Coletar registros de visibilidade detalhada do SentinelOne

Compatível com:

Este documento explica como exportar registros do SentinelOne Deep Visibility para o Google Security Operations usando o Cloud Funnel para exportar registros para o Google Cloud Storage. O analisador transforma os registros de eventos de segurança formatados em JSON brutos em um formato estruturado que obedece ao UDM. Primeiro, ele inicializa um conjunto de variáveis, depois extrai o tipo de evento e analisa o payload JSON, mapeando campos relevantes para o esquema do UDM enquanto processa os registros de eventos do Windows separadamente.

Antes de começar

  • Verifique se você tem uma instância do Google SecOps.
  • Verifique se você tem acesso privilegiado a Google Cloud.
  • Verifique se a SentinelOne Deep Visibility está configurada no seu ambiente.
  • Verifique se você tem acesso privilegiado ao SentinelOne.

Crie um bucket do Google Cloud Storage

  1. Faça login no console do Google Cloud.

  2. Acesse a página Buckets do Cloud Storage.

    Acessar buckets

  3. Clique em Criar.

  4. Na página Criar um bucket, insira as informações do seu bucket. Após cada uma das etapas a seguir, clique em Continuar para prosseguir para a próxima:

    1. Na seção Começar, faça o seguinte:

      1. Insira um nome exclusivo que atenda aos requisitos de nome de bucket. Por exemplo, sentinelone-deepvisibility.

      2. Para ativar o namespace hierárquico, clique na seta de expansão para abrir a seção Otimizar para cargas de trabalho orientadas a arquivos e com uso intensivo de dados e selecione Ativar namespace hierárquico neste bucket.

      3. Para adicionar um rótulo de bucket, clique na seta de expansão para abrir a seção Rótulos.

      4. Clique em Adicionar rótulo e especifique uma chave e um valor para o rótulo.

    2. Na seção Escolha onde armazenar seus dados, faça o seguinte:

      1. Selecione um tipo de local.

      2. Use o menu do tipo de local para selecionar um Local em que os dados de objetos no bucket serão armazenados permanentemente.

      3. Para configurar a replicação entre buckets, abra a seção Configurar a replicação entre buckets.

    3. Na seção Escolha uma classe de armazenamento para seus dados, selecione uma classe de armazenamento padrão para o bucket ou selecione Classe automática para gerenciamento automático da classe de armazenamento dos dados do bucket.

    4. Na seção Escolha como controlar o acesso a objetos, selecione não para aplicar a prevenção de acesso público e selecione um modelo de controle de acesso para os objetos do bucket.

    5. Na seção Escolha como proteger os dados do objeto, faça o seguinte:

      1. Selecione qualquer uma das opções em Proteção de dados que você quer definir para o bucket.
      2. Para escolher como os dados do objeto serão criptografados, clique na seta de expansão identificada como Criptografia de dados e selecione um método de criptografia de dados.

  5. Clique em Criar.

Criar uma conta de serviço do Google Cloud

  1. Acesse IAM e administrador > Contas de serviço.
  2. Crie uma nova conta de serviço.
  3. Dê um nome descritivo, por exemplo, sentinelone-dv-logs.
  4. Conceda à conta de serviço o papel de Criador de objetos do Storage no bucket do Cloud Storage criado na etapa anterior.
  5. Crie uma chave SSH para a conta de serviço.
  6. Faça o download de um arquivo de chave JSON para a conta de serviço. Mantenha esse arquivo em segurança.

Configurar o funil de nuvem no SentinelOne DeepVisibility

  1. Faça login na SentinelOne DeepVisibility.
  2. Clique em Configurar > Política e configurações.
  3. Na seção Lago de dados da Singularity, clique em Funil do Cloud.
  4. Informe os seguintes detalhes de configuração:
    • Provedor de nuvem: selecione Google Cloud.
    • Nome do bucket: insira o nome do bucket do Cloud Storage que você criou para a ingestão de registros do SentinelOne DeepVisibility.
    • Transmissão de telemetria: selecione Ativar.
    • Filtros de consulta: crie uma consulta que inclua os agentes que precisam enviar dados para um bucket do Cloud Storage.
    • Clique em Validate (Validar).
    • Campos a incluir: selecione todos os campos.
  5. Clique em Salvar.

Configurar um feed no Google SecOps para processar registros de visibilidade profunda do SentinelOne

  1. Acesse Configurações do SIEM > Feeds.
  2. Clique em Adicionar novo.
  3. No campo Nome do feed, insira um nome para o feed. Por exemplo, SentinelOne DV Logs.
  4. Selecione Google Cloud Storage como o Tipo de origem.
  5. Selecione SentinelOne Deep Visibility como o Tipo de registro.
  6. Clique em Pegar conta de serviço como a Conta de serviço do Chronicle.
  7. Clique em Próxima.

  8. Especifique valores para os seguintes parâmetros de entrada:

    • URI do bucket do Storage: URL do bucket do Google Cloud Storage no formato gs://my-bucket/<value>.
    • URI Is A: selecione Directory which includes subdirectories.

    • Opções de exclusão da origem: selecione a opção de exclusão de acordo com sua preferência.

    • Namespace de recursos: o namespace de recursos.

    • Rótulos de ingestão: o rótulo aplicado aos eventos desse feed.

  9. Clique em Próxima.

  10. Revise a configuração do novo feed na tela de finalização e clique em Enviar.

Tabela de mapeamento do UDM

Campo de registro Mapeamento de UDM Lógica
AdapterName security_result.about.resource.attribute.labels.value O valor é retirado do campo "AdapterName" no registro bruto.
AdapterSuffixName security_result.about.resource.attribute.labels.value O valor é retirado do campo "AdapterSuffixName" no registro bruto.
agent_version read_only_udm.metadata.product_version O valor é extraído do campo "meta.agent_version" no registro bruto.
Canal security_result.about.resource.attribute.labels.value O valor é extraído do campo "Canal" no registro bruto.
commandLine read_only_udm.principal.process.command_line O valor é extraído do campo "event.Event...commandLine" no registro bruto, em que é o tipo de evento específico (por exemplo, ProcessCreation, ProcessExit) e é o campo que contém informações do processo (por exemplo, processo, origem, pai).
computer_name read_only_udm.principal.hostname O valor é extraído do campo "meta.computer_name" no registro bruto.
destinationAddress.address read_only_udm.target.ip O valor é extraído do campo "event.Event.Tcpv4.destinationAddress.address" no registro bruto.
destinationAddress.port read_only_udm.target.port O valor é extraído do campo "event.Event.Tcpv4.destinationAddress.port" no registro bruto.
DnsServerList read_only_udm.principal.ip O valor é retirado do campo "DnsServerList" no registro bruto.
ErrorCode_new security_result.detection_fields.value O valor é extraído do campo "ErrorCode_new" no registro bruto.
EventID security_result.about.resource.attribute.labels.value O valor é retirado do campo "EventID" no registro bruto.
event.Event.Dns.query read_only_udm.network.dns.questions.name O valor é extraído do campo "event.Event.Dns.query" no registro bruto.
event.Event.Dns.results read_only_udm.network.dns.answers.data O valor é extraído do campo "event.Event.Dns.results" no registro bruto.
event.Event.Dns.source.fullPid.pid read_only_udm.principal.process.pid O valor é extraído do campo "event.Event.Dns.source.fullPid.pid" no registro bruto.
event.Event.Dns.source.user.name read_only_udm.principal.user.userid O valor é extraído do campo "event.Event.Dns.source.user.name" no registro bruto.
event.Event.FileCreation.source.fullPid.pid read_only_udm.principal.process.pid O valor é extraído do campo "event.Event.FileCreation.source.fullPid.pid" no registro bruto.
event.Event.FileCreation.source.user.name read_only_udm.principal.user.userid O valor é extraído do campo "event.Event.FileCreation.source.user.name" no registro bruto.
event.Event.FileCreation.targetFile.path read_only_udm.target.file.full_path O valor é extraído do campo "event.Event.FileCreation.targetFile.path" no registro bruto.
event.Event.FileDeletion.source.fullPid.pid read_only_udm.principal.process.pid O valor é extraído do campo "event.Event.FileDeletion.source.fullPid.pid" no registro bruto.
event.Event.FileDeletion.source.user.name read_only_udm.principal.user.userid O valor é extraído do campo "event.Event.FileDeletion.source.user.name" no registro bruto.
event.Event.FileDeletion.targetFile.path read_only_udm.target.file.full_path O valor é extraído do campo "event.Event.FileDeletion.targetFile.path" no registro bruto.
event.Event.FileModification.file.path read_only_udm.target.file.full_path O valor é extraído do campo "event.Event.FileModification.file.path" no registro bruto.
event.Event.FileModification.source.user.name read_only_udm.principal.user.userid O valor é extraído do campo "event.Event.FileModification.source.user.name" no registro bruto.
event.Event.FileModification.targetFile.path read_only_udm.target.file.full_path O valor é extraído do campo "event.Event.FileModification.targetFile.path" no registro bruto.
event.Event.Http.source.user.name read_only_udm.principal.user.userid O valor é extraído do campo "event.Event.Http.source.user.name" no registro bruto.
event.Event.Http.url read_only_udm.target.url O valor é extraído do campo "event.Event.Http.url" no registro bruto.
event.Event.ProcessCreation.process.user.name read_only_udm.principal.user.userid O valor é extraído do campo "event.Event.ProcessCreation.process.user.name" no registro bruto.
event.Event.ProcessCreation.source.user.name read_only_udm.principal.user.userid O valor é extraído do campo "event.Event.ProcessCreation.source.user.name" no registro bruto.
event.Event.ProcessExit.source.user.name read_only_udm.principal.user.userid O valor é extraído do campo "event.Event.ProcessExit.source.user.name" no registro bruto.
event.Event.ProcessTermination.source.user.name read_only_udm.principal.user.userid O valor é extraído do campo "event.Event.ProcessTermination.source.user.name" no registro bruto.
event.Event.RegKeyCreate.source.fullPid.pid read_only_udm.principal.process.pid O valor é extraído do campo "event.Event.RegKeyCreate.source.fullPid.pid" no registro bruto.
event.Event.RegKeyCreate.source.user.name read_only_udm.principal.user.userid O valor é extraído do campo "event.Event.RegKeyCreate.source.user.name" no registro bruto.
event.Event.RegKeyDelete.source.user.name read_only_udm.principal.user.userid O valor é extraído do campo "event.Event.RegKeyDelete.source.user.name" no registro bruto.
event.Event.RegValueModified.source.user.name read_only_udm.principal.user.userid O valor é extraído do campo "event.Event.RegValueModified.source.user.name" no registro bruto.
event.Event.SchedTaskDelete.source.user.name read_only_udm.principal.user.userid O valor é extraído do campo "event.Event.SchedTaskDelete.source.user.name" no registro bruto.
event.Event.SchedTaskRegister.source.user.name read_only_udm.principal.user.userid O valor é extraído do campo "event.Event.SchedTaskRegister.source.user.name" no registro bruto.
event.Event.SchedTaskStart.source.user.name read_only_udm.principal.user.userid O valor é extraído do campo "event.Event.SchedTaskStart.source.user.name" no registro bruto.
event.Event.SchedTaskTrigger.source.fullPid.pid read_only_udm.principal.process.pid O valor é extraído do campo "event.Event.SchedTaskTrigger.source.fullPid.pid" no registro bruto.
event.Event.SchedTaskTrigger.source.user.name read_only_udm.principal.user.userid O valor é extraído do campo "event.Event.SchedTaskTrigger.source.user.name" no registro bruto.
event.Event.Tcpv4.source.fullPid.pid read_only_udm.principal.process.pid O valor é extraído do campo "event.Event.Tcpv4.source.fullPid.pid" no registro bruto.
event.Event.Tcpv4.source.user.name read_only_udm.principal.user.userid O valor é extraído do campo "event.Event.Tcpv4.source.user.name" no registro bruto.
event.Event.Tcpv4Listen.local.address read_only_udm.principal.ip O valor é retirado do campo "event.Event.Tcpv4Listen.local.address" no registro bruto.
event.timestamp.millisecondsSinceEpoch read_only_udm.metadata.event_timestamp.seconds O valor é extraído do campo "event.timestamp.millisecondsSinceEpoch" no registro bruto, convertido em segundos.
event.timestamp.millisecondsSinceEpoch read_only_udm.metadata.event_timestamp.nanos O valor é extraído do campo "event.timestamp.millisecondsSinceEpoch" no registro bruto, convertido em nanossegundos.
event.timestamp.millisecondsSinceEpoch security_result.about.resource.attribute.labels.value O valor é retirado do campo "event.timestamp.millisecondsSinceEpoch" no registro bruto e usado como o valor de um rótulo na matriz security_result.about.resource.attribute.labels.
event_type read_only_udm.metadata.product_event_type O valor é extraído do campo "message" no registro bruto usando um padrão grok.
executable.hashes.md5 read_only_udm.principal.process.file.md5 O valor é extraído do campo "event.Event...executable.hashes.md5" no registro bruto, em que é o tipo de evento específico (por exemplo, ProcessCreation, ProcessExit) e é o campo que contém informações do processo (por exemplo, processo, origem, pai).
executable.hashes.sha1 read_only_udm.principal.process.file.sha1 O valor é retirado do campo "event.Event...executable.hashes.sha1" no registro bruto, em que é o tipo de evento específico (por exemplo, ProcessCreation, ProcessExit) e é o campo que contém informações do processo (por exemplo, processo, origem, pai).
executable.hashes.sha256 read_only_udm.principal.process.file.sha256 O valor é extraído do campo "event.Event...executable.hashes.sha256" no registro bruto, em que é o tipo de evento específico (por exemplo, ProcessCreation, ProcessExit) e é o campo que contém informações do processo (por exemplo, processo, origem, pai).
executable.path read_only_udm.principal.process.file.full_path O valor é extraído do campo "event.Event...executable.path" no registro bruto, em que é o tipo de evento específico (por exemplo, ProcessCreation, ProcessExit) e é o campo que contém informações do processo (por exemplo, processo, origem, pai).
executable.sizeBytes read_only_udm.principal.process.file.size O valor é extraído do campo "event.Event...executable.sizeBytes" no registro bruto, em que é o tipo de evento específico (por exemplo, ProcessCreation, ProcessExit) e é o campo que contém informações do processo (por exemplo, processo, origem, pai).
fullPid.pid read_only_udm.principal.process.pid O valor é extraído do campo "event.Event...fullPid.pid" no registro bruto, em que é o tipo de evento específico (por exemplo, ProcessCreation, ProcessExit) e é o campo que contém informações do processo (por exemplo, processo, origem, pai).
hashes.md5 read_only_udm.target.file.md5 O valor é retirado do campo "event.Event.ProcessCreation.hashes.md5" no registro bruto.
hashes.sha1 read_only_udm.target.file.sha1 O valor é extraído do campo "event.Event.ProcessCreation.hashes.sha1" no registro bruto.
hashes.sha256 read_only_udm.target.file.sha256 O valor é extraído do campo "event.Event.ProcessCreation.hashes.sha256" no registro bruto.
IpAddress read_only_udm.target.ip O valor é retirado do campo "IpAddress" no registro bruto.
local.address read_only_udm.principal.ip O valor é retirado do campo "event.Event.Tcpv4Listen.local.address" no registro bruto.
local.port read_only_udm.principal.port O valor é retirado do campo "event.Event.Tcpv4Listen.local.port" no registro bruto.
log_type read_only_udm.metadata.log_type O valor é retirado do campo "log_type" no registro bruto.
meta.agent_version read_only_udm.metadata.product_version O valor é extraído do campo "meta.agent_version" no registro bruto.
meta.computer_name read_only_udm.principal.hostname O valor é extraído do campo "meta.computer_name" no registro bruto.
meta.os_family read_only_udm.principal.platform O valor é extraído do campo "meta.os_family" no registro bruto e mapeado para a plataforma correspondente (por exemplo, windows para WINDOWS, osx para MAC, linux para LINUX).
meta.os_name read_only_udm.principal.platform_version O valor é extraído do campo "meta.os_name" no registro bruto.
meta.os_revision read_only_udm.principal.platform_patch_level O valor é extraído do campo "meta.os_revision" no registro bruto.
meta.uuid read_only_udm.principal.asset_id O valor é retirado do campo "meta.uuid" no registro bruto e precedido por SENTINELONE:.
nome read_only_udm.principal.application O valor é extraído do campo "event.Event...name" no registro bruto, em que é o tipo de evento específico (por exemplo, ProcessCreation, ProcessExit) e é o campo que contém informações do processo (por exemplo, processo, origem, pai).
parent.executable.hashes.md5 read_only_udm.target.process.parent_process.file.md5 O valor é extraído do campo "event.Event..parent.executable.hashes.md5" no registro bruto, em que é o tipo de evento específico (por exemplo, ProcessCreation, ProcessExit).
parent.executable.hashes.sha1 read_only_udm.target.process.parent_process.file.sha1 O valor é extraído do campo "event.Event..parent.executable.hashes.sha1" no registro bruto, em que é o tipo de evento específico (por exemplo, ProcessCreation, ProcessExit).
parent.executable.hashes.sha256 read_only_udm.target.process.parent_process.file.sha256 O valor é retirado do campo "event.Event..parent.executable.hashes.sha256" no registro bruto, em que é o tipo de evento específico (por exemplo, ProcessCreation, ProcessExit).
parent.executable.path read_only_udm.target.process.parent_process.file.full_path O valor é extraído do campo "event.Event..parent.executable.path" no registro bruto, em que é o tipo de evento específico (por exemplo, ProcessCreation, ProcessExit).
parent.fullPid.pid read_only_udm.target.process.parent_process.pid O valor é extraído do campo "event.Event..parent.fullPid.pid" no registro bruto, em que é o tipo de evento específico (por exemplo, ProcessCreation, ProcessExit).
path read_only_udm.principal.process.file.full_path O valor é extraído do campo "event.Event...path" no registro bruto, em que é o tipo de evento específico (por exemplo, ProcessCreation, ProcessExit) e é o campo que contém informações do processo (por exemplo, processo, origem, pai).
process.commandLine read_only_udm.target.process.command_line O valor é extraído do campo "event.Event.ProcessCreation.process.commandLine" no registro bruto.
process.fullPid.pid read_only_udm.target.process.pid O valor é retirado do campo "event.Event.ProcessCreation.process.fullPid.pid" no registro bruto.
process.parent.fullPid.pid read_only_udm.target.process.parent_process.pid O valor é retirado do campo "event.Event.ProcessCreation.process.parent.fullPid.pid" no registro bruto.
ProviderGuid security_result.about.resource.attribute.labels.value O valor é retirado do campo "ProviderGuid" no registro bruto, com as chaves removidas.
consulta read_only_udm.network.dns.questions.name O valor é extraído do campo "event.Event.Dns.query" no registro bruto.
RecordNumber security_result.about.resource.attribute.labels.value O valor é retirado do campo "RecordNumber" no registro bruto.
regKey.path read_only_udm.target.registry.registry_key O valor é extraído do campo "event.Event.RegKeyCreate.regKey.path" ou "event.Event.RegKeyDelete.regKey.path" no registro bruto.
regValue.path read_only_udm.target.registry.registry_key O valor é extraído do campo "event.Event.RegValueDelete.regValue.path" ou "event.Event.RegValueModified.regValue.path" no registro bruto.
resultados read_only_udm.network.dns.answers.data O valor é extraído do campo "event.Event.Dns.results" no registro bruto.
UpdateServer enviado intermediary.hostname O valor é retirado do campo "Sent UpdateServer" no registro bruto.
seq_id Esse campo não é mapeado diretamente para o UDM.
signature.Status.Signed.identity Esse campo não é mapeado diretamente para o UDM.
sizeBytes read_only_udm.principal.process.file.size O valor é extraído do campo "event.Event...sizeBytes" no registro bruto, em que é o tipo de evento específico (por exemplo, ProcessCreation, ProcessExit) e é o campo que contém informações do processo (por exemplo, processo, origem, pai).
sourceAddress.address read_only_udm.principal.ip O valor é extraído do campo "event.Event.Tcpv4.sourceAddress.address" no registro bruto.
sourceAddress.port read_only_udm.principal.port O valor é extraído do campo "event.Event.Tcpv4.sourceAddress.port" no registro bruto.
SourceName security_result.about.resource.attribute.labels.value O valor é retirado do campo "SourceName" no registro bruto.
status Esse campo não é mapeado diretamente para o UDM.
taskName read_only_udm.target.resource.name O valor é extraído do campo "event.Event.SchedTaskStart.taskName", "event.Event.SchedTaskTrigger.taskName" ou "event.Event.SchedTaskDelete.taskName" no registro bruto.
targetFile.hashes.md5 read_only_udm.target.file.md5 O valor é extraído do campo "event.Event.FileDeletion.targetFile.hashes.md5" ou "event.Event.SchedTaskStart.targetFile.hashes.md5" no registro bruto.
targetFile.hashes.sha1 read_only_udm.target.file.sha1 O valor é retirado do campo "event.Event.FileDeletion.targetFile.hashes.sha1" ou "event.Event.SchedTaskStart.targetFile.hashes.sha1" no registro bruto.
targetFile.hashes.sha256 read_only_udm.target.file.sha256 O valor é retirado do campo "event.Event.FileDeletion.targetFile.hashes.sha256" ou "event.Event.SchedTaskStart.targetFile.hashes.sha256" no registro bruto.
targetFile.path read_only_udm.target.file.full_path O valor é extraído do campo "event.Event.FileDeletion.targetFile.path" ou "event.Event.SchedTaskStart.targetFile.path" no registro bruto.
Tarefa security_result.about.resource.attribute.labels.value O valor é extraído do campo "Task" no registro bruto.
timestamp.millisecondsSinceEpoch read_only_udm.metadata.event_timestamp.seconds O valor é extraído do campo "event.timestamp.millisecondsSinceEpoch" no registro bruto, convertido em segundos.
timestamp.millisecondsSinceEpoch read_only_udm.metadata.event_timestamp.nanos O valor é extraído do campo "event.timestamp.millisecondsSinceEpoch" no registro bruto, convertido em nanossegundos.
trace_id Esse campo não é mapeado diretamente para o UDM.
triggerType Esse campo não é mapeado diretamente para o UDM.
trueContext Esse campo não é mapeado diretamente para o UDM.
trueContext.key Esse campo não é mapeado diretamente para o UDM.
trueContext.key.value Esse campo não é mapeado diretamente para o UDM.
tipo read_only_udm.network.dns.answers.type O valor é retirado do campo "event.Event.Dns.results" no registro bruto e extraído usando uma expressão regular.
url read_only_udm.target.url O valor é extraído do campo "event.Event.Http.url" no registro bruto.
user.name read_only_udm.principal.user.userid O valor é retirado do campo "event.Event...user.name" no registro bruto, em que é o tipo de evento específico (por exemplo, ProcessCreation, ProcessExit) e é o campo que contém informações do processo (por exemplo, processo, origem, pai).
user.sid read_only_udm.principal.user.windows_sid O valor é extraído do campo "event.Event...user.sid" no registro bruto, em que é o tipo de evento específico (por exemplo, ProcessCreation, ProcessExit) e é o campo que contém informações do processo (por exemplo, processo, origem, pai).
UserID read_only_udm.target.user.windows_sid O valor é retirado do campo "UserID" no registro bruto, somente se ele corresponder ao padrão SID do Windows.
UserSid read_only_udm.target.user.windows_sid O valor é retirado do campo "UserSid" no registro bruto, somente se ele corresponder ao padrão SID do Windows.
valueType Esse campo não é mapeado diretamente para o UDM.
winEventLog.channel security_result.about.resource.attribute.labels.value O valor é retirado do campo "winEventLog.channel" no registro bruto.
winEventLog.description Esse campo não é mapeado diretamente para o UDM.
winEventLog.id security_result.about.resource.attribute.labels.value O valor é retirado do campo "winEventLog.id" no registro bruto.
winEventLog.level security_result.severity O valor é extraído do campo "winEventLog.level" no registro bruto e mapeado para o nível de gravidade correspondente (por exemplo, Warning para MÉDIO).
winEventLog.providerName security_result.about.resource.attribute.labels.value O valor é retirado do campo "winEventLog.providerName" no registro bruto.
winEventLog.xml Esse campo não é mapeado diretamente para o UDM.
read_only_udm.metadata.event_type O valor é determinado com base no campo "event_type" e mapeado para o tipo de evento do UDM correspondente.
read_only_udm.metadata.vendor_name O valor é definido como SentinelOne.
read_only_udm.metadata.product_name O valor é definido como Deep Visibility.
read_only_udm.metadata.product_log_id O valor é extraído do campo "trace.id" no registro bruto, apenas para eventos com "meta.event.name" igual a PROCESSCREATION.
read_only_udm.metadata.product_deployment_id O valor é extraído do campo "account.id" no registro bruto, apenas para eventos com "meta.event.name" igual a PROCESSCREATION.
read_only_udm.metadata.url_back_to_product O valor é extraído do campo "mgmt.url" no registro bruto, apenas para eventos com "meta.event.name" igual a PROCESSCREATION.
read_only_udm.metadata.ingestion_labels.key O valor é definido como Process eUserUid ou Process lUserUid para eventos com "meta.event.name" igual a PROCESSCREATION.
read_only_udm.metadata.ingestion_labels.value O valor é extraído do campo "src.process.eUserUid" ou "src.process.lUserUid" no registro bruto, apenas para eventos com "meta.event.name" igual a PROCESSCREATION.
read_only_udm.principal.administrative_domain A parte do domínio do campo "event.Event...user.name" no registro bruto, em que é o tipo de evento específico (por exemplo, ProcessCreation, ProcessExit) e é o campo que contém informações do processo (por exemplo, processo, origem, pai).
read_only_udm.target.process.parent_process.command_line O valor é retirado do campo "event.Event..parent.commandLine" no registro bruto, em que é o tipo de evento específico (por exemplo, ProcessCreation, ProcessExit).
read_only_udm.target.file Um objeto vazio é criado se o "event_type" não for FileCreation, FileDeletion, FileModification, SchedTaskStart ou ProcessCreation.
read_only_udm.network.ip_protocol O valor é definido como TCP para eventos com "event_type" igual a Tcpv4, Tcpv4Listen ou Http.
read_only_udm.network.application_protocol O valor é definido como DNS para eventos com "event_type" igual a Dns.
read_only_udm.target.resource.type O valor é definido como TASK para eventos com "event_type" igual a SchedTaskStart, SchedTaskTrigger ou SchedTaskDelete.
read_only_udm.target.resource.resource_type O valor é definido como TASK para eventos com "event_type" igual a SchedTaskStart, SchedTaskTrigger ou SchedTaskDelete.
read_only_udm.principal.process.product_specific_process_id O valor será definido como ExecutionThreadID:<ExecutionThreadID> se o campo "ExecutionThreadID" estiver presente no registro bruto.
read_only_udm.principal.asset.asset_id O valor é definido como Device ID:<agent.uuid> se o campo "agent.uuid" estiver presente no registro bruto.
read_only_udm.principal.namespace O valor é extraído do campo "site.id" no registro bruto, apenas para eventos com "meta.event.name" igual a PROCESSCREATION.
read_only_udm.principal.location.name O valor é extraído do campo "site.name" no registro bruto, apenas para eventos com "meta.event.name" igual a PROCESSCREATION.
read_only_udm.principal.resource.attribute.labels.key O valor é definido como src.process.displayName, src.process.uid, isRedirectCmdProcessor, isNative64Bit, isStorylineRoot, signedStatus, src process subsystem, src process integrityLevel ou childProcCount para eventos com "meta.event.name" igual a PROCESSCREATION.
read_only_udm.principal.resource.attribute.labels.value O valor é retirado do campo correspondente no registro bruto, apenas para eventos com "meta.event.name" igual a PROCESSCREATION.
read_only_udm.target.user.userid O valor é extraído do campo "tgt.process.uid" no registro bruto, apenas para eventos com "meta.event.name" igual a PROCESSCREATION.
read_only_udm.target.user.user_display_name O valor é extraído do campo "tgt.process.displayName" no registro bruto, apenas para eventos com "meta.event.name" igual a PROCESSCREATION.
read_only_udm.target.resource.attribute.labels.key O valor é definido como isRedirectCmdProcessor, isNative64Bit, isStorylineRoot, signedStatus, file_isSigned, tgt process subsystem ou tgt process integrityLevel para eventos com "meta.event.name" igual a PROCESSCREATION.
read_only_udm.target.resource.attribute.labels.value O valor é retirado do campo correspondente no registro bruto, apenas para eventos com "meta.event.name" igual a PROCESSCREATION.
read_only_udm.security_result.about.resource.attribute.labels.key O valor é definido como tgt.process.storyline.id, endpoint_type, packet_id, src.process.storyline.id ou src.process.parent.storyline.id para eventos com "meta.event.name" igual a PROCESSCREATION.
read_only_udm.security_result.about.resource.attribute.labels.value O valor é retirado do campo correspondente no registro bruto e precedido por ID: para IDs de história, apenas para eventos com "meta.event.name" igual a PROCESSCREATION.
read_only_udm.security_result.category_details O valor é definido como security para eventos com "meta.event.name" igual a PROCESSCREATION.
read_only_udm.target.asset.product_object_id O valor é extraído do campo "AdapterName" no registro bruto, apenas para eventos com "meta.event.name" igual a EVENTLOG.
security_result.about.resource.attribute.labels.key O valor é definido como TimeCreated SystemTime, EventID, Task, Channel, ProviderGuid, RecordNumber, SourceName, endpoint_type ou packet_id para eventos com "meta.event.name" igual a EVENTLOG.
security_result.detection_fields.key O valor é definido como Activity ID para eventos com "meta.event.name" igual a EVENTLOG e um campo "ActivityID" não vazio.
security_result.detection_fields.value O valor é extraído do campo "ActivityID" no registro bruto, apenas para eventos com "meta.event.name" igual a EVENTLOG e um campo "ActivityID" não vazio.

Alterações

2023-09-06

Melhoria:

  • O mapeamento de tgt.process.storyline.id foi modificado de target.process.product_specific_process_id para security_result.about.resource.attribute.labels.
  • O mapeamento de src.process.storyline.id foi modificado de principal.process.product_specific_process_id para security_result.about.resource.attribute.labels.
  • O mapeamento de src.process.parent.storyline.id foi modificado de principal.parent.process.product_specific_process_id para security_result.about.resource.attribute.labels.

2023-07-31

Melhoria:

  • Registros processados que contêm dados XML.

2023-04-09

Melhoria:

  • Se event.type for Process Creation mapeado metadata.event_type para PROCESS_LAUNCH.
  • Se event.type for Duplicate Process Handle mapeado metadata.event_type para PROCESS_OPEN.
  • Se event.type for Duplicate Thread Handle mapeado metadata.event_type para PROCESS_OPEN.
  • Se event.type for Open Remote Process Handle mapeado metadata.event_type para PROCESS_OPEN.
  • Se event.type for Remote Thread Creation mapeado metadata.event_type para PROCESS_LAUNCH.
  • Se event.type for Command Script mapeado metadata.event_type para FILE_UNCATEGORIZED.
  • Se event.type for IP Connect mapeado metadata.event_type para NETWORK_CONNECTION.
  • Se event.type for IP Listen mapeado metadata.event_type para NETWORK_UNCATEGORIZED.
  • Se event.type for File ModIfication mapeado metadata.event_type para FILE_MODIfICATION.
  • Se event.type for File Creation mapeado metadata.event_type para FILE_CREATION.
  • Se event.type for File Scan mapeado metadata.event_type para FILE_UNCATEGORIZED.
  • Se event.type for File Deletion mapeado metadata.event_type para FILE_DELETION.
  • Se event.type for File Rename mapeado metadata.event_type para FILE_MODIfICATION.
  • Se event.type for Pre Execution Detection mapeado metadata.event_type para FILE_UNCATEGORIZED.
  • Se event.type for Login mapeado metadata.event_type para USER_LOGIN.
  • Se event.type for Logout mapeado metadata.event_type para USER_LOGOUT.
  • Se event.type for GET mapeado metadata.event_type para NETWORK_HTTP.
  • Se event.type for OPTIONS mapeado metadata.event_type para NETWORK_HTTP.
  • Se event.type for POST mapeado metadata.event_type para NETWORK_HTTP.
  • Se event.type for PUT mapeado metadata.event_type para NETWORK_HTTP.
  • Se event.type for DELETE mapeado metadata.event_type para NETWORK_HTTP.
  • Se event.type for CONNECT mapeado metadata.event_type para NETWORK_HTTP.
  • Se event.type for HEAD mapeado metadata.event_type para NETWORK_HTTP.
  • Se event.type for Not Reported mapeado metadata.event_type para STATUS_UNCATEGORIZED.
  • Se event.type for DNS Resolved mapeado metadata.event_type para NETWORK_DNS.
  • Se event.type for DNS Unresolved mapeado metadata.event_type para NETWORK_DNS.
  • Se event.type for Task Register mapeado metadata.event_type para SCHEDULED_TASK_CREATION.
  • Se event.type for Task Update mapeado metadata.event_type para SCHEDULED_TASK_MODIfICATION.
  • Se event.type for Task Start mapeado metadata.event_type para SCHEDULED_TASK_UNCATEGORIZED.
  • Se event.type for Task Trigger mapeado metadata.event_type para SCHEDULED_TASK_UNCATEGORIZED.
  • Se event.type for Task Delete mapeado metadata.event_type para SCHEDULED_TASK_DELETION.
  • Se event.type for Registry Key Create mapeado metadata.event_type para REGISTRY_CREATION.
  • Se event.type for Registry Key Rename mapeado metadata.event_type para REGISTRY_MODIfICATION.
  • Se event.type for Registry Key Delete mapeado metadata.event_type para REGISTRY_DELETION.
  • Se event.type for Registry Key Export mapeado metadata.event_type para REGISTRY_UNCATEGORIZED.
  • Se event.type for Registry Key Security Changed mapeado metadata.event_type para REGISTRY_MODIfICATION.
  • Se event.type for Registry Key Import mapeado metadata.event_type para REGISTRY_CREATION.
  • Se event.type for Registry Value ModIfied mapeado metadata.event_type para REGISTRY_MODIfICATION.
  • Se event.type for Registry Value Create mapeado metadata.event_type para REGISTRY_CREATION.
  • Se event.type for Registry Value Delete mapeado metadata.event_type para REGISTRY_DELETION.
  • Se event.type for Behavioral Indicators mapeado metadata.event_type para SCAN_UNCATEGORIZED.
  • Se event.type for Module Load mapeado metadata.event_type para PROCESS_MODULE_LOAD.
  • Se event.type for Threat Intelligence Indicators mapeado metadata.event_type para SCAN_UNCATEGORIZED.
  • Se event.type for Named Pipe Creation mapeado metadata.event_type para PROCESS_UNCATEGORIZED.
  • Se event.type for Named Pipe Connection mapeado metadata.event_type para PROCESS_UNCATEGORIZED.
  • Se event.type for Driver Load mapeado metadata.event_type para PROCESS_MODULE_LOAD.

2023-02-13

Melhoria:

  • endpoint.os foi mapeado para principal.platform.
  • endpoint.name foi mapeado para target.hostname.
  • src.process.pid foi mapeado para principal.process.pid.
  • src.process.cmdline foi mapeado para principal.process.command_line.
  • src.process.image.path foi mapeado para principal.process.file.full_path.
  • src.process.image.sha1 foi mapeado para principal.process.file.sha1.
  • src.process.eUserUid foi mapeado para metadata.ingestion_labels.
  • src.process.lUserUid foi mapeado para metadata.ingestion_labels.
  • src.process.uid foi mapeado para principal.user.userid.
  • src.process.displayName foi mapeado para principal.user.user_display_name.
  • Mapeou src.process.isRedirectCmdProcessor, src.process.isNative64Bit, src.process.isStorylineRoot, src.process.signedStatus, src.file.isSigned, src.process.subsystem, src.process.integrityLevel, src.process.tgtFileCreationCount, src.process.childProcCount, src.process.indicatorBootConfigurationUpdateCount, src.process.indicatorEvasionCount, src.process.indicatorExploitationCount, src.process.indicatorGeneralCount, src.process.indicatorInfostealerCount, src.process.moduleCount para principal.resource.attribute.labels.
  • src.process.image.md5 foi mapeado para principal.process.file.md5.
  • agent.uuid foi mapeado para principal.asset.asset_id.
  • agent.version foi mapeado para metadata.product_version.
  • site.id foi mapeado para principal.namespace.
  • site.name foi mapeado para principal.location.name.
  • trace.id foi mapeado para metadata.product_log_id.
  • dataSource.category foi mapeado para security_result.category_details.
  • packet.id foi mapeado para about.resource.attribute.labels.
  • Mapeou mgmt.url, endpoint.type para metadata.url_back_to_product.
  • tgt.process.image.sha1 foi mapeado para target.process.file.sha1.
  • tgt.process.image.path foi mapeado para target.process.file.full_path.
  • tgt.process.pid foi mapeado para target.process.pid.
  • tgt.process.uid foi mapeado para target.user.userid.
  • tgt.process.cmdline foi mapeado para target.process.command_line.
  • tgt.process.displayName foi mapeado para target.user.user_display_name.
  • tgt.process.image.md5 foi mapeado para target.process.file.md5.
  • src.process.parent.image.sha256 foi mapeado para principal.process.file.sha256.
  • tgt.process.image.sha256 foi mapeado para target.process.file.sha256.
  • tgt.process.sessionId foi mapeado para network.session_id.
  • tgt.process.storyline.id foi mapeado para target.process.product_specific_process_id.
  • tgt.process.isRedirectCmdProcessor, tgt.process.isNative64Bit, tgt.process.isStorylineRoot, tgt.process.signedStatus, tgt.file.isSigned, tgt.process.subsystem, tgt.process.integrityLevel e tgt.process.publisher foram mapeados para target.resource.attribute.labels.
  • prod_event_type foi mapeado para metadata.product_event_type.

2022-09-09

Melhoria:

  • Os registros com event_type = null foram retirados.
  • Fornece verificações de valor nulo para meta.os_version, meta.os_name, meta.uuid, meta.computer_name e meta.os_revision.
  • Reduzimos o tamanho de *.targetFile.hashes.sha1 e *.source.executable.hashes.sha1 para 64 bytes quando o limite de 64 bytes é excedido.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.