收集 SentinelOne Deep Visibility 日志
本文档介绍了如何使用 Cloud Funnel 将 SentinelOne Deep Visibility 日志导出到 Google Security Operations,以便将日志导出到 Google Cloud Storage。解析器会将采用 JSON 格式的原始安全事件日志转换为符合 UDM 的结构化格式。它首先会初始化一组变量,然后提取事件类型并解析 JSON 载荷,将相关字段映射到 UDM 架构,同时单独处理 Windows 事件日志。
准备工作
- 确保您拥有 Google SecOps 实例。
- 确保您拥有对 Google Cloud的特权访问权限。
- 确保已在您的环境中设置 SentinelOne Deep Visibility。
- 确保您拥有对 SentinelOne 的特权访问权限。
创建 Google Cloud Storage 存储分区
- 登录 Google Cloud 控制台。
前往 Cloud Storage 存储分区页面。
点击创建。
在创建存储桶页面上,输入您的存储桶信息。完成以下各步骤后,点击继续以进入下一步:
在开始使用部分中,执行以下操作:
- 输入符合存储分区名称要求的唯一名称;例如,sentinelone-deepvisibility。
如需启用分层命名空间,请点击展开箭头以展开优化文件导向型和数据密集型工作负载部分,然后选择在此存储分区上启用分层命名空间。
如需添加存储分区标签,请点击展开箭头以展开标签部分。
点击添加标签,然后为标签指定键和值。
在选择数据存储位置部分中,执行以下操作:
- 选择位置类型。
使用位置类型菜单选择一个位置,用于永久存储存储分区中的对象数据。
如需设置跨存储分区复制,请展开设置跨存储分区复制部分。
在为数据选择一个存储类别部分中,为存储分区选择默认存储类别,或者选择 Autoclass 对存储分区数据进行自动存储类别管理。
在选择如何控制对对象的访问权限部分中,选择否以强制执行禁止公开访问,然后为存储分区对象选择访问权限控制模型。
在选择如何保护对象数据部分中,执行以下操作:
- 在数据保护下,选择您要为存储分区设置的任何选项。
- 如需选择对象数据的加密方式,请点击标有数据加密的展开箭头,然后选择数据加密方法。
点击创建。
创建 Google Cloud 服务账号
- 依次前往 IAM 和管理 > 服务账号。
- 创建新的服务账号。
- 为其指定一个描述性名称,例如 sentinelone-dv-logs。
- 向服务账号授予您在上一步中创建的 Cloud Storage 存储分区的 Storage Object Creator 角色。
- 为服务账号创建 SSH 密钥。
- 下载服务账号的 JSON 密钥文件。请妥善保管此文件。
在 SentinelOne DeepVisibility 中配置 Cloud Funnel
- 登录 SentinelOne DeepVisibility。
- 依次点击配置 > 政策和设置。
- 在 Singularity Data Lake(Singularity 数据湖)部分,点击 Cloud Funnel(Cloud Funnel)。
- 提供以下配置详细信息:
- 云服务商:选择 Google Cloud。
- 存储分区名称:输入您为 SentinelOne DeepVisibility 日志提取创建的 Cloud Storage 存储分区的名称。
- 遥测数据流式传输:选择启用。
- 查询过滤条件:创建一个查询,其中包含需要将数据发送到 Cloud Storage 存储分区的代理。
- 点击验证。
- 要包含的字段:选择所有字段。
- 点击保存。
在 Google SecOps 中配置 Feed 以提取 SentinelOne Deep Visibility 日志
- 依次前往 SIEM 设置 > Feed。
- 点击新增。
- 在 Feed 名称字段中,输入 Feed 的名称;例如,SentinelOne DV 日志。
- 选择 Google Cloud Storage 作为来源类型。
- 选择 SentinelOne Deep Visibility 作为日志类型。
- 点击获取服务账号作为 Chronicle 服务账号。
- 点击下一步。
为以下输入参数指定值:
- 存储分区 URI:格式为
gs://my-bucket/<value>
的 Google Cloud Storage 存储分区网址。 - URI 类型:选择包含子目录的目录。
来源删除选项:根据您的偏好选择删除选项。
资源命名空间:资源命名空间。
提取标签:应用于此 Feed 中事件的标签。
- 存储分区 URI:格式为
点击下一步。
在“最终确定”界面中查看新的 Feed 配置,然后点击提交。
UDM 映射表
日志字段 | UDM 映射 | 逻辑 |
---|---|---|
AdapterName | security_result.about.resource.attribute.labels.value | 此值取自原始日志中的“AdapterName”字段。 |
AdapterSuffixName | security_result.about.resource.attribute.labels.value | 此值取自原始日志中的“AdapterSuffixName”字段。 |
agent_version | read_only_udm.metadata.product_version | 该值取自原始日志中的“meta.agent_version”字段。 |
渠道 | security_result.about.resource.attribute.labels.value | 此值取自原始日志中的“渠道”字段。 |
commandLine | read_only_udm.principal.process.command_line | 该值取自原始日志中的“event.Event. |
computer_name | read_only_udm.principal.hostname | 此值取自原始日志中的“meta.computer_name”字段。 |
destinationAddress.address | read_only_udm.target.ip | 该值取自原始日志中的“event.Event.Tcpv4.destinationAddress.address”字段。 |
destinationAddress.port | read_only_udm.target.port | 该值取自原始日志中的“event.Event.Tcpv4.destinationAddress.port”字段。 |
DnsServerList | read_only_udm.principal.ip | 该值取自原始日志中的“DnsServerList”字段。 |
ErrorCode_new | security_result.detection_fields.value | 此值取自原始日志中的“ErrorCode_new”字段。 |
EventID | security_result.about.resource.attribute.labels.value | 此值取自原始日志中的“EventID”字段。 |
event.Event.Dns.query | read_only_udm.network.dns.questions.name | 该值取自原始日志中的“event.Event.Dns.query”字段。 |
event.Event.Dns.results | read_only_udm.network.dns.answers.data | 此值取自原始日志中的“event.Event.Dns.results”字段。 |
event.Event.Dns.source.fullPid.pid | read_only_udm.principal.process.pid | 该值取自原始日志中的“event.Event.Dns.source.fullPid.pid”字段。 |
event.Event.Dns.source.user.name | read_only_udm.principal.user.userid | 此值取自原始日志中的“event.Event.Dns.source.user.name”字段。 |
event.Event.FileCreation.source.fullPid.pid | read_only_udm.principal.process.pid | 此值取自原始日志中的“event.Event.FileCreation.source.fullPid.pid”字段。 |
event.Event.FileCreation.source.user.name | read_only_udm.principal.user.userid | 此值取自原始日志中的“event.Event.FileCreation.source.user.name”字段。 |
event.Event.FileCreation.targetFile.path | read_only_udm.target.file.full_path | 此值取自原始日志中的“event.Event.FileCreation.targetFile.path”字段。 |
event.Event.FileDeletion.source.fullPid.pid | read_only_udm.principal.process.pid | 此值取自原始日志中的“event.Event.FileDeletion.source.fullPid.pid”字段。 |
event.Event.FileDeletion.source.user.name | read_only_udm.principal.user.userid | 此值取自原始日志中的“event.Event.FileDeletion.source.user.name”字段。 |
event.Event.FileDeletion.targetFile.path | read_only_udm.target.file.full_path | 该值取自原始日志中的“event.Event.FileDeletion.targetFile.path”字段。 |
event.Event.FileModification.file.path | read_only_udm.target.file.full_path | 此值取自原始日志中的“event.Event.FileModification.file.path”字段。 |
event.Event.FileModification.source.user.name | read_only_udm.principal.user.userid | 此值取自原始日志中的“event.Event.FileModification.source.user.name”字段。 |
event.Event.FileModification.targetFile.path | read_only_udm.target.file.full_path | 此值取自原始日志中的“event.Event.FileModification.targetFile.path”字段。 |
event.Event.Http.source.user.name | read_only_udm.principal.user.userid | 此值取自原始日志中的“event.Event.Http.source.user.name”字段。 |
event.Event.Http.url | read_only_udm.target.url | 该值取自原始日志中的“event.Event.Http.url”字段。 |
event.Event.ProcessCreation.process.user.name | read_only_udm.principal.user.userid | 此值取自原始日志中的“event.Event.ProcessCreation.process.user.name”字段。 |
event.Event.ProcessCreation.source.user.name | read_only_udm.principal.user.userid | 此值取自原始日志中的“event.Event.ProcessCreation.source.user.name”字段。 |
event.Event.ProcessExit.source.user.name | read_only_udm.principal.user.userid | 此值取自原始日志中的“event.Event.ProcessExit.source.user.name”字段。 |
event.Event.ProcessTermination.source.user.name | read_only_udm.principal.user.userid | 此值取自原始日志中的“event.Event.ProcessTermination.source.user.name”字段。 |
event.Event.RegKeyCreate.source.fullPid.pid | read_only_udm.principal.process.pid | 该值取自原始日志中的“event.Event.RegKeyCreate.source.fullPid.pid”字段。 |
event.Event.RegKeyCreate.source.user.name | read_only_udm.principal.user.userid | 此值取自原始日志中的“event.Event.RegKeyCreate.source.user.name”字段。 |
event.Event.RegKeyDelete.source.user.name | read_only_udm.principal.user.userid | 此值取自原始日志中的“event.Event.RegKeyDelete.source.user.name”字段。 |
event.Event.RegValueModified.source.user.name | read_only_udm.principal.user.userid | 此值取自原始日志中的“event.Event.RegValueModified.source.user.name”字段。 |
event.Event.SchedTaskDelete.source.user.name | read_only_udm.principal.user.userid | 此值取自原始日志中的“event.Event.SchedTaskDelete.source.user.name”字段。 |
event.Event.SchedTaskRegister.source.user.name | read_only_udm.principal.user.userid | 此值取自原始日志中的“event.Event.SchedTaskRegister.source.user.name”字段。 |
event.Event.SchedTaskStart.source.user.name | read_only_udm.principal.user.userid | 此值取自原始日志中的“event.Event.SchedTaskStart.source.user.name”字段。 |
event.Event.SchedTaskTrigger.source.fullPid.pid | read_only_udm.principal.process.pid | 该值取自原始日志中的“event.Event.SchedTaskTrigger.source.fullPid.pid”字段。 |
event.Event.SchedTaskTrigger.source.user.name | read_only_udm.principal.user.userid | 此值取自原始日志中的“event.Event.SchedTaskTrigger.source.user.name”字段。 |
event.Event.Tcpv4.source.fullPid.pid | read_only_udm.principal.process.pid | 该值取自原始日志中的“event.Event.Tcpv4.source.fullPid.pid”字段。 |
event.Event.Tcpv4.source.user.name | read_only_udm.principal.user.userid | 此值取自原始日志中的“event.Event.Tcpv4.source.user.name”字段。 |
event.Event.Tcpv4Listen.local.address | read_only_udm.principal.ip | 该值取自原始日志中的“event.Event.Tcpv4Listen.local.address”字段。 |
event.timestamp.millisecondsSinceEpoch | read_only_udm.metadata.event_timestamp.seconds | 此值取自原始日志中的“event.timestamp.millisecondsSinceEpoch”字段,并转换为秒数。 |
event.timestamp.millisecondsSinceEpoch | read_only_udm.metadata.event_timestamp.nanos | 该值取自原始日志中的“event.timestamp.millisecondsSinceEpoch”字段,并转换为纳秒。 |
event.timestamp.millisecondsSinceEpoch | security_result.about.resource.attribute.labels.value | 该值取自原始日志中的“event.timestamp.millisecondsSinceEpoch”字段,并用作 security_result.about.resource.attribute.labels 数组中标签的值。 |
event_type | read_only_udm.metadata.product_event_type | 系统会使用 Grok 模式从原始日志中的“message”字段中提取该值。 |
executable.hashes.md5 | read_only_udm.principal.process.file.md5 | 该值取自原始日志中的“event.Event. |
executable.hashes.sha1 | read_only_udm.principal.process.file.sha1 | 该值取自原始日志中的“event.Event. |
executable.hashes.sha256 | read_only_udm.principal.process.file.sha256 | 该值取自原始日志中的“event.Event. |
executable.path | read_only_udm.principal.process.file.full_path | 该值取自原始日志中的“event.Event. |
executable.sizeBytes | read_only_udm.principal.process.file.size | 该值取自原始日志中的“event.Event. |
fullPid.pid | read_only_udm.principal.process.pid | 该值取自原始日志中的“event.Event. |
hashes.md5 | read_only_udm.target.file.md5 | 该值取自原始日志中的“event.Event.ProcessCreation.hashes.md5”字段。 |
hashes.sha1 | read_only_udm.target.file.sha1 | 该值取自原始日志中的“event.Event.ProcessCreation.hashes.sha1”字段。 |
hashes.sha256 | read_only_udm.target.file.sha256 | 该值取自原始日志中的“event.Event.ProcessCreation.hashes.sha256”字段。 |
IpAddress | read_only_udm.target.ip | 该值取自原始日志中的“IpAddress”字段。 |
local.address | read_only_udm.principal.ip | 该值取自原始日志中的“event.Event.Tcpv4Listen.local.address”字段。 |
local.port | read_only_udm.principal.port | 该值取自原始日志中的“event.Event.Tcpv4Listen.local.port”字段。 |
log_type | read_only_udm.metadata.log_type | 该值取自原始日志中的“log_type”字段。 |
meta.agent_version | read_only_udm.metadata.product_version | 该值取自原始日志中的“meta.agent_version”字段。 |
meta.computer_name | read_only_udm.principal.hostname | 此值取自原始日志中的“meta.computer_name”字段。 |
meta.os_family | read_only_udm.principal.platform | 该值取自原始日志中的“meta.os_family”字段,并映射到相应的平台(例如windows 表示 Windows、osx 表示 Mac、linux 表示 Linux)。 |
meta.os_name | read_only_udm.principal.platform_version | 该值取自原始日志中的“meta.os_name”字段。 |
meta.os_revision | read_only_udm.principal.platform_patch_level | 该值取自原始日志中的“meta.os_revision”字段。 |
meta.uuid | read_only_udm.principal.asset_id | 该值取自原始日志中的“meta.uuid”字段,并在前面附加 SENTINELONE: 。 |
name | read_only_udm.principal.application | 该值取自原始日志中的“event.Event. |
parent.executable.hashes.md5 | read_only_udm.target.process.parent_process.file.md5 | 该值取自原始日志中的“event.Event. |
parent.executable.hashes.sha1 | read_only_udm.target.process.parent_process.file.sha1 | 该值取自原始日志中的“event.Event. |
parent.executable.hashes.sha256 | read_only_udm.target.process.parent_process.file.sha256 | 该值取自原始日志中的“event.Event. |
parent.executable.path | read_only_udm.target.process.parent_process.file.full_path | 该值取自原始日志中的“event.Event. |
parent.fullPid.pid | read_only_udm.target.process.parent_process.pid | 该值取自原始日志中的“event.Event. |
路径 | read_only_udm.principal.process.file.full_path | 该值取自原始日志中的“event.Event. |
process.commandLine | read_only_udm.target.process.command_line | 此值取自原始日志中的“event.Event.ProcessCreation.process.commandLine”字段。 |
process.fullPid.pid | read_only_udm.target.process.pid | 此值取自原始日志中的“event.Event.ProcessCreation.process.fullPid.pid”字段。 |
process.parent.fullPid.pid | read_only_udm.target.process.parent_process.pid | 此值取自原始日志中的“event.Event.ProcessCreation.process.parent.fullPid.pid”字段。 |
ProviderGuid | security_result.about.resource.attribute.labels.value | 该值取自原始日志中的“ProviderGuid”字段,并移除了大括号。 |
查询 | read_only_udm.network.dns.questions.name | 该值取自原始日志中的“event.Event.Dns.query”字段。 |
RecordNumber | security_result.about.resource.attribute.labels.value | 该值取自原始日志中的“RecordNumber”字段。 |
regKey.path | read_only_udm.target.registry.registry_key | 该值取自原始日志中的“event.Event.RegKeyCreate.regKey.path”或“event.Event.RegKeyDelete.regKey.path”字段。 |
regValue.path | read_only_udm.target.registry.registry_key | 该值取自原始日志中的“event.Event.RegValueDelete.regValue.path”或“event.Event.RegValueModified.regValue.path”字段。 |
结果 | read_only_udm.network.dns.answers.data | 此值取自原始日志中的“event.Event.Dns.results”字段。 |
已发送 UpdateServer | intermediary.hostname | 该值取自原始日志中的“Sent UpdateServer”字段。 |
seq_id | 此字段不会直接映射到 UDM。 | |
signature.Status.Signed.identity | 此字段不会直接映射到 UDM。 | |
sizeBytes | read_only_udm.principal.process.file.size | 该值取自原始日志中的“event.Event. |
sourceAddress.address | read_only_udm.principal.ip | 该值取自原始日志中的“event.Event.Tcpv4.sourceAddress.address”字段。 |
sourceAddress.port | read_only_udm.principal.port | 该值取自原始日志中的“event.Event.Tcpv4.sourceAddress.port”字段。 |
SourceName | security_result.about.resource.attribute.labels.value | 该值取自原始日志中的“SourceName”字段。 |
状态 | 此字段不会直接映射到 UDM。 | |
taskName | read_only_udm.target.resource.name | 该值取自原始日志中的“event.Event.SchedTaskStart.taskName”“event.Event.SchedTaskTrigger.taskName”或“event.Event.SchedTaskDelete.taskName”字段。 |
targetFile.hashes.md5 | read_only_udm.target.file.md5 | 该值取自原始日志中的“event.Event.FileDeletion.targetFile.hashes.md5”或“event.Event.SchedTaskStart.targetFile.hashes.md5”字段。 |
targetFile.hashes.sha1 | read_only_udm.target.file.sha1 | 此值取自原始日志中的“event.Event.FileDeletion.targetFile.hashes.sha1”或“event.Event.SchedTaskStart.targetFile.hashes.sha1”字段。 |
targetFile.hashes.sha256 | read_only_udm.target.file.sha256 | 此值取自原始日志中的“event.Event.FileDeletion.targetFile.hashes.sha256”或“event.Event.SchedTaskStart.targetFile.hashes.sha256”字段。 |
targetFile.path | read_only_udm.target.file.full_path | 该值取自原始日志中的“event.Event.FileDeletion.targetFile.path”或“event.Event.SchedTaskStart.targetFile.path”字段。 |
任务 | security_result.about.resource.attribute.labels.value | 该值取自原始日志中的“Task”字段。 |
timestamp.millisecondsSinceEpoch | read_only_udm.metadata.event_timestamp.seconds | 此值取自原始日志中的“event.timestamp.millisecondsSinceEpoch”字段,并转换为秒数。 |
timestamp.millisecondsSinceEpoch | read_only_udm.metadata.event_timestamp.nanos | 该值取自原始日志中的“event.timestamp.millisecondsSinceEpoch”字段,并转换为纳秒。 |
trace_id | 此字段不会直接映射到 UDM。 | |
triggerType | 此字段不会直接映射到 UDM。 | |
trueContext | 此字段不会直接映射到 UDM。 | |
trueContext.key | 此字段不会直接映射到 UDM。 | |
trueContext.key.value | 此字段不会直接映射到 UDM。 | |
类型 | read_only_udm.network.dns.answers.type | 该值取自原始日志中的“event.Event.Dns.results”字段,并使用正则表达式提取。 |
网址 | read_only_udm.target.url | 该值取自原始日志中的“event.Event.Http.url”字段。 |
user.name | read_only_udm.principal.user.userid | 该值取自原始日志中的“event.Event. |
user.sid | read_only_udm.principal.user.windows_sid | 该值取自原始日志中的“event.Event. |
UserID | read_only_udm.target.user.windows_sid | 只有当该值与 Windows SID 模式匹配时,才会从原始日志中的“UserID”字段中提取该值。 |
UserSid | read_only_udm.target.user.windows_sid | 只有当该值与 Windows SID 模式匹配时,系统才会从原始日志中的“UserSid”字段中提取该值。 |
valueType | 此字段不会直接映射到 UDM。 | |
winEventLog.channel | security_result.about.resource.attribute.labels.value | 此值取自原始日志中的“winEventLog.channel”字段。 |
winEventLog.description | 此字段不会直接映射到 UDM。 | |
winEventLog.id | security_result.about.resource.attribute.labels.value | 此值取自原始日志中的“winEventLog.id”字段。 |
winEventLog.level | security_result.severity | 该值取自原始日志中的“winEventLog.level”字段,并映射到相应的严重程度级别(例如Warning 改为 MEDIUM)。 |
winEventLog.providerName | security_result.about.resource.attribute.labels.value | 此值取自原始日志中的“winEventLog.providerName”字段。 |
winEventLog.xml | 此字段不会直接映射到 UDM。 | |
read_only_udm.metadata.event_type | 该值基于“event_type”字段确定,并映射到相应的 UDM 事件类型。 | |
read_only_udm.metadata.vendor_name | 该值设置为 SentinelOne 。 |
|
read_only_udm.metadata.product_name | 该值设置为 Deep Visibility 。 |
|
read_only_udm.metadata.product_log_id | 此值取自原始日志中的“trace.id”字段,仅适用于“meta.event.name”等于 PROCESSCREATION 的事件。 |
|
read_only_udm.metadata.product_deployment_id | 此值取自原始日志中的“account.id”字段,仅适用于“meta.event.name”等于 PROCESSCREATION 的事件。 |
|
read_only_udm.metadata.url_back_to_product | 此值取自原始日志中的“mgmt.url”字段,仅适用于“meta.event.name”等于 PROCESSCREATION 的事件。 |
|
read_only_udm.metadata.ingestion_labels.key | 对于“meta.event.name”等于 PROCESSCREATION 的事件,此值设置为 Process eUserUid 或 Process lUserUid 。 |
|
read_only_udm.metadata.ingestion_labels.value | 该值取自原始日志中的“src.process.eUserUid”或“src.process.lUserUid”字段,仅适用于“meta.event.name”等于 PROCESSCREATION 的事件。 |
|
read_only_udm.principal.administrative_domain | 原始日志中“event.Event. |
|
read_only_udm.target.process.parent_process.command_line | 该值取自原始日志中的“event.Event. |
|
read_only_udm.target.file | 如果“event_type”不是 FileCreation 、FileDeletion 、FileModification 、SchedTaskStart 或 ProcessCreation ,系统会创建一个空对象。 |
|
read_only_udm.network.ip_protocol | 对于“event_type”等于 Tcpv4 、Tcpv4Listen 或 Http 的事件,此值设为 TCP。 |
|
read_only_udm.network.application_protocol | 对于“event_type”等于 Dns 的事件,此值设置为 DNS。 |
|
read_only_udm.target.resource.type | 对于“event_type”等于 SchedTaskStart 、SchedTaskTrigger 或 SchedTaskDelete 的事件,此值设为 TASK 。 |
|
read_only_udm.target.resource.resource_type | 对于“event_type”等于 SchedTaskStart 、SchedTaskTrigger 或 SchedTaskDelete 的事件,此值设为 TASK。 |
|
read_only_udm.principal.process.product_specific_process_id | 如果原始日志中存在“ExecutionThreadID”字段,则将此值设置为 ExecutionThreadID:<ExecutionThreadID> 。 |
|
read_only_udm.principal.asset.asset_id | 如果原始日志中存在“agent.uuid”字段,则将此值设置为 Device ID:<agent.uuid> 。 |
|
read_only_udm.principal.namespace | 此值取自原始日志中的“site.id”字段,仅适用于“meta.event.name”等于 PROCESSCREATION 的事件。 |
|
read_only_udm.principal.location.name | 此值取自原始日志中的“site.name”字段,仅适用于“meta.event.name”等于 PROCESSCREATION 的事件。 |
|
read_only_udm.principal.resource.attribute.labels.key | 对于“meta.event.name”等于 PROCESSCREATION 的事件,此值设为 src.process.displayName 、src.process.uid 、isRedirectCmdProcessor 、isNative64Bit 、isStorylineRoot 、signedStatus 、src process subsystem 、src process integrityLevel 或 childProcCount 。 |
|
read_only_udm.principal.resource.attribute.labels.value | 此值取自原始日志中的相应字段,仅适用于“meta.event.name”等于 PROCESSCREATION 的事件。 |
|
read_only_udm.target.user.userid | 此值取自原始日志中的“tgt.process.uid”字段,仅适用于“meta.event.name”等于 PROCESSCREATION 的事件。 |
|
read_only_udm.target.user.user_display_name | 此值取自原始日志中的“tgt.process.displayName”字段,仅适用于“meta.event.name”等于 PROCESSCREATION 的事件。 |
|
read_only_udm.target.resource.attribute.labels.key | 对于“meta.event.name”等于 PROCESSCREATION 的事件,该值设为 isRedirectCmdProcessor 、isNative64Bit 、isStorylineRoot 、signedStatus 、file_isSigned 、tgt process subsystem 或 tgt process integrityLevel 。 |
|
read_only_udm.target.resource.attribute.labels.value | 此值取自原始日志中的相应字段,仅适用于“meta.event.name”等于 PROCESSCREATION 的事件。 |
|
read_only_udm.security_result.about.resource.attribute.labels.key | 对于“meta.event.name”等于 PROCESSCREATION 的事件,此值设为 tgt.process.storyline.id 、endpoint_type 、packet_id 、src.process.storyline.id 或 src.process.parent.storyline.id 。 |
|
read_only_udm.security_result.about.resource.attribute.labels.value | 该值取自原始日志中的相应字段,并在剧情 ID 前面附加 ID: (仅适用于“meta.event.name”等于 PROCESSCREATION 的事件)。 |
|
read_only_udm.security_result.category_details | 对于“meta.event.name”等于 PROCESSCREATION 的事件,此值设为 security 。 |
|
read_only_udm.target.asset.product_object_id | 此值取自原始日志中的“AdapterName”字段,仅适用于“meta.event.name”等于 EVENTLOG 的事件。 |
|
security_result.about.resource.attribute.labels.key | 对于“meta.event.name”等于 EVENTLOG 的事件,此值设为 TimeCreated SystemTime 、EventID 、Task 、Channel 、ProviderGuid 、RecordNumber 、SourceName 、endpoint_type 或 packet_id 。 |
|
security_result.detection_fields.key | 对于“meta.event.name”等于 EVENTLOG 且“ActivityID”字段不为空的事件,此值设置为 Activity ID 。 |
|
security_result.detection_fields.value | 该值取自原始日志中的“ActivityID”字段,仅适用于“meta.event.name”等于 EVENTLOG 且“ActivityID”字段不为空的事件。 |
变化
2023-09-06
增强功能:
- 将
tgt.process.storyline.id
的映射从target.process.product_specific_process_id
更改为了security_result.about.resource.attribute.labels
。 - 将
src.process.storyline.id
的映射从principal.process.product_specific_process_id
更改为了security_result.about.resource.attribute.labels
。 - 将
src.process.parent.storyline.id
的映射从principal.parent.process.product_specific_process_id
更改为了security_result.about.resource.attribute.labels
。
2023-07-31
增强功能:
- 处理了包含
XML
数据的日志。
2023-04-09
增强功能:
- 如果
event.type
为Process Creation
,则将metadata.event_type
映射到PROCESS_LAUNCH
。 - 如果
event.type
为Duplicate Process Handle
,则将metadata.event_type
映射到PROCESS_OPEN
。 - 如果
event.type
为Duplicate Thread Handle
,则将metadata.event_type
映射到PROCESS_OPEN
。 - 如果
event.type
为Open Remote Process Handle
,则将metadata.event_type
映射到PROCESS_OPEN
。 - 如果
event.type
为Remote Thread Creation
,则将metadata.event_type
映射到PROCESS_LAUNCH
。 - 如果
event.type
为Command Script
,则将metadata.event_type
映射到FILE_UNCATEGORIZED
。 - 如果
event.type
为IP Connect
,则将metadata.event_type
映射到NETWORK_CONNECTION
。 - 如果
event.type
为IP Listen
,则将metadata.event_type
映射到NETWORK_UNCATEGORIZED
。 - 如果
event.type
为File ModIfication
,则将metadata.event_type
映射到FILE_MODIfICATION
。 - 如果
event.type
为File Creation
,则将metadata.event_type
映射到FILE_CREATION
。 - 如果
event.type
为File Scan
,则将metadata.event_type
映射到FILE_UNCATEGORIZED
。 - 如果
event.type
为File Deletion
,则将metadata.event_type
映射到FILE_DELETION
。 - 如果
event.type
为File Rename
,则将metadata.event_type
映射到FILE_MODIfICATION
。 - 如果
event.type
为Pre Execution Detection
,则将metadata.event_type
映射到FILE_UNCATEGORIZED
。 - 如果
event.type
为Login
,则将metadata.event_type
映射到USER_LOGIN
。 - 如果
event.type
为Logout
,则将metadata.event_type
映射到USER_LOGOUT
。 - 如果
event.type
为GET
,则将metadata.event_type
映射到NETWORK_HTTP
。 - 如果
event.type
为OPTIONS
,则将metadata.event_type
映射到NETWORK_HTTP
。 - 如果
event.type
为POST
,则将metadata.event_type
映射到NETWORK_HTTP
。 - 如果
event.type
为PUT
,则将metadata.event_type
映射到NETWORK_HTTP
。 - 如果
event.type
为DELETE
,则将metadata.event_type
映射到NETWORK_HTTP
。 - 如果
event.type
为CONNECT
,则将metadata.event_type
映射到NETWORK_HTTP
。 - 如果
event.type
为HEAD
,则将metadata.event_type
映射到NETWORK_HTTP
。 - 如果
event.type
为Not Reported
,则将metadata.event_type
映射到STATUS_UNCATEGORIZED
。 - 如果
event.type
为DNS Resolved
,则将metadata.event_type
映射到NETWORK_DNS
。 - 如果
event.type
为DNS Unresolved
,则将metadata.event_type
映射到NETWORK_DNS
。 - 如果
event.type
为Task Register
,则将metadata.event_type
映射到SCHEDULED_TASK_CREATION
。 - 如果
event.type
为Task Update
,则将metadata.event_type
映射到SCHEDULED_TASK_MODIfICATION
。 - 如果
event.type
为Task Start
,则将metadata.event_type
映射到SCHEDULED_TASK_UNCATEGORIZED
。 - 如果
event.type
为Task Trigger
,则将metadata.event_type
映射到SCHEDULED_TASK_UNCATEGORIZED
。 - 如果
event.type
为Task Delete
,则将metadata.event_type
映射到SCHEDULED_TASK_DELETION
。 - 如果
event.type
为Registry Key Create
,则将metadata.event_type
映射到REGISTRY_CREATION
。 - 如果
event.type
为Registry Key Rename
,则将metadata.event_type
映射到REGISTRY_MODIfICATION
。 - 如果
event.type
为Registry Key Delete
,则将metadata.event_type
映射到REGISTRY_DELETION
。 - 如果
event.type
为Registry Key Export
,则将metadata.event_type
映射到REGISTRY_UNCATEGORIZED
。 - 如果
event.type
为Registry Key Security Changed
,则将metadata.event_type
映射到REGISTRY_MODIfICATION
。 - 如果
event.type
为Registry Key Import
,则将metadata.event_type
映射到REGISTRY_CREATION
。 - 如果
event.type
为Registry Value ModIfied
,则将metadata.event_type
映射到REGISTRY_MODIfICATION
。 - 如果
event.type
为Registry Value Create
,则将metadata.event_type
映射到REGISTRY_CREATION
。 - 如果
event.type
为Registry Value Delete
,则将metadata.event_type
映射到REGISTRY_DELETION
。 - 如果
event.type
为Behavioral Indicators
,则将metadata.event_type
映射到SCAN_UNCATEGORIZED
。 - 如果
event.type
为Module Load
,则将metadata.event_type
映射到PROCESS_MODULE_LOAD
。 - 如果
event.type
为Threat Intelligence Indicators
,则将metadata.event_type
映射到SCAN_UNCATEGORIZED
。 - 如果
event.type
为Named Pipe Creation
,则将metadata.event_type
映射到PROCESS_UNCATEGORIZED
。 - 如果
event.type
为Named Pipe Connection
,则将metadata.event_type
映射到PROCESS_UNCATEGORIZED
。 - 如果
event.type
为Driver Load
,则将metadata.event_type
映射到PROCESS_MODULE_LOAD
。
2023-02-13
增强功能:
- 将
endpoint.os
映射到principal.platform
。 - 将
endpoint.name
映射到target.hostname
。 - 将
src.process.pid
映射到principal.process.pid
。 - 将
src.process.cmdline
映射到principal.process.command_line
。 - 将
src.process.image.path
映射到principal.process.file.full_path
。 - 将
src.process.image.sha1
映射到principal.process.file.sha1
。 - 将
src.process.eUserUid
映射到metadata.ingestion_labels
。 - 将
src.process.lUserUid
映射到metadata.ingestion_labels
。 - 将
src.process.uid
映射到principal.user.userid
。 - 将
src.process.displayName
映射到principal.user.user_display_name
。 - 将
src.process.isRedirectCmdProcessor
、src.process.isNative64Bit
、src.process.isStorylineRoot
、src.process.signedStatus
、src.file.isSigned
、src.process.subsystem
、src.process.integrityLevel
、src.process.tgtFileCreationCount
、src.process.childProcCount
、src.process.indicatorBootConfigurationUpdateCount
、src.process.indicatorEvasionCount
、src.process.indicatorExploitationCount
、src.process.indicatorGeneralCount
、src.process.indicatorInfostealerCount
、src.process.moduleCount
映射到principal.resource.attribute.labels
。 - 将
src.process.image.md5
映射到principal.process.file.md5
。 - 将
agent.uuid
映射到principal.asset.asset_id
。 - 将
agent.version
映射到metadata.product_version
。 - 将
site.id
映射到principal.namespace
。 - 将
site.name
映射到principal.location.name
。 - 将
trace.id
映射到metadata.product_log_id
。 - 将
dataSource.category
映射到security_result.category_details
。 - 将
packet.id
映射到about.resource.attribute.labels
。 - 将
mgmt.url
、endpoint.type
映射到metadata.url_back_to_product
。 - 将
tgt.process.image.sha1
映射到target.process.file.sha1
。 - 将
tgt.process.image.path
映射到target.process.file.full_path
。 - 将
tgt.process.pid
映射到target.process.pid
。 - 将
tgt.process.uid
映射到target.user.userid
。 - 将
tgt.process.cmdline
映射到target.process.command_line
。 - 将
tgt.process.displayName
映射到target.user.user_display_name
。 - 将
tgt.process.image.md5
映射到target.process.file.md5
。 - 将
src.process.parent.image.sha256
映射到principal.process.file.sha256
。 - 将
tgt.process.image.sha256
映射到target.process.file.sha256
。 - 将
tgt.process.sessionId
映射到network.session_id
。 - 将
tgt.process.storyline.id
映射到target.process.product_specific_process_id
。 - 将
tgt.process.isRedirectCmdProcessor
、tgt.process.isNative64Bit
、tgt.process.isStorylineRoot
、tgt.process.signedStatus
、tgt.file.isSigned
、tgt.process.subsystem
、tgt.process.integrityLevel
、tgt.process.publisher
映射到target.resource.attribute.labels
。 - 将
prod_event_type
映射到metadata.product_event_type
。
2022-09-09
增强功能:
- 取消了
event_type
= null 的日志丢弃操作。 - 为
meta.os_version
、meta.os_name
、meta.uuid
、meta.computer_name
、meta.os_revision
提供了 null 检查。 - 将
*.targetFile.hashes.sha1
和*.source.executable.hashes.sha1
的大小缩减为 64 字节,以免超出 64 字节的上限。
需要更多帮助?向社区成员和 Google SecOps 专业人士寻求解答。