Recopila registros de visibilidad detallada de SentinelOne
En este documento, se explica cómo exportar registros de SentinelOne Deep Visibility a Google Security Operations con Cloud Funnel para exportar registros a Google Cloud Storage. El analizador transforma los registros de eventos de seguridad sin procesar en formato JSON en un formato estructurado que cumple con el UDM. Primero, inicializa un conjunto de variables, luego extrae el tipo de evento y analiza la carga útil JSON, asignando los campos relevantes al esquema de la UDM mientras controla los registros de eventos de Windows por separado.
Antes de comenzar
- Asegúrate de tener una instancia de Google SecOps.
- Asegúrate de tener acceso con privilegios a Google Cloud.
- Asegúrate de que la visibilidad profunda de SentinelOne esté configurada en tu entorno.
- Asegúrate de tener acceso con privilegios a SentinelOne.
Crea un bucket de Google Cloud Storage.
- Accede a la consola de Google Cloud.
Ve a la página Buckets de Cloud Storage.
Haz clic en Crear.
En la página Crear un bucket, ingresa la información de tu bucket. Después de cada uno de los siguientes pasos, haz clic en Continuar para avanzar al siguiente:
En la sección Primeros pasos, haz lo siguiente:
- Ingresa un nombre único que cumpla con los requisitos de nombre de bucket, por ejemplo, sentinelone-deepvisibility.
Para habilitar el espacio de nombres jerárquico, haz clic en la flecha de expansión para expandir la sección Optimizar las cargas de trabajo orientadas a archivos y con uso intensivo de datos y, luego, selecciona Habilitar el espacio de nombres jerárquico en este bucket.
Para agregar una etiqueta de bucket, haz clic en la flecha de expansión para expandir la sección Etiquetas.
Haz clic en Agregar etiqueta y especifica una clave y un valor para tu etiqueta.
En la sección Eligir dónde almacenar tus datos, haz lo siguiente:
- Selecciona un tipo de ubicación
Usa el menú de tipo de ubicación para seleccionar una Ubicación en la que se almacenarán de forma permanente los datos de objetos de tu bucket.
Para configurar la replicación entre buckets, expande la sección Configurar la replicación entre buckets.
En la sección Elige una clase de almacenamiento para tus datos, selecciona una clase de almacenamiento predeterminada para el bucket o selecciona Autoclass para la administración automática de clases de almacenamiento de los datos de tu bucket.
En la sección Elige cómo controlar el acceso a los objetos, selecciona no para aplicar la prevención del acceso público y elige un modelo de control de acceso para los objetos de tu bucket.
En la sección Elige cómo proteger los datos de objetos, haz lo siguiente:
- Selecciona cualquiera de las opciones de Protección de datos que desees configurar para tu bucket.
- Para elegir cómo se encriptarán los datos de tus objetos, haz clic en la flecha desplegable etiquetada como Encriptación de datos y selecciona un método de encriptación de datos.
Haz clic en Crear.
Crea una cuenta de servicio de Google Cloud
- Ve a IAM y administración > Cuentas de servicio.
- Cree una cuenta de servicio nueva
- Asóciale un nombre descriptivo, por ejemplo, sentinelone-dv-logs.
- Otorga a la cuenta de servicio el rol de Creador de objetos de almacenamiento en el bucket de Cloud Storage que creaste en el paso anterior.
- Crea una clave SSH para la cuenta de servicio.
- Descarga un archivo de claves JSON para la cuenta de servicio. Protege este archivo.
Configura Cloud Funnel en SentinelOne DeepVisibility
- Accede a SentinelOne DeepVisibility.
- Haz clic en Configurar > Política y configuración.
- En la sección Singularity Data Lake, haz clic en Cloud Funnel.
- Proporciona los siguientes detalles de configuración:
- Proveedor de servicios en la nube: Selecciona Google Cloud.
- Nombre del bucket: Ingresa el nombre del bucket de Cloud Storage que creaste para la transferencia de registros de DeepVisibility de SentinelOne.
- Transmisión de telemetría: Selecciona Habilitar.
- Filtros de consulta: Crea una consulta que incluya los agentes que deben enviar datos a un bucket de Cloud Storage.
- Haz clic en Validate.
- Campos que se incluirán: Selecciona todos los campos.
- Haz clic en Guardar.
Configura un feed en Google SecOps para transferir registros de SentinelOne Deep Visibility
- Ve a Configuración de SIEM > Feeds.
- Haz clic en Agregar nueva.
- En el campo Nombre del feed, ingresa un nombre para el feed, por ejemplo, Registros de DV de SentinelOne.
- Selecciona Google Cloud Storage como el Tipo de fuente.
- Selecciona SentinelOne Deep Visibility como el Tipo de registro.
- Haz clic en Obtener cuenta de servicio como la cuenta de servicio de Chronicle.
- Haz clic en Siguiente.
Especifica valores para los siguientes parámetros de entrada:
- URI del bucket de almacenamiento: Es la URL del bucket de Google Cloud Storage en formato
gs://my-bucket/<value>
. - URI Is A: Selecciona Directorio que incluye subdirectorios.
Opciones de eliminación de fuentes: Selecciona la opción de eliminación según tu preferencia.
Espacio de nombres de recursos: Es el espacio de nombres de recursos.
Etiquetas de transferencia: Es la etiqueta que se aplica a los eventos de este feed.
- URI del bucket de almacenamiento: Es la URL del bucket de Google Cloud Storage en formato
Haz clic en Siguiente.
Revisa la configuración de tu nuevo feed en la pantalla Finalizar y, luego, haz clic en Enviar.
Tabla de asignación de UDM
Campo de registro | Asignación de UDM | Lógica |
---|---|---|
AdapterName | security_result.about.resource.attribute.labels.value | El valor se toma del campo "AdapterName" en el registro sin procesar. |
AdapterSuffixName | security_result.about.resource.attribute.labels.value | El valor se toma del campo "AdapterSuffixName" en el registro sin procesar. |
agent_version | read_only_udm.metadata.product_version | El valor se toma del campo "meta.agent_version" en el registro sin procesar. |
Canal | security_result.about.resource.attribute.labels.value | El valor se toma del campo "Channel" en el registro sin procesar. |
commandLine | read_only_udm.principal.process.command_line | El valor se toma del campo "event.Event. |
computer_name | read_only_udm.principal.hostname | El valor se toma del campo "meta.computer_name" en el registro sin procesar. |
destinationAddress.address | read_only_udm.target.ip | El valor se toma del campo "event.Event.Tcpv4.destinationAddress.address" en el registro sin procesar. |
destinationAddress.port | read_only_udm.target.port | El valor se toma del campo "event.Event.Tcpv4.destinationAddress.port" en el registro sin procesar. |
DnsServerList | read_only_udm.principal.ip | El valor se toma del campo "DnsServerList" en el registro sin procesar. |
ErrorCode_new | security_result.detection_fields.value | El valor se toma del campo "ErrorCode_new" en el registro sin procesar. |
EventID | security_result.about.resource.attribute.labels.value | El valor se toma del campo "EventID" en el registro sin procesar. |
event.Event.Dns.query | read_only_udm.network.dns.questions.name | El valor se toma del campo "event.Event.Dns.query" en el registro sin procesar. |
event.Event.Dns.results | read_only_udm.network.dns.answers.data | El valor se toma del campo "event.Event.Dns.results" en el registro sin procesar. |
event.Event.Dns.source.fullPid.pid | read_only_udm.principal.process.pid | El valor se toma del campo "event.Event.Dns.source.fullPid.pid" en el registro sin procesar. |
event.Event.Dns.source.user.name | read_only_udm.principal.user.userid | El valor se toma del campo "event.Event.Dns.source.user.name" en el registro sin procesar. |
event.Event.FileCreation.source.fullPid.pid | read_only_udm.principal.process.pid | El valor se toma del campo "event.Event.FileCreation.source.fullPid.pid" en el registro sin procesar. |
event.Event.FileCreation.source.user.name | read_only_udm.principal.user.userid | El valor se toma del campo "event.Event.FileCreation.source.user.name" en el registro sin procesar. |
event.Event.FileCreation.targetFile.path | read_only_udm.target.file.full_path | El valor se toma del campo "event.Event.FileCreation.targetFile.path" en el registro sin procesar. |
event.Event.FileDeletion.source.fullPid.pid | read_only_udm.principal.process.pid | El valor se toma del campo "event.Event.FileDeletion.source.fullPid.pid" en el registro sin procesar. |
event.Event.FileDeletion.source.user.name | read_only_udm.principal.user.userid | El valor se toma del campo "event.Event.FileDeletion.source.user.name" en el registro sin procesar. |
event.Event.FileDeletion.targetFile.path | read_only_udm.target.file.full_path | El valor se toma del campo "event.Event.FileDeletion.targetFile.path" en el registro sin procesar. |
event.Event.FileModification.file.path | read_only_udm.target.file.full_path | El valor se toma del campo "event.Event.FileModification.file.path" en el registro sin procesar. |
event.Event.FileModification.source.user.name | read_only_udm.principal.user.userid | El valor se toma del campo "event.Event.FileModification.source.user.name" en el registro sin procesar. |
event.Event.FileModification.targetFile.path | read_only_udm.target.file.full_path | El valor se toma del campo "event.Event.FileModification.targetFile.path" en el registro sin procesar. |
event.Event.Http.source.user.name | read_only_udm.principal.user.userid | El valor se toma del campo "event.Event.Http.source.user.name" en el registro sin procesar. |
event.Event.Http.url | read_only_udm.target.url | El valor se toma del campo "event.Event.Http.url" en el registro sin procesar. |
event.Event.ProcessCreation.process.user.name | read_only_udm.principal.user.userid | El valor se toma del campo "event.Event.ProcessCreation.process.user.name" en el registro sin procesar. |
event.Event.ProcessCreation.source.user.name | read_only_udm.principal.user.userid | El valor se toma del campo "event.Event.ProcessCreation.source.user.name" en el registro sin procesar. |
event.Event.ProcessExit.source.user.name | read_only_udm.principal.user.userid | El valor se toma del campo "event.Event.ProcessExit.source.user.name" en el registro sin procesar. |
event.Event.ProcessTermination.source.user.name | read_only_udm.principal.user.userid | El valor se toma del campo "event.Event.ProcessTermination.source.user.name" en el registro sin procesar. |
event.Event.RegKeyCreate.source.fullPid.pid | read_only_udm.principal.process.pid | El valor se toma del campo "event.Event.RegKeyCreate.source.fullPid.pid" en el registro sin procesar. |
event.Event.RegKeyCreate.source.user.name | read_only_udm.principal.user.userid | El valor se toma del campo "event.Event.RegKeyCreate.source.user.name" en el registro sin procesar. |
event.Event.RegKeyDelete.source.user.name | read_only_udm.principal.user.userid | El valor se toma del campo "event.Event.RegKeyDelete.source.user.name" en el registro sin procesar. |
event.Event.RegValueModified.source.user.name | read_only_udm.principal.user.userid | El valor se toma del campo "event.Event.RegValueModified.source.user.name" en el registro sin procesar. |
event.Event.SchedTaskDelete.source.user.name | read_only_udm.principal.user.userid | El valor se toma del campo "event.Event.SchedTaskDelete.source.user.name" en el registro sin procesar. |
event.Event.SchedTaskRegister.source.user.name | read_only_udm.principal.user.userid | El valor se toma del campo "event.Event.SchedTaskRegister.source.user.name" en el registro sin procesar. |
event.Event.SchedTaskStart.source.user.name | read_only_udm.principal.user.userid | El valor se toma del campo "event.Event.SchedTaskStart.source.user.name" en el registro sin procesar. |
event.Event.SchedTaskTrigger.source.fullPid.pid | read_only_udm.principal.process.pid | El valor se toma del campo "event.Event.SchedTaskTrigger.source.fullPid.pid" en el registro sin procesar. |
event.Event.SchedTaskTrigger.source.user.name | read_only_udm.principal.user.userid | El valor se toma del campo "event.Event.SchedTaskTrigger.source.user.name" en el registro sin procesar. |
event.Event.Tcpv4.source.fullPid.pid | read_only_udm.principal.process.pid | El valor se toma del campo "event.Event.Tcpv4.source.fullPid.pid" en el registro sin procesar. |
event.Event.Tcpv4.source.user.name | read_only_udm.principal.user.userid | El valor se toma del campo "event.Event.Tcpv4.source.user.name" en el registro sin procesar. |
event.Event.Tcpv4Listen.local.address | read_only_udm.principal.ip | El valor se toma del campo "event.Event.Tcpv4Listen.local.address" en el registro sin procesar. |
event.timestamp.millisecondsSinceEpoch | read_only_udm.metadata.event_timestamp.seconds | El valor se toma del campo "event.timestamp.millisecondsSinceEpoch" en el registro sin procesar y se convierte a segundos. |
event.timestamp.millisecondsSinceEpoch | read_only_udm.metadata.event_timestamp.nanos | El valor se toma del campo "event.timestamp.millisecondsSinceEpoch" en el registro sin procesar y se convierte a nanosegundos. |
event.timestamp.millisecondsSinceEpoch | security_result.about.resource.attribute.labels.value | El valor se toma del campo "event.timestamp.millisecondsSinceEpoch" en el registro sin procesar y se usa como el valor de una etiqueta en el array security_result.about.resource.attribute.labels. |
event_type | read_only_udm.metadata.product_event_type | El valor se extrae del campo "message" en el registro sin procesar con un patrón grok. |
executable.hashes.md5 | read_only_udm.principal.process.file.md5 | El valor se toma del campo "event.Event. |
executable.hashes.sha1 | read_only_udm.principal.process.file.sha1 | El valor se toma del campo "event.Event. |
executable.hashes.sha256 | read_only_udm.principal.process.file.sha256 | El valor se toma del campo "event.Event. |
executable.path | read_only_udm.principal.process.file.full_path | El valor se toma del campo "event.Event. |
executable.sizeBytes | read_only_udm.principal.process.file.size | El valor se toma del campo "event.Event. |
fullPid.pid | read_only_udm.principal.process.pid | El valor se toma del campo "event.Event. |
hashes.md5 | read_only_udm.target.file.md5 | El valor se toma del campo "event.Event.ProcessCreation.hashes.md5" en el registro sin procesar. |
hashes.sha1 | read_only_udm.target.file.sha1 | El valor se toma del campo "event.Event.ProcessCreation.hashes.sha1" en el registro sin procesar. |
hashes.sha256 | read_only_udm.target.file.sha256 | El valor se toma del campo "event.Event.ProcessCreation.hashes.sha256" en el registro sin procesar. |
IpAddress | read_only_udm.target.ip | El valor se toma del campo "IpAddress" en el registro sin procesar. |
local.address | read_only_udm.principal.ip | El valor se toma del campo "event.Event.Tcpv4Listen.local.address" en el registro sin procesar. |
local.port | read_only_udm.principal.port | El valor se toma del campo "event.Event.Tcpv4Listen.local.port" en el registro sin procesar. |
log_type | read_only_udm.metadata.log_type | El valor se toma del campo "log_type" en el registro sin procesar. |
meta.agent_version | read_only_udm.metadata.product_version | El valor se toma del campo "meta.agent_version" en el registro sin procesar. |
meta.computer_name | read_only_udm.principal.hostname | El valor se toma del campo "meta.computer_name" en el registro sin procesar. |
meta.os_family | read_only_udm.principal.platform | El valor se toma del campo "meta.os_family" en el registro sin procesar y se asigna a la plataforma correspondiente (p.ej., windows para WINDOWS, osx para MAC y linux para LINUX). |
meta.os_name | read_only_udm.principal.platform_version | El valor se toma del campo "meta.os_name" en el registro sin procesar. |
meta.os_revision | read_only_udm.principal.platform_patch_level | El valor se toma del campo "meta.os_revision" en el registro sin procesar. |
meta.uuid | read_only_udm.principal.asset_id | El valor se toma del campo "meta.uuid" en el registro sin procesar y se le antepone SENTINELONE: . |
nombre | read_only_udm.principal.application | El valor se toma del campo "event.Event. |
parent.executable.hashes.md5 | read_only_udm.target.process.parent_process.file.md5 | El valor se toma del campo "event.Event. |
parent.executable.hashes.sha1 | read_only_udm.target.process.parent_process.file.sha1 | El valor se toma del campo "event.Event. |
parent.executable.hashes.sha256 | read_only_udm.target.process.parent_process.file.sha256 | El valor se toma del campo "event.Event. |
parent.executable.path | read_only_udm.target.process.parent_process.file.full_path | El valor se toma del campo "event.Event. |
parent.fullPid.pid | read_only_udm.target.process.parent_process.pid | El valor se toma del campo "event.Event. |
path | read_only_udm.principal.process.file.full_path | El valor se toma del campo "event.Event. |
process.commandLine | read_only_udm.target.process.command_line | El valor se toma del campo "event.Event.ProcessCreation.process.commandLine" en el registro sin procesar. |
process.fullPid.pid | read_only_udm.target.process.pid | El valor se toma del campo "event.Event.ProcessCreation.process.fullPid.pid" en el registro sin procesar. |
process.parent.fullPid.pid | read_only_udm.target.process.parent_process.pid | El valor se toma del campo "event.Event.ProcessCreation.process.parent.fullPid.pid" en el registro sin procesar. |
ProviderGuid | security_result.about.resource.attribute.labels.value | El valor se toma del campo "ProviderGuid" en el registro sin procesar, sin llaves. |
consulta | read_only_udm.network.dns.questions.name | El valor se toma del campo "event.Event.Dns.query" en el registro sin procesar. |
RecordNumber | security_result.about.resource.attribute.labels.value | El valor se toma del campo "RecordNumber" en el registro sin procesar. |
regKey.path | read_only_udm.target.registry.registry_key | El valor se toma del campo "event.Event.RegKeyCreate.regKey.path" o "event.Event.RegKeyDelete.regKey.path" en el registro sin procesar. |
regValue.path | read_only_udm.target.registry.registry_key | El valor se toma del campo "event.Event.RegValueDelete.regValue.path" o "event.Event.RegValueModified.regValue.path" en el registro sin procesar. |
resultados | read_only_udm.network.dns.answers.data | El valor se toma del campo "event.Event.Dns.results" en el registro sin procesar. |
Se envió UpdateServer | intermediary.hostname | El valor se toma del campo "Sent UpdateServer" en el registro sin procesar. |
seq_id | Este campo no se asigna directamente a la UDM. | |
signature.Status.Signed.identity | Este campo no se asigna directamente a la UDM. | |
sizeBytes | read_only_udm.principal.process.file.size | El valor se toma del campo "event.Event. |
sourceAddress.address | read_only_udm.principal.ip | El valor se toma del campo "event.Event.Tcpv4.sourceAddress.address" en el registro sin procesar. |
sourceAddress.port | read_only_udm.principal.port | El valor se toma del campo "event.Event.Tcpv4.sourceAddress.port" en el registro sin procesar. |
SourceName | security_result.about.resource.attribute.labels.value | El valor se toma del campo "SourceName" en el registro sin procesar. |
estado | Este campo no se asigna directamente a la UDM. | |
taskName | read_only_udm.target.resource.name | El valor se toma de los campos "event.Event.SchedTaskStart.taskName", "event.Event.SchedTaskTrigger.taskName" o "event.Event.SchedTaskDelete.taskName" en el registro sin procesar. |
targetFile.hashes.md5 | read_only_udm.target.file.md5 | El valor se toma del campo "event.Event.FileDeletion.targetFile.hashes.md5" o "event.Event.SchedTaskStart.targetFile.hashes.md5" en el registro sin procesar. |
targetFile.hashes.sha1 | read_only_udm.target.file.sha1 | El valor se toma del campo "event.Event.FileDeletion.targetFile.hashes.sha1" o "event.Event.SchedTaskStart.targetFile.hashes.sha1" en el registro sin procesar. |
targetFile.hashes.sha256 | read_only_udm.target.file.sha256 | El valor se toma del campo "event.Event.FileDeletion.targetFile.hashes.sha256" o "event.Event.SchedTaskStart.targetFile.hashes.sha256" en el registro sin procesar. |
targetFile.path | read_only_udm.target.file.full_path | El valor se toma del campo "event.Event.FileDeletion.targetFile.path" o "event.Event.SchedTaskStart.targetFile.path" en el registro sin procesar. |
Tarea | security_result.about.resource.attribute.labels.value | El valor se toma del campo "Task" en el registro sin procesar. |
timestamp.millisecondsSinceEpoch | read_only_udm.metadata.event_timestamp.seconds | El valor se toma del campo "event.timestamp.millisecondsSinceEpoch" en el registro sin procesar y se convierte a segundos. |
timestamp.millisecondsSinceEpoch | read_only_udm.metadata.event_timestamp.nanos | El valor se toma del campo "event.timestamp.millisecondsSinceEpoch" en el registro sin procesar y se convierte a nanosegundos. |
trace_id | Este campo no se asigna directamente a la UDM. | |
triggerType | Este campo no se asigna directamente a la UDM. | |
trueContext | Este campo no se asigna directamente a la UDM. | |
trueContext.key | Este campo no se asigna directamente a la UDM. | |
trueContext.key.value | Este campo no se asigna directamente a la UDM. | |
tipo | read_only_udm.network.dns.answers.type | El valor se toma del campo "event.Event.Dns.results" en el registro sin procesar y se extrae con una expresión regular. |
url | read_only_udm.target.url | El valor se toma del campo "event.Event.Http.url" en el registro sin procesar. |
user.name | read_only_udm.principal.user.userid | El valor se toma del campo "event.Event. |
user.sid | read_only_udm.principal.user.windows_sid | El valor se toma del campo "event.Event. |
UserID | read_only_udm.target.user.windows_sid | El valor se toma del campo "UserID" en el registro sin procesar, solo si coincide con el patrón de SID de Windows. |
UserSid | read_only_udm.target.user.windows_sid | El valor se toma del campo "UserSid" en el registro sin procesar, solo si coincide con el patrón de SID de Windows. |
valueType | Este campo no se asigna directamente a la UDM. | |
winEventLog.channel | security_result.about.resource.attribute.labels.value | El valor se toma del campo "winEventLog.channel" en el registro sin procesar. |
winEventLog.description | Este campo no se asigna directamente a la UDM. | |
winEventLog.id | security_result.about.resource.attribute.labels.value | El valor se toma del campo "winEventLog.id" en el registro sin procesar. |
winEventLog.level | security_result.severity | El valor se toma del campo "winEventLog.level" en el registro sin procesar y se asigna al nivel de gravedad correspondiente (p.ej., Warning a MEDIUM). |
winEventLog.providerName | security_result.about.resource.attribute.labels.value | El valor se toma del campo "winEventLog.providerName" en el registro sin procesar. |
winEventLog.xml | Este campo no se asigna directamente a la UDM. | |
read_only_udm.metadata.event_type | El valor se determina en función del campo "event_type" y se asigna al tipo de evento de la AUA correspondiente. | |
read_only_udm.metadata.vendor_name | El valor se establece en SentinelOne . |
|
read_only_udm.metadata.product_name | El valor se establece en Deep Visibility . |
|
read_only_udm.metadata.product_log_id | El valor se toma del campo "trace.id" en el registro sin procesar, solo para los eventos con "meta.event.name" igual a PROCESSCREATION . |
|
read_only_udm.metadata.product_deployment_id | El valor se toma del campo "account.id" en el registro sin procesar, solo para los eventos con "meta.event.name" igual a PROCESSCREATION . |
|
read_only_udm.metadata.url_back_to_product | El valor se toma del campo "mgmt.url" en el registro sin procesar, solo para los eventos con "meta.event.name" igual a PROCESSCREATION . |
|
read_only_udm.metadata.ingestion_labels.key | El valor se establece en Process eUserUid o Process lUserUid para los eventos con "meta.event.name" igual a PROCESSCREATION . |
|
read_only_udm.metadata.ingestion_labels.value | El valor se toma del campo "src.process.eUserUid" o "src.process.lUserUid" en el registro sin procesar, solo para los eventos con "meta.event.name" igual a PROCESSCREATION . |
|
read_only_udm.principal.administrative_domain | Es la parte de dominio del campo "event.Event. |
|
read_only_udm.target.process.parent_process.command_line | El valor se toma del campo "event.Event. |
|
read_only_udm.target.file | Se crea un objeto vacío si "event_type" no es FileCreation , FileDeletion , FileModification , SchedTaskStart o ProcessCreation . |
|
read_only_udm.network.ip_protocol | El valor se establece en TCP para los eventos con "event_type" igual a Tcpv4 , Tcpv4Listen o Http . |
|
read_only_udm.network.application_protocol | El valor se establece en DNS para los eventos con "event_type" igual a Dns . |
|
read_only_udm.target.resource.type | El valor se establece en TASK para los eventos con "event_type" igual a SchedTaskStart , SchedTaskTrigger o SchedTaskDelete . |
|
read_only_udm.target.resource.resource_type | El valor se establece en TASK para los eventos con "event_type" igual a SchedTaskStart , SchedTaskTrigger o SchedTaskDelete . |
|
read_only_udm.principal.process.product_specific_process_id | El valor se establece en ExecutionThreadID:<ExecutionThreadID> si el campo "ExecutionThreadID" está presente en el registro sin procesar. |
|
read_only_udm.principal.asset.asset_id | El valor se establece en Device ID:<agent.uuid> si el campo "agent.uuid" está presente en el registro sin procesar. |
|
read_only_udm.principal.namespace | El valor se toma del campo "site.id" en el registro sin procesar, solo para los eventos con "meta.event.name" igual a PROCESSCREATION . |
|
read_only_udm.principal.location.name | El valor se toma del campo "site.name" en el registro sin procesar, solo para los eventos con "meta.event.name" igual a PROCESSCREATION . |
|
read_only_udm.principal.resource.attribute.labels.key | El valor se establece en src.process.displayName , src.process.uid , isRedirectCmdProcessor , isNative64Bit , isStorylineRoot , signedStatus , src process subsystem , src process integrityLevel o childProcCount para los eventos con "meta.event.name" igual a PROCESSCREATION . |
|
read_only_udm.principal.resource.attribute.labels.value | El valor se toma del campo correspondiente en el registro sin procesar, solo para los eventos con "meta.event.name" igual a PROCESSCREATION . |
|
read_only_udm.target.user.userid | El valor se toma del campo "tgt.process.uid" en el registro sin procesar, solo para los eventos con "meta.event.name" igual a PROCESSCREATION . |
|
read_only_udm.target.user.user_display_name | El valor se toma del campo "tgt.process.displayName" en el registro sin procesar, solo para los eventos con "meta.event.name" igual a PROCESSCREATION . |
|
read_only_udm.target.resource.attribute.labels.key | El valor se establece en isRedirectCmdProcessor , isNative64Bit , isStorylineRoot , signedStatus , file_isSigned , tgt process subsystem o tgt process integrityLevel para los eventos con "meta.event.name" igual a PROCESSCREATION . |
|
read_only_udm.target.resource.attribute.labels.value | El valor se toma del campo correspondiente en el registro sin procesar, solo para los eventos con "meta.event.name" igual a PROCESSCREATION . |
|
read_only_udm.security_result.about.resource.attribute.labels.key | El valor se establece en tgt.process.storyline.id , endpoint_type , packet_id , src.process.storyline.id o src.process.parent.storyline.id para los eventos con "meta.event.name" igual a PROCESSCREATION . |
|
read_only_udm.security_result.about.resource.attribute.labels.value | El valor se toma del campo correspondiente en el registro sin procesar y se antepone con ID: para los IDs de historia, solo para los eventos con "meta.event.name" igual a PROCESSCREATION . |
|
read_only_udm.security_result.category_details | El valor se establece en security para los eventos con "meta.event.name" igual a PROCESSCREATION . |
|
read_only_udm.target.asset.product_object_id | El valor se toma del campo "AdapterName" en el registro sin procesar, solo para los eventos con "meta.event.name" igual a EVENTLOG . |
|
security_result.about.resource.attribute.labels.key | El valor se establece en TimeCreated SystemTime , EventID , Task , Channel , ProviderGuid , RecordNumber , SourceName , endpoint_type o packet_id para los eventos con "meta.event.name" igual a EVENTLOG . |
|
security_result.detection_fields.key | El valor se establece en Activity ID para los eventos con "meta.event.name" igual a EVENTLOG y un campo "ActivityID" no vacío. |
|
security_result.detection_fields.value | El valor se toma del campo "ActivityID" en el registro sin procesar, solo para los eventos con "meta.event.name" igual a EVENTLOG y un campo "ActivityID" no vacío. |
Cambios
2023-09-06
Mejora:
- Se modificó la asignación de
tgt.process.storyline.id
detarget.process.product_specific_process_id
asecurity_result.about.resource.attribute.labels
. - Se modificó la asignación de
src.process.storyline.id
deprincipal.process.product_specific_process_id
asecurity_result.about.resource.attribute.labels
. - Se modificó la asignación de
src.process.parent.storyline.id
deprincipal.parent.process.product_specific_process_id
asecurity_result.about.resource.attribute.labels
.
2023-07-31
Mejora:
- Se controlaron los registros que contienen datos de
XML
.
2023-04-09
Mejora:
- Si
event.type
esProcess Creation
, se asignametadata.event_type
aPROCESS_LAUNCH
. - Si
event.type
esDuplicate Process Handle
, se asignametadata.event_type
aPROCESS_OPEN
. - Si
event.type
esDuplicate Thread Handle
,metadata.event_type
se asigna aPROCESS_OPEN
. - Si
event.type
esOpen Remote Process Handle
,metadata.event_type
se asigna aPROCESS_OPEN
. - Si
event.type
esRemote Thread Creation
, se asignametadata.event_type
aPROCESS_LAUNCH
. - Si
event.type
esCommand Script
,metadata.event_type
se asigna aFILE_UNCATEGORIZED
. - Si
event.type
esIP Connect
, se asignametadata.event_type
aNETWORK_CONNECTION
. - Si
event.type
esIP Listen
, se asignametadata.event_type
aNETWORK_UNCATEGORIZED
. - Si
event.type
esFile ModIfication
,metadata.event_type
se asigna aFILE_MODIfICATION
. - Si
event.type
esFile Creation
,metadata.event_type
se asigna aFILE_CREATION
. - Si
event.type
esFile Scan
,metadata.event_type
se asigna aFILE_UNCATEGORIZED
. - Si
event.type
esFile Deletion
,metadata.event_type
se asigna aFILE_DELETION
. - Si
event.type
esFile Rename
, se asignametadata.event_type
aFILE_MODIfICATION
. - Si
event.type
esPre Execution Detection
, se asignametadata.event_type
aFILE_UNCATEGORIZED
. - Si
event.type
esLogin
,metadata.event_type
se asigna aUSER_LOGIN
. - Si
event.type
esLogout
, se asignametadata.event_type
aUSER_LOGOUT
. - Si
event.type
esGET
,metadata.event_type
se asigna aNETWORK_HTTP
. - Si
event.type
esOPTIONS
, se asignametadata.event_type
aNETWORK_HTTP
. - Si
event.type
esPOST
, se asignametadata.event_type
aNETWORK_HTTP
. - Si
event.type
esPUT
,metadata.event_type
se asigna aNETWORK_HTTP
. - Si
event.type
esDELETE
, se asignametadata.event_type
aNETWORK_HTTP
. - Si
event.type
esCONNECT
,metadata.event_type
se asigna aNETWORK_HTTP
. - Si
event.type
esHEAD
, se asignametadata.event_type
aNETWORK_HTTP
. - Si
event.type
esNot Reported
, se asignametadata.event_type
aSTATUS_UNCATEGORIZED
. - Si
event.type
esDNS Resolved
,metadata.event_type
se asigna aNETWORK_DNS
. - Si
event.type
esDNS Unresolved
,metadata.event_type
se asigna aNETWORK_DNS
. - Si
event.type
esTask Register
,metadata.event_type
se asigna aSCHEDULED_TASK_CREATION
. - Si
event.type
esTask Update
, se asignametadata.event_type
aSCHEDULED_TASK_MODIfICATION
. - Si
event.type
esTask Start
, se asignametadata.event_type
aSCHEDULED_TASK_UNCATEGORIZED
. - Si
event.type
esTask Trigger
, se asignametadata.event_type
aSCHEDULED_TASK_UNCATEGORIZED
. - Si
event.type
esTask Delete
, se asignametadata.event_type
aSCHEDULED_TASK_DELETION
. - Si
event.type
esRegistry Key Create
, se asignametadata.event_type
aREGISTRY_CREATION
. - Si
event.type
esRegistry Key Rename
, se asignametadata.event_type
aREGISTRY_MODIfICATION
. - Si
event.type
esRegistry Key Delete
, se asignametadata.event_type
aREGISTRY_DELETION
. - Si
event.type
esRegistry Key Export
, se asignametadata.event_type
aREGISTRY_UNCATEGORIZED
. - Si
event.type
esRegistry Key Security Changed
,metadata.event_type
se asigna aREGISTRY_MODIfICATION
. - Si
event.type
esRegistry Key Import
, se asignametadata.event_type
aREGISTRY_CREATION
. - Si
event.type
esRegistry Value ModIfied
,metadata.event_type
se asigna aREGISTRY_MODIfICATION
. - Si
event.type
esRegistry Value Create
, se asignametadata.event_type
aREGISTRY_CREATION
. - Si
event.type
esRegistry Value Delete
,metadata.event_type
se asigna aREGISTRY_DELETION
. - Si
event.type
esBehavioral Indicators
, se asignametadata.event_type
aSCAN_UNCATEGORIZED
. - Si
event.type
esModule Load
, se asignametadata.event_type
aPROCESS_MODULE_LOAD
. - Si
event.type
esThreat Intelligence Indicators
, se asignametadata.event_type
aSCAN_UNCATEGORIZED
. - Si
event.type
esNamed Pipe Creation
,metadata.event_type
se asigna aPROCESS_UNCATEGORIZED
. - Si
event.type
esNamed Pipe Connection
, se asignametadata.event_type
aPROCESS_UNCATEGORIZED
. - Si
event.type
esDriver Load
,metadata.event_type
se asigna aPROCESS_MODULE_LOAD
.
13-2-2023
Mejora:
- Se asignó
endpoint.os
aprincipal.platform
. - Se asignó
endpoint.name
atarget.hostname
. - Se asignó
src.process.pid
aprincipal.process.pid
. - Se asignó
src.process.cmdline
aprincipal.process.command_line
. - Se asignó
src.process.image.path
aprincipal.process.file.full_path
. - Se asignó
src.process.image.sha1
aprincipal.process.file.sha1
. - Se asignó
src.process.eUserUid
ametadata.ingestion_labels
. - Se asignó
src.process.lUserUid
ametadata.ingestion_labels
. - Se asignó
src.process.uid
aprincipal.user.userid
. - Se asignó
src.process.displayName
aprincipal.user.user_display_name
. - Se asignaron
src.process.isRedirectCmdProcessor
,src.process.isNative64Bit
,src.process.isStorylineRoot
,src.process.signedStatus
,src.file.isSigned
,src.process.subsystem
,src.process.integrityLevel
,src.process.tgtFileCreationCount
,src.process.childProcCount
,src.process.indicatorBootConfigurationUpdateCount
,src.process.indicatorEvasionCount
,src.process.indicatorExploitationCount
,src.process.indicatorGeneralCount
,src.process.indicatorInfostealerCount
ysrc.process.moduleCount
aprincipal.resource.attribute.labels
. - Se asignó
src.process.image.md5
aprincipal.process.file.md5
. - Se asignó
agent.uuid
aprincipal.asset.asset_id
. - Se asignó
agent.version
ametadata.product_version
. - Se asignó
site.id
aprincipal.namespace
. - Se asignó
site.name
aprincipal.location.name
. - Se asignó
trace.id
ametadata.product_log_id
. - Se asignó
dataSource.category
asecurity_result.category_details
. - Se asignó
packet.id
aabout.resource.attribute.labels
. - Se asignaron
mgmt.url
yendpoint.type
ametadata.url_back_to_product
. - Se asignó
tgt.process.image.sha1
atarget.process.file.sha1
. - Se asignó
tgt.process.image.path
atarget.process.file.full_path
. - Se asignó
tgt.process.pid
atarget.process.pid
. - Se asignó
tgt.process.uid
atarget.user.userid
. - Se asignó
tgt.process.cmdline
atarget.process.command_line
. - Se asignó
tgt.process.displayName
atarget.user.user_display_name
. - Se asignó
tgt.process.image.md5
atarget.process.file.md5
. - Se asignó
src.process.parent.image.sha256
aprincipal.process.file.sha256
. - Se asignó
tgt.process.image.sha256
atarget.process.file.sha256
. - Se asignó
tgt.process.sessionId
anetwork.session_id
. - Se asignó
tgt.process.storyline.id
atarget.process.product_specific_process_id
. - Se asignaron
tgt.process.isRedirectCmdProcessor
,tgt.process.isNative64Bit
,tgt.process.isStorylineRoot
,tgt.process.signedStatus
,tgt.file.isSigned
,tgt.process.subsystem
,tgt.process.integrityLevel
,tgt.process.publisher
atarget.resource.attribute.labels
. - Se asignó
prod_event_type
ametadata.product_event_type
.
2022-09-09
Mejora:
- Se quitaron los registros con
event_type
= null. - Se proporcionaron verificaciones nulas para
meta.os_version
,meta.os_name
,meta.uuid
,meta.computer_name
ymeta.os_revision
. - Se redujo el tamaño de
*.targetFile.hashes.sha1
y*.source.executable.hashes.sha1
a 64 bytes cuando se supera el límite de 64 bytes.
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.