收集 Microsoft Windows Defender ATP 日志
支持的平台:
Google SecOps
SIEM
本文档介绍了如何使用 Azure 存储账号将 Microsoft Windows Defender ATP 日志收集到 Google 安全运营中心。此解析器可处理采用 SYSLOG、XML 和 JSON 格式的 Windows Defender ATP 日志。它会将这些格式的各种字段标准化为统一的结构,提取事件详情、用户数据、进程信息、网络活动和安全结果等关键信息,并将其映射到 UDM。解析器还会根据 EventID 和 ActionType 执行条件逻辑,对事件进行分类,并使用与每种事件类型相关的具体详细信息丰富 UDM。
准备工作
- 确保您拥有 Google SecOps 实例。
- 确保您拥有有效的 Azure 订阅。
- 确保您拥有“全局管理员”或“Microsoft Defender 高级威胁猎捕”角色。
- 登录您的 Azure 租户,依次前往订阅 > 您的订阅 > 资源提供方 > 注册 Microsoft.Insights。
配置 Azure 存储账号
- 在 Azure 控制台中,搜索“存储账号”。
- 点击创建。
- 为以下输入参数指定值:
- 订阅:选择相应订阅。
- 资源组:选择资源组。
- 地区:选择区域。
- 效果:选择效果(推荐“标准”)。
- 冗余:选择冗余级别(建议使用 GRS 或 LRS)。
- 存储账号名称:输入新存储账号的名称。
- 点击 Review + create(检查 + 创建)。
- 查看账号概览,然后点击创建。
- 在存储账号概览页面上,选择安全 + 网络中的子菜单 Access keys(访问密钥)。
- 点击 key1 或 key2 旁边的显示
- 点击复制到剪贴板以复制密钥。
- 将密钥保存在安全的位置,以备日后使用。
- 在存储空间账号概览页面中,选择设置中的子菜单 Endpoints。
- 点击复制到剪贴板,复制 Blob 服务端点网址;例如
https://<storageaccountname>.blob.core.windows.net。 - 将端点网址保存在安全的位置,以备日后使用。
配置 Windows Defender 高级威胁搜寻日志导出
- 以全局管理员或安全管理员身份登录 security.microsoft.com。
- 依次选择设置 > Microsoft Defender XDR。
- 选择 Streaming API。
- 点击添加。
- 选择将事件转发到 Azure Storage。
- 前往之前创建的存储账号。
- 复制资源 ID,然后将其输入存储分区账号资源 ID。
- 选择所有事件类型。
- 点击保存。
在 Google SecOps 中配置 Feed 以注入 Windows Defender Advanced Threat Hunting 日志
- 依次前往 SIEM 设置 > Feed。
- 点击新增。
- 在Feed 名称字段中,输入 Feed 的名称;例如
Defender ATP Logs。 - 选择 Microsoft Azure Blob Storage 作为来源类型。
- 选择 Windows Defender ATP 作为日志类型。
- 点击下一步。
为以下输入参数指定值:
- Azure URI:Blob 端点网址。
ENDPOINT_URL/BLOB_NAME- 替换以下内容:
ENDPOINT_URL:blob 端点网址 (https://<storageaccountname>.blob.core.windows.net)。BLOB_NAME:blob 的名称;例如<logname>-logs。
- URI 是:根据日志流配置(单个文件 | 目录 | 包含子目录的目录)选择 URI_TYPE。
来源删除选项:根据您的偏好选择删除选项。
共享密钥:Azure Blob Storage 的访问密钥。
资源命名空间:资源命名空间。
提取标签:要应用于此 Feed 中的事件的标签。
- Azure URI:Blob 端点网址。
点击下一步。
在最终确定界面中查看新的 Feed 配置,然后点击提交。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
AccountName |
target.user.userid |
当 properties.AccountName 存在且 properties.InitiatingProcessAccountName 为空时填充。 |
AccountSid |
target.user.windows_sid |
当存在 properties.AccountSid 时填充。 |
AccountType |
principal.user.attribute.labels |
键:AccountType,值:properties.AccountType |
Action |
security_result.action_details |
properties.Action 的值。 |
Action |
security_result.action |
如果 properties.Action 包含 quarantine,则该值为 QUARANTINE。 |
Action Name |
security_result.description |
当 EventID 为 1117 时,security_result.description 的一部分。 |
AdditionalFields |
about.labels,principal.resource.attribute.labels |
键:AdditionalFields,值:properties.AdditionalFields(如果解析为 JSON,则为 AdditionalFields)。properties.AdditionalFields(如果解析为 JSON,则为 AdditionalFields2)中的各个键值对也会添加为标签。 |
AdditionalFields.ClientMachine |
principal.resource.attribute.labels |
键:ClientMachine,值:_AdditionalFields.ClientMachine |
AdditionalFields.Command |
target.process.command_line |
在 ActionType 为 PowerShellCommand 时使用。 |
AdditionalFields.Count |
read_only_udm.additional.fields |
键:Count,值:properties.AdditionalFields.Count |
AdditionalFields.DesiredAccess |
principal.resource.attribute.labels |
键:DesiredAccess,值:_AdditionalFields.DesiredAccess |
AdditionalFields.DnsQueryString |
network.dns.questions.name |
在 ActionType 为 DnsQueryResponse 时使用。 |
AdditionalFields.DnsQueryResult |
network.dns.answers |
在循环中解析,以提取 DNS 响应。Result 变为 name,DnsQueryType 则映射到数字 type。 |
AdditionalFields.Experience |
security_result.threat_name |
当 properties.ActionType 包含 SmartScreen 时使用。 |
AdditionalFields.FileOperation |
principal.resource.attribute.labels |
键:FileOperation,值:_AdditionalFields.FileOperation |
AdditionalFields.InitiatingProcess |
principal.resource.attribute.labels |
键:InitiatingProcess,值:_AdditionalFields.InitiatingProcess |
AdditionalFields.IsAudit |
principal.resource.attribute.labels |
键:IsAudit,值:_AdditionalFields.IsAudit |
AdditionalFields.IsLocalLogon |
extensions.auth.mechanism |
如果值为 true,则将 auth_mechanism 设置为 LOCAL。如果为 false,则设置为 REMOTE。 |
AdditionalFields.IsRemoteMachine |
principal.resource.attribute.labels |
键:IsRemoteMachine,值:_AdditionalFields.IsRemoteMachine |
AdditionalFields.NamedPipeEnd |
principal.resource.attribute.labels |
键:NamedPipeEnd,值:_AdditionalFields.NamedPipeEnd |
AdditionalFields.PipeName |
principal.resource.attribute.labels |
键:PipeName,值:_AdditionalFields.PipeName |
AdditionalFields.RemoteClientsAccess |
principal.resource.attribute.labels |
键:RemoteClientsAccess,值:_AdditionalFields.RemoteClientsAccess |
AdditionalFields.SessionId |
principal.resource.attribute.labels |
键:SessionId,值:_AdditionalFields.SessionId |
AdditionalFields.SignatureName |
security_result.rule_id |
在 properties.ActionType 为 AntivirusDetection 时使用。 |
AdditionalFields.TaskName |
target.resource.name |
当 properties.ActionType 包含 Scheduled 时使用。 |
AdditionalFields.ThreatName |
security_result.threat_name |
在 properties.ActionType 为 AntivirusDetection 时使用。 |
AdditionalFields.ThreadId |
principal.resource.attribute.labels |
键:ThreadId,值:_AdditionalFields.ThreadId |
AdditionalFields.TokenModificationProperties |
principal.resource.attribute.labels |
键:TokenModificationProperties,值:_AdditionalFields.TokenModificationProperties |
AdditionalFields.TotalBytesCopied |
principal.resource.attribute.labels |
键:TotalBytesCopied,值:_AdditionalFields.TotalBytesCopied |
AdditionalFields.WasExecutingWhileDetected |
about.labels,principal.resource.attribute.labels |
键:WasExecutingWhileDetected,值:_AdditionalFields.WasExecutingWhileDetected |
AdditionalFields.WasRemediated |
security_result.action |
如果值为 true,则将 sr_action 设置为 BLOCK。如果为 false,则设置为 ALLOW。 |
AppGuardContainerId ApplicationId |
read_only_udm.additional.fields |
键:ApplicationId,值:properties.ApplicationId |
category |
metadata.product_name |
category 的值。 |
category |
metadata.product_event_type |
移除了 AdvancedHunting- 后的 category 值。 |
City |
principal.location.city |
properties.City 的值。 |
ClientIP |
principal.ip,principal.asset.ip |
properties.RawEventData.ClientIP 的值(如果它是有效的 IP 地址)。 |
ClientIPAddress |
principal.ip,principal.asset.ip |
properties.RawEventData.ClientIPAddress 的值(如果它是有效的 IP 地址)。 |
ClientInfoString |
read_only_udm.additional.fields |
键:ClientInfoString,值:properties.RawEventData.ClientInfoString |
ClientProcessName |
read_only_udm.additional.fields |
键:ClientProcessName,值:properties.RawEventData.ClientProcessName |
ClientRequestId |
read_only_udm.additional.fields |
键:ClientRequestId,值:properties.RawEventData.ClientRequestId |
ClientVersion |
read_only_udm.additional.fields |
键:ClientVersion,值:properties.RawEventData.ClientVersion |
ConnectedNetworks |
entity.asset.network_domain |
ConnectedNetworks 中的 Name 字段(如果存在)。 |
CountryCode |
principal.location.country_or_region |
properties.CountryCode 的值。 |
CreationTime |
read_only_udm.additional.fields |
键:CreationTime,值:properties.RawEventData.CreationTime |
Current Engine Version |
security_result.description |
EventID 为 2000 时,security_result.description 的一部分。 |
Current Signature Version |
security_result.description |
EventID 为 2000 时,security_result.description 的一部分。 |
DeliveryAction |
read_only_udm.additional.fields |
键:DeliveryAction,值:properties.DeliveryAction |
DeliveryAction |
security_result.action |
如果 properties.DeliveryAction 包含 Blocked,则该值为 BLOCK。 |
DeliveryLocation |
read_only_udm.additional.fields |
键:DeliveryLocation,值:properties.DeliveryLocation |
DestinationLocationType |
read_only_udm.additional.fields |
键:DestinationLocationType,值:properties.RawEventData.DestinationLocationType |
DetectionMethods |
security_result.rule_name,security_result.detection_fields |
移除引号后,properties.DetectionMethods 的值变为 rule_name 和 detection_fields(键:Detection Method)。 |
Detection User |
principal.user.userid |
当 EventID 为 1116 或 1117 时使用。 |
DeviceCategory |
entity.asset.category |
properties.DeviceCategory 的值。 |
DeviceId |
principal.asset_id |
解析 syslog/JSON 或 XML 时,使用 WINDOWS_DEFENDER: + DeviceId。解析 JSON 时出现 DeviceId: + properties.DeviceId。 |
DeviceName |
principal.hostname,principal.asset.hostname |
解析 syslog/JSON 或 XML 时出现 DeviceName。解析 JSON 时出现 properties.DeviceName。properties.RawEventData.DeviceName(如果存在)。 |
DeviceType |
read_only_udm.additional.fields |
键:DeviceType,值:properties.DeviceType |
Domain |
principal.administrative_domain |
用于解析 syslog/JSON 或 XML。 |
Dynamic Signature Compilation Timestamp |
security_result.description |
当 EventID 为 2010 或 2011 时,security_result.description 的一部分。 |
Dynamic Signature Type |
security_result.description |
当 EventID 为 2010 或 2011 时,security_result.description 的一部分。 |
Dynamic Signature Version |
security_result.description |
当 EventID 为 2010 或 2011 时,security_result.description 的一部分。 |
EmailClusterId |
read_only_udm.additional.fields |
键:EmailClusterId,值:properties.EmailClusterId |
EmailDirection |
network.direction |
如果值为 Inbound,则设置为 INBOUND。如果为 Outbound,则设置为 OUTBOUND。否则,设置为 UNKNOWN_DIRECTION。 |
EmailLanguage |
read_only_udm.additional.fields |
键:EmailLanguage,值:properties.EmailLanguage |
Engine Version |
security_result.description |
EventID 为 1011 时的 security_result.description 的一部分。 |
EnforcementMode |
read_only_udm.additional.fields |
键:EnforcementMode,值:properties.EnforcementMode |
Error Code |
security_result.description |
当 EventID 为 1117 或 2001 时,security_result.description 的一部分。 |
Error Description |
security_result.description |
当 EventID 为 1117 或 2001 时,security_result.description 的一部分。 |
EventID |
metadata.product_event_type |
解析 syslog/JSON 或 XML 时,是 metadata.product_event_type 的一部分。 |
EventTime |
metadata.event_timestamp |
会被解析以生成 metadata.event_timestamp。 |
ExchangeLocations |
security_result.category_details |
properties.RawEventData.ExchangeLocations 的值。 |
ExternalAccess |
read_only_udm.additional.fields |
键:ExternalAccess,值:properties.RawEventData.ExternalAccess |
FailureReason |
security_result.description |
ActionType 为 LogonFailed 时 properties.FailureReason 的值。 |
FileExtension |
read_only_udm.additional.fields |
键:FileExtension,值:properties.RawEventData.FileExtension |
FileName |
about.file.full_path |
当 category 包含 EmailAttachmentInfo 时,properties.FileName 的值。否则,target.process.file.full_path。 |
FileSize |
target.process.file.size |
转换为无符号整数的 properties.FileSize 值。 |
FileSize |
about.file.size |
当 category 包含 EmailAttachmentInfo 时,properties.FileSize 的值转换为无符号整数。 |
FileSize |
principal.process.file.size |
转换为无符号整数的 properties.RawEventData.FileSize 值。 |
FileType |
about.file.mime_type |
当 category 包含 EmailAttachmentInfo 时,properties.FileType 的值。否则,target.process.file.mime_type。 |
FileType |
read_only_udm.additional.fields |
键:FileType,值:如果不为空则为 properties.RawEventData.FileType,否则为 Unknown。 |
FolderPath |
target.file.full_path |
properties.FolderPath 的值。 |
FolderPath |
target.process.file.full_path |
当 ActionType 为 CreateRemoteThreadApiCall、ExploitGuardNonMicrosoftSignedBlocked、DriverLoad、FileRenamed、OpenProcessApiCall、ReadProcessMemoryApiCall、ImageLoaded 或 properties.ActionType 时,FolderPath 的值为 FileCreatedOnNetworkShare。 |
Hidden |
read_only_udm.additional.fields |
键:Hidden,值:properties.RawEventData.Hidden |
Hostname |
principal.hostname,principal.asset.hostname |
用于解析 syslog/JSON 或 XML。 |
IPAddresses |
entity.asset.ip |
IPAddresses 数组中每个对象内的 IPAddress 字段,不包括 IPv6 链路本地、IPv4 APIPA、IPv6 环回、IPv6 多播和环回地址。 |
IPAddress |
principal.ip,principal.asset.ip |
properties.IPAddress 的值(如果它是有效的 IP 地址)。 |
IPCategory |
read_only_udm.additional.fields |
键:IPCategory,值:properties.IPCategory |
IPTags |
read_only_udm.additional.fields |
键:IPTags,值:properties.IPTags |
ISP |
read_only_udm.additional.fields |
键:ISP,值:properties.ISP |
InitiatingProcessAccountName |
principal.user.userid |
如果存在且 properties.AccountName 为空白,或者同时存在这两者,则填充此属性。 |
InitiatingProcessAccountSid |
principal.user.windows_sid |
如果存在且 properties.AccountSid 为空白,或者同时存在这两者,则填充此属性。 |
InitiatingProcessAccountUpn |
principal.user.email_addresses |
properties.InitiatingProcessAccountUpn 的值。 |
InitiatingProcessCommandLine |
principal.process.command_line |
移除了引号的 properties.InitiatingProcessCommandLine 值。 |
InitiatingProcessFileName |
principal.process.file.full_path |
properties.InitiatingProcessFileName 的值。 |
InitiatingProcessFileSize |
principal.process.file.size |
转换为无符号整数的 properties.InitiatingProcessFileSize 值。 |
InitiatingProcessFolderPath |
principal.process.file.full_path |
properties.InitiatingProcessFolderPath 的值。 |
InitiatingProcessId |
principal.process.pid |
转换为字符串的 properties.InitiatingProcessId 值。 |
InitiatingProcessIntegrityLevel |
about.labels,principal.resource.attribute.labels |
键:InitiatingProcessIntegrityLevel,值:properties.InitiatingProcessIntegrityLevel |
InitiatingProcessMD5 |
principal.process.file.md5 |
properties.InitiatingProcessMD5 的值。 |
InitiatingProcessParentFileName |
principal.process.parent_process.file.full_path |
properties.InitiatingProcessParentFileName 的值。 |
InitiatingProcessParentId |
principal.process.parent_process.pid |
转换为字符串的 properties.InitiatingProcessParentId 值。 |
InitiatingProcessSHA1 |
principal.process.file.sha1 |
properties.InitiatingProcessSHA1 的值。 |
InitiatingProcessSHA256 |
principal.process.file.sha256 |
properties.InitiatingProcessSHA256 的值。 |
InitiatingProcessSignatureStatus |
read_only_udm.additional.fields |
键:InitiatingProcessSignatureStatus,值:properties.InitiatingProcessSignatureStatus |
InitiatingProcessSignerType |
read_only_udm.additional.fields |
键:InitiatingProcessSignerType,值:properties.InitiatingProcessSignerType |
InitiatingProcessTokenElevation |
about.labels,principal.resource.attribute.labels |
键:InitiatingProcessTokenElevation,值:properties.InitiatingProcessTokenElevation |
InitiatingProcessVersionInfoCompanyName |
principal.user.company_name |
properties.InitiatingProcessVersionInfoCompanyName 的值。 |
InitiatingProcessVersionInfoFileDescription |
principal.resource.attribute.labels |
键:File Description,值:properties.InitiatingProcessVersionInfoFileDescription |
InitiatingProcessVersionInfoInternalFileName |
principal.resource.attribute.labels |
键:File Name,值:properties.InitiatingProcessVersionInfoInternalFileName |
InitiatingProcessVersionInfoOriginalFileName |
principal.resource.attribute.labels |
键:Original File Name,值:properties.InitiatingProcessVersionInfoOriginalFileName |
InitiatingProcessVersionInfoProductName |
read_only_udm.additional.fields |
键:InitiatingProcessVersionInfoProductName,值:properties.InitiatingProcessVersionInfoProductName |
InitiatingProcessVersionInfoProductVersion |
metadata.product_version |
properties.InitiatingProcessVersionInfoProductVersion 的值。 |
InternetMessageId |
read_only_udm.additional.fields |
键:InternetMessageId,值:properties.InternetMessageId(已移除尖括号)。 |
IsAdminOperation |
read_only_udm.additional.fields |
键:IsAdminOperation,值:properties.IsAdminOperation |
IsAnonymousProxy |
read_only_udm.additional.fields |
键:IsAnonymousProxy,值:properties.IsAnonymousProxy |
IsExternalUser |
read_only_udm.additional.fields |
键:IsExternalUser,值:properties.IsExternalUser |
IsImpersonated |
read_only_udm.additional.fields |
键:IsImpersonated,值:properties.IsImpersonated |
IsLocalAdmin |
about.labels,principal.resource.attribute.labels |
键:IsLocalAdmin,值:true 或 false,具体取决于 properties.IsLocalAdmin 的布尔值。 |
LoggedOnUsers |
target.user.userid,entity.relations.entity.user.userid |
LoggedOnUsers 数组中每个对象内的 UserName 字段都会添加为 target.user.userid 和相关的用户实体。Sid 字段会添加为 entity.relations.entity.user.windows_sid。 |
LocalIP |
principal.ip,principal.asset.ip |
解析 JSON 时 LocalIP 的值。 |
LocalPort |
principal.port |
在解析 JSON 时,LocalPort 的值会转换为整数。 |
LogonType |
extensions.auth.mechanism |
根据值映射到 UDM 身份验证机制。 |
LogonType |
read_only_udm.additional.fields |
键:LogonType,值:properties.RawEventData.LogonType |
LogonUserSid |
read_only_udm.additional.fields |
键:LogonUserSid,值:properties.RawEventData.LogonUserSid |
MacAddress |
entity.asset.mac |
MacAddress 或 properties.MacAddress 的值,采用以英文冒号分隔的字符串格式。 |
MailboxGuid |
read_only_udm.additional.fields |
键:MailboxGuid,值:properties.RawEventData.MailboxGuid |
MailboxOwnerMasterAccountSid |
read_only_udm.additional.fields |
键:MailboxOwnerMasterAccountSid,值:properties.RawEventData.MailboxOwnerMasterAccountSid |
MailboxOwnerSid |
read_only_udm.additional.fields |
键:MailboxOwnerSid,值:properties.RawEventData.MailboxOwnerSid |
MailboxOwnerUPN |
read_only_udm.additional.fields |
键:MailboxOwnerUPN,值:properties.RawEventData.MailboxOwnerUPN |
MD5 |
target.process.file.md5 |
properties.MD5 的值。 |
Message |
security_result.description |
当 EventID 为 1000、1001、1002、1013、1116、1117、2000、2001、2002、2010、2011 或 5007 时,security_result.description 的一部分。 |
NetworkAdapterType |
metadata.product_event_type |
解析 JSON 时 NetworkAdapterType 的值。 |
NetworkMessageId |
network.email.mail_id |
properties.NetworkMessageId 的值。 |
New Value |
security_result.description |
当 EventID 为 5007 时,security_result.description 的一部分。 |
Object Name |
read_only_udm.additional.fields |
键:ObjectName,值:properties.ObjectName |
Object Type |
read_only_udm.additional.fields |
键:ObjectType,值:properties.ObjectType |
ObjectId |
read_only_udm.additional.fields |
键:ObjectId,值:properties.ObjectId 或 properties.RawEventData.ObjectId。 |
Old Value |
security_result.description |
当 EventID 为 5007 时,security_result.description 的一部分。 |
Operation |
read_only_udm.additional.fields |
键:Operation,值:properties.RawEventData.Operation |
operationName |
read_only_udm.additional.fields |
键:OperationName,值:operationName |
OrganizationId |
read_only_udm.additional.fields |
键:OrganizationId,值:properties.RawEventData.OrganizationId |
OrganizationName |
read_only_udm.additional.fields |
键:OrganizationName,值:properties.RawEventData.OrganizationName |
OriginatingServer |
read_only_udm.additional.fields |
键:OriginatingServer,值:properties.RawEventData.OriginatingServer |
OSPlatform |
asset.platform_software.platform |
如果值包含 macos,则将 platform 设置为 MAC。如果为 windows,则设置为 WINDOWS。如果为 nix,则设置为 LINUX。 |
OSVersion |
asset.platform_software.platform_version |
properties.OSVersion 的值。 |
Path |
target.file.full_path |
当 EventID 为 1011 或 1116 时使用。 |
Persistence Limit Type |
security_result.description |
当 EventID 为 2010 或 2011 时,security_result.description 的一部分。 |
Persistence Limit Value |
security_result.description |
当 EventID 为 2010 或 2011 时,security_result.description 的一部分。 |
Persistence Path |
target.file.full_path |
当 EventID 为 2010 或 2011 时使用。 |
Previous Engine Version |
security_result.description |
当 EventID 为 2000、2001 或 2002 时,属于 security_result.description 的一部分。 |
PreviousRegistryKey |
target.registry.registry_key |
properties.PreviousRegistryKey 的值。 |
PreviousRegistryValueData |
target.resource.attribute.labels |
键:PreviousRegistryValueData,值:properties.PreviousRegistryValueData |
PreviousRegistryValueName |
target.resource.attribute.labels |
键:PreviousRegistryValueName,值:properties.PreviousRegistryValueName |
Previous security intelligence Version |
security_result.description |
当 EventID 为 2001 时,security_result.description 的一部分。 |
Previous Signature Version |
security_result.description |
EventID 为 2000 时,security_result.description 的一部分。 |
ProcessCommandLine |
target.process.command_line |
properties.ProcessCommandLine 的值。 |
ProcessID |
principal.process.pid |
用于解析 syslog/JSON 或 XML。 |
ProcessId |
target.process.pid |
转换为字符串的 properties.ProcessId 值。 |
Process Name |
target.process.pid |
当 EventID 为 1116 或 1117 时使用。 |
Product Version |
metadata.product_version |
用于解析 syslog/JSON 或 XML。 |
Protocol |
network.ip_protocol |
如果值包含 Tcp,则设置为 TCP。如果为 Udp,则设置为 UDP。如果为 Icmp,则设置为 ICMP。 |
ProviderGuid |
principal.resource.id |
用于解析 syslog/JSON 或 XML。 |
PublicIP |
principal.ip,principal.asset.ip |
properties.PublicIP 的值。 |
RawEventData.Application |
principal.application |
properties.RawEventData.Application 的值。 |
RawEventData.ClientIP |
principal.ip,principal.asset.ip |
properties.RawEventData.ClientIP 的值(如果它是有效的 IP 地址)。 |
RawEventData.ClientIPAddress |
principal.ip,principal.asset.ip |
properties.RawEventData.ClientIPAddress 的值(如果它是有效的 IP 地址)。 |
RawEventData.ClientInfoString |
read_only_udm.additional.fields |
键:ClientInfoString,值:properties.RawEventData.ClientInfoString |
RawEventData.ClientProcessName |
read_only_udm.additional.fields |
键:ClientProcessName,值:properties.RawEventData.ClientProcessName |
RawEventData.ClientRequestId |
read_only_udm.additional.fields |
键:ClientRequestId,值:properties.RawEventData.ClientRequestId |
RawEventData.ClientVersion |
read_only_udm.additional.fields |
键:ClientVersion,值:properties.RawEventData.ClientVersion |
RawEventData.CreationTime |
read_only_udm.additional.fields |
键:CreationTime,值:properties.RawEventData.CreationTime |
RawEventData.DeviceName |
principal.hostname,principal.asset.hostname |
properties.RawEventData.DeviceName 的值。 |
RawEventData.DestinationLocationType |
read_only_udm.additional.fields |
键:DestinationLocationType,值:properties.RawEventData.DestinationLocationType |
RawEventData.ExchangeLocations |
security_result.category_details |
properties.RawEventData.ExchangeLocations 的值。 |
RawEventData.ExternalAccess |
read_only_udm.additional.fields |
键:ExternalAccess,值:properties.RawEventData.ExternalAccess |
RawEventData.FileExtension |
read_only_udm.additional.fields |
键:FileExtension,值:properties.RawEventData.FileExtension |
RawEventData.FileSize |
target.process.file.size |
转换为无符号整数的 properties.RawEventData.FileSize 值。 |
RawEventData.FileType |
read_only_udm.additional.fields |
键:FileType,值:如果不为空则为 properties.RawEventData.FileType,否则为 Unknown。 |
RawEventData.Hidden |
read_only_udm.additional.fields |
键:Hidden,值:properties.RawEventData.Hidden |
RawEventData.Id |
read_only_udm.additional.fields |
键:RawEventDataId,值:properties.RawEventData.Id |
RawEventData.Item.Id |
item_idm.read_only_udm.additional.fields |
键:RawEventDataItemId,值:properties.RawEventData.item.id |
RawEventData.LogonType |
read_only_udm.additional.fields |
键:LogonType,值:properties.RawEventData.LogonType |
RawEventData.LogonUserSid |
read_only_udm.additional.fields |
键:LogonUserSid,值:properties.RawEventData.LogonUserSid |
RawEventData.MailboxGuid |
read_only_udm.additional.fields |
键:MailboxGuid,值:properties.RawEventData.MailboxGuid |
RawEventData.MailboxOwnerMasterAccountSid |
read_only_udm.additional.fields |
键:MailboxOwnerMasterAccountSid,值:properties.RawEventData.MailboxOwnerMasterAccountSid |
RawEventData.MailboxOwnerSid |
read_only_udm.additional.fields |
键:MailboxOwnerSid,值:properties.RawEventData.MailboxOwnerSid |
RawEventData.MailboxOwnerUPN |
read_only_udm.additional.fields |
键:MailboxOwnerUPN,值:properties.RawEventData.MailboxOwnerUPN |
RawEventData.MDATPDeviceId |
read_only_udm.additional.fields |
键:MDATPDeviceId,值:properties.RawEventData.MDATPDeviceId |
RawEventData.ObjectId |
read_only_udm.additional.fields |
键:ObjectId,值:properties.RawEventData.ObjectId |
RawEventData.Operation |
read_only_udm.additional.fields |
键:Operation,值:properties.RawEventData.Operation |
RawEventData.OrganizationId |
read_only_udm.additional.fields |
键:OrganizationId,值:properties.RawEventData.OrganizationId |
RawEventData.OrganizationName |
read_only_udm.additional.fields |
键:OrganizationName,值:properties.RawEventData.OrganizationName |
RawEventData.OriginatingServer |
read_only_udm.additional.fields |
键:OriginatingServer,值:properties.RawEventData.OriginatingServer |
RawEventData.ParentFolder.Id |
read_only_udm.additional.fields |
键:RawEventDataParentFolderId,值:properties.RawEventData.ParentFolder.Id |
RawEventData.Pid |
target.process.pid |
转换为字符串的 properties.RawEventData.Pid 值。 |
RawEventData.Query |
read_only_udm.additional.fields |
键:Query,值:properties.RawEventData.Query |
RawEventData.RecordType |
network.dns.questions.type |
转换为无符号整数的 properties.RawEventData.RecordType 值。 |
RawEventData.ResultStatus |
read_only_udm.additional.fields |
键:ResultStatus,值:properties.RawEventData.ResultStatus |
RawEventData.Scope |
read_only_udm.additional.fields |
键:Scope,值:properties.RawEventData.Scope |
RawEventData.SessionId |
network.session_id |
properties.RawEventData.SessionId 的值。 |
RawEventData.Sha1 |
target.process.file.sha1 |
properties.RawEventData.Sha1 的值。 |
RawEventData.Sha256 |
target.process.file.sha256 |
properties.RawEventData.Sha256 的值。 |
RawEventData.TargetDomain |
target.hostname,target.asset.hostname |
properties.RawEventData.TargetDomain 的值。 |
RawEventData.TargetFilePath |
target.file.full_path |
properties.RawEventData.TargetFilePath 的值。 |
RawEventData.UserId |
principal.user.email_addresses |
properties.RawEventData.UserId 的值(如果是电子邮件地址)。 |
RawEventData.UserKey |
read_only_udm.additional.fields |
键:UserKey,值:properties.RawEventData.UserKey |
RawEventData.UserType |
read_only_udm.additional.fields |
键:UserType,值:properties.RawEventData.UserType |
RawEventData.Version |
read_only_udm.additional.fields |
键:Version,值:properties.RawEventData.Version |
RawEventData.Workload |
read_only_udm.additional.fields |
键:Workload,值:properties.RawEventData.Workload |
RecipientEmailAddress |
network.email.to,target.user.email_addresses |
properties.RecipientEmailAddress 的值。 |
RecipientObjectId |
target.user.product_object_id |
properties.RecipientObjectId 的值。 |
RegistryKey |
target.registry.registry_key |
properties.RegistryKey 的值。 |
RegistryValueData |
target.registry.registry_value_data |
properties.RegistryValueData 的值。 |
RegistryValueName |
target.registry.registry_value_name |
properties.RegistryValueName 的值。 |
Remediation User |
intermediary.user.userid |
当 EventID 为 1117 时使用。 |
RemoteDeviceName |
target.hostname,target.asset.hostname |
properties.RemoteDeviceName 的值。 |
RemoteIP |
target.ip,target.asset.ip |
properties.RemoteIP 的值(如果不为空),- 或 null。 |
RemoteIPType |
about.labels,principal.resource.attribute.labels |
键:RemoteIPType,值:properties.RemoteIPType |
RemotePort |
target.port |
转换为整数的 properties.RemotePort 值。 |
RemoteUrl |
target.url |
properties.RemoteUrl 的值。如果它包含主机名,系统会提取主机名并将其映射到 target.hostname 和 target.asset.hostname。 |
Removal Reason Value |
security_result.description |
当 EventID 为 2011 时,security_result.description 的一部分。 |
ReportId |
metadata.product_log_id |
转换为字符串的 properties.ReportId 值。 |
Scan ID |
security_result.description |
当 EventID 为 1000、1001 或 1002 时,属于 security_result.description 的一部分。 |
Scan Parameters |
security_result.description |
当 EventID 为 1000、1001 或 1002 时,属于 security_result.description 的一部分。 |
Scan Resources |
target.file.full_path |
当 EventID 为 1000 时使用。 |
Scan Time Hours |
security_result.description |
EventID 为 1001 时的 security_result.description 的一部分。 |
Scan Time Minutes |
security_result.description |
EventID 为 1001 时的 security_result.description 的一部分。 |
Scan Time Seconds |
security_result.description |
EventID 为 1001 时的 security_result.description 的一部分。 |
Scan Type |
security_result.description |
当 EventID 为 1000、1001 或 1002 时,属于 security_result.description 的一部分。 |
Security intelligence Type |
security_result.description |
当 EventID 为 2001 时,security_result.description 的一部分。 |
Security intelligence Version |
security_result.description |
EventID 为 1011 时的 security_result.description 的一部分。 |
SenderDisplayName |
principal.user.user_display_name |
properties.SenderDisplayName 的值。 |
SenderFromAddress |
network.email.from,principal.user.email_addresses |
properties.SenderFromAddress 的值。 |
SenderFromDomain |
principal.administrative_domain |
properties.SenderFromDomain 的值。 |
SenderIPv4 |
principal.ip,principal.asset.ip |
properties.SenderIPv4 的值。 |
SenderIPv6 |
principal.ip,principal.asset.ip |
properties.SenderIPv6 的值。 |
SenderMailFromAddress |
principal.user.attribute.labels |
键:SenderMailFromAddress,值:properties.SenderMailFromAddress |
SenderMailFromDomain |
principal.user.attribute.labels |
键:SenderMailFromDomain,值:properties.SenderMailFromDomain |
SenderObjectId |
principal.user.product_object_id |
properties.SenderObjectId 的值。 |
Severity Name |
security_result.severity |
如果值为 Low,则设置为 LOW。如果为 Moderate,则设置为 MEDIUM。如果为 High 或 Severe,则设置为 HIGH。 |
Severity |
security_result.severity |
如果值包含 informational,则设置为 INFORMATIONAL。如果为 low,则设置为 LOW。如果为 medium,则设置为 MEDIUM。如果为 high,则设置为 HIGH。否则,设置为 UNKNOWN_SEVERITY。 |
Severity |
security_result.severity_details |
properties.Severity 的值。 |
SHA1 |
target.process.file.sha1 |
properties.SHA1 的值。 |
SHA256 |
target.process.file.sha256 |
properties.SHA256 的值。 |
SHA256 |
about.file.sha256 |
当 category 包含 EmailAttachmentInfo 时,properties.SHA256 的值。 |
Signature Type |
security_result.description |
当 EventID 为 2000 或 2010 时,security_result.description 的一部分。 |
SourceModuleName |
target.resource.name |
当 EventID 为 2008 时使用。 |
Source Path |
security_result.description |
当 EventID 为 2001 时,security_result.description 的一部分。 |
Subject |
network.email.subject |
properties.Subject 的值。 |
Tenant |
read_only_udm.additional.fields |
键:Tenant,值:Tenant |
tenantId |
observer.cloud.project.id,target.resource_ancestors.product_object_id |
tenantId 或 properties.tenantId 的值。 |
Threat ID |
security_result.threat_name |
当 EventID 为 1011 或 1116 时,security_result.threat_name 的一部分。 |
ThreatNames |
security_result.threat_name |
properties.ThreatNames 的值。 |
Threat Types |
security_result.category |
如果值为 Phish,则将 security_result_category 设置为 MAIL_PHISHING。否则,设置为 UNKNOWN_CATEGORY。 |
Timestamp |
security_result.description |
EventID 为 1013 时,security_result.description 的一部分。 |
Timestamp |
metadata.event_timestamp |
会被解析以生成 metadata.event_timestamp。 |
Timestamp |
entity.asset.system_last_update_time |
category 为 AdvancedHunting-DeviceNetworkInfo 时 properties.Timestamp 的值。 |
Title |
security_result.threat_name |
properties.Title 的值。 |
Update Source |
security_result.description |
当 EventID 为 2001 时,security_result.description 的一部分。 |
Update State |
security_result.description |
当 EventID 为 2001 时,security_result.description 的一部分。 |
Update Type |
security_result.description |
当 EventID 为 2000 或 2001 时,属于 security_result.description 的一部分。 |
UserAgent |
network.http.user_agent |
properties.UserAgent 的值。 |
UserAgentTags |
additional.fields |
properties.UserAgentTags 数组中的每个元素都会添加为键为 UserAgentTags 的标签。 |
Url |
target.url |
properties.Url 的值。 |
UrlCount |
read_only_udm.additional.fields |
键:UrlCount,值:properties.UrlCount |
UrlDomain |
target.hostname,target.asset.hostname |
properties.UrlDomain 的值。 |
UrlLocation |
read_only_udm.additional.fields |
键:UrlLocation,值:properties.UrlLocation |
User |
target.user.userid |
当 EventID 为 1000、1001、1002、1011、1013、2000、2002 或 Message 包含 \tUser: 时使用。 |
UserID |
principal.user.userid |
当 EventID 为 2010 或 2011 时使用。 |
| (Parser Logic) | metadata.event_type |
最初设为 GENERIC_EVENT,然后根据其他字段和逻辑进行覆盖。常见值包括 NETWORK_CONNECTION、PROCESS_LAUNCH、FILE_CREATION、FILE_MODIFICATION、USER_LOGIN、SCAN_HOST、SCAN_PROCESS、SYSTEM_AUDIT_LOG_WIPE、SETTING_MODIFICATION、FILE_DELETION、PROCESS_MODULE_LOAD、PROCESS_UNCATEGORIZED、STATUS_UPDATE、PROCESS_OPEN、NETWORK_DNS、FILE_MOVE、REGISTRY_CREATION、REGISTRY_DELETION、REGISTRY_MODIFICATION、SCHEDULED_TASK_CREATION、SCHEDULED_TASK_DELETION、SCHEDULED_TASK_MODIFICATION、SCAN_NETWORK、USER_UNCATEGORIZED。 |
| (Parser Logic) | metadata.vendor_name |
设置为 Microsoft。 |
| (Parser Logic) | metadata.product_name |
最初设置为 Windows Defender ATP,然后可能会被 category 字段覆盖。 |
| (Parser Logic) | metadata.product_event_type |
最初设为 GENERIC_EVENT,然后根据其他字段和逻辑进行覆盖。 |
| (Parser Logic) | metadata.product_version |
根据 Product Version 或 properties.InitiatingProcessVersionInfoProductVersion 进行设置。 |
| (Parser Logic) | metadata.log_type |
设置为 WINDOWS_DEFENDER_ATP。 |
| (Parser Logic) | principal.resource.type |
解析 syslog/JSON 或 XML 时设置为 PROVIDER。 |
| (Parser Logic) | target.resource_ancestors |
包含一个祖先,其 product_object_id 设置为 tenantId。 |
| (Parser Logic) | security_result.summary |
根据 EventID、properties.ActionType 或 properties.Title 和 properties.Category 进行设置。 |
| (Parser Logic) | security_result.description |
根据 EventID 或 properties.ActionType 使用各种字段构建。 |
| (Parser Logic) | security_result.action |
最初设置为 ALLOW,然后可能会根据 AdditionalFields.WasRemediated、ActionType 或 Action Name 进行覆盖。 |
| (Parser Logic) | security_result.severity |
根据 Severity Name 或 properties.Severity 进行设置。 |
| (Parser Logic) | security_result.category |
根据 Threat Types 进行设置。 |
| (Parser Logic) | network.direction |
根据 RemoteIP、LocalIP 或 EmailDirection 进行设置。 |
| (Parser Logic) | network.ip_protocol |
当 metadata.event_type 为 NETWORK_CONNECTION 时,设置为 TCP。 |
| (Parser Logic) | network.session_id |
根据 properties.RawEventData.SessionId 进行设置。 |
| (Parser Logic) | network.http.user_agent |
根据 properties.UserAgent 进行设置。 |
| (Parser Logic) | network.email.mail_id |
根据 properties.NetworkMessageId 进行设置。 |
| (Parser Logic) | network.email.subject |
根据 properties.Subject 进行设置。 |
| (Parser Logic) | network.email.from |
根据 properties.SenderFromAddress 进行设置。 |
| (Parser Logic) | network.email.to |
根据 properties.RecipientEmailAddress 进行设置。 |
| (Parser Logic) | network.dns.questions.name |
根据 AdditionalFields.DnsQueryString 进行设置。 |
| (Parser Logic) | network.dns.questions.type |
根据 properties.RawEventData.RecordType 进行设置。 |
| (Parser Logic) | network.dns.answers |
通过 AdditionalFields.DnsQueryResult 构造。 |
| (Parser Logic) | extensions.auth.type |
当 ActionType 为 LogonAttempted 或 LogonSuccess 时,设置为 MACHINE。 |
| (Parser Logic) | extensions.auth.mechanism |
根据 LogonType 或 AdditionalFields.IsLocalLogon 进行设置。 |
| (Parser Logic) | extensions.auth.auth_details |
根据 properties.AuthenticationDetails 进行设置。 |
| (Parser Logic) | entity.asset.asset_id |
使用 WINDOWS: + DeviceId 或 properties.DeviceId 构建。 |
| (Parser Logic) | entity.asset.product_object_id |
设置为 DeviceId 或 properties.DeviceId。 |
| (Parser Logic) | entity.asset.network_domain |
从 ConnectedNetworks 中提取。 |
| (Parser Logic) | entity.asset.ip |
根据 IPAddresses、_ipaddress、PublicIP 或 LocalIP 进行设置。 |
| (Parser Logic) | entity.asset.mac |
根据 MacAddress 或 properties.MacAddress 进行设置。 |
| (Parser Logic) | entity.asset.hostname |
根据 DeviceName 或 properties.DeviceName 进行设置。 |
| (Parser Logic) | entity.asset.platform_software.platform |
根据 OSPlatform 进行设置。 |
| (Parser Logic) | entity.asset.platform_software.platform_version |
根据 OSVersion 进行设置。 |
| (Parser Logic) | entity.asset.category |
根据 DeviceCategory 进行设置。 |
| (Parser Logic) | entity.asset.type |
对于设备和网络信息事件,请将其设置为 WORKSTATION。 |
| (Parser Logic) | entity.asset.system_last_update_time |
对于网络信息事件,基于 properties.Timestamp 进行设置。 |
| (Parser Logic) | entity.relations |
通过 LoggedOnUsers 构造。 |
| (Parser Logic) | entity.metadata.entity_type |
对于设备、网络和资源事件,请将其设置为 ASSET。 |
| (Parser Logic) | about.labels |
包含不直接适用于 UDM 架构的各种字段的标签。 |
| (Parser Logic) | principal.user.attribute.labels |
包含各种与用户相关的字段的标签。 |
| (Parser Logic) | principal.resource.attribute.labels |
包含各种与资源相关的字段的标签。 |
| (Parser Logic) | target.resource.resource_type |
对于计划任务事件,请将其设置为 TASK;对于设置修改事件,请将其设置为 SETTING。 |
| (Parser Logic) | target.resource.name |
根据 SourceModuleName、AdditionalFields.TaskName 或 _taskname 进行设置。 |
| (Parser Logic) | target.resource.product_object_id |
根据 properties.ReportId 进行设置。 |
| (Parser Logic) | target.resource_ancestors |
根据 tenantId 进行设置。 |
| (Parser Logic) | target.registry.registry_key |
根据 RegistryKey、PreviousRegistryKey 或 properties.RegistryKey 进行设置。 |
| (Parser Logic) | target.registry.registry_value_name |
根据 RegistryValueName 或 properties.RegistryValueName 进行设置。 |
| (Parser Logic) | target.registry.registry_value_data |
根据 RegistryValueData 或 properties.RegistryValueData 进行设置。 |
| (Parser Logic) | intermediary.user.userid |
根据 Remediation User 进行设置。 |
| (Parser Logic) | metadata.collected_timestamp |
设置为资产和网络信息事件的事件时间戳。 |
变化
2024-10-15
增强功能:
- 添加了正确解析
ReportId字段的支持。
2024-06-20
增强功能:
- 添加了在
security_result.summary为FileUploadedToCloud时对日志的支持
2024-05-28
增强功能:
- 将
properties.Application映射到principal.application。 - 将
properties.AccountDisplayName映射到principal.user.user_display_name。 - 将
properties.AccountId映射到principal.user.product_object_id。 - 将
properties.AccountType映射到principal.user.attribute.labels。 - 将
properties.UserAgent映射到network.http.user_agent。 - 将
properties.RawEventData.Id、properties.RawEventData.item.id、properties.RawEventData.ParentFolder.Id、properties.AppInstanceId、properties.ActivityType、properties.ActivityObjects、properties.ApplicationId、properties.DeviceType、properties.EnforcementMode、properties.IsAnonymousProxy、properties.IsAdminOperation、properties.IsExternalUser、properties.IsImpersonated、properties.RawEventData.MDATPDeviceId、properties.AdditionalFields.IsSatelliteProvider、properties.RawEventData.DestinationLocationType、properties.RawEventData.CreationTime、properties.RawEventData.FileExtension、properties.RawEventData.Hidden、properties.RawEventData.FileType、properties.IPCategory、properties.ISP、properties.IPTags、properties.RawEventData.UserType、properties.RawEventData.Version和properties.RawEventData.Workload、properties.UserAgentTags、operationName、properties.ObjectType、properties.RawEventData.Operation、properties.ObjectName、properties.RawEventData.Scope、properties.RawEventData.ClientProcessName、properties.RawEventData.ClientInfoString、properties.RawEventData.ClientRequestId、properties.RawEventData.ClientVersion、properties.RawEventData.ExternalAccess、properties.RawEventData.LogonType、properties.RawEventData.LogonUserSid、properties.RawEventData.MailboxGuid和properties.RawEventData.UserKey映射到additional.fields。 - 将
properties.RawEventData.ClientIP和properties.IPAddress映射到principal.ip和principal.asset.ip。 - 将
properties.RawEventData.DeviceName映射到principal.hostname和principal.asset.hostname。 - 当
properties.ActionType为FolderBind时,将metadata.event_type映射到FILE_CREATION。
2024-04-02
- 将
properties.AccountObjectId映射到principal.user.userid。 - 将
properties.CountryCode映射到principal.location.country_or_region。 - 将
properties.City映射到principal.location.city。 - 将
properties.RawEventData.Application映射到principal.application。 - 将
properties.RawEventData.TargetFilePath映射到target.file.full_path。 - 将
properties.IPAddress映射到principal.ip。 - 将
properties.RawEventData.DeviceName映射到principal.hostname和principal.asset.hostname。 - 将
properties.AccountDisplayName映射到principal.user.user_display_name。 - 将
properties.ApplicationId映射到additional.fields。 - 将
properties.RawEventData.FileExtension映射到additional.fields。 - 将
properties.RawEventData.MDATPDeviceId映射到additional.fields。 - 将
properties.RawEventData.FileType映射到additional.fields。 - 将
properties.RawEventData.Sha1映射到target.process.file.sha1。 - 将
properties.RawEventData.Sha256映射到target.process.file.sha256。 - 将
properties.RawEventData.FileSize映射到target.process.file.size。 - 当
properties.ActionType为FileCreatedOnNetworkShare时,将metadata.event_type映射到FILE_CREATION。
2024-03-05
- 将包含资产信息的日志的
metadata.entity_type映射到ASSET。 - 将
properties.DeviceId映射到entity.asset.asset_id。
2023-12-08
bug 修复:
- 修复了
properties.InitiatingProcessFolderPath到principal.process.file.full_path的映射。
2023-11-25
增强功能:
- 将
AdditionalFields和properties.AdditionalFields映射到principal.resource.attribute.labels。 - 将
tenantId映射到resource_ancestors.product_object_id。
2023-10-12
增强功能:
- 在检查
properties.ActionType值时,将拼写错误从FileUploadedCloud更正为FileUploadedToCloud。 - 将
properties.IPAddress映射到principal.ip。 - 将
properties.RawEventData.Sha1映射到principal.process.file.sha1。 - 将
properties.RawEventData.Sha256映射到principal.process.file.sha256。 - 将
properties.RawEventData.FileSize映射到principal.process.file.size。 - 在映射到 UDM 字段之前,向
properties.SenderFromAddress和properties.RawEventData.UserId添加了验证检查。
2023-10-09
增强功能:
- 将“properties.ObjectId”映射到“additional.fields”。
- 将“properties.RawEventData.Pid”映射到“target.process.pid”。
- 为失败日志添加了
Delete NetworkSecurityGroups操作类型的条件。 - 添加了正则表达式来解析
properties.SenderFromAddress字段。
2023-09-20
增强功能:
- 将“properties.RegistryValueData”映射到“target.registry.registry_value_data”。
- 将“properties.RegistryValueName”映射到“target.registry.registry_value_name”。
- 在
properties.RegistryValueName也存在的情况下,将“properties.PreviousRegistryValueName”映射到target.resource.attribute.labels。 - 在
properties.RegistryValueData也存在的情况下,将“properties.PreviousRegistryValueData”映射到target.resource.attribute.labels。
2023-09-04
增强功能:
- 将“properties.RegistryValueData”映射到“target.registry.registry_value_data”。
- 将“properties.RegistryValueName”映射到“target.registry.registry_value_name”。
- 在
properties.RegistryValueName也存在的情况下,将“properties.PreviousRegistryValueName”映射到target.resource.attribute.labels。 - 在
properties.RegistryValueData也存在的情况下,将“properties.PreviousRegistryValueData”映射到target.resource.attribute.labels。 - 对于
SearchPreviewed中的“properties.ActionType”,FileUploadedCloud映射了以下字段: - “properties.ApplicationId”已映射到“additional.fields”。
- 将“properties.AccountDisplayName”映射到“principal.user.user_display_name”。
- “properties.AccountObjectId”已映射到“principal.user.userid”。
- “properties.RawEventData.UserId”已映射到“principal.user.email_addresses”。
- “properties.RawEventData.ObjectId”已映射到“additional.fields”。
- 将“properties.RawEventData.ExchangeLocations”映射到“security_result.category_details”。
- 将“properties.RawEventData.TargetDomain”映射到“target.hostname”。
- “properties.RawEventData.Query”已映射到“additional.fields”。
- 为“AdvancedHunting-DeviceProcessEvents”映射的其他字段:
- “properties.InitiatingProcessSignerType”已映射到“additional.fields”。
- “properties.InitiatingProcessSignatureStatus”已映射到“additional.fields”。
- “properties.ProcessVersionInfoProductName”已映射到“additional.fields”。
- “properties.InitiatingProcessVersionInfoProductName”已映射到“additional.fields”。
- “properties.ProcessVersionInfoCompanyName”已映射到“principal.user.company_name”。
2023-06-06
增强功能:
- 将
properties.Url映射到target.url。 - 将
properties.UrlDomain映射到target.hostname。 - 将
properties.UrlLocation映射到additional.fields。
2023-03-01
增强功能:
- 将
properties.InitiatingProcessVersionInfoCompanyName映射到principal.user.company_name。 - 将
properties.InitiatingProcessVersionInfoProductVersion映射到metadata.product_version。 - 将
properties.InitiatingProcessVersionInfoInternalFileName映射到principal.resource.attribute.labels。 - 将
properties.InitiatingProcessVersionInfoOriginalFileName映射到principal.resource.attribute.labels。 - 将
properties.properties.InitiatingProcessVersionInfoFileDescription映射到principal.resource.attribute.labels。 - 将
properties.AlertId映射到metadata.product_log_id。 - 为
properties.InitiatingProcessAccountUpn字段添加了正则表达式条件检查。 - 为
target.hostname代码块添加了 on_error 检查。
2022-12-20
bug 修复:
- 为
properties.AdditionalFields添加了 on_error 检查,以减少不稳定性。 - 为失败日志添加了
Write NetworkSecurityGroups、Edit NetworkSecurityGroups和FileModifiedExtended操作类型的条件。
2022-10-20
增强功能:
- 将
properties.ReportId映射到target.resource.product_object_id。 - 将
properties.DeviceId映射到principal.asset_id。
2022-09-20
增强功能:
- 将客户专用解析器合并到了默认解析器。
2022-07-29
增强功能:
- 解析了事件 ID 为
2006、2004、2033、2005、2008、0的日志。 - 添加了对之前未解析的 JSON 格式新日志的支持。
需要更多帮助?向社区成员和 Google SecOps 专业人士寻求解答。