Recoger registros de Microsoft Windows Defender ATP

Disponible en:

En este documento se explica cómo recoger registros de Microsoft Windows Defender ATP en Google Security Operations mediante una cuenta de almacenamiento de Azure. Este analizador gestiona los registros de Windows Defender ATP en los formatos SYSLOG, XML y JSON. Normaliza los diversos campos de estos formatos en una estructura unificada, extrae información clave como los detalles de los eventos, los datos de los usuarios, la información de los procesos, la actividad de red y los resultados de seguridad, y los asigna al UDM. El analizador también lleva a cabo una lógica condicional basada en EventID y ActionType para categorizar los eventos y enriquecer el UDM con detalles específicos relevantes para cada tipo de evento.

Antes de empezar

  • Asegúrate de que tienes una instancia de Google SecOps.
  • Asegúrate de que tienes una suscripción activa a Azure.
  • Asegúrate de que tienes el rol Administrador global o Búsqueda avanzada de amenazas de Microsoft Defender.
  • Inicia sesión en tu inquilino de Azure, ve a Suscripciones > Tu suscripción > Proveedores de recursos > Registrar en Microsoft.Insights.

Configurar una cuenta de almacenamiento de Azure

  1. En la consola de Azure, busca "Cuentas de almacenamiento".
  2. Haz clic en Crear.
  3. Especifique los valores de los siguientes parámetros de entrada:
    • Suscripción: selecciona la suscripción.
    • Grupo de recursos: selecciona el grupo de recursos.
    • Región: selecciona la región.
    • Rendimiento: selecciona el rendimiento (se recomienda Estándar).
    • Redundancia: selecciona la redundancia (se recomienda GRS o LRS).
    • Nombre de la cuenta de almacenamiento: escribe un nombre para la nueva cuenta de almacenamiento.
  4. Haz clic en Revisar y crear.
  5. Revisa el resumen de la cuenta y haz clic en Crear.
  6. En la página Información general de la cuenta de almacenamiento, seleccione el submenú Claves de acceso en Seguridad y redes.
  7. Haz clic en Mostrar junto a tecla1 o tecla2.
  8. Haz clic en Copiar en el portapapeles para copiar la clave.
  9. Guarda la clave en un lugar seguro para usarla más adelante.
  10. En la página Resumen de la cuenta de almacenamiento, seleccione el submenú Endpoints (Endpoints) en Settings (Configuración).
  11. Haz clic en Copiar en el portapapeles para copiar la URL del endpoint del servicio Blob. Por ejemplo, https://<storageaccountname>.blob.core.windows.net.
  12. Guarda la URL del endpoint en una ubicación segura para usarla más adelante.

Configurar la exportación de registros de búsqueda avanzada de amenazas de Windows Defender

  1. Inicia sesión en security.microsoft.com como administrador global o administrador de seguridad.
  2. Ve a Configuración > Microsoft Defender XDR.
  3. Selecciona API Streaming.
  4. Haz clic en Añadir.
  5. Selecciona Reenviar eventos a Azure Storage.
  6. Vaya a la cuenta de almacenamiento que ha creado anteriormente.
  7. Copia el ID de recurso e introdúcelo en el campo ID de recurso de la cuenta de almacenamiento.
  8. Selecciona todos los Tipos de eventos.
  9. Haz clic en Guardar.

Configurar un feed en Google SecOps para ingerir los registros de búsqueda avanzada de amenazas de Windows Defender

  1. Ve a Configuración de SIEM > Feeds.
  2. Haz clic en Añadir nuevo.
  3. En el campo Nombre del feed, introduce un nombre para el feed (por ejemplo, Defender ATP Logs).
  4. Selecciona Microsoft Azure Blob Storage V2 como Tipo de fuente.
  5. Seleccione Windows Defender ATP como Tipo de registro.
  6. Haz clic en Siguiente.

  7. Especifique los valores de los siguientes parámetros de entrada:

    • URI de Azure: la URL del endpoint del blob.
      • ENDPOINT_URL/BLOB_NAME
        • Haz los cambios siguientes:
        • ENDPOINT_URL: la URL del endpoint de blob (https://<storageaccountname>.blob.core.windows.net).
        • BLOB_NAME: el nombre del blob, como <logname>-logs.

    • Opciones de eliminación de la fuente: selecciona la opción de eliminación que prefieras.

    • Antigüedad máxima del archivo: incluye los archivos modificados en los últimos días. El valor predeterminado es 180 días.

    • Clave compartida: la clave de acceso a Azure Blob Storage.

    • Espacio de nombres de recursos: el espacio de nombres de recursos.

    • Etiquetas de ingestión: etiqueta que se aplicará a los eventos de este feed.

  8. Haz clic en Siguiente.

  9. Revise la configuración de la nueva fuente en la pantalla Finalizar y, a continuación, haga clic en Enviar.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
AccountName target.user.userid Se rellena cuando properties.AccountName está presente y properties.InitiatingProcessAccountName está en blanco.
AccountSid target.user.windows_sid Se rellena cuando properties.AccountSid está presente.
AccountType principal.user.attribute.labels Clave: AccountType, valor: properties.AccountType
Action security_result.action_details Valor de properties.Action.
Action security_result.action Si properties.Action contiene quarantine, el valor es QUARANTINE.
Action Name security_result.description Parte de security_result.description cuando EventID es 1117.
AdditionalFields about.labels, principal.resource.attribute.labels Clave: AdditionalFields, valor: properties.AdditionalFields (o AdditionalFields si se analiza como JSON). Los pares clave-valor individuales de properties.AdditionalFields (o AdditionalFields2 si se analizan como JSON) también se añaden como etiquetas.
AdditionalFields.ClientMachine principal.resource.attribute.labels Clave: ClientMachine, valor: _AdditionalFields.ClientMachine
AdditionalFields.Command target.process.command_line Se usa cuando ActionType es PowerShellCommand.
AdditionalFields.Count read_only_udm.additional.fields Clave: Count, valor: properties.AdditionalFields.Count
AdditionalFields.DesiredAccess principal.resource.attribute.labels Clave: DesiredAccess, valor: _AdditionalFields.DesiredAccess
AdditionalFields.DnsQueryString network.dns.questions.name Se usa cuando ActionType es DnsQueryResponse.
AdditionalFields.DnsQueryResult network.dns.answers Analizado en un bucle para extraer respuestas DNS. Result se convierte en name y DnsQueryType se asigna al valor numérico type.
AdditionalFields.Experience security_result.threat_name Se usa cuando properties.ActionType contiene SmartScreen.
AdditionalFields.FileOperation principal.resource.attribute.labels Clave: FileOperation, valor: _AdditionalFields.FileOperation
AdditionalFields.InitiatingProcess principal.resource.attribute.labels Clave: InitiatingProcess, valor: _AdditionalFields.InitiatingProcess
AdditionalFields.IsAudit principal.resource.attribute.labels Clave: IsAudit, valor: _AdditionalFields.IsAudit
AdditionalFields.IsLocalLogon extensions.auth.mechanism Si el valor es true, asigna LOCAL a auth_mechanism. Si false, se asigna el valor REMOTE.
AdditionalFields.IsRemoteMachine principal.resource.attribute.labels Clave: IsRemoteMachine, valor: _AdditionalFields.IsRemoteMachine
AdditionalFields.NamedPipeEnd principal.resource.attribute.labels Clave: NamedPipeEnd, valor: _AdditionalFields.NamedPipeEnd
AdditionalFields.PipeName principal.resource.attribute.labels Clave: PipeName, valor: _AdditionalFields.PipeName
AdditionalFields.RemoteClientsAccess principal.resource.attribute.labels Clave: RemoteClientsAccess, valor: _AdditionalFields.RemoteClientsAccess
AdditionalFields.SessionId principal.resource.attribute.labels Clave: SessionId, valor: _AdditionalFields.SessionId
AdditionalFields.SignatureName security_result.rule_id Se usa cuando properties.ActionType es AntivirusDetection.
AdditionalFields.TaskName target.resource.name Se usa cuando properties.ActionType contiene Scheduled.
AdditionalFields.ThreatName security_result.threat_name Se usa cuando properties.ActionType es AntivirusDetection.
AdditionalFields.ThreadId principal.resource.attribute.labels Clave: ThreadId, valor: _AdditionalFields.ThreadId
AdditionalFields.TokenModificationProperties principal.resource.attribute.labels Clave: TokenModificationProperties, valor: _AdditionalFields.TokenModificationProperties
AdditionalFields.TotalBytesCopied principal.resource.attribute.labels Clave: TotalBytesCopied, valor: _AdditionalFields.TotalBytesCopied
AdditionalFields.WasExecutingWhileDetected about.labels, principal.resource.attribute.labels Clave: WasExecutingWhileDetected, valor: _AdditionalFields.WasExecutingWhileDetected
AdditionalFields.WasRemediated security_result.action Si el valor es true, asigna BLOCK a sr_action. Si false, se asigna el valor ALLOW.
AppGuardContainerId ApplicationId read_only_udm.additional.fields Clave: ApplicationId, valor: properties.ApplicationId
category metadata.product_name Valor de category.
category metadata.product_event_type El valor de category con AdvancedHunting- eliminado.
City principal.location.city Valor de properties.City.
ClientIP principal.ip, principal.asset.ip El valor de properties.RawEventData.ClientIP si es una dirección IP válida.
ClientIPAddress principal.ip, principal.asset.ip El valor de properties.RawEventData.ClientIPAddress si es una dirección IP válida.
ClientInfoString read_only_udm.additional.fields Clave: ClientInfoString, valor: properties.RawEventData.ClientInfoString
ClientProcessName read_only_udm.additional.fields Clave: ClientProcessName, valor: properties.RawEventData.ClientProcessName
ClientRequestId read_only_udm.additional.fields Clave: ClientRequestId, valor: properties.RawEventData.ClientRequestId
ClientVersion read_only_udm.additional.fields Clave: ClientVersion, valor: properties.RawEventData.ClientVersion
ConnectedNetworks entity.asset.network_domain El campo Name de ConnectedNetworks, si está presente.
CountryCode principal.location.country_or_region Valor de properties.CountryCode.
CreationTime read_only_udm.additional.fields Clave: CreationTime, valor: properties.RawEventData.CreationTime
Current Engine Version security_result.description Parte de security_result.description cuando EventID es 2000.
Current Signature Version security_result.description Parte de security_result.description cuando EventID es 2000.
DeliveryAction read_only_udm.additional.fields Clave: DeliveryAction, valor: properties.DeliveryAction
DeliveryAction security_result.action Si properties.DeliveryAction contiene Blocked, el valor es BLOCK.
DeliveryLocation read_only_udm.additional.fields Clave: DeliveryLocation, valor: properties.DeliveryLocation
DestinationLocationType read_only_udm.additional.fields Clave: DestinationLocationType, valor: properties.RawEventData.DestinationLocationType
DetectionMethods security_result.rule_name, security_result.detection_fields El valor de properties.DetectionMethods sin comillas se convierte en rule_name y detection_fields (clave: Detection Method).
Detection User principal.user.userid Se usa cuando EventID es 1116 o 1117.
DeviceCategory entity.asset.category Valor de properties.DeviceCategory.
DeviceId principal.asset_id WINDOWS_DEFENDER: + DeviceId al analizar syslog/JSON o XML. DeviceId: + properties.DeviceId al analizar JSON.
DeviceName principal.hostname, principal.asset.hostname DeviceName al analizar syslog, JSON o XML. properties.DeviceName al analizar el JSON. properties.RawEventData.DeviceName si está presente.
DeviceType read_only_udm.additional.fields Clave: DeviceType, valor: properties.DeviceType
Domain principal.administrative_domain Se usa al analizar syslog, JSON o XML.
Dynamic Signature Compilation Timestamp security_result.description Parte de security_result.description cuando EventID es 2010 o 2011.
Dynamic Signature Type security_result.description Parte de security_result.description cuando EventID es 2010 o 2011.
Dynamic Signature Version security_result.description Parte de security_result.description cuando EventID es 2010 o 2011.
EmailClusterId read_only_udm.additional.fields Clave: EmailClusterId, valor: properties.EmailClusterId
EmailDirection network.direction Si el valor es Inbound, se asigna INBOUND. Si Outbound, se asigna el valor OUTBOUND. De lo contrario, se asigna el valor UNKNOWN_DIRECTION.
EmailLanguage read_only_udm.additional.fields Clave: EmailLanguage, valor: properties.EmailLanguage
Engine Version security_result.description Parte de security_result.description cuando EventID es 1011.
EnforcementMode read_only_udm.additional.fields Clave: EnforcementMode, valor: properties.EnforcementMode
Error Code security_result.description Parte de security_result.description cuando EventID es 1117 o 2001.
Error Description security_result.description Parte de security_result.description cuando EventID es 1117 o 2001.
EventID metadata.product_event_type Parte de metadata.product_event_type al analizar syslog, JSON o XML.
EventTime metadata.event_timestamp Se ha analizado para generar el metadata.event_timestamp.
ExchangeLocations security_result.category_details Valor de properties.RawEventData.ExchangeLocations.
ExternalAccess read_only_udm.additional.fields Clave: ExternalAccess, valor: properties.RawEventData.ExternalAccess
FailureReason security_result.description El valor de properties.FailureReason cuando ActionType es LogonFailed.
FileExtension read_only_udm.additional.fields Clave: FileExtension, valor: properties.RawEventData.FileExtension
FileName about.file.full_path El valor de properties.FileName cuando category contiene EmailAttachmentInfo. De lo contrario, target.process.file.full_path.
FileSize target.process.file.size El valor de properties.FileSize convertido en un número entero sin signo.
FileSize about.file.size El valor de properties.FileSize convertido en un número entero sin signo cuando category contiene EmailAttachmentInfo.
FileSize principal.process.file.size El valor de properties.RawEventData.FileSize convertido en un número entero sin signo.
FileType about.file.mime_type El valor de properties.FileType cuando category contiene EmailAttachmentInfo. De lo contrario, target.process.file.mime_type.
FileType read_only_udm.additional.fields Clave: FileType. Valor: properties.RawEventData.FileType si no está vacío o Unknown.
FolderPath target.file.full_path Valor de properties.FolderPath.
FolderPath target.process.file.full_path El valor de FolderPath cuando ActionType es CreateRemoteThreadApiCall, ExploitGuardNonMicrosoftSignedBlocked, DriverLoad, FileRenamed, OpenProcessApiCall, ReadProcessMemoryApiCall, ImageLoaded o properties.ActionType es FileCreatedOnNetworkShare.
Hidden read_only_udm.additional.fields Clave: Hidden, valor: properties.RawEventData.Hidden
Hostname principal.hostname, principal.asset.hostname Se usa al analizar syslog, JSON o XML.
IPAddresses entity.asset.ip El campo IPAddress de cada objeto de la matriz IPAddresses, excluidas las direcciones IPv6 link-local, IPv4 APIPA, IPv6 de bucle invertido, IPv6 multicast y de bucle invertido.
IPAddress principal.ip, principal.asset.ip El valor de properties.IPAddress si es una dirección IP válida.
IPCategory read_only_udm.additional.fields Clave: IPCategory, valor: properties.IPCategory
IPTags read_only_udm.additional.fields Clave: IPTags, valor: properties.IPTags
ISP read_only_udm.additional.fields Clave: ISP, valor: properties.ISP
InitiatingProcessAccountName principal.user.userid Se rellena cuando está presente y properties.AccountName está en blanco, o cuando ambos están presentes.
InitiatingProcessAccountSid principal.user.windows_sid Se rellena cuando está presente y properties.AccountSid está en blanco, o cuando ambos están presentes.
InitiatingProcessAccountUpn principal.user.email_addresses Valor de properties.InitiatingProcessAccountUpn.
InitiatingProcessCommandLine principal.process.command_line El valor de properties.InitiatingProcessCommandLine sin comillas.
InitiatingProcessFileName principal.process.file.full_path Valor de properties.InitiatingProcessFileName.
InitiatingProcessFileSize principal.process.file.size El valor de properties.InitiatingProcessFileSize convertido en un número entero sin signo.
InitiatingProcessFolderPath principal.process.file.full_path Valor de properties.InitiatingProcessFolderPath.
InitiatingProcessId principal.process.pid El valor de properties.InitiatingProcessId convertido en una cadena.
InitiatingProcessIntegrityLevel about.labels, principal.resource.attribute.labels Clave: InitiatingProcessIntegrityLevel, valor: properties.InitiatingProcessIntegrityLevel
InitiatingProcessMD5 principal.process.file.md5 Valor de properties.InitiatingProcessMD5.
InitiatingProcessParentFileName principal.process.parent_process.file.full_path Valor de properties.InitiatingProcessParentFileName.
InitiatingProcessParentId principal.process.parent_process.pid El valor de properties.InitiatingProcessParentId convertido en una cadena.
InitiatingProcessSHA1 principal.process.file.sha1 Valor de properties.InitiatingProcessSHA1.
InitiatingProcessSHA256 principal.process.file.sha256 Valor de properties.InitiatingProcessSHA256.
InitiatingProcessSignatureStatus read_only_udm.additional.fields Clave: InitiatingProcessSignatureStatus, valor: properties.InitiatingProcessSignatureStatus
InitiatingProcessSignerType read_only_udm.additional.fields Clave: InitiatingProcessSignerType, valor: properties.InitiatingProcessSignerType
InitiatingProcessTokenElevation about.labels, principal.resource.attribute.labels Clave: InitiatingProcessTokenElevation, valor: properties.InitiatingProcessTokenElevation
InitiatingProcessVersionInfoCompanyName principal.user.company_name Valor de properties.InitiatingProcessVersionInfoCompanyName.
InitiatingProcessVersionInfoFileDescription principal.resource.attribute.labels Clave: File Description, valor: properties.InitiatingProcessVersionInfoFileDescription
InitiatingProcessVersionInfoInternalFileName principal.resource.attribute.labels Clave: File Name, valor: properties.InitiatingProcessVersionInfoInternalFileName
InitiatingProcessVersionInfoOriginalFileName principal.resource.attribute.labels Clave: Original File Name, valor: properties.InitiatingProcessVersionInfoOriginalFileName
InitiatingProcessVersionInfoProductName read_only_udm.additional.fields Clave: InitiatingProcessVersionInfoProductName, valor: properties.InitiatingProcessVersionInfoProductName
InitiatingProcessVersionInfoProductVersion metadata.product_version Valor de properties.InitiatingProcessVersionInfoProductVersion.
InternetMessageId read_only_udm.additional.fields Clave: InternetMessageId, valor: properties.InternetMessageId (se han quitado los corchetes angulares).
IsAdminOperation read_only_udm.additional.fields Clave: IsAdminOperation, valor: properties.IsAdminOperation
IsAnonymousProxy read_only_udm.additional.fields Clave: IsAnonymousProxy, valor: properties.IsAnonymousProxy
IsExternalUser read_only_udm.additional.fields Clave: IsExternalUser, valor: properties.IsExternalUser
IsImpersonated read_only_udm.additional.fields Clave: IsImpersonated, valor: properties.IsImpersonated
IsLocalAdmin about.labels, principal.resource.attribute.labels Clave: IsLocalAdmin. Valor: true o false, según el valor booleano de properties.IsLocalAdmin.
LoggedOnUsers target.user.userid, entity.relations.entity.user.userid El campo UserName de cada objeto de la matriz LoggedOnUsers se añade como target.user.userid y como entidad de usuario relacionada. El campo Sid se añade como entity.relations.entity.user.windows_sid.
LocalIP principal.ip, principal.asset.ip El valor de LocalIP al analizar JSON.
LocalPort principal.port El valor de LocalPort convertido en un número entero al analizar JSON.
LogonType extensions.auth.mechanism Se asigna a un mecanismo de autenticación de UDM en función del valor.
LogonType read_only_udm.additional.fields Clave: LogonType, valor: properties.RawEventData.LogonType
LogonUserSid read_only_udm.additional.fields Clave: LogonUserSid, valor: properties.RawEventData.LogonUserSid
MacAddress entity.asset.mac El valor de MacAddress o properties.MacAddress con el formato de una cadena separada por dos puntos.
MailboxGuid read_only_udm.additional.fields Clave: MailboxGuid, valor: properties.RawEventData.MailboxGuid
MailboxOwnerMasterAccountSid read_only_udm.additional.fields Clave: MailboxOwnerMasterAccountSid, valor: properties.RawEventData.MailboxOwnerMasterAccountSid
MailboxOwnerSid read_only_udm.additional.fields Clave: MailboxOwnerSid, valor: properties.RawEventData.MailboxOwnerSid
MailboxOwnerUPN read_only_udm.additional.fields Clave: MailboxOwnerUPN, valor: properties.RawEventData.MailboxOwnerUPN
MD5 target.process.file.md5 Valor de properties.MD5.
Message security_result.description Parte de security_result.description cuando EventID es 1000, 1001, 1002, 1013, 1116, 1117, 2000, 2001, 2002, 2010, 2011 o 5007.
NetworkAdapterType metadata.product_event_type El valor de NetworkAdapterType al analizar JSON.
NetworkMessageId network.email.mail_id Valor de properties.NetworkMessageId.
New Value security_result.description Parte de security_result.description cuando EventID es 5007.
Object Name read_only_udm.additional.fields Clave: ObjectName, valor: properties.ObjectName
Object Type read_only_udm.additional.fields Clave: ObjectType, valor: properties.ObjectType
ObjectId read_only_udm.additional.fields Clave: ObjectId. Valor: properties.ObjectId o properties.RawEventData.ObjectId.
Old Value security_result.description Parte de security_result.description cuando EventID es 5007.
Operation read_only_udm.additional.fields Clave: Operation, valor: properties.RawEventData.Operation
operationName read_only_udm.additional.fields Clave: OperationName, valor: operationName
OrganizationId read_only_udm.additional.fields Clave: OrganizationId, valor: properties.RawEventData.OrganizationId
OrganizationName read_only_udm.additional.fields Clave: OrganizationName, valor: properties.RawEventData.OrganizationName
OriginatingServer read_only_udm.additional.fields Clave: OriginatingServer, valor: properties.RawEventData.OriginatingServer
OSPlatform asset.platform_software.platform Si el valor contiene macos, asigna MAC a platform. Si windows, se asigna el valor WINDOWS. Si nix, se asigna el valor LINUX.
OSVersion asset.platform_software.platform_version Valor de properties.OSVersion.
Path target.file.full_path Se usa cuando EventID es 1011 o 1116.
Persistence Limit Type security_result.description Parte de security_result.description cuando EventID es 2010 o 2011.
Persistence Limit Value security_result.description Parte de security_result.description cuando EventID es 2010 o 2011.
Persistence Path target.file.full_path Se usa cuando EventID es 2010 o 2011.
Previous Engine Version security_result.description Parte de security_result.description cuando EventID es 2000, 2001 o 2002.
PreviousRegistryKey target.registry.registry_key Valor de properties.PreviousRegistryKey.
PreviousRegistryValueData target.resource.attribute.labels Clave: PreviousRegistryValueData, valor: properties.PreviousRegistryValueData
PreviousRegistryValueName target.resource.attribute.labels Clave: PreviousRegistryValueName, valor: properties.PreviousRegistryValueName
Previous security intelligence Version security_result.description Parte de security_result.description cuando EventID es 2001.
Previous Signature Version security_result.description Parte de security_result.description cuando EventID es 2000.
ProcessCommandLine target.process.command_line Valor de properties.ProcessCommandLine.
ProcessID principal.process.pid Se usa al analizar syslog, JSON o XML.
ProcessId target.process.pid El valor de properties.ProcessId convertido en una cadena.
Process Name target.process.pid Se usa cuando EventID es 1116 o 1117.
Product Version metadata.product_version Se usa al analizar syslog, JSON o XML.
Protocol network.ip_protocol Si el valor contiene Tcp, se asigna TCP. Si Udp, se asigna el valor UDP. Si Icmp, se asigna el valor ICMP.
ProviderGuid principal.resource.id Se usa al analizar syslog, JSON o XML.
PublicIP principal.ip, principal.asset.ip Valor de properties.PublicIP.
RawEventData.Application principal.application Valor de properties.RawEventData.Application.
RawEventData.ClientIP principal.ip, principal.asset.ip El valor de properties.RawEventData.ClientIP si es una dirección IP válida.
RawEventData.ClientIPAddress principal.ip, principal.asset.ip El valor de properties.RawEventData.ClientIPAddress si es una dirección IP válida.
RawEventData.ClientInfoString read_only_udm.additional.fields Clave: ClientInfoString, valor: properties.RawEventData.ClientInfoString
RawEventData.ClientProcessName read_only_udm.additional.fields Clave: ClientProcessName, valor: properties.RawEventData.ClientProcessName
RawEventData.ClientRequestId read_only_udm.additional.fields Clave: ClientRequestId, valor: properties.RawEventData.ClientRequestId
RawEventData.ClientVersion read_only_udm.additional.fields Clave: ClientVersion, valor: properties.RawEventData.ClientVersion
RawEventData.CreationTime read_only_udm.additional.fields Clave: CreationTime, valor: properties.RawEventData.CreationTime
RawEventData.DeviceName principal.hostname, principal.asset.hostname Valor de properties.RawEventData.DeviceName.
RawEventData.DestinationLocationType read_only_udm.additional.fields Clave: DestinationLocationType, valor: properties.RawEventData.DestinationLocationType
RawEventData.ExchangeLocations security_result.category_details Valor de properties.RawEventData.ExchangeLocations.
RawEventData.ExternalAccess read_only_udm.additional.fields Clave: ExternalAccess, valor: properties.RawEventData.ExternalAccess
RawEventData.FileExtension read_only_udm.additional.fields Clave: FileExtension, valor: properties.RawEventData.FileExtension
RawEventData.FileSize target.process.file.size El valor de properties.RawEventData.FileSize convertido en un número entero sin signo.
RawEventData.FileType read_only_udm.additional.fields Clave: FileType. Valor: properties.RawEventData.FileType si no está vacío o Unknown.
RawEventData.Hidden read_only_udm.additional.fields Clave: Hidden, valor: properties.RawEventData.Hidden
RawEventData.Id read_only_udm.additional.fields Clave: RawEventDataId, valor: properties.RawEventData.Id
RawEventData.Item.Id item_idm.read_only_udm.additional.fields Clave: RawEventDataItemId, valor: properties.RawEventData.item.id
RawEventData.LogonType read_only_udm.additional.fields Clave: LogonType, valor: properties.RawEventData.LogonType
RawEventData.LogonUserSid read_only_udm.additional.fields Clave: LogonUserSid, valor: properties.RawEventData.LogonUserSid
RawEventData.MailboxGuid read_only_udm.additional.fields Clave: MailboxGuid, valor: properties.RawEventData.MailboxGuid
RawEventData.MailboxOwnerMasterAccountSid read_only_udm.additional.fields Clave: MailboxOwnerMasterAccountSid, valor: properties.RawEventData.MailboxOwnerMasterAccountSid
RawEventData.MailboxOwnerSid read_only_udm.additional.fields Clave: MailboxOwnerSid, valor: properties.RawEventData.MailboxOwnerSid
RawEventData.MailboxOwnerUPN read_only_udm.additional.fields Clave: MailboxOwnerUPN, valor: properties.RawEventData.MailboxOwnerUPN
RawEventData.MDATPDeviceId read_only_udm.additional.fields Clave: MDATPDeviceId, valor: properties.RawEventData.MDATPDeviceId
RawEventData.ObjectId read_only_udm.additional.fields Clave: ObjectId, valor: properties.RawEventData.ObjectId
RawEventData.Operation read_only_udm.additional.fields Clave: Operation, valor: properties.RawEventData.Operation
RawEventData.OrganizationId read_only_udm.additional.fields Clave: OrganizationId, valor: properties.RawEventData.OrganizationId
RawEventData.OrganizationName read_only_udm.additional.fields Clave: OrganizationName, valor: properties.RawEventData.OrganizationName
RawEventData.OriginatingServer read_only_udm.additional.fields Clave: OriginatingServer, valor: properties.RawEventData.OriginatingServer
RawEventData.ParentFolder.Id read_only_udm.additional.fields Clave: RawEventDataParentFolderId, valor: properties.RawEventData.ParentFolder.Id
RawEventData.Pid target.process.pid El valor de properties.RawEventData.Pid convertido en una cadena.
RawEventData.Query read_only_udm.additional.fields Clave: Query, valor: properties.RawEventData.Query
RawEventData.RecordType network.dns.questions.type El valor de properties.RawEventData.RecordType convertido en un número entero sin signo.
RawEventData.ResultStatus read_only_udm.additional.fields Clave: ResultStatus, valor: properties.RawEventData.ResultStatus
RawEventData.Scope read_only_udm.additional.fields Clave: Scope, valor: properties.RawEventData.Scope
RawEventData.SessionId network.session_id Valor de properties.RawEventData.SessionId.
RawEventData.Sha1 target.process.file.sha1 Valor de properties.RawEventData.Sha1.
RawEventData.Sha256 target.process.file.sha256 Valor de properties.RawEventData.Sha256.
RawEventData.TargetDomain target.hostname, target.asset.hostname Valor de properties.RawEventData.TargetDomain.
RawEventData.TargetFilePath target.file.full_path Valor de properties.RawEventData.TargetFilePath.
RawEventData.UserId principal.user.email_addresses El valor de properties.RawEventData.UserId si es una dirección de correo electrónico.
RawEventData.UserKey read_only_udm.additional.fields Clave: UserKey, valor: properties.RawEventData.UserKey
RawEventData.UserType read_only_udm.additional.fields Clave: UserType, valor: properties.RawEventData.UserType
RawEventData.Version read_only_udm.additional.fields Clave: Version, valor: properties.RawEventData.Version
RawEventData.Workload read_only_udm.additional.fields Clave: Workload, valor: properties.RawEventData.Workload
RecipientEmailAddress network.email.to, target.user.email_addresses Valor de properties.RecipientEmailAddress.
RecipientObjectId target.user.product_object_id Valor de properties.RecipientObjectId.
RegistryKey target.registry.registry_key Valor de properties.RegistryKey.
RegistryValueData target.registry.registry_value_data Valor de properties.RegistryValueData.
RegistryValueName target.registry.registry_value_name Valor de properties.RegistryValueName.
Remediation User intermediary.user.userid Se usa cuando EventID es 1117.
RemoteDeviceName target.hostname, target.asset.hostname Valor de properties.RemoteDeviceName.
RemoteIP target.ip, target.asset.ip El valor de properties.RemoteIP si no está vacío, - o null.
RemoteIPType about.labels, principal.resource.attribute.labels Clave: RemoteIPType, valor: properties.RemoteIPType
RemotePort target.port El valor de properties.RemotePort convertido en un número entero.
RemoteUrl target.url Valor de properties.RemoteUrl. Si contiene un nombre de host, se extrae y se asigna a target.hostname y target.asset.hostname.
Removal Reason Value security_result.description Parte de security_result.description cuando EventID es 2011.
ReportId metadata.product_log_id El valor de properties.ReportId convertido en una cadena.
Scan ID security_result.description Parte de security_result.description cuando EventID es 1000, 1001 o 1002.
Scan Parameters security_result.description Parte de security_result.description cuando EventID es 1000, 1001 o 1002.
Scan Resources target.file.full_path Se usa cuando EventID es 1000.
Scan Time Hours security_result.description Parte de security_result.description cuando EventID es 1001.
Scan Time Minutes security_result.description Parte de security_result.description cuando EventID es 1001.
Scan Time Seconds security_result.description Parte de security_result.description cuando EventID es 1001.
Scan Type security_result.description Parte de security_result.description cuando EventID es 1000, 1001 o 1002.
Security intelligence Type security_result.description Parte de security_result.description cuando EventID es 2001.
Security intelligence Version security_result.description Parte de security_result.description cuando EventID es 1011.
SenderDisplayName principal.user.user_display_name Valor de properties.SenderDisplayName.
SenderFromAddress network.email.from, principal.user.email_addresses Valor de properties.SenderFromAddress.
SenderFromDomain principal.administrative_domain Valor de properties.SenderFromDomain.
SenderIPv4 principal.ip, principal.asset.ip Valor de properties.SenderIPv4.
SenderIPv6 principal.ip, principal.asset.ip Valor de properties.SenderIPv6.
SenderMailFromAddress principal.user.attribute.labels Clave: SenderMailFromAddress, valor: properties.SenderMailFromAddress
SenderMailFromDomain principal.user.attribute.labels Clave: SenderMailFromDomain, valor: properties.SenderMailFromDomain
SenderObjectId principal.user.product_object_id Valor de properties.SenderObjectId.
Severity Name security_result.severity Si el valor es Low, se asigna LOW. Si Moderate, se asigna el valor MEDIUM. Si High o Severe, se asigna el valor HIGH.
Severity security_result.severity Si el valor contiene informational, se asigna INFORMATIONAL. Si low, se asigna el valor LOW. Si medium, se asigna el valor MEDIUM. Si high, se asigna el valor HIGH. De lo contrario, se asigna el valor UNKNOWN_SEVERITY.
Severity security_result.severity_details Valor de properties.Severity.
SHA1 target.process.file.sha1 Valor de properties.SHA1.
SHA256 target.process.file.sha256 Valor de properties.SHA256.
SHA256 about.file.sha256 El valor de properties.SHA256 cuando category contiene EmailAttachmentInfo.
Signature Type security_result.description Parte de security_result.description cuando EventID es 2000 o 2010.
SourceModuleName target.resource.name Se usa cuando EventID es 2008.
Source Path security_result.description Parte de security_result.description cuando EventID es 2001.
Subject network.email.subject Valor de properties.Subject.
Tenant read_only_udm.additional.fields Clave: Tenant, valor: Tenant
tenantId observer.cloud.project.id, target.resource_ancestors.product_object_id El valor de tenantId o properties.tenantId.
Threat ID security_result.threat_name Parte de security_result.threat_name cuando EventID es 1011 o 1116.
ThreatNames security_result.threat_name Valor de properties.ThreatNames.
Threat Types security_result.category Si el valor es Phish, asigna MAIL_PHISHING a security_result_category. De lo contrario, se asigna el valor UNKNOWN_CATEGORY.
Timestamp security_result.description Parte de security_result.description cuando EventID es 1013.
Timestamp metadata.event_timestamp Se ha analizado para generar el metadata.event_timestamp.
Timestamp entity.asset.system_last_update_time El valor de properties.Timestamp cuando category es AdvancedHunting-DeviceNetworkInfo.
Title security_result.threat_name Valor de properties.Title.
Update Source security_result.description Parte de security_result.description cuando EventID es 2001.
Update State security_result.description Parte de security_result.description cuando EventID es 2001.
Update Type security_result.description Parte de security_result.description cuando EventID es 2000 o 2001.
UserAgent network.http.user_agent Valor de properties.UserAgent.
UserAgentTags additional.fields Cada elemento de la matriz properties.UserAgentTags se añade como una etiqueta con la clave UserAgentTags.
Url target.url Valor de properties.Url.
UrlCount read_only_udm.additional.fields Clave: UrlCount, valor: properties.UrlCount
UrlDomain target.hostname, target.asset.hostname Valor de properties.UrlDomain.
UrlLocation read_only_udm.additional.fields Clave: UrlLocation, valor: properties.UrlLocation
User target.user.userid Se usa cuando EventID es 1000, 1001, 1002, 1011, 1013, 2000 o 2002, o cuando Message contiene \tUser:.
UserID principal.user.userid Se usa cuando EventID es 2010 o 2011.
(Lógica del analizador) metadata.event_type Se define como GENERIC_EVENT inicialmente y, a continuación, se sobrescribe en función de otros campos y lógica. Entre los valores habituales se incluyen NETWORK_CONNECTION, PROCESS_LAUNCH, FILE_CREATION, FILE_MODIFICATION, USER_LOGIN, SCAN_HOST, SCAN_PROCESS, SYSTEM_AUDIT_LOG_WIPE, SETTING_MODIFICATION, FILE_DELETION, PROCESS_MODULE_LOAD, PROCESS_UNCATEGORIZED, STATUS_UPDATE, PROCESS_OPEN, NETWORK_DNS, FILE_MOVE, REGISTRY_CREATION, REGISTRY_DELETION, REGISTRY_MODIFICATION, SCHEDULED_TASK_CREATION, SCHEDULED_TASK_DELETION, SCHEDULED_TASK_MODIFICATION, SCAN_NETWORK y USER_UNCATEGORIZED.
(Lógica del analizador) metadata.vendor_name Su valor debe ser Microsoft.
(Lógica del analizador) metadata.product_name Se define como Windows Defender ATP inicialmente y, a continuación, se puede sobrescribir con el campo category.
(Lógica del analizador) metadata.product_event_type Se define como GENERIC_EVENT inicialmente y, a continuación, se sobrescribe en función de otros campos y lógica.
(Lógica del analizador) metadata.product_version Se define en función de Product Version o properties.InitiatingProcessVersionInfoProductVersion.
(Lógica del analizador) metadata.log_type Su valor debe ser WINDOWS_DEFENDER_ATP.
(Lógica del analizador) principal.resource.type Se define como PROVIDER al analizar syslog/JSON o XML.
(Lógica del analizador) target.resource_ancestors Contiene un único elemento antecesor con product_object_id definido como tenantId.
(Lógica del analizador) security_result.summary Se define en función de EventID, properties.ActionType o properties.Title y properties.Category.
(Lógica del analizador) security_result.description Se construye a partir de varios campos en función de EventID o properties.ActionType.
(Lógica del analizador) security_result.action Se asigna el valor ALLOW inicialmente y, a continuación, se puede sobrescribir en función de AdditionalFields.WasRemediated, ActionType o Action Name.
(Lógica del analizador) security_result.severity Se define en función de Severity Name o properties.Severity.
(Lógica del analizador) security_result.category Se establece en función de Threat Types.
(Lógica del analizador) network.direction Se define en función de RemoteIP, LocalIP o EmailDirection.
(Lógica del analizador) network.ip_protocol Se define como TCP cuando metadata.event_type es NETWORK_CONNECTION.
(Lógica del analizador) network.session_id Se establece en función de properties.RawEventData.SessionId.
(Lógica del analizador) network.http.user_agent Se establece en función de properties.UserAgent.
(Lógica del analizador) network.email.mail_id Se establece en función de properties.NetworkMessageId.
(Lógica del analizador) network.email.subject Se establece en función de properties.Subject.
(Lógica del analizador) network.email.from Se establece en función de properties.SenderFromAddress.
(Lógica del analizador) network.email.to Se establece en función de properties.RecipientEmailAddress.
(Lógica del analizador) network.dns.questions.name Se establece en función de AdditionalFields.DnsQueryString.
(Lógica del analizador) network.dns.questions.type Se establece en función de properties.RawEventData.RecordType.
(Lógica del analizador) network.dns.answers Construido a partir de AdditionalFields.DnsQueryResult.
(Lógica del analizador) extensions.auth.type Su valor debe ser MACHINE cuando ActionType sea LogonAttempted o LogonSuccess.
(Lógica del analizador) extensions.auth.mechanism Se define en función de LogonType o AdditionalFields.IsLocalLogon.
(Lógica del analizador) extensions.auth.auth_details Se establece en función de properties.AuthenticationDetails.
(Lógica del analizador) entity.asset.asset_id Se construye con WINDOWS: + DeviceId o properties.DeviceId.
(Lógica del analizador) entity.asset.product_object_id Su valor debe ser DeviceId o properties.DeviceId.
(Lógica del analizador) entity.asset.network_domain Extraído de ConnectedNetworks.
(Lógica del analizador) entity.asset.ip Se define en función de IPAddresses, _ipaddress, PublicIP o LocalIP.
(Lógica del analizador) entity.asset.mac Se define en función de MacAddress o properties.MacAddress.
(Lógica del analizador) entity.asset.hostname Se define en función de DeviceName o properties.DeviceName.
(Lógica del analizador) entity.asset.platform_software.platform Se establece en función de OSPlatform.
(Lógica del analizador) entity.asset.platform_software.platform_version Se establece en función de OSVersion.
(Lógica del analizador) entity.asset.category Se establece en función de DeviceCategory.
(Lógica del analizador) entity.asset.type Se establece en WORKSTATION para los eventos de información de dispositivos y redes.
(Lógica del analizador) entity.asset.system_last_update_time Se basa en properties.Timestamp para los eventos de información de red.
(Lógica del analizador) entity.relations Construido a partir de LoggedOnUsers.
(Lógica del analizador) entity.metadata.entity_type Se establece en ASSET para los eventos de dispositivos, redes y recursos.
(Lógica del analizador) about.labels Contiene etiquetas de varios campos que no se ajustan directamente al esquema de UDM.
(Lógica del analizador) principal.user.attribute.labels Contiene etiquetas de varios campos relacionados con el usuario.
(Lógica del analizador) principal.resource.attribute.labels Contiene etiquetas de varios campos relacionados con los recursos.
(Lógica del analizador) target.resource.resource_type Se define como TASK para los eventos de tareas programadas y SETTING para los eventos de modificación de la configuración.
(Lógica del analizador) target.resource.name Se define en función de SourceModuleName, AdditionalFields.TaskName o _taskname.
(Lógica del analizador) target.resource.product_object_id Se establece en función de properties.ReportId.
(Lógica del analizador) target.resource_ancestors Se establece en función de tenantId.
(Lógica del analizador) target.registry.registry_key Se define en función de RegistryKey, PreviousRegistryKey o properties.RegistryKey.
(Lógica del analizador) target.registry.registry_value_name Se define en función de RegistryValueName o properties.RegistryValueName.
(Lógica del analizador) target.registry.registry_value_data Se define en función de RegistryValueData o properties.RegistryValueData.
(Lógica del analizador) intermediary.user.userid Se establece en función de Remediation User.
(Lógica del analizador) metadata.collected_timestamp Se asigna a la marca de tiempo del evento de los eventos de información de la red y de los recursos.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.