SEP の変更ログ
| Date | 変更点 |
|---|---|
| 2023-11-28 | バグの修正:
- 「event_time」が存在する場合に、同じ値を「datetime」にマッピングしました。 |
| 2023-11-08 | バグの修正:
- 「ServerName」から「target.asset.hostname」へのマッピングを削除し、「intermediary.hostname」にマッピングしました。 - 「Activityaction」が「Cleaned」の場合に、「security_result.action」を「BLOCK」に、「is_significant」を「false」にマッピングしました。 - さまざまなパターンで解析されていないログを解析するための Grok パターンを追加しました。 - 「type」、「utility-sub-type」、「lang」、「service-sandbox-type」、「mojo-platform-channel-handle」、「field-trial-handle」、「disable-features」を「security_result.detection_fields」にマッピングしました。 - 「target_arguments」を「read_only_udm.additional.fields」にマッピングしました。 - 「user-data-dir」を「sec_result.about.file.full_path」にマッピングしました。 - 「security-realm」を「security_result.summary」にマッピングしました。 - 「startup-url」を「principal.url」にマッピングしました。 - 「source_ip」を「target.ip」にマッピングしました。 - 「action_word」を「security_result.action_details」にマッピングしました。 |
| 2023-10-12 | バグの修正:
- さまざまなパターンで解析されていないログを解析するための Grok パターンを追加しました。 |
| 2023-04-21 | バグの修正:
- インクルード ファイルの中間変数名を変更しました。 - 「File」関連のイベントに対して「security_result.rule_name」をマッピングしました。 |
| 2023-04-10 | 機能強化:
- logType が「File Read」、「File Write」、「File Delete」、「Registry Write」のいずれかで破棄されたログを処理しました。 - 「payload.domain_name」を「principal.administrative_domain」にマッピングしました。 - 「payload.device_id」と「event_description」に null チェックを追加しました。 |
| 2023-01-21 | 機能拡張:
- 「targetComputerName」、「event_description1」の条件付きチェックを追加しました。 - 「file_full_path」、「GroupName」、「ServerName」の on_error チェックを追加しました。 - 「Applicationtype」を「principal.resource.attributes.labels」にマッピングしました。 - 「mail」を「target.user.email_addresses」にマッピングしました。 - 「server_name_1」を「principal.hostname」にマッピングしました。 - ログタイプが「SEC」の場合: - 「computer」を「principal.hostname」にマッピングしました。 - 「syslogServer」を「intermediary.hostname」にマッピングしました。 - 「event_description」を「metadata.description」にマッピングしました。 - ログタイプ「SONAR」、「CVE」、「SEC」に「for ループ」を追加しました。 |
| 2022-11-24 | 機能強化:
- 「SONAR 検出が可能になりました」を含むログを解析するための grok パターンを追加しました。 |
| 2022-11-15 | 機能拡張:
- 「Virus Found」および「SONAR Scan」タイプの失敗したログを解析するための grok パターンを追加しました。 - 「Categorytype」の条件付きチェックを追加しました。 |
| 2022-10-25 | 機能拡張:
- 「EventDescription」を「metadata.description」にマッピングしました。 - 「LocalHostIP」、「IPAddress」、「source_ip」を「principal.ip」にマッピングしました。 - 「LocalHostMAC」を「principal.mac」にマッピングしました。 - 「computer」を「principal.hostname」にマッピングしました - 「guid」を「principal.asset.asset_id」にマッピングしました。 - 「DeviceID」を「principal.resource.product_object_id」にマッピングしました。 - 「Filesize」を「target.file.size」にマッピングしました。 - 「SHA256」を「target.file.sha256」にマッピングしました。 - 「User1」を「principal.user.userid」にマッピングしました。 - 「file_path」を「target.file.full_path」にマッピングしました。 - 「GroupName」を「principal.group.group_display_name」にマッピングしました。 - 「action_word」を「security_result.action_details」にマッピングしました。 - 「Begin」を「Vulnerability.scan_start_time」にマッピングしました。 - 「EndTime」を「Vulnerability.scan_end_time」にマッピングしました。 - 「ScanID」を「principal.process.product_specific_process_id」にマッピングしました。 - 「inter_host」を「intermediary.hostname」にマッピングしました。 - 「inter_ip」を「intermediary.ip」にマッピングしました。 - 「ActionType」を「additional.fields」にマッピングしました。 - 「Rule」を「security_result.rule_name」にマッピングしました。 |
| 2022-10-10 | - 「category」を「security_result.category_details」にマッピングしました。 - 「CIDS 署名 ID」を「target.resource.attributes.labels」にマピングしました。 - 「CIDS 署名 サブ ID」を「target.resource.attributes.labels」にマッピングしました。 - 「CIDS 署名文字列」を「target.resource.attributes.labels」にマッピングしました。 - 「侵入 URL」を「principal.url」にマッピングしました。 - 「ユーザー名」を「principal.user.userid」にマッピングしました。 - 「実際のアクション」を「security_result.action_details」にマッピングしました。 - 「アプリケーション ハッシュ」を「target.file.sha256」にマッピングしました。 - 「アプリケーション名」を「target.application」にマッピングしました。 - 「アプリケーション タイプ」を「target.resource.attributes.labels」にマッピングしました。 - 「証明書の発行元」を「network.tls.server.certificate.issuer」にマッピングしました。 - 「証明書のシリアル番号」を「network.tls.server.certificate.serial」にマッピングしました。 - 「証明書の署名者」を「network.tls.server.certificate.subject」にマッピングしました。 - 「証明書のサムプリント」を「network.tls.server.certificate.sha256」にマッピングしました。 - 「セカンダリ アクション」を「target.resource.attributes.labels」にマッピングしました。 - 「初回検知」を「security_result.detection_fields」にマッピングしました。 - 「リスク名」を「security_result.detection_fields」にマッピングしました。 - 「リスクタイプ」を「security_result.detection_fields」にマッピングしました。 - 「許可されているアプリケーションの理由」を「security_result.detection_fields」にマッピングしました。 - 「会社名」を「target.user.company_name」にマッピングしました。 - 「コンピュータ名」を「principal.hostname」にマッピングしました。 - 「サーバー名」を「principal.asset.network_domain」にマッピングしました。 - 「信頼度」を「security_result.description」にマッピングしました。 - 「検出タイプ」を「security_result.summary」にマッピングしました。 - 「グループ名」を「principal.group.group_display_name」にマッピングしました。 - 「リスクレベル」を「security_result.severity_details」にマッピングしました。 - 「ファイルサイズ(バイト)」を「target.file.size」にマッピングしました。 |
| 2022-09-21 | 機能強化 - カスタム パーサーをデフォルト パーサーに移行しました。 |
| 2022-08-12 | 機能拡張 - ログを解析するように grok パターンを変更しました。 廃棄されたログを処理し、有効な event_types にマッピングしました。 - 廃棄されたログには次の logType があり、現在は処理されるようになりました。 「REP」、「SubmissionsMan」、「SYLINK」、「IPS」、「SONAR」、「SEC」、「CVE」、「定義の更新に関連するメッセージである LiveUpdate マネージャー」、 「ウイルス診断の送信」。 - 「Create Process|GUP|RebootManager|Smc|WSS|Network Intrusion|Mitigation System」を含む新しい条件「msg1」が処理されます。 - 「client-server activity logs|Got a valid certificate.|Replication .*from remote site|The database|received the client log successfully」を含むevent_description。 - logType REP、SONAR、CVE、GUP、Smc、WSS による解析を処理するための新しいコードブロックを追加しました。 - イベントタイプを可能な限り「GENERIC_EVENT」から「STATUS_UPDATE」、「USER_UNCATEGORIZED」、「NETWORK_CONNECTION」、「STATUS_UNCATEGORIZED」に変更しました。 - 「eventDescription」を「metadata.description」にマッピングしました。 - 「hostName」を「principal.hostname」にマッピングしました。 - 「machineDomainName」を「principal.administrative_domain」にマッピングしました。 - 「domainName」を「target.administrative_domain」にマッピングしました。 - 「serverName」を「intermediary.hostname」にマッピングしました。 - 「userName」を「principal.user.userid」にマッピングしました。 - 「siteName」を「read_only_udm.additional.fields」にマッピングしました。 |
| 2022-07-26 | サイトとして messageTmp があるログの場合、次のフィールドをマッピングしました。
- 「eventDescription」を「metadata.description」にマッピングしました。 - 「hostName」を「target.hostname」にマッピングしました。 - 「machineDomainName」を「target.administrative_domain」にマッピングしました。 - 「domainName」を「principal.administrative_domain」にマッピングしました。 - 「serverName」を「principal.hostname」にマッピングしました。 - 「userName」を「principal.user.userid」にマッピングしました。 - 「siteName」を「read_only_udm.additional.fields」にマッピングしました。 |
| 2022-05-11 | 「yyyy-MM-dd HH:mm:ss」形式の解析されたイベント タイムスタンプ ログエントリ。 |