Raccogli i log EDR di SentinelOne

Supportato in:

Questo documento spiega come esportare i log di SentinelOne in Google Cloud Storage utilizzando SentinelOne Cloud Funnel. Poiché SentinelOne non offre un'integrazione integrata per esportare direttamente i log in Google Cloud Storage, Cloud Funnel funge da servizio intermediario per inviare i log a Cloud Storage.

Prima di iniziare

  • Assicurati di avere un'istanza Google SecOps.
  • Assicurati di disporre dell'accesso privilegiato alla Google Cloud piattaforma.
  • Assicurati di disporre dell'accesso con privilegi a SentinelOne.

Configura le autorizzazioni per consentire a Cloud Funnel di accedere a Cloud Storage

  1. Accedi alla console Google Cloud.
  2. Vai a IAM e amministrazione.
  3. Nella pagina IAM, aggiungi un nuovo ruolo IAM per l'account di servizio Cloud Funnel:
    • Assegna le autorizzazioni Storage Object Creator.
    • (Facoltativo) Assegna Visualizzatore oggetti Storage se vuoi che Cloud Funnel legga gli oggetti dal bucket.
  4. Concedi queste autorizzazioni all'account di servizio Cloud Funnel.

Crea un bucket Cloud Storage

  1. Accedi alla console Google Cloud.
  2. Vai a Spazio di archiviazione > Browser.
  3. Fai clic su Crea bucket.
  4. Fornisci le seguenti configurazioni:
    • Nome bucket: scegli un nome univoco per il bucket (ad esempio sentinelone-logs).
    • Posizione di archiviazione: seleziona la regione in cui verrà ospitato il bucket (ad esempio US-West1).
    • Classe di archiviazione: scegli una classe di archiviazione Standard.
  5. Fai clic su Crea.

Configurare la canalizzazione Cloud in SentinelOne

  1. Nella console SentinelOne, vai a Impostazioni.
  2. Individua l'opzione Canale cloud (in Integrazioni).
  3. Se non è già attivata, fai clic su Attiva canalizzazione cloud.
  4. Una volta attivata, ti verrà chiesto di configurare le impostazioni Destinazione.
    • Selezione della destinazione: scegli Google Cloud Storage come destinazione per l'esportazione dei log.
    • Google Cloud Storage: fornisci le credenziali di Google Cloud Storage.
    • Frequenza di esportazione dei log: imposta la frequenza per l'esportazione dei log (ad esempio ogni ora o ogni giorno).

Configurare l'esportazione dei log di Cloud Funnel

  1. Nella sezione Configurazione canalizzazione cloud della console SentinelOne, imposta quanto segue:
    • Frequenza di esportazione dei log: scegli la frequenza con cui devono essere esportati i log (ad esempio ogni ora o ogni giorno).
    • Formato log: scegli il formato JSON.
    • Nome bucket: inserisci il nome del bucket Google Cloud Storage creato in precedenza (ad esempio sentinelone-logs).
    • (Facoltativo) Prefisso del percorso del log: specifica un prefisso per organizzare i log all'interno del bucket (ad esempio sentinelone-logs/).
  2. Una volta configurate le impostazioni, fai clic su Salva per applicare le modifiche.

Configura un feed in Google SecOps per importare i log di Sentinel EDR

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo.
  3. Nel campo Nome feed, inserisci un nome per il feed (ad esempio Log Sentinel EDR).
  4. Seleziona Google Cloud Storage come Tipo di origine.
  5. Seleziona Sentinel EDR come Tipo di log.
  6. Fai clic su Ottieni account di servizio come Account di servizio Chronicle.
  7. Fai clic su Avanti.

  8. Specifica i valori per i seguenti parametri di input:

    • URI del bucket di archiviazione: URL del bucket Cloud Storage in formato gs://my-bucket/<value>.
    • URI è: seleziona Directory che include sottodirectory.

    • Opzioni di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze.

    • Spazio dei nomi degli asset: lo spazio dei nomi degli asset.

    • Etichette di importazione: l'etichetta applicata agli eventi di questo feed.

  9. Fai clic su Avanti.

  10. Rivedi la configurazione del nuovo feed nella schermata Concludi e poi fai clic su Invia.

Tabella di mappatura UDM

Campo log Mappatura UDM Logica
event.contentHash.sha256 target.process.file.sha256 L'hash SHA-256 del file del processo di destinazione, estratto dal campo event.contentHash.sha256 nel log non elaborato.
event.decodedContent target.labels I contenuti decodificati di uno script, estratti dal campo event.decodedContent nel log non elaborato. Viene aggiunto come etichetta con la chiave Decoded Content all'oggetto target.
event.destinationAddress.address target.ip L'indirizzo IP della destinazione, estratto dal campo event.destinationAddress.address nel log non elaborato.
event.destinationAddress.port target.port La porta della destinazione, estratta dal campo event.destinationAddress.port nel log non elaborato.
event.method network.http.method Il metodo HTTP dell'evento, estratto dal campo event.method nel log non elaborato.
event.newValueData target.registry.registry_value_data I dati del nuovo valore del valore del registro, estratti dal campo event.newValueData nel log non elaborato.
event.process.commandLine target.process.command_line La riga di comando del processo, estratta dal campo event.process.commandLine nel log non elaborato.
event.process.executable.hashes.md5 target.process.file.md5 L'hash MD5 dell'eseguibile del processo, estratto dal campo event.process.executable.hashes.md5 nel log non elaborato.
event.process.executable.hashes.sha1 target.process.file.sha1 L'hash SHA-1 dell'eseguibile del processo, estratto dal campo event.process.executable.hashes.sha1 nel log non elaborato.
event.process.executable.hashes.sha256 target.process.file.sha256 L'hash SHA-256 dell'eseguibile del processo, estratto dal campo event.process.executable.hashes.sha256 nel log non elaborato.
event.process.executable.path target.process.file.full_path Il percorso completo dell'eseguibile del processo, estratto dal campo event.process.executable.path nel log non elaborato.
event.process.executable.sizeBytes target.process.file.size Le dimensioni dell'eseguibile del processo, estratte dal campo event.process.executable.sizeBytes nel log non elaborato.
event.process.fullPid.pid target.process.pid Il PID del processo, estratto dal campo event.process.fullPid.pid nel log non elaborato.
event.query network.dns.questions.name La query DNS, estratta dal campo event.query nel log non elaborato.
event.regKey.path target.registry.registry_key Il percorso della chiave del Registro di sistema, estratto dal campo event.regKey.path nel log non elaborato.
event.regValue.key.value target.registry.registry_name, target.registry.registry_value_name Il nome del valore del registro, estratto dal campo event.regValue.key.value nel log non elaborato.
event.regValue.path target.registry.registry_key Il percorso del valore del registry, estratto dal campo event.regValue.path nel log non elaborato.
event.results network.dns.answers.data Le risposte DNS, estratte dal campo event.results nel log non elaborato. I dati sono suddivisi in singole risposte utilizzando il separatore ";".
event.source.commandLine principal.process.command_line La riga di comando del processo di origine, estratta dal campo event.source.commandLine nel log non elaborato.
event.source.executable.hashes.md5 principal.process.file.md5 L'hash MD5 dell'eseguibile del processo di origine, estratto dal campo event.source.executable.hashes.md5 nel log non elaborato.
event.source.executable.hashes.sha1 principal.process.file.sha1 L'hash SHA-1 dell'eseguibile del processo di origine, estratto dal campo event.source.executable.hashes.sha1 nel log non elaborato.
event.source.executable.hashes.sha256 principal.process.file.sha256 L'hash SHA-256 dell'eseguibile del processo di origine, estratto dal campo event.source.executable.hashes.sha256 nel log non elaborato.
event.source.executable.path principal.process.file.full_path Il percorso completo dell'eseguibile del processo di origine, estratto dal campo event.source.executable.path nel log non elaborato.
event.source.executable.signature.signed.identity principal.resource.attribute.labels L'identità firmata dell'eseguibile del processo di origine, estratta dal campo event.source.executable.signature.signed.identity nel log non elaborato. Viene aggiunto come etichetta con la chiave Source Signature Signed Identity alle etichette degli attributi della risorsa principale.
event.source.executable.sizeBytes principal.process.file.size Le dimensioni dell'eseguibile del processo di origine, estratte dal campo event.source.executable.sizeBytes nel log non elaborato.
event.source.fullPid.pid principal.process.pid Il PID del processo di origine, estratto dal campo event.source.fullPid.pid nel log non elaborato.
event.source.parent.commandLine principal.process.parent_process.command_line La riga di comando del processo principale di origine, estratta dal campo event.source.parent.commandLine nel log non elaborato.
event.source.parent.executable.hashes.md5 principal.process.parent_process.file.md5 L'hash MD5 dell'eseguibile del processo principale di origine, estratto dal campo event.source.parent.executable.hashes.md5 nel log non elaborato.
event.source.parent.executable.hashes.sha1 principal.process.parent_process.file.sha1 L'hash SHA-1 dell'eseguibile del processo principale di origine, estratto dal campo event.source.parent.executable.hashes.sha1 nel log non elaborato.
event.source.parent.executable.hashes.sha256 principal.process.parent_process.file.sha256 L'hash SHA-256 dell'eseguibile del processo principale di origine, estratto dal campo event.source.parent.executable.hashes.sha256 nel log non elaborato.
event.source.parent.executable.signature.signed.identity principal.resource.attribute.labels L'identità firmata dell'eseguibile del processo principale di origine, estratta dal campo event.source.parent.executable.signature.signed.identity nel log non elaborato. Viene aggiunto come etichetta con la chiave Source Parent Signature Signed Identity alle etichette degli attributi della risorsa principale.
event.source.parent.fullPid.pid principal.process.parent_process.pid Il PID del processo padre di origine, estratto dal campo event.source.parent.fullPid.pid nel log non elaborato.
event.source.user.name principal.user.userid Il nome utente dell'utente del processo di origine, estratto dal campo event.source.user.name nel log non elaborato.
event.source.user.sid principal.user.windows_sid L'SID Windows dell'utente del processo di origine, estratto dal campo event.source.user.sid nel log non elaborato.
event.sourceAddress.address principal.ip L'indirizzo IP dell'origine, estratto dal campo event.sourceAddress.address nel log non elaborato.
event.sourceAddress.port principal.port La porta dell'origine, estratta dal campo event.sourceAddress.port nel log non elaborato.
event.target.executable.hashes.md5 target.process.file.md5 L'hash MD5 dell'eseguibile del processo target, estratto dal campo event.target.executable.hashes.md5 nel log non elaborato.
event.target.executable.hashes.sha1 target.process.file.sha1 L'hash SHA-1 dell'eseguibile del processo target, estratto dal campo event.target.executable.hashes.sha1 nel log non elaborato.
event.target.executable.hashes.sha256 target.process.file.sha256 L'hash SHA-256 dell'eseguibile del processo target, estratto dal campo event.target.executable.hashes.sha256 nel log non elaborato.
event.target.executable.path target.process.file.full_path Il percorso completo dell'eseguibile del processo target, estratto dal campo event.target.executable.path nel log non elaborato.
event.target.executable.signature.signed.identity target.resource.attribute.labels L'identità firmata dell'eseguibile del processo di destinazione, estratta dal campo event.target.executable.signature.signed.identity nel log non elaborato. Viene aggiunto come etichetta con la chiave Target Signature Signed Identity alle etichette degli attributi della risorsa di destinazione.
event.target.executable.sizeBytes target.process.file.size Le dimensioni dell'eseguibile del processo target, estratte dal campo event.target.executable.sizeBytes nel log non elaborato.
event.target.fullPid.pid target.process.pid Il PID del processo di destinazione, estratto dal campo event.target.fullPid.pid nel log non elaborato.
event.targetFile.path target.file.full_path Il percorso completo del file di destinazione, estratto dal campo event.targetFile.path nel log non elaborato.
event.targetFile.signature.signed.identity target.resource.attribute.labels L'identità firmata del file di destinazione, estratta dal campo event.targetFile.signature.signed.identity nel log non elaborato. Viene aggiunto come etichetta con la chiave Target File Signature Signed Identity alle etichette degli attributi della risorsa di destinazione.
event.trueContext.key.value Non mappato all'UDM.
event.type metadata.description Il tipo di evento, estratto dal campo event.type nel log non elaborato.
event.url target.url L'URL dell'evento, estratto dal campo event.url nel log non elaborato.
meta.agentVersion metadata.product_version, metadata.product_version La versione dell'agente, estratta dal campo meta.agentVersion nel log non elaborato.
meta.computerName principal.hostname, target.hostname Il nome host del computer, estratto dal campo meta.computerName nel log non elaborato.
meta.osFamily principal.asset.platform_software.platform, target.asset.platform_software.platform La famiglia del sistema operativo del computer, estratta dal campo meta.osFamily nel log non elaborato. È mappato a LINUX per linux e WINDOWS per windows.
meta.osRevision principal.asset.platform_software.platform_version, target.asset.platform_software.platform_version La revisione del sistema operativo del computer, estratta dal campo meta.osRevision nel log non elaborato.
meta.traceId metadata.product_log_id L'ID traccia dell'evento, estratto dal campo meta.traceId nel log non elaborato.
meta.uuid principal.asset.product_object_id, target.asset.product_object_id L'UUID del computer, estratto dal campo meta.uuid nel log non elaborato.
metadata_event_type metadata.event_type Il tipo di evento, impostato dalla logica del parser in base al campo event.type.
metadata_product_name metadata.product_name Il nome del prodotto, impostato su Singularity XDR dalla logica dell'analizzatore.
metadata_vendor_name metadata.vendor_name Il nome del fornitore, impostato su SentinelOne dalla logica dell'analizzatore.
network_application_protocol network.application_protocol Il protocollo di applicazione della connessione di rete, impostato su DNS per gli eventi DNS dalla logica dell'analizzatore.
network_dns_questions.name network.dns.questions.name Il nome della domanda DNS, estratto dal campo event.query nel log non elaborato.
network_direction network.direction La direzione della connessione di rete, impostata su OUTBOUND per le connessioni in uscita e su INBOUND per le connessioni in entrata dalla logica dell'analizzatore.
network_http_method network.http.method Il metodo HTTP dell'evento, estratto dal campo event.method nel log non elaborato.
principal.process.command_line target.process.command_line La riga di comando del processo principale, estratta dal campo principal.process.command_line e mappata alla riga di comando del processo di destinazione.
principal.process.file.full_path target.process.file.full_path Il percorso completo del file del processo principale, estratto dal campo principal.process.file.full_path e mappato al percorso completo del file del processo di destinazione.
principal.process.file.md5 target.process.file.md5 L'hash MD5 del file del processo principale, estratto dal campo principal.process.file.md5 e mappato all'MD5 del file del processo di destinazione.
principal.process.file.sha1 target.process.file.sha1 L'hash SHA-1 del file del processo principale, estratto dal campo principal.process.file.sha1 e mappato all'hash SHA-1 del file del processo di destinazione.
principal.process.file.sha256 target.process.file.sha256 L'hash SHA-256 del file del processo principale, estratto dal campo principal.process.file.sha256 e mappato all'hash SHA-256 del file del processo target.
principal.process.file.size target.process.file.size Le dimensioni del file del processo principale, estratte dal campo principal.process.file.size e mappate alle dimensioni del file del processo di destinazione.
principal.process.pid target.process.pid Il PID del processo principale, estratto dal campo principal.process.pid e mappato al PID del processo di destinazione.
principal.user.userid target.user.userid L'ID utente del principale, estratto dal campo principal.user.userid e mappato all'ID utente di destinazione.
principal.user.windows_sid target.user.windows_sid Il SID Windows del principale, estratto dal campo principal.user.windows_sid e mappato al SID Windows dell'utente di destinazione.

Modifiche

2024-07-29

Miglioramento:

  • Se registry.keyPath o registry.value non è nullo, viene mappato solo metadata.event_type a REGISTRY_CREATION.

2024-07-23

Miglioramento:

  • agentDetectionInfo.agentOsName è stato mappato a target.platform_version.
  • agentDetectionInfo.agentLastLoggedInUserName è stato mappato a target.user.userid.

2024-07-09

Correzione di bug:

  • La mappatura per suser è stata modificata da principal.user.userid a target.user.userid.
  • La mappatura per suser è stata modificata da principal.user.user_display_name a target.user.user_display_name.
  • La mappatura per accountId è stata rimossa da target.user.userid.
  • prin_user è stato mappato a principal.user.userid.

2024-06-03

Miglioramento:

  • suser è stato mappato a principal.user.userid.
  • accountId è stato mappato a target.user.userid.
  • MessageSourceAddress è stato mappato a principal.ip.
  • machine_host è stato mappato a principal.hostname.

2024-05-20

Miglioramento:

  • event.dns.response è stato mappato a network.dns.answers.data.

2024-05-06

Miglioramento:

  • È stato aggiunto il supporto di un nuovo pattern di log JSON.

2024-03-22

Miglioramento:

  • È stato aggiunto un nuovo pattern Grok per analizzare il nuovo formato dei log KV separati da tabulazione.
  • osName è stato mappato a src.platform.

2024-03-15

Miglioramento:

  • site.id:account.id:agent.uuid:tgt.process.uid è stato mappato a target.process.product_specific_process_id.
  • site.id:account.id:agent.uuid:src.process.uid è stato mappato a principal.process.product_specific_process_id.
  • site.id:account.id:agent.uuid:src.process.parent.uid è stato mappato a principal.process.parent_process.product_specific_process_id.
  • src.process.cmdline è stato rimosso dalla mappatura a target.process.command_line.

2023-11-09

  • Correzione:
  • tgt.process.user è stato mappato a target.user.userid.

2023-10-30

  • Correzione:
  • È stato aggiunto il controllo non nullo a principal_port prima della mappatura all'UDM.
  • Quando event.category è url e meta.event.name è HTTP, metadata.event_type è mappato a NETWORK_HTTP.

2023-09-06

  • È stata aggiunta la mappatura di tgt.process.storyline.id a security_result.about.resource.attribute.labels.
  • Mappatura di src.process.storyline.id modificata da principal.process.product_specific_process_id a security_result.about.resource.attribute.labels.
  • Mappatura di src.process.parent.storyline.id modificata da principal.parent.process.product_specific_process_id a security_result.about.resource.attribute.labels.

2023-08-31

  • indicator.category è stato mappato a security_result.category_details.

2023-08-03

  • event_data.login.loginIsSuccessful inizializzato su null.
  • module.path è stato mappato a target.process.file.full_path e target.file.full_path, dove event.type è Module Load.
  • module.sha1 è stato mappato a target.process.file.sha1 e target.file.sha1, dove event.type è Module Load.
  • metadata.event_type è stato mappato a PROCESS_MODULE_LOAD, dove event.type è Module Load.
  • registry.keyPath è stato mappato a target.registry.registry_key per gli eventi REGISTRY_*.
  • registry.value è stato mappato a target.registry.registry_value_data per gli eventi REGISTRY_*.
  • event.network.protocolName è stato mappato a network.application_protocol.
  • principal.platform e principal.asset.platform_software.platform sono stati mappati a LINUX se endpoint.os è linux.
  • event.login.userName è stato mappato a target.user.userid quando event.type è Login o Logout.
  • target.hostname è stato mappato ottenendo il nome host da url.address quando event.type è GET, OPTIONS, POST, PUT, DELETE, CONNECT, HEAD.

2023-06-09

  • osSrc.process.parent.publisher è stato mappato a principal.resource.attribute.labels.
  • src.process.rUserName/src.process.eUserName/src.process.lUserName è stato mappato a principal.user.user_display_name.
  • È stato aggiunto un controllo ai campi src.process.eUserId, src.process.lUserId, tgt.process.rUserUid prima della mappatura all'UDM.
  • tgt.file.location, registry.valueFullSize, registry.valueType mappati a target.resource.attribute.labels.
  • indicator.description è stato mappato a security_result.summary.
  • metadata.event_type è stato mappato a SCAN_NETWORK, dove event.type è Behavioral Indicators.
  • metadata.event_type è stato mappato a SCAN_UNCATEGORIZED, dove event.type è Command Script.
  • Campi inizializzati meta.osFamily, meta.osRevision, event.type.
  • È stato aggiunto il filtro data ISO8601 al timestamp ISO8601 del parser.
  • È stato aggiunto on_error alla conversione di stringhe @timestamp.
  • È stato aggiunto on_error alla mappatura precedente di meta.uuid.

2023-05-25

  • event.source.commandLine è stato mappato a principal.process.command_line.
  • event.source.executable.path è stato mappato a principal.process.file.full_path.
  • Imposta metadata.event_type su PROCESS_OPEN, dove event.type è openProcess.
  • site.name:site.id è stato mappato a principal.namespace se sia site.name che site.id non sono null.
  • event.network.direction è stato mappato a network.direction.
  • meta.event.name è stato mappato a metadata.description.
  • task.name è stato mappato a target.resource.name.
  • agent.uuid è stato mappato a principal.asset.product_object_id.
  • src.process.publisher è stato mappato a principal.resource.attribute.labels.
  • src.process.cmdline è stato mappato a target.process.command_line.
  • mgmt.osRevision è stato mappato a principal.asset.platform_software.platform_version.
  • security_result.category mappato in base al valore indicator.category.
  • event.dns.response è stato mappato a network.dns.answers.
  • registry.keyPath è stato mappato a target.registry.registry_key.
  • event.id è stato mappato a target.registry.registry_value_name.

2023-04-27

  • event.type è stato mappato a metadata.product_event_type per i log di Cloud Funnel v2.

2023-04-20

Miglioramento:

  • È stato aggiunto il controllo condizionale di valori null e "-" per il campo data.ipAddress.
  • È stato aggiunto il controllo condizionale di Grok per il campo sourceMacAddresses.

2023-03-02

Miglioramento:

  • Quando (event.type == tcpv4 e event.direction == INCOMING) o event.type contiene (processExit|processTermination|processModification|duplicate), event.source.executable.signature.signed.identity viene mappato a target.resource.attribute.labels, altrimenti a principal.resource.attribute.labels.
  • event.parent.executable.signature.signed.identity, event.process.executable.signature.signed.identity toprincipal.resource.attribute.labels,`.
  • event.targetFile.signature.signed.identity, event.target.executable.signature.signed.identity, event.target.parent.executable.signature.signed.identity mappati a target.resource.attribute.labels.

2023-02-24

BugFix:

  • È stato eseguito il refactoring del codice per distinguere chiaramente le versioni dei log.
  • Per i log della canalizzazione cloud v2 di USER_LOGIN, i dettagli di event.login.lognIsSuccessful sono stati mappati a security_result.action e security_result.summary

2023-02-13

BugFix:

  • Log analizzati della canalizzazione cloud v1 come richiesto.
  • Mappatura di tutti i log HTTP a NETWORK_HTTP.
  • Il campo URL di NETWORK_HTTP deve essere mappato a target.url anziché a metadata.url_back_to_product.

2023-01-20

Miglioramento:

  • È stato mappato il campo "event.url" a "target.hostname" e "target.url".
  • È stato mappato "metadata.event_type" a "NETWORK_HTTP" se "event.type" == "http".

2023-01-16

BugFix:

  • mgmt.url è stato mappato a metadata.url_back_to_product anziché a target.url.
  • site.name è stato mappato a principal.location.name.
  • src.process.rUserUid è stato mappato a principal.user.userid.
  • src.process.eUserId è stato mappato a principal.user.userid.
  • src.process.lUserId è stato mappato a principal.user.userid.
  • src.process.parent.rUserUid è stato mappato a metadata.ingestion_labels.
  • src.process.parent.eUserId è stato mappato a metadata.ingestion_labels.
  • src.process.parent.lUserId è stato mappato a metadata.ingestion_labels.
  • tgt.process.rUserUid è stato mappato a target.user.userid.
  • tgt.process.eUserId è stato mappato a target.user.userid.
  • tgt.process.lUserId è stato mappato a target.user.userid.
  • Se event.type è Process Creation mappato metadata.event_type a PROCESS_LAUNCH.
  • Se event.type è Duplicate Process Handle mappato metadata.event_type a PROCESS_OPEN.
  • Se event.type è Duplicate Thread Handle mappato metadata.event_type a PROCESS_OPEN.
  • Se event.type è Open Remote Process Handle mappato metadata.event_type a PROCESS_OPEN.
  • Se event.type è Remote Thread Creation mappato metadata.event_type a PROCESS_LAUNCH.
  • Se event.type è Command Script mappato metadata.event_type a FILE_UNCATEGORIZED.
  • Se event.type è IP Connect mappato metadata.event_type a NETWORK_CONNECTION.
  • Se event.type è IP Listen mappato metadata.event_type a NETWORK_UNCATEGORIZED.
  • Se event.type è File ModIfication mappato metadata.event_type a FILE_MODIfICATION.
  • Se event.type è File Creation mappato metadata.event_type a FILE_CREATION.
  • Se event.type è File Scan mappato metadata.event_type a FILE_UNCATEGORIZED.
  • Se event.type è File Deletion mappato metadata.event_type a FILE_DELETION.
  • Se event.type è File Rename mappato metadata.event_type a FILE_MODIfICATION.
  • Se event.type è Pre Execution Detection mappato metadata.event_type a FILE_UNCATEGORIZED.
  • Se event.type è Login mappato metadata.event_type a USER_LOGIN.
  • Se event.type è Logout mappato metadata.event_type a USER_LOGOUT.
  • Se event.type è GET mappato metadata.event_type a NETWORK_HTTP.
  • Se event.type è OPTIONS mappato metadata.event_type a NETWORK_HTTP.
  • Se event.type è POST mappato metadata.event_type a NETWORK_HTTP.
  • Se event.type è PUT mappato metadata.event_type a NETWORK_HTTP.
  • Se event.type è DELETE mappato metadata.event_type a NETWORK_HTTP.
  • Se event.type è CONNECT mappato metadata.event_type a NETWORK_HTTP.
  • Se event.type è HEAD mappato metadata.event_type a NETWORK_HTTP.
  • Se event.type è Not Reported mappato metadata.event_type a STATUS_UNCATEGORIZED.
  • Se event.type è DNS Resolved mappato metadata.event_type a NETWORK_DNS.
  • Se event.type è DNS Unresolved mappato metadata.event_type a NETWORK_DNS.
  • Se event.type è Task Register mappato metadata.event_type a SCHEDULED_TASK_CREATION.
  • Se event.type è Task Update mappato metadata.event_type a SCHEDULED_TASK_MODIfICATION.
  • Se event.type è Task Start mappato metadata.event_type a SCHEDULED_TASK_UNCATEGORIZED.
  • Se event.type è Task Trigger mappato metadata.event_type a SCHEDULED_TASK_UNCATEGORIZED.
  • Se event.type è Task Delete mappato metadata.event_type a SCHEDULED_TASK_DELETION.
  • Se event.type è Registry Key Create mappato metadata.event_type a REGISTRY_CREATION.
  • Se event.type è Registry Key Rename mappato metadata.event_type a REGISTRY_MODIfICATION.
  • Se event.type è Registry Key Delete mappato metadata.event_type a REGISTRY_DELETION.
  • Se event.type è Registry Key Export mappato metadata.event_type a REGISTRY_UNCATEGORIZED.
  • Se event.type è Registry Key Security Changed mappato metadata.event_type a REGISTRY_MODIfICATION.
  • Se event.type è Registry Key Import mappato metadata.event_type a REGISTRY_CREATION.
  • Se event.type è Registry Value ModIfied mappato metadata.event_type a REGISTRY_MODIfICATION.
  • Se event.type è Registry Value Create mappato metadata.event_type a REGISTRY_CREATION.
  • Se event.type è Registry Value Delete mappato metadata.event_type a REGISTRY_DELETION.
  • Se event.type è Behavioral Indicators mappato metadata.event_type a SCAN_UNCATEGORIZED.
  • Se event.type è Module Load mappato metadata.event_type a PROCESS_MODULE_LOAD.
  • Se event.type è Threat Intelligence Indicators mappato metadata.event_type a SCAN_UNCATEGORIZED.
  • Se event.type è Named Pipe Creation mappato metadata.event_type a PROCESS_UNCATEGORIZED.
  • Se event.type è Named Pipe Connection mappato metadata.event_type a PROCESS_UNCATEGORIZED.
  • Se event.type è Driver Load mappato metadata.event_type a PROCESS_MODULE_LOAD.

2022-11-30

Miglioramento:

  • È stato migliorato l'analizzatore per supportare i log importati nella versione V2 mappando i seguenti campi.
  • account.id è stato mappato a metadata.product_deployment_id.
  • agent.uuid è stato mappato a principal.asset.asset_id.
  • dst.ip.address è stato mappato a target.ip.
  • src.ip.address è stato mappato a principal.ip.
  • src.process.parent.image.sha1 è stato mappato a principal.process.parent_process.file.sha1.
  • src.process.parent.image.sha256 è stato mappato a principal.process.parent_process.file.sha256.
  • src.process.parent.image.path è stato mappato a principal.process.parent_process.file.full_path.
  • src.process.parent.cmdline è stato mappato a principal.process.parent_process.command_line.
  • src.process.parent.image.md5 è stato mappato a principal.process.parent_process.file.md5.
  • src.process.parent.pid è stato mappato a principal.process.parent_process.pid.
  • src.process.image.sha1 è stato mappato a principal.process.file.sha1.
  • src.process.image.md5 è stato mappato a principal.process.file.md5.
  • src.process.pid è stato mappato a principal.process.pid.
  • src.process.cmdline è stato mappato a principal.process.command_line.
  • src.process.image.path è stato mappato a principal.process.file.full_path.
  • src.process.image.sha256 è stato mappato a principal.process.file.sha256.
  • src.process.user è stato mappato a principal.user.user_display_name.
  • src.process.uid è stato mappato a principal.user.userid.
  • src.process.storyline.id è stato mappato a principal.process.product_specific_process_id.
  • src.process.parent.storyline.id è stato mappato a principal.process.parent_process.product_specific_process_id.
  • mgmt.url è stato mappato a target.url.
  • site.id è stato mappato a principal.namespace.
  • src.port.number è stato mappato a principal.port.
  • dst.port.number è stato mappato a target.port.
  • event_data.id è stato mappato a metadata.product_log_id.

2022-10-11

Miglioramento:

  • threatClassification è stato mappato a security_result.category_details.
  • threatConfidenceLevel e threatMitigationStatus sono stati mappati a security_result.detection_fields.
  • Location è stato mappato a principal.location.name.
  • data.filePath è stato mappato a principal.process.parent_process.file.full_path.
  • Aggiornamento della mappatura (valore CAT) security_result.category_details in metadata.product_event_type

2022-09-01

Miglioramento:

  • Modifica di metadata.product_name da SentinelOne a Singularity.
  • event.regValue.key.value è stato mappato a target.registry.registry_value_name.
  • principal_userid è stato mappato a principal.user.userid.
  • principal_domain è stato mappato a principal.administrative_domain.
  • threatInfo.threatId mappato a security_result.threat_id
  • threatInfo.identifiedAt è stato mappato a metadata.event_timestamp.
  • threatInfo.threatId è stato mappato a metadata.product_log_id.
  • security_result.alert_state è stato mappato a ALERTING.
  • threatInfo.maliciousProcessArguments è stato mappato a security_result.description.
  • threatInfo.threatName è stato mappato a security_result.threat_name.
  • threatInfo.classification è stato mappato a security_result.category_details.
  • security_result.category è stato mappato a SOFTWARE_MALICIOUS se threatInfo.classification è dannoso, altrimenti a NETWORK_SUSPICIOUS.
  • security_result.action è stato mappato a ALLOW se threatInfo.mitigationStatus è mitigato, altrimenti a BLOCK.
  • threatInfo.mitigationStatus è stato mappato a security_result.action_details.
  • threatInfo.classification threatInfo.classificationSource threatInfo.analystVerdictDescription threatInfo.threatName è stato mappato a security_result.summary.
  • threatInfo.createdAt è stato mappato a metadata.collected_timestamp.
  • agentRealtimeInfo.accountId è stato mappato a metadata.product_deployment_id.
  • agentRealtimeInfo.agentVersion è stato mappato a metadata.product_version.
  • indicator.category è stato mappato a detection_fields.key e indicator.description a detection_fields.value.
  • detectionEngines.key è stato mappato a detection_fields.key e detectionEngines.title a detection_fields.value.
  • metadata.event_type è stato mappato a SCAN_UNCATEGORIZED se meta.computerName non è nullo.

2022-07-21

Miglioramento:

  • È stata mappata la colonna event.source.executable.hashes.md5 alla colonna principal.process.file.md5.
  • È stata mappata la colonna event.source.executable.hashes.sha256 a principal.process.file.sha256.
  • È stata mappata la colonna event.source.executable.hashes.sha1 a principal.process.file.sha1.
  • È stata mappata la colonna event.source.fullPid.pid alla colonna principal.process.pid.
  • È stata mappata la colonna event.source.user.name alla colonna principal.user.userid.
  • È stata mappata meta.agentVersion a metadata.product_version.
  • È stato eseguito il mapping di event.appName a target.application.
  • È stata mappata la colonna event.contentHash.sha256 alla colonna target.process.file.sha256.
  • È stata eseguita la mappatura di event.source.commandLine a target.process.command_line.
  • È stata mappata la dimensione event.decodedContent a target.labels.
  • È stato modificato il valore metadata.description da script a Command Scripts se event.type è script.
  • Il fornitore è stato mappato a metadata.vendor_name.
  • È stata mappata la dimensione data.fileContentHash a target.process.file.md5.
  • È stata mappata la proprietà data.ipAddress alla proprietà principal.ip.
  • L'attributo activityUuid è stato mappato a target.asset.product_object_id.
  • AgentId mappato a metadata.product_deployment_id.
  • È stata aggiunta la verifica email per user_email prima di mapparla a principal.user.email_addresses. Se non è riuscita, è stata mappata a principal.user.userid.
  • Ho mappato sourceIpAddresses a principal.ip.
  • accountName è stato mappato a principal.administrative_domain.
  • L'attività ID è stata mappata a campi aggiuntivi.

2022-07-15

Miglioramento:

  • Sono stati analizzati i nuovi log con formato JSON e sono stati mappati i seguenti nuovi campi:
  • metadata.product_name a SENTINEL_ONE.
  • sourceParentProcessMd5 a principal.process.parent_process.file.md5.
  • sourceParentProcessPath a principal.process.parent_process.file.full_path.
  • sourceParentProcessPid a principal.process.parent_process.pid.
  • sourceParentProcessSha1 a principal.process.parent_process.file.sha1.
  • sourceParentProcessSha256 a principal.process.parent_process.file.sha256.
  • sourceParentProcessCmdArgs a principal.process.parent_process.command_line.
  • sourceProcessCmdArgs a principal.process.command_line.
  • sourceProcessMd5 a principal.process.file.md5.
  • sourceProcessPid a principal.process.pid.
  • sourceProcessSha1 a principal.process.file.sha1.
  • sourceProcessSha256 a principal.process.file.sha256.
  • sourceProcessPath a principal.process.file.full_path.
  • tgtFilePath a target.file.full_path.
  • tgtFileHashSha256 a target.file.sha256.
  • tgtFileHashSha1 a target.file.sha1.
  • tgtProcUid a target.process.product_specific_process_id.
  • tgtProcCmdLine a target.process.command_line.
  • tgtProcPid a target.process.pid.
  • tgtProcName a target.application.
  • dstIp a target.ip.
  • srcIp a principal.ip.
  • dstPort a target.port.
  • srcPort a principal.port.
  • origAgentName a principal.hostname.
  • agentIpV4 a principal.ip.
  • groupId a principal.user.group_identifiers.
  • groupName a principal.user.group_display_name.
  • origAgentVersion a principal.asset.software.version.
  • origAgentOsFamily a principal.platform.
  • origAgentOsName a principal.asset.software.name.
  • event_type a FILE_MODIFICATION quando sourceEventType = FILEMODIFICATION.
  • event_type a FILE_DELETION quando sourceEventType = FILEDELETION.
  • event_type a PROCESS_LAUNCH quando sourceEventType = PROCESSCREATION.
  • event_type a NETWORK_CONNECTION quando sourceEventType = TCPV4.

2022-06-13

Miglioramento:

  • per [event][type] == fileCreation e [event][type] == fileDeletion
  • event.targetFile.path è stato mappato a target.file.full_path.
  • event.targetFile.hashes.md5 è stato mappato a target.process.file.md5.
  • event.targetFile.hashes.sha1 è stato mappato a target.process.file.sha1.
  • event.targetFile.hashes.sha256 è stato mappato a target.process.file.sha256.
  • per [event][type] == fileModification
  • event.file.path è stato mappato a target.file.full_path.
  • event.file.hashes.md5 è stato mappato a target.process.file.md5.
  • event.file.hashes.sha1 è stato mappato a target.process.file.sha1.
  • event.file.hashes.sha256 è stato mappato a target.process.file.sha256.

2022-04-18

  • È stato migliorato l'interprete per gestire tutti i log non analizzati.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.