Coletar registros do Microsoft Windows Defender ATP
Compatível com:
Google SecOps
SIEM
Este documento explica como coletar registros do Microsoft Windows Defender ATP para o Google Security Operations usando uma conta de armazenamento do Azure. Esse analisador processa registros do Windows Defender ATP nos formatos SYSLOG, XML e JSON. Ele normaliza os diversos campos desses formatos em uma estrutura unificada, extraindo informações importantes, como detalhes de eventos, dados do usuário, informações do processo, atividade de rede e resultados de segurança, e os mapeia para o UDM. O analisador também executa a lógica condicional com base em EventID e ActionType para categorizar eventos e enriquecer a UDM com detalhes específicos relevantes para cada tipo de evento.
Antes de começar
- Verifique se você tem uma instância do Google SecOps.
- Verifique se você tem uma assinatura ativa do Azure.
- Verifique se você tem a função de administrador global ou de caça a ameaças avançadas do Microsoft Defender.
- Faça login no seu locatário do Azure, acesse Assinaturas > Sua assinatura > Provedores de recursos > Registrar no Microsoft.Insights.
Configurar a conta de armazenamento do Azure
- No console do Azure, pesquise "Contas de armazenamento".
- Clique em Criar.
- Especifique valores para os seguintes parâmetros de entrada:
- Assinatura: selecione a assinatura.
- Grupo de recursos: selecione o grupo de recursos.
- Região: selecione a região.
- Performance: selecione a performance (padrão recomendado).
- Redundância: selecione a redundância (GRS ou LRS recomendado).
- Nome da conta de armazenamento: insira um nome para a nova conta de armazenamento.
- Clique em Revisar + criar.
- Leia a visão geral da conta e clique em Criar.
- Na página Visão geral da conta de armazenamento, selecione o submenu Chaves de acesso em Segurança e rede.
- Clique em Mostrar ao lado de chave1 ou chave2.
- Clique em Copiar para a área de transferência para copiar a chave.
- Salve a chave em um local seguro para uso futuro.
- Na página Visão geral da conta de armazenamento, selecione o submenu Endpoints em Configurações.
- Clique em Copiar para a área de transferência para copiar o URL do endpoint do serviço de blob, por exemplo,
https://<storageaccountname>.blob.core.windows.net. - Salve o URL do endpoint em um local seguro para uso futuro.
Configurar a exportação de registros da Caça avançada a ameaças do Windows Defender
- Faça login em security.microsoft.com como administrador global ou de segurança.
- Acesse Configurações > Microsoft Defender XDR.
- Selecione API Streaming.
- Clique em Adicionar.
- Selecione Encaminhar eventos para o Azure Storage.
- Acesse a conta de armazenamento criada anteriormente.
- Copie o ID do recurso e insira no ID do recurso da conta de armazenamento.
- Selecione todos os tipos de eventos.
- Clique em Salvar.
Configure um feed no Google SecOps para ingerir os registros da caça avançada de ameaças do Windows Defender
- Acesse Configurações do SIEM > Feeds.
- Clique em Adicionar novo.
- No campo Nome do feed, insira um nome para o feed, por exemplo,
Defender ATP Logs. - Selecione Microsoft Azure Blob Storage como o Tipo de origem.
- Selecione Windows Defender ATP como o tipo de registro.
- Clique em Próxima.
Especifique valores para os seguintes parâmetros de entrada:
- URI do Azure: o URL do endpoint do blob.
ENDPOINT_URL/BLOB_NAME- Substitua:
ENDPOINT_URL: o URL do endpoint do blob (https://<storageaccountname>.blob.core.windows.net).BLOB_NAME: o nome do blob, por exemplo,<logname>-logs.
- URI é um: selecione o URI_TYPE de acordo com a configuração do fluxo de registro (Arquivo único | Diretório | Diretório que inclui subdiretórios).
Opções de exclusão da origem: selecione a opção de exclusão de acordo com sua preferência.
Chave compartilhada: a chave de acesso ao Armazenamento de blobs do Azure.
Namespace do recurso: o namespace do recurso.
Rótulos de ingestão: o rótulo a ser aplicado aos eventos desse feed.
- URI do Azure: o URL do endpoint do blob.
Clique em Próxima.
Revise a configuração do novo feed na tela Finalizar e clique em Enviar.
Tabela de mapeamento do UDM
| Campo de registro | Mapeamento do UDM | Lógica |
|---|---|---|
AccountName |
target.user.userid |
Preenchido quando properties.AccountName está presente e properties.InitiatingProcessAccountName está em branco. |
AccountSid |
target.user.windows_sid |
Preenchido quando properties.AccountSid está presente. |
AccountType |
principal.user.attribute.labels |
Chave: AccountType, valor: properties.AccountType |
Action |
security_result.action_details |
O valor de properties.Action. |
Action |
security_result.action |
Se properties.Action contiver quarantine, o valor será QUARANTINE. |
Action Name |
security_result.description |
Parte de security_result.description quando EventID é 1117. |
AdditionalFields |
about.labels, principal.resource.attribute.labels |
Chave: AdditionalFields, valor: properties.AdditionalFields (ou AdditionalFields se analisado como JSON). Os pares de chave-valor individuais de properties.AdditionalFields (ou AdditionalFields2 se analisados como JSON) também são adicionados como rótulos. |
AdditionalFields.ClientMachine |
principal.resource.attribute.labels |
Chave: ClientMachine, valor: _AdditionalFields.ClientMachine |
AdditionalFields.Command |
target.process.command_line |
Usado quando ActionType é PowerShellCommand. |
AdditionalFields.Count |
read_only_udm.additional.fields |
Chave: Count, valor: properties.AdditionalFields.Count |
AdditionalFields.DesiredAccess |
principal.resource.attribute.labels |
Chave: DesiredAccess, valor: _AdditionalFields.DesiredAccess |
AdditionalFields.DnsQueryString |
network.dns.questions.name |
Usado quando ActionType é DnsQueryResponse. |
AdditionalFields.DnsQueryResult |
network.dns.answers |
Analisado em um loop para extrair respostas de DNS. Result se torna name, e DnsQueryType é mapeado para o type numérico. |
AdditionalFields.Experience |
security_result.threat_name |
Usado quando properties.ActionType contém SmartScreen. |
AdditionalFields.FileOperation |
principal.resource.attribute.labels |
Chave: FileOperation, valor: _AdditionalFields.FileOperation |
AdditionalFields.InitiatingProcess |
principal.resource.attribute.labels |
Chave: InitiatingProcess, valor: _AdditionalFields.InitiatingProcess |
AdditionalFields.IsAudit |
principal.resource.attribute.labels |
Chave: IsAudit, valor: _AdditionalFields.IsAudit |
AdditionalFields.IsLocalLogon |
extensions.auth.mechanism |
Se o valor for true, auth_mechanism será definido como LOCAL. Se false, define como REMOTE. |
AdditionalFields.IsRemoteMachine |
principal.resource.attribute.labels |
Chave: IsRemoteMachine, valor: _AdditionalFields.IsRemoteMachine |
AdditionalFields.NamedPipeEnd |
principal.resource.attribute.labels |
Chave: NamedPipeEnd, valor: _AdditionalFields.NamedPipeEnd |
AdditionalFields.PipeName |
principal.resource.attribute.labels |
Chave: PipeName, valor: _AdditionalFields.PipeName |
AdditionalFields.RemoteClientsAccess |
principal.resource.attribute.labels |
Chave: RemoteClientsAccess, valor: _AdditionalFields.RemoteClientsAccess |
AdditionalFields.SessionId |
principal.resource.attribute.labels |
Chave: SessionId, valor: _AdditionalFields.SessionId |
AdditionalFields.SignatureName |
security_result.rule_id |
Usado quando properties.ActionType é AntivirusDetection. |
AdditionalFields.TaskName |
target.resource.name |
Usado quando properties.ActionType contém Scheduled. |
AdditionalFields.ThreatName |
security_result.threat_name |
Usado quando properties.ActionType é AntivirusDetection. |
AdditionalFields.ThreadId |
principal.resource.attribute.labels |
Chave: ThreadId, valor: _AdditionalFields.ThreadId |
AdditionalFields.TokenModificationProperties |
principal.resource.attribute.labels |
Chave: TokenModificationProperties, valor: _AdditionalFields.TokenModificationProperties |
AdditionalFields.TotalBytesCopied |
principal.resource.attribute.labels |
Chave: TotalBytesCopied, valor: _AdditionalFields.TotalBytesCopied |
AdditionalFields.WasExecutingWhileDetected |
about.labels, principal.resource.attribute.labels |
Chave: WasExecutingWhileDetected, valor: _AdditionalFields.WasExecutingWhileDetected |
AdditionalFields.WasRemediated |
security_result.action |
Se o valor for true, sr_action será definido como BLOCK. Se false, define como ALLOW. |
AppGuardContainerId ApplicationId |
read_only_udm.additional.fields |
Chave: ApplicationId, valor: properties.ApplicationId |
category |
metadata.product_name |
O valor de category. |
category |
metadata.product_event_type |
O valor de category com AdvancedHunting- removido. |
City |
principal.location.city |
O valor de properties.City. |
ClientIP |
principal.ip, principal.asset.ip |
O valor de properties.RawEventData.ClientIP se for um endereço IP válido. |
ClientIPAddress |
principal.ip, principal.asset.ip |
O valor de properties.RawEventData.ClientIPAddress se for um endereço IP válido. |
ClientInfoString |
read_only_udm.additional.fields |
Chave: ClientInfoString, valor: properties.RawEventData.ClientInfoString |
ClientProcessName |
read_only_udm.additional.fields |
Chave: ClientProcessName, valor: properties.RawEventData.ClientProcessName |
ClientRequestId |
read_only_udm.additional.fields |
Chave: ClientRequestId, valor: properties.RawEventData.ClientRequestId |
ClientVersion |
read_only_udm.additional.fields |
Chave: ClientVersion, valor: properties.RawEventData.ClientVersion |
ConnectedNetworks |
entity.asset.network_domain |
O campo Name em ConnectedNetworks, se presente. |
CountryCode |
principal.location.country_or_region |
O valor de properties.CountryCode. |
CreationTime |
read_only_udm.additional.fields |
Chave: CreationTime, valor: properties.RawEventData.CreationTime |
Current Engine Version |
security_result.description |
Parte de security_result.description quando EventID é 2000. |
Current Signature Version |
security_result.description |
Parte de security_result.description quando EventID é 2000. |
DeliveryAction |
read_only_udm.additional.fields |
Chave: DeliveryAction, valor: properties.DeliveryAction |
DeliveryAction |
security_result.action |
Se properties.DeliveryAction contiver Blocked, o valor será BLOCK. |
DeliveryLocation |
read_only_udm.additional.fields |
Chave: DeliveryLocation, valor: properties.DeliveryLocation |
DestinationLocationType |
read_only_udm.additional.fields |
Chave: DestinationLocationType, valor: properties.RawEventData.DestinationLocationType |
DetectionMethods |
security_result.rule_name, security_result.detection_fields |
O valor de properties.DetectionMethods com aspas removidas se torna rule_name e detection_fields (chave: Detection Method). |
Detection User |
principal.user.userid |
Usado quando EventID é 1116 ou 1117. |
DeviceCategory |
entity.asset.category |
O valor de properties.DeviceCategory. |
DeviceId |
principal.asset_id |
WINDOWS_DEFENDER: + DeviceId ao analisar syslog/JSON ou XML. DeviceId: + properties.DeviceId ao analisar JSON. |
DeviceName |
principal.hostname, principal.asset.hostname |
DeviceName ao analisar syslog/JSON ou XML. properties.DeviceName ao analisar JSON. properties.RawEventData.DeviceName, se presente. |
DeviceType |
read_only_udm.additional.fields |
Chave: DeviceType, valor: properties.DeviceType |
Domain |
principal.administrative_domain |
Usado ao analisar syslog/JSON ou XML. |
Dynamic Signature Compilation Timestamp |
security_result.description |
Parte de security_result.description quando EventID é 2010 ou 2011. |
Dynamic Signature Type |
security_result.description |
Parte de security_result.description quando EventID é 2010 ou 2011. |
Dynamic Signature Version |
security_result.description |
Parte de security_result.description quando EventID é 2010 ou 2011. |
EmailClusterId |
read_only_udm.additional.fields |
Chave: EmailClusterId, valor: properties.EmailClusterId |
EmailDirection |
network.direction |
Se o valor for Inbound, será definido como INBOUND. Se Outbound, define como OUTBOUND. Caso contrário, será definido como UNKNOWN_DIRECTION. |
EmailLanguage |
read_only_udm.additional.fields |
Chave: EmailLanguage, valor: properties.EmailLanguage |
Engine Version |
security_result.description |
Parte de security_result.description quando EventID é 1011. |
EnforcementMode |
read_only_udm.additional.fields |
Chave: EnforcementMode, valor: properties.EnforcementMode |
Error Code |
security_result.description |
Parte de security_result.description quando EventID é 1117 ou 2001. |
Error Description |
security_result.description |
Parte de security_result.description quando EventID é 1117 ou 2001. |
EventID |
metadata.product_event_type |
Parte de metadata.product_event_type ao analisar syslog/JSON ou XML. |
EventTime |
metadata.event_timestamp |
Analisado para gerar o metadata.event_timestamp. |
ExchangeLocations |
security_result.category_details |
O valor de properties.RawEventData.ExchangeLocations. |
ExternalAccess |
read_only_udm.additional.fields |
Chave: ExternalAccess, valor: properties.RawEventData.ExternalAccess |
FailureReason |
security_result.description |
O valor de properties.FailureReason quando ActionType é LogonFailed. |
FileExtension |
read_only_udm.additional.fields |
Chave: FileExtension, valor: properties.RawEventData.FileExtension |
FileName |
about.file.full_path |
O valor de properties.FileName quando category contém EmailAttachmentInfo. Caso contrário, target.process.file.full_path. |
FileSize |
target.process.file.size |
O valor de properties.FileSize convertido em um número inteiro sem sinal. |
FileSize |
about.file.size |
O valor de properties.FileSize é convertido em um número inteiro não assinado quando category contém EmailAttachmentInfo. |
FileSize |
principal.process.file.size |
O valor de properties.RawEventData.FileSize convertido em um número inteiro sem sinal. |
FileType |
about.file.mime_type |
O valor de properties.FileType quando category contém EmailAttachmentInfo. Caso contrário, target.process.file.mime_type. |
FileType |
read_only_udm.additional.fields |
Chave: FileType, valor: properties.RawEventData.FileType se não estiver vazio ou Unknown. |
FolderPath |
target.file.full_path |
O valor de properties.FolderPath. |
FolderPath |
target.process.file.full_path |
O valor de FolderPath quando ActionType é CreateRemoteThreadApiCall, ExploitGuardNonMicrosoftSignedBlocked, DriverLoad, FileRenamed, OpenProcessApiCall, ReadProcessMemoryApiCall, ImageLoaded ou properties.ActionType é FileCreatedOnNetworkShare. |
Hidden |
read_only_udm.additional.fields |
Chave: Hidden, valor: properties.RawEventData.Hidden |
Hostname |
principal.hostname, principal.asset.hostname |
Usado ao analisar syslog/JSON ou XML. |
IPAddresses |
entity.asset.ip |
O campo IPAddress em cada objeto na matriz IPAddresses, excluindo endereços IPv6 de link local, IPv4 APIPA, loopback IPv6, multicast IPv6 e loopback. |
IPAddress |
principal.ip, principal.asset.ip |
O valor de properties.IPAddress se for um endereço IP válido. |
IPCategory |
read_only_udm.additional.fields |
Chave: IPCategory, valor: properties.IPCategory |
IPTags |
read_only_udm.additional.fields |
Chave: IPTags, valor: properties.IPTags |
ISP |
read_only_udm.additional.fields |
Chave: ISP, valor: properties.ISP |
InitiatingProcessAccountName |
principal.user.userid |
É preenchido quando está presente e properties.AccountName está em branco ou quando ambos estão presentes. |
InitiatingProcessAccountSid |
principal.user.windows_sid |
É preenchido quando está presente e properties.AccountSid está em branco ou quando ambos estão presentes. |
InitiatingProcessAccountUpn |
principal.user.email_addresses |
O valor de properties.InitiatingProcessAccountUpn. |
InitiatingProcessCommandLine |
principal.process.command_line |
O valor de properties.InitiatingProcessCommandLine com aspas removidas. |
InitiatingProcessFileName |
principal.process.file.full_path |
O valor de properties.InitiatingProcessFileName. |
InitiatingProcessFileSize |
principal.process.file.size |
O valor de properties.InitiatingProcessFileSize convertido em um número inteiro sem sinal. |
InitiatingProcessFolderPath |
principal.process.file.full_path |
O valor de properties.InitiatingProcessFolderPath. |
InitiatingProcessId |
principal.process.pid |
O valor de properties.InitiatingProcessId convertido em uma string. |
InitiatingProcessIntegrityLevel |
about.labels, principal.resource.attribute.labels |
Chave: InitiatingProcessIntegrityLevel, valor: properties.InitiatingProcessIntegrityLevel |
InitiatingProcessMD5 |
principal.process.file.md5 |
O valor de properties.InitiatingProcessMD5. |
InitiatingProcessParentFileName |
principal.process.parent_process.file.full_path |
O valor de properties.InitiatingProcessParentFileName. |
InitiatingProcessParentId |
principal.process.parent_process.pid |
O valor de properties.InitiatingProcessParentId convertido em uma string. |
InitiatingProcessSHA1 |
principal.process.file.sha1 |
O valor de properties.InitiatingProcessSHA1. |
InitiatingProcessSHA256 |
principal.process.file.sha256 |
O valor de properties.InitiatingProcessSHA256. |
InitiatingProcessSignatureStatus |
read_only_udm.additional.fields |
Chave: InitiatingProcessSignatureStatus, valor: properties.InitiatingProcessSignatureStatus |
InitiatingProcessSignerType |
read_only_udm.additional.fields |
Chave: InitiatingProcessSignerType, valor: properties.InitiatingProcessSignerType |
InitiatingProcessTokenElevation |
about.labels, principal.resource.attribute.labels |
Chave: InitiatingProcessTokenElevation, valor: properties.InitiatingProcessTokenElevation |
InitiatingProcessVersionInfoCompanyName |
principal.user.company_name |
O valor de properties.InitiatingProcessVersionInfoCompanyName. |
InitiatingProcessVersionInfoFileDescription |
principal.resource.attribute.labels |
Chave: File Description, valor: properties.InitiatingProcessVersionInfoFileDescription |
InitiatingProcessVersionInfoInternalFileName |
principal.resource.attribute.labels |
Chave: File Name, valor: properties.InitiatingProcessVersionInfoInternalFileName |
InitiatingProcessVersionInfoOriginalFileName |
principal.resource.attribute.labels |
Chave: Original File Name, valor: properties.InitiatingProcessVersionInfoOriginalFileName |
InitiatingProcessVersionInfoProductName |
read_only_udm.additional.fields |
Chave: InitiatingProcessVersionInfoProductName, valor: properties.InitiatingProcessVersionInfoProductName |
InitiatingProcessVersionInfoProductVersion |
metadata.product_version |
O valor de properties.InitiatingProcessVersionInfoProductVersion. |
InternetMessageId |
read_only_udm.additional.fields |
Chave: InternetMessageId, valor: properties.InternetMessageId com os colchetes removidos. |
IsAdminOperation |
read_only_udm.additional.fields |
Chave: IsAdminOperation, valor: properties.IsAdminOperation |
IsAnonymousProxy |
read_only_udm.additional.fields |
Chave: IsAnonymousProxy, valor: properties.IsAnonymousProxy |
IsExternalUser |
read_only_udm.additional.fields |
Chave: IsExternalUser, valor: properties.IsExternalUser |
IsImpersonated |
read_only_udm.additional.fields |
Chave: IsImpersonated, valor: properties.IsImpersonated |
IsLocalAdmin |
about.labels, principal.resource.attribute.labels |
Chave: IsLocalAdmin, valor: true ou false, dependendo do valor booleano de properties.IsLocalAdmin. |
LoggedOnUsers |
target.user.userid, entity.relations.entity.user.userid |
O campo UserName em cada objeto na matriz LoggedOnUsers é adicionado como target.user.userid e uma entidade de usuário relacionada. O campo Sid é adicionado como entity.relations.entity.user.windows_sid. |
LocalIP |
principal.ip, principal.asset.ip |
O valor de LocalIP ao analisar JSON. |
LocalPort |
principal.port |
O valor de LocalPort foi convertido em um número inteiro ao analisar JSON. |
LogonType |
extensions.auth.mechanism |
Mapeado para um mecanismo de autenticação do UDM com base no valor. |
LogonType |
read_only_udm.additional.fields |
Chave: LogonType, valor: properties.RawEventData.LogonType |
LogonUserSid |
read_only_udm.additional.fields |
Chave: LogonUserSid, valor: properties.RawEventData.LogonUserSid |
MacAddress |
entity.asset.mac |
O valor de MacAddress ou properties.MacAddress formatado como uma string separada por dois pontos. |
MailboxGuid |
read_only_udm.additional.fields |
Chave: MailboxGuid, valor: properties.RawEventData.MailboxGuid |
MailboxOwnerMasterAccountSid |
read_only_udm.additional.fields |
Chave: MailboxOwnerMasterAccountSid, valor: properties.RawEventData.MailboxOwnerMasterAccountSid |
MailboxOwnerSid |
read_only_udm.additional.fields |
Chave: MailboxOwnerSid, valor: properties.RawEventData.MailboxOwnerSid |
MailboxOwnerUPN |
read_only_udm.additional.fields |
Chave: MailboxOwnerUPN, valor: properties.RawEventData.MailboxOwnerUPN |
MD5 |
target.process.file.md5 |
O valor de properties.MD5. |
Message |
security_result.description |
Parte de security_result.description quando EventID é 1000, 1001, 1002, 1013, 1116, 1117, 2000, 2001, 2002, 2010, 2011 ou 5007. |
NetworkAdapterType |
metadata.product_event_type |
O valor de NetworkAdapterType ao analisar JSON. |
NetworkMessageId |
network.email.mail_id |
O valor de properties.NetworkMessageId. |
New Value |
security_result.description |
Parte de security_result.description quando EventID é 5007. |
Object Name |
read_only_udm.additional.fields |
Chave: ObjectName, valor: properties.ObjectName |
Object Type |
read_only_udm.additional.fields |
Chave: ObjectType, valor: properties.ObjectType |
ObjectId |
read_only_udm.additional.fields |
Chave: ObjectId, valor: properties.ObjectId ou properties.RawEventData.ObjectId. |
Old Value |
security_result.description |
Parte de security_result.description quando EventID é 5007. |
Operation |
read_only_udm.additional.fields |
Chave: Operation, valor: properties.RawEventData.Operation |
operationName |
read_only_udm.additional.fields |
Chave: OperationName, valor: operationName |
OrganizationId |
read_only_udm.additional.fields |
Chave: OrganizationId, valor: properties.RawEventData.OrganizationId |
OrganizationName |
read_only_udm.additional.fields |
Chave: OrganizationName, valor: properties.RawEventData.OrganizationName |
OriginatingServer |
read_only_udm.additional.fields |
Chave: OriginatingServer, valor: properties.RawEventData.OriginatingServer |
OSPlatform |
asset.platform_software.platform |
Se o valor contiver macos, defina platform como MAC. Se windows, define como WINDOWS. Se nix, define como LINUX. |
OSVersion |
asset.platform_software.platform_version |
O valor de properties.OSVersion. |
Path |
target.file.full_path |
Usado quando EventID é 1011 ou 1116. |
Persistence Limit Type |
security_result.description |
Parte de security_result.description quando EventID é 2010 ou 2011. |
Persistence Limit Value |
security_result.description |
Parte de security_result.description quando EventID é 2010 ou 2011. |
Persistence Path |
target.file.full_path |
Usado quando EventID é 2010 ou 2011. |
Previous Engine Version |
security_result.description |
Parte de security_result.description quando EventID é 2000, 2001 ou 2002. |
PreviousRegistryKey |
target.registry.registry_key |
O valor de properties.PreviousRegistryKey. |
PreviousRegistryValueData |
target.resource.attribute.labels |
Chave: PreviousRegistryValueData, valor: properties.PreviousRegistryValueData |
PreviousRegistryValueName |
target.resource.attribute.labels |
Chave: PreviousRegistryValueName, valor: properties.PreviousRegistryValueName |
Previous security intelligence Version |
security_result.description |
Parte de security_result.description quando EventID é 2001. |
Previous Signature Version |
security_result.description |
Parte de security_result.description quando EventID é 2000. |
ProcessCommandLine |
target.process.command_line |
O valor de properties.ProcessCommandLine. |
ProcessID |
principal.process.pid |
Usado ao analisar syslog/JSON ou XML. |
ProcessId |
target.process.pid |
O valor de properties.ProcessId convertido em uma string. |
Process Name |
target.process.pid |
Usado quando EventID é 1116 ou 1117. |
Product Version |
metadata.product_version |
Usado ao analisar syslog/JSON ou XML. |
Protocol |
network.ip_protocol |
Se o valor contiver Tcp, será definido como TCP. Se Udp, define como UDP. Se Icmp, define como ICMP. |
ProviderGuid |
principal.resource.id |
Usado ao analisar syslog/JSON ou XML. |
PublicIP |
principal.ip, principal.asset.ip |
O valor de properties.PublicIP. |
RawEventData.Application |
principal.application |
O valor de properties.RawEventData.Application. |
RawEventData.ClientIP |
principal.ip, principal.asset.ip |
O valor de properties.RawEventData.ClientIP se for um endereço IP válido. |
RawEventData.ClientIPAddress |
principal.ip, principal.asset.ip |
O valor de properties.RawEventData.ClientIPAddress se for um endereço IP válido. |
RawEventData.ClientInfoString |
read_only_udm.additional.fields |
Chave: ClientInfoString, valor: properties.RawEventData.ClientInfoString |
RawEventData.ClientProcessName |
read_only_udm.additional.fields |
Chave: ClientProcessName, valor: properties.RawEventData.ClientProcessName |
RawEventData.ClientRequestId |
read_only_udm.additional.fields |
Chave: ClientRequestId, valor: properties.RawEventData.ClientRequestId |
RawEventData.ClientVersion |
read_only_udm.additional.fields |
Chave: ClientVersion, valor: properties.RawEventData.ClientVersion |
RawEventData.CreationTime |
read_only_udm.additional.fields |
Chave: CreationTime, valor: properties.RawEventData.CreationTime |
RawEventData.DeviceName |
principal.hostname, principal.asset.hostname |
O valor de properties.RawEventData.DeviceName. |
RawEventData.DestinationLocationType |
read_only_udm.additional.fields |
Chave: DestinationLocationType, valor: properties.RawEventData.DestinationLocationType |
RawEventData.ExchangeLocations |
security_result.category_details |
O valor de properties.RawEventData.ExchangeLocations. |
RawEventData.ExternalAccess |
read_only_udm.additional.fields |
Chave: ExternalAccess, valor: properties.RawEventData.ExternalAccess |
RawEventData.FileExtension |
read_only_udm.additional.fields |
Chave: FileExtension, valor: properties.RawEventData.FileExtension |
RawEventData.FileSize |
target.process.file.size |
O valor de properties.RawEventData.FileSize convertido em um número inteiro sem sinal. |
RawEventData.FileType |
read_only_udm.additional.fields |
Chave: FileType, valor: properties.RawEventData.FileType se não estiver vazio ou Unknown. |
RawEventData.Hidden |
read_only_udm.additional.fields |
Chave: Hidden, valor: properties.RawEventData.Hidden |
RawEventData.Id |
read_only_udm.additional.fields |
Chave: RawEventDataId, valor: properties.RawEventData.Id |
RawEventData.Item.Id |
item_idm.read_only_udm.additional.fields |
Chave: RawEventDataItemId, valor: properties.RawEventData.item.id |
RawEventData.LogonType |
read_only_udm.additional.fields |
Chave: LogonType, valor: properties.RawEventData.LogonType |
RawEventData.LogonUserSid |
read_only_udm.additional.fields |
Chave: LogonUserSid, valor: properties.RawEventData.LogonUserSid |
RawEventData.MailboxGuid |
read_only_udm.additional.fields |
Chave: MailboxGuid, valor: properties.RawEventData.MailboxGuid |
RawEventData.MailboxOwnerMasterAccountSid |
read_only_udm.additional.fields |
Chave: MailboxOwnerMasterAccountSid, valor: properties.RawEventData.MailboxOwnerMasterAccountSid |
RawEventData.MailboxOwnerSid |
read_only_udm.additional.fields |
Chave: MailboxOwnerSid, valor: properties.RawEventData.MailboxOwnerSid |
RawEventData.MailboxOwnerUPN |
read_only_udm.additional.fields |
Chave: MailboxOwnerUPN, valor: properties.RawEventData.MailboxOwnerUPN |
RawEventData.MDATPDeviceId |
read_only_udm.additional.fields |
Chave: MDATPDeviceId, valor: properties.RawEventData.MDATPDeviceId |
RawEventData.ObjectId |
read_only_udm.additional.fields |
Chave: ObjectId, valor: properties.RawEventData.ObjectId |
RawEventData.Operation |
read_only_udm.additional.fields |
Chave: Operation, valor: properties.RawEventData.Operation |
RawEventData.OrganizationId |
read_only_udm.additional.fields |
Chave: OrganizationId, valor: properties.RawEventData.OrganizationId |
RawEventData.OrganizationName |
read_only_udm.additional.fields |
Chave: OrganizationName, valor: properties.RawEventData.OrganizationName |
RawEventData.OriginatingServer |
read_only_udm.additional.fields |
Chave: OriginatingServer, valor: properties.RawEventData.OriginatingServer |
RawEventData.ParentFolder.Id |
read_only_udm.additional.fields |
Chave: RawEventDataParentFolderId, valor: properties.RawEventData.ParentFolder.Id |
RawEventData.Pid |
target.process.pid |
O valor de properties.RawEventData.Pid convertido em uma string. |
RawEventData.Query |
read_only_udm.additional.fields |
Chave: Query, valor: properties.RawEventData.Query |
RawEventData.RecordType |
network.dns.questions.type |
O valor de properties.RawEventData.RecordType convertido em um número inteiro sem sinal. |
RawEventData.ResultStatus |
read_only_udm.additional.fields |
Chave: ResultStatus, valor: properties.RawEventData.ResultStatus |
RawEventData.Scope |
read_only_udm.additional.fields |
Chave: Scope, valor: properties.RawEventData.Scope |
RawEventData.SessionId |
network.session_id |
O valor de properties.RawEventData.SessionId. |
RawEventData.Sha1 |
target.process.file.sha1 |
O valor de properties.RawEventData.Sha1. |
RawEventData.Sha256 |
target.process.file.sha256 |
O valor de properties.RawEventData.Sha256. |
RawEventData.TargetDomain |
target.hostname, target.asset.hostname |
O valor de properties.RawEventData.TargetDomain. |
RawEventData.TargetFilePath |
target.file.full_path |
O valor de properties.RawEventData.TargetFilePath. |
RawEventData.UserId |
principal.user.email_addresses |
O valor de properties.RawEventData.UserId se for um endereço de e-mail. |
RawEventData.UserKey |
read_only_udm.additional.fields |
Chave: UserKey, valor: properties.RawEventData.UserKey |
RawEventData.UserType |
read_only_udm.additional.fields |
Chave: UserType, valor: properties.RawEventData.UserType |
RawEventData.Version |
read_only_udm.additional.fields |
Chave: Version, valor: properties.RawEventData.Version |
RawEventData.Workload |
read_only_udm.additional.fields |
Chave: Workload, valor: properties.RawEventData.Workload |
RecipientEmailAddress |
network.email.to, target.user.email_addresses |
O valor de properties.RecipientEmailAddress. |
RecipientObjectId |
target.user.product_object_id |
O valor de properties.RecipientObjectId. |
RegistryKey |
target.registry.registry_key |
O valor de properties.RegistryKey. |
RegistryValueData |
target.registry.registry_value_data |
O valor de properties.RegistryValueData. |
RegistryValueName |
target.registry.registry_value_name |
O valor de properties.RegistryValueName. |
Remediation User |
intermediary.user.userid |
Usado quando EventID é 1117. |
RemoteDeviceName |
target.hostname, target.asset.hostname |
O valor de properties.RemoteDeviceName. |
RemoteIP |
target.ip, target.asset.ip |
O valor de properties.RemoteIP se não estiver vazio, - ou null. |
RemoteIPType |
about.labels, principal.resource.attribute.labels |
Chave: RemoteIPType, valor: properties.RemoteIPType |
RemotePort |
target.port |
O valor de properties.RemotePort convertido em um número inteiro. |
RemoteUrl |
target.url |
O valor de properties.RemoteUrl. Se ele contiver um nome de host, ele será extraído e mapeado para target.hostname e target.asset.hostname. |
Removal Reason Value |
security_result.description |
Parte de security_result.description quando EventID é 2011. |
ReportId |
metadata.product_log_id |
O valor de properties.ReportId convertido em uma string. |
Scan ID |
security_result.description |
Parte de security_result.description quando EventID é 1000, 1001 ou 1002. |
Scan Parameters |
security_result.description |
Parte de security_result.description quando EventID é 1000, 1001 ou 1002. |
Scan Resources |
target.file.full_path |
Usado quando EventID é 1000. |
Scan Time Hours |
security_result.description |
Parte de security_result.description quando EventID é 1001. |
Scan Time Minutes |
security_result.description |
Parte de security_result.description quando EventID é 1001. |
Scan Time Seconds |
security_result.description |
Parte de security_result.description quando EventID é 1001. |
Scan Type |
security_result.description |
Parte de security_result.description quando EventID é 1000, 1001 ou 1002. |
Security intelligence Type |
security_result.description |
Parte de security_result.description quando EventID é 2001. |
Security intelligence Version |
security_result.description |
Parte de security_result.description quando EventID é 1011. |
SenderDisplayName |
principal.user.user_display_name |
O valor de properties.SenderDisplayName. |
SenderFromAddress |
network.email.from, principal.user.email_addresses |
O valor de properties.SenderFromAddress. |
SenderFromDomain |
principal.administrative_domain |
O valor de properties.SenderFromDomain. |
SenderIPv4 |
principal.ip, principal.asset.ip |
O valor de properties.SenderIPv4. |
SenderIPv6 |
principal.ip, principal.asset.ip |
O valor de properties.SenderIPv6. |
SenderMailFromAddress |
principal.user.attribute.labels |
Chave: SenderMailFromAddress, valor: properties.SenderMailFromAddress |
SenderMailFromDomain |
principal.user.attribute.labels |
Chave: SenderMailFromDomain, valor: properties.SenderMailFromDomain |
SenderObjectId |
principal.user.product_object_id |
O valor de properties.SenderObjectId. |
Severity Name |
security_result.severity |
Se o valor for Low, será definido como LOW. Se Moderate, define como MEDIUM. Se High ou Severe, define como HIGH. |
Severity |
security_result.severity |
Se o valor contiver informational, será definido como INFORMATIONAL. Se low, define como LOW. Se medium, define como MEDIUM. Se high, define como HIGH. Caso contrário, será definido como UNKNOWN_SEVERITY. |
Severity |
security_result.severity_details |
O valor de properties.Severity. |
SHA1 |
target.process.file.sha1 |
O valor de properties.SHA1. |
SHA256 |
target.process.file.sha256 |
O valor de properties.SHA256. |
SHA256 |
about.file.sha256 |
O valor de properties.SHA256 quando category contém EmailAttachmentInfo. |
Signature Type |
security_result.description |
Parte de security_result.description quando EventID é 2000 ou 2010. |
SourceModuleName |
target.resource.name |
Usado quando EventID é 2008. |
Source Path |
security_result.description |
Parte de security_result.description quando EventID é 2001. |
Subject |
network.email.subject |
O valor de properties.Subject. |
Tenant |
read_only_udm.additional.fields |
Chave: Tenant, valor: Tenant |
tenantId |
observer.cloud.project.id, target.resource_ancestors.product_object_id |
O valor de tenantId ou properties.tenantId. |
Threat ID |
security_result.threat_name |
Parte de security_result.threat_name quando EventID é 1011 ou 1116. |
ThreatNames |
security_result.threat_name |
O valor de properties.ThreatNames. |
Threat Types |
security_result.category |
Se o valor for Phish, security_result_category será definido como MAIL_PHISHING. Caso contrário, será definido como UNKNOWN_CATEGORY. |
Timestamp |
security_result.description |
Parte de security_result.description quando EventID é 1013. |
Timestamp |
metadata.event_timestamp |
Analisado para gerar o metadata.event_timestamp. |
Timestamp |
entity.asset.system_last_update_time |
O valor de properties.Timestamp quando category é AdvancedHunting-DeviceNetworkInfo. |
Title |
security_result.threat_name |
O valor de properties.Title. |
Update Source |
security_result.description |
Parte de security_result.description quando EventID é 2001. |
Update State |
security_result.description |
Parte de security_result.description quando EventID é 2001. |
Update Type |
security_result.description |
Parte de security_result.description quando EventID é 2000 ou 2001. |
UserAgent |
network.http.user_agent |
O valor de properties.UserAgent. |
UserAgentTags |
additional.fields |
Cada elemento na matriz properties.UserAgentTags é adicionado como um rótulo com a chave UserAgentTags. |
Url |
target.url |
O valor de properties.Url. |
UrlCount |
read_only_udm.additional.fields |
Chave: UrlCount, valor: properties.UrlCount |
UrlDomain |
target.hostname, target.asset.hostname |
O valor de properties.UrlDomain. |
UrlLocation |
read_only_udm.additional.fields |
Chave: UrlLocation, valor: properties.UrlLocation |
User |
target.user.userid |
Usado quando EventID é 1000, 1001, 1002, 1011, 1013, 2000, 2002 ou quando Message contém \tUser:. |
UserID |
principal.user.userid |
Usado quando EventID é 2010 ou 2011. |
| (Parser Logic) | metadata.event_type |
Inicialmente, é definido como GENERIC_EVENT e, em seguida, é substituído com base em outros campos e lógica. Os valores comuns incluem NETWORK_CONNECTION, PROCESS_LAUNCH, FILE_CREATION, FILE_MODIFICATION, USER_LOGIN, SCAN_HOST, SCAN_PROCESS, SYSTEM_AUDIT_LOG_WIPE, SETTING_MODIFICATION, FILE_DELETION, PROCESS_MODULE_LOAD, PROCESS_UNCATEGORIZED, STATUS_UPDATE, PROCESS_OPEN, NETWORK_DNS, FILE_MOVE, REGISTRY_CREATION, REGISTRY_DELETION, REGISTRY_MODIFICATION, SCHEDULED_TASK_CREATION, SCHEDULED_TASK_DELETION, SCHEDULED_TASK_MODIFICATION, SCAN_NETWORK, USER_UNCATEGORIZED. |
| (Parser Logic) | metadata.vendor_name |
Defina como Microsoft. |
| (Parser Logic) | metadata.product_name |
Inicialmente definido como Windows Defender ATP, depois potencialmente substituído pelo campo category. |
| (Parser Logic) | metadata.product_event_type |
Inicialmente, é definido como GENERIC_EVENT e, em seguida, é substituído com base em outros campos e lógica. |
| (Parser Logic) | metadata.product_version |
Defina com base em Product Version ou properties.InitiatingProcessVersionInfoProductVersion. |
| (Parser Logic) | metadata.log_type |
Defina como WINDOWS_DEFENDER_ATP. |
| (Parser Logic) | principal.resource.type |
Definido como PROVIDER ao analisar syslog/JSON ou XML. |
| (Parser Logic) | target.resource_ancestors |
Contém um único ancestral com product_object_id definido como tenantId. |
| (Parser Logic) | security_result.summary |
Defina com base em EventID, properties.ActionType ou properties.Title e properties.Category. |
| (Parser Logic) | security_result.description |
Construído a partir de vários campos, dependendo do EventID ou properties.ActionType. |
| (Parser Logic) | security_result.action |
Inicialmente definido como ALLOW, depois potencialmente substituído com base em AdditionalFields.WasRemediated, ActionType ou Action Name. |
| (Parser Logic) | security_result.severity |
Defina com base em Severity Name ou properties.Severity. |
| (Parser Logic) | security_result.category |
Definido com base em Threat Types. |
| (Parser Logic) | network.direction |
Defina com base em RemoteIP, LocalIP ou EmailDirection. |
| (Parser Logic) | network.ip_protocol |
Definido como TCP quando metadata.event_type é NETWORK_CONNECTION. |
| (Parser Logic) | network.session_id |
Definido com base em properties.RawEventData.SessionId. |
| (Parser Logic) | network.http.user_agent |
Definido com base em properties.UserAgent. |
| (Parser Logic) | network.email.mail_id |
Definido com base em properties.NetworkMessageId. |
| (Parser Logic) | network.email.subject |
Definido com base em properties.Subject. |
| (Parser Logic) | network.email.from |
Definido com base em properties.SenderFromAddress. |
| (Parser Logic) | network.email.to |
Definido com base em properties.RecipientEmailAddress. |
| (Parser Logic) | network.dns.questions.name |
Definido com base em AdditionalFields.DnsQueryString. |
| (Parser Logic) | network.dns.questions.type |
Definido com base em properties.RawEventData.RecordType. |
| (Parser Logic) | network.dns.answers |
Criada com AdditionalFields.DnsQueryResult. |
| (Parser Logic) | extensions.auth.type |
Defina como MACHINE quando ActionType for LogonAttempted ou LogonSuccess. |
| (Parser Logic) | extensions.auth.mechanism |
Defina com base em LogonType ou AdditionalFields.IsLocalLogon. |
| (Parser Logic) | extensions.auth.auth_details |
Definido com base em properties.AuthenticationDetails. |
| (Parser Logic) | entity.asset.asset_id |
Construído usando WINDOWS: + DeviceId ou properties.DeviceId. |
| (Parser Logic) | entity.asset.product_object_id |
Defina como DeviceId ou properties.DeviceId. |
| (Parser Logic) | entity.asset.network_domain |
Extraídos de ConnectedNetworks. |
| (Parser Logic) | entity.asset.ip |
Defina com base em IPAddresses, _ipaddress, PublicIP ou LocalIP. |
| (Parser Logic) | entity.asset.mac |
Defina com base em MacAddress ou properties.MacAddress. |
| (Parser Logic) | entity.asset.hostname |
Defina com base em DeviceName ou properties.DeviceName. |
| (Parser Logic) | entity.asset.platform_software.platform |
Definido com base em OSPlatform. |
| (Parser Logic) | entity.asset.platform_software.platform_version |
Definido com base em OSVersion. |
| (Parser Logic) | entity.asset.category |
Definido com base em DeviceCategory. |
| (Parser Logic) | entity.asset.type |
Definido como WORKSTATION para eventos de informações de dispositivo e de rede. |
| (Parser Logic) | entity.asset.system_last_update_time |
Definido com base em properties.Timestamp para eventos de informações de rede. |
| (Parser Logic) | entity.relations |
Criada com LoggedOnUsers. |
| (Parser Logic) | entity.metadata.entity_type |
Defina como ASSET para eventos de dispositivo, rede e recurso. |
| (Parser Logic) | about.labels |
Contém rótulos para vários campos que não se encaixam diretamente no esquema da UDM. |
| (Parser Logic) | principal.user.attribute.labels |
Contém rótulos para vários campos relacionados ao usuário. |
| (Parser Logic) | principal.resource.attribute.labels |
Contém rótulos para vários campos relacionados a recursos. |
| (Parser Logic) | target.resource.resource_type |
Defina como TASK para eventos de tarefas programadas e SETTING para eventos de modificação de configuração. |
| (Parser Logic) | target.resource.name |
Defina com base em SourceModuleName, AdditionalFields.TaskName ou _taskname. |
| (Parser Logic) | target.resource.product_object_id |
Definido com base em properties.ReportId. |
| (Parser Logic) | target.resource_ancestors |
Definido com base em tenantId. |
| (Parser Logic) | target.registry.registry_key |
Defina com base em RegistryKey, PreviousRegistryKey ou properties.RegistryKey. |
| (Parser Logic) | target.registry.registry_value_name |
Defina com base em RegistryValueName ou properties.RegistryValueName. |
| (Parser Logic) | target.registry.registry_value_data |
Defina com base em RegistryValueData ou properties.RegistryValueData. |
| (Parser Logic) | intermediary.user.userid |
Definido com base em Remediation User. |
| (Parser Logic) | metadata.collected_timestamp |
É o carimbo de data/hora do evento para eventos de recurso e de informações de rede. |
Alterações
2024-10-15
Melhoria:
- Foi adicionado suporte para analisar o campo
ReportIdcorretamente.
2024-06-20
Melhoria:
- Adição de suporte a registros quando
security_result.summaryéFileUploadedToCloud
2024-05-28
Melhoria:
properties.Applicationfoi mapeado paraprincipal.application.properties.AccountDisplayNamefoi mapeado paraprincipal.user.user_display_name.properties.AccountIdfoi mapeado paraprincipal.user.product_object_id.properties.AccountTypefoi mapeado paraprincipal.user.attribute.labels.properties.UserAgentfoi mapeado paranetwork.http.user_agent.- Mapeou
properties.RawEventData.Id,properties.RawEventData.item.id,properties.RawEventData.ParentFolder.Id,properties.AppInstanceId,properties.ActivityType,properties.ActivityObjects,properties.ApplicationId,properties.DeviceType,properties.EnforcementMode,properties.IsAnonymousProxy,properties.IsAdminOperation,properties.IsExternalUser,properties.IsImpersonated,properties.RawEventData.MDATPDeviceId,properties.AdditionalFields.IsSatelliteProvider,properties.RawEventData.DestinationLocationType,properties.RawEventData.CreationTime,properties.RawEventData.FileExtension,properties.RawEventData.Hidden,properties.RawEventData.FileType,properties.IPCategory,properties.ISP,properties.IPTags,properties.RawEventData.UserType,properties.RawEventData.Versioneproperties.RawEventData.Workload,properties.UserAgentTags,operationName,properties.ObjectType,properties.RawEventData.Operation,properties.ObjectName,properties.RawEventData.Scope,properties.RawEventData.ClientProcessName,properties.RawEventData.ClientInfoString,properties.RawEventData.ClientRequestId,properties.RawEventData.ClientVersion,properties.RawEventData.ExternalAccess,properties.RawEventData.LogonType,properties.RawEventData.LogonUserSid,properties.RawEventData.MailboxGuideproperties.RawEventData.UserKeyparaadditional.fields. properties.RawEventData.ClientIPeproperties.IPAddressforam mapeados paraprincipal.ipeprincipal.asset.ip.- Mapeou
properties.RawEventData.DeviceNameparaprincipal.hostnameeprincipal.asset.hostname. - Mapeou
metadata.event_typeparaFILE_CREATIONquandoproperties.ActionTypeéFolderBind.
2024-04-02
properties.AccountObjectIdfoi mapeado paraprincipal.user.userid.properties.CountryCodefoi mapeado paraprincipal.location.country_or_region.properties.Cityfoi mapeado paraprincipal.location.city.properties.RawEventData.Applicationfoi mapeado paraprincipal.application.properties.RawEventData.TargetFilePathfoi mapeado paratarget.file.full_path.properties.IPAddressfoi mapeado paraprincipal.ip.- Mapeamento de
properties.RawEventData.DeviceNameparaprincipal.hostnameeprincipal.asset.hostname. properties.AccountDisplayNamefoi mapeado paraprincipal.user.user_display_name.properties.ApplicationIdfoi mapeado paraadditional.fields.properties.RawEventData.FileExtensionfoi mapeado paraadditional.fields.properties.RawEventData.MDATPDeviceIdfoi mapeado paraadditional.fields.properties.RawEventData.FileTypefoi mapeado paraadditional.fields.properties.RawEventData.Sha1foi mapeado paratarget.process.file.sha1.properties.RawEventData.Sha256foi mapeado paratarget.process.file.sha256.properties.RawEventData.FileSizefoi mapeado paratarget.process.file.size.- Mapeou
metadata.event_typeparaFILE_CREATIONquandoproperties.ActionTypeéFileCreatedOnNetworkShare.
2024-03-05
- Mapeamos
metadata.entity_typeparaASSETem registros com informações de recursos. properties.DeviceIdfoi mapeado paraentity.asset.asset_id.
2023-12-08
Correção de bugs:
- Correção do mapeamento de
properties.InitiatingProcessFolderPathparaprincipal.process.file.full_path.
2023-11-25
Melhoria:
- Mapeamento de
AdditionalFieldseproperties.AdditionalFieldsparaprincipal.resource.attribute.labels. tenantIdfoi mapeado pararesource_ancestors.product_object_id.
2023-10-12
Melhoria:
- A grafia foi corrigida de
FileUploadedCloudparaFileUploadedToCloudao verificar o valorproperties.ActionType. properties.IPAddressfoi mapeado paraprincipal.ip.properties.RawEventData.Sha1foi mapeado paraprincipal.process.file.sha1.properties.RawEventData.Sha256foi mapeado paraprincipal.process.file.sha256.properties.RawEventData.FileSizefoi mapeado paraprincipal.process.file.size.- Foi adicionada uma verificação de validação a
properties.SenderFromAddresseproperties.RawEventData.UserIdantes do mapeamento para campos do UDM.
2023-10-09
Melhoria:
- O mapeamento de "properties.ObjectId" para "additional.fields" foi feito.
- O elemento "properties.RawEventData.Pid" foi mapeado para "target.process.pid".
- Adição de uma condição para o tipo de ação
Delete NetworkSecurityGroupspara registros com falha. - Adição de regex para analisar o campo
properties.SenderFromAddress.
2023-09-20
Melhoria:
- O mapeamento de "properties.RegistryValueData" para "target.registry.registry_value_data".
- O elemento "properties.RegistryValueName" foi mapeado para "target.registry.registry_value_name".
- Mapeou "properties.PreviousRegistryValueName" para
target.resource.attribute.labelsquandoproperties.RegistryValueNametambém estava presente. - Mapeou "properties.PreviousRegistryValueData" para
target.resource.attribute.labelsquandoproperties.RegistryValueDatatambém estava presente.
2023-09-04
Melhoria:
- O mapeamento de "properties.RegistryValueData" para "target.registry.registry_value_data".
- O elemento "properties.RegistryValueName" foi mapeado para "target.registry.registry_value_name".
- Mapeou "properties.PreviousRegistryValueName" para
target.resource.attribute.labelsquandoproperties.RegistryValueNametambém estava presente. - Mapeou "properties.PreviousRegistryValueData" para
target.resource.attribute.labelsquandoproperties.RegistryValueDatatambém estava presente. - Para "properties.ActionType" em
SearchPreviewed,FileUploadedCloud, os seguintes campos foram mapeados: - "properties.ApplicationId" mapeado para "additional.fields".
- "properties.AccountDisplayName" mapeado para "principal.user.user_display_name".
- "properties.AccountObjectId" mapeado para "principal.user.userid".
- "properties.RawEventData.UserId" mapeado para "principal.user.email_addresses".
- "properties.RawEventData.ObjectId" mapeado para "additional.fields".
- "properties.RawEventData.ExchangeLocations" mapeado para "security_result.category_details".
- "properties.RawEventData.TargetDomain" mapeado para "target.hostname".
- "properties.RawEventData.Query" mapeado para "additional.fields".
- Campos adicionais mapeados para "AdvancedHunting-DeviceProcessEvents":
- "properties.InitiatingProcessSignerType" mapeado para "additional.fields".
- "properties.InitiatingProcessSignatureStatus" mapeado para "additional.fields".
- "properties.ProcessVersionInfoProductName" mapeado para "additional.fields".
- "properties.InitiatingProcessVersionInfoProductName" mapeado para "additional.fields".
- "properties.ProcessVersionInfoCompanyName" mapeado para "principal.user.company_name".
2023-06-06
Melhoria:
properties.Urlfoi mapeado paratarget.url.properties.UrlDomainfoi mapeado paratarget.hostname.properties.UrlLocationfoi mapeado paraadditional.fields.
2023-03-01
Melhoria:
properties.InitiatingProcessVersionInfoCompanyNamefoi mapeado paraprincipal.user.company_name.properties.InitiatingProcessVersionInfoProductVersionfoi mapeado parametadata.product_version.properties.InitiatingProcessVersionInfoInternalFileNamefoi mapeado paraprincipal.resource.attribute.labels.properties.InitiatingProcessVersionInfoOriginalFileNamefoi mapeado paraprincipal.resource.attribute.labels.properties.properties.InitiatingProcessVersionInfoFileDescriptionfoi mapeado paraprincipal.resource.attribute.labels.properties.AlertIdfoi mapeado parametadata.product_log_id.- Foi adicionada uma verificação de condição de expressão regular para o campo
properties.InitiatingProcessAccountUpn. - Foi adicionada uma verificação on_error para o bloco
target.hostname.
2022-12-20
Correção de bugs:
- Adição de verificação on_error para
properties.AdditionalFieldspara reduzir a instabilidade. - Foi adicionada uma condição para o tipo de ação
Write NetworkSecurityGroups,Edit NetworkSecurityGroupseFileModifiedExtendedpara registros com falhas.
2022-10-20
Melhoria:
properties.ReportIdfoi mapeado paratarget.resource.product_object_id.properties.DeviceIdfoi mapeado paraprincipal.asset_id.
2022-09-20
Melhoria:
- Fusão de analisadores específicos do cliente no padrão.
2022-07-29
Melhoria:
- Analisou os registros com EventID:-
2006,2004,2033,2005,2008,0. - Adição de suporte a novos registros de formato JSON não analisados anteriormente.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.