收集 SentinelOne Deep Visibility 日志
支持的平台:
Google SecOps
SIEM
本文档介绍了如何使用 Cloud Funnel 将 SentinelOne Deep Visibility 日志导出到 Google Security Operations,以便将日志导出到 Google Cloud Storage。解析器会将采用 JSON 格式的原始安全事件日志转换为符合 UDM 的结构化格式。它首先会初始化一组变量,然后提取事件类型并解析 JSON 载荷,将相关字段映射到 UDM 架构,同时单独处理 Windows 事件日志。
准备工作
- 确保您拥有 Google SecOps 实例。
- 确保您拥有对 Google Cloud的特权访问权限。
- 确保已在您的环境中设置 SentinelOne Deep Visibility。
- 确保您拥有对 SentinelOne 的特权访问权限。
创建 Google Cloud Storage 存储分区
- 登录 Google Cloud 控制台。
前往 Cloud Storage 存储分区页面。
点击创建。
在创建存储桶页面上,输入您的存储桶信息。完成以下各步骤后,点击继续以进入下一步:
在开始使用部分中,执行以下操作:
- 输入符合存储分区名称要求的唯一名称;例如,sentinelone-deepvisibility。
如需启用分层命名空间,请点击展开箭头以展开优化文件导向型和数据密集型工作负载部分,然后选择在此存储分区上启用分层命名空间。
如需添加存储分区标签,请点击展开箭头以展开标签部分。
点击添加标签,然后为标签指定键和值。
在选择数据存储位置部分中,执行以下操作:
- 选择位置类型。
使用位置类型菜单选择一个位置,用于永久存储存储分区中的对象数据。
如需设置跨存储分区复制,请展开设置跨存储分区复制部分。
在为数据选择一个存储类别部分中,为存储分区选择默认存储类别,或者选择 Autoclass 对存储分区数据进行自动存储类别管理。
在选择如何控制对对象的访问权限部分中,选择否以强制执行禁止公开访问,然后为存储分区对象选择访问权限控制模型。
在选择如何保护对象数据部分中,执行以下操作:
- 在数据保护下,选择您要为存储分区设置的任何选项。
- 如需选择对象数据的加密方式,请点击标有数据加密的展开箭头,然后选择数据加密方法。
点击创建。
创建 Google Cloud 服务账号
- 依次前往 IAM 和管理 > 服务账号。
- 创建新的服务账号。
- 为其指定一个描述性名称,例如 sentinelone-dv-logs。
- 向服务账号授予您在上一步中创建的 Cloud Storage 存储分区的 Storage Object Creator 角色。
- 为服务账号创建 SSH 密钥。
- 下载服务账号的 JSON 密钥文件。请妥善保管此文件。
在 SentinelOne DeepVisibility 中配置 Cloud Funnel
- 登录 SentinelOne DeepVisibility。
- 依次点击配置 > 政策和设置。
- 在 Singularity Data Lake(Singularity 数据湖)部分,点击 Cloud Funnel(Cloud Funnel)。
- 提供以下配置详细信息:
- 云服务商:选择 Google Cloud。
- 存储分区名称:输入您为 SentinelOne DeepVisibility 日志提取创建的 Cloud Storage 存储分区的名称。
- 遥测数据流式传输:选择启用。
- 查询过滤条件:创建一个查询,其中包含需要将数据发送到 Cloud Storage 存储分区的代理。
- 点击验证。
- 要包含的字段:选择所有字段。
- 点击保存。
在 Google SecOps 中配置 Feed 以提取 SentinelOne Deep Visibility 日志
- 依次前往 SIEM 设置 > Feed。
- 点击新增。
- 在 Feed 名称字段中,输入 Feed 的名称;例如,SentinelOne DV 日志。
- 选择 Google Cloud Storage 作为来源类型。
- 选择 SentinelOne Deep Visibility 作为日志类型。
- 点击获取服务账号作为 Chronicle 服务账号。
- 点击下一步。
为以下输入参数指定值:
- 存储分区 URI:格式为
gs://my-bucket/<value>的 Google Cloud Storage 存储分区网址。 - URI 类型:选择包含子目录的目录。
来源删除选项:根据您的偏好选择删除选项。
资源命名空间:资源命名空间。
提取标签:应用于此 Feed 中事件的标签。
- 存储分区 URI:格式为
点击下一步。
在“最终确定”界面中查看新的 Feed 配置,然后点击提交。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
| AdapterName | security_result.about.resource.attribute.labels.value | 此值取自原始日志中的“AdapterName”字段。 |
| AdapterSuffixName | security_result.about.resource.attribute.labels.value | 此值取自原始日志中的“AdapterSuffixName”字段。 |
| agent_version | read_only_udm.metadata.product_version | 该值取自原始日志中的“meta.agent_version”字段。 |
| 渠道 | security_result.about.resource.attribute.labels.value | 此值取自原始日志中的“渠道”字段。 |
| commandLine | read_only_udm.principal.process.command_line | 该值取自原始日志中的“event.Event. |
| computer_name | read_only_udm.principal.hostname | 此值取自原始日志中的“meta.computer_name”字段。 |
| destinationAddress.address | read_only_udm.target.ip | 该值取自原始日志中的“event.Event.Tcpv4.destinationAddress.address”字段。 |
| destinationAddress.port | read_only_udm.target.port | 该值取自原始日志中的“event.Event.Tcpv4.destinationAddress.port”字段。 |
| DnsServerList | read_only_udm.principal.ip | 该值取自原始日志中的“DnsServerList”字段。 |
| ErrorCode_new | security_result.detection_fields.value | 此值取自原始日志中的“ErrorCode_new”字段。 |
| EventID | security_result.about.resource.attribute.labels.value | 此值取自原始日志中的“EventID”字段。 |
| event.Event.Dns.query | read_only_udm.network.dns.questions.name | 该值取自原始日志中的“event.Event.Dns.query”字段。 |
| event.Event.Dns.results | read_only_udm.network.dns.answers.data | 此值取自原始日志中的“event.Event.Dns.results”字段。 |
| event.Event.Dns.source.fullPid.pid | read_only_udm.principal.process.pid | 该值取自原始日志中的“event.Event.Dns.source.fullPid.pid”字段。 |
| event.Event.Dns.source.user.name | read_only_udm.principal.user.userid | 此值取自原始日志中的“event.Event.Dns.source.user.name”字段。 |
| event.Event.FileCreation.source.fullPid.pid | read_only_udm.principal.process.pid | 此值取自原始日志中的“event.Event.FileCreation.source.fullPid.pid”字段。 |
| event.Event.FileCreation.source.user.name | read_only_udm.principal.user.userid | 此值取自原始日志中的“event.Event.FileCreation.source.user.name”字段。 |
| event.Event.FileCreation.targetFile.path | read_only_udm.target.file.full_path | 此值取自原始日志中的“event.Event.FileCreation.targetFile.path”字段。 |
| event.Event.FileDeletion.source.fullPid.pid | read_only_udm.principal.process.pid | 此值取自原始日志中的“event.Event.FileDeletion.source.fullPid.pid”字段。 |
| event.Event.FileDeletion.source.user.name | read_only_udm.principal.user.userid | 此值取自原始日志中的“event.Event.FileDeletion.source.user.name”字段。 |
| event.Event.FileDeletion.targetFile.path | read_only_udm.target.file.full_path | 该值取自原始日志中的“event.Event.FileDeletion.targetFile.path”字段。 |
| event.Event.FileModification.file.path | read_only_udm.target.file.full_path | 此值取自原始日志中的“event.Event.FileModification.file.path”字段。 |
| event.Event.FileModification.source.user.name | read_only_udm.principal.user.userid | 此值取自原始日志中的“event.Event.FileModification.source.user.name”字段。 |
| event.Event.FileModification.targetFile.path | read_only_udm.target.file.full_path | 此值取自原始日志中的“event.Event.FileModification.targetFile.path”字段。 |
| event.Event.Http.source.user.name | read_only_udm.principal.user.userid | 此值取自原始日志中的“event.Event.Http.source.user.name”字段。 |
| event.Event.Http.url | read_only_udm.target.url | 该值取自原始日志中的“event.Event.Http.url”字段。 |
| event.Event.ProcessCreation.process.user.name | read_only_udm.principal.user.userid | 此值取自原始日志中的“event.Event.ProcessCreation.process.user.name”字段。 |
| event.Event.ProcessCreation.source.user.name | read_only_udm.principal.user.userid | 此值取自原始日志中的“event.Event.ProcessCreation.source.user.name”字段。 |
| event.Event.ProcessExit.source.user.name | read_only_udm.principal.user.userid | 此值取自原始日志中的“event.Event.ProcessExit.source.user.name”字段。 |
| event.Event.ProcessTermination.source.user.name | read_only_udm.principal.user.userid | 此值取自原始日志中的“event.Event.ProcessTermination.source.user.name”字段。 |
| event.Event.RegKeyCreate.source.fullPid.pid | read_only_udm.principal.process.pid | 该值取自原始日志中的“event.Event.RegKeyCreate.source.fullPid.pid”字段。 |
| event.Event.RegKeyCreate.source.user.name | read_only_udm.principal.user.userid | 此值取自原始日志中的“event.Event.RegKeyCreate.source.user.name”字段。 |
| event.Event.RegKeyDelete.source.user.name | read_only_udm.principal.user.userid | 此值取自原始日志中的“event.Event.RegKeyDelete.source.user.name”字段。 |
| event.Event.RegValueModified.source.user.name | read_only_udm.principal.user.userid | 此值取自原始日志中的“event.Event.RegValueModified.source.user.name”字段。 |
| event.Event.SchedTaskDelete.source.user.name | read_only_udm.principal.user.userid | 此值取自原始日志中的“event.Event.SchedTaskDelete.source.user.name”字段。 |
| event.Event.SchedTaskRegister.source.user.name | read_only_udm.principal.user.userid | 此值取自原始日志中的“event.Event.SchedTaskRegister.source.user.name”字段。 |
| event.Event.SchedTaskStart.source.user.name | read_only_udm.principal.user.userid | 此值取自原始日志中的“event.Event.SchedTaskStart.source.user.name”字段。 |
| event.Event.SchedTaskTrigger.source.fullPid.pid | read_only_udm.principal.process.pid | 该值取自原始日志中的“event.Event.SchedTaskTrigger.source.fullPid.pid”字段。 |
| event.Event.SchedTaskTrigger.source.user.name | read_only_udm.principal.user.userid | 此值取自原始日志中的“event.Event.SchedTaskTrigger.source.user.name”字段。 |
| event.Event.Tcpv4.source.fullPid.pid | read_only_udm.principal.process.pid | 该值取自原始日志中的“event.Event.Tcpv4.source.fullPid.pid”字段。 |
| event.Event.Tcpv4.source.user.name | read_only_udm.principal.user.userid | 此值取自原始日志中的“event.Event.Tcpv4.source.user.name”字段。 |
| event.Event.Tcpv4Listen.local.address | read_only_udm.principal.ip | 该值取自原始日志中的“event.Event.Tcpv4Listen.local.address”字段。 |
| event.timestamp.millisecondsSinceEpoch | read_only_udm.metadata.event_timestamp.seconds | 此值取自原始日志中的“event.timestamp.millisecondsSinceEpoch”字段,并转换为秒数。 |
| event.timestamp.millisecondsSinceEpoch | read_only_udm.metadata.event_timestamp.nanos | 该值取自原始日志中的“event.timestamp.millisecondsSinceEpoch”字段,并转换为纳秒。 |
| event.timestamp.millisecondsSinceEpoch | security_result.about.resource.attribute.labels.value | 该值取自原始日志中的“event.timestamp.millisecondsSinceEpoch”字段,并用作 security_result.about.resource.attribute.labels 数组中标签的值。 |
| event_type | read_only_udm.metadata.product_event_type | 系统会使用 Grok 模式从原始日志中的“message”字段中提取该值。 |
| executable.hashes.md5 | read_only_udm.principal.process.file.md5 | 该值取自原始日志中的“event.Event. |
| executable.hashes.sha1 | read_only_udm.principal.process.file.sha1 | 该值取自原始日志中的“event.Event. |
| executable.hashes.sha256 | read_only_udm.principal.process.file.sha256 | 该值取自原始日志中的“event.Event. |
| executable.path | read_only_udm.principal.process.file.full_path | 该值取自原始日志中的“event.Event. |
| executable.sizeBytes | read_only_udm.principal.process.file.size | 该值取自原始日志中的“event.Event. |
| fullPid.pid | read_only_udm.principal.process.pid | 该值取自原始日志中的“event.Event. |
| hashes.md5 | read_only_udm.target.file.md5 | 该值取自原始日志中的“event.Event.ProcessCreation.hashes.md5”字段。 |
| hashes.sha1 | read_only_udm.target.file.sha1 | 该值取自原始日志中的“event.Event.ProcessCreation.hashes.sha1”字段。 |
| hashes.sha256 | read_only_udm.target.file.sha256 | 该值取自原始日志中的“event.Event.ProcessCreation.hashes.sha256”字段。 |
| IpAddress | read_only_udm.target.ip | 该值取自原始日志中的“IpAddress”字段。 |
| local.address | read_only_udm.principal.ip | 该值取自原始日志中的“event.Event.Tcpv4Listen.local.address”字段。 |
| local.port | read_only_udm.principal.port | 该值取自原始日志中的“event.Event.Tcpv4Listen.local.port”字段。 |
| log_type | read_only_udm.metadata.log_type | 该值取自原始日志中的“log_type”字段。 |
| meta.agent_version | read_only_udm.metadata.product_version | 该值取自原始日志中的“meta.agent_version”字段。 |
| meta.computer_name | read_only_udm.principal.hostname | 此值取自原始日志中的“meta.computer_name”字段。 |
| meta.os_family | read_only_udm.principal.platform | 该值取自原始日志中的“meta.os_family”字段,并映射到相应的平台(例如windows 表示 Windows、osx 表示 Mac、linux 表示 Linux)。 |
| meta.os_name | read_only_udm.principal.platform_version | 该值取自原始日志中的“meta.os_name”字段。 |
| meta.os_revision | read_only_udm.principal.platform_patch_level | 该值取自原始日志中的“meta.os_revision”字段。 |
| meta.uuid | read_only_udm.principal.asset_id | 该值取自原始日志中的“meta.uuid”字段,并在前面附加 SENTINELONE:。 |
| name | read_only_udm.principal.application | 该值取自原始日志中的“event.Event. |
| parent.executable.hashes.md5 | read_only_udm.target.process.parent_process.file.md5 | 该值取自原始日志中的“event.Event. |
| parent.executable.hashes.sha1 | read_only_udm.target.process.parent_process.file.sha1 | 该值取自原始日志中的“event.Event. |
| parent.executable.hashes.sha256 | read_only_udm.target.process.parent_process.file.sha256 | 该值取自原始日志中的“event.Event. |
| parent.executable.path | read_only_udm.target.process.parent_process.file.full_path | 该值取自原始日志中的“event.Event. |
| parent.fullPid.pid | read_only_udm.target.process.parent_process.pid | 该值取自原始日志中的“event.Event. |
| 路径 | read_only_udm.principal.process.file.full_path | 该值取自原始日志中的“event.Event. |
| process.commandLine | read_only_udm.target.process.command_line | 此值取自原始日志中的“event.Event.ProcessCreation.process.commandLine”字段。 |
| process.fullPid.pid | read_only_udm.target.process.pid | 此值取自原始日志中的“event.Event.ProcessCreation.process.fullPid.pid”字段。 |
| process.parent.fullPid.pid | read_only_udm.target.process.parent_process.pid | 此值取自原始日志中的“event.Event.ProcessCreation.process.parent.fullPid.pid”字段。 |
| ProviderGuid | security_result.about.resource.attribute.labels.value | 该值取自原始日志中的“ProviderGuid”字段,并移除了大括号。 |
| 查询 | read_only_udm.network.dns.questions.name | 该值取自原始日志中的“event.Event.Dns.query”字段。 |
| RecordNumber | security_result.about.resource.attribute.labels.value | 该值取自原始日志中的“RecordNumber”字段。 |
| regKey.path | read_only_udm.target.registry.registry_key | 该值取自原始日志中的“event.Event.RegKeyCreate.regKey.path”或“event.Event.RegKeyDelete.regKey.path”字段。 |
| regValue.path | read_only_udm.target.registry.registry_key | 该值取自原始日志中的“event.Event.RegValueDelete.regValue.path”或“event.Event.RegValueModified.regValue.path”字段。 |
| 结果 | read_only_udm.network.dns.answers.data | 此值取自原始日志中的“event.Event.Dns.results”字段。 |
| 已发送 UpdateServer | intermediary.hostname | 该值取自原始日志中的“Sent UpdateServer”字段。 |
| seq_id | 此字段不会直接映射到 UDM。 | |
| signature.Status.Signed.identity | 此字段不会直接映射到 UDM。 | |
| sizeBytes | read_only_udm.principal.process.file.size | 该值取自原始日志中的“event.Event. |
| sourceAddress.address | read_only_udm.principal.ip | 该值取自原始日志中的“event.Event.Tcpv4.sourceAddress.address”字段。 |
| sourceAddress.port | read_only_udm.principal.port | 该值取自原始日志中的“event.Event.Tcpv4.sourceAddress.port”字段。 |
| SourceName | security_result.about.resource.attribute.labels.value | 该值取自原始日志中的“SourceName”字段。 |
| 状态 | 此字段不会直接映射到 UDM。 | |
| taskName | read_only_udm.target.resource.name | 该值取自原始日志中的“event.Event.SchedTaskStart.taskName”“event.Event.SchedTaskTrigger.taskName”或“event.Event.SchedTaskDelete.taskName”字段。 |
| targetFile.hashes.md5 | read_only_udm.target.file.md5 | 该值取自原始日志中的“event.Event.FileDeletion.targetFile.hashes.md5”或“event.Event.SchedTaskStart.targetFile.hashes.md5”字段。 |
| targetFile.hashes.sha1 | read_only_udm.target.file.sha1 | 此值取自原始日志中的“event.Event.FileDeletion.targetFile.hashes.sha1”或“event.Event.SchedTaskStart.targetFile.hashes.sha1”字段。 |
| targetFile.hashes.sha256 | read_only_udm.target.file.sha256 | 此值取自原始日志中的“event.Event.FileDeletion.targetFile.hashes.sha256”或“event.Event.SchedTaskStart.targetFile.hashes.sha256”字段。 |
| targetFile.path | read_only_udm.target.file.full_path | 该值取自原始日志中的“event.Event.FileDeletion.targetFile.path”或“event.Event.SchedTaskStart.targetFile.path”字段。 |
| 任务 | security_result.about.resource.attribute.labels.value | 该值取自原始日志中的“Task”字段。 |
| timestamp.millisecondsSinceEpoch | read_only_udm.metadata.event_timestamp.seconds | 此值取自原始日志中的“event.timestamp.millisecondsSinceEpoch”字段,并转换为秒数。 |
| timestamp.millisecondsSinceEpoch | read_only_udm.metadata.event_timestamp.nanos | 该值取自原始日志中的“event.timestamp.millisecondsSinceEpoch”字段,并转换为纳秒。 |
| trace_id | 此字段不会直接映射到 UDM。 | |
| triggerType | 此字段不会直接映射到 UDM。 | |
| trueContext | 此字段不会直接映射到 UDM。 | |
| trueContext.key | 此字段不会直接映射到 UDM。 | |
| trueContext.key.value | 此字段不会直接映射到 UDM。 | |
| 类型 | read_only_udm.network.dns.answers.type | 该值取自原始日志中的“event.Event.Dns.results”字段,并使用正则表达式提取。 |
| 网址 | read_only_udm.target.url | 该值取自原始日志中的“event.Event.Http.url”字段。 |
| user.name | read_only_udm.principal.user.userid | 该值取自原始日志中的“event.Event. |
| user.sid | read_only_udm.principal.user.windows_sid | 该值取自原始日志中的“event.Event. |
| UserID | read_only_udm.target.user.windows_sid | 只有当该值与 Windows SID 模式匹配时,才会从原始日志中的“UserID”字段中提取该值。 |
| UserSid | read_only_udm.target.user.windows_sid | 只有当该值与 Windows SID 模式匹配时,系统才会从原始日志中的“UserSid”字段中提取该值。 |
| valueType | 此字段不会直接映射到 UDM。 | |
| winEventLog.channel | security_result.about.resource.attribute.labels.value | 此值取自原始日志中的“winEventLog.channel”字段。 |
| winEventLog.description | 此字段不会直接映射到 UDM。 | |
| winEventLog.id | security_result.about.resource.attribute.labels.value | 此值取自原始日志中的“winEventLog.id”字段。 |
| winEventLog.level | security_result.severity | 该值取自原始日志中的“winEventLog.level”字段,并映射到相应的严重程度级别(例如Warning 改为 MEDIUM)。 |
| winEventLog.providerName | security_result.about.resource.attribute.labels.value | 此值取自原始日志中的“winEventLog.providerName”字段。 |
| winEventLog.xml | 此字段不会直接映射到 UDM。 | |
| read_only_udm.metadata.event_type | 该值基于“event_type”字段确定,并映射到相应的 UDM 事件类型。 | |
| read_only_udm.metadata.vendor_name | 该值设置为 SentinelOne。 |
|
| read_only_udm.metadata.product_name | 该值设置为 Deep Visibility。 |
|
| read_only_udm.metadata.product_log_id | 此值取自原始日志中的“trace.id”字段,仅适用于“meta.event.name”等于 PROCESSCREATION 的事件。 |
|
| read_only_udm.metadata.product_deployment_id | 此值取自原始日志中的“account.id”字段,仅适用于“meta.event.name”等于 PROCESSCREATION 的事件。 |
|
| read_only_udm.metadata.url_back_to_product | 此值取自原始日志中的“mgmt.url”字段,仅适用于“meta.event.name”等于 PROCESSCREATION 的事件。 |
|
| read_only_udm.metadata.ingestion_labels.key | 对于“meta.event.name”等于 PROCESSCREATION 的事件,此值设置为 Process eUserUid 或 Process lUserUid。 |
|
| read_only_udm.metadata.ingestion_labels.value | 该值取自原始日志中的“src.process.eUserUid”或“src.process.lUserUid”字段,仅适用于“meta.event.name”等于 PROCESSCREATION 的事件。 |
|
| read_only_udm.principal.administrative_domain | 原始日志中“event.Event. |
|
| read_only_udm.target.process.parent_process.command_line | 该值取自原始日志中的“event.Event. |
|
| read_only_udm.target.file | 如果“event_type”不是 FileCreation、FileDeletion、FileModification、SchedTaskStart 或 ProcessCreation,系统会创建一个空对象。 |
|
| read_only_udm.network.ip_protocol | 对于“event_type”等于 Tcpv4、Tcpv4Listen 或 Http 的事件,此值设为 TCP。 |
|
| read_only_udm.network.application_protocol | 对于“event_type”等于 Dns 的事件,此值设置为 DNS。 |
|
| read_only_udm.target.resource.type | 对于“event_type”等于 SchedTaskStart、SchedTaskTrigger 或 SchedTaskDelete 的事件,此值设为 TASK。 |
|
| read_only_udm.target.resource.resource_type | 对于“event_type”等于 SchedTaskStart、SchedTaskTrigger 或 SchedTaskDelete 的事件,此值设为 TASK。 |
|
| read_only_udm.principal.process.product_specific_process_id | 如果原始日志中存在“ExecutionThreadID”字段,则将此值设置为 ExecutionThreadID:<ExecutionThreadID>。 |
|
| read_only_udm.principal.asset.asset_id | 如果原始日志中存在“agent.uuid”字段,则将此值设置为 Device ID:<agent.uuid>。 |
|
| read_only_udm.principal.namespace | 此值取自原始日志中的“site.id”字段,仅适用于“meta.event.name”等于 PROCESSCREATION 的事件。 |
|
| read_only_udm.principal.location.name | 此值取自原始日志中的“site.name”字段,仅适用于“meta.event.name”等于 PROCESSCREATION 的事件。 |
|
| read_only_udm.principal.resource.attribute.labels.key | 对于“meta.event.name”等于 PROCESSCREATION 的事件,此值设为 src.process.displayName、src.process.uid、isRedirectCmdProcessor、isNative64Bit、isStorylineRoot、signedStatus、src process subsystem、src process integrityLevel 或 childProcCount。 |
|
| read_only_udm.principal.resource.attribute.labels.value | 此值取自原始日志中的相应字段,仅适用于“meta.event.name”等于 PROCESSCREATION 的事件。 |
|
| read_only_udm.target.user.userid | 此值取自原始日志中的“tgt.process.uid”字段,仅适用于“meta.event.name”等于 PROCESSCREATION 的事件。 |
|
| read_only_udm.target.user.user_display_name | 此值取自原始日志中的“tgt.process.displayName”字段,仅适用于“meta.event.name”等于 PROCESSCREATION 的事件。 |
|
| read_only_udm.target.resource.attribute.labels.key | 对于“meta.event.name”等于 PROCESSCREATION 的事件,该值设为 isRedirectCmdProcessor、isNative64Bit、isStorylineRoot、signedStatus、file_isSigned、tgt process subsystem 或 tgt process integrityLevel。 |
|
| read_only_udm.target.resource.attribute.labels.value | 此值取自原始日志中的相应字段,仅适用于“meta.event.name”等于 PROCESSCREATION 的事件。 |
|
| read_only_udm.security_result.about.resource.attribute.labels.key | 对于“meta.event.name”等于 PROCESSCREATION 的事件,此值设为 tgt.process.storyline.id、endpoint_type、packet_id、src.process.storyline.id 或 src.process.parent.storyline.id。 |
|
| read_only_udm.security_result.about.resource.attribute.labels.value | 该值取自原始日志中的相应字段,并在剧情 ID 前面附加 ID:(仅适用于“meta.event.name”等于 PROCESSCREATION 的事件)。 |
|
| read_only_udm.security_result.category_details | 对于“meta.event.name”等于 PROCESSCREATION 的事件,此值设为 security。 |
|
| read_only_udm.target.asset.product_object_id | 此值取自原始日志中的“AdapterName”字段,仅适用于“meta.event.name”等于 EVENTLOG 的事件。 |
|
| security_result.about.resource.attribute.labels.key | 对于“meta.event.name”等于 EVENTLOG 的事件,此值设为 TimeCreated SystemTime、EventID、Task、Channel、ProviderGuid、RecordNumber、SourceName、endpoint_type 或 packet_id。 |
|
| security_result.detection_fields.key | 对于“meta.event.name”等于 EVENTLOG 且“ActivityID”字段不为空的事件,此值设置为 Activity ID。 |
|
| security_result.detection_fields.value | 该值取自原始日志中的“ActivityID”字段,仅适用于“meta.event.name”等于 EVENTLOG 且“ActivityID”字段不为空的事件。 |
变化
2023-09-06
增强功能:
- 将
tgt.process.storyline.id的映射从target.process.product_specific_process_id更改为了security_result.about.resource.attribute.labels。 - 将
src.process.storyline.id的映射从principal.process.product_specific_process_id更改为了security_result.about.resource.attribute.labels。 - 将
src.process.parent.storyline.id的映射从principal.parent.process.product_specific_process_id更改为了security_result.about.resource.attribute.labels。
2023-07-31
增强功能:
- 处理了包含
XML数据的日志。
2023-04-09
增强功能:
- 如果
event.type为Process Creation,则将metadata.event_type映射到PROCESS_LAUNCH。 - 如果
event.type为Duplicate Process Handle,则将metadata.event_type映射到PROCESS_OPEN。 - 如果
event.type为Duplicate Thread Handle,则将metadata.event_type映射到PROCESS_OPEN。 - 如果
event.type为Open Remote Process Handle,则将metadata.event_type映射到PROCESS_OPEN。 - 如果
event.type为Remote Thread Creation,则将metadata.event_type映射到PROCESS_LAUNCH。 - 如果
event.type为Command Script,则将metadata.event_type映射到FILE_UNCATEGORIZED。 - 如果
event.type为IP Connect,则将metadata.event_type映射到NETWORK_CONNECTION。 - 如果
event.type为IP Listen,则将metadata.event_type映射到NETWORK_UNCATEGORIZED。 - 如果
event.type为File ModIfication,则将metadata.event_type映射到FILE_MODIfICATION。 - 如果
event.type为File Creation,则将metadata.event_type映射到FILE_CREATION。 - 如果
event.type为File Scan,则将metadata.event_type映射到FILE_UNCATEGORIZED。 - 如果
event.type为File Deletion,则将metadata.event_type映射到FILE_DELETION。 - 如果
event.type为File Rename,则将metadata.event_type映射到FILE_MODIfICATION。 - 如果
event.type为Pre Execution Detection,则将metadata.event_type映射到FILE_UNCATEGORIZED。 - 如果
event.type为Login,则将metadata.event_type映射到USER_LOGIN。 - 如果
event.type为Logout,则将metadata.event_type映射到USER_LOGOUT。 - 如果
event.type为GET,则将metadata.event_type映射到NETWORK_HTTP。 - 如果
event.type为OPTIONS,则将metadata.event_type映射到NETWORK_HTTP。 - 如果
event.type为POST,则将metadata.event_type映射到NETWORK_HTTP。 - 如果
event.type为PUT,则将metadata.event_type映射到NETWORK_HTTP。 - 如果
event.type为DELETE,则将metadata.event_type映射到NETWORK_HTTP。 - 如果
event.type为CONNECT,则将metadata.event_type映射到NETWORK_HTTP。 - 如果
event.type为HEAD,则将metadata.event_type映射到NETWORK_HTTP。 - 如果
event.type为Not Reported,则将metadata.event_type映射到STATUS_UNCATEGORIZED。 - 如果
event.type为DNS Resolved,则将metadata.event_type映射到NETWORK_DNS。 - 如果
event.type为DNS Unresolved,则将metadata.event_type映射到NETWORK_DNS。 - 如果
event.type为Task Register,则将metadata.event_type映射到SCHEDULED_TASK_CREATION。 - 如果
event.type为Task Update,则将metadata.event_type映射到SCHEDULED_TASK_MODIfICATION。 - 如果
event.type为Task Start,则将metadata.event_type映射到SCHEDULED_TASK_UNCATEGORIZED。 - 如果
event.type为Task Trigger,则将metadata.event_type映射到SCHEDULED_TASK_UNCATEGORIZED。 - 如果
event.type为Task Delete,则将metadata.event_type映射到SCHEDULED_TASK_DELETION。 - 如果
event.type为Registry Key Create,则将metadata.event_type映射到REGISTRY_CREATION。 - 如果
event.type为Registry Key Rename,则将metadata.event_type映射到REGISTRY_MODIfICATION。 - 如果
event.type为Registry Key Delete,则将metadata.event_type映射到REGISTRY_DELETION。 - 如果
event.type为Registry Key Export,则将metadata.event_type映射到REGISTRY_UNCATEGORIZED。 - 如果
event.type为Registry Key Security Changed,则将metadata.event_type映射到REGISTRY_MODIfICATION。 - 如果
event.type为Registry Key Import,则将metadata.event_type映射到REGISTRY_CREATION。 - 如果
event.type为Registry Value ModIfied,则将metadata.event_type映射到REGISTRY_MODIfICATION。 - 如果
event.type为Registry Value Create,则将metadata.event_type映射到REGISTRY_CREATION。 - 如果
event.type为Registry Value Delete,则将metadata.event_type映射到REGISTRY_DELETION。 - 如果
event.type为Behavioral Indicators,则将metadata.event_type映射到SCAN_UNCATEGORIZED。 - 如果
event.type为Module Load,则将metadata.event_type映射到PROCESS_MODULE_LOAD。 - 如果
event.type为Threat Intelligence Indicators,则将metadata.event_type映射到SCAN_UNCATEGORIZED。 - 如果
event.type为Named Pipe Creation,则将metadata.event_type映射到PROCESS_UNCATEGORIZED。 - 如果
event.type为Named Pipe Connection,则将metadata.event_type映射到PROCESS_UNCATEGORIZED。 - 如果
event.type为Driver Load,则将metadata.event_type映射到PROCESS_MODULE_LOAD。
2023-02-13
增强功能:
- 将
endpoint.os映射到principal.platform。 - 将
endpoint.name映射到target.hostname。 - 将
src.process.pid映射到principal.process.pid。 - 将
src.process.cmdline映射到principal.process.command_line。 - 将
src.process.image.path映射到principal.process.file.full_path。 - 将
src.process.image.sha1映射到principal.process.file.sha1。 - 将
src.process.eUserUid映射到metadata.ingestion_labels。 - 将
src.process.lUserUid映射到metadata.ingestion_labels。 - 将
src.process.uid映射到principal.user.userid。 - 将
src.process.displayName映射到principal.user.user_display_name。 - 将
src.process.isRedirectCmdProcessor、src.process.isNative64Bit、src.process.isStorylineRoot、src.process.signedStatus、src.file.isSigned、src.process.subsystem、src.process.integrityLevel、src.process.tgtFileCreationCount、src.process.childProcCount、src.process.indicatorBootConfigurationUpdateCount、src.process.indicatorEvasionCount、src.process.indicatorExploitationCount、src.process.indicatorGeneralCount、src.process.indicatorInfostealerCount、src.process.moduleCount映射到principal.resource.attribute.labels。 - 将
src.process.image.md5映射到principal.process.file.md5。 - 将
agent.uuid映射到principal.asset.asset_id。 - 将
agent.version映射到metadata.product_version。 - 将
site.id映射到principal.namespace。 - 将
site.name映射到principal.location.name。 - 将
trace.id映射到metadata.product_log_id。 - 将
dataSource.category映射到security_result.category_details。 - 将
packet.id映射到about.resource.attribute.labels。 - 将
mgmt.url、endpoint.type映射到metadata.url_back_to_product。 - 将
tgt.process.image.sha1映射到target.process.file.sha1。 - 将
tgt.process.image.path映射到target.process.file.full_path。 - 将
tgt.process.pid映射到target.process.pid。 - 将
tgt.process.uid映射到target.user.userid。 - 将
tgt.process.cmdline映射到target.process.command_line。 - 将
tgt.process.displayName映射到target.user.user_display_name。 - 将
tgt.process.image.md5映射到target.process.file.md5。 - 将
src.process.parent.image.sha256映射到principal.process.file.sha256。 - 将
tgt.process.image.sha256映射到target.process.file.sha256。 - 将
tgt.process.sessionId映射到network.session_id。 - 将
tgt.process.storyline.id映射到target.process.product_specific_process_id。 - 将
tgt.process.isRedirectCmdProcessor、tgt.process.isNative64Bit、tgt.process.isStorylineRoot、tgt.process.signedStatus、tgt.file.isSigned、tgt.process.subsystem、tgt.process.integrityLevel、tgt.process.publisher映射到target.resource.attribute.labels。 - 将
prod_event_type映射到metadata.product_event_type。
2022-09-09
增强功能:
- 取消了
event_type= null 的日志丢弃操作。 - 为
meta.os_version、meta.os_name、meta.uuid、meta.computer_name、meta.os_revision提供了 null 检查。 - 将
*.targetFile.hashes.sha1和*.source.executable.hashes.sha1的大小缩减为 64 字节,以免超出 64 字节的上限。
需要更多帮助?向社区成员和 Google SecOps 专业人士寻求解答。