Raccogliere i log di Tanium Stream

Supportato in:

Questo documento spiega come importare i log di Tanium Stream in Google Security Operations utilizzando la funzionalità di esportazione AWS S3 nativa di Tanium Connect. Tanium Stream fornisce telemetria degli endpoint in tempo reale, dati di ricerca delle minacce e analisi comportamentali in formato JSON, che possono essere esportati direttamente in S3 utilizzando Tanium Connect senza richiedere funzioni Lambda personalizzate. Il parser trasforma i log JSON non elaborati di Tanium Stream in un modello UDM (Unified Data Model). Innanzitutto normalizza i campi comuni, quindi applica una logica specifica in base a "logType" o "eventType" per mappare le informazioni pertinenti nei campi UDM appropriati, gestendo vari tipi di eventi come connessioni di rete, accessi degli utenti, avvio di processi e modifiche ai file.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

  • Un'istanza Google SecOps
  • Tanium Core Platform 7.0 o versioni successive
  • Modulo Tanium Stream installato e configurato
  • Modulo Tanium Connect installato con licenza valida
  • Tanium Threat Response 3.4.346 o versioni successive (se utilizzi l'integrazione TR)
  • Accesso privilegiato alla console Tanium con diritti amministrativi
  • Accesso con privilegi ad AWS (S3, IAM)

Configura il account di servizio Tanium Stream

  1. Accedi alla console Tanium.
  2. Vai a Moduli > Stream.
  3. Fai clic su Impostazioni in alto a destra.
  4. Nella sezione Service account, configura quanto segue:
    • Service Account User (Utente service account): seleziona un utente con le autorizzazioni Stream appropriate.
    • Verifica che l'account disponga del privilegio del ruolo Utente connesso.
    • Conferma l'accesso alle origini dati e agli endpoint di Stream.
  5. Fai clic su Salva per applicare la configurazione del account di servizio.

Raccogli i prerequisiti di Tanium Stream

  1. Accedi alla console Tanium come amministratore.
  2. Vai ad Amministrazione > Autorizzazioni > Utenti.
  3. Crea o identifica un utente del account di servizio con i seguenti ruoli:
    • Ruolo Amministratore di Stream o Utente con accesso in sola lettura a Stream.
    • Privilegio del ruolo Collega utente.
    • Accesso ai gruppi di computer monitorati (consigliato: gruppo Tutti i computer).
    • Autorizzazione Leggi domanda salvata per i set di contenuti di Stream.

Configura il bucket AWS S3 e IAM per Google SecOps

  1. Crea un bucket Amazon S3 seguendo questa guida utente: Creazione di un bucket
  2. Salva il nome e la regione del bucket per riferimento futuro (ad esempio, tanium-stream-logs).
  3. Crea un utente seguendo questa guida: Creazione di un utente IAM.
  4. Seleziona l'utente creato.
  5. Seleziona la scheda Credenziali di sicurezza.
  6. Fai clic su Crea chiave di accesso nella sezione Chiavi di accesso.
  7. Seleziona Servizio di terze parti come Caso d'uso.
  8. Fai clic su Avanti.
  9. (Facoltativo) Aggiungi un tag di descrizione.
  10. Fai clic su Crea chiave di accesso.
  11. Fai clic su Scarica file CSV per salvare la chiave di accesso e la chiave di accesso segreta per un utilizzo successivo.
  12. Fai clic su Fine.
  13. Seleziona la scheda Autorizzazioni.
  14. Fai clic su Aggiungi autorizzazioni nella sezione Criteri per le autorizzazioni.
  15. Seleziona Aggiungi autorizzazioni.
  16. Seleziona Allega direttamente le norme.
  17. Cerca e seleziona il criterio AmazonS3FullAccess.
  18. Fai clic su Avanti.
  19. Fai clic su Aggiungi autorizzazioni.

Configura la destinazione AWS S3 di Tanium Connect

  1. Accedi alla console Tanium.
  2. Vai a Moduli > Connetti.
  3. Fai clic su Crea connessione.
  4. Fornisci i seguenti dettagli di configurazione:
    • Nome: inserisci un nome descrittivo (ad esempio, Stream Telemetry to S3 for SecOps).
    • Descrizione: descrizione facoltativa (ad esempio, Export endpoint telemetry and threat hunting data to AWS S3 for Google SecOps ingestion).
    • Attiva: seleziona questa opzione per attivare l'esecuzione della connessione in base alla pianificazione.
  5. Fai clic su Avanti.

Configurare l'origine della connessione

  1. Nella sezione Origine, fornisci i seguenti dettagli di configurazione:
    • Tipo di origine: seleziona Domanda salvata.
    • Domanda salvata: seleziona una delle seguenti domande salvate relative a Stream:
      • Stream - Endpoint Events per la telemetria degli endpoint in tempo reale.
      • Stream - Network Events per il monitoraggio dell'attività di rete.
      • Stream - Process Events per il monitoraggio dell'esecuzione dei processi.
      • Stream - File Events per l'attività del file system.
      • Stream - Threat Hunting Data per l'analisi comportamentale.
    • Gruppo di computer: seleziona Tutti i computer o gruppi di computer specifici da monitorare.
    • Intervallo di aggiornamento: imposta l'intervallo appropriato per la raccolta dei dati (ad esempio, 5 minuti per la telemetria in tempo reale).
  2. Fai clic su Avanti.

Configura la destinazione AWS S3

  1. Nella sezione Destinazione, fornisci i seguenti dettagli di configurazione:
    • Tipo di destinazione: seleziona AWS S3.
    • Nome destinazione: inserisci un nome univoco (ad esempio, Google SecOps Stream S3 Destination).
    • Chiave di accesso AWS: inserisci la chiave di accesso AWS dal file CSV scaricato nel passaggio di configurazione di AWS S3.
    • Chiave di accesso segreta AWS: inserisci la chiave di accesso segreta AWS dal file CSV scaricato nel passaggio di configurazione di AWS S3.
    • Nome bucket: inserisci il nome del bucket S3 (ad esempio tanium-stream-logs).
    • Regione: seleziona la regione AWS in cui si trova il bucket S3.
    • Prefisso chiave: inserisci un prefisso per gli oggetti S3 (ad esempio, tanium/stream/).
  2. Fai clic su Avanti.

Configurare i filtri

  1. Nella sezione Filtri, configura le opzioni di filtro dei dati:
    • Invia solo nuovi elementi: seleziona questa opzione per inviare solo i nuovi dati di telemetria dall'ultima esportazione.
    • Filtri delle colonne: aggiungi filtri in base ad attributi di eventi specifici, se necessario (ad esempio, filtra per tipo di evento, nome processo o indicatori di minaccia).
  2. Fai clic su Avanti.

Formatta i dati per AWS S3

  1. Nella sezione Formato, configura il formato dei dati:
    • Formato: seleziona JSON.
    • Opzioni:
      • Includi intestazioni: deseleziona questa opzione per evitare le intestazioni nell'output JSON.
      • Includi celle vuote: seleziona in base alle tue preferenze.
    • Opzioni avanzate:
      • Denominazione dei file: utilizza la denominazione predefinita basata sul timestamp.
      • Compressione: seleziona Gzip per ridurre i costi di archiviazione e i tempi di trasferimento.
  2. Fai clic su Avanti.

Pianificare la connessione

  1. Nella sezione Pianificazione, configura la pianificazione dell'esportazione:
    • Attiva pianificazione: seleziona questa opzione per attivare le esportazioni automatiche pianificate.
    • Tipo di programmazione: seleziona Ricorrente.
    • Frequenza: seleziona Ogni 5 minuti per i dati di telemetria quasi in tempo reale.
    • Ora di inizio: imposta l'ora di inizio appropriata per la prima esportazione.
  2. Fai clic su Avanti.

Salva e verifica la connessione

  1. Rivedi la configurazione della connessione nella schermata di riepilogo.
  2. Fai clic su Salva per creare la connessione.
  3. Fai clic su Prova connessione per verificare la configurazione.
  4. Se il test ha esito positivo, fai clic su Esegui ora per eseguire un'esportazione iniziale.
  5. Monitora lo stato della connessione nella pagina Panoramica di Connect.

Configura un feed in Google SecOps per importare i log di Tanium Stream

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su + Aggiungi nuovo feed.
  3. Nel campo Nome feed, inserisci un nome per il feed (ad esempio, Tanium Stream logs).
  4. Seleziona Amazon S3 V2 come Tipo di origine.
  5. Seleziona Tanium Stream come Tipo di log.
  6. Fai clic su Avanti.
  7. Specifica i valori per i seguenti parametri di input:
    • URI S3: s3://tanium-stream-logs/tanium/stream/
    • Opzioni di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze.
    • Età massima del file: includi i file modificati nell'ultimo numero di giorni. Il valore predefinito è 180 giorni.
    • ID chiave di accesso: chiave di accesso utente con accesso al bucket S3.
    • Chiave di accesso segreta: chiave segreta dell'utente con accesso al bucket S3.
    • Spazio dei nomi dell'asset: lo spazio dei nomi dell'asset.
    • Etichette di importazione: l'etichetta applicata agli eventi di questo feed.
  8. Fai clic su Avanti.
  9. Controlla la nuova configurazione del feed nella schermata Finalizza e poi fai clic su Invia.

Tabella di mappatura UDM

Campo log Mappatura UDM Logic
additional.event__AlgorithmName additional.fields.key: eventAlgorithmName
additional.fields.value.string_value: %{additional.eventAlgorithmName}		 Valore estratto direttamente dal campo del log non elaborato additional.event__AlgorithmName.
additional.event__AuthenticationPackageName target.resource.name: %{additional.event__AuthenticationPackageName} Valore estratto direttamente dal campo del log non elaborato additional.event__AuthenticationPackageName.
additional.event__CallerProcessId principal.process.pid: %{additional.event__CallerProcessId} Valore estratto direttamente dal campo del log non elaborato additional.event__CallerProcessId.
additional.event__CallerProcessName principal.process.file.fullpath: %{additional.event_CallerProcessName} Valore estratto direttamente dal campo del log non elaborato additional.event__CallerProcessName.
additional.event__ClientProcessId principal.process.pid: %{additional.event__ClientProcessId} Valore estratto direttamente dal campo del log non elaborato additional.event__ClientProcessId.
additional.event__ClientProcessStartKey additional.fields.key: eventClientProcessStartKey
additional.fields.value.string_value: %{additional.eventClientProcessStartKey}		 Valore estratto direttamente dal campo del log non elaborato additional.event__ClientProcessStartKey.
additional.event__CommandLine target.process.commandline: %{additional.event_CommandLine} Valore estratto direttamente dal campo del log non elaborato additional.event__CommandLine.
additional.event__ElevatedToken additional.fields.key: event__ElevatedToken
additional.fields.value.string_value: Sì/No		 Valore estratto direttamente dal campo del log non elaborato additional.event__ElevatedToken.
Se il valore è "%%1842", viene sostituito con "Sì".
Se il valore è "%%1843", viene sostituito con "No".
additional.event__FQDN principal.hostname: %{additional.event__FQDN} Valore estratto direttamente dal campo del log non elaborato additional.event__FQDN.
additional.event__FailureReason additional.fields.key: eventFailureReason
additional.fields.value.string_value: %{additional.eventFailureReason}		 Valore estratto direttamente dal campo del log non elaborato additional.event__FailureReason.
additional.event__ImpersonationLevel additional.fields.key: eventImpersonationLevel
additional.fields.value.string_value: %{additional.eventImpersonationLevel}		 Valore estratto direttamente dal campo del log non elaborato additional.event__ImpersonationLevel.
additional.event__IpAddress target.ip: %{additional.event__IpAddress} Valore estratto direttamente dal campo del log non elaborato additional.event__IpAddress.
additional.event__IpPort target.port: %{additional.event__IpPort} Valore estratto direttamente dal campo del log non elaborato additional.event__IpPort e convertito in un numero intero.
additional.event__KeyLength additional.fields.key: eventKeyLength
additional.fields.value.string_value: %{additional.eventKeyLength}		 Valore estratto direttamente dal campo del log non elaborato additional.event__KeyLength.
additional.event__KeyName additional.fields.key: eventKeyName
additional.fields.value.string_value: %{additional.eventKeyName}		 Valore estratto direttamente dal campo del log non elaborato additional.event__KeyName.
additional.event__KeyType additional.fields.key: eventKeyType
additional.fields.value.string_value: %{additional.eventKeyType}		 Valore estratto direttamente dal campo del log non elaborato additional.event__KeyType.
additional.event__LmPackageName additional.fields.key: eventLmPackageName
additional.fields.value.string_value: %{additional.eventLmPackageName}		 Valore estratto direttamente dal campo del log non elaborato additional.event__LmPackageName.
additional.event__LogonGuid target.resource.product_objectid: %{additional.event_LogonGuid} Valore estratto direttamente dal campo log non elaborato additional.event__LogonGuid con le parentesi graffe rimosse.
additional.event__LogonProcessName target.process.file.fullpath: %{additional.event_LogonProcessName} Valore estratto direttamente dal campo del log non elaborato additional.event__LogonProcessName.
additional.event__LogonType extensions.auth.authdetails: Logon Type: %{additional.event_LogonType} Valore estratto direttamente dal campo del log non elaborato additional.event__LogonType.
additional.event__MandatoryLabel additional.fields.key: eventMandatoryLabel
additional.fields.value.string_value: %{additional.eventMandatoryLabel}		 Valore estratto direttamente dal campo del log non elaborato additional.event__MandatoryLabel.
additional.event__NewProcessId target.process.pid: %{additional.event__NewProcessId} Valore estratto direttamente dal campo del log non elaborato additional.event__NewProcessId.
additional.event__NewProcessName target.process.file.fullpath: %{additional.event_NewProcessName} Valore estratto direttamente dal campo del log non elaborato additional.event__NewProcessName.
additional.event__ObjectServer security_result.categorydetails: %{additional.event_ObjectServer} Valore estratto direttamente dal campo del log non elaborato additional.event__ObjectServer.
additional.event__Operation additional.fields.key: eventOperation
additional.fields.value.string_value: %{additional.eventOperation}		 Valore estratto direttamente dal campo del log non elaborato additional.event__Operation.
additional.event__ParentProcessId principal.process.parentprocess.pid: %{additional.event_ParentProcessId} Valore estratto direttamente dal campo del log non elaborato additional.event__ParentProcessId.
additional.event__ParentProcessName principal.process.parent_process.file.fullpath: %{additional.event_ParentProcessName} Valore estratto direttamente dal campo del log non elaborato additional.event__ParentProcessName.
additional.event__ProcessId principal.process.pid: %{additional.event__ProcessId} Valore estratto direttamente dal campo del log non elaborato additional.event__ProcessId.
additional.event__ProcessName principal.process.file.fullpath: %{additional.event_ProcessName} Valore estratto direttamente dal campo del log non elaborato additional.event__ProcessName.
additional.event__PrivilegeList principal.user.attribute.permissions.name: %{additional.event__PrivilegeList} Valore estratto direttamente dal campo del log non elaborato additional.event__PrivilegeList.
additional.event__ProviderName additional.fields.key: eventProviderName
additional.fields.value.string_value: %{additional.eventProviderName}		 Valore estratto direttamente dal campo del log non elaborato additional.event__ProviderName.
additional.event__RestrictedAdminMode additional.fields.key: eventRestrictedAdminMode
additional.fields.value.string_value: %{additional.eventRestrictedAdminMode}		 Valore estratto direttamente dal campo del log non elaborato additional.event__RestrictedAdminMode.
additional.event__ReturnCode additional.fields.key: eventReturnCode
additional.fields.value.string_value: %{additional.eventReturnCode}		 Valore estratto direttamente dal campo del log non elaborato additional.event__ReturnCode.
additional.event__RpcCallClientLocality additional.fields.key: eventRpcCallClientLocality
additional.fields.value.string_value: %{additional.eventRpcCallClientLocality}		 Valore estratto direttamente dal campo del log non elaborato additional.event__RpcCallClientLocality.
additional.event__Service securityresult.description: %{additional.event_Service} Valore estratto direttamente dal campo del log non elaborato additional.event__Service.
additional.event__Status additional.fields.key: eventStatus
additional.fields.value.string_value: %{additional.eventStatus}		 Valore estratto direttamente dal campo del log non elaborato additional.event__Status.
additional.event__SubStatus additional.fields.key: eventSubStatus
additional.fields.value.string_value: %{additional.eventSubStatus}		 Valore estratto direttamente dal campo del log non elaborato additional.event__SubStatus.
additional.event__SubjectDomainName principal.administrativedomain: %{additional.event_SubjectDomainName} Valore estratto direttamente dal campo del log non elaborato additional.event__SubjectDomainName.
additional.event__SubjectLogonId additional.fields.key: eventSubjectLogonId
additional.fields.value.string_value: %{additional.eventSubjectLogonId}		 Valore estratto direttamente dal campo del log non elaborato additional.event__SubjectLogonId.
additional.event__SubjectUserName principal.user.user_displayname: %{additional.event_SubjectUserName} Valore estratto direttamente dal campo del log non elaborato additional.event__SubjectUserName.
additional.event__SubjectUserSid principal.user.windowssid: %{additional.event_SubjectUserSid} Valore estratto direttamente dal campo del log non elaborato additional.event__SubjectUserSid.
additional.event__TaskContentNew additional.fields.key: eventTaskContentNew
additional.fields.value.string_value: %{additional.eventTaskContentNew}		 Valore estratto direttamente dal campo del log non elaborato additional.event__TaskContentNew.
additional.event__TaskName additional.fields.key: eventTaskName
additional.fields.value.string_value: %{additional.eventTaskName}		 Valore estratto direttamente dal campo del log non elaborato additional.event__TaskName.
additional.event__TargetDomainName target.administrativedomain: %{additional.event_TargetDomainName} Valore estratto direttamente dal campo del log non elaborato additional.event__TargetDomainName.
additional.event__TargetLinkedLogonId additional.fields.key: eventTargetLinkedLogonId
additional.fields.value.string_value: %{additional.eventTargetLinkedLogonId}		 Valore estratto direttamente dal campo del log non elaborato additional.event__TargetLinkedLogonId.
additional.event__TargetLogonId additional.fields.key: eventTargetLogonId
additional.fields.value.string_value: %{additional.eventTargetLogonId}		 Valore estratto direttamente dal campo del log non elaborato additional.event__TargetLogonId.
additional.event__TargetOutboundDomainName additional.fields.key: eventTargetOutboundDomainName
additional.fields.value.string_value: %{additional.eventTargetOutboundDomainName}		 Valore estratto direttamente dal campo del log non elaborato additional.event__TargetOutboundDomainName.
additional.event__TargetOutboundUserName additional.fields.key: eventTargetOutboundUserName
additional.fields.value.string_value: %{additional.eventTargetOutboundUserName}		 Valore estratto direttamente dal campo del log non elaborato additional.event__TargetOutboundUserName.
additional.event__TargetSid target.user.windowssid: %{additional.event_TargetSid} Valore estratto direttamente dal campo del log non elaborato additional.event__TargetSid.
additional.event__TargetUserName target.user.userid: %{additional.event__TargetUserName} Valore estratto direttamente dal campo del log non elaborato additional.event__TargetUserName.
additional.event__TargetUserSid target.user.windowssid: %{additional.event_TargetUserSid} Valore estratto direttamente dal campo del log non elaborato additional.event__TargetUserSid.
additional.event__TokenElevationType additional.fields.key: eventTokenElevationType
additional.fields.value.string_value: %{additional.eventTokenElevationType}		 Valore estratto direttamente dal campo del log non elaborato additional.event__TokenElevationType.
additional.event__TransmittedServices additional.fields.key: eventTransmittedServices
additional.fields.value.string_value: %{additional.eventTransmittedServices}		 Valore estratto direttamente dal campo del log non elaborato additional.event__TransmittedServices.
additional.event__VirtualAccount additional.fields.key: eventVirtualAccount
additional.fields.value.string_value: %{additional.eventVirtualAccount}		 Valore estratto direttamente dal campo del log non elaborato additional.event__VirtualAccount.
additional.event__WorkstationName target.hostname: %{additional.event__WorkstationName} Valore estratto direttamente dal campo del log non elaborato additional.event__WorkstationName.
additional.event_id security_result.rule_name: EventID: %{additional.event_id} Valore estratto direttamente dal campo del log non elaborato additional.event_id e convertito in una stringa.
additional.query network.dns.questions.name: %{additional.query} Valore estratto direttamente dal campo del log non elaborato additional.query.
additional.response network.dns.answers.name: %{additional.response} Valore estratto direttamente dal campo del log non elaborato additional.response.
metadata.description metadata.description: %{metadata.description} Valore estratto direttamente dal campo del log non elaborato metadata.description.
metadata.eventTimestamp metadata.event_timestamp.seconds: Extracted from %{metadata.eventTimestamp}
metadata.event_timestamp.nanos: Extracted from %{metadata.eventTimestamp}		 I secondi e i nanosecondi vengono estratti dal campo log non elaborato metadata.eventTimestamp utilizzando l'analisi della data.
metadata.eventType metadata.product_event_type: %{metadata.eventType}
metadata.event_type: %{metadata.eventType}		 Valore estratto direttamente dal campo del log non elaborato metadata.eventType.
metadata.logType metadata.product_event_type: %{metadata.logType}
metadata.event_type: %{metadata.logType}		 Valore estratto direttamente dal campo del log non elaborato metadata.logType.
network.applicationProtocol network.application_protocol: %{network.applicationProtocol} Valore estratto direttamente dal campo del log non elaborato network.applicationProtocol.
network.direction network.direction: %{network.direction} Valore estratto direttamente dal campo del log non elaborato network.direction.
network.ipProtocol network.ip_protocol: %{network.ipProtocol} Valore estratto direttamente dal campo del log non elaborato network.ipProtocol.
principal.assetId principal.asset_id: TANIUM:%{principal.assetId} Valore estratto direttamente dal campo del log non elaborato principal.assetId e preceduto dal prefisso "TANIUM:".
principal.hostname principal.hostname: %{principal.hostname} Valore estratto direttamente dal campo del log non elaborato principal.hostname.
principal.process.companySpecificParentProcessId principal.process.product_specific_process_id: TANIUM:%{principal.assetId}:%{principal.process.companySpecificParentProcessId} Valore estratto direttamente dal campo del log non elaborato principal.process.companySpecificParentProcessId e formattato come "TANIUM:%{principal.assetId}:%{principal.process.companySpecificParentProcessId}".
principal.process.companySpecificProcessId principal.process.product_specific_process_id: TANIUM:%{principal.assetId}:%{principal.process.companySpecificProcessId} Valore estratto direttamente dal campo del log non elaborato principal.process.companySpecificProcessId e formattato come "TANIUM:%{principal.assetId}:%{principal.process.companySpecificProcessId}".
principal.process.commandLine target.process.command_line: %{principal.process.commandLine} Valore estratto direttamente dal campo log non elaborato principal.process.commandLine con le virgolette doppie rimosse e i trattini sostituiti con le e commerciali.
principal.process.file.fullPath target.process.file.full_path: %{principal.process.file.fullPath} Valore estratto direttamente dal campo del log non elaborato principal.process.file.fullPath.
principal.process.file.md5 target.process.file.md5: %{principal.process.file.md5} Valore estratto direttamente dal campo log non elaborato principal.process.file.md5 e convertito in minuscolo.
principal.process.parentPid principal.process.pid: %{principal.process.parentPid} Valore estratto direttamente dal campo del log grezzo principal.process.parentPid solo per gli eventi PROCESS_LAUNCH.
principal.process.pid target.process.pid: %{principal.process.pid} Valore estratto direttamente dal campo del log grezzo principal.process.pid solo per gli eventi PROCESS_LAUNCH.
principal.process.productSpecificProcessId principal.process.product_specific_process_id: TANIUM:%{principal.assetId}:%{principal.process.productSpecificProcessId} Valore estratto direttamente dal campo del log non elaborato principal.process.productSpecificProcessId e formattato come "TANIUM:%{principal.assetId}:%{principal.process.productSpecificProcessId}".
principal.user.groupid principal.user.group_identifiers: %{principal.user.groupid} Valore estratto direttamente dal campo del log non elaborato principal.user.groupid.
principal.user.userid principal.user.userid: %{principal.user.userid} Valore estratto direttamente dal campo del log non elaborato principal.user.userid.
src.ip principal.ip: %{src.ip} Valore estratto direttamente dal campo del log non elaborato src.ip.
src.port principal.port: %{src.port} Valore estratto direttamente dal campo del log non elaborato src.port e convertito in un numero intero.
target.file.fullPath target.file.full_path: %{target.file.fullPath} Valore estratto direttamente dal campo del log non elaborato target.file.fullPath.
target.file.md5 target.file.md5: %{target.file.md5} Valore estratto direttamente dal campo del log non elaborato target.file.md5.
target.port target.port: %{target.port} Valore estratto direttamente dal campo del log non elaborato target.port e convertito in un numero intero.
target.registry.registryKey target.registry.registry_key: %{target.registry.registryKey} Valore estratto direttamente dal campo del log non elaborato target.registry.registryKey.
target.registry.registryValue target.registry.registry_value_data: %{target.registry.registryValue} Valore estratto direttamente dal campo del log non elaborato target.registry.registryValue.
target.user.userDisplayName target.user.user_display_name: %{target.user.userDisplayName} Valore estratto direttamente dal campo del log non elaborato target.user.userDisplayName.
target.user.windowsSid target.user.windows_sid: %{target.user.windowsSid} Valore estratto direttamente dal campo del log non elaborato target.user.windowsSid.
user agent network.http.user_agent: %{user-agent} Valore estratto direttamente dal campo log non elaborato user-agent con le virgolette doppie rimosse.
N/D extensions.auth.auth_mechanism: LOCAL/NETWORK/BATCH/SERVICE/UNLOCK/NETWORK_CLEAR_TEXT/NEW_CREDENTIALS/REMOTE_INTERACTIVE/CACHED_INTERACTIVE/MECHANISM_UNSPECIFIED Determinato dal codice del parser in base al valore di additional.event__LogonType.
N/D extensions.auth.type: MACHINE Aggiunto dal codice del parser per gli eventi USER_LOGIN e USER_LOGOUT.
N/D metadata.event_type: PROCESS_LAUNCH/NETWORK_CONNECTION/FILE_OPEN/FILE_DELETION/REGISTRY_MODIFICATION/USER_LOGIN/STATUS_UPDATE/USER_LOGOUT/PROCESS_MODULE_LOAD/PROCESS_TERMINATION/USER_CHANGE_PERMISSIONS/SCHEDULED_TASK_MODIFICATION/SCHEDULED_TASK_DISABLE/SCHEDULED_TASK_ENABLE/SCHEDULED_TASK_DELETION/SCHEDULED_TASK_CREATION/PROCESS_UNCATEGORIZED Determinato dal codice del parser in base al valore di metadata.logType e additional.event_id.
N/D metadata.log_type: TANIUM_TH Valore hardcoded aggiunto dal codice del parser.
N/D metadata.product_name: Stream Valore hardcoded aggiunto dal codice del parser.
N/D metadata.vendor_name: Tanium Valore hardcoded aggiunto dal codice del parser.
N/D principal.hostname: %{principal_hostname} Valore estratto da principal.hostname o additional.event__FQDN.
N/D principal.ip: %{srcIp} Estratto dal messaggio di log non elaborato utilizzando grok se è presente src.ip.
N/D securityresult.about.resource.name: %{additional.event_AuthenticationPackageName} Valore estratto direttamente dal campo log non elaborato additional.event__AuthenticationPackageName per valori additional.event_id specifici.
N/D security_result.category: AUTH_VIOLATION Aggiunto dal codice del parser per valori additional.event_id specifici.
N/D security_result.rule_name: EventID: %{additional.event_id} Valore estratto direttamente dal campo del log non elaborato additional.event_id e convertito in una stringa.
N/D target.hostname: %{query_host} Estratto dal campo del log non elaborato additional.query se contiene un nome host.
N/D target.ip: %{dstIp} Estratto dal messaggio di log non elaborato utilizzando grok se è presente src.ip.
N/D target.ip: %{query_ip} Estratto dal campo di log non elaborato additional.query se contiene un indirizzo IP.
N/D target.process.command_line: %{principal_process_commandLine} Valore estratto da principal.process.commandLine se non è vuoto.
N/D target.process.file.full_path: %{principal_process_file_fullPath} Valore estratto da principal.process.file.fullPath se non è vuoto.
N/D target.process.file.md5: %{principal_process_file_md5} Valore estratto da principal.process.file.md5 se non è vuoto.
N/D target.process.product_specific_process_id: TANIUM:%{principal.assetId}:%{principal.process.productSpecificProcessId} Valore estratto da principal.process.productSpecificProcessId e formattato come "TANIUM:%{principal.assetId}:%{principal.process.productSpecificProcessId}".
N/D target.resource.resource_type: TASK Aggiunto dal codice del parser per valori additional.event_id specifici.
N/D timestamp.seconds: Extracted from %{metadata.eventTimestamp}
timestamp.nanos: Extracted from %{metadata.eventTimestamp}		 I secondi e i nanosecondi vengono estratti dal campo log non elaborato metadata.eventTimestamp utilizzando l'analisi della data.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.