Microsoft Windows Defender ATP-Protokolle erfassen
Unterstützt in:
Google SecOps
SIEM
In diesem Dokument wird beschrieben, wie Sie Microsoft Windows Defender ATP-Logs mit einem Azure-Speicherkonto in Google Security Operations erfassen. Dieser Parser verarbeitet Logs von Windows Defender ATP im SYSLOG-, XML- und JSON-Format. Dabei werden die verschiedenen Felder aus diesen Formaten in einer einheitlichen Struktur normalisiert. Es werden wichtige Informationen wie Ereignisdetails, Nutzerdaten, Prozessinformationen, Netzwerkaktivitäten und Sicherheitsergebnisse extrahiert und dem UDM zugeordnet. Der Parser führt außerdem bedingte Logik basierend auf EventID und ActionType aus, um Ereignisse zu kategorisieren und das UDM mit spezifischen Details zu ergänzen, die für jeden Ereignistyp relevant sind.
Hinweise
- Sie benötigen eine Google SecOps-Instanz.
- Sie benötigen ein aktives Azure-Abo.
- Sie benötigen die Rolle „Globaler Administrator“ oder „Microsoft Defender Advanced Threat Hunting“.
- Melden Sie sich in Ihrem Azure-Tenant an und klicken Sie auf Abos > Ihr Abo > Ressourcenanbieter > Bei Microsoft.Insights registrieren.
Azure-Speicherkonto konfigurieren
- Suchen Sie in der Azure-Konsole nach „Speicherkonten“.
- Klicken Sie auf Erstellen.
- Geben Sie Werte für die folgenden Eingabeparameter an:
- Abo: Wählen Sie das Abo aus.
- Ressourcengruppe: Wählen Sie die Ressourcengruppe aus.
- Region: Wählen Sie die Region aus.
- Leistung: Wählen Sie die Leistung aus. Wir empfehlen „Standard“.
- Redundanz: Wählen Sie die Redundanz aus (GRS oder LRS empfohlen).
- Speicherkontoname: Geben Sie einen Namen für das neue Speicherkonto ein.
- Klicken Sie auf Überprüfen + Erstellen.
- Sehen Sie sich die Kontoübersicht an und klicken Sie auf Erstellen.
- Wählen Sie auf der Seite Speicherkontoübersicht unter Sicherheit & Netzwerk das Untermenü Zugriffsschlüssel aus.
- Klicken Sie neben key1 oder key2 auf Anzeigen.
- Klicke auf In die Zwischenablage kopieren, um den Schlüssel zu kopieren.
- Speichern Sie den Schlüssel an einem sicheren Ort, um ihn später zu verwenden.
- Wählen Sie auf der Seite Speicherkontoübersicht unter Einstellungen das Untermenü Endpunkte aus.
- Klicken Sie auf In Zwischenablage kopieren, um die Endpunkt-URL des Blob-Dienstes zu kopieren, z. B.
https://<storageaccountname>.blob.core.windows.net. - Speichern Sie die Endpunkt-URL an einem sicheren Ort für die spätere Verwendung.
Logexport für Windows Defender Advanced Threat Hunting konfigurieren
- Melden Sie sich als globaler Administrator oder Sicherheitsadministrator in security.microsoft.com an.
- Gehen Sie zu Einstellungen > Microsoft Defender XDR.
- Wähle Streaming API aus.
- Klicken Sie auf Hinzufügen.
- Wählen Sie Ereignisse an Azure Storage weiterleiten aus.
- Rufen Sie das zuvor erstellte Speicherkonto auf.
- Kopieren Sie die Ressourcen-ID und geben Sie sie in das Feld Ressourcen-ID des Speicherkontos ein.
- Wählen Sie alle Ereignistypen aus.
- Klicken Sie auf Speichern.
Feed in Google SecOps konfigurieren, um Windows Defender Advanced Threat Hunting-Protokolle aufzunehmen
- Gehen Sie zu SIEM-Einstellungen > Feeds.
- Klicken Sie auf Neu hinzufügen.
- Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B.
Defender ATP Logs. - Wählen Sie als Quelltyp Microsoft Azure Blob Storage aus.
- Wählen Sie als Logtyp Windows Defender ATP aus.
- Klicken Sie auf Weiter.
Geben Sie Werte für die folgenden Eingabeparameter an:
- Azure-URI: die Blob-Endpunkt-URL.
ENDPOINT_URL/BLOB_NAME- Ersetzen Sie Folgendes:
ENDPOINT_URL: die Blob-Endpunkt-URL (https://<storageaccountname>.blob.core.windows.net).BLOB_NAME: der Name des Blobs, z. B.<logname>-logs.
- URI ist: Wählen Sie den URI_TYPE gemäß der Logstream-Konfiguration aus (Einzelne Datei | Verzeichnis | Verzeichnis mit Unterverzeichnissen).
Optionen zum Löschen der Quelle: Wählen Sie die gewünschte Löschoption aus.
Freigegebener Schlüssel: Der Zugriffsschlüssel für Azure Blob Storage.
Asset-Namespace: der Asset-Namespace.
Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.
- Azure-URI: die Blob-Endpunkt-URL.
Klicken Sie auf Weiter.
Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.
UDM-Zuordnungstabelle
| Logfeld | UDM-Zuordnung | Logik |
|---|---|---|
AccountName |
target.user.userid |
Wird ausgefüllt, wenn properties.AccountName vorhanden und properties.InitiatingProcessAccountName leer ist. |
AccountSid |
target.user.windows_sid |
Wird ausgefüllt, wenn properties.AccountSid vorhanden ist. |
AccountType |
principal.user.attribute.labels |
Schlüssel: AccountType, Wert: properties.AccountType |
Action |
security_result.action_details |
Der Wert von properties.Action. |
Action |
security_result.action |
Wenn properties.Action quarantine enthält, lautet der Wert QUARANTINE. |
Action Name |
security_result.description |
Teil des Großflächenbrandes security_result.description, wenn EventID = 1117 ist |
AdditionalFields |
about.labels, principal.resource.attribute.labels |
Schlüssel: AdditionalFields, Wert: properties.AdditionalFields (oder AdditionalFields, wenn als JSON geparst) Einzelne Schlüssel/Wert-Paare aus properties.AdditionalFields (oder AdditionalFields2, wenn als JSON geparst) werden ebenfalls als Labels hinzugefügt. |
AdditionalFields.ClientMachine |
principal.resource.attribute.labels |
Schlüssel: ClientMachine, Wert: _AdditionalFields.ClientMachine |
AdditionalFields.Command |
target.process.command_line |
Wird verwendet, wenn ActionType PowerShellCommand ist. |
AdditionalFields.Count |
read_only_udm.additional.fields |
Schlüssel: Count, Wert: properties.AdditionalFields.Count |
AdditionalFields.DesiredAccess |
principal.resource.attribute.labels |
Schlüssel: DesiredAccess, Wert: _AdditionalFields.DesiredAccess |
AdditionalFields.DnsQueryString |
network.dns.questions.name |
Wird verwendet, wenn ActionType DnsQueryResponse ist. |
AdditionalFields.DnsQueryResult |
network.dns.answers |
Wird in einer Schleife geparst, um DNS-Antworten zu extrahieren. Result wird zu name und DnsQueryType wird der Zahl type zugeordnet. |
AdditionalFields.Experience |
security_result.threat_name |
Wird verwendet, wenn properties.ActionType SmartScreen enthält. |
AdditionalFields.FileOperation |
principal.resource.attribute.labels |
Schlüssel: FileOperation, Wert: _AdditionalFields.FileOperation |
AdditionalFields.InitiatingProcess |
principal.resource.attribute.labels |
Schlüssel: InitiatingProcess, Wert: _AdditionalFields.InitiatingProcess |
AdditionalFields.IsAudit |
principal.resource.attribute.labels |
Schlüssel: IsAudit, Wert: _AdditionalFields.IsAudit |
AdditionalFields.IsLocalLogon |
extensions.auth.mechanism |
Wenn der Wert true ist, wird auth_mechanism auf LOCAL gesetzt. Wenn false, wird REMOTE festgelegt. |
AdditionalFields.IsRemoteMachine |
principal.resource.attribute.labels |
Schlüssel: IsRemoteMachine, Wert: _AdditionalFields.IsRemoteMachine |
AdditionalFields.NamedPipeEnd |
principal.resource.attribute.labels |
Schlüssel: NamedPipeEnd, Wert: _AdditionalFields.NamedPipeEnd |
AdditionalFields.PipeName |
principal.resource.attribute.labels |
Schlüssel: PipeName, Wert: _AdditionalFields.PipeName |
AdditionalFields.RemoteClientsAccess |
principal.resource.attribute.labels |
Schlüssel: RemoteClientsAccess, Wert: _AdditionalFields.RemoteClientsAccess |
AdditionalFields.SessionId |
principal.resource.attribute.labels |
Schlüssel: SessionId, Wert: _AdditionalFields.SessionId |
AdditionalFields.SignatureName |
security_result.rule_id |
Wird verwendet, wenn properties.ActionType AntivirusDetection ist. |
AdditionalFields.TaskName |
target.resource.name |
Wird verwendet, wenn properties.ActionType Scheduled enthält. |
AdditionalFields.ThreatName |
security_result.threat_name |
Wird verwendet, wenn properties.ActionType AntivirusDetection ist. |
AdditionalFields.ThreadId |
principal.resource.attribute.labels |
Schlüssel: ThreadId, Wert: _AdditionalFields.ThreadId |
AdditionalFields.TokenModificationProperties |
principal.resource.attribute.labels |
Schlüssel: TokenModificationProperties, Wert: _AdditionalFields.TokenModificationProperties |
AdditionalFields.TotalBytesCopied |
principal.resource.attribute.labels |
Schlüssel: TotalBytesCopied, Wert: _AdditionalFields.TotalBytesCopied |
AdditionalFields.WasExecutingWhileDetected |
about.labels, principal.resource.attribute.labels |
Schlüssel: WasExecutingWhileDetected, Wert: _AdditionalFields.WasExecutingWhileDetected |
AdditionalFields.WasRemediated |
security_result.action |
Wenn der Wert true ist, wird sr_action auf BLOCK gesetzt. Wenn false, wird ALLOW festgelegt. |
AppGuardContainerId ApplicationId |
read_only_udm.additional.fields |
Schlüssel: ApplicationId, Wert: properties.ApplicationId |
category |
metadata.product_name |
Der Wert von category. |
category |
metadata.product_event_type |
Der Wert von category ohne AdvancedHunting-. |
City |
principal.location.city |
Der Wert von properties.City. |
ClientIP |
principal.ip, principal.asset.ip |
Der Wert von properties.RawEventData.ClientIP, sofern es sich um eine gültige IP-Adresse handelt. |
ClientIPAddress |
principal.ip, principal.asset.ip |
Der Wert von properties.RawEventData.ClientIPAddress, sofern es sich um eine gültige IP-Adresse handelt. |
ClientInfoString |
read_only_udm.additional.fields |
Schlüssel: ClientInfoString, Wert: properties.RawEventData.ClientInfoString |
ClientProcessName |
read_only_udm.additional.fields |
Schlüssel: ClientProcessName, Wert: properties.RawEventData.ClientProcessName |
ClientRequestId |
read_only_udm.additional.fields |
Schlüssel: ClientRequestId, Wert: properties.RawEventData.ClientRequestId |
ClientVersion |
read_only_udm.additional.fields |
Schlüssel: ClientVersion, Wert: properties.RawEventData.ClientVersion |
ConnectedNetworks |
entity.asset.network_domain |
Das Feld Name in ConnectedNetworks, falls vorhanden. |
CountryCode |
principal.location.country_or_region |
Der Wert von properties.CountryCode. |
CreationTime |
read_only_udm.additional.fields |
Schlüssel: CreationTime, Wert: properties.RawEventData.CreationTime |
Current Engine Version |
security_result.description |
Teil des security_result.description, wenn EventID = 2000 ist |
Current Signature Version |
security_result.description |
Teil des security_result.description, wenn EventID = 2000 ist |
DeliveryAction |
read_only_udm.additional.fields |
Schlüssel: DeliveryAction, Wert: properties.DeliveryAction |
DeliveryAction |
security_result.action |
Wenn properties.DeliveryAction Blocked enthält, lautet der Wert BLOCK. |
DeliveryLocation |
read_only_udm.additional.fields |
Schlüssel: DeliveryLocation, Wert: properties.DeliveryLocation |
DestinationLocationType |
read_only_udm.additional.fields |
Schlüssel: DestinationLocationType, Wert: properties.RawEventData.DestinationLocationType |
DetectionMethods |
security_result.rule_name, security_result.detection_fields |
Der Wert von properties.DetectionMethods ohne Anführungszeichen wird zu rule_name und detection_fields (Schlüssel: Detection Method). |
Detection User |
principal.user.userid |
Wird verwendet, wenn EventID 1116 oder 1117 ist. |
DeviceCategory |
entity.asset.category |
Der Wert von properties.DeviceCategory. |
DeviceId |
principal.asset_id |
WINDOWS_DEFENDER: + DeviceId beim Parsen von syslog/JSON oder XML DeviceId: + properties.DeviceId beim Parsen von JSON. |
DeviceName |
principal.hostname, principal.asset.hostname |
DeviceName beim Parsen von syslog/JSON oder XML. properties.DeviceName beim Parsen von JSON. properties.RawEventData.DeviceName, falls vorhanden. |
DeviceType |
read_only_udm.additional.fields |
Schlüssel: DeviceType, Wert: properties.DeviceType |
Domain |
principal.administrative_domain |
Wird beim Parsen von syslog/JSON oder XML verwendet. |
Dynamic Signature Compilation Timestamp |
security_result.description |
Teil des security_result.description, wenn EventID 2010 oder 2011 ist. |
Dynamic Signature Type |
security_result.description |
Teil des security_result.description, wenn EventID 2010 oder 2011 ist. |
Dynamic Signature Version |
security_result.description |
Teil des security_result.description, wenn EventID 2010 oder 2011 ist. |
EmailClusterId |
read_only_udm.additional.fields |
Schlüssel: EmailClusterId, Wert: properties.EmailClusterId |
EmailDirection |
network.direction |
Wenn der Wert Inbound ist, wird INBOUND festgelegt. Wenn Outbound, wird OUTBOUND festgelegt. Andernfalls wird UNKNOWN_DIRECTION festgelegt. |
EmailLanguage |
read_only_udm.additional.fields |
Schlüssel: EmailLanguage, Wert: properties.EmailLanguage |
Engine Version |
security_result.description |
Teil des Großflächenbrandes security_result.description, wenn EventID = 1011 ist |
EnforcementMode |
read_only_udm.additional.fields |
Schlüssel: EnforcementMode, Wert: properties.EnforcementMode |
Error Code |
security_result.description |
Teil des security_result.description, wenn EventID = 1117 oder 2001 ist. |
Error Description |
security_result.description |
Teil des security_result.description, wenn EventID = 1117 oder 2001 ist. |
EventID |
metadata.product_event_type |
Teil des metadata.product_event_type beim Parsen von syslog/JSON oder XML. |
EventTime |
metadata.event_timestamp |
Wird geparst, um den metadata.event_timestamp zu generieren. |
ExchangeLocations |
security_result.category_details |
Der Wert von properties.RawEventData.ExchangeLocations. |
ExternalAccess |
read_only_udm.additional.fields |
Schlüssel: ExternalAccess, Wert: properties.RawEventData.ExternalAccess |
FailureReason |
security_result.description |
Der Wert von properties.FailureReason, wenn ActionType = LogonFailed ist. |
FileExtension |
read_only_udm.additional.fields |
Schlüssel: FileExtension, Wert: properties.RawEventData.FileExtension |
FileName |
about.file.full_path |
Der Wert von properties.FileName, wenn category EmailAttachmentInfo enthält. Andernfalls target.process.file.full_path. |
FileSize |
target.process.file.size |
Der Wert von properties.FileSize, konvertiert in eine vorzeichenlose Ganzzahl. |
FileSize |
about.file.size |
Der Wert von properties.FileSize, umgewandelt in eine vorzeichenlose Ganzzahl, wenn category EmailAttachmentInfo enthält. |
FileSize |
principal.process.file.size |
Der Wert von properties.RawEventData.FileSize, konvertiert in eine vorzeichenlose Ganzzahl. |
FileType |
about.file.mime_type |
Der Wert von properties.FileType, wenn category EmailAttachmentInfo enthält. Andernfalls target.process.file.mime_type. |
FileType |
read_only_udm.additional.fields |
Schlüssel: FileType, Wert: properties.RawEventData.FileType, falls nicht leer, oder Unknown |
FolderPath |
target.file.full_path |
Der Wert von properties.FolderPath. |
FolderPath |
target.process.file.full_path |
Der Wert von FolderPath, wenn ActionType CreateRemoteThreadApiCall, ExploitGuardNonMicrosoftSignedBlocked, DriverLoad, FileRenamed, OpenProcessApiCall, ReadProcessMemoryApiCall, ImageLoaded oder properties.ActionType ist, ist FileCreatedOnNetworkShare. |
Hidden |
read_only_udm.additional.fields |
Schlüssel: Hidden, Wert: properties.RawEventData.Hidden |
Hostname |
principal.hostname, principal.asset.hostname |
Wird beim Parsen von syslog/JSON oder XML verwendet. |
IPAddresses |
entity.asset.ip |
Das Feld IPAddress in jedem Objekt im IPAddresses-Array, ausgenommen IPv6-Link-Local-, IPv4-APIPA-, IPv6-Loopback-, IPv6-Multicast- und Loopback-Adressen. |
IPAddress |
principal.ip, principal.asset.ip |
Der Wert von properties.IPAddress, sofern es sich um eine gültige IP-Adresse handelt. |
IPCategory |
read_only_udm.additional.fields |
Schlüssel: IPCategory, Wert: properties.IPCategory |
IPTags |
read_only_udm.additional.fields |
Schlüssel: IPTags, Wert: properties.IPTags |
ISP |
read_only_udm.additional.fields |
Schlüssel: ISP, Wert: properties.ISP |
InitiatingProcessAccountName |
principal.user.userid |
Wird ausgefüllt, wenn „properties.AccountName“ leer ist oder wenn beide vorhanden sind. |
InitiatingProcessAccountSid |
principal.user.windows_sid |
Wird ausgefüllt, wenn „properties.AccountSid“ leer ist oder wenn beide vorhanden sind. |
InitiatingProcessAccountUpn |
principal.user.email_addresses |
Der Wert von properties.InitiatingProcessAccountUpn. |
InitiatingProcessCommandLine |
principal.process.command_line |
Der Wert von properties.InitiatingProcessCommandLine ohne Anführungszeichen. |
InitiatingProcessFileName |
principal.process.file.full_path |
Der Wert von properties.InitiatingProcessFileName. |
InitiatingProcessFileSize |
principal.process.file.size |
Der Wert von properties.InitiatingProcessFileSize, konvertiert in eine vorzeichenlose Ganzzahl. |
InitiatingProcessFolderPath |
principal.process.file.full_path |
Der Wert von properties.InitiatingProcessFolderPath. |
InitiatingProcessId |
principal.process.pid |
Der in einen String umgewandelte Wert von properties.InitiatingProcessId. |
InitiatingProcessIntegrityLevel |
about.labels, principal.resource.attribute.labels |
Schlüssel: InitiatingProcessIntegrityLevel, Wert: properties.InitiatingProcessIntegrityLevel |
InitiatingProcessMD5 |
principal.process.file.md5 |
Der Wert von properties.InitiatingProcessMD5. |
InitiatingProcessParentFileName |
principal.process.parent_process.file.full_path |
Der Wert von properties.InitiatingProcessParentFileName. |
InitiatingProcessParentId |
principal.process.parent_process.pid |
Der in einen String umgewandelte Wert von properties.InitiatingProcessParentId. |
InitiatingProcessSHA1 |
principal.process.file.sha1 |
Der Wert von properties.InitiatingProcessSHA1. |
InitiatingProcessSHA256 |
principal.process.file.sha256 |
Der Wert von properties.InitiatingProcessSHA256. |
InitiatingProcessSignatureStatus |
read_only_udm.additional.fields |
Schlüssel: InitiatingProcessSignatureStatus, Wert: properties.InitiatingProcessSignatureStatus |
InitiatingProcessSignerType |
read_only_udm.additional.fields |
Schlüssel: InitiatingProcessSignerType, Wert: properties.InitiatingProcessSignerType |
InitiatingProcessTokenElevation |
about.labels, principal.resource.attribute.labels |
Schlüssel: InitiatingProcessTokenElevation, Wert: properties.InitiatingProcessTokenElevation |
InitiatingProcessVersionInfoCompanyName |
principal.user.company_name |
Der Wert von properties.InitiatingProcessVersionInfoCompanyName. |
InitiatingProcessVersionInfoFileDescription |
principal.resource.attribute.labels |
Schlüssel: File Description, Wert: properties.InitiatingProcessVersionInfoFileDescription |
InitiatingProcessVersionInfoInternalFileName |
principal.resource.attribute.labels |
Schlüssel: File Name, Wert: properties.InitiatingProcessVersionInfoInternalFileName |
InitiatingProcessVersionInfoOriginalFileName |
principal.resource.attribute.labels |
Schlüssel: Original File Name, Wert: properties.InitiatingProcessVersionInfoOriginalFileName |
InitiatingProcessVersionInfoProductName |
read_only_udm.additional.fields |
Schlüssel: InitiatingProcessVersionInfoProductName, Wert: properties.InitiatingProcessVersionInfoProductName |
InitiatingProcessVersionInfoProductVersion |
metadata.product_version |
Der Wert von properties.InitiatingProcessVersionInfoProductVersion. |
InternetMessageId |
read_only_udm.additional.fields |
Schlüssel: InternetMessageId, Wert: properties.InternetMessageId ohne spitze Klammern |
IsAdminOperation |
read_only_udm.additional.fields |
Schlüssel: IsAdminOperation, Wert: properties.IsAdminOperation |
IsAnonymousProxy |
read_only_udm.additional.fields |
Schlüssel: IsAnonymousProxy, Wert: properties.IsAnonymousProxy |
IsExternalUser |
read_only_udm.additional.fields |
Schlüssel: IsExternalUser, Wert: properties.IsExternalUser |
IsImpersonated |
read_only_udm.additional.fields |
Schlüssel: IsImpersonated, Wert: properties.IsImpersonated |
IsLocalAdmin |
about.labels, principal.resource.attribute.labels |
Schlüssel: IsLocalAdmin, Wert: true oder false, je nach booleschen Wert von properties.IsLocalAdmin. |
LoggedOnUsers |
target.user.userid, entity.relations.entity.user.userid |
Das Feld UserName in jedem Objekt im LoggedOnUsers-Array wird als target.user.userid und als zugehörige Nutzerentität hinzugefügt. Das Feld Sid wird als entity.relations.entity.user.windows_sid hinzugefügt. |
LocalIP |
principal.ip, principal.asset.ip |
Der Wert von LocalIP beim Parsen von JSON. |
LocalPort |
principal.port |
Der Wert von LocalPort, der beim Parsen von JSON in eine Ganzzahl konvertiert wird. |
LogonType |
extensions.auth.mechanism |
Wird basierend auf dem Wert einem UDM-Authentifizierungsmechanismus zugeordnet. |
LogonType |
read_only_udm.additional.fields |
Schlüssel: LogonType, Wert: properties.RawEventData.LogonType |
LogonUserSid |
read_only_udm.additional.fields |
Schlüssel: LogonUserSid, Wert: properties.RawEventData.LogonUserSid |
MacAddress |
entity.asset.mac |
Der Wert von MacAddress oder properties.MacAddress, formatiert als durch Doppelpunkte getrennter String. |
MailboxGuid |
read_only_udm.additional.fields |
Schlüssel: MailboxGuid, Wert: properties.RawEventData.MailboxGuid |
MailboxOwnerMasterAccountSid |
read_only_udm.additional.fields |
Schlüssel: MailboxOwnerMasterAccountSid, Wert: properties.RawEventData.MailboxOwnerMasterAccountSid |
MailboxOwnerSid |
read_only_udm.additional.fields |
Schlüssel: MailboxOwnerSid, Wert: properties.RawEventData.MailboxOwnerSid |
MailboxOwnerUPN |
read_only_udm.additional.fields |
Schlüssel: MailboxOwnerUPN, Wert: properties.RawEventData.MailboxOwnerUPN |
MD5 |
target.process.file.md5 |
Der Wert von properties.MD5. |
Message |
security_result.description |
Teil des security_result.description, wenn EventID = 1000, 1001, 1002, 1013, 1116, 1117, 2000, 2001, 2002, 2010, 2011 oder 5007 ist. |
NetworkAdapterType |
metadata.product_event_type |
Der Wert von NetworkAdapterType beim Parsen von JSON. |
NetworkMessageId |
network.email.mail_id |
Der Wert von properties.NetworkMessageId. |
New Value |
security_result.description |
Teil des Großflächenbrandes security_result.description, wenn EventID = 5007 ist |
Object Name |
read_only_udm.additional.fields |
Schlüssel: ObjectName, Wert: properties.ObjectName |
Object Type |
read_only_udm.additional.fields |
Schlüssel: ObjectType, Wert: properties.ObjectType |
ObjectId |
read_only_udm.additional.fields |
Schlüssel: ObjectId, Wert: properties.ObjectId oder properties.RawEventData.ObjectId. |
Old Value |
security_result.description |
Teil des Großflächenbrandes security_result.description, wenn EventID = 5007 ist |
Operation |
read_only_udm.additional.fields |
Schlüssel: Operation, Wert: properties.RawEventData.Operation |
operationName |
read_only_udm.additional.fields |
Schlüssel: OperationName, Wert: operationName |
OrganizationId |
read_only_udm.additional.fields |
Schlüssel: OrganizationId, Wert: properties.RawEventData.OrganizationId |
OrganizationName |
read_only_udm.additional.fields |
Schlüssel: OrganizationName, Wert: properties.RawEventData.OrganizationName |
OriginatingServer |
read_only_udm.additional.fields |
Schlüssel: OriginatingServer, Wert: properties.RawEventData.OriginatingServer |
OSPlatform |
asset.platform_software.platform |
Wenn der Wert macos enthält, wird platform auf MAC gesetzt. Wenn windows, wird WINDOWS festgelegt. Wenn nix, wird LINUX festgelegt. |
OSVersion |
asset.platform_software.platform_version |
Der Wert von properties.OSVersion. |
Path |
target.file.full_path |
Wird verwendet, wenn EventID 1011 oder 1116 ist. |
Persistence Limit Type |
security_result.description |
Teil des security_result.description, wenn EventID 2010 oder 2011 ist. |
Persistence Limit Value |
security_result.description |
Teil des security_result.description, wenn EventID 2010 oder 2011 ist. |
Persistence Path |
target.file.full_path |
Wird verwendet, wenn EventID 2010 oder 2011 ist. |
Previous Engine Version |
security_result.description |
Teil des security_result.description, wenn EventID = 2000, 2001 oder 2002 ist. |
PreviousRegistryKey |
target.registry.registry_key |
Der Wert von properties.PreviousRegistryKey. |
PreviousRegistryValueData |
target.resource.attribute.labels |
Schlüssel: PreviousRegistryValueData, Wert: properties.PreviousRegistryValueData |
PreviousRegistryValueName |
target.resource.attribute.labels |
Schlüssel: PreviousRegistryValueName, Wert: properties.PreviousRegistryValueName |
Previous security intelligence Version |
security_result.description |
Teil des Großflächenbrandes security_result.description, wenn EventID = 2001 ist |
Previous Signature Version |
security_result.description |
Teil des security_result.description, wenn EventID = 2000 ist |
ProcessCommandLine |
target.process.command_line |
Der Wert von properties.ProcessCommandLine. |
ProcessID |
principal.process.pid |
Wird beim Parsen von syslog/JSON oder XML verwendet. |
ProcessId |
target.process.pid |
Der in einen String umgewandelte Wert von properties.ProcessId. |
Process Name |
target.process.pid |
Wird verwendet, wenn EventID 1116 oder 1117 ist. |
Product Version |
metadata.product_version |
Wird beim Parsen von syslog/JSON oder XML verwendet. |
Protocol |
network.ip_protocol |
Wenn der Wert Tcp enthält, wird TCP festgelegt. Wenn Udp, wird UDP festgelegt. Wenn Icmp, wird ICMP festgelegt. |
ProviderGuid |
principal.resource.id |
Wird beim Parsen von syslog/JSON oder XML verwendet. |
PublicIP |
principal.ip, principal.asset.ip |
Der Wert von properties.PublicIP. |
RawEventData.Application |
principal.application |
Der Wert von properties.RawEventData.Application. |
RawEventData.ClientIP |
principal.ip, principal.asset.ip |
Der Wert von properties.RawEventData.ClientIP, sofern es sich um eine gültige IP-Adresse handelt. |
RawEventData.ClientIPAddress |
principal.ip, principal.asset.ip |
Der Wert von properties.RawEventData.ClientIPAddress, sofern es sich um eine gültige IP-Adresse handelt. |
RawEventData.ClientInfoString |
read_only_udm.additional.fields |
Schlüssel: ClientInfoString, Wert: properties.RawEventData.ClientInfoString |
RawEventData.ClientProcessName |
read_only_udm.additional.fields |
Schlüssel: ClientProcessName, Wert: properties.RawEventData.ClientProcessName |
RawEventData.ClientRequestId |
read_only_udm.additional.fields |
Schlüssel: ClientRequestId, Wert: properties.RawEventData.ClientRequestId |
RawEventData.ClientVersion |
read_only_udm.additional.fields |
Schlüssel: ClientVersion, Wert: properties.RawEventData.ClientVersion |
RawEventData.CreationTime |
read_only_udm.additional.fields |
Schlüssel: CreationTime, Wert: properties.RawEventData.CreationTime |
RawEventData.DeviceName |
principal.hostname, principal.asset.hostname |
Der Wert von properties.RawEventData.DeviceName. |
RawEventData.DestinationLocationType |
read_only_udm.additional.fields |
Schlüssel: DestinationLocationType, Wert: properties.RawEventData.DestinationLocationType |
RawEventData.ExchangeLocations |
security_result.category_details |
Der Wert von properties.RawEventData.ExchangeLocations. |
RawEventData.ExternalAccess |
read_only_udm.additional.fields |
Schlüssel: ExternalAccess, Wert: properties.RawEventData.ExternalAccess |
RawEventData.FileExtension |
read_only_udm.additional.fields |
Schlüssel: FileExtension, Wert: properties.RawEventData.FileExtension |
RawEventData.FileSize |
target.process.file.size |
Der Wert von properties.RawEventData.FileSize, konvertiert in eine vorzeichenlose Ganzzahl. |
RawEventData.FileType |
read_only_udm.additional.fields |
Schlüssel: FileType, Wert: properties.RawEventData.FileType, falls nicht leer, oder Unknown |
RawEventData.Hidden |
read_only_udm.additional.fields |
Schlüssel: Hidden, Wert: properties.RawEventData.Hidden |
RawEventData.Id |
read_only_udm.additional.fields |
Schlüssel: RawEventDataId, Wert: properties.RawEventData.Id |
RawEventData.Item.Id |
item_idm.read_only_udm.additional.fields |
Schlüssel: RawEventDataItemId, Wert: properties.RawEventData.item.id |
RawEventData.LogonType |
read_only_udm.additional.fields |
Schlüssel: LogonType, Wert: properties.RawEventData.LogonType |
RawEventData.LogonUserSid |
read_only_udm.additional.fields |
Schlüssel: LogonUserSid, Wert: properties.RawEventData.LogonUserSid |
RawEventData.MailboxGuid |
read_only_udm.additional.fields |
Schlüssel: MailboxGuid, Wert: properties.RawEventData.MailboxGuid |
RawEventData.MailboxOwnerMasterAccountSid |
read_only_udm.additional.fields |
Schlüssel: MailboxOwnerMasterAccountSid, Wert: properties.RawEventData.MailboxOwnerMasterAccountSid |
RawEventData.MailboxOwnerSid |
read_only_udm.additional.fields |
Schlüssel: MailboxOwnerSid, Wert: properties.RawEventData.MailboxOwnerSid |
RawEventData.MailboxOwnerUPN |
read_only_udm.additional.fields |
Schlüssel: MailboxOwnerUPN, Wert: properties.RawEventData.MailboxOwnerUPN |
RawEventData.MDATPDeviceId |
read_only_udm.additional.fields |
Schlüssel: MDATPDeviceId, Wert: properties.RawEventData.MDATPDeviceId |
RawEventData.ObjectId |
read_only_udm.additional.fields |
Schlüssel: ObjectId, Wert: properties.RawEventData.ObjectId |
RawEventData.Operation |
read_only_udm.additional.fields |
Schlüssel: Operation, Wert: properties.RawEventData.Operation |
RawEventData.OrganizationId |
read_only_udm.additional.fields |
Schlüssel: OrganizationId, Wert: properties.RawEventData.OrganizationId |
RawEventData.OrganizationName |
read_only_udm.additional.fields |
Schlüssel: OrganizationName, Wert: properties.RawEventData.OrganizationName |
RawEventData.OriginatingServer |
read_only_udm.additional.fields |
Schlüssel: OriginatingServer, Wert: properties.RawEventData.OriginatingServer |
RawEventData.ParentFolder.Id |
read_only_udm.additional.fields |
Schlüssel: RawEventDataParentFolderId, Wert: properties.RawEventData.ParentFolder.Id |
RawEventData.Pid |
target.process.pid |
Der in einen String umgewandelte Wert von properties.RawEventData.Pid. |
RawEventData.Query |
read_only_udm.additional.fields |
Schlüssel: Query, Wert: properties.RawEventData.Query |
RawEventData.RecordType |
network.dns.questions.type |
Der Wert von properties.RawEventData.RecordType, konvertiert in eine vorzeichenlose Ganzzahl. |
RawEventData.ResultStatus |
read_only_udm.additional.fields |
Schlüssel: ResultStatus, Wert: properties.RawEventData.ResultStatus |
RawEventData.Scope |
read_only_udm.additional.fields |
Schlüssel: Scope, Wert: properties.RawEventData.Scope |
RawEventData.SessionId |
network.session_id |
Der Wert von properties.RawEventData.SessionId. |
RawEventData.Sha1 |
target.process.file.sha1 |
Der Wert von properties.RawEventData.Sha1. |
RawEventData.Sha256 |
target.process.file.sha256 |
Der Wert von properties.RawEventData.Sha256. |
RawEventData.TargetDomain |
target.hostname, target.asset.hostname |
Der Wert von properties.RawEventData.TargetDomain. |
RawEventData.TargetFilePath |
target.file.full_path |
Der Wert von properties.RawEventData.TargetFilePath. |
RawEventData.UserId |
principal.user.email_addresses |
Der Wert von properties.RawEventData.UserId, sofern es sich um eine E-Mail-Adresse handelt. |
RawEventData.UserKey |
read_only_udm.additional.fields |
Schlüssel: UserKey, Wert: properties.RawEventData.UserKey |
RawEventData.UserType |
read_only_udm.additional.fields |
Schlüssel: UserType, Wert: properties.RawEventData.UserType |
RawEventData.Version |
read_only_udm.additional.fields |
Schlüssel: Version, Wert: properties.RawEventData.Version |
RawEventData.Workload |
read_only_udm.additional.fields |
Schlüssel: Workload, Wert: properties.RawEventData.Workload |
RecipientEmailAddress |
network.email.to, target.user.email_addresses |
Der Wert von properties.RecipientEmailAddress. |
RecipientObjectId |
target.user.product_object_id |
Der Wert von properties.RecipientObjectId. |
RegistryKey |
target.registry.registry_key |
Der Wert von properties.RegistryKey. |
RegistryValueData |
target.registry.registry_value_data |
Der Wert von properties.RegistryValueData. |
RegistryValueName |
target.registry.registry_value_name |
Der Wert von properties.RegistryValueName. |
Remediation User |
intermediary.user.userid |
Wird verwendet, wenn EventID 1117 ist. |
RemoteDeviceName |
target.hostname, target.asset.hostname |
Der Wert von properties.RemoteDeviceName. |
RemoteIP |
target.ip, target.asset.ip |
Der Wert von properties.RemoteIP, sofern nicht leer, - oder null. |
RemoteIPType |
about.labels, principal.resource.attribute.labels |
Schlüssel: RemoteIPType, Wert: properties.RemoteIPType |
RemotePort |
target.port |
Der in eine Ganzzahl umgewandelte Wert von properties.RemotePort. |
RemoteUrl |
target.url |
Der Wert von properties.RemoteUrl. Wenn er einen Hostnamen enthält, wird dieser extrahiert und target.hostname und target.asset.hostname zugeordnet. |
Removal Reason Value |
security_result.description |
Teil des Großflächenbrandes security_result.description, wenn EventID = 2011 ist |
ReportId |
metadata.product_log_id |
Der in einen String umgewandelte Wert von properties.ReportId. |
Scan ID |
security_result.description |
Teil des security_result.description, wenn EventID = 1000, 1001 oder 1002 ist. |
Scan Parameters |
security_result.description |
Teil des security_result.description, wenn EventID = 1000, 1001 oder 1002 ist. |
Scan Resources |
target.file.full_path |
Wird verwendet, wenn EventID = 1.000 ist. |
Scan Time Hours |
security_result.description |
Teil des Großflächenbrandes security_result.description, wenn EventID = 1001 ist |
Scan Time Minutes |
security_result.description |
Teil des Großflächenbrandes security_result.description, wenn EventID = 1001 ist |
Scan Time Seconds |
security_result.description |
Teil des Großflächenbrandes security_result.description, wenn EventID = 1001 ist |
Scan Type |
security_result.description |
Teil des security_result.description, wenn EventID = 1000, 1001 oder 1002 ist. |
Security intelligence Type |
security_result.description |
Teil des Großflächenbrandes security_result.description, wenn EventID = 2001 ist |
Security intelligence Version |
security_result.description |
Teil des Großflächenbrandes security_result.description, wenn EventID = 1011 ist |
SenderDisplayName |
principal.user.user_display_name |
Der Wert von properties.SenderDisplayName. |
SenderFromAddress |
network.email.from, principal.user.email_addresses |
Der Wert von properties.SenderFromAddress. |
SenderFromDomain |
principal.administrative_domain |
Der Wert von properties.SenderFromDomain. |
SenderIPv4 |
principal.ip, principal.asset.ip |
Der Wert von properties.SenderIPv4. |
SenderIPv6 |
principal.ip, principal.asset.ip |
Der Wert von properties.SenderIPv6. |
SenderMailFromAddress |
principal.user.attribute.labels |
Schlüssel: SenderMailFromAddress, Wert: properties.SenderMailFromAddress |
SenderMailFromDomain |
principal.user.attribute.labels |
Schlüssel: SenderMailFromDomain, Wert: properties.SenderMailFromDomain |
SenderObjectId |
principal.user.product_object_id |
Der Wert von properties.SenderObjectId. |
Severity Name |
security_result.severity |
Wenn der Wert Low ist, wird LOW festgelegt. Wenn Moderate, wird MEDIUM festgelegt. Wenn High oder Severe, wird HIGH festgelegt. |
Severity |
security_result.severity |
Wenn der Wert informational enthält, wird INFORMATIONAL festgelegt. Wenn low, wird LOW festgelegt. Wenn medium, wird MEDIUM festgelegt. Wenn high, wird HIGH festgelegt. Andernfalls wird UNKNOWN_SEVERITY festgelegt. |
Severity |
security_result.severity_details |
Der Wert von properties.Severity. |
SHA1 |
target.process.file.sha1 |
Der Wert von properties.SHA1. |
SHA256 |
target.process.file.sha256 |
Der Wert von properties.SHA256. |
SHA256 |
about.file.sha256 |
Der Wert von properties.SHA256, wenn category EmailAttachmentInfo enthält. |
Signature Type |
security_result.description |
Teil des security_result.description, wenn EventID = 2000 oder 2010 ist. |
SourceModuleName |
target.resource.name |
Wird verwendet, wenn EventID 2008 ist. |
Source Path |
security_result.description |
Teil des Großflächenbrandes security_result.description, wenn EventID = 2001 ist |
Subject |
network.email.subject |
Der Wert von properties.Subject. |
Tenant |
read_only_udm.additional.fields |
Schlüssel: Tenant, Wert: Tenant |
tenantId |
observer.cloud.project.id, target.resource_ancestors.product_object_id |
Der Wert tenantId oder properties.tenantId. |
Threat ID |
security_result.threat_name |
Teil des security_result.threat_name, wenn EventID = 1011 oder 1116 ist. |
ThreatNames |
security_result.threat_name |
Der Wert von properties.ThreatNames. |
Threat Types |
security_result.category |
Wenn der Wert Phish ist, wird security_result_category auf MAIL_PHISHING gesetzt. Andernfalls wird UNKNOWN_CATEGORY festgelegt. |
Timestamp |
security_result.description |
Teil des Großflächenbrandes security_result.description, wenn EventID = 1013 |
Timestamp |
metadata.event_timestamp |
Wird geparst, um den metadata.event_timestamp zu generieren. |
Timestamp |
entity.asset.system_last_update_time |
Der Wert von properties.Timestamp, wenn category = AdvancedHunting-DeviceNetworkInfo ist. |
Title |
security_result.threat_name |
Der Wert von properties.Title. |
Update Source |
security_result.description |
Teil des Großflächenbrandes security_result.description, wenn EventID = 2001 ist |
Update State |
security_result.description |
Teil des Großflächenbrandes security_result.description, wenn EventID = 2001 ist |
Update Type |
security_result.description |
Teil des security_result.description, wenn EventID = 2000 oder 2001 ist. |
UserAgent |
network.http.user_agent |
Der Wert von properties.UserAgent. |
UserAgentTags |
additional.fields |
Jedes Element im Array properties.UserAgentTags wird als Label mit dem Schlüssel UserAgentTags hinzugefügt. |
Url |
target.url |
Der Wert von properties.Url. |
UrlCount |
read_only_udm.additional.fields |
Schlüssel: UrlCount, Wert: properties.UrlCount |
UrlDomain |
target.hostname, target.asset.hostname |
Der Wert von properties.UrlDomain. |
UrlLocation |
read_only_udm.additional.fields |
Schlüssel: UrlLocation, Wert: properties.UrlLocation |
User |
target.user.userid |
Wird verwendet, wenn EventID 1000, 1001, 1002, 1011, 1013, 2000 oder 2002 ist oder wenn Message \tUser: enthält. |
UserID |
principal.user.userid |
Wird verwendet, wenn EventID 2010 oder 2011 ist. |
| (Parser Logic) | metadata.event_type |
Wird zuerst auf GENERIC_EVENT festgelegt und dann basierend auf anderen Feldern und Logik überschrieben. Gängige Werte sind NETWORK_CONNECTION, PROCESS_LAUNCH, FILE_CREATION, FILE_MODIFICATION, USER_LOGIN, SCAN_HOST, SCAN_PROCESS, SYSTEM_AUDIT_LOG_WIPE, SETTING_MODIFICATION, FILE_DELETION, PROCESS_MODULE_LOAD, PROCESS_UNCATEGORIZED, STATUS_UPDATE, PROCESS_OPEN, NETWORK_DNS, FILE_MOVE, REGISTRY_CREATION, REGISTRY_DELETION, REGISTRY_MODIFICATION, SCHEDULED_TASK_CREATION, SCHEDULED_TASK_DELETION, SCHEDULED_TASK_MODIFICATION, SCAN_NETWORK, USER_UNCATEGORIZED. |
| (Parser Logic) | metadata.vendor_name |
Legen Sie Microsoft fest. |
| (Parser Logic) | metadata.product_name |
Wird zuerst auf Windows Defender ATP festgelegt und dann möglicherweise vom Feld category überschrieben. |
| (Parser Logic) | metadata.product_event_type |
Wird zuerst auf GENERIC_EVENT festgelegt und dann basierend auf anderen Feldern und Logik überschrieben. |
| (Parser Logic) | metadata.product_version |
Basierend auf Product Version oder properties.InitiatingProcessVersionInfoProductVersion festgelegt. |
| (Parser Logic) | metadata.log_type |
Legen Sie WINDOWS_DEFENDER_ATP fest. |
| (Parser Logic) | principal.resource.type |
Legen Sie PROVIDER fest, wenn syslog-/JSON- oder XML-Dateien geparst werden. |
| (Parser Logic) | target.resource_ancestors |
Enthält einen einzelnen übergeordneten Knoten, für den product_object_id auf tenantId festgelegt ist. |
| (Parser Logic) | security_result.summary |
Basierend auf EventID, properties.ActionType oder properties.Title und properties.Category festlegen |
| (Parser Logic) | security_result.description |
Je nach EventID oder properties.ActionType aus verschiedenen Feldern erstellt. |
| (Parser Logic) | security_result.action |
Wird zuerst auf ALLOW festgelegt und dann möglicherweise basierend auf AdditionalFields.WasRemediated, ActionType oder Action Name überschrieben. |
| (Parser Logic) | security_result.severity |
Basierend auf Severity Name oder properties.Severity festgelegt. |
| (Parser Logic) | security_result.category |
Festgelegt auf Grundlage von Threat Types. |
| (Parser Logic) | network.direction |
Legen Sie dafür RemoteIP, LocalIP oder EmailDirection fest. |
| (Parser Logic) | network.ip_protocol |
Wird auf TCP gesetzt, wenn metadata.event_type gleich NETWORK_CONNECTION ist. |
| (Parser Logic) | network.session_id |
Festgelegt auf Grundlage von properties.RawEventData.SessionId. |
| (Parser Logic) | network.http.user_agent |
Festgelegt auf Grundlage von properties.UserAgent. |
| (Parser Logic) | network.email.mail_id |
Festgelegt auf Grundlage von properties.NetworkMessageId. |
| (Parser Logic) | network.email.subject |
Festgelegt auf Grundlage von properties.Subject. |
| (Parser Logic) | network.email.from |
Festgelegt auf Grundlage von properties.SenderFromAddress. |
| (Parser Logic) | network.email.to |
Festgelegt auf Grundlage von properties.RecipientEmailAddress. |
| (Parser Logic) | network.dns.questions.name |
Festgelegt auf Grundlage von AdditionalFields.DnsQueryString. |
| (Parser Logic) | network.dns.questions.type |
Festgelegt auf Grundlage von properties.RawEventData.RecordType. |
| (Parser Logic) | network.dns.answers |
Erstellt aus AdditionalFields.DnsQueryResult. |
| (Parser Logic) | extensions.auth.type |
Wird auf MACHINE gesetzt, wenn ActionType gleich LogonAttempted oder LogonSuccess ist. |
| (Parser Logic) | extensions.auth.mechanism |
Basierend auf LogonType oder AdditionalFields.IsLocalLogon festgelegt. |
| (Parser Logic) | extensions.auth.auth_details |
Festgelegt auf Grundlage von properties.AuthenticationDetails. |
| (Parser Logic) | entity.asset.asset_id |
Erstellt mit WINDOWS: + DeviceId oder properties.DeviceId. |
| (Parser Logic) | entity.asset.product_object_id |
Legen Sie dafür DeviceId oder properties.DeviceId fest. |
| (Parser Logic) | entity.asset.network_domain |
Aus ConnectedNetworks extrahiert. |
| (Parser Logic) | entity.asset.ip |
Legen Sie den Wert basierend auf IPAddresses, _ipaddress, PublicIP oder LocalIP fest. |
| (Parser Logic) | entity.asset.mac |
Basierend auf MacAddress oder properties.MacAddress festgelegt. |
| (Parser Logic) | entity.asset.hostname |
Basierend auf DeviceName oder properties.DeviceName festgelegt. |
| (Parser Logic) | entity.asset.platform_software.platform |
Festgelegt auf Grundlage von OSPlatform. |
| (Parser Logic) | entity.asset.platform_software.platform_version |
Festgelegt auf Grundlage von OSVersion. |
| (Parser Logic) | entity.asset.category |
Festgelegt auf Grundlage von DeviceCategory. |
| (Parser Logic) | entity.asset.type |
Legen Sie für Geräte- und Netzwerkinformationen WORKSTATION fest. |
| (Parser Logic) | entity.asset.system_last_update_time |
Basierend auf properties.Timestamp für Netzwerkinformationen-Ereignisse festlegen |
| (Parser Logic) | entity.relations |
Erstellt aus LoggedOnUsers. |
| (Parser Logic) | entity.metadata.entity_type |
Legen Sie für Geräte-, Netzwerk- und Asset-Ereignisse ASSET fest. |
| (Parser Logic) | about.labels |
Enthält Labels für verschiedene Felder, die nicht direkt in das UDM-Schema passen. |
| (Parser Logic) | principal.user.attribute.labels |
Enthält Labels für verschiedene nutzerbezogene Felder. |
| (Parser Logic) | principal.resource.attribute.labels |
Enthält Labels für verschiedene ressourcenbezogene Felder. |
| (Parser Logic) | target.resource.resource_type |
Legen Sie TASK für Ereignisse geplanter Aufgaben und SETTING für Änderungsereignisse fest. |
| (Parser Logic) | target.resource.name |
Legen Sie dafür SourceModuleName, AdditionalFields.TaskName oder _taskname fest. |
| (Parser Logic) | target.resource.product_object_id |
Festgelegt auf Grundlage von properties.ReportId. |
| (Parser Logic) | target.resource_ancestors |
Festgelegt auf Grundlage von tenantId. |
| (Parser Logic) | target.registry.registry_key |
Legen Sie dafür RegistryKey, PreviousRegistryKey oder properties.RegistryKey fest. |
| (Parser Logic) | target.registry.registry_value_name |
Basierend auf RegistryValueName oder properties.RegistryValueName festgelegt. |
| (Parser Logic) | target.registry.registry_value_data |
Basierend auf RegistryValueData oder properties.RegistryValueData festgelegt. |
| (Parser Logic) | intermediary.user.userid |
Festgelegt auf Grundlage von Remediation User. |
| (Parser Logic) | metadata.collected_timestamp |
Für Asset- und Netzwerkinformationen-Ereignisse auf den Ereigniszeitstempel festlegen. |
Änderungen
2024-10-15
Optimierung:
- Das Feld
ReportIdwird jetzt korrekt geparst.
2024-06-20
Optimierung:
- Unterstützung für Protokollierung hinzugefügt, wenn
security_result.summary=FileUploadedToCloud
2024-05-28
Optimierung:
properties.Applicationwurdeprincipal.applicationzugeordnet.properties.AccountDisplayNamewurdeprincipal.user.user_display_namezugeordnet.properties.AccountIdwurdeprincipal.user.product_object_idzugeordnet.properties.AccountTypewurdeprincipal.user.attribute.labelszugeordnet.properties.UserAgentwurdenetwork.http.user_agentzugeordnet.- Zugewiesene Tasten:
properties.RawEventData.Id,properties.RawEventData.item.id,properties.RawEventData.ParentFolder.Id,properties.AppInstanceId,properties.ActivityType,properties.ActivityObjects,properties.ApplicationId,properties.DeviceType,properties.EnforcementMode,properties.IsAnonymousProxy,properties.IsAdminOperation,properties.IsExternalUser,properties.IsImpersonated,properties.RawEventData.MDATPDeviceId,properties.AdditionalFields.IsSatelliteProvider,properties.RawEventData.DestinationLocationType,properties.RawEventData.CreationTime,properties.RawEventData.FileExtension,properties.RawEventData.Hidden,properties.RawEventData.FileType,properties.IPCategory,properties.ISP,properties.IPTags,properties.RawEventData.UserType,properties.RawEventData.Versionundproperties.RawEventData.Workload,properties.UserAgentTags,operationName,properties.ObjectType,properties.RawEventData.Operation,properties.ObjectName,properties.RawEventData.Scope,properties.RawEventData.ClientProcessName,properties.RawEventData.ClientInfoString,properties.RawEventData.ClientRequestId,properties.RawEventData.ClientVersion,properties.RawEventData.ExternalAccess,properties.RawEventData.LogonType,properties.RawEventData.LogonUserSid,properties.RawEventData.MailboxGuidundproperties.RawEventData.UserKeybisadditional.fields. properties.RawEventData.ClientIPundproperties.IPAddresswurdenprincipal.ipundprincipal.asset.ipzugeordnet.properties.RawEventData.DeviceNamewurdeprincipal.hostnameundprincipal.asset.hostnamezugeordnet.metadata.event_typewurdeFILE_CREATIONzugeordnet, wennproperties.ActionType=FolderBind.
2024-04-02
properties.AccountObjectIdwurdeprincipal.user.useridzugeordnet.properties.CountryCodewurdeprincipal.location.country_or_regionzugeordnet.properties.Citywurdeprincipal.location.cityzugeordnet.properties.RawEventData.Applicationwurdeprincipal.applicationzugeordnet.properties.RawEventData.TargetFilePathwurdetarget.file.full_pathzugeordnet.properties.IPAddresswurdeprincipal.ipzugeordnet.properties.RawEventData.DeviceNamewurdeprincipal.hostnameundprincipal.asset.hostnamezugeordnet.properties.AccountDisplayNamewurdeprincipal.user.user_display_namezugeordnet.properties.ApplicationIdwurdeadditional.fieldszugeordnet.properties.RawEventData.FileExtensionwurdeadditional.fieldszugeordnet.properties.RawEventData.MDATPDeviceIdwurdeadditional.fieldszugeordnet.properties.RawEventData.FileTypewurdeadditional.fieldszugeordnet.properties.RawEventData.Sha1wurdetarget.process.file.sha1zugeordnet.properties.RawEventData.Sha256wurdetarget.process.file.sha256zugeordnet.properties.RawEventData.FileSizewurdetarget.process.file.sizezugeordnet.metadata.event_typewurdeFILE_CREATIONzugeordnet, wennproperties.ActionType=FileCreatedOnNetworkShare.
2024-03-05
metadata.entity_typewurde für Protokolle mit Asset-Informationen aufASSETumgestellt.properties.DeviceIdwurdeentity.asset.asset_idzugeordnet.
2023-12-08
Fehlerkorrektur:
- Die Zuordnung von
properties.InitiatingProcessFolderPathzuprincipal.process.file.full_pathwurde korrigiert.
2023-11-25
Optimierung:
AdditionalFieldsundproperties.AdditionalFieldswurdenprincipal.resource.attribute.labelszugeordnet.tenantIdwurderesource_ancestors.product_object_idzugeordnet.
2023-10-12
Optimierung:
- Beim Prüfen des Werts
properties.ActionTypewurdeFileUploadedCloudzuFileUploadedToCloudkorrigiert. properties.IPAddresswurdeprincipal.ipzugeordnet.properties.RawEventData.Sha1wurdeprincipal.process.file.sha1zugeordnet.properties.RawEventData.Sha256wurdeprincipal.process.file.sha256zugeordnet.properties.RawEventData.FileSizewurdeprincipal.process.file.sizezugeordnet.- Es wurde eine Validierungsüberprüfung für
properties.SenderFromAddressundproperties.RawEventData.UserIdvor der Zuordnung zu UDM-Feldern hinzugefügt.
2023-10-09
Optimierung:
- „properties.ObjectId“ wurde „additional.fields“ zugeordnet.
- „properties.RawEventData.Pid“ wurde „target.process.pid“ zugeordnet.
- Bedingung für den
Delete NetworkSecurityGroups-Aktionstyp für fehlerhafte Protokolle hinzugefügt. - Regex zum Parsen des Felds
properties.SenderFromAddresshinzugefügt.
2023-09-20
Optimierung:
- „properties.RegistryValueData“ wurde „target.registry.registry_value_data“ zugeordnet.
- „properties.RegistryValueName“ wurde „target.registry.registry_value_name“ zugeordnet.
- „properties.PreviousRegistryValueName“ wurde
target.resource.attribute.labelszugeordnet, obwohl auchproperties.RegistryValueNamevorhanden ist. - „properties.PreviousRegistryValueData“ wurde
target.resource.attribute.labelszugeordnet, wenn auchproperties.RegistryValueDatavorhanden ist.
2023-09-04
Optimierung:
- „properties.RegistryValueData“ wurde „target.registry.registry_value_data“ zugeordnet.
- „properties.RegistryValueName“ wurde „target.registry.registry_value_name“ zugeordnet.
- „properties.PreviousRegistryValueName“ wurde
target.resource.attribute.labelszugeordnet, obwohl auchproperties.RegistryValueNamevorhanden ist. - „properties.PreviousRegistryValueData“ wurde
target.resource.attribute.labelszugeordnet, wenn auchproperties.RegistryValueDatavorhanden ist. - Für „properties.ActionType“ in
SearchPreviewed,FileUploadedCloudwurden die folgenden Felder zugeordnet: - „properties.ApplicationId“ ist „additional.fields“ zugeordnet.
- „properties.AccountDisplayName“ ist „principal.user.user_display_name“ zugeordnet.
- „properties.AccountObjectId“ ist „principal.user.userid“ zugeordnet.
- „properties.RawEventData.UserId“ ist auf „principal.user.email_addresses“ zugeordnet.
- „properties.RawEventData.ObjectId“ ist „additional.fields“ zugeordnet.
- „properties.RawEventData.ExchangeLocations“ ist „security_result.category_details“ zugeordnet.
- „properties.RawEventData.TargetDomain“ ist „target.hostname“ zugeordnet.
- „properties.RawEventData.Query“ ist „additional.fields“ zugeordnet.
- Zugeordnete zusätzliche Felder für „AdvancedHunting-DeviceProcessEvents“:
- „properties.InitiatingProcessSignerType“ ist „additional.fields“ zugeordnet.
- „properties.InitiatingProcessSignatureStatus“ ist „additional.fields“ zugeordnet.
- „properties.ProcessVersionInfoProductName“ ist „additional.fields“ zugeordnet.
- „properties.InitiatingProcessVersionInfoProductName“ ist „additional.fields“ zugeordnet.
- „properties.ProcessVersionInfoCompanyName“ ist „principal.user.company_name“ zugeordnet.
2023-06-06
Optimierung:
properties.Urlwurdetarget.urlzugeordnet.properties.UrlDomainwurdetarget.hostnamezugeordnet.properties.UrlLocationwurdeadditional.fieldszugeordnet.
2023-03-01
Optimierung:
properties.InitiatingProcessVersionInfoCompanyNamewurdeprincipal.user.company_namezugeordnet.properties.InitiatingProcessVersionInfoProductVersionwurdemetadata.product_versionzugeordnet.properties.InitiatingProcessVersionInfoInternalFileNamewurdeprincipal.resource.attribute.labelszugeordnet.properties.InitiatingProcessVersionInfoOriginalFileNamewurdeprincipal.resource.attribute.labelszugeordnet.properties.properties.InitiatingProcessVersionInfoFileDescriptionwurdeprincipal.resource.attribute.labelszugeordnet.properties.AlertIdwurdemetadata.product_log_idzugeordnet.- Für das Feld
properties.InitiatingProcessAccountUpnwurde eine Bedingungsüberprüfung mit regulären Ausdrücken hinzugefügt. - Für den Block
target.hostnamewurde eine Prüfung auf Fehler hinzugefügt.
2022-12-20
Fehlerkorrektur:
- Die Funktion „on_error“ für
properties.AdditionalFieldswurde hinzugefügt, um Unzuverlässigkeiten zu reduzieren. - Bedingung für den Aktionstyp
Write NetworkSecurityGroups,Edit NetworkSecurityGroupsundFileModifiedExtendedfür fehlerhafte Protokolle hinzugefügt.
2022-10-20
Optimierung:
properties.ReportIdwurdetarget.resource.product_object_idzugeordnet.properties.DeviceIdwurdeprincipal.asset_idzugeordnet.
2022-09-20
Optimierung:
- Kundenspezifische Parser wurden mit dem Standardparser zusammengeführt.
2022-07-29
Optimierung:
- Die Protokolle mit den Ereignis-IDs wurden analysiert:
2006,2004,2033,2005,2008,0. - Unterstützung für neue, zuvor nicht geparste Protokolle im JSON-Format hinzugefügt.
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten