SentinelOne Deep Visibility のログを収集する
このドキュメントでは、Cloud Funnel を使用して SentinelOne Deep Visibility ログを Google Security Operations にエクスポートし、ログを Google Cloud Storage にエクスポートする方法について説明します。パーサーは、未加工の JSON 形式のセキュリティ イベントログを UDM に準拠した構造化形式に変換します。まず、一連の変数を初期化してから、イベントタイプを抽出して JSON ペイロードを解析し、関連するフィールドを UDM スキーマにマッピングします。Windows イベントログは個別に処理します。
始める前に
次の前提条件を満たしていることを確認します。
- Google SecOps インスタンス
- Google Cloudへの特権アクセス
- 環境に設定された SentinelOne Deep Visibility
- SentinelOne への特権アクセス
Google Cloud Storage バケットを作成する
- Google Cloud コンソールにログインします。
[Cloud Storage バケット] のページに移動します。
[作成] をクリックします。
[バケットの作成] ページでユーザーのバケット情報を入力します。以下のステップでは、操作を完了した後に [続行] をクリックして、次のステップに進みます。
[始める] セクションで、次の操作を行います。
- バケット名の要件を満たす一意の名前を入力します(例: sentinelone-deepvisibility)。
階層名前空間を有効にするには、展開矢印をクリックして [Optimize for file oriented and data-intensive workloads] セクションを開き、[このバケットで階層的な名前空間を有効にする] を選択します。
バケットラベルを追加するには、展開矢印をクリックして [ラベル] セクションを開きます。
[ラベルを追加] をクリックし、ラベルのキーと値を指定します。
[データの保存場所の選択] セクションで、次の操作を行います。
- ロケーション タイプを選択してください。
ロケーション タイプのメニューを使用して、バケット内のオブジェクト データが永続的に保存されるロケーションを選択します。
クロスバケット レプリケーションを設定するには、[クロスバケット レプリケーションを設定する] セクションを開きます。
[データのストレージ クラスを選択する] セクションで、バケットのデフォルトのストレージ クラスを選択します。あるいは、Autoclass を選択して、バケットデータのストレージ クラスを自動的に管理します。
[オブジェクトへのアクセスを制御する方法を選択する] セクションで、[なし] を選択して公開アクセスの防止を適用し、バケットのオブジェクトの [アクセス制御モデル] を選択します。
[オブジェクト データを保護する方法を選択する] セクションで、次の操作を行います。
- [データ保護] で、バケットに設定するオプションを選択します。
- オブジェクト データの暗号化方法を選択するには、[データ暗号化] というラベルの付いた展開矢印をクリックし、データの暗号化方法を選択します。
[作成] をクリックします。
Google Cloud サービス アカウントを作成する
- [IAM と管理] > [サービス アカウント] に移動します。
- 新しいサービス アカウントを作成します。
- わかりやすい名前を付けます(sentinelone-dv-logs など)。
- 前の手順で作成した Cloud Storage バケットに対する ストレージ オブジェクト作成者のロールをサービス アカウントに付与します。
- サービス アカウント用の SSH キーを作成します。
- サービス アカウント用の JSON キーファイルをダウンロードします。このファイルは安全に保管してください。
SentinelOne DeepVisibility で Cloud Funnel を構成する方法
- SentinelOne DeepVisibility にログインします。
- [Configure] > [Policy & Settings] をクリックします。
- [Singularity Data Lake] セクションで、[Cloud Funnel] をクリックします。
- 次の構成情報を提供してください。
- Cloud Provider: Google Cloudを選択します。
- Bucket Name: SentinelOne DeepVisibility ログの取り込み用に作成した Cloud Storage バケットの名前を入力します。
- テレメトリー ストリーミング: [有効にする] を選択します。
- クエリフィルタ: Cloud Storage バケットにデータを送信する必要があるエージェントを含むクエリを作成します。
- [検証] をクリックします。
- 含める項目: すべての項目を選択します。
- [保存] をクリックします。
フィードを設定する
Google SecOps プラットフォームでフィードを設定するには、次の 2 つのエントリ ポイントがあります。
- [SIEM 設定] > [フィード]
- [コンテンツ ハブ] > [コンテンツ パック]
[SIEM 設定] > [フィード] でフィードを設定します。
このプロダクト ファミリー内の異なるログタイプに対して複数のフィードを構成するには、プロダクトごとにフィードを構成するをご覧ください。
1 つのフィードを設定する手順は次のとおりです。
- [SIEM 設定] > [フィード] に移動します。
- [Add New Feed] をクリックします。
- 次のページで [単一フィードを設定] をクリックします。
- [フィード名] フィールドに、フィードの名前を入力します(例: SentinelOne DV Logs)。
- [Source type] として [Google Cloud Storage] を選択します。
- [Log type] として [SentinelOne Deep Visibility] を選択します。
- [Chronicle サービス アカウント] として [サービス アカウントを取得する] をクリックします。
- [次へ] をクリックします。
次の入力パラメータの値を指定します。
- Storage Bucket URI:
gs://my-bucket/<value>
形式の Google Cloud Storage バケット URL。 - URI Is A: [サブディレクトリを含むディレクトリ] を選択します。
Source deletion options: 取り込みの設定に応じて削除オプションを選択します。
Asset namespace: アセットの名前空間。
Ingestion labels: このフィードのイベントに適用されるラベル。
- Storage Bucket URI:
[次へ] をクリックします。
[Finalize] 画面で新しいフィードの設定を確認し、[送信] をクリックします。
Content Hub からフィードを設定する
次のフィールドに値を指定します。
- ストレージ バケット URI: Google Cloud Storage バケットのソース URI。
- URI is a: ログストリームの構成([単一ファイル] | [ディレクトリ] | [サブディレクトリを含むディレクトリ])に応じて URI TYPE を選択します。
- Source deletion options: 取り込みの設定に応じて削除オプションを選択します。
詳細オプション
- フィード名: フィードを識別する事前入力された値。
- ソースタイプ: Google SecOps にログを収集するために使用される方法。
- Asset Namespace: フィードに関連付けられている名前空間。
- Ingestion Labels: このフィードのすべてのイベントに適用されるラベル。
UDM マッピング テーブル
ログフィールド | UDM マッピング | ロジック |
---|---|---|
AdapterName | security_result.about.resource.attribute.labels.value | この値は、未加工ログの「AdapterName」フィールドから取得されます。 |
AdapterSuffixName | security_result.about.resource.attribute.labels.value | この値は、未加工ログの「AdapterSuffixName」フィールドから取得されます。 |
agent_version | read_only_udm.metadata.product_version | この値は、未加工ログの「meta.agent_version」フィールドから取得されます。 |
チャンネル | security_result.about.resource.attribute.labels.value | この値は、未加工ログの「Channel」フィールドから取得されます。 |
commandLine | read_only_udm.principal.process.command_line | この値は、未加工ログの「event.Event. |
computer_name | read_only_udm.principal.hostname | この値は、未加工ログの「meta.computer_name」フィールドから取得されます。 |
destinationAddress.address | read_only_udm.target.ip | この値は、未加工ログの「event.Event.Tcpv4.destinationAddress.address」フィールドから取得されます。 |
destinationAddress.port | read_only_udm.target.port | この値は、未加工ログの「event.Event.Tcpv4.destinationAddress.port」フィールドから取得されます。 |
DnsServerList | read_only_udm.principal.ip | この値は、未加工ログの「DnsServerList」フィールドから取得されます。 |
ErrorCode_new | security_result.detection_fields.value | この値は、未加工ログの「ErrorCode_new」フィールドから取得されます。 |
EventID | security_result.about.resource.attribute.labels.value | この値は、未加工ログの「EventID」フィールドから取得されます。 |
event.Event.Dns.query | read_only_udm.network.dns.questions.name | この値は、未加工ログの「event.Event.Dns.query」フィールドから取得されます。 |
event.Event.Dns.results | read_only_udm.network.dns.answers.data | この値は、未加工ログの「event.Event.Dns.results」フィールドから取得されます。 |
event.Event.Dns.source.fullPid.pid | read_only_udm.principal.process.pid | この値は、未加工ログの「event.Event.Dns.source.fullPid.pid」フィールドから取得されます。 |
event.Event.Dns.source.user.name | read_only_udm.principal.user.userid | この値は、未加工ログの「event.Event.Dns.source.user.name」フィールドから取得されます。 |
event.Event.FileCreation.source.fullPid.pid | read_only_udm.principal.process.pid | この値は、未加工ログの「event.Event.FileCreation.source.fullPid.pid」フィールドから取得されます。 |
event.Event.FileCreation.source.user.name | read_only_udm.principal.user.userid | この値は、未加工ログの「event.Event.FileCreation.source.user.name」フィールドから取得されます。 |
event.Event.FileCreation.targetFile.path | read_only_udm.target.file.full_path | この値は、未加工ログの「event.Event.FileCreation.targetFile.path」フィールドから取得されます。 |
event.Event.FileDeletion.source.fullPid.pid | read_only_udm.principal.process.pid | この値は、未加工ログの「event.Event.FileDeletion.source.fullPid.pid」フィールドから取得されます。 |
event.Event.FileDeletion.source.user.name | read_only_udm.principal.user.userid | この値は、未加工ログの「event.Event.FileDeletion.source.user.name」フィールドから取得されます。 |
event.Event.FileDeletion.targetFile.path | read_only_udm.target.file.full_path | この値は、未加工ログの「event.Event.FileDeletion.targetFile.path」フィールドから取得されます。 |
event.Event.FileModification.file.path | read_only_udm.target.file.full_path | この値は、未加工ログの「event.Event.FileModification.file.path」フィールドから取得されます。 |
event.Event.FileModification.source.user.name | read_only_udm.principal.user.userid | この値は、未加工ログの「event.Event.FileModification.source.user.name」フィールドから取得されます。 |
event.Event.FileModification.targetFile.path | read_only_udm.target.file.full_path | この値は、未加工ログの「event.Event.FileModification.targetFile.path」フィールドから取得されます。 |
event.Event.Http.source.user.name | read_only_udm.principal.user.userid | この値は、未加工ログの「event.Event.Http.source.user.name」フィールドから取得されます。 |
event.Event.Http.url | read_only_udm.target.url | この値は、未加工ログの「event.Event.Http.url」フィールドから取得されます。 |
event.Event.ProcessCreation.process.user.name | read_only_udm.principal.user.userid | この値は、未加工ログの「event.Event.ProcessCreation.process.user.name」フィールドから取得されます。 |
event.Event.ProcessCreation.source.user.name | read_only_udm.principal.user.userid | この値は、未加工ログの「event.Event.ProcessCreation.source.user.name」フィールドから取得されます。 |
event.Event.ProcessExit.source.user.name | read_only_udm.principal.user.userid | この値は、未加工ログの「event.Event.ProcessExit.source.user.name」フィールドから取得されます。 |
event.Event.ProcessTermination.source.user.name | read_only_udm.principal.user.userid | この値は、未加工ログの「event.Event.ProcessTermination.source.user.name」フィールドから取得されます。 |
event.Event.RegKeyCreate.source.fullPid.pid | read_only_udm.principal.process.pid | この値は、未加工ログの「event.Event.RegKeyCreate.source.fullPid.pid」フィールドから取得されます。 |
event.Event.RegKeyCreate.source.user.name | read_only_udm.principal.user.userid | この値は、未加工ログの「event.Event.RegKeyCreate.source.user.name」フィールドから取得されます。 |
event.Event.RegKeyDelete.source.user.name | read_only_udm.principal.user.userid | この値は、未加工ログの「event.Event.RegKeyDelete.source.user.name」フィールドから取得されます。 |
event.Event.RegValueModified.source.user.name | read_only_udm.principal.user.userid | この値は、未加工ログの「event.Event.RegValueModified.source.user.name」フィールドから取得されます。 |
event.Event.SchedTaskDelete.source.user.name | read_only_udm.principal.user.userid | この値は、未加工ログの「event.Event.SchedTaskDelete.source.user.name」フィールドから取得されます。 |
event.Event.SchedTaskRegister.source.user.name | read_only_udm.principal.user.userid | この値は、未加工ログの「event.Event.SchedTaskRegister.source.user.name」フィールドから取得されます。 |
event.Event.SchedTaskStart.source.user.name | read_only_udm.principal.user.userid | この値は、未加工ログの「event.Event.SchedTaskStart.source.user.name」フィールドから取得されます。 |
event.Event.SchedTaskTrigger.source.fullPid.pid | read_only_udm.principal.process.pid | この値は、未加工ログの「event.Event.SchedTaskTrigger.source.fullPid.pid」フィールドから取得されます。 |
event.Event.SchedTaskTrigger.source.user.name | read_only_udm.principal.user.userid | この値は、未加工ログの「event.Event.SchedTaskTrigger.source.user.name」フィールドから取得されます。 |
event.Event.Tcpv4.source.fullPid.pid | read_only_udm.principal.process.pid | この値は、未加工ログの「event.Event.Tcpv4.source.fullPid.pid」フィールドから取得されます。 |
event.Event.Tcpv4.source.user.name | read_only_udm.principal.user.userid | この値は、未加工ログの「event.Event.Tcpv4.source.user.name」フィールドから取得されます。 |
event.Event.Tcpv4Listen.local.address | read_only_udm.principal.ip | この値は、未加工ログの「event.Event.Tcpv4Listen.local.address」フィールドから取得されます。 |
event.timestamp.millisecondsSinceEpoch | read_only_udm.metadata.event_timestamp.seconds | この値は、未加工ログの「event.timestamp.millisecondsSinceEpoch」フィールドから取得され、秒単位に変換されます。 |
event.timestamp.millisecondsSinceEpoch | read_only_udm.metadata.event_timestamp.nanos | この値は、未加工ログの「event.timestamp.millisecondsSinceEpoch」フィールドから取得され、ナノ秒に変換されます。 |
event.timestamp.millisecondsSinceEpoch | security_result.about.resource.attribute.labels.value | この値は、未加工ログの「event.timestamp.millisecondsSinceEpoch」フィールドから取得され、security_result.about.resource.attribute.labels 配列のラベルの値として使用されます。 |
event_type | read_only_udm.metadata.product_event_type | 値は、grok パターンを使用して未加工ログの「message」フィールドから抽出されます。 |
executable.hashes.md5 | read_only_udm.principal.process.file.md5 | この値は、未加工ログの「event.Event. |
executable.hashes.sha1 | read_only_udm.principal.process.file.sha1 | この値は、未加工ログの「event.Event. |
executable.hashes.sha256 | read_only_udm.principal.process.file.sha256 | この値は、未加工ログの「event.Event. |
executable.path | read_only_udm.principal.process.file.full_path | この値は、未加工ログの「event.Event. |
executable.sizeBytes | read_only_udm.principal.process.file.size | この値は、未加工ログの「event.Event. |
fullPid.pid | read_only_udm.principal.process.pid | この値は、未加工ログの「event.Event. |
hashes.md5 | read_only_udm.target.file.md5 | この値は、未加工ログの「event.Event.ProcessCreation.hashes.md5」フィールドから取得されます。 |
hashes.sha1 | read_only_udm.target.file.sha1 | この値は、未加工ログの「event.Event.ProcessCreation.hashes.sha1」フィールドから取得されます。 |
hashes.sha256 | read_only_udm.target.file.sha256 | この値は、未加工ログの「event.Event.ProcessCreation.hashes.sha256」フィールドから取得されます。 |
IpAddress | read_only_udm.target.ip | この値は、未加工ログの「IpAddress」フィールドから取得されます。 |
local.address | read_only_udm.principal.ip | この値は、未加工ログの「event.Event.Tcpv4Listen.local.address」フィールドから取得されます。 |
local.port | read_only_udm.principal.port | この値は、未加工ログの「event.Event.Tcpv4Listen.local.port」フィールドから取得されます。 |
log_type | read_only_udm.metadata.log_type | この値は、未加工ログの「log_type」フィールドから取得されます。 |
meta.agent_version | read_only_udm.metadata.product_version | この値は、未加工ログの「meta.agent_version」フィールドから取得されます。 |
meta.computer_name | read_only_udm.principal.hostname | この値は、未加工ログの「meta.computer_name」フィールドから取得されます。 |
meta.os_family | read_only_udm.principal.platform | この値は、未加工ログの「meta.os_family」フィールドから取得され、対応するプラットフォーム(windows は Windows、osx は Mac、linux は Linux に置き換えます)。 |
meta.os_name | read_only_udm.principal.platform_version | この値は、未加工ログの「meta.os_name」フィールドから取得されます。 |
meta.os_revision | read_only_udm.principal.platform_patch_level | この値は、未加工ログの「meta.os_revision」フィールドから取得されます。 |
meta.uuid | read_only_udm.principal.asset_id | この値は、未加工ログの「meta.uuid」フィールドから取得され、SENTINELONE: が先頭に追加されます。 |
name | read_only_udm.principal.application | この値は、未加工ログの「event.Event. |
parent.executable.hashes.md5 | read_only_udm.target.process.parent_process.file.md5 | この値は、未加工ログの「event.Event. |
parent.executable.hashes.sha1 | read_only_udm.target.process.parent_process.file.sha1 | この値は、未加工ログの「event.Event. |
parent.executable.hashes.sha256 | read_only_udm.target.process.parent_process.file.sha256 | この値は、未加工ログの「event.Event. |
parent.executable.path | read_only_udm.target.process.parent_process.file.full_path | この値は、未加工ログの「event.Event. |
parent.fullPid.pid | read_only_udm.target.process.parent_process.pid | この値は、未加工ログの「event.Event. |
パス | read_only_udm.principal.process.file.full_path | この値は、未加工ログの「event.Event. |
process.commandLine | read_only_udm.target.process.command_line | この値は、未加工ログの「event.Event.ProcessCreation.process.commandLine」フィールドから取得されます。 |
process.fullPid.pid | read_only_udm.target.process.pid | この値は、未加工ログの「event.Event.ProcessCreation.process.fullPid.pid」フィールドから取得されます。 |
process.parent.fullPid.pid | read_only_udm.target.process.parent_process.pid | この値は、未加工ログの「event.Event.ProcessCreation.process.parent.fullPid.pid」フィールドから取得されます。 |
ProviderGuid | security_result.about.resource.attribute.labels.value | この値は、未加工ログの「ProviderGuid」フィールドから取得され、中かっこは削除されます。 |
クエリ | read_only_udm.network.dns.questions.name | この値は、未加工ログの「event.Event.Dns.query」フィールドから取得されます。 |
RecordNumber | security_result.about.resource.attribute.labels.value | この値は、未加工ログの「RecordNumber」フィールドから取得されます。 |
regKey.path | read_only_udm.target.registry.registry_key | この値は、未加工ログの「event.Event.RegKeyCreate.regKey.path」または「event.Event.RegKeyDelete.regKey.path」フィールドから取得されます。 |
regValue.path | read_only_udm.target.registry.registry_key | この値は、未加工ログの「event.Event.RegValueDelete.regValue.path」または「event.Event.RegValueModified.regValue.path」フィールドから取得されます。 |
結果 | read_only_udm.network.dns.answers.data | この値は、未加工ログの「event.Event.Dns.results」フィールドから取得されます。 |
UpdateServer を送信しました | intermediary.hostname | この値は、未加工ログの「Sent UpdateServer」フィールドから取得されます。 |
seq_id | このフィールドは UDM に直接マッピングされません。 | |
signature.Status.Signed.identity | このフィールドは UDM に直接マッピングされません。 | |
sizeBytes | read_only_udm.principal.process.file.size | この値は、未加工ログの「event.Event. |
sourceAddress.address | read_only_udm.principal.ip | この値は、未加工ログの「event.Event.Tcpv4.sourceAddress.address」フィールドから取得されます。 |
sourceAddress.port | read_only_udm.principal.port | この値は、未加工ログの「event.Event.Tcpv4.sourceAddress.port」フィールドから取得されます。 |
SourceName | security_result.about.resource.attribute.labels.value | この値は、未加工ログの「SourceName」フィールドから取得されます。 |
ステータス | このフィールドは UDM に直接マッピングされません。 | |
taskName | read_only_udm.target.resource.name | この値は、未加工ログの「event.Event.SchedTaskStart.taskName」、「event.Event.SchedTaskTrigger.taskName」、「event.Event.SchedTaskDelete.taskName」フィールドから取得されます。 |
targetFile.hashes.md5 | read_only_udm.target.file.md5 | この値は、未加工ログの「event.Event.FileDeletion.targetFile.hashes.md5」または「event.Event.SchedTaskStart.targetFile.hashes.md5」フィールドから取得されます。 |
targetFile.hashes.sha1 | read_only_udm.target.file.sha1 | この値は、未加工ログの「event.Event.FileDeletion.targetFile.hashes.sha1」または「event.Event.SchedTaskStart.targetFile.hashes.sha1」フィールドから取得されます。 |
targetFile.hashes.sha256 | read_only_udm.target.file.sha256 | この値は、未加工ログの「event.Event.FileDeletion.targetFile.hashes.sha256」または「event.Event.SchedTaskStart.targetFile.hashes.sha256」フィールドから取得されます。 |
targetFile.path | read_only_udm.target.file.full_path | この値は、未加工ログの「event.Event.FileDeletion.targetFile.path」または「event.Event.SchedTaskStart.targetFile.path」フィールドから取得されます。 |
タスク | security_result.about.resource.attribute.labels.value | この値は、未加工ログの「Task」フィールドから取得されます。 |
timestamp.millisecondsSinceEpoch | read_only_udm.metadata.event_timestamp.seconds | この値は、未加工ログの「event.timestamp.millisecondsSinceEpoch」フィールドから取得され、秒単位に変換されます。 |
timestamp.millisecondsSinceEpoch | read_only_udm.metadata.event_timestamp.nanos | この値は、未加工ログの「event.timestamp.millisecondsSinceEpoch」フィールドから取得され、ナノ秒に変換されます。 |
trace_id | このフィールドは UDM に直接マッピングされません。 | |
triggerType | このフィールドは UDM に直接マッピングされません。 | |
trueContext | このフィールドは UDM に直接マッピングされません。 | |
trueContext.key | このフィールドは UDM に直接マッピングされません。 | |
trueContext.key.value | このフィールドは UDM に直接マッピングされません。 | |
type | read_only_udm.network.dns.answers.type | この値は、未加工ログの「event.Event.Dns.results」フィールドから取得され、正規表現を使用して抽出されます。 |
URL | read_only_udm.target.url | この値は、未加工ログの「event.Event.Http.url」フィールドから取得されます。 |
user.name | read_only_udm.principal.user.userid | この値は、未加工ログの「event.Event. |
user.sid | read_only_udm.principal.user.windows_sid | この値は、未加工ログの「event.Event. |
UserID | read_only_udm.target.user.windows_sid | この値は、未加工ログの「UserID」フィールドから取得されます。ただし、Windows SID パターンと一致する場合のみです。 |
UserSid | read_only_udm.target.user.windows_sid | この値は、未加工ログの「UserSid」フィールドから取得されます。ただし、Windows SID パターンと一致する場合のみです。 |
valueType | このフィールドは UDM に直接マッピングされません。 | |
winEventLog.channel | security_result.about.resource.attribute.labels.value | この値は、未加工ログの「winEventLog.channel」フィールドから取得されます。 |
winEventLog.description | このフィールドは UDM に直接マッピングされません。 | |
winEventLog.id | security_result.about.resource.attribute.labels.value | この値は、未加工ログの「winEventLog.id」フィールドから取得されます。 |
winEventLog.level | security_result.severity | この値は、未加工ログの「winEventLog.level」フィールドから取得され、対応する重大度レベルにマッピングされます(例: Warning から MEDIUM に変更)。 |
winEventLog.providerName | security_result.about.resource.attribute.labels.value | この値は、未加工ログの「winEventLog.providerName」フィールドから取得されます。 |
winEventLog.xml | このフィールドは UDM に直接マッピングされません。 | |
read_only_udm.metadata.event_type | この値は、event_type フィールドに基づいて決定され、対応する UDM イベントタイプにマッピングされます。 | |
read_only_udm.metadata.vendor_name | 値は SentinelOne に設定されています。 |
|
read_only_udm.metadata.product_name | 値は Deep Visibility に設定されています。 |
|
read_only_udm.metadata.product_log_id | この値は、未加工ログの「trace.id」フィールドから取得されます。ただし、この値が取得されるのは、「meta.event.name」が PROCESSCREATION に等しいイベントの場合のみです。 |
|
read_only_udm.metadata.product_deployment_id | この値は、未加工ログの「account.id」フィールドから取得されます。ただし、これは「meta.event.name」が PROCESSCREATION に等しいイベントに限られます。 |
|
read_only_udm.metadata.url_back_to_product | この値は、未加工ログの「mgmt.url」フィールドから取得されます。ただし、この値が取得されるのは、「meta.event.name」が PROCESSCREATION に等しいイベントの場合のみです。 |
|
read_only_udm.metadata.ingestion_labels.key | この値は、meta.event.name が PROCESSCREATION に等しいイベントの場合、Process eUserUid または Process lUserUid に設定されます。 |
|
read_only_udm.metadata.ingestion_labels.value | この値は、未加工ログの「src.process.eUserUid」または「src.process.lUserUid」フィールドから取得されます。ただし、この値が取得されるのは、「meta.event.name」が PROCESSCREATION に等しいイベントの場合のみです。 |
|
read_only_udm.principal.administrative_domain | 未加工ログの「event.Event. |
|
read_only_udm.target.process.parent_process.command_line | この値は、未加工ログの「event.Event. |
|
read_only_udm.target.file | 「event_type」が FileCreation 、FileDeletion 、FileModification 、SchedTaskStart 、ProcessCreation でない場合、空のオブジェクトが作成されます。 |
|
read_only_udm.network.ip_protocol | 値は、event_type が Tcpv4 、Tcpv4Listen 、または Http のイベントで TCP に設定されます。 |
|
read_only_udm.network.application_protocol | この値は、event_type が Dns のイベントでは DNS に設定されます。 |
|
read_only_udm.target.resource.type | 「event_type」が SchedTaskStart 、SchedTaskTrigger 、または SchedTaskDelete のイベントの場合、値は TASK に設定されます。 |
|
read_only_udm.target.resource.resource_type | 「event_type」が SchedTaskStart 、SchedTaskTrigger 、または SchedTaskDelete のイベントの場合、この値は TASK に設定されます。 |
|
read_only_udm.principal.process.product_specific_process_id | 未加工ログに「ExecutionThreadID」フィールドが存在する場合、値は ExecutionThreadID:<ExecutionThreadID> に設定されます。 |
|
read_only_udm.principal.asset.asset_id | 未加工ログに「agent.uuid」フィールドが存在する場合、この値は Device ID:<agent.uuid> に設定されます。 |
|
read_only_udm.principal.namespace | この値は、未加工ログの「site.id」フィールドから取得されます。ただし、この値が取得されるのは、「meta.event.name」が PROCESSCREATION に等しいイベントの場合のみです。 |
|
read_only_udm.principal.location.name | この値は、未加工ログの「site.name」フィールドから取得されます。ただし、この値が取得されるのは、「meta.event.name」が PROCESSCREATION に等しいイベントの場合のみです。 |
|
read_only_udm.principal.resource.attribute.labels.key | 値は、meta.event.name が PROCESSCREATION に等しいイベントの場合、src.process.displayName 、src.process.uid 、isRedirectCmdProcessor 、isNative64Bit 、isStorylineRoot 、signedStatus 、src process subsystem 、src process integrityLevel 、childProcCount に設定されます。 |
|
read_only_udm.principal.resource.attribute.labels.value | この値は、未加工ログの対応するフィールドから取得されます。ただし、この値が取得されるのは、「meta.event.name」が PROCESSCREATION に等しいイベントの場合のみです。 |
|
read_only_udm.target.user.userid | この値は、未加工ログの「tgt.process.uid」フィールドから取得されます。ただし、この値が取得されるのは、「meta.event.name」が PROCESSCREATION に等しいイベントの場合のみです。 |
|
read_only_udm.target.user.user_display_name | この値は、未加工ログの「tgt.process.displayName」フィールドから取得されます。ただし、この値が取得されるのは、「meta.event.name」が PROCESSCREATION に等しいイベントの場合のみです。 |
|
read_only_udm.target.resource.attribute.labels.key | 値は、meta.event.name が PROCESSCREATION に等しいイベントの場合、isRedirectCmdProcessor 、isNative64Bit 、isStorylineRoot 、signedStatus 、file_isSigned 、tgt process subsystem 、または tgt process integrityLevel に設定されます。 |
|
read_only_udm.target.resource.attribute.labels.value | この値は、未加工ログの対応するフィールドから取得されます。ただし、この値が取得されるのは、「meta.event.name」が PROCESSCREATION に等しいイベントの場合のみです。 |
|
read_only_udm.security_result.about.resource.attribute.labels.key | 値は、meta.event.name が PROCESSCREATION に等しいイベントの場合、tgt.process.storyline.id 、endpoint_type 、packet_id 、src.process.storyline.id 、または src.process.parent.storyline.id に設定されます。 |
|
read_only_udm.security_result.about.resource.attribute.labels.value | この値は、未加工ログの対応するフィールドから取得され、ストーリーライン ID の場合は ID: が接頭辞として追加されます(ただし、'meta.event.name' が PROCESSCREATION に等しいイベントに限られます)。 |
|
read_only_udm.security_result.category_details | 値は、meta.event.name が PROCESSCREATION のイベントでは security に設定されます。 |
|
read_only_udm.target.asset.product_object_id | この値は、未加工ログの「AdapterName」フィールドから取得されます。ただし、この値が取得されるのは、「meta.event.name」が EVENTLOG に等しいイベントの場合のみです。 |
|
security_result.about.resource.attribute.labels.key | 値は、meta.event.name が EVENTLOG に等しいイベントの場合、TimeCreated SystemTime 、EventID 、Task 、Channel 、ProviderGuid 、RecordNumber 、SourceName 、endpoint_type 、packet_id に設定されます。 |
|
security_result.detection_fields.key | 値は、EVENTLOG に等しい「meta.event.name」と空ではない「ActivityID」フィールドを持つイベントの場合、Activity ID に設定されます。 |
|
security_result.detection_fields.value | この値は、未加工ログの「ActivityID」フィールドから取得されます。ただし、この値が取得されるのは、「meta.event.name」が EVENTLOG で、空ではない「ActivityID」フィールドを持つイベントに限られます。 |
変更点
2023-09-06
機能強化:
tgt.process.storyline.id
のマッピングをtarget.process.product_specific_process_id
からsecurity_result.about.resource.attribute.labels
に変更しました。src.process.storyline.id
のマッピングをprincipal.process.product_specific_process_id
からsecurity_result.about.resource.attribute.labels
に変更しました。src.process.parent.storyline.id
のマッピングをprincipal.parent.process.product_specific_process_id
からsecurity_result.about.resource.attribute.labels
に変更しました。
2023-07-31
機能強化:
XML
データを含むログを処理しました。
2023-04-09
機能強化:
event.type
がProcess Creation
の場合、metadata.event_type
はPROCESS_LAUNCH
にマッピングされます。event.type
がDuplicate Process Handle
の場合、metadata.event_type
はPROCESS_OPEN
にマッピングされます。event.type
がDuplicate Thread Handle
の場合、metadata.event_type
はPROCESS_OPEN
にマッピングされます。event.type
がOpen Remote Process Handle
の場合、metadata.event_type
はPROCESS_OPEN
にマッピングされます。event.type
がRemote Thread Creation
の場合、metadata.event_type
はPROCESS_LAUNCH
にマッピングされます。event.type
がCommand Script
の場合、metadata.event_type
はFILE_UNCATEGORIZED
にマッピングされます。event.type
がIP Connect
の場合、metadata.event_type
はNETWORK_CONNECTION
にマッピングされます。event.type
がIP Listen
の場合、metadata.event_type
はNETWORK_UNCATEGORIZED
にマッピングされます。event.type
がFile ModIfication
の場合、metadata.event_type
はFILE_MODIfICATION
にマッピングされます。event.type
がFile Creation
の場合、metadata.event_type
はFILE_CREATION
にマッピングされます。event.type
がFile Scan
の場合、metadata.event_type
はFILE_UNCATEGORIZED
にマッピングされます。event.type
がFile Deletion
の場合、metadata.event_type
はFILE_DELETION
にマッピングされます。event.type
がFile Rename
の場合、metadata.event_type
はFILE_MODIfICATION
にマッピングされます。event.type
がPre Execution Detection
の場合、metadata.event_type
はFILE_UNCATEGORIZED
にマッピングされます。event.type
がLogin
の場合、metadata.event_type
はUSER_LOGIN
にマッピングされます。event.type
がLogout
の場合、metadata.event_type
はUSER_LOGOUT
にマッピングされます。event.type
がGET
の場合、metadata.event_type
はNETWORK_HTTP
にマッピングされます。event.type
がOPTIONS
の場合、metadata.event_type
はNETWORK_HTTP
にマッピングされます。event.type
がPOST
の場合、metadata.event_type
はNETWORK_HTTP
にマッピングされます。event.type
がPUT
の場合、metadata.event_type
はNETWORK_HTTP
にマッピングされます。event.type
がDELETE
の場合、metadata.event_type
はNETWORK_HTTP
にマッピングされます。event.type
がCONNECT
の場合、metadata.event_type
はNETWORK_HTTP
にマッピングされます。event.type
がHEAD
の場合、metadata.event_type
はNETWORK_HTTP
にマッピングされます。event.type
がNot Reported
の場合、metadata.event_type
はSTATUS_UNCATEGORIZED
にマッピングされます。event.type
がDNS Resolved
の場合、metadata.event_type
はNETWORK_DNS
にマッピングされます。event.type
がDNS Unresolved
の場合、metadata.event_type
はNETWORK_DNS
にマッピングされます。event.type
がTask Register
の場合、metadata.event_type
はSCHEDULED_TASK_CREATION
にマッピングされます。event.type
がTask Update
の場合、metadata.event_type
はSCHEDULED_TASK_MODIfICATION
にマッピングされます。event.type
がTask Start
の場合、metadata.event_type
はSCHEDULED_TASK_UNCATEGORIZED
にマッピングされます。event.type
がTask Trigger
の場合、metadata.event_type
はSCHEDULED_TASK_UNCATEGORIZED
にマッピングされます。event.type
がTask Delete
の場合、metadata.event_type
はSCHEDULED_TASK_DELETION
にマッピングされます。event.type
がRegistry Key Create
の場合、metadata.event_type
はREGISTRY_CREATION
にマッピングされます。event.type
がRegistry Key Rename
の場合、metadata.event_type
はREGISTRY_MODIfICATION
にマッピングされます。event.type
がRegistry Key Delete
の場合、metadata.event_type
はREGISTRY_DELETION
にマッピングされます。event.type
がRegistry Key Export
の場合、metadata.event_type
はREGISTRY_UNCATEGORIZED
にマッピングされます。event.type
がRegistry Key Security Changed
の場合、metadata.event_type
はREGISTRY_MODIfICATION
にマッピングされます。event.type
がRegistry Key Import
の場合、metadata.event_type
はREGISTRY_CREATION
にマッピングされます。event.type
がRegistry Value ModIfied
の場合、metadata.event_type
はREGISTRY_MODIfICATION
にマッピングされます。event.type
がRegistry Value Create
の場合、metadata.event_type
はREGISTRY_CREATION
にマッピングされます。event.type
がRegistry Value Delete
の場合、metadata.event_type
はREGISTRY_DELETION
にマッピングされます。event.type
がBehavioral Indicators
の場合、metadata.event_type
はSCAN_UNCATEGORIZED
にマッピングされます。event.type
がModule Load
の場合、metadata.event_type
はPROCESS_MODULE_LOAD
にマッピングされます。event.type
がThreat Intelligence Indicators
の場合、metadata.event_type
はSCAN_UNCATEGORIZED
にマッピングされます。event.type
がNamed Pipe Creation
の場合、metadata.event_type
はPROCESS_UNCATEGORIZED
にマッピングされます。event.type
がNamed Pipe Connection
の場合、metadata.event_type
はPROCESS_UNCATEGORIZED
にマッピングされます。event.type
がDriver Load
の場合、metadata.event_type
はPROCESS_MODULE_LOAD
にマッピングされます。
2023-02-13
機能強化:
endpoint.os
をprincipal.platform
にマッピングしました。endpoint.name
をtarget.hostname
にマッピングしました。src.process.pid
をprincipal.process.pid
にマッピングしました。src.process.cmdline
をprincipal.process.command_line
にマッピングしました。src.process.image.path
をprincipal.process.file.full_path
にマッピングしました。src.process.image.sha1
をprincipal.process.file.sha1
にマッピングしました。src.process.eUserUid
をmetadata.ingestion_labels
にマッピングしました。src.process.lUserUid
をmetadata.ingestion_labels
にマッピングしました。src.process.uid
をprincipal.user.userid
にマッピングしました。src.process.displayName
をprincipal.user.user_display_name
にマッピングしました。src.process.isRedirectCmdProcessor
、src.process.isNative64Bit
、src.process.isStorylineRoot
、src.process.signedStatus
、src.file.isSigned
、src.process.subsystem
、src.process.integrityLevel
、src.process.tgtFileCreationCount
、src.process.childProcCount
、src.process.indicatorBootConfigurationUpdateCount
、src.process.indicatorEvasionCount
、src.process.indicatorExploitationCount
、src.process.indicatorGeneralCount
、src.process.indicatorInfostealerCount
、src.process.moduleCount
をprincipal.resource.attribute.labels
にマッピングしました。src.process.image.md5
をprincipal.process.file.md5
にマッピングしました。agent.uuid
をprincipal.asset.asset_id
にマッピングしました。agent.version
をmetadata.product_version
にマッピングしました。site.id
をprincipal.namespace
にマッピングしました。site.name
をprincipal.location.name
にマッピングしました。trace.id
をmetadata.product_log_id
にマッピングしました。dataSource.category
をsecurity_result.category_details
にマッピングしました。packet.id
をabout.resource.attribute.labels
にマッピングしました。mgmt.url
、endpoint.type
をmetadata.url_back_to_product
にマッピングしました。tgt.process.image.sha1
をtarget.process.file.sha1
にマッピングしました。tgt.process.image.path
をtarget.process.file.full_path
にマッピングしました。tgt.process.pid
をtarget.process.pid
にマッピングしました。tgt.process.uid
をtarget.user.userid
にマッピングしました。tgt.process.cmdline
をtarget.process.command_line
にマッピングしました。tgt.process.displayName
をtarget.user.user_display_name
にマッピングしました。tgt.process.image.md5
をtarget.process.file.md5
にマッピングしました。src.process.parent.image.sha256
をprincipal.process.file.sha256
にマッピングしました。tgt.process.image.sha256
をtarget.process.file.sha256
にマッピングしました。tgt.process.sessionId
をnetwork.session_id
にマッピングしました。tgt.process.storyline.id
をtarget.process.product_specific_process_id
にマッピングしました。tgt.process.isRedirectCmdProcessor
、tgt.process.isNative64Bit
、tgt.process.isStorylineRoot
、tgt.process.signedStatus
、tgt.file.isSigned
、tgt.process.subsystem
、tgt.process.integrityLevel
、tgt.process.publisher
をtarget.resource.attribute.labels
にマッピングしました。prod_event_type
をmetadata.product_event_type
にマッピングしました。
2022-09-09
機能強化:
event_type
= null でログのドロップを解除しました。meta.os_version
、meta.os_name
、meta.uuid
、meta.computer_name
、meta.os_revision
の null チェックを追加しました。- 64 バイトの上限を超えた場合に、
*.targetFile.hashes.sha1
と*.source.executable.hashes.sha1
のサイズを 64 バイトに縮小しました。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。