POWERSHELL の変更ログ
| Date | 変更点 |
|---|---|
| 2023-12-05 | 機能拡張:
- 未解析の JSON ログのマッピングを追加しました。 -「Computer」を「principal.hostname」にマッピングしました。 -「EventLevelName」を「security_result.severity」にマッピングしました。 -「ManagementGroupName」、「Source」、「TenantId」を「additional_fields」にマッピングしました。 -「RenderedDescription」を「security_result.description」にマッピングしました。 -「UserName」を「principal.user.userid」にマッピングしました。 |
| 2023-09-14 | 機能拡張:
- 未解析の JSON ログのマッピングを追加しました。 -「winlog.activity_id」を「security_result.detection_fields」にマッピングしました。 -「winlog.api」を「additional.fields」にマッピングしました。 -「winlog.channel」、「winlog.process.thread.id」を「security_result.about.resource.attributes.labels」にマッピングしました。 -「winlog.computer_name」を「principal.hostname」にマッピングしました。 -「winlog.event_id」を「metadata.product_event_type」と「security_result.rule_name」にマッピングしました。 -「winlog.opcode」を「metadata.description」にマッピングしました。 -「winlog.process.pid」を「principal.process.pid」にマッピングしました。 -「winlog.provider_guid」を「metadata.product_deployment_id」にマッピングしました。 -「winlog.provider_name」を「metadata.product_name」にマッピングしました。 -「winlog.record_id」を「metadata.product_log_id」にマッピングしました。 -「winlog.user.domain」を「principal.administrative_domain」にマッピングしました。 -「winlog.user.identifier」を「principal.user.windows_sid」にマッピングしました。 -「winlog.user.name」を「principal.user.userid」にマッピングしました。 |
| 2023-07-05 | 機能拡張:
-「EventID = 403」で、「HostApplication」の値が存在しない場合に「metadata.event_type」を「STATUS_UPDATE」にマッピングしました。 -「Path」が空の場合に、Grok パターンを使用してログから「target.file.full_path」の値を抽出しました。 - gsub 関数を追加して「@timestamp」を「EventTime」に名前変更しました。 |
| 2022-11-09 | 機能拡張:
- フィールド「ProviderGuid」は「metadata.product_deployment_id」にマッピングされます。 - フィールド「ExecutionProcessID」は「principal.process.pid」にマッピングされます。 - フィールド「ProcessID」または「Process ID」は「principal.process.pid」にマッピングされます。 - フィールド「SourceModuleType」は「principal.resource.resource_subtype」にマッピングされます。 - フィールド「SourceModuleName」は「principal.resource.name」にマッピングされます。 - フィールド「Machine」は「principal.asset.asset_id」にマッピングされます。 - フィールド「MessageSourceAddress」は「principal.ip」にマッピングされます。 - フィールド「File」は「target.process.file.full_path」にマッピングされます。 - フィールド「Host Application」または「Command」は「target.process.command_line」にマッピングされます。 - フィールド「Output」は「security_result.detection_fields」にマッピングされます。 - フィールド「Message」は「security_result.description」にマッピングされます。 - フィールド「ActivityID」は「security_result.detection_fields」にマッピングされます。 - EventID が「4103」の場合に次のマッピングを追加しました。 - フィールド「Host ID」または「ContextInfo_Host ID」は「target.asset.asset_id」にマッピングされます。 - フィールド「Host Name」または「ContextInfo_Host Name」は「target.hostname」にマッピングされます。 - フィールド「ContextInfo_Script Name」は「target.process.file.full_path」にマッピングされます。 -「ContextInfo_Host Application」フィールドは「target.process.command_line」にマッピングされます。 - フィールド「ContextInfo_Command Name」は「security_result.detection_fields」にマッピングされます。 - フィールド「ContextInfo_Command Type」は「security_result.detection_fields」にマッピングされます。 - フィールド「ContextInfo_Sequence Number」または「Sequence Number」は、「security_result.detection_fields」にマッピングされます。 - EventID が「800」、「600」、「400」の場合に次のマッピングを追加しました。 - フィールド「UserId」は「principal.user.userid」にマッピングされます。 - フィールド「HostApplication」は「target.process.command_line」にマッピングされます。 - フィールド「HostId」は「target.asset.asset_id」にマッピングされます。 - フィールド「HostName」は「target.hostname」にマッピングされます。 - フィールド「ScriptName」は「target.process.file.full_path」にマッピングされます。 - フィールド「SequenceNumber」は「security_result.detection_fields」にマッピングされます。 |
| 2022-10-13 | バグの修正:
- 以下の変更を行い、失敗したログを解析しました。 - 値がない場合に解析に失敗したフィールドの「on_error」チェックを追加しました。「opcode」、「Host Application」などのフィールド。 - 「Message」がログに存在しない場合に、KV 解析用の新しいソース「ContextInfo」を追加しました。 機能拡張: - event_type を「GENERIC_EVENT」から「STATUS_UPDATE」に変更しました。 |