Raccogli i log di SentinelOne Deep Visibility

Supportato in:

Questo documento spiega come esportare i log di SentinelOne Deep Visibility in Google Security Operations utilizzando Cloud Funnel per esportare i log in Google Cloud Storage. L'analizzatore sintattico trasforma i log degli eventi di sicurezza non elaborati in formato JSON in un formato strutturato conforme all'UDM. Innanzitutto, inizializza un insieme di variabili, poi estrae il tipo di evento e analizza il payload JSON, mappando i campi pertinenti allo schema UDM e gestendo separatamente i log eventi di Windows.

Prima di iniziare

  • Assicurati di avere un'istanza Google SecOps.
  • Assicurati di disporre dell'accesso con privilegi a Google Cloud.
  • Assicurati che SentinelOne Deep Visibility sia configurato nel tuo ambiente.
  • Assicurati di disporre dell'accesso con privilegi a SentinelOne.

Crea un bucket Google Cloud Storage

  1. Accedi alla console Google Cloud.

  2. Vai alla pagina Bucket Cloud Storage.

    Vai a Bucket

  3. Fai clic su Crea.

  4. Nella pagina Crea un bucket, inserisci le informazioni del bucket. Dopo ogni passaggio che segue, fai clic su Continua per passare al passaggio successivo:

    1. Nella sezione Inizia:

      1. Inserisci un nome univoco che soddisfi i requisiti per i nomi dei bucket, ad esempio sentinelone-deepvisibility.

      2. Per attivare lo spazio dei nomi gerarchico, fai clic sulla freccia di espansione per espandere la sezione Ottimizza per i workload orientati ai file e con uso intensivo dei dati, poi seleziona Abilita uno spazio dei nomi gerarchico in questo bucket.

      3. Per aggiungere un'etichetta del bucket, fai clic sulla freccia di espansione per espandere la sezione Etichette.

      4. Fai clic su Aggiungi etichetta e specifica una chiave e un valore per l'etichetta.

    2. Nella sezione Scegli dove archiviare i tuoi dati, segui questi passaggi:

      1. Seleziona un Tipo di località.

      2. Utilizza il menu del tipo di località per selezionare una Località in cui verranno archiviati in modo permanente i dati degli oggetti all'interno del bucket.

      3. Per configurare la replica tra bucket, espandi la sezione Configura la replica tra bucket.

    3. Nella sezione Scegli una classe di archiviazione per i tuoi dati, seleziona una classe di archiviazione predefinita per il bucket o Autoclass per la gestione automatica della classe di archiviazione dei dati del bucket.

    4. Nella sezione Scegli come controllare l'accesso agli oggetti, seleziona no per applicare la prevenzione dell'accesso pubblico e seleziona un modello di controllo dell'accesso per gli oggetti del bucket.

    5. Nella sezione Scegli come proteggere i dati degli oggetti, segui questi passaggi:

      1. Seleziona una delle opzioni in Protezione dei dati che vuoi impostare per il bucket.
      2. Per scegliere la modalità di crittografia dei dati degli oggetti, fai clic sulla freccia di espansione etichettata Crittografia dei dati e seleziona un Metodo di crittografia dei dati.

  5. Fai clic su Crea.

Creare un account di servizio Google Cloud

  1. Vai a IAM e amministrazione > Account di servizio.
  2. Crea un nuovo account di servizio.
  3. Assegna un nome descrittivo, ad esempio sentinelone-dv-logs.
  4. Concedi all'account di servizio il ruolo Creatore di oggetti archiviati nel bucket Cloud Storage creato nel passaggio precedente.
  5. Crea una chiave SSH per l'account di servizio.
  6. Scarica un file della chiave JSON per l'account di servizio. Tieni questo file al sicuro.

Configurare la canalizzazione cloud in SentinelOne DeepVisibility

  1. Accedi a SentinelOne DeepVisibility.
  2. Fai clic su Configura > Norme e impostazioni.
  3. Nella sezione Singularity Data Lake (Singularity Data Lake), fai clic su Cloud Funnel (Canale cloud).
  4. Fornisci i seguenti dettagli di configurazione:
    • Cloud provider: seleziona Google Cloud.
    • Nome bucket: inserisci il nome del bucket Cloud Storage che hai creato per l'importazione dei log di SentinelOne DeepVisibility.
    • Streaming telemetria: seleziona Attiva.
    • Filtri query: crea una query che includa gli agenti che devono inviare dati a un bucket Cloud Storage.
    • Fai clic su Validate (Convalida).
    • Campi da includere: seleziona tutti i campi.
  5. Fai clic su Salva.

Configura un feed in Google SecOps per importare i log di SentinelOne Deep Visibility

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo.
  3. Nel campo Nome feed, inserisci un nome per il feed, ad esempio SentinelOne DV Logs.
  4. Seleziona Google Cloud Storage come Tipo di origine.
  5. Seleziona SentinelOne Deep Visibility come Tipo di log.
  6. Fai clic su Ottieni account di servizio come Account di servizio Chronicle.
  7. Fai clic su Avanti.

  8. Specifica i valori per i seguenti parametri di input:

    • URI del bucket di archiviazione: URL del bucket Google Cloud Storage in formato gs://my-bucket/<value>.
    • URI è: seleziona Directory che include sottodirectory.

    • Opzioni di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze.

    • Spazio dei nomi degli asset: lo spazio dei nomi degli asset.

    • Etichette di importazione: l'etichetta applicata agli eventi di questo feed.

  9. Fai clic su Avanti.

  10. Rivedi la configurazione del nuovo feed nella schermata Completa e poi fai clic su Invia.

Tabella di mappatura UDM

Campo log Mappatura UDM Logica
AdapterName security_result.about.resource.attribute.labels.value Il valore viene preso dal campo "AdapterName" nel log non elaborato.
AdapterSuffixName security_result.about.resource.attribute.labels.value Il valore viene preso dal campo "AdapterSuffixName" nel log non elaborato.
agent_version read_only_udm.metadata.product_version Il valore viene preso dal campo "meta.agent_version" nel log non elaborato.
Canale security_result.about.resource.attribute.labels.value Il valore viene preso dal campo "Canale" nel log non elaborato.
commandLine read_only_udm.principal.process.command_line Il valore viene preso dal campo "event.Event...commandLine" nel log non elaborato, dove è il tipo di evento specifico (ad es. ProcessCreation, ProcessExit) e è il campo contenente le informazioni sui processi (ad es. processo, origine, genitore).
computer_name read_only_udm.principal.hostname Il valore viene preso dal campo "meta.computer_name" nel log non elaborato.
destinationAddress.address read_only_udm.target.ip Il valore viene preso dal campo "event.Event.Tcpv4.destinationAddress.address" nel log non elaborato.
destinationAddress.port read_only_udm.target.port Il valore viene preso dal campo "event.Event.Tcpv4.destinationAddress.port" nel log non elaborato.
DnsServerList read_only_udm.principal.ip Il valore viene preso dal campo "DnsServerList" nel log non elaborato.
ErrorCode_new security_result.detection_fields.value Il valore viene preso dal campo "ErrorCode_new" nel log non elaborato.
EventID security_result.about.resource.attribute.labels.value Il valore viene preso dal campo "EventID" nel log non elaborato.
event.Event.Dns.query read_only_udm.network.dns.questions.name Il valore viene preso dal campo "event.Event.Dns.query" nel log non elaborato.
event.Event.Dns.results read_only_udm.network.dns.answers.data Il valore viene preso dal campo "event.Event.Dns.results" nel log non elaborato.
event.Event.Dns.source.fullPid.pid read_only_udm.principal.process.pid Il valore viene preso dal campo "event.Event.Dns.source.fullPid.pid" nel log non elaborato.
event.Event.Dns.source.user.name read_only_udm.principal.user.userid Il valore viene preso dal campo "event.Event.Dns.source.user.name" nel log non elaborato.
event.Event.FileCreation.source.fullPid.pid read_only_udm.principal.process.pid Il valore viene preso dal campo "event.Event.FileCreation.source.fullPid.pid" nel log non elaborato.
event.Event.FileCreation.source.user.name read_only_udm.principal.user.userid Il valore viene preso dal campo "event.Event.FileCreation.source.user.name" nel log non elaborato.
event.Event.FileCreation.targetFile.path read_only_udm.target.file.full_path Il valore viene preso dal campo "event.Event.FileCreation.targetFile.path" nel log non elaborato.
event.Event.FileDeletion.source.fullPid.pid read_only_udm.principal.process.pid Il valore viene preso dal campo "event.Event.FileDeletion.source.fullPid.pid" nel log non elaborato.
event.Event.FileDeletion.source.user.name read_only_udm.principal.user.userid Il valore viene preso dal campo "event.Event.FileDeletion.source.user.name" nel log non elaborato.
event.Event.FileDeletion.targetFile.path read_only_udm.target.file.full_path Il valore viene preso dal campo "event.Event.FileDeletion.targetFile.path" nel log non elaborato.
event.Event.FileModification.file.path read_only_udm.target.file.full_path Il valore viene preso dal campo "event.Event.FileModification.file.path" nel log non elaborato.
event.Event.FileModification.source.user.name read_only_udm.principal.user.userid Il valore viene preso dal campo "event.Event.FileModification.source.user.name" nel log non elaborato.
event.Event.FileModification.targetFile.path read_only_udm.target.file.full_path Il valore viene preso dal campo "event.Event.FileModification.targetFile.path" nel log non elaborato.
event.Event.Http.source.user.name read_only_udm.principal.user.userid Il valore viene preso dal campo "event.Event.Http.source.user.name" nel log non elaborato.
event.Event.Http.url read_only_udm.target.url Il valore viene preso dal campo "event.Event.Http.url" nel log non elaborato.
event.Event.ProcessCreation.process.user.name read_only_udm.principal.user.userid Il valore viene preso dal campo "event.Event.ProcessCreation.process.user.name" nel log non elaborato.
event.Event.ProcessCreation.source.user.name read_only_udm.principal.user.userid Il valore viene preso dal campo "event.Event.ProcessCreation.source.user.name" nel log non elaborato.
event.Event.ProcessExit.source.user.name read_only_udm.principal.user.userid Il valore viene preso dal campo "event.Event.ProcessExit.source.user.name" nel log non elaborato.
event.Event.ProcessTermination.source.user.name read_only_udm.principal.user.userid Il valore viene preso dal campo "event.Event.ProcessTermination.source.user.name" nel log non elaborato.
event.Event.RegKeyCreate.source.fullPid.pid read_only_udm.principal.process.pid Il valore viene preso dal campo "event.Event.RegKeyCreate.source.fullPid.pid" nel log non elaborato.
event.Event.RegKeyCreate.source.user.name read_only_udm.principal.user.userid Il valore viene preso dal campo "event.Event.RegKeyCreate.source.user.name" nel log non elaborato.
event.Event.RegKeyDelete.source.user.name read_only_udm.principal.user.userid Il valore viene preso dal campo "event.Event.RegKeyDelete.source.user.name" nel log non elaborato.
event.Event.RegValueModified.source.user.name read_only_udm.principal.user.userid Il valore viene preso dal campo "event.Event.RegValueModified.source.user.name" nel log non elaborato.
event.Event.SchedTaskDelete.source.user.name read_only_udm.principal.user.userid Il valore viene preso dal campo "event.Event.SchedTaskDelete.source.user.name" nel log non elaborato.
event.Event.SchedTaskRegister.source.user.name read_only_udm.principal.user.userid Il valore viene preso dal campo "event.Event.SchedTaskRegister.source.user.name" nel log non elaborato.
event.Event.SchedTaskStart.source.user.name read_only_udm.principal.user.userid Il valore viene preso dal campo "event.Event.SchedTaskStart.source.user.name" nel log non elaborato.
event.Event.SchedTaskTrigger.source.fullPid.pid read_only_udm.principal.process.pid Il valore viene preso dal campo "event.Event.SchedTaskTrigger.source.fullPid.pid" nel log non elaborato.
event.Event.SchedTaskTrigger.source.user.name read_only_udm.principal.user.userid Il valore viene preso dal campo "event.Event.SchedTaskTrigger.source.user.name" nel log non elaborato.
event.Event.Tcpv4.source.fullPid.pid read_only_udm.principal.process.pid Il valore viene preso dal campo "event.Event.Tcpv4.source.fullPid.pid" nel log non elaborato.
event.Event.Tcpv4.source.user.name read_only_udm.principal.user.userid Il valore viene preso dal campo "event.Event.Tcpv4.source.user.name" nel log non elaborato.
event.Event.Tcpv4Listen.local.address read_only_udm.principal.ip Il valore viene preso dal campo "event.Event.Tcpv4Listen.local.address" nel log non elaborato.
event.timestamp.millisecondsSinceEpoch read_only_udm.metadata.event_timestamp.seconds Il valore viene preso dal campo "event.timestamp.millisecondsSinceEpoch" nel log non elaborato, convertito in secondi.
event.timestamp.millisecondsSinceEpoch read_only_udm.metadata.event_timestamp.nanos Il valore viene preso dal campo "event.timestamp.millisecondsSinceEpoch" nel log non elaborato, convertito in nanosecondi.
event.timestamp.millisecondsSinceEpoch security_result.about.resource.attribute.labels.value Il valore viene preso dal campo "event.timestamp.millisecondsSinceEpoch" nel log non elaborato e utilizzato come valore per un'etichetta nell'array security_result.about.resource.attribute.labels.
event_type read_only_udm.metadata.product_event_type Il valore viene estratto dal campo "message" nel log non elaborato utilizzando un pattern Grok.
executable.hashes.md5 read_only_udm.principal.process.file.md5 Il valore viene preso dal campo "event.Event...executable.hashes.md5" nel log non elaborato, dove è il tipo di evento specifico (ad es. ProcessCreation, ProcessExit) e è il campo contenente le informazioni sui processi (ad es. processo, origine, genitore).
executable.hashes.sha1 read_only_udm.principal.process.file.sha1 Il valore viene preso dal campo "event.Event...executable.hashes.sha1" nel log non elaborato, dove è il tipo di evento specifico (ad es. ProcessCreation, ProcessExit) e è il campo contenente le informazioni sui processi (ad es. processo, origine, genitore).
executable.hashes.sha256 read_only_udm.principal.process.file.sha256 Il valore viene preso dal campo "event.Event...executable.hashes.sha256" nel log non elaborato, dove è il tipo di evento specifico (ad es. ProcessCreation, ProcessExit) e è il campo contenente le informazioni sui processi (ad es. processo, origine, genitore).
executable.path read_only_udm.principal.process.file.full_path Il valore viene preso dal campo "event.Event...executable.path" nel log non elaborato, dove è il tipo di evento specifico (ad es. ProcessCreation, ProcessExit) e è il campo contenente le informazioni sui processi (ad es. processo, origine, genitore).
executable.sizeBytes read_only_udm.principal.process.file.size Il valore viene preso dal campo "event.Event...executable.sizeBytes" nel log non elaborato, dove è il tipo di evento specifico (ad es. ProcessCreation, ProcessExit) e è il campo contenente le informazioni sui processi (ad es. processo, origine, genitore).
fullPid.pid read_only_udm.principal.process.pid Il valore viene preso dal campo "event.Event...fullPid.pid" nel log non elaborato, dove è il tipo di evento specifico (ad es. ProcessCreation, ProcessExit) e è il campo contenente le informazioni sui processi (ad es. processo, origine, genitore).
hashes.md5 read_only_udm.target.file.md5 Il valore viene preso dal campo "event.Event.ProcessCreation.hashes.md5" nel log non elaborato.
hashes.sha1 read_only_udm.target.file.sha1 Il valore viene preso dal campo "event.Event.ProcessCreation.hashes.sha1" nel log non elaborato.
hashes.sha256 read_only_udm.target.file.sha256 Il valore viene preso dal campo "event.Event.ProcessCreation.hashes.sha256" nel log non elaborato.
IpAddress read_only_udm.target.ip Il valore viene preso dal campo "IpAddress" nel log non elaborato.
local.address read_only_udm.principal.ip Il valore viene preso dal campo "event.Event.Tcpv4Listen.local.address" nel log non elaborato.
local.port read_only_udm.principal.port Il valore viene preso dal campo "event.Event.Tcpv4Listen.local.port" nel log non elaborato.
log_type read_only_udm.metadata.log_type Il valore viene preso dal campo "log_type" nel log non elaborato.
meta.agent_version read_only_udm.metadata.product_version Il valore viene preso dal campo "meta.agent_version" nel log non elaborato.
meta.computer_name read_only_udm.principal.hostname Il valore viene preso dal campo "meta.computer_name" nel log non elaborato.
meta.os_family read_only_udm.principal.platform Il valore viene preso dal campo "meta.os_family" nel log non elaborato e mappato alla piattaforma corrispondente (ad es. windows a WINDOWS, osx a MAC, linux a LINUX).
meta.os_name read_only_udm.principal.platform_version Il valore viene preso dal campo "meta.os_name" nel log non elaborato.
meta.os_revision read_only_udm.principal.platform_patch_level Il valore viene preso dal campo "meta.os_revision" nel log non elaborato.
meta.uuid read_only_udm.principal.asset_id Il valore viene preso dal campo "meta.uuid" nel log non elaborato e preceduto da SENTINELONE:.
nome read_only_udm.principal.application Il valore viene preso dal campo "event.Event...name" nel log non elaborato, dove è il tipo di evento specifico (ad es. ProcessCreation, ProcessExit) e è il campo contenente le informazioni sui processi (ad es. processo, origine, genitore).
parent.executable.hashes.md5 read_only_udm.target.process.parent_process.file.md5 Il valore viene preso dal campo "event.Event..parent.executable.hashes.md5" nel log non elaborato, dove è il tipo di evento specifico (ad es. ProcessCreation, ProcessExit).
parent.executable.hashes.sha1 read_only_udm.target.process.parent_process.file.sha1 Il valore viene preso dal campo "event.Event..parent.executable.hashes.sha1" nel log non elaborato, dove è il tipo di evento specifico (ad es. ProcessCreation, ProcessExit).
parent.executable.hashes.sha256 read_only_udm.target.process.parent_process.file.sha256 Il valore viene preso dal campo "event.Event..parent.executable.hashes.sha256" nel log non elaborato, dove è il tipo di evento specifico (ad es. ProcessCreation, ProcessExit).
parent.executable.path read_only_udm.target.process.parent_process.file.full_path Il valore viene preso dal campo "event.Event..parent.executable.path" nel log non elaborato, dove è il tipo di evento specifico (ad es. ProcessCreation, ProcessExit).
parent.fullPid.pid read_only_udm.target.process.parent_process.pid Il valore viene preso dal campo "event.Event..parent.fullPid.pid" nel log non elaborato, dove è il tipo di evento specifico (ad es. ProcessCreation, ProcessExit).
percorso read_only_udm.principal.process.file.full_path Il valore viene preso dal campo "event.Event...path" nel log non elaborato, dove è il tipo di evento specifico (ad es. ProcessCreation, ProcessExit) e è il campo contenente le informazioni sui processi (ad es. processo, origine, genitore).
process.commandLine read_only_udm.target.process.command_line Il valore viene preso dal campo "event.Event.ProcessCreation.process.commandLine" nel log non elaborato.
process.fullPid.pid read_only_udm.target.process.pid Il valore viene preso dal campo "event.Event.ProcessCreation.process.fullPid.pid" nel log non elaborato.
process.parent.fullPid.pid read_only_udm.target.process.parent_process.pid Il valore viene preso dal campo "event.Event.ProcessCreation.process.parent.fullPid.pid" nel log non elaborato.
ProviderGuid security_result.about.resource.attribute.labels.value Il valore viene preso dal campo "ProviderGuid" nel log non elaborato, con le parentesi graffe rimosse.
query read_only_udm.network.dns.questions.name Il valore viene preso dal campo "event.Event.Dns.query" nel log non elaborato.
RecordNumber security_result.about.resource.attribute.labels.value Il valore viene preso dal campo "RecordNumber" nel log non elaborato.
regKey.path read_only_udm.target.registry.registry_key Il valore viene preso dal campo "event.Event.RegKeyCreate.regKey.path" o "event.Event.RegKeyDelete.regKey.path" nel log non elaborato.
regValue.path read_only_udm.target.registry.registry_key Il valore viene preso dal campo "event.Event.RegValueDelete.regValue.path" o "event.Event.RegValueModified.regValue.path" nel log non elaborato.
risultati read_only_udm.network.dns.answers.data Il valore viene preso dal campo "event.Event.Dns.results" nel log non elaborato.
Aggiornamento del server inviato intermediary.hostname Il valore viene preso dal campo "Sent UpdateServer" nel log non elaborato.
seq_id Questo campo non è mappato direttamente all'UDM.
signature.Status.Signed.identity Questo campo non è mappato direttamente all'UDM.
sizeBytes read_only_udm.principal.process.file.size Il valore viene preso dal campo "event.Event...sizeBytes" nel log non elaborato, dove è il tipo di evento specifico (ad es. ProcessCreation, ProcessExit) e è il campo contenente le informazioni sui processi (ad es. processo, origine, genitore).
sourceAddress.address read_only_udm.principal.ip Il valore viene preso dal campo "event.Event.Tcpv4.sourceAddress.address" nel log non elaborato.
sourceAddress.port read_only_udm.principal.port Il valore viene preso dal campo "event.Event.Tcpv4.sourceAddress.port" nel log non elaborato.
SourceName security_result.about.resource.attribute.labels.value Il valore viene preso dal campo "SourceName" nel log non elaborato.
stato Questo campo non è mappato direttamente all'UDM.
taskName read_only_udm.target.resource.name Il valore viene preso dal campo "event.Event.SchedTaskStart.taskName", "event.Event.SchedTaskTrigger.taskName" o "event.Event.SchedTaskDelete.taskName" nel log non elaborato.
targetFile.hashes.md5 read_only_udm.target.file.md5 Il valore viene preso dal campo "event.Event.FileDeletion.targetFile.hashes.md5" o "event.Event.SchedTaskStart.targetFile.hashes.md5" nel log non elaborato.
targetFile.hashes.sha1 read_only_udm.target.file.sha1 Il valore viene preso dal campo "event.Event.FileDeletion.targetFile.hashes.sha1" o "event.Event.SchedTaskStart.targetFile.hashes.sha1" nel log non elaborato.
targetFile.hashes.sha256 read_only_udm.target.file.sha256 Il valore viene preso dal campo "event.Event.FileDeletion.targetFile.hashes.sha256" o "event.Event.SchedTaskStart.targetFile.hashes.sha256" nel log non elaborato.
targetFile.path read_only_udm.target.file.full_path Il valore viene preso dal campo "event.Event.FileDeletion.targetFile.path" o "event.Event.SchedTaskStart.targetFile.path" nel log non elaborato.
Attività security_result.about.resource.attribute.labels.value Il valore viene preso dal campo "Task" nel log non elaborato.
timestamp.millisecondsSinceEpoch read_only_udm.metadata.event_timestamp.seconds Il valore viene preso dal campo "event.timestamp.millisecondsSinceEpoch" nel log non elaborato, convertito in secondi.
timestamp.millisecondsSinceEpoch read_only_udm.metadata.event_timestamp.nanos Il valore viene preso dal campo "event.timestamp.millisecondsSinceEpoch" nel log non elaborato, convertito in nanosecondi.
trace_id Questo campo non è mappato direttamente all'UDM.
triggerType Questo campo non è mappato direttamente all'UDM.
trueContext Questo campo non è mappato direttamente all'UDM.
trueContext.key Questo campo non è mappato direttamente all'UDM.
trueContext.key.value Questo campo non è mappato direttamente all'UDM.
tipo read_only_udm.network.dns.answers.type Il valore viene preso dal campo "event.Event.Dns.results" nel log non elaborato ed estratto utilizzando un'espressione regolare.
url read_only_udm.target.url Il valore viene preso dal campo "event.Event.Http.url" nel log non elaborato.
nome.utente read_only_udm.principal.user.userid Il valore viene preso dal campo "event.Event...user.name" nel log non elaborato, dove è il tipo di evento specifico (ad es. ProcessCreation, ProcessExit) e è il campo contenente le informazioni sui processi (ad es. processo, origine, genitore).
user.sid read_only_udm.principal.user.windows_sid Il valore viene preso dal campo "event.Event...user.sid" nel log non elaborato, dove è il tipo di evento specifico (ad es. ProcessCreation, ProcessExit) e è il campo contenente le informazioni sui processi (ad es. processo, origine, genitore).
UserID read_only_udm.target.user.windows_sid Il valore viene preso dal campo "UserID" nel log non elaborato, solo se corrisponde al pattern SID di Windows.
UserSid read_only_udm.target.user.windows_sid Il valore viene preso dal campo "UserSid" nel log non elaborato, solo se corrisponde al pattern SID di Windows.
valueType Questo campo non è mappato direttamente all'UDM.
winEventLog.channel security_result.about.resource.attribute.labels.value Il valore viene preso dal campo "winEventLog.channel" nel log non elaborato.
winEventLog.description Questo campo non è mappato direttamente all'UDM.
winEventLog.id security_result.about.resource.attribute.labels.value Il valore viene preso dal campo "winEventLog.id" nel log non elaborato.
winEventLog.level security_result.severity Il valore viene preso dal campo "winEventLog.level" nel log non elaborato e mappato al livello di gravità corrispondente (ad es. Warning a MEDIO).
winEventLog.providerName security_result.about.resource.attribute.labels.value Il valore viene preso dal campo "winEventLog.providerName" nel log non elaborato.
winEventLog.xml Questo campo non è mappato direttamente all'UDM.
read_only_udm.metadata.event_type Il valore viene determinato in base al campo "event_type" e mappato al tipo di evento UDM corrispondente.
read_only_udm.metadata.vendor_name Il valore è impostato su SentinelOne.
read_only_udm.metadata.product_name Il valore è impostato su Deep Visibility.
read_only_udm.metadata.product_log_id Il valore viene preso dal campo "trace.id" nel log non elaborato, solo per gli eventi con "meta.event.name" uguale a PROCESSCREATION.
read_only_udm.metadata.product_deployment_id Il valore viene preso dal campo "account.id" nel log non elaborato, solo per gli eventi con "meta.event.name" uguale a PROCESSCREATION.
read_only_udm.metadata.url_back_to_product Il valore viene preso dal campo "mgmt.url" nel log non elaborato, solo per gli eventi con "meta.event.name" uguale a PROCESSCREATION.
read_only_udm.metadata.ingestion_labels.key Il valore è impostato su Process eUserUid o Process lUserUid per gli eventi con "meta.event.name" uguale a PROCESSCREATION.
read_only_udm.metadata.ingestion_labels.value Il valore viene preso dal campo "src.process.eUserUid" o "src.process.lUserUid" nel log non elaborato, solo per gli eventi con "meta.event.name" uguale a PROCESSCREATION.
read_only_udm.principal.administrative_domain La parte di dominio del campo "event.Event...user.name" nel log non elaborato, dove è il tipo di evento specifico (ad es. ProcessCreation, ProcessExit) e è il campo contenente le informazioni sui processi (ad es. processo, origine, genitore).
read_only_udm.target.process.parent_process.command_line Il valore viene preso dal campo "event.Event..parent.commandLine" nel log non elaborato, dove è il tipo di evento specifico (ad es. ProcessCreation, ProcessExit).
read_only_udm.target.file Viene creato un oggetto vuoto se "event_type" non è FileCreation, FileDeletion, FileModification, SchedTaskStart o ProcessCreation.
read_only_udm.network.ip_protocol Il valore è impostato su TCP per gli eventi con "event_type" uguale a Tcpv4, Tcpv4Listen o Http.
read_only_udm.network.application_protocol Il valore è impostato su DNS per gli eventi con "event_type" uguale a Dns.
read_only_udm.target.resource.type Il valore è impostato su TASK per gli eventi con "event_type" uguale a SchedTaskStart, SchedTaskTrigger o SchedTaskDelete.
read_only_udm.target.resource.resource_type Il valore è impostato su TASK per gli eventi con "event_type" uguale a SchedTaskStart, SchedTaskTrigger o SchedTaskDelete.
read_only_udm.principal.process.product_specific_process_id Il valore è impostato su ExecutionThreadID:<ExecutionThreadID> se il campo "ExecutionThreadID" è presente nel log non elaborato.
read_only_udm.principal.asset.asset_id Il valore è impostato su Device ID:<agent.uuid> se il campo "agent.uuid" è presente nel log non elaborato.
read_only_udm.principal.namespace Il valore viene preso dal campo "site.id" nel log non elaborato, solo per gli eventi con "meta.event.name" uguale a PROCESSCREATION.
read_only_udm.principal.location.name Il valore viene preso dal campo "site.name" nel log non elaborato, solo per gli eventi con "meta.event.name" uguale a PROCESSCREATION.
read_only_udm.principal.resource.attribute.labels.key Il valore è impostato su src.process.displayName, src.process.uid, isRedirectCmdProcessor, isNative64Bit, isStorylineRoot, signedStatus, src process subsystem, src process integrityLevel o childProcCount per gli eventi con "meta.event.name" uguale a PROCESSCREATION.
read_only_udm.principal.resource.attribute.labels.value Il valore viene preso dal campo corrispondente nel log non elaborato, solo per gli eventi con "meta.event.name" uguale a PROCESSCREATION.
read_only_udm.target.user.userid Il valore viene preso dal campo "tgt.process.uid" nel log non elaborato, solo per gli eventi con "meta.event.name" uguale a PROCESSCREATION.
read_only_udm.target.user.user_display_name Il valore viene preso dal campo "tgt.process.displayName" nel log non elaborato, solo per gli eventi con "meta.event.name" uguale a PROCESSCREATION.
read_only_udm.target.resource.attribute.labels.key Il valore è impostato su isRedirectCmdProcessor, isNative64Bit, isStorylineRoot, signedStatus, file_isSigned, tgt process subsystem o tgt process integrityLevel per gli eventi con "meta.event.name" uguale a PROCESSCREATION.
read_only_udm.target.resource.attribute.labels.value Il valore viene preso dal campo corrispondente nel log non elaborato, solo per gli eventi con "meta.event.name" uguale a PROCESSCREATION.
read_only_udm.security_result.about.resource.attribute.labels.key Il valore è impostato su tgt.process.storyline.id, endpoint_type, packet_id, src.process.storyline.id o src.process.parent.storyline.id per gli eventi con "meta.event.name" uguale a PROCESSCREATION.
read_only_udm.security_result.about.resource.attribute.labels.value Il valore viene preso dal campo corrispondente nel log non elaborato e anteposto da ID: per gli ID trama, solo per gli eventi con "meta.event.name" uguale a PROCESSCREATION.
read_only_udm.security_result.category_details Il valore è impostato su security per gli eventi con "meta.event.name" uguale a PROCESSCREATION.
read_only_udm.target.asset.product_object_id Il valore viene preso dal campo "AdapterName" nel log non elaborato, solo per gli eventi con "meta.event.name" uguale a EVENTLOG.
security_result.about.resource.attribute.labels.key Il valore è impostato su TimeCreated SystemTime, EventID, Task, Channel, ProviderGuid, RecordNumber, SourceName, endpoint_type o packet_id per gli eventi con "meta.event.name" uguale a EVENTLOG.
security_result.detection_fields.key Il valore è impostato su Activity ID per gli eventi con "meta.event.name" uguale a EVENTLOG e un campo "ActivityID" non vuoto.
security_result.detection_fields.value Il valore viene preso dal campo "ActivityID" nel log non elaborato, solo per gli eventi con "meta.event.name" uguale a EVENTLOG e un campo "ActivityID" non vuoto.

Modifiche

2023-09-06

Miglioramento:

  • Mappatura di tgt.process.storyline.id modificata da target.process.product_specific_process_id a security_result.about.resource.attribute.labels.
  • Mappatura di src.process.storyline.id modificata da principal.process.product_specific_process_id a security_result.about.resource.attribute.labels.
  • Mappatura di src.process.parent.storyline.id modificata da principal.parent.process.product_specific_process_id a security_result.about.resource.attribute.labels.

2023-07-31

Miglioramento:

  • Log gestiti contenenti dati XML.

2023-04-09

Miglioramento:

  • Se event.type è Process Creation mappato metadata.event_type a PROCESS_LAUNCH.
  • Se event.type è Duplicate Process Handle mappato metadata.event_type a PROCESS_OPEN.
  • Se event.type è Duplicate Thread Handle mappato metadata.event_type a PROCESS_OPEN.
  • Se event.type è Open Remote Process Handle mappato metadata.event_type a PROCESS_OPEN.
  • Se event.type è Remote Thread Creation mappato metadata.event_type a PROCESS_LAUNCH.
  • Se event.type è Command Script mappato metadata.event_type a FILE_UNCATEGORIZED.
  • Se event.type è IP Connect mappato metadata.event_type a NETWORK_CONNECTION.
  • Se event.type è IP Listen mappato metadata.event_type a NETWORK_UNCATEGORIZED.
  • Se event.type è File ModIfication mappato metadata.event_type a FILE_MODIfICATION.
  • Se event.type è File Creation mappato metadata.event_type a FILE_CREATION.
  • Se event.type è File Scan mappato metadata.event_type a FILE_UNCATEGORIZED.
  • Se event.type è File Deletion mappato metadata.event_type a FILE_DELETION.
  • Se event.type è File Rename mappato metadata.event_type a FILE_MODIfICATION.
  • Se event.type è Pre Execution Detection mappato metadata.event_type a FILE_UNCATEGORIZED.
  • Se event.type è Login mappato metadata.event_type a USER_LOGIN.
  • Se event.type è Logout mappato metadata.event_type a USER_LOGOUT.
  • Se event.type è GET mappato metadata.event_type a NETWORK_HTTP.
  • Se event.type è OPTIONS mappato metadata.event_type a NETWORK_HTTP.
  • Se event.type è POST mappato metadata.event_type a NETWORK_HTTP.
  • Se event.type è PUT mappato metadata.event_type a NETWORK_HTTP.
  • Se event.type è DELETE mappato metadata.event_type a NETWORK_HTTP.
  • Se event.type è CONNECT mappato metadata.event_type a NETWORK_HTTP.
  • Se event.type è HEAD mappato metadata.event_type a NETWORK_HTTP.
  • Se event.type è Not Reported mappato metadata.event_type a STATUS_UNCATEGORIZED.
  • Se event.type è DNS Resolved mappato metadata.event_type a NETWORK_DNS.
  • Se event.type è DNS Unresolved mappato metadata.event_type a NETWORK_DNS.
  • Se event.type è Task Register mappato metadata.event_type a SCHEDULED_TASK_CREATION.
  • Se event.type è Task Update mappato metadata.event_type a SCHEDULED_TASK_MODIfICATION.
  • Se event.type è Task Start mappato metadata.event_type a SCHEDULED_TASK_UNCATEGORIZED.
  • Se event.type è Task Trigger mappato metadata.event_type a SCHEDULED_TASK_UNCATEGORIZED.
  • Se event.type è Task Delete mappato metadata.event_type a SCHEDULED_TASK_DELETION.
  • Se event.type è Registry Key Create mappato metadata.event_type a REGISTRY_CREATION.
  • Se event.type è Registry Key Rename mappato metadata.event_type a REGISTRY_MODIfICATION.
  • Se event.type è Registry Key Delete mappato metadata.event_type a REGISTRY_DELETION.
  • Se event.type è Registry Key Export mappato metadata.event_type a REGISTRY_UNCATEGORIZED.
  • Se event.type è Registry Key Security Changed mappato metadata.event_type a REGISTRY_MODIfICATION.
  • Se event.type è Registry Key Import mappato metadata.event_type a REGISTRY_CREATION.
  • Se event.type è Registry Value ModIfied mappato metadata.event_type a REGISTRY_MODIfICATION.
  • Se event.type è Registry Value Create mappato metadata.event_type a REGISTRY_CREATION.
  • Se event.type è Registry Value Delete mappato metadata.event_type a REGISTRY_DELETION.
  • Se event.type è Behavioral Indicators mappato metadata.event_type a SCAN_UNCATEGORIZED.
  • Se event.type è Module Load mappato metadata.event_type a PROCESS_MODULE_LOAD.
  • Se event.type è Threat Intelligence Indicators mappato metadata.event_type a SCAN_UNCATEGORIZED.
  • Se event.type è Named Pipe Creation mappato metadata.event_type a PROCESS_UNCATEGORIZED.
  • Se event.type è Named Pipe Connection mappato metadata.event_type a PROCESS_UNCATEGORIZED.
  • Se event.type è Driver Load mappato metadata.event_type a PROCESS_MODULE_LOAD.

2023-02-13

Miglioramento:

  • endpoint.os è stato mappato a principal.platform.
  • endpoint.name è stato mappato a target.hostname.
  • src.process.pid è stato mappato a principal.process.pid.
  • src.process.cmdline è stato mappato a principal.process.command_line.
  • src.process.image.path è stato mappato a principal.process.file.full_path.
  • src.process.image.sha1 è stato mappato a principal.process.file.sha1.
  • src.process.eUserUid è stato mappato a metadata.ingestion_labels.
  • src.process.lUserUid è stato mappato a metadata.ingestion_labels.
  • src.process.uid è stato mappato a principal.user.userid.
  • src.process.displayName è stato mappato a principal.user.user_display_name.
  • Sono stati mappati src.process.isRedirectCmdProcessor, src.process.isNative64Bit, src.process.isStorylineRoot, src.process.signedStatus, src.file.isSigned, src.process.subsystem, src.process.integrityLevel, src.process.tgtFileCreationCount, src.process.childProcCount, src.process.indicatorBootConfigurationUpdateCount, src.process.indicatorEvasionCount, src.process.indicatorExploitationCount, src.process.indicatorGeneralCount, src.process.indicatorInfostealerCount, src.process.moduleCount a principal.resource.attribute.labels.
  • src.process.image.md5 è stato mappato a principal.process.file.md5.
  • agent.uuid è stato mappato a principal.asset.asset_id.
  • agent.version è stato mappato a metadata.product_version.
  • site.id è stato mappato a principal.namespace.
  • site.name è stato mappato a principal.location.name.
  • trace.id è stato mappato a metadata.product_log_id.
  • dataSource.category è stato mappato a security_result.category_details.
  • packet.id è stato mappato a about.resource.attribute.labels.
  • mgmt.url, endpoint.type mappati a metadata.url_back_to_product.
  • tgt.process.image.sha1 è stato mappato a target.process.file.sha1.
  • tgt.process.image.path è stato mappato a target.process.file.full_path.
  • tgt.process.pid è stato mappato a target.process.pid.
  • tgt.process.uid è stato mappato a target.user.userid.
  • tgt.process.cmdline è stato mappato a target.process.command_line.
  • tgt.process.displayName è stato mappato a target.user.user_display_name.
  • tgt.process.image.md5 è stato mappato a target.process.file.md5.
  • src.process.parent.image.sha256 è stato mappato a principal.process.file.sha256.
  • tgt.process.image.sha256 è stato mappato a target.process.file.sha256.
  • tgt.process.sessionId è stato mappato a network.session_id.
  • tgt.process.storyline.id è stato mappato a target.process.product_specific_process_id.
  • Sono stati mappati tgt.process.isRedirectCmdProcessor, tgt.process.isNative64Bit, tgt.process.isStorylineRoot, tgt.process.signedStatus, tgt.file.isSigned, tgt.process.subsystem, tgt.process.integrityLevel, tgt.process.publisher a target.resource.attribute.labels.
  • prod_event_type è stato mappato a metadata.product_event_type.

2022-09-09

Miglioramento:

  • I log con event_type = null non sono stati eliminati.
  • Sono stati forniti controlli null per meta.os_version, meta.os_name, meta.uuid, meta.computer_name, meta.os_revision.
  • Le dimensioni di *.targetFile.hashes.sha1 e *.source.executable.hashes.sha1 sono state ridotte a 64 byte quando superano il limite di 64 byte.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.