Mengumpulkan log Deep Visibility SentinelOne

Didukung di:

Dokumen ini menjelaskan cara mengekspor log SentinelOne Deep Visibility ke Google Security Operations menggunakan Cloud Funnel untuk mengekspor log ke Google Cloud Storage. Parser mengubah log peristiwa keamanan berformat JSON mentah menjadi format terstruktur yang sesuai dengan UDM. Pertama, fungsi ini melakukan inisialisasi serangkaian variabel, lalu mengekstrak jenis peristiwa dan mengurai payload JSON, memetakan kolom yang relevan ke skema UDM sambil menangani log aktivitas Windows secara terpisah.

Sebelum Memulai

  • Pastikan Anda memiliki instance Google Chronicle.
  • Pastikan Anda memiliki akses dengan hak istimewa ke Google Cloud.
  • Pastikan SentinelOne Deep Visibility disiapkan di lingkungan Anda.
  • Pastikan Anda memiliki akses dengan hak istimewa ke SentinelOne.

Membuat Bucket Google Cloud Storage

  1. Login ke konsol Google Cloud.

  2. Buka halaman Cloud Storage Buckets.

    Buka Buckets

  3. Klik Buat.

  4. Di halaman Buat bucket, masukkan informasi bucket Anda. Setelah menyelesaikan setiap langkah berikut, klik Lanjutkan untuk melanjutkan ke langkah berikutnya:

    1. Di bagian Mulai, lakukan tindakan berikut:

      1. Masukkan nama unik yang memenuhi persyaratan nama bucket; misalnya, sentinelone-deepvisibility.

      2. Untuk mengaktifkan namespace hierarkis, klik panah peluas untuk meluaskan bagian Optimalkan untuk beban kerja yang berorientasi pada file dan intensif data, lalu pilih Aktifkan Namespace hierarkis di bucket ini.

      3. Untuk menambahkan label bucket, klik panah peluas untuk meluaskan bagian Labels.

      4. Klik Tambahkan label, lalu tentukan kunci dan nilai untuk label Anda.

    2. Di bagian Pilih tempat untuk menyimpan data, lakukan hal berikut:

      1. Pilih Jenis lokasi.

      2. Gunakan menu jenis lokasi untuk memilih Location tempat data objek dalam bucket Anda akan disimpan secara permanen.

      3. Untuk menyiapkan replikasi lintas bucket, luaskan bagian Menyiapkan replikasi lintas bucket.

    3. Di bagian Pilih kelas penyimpanan untuk data Anda, pilih kelas penyimpanan default untuk bucket, atau pilih Autoclass untuk pengelolaan kelas penyimpanan otomatis untuk data bucket Anda.

    4. Di bagian Choose how to control access to objects, pilih not untuk menerapkan public access prevention, dan pilih access control model untuk objek bucket Anda.

    5. Di bagian Pilih cara melindungi data objek, lakukan hal berikut:

      1. Pilih salah satu opsi di bagian Perlindungan data yang ingin Anda tetapkan untuk bucket.
      2. Untuk memilih cara enkripsi data objek, klik panah peluas berlabel Enkripsi data, lalu pilih Metode enkripsi data.

  5. Klik Buat.

Membuat Akun Layanan Google Cloud

  1. Buka IAM & Admin > Service Accounts.
  2. Buat akun layanan baru.
  3. Beri nama deskriptif; misalnya, sentinelone-dv-logs.
  4. Berikan akun layanan dengan peran Storage Object Creator di bucket Cloud Storage yang Anda buat di langkah sebelumnya.
  5. Buat kunci SSH untuk akun layanan.
  6. Mendownload file kunci JSON untuk akun layanan. Pastikan file ini tetap aman.

Mengonfigurasi Cloud Funnel di SentinelOne DeepVisibility

  1. Login ke SentinelOne DeepVisibility.
  2. Klik Configure > Policy & Settings.
  3. Di bagian Singularity Data Lake, klik Cloud Funnel.
  4. Berikan detail konfigurasi berikut:
    • Penyedia Cloud: pilih Google Cloud.
    • Nama Bucket: masukkan nama bucket Cloud Storage yang Anda buat untuk penyerapan log SentinelOne DeepVisibility.
    • Telemetry Streaming: pilih Enable.
    • Filter Kueri: membuat kueri yang menyertakan agen yang perlu mengirim data ke bucket Cloud Storage.
    • Klik Validasi.
    • Kolom yang akan disertakan: pilih semua kolom.
  5. Klik Simpan.

Mengonfigurasi feed di Google SecOps untuk menyerap log Deep Visibility SentinelOne

  1. Buka Setelan SIEM > Feed.
  2. Klik Tambahkan baru.
  3. Di kolom Nama feed, masukkan nama untuk feed; misalnya, SentinelOne DV Logs.
  4. Pilih Google Cloud Storage sebagai Source type.
  5. Pilih SentinelOne Deep Visibility sebagai Jenis log.
  6. Klik Get Service Account sebagai Chronicle Service Account.
  7. Klik Berikutnya.

  8. Tentukan nilai untuk parameter input berikut:

    • Storage Bucket URI: URL bucket Google Cloud Storage dalam format gs://my-bucket/<value>.
    • URI Adalah: pilih Direktori yang menyertakan subdirektori.

    • Opsi penghapusan sumber: pilih opsi penghapusan sesuai preferensi Anda.

    • Namespace aset: namespace aset.

    • Label penyerapan: label yang diterapkan ke peristiwa dari feed ini.

  9. Klik Berikutnya.

  10. Tinjau konfigurasi feed baru Anda di layar Finalize, lalu klik Submit.

Tabel Pemetaan UDM

Kolom log Pemetaan UDM Logika
AdapterName security_result.about.resource.attribute.labels.value Nilai diambil dari kolom 'AdapterName' dalam log mentah.
AdapterSuffixName security_result.about.resource.attribute.labels.value Nilai diambil dari kolom 'AdapterSuffixName' dalam log mentah.
agent_version read_only_udm.metadata.product_version Nilai diambil dari kolom 'meta.agent_version' dalam log mentah.
Saluran security_result.about.resource.attribute.labels.value Nilai diambil dari kolom 'Channel' dalam log mentah.
commandLine read_only_udm.principal.process.command_line Nilai diambil dari kolom 'event.Event...commandLine' dalam log mentah, dengan adalah jenis peristiwa tertentu (mis., ProcessCreation, ProcessExit) dan adalah kolom yang berisi informasi proses (misalnya, proses, sumber, induk).
computer_name read_only_udm.principal.hostname Nilai diambil dari kolom 'meta.computer_name' dalam log mentah.
destinationAddress.address read_only_udm.target.ip Nilai diambil dari kolom 'event.Event.Tcpv4.destinationAddress.address' dalam log mentah.
destinationAddress.port read_only_udm.target.port Nilai diambil dari kolom 'event.Event.Tcpv4.destinationAddress.port' dalam log mentah.
DnsServerList read_only_udm.principal.ip Nilai diambil dari kolom 'DnsServerList' dalam log mentah.
ErrorCode_new security_result.detection_fields.value Nilai diambil dari kolom 'ErrorCode_new' dalam log mentah.
EventID security_result.about.resource.attribute.labels.value Nilai diambil dari kolom 'EventID' dalam log mentah.
event.Event.Dns.query read_only_udm.network.dns.questions.name Nilai diambil dari kolom 'event.Event.Dns.query' dalam log mentah.
event.Event.Dns.results read_only_udm.network.dns.answers.data Nilai diambil dari kolom 'event.Event.Dns.results' dalam log mentah.
event.Event.Dns.source.fullPid.pid read_only_udm.principal.process.pid Nilai diambil dari kolom 'event.Event.Dns.source.fullPid.pid' dalam log mentah.
event.Event.Dns.source.user.name read_only_udm.principal.user.userid Nilai diambil dari kolom 'event.Event.Dns.source.user.name' dalam log mentah.
event.Event.FileCreation.source.fullPid.pid read_only_udm.principal.process.pid Nilai diambil dari kolom 'event.Event.FileCreation.source.fullPid.pid' dalam log mentah.
event.Event.FileCreation.source.user.name read_only_udm.principal.user.userid Nilai diambil dari kolom 'event.Event.FileCreation.source.user.name' dalam log mentah.
event.Event.FileCreation.targetFile.path read_only_udm.target.file.full_path Nilai diambil dari kolom 'event.Event.FileCreation.targetFile.path' dalam log mentah.
event.Event.FileDeletion.source.fullPid.pid read_only_udm.principal.process.pid Nilai diambil dari kolom 'event.Event.FileDeletion.source.fullPid.pid' dalam log mentah.
event.Event.FileDeletion.source.user.name read_only_udm.principal.user.userid Nilai diambil dari kolom 'event.Event.FileDeletion.source.user.name' dalam log mentah.
event.Event.FileDeletion.targetFile.path read_only_udm.target.file.full_path Nilai diambil dari kolom 'event.Event.FileDeletion.targetFile.path' dalam log mentah.
event.Event.FileModification.file.path read_only_udm.target.file.full_path Nilai diambil dari kolom 'event.Event.FileModification.file.path' dalam log mentah.
event.Event.FileModification.source.user.name read_only_udm.principal.user.userid Nilai diambil dari kolom 'event.Event.FileModification.source.user.name' dalam log mentah.
event.Event.FileModification.targetFile.path read_only_udm.target.file.full_path Nilai diambil dari kolom 'event.Event.FileModification.targetFile.path' dalam log mentah.
event.Event.Http.source.user.name read_only_udm.principal.user.userid Nilai diambil dari kolom 'event.Event.Http.source.user.name' dalam log mentah.
event.Event.Http.url read_only_udm.target.url Nilai diambil dari kolom 'event.Event.Http.url' dalam log mentah.
event.Event.ProcessCreation.process.user.name read_only_udm.principal.user.userid Nilai diambil dari kolom 'event.Event.ProcessCreation.process.user.name' dalam log mentah.
event.Event.ProcessCreation.source.user.name read_only_udm.principal.user.userid Nilai diambil dari kolom 'event.Event.ProcessCreation.source.user.name' dalam log mentah.
event.Event.ProcessExit.source.user.name read_only_udm.principal.user.userid Nilai diambil dari kolom 'event.Event.ProcessExit.source.user.name' dalam log mentah.
event.Event.ProcessTermination.source.user.name read_only_udm.principal.user.userid Nilai diambil dari kolom 'event.Event.ProcessTermination.source.user.name' dalam log mentah.
event.Event.RegKeyCreate.source.fullPid.pid read_only_udm.principal.process.pid Nilai diambil dari kolom 'event.Event.RegKeyCreate.source.fullPid.pid' dalam log mentah.
event.Event.RegKeyCreate.source.user.name read_only_udm.principal.user.userid Nilai diambil dari kolom 'event.Event.RegKeyCreate.source.user.name' dalam log mentah.
event.Event.RegKeyDelete.source.user.name read_only_udm.principal.user.userid Nilai diambil dari kolom 'event.Event.RegKeyDelete.source.user.name' dalam log mentah.
event.Event.RegValueModified.source.user.name read_only_udm.principal.user.userid Nilai diambil dari kolom 'event.Event.RegValueModified.source.user.name' dalam log mentah.
event.Event.SchedTaskDelete.source.user.name read_only_udm.principal.user.userid Nilai diambil dari kolom 'event.Event.SchedTaskDelete.source.user.name' dalam log mentah.
event.Event.SchedTaskRegister.source.user.name read_only_udm.principal.user.userid Nilai diambil dari kolom 'event.Event.SchedTaskRegister.source.user.name' dalam log mentah.
event.Event.SchedTaskStart.source.user.name read_only_udm.principal.user.userid Nilai diambil dari kolom 'event.Event.SchedTaskStart.source.user.name' dalam log mentah.
event.Event.SchedTaskTrigger.source.fullPid.pid read_only_udm.principal.process.pid Nilai diambil dari kolom 'event.Event.SchedTaskTrigger.source.fullPid.pid' dalam log mentah.
event.Event.SchedTaskTrigger.source.user.name read_only_udm.principal.user.userid Nilai diambil dari kolom 'event.Event.SchedTaskTrigger.source.user.name' dalam log mentah.
event.Event.Tcpv4.source.fullPid.pid read_only_udm.principal.process.pid Nilai diambil dari kolom 'event.Event.Tcpv4.source.fullPid.pid' dalam log mentah.
event.Event.Tcpv4.source.user.name read_only_udm.principal.user.userid Nilai diambil dari kolom 'event.Event.Tcpv4.source.user.name' dalam log mentah.
event.Event.Tcpv4Listen.local.address read_only_udm.principal.ip Nilai diambil dari kolom 'event.Event.Tcpv4Listen.local.address' dalam log mentah.
event.timestamp.millisecondsSinceEpoch read_only_udm.metadata.event_timestamp.seconds Nilai diambil dari kolom 'event.timestamp.millisecondsSinceEpoch' dalam log mentah, yang dikonversi menjadi detik.
event.timestamp.millisecondsSinceEpoch read_only_udm.metadata.event_timestamp.nanos Nilai diambil dari kolom 'event.timestamp.millisecondsSinceEpoch' dalam log mentah, yang dikonversi ke nanodetik.
event.timestamp.millisecondsSinceEpoch security_result.about.resource.attribute.labels.value Nilai diambil dari kolom 'event.timestamp.millisecondsSinceEpoch' dalam log mentah dan digunakan sebagai nilai untuk label dalam array security_result.about.resource.attribute.labels.
event_type read_only_udm.metadata.product_event_type Nilai diekstrak dari kolom 'message' dalam log mentah menggunakan pola grok.
executable.hashes.md5 read_only_udm.principal.process.file.md5 Nilai diambil dari kolom 'event.Event...executable.hashes.md5' dalam log mentah, dengan adalah jenis peristiwa tertentu (misalnya, ProcessCreation, ProcessExit) dan adalah kolom yang berisi informasi proses (misalnya, proses, sumber, induk).
executable.hashes.sha1 read_only_udm.principal.process.file.sha1 Nilai diambil dari kolom 'event.Event...executable.hashes.sha1' dalam log mentah, dengan adalah jenis peristiwa tertentu (misalnya, ProcessCreation, ProcessExit) dan adalah kolom yang berisi informasi proses (misalnya, proses, sumber, induk).
executable.hashes.sha256 read_only_udm.principal.process.file.sha256 Nilai diambil dari kolom 'event.Event...executable.hashes.sha256' dalam log mentah, dengan adalah jenis peristiwa tertentu (misalnya, ProcessCreation, ProcessExit) dan adalah kolom yang berisi informasi proses (misalnya, proses, sumber, induk).
executable.path read_only_udm.principal.process.file.full_path Nilai diambil dari kolom 'event.Event...executable.path' dalam log mentah, dengan adalah jenis peristiwa tertentu (mis., ProcessCreation, ProcessExit) dan adalah kolom yang berisi informasi proses (misalnya, proses, sumber, induk).
executable.sizeBytes read_only_udm.principal.process.file.size Nilai diambil dari kolom 'event.Event...executable.sizeBytes' dalam log mentah, dengan adalah jenis peristiwa tertentu (misalnya, ProcessCreation, ProcessExit) dan adalah kolom yang berisi informasi proses (misalnya, proses, sumber, induk).
fullPid.pid read_only_udm.principal.process.pid Nilai diambil dari kolom 'event.Event...fullPid.pid' dalam log mentah, dengan adalah jenis peristiwa tertentu (mis., ProcessCreation, ProcessExit) dan adalah kolom yang berisi informasi proses (misalnya, proses, sumber, induk).
hashes.md5 read_only_udm.target.file.md5 Nilai diambil dari kolom 'event.Event.ProcessCreation.hashes.md5' dalam log mentah.
hashes.sha1 read_only_udm.target.file.sha1 Nilai diambil dari kolom 'event.Event.ProcessCreation.hashes.sha1' dalam log mentah.
hashes.sha256 read_only_udm.target.file.sha256 Nilai diambil dari kolom 'event.Event.ProcessCreation.hashes.sha256' dalam log mentah.
IpAddress read_only_udm.target.ip Nilai diambil dari kolom 'IpAddress' dalam log mentah.
local.address read_only_udm.principal.ip Nilai diambil dari kolom 'event.Event.Tcpv4Listen.local.address' dalam log mentah.
local.port read_only_udm.principal.port Nilai diambil dari kolom 'event.Event.Tcpv4Listen.local.port' dalam log mentah.
log_type read_only_udm.metadata.log_type Nilai diambil dari kolom 'log_type' dalam log mentah.
meta.agent_version read_only_udm.metadata.product_version Nilai diambil dari kolom 'meta.agent_version' dalam log mentah.
meta.computer_name read_only_udm.principal.hostname Nilai diambil dari kolom 'meta.computer_name' dalam log mentah.
meta.os_family read_only_udm.principal.platform Nilai diambil dari kolom 'meta.os_family' dalam log mentah dan dipetakan ke platform yang sesuai (misalnya, windows ke WINDOWS, osx ke MAC, linux ke LINUX).
meta.os_name read_only_udm.principal.platform_version Nilai diambil dari kolom 'meta.os_name' dalam log mentah.
meta.os_revision read_only_udm.principal.platform_patch_level Nilai diambil dari kolom 'meta.os_revision' dalam log mentah.
meta.uuid read_only_udm.principal.asset_id Nilai diambil dari kolom 'meta.uuid' dalam log mentah dan diawali dengan SENTINELONE:.
nama read_only_udm.principal.application Nilai diambil dari kolom 'event.Event...name' dalam log mentah, dengan adalah jenis peristiwa tertentu (misalnya, ProcessCreation, ProcessExit) dan adalah kolom yang berisi informasi proses (misalnya, proses, sumber, induk).
parent.executable.hashes.md5 read_only_udm.target.process.parent_process.file.md5 Nilai diambil dari kolom 'event.Event..parent.executable.hashes.md5' dalam log mentah, dengan adalah jenis peristiwa tertentu (misalnya, ProcessCreation, ProcessExit).
parent.executable.hashes.sha1 read_only_udm.target.process.parent_process.file.sha1 Nilai diambil dari kolom 'event.Event..parent.executable.hashes.sha1' dalam log mentah, dengan adalah jenis peristiwa tertentu (mis., ProcessCreation, ProcessExit).
parent.executable.hashes.sha256 read_only_udm.target.process.parent_process.file.sha256 Nilai diambil dari kolom 'event.Event..parent.executable.hashes.sha256' dalam log mentah, dengan adalah jenis peristiwa tertentu (misalnya, ProcessCreation, ProcessExit).
parent.executable.path read_only_udm.target.process.parent_process.file.full_path Nilai diambil dari kolom 'event.Event..parent.executable.path' dalam log mentah, dengan adalah jenis peristiwa tertentu (misalnya, ProcessCreation, ProcessExit).
parent.fullPid.pid read_only_udm.target.process.parent_process.pid Nilai diambil dari kolom 'event.Event..parent.fullPid.pid' dalam log mentah, dengan adalah jenis peristiwa tertentu (mis., ProcessCreation, ProcessExit).
jalur read_only_udm.principal.process.file.full_path Nilai diambil dari kolom 'event.Event...path' dalam log mentah, dengan adalah jenis peristiwa tertentu (misalnya, ProcessCreation, ProcessExit) dan adalah kolom yang berisi informasi proses (misalnya, proses, sumber, induk).
process.commandLine read_only_udm.target.process.command_line Nilai diambil dari kolom 'event.Event.ProcessCreation.process.commandLine' dalam log mentah.
process.fullPid.pid read_only_udm.target.process.pid Nilai diambil dari kolom 'event.Event.ProcessCreation.process.fullPid.pid' dalam log mentah.
process.parent.fullPid.pid read_only_udm.target.process.parent_process.pid Nilai diambil dari kolom 'event.Event.ProcessCreation.process.parent.fullPid.pid' dalam log mentah.
ProviderGuid security_result.about.resource.attribute.labels.value Nilai diambil dari kolom 'ProviderGuid' dalam log mentah, dengan tanda kurung kurawal dihapus.
query read_only_udm.network.dns.questions.name Nilai diambil dari kolom 'event.Event.Dns.query' dalam log mentah.
RecordNumber security_result.about.resource.attribute.labels.value Nilai diambil dari kolom 'RecordNumber' dalam log mentah.
regKey.path read_only_udm.target.registry.registry_key Nilai diambil dari kolom 'event.Event.RegKeyCreate.regKey.path' atau 'event.Event.RegKeyDelete.regKey.path' dalam log mentah.
regValue.path read_only_udm.target.registry.registry_key Nilai diambil dari kolom 'event.Event.RegValueDelete.regValue.path' atau 'event.Event.RegValueModified.regValue.path' dalam log mentah.
hasil read_only_udm.network.dns.answers.data Nilai diambil dari kolom 'event.Event.Dns.results' dalam log mentah.
UpdateServer Terkirim intermediary.hostname Nilai diambil dari kolom 'Sent UpdateServer' dalam log mentah.
seq_id Kolom ini tidak dipetakan langsung ke UDM.
signature.Status.Signed.identity Kolom ini tidak dipetakan langsung ke UDM.
sizeBytes read_only_udm.principal.process.file.size Nilai diambil dari kolom 'event.Event...sizeBytes' dalam log mentah, dengan adalah jenis peristiwa tertentu (misalnya, ProcessCreation, ProcessExit) dan adalah kolom yang berisi informasi proses (misalnya, proses, sumber, induk).
sourceAddress.address read_only_udm.principal.ip Nilai diambil dari kolom 'event.Event.Tcpv4.sourceAddress.address' dalam log mentah.
sourceAddress.port read_only_udm.principal.port Nilai diambil dari kolom 'event.Event.Tcpv4.sourceAddress.port' dalam log mentah.
SourceName security_result.about.resource.attribute.labels.value Nilai diambil dari kolom 'SourceName' dalam log mentah.
status Kolom ini tidak dipetakan langsung ke UDM.
taskName read_only_udm.target.resource.name Nilai diambil dari kolom 'event.Event.SchedTaskStart.taskName', 'event.Event.SchedTaskTrigger.taskName', atau 'event.Event.SchedTaskDelete.taskName' dalam log mentah.
targetFile.hashes.md5 read_only_udm.target.file.md5 Nilai diambil dari kolom 'event.Event.FileDeletion.targetFile.hashes.md5' atau 'event.Event.SchedTaskStart.targetFile.hashes.md5' dalam log mentah.
targetFile.hashes.sha1 read_only_udm.target.file.sha1 Nilai diambil dari kolom 'event.Event.FileDeletion.targetFile.hashes.sha1' atau 'event.Event.SchedTaskStart.targetFile.hashes.sha1' dalam log mentah.
targetFile.hashes.sha256 read_only_udm.target.file.sha256 Nilai diambil dari kolom 'event.Event.FileDeletion.targetFile.hashes.sha256' atau 'event.Event.SchedTaskStart.targetFile.hashes.sha256' dalam log mentah.
targetFile.path read_only_udm.target.file.full_path Nilai diambil dari kolom 'event.Event.FileDeletion.targetFile.path' atau 'event.Event.SchedTaskStart.targetFile.path' dalam log mentah.
Tugas security_result.about.resource.attribute.labels.value Nilai diambil dari kolom 'Tugas' dalam log mentah.
timestamp.millisecondsSinceEpoch read_only_udm.metadata.event_timestamp.seconds Nilai diambil dari kolom 'event.timestamp.millisecondsSinceEpoch' dalam log mentah, yang dikonversi menjadi detik.
timestamp.millisecondsSinceEpoch read_only_udm.metadata.event_timestamp.nanos Nilai diambil dari kolom 'event.timestamp.millisecondsSinceEpoch' dalam log mentah, yang dikonversi ke nanodetik.
trace_id Kolom ini tidak dipetakan langsung ke UDM.
triggerType Kolom ini tidak dipetakan langsung ke UDM.
trueContext Kolom ini tidak dipetakan langsung ke UDM.
trueContext.key Kolom ini tidak dipetakan langsung ke UDM.
trueContext.key.value Kolom ini tidak dipetakan langsung ke UDM.
jenis read_only_udm.network.dns.answers.type Nilai diambil dari kolom 'event.Event.Dns.results' dalam log mentah dan diekstrak menggunakan ekspresi reguler.
url read_only_udm.target.url Nilai diambil dari kolom 'event.Event.Http.url' dalam log mentah.
user.name read_only_udm.principal.user.userid Nilai diambil dari kolom 'event.Event...user.name' dalam log mentah, dengan adalah jenis peristiwa tertentu (misalnya, ProcessCreation, ProcessExit) dan adalah kolom yang berisi informasi proses (misalnya, proses, sumber, induk).
user.sid read_only_udm.principal.user.windows_sid Nilai diambil dari kolom 'event.Event...user.sid' dalam log mentah, dengan adalah jenis peristiwa tertentu (misalnya, ProcessCreation, ProcessExit) dan adalah kolom yang berisi informasi proses (misalnya, proses, sumber, induk).
UserID read_only_udm.target.user.windows_sid Nilai diambil dari kolom 'UserID' dalam log mentah, hanya jika cocok dengan pola SID Windows.
UserSid read_only_udm.target.user.windows_sid Nilai diambil dari kolom 'UserSid' dalam log mentah, hanya jika cocok dengan pola SID Windows.
valueType Kolom ini tidak dipetakan langsung ke UDM.
winEventLog.channel security_result.about.resource.attribute.labels.value Nilai diambil dari kolom 'winEventLog.channel' dalam log mentah.
winEventLog.description Kolom ini tidak dipetakan langsung ke UDM.
winEventLog.id security_result.about.resource.attribute.labels.value Nilai diambil dari kolom 'winEventLog.id' dalam log mentah.
winEventLog.level security_result.severity Nilai diambil dari kolom 'winEventLog.level' dalam log mentah dan dipetakan ke tingkat keparahan yang sesuai (misalnya, Warning hingga SEDANG).
winEventLog.providerName security_result.about.resource.attribute.labels.value Nilai diambil dari kolom 'winEventLog.providerName' dalam log mentah.
winEventLog.xml Kolom ini tidak dipetakan langsung ke UDM.
read_only_udm.metadata.event_type Nilai ditentukan berdasarkan kolom 'event_type' dan dipetakan ke jenis peristiwa UDM yang sesuai.
read_only_udm.metadata.vendor_name Nilai ditetapkan ke SentinelOne.
read_only_udm.metadata.product_name Nilai ditetapkan ke Deep Visibility.
read_only_udm.metadata.product_log_id Nilai diambil dari kolom 'trace.id' dalam log mentah, hanya untuk peristiwa dengan 'meta.event.name' sama dengan PROCESSCREATION.
read_only_udm.metadata.product_deployment_id Nilai diambil dari kolom 'account.id' dalam log mentah, hanya untuk peristiwa dengan 'meta.event.name' sama dengan PROCESSCREATION.
read_only_udm.metadata.url_back_to_product Nilai diambil dari kolom 'mgmt.url' dalam log mentah, hanya untuk peristiwa dengan 'meta.event.name' sama dengan PROCESSCREATION.
read_only_udm.metadata.ingestion_labels.key Nilai ditetapkan ke Process eUserUid atau Process lUserUid untuk peristiwa dengan 'meta.event.name' sama dengan PROCESSCREATION.
read_only_udm.metadata.ingestion_labels.value Nilai diambil dari kolom 'src.process.eUserUid' atau 'src.process.lUserUid' dalam log mentah, hanya untuk peristiwa dengan 'meta.event.name' sama dengan PROCESSCREATION.
read_only_udm.principal.administrative_domain Bagian domain dari kolom 'event.Event...user.name' dalam log mentah, dengan adalah jenis peristiwa tertentu (misalnya, ProcessCreation, ProcessExit) dan adalah kolom yang berisi informasi proses (misalnya, proses, sumber, induk).
read_only_udm.target.process.parent_process.command_line Nilai diambil dari kolom 'event.Event..parent.commandLine' dalam log mentah, dengan adalah jenis peristiwa tertentu (misalnya, ProcessCreation, ProcessExit).
read_only_udm.target.file Objek kosong akan dibuat jika 'event_type' bukan FileCreation, FileDeletion, FileModification, SchedTaskStart, atau ProcessCreation.
read_only_udm.network.ip_protocol Nilai ditetapkan ke TCP untuk peristiwa dengan 'event_type' sama dengan Tcpv4, Tcpv4Listen, atau Http.
read_only_udm.network.application_protocol Nilai ditetapkan ke DNS untuk peristiwa dengan 'event_type' sama dengan Dns.
read_only_udm.target.resource.type Nilai ditetapkan ke TASK untuk peristiwa dengan 'event_type' sama dengan SchedTaskStart, SchedTaskTrigger, atau SchedTaskDelete.
read_only_udm.target.resource.resource_type Nilai ditetapkan ke TASK untuk peristiwa dengan 'event_type' sama dengan SchedTaskStart, SchedTaskTrigger, atau SchedTaskDelete.
read_only_udm.principal.process.product_specific_process_id Nilai ditetapkan ke ExecutionThreadID:<ExecutionThreadID> jika kolom 'ExecutionThreadID' ada dalam log mentah.
read_only_udm.principal.asset.asset_id Nilai ditetapkan ke Device ID:<agent.uuid> jika kolom 'agent.uuid' ada dalam log mentah.
read_only_udm.principal.namespace Nilai diambil dari kolom 'site.id' dalam log mentah, hanya untuk peristiwa dengan 'meta.event.name' sama dengan PROCESSCREATION.
read_only_udm.principal.location.name Nilai diambil dari kolom 'site.name' dalam log mentah, hanya untuk peristiwa dengan 'meta.event.name' sama dengan PROCESSCREATION.
read_only_udm.principal.resource.attribute.labels.key Nilai ditetapkan ke src.process.displayName, src.process.uid, isRedirectCmdProcessor, isNative64Bit, isStorylineRoot, signedStatus, src process subsystem, src process integrityLevel, atau childProcCount untuk peristiwa dengan 'meta.event.name' sama dengan PROCESSCREATION.
read_only_udm.principal.resource.attribute.labels.value Nilai diambil dari kolom yang sesuai dalam log mentah, hanya untuk peristiwa dengan 'meta.event.name' sama dengan PROCESSCREATION.
read_only_udm.target.user.userid Nilai diambil dari kolom 'tgt.process.uid' dalam log mentah, hanya untuk peristiwa dengan 'meta.event.name' sama dengan PROCESSCREATION.
read_only_udm.target.user.user_display_name Nilai diambil dari kolom 'tgt.process.displayName' dalam log mentah, hanya untuk peristiwa dengan 'meta.event.name' sama dengan PROCESSCREATION.
read_only_udm.target.resource.attribute.labels.key Nilai ditetapkan ke isRedirectCmdProcessor, isNative64Bit, isStorylineRoot, signedStatus, file_isSigned, tgt process subsystem, atau tgt process integrityLevel untuk peristiwa dengan 'meta.event.name' sama dengan PROCESSCREATION.
read_only_udm.target.resource.attribute.labels.value Nilai diambil dari kolom yang sesuai dalam log mentah, hanya untuk peristiwa dengan 'meta.event.name' sama dengan PROCESSCREATION.
read_only_udm.security_result.about.resource.attribute.labels.key Nilai ditetapkan ke tgt.process.storyline.id, endpoint_type, packet_id, src.process.storyline.id, atau src.process.parent.storyline.id untuk peristiwa dengan 'meta.event.name' sama dengan PROCESSCREATION.
read_only_udm.security_result.about.resource.attribute.labels.value Nilai diambil dari kolom yang sesuai dalam log mentah dan diawali dengan ID: untuk ID alur cerita, hanya untuk peristiwa dengan 'meta.event.name' sama dengan PROCESSCREATION.
read_only_udm.security_result.category_details Nilai ditetapkan ke security untuk peristiwa dengan 'meta.event.name' sama dengan PROCESSCREATION.
read_only_udm.target.asset.product_object_id Nilai diambil dari kolom 'AdapterName' dalam log mentah, hanya untuk peristiwa dengan 'meta.event.name' sama dengan EVENTLOG.
security_result.about.resource.attribute.labels.key Nilai ditetapkan ke TimeCreated SystemTime, EventID, Task, Channel, ProviderGuid, RecordNumber, SourceName, endpoint_type, atau packet_id untuk peristiwa dengan 'meta.event.name' sama dengan EVENTLOG.
security_result.detection_fields.key Nilai ditetapkan ke Activity ID untuk peristiwa dengan 'meta.event.name' sama dengan EVENTLOG dan kolom 'ActivityID' yang tidak kosong.
security_result.detection_fields.value Nilai diambil dari kolom 'ActivityID' dalam log mentah, hanya untuk peristiwa dengan 'meta.event.name' sama dengan EVENTLOG dan kolom 'ActivityID' yang tidak kosong.

Perubahan

2023-09-06

Peningkatan:

  • Pemetaan tgt.process.storyline.id diubah dari target.process.product_specific_process_id menjadi security_result.about.resource.attribute.labels.
  • Pemetaan src.process.storyline.id diubah dari principal.process.product_specific_process_id menjadi security_result.about.resource.attribute.labels.
  • Pemetaan src.process.parent.storyline.id diubah dari principal.parent.process.product_specific_process_id menjadi security_result.about.resource.attribute.labels.

2023-07-31

Peningkatan:

  • Log yang ditangani yang berisi data XML.

2023-04-09

Peningkatan:

  • Jika event.type adalah Process Creation yang dipetakan metadata.event_type ke PROCESS_LAUNCH.
  • Jika event.type adalah Duplicate Process Handle yang dipetakan metadata.event_type ke PROCESS_OPEN.
  • Jika event.type adalah Duplicate Thread Handle yang dipetakan metadata.event_type ke PROCESS_OPEN.
  • Jika event.type adalah Open Remote Process Handle yang dipetakan metadata.event_type ke PROCESS_OPEN.
  • Jika event.type adalah Remote Thread Creation yang dipetakan metadata.event_type ke PROCESS_LAUNCH.
  • Jika event.type adalah Command Script yang dipetakan metadata.event_type ke FILE_UNCATEGORIZED.
  • Jika event.type adalah IP Connect yang dipetakan metadata.event_type ke NETWORK_CONNECTION.
  • Jika event.type adalah IP Listen yang dipetakan metadata.event_type ke NETWORK_UNCATEGORIZED.
  • Jika event.type adalah File ModIfication yang dipetakan metadata.event_type ke FILE_MODIfICATION.
  • Jika event.type adalah File Creation yang dipetakan metadata.event_type ke FILE_CREATION.
  • Jika event.type adalah File Scan yang dipetakan metadata.event_type ke FILE_UNCATEGORIZED.
  • Jika event.type adalah File Deletion yang dipetakan metadata.event_type ke FILE_DELETION.
  • Jika event.type adalah File Rename yang dipetakan metadata.event_type ke FILE_MODIfICATION.
  • Jika event.type adalah Pre Execution Detection yang dipetakan metadata.event_type ke FILE_UNCATEGORIZED.
  • Jika event.type adalah Login yang dipetakan metadata.event_type ke USER_LOGIN.
  • Jika event.type adalah Logout yang dipetakan metadata.event_type ke USER_LOGOUT.
  • Jika event.type adalah GET yang dipetakan metadata.event_type ke NETWORK_HTTP.
  • Jika event.type adalah OPTIONS yang dipetakan metadata.event_type ke NETWORK_HTTP.
  • Jika event.type adalah POST yang dipetakan metadata.event_type ke NETWORK_HTTP.
  • Jika event.type adalah PUT yang dipetakan metadata.event_type ke NETWORK_HTTP.
  • Jika event.type adalah DELETE yang dipetakan metadata.event_type ke NETWORK_HTTP.
  • Jika event.type adalah CONNECT yang dipetakan metadata.event_type ke NETWORK_HTTP.
  • Jika event.type adalah HEAD yang dipetakan metadata.event_type ke NETWORK_HTTP.
  • Jika event.type adalah Not Reported yang dipetakan metadata.event_type ke STATUS_UNCATEGORIZED.
  • Jika event.type adalah DNS Resolved yang dipetakan metadata.event_type ke NETWORK_DNS.
  • Jika event.type adalah DNS Unresolved yang dipetakan metadata.event_type ke NETWORK_DNS.
  • Jika event.type adalah Task Register yang dipetakan metadata.event_type ke SCHEDULED_TASK_CREATION.
  • Jika event.type adalah Task Update yang dipetakan metadata.event_type ke SCHEDULED_TASK_MODIfICATION.
  • Jika event.type adalah Task Start yang dipetakan metadata.event_type ke SCHEDULED_TASK_UNCATEGORIZED.
  • Jika event.type adalah Task Trigger yang dipetakan metadata.event_type ke SCHEDULED_TASK_UNCATEGORIZED.
  • Jika event.type adalah Task Delete yang dipetakan metadata.event_type ke SCHEDULED_TASK_DELETION.
  • Jika event.type adalah Registry Key Create yang dipetakan metadata.event_type ke REGISTRY_CREATION.
  • Jika event.type adalah Registry Key Rename yang dipetakan metadata.event_type ke REGISTRY_MODIfICATION.
  • Jika event.type adalah Registry Key Delete yang dipetakan metadata.event_type ke REGISTRY_DELETION.
  • Jika event.type adalah Registry Key Export yang dipetakan metadata.event_type ke REGISTRY_UNCATEGORIZED.
  • Jika event.type adalah Registry Key Security Changed yang dipetakan metadata.event_type ke REGISTRY_MODIfICATION.
  • Jika event.type adalah Registry Key Import yang dipetakan metadata.event_type ke REGISTRY_CREATION.
  • Jika event.type adalah Registry Value ModIfied yang dipetakan metadata.event_type ke REGISTRY_MODIfICATION.
  • Jika event.type adalah Registry Value Create yang dipetakan metadata.event_type ke REGISTRY_CREATION.
  • Jika event.type adalah Registry Value Delete yang dipetakan metadata.event_type ke REGISTRY_DELETION.
  • Jika event.type adalah Behavioral Indicators yang dipetakan metadata.event_type ke SCAN_UNCATEGORIZED.
  • Jika event.type adalah Module Load yang dipetakan metadata.event_type ke PROCESS_MODULE_LOAD.
  • Jika event.type adalah Threat Intelligence Indicators yang dipetakan metadata.event_type ke SCAN_UNCATEGORIZED.
  • Jika event.type adalah Named Pipe Creation yang dipetakan metadata.event_type ke PROCESS_UNCATEGORIZED.
  • Jika event.type adalah Named Pipe Connection yang dipetakan metadata.event_type ke PROCESS_UNCATEGORIZED.
  • Jika event.type adalah Driver Load yang dipetakan metadata.event_type ke PROCESS_MODULE_LOAD.

13-02-2023

Peningkatan:

  • Memetakan endpoint.os ke principal.platform.
  • Memetakan endpoint.name ke target.hostname.
  • Memetakan src.process.pid ke principal.process.pid.
  • Memetakan src.process.cmdline ke principal.process.command_line.
  • Memetakan src.process.image.path ke principal.process.file.full_path.
  • Memetakan src.process.image.sha1 ke principal.process.file.sha1.
  • Memetakan src.process.eUserUid ke metadata.ingestion_labels.
  • Memetakan src.process.lUserUid ke metadata.ingestion_labels.
  • Memetakan src.process.uid ke principal.user.userid.
  • Memetakan src.process.displayName ke principal.user.user_display_name.
  • Memetakan src.process.isRedirectCmdProcessor, src.process.isNative64Bit, src.process.isStorylineRoot, src.process.signedStatus, src.file.isSigned, src.process.subsystem, src.process.integrityLevel, src.process.tgtFileCreationCount, src.process.childProcCount, src.process.indicatorBootConfigurationUpdateCount, src.process.indicatorEvasionCount, src.process.indicatorExploitationCount, src.process.indicatorGeneralCount, src.process.indicatorInfostealerCount, src.process.moduleCount ke principal.resource.attribute.labels.
  • Memetakan src.process.image.md5 ke principal.process.file.md5.
  • Memetakan agent.uuid ke principal.asset.asset_id.
  • Memetakan agent.version ke metadata.product_version.
  • Memetakan site.id ke principal.namespace.
  • Memetakan site.name ke principal.location.name.
  • Memetakan trace.id ke metadata.product_log_id.
  • Memetakan dataSource.category ke security_result.category_details.
  • Memetakan packet.id ke about.resource.attribute.labels.
  • Memetakan mgmt.url, endpoint.type ke metadata.url_back_to_product.
  • Memetakan tgt.process.image.sha1 ke target.process.file.sha1.
  • Memetakan tgt.process.image.path ke target.process.file.full_path.
  • Memetakan tgt.process.pid ke target.process.pid.
  • Memetakan tgt.process.uid ke target.user.userid.
  • Memetakan tgt.process.cmdline ke target.process.command_line.
  • Memetakan tgt.process.displayName ke target.user.user_display_name.
  • Memetakan tgt.process.image.md5 ke target.process.file.md5.
  • Memetakan src.process.parent.image.sha256 ke principal.process.file.sha256.
  • Memetakan tgt.process.image.sha256 ke target.process.file.sha256.
  • Memetakan tgt.process.sessionId ke network.session_id.
  • Memetakan tgt.process.storyline.id ke target.process.product_specific_process_id.
  • Memetakan tgt.process.isRedirectCmdProcessor, tgt.process.isNative64Bit, tgt.process.isStorylineRoot, tgt.process.signedStatus, tgt.file.isSigned, tgt.process.subsystem, tgt.process.integrityLevel, tgt.process.publisher ke target.resource.attribute.labels.
  • Memetakan prod_event_type ke metadata.product_event_type.

2022-09-09

Peningkatan:

  • Menghapus log dengan event_type = null.
  • Memberikan pemeriksaan null untuk meta.os_version, meta.os_name, meta.uuid, meta.computer_name, meta.os_revision.
  • Mengurangi ukuran *.targetFile.hashes.sha1 dan *.source.executable.hashes.sha1 menjadi 64 byte jika melebihi batas 64 byte.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.