Recopila registros de Microsoft Defender ATP

Compatible con:

En este documento, se explica cómo recopilar registros de Microsoft Windows Defender ATP en Google Security Operations con una cuenta de Azure Storage. Este analizador controla los registros de ATP de Windows Defender en formatos SYSLOG, XML y JSON. Normaliza los diversos campos de estos formatos en una estructura unificada, extrae información clave, como detalles de eventos, datos del usuario, información del proceso, actividad de la red y resultados de seguridad, y los asigna al UDM. El analizador también realiza una lógica condicional basada en EventID y ActionType para categorizar eventos y enriquecer el UDM con detalles específicos relevantes para cada tipo de evento.

Antes de comenzar

  • Asegúrate de tener una instancia de Google SecOps.
  • Asegúrate de tener una suscripción activa a Azure.
  • Asegúrate de tener un rol de administrador global o de búsqueda avanzada de amenazas de Microsoft Defender.
  • Accede a tu inquilino de Azure, ve a Suscripciones > Tu suscripción > Proveedores de recursos > Registrarse en Microsoft.Insights.

Configura la cuenta de almacenamiento de Azure

  1. En la consola de Azure, busca Cuentas de almacenamiento.
  2. Haz clic en Crear.
  3. Especifica valores para los siguientes parámetros de entrada:
    • Suscripción: Selecciona la suscripción.
    • Grupo de recursos: Selecciona el grupo de recursos.
    • Región: Selecciona la región.
    • Rendimiento: Selecciona el rendimiento (se recomienda Estándar).
    • Redundancia: Selecciona la redundancia (se recomienda GRS o LRS).
    • Nombre de la cuenta de almacenamiento: Ingresa un nombre para la nueva cuenta de almacenamiento.
  4. Haz clic en Revisar + crear.
  5. Revisa el resumen de la cuenta y haz clic en Crear.
  6. En la página Descripción general de la cuenta de almacenamiento, selecciona el submenú Claves de acceso en Seguridad y redes.
  7. Haz clic en Mostrar junto a key1 o key2.
  8. Haz clic en Copiar en el portapapeles para copiar la clave.
  9. Guarda la llave en un lugar seguro para usarla más adelante.
  10. En la página Información general de la cuenta de almacenamiento, selecciona el submenú Extremos en Configuración.
  11. Haz clic en Copiar al portapapeles para copiar la URL del extremo del servicio Blob, por ejemplo, https://<storageaccountname>.blob.core.windows.net.
  12. Guarda la URL del extremo en una ubicación segura para usarla más adelante.

Configura la exportación de registros de la detección avanzada de amenazas de Windows Defender

  1. Accede a security.microsoft.com como administrador global o administrador de seguridad.
  2. Ve a Configuración > Microsoft Defender XDR.
  3. Selecciona API de transmisión.
  4. Haz clic en Agregar.
  5. Selecciona Reenvía eventos a Azure Storage.
  6. Ve a la cuenta de almacenamiento que creaste anteriormente.
  7. Copia el ID de recurso y, luego, ingrésalo en el ID de recurso de la cuenta de almacenamiento.
  8. Selecciona todos los tipos de eventos.
  9. Haz clic en Guardar.

Configura un feed en Google SecOps para transferir los registros de Búsqueda avanzada de amenazas de Windows Defender

  1. Ve a SIEM Settings > Feeds.
  2. Haz clic en Agregar nueva.
  3. En el campo Nombre del feed, ingresa un nombre para el feed, por ejemplo, Defender ATP Logs.
  4. Selecciona Microsoft Azure Blob Storage como el Tipo de fuente.
  5. Selecciona Windows Defender ATP como el Tipo de registro.
  6. Haz clic en Siguiente.

  7. Especifica valores para los siguientes parámetros de entrada:

    • URI de Azure: Es la URL del punto de conexión del blob.
      • ENDPOINT_URL/BLOB_NAME
        • Reemplaza lo siguiente:
        • ENDPOINT_URL: Es la URL del extremo del blob (https://<storageaccountname>.blob.core.windows.net).
        • BLOB_NAME: Es el nombre del blob, como <logname>-logs.
    • URI is a: Selecciona URI_TYPE según la configuración del flujo de registros (Single file | Directory | Directory which includes subdirectories).

    • Opciones de borrado de la fuente: Selecciona la opción de borrado según tu preferencia.

    • Clave compartida: Es la clave de acceso a Azure Blob Storage.

    • Espacio de nombres del recurso: Es el espacio de nombres del recurso.

    • Etiquetas de transferencia: Es la etiqueta que se aplicará a los eventos de este feed.

  8. Haz clic en Siguiente.

  9. Revisa la nueva configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
AccountName target.user.userid Se propaga cuando properties.AccountName está presente y properties.InitiatingProcessAccountName está en blanco.
AccountSid target.user.windows_sid Se propaga cuando properties.AccountSid está presente.
AccountType principal.user.attribute.labels Clave: AccountType, valor: properties.AccountType
Action security_result.action_details Es el valor de properties.Action.
Action security_result.action Si properties.Action contiene quarantine, el valor es QUARANTINE.
Action Name security_result.description Parte de security_result.description cuando EventID es 1117.
AdditionalFields about.labels, principal.resource.attribute.labels Clave: AdditionalFields, valor: properties.AdditionalFields (o AdditionalFields si se analizó como JSON). Los pares clave-valor individuales de properties.AdditionalFields (o AdditionalFields2 si se analizan como JSON) también se agregan como etiquetas.
AdditionalFields.ClientMachine principal.resource.attribute.labels Clave: ClientMachine, valor: _AdditionalFields.ClientMachine
AdditionalFields.Command target.process.command_line Se usa cuando ActionType es PowerShellCommand.
AdditionalFields.Count read_only_udm.additional.fields Clave: Count, valor: properties.AdditionalFields.Count
AdditionalFields.DesiredAccess principal.resource.attribute.labels Clave: DesiredAccess, valor: _AdditionalFields.DesiredAccess
AdditionalFields.DnsQueryString network.dns.questions.name Se usa cuando ActionType es DnsQueryResponse.
AdditionalFields.DnsQueryResult network.dns.answers Se analiza dentro de un bucle para extraer las respuestas de DNS. Result se convierte en name y DnsQueryType se asigna al valor numérico type.
AdditionalFields.Experience security_result.threat_name Se usa cuando properties.ActionType contiene SmartScreen.
AdditionalFields.FileOperation principal.resource.attribute.labels Clave: FileOperation, valor: _AdditionalFields.FileOperation
AdditionalFields.InitiatingProcess principal.resource.attribute.labels Clave: InitiatingProcess, valor: _AdditionalFields.InitiatingProcess
AdditionalFields.IsAudit principal.resource.attribute.labels Clave: IsAudit, valor: _AdditionalFields.IsAudit
AdditionalFields.IsLocalLogon extensions.auth.mechanism Si el valor es true, establece auth_mechanism en LOCAL. Si es false, se establece en REMOTE.
AdditionalFields.IsRemoteMachine principal.resource.attribute.labels Clave: IsRemoteMachine, valor: _AdditionalFields.IsRemoteMachine
AdditionalFields.NamedPipeEnd principal.resource.attribute.labels Clave: NamedPipeEnd, valor: _AdditionalFields.NamedPipeEnd
AdditionalFields.PipeName principal.resource.attribute.labels Clave: PipeName, valor: _AdditionalFields.PipeName
AdditionalFields.RemoteClientsAccess principal.resource.attribute.labels Clave: RemoteClientsAccess, valor: _AdditionalFields.RemoteClientsAccess
AdditionalFields.SessionId principal.resource.attribute.labels Clave: SessionId, valor: _AdditionalFields.SessionId
AdditionalFields.SignatureName security_result.rule_id Se usa cuando properties.ActionType es AntivirusDetection.
AdditionalFields.TaskName target.resource.name Se usa cuando properties.ActionType contiene Scheduled.
AdditionalFields.ThreatName security_result.threat_name Se usa cuando properties.ActionType es AntivirusDetection.
AdditionalFields.ThreadId principal.resource.attribute.labels Clave: ThreadId, valor: _AdditionalFields.ThreadId
AdditionalFields.TokenModificationProperties principal.resource.attribute.labels Clave: TokenModificationProperties, valor: _AdditionalFields.TokenModificationProperties
AdditionalFields.TotalBytesCopied principal.resource.attribute.labels Clave: TotalBytesCopied, valor: _AdditionalFields.TotalBytesCopied
AdditionalFields.WasExecutingWhileDetected about.labels, principal.resource.attribute.labels Clave: WasExecutingWhileDetected, valor: _AdditionalFields.WasExecutingWhileDetected
AdditionalFields.WasRemediated security_result.action Si el valor es true, establece sr_action en BLOCK. Si es false, se establece en ALLOW.
AppGuardContainerId ApplicationId read_only_udm.additional.fields Clave: ApplicationId, valor: properties.ApplicationId
category metadata.product_name Es el valor de category.
category metadata.product_event_type Valor de category con AdvancedHunting- quitado.
City principal.location.city Es el valor de properties.City.
ClientIP principal.ip, principal.asset.ip El valor de properties.RawEventData.ClientIP si es una dirección IP válida.
ClientIPAddress principal.ip, principal.asset.ip El valor de properties.RawEventData.ClientIPAddress si es una dirección IP válida.
ClientInfoString read_only_udm.additional.fields Clave: ClientInfoString, valor: properties.RawEventData.ClientInfoString
ClientProcessName read_only_udm.additional.fields Clave: ClientProcessName, valor: properties.RawEventData.ClientProcessName
ClientRequestId read_only_udm.additional.fields Clave: ClientRequestId, valor: properties.RawEventData.ClientRequestId
ClientVersion read_only_udm.additional.fields Clave: ClientVersion, valor: properties.RawEventData.ClientVersion
ConnectedNetworks entity.asset.network_domain El campo Name dentro de ConnectedNetworks, si está presente.
CountryCode principal.location.country_or_region Es el valor de properties.CountryCode.
CreationTime read_only_udm.additional.fields Clave: CreationTime, valor: properties.RawEventData.CreationTime
Current Engine Version security_result.description Parte de security_result.description cuando EventID es 2000.
Current Signature Version security_result.description Parte de security_result.description cuando EventID es 2000.
DeliveryAction read_only_udm.additional.fields Clave: DeliveryAction, valor: properties.DeliveryAction
DeliveryAction security_result.action Si properties.DeliveryAction contiene Blocked, el valor es BLOCK.
DeliveryLocation read_only_udm.additional.fields Clave: DeliveryLocation, valor: properties.DeliveryLocation
DestinationLocationType read_only_udm.additional.fields Clave: DestinationLocationType, valor: properties.RawEventData.DestinationLocationType
DetectionMethods security_result.rule_name, security_result.detection_fields El valor de properties.DetectionMethods sin comillas se convierte en rule_name y detection_fields (clave: Detection Method).
Detection User principal.user.userid Se usa cuando EventID es 1116 o 1117.
DeviceCategory entity.asset.category Es el valor de properties.DeviceCategory.
DeviceId principal.asset_id WINDOWS_DEFENDER: + DeviceId cuando se analizan registros del sistema/JSON o XML. DeviceId: + properties.DeviceId cuando se analiza JSON.
DeviceName principal.hostname, principal.asset.hostname DeviceName cuando se analiza syslog/JSON o XML. properties.DeviceName cuando se analiza JSON. properties.RawEventData.DeviceName si está presente.
DeviceType read_only_udm.additional.fields Clave: DeviceType, valor: properties.DeviceType
Domain principal.administrative_domain Se usa cuando se analiza syslog/JSON o XML.
Dynamic Signature Compilation Timestamp security_result.description Parte de security_result.description cuando EventID es 2010 o 2011.
Dynamic Signature Type security_result.description Parte de security_result.description cuando EventID es 2010 o 2011.
Dynamic Signature Version security_result.description Parte de security_result.description cuando EventID es 2010 o 2011.
EmailClusterId read_only_udm.additional.fields Clave: EmailClusterId, valor: properties.EmailClusterId
EmailDirection network.direction Si el valor es Inbound, se establece en INBOUND. Si es Outbound, se establece en OUTBOUND. De lo contrario, se establece en UNKNOWN_DIRECTION.
EmailLanguage read_only_udm.additional.fields Clave: EmailLanguage, valor: properties.EmailLanguage
Engine Version security_result.description Parte de security_result.description cuando EventID es 1011.
EnforcementMode read_only_udm.additional.fields Clave: EnforcementMode, valor: properties.EnforcementMode
Error Code security_result.description Parte de security_result.description cuando EventID es 1117 o 2001.
Error Description security_result.description Parte de security_result.description cuando EventID es 1117 o 2001.
EventID metadata.product_event_type Es parte de metadata.product_event_type cuando se analiza syslog/JSON o XML.
EventTime metadata.event_timestamp Se analizó para generar el metadata.event_timestamp.
ExchangeLocations security_result.category_details Es el valor de properties.RawEventData.ExchangeLocations.
ExternalAccess read_only_udm.additional.fields Clave: ExternalAccess, valor: properties.RawEventData.ExternalAccess
FailureReason security_result.description El valor de properties.FailureReason cuando ActionType es LogonFailed.
FileExtension read_only_udm.additional.fields Clave: FileExtension, valor: properties.RawEventData.FileExtension
FileName about.file.full_path Valor de properties.FileName cuando category contiene EmailAttachmentInfo. En caso contrario, target.process.file.full_path.
FileSize target.process.file.size Valor de properties.FileSize convertido en un número entero sin signo.
FileSize about.file.size El valor de properties.FileSize convertido en un número entero sin signo cuando category contiene EmailAttachmentInfo.
FileSize principal.process.file.size Valor de properties.RawEventData.FileSize convertido en un número entero sin signo.
FileType about.file.mime_type Valor de properties.FileType cuando category contiene EmailAttachmentInfo. En caso contrario, target.process.file.mime_type.
FileType read_only_udm.additional.fields Clave: FileType, Valor: properties.RawEventData.FileType si no está vacío o Unknown.
FolderPath target.file.full_path Es el valor de properties.FolderPath.
FolderPath target.process.file.full_path El valor de FolderPath cuando ActionType es CreateRemoteThreadApiCall, ExploitGuardNonMicrosoftSignedBlocked, DriverLoad, FileRenamed, OpenProcessApiCall, ReadProcessMemoryApiCall, ImageLoaded o properties.ActionType es FileCreatedOnNetworkShare.
Hidden read_only_udm.additional.fields Clave: Hidden, valor: properties.RawEventData.Hidden
Hostname principal.hostname, principal.asset.hostname Se usa cuando se analiza syslog/JSON o XML.
IPAddresses entity.asset.ip El campo IPAddress dentro de cada objeto del array IPAddresses, sin incluir las direcciones IPv6 de vínculo local, IPv4 APIPA, IPv6 de bucle invertido, IPv6 de multidifusión y de bucle invertido.
IPAddress principal.ip, principal.asset.ip El valor de properties.IPAddress si es una dirección IP válida.
IPCategory read_only_udm.additional.fields Clave: IPCategory, valor: properties.IPCategory
IPTags read_only_udm.additional.fields Clave: IPTags, valor: properties.IPTags
ISP read_only_udm.additional.fields Clave: ISP, valor: properties.ISP
InitiatingProcessAccountName principal.user.userid Se completa cuando está presente y properties.AccountName está en blanco, o cuando ambos están presentes.
InitiatingProcessAccountSid principal.user.windows_sid Se completa cuando está presente y properties.AccountSid está en blanco, o cuando ambos están presentes.
InitiatingProcessAccountUpn principal.user.email_addresses Es el valor de properties.InitiatingProcessAccountUpn.
InitiatingProcessCommandLine principal.process.command_line Es el valor de properties.InitiatingProcessCommandLine sin comillas.
InitiatingProcessFileName principal.process.file.full_path Es el valor de properties.InitiatingProcessFileName.
InitiatingProcessFileSize principal.process.file.size Valor de properties.InitiatingProcessFileSize convertido en un número entero sin signo.
InitiatingProcessFolderPath principal.process.file.full_path Es el valor de properties.InitiatingProcessFolderPath.
InitiatingProcessId principal.process.pid Es el valor de properties.InitiatingProcessId convertido en una cadena.
InitiatingProcessIntegrityLevel about.labels, principal.resource.attribute.labels Clave: InitiatingProcessIntegrityLevel, valor: properties.InitiatingProcessIntegrityLevel
InitiatingProcessMD5 principal.process.file.md5 Es el valor de properties.InitiatingProcessMD5.
InitiatingProcessParentFileName principal.process.parent_process.file.full_path Es el valor de properties.InitiatingProcessParentFileName.
InitiatingProcessParentId principal.process.parent_process.pid Es el valor de properties.InitiatingProcessParentId convertido en una cadena.
InitiatingProcessSHA1 principal.process.file.sha1 Es el valor de properties.InitiatingProcessSHA1.
InitiatingProcessSHA256 principal.process.file.sha256 Es el valor de properties.InitiatingProcessSHA256.
InitiatingProcessSignatureStatus read_only_udm.additional.fields Clave: InitiatingProcessSignatureStatus, valor: properties.InitiatingProcessSignatureStatus
InitiatingProcessSignerType read_only_udm.additional.fields Clave: InitiatingProcessSignerType, valor: properties.InitiatingProcessSignerType
InitiatingProcessTokenElevation about.labels, principal.resource.attribute.labels Clave: InitiatingProcessTokenElevation, valor: properties.InitiatingProcessTokenElevation
InitiatingProcessVersionInfoCompanyName principal.user.company_name Es el valor de properties.InitiatingProcessVersionInfoCompanyName.
InitiatingProcessVersionInfoFileDescription principal.resource.attribute.labels Clave: File Description, valor: properties.InitiatingProcessVersionInfoFileDescription
InitiatingProcessVersionInfoInternalFileName principal.resource.attribute.labels Clave: File Name, valor: properties.InitiatingProcessVersionInfoInternalFileName
InitiatingProcessVersionInfoOriginalFileName principal.resource.attribute.labels Clave: Original File Name, valor: properties.InitiatingProcessVersionInfoOriginalFileName
InitiatingProcessVersionInfoProductName read_only_udm.additional.fields Clave: InitiatingProcessVersionInfoProductName, valor: properties.InitiatingProcessVersionInfoProductName
InitiatingProcessVersionInfoProductVersion metadata.product_version Es el valor de properties.InitiatingProcessVersionInfoProductVersion.
InternetMessageId read_only_udm.additional.fields Clave: InternetMessageId, Valor: properties.InternetMessageId sin corchetes angulares.
IsAdminOperation read_only_udm.additional.fields Clave: IsAdminOperation, valor: properties.IsAdminOperation
IsAnonymousProxy read_only_udm.additional.fields Clave: IsAnonymousProxy, valor: properties.IsAnonymousProxy
IsExternalUser read_only_udm.additional.fields Clave: IsExternalUser, valor: properties.IsExternalUser
IsImpersonated read_only_udm.additional.fields Clave: IsImpersonated, valor: properties.IsImpersonated
IsLocalAdmin about.labels, principal.resource.attribute.labels Clave: IsLocalAdmin, valor: true o false según el valor booleano de properties.IsLocalAdmin.
LoggedOnUsers target.user.userid, entity.relations.entity.user.userid El campo UserName dentro de cada objeto del array LoggedOnUsers se agrega como un target.user.userid y una entidad de usuario relacionada. El campo Sid se agrega como entity.relations.entity.user.windows_sid.
LocalIP principal.ip, principal.asset.ip Es el valor de LocalIP cuando se analiza JSON.
LocalPort principal.port El valor de LocalPort convertido en un número entero cuando se analiza JSON.
LogonType extensions.auth.mechanism Se asigna a un mecanismo de autenticación de UDM según el valor.
LogonType read_only_udm.additional.fields Clave: LogonType, valor: properties.RawEventData.LogonType
LogonUserSid read_only_udm.additional.fields Clave: LogonUserSid, valor: properties.RawEventData.LogonUserSid
MacAddress entity.asset.mac Valor de MacAddress o properties.MacAddress con formato de cadena separada por dos puntos.
MailboxGuid read_only_udm.additional.fields Clave: MailboxGuid, valor: properties.RawEventData.MailboxGuid
MailboxOwnerMasterAccountSid read_only_udm.additional.fields Clave: MailboxOwnerMasterAccountSid, valor: properties.RawEventData.MailboxOwnerMasterAccountSid
MailboxOwnerSid read_only_udm.additional.fields Clave: MailboxOwnerSid, valor: properties.RawEventData.MailboxOwnerSid
MailboxOwnerUPN read_only_udm.additional.fields Clave: MailboxOwnerUPN, valor: properties.RawEventData.MailboxOwnerUPN
MD5 target.process.file.md5 Es el valor de properties.MD5.
Message security_result.description Es parte de security_result.description cuando EventID es 1000, 1001, 1002, 1013, 1116, 1117, 2000, 2001, 2002, 2010, 2011 o 5007.
NetworkAdapterType metadata.product_event_type Es el valor de NetworkAdapterType cuando se analiza JSON.
NetworkMessageId network.email.mail_id Es el valor de properties.NetworkMessageId.
New Value security_result.description Parte de security_result.description cuando EventID es 5007.
Object Name read_only_udm.additional.fields Clave: ObjectName, valor: properties.ObjectName
Object Type read_only_udm.additional.fields Clave: ObjectType, valor: properties.ObjectType
ObjectId read_only_udm.additional.fields Clave: ObjectId, Valor: properties.ObjectId o properties.RawEventData.ObjectId.
Old Value security_result.description Parte de security_result.description cuando EventID es 5007.
Operation read_only_udm.additional.fields Clave: Operation, valor: properties.RawEventData.Operation
operationName read_only_udm.additional.fields Clave: OperationName, valor: operationName
OrganizationId read_only_udm.additional.fields Clave: OrganizationId, valor: properties.RawEventData.OrganizationId
OrganizationName read_only_udm.additional.fields Clave: OrganizationName, valor: properties.RawEventData.OrganizationName
OriginatingServer read_only_udm.additional.fields Clave: OriginatingServer, valor: properties.RawEventData.OriginatingServer
OSPlatform asset.platform_software.platform Si el valor contiene macos, establece platform en MAC. Si es windows, se establece en WINDOWS. Si es nix, se establece en LINUX.
OSVersion asset.platform_software.platform_version Es el valor de properties.OSVersion.
Path target.file.full_path Se usa cuando EventID es 1011 o 1116.
Persistence Limit Type security_result.description Parte de security_result.description cuando EventID es 2010 o 2011.
Persistence Limit Value security_result.description Parte de security_result.description cuando EventID es 2010 o 2011.
Persistence Path target.file.full_path Se usa cuando EventID es 2010 o 2011.
Previous Engine Version security_result.description Parte de security_result.description cuando EventID es 2000, 2001 o 2002.
PreviousRegistryKey target.registry.registry_key Es el valor de properties.PreviousRegistryKey.
PreviousRegistryValueData target.resource.attribute.labels Clave: PreviousRegistryValueData, valor: properties.PreviousRegistryValueData
PreviousRegistryValueName target.resource.attribute.labels Clave: PreviousRegistryValueName, valor: properties.PreviousRegistryValueName
Previous security intelligence Version security_result.description Parte de security_result.description cuando EventID es 2001.
Previous Signature Version security_result.description Parte de security_result.description cuando EventID es 2000.
ProcessCommandLine target.process.command_line Es el valor de properties.ProcessCommandLine.
ProcessID principal.process.pid Se usa cuando se analiza syslog/JSON o XML.
ProcessId target.process.pid Es el valor de properties.ProcessId convertido en una cadena.
Process Name target.process.pid Se usa cuando EventID es 1116 o 1117.
Product Version metadata.product_version Se usa cuando se analiza syslog/JSON o XML.
Protocol network.ip_protocol Si el valor contiene Tcp, se establece en TCP. Si es Udp, se establece en UDP. Si es Icmp, se establece en ICMP.
ProviderGuid principal.resource.id Se usa cuando se analiza syslog/JSON o XML.
PublicIP principal.ip, principal.asset.ip Es el valor de properties.PublicIP.
RawEventData.Application principal.application Es el valor de properties.RawEventData.Application.
RawEventData.ClientIP principal.ip, principal.asset.ip El valor de properties.RawEventData.ClientIP si es una dirección IP válida.
RawEventData.ClientIPAddress principal.ip, principal.asset.ip El valor de properties.RawEventData.ClientIPAddress si es una dirección IP válida.
RawEventData.ClientInfoString read_only_udm.additional.fields Clave: ClientInfoString, valor: properties.RawEventData.ClientInfoString
RawEventData.ClientProcessName read_only_udm.additional.fields Clave: ClientProcessName, valor: properties.RawEventData.ClientProcessName
RawEventData.ClientRequestId read_only_udm.additional.fields Clave: ClientRequestId, valor: properties.RawEventData.ClientRequestId
RawEventData.ClientVersion read_only_udm.additional.fields Clave: ClientVersion, valor: properties.RawEventData.ClientVersion
RawEventData.CreationTime read_only_udm.additional.fields Clave: CreationTime, valor: properties.RawEventData.CreationTime
RawEventData.DeviceName principal.hostname, principal.asset.hostname Es el valor de properties.RawEventData.DeviceName.
RawEventData.DestinationLocationType read_only_udm.additional.fields Clave: DestinationLocationType, valor: properties.RawEventData.DestinationLocationType
RawEventData.ExchangeLocations security_result.category_details Es el valor de properties.RawEventData.ExchangeLocations.
RawEventData.ExternalAccess read_only_udm.additional.fields Clave: ExternalAccess, valor: properties.RawEventData.ExternalAccess
RawEventData.FileExtension read_only_udm.additional.fields Clave: FileExtension, valor: properties.RawEventData.FileExtension
RawEventData.FileSize target.process.file.size Valor de properties.RawEventData.FileSize convertido en un número entero sin signo.
RawEventData.FileType read_only_udm.additional.fields Clave: FileType, Valor: properties.RawEventData.FileType si no está vacío o Unknown.
RawEventData.Hidden read_only_udm.additional.fields Clave: Hidden, valor: properties.RawEventData.Hidden
RawEventData.Id read_only_udm.additional.fields Clave: RawEventDataId, valor: properties.RawEventData.Id
RawEventData.Item.Id item_idm.read_only_udm.additional.fields Clave: RawEventDataItemId, valor: properties.RawEventData.item.id
RawEventData.LogonType read_only_udm.additional.fields Clave: LogonType, valor: properties.RawEventData.LogonType
RawEventData.LogonUserSid read_only_udm.additional.fields Clave: LogonUserSid, valor: properties.RawEventData.LogonUserSid
RawEventData.MailboxGuid read_only_udm.additional.fields Clave: MailboxGuid, valor: properties.RawEventData.MailboxGuid
RawEventData.MailboxOwnerMasterAccountSid read_only_udm.additional.fields Clave: MailboxOwnerMasterAccountSid, valor: properties.RawEventData.MailboxOwnerMasterAccountSid
RawEventData.MailboxOwnerSid read_only_udm.additional.fields Clave: MailboxOwnerSid, valor: properties.RawEventData.MailboxOwnerSid
RawEventData.MailboxOwnerUPN read_only_udm.additional.fields Clave: MailboxOwnerUPN, valor: properties.RawEventData.MailboxOwnerUPN
RawEventData.MDATPDeviceId read_only_udm.additional.fields Clave: MDATPDeviceId, valor: properties.RawEventData.MDATPDeviceId
RawEventData.ObjectId read_only_udm.additional.fields Clave: ObjectId, valor: properties.RawEventData.ObjectId
RawEventData.Operation read_only_udm.additional.fields Clave: Operation, valor: properties.RawEventData.Operation
RawEventData.OrganizationId read_only_udm.additional.fields Clave: OrganizationId, valor: properties.RawEventData.OrganizationId
RawEventData.OrganizationName read_only_udm.additional.fields Clave: OrganizationName, valor: properties.RawEventData.OrganizationName
RawEventData.OriginatingServer read_only_udm.additional.fields Clave: OriginatingServer, valor: properties.RawEventData.OriginatingServer
RawEventData.ParentFolder.Id read_only_udm.additional.fields Clave: RawEventDataParentFolderId, valor: properties.RawEventData.ParentFolder.Id
RawEventData.Pid target.process.pid Es el valor de properties.RawEventData.Pid convertido en una cadena.
RawEventData.Query read_only_udm.additional.fields Clave: Query, valor: properties.RawEventData.Query
RawEventData.RecordType network.dns.questions.type Valor de properties.RawEventData.RecordType convertido en un número entero sin signo.
RawEventData.ResultStatus read_only_udm.additional.fields Clave: ResultStatus, valor: properties.RawEventData.ResultStatus
RawEventData.Scope read_only_udm.additional.fields Clave: Scope, valor: properties.RawEventData.Scope
RawEventData.SessionId network.session_id Es el valor de properties.RawEventData.SessionId.
RawEventData.Sha1 target.process.file.sha1 Es el valor de properties.RawEventData.Sha1.
RawEventData.Sha256 target.process.file.sha256 Es el valor de properties.RawEventData.Sha256.
RawEventData.TargetDomain target.hostname, target.asset.hostname Es el valor de properties.RawEventData.TargetDomain.
RawEventData.TargetFilePath target.file.full_path Es el valor de properties.RawEventData.TargetFilePath.
RawEventData.UserId principal.user.email_addresses El valor de properties.RawEventData.UserId si es una dirección de correo electrónico.
RawEventData.UserKey read_only_udm.additional.fields Clave: UserKey, valor: properties.RawEventData.UserKey
RawEventData.UserType read_only_udm.additional.fields Clave: UserType, valor: properties.RawEventData.UserType
RawEventData.Version read_only_udm.additional.fields Clave: Version, valor: properties.RawEventData.Version
RawEventData.Workload read_only_udm.additional.fields Clave: Workload, valor: properties.RawEventData.Workload
RecipientEmailAddress network.email.to, target.user.email_addresses Es el valor de properties.RecipientEmailAddress.
RecipientObjectId target.user.product_object_id Es el valor de properties.RecipientObjectId.
RegistryKey target.registry.registry_key Es el valor de properties.RegistryKey.
RegistryValueData target.registry.registry_value_data Es el valor de properties.RegistryValueData.
RegistryValueName target.registry.registry_value_name Es el valor de properties.RegistryValueName.
Remediation User intermediary.user.userid Se usa cuando EventID es 1117.
RemoteDeviceName target.hostname, target.asset.hostname Es el valor de properties.RemoteDeviceName.
RemoteIP target.ip, target.asset.ip El valor de properties.RemoteIP si no está vacío, - o null.
RemoteIPType about.labels, principal.resource.attribute.labels Clave: RemoteIPType, valor: properties.RemoteIPType
RemotePort target.port Valor de properties.RemotePort convertido en un número entero.
RemoteUrl target.url Es el valor de properties.RemoteUrl. Si contiene un nombre de host, se extrae y se asigna a target.hostname y target.asset.hostname.
Removal Reason Value security_result.description Parte de security_result.description cuando EventID es 2011.
ReportId metadata.product_log_id Es el valor de properties.ReportId convertido en una cadena.
Scan ID security_result.description Parte de security_result.description cuando EventID es 1000, 1001 o 1002.
Scan Parameters security_result.description Parte de security_result.description cuando EventID es 1000, 1001 o 1002.
Scan Resources target.file.full_path Se usa cuando EventID es 1,000.
Scan Time Hours security_result.description Parte de security_result.description cuando EventID es 1001.
Scan Time Minutes security_result.description Parte de security_result.description cuando EventID es 1001.
Scan Time Seconds security_result.description Parte de security_result.description cuando EventID es 1001.
Scan Type security_result.description Parte de security_result.description cuando EventID es 1000, 1001 o 1002.
Security intelligence Type security_result.description Parte de security_result.description cuando EventID es 2001.
Security intelligence Version security_result.description Parte de security_result.description cuando EventID es 1011.
SenderDisplayName principal.user.user_display_name Es el valor de properties.SenderDisplayName.
SenderFromAddress network.email.from, principal.user.email_addresses Es el valor de properties.SenderFromAddress.
SenderFromDomain principal.administrative_domain Es el valor de properties.SenderFromDomain.
SenderIPv4 principal.ip, principal.asset.ip Es el valor de properties.SenderIPv4.
SenderIPv6 principal.ip, principal.asset.ip Es el valor de properties.SenderIPv6.
SenderMailFromAddress principal.user.attribute.labels Clave: SenderMailFromAddress, valor: properties.SenderMailFromAddress
SenderMailFromDomain principal.user.attribute.labels Clave: SenderMailFromDomain, valor: properties.SenderMailFromDomain
SenderObjectId principal.user.product_object_id Es el valor de properties.SenderObjectId.
Severity Name security_result.severity Si el valor es Low, se establece en LOW. Si es Moderate, se establece en MEDIUM. Si es High o Severe, se establece en HIGH.
Severity security_result.severity Si el valor contiene informational, se establece en INFORMATIONAL. Si es low, se establece en LOW. Si es medium, se establece en MEDIUM. Si es high, se establece en HIGH. De lo contrario, se establece en UNKNOWN_SEVERITY.
Severity security_result.severity_details Es el valor de properties.Severity.
SHA1 target.process.file.sha1 Es el valor de properties.SHA1.
SHA256 target.process.file.sha256 Es el valor de properties.SHA256.
SHA256 about.file.sha256 Valor de properties.SHA256 cuando category contiene EmailAttachmentInfo.
Signature Type security_result.description Parte de security_result.description cuando EventID es 2000 o 2010.
SourceModuleName target.resource.name Se usa cuando EventID es 2008.
Source Path security_result.description Parte de security_result.description cuando EventID es 2001.
Subject network.email.subject Es el valor de properties.Subject.
Tenant read_only_udm.additional.fields Clave: Tenant, valor: Tenant
tenantId observer.cloud.project.id, target.resource_ancestors.product_object_id Es el valor de tenantId o properties.tenantId.
Threat ID security_result.threat_name Es parte de security_result.threat_name cuando EventID es 1011 o 1116.
ThreatNames security_result.threat_name Es el valor de properties.ThreatNames.
Threat Types security_result.category Si el valor es Phish, establece security_result_category en MAIL_PHISHING. De lo contrario, se establece en UNKNOWN_CATEGORY.
Timestamp security_result.description Parte de security_result.description cuando EventID es 1013.
Timestamp metadata.event_timestamp Se analizó para generar el metadata.event_timestamp.
Timestamp entity.asset.system_last_update_time El valor de properties.Timestamp cuando category es AdvancedHunting-DeviceNetworkInfo.
Title security_result.threat_name Es el valor de properties.Title.
Update Source security_result.description Parte de security_result.description cuando EventID es 2001.
Update State security_result.description Parte de security_result.description cuando EventID es 2001.
Update Type security_result.description Es parte de security_result.description cuando EventID es 2000 o 2001.
UserAgent network.http.user_agent Es el valor de properties.UserAgent.
UserAgentTags additional.fields Cada elemento del array properties.UserAgentTags se agrega como una etiqueta con la clave UserAgentTags.
Url target.url Es el valor de properties.Url.
UrlCount read_only_udm.additional.fields Clave: UrlCount, valor: properties.UrlCount
UrlDomain target.hostname, target.asset.hostname Es el valor de properties.UrlDomain.
UrlLocation read_only_udm.additional.fields Clave: UrlLocation, valor: properties.UrlLocation
User target.user.userid Se usa cuando EventID es 1000, 1001, 1002, 1011, 1013, 2000 o 2002, o cuando Message contiene \tUser:.
UserID principal.user.userid Se usa cuando EventID es 2010 o 2011.
(Lógica del analizador) metadata.event_type Se establece en GENERIC_EVENT de forma inicial y, luego, se reemplaza según otros campos y lógica. Los valores comunes incluyen NETWORK_CONNECTION, PROCESS_LAUNCH, FILE_CREATION, FILE_MODIFICATION, USER_LOGIN, SCAN_HOST, SCAN_PROCESS, SYSTEM_AUDIT_LOG_WIPE, SETTING_MODIFICATION, FILE_DELETION, PROCESS_MODULE_LOAD, PROCESS_UNCATEGORIZED, STATUS_UPDATE, PROCESS_OPEN, NETWORK_DNS, FILE_MOVE, REGISTRY_CREATION, REGISTRY_DELETION, REGISTRY_MODIFICATION, SCHEDULED_TASK_CREATION, SCHEDULED_TASK_DELETION, SCHEDULED_TASK_MODIFICATION, SCAN_NETWORK y USER_UNCATEGORIZED.
(Lógica del analizador) metadata.vendor_name Se define en Microsoft.
(Lógica del analizador) metadata.product_name Se establece en Windows Defender ATP inicialmente y, luego, el campo category podría reemplazarlo.
(Lógica del analizador) metadata.product_event_type Se establece en GENERIC_EVENT de forma inicial y, luego, se reemplaza según otros campos y lógica.
(Lógica del analizador) metadata.product_version Se establece en función de Product Version o properties.InitiatingProcessVersionInfoProductVersion.
(Lógica del analizador) metadata.log_type Se define en WINDOWS_DEFENDER_ATP.
(Lógica del analizador) principal.resource.type Se establece en PROVIDER cuando se analizan syslog/JSON o XML.
(Lógica del analizador) target.resource_ancestors Contiene un solo elemento principal con product_object_id establecido en tenantId.
(Lógica del analizador) security_result.summary Se establece según EventID, properties.ActionType o properties.Title y properties.Category.
(Lógica del analizador) security_result.description Se construye a partir de varios campos según el EventID o el properties.ActionType.
(Lógica del analizador) security_result.action Se establece en ALLOW de forma inicial y, luego, se puede reemplazar según AdditionalFields.WasRemediated, ActionType o Action Name.
(Lógica del analizador) security_result.severity Se establece en función de Severity Name o properties.Severity.
(Lógica del analizador) security_result.category Se establece según Threat Types.
(Lógica del analizador) network.direction Se establece según RemoteIP, LocalIP o EmailDirection.
(Lógica del analizador) network.ip_protocol Se establece en TCP cuando metadata.event_type es NETWORK_CONNECTION.
(Lógica del analizador) network.session_id Se establece según properties.RawEventData.SessionId.
(Lógica del analizador) network.http.user_agent Se establece según properties.UserAgent.
(Lógica del analizador) network.email.mail_id Se establece según properties.NetworkMessageId.
(Lógica del analizador) network.email.subject Se establece según properties.Subject.
(Lógica del analizador) network.email.from Se establece según properties.SenderFromAddress.
(Lógica del analizador) network.email.to Se establece según properties.RecipientEmailAddress.
(Lógica del analizador) network.dns.questions.name Se establece según AdditionalFields.DnsQueryString.
(Lógica del analizador) network.dns.questions.type Se establece según properties.RawEventData.RecordType.
(Lógica del analizador) network.dns.answers Se construye a partir de AdditionalFields.DnsQueryResult.
(Lógica del analizador) extensions.auth.type Se establece en MACHINE cuando ActionType es LogonAttempted o LogonSuccess.
(Lógica del analizador) extensions.auth.mechanism Se establece en función de LogonType o AdditionalFields.IsLocalLogon.
(Lógica del analizador) extensions.auth.auth_details Se establece según properties.AuthenticationDetails.
(Lógica del analizador) entity.asset.asset_id Se construyó con WINDOWS: + DeviceId o properties.DeviceId.
(Lógica del analizador) entity.asset.product_object_id Se establece en DeviceId o properties.DeviceId.
(Lógica del analizador) entity.asset.network_domain Se extrajo de ConnectedNetworks.
(Lógica del analizador) entity.asset.ip Se establece según IPAddresses, _ipaddress, PublicIP o LocalIP.
(Lógica del analizador) entity.asset.mac Se establece en función de MacAddress o properties.MacAddress.
(Lógica del analizador) entity.asset.hostname Se establece en función de DeviceName o properties.DeviceName.
(Lógica del analizador) entity.asset.platform_software.platform Se establece según OSPlatform.
(Lógica del analizador) entity.asset.platform_software.platform_version Se establece según OSVersion.
(Lógica del analizador) entity.asset.category Se establece según DeviceCategory.
(Lógica del analizador) entity.asset.type Se establece en WORKSTATION para los eventos de información de red y del dispositivo.
(Lógica del analizador) entity.asset.system_last_update_time Es el valor establecido en properties.Timestamp para los eventos de información de red.
(Lógica del analizador) entity.relations Se construye a partir de LoggedOnUsers.
(Lógica del analizador) entity.metadata.entity_type Se establece en ASSET para los eventos de dispositivos, redes y recursos.
(Lógica del analizador) about.labels Contiene etiquetas para varios campos que no se ajustan directamente al esquema de UDM.
(Lógica del analizador) principal.user.attribute.labels Contiene etiquetas para varios campos relacionados con el usuario.
(Lógica del analizador) principal.resource.attribute.labels Contiene etiquetas para varios campos relacionados con los recursos.
(Lógica del analizador) target.resource.resource_type Se establece en TASK para los eventos de tareas programadas y en SETTING para los eventos de modificación de la configuración.
(Lógica del analizador) target.resource.name Se establece según SourceModuleName, AdditionalFields.TaskName o _taskname.
(Lógica del analizador) target.resource.product_object_id Se establece según properties.ReportId.
(Lógica del analizador) target.resource_ancestors Se establece según tenantId.
(Lógica del analizador) target.registry.registry_key Se establece según RegistryKey, PreviousRegistryKey o properties.RegistryKey.
(Lógica del analizador) target.registry.registry_value_name Se establece en función de RegistryValueName o properties.RegistryValueName.
(Lógica del analizador) target.registry.registry_value_data Se establece en función de RegistryValueData o properties.RegistryValueData.
(Lógica del analizador) intermediary.user.userid Se establece según Remediation User.
(Lógica del analizador) metadata.collected_timestamp Se establece en la marca de tiempo del evento para los eventos de información de activos y de red.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.