MICROSOFT_DEFENDER_ENDPOINT の変更ログ
| Date | 変更点 |
|---|---|
| 2023-10-12 | 機能強化:
- 非推奨の UDM フィールドから次の代替フィールドへのマッピングを変更しました。 - 「properties.ServiceSource」、「properties.DetectionSource」、「properties」、「AttackTechniques」のマッピングを「security_result.about.resource.attributes.labels」に追加しました。 - 「observer.cloud.project.id」のマッピングを「target.resource_ancestors.product_object_id」に追加しました。 - 「WasExecutingWhileDetected」、「properties.IsLocalAdmin」、「properties.InitiatingProcessTokenelevation」、「properties.labels_InitiatingProcessIntegrityLevel」、「properties.RemoteIPType」のマッピングを「principal.resource.attributes.labels」に追加しました。 - 「process.AdditionalFields」、「InitiatingProcessPosixEffectiveUser」、「InitiatingProcessPosixEffectiveGroup」、「InitiatingProcessPosixRealUser」、「ProcessPosixEffectiveUser」、「ProcessPosixFileUserLabels、InitiatingProcessPosixFilePermissions」は「principal.principalProcessPosixFilePermissions」にマッピングされました。 - カテゴリ「AdvancedHunting-DeviceInfo」と「AdvancedHunting-DeviceNetworkInfo」の「process.AdditionalFields」を「entity.resource.attributes.labels」にマッピングしました。 |
| 2023-08-02 | 拡張 - - 「DeviceId」を「principal.asset_id」にマッピングしました。 - 「DeviceName」を「principal.hostname」にマッピングしました。 - 「OSPlatform」を「principal.asset.platform_software.platform」にマッピングしました。 - 「OSVersion」、「OSArchitecture」を「principal.asset.platform_software.platform_version」にマッピングしました。 - 「properties.OSArchitecture」が「principal.asset.platform_software.platform_version」にマッピングされました。 - 「SoftwareVendor」を「principal.asset.software.vendor_name」にマッピングしました。 - 「SoftwareName」を「principal.asset.software.name」にマッピングしました。 - 「SoftwareVersion」を「principal.asset.software.version」にマッピングしました。 - 「CveId」を「extensions.vulns.vulnerabilities.cve_id」にマッピングしました。 - 「VulnerabilitySeverityLevel」を「extensions.vulns. VMs.severity」にマッピングしました。 - 「RecommendedSecurityUpdate」を「security_result.detection_fields」にマッピングしました。 - 「RecommendedSecurityUpdateId」を「security_result.detection_fields」にマッピングしました。 |
| 2023-06-19 | - ドロップする代わりに、エンティティ関係データがないパーサーログを「GENERIC_EVENTS」として記録します。 - UDM にマッピングする前に、「properties.SenderFromAddress」に正規表現のチェックを追加しました。 |
| 2023-06-05 | - 「properties.RemoteUrl」を「target.url」にマッピングしました。
- 「category」が「AdvancedHunting-DeviceFileEvents」の場合に、「properties.file」の詳細が「target.file」フィールドにマッピングされ、それ以外の場合は「target.process.file」フィールドにマッピングされました。 |
| 2023-05-23 | 機能拡張 - 「properties.FileOriginUrl」が「principal.url」にマッピングされました。
- 「properties.FileOriginIP」を「principal.ip」にマッピングしました。 |
| 2023-05-03 | 修正 -
- UDM にマッピングする前に、正しい「MacAddress」形式に gsub を追加しました。 - 「metadata.event_type」を「STATUS_UPDATE」にマッピングしました。ここで、「properties.ActionType」は「ServiceInstalled」であり、「target.process」フィールドは存在しません。 |
| 2023-01-15 | バグの修正 -
- 可能な限り、「LoggedOnUsers」フィールドが空でエンティティとして保存される「AdvancedHunting-DeviceInfo」ログを解析しました。 |
| 2022-10-14 | 機能強化 - - 「properties.UrlDomain」を「target.hostname」にマッピングしました。 - 「properties.Url」を「target.url」にマッピングしました。 - 「properties.UrlLocation」と「OperationName」を「additional.fields」にマッピングしました。 |
| 2022-10-07 | 機能強化 - 未解析ログのマッピングを追加しました - 「metadata.event_type」を「event_type1」にマッピングしました。 event_type の条件チェックを追加しました。 |
| 2022-09-02 | 拡張 -
- 「metadata.event_type」を「REGISTRY_CREATION」にマッピングしました。ここで、「properties.ActionType」は「RegistryKeyCreated」です。 |
| 2022-08-11 | 拡張 - - マッピングされたプロパティ.Title が security_result.threat_name になりました。 - properties.AlertId が metadata.product_log_id にマッピングされました。 - properties.Category が security_result.category_details にマッピングされました。 - properties.Severity が security_result.severity_details にマッピングされました。 - properties.ServiceSource が security_result.about.labels にマッピングされました。 - properties.DetectionSource が security_result.about.labels にマッピングされました。 - security_result.about.labels が properties.AttackTechniques にマッピングされました。 - AlertInfo タイプで誤った JSON 形式のログを解析するための新しい grok パターンを追加しました。 |
| 2022-06-02 | 拡張 - 次のマッピングが追加され、変更されました。 DeliveryAction を security_result.action にマッピングしました。 LogonType が extensions.auth.mechanism にマッピングされました。さらに INTERACTIVE としてマッピングされました。 AdditionalFields.IsLocalLogon の場合、extensions.auth.mechanism がブール値に基づいて LOCAL または REMOTE に更新されました。 ReportId が metadata.product_log_id にマッピングされました。 DetectionMethods を security_result.rule_name にマッピングしました。 重大度を security_result.severity と security_result.severity_details にマッピングしました。 カテゴリを metadata.product_event_type にマッピングしました。 RemoteUrl が target.url にマッピングされました。 DeviceId が principal.asset_id にマッピングされました。 PreviousRegistryValueData、PreviousRegistryKey、PreviousRegistryValueName の各マッピングのターゲットから src への変更。 EmailAttachmentInfo イベントのターゲットから FileType、FileName、SHA256、FileSize のマッピングが変更されました。 ファイル名が存在しない場合に、InitiatingProcessFileName が InitiatingProcessFolderPath に追加されます。 SenderFromAddress に追加され、principal.user.product_object_id にマッピングされます。 InitiatingProcessAccountSid は、principal.user.windows_sid にマッピングされます。 InitiatingProcessAccountName は、principal.user.userid にマッピングされます。 AccountDomain、AccountName、AccountSid がそれぞれ target.user.userid、target.administrative_domain、target.user.windows_sid にマッピングされました。 RecipientEmailAddress に加えて、target.user.email_addresses にマッピングされました。 RecipientObjectId が target.user.product_object_id にマッピングされました。 metadata.vendor_name に格納されている値を「Microsoft」に変更しました。 |
| 2022-05-05 | 機能強化 - 1)AccountName と InitiatingProcessAccountName の解析ロジックを更新し、両方の値を UDM にマッピングしました。入力された場合、InitiatingProcessAccountName は principal.user.userid にマッピングされ、AccountName は target.user.userid にマッピングされました。 |
| 2022-03-30 | 拡張 -
1)イベント AdvancedHunting-DeviceNetworkInfo と AdvancedHunting-DeviceInfo の場合: - deviceId のマッピングを 'entity.asset.asset_id' から 'entity.asset.product_object_id' に変更しました。 - ReportId のマッピングを「entity.asset.product_object_id」から「entity.asset.attributes.labels」に変更しました。 2)その他すべてのイベント: - deviceId を「metadata.product_log_id」にマッピングしました。 - ReportId のマッピングを「metadata.product_log_id」から「about.labels」に変更しました。 |