SentinelOne Deep Visibility のログを収集する
以下でサポートされています。
Google SecOps
SIEM
このドキュメントでは、Cloud Funnel を使用して SentinelOne Deep Visibility ログを Google Security Operations にエクスポートし、ログを Google Cloud Storage にエクスポートする方法について説明します。パーサーは、未加工の JSON 形式のセキュリティ イベントログを UDM に準拠した構造化形式に変換します。まず、一連の変数を初期化してから、イベントタイプを抽出して JSON ペイロードを解析し、関連するフィールドを UDM スキーマにマッピングします。Windows イベントログは個別に処理します。
始める前に
次の前提条件を満たしていることを確認します。
- Google SecOps インスタンス
- Google Cloudへの特権アクセス
- 環境に設定された SentinelOne Deep Visibility
- SentinelOne への特権アクセス
Google Cloud Storage バケットを作成する
- Google Cloud コンソールにログインします。
[Cloud Storage バケット] のページに移動します。
[作成] をクリックします。
[バケットの作成] ページでユーザーのバケット情報を入力します。以下のステップでは、操作を完了した後に [続行] をクリックして、次のステップに進みます。
[始める] セクションで、次の操作を行います。
- バケット名の要件を満たす一意の名前を入力します(例: sentinelone-deepvisibility)。
階層名前空間を有効にするには、展開矢印をクリックして [Optimize for file oriented and data-intensive workloads] セクションを開き、[このバケットで階層的な名前空間を有効にする] を選択します。
バケットラベルを追加するには、展開矢印をクリックして [ラベル] セクションを開きます。
[ラベルを追加] をクリックし、ラベルのキーと値を指定します。
[データの保存場所の選択] セクションで、次の操作を行います。
- ロケーション タイプを選択してください。
ロケーション タイプのメニューを使用して、バケット内のオブジェクト データが永続的に保存されるロケーションを選択します。
クロスバケット レプリケーションを設定するには、[クロスバケット レプリケーションを設定する] セクションを開きます。
[データのストレージ クラスを選択する] セクションで、バケットのデフォルトのストレージ クラスを選択します。あるいは、Autoclass を選択して、バケットデータのストレージ クラスを自動的に管理します。
[オブジェクトへのアクセスを制御する方法を選択する] セクションで、[なし] を選択して公開アクセスの防止を適用し、バケットのオブジェクトの [アクセス制御モデル] を選択します。
[オブジェクト データを保護する方法を選択する] セクションで、次の操作を行います。
- [データ保護] で、バケットに設定するオプションを選択します。
- オブジェクト データの暗号化方法を選択するには、[データ暗号化] というラベルの付いた展開矢印をクリックし、データの暗号化方法を選択します。
[作成] をクリックします。
Google Cloud サービス アカウントを作成する
- [IAM と管理] > [サービス アカウント] に移動します。
- 新しいサービス アカウントを作成します。
- わかりやすい名前を付けます(sentinelone-dv-logs など)。
- 前の手順で作成した Cloud Storage バケットに対する ストレージ オブジェクト作成者のロールをサービス アカウントに付与します。
- サービス アカウント用の SSH キーを作成します。
- サービス アカウント用の JSON キーファイルをダウンロードします。このファイルは安全に保管してください。
SentinelOne DeepVisibility で Cloud Funnel を構成する方法
- SentinelOne DeepVisibility にログインします。
- [Configure] > [Policy & Settings] をクリックします。
- [Singularity Data Lake] セクションで、[Cloud Funnel] をクリックします。
- 次の構成情報を提供してください。
- Cloud Provider: Google Cloudを選択します。
- Bucket Name: SentinelOne DeepVisibility ログの取り込み用に作成した Cloud Storage バケットの名前を入力します。
- テレメトリー ストリーミング: [有効にする] を選択します。
- クエリフィルタ: Cloud Storage バケットにデータを送信する必要があるエージェントを含むクエリを作成します。
- [検証] をクリックします。
- 含める項目: すべての項目を選択します。
- [保存] をクリックします。
フィードを設定する
Google SecOps プラットフォームでフィードを設定するには、次の 2 つのエントリ ポイントがあります。
- [SIEM 設定] > [フィード]
- [コンテンツ ハブ] > [コンテンツ パック]
[SIEM 設定] > [フィード] でフィードを設定します。
このプロダクト ファミリー内の異なるログタイプに対して複数のフィードを構成するには、プロダクトごとにフィードを構成するをご覧ください。
1 つのフィードを設定する手順は次のとおりです。
- [SIEM 設定] > [フィード] に移動します。
- [Add New Feed] をクリックします。
- 次のページで [単一フィードを設定] をクリックします。
- [フィード名] フィールドに、フィードの名前を入力します(例: SentinelOne DV Logs)。
- [Source type] として [Google Cloud Storage] を選択します。
- [Log type] として [SentinelOne Deep Visibility] を選択します。
- [Chronicle サービス アカウント] として [サービス アカウントを取得する] をクリックします。
- [次へ] をクリックします。
次の入力パラメータの値を指定します。
- Storage Bucket URI:
gs://my-bucket/<value>形式の Google Cloud Storage バケット URL。 - URI Is A: [サブディレクトリを含むディレクトリ] を選択します。
Source deletion options: 取り込みの設定に応じて削除オプションを選択します。
Asset namespace: アセットの名前空間。
Ingestion labels: このフィードのイベントに適用されるラベル。
- Storage Bucket URI:
[次へ] をクリックします。
[Finalize] 画面で新しいフィードの設定を確認し、[送信] をクリックします。
Content Hub からフィードを設定する
次のフィールドに値を指定します。
- ストレージ バケット URI: Google Cloud Storage バケットのソース URI。
- URI is a: ログストリームの構成([単一ファイル] | [ディレクトリ] | [サブディレクトリを含むディレクトリ])に応じて URI TYPE を選択します。
- Source deletion options: 取り込みの設定に応じて削除オプションを選択します。
詳細オプション
- フィード名: フィードを識別する事前入力された値。
- ソースタイプ: Google SecOps にログを収集するために使用される方法。
- Asset Namespace: フィードに関連付けられている名前空間。
- Ingestion Labels: このフィードのすべてのイベントに適用されるラベル。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | ロジック |
|---|---|---|
| AdapterName | security_result.about.resource.attribute.labels.value | この値は、未加工ログの「AdapterName」フィールドから取得されます。 |
| AdapterSuffixName | security_result.about.resource.attribute.labels.value | この値は、未加工ログの「AdapterSuffixName」フィールドから取得されます。 |
| agent_version | read_only_udm.metadata.product_version | この値は、未加工ログの「meta.agent_version」フィールドから取得されます。 |
| チャンネル | security_result.about.resource.attribute.labels.value | この値は、未加工ログの「Channel」フィールドから取得されます。 |
| commandLine | read_only_udm.principal.process.command_line | この値は、未加工ログの「event.Event. |
| computer_name | read_only_udm.principal.hostname | この値は、未加工ログの「meta.computer_name」フィールドから取得されます。 |
| destinationAddress.address | read_only_udm.target.ip | この値は、未加工ログの「event.Event.Tcpv4.destinationAddress.address」フィールドから取得されます。 |
| destinationAddress.port | read_only_udm.target.port | この値は、未加工ログの「event.Event.Tcpv4.destinationAddress.port」フィールドから取得されます。 |
| DnsServerList | read_only_udm.principal.ip | この値は、未加工ログの「DnsServerList」フィールドから取得されます。 |
| ErrorCode_new | security_result.detection_fields.value | この値は、未加工ログの「ErrorCode_new」フィールドから取得されます。 |
| EventID | security_result.about.resource.attribute.labels.value | この値は、未加工ログの「EventID」フィールドから取得されます。 |
| event.Event.Dns.query | read_only_udm.network.dns.questions.name | この値は、未加工ログの「event.Event.Dns.query」フィールドから取得されます。 |
| event.Event.Dns.results | read_only_udm.network.dns.answers.data | この値は、未加工ログの「event.Event.Dns.results」フィールドから取得されます。 |
| event.Event.Dns.source.fullPid.pid | read_only_udm.principal.process.pid | この値は、未加工ログの「event.Event.Dns.source.fullPid.pid」フィールドから取得されます。 |
| event.Event.Dns.source.user.name | read_only_udm.principal.user.userid | この値は、未加工ログの「event.Event.Dns.source.user.name」フィールドから取得されます。 |
| event.Event.FileCreation.source.fullPid.pid | read_only_udm.principal.process.pid | この値は、未加工ログの「event.Event.FileCreation.source.fullPid.pid」フィールドから取得されます。 |
| event.Event.FileCreation.source.user.name | read_only_udm.principal.user.userid | この値は、未加工ログの「event.Event.FileCreation.source.user.name」フィールドから取得されます。 |
| event.Event.FileCreation.targetFile.path | read_only_udm.target.file.full_path | この値は、未加工ログの「event.Event.FileCreation.targetFile.path」フィールドから取得されます。 |
| event.Event.FileDeletion.source.fullPid.pid | read_only_udm.principal.process.pid | この値は、未加工ログの「event.Event.FileDeletion.source.fullPid.pid」フィールドから取得されます。 |
| event.Event.FileDeletion.source.user.name | read_only_udm.principal.user.userid | この値は、未加工ログの「event.Event.FileDeletion.source.user.name」フィールドから取得されます。 |
| event.Event.FileDeletion.targetFile.path | read_only_udm.target.file.full_path | この値は、未加工ログの「event.Event.FileDeletion.targetFile.path」フィールドから取得されます。 |
| event.Event.FileModification.file.path | read_only_udm.target.file.full_path | この値は、未加工ログの「event.Event.FileModification.file.path」フィールドから取得されます。 |
| event.Event.FileModification.source.user.name | read_only_udm.principal.user.userid | この値は、未加工ログの「event.Event.FileModification.source.user.name」フィールドから取得されます。 |
| event.Event.FileModification.targetFile.path | read_only_udm.target.file.full_path | この値は、未加工ログの「event.Event.FileModification.targetFile.path」フィールドから取得されます。 |
| event.Event.Http.source.user.name | read_only_udm.principal.user.userid | この値は、未加工ログの「event.Event.Http.source.user.name」フィールドから取得されます。 |
| event.Event.Http.url | read_only_udm.target.url | この値は、未加工ログの「event.Event.Http.url」フィールドから取得されます。 |
| event.Event.ProcessCreation.process.user.name | read_only_udm.principal.user.userid | この値は、未加工ログの「event.Event.ProcessCreation.process.user.name」フィールドから取得されます。 |
| event.Event.ProcessCreation.source.user.name | read_only_udm.principal.user.userid | この値は、未加工ログの「event.Event.ProcessCreation.source.user.name」フィールドから取得されます。 |
| event.Event.ProcessExit.source.user.name | read_only_udm.principal.user.userid | この値は、未加工ログの「event.Event.ProcessExit.source.user.name」フィールドから取得されます。 |
| event.Event.ProcessTermination.source.user.name | read_only_udm.principal.user.userid | この値は、未加工ログの「event.Event.ProcessTermination.source.user.name」フィールドから取得されます。 |
| event.Event.RegKeyCreate.source.fullPid.pid | read_only_udm.principal.process.pid | この値は、未加工ログの「event.Event.RegKeyCreate.source.fullPid.pid」フィールドから取得されます。 |
| event.Event.RegKeyCreate.source.user.name | read_only_udm.principal.user.userid | この値は、未加工ログの「event.Event.RegKeyCreate.source.user.name」フィールドから取得されます。 |
| event.Event.RegKeyDelete.source.user.name | read_only_udm.principal.user.userid | この値は、未加工ログの「event.Event.RegKeyDelete.source.user.name」フィールドから取得されます。 |
| event.Event.RegValueModified.source.user.name | read_only_udm.principal.user.userid | この値は、未加工ログの「event.Event.RegValueModified.source.user.name」フィールドから取得されます。 |
| event.Event.SchedTaskDelete.source.user.name | read_only_udm.principal.user.userid | この値は、未加工ログの「event.Event.SchedTaskDelete.source.user.name」フィールドから取得されます。 |
| event.Event.SchedTaskRegister.source.user.name | read_only_udm.principal.user.userid | この値は、未加工ログの「event.Event.SchedTaskRegister.source.user.name」フィールドから取得されます。 |
| event.Event.SchedTaskStart.source.user.name | read_only_udm.principal.user.userid | この値は、未加工ログの「event.Event.SchedTaskStart.source.user.name」フィールドから取得されます。 |
| event.Event.SchedTaskTrigger.source.fullPid.pid | read_only_udm.principal.process.pid | この値は、未加工ログの「event.Event.SchedTaskTrigger.source.fullPid.pid」フィールドから取得されます。 |
| event.Event.SchedTaskTrigger.source.user.name | read_only_udm.principal.user.userid | この値は、未加工ログの「event.Event.SchedTaskTrigger.source.user.name」フィールドから取得されます。 |
| event.Event.Tcpv4.source.fullPid.pid | read_only_udm.principal.process.pid | この値は、未加工ログの「event.Event.Tcpv4.source.fullPid.pid」フィールドから取得されます。 |
| event.Event.Tcpv4.source.user.name | read_only_udm.principal.user.userid | この値は、未加工ログの「event.Event.Tcpv4.source.user.name」フィールドから取得されます。 |
| event.Event.Tcpv4Listen.local.address | read_only_udm.principal.ip | この値は、未加工ログの「event.Event.Tcpv4Listen.local.address」フィールドから取得されます。 |
| event.timestamp.millisecondsSinceEpoch | read_only_udm.metadata.event_timestamp.seconds | この値は、未加工ログの「event.timestamp.millisecondsSinceEpoch」フィールドから取得され、秒単位に変換されます。 |
| event.timestamp.millisecondsSinceEpoch | read_only_udm.metadata.event_timestamp.nanos | この値は、未加工ログの「event.timestamp.millisecondsSinceEpoch」フィールドから取得され、ナノ秒に変換されます。 |
| event.timestamp.millisecondsSinceEpoch | security_result.about.resource.attribute.labels.value | この値は、未加工ログの「event.timestamp.millisecondsSinceEpoch」フィールドから取得され、security_result.about.resource.attribute.labels 配列のラベルの値として使用されます。 |
| event_type | read_only_udm.metadata.product_event_type | 値は、grok パターンを使用して未加工ログの「message」フィールドから抽出されます。 |
| executable.hashes.md5 | read_only_udm.principal.process.file.md5 | この値は、未加工ログの「event.Event. |
| executable.hashes.sha1 | read_only_udm.principal.process.file.sha1 | この値は、未加工ログの「event.Event. |
| executable.hashes.sha256 | read_only_udm.principal.process.file.sha256 | この値は、未加工ログの「event.Event. |
| executable.path | read_only_udm.principal.process.file.full_path | この値は、未加工ログの「event.Event. |
| executable.sizeBytes | read_only_udm.principal.process.file.size | この値は、未加工ログの「event.Event. |
| fullPid.pid | read_only_udm.principal.process.pid | この値は、未加工ログの「event.Event. |
| hashes.md5 | read_only_udm.target.file.md5 | この値は、未加工ログの「event.Event.ProcessCreation.hashes.md5」フィールドから取得されます。 |
| hashes.sha1 | read_only_udm.target.file.sha1 | この値は、未加工ログの「event.Event.ProcessCreation.hashes.sha1」フィールドから取得されます。 |
| hashes.sha256 | read_only_udm.target.file.sha256 | この値は、未加工ログの「event.Event.ProcessCreation.hashes.sha256」フィールドから取得されます。 |
| IpAddress | read_only_udm.target.ip | この値は、未加工ログの「IpAddress」フィールドから取得されます。 |
| local.address | read_only_udm.principal.ip | この値は、未加工ログの「event.Event.Tcpv4Listen.local.address」フィールドから取得されます。 |
| local.port | read_only_udm.principal.port | この値は、未加工ログの「event.Event.Tcpv4Listen.local.port」フィールドから取得されます。 |
| log_type | read_only_udm.metadata.log_type | この値は、未加工ログの「log_type」フィールドから取得されます。 |
| meta.agent_version | read_only_udm.metadata.product_version | この値は、未加工ログの「meta.agent_version」フィールドから取得されます。 |
| meta.computer_name | read_only_udm.principal.hostname | この値は、未加工ログの「meta.computer_name」フィールドから取得されます。 |
| meta.os_family | read_only_udm.principal.platform | この値は、未加工ログの「meta.os_family」フィールドから取得され、対応するプラットフォーム(windows は Windows、osx は Mac、linux は Linux に置き換えます)。 |
| meta.os_name | read_only_udm.principal.platform_version | この値は、未加工ログの「meta.os_name」フィールドから取得されます。 |
| meta.os_revision | read_only_udm.principal.platform_patch_level | この値は、未加工ログの「meta.os_revision」フィールドから取得されます。 |
| meta.uuid | read_only_udm.principal.asset_id | この値は、未加工ログの「meta.uuid」フィールドから取得され、SENTINELONE: が先頭に追加されます。 |
| name | read_only_udm.principal.application | この値は、未加工ログの「event.Event. |
| parent.executable.hashes.md5 | read_only_udm.target.process.parent_process.file.md5 | この値は、未加工ログの「event.Event. |
| parent.executable.hashes.sha1 | read_only_udm.target.process.parent_process.file.sha1 | この値は、未加工ログの「event.Event. |
| parent.executable.hashes.sha256 | read_only_udm.target.process.parent_process.file.sha256 | この値は、未加工ログの「event.Event. |
| parent.executable.path | read_only_udm.target.process.parent_process.file.full_path | この値は、未加工ログの「event.Event. |
| parent.fullPid.pid | read_only_udm.target.process.parent_process.pid | この値は、未加工ログの「event.Event. |
| パス | read_only_udm.principal.process.file.full_path | この値は、未加工ログの「event.Event. |
| process.commandLine | read_only_udm.target.process.command_line | この値は、未加工ログの「event.Event.ProcessCreation.process.commandLine」フィールドから取得されます。 |
| process.fullPid.pid | read_only_udm.target.process.pid | この値は、未加工ログの「event.Event.ProcessCreation.process.fullPid.pid」フィールドから取得されます。 |
| process.parent.fullPid.pid | read_only_udm.target.process.parent_process.pid | この値は、未加工ログの「event.Event.ProcessCreation.process.parent.fullPid.pid」フィールドから取得されます。 |
| ProviderGuid | security_result.about.resource.attribute.labels.value | この値は、未加工ログの「ProviderGuid」フィールドから取得され、中かっこは削除されます。 |
| クエリ | read_only_udm.network.dns.questions.name | この値は、未加工ログの「event.Event.Dns.query」フィールドから取得されます。 |
| RecordNumber | security_result.about.resource.attribute.labels.value | この値は、未加工ログの「RecordNumber」フィールドから取得されます。 |
| regKey.path | read_only_udm.target.registry.registry_key | この値は、未加工ログの「event.Event.RegKeyCreate.regKey.path」または「event.Event.RegKeyDelete.regKey.path」フィールドから取得されます。 |
| regValue.path | read_only_udm.target.registry.registry_key | この値は、未加工ログの「event.Event.RegValueDelete.regValue.path」または「event.Event.RegValueModified.regValue.path」フィールドから取得されます。 |
| 結果 | read_only_udm.network.dns.answers.data | この値は、未加工ログの「event.Event.Dns.results」フィールドから取得されます。 |
| UpdateServer を送信しました | intermediary.hostname | この値は、未加工ログの「Sent UpdateServer」フィールドから取得されます。 |
| seq_id | このフィールドは UDM に直接マッピングされません。 | |
| signature.Status.Signed.identity | このフィールドは UDM に直接マッピングされません。 | |
| sizeBytes | read_only_udm.principal.process.file.size | この値は、未加工ログの「event.Event. |
| sourceAddress.address | read_only_udm.principal.ip | この値は、未加工ログの「event.Event.Tcpv4.sourceAddress.address」フィールドから取得されます。 |
| sourceAddress.port | read_only_udm.principal.port | この値は、未加工ログの「event.Event.Tcpv4.sourceAddress.port」フィールドから取得されます。 |
| SourceName | security_result.about.resource.attribute.labels.value | この値は、未加工ログの「SourceName」フィールドから取得されます。 |
| ステータス | このフィールドは UDM に直接マッピングされません。 | |
| taskName | read_only_udm.target.resource.name | この値は、未加工ログの「event.Event.SchedTaskStart.taskName」、「event.Event.SchedTaskTrigger.taskName」、「event.Event.SchedTaskDelete.taskName」フィールドから取得されます。 |
| targetFile.hashes.md5 | read_only_udm.target.file.md5 | この値は、未加工ログの「event.Event.FileDeletion.targetFile.hashes.md5」または「event.Event.SchedTaskStart.targetFile.hashes.md5」フィールドから取得されます。 |
| targetFile.hashes.sha1 | read_only_udm.target.file.sha1 | この値は、未加工ログの「event.Event.FileDeletion.targetFile.hashes.sha1」または「event.Event.SchedTaskStart.targetFile.hashes.sha1」フィールドから取得されます。 |
| targetFile.hashes.sha256 | read_only_udm.target.file.sha256 | この値は、未加工ログの「event.Event.FileDeletion.targetFile.hashes.sha256」または「event.Event.SchedTaskStart.targetFile.hashes.sha256」フィールドから取得されます。 |
| targetFile.path | read_only_udm.target.file.full_path | この値は、未加工ログの「event.Event.FileDeletion.targetFile.path」または「event.Event.SchedTaskStart.targetFile.path」フィールドから取得されます。 |
| タスク | security_result.about.resource.attribute.labels.value | この値は、未加工ログの「Task」フィールドから取得されます。 |
| timestamp.millisecondsSinceEpoch | read_only_udm.metadata.event_timestamp.seconds | この値は、未加工ログの「event.timestamp.millisecondsSinceEpoch」フィールドから取得され、秒単位に変換されます。 |
| timestamp.millisecondsSinceEpoch | read_only_udm.metadata.event_timestamp.nanos | この値は、未加工ログの「event.timestamp.millisecondsSinceEpoch」フィールドから取得され、ナノ秒に変換されます。 |
| trace_id | このフィールドは UDM に直接マッピングされません。 | |
| triggerType | このフィールドは UDM に直接マッピングされません。 | |
| trueContext | このフィールドは UDM に直接マッピングされません。 | |
| trueContext.key | このフィールドは UDM に直接マッピングされません。 | |
| trueContext.key.value | このフィールドは UDM に直接マッピングされません。 | |
| type | read_only_udm.network.dns.answers.type | この値は、未加工ログの「event.Event.Dns.results」フィールドから取得され、正規表現を使用して抽出されます。 |
| URL | read_only_udm.target.url | この値は、未加工ログの「event.Event.Http.url」フィールドから取得されます。 |
| user.name | read_only_udm.principal.user.userid | この値は、未加工ログの「event.Event. |
| user.sid | read_only_udm.principal.user.windows_sid | この値は、未加工ログの「event.Event. |
| UserID | read_only_udm.target.user.windows_sid | この値は、未加工ログの「UserID」フィールドから取得されます。ただし、Windows SID パターンと一致する場合のみです。 |
| UserSid | read_only_udm.target.user.windows_sid | この値は、未加工ログの「UserSid」フィールドから取得されます。ただし、Windows SID パターンと一致する場合のみです。 |
| valueType | このフィールドは UDM に直接マッピングされません。 | |
| winEventLog.channel | security_result.about.resource.attribute.labels.value | この値は、未加工ログの「winEventLog.channel」フィールドから取得されます。 |
| winEventLog.description | このフィールドは UDM に直接マッピングされません。 | |
| winEventLog.id | security_result.about.resource.attribute.labels.value | この値は、未加工ログの「winEventLog.id」フィールドから取得されます。 |
| winEventLog.level | security_result.severity | この値は、未加工ログの「winEventLog.level」フィールドから取得され、対応する重大度レベルにマッピングされます(例: Warning から MEDIUM に変更)。 |
| winEventLog.providerName | security_result.about.resource.attribute.labels.value | この値は、未加工ログの「winEventLog.providerName」フィールドから取得されます。 |
| winEventLog.xml | このフィールドは UDM に直接マッピングされません。 | |
| read_only_udm.metadata.event_type | この値は、event_type フィールドに基づいて決定され、対応する UDM イベントタイプにマッピングされます。 | |
| read_only_udm.metadata.vendor_name | 値は SentinelOne に設定されています。 |
|
| read_only_udm.metadata.product_name | 値は Deep Visibility に設定されています。 |
|
| read_only_udm.metadata.product_log_id | この値は、未加工ログの「trace.id」フィールドから取得されます。ただし、この値が取得されるのは、「meta.event.name」が PROCESSCREATION に等しいイベントの場合のみです。 |
|
| read_only_udm.metadata.product_deployment_id | この値は、未加工ログの「account.id」フィールドから取得されます。ただし、これは「meta.event.name」が PROCESSCREATION に等しいイベントに限られます。 |
|
| read_only_udm.metadata.url_back_to_product | この値は、未加工ログの「mgmt.url」フィールドから取得されます。ただし、この値が取得されるのは、「meta.event.name」が PROCESSCREATION に等しいイベントの場合のみです。 |
|
| read_only_udm.metadata.ingestion_labels.key | この値は、meta.event.name が PROCESSCREATION に等しいイベントの場合、Process eUserUid または Process lUserUid に設定されます。 |
|
| read_only_udm.metadata.ingestion_labels.value | この値は、未加工ログの「src.process.eUserUid」または「src.process.lUserUid」フィールドから取得されます。ただし、この値が取得されるのは、「meta.event.name」が PROCESSCREATION に等しいイベントの場合のみです。 |
|
| read_only_udm.principal.administrative_domain | 未加工ログの「event.Event. |
|
| read_only_udm.target.process.parent_process.command_line | この値は、未加工ログの「event.Event. |
|
| read_only_udm.target.file | 「event_type」が FileCreation、FileDeletion、FileModification、SchedTaskStart、ProcessCreation でない場合、空のオブジェクトが作成されます。 |
|
| read_only_udm.network.ip_protocol | 値は、event_type が Tcpv4、Tcpv4Listen、または Http のイベントで TCP に設定されます。 |
|
| read_only_udm.network.application_protocol | この値は、event_type が Dns のイベントでは DNS に設定されます。 |
|
| read_only_udm.target.resource.type | 「event_type」が SchedTaskStart、SchedTaskTrigger、または SchedTaskDelete のイベントの場合、値は TASK に設定されます。 |
|
| read_only_udm.target.resource.resource_type | 「event_type」が SchedTaskStart、SchedTaskTrigger、または SchedTaskDelete のイベントの場合、この値は TASK に設定されます。 |
|
| read_only_udm.principal.process.product_specific_process_id | 未加工ログに「ExecutionThreadID」フィールドが存在する場合、値は ExecutionThreadID:<ExecutionThreadID> に設定されます。 |
|
| read_only_udm.principal.asset.asset_id | 未加工ログに「agent.uuid」フィールドが存在する場合、この値は Device ID:<agent.uuid> に設定されます。 |
|
| read_only_udm.principal.namespace | この値は、未加工ログの「site.id」フィールドから取得されます。ただし、この値が取得されるのは、「meta.event.name」が PROCESSCREATION に等しいイベントの場合のみです。 |
|
| read_only_udm.principal.location.name | この値は、未加工ログの「site.name」フィールドから取得されます。ただし、この値が取得されるのは、「meta.event.name」が PROCESSCREATION に等しいイベントの場合のみです。 |
|
| read_only_udm.principal.resource.attribute.labels.key | 値は、meta.event.name が PROCESSCREATION に等しいイベントの場合、src.process.displayName、src.process.uid、isRedirectCmdProcessor、isNative64Bit、isStorylineRoot、signedStatus、src process subsystem、src process integrityLevel、childProcCount に設定されます。 |
|
| read_only_udm.principal.resource.attribute.labels.value | この値は、未加工ログの対応するフィールドから取得されます。ただし、この値が取得されるのは、「meta.event.name」が PROCESSCREATION に等しいイベントの場合のみです。 |
|
| read_only_udm.target.user.userid | この値は、未加工ログの「tgt.process.uid」フィールドから取得されます。ただし、この値が取得されるのは、「meta.event.name」が PROCESSCREATION に等しいイベントの場合のみです。 |
|
| read_only_udm.target.user.user_display_name | この値は、未加工ログの「tgt.process.displayName」フィールドから取得されます。ただし、この値が取得されるのは、「meta.event.name」が PROCESSCREATION に等しいイベントの場合のみです。 |
|
| read_only_udm.target.resource.attribute.labels.key | 値は、meta.event.name が PROCESSCREATION に等しいイベントの場合、isRedirectCmdProcessor、isNative64Bit、isStorylineRoot、signedStatus、file_isSigned、tgt process subsystem、または tgt process integrityLevel に設定されます。 |
|
| read_only_udm.target.resource.attribute.labels.value | この値は、未加工ログの対応するフィールドから取得されます。ただし、この値が取得されるのは、「meta.event.name」が PROCESSCREATION に等しいイベントの場合のみです。 |
|
| read_only_udm.security_result.about.resource.attribute.labels.key | 値は、meta.event.name が PROCESSCREATION に等しいイベントの場合、tgt.process.storyline.id、endpoint_type、packet_id、src.process.storyline.id、または src.process.parent.storyline.id に設定されます。 |
|
| read_only_udm.security_result.about.resource.attribute.labels.value | この値は、未加工ログの対応するフィールドから取得され、ストーリーライン ID の場合は ID: が接頭辞として追加されます(ただし、'meta.event.name' が PROCESSCREATION に等しいイベントに限られます)。 |
|
| read_only_udm.security_result.category_details | 値は、meta.event.name が PROCESSCREATION のイベントでは security に設定されます。 |
|
| read_only_udm.target.asset.product_object_id | この値は、未加工ログの「AdapterName」フィールドから取得されます。ただし、この値が取得されるのは、「meta.event.name」が EVENTLOG に等しいイベントの場合のみです。 |
|
| security_result.about.resource.attribute.labels.key | 値は、meta.event.name が EVENTLOG に等しいイベントの場合、TimeCreated SystemTime、EventID、Task、Channel、ProviderGuid、RecordNumber、SourceName、endpoint_type、packet_id に設定されます。 |
|
| security_result.detection_fields.key | 値は、EVENTLOG に等しい「meta.event.name」と空ではない「ActivityID」フィールドを持つイベントの場合、Activity ID に設定されます。 |
|
| security_result.detection_fields.value | この値は、未加工ログの「ActivityID」フィールドから取得されます。ただし、この値が取得されるのは、「meta.event.name」が EVENTLOG で、空ではない「ActivityID」フィールドを持つイベントに限られます。 |
変更点
2023-09-06
機能強化:
tgt.process.storyline.idのマッピングをtarget.process.product_specific_process_idからsecurity_result.about.resource.attribute.labelsに変更しました。src.process.storyline.idのマッピングをprincipal.process.product_specific_process_idからsecurity_result.about.resource.attribute.labelsに変更しました。src.process.parent.storyline.idのマッピングをprincipal.parent.process.product_specific_process_idからsecurity_result.about.resource.attribute.labelsに変更しました。
2023-07-31
機能強化:
XMLデータを含むログを処理しました。
2023-04-09
機能強化:
event.typeがProcess Creationの場合、metadata.event_typeはPROCESS_LAUNCHにマッピングされます。event.typeがDuplicate Process Handleの場合、metadata.event_typeはPROCESS_OPENにマッピングされます。event.typeがDuplicate Thread Handleの場合、metadata.event_typeはPROCESS_OPENにマッピングされます。event.typeがOpen Remote Process Handleの場合、metadata.event_typeはPROCESS_OPENにマッピングされます。event.typeがRemote Thread Creationの場合、metadata.event_typeはPROCESS_LAUNCHにマッピングされます。event.typeがCommand Scriptの場合、metadata.event_typeはFILE_UNCATEGORIZEDにマッピングされます。event.typeがIP Connectの場合、metadata.event_typeはNETWORK_CONNECTIONにマッピングされます。event.typeがIP Listenの場合、metadata.event_typeはNETWORK_UNCATEGORIZEDにマッピングされます。event.typeがFile ModIficationの場合、metadata.event_typeはFILE_MODIfICATIONにマッピングされます。event.typeがFile Creationの場合、metadata.event_typeはFILE_CREATIONにマッピングされます。event.typeがFile Scanの場合、metadata.event_typeはFILE_UNCATEGORIZEDにマッピングされます。event.typeがFile Deletionの場合、metadata.event_typeはFILE_DELETIONにマッピングされます。event.typeがFile Renameの場合、metadata.event_typeはFILE_MODIfICATIONにマッピングされます。event.typeがPre Execution Detectionの場合、metadata.event_typeはFILE_UNCATEGORIZEDにマッピングされます。event.typeがLoginの場合、metadata.event_typeはUSER_LOGINにマッピングされます。event.typeがLogoutの場合、metadata.event_typeはUSER_LOGOUTにマッピングされます。event.typeがGETの場合、metadata.event_typeはNETWORK_HTTPにマッピングされます。event.typeがOPTIONSの場合、metadata.event_typeはNETWORK_HTTPにマッピングされます。event.typeがPOSTの場合、metadata.event_typeはNETWORK_HTTPにマッピングされます。event.typeがPUTの場合、metadata.event_typeはNETWORK_HTTPにマッピングされます。event.typeがDELETEの場合、metadata.event_typeはNETWORK_HTTPにマッピングされます。event.typeがCONNECTの場合、metadata.event_typeはNETWORK_HTTPにマッピングされます。event.typeがHEADの場合、metadata.event_typeはNETWORK_HTTPにマッピングされます。event.typeがNot Reportedの場合、metadata.event_typeはSTATUS_UNCATEGORIZEDにマッピングされます。event.typeがDNS Resolvedの場合、metadata.event_typeはNETWORK_DNSにマッピングされます。event.typeがDNS Unresolvedの場合、metadata.event_typeはNETWORK_DNSにマッピングされます。event.typeがTask Registerの場合、metadata.event_typeはSCHEDULED_TASK_CREATIONにマッピングされます。event.typeがTask Updateの場合、metadata.event_typeはSCHEDULED_TASK_MODIfICATIONにマッピングされます。event.typeがTask Startの場合、metadata.event_typeはSCHEDULED_TASK_UNCATEGORIZEDにマッピングされます。event.typeがTask Triggerの場合、metadata.event_typeはSCHEDULED_TASK_UNCATEGORIZEDにマッピングされます。event.typeがTask Deleteの場合、metadata.event_typeはSCHEDULED_TASK_DELETIONにマッピングされます。event.typeがRegistry Key Createの場合、metadata.event_typeはREGISTRY_CREATIONにマッピングされます。event.typeがRegistry Key Renameの場合、metadata.event_typeはREGISTRY_MODIfICATIONにマッピングされます。event.typeがRegistry Key Deleteの場合、metadata.event_typeはREGISTRY_DELETIONにマッピングされます。event.typeがRegistry Key Exportの場合、metadata.event_typeはREGISTRY_UNCATEGORIZEDにマッピングされます。event.typeがRegistry Key Security Changedの場合、metadata.event_typeはREGISTRY_MODIfICATIONにマッピングされます。event.typeがRegistry Key Importの場合、metadata.event_typeはREGISTRY_CREATIONにマッピングされます。event.typeがRegistry Value ModIfiedの場合、metadata.event_typeはREGISTRY_MODIfICATIONにマッピングされます。event.typeがRegistry Value Createの場合、metadata.event_typeはREGISTRY_CREATIONにマッピングされます。event.typeがRegistry Value Deleteの場合、metadata.event_typeはREGISTRY_DELETIONにマッピングされます。event.typeがBehavioral Indicatorsの場合、metadata.event_typeはSCAN_UNCATEGORIZEDにマッピングされます。event.typeがModule Loadの場合、metadata.event_typeはPROCESS_MODULE_LOADにマッピングされます。event.typeがThreat Intelligence Indicatorsの場合、metadata.event_typeはSCAN_UNCATEGORIZEDにマッピングされます。event.typeがNamed Pipe Creationの場合、metadata.event_typeはPROCESS_UNCATEGORIZEDにマッピングされます。event.typeがNamed Pipe Connectionの場合、metadata.event_typeはPROCESS_UNCATEGORIZEDにマッピングされます。event.typeがDriver Loadの場合、metadata.event_typeはPROCESS_MODULE_LOADにマッピングされます。
2023-02-13
機能強化:
endpoint.osをprincipal.platformにマッピングしました。endpoint.nameをtarget.hostnameにマッピングしました。src.process.pidをprincipal.process.pidにマッピングしました。src.process.cmdlineをprincipal.process.command_lineにマッピングしました。src.process.image.pathをprincipal.process.file.full_pathにマッピングしました。src.process.image.sha1をprincipal.process.file.sha1にマッピングしました。src.process.eUserUidをmetadata.ingestion_labelsにマッピングしました。src.process.lUserUidをmetadata.ingestion_labelsにマッピングしました。src.process.uidをprincipal.user.useridにマッピングしました。src.process.displayNameをprincipal.user.user_display_nameにマッピングしました。src.process.isRedirectCmdProcessor、src.process.isNative64Bit、src.process.isStorylineRoot、src.process.signedStatus、src.file.isSigned、src.process.subsystem、src.process.integrityLevel、src.process.tgtFileCreationCount、src.process.childProcCount、src.process.indicatorBootConfigurationUpdateCount、src.process.indicatorEvasionCount、src.process.indicatorExploitationCount、src.process.indicatorGeneralCount、src.process.indicatorInfostealerCount、src.process.moduleCountをprincipal.resource.attribute.labelsにマッピングしました。src.process.image.md5をprincipal.process.file.md5にマッピングしました。agent.uuidをprincipal.asset.asset_idにマッピングしました。agent.versionをmetadata.product_versionにマッピングしました。site.idをprincipal.namespaceにマッピングしました。site.nameをprincipal.location.nameにマッピングしました。trace.idをmetadata.product_log_idにマッピングしました。dataSource.categoryをsecurity_result.category_detailsにマッピングしました。packet.idをabout.resource.attribute.labelsにマッピングしました。mgmt.url、endpoint.typeをmetadata.url_back_to_productにマッピングしました。tgt.process.image.sha1をtarget.process.file.sha1にマッピングしました。tgt.process.image.pathをtarget.process.file.full_pathにマッピングしました。tgt.process.pidをtarget.process.pidにマッピングしました。tgt.process.uidをtarget.user.useridにマッピングしました。tgt.process.cmdlineをtarget.process.command_lineにマッピングしました。tgt.process.displayNameをtarget.user.user_display_nameにマッピングしました。tgt.process.image.md5をtarget.process.file.md5にマッピングしました。src.process.parent.image.sha256をprincipal.process.file.sha256にマッピングしました。tgt.process.image.sha256をtarget.process.file.sha256にマッピングしました。tgt.process.sessionIdをnetwork.session_idにマッピングしました。tgt.process.storyline.idをtarget.process.product_specific_process_idにマッピングしました。tgt.process.isRedirectCmdProcessor、tgt.process.isNative64Bit、tgt.process.isStorylineRoot、tgt.process.signedStatus、tgt.file.isSigned、tgt.process.subsystem、tgt.process.integrityLevel、tgt.process.publisherをtarget.resource.attribute.labelsにマッピングしました。prod_event_typeをmetadata.product_event_typeにマッピングしました。
2022-09-09
機能強化:
event_type= null でログのドロップを解除しました。meta.os_version、meta.os_name、meta.uuid、meta.computer_name、meta.os_revisionの null チェックを追加しました。- 64 バイトの上限を超えた場合に、
*.targetFile.hashes.sha1と*.source.executable.hashes.sha1のサイズを 64 バイトに縮小しました。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。