Collecter les journaux Microsoft Windows Defender ATP

Compatible avec :

Ce document explique comment collecter les journaux Microsoft Windows Defender ATP dans Google Security Operations à l'aide d'un compte de stockage Azure. Ce parseur gère les journaux de Windows Defender ATP aux formats SYSLOG, XML et JSON. Il normalise les différents champs de ces formats dans une structure unifiée, en extrayant les informations clés telles que les détails des événements, les données utilisateur, les informations sur les processus, l'activité réseau et les résultats de sécurité, et en les mappant à l'UDM. L'analyseur effectue également une logique conditionnelle basée sur EventID et ActionType pour catégoriser les événements et enrichir l'UDM avec des détails spécifiques à chaque type d'événement.

Avant de commencer

  • Assurez-vous de disposer d'une instance Google SecOps.
  • Assurez-vous de disposer d'un abonnement Azure actif.
  • Assurez-vous de disposer du rôle "Administrateur général" ou "Chasseur de menaces avancées Microsoft Defender".
  • Connectez-vous à votre locataire Azure, puis accédez à Abonnements > Votre abonnement > Fournisseurs de ressources > S'inscrire à Microsoft.Insights.

Configurer un compte de stockage Azure

  1. Dans la console Azure, recherchez "Comptes de stockage".
  2. Cliquez sur Créer.
  3. Spécifiez les valeurs des paramètres d'entrée suivants :
    • Abonnement : sélectionnez l'abonnement.
    • Groupe de ressources : sélectionnez le groupe de ressources.
    • Région : sélectionnez la région.
    • Performances : sélectionnez les performances (Standard recommandé).
    • Redondance : sélectionnez la redondance (GRS ou LRS recommandé).
    • Nom du compte de stockage : saisissez un nom pour le nouveau compte de stockage.
  4. Cliquez sur Examiner et créer.
  5. Examinez l'aperçu du compte, puis cliquez sur Créer.
  6. Sur la page Présentation du compte de stockage, sélectionnez le sous-menu Clés d'accès dans Sécurité et mise en réseau.
  7. Cliquez sur Afficher à côté de key1 ou key2.
  8. Cliquez sur Copier dans le presse-papiers pour copier la clé.
  9. Enregistrez la clé dans un endroit sûr pour pouvoir l'utiliser ultérieurement.
  10. Sur la page Présentation du compte de stockage, sélectionnez le sous-menu Points de terminaison dans Paramètres.
  11. Cliquez sur Copier dans le presse-papiers pour copier l'URL du point de terminaison Blob service (Service Blob). Par exemple, https://<storageaccountname>.blob.core.windows.net.
  12. Enregistrez l'URL du point de terminaison dans un endroit sûr pour une utilisation ultérieure.

Configurer l'exportation des journaux de traque avancée des menaces Windows Defender

  1. Connectez-vous à security.microsoft.com en tant qu'administrateur général ou administrateur de la sécurité.
  2. Accédez à Paramètres> Microsoft Defender XDR.
  3. Sélectionnez API Streaming.
  4. Cliquez sur Ajouter.
  5. Sélectionnez Transférer les événements vers Azure Storage.
  6. Accédez au compte de stockage créé précédemment.
  7. Copiez l'ID de ressource et saisissez-le dans le champ ID de ressource du compte de stockage.
  8. Sélectionnez tous les types d'événements.
  9. Cliquez sur Enregistrer.

Configurer un flux dans Google SecOps pour ingérer les journaux de chasse aux menaces avancée Windows Defender

  1. Accédez à Paramètres SIEM> Flux.
  2. Cliquez sur Ajouter.
  3. Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Defender ATP Logs).
  4. Sélectionnez Microsoft Azure Blob Storage comme Type de source.
  5. Sélectionnez Windows Defender ATP comme type de journal.
  6. Cliquez sur Suivant.

  7. Spécifiez les valeurs des paramètres d'entrée suivants :

    • URI Azure : URL du point de terminaison du blob.
      • ENDPOINT_URL/BLOB_NAME
        • Remplacez les éléments suivants :
        • ENDPOINT_URL : URL du point de terminaison du blob (https://<storageaccountname>.blob.core.windows.net).
        • BLOB_NAME : nom du blob, par exemple <logname>-logs.
    • URI is a : sélectionnez le type d'URI en fonction de la configuration du flux de journaux (Single file | Directory | Directory which includes subdirectories).

    • Options de suppression de la source : sélectionnez l'option de suppression de votre choix.

    • Clé partagée : clé d'accès à Azure Blob Storage.

    • Espace de noms de l'élément : espace de noms de l'élément.

    • Libellés d'ingestion : libellé à appliquer aux événements de ce flux.

  8. Cliquez sur Suivant.

  9. Vérifiez la configuration de votre nouveau flux sur l'écran Finaliser, puis cliquez sur Envoyer.

Table de mappage UDM

Champ de journal Mappage UDM Logique
AccountName target.user.userid Renseigné lorsque properties.AccountName est présent et que properties.InitiatingProcessAccountName est vide.
AccountSid target.user.windows_sid Renseigné lorsque properties.AccountSid est présent.
AccountType principal.user.attribute.labels Clé : AccountType, Valeur : properties.AccountType
Action security_result.action_details Valeur de properties.Action.
Action security_result.action Si properties.Action contient quarantine, la valeur est QUARANTINE.
Action Name security_result.description Fait partie de security_result.description lorsque EventID est défini sur 1117.
AdditionalFields about.labels, principal.resource.attribute.labels Clé : AdditionalFields, Valeur : properties.AdditionalFields (ou AdditionalFields si elle est analysée au format JSON). Les paires clé/valeur individuelles de properties.AdditionalFields (ou AdditionalFields2 si elles sont analysées au format JSON) sont également ajoutées en tant que libellés.
AdditionalFields.ClientMachine principal.resource.attribute.labels Clé : ClientMachine, Valeur : _AdditionalFields.ClientMachine
AdditionalFields.Command target.process.command_line Utilisé lorsque ActionType est PowerShellCommand.
AdditionalFields.Count read_only_udm.additional.fields Clé : Count, Valeur : properties.AdditionalFields.Count
AdditionalFields.DesiredAccess principal.resource.attribute.labels Clé : DesiredAccess, Valeur : _AdditionalFields.DesiredAccess
AdditionalFields.DnsQueryString network.dns.questions.name Utilisé lorsque ActionType est DnsQueryResponse.
AdditionalFields.DnsQueryResult network.dns.answers Analysé dans une boucle pour extraire les réponses DNS. Result devient name et DnsQueryType est mappé au nombre type.
AdditionalFields.Experience security_result.threat_name Utilisé lorsque properties.ActionType contient SmartScreen.
AdditionalFields.FileOperation principal.resource.attribute.labels Clé : FileOperation, Valeur : _AdditionalFields.FileOperation
AdditionalFields.InitiatingProcess principal.resource.attribute.labels Clé : InitiatingProcess, Valeur : _AdditionalFields.InitiatingProcess
AdditionalFields.IsAudit principal.resource.attribute.labels Clé : IsAudit, Valeur : _AdditionalFields.IsAudit
AdditionalFields.IsLocalLogon extensions.auth.mechanism Si la valeur est true, définit auth_mechanism sur LOCAL. Si la valeur est false, elle est définie sur REMOTE.
AdditionalFields.IsRemoteMachine principal.resource.attribute.labels Clé : IsRemoteMachine, Valeur : _AdditionalFields.IsRemoteMachine
AdditionalFields.NamedPipeEnd principal.resource.attribute.labels Clé : NamedPipeEnd, Valeur : _AdditionalFields.NamedPipeEnd
AdditionalFields.PipeName principal.resource.attribute.labels Clé : PipeName, Valeur : _AdditionalFields.PipeName
AdditionalFields.RemoteClientsAccess principal.resource.attribute.labels Clé : RemoteClientsAccess, Valeur : _AdditionalFields.RemoteClientsAccess
AdditionalFields.SessionId principal.resource.attribute.labels Clé : SessionId, Valeur : _AdditionalFields.SessionId
AdditionalFields.SignatureName security_result.rule_id Utilisé lorsque properties.ActionType est AntivirusDetection.
AdditionalFields.TaskName target.resource.name Utilisé lorsque properties.ActionType contient Scheduled.
AdditionalFields.ThreatName security_result.threat_name Utilisé lorsque properties.ActionType est AntivirusDetection.
AdditionalFields.ThreadId principal.resource.attribute.labels Clé : ThreadId, Valeur : _AdditionalFields.ThreadId
AdditionalFields.TokenModificationProperties principal.resource.attribute.labels Clé : TokenModificationProperties, Valeur : _AdditionalFields.TokenModificationProperties
AdditionalFields.TotalBytesCopied principal.resource.attribute.labels Clé : TotalBytesCopied, Valeur : _AdditionalFields.TotalBytesCopied
AdditionalFields.WasExecutingWhileDetected about.labels, principal.resource.attribute.labels Clé : WasExecutingWhileDetected, Valeur : _AdditionalFields.WasExecutingWhileDetected
AdditionalFields.WasRemediated security_result.action Si la valeur est true, définit sr_action sur BLOCK. Si la valeur est false, elle est définie sur ALLOW.
AppGuardContainerId ApplicationId read_only_udm.additional.fields Clé : ApplicationId, Valeur : properties.ApplicationId
category metadata.product_name Valeur de category.
category metadata.product_event_type Valeur de category après suppression de AdvancedHunting-.
City principal.location.city Valeur de properties.City.
ClientIP principal.ip, principal.asset.ip Valeur de properties.RawEventData.ClientIP s'il s'agit d'une adresse IP valide.
ClientIPAddress principal.ip, principal.asset.ip Valeur de properties.RawEventData.ClientIPAddress s'il s'agit d'une adresse IP valide.
ClientInfoString read_only_udm.additional.fields Clé : ClientInfoString, Valeur : properties.RawEventData.ClientInfoString
ClientProcessName read_only_udm.additional.fields Clé : ClientProcessName, Valeur : properties.RawEventData.ClientProcessName
ClientRequestId read_only_udm.additional.fields Clé : ClientRequestId, Valeur : properties.RawEventData.ClientRequestId
ClientVersion read_only_udm.additional.fields Clé : ClientVersion, Valeur : properties.RawEventData.ClientVersion
ConnectedNetworks entity.asset.network_domain Champ Name dans ConnectedNetworks, le cas échéant.
CountryCode principal.location.country_or_region Valeur de properties.CountryCode.
CreationTime read_only_udm.additional.fields Clé : CreationTime, Valeur : properties.RawEventData.CreationTime
Current Engine Version security_result.description Fait partie de security_result.description lorsque EventID est défini sur 2000.
Current Signature Version security_result.description Fait partie de security_result.description lorsque EventID est défini sur 2000.
DeliveryAction read_only_udm.additional.fields Clé : DeliveryAction, Valeur : properties.DeliveryAction
DeliveryAction security_result.action Si properties.DeliveryAction contient Blocked, la valeur est BLOCK.
DeliveryLocation read_only_udm.additional.fields Clé : DeliveryLocation, Valeur : properties.DeliveryLocation
DestinationLocationType read_only_udm.additional.fields Clé : DestinationLocationType, Valeur : properties.RawEventData.DestinationLocationType
DetectionMethods security_result.rule_name, security_result.detection_fields La valeur de properties.DetectionMethods sans guillemets devient rule_name et detection_fields (clé : Detection Method).
Detection User principal.user.userid Utilisé lorsque EventID est défini sur 1116 ou 1117.
DeviceCategory entity.asset.category Valeur de properties.DeviceCategory.
DeviceId principal.asset_id WINDOWS_DEFENDER: + DeviceId lors de l'analyse de syslog/JSON ou XML. DeviceId: + properties.DeviceId lors de l'analyse JSON.
DeviceName principal.hostname, principal.asset.hostname DeviceName lors de l'analyse de syslog/JSON ou XML. properties.DeviceName lors de l'analyse JSON. properties.RawEventData.DeviceName, le cas échéant.
DeviceType read_only_udm.additional.fields Clé : DeviceType, Valeur : properties.DeviceType
Domain principal.administrative_domain Utilisé lors de l'analyse de syslog/JSON ou XML.
Dynamic Signature Compilation Timestamp security_result.description Fait partie de security_result.description lorsque EventID est défini sur 2010 ou 2011.
Dynamic Signature Type security_result.description Fait partie de security_result.description lorsque EventID est défini sur 2010 ou 2011.
Dynamic Signature Version security_result.description Fait partie de security_result.description lorsque EventID est défini sur 2010 ou 2011.
EmailClusterId read_only_udm.additional.fields Clé : EmailClusterId, Valeur : properties.EmailClusterId
EmailDirection network.direction Si la valeur est Inbound, elle est définie sur INBOUND. Si la valeur est Outbound, elle est définie sur OUTBOUND. Sinon, la valeur est définie sur UNKNOWN_DIRECTION.
EmailLanguage read_only_udm.additional.fields Clé : EmailLanguage, Valeur : properties.EmailLanguage
Engine Version security_result.description Fait partie de security_result.description lorsque EventID est défini sur 1011.
EnforcementMode read_only_udm.additional.fields Clé : EnforcementMode, Valeur : properties.EnforcementMode
Error Code security_result.description Fait partie de security_result.description lorsque EventID est défini sur 1117 ou 2001.
Error Description security_result.description Fait partie de security_result.description lorsque EventID est défini sur 1117 ou 2001.
EventID metadata.product_event_type Partie de metadata.product_event_type lors de l'analyse de syslog/JSON ou XML.
EventTime metadata.event_timestamp Analysé pour générer le metadata.event_timestamp.
ExchangeLocations security_result.category_details Valeur de properties.RawEventData.ExchangeLocations.
ExternalAccess read_only_udm.additional.fields Clé : ExternalAccess, Valeur : properties.RawEventData.ExternalAccess
FailureReason security_result.description La valeur de properties.FailureReason lorsque ActionType est LogonFailed.
FileExtension read_only_udm.additional.fields Clé : FileExtension, Valeur : properties.RawEventData.FileExtension
FileName about.file.full_path Valeur de properties.FileName lorsque category contient EmailAttachmentInfo. Dans le cas contraire, target.process.file.full_path.
FileSize target.process.file.size Valeur de properties.FileSize convertie en entier non signé.
FileSize about.file.size Valeur de properties.FileSize convertie en entier non signé lorsque category contient EmailAttachmentInfo.
FileSize principal.process.file.size Valeur de properties.RawEventData.FileSize convertie en entier non signé.
FileType about.file.mime_type Valeur de properties.FileType lorsque category contient EmailAttachmentInfo. Dans le cas contraire, target.process.file.mime_type.
FileType read_only_udm.additional.fields Clé : FileType, Valeur : properties.RawEventData.FileType si la valeur n'est pas vide ou Unknown.
FolderPath target.file.full_path Valeur de properties.FolderPath.
FolderPath target.process.file.full_path La valeur de FolderPath lorsque ActionType est CreateRemoteThreadApiCall, ExploitGuardNonMicrosoftSignedBlocked, DriverLoad, FileRenamed, OpenProcessApiCall, ReadProcessMemoryApiCall, ImageLoaded ou properties.ActionType est FileCreatedOnNetworkShare.
Hidden read_only_udm.additional.fields Clé : Hidden, Valeur : properties.RawEventData.Hidden
Hostname principal.hostname, principal.asset.hostname Utilisé lors de l'analyse de syslog/JSON ou XML.
IPAddresses entity.asset.ip Le champ IPAddress dans chaque objet du tableau IPAddresses, à l'exclusion des adresses IPv6 de liaison locale, IPv4 APIPA, IPv6 de bouclage, IPv6 de multidiffusion et de bouclage.
IPAddress principal.ip, principal.asset.ip Valeur de properties.IPAddress s'il s'agit d'une adresse IP valide.
IPCategory read_only_udm.additional.fields Clé : IPCategory, Valeur : properties.IPCategory
IPTags read_only_udm.additional.fields Clé : IPTags, Valeur : properties.IPTags
ISP read_only_udm.additional.fields Clé : ISP, Valeur : properties.ISP
InitiatingProcessAccountName principal.user.userid Renseigné lorsqu'il est présent et que properties.AccountName est vide, ou lorsque les deux sont présents.
InitiatingProcessAccountSid principal.user.windows_sid Renseigné lorsqu'il est présent et que properties.AccountSid est vide, ou lorsque les deux sont présents.
InitiatingProcessAccountUpn principal.user.email_addresses Valeur de properties.InitiatingProcessAccountUpn.
InitiatingProcessCommandLine principal.process.command_line Valeur de properties.InitiatingProcessCommandLine sans guillemets.
InitiatingProcessFileName principal.process.file.full_path Valeur de properties.InitiatingProcessFileName.
InitiatingProcessFileSize principal.process.file.size Valeur de properties.InitiatingProcessFileSize convertie en entier non signé.
InitiatingProcessFolderPath principal.process.file.full_path Valeur de properties.InitiatingProcessFolderPath.
InitiatingProcessId principal.process.pid Valeur de properties.InitiatingProcessId convertie en chaîne.
InitiatingProcessIntegrityLevel about.labels, principal.resource.attribute.labels Clé : InitiatingProcessIntegrityLevel, Valeur : properties.InitiatingProcessIntegrityLevel
InitiatingProcessMD5 principal.process.file.md5 Valeur de properties.InitiatingProcessMD5.
InitiatingProcessParentFileName principal.process.parent_process.file.full_path Valeur de properties.InitiatingProcessParentFileName.
InitiatingProcessParentId principal.process.parent_process.pid Valeur de properties.InitiatingProcessParentId convertie en chaîne.
InitiatingProcessSHA1 principal.process.file.sha1 Valeur de properties.InitiatingProcessSHA1.
InitiatingProcessSHA256 principal.process.file.sha256 Valeur de properties.InitiatingProcessSHA256.
InitiatingProcessSignatureStatus read_only_udm.additional.fields Clé : InitiatingProcessSignatureStatus, Valeur : properties.InitiatingProcessSignatureStatus
InitiatingProcessSignerType read_only_udm.additional.fields Clé : InitiatingProcessSignerType, Valeur : properties.InitiatingProcessSignerType
InitiatingProcessTokenElevation about.labels, principal.resource.attribute.labels Clé : InitiatingProcessTokenElevation, Valeur : properties.InitiatingProcessTokenElevation
InitiatingProcessVersionInfoCompanyName principal.user.company_name Valeur de properties.InitiatingProcessVersionInfoCompanyName.
InitiatingProcessVersionInfoFileDescription principal.resource.attribute.labels Clé : File Description, Valeur : properties.InitiatingProcessVersionInfoFileDescription
InitiatingProcessVersionInfoInternalFileName principal.resource.attribute.labels Clé : File Name, Valeur : properties.InitiatingProcessVersionInfoInternalFileName
InitiatingProcessVersionInfoOriginalFileName principal.resource.attribute.labels Clé : Original File Name, Valeur : properties.InitiatingProcessVersionInfoOriginalFileName
InitiatingProcessVersionInfoProductName read_only_udm.additional.fields Clé : InitiatingProcessVersionInfoProductName, Valeur : properties.InitiatingProcessVersionInfoProductName
InitiatingProcessVersionInfoProductVersion metadata.product_version Valeur de properties.InitiatingProcessVersionInfoProductVersion.
InternetMessageId read_only_udm.additional.fields Clé : InternetMessageId, Valeur : properties.InternetMessageId (sans les chevrons).
IsAdminOperation read_only_udm.additional.fields Clé : IsAdminOperation, Valeur : properties.IsAdminOperation
IsAnonymousProxy read_only_udm.additional.fields Clé : IsAnonymousProxy, Valeur : properties.IsAnonymousProxy
IsExternalUser read_only_udm.additional.fields Clé : IsExternalUser, Valeur : properties.IsExternalUser
IsImpersonated read_only_udm.additional.fields Clé : IsImpersonated, Valeur : properties.IsImpersonated
IsLocalAdmin about.labels, principal.resource.attribute.labels Clé : IsLocalAdmin, valeur : true ou false selon la valeur booléenne de properties.IsLocalAdmin.
LoggedOnUsers target.user.userid, entity.relations.entity.user.userid Le champ UserName de chaque objet du tableau LoggedOnUsers est ajouté en tant que target.user.userid et entité utilisateur associée. Le champ Sid est ajouté en tant que entity.relations.entity.user.windows_sid.
LocalIP principal.ip, principal.asset.ip Valeur de LocalIP lors de l'analyse JSON.
LocalPort principal.port Valeur de LocalPort convertie en entier lors de l'analyse JSON.
LogonType extensions.auth.mechanism Mappé à un mécanisme d'authentification UDM en fonction de la valeur.
LogonType read_only_udm.additional.fields Clé : LogonType, Valeur : properties.RawEventData.LogonType
LogonUserSid read_only_udm.additional.fields Clé : LogonUserSid, Valeur : properties.RawEventData.LogonUserSid
MacAddress entity.asset.mac Valeur de MacAddress ou properties.MacAddress au format d'une chaîne séparée par des deux-points.
MailboxGuid read_only_udm.additional.fields Clé : MailboxGuid, Valeur : properties.RawEventData.MailboxGuid
MailboxOwnerMasterAccountSid read_only_udm.additional.fields Clé : MailboxOwnerMasterAccountSid, Valeur : properties.RawEventData.MailboxOwnerMasterAccountSid
MailboxOwnerSid read_only_udm.additional.fields Clé : MailboxOwnerSid, Valeur : properties.RawEventData.MailboxOwnerSid
MailboxOwnerUPN read_only_udm.additional.fields Clé : MailboxOwnerUPN, Valeur : properties.RawEventData.MailboxOwnerUPN
MD5 target.process.file.md5 Valeur de properties.MD5.
Message security_result.description Fait partie de security_result.description lorsque EventID est égal à 1000, 1001, 1002, 1013, 1116, 1117, 2000, 2001, 2002, 2010, 2011 ou 5007.
NetworkAdapterType metadata.product_event_type Valeur de NetworkAdapterType lors de l'analyse JSON.
NetworkMessageId network.email.mail_id Valeur de properties.NetworkMessageId.
New Value security_result.description Fait partie de security_result.description lorsque EventID est défini sur 5007.
Object Name read_only_udm.additional.fields Clé : ObjectName, Valeur : properties.ObjectName
Object Type read_only_udm.additional.fields Clé : ObjectType, Valeur : properties.ObjectType
ObjectId read_only_udm.additional.fields Clé : ObjectId, Valeur : properties.ObjectId ou properties.RawEventData.ObjectId.
Old Value security_result.description Fait partie de security_result.description lorsque EventID est défini sur 5007.
Operation read_only_udm.additional.fields Clé : Operation, Valeur : properties.RawEventData.Operation
operationName read_only_udm.additional.fields Clé : OperationName, Valeur : operationName
OrganizationId read_only_udm.additional.fields Clé : OrganizationId, Valeur : properties.RawEventData.OrganizationId
OrganizationName read_only_udm.additional.fields Clé : OrganizationName, Valeur : properties.RawEventData.OrganizationName
OriginatingServer read_only_udm.additional.fields Clé : OriginatingServer, Valeur : properties.RawEventData.OriginatingServer
OSPlatform asset.platform_software.platform Si la valeur contient macos, définit platform sur MAC. Si la valeur est windows, elle est définie sur WINDOWS. Si la valeur est nix, elle est définie sur LINUX.
OSVersion asset.platform_software.platform_version Valeur de properties.OSVersion.
Path target.file.full_path Utilisé lorsque EventID est 1011 ou 1116.
Persistence Limit Type security_result.description Fait partie de security_result.description lorsque EventID est défini sur 2010 ou 2011.
Persistence Limit Value security_result.description Fait partie de security_result.description lorsque EventID est défini sur 2010 ou 2011.
Persistence Path target.file.full_path Utilisé lorsque EventID est défini sur 2010 ou 2011.
Previous Engine Version security_result.description Fait partie de security_result.description lorsque EventID est 2000, 2001 ou 2002.
PreviousRegistryKey target.registry.registry_key Valeur de properties.PreviousRegistryKey.
PreviousRegistryValueData target.resource.attribute.labels Clé : PreviousRegistryValueData, Valeur : properties.PreviousRegistryValueData
PreviousRegistryValueName target.resource.attribute.labels Clé : PreviousRegistryValueName, Valeur : properties.PreviousRegistryValueName
Previous security intelligence Version security_result.description Fait partie de security_result.description lorsque EventID est défini sur 2001.
Previous Signature Version security_result.description Fait partie de security_result.description lorsque EventID est défini sur 2000.
ProcessCommandLine target.process.command_line Valeur de properties.ProcessCommandLine.
ProcessID principal.process.pid Utilisé lors de l'analyse de syslog/JSON ou XML.
ProcessId target.process.pid Valeur de properties.ProcessId convertie en chaîne.
Process Name target.process.pid Utilisé lorsque EventID est défini sur 1116 ou 1117.
Product Version metadata.product_version Utilisé lors de l'analyse de syslog/JSON ou XML.
Protocol network.ip_protocol Si la valeur contient Tcp, elle est définie sur TCP. Si la valeur est Udp, elle est définie sur UDP. Si la valeur est Icmp, elle est définie sur ICMP.
ProviderGuid principal.resource.id Utilisé lors de l'analyse de syslog/JSON ou XML.
PublicIP principal.ip, principal.asset.ip Valeur de properties.PublicIP.
RawEventData.Application principal.application Valeur de properties.RawEventData.Application.
RawEventData.ClientIP principal.ip, principal.asset.ip Valeur de properties.RawEventData.ClientIP s'il s'agit d'une adresse IP valide.
RawEventData.ClientIPAddress principal.ip, principal.asset.ip Valeur de properties.RawEventData.ClientIPAddress s'il s'agit d'une adresse IP valide.
RawEventData.ClientInfoString read_only_udm.additional.fields Clé : ClientInfoString, Valeur : properties.RawEventData.ClientInfoString
RawEventData.ClientProcessName read_only_udm.additional.fields Clé : ClientProcessName, Valeur : properties.RawEventData.ClientProcessName
RawEventData.ClientRequestId read_only_udm.additional.fields Clé : ClientRequestId, Valeur : properties.RawEventData.ClientRequestId
RawEventData.ClientVersion read_only_udm.additional.fields Clé : ClientVersion, Valeur : properties.RawEventData.ClientVersion
RawEventData.CreationTime read_only_udm.additional.fields Clé : CreationTime, Valeur : properties.RawEventData.CreationTime
RawEventData.DeviceName principal.hostname, principal.asset.hostname Valeur de properties.RawEventData.DeviceName.
RawEventData.DestinationLocationType read_only_udm.additional.fields Clé : DestinationLocationType, Valeur : properties.RawEventData.DestinationLocationType
RawEventData.ExchangeLocations security_result.category_details Valeur de properties.RawEventData.ExchangeLocations.
RawEventData.ExternalAccess read_only_udm.additional.fields Clé : ExternalAccess, Valeur : properties.RawEventData.ExternalAccess
RawEventData.FileExtension read_only_udm.additional.fields Clé : FileExtension, Valeur : properties.RawEventData.FileExtension
RawEventData.FileSize target.process.file.size Valeur de properties.RawEventData.FileSize convertie en entier non signé.
RawEventData.FileType read_only_udm.additional.fields Clé : FileType, Valeur : properties.RawEventData.FileType si la valeur n'est pas vide ou Unknown.
RawEventData.Hidden read_only_udm.additional.fields Clé : Hidden, Valeur : properties.RawEventData.Hidden
RawEventData.Id read_only_udm.additional.fields Clé : RawEventDataId, Valeur : properties.RawEventData.Id
RawEventData.Item.Id item_idm.read_only_udm.additional.fields Clé : RawEventDataItemId, Valeur : properties.RawEventData.item.id
RawEventData.LogonType read_only_udm.additional.fields Clé : LogonType, Valeur : properties.RawEventData.LogonType
RawEventData.LogonUserSid read_only_udm.additional.fields Clé : LogonUserSid, Valeur : properties.RawEventData.LogonUserSid
RawEventData.MailboxGuid read_only_udm.additional.fields Clé : MailboxGuid, Valeur : properties.RawEventData.MailboxGuid
RawEventData.MailboxOwnerMasterAccountSid read_only_udm.additional.fields Clé : MailboxOwnerMasterAccountSid, Valeur : properties.RawEventData.MailboxOwnerMasterAccountSid
RawEventData.MailboxOwnerSid read_only_udm.additional.fields Clé : MailboxOwnerSid, Valeur : properties.RawEventData.MailboxOwnerSid
RawEventData.MailboxOwnerUPN read_only_udm.additional.fields Clé : MailboxOwnerUPN, Valeur : properties.RawEventData.MailboxOwnerUPN
RawEventData.MDATPDeviceId read_only_udm.additional.fields Clé : MDATPDeviceId, Valeur : properties.RawEventData.MDATPDeviceId
RawEventData.ObjectId read_only_udm.additional.fields Clé : ObjectId, Valeur : properties.RawEventData.ObjectId
RawEventData.Operation read_only_udm.additional.fields Clé : Operation, Valeur : properties.RawEventData.Operation
RawEventData.OrganizationId read_only_udm.additional.fields Clé : OrganizationId, Valeur : properties.RawEventData.OrganizationId
RawEventData.OrganizationName read_only_udm.additional.fields Clé : OrganizationName, Valeur : properties.RawEventData.OrganizationName
RawEventData.OriginatingServer read_only_udm.additional.fields Clé : OriginatingServer, Valeur : properties.RawEventData.OriginatingServer
RawEventData.ParentFolder.Id read_only_udm.additional.fields Clé : RawEventDataParentFolderId, Valeur : properties.RawEventData.ParentFolder.Id
RawEventData.Pid target.process.pid Valeur de properties.RawEventData.Pid convertie en chaîne.
RawEventData.Query read_only_udm.additional.fields Clé : Query, Valeur : properties.RawEventData.Query
RawEventData.RecordType network.dns.questions.type Valeur de properties.RawEventData.RecordType convertie en entier non signé.
RawEventData.ResultStatus read_only_udm.additional.fields Clé : ResultStatus, Valeur : properties.RawEventData.ResultStatus
RawEventData.Scope read_only_udm.additional.fields Clé : Scope, Valeur : properties.RawEventData.Scope
RawEventData.SessionId network.session_id Valeur de properties.RawEventData.SessionId.
RawEventData.Sha1 target.process.file.sha1 Valeur de properties.RawEventData.Sha1.
RawEventData.Sha256 target.process.file.sha256 Valeur de properties.RawEventData.Sha256.
RawEventData.TargetDomain target.hostname, target.asset.hostname Valeur de properties.RawEventData.TargetDomain.
RawEventData.TargetFilePath target.file.full_path Valeur de properties.RawEventData.TargetFilePath.
RawEventData.UserId principal.user.email_addresses Valeur de properties.RawEventData.UserId s'il s'agit d'une adresse e-mail.
RawEventData.UserKey read_only_udm.additional.fields Clé : UserKey, Valeur : properties.RawEventData.UserKey
RawEventData.UserType read_only_udm.additional.fields Clé : UserType, Valeur : properties.RawEventData.UserType
RawEventData.Version read_only_udm.additional.fields Clé : Version, Valeur : properties.RawEventData.Version
RawEventData.Workload read_only_udm.additional.fields Clé : Workload, Valeur : properties.RawEventData.Workload
RecipientEmailAddress network.email.to, target.user.email_addresses Valeur de properties.RecipientEmailAddress.
RecipientObjectId target.user.product_object_id Valeur de properties.RecipientObjectId.
RegistryKey target.registry.registry_key Valeur de properties.RegistryKey.
RegistryValueData target.registry.registry_value_data Valeur de properties.RegistryValueData.
RegistryValueName target.registry.registry_value_name Valeur de properties.RegistryValueName.
Remediation User intermediary.user.userid Utilisé lorsque EventID est défini sur 1117.
RemoteDeviceName target.hostname, target.asset.hostname Valeur de properties.RemoteDeviceName.
RemoteIP target.ip, target.asset.ip La valeur de properties.RemoteIP si elle n'est pas vide, - ou null.
RemoteIPType about.labels, principal.resource.attribute.labels Clé : RemoteIPType, Valeur : properties.RemoteIPType
RemotePort target.port Valeur de properties.RemotePort convertie en entier.
RemoteUrl target.url Valeur de properties.RemoteUrl. S'il contient un nom d'hôte, celui-ci est extrait et mappé sur target.hostname et target.asset.hostname.
Removal Reason Value security_result.description Fait partie de security_result.description lorsque EventID est défini sur 2011.
ReportId metadata.product_log_id Valeur de properties.ReportId convertie en chaîne.
Scan ID security_result.description Fait partie de security_result.description lorsque EventID est défini sur 1000, 1001 ou 1002.
Scan Parameters security_result.description Fait partie de security_result.description lorsque EventID est défini sur 1000, 1001 ou 1002.
Scan Resources target.file.full_path Utilisé lorsque EventID est défini sur 1 000.
Scan Time Hours security_result.description Fait partie de security_result.description lorsque EventID est égal à 1001.
Scan Time Minutes security_result.description Fait partie de security_result.description lorsque EventID est égal à 1001.
Scan Time Seconds security_result.description Fait partie de security_result.description lorsque EventID est égal à 1001.
Scan Type security_result.description Fait partie de security_result.description lorsque EventID est défini sur 1000, 1001 ou 1002.
Security intelligence Type security_result.description Fait partie de security_result.description lorsque EventID est défini sur 2001.
Security intelligence Version security_result.description Fait partie de security_result.description lorsque EventID est défini sur 1011.
SenderDisplayName principal.user.user_display_name Valeur de properties.SenderDisplayName.
SenderFromAddress network.email.from, principal.user.email_addresses Valeur de properties.SenderFromAddress.
SenderFromDomain principal.administrative_domain Valeur de properties.SenderFromDomain.
SenderIPv4 principal.ip, principal.asset.ip Valeur de properties.SenderIPv4.
SenderIPv6 principal.ip, principal.asset.ip Valeur de properties.SenderIPv6.
SenderMailFromAddress principal.user.attribute.labels Clé : SenderMailFromAddress, Valeur : properties.SenderMailFromAddress
SenderMailFromDomain principal.user.attribute.labels Clé : SenderMailFromDomain, Valeur : properties.SenderMailFromDomain
SenderObjectId principal.user.product_object_id Valeur de properties.SenderObjectId.
Severity Name security_result.severity Si la valeur est Low, elle est définie sur LOW. Si la valeur est Moderate, elle est définie sur MEDIUM. Si la valeur est High ou Severe, elle est définie sur HIGH.
Severity security_result.severity Si la valeur contient informational, elle est définie sur INFORMATIONAL. Si la valeur est low, elle est définie sur LOW. Si la valeur est medium, elle est définie sur MEDIUM. Si la valeur est high, elle est définie sur HIGH. Sinon, la valeur est définie sur UNKNOWN_SEVERITY.
Severity security_result.severity_details Valeur de properties.Severity.
SHA1 target.process.file.sha1 Valeur de properties.SHA1.
SHA256 target.process.file.sha256 Valeur de properties.SHA256.
SHA256 about.file.sha256 Valeur de properties.SHA256 lorsque category contient EmailAttachmentInfo.
Signature Type security_result.description Fait partie de security_result.description lorsque EventID est défini sur 2000 ou 2010.
SourceModuleName target.resource.name Utilisé lorsque EventID est défini sur 2008.
Source Path security_result.description Fait partie de security_result.description lorsque EventID est défini sur 2001.
Subject network.email.subject Valeur de properties.Subject.
Tenant read_only_udm.additional.fields Clé : Tenant, Valeur : Tenant
tenantId observer.cloud.project.id, target.resource_ancestors.product_object_id La valeur de tenantId ou properties.tenantId.
Threat ID security_result.threat_name Fait partie de security_result.threat_name lorsque EventID est défini sur 1011 ou 1116.
ThreatNames security_result.threat_name Valeur de properties.ThreatNames.
Threat Types security_result.category Si la valeur est Phish, définit security_result_category sur MAIL_PHISHING. Sinon, la valeur est définie sur UNKNOWN_CATEGORY.
Timestamp security_result.description Fait partie de security_result.description lorsque EventID est défini sur 1013.
Timestamp metadata.event_timestamp Analysé pour générer le metadata.event_timestamp.
Timestamp entity.asset.system_last_update_time La valeur de properties.Timestamp lorsque category est AdvancedHunting-DeviceNetworkInfo.
Title security_result.threat_name Valeur de properties.Title.
Update Source security_result.description Fait partie de security_result.description lorsque EventID est défini sur 2001.
Update State security_result.description Fait partie de security_result.description lorsque EventID est défini sur 2001.
Update Type security_result.description Fait partie de security_result.description lorsque EventID est défini sur 2000 ou 2001.
UserAgent network.http.user_agent Valeur de properties.UserAgent.
UserAgentTags additional.fields Chaque élément du tableau properties.UserAgentTags est ajouté en tant que libellé avec la clé UserAgentTags.
Url target.url Valeur de properties.Url.
UrlCount read_only_udm.additional.fields Clé : UrlCount, Valeur : properties.UrlCount
UrlDomain target.hostname, target.asset.hostname Valeur de properties.UrlDomain.
UrlLocation read_only_udm.additional.fields Clé : UrlLocation, Valeur : properties.UrlLocation
User target.user.userid Utilisé lorsque EventID est 1000, 1001, 1002, 1011, 1013, 2000 ou 2002, ou lorsque Message contient \tUser:.
UserID principal.user.userid Utilisé lorsque EventID est défini sur 2010 ou 2011.
(Logique de l'analyseur) metadata.event_type La valeur est initialement définie sur GENERIC_EVENT, puis remplacée en fonction d'autres champs et de la logique. Les valeurs courantes incluent NETWORK_CONNECTION, PROCESS_LAUNCH, FILE_CREATION, FILE_MODIFICATION, USER_LOGIN, SCAN_HOST, SCAN_PROCESS, SYSTEM_AUDIT_LOG_WIPE, SETTING_MODIFICATION, FILE_DELETION, PROCESS_MODULE_LOAD, PROCESS_UNCATEGORIZED, STATUS_UPDATE, PROCESS_OPEN, NETWORK_DNS, FILE_MOVE, REGISTRY_CREATION, REGISTRY_DELETION, REGISTRY_MODIFICATION, SCHEDULED_TASK_CREATION, SCHEDULED_TASK_DELETION, SCHEDULED_TASK_MODIFICATION, SCAN_NETWORK et USER_UNCATEGORIZED.
(Logique de l'analyseur) metadata.vendor_name Variable définie sur Microsoft.
(Logique de l'analyseur) metadata.product_name Défini sur Windows Defender ATP au départ, puis potentiellement remplacé par le champ category.
(Logique de l'analyseur) metadata.product_event_type La valeur est initialement définie sur GENERIC_EVENT, puis remplacée en fonction d'autres champs et de la logique.
(Logique de l'analyseur) metadata.product_version Définissez-le sur Product Version ou properties.InitiatingProcessVersionInfoProductVersion.
(Logique de l'analyseur) metadata.log_type Variable définie sur WINDOWS_DEFENDER_ATP.
(Logique de l'analyseur) principal.resource.type Définissez sur PROVIDER lors de l'analyse de syslog/JSON ou XML.
(Logique de l'analyseur) target.resource_ancestors Contient un seul ancêtre avec product_object_id défini sur tenantId.
(Logique de l'analyseur) security_result.summary Définissez-le en fonction de EventID, properties.ActionType ou properties.Title et properties.Category.
(Logique de l'analyseur) security_result.description Construit à partir de différents champs en fonction de EventID ou properties.ActionType.
(Logique de l'analyseur) security_result.action Définissez-le sur ALLOW au départ, puis il pourra être remplacé en fonction de AdditionalFields.WasRemediated, ActionType ou Action Name.
(Logique de l'analyseur) security_result.severity Définissez-le sur Severity Name ou properties.Severity.
(Logique de l'analyseur) security_result.category Le réglage est basé sur Threat Types.
(Logique de l'analyseur) network.direction Définissez-le sur RemoteIP, LocalIP ou EmailDirection.
(Logique de l'analyseur) network.ip_protocol Définie sur TCP lorsque metadata.event_type est NETWORK_CONNECTION.
(Logique de l'analyseur) network.session_id Le réglage est basé sur properties.RawEventData.SessionId.
(Logique de l'analyseur) network.http.user_agent Le réglage est basé sur properties.UserAgent.
(Logique de l'analyseur) network.email.mail_id Le réglage est basé sur properties.NetworkMessageId.
(Logique de l'analyseur) network.email.subject Le réglage est basé sur properties.Subject.
(Logique de l'analyseur) network.email.from Le réglage est basé sur properties.SenderFromAddress.
(Logique de l'analyseur) network.email.to Le réglage est basé sur properties.RecipientEmailAddress.
(Logique de l'analyseur) network.dns.questions.name Le réglage est basé sur AdditionalFields.DnsQueryString.
(Logique de l'analyseur) network.dns.questions.type Le réglage est basé sur properties.RawEventData.RecordType.
(Logique de l'analyseur) network.dns.answers Construit à partir de AdditionalFields.DnsQueryResult.
(Logique de l'analyseur) extensions.auth.type Définissez-le sur MACHINE lorsque ActionType est LogonAttempted ou LogonSuccess.
(Logique de l'analyseur) extensions.auth.mechanism Définissez-le sur LogonType ou AdditionalFields.IsLocalLogon.
(Logique de l'analyseur) extensions.auth.auth_details Le réglage est basé sur properties.AuthenticationDetails.
(Logique de l'analyseur) entity.asset.asset_id Construit à l'aide de WINDOWS: + DeviceId ou properties.DeviceId.
(Logique de l'analyseur) entity.asset.product_object_id Définissez-la sur DeviceId ou properties.DeviceId.
(Logique de l'analyseur) entity.asset.network_domain Extrait de ConnectedNetworks.
(Logique de l'analyseur) entity.asset.ip Définissez-le sur IPAddresses, _ipaddress, PublicIP ou LocalIP.
(Logique de l'analyseur) entity.asset.mac Définissez-le sur MacAddress ou properties.MacAddress.
(Logique de l'analyseur) entity.asset.hostname Définissez-le sur DeviceName ou properties.DeviceName.
(Logique de l'analyseur) entity.asset.platform_software.platform Le réglage est basé sur OSPlatform.
(Logique de l'analyseur) entity.asset.platform_software.platform_version Le réglage est basé sur OSVersion.
(Logique de l'analyseur) entity.asset.category Le réglage est basé sur DeviceCategory.
(Logique de l'analyseur) entity.asset.type Définissez la valeur sur WORKSTATION pour les événements d'informations sur l'appareil et le réseau.
(Logique de l'analyseur) entity.asset.system_last_update_time Définissez la valeur sur properties.Timestamp pour les événements d'informations réseau.
(Logique de l'analyseur) entity.relations Construit à partir de LoggedOnUsers.
(Logique de l'analyseur) entity.metadata.entity_type Définissez la valeur sur ASSET pour les événements liés aux appareils, au réseau et aux ressources.
(Logique de l'analyseur) about.labels Contient des libellés pour différents champs qui ne s'intègrent pas directement dans le schéma UDM.
(Logique de l'analyseur) principal.user.attribute.labels Contient des libellés pour différents champs liés aux utilisateurs.
(Logique de l'analyseur) principal.resource.attribute.labels Contient des libellés pour différents champs liés aux ressources.
(Logique de l'analyseur) target.resource.resource_type Définissez sur TASK pour les événements de tâches planifiées et sur SETTING pour les événements de modification des paramètres.
(Logique de l'analyseur) target.resource.name Définissez-le sur SourceModuleName, AdditionalFields.TaskName ou _taskname.
(Logique de l'analyseur) target.resource.product_object_id Le réglage est basé sur properties.ReportId.
(Logique de l'analyseur) target.resource_ancestors Le réglage est basé sur tenantId.
(Logique de l'analyseur) target.registry.registry_key Définissez-le sur RegistryKey, PreviousRegistryKey ou properties.RegistryKey.
(Logique de l'analyseur) target.registry.registry_value_name Définissez-le sur RegistryValueName ou properties.RegistryValueName.
(Logique de l'analyseur) target.registry.registry_value_data Définissez-le sur RegistryValueData ou properties.RegistryValueData.
(Logique de l'analyseur) intermediary.user.userid Le réglage est basé sur Remediation User.
(Logique de l'analyseur) metadata.collected_timestamp Défini sur le code temporel de l'événement pour les événements d'informations sur les composants et le réseau.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.