Mengumpulkan log Deep Visibility SentinelOne

Didukung di:

Dokumen ini menjelaskan cara mengekspor log Deep Visibility SentinelOne ke Google Security Operations menggunakan Cloud Funnel untuk mengekspor log ke Google Cloud Storage. Parser mengubah log peristiwa keamanan berformat JSON mentah menjadi format terstruktur yang sesuai dengan UDM. Pertama-tama, kode ini menginisialisasi serangkaian variabel, lalu mengekstrak jenis peristiwa dan mengurai payload JSON, memetakan kolom yang relevan ke skema UDM sambil menangani log peristiwa Windows secara terpisah.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

  • Instance Google SecOps
  • Akses istimewa ke Google Cloud
  • Penyiapan SentinelOne Deep Visibility di lingkungan Anda
  • Akses istimewa ke SentinelOne

Membuat Bucket Google Cloud Storage

  1. Login ke konsolGoogle Cloud .

  2. Buka halaman Cloud Storage Buckets.

    Buka Buckets

  3. Klik Buat.

  4. Di halaman Buat bucket, masukkan informasi bucket Anda. Setelah setiap langkah berikut, klik Lanjutkan untuk melanjutkan ke langkah berikutnya:

    1. Di bagian Mulai, lakukan tindakan berikut:

      1. Masukkan nama unik yang memenuhi persyaratan nama bucket; misalnya, sentinelone-deepvisibility.

      2. Untuk mengaktifkan namespace hierarkis, klik panah peluas untuk meluaskan bagian Optimalkan untuk beban kerja berorientasi file dan intensif data, lalu pilih Aktifkan namespace Hierarkis di bucket ini.

      3. Untuk menambahkan label bucket, klik panah peluas untuk meluaskan bagian Label.

      4. Klik Tambahkan label, lalu tentukan kunci dan nilai untuk label Anda.

    2. Di bagian Pilih lokasi untuk menyimpan data Anda, lakukan hal berikut:

      1. Pilih Jenis lokasi.

      2. Gunakan menu jenis lokasi untuk memilih Lokasi tempat data objek dalam bucket Anda akan disimpan secara permanen.

      3. Untuk menyiapkan replikasi lintas bucket, luaskan bagian Siapkan replikasi lintas bucket.

    3. Di bagian Pilih kelas penyimpanan untuk data Anda, pilih kelas penyimpanan default untuk bucket, atau pilih Autoclass untuk pengelolaan kelas penyimpanan otomatis untuk data bucket Anda.

    4. Di bagian Pilih cara mengontrol akses ke objek, pilih tidak untuk menerapkan pencegahan akses publik, dan pilih model kontrol akses untuk objek bucket Anda.

    5. Di bagian Pilih cara melindungi data objek, lakukan tindakan berikut:

      1. Pilih salah satu opsi di bagian Perlindungan data yang ingin Anda tetapkan untuk bucket Anda.
      2. Untuk memilih cara mengenkripsi data objek Anda, klik panah peluas berlabel Enkripsi data, lalu pilih Metode enkripsi data.

  5. Klik Buat.

Buat Akun Layanan Google Cloud

  1. Buka IAM & Admin > Service Accounts.
  2. Buat akun layanan baru.
  3. Beri nama yang deskriptif; misalnya, sentinelone-dv-logs.
  4. Beri akun layanan peran Storage Object Creator di bucket Cloud Storage yang Anda buat pada langkah sebelumnya.
  5. Buat kunci SSH untuk akun layanan.
  6. Download file kunci JSON untuk akun layanan. Jaga keamanan file ini.

Cara mengonfigurasi Cloud Funnel di SentinelOne DeepVisibility

  1. Login ke SentinelOne DeepVisibility.
  2. Klik Konfigurasi > Kebijakan & Setelan.
  3. Di bagian Singularity Data Lake, klik Cloud Funnel.
  4. Berikan detail konfigurasi berikut:
    • Penyedia Cloud: Pilih Google Cloud.
    • Nama Bucket: Masukkan nama bucket Cloud Storage yang Anda buat untuk penyerapan log DeepVisibility SentinelOne.
    • Streaming Telemetri: Pilih Aktifkan.
    • Filter Kueri: Buat kueri yang menyertakan agen yang perlu mengirim data ke bucket Cloud Storage.
    • Klik Validasi.
    • Kolom yang akan disertakan: Pilih semua kolom.
  5. Klik Simpan.

Menyiapkan feed

Ada dua titik entri berbeda untuk menyiapkan feed di platform Google SecOps:

  • Setelan SIEM > Feed
  • Hub Konten > Paket Konten

Menyiapkan feed dari Setelan SIEM > Feed

Untuk mengonfigurasi beberapa feed untuk berbagai jenis log dalam keluarga produk ini, lihat Mengonfigurasi feed menurut produk.

Untuk mengonfigurasi satu feed, ikuti langkah-langkah berikut:

  1. Buka Setelan SIEM > Feed.
  2. Klik Tambahkan Feed Baru.
  3. Di halaman berikutnya, klik Konfigurasi satu feed.
  4. Di kolom Feed name, masukkan nama feed; misalnya, SentinelOne DV Logs.
  5. Pilih Google Cloud Storage sebagai Jenis sumber.
  6. Pilih SentinelOne Deep Visibility sebagai Jenis log.
  7. Klik Dapatkan Akun Layanan sebagai Akun Layanan Chronicle.
  8. Klik Berikutnya.

  9. Tentukan nilai untuk parameter input berikut:

    • URI Bucket Penyimpanan: URL bucket Google Cloud Storage dalam format gs://my-bucket/<value>.
    • URI Adalah: Pilih Direktori yang menyertakan subdirektori.

    • Opsi penghapusan sumber: Pilih opsi penghapusan sesuai dengan preferensi penyerapan Anda.

    • Namespace aset: Namespace aset.

    • Label penyerapan: Label yang diterapkan ke peristiwa dari feed ini.

  10. Klik Berikutnya.

  11. Tinjau konfigurasi feed baru Anda di layar Finalisasi, lalu klik Kirim.

Menyiapkan feed dari Hub Konten

Tentukan nilai untuk kolom berikut:

  • URI bucket penyimpanan: URI sumber bucket Google Cloud Storage.
  • URI adalah: Pilih JENIS URI sesuai dengan konfigurasi aliran log (File tunggal | Direktori | Direktori yang menyertakan subdirektori).
  • Opsi penghapusan sumber: Pilih opsi penghapusan sesuai dengan preferensi penyerapan Anda.

Opsi lanjutan

  • Nama Feed: Nilai yang telah diisi otomatis yang mengidentifikasi feed.
  • Jenis Sumber: Metode yang digunakan untuk mengumpulkan log ke Google SecOps.
  • Namespace Aset: Namespace yang terkait dengan feed.
  • Label Penyerapan: Label yang diterapkan ke semua peristiwa dari feed ini.

Tabel Pemetaan UDM

Kolom log Pemetaan UDM Logika
AdapterName security_result.about.resource.attribute.labels.value Nilai diambil dari kolom 'AdapterName' dalam log mentah.
AdapterSuffixName security_result.about.resource.attribute.labels.value Nilai diambil dari kolom 'AdapterSuffixName' dalam log mentah.
agent_version read_only_udm.metadata.product_version Nilai diambil dari kolom 'meta.agent_version' dalam log mentah.
Saluran security_result.about.resource.attribute.labels.value Nilai diambil dari kolom 'Channel' di log mentah.
commandLine read_only_udm.principal.process.command_line Nilai diambil dari kolom 'event.Event...commandLine' dalam log mentah, dengan adalah jenis peristiwa tertentu (misalnya, ProcessCreation, ProcessExit) dan adalah kolom yang berisi informasi proses (misalnya, proses, sumber, induk).
computer_name read_only_udm.principal.hostname Nilai diambil dari kolom 'meta.computer_name' dalam log mentah.
destinationAddress.address read_only_udm.target.ip Nilai diambil dari kolom 'event.Event.Tcpv4.destinationAddress.address' dalam log mentah.
destinationAddress.port read_only_udm.target.port Nilai diambil dari kolom 'event.Event.Tcpv4.destinationAddress.port' dalam log mentah.
DnsServerList read_only_udm.principal.ip Nilai diambil dari kolom 'DnsServerList' di log mentah.
ErrorCode_new security_result.detection_fields.value Nilai diambil dari kolom 'ErrorCode_new' dalam log mentah.
EventID security_result.about.resource.attribute.labels.value Nilai diambil dari kolom 'EventID' dalam log mentah.
event.Event.Dns.query read_only_udm.network.dns.questions.name Nilai diambil dari kolom 'event.Event.Dns.query' dalam log mentah.
event.Event.Dns.results read_only_udm.network.dns.answers.data Nilai diambil dari kolom 'event.Event.Dns.results' dalam log mentah.
event.Event.Dns.source.fullPid.pid read_only_udm.principal.process.pid Nilai diambil dari kolom 'event.Event.Dns.source.fullPid.pid' dalam log mentah.
event.Event.Dns.source.user.name read_only_udm.principal.user.userid Nilai diambil dari kolom 'event.Event.Dns.source.user.name' dalam log mentah.
event.Event.FileCreation.source.fullPid.pid read_only_udm.principal.process.pid Nilai diambil dari kolom 'event.Event.FileCreation.source.fullPid.pid' dalam log mentah.
event.Event.FileCreation.source.user.name read_only_udm.principal.user.userid Nilai diambil dari kolom 'event.Event.FileCreation.source.user.name' dalam log mentah.
event.Event.FileCreation.targetFile.path read_only_udm.target.file.full_path Nilai diambil dari kolom 'event.Event.FileCreation.targetFile.path' dalam log mentah.
event.Event.FileDeletion.source.fullPid.pid read_only_udm.principal.process.pid Nilai diambil dari kolom 'event.Event.FileDeletion.source.fullPid.pid' dalam log mentah.
event.Event.FileDeletion.source.user.name read_only_udm.principal.user.userid Nilai diambil dari kolom 'event.Event.FileDeletion.source.user.name' dalam log mentah.
event.Event.FileDeletion.targetFile.path read_only_udm.target.file.full_path Nilai diambil dari kolom 'event.Event.FileDeletion.targetFile.path' dalam log mentah.
event.Event.FileModification.file.path read_only_udm.target.file.full_path Nilai diambil dari kolom 'event.Event.FileModification.file.path' dalam log mentah.
event.Event.FileModification.source.user.name read_only_udm.principal.user.userid Nilai diambil dari kolom 'event.Event.FileModification.source.user.name' dalam log mentah.
event.Event.FileModification.targetFile.path read_only_udm.target.file.full_path Nilai diambil dari kolom 'event.Event.FileModification.targetFile.path' dalam log mentah.
event.Event.Http.source.user.name read_only_udm.principal.user.userid Nilai diambil dari kolom 'event.Event.Http.source.user.name' dalam log mentah.
event.Event.Http.url read_only_udm.target.url Nilai diambil dari kolom 'event.Event.Http.url' dalam log mentah.
event.Event.ProcessCreation.process.user.name read_only_udm.principal.user.userid Nilai diambil dari kolom 'event.Event.ProcessCreation.process.user.name' dalam log mentah.
event.Event.ProcessCreation.source.user.name read_only_udm.principal.user.userid Nilai diambil dari kolom 'event.Event.ProcessCreation.source.user.name' dalam log mentah.
event.Event.ProcessExit.source.user.name read_only_udm.principal.user.userid Nilai diambil dari kolom 'event.Event.ProcessExit.source.user.name' dalam log mentah.
event.Event.ProcessTermination.source.user.name read_only_udm.principal.user.userid Nilai diambil dari kolom 'event.Event.ProcessTermination.source.user.name' dalam log mentah.
event.Event.RegKeyCreate.source.fullPid.pid read_only_udm.principal.process.pid Nilai diambil dari kolom 'event.Event.RegKeyCreate.source.fullPid.pid' dalam log mentah.
event.Event.RegKeyCreate.source.user.name read_only_udm.principal.user.userid Nilai diambil dari kolom 'event.Event.RegKeyCreate.source.user.name' dalam log mentah.
event.Event.RegKeyDelete.source.user.name read_only_udm.principal.user.userid Nilai diambil dari kolom 'event.Event.RegKeyDelete.source.user.name' dalam log mentah.
event.Event.RegValueModified.source.user.name read_only_udm.principal.user.userid Nilai diambil dari kolom 'event.Event.RegValueModified.source.user.name' dalam log mentah.
event.Event.SchedTaskDelete.source.user.name read_only_udm.principal.user.userid Nilai diambil dari kolom 'event.Event.SchedTaskDelete.source.user.name' dalam log mentah.
event.Event.SchedTaskRegister.source.user.name read_only_udm.principal.user.userid Nilai diambil dari kolom 'event.Event.SchedTaskRegister.source.user.name' dalam log mentah.
event.Event.SchedTaskStart.source.user.name read_only_udm.principal.user.userid Nilai diambil dari kolom 'event.Event.SchedTaskStart.source.user.name' dalam log mentah.
event.Event.SchedTaskTrigger.source.fullPid.pid read_only_udm.principal.process.pid Nilai diambil dari kolom 'event.Event.SchedTaskTrigger.source.fullPid.pid' dalam log mentah.
event.Event.SchedTaskTrigger.source.user.name read_only_udm.principal.user.userid Nilai diambil dari kolom 'event.Event.SchedTaskTrigger.source.user.name' dalam log mentah.
event.Event.Tcpv4.source.fullPid.pid read_only_udm.principal.process.pid Nilai diambil dari kolom 'event.Event.Tcpv4.source.fullPid.pid' dalam log mentah.
event.Event.Tcpv4.source.user.name read_only_udm.principal.user.userid Nilai diambil dari kolom 'event.Event.Tcpv4.source.user.name' dalam log mentah.
event.Event.Tcpv4Listen.local.address read_only_udm.principal.ip Nilai diambil dari kolom 'event.Event.Tcpv4Listen.local.address' dalam log mentah.
event.timestamp.millisecondsSinceEpoch read_only_udm.metadata.event_timestamp.seconds Nilai diambil dari kolom 'event.timestamp.millisecondsSinceEpoch' dalam log mentah, yang dikonversi menjadi detik.
event.timestamp.millisecondsSinceEpoch read_only_udm.metadata.event_timestamp.nanos Nilai diambil dari kolom 'event.timestamp.millisecondsSinceEpoch' dalam log mentah, yang dikonversi ke nanodetik.
event.timestamp.millisecondsSinceEpoch security_result.about.resource.attribute.labels.value Nilai diambil dari kolom 'event.timestamp.millisecondsSinceEpoch' di log mentah dan digunakan sebagai nilai untuk label dalam array security_result.about.resource.attribute.labels.
event_type read_only_udm.metadata.product_event_type Nilai diekstrak dari kolom 'message' dalam log mentah menggunakan pola grok.
executable.hashes.md5 read_only_udm.principal.process.file.md5 Nilai diambil dari kolom 'event.Event...executable.hashes.md5' dalam log mentah, dengan adalah jenis peristiwa tertentu (misalnya, ProcessCreation, ProcessExit) dan adalah kolom yang berisi informasi proses (misalnya, proses, sumber, induk).
executable.hashes.sha1 read_only_udm.principal.process.file.sha1 Nilai diambil dari kolom 'event.Event...executable.hashes.sha1' dalam log mentah, dengan adalah jenis peristiwa tertentu (misalnya, ProcessCreation, ProcessExit) dan adalah kolom yang berisi informasi proses (misalnya, proses, sumber, induk).
executable.hashes.sha256 read_only_udm.principal.process.file.sha256 Nilai diambil dari kolom 'event.Event...executable.hashes.sha256' dalam log mentah, dengan adalah jenis peristiwa tertentu (misalnya, ProcessCreation, ProcessExit) dan adalah kolom yang berisi informasi proses (misalnya, proses, sumber, induk).
executable.path read_only_udm.principal.process.file.full_path Nilai diambil dari kolom 'event.Event...executable.path' dalam log mentah, dengan adalah jenis peristiwa tertentu (misalnya, ProcessCreation, ProcessExit) dan adalah kolom yang berisi informasi proses (misalnya, proses, sumber, induk).
executable.sizeBytes read_only_udm.principal.process.file.size Nilai diambil dari kolom 'event.Event...executable.sizeBytes' dalam log mentah, dengan adalah jenis peristiwa tertentu (misalnya, ProcessCreation, ProcessExit) dan adalah kolom yang berisi informasi proses (misalnya, proses, sumber, induk).
fullPid.pid read_only_udm.principal.process.pid Nilai diambil dari kolom 'event.Event...fullPid.pid' dalam log mentah, dengan adalah jenis peristiwa tertentu (misalnya, ProcessCreation, ProcessExit) dan adalah kolom yang berisi informasi proses (misalnya, proses, sumber, induk).
hashes.md5 read_only_udm.target.file.md5 Nilai diambil dari kolom 'event.Event.ProcessCreation.hashes.md5' dalam log mentah.
hashes.sha1 read_only_udm.target.file.sha1 Nilai diambil dari kolom 'event.Event.ProcessCreation.hashes.sha1' dalam log mentah.
hashes.sha256 read_only_udm.target.file.sha256 Nilai diambil dari kolom 'event.Event.ProcessCreation.hashes.sha256' dalam log mentah.
IpAddress read_only_udm.target.ip Nilai diambil dari kolom 'IpAddress' di log mentah.
local.address read_only_udm.principal.ip Nilai diambil dari kolom 'event.Event.Tcpv4Listen.local.address' dalam log mentah.
local.port read_only_udm.principal.port Nilai diambil dari kolom 'event.Event.Tcpv4Listen.local.port' dalam log mentah.
log_type read_only_udm.metadata.log_type Nilai diambil dari kolom 'log_type' dalam log mentah.
meta.agent_version read_only_udm.metadata.product_version Nilai diambil dari kolom 'meta.agent_version' dalam log mentah.
meta.computer_name read_only_udm.principal.hostname Nilai diambil dari kolom 'meta.computer_name' dalam log mentah.
meta.os_family read_only_udm.principal.platform Nilai diambil dari kolom 'meta.os_family' dalam log mentah dan dipetakan ke platform yang sesuai (misalnya, windows ke WINDOWS, osx ke MAC, linux ke LINUX).
meta.os_name read_only_udm.principal.platform_version Nilai diambil dari kolom 'meta.os_name' dalam log mentah.
meta.os_revision read_only_udm.principal.platform_patch_level Nilai diambil dari kolom 'meta.os_revision' dalam log mentah.
meta.uuid read_only_udm.principal.asset_id Nilai diambil dari kolom 'meta.uuid' dalam log mentah dan diawali dengan SENTINELONE:.
nama read_only_udm.principal.application Nilai diambil dari kolom 'event.Event...name' dalam log mentah, dengan adalah jenis peristiwa tertentu (misalnya, ProcessCreation, ProcessExit) dan adalah kolom yang berisi informasi proses (misalnya, proses, sumber, induk).
parent.executable.hashes.md5 read_only_udm.target.process.parent_process.file.md5 Nilai diambil dari kolom 'event.Event..parent.executable.hashes.md5' dalam log mentah, dengan adalah jenis peristiwa tertentu (misalnya, ProcessCreation, ProcessExit).
parent.executable.hashes.sha1 read_only_udm.target.process.parent_process.file.sha1 Nilai diambil dari kolom 'event.Event..parent.executable.hashes.sha1' dalam log mentah, dengan adalah jenis peristiwa tertentu (misalnya, ProcessCreation, ProcessExit).
parent.executable.hashes.sha256 read_only_udm.target.process.parent_process.file.sha256 Nilai diambil dari kolom 'event.Event..parent.executable.hashes.sha256' dalam log mentah, dengan adalah jenis peristiwa tertentu (misalnya, ProcessCreation, ProcessExit).
parent.executable.path read_only_udm.target.process.parent_process.file.full_path Nilai diambil dari kolom 'event.Event..parent.executable.path' dalam log mentah, dengan adalah jenis peristiwa tertentu (misalnya, ProcessCreation, ProcessExit).
parent.fullPid.pid read_only_udm.target.process.parent_process.pid Nilai diambil dari kolom 'event.Event..parent.fullPid.pid' dalam log mentah, dengan adalah jenis peristiwa tertentu (misalnya, ProcessCreation, ProcessExit).
jalur read_only_udm.principal.process.file.full_path Nilai diambil dari kolom 'event.Event...path' dalam log mentah, dengan adalah jenis peristiwa tertentu (misalnya, ProcessCreation, ProcessExit) dan adalah kolom yang berisi informasi proses (misalnya, proses, sumber, induk).
process.commandLine read_only_udm.target.process.command_line Nilai diambil dari kolom 'event.Event.ProcessCreation.process.commandLine' dalam log mentah.
process.fullPid.pid read_only_udm.target.process.pid Nilai diambil dari kolom 'event.Event.ProcessCreation.process.fullPid.pid' dalam log mentah.
process.parent.fullPid.pid read_only_udm.target.process.parent_process.pid Nilai diambil dari kolom 'event.Event.ProcessCreation.process.parent.fullPid.pid' dalam log mentah.
ProviderGuid security_result.about.resource.attribute.labels.value Nilai diambil dari kolom 'ProviderGuid' di log mentah, dengan tanda kurung kurawal dihapus.
query read_only_udm.network.dns.questions.name Nilai diambil dari kolom 'event.Event.Dns.query' dalam log mentah.
RecordNumber security_result.about.resource.attribute.labels.value Nilai diambil dari kolom 'RecordNumber' dalam log mentah.
regKey.path read_only_udm.target.registry.registry_key Nilai diambil dari kolom 'event.Event.RegKeyCreate.regKey.path' atau 'event.Event.RegKeyDelete.regKey.path' dalam log mentah.
regValue.path read_only_udm.target.registry.registry_key Nilai diambil dari kolom 'event.Event.RegValueDelete.regValue.path' atau 'event.Event.RegValueModified.regValue.path' dalam log mentah.
hasil read_only_udm.network.dns.answers.data Nilai diambil dari kolom 'event.Event.Dns.results' dalam log mentah.
Sent UpdateServer intermediary.hostname Nilai diambil dari kolom 'Sent UpdateServer' dalam log mentah.
seq_id Kolom ini tidak dipetakan langsung ke UDM.
signature.Status.Signed.identity Kolom ini tidak dipetakan langsung ke UDM.
sizeBytes read_only_udm.principal.process.file.size Nilai diambil dari kolom 'event.Event...sizeBytes' dalam log mentah, dengan adalah jenis peristiwa tertentu (misalnya, ProcessCreation, ProcessExit) dan adalah kolom yang berisi informasi proses (misalnya, proses, sumber, induk).
sourceAddress.address read_only_udm.principal.ip Nilai diambil dari kolom 'event.Event.Tcpv4.sourceAddress.address' dalam log mentah.
sourceAddress.port read_only_udm.principal.port Nilai diambil dari kolom 'event.Event.Tcpv4.sourceAddress.port' dalam log mentah.
SourceName security_result.about.resource.attribute.labels.value Nilai diambil dari kolom 'SourceName' dalam log mentah.
status Kolom ini tidak dipetakan langsung ke UDM.
taskName read_only_udm.target.resource.name Nilai diambil dari kolom 'event.Event.SchedTaskStart.taskName', 'event.Event.SchedTaskTrigger.taskName', atau 'event.Event.SchedTaskDelete.taskName' dalam log mentah.
targetFile.hashes.md5 read_only_udm.target.file.md5 Nilai diambil dari kolom 'event.Event.FileDeletion.targetFile.hashes.md5' atau 'event.Event.SchedTaskStart.targetFile.hashes.md5' dalam log mentah.
targetFile.hashes.sha1 read_only_udm.target.file.sha1 Nilai diambil dari kolom 'event.Event.FileDeletion.targetFile.hashes.sha1' atau 'event.Event.SchedTaskStart.targetFile.hashes.sha1' dalam log mentah.
targetFile.hashes.sha256 read_only_udm.target.file.sha256 Nilai diambil dari kolom 'event.Event.FileDeletion.targetFile.hashes.sha256' atau 'event.Event.SchedTaskStart.targetFile.hashes.sha256' dalam log mentah.
targetFile.path read_only_udm.target.file.full_path Nilai diambil dari kolom 'event.Event.FileDeletion.targetFile.path' atau 'event.Event.SchedTaskStart.targetFile.path' dalam log mentah.
Tugas security_result.about.resource.attribute.labels.value Nilai diambil dari kolom 'Task' dalam log mentah.
timestamp.millisecondsSinceEpoch read_only_udm.metadata.event_timestamp.seconds Nilai diambil dari kolom 'event.timestamp.millisecondsSinceEpoch' dalam log mentah, yang dikonversi menjadi detik.
timestamp.millisecondsSinceEpoch read_only_udm.metadata.event_timestamp.nanos Nilai diambil dari kolom 'event.timestamp.millisecondsSinceEpoch' dalam log mentah, yang dikonversi ke nanodetik.
trace_id Kolom ini tidak dipetakan langsung ke UDM.
triggerType Kolom ini tidak dipetakan langsung ke UDM.
trueContext Kolom ini tidak dipetakan langsung ke UDM.
trueContext.key Kolom ini tidak dipetakan langsung ke UDM.
trueContext.key.value Kolom ini tidak dipetakan langsung ke UDM.
jenis read_only_udm.network.dns.answers.type Nilai diambil dari kolom 'event.Event.Dns.results' dalam log mentah dan diekstrak menggunakan ekspresi reguler.
url read_only_udm.target.url Nilai diambil dari kolom 'event.Event.Http.url' dalam log mentah.
user.name read_only_udm.principal.user.userid Nilai diambil dari kolom 'event.Event...user.name' dalam log mentah, dengan adalah jenis peristiwa tertentu (misalnya, ProcessCreation, ProcessExit) dan adalah kolom yang berisi informasi proses (misalnya, proses, sumber, induk).
user.sid read_only_udm.principal.user.windows_sid Nilai diambil dari kolom 'event.Event...user.sid' di log mentah, dengan adalah jenis peristiwa tertentu (misalnya, ProcessCreation, ProcessExit) dan adalah kolom yang berisi informasi proses (misalnya, proses, sumber, induk).
UserID read_only_udm.target.user.windows_sid Nilai diambil dari kolom 'UserID' dalam log mentah, hanya jika cocok dengan pola SID Windows.
UserSid read_only_udm.target.user.windows_sid Nilai diambil dari kolom 'UserSid' dalam log mentah, hanya jika cocok dengan pola SID Windows.
valueType Kolom ini tidak dipetakan langsung ke UDM.
winEventLog.channel security_result.about.resource.attribute.labels.value Nilai diambil dari kolom 'winEventLog.channel' dalam log mentah.
winEventLog.description Kolom ini tidak dipetakan langsung ke UDM.
winEventLog.id security_result.about.resource.attribute.labels.value Nilai diambil dari kolom 'winEventLog.id' di log mentah.
winEventLog.level security_result.severity Nilai diambil dari kolom 'winEventLog.level' dalam log mentah dan dipetakan ke tingkat keparahan yang sesuai (misalnya, Warning ke SEDANG).
winEventLog.providerName security_result.about.resource.attribute.labels.value Nilai diambil dari kolom 'winEventLog.providerName' dalam log mentah.
winEventLog.xml Kolom ini tidak dipetakan langsung ke UDM.
read_only_udm.metadata.event_type Nilai ditentukan berdasarkan kolom 'event_type' dan dipetakan ke jenis peristiwa UDM yang sesuai.
read_only_udm.metadata.vendor_name Nilai ditetapkan ke SentinelOne.
read_only_udm.metadata.product_name Nilai ditetapkan ke Deep Visibility.
read_only_udm.metadata.product_log_id Nilai diambil dari kolom 'trace.id' dalam log mentah, hanya untuk peristiwa dengan 'meta.event.name' sama dengan PROCESSCREATION.
read_only_udm.metadata.product_deployment_id Nilai diambil dari kolom 'account.id' dalam log mentah, hanya untuk peristiwa dengan 'meta.event.name' yang sama dengan PROCESSCREATION.
read_only_udm.metadata.url_back_to_product Nilai diambil dari kolom 'mgmt.url' dalam log mentah, hanya untuk peristiwa dengan 'meta.event.name' sama dengan PROCESSCREATION.
read_only_udm.metadata.ingestion_labels.key Nilai ditetapkan ke Process eUserUid atau Process lUserUid untuk peristiwa dengan 'meta.event.name' yang sama dengan PROCESSCREATION.
read_only_udm.metadata.ingestion_labels.value Nilai diambil dari kolom 'src.process.eUserUid' atau 'src.process.lUserUid' dalam log mentah, hanya untuk peristiwa dengan 'meta.event.name' yang sama dengan PROCESSCREATION.
read_only_udm.principal.administrative_domain Bagian domain dari kolom 'event.Event...user.name' dalam log mentah, dengan adalah jenis peristiwa tertentu (misalnya, ProcessCreation, ProcessExit) dan adalah kolom yang berisi informasi proses (misalnya, proses, sumber, induk).
read_only_udm.target.process.parent_process.command_line Nilai diambil dari kolom 'event.Event..parent.commandLine' dalam log mentah, dengan adalah jenis peristiwa tertentu (misalnya, ProcessCreation, ProcessExit).
read_only_udm.target.file Objek kosong dibuat jika 'event_type' bukan FileCreation, FileDeletion, FileModification, SchedTaskStart, atau ProcessCreation.
read_only_udm.network.ip_protocol Nilai ditetapkan ke TCP untuk peristiwa dengan 'event_type' yang sama dengan Tcpv4, Tcpv4Listen, atau Http.
read_only_udm.network.application_protocol Nilai ditetapkan ke DNS untuk peristiwa dengan 'event_type' sama dengan Dns.
read_only_udm.target.resource.type Nilai ditetapkan ke TASK untuk peristiwa dengan 'event_type' yang sama dengan SchedTaskStart, SchedTaskTrigger, atau SchedTaskDelete.
read_only_udm.target.resource.resource_type Nilai ditetapkan ke TASK untuk peristiwa dengan 'event_type' yang sama dengan SchedTaskStart, SchedTaskTrigger, atau SchedTaskDelete.
read_only_udm.principal.process.product_specific_process_id Nilai ditetapkan ke ExecutionThreadID:<ExecutionThreadID> jika kolom 'ExecutionThreadID' ada dalam log mentah.
read_only_udm.principal.asset.asset_id Nilai disetel ke Device ID:<agent.uuid> jika kolom 'agent.uuid' ada dalam log mentah.
read_only_udm.principal.namespace Nilai diambil dari kolom 'site.id' dalam log mentah, hanya untuk peristiwa dengan 'meta.event.name' yang sama dengan PROCESSCREATION.
read_only_udm.principal.location.name Nilai diambil dari kolom 'site.name' dalam log mentah, hanya untuk peristiwa dengan 'meta.event.name' yang sama dengan PROCESSCREATION.
read_only_udm.principal.resource.attribute.labels.key Nilai ditetapkan ke src.process.displayName, src.process.uid, isRedirectCmdProcessor, isNative64Bit, isStorylineRoot, signedStatus, src process subsystem, src process integrityLevel, atau childProcCount untuk peristiwa dengan 'meta.event.name' sama dengan PROCESSCREATION.
read_only_udm.principal.resource.attribute.labels.value Nilai diambil dari kolom yang sesuai dalam log mentah, hanya untuk peristiwa dengan 'meta.event.name' sama dengan PROCESSCREATION.
read_only_udm.target.user.userid Nilai diambil dari kolom 'tgt.process.uid' dalam log mentah, hanya untuk peristiwa dengan 'meta.event.name' sama dengan PROCESSCREATION.
read_only_udm.target.user.user_display_name Nilai diambil dari kolom 'tgt.process.displayName' dalam log mentah, hanya untuk peristiwa dengan 'meta.event.name' yang sama dengan PROCESSCREATION.
read_only_udm.target.resource.attribute.labels.key Nilai ditetapkan ke isRedirectCmdProcessor, isNative64Bit, isStorylineRoot, signedStatus, file_isSigned, tgt process subsystem, atau tgt process integrityLevel untuk peristiwa dengan 'meta.event.name' sama dengan PROCESSCREATION.
read_only_udm.target.resource.attribute.labels.value Nilai diambil dari kolom yang sesuai dalam log mentah, hanya untuk peristiwa dengan 'meta.event.name' sama dengan PROCESSCREATION.
read_only_udm.security_result.about.resource.attribute.labels.key Nilai ditetapkan ke tgt.process.storyline.id, endpoint_type, packet_id, src.process.storyline.id, atau src.process.parent.storyline.id untuk peristiwa dengan 'meta.event.name' sama dengan PROCESSCREATION.
read_only_udm.security_result.about.resource.attribute.labels.value Nilai diambil dari kolom yang sesuai dalam log mentah dan diawali dengan ID: untuk ID alur cerita, hanya untuk peristiwa dengan 'meta.event.name' sama dengan PROCESSCREATION.
read_only_udm.security_result.category_details Nilai ditetapkan ke security untuk peristiwa dengan 'meta.event.name' sama dengan PROCESSCREATION.
read_only_udm.target.asset.product_object_id Nilai diambil dari kolom 'AdapterName' dalam log mentah, hanya untuk peristiwa dengan 'meta.event.name' sama dengan EVENTLOG.
security_result.about.resource.attribute.labels.key Nilai ditetapkan ke TimeCreated SystemTime, EventID, Task, Channel, ProviderGuid, RecordNumber, SourceName, endpoint_type, atau packet_id untuk peristiwa dengan 'meta.event.name' sama dengan EVENTLOG.
security_result.detection_fields.key Nilai ditetapkan ke Activity ID untuk peristiwa dengan 'meta.event.name' sama dengan EVENTLOG dan kolom 'ActivityID' yang tidak kosong.
security_result.detection_fields.value Nilai diambil dari kolom 'ActivityID' dalam log mentah, hanya untuk peristiwa dengan 'meta.event.name' sama dengan EVENTLOG dan kolom 'ActivityID' yang tidak kosong.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.