Collecter les journaux EDR SentinelOne
Compatible avec:
Google SecOps
SIEM
Ce document explique comment collecter les journaux EDR SentinelOne en configurant un flux Google Security Operations.
Pour en savoir plus, consultez Ingestion de données dans Google Security Operations.
Un libellé d'ingestion identifie l'analyseur qui normalise les données de journal brutes au format UDM structuré. Les informations de ce document s'appliquent à l'analyseur avec le libellé d'ingestion SENTINEL_EDR.
Configurer l'EDR SentinelOne
- Connectez-vous à la console Gestion des appareils avec le compte lecteur.
- Sélectionnez Nom d'utilisateur > Mon utilisateur.
- Dans la boîte de dialogue, cliquez sur Generate API Token (Générer un jeton d'API).
- Copiez et enregistrez le jeton d'API.
Configurer un flux dans Google Security Operations pour ingérer les journaux EDR SentinelOne
- Accédez à Paramètres du SIEM > Flux.
- Cliquez sur Add New (Ajouter nouveau).
- Saisissez un nom unique dans le champ Nom du champ.
- Sélectionnez Google Cloud Storage comme Type de source.
- Sélectionnez SentinelOne EDR comme Type de journal.
- Cliquez sur Obtenir un compte de service. Google Security Operations fournit un compte de service unique qu'il utilise pour ingérer les données.
- Configurez l'accès du compte de service aux objets Cloud Storage. Pour en savoir plus, consultez Accorder l'accès au compte de service Google Security Operations.
- Cliquez sur Suivant.
- Configurez les paramètres d'entrée obligatoires suivants :
- URI du bucket de stockage
- Un URI est un
- Option de suppression de la source
- Cliquez sur Suivant, puis sur Envoyer.
Pour en savoir plus sur les flux Google Security Operations, consultez la documentation sur les flux Google Security Operations. Pour en savoir plus sur les exigences associées à chaque type de flux, consultez la section Configuration des flux par type.
Si vous rencontrez des problèmes lors de la création de flux, contactez l'assistance Google Security Operations.
Référence de mappage de champ
Cet analyseur extrait les journaux EDR SentinelOne, les transforme en UDM et gère les formats anciens et Cloud Funnel (v1 et v2). Il effectue un mappage étendu des champs, y compris les connexions réseau, les événements de processus, les activités de fichiers et de Registre, les tâches planifiées et les indicateurs d'intelligence sur les menaces, en exploitant la logique conditionnelle en fonction des types d'événements et des sources de données. L'analyseur gère également le mappage du framework MITRE ATT&CK et diverses tâches de normalisation des données, telles que la conversion de codes temporels et la manipulation de chaînes.
Mappage UDM de l'analyseur SentinelOne
| Champ de journal | Mappage UDM | Logique |
|---|---|---|
@timestamp |
metadata.event_timestamp |
Code temporel de l'événement enregistré par SentinelOne. Extrait du champ @timestamp dans le journal brut. |
agentDetectionInfo.accountId |
metadata.product_deployment_id |
ID du compte dans SentinelOne. |
agentDetectionInfo.accountName |
principal.administrative_domain |
Nom du compte dans SentinelOne. |
agentDetectionInfo.agentDomain |
principal.administrative_domain |
Domaine de l'agent. |
agentDetectionInfo.agentIpV4 |
principal.ip, principal.asset.ip |
Adresse IPv4 de l'agent. |
agentDetectionInfo.agentLastLoggedInUserName |
principal.user.user_display_name |
Nom d'utilisateur du dernier utilisateur connecté sur l'agent. |
agentDetectionInfo.agentMachineType |
principal.asset.machine_type |
Type de machine sur laquelle l'agent est installé (par exemple, ordinateur de bureau, serveur ou ordinateur portable). |
agentDetectionInfo.agentMitigationMode |
N/A | Mode d'atténuation de l'agent. Non mappé sur UDM. |
agentDetectionInfo.agentNetworkStatus |
N/A | État du réseau de l'agent. Non mappé sur UDM. |
agentDetectionInfo.agentOsName |
principal.asset.platform_software.platform |
Nom du système d'exploitation de l'agent. |
agentDetectionInfo.agentOsRevision |
principal.asset.platform_software.platform_version |
Version du système d'exploitation de l'agent. |
agentDetectionInfo.agentRegisteredAt |
principal.asset.first_discover_time |
Code temporel de l'enregistrement de l'agent. |
agentDetectionInfo.agentUuid |
principal.asset.asset_id, principal.asset.product_object_id |
UUID de l'agent. au format "ID de l'appareil: {uuid}". |
agentDetectionInfo.agentVersion |
metadata.product_version |
Version de l'agent SentinelOne. |
agentDetectionInfo.externalIp |
principal.ip, principal.asset.ip |
Adresse IP externe de l'agent. |
agentDetectionInfo.groupId |
principal.user.group_identifiers |
ID du groupe auquel l'agent appartient. |
agentDetectionInfo.groupName |
principal.group.group_display_name |
Nom du groupe auquel l'agent appartient. |
agentDetectionInfo.siteId |
principal.namespace |
ID du site auquel appartient l'agent. |
agentDetectionInfo.siteName |
principal.location.name |
Nom du site auquel appartient l'agent. |
agentRealtimeInfo.accountId |
metadata.product_deployment_id |
ID du compte dans SentinelOne. |
agentRealtimeInfo.accountName |
principal.administrative_domain |
Nom du compte dans SentinelOne. |
agentRealtimeInfo.activeThreats |
N/A | Nombre de menaces actives sur l'agent. Non mappé sur UDM. |
agentRealtimeInfo.agentComputerName |
principal.hostname, principal.asset.hostname |
Nom d'hôte de l'ordinateur de l'agent. |
agentRealtimeInfo.agentDecommissionedAt |
N/A | Indique si l'agent est mis hors service. Non mappé sur UDM. |
agentRealtimeInfo.agentDomain |
principal.administrative_domain |
Domaine de l'agent. |
agentRealtimeInfo.agentId |
N/A | ID de l'agent. Non mappé sur UDM. |
agentRealtimeInfo.agentInfected |
N/A | Indique si l'agent est infecté. Non mappé sur UDM. |
agentRealtimeInfo.agentIsActive |
N/A | Indique si l'agent est actif. Non mappé sur UDM. |
agentRealtimeInfo.agentIsDecommissioned |
N/A | Indique si l'agent est mis hors service. Non mappé sur UDM. |
agentRealtimeInfo.agentMachineType |
principal.asset.machine_type |
Type de machine sur laquelle l'agent est installé (par exemple, ordinateur de bureau, serveur ou ordinateur portable). |
agentRealtimeInfo.agentMitigationMode |
N/A | Mode d'atténuation de l'agent. Non mappé sur UDM. |
agentRealtimeInfo.agentNetworkStatus |
N/A | État du réseau de l'agent. Non mappé sur UDM. |
agentRealtimeInfo.agentOsName |
principal.asset.platform_software.platform |
Nom du système d'exploitation de l'agent. |
agentRealtimeInfo.agentOsRevision |
principal.asset.platform_software.platform_version |
Version du système d'exploitation de l'agent. |
agentRealtimeInfo.agentOsType |
principal.platform |
Type de système d'exploitation de l'agent. |
agentRealtimeInfo.agentUuid |
principal.asset.asset_id, principal.asset.product_object_id |
UUID de l'agent. au format "ID de l'appareil: {uuid}". |
agentRealtimeInfo.agentVersion |
metadata.product_version |
Version de l'agent SentinelOne. |
agentRealtimeInfo.groupId |
principal.user.group_identifiers |
ID du groupe auquel l'agent appartient. |
agentRealtimeInfo.groupName |
principal.group.group_display_name |
Nom du groupe auquel l'agent appartient. |
agentRealtimeInfo.networkInterfaces |
principal.ip, principal.asset.ip, principal.mac |
Informations sur l'interface réseau, y compris les adresses IP et les adresses MAC |
agentRealtimeInfo.operationalState |
N/A | État opérationnel de l'agent. Non mappé sur UDM. |
agentRealtimeInfo.rebootRequired |
N/A | Indique si un redémarrage est nécessaire. Non mappé sur UDM. |
agentRealtimeInfo.scanAbortedAt |
N/A | Code temporel de l'arrêt d'une analyse. Non mappé sur UDM. |
agentRealtimeInfo.scanFinishedAt |
N/A | Code temporel de fin d'une analyse. Non mappé sur UDM. |
agentRealtimeInfo.scanStartedAt |
N/A | Code temporel de début d'une analyse. Non mappé sur UDM. |
agentRealtimeInfo.scanStatus |
N/A | État d'une analyse. Non mappé sur UDM. |
agentRealtimeInfo.siteId |
principal.namespace |
ID du site auquel appartient l'agent. |
agentRealtimeInfo.siteName |
principal.location.name |
Nom du site auquel appartient l'agent. |
agentRealtimeInfo.storageName |
N/A | Nom du stockage. Non mappé sur UDM. |
agentRealtimeInfo.storageType |
N/A | Type de stockage. Non mappé sur UDM. |
agentRealtimeInfo.userActionsNeeded |
N/A | Actions requises de l'utilisateur. Non mappé sur UDM. |
batch.customer_id |
N/A | Numéro client. Non mappé sur UDM. |
batch.collector_id |
N/A | ID du marchand. Non mappé sur UDM. |
batch.type |
metadata.log_type |
Type du lot. |
collection_time |
metadata.collected_timestamp |
Heure à laquelle le journal a été collecté. |
create_time |
metadata.event_timestamp |
Heure de création de l'événement. |
data |
(divers) | Charge utile de données principale de l'événement SentinelOne. Les champs de cet objet sont mappés sur différents champs UDM en fonction du type d'événement. |
event.activityType |
N/A | Type d'activité. Non mappé sur UDM. |
event.agentId |
metadata.product_deployment_id |
ID de l'agent. |
event.agentUpdatedVersion |
N/A | Version mise à jour de l'agent. Non mappé sur UDM. |
event.comments |
N/A | Commentaires associés à l'événement. Non mappé sur UDM. |
event.createdAt |
metadata.event_timestamp |
Heure de création de l'événement. |
event.data |
(divers) | Données associées à l'événement. Les champs de cet objet sont mappés sur différents champs UDM en fonction du type d'événement. |
event.description |
metadata.product_event_type |
Description de l'événement. |
event.destinationAddress.address |
target.ip |
Adresse IP de la destination. |
event.destinationAddress.port |
target.port |
Port de la destination. |
event.direction |
network.direction |
Sens de la connexion réseau. Mappé sur "INBOUND" ou "OUTBOUND". |
event.executable.commandLine |
principal.process.command_line, target.process.command_line |
Ligne de commande de l'exécutable. |
event.executable.creationTime.millisecondsSinceEpoch |
N/A | Heure de création de l'exécutable. Non mappé sur UDM. |
event.executable.full_path |
principal.process.file.full_path, target.process.file.full_path |
Chemin d'accès complet de l'exécutable. |
event.executable.hashes.md5 |
principal.process.file.md5, target.process.file.md5 |
Hachage MD5 de l'exécutable. |
event.executable.hashes.sha1 |
principal.process.file.sha1, target.process.file.sha1 |
Hachage SHA1 de l'exécutable. |
event.executable.hashes.sha256 |
principal.process.file.sha256, target.process.file.sha256 |
Hachage SHA-256 de l'exécutable. |
event.executable.isDir |
N/A | Indique si l'exécutable est un répertoire. Non mappé sur UDM. |
event.executable.isKernelModule |
N/A | Indique si l'exécutable est un module de kernel. Non mappé sur UDM. |
event.executable.name |
N/A | Nom de l'exécutable. Non mappé sur UDM. |
event.executable.node.key.value |
N/A | Valeur de la clé de nœud de l'exécutable. Non mappé sur UDM. |
event.executable.owner.name |
N/A | Nom du propriétaire de l'exécutable. Non mappé sur UDM. |
event.executable.owner.sid |
N/A | SID du propriétaire de l'exécutable. Non mappé sur UDM. |
event.executable.pUnix |
N/A | Valeur pUnix de l'exécutable. Non mappé sur UDM. |
event.executable.signature.signed.identity |
principal.resource.attribute.labels, target.resource.attribute.labels |
Identité de l'exécutable signé. Formaté comme "Source Signature Signed Identity: {identity}". |
event.executable.signature.signed.valid |
N/A | Indique si la signature est valide. Non mappé sur UDM. |
event.executable.signature.unsigned |
N/A | Indique si l'exécutable n'est pas signé. Non mappé sur UDM. |
event.executable.sizeBytes |
principal.process.file.size, target.process.file.size |
Taille de l'exécutable en octets. |
event.excluded |
N/A | Indique si l'événement est exclu. Non mappé sur UDM. |
event.file.creationTime.millisecondsSinceEpoch |
N/A | Heure de création du fichier. Non mappé sur UDM. |
event.file.full_path |
target.file.full_path |
Chemin d'accès complet du fichier. |
event.file.hashes.md5 |
target.process.file.md5 |
Hachage MD5 du fichier. |
event.file.hashes.sha1 |
target.process.file.sha1 |
Hachage SHA1 du fichier. |
event.file.hashes.sha256 |
target.process.file.sha256 |
Hachage SHA-256 du fichier. |
event.file.isDir |
N/A | Indique si le fichier est un répertoire. Non mappé sur UDM. |
event.file.isKernelModule |
N/A | Indique si le fichier est un module de kernel. Non mappé sur UDM. |
event.file.node.key.value |
N/A | Valeur de la clé de nœud du fichier. Non mappé sur UDM. |
event.file.owner.name |
N/A | Nom du propriétaire du fichier. Non mappé sur UDM. |
event.file.owner.sid |
N/A | SID du propriétaire du fichier. Non mappé sur UDM. |
event.file.pUnix |
N/A | Valeur pUnix du fichier. Non mappé sur UDM. |
event.file.signature.unsigned |
N/A | Indique si le fichier n'est pas signé. Non mappé sur UDM. |
event.file.sizeBytes |
N/A | Taille du fichier en octets. Non mappé sur UDM. |
event.fullPid.pid |
principal.process.pid, target.process.pid |
ID du processus. |
event.fullPid.startTime.millisecondsSinceEpoch |
N/A | Heure de début du processus. Non mappé sur UDM. |
event.hashes.md5 |
target.file.md5 |
Le hachage MD5. |
event.hashes.sha1 |
target.file.sha1 |
Hachage SHA1. |
event.hashes.sha256 |
target.file.sha256 |
Hachage SHA256. |
event.id |
metadata.product_log_id |
ID de l'événement. |
event.interactive |
N/A | Indique si l'événement est interactif. Non mappé sur UDM. |
event.isRedirectedCommandProcessor |
N/A | Indique si l'événement est un processeur de commandes redirigé. Non mappé sur UDM. |
event.isWow64 |
N/A | Indique si l'événement est WoW64. Non mappé sur UDM. |
event.method |
network.http.method |
Méthode HTTP. |
event.name |
N/A | Nom de l'événement. Non mappé sur UDM. |
event.node.key.value |
N/A | Valeur de clé de nœud de l'événement. Non mappé sur UDM. |
event.oldHashes.md5 |
N/A | Ancien hachage MD5. Non mappé sur UDM. |
event.oldHashes.sha1 |
N/A | L'ancien hachage SHA1. Non mappé sur UDM. |
event.oldHashes.sha256 |
N/A | Ancien hachage SHA256. Non mappé sur UDM. |
event.parent.commandLine |
principal.process.parent_process.command_line, target.process.parent_process.command_line |
Ligne de commande du processus parent. |
event.parent.excluded |
N/A | Indique si l'événement parent est exclu. Non mappé sur UDM. |
event.parent.executable.creationTime.millisecondsSinceEpoch |
N/A | Heure de création de l'exécutable parent. Non mappé sur UDM. |
event.parent.executable.full_path |
principal.process.parent_process.file.full_path, target.process.parent_process.file.full_path |
Chemin d'accès complet de l'exécutable parent. |
event.parent.executable.hashes.md5 |
principal.process.parent_process.file.md5, target.process.parent_process.file.md5 |
Hachage MD5 de l'exécutable parent. |
event.parent.executable.hashes.sha1 |
principal.process.parent_process.file.sha1, target.process.parent_process.file.sha1 |
Hachage SHA-1 de l'exécutable parent. |
event.parent.executable.hashes.sha256 |
principal.process.parent_process.file.sha256, target.process.parent_process.file.sha256 |
Hachage SHA-256 de l'exécutable parent. |
event.parent.executable.isDir |
N/A | Indique si l'exécutable parent est un répertoire. Non mappé sur UDM. |
event.parent.executable.isKernelModule |
N/A | Indique si l'exécutable parent est un module de kernel. Non mappé sur UDM. |
event.parent.executable.node.key.value |
N/A | Valeur de la clé de nœud de l'exécutable parent. Non mappé sur UDM. |
event.parent.executable.owner.name |
N/A | Nom du propriétaire de l'exécutable parent. Non mappé sur UDM. |
event.parent.executable.owner.sid |
N/A | SID du propriétaire de l'exécutable parent. Non mappé sur UDM. |
event.parent.executable.pUnix |
N/A | Valeur pUnix de l'exécutable parent. Non mappé sur UDM. |
event.parent.executable.signature.signed.identity |
principal.resource.attribute.labels, target.resource.attribute.labels |
Identité de l'exécutable parent signé. Formaté comme "Source Parent Signature Signed Identity: {identity}". |
event.parent.executable.signature.signed.valid |
N/A | Indique si la signature parent est valide. Non mappé sur UDM. |
event.parent.executable.signature.unsigned |
N/A | Indique si l'exécutable parent n'est pas signé. Non mappé sur UDM. |
event.parent.executable.sizeBytes |
principal.process.parent_process.file.size, target.process.parent_process.file.size |
Taille de l'exécutable parent en octets. |
event.parent.fullPid.pid |
principal.process.parent_process.pid, target.process.parent_process.pid |
ID du processus parent. |
event.parent.fullPid.startTime.millisecondsSinceEpoch |
N/A | Heure de début du processus parent. Non mappé sur UDM. |
event.parent.interactive |
N/A | Indique si l'événement parent est interactif. Non mappé sur UDM. |
event.parent.isRedirectedCommandProcessor |
N/A | Indique si l'événement parent est un processeur de commandes redirigé. Non mappé sur UDM. |
event.parent.isWow64 |
N/A | Indique si l'événement parent est WoW64. Non mappé sur UDM. |
event.parent.name |
N/A | Nom de l'événement parent. Non mappé sur UDM. |
event.parent.node.key.value |
N/A | Valeur de la clé de nœud de l'événement parent. Non mappé sur UDM. |
event.parent.root |
N/A | Indique si l'événement parent est racine. Non mappé sur UDM. |
event.parent.sessionId |
N/A | ID de session de l'événement parent. Non mappé sur UDM. |
event.parent.subsystem |
N/A | Sous-système de l'événement parent. Non mappé sur UDM. |
event.parent.trueContext.key.value |
N/A | Valeur de clé de contexte réelle de l'événement parent. Non mappé sur UDM. |
event.parent.user.integrityLevel |
N/A | Niveau d'intégrité de l'utilisateur parent. Non mappé sur UDM. |
event.parent.user.name |
principal.user.userid |
Nom d'utilisateur du processus parent. |
event.parent.user.sid |
principal.user.windows_sid |
SID Windows de l'utilisateur parent. |
event.process.commandLine |
target.process.command_line |
Ligne de commande du processus. |
event.process.executable.creationTime.millisecondsSinceEpoch |
N/A | Heure de création de l'exécutable du processus. Non mappé sur UDM. |
event.process.executable.full_path |
target.process.file.full_path |
Chemin d'accès complet de l'exécutable du processus. |
event.process.executable.hashes.md5 |
target.process.file.md5 |
Hachage MD5 de l'exécutable du processus. |
event.process.executable.hashes.sha1 |
target.process.file.sha1 |
Hachage SHA1 de l'exécutable du processus. |
event.process.executable.hashes.sha256 |
target.process.file.sha256 |
Hachage SHA-256 de l'exécutable du processus. |
event.process.executable.isDir |
N/A | Indique si l'exécutable du processus est un répertoire. Non mappé sur UDM. |
event.process.executable.isKernelModule |
N/A | Indique si l'exécutable du processus est un module de kernel. Non mappé sur UDM. |
event.process.executable.node.key.value |
N/A | Valeur de clé de nœud de l'exécutable du processus. Non mappé sur UDM. |
event.process.executable.owner.name |
N/A | Nom du propriétaire de l'exécutable du processus. Non mappé sur UDM. |
event.process.executable.owner.sid |
N/A | SID du propriétaire de l'exécutable du processus. Non mappé sur UDM. |
event.process.executable.pUnix |
N/A | Valeur pUnix de l'exécutable du processus. Non mappé sur UDM. |
event.process.executable.signature.unsigned |
N/A | Indique si l'exécutable du processus n'est pas signé. Non mappé sur UDM. |
event.process.executable.sizeBytes |
target.process.file.size |
Taille de l'exécutable du processus en octets. |
event.process.excluded |
N/A | Indique si le processus est exclu. Non mappé sur UDM. |
event.process.fullPid.pid |
target.process.pid |
ID du processus. |
event.process.fullPid.startTime.millisecondsSinceEpoch |
N/A | Heure de début du processus. Non mappé sur UDM. |
event.process.interactive |
N/A | Indique si le processus est interactif. Non mappé sur UDM. |
event.process.isRedirectedCommandProcessor |
N/A | Indique si le processus est un processeur de commandes redirigé. Non mappé sur UDM. |
event.process.isWow64 |
N/A | Indique si le processus est WoW64. Non mappé sur UDM. |
event.process.name |
N/A | Nom du processus. Non mappé sur UDM. |
event.process.node.key.value |
N/A | Valeur de la clé de nœud du processus. Non mappé sur UDM. |
event.process.root |
N/A | Indique si le processus est racine. Non mappé sur UDM. |
event.process.sessionId |
N/A | ID de session du processus. Non mappé sur UDM. |
event.process.subsystem |
N/A | Sous-système du processus. Non mappé sur UDM. |
event.process.trueContext.key.value |
N/A | Valeur de clé de contexte réelle du processus. Non mappé sur UDM. |
event.process.user.integrityLevel |
N/A | Niveau d'intégrité de l'utilisateur du processus. Non mappé sur UDM. |
event.process.user.name |
target.user.userid |
Nom d'utilisateur du processus. |
event.process.user.sid |
target.user.windows_sid |
SID Windows de l'utilisateur du processus. |
event.query |
network.dns.questions.name |
Requête DNS. |
event.regKey.key.value |
N/A | Valeur de la clé de registre. Non mappé sur UDM. |
event.regKey.full_path |
target.registry.registry_key |
Chemin d'accès de la clé de registre. |
event.regValue.key.value |
target.registry.registry_value_name |
Nom de la valeur de registre. |
event.regValue.full_path |
target.registry.registry_key |
Chemin d'accès de la valeur du Registre. |
event.results |
network.dns.answers.data |
Résultats DNS. |
event.root |
N/A | Indique si l'événement est racine. Non mappé sur UDM. |
event.sessionId |
N/A | ID de session de l'événement. Non mappé sur UDM. |
event.signature.signed.identity |
principal.resource.attribute.labels, target.resource.attribute.labels |
Identité de l'événement signé. Formaté comme "Source Signature Signed Identity: {identity}". |
event.signature.signed.valid |
N/A | Indique si la signature est valide. Non mappé sur UDM. |
event.signature.unsigned |
N/A | Indique si l'événement n'est pas signé. Non mappé sur UDM. |
event.source.commandLine |
principal.process.command_line, target.process.command_line |
Ligne de commande de la source. |
event.source.executable.creationTime.millisecondsSinceEpoch |
N/A | Heure de création de l'exécutable source. Non mappé sur UDM. |
event.source.executable.full_path |
principal.process.file.full_path, target.process.file.full_path |
Chemin d'accès complet de l'exécutable source. |
event.source.executable.hashes.md5 |
principal.process.file.md5, target.process.file.md5 |
Hachage MD5 de l'exécutable source. |
event.source.executable.hashes.sha1 |
principal.process.file.sha1, target.process.file.sha1 |
Hachage SHA-1 de l'exécutable source. |
event.source.executable.hashes.sha256 |
principal.process.file.sha256, target.process.file.sha256 |
Hachage SHA-256 de l'exécutable source. |
event.source.executable.isDir |
N/A | Indique si l'exécutable source est un répertoire. Non mappé sur UDM. |
event.source.executable.isKernelModule |
N/A | Indique si l'exécutable source est un module de kernel. Non mappé sur UDM. |
event.source.executable.node.key.value |
N/A | Valeur de la clé de nœud de l'exécutable source. Non mappé sur UDM. |
event.source.executable.owner.name |
N/A | Nom du propriétaire de l'exécutable source. Non mappé sur UDM. |
event.source.executable.owner.sid |
N/A | SID du propriétaire de l'exécutable source. Non mappé sur UDM. |
event.source.executable.pUnix |
N/A | Valeur pUnix de l'exécutable source. Non mappé sur UDM. |
event.source.executable.signature.signed.identity |
principal.resource.attribute.labels, target.resource.attribute.labels |
Identité de l'exécutable source signé. Formaté comme "Source Signature Signed Identity: {identity}". |
event.source.executable.signature.signed.valid |
N/A | Indique si la signature source est valide. Non mappé sur UDM. |
event.source.executable.signature.unsigned |
N/A | Indique si l'exécutable source n'est pas signé. Non mappé sur UDM. |
event.source.executable.sizeBytes |
principal.process.file.size, target.process.file.size |
Taille de l'exécutable source en octets. |
event.source.excluded |
N/A | Indique si la source est exclue. Non mappé sur UDM. |
event.source.fullPid.pid |
principal.process.pid, target.process.pid |
ID du processus de la source. |
event.source.fullPid.startTime.millisecondsSinceEpoch |
N/A | Heure de début du processus source. Non mappé sur UDM. |
event.source.interactive |
N/A | Indique si la source est interactive. Non mappé sur UDM. |
event.source.isRedirectedCommandProcessor |
N/A | Indique si la source est un processeur de commandes redirigé. Non mappé sur UDM. |
event.source.isWow64 |
N/A | Indique si la source est WoW64. Non mappé sur UDM. |
event.source.name |
N/A | Nom de la source. Non mappé sur UDM. |
event.source.node.key.value |
N/A | Valeur de la clé de nœud de la source. Non mappé sur UDM. |
event.source.parent.commandLine |
principal.process.parent_process.command_line |
Ligne de commande du parent de la source. |
event.source.parent.excluded |
N/A | Indique si le parent de la source est exclu. Non mappé sur UDM. |
event.source.parent.executable.full_path |
principal.process.parent_process.file.full_path |
Chemin d'accès complet de l'exécutable parent de la source. |
event.source.parent.executable.hashes.md5 |
principal.process.parent_process.file.md5 |
Hachage MD5 de l'exécutable parent de la source. |
event.source.parent.executable.hashes.sha1 |
principal.process.parent_process.file.sha1 |
Hachage SHA-1 de l'exécutable parent de la source. |
event.source.parent.executable.hashes.sha256 |
principal.process.parent_process.file.sha256 |
Hachage SHA-256 de l'exécutable parent de la source. |
event.source.parent.fullPid.pid |
principal.process.parent_process.pid |
ID de processus du parent de la source. |
event.source.parent.fullPid.startTime.millisecondsSinceEpoch |
N/A | Heure de début du processus parent de la source. Non mappé sur UDM. |
event.source.parent.interactive |
N/A | Indique si le parent de la source est interactif. Non mappé sur UDM. |
event.source.parent.isRedirectedCommandProcessor |
N/A | Indique si le parent de la source est un processeur de commandes redirigé. Non mappé sur UDM. |
event.source.parent.isWow64 |
N/A | Indique si le parent de la source est WoW64. Non mappé sur UDM. |
event.source.parent.name |
N/A | Nom du parent de la source. Non mappé sur UDM. |
event.source.parent.node.key.value |
N/A | Valeur de la clé de nœud du parent de la source. Non mappé sur UDM. |
event.source.parent.root |
N/A | Indique si le parent de la source est racine. Non mappé sur UDM. |
event.source.parent.sessionId |
N/A | ID de session du parent de la source. Non mappé sur UDM. |
event.source.parent.subsystem |
N/A | Sous-système du parent de la source. Non mappé sur UDM. |
event.source.parent.trueContext.key.value |
N/A | Valeur de clé de contexte réelle du parent de la source. Non mappé sur UDM. |
event.source.parent.user.integrityLevel |
N/A | Niveau d'intégrité de l'utilisateur parent de la source. Non mappé sur UDM. |
event.source.parent.user.name |
N/A | Nom d'utilisateur du parent de la source. Non mappé sur UDM. |
event.source.parent.user.sid |
N/A | SID Windows de l'utilisateur parent de la source. Non mappé sur UDM. |
event.source.root |
N/A | Indique si la source est racine. Non mappé sur UDM. |
event.source.sessionId |
N/A | ID de session de la source. Non mappé sur UDM. |
event.source.subsystem |
N/A | Sous-système de la source. Non mappé sur UDM. |
event.source.trueContext.key.value |
N/A | Valeur de clé de contexte réelle de la source. Non mappé sur UDM. |
event.source.user.integrityLevel |
N/A | Niveau d'intégrité de l'utilisateur source. Non mappé sur UDM. |
event.source.user.name |
principal.user.userid |
Nom d'utilisateur de la source. |
event.source.user.sid |
principal.user.windows_sid |
SID Windows de l'utilisateur source. |
event.sourceAddress.address |
principal.ip |
Adresse IP de la source. |
event.sourceAddress.port |
principal.port |
Port de la source. |
event.status |
N/A | État de l'événement. Non mappé sur UDM. |
event.subsystem |
N/A | Sous-système de l'événement. Non mappé sur UDM. |
event.targetFile.creationTime.millisecondsSinceEpoch |
N/A | Heure de création du fichier cible. Non mappé sur UDM. |
event.targetFile.full_path |
target.file.full_path |
Chemin d'accès complet du fichier cible. |
event.targetFile.hashes.md5 |
target.process.file.md5 |
Hachage MD5 du fichier cible. |
event.targetFile.hashes.sha1 |
target.process.file.sha1 |
Hachage SHA1 du fichier cible. |
event.targetFile.hashes.sha256 |
target.process.file.sha256 |
Hachage SHA-256 du fichier cible. |
event.targetFile.isDir |
N/A | Indique si le fichier cible est un répertoire. Non mappé sur UDM. |
event.targetFile.isKernelModule |
Modifications
2024-06-03
- Mappage de "suser" sur "principal.user.userid".
- Mappage de "accountId" sur "target.user.userid".
- Mappage de "MessageSourceAddress" sur "principal.ip".
- Mappage de "machine_host" sur "principal.hostname".
2024-05-20
- "event.dns.response" a été mappé sur "network.dns.answers.data".
2024-05-06
- Prise en charge d'un nouveau format de journaux JSON.
2024-03-22
- Ajout d'un nouveau format Grok pour analyser le nouveau format de journaux KV séparés par tabulation.
- Mappage de "osName" sur "src.platform".
2024-03-15
- "site.id:account.id:agent.uuid:tgt.process.uid" a été mappé sur "target.process.product_specific_process_id".
- Mappage de "site.id:account.id:agent.uuid:src.process.uid" sur "principal.process.product_specific_process_id".
- Mappage de "site.id:account.id:agent.uuid:src.process.parent.uid" sur "principal.process.parent_process.product_specific_process_id".
- Suppression de la mise en correspondance de "src.process.cmdline" avec "target.process.command_line".
2023-11-09
- Correctif :
- Mappage de "tgt.process.user" sur "target.user.userid".
2023-10-30
- Correctif :
- Ajout d'une vérification de non-valeur nulle pour "principal_port" avant le mappage vers UDM.
- Lorsque "event.category" est "url" et que "meta.event.name" est "HTTP", "metadata.event_type" est mappé sur "NETWORK_HTTP".
2023-09-06
- Ajout du mappage de "tgt.process.storyline.id" à "security_result.about.resource.attribute.labels".
- Modification de la mise en correspondance de "src.process.storyline.id" de "principal.process.product_specific_process_id" à "security_result.about.resource.attribute.labels".
- Modification du mappage de "src.process.parent.storyline.id" de "principal.parent.process.product_specific_process_id" à "security_result.about.resource.attribute.labels".
2023-08-31
- Mappage de "indicator.category" sur "security_result.category_details".
2023-08-03
- Initialisation de "event_data.login.loginIsSuccessful" à "null".
- "module.path" a été mappé sur "target.process.file.full_path" et "target.file.full_path", où "event.type" est "Module Load".
- "module.sha1" a été mappé sur "target.process.file.sha1" et "target.file.sha1", où "event.type" est "Module Load".
- Mappage de "metadata.event_type" sur "PROCESS_MODULE_LOAD", où "event.type" est "Module Load".
- Mappage de "registry.keyPath" sur "target.registry.registrykey" pour les événements "REGISTRY*".
- Mappage de "registry.value" sur "target.registry.registry_valuedata" pour les événements "REGISTRY*".
- "event.network.protocolName" a été mappé sur "network.application_protocol".
- "principal.platform" et "principal.asset.platform_software.platform" ont été mappés sur "LINUX" si "endpoint.os" est "linux".
- "event.login.userName" a été mappé sur "target.user.userid" lorsque "event.type" est "Login" ou "Logout".
- "target.hostname" a été mappé en obtenant le nom d'hôte à partir de "url.address" lorsque "event.type" est "GET", "OPTIONS", "POST", "PUT", "DELETE", "CONNECT" ou "HEAD".
2023-06-09
- Mappage de "osSrc.process.parent.publisher" sur "principal.resource.attribute.labels".
- Mappage de "src.process.rUserName/src.process.eUserName/src.process.lUserName" sur "principal.user.user_display_name".
- Ajout d'une vérification dans les champs "src.process.eUserId", "src.process.lUserId" et "tgt.process.rUserUid" avant le mappage dans UDM.
- Mappage de "tgt.file.location", "registry.valueFullSize" et "registry.valueType" sur "target.resource.attribute.labels".
- Mappage de "indicator.description" sur "security_result.summary".
- Mappage de "metadata.event_type" sur "SCAN_NETWORK", où "event.type" est "Indicateurs comportementaux".
- "metadata.event_type" a été mappé sur "SCAN_UNCATEGORIZED" lorsque "event.type" est "Command Script".
- Champs "meta.osFamily", "meta.osRevision" et "event.type" initialisés.
- Ajout de ISO8601 au filtre de date pour analyser le code temporel ISO8601.
- Ajout de on_error à la conversion de la chaîne "@timestamp".
- Ajout de on_error à "meta.uuid" avant le mappage.
2023-05-25
- "event.source.commandLine" a été mappé sur "principal.process.command_line".
- Mappage de "event.source.executable.path" sur "principal.process.file.full_path".
- Définissez "metadata.event_type" sur "PROCESS_OPEN", où "event.type" est "openProcess".
- "site.name:site.id" a été mappé sur "principal.namespace" si "site.name" et "site.id" ne sont pas nuls.
- Mappage de "event.network.direction" sur "network.direction".
- "meta.event.name" a été mappé sur "metadata.description".
- "task.name" a été mappé sur "target.resource.name".
- Mappage de "agent.uuid" sur "principal.asset.product_object_id".
- "src.process.publisher" a été mappé sur "principal.resource.attribute.labels".
- Mappage de "src.process.cmdline" sur "target.process.command_line".
- "mgmt.osRevision" a été mappé sur "principal.asset.platform_software.platform_version".
- Mappage de "security_result.category" en fonction de la valeur "indicator.category".
- Mappage de "event.dns.response" sur "network.dns.answers".
- "registry.keyPath" a été mappé sur "target.registry.registry_key".
- "event.id" a été mappé sur "target.registry.registry_value_name".
2023-04-27
- Mappage de "event.type" sur "metadata.product_event_type" pour les journaux de la version 2 de Cloud Funnel.
2023-04-20
- Ajout d'une vérification conditionnelle de valeur nulle et de "-" pour le champ "data.ipAddress".
- Ajout d'une vérification conditionnelle grok pour le champ "sourceMacAddresses".
2023-03-02
- Lorsque ("event.type" == "tcpv4" et "event.direction" == "INCOMING") ou que "event.type" contient "(processExit|processTermination|processModification|duplicate)", mappez "event.source.executable.signature.signed.identity" sur "target.resource.attribute.labels", sinon mappez-le sur "principal.resource.attribute.labels".
- "event.parent.executable.signature.signed.identity", "event.process.executable.signature.signed.identity" mappées sur "principal.resource.attribute.labels", "".
- Mappage de "event.targetFile.signature.signed.identity", "event.target.executable.signature.signed.identity" et "event.target.parent.executable.signature.signed.identity" sur "target.resource.attribute.labels".
2023-02-24
- BugFix:
- Refactorisation du code pour différencier clairement les versions de journaux.
- Pour les journaux de l'entonnoir cloud v2 USER_LOGIN, les informations "event.login.lognIsSuccessful" ont été mappées sur "security_result.action" et "security_result.summary".
2023-02-13
- BugFix:
- Analyse des journaux de l'entonnoir cloud v1 selon les besoins.
- Mappage de tous les journaux HTTP sur "NETWORK_HTTP".
- Le champ d'URL de "NETWORK_HTTP" doit être mappé sur "target.url" au lieu de "metadata.url_back_to_product".
2023-01-20
- Mappage du champ "event.url" sur "target.hostname" et "target.url".
- Mappage de "metadata.event_type" sur "NETWORK_HTTP" lorsque "event.type" == "http".
2023-01-16
- Corriger
- Mappage de "mgmt.url" sur "metadata.url_back_to_product" au lieu de "target.url".
- "site.name" a été mappé sur "principal.location.name".
- Mappage de "src.process.rUserUid" sur "principal.user.userid".
- Mappage de "src.process.eUserId" sur "principal.user.userid".
- Mappage de "src.process.lUserId" sur "principal.user.userid".
- Mappage de "src.process.parent.rUserUid" sur "metadata.ingestion_labels".
- "src.process.parent.eUserId" a été mappé sur "metadata.ingestion_labels".
- Mappage de "src.process.parent.lUserId" sur "metadata.ingestion_labels".
- Mappage de "tgt.process.rUserUid" sur "target.user.userid".
- Mappage de "tgt.process.eUserId" sur "target.user.userid".
- Mappage de "tgt.process.lUserId" sur "target.user.userid".
- Si "event.type" est "Création de processus", mappez "metadata.event_type" sur "PROCESS_LAUNCH".
- Si "event.type" est "Duplicate Process Handle", "metadata.event_type" est mappé sur "PROCESS_OPEN".
- Si "event.type" est "Duplicate Thread Handle", "metadata.event_type" est mappé sur "PROCESS_OPEN".
- Si "event.type" est "Open Remote Process Handle", mappez "metadata.event_type" sur "PROCESS_OPEN".
- Si "event.type" est "Remote Thread Creation", "metadata.event_type" est mappé sur "PROCESS_LAUNCH".
- Si "event.type" est "Command Script", mappez "metadata.event_type" sur "FILE_UNCATEGORIZED".
- Si "event.type" est "IP Connect", mappez "metadata.event_type" sur "NETWORK_CONNECTION".
- Si "event.type" est "IP Listen", mappez "metadata.event_type" sur "NETWORK_UNCATEGORIZED".
- Si "event.type" est "File ModIfication", mappez "metadata.event_type" sur "FILE_MODIfICATION".
- Si "event.type" est "File Creation" (Création de fichier), "metadata.event_type" est mappé sur "FILE_CREATION".
- Si "event.type" est "File Scan", mappez "metadata.event_type" sur "FILE_UNCATEGORIZED".
- Si "event.type" est "File Deletion" (Suppression de fichier), mappez "metadata.event_type" sur "FILE_DELETION".
- Si "event.type" est "File Rename" (Renommage de fichier), mappez "metadata.event_type" sur "FILE_MODIFICATION".
- Si "event.type" est "Pre Execution Detection", "metadata.event_type" est mappé sur "FILE_UNCATEGORIZED".
- Si "event.type" est "Login", mappez "metadata.event_type" sur "USER_LOGIN".
- Si "event.type" est "Déconnexion", "metadata.event_type" est mappé sur "USER_LOGOUT".
- Si "event.type" est "GET", mappez "metadata.event_type" sur "NETWORK_HTTP".
- Si "event.type" est "OPTIONS", "metadata.event_type" est mappé sur "NETWORK_HTTP".
- Si "event.type" est "POST", "metadata.event_type" est mappé sur "NETWORK_HTTP".
- Si "event.type" est "PUT", mappez "metadata.event_type" sur "NETWORK_HTTP".
- Si "event.type" est "DELETE", "metadata.event_type" est mappé sur "NETWORK_HTTP".
- Si "event.type" est "CONNECT", mappez "metadata.event_type" sur "NETWORK_HTTP".
- Si "event.type" est "HEAD", "metadata.event_type" est mappé sur "NETWORK_HTTP".
- Si "event.type" est "Not Reported", "metadata.event_type" est mappé sur "STATUS_UNCATEGORIZED".
- Si "event.type" est "DNS Resolved", mappez "metadata.event_type" sur "NETWORK_DNS".
- Si "event.type" est "DNS non résolu", mappez "metadata.event_type" sur "NETWORK_DNS".
- Si "event.type" est "Task Register", mappez "metadata.event_type" sur "SCHEDULED_TASK_CREATION".
- Si "event.type" est "Task Update", mappez "metadata.event_type" sur "SCHEDULED_TASK_MODIFICATION".
- Si "event.type" est "Début de la tâche", "metadata.event_type" est mappé sur "SCHEDULED_TASK_UNCATEGORIZED".
- Si "event.type" est "Task Trigger", "metadata.event_type" est mappé sur "SCHEDULED_TASK_UNCATEGORIZED".
- Si "event.type" est "Task Delete", mappez "metadata.event_type" sur "SCHEDULED_TASK_DELETION".
- Si "event.type" est "Création de clé de registre", mappez "metadata.event_type" sur "REGISTRY_CREATION".
- Si "event.type" est "Renommer une clé de registre", mappez "metadata.event_type" sur "REGISTRY_MODIFICATION".
- Si "event.type" est "Suppression de clé de registre", "metadata.event_type" est mappé sur "REGISTRY_DELETION".
- Si "event.type" est "Exportation de clé de registre", "metadata.event_type" est mappé sur "REGISTRY_UNCATEGORIZED".
- Si "event.type" est "Sécurité de la clé de registre modifiée", "metadata.event_type" est mappé sur "REGISTRY_MODIFICATION".
- Si "event.type" est "Importation de clé de registre", mappez "metadata.event_type" sur "REGISTRY_CREATION".
- Si "event.type" est "Registry Value ModIfied", mappez "metadata.event_type" sur "REGISTRY_MODIfICATION".
- Si "event.type" est "Création de valeur de Registre", "metadata.event_type" est mappé sur "REGISTRY_CREATION".
- Si "event.type" est "Suppression de la valeur du Registre", "metadata.event_type" est mappé sur "REGISTRY_DELETION".
- Si "event.type" est "Indicateurs comportementaux", mappez "metadata.event_type" sur "SCAN_UNCATEGORIZED".
- Si "event.type" est "Module Load", mappez "metadata.event_type" sur "PROCESS_MODULE_LOAD".
- Si "event.type" est "Indicateurs d'intelligence sur les menaces", mappez "metadata.event_type" sur "SCAN_UNCATEGORIZED".
- Si "event.type" est "Création de pipe nommé", "metadata.event_type" est mappé sur "PROCESS_UNCATEGORIZED".
- Si "event.type" est "Connexion de pipe nommé", "metadata.event_type" est mappé sur "PROCESS_UNCATEGORIZED".
- Si "event.type" est "Driver Load", mappez "metadata.event_type" sur "PROCESS_MODULE_LOAD".
2022-11-30
- Amélioration
- Amélioration de l'analyseur pour prendre en charge les journaux ingérés dans la version V2 en mappant les champs suivants.
- "account.id" a été mappé sur "metadata.product_deployment_id".
- Mappage de "agent.uuid" sur "principal.asset.asset_id".
- Mappage de "dst.ip.address" sur "target.ip".
- Mappage de "src.ip.address" sur "principal.ip".
- Mappage de "src.process.parent.image.sha1" sur "principal.process.parent_process.file.sha1".
- Mappage de "src.process.parent.image.sha256" sur "principal.process.parent_process.file.sha256".
- Mappage de "src.process.parent.image.path" sur "principal.process.parent_process.file.full_path".
- Mappage de "src.process.parent.cmdline" sur "principal.process.parent_process.command_line".
- Mappage de "src.process.parent.image.md5" sur "principal.process.parent_process.file.md5".
- Mappage de "src.process.parent.pid" sur "principal.process.parent_process.pid".
- Mappage de "src.process.image.sha1" sur "principal.process.file.sha1".
- Mappage de "src.process.image.md5" sur "principal.process.file.md5".
- Mappage de "src.process.pid" sur "principal.process.pid".
- Mappage de "src.process.cmdline" sur "principal.process.command_line".
- "src.process.image.path" a été mappé sur "principal.process.file.full_path".
- "src.process.image.sha256" a été mappé sur "principal.process.file.sha256".
- Mappage de "src.process.user" sur "principal.user.user_display_name".
- Mappage de "src.process.uid" sur "principal.user.userid".
- Mappage de "src.process.storyline.id" sur "principal.process.product_specific_process_id".
- "src.process.parent.storyline.id" a été mappé sur "principal.process.parent_process.product_specific_process_id".
- Mappage de "mgmt.url" sur "target.url".
- Mappage de "site.id" sur "principal.namespace".
- Mappage de "src.port.number" sur "principal.port".
- Mappage de "dst.port.number" sur "target.port".
- "event_data.id" a été mappé sur "metadata.product_log_id".
2022-10-11
- Amélioration
- Mappage de "threatClassification" sur "security_result.category_details".
- Mappage de "threatConfidenceLevel" et "threatMitigationStatus" sur "security_result.detection_fields".
- "Emplacement" a été mappé sur "principal.location.name".
- "data.filePath" a été mappé sur "principal.process.parent_process.file.full_path".
- Mise à jour du mappage (valeur CAT)security_result.category_details vers metadata.product_event_type
2022-09-01
- Amélioration
- Modification de metadata.product_name de SentinelOne en Singularity.
- "event.regValue.key.value" a été mappé sur "target.registry.registry_value_name".
- Mappage de "principal_userid" sur "principal.user.userid".
- Mappage de "principal_domain" sur "principal.administrative_domain".
- Mappage de "threatInfo.threatId" sur "security_result.threat_id"
- Mappage de "threatInfo.identifiedAt" sur "metadata.event_timestamp".
- Mappage de "threatInfo.threatId" sur "metadata.product_log_id".
- "security_result.alert_state" a été mappé sur "ALERTING".
- Mappage de "threatInfo.maliciousProcessArguments" sur "security_result.description".
- "threatInfo.threatName" a été mappé sur "security_result.threat_name".
- "threatInfo.classification" a été mappé sur "security_result.category_details".
- "security_result.category" a été mappé sur "SOFTWARE_MALICIOUS" lorsque threatInfo.classification est malveillant, sinon sur "NETWORK_SUSPICIOUS".
- "security_result.action" a été mappé sur "ALLOW" lorsque threatInfo.mitigationStatus est atténué, sinon sur "BLOCK".
- Mise en correspondance de "threatInfo.mitigationStatus" avec "security_result.action_details".
- "threatInfo.classification threatInfo.classificationSource threatInfo.analystVerdictDescription threatInfo.threatName" a été mappé sur "security_result.summary".
- Mappage de "threatInfo.createdAt" sur "metadata.collected_timestamp".
- Mappage de "agentRealtimeInfo.accountId" sur "metadata.product_deployment_id".
- "agentRealtimeInfo.agentVersion" a été mappé sur "metadata.product_version".
- "indicator.category" a été mappé sur "detection_fields.key" et "indicator.description" sur "detection_fields.value".
- "detectionEngines.key" a été mappé sur "detection_fields.key" et "detectionEngines.title" sur "detection_fields.value".
- "metadata.event_type" a été mappé sur "SCAN_UNCATEGORIZED" lorsque "meta.computerName" n'est pas nul.
2022-07-21
- Amélioration
- Mappage de event.source.executable.hashes.md5 sur principal.process.file.md5.
- Mappage de event.source.executable.hashes.sha256 sur principal.process.file.sha256.
- Mappage de event.source.executable.hashes.sha1 sur principal.process.file.sha1.
- Mappage de event.source.fullPid.pid sur principal.process.pid.
- Mappage de event.source.user.name sur principal.user.userid.
- Mise en correspondance de meta.agentVersion avec metadata.product_version.
- Mappage de event.appName sur target.application.
- Mapping de event.contentHash.sha256 sur target.process.file.sha256.
- Mappage de event.source.commandLine sur target.process.command_line.
- Mappage de event.decodedContent sur target.labels.
- Modification de metadata.description de "scripts" à "Command Scripts" lorsque event.type est "scripts".
- Fournisseur mappé sur metadata.vendor_name.
- Mappage de data.fileContentHash sur target.process.file.md5.
- Mappage de data.ipAddress sur principal.ip.
- Mappage de l'attribut activityUuid sur target.asset.product_object_id.
- Mise en correspondance de l'agentId avec metadata.product_deployment_id.
- Ajout de la validation de l'adresse e-mail pour user_email avant de la mapper sur principal.user.email_addresses. En cas d'échec, la mappage a été effectué sur principal.user.userid.
- Mapped sourceIpAddresses to principal.ip.
- Mappage de accountName sur principal.administrative_domain.
- Mappage de l'attribut activityId sur additional.fields.
2022-07-15
- Amélioration : analyse des nouveaux journaux au format JSON et mappage des nouveaux champs suivants :-
- "metadata.product_name" à "SENTINEL_ONE".
- "sourceParentProcessMd5" à "principal.process.parent_process.file.md5".
- "sourceParentProcessPath" à "principal.process.parent_process.file.full_path".
- "sourceParentProcessPid" à "principal.process.parent_process.pid".
- "sourceParentProcessSha1" à "principal.process.parent_process.file.sha1".
- "sourceParentProcessSha256" à "principal.process.parent_process.file.sha256".
- "sourceParentProcessCmdArgs" à "principal.process.parent_process.command_line".
- "sourceProcessCmdArgs" à "principal.process.command_line".
- "sourceProcessMd5" à "principal.process.file.md5".
- "sourceProcessPid" à "principal.process.pid".
- "sourceProcessSha1" à "principal.process.file.sha1".
- "sourceProcessSha256" à "principal.process.file.sha256".
- "sourceProcessPath" à "principal.process.file.full_path".
- "tgtFilePath" à "target.file.full_path".
- "tgtFileHashSha256" à "target.file.sha256".
- "tgtFileHashSha1" à "target.file.sha1".
- "tgtProcUid" à "target.process.product_specific_process_id".
- "tgtProcCmdLine" à "target.process.command_line".
- "tgtProcPid" à "target.process.pid".
- "tgtProcName" à "target.application".
- "dstIp" à "target.ip".
- "srcIp" à "principal.ip".
- "dstPort" à "target.port".
- "srcPort" à "principal.port".
- "origAgentName" à "principal.hostname".
- "agentIpV4" à "principal.ip".
- "groupId" à "principal.user.group_identifiers".
- "groupName" en "principal.user.group_display_name".
- "origAgentVersion" à "principal.asset.software.version".
- "origAgentOsFamily" à "principal.platform".
- "origAgentOsName" en "principal.asset.software.name".
- "event_type" à "FILE_MODIFICATION" lorsque sourceEventType = FILEMODIFICATION.
- "event_type" sur "FILE_DELETION" lorsque sourceEventType = FILEDELETION.
- "event_type" à "PROCESS_LAUNCH" lorsque sourceEventType = PROCESSCREATION.
- "event_type" à "NETWORK_CONNECTION" lorsque sourceEventType = TCPV4.
2022-06-13
- Amélioration
- for [event][type] == "fileCreation" and [event][type] == "fileDeletion"
- "event.targetFile.path" a été mappé sur "target.file.full_path".
- "event.targetFile.hashes.md5" a été mappé sur "target.process.file.md5".
- "event.targetFile.hashes.sha1" a été mappé sur "target.process.file.sha1".
- "event.targetFile.hashes.sha256" a été mappé sur "target.process.file.sha256".
- for [event][type] == "fileModification"
- "event.file.path" a été mappé sur "target.file.full_path".
- "event.file.hashes.md5" a été mappé sur "target.process.file.md5".
- Mappage de "event.file.hashes.sha1" sur "target.process.file.sha1".
- "event.file.hashes.sha256" a été mappé sur "target.process.file.sha256".
2022-04-18
- Amélioration de l'analyseur pour gérer tous les journaux bruts non analysés.