收集 Tanium Stream 記錄
支援的國家/地區:
Google SecOps
SIEM
本文說明如何使用 Tanium Connect 的原生 AWS S3 匯出功能,將 Tanium Stream 記錄檔擷取至 Google Security Operations。Tanium Stream 會以 JSON 格式提供端點遙測、威脅搜尋和行為分析資料,可使用 Tanium Connect 直接匯出至 S3,不需自訂 Lambda 函式。剖析器會將 Tanium Stream 的原始 JSON 記錄轉換為統一資料模型 (UDM)。系統會先將常見欄位正規化,然後根據「logType」或「eventType」套用特定邏輯,將相關資訊對應至適當的 UDM 欄位,處理各種事件類型,例如網路連線、使用者登入、程序啟動和檔案修改。
事前準備
請確認您已完成下列事前準備事項:
- Google SecOps 執行個體
- Tanium Core Platform 7.0 以上版本
- 已安裝及設定 Tanium Stream 模組
- 已安裝 Tanium Connect 模組並取得有效授權
- Tanium Threat Response 3.4.346 以上版本 (如使用 TR 整合功能)
- 具備管理權限的 Tanium Console 存取權
- AWS (S3、IAM) 的特殊存取權
設定 Tanium Stream 服務帳戶
- 登入 Tanium Console。
- 依序前往「模組」>「串流」。
- 按一下右上方的「設定」。
- 在「服務帳戶」部分,設定下列項目:
- 服務帳戶使用者:選取具有適當 Stream 權限的使用者。
- 確認帳戶是否具備連線使用者角色權限。
- 確認 Stream 資料來源和端點的存取權。
- 按一下「儲存」,套用服務帳戶設定。
收集 Tanium Stream 必備條件
- 以管理員身分登入 Tanium Console。
- 依序前往「Administration」>「Permissions」>「Users」。
- 建立或找出具備下列角色的服務帳戶使用者:
- 「Stream 管理員」或「Stream 唯讀使用者」角色。
- 「連線使用者」角色權限。
- 受監控的電腦群組存取權 (建議:所有電腦群組)。
- Stream 內容集「讀取已儲存問題」權限。
為 Google SecOps 設定 AWS S3 值區和 IAM
- 按照這份使用者指南建立 Amazon S3 bucket:建立 bucket
- 儲存 bucket 的「名稱」和「區域」,以供日後參考 (例如
tanium-stream-logs)。 - 按照這份使用者指南建立使用者:建立 IAM 使用者。
- 選取建立的「使用者」。
- 選取「安全憑證」分頁標籤。
- 在「Access Keys」部分中,按一下「Create Access Key」。
- 選取「第三方服務」做為「用途」。
- 點選「下一步」。
- 選用:新增說明標記。
- 按一下「建立存取金鑰」。
- 按一下「下載 CSV 檔案」,儲存「存取金鑰」和「私密存取金鑰」以供日後使用。
- 按一下 [完成]。
- 選取 [權限] 分頁標籤。
- 在「Permissions policies」(權限政策) 區段中,按一下「Add permissions」(新增權限)。
- 選取「新增權限」。
- 選取「直接附加政策」
- 搜尋並選取 AmazonS3FullAccess 政策。
- 點選「下一步」。
- 按一下「Add permissions」。
設定 Tanium Connect AWS S3 目的地
- 登入 Tanium Console。
- 依序前往「模組」>「連結」。
- 按一下「建立連線」。
- 提供下列設定詳細資料:
- 名稱:輸入描述性名稱 (例如
Stream Telemetry to S3 for SecOps)。 - 說明:選填說明 (例如
Export endpoint telemetry and threat hunting data to AWS S3 for Google SecOps ingestion)。 - 啟用:選取這個選項,即可啟用連線,並依時間表執行。
- 名稱:輸入描述性名稱 (例如
- 點選「下一步」。
設定連線來源
- 在「來源」部分,提供下列設定詳細資料:
- 來源類型:選取「已儲存的問題」。
- 已儲存的問題:選取下列其中一個與串流相關的已儲存問題:
- 串流 - 端點事件,可即時取得端點遙測資料。
- 串流 - 網路事件,用於監控網路活動。
- Stream - Process Events,用於追蹤程序執行作業。
- 串流 - 檔案事件,適用於檔案系統活動。
- 串流 - 威脅搜尋資料,用於行為分析。
- 電腦群組:選取「所有電腦」或要監控的特定電腦群組。
- 重新整理間隔:設定適當的資料收集間隔 (例如即時遙測資料的間隔為 5 分鐘)。
- 點選「下一步」。
設定 AWS S3 目的地
- 在「目的地」部分,提供下列設定詳細資料:
- 目的地類型:選取「AWS S3」。
- 目的地名稱:輸入不重複的名稱 (例如
Google SecOps Stream S3 Destination)。 - AWS 存取金鑰:輸入在 AWS S3 設定步驟中下載的 CSV 檔案中的 AWS 存取金鑰。
- AWS 存取密鑰:輸入在 AWS S3 設定步驟中下載的 CSV 檔案中的 AWS 存取密鑰。
- Bucket Name:輸入 S3 bucket 名稱 (例如
tanium-stream-logs)。 - 地區:選取 S3 儲存空間所在的 AWS 地區。
- 金鑰前置字串:輸入 S3 物件的前置字串 (例如
tanium/stream/)。
- 點選「下一步」。
設定篩選器
- 在「篩選器」部分,設定資料篩選選項:
- 只傳送新項目:選取這個選項,只傳送上次匯出後的新遙測資料。
- 欄篩選器:視需要根據特定事件屬性新增篩選器 (例如依事件類型、程序名稱或威脅指標篩選)。
- 點選「下一步」。
AWS S3 的資料格式
- 在「格式」部分,設定資料格式:
- 格式:選取「JSON」。
- 選項:
- 包含標頭:取消選取即可避免在 JSON 輸出內容中加入標頭。
- 包含空白儲存格:根據偏好設定選取。
- 進階選項:
- 檔案命名:使用預設的時間戳記命名方式。
- 壓縮:選取「Gzip」可降低儲存空間費用並縮短傳輸時間。
- 點選「下一步」。
安排連線
- 在「排程」部分,設定匯出排程:
- 啟用時間表:選取這個選項,即可啟用自動排程匯出功能。
- 時間表類型:選取「週期性」。
- 頻率:選取「每 5 分鐘」,即可近乎即時地取得遙測資料。
- 開始時間:為首次匯出設定適當的開始時間。
- 點選「下一步」。
儲存並驗證連線
- 查看摘要畫面中的連線設定。
- 按一下「儲存」即可建立連結。
- 按一下「測試連線」,驗證設定。
- 如果測試成功,請按一下「立即執行」,執行初始匯出作業。
- 在「連結總覽」頁面中監控連線狀態。
在 Google SecOps 中設定資訊提供,擷取 Tanium Stream 記錄
- 依序前往「SIEM 設定」>「動態饋給」。
- 按一下「+ 新增動態消息」。
- 在「動態饋給名稱」欄位中輸入動態饋給名稱 (例如
Tanium Stream logs)。 - 選取「Amazon S3 V2」做為「來源類型」。
- 選取「Tanium Stream」做為「記錄類型」。
- 點選「下一步」。
- 指定下列輸入參數的值:
- S3 URI:
s3://tanium-stream-logs/tanium/stream/ - 來源刪除選項:根據偏好設定選取刪除選項。
- 檔案存在時間上限:包含在過去天數內修改的檔案。預設值為 180 天。
- 存取金鑰 ID:具有 S3 值區存取權的使用者存取金鑰。
- 存取密鑰:具有 S3 bucket 存取權的使用者私密金鑰。
- 資產命名空間:資產命名空間。
- 擷取標籤:套用至這個動態饋給事件的標籤。
- S3 URI:
- 點選「下一步」。
- 在「完成」畫面中檢查新的動態饋給設定,然後按一下「提交」。
UDM 對應表
| 記錄欄位 | UDM 對應 | 邏輯 |
|---|---|---|
| additional.event__AlgorithmName | additional.fields.key: eventAlgorithmName additional.fields.value.string_value: %{additional.eventAlgorithmName} |
直接從原始記錄欄位 additional.event__AlgorithmName 取得的值。 |
| additional.event__AuthenticationPackageName | target.resource.name: %{additional.event__AuthenticationPackageName} | 直接從原始記錄欄位 additional.event__AuthenticationPackageName 取得的值。 |
| additional.event__CallerProcessId | principal.process.pid: %{additional.event__CallerProcessId} | 直接從原始記錄欄位 additional.event__CallerProcessId 取得的值。 |
| additional.event__CallerProcessName | principal.process.file.fullpath: %{additional.event_CallerProcessName} | 直接從原始記錄欄位 additional.event__CallerProcessName 取得的值。 |
| additional.event__ClientProcessId | principal.process.pid: %{additional.event__ClientProcessId} | 直接從原始記錄欄位 additional.event__ClientProcessId 取得的值。 |
| additional.event__ClientProcessStartKey | additional.fields.key: eventClientProcessStartKey additional.fields.value.string_value: %{additional.eventClientProcessStartKey} |
直接從原始記錄欄位 additional.event__ClientProcessStartKey 取得的值。 |
| additional.event__CommandLine | target.process.commandline: %{additional.event_CommandLine} | 直接從原始記錄欄位 additional.event__CommandLine 取得的值。 |
| additional.event__ElevatedToken | additional.fields.key: event__ElevatedToken additional.fields.value.string_value: Yes/No |
直接取自原始記錄欄位 additional.event__ElevatedToken。如果值為「%%1842」,則會替換為「Yes」。 如果值為「%%1843」,則會替換為「No」。 |
| additional.event__FQDN | principal.hostname: %{additional.event__FQDN} | 直接從原始記錄欄位 additional.event__FQDN 取得的值。 |
| additional.event__FailureReason | additional.fields.key: eventFailureReason additional.fields.value.string_value: %{additional.eventFailureReason} |
直接從原始記錄欄位 additional.event__FailureReason 取得的值。 |
| additional.event__ImpersonationLevel | additional.fields.key: eventImpersonationLevel additional.fields.value.string_value: %{additional.eventImpersonationLevel} |
直接從原始記錄欄位 additional.event__ImpersonationLevel 取得的值。 |
| additional.event__IpAddress | target.ip: %{additional.event__IpAddress} | 直接從原始記錄欄位 additional.event__IpAddress 取得的值。 |
| additional.event__IpPort | target.port: %{additional.event__IpPort} | 直接從原始記錄欄位 additional.event__IpPort 取得的值,並轉換為整數。 |
| additional.event__KeyLength | additional.fields.key: eventKeyLength additional.fields.value.string_value: %{additional.eventKeyLength} |
直接從原始記錄欄位 additional.event__KeyLength 取得的值。 |
| additional.event__KeyName | additional.fields.key: eventKeyName additional.fields.value.string_value: %{additional.eventKeyName} |
直接從原始記錄欄位 additional.event__KeyName 取得的值。 |
| additional.event__KeyType | additional.fields.key: eventKeyType additional.fields.value.string_value: %{additional.eventKeyType} |
直接從原始記錄欄位 additional.event__KeyType 取得的值。 |
| additional.event__LmPackageName | additional.fields.key: eventLmPackageName additional.fields.value.string_value: %{additional.eventLmPackageName} |
直接從原始記錄欄位 additional.event__LmPackageName 取得的值。 |
| additional.event__LogonGuid | target.resource.product_objectid: %{additional.event_LogonGuid} | 直接從原始記錄欄位 additional.event__LogonGuid 取得值,並移除大括號。 |
| additional.event__LogonProcessName | target.process.file.fullpath: %{additional.event_LogonProcessName} | 直接從原始記錄欄位 additional.event__LogonProcessName 取得的值。 |
| additional.event__LogonType | extensions.auth.authdetails: Logon Type: %{additional.event_LogonType} | 直接從原始記錄欄位 additional.event__LogonType 取得的值。 |
| additional.event__MandatoryLabel | additional.fields.key: eventMandatoryLabel additional.fields.value.string_value: %{additional.eventMandatoryLabel} |
直接從原始記錄欄位 additional.event__MandatoryLabel 取得的值。 |
| additional.event__NewProcessId | target.process.pid: %{additional.event__NewProcessId} | 直接從原始記錄欄位 additional.event__NewProcessId 取得的值。 |
| additional.event__NewProcessName | target.process.file.fullpath: %{additional.event_NewProcessName} | 直接從原始記錄欄位 additional.event__NewProcessName 取得的值。 |
| additional.event__ObjectServer | security_result.categorydetails: %{additional.event_ObjectServer} | 直接從原始記錄欄位 additional.event__ObjectServer 取得的值。 |
| additional.event__Operation | additional.fields.key: eventOperation additional.fields.value.string_value: %{additional.eventOperation} |
直接從原始記錄欄位 additional.event__Operation 取得的值。 |
| additional.event__ParentProcessId | principal.process.parentprocess.pid: %{additional.event_ParentProcessId} | 直接從原始記錄欄位 additional.event__ParentProcessId 取得的值。 |
| additional.event__ParentProcessName | principal.process.parent_process.file.fullpath: %{additional.event_ParentProcessName} | 直接從原始記錄欄位 additional.event__ParentProcessName 取得的值。 |
| additional.event__ProcessId | principal.process.pid: %{additional.event__ProcessId} | 直接從原始記錄欄位 additional.event__ProcessId 取得的值。 |
| additional.event__ProcessName | principal.process.file.fullpath: %{additional.event_ProcessName} | 直接從原始記錄欄位 additional.event__ProcessName 取得的值。 |
| additional.event__PrivilegeList | principal.user.attribute.permissions.name: %{additional.event__PrivilegeList} | 直接從原始記錄欄位 additional.event__PrivilegeList 取得的值。 |
| additional.event__ProviderName | additional.fields.key: eventProviderName additional.fields.value.string_value: %{additional.eventProviderName} |
直接從原始記錄欄位 additional.event__ProviderName 取得的值。 |
| additional.event__RestrictedAdminMode | additional.fields.key: eventRestrictedAdminMode additional.fields.value.string_value: %{additional.eventRestrictedAdminMode} |
直接從原始記錄欄位 additional.event__RestrictedAdminMode 取得的值。 |
| additional.event__ReturnCode | additional.fields.key: eventReturnCode additional.fields.value.string_value: %{additional.eventReturnCode} |
直接從原始記錄欄位 additional.event__ReturnCode 取得的值。 |
| additional.event__RpcCallClientLocality | additional.fields.key: eventRpcCallClientLocality additional.fields.value.string_value: %{additional.eventRpcCallClientLocality} |
直接從原始記錄欄位 additional.event__RpcCallClientLocality 取得的值。 |
| additional.event__Service | securityresult.description: %{additional.event_Service} | 直接從原始記錄欄位 additional.event__Service 取得的值。 |
| additional.event__Status | additional.fields.key: eventStatus additional.fields.value.string_value: %{additional.eventStatus} |
直接從原始記錄欄位 additional.event__Status 取得的值。 |
| additional.event__SubStatus | additional.fields.key: eventSubStatus additional.fields.value.string_value: %{additional.eventSubStatus} |
直接從原始記錄欄位 additional.event__SubStatus 取得的值。 |
| additional.event__SubjectDomainName | principal.administrativedomain: %{additional.event_SubjectDomainName} | 直接從原始記錄欄位 additional.event__SubjectDomainName 取得的值。 |
| additional.event__SubjectLogonId | additional.fields.key: eventSubjectLogonId additional.fields.value.string_value: %{additional.eventSubjectLogonId} |
直接從原始記錄欄位 additional.event__SubjectLogonId 取得的值。 |
| additional.event__SubjectUserName | principal.user.user_displayname: %{additional.event_SubjectUserName} | 直接從原始記錄欄位 additional.event__SubjectUserName 取得的值。 |
| additional.event__SubjectUserSid | principal.user.windowssid: %{additional.event_SubjectUserSid} | 直接從原始記錄欄位 additional.event__SubjectUserSid 取得的值。 |
| additional.event__TaskContentNew | additional.fields.key: eventTaskContentNew additional.fields.value.string_value: %{additional.eventTaskContentNew} |
直接從原始記錄欄位 additional.event__TaskContentNew 取得的值。 |
| additional.event__TaskName | additional.fields.key: eventTaskName additional.fields.value.string_value: %{additional.eventTaskName} |
直接從原始記錄欄位 additional.event__TaskName 取得的值。 |
| additional.event__TargetDomainName | target.administrativedomain: %{additional.event_TargetDomainName} | 直接從原始記錄欄位 additional.event__TargetDomainName 取得的值。 |
| additional.event__TargetLinkedLogonId | additional.fields.key: eventTargetLinkedLogonId additional.fields.value.string_value: %{additional.eventTargetLinkedLogonId} |
直接從原始記錄欄位 additional.event__TargetLinkedLogonId 取得的值。 |
| additional.event__TargetLogonId | additional.fields.key: eventTargetLogonId additional.fields.value.string_value: %{additional.eventTargetLogonId} |
直接從原始記錄欄位 additional.event__TargetLogonId 取得的值。 |
| additional.event__TargetOutboundDomainName | additional.fields.key: eventTargetOutboundDomainName additional.fields.value.string_value: %{additional.eventTargetOutboundDomainName} |
直接從原始記錄欄位 additional.event__TargetOutboundDomainName 取得的值。 |
| additional.event__TargetOutboundUserName | additional.fields.key: eventTargetOutboundUserName additional.fields.value.string_value: %{additional.eventTargetOutboundUserName} |
直接從原始記錄欄位 additional.event__TargetOutboundUserName 取得的值。 |
| additional.event__TargetSid | target.user.windowssid: %{additional.event_TargetSid} | 直接從原始記錄欄位 additional.event__TargetSid 取得的值。 |
| additional.event__TargetUserName | target.user.userid: %{additional.event__TargetUserName} | 直接從原始記錄欄位 additional.event__TargetUserName 取得的值。 |
| additional.event__TargetUserSid | target.user.windowssid: %{additional.event_TargetUserSid} | 直接從原始記錄欄位 additional.event__TargetUserSid 取得的值。 |
| additional.event__TokenElevationType | additional.fields.key: eventTokenElevationType additional.fields.value.string_value: %{additional.eventTokenElevationType} |
直接從原始記錄欄位 additional.event__TokenElevationType 取得的值。 |
| additional.event__TransmittedServices | additional.fields.key: eventTransmittedServices additional.fields.value.string_value: %{additional.eventTransmittedServices} |
直接從原始記錄欄位 additional.event__TransmittedServices 取得的值。 |
| additional.event__VirtualAccount | additional.fields.key: eventVirtualAccount additional.fields.value.string_value: %{additional.eventVirtualAccount} |
直接從原始記錄欄位 additional.event__VirtualAccount 取得的值。 |
| additional.event__WorkstationName | target.hostname: %{additional.event__WorkstationName} | 直接從原始記錄欄位 additional.event__WorkstationName 取得的值。 |
| additional.event_id | security_result.rule_name: EventID: %{additional.event_id} | 直接從原始記錄欄位 additional.event_id 取得的值,並轉換為字串。 |
| additional.query | network.dns.questions.name: %{additional.query} | 直接從原始記錄欄位 additional.query 取得的值。 |
| additional.response | network.dns.answers.name: %{additional.response} | 直接從原始記錄欄位 additional.response 取得的值。 |
| metadata.description | metadata.description: %{metadata.description} | 直接從原始記錄欄位 metadata.description 取得的值。 |
| metadata.eventTimestamp | metadata.event_timestamp.seconds: Extracted from %{metadata.eventTimestamp} metadata.event_timestamp.nanos: Extracted from %{metadata.eventTimestamp} |
系統會使用日期剖析功能,從原始記錄欄位 metadata.eventTimestamp 中擷取秒數和奈秒。 |
| metadata.eventType | metadata.product_event_type: %{metadata.eventType} metadata.event_type: %{metadata.eventType} |
直接從原始記錄欄位 metadata.eventType 取得的值。 |
| metadata.logType | metadata.product_event_type: %{metadata.logType} metadata.event_type: %{metadata.logType} |
直接從原始記錄欄位 metadata.logType 取得的值。 |
| network.applicationProtocol | network.application_protocol: %{network.applicationProtocol} | 直接從原始記錄欄位 network.applicationProtocol 取得的值。 |
| network.direction | network.direction: %{network.direction} | 直接從原始記錄欄位 network.direction 取得的值。 |
| network.ipProtocol | network.ip_protocol: %{network.ipProtocol} | 直接從原始記錄欄位 network.ipProtocol 取得的值。 |
| principal.assetId | principal.asset_id: TANIUM:%{principal.assetId} | 值直接取自原始記錄欄位 principal.assetId,並加上「TANIUM:」前置字元。 |
| principal.hostname | principal.hostname: %{principal.hostname} | 直接從原始記錄欄位 principal.hostname 取得的值。 |
| principal.process.companySpecificParentProcessId | principal.process.product_specific_process_id: TANIUM:%{principal.assetId}:%{principal.process.companySpecificParentProcessId} | 直接從原始記錄欄位 principal.process.companySpecificParentProcessId 取得的值,格式為「TANIUM:%{principal.assetId}:%{principal.process.companySpecificParentProcessId}」。 |
| principal.process.companySpecificProcessId | principal.process.product_specific_process_id: TANIUM:%{principal.assetId}:%{principal.process.companySpecificProcessId} | 直接從原始記錄欄位 principal.process.companySpecificProcessId 取得的值,格式為「TANIUM:%{principal.assetId}:%{principal.process.companySpecificProcessId}」。 |
| principal.process.commandLine | target.process.command_line: %{principal.process.commandLine} | 直接從原始記錄欄位 principal.process.commandLine 取得的值,並移除雙引號,以及將連字號替換為連字號。 |
| principal.process.file.fullPath | target.process.file.full_path: %{principal.process.file.fullPath} | 直接從原始記錄欄位 principal.process.file.fullPath 取得的值。 |
| principal.process.file.md5 | target.process.file.md5: %{principal.process.file.md5} | 直接從原始記錄欄位 principal.process.file.md5 取得值,並轉換為小寫。 |
| principal.process.parentPid | principal.process.pid: %{principal.process.parentPid} | 直接從原始記錄欄位 principal.process.parentPid 取得的值,僅適用於 PROCESS_LAUNCH 事件。 |
| principal.process.pid | target.process.pid: %{principal.process.pid} | 直接從原始記錄欄位 principal.process.pid 取得的值,僅適用於 PROCESS_LAUNCH 事件。 |
| principal.process.productSpecificProcessId | principal.process.product_specific_process_id: TANIUM:%{principal.assetId}:%{principal.process.productSpecificProcessId} | 直接從原始記錄欄位 principal.process.productSpecificProcessId 取得的值,格式為「TANIUM:%{principal.assetId}:%{principal.process.productSpecificProcessId}」。 |
| principal.user.groupid | principal.user.group_identifiers: %{principal.user.groupid} | 直接從原始記錄欄位 principal.user.groupid 取得的值。 |
| principal.user.userid | principal.user.userid: %{principal.user.userid} | 直接從原始記錄欄位 principal.user.userid 取得的值。 |
| src.ip | principal.ip: %{src.ip} | 直接從原始記錄欄位 src.ip 取得的值。 |
| src.port | principal.port: %{src.port} | 直接從原始記錄欄位 src.port 取得的值,並轉換為整數。 |
| target.file.fullPath | target.file.full_path: %{target.file.fullPath} | 直接從原始記錄欄位 target.file.fullPath 取得的值。 |
| target.file.md5 | target.file.md5: %{target.file.md5} | 直接從原始記錄欄位 target.file.md5 取得的值。 |
| target.port | target.port:%{target.port} | 直接從原始記錄欄位 target.port 取得的值,並轉換為整數。 |
| target.registry.registryKey | target.registry.registry_key: %{target.registry.registryKey} | 直接從原始記錄欄位 target.registry.registryKey 取得的值。 |
| target.registry.registryValue | target.registry.registry_value_data: %{target.registry.registryValue} | 直接從原始記錄欄位 target.registry.registryValue 取得的值。 |
| target.user.userDisplayName | target.user.user_display_name: %{target.user.userDisplayName} | 直接從原始記錄欄位 target.user.userDisplayName 取得的值。 |
| target.user.windowsSid | target.user.windows_sid: %{target.user.windowsSid} | 直接從原始記錄欄位 target.user.windowsSid 取得的值。 |
| user-agent | network.http.user_agent: %{user-agent} | 直接從原始記錄欄位 user-agent 取得的值,並移除雙引號。 |
| 不適用 | extensions.auth.auth_mechanism:LOCAL/NETWORK/BATCH/SERVICE/UNLOCK/NETWORK_CLEAR_TEXT/NEW_CREDENTIALS/REMOTE_INTERACTIVE/CACHED_INTERACTIVE/MECHANISM_UNSPECIFIED | 由剖析器程式碼根據 additional.event__LogonType 的值決定。 |
| 不適用 | extensions.auth.type: MACHINE | 由 USER_LOGIN 和 USER_LOGOUT 事件的剖析器程式碼新增。 |
| 不適用 | metadata.event_type:PROCESS_LAUNCH/NETWORK_CONNECTION/FILE_OPEN/FILE_DELETION/REGISTRY_MODIFICATION/USER_LOGIN/STATUS_UPDATE/USER_LOGOUT/PROCESS_MODULE_LOAD/PROCESS_TERMINATION/USER_CHANGE_PERMISSIONS/SCHEDULED_TASK_MODIFICATION/SCHEDULED_TASK_DISABLE/SCHEDULED_TASK_ENABLE/SCHEDULED_TASK_DELETION/SCHEDULED_TASK_CREATION/PROCESS_UNCATEGORIZED | 由剖析器程式碼根據 metadata.logType 和 additional.event_id 的值決定。 |
| 不適用 | metadata.log_type:TANIUM_TH | 剖析器程式碼新增的硬式編碼值。 |
| 不適用 | metadata.product_name:Stream | 剖析器程式碼新增的硬式編碼值。 |
| 不適用 | metadata.vendor_name:Tanium | 剖析器程式碼新增的硬式編碼值。 |
| 不適用 | principal.hostname: %{principal_hostname} | 值取自 principal.hostname 或 additional.event__FQDN。 |
| 不適用 | principal.ip: %{srcIp} | 如果存在 src.ip,則使用 grok 從原始記錄訊息中擷取。 |
| 不適用 | securityresult.about.resource.name: %{additional.event_AuthenticationPackageName} | 直接從特定 additional.event_id 值的原始記錄欄位 additional.event__AuthenticationPackageName 取得的值。 |
| 不適用 | security_result.category:AUTH_VIOLATION | 剖析器程式碼會針對特定 additional.event_id 值新增這項參數。 |
| 不適用 | security_result.rule_name: EventID: %{additional.event_id} | 直接從原始記錄欄位 additional.event_id 取得的值,並轉換為字串。 |
| 不適用 | target.hostname: %{query_host} | 如果原始記錄欄位 additional.query 包含主機名稱,系統就會從中擷取。 |
| 不適用 | target.ip: %{dstIp} | 如果存在 src.ip,則使用 grok 從原始記錄訊息中擷取。 |
| 不適用 | target.ip: %{query_ip} | 如果原始記錄欄位 additional.query 包含 IP 位址,系統會從中擷取。 |
| 不適用 | target.process.command_line: %{principal_process_commandLine} | 如果 principal.process.commandLine 不為空白,則取自 principal.process.commandLine 的值。 |
| 不適用 | target.process.file.full_path: %{principal_process_file_fullPath} | 如果 principal.process.file.fullPath 不為空白,則取自 principal.process.file.fullPath 的值。 |
| 不適用 | target.process.file.md5: %{principal_process_file_md5} | 如果 principal.process.file.md5 不為空白,則取自 principal.process.file.md5 的值。 |
| 不適用 | target.process.product_specific_process_id: TANIUM:%{principal.assetId}:%{principal.process.productSpecificProcessId} | 取自 principal.process.productSpecificProcessId 的值,格式為「TANIUM:%{principal.assetId}:%{principal.process.productSpecificProcessId}」。 |
| 不適用 | target.resource.resource_type: TASK | 剖析器程式碼會針對特定 additional.event_id 值新增這項參數。 |
| 不適用 | timestamp.seconds: Extracted from %{metadata.eventTimestamp} timestamp.nanos: Extracted from %{metadata.eventTimestamp} |
系統會使用日期剖析功能,從原始記錄欄位 metadata.eventTimestamp 中擷取秒數和奈秒。 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。