收集 SentinelOne Deep Visibility 日志

支持的平台:

本文档介绍了如何使用 Cloud Funnel 将 SentinelOne Deep Visibility 日志导出到 Google Security Operations,以便将日志导出到 Google Cloud Storage。解析器会将采用 JSON 格式的原始安全事件日志转换为符合 UDM 的结构化格式。它首先会初始化一组变量,然后提取事件类型并解析 JSON 载荷,将相关字段映射到 UDM 架构,同时单独处理 Windows 事件日志。

准备工作

  • 确保您拥有 Google SecOps 实例。
  • 确保您拥有对 Google Cloud的特权访问权限。
  • 确保已在您的环境中设置 SentinelOne Deep Visibility。
  • 确保您拥有对 SentinelOne 的特权访问权限。

创建 Google Cloud Storage 存储分区

  1. 登录 Google Cloud 控制台
  2. 前往 Cloud Storage 存储分区页面。

    进入“存储桶”

  3. 点击创建

  4. 创建存储桶页面上,输入您的存储桶信息。完成以下各步骤后,点击继续以进入下一步:

    1. 开始使用部分中,执行以下操作:

      1. 输入符合存储分区名称要求的唯一名称;例如,sentinelone-deepvisibility
      2. 如需启用分层命名空间,请点击展开箭头以展开优化文件导向型和数据密集型工作负载部分,然后选择在此存储分区上启用分层命名空间

      3. 如需添加存储分区标签,请点击展开箭头以展开标签部分。

      4. 点击添加标签,然后为标签指定键和值。

    2. 选择数据存储位置部分中,执行以下操作:

      1. 选择位置类型
      2. 使用位置类型菜单选择一个位置,用于永久存储存储分区中的对象数据。

      3. 如需设置跨存储分区复制,请展开设置跨存储分区复制部分。

    3. 为数据选择一个存储类别部分中,为存储分区选择默认存储类别,或者选择 Autoclass 对存储分区数据进行自动存储类别管理。

    4. 选择如何控制对对象的访问权限部分中,选择以强制执行禁止公开访问,然后为存储分区对象选择访问权限控制模型

    5. 选择如何保护对象数据部分中,执行以下操作:

      1. 数据保护下,选择您要为存储分区设置的任何选项。
      2. 如需选择对象数据的加密方式,请点击标有数据加密的展开箭头,然后选择数据加密方法
  5. 点击创建

创建 Google Cloud 服务账号

  1. 依次前往 IAM 和管理 > 服务账号
  2. 创建新的服务账号。
  3. 为其指定一个描述性名称,例如 sentinelone-dv-logs
  4. 向服务账号授予您在上一步中创建的 Cloud Storage 存储分区的 Storage Object Creator 角色。
  5. 为服务账号创建 SSH 密钥
  6. 下载服务账号的 JSON 密钥文件。请妥善保管此文件。

在 SentinelOne DeepVisibility 中配置 Cloud Funnel

  1. 登录 SentinelOne DeepVisibility
  2. 依次点击配置 > 政策和设置
  3. Singularity Data Lake(Singularity 数据湖)部分,点击 Cloud Funnel(Cloud Funnel)。
  4. 提供以下配置详细信息:
    • 云服务商:选择 Google Cloud。
    • 存储分区名称:输入您为 SentinelOne DeepVisibility 日志提取创建的 Cloud Storage 存储分区的名称。
    • 遥测数据流式传输:选择启用
    • 查询过滤条件:创建一个查询,其中包含需要将数据发送到 Cloud Storage 存储分区的代理。
    • 点击验证
    • 要包含的字段:选择所有字段。
  5. 点击保存

在 Google SecOps 中配置 Feed 以提取 SentinelOne Deep Visibility 日志

  1. 依次前往 SIEM 设置 > Feed
  2. 点击新增
  3. Feed 名称字段中,输入 Feed 的名称;例如,SentinelOne DV 日志
  4. 选择 Google Cloud Storage 作为来源类型
  5. 选择 SentinelOne Deep Visibility 作为日志类型
  6. 点击获取服务账号作为 Chronicle 服务账号
  7. 点击下一步
  8. 为以下输入参数指定值:

    • 存储分区 URI:格式为 gs://my-bucket/<value> 的 Google Cloud Storage 存储分区网址。
    • URI 类型:选择包含子目录的目录
    • 来源删除选项:根据您的偏好选择删除选项。

    • 资源命名空间资源命名空间

    • 提取标签:应用于此 Feed 中事件的标签。

  9. 点击下一步

  10. “最终确定”界面中查看新的 Feed 配置,然后点击提交

UDM 映射表

日志字段 UDM 映射 逻辑
AdapterName security_result.about.resource.attribute.labels.value 此值取自原始日志中的“AdapterName”字段。
AdapterSuffixName security_result.about.resource.attribute.labels.value 此值取自原始日志中的“AdapterSuffixName”字段。
agent_version read_only_udm.metadata.product_version 该值取自原始日志中的“meta.agent_version”字段。
渠道 security_result.about.resource.attribute.labels.value 此值取自原始日志中的“渠道”字段。
commandLine read_only_udm.principal.process.command_line 该值取自原始日志中的“event.Event...commandLine”字段,其中 是特定事件类型(例如ProcessCreation、ProcessExit), 是包含进程信息(例如进程、来源、父级)的字段。
computer_name read_only_udm.principal.hostname 此值取自原始日志中的“meta.computer_name”字段。
destinationAddress.address read_only_udm.target.ip 该值取自原始日志中的“event.Event.Tcpv4.destinationAddress.address”字段。
destinationAddress.port read_only_udm.target.port 该值取自原始日志中的“event.Event.Tcpv4.destinationAddress.port”字段。
DnsServerList read_only_udm.principal.ip 该值取自原始日志中的“DnsServerList”字段。
ErrorCode_new security_result.detection_fields.value 此值取自原始日志中的“ErrorCode_new”字段。
EventID security_result.about.resource.attribute.labels.value 此值取自原始日志中的“EventID”字段。
event.Event.Dns.query read_only_udm.network.dns.questions.name 该值取自原始日志中的“event.Event.Dns.query”字段。
event.Event.Dns.results read_only_udm.network.dns.answers.data 此值取自原始日志中的“event.Event.Dns.results”字段。
event.Event.Dns.source.fullPid.pid read_only_udm.principal.process.pid 该值取自原始日志中的“event.Event.Dns.source.fullPid.pid”字段。
event.Event.Dns.source.user.name read_only_udm.principal.user.userid 此值取自原始日志中的“event.Event.Dns.source.user.name”字段。
event.Event.FileCreation.source.fullPid.pid read_only_udm.principal.process.pid 此值取自原始日志中的“event.Event.FileCreation.source.fullPid.pid”字段。
event.Event.FileCreation.source.user.name read_only_udm.principal.user.userid 此值取自原始日志中的“event.Event.FileCreation.source.user.name”字段。
event.Event.FileCreation.targetFile.path read_only_udm.target.file.full_path 此值取自原始日志中的“event.Event.FileCreation.targetFile.path”字段。
event.Event.FileDeletion.source.fullPid.pid read_only_udm.principal.process.pid 此值取自原始日志中的“event.Event.FileDeletion.source.fullPid.pid”字段。
event.Event.FileDeletion.source.user.name read_only_udm.principal.user.userid 此值取自原始日志中的“event.Event.FileDeletion.source.user.name”字段。
event.Event.FileDeletion.targetFile.path read_only_udm.target.file.full_path 该值取自原始日志中的“event.Event.FileDeletion.targetFile.path”字段。
event.Event.FileModification.file.path read_only_udm.target.file.full_path 此值取自原始日志中的“event.Event.FileModification.file.path”字段。
event.Event.FileModification.source.user.name read_only_udm.principal.user.userid 此值取自原始日志中的“event.Event.FileModification.source.user.name”字段。
event.Event.FileModification.targetFile.path read_only_udm.target.file.full_path 此值取自原始日志中的“event.Event.FileModification.targetFile.path”字段。
event.Event.Http.source.user.name read_only_udm.principal.user.userid 此值取自原始日志中的“event.Event.Http.source.user.name”字段。
event.Event.Http.url read_only_udm.target.url 该值取自原始日志中的“event.Event.Http.url”字段。
event.Event.ProcessCreation.process.user.name read_only_udm.principal.user.userid 此值取自原始日志中的“event.Event.ProcessCreation.process.user.name”字段。
event.Event.ProcessCreation.source.user.name read_only_udm.principal.user.userid 此值取自原始日志中的“event.Event.ProcessCreation.source.user.name”字段。
event.Event.ProcessExit.source.user.name read_only_udm.principal.user.userid 此值取自原始日志中的“event.Event.ProcessExit.source.user.name”字段。
event.Event.ProcessTermination.source.user.name read_only_udm.principal.user.userid 此值取自原始日志中的“event.Event.ProcessTermination.source.user.name”字段。
event.Event.RegKeyCreate.source.fullPid.pid read_only_udm.principal.process.pid 该值取自原始日志中的“event.Event.RegKeyCreate.source.fullPid.pid”字段。
event.Event.RegKeyCreate.source.user.name read_only_udm.principal.user.userid 此值取自原始日志中的“event.Event.RegKeyCreate.source.user.name”字段。
event.Event.RegKeyDelete.source.user.name read_only_udm.principal.user.userid 此值取自原始日志中的“event.Event.RegKeyDelete.source.user.name”字段。
event.Event.RegValueModified.source.user.name read_only_udm.principal.user.userid 此值取自原始日志中的“event.Event.RegValueModified.source.user.name”字段。
event.Event.SchedTaskDelete.source.user.name read_only_udm.principal.user.userid 此值取自原始日志中的“event.Event.SchedTaskDelete.source.user.name”字段。
event.Event.SchedTaskRegister.source.user.name read_only_udm.principal.user.userid 此值取自原始日志中的“event.Event.SchedTaskRegister.source.user.name”字段。
event.Event.SchedTaskStart.source.user.name read_only_udm.principal.user.userid 此值取自原始日志中的“event.Event.SchedTaskStart.source.user.name”字段。
event.Event.SchedTaskTrigger.source.fullPid.pid read_only_udm.principal.process.pid 该值取自原始日志中的“event.Event.SchedTaskTrigger.source.fullPid.pid”字段。
event.Event.SchedTaskTrigger.source.user.name read_only_udm.principal.user.userid 此值取自原始日志中的“event.Event.SchedTaskTrigger.source.user.name”字段。
event.Event.Tcpv4.source.fullPid.pid read_only_udm.principal.process.pid 该值取自原始日志中的“event.Event.Tcpv4.source.fullPid.pid”字段。
event.Event.Tcpv4.source.user.name read_only_udm.principal.user.userid 此值取自原始日志中的“event.Event.Tcpv4.source.user.name”字段。
event.Event.Tcpv4Listen.local.address read_only_udm.principal.ip 该值取自原始日志中的“event.Event.Tcpv4Listen.local.address”字段。
event.timestamp.millisecondsSinceEpoch read_only_udm.metadata.event_timestamp.seconds 此值取自原始日志中的“event.timestamp.millisecondsSinceEpoch”字段,并转换为秒数。
event.timestamp.millisecondsSinceEpoch read_only_udm.metadata.event_timestamp.nanos 该值取自原始日志中的“event.timestamp.millisecondsSinceEpoch”字段,并转换为纳秒。
event.timestamp.millisecondsSinceEpoch security_result.about.resource.attribute.labels.value 该值取自原始日志中的“event.timestamp.millisecondsSinceEpoch”字段,并用作 security_result.about.resource.attribute.labels 数组中标签的值。
event_type read_only_udm.metadata.product_event_type 系统会使用 Grok 模式从原始日志中的“message”字段中提取该值。
executable.hashes.md5 read_only_udm.principal.process.file.md5 该值取自原始日志中的“event.Event...executable.hashes.md5”字段,其中 是特定事件类型(例如ProcessCreation、ProcessExit), 是包含进程信息(例如进程、来源、父级)的字段。
executable.hashes.sha1 read_only_udm.principal.process.file.sha1 该值取自原始日志中的“event.Event...executable.hashes.sha1”字段,其中 是特定事件类型(例如ProcessCreation、ProcessExit), 是包含进程信息(例如进程、来源、父级)的字段。
executable.hashes.sha256 read_only_udm.principal.process.file.sha256 该值取自原始日志中的“event.Event...executable.hashes.sha256”字段,其中 是特定事件类型(例如ProcessCreation、ProcessExit), 是包含进程信息(例如进程、来源、父级)的字段。
executable.path read_only_udm.principal.process.file.full_path 该值取自原始日志中的“event.Event...executable.path”字段,其中 是特定事件类型(例如ProcessCreation、ProcessExit), 是包含进程信息(例如进程、来源、父级)的字段。
executable.sizeBytes read_only_udm.principal.process.file.size 该值取自原始日志中的“event.Event...executable.sizeBytes”字段,其中 是特定事件类型(例如ProcessCreation、ProcessExit), 是包含进程信息(例如进程、来源、父级)的字段。
fullPid.pid read_only_udm.principal.process.pid 该值取自原始日志中的“event.Event...fullPid.pid”字段,其中 是特定事件类型(例如ProcessCreation、ProcessExit), 是包含进程信息(例如进程、来源、父级)的字段。
hashes.md5 read_only_udm.target.file.md5 该值取自原始日志中的“event.Event.ProcessCreation.hashes.md5”字段。
hashes.sha1 read_only_udm.target.file.sha1 该值取自原始日志中的“event.Event.ProcessCreation.hashes.sha1”字段。
hashes.sha256 read_only_udm.target.file.sha256 该值取自原始日志中的“event.Event.ProcessCreation.hashes.sha256”字段。
IpAddress read_only_udm.target.ip 该值取自原始日志中的“IpAddress”字段。
local.address read_only_udm.principal.ip 该值取自原始日志中的“event.Event.Tcpv4Listen.local.address”字段。
local.port read_only_udm.principal.port 该值取自原始日志中的“event.Event.Tcpv4Listen.local.port”字段。
log_type read_only_udm.metadata.log_type 该值取自原始日志中的“log_type”字段。
meta.agent_version read_only_udm.metadata.product_version 该值取自原始日志中的“meta.agent_version”字段。
meta.computer_name read_only_udm.principal.hostname 此值取自原始日志中的“meta.computer_name”字段。
meta.os_family read_only_udm.principal.platform 该值取自原始日志中的“meta.os_family”字段,并映射到相应的平台(例如windows 表示 Windows、osx 表示 Mac、linux 表示 Linux)。
meta.os_name read_only_udm.principal.platform_version 该值取自原始日志中的“meta.os_name”字段。
meta.os_revision read_only_udm.principal.platform_patch_level 该值取自原始日志中的“meta.os_revision”字段。
meta.uuid read_only_udm.principal.asset_id 该值取自原始日志中的“meta.uuid”字段,并在前面附加 SENTINELONE:
name read_only_udm.principal.application 该值取自原始日志中的“event.Event...name”字段,其中 是特定事件类型(例如,ProcessCreation、ProcessExit), 是包含进程信息(例如进程、来源、父级)的字段。
parent.executable.hashes.md5 read_only_udm.target.process.parent_process.file.md5 该值取自原始日志中的“event.Event..parent.executable.hashes.md5”字段,其中 是特定事件类型(例如ProcessCreation、ProcessExit)。
parent.executable.hashes.sha1 read_only_udm.target.process.parent_process.file.sha1 该值取自原始日志中的“event.Event..parent.executable.hashes.sha1”字段,其中 是特定事件类型(例如ProcessCreation、ProcessExit)。
parent.executable.hashes.sha256 read_only_udm.target.process.parent_process.file.sha256 该值取自原始日志中的“event.Event..parent.executable.hashes.sha256”字段,其中 是具体事件类型(例如ProcessCreation、ProcessExit)。
parent.executable.path read_only_udm.target.process.parent_process.file.full_path 该值取自原始日志中的“event.Event..parent.executable.path”字段,其中 是特定事件类型(例如ProcessCreation、ProcessExit)。
parent.fullPid.pid read_only_udm.target.process.parent_process.pid 该值取自原始日志中的“event.Event..parent.fullPid.pid”字段,其中 是特定事件类型(例如ProcessCreation、ProcessExit)。
路径 read_only_udm.principal.process.file.full_path 该值取自原始日志中的“event.Event...path”字段,其中 是特定事件类型(例如ProcessCreation、ProcessExit), 是包含进程信息(例如进程、来源、父级)的字段。
process.commandLine read_only_udm.target.process.command_line 此值取自原始日志中的“event.Event.ProcessCreation.process.commandLine”字段。
process.fullPid.pid read_only_udm.target.process.pid 此值取自原始日志中的“event.Event.ProcessCreation.process.fullPid.pid”字段。
process.parent.fullPid.pid read_only_udm.target.process.parent_process.pid 此值取自原始日志中的“event.Event.ProcessCreation.process.parent.fullPid.pid”字段。
ProviderGuid security_result.about.resource.attribute.labels.value 该值取自原始日志中的“ProviderGuid”字段,并移除了大括号。
查询 read_only_udm.network.dns.questions.name 该值取自原始日志中的“event.Event.Dns.query”字段。
RecordNumber security_result.about.resource.attribute.labels.value 该值取自原始日志中的“RecordNumber”字段。
regKey.path read_only_udm.target.registry.registry_key 该值取自原始日志中的“event.Event.RegKeyCreate.regKey.path”或“event.Event.RegKeyDelete.regKey.path”字段。
regValue.path read_only_udm.target.registry.registry_key 该值取自原始日志中的“event.Event.RegValueDelete.regValue.path”或“event.Event.RegValueModified.regValue.path”字段。
结果 read_only_udm.network.dns.answers.data 此值取自原始日志中的“event.Event.Dns.results”字段。
已发送 UpdateServer intermediary.hostname 该值取自原始日志中的“Sent UpdateServer”字段。
seq_id 此字段不会直接映射到 UDM。
signature.Status.Signed.identity 此字段不会直接映射到 UDM。
sizeBytes read_only_udm.principal.process.file.size 该值取自原始日志中的“event.Event...sizeBytes”字段,其中 是特定事件类型(例如ProcessCreation、ProcessExit), 是包含进程信息(例如进程、来源、父级)的字段。
sourceAddress.address read_only_udm.principal.ip 该值取自原始日志中的“event.Event.Tcpv4.sourceAddress.address”字段。
sourceAddress.port read_only_udm.principal.port 该值取自原始日志中的“event.Event.Tcpv4.sourceAddress.port”字段。
SourceName security_result.about.resource.attribute.labels.value 该值取自原始日志中的“SourceName”字段。
状态 此字段不会直接映射到 UDM。
taskName read_only_udm.target.resource.name 该值取自原始日志中的“event.Event.SchedTaskStart.taskName”“event.Event.SchedTaskTrigger.taskName”或“event.Event.SchedTaskDelete.taskName”字段。
targetFile.hashes.md5 read_only_udm.target.file.md5 该值取自原始日志中的“event.Event.FileDeletion.targetFile.hashes.md5”或“event.Event.SchedTaskStart.targetFile.hashes.md5”字段。
targetFile.hashes.sha1 read_only_udm.target.file.sha1 此值取自原始日志中的“event.Event.FileDeletion.targetFile.hashes.sha1”或“event.Event.SchedTaskStart.targetFile.hashes.sha1”字段。
targetFile.hashes.sha256 read_only_udm.target.file.sha256 此值取自原始日志中的“event.Event.FileDeletion.targetFile.hashes.sha256”或“event.Event.SchedTaskStart.targetFile.hashes.sha256”字段。
targetFile.path read_only_udm.target.file.full_path 该值取自原始日志中的“event.Event.FileDeletion.targetFile.path”或“event.Event.SchedTaskStart.targetFile.path”字段。
任务 security_result.about.resource.attribute.labels.value 该值取自原始日志中的“Task”字段。
timestamp.millisecondsSinceEpoch read_only_udm.metadata.event_timestamp.seconds 此值取自原始日志中的“event.timestamp.millisecondsSinceEpoch”字段,并转换为秒数。
timestamp.millisecondsSinceEpoch read_only_udm.metadata.event_timestamp.nanos 该值取自原始日志中的“event.timestamp.millisecondsSinceEpoch”字段,并转换为纳秒。
trace_id 此字段不会直接映射到 UDM。
triggerType 此字段不会直接映射到 UDM。
trueContext 此字段不会直接映射到 UDM。
trueContext.key 此字段不会直接映射到 UDM。
trueContext.key.value 此字段不会直接映射到 UDM。
类型 read_only_udm.network.dns.answers.type 该值取自原始日志中的“event.Event.Dns.results”字段,并使用正则表达式提取。
网址 read_only_udm.target.url 该值取自原始日志中的“event.Event.Http.url”字段。
user.name read_only_udm.principal.user.userid 该值取自原始日志中的“event.Event...user.name”字段,其中 是特定事件类型(例如,ProcessCreation、ProcessExit), 是包含进程信息(例如进程、来源、父级)的字段。
user.sid read_only_udm.principal.user.windows_sid 该值取自原始日志中的“event.Event...user.sid”字段,其中 是具体事件类型(例如ProcessCreation、ProcessExit), 是包含进程信息(例如进程、来源、父级)的字段。
UserID read_only_udm.target.user.windows_sid 只有当该值与 Windows SID 模式匹配时,才会从原始日志中的“UserID”字段中提取该值。
UserSid read_only_udm.target.user.windows_sid 只有当该值与 Windows SID 模式匹配时,系统才会从原始日志中的“UserSid”字段中提取该值。
valueType 此字段不会直接映射到 UDM。
winEventLog.channel security_result.about.resource.attribute.labels.value 此值取自原始日志中的“winEventLog.channel”字段。
winEventLog.description 此字段不会直接映射到 UDM。
winEventLog.id security_result.about.resource.attribute.labels.value 此值取自原始日志中的“winEventLog.id”字段。
winEventLog.level security_result.severity 该值取自原始日志中的“winEventLog.level”字段,并映射到相应的严重程度级别(例如Warning 改为 MEDIUM)。
winEventLog.providerName security_result.about.resource.attribute.labels.value 此值取自原始日志中的“winEventLog.providerName”字段。
winEventLog.xml 此字段不会直接映射到 UDM。
read_only_udm.metadata.event_type 该值基于“event_type”字段确定,并映射到相应的 UDM 事件类型。
read_only_udm.metadata.vendor_name 该值设置为 SentinelOne
read_only_udm.metadata.product_name 该值设置为 Deep Visibility
read_only_udm.metadata.product_log_id 此值取自原始日志中的“trace.id”字段,仅适用于“meta.event.name”等于 PROCESSCREATION 的事件。
read_only_udm.metadata.product_deployment_id 此值取自原始日志中的“account.id”字段,仅适用于“meta.event.name”等于 PROCESSCREATION 的事件。
read_only_udm.metadata.url_back_to_product 此值取自原始日志中的“mgmt.url”字段,仅适用于“meta.event.name”等于 PROCESSCREATION 的事件。
read_only_udm.metadata.ingestion_labels.key 对于“meta.event.name”等于 PROCESSCREATION 的事件,此值设置为 Process eUserUidProcess lUserUid
read_only_udm.metadata.ingestion_labels.value 该值取自原始日志中的“src.process.eUserUid”或“src.process.lUserUid”字段,仅适用于“meta.event.name”等于 PROCESSCREATION 的事件。
read_only_udm.principal.administrative_domain 原始日志中“event.Event...user.name”字段的网域部分,其中 是特定事件类型(例如ProcessCreation、ProcessExit), 是包含进程信息(例如进程、来源、父级)的字段。
read_only_udm.target.process.parent_process.command_line 该值取自原始日志中的“event.Event..parent.commandLine”字段,其中 是特定事件类型(例如ProcessCreation、ProcessExit)。
read_only_udm.target.file 如果“event_type”不是 FileCreationFileDeletionFileModificationSchedTaskStartProcessCreation,系统会创建一个空对象。
read_only_udm.network.ip_protocol 对于“event_type”等于 Tcpv4Tcpv4ListenHttp 的事件,此值设为 TCP。
read_only_udm.network.application_protocol 对于“event_type”等于 Dns 的事件,此值设置为 DNS。
read_only_udm.target.resource.type 对于“event_type”等于 SchedTaskStartSchedTaskTriggerSchedTaskDelete 的事件,此值设为 TASK
read_only_udm.target.resource.resource_type 对于“event_type”等于 SchedTaskStartSchedTaskTriggerSchedTaskDelete 的事件,此值设为 TASK。
read_only_udm.principal.process.product_specific_process_id 如果原始日志中存在“ExecutionThreadID”字段,则将此值设置为 ExecutionThreadID:<ExecutionThreadID>
read_only_udm.principal.asset.asset_id 如果原始日志中存在“agent.uuid”字段,则将此值设置为 Device ID:<agent.uuid>
read_only_udm.principal.namespace 此值取自原始日志中的“site.id”字段,仅适用于“meta.event.name”等于 PROCESSCREATION 的事件。
read_only_udm.principal.location.name 此值取自原始日志中的“site.name”字段,仅适用于“meta.event.name”等于 PROCESSCREATION 的事件。
read_only_udm.principal.resource.attribute.labels.key 对于“meta.event.name”等于 PROCESSCREATION 的事件,此值设为 src.process.displayNamesrc.process.uidisRedirectCmdProcessorisNative64BitisStorylineRootsignedStatussrc process subsystemsrc process integrityLevelchildProcCount
read_only_udm.principal.resource.attribute.labels.value 此值取自原始日志中的相应字段,仅适用于“meta.event.name”等于 PROCESSCREATION 的事件。
read_only_udm.target.user.userid 此值取自原始日志中的“tgt.process.uid”字段,仅适用于“meta.event.name”等于 PROCESSCREATION 的事件。
read_only_udm.target.user.user_display_name 此值取自原始日志中的“tgt.process.displayName”字段,仅适用于“meta.event.name”等于 PROCESSCREATION 的事件。
read_only_udm.target.resource.attribute.labels.key 对于“meta.event.name”等于 PROCESSCREATION 的事件,该值设为 isRedirectCmdProcessorisNative64BitisStorylineRootsignedStatusfile_isSignedtgt process subsystemtgt process integrityLevel
read_only_udm.target.resource.attribute.labels.value 此值取自原始日志中的相应字段,仅适用于“meta.event.name”等于 PROCESSCREATION 的事件。
read_only_udm.security_result.about.resource.attribute.labels.key 对于“meta.event.name”等于 PROCESSCREATION 的事件,此值设为 tgt.process.storyline.idendpoint_typepacket_idsrc.process.storyline.idsrc.process.parent.storyline.id
read_only_udm.security_result.about.resource.attribute.labels.value 该值取自原始日志中的相应字段,并在剧情 ID 前面附加 ID:(仅适用于“meta.event.name”等于 PROCESSCREATION 的事件)。
read_only_udm.security_result.category_details 对于“meta.event.name”等于 PROCESSCREATION 的事件,此值设为 security
read_only_udm.target.asset.product_object_id 此值取自原始日志中的“AdapterName”字段,仅适用于“meta.event.name”等于 EVENTLOG 的事件。
security_result.about.resource.attribute.labels.key 对于“meta.event.name”等于 EVENTLOG 的事件,此值设为 TimeCreated SystemTimeEventIDTaskChannelProviderGuidRecordNumberSourceNameendpoint_typepacket_id
security_result.detection_fields.key 对于“meta.event.name”等于 EVENTLOG 且“ActivityID”字段不为空的事件,此值设置为 Activity ID
security_result.detection_fields.value 该值取自原始日志中的“ActivityID”字段,仅适用于“meta.event.name”等于 EVENTLOG 且“ActivityID”字段不为空的事件。

变化

2023-09-06

增强功能

  • tgt.process.storyline.id 的映射从 target.process.product_specific_process_id 更改为了 security_result.about.resource.attribute.labels
  • src.process.storyline.id 的映射从 principal.process.product_specific_process_id 更改为了 security_result.about.resource.attribute.labels
  • src.process.parent.storyline.id 的映射从 principal.parent.process.product_specific_process_id 更改为了 security_result.about.resource.attribute.labels

2023-07-31

增强功能

  • 处理了包含 XML 数据的日志。

2023-04-09

增强功能

  • 如果 event.typeProcess Creation,则将 metadata.event_type 映射到 PROCESS_LAUNCH
  • 如果 event.typeDuplicate Process Handle,则将 metadata.event_type 映射到 PROCESS_OPEN
  • 如果 event.typeDuplicate Thread Handle,则将 metadata.event_type 映射到 PROCESS_OPEN
  • 如果 event.typeOpen Remote Process Handle,则将 metadata.event_type 映射到 PROCESS_OPEN
  • 如果 event.typeRemote Thread Creation,则将 metadata.event_type 映射到 PROCESS_LAUNCH
  • 如果 event.typeCommand Script,则将 metadata.event_type 映射到 FILE_UNCATEGORIZED
  • 如果 event.typeIP Connect,则将 metadata.event_type 映射到 NETWORK_CONNECTION
  • 如果 event.typeIP Listen,则将 metadata.event_type 映射到 NETWORK_UNCATEGORIZED
  • 如果 event.typeFile ModIfication,则将 metadata.event_type 映射到 FILE_MODIfICATION
  • 如果 event.typeFile Creation,则将 metadata.event_type 映射到 FILE_CREATION
  • 如果 event.typeFile Scan,则将 metadata.event_type 映射到 FILE_UNCATEGORIZED
  • 如果 event.typeFile Deletion,则将 metadata.event_type 映射到 FILE_DELETION
  • 如果 event.typeFile Rename,则将 metadata.event_type 映射到 FILE_MODIfICATION
  • 如果 event.typePre Execution Detection,则将 metadata.event_type 映射到 FILE_UNCATEGORIZED
  • 如果 event.typeLogin,则将 metadata.event_type 映射到 USER_LOGIN
  • 如果 event.typeLogout,则将 metadata.event_type 映射到 USER_LOGOUT
  • 如果 event.typeGET,则将 metadata.event_type 映射到 NETWORK_HTTP
  • 如果 event.typeOPTIONS,则将 metadata.event_type 映射到 NETWORK_HTTP
  • 如果 event.typePOST,则将 metadata.event_type 映射到 NETWORK_HTTP
  • 如果 event.typePUT,则将 metadata.event_type 映射到 NETWORK_HTTP
  • 如果 event.typeDELETE,则将 metadata.event_type 映射到 NETWORK_HTTP
  • 如果 event.typeCONNECT,则将 metadata.event_type 映射到 NETWORK_HTTP
  • 如果 event.typeHEAD,则将 metadata.event_type 映射到 NETWORK_HTTP
  • 如果 event.typeNot Reported,则将 metadata.event_type 映射到 STATUS_UNCATEGORIZED
  • 如果 event.typeDNS Resolved,则将 metadata.event_type 映射到 NETWORK_DNS
  • 如果 event.typeDNS Unresolved,则将 metadata.event_type 映射到 NETWORK_DNS
  • 如果 event.typeTask Register,则将 metadata.event_type 映射到 SCHEDULED_TASK_CREATION
  • 如果 event.typeTask Update,则将 metadata.event_type 映射到 SCHEDULED_TASK_MODIfICATION
  • 如果 event.typeTask Start,则将 metadata.event_type 映射到 SCHEDULED_TASK_UNCATEGORIZED
  • 如果 event.typeTask Trigger,则将 metadata.event_type 映射到 SCHEDULED_TASK_UNCATEGORIZED
  • 如果 event.typeTask Delete,则将 metadata.event_type 映射到 SCHEDULED_TASK_DELETION
  • 如果 event.typeRegistry Key Create,则将 metadata.event_type 映射到 REGISTRY_CREATION
  • 如果 event.typeRegistry Key Rename,则将 metadata.event_type 映射到 REGISTRY_MODIfICATION
  • 如果 event.typeRegistry Key Delete,则将 metadata.event_type 映射到 REGISTRY_DELETION
  • 如果 event.typeRegistry Key Export,则将 metadata.event_type 映射到 REGISTRY_UNCATEGORIZED
  • 如果 event.typeRegistry Key Security Changed,则将 metadata.event_type 映射到 REGISTRY_MODIfICATION
  • 如果 event.typeRegistry Key Import,则将 metadata.event_type 映射到 REGISTRY_CREATION
  • 如果 event.typeRegistry Value ModIfied,则将 metadata.event_type 映射到 REGISTRY_MODIfICATION
  • 如果 event.typeRegistry Value Create,则将 metadata.event_type 映射到 REGISTRY_CREATION
  • 如果 event.typeRegistry Value Delete,则将 metadata.event_type 映射到 REGISTRY_DELETION
  • 如果 event.typeBehavioral Indicators,则将 metadata.event_type 映射到 SCAN_UNCATEGORIZED
  • 如果 event.typeModule Load,则将 metadata.event_type 映射到 PROCESS_MODULE_LOAD
  • 如果 event.typeThreat Intelligence Indicators,则将 metadata.event_type 映射到 SCAN_UNCATEGORIZED
  • 如果 event.typeNamed Pipe Creation,则将 metadata.event_type 映射到 PROCESS_UNCATEGORIZED
  • 如果 event.typeNamed Pipe Connection,则将 metadata.event_type 映射到 PROCESS_UNCATEGORIZED
  • 如果 event.typeDriver Load,则将 metadata.event_type 映射到 PROCESS_MODULE_LOAD

2023-02-13

增强功能

  • endpoint.os 映射到 principal.platform
  • endpoint.name 映射到 target.hostname
  • src.process.pid 映射到 principal.process.pid
  • src.process.cmdline 映射到 principal.process.command_line
  • src.process.image.path 映射到 principal.process.file.full_path
  • src.process.image.sha1 映射到 principal.process.file.sha1
  • src.process.eUserUid 映射到 metadata.ingestion_labels
  • src.process.lUserUid 映射到 metadata.ingestion_labels
  • src.process.uid 映射到 principal.user.userid
  • src.process.displayName 映射到 principal.user.user_display_name
  • src.process.isRedirectCmdProcessorsrc.process.isNative64Bitsrc.process.isStorylineRootsrc.process.signedStatussrc.file.isSignedsrc.process.subsystemsrc.process.integrityLevelsrc.process.tgtFileCreationCountsrc.process.childProcCountsrc.process.indicatorBootConfigurationUpdateCountsrc.process.indicatorEvasionCountsrc.process.indicatorExploitationCountsrc.process.indicatorGeneralCountsrc.process.indicatorInfostealerCountsrc.process.moduleCount 映射到 principal.resource.attribute.labels
  • src.process.image.md5 映射到 principal.process.file.md5
  • agent.uuid 映射到 principal.asset.asset_id
  • agent.version 映射到 metadata.product_version
  • site.id 映射到 principal.namespace
  • site.name 映射到 principal.location.name
  • trace.id 映射到 metadata.product_log_id
  • dataSource.category 映射到 security_result.category_details
  • packet.id 映射到 about.resource.attribute.labels
  • mgmt.urlendpoint.type 映射到 metadata.url_back_to_product
  • tgt.process.image.sha1 映射到 target.process.file.sha1
  • tgt.process.image.path 映射到 target.process.file.full_path
  • tgt.process.pid 映射到 target.process.pid
  • tgt.process.uid 映射到 target.user.userid
  • tgt.process.cmdline 映射到 target.process.command_line
  • tgt.process.displayName 映射到 target.user.user_display_name
  • tgt.process.image.md5 映射到 target.process.file.md5
  • src.process.parent.image.sha256 映射到 principal.process.file.sha256
  • tgt.process.image.sha256 映射到 target.process.file.sha256
  • tgt.process.sessionId 映射到 network.session_id
  • tgt.process.storyline.id 映射到 target.process.product_specific_process_id
  • tgt.process.isRedirectCmdProcessortgt.process.isNative64Bittgt.process.isStorylineRoottgt.process.signedStatustgt.file.isSignedtgt.process.subsystemtgt.process.integrityLeveltgt.process.publisher 映射到 target.resource.attribute.labels
  • prod_event_type 映射到 metadata.product_event_type

2022-09-09

增强功能

  • 取消了 event_type = null 的日志丢弃操作。
  • meta.os_versionmeta.os_namemeta.uuidmeta.computer_namemeta.os_revision 提供了 null 检查。
  • *.targetFile.hashes.sha1*.source.executable.hashes.sha1 的大小缩减为 64 字节,以免超出 64 字节的上限。

需要更多帮助?向社区成员和 Google SecOps 专业人士寻求解答。