Mengumpulkan log Microsoft Windows Defender ATP

Didukung di:

Dokumen ini menjelaskan cara mengumpulkan log Microsoft Windows Defender ATP ke Google Security Operations menggunakan Akun Penyimpanan Azure. Parser ini menangani log dari Windows Defender ATP dalam format SYSLOG, XML, dan JSON. Parser ini menormalisasi berbagai kolom dari format ini ke dalam struktur terpadu, mengekstrak informasi penting seperti detail peristiwa, data pengguna, informasi proses, aktivitas jaringan, dan hasil keamanan, serta memetakannya ke UDM. Parser juga melakukan logika bersyarat berdasarkan EventID dan ActionType untuk mengategorikan peristiwa dan memperkaya UDM dengan detail spesifik yang relevan dengan setiap jenis peristiwa.

Sebelum memulai

  • Pastikan Anda memiliki instance Google SecOps.
  • Pastikan Anda memiliki langganan Azure yang aktif.
  • Pastikan Anda memiliki peran Administrator Global atau Microsoft Defender Advanced Threat Hunting.
  • Login ke tenant Azure Anda, buka Subscriptions > Your subscription > Resource providers > Register to Microsoft.Insights.

Mengonfigurasi akun penyimpanan Azure

  1. Di konsol Azure, cari Akun penyimpanan.
  2. Klik Buat.
  3. Tentukan nilai untuk parameter input berikut:
    • Langganan: pilih langganan.
    • Grup Resource: pilih grup resource.
    • Region: pilih region.
    • Performa: pilih performa (Direkomendasikan Standar).
    • Redundansi: pilih redundansi (GRS atau LRS direkomendasikan).
    • Nama akun penyimpanan: masukkan nama untuk akun penyimpanan baru.
  4. Klik Review + create.
  5. Tinjau ringkasan akun, lalu klik Buat.
  6. Dari halaman Storage Account Overview, pilih submenu Access keys di Security + networking.
  7. Klik Tampilkan di samping key1 atau key2
  8. Klik Salin ke papan klip untuk menyalin kunci.
  9. Simpan kunci di lokasi yang aman untuk digunakan nanti.
  10. Dari halaman Storage Account Overview, pilih submenu Endpoints di Settings.
  11. Klik Salin ke papan klip untuk menyalin URL endpoint Blob service; misalnya, https://<storageaccountname>.blob.core.windows.net.
  12. Simpan URL endpoint di lokasi yang aman untuk digunakan nanti.

Mengonfigurasi Ekspor log Windows Defender Advanced Threat Hunting

  1. Login ke security.microsoft.com sebagai administrator global atau administrator keamanan.
  2. Buka Setelan > Microsoft Defender XDR.
  3. Pilih Streaming API.
  4. Klik Tambahkan.
  5. Pilih Teruskan peristiwa ke Azure Storage.
  6. Buka akun penyimpanan yang dibuat sebelumnya.
  7. Salin ID Resource dan masukkan ke ID Resource akun penyimpanan.
  8. Pilih semua Jenis Peristiwa.
  9. Klik Simpan.

Mengonfigurasi feed di Google SecOps untuk menyerap log Windows Defender Advanced Threat Hunting

  1. Buka Setelan SIEM > Feed.
  2. Klik Tambahkan baru.
  3. Di kolom Nama feed, masukkan nama untuk feed; misalnya, Defender ATP Logs.
  4. Pilih Microsoft Azure Blob Storage sebagai Jenis sumber.
  5. Pilih Windows Defender ATP sebagai Log type.
  6. Klik Berikutnya.

  7. Tentukan nilai untuk parameter input berikut:

    • URI Azure: URL endpoint blob.
      • ENDPOINT_URL/BLOB_NAME
        • Ganti kode berikut:
        • ENDPOINT_URL: URL endpoint blob (https://<storageaccountname>.blob.core.windows.net).
        • BLOB_NAME: nama blob; misalnya, <logname>-logs.
    • URI adalah: pilih URI_TYPE sesuai dengan konfigurasi aliran log (File tunggal | Direktori | Direktori yang menyertakan subdirektori).

    • Opsi penghapusan sumber: pilih opsi penghapusan sesuai preferensi Anda.

    • Kunci bersama: kunci akses ke Azure Blob Storage.

    • Namespace aset: namespace aset.

    • Label penyerapan: label yang akan diterapkan ke peristiwa dari feed ini.

  8. Klik Berikutnya.

  9. Tinjau konfigurasi feed baru Anda di layar Selesaikan, lalu klik Kirim.

Tabel Pemetaan UDM

Kolom Log Pemetaan UDM Logika
AccountName target.user.userid Diisi jika properties.AccountName ada dan properties.InitiatingProcessAccountName kosong.
AccountSid target.user.windows_sid Diisi saat properties.AccountSid ada.
AccountType principal.user.attribute.labels Kunci: AccountType, Nilai: properties.AccountType
Action security_result.action_details Nilai properties.Action.
Action security_result.action Jika properties.Action berisi quarantine, nilainya adalah QUARANTINE.
Action Name security_result.description Bagian dari security_result.description saat EventID adalah 1117.
AdditionalFields about.labels, principal.resource.attribute.labels Kunci: AdditionalFields, Nilai: properties.AdditionalFields (atau AdditionalFields jika diuraikan sebagai JSON). Setiap pasangan nilai kunci dari properties.AdditionalFields (atau AdditionalFields2 jika diuraikan sebagai JSON) juga ditambahkan sebagai label.
AdditionalFields.ClientMachine principal.resource.attribute.labels Kunci: ClientMachine, Nilai: _AdditionalFields.ClientMachine
AdditionalFields.Command target.process.command_line Digunakan saat ActionType adalah PowerShellCommand.
AdditionalFields.Count read_only_udm.additional.fields Kunci: Count, Nilai: properties.AdditionalFields.Count
AdditionalFields.DesiredAccess principal.resource.attribute.labels Kunci: DesiredAccess, Nilai: _AdditionalFields.DesiredAccess
AdditionalFields.DnsQueryString network.dns.questions.name Digunakan saat ActionType adalah DnsQueryResponse.
AdditionalFields.DnsQueryResult network.dns.answers Diuraikan dalam loop untuk mengekstrak jawaban DNS. Result menjadi name dan DnsQueryType dipetakan ke type numerik.
AdditionalFields.Experience security_result.threat_name Digunakan saat properties.ActionType berisi SmartScreen.
AdditionalFields.FileOperation principal.resource.attribute.labels Kunci: FileOperation, Nilai: _AdditionalFields.FileOperation
AdditionalFields.InitiatingProcess principal.resource.attribute.labels Kunci: InitiatingProcess, Nilai: _AdditionalFields.InitiatingProcess
AdditionalFields.IsAudit principal.resource.attribute.labels Kunci: IsAudit, Nilai: _AdditionalFields.IsAudit
AdditionalFields.IsLocalLogon extensions.auth.mechanism Jika nilainya true, tetapkan auth_mechanism ke LOCAL. Jika false, tetapkan ke REMOTE.
AdditionalFields.IsRemoteMachine principal.resource.attribute.labels Kunci: IsRemoteMachine, Nilai: _AdditionalFields.IsRemoteMachine
AdditionalFields.NamedPipeEnd principal.resource.attribute.labels Kunci: NamedPipeEnd, Nilai: _AdditionalFields.NamedPipeEnd
AdditionalFields.PipeName principal.resource.attribute.labels Kunci: PipeName, Nilai: _AdditionalFields.PipeName
AdditionalFields.RemoteClientsAccess principal.resource.attribute.labels Kunci: RemoteClientsAccess, Nilai: _AdditionalFields.RemoteClientsAccess
AdditionalFields.SessionId principal.resource.attribute.labels Kunci: SessionId, Nilai: _AdditionalFields.SessionId
AdditionalFields.SignatureName security_result.rule_id Digunakan saat properties.ActionType adalah AntivirusDetection.
AdditionalFields.TaskName target.resource.name Digunakan saat properties.ActionType berisi Scheduled.
AdditionalFields.ThreatName security_result.threat_name Digunakan saat properties.ActionType adalah AntivirusDetection.
AdditionalFields.ThreadId principal.resource.attribute.labels Kunci: ThreadId, Nilai: _AdditionalFields.ThreadId
AdditionalFields.TokenModificationProperties principal.resource.attribute.labels Kunci: TokenModificationProperties, Nilai: _AdditionalFields.TokenModificationProperties
AdditionalFields.TotalBytesCopied principal.resource.attribute.labels Kunci: TotalBytesCopied, Nilai: _AdditionalFields.TotalBytesCopied
AdditionalFields.WasExecutingWhileDetected about.labels, principal.resource.attribute.labels Kunci: WasExecutingWhileDetected, Nilai: _AdditionalFields.WasExecutingWhileDetected
AdditionalFields.WasRemediated security_result.action Jika nilainya true, tetapkan sr_action ke BLOCK. Jika false, tetapkan ke ALLOW.
AppGuardContainerId ApplicationId read_only_udm.additional.fields Kunci: ApplicationId, Nilai: properties.ApplicationId
category metadata.product_name Nilai category.
category metadata.product_event_type Nilai category dengan AdvancedHunting- dihapus.
City principal.location.city Nilai properties.City.
ClientIP principal.ip, principal.asset.ip Nilai properties.RawEventData.ClientIP jika merupakan alamat IP yang valid.
ClientIPAddress principal.ip, principal.asset.ip Nilai properties.RawEventData.ClientIPAddress jika merupakan alamat IP yang valid.
ClientInfoString read_only_udm.additional.fields Kunci: ClientInfoString, Nilai: properties.RawEventData.ClientInfoString
ClientProcessName read_only_udm.additional.fields Kunci: ClientProcessName, Nilai: properties.RawEventData.ClientProcessName
ClientRequestId read_only_udm.additional.fields Kunci: ClientRequestId, Nilai: properties.RawEventData.ClientRequestId
ClientVersion read_only_udm.additional.fields Kunci: ClientVersion, Nilai: properties.RawEventData.ClientVersion
ConnectedNetworks entity.asset.network_domain Kolom Name dalam ConnectedNetworks jika ada.
CountryCode principal.location.country_or_region Nilai properties.CountryCode.
CreationTime read_only_udm.additional.fields Kunci: CreationTime, Nilai: properties.RawEventData.CreationTime
Current Engine Version security_result.description Bagian dari security_result.description saat EventID adalah 2000.
Current Signature Version security_result.description Bagian dari security_result.description saat EventID adalah 2000.
DeliveryAction read_only_udm.additional.fields Kunci: DeliveryAction, Nilai: properties.DeliveryAction
DeliveryAction security_result.action Jika properties.DeliveryAction berisi Blocked, nilainya adalah BLOCK.
DeliveryLocation read_only_udm.additional.fields Kunci: DeliveryLocation, Nilai: properties.DeliveryLocation
DestinationLocationType read_only_udm.additional.fields Kunci: DestinationLocationType, Nilai: properties.RawEventData.DestinationLocationType
DetectionMethods security_result.rule_name, security_result.detection_fields Nilai properties.DetectionMethods dengan tanda petik yang dihapus menjadi rule_name dan detection_fields (kunci: Detection Method).
Detection User principal.user.userid Digunakan saat EventID adalah 1116 atau 1117.
DeviceCategory entity.asset.category Nilai properties.DeviceCategory.
DeviceId principal.asset_id WINDOWS_DEFENDER: + DeviceId saat mengurai syslog/JSON atau XML. DeviceId: + properties.DeviceId saat menguraikan JSON.
DeviceName principal.hostname, principal.asset.hostname DeviceName saat mengurai syslog/JSON atau XML. properties.DeviceName saat mengurai JSON. properties.RawEventData.DeviceName jika ada.
DeviceType read_only_udm.additional.fields Kunci: DeviceType, Nilai: properties.DeviceType
Domain principal.administrative_domain Digunakan saat mengurai syslog/JSON atau XML.
Dynamic Signature Compilation Timestamp security_result.description Bagian dari security_result.description saat EventID adalah 2010 atau 2011.
Dynamic Signature Type security_result.description Bagian dari security_result.description saat EventID adalah 2010 atau 2011.
Dynamic Signature Version security_result.description Bagian dari security_result.description saat EventID adalah 2010 atau 2011.
EmailClusterId read_only_udm.additional.fields Kunci: EmailClusterId, Nilai: properties.EmailClusterId
EmailDirection network.direction Jika nilainya Inbound, tetapkan ke INBOUND. Jika Outbound, tetapkan ke OUTBOUND. Jika tidak, ditetapkan ke UNKNOWN_DIRECTION.
EmailLanguage read_only_udm.additional.fields Kunci: EmailLanguage, Nilai: properties.EmailLanguage
Engine Version security_result.description Bagian dari security_result.description saat EventID adalah 1011.
EnforcementMode read_only_udm.additional.fields Kunci: EnforcementMode, Nilai: properties.EnforcementMode
Error Code security_result.description Bagian dari security_result.description saat EventID adalah 1117 atau 2001.
Error Description security_result.description Bagian dari security_result.description saat EventID adalah 1117 atau 2001.
EventID metadata.product_event_type Bagian dari metadata.product_event_type saat mengurai syslog/JSON atau XML.
EventTime metadata.event_timestamp Diuraikan untuk membuat metadata.event_timestamp.
ExchangeLocations security_result.category_details Nilai properties.RawEventData.ExchangeLocations.
ExternalAccess read_only_udm.additional.fields Kunci: ExternalAccess, Nilai: properties.RawEventData.ExternalAccess
FailureReason security_result.description Nilai properties.FailureReason saat ActionType adalah LogonFailed.
FileExtension read_only_udm.additional.fields Kunci: FileExtension, Nilai: properties.RawEventData.FileExtension
FileName about.file.full_path Nilai properties.FileName saat category berisi EmailAttachmentInfo. Jika tidak, target.process.file.full_path.
FileSize target.process.file.size Nilai properties.FileSize yang dikonversi menjadi bilangan bulat tidak bertanda.
FileSize about.file.size Nilai properties.FileSize dikonversi menjadi bilangan bulat yang tidak bertanda tangan jika category berisi EmailAttachmentInfo.
FileSize principal.process.file.size Nilai properties.RawEventData.FileSize yang dikonversi menjadi bilangan bulat tidak bertanda.
FileType about.file.mime_type Nilai properties.FileType saat category berisi EmailAttachmentInfo. Jika tidak, target.process.file.mime_type.
FileType read_only_udm.additional.fields Kunci: FileType, Nilai: properties.RawEventData.FileType jika tidak kosong atau Unknown.
FolderPath target.file.full_path Nilai properties.FolderPath.
FolderPath target.process.file.full_path Nilai FolderPath saat ActionType adalah CreateRemoteThreadApiCall, ExploitGuardNonMicrosoftSignedBlocked, DriverLoad, FileRenamed, OpenProcessApiCall, ReadProcessMemoryApiCall, ImageLoaded, atau properties.ActionType adalah FileCreatedOnNetworkShare.
Hidden read_only_udm.additional.fields Kunci: Hidden, Nilai: properties.RawEventData.Hidden
Hostname principal.hostname, principal.asset.hostname Digunakan saat mengurai syslog/JSON atau XML.
IPAddresses entity.asset.ip Kolom IPAddress dalam setiap objek di array IPAddresses, tidak termasuk link-local IPv6, APIPA IPv4, loopback IPv6, multicast IPv6, dan alamat loopback.
IPAddress principal.ip, principal.asset.ip Nilai properties.IPAddress jika merupakan alamat IP yang valid.
IPCategory read_only_udm.additional.fields Kunci: IPCategory, Nilai: properties.IPCategory
IPTags read_only_udm.additional.fields Kunci: IPTags, Nilai: properties.IPTags
ISP read_only_udm.additional.fields Kunci: ISP, Nilai: properties.ISP
InitiatingProcessAccountName principal.user.userid Diisi jika ada dan properties.AccountName kosong, atau jika keduanya ada.
InitiatingProcessAccountSid principal.user.windows_sid Diisi jika ada dan properties.AccountSid kosong, atau jika keduanya ada.
InitiatingProcessAccountUpn principal.user.email_addresses Nilai properties.InitiatingProcessAccountUpn.
InitiatingProcessCommandLine principal.process.command_line Nilai properties.InitiatingProcessCommandLine tanpa tanda petik.
InitiatingProcessFileName principal.process.file.full_path Nilai properties.InitiatingProcessFileName.
InitiatingProcessFileSize principal.process.file.size Nilai properties.InitiatingProcessFileSize yang dikonversi menjadi bilangan bulat tidak bertanda.
InitiatingProcessFolderPath principal.process.file.full_path Nilai properties.InitiatingProcessFolderPath.
InitiatingProcessId principal.process.pid Nilai properties.InitiatingProcessId yang dikonversi menjadi string.
InitiatingProcessIntegrityLevel about.labels, principal.resource.attribute.labels Kunci: InitiatingProcessIntegrityLevel, Nilai: properties.InitiatingProcessIntegrityLevel
InitiatingProcessMD5 principal.process.file.md5 Nilai properties.InitiatingProcessMD5.
InitiatingProcessParentFileName principal.process.parent_process.file.full_path Nilai properties.InitiatingProcessParentFileName.
InitiatingProcessParentId principal.process.parent_process.pid Nilai properties.InitiatingProcessParentId yang dikonversi menjadi string.
InitiatingProcessSHA1 principal.process.file.sha1 Nilai properties.InitiatingProcessSHA1.
InitiatingProcessSHA256 principal.process.file.sha256 Nilai properties.InitiatingProcessSHA256.
InitiatingProcessSignatureStatus read_only_udm.additional.fields Kunci: InitiatingProcessSignatureStatus, Nilai: properties.InitiatingProcessSignatureStatus
InitiatingProcessSignerType read_only_udm.additional.fields Kunci: InitiatingProcessSignerType, Nilai: properties.InitiatingProcessSignerType
InitiatingProcessTokenElevation about.labels, principal.resource.attribute.labels Kunci: InitiatingProcessTokenElevation, Nilai: properties.InitiatingProcessTokenElevation
InitiatingProcessVersionInfoCompanyName principal.user.company_name Nilai properties.InitiatingProcessVersionInfoCompanyName.
InitiatingProcessVersionInfoFileDescription principal.resource.attribute.labels Kunci: File Description, Nilai: properties.InitiatingProcessVersionInfoFileDescription
InitiatingProcessVersionInfoInternalFileName principal.resource.attribute.labels Kunci: File Name, Nilai: properties.InitiatingProcessVersionInfoInternalFileName
InitiatingProcessVersionInfoOriginalFileName principal.resource.attribute.labels Kunci: Original File Name, Nilai: properties.InitiatingProcessVersionInfoOriginalFileName
InitiatingProcessVersionInfoProductName read_only_udm.additional.fields Kunci: InitiatingProcessVersionInfoProductName, Nilai: properties.InitiatingProcessVersionInfoProductName
InitiatingProcessVersionInfoProductVersion metadata.product_version Nilai properties.InitiatingProcessVersionInfoProductVersion.
InternetMessageId read_only_udm.additional.fields Kunci: InternetMessageId, Nilai: properties.InternetMessageId dengan tanda kurung sudut dihapus.
IsAdminOperation read_only_udm.additional.fields Kunci: IsAdminOperation, Nilai: properties.IsAdminOperation
IsAnonymousProxy read_only_udm.additional.fields Kunci: IsAnonymousProxy, Nilai: properties.IsAnonymousProxy
IsExternalUser read_only_udm.additional.fields Kunci: IsExternalUser, Nilai: properties.IsExternalUser
IsImpersonated read_only_udm.additional.fields Kunci: IsImpersonated, Nilai: properties.IsImpersonated
IsLocalAdmin about.labels, principal.resource.attribute.labels Kunci: IsLocalAdmin, Nilai: true atau false, bergantung pada nilai boolean properties.IsLocalAdmin.
LoggedOnUsers target.user.userid, entity.relations.entity.user.userid Kolom UserName dalam setiap objek di array LoggedOnUsers ditambahkan sebagai target.user.userid dan entitas pengguna terkait. Kolom Sid ditambahkan sebagai entity.relations.entity.user.windows_sid.
LocalIP principal.ip, principal.asset.ip Nilai LocalIP saat mengurai JSON.
LocalPort principal.port Nilai LocalPort dikonversi menjadi bilangan bulat saat mengurai JSON.
LogonType extensions.auth.mechanism Dipetakan ke mekanisme autentikasi UDM berdasarkan nilai.
LogonType read_only_udm.additional.fields Kunci: LogonType, Nilai: properties.RawEventData.LogonType
LogonUserSid read_only_udm.additional.fields Kunci: LogonUserSid, Nilai: properties.RawEventData.LogonUserSid
MacAddress entity.asset.mac Nilai MacAddress atau properties.MacAddress yang diformat sebagai string yang dipisahkan dengan titik dua.
MailboxGuid read_only_udm.additional.fields Kunci: MailboxGuid, Nilai: properties.RawEventData.MailboxGuid
MailboxOwnerMasterAccountSid read_only_udm.additional.fields Kunci: MailboxOwnerMasterAccountSid, Nilai: properties.RawEventData.MailboxOwnerMasterAccountSid
MailboxOwnerSid read_only_udm.additional.fields Kunci: MailboxOwnerSid, Nilai: properties.RawEventData.MailboxOwnerSid
MailboxOwnerUPN read_only_udm.additional.fields Kunci: MailboxOwnerUPN, Nilai: properties.RawEventData.MailboxOwnerUPN
MD5 target.process.file.md5 Nilai properties.MD5.
Message security_result.description Bagian dari security_result.description jika EventID adalah 1000, 1001, 1002, 1013, 1116, 1117, 2000, 2001, 2002, 2010, 2011, atau 5007.
NetworkAdapterType metadata.product_event_type Nilai NetworkAdapterType saat mengurai JSON.
NetworkMessageId network.email.mail_id Nilai properties.NetworkMessageId.
New Value security_result.description Bagian dari security_result.description saat EventID adalah 5007.
Object Name read_only_udm.additional.fields Kunci: ObjectName, Nilai: properties.ObjectName
Object Type read_only_udm.additional.fields Kunci: ObjectType, Nilai: properties.ObjectType
ObjectId read_only_udm.additional.fields Kunci: ObjectId, Nilai: properties.ObjectId atau properties.RawEventData.ObjectId.
Old Value security_result.description Bagian dari security_result.description saat EventID adalah 5007.
Operation read_only_udm.additional.fields Kunci: Operation, Nilai: properties.RawEventData.Operation
operationName read_only_udm.additional.fields Kunci: OperationName, Nilai: operationName
OrganizationId read_only_udm.additional.fields Kunci: OrganizationId, Nilai: properties.RawEventData.OrganizationId
OrganizationName read_only_udm.additional.fields Kunci: OrganizationName, Nilai: properties.RawEventData.OrganizationName
OriginatingServer read_only_udm.additional.fields Kunci: OriginatingServer, Nilai: properties.RawEventData.OriginatingServer
OSPlatform asset.platform_software.platform Jika nilai berisi macos, tetapkan platform ke MAC. Jika windows, tetapkan ke WINDOWS. Jika nix, tetapkan ke LINUX.
OSVersion asset.platform_software.platform_version Nilai properties.OSVersion.
Path target.file.full_path Digunakan saat EventID adalah 1011 atau 1116.
Persistence Limit Type security_result.description Bagian dari security_result.description saat EventID adalah 2010 atau 2011.
Persistence Limit Value security_result.description Bagian dari security_result.description saat EventID adalah 2010 atau 2011.
Persistence Path target.file.full_path Digunakan saat EventID adalah 2010 atau 2011.
Previous Engine Version security_result.description Bagian dari security_result.description jika EventID adalah 2000, 2001, atau 2002.
PreviousRegistryKey target.registry.registry_key Nilai properties.PreviousRegistryKey.
PreviousRegistryValueData target.resource.attribute.labels Kunci: PreviousRegistryValueData, Nilai: properties.PreviousRegistryValueData
PreviousRegistryValueName target.resource.attribute.labels Kunci: PreviousRegistryValueName, Nilai: properties.PreviousRegistryValueName
Previous security intelligence Version security_result.description Bagian dari security_result.description saat EventID adalah 2001.
Previous Signature Version security_result.description Bagian dari security_result.description saat EventID adalah 2000.
ProcessCommandLine target.process.command_line Nilai properties.ProcessCommandLine.
ProcessID principal.process.pid Digunakan saat mengurai syslog/JSON atau XML.
ProcessId target.process.pid Nilai properties.ProcessId yang dikonversi menjadi string.
Process Name target.process.pid Digunakan saat EventID adalah 1116 atau 1117.
Product Version metadata.product_version Digunakan saat mengurai syslog/JSON atau XML.
Protocol network.ip_protocol Jika nilai berisi Tcp, tetapkan ke TCP. Jika Udp, tetapkan ke UDP. Jika Icmp, tetapkan ke ICMP.
ProviderGuid principal.resource.id Digunakan saat mengurai syslog/JSON atau XML.
PublicIP principal.ip, principal.asset.ip Nilai properties.PublicIP.
RawEventData.Application principal.application Nilai properties.RawEventData.Application.
RawEventData.ClientIP principal.ip, principal.asset.ip Nilai properties.RawEventData.ClientIP jika merupakan alamat IP yang valid.
RawEventData.ClientIPAddress principal.ip, principal.asset.ip Nilai properties.RawEventData.ClientIPAddress jika merupakan alamat IP yang valid.
RawEventData.ClientInfoString read_only_udm.additional.fields Kunci: ClientInfoString, Nilai: properties.RawEventData.ClientInfoString
RawEventData.ClientProcessName read_only_udm.additional.fields Kunci: ClientProcessName, Nilai: properties.RawEventData.ClientProcessName
RawEventData.ClientRequestId read_only_udm.additional.fields Kunci: ClientRequestId, Nilai: properties.RawEventData.ClientRequestId
RawEventData.ClientVersion read_only_udm.additional.fields Kunci: ClientVersion, Nilai: properties.RawEventData.ClientVersion
RawEventData.CreationTime read_only_udm.additional.fields Kunci: CreationTime, Nilai: properties.RawEventData.CreationTime
RawEventData.DeviceName principal.hostname, principal.asset.hostname Nilai properties.RawEventData.DeviceName.
RawEventData.DestinationLocationType read_only_udm.additional.fields Kunci: DestinationLocationType, Nilai: properties.RawEventData.DestinationLocationType
RawEventData.ExchangeLocations security_result.category_details Nilai properties.RawEventData.ExchangeLocations.
RawEventData.ExternalAccess read_only_udm.additional.fields Kunci: ExternalAccess, Nilai: properties.RawEventData.ExternalAccess
RawEventData.FileExtension read_only_udm.additional.fields Kunci: FileExtension, Nilai: properties.RawEventData.FileExtension
RawEventData.FileSize target.process.file.size Nilai properties.RawEventData.FileSize yang dikonversi menjadi bilangan bulat tidak bertanda.
RawEventData.FileType read_only_udm.additional.fields Kunci: FileType, Nilai: properties.RawEventData.FileType jika tidak kosong atau Unknown.
RawEventData.Hidden read_only_udm.additional.fields Kunci: Hidden, Nilai: properties.RawEventData.Hidden
RawEventData.Id read_only_udm.additional.fields Kunci: RawEventDataId, Nilai: properties.RawEventData.Id
RawEventData.Item.Id item_idm.read_only_udm.additional.fields Kunci: RawEventDataItemId, Nilai: properties.RawEventData.item.id
RawEventData.LogonType read_only_udm.additional.fields Kunci: LogonType, Nilai: properties.RawEventData.LogonType
RawEventData.LogonUserSid read_only_udm.additional.fields Kunci: LogonUserSid, Nilai: properties.RawEventData.LogonUserSid
RawEventData.MailboxGuid read_only_udm.additional.fields Kunci: MailboxGuid, Nilai: properties.RawEventData.MailboxGuid
RawEventData.MailboxOwnerMasterAccountSid read_only_udm.additional.fields Kunci: MailboxOwnerMasterAccountSid, Nilai: properties.RawEventData.MailboxOwnerMasterAccountSid
RawEventData.MailboxOwnerSid read_only_udm.additional.fields Kunci: MailboxOwnerSid, Nilai: properties.RawEventData.MailboxOwnerSid
RawEventData.MailboxOwnerUPN read_only_udm.additional.fields Kunci: MailboxOwnerUPN, Nilai: properties.RawEventData.MailboxOwnerUPN
RawEventData.MDATPDeviceId read_only_udm.additional.fields Kunci: MDATPDeviceId, Nilai: properties.RawEventData.MDATPDeviceId
RawEventData.ObjectId read_only_udm.additional.fields Kunci: ObjectId, Nilai: properties.RawEventData.ObjectId
RawEventData.Operation read_only_udm.additional.fields Kunci: Operation, Nilai: properties.RawEventData.Operation
RawEventData.OrganizationId read_only_udm.additional.fields Kunci: OrganizationId, Nilai: properties.RawEventData.OrganizationId
RawEventData.OrganizationName read_only_udm.additional.fields Kunci: OrganizationName, Nilai: properties.RawEventData.OrganizationName
RawEventData.OriginatingServer read_only_udm.additional.fields Kunci: OriginatingServer, Nilai: properties.RawEventData.OriginatingServer
RawEventData.ParentFolder.Id read_only_udm.additional.fields Kunci: RawEventDataParentFolderId, Nilai: properties.RawEventData.ParentFolder.Id
RawEventData.Pid target.process.pid Nilai properties.RawEventData.Pid yang dikonversi menjadi string.
RawEventData.Query read_only_udm.additional.fields Kunci: Query, Nilai: properties.RawEventData.Query
RawEventData.RecordType network.dns.questions.type Nilai properties.RawEventData.RecordType yang dikonversi menjadi bilangan bulat tidak bertanda.
RawEventData.ResultStatus read_only_udm.additional.fields Kunci: ResultStatus, Nilai: properties.RawEventData.ResultStatus
RawEventData.Scope read_only_udm.additional.fields Kunci: Scope, Nilai: properties.RawEventData.Scope
RawEventData.SessionId network.session_id Nilai properties.RawEventData.SessionId.
RawEventData.Sha1 target.process.file.sha1 Nilai properties.RawEventData.Sha1.
RawEventData.Sha256 target.process.file.sha256 Nilai properties.RawEventData.Sha256.
RawEventData.TargetDomain target.hostname, target.asset.hostname Nilai properties.RawEventData.TargetDomain.
RawEventData.TargetFilePath target.file.full_path Nilai properties.RawEventData.TargetFilePath.
RawEventData.UserId principal.user.email_addresses Nilai properties.RawEventData.UserId jika berupa alamat email.
RawEventData.UserKey read_only_udm.additional.fields Kunci: UserKey, Nilai: properties.RawEventData.UserKey
RawEventData.UserType read_only_udm.additional.fields Kunci: UserType, Nilai: properties.RawEventData.UserType
RawEventData.Version read_only_udm.additional.fields Kunci: Version, Nilai: properties.RawEventData.Version
RawEventData.Workload read_only_udm.additional.fields Kunci: Workload, Nilai: properties.RawEventData.Workload
RecipientEmailAddress network.email.to, target.user.email_addresses Nilai properties.RecipientEmailAddress.
RecipientObjectId target.user.product_object_id Nilai properties.RecipientObjectId.
RegistryKey target.registry.registry_key Nilai properties.RegistryKey.
RegistryValueData target.registry.registry_value_data Nilai properties.RegistryValueData.
RegistryValueName target.registry.registry_value_name Nilai properties.RegistryValueName.
Remediation User intermediary.user.userid Digunakan saat EventID adalah 1117.
RemoteDeviceName target.hostname, target.asset.hostname Nilai properties.RemoteDeviceName.
RemoteIP target.ip, target.asset.ip Nilai properties.RemoteIP jika tidak kosong, -, atau null.
RemoteIPType about.labels, principal.resource.attribute.labels Kunci: RemoteIPType, Nilai: properties.RemoteIPType
RemotePort target.port Nilai properties.RemotePort dikonversi menjadi bilangan bulat.
RemoteUrl target.url Nilai properties.RemoteUrl. Jika berisi nama host, nama host akan diekstrak dan dipetakan ke target.hostname dan target.asset.hostname.
Removal Reason Value security_result.description Bagian dari security_result.description saat EventID adalah 2011.
ReportId metadata.product_log_id Nilai properties.ReportId yang dikonversi menjadi string.
Scan ID security_result.description Bagian dari security_result.description saat EventID adalah 1000, 1001, atau 1002.
Scan Parameters security_result.description Bagian dari security_result.description saat EventID adalah 1000, 1001, atau 1002.
Scan Resources target.file.full_path Digunakan saat EventID adalah 1000.
Scan Time Hours security_result.description Bagian dari security_result.description saat EventID adalah 1001.
Scan Time Minutes security_result.description Bagian dari security_result.description saat EventID adalah 1001.
Scan Time Seconds security_result.description Bagian dari security_result.description saat EventID adalah 1001.
Scan Type security_result.description Bagian dari security_result.description saat EventID adalah 1000, 1001, atau 1002.
Security intelligence Type security_result.description Bagian dari security_result.description saat EventID adalah 2001.
Security intelligence Version security_result.description Bagian dari security_result.description saat EventID adalah 1011.
SenderDisplayName principal.user.user_display_name Nilai properties.SenderDisplayName.
SenderFromAddress network.email.from, principal.user.email_addresses Nilai properties.SenderFromAddress.
SenderFromDomain principal.administrative_domain Nilai properties.SenderFromDomain.
SenderIPv4 principal.ip, principal.asset.ip Nilai properties.SenderIPv4.
SenderIPv6 principal.ip, principal.asset.ip Nilai properties.SenderIPv6.
SenderMailFromAddress principal.user.attribute.labels Kunci: SenderMailFromAddress, Nilai: properties.SenderMailFromAddress
SenderMailFromDomain principal.user.attribute.labels Kunci: SenderMailFromDomain, Nilai: properties.SenderMailFromDomain
SenderObjectId principal.user.product_object_id Nilai properties.SenderObjectId.
Severity Name security_result.severity Jika nilainya Low, tetapkan ke LOW. Jika Moderate, tetapkan ke MEDIUM. Jika High atau Severe, tetapkan ke HIGH.
Severity security_result.severity Jika nilai berisi informational, tetapkan ke INFORMATIONAL. Jika low, tetapkan ke LOW. Jika medium, tetapkan ke MEDIUM. Jika high, tetapkan ke HIGH. Jika tidak, ditetapkan ke UNKNOWN_SEVERITY.
Severity security_result.severity_details Nilai properties.Severity.
SHA1 target.process.file.sha1 Nilai properties.SHA1.
SHA256 target.process.file.sha256 Nilai properties.SHA256.
SHA256 about.file.sha256 Nilai properties.SHA256 saat category berisi EmailAttachmentInfo.
Signature Type security_result.description Bagian dari security_result.description saat EventID adalah 2000 atau 2010.
SourceModuleName target.resource.name Digunakan saat EventID adalah 2008.
Source Path security_result.description Bagian dari security_result.description saat EventID adalah 2001.
Subject network.email.subject Nilai properties.Subject.
Tenant read_only_udm.additional.fields Kunci: Tenant, Nilai: Tenant
tenantId observer.cloud.project.id, target.resource_ancestors.product_object_id Nilai tenantId atau properties.tenantId.
Threat ID security_result.threat_name Bagian dari security_result.threat_name saat EventID adalah 1011 atau 1116.
ThreatNames security_result.threat_name Nilai properties.ThreatNames.
Threat Types security_result.category Jika nilainya Phish, tetapkan security_result_category ke MAIL_PHISHING. Jika tidak, ditetapkan ke UNKNOWN_CATEGORY.
Timestamp security_result.description Bagian dari security_result.description saat EventID adalah 1013.
Timestamp metadata.event_timestamp Diuraikan untuk membuat metadata.event_timestamp.
Timestamp entity.asset.system_last_update_time Nilai properties.Timestamp saat category adalah AdvancedHunting-DeviceNetworkInfo.
Title security_result.threat_name Nilai properties.Title.
Update Source security_result.description Bagian dari security_result.description saat EventID adalah 2001.
Update State security_result.description Bagian dari security_result.description saat EventID adalah 2001.
Update Type security_result.description Bagian dari security_result.description saat EventID adalah 2000 atau 2001.
UserAgent network.http.user_agent Nilai properties.UserAgent.
UserAgentTags additional.fields Setiap elemen dalam array properties.UserAgentTags ditambahkan sebagai label dengan kunci UserAgentTags.
Url target.url Nilai properties.Url.
UrlCount read_only_udm.additional.fields Kunci: UrlCount, Nilai: properties.UrlCount
UrlDomain target.hostname, target.asset.hostname Nilai properties.UrlDomain.
UrlLocation read_only_udm.additional.fields Kunci: UrlLocation, Nilai: properties.UrlLocation
User target.user.userid Digunakan saat EventID adalah 1000, 1001, 1002, 1011, 1013, 2000, 2002, atau saat Message berisi \tUser:.
UserID principal.user.userid Digunakan saat EventID adalah 2010 atau 2011.
(Logika Parser) metadata.event_type Disetel ke GENERIC_EVENT pada awalnya, lalu diganti berdasarkan kolom dan logika lainnya. Nilai umum mencakup NETWORK_CONNECTION, PROCESS_LAUNCH, FILE_CREATION, FILE_MODIFICATION, USER_LOGIN, SCAN_HOST, SCAN_PROCESS, SYSTEM_AUDIT_LOG_WIPE, SETTING_MODIFICATION, FILE_DELETION, PROCESS_MODULE_LOAD, PROCESS_UNCATEGORIZED, STATUS_UPDATE, PROCESS_OPEN, NETWORK_DNS, FILE_MOVE, REGISTRY_CREATION, REGISTRY_DELETION, REGISTRY_MODIFICATION, SCHEDULED_TASK_CREATION, SCHEDULED_TASK_DELETION, SCHEDULED_TASK_MODIFICATION, SCAN_NETWORK, USER_UNCATEGORIZED.
(Logika Parser) metadata.vendor_name Tetapkan ke Microsoft.
(Logika Parser) metadata.product_name Awalnya disetel ke Windows Defender ATP, lalu berpotensi digantikan oleh kolom category.
(Logika Parser) metadata.product_event_type Disetel ke GENERIC_EVENT pada awalnya, lalu diganti berdasarkan kolom dan logika lainnya.
(Logika Parser) metadata.product_version Tetapkan berdasarkan Product Version atau properties.InitiatingProcessVersionInfoProductVersion.
(Logika Parser) metadata.log_type Tetapkan ke WINDOWS_DEFENDER_ATP.
(Logika Parser) principal.resource.type Tetapkan ke PROVIDER saat mengurai syslog/JSON atau XML.
(Logika Parser) target.resource_ancestors Berisi satu ancestor dengan product_object_id yang ditetapkan ke tenantId.
(Logika Parser) security_result.summary Tetapkan berdasarkan EventID, properties.ActionType, atau properties.Title dan properties.Category.
(Logika Parser) security_result.description Dibuat dari berbagai kolom, bergantung pada EventID atau properties.ActionType.
(Logika Parser) security_result.action Awalnya disetel ke ALLOW, lalu berpotensi diganti berdasarkan AdditionalFields.WasRemediated, ActionType, atau Action Name.
(Logika Parser) security_result.severity Tetapkan berdasarkan Severity Name atau properties.Severity.
(Logika Parser) security_result.category Tetapkan berdasarkan Threat Types.
(Logika Parser) network.direction Tetapkan berdasarkan RemoteIP, LocalIP, atau EmailDirection.
(Logika Parser) network.ip_protocol Tetapkan ke TCP saat metadata.event_type adalah NETWORK_CONNECTION.
(Logika Parser) network.session_id Tetapkan berdasarkan properties.RawEventData.SessionId.
(Logika Parser) network.http.user_agent Tetapkan berdasarkan properties.UserAgent.
(Logika Parser) network.email.mail_id Tetapkan berdasarkan properties.NetworkMessageId.
(Logika Parser) network.email.subject Tetapkan berdasarkan properties.Subject.
(Logika Parser) network.email.from Tetapkan berdasarkan properties.SenderFromAddress.
(Logika Parser) network.email.to Tetapkan berdasarkan properties.RecipientEmailAddress.
(Logika Parser) network.dns.questions.name Tetapkan berdasarkan AdditionalFields.DnsQueryString.
(Logika Parser) network.dns.questions.type Tetapkan berdasarkan properties.RawEventData.RecordType.
(Logika Parser) network.dns.answers Dibuat dari AdditionalFields.DnsQueryResult.
(Logika Parser) extensions.auth.type Tetapkan ke MACHINE jika ActionType adalah LogonAttempted atau LogonSuccess.
(Logika Parser) extensions.auth.mechanism Tetapkan berdasarkan LogonType atau AdditionalFields.IsLocalLogon.
(Logika Parser) extensions.auth.auth_details Tetapkan berdasarkan properties.AuthenticationDetails.
(Logika Parser) entity.asset.asset_id Dibuat menggunakan WINDOWS: + DeviceId atau properties.DeviceId.
(Logika Parser) entity.asset.product_object_id Tetapkan ke DeviceId atau properties.DeviceId.
(Logika Parser) entity.asset.network_domain Diekstrak dari ConnectedNetworks.
(Logika Parser) entity.asset.ip Tetapkan berdasarkan IPAddresses, _ipaddress, PublicIP, atau LocalIP.
(Logika Parser) entity.asset.mac Tetapkan berdasarkan MacAddress atau properties.MacAddress.
(Logika Parser) entity.asset.hostname Tetapkan berdasarkan DeviceName atau properties.DeviceName.
(Logika Parser) entity.asset.platform_software.platform Tetapkan berdasarkan OSPlatform.
(Logika Parser) entity.asset.platform_software.platform_version Tetapkan berdasarkan OSVersion.
(Logika Parser) entity.asset.category Tetapkan berdasarkan DeviceCategory.
(Logika Parser) entity.asset.type Disetel ke WORKSTATION untuk peristiwa info perangkat dan jaringan.
(Logika Parser) entity.asset.system_last_update_time Disetel berdasarkan properties.Timestamp untuk peristiwa info jaringan.
(Logika Parser) entity.relations Dibuat dari LoggedOnUsers.
(Logika Parser) entity.metadata.entity_type Disetel ke ASSET untuk peristiwa perangkat, jaringan, dan aset.
(Logika Parser) about.labels Berisi label untuk berbagai kolom yang tidak sesuai langsung dengan skema UDM.
(Logika Parser) principal.user.attribute.labels Berisi label untuk berbagai kolom terkait pengguna.
(Logika Parser) principal.resource.attribute.labels Berisi label untuk berbagai kolom terkait resource.
(Logika Parser) target.resource.resource_type Disetel ke TASK untuk peristiwa tugas terjadwal dan SETTING untuk peristiwa modifikasi setelan.
(Logika Parser) target.resource.name Tetapkan berdasarkan SourceModuleName, AdditionalFields.TaskName, atau _taskname.
(Logika Parser) target.resource.product_object_id Tetapkan berdasarkan properties.ReportId.
(Logika Parser) target.resource_ancestors Tetapkan berdasarkan tenantId.
(Logika Parser) target.registry.registry_key Tetapkan berdasarkan RegistryKey, PreviousRegistryKey, atau properties.RegistryKey.
(Logika Parser) target.registry.registry_value_name Tetapkan berdasarkan RegistryValueName atau properties.RegistryValueName.
(Logika Parser) target.registry.registry_value_data Tetapkan berdasarkan RegistryValueData atau properties.RegistryValueData.
(Logika Parser) intermediary.user.userid Tetapkan berdasarkan Remediation User.
(Logika Parser) metadata.collected_timestamp Disetel ke stempel waktu peristiwa untuk peristiwa info aset dan jaringan.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.