Microsoft Windows Defender ATP-Protokolle erfassen
Unterstützt in:
Google SecOps
SIEM
In diesem Dokument wird beschrieben, wie Sie Microsoft Windows Defender ATP-Logs mithilfe eines Azure-Speicherkontos in Google Security Operations erfassen. Dieser Parser verarbeitet Logs von Windows Defender ATP in den Formaten SYSLOG, XML und JSON. Die verschiedenen Felder aus diesen Formaten werden in eine einheitliche Struktur normalisiert. Dabei werden wichtige Informationen wie Ereignisdetails, Nutzerdaten, Prozessinformationen, Netzwerkaktivitäten und Sicherheitsergebnisse extrahiert und dem UDM zugeordnet. Der Parser führt auch bedingte Logik basierend auf EventID und ActionType aus, um Ereignisse zu kategorisieren und das UDM mit spezifischen Details anzureichern, die für den jeweiligen Ereignistyp relevant sind.
Hinweise
- Prüfen Sie, ob Sie eine Google SecOps-Instanz haben.
- Sie benötigen ein aktives Azure-Abo.
- Sie müssen die Rolle „Globaler Administrator“ oder „Microsoft Defender Advanced Threat Hunting“ haben.
- Melden Sie sich in Ihrem Azure-Mandanten an und rufen Sie Abos > Ihr Abo > Ressourcenanbieter > Bei Microsoft.Insights registrieren auf.
Azure-Speicherkonto konfigurieren
- Suchen Sie in der Azure-Konsole nach „Storage accounts“ (Speicherkonten).
- Klicken Sie auf Erstellen.
- Geben Sie Werte für die folgenden Eingabeparameter an:
- Abo: Wählen Sie das Abo aus.
- Ressourcengruppe: Wählen Sie die Ressourcengruppe aus.
- Region: Wählen Sie die Region aus.
- Leistung: Wählen Sie die Leistung aus (Standard wird empfohlen).
- Redundanz: Wählen Sie die Redundanz aus (GRS oder LRS empfohlen).
- Storage-Kontoname: Geben Sie einen Namen für das neue Speicherkonto ein.
- Klicken Sie auf Überprüfen + Erstellen.
- Sehen Sie sich die Übersicht des Kontos an und klicken Sie auf Erstellen.
- Wählen Sie auf der Seite Storage Account Overview (Speicherkonto – Übersicht) im Untermenü Security + networking (Sicherheit + Netzwerk) die Option Access keys (Zugriffsschlüssel) aus.
- Klicken Sie neben key1 oder key2 auf Anzeigen.
- Klicken Sie auf In die Zwischenablage kopieren, um den Schlüssel zu kopieren.
- Bewahren Sie den Schlüssel an einem sicheren Ort auf, um ihn später zu verwenden.
- Wählen Sie auf der Seite Storage Account Overview (Speicherkontoübersicht) im Untermenü Settings (Einstellungen) die Option Endpoints (Endpunkte) aus.
- Klicken Sie auf In die Zwischenablage kopieren, um die Endpunkt-URL des Blob-Dienstes zu kopieren, z. B.
https://<storageaccountname>.blob.core.windows.net. - Speichern Sie die Endpunkt-URL an einem sicheren Ort für die spätere Verwendung.
Windows Defender Advanced Threat Hunting-Logexport konfigurieren
- Melden Sie sich als globaler Administrator oder Sicherheitsadministrator in security.microsoft.com an.
- Wechseln Sie zu Einstellungen> Microsoft Defender XDR.
- Wählen Sie Streaming API aus.
- Klicken Sie auf Hinzufügen.
- Wählen Sie Ereignisse an Azure Storage weiterleiten aus.
- Rufen Sie das zuvor erstellte Speicherkonto auf.
- Kopieren Sie die Ressourcen-ID und geben Sie sie in das Feld Ressourcen-ID des Speicherkontos ein.
- Wählen Sie alle Ereignistypen aus.
- Klicken Sie auf Speichern.
Feed in Google SecOps konfigurieren, um die Windows Defender Advanced Threat Hunting-Logs aufzunehmen
- Rufen Sie die SIEM-Einstellungen> Feeds auf.
- Klicken Sie auf Neu hinzufügen.
- Geben Sie im Feld Feed name (Feedname) einen Namen für den Feed ein, z. B.
Defender ATP Logs. - Wählen Sie Microsoft Azure Blob Storage als Quelltyp aus.
- Wählen Sie Windows Defender ATP als Logtyp aus.
- Klicken Sie auf Weiter.
Geben Sie Werte für die folgenden Eingabeparameter an:
- Azure-URI: die Blob-Endpunkt-URL.
ENDPOINT_URL/BLOB_NAME- Ersetzen Sie Folgendes:
ENDPOINT_URL: die Blob-Endpunkt-URL (https://<storageaccountname>.blob.core.windows.net).BLOB_NAME: der Name des Blobs, z. B.<logname>-logs.
- URI is a (URI ist ein): Wählen Sie den URI_TYPE entsprechend der Logstream-Konfiguration aus (Single file | Directory | Directory which includes subdirectories).
Optionen zum Löschen der Quelle: Wählen Sie die gewünschte Option aus.
Freigegebener Schlüssel: Der Zugriffsschlüssel für Azure Blob Storage.
Asset-Namespace: der Asset-Namespace.
Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.
- Azure-URI: die Blob-Endpunkt-URL.
Klicken Sie auf Weiter.
Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.
UDM-Zuordnungstabelle
| Logfeld | UDM-Zuordnung | Logik |
|---|---|---|
AccountName |
target.user.userid |
Wird ausgefüllt, wenn properties.AccountName vorhanden und properties.InitiatingProcessAccountName leer ist. |
AccountSid |
target.user.windows_sid |
Wird ausgefüllt, wenn properties.AccountSid vorhanden ist. |
AccountType |
principal.user.attribute.labels |
Schlüssel: AccountType, Wert: properties.AccountType |
Action |
security_result.action_details |
Der Wert von properties.Action. |
Action |
security_result.action |
Wenn properties.Action den Wert quarantine enthält, lautet der Wert QUARANTINE. |
Action Name |
security_result.description |
Teil des Großflächenbrandes security_result.description, wenn EventID = 1117. |
AdditionalFields |
about.labels, principal.resource.attribute.labels |
Schlüssel: AdditionalFields, Wert: properties.AdditionalFields (oder AdditionalFields, wenn als JSON geparst). Einzelne Schlüssel/Wert-Paare aus properties.AdditionalFields (oder AdditionalFields2, wenn als JSON geparst) werden ebenfalls als Labels hinzugefügt. |
AdditionalFields.ClientMachine |
principal.resource.attribute.labels |
Schlüssel: ClientMachine, Wert: _AdditionalFields.ClientMachine |
AdditionalFields.Command |
target.process.command_line |
Wird verwendet, wenn ActionType PowerShellCommand ist. |
AdditionalFields.Count |
read_only_udm.additional.fields |
Schlüssel: Count, Wert: properties.AdditionalFields.Count |
AdditionalFields.DesiredAccess |
principal.resource.attribute.labels |
Schlüssel: DesiredAccess, Wert: _AdditionalFields.DesiredAccess |
AdditionalFields.DnsQueryString |
network.dns.questions.name |
Wird verwendet, wenn ActionType DnsQueryResponse ist. |
AdditionalFields.DnsQueryResult |
network.dns.answers |
Wird in einer Schleife geparst, um DNS-Antworten zu extrahieren. Result wird zu name und DnsQueryType wird der numerischen type zugeordnet. |
AdditionalFields.Experience |
security_result.threat_name |
Wird verwendet, wenn properties.ActionType SmartScreen enthält. |
AdditionalFields.FileOperation |
principal.resource.attribute.labels |
Schlüssel: FileOperation, Wert: _AdditionalFields.FileOperation |
AdditionalFields.InitiatingProcess |
principal.resource.attribute.labels |
Schlüssel: InitiatingProcess, Wert: _AdditionalFields.InitiatingProcess |
AdditionalFields.IsAudit |
principal.resource.attribute.labels |
Schlüssel: IsAudit, Wert: _AdditionalFields.IsAudit |
AdditionalFields.IsLocalLogon |
extensions.auth.mechanism |
Wenn der Wert true ist, wird auth_mechanism auf LOCAL festgelegt. Bei false wird auf REMOTE festgelegt. |
AdditionalFields.IsRemoteMachine |
principal.resource.attribute.labels |
Schlüssel: IsRemoteMachine, Wert: _AdditionalFields.IsRemoteMachine |
AdditionalFields.NamedPipeEnd |
principal.resource.attribute.labels |
Schlüssel: NamedPipeEnd, Wert: _AdditionalFields.NamedPipeEnd |
AdditionalFields.PipeName |
principal.resource.attribute.labels |
Schlüssel: PipeName, Wert: _AdditionalFields.PipeName |
AdditionalFields.RemoteClientsAccess |
principal.resource.attribute.labels |
Schlüssel: RemoteClientsAccess, Wert: _AdditionalFields.RemoteClientsAccess |
AdditionalFields.SessionId |
principal.resource.attribute.labels |
Schlüssel: SessionId, Wert: _AdditionalFields.SessionId |
AdditionalFields.SignatureName |
security_result.rule_id |
Wird verwendet, wenn properties.ActionType AntivirusDetection ist. |
AdditionalFields.TaskName |
target.resource.name |
Wird verwendet, wenn properties.ActionType Scheduled enthält. |
AdditionalFields.ThreatName |
security_result.threat_name |
Wird verwendet, wenn properties.ActionType AntivirusDetection ist. |
AdditionalFields.ThreadId |
principal.resource.attribute.labels |
Schlüssel: ThreadId, Wert: _AdditionalFields.ThreadId |
AdditionalFields.TokenModificationProperties |
principal.resource.attribute.labels |
Schlüssel: TokenModificationProperties, Wert: _AdditionalFields.TokenModificationProperties |
AdditionalFields.TotalBytesCopied |
principal.resource.attribute.labels |
Schlüssel: TotalBytesCopied, Wert: _AdditionalFields.TotalBytesCopied |
AdditionalFields.WasExecutingWhileDetected |
about.labels, principal.resource.attribute.labels |
Schlüssel: WasExecutingWhileDetected, Wert: _AdditionalFields.WasExecutingWhileDetected |
AdditionalFields.WasRemediated |
security_result.action |
Wenn der Wert true ist, wird sr_action auf BLOCK festgelegt. Bei false wird auf ALLOW festgelegt. |
AppGuardContainerId ApplicationId |
read_only_udm.additional.fields |
Schlüssel: ApplicationId, Wert: properties.ApplicationId |
category |
metadata.product_name |
Der Wert von category. |
category |
metadata.product_event_type |
Der Wert von category ohne AdvancedHunting-. |
City |
principal.location.city |
Der Wert von properties.City. |
ClientIP |
principal.ip, principal.asset.ip |
Der Wert von properties.RawEventData.ClientIP, sofern es sich um eine gültige IP-Adresse handelt. |
ClientIPAddress |
principal.ip, principal.asset.ip |
Der Wert von properties.RawEventData.ClientIPAddress, sofern es sich um eine gültige IP-Adresse handelt. |
ClientInfoString |
read_only_udm.additional.fields |
Schlüssel: ClientInfoString, Wert: properties.RawEventData.ClientInfoString |
ClientProcessName |
read_only_udm.additional.fields |
Schlüssel: ClientProcessName, Wert: properties.RawEventData.ClientProcessName |
ClientRequestId |
read_only_udm.additional.fields |
Schlüssel: ClientRequestId, Wert: properties.RawEventData.ClientRequestId |
ClientVersion |
read_only_udm.additional.fields |
Schlüssel: ClientVersion, Wert: properties.RawEventData.ClientVersion |
ConnectedNetworks |
entity.asset.network_domain |
Das Feld Name in ConnectedNetworks, falls vorhanden. |
CountryCode |
principal.location.country_or_region |
Der Wert von properties.CountryCode. |
CreationTime |
read_only_udm.additional.fields |
Schlüssel: CreationTime, Wert: properties.RawEventData.CreationTime |
Current Engine Version |
security_result.description |
Teil des Großflächenbrandes security_result.description, wenn EventID 2000 ist. |
Current Signature Version |
security_result.description |
Teil des Großflächenbrandes security_result.description, wenn EventID 2000 ist. |
DeliveryAction |
read_only_udm.additional.fields |
Schlüssel: DeliveryAction, Wert: properties.DeliveryAction |
DeliveryAction |
security_result.action |
Wenn properties.DeliveryAction den Wert Blocked enthält, lautet der Wert BLOCK. |
DeliveryLocation |
read_only_udm.additional.fields |
Schlüssel: DeliveryLocation, Wert: properties.DeliveryLocation |
DestinationLocationType |
read_only_udm.additional.fields |
Schlüssel: DestinationLocationType, Wert: properties.RawEventData.DestinationLocationType |
DetectionMethods |
security_result.rule_name, security_result.detection_fields |
Der Wert von properties.DetectionMethods ohne Anführungszeichen wird sowohl zu rule_name als auch zu detection_fields (Schlüssel: Detection Method). |
Detection User |
principal.user.userid |
Wird verwendet, wenn EventID 1116 oder 1117 ist. |
DeviceCategory |
entity.asset.category |
Der Wert von properties.DeviceCategory. |
DeviceId |
principal.asset_id |
WINDOWS_DEFENDER: + DeviceId beim Parsen von Syslog-/JSON- oder XML-Daten. DeviceId: + properties.DeviceId beim Parsen von JSON. |
DeviceName |
principal.hostname, principal.asset.hostname |
DeviceName beim Parsen von Syslog/JSON oder XML. properties.DeviceName beim Parsen von JSON. properties.RawEventData.DeviceName, falls vorhanden. |
DeviceType |
read_only_udm.additional.fields |
Schlüssel: DeviceType, Wert: properties.DeviceType |
Domain |
principal.administrative_domain |
Wird beim Parsen von Syslog-/JSON- oder XML-Daten verwendet. |
Dynamic Signature Compilation Timestamp |
security_result.description |
Teil des Großflächenbrandes security_result.description, wenn EventID 2010 oder 2011 ist. |
Dynamic Signature Type |
security_result.description |
Teil des Großflächenbrandes security_result.description, wenn EventID 2010 oder 2011 ist. |
Dynamic Signature Version |
security_result.description |
Teil des Großflächenbrandes security_result.description, wenn EventID 2010 oder 2011 ist. |
EmailClusterId |
read_only_udm.additional.fields |
Schlüssel: EmailClusterId, Wert: properties.EmailClusterId |
EmailDirection |
network.direction |
Wenn der Wert Inbound ist, wird er auf INBOUND festgelegt. Bei Outbound wird auf OUTBOUND festgelegt. Andernfalls wird UNKNOWN_DIRECTION festgelegt. |
EmailLanguage |
read_only_udm.additional.fields |
Schlüssel: EmailLanguage, Wert: properties.EmailLanguage |
Engine Version |
security_result.description |
Teil des Großflächenbrandes security_result.description, wenn EventID = 1011. |
EnforcementMode |
read_only_udm.additional.fields |
Schlüssel: EnforcementMode, Wert: properties.EnforcementMode |
Error Code |
security_result.description |
Teil des security_result.description, wenn EventID 1117 oder 2001 ist. |
Error Description |
security_result.description |
Teil des security_result.description, wenn EventID 1117 oder 2001 ist. |
EventID |
metadata.product_event_type |
Teil von metadata.product_event_type beim Parsen von Syslog/JSON oder XML. |
EventTime |
metadata.event_timestamp |
Die Daten wurden analysiert, um metadata.event_timestamp zu generieren. |
ExchangeLocations |
security_result.category_details |
Der Wert von properties.RawEventData.ExchangeLocations. |
ExternalAccess |
read_only_udm.additional.fields |
Schlüssel: ExternalAccess, Wert: properties.RawEventData.ExternalAccess |
FailureReason |
security_result.description |
Der Wert von properties.FailureReason, wenn ActionType gleich LogonFailed ist. |
FileExtension |
read_only_udm.additional.fields |
Schlüssel: FileExtension, Wert: properties.RawEventData.FileExtension |
FileName |
about.file.full_path |
Der Wert von properties.FileName, wenn category EmailAttachmentInfo enthält. Andernfalls target.process.file.full_path. |
FileSize |
target.process.file.size |
Der Wert von properties.FileSize, der in eine vorzeichenlose Ganzzahl konvertiert wurde. |
FileSize |
about.file.size |
Der Wert von properties.FileSize, der in eine vorzeichenlose Ganzzahl umgewandelt wird, wenn category EmailAttachmentInfo enthält. |
FileSize |
principal.process.file.size |
Der Wert von properties.RawEventData.FileSize, der in eine vorzeichenlose Ganzzahl konvertiert wurde. |
FileType |
about.file.mime_type |
Der Wert von properties.FileType, wenn category EmailAttachmentInfo enthält. Andernfalls target.process.file.mime_type. |
FileType |
read_only_udm.additional.fields |
Schlüssel: FileType, Wert: properties.RawEventData.FileType, falls nicht leer, oder Unknown. |
FolderPath |
target.file.full_path |
Der Wert von properties.FolderPath. |
FolderPath |
target.process.file.full_path |
Der Wert von FolderPath ist FileCreatedOnNetworkShare, wenn ActionType CreateRemoteThreadApiCall, ExploitGuardNonMicrosoftSignedBlocked, DriverLoad, FileRenamed, OpenProcessApiCall, ReadProcessMemoryApiCall, ImageLoaded oder properties.ActionType ist. |
Hidden |
read_only_udm.additional.fields |
Schlüssel: Hidden, Wert: properties.RawEventData.Hidden |
Hostname |
principal.hostname, principal.asset.hostname |
Wird beim Parsen von Syslog-/JSON- oder XML-Daten verwendet. |
IPAddresses |
entity.asset.ip |
Das Feld IPAddress in jedem Objekt im Array IPAddresses, mit Ausnahme von IPv6-Link-Local-, IPv4-APIPA-, IPv6-Loopback-, IPv6-Multicast- und Loopback-Adressen. |
IPAddress |
principal.ip, principal.asset.ip |
Der Wert von properties.IPAddress, sofern es sich um eine gültige IP-Adresse handelt. |
IPCategory |
read_only_udm.additional.fields |
Schlüssel: IPCategory, Wert: properties.IPCategory |
IPTags |
read_only_udm.additional.fields |
Schlüssel: IPTags, Wert: properties.IPTags |
ISP |
read_only_udm.additional.fields |
Schlüssel: ISP, Wert: properties.ISP |
InitiatingProcessAccountName |
principal.user.userid |
Wird ausgefüllt, wenn vorhanden und properties.AccountName leer ist oder wenn beide vorhanden sind. |
InitiatingProcessAccountSid |
principal.user.windows_sid |
Wird ausgefüllt, wenn vorhanden und properties.AccountSid leer ist oder wenn beide vorhanden sind. |
InitiatingProcessAccountUpn |
principal.user.email_addresses |
Der Wert von properties.InitiatingProcessAccountUpn. |
InitiatingProcessCommandLine |
principal.process.command_line |
Der Wert von properties.InitiatingProcessCommandLine ohne Anführungszeichen. |
InitiatingProcessFileName |
principal.process.file.full_path |
Der Wert von properties.InitiatingProcessFileName. |
InitiatingProcessFileSize |
principal.process.file.size |
Der Wert von properties.InitiatingProcessFileSize, der in eine vorzeichenlose Ganzzahl konvertiert wurde. |
InitiatingProcessFolderPath |
principal.process.file.full_path |
Der Wert von properties.InitiatingProcessFolderPath. |
InitiatingProcessId |
principal.process.pid |
Der Wert von properties.InitiatingProcessId, in einen String konvertiert. |
InitiatingProcessIntegrityLevel |
about.labels, principal.resource.attribute.labels |
Schlüssel: InitiatingProcessIntegrityLevel, Wert: properties.InitiatingProcessIntegrityLevel |
InitiatingProcessMD5 |
principal.process.file.md5 |
Der Wert von properties.InitiatingProcessMD5. |
InitiatingProcessParentFileName |
principal.process.parent_process.file.full_path |
Der Wert von properties.InitiatingProcessParentFileName. |
InitiatingProcessParentId |
principal.process.parent_process.pid |
Der Wert von properties.InitiatingProcessParentId, in einen String konvertiert. |
InitiatingProcessSHA1 |
principal.process.file.sha1 |
Der Wert von properties.InitiatingProcessSHA1. |
InitiatingProcessSHA256 |
principal.process.file.sha256 |
Der Wert von properties.InitiatingProcessSHA256. |
InitiatingProcessSignatureStatus |
read_only_udm.additional.fields |
Schlüssel: InitiatingProcessSignatureStatus, Wert: properties.InitiatingProcessSignatureStatus |
InitiatingProcessSignerType |
read_only_udm.additional.fields |
Schlüssel: InitiatingProcessSignerType, Wert: properties.InitiatingProcessSignerType |
InitiatingProcessTokenElevation |
about.labels, principal.resource.attribute.labels |
Schlüssel: InitiatingProcessTokenElevation, Wert: properties.InitiatingProcessTokenElevation |
InitiatingProcessVersionInfoCompanyName |
principal.user.company_name |
Der Wert von properties.InitiatingProcessVersionInfoCompanyName. |
InitiatingProcessVersionInfoFileDescription |
principal.resource.attribute.labels |
Schlüssel: File Description, Wert: properties.InitiatingProcessVersionInfoFileDescription |
InitiatingProcessVersionInfoInternalFileName |
principal.resource.attribute.labels |
Schlüssel: File Name, Wert: properties.InitiatingProcessVersionInfoInternalFileName |
InitiatingProcessVersionInfoOriginalFileName |
principal.resource.attribute.labels |
Schlüssel: Original File Name, Wert: properties.InitiatingProcessVersionInfoOriginalFileName |
InitiatingProcessVersionInfoProductName |
read_only_udm.additional.fields |
Schlüssel: InitiatingProcessVersionInfoProductName, Wert: properties.InitiatingProcessVersionInfoProductName |
InitiatingProcessVersionInfoProductVersion |
metadata.product_version |
Der Wert von properties.InitiatingProcessVersionInfoProductVersion. |
InternetMessageId |
read_only_udm.additional.fields |
Schlüssel: InternetMessageId, Wert: properties.InternetMessageId (Winkelklammern entfernt). |
IsAdminOperation |
read_only_udm.additional.fields |
Schlüssel: IsAdminOperation, Wert: properties.IsAdminOperation |
IsAnonymousProxy |
read_only_udm.additional.fields |
Schlüssel: IsAnonymousProxy, Wert: properties.IsAnonymousProxy |
IsExternalUser |
read_only_udm.additional.fields |
Schlüssel: IsExternalUser, Wert: properties.IsExternalUser |
IsImpersonated |
read_only_udm.additional.fields |
Schlüssel: IsImpersonated, Wert: properties.IsImpersonated |
IsLocalAdmin |
about.labels, principal.resource.attribute.labels |
Schlüssel: IsLocalAdmin, Wert: true oder false, je nach booleschem Wert von properties.IsLocalAdmin. |
LoggedOnUsers |
target.user.userid, entity.relations.entity.user.userid |
Das Feld UserName in jedem Objekt im LoggedOnUsers-Array wird als target.user.userid und als zugehörige Nutzerentität hinzugefügt. Das Feld Sid wird als entity.relations.entity.user.windows_sid hinzugefügt. |
LocalIP |
principal.ip, principal.asset.ip |
Der Wert von LocalIP beim Parsen von JSON. |
LocalPort |
principal.port |
Der Wert von LocalPort wird beim Parsen von JSON in eine Ganzzahl konvertiert. |
LogonType |
extensions.auth.mechanism |
Wird basierend auf dem Wert einem UDM-Authentifizierungsmechanismus zugeordnet. |
LogonType |
read_only_udm.additional.fields |
Schlüssel: LogonType, Wert: properties.RawEventData.LogonType |
LogonUserSid |
read_only_udm.additional.fields |
Schlüssel: LogonUserSid, Wert: properties.RawEventData.LogonUserSid |
MacAddress |
entity.asset.mac |
Der Wert von MacAddress oder properties.MacAddress, formatiert als durch Doppelpunkte getrennter String. |
MailboxGuid |
read_only_udm.additional.fields |
Schlüssel: MailboxGuid, Wert: properties.RawEventData.MailboxGuid |
MailboxOwnerMasterAccountSid |
read_only_udm.additional.fields |
Schlüssel: MailboxOwnerMasterAccountSid, Wert: properties.RawEventData.MailboxOwnerMasterAccountSid |
MailboxOwnerSid |
read_only_udm.additional.fields |
Schlüssel: MailboxOwnerSid, Wert: properties.RawEventData.MailboxOwnerSid |
MailboxOwnerUPN |
read_only_udm.additional.fields |
Schlüssel: MailboxOwnerUPN, Wert: properties.RawEventData.MailboxOwnerUPN |
MD5 |
target.process.file.md5 |
Der Wert von properties.MD5. |
Message |
security_result.description |
Teil des Großflächenbrandes security_result.description, wenn EventID 1000, 1001, 1002, 1013, 1116, 1117, 2000, 2001, 2002, 2010, 2011 oder 5007 ist. |
NetworkAdapterType |
metadata.product_event_type |
Der Wert von NetworkAdapterType beim Parsen von JSON. |
NetworkMessageId |
network.email.mail_id |
Der Wert von properties.NetworkMessageId. |
New Value |
security_result.description |
Teil des Großflächenbrandes security_result.description, wenn EventID = 5007. |
Object Name |
read_only_udm.additional.fields |
Schlüssel: ObjectName, Wert: properties.ObjectName |
Object Type |
read_only_udm.additional.fields |
Schlüssel: ObjectType, Wert: properties.ObjectType |
ObjectId |
read_only_udm.additional.fields |
Schlüssel: ObjectId, Wert: properties.ObjectId oder properties.RawEventData.ObjectId. |
Old Value |
security_result.description |
Teil des Großflächenbrandes security_result.description, wenn EventID = 5007. |
Operation |
read_only_udm.additional.fields |
Schlüssel: Operation, Wert: properties.RawEventData.Operation |
operationName |
read_only_udm.additional.fields |
Schlüssel: OperationName, Wert: operationName |
OrganizationId |
read_only_udm.additional.fields |
Schlüssel: OrganizationId, Wert: properties.RawEventData.OrganizationId |
OrganizationName |
read_only_udm.additional.fields |
Schlüssel: OrganizationName, Wert: properties.RawEventData.OrganizationName |
OriginatingServer |
read_only_udm.additional.fields |
Schlüssel: OriginatingServer, Wert: properties.RawEventData.OriginatingServer |
OSPlatform |
asset.platform_software.platform |
Wenn der Wert macos enthält, wird platform auf MAC festgelegt. Bei windows wird auf WINDOWS festgelegt. Bei nix wird auf LINUX festgelegt. |
OSVersion |
asset.platform_software.platform_version |
Der Wert von properties.OSVersion. |
Path |
target.file.full_path |
Wird verwendet, wenn EventID 1011 oder 1116 ist. |
Persistence Limit Type |
security_result.description |
Teil des Großflächenbrandes security_result.description, wenn EventID 2010 oder 2011 ist. |
Persistence Limit Value |
security_result.description |
Teil des Großflächenbrandes security_result.description, wenn EventID 2010 oder 2011 ist. |
Persistence Path |
target.file.full_path |
Wird verwendet, wenn EventID 2010 oder 2011 ist. |
Previous Engine Version |
security_result.description |
Teil des security_result.description, wenn EventID 2000, 2001 oder 2002 ist. |
PreviousRegistryKey |
target.registry.registry_key |
Der Wert von properties.PreviousRegistryKey. |
PreviousRegistryValueData |
target.resource.attribute.labels |
Schlüssel: PreviousRegistryValueData, Wert: properties.PreviousRegistryValueData |
PreviousRegistryValueName |
target.resource.attribute.labels |
Schlüssel: PreviousRegistryValueName, Wert: properties.PreviousRegistryValueName |
Previous security intelligence Version |
security_result.description |
Teil des Großflächenbrandes security_result.description, wenn EventID 2001 ist. |
Previous Signature Version |
security_result.description |
Teil des Großflächenbrandes security_result.description, wenn EventID 2000 ist. |
ProcessCommandLine |
target.process.command_line |
Der Wert von properties.ProcessCommandLine. |
ProcessID |
principal.process.pid |
Wird beim Parsen von Syslog-/JSON- oder XML-Daten verwendet. |
ProcessId |
target.process.pid |
Der Wert von properties.ProcessId, in einen String konvertiert. |
Process Name |
target.process.pid |
Wird verwendet, wenn EventID 1116 oder 1117 ist. |
Product Version |
metadata.product_version |
Wird beim Parsen von Syslog-/JSON- oder XML-Daten verwendet. |
Protocol |
network.ip_protocol |
Wenn der Wert Tcp enthält, wird er auf TCP festgelegt. Bei Udp wird auf UDP festgelegt. Bei Icmp wird auf ICMP festgelegt. |
ProviderGuid |
principal.resource.id |
Wird beim Parsen von Syslog-/JSON- oder XML-Daten verwendet. |
PublicIP |
principal.ip, principal.asset.ip |
Der Wert von properties.PublicIP. |
RawEventData.Application |
principal.application |
Der Wert von properties.RawEventData.Application. |
RawEventData.ClientIP |
principal.ip, principal.asset.ip |
Der Wert von properties.RawEventData.ClientIP, sofern es sich um eine gültige IP-Adresse handelt. |
RawEventData.ClientIPAddress |
principal.ip, principal.asset.ip |
Der Wert von properties.RawEventData.ClientIPAddress, sofern es sich um eine gültige IP-Adresse handelt. |
RawEventData.ClientInfoString |
read_only_udm.additional.fields |
Schlüssel: ClientInfoString, Wert: properties.RawEventData.ClientInfoString |
RawEventData.ClientProcessName |
read_only_udm.additional.fields |
Schlüssel: ClientProcessName, Wert: properties.RawEventData.ClientProcessName |
RawEventData.ClientRequestId |
read_only_udm.additional.fields |
Schlüssel: ClientRequestId, Wert: properties.RawEventData.ClientRequestId |
RawEventData.ClientVersion |
read_only_udm.additional.fields |
Schlüssel: ClientVersion, Wert: properties.RawEventData.ClientVersion |
RawEventData.CreationTime |
read_only_udm.additional.fields |
Schlüssel: CreationTime, Wert: properties.RawEventData.CreationTime |
RawEventData.DeviceName |
principal.hostname, principal.asset.hostname |
Der Wert von properties.RawEventData.DeviceName. |
RawEventData.DestinationLocationType |
read_only_udm.additional.fields |
Schlüssel: DestinationLocationType, Wert: properties.RawEventData.DestinationLocationType |
RawEventData.ExchangeLocations |
security_result.category_details |
Der Wert von properties.RawEventData.ExchangeLocations. |
RawEventData.ExternalAccess |
read_only_udm.additional.fields |
Schlüssel: ExternalAccess, Wert: properties.RawEventData.ExternalAccess |
RawEventData.FileExtension |
read_only_udm.additional.fields |
Schlüssel: FileExtension, Wert: properties.RawEventData.FileExtension |
RawEventData.FileSize |
target.process.file.size |
Der Wert von properties.RawEventData.FileSize, der in eine vorzeichenlose Ganzzahl konvertiert wurde. |
RawEventData.FileType |
read_only_udm.additional.fields |
Schlüssel: FileType, Wert: properties.RawEventData.FileType, falls nicht leer, oder Unknown. |
RawEventData.Hidden |
read_only_udm.additional.fields |
Schlüssel: Hidden, Wert: properties.RawEventData.Hidden |
RawEventData.Id |
read_only_udm.additional.fields |
Schlüssel: RawEventDataId, Wert: properties.RawEventData.Id |
RawEventData.Item.Id |
item_idm.read_only_udm.additional.fields |
Schlüssel: RawEventDataItemId, Wert: properties.RawEventData.item.id |
RawEventData.LogonType |
read_only_udm.additional.fields |
Schlüssel: LogonType, Wert: properties.RawEventData.LogonType |
RawEventData.LogonUserSid |
read_only_udm.additional.fields |
Schlüssel: LogonUserSid, Wert: properties.RawEventData.LogonUserSid |
RawEventData.MailboxGuid |
read_only_udm.additional.fields |
Schlüssel: MailboxGuid, Wert: properties.RawEventData.MailboxGuid |
RawEventData.MailboxOwnerMasterAccountSid |
read_only_udm.additional.fields |
Schlüssel: MailboxOwnerMasterAccountSid, Wert: properties.RawEventData.MailboxOwnerMasterAccountSid |
RawEventData.MailboxOwnerSid |
read_only_udm.additional.fields |
Schlüssel: MailboxOwnerSid, Wert: properties.RawEventData.MailboxOwnerSid |
RawEventData.MailboxOwnerUPN |
read_only_udm.additional.fields |
Schlüssel: MailboxOwnerUPN, Wert: properties.RawEventData.MailboxOwnerUPN |
RawEventData.MDATPDeviceId |
read_only_udm.additional.fields |
Schlüssel: MDATPDeviceId, Wert: properties.RawEventData.MDATPDeviceId |
RawEventData.ObjectId |
read_only_udm.additional.fields |
Schlüssel: ObjectId, Wert: properties.RawEventData.ObjectId |
RawEventData.Operation |
read_only_udm.additional.fields |
Schlüssel: Operation, Wert: properties.RawEventData.Operation |
RawEventData.OrganizationId |
read_only_udm.additional.fields |
Schlüssel: OrganizationId, Wert: properties.RawEventData.OrganizationId |
RawEventData.OrganizationName |
read_only_udm.additional.fields |
Schlüssel: OrganizationName, Wert: properties.RawEventData.OrganizationName |
RawEventData.OriginatingServer |
read_only_udm.additional.fields |
Schlüssel: OriginatingServer, Wert: properties.RawEventData.OriginatingServer |
RawEventData.ParentFolder.Id |
read_only_udm.additional.fields |
Schlüssel: RawEventDataParentFolderId, Wert: properties.RawEventData.ParentFolder.Id |
RawEventData.Pid |
target.process.pid |
Der Wert von properties.RawEventData.Pid, in einen String konvertiert. |
RawEventData.Query |
read_only_udm.additional.fields |
Schlüssel: Query, Wert: properties.RawEventData.Query |
RawEventData.RecordType |
network.dns.questions.type |
Der Wert von properties.RawEventData.RecordType, der in eine vorzeichenlose Ganzzahl konvertiert wurde. |
RawEventData.ResultStatus |
read_only_udm.additional.fields |
Schlüssel: ResultStatus, Wert: properties.RawEventData.ResultStatus |
RawEventData.Scope |
read_only_udm.additional.fields |
Schlüssel: Scope, Wert: properties.RawEventData.Scope |
RawEventData.SessionId |
network.session_id |
Der Wert von properties.RawEventData.SessionId. |
RawEventData.Sha1 |
target.process.file.sha1 |
Der Wert von properties.RawEventData.Sha1. |
RawEventData.Sha256 |
target.process.file.sha256 |
Der Wert von properties.RawEventData.Sha256. |
RawEventData.TargetDomain |
target.hostname, target.asset.hostname |
Der Wert von properties.RawEventData.TargetDomain. |
RawEventData.TargetFilePath |
target.file.full_path |
Der Wert von properties.RawEventData.TargetFilePath. |
RawEventData.UserId |
principal.user.email_addresses |
Der Wert von properties.RawEventData.UserId, falls es sich um eine E-Mail-Adresse handelt. |
RawEventData.UserKey |
read_only_udm.additional.fields |
Schlüssel: UserKey, Wert: properties.RawEventData.UserKey |
RawEventData.UserType |
read_only_udm.additional.fields |
Schlüssel: UserType, Wert: properties.RawEventData.UserType |
RawEventData.Version |
read_only_udm.additional.fields |
Schlüssel: Version, Wert: properties.RawEventData.Version |
RawEventData.Workload |
read_only_udm.additional.fields |
Schlüssel: Workload, Wert: properties.RawEventData.Workload |
RecipientEmailAddress |
network.email.to, target.user.email_addresses |
Der Wert von properties.RecipientEmailAddress. |
RecipientObjectId |
target.user.product_object_id |
Der Wert von properties.RecipientObjectId. |
RegistryKey |
target.registry.registry_key |
Der Wert von properties.RegistryKey. |
RegistryValueData |
target.registry.registry_value_data |
Der Wert von properties.RegistryValueData. |
RegistryValueName |
target.registry.registry_value_name |
Der Wert von properties.RegistryValueName. |
Remediation User |
intermediary.user.userid |
Wird verwendet, wenn EventID 1117 ist. |
RemoteDeviceName |
target.hostname, target.asset.hostname |
Der Wert von properties.RemoteDeviceName. |
RemoteIP |
target.ip, target.asset.ip |
Der Wert von properties.RemoteIP, falls nicht leer, - oder null. |
RemoteIPType |
about.labels, principal.resource.attribute.labels |
Schlüssel: RemoteIPType, Wert: properties.RemoteIPType |
RemotePort |
target.port |
Der Wert von properties.RemotePort, in eine Ganzzahl konvertiert. |
RemoteUrl |
target.url |
Der Wert von properties.RemoteUrl. Wenn ein Hostname enthalten ist, wird er extrahiert und target.hostname und target.asset.hostname zugeordnet. |
Removal Reason Value |
security_result.description |
Teil des Großflächenbrandes security_result.description, wenn EventID 2011 ist. |
ReportId |
metadata.product_log_id |
Der Wert von properties.ReportId, in einen String konvertiert. |
Scan ID |
security_result.description |
Teil des Großflächenbrandes security_result.description, wenn EventID 1000, 1001 oder 1002 ist. |
Scan Parameters |
security_result.description |
Teil des Großflächenbrandes security_result.description, wenn EventID 1000, 1001 oder 1002 ist. |
Scan Resources |
target.file.full_path |
Wird verwendet, wenn EventID = 1.000. |
Scan Time Hours |
security_result.description |
Teil des Großflächenbrandes security_result.description, wenn EventID 1001 ist. |
Scan Time Minutes |
security_result.description |
Teil des Großflächenbrandes security_result.description, wenn EventID 1001 ist. |
Scan Time Seconds |
security_result.description |
Teil des Großflächenbrandes security_result.description, wenn EventID 1001 ist. |
Scan Type |
security_result.description |
Teil des Großflächenbrandes security_result.description, wenn EventID 1000, 1001 oder 1002 ist. |
Security intelligence Type |
security_result.description |
Teil des Großflächenbrandes security_result.description, wenn EventID 2001 ist. |
Security intelligence Version |
security_result.description |
Teil des Großflächenbrandes security_result.description, wenn EventID = 1011. |
SenderDisplayName |
principal.user.user_display_name |
Der Wert von properties.SenderDisplayName. |
SenderFromAddress |
network.email.from, principal.user.email_addresses |
Der Wert von properties.SenderFromAddress. |
SenderFromDomain |
principal.administrative_domain |
Der Wert von properties.SenderFromDomain. |
SenderIPv4 |
principal.ip, principal.asset.ip |
Der Wert von properties.SenderIPv4. |
SenderIPv6 |
principal.ip, principal.asset.ip |
Der Wert von properties.SenderIPv6. |
SenderMailFromAddress |
principal.user.attribute.labels |
Schlüssel: SenderMailFromAddress, Wert: properties.SenderMailFromAddress |
SenderMailFromDomain |
principal.user.attribute.labels |
Schlüssel: SenderMailFromDomain, Wert: properties.SenderMailFromDomain |
SenderObjectId |
principal.user.product_object_id |
Der Wert von properties.SenderObjectId. |
Severity Name |
security_result.severity |
Wenn der Wert Low ist, wird er auf LOW festgelegt. Bei Moderate wird auf MEDIUM festgelegt. Bei High oder Severe wird HIGH festgelegt. |
Severity |
security_result.severity |
Wenn der Wert informational enthält, wird er auf INFORMATIONAL festgelegt. Bei low wird auf LOW festgelegt. Bei medium wird auf MEDIUM festgelegt. Bei high wird auf HIGH festgelegt. Andernfalls wird UNKNOWN_SEVERITY festgelegt. |
Severity |
security_result.severity_details |
Der Wert von properties.Severity. |
SHA1 |
target.process.file.sha1 |
Der Wert von properties.SHA1. |
SHA256 |
target.process.file.sha256 |
Der Wert von properties.SHA256. |
SHA256 |
about.file.sha256 |
Der Wert von properties.SHA256, wenn category EmailAttachmentInfo enthält. |
Signature Type |
security_result.description |
Teil des security_result.description, wenn EventID 2000 oder 2010 ist. |
SourceModuleName |
target.resource.name |
Wird verwendet, wenn EventID 2008 ist. |
Source Path |
security_result.description |
Teil des Großflächenbrandes security_result.description, wenn EventID 2001 ist. |
Subject |
network.email.subject |
Der Wert von properties.Subject. |
Tenant |
read_only_udm.additional.fields |
Schlüssel: Tenant, Wert: Tenant |
tenantId |
observer.cloud.project.id, target.resource_ancestors.product_object_id |
Der Wert von tenantId oder properties.tenantId. |
Threat ID |
security_result.threat_name |
Teil des Großflächenbrandes security_result.threat_name, wenn EventID 1011 oder 1116 ist. |
ThreatNames |
security_result.threat_name |
Der Wert von properties.ThreatNames. |
Threat Types |
security_result.category |
Wenn der Wert Phish ist, wird security_result_category auf MAIL_PHISHING festgelegt. Andernfalls wird UNKNOWN_CATEGORY festgelegt. |
Timestamp |
security_result.description |
Teil des Großflächenbrandes security_result.description, wenn EventID 1013 ist. |
Timestamp |
metadata.event_timestamp |
Die Daten wurden analysiert, um metadata.event_timestamp zu generieren. |
Timestamp |
entity.asset.system_last_update_time |
Der Wert von properties.Timestamp, wenn category gleich AdvancedHunting-DeviceNetworkInfo ist. |
Title |
security_result.threat_name |
Der Wert von properties.Title. |
Update Source |
security_result.description |
Teil des Großflächenbrandes security_result.description, wenn EventID 2001 ist. |
Update State |
security_result.description |
Teil des Großflächenbrandes security_result.description, wenn EventID 2001 ist. |
Update Type |
security_result.description |
Teil des security_result.description, wenn EventID 2000 oder 2001 ist. |
UserAgent |
network.http.user_agent |
Der Wert von properties.UserAgent. |
UserAgentTags |
additional.fields |
Jedes Element im properties.UserAgentTags-Array wird als Label mit dem Schlüssel UserAgentTags hinzugefügt. |
Url |
target.url |
Der Wert von properties.Url. |
UrlCount |
read_only_udm.additional.fields |
Schlüssel: UrlCount, Wert: properties.UrlCount |
UrlDomain |
target.hostname, target.asset.hostname |
Der Wert von properties.UrlDomain. |
UrlLocation |
read_only_udm.additional.fields |
Schlüssel: UrlLocation, Wert: properties.UrlLocation |
User |
target.user.userid |
Wird verwendet, wenn EventID 1000, 1001, 1002, 1011, 1013, 2000 oder 2002 ist oder wenn Message \tUser: enthält. |
UserID |
principal.user.userid |
Wird verwendet, wenn EventID 2010 oder 2011 ist. |
| (Parserlogik) | metadata.event_type |
Anfangs auf GENERIC_EVENT festgelegt, dann basierend auf anderen Feldern und Logik überschrieben. Häufige Werte sind NETWORK_CONNECTION, PROCESS_LAUNCH, FILE_CREATION, FILE_MODIFICATION, USER_LOGIN, SCAN_HOST, SCAN_PROCESS, SYSTEM_AUDIT_LOG_WIPE, SETTING_MODIFICATION, FILE_DELETION, PROCESS_MODULE_LOAD, PROCESS_UNCATEGORIZED, STATUS_UPDATE, PROCESS_OPEN, NETWORK_DNS, FILE_MOVE, REGISTRY_CREATION, REGISTRY_DELETION, REGISTRY_MODIFICATION, SCHEDULED_TASK_CREATION, SCHEDULED_TASK_DELETION, SCHEDULED_TASK_MODIFICATION, SCAN_NETWORK, USER_UNCATEGORIZED. |
| (Parserlogik) | metadata.vendor_name |
Legen Sie Microsoft fest. |
| (Parserlogik) | metadata.product_name |
Anfangs auf Windows Defender ATP festgelegt, wird dann möglicherweise durch das Feld category überschrieben. |
| (Parserlogik) | metadata.product_event_type |
Anfangs auf GENERIC_EVENT festgelegt, dann basierend auf anderen Feldern und Logik überschrieben. |
| (Parserlogik) | metadata.product_version |
Wird basierend auf Product Version oder properties.InitiatingProcessVersionInfoProductVersion festgelegt. |
| (Parserlogik) | metadata.log_type |
Legen Sie WINDOWS_DEFENDER_ATP fest. |
| (Parserlogik) | principal.resource.type |
Auf PROVIDER setzen, wenn Syslog/JSON oder XML geparst wird. |
| (Parserlogik) | target.resource_ancestors |
Enthält einen einzelnen Ancestor, bei dem product_object_id auf die tenantId festgelegt ist. |
| (Parserlogik) | security_result.summary |
Wird basierend auf EventID, properties.ActionType oder properties.Title und properties.Category festgelegt. |
| (Parserlogik) | security_result.description |
Wird aus verschiedenen Feldern zusammengesetzt, je nach EventID oder properties.ActionType. |
| (Parserlogik) | security_result.action |
Wird anfangs auf ALLOW festgelegt und dann möglicherweise basierend auf AdditionalFields.WasRemediated, ActionType oder Action Name überschrieben. |
| (Parserlogik) | security_result.severity |
Wird basierend auf Severity Name oder properties.Severity festgelegt. |
| (Parserlogik) | security_result.category |
Festgelegt basierend auf Threat Types. |
| (Parserlogik) | network.direction |
Wird basierend auf RemoteIP, LocalIP oder EmailDirection festgelegt. |
| (Parserlogik) | network.ip_protocol |
Wird auf TCP gesetzt, wenn metadata.event_type gleich NETWORK_CONNECTION ist. |
| (Parserlogik) | network.session_id |
Festgelegt basierend auf properties.RawEventData.SessionId. |
| (Parserlogik) | network.http.user_agent |
Festgelegt basierend auf properties.UserAgent. |
| (Parserlogik) | network.email.mail_id |
Festgelegt basierend auf properties.NetworkMessageId. |
| (Parserlogik) | network.email.subject |
Festgelegt basierend auf properties.Subject. |
| (Parserlogik) | network.email.from |
Festgelegt basierend auf properties.SenderFromAddress. |
| (Parserlogik) | network.email.to |
Festgelegt basierend auf properties.RecipientEmailAddress. |
| (Parserlogik) | network.dns.questions.name |
Festgelegt basierend auf AdditionalFields.DnsQueryString. |
| (Parserlogik) | network.dns.questions.type |
Festgelegt basierend auf properties.RawEventData.RecordType. |
| (Parserlogik) | network.dns.answers |
Erstellt aus AdditionalFields.DnsQueryResult. |
| (Parserlogik) | extensions.auth.type |
Wird auf MACHINE gesetzt, wenn ActionType gleich LogonAttempted oder LogonSuccess ist. |
| (Parserlogik) | extensions.auth.mechanism |
Wird basierend auf LogonType oder AdditionalFields.IsLocalLogon festgelegt. |
| (Parserlogik) | extensions.auth.auth_details |
Festgelegt basierend auf properties.AuthenticationDetails. |
| (Parserlogik) | entity.asset.asset_id |
Erstellt mit WINDOWS: + DeviceId oder properties.DeviceId. |
| (Parserlogik) | entity.asset.product_object_id |
Legen Sie dafür DeviceId oder properties.DeviceId fest. |
| (Parserlogik) | entity.asset.network_domain |
Extrahierte Daten aus ConnectedNetworks. |
| (Parserlogik) | entity.asset.ip |
Wird basierend auf IPAddresses, _ipaddress, PublicIP oder LocalIP festgelegt. |
| (Parserlogik) | entity.asset.mac |
Wird basierend auf MacAddress oder properties.MacAddress festgelegt. |
| (Parserlogik) | entity.asset.hostname |
Wird basierend auf DeviceName oder properties.DeviceName festgelegt. |
| (Parserlogik) | entity.asset.platform_software.platform |
Festgelegt basierend auf OSPlatform. |
| (Parserlogik) | entity.asset.platform_software.platform_version |
Festgelegt basierend auf OSVersion. |
| (Parserlogik) | entity.asset.category |
Festgelegt basierend auf DeviceCategory. |
| (Parserlogik) | entity.asset.type |
Auf WORKSTATION für Geräte- und Netzwerkinformationsereignisse festgelegt. |
| (Parserlogik) | entity.asset.system_last_update_time |
Wird basierend auf properties.Timestamp für Netzwerkinfo-Ereignisse festgelegt. |
| (Parserlogik) | entity.relations |
Erstellt aus LoggedOnUsers. |
| (Parserlogik) | entity.metadata.entity_type |
Auf ASSET für Geräte-, Netzwerk- und Asset-Ereignisse festgelegt. |
| (Parserlogik) | about.labels |
Enthält Labels für verschiedene Felder, die nicht direkt in das UDM-Schema passen. |
| (Parserlogik) | principal.user.attribute.labels |
Enthält Labels für verschiedene nutzerbezogene Felder. |
| (Parserlogik) | principal.resource.attribute.labels |
Enthält Labels für verschiedene ressourcenbezogene Felder. |
| (Parserlogik) | target.resource.resource_type |
Auf TASK für Ereignisse geplanter Aufgaben und auf SETTING für Ereignisse zur Änderung von Einstellungen festlegen. |
| (Parserlogik) | target.resource.name |
Wird basierend auf SourceModuleName, AdditionalFields.TaskName oder _taskname festgelegt. |
| (Parserlogik) | target.resource.product_object_id |
Festgelegt basierend auf properties.ReportId. |
| (Parserlogik) | target.resource_ancestors |
Festgelegt basierend auf tenantId. |
| (Parserlogik) | target.registry.registry_key |
Wird basierend auf RegistryKey, PreviousRegistryKey oder properties.RegistryKey festgelegt. |
| (Parserlogik) | target.registry.registry_value_name |
Wird basierend auf RegistryValueName oder properties.RegistryValueName festgelegt. |
| (Parserlogik) | target.registry.registry_value_data |
Wird basierend auf RegistryValueData oder properties.RegistryValueData festgelegt. |
| (Parserlogik) | intermediary.user.userid |
Festgelegt basierend auf Remediation User. |
| (Parserlogik) | metadata.collected_timestamp |
Wird auf den Ereigniszeitstempel für Asset- und Netzwerkinfo-Ereignisse festgelegt. |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten