SentinelOne EDR のログを収集する

このドキュメントでは、SentinelOne Cloud Funnel を使用して SentinelOne ログを Google Cloud Storage にエクスポートする方法について説明します。SentinelOne には、ログを Google Cloud Storage に直接エクスポートするための組み込みの統合機能がないため、Cloud Funnel は Cloud Storage にログを push する中間サービスとして機能します。

始める前に

• Google SecOps インスタンスがあることを確認します。
• Google Cloud プラットフォームへの特権アクセス権があることを確認します。
• SentinelOne への特権アクセス権があることを確認します。

Cloud Funnel が Cloud Storage にアクセスするための権限を構成する

1. Google Cloud コンソールにログインします。
2. [IAM と管理] に移動します。
3. [IAM] ページで、Cloud Funnel サービス アカウントに新しい IAM ロールを追加します。
   • ストレージ オブジェクト作成者権限を割り当てます。
   • 省略可: Cloud Funnel がバケットからオブジェクトを読み取る必要がある場合は、ストレージ オブジェクト閲覧者を割り当てます。
4. これらの権限を Cloud Funnel サービス アカウントに付与します。

Cloud Storage バケットを作成する

1. Google Cloud コンソールにログインします。
2. [ストレージ] > [ブラウザ] に移動します。
3. [バケットを作成] をクリックします。
4. 次の構成を指定します。
   • バケット名: バケットの一意の名前を選択します（sentinelone-logs など）。
   • ストレージ ロケーション: バケットが配置されるリージョンを選択します（例: US-West1）。
   • ストレージ クラス: Standard ストレージ クラスを選択します。
5. [作成] をクリックします。

SentinelOne で Cloud Funnel を構成する

1. SentinelOne コンソールで [Settings] に移動します。
2. [統合] で [Cloud Funnel] オプションを見つけます。
3. まだ有効になっていない場合は、[Cloud Funnel を有効にする] をクリックします。
4. 有効にすると、[リンク先] の設定を構成するよう求められます。
   • Destination Selection: ログのエクスポート先として Google Cloud Storage を選択します。
   • Google Cloud Storage: Google Cloud Storage の認証情報を指定します。
   • ログのエクスポート頻度: ログのエクスポートの頻度を設定します（例: 1 時間ごと、1 日ごと）。

Cloud 目標到達プロセスログのエクスポートを構成する

1. SentinelOne コンソールの [Cloud Funnel Configuration] セクションで、次のように設定します。
   • ログのエクスポート頻度: ログのエクスポート頻度（1 時間ごと、1 日ごとなど）を選択します。
   • ログ形式: JSON 形式を選択します。
   • バケット名: 前に作成した Google Cloud Storage バケットの名前を入力します（例: sentinelone-logs）。
   • 省略可: ログパスの接頭辞: バケット内のログを整理する接頭辞を指定します（例: sentinelone-logs/）。
2. 設定を構成したら、[保存] をクリックして変更を適用します。

Sentinel EDR のログを取り込むように Google SecOps でフィードを構成する

1. [SIEM 設定] > [フィード] に移動します。
2. [新しく追加] をクリックします。
3. [フィード名] フィールドに、フィードの名前を入力します（例: Sentinel EDR Logs）。
4. [Source type] として [Google Cloud Storage] を選択します。
5. [ログタイプ] として [Sentinel EDR] を選択します。
6. [Chronicle サービス アカウント] として [サービス アカウントを取得する] をクリックします。
7. [次へ] をクリックします。

8. 次の入力パラメータの値を指定します。

   • Storage Bucket URI: gs://my-bucket/<value> 形式の Cloud Storage バケット URL。
   • URI Is A: [サブディレクトリを含むディレクトリ] を選択します。

   • Source deletion options: 必要に応じて削除オプションを選択します。

   • Asset namespace: アセットの名前空間。

   • Ingestion labels: このフィードからのイベントに適用されるラベル。

9. [次へ] をクリックします。

10. [Finalize] 画面で新しいフィードの設定を確認し、[送信] をクリックします。

UDM マッピング テーブル

ログフィールド	UDM マッピング	ロジック
event.contentHash.sha256	target.process.file.sha256	ターゲット プロセスのファイルの SHA-256 ハッシュ（未加工ログの event.contentHash.sha256 フィールドから抽出）。
event.decodedContent	target.labels	未加工ログの event.decodedContent フィールドから抽出された、スクリプトのデコードされたコンテンツ。キー Decoded Content を持つラベルとして、ターゲット オブジェクトに追加されます。
event.destinationAddress.address	target.ip	未加工ログの event.destinationAddress.address フィールドから抽出された宛先の IP アドレス。
event.destinationAddress.port	target.port	未加工ログの event.destinationAddress.port フィールドから抽出された宛先のポート。
event.method	network.http.method	イベントの HTTP メソッド。未加工ログの event.method フィールドから抽出されます。
event.newValueData	target.registry.registry_value_data	未加工ログの event.newValueData フィールドから抽出された、レジストリ値の新しい値データ。
event.process.commandLine	target.process.command_line	未加工ログの event.process.commandLine フィールドから抽出されたプロセスのコマンドライン。
event.process.executable.hashes.md5	target.process.file.md5	未加工ログの event.process.executable.hashes.md5 フィールドから抽出された、プロセスの実行可能ファイルの MD5 ハッシュ。
event.process.executable.hashes.sha1	target.process.file.sha1	プロセスの実行可能ファイルの SHA-1 ハッシュ。未加工ログの event.process.executable.hashes.sha1 フィールドから抽出されます。
event.process.executable.hashes.sha256	target.process.file.sha256	未加工ログの event.process.executable.hashes.sha256 フィールドから抽出された、プロセスの実行可能ファイルの SHA-256 ハッシュ。
event.process.executable.path	target.process.file.full_path	未加工ログの event.process.executable.path フィールドから抽出された、プロセスの実行可能ファイルのフルパス。
event.process.executable.sizeBytes	target.process.file.size	未加工ログの event.process.executable.sizeBytes フィールドから抽出された、プロセスの実行可能ファイルのサイズ。
event.process.fullPid.pid	target.process.pid	未加工ログの event.process.fullPid.pid フィールドから抽出されたプロセスの PID。
event.query	network.dns.questions.name	DNS クエリ。未加工ログの event.query フィールドから抽出されます。
event.regKey.path	target.registry.registry_key	未加工ログの event.regKey.path フィールドから抽出されたレジストリ キーのパス。
event.regValue.key.value	target.registry.registry_name、target.registry.registry_value_name	未加工ログの event.regValue.key.value フィールドから抽出されたレジストリ値の名前。
event.regValue.path	target.registry.registry_key	未加工ログの event.regValue.path フィールドから抽出されたレジストリ値のパス。
event.results	network.dns.answers.data	DNS 回答。未加工ログの event.results フィールドから抽出されます。データは「;」区切り文字を使用して個々の回答に分割されます。
event.source.commandLine	principal.process.command_line	未加工ログの event.source.commandLine フィールドから抽出された、ソースプロセスのコマンドライン。
event.source.executable.hashes.md5	principal.process.file.md5	未加工ログの event.source.executable.hashes.md5 フィールドから抽出された、ソースプロセスの実行可能ファイルの MD5 ハッシュ。
event.source.executable.hashes.sha1	principal.process.file.sha1	未加工ログの event.source.executable.hashes.sha1 フィールドから抽出された、ソースプロセスの実行可能ファイルの SHA-1 ハッシュ。
event.source.executable.hashes.sha256	principal.process.file.sha256	未加工ログの event.source.executable.hashes.sha256 フィールドから抽出された、ソースプロセスの実行可能ファイルの SHA-256 ハッシュ。
event.source.executable.path	principal.process.file.full_path	未加工ログの event.source.executable.path フィールドから抽出された、ソースプロセスの実行可能ファイルのフルパス。
event.source.executable.signature.signed.identity	principal.resource.attribute.labels	未加工ログの event.source.executable.signature.signed.identity フィールドから抽出された、ソースプロセスの実行可能ファイルの署名付き ID。プリンシパル リソース属性ラベルに、キー Source Signature Signed Identity を持つラベルとして追加されます。
event.source.executable.sizeBytes	principal.process.file.size	未加工ログの event.source.executable.sizeBytes フィールドから抽出された、ソースプロセスの実行可能ファイルのサイズ。
event.source.fullPid.pid	principal.process.pid	未加工ログの event.source.fullPid.pid フィールドから抽出された、ソースプロセスの PID。
event.source.parent.commandLine	principal.process.parent_process.command_line	未加工ログの event.source.parent.commandLine フィールドから抽出された、ソース親プロセスのコマンドライン。
event.source.parent.executable.hashes.md5	principal.process.parent_process.file.md5	未加工ログの event.source.parent.executable.hashes.md5 フィールドから抽出された、ソース親プロセスの実行可能ファイルの MD5 ハッシュ。
event.source.parent.executable.hashes.sha1	principal.process.parent_process.file.sha1	未加工ログの event.source.parent.executable.hashes.sha1 フィールドから抽出された、ソース親プロセスの実行可能ファイルの SHA-1 ハッシュ。
event.source.parent.executable.hashes.sha256	principal.process.parent_process.file.sha256	未加工ログの event.source.parent.executable.hashes.sha256 フィールドから抽出された、ソース親プロセスの実行可能ファイルの SHA-256 ハッシュ。
event.source.parent.executable.signature.signed.identity	principal.resource.attribute.labels	未加工ログの event.source.parent.executable.signature.signed.identity フィールドから抽出された、ソース親プロセスの実行可能ファイルの署名付き ID。プリンシパル リソース属性ラベルに、キー Source Parent Signature Signed Identity を持つラベルとして追加されます。
event.source.parent.fullPid.pid	principal.process.parent_process.pid	未加工ログの event.source.parent.fullPid.pid フィールドから抽出された、ソース親プロセスの PID。
event.source.user.name	principal.user.userid	未加工ログの event.source.user.name フィールドから抽出された、ソースプロセスのユーザーのユーザー名。
event.source.user.sid	principal.user.windows_sid	未加工ログの event.source.user.sid フィールドから抽出された、ソースプロセスのユーザーの Windows SID。
event.sourceAddress.address	principal.ip	未加工ログの event.sourceAddress.address フィールドから抽出された送信元の IP アドレス。
event.sourceAddress.port	principal.port	未加工ログの event.sourceAddress.port フィールドから抽出された送信元のポート。
event.target.executable.hashes.md5	target.process.file.md5	ターゲット プロセスの実行可能ファイルの MD5 ハッシュ。未加工ログの event.target.executable.hashes.md5 フィールドから抽出されます。
event.target.executable.hashes.sha1	target.process.file.sha1	ターゲット プロセスの実行可能ファイルの SHA-1 ハッシュ。未加工ログの event.target.executable.hashes.sha1 フィールドから抽出されます。
event.target.executable.hashes.sha256	target.process.file.sha256	未加工ログの event.target.executable.hashes.sha256 フィールドから抽出された、ターゲット プロセスの実行可能ファイルの SHA-256 ハッシュ。
event.target.executable.path	target.process.file.full_path	ターゲット プロセスの実行可能ファイルのフルパス。未加工ログの event.target.executable.path フィールドから抽出されます。
event.target.executable.signature.signed.identity	target.resource.attribute.labels	未加工ログの event.target.executable.signature.signed.identity フィールドから抽出された、ターゲット プロセスの実行可能ファイルの署名付き ID。キー Target Signature Signed Identity を持つラベルとして、ターゲット リソース属性ラベルに追加されます。
event.target.executable.sizeBytes	target.process.file.size	ターゲット プロセスの実行可能ファイルのサイズ。未加工ログの event.target.executable.sizeBytes フィールドから抽出されます。
event.target.fullPid.pid	target.process.pid	未加工ログの event.target.fullPid.pid フィールドから抽出された、ターゲット プロセスの PID。
event.targetFile.path	target.file.full_path	未加工ログの event.targetFile.path フィールドから抽出された、ターゲット ファイルのフルパス。
event.targetFile.signature.signed.identity	target.resource.attribute.labels	未加工ログの event.targetFile.signature.signed.identity フィールドから抽出された、ターゲット ファイルの署名付き ID。キー Target File Signature Signed Identity を持つラベルとして、ターゲット リソース属性ラベルに追加されます。
event.trueContext.key.value		UDM にはマッピングされません。
event.type	metadata.description	イベントのタイプ。未加工ログの event.type フィールドから抽出されます。
event.url	target.url	イベントの URL。未加工ログの event.url フィールドから抽出されます。
meta.agentVersion	metadata.product_version、metadata.product_version	未加工ログの meta.agentVersion フィールドから抽出されたエージェントのバージョン。
meta.computerName	principal.hostname、target.hostname	未加工ログの meta.computerName フィールドから抽出された、コンピュータのホスト名。
meta.osFamily	principal.asset.platform_software.platform、target.asset.platform_software.platform	未加工ログの meta.osFamily フィールドから抽出される、コンピュータのオペレーティング システム ファミリー。linux の場合は LINUX、windows の場合は WINDOWS にマッピングされます。
meta.osRevision	principal.asset.platform_software.platform_version、target.asset.platform_software.platform_version	コンピュータのオペレーティング システムのリビジョン。未加工ログの meta.osRevision フィールドから抽出されます。
meta.traceId	metadata.product_log_id	イベントのトレース ID。未加工ログの meta.traceId フィールドから抽出されます。
meta.uuid	principal.asset.product_object_id、target.asset.product_object_id	未加工ログの meta.uuid フィールドから抽出された、パソコンの UUID。
metadata_event_type	metadata.event_type	イベントのタイプ。event.type フィールドに基づいてパーサー ロジックによって設定されます。
metadata_product_name	metadata.product_name	商品の名前。パーサー ロジックによって Singularity XDR に設定されます。
metadata_vendor_name	metadata.vendor_name	ベンダーの名前。パーサー ロジックによって SentinelOne に設定されます。
network_application_protocol	network.application_protocol	ネットワーク接続のアプリケーション プロトコル。DNS イベントの場合は、パーサー ロジックによって DNS に設定されます。
network_dns_questions.name	network.dns.questions.name	未加工のログの event.query フィールドから抽出された DNS 質問の名前。
network_direction	network.direction	ネットワーク接続の方向。パーサー ロジックによって、アウトバウンド接続の場合は OUTBOUND、インバウンド接続の場合は INBOUND に設定されます。
network_http_method	network.http.method	イベントの HTTP メソッド。未加工ログの event.method フィールドから抽出されます。
principal.process.command_line	target.process.command_line	principal.process.command_line フィールドから抽出され、ターゲット プロセスのコマンドラインにマッピングされたプリンシパル プロセスのコマンドライン。
principal.process.file.full_path	target.process.file.full_path	principal.process.file.full_path フィールドから抽出され、ターゲット プロセス ファイルのフルパスにマッピングされたプリンシパル プロセスのファイルのフルパス。
principal.process.file.md5	target.process.file.md5	principal.process.file.md5 フィールドから抽出され、ターゲット プロセス ファイルの MD5 にマッピングされた、プリンシパル プロセスのファイルの MD5 ハッシュ。
principal.process.file.sha1	target.process.file.sha1	プリンシパル プロセスのファイルの SHA-1 ハッシュ。principal.process.file.sha1 フィールドから抽出され、ターゲット プロセス ファイルの SHA-1 にマッピングされます。
principal.process.file.sha256	target.process.file.sha256	プリンシパル プロセスのファイルの SHA-256 ハッシュ。principal.process.file.sha256 フィールドから抽出され、ターゲット プロセス ファイルの SHA-256 にマッピングされます。
principal.process.file.size	target.process.file.size	プリンシパル プロセスのファイルのサイズ。principal.process.file.size フィールドから抽出され、ターゲット プロセスのファイルサイズにマッピングされます。
principal.process.pid	target.process.pid	プリンシパル プロセスの PID。principal.process.pid フィールドから抽出され、ターゲット プロセスの PID にマッピングされます。
principal.user.userid	target.user.userid	プリンシパルのユーザー ID。principal.user.userid フィールドから抽出され、ターゲット ユーザー ID にマッピングされます。
principal.user.windows_sid	target.user.windows_sid	プリンシパルの Windows SID。principal.user.windows_sid フィールドから抽出され、移行先のユーザーの Windows SID にマッピングされます。

変更点

2024-07-29

機能強化:

• registry.keyPath または registry.value が null でない場合、metadata.event_type のみを REGISTRY_CREATION にマッピングしました。

2024-07-23

機能強化:

• agentDetectionInfo.agentOsName を target.platform_version にマッピングしました。
• agentDetectionInfo.agentLastLoggedInUserName を target.user.userid にマッピングしました。

2024-07-09

バグの修正:

• suser のマッピングを principal.user.userid から target.user.userid に変更しました。
• suser のマッピングを principal.user.user_display_name から target.user.user_display_name に変更しました。
• target.user.userid から accountId のマッピングを削除しました。
• prin_user を principal.user.userid にマッピングしました。

2024-06-03

機能強化:

• suser を principal.user.userid にマッピングしました。
• accountId を target.user.userid にマッピングしました。
• MessageSourceAddress を principal.ip にマッピングしました。
• machine_host を principal.hostname にマッピングしました。

2024-05-20

機能強化:

• event.dns.response を network.dns.answers.data にマッピングしました。

2024-05-06

機能強化:

• JSON ログの新しいパターンに対応しました。

2024-03-22

機能強化:

• タブ区切りの新しい形式の KV ログを解析するための新しい Grok パターンを追加しました。
• osName を src.platform にマッピングしました。

2024-03-15

機能強化:

• site.id:account.id:agent.uuid:tgt.process.uid を target.process.product_specific_process_id にマッピングしました。
• site.id:account.id:agent.uuid:src.process.uid を principal.process.product_specific_process_id にマッピングしました。
• site.id:account.id:agent.uuid:src.process.parent.uid を principal.process.parent_process.product_specific_process_id にマッピングしました。
• src.process.cmdline を target.process.command_line にマッピングしないようにしました。

2023-11-09

• 修正:
• tgt.process.user を target.user.userid にマッピングしました。

2023-10-30

• 修正:
• UDM にマッピングする前に principal_port に null ではないチェックを追加しました。
• event.category が url で meta.event.name が HTTP の場合、metadata.event_type を NETWORK_HTTP にマッピングしました。

2023-09-06

• tgt.process.storyline.id から security_result.about.resource.attribute.labels へのマッピングを追加しました。
• src.process.storyline.id のマッピングを principal.process.product_specific_process_id から security_result.about.resource.attribute.labels に変更しました。
• src.process.parent.storyline.id のマッピングを principal.parent.process.product_specific_process_id から security_result.about.resource.attribute.labels に変更しました。

2023-08-31

• indicator.category を security_result.category_details にマッピングしました。

2023-08-03

• event_data.login.loginIsSuccessful を null に初期化しました。
• module.path を target.process.file.full_path と target.file.full_path にマッピングしました（event.type は Module Load）。
• module.sha1 を target.process.file.sha1 と target.file.sha1 にマッピングしました（event.type は Module Load）。
• metadata.event_type を PROCESS_MODULE_LOAD にマッピングしました。event.type は Module Load です。
• REGISTRY_* イベントの registry.keyPath を target.registry.registry_key にマッピングしました。
• REGISTRY_* イベントの registry.value を target.registry.registry_value_data にマッピングしました。
• event.network.protocolName を network.application_protocol にマッピングしました。
• endpoint.os が linux の場合、principal.platform、principal.asset.platform_software.platform を LINUX にマッピングしました。
• event.type が Login または Logout. の場合に event.login.userName を target.user.userid にマッピング
• event.type が GET、OPTIONS、POST、PUT、DELETE、CONNECT、HEAD の場合、url.address からホスト名を取得して target.hostname をマッピングしました。

2023-06-09

• osSrc.process.parent.publisher を principal.resource.attribute.labels にマッピングしました。
• src.process.rUserName/src.process.eUserName/src.process.lUserName を principal.user.user_display_name にマッピングしました。
• UDM へのマッピング前に、src.process.eUserId、src.process.lUserId、tgt.process.rUserUid フィールドのチェックを追加しました。
• tgt.file.location、registry.valueFullSize、registry.valueType を target.resource.attribute.labels にマッピングしました。
• indicator.description を security_result.summary にマッピングしました。
• metadata.event_type を SCAN_NETWORK にマッピングしました。event.type は Behavioral Indicators です。
• metadata.event_type を SCAN_UNCATEGORIZED にマッピングしました。event.type は Command Script です。
• 初期化されたフィールド meta.osFamily、meta.osRevision、event.type。
• ISO8601 タイムスタンプをパースする日付フィルタに ISO8601 を追加しました。
• @timestamp 文字列変換に on_error を追加しました。
• meta.uuid の以前のマッピングに on_error を追加しました。

2023-05-25

• event.source.commandLine を principal.process.command_line にマッピングしました。
• event.source.executable.path を principal.process.file.full_path にマッピングしました。
• metadata.event_type を PROCESS_OPEN に設定します（event.type は openProcess です）。
• site.name と site.id の両方が null でない場合、site.name:site.id を principal.namespace にマッピングしました。
• event.network.direction を network.direction にマッピングしました。
• meta.event.name を metadata.description にマッピングしました。
• task.name を target.resource.name にマッピングしました。
• agent.uuid を principal.asset.product_object_id にマッピングしました。
• src.process.publisher を principal.resource.attribute.labels にマッピングしました。
• src.process.cmdline を target.process.command_line にマッピングしました。
• mgmt.osRevision を principal.asset.platform_software.platform_version にマッピングしました。
• indicator.category 値に従って security_result.category をマッピングしました。
• event.dns.response を network.dns.answers にマッピングしました。
• registry.keyPath を target.registry.registry_key にマッピングしました。
• event.id を target.registry.registry_value_name にマッピングしました。

2023-04-27

• Cloud Funnel v2 ログの event.type を metadata.product_event_type にマッピングしました。

2023-04-20

機能強化:

• フィールド data.ipAddress の null と「-」の条件チェックを追加しました。
• フィールド sourceMacAddresses の grok 条件付きチェックを追加しました。

2023-03-02

機能強化:

• （event.type == tcpv4 かつ event.direction == INCOMING）の場合、または event.type に (processExit|processTermination|processModification|duplicate) が含まれている場合は event.source.executable.signature.signed.identity を target.resource.attribute.labels にマッピングし、それ以外の場合は principal.resource.attribute.labels にマッピングしました。
• event.parent.executable.signature.signed.identity、event.process.executable.signature.signed.identity toprincipal.resource.attribute.labels, をマッピングしました。
• event.targetFile.signature.signed.identity、event.target.executable.signature.signed.identity、event.target.parent.executable.signature.signed.identity を target.resource.attribute.labels にマッピングしました。

2023-02-24

バグ修正:

• ログのバージョンを明確に区別できるようにコードをリファクタリングしました。
• USER_LOGIN Cloud ファネル v2 ログで、event.login.lognIsSuccessful の詳細を security_result.action と security_result.summary にマッピング

2023-02-13

バグ修正:

• 必要に応じて、Cloud ファネル v1 ログを解析しました。
• すべての HTTP ログを NETWORK_HTTP にマッピングします。
• NETWORK_HTTP の URL フィールドは、metadata.url_back_to_product ではなく target.url にマッピングする必要があります。

2023-01-20

機能強化:

• フィールド「event.url」を「target.hostname」と「target.url」にマッピングしました。
• 「event.type」が「http」の場合、「metadata.event_type」を「NETWORK_HTTP」にマッピングしました。

2023-01-16

バグ修正:

• mgmt.url を target.url ではなく metadata.url_back_to_product にマッピングしました。
• site.name を principal.location.name にマッピングしました。
• src.process.rUserUid を principal.user.userid にマッピングしました。
• src.process.eUserId を principal.user.userid にマッピングしました。
• src.process.lUserId を principal.user.userid にマッピングしました。
• src.process.parent.rUserUid を metadata.ingestion_labels にマッピングしました。
• src.process.parent.eUserId を metadata.ingestion_labels にマッピングしました。
• src.process.parent.lUserId を metadata.ingestion_labels にマッピングしました。
• tgt.process.rUserUid を target.user.userid にマッピングしました。
• tgt.process.eUserId を target.user.userid にマッピングしました。
• tgt.process.lUserId を target.user.userid にマッピングしました。
• event.type が Process Creation の場合、metadata.event_type は PROCESS_LAUNCH にマッピングされます。
• event.type が Duplicate Process Handle の場合、metadata.event_type は PROCESS_OPEN にマッピングされます。
• event.type が Duplicate Thread Handle の場合、metadata.event_type は PROCESS_OPEN にマッピングされます。
• event.type が Open Remote Process Handle の場合、metadata.event_type は PROCESS_OPEN にマッピングされます。
• event.type が Remote Thread Creation の場合、metadata.event_type は PROCESS_LAUNCH にマッピングされます。
• event.type が Command Script の場合、metadata.event_type は FILE_UNCATEGORIZED にマッピングされます。
• event.type が IP Connect の場合、metadata.event_type は NETWORK_CONNECTION にマッピングされます。
• event.type が IP Listen の場合、metadata.event_type は NETWORK_UNCATEGORIZED にマッピングされます。
• event.type が File ModIfication の場合、metadata.event_type は FILE_MODIfICATION にマッピングされます。
• event.type が File Creation の場合、metadata.event_type は FILE_CREATION にマッピングされます。
• event.type が File Scan の場合、metadata.event_type は FILE_UNCATEGORIZED にマッピングされます。
• event.type が File Deletion の場合、metadata.event_type は FILE_DELETION にマッピングされます。
• event.type が File Rename の場合、metadata.event_type は FILE_MODIfICATION にマッピングされます。
• event.type が Pre Execution Detection の場合、metadata.event_type は FILE_UNCATEGORIZED にマッピングされます。
• event.type が Login の場合、metadata.event_type は USER_LOGIN にマッピングされます。
• event.type が Logout の場合、metadata.event_type は USER_LOGOUT にマッピングされます。
• event.type が GET の場合、metadata.event_type は NETWORK_HTTP にマッピングされます。
• event.type が OPTIONS の場合、metadata.event_type は NETWORK_HTTP にマッピングされます。
• event.type が POST の場合、metadata.event_type は NETWORK_HTTP にマッピングされます。
• event.type が PUT の場合、metadata.event_type は NETWORK_HTTP にマッピングされます。
• event.type が DELETE の場合、metadata.event_type は NETWORK_HTTP にマッピングされます。
• event.type が CONNECT の場合、metadata.event_type は NETWORK_HTTP にマッピングされます。
• event.type が HEAD の場合、metadata.event_type は NETWORK_HTTP にマッピングされます。
• event.type が Not Reported の場合、metadata.event_type は STATUS_UNCATEGORIZED にマッピングされます。
• event.type が DNS Resolved の場合、metadata.event_type は NETWORK_DNS にマッピングされます。
• event.type が DNS Unresolved の場合、metadata.event_type は NETWORK_DNS にマッピングされます。
• event.type が Task Register の場合、metadata.event_type は SCHEDULED_TASK_CREATION にマッピングされます。
• event.type が Task Update の場合、metadata.event_type は SCHEDULED_TASK_MODIfICATION にマッピングされます。
• event.type が Task Start の場合、metadata.event_type は SCHEDULED_TASK_UNCATEGORIZED にマッピングされます。
• event.type が Task Trigger の場合、metadata.event_type は SCHEDULED_TASK_UNCATEGORIZED にマッピングされます。
• event.type が Task Delete の場合、metadata.event_type は SCHEDULED_TASK_DELETION にマッピングされます。
• event.type が Registry Key Create の場合、metadata.event_type は REGISTRY_CREATION にマッピングされます。
• event.type が Registry Key Rename の場合、metadata.event_type は REGISTRY_MODIfICATION にマッピングされます。
• event.type が Registry Key Delete の場合、metadata.event_type は REGISTRY_DELETION にマッピングされます。
• event.type が Registry Key Export の場合、metadata.event_type は REGISTRY_UNCATEGORIZED にマッピングされます。
• event.type が Registry Key Security Changed の場合、metadata.event_type は REGISTRY_MODIfICATION にマッピングされます。
• event.type が Registry Key Import の場合、metadata.event_type は REGISTRY_CREATION にマッピングされます。
• event.type が Registry Value ModIfied の場合、metadata.event_type は REGISTRY_MODIfICATION にマッピングされます。
• event.type が Registry Value Create の場合、metadata.event_type は REGISTRY_CREATION にマッピングされます。
• event.type が Registry Value Delete の場合、metadata.event_type は REGISTRY_DELETION にマッピングされます。
• event.type が Behavioral Indicators の場合、metadata.event_type は SCAN_UNCATEGORIZED にマッピングされます。
• event.type が Module Load の場合、metadata.event_type は PROCESS_MODULE_LOAD にマッピングされます。
• event.type が Threat Intelligence Indicators の場合、metadata.event_type は SCAN_UNCATEGORIZED にマッピングされます。
• event.type が Named Pipe Creation の場合、metadata.event_type は PROCESS_UNCATEGORIZED にマッピングされます。
• event.type が Named Pipe Connection の場合、metadata.event_type は PROCESS_UNCATEGORIZED にマッピングされます。
• event.type が Driver Load の場合、metadata.event_type は PROCESS_MODULE_LOAD にマッピングされます。

2022-11-30

機能強化:

• 次のフィールドをマッピングして、バージョン V2 で取り込まれたログをサポートするようにパーサーを強化しました。
• account.id を metadata.product_deployment_id にマッピングしました。
• agent.uuid を principal.asset.asset_id にマッピングしました。
• dst.ip.address を target.ip にマッピングしました。
• src.ip.address を principal.ip にマッピングしました。
• src.process.parent.image.sha1 を principal.process.parent_process.file.sha1 にマッピングしました。
• src.process.parent.image.sha256 を principal.process.parent_process.file.sha256 にマッピングしました。
• src.process.parent.image.path を principal.process.parent_process.file.full_path にマッピングしました。
• src.process.parent.cmdline を principal.process.parent_process.command_line にマッピングしました。
• src.process.parent.image.md5 を principal.process.parent_process.file.md5 にマッピングしました。
• src.process.parent.pid を principal.process.parent_process.pid にマッピングしました。
• src.process.image.sha1 を principal.process.file.sha1 にマッピングしました。
• src.process.image.md5 を principal.process.file.md5 にマッピングしました。
• src.process.pid を principal.process.pid にマッピングしました。
• src.process.cmdline を principal.process.command_line にマッピングしました。
• src.process.image.path を principal.process.file.full_path にマッピングしました。
• src.process.image.sha256 を principal.process.file.sha256 にマッピングしました。
• src.process.user を principal.user.user_display_name にマッピングしました。
• src.process.uid を principal.user.userid にマッピングしました。
• src.process.storyline.id を principal.process.product_specific_process_id にマッピングしました。
• src.process.parent.storyline.id を principal.process.parent_process.product_specific_process_id にマッピングしました。
• mgmt.url を target.url にマッピングしました。
• site.id を principal.namespace にマッピングしました。
• src.port.number を principal.port にマッピングしました。
• dst.port.number を target.port にマッピングしました。
• event_data.id を metadata.product_log_id にマッピングしました。

2022-10-11

機能強化:

• threatClassification を security_result.category_details にマッピングしました。
• threatConfidenceLevel と threatMitigationStatus を security_result.detection_fields にマッピングしました。
• Location を principal.location.name にマッピングしました。
• data.filePath を principal.process.parent_process.file.full_path にマッピングしました。
• マッピング（CAT 値）security_result.category_details を metadata.product_event_type に更新しました

2022-09-01

機能強化:

• metadata.product_name を SentinelOne から Singularity に変更しました。
• event.regValue.key.value を target.registry.registry_value_name にマッピングしました。
• principal_userid を principal.user.userid にマッピングしました。
• principal_domain を principal.administrative_domain にマッピングしました。
• threatInfo.threatId を security_result.threat_id にマッピングしました
• threatInfo.identifiedAt を metadata.event_timestamp にマッピングしました。
• threatInfo.threatId を metadata.product_log_id にマッピングしました。
• security_result.alert_state を ALERTING にマッピングしました。
• threatInfo.maliciousProcessArguments を security_result.description にマッピングしました。
• threatInfo.threatName を security_result.threat_name にマッピングしました。
• threatInfo.classification を security_result.category_details にマッピングしました。
• threatInfo.classification が malicious の場合は security_result.category を SOFTWARE_MALICIOUS に、それ以外の場合は NETWORK_SUSPICIOUS にマッピングしました。
• threatInfo.mitigationStatus が mitigated の場合は security_result.action を ALLOW に、それ以外の場合は BLOCK にマッピングしました。
• threatInfo.mitigationStatus を security_result.action_details にマッピングしました。
• threatInfo.classification threatInfo.classificationSource threatInfo.analystVerdictDescription threatInfo.threatName を security_result.summary にマッピングしました。
• threatInfo.createdAt を metadata.collected_timestamp にマッピングしました。
• agentRealtimeInfo.accountId を metadata.product_deployment_id にマッピングしました。
• agentRealtimeInfo.agentVersion を metadata.product_version にマッピングしました。
• indicator.category を detection_fields.key に、indicator.description を detection_fields.value にマッピングしました。
• detectionEngines.key を detection_fields.key に、detectionEngines.title を detection_fields.value にマッピングしました。
• meta.computerName が null でない場合に、metadata.event_type を SCAN_UNCATEGORIZED にマッピングしました。

2022-07-21

機能強化:

• event.source.executable.hashes.md5 を principal.process.file.md5 にマッピングしました。
• event.source.executable.hashes.sha256 を principal.process.file.sha256 にマッピングしました。
• event.source.executable.hashes.sha1 を principal.process.file.sha1 にマッピングしました。
• event.source.fullPid.pid を principal.process.pid にマッピングしました。
• event.source.user.name を principal.user.userid にマッピングしました。
• meta.agentVersion を metadata.product_version にマッピングしました。
• event.appName を target.application にマッピングしました。
• event.contentHash.sha256 を target.process.file.sha256 にマッピングしました。
• event.source.commandLine を target.process.command_line にマッピングしました。
• event.decodedContent を target.labels にマッピングしました。
• event.type が scripts の場合、metadata.description を scripts から Command Scripts に変更しました。
• ベンダーを metadata.vendor_name にマッピングしました。
• data.fileContentHash を target.process.file.md5 にマッピングしました。
• data.ipAddress を principal.ip にマッピングしました。
• activityUuid を target.asset.product_object_id にマッピングしました。
• agentId を metadata.product_deployment_id にマッピングしました。
• user_email を principal.user.email_addresses にマッピングする前に、メール確認を追加しました。確認に失敗した場合は、principal.user.userid にマッピングしました。
• sourceIpAddresses を principal.ip にマッピングしました。
• accountName を principal.administrative_domain にマッピングしました。
• activityId を additional.fields にマッピングしました。

2022-07-15

機能強化:

• JSON 形式の新しいログを解析し、次の新しいフィールドをマッピングしました。
• metadata.product_name は SENTINEL_ONE にマッピング。
• sourceParentProcessMd5 は principal.process.parent_process.file.md5 にマッピング。
• sourceParentProcessPath は principal.process.parent_process.file.full_path にマッピング。
• sourceParentProcessPid は principal.process.parent_process.pid にマッピング。
• sourceParentProcessSha1 は principal.process.parent_process.file.sha1 にマッピング。
• sourceParentProcessSha256 は principal.process.parent_process.file.sha256 にマッピング。
• sourceParentProcessCmdArgs は principal.process.parent_process.command_line にマッピング。
• sourceProcessCmdArgs は principal.process.command_line にマッピング。
• sourceProcessMd5 は principal.process.file.md5 にマッピング。
• sourceProcessPid は principal.process.pid にマッピング。
• sourceProcessSha1 は principal.process.file.sha1 にマッピング。
• sourceProcessSha256 は principal.process.file.sha256 にマッピング。
• sourceProcessPath は principal.process.file.full_path にマッピング。
• tgtFilePath は target.file.full_path にマッピング。
• tgtFileHashSha256 は target.file.sha256 にマッピング。
• tgtFileHashSha1 は target.file.sha1 にマッピング。
• tgtProcUid は target.process.product_specific_process_id にマッピング。
• tgtProcCmdLine は target.process.command_line にマッピング。
• tgtProcPid は target.process.pid にマッピング。
• tgtProcName は target.application にマッピング。
• dstIp は target.ip にマッピング。
• srcIp は principal.ip にマッピング。
• dstPort は target.port にマッピング。
• srcPort は principal.port にマッピング。
• origAgentName は principal.hostname にマッピング。
• agentIpV4 は principal.ip にマッピング。
• groupId は principal.user.group_identifiers にマッピング。
• groupName は principal.user.group_display_name にマッピング。
• origAgentVersion は principal.asset.software.version にマッピング。
• origAgentOsFamily は principal.platform にマッピング。
• origAgentOsName を principal.asset.software.name に変更しました。
• sourceEventType = FILEMODIFICATION の場合、event_type を FILE_MODIFICATION に変更。
• event_type を FILE_DELETION に変更（sourceEventType = FILEDELETION の場合）。
• event_type を PROCESS_LAUNCH に変更（sourceEventType = PROCESSCREATION の場合）。
• event_type を NETWORK_CONNECTION に変更（sourceEventType = TCPV4 の場合）。

2022-06-13

機能強化:

• [event][type] == fileCreation および [event][type] == fileDeletion の場合
• event.targetFile.path を target.file.full_path にマッピングしました。
• event.targetFile.hashes.md5 を target.process.file.md5 にマッピングしました。
• event.targetFile.hashes.sha1 を target.process.file.sha1 にマッピングしました。
• event.targetFile.hashes.sha256 を target.process.file.sha256 にマッピングしました。
• for [event][type] == fileModification
• event.file.path を target.file.full_path にマッピングしました。
• event.file.hashes.md5 を target.process.file.md5 にマッピングしました。
• event.file.hashes.sha1 を target.process.file.sha1 にマッピングしました。
• event.file.hashes.sha256 を target.process.file.sha256 にマッピングしました。

2022-04-18

• 未解析の未加工ログをすべて処理するようにパーサーを強化しました。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。