Collecter les journaux de visibilité approfondie SentinelOne

Compatible avec:

Ce document explique comment exporter les journaux SentinelOne Deep Visibility vers Google Security Operations à l'aide de Cloud Funnel pour exporter les journaux vers Google Cloud Storage. L'analyseur transforme les journaux d'événements de sécurité au format JSON brut en un format structuré conforme au UDM. Il initialise d'abord un ensemble de variables, puis extrait le type d'événement et analyse la charge utile JSON, en mappant les champs pertinents sur le schéma UDM tout en gérant les journaux des événements Windows séparément.

Avant de commencer

  • Assurez-vous de disposer d'une instance Google SecOps.
  • Assurez-vous de disposer d'un accès privilégié à Google Cloud.
  • Assurez-vous que la visibilité profonde SentinelOne est configurée dans votre environnement.
  • Assurez-vous de disposer d'un accès privilégié à SentinelOne.

Créer un bucket Google Cloud Storage

  1. Connectez-vous à la console Google Cloud.

  2. Accédez à la page Buckets Cloud Storage.

    Accéder à la page "Buckets"

  3. Cliquez sur Créer.

  4. Sur la page Créer un bucket, saisissez les informations concernant votre bucket. Après chacune de ces étapes, cliquez sur Continuer pour passer à l'étape suivante:

    1. Dans la section Premiers pas, procédez comme suit :

      1. Saisissez un nom unique qui répond aux exigences de dénomination des buckets, par exemple sentinelone-deepvisibility.

      2. Pour activer l'espace de noms hiérarchique, cliquez sur la flèche d'expansion pour développer la section Optimiser pour les charges de travail orientées fichiers et à forte intensité de données, puis sélectionnez Activer l'espace de noms hiérarchique sur ce bucket.

      3. Pour ajouter une étiquette de bucket, cliquez sur la flèche de développement pour développer la section Étiquettes.

      4. Cliquez sur Ajouter un libellé, puis spécifiez une clé et une valeur pour votre libellé.

    2. Dans la section Choisir l'emplacement de stockage de vos données, procédez comme suit :

      1. Sélectionnez un type d'emplacement.

      2. Utilisez le menu "Type d'emplacement" pour sélectionner un emplacement où les données d'objets de votre bucket seront stockées de manière permanente.

      3. Pour configurer la réplication entre buckets, développez la section Configurer la réplication entre buckets.

    3. Dans la section Choisir une classe de stockage pour vos données, sélectionnez une classe de stockage par défaut pour le bucket, ou bien classe automatique pour une gestion automatique des classes de stockage des données de votre bucket.

    4. Dans la section Choisir comment contrôler l'accès aux objets, sélectionnez non pour appliquer la protection contre l'accès public, puis sélectionnez un modèle de contrôle des accès pour les objets de votre bucket.

    5. Dans la section Choisir comment protéger les données d'objet, procédez comme suit:

      1. Sélectionnez l'une des options sous Protection des données que vous souhaitez définir pour votre bucket.
      2. Pour choisir comment vos données d'objet seront chiffrées, cliquez sur la flèche d'expansion intitulée Chiffrement des données, puis sélectionnez une méthode de chiffrement des données.

  5. Cliquez sur Créer.

Créer un compte de service Google Cloud

  1. Accédez à IAM et administration > Comptes de service.
  2. Créez un compte de service.
  3. Attribuez-lui un nom descriptif, par exemple sentinelone-dv-logs.
  4. Attribuez au compte de service le rôle Créateur d'objets de stockage sur le bucket Cloud Storage que vous avez créé à l'étape précédente.
  5. Créez une clé SSH pour le compte de service.
  6. Téléchargez un fichier de clé JSON pour le compte de service. Conservez ce fichier dans un endroit sécurisé.

Configurer Cloud Funnel dans SentinelOne DeepVisibility

  1. Connectez-vous à SentinelOne DeepVisibility.
  2. Cliquez sur Configurer > Stratégie et paramètres.
  3. Dans la section Étang de données Singularity, cliquez sur Écluse Cloud.
  4. Fournissez les informations de configuration suivantes :
    • Fournisseur cloud: sélectionnez Google Cloud.
    • Nom du bucket: saisissez le nom du bucket Cloud Storage que vous avez créé pour l'ingestion des journaux SentinelOne DeepVisibility.
    • Streaming de télémétrie: sélectionnez Enable (Activer).
    • Filtres de requête: créez une requête qui inclut les agents qui doivent envoyer des données à un bucket Cloud Storage.
    • Cliquez sur Valider.
    • Champs à inclure: sélectionnez tous les champs.
  5. Cliquez sur Enregistrer.

Configurer un flux dans Google SecOps pour ingérer les journaux de visibilité approfondie SentinelOne

  1. Accédez à SIEM Settings > Feeds (Paramètres du SIEM > Flux).
  2. Cliquez sur Ajouter.
  3. Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, SentinelOne DV Logs).
  4. Sélectionnez Google Cloud Storage comme Type de source.
  5. Sélectionnez SentinelOne Deep Visibility comme Type de journal.
  6. Cliquez sur Obtenir un compte de service comme compte de service Chronicle.
  7. Cliquez sur Suivant.

  8. Spécifiez les valeurs des paramètres d'entrée suivants:

    • URI du bucket Storage: URL du bucket Google Cloud Storage au format gs://my-bucket/<value>.
    • L'URI est: sélectionnez Répertoire incluant des sous-répertoires.

    • Options de suppression de la source: sélectionnez l'option de suppression en fonction de vos préférences.

    • Espace de noms des éléments: espace de noms des éléments.

    • Libellés d'ingestion: libellé appliqué aux événements de ce flux.

  9. Cliquez sur Suivant.

  10. Vérifiez la configuration de votre nouveau flux dans l'écran de finalisation, puis cliquez sur Envoyer.

Tableau de mappage UDM

Champ du journal Mappage UDM Logique
AdapterName security_result.about.resource.attribute.labels.value La valeur est extraite du champ "AdapterName" du journal brut.
AdapterSuffixName security_result.about.resource.attribute.labels.value La valeur est extraite du champ "AdapterSuffixName" du journal brut.
agent_version read_only_udm.metadata.product_version La valeur est extraite du champ "meta.agent_version" du journal brut.
Canal security_result.about.resource.attribute.labels.value La valeur est extraite du champ "Channel" (Chaîne) du journal brut.
commandLine read_only_udm.principal.process.command_line La valeur est extraite du champ "event.Event...commandLine" dans le journal brut, où correspond au type d'événement spécifique (par exemple, ProcessCreation, ProcessExit) et est le champ contenant des informations sur le processus (par exemple, processus, source, parent).
computer_name read_only_udm.principal.hostname La valeur est extraite du champ "meta.computer_name" du journal brut.
destinationAddress.address read_only_udm.target.ip La valeur est extraite du champ "event.Event.Tcpv4.destinationAddress.address" dans le journal brut.
destinationAddress.port read_only_udm.target.port La valeur est extraite du champ "event.Event.Tcpv4.destinationAddress.port" du journal brut.
DnsServerList read_only_udm.principal.ip La valeur est extraite du champ "DnsServerList" du journal brut.
ErrorCode_new security_result.detection_fields.value La valeur est extraite du champ "ErrorCode_new" du journal brut.
EventID security_result.about.resource.attribute.labels.value La valeur est extraite du champ "EventID" du journal brut.
event.Event.Dns.query read_only_udm.network.dns.questions.name La valeur est extraite du champ "event.Event.Dns.query" du journal brut.
event.Event.Dns.results read_only_udm.network.dns.answers.data La valeur est extraite du champ "event.Event.Dns.results" du journal brut.
event.Event.Dns.source.fullPid.pid read_only_udm.principal.process.pid La valeur est extraite du champ "event.Event.Dns.source.fullPid.pid" du journal brut.
event.Event.Dns.source.user.name read_only_udm.principal.user.userid La valeur est extraite du champ "event.Event.Dns.source.user.name" du journal brut.
event.Event.FileCreation.source.fullPid.pid read_only_udm.principal.process.pid La valeur est extraite du champ "event.Event.FileCreation.source.fullPid.pid" dans le journal brut.
event.Event.FileCreation.source.user.name read_only_udm.principal.user.userid La valeur est extraite du champ "event.Event.FileCreation.source.user.name" dans le journal brut.
event.Event.FileCreation.targetFile.path read_only_udm.target.file.full_path La valeur est extraite du champ "event.Event.FileCreation.targetFile.path" dans le journal brut.
event.Event.FileDeletion.source.fullPid.pid read_only_udm.principal.process.pid La valeur est extraite du champ "event.Event.FileDeletion.source.fullPid.pid" du journal brut.
event.Event.FileDeletion.source.user.name read_only_udm.principal.user.userid La valeur est extraite du champ "event.Event.FileDeletion.source.user.name" dans le journal brut.
event.Event.FileDeletion.targetFile.path read_only_udm.target.file.full_path La valeur est extraite du champ "event.Event.FileDeletion.targetFile.path" dans le journal brut.
event.Event.FileModification.file.path read_only_udm.target.file.full_path La valeur est extraite du champ "event.Event.FileModification.file.path" du journal brut.
event.Event.FileModification.source.user.name read_only_udm.principal.user.userid La valeur est extraite du champ "event.Event.FileModification.source.user.name" dans le journal brut.
event.Event.FileModification.targetFile.path read_only_udm.target.file.full_path La valeur est extraite du champ "event.Event.FileModification.targetFile.path" dans le journal brut.
event.Event.Http.source.user.name read_only_udm.principal.user.userid La valeur est extraite du champ "event.Event.Http.source.user.name" du journal brut.
event.Event.Http.url read_only_udm.target.url La valeur est extraite du champ "event.Event.Http.url" du journal brut.
event.Event.ProcessCreation.process.user.name read_only_udm.principal.user.userid La valeur est extraite du champ "event.Event.ProcessCreation.process.user.name" dans le journal brut.
event.Event.ProcessCreation.source.user.name read_only_udm.principal.user.userid La valeur est extraite du champ "event.Event.ProcessCreation.source.user.name" dans le journal brut.
event.Event.ProcessExit.source.user.name read_only_udm.principal.user.userid La valeur est extraite du champ "event.Event.ProcessExit.source.user.name" dans le journal brut.
event.Event.ProcessTermination.source.user.name read_only_udm.principal.user.userid La valeur est extraite du champ "event.Event.ProcessTermination.source.user.name" dans le journal brut.
event.Event.RegKeyCreate.source.fullPid.pid read_only_udm.principal.process.pid La valeur est extraite du champ "event.Event.RegKeyCreate.source.fullPid.pid" dans le journal brut.
event.Event.RegKeyCreate.source.user.name read_only_udm.principal.user.userid La valeur est extraite du champ "event.Event.RegKeyCreate.source.user.name" dans le journal brut.
event.Event.RegKeyDelete.source.user.name read_only_udm.principal.user.userid La valeur est extraite du champ "event.Event.RegKeyDelete.source.user.name" dans le journal brut.
event.Event.RegValueModified.source.user.name read_only_udm.principal.user.userid La valeur est extraite du champ "event.Event.RegValueModified.source.user.name" dans le journal brut.
event.Event.SchedTaskDelete.source.user.name read_only_udm.principal.user.userid La valeur est extraite du champ "event.Event.SchedTaskDelete.source.user.name" dans le journal brut.
event.Event.SchedTaskRegister.source.user.name read_only_udm.principal.user.userid La valeur est extraite du champ "event.Event.SchedTaskRegister.source.user.name" dans le journal brut.
event.Event.SchedTaskStart.source.user.name read_only_udm.principal.user.userid La valeur est extraite du champ "event.Event.SchedTaskStart.source.user.name" dans le journal brut.
event.Event.SchedTaskTrigger.source.fullPid.pid read_only_udm.principal.process.pid La valeur est extraite du champ "event.Event.SchedTaskTrigger.source.fullPid.pid" dans le journal brut.
event.Event.SchedTaskTrigger.source.user.name read_only_udm.principal.user.userid La valeur est extraite du champ "event.Event.SchedTaskTrigger.source.user.name" dans le journal brut.
event.Event.Tcpv4.source.fullPid.pid read_only_udm.principal.process.pid La valeur est extraite du champ "event.Event.Tcpv4.source.fullPid.pid" dans le journal brut.
event.Event.Tcpv4.source.user.name read_only_udm.principal.user.userid La valeur est extraite du champ "event.Event.Tcpv4.source.user.name" dans le journal brut.
event.Event.Tcpv4Listen.local.address read_only_udm.principal.ip La valeur est extraite du champ "event.Event.Tcpv4Listen.local.address" dans le journal brut.
event.timestamp.millisecondsSinceEpoch read_only_udm.metadata.event_timestamp.seconds La valeur est extraite du champ "event.timestamp.millisecondsSinceEpoch" du journal brut, puis convertie en secondes.
event.timestamp.millisecondsSinceEpoch read_only_udm.metadata.event_timestamp.nanos La valeur est extraite du champ "event.timestamp.millisecondsSinceEpoch" du journal brut, puis convertie en nanosecondes.
event.timestamp.millisecondsSinceEpoch security_result.about.resource.attribute.labels.value La valeur est extraite du champ "event.timestamp.millisecondsSinceEpoch" du journal brut et utilisée comme valeur d'un libellé dans le tableau security_result.about.resource.attribute.labels.
event_type read_only_udm.metadata.product_event_type La valeur est extraite du champ "message" du journal brut à l'aide d'un modèle Grok.
executable.hashes.md5 read_only_udm.principal.process.file.md5 La valeur est extraite du champ "event.Event...executable.hashes.md5" du journal brut, où correspond au type d'événement spécifique (par exemple, ProcessCreation, ProcessExit) et est le champ contenant des informations sur le processus (par exemple, processus, source, parent).
executable.hashes.sha1 read_only_udm.principal.process.file.sha1 La valeur est extraite du champ "event.Event...executable.hashes.sha1" dans le journal brut, où correspond au type d'événement spécifique (par exemple, ProcessCreation, ProcessExit) et est le champ contenant des informations sur le processus (par exemple, processus, source, parent).
executable.hashes.sha256 read_only_udm.principal.process.file.sha256 La valeur est extraite du champ "event.Event...executable.hashes.sha256" dans le journal brut, où correspond au type d'événement spécifique (par exemple, ProcessCreation, ProcessExit) et est le champ contenant des informations sur le processus (par exemple, processus, source, parent).
executable.path read_only_udm.principal.process.file.full_path La valeur est extraite du champ "event.Event...executable.path" dans le journal brut, où correspond au type d'événement spécifique (par exemple, ProcessCreation, ProcessExit) et est le champ contenant des informations sur le processus (par exemple, processus, source, parent).
executable.sizeBytes read_only_udm.principal.process.file.size La valeur est extraite du champ "event.Event...executable.sizeBytes" dans le journal brut, où correspond au type d'événement spécifique (par exemple, ProcessCreation, ProcessExit) et est le champ contenant des informations sur le processus (par exemple, processus, source, parent).
fullPid.pid read_only_udm.principal.process.pid La valeur est extraite du champ "event.Event...fullPid.pid" du journal brut, où correspond au type d'événement spécifique (par exemple, ProcessCreation, ProcessExit) et est le champ contenant des informations sur le processus (par exemple, processus, source, parent).
hashes.md5 read_only_udm.target.file.md5 La valeur est extraite du champ "event.Event.ProcessCreation.hashes.md5" du journal brut.
hashes.sha1 read_only_udm.target.file.sha1 La valeur est extraite du champ "event.Event.ProcessCreation.hashes.sha1" du journal brut.
hashes.sha256 read_only_udm.target.file.sha256 La valeur est extraite du champ "event.Event.ProcessCreation.hashes.sha256" dans le journal brut.
IpAddress read_only_udm.target.ip La valeur est extraite du champ "IpAddress" du journal brut.
local.address read_only_udm.principal.ip La valeur est extraite du champ "event.Event.Tcpv4Listen.local.address" dans le journal brut.
local.port read_only_udm.principal.port La valeur est extraite du champ "event.Event.Tcpv4Listen.local.port" dans le journal brut.
log_type read_only_udm.metadata.log_type La valeur est extraite du champ "log_type" du journal brut.
meta.agent_version read_only_udm.metadata.product_version La valeur est extraite du champ "meta.agent_version" du journal brut.
meta.computer_name read_only_udm.principal.hostname La valeur est extraite du champ "meta.computer_name" du journal brut.
meta.os_family read_only_udm.principal.platform La valeur est extraite du champ "meta.os_family" du journal brut et mappée sur la plate-forme correspondante (par exemple, windows pour WINDOWS, osx pour MAC et linux pour LINUX).
meta.os_name read_only_udm.principal.platform_version La valeur est extraite du champ "meta.os_name" du journal brut.
meta.os_revision read_only_udm.principal.platform_patch_level La valeur est extraite du champ "meta.os_revision" du journal brut.
meta.uuid read_only_udm.principal.asset_id La valeur est extraite du champ "meta.uuid" du journal brut et précédée de SENTINELONE:.
nom read_only_udm.principal.application La valeur est extraite du champ "event.Event...name" dans le journal brut, où correspond au type d'événement spécifique (par exemple, ProcessCreation, ProcessExit) et est le champ contenant des informations sur le processus (par exemple, processus, source, parent).
parent.executable.hashes.md5 read_only_udm.target.process.parent_process.file.md5 La valeur est extraite du champ "event.Event..parent.executable.hashes.md5" dans le journal brut, où correspond au type d'événement spécifique (par exemple, ProcessCreation, ProcessExit).
parent.executable.hashes.sha1 read_only_udm.target.process.parent_process.file.sha1 La valeur est extraite du champ "event.Event..parent.executable.hashes.sha1" dans le journal brut, où correspond au type d'événement spécifique (par exemple, ProcessCreation, ProcessExit).
parent.executable.hashes.sha256 read_only_udm.target.process.parent_process.file.sha256 La valeur est extraite du champ "event.Event..parent.executable.hashes.sha256" dans le journal brut, où correspond au type d'événement spécifique (par exemple, ProcessCreation, ProcessExit).
parent.executable.path read_only_udm.target.process.parent_process.file.full_path La valeur est extraite du champ "event.Event..parent.executable.path" dans le journal brut, où correspond au type d'événement spécifique (par exemple, ProcessCreation, ProcessExit).
parent.fullPid.pid read_only_udm.target.process.parent_process.pid La valeur est extraite du champ "event.Event..parent.fullPid.pid" dans le journal brut, où correspond au type d'événement spécifique (par exemple, ProcessCreation, ProcessExit).
chemin d'accès read_only_udm.principal.process.file.full_path La valeur est extraite du champ "event.Event...path" dans le journal brut, où correspond au type d'événement spécifique (par exemple, ProcessCreation, ProcessExit) et est le champ contenant des informations sur le processus (par exemple, processus, source, parent).
process.commandLine read_only_udm.target.process.command_line La valeur est extraite du champ "event.Event.ProcessCreation.process.commandLine" dans le journal brut.
process.fullPid.pid read_only_udm.target.process.pid La valeur est extraite du champ "event.Event.ProcessCreation.process.fullPid.pid" dans le journal brut.
process.parent.fullPid.pid read_only_udm.target.process.parent_process.pid La valeur est extraite du champ "event.Event.ProcessCreation.process.parent.fullPid.pid" dans le journal brut.
ProviderGuid security_result.about.resource.attribute.labels.value La valeur est extraite du champ "ProviderGuid" du journal brut, sans les accolades.
requête read_only_udm.network.dns.questions.name La valeur est extraite du champ "event.Event.Dns.query" du journal brut.
RecordNumber security_result.about.resource.attribute.labels.value La valeur est extraite du champ "RecordNumber" du journal brut.
regKey.path read_only_udm.target.registry.registry_key La valeur est extraite du champ "event.Event.RegKeyCreate.regKey.path" ou "event.Event.RegKeyDelete.regKey.path" du journal brut.
regValue.path read_only_udm.target.registry.registry_key La valeur est extraite du champ "event.Event.RegValueDelete.regValue.path" ou "event.Event.RegValueModified.regValue.path" du journal brut.
résultats read_only_udm.network.dns.answers.data La valeur est extraite du champ "event.Event.Dns.results" du journal brut.
Envoyé UpdateServer intermediary.hostname La valeur est extraite du champ "Envoyé à UpdateServer" du journal brut.
seq_id Ce champ n'est pas directement mappé sur la UDM.
signature.Status.Signed.identity Ce champ n'est pas directement mappé sur la UDM.
sizeBytes read_only_udm.principal.process.file.size La valeur est extraite du champ "event.Event...sizeBytes" dans le journal brut, où correspond au type d'événement spécifique (par exemple, ProcessCreation, ProcessExit) et est le champ contenant des informations sur le processus (par exemple, processus, source, parent).
sourceAddress.address read_only_udm.principal.ip La valeur est extraite du champ "event.Event.Tcpv4.sourceAddress.address" dans le journal brut.
sourceAddress.port read_only_udm.principal.port La valeur est extraite du champ "event.Event.Tcpv4.sourceAddress.port" du journal brut.
SourceName security_result.about.resource.attribute.labels.value La valeur est extraite du champ "SourceName" du journal brut.
état Ce champ n'est pas directement mappé sur la UDM.
taskName read_only_udm.target.resource.name La valeur est extraite des champs "event.Event.SchedTaskStart.taskName", "event.Event.SchedTaskTrigger.taskName" ou "event.Event.SchedTaskDelete.taskName" du journal brut.
targetFile.hashes.md5 read_only_udm.target.file.md5 La valeur est extraite du champ "event.Event.FileDeletion.targetFile.hashes.md5" ou "event.Event.SchedTaskStart.targetFile.hashes.md5" du journal brut.
targetFile.hashes.sha1 read_only_udm.target.file.sha1 La valeur est extraite du champ "event.Event.FileDeletion.targetFile.hashes.sha1" ou "event.Event.SchedTaskStart.targetFile.hashes.sha1" du journal brut.
targetFile.hashes.sha256 read_only_udm.target.file.sha256 La valeur est extraite du champ "event.Event.FileDeletion.targetFile.hashes.sha256" ou "event.Event.SchedTaskStart.targetFile.hashes.sha256" du journal brut.
targetFile.path read_only_udm.target.file.full_path La valeur est extraite du champ "event.Event.FileDeletion.targetFile.path" ou "event.Event.SchedTaskStart.targetFile.path" dans le journal brut.
Tâche security_result.about.resource.attribute.labels.value La valeur est extraite du champ "Task" (Tâche) du journal brut.
timestamp.millisecondsSinceEpoch read_only_udm.metadata.event_timestamp.seconds La valeur est extraite du champ "event.timestamp.millisecondsSinceEpoch" du journal brut, puis convertie en secondes.
timestamp.millisecondsSinceEpoch read_only_udm.metadata.event_timestamp.nanos La valeur est extraite du champ "event.timestamp.millisecondsSinceEpoch" du journal brut, puis convertie en nanosecondes.
trace_id Ce champ n'est pas directement mappé sur la UDM.
triggerType Ce champ n'est pas directement mappé sur la UDM.
trueContext Ce champ n'est pas directement mappé sur la UDM.
trueContext.key Ce champ n'est pas directement mappé sur la UDM.
trueContext.key.value Ce champ n'est pas directement mappé sur la UDM.
type read_only_udm.network.dns.answers.type La valeur est extraite du champ "event.Event.Dns.results" du journal brut à l'aide d'une expression régulière.
url read_only_udm.target.url La valeur est extraite du champ "event.Event.Http.url" du journal brut.
nom.utilisateur read_only_udm.principal.user.userid La valeur est extraite du champ "event.Event...user.name" dans le journal brut, où correspond au type d'événement spécifique (par exemple, ProcessCreation, ProcessExit) et est le champ contenant des informations sur le processus (par exemple, processus, source, parent).
user.sid read_only_udm.principal.user.windows_sid La valeur est extraite du champ "event.Event...user.sid" dans le journal brut, où correspond au type d'événement spécifique (par exemple, ProcessCreation, ProcessExit) et est le champ contenant des informations sur le processus (par exemple, processus, source, parent).
UserID read_only_udm.target.user.windows_sid La valeur est extraite du champ "UserID" du journal brut, uniquement si elle correspond au format SID Windows.
UserSid read_only_udm.target.user.windows_sid La valeur est extraite du champ "UserSid" du journal brut, uniquement si elle correspond au format SID Windows.
valueType Ce champ n'est pas directement mappé sur la UDM.
winEventLog.channel security_result.about.resource.attribute.labels.value La valeur est extraite du champ "winEventLog.channel" du journal brut.
winEventLog.description Ce champ n'est pas directement mappé sur la UDM.
winEventLog.id security_result.about.resource.attribute.labels.value La valeur est extraite du champ "winEventLog.id" du journal brut.
winEventLog.level security_result.severity La valeur est extraite du champ "winEventLog.level" du journal brut et mappée sur le niveau de gravité correspondant (par exemple, Warning à MOYENNE).
winEventLog.providerName security_result.about.resource.attribute.labels.value La valeur est extraite du champ "winEventLog.providerName" du journal brut.
winEventLog.xml Ce champ n'est pas directement mappé sur la UDM.
read_only_udm.metadata.event_type La valeur est déterminée en fonction du champ "event_type" et mappée sur le type d'événement UDM correspondant.
read_only_udm.metadata.vendor_name La valeur est définie sur SentinelOne.
read_only_udm.metadata.product_name La valeur est définie sur Deep Visibility.
read_only_udm.metadata.product_log_id La valeur est extraite du champ "trace.id" du journal brut, uniquement pour les événements dont "meta.event.name" est égal à PROCESSCREATION.
read_only_udm.metadata.product_deployment_id La valeur est extraite du champ "account.id" du journal brut, uniquement pour les événements dont "meta.event.name" est égal à PROCESSCREATION.
read_only_udm.metadata.url_back_to_product La valeur est extraite du champ "mgmt.url" du journal brut, uniquement pour les événements dont "meta.event.name" est égal à PROCESSCREATION.
read_only_udm.metadata.ingestion_labels.key La valeur est définie sur Process eUserUid ou Process lUserUid pour les événements dont la valeur de "meta.event.name" est égale à PROCESSCREATION.
read_only_udm.metadata.ingestion_labels.value La valeur est extraite du champ "src.process.eUserUid" ou "src.process.lUserUid" du journal brut, uniquement pour les événements dont la valeur de "meta.event.name" est égale à PROCESSCREATION.
read_only_udm.principal.administrative_domain Partie du domaine du champ "event.Event...user.name" dans le journal brut, où correspond au type d'événement spécifique (par exemple, ProcessCreation, ProcessExit) et est le champ contenant des informations sur le processus (par exemple, processus, source, parent).
read_only_udm.target.process.parent_process.command_line La valeur est extraite du champ "event.Event..parent.commandLine" dans le journal brut, où correspond au type d'événement spécifique (par exemple, ProcessCreation, ProcessExit).
read_only_udm.target.file Un objet vide est créé si "event_type" n'est pas FileCreation, FileDeletion, FileModification, SchedTaskStart ou ProcessCreation.
read_only_udm.network.ip_protocol La valeur est définie sur "TCP" pour les événements dont la valeur de "event_type" est Tcpv4, Tcpv4Listen ou Http.
read_only_udm.network.application_protocol La valeur est définie sur DNS pour les événements dont la valeur de "event_type" est Dns.
read_only_udm.target.resource.type La valeur est définie sur TASK pour les événements dont la valeur de "event_type" est SchedTaskStart, SchedTaskTrigger ou SchedTaskDelete.
read_only_udm.target.resource.resource_type La valeur est définie sur "TASK" pour les événements dont la valeur de "event_type" est SchedTaskStart, SchedTaskTrigger ou SchedTaskDelete.
read_only_udm.principal.process.product_specific_process_id La valeur est définie sur ExecutionThreadID:<ExecutionThreadID> si le champ "ExecutionThreadID" est présent dans le journal brut.
read_only_udm.principal.asset.asset_id La valeur est définie sur Device ID:<agent.uuid> si le champ "agent.uuid" est présent dans le journal brut.
read_only_udm.principal.namespace La valeur est extraite du champ "site.id" du journal brut, uniquement pour les événements dont la valeur de "meta.event.name" est PROCESSCREATION.
read_only_udm.principal.location.name La valeur est extraite du champ "site.name" du journal brut, uniquement pour les événements dont la valeur de "meta.event.name" est égale à PROCESSCREATION.
read_only_udm.principal.resource.attribute.labels.key La valeur est définie sur src.process.displayName, src.process.uid, isRedirectCmdProcessor, isNative64Bit, isStorylineRoot, signedStatus, src process subsystem, src process integrityLevel ou childProcCount pour les événements dont "meta.event.name" est égal à PROCESSCREATION.
read_only_udm.principal.resource.attribute.labels.value La valeur est extraite du champ correspondant dans le journal brut, uniquement pour les événements dont "meta.event.name" est égal à PROCESSCREATION.
read_only_udm.target.user.userid La valeur est extraite du champ "tgt.process.uid" du journal brut, uniquement pour les événements dont "meta.event.name" est égal à PROCESSCREATION.
read_only_udm.target.user.user_display_name La valeur est extraite du champ "tgt.process.displayName" du journal brut, uniquement pour les événements dont "meta.event.name" est égal à PROCESSCREATION.
read_only_udm.target.resource.attribute.labels.key La valeur est définie sur isRedirectCmdProcessor, isNative64Bit, isStorylineRoot, signedStatus, file_isSigned, tgt process subsystem ou tgt process integrityLevel pour les événements dont "meta.event.name" est égal à PROCESSCREATION.
read_only_udm.target.resource.attribute.labels.value La valeur est extraite du champ correspondant dans le journal brut, uniquement pour les événements dont "meta.event.name" est égal à PROCESSCREATION.
read_only_udm.security_result.about.resource.attribute.labels.key La valeur est définie sur tgt.process.storyline.id, endpoint_type, packet_id, src.process.storyline.id ou src.process.parent.storyline.id pour les événements dont "meta.event.name" est égal à PROCESSCREATION.
read_only_udm.security_result.about.resource.attribute.labels.value La valeur est extraite du champ correspondant dans le journal brut et précédée de ID: pour les ID de scénario, uniquement pour les événements dont "meta.event.name" est égal à PROCESSCREATION.
read_only_udm.security_result.category_details La valeur est définie sur security pour les événements dont la valeur de "meta.event.name" est égale à PROCESSCREATION.
read_only_udm.target.asset.product_object_id La valeur est extraite du champ "AdapterName" du journal brut, uniquement pour les événements dont "meta.event.name" est égal à EVENTLOG.
security_result.about.resource.attribute.labels.key La valeur est définie sur TimeCreated SystemTime, EventID, Task, Channel, ProviderGuid, RecordNumber, SourceName, endpoint_type ou packet_id pour les événements dont "meta.event.name" est égal à EVENTLOG.
security_result.detection_fields.key La valeur est définie sur Activity ID pour les événements dont "meta.event.name" est égal à EVENTLOG et dont le champ "ActivityID" n'est pas vide.
security_result.detection_fields.value La valeur est extraite du champ "ActivityID" du journal brut, uniquement pour les événements dont "meta.event.name" est égal à EVENTLOG et dont le champ "ActivityID" n'est pas vide.

Modifications

2023-09-06

Amélioration :

  • Modification de la mise en correspondance de tgt.process.storyline.id de target.process.product_specific_process_id à security_result.about.resource.attribute.labels.
  • Modification de la mise en correspondance de src.process.storyline.id de principal.process.product_specific_process_id à security_result.about.resource.attribute.labels.
  • Modification de la mise en correspondance de src.process.parent.storyline.id de principal.parent.process.product_specific_process_id à security_result.about.resource.attribute.labels.

2023-07-31

Amélioration :

  • Journaux gérés contenant des données XML.

2023-04-09

Amélioration :

  • Si event.type est Process Creation, metadata.event_type est mappé sur PROCESS_LAUNCH.
  • Si event.type est Duplicate Process Handle, metadata.event_type est mappé sur PROCESS_OPEN.
  • Si event.type est Duplicate Thread Handle, metadata.event_type est mappé sur PROCESS_OPEN.
  • Si event.type est Open Remote Process Handle, metadata.event_type est mappé sur PROCESS_OPEN.
  • Si event.type est Remote Thread Creation, metadata.event_type est mappé sur PROCESS_LAUNCH.
  • Si event.type est Command Script, metadata.event_type est mappé sur FILE_UNCATEGORIZED.
  • Si event.type est IP Connect, metadata.event_type est mappé sur NETWORK_CONNECTION.
  • Si event.type est IP Listen, metadata.event_type est mappé sur NETWORK_UNCATEGORIZED.
  • Si event.type est File ModIfication, metadata.event_type est mappé sur FILE_MODIfICATION.
  • Si event.type est File Creation, metadata.event_type est mappé sur FILE_CREATION.
  • Si event.type est File Scan, metadata.event_type est mappé sur FILE_UNCATEGORIZED.
  • Si event.type est File Deletion, metadata.event_type est mappé sur FILE_DELETION.
  • Si event.type est File Rename, metadata.event_type est mappé sur FILE_MODIfICATION.
  • Si event.type est Pre Execution Detection, metadata.event_type est mappé sur FILE_UNCATEGORIZED.
  • Si event.type est Login, metadata.event_type est mappé sur USER_LOGIN.
  • Si event.type est Logout, metadata.event_type est mappé sur USER_LOGOUT.
  • Si event.type est GET, metadata.event_type est mappé sur NETWORK_HTTP.
  • Si event.type est OPTIONS, metadata.event_type est mappé sur NETWORK_HTTP.
  • Si event.type est POST, metadata.event_type est mappé sur NETWORK_HTTP.
  • Si event.type est PUT, metadata.event_type est mappé sur NETWORK_HTTP.
  • Si event.type est DELETE, metadata.event_type est mappé sur NETWORK_HTTP.
  • Si event.type est CONNECT, metadata.event_type est mappé sur NETWORK_HTTP.
  • Si event.type est HEAD, metadata.event_type est mappé sur NETWORK_HTTP.
  • Si event.type est Not Reported, metadata.event_type est mappé sur STATUS_UNCATEGORIZED.
  • Si event.type est DNS Resolved, metadata.event_type est mappé sur NETWORK_DNS.
  • Si event.type est DNS Unresolved, metadata.event_type est mappé sur NETWORK_DNS.
  • Si event.type est Task Register, metadata.event_type est mappé sur SCHEDULED_TASK_CREATION.
  • Si event.type est Task Update, metadata.event_type est mappé sur SCHEDULED_TASK_MODIfICATION.
  • Si event.type est Task Start, metadata.event_type est mappé sur SCHEDULED_TASK_UNCATEGORIZED.
  • Si event.type est Task Trigger, metadata.event_type est mappé sur SCHEDULED_TASK_UNCATEGORIZED.
  • Si event.type est Task Delete, metadata.event_type est mappé sur SCHEDULED_TASK_DELETION.
  • Si event.type est Registry Key Create, metadata.event_type est mappé sur REGISTRY_CREATION.
  • Si event.type est Registry Key Rename, metadata.event_type est mappé sur REGISTRY_MODIfICATION.
  • Si event.type est Registry Key Delete, metadata.event_type est mappé sur REGISTRY_DELETION.
  • Si event.type est Registry Key Export, metadata.event_type est mappé sur REGISTRY_UNCATEGORIZED.
  • Si event.type est Registry Key Security Changed, metadata.event_type est mappé sur REGISTRY_MODIfICATION.
  • Si event.type est Registry Key Import, metadata.event_type est mappé sur REGISTRY_CREATION.
  • Si event.type est Registry Value ModIfied, metadata.event_type est mappé sur REGISTRY_MODIfICATION.
  • Si event.type est Registry Value Create, metadata.event_type est mappé sur REGISTRY_CREATION.
  • Si event.type est Registry Value Delete, metadata.event_type est mappé sur REGISTRY_DELETION.
  • Si event.type est Behavioral Indicators, metadata.event_type est mappé sur SCAN_UNCATEGORIZED.
  • Si event.type est Module Load, metadata.event_type est mappé sur PROCESS_MODULE_LOAD.
  • Si event.type est Threat Intelligence Indicators, metadata.event_type est mappé sur SCAN_UNCATEGORIZED.
  • Si event.type est Named Pipe Creation, metadata.event_type est mappé sur PROCESS_UNCATEGORIZED.
  • Si event.type est Named Pipe Connection, metadata.event_type est mappé sur PROCESS_UNCATEGORIZED.
  • Si event.type est Driver Load, metadata.event_type est mappé sur PROCESS_MODULE_LOAD.

2023-02-13

Amélioration :

  • Mappage de endpoint.os sur principal.platform.
  • Mappage de endpoint.name sur target.hostname.
  • Mappage de src.process.pid sur principal.process.pid.
  • Mappage de src.process.cmdline sur principal.process.command_line.
  • Mappage de src.process.image.path sur principal.process.file.full_path.
  • Mappage de src.process.image.sha1 sur principal.process.file.sha1.
  • Mappage de src.process.eUserUid sur metadata.ingestion_labels.
  • Mappage de src.process.lUserUid sur metadata.ingestion_labels.
  • Mappage de src.process.uid sur principal.user.userid.
  • Mappage de src.process.displayName sur principal.user.user_display_name.
  • Mappage de src.process.isRedirectCmdProcessor, src.process.isNative64Bit, src.process.isStorylineRoot, src.process.signedStatus, src.file.isSigned, src.process.subsystem, src.process.integrityLevel, src.process.tgtFileCreationCount, src.process.childProcCount, src.process.indicatorBootConfigurationUpdateCount, src.process.indicatorEvasionCount, src.process.indicatorExploitationCount, src.process.indicatorGeneralCount, src.process.indicatorInfostealerCount, src.process.moduleCount sur principal.resource.attribute.labels.
  • Mappage de src.process.image.md5 sur principal.process.file.md5.
  • Mappage de agent.uuid sur principal.asset.asset_id.
  • Mappage de agent.version sur metadata.product_version.
  • Mappage de site.id sur principal.namespace.
  • Mappage de site.name sur principal.location.name.
  • Mappage de trace.id sur metadata.product_log_id.
  • Mappage de dataSource.category sur security_result.category_details.
  • Mappage de packet.id sur about.resource.attribute.labels.
  • mgmt.url et endpoint.type ont été mappés sur metadata.url_back_to_product.
  • Mappage de tgt.process.image.sha1 sur target.process.file.sha1.
  • Mappage de tgt.process.image.path sur target.process.file.full_path.
  • Mappage de tgt.process.pid sur target.process.pid.
  • Mappage de tgt.process.uid sur target.user.userid.
  • Mappage de tgt.process.cmdline sur target.process.command_line.
  • Mappage de tgt.process.displayName sur target.user.user_display_name.
  • Mappage de tgt.process.image.md5 sur target.process.file.md5.
  • Mappage de src.process.parent.image.sha256 sur principal.process.file.sha256.
  • Mappage de tgt.process.image.sha256 sur target.process.file.sha256.
  • Mappage de tgt.process.sessionId sur network.session_id.
  • Mappage de tgt.process.storyline.id sur target.process.product_specific_process_id.
  • Mappage de tgt.process.isRedirectCmdProcessor, tgt.process.isNative64Bit, tgt.process.isStorylineRoot, tgt.process.signedStatus, tgt.file.isSigned, tgt.process.subsystem, tgt.process.integrityLevel et tgt.process.publisher sur target.resource.attribute.labels.
  • Mappage de prod_event_type sur metadata.product_event_type.

2022-09-09

Amélioration :

  • Suppression des journaux avec event_type = null.
  • Ajout de vérifications de valeurs nulles pour meta.os_version, meta.os_name, meta.uuid, meta.computer_name et meta.os_revision.
  • Réduction de la taille de *.targetFile.hashes.sha1 et *.source.executable.hashes.sha1 à 64 octets en cas de dépassement de la limite de 64 octets.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.