Tanium Stream ログを収集する
以下でサポートされています。
Google SecOps
SIEM
このドキュメントでは、Tanium Connect のネイティブ AWS S3 エクスポート機能を使用して、Tanium Stream ログを Google Security Operations に取り込む方法について説明します。Tanium Stream は、リアルタイムのエンドポイント テレメトリー、脅威ハンティング データ、行動分析を JSON 形式で提供します。カスタム Lambda 関数を必要とせずに、Tanium Connect を使用して S3 に直接エクスポートできます。パーサーは、Tanium Stream からの未加工の JSON ログを統合データモデル(UDM)に変換します。まず、一般的なフィールドを正規化します。次に、「logType」または「eventType」に基づいて特定のロジックを適用し、関連情報を適切な UDM フィールドにマッピングします。ネットワーク接続、ユーザー ログイン、プロセス起動、ファイル変更などのさまざまなイベントタイプを処理します。
始める前に
次の前提条件を満たしていることを確認してください。
- Google SecOps インスタンス
- Tanium Core Platform 7.0 以降
- Tanium Stream モジュールがインストールされ、構成されている
- 有効なライセンスでインストールされた Tanium Connect モジュール
- Tanium Threat Response 3.4.346 以降(TR 統合を使用している場合)
- 管理者権限を持つ Tanium Console への特権アクセス
- AWS(S3、IAM)への特権アクセス
Tanium Stream サービス アカウントを構成する
- Tanium Console にログインします。
- [モジュール] > [ストリーム] に移動します。
- 右上の [設定] をクリックします。
- [サービス アカウント] セクションで、次の構成を行います。
- サービス アカウント ユーザー: 適切な Stream 権限を持つユーザーを選択します。
- アカウントに Connect User ロールの権限があることを確認します。
- Stream データソースとエンドポイントへのアクセス権を確認します。
- [保存] をクリックして、サービス アカウントの構成を適用します。
Tanium Stream の前提条件を収集する
- 管理者として Tanium Console にログインします。
- [管理> 権限 > ユーザー] に移動します。
- 次のロールを持つサービス アカウント ユーザーを作成または特定します。
- Stream 管理者または Stream 読み取り専用ユーザーのロール。
- Connect User ロールの権限。
- 監視対象のパソコン グループへのアクセス(推奨: [すべてのパソコン] グループ)。
- Stream コンテンツ セットの保存済み質問の読み取り権限。
Google SecOps 用に AWS S3 バケットと IAM を構成する
- バケットの作成のユーザーガイドに沿って、Amazon S3 バケットを作成します。
- 後で参照できるように、バケットの名前とリージョンを保存します(例:
tanium-stream-logs)。 - IAM ユーザーの作成のユーザーガイドに沿って、ユーザーを作成します。
- 作成したユーザーを選択します。
- [セキュリティ認証情報] タブを選択します。
- [アクセスキー] セクションで [アクセスキーを作成] をクリックします。
- [ユースケース] で [サードパーティ サービス] を選択します。
- [次へ] をクリックします。
- 省略可: 説明タグを追加します。
- [アクセスキーを作成] をクリックします。
- [CSV ファイルをダウンロード] をクリックして、[アクセスキー] と [シークレット アクセスキー] を保存し、後で使用できるようにします。
- [完了] をクリックします。
- [権限] タブを選択します。
- [権限ポリシー] セクションで、[権限を追加] をクリックします。
- [権限を追加] を選択します。
- [ポリシーを直接アタッチする] を選択します。
- AmazonS3FullAccess ポリシーを検索して選択します。
- [次へ] をクリックします。
- [権限を追加] をクリックします。
Tanium Connect の AWS S3 の宛先を構成する
- Tanium Console にログインします。
- [モジュール] > [接続] に移動します。
- [接続を作成] をクリックします。
- 次の構成の詳細を入力します。
- 名前: わかりやすい名前を入力します(例:
Stream Telemetry to S3 for SecOps)。 - 説明: 省略可能な説明(例:
Export endpoint telemetry and threat hunting data to AWS S3 for Google SecOps ingestion)。 - 有効: スケジュールどおりに接続を実行するには、このオプションを選択します。
- 名前: わかりやすい名前を入力します(例:
- [次へ] をクリックします。
接続元を構成する
- [ソース] セクションで、次の構成の詳細を指定します。
- Source Type: [Saved Question] を選択します。
- 保存した質問: 次の Stream 関連の保存した質問のいずれかを選択します。
- リアルタイム エンドポイント テレメトリーの Stream - Endpoint Events。
- ネットワーク アクティビティのモニタリング用の Stream - Network Events。
- プロセス実行のトラッキング用の Stream - Process Events。
- ファイル システム アクティビティの Stream - File Events。
- 行動分析用の Stream - Threat Hunting Data。
- コンピュータ グループ: 監視する [すべてのコンピュータ] または特定のコンピュータ グループを選択します。
- 更新間隔: データ収集に適した間隔を設定します(リアルタイム テレメトリーの場合は 5 分など)。
- [次へ] をクリックします。
AWS S3 の宛先を構成する
- [送信先] セクションで、次の構成の詳細を指定します。
- 宛先の種類: [AWS S3] を選択します。
- 宛先名: 一意の名前(
Google SecOps Stream S3 Destinationなど)を入力します。 - AWS アクセスキー: AWS S3 の構成手順でダウンロードした CSV ファイルから AWS アクセスキーを入力します。
- AWS Secret Access Key: AWS S3 の構成手順でダウンロードした CSV ファイルから AWS シークレット アクセスキーを入力します。
- バケット名: S3 バケット名(
tanium-stream-logsなど)を入力します。 - リージョン: S3 バケットが配置されている AWS リージョンを選択します。
- キー接頭辞: S3 オブジェクトの接頭辞(
tanium/stream/など)を入力します。
- [次へ] をクリックします。
フィルタを構成する
- [フィルタ] セクションで、データ フィルタリング オプションを構成します。
- 新しいアイテムのみを送信: このオプションを選択すると、前回のエクスポート以降の新しいテレメトリー データのみが送信されます。
- 列フィルタ: 必要に応じて、特定のイベント属性に基づいてフィルタを追加します(イベントタイプ、プロセス名、脅威指標でフィルタするなど)。
- [次へ] をクリックします。
AWS S3 用にデータをフォーマットする
- [形式] セクションで、データ形式を構成します。
- 形式: [JSON] を選択します。
- オプション:
- ヘッダーを含める: JSON 出力にヘッダーを含めない場合は、選択を解除します。
- 空白のセルを含める: 必要に応じて選択します。
- 詳細オプション:
- ファイル命名: デフォルトのタイムスタンプ ベースの命名を使用します。
- 圧縮: ストレージ コストと転送時間を削減するには、[Gzip] を選択します。
- [次へ] をクリックします。
接続をスケジュールする
- [スケジュール] セクションで、エクスポート スケジュールを構成します。
- スケジュールを有効にする: 自動スケジュール設定エクスポートを有効にする場合に選択します。
- スケジュール タイプ: [繰り返し] を選択します。
- 頻度: ほぼリアルタイムのテレメトリー データの場合は、[5 分ごと] を選択します。
- 開始時間: 最初のエクスポートの適切な開始時間を設定します。
- [次へ] をクリックします。
接続を保存して検証する
- 概要画面で接続構成を確認します。
- [Save] をクリックして接続を作成します。
- [接続をテスト] をクリックして、構成を確認します。
- テストが成功したら、[今すぐ実行] をクリックして初回のエクスポートを実行します。
- [Connect の概要] ページで接続ステータスをモニタリングします。
Tanium Stream のログを取り込むように Google SecOps でフィードを構成する
- [SIEM 設定] > [フィード] に移動します。
- [+ 新しいフィードを追加] をクリックします。
- [フィード名] フィールドに、フィードの名前を入力します(例:
Tanium Stream logs)。 - [ソースタイプ] として [Amazon S3 V2] を選択します。
- [ログタイプ] として [Tanium Stream] を選択します。
- [次へ] をクリックします。
- 次の入力パラメータの値を指定します。
- S3 URI:
s3://tanium-stream-logs/tanium/stream/ - Source deletion options: 必要に応じて削除オプションを選択します。
- ファイルの最大経過日数: 指定した日数以内に変更されたファイルを含めます。デフォルトは 180 日です。
- アクセスキー ID: S3 バケットにアクセスできるユーザー アクセスキー。
- シークレット アクセスキー: S3 バケットにアクセスできるユーザーのシークレット キー。
- アセットの名前空間: アセットの名前空間。
- Ingestion labels: このフィードのイベントに適用されるラベル。
- S3 URI:
- [次へ] をクリックします。
- [Finalize] 画面で新しいフィードの設定を確認し、[送信] をクリックします。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | ロジック |
|---|---|---|
| additional.event__AlgorithmName | additional.fields.key: eventAlgorithmName additional.fields.value.string_value: %{additional.eventAlgorithmName} |
未加工ログのフィールド additional.event__AlgorithmName から直接取得された値。 |
| additional.event__AuthenticationPackageName | target.resource.name: %{additional.event__AuthenticationPackageName} | 未加工ログのフィールド additional.event__AuthenticationPackageName から直接取得された値。 |
| additional.event__CallerProcessId | principal.process.pid: %{additional.event__CallerProcessId} | 未加工ログのフィールド additional.event__CallerProcessId から直接取得された値。 |
| additional.event__CallerProcessName | principal.process.file.fullpath: %{additional.event_CallerProcessName} | 未加工ログのフィールド additional.event__CallerProcessName から直接取得された値。 |
| additional.event__ClientProcessId | principal.process.pid: %{additional.event__ClientProcessId} | 未加工ログのフィールド additional.event__ClientProcessId から直接取得された値。 |
| additional.event__ClientProcessStartKey | additional.fields.key: eventClientProcessStartKey additional.fields.value.string_value: %{additional.eventClientProcessStartKey} |
未加工ログのフィールド additional.event__ClientProcessStartKey から直接取得された値。 |
| additional.event__CommandLine | target.process.commandline: %{additional.event_CommandLine} | 未加工ログのフィールド additional.event__CommandLine から直接取得された値。 |
| additional.event__ElevatedToken | additional.fields.key: event__ElevatedToken additional.fields.value.string_value: Yes/No |
未加工ログ フィールド additional.event__ElevatedToken から直接取得された値。値が「%%1842」の場合、「Yes」に置き換えられます。 値が「%%1843」の場合、「No」に置き換えられます。 |
| additional.event__FQDN | principal.hostname: %{additional.event__FQDN} | 未加工ログのフィールド additional.event__FQDN から直接取得された値。 |
| additional.event__FailureReason | additional.fields.key: eventFailureReason additional.fields.value.string_value: %{additional.eventFailureReason} |
未加工ログのフィールド additional.event__FailureReason から直接取得された値。 |
| additional.event__ImpersonationLevel | additional.fields.key: eventImpersonationLevel additional.fields.value.string_value: %{additional.eventImpersonationLevel} |
未加工ログのフィールド additional.event__ImpersonationLevel から直接取得された値。 |
| additional.event__IpAddress | target.ip: %{additional.event__IpAddress} | 未加工ログのフィールド additional.event__IpAddress から直接取得された値。 |
| additional.event__IpPort | target.port: %{additional.event__IpPort} | 未加工ログのフィールド additional.event__IpPort から直接取得され、整数に変換されます。 |
| additional.event__KeyLength | additional.fields.key: eventKeyLength additional.fields.value.string_value: %{additional.eventKeyLength} |
未加工ログのフィールド additional.event__KeyLength から直接取得された値。 |
| additional.event__KeyName | additional.fields.key: eventKeyName additional.fields.value.string_value: %{additional.eventKeyName} |
未加工ログのフィールド additional.event__KeyName から直接取得された値。 |
| additional.event__KeyType | additional.fields.key: eventKeyType additional.fields.value.string_value: %{additional.eventKeyType} |
未加工ログのフィールド additional.event__KeyType から直接取得された値。 |
| additional.event__LmPackageName | additional.fields.key: eventLmPackageName additional.fields.value.string_value: %{additional.eventLmPackageName} |
未加工ログのフィールド additional.event__LmPackageName から直接取得された値。 |
| additional.event__LogonGuid | target.resource.product_objectid: %{additional.event_LogonGuid} | 値は、未加工ログの additional.event__LogonGuid フィールドから直接取得され、中かっこが削除されます。 |
| additional.event__LogonProcessName | target.process.file.fullpath: %{additional.event_LogonProcessName} | 未加工ログのフィールド additional.event__LogonProcessName から直接取得された値。 |
| additional.event__LogonType | extensions.auth.authdetails: Logon Type: %{additional.event_LogonType} | 未加工ログのフィールド additional.event__LogonType から直接取得された値。 |
| additional.event__MandatoryLabel | additional.fields.key: eventMandatoryLabel additional.fields.value.string_value: %{additional.eventMandatoryLabel} |
未加工ログのフィールド additional.event__MandatoryLabel から直接取得された値。 |
| additional.event__NewProcessId | target.process.pid: %{additional.event__NewProcessId} | 未加工ログのフィールド additional.event__NewProcessId から直接取得された値。 |
| additional.event__NewProcessName | target.process.file.fullpath: %{additional.event_NewProcessName} | 未加工ログのフィールド additional.event__NewProcessName から直接取得された値。 |
| additional.event__ObjectServer | security_result.categorydetails: %{additional.event_ObjectServer} | 未加工ログのフィールド additional.event__ObjectServer から直接取得された値。 |
| additional.event__Operation | additional.fields.key: eventOperation additional.fields.value.string_value: %{additional.eventOperation} |
未加工ログのフィールド additional.event__Operation から直接取得された値。 |
| additional.event__ParentProcessId | principal.process.parentprocess.pid: %{additional.event_ParentProcessId} | 未加工ログのフィールド additional.event__ParentProcessId から直接取得された値。 |
| additional.event__ParentProcessName | principal.process.parent_process.file.fullpath: %{additional.event_ParentProcessName} | 未加工ログのフィールド additional.event__ParentProcessName から直接取得された値。 |
| additional.event__ProcessId | principal.process.pid: %{additional.event__ProcessId} | 未加工ログのフィールド additional.event__ProcessId から直接取得された値。 |
| additional.event__ProcessName | principal.process.file.fullpath: %{additional.event_ProcessName} | 未加工ログのフィールド additional.event__ProcessName から直接取得された値。 |
| additional.event__PrivilegeList | principal.user.attribute.permissions.name: %{additional.event__PrivilegeList} | 未加工ログのフィールド additional.event__PrivilegeList から直接取得された値。 |
| additional.event__ProviderName | additional.fields.key: eventProviderName additional.fields.value.string_value: %{additional.eventProviderName} |
未加工ログのフィールド additional.event__ProviderName から直接取得された値。 |
| additional.event__RestrictedAdminMode | additional.fields.key: eventRestrictedAdminMode additional.fields.value.string_value: %{additional.eventRestrictedAdminMode} |
未加工ログのフィールド additional.event__RestrictedAdminMode から直接取得された値。 |
| additional.event__ReturnCode | additional.fields.key: eventReturnCode additional.fields.value.string_value: %{additional.eventReturnCode} |
未加工ログのフィールド additional.event__ReturnCode から直接取得された値。 |
| additional.event__RpcCallClientLocality | additional.fields.key: eventRpcCallClientLocality additional.fields.value.string_value: %{additional.eventRpcCallClientLocality} |
未加工ログのフィールド additional.event__RpcCallClientLocality から直接取得された値。 |
| additional.event__Service | securityresult.description: %{additional.event_Service} | 未加工ログのフィールド additional.event__Service から直接取得された値。 |
| additional.event__Status | additional.fields.key: eventStatus additional.fields.value.string_value: %{additional.eventStatus} |
未加工ログのフィールド additional.event__Status から直接取得された値。 |
| additional.event__SubStatus | additional.fields.key: eventSubStatus additional.fields.value.string_value: %{additional.eventSubStatus} |
未加工ログのフィールド additional.event__SubStatus から直接取得された値。 |
| additional.event__SubjectDomainName | principal.administrativedomain: %{additional.event_SubjectDomainName} | 未加工ログのフィールド additional.event__SubjectDomainName から直接取得された値。 |
| additional.event__SubjectLogonId | additional.fields.key: eventSubjectLogonId additional.fields.value.string_value: %{additional.eventSubjectLogonId} |
未加工ログのフィールド additional.event__SubjectLogonId から直接取得された値。 |
| additional.event__SubjectUserName | principal.user.user_displayname: %{additional.event_SubjectUserName} | 未加工ログのフィールド additional.event__SubjectUserName から直接取得された値。 |
| additional.event__SubjectUserSid | principal.user.windowssid: %{additional.event_SubjectUserSid} | 未加工ログのフィールド additional.event__SubjectUserSid から直接取得された値。 |
| additional.event__TaskContentNew | additional.fields.key: eventTaskContentNew additional.fields.value.string_value: %{additional.eventTaskContentNew} |
未加工ログのフィールド additional.event__TaskContentNew から直接取得された値。 |
| additional.event__TaskName | additional.fields.key: eventTaskName additional.fields.value.string_value: %{additional.eventTaskName} |
未加工ログのフィールド additional.event__TaskName から直接取得された値。 |
| additional.event__TargetDomainName | target.administrativedomain: %{additional.event_TargetDomainName} | 未加工ログのフィールド additional.event__TargetDomainName から直接取得された値。 |
| additional.event__TargetLinkedLogonId | additional.fields.key: eventTargetLinkedLogonId additional.fields.value.string_value: %{additional.eventTargetLinkedLogonId} |
未加工ログのフィールド additional.event__TargetLinkedLogonId から直接取得された値。 |
| additional.event__TargetLogonId | additional.fields.key: eventTargetLogonId additional.fields.value.string_value: %{additional.eventTargetLogonId} |
未加工ログのフィールド additional.event__TargetLogonId から直接取得された値。 |
| additional.event__TargetOutboundDomainName | additional.fields.key: eventTargetOutboundDomainName additional.fields.value.string_value: %{additional.eventTargetOutboundDomainName} |
未加工ログのフィールド additional.event__TargetOutboundDomainName から直接取得された値。 |
| additional.event__TargetOutboundUserName | additional.fields.key: eventTargetOutboundUserName additional.fields.value.string_value: %{additional.eventTargetOutboundUserName} |
未加工ログのフィールド additional.event__TargetOutboundUserName から直接取得された値。 |
| additional.event__TargetSid | target.user.windowssid: %{additional.event_TargetSid} | 未加工ログのフィールド additional.event__TargetSid から直接取得された値。 |
| additional.event__TargetUserName | target.user.userid: %{additional.event__TargetUserName} | 未加工ログのフィールド additional.event__TargetUserName から直接取得された値。 |
| additional.event__TargetUserSid | target.user.windowssid: %{additional.event_TargetUserSid} | 未加工ログのフィールド additional.event__TargetUserSid から直接取得された値。 |
| additional.event__TokenElevationType | additional.fields.key: eventTokenElevationType additional.fields.value.string_value: %{additional.eventTokenElevationType} |
未加工ログのフィールド additional.event__TokenElevationType から直接取得された値。 |
| additional.event__TransmittedServices | additional.fields.key: eventTransmittedServices additional.fields.value.string_value: %{additional.eventTransmittedServices} |
未加工ログのフィールド additional.event__TransmittedServices から直接取得された値。 |
| additional.event__VirtualAccount | additional.fields.key: eventVirtualAccount additional.fields.value.string_value: %{additional.eventVirtualAccount} |
未加工ログのフィールド additional.event__VirtualAccount から直接取得された値。 |
| additional.event__WorkstationName | target.hostname: %{additional.event__WorkstationName} | 未加工ログのフィールド additional.event__WorkstationName から直接取得された値。 |
| additional.event_id | security_result.rule_name: EventID: %{additional.event_id} | 未加工ログのフィールド additional.event_id から直接取得され、文字列に変換されます。 |
| additional.query | network.dns.questions.name: %{additional.query} | 未加工ログのフィールド additional.query から直接取得された値。 |
| additional.response | network.dns.answers.name: %{additional.response} | 未加工ログのフィールド additional.response から直接取得された値。 |
| metadata.description | metadata.description: %{metadata.description} | 未加工ログのフィールド metadata.description から直接取得された値。 |
| metadata.eventTimestamp | metadata.event_timestamp.seconds: Extracted from %{metadata.eventTimestamp} metadata.event_timestamp.nanos: Extracted from %{metadata.eventTimestamp} |
秒とナノ秒は、日付解析を使用して未加工ログのフィールド metadata.eventTimestamp から抽出されます。 |
| metadata.eventType | metadata.product_event_type: %{metadata.eventType} metadata.event_type: %{metadata.eventType} |
未加工ログのフィールド metadata.eventType から直接取得された値。 |
| metadata.logType | metadata.product_event_type: %{metadata.logType} metadata.event_type: %{metadata.logType} |
未加工ログのフィールド metadata.logType から直接取得された値。 |
| network.applicationProtocol | network.application_protocol: %{network.applicationProtocol} | 未加工ログのフィールド network.applicationProtocol から直接取得された値。 |
| network.direction | network.direction: %{network.direction} | 未加工ログのフィールド network.direction から直接取得された値。 |
| network.ipProtocol | network.ip_protocol: %{network.ipProtocol} | 未加工ログのフィールド network.ipProtocol から直接取得された値。 |
| principal.assetId | principal.asset_id: TANIUM:%{principal.assetId} | 未加工ログのフィールド principal.assetId から直接取得された値で、「TANIUM:」という接頭辞が付いています。 |
| principal.hostname | principal.hostname: %{principal.hostname} | 未加工ログのフィールド principal.hostname から直接取得された値。 |
| principal.process.companySpecificParentProcessId | principal.process.product_specific_process_id: TANIUM:%{principal.assetId}:%{principal.process.companySpecificParentProcessId} | 未加工ログのフィールド principal.process.companySpecificParentProcessId から直接取得され、「TANIUM:%{principal.assetId}:%{principal.process.companySpecificParentProcessId}」としてフォーマットされます。 |
| principal.process.companySpecificProcessId | principal.process.product_specific_process_id: TANIUM:%{principal.assetId}:%{principal.process.companySpecificProcessId} | 未加工ログのフィールド principal.process.companySpecificProcessId から直接取得された値。形式は「TANIUM:%{principal.assetId}:%{principal.process.companySpecificProcessId}」です。 |
| principal.process.commandLine | target.process.command_line: %{principal.process.commandLine} | 未加工ログのフィールド principal.process.commandLine から直接取得された値。二重引用符が削除され、ハイフンがアンパサンドに置き換えられています。 |
| principal.process.file.fullPath | target.process.file.full_path: %{principal.process.file.fullPath} | 未加工ログのフィールド principal.process.file.fullPath から直接取得された値。 |
| principal.process.file.md5 | target.process.file.md5: %{principal.process.file.md5} | 未加工ログの principal.process.file.md5 フィールドから直接取得され、小文字に変換されます。 |
| principal.process.parentPid | principal.process.pid: %{principal.process.parentPid} | PROCESS_LAUNCH イベントの場合のみ、未加工ログのフィールド principal.process.parentPid から直接取得された値。 |
| principal.process.pid | target.process.pid: %{principal.process.pid} | PROCESS_LAUNCH イベントの場合のみ、未加工ログのフィールド principal.process.pid から直接取得された値。 |
| principal.process.productSpecificProcessId | principal.process.product_specific_process_id: TANIUM:%{principal.assetId}:%{principal.process.productSpecificProcessId} | 未加工ログのフィールド principal.process.productSpecificProcessId から直接取得された値を、「TANIUM:%{principal.assetId}:%{principal.process.productSpecificProcessId}」の形式でフォーマットします。 |
| principal.user.groupid | principal.user.group_identifiers: %{principal.user.groupid} | 未加工ログのフィールド principal.user.groupid から直接取得された値。 |
| principal.user.userid | principal.user.userid: %{principal.user.userid} | 未加工ログのフィールド principal.user.userid から直接取得された値。 |
| src_ip | principal.ip: %{src.ip} | 未加工ログのフィールド src.ip から直接取得された値。 |
| src.port | principal.port: %{src.port} | 未加工ログのフィールド src.port から直接取得され、整数に変換されます。 |
| target.file.fullPath | target.file.full_path: %{target.file.fullPath} | 未加工ログのフィールド target.file.fullPath から直接取得された値。 |
| target.file.md5 | target.file.md5: %{target.file.md5} | 未加工ログのフィールド target.file.md5 から直接取得された値。 |
| target.port | target.port: %{target.port} | 未加工ログのフィールド target.port から直接取得され、整数に変換されます。 |
| target.registry.registryKey | target.registry.registry_key: %{target.registry.registryKey} | 未加工ログのフィールド target.registry.registryKey から直接取得された値。 |
| target.registry.registryValue | target.registry.registry_value_data: %{target.registry.registryValue} | 未加工ログのフィールド target.registry.registryValue から直接取得された値。 |
| target.user.userDisplayName | target.user.user_display_name: %{target.user.userDisplayName} | 未加工ログのフィールド target.user.userDisplayName から直接取得された値。 |
| target.user.windowsSid | target.user.windows_sid: %{target.user.windowsSid} | 未加工ログのフィールド target.user.windowsSid から直接取得された値。 |
| user-agent | network.http.user_agent: %{user-agent} | 未加工ログのフィールド user-agent から直接取得された値。二重引用符は削除されます。 |
| なし | extensions.auth.auth_mechanism: LOCAL/NETWORK/BATCH/SERVICE/UNLOCK/NETWORK_CLEAR_TEXT/NEW_CREDENTIALS/REMOTE_INTERACTIVE/CACHED_INTERACTIVE/MECHANISM_UNSPECIFIED | additional.event__LogonType の値に基づいて、パーサーコードによって決定されます。 |
| なし | extensions.auth.type: MACHINE | USER_LOGIN イベントと USER_LOGOUT イベントのパーサーコードによって追加されます。 |
| なし | metadata.event_type: PROCESS_LAUNCH/NETWORK_CONNECTION/FILE_OPEN/FILE_DELETION/REGISTRY_MODIFICATION/USER_LOGIN/STATUS_UPDATE/USER_LOGOUT/PROCESS_MODULE_LOAD/PROCESS_TERMINATION/USER_CHANGE_PERMISSIONS/SCHEDULED_TASK_MODIFICATION/SCHEDULED_TASK_DISABLE/SCHEDULED_TASK_ENABLE/SCHEDULED_TASK_DELETION/SCHEDULED_TASK_CREATION/PROCESS_UNCATEGORIZED | metadata.logType と additional.event_id の値に基づいて、パーサーコードによって決定されます。 |
| なし | metadata.log_type: TANIUM_TH | パーサーコードによって追加されたハードコード値。 |
| なし | metadata.product_name: Stream | パーサーコードによって追加されたハードコード値。 |
| なし | metadata.vendor_name: Tanium | パーサーコードによって追加されたハードコード値。 |
| なし | principal.hostname: %{principal_hostname} | 値は principal.hostname または additional.event__FQDN のいずれかから取得されます。 |
| なし | principal.ip: %{srcIp} | src.ip が存在する場合は、grok を使用して未加工ログのメッセージから抽出されます。 |
| なし | securityresult.about.resource.name: %{additional.event_AuthenticationPackageName} | 特定の additional.event_id 値について、未加工ログ フィールド additional.event__AuthenticationPackageName から直接取得された値。 |
| なし | security_result.category: AUTH_VIOLATION | 特定の additional.event_id 値のパーサーコードによって追加されます。 |
| なし | security_result.rule_name: EventID: %{additional.event_id} | 未加工ログのフィールド additional.event_id から直接取得され、文字列に変換されます。 |
| なし | target.hostname: %{query_host} | ホスト名が含まれている場合は、未加工ログ フィールド additional.query から抽出されます。 |
| なし | target.ip: %{dstIp} | src.ip が存在する場合は、grok を使用して未加工ログのメッセージから抽出されます。 |
| なし | target.ip: %{query_ip} | IP アドレスが含まれている場合は、未加工ログのフィールド additional.query から抽出されます。 |
| なし | target.process.command_line: %{principal_process_commandLine} | principal.process.commandLine が空でない場合、値は principal.process.commandLine から取得されます。 |
| なし | target.process.file.full_path: %{principal_process_file_fullPath} | principal.process.file.fullPath が空でない場合、値は principal.process.file.fullPath から取得されます。 |
| なし | target.process.file.md5: %{principal_process_file_md5} | principal.process.file.md5 が空でない場合、値は principal.process.file.md5 から取得されます。 |
| なし | target.process.product_specific_process_id: TANIUM:%{principal.assetId}:%{principal.process.productSpecificProcessId} | principal.process.productSpecificProcessId から取得された値。形式は「TANIUM:%{principal.assetId}:%{principal.process.productSpecificProcessId}」。 |
| なし | target.resource.resource_type: TASK | 特定の additional.event_id 値のパーサーコードによって追加されます。 |
| なし | timestamp.seconds: Extracted from %{metadata.eventTimestamp} timestamp.nanos: Extracted from %{metadata.eventTimestamp} |
秒とナノ秒は、日付解析を使用して未加工ログのフィールド metadata.eventTimestamp から抽出されます。 |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。