Recopila registros de visibilidad detallada de SentinelOne

Compatible con:

En este documento, se explica cómo exportar registros de SentinelOne Deep Visibility a Google Security Operations con Cloud Funnel para exportar registros a Google Cloud Storage. El analizador transforma los registros de eventos de seguridad sin procesar en formato JSON en un formato estructurado que cumple con el UDM. Primero, inicializa un conjunto de variables, luego extrae el tipo de evento y analiza la carga útil JSON, asignando los campos relevantes al esquema de la UDM mientras controla los registros de eventos de Windows por separado.

Antes de comenzar

  • Asegúrate de tener una instancia de Google SecOps.
  • Asegúrate de tener acceso con privilegios a Google Cloud.
  • Asegúrate de que la visibilidad profunda de SentinelOne esté configurada en tu entorno.
  • Asegúrate de tener acceso con privilegios a SentinelOne.

Crea un bucket de Google Cloud Storage.

  1. Accede a la consola de Google Cloud.
  2. Ve a la página Buckets de Cloud Storage.

    Ir a Buckets

  3. Haz clic en Crear.

  4. En la página Crear un bucket, ingresa la información de tu bucket. Después de cada uno de los siguientes pasos, haz clic en Continuar para avanzar al siguiente:

    1. En la sección Primeros pasos, haz lo siguiente:

      1. Ingresa un nombre único que cumpla con los requisitos de nombre de bucket, por ejemplo, sentinelone-deepvisibility.
      2. Para habilitar el espacio de nombres jerárquico, haz clic en la flecha de expansión para expandir la sección Optimizar las cargas de trabajo orientadas a archivos y con uso intensivo de datos y, luego, selecciona Habilitar el espacio de nombres jerárquico en este bucket.

      3. Para agregar una etiqueta de bucket, haz clic en la flecha de expansión para expandir la sección Etiquetas.

      4. Haz clic en Agregar etiqueta y especifica una clave y un valor para tu etiqueta.

    2. En la sección Eligir dónde almacenar tus datos, haz lo siguiente:

      1. Selecciona un tipo de ubicación
      2. Usa el menú de tipo de ubicación para seleccionar una Ubicación en la que se almacenarán de forma permanente los datos de objetos de tu bucket.

      3. Para configurar la replicación entre buckets, expande la sección Configurar la replicación entre buckets.

    3. En la sección Elige una clase de almacenamiento para tus datos, selecciona una clase de almacenamiento predeterminada para el bucket o selecciona Autoclass para la administración automática de clases de almacenamiento de los datos de tu bucket.

    4. En la sección Elige cómo controlar el acceso a los objetos, selecciona no para aplicar la prevención del acceso público y elige un modelo de control de acceso para los objetos de tu bucket.

    5. En la sección Elige cómo proteger los datos de objetos, haz lo siguiente:

      1. Selecciona cualquiera de las opciones de Protección de datos que desees configurar para tu bucket.
      2. Para elegir cómo se encriptarán los datos de tus objetos, haz clic en la flecha desplegable etiquetada como Encriptación de datos y selecciona un método de encriptación de datos.
  5. Haz clic en Crear.

Crea una cuenta de servicio de Google Cloud

  1. Ve a IAM y administración > Cuentas de servicio.
  2. Cree una cuenta de servicio nueva
  3. Asóciale un nombre descriptivo, por ejemplo, sentinelone-dv-logs.
  4. Otorga a la cuenta de servicio el rol de Creador de objetos de almacenamiento en el bucket de Cloud Storage que creaste en el paso anterior.
  5. Crea una clave SSH para la cuenta de servicio.
  6. Descarga un archivo de claves JSON para la cuenta de servicio. Protege este archivo.

Configura Cloud Funnel en SentinelOne DeepVisibility

  1. Accede a SentinelOne DeepVisibility.
  2. Haz clic en Configurar > Política y configuración.
  3. En la sección Singularity Data Lake, haz clic en Cloud Funnel.
  4. Proporciona los siguientes detalles de configuración:
    • Proveedor de servicios en la nube: Selecciona Google Cloud.
    • Nombre del bucket: Ingresa el nombre del bucket de Cloud Storage que creaste para la transferencia de registros de DeepVisibility de SentinelOne.
    • Transmisión de telemetría: Selecciona Habilitar.
    • Filtros de consulta: Crea una consulta que incluya los agentes que deben enviar datos a un bucket de Cloud Storage.
    • Haz clic en Validate.
    • Campos que se incluirán: Selecciona todos los campos.
  5. Haz clic en Guardar.

Configura un feed en Google SecOps para transferir registros de SentinelOne Deep Visibility

  1. Ve a Configuración de SIEM > Feeds.
  2. Haz clic en Agregar nueva.
  3. En el campo Nombre del feed, ingresa un nombre para el feed, por ejemplo, Registros de DV de SentinelOne.
  4. Selecciona Google Cloud Storage como el Tipo de fuente.
  5. Selecciona SentinelOne Deep Visibility como el Tipo de registro.
  6. Haz clic en Obtener cuenta de servicio como la cuenta de servicio de Chronicle.
  7. Haz clic en Siguiente.
  8. Especifica valores para los siguientes parámetros de entrada:

    • URI del bucket de almacenamiento: Es la URL del bucket de Google Cloud Storage en formato gs://my-bucket/<value>.
    • URI Is A: Selecciona Directorio que incluye subdirectorios.
    • Opciones de eliminación de fuentes: Selecciona la opción de eliminación según tu preferencia.

    • Espacio de nombres de recursos: Es el espacio de nombres de recursos.

    • Etiquetas de transferencia: Es la etiqueta que se aplica a los eventos de este feed.

  9. Haz clic en Siguiente.

  10. Revisa la configuración de tu nuevo feed en la pantalla Finalizar y, luego, haz clic en Enviar.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
AdapterName security_result.about.resource.attribute.labels.value El valor se toma del campo "AdapterName" en el registro sin procesar.
AdapterSuffixName security_result.about.resource.attribute.labels.value El valor se toma del campo "AdapterSuffixName" en el registro sin procesar.
agent_version read_only_udm.metadata.product_version El valor se toma del campo "meta.agent_version" en el registro sin procesar.
Canal security_result.about.resource.attribute.labels.value El valor se toma del campo "Channel" en el registro sin procesar.
commandLine read_only_udm.principal.process.command_line El valor se toma del campo "event.Event...commandLine" en el registro sin procesar, donde es el tipo de evento específico (p.ej., ProcessCreation, ProcessExit) y es el campo que contiene información del proceso (p.ej., proceso, fuente, superior).
computer_name read_only_udm.principal.hostname El valor se toma del campo "meta.computer_name" en el registro sin procesar.
destinationAddress.address read_only_udm.target.ip El valor se toma del campo "event.Event.Tcpv4.destinationAddress.address" en el registro sin procesar.
destinationAddress.port read_only_udm.target.port El valor se toma del campo "event.Event.Tcpv4.destinationAddress.port" en el registro sin procesar.
DnsServerList read_only_udm.principal.ip El valor se toma del campo "DnsServerList" en el registro sin procesar.
ErrorCode_new security_result.detection_fields.value El valor se toma del campo "ErrorCode_new" en el registro sin procesar.
EventID security_result.about.resource.attribute.labels.value El valor se toma del campo "EventID" en el registro sin procesar.
event.Event.Dns.query read_only_udm.network.dns.questions.name El valor se toma del campo "event.Event.Dns.query" en el registro sin procesar.
event.Event.Dns.results read_only_udm.network.dns.answers.data El valor se toma del campo "event.Event.Dns.results" en el registro sin procesar.
event.Event.Dns.source.fullPid.pid read_only_udm.principal.process.pid El valor se toma del campo "event.Event.Dns.source.fullPid.pid" en el registro sin procesar.
event.Event.Dns.source.user.name read_only_udm.principal.user.userid El valor se toma del campo "event.Event.Dns.source.user.name" en el registro sin procesar.
event.Event.FileCreation.source.fullPid.pid read_only_udm.principal.process.pid El valor se toma del campo "event.Event.FileCreation.source.fullPid.pid" en el registro sin procesar.
event.Event.FileCreation.source.user.name read_only_udm.principal.user.userid El valor se toma del campo "event.Event.FileCreation.source.user.name" en el registro sin procesar.
event.Event.FileCreation.targetFile.path read_only_udm.target.file.full_path El valor se toma del campo "event.Event.FileCreation.targetFile.path" en el registro sin procesar.
event.Event.FileDeletion.source.fullPid.pid read_only_udm.principal.process.pid El valor se toma del campo "event.Event.FileDeletion.source.fullPid.pid" en el registro sin procesar.
event.Event.FileDeletion.source.user.name read_only_udm.principal.user.userid El valor se toma del campo "event.Event.FileDeletion.source.user.name" en el registro sin procesar.
event.Event.FileDeletion.targetFile.path read_only_udm.target.file.full_path El valor se toma del campo "event.Event.FileDeletion.targetFile.path" en el registro sin procesar.
event.Event.FileModification.file.path read_only_udm.target.file.full_path El valor se toma del campo "event.Event.FileModification.file.path" en el registro sin procesar.
event.Event.FileModification.source.user.name read_only_udm.principal.user.userid El valor se toma del campo "event.Event.FileModification.source.user.name" en el registro sin procesar.
event.Event.FileModification.targetFile.path read_only_udm.target.file.full_path El valor se toma del campo "event.Event.FileModification.targetFile.path" en el registro sin procesar.
event.Event.Http.source.user.name read_only_udm.principal.user.userid El valor se toma del campo "event.Event.Http.source.user.name" en el registro sin procesar.
event.Event.Http.url read_only_udm.target.url El valor se toma del campo "event.Event.Http.url" en el registro sin procesar.
event.Event.ProcessCreation.process.user.name read_only_udm.principal.user.userid El valor se toma del campo "event.Event.ProcessCreation.process.user.name" en el registro sin procesar.
event.Event.ProcessCreation.source.user.name read_only_udm.principal.user.userid El valor se toma del campo "event.Event.ProcessCreation.source.user.name" en el registro sin procesar.
event.Event.ProcessExit.source.user.name read_only_udm.principal.user.userid El valor se toma del campo "event.Event.ProcessExit.source.user.name" en el registro sin procesar.
event.Event.ProcessTermination.source.user.name read_only_udm.principal.user.userid El valor se toma del campo "event.Event.ProcessTermination.source.user.name" en el registro sin procesar.
event.Event.RegKeyCreate.source.fullPid.pid read_only_udm.principal.process.pid El valor se toma del campo "event.Event.RegKeyCreate.source.fullPid.pid" en el registro sin procesar.
event.Event.RegKeyCreate.source.user.name read_only_udm.principal.user.userid El valor se toma del campo "event.Event.RegKeyCreate.source.user.name" en el registro sin procesar.
event.Event.RegKeyDelete.source.user.name read_only_udm.principal.user.userid El valor se toma del campo "event.Event.RegKeyDelete.source.user.name" en el registro sin procesar.
event.Event.RegValueModified.source.user.name read_only_udm.principal.user.userid El valor se toma del campo "event.Event.RegValueModified.source.user.name" en el registro sin procesar.
event.Event.SchedTaskDelete.source.user.name read_only_udm.principal.user.userid El valor se toma del campo "event.Event.SchedTaskDelete.source.user.name" en el registro sin procesar.
event.Event.SchedTaskRegister.source.user.name read_only_udm.principal.user.userid El valor se toma del campo "event.Event.SchedTaskRegister.source.user.name" en el registro sin procesar.
event.Event.SchedTaskStart.source.user.name read_only_udm.principal.user.userid El valor se toma del campo "event.Event.SchedTaskStart.source.user.name" en el registro sin procesar.
event.Event.SchedTaskTrigger.source.fullPid.pid read_only_udm.principal.process.pid El valor se toma del campo "event.Event.SchedTaskTrigger.source.fullPid.pid" en el registro sin procesar.
event.Event.SchedTaskTrigger.source.user.name read_only_udm.principal.user.userid El valor se toma del campo "event.Event.SchedTaskTrigger.source.user.name" en el registro sin procesar.
event.Event.Tcpv4.source.fullPid.pid read_only_udm.principal.process.pid El valor se toma del campo "event.Event.Tcpv4.source.fullPid.pid" en el registro sin procesar.
event.Event.Tcpv4.source.user.name read_only_udm.principal.user.userid El valor se toma del campo "event.Event.Tcpv4.source.user.name" en el registro sin procesar.
event.Event.Tcpv4Listen.local.address read_only_udm.principal.ip El valor se toma del campo "event.Event.Tcpv4Listen.local.address" en el registro sin procesar.
event.timestamp.millisecondsSinceEpoch read_only_udm.metadata.event_timestamp.seconds El valor se toma del campo "event.timestamp.millisecondsSinceEpoch" en el registro sin procesar y se convierte a segundos.
event.timestamp.millisecondsSinceEpoch read_only_udm.metadata.event_timestamp.nanos El valor se toma del campo "event.timestamp.millisecondsSinceEpoch" en el registro sin procesar y se convierte a nanosegundos.
event.timestamp.millisecondsSinceEpoch security_result.about.resource.attribute.labels.value El valor se toma del campo "event.timestamp.millisecondsSinceEpoch" en el registro sin procesar y se usa como el valor de una etiqueta en el array security_result.about.resource.attribute.labels.
event_type read_only_udm.metadata.product_event_type El valor se extrae del campo "message" en el registro sin procesar con un patrón grok.
executable.hashes.md5 read_only_udm.principal.process.file.md5 El valor se toma del campo "event.Event...executable.hashes.md5" en el registro sin procesar, donde es el tipo de evento específico (p.ej., ProcessCreation, ProcessExit) y es el campo que contiene información del proceso (p.ej., proceso, fuente, superior).
executable.hashes.sha1 read_only_udm.principal.process.file.sha1 El valor se toma del campo "event.Event...executable.hashes.sha1" en el registro sin procesar, donde es el tipo de evento específico (p.ej., ProcessCreation, ProcessExit) y es el campo que contiene información del proceso (p.ej., proceso, fuente, superior).
executable.hashes.sha256 read_only_udm.principal.process.file.sha256 El valor se toma del campo "event.Event...executable.hashes.sha256" en el registro sin procesar, donde es el tipo de evento específico (p.ej., ProcessCreation, ProcessExit) y es el campo que contiene información del proceso (p.ej., proceso, fuente, superior).
executable.path read_only_udm.principal.process.file.full_path El valor se toma del campo "event.Event...executable.path" en el registro sin procesar, donde es el tipo de evento específico (p.ej., ProcessCreation, ProcessExit) y es el campo que contiene información del proceso (p.ej., proceso, fuente, superior).
executable.sizeBytes read_only_udm.principal.process.file.size El valor se toma del campo "event.Event...executable.sizeBytes" en el registro sin procesar, donde es el tipo de evento específico (p.ej., ProcessCreation, ProcessExit) y es el campo que contiene información del proceso (p.ej., proceso, fuente, superior).
fullPid.pid read_only_udm.principal.process.pid El valor se toma del campo "event.Event...fullPid.pid" en el registro sin procesar, donde es el tipo de evento específico (p.ej., ProcessCreation, ProcessExit) y es el campo que contiene información del proceso (p.ej., proceso, fuente, superior).
hashes.md5 read_only_udm.target.file.md5 El valor se toma del campo "event.Event.ProcessCreation.hashes.md5" en el registro sin procesar.
hashes.sha1 read_only_udm.target.file.sha1 El valor se toma del campo "event.Event.ProcessCreation.hashes.sha1" en el registro sin procesar.
hashes.sha256 read_only_udm.target.file.sha256 El valor se toma del campo "event.Event.ProcessCreation.hashes.sha256" en el registro sin procesar.
IpAddress read_only_udm.target.ip El valor se toma del campo "IpAddress" en el registro sin procesar.
local.address read_only_udm.principal.ip El valor se toma del campo "event.Event.Tcpv4Listen.local.address" en el registro sin procesar.
local.port read_only_udm.principal.port El valor se toma del campo "event.Event.Tcpv4Listen.local.port" en el registro sin procesar.
log_type read_only_udm.metadata.log_type El valor se toma del campo "log_type" en el registro sin procesar.
meta.agent_version read_only_udm.metadata.product_version El valor se toma del campo "meta.agent_version" en el registro sin procesar.
meta.computer_name read_only_udm.principal.hostname El valor se toma del campo "meta.computer_name" en el registro sin procesar.
meta.os_family read_only_udm.principal.platform El valor se toma del campo "meta.os_family" en el registro sin procesar y se asigna a la plataforma correspondiente (p.ej., windows para WINDOWS, osx para MAC y linux para LINUX).
meta.os_name read_only_udm.principal.platform_version El valor se toma del campo "meta.os_name" en el registro sin procesar.
meta.os_revision read_only_udm.principal.platform_patch_level El valor se toma del campo "meta.os_revision" en el registro sin procesar.
meta.uuid read_only_udm.principal.asset_id El valor se toma del campo "meta.uuid" en el registro sin procesar y se le antepone SENTINELONE:.
nombre read_only_udm.principal.application El valor se toma del campo "event.Event...name" en el registro sin procesar, donde es el tipo de evento específico (p.ej., ProcessCreation, ProcessExit) y es el campo que contiene información del proceso (p.ej., proceso, fuente, superior).
parent.executable.hashes.md5 read_only_udm.target.process.parent_process.file.md5 El valor se toma del campo "event.Event..parent.executable.hashes.md5" en el registro sin procesar, donde es el tipo de evento específico (p.ej., ProcessCreation, ProcessExit).
parent.executable.hashes.sha1 read_only_udm.target.process.parent_process.file.sha1 El valor se toma del campo "event.Event..parent.executable.hashes.sha1" en el registro sin procesar, donde es el tipo de evento específico (p.ej., ProcessCreation, ProcessExit).
parent.executable.hashes.sha256 read_only_udm.target.process.parent_process.file.sha256 El valor se toma del campo "event.Event..parent.executable.hashes.sha256" en el registro sin procesar, donde es el tipo de evento específico (p.ej., ProcessCreation, ProcessExit).
parent.executable.path read_only_udm.target.process.parent_process.file.full_path El valor se toma del campo "event.Event..parent.executable.path" en el registro sin procesar, donde es el tipo de evento específico (p.ej., ProcessCreation, ProcessExit).
parent.fullPid.pid read_only_udm.target.process.parent_process.pid El valor se toma del campo "event.Event..parent.fullPid.pid" en el registro sin procesar, donde es el tipo de evento específico (p.ej., ProcessCreation, ProcessExit).
path read_only_udm.principal.process.file.full_path El valor se toma del campo "event.Event...path" en el registro sin procesar, donde es el tipo de evento específico (p.ej., ProcessCreation, ProcessExit) y es el campo que contiene información del proceso (p.ej., proceso, fuente, superior).
process.commandLine read_only_udm.target.process.command_line El valor se toma del campo "event.Event.ProcessCreation.process.commandLine" en el registro sin procesar.
process.fullPid.pid read_only_udm.target.process.pid El valor se toma del campo "event.Event.ProcessCreation.process.fullPid.pid" en el registro sin procesar.
process.parent.fullPid.pid read_only_udm.target.process.parent_process.pid El valor se toma del campo "event.Event.ProcessCreation.process.parent.fullPid.pid" en el registro sin procesar.
ProviderGuid security_result.about.resource.attribute.labels.value El valor se toma del campo "ProviderGuid" en el registro sin procesar, sin llaves.
consulta read_only_udm.network.dns.questions.name El valor se toma del campo "event.Event.Dns.query" en el registro sin procesar.
RecordNumber security_result.about.resource.attribute.labels.value El valor se toma del campo "RecordNumber" en el registro sin procesar.
regKey.path read_only_udm.target.registry.registry_key El valor se toma del campo "event.Event.RegKeyCreate.regKey.path" o "event.Event.RegKeyDelete.regKey.path" en el registro sin procesar.
regValue.path read_only_udm.target.registry.registry_key El valor se toma del campo "event.Event.RegValueDelete.regValue.path" o "event.Event.RegValueModified.regValue.path" en el registro sin procesar.
resultados read_only_udm.network.dns.answers.data El valor se toma del campo "event.Event.Dns.results" en el registro sin procesar.
Se envió UpdateServer intermediary.hostname El valor se toma del campo "Sent UpdateServer" en el registro sin procesar.
seq_id Este campo no se asigna directamente a la UDM.
signature.Status.Signed.identity Este campo no se asigna directamente a la UDM.
sizeBytes read_only_udm.principal.process.file.size El valor se toma del campo "event.Event...sizeBytes" en el registro sin procesar, donde es el tipo de evento específico (p.ej., ProcessCreation, ProcessExit) y es el campo que contiene información del proceso (p.ej., proceso, fuente, superior).
sourceAddress.address read_only_udm.principal.ip El valor se toma del campo "event.Event.Tcpv4.sourceAddress.address" en el registro sin procesar.
sourceAddress.port read_only_udm.principal.port El valor se toma del campo "event.Event.Tcpv4.sourceAddress.port" en el registro sin procesar.
SourceName security_result.about.resource.attribute.labels.value El valor se toma del campo "SourceName" en el registro sin procesar.
estado Este campo no se asigna directamente a la UDM.
taskName read_only_udm.target.resource.name El valor se toma de los campos "event.Event.SchedTaskStart.taskName", "event.Event.SchedTaskTrigger.taskName" o "event.Event.SchedTaskDelete.taskName" en el registro sin procesar.
targetFile.hashes.md5 read_only_udm.target.file.md5 El valor se toma del campo "event.Event.FileDeletion.targetFile.hashes.md5" o "event.Event.SchedTaskStart.targetFile.hashes.md5" en el registro sin procesar.
targetFile.hashes.sha1 read_only_udm.target.file.sha1 El valor se toma del campo "event.Event.FileDeletion.targetFile.hashes.sha1" o "event.Event.SchedTaskStart.targetFile.hashes.sha1" en el registro sin procesar.
targetFile.hashes.sha256 read_only_udm.target.file.sha256 El valor se toma del campo "event.Event.FileDeletion.targetFile.hashes.sha256" o "event.Event.SchedTaskStart.targetFile.hashes.sha256" en el registro sin procesar.
targetFile.path read_only_udm.target.file.full_path El valor se toma del campo "event.Event.FileDeletion.targetFile.path" o "event.Event.SchedTaskStart.targetFile.path" en el registro sin procesar.
Tarea security_result.about.resource.attribute.labels.value El valor se toma del campo "Task" en el registro sin procesar.
timestamp.millisecondsSinceEpoch read_only_udm.metadata.event_timestamp.seconds El valor se toma del campo "event.timestamp.millisecondsSinceEpoch" en el registro sin procesar y se convierte a segundos.
timestamp.millisecondsSinceEpoch read_only_udm.metadata.event_timestamp.nanos El valor se toma del campo "event.timestamp.millisecondsSinceEpoch" en el registro sin procesar y se convierte a nanosegundos.
trace_id Este campo no se asigna directamente a la UDM.
triggerType Este campo no se asigna directamente a la UDM.
trueContext Este campo no se asigna directamente a la UDM.
trueContext.key Este campo no se asigna directamente a la UDM.
trueContext.key.value Este campo no se asigna directamente a la UDM.
tipo read_only_udm.network.dns.answers.type El valor se toma del campo "event.Event.Dns.results" en el registro sin procesar y se extrae con una expresión regular.
url read_only_udm.target.url El valor se toma del campo "event.Event.Http.url" en el registro sin procesar.
user.name read_only_udm.principal.user.userid El valor se toma del campo "event.Event...user.name" en el registro sin procesar, donde es el tipo de evento específico (p.ej., ProcessCreation, ProcessExit) y es el campo que contiene información del proceso (p.ej., proceso, fuente, superior).
user.sid read_only_udm.principal.user.windows_sid El valor se toma del campo "event.Event...user.sid" en el registro sin procesar, donde es el tipo de evento específico (p.ej., ProcessCreation, ProcessExit) y es el campo que contiene información del proceso (p.ej., proceso, fuente, superior).
UserID read_only_udm.target.user.windows_sid El valor se toma del campo "UserID" en el registro sin procesar, solo si coincide con el patrón de SID de Windows.
UserSid read_only_udm.target.user.windows_sid El valor se toma del campo "UserSid" en el registro sin procesar, solo si coincide con el patrón de SID de Windows.
valueType Este campo no se asigna directamente a la UDM.
winEventLog.channel security_result.about.resource.attribute.labels.value El valor se toma del campo "winEventLog.channel" en el registro sin procesar.
winEventLog.description Este campo no se asigna directamente a la UDM.
winEventLog.id security_result.about.resource.attribute.labels.value El valor se toma del campo "winEventLog.id" en el registro sin procesar.
winEventLog.level security_result.severity El valor se toma del campo "winEventLog.level" en el registro sin procesar y se asigna al nivel de gravedad correspondiente (p.ej., Warning a MEDIUM).
winEventLog.providerName security_result.about.resource.attribute.labels.value El valor se toma del campo "winEventLog.providerName" en el registro sin procesar.
winEventLog.xml Este campo no se asigna directamente a la UDM.
read_only_udm.metadata.event_type El valor se determina en función del campo "event_type" y se asigna al tipo de evento de la AUA correspondiente.
read_only_udm.metadata.vendor_name El valor se establece en SentinelOne.
read_only_udm.metadata.product_name El valor se establece en Deep Visibility.
read_only_udm.metadata.product_log_id El valor se toma del campo "trace.id" en el registro sin procesar, solo para los eventos con "meta.event.name" igual a PROCESSCREATION.
read_only_udm.metadata.product_deployment_id El valor se toma del campo "account.id" en el registro sin procesar, solo para los eventos con "meta.event.name" igual a PROCESSCREATION.
read_only_udm.metadata.url_back_to_product El valor se toma del campo "mgmt.url" en el registro sin procesar, solo para los eventos con "meta.event.name" igual a PROCESSCREATION.
read_only_udm.metadata.ingestion_labels.key El valor se establece en Process eUserUid o Process lUserUid para los eventos con "meta.event.name" igual a PROCESSCREATION.
read_only_udm.metadata.ingestion_labels.value El valor se toma del campo "src.process.eUserUid" o "src.process.lUserUid" en el registro sin procesar, solo para los eventos con "meta.event.name" igual a PROCESSCREATION.
read_only_udm.principal.administrative_domain Es la parte de dominio del campo "event.Event...user.name" en el registro sin procesar, donde es el tipo de evento específico (p.ej., ProcessCreation, ProcessExit) y es el campo que contiene información del proceso (p.ej., proceso, fuente, superior).
read_only_udm.target.process.parent_process.command_line El valor se toma del campo "event.Event..parent.commandLine" en el registro sin procesar, donde es el tipo de evento específico (p.ej., ProcessCreation, ProcessExit).
read_only_udm.target.file Se crea un objeto vacío si "event_type" no es FileCreation, FileDeletion, FileModification, SchedTaskStart o ProcessCreation.
read_only_udm.network.ip_protocol El valor se establece en TCP para los eventos con "event_type" igual a Tcpv4, Tcpv4Listen o Http.
read_only_udm.network.application_protocol El valor se establece en DNS para los eventos con "event_type" igual a Dns.
read_only_udm.target.resource.type El valor se establece en TASK para los eventos con "event_type" igual a SchedTaskStart, SchedTaskTrigger o SchedTaskDelete.
read_only_udm.target.resource.resource_type El valor se establece en TASK para los eventos con "event_type" igual a SchedTaskStart, SchedTaskTrigger o SchedTaskDelete.
read_only_udm.principal.process.product_specific_process_id El valor se establece en ExecutionThreadID:<ExecutionThreadID> si el campo "ExecutionThreadID" está presente en el registro sin procesar.
read_only_udm.principal.asset.asset_id El valor se establece en Device ID:<agent.uuid> si el campo "agent.uuid" está presente en el registro sin procesar.
read_only_udm.principal.namespace El valor se toma del campo "site.id" en el registro sin procesar, solo para los eventos con "meta.event.name" igual a PROCESSCREATION.
read_only_udm.principal.location.name El valor se toma del campo "site.name" en el registro sin procesar, solo para los eventos con "meta.event.name" igual a PROCESSCREATION.
read_only_udm.principal.resource.attribute.labels.key El valor se establece en src.process.displayName, src.process.uid, isRedirectCmdProcessor, isNative64Bit, isStorylineRoot, signedStatus, src process subsystem, src process integrityLevel o childProcCount para los eventos con "meta.event.name" igual a PROCESSCREATION.
read_only_udm.principal.resource.attribute.labels.value El valor se toma del campo correspondiente en el registro sin procesar, solo para los eventos con "meta.event.name" igual a PROCESSCREATION.
read_only_udm.target.user.userid El valor se toma del campo "tgt.process.uid" en el registro sin procesar, solo para los eventos con "meta.event.name" igual a PROCESSCREATION.
read_only_udm.target.user.user_display_name El valor se toma del campo "tgt.process.displayName" en el registro sin procesar, solo para los eventos con "meta.event.name" igual a PROCESSCREATION.
read_only_udm.target.resource.attribute.labels.key El valor se establece en isRedirectCmdProcessor, isNative64Bit, isStorylineRoot, signedStatus, file_isSigned, tgt process subsystem o tgt process integrityLevel para los eventos con "meta.event.name" igual a PROCESSCREATION.
read_only_udm.target.resource.attribute.labels.value El valor se toma del campo correspondiente en el registro sin procesar, solo para los eventos con "meta.event.name" igual a PROCESSCREATION.
read_only_udm.security_result.about.resource.attribute.labels.key El valor se establece en tgt.process.storyline.id, endpoint_type, packet_id, src.process.storyline.id o src.process.parent.storyline.id para los eventos con "meta.event.name" igual a PROCESSCREATION.
read_only_udm.security_result.about.resource.attribute.labels.value El valor se toma del campo correspondiente en el registro sin procesar y se antepone con ID: para los IDs de historia, solo para los eventos con "meta.event.name" igual a PROCESSCREATION.
read_only_udm.security_result.category_details El valor se establece en security para los eventos con "meta.event.name" igual a PROCESSCREATION.
read_only_udm.target.asset.product_object_id El valor se toma del campo "AdapterName" en el registro sin procesar, solo para los eventos con "meta.event.name" igual a EVENTLOG.
security_result.about.resource.attribute.labels.key El valor se establece en TimeCreated SystemTime, EventID, Task, Channel, ProviderGuid, RecordNumber, SourceName, endpoint_type o packet_id para los eventos con "meta.event.name" igual a EVENTLOG.
security_result.detection_fields.key El valor se establece en Activity ID para los eventos con "meta.event.name" igual a EVENTLOG y un campo "ActivityID" no vacío.
security_result.detection_fields.value El valor se toma del campo "ActivityID" en el registro sin procesar, solo para los eventos con "meta.event.name" igual a EVENTLOG y un campo "ActivityID" no vacío.

Cambios

2023-09-06

Mejora:

  • Se modificó la asignación de tgt.process.storyline.id de target.process.product_specific_process_id a security_result.about.resource.attribute.labels.
  • Se modificó la asignación de src.process.storyline.id de principal.process.product_specific_process_id a security_result.about.resource.attribute.labels.
  • Se modificó la asignación de src.process.parent.storyline.id de principal.parent.process.product_specific_process_id a security_result.about.resource.attribute.labels.

2023-07-31

Mejora:

  • Se controlaron los registros que contienen datos de XML.

2023-04-09

Mejora:

  • Si event.type es Process Creation, se asigna metadata.event_type a PROCESS_LAUNCH.
  • Si event.type es Duplicate Process Handle, se asigna metadata.event_type a PROCESS_OPEN.
  • Si event.type es Duplicate Thread Handle, metadata.event_type se asigna a PROCESS_OPEN.
  • Si event.type es Open Remote Process Handle, metadata.event_type se asigna a PROCESS_OPEN.
  • Si event.type es Remote Thread Creation, se asigna metadata.event_type a PROCESS_LAUNCH.
  • Si event.type es Command Script, metadata.event_type se asigna a FILE_UNCATEGORIZED.
  • Si event.type es IP Connect, se asigna metadata.event_type a NETWORK_CONNECTION.
  • Si event.type es IP Listen, se asigna metadata.event_type a NETWORK_UNCATEGORIZED.
  • Si event.type es File ModIfication, metadata.event_type se asigna a FILE_MODIfICATION.
  • Si event.type es File Creation, metadata.event_type se asigna a FILE_CREATION.
  • Si event.type es File Scan, metadata.event_type se asigna a FILE_UNCATEGORIZED.
  • Si event.type es File Deletion, metadata.event_type se asigna a FILE_DELETION.
  • Si event.type es File Rename, se asigna metadata.event_type a FILE_MODIfICATION.
  • Si event.type es Pre Execution Detection, se asigna metadata.event_type a FILE_UNCATEGORIZED.
  • Si event.type es Login, metadata.event_type se asigna a USER_LOGIN.
  • Si event.type es Logout, se asigna metadata.event_type a USER_LOGOUT.
  • Si event.type es GET, metadata.event_type se asigna a NETWORK_HTTP.
  • Si event.type es OPTIONS, se asigna metadata.event_type a NETWORK_HTTP.
  • Si event.type es POST, se asigna metadata.event_type a NETWORK_HTTP.
  • Si event.type es PUT, metadata.event_type se asigna a NETWORK_HTTP.
  • Si event.type es DELETE, se asigna metadata.event_type a NETWORK_HTTP.
  • Si event.type es CONNECT, metadata.event_type se asigna a NETWORK_HTTP.
  • Si event.type es HEAD, se asigna metadata.event_type a NETWORK_HTTP.
  • Si event.type es Not Reported, se asigna metadata.event_type a STATUS_UNCATEGORIZED.
  • Si event.type es DNS Resolved, metadata.event_type se asigna a NETWORK_DNS.
  • Si event.type es DNS Unresolved, metadata.event_type se asigna a NETWORK_DNS.
  • Si event.type es Task Register, metadata.event_type se asigna a SCHEDULED_TASK_CREATION.
  • Si event.type es Task Update, se asigna metadata.event_type a SCHEDULED_TASK_MODIfICATION.
  • Si event.type es Task Start, se asigna metadata.event_type a SCHEDULED_TASK_UNCATEGORIZED.
  • Si event.type es Task Trigger, se asigna metadata.event_type a SCHEDULED_TASK_UNCATEGORIZED.
  • Si event.type es Task Delete, se asigna metadata.event_type a SCHEDULED_TASK_DELETION.
  • Si event.type es Registry Key Create, se asigna metadata.event_type a REGISTRY_CREATION.
  • Si event.type es Registry Key Rename, se asigna metadata.event_type a REGISTRY_MODIfICATION.
  • Si event.type es Registry Key Delete, se asigna metadata.event_type a REGISTRY_DELETION.
  • Si event.type es Registry Key Export, se asigna metadata.event_type a REGISTRY_UNCATEGORIZED.
  • Si event.type es Registry Key Security Changed, metadata.event_type se asigna a REGISTRY_MODIfICATION.
  • Si event.type es Registry Key Import, se asigna metadata.event_type a REGISTRY_CREATION.
  • Si event.type es Registry Value ModIfied, metadata.event_type se asigna a REGISTRY_MODIfICATION.
  • Si event.type es Registry Value Create, se asigna metadata.event_type a REGISTRY_CREATION.
  • Si event.type es Registry Value Delete, metadata.event_type se asigna a REGISTRY_DELETION.
  • Si event.type es Behavioral Indicators, se asigna metadata.event_type a SCAN_UNCATEGORIZED.
  • Si event.type es Module Load, se asigna metadata.event_type a PROCESS_MODULE_LOAD.
  • Si event.type es Threat Intelligence Indicators, se asigna metadata.event_type a SCAN_UNCATEGORIZED.
  • Si event.type es Named Pipe Creation, metadata.event_type se asigna a PROCESS_UNCATEGORIZED.
  • Si event.type es Named Pipe Connection, se asigna metadata.event_type a PROCESS_UNCATEGORIZED.
  • Si event.type es Driver Load, metadata.event_type se asigna a PROCESS_MODULE_LOAD.

13-2-2023

Mejora:

  • Se asignó endpoint.os a principal.platform.
  • Se asignó endpoint.name a target.hostname.
  • Se asignó src.process.pid a principal.process.pid.
  • Se asignó src.process.cmdline a principal.process.command_line.
  • Se asignó src.process.image.path a principal.process.file.full_path.
  • Se asignó src.process.image.sha1 a principal.process.file.sha1.
  • Se asignó src.process.eUserUid a metadata.ingestion_labels.
  • Se asignó src.process.lUserUid a metadata.ingestion_labels.
  • Se asignó src.process.uid a principal.user.userid.
  • Se asignó src.process.displayName a principal.user.user_display_name.
  • Se asignaron src.process.isRedirectCmdProcessor, src.process.isNative64Bit, src.process.isStorylineRoot, src.process.signedStatus, src.file.isSigned, src.process.subsystem, src.process.integrityLevel, src.process.tgtFileCreationCount, src.process.childProcCount, src.process.indicatorBootConfigurationUpdateCount, src.process.indicatorEvasionCount, src.process.indicatorExploitationCount, src.process.indicatorGeneralCount, src.process.indicatorInfostealerCount y src.process.moduleCount a principal.resource.attribute.labels.
  • Se asignó src.process.image.md5 a principal.process.file.md5.
  • Se asignó agent.uuid a principal.asset.asset_id.
  • Se asignó agent.version a metadata.product_version.
  • Se asignó site.id a principal.namespace.
  • Se asignó site.name a principal.location.name.
  • Se asignó trace.id a metadata.product_log_id.
  • Se asignó dataSource.category a security_result.category_details.
  • Se asignó packet.id a about.resource.attribute.labels.
  • Se asignaron mgmt.url y endpoint.type a metadata.url_back_to_product.
  • Se asignó tgt.process.image.sha1 a target.process.file.sha1.
  • Se asignó tgt.process.image.path a target.process.file.full_path.
  • Se asignó tgt.process.pid a target.process.pid.
  • Se asignó tgt.process.uid a target.user.userid.
  • Se asignó tgt.process.cmdline a target.process.command_line.
  • Se asignó tgt.process.displayName a target.user.user_display_name.
  • Se asignó tgt.process.image.md5 a target.process.file.md5.
  • Se asignó src.process.parent.image.sha256 a principal.process.file.sha256.
  • Se asignó tgt.process.image.sha256 a target.process.file.sha256.
  • Se asignó tgt.process.sessionId a network.session_id.
  • Se asignó tgt.process.storyline.id a target.process.product_specific_process_id.
  • Se asignaron tgt.process.isRedirectCmdProcessor, tgt.process.isNative64Bit, tgt.process.isStorylineRoot, tgt.process.signedStatus, tgt.file.isSigned, tgt.process.subsystem, tgt.process.integrityLevel, tgt.process.publisher a target.resource.attribute.labels.
  • Se asignó prod_event_type a metadata.product_event_type.

2022-09-09

Mejora:

  • Se quitaron los registros con event_type = null.
  • Se proporcionaron verificaciones nulas para meta.os_version, meta.os_name, meta.uuid, meta.computer_name y meta.os_revision.
  • Se redujo el tamaño de *.targetFile.hashes.sha1 y *.source.executable.hashes.sha1 a 64 bytes cuando se supera el límite de 64 bytes.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.