Raccogliere i log di SentinelOne Deep Visibility

Supportato in:

Questo documento spiega come esportare i log di SentinelOne Deep Visibility in Google Security Operations utilizzando Cloud Funnel per l'esportazione dei log in Google Cloud Storage. Il parser trasforma i log degli eventi di sicurezza formattati in formato JSON non elaborato in un formato strutturato conforme a UDM. Innanzitutto inizializza un insieme di variabili, poi estrae il tipo di evento e analizza il payload JSON, mappando i campi pertinenti allo schema UDM e gestendo separatamente i log eventi di Windows.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

  • Istanza Google SecOps
  • Accesso privilegiato a Google Cloud
  • Configurazione di SentinelOne Deep Visibility nel tuo ambiente
  • Accesso con privilegi a SentinelOne

Crea un bucket Google Cloud Storage

  1. Accedi alla consoleGoogle Cloud .

  2. Vai alla pagina Bucket Cloud Storage.

    Vai a Bucket

  3. Fai clic su Crea.

  4. Nella pagina Crea un bucket, inserisci le informazioni del bucket. Dopo ogni passaggio riportato di seguito, fai clic su Continua per passare al passaggio successivo:

    1. Nella sezione Inizia:

      1. Inserisci un nome univoco che soddisfi i requisiti del nome del bucket, ad esempio sentinelone-deepvisibility.

      2. Per attivare lo spazio dei nomi gerarchico, fai clic sulla freccia di espansione per espandere la sezione Ottimizza per workload orientati ai file e con uso intensivo dei dati, poi seleziona Abilita uno spazio dei nomi gerarchico in questo bucket.

      3. Per aggiungere un'etichetta del bucket, fai clic sulla freccia di espansione per espandere la sezione Etichette.

      4. Fai clic su Aggiungi etichetta e specifica una chiave e un valore per l'etichetta.

    2. Nella sezione Scegli dove archiviare i tuoi dati, segui questi passaggi:

      1. Seleziona un Tipo di località.

      2. Utilizza il menu del tipo di località per selezionare una Località in cui i dati degli oggetti all'interno del bucket verranno archiviati in modo permanente.

      3. Per configurare la replica tra bucket, espandi la sezione Configura replica tra bucket.

    3. Nella sezione Scegli una classe di archiviazione per i tuoi dati, seleziona una classe di archiviazione predefinita per il bucket oppure Autoclass per la gestione automatica della classe di archiviazione dei dati del bucket.

    4. Nella sezione Scegli come controllare l'accesso agli oggetti, seleziona No per applicare la prevenzione dell'accesso pubblico e seleziona un modello di controllo dell'accesso per gli oggetti del bucket.

    5. Nella sezione Scegli come proteggere i dati degli oggetti, segui questi passaggi:

      1. Seleziona una delle opzioni in Protezione dei dati che vuoi impostare per il bucket.
      2. Per scegliere come criptare i dati degli oggetti, fai clic sulla freccia di espansione con l'etichetta Crittografia dei dati e seleziona un metodo di crittografia dei dati.

  5. Fai clic su Crea.

Crea un service account Google Cloud

  1. Vai a IAM e amministrazione > Service account.
  2. Crea un nuovo account di servizio.
  3. Assegna un nome descrittivo, ad esempio sentinelone-dv-logs.
  4. Concedi al account di servizio il ruolo Storage Object Creator nel bucket Cloud Storage che hai creato nel passaggio precedente.
  5. Crea una chiave SSH per il account di servizio.
  6. Scarica un file della chiave JSON per il account di servizio. Conserva questo file in modo sicuro.

Come configurare Cloud Funnel in SentinelOne DeepVisibility

  1. Accedi a SentinelOne DeepVisibility.
  2. Fai clic su Configura > Norme e impostazioni.
  3. Nella sezione Singularity Data Lake, fai clic su Cloud Funnel.
  4. Fornisci i seguenti dettagli di configurazione:
    • Cloud Provider (Cloud provider): seleziona Google Cloud.
    • Nome bucket: inserisci il nome del bucket Cloud Storage che hai creato per l'importazione dei log SentinelOne DeepVisibility.
    • Telemetria in streaming: seleziona Attiva.
    • Filtri query: crea una query che includa gli agenti che devono inviare dati a un bucket Cloud Storage.
    • Fai clic su Validate (Convalida).
    • Campi da includere: seleziona tutti i campi.
  5. Fai clic su Salva.

Configurare i feed

Esistono due diversi punti di accesso per configurare i feed nella piattaforma Google SecOps:

  • Impostazioni SIEM > Feed
  • Hub dei contenuti > Pacchetti di contenuti

Configurare i feed da Impostazioni SIEM > Feed

Per configurare più feed per diversi tipi di log all'interno di questa famiglia di prodotti, consulta Configurare i feed per prodotto.

Per configurare un singolo feed:

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo feed.
  3. Nella pagina successiva, fai clic su Configura un singolo feed.
  4. Nel campo Nome feed, inserisci un nome per il feed, ad esempio SentinelOne DV Logs.
  5. Seleziona Google Cloud Storage come Tipo di origine.
  6. Seleziona SentinelOne Deep Visibility come Tipo di log.
  7. Fai clic su Ottieni account di servizio come Account di servizio Chronicle.
  8. Fai clic su Avanti.

  9. Specifica i valori per i seguenti parametri di input:

    • URI bucket di archiviazione: URL del bucket Google Cloud Storage nel formato gs://my-bucket/<value>.
    • URI Is A: seleziona Directory which includes subdirectories (Directory che include sottodirectory).

    • Opzioni di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze di importazione.

    • Spazio dei nomi dell'asset: lo spazio dei nomi dell'asset.

    • Etichette di importazione: l'etichetta applicata agli eventi di questo feed.

  10. Fai clic su Avanti.

  11. Controlla la nuova configurazione del feed nella schermata Finalizza e poi fai clic su Invia.

Configurare i feed dall'hub dei contenuti

Specifica i valori per i seguenti campi:

  • URI bucket di archiviazione: l'URI di origine del bucket Google Cloud Storage.
  • URI è un: seleziona il TIPO DI URI in base alla configurazione del flusso di log (Singolo file | Directory | Directory che include sottodirectory).
  • Opzioni di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze di importazione.

Opzioni avanzate

  • Nome feed: un valore precompilato che identifica il feed.
  • Tipo di origine: metodo utilizzato per raccogliere i log in Google SecOps.
  • Spazio dei nomi dell'asset: spazio dei nomi associato al feed.
  • Etichette di importazione: etichette applicate a tutti gli eventi di questo feed.

Tabella di mappatura UDM

Campo log Mappatura UDM Logic
AdapterName security_result.about.resource.attribute.labels.value Il valore viene estratto dal campo "AdapterName" nel log non elaborato.
AdapterSuffixName security_result.about.resource.attribute.labels.value Il valore viene estratto dal campo "AdapterSuffixName" nel log non elaborato.
agent_version read_only_udm.metadata.product_version Il valore viene estratto dal campo "meta.agent_version" nel log non elaborato.
Canale security_result.about.resource.attribute.labels.value Il valore viene estratto dal campo "Canale" nel log non elaborato.
commandLine read_only_udm.principal.process.command_line Il valore viene estratto dal campo "event.Event...commandLine" nel log non elaborato, dove è il tipo di evento specifico (ad es. ProcessCreation, ProcessExit) e è il campo contenente le informazioni sul processo (ad es. processo, origine, genitore).
computer_name read_only_udm.principal.hostname Il valore viene estratto dal campo "meta.computer_name" nel log non elaborato.
destinationAddress.address read_only_udm.target.ip Il valore viene estratto dal campo "event.Event.Tcpv4.destinationAddress.address" nel log non elaborato.
destinationAddress.port read_only_udm.target.port Il valore viene estratto dal campo "event.Event.Tcpv4.destinationAddress.port" nel log non elaborato.
DnsServerList read_only_udm.principal.ip Il valore viene estratto dal campo "DnsServerList" nel log non elaborato.
ErrorCode_new security_result.detection_fields.value Il valore viene estratto dal campo "ErrorCode_new" nel log non elaborato.
EventID security_result.about.resource.attribute.labels.value Il valore viene estratto dal campo "EventID" nel log non elaborato.
event.Event.Dns.query read_only_udm.network.dns.questions.name Il valore viene estratto dal campo "event.Event.Dns.query" nel log non elaborato.
event.Event.Dns.results read_only_udm.network.dns.answers.data Il valore viene estratto dal campo "event.Event.Dns.results" nel log non elaborato.
event.Event.Dns.source.fullPid.pid read_only_udm.principal.process.pid Il valore viene estratto dal campo "event.Event.Dns.source.fullPid.pid" nel log non elaborato.
event.Event.Dns.source.user.name read_only_udm.principal.user.userid Il valore viene estratto dal campo "event.Event.Dns.source.user.name" nel log non elaborato.
event.Event.FileCreation.source.fullPid.pid read_only_udm.principal.process.pid Il valore viene estratto dal campo "event.Event.FileCreation.source.fullPid.pid" nel log non elaborato.
event.Event.FileCreation.source.user.name read_only_udm.principal.user.userid Il valore viene estratto dal campo "event.Event.FileCreation.source.user.name" nel log non elaborato.
event.Event.FileCreation.targetFile.path read_only_udm.target.file.full_path Il valore viene estratto dal campo "event.Event.FileCreation.targetFile.path" nel log non elaborato.
event.Event.FileDeletion.source.fullPid.pid read_only_udm.principal.process.pid Il valore viene estratto dal campo "event.Event.FileDeletion.source.fullPid.pid" nel log non elaborato.
event.Event.FileDeletion.source.user.name read_only_udm.principal.user.userid Il valore viene estratto dal campo "event.Event.FileDeletion.source.user.name" nel log non elaborato.
event.Event.FileDeletion.targetFile.path read_only_udm.target.file.full_path Il valore viene estratto dal campo "event.Event.FileDeletion.targetFile.path" nel log non elaborato.
event.Event.FileModification.file.path read_only_udm.target.file.full_path Il valore viene estratto dal campo "event.Event.FileModification.file.path" nel log non elaborato.
event.Event.FileModification.source.user.name read_only_udm.principal.user.userid Il valore viene estratto dal campo "event.Event.FileModification.source.user.name" nel log non elaborato.
event.Event.FileModification.targetFile.path read_only_udm.target.file.full_path Il valore viene estratto dal campo "event.Event.FileModification.targetFile.path" nel log non elaborato.
event.Event.Http.source.user.name read_only_udm.principal.user.userid Il valore viene estratto dal campo "event.Event.Http.source.user.name" nel log non elaborato.
event.Event.Http.url read_only_udm.target.url Il valore viene estratto dal campo "event.Event.Http.url" nel log non elaborato.
event.Event.ProcessCreation.process.user.name read_only_udm.principal.user.userid Il valore viene estratto dal campo "event.Event.ProcessCreation.process.user.name" nel log non elaborato.
event.Event.ProcessCreation.source.user.name read_only_udm.principal.user.userid Il valore viene estratto dal campo "event.Event.ProcessCreation.source.user.name" nel log non elaborato.
event.Event.ProcessExit.source.user.name read_only_udm.principal.user.userid Il valore viene estratto dal campo "event.Event.ProcessExit.source.user.name" nel log non elaborato.
event.Event.ProcessTermination.source.user.name read_only_udm.principal.user.userid Il valore viene estratto dal campo "event.Event.ProcessTermination.source.user.name" nel log non elaborato.
event.Event.RegKeyCreate.source.fullPid.pid read_only_udm.principal.process.pid Il valore viene estratto dal campo "event.Event.RegKeyCreate.source.fullPid.pid" nel log non elaborato.
event.Event.RegKeyCreate.source.user.name read_only_udm.principal.user.userid Il valore viene estratto dal campo "event.Event.RegKeyCreate.source.user.name" nel log non elaborato.
event.Event.RegKeyDelete.source.user.name read_only_udm.principal.user.userid Il valore viene estratto dal campo "event.Event.RegKeyDelete.source.user.name" nel log non elaborato.
event.Event.RegValueModified.source.user.name read_only_udm.principal.user.userid Il valore viene estratto dal campo "event.Event.RegValueModified.source.user.name" nel log non elaborato.
event.Event.SchedTaskDelete.source.user.name read_only_udm.principal.user.userid Il valore viene estratto dal campo "event.Event.SchedTaskDelete.source.user.name" nel log non elaborato.
event.Event.SchedTaskRegister.source.user.name read_only_udm.principal.user.userid Il valore viene estratto dal campo "event.Event.SchedTaskRegister.source.user.name" nel log non elaborato.
event.Event.SchedTaskStart.source.user.name read_only_udm.principal.user.userid Il valore viene estratto dal campo "event.Event.SchedTaskStart.source.user.name" nel log non elaborato.
event.Event.SchedTaskTrigger.source.fullPid.pid read_only_udm.principal.process.pid Il valore viene estratto dal campo "event.Event.SchedTaskTrigger.source.fullPid.pid" nel log non elaborato.
event.Event.SchedTaskTrigger.source.user.name read_only_udm.principal.user.userid Il valore viene estratto dal campo "event.Event.SchedTaskTrigger.source.user.name" nel log non elaborato.
event.Event.Tcpv4.source.fullPid.pid read_only_udm.principal.process.pid Il valore viene estratto dal campo "event.Event.Tcpv4.source.fullPid.pid" nel log non elaborato.
event.Event.Tcpv4.source.user.name read_only_udm.principal.user.userid Il valore viene estratto dal campo "event.Event.Tcpv4.source.user.name" nel log non elaborato.
event.Event.Tcpv4Listen.local.address read_only_udm.principal.ip Il valore viene estratto dal campo "event.Event.Tcpv4Listen.local.address" nel log non elaborato.
event.timestamp.millisecondsSinceEpoch read_only_udm.metadata.event_timestamp.seconds Il valore viene estratto dal campo "event.timestamp.millisecondsSinceEpoch" nel log non elaborato e convertito in secondi.
event.timestamp.millisecondsSinceEpoch read_only_udm.metadata.event_timestamp.nanos Il valore viene estratto dal campo "event.timestamp.millisecondsSinceEpoch" nel log non elaborato e convertito in nanosecondi.
event.timestamp.millisecondsSinceEpoch security_result.about.resource.attribute.labels.value Il valore viene estratto dal campo "event.timestamp.millisecondsSinceEpoch" nel log non elaborato e utilizzato come valore per un'etichetta nell'array security_result.about.resource.attribute.labels.
event_type read_only_udm.metadata.product_event_type Il valore viene estratto dal campo "message" nel log non elaborato utilizzando un pattern grok.
executable.hashes.md5 read_only_udm.principal.process.file.md5 Il valore viene estratto dal campo "event.Event...executable.hashes.md5" nel log non elaborato, dove è il tipo di evento specifico (ad es. ProcessCreation, ProcessExit) e è il campo contenente le informazioni sul processo (ad es. processo, origine, genitore).
executable.hashes.sha1 read_only_udm.principal.process.file.sha1 Il valore viene estratto dal campo "event.Event...executable.hashes.sha1" nel log non elaborato, dove è il tipo di evento specifico (ad es. ProcessCreation, ProcessExit) e è il campo contenente le informazioni sul processo (ad es. processo, origine, genitore).
executable.hashes.sha256 read_only_udm.principal.process.file.sha256 Il valore viene estratto dal campo "event.Event...executable.hashes.sha256" nel log non elaborato, dove è il tipo di evento specifico (ad es. ProcessCreation, ProcessExit) e è il campo contenente le informazioni sul processo (ad es. processo, origine, genitore).
executable.path read_only_udm.principal.process.file.full_path Il valore viene estratto dal campo "event.Event...executable.path" nel log non elaborato, dove è il tipo di evento specifico (ad es. ProcessCreation, ProcessExit) e è il campo contenente le informazioni sul processo (ad es. processo, origine, genitore).
executable.sizeBytes read_only_udm.principal.process.file.size Il valore viene estratto dal campo "event.Event...executable.sizeBytes" nel log non elaborato, dove è il tipo di evento specifico (ad es. ProcessCreation, ProcessExit) e è il campo contenente le informazioni sul processo (ad es. processo, origine, genitore).
fullPid.pid read_only_udm.principal.process.pid Il valore viene estratto dal campo "event.Event...fullPid.pid" nel log non elaborato, dove è il tipo di evento specifico (ad es. ProcessCreation, ProcessExit) e è il campo contenente le informazioni sul processo (ad es. processo, origine, genitore).
hashes.md5 read_only_udm.target.file.md5 Il valore viene estratto dal campo "event.Event.ProcessCreation.hashes.md5" nel log non elaborato.
hashes.sha1 read_only_udm.target.file.sha1 Il valore viene estratto dal campo "event.Event.ProcessCreation.hashes.sha1" nel log non elaborato.
hashes.sha256 read_only_udm.target.file.sha256 Il valore viene estratto dal campo "event.Event.ProcessCreation.hashes.sha256" nel log non elaborato.
IpAddress read_only_udm.target.ip Il valore viene estratto dal campo "IpAddress" nel log non elaborato.
local.address read_only_udm.principal.ip Il valore viene estratto dal campo "event.Event.Tcpv4Listen.local.address" nel log non elaborato.
local.port read_only_udm.principal.port Il valore viene estratto dal campo "event.Event.Tcpv4Listen.local.port" nel log non elaborato.
log_type read_only_udm.metadata.log_type Il valore viene estratto dal campo "log_type" nel log non elaborato.
meta.agent_version read_only_udm.metadata.product_version Il valore viene estratto dal campo "meta.agent_version" nel log non elaborato.
meta.computer_name read_only_udm.principal.hostname Il valore viene estratto dal campo "meta.computer_name" nel log non elaborato.
meta.os_family read_only_udm.principal.platform Il valore viene estratto dal campo "meta.os_family" nel log non elaborato e mappato alla piattaforma corrispondente (ad es. windows per WINDOWS, osx per MAC, linux per LINUX).
meta.os_name read_only_udm.principal.platform_version Il valore viene estratto dal campo "meta.os_name" nel log non elaborato.
meta.os_revision read_only_udm.principal.platform_patch_level Il valore viene estratto dal campo "meta.os_revision" nel log non elaborato.
meta.uuid read_only_udm.principal.asset_id Il valore viene estratto dal campo "meta.uuid" nel log non elaborato e viene aggiunto il prefisso SENTINELONE:.
nome read_only_udm.principal.application Il valore viene estratto dal campo "event.Event...name" nel log non elaborato, dove è il tipo di evento specifico (ad es. ProcessCreation, ProcessExit) e è il campo contenente le informazioni sul processo (ad es. processo, origine, genitore).
parent.executable.hashes.md5 read_only_udm.target.process.parent_process.file.md5 Il valore viene estratto dal campo "event.Event..parent.executable.hashes.md5" nel log non elaborato, dove è il tipo di evento specifico (ad es. ProcessCreation, ProcessExit).
parent.executable.hashes.sha1 read_only_udm.target.process.parent_process.file.sha1 Il valore viene estratto dal campo "event.Event..parent.executable.hashes.sha1" nel log non elaborato, dove è il tipo di evento specifico (ad es. ProcessCreation, ProcessExit).
parent.executable.hashes.sha256 read_only_udm.target.process.parent_process.file.sha256 Il valore viene estratto dal campo "event.Event..parent.executable.hashes.sha256" nel log non elaborato, dove è il tipo di evento specifico (ad es. ProcessCreation, ProcessExit).
parent.executable.path read_only_udm.target.process.parent_process.file.full_path Il valore viene estratto dal campo "event.Event..parent.executable.path" nel log non elaborato, dove è il tipo di evento specifico (ad es. ProcessCreation, ProcessExit).
parent.fullPid.pid read_only_udm.target.process.parent_process.pid Il valore viene estratto dal campo "event.Event..parent.fullPid.pid" nel log non elaborato, dove è il tipo di evento specifico (ad es. ProcessCreation, ProcessExit).
percorso read_only_udm.principal.process.file.full_path Il valore viene estratto dal campo "event.Event...path" nel log non elaborato, dove è il tipo di evento specifico (ad es. ProcessCreation, ProcessExit) e è il campo contenente le informazioni sul processo (ad es. processo, origine, genitore).
process.commandLine read_only_udm.target.process.command_line Il valore viene estratto dal campo "event.Event.ProcessCreation.process.commandLine" nel log non elaborato.
process.fullPid.pid read_only_udm.target.process.pid Il valore viene estratto dal campo "event.Event.ProcessCreation.process.fullPid.pid" nel log non elaborato.
process.parent.fullPid.pid read_only_udm.target.process.parent_process.pid Il valore viene estratto dal campo "event.Event.ProcessCreation.process.parent.fullPid.pid" nel log non elaborato.
ProviderGuid security_result.about.resource.attribute.labels.value Il valore viene estratto dal campo "ProviderGuid" nel log non elaborato, con le parentesi graffe rimosse.
query read_only_udm.network.dns.questions.name Il valore viene estratto dal campo "event.Event.Dns.query" nel log non elaborato.
RecordNumber security_result.about.resource.attribute.labels.value Il valore viene estratto dal campo "RecordNumber" nel log non elaborato.
regKey.path read_only_udm.target.registry.registry_key Il valore viene estratto dal campo "event.Event.RegKeyCreate.regKey.path" o "event.Event.RegKeyDelete.regKey.path" nel log non elaborato.
regValue.path read_only_udm.target.registry.registry_key Il valore viene estratto dal campo "event.Event.RegValueDelete.regValue.path" o "event.Event.RegValueModified.regValue.path" nel log non elaborato.
risultati read_only_udm.network.dns.answers.data Il valore viene estratto dal campo "event.Event.Dns.results" nel log non elaborato.
Sent UpdateServer intermediary.hostname Il valore viene estratto dal campo "Sent UpdateServer" nel log non elaborato.
seq_id Questo campo non è mappato direttamente a UDM.
signature.Status.Signed.identity Questo campo non è mappato direttamente a UDM.
sizeBytes read_only_udm.principal.process.file.size Il valore viene estratto dal campo "event.Event...sizeBytes" nel log non elaborato, dove è il tipo di evento specifico (ad es. ProcessCreation, ProcessExit) e è il campo contenente le informazioni sul processo (ad es. processo, origine, genitore).
sourceAddress.address read_only_udm.principal.ip Il valore viene estratto dal campo "event.Event.Tcpv4.sourceAddress.address" nel log non elaborato.
sourceAddress.port read_only_udm.principal.port Il valore viene estratto dal campo "event.Event.Tcpv4.sourceAddress.port" nel log non elaborato.
SourceName security_result.about.resource.attribute.labels.value Il valore viene estratto dal campo "SourceName" nel log non elaborato.
stato Questo campo non è mappato direttamente a UDM.
taskName read_only_udm.target.resource.name Il valore viene estratto dal campo "event.Event.SchedTaskStart.taskName", "event.Event.SchedTaskTrigger.taskName" o "event.Event.SchedTaskDelete.taskName" nel log non elaborato.
targetFile.hashes.md5 read_only_udm.target.file.md5 Il valore viene estratto dal campo "event.Event.FileDeletion.targetFile.hashes.md5" o "event.Event.SchedTaskStart.targetFile.hashes.md5" nel log non elaborato.
targetFile.hashes.sha1 read_only_udm.target.file.sha1 Il valore viene estratto dal campo "event.Event.FileDeletion.targetFile.hashes.sha1" o "event.Event.SchedTaskStart.targetFile.hashes.sha1" nel log non elaborato.
targetFile.hashes.sha256 read_only_udm.target.file.sha256 Il valore viene estratto dal campo "event.Event.FileDeletion.targetFile.hashes.sha256" o "event.Event.SchedTaskStart.targetFile.hashes.sha256" nel log non elaborato.
targetFile.path read_only_udm.target.file.full_path Il valore viene estratto dal campo "event.Event.FileDeletion.targetFile.path" o "event.Event.SchedTaskStart.targetFile.path" nel log non elaborato.
Attività security_result.about.resource.attribute.labels.value Il valore viene estratto dal campo "Attività" nel log non elaborato.
timestamp.millisecondsSinceEpoch read_only_udm.metadata.event_timestamp.seconds Il valore viene estratto dal campo "event.timestamp.millisecondsSinceEpoch" nel log non elaborato e convertito in secondi.
timestamp.millisecondsSinceEpoch read_only_udm.metadata.event_timestamp.nanos Il valore viene estratto dal campo "event.timestamp.millisecondsSinceEpoch" nel log non elaborato e convertito in nanosecondi.
trace_id Questo campo non è mappato direttamente a UDM.
triggerType Questo campo non è mappato direttamente a UDM.
trueContext Questo campo non è mappato direttamente a UDM.
trueContext.key Questo campo non è mappato direttamente a UDM.
trueContext.key.value Questo campo non è mappato direttamente a UDM.
tipo read_only_udm.network.dns.answers.type Il valore viene estratto dal campo "event.Event.Dns.results" nel log non elaborato utilizzando un'espressione regolare.
url read_only_udm.target.url Il valore viene estratto dal campo "event.Event.Http.url" nel log non elaborato.
nome.utente read_only_udm.principal.user.userid Il valore viene estratto dal campo "event.Event...user.name" nel log non elaborato, dove è il tipo di evento specifico (ad es. ProcessCreation, ProcessExit) e è il campo contenente le informazioni sul processo (ad es. processo, origine, genitore).
user.sid read_only_udm.principal.user.windows_sid Il valore viene estratto dal campo "event.Event...user.sid" nel log non elaborato, dove è il tipo di evento specifico (ad es. ProcessCreation, ProcessExit) e è il campo contenente le informazioni sul processo (ad es. processo, origine, genitore).
UserID read_only_udm.target.user.windows_sid Il valore viene estratto dal campo "UserID" nel log non elaborato solo se corrisponde al pattern SID di Windows.
UserSid read_only_udm.target.user.windows_sid Il valore viene estratto dal campo "UserSid" nel log non elaborato solo se corrisponde al pattern SID di Windows.
valueType Questo campo non è mappato direttamente a UDM.
winEventLog.channel security_result.about.resource.attribute.labels.value Il valore viene estratto dal campo "winEventLog.channel" nel log non elaborato.
winEventLog.description Questo campo non è mappato direttamente a UDM.
winEventLog.id security_result.about.resource.attribute.labels.value Il valore viene estratto dal campo "winEventLog.id" nel log non elaborato.
winEventLog.level security_result.severity Il valore viene estratto dal campo "winEventLog.level" nel log non elaborato e mappato al livello di gravità corrispondente (ad es. Warning a MEDIO).
winEventLog.providerName security_result.about.resource.attribute.labels.value Il valore viene estratto dal campo "winEventLog.providerName" nel log non elaborato.
winEventLog.xml Questo campo non è mappato direttamente a UDM.
read_only_udm.metadata.event_type Il valore viene determinato in base al campo "event_type" e mappato al tipo di evento UDM corrispondente.
read_only_udm.metadata.vendor_name Il valore è impostato su SentinelOne.
read_only_udm.metadata.product_name Il valore è impostato su Deep Visibility.
read_only_udm.metadata.product_log_id Il valore viene estratto dal campo "trace.id" nel log non elaborato, solo per gli eventi con "meta.event.name" uguale a PROCESSCREATION.
read_only_udm.metadata.product_deployment_id Il valore viene estratto dal campo "account.id" nel log non elaborato, solo per gli eventi con "meta.event.name" uguale a PROCESSCREATION.
read_only_udm.metadata.url_back_to_product Il valore viene estratto dal campo "mgmt.url" nel log non elaborato, solo per gli eventi con "meta.event.name" uguale a PROCESSCREATION.
read_only_udm.metadata.ingestion_labels.key Il valore è impostato su Process eUserUid o Process lUserUid per gli eventi con "meta.event.name" uguale a PROCESSCREATION.
read_only_udm.metadata.ingestion_labels.value Il valore viene estratto dal campo "src.process.eUserUid" o "src.process.lUserUid" nel log non elaborato, solo per gli eventi con "meta.event.name" uguale a PROCESSCREATION.
read_only_udm.principal.administrative_domain La parte del dominio del campo "event.Event...user.name" nel log non elaborato, dove è il tipo di evento specifico (ad es. ProcessCreation, ProcessExit) e è il campo contenente le informazioni sul processo (ad es. processo, origine, genitore).
read_only_udm.target.process.parent_process.command_line Il valore viene estratto dal campo "event.Event..parent.commandLine" nel log non elaborato, dove è il tipo di evento specifico (ad es. ProcessCreation, ProcessExit).
read_only_udm.target.file Se "event_type" non è FileCreation, FileDeletion, FileModification, SchedTaskStart o ProcessCreation, viene creato un oggetto vuoto.
read_only_udm.network.ip_protocol Il valore è impostato su TCP per gli eventi con "event_type" uguale a Tcpv4, Tcpv4Listen o Http.
read_only_udm.network.application_protocol Il valore è impostato su DNS per gli eventi con "event_type" uguale a Dns.
read_only_udm.target.resource.type Il valore è impostato su TASK per gli eventi con "event_type" uguale a SchedTaskStart, SchedTaskTrigger o SchedTaskDelete.
read_only_udm.target.resource.resource_type Il valore è impostato su TASK per gli eventi con "event_type" uguale a SchedTaskStart, SchedTaskTrigger o SchedTaskDelete.
read_only_udm.principal.process.product_specific_process_id Il valore è impostato su ExecutionThreadID:<ExecutionThreadID> se il campo "ExecutionThreadID" è presente nel log non elaborato.
read_only_udm.principal.asset.asset_id Il valore è impostato su Device ID:<agent.uuid> se il campo "agent.uuid" è presente nel log non elaborato.
read_only_udm.principal.namespace Il valore viene estratto dal campo "site.id" nel log non elaborato, solo per gli eventi con "meta.event.name" uguale a PROCESSCREATION.
read_only_udm.principal.location.name Il valore viene estratto dal campo "site.name" nel log non elaborato, solo per gli eventi con "meta.event.name" uguale a PROCESSCREATION.
read_only_udm.principal.resource.attribute.labels.key Il valore è impostato su src.process.displayName, src.process.uid, isRedirectCmdProcessor, isNative64Bit, isStorylineRoot, signedStatus, src process subsystem, src process integrityLevel o childProcCount per gli eventi con "meta.event.name" uguale a PROCESSCREATION.
read_only_udm.principal.resource.attribute.labels.value Il valore viene estratto dal campo corrispondente nel log non elaborato solo per gli eventi con "meta.event.name" uguale a PROCESSCREATION.
read_only_udm.target.user.userid Il valore viene estratto dal campo "tgt.process.uid" nel log non elaborato, solo per gli eventi con "meta.event.name" uguale a PROCESSCREATION.
read_only_udm.target.user.user_display_name Il valore viene estratto dal campo "tgt.process.displayName" nel log non elaborato, solo per gli eventi con "meta.event.name" uguale a PROCESSCREATION.
read_only_udm.target.resource.attribute.labels.key Il valore è impostato su isRedirectCmdProcessor, isNative64Bit, isStorylineRoot, signedStatus, file_isSigned, tgt process subsystem o tgt process integrityLevel per gli eventi con "meta.event.name" uguale a PROCESSCREATION.
read_only_udm.target.resource.attribute.labels.value Il valore viene estratto dal campo corrispondente nel log non elaborato solo per gli eventi con "meta.event.name" uguale a PROCESSCREATION.
read_only_udm.security_result.about.resource.attribute.labels.key Il valore è impostato su tgt.process.storyline.id, endpoint_type, packet_id, src.process.storyline.id o src.process.parent.storyline.id per gli eventi con "meta.event.name" uguale a PROCESSCREATION.
read_only_udm.security_result.about.resource.attribute.labels.value Il valore viene estratto dal campo corrispondente nel log non elaborato e viene aggiunto il prefisso ID: per gli ID storyline, solo per gli eventi con "meta.event.name" uguale a PROCESSCREATION.
read_only_udm.security_result.category_details Il valore è impostato su security per gli eventi con "meta.event.name" uguale a PROCESSCREATION.
read_only_udm.target.asset.product_object_id Il valore viene estratto dal campo "AdapterName" nel log non elaborato, solo per gli eventi con "meta.event.name" uguale a EVENTLOG.
security_result.about.resource.attribute.labels.key Il valore è impostato su TimeCreated SystemTime, EventID, Task, Channel, ProviderGuid, RecordNumber, SourceName, endpoint_type o packet_id per gli eventi con "meta.event.name" uguale a EVENTLOG.
security_result.detection_fields.key Il valore è impostato su Activity ID per gli eventi con "meta.event.name" uguale a EVENTLOG e un campo "ActivityID" non vuoto.
security_result.detection_fields.value Il valore viene estratto dal campo "ActivityID" nel log non elaborato, solo per gli eventi con "meta.event.name" uguale a EVENTLOG e un campo "ActivityID" non vuoto.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.