.

Vorbereitung

  • Sie benötigen eine Google SecOps-Instanz.
  • Sie benötigen Berechtigungen für Google Cloud.
  • Prüfen Sie, ob SentinelOne Deep Visibility in Ihrer Umgebung eingerichtet ist.
  • Sie benötigen erhöhte Zugriffsrechte für SentinelOne.

Google Cloud Storage-Bucket erstellen

  1. Melden Sie sich in der Google Cloud Console an.

  2. Rufen Sie die Seite Cloud Storage-Buckets auf.

    Buckets aufrufen

  3. Klicken Sie auf Erstellen.

  4. Geben Sie auf der Seite Bucket erstellen die Bucket-Informationen ein. Klicken Sie nach jedem der folgenden Schritte auf Weiter, um mit dem nächsten Schritt fortzufahren:

    1. Führen Sie im Abschnitt Einstieg die folgenden Schritte aus:

      1. Geben Sie einen eindeutigen Namen ein, der den Anforderungen für Bucket-Namen entspricht, z. B. sentinelone-deepvisibility.

      2. Wenn Sie den hierarchischen Namespace aktivieren möchten, klicken Sie auf den Maximierungspfeil, um den Bereich Für dateiorientierte und datenintensive Arbeitslasten optimieren zu maximieren, und wählen Sie dann Hierarchischen Namespace für diesen Bucket aktivieren aus.

      3. Wenn Sie ein Bucket-Label hinzufügen möchten, klicken Sie auf den Erweiterungspfeil, um den Bereich Labels zu maximieren.

      4. Klicken Sie auf Label hinzufügen und geben Sie einen Schlüssel und einen Wert für das Label an.

    2. Gehen Sie im Bereich Speicherort für Daten auswählen so vor:

      1. Standorttyp auswählen.

      2. Wählen Sie im Menü „Standorttyp“ einen Speicherort aus, an dem die Objektdaten in Ihrem Bucket dauerhaft gespeichert werden sollen.

      3. Wenn Sie die Bucket-übergreifende Replikation einrichten möchten, maximieren Sie den Bereich Bucket-übergreifende Replikation einrichten.

    3. Wählen Sie im Abschnitt Speicherklasse für Ihre Daten auswählen entweder eine Standardspeicherklasse für den Bucket oder Autoclass für die automatische Verwaltung der Speicherklassen Ihrer Bucket-Daten aus.

    4. Wählen Sie im Abschnitt Zugriff auf Objekte steuern die Option nicht aus, um die Verhinderung des öffentlichen Zugriffs zu erzwingen, und wählen Sie ein Zugriffssteuerungsmodell für die Objekte Ihres Buckets aus.

    5. Gehen Sie im Bereich Auswählen, wie Objektdaten geschützt werden so vor:

      1. Wählen Sie unter Datenschutz die Optionen aus, die Sie für den Bucket festlegen möchten.
      2. Um auszuwählen, wie Ihre Objektdaten verschlüsselt werden, klicken Sie auf den Erweiterungspfeil mit Label Datenverschlüsselung und wählen Sie eine Methode für die Datenverschlüsselung aus.

  5. Klicken Sie auf Erstellen.

Google Cloud-Dienstkonto erstellen

  1. Gehen Sie zu IAM und Verwaltung > Dienstkonten.
  2. Erstellen Sie ein neues Dienstkonto.
  3. Geben Sie einen aussagekräftigen Namen für den Bucket ein, z. B. sentinelone-dv-logs.
  4. Weisen Sie dem Dienstkonto die Rolle Storage Object Creator für den im vorherigen Schritt erstellten Cloud Storage-Bucket zu.
  5. Erstellen Sie einen SSH-Schlüssel für das Dienstkonto.
  6. Laden Sie eine JSON-Schlüsseldatei für das Dienstkonto herunter. Bewahren Sie diese Datei sicher auf.

Cloud-Trichter in SentinelOne DeepVisibility konfigurieren

  1. Melden Sie sich in SentinelOne DeepVisibility an.
  2. Klicken Sie auf Konfigurieren > Richtlinien und Einstellungen.
  3. Klicken Sie im Bereich Singularity Data Lake auf Cloud Funnel.
  4. Geben Sie die folgenden Konfigurationsdetails an:
    • Cloud-Anbieter: Wählen Sie Google Cloudaus.
    • Bucket-Name: Geben Sie den Namen des Cloud Storage-Buckets ein, das Sie für die SentinelOne DeepVisibility-Protokollaufnahme erstellt haben.
    • Telemetrie-Streaming: Wählen Sie Aktivieren aus.
    • Abfragefilter: Erstellen Sie eine Abfrage, die die Agents enthält, die Daten an einen Cloud Storage-Bucket senden müssen.
    • Klicke auf Validieren.
    • Einzuschließende Felder: Wählen Sie alle Felder aus.
  5. Klicken Sie auf Speichern.

Feed in Google SecOps konfigurieren, um SentinelOne Deep Visibility-Protokolle zu verarbeiten

  1. Gehen Sie zu SIEM-Einstellungen > Feeds.
  2. Klicken Sie auf Neu hinzufügen.
  3. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. SentinelOne DV-Logs.
  4. Wählen Sie Google Cloud Storage als Quelltyp aus.
  5. Wählen Sie SentinelOne Deep Visibility als Logtyp aus.
  6. Klicken Sie als Chronicle-Dienstkonto auf Dienstkonto abrufen.
  7. Klicken Sie auf Weiter.

  8. Geben Sie Werte für die folgenden Eingabeparameter an:

    • Storage Bucket-URI: Google Cloud Storage-Bucket-URL im Format gs://my-bucket/<value>.
    • URI ist: Wählen Sie Verzeichnis mit Unterverzeichnissen aus.

    • Optionen zum Löschen der Quelle: Wählen Sie die gewünschte Löschoption aus.

    • Asset-Namespace: der Asset-Namespace.

    • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet wird.

  9. Klicken Sie auf Weiter.

  10. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm „Abschließen“ und klicken Sie dann auf Senden.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
AdapterName security_result.about.resource.attribute.labels.value Der Wert wird aus dem Feld „AdapterName“ im Rohprotokoll übernommen.
AdapterSuffixName security_result.about.resource.attribute.labels.value Der Wert wird aus dem Feld „AdapterSuffixName“ im Rohprotokoll übernommen.
agent_version read_only_udm.metadata.product_version Der Wert wird aus dem Feld „meta.agent_version“ im Rohprotokoll übernommen.
Version security_result.about.resource.attribute.labels.value Der Wert wird aus dem Feld „Channel“ im Rohprotokoll übernommen.
commandLine read_only_udm.principal.process.command_line Der Wert wird aus dem Feld „event.Event...commandLine“ im Rohprotokoll übernommen. Dabei ist der jeweilige Ereignistyp (z. B. ProcessCreation, ProcessExit) und ist das Feld mit Prozessinformationen (z.B. Prozess, Quelle, übergeordnet).
computer_name read_only_udm.principal.hostname Der Wert wird aus dem Feld „meta.computer_name“ im Rohprotokoll übernommen.
destinationAddress.address read_only_udm.target.ip Der Wert wird aus dem Feld „event.Event.Tcpv4.destinationAddress.address“ im Rohprotokoll übernommen.
destinationAddress.port read_only_udm.target.port Der Wert wird aus dem Feld „event.Event.Tcpv4.destinationAddress.port“ im Rohprotokoll übernommen.
DnsServerList read_only_udm.principal.ip Der Wert wird aus dem Feld „DnsServerList“ im Rohprotokoll übernommen.
ErrorCode_new security_result.detection_fields.value Der Wert wird aus dem Feld „ErrorCode_new“ im Rohprotokoll übernommen.
EventID security_result.about.resource.attribute.labels.value Der Wert wird aus dem Feld „EventID“ im Rohprotokoll übernommen.
event.Event.Dns.query read_only_udm.network.dns.questions.name Der Wert wird aus dem Feld „event.Event.Dns.query“ im Rohprotokoll übernommen.
event.Event.Dns.results read_only_udm.network.dns.answers.data Der Wert wird aus dem Feld „event.Event.Dns.results“ im Rohprotokoll übernommen.
event.Event.Dns.source.fullPid.pid read_only_udm.principal.process.pid Der Wert wird aus dem Feld „event.Event.Dns.source.fullPid.pid“ im Rohprotokoll übernommen.
event.Event.Dns.source.user.name read_only_udm.principal.user.userid Der Wert wird aus dem Feld „event.Event.Dns.source.user.name“ im Rohprotokoll übernommen.
event.Event.FileCreation.source.fullPid.pid read_only_udm.principal.process.pid Der Wert wird aus dem Feld „event.Event.FileCreation.source.fullPid.pid“ im Rohprotokoll übernommen.
event.Event.FileCreation.source.user.name read_only_udm.principal.user.userid Der Wert wird aus dem Feld „event.Event.FileCreation.source.user.name“ im Rohprotokoll übernommen.
event.Event.FileCreation.targetFile.path read_only_udm.target.file.full_path Der Wert wird aus dem Feld „event.Event.FileCreation.targetFile.path“ im Rohprotokoll übernommen.
event.Event.FileDeletion.source.fullPid.pid read_only_udm.principal.process.pid Der Wert wird aus dem Feld „event.Event.FileDeletion.source.fullPid.pid“ im Rohprotokoll übernommen.
event.Event.FileDeletion.source.user.name read_only_udm.principal.user.userid Der Wert wird aus dem Feld „event.Event.FileDeletion.source.user.name“ im Rohprotokoll übernommen.
event.Event.FileDeletion.targetFile.path read_only_udm.target.file.full_path Der Wert wird aus dem Feld „event.Event.FileDeletion.targetFile.path“ im Rohprotokoll übernommen.
event.Event.FileModification.file.path read_only_udm.target.file.full_path Der Wert wird aus dem Feld „event.Event.FileModification.file.path“ im Rohprotokoll übernommen.
event.Event.FileModification.source.user.name read_only_udm.principal.user.userid Der Wert wird aus dem Feld „event.Event.FileModification.source.user.name“ im Rohprotokoll übernommen.
event.Event.FileModification.targetFile.path read_only_udm.target.file.full_path Der Wert wird aus dem Feld „event.Event.FileModification.targetFile.path“ im Rohprotokoll übernommen.
event.Event.Http.source.user.name read_only_udm.principal.user.userid Der Wert wird aus dem Feld „event.Event.Http.source.user.name“ im Rohprotokoll übernommen.
event.Event.Http.url read_only_udm.target.url Der Wert wird aus dem Feld „event.Event.Http.url“ im Rohprotokoll übernommen.
event.Event.ProcessCreation.process.user.name read_only_udm.principal.user.userid Der Wert wird aus dem Feld „event.Event.ProcessCreation.process.user.name“ im Rohprotokoll übernommen.
event.Event.ProcessCreation.source.user.name read_only_udm.principal.user.userid Der Wert wird aus dem Feld „event.Event.ProcessCreation.source.user.name“ im Rohprotokoll übernommen.
event.Event.ProcessExit.source.user.name read_only_udm.principal.user.userid Der Wert wird aus dem Feld „event.Event.ProcessExit.source.user.name“ im Rohprotokoll übernommen.
event.Event.ProcessTermination.source.user.name read_only_udm.principal.user.userid Der Wert wird aus dem Feld „event.Event.ProcessTermination.source.user.name“ im Rohprotokoll übernommen.
event.Event.RegKeyCreate.source.fullPid.pid read_only_udm.principal.process.pid Der Wert wird aus dem Feld „event.Event.RegKeyCreate.source.fullPid.pid“ im Rohprotokoll übernommen.
event.Event.RegKeyCreate.source.user.name read_only_udm.principal.user.userid Der Wert wird aus dem Feld „event.Event.RegKeyCreate.source.user.name“ im Rohprotokoll übernommen.
event.Event.RegKeyDelete.source.user.name read_only_udm.principal.user.userid Der Wert wird aus dem Feld „event.Event.RegKeyDelete.source.user.name“ im Rohprotokoll übernommen.
event.Event.RegValueModified.source.user.name read_only_udm.principal.user.userid Der Wert wird aus dem Feld „event.Event.RegValueModified.source.user.name“ im Rohprotokoll übernommen.
event.Event.SchedTaskDelete.source.user.name read_only_udm.principal.user.userid Der Wert wird aus dem Feld „event.Event.SchedTaskDelete.source.user.name“ im Rohprotokoll übernommen.
event.Event.SchedTaskRegister.source.user.name read_only_udm.principal.user.userid Der Wert wird aus dem Feld „event.Event.SchedTaskRegister.source.user.name“ im Rohprotokoll übernommen.
event.Event.SchedTaskStart.source.user.name read_only_udm.principal.user.userid Der Wert wird aus dem Feld „event.Event.SchedTaskStart.source.user.name“ im Rohprotokoll übernommen.
event.Event.SchedTaskTrigger.source.fullPid.pid read_only_udm.principal.process.pid Der Wert wird aus dem Feld „event.Event.SchedTaskTrigger.source.fullPid.pid“ im Rohprotokoll übernommen.
event.Event.SchedTaskTrigger.source.user.name read_only_udm.principal.user.userid Der Wert wird aus dem Feld „event.Event.SchedTaskTrigger.source.user.name“ im Rohprotokoll übernommen.
event.Event.Tcpv4.source.fullPid.pid read_only_udm.principal.process.pid Der Wert wird aus dem Feld „event.Event.Tcpv4.source.fullPid.pid“ im Rohprotokoll übernommen.
event.Event.Tcpv4.source.user.name read_only_udm.principal.user.userid Der Wert wird aus dem Feld „event.Event.Tcpv4.source.user.name“ im Rohprotokoll übernommen.
event.Event.Tcpv4Listen.local.address read_only_udm.principal.ip Der Wert wird aus dem Feld „event.Event.Tcpv4Listen.local.address“ im Rohprotokoll übernommen.
event.timestamp.millisecondsSinceEpoch read_only_udm.metadata.event_timestamp.seconds Der Wert wird aus dem Feld „event.timestamp.millisecondsSinceEpoch“ im Rohprotokoll übernommen und in Sekunden umgewandelt.
event.timestamp.millisecondsSinceEpoch read_only_udm.metadata.event_timestamp.nanos Der Wert wird aus dem Feld „event.timestamp.millisecondsSinceEpoch“ im Rohprotokoll übernommen und in Nanosekunden umgewandelt.
event.timestamp.millisecondsSinceEpoch security_result.about.resource.attribute.labels.value Der Wert wird aus dem Feld „event.timestamp.millisecondsSinceEpoch“ im Rohprotokoll übernommen und als Wert für ein Label im Array „security_result.about.resource.attribute.labels“ verwendet.
event_type read_only_udm.metadata.product_event_type Der Wert wird mithilfe eines Grok-Musters aus dem Feld „message“ im Rohprotokoll extrahiert.
executable.hashes.md5 read_only_udm.principal.process.file.md5 Der Wert wird aus dem Feld „event.Event...executable.hashes.md5“ im Rohprotokoll übernommen. Dabei steht für den jeweiligen Ereignistyp (z. B. ProcessCreation, ProcessExit) und ist das Feld mit Prozessinformationen (z.B. Prozess, Quelle, übergeordnet).
executable.hashes.sha1 read_only_udm.principal.process.file.sha1 Der Wert wird aus dem Feld „event.Event...executable.hashes.sha1“ im Rohprotokoll übernommen. Dabei steht für den jeweiligen Ereignistyp (z. B. ProcessCreation, ProcessExit) und ist das Feld mit Prozessinformationen (z.B. Prozess, Quelle, übergeordnet).
executable.hashes.sha256 read_only_udm.principal.process.file.sha256 Der Wert wird aus dem Feld „event.Event...executable.hashes.sha256“ im Rohprotokoll übernommen. Dabei steht für den jeweiligen Ereignistyp (z. B. ProcessCreation, ProcessExit) und ist das Feld mit Prozessinformationen (z.B. Prozess, Quelle, übergeordnet).
executable.path read_only_udm.principal.process.file.full_path Der Wert wird aus dem Feld „event.Event...executable.path“ im Rohprotokoll übernommen. Dabei steht für den jeweiligen Ereignistyp (z. B. ProcessCreation, ProcessExit) und ist das Feld mit Prozessinformationen (z.B. Prozess, Quelle, übergeordnet).
executable.sizeBytes read_only_udm.principal.process.file.size Der Wert wird aus dem Feld „event.Event...executable.sizeBytes“ im Rohprotokoll übernommen. Dabei steht für den jeweiligen Ereignistyp (z. B. ProcessCreation, ProcessExit) und ist das Feld mit Prozessinformationen (z.B. Prozess, Quelle, übergeordnet).
fullPid.pid read_only_udm.principal.process.pid Der Wert wird aus dem Feld „event.Event...fullPid.pid“ im Rohprotokoll übernommen. Dabei steht für den jeweiligen Ereignistyp (z. B. ProcessCreation, ProcessExit) und ist das Feld mit Prozessinformationen (z.B. Prozess, Quelle, übergeordnet).
hashes.md5 read_only_udm.target.file.md5 Der Wert wird aus dem Feld „event.Event.ProcessCreation.hashes.md5“ im Rohprotokoll übernommen.
hashes.sha1 read_only_udm.target.file.sha1 Der Wert wird aus dem Feld „event.Event.ProcessCreation.hashes.sha1“ im Rohprotokoll übernommen.
hashes.sha256 read_only_udm.target.file.sha256 Der Wert wird aus dem Feld „event.Event.ProcessCreation.hashes.sha256“ im Rohprotokoll übernommen.
IpAddress read_only_udm.target.ip Der Wert wird aus dem Feld „IpAddress“ im Rohprotokoll übernommen.
local.address read_only_udm.principal.ip Der Wert wird aus dem Feld „event.Event.Tcpv4Listen.local.address“ im Rohprotokoll übernommen.
local.port read_only_udm.principal.port Der Wert wird aus dem Feld „event.Event.Tcpv4Listen.local.port“ im Rohprotokoll übernommen.
log_type read_only_udm.metadata.log_type Der Wert wird aus dem Feld „log_type“ im Rohprotokoll übernommen.
meta.agent_version read_only_udm.metadata.product_version Der Wert wird aus dem Feld „meta.agent_version“ im Rohprotokoll übernommen.
meta.computer_name read_only_udm.principal.hostname Der Wert wird aus dem Feld „meta.computer_name“ im Rohprotokoll übernommen.
meta.os_family read_only_udm.principal.platform Der Wert wird aus dem Feld „meta.os_family“ im Rohprotokoll übernommen und der entsprechenden Plattform zugeordnet (z.B. windows für WINDOWS, osx für MAC und linux für LINUX).
meta.os_name read_only_udm.principal.platform_version Der Wert wird aus dem Feld „meta.os_name“ im Rohprotokoll übernommen.
meta.os_revision read_only_udm.principal.platform_patch_level Der Wert wird aus dem Feld „meta.os_revision“ im Rohprotokoll übernommen.
meta.uuid read_only_udm.principal.asset_id Der Wert wird aus dem Feld „meta.uuid“ im Rohprotokoll übernommen und mit SENTINELONE: vorangestellt.
Name read_only_udm.principal.application Der Wert wird aus dem Feld „event.Event...name“ im Rohprotokoll übernommen. Dabei steht für den jeweiligen Ereignistyp (z. B. ProcessCreation, ProcessExit) und ist das Feld mit Prozessinformationen (z.B. „process“, „source“, „parent“).
parent.executable.hashes.md5 read_only_udm.target.process.parent_process.file.md5 Der Wert wird aus dem Feld „event.Event..parent.executable.hashes.md5“ im Rohprotokoll übernommen. Dabei steht für den jeweiligen Ereignistyp (z. B. ProcessCreation, ProcessExit).
parent.executable.hashes.sha1 read_only_udm.target.process.parent_process.file.sha1 Der Wert wird aus dem Feld „event.Event..parent.executable.hashes.sha1“ im Rohprotokoll übernommen. Dabei steht für den jeweiligen Ereignistyp (z. B. ProcessCreation, ProcessExit).
parent.executable.hashes.sha256 read_only_udm.target.process.parent_process.file.sha256 Der Wert wird aus dem Feld „event.Event..parent.executable.hashes.sha256“ im Rohprotokoll übernommen, wobei der jeweilige Ereignistyp ist (z.B. ProcessCreation, ProcessExit).
parent.executable.path read_only_udm.target.process.parent_process.file.full_path Der Wert wird aus dem Feld „event.Event..parent.executable.path“ im Rohprotokoll übernommen, wobei der jeweilige Ereignistyp ist (z.B. ProcessCreation, ProcessExit).
parent.fullPid.pid read_only_udm.target.process.parent_process.pid Der Wert wird aus dem Feld „event.Event..parent.fullPid.pid“ im Rohprotokoll übernommen, wobei der jeweilige Ereignistyp ist (z.B. ProcessCreation, ProcessExit).
Pfad read_only_udm.principal.process.file.full_path Der Wert wird aus dem Feld „event.Event...path“ im Rohprotokoll übernommen. Dabei steht für den jeweiligen Ereignistyp (z. B. ProcessCreation, ProcessExit) und ist das Feld mit Prozessinformationen (z.B. Prozess, Quelle, übergeordnet).
process.commandLine read_only_udm.target.process.command_line Der Wert wird aus dem Feld „event.Event.ProcessCreation.process.commandLine“ im Rohprotokoll übernommen.
process.fullPid.pid read_only_udm.target.process.pid Der Wert wird aus dem Feld „event.Event.ProcessCreation.process.fullPid.pid“ im Rohprotokoll übernommen.
process.parent.fullPid.pid read_only_udm.target.process.parent_process.pid Der Wert wird aus dem Feld „event.Event.ProcessCreation.process.parent.fullPid.pid“ im Rohprotokoll übernommen.
ProviderGuid security_result.about.resource.attribute.labels.value Der Wert wird aus dem Feld „ProviderGuid“ im Rohprotokoll übernommen, wobei die geschweiften Klammern entfernt werden.
Abfrage read_only_udm.network.dns.questions.name Der Wert wird aus dem Feld „event.Event.Dns.query“ im Rohprotokoll übernommen.
RecordNumber security_result.about.resource.attribute.labels.value Der Wert wird aus dem Feld „RecordNumber“ im Rohprotokoll übernommen.
regKey.path read_only_udm.target.registry.registry_key Der Wert wird aus dem Feld „event.Event.RegKeyCreate.regKey.path“ oder „event.Event.RegKeyDelete.regKey.path“ im Rohprotokoll übernommen.
regValue.path read_only_udm.target.registry.registry_key Der Wert wird aus dem Feld „event.Event.RegValueDelete.regValue.path“ oder „event.Event.RegValueModified.regValue.path“ im Rohprotokoll übernommen.
Ergebnisse read_only_udm.network.dns.answers.data Der Wert wird aus dem Feld „event.Event.Dns.results“ im Rohprotokoll übernommen.
UpdateServer gesendet intermediary.hostname Der Wert wird aus dem Feld „Sent UpdateServer“ im Rohprotokoll übernommen.
seq_id Dieses Feld wird nicht direkt dem UDM zugeordnet.
signature.Status.Signed.identity Dieses Feld wird nicht direkt dem UDM zugeordnet.
sizeBytes read_only_udm.principal.process.file.size Der Wert wird aus dem Feld „event.Event...sizeBytes“ im Rohprotokoll übernommen. Dabei steht für den jeweiligen Ereignistyp (z. B. ProcessCreation, ProcessExit) und ist das Feld mit Prozessinformationen (z.B. „process“, „source“, „parent“).
sourceAddress.address read_only_udm.principal.ip Der Wert wird aus dem Feld „event.Event.Tcpv4.sourceAddress.address“ im Rohprotokoll übernommen.
sourceAddress.port read_only_udm.principal.port Der Wert wird aus dem Feld „event.Event.Tcpv4.sourceAddress.port“ im Rohprotokoll übernommen.
SourceName security_result.about.resource.attribute.labels.value Der Wert wird aus dem Feld „SourceName“ im Rohprotokoll übernommen.
Status Dieses Feld wird nicht direkt dem UDM zugeordnet.
taskName read_only_udm.target.resource.name Der Wert wird aus dem Feld „event.Event.SchedTaskStart.taskName“, „event.Event.SchedTaskTrigger.taskName“ oder „event.Event.SchedTaskDelete.taskName“ im Rohprotokoll übernommen.
targetFile.hashes.md5 read_only_udm.target.file.md5 Der Wert wird aus dem Feld „event.Event.FileDeletion.targetFile.hashes.md5“ oder „event.Event.SchedTaskStart.targetFile.hashes.md5“ im Rohprotokoll übernommen.
targetFile.hashes.sha1 read_only_udm.target.file.sha1 Der Wert wird aus dem Feld „event.Event.FileDeletion.targetFile.hashes.sha1“ oder „event.Event.SchedTaskStart.targetFile.hashes.sha1“ im Rohprotokoll übernommen.
targetFile.hashes.sha256 read_only_udm.target.file.sha256 Der Wert wird aus dem Feld „event.Event.FileDeletion.targetFile.hashes.sha256“ oder „event.Event.SchedTaskStart.targetFile.hashes.sha256“ im Rohprotokoll übernommen.
targetFile.path read_only_udm.target.file.full_path Der Wert wird aus dem Feld „event.Event.FileDeletion.targetFile.path“ oder „event.Event.SchedTaskStart.targetFile.path“ im Rohprotokoll übernommen.
Aufgabe security_result.about.resource.attribute.labels.value Der Wert wird aus dem Feld „Task“ im Rohprotokoll übernommen.
timestamp.millisecondsSinceEpoch read_only_udm.metadata.event_timestamp.seconds Der Wert wird aus dem Feld „event.timestamp.millisecondsSinceEpoch“ im Rohprotokoll übernommen und in Sekunden umgewandelt.
timestamp.millisecondsSinceEpoch read_only_udm.metadata.event_timestamp.nanos Der Wert wird aus dem Feld „event.timestamp.millisecondsSinceEpoch“ im Rohprotokoll übernommen und in Nanosekunden umgewandelt.
trace_id Dieses Feld wird nicht direkt dem UDM zugeordnet.
triggerType Dieses Feld wird nicht direkt dem UDM zugeordnet.
trueContext Dieses Feld wird nicht direkt dem UDM zugeordnet.
trueContext.key Dieses Feld wird nicht direkt dem UDM zugeordnet.
trueContext.key.value Dieses Feld wird nicht direkt dem UDM zugeordnet.
Typ read_only_udm.network.dns.answers.type Der Wert wird aus dem Feld „event.Event.Dns.results“ im Rohprotokoll übernommen und mit einem regulären Ausdruck extrahiert.
URL read_only_udm.target.url Der Wert wird aus dem Feld „event.Event.Http.url“ im Rohprotokoll übernommen.
nutzer.name read_only_udm.principal.user.userid Der Wert wird aus dem Feld „event.Event...user.name“ im Rohprotokoll übernommen. Dabei steht für den jeweiligen Ereignistyp (z. B. ProcessCreation, ProcessExit) und ist das Feld mit Prozessinformationen (z.B. Prozess, Quelle, übergeordnet).
user.sid read_only_udm.principal.user.windows_sid Der Wert wird aus dem Feld „event.Event...user.sid“ im Rohprotokoll übernommen. Dabei steht für den jeweiligen Ereignistyp (z. B. ProcessCreation, ProcessExit) und ist das Feld mit Prozessinformationen (z.B. Prozess, Quelle, übergeordnet).
UserID read_only_udm.target.user.windows_sid Der Wert wird nur dann aus dem Feld „UserID“ im Rohprotokoll übernommen, wenn er mit dem Windows-SID-Muster übereinstimmt.
UserSid read_only_udm.target.user.windows_sid Der Wert wird nur aus dem Feld „UserSid“ im Rohprotokoll übernommen, wenn er mit dem Windows-SID-Muster übereinstimmt.
valueType Dieses Feld wird nicht direkt dem UDM zugeordnet.
winEventLog.channel security_result.about.resource.attribute.labels.value Der Wert wird aus dem Feld „winEventLog.channel“ im Rohprotokoll übernommen.
winEventLog.description Dieses Feld wird nicht direkt dem UDM zugeordnet.
winEventLog.id security_result.about.resource.attribute.labels.value Der Wert wird aus dem Feld „winEventLog.id“ im Rohprotokoll übernommen.
winEventLog.level security_result.severity Der Wert wird aus dem Feld „winEventLog.level“ im Rohprotokoll übernommen und der entsprechenden Schwerestufe zugeordnet (z.B. Warning bis MITTEL).
winEventLog.providerName security_result.about.resource.attribute.labels.value Der Wert wird aus dem Feld „winEventLog.providerName“ im Rohprotokoll übernommen.
winEventLog.xml Dieses Feld wird nicht direkt dem UDM zugeordnet.
read_only_udm.metadata.event_type Der Wert wird anhand des Felds „event_type“ ermittelt und dem entsprechenden UDM-Ereignistyp zugeordnet.
read_only_udm.metadata.vendor_name Der Wert ist auf SentinelOne festgelegt.
read_only_udm.metadata.product_name Der Wert ist auf Deep Visibility festgelegt.
read_only_udm.metadata.product_log_id Der Wert wird aus dem Feld „trace.id“ im Rohprotokoll übernommen, jedoch nur für Ereignisse, bei denen „meta.event.name“ PROCESSCREATION entspricht.
read_only_udm.metadata.product_deployment_id Der Wert wird aus dem Feld „account.id“ im Rohprotokoll übernommen, jedoch nur für Ereignisse, bei denen „meta.event.name“ PROCESSCREATION entspricht.
read_only_udm.metadata.url_back_to_product Der Wert wird aus dem Feld „mgmt.url“ im Rohprotokoll übernommen, jedoch nur für Ereignisse, bei denen „meta.event.name“ den Wert PROCESSCREATION hat.
read_only_udm.metadata.ingestion_labels.key Der Wert wird auf Process eUserUid oder Process lUserUid festgelegt, wenn „meta.event.name“ den Wert PROCESSCREATION hat.
read_only_udm.metadata.ingestion_labels.value Der Wert wird aus dem Feld „src.process.eUserUid“ oder „src.process.lUserUid“ im Rohprotokoll übernommen, jedoch nur für Ereignisse, bei denen „meta.event.name“ dem Wert PROCESSCREATION entspricht.
read_only_udm.principal.administrative_domain Der Domainteil des Felds „event.Event...user.name“ im Rohprotokoll, wobei der jeweilige Ereignistyp ist (z.B. ProcessCreation, ProcessExit) und ist das Feld mit Prozessinformationen (z.B. Prozess, Quelle, übergeordnet).
read_only_udm.target.process.parent_process.command_line Der Wert wird aus dem Feld „event.Event..parent.commandLine“ im Rohprotokoll übernommen. Dabei ist der jeweilige Ereignistyp (z. B. ProcessCreation, ProcessExit).
read_only_udm.target.file Wenn „event_type“ nicht „FileCreation“, „FileDeletion“, „FileModification“, „SchedTaskStart“ oder „ProcessCreation“ ist, wird ein leeres Objekt erstellt.
read_only_udm.network.ip_protocol Der Wert wird auf „TCP“ festgelegt, wenn „event_type“ den Werten Tcpv4, Tcpv4Listen oder Http entspricht.
read_only_udm.network.application_protocol Der Wert wird auf „DNS“ festgelegt, wenn „event_type“ den Wert Dns hat.
read_only_udm.target.resource.type Der Wert wird auf TASK festgelegt, wenn „event_type“ den Werten SchedTaskStart, SchedTaskTrigger oder SchedTaskDelete entspricht.
read_only_udm.target.resource.resource_type Der Wert wird auf „TASK“ festgelegt, wenn „event_type“ den Werten SchedTaskStart, SchedTaskTrigger oder SchedTaskDelete entspricht.
read_only_udm.principal.process.product_specific_process_id Der Wert wird auf ExecutionThreadID:<ExecutionThreadID> festgelegt, wenn das Feld „ExecutionThreadID“ im Rohprotokoll vorhanden ist.
read_only_udm.principal.asset.asset_id Der Wert wird auf Device ID:<agent.uuid> gesetzt, wenn das Feld „agent.uuid“ im Rohprotokoll vorhanden ist.
read_only_udm.principal.namespace Der Wert wird aus dem Feld „site.id“ im Rohprotokoll übernommen, jedoch nur für Ereignisse, bei denen „meta.event.name“ den Wert PROCESSCREATION hat.
read_only_udm.principal.location.name Der Wert wird aus dem Feld „site.name“ im Rohprotokoll übernommen, jedoch nur für Ereignisse, bei denen „meta.event.name“ den Wert PROCESSCREATION hat.
read_only_udm.principal.resource.attribute.labels.key Der Wert wird auf src.process.displayName, src.process.uid, isRedirectCmdProcessor, isNative64Bit, isStorylineRoot, signedStatus, src process subsystem, src process integrityLevel oder childProcCount festgelegt, wenn „meta.event.name“ den Wert PROCESSCREATION hat.
read_only_udm.principal.resource.attribute.labels.value Der Wert wird nur für Ereignisse mit „meta.event.name“ = PROCESSCREATION aus dem entsprechenden Feld im Rohprotokoll übernommen.
read_only_udm.target.user.userid Der Wert wird aus dem Feld „tgt.process.uid“ im Rohprotokoll übernommen, jedoch nur für Ereignisse, bei denen „meta.event.name“ dem Wert PROCESSCREATION entspricht.
read_only_udm.target.user.user_display_name Der Wert wird aus dem Feld „tgt.process.displayName“ im Rohprotokoll übernommen, jedoch nur für Ereignisse, bei denen „meta.event.name“ PROCESSCREATION entspricht.
read_only_udm.target.resource.attribute.labels.key Der Wert wird auf isRedirectCmdProcessor, isNative64Bit, isStorylineRoot, signedStatus, file_isSigned, tgt process subsystem oder tgt process integrityLevel festgelegt, wenn „meta.event.name“ den Wert PROCESSCREATION hat.
read_only_udm.target.resource.attribute.labels.value Der Wert wird nur für Ereignisse mit „meta.event.name“ = PROCESSCREATION aus dem entsprechenden Feld im Rohprotokoll übernommen.
read_only_udm.security_result.about.resource.attribute.labels.key Der Wert wird auf tgt.process.storyline.id, endpoint_type, packet_id, src.process.storyline.id oder src.process.parent.storyline.id festgelegt, wenn „meta.event.name“ dem Wert PROCESSCREATION entspricht.
read_only_udm.security_result.about.resource.attribute.labels.value Der Wert wird aus dem entsprechenden Feld im Rohprotokoll übernommen und für Storyline-IDs mit „meta.event.name“ = PROCESSCREATION mit ID: vorangestellt.
read_only_udm.security_result.category_details Der Wert wird auf security festgelegt, wenn „meta.event.name“ den Wert PROCESSCREATION hat.
read_only_udm.target.asset.product_object_id Der Wert wird aus dem Feld „AdapterName“ im Rohprotokoll übernommen, aber nur für Ereignisse, bei denen „meta.event.name“ EVENTLOG entspricht.
security_result.about.resource.attribute.labels.key Der Wert wird auf TimeCreated SystemTime, EventID, Task, Channel, ProviderGuid, RecordNumber, SourceName, endpoint_type oder packet_id festgelegt, wenn „meta.event.name“ den Wert EVENTLOG hat.
security_result.detection_fields.key Der Wert wird auf Activity ID festgelegt, wenn „meta.event.name“ den Wert EVENTLOG hat und das Feld „ActivityID“ nicht leer ist.
security_result.detection_fields.value Der Wert wird aus dem Feld „ActivityID“ im Rohprotokoll übernommen, jedoch nur für Ereignisse, bei denen „meta.event.name“ EVENTLOG entspricht und das Feld „ActivityID“ nicht leer ist.

Änderungen

2023-09-06

Optimierung:

  • Die Zuordnung von tgt.process.storyline.id wurde von target.process.product_specific_process_id zu security_result.about.resource.attribute.labels geändert.
  • Die Zuordnung von src.process.storyline.id wurde von principal.process.product_specific_process_id zu security_result.about.resource.attribute.labels geändert.
  • Die Zuordnung von src.process.parent.storyline.id wurde von principal.parent.process.product_specific_process_id zu security_result.about.resource.attribute.labels geändert.

2023-07-31

Optimierung:

  • Gehandhabte Protokolle mit XML-Daten

2023-04-09

Optimierung:

  • Wenn event.type = Process Creation ist, wird metadata.event_type = PROCESS_LAUNCH zugeordnet.
  • Wenn event.type = Duplicate Process Handle ist, wird metadata.event_type = PROCESS_OPEN zugeordnet.
  • Wenn event.type = Duplicate Thread Handle ist, wird metadata.event_type = PROCESS_OPEN zugeordnet.
  • Wenn event.type = Open Remote Process Handle ist, wird metadata.event_type = PROCESS_OPEN zugeordnet.
  • Wenn event.type = Remote Thread Creation ist, wird metadata.event_type = PROCESS_LAUNCH zugeordnet.
  • Wenn event.type = Command Script ist, wird metadata.event_type = FILE_UNCATEGORIZED zugeordnet.
  • Wenn event.type = IP Connect ist, wird metadata.event_type = NETWORK_CONNECTION zugeordnet.
  • Wenn event.type = IP Listen ist, wird metadata.event_type = NETWORK_UNCATEGORIZED zugeordnet.
  • Wenn event.type = File ModIfication ist, wird metadata.event_type = FILE_MODIfICATION zugeordnet.
  • Wenn event.type = File Creation ist, wird metadata.event_type = FILE_CREATION zugeordnet.
  • Wenn event.type = File Scan ist, wird metadata.event_type = FILE_UNCATEGORIZED zugeordnet.
  • Wenn event.type = File Deletion ist, wird metadata.event_type = FILE_DELETION zugeordnet.
  • Wenn event.type = File Rename ist, wird metadata.event_type = FILE_MODIfICATION zugeordnet.
  • Wenn event.type = Pre Execution Detection ist, wird metadata.event_type = FILE_UNCATEGORIZED zugeordnet.
  • Wenn event.type = Login ist, wird metadata.event_type = USER_LOGIN zugeordnet.
  • Wenn event.type = Logout ist, wird metadata.event_type = USER_LOGOUT zugeordnet.
  • Wenn event.type = GET ist, wird metadata.event_type = NETWORK_HTTP zugeordnet.
  • Wenn event.type = OPTIONS ist, wird metadata.event_type = NETWORK_HTTP zugeordnet.
  • Wenn event.type = POST ist, wird metadata.event_type = NETWORK_HTTP zugeordnet.
  • Wenn event.type = PUT ist, wird metadata.event_type = NETWORK_HTTP zugeordnet.
  • Wenn event.type = DELETE ist, wird metadata.event_type = NETWORK_HTTP zugeordnet.
  • Wenn event.type = CONNECT ist, wird metadata.event_type = NETWORK_HTTP zugeordnet.
  • Wenn event.type = HEAD ist, wird metadata.event_type = NETWORK_HTTP zugeordnet.
  • Wenn event.type = Not Reported ist, wird metadata.event_type = STATUS_UNCATEGORIZED zugeordnet.
  • Wenn event.type = DNS Resolved ist, wird metadata.event_type = NETWORK_DNS zugeordnet.
  • Wenn event.type = DNS Unresolved ist, wird metadata.event_type = NETWORK_DNS zugeordnet.
  • Wenn event.type = Task Register ist, wird metadata.event_type = SCHEDULED_TASK_CREATION zugeordnet.
  • Wenn event.type = Task Update ist, wird metadata.event_type = SCHEDULED_TASK_MODIfICATION zugeordnet.
  • Wenn event.type = Task Start ist, wird metadata.event_type = SCHEDULED_TASK_UNCATEGORIZED zugeordnet.
  • Wenn event.type = Task Trigger ist, wird metadata.event_type = SCHEDULED_TASK_UNCATEGORIZED zugeordnet.
  • Wenn event.type = Task Delete ist, wird metadata.event_type = SCHEDULED_TASK_DELETION zugeordnet.
  • Wenn event.type = Registry Key Create ist, wird metadata.event_type = REGISTRY_CREATION zugeordnet.
  • Wenn event.type = Registry Key Rename ist, wird metadata.event_type = REGISTRY_MODIfICATION zugeordnet.
  • Wenn event.type = Registry Key Delete ist, wird metadata.event_type = REGISTRY_DELETION zugeordnet.
  • Wenn event.type = Registry Key Export ist, wird metadata.event_type = REGISTRY_UNCATEGORIZED zugeordnet.
  • Wenn event.type = Registry Key Security Changed ist, wird metadata.event_type = REGISTRY_MODIfICATION zugeordnet.
  • Wenn event.type = Registry Key Import ist, wird metadata.event_type = REGISTRY_CREATION zugeordnet.
  • Wenn event.type = Registry Value ModIfied ist, wird metadata.event_type = REGISTRY_MODIfICATION zugeordnet.
  • Wenn event.type = Registry Value Create ist, wird metadata.event_type = REGISTRY_CREATION zugeordnet.
  • Wenn event.type = Registry Value Delete ist, wird metadata.event_type = REGISTRY_DELETION zugeordnet.
  • Wenn event.type = Behavioral Indicators ist, wird metadata.event_type = SCAN_UNCATEGORIZED zugeordnet.
  • Wenn event.type = Module Load ist, wird metadata.event_type = PROCESS_MODULE_LOAD zugeordnet.
  • Wenn event.type = Threat Intelligence Indicators ist, wird metadata.event_type = SCAN_UNCATEGORIZED zugeordnet.
  • Wenn event.type = Named Pipe Creation ist, wird metadata.event_type = PROCESS_UNCATEGORIZED zugeordnet.
  • Wenn event.type = Named Pipe Connection ist, wird metadata.event_type = PROCESS_UNCATEGORIZED zugeordnet.
  • Wenn event.type = Driver Load ist, wird metadata.event_type = PROCESS_MODULE_LOAD zugeordnet.

2023-02-13

Optimierung:

  • endpoint.os wurde principal.platform zugeordnet.
  • endpoint.name wurde target.hostname zugeordnet.
  • src.process.pid wurde principal.process.pid zugeordnet.
  • src.process.cmdline wurde principal.process.command_line zugeordnet.
  • src.process.image.path wurde principal.process.file.full_path zugeordnet.
  • src.process.image.sha1 wurde principal.process.file.sha1 zugeordnet.
  • src.process.eUserUid wurde metadata.ingestion_labels zugeordnet.
  • src.process.lUserUid wurde metadata.ingestion_labels zugeordnet.
  • src.process.uid wurde principal.user.userid zugeordnet.
  • src.process.displayName wurde principal.user.user_display_name zugeordnet.
  • src.process.isRedirectCmdProcessor, src.process.isNative64Bit, src.process.isStorylineRoot, src.process.signedStatus, src.file.isSigned, src.process.subsystem, src.process.integrityLevel, src.process.tgtFileCreationCount, src.process.childProcCount, src.process.indicatorBootConfigurationUpdateCount, src.process.indicatorEvasionCount, src.process.indicatorExploitationCount, src.process.indicatorGeneralCount, src.process.indicatorInfostealerCount, src.process.moduleCount auf principal.resource.attribute.labels.
  • src.process.image.md5 wurde principal.process.file.md5 zugeordnet.
  • agent.uuid wurde principal.asset.asset_id zugeordnet.
  • agent.version wurde metadata.product_version zugeordnet.
  • site.id wurde principal.namespace zugeordnet.
  • site.name wurde principal.location.name zugeordnet.
  • trace.id wurde metadata.product_log_id zugeordnet.
  • dataSource.category wurde security_result.category_details zugeordnet.
  • packet.id wurde about.resource.attribute.labels zugeordnet.
  • mgmt.url, endpoint.type wurde metadata.url_back_to_product zugeordnet.
  • tgt.process.image.sha1 wurde target.process.file.sha1 zugeordnet.
  • tgt.process.image.path wurde target.process.file.full_path zugeordnet.
  • tgt.process.pid wurde target.process.pid zugeordnet.
  • tgt.process.uid wurde target.user.userid zugeordnet.
  • tgt.process.cmdline wurde target.process.command_line zugeordnet.
  • tgt.process.displayName wurde target.user.user_display_name zugeordnet.
  • tgt.process.image.md5 wurde target.process.file.md5 zugeordnet.
  • src.process.parent.image.sha256 wurde principal.process.file.sha256 zugeordnet.
  • tgt.process.image.sha256 wurde target.process.file.sha256 zugeordnet.
  • tgt.process.sessionId wurde network.session_id zugeordnet.
  • tgt.process.storyline.id wurde target.process.product_specific_process_id zugeordnet.
  • tgt.process.isRedirectCmdProcessor, tgt.process.isNative64Bit, tgt.process.isStorylineRoot, tgt.process.signedStatus, tgt.file.isSigned, tgt.process.subsystem, tgt.process.integrityLevel, tgt.process.publisher auf target.resource.attribute.labels zugeordnet
  • prod_event_type wurde metadata.product_event_type zugeordnet.

2022-09-09

Optimierung:

  • Die Logs mit event_type = null wurden wiederhergestellt.
  • Es wurden Null-Prüfungen für meta.os_version, meta.os_name, meta.uuid, meta.computer_name und meta.os_revision hinzugefügt.
  • Die Größe von *.targetFile.hashes.sha1 und *.source.executable.hashes.sha1 wurde auf 64 Byte reduziert, wenn das Limit von 64 Byte überschritten wurde.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten