Raccogliere i log di Microsoft Windows Defender ATP

Supportato in:

Questo documento spiega come raccogliere i log di Microsoft Windows Defender ATP in Google Security Operations utilizzando un account di archiviazione Azure. Questo parser gestisce i log di Windows Defender ATP nei formati SYSLOG, XML e JSON. Normalizza i diversi campi di questi formati in una struttura unificata, estraendo informazioni chiave come dettagli degli eventi, dati utente, informazioni sui processi, attività di rete e risultati di sicurezza e mappandoli al modello UDM. Il parser esegue anche la logica condizionale in base a EventID e ActionType per classificare gli eventi e arricchire il modello UDM con dettagli specifici pertinenti a ogni tipo di evento.

Prima di iniziare

  • Assicurati di avere un'istanza Google SecOps.
  • Assicurati di avere un abbonamento Azure attivo.
  • Assicurati di avere il ruolo di Amministratore globale o di Microsoft Defender Advanced Threat Hunting.
  • Accedi al tuo tenant Azure, vai a Abbonamenti > Il tuo abbonamento > Provider di risorse > Registrati a Microsoft.Insights.

Configura l'account di archiviazione Azure

  1. Nella console Azure, cerca Account di archiviazione.
  2. Fai clic su Crea.
  3. Specifica i valori per i seguenti parametri di input:
    • Abbonamento: seleziona l'abbonamento.
    • Gruppo di risorse: seleziona il gruppo di risorse.
    • Regione: seleziona la regione.
    • Rendimento: seleziona il rendimento (consigliato Standard).
    • Ridondanza: seleziona la ridondanza (consigliata GRS o LRS).
    • Nome account di archiviazione: inserisci un nome per il nuovo account di archiviazione.
  4. Fai clic su Review + create (Rivedi e crea).
  5. Controlla la panoramica dell'account e fai clic su Crea.
  6. Nella pagina Panoramica dell'account di archiviazione, seleziona il sottomenu Chiavi di accesso in Sicurezza e networking.
  7. Fai clic su Mostra accanto a key1 o key2.
  8. Fai clic su Copia negli appunti per copiare la chiave.
  9. Salva la chiave in un luogo sicuro per utilizzarla in un secondo momento.
  10. Nella pagina Panoramica account di archiviazione, seleziona il sottomenu Endpoint in Impostazioni.
  11. Fai clic su Copia negli appunti per copiare l'URL dell'endpoint Blob service, ad esempio https://<storageaccountname>.blob.core.windows.net.
  12. Salva l'URL dell'endpoint in una posizione sicura per utilizzarlo in un secondo momento.

Configura l'esportazione dei log di Windows Defender Advanced Threat Hunting

  1. Accedi a security.microsoft.com come amministratore globale o amministratore della sicurezza.
  2. Vai a Impostazioni > Microsoft Defender XDR.
  3. Seleziona API Streaming.
  4. Fai clic su Aggiungi.
  5. Seleziona Inoltra eventi ad Azure Storage.
  6. Vai all'account di archiviazione creato in precedenza.
  7. Copia l'ID risorsa e inseriscilo nel campo ID risorsa account di archiviazione.
  8. Seleziona tutti i tipi di eventi.
  9. Fai clic su Salva.

Configura un feed in Google SecOps per importare i log di Windows Defender Advanced Threat Hunting

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo.
  3. Nel campo Nome feed, inserisci un nome per il feed, ad esempio Defender ATP Logs.
  4. Seleziona Microsoft Azure Blob Storage V2 come Tipo di origine.
  5. Seleziona Windows Defender ATP come Tipo di log.
  6. Fai clic su Avanti.

  7. Specifica i valori per i seguenti parametri di input:

    • URI Azure: l'URL dell'endpoint blob.
      • ENDPOINT_URL/BLOB_NAME
        • Sostituisci quanto segue:
        • ENDPOINT_URL: l'URL dell'endpoint blob (https://<storageaccountname>.blob.core.windows.net).
        • BLOB_NAME: il nome del blob, ad esempio <logname>-logs.

    • Opzioni di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze.

    • Età massima del file: include i file modificati nell'ultimo numero di giorni. Il valore predefinito è 180 giorni.

    • Chiave condivisa: la chiave di accesso ad Azure Blob Storage.

    • Spazio dei nomi dell'asset: lo spazio dei nomi dell'asset.

    • Etichette di importazione: l'etichetta da applicare agli eventi di questo feed.

  8. Fai clic su Avanti.

  9. Controlla la nuova configurazione del feed nella schermata Finalizza e poi fai clic su Invia.

Tabella di mappatura UDM

Campo log Mappatura UDM Logic
AccountName target.user.userid Viene compilato quando è presente properties.AccountName e properties.InitiatingProcessAccountName è vuoto.
AccountSid target.user.windows_sid Compilato quando è presente properties.AccountSid.
AccountType principal.user.attribute.labels Chiave: AccountType, valore: properties.AccountType
Action security_result.action_details Il valore di properties.Action.
Action security_result.action Se properties.Action contiene quarantine, il valore è QUARANTINE.
Action Name security_result.description Parte di security_result.description quando EventID è 1117.
AdditionalFields about.labels, principal.resource.attribute.labels Chiave: AdditionalFields, valore: properties.AdditionalFields (o AdditionalFields se analizzato come JSON). Anche le singole coppie chiave-valore di properties.AdditionalFields (o AdditionalFields2 se analizzate come JSON) vengono aggiunte come etichette.
AdditionalFields.ClientMachine principal.resource.attribute.labels Chiave: ClientMachine, valore: _AdditionalFields.ClientMachine
AdditionalFields.Command target.process.command_line Utilizzato quando ActionType è PowerShellCommand.
AdditionalFields.Count read_only_udm.additional.fields Chiave: Count, valore: properties.AdditionalFields.Count
AdditionalFields.DesiredAccess principal.resource.attribute.labels Chiave: DesiredAccess, valore: _AdditionalFields.DesiredAccess
AdditionalFields.DnsQueryString network.dns.questions.name Utilizzato quando ActionType è DnsQueryResponse.
AdditionalFields.DnsQueryResult network.dns.answers Analizzato all'interno di un ciclo per estrarre le risposte DNS. Result diventa name e DnsQueryType viene mappato al valore numerico type.
AdditionalFields.Experience security_result.threat_name Utilizzato quando properties.ActionType contiene SmartScreen.
AdditionalFields.FileOperation principal.resource.attribute.labels Chiave: FileOperation, valore: _AdditionalFields.FileOperation
AdditionalFields.InitiatingProcess principal.resource.attribute.labels Chiave: InitiatingProcess, valore: _AdditionalFields.InitiatingProcess
AdditionalFields.IsAudit principal.resource.attribute.labels Chiave: IsAudit, valore: _AdditionalFields.IsAudit
AdditionalFields.IsLocalLogon extensions.auth.mechanism Se il valore è true, imposta auth_mechanism su LOCAL. Se false, imposta su REMOTE.
AdditionalFields.IsRemoteMachine principal.resource.attribute.labels Chiave: IsRemoteMachine, valore: _AdditionalFields.IsRemoteMachine
AdditionalFields.NamedPipeEnd principal.resource.attribute.labels Chiave: NamedPipeEnd, valore: _AdditionalFields.NamedPipeEnd
AdditionalFields.PipeName principal.resource.attribute.labels Chiave: PipeName, valore: _AdditionalFields.PipeName
AdditionalFields.RemoteClientsAccess principal.resource.attribute.labels Chiave: RemoteClientsAccess, valore: _AdditionalFields.RemoteClientsAccess
AdditionalFields.SessionId principal.resource.attribute.labels Chiave: SessionId, valore: _AdditionalFields.SessionId
AdditionalFields.SignatureName security_result.rule_id Utilizzato quando properties.ActionType è AntivirusDetection.
AdditionalFields.TaskName target.resource.name Utilizzato quando properties.ActionType contiene Scheduled.
AdditionalFields.ThreatName security_result.threat_name Utilizzato quando properties.ActionType è AntivirusDetection.
AdditionalFields.ThreadId principal.resource.attribute.labels Chiave: ThreadId, valore: _AdditionalFields.ThreadId
AdditionalFields.TokenModificationProperties principal.resource.attribute.labels Chiave: TokenModificationProperties, valore: _AdditionalFields.TokenModificationProperties
AdditionalFields.TotalBytesCopied principal.resource.attribute.labels Chiave: TotalBytesCopied, valore: _AdditionalFields.TotalBytesCopied
AdditionalFields.WasExecutingWhileDetected about.labels, principal.resource.attribute.labels Chiave: WasExecutingWhileDetected, valore: _AdditionalFields.WasExecutingWhileDetected
AdditionalFields.WasRemediated security_result.action Se il valore è true, imposta sr_action su BLOCK. Se false, imposta su ALLOW.
AppGuardContainerId ApplicationId read_only_udm.additional.fields Chiave: ApplicationId, valore: properties.ApplicationId
category metadata.product_name Il valore di category.
category metadata.product_event_type Il valore di category con AdvancedHunting- rimosso.
City principal.location.city Il valore di properties.City.
ClientIP principal.ip, principal.asset.ip Il valore di properties.RawEventData.ClientIP se è un indirizzo IP valido.
ClientIPAddress principal.ip, principal.asset.ip Il valore di properties.RawEventData.ClientIPAddress se è un indirizzo IP valido.
ClientInfoString read_only_udm.additional.fields Chiave: ClientInfoString, valore: properties.RawEventData.ClientInfoString
ClientProcessName read_only_udm.additional.fields Chiave: ClientProcessName, valore: properties.RawEventData.ClientProcessName
ClientRequestId read_only_udm.additional.fields Chiave: ClientRequestId, valore: properties.RawEventData.ClientRequestId
ClientVersion read_only_udm.additional.fields Chiave: ClientVersion, valore: properties.RawEventData.ClientVersion
ConnectedNetworks entity.asset.network_domain Il campo Name all'interno di ConnectedNetworks, se presente.
CountryCode principal.location.country_or_region Il valore di properties.CountryCode.
CreationTime read_only_udm.additional.fields Chiave: CreationTime, valore: properties.RawEventData.CreationTime
Current Engine Version security_result.description Parte di security_result.description quando EventID è 2000.
Current Signature Version security_result.description Parte di security_result.description quando EventID è 2000.
DeliveryAction read_only_udm.additional.fields Chiave: DeliveryAction, valore: properties.DeliveryAction
DeliveryAction security_result.action Se properties.DeliveryAction contiene Blocked, il valore è BLOCK.
DeliveryLocation read_only_udm.additional.fields Chiave: DeliveryLocation, valore: properties.DeliveryLocation
DestinationLocationType read_only_udm.additional.fields Chiave: DestinationLocationType, valore: properties.RawEventData.DestinationLocationType
DetectionMethods security_result.rule_name, security_result.detection_fields Il valore di properties.DetectionMethods senza virgolette diventa sia rule_name sia detection_fields (chiave: Detection Method).
Detection User principal.user.userid Utilizzato quando EventID è 1116 o 1117.
DeviceCategory entity.asset.category Il valore di properties.DeviceCategory.
DeviceId principal.asset_id WINDOWS_DEFENDER: + DeviceId durante l'analisi di syslog/JSON o XML. DeviceId: + properties.DeviceId durante l'analisi JSON.
DeviceName principal.hostname, principal.asset.hostname DeviceName durante l'analisi di syslog/JSON o XML. properties.DeviceName durante l'analisi JSON. properties.RawEventData.DeviceName se presente.
DeviceType read_only_udm.additional.fields Chiave: DeviceType, valore: properties.DeviceType
Domain principal.administrative_domain Utilizzato durante l'analisi di syslog/JSON o XML.
Dynamic Signature Compilation Timestamp security_result.description Parte di security_result.description quando EventID è 2010 o 2011.
Dynamic Signature Type security_result.description Parte di security_result.description quando EventID è 2010 o 2011.
Dynamic Signature Version security_result.description Parte di security_result.description quando EventID è 2010 o 2011.
EmailClusterId read_only_udm.additional.fields Chiave: EmailClusterId, valore: properties.EmailClusterId
EmailDirection network.direction Se il valore è Inbound, viene impostato su INBOUND. Se Outbound, imposta su OUTBOUND. In caso contrario, viene impostato su UNKNOWN_DIRECTION.
EmailLanguage read_only_udm.additional.fields Chiave: EmailLanguage, valore: properties.EmailLanguage
Engine Version security_result.description Parte di security_result.description quando EventID è 1011.
EnforcementMode read_only_udm.additional.fields Chiave: EnforcementMode, valore: properties.EnforcementMode
Error Code security_result.description Parte di security_result.description quando EventID è 1117 o 2001.
Error Description security_result.description Parte di security_result.description quando EventID è 1117 o 2001.
EventID metadata.product_event_type Parte di metadata.product_event_type durante l'analisi di syslog/JSON o XML.
EventTime metadata.event_timestamp Analizzato per generare metadata.event_timestamp.
ExchangeLocations security_result.category_details Il valore di properties.RawEventData.ExchangeLocations.
ExternalAccess read_only_udm.additional.fields Chiave: ExternalAccess, valore: properties.RawEventData.ExternalAccess
FailureReason security_result.description Il valore di properties.FailureReason quando ActionType è LogonFailed.
FileExtension read_only_udm.additional.fields Chiave: FileExtension, valore: properties.RawEventData.FileExtension
FileName about.file.full_path Il valore di properties.FileName quando category contiene EmailAttachmentInfo. Altrimenti, target.process.file.full_path.
FileSize target.process.file.size Il valore di properties.FileSize convertito in un numero intero senza segno.
FileSize about.file.size Il valore di properties.FileSize convertito in un numero intero senza segno quando category contiene EmailAttachmentInfo.
FileSize principal.process.file.size Il valore di properties.RawEventData.FileSize convertito in un numero intero senza segno.
FileType about.file.mime_type Il valore di properties.FileType quando category contiene EmailAttachmentInfo. Altrimenti, target.process.file.mime_type.
FileType read_only_udm.additional.fields Chiave: FileType, valore: properties.RawEventData.FileType se non è vuoto o Unknown.
FolderPath target.file.full_path Il valore di properties.FolderPath.
FolderPath target.process.file.full_path Il valore di FolderPath quando ActionType è CreateRemoteThreadApiCall, ExploitGuardNonMicrosoftSignedBlocked, DriverLoad, FileRenamed, OpenProcessApiCall, ReadProcessMemoryApiCall, ImageLoaded o properties.ActionType è FileCreatedOnNetworkShare.
Hidden read_only_udm.additional.fields Chiave: Hidden, valore: properties.RawEventData.Hidden
Hostname principal.hostname, principal.asset.hostname Utilizzato durante l'analisi di syslog/JSON o XML.
IPAddresses entity.asset.ip Il campo IPAddress all'interno di ogni oggetto nell'array IPAddresses, esclusi gli indirizzi IPv6 link-local, IPv4 APIPA, IPv6 loopback, IPv6 multicast e loopback.
IPAddress principal.ip, principal.asset.ip Il valore di properties.IPAddress se è un indirizzo IP valido.
IPCategory read_only_udm.additional.fields Chiave: IPCategory, valore: properties.IPCategory
IPTags read_only_udm.additional.fields Chiave: IPTags, valore: properties.IPTags
ISP read_only_udm.additional.fields Chiave: ISP, valore: properties.ISP
InitiatingProcessAccountName principal.user.userid Viene compilato quando è presente e properties.AccountName è vuoto o quando sono presenti entrambi.
InitiatingProcessAccountSid principal.user.windows_sid Viene compilato quando è presente e properties.AccountSid è vuoto o quando sono presenti entrambi.
InitiatingProcessAccountUpn principal.user.email_addresses Il valore di properties.InitiatingProcessAccountUpn.
InitiatingProcessCommandLine principal.process.command_line Il valore di properties.InitiatingProcessCommandLine senza virgolette.
InitiatingProcessFileName principal.process.file.full_path Il valore di properties.InitiatingProcessFileName.
InitiatingProcessFileSize principal.process.file.size Il valore di properties.InitiatingProcessFileSize convertito in un numero intero senza segno.
InitiatingProcessFolderPath principal.process.file.full_path Il valore di properties.InitiatingProcessFolderPath.
InitiatingProcessId principal.process.pid Il valore di properties.InitiatingProcessId convertito in una stringa.
InitiatingProcessIntegrityLevel about.labels, principal.resource.attribute.labels Chiave: InitiatingProcessIntegrityLevel, valore: properties.InitiatingProcessIntegrityLevel
InitiatingProcessMD5 principal.process.file.md5 Il valore di properties.InitiatingProcessMD5.
InitiatingProcessParentFileName principal.process.parent_process.file.full_path Il valore di properties.InitiatingProcessParentFileName.
InitiatingProcessParentId principal.process.parent_process.pid Il valore di properties.InitiatingProcessParentId convertito in una stringa.
InitiatingProcessSHA1 principal.process.file.sha1 Il valore di properties.InitiatingProcessSHA1.
InitiatingProcessSHA256 principal.process.file.sha256 Il valore di properties.InitiatingProcessSHA256.
InitiatingProcessSignatureStatus read_only_udm.additional.fields Chiave: InitiatingProcessSignatureStatus, valore: properties.InitiatingProcessSignatureStatus
InitiatingProcessSignerType read_only_udm.additional.fields Chiave: InitiatingProcessSignerType, valore: properties.InitiatingProcessSignerType
InitiatingProcessTokenElevation about.labels, principal.resource.attribute.labels Chiave: InitiatingProcessTokenElevation, valore: properties.InitiatingProcessTokenElevation
InitiatingProcessVersionInfoCompanyName principal.user.company_name Il valore di properties.InitiatingProcessVersionInfoCompanyName.
InitiatingProcessVersionInfoFileDescription principal.resource.attribute.labels Chiave: File Description, valore: properties.InitiatingProcessVersionInfoFileDescription
InitiatingProcessVersionInfoInternalFileName principal.resource.attribute.labels Chiave: File Name, valore: properties.InitiatingProcessVersionInfoInternalFileName
InitiatingProcessVersionInfoOriginalFileName principal.resource.attribute.labels Chiave: Original File Name, valore: properties.InitiatingProcessVersionInfoOriginalFileName
InitiatingProcessVersionInfoProductName read_only_udm.additional.fields Chiave: InitiatingProcessVersionInfoProductName, valore: properties.InitiatingProcessVersionInfoProductName
InitiatingProcessVersionInfoProductVersion metadata.product_version Il valore di properties.InitiatingProcessVersionInfoProductVersion.
InternetMessageId read_only_udm.additional.fields Chiave: InternetMessageId, valore: properties.InternetMessageId con le parentesi angolari rimosse.
IsAdminOperation read_only_udm.additional.fields Chiave: IsAdminOperation, valore: properties.IsAdminOperation
IsAnonymousProxy read_only_udm.additional.fields Chiave: IsAnonymousProxy, valore: properties.IsAnonymousProxy
IsExternalUser read_only_udm.additional.fields Chiave: IsExternalUser, valore: properties.IsExternalUser
IsImpersonated read_only_udm.additional.fields Chiave: IsImpersonated, valore: properties.IsImpersonated
IsLocalAdmin about.labels, principal.resource.attribute.labels Chiave: IsLocalAdmin, Valore: true o false a seconda del valore booleano di properties.IsLocalAdmin.
LoggedOnUsers target.user.userid, entity.relations.entity.user.userid Il campo UserName all'interno di ogni oggetto dell'array LoggedOnUsers viene aggiunto come target.user.userid e come entità utente correlata. Il campo Sid viene aggiunto come entity.relations.entity.user.windows_sid.
LocalIP principal.ip, principal.asset.ip Il valore di LocalIP durante l'analisi del JSON.
LocalPort principal.port Il valore di LocalPort convertito in un numero intero durante l'analisi JSON.
LogonType extensions.auth.mechanism Mappato a un meccanismo di autenticazione UDM in base al valore.
LogonType read_only_udm.additional.fields Chiave: LogonType, valore: properties.RawEventData.LogonType
LogonUserSid read_only_udm.additional.fields Chiave: LogonUserSid, valore: properties.RawEventData.LogonUserSid
MacAddress entity.asset.mac Il valore di MacAddress o properties.MacAddress formattato come stringa separata da due punti.
MailboxGuid read_only_udm.additional.fields Chiave: MailboxGuid, valore: properties.RawEventData.MailboxGuid
MailboxOwnerMasterAccountSid read_only_udm.additional.fields Chiave: MailboxOwnerMasterAccountSid, valore: properties.RawEventData.MailboxOwnerMasterAccountSid
MailboxOwnerSid read_only_udm.additional.fields Chiave: MailboxOwnerSid, valore: properties.RawEventData.MailboxOwnerSid
MailboxOwnerUPN read_only_udm.additional.fields Chiave: MailboxOwnerUPN, valore: properties.RawEventData.MailboxOwnerUPN
MD5 target.process.file.md5 Il valore di properties.MD5.
Message security_result.description Parte di security_result.description quando EventID è 1000, 1001, 1002, 1013, 1116, 1117, 2000, 2001, 2002, 2010, 2011 o 5007.
NetworkAdapterType metadata.product_event_type Il valore di NetworkAdapterType durante l'analisi del JSON.
NetworkMessageId network.email.mail_id Il valore di properties.NetworkMessageId.
New Value security_result.description Parte di security_result.description quando EventID è 5007.
Object Name read_only_udm.additional.fields Chiave: ObjectName, valore: properties.ObjectName
Object Type read_only_udm.additional.fields Chiave: ObjectType, valore: properties.ObjectType
ObjectId read_only_udm.additional.fields Chiave: ObjectId, valore: properties.ObjectId o properties.RawEventData.ObjectId.
Old Value security_result.description Parte di security_result.description quando EventID è 5007.
Operation read_only_udm.additional.fields Chiave: Operation, valore: properties.RawEventData.Operation
operationName read_only_udm.additional.fields Chiave: OperationName, valore: operationName
OrganizationId read_only_udm.additional.fields Chiave: OrganizationId, valore: properties.RawEventData.OrganizationId
OrganizationName read_only_udm.additional.fields Chiave: OrganizationName, valore: properties.RawEventData.OrganizationName
OriginatingServer read_only_udm.additional.fields Chiave: OriginatingServer, valore: properties.RawEventData.OriginatingServer
OSPlatform asset.platform_software.platform Se il valore contiene macos, imposta platform su MAC. Se windows, imposta su WINDOWS. Se nix, imposta su LINUX.
OSVersion asset.platform_software.platform_version Il valore di properties.OSVersion.
Path target.file.full_path Utilizzato quando EventID è 1011 o 1116.
Persistence Limit Type security_result.description Parte di security_result.description quando EventID è 2010 o 2011.
Persistence Limit Value security_result.description Parte di security_result.description quando EventID è 2010 o 2011.
Persistence Path target.file.full_path Utilizzato quando EventID è 2010 o 2011.
Previous Engine Version security_result.description Parte di security_result.description quando EventID è 2000, 2001 o 2002.
PreviousRegistryKey target.registry.registry_key Il valore di properties.PreviousRegistryKey.
PreviousRegistryValueData target.resource.attribute.labels Chiave: PreviousRegistryValueData, valore: properties.PreviousRegistryValueData
PreviousRegistryValueName target.resource.attribute.labels Chiave: PreviousRegistryValueName, valore: properties.PreviousRegistryValueName
Previous security intelligence Version security_result.description Parte di security_result.description quando EventID è 2001.
Previous Signature Version security_result.description Parte di security_result.description quando EventID è 2000.
ProcessCommandLine target.process.command_line Il valore di properties.ProcessCommandLine.
ProcessID principal.process.pid Utilizzato durante l'analisi di syslog/JSON o XML.
ProcessId target.process.pid Il valore di properties.ProcessId convertito in una stringa.
Process Name target.process.pid Utilizzato quando EventID è 1116 o 1117.
Product Version metadata.product_version Utilizzato durante l'analisi di syslog/JSON o XML.
Protocol network.ip_protocol Se il valore contiene Tcp, viene impostato su TCP. Se Udp, imposta su UDP. Se Icmp, imposta su ICMP.
ProviderGuid principal.resource.id Utilizzato durante l'analisi di syslog/JSON o XML.
PublicIP principal.ip, principal.asset.ip Il valore di properties.PublicIP.
RawEventData.Application principal.application Il valore di properties.RawEventData.Application.
RawEventData.ClientIP principal.ip, principal.asset.ip Il valore di properties.RawEventData.ClientIP se è un indirizzo IP valido.
RawEventData.ClientIPAddress principal.ip, principal.asset.ip Il valore di properties.RawEventData.ClientIPAddress se è un indirizzo IP valido.
RawEventData.ClientInfoString read_only_udm.additional.fields Chiave: ClientInfoString, valore: properties.RawEventData.ClientInfoString
RawEventData.ClientProcessName read_only_udm.additional.fields Chiave: ClientProcessName, valore: properties.RawEventData.ClientProcessName
RawEventData.ClientRequestId read_only_udm.additional.fields Chiave: ClientRequestId, valore: properties.RawEventData.ClientRequestId
RawEventData.ClientVersion read_only_udm.additional.fields Chiave: ClientVersion, valore: properties.RawEventData.ClientVersion
RawEventData.CreationTime read_only_udm.additional.fields Chiave: CreationTime, valore: properties.RawEventData.CreationTime
RawEventData.DeviceName principal.hostname, principal.asset.hostname Il valore di properties.RawEventData.DeviceName.
RawEventData.DestinationLocationType read_only_udm.additional.fields Chiave: DestinationLocationType, valore: properties.RawEventData.DestinationLocationType
RawEventData.ExchangeLocations security_result.category_details Il valore di properties.RawEventData.ExchangeLocations.
RawEventData.ExternalAccess read_only_udm.additional.fields Chiave: ExternalAccess, valore: properties.RawEventData.ExternalAccess
RawEventData.FileExtension read_only_udm.additional.fields Chiave: FileExtension, valore: properties.RawEventData.FileExtension
RawEventData.FileSize target.process.file.size Il valore di properties.RawEventData.FileSize convertito in un numero intero senza segno.
RawEventData.FileType read_only_udm.additional.fields Chiave: FileType, valore: properties.RawEventData.FileType se non è vuoto o Unknown.
RawEventData.Hidden read_only_udm.additional.fields Chiave: Hidden, valore: properties.RawEventData.Hidden
RawEventData.Id read_only_udm.additional.fields Chiave: RawEventDataId, valore: properties.RawEventData.Id
RawEventData.Item.Id item_idm.read_only_udm.additional.fields Chiave: RawEventDataItemId, valore: properties.RawEventData.item.id
RawEventData.LogonType read_only_udm.additional.fields Chiave: LogonType, valore: properties.RawEventData.LogonType
RawEventData.LogonUserSid read_only_udm.additional.fields Chiave: LogonUserSid, valore: properties.RawEventData.LogonUserSid
RawEventData.MailboxGuid read_only_udm.additional.fields Chiave: MailboxGuid, valore: properties.RawEventData.MailboxGuid
RawEventData.MailboxOwnerMasterAccountSid read_only_udm.additional.fields Chiave: MailboxOwnerMasterAccountSid, valore: properties.RawEventData.MailboxOwnerMasterAccountSid
RawEventData.MailboxOwnerSid read_only_udm.additional.fields Chiave: MailboxOwnerSid, valore: properties.RawEventData.MailboxOwnerSid
RawEventData.MailboxOwnerUPN read_only_udm.additional.fields Chiave: MailboxOwnerUPN, valore: properties.RawEventData.MailboxOwnerUPN
RawEventData.MDATPDeviceId read_only_udm.additional.fields Chiave: MDATPDeviceId, valore: properties.RawEventData.MDATPDeviceId
RawEventData.ObjectId read_only_udm.additional.fields Chiave: ObjectId, valore: properties.RawEventData.ObjectId
RawEventData.Operation read_only_udm.additional.fields Chiave: Operation, valore: properties.RawEventData.Operation
RawEventData.OrganizationId read_only_udm.additional.fields Chiave: OrganizationId, valore: properties.RawEventData.OrganizationId
RawEventData.OrganizationName read_only_udm.additional.fields Chiave: OrganizationName, valore: properties.RawEventData.OrganizationName
RawEventData.OriginatingServer read_only_udm.additional.fields Chiave: OriginatingServer, valore: properties.RawEventData.OriginatingServer
RawEventData.ParentFolder.Id read_only_udm.additional.fields Chiave: RawEventDataParentFolderId, valore: properties.RawEventData.ParentFolder.Id
RawEventData.Pid target.process.pid Il valore di properties.RawEventData.Pid convertito in una stringa.
RawEventData.Query read_only_udm.additional.fields Chiave: Query, valore: properties.RawEventData.Query
RawEventData.RecordType network.dns.questions.type Il valore di properties.RawEventData.RecordType convertito in un numero intero senza segno.
RawEventData.ResultStatus read_only_udm.additional.fields Chiave: ResultStatus, valore: properties.RawEventData.ResultStatus
RawEventData.Scope read_only_udm.additional.fields Chiave: Scope, valore: properties.RawEventData.Scope
RawEventData.SessionId network.session_id Il valore di properties.RawEventData.SessionId.
RawEventData.Sha1 target.process.file.sha1 Il valore di properties.RawEventData.Sha1.
RawEventData.Sha256 target.process.file.sha256 Il valore di properties.RawEventData.Sha256.
RawEventData.TargetDomain target.hostname, target.asset.hostname Il valore di properties.RawEventData.TargetDomain.
RawEventData.TargetFilePath target.file.full_path Il valore di properties.RawEventData.TargetFilePath.
RawEventData.UserId principal.user.email_addresses Il valore di properties.RawEventData.UserId se è un indirizzo email.
RawEventData.UserKey read_only_udm.additional.fields Chiave: UserKey, valore: properties.RawEventData.UserKey
RawEventData.UserType read_only_udm.additional.fields Chiave: UserType, valore: properties.RawEventData.UserType
RawEventData.Version read_only_udm.additional.fields Chiave: Version, valore: properties.RawEventData.Version
RawEventData.Workload read_only_udm.additional.fields Chiave: Workload, valore: properties.RawEventData.Workload
RecipientEmailAddress network.email.to, target.user.email_addresses Il valore di properties.RecipientEmailAddress.
RecipientObjectId target.user.product_object_id Il valore di properties.RecipientObjectId.
RegistryKey target.registry.registry_key Il valore di properties.RegistryKey.
RegistryValueData target.registry.registry_value_data Il valore di properties.RegistryValueData.
RegistryValueName target.registry.registry_value_name Il valore di properties.RegistryValueName.
Remediation User intermediary.user.userid Utilizzato quando EventID è 1117.
RemoteDeviceName target.hostname, target.asset.hostname Il valore di properties.RemoteDeviceName.
RemoteIP target.ip, target.asset.ip Il valore di properties.RemoteIP se non è vuoto, - o null.
RemoteIPType about.labels, principal.resource.attribute.labels Chiave: RemoteIPType, valore: properties.RemoteIPType
RemotePort target.port Il valore di properties.RemotePort convertito in un numero intero.
RemoteUrl target.url Il valore di properties.RemoteUrl. Se contiene un nome host, questo viene estratto e mappato a target.hostname e target.asset.hostname.
Removal Reason Value security_result.description Parte di security_result.description quando EventID è 2011.
ReportId metadata.product_log_id Il valore di properties.ReportId convertito in una stringa.
Scan ID security_result.description Parte di security_result.description quando EventID è 1000, 1001 o 1002.
Scan Parameters security_result.description Parte di security_result.description quando EventID è 1000, 1001 o 1002.
Scan Resources target.file.full_path Utilizzato quando EventID è 1000.
Scan Time Hours security_result.description Parte di security_result.description quando EventID è 1001.
Scan Time Minutes security_result.description Parte di security_result.description quando EventID è 1001.
Scan Time Seconds security_result.description Parte di security_result.description quando EventID è 1001.
Scan Type security_result.description Parte di security_result.description quando EventID è 1000, 1001 o 1002.
Security intelligence Type security_result.description Parte di security_result.description quando EventID è 2001.
Security intelligence Version security_result.description Parte di security_result.description quando EventID è 1011.
SenderDisplayName principal.user.user_display_name Il valore di properties.SenderDisplayName.
SenderFromAddress network.email.from, principal.user.email_addresses Il valore di properties.SenderFromAddress.
SenderFromDomain principal.administrative_domain Il valore di properties.SenderFromDomain.
SenderIPv4 principal.ip, principal.asset.ip Il valore di properties.SenderIPv4.
SenderIPv6 principal.ip, principal.asset.ip Il valore di properties.SenderIPv6.
SenderMailFromAddress principal.user.attribute.labels Chiave: SenderMailFromAddress, valore: properties.SenderMailFromAddress
SenderMailFromDomain principal.user.attribute.labels Chiave: SenderMailFromDomain, valore: properties.SenderMailFromDomain
SenderObjectId principal.user.product_object_id Il valore di properties.SenderObjectId.
Severity Name security_result.severity Se il valore è Low, viene impostato su LOW. Se Moderate, imposta su MEDIUM. Se High o Severe, imposta HIGH.
Severity security_result.severity Se il valore contiene informational, viene impostato su INFORMATIONAL. Se low, imposta su LOW. Se medium, imposta su MEDIUM. Se high, imposta su HIGH. In caso contrario, viene impostato su UNKNOWN_SEVERITY.
Severity security_result.severity_details Il valore di properties.Severity.
SHA1 target.process.file.sha1 Il valore di properties.SHA1.
SHA256 target.process.file.sha256 Il valore di properties.SHA256.
SHA256 about.file.sha256 Il valore di properties.SHA256 quando category contiene EmailAttachmentInfo.
Signature Type security_result.description Parte di security_result.description quando EventID è 2000 o 2010.
SourceModuleName target.resource.name Utilizzata quando EventID è 2008.
Source Path security_result.description Parte di security_result.description quando EventID è 2001.
Subject network.email.subject Il valore di properties.Subject.
Tenant read_only_udm.additional.fields Chiave: Tenant, valore: Tenant
tenantId observer.cloud.project.id, target.resource_ancestors.product_object_id Il valore di tenantId o properties.tenantId.
Threat ID security_result.threat_name Parte di security_result.threat_name quando EventID è 1011 o 1116.
ThreatNames security_result.threat_name Il valore di properties.ThreatNames.
Threat Types security_result.category Se il valore è Phish, imposta security_result_category su MAIL_PHISHING. In caso contrario, viene impostato su UNKNOWN_CATEGORY.
Timestamp security_result.description Parte di security_result.description quando EventID è 1013.
Timestamp metadata.event_timestamp Analizzato per generare metadata.event_timestamp.
Timestamp entity.asset.system_last_update_time Il valore di properties.Timestamp quando category è AdvancedHunting-DeviceNetworkInfo.
Title security_result.threat_name Il valore di properties.Title.
Update Source security_result.description Parte di security_result.description quando EventID è 2001.
Update State security_result.description Parte di security_result.description quando EventID è 2001.
Update Type security_result.description Parte di security_result.description quando EventID è 2000 o 2001.
UserAgent network.http.user_agent Il valore di properties.UserAgent.
UserAgentTags additional.fields Ogni elemento dell'array properties.UserAgentTags viene aggiunto come etichetta con la chiave UserAgentTags.
Url target.url Il valore di properties.Url.
UrlCount read_only_udm.additional.fields Chiave: UrlCount, valore: properties.UrlCount
UrlDomain target.hostname, target.asset.hostname Il valore di properties.UrlDomain.
UrlLocation read_only_udm.additional.fields Chiave: UrlLocation, valore: properties.UrlLocation
User target.user.userid Utilizzato quando EventID è 1000, 1001, 1002, 1011, 1013, 2000, 2002 o quando Message contiene \tUser:.
UserID principal.user.userid Utilizzato quando EventID è 2010 o 2011.
(Parser Logic) metadata.event_type Impostato inizialmente su GENERIC_EVENT, poi sovrascritto in base ad altri campi e alla logica. I valori comuni includono NETWORK_CONNECTION, PROCESS_LAUNCH, FILE_CREATION, FILE_MODIFICATION, USER_LOGIN, SCAN_HOST, SCAN_PROCESS, SYSTEM_AUDIT_LOG_WIPE, SETTING_MODIFICATION, FILE_DELETION, PROCESS_MODULE_LOAD, PROCESS_UNCATEGORIZED, STATUS_UPDATE, PROCESS_OPEN, NETWORK_DNS, FILE_MOVE, REGISTRY_CREATION, REGISTRY_DELETION, REGISTRY_MODIFICATION, SCHEDULED_TASK_CREATION, SCHEDULED_TASK_DELETION, SCHEDULED_TASK_MODIFICATION, SCAN_NETWORK, USER_UNCATEGORIZED.
(Parser Logic) metadata.vendor_name Imposta su Microsoft.
(Parser Logic) metadata.product_name Impostato inizialmente su Windows Defender ATP, poi potenzialmente sovrascritto dal campo category.
(Parser Logic) metadata.product_event_type Impostato inizialmente su GENERIC_EVENT, poi sovrascritto in base ad altri campi e alla logica.
(Parser Logic) metadata.product_version Impostato in base a Product Version o properties.InitiatingProcessVersionInfoProductVersion.
(Parser Logic) metadata.log_type Imposta su WINDOWS_DEFENDER_ATP.
(Parser Logic) principal.resource.type Impostato su PROVIDER durante l'analisi di syslog/JSON o XML.
(Parser Logic) target.resource_ancestors Contiene un singolo predecessore con product_object_id impostato su tenantId.
(Parser Logic) security_result.summary Impostato in base a EventID, properties.ActionType o properties.Title e properties.Category.
(Parser Logic) security_result.description Costruito da vari campi a seconda di EventID o properties.ActionType.
(Parser Logic) security_result.action Inizialmente impostato su ALLOW, poi potenzialmente sovrascritto in base a AdditionalFields.WasRemediated, ActionType o Action Name.
(Parser Logic) security_result.severity Impostato in base a Severity Name o properties.Severity.
(Parser Logic) security_result.category Impostato in base a Threat Types.
(Parser Logic) network.direction Impostato in base a RemoteIP, LocalIP o EmailDirection.
(Parser Logic) network.ip_protocol Impostato su TCP quando metadata.event_type è NETWORK_CONNECTION.
(Parser Logic) network.session_id Impostato in base a properties.RawEventData.SessionId.
(Parser Logic) network.http.user_agent Impostato in base a properties.UserAgent.
(Parser Logic) network.email.mail_id Impostato in base a properties.NetworkMessageId.
(Parser Logic) network.email.subject Impostato in base a properties.Subject.
(Parser Logic) network.email.from Impostato in base a properties.SenderFromAddress.
(Parser Logic) network.email.to Impostato in base a properties.RecipientEmailAddress.
(Parser Logic) network.dns.questions.name Impostato in base a AdditionalFields.DnsQueryString.
(Parser Logic) network.dns.questions.type Impostato in base a properties.RawEventData.RecordType.
(Parser Logic) network.dns.answers Costruito a partire da AdditionalFields.DnsQueryResult.
(Parser Logic) extensions.auth.type Imposta su MACHINE quando ActionType è LogonAttempted o LogonSuccess.
(Parser Logic) extensions.auth.mechanism Impostato in base a LogonType o AdditionalFields.IsLocalLogon.
(Parser Logic) extensions.auth.auth_details Impostato in base a properties.AuthenticationDetails.
(Parser Logic) entity.asset.asset_id Costruito utilizzando WINDOWS: + DeviceId o properties.DeviceId.
(Parser Logic) entity.asset.product_object_id Da impostare su DeviceId o properties.DeviceId.
(Parser Logic) entity.asset.network_domain Estratto da ConnectedNetworks.
(Parser Logic) entity.asset.ip Impostato in base a IPAddresses, _ipaddress, PublicIP o LocalIP.
(Parser Logic) entity.asset.mac Impostato in base a MacAddress o properties.MacAddress.
(Parser Logic) entity.asset.hostname Impostato in base a DeviceName o properties.DeviceName.
(Parser Logic) entity.asset.platform_software.platform Impostato in base a OSPlatform.
(Parser Logic) entity.asset.platform_software.platform_version Impostato in base a OSVersion.
(Parser Logic) entity.asset.category Impostato in base a DeviceCategory.
(Parser Logic) entity.asset.type Imposta su WORKSTATION per gli eventi relativi a informazioni su dispositivo e rete.
(Parser Logic) entity.asset.system_last_update_time Imposta in base a properties.Timestamp per gli eventi di informazioni di rete.
(Parser Logic) entity.relations Costruito a partire da LoggedOnUsers.
(Parser Logic) entity.metadata.entity_type Imposta ASSET per gli eventi di dispositivo, rete e asset.
(Parser Logic) about.labels Contiene etichette per vari campi che non rientrano direttamente nello schema UDM.
(Parser Logic) principal.user.attribute.labels Contiene etichette per vari campi relativi agli utenti.
(Parser Logic) principal.resource.attribute.labels Contiene etichette per vari campi correlati alle risorse.
(Parser Logic) target.resource.resource_type Imposta TASK per gli eventi delle attività pianificate e SETTING per gli eventi di modifica delle impostazioni.
(Parser Logic) target.resource.name Impostato in base a SourceModuleName, AdditionalFields.TaskName o _taskname.
(Parser Logic) target.resource.product_object_id Impostato in base a properties.ReportId.
(Parser Logic) target.resource_ancestors Impostato in base a tenantId.
(Parser Logic) target.registry.registry_key Impostato in base a RegistryKey, PreviousRegistryKey o properties.RegistryKey.
(Parser Logic) target.registry.registry_value_name Impostato in base a RegistryValueName o properties.RegistryValueName.
(Parser Logic) target.registry.registry_value_data Impostato in base a RegistryValueData o properties.RegistryValueData.
(Parser Logic) intermediary.user.userid Impostato in base a Remediation User.
(Parser Logic) metadata.collected_timestamp Impostato sul timestamp dell'evento per gli eventi relativi alle informazioni su asset e rete.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.