收集 SentinelOne EDR 日志
支持的语言:
Google SecOps
SIEM
本文档介绍了如何使用 SentinelOne Cloud Funnel 将 SentinelOne 日志导出到 Google Cloud Storage。由于 SentinelOne 不提供内置集成功能来直接将日志导出到 Google Cloud Storage,因此 Cloud Funnel 充当中间服务来将日志推送到 Cloud Storage。
准备工作
确保您满足以下前提条件:
- Google SecOps 实例
- 对 Google Cloud 平台的特权访问权限
- 对 SentinelOne 的特权访问权限
配置 Cloud Funnel 访问 Cloud Storage 的权限
- 登录 Google Cloud 控制台。
- 前往 IAM 和管理。
- 在 IAM 页面中,为 Cloud Funnel 服务账号添加新的 IAM 角色:
- 分配 Storage Object Creator 权限。
- 可选:如果您需要 Cloud Funnel 从存储桶中读取对象,请分配 Storage Object Viewer。
- 向 Cloud Funnel 服务账号授予这些权限。
创建 Cloud Storage 存储桶
- 登录 Google Cloud 控制台。
- 前往存储空间 > 浏览器。
- 点击创建存储分区。
- 提供以下配置:
- 存储桶名称:为存储桶选择一个唯一的名称(例如 sentinelone-logs)。
- 存储位置:选择存储桶所在的区域(例如 美国西部 1)。
- 存储类别:选择标准存储类别。
- 点击创建。
在 SentinelOne 中配置 Cloud Funnel
- 在 SentinelOne 控制台中,前往设置。
- 找到 Cloud Funnel 选项(位于集成下方)。
- 如果尚未启用,请点击启用 Cloud Funnel。
- 启用后,系统会提示您配置目标设置。
- 选择目标位置:选择 Google Cloud Storage 作为导出日志的目标位置。
- Google Cloud Storage:提供 Google Cloud Storage 凭据。
- 日志导出频率:设置导出日志的频率(例如,每小时或每天)。
如何配置 Cloud Funnel 日志导出
- 在 SentinelOne 控制台的 Cloud Funnel 配置部分中,设置以下内容:
- 日志导出频率:选择日志的导出频率(例如,每小时或每天)。
- 日志格式:选择 JSON 格式。
- 存储分区名称:输入您之前创建的 Google Cloud Storage 存储桶的名称(例如 sentinelone-logs)。
- 可选:日志路径前缀:指定用于在存储桶中整理日志的前缀(例如
sentinelone-logs/)。
- 配置完设置后,点击保存以应用更改。
设置 Feed
您可以通过两种不同的入口点在 Google SecOps 平台中设置 Feed:
- SIEM 设置 > Feed
- 内容中心 > 内容包
通过“SIEM 设置”>“Feed”设置 Feed
如需为相应产品系列中的不同日志类型配置多个 Feed,请参阅按产品配置 Feed。
如需配置单个 Feed,请按以下步骤操作:
- 依次前往 SIEM 设置> Feed。
- 点击添加新 Feed。
- 在下一页上,点击配置单个 Feed。
- 在 Feed name 字段中,输入 Feed 的名称,例如 Sentinel EDR Logs。
- 选择 Google Cloud Storage 作为来源类型。
- 选择 Sentinel EDR 作为日志类型。
- 点击获取服务账号作为 Chronicle 服务账号。
- 点击下一步。
为以下输入参数指定值:
- 存储分区 URI:Cloud Storage 存储桶网址,采用
gs://my-bucket/<value>格式。 - URI Is A:选择目录(包括子目录)。
源删除选项:根据您的提取偏好设置选择删除选项。
资源命名空间:资源命名空间。
注入标签:应用于此 Feed 中事件的标签。
- 存储分区 URI:Cloud Storage 存储桶网址,采用
点击下一步。
在最终确定界面中查看新的 Feed 配置,然后点击提交。
设置来自内容中心的 Feed
为以下字段指定值:
- 存储桶 URI:Google Cloud Storage 存储桶源 URI。
- URI is a:根据日志流配置选择 URI 类型(Single file [单个文件] | Directory [目录] | Directory which includes subdirectories [包含子目录的目录])。
- 源删除选项:根据您的提取偏好设置选择删除选项。
高级选项
- Feed 名称:用于标识 Feed 的预填充值。
- 来源类型:用于将日志收集到 Google SecOps 中的方法。
- 资产命名空间:与 Feed 关联的命名空间。
- 提取标签:应用于相应 Feed 中所有事件的标签。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
event.contentHash.sha256 |
target.process.file.sha256 |
目标进程的文件的 SHA-256 哈希值,从原始日志的 event.contentHash.sha256 字段中提取。 |
event.decodedContent |
target.labels |
从原始日志的 event.decodedContent 字段中提取的脚本的解码内容。它会作为键为 Decoded Content 的标签添加到目标对象中。 |
event.destinationAddress.address |
target.ip |
从原始日志的 event.destinationAddress.address 字段中提取的目标 IP 地址。 |
event.destinationAddress.port |
target.port |
从原始日志的 event.destinationAddress.port 字段中提取的目标端口。 |
event.method |
network.http.method |
从原始日志的 event.method 字段中提取的事件的 HTTP 方法。 |
event.newValueData |
target.registry.registry_value_data |
注册表值的新值数据,从原始日志中的 event.newValueData 字段提取。 |
event.process.commandLine |
target.process.command_line |
从原始日志的 event.process.commandLine 字段中提取的进程命令行。 |
event.process.executable.hashes.md5 |
target.process.file.md5 |
从原始日志的 event.process.executable.hashes.md5 字段中提取的进程可执行文件的 MD5 哈希。 |
event.process.executable.hashes.sha1 |
target.process.file.sha1 |
进程的可执行文件的 SHA-1 哈希,从原始日志的 event.process.executable.hashes.sha1 字段中提取。 |
event.process.executable.hashes.sha256 |
target.process.file.sha256 |
从原始日志的 event.process.executable.hashes.sha256 字段中提取的进程可执行文件的 SHA-256 哈希值。 |
event.process.executable.path |
target.process.file.full_path |
从原始日志的 event.process.executable.path 字段中提取的进程可执行文件的完整路径。 |
event.process.executable.sizeBytes |
target.process.file.size |
从原始日志的 event.process.executable.sizeBytes 字段中提取的进程可执行文件的大小。 |
event.process.fullPid.pid |
target.process.pid |
从原始日志的 event.process.fullPid.pid 字段中提取的进程 PID。 |
event.query |
network.dns.questions.name |
从原始日志的 event.query 字段中提取的 DNS 查询。 |
event.regKey.path |
target.registry.registry_key |
从原始日志的 event.regKey.path 字段中提取的注册表键的路径。 |
event.regValue.key.value |
target.registry.registry_name,target.registry.registry_value_name |
从原始日志的 event.regValue.key.value 字段中提取的注册表值的名称。 |
event.regValue.path |
target.registry.registry_key |
从原始日志的 event.regValue.path 字段中提取的注册表值路径。 |
event.results |
network.dns.answers.data |
从原始日志的 event.results 字段中提取的 DNS 答案。系统会使用“;”分隔符将数据拆分为各个答案。 |
event.source.commandLine |
principal.process.command_line |
源进程的命令行,从原始日志的 event.source.commandLine 字段中提取。 |
event.source.executable.hashes.md5 |
principal.process.file.md5 |
源进程的可执行文件的 MD5 哈希,从原始日志的 event.source.executable.hashes.md5 字段中提取。 |
event.source.executable.hashes.sha1 |
principal.process.file.sha1 |
源进程的可执行文件的 SHA-1 哈希,从原始日志的 event.source.executable.hashes.sha1 字段中提取。 |
event.source.executable.hashes.sha256 |
principal.process.file.sha256 |
源进程的可执行文件的 SHA-256 哈希值,从原始日志的 event.source.executable.hashes.sha256 字段中提取。 |
event.source.executable.path |
principal.process.file.full_path |
从原始日志的 event.source.executable.path 字段中提取的源进程的可执行文件的完整路径。 |
event.source.executable.signature.signed.identity |
principal.resource.attribute.labels |
源进程的可执行文件的已签名身份,从原始日志的 event.source.executable.signature.signed.identity 字段中提取。它会作为键为 Source Signature Signed Identity 的标签添加到正文资源属性标签中。 |
event.source.executable.sizeBytes |
principal.process.file.size |
从原始日志的 event.source.executable.sizeBytes 字段中提取的源进程的可执行文件的大小。 |
event.source.fullPid.pid |
principal.process.pid |
从原始日志的 event.source.fullPid.pid 字段中提取的源进程的 PID。 |
event.source.parent.commandLine |
principal.process.parent_process.command_line |
源父进程的命令行,从原始日志的 event.source.parent.commandLine 字段中提取。 |
event.source.parent.executable.hashes.md5 |
principal.process.parent_process.file.md5 |
源父进程的可执行文件的 MD5 哈希,从原始日志的 event.source.parent.executable.hashes.md5 字段中提取。 |
event.source.parent.executable.hashes.sha1 |
principal.process.parent_process.file.sha1 |
从原始日志的 event.source.parent.executable.hashes.sha1 字段中提取的源父进程的可执行文件的 SHA-1 哈希。 |
event.source.parent.executable.hashes.sha256 |
principal.process.parent_process.file.sha256 |
源父进程的可执行文件的 SHA-256 哈希值,从原始日志的 event.source.parent.executable.hashes.sha256 字段中提取。 |
event.source.parent.executable.signature.signed.identity |
principal.resource.attribute.labels |
从原始日志的 event.source.parent.executable.signature.signed.identity 字段中提取的源父进程可执行文件的签名身份。它会作为键为 Source Parent Signature Signed Identity 的标签添加到正文资源属性标签中。 |
event.source.parent.fullPid.pid |
principal.process.parent_process.pid |
从原始日志的 event.source.parent.fullPid.pid 字段中提取的源父进程的 PID。 |
event.source.user.name |
principal.user.userid |
源进程用户的用户名,从原始日志的 event.source.user.name 字段中提取。 |
event.source.user.sid |
principal.user.windows_sid |
来源进程用户的 Windows SID,从原始日志的 event.source.user.sid 字段中提取。 |
event.sourceAddress.address |
principal.ip |
从原始日志的 event.sourceAddress.address 字段中提取的来源 IP 地址。 |
event.sourceAddress.port |
principal.port |
来源的端口,从原始日志的 event.sourceAddress.port 字段中提取。 |
event.target.executable.hashes.md5 |
target.process.file.md5 |
目标进程的可执行文件的 MD5 哈希,从原始日志的 event.target.executable.hashes.md5 字段中提取。 |
event.target.executable.hashes.sha1 |
target.process.file.sha1 |
目标进程的可执行文件的 SHA-1 哈希,从原始日志中的 event.target.executable.hashes.sha1 字段提取。 |
event.target.executable.hashes.sha256 |
target.process.file.sha256 |
目标进程的可执行文件的 SHA-256 哈希值,从原始日志的 event.target.executable.hashes.sha256 字段中提取。 |
event.target.executable.path |
target.process.file.full_path |
目标进程的可执行文件的完整路径,从原始日志的 event.target.executable.path 字段中提取。 |
event.target.executable.signature.signed.identity |
target.resource.attribute.labels |
目标进程的可执行文件的已签名身份,从原始日志的 event.target.executable.signature.signed.identity 字段中提取。它会作为键为 Target Signature Signed Identity 的标签添加到目标资源属性标签中。 |
event.target.executable.sizeBytes |
target.process.file.size |
从原始日志的 event.target.executable.sizeBytes 字段中提取的目标进程的可执行文件的大小。 |
event.target.fullPid.pid |
target.process.pid |
从原始日志的 event.target.fullPid.pid 字段中提取的目标进程的 PID。 |
event.targetFile.path |
target.file.full_path |
从原始日志的 event.targetFile.path 字段中提取的目标文件的完整路径。 |
event.targetFile.signature.signed.identity |
target.resource.attribute.labels |
目标文件的签名身份,从原始日志的 event.targetFile.signature.signed.identity 字段中提取。它会作为键为 Target File Signature Signed Identity 的标签添加到目标资源属性标签中。 |
event.trueContext.key.value |
未映射到 UDM。 | |
event.type |
metadata.description |
从原始日志的 event.type 字段中提取的事件类型。 |
event.url |
target.url |
从原始日志的 event.url 字段中提取的事件网址。 |
meta.agentVersion |
metadata.product_version,metadata.product_version |
从原始日志的 meta.agentVersion 字段中提取的代理版本。 |
meta.computerName |
principal.hostname,target.hostname |
从原始日志的 meta.computerName 字段中提取的计算机主机名。 |
meta.osFamily |
principal.asset.platform_software.platform,target.asset.platform_software.platform |
计算机的操作系统系列,从原始日志的 meta.osFamily 字段中提取。它映射到 linux 的 LINUX 和 windows 的 WINDOWS。 |
meta.osRevision |
principal.asset.platform_software.platform_version,target.asset.platform_software.platform_version |
计算机的操作系统修订版本,从原始日志的 meta.osRevision 字段中提取。 |
meta.traceId |
metadata.product_log_id |
从原始日志的 meta.traceId 字段中提取的事件的轨迹 ID。 |
meta.uuid |
principal.asset.product_object_id,target.asset.product_object_id |
从原始日志的 meta.uuid 字段中提取的计算机 UUID。 |
metadata_event_type |
metadata.event_type |
事件的类型,由解析器逻辑根据 event.type 字段设置。 |
metadata_product_name |
metadata.product_name |
商品的名称,由解析器逻辑设置为 Singularity XDR。 |
metadata_vendor_name |
metadata.vendor_name |
供应商的名称,由解析器逻辑设置为 SentinelOne。 |
network_application_protocol |
network.application_protocol |
网络连接的应用协议,由解析器逻辑针对 DNS 事件设置为 DNS。 |
network_dns_questions.name |
network.dns.questions.name |
从原始日志的 event.query 字段中提取的 DNS 问题名称。 |
network_direction |
network.direction |
网络连接的方向,由解析器逻辑设置为 OUTBOUND(对于出站连接)和 INBOUND(对于入站连接)。 |
network_http_method |
network.http.method |
从原始日志的 event.method 字段中提取的事件的 HTTP 方法。 |
principal.process.command_line |
target.process.command_line |
从 principal.process.command_line 字段提取并映射到目标进程命令行的主进程命令行。 |
principal.process.file.full_path |
target.process.file.full_path |
从 principal.process.file.full_path 字段提取并映射到目标进程文件完整路径的主进程文件的完整路径。 |
principal.process.file.md5 |
target.process.file.md5 |
从 principal.process.file.md5 字段提取的主进程文件的 MD5 哈希,并映射到目标进程文件 MD5。 |
principal.process.file.sha1 |
target.process.file.sha1 |
从 principal.process.file.sha1 字段提取的主进程文件的 SHA-1 哈希值,并映射到目标进程文件 SHA-1。 |
principal.process.file.sha256 |
target.process.file.sha256 |
从 principal.process.file.sha256 字段提取并映射到目标进程文件 SHA-256 的主进程文件的 SHA-256 哈希值。 |
principal.process.file.size |
target.process.file.size |
从 principal.process.file.size 字段提取的主进程文件的大小,并映射到目标进程文件大小。 |
principal.process.pid |
target.process.pid |
从 principal.process.pid 字段提取的主进程的 PID,并映射到目标进程 PID。 |
principal.user.userid |
target.user.userid |
从 principal.user.userid 字段提取并映射到目标用户 ID 的主账号的用户 ID。 |
principal.user.windows_sid |
target.user.windows_sid |
从 principal.user.windows_sid 字段提取并映射到目标用户 Windows SID 的主账号的 Windows SID。 |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。