SentinelOne Deep Visibility 로그 수집

다음에서 지원:

이 문서에서는 Cloud Funnel을 사용하여 로그를 Google Cloud Storage로 내보내고 SentinelOne Deep Visibility 로그를 Google Security Operations로 내보내는 방법을 설명합니다. 파서는 원시 JSON 형식의 보안 이벤트 로그를 UDM을 준수하는 구조화된 형식으로 변환합니다. 먼저 변수 집합을 초기화한 다음 이벤트 유형을 추출하고 JSON 페이로드를 파싱하여 관련 필드를 UDM 스키마에 매핑하는 동시에 Windows 이벤트 로그를 별도로 처리합니다.

시작하기 전에

  • Google SecOps 인스턴스가 있는지 확인합니다.
  • Google Cloud에 대한 권한이 있는지 확인합니다.
  • 환경에 SentinelOne Deep Visibility가 설정되어 있는지 확인합니다.
  • SentinelOne에 대한 권한이 있는지 확인합니다.

Google Cloud Storage 버킷 만들기

  1. Google Cloud 콘솔에 로그인합니다.

  2. Cloud Storage 버킷 페이지로 이동합니다.

    버킷으로 이동

  3. 만들기를 클릭합니다.

  4. 버킷 만들기 페이지에서 버킷 정보를 입력합니다. 다음 단계를 완료할 때마다 계속을 클릭하여 다음 단계로 진행합니다.

    1. 시작하기 섹션에서 다음을 수행합니다.

      1. 버킷 이름 요구사항을 충족하는 고유한 이름을 입력합니다(예: sentinelone-deepvisibility).

      2. 계층적 네임스페이스를 사용 설정하려면 펼치기 화살표를 클릭하여 파일 지향 및 데이터 집약적인 워크로드에 최적화 섹션을 펼친 다음 이 버킷에서 계층적 네임스페이스 사용 설정을 선택합니다.

      3. 버킷 라벨을 추가하려면 펼치기 화살표를 클릭하여 라벨 섹션을 펼칩니다.

      4. 라벨 추가를 클릭하고 라벨의 키와 값을 지정합니다.

    2. 데이터 저장 위치 선택 섹션에서 다음을 수행합니다.

      1. 위치 유형을 선택합니다.

      2. 위치 유형 메뉴를 사용하여 버킷 내 객체 데이터가 영구적으로 저장될 위치를 선택합니다.

      3. 버킷 간 복제를 설정하려면 버킷 간 복제 설정 섹션을 펼칩니다.

    3. 데이터의 스토리지 클래스 선택 섹션에서 버킷의 기본 스토리지 클래스를 선택하거나, 버킷 데이터의 자동 스토리지 클래스 관리에 자동 클래스를 선택합니다.

    4. 객체 액세스를 제어하는 방식 선택 섹션에서 아니요를 선택하여 공개 액세스 방지를 적용하고 버킷의 객체에 대한 액세스 제어 모델을 선택합니다.

    5. 객체 데이터 보호 방법 선택 섹션에서 다음을 수행합니다.

      1. 데이터 보호에서 버킷에 설정할 옵션을 선택합니다.
      2. 객체 데이터를 암호화하는 방법을 선택하려면 데이터 암호화라는 펼치기 화살표를 클릭하고 데이터 암호화 방법을 선택합니다.

  5. 만들기를 클릭합니다.

Google Cloud 서비스 계정 만들기

  1. IAM 및 관리자 > 서비스 계정으로 이동합니다.
  2. 새 서비스 계정 만들기
  3. 설명이 포함된 이름을 지정합니다(예: sentinelone-dv-logs).
  4. 이전 단계에서 만든 Cloud Storage 버킷에 대한 스토리지 객체 생성자 역할을 서비스 계정에 부여합니다.
  5. 서비스 계정의 SSH 키를 만듭니다.
  6. 서비스 계정의 JSON 키 파일을 다운로드합니다. 이 파일을 안전하게 보관하세요.

SentinelOne DeepVisibility에서 Cloud Funnel 구성

  1. SentinelOne DeepVisibility에 로그인합니다.
  2. 구성 > 정책 및 설정을 클릭합니다.
  3. Singularity Data Lake 섹션에서 Cloud Funnel을 클릭합니다.
  4. 다음 구성 세부정보를 제공합니다.
    • Cloud Provider(클라우드 제공업체): Google Cloud를 선택합니다.
    • 버킷 이름: SentinelOne DeepVisibility 로그 처리를 위해 만든 Cloud Storage 버킷의 이름을 입력합니다.
    • 원격 분석 스트리밍: 사용 설정을 선택합니다.
    • 쿼리 필터: Cloud Storage 버킷에 데이터를 전송해야 하는 상담사가 포함된 쿼리를 만듭니다.
    • 검증을 클릭합니다.
    • 포함할 필드: 모든 필드를 선택합니다.
  5. 저장을 클릭합니다.

SentinelOne Deep Visibility 로그를 수집하도록 Google SecOps에서 피드 구성

  1. SIEM 설정 > 피드로 이동합니다.
  2. 새로 추가를 클릭합니다.
  3. 피드 이름 필드에 피드 이름을 입력합니다(예: SentinelOne DV Logs).
  4. 소스 유형으로 Google Cloud Storage를 선택합니다.
  5. 로그 유형으로 SentinelOne Deep Visibility를 선택합니다.
  6. Chronicle 서비스 계정으로 서비스 계정 가져오기를 클릭합니다.
  7. 다음을 클릭합니다.

  8. 다음 입력 매개변수의 값을 지정합니다.

    • 스토리지 버킷 URI: gs://my-bucket/<value> 형식의 Google Cloud Storage 버킷 URL입니다.
    • URI Is A: 하위 디렉터리가 포함된 디렉터리를 선택합니다.

    • 소스 삭제 옵션: 원하는 삭제 옵션을 선택합니다.

    • 애셋 네임스페이스: 애셋 네임스페이스입니다.

    • 수집 라벨: 이 피드의 이벤트에 적용된 라벨입니다.

  9. 다음을 클릭합니다.

  10. 확정 화면에서 새 피드 구성을 검토한 다음 제출을 클릭합니다.

UDM 매핑 표

로그 필드 UDM 매핑 논리
AdapterName security_result.about.resource.attribute.labels.value 이 값은 원시 로그의 'AdapterName' 필드에서 가져옵니다.
AdapterSuffixName security_result.about.resource.attribute.labels.value 이 값은 원시 로그의 'AdapterSuffixName' 필드에서 가져옵니다.
agent_version read_only_udm.metadata.product_version 이 값은 원시 로그의 'meta.agent_version' 필드에서 가져옵니다.
채널 security_result.about.resource.attribute.labels.value 이 값은 원시 로그의 '채널' 필드에서 가져옵니다.
commandLine read_only_udm.principal.process.command_line 이 값은 원시 로그의 'event.Event...commandLine' 필드에서 가져옵니다. 여기서 은 특정 이벤트 유형입니다 (예: ProcessCreation, ProcessExit)이며 는 프로세스 정보 (예: 프로세스, 소스, 상위)가 포함된 필드입니다.
computer_name read_only_udm.principal.hostname 이 값은 원시 로그의 'meta.computer_name' 필드에서 가져옵니다.
destinationAddress.address read_only_udm.target.ip 이 값은 원시 로그의 'event.Event.Tcpv4.destinationAddress.address' 필드에서 가져옵니다.
destinationAddress.port read_only_udm.target.port 이 값은 원시 로그의 'event.Event.Tcpv4.destinationAddress.port' 필드에서 가져옵니다.
DnsServerList read_only_udm.principal.ip 이 값은 원시 로그의 'DnsServerList' 필드에서 가져옵니다.
ErrorCode_new security_result.detection_fields.value 이 값은 원시 로그의 'ErrorCode_new' 필드에서 가져옵니다.
EventID security_result.about.resource.attribute.labels.value 이 값은 원시 로그의 'EventID' 필드에서 가져옵니다.
event.Event.Dns.query read_only_udm.network.dns.questions.name 이 값은 원시 로그의 'event.Event.Dns.query' 필드에서 가져옵니다.
event.Event.Dns.results read_only_udm.network.dns.answers.data 이 값은 원시 로그의 'event.Event.Dns.results' 필드에서 가져옵니다.
event.Event.Dns.source.fullPid.pid read_only_udm.principal.process.pid 이 값은 원시 로그의 'event.Event.Dns.source.fullPid.pid' 필드에서 가져옵니다.
event.Event.Dns.source.user.name read_only_udm.principal.user.userid 이 값은 원시 로그의 'event.Event.Dns.source.user.name' 필드에서 가져옵니다.
event.Event.FileCreation.source.fullPid.pid read_only_udm.principal.process.pid 이 값은 원시 로그의 'event.Event.FileCreation.source.fullPid.pid' 필드에서 가져옵니다.
event.Event.FileCreation.source.user.name read_only_udm.principal.user.userid 이 값은 원시 로그의 'event.Event.FileCreation.source.user.name' 필드에서 가져옵니다.
event.Event.FileCreation.targetFile.path read_only_udm.target.file.full_path 이 값은 원시 로그의 'event.Event.FileCreation.targetFile.path' 필드에서 가져옵니다.
event.Event.FileDeletion.source.fullPid.pid read_only_udm.principal.process.pid 이 값은 원시 로그의 'event.Event.FileDeletion.source.fullPid.pid' 필드에서 가져옵니다.
event.Event.FileDeletion.source.user.name read_only_udm.principal.user.userid 이 값은 원시 로그의 'event.Event.FileDeletion.source.user.name' 필드에서 가져옵니다.
event.Event.FileDeletion.targetFile.path read_only_udm.target.file.full_path 이 값은 원시 로그의 'event.Event.FileDeletion.targetFile.path' 필드에서 가져옵니다.
event.Event.FileModification.file.path read_only_udm.target.file.full_path 이 값은 원시 로그의 'event.Event.FileModification.file.path' 필드에서 가져옵니다.
event.Event.FileModification.source.user.name read_only_udm.principal.user.userid 이 값은 원시 로그의 'event.Event.FileModification.source.user.name' 필드에서 가져옵니다.
event.Event.FileModification.targetFile.path read_only_udm.target.file.full_path 이 값은 원시 로그의 'event.Event.FileModification.targetFile.path' 필드에서 가져옵니다.
event.Event.Http.source.user.name read_only_udm.principal.user.userid 이 값은 원시 로그의 'event.Event.Http.source.user.name' 필드에서 가져옵니다.
event.Event.Http.url read_only_udm.target.url 값은 원시 로그의 'event.Event.Http.url' 필드에서 가져옵니다.
event.Event.ProcessCreation.process.user.name read_only_udm.principal.user.userid 이 값은 원시 로그의 'event.Event.ProcessCreation.process.user.name' 필드에서 가져옵니다.
event.Event.ProcessCreation.source.user.name read_only_udm.principal.user.userid 이 값은 원시 로그의 'event.Event.ProcessCreation.source.user.name' 필드에서 가져옵니다.
event.Event.ProcessExit.source.user.name read_only_udm.principal.user.userid 이 값은 원시 로그의 'event.Event.ProcessExit.source.user.name' 필드에서 가져옵니다.
event.Event.ProcessTermination.source.user.name read_only_udm.principal.user.userid 이 값은 원시 로그의 'event.Event.ProcessTermination.source.user.name' 필드에서 가져옵니다.
event.Event.RegKeyCreate.source.fullPid.pid read_only_udm.principal.process.pid 이 값은 원시 로그의 'event.Event.RegKeyCreate.source.fullPid.pid' 필드에서 가져옵니다.
event.Event.RegKeyCreate.source.user.name read_only_udm.principal.user.userid 이 값은 원시 로그의 'event.Event.RegKeyCreate.source.user.name' 필드에서 가져옵니다.
event.Event.RegKeyDelete.source.user.name read_only_udm.principal.user.userid 이 값은 원시 로그의 'event.Event.RegKeyDelete.source.user.name' 필드에서 가져옵니다.
event.Event.RegValueModified.source.user.name read_only_udm.principal.user.userid 값은 원시 로그의 'event.Event.RegValueModified.source.user.name' 필드에서 가져옵니다.
event.Event.SchedTaskDelete.source.user.name read_only_udm.principal.user.userid 이 값은 원시 로그의 'event.Event.SchedTaskDelete.source.user.name' 필드에서 가져옵니다.
event.Event.SchedTaskRegister.source.user.name read_only_udm.principal.user.userid 이 값은 원시 로그의 'event.Event.SchedTaskRegister.source.user.name' 필드에서 가져옵니다.
event.Event.SchedTaskStart.source.user.name read_only_udm.principal.user.userid 이 값은 원시 로그의 'event.Event.SchedTaskStart.source.user.name' 필드에서 가져옵니다.
event.Event.SchedTaskTrigger.source.fullPid.pid read_only_udm.principal.process.pid 이 값은 원시 로그의 'event.Event.SchedTaskTrigger.source.fullPid.pid' 필드에서 가져옵니다.
event.Event.SchedTaskTrigger.source.user.name read_only_udm.principal.user.userid 이 값은 원시 로그의 'event.Event.SchedTaskTrigger.source.user.name' 필드에서 가져옵니다.
event.Event.Tcpv4.source.fullPid.pid read_only_udm.principal.process.pid 이 값은 원시 로그의 'event.Event.Tcpv4.source.fullPid.pid' 필드에서 가져옵니다.
event.Event.Tcpv4.source.user.name read_only_udm.principal.user.userid 이 값은 원시 로그의 'event.Event.Tcpv4.source.user.name' 필드에서 가져옵니다.
event.Event.Tcpv4Listen.local.address read_only_udm.principal.ip 이 값은 원시 로그의 'event.Event.Tcpv4Listen.local.address' 필드에서 가져옵니다.
event.timestamp.millisecondsSinceEpoch read_only_udm.metadata.event_timestamp.seconds 이 값은 원시 로그의 'event.timestamp.millisecondsSinceEpoch' 필드에서 가져와 초로 변환됩니다.
event.timestamp.millisecondsSinceEpoch read_only_udm.metadata.event_timestamp.nanos 이 값은 원시 로그의 'event.timestamp.millisecondsSinceEpoch' 필드에서 가져와 나노초로 변환됩니다.
event.timestamp.millisecondsSinceEpoch security_result.about.resource.attribute.labels.value 이 값은 원시 로그의 'event.timestamp.millisecondsSinceEpoch' 필드에서 가져와 security_result.about.resource.attribute.labels 배열의 라벨 값으로 사용됩니다.
event_type read_only_udm.metadata.product_event_type 이 값은 Grok 패턴을 사용하여 원시 로그의 'message' 필드에서 추출됩니다.
executable.hashes.md5 read_only_udm.principal.process.file.md5 이 값은 원시 로그의 'event.Event...executable.hashes.md5' 필드에서 가져옵니다. 여기서 는 특정 이벤트 유형 (예: ProcessCreation, ProcessExit)이며 는 프로세스 정보 (예: 프로세스, 소스, 상위)가 포함된 필드입니다.
executable.hashes.sha1 read_only_udm.principal.process.file.sha1 이 값은 원시 로그의 'event.Event...executable.hashes.sha1' 필드에서 가져옵니다. 여기서 은 특정 이벤트 유형 (예: ProcessCreation, ProcessExit)이며 는 프로세스 정보 (예: 프로세스, 소스, 상위)가 포함된 필드입니다.
executable.hashes.sha256 read_only_udm.principal.process.file.sha256 이 값은 원시 로그의 'event.Event...executable.hashes.sha256' 필드에서 가져옵니다. 여기서 은 특정 이벤트 유형 (예: ProcessCreation, ProcessExit)이며 는 프로세스 정보 (예: 프로세스, 소스, 상위)가 포함된 필드입니다.
executable.path read_only_udm.principal.process.file.full_path 이 값은 원시 로그의 'event.Event...executable.path' 필드에서 가져옵니다. 여기서 는 특정 이벤트 유형 (예: ProcessCreation, ProcessExit)이며 는 프로세스 정보 (예: 프로세스, 소스, 상위)가 포함된 필드입니다.
executable.sizeBytes read_only_udm.principal.process.file.size 이 값은 원시 로그의 'event.Event...executable.sizeBytes' 필드에서 가져옵니다. 여기서 는 특정 이벤트 유형 (예: ProcessCreation, ProcessExit)이며 는 프로세스 정보 (예: 프로세스, 소스, 상위)가 포함된 필드입니다.
fullPid.pid read_only_udm.principal.process.pid 이 값은 원시 로그의 'event.Event...fullPid.pid' 필드에서 가져옵니다. 여기서 는 특정 이벤트 유형 (예: ProcessCreation, ProcessExit)이며 는 프로세스 정보 (예: 프로세스, 소스, 상위)가 포함된 필드입니다.
hashes.md5 read_only_udm.target.file.md5 이 값은 원시 로그의 'event.Event.ProcessCreation.hashes.md5' 필드에서 가져옵니다.
hashes.sha1 read_only_udm.target.file.sha1 이 값은 원시 로그의 'event.Event.ProcessCreation.hashes.sha1' 필드에서 가져옵니다.
hashes.sha256 read_only_udm.target.file.sha256 이 값은 원시 로그의 'event.Event.ProcessCreation.hashes.sha256' 필드에서 가져옵니다.
IpAddress read_only_udm.target.ip 이 값은 원시 로그의 'IpAddress' 필드에서 가져옵니다.
local.address read_only_udm.principal.ip 이 값은 원시 로그의 'event.Event.Tcpv4Listen.local.address' 필드에서 가져옵니다.
local.port read_only_udm.principal.port 이 값은 원시 로그의 'event.Event.Tcpv4Listen.local.port' 필드에서 가져옵니다.
log_type read_only_udm.metadata.log_type 이 값은 원시 로그의 'log_type' 필드에서 가져옵니다.
meta.agent_version read_only_udm.metadata.product_version 이 값은 원시 로그의 'meta.agent_version' 필드에서 가져옵니다.
meta.computer_name read_only_udm.principal.hostname 이 값은 원시 로그의 'meta.computer_name' 필드에서 가져옵니다.
meta.os_family read_only_udm.principal.platform 이 값은 원시 로그의 'meta.os_family' 필드에서 가져와 해당 플랫폼 (예: windows: Windows, osx: Mac, linux: Linux)
meta.os_name read_only_udm.principal.platform_version 이 값은 원시 로그의 'meta.os_name' 필드에서 가져옵니다.
meta.os_revision read_only_udm.principal.platform_patch_level 이 값은 원시 로그의 'meta.os_revision' 필드에서 가져옵니다.
meta.uuid read_only_udm.principal.asset_id 이 값은 원시 로그의 'meta.uuid' 필드에서 가져와 SENTINELONE:로 접두사가 추가됩니다.
name read_only_udm.principal.application 이 값은 원시 로그의 'event.Event...name' 필드에서 가져옵니다. 여기서 은 특정 이벤트 유형입니다 (예: ProcessCreation, ProcessExit)이며 는 프로세스 정보 (예: 프로세스, 소스, 상위)가 포함된 필드입니다.
parent.executable.hashes.md5 read_only_udm.target.process.parent_process.file.md5 이 값은 원시 로그의 'event.Event..parent.executable.hashes.md5' 필드에서 가져옵니다. 여기서 는 특정 이벤트 유형입니다 (예: ProcessCreation, ProcessExit).
parent.executable.hashes.sha1 read_only_udm.target.process.parent_process.file.sha1 이 값은 원시 로그의 'event.Event..parent.executable.hashes.sha1' 필드에서 가져옵니다. 여기서 은 특정 이벤트 유형입니다 (예: ProcessCreation, ProcessExit).
parent.executable.hashes.sha256 read_only_udm.target.process.parent_process.file.sha256 이 값은 원시 로그의 'event.Event..parent.executable.hashes.sha256' 필드에서 가져옵니다. 여기서 은 특정 이벤트 유형입니다 (예: ProcessCreation, ProcessExit).
parent.executable.path read_only_udm.target.process.parent_process.file.full_path 이 값은 원시 로그의 'event.Event..parent.executable.path' 필드에서 가져옵니다. 여기서 는 특정 이벤트 유형입니다 (예: ProcessCreation, ProcessExit).
parent.fullPid.pid read_only_udm.target.process.parent_process.pid 이 값은 원시 로그의 'event.Event..parent.fullPid.pid' 필드에서 가져옵니다. 여기서 는 특정 이벤트 유형입니다 (예: ProcessCreation, ProcessExit).
경로 read_only_udm.principal.process.file.full_path 이 값은 원시 로그의 'event.Event...path' 필드에서 가져옵니다. 여기서 는 특정 이벤트 유형 (예: ProcessCreation, ProcessExit)이며 는 프로세스 정보 (예: 프로세스, 소스, 상위)가 포함된 필드입니다.
process.commandLine read_only_udm.target.process.command_line 이 값은 원시 로그의 'event.Event.ProcessCreation.process.commandLine' 필드에서 가져옵니다.
process.fullPid.pid read_only_udm.target.process.pid 이 값은 원시 로그의 'event.Event.ProcessCreation.process.fullPid.pid' 필드에서 가져옵니다.
process.parent.fullPid.pid read_only_udm.target.process.parent_process.pid 이 값은 원시 로그의 'event.Event.ProcessCreation.process.parent.fullPid.pid' 필드에서 가져옵니다.
ProviderGuid security_result.about.resource.attribute.labels.value 이 값은 원시 로그의 'ProviderGuid' 필드에서 중괄호를 삭제한 값입니다.
query read_only_udm.network.dns.questions.name 이 값은 원시 로그의 'event.Event.Dns.query' 필드에서 가져옵니다.
RecordNumber security_result.about.resource.attribute.labels.value 이 값은 원시 로그의 'RecordNumber' 필드에서 가져옵니다.
regKey.path read_only_udm.target.registry.registry_key 이 값은 원시 로그의 'event.Event.RegKeyCreate.regKey.path' 또는 'event.Event.RegKeyDelete.regKey.path' 필드에서 가져옵니다.
regValue.path read_only_udm.target.registry.registry_key 이 값은 원시 로그의 'event.Event.RegValueDelete.regValue.path' 또는 'event.Event.RegValueModified.regValue.path' 필드에서 가져옵니다.
결과 read_only_udm.network.dns.answers.data 이 값은 원시 로그의 'event.Event.Dns.results' 필드에서 가져옵니다.
UpdateServer 전송됨 intermediary.hostname 이 값은 원시 로그의 'Sent UpdateServer' 필드에서 가져옵니다.
seq_id 이 필드는 UDM에 직접 매핑되지 않습니다.
signature.Status.Signed.identity 이 필드는 UDM에 직접 매핑되지 않습니다.
sizeBytes read_only_udm.principal.process.file.size 이 값은 원시 로그의 'event.Event...sizeBytes' 필드에서 가져옵니다. 여기서 는 특정 이벤트 유형입니다 (예: ProcessCreation, ProcessExit)이며 는 프로세스 정보 (예: 프로세스, 소스, 상위)가 포함된 필드입니다.
sourceAddress.address read_only_udm.principal.ip 이 값은 원시 로그의 'event.Event.Tcpv4.sourceAddress.address' 필드에서 가져옵니다.
sourceAddress.port read_only_udm.principal.port 이 값은 원시 로그의 'event.Event.Tcpv4.sourceAddress.port' 필드에서 가져옵니다.
SourceName security_result.about.resource.attribute.labels.value 이 값은 원시 로그의 'SourceName' 필드에서 가져옵니다.
상태 이 필드는 UDM에 직접 매핑되지 않습니다.
taskName read_only_udm.target.resource.name 이 값은 원시 로그의 'event.Event.SchedTaskStart.taskName', 'event.Event.SchedTaskTrigger.taskName' 또는 'event.Event.SchedTaskDelete.taskName' 필드에서 가져옵니다.
targetFile.hashes.md5 read_only_udm.target.file.md5 이 값은 원시 로그의 'event.Event.FileDeletion.targetFile.hashes.md5' 또는 'event.Event.SchedTaskStart.targetFile.hashes.md5' 필드에서 가져옵니다.
targetFile.hashes.sha1 read_only_udm.target.file.sha1 값은 원시 로그의 'event.Event.FileDeletion.targetFile.hashes.sha1' 또는 'event.Event.SchedTaskStart.targetFile.hashes.sha1' 필드에서 가져옵니다.
targetFile.hashes.sha256 read_only_udm.target.file.sha256 이 값은 원시 로그의 'event.Event.FileDeletion.targetFile.hashes.sha256' 또는 'event.Event.SchedTaskStart.targetFile.hashes.sha256' 필드에서 가져옵니다.
targetFile.path read_only_udm.target.file.full_path 값은 원시 로그의 'event.Event.FileDeletion.targetFile.path' 또는 'event.Event.SchedTaskStart.targetFile.path' 필드에서 가져옵니다.
작업 security_result.about.resource.attribute.labels.value 이 값은 원시 로그의 'Task' 필드에서 가져옵니다.
timestamp.millisecondsSinceEpoch read_only_udm.metadata.event_timestamp.seconds 이 값은 원시 로그의 'event.timestamp.millisecondsSinceEpoch' 필드에서 가져와 초로 변환됩니다.
timestamp.millisecondsSinceEpoch read_only_udm.metadata.event_timestamp.nanos 이 값은 원시 로그의 'event.timestamp.millisecondsSinceEpoch' 필드에서 가져와 나노초로 변환됩니다.
trace_id 이 필드는 UDM에 직접 매핑되지 않습니다.
triggerType 이 필드는 UDM에 직접 매핑되지 않습니다.
trueContext 이 필드는 UDM에 직접 매핑되지 않습니다.
trueContext.key 이 필드는 UDM에 직접 매핑되지 않습니다.
trueContext.key.value 이 필드는 UDM에 직접 매핑되지 않습니다.
유형 read_only_udm.network.dns.answers.type 이 값은 원시 로그의 'event.Event.Dns.results' 필드에서 가져와 정규 표현식을 사용하여 추출됩니다.
url read_only_udm.target.url 값은 원시 로그의 'event.Event.Http.url' 필드에서 가져옵니다.
user.name read_only_udm.principal.user.userid 이 값은 원시 로그의 'event.Event...user.name' 필드에서 가져옵니다. 여기서 은 특정 이벤트 유형입니다 (예: ProcessCreation, ProcessExit)이며 는 프로세스 정보 (예: 프로세스, 소스, 상위)가 포함된 필드입니다.
user.sid read_only_udm.principal.user.windows_sid 이 값은 원시 로그의 'event.Event...user.sid' 필드에서 가져옵니다. 여기서 는 특정 이벤트 유형 (예: ProcessCreation, ProcessExit)이며 는 프로세스 정보 (예: 프로세스, 소스, 상위)가 포함된 필드입니다.
UserID read_only_udm.target.user.windows_sid 이 값은 Windows SID 패턴과 일치하는 경우에만 원시 로그의 'UserID' 필드에서 가져옵니다.
UserSid read_only_udm.target.user.windows_sid 이 값은 Windows SID 패턴과 일치하는 경우에만 원시 로그의 'UserSid' 필드에서 가져옵니다.
valueType 이 필드는 UDM에 직접 매핑되지 않습니다.
winEventLog.channel security_result.about.resource.attribute.labels.value 이 값은 원시 로그의 'winEventLog.channel' 필드에서 가져옵니다.
winEventLog.description 이 필드는 UDM에 직접 매핑되지 않습니다.
winEventLog.id security_result.about.resource.attribute.labels.value 이 값은 원시 로그의 'winEventLog.id' 필드에서 가져옵니다.
winEventLog.level security_result.severity 이 값은 원시 로그의 'winEventLog.level' 필드에서 가져와 해당하는 심각도 수준 (예: Warning~중간).
winEventLog.providerName security_result.about.resource.attribute.labels.value 이 값은 원시 로그의 'winEventLog.providerName' 필드에서 가져옵니다.
winEventLog.xml 이 필드는 UDM에 직접 매핑되지 않습니다.
read_only_udm.metadata.event_type 값은 'event_type' 필드를 기반으로 결정되고 해당하는 UDM 이벤트 유형에 매핑됩니다.
read_only_udm.metadata.vendor_name 값은 SentinelOne로 설정됩니다.
read_only_udm.metadata.product_name 값은 Deep Visibility로 설정됩니다.
read_only_udm.metadata.product_log_id 이 값은 'meta.event.name'이 PROCESSCREATION인 이벤트에 대해서만 원시 로그의 'trace.id' 필드에서 가져옵니다.
read_only_udm.metadata.product_deployment_id 이 값은 'meta.event.name'이 PROCESSCREATION인 이벤트에 대해서만 원시 로그의 'account.id' 필드에서 가져옵니다.
read_only_udm.metadata.url_back_to_product 이 값은 'meta.event.name'이 PROCESSCREATION인 이벤트에 대해서만 원시 로그의 'mgmt.url' 필드에서 가져옵니다.
read_only_udm.metadata.ingestion_labels.key 'meta.event.name'이 PROCESSCREATION인 이벤트의 경우 값이 Process eUserUid 또는 Process lUserUid로 설정됩니다.
read_only_udm.metadata.ingestion_labels.value 이 값은 'meta.event.name'이 PROCESSCREATION인 이벤트에 대해서만 원시 로그의 'src.process.eUserUid' 또는 'src.process.lUserUid' 필드에서 가져옵니다.
read_only_udm.principal.administrative_domain 원시 로그의 'event.Event...user.name' 필드의 도메인 부분입니다. 여기서 은 특정 이벤트 유형입니다 (예: ProcessCreation, ProcessExit)이며 는 프로세스 정보 (예: 프로세스, 소스, 상위)가 포함된 필드입니다.
read_only_udm.target.process.parent_process.command_line 이 값은 원시 로그의 'event.Event..parent.commandLine' 필드에서 가져옵니다. 여기서 은 특정 이벤트 유형입니다 (예: ProcessCreation, ProcessExit).
read_only_udm.target.file 'event_type'이 FileCreation, FileDeletion, FileModification, SchedTaskStart 또는 ProcessCreation가 아닌 경우 빈 객체가 생성됩니다.
read_only_udm.network.ip_protocol 'event_type'이 Tcpv4, Tcpv4Listen 또는 Http인 이벤트의 경우 값이 TCP로 설정됩니다.
read_only_udm.network.application_protocol 'event_type'이 Dns인 이벤트의 경우 값이 DNS로 설정됩니다.
read_only_udm.target.resource.type 'event_type'이 SchedTaskStart, SchedTaskTrigger 또는 SchedTaskDelete인 이벤트의 경우 값이 TASK로 설정됩니다.
read_only_udm.target.resource.resource_type 'event_type'이 SchedTaskStart, SchedTaskTrigger 또는 SchedTaskDelete인 이벤트의 경우 값이 TASK로 설정됩니다.
read_only_udm.principal.process.product_specific_process_id 원시 로그에 'ExecutionThreadID' 필드가 있는 경우 값은 ExecutionThreadID:<ExecutionThreadID>로 설정됩니다.
read_only_udm.principal.asset.asset_id 원시 로그에 'agent.uuid' 필드가 있으면 값이 Device ID:<agent.uuid>로 설정됩니다.
read_only_udm.principal.namespace 이 값은 'meta.event.name'이 PROCESSCREATION인 이벤트에 대해서만 원시 로그의 'site.id' 필드에서 가져옵니다.
read_only_udm.principal.location.name 이 값은 'meta.event.name'이 PROCESSCREATION인 이벤트에 대해서만 원시 로그의 'site.name' 필드에서 가져옵니다.
read_only_udm.principal.resource.attribute.labels.key 'meta.event.name'이 PROCESSCREATION인 이벤트의 경우 값은 src.process.displayName, src.process.uid, isRedirectCmdProcessor, isNative64Bit, isStorylineRoot, signedStatus, src process subsystem, src process integrityLevel 또는 childProcCount로 설정됩니다.
read_only_udm.principal.resource.attribute.labels.value 이 값은 'meta.event.name'이 PROCESSCREATION인 이벤트에 대해서만 원시 로그의 해당 필드에서 가져옵니다.
read_only_udm.target.user.userid 이 값은 'meta.event.name'이 PROCESSCREATION인 이벤트에 대해서만 원시 로그의 'tgt.process.uid' 필드에서 가져옵니다.
read_only_udm.target.user.user_display_name 이 값은 'meta.event.name'이 PROCESSCREATION인 이벤트에 대해서만 원시 로그의 'tgt.process.displayName' 필드에서 가져옵니다.
read_only_udm.target.resource.attribute.labels.key 'meta.event.name'이 PROCESSCREATION인 이벤트의 경우 값이 isRedirectCmdProcessor, isNative64Bit, isStorylineRoot, signedStatus, file_isSigned, tgt process subsystem 또는 tgt process integrityLevel로 설정됩니다.
read_only_udm.target.resource.attribute.labels.value 이 값은 'meta.event.name'이 PROCESSCREATION인 이벤트에 대해서만 원시 로그의 해당 필드에서 가져옵니다.
read_only_udm.security_result.about.resource.attribute.labels.key 'meta.event.name'이 PROCESSCREATION인 이벤트의 경우 값은 tgt.process.storyline.id, endpoint_type, packet_id, src.process.storyline.id 또는 src.process.parent.storyline.id로 설정됩니다.
read_only_udm.security_result.about.resource.attribute.labels.value 값은 원시 로그의 해당 필드에서 가져와 'meta.event.name'이 PROCESSCREATION인 이벤트의 경우만 스토리라인 ID 앞에 ID:이 추가됩니다.
read_only_udm.security_result.category_details 'meta.event.name'이 PROCESSCREATION인 이벤트의 경우 값이 security로 설정됩니다.
read_only_udm.target.asset.product_object_id 이 값은 'meta.event.name'이 EVENTLOG인 이벤트에 대해서만 원시 로그의 'AdapterName' 필드에서 가져옵니다.
security_result.about.resource.attribute.labels.key 'meta.event.name'이 EVENTLOG인 이벤트의 경우 값은 TimeCreated SystemTime, EventID, Task, Channel, ProviderGuid, RecordNumber, SourceName, endpoint_type 또는 packet_id로 설정됩니다.
security_result.detection_fields.key 'meta.event.name'이 EVENTLOG이고 'ActivityID' 필드가 비어 있지 않은 이벤트의 경우 값이 Activity ID로 설정됩니다.
security_result.detection_fields.value 이 값은 'meta.event.name'이 EVENTLOG이고 'ActivityID' 필드가 비어 있지 않은 이벤트에 대해서만 원시 로그의 'ActivityID' 필드에서 가져옵니다.

변경사항

2023-09-06

개선사항:

  • tgt.process.storyline.id의 매핑을 target.process.product_specific_process_id에서 security_result.about.resource.attribute.labels로 수정했습니다.
  • src.process.storyline.id의 매핑을 principal.process.product_specific_process_id에서 security_result.about.resource.attribute.labels로 수정했습니다.
  • src.process.parent.storyline.id의 매핑을 principal.parent.process.product_specific_process_id에서 security_result.about.resource.attribute.labels로 수정했습니다.

2023-07-31

개선사항:

  • XML 데이터가 포함된 로그를 처리했습니다.

2023-04-09

개선사항:

  • event.typeProcess Creation인 경우 metadata.event_typePROCESS_LAUNCH에 매핑합니다.
  • event.typeDuplicate Process Handle인 경우 metadata.event_typePROCESS_OPEN에 매핑합니다.
  • event.typeDuplicate Thread Handle인 경우 metadata.event_typePROCESS_OPEN에 매핑합니다.
  • event.typeOpen Remote Process Handle인 경우 metadata.event_typePROCESS_OPEN에 매핑합니다.
  • event.typeRemote Thread Creation인 경우 metadata.event_typePROCESS_LAUNCH에 매핑합니다.
  • event.typeCommand Script인 경우 metadata.event_typeFILE_UNCATEGORIZED에 매핑합니다.
  • event.typeIP Connect인 경우 metadata.event_typeNETWORK_CONNECTION에 매핑합니다.
  • event.typeIP Listen인 경우 metadata.event_typeNETWORK_UNCATEGORIZED에 매핑합니다.
  • event.typeFile ModIfication인 경우 metadata.event_typeFILE_MODIfICATION에 매핑합니다.
  • event.typeFile Creation인 경우 metadata.event_typeFILE_CREATION에 매핑합니다.
  • event.typeFile Scan인 경우 metadata.event_typeFILE_UNCATEGORIZED에 매핑합니다.
  • event.typeFile Deletion인 경우 metadata.event_typeFILE_DELETION에 매핑합니다.
  • event.typeFile Rename인 경우 metadata.event_typeFILE_MODIfICATION에 매핑합니다.
  • event.typePre Execution Detection인 경우 metadata.event_typeFILE_UNCATEGORIZED에 매핑합니다.
  • event.typeLogin인 경우 metadata.event_typeUSER_LOGIN에 매핑합니다.
  • event.typeLogout인 경우 metadata.event_typeUSER_LOGOUT에 매핑합니다.
  • event.typeGET인 경우 metadata.event_typeNETWORK_HTTP에 매핑합니다.
  • event.typeOPTIONS인 경우 metadata.event_typeNETWORK_HTTP에 매핑합니다.
  • event.typePOST인 경우 metadata.event_typeNETWORK_HTTP에 매핑합니다.
  • event.typePUT인 경우 metadata.event_typeNETWORK_HTTP에 매핑합니다.
  • event.typeDELETE인 경우 metadata.event_typeNETWORK_HTTP에 매핑합니다.
  • event.typeCONNECT인 경우 metadata.event_typeNETWORK_HTTP에 매핑합니다.
  • event.typeHEAD인 경우 metadata.event_typeNETWORK_HTTP에 매핑합니다.
  • event.typeNot Reported인 경우 metadata.event_typeSTATUS_UNCATEGORIZED에 매핑합니다.
  • event.typeDNS Resolved인 경우 metadata.event_typeNETWORK_DNS에 매핑합니다.
  • event.typeDNS Unresolved인 경우 metadata.event_typeNETWORK_DNS에 매핑합니다.
  • event.typeTask Register인 경우 metadata.event_typeSCHEDULED_TASK_CREATION에 매핑합니다.
  • event.typeTask Update인 경우 metadata.event_typeSCHEDULED_TASK_MODIfICATION에 매핑합니다.
  • event.typeTask Start인 경우 metadata.event_typeSCHEDULED_TASK_UNCATEGORIZED에 매핑합니다.
  • event.typeTask Trigger인 경우 metadata.event_typeSCHEDULED_TASK_UNCATEGORIZED에 매핑합니다.
  • event.typeTask Delete인 경우 metadata.event_typeSCHEDULED_TASK_DELETION에 매핑합니다.
  • event.typeRegistry Key Create인 경우 metadata.event_typeREGISTRY_CREATION에 매핑합니다.
  • event.typeRegistry Key Rename인 경우 metadata.event_typeREGISTRY_MODIfICATION에 매핑합니다.
  • event.typeRegistry Key Delete인 경우 metadata.event_typeREGISTRY_DELETION에 매핑합니다.
  • event.typeRegistry Key Export인 경우 metadata.event_typeREGISTRY_UNCATEGORIZED에 매핑합니다.
  • event.typeRegistry Key Security Changed인 경우 metadata.event_typeREGISTRY_MODIfICATION에 매핑합니다.
  • event.typeRegistry Key Import인 경우 metadata.event_typeREGISTRY_CREATION에 매핑합니다.
  • event.typeRegistry Value ModIfied인 경우 metadata.event_typeREGISTRY_MODIfICATION에 매핑합니다.
  • event.typeRegistry Value Create인 경우 metadata.event_typeREGISTRY_CREATION에 매핑합니다.
  • event.typeRegistry Value Delete인 경우 metadata.event_typeREGISTRY_DELETION에 매핑합니다.
  • event.typeBehavioral Indicators인 경우 metadata.event_typeSCAN_UNCATEGORIZED에 매핑합니다.
  • event.typeModule Load인 경우 metadata.event_typePROCESS_MODULE_LOAD에 매핑합니다.
  • event.typeThreat Intelligence Indicators인 경우 metadata.event_typeSCAN_UNCATEGORIZED에 매핑합니다.
  • event.typeNamed Pipe Creation인 경우 metadata.event_typePROCESS_UNCATEGORIZED에 매핑합니다.
  • event.typeNamed Pipe Connection인 경우 metadata.event_typePROCESS_UNCATEGORIZED에 매핑합니다.
  • event.typeDriver Load인 경우 metadata.event_typePROCESS_MODULE_LOAD에 매핑합니다.

2023-02-13

개선사항:

  • endpoint.osprincipal.platform에 매핑했습니다.
  • endpoint.nametarget.hostname에 매핑했습니다.
  • src.process.pidprincipal.process.pid에 매핑했습니다.
  • src.process.cmdlineprincipal.process.command_line에 매핑했습니다.
  • src.process.image.pathprincipal.process.file.full_path에 매핑했습니다.
  • src.process.image.sha1principal.process.file.sha1에 매핑했습니다.
  • src.process.eUserUidmetadata.ingestion_labels에 매핑했습니다.
  • src.process.lUserUidmetadata.ingestion_labels에 매핑했습니다.
  • src.process.uidprincipal.user.userid에 매핑했습니다.
  • src.process.displayNameprincipal.user.user_display_name에 매핑했습니다.
  • src.process.isRedirectCmdProcessor, src.process.isNative64Bit, src.process.isStorylineRoot, src.process.signedStatus, src.file.isSigned, src.process.subsystem, src.process.integrityLevel, src.process.tgtFileCreationCount, src.process.childProcCount, src.process.indicatorBootConfigurationUpdateCount, src.process.indicatorEvasionCount, src.process.indicatorExploitationCount, src.process.indicatorGeneralCount, src.process.indicatorInfostealerCount, src.process.moduleCountprincipal.resource.attribute.labels에 매핑했습니다.
  • src.process.image.md5principal.process.file.md5에 매핑했습니다.
  • agent.uuidprincipal.asset.asset_id에 매핑했습니다.
  • agent.versionmetadata.product_version에 매핑했습니다.
  • site.idprincipal.namespace에 매핑했습니다.
  • site.nameprincipal.location.name에 매핑했습니다.
  • trace.idmetadata.product_log_id에 매핑했습니다.
  • dataSource.categorysecurity_result.category_details에 매핑했습니다.
  • packet.idabout.resource.attribute.labels에 매핑했습니다.
  • mgmt.url, endpoint.typemetadata.url_back_to_product에 매핑했습니다.
  • tgt.process.image.sha1target.process.file.sha1에 매핑했습니다.
  • tgt.process.image.pathtarget.process.file.full_path에 매핑했습니다.
  • tgt.process.pidtarget.process.pid에 매핑했습니다.
  • tgt.process.uidtarget.user.userid에 매핑했습니다.
  • tgt.process.cmdlinetarget.process.command_line에 매핑했습니다.
  • tgt.process.displayNametarget.user.user_display_name에 매핑했습니다.
  • tgt.process.image.md5target.process.file.md5에 매핑했습니다.
  • src.process.parent.image.sha256principal.process.file.sha256에 매핑했습니다.
  • tgt.process.image.sha256target.process.file.sha256에 매핑했습니다.
  • tgt.process.sessionIdnetwork.session_id에 매핑했습니다.
  • tgt.process.storyline.idtarget.process.product_specific_process_id에 매핑했습니다.
  • tgt.process.isRedirectCmdProcessor, tgt.process.isNative64Bit, tgt.process.isStorylineRoot, tgt.process.signedStatus, tgt.file.isSigned, tgt.process.subsystem, tgt.process.integrityLevel, tgt.process.publishertarget.resource.attribute.labels에 매핑했습니다.
  • prod_event_typemetadata.product_event_type에 매핑했습니다.

2022-09-09

개선사항:

  • event_type = null로 로그를 삭제하지 않았습니다.
  • meta.os_version, meta.os_name, meta.uuid, meta.computer_name, meta.os_revision에 null 검사를 제공했습니다.
  • 64바이트 제한을 초과할 경우 *.targetFile.hashes.sha1*.source.executable.hashes.sha1의 크기를 64바이트로 줄였습니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가의 답변을 받으세요.