SentinelOne Deep Visibility-Logs erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie SentinelOne Deep Visibility-Logs mit Cloud Funnel nach Google Security Operations exportieren. Dazu werden Logs nach Google Cloud Storage exportiert. Der Parser wandelt Rohdaten von Sicherheitsereignis-Logs im JSON-Format in ein strukturiertes Format um, das dem UDM entspricht. Zuerst wird eine Reihe von Variablen initialisiert. Dann wird der Ereignistyp extrahiert und die JSON-Nutzlast wird geparst. Dabei werden relevante Felder dem UDM-Schema zugeordnet und Windows-Ereignisprotokolle werden separat verarbeitet.

Hinweise

Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:

  • Google SecOps-Instanz
  • Privilegierter Zugriff auf Google Cloud
  • SentinelOne Deep Visibility in Ihrer Umgebung eingerichtet
  • Privilegierter Zugriff auf SentinelOne

Google Cloud Storage-Bucket erstellen

  1. Melden Sie sich in der Google Cloud -Konsole an.

  2. Rufen Sie die Seite Cloud Storage-Buckets auf.

    Buckets aufrufen

  3. Klicken Sie auf Erstellen.

  4. Geben Sie auf der Seite Bucket erstellen die Bucket-Informationen ein. Klicken Sie nach jedem der folgenden Schritte auf Weiter, um mit dem nächsten Schritt fortzufahren:

    1. Führen Sie im Abschnitt Einstieg die folgenden Schritte aus:

      1. Geben Sie einen eindeutigen Namen ein, der den Anforderungen für Bucket-Namen entspricht, z. B. sentinelone-deepvisibility.

      2. Wenn Sie den hierarchischen Namespace aktivieren möchten, klicken Sie auf den Maximierungspfeil, um den Bereich Für dateiorientierte und datenintensive Arbeitslasten optimieren zu maximieren, und wählen Sie dann Hierarchischen Namespace für diesen Bucket aktivieren aus.

      3. Wenn Sie ein Bucket-Label hinzufügen möchten, klicken Sie auf den Erweiterungspfeil, um den Abschnitt Labels zu maximieren.

      4. Klicken Sie auf Label hinzufügen und geben Sie einen Schlüssel und einen Wert für das Label an.

    2. Gehen Sie im Bereich Speicherort für Daten auswählen so vor:

      1. Standorttyp auswählen.

      2. Wählen Sie im Menü für den Standorttyp einen Speicherort aus, an dem die Objektdaten in Ihrem Bucket dauerhaft gespeichert werden sollen.

      3. Wenn Sie die Bucket-übergreifende Replikation einrichten möchten, maximieren Sie den Bereich Bucket-übergreifende Replikation einrichten.

    3. Wählen Sie im Abschnitt Speicherklasse für Ihre Daten auswählen entweder eine Standardspeicherklasse für den Bucket oder Autoclass für die automatische Verwaltung der Speicherklassen Ihrer Bucket-Daten aus.

    4. Wählen Sie im Abschnitt Zugriff auf Objekte steuern die Option nicht aus, um die Verhinderung des öffentlichen Zugriffs zu erzwingen, und wählen Sie ein Zugriffssteuerungsmodell für die Objekte Ihres Buckets aus.

    5. Gehen Sie im Bereich Auswählen, wie Objektdaten geschützt werden so vor:

      1. Wählen Sie unter Datenschutz die gewünschten Optionen für Ihren Bucket aus.
      2. Um auszuwählen, wie Ihre Objektdaten verschlüsselt werden, klicken Sie auf den Erweiterungspfeil mit dem Label Datenverschlüsselung und wählen Sie eine Datenverschlüsselungsmethode aus.

  5. Klicken Sie auf Erstellen.

Google Cloud-Dienstkonto erstellen

  1. Rufen Sie IAM & Verwaltung > Dienstkonten auf.
  2. Erstellen Sie ein neues Dienstkonto.
  3. Geben Sie einen aussagekräftigen Namen ein, z. B. sentinelone-dv-logs.
  4. Gewähren Sie dem Dienstkonto die Rolle Storage Object Creator für den Cloud Storage-Bucket, den Sie im vorherigen Schritt erstellt haben.
  5. Erstellen Sie einen SSH-Schlüssel für das Dienstkonto.
  6. Laden Sie eine JSON-Schlüsseldatei für das Dienstkonto herunter. Bewahren Sie diese Datei sicher auf.

Cloud Funnel in SentinelOne DeepVisibility konfigurieren

  1. Melden Sie sich in SentinelOne DeepVisibility an.
  2. Klicken Sie auf Konfigurieren > Richtlinie und Einstellungen.
  3. Klicken Sie im Bereich Singularity Data Lake auf Cloud Funnel.
  4. Geben Sie die folgenden Konfigurationsdetails an:
    • Cloud-Anbieter: Wählen Sie Google Cloudaus.
    • Bucket Name (Bucket-Name): Geben Sie den Namen des Cloud Storage-Bucket ein, den Sie für die Erfassung von SentinelOne DeepVisibility-Protokollen erstellt haben.
    • Telemetry Streaming (Telemetrie-Streaming): Wählen Sie Enable (Aktivieren) aus.
    • Abfragefilter: Erstellen Sie eine Abfrage, die die Agents enthält, die Daten an einen Cloud Storage-Bucket senden müssen.
    • Klicke auf Validieren.
    • Einzuschließende Felder: Wählen Sie alle Felder aus.
  5. Klicken Sie auf Speichern.

Feeds einrichten

Es gibt zwei verschiedene Einstiegspunkte zum Einrichten von Feeds in der Google SecOps-Plattform:

  • SIEM-Einstellungen > Feeds
  • Content Hub> Content-Pakete

Feeds über die SIEM-Einstellungen > „Feeds“ einrichten

Informationen zum Konfigurieren mehrerer Feeds für verschiedene Logtypen in dieser Produktfamilie finden Sie unter Feeds nach Produkt konfigurieren.

So konfigurieren Sie einen einzelnen Feed:

  1. Rufen Sie die SIEM-Einstellungen> Feeds auf.
  2. Klicken Sie auf Neuen Feed hinzufügen.
  3. Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
  4. Geben Sie im Feld Feed name (Feedname) einen Namen für den Feed ein, z. B. SentinelOne DV Logs.
  5. Wählen Sie Google Cloud Storage als Quelltyp aus.
  6. Wählen Sie SentinelOne Deep Visibility als Logtyp aus.
  7. Klicken Sie auf Dienstkonto abrufen als Chronicle-Dienstkonto.
  8. Klicken Sie auf Weiter.

  9. Geben Sie Werte für die folgenden Eingabeparameter an:

    • Storage-Bucket-URI: Google Cloud Storage-Bucket-URL im Format gs://my-bucket/<value>.
    • URI Is A (URI ist ein): Wählen Sie Directory which includes subdirectories (Verzeichnis mit Unterverzeichnissen) aus.

    • Optionen zum Löschen der Quelle: Wählen Sie die Löschoption entsprechend Ihren Aufnahmeeinstellungen aus.

    • Asset-Namespace: Der Asset-Namespace.

    • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet wird.

  10. Klicken Sie auf Weiter.

  11. Prüfen Sie die neue Feedkonfiguration auf dem Finalize screen (Bildschirm „Abschließen“) und klicken Sie dann auf Submit (Senden).

Feeds über den Content Hub einrichten

Geben Sie Werte für die folgenden Felder an:

  • Storage-Bucket-URI: Der Quell-URI des Google Cloud Storage-Bucket.
  • URI is a (URI ist ein): Wählen Sie den URI-TYP entsprechend der Logstream-Konfiguration aus (Single file (Einzelne Datei) | Directory (Verzeichnis) | Directory which includes subdirectories (Verzeichnis mit Unterverzeichnissen)).
  • Optionen zum Löschen der Quelle: Wählen Sie die Löschoption entsprechend Ihren Aufnahmeeinstellungen aus.

Erweiterte Optionen

  • Feedname: Ein vorausgefüllter Wert, der den Feed identifiziert.
  • Quelltyp: Methode, die zum Erfassen von Logs in Google SecOps verwendet wird.
  • Asset-Namespace: Namespace, der dem Feed zugeordnet ist.
  • Aufnahmelabels: Labels, die auf alle Ereignisse aus diesem Feed angewendet werden.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
AdapterName security_result.about.resource.attribute.labels.value Der Wert wird aus dem Feld „AdapterName“ im Rohlog übernommen.
AdapterSuffixName security_result.about.resource.attribute.labels.value Der Wert wird aus dem Feld „AdapterSuffixName“ im Rohlog übernommen.
agent_version read_only_udm.metadata.product_version Der Wert wird aus dem Feld „meta.agent_version“ im Rohlog übernommen.
Version security_result.about.resource.attribute.labels.value Der Wert wird aus dem Feld „Channel“ im Rohlog übernommen.
commandLine read_only_udm.principal.process.command_line Der Wert wird aus dem Feld „event.Event...commandLine“ im Rohlog übernommen, wobei der spezifische Ereignistyp ist (z.B. ProcessCreation, ProcessExit) und ist das Feld mit Prozessinformationen (z.B. Prozess, Quelle, übergeordnetes Element).
computer_name read_only_udm.principal.hostname Der Wert wird aus dem Feld „meta.computer_name“ im Rohlog übernommen.
destinationAddress.address read_only_udm.target.ip Der Wert wird aus dem Feld „event.Event.Tcpv4.destinationAddress.address“ im Rohlog übernommen.
destinationAddress.port read_only_udm.target.port Der Wert wird aus dem Feld „event.Event.Tcpv4.destinationAddress.port“ im Rohlog übernommen.
DnsServerList read_only_udm.principal.ip Der Wert wird aus dem Feld „DnsServerList“ im Rohlog übernommen.
ErrorCode_new security_result.detection_fields.value Der Wert wird aus dem Feld „ErrorCode_new“ im Rohlog übernommen.
EventID security_result.about.resource.attribute.labels.value Der Wert wird aus dem Feld „EventID“ im Rohlog übernommen.
event.Event.Dns.query read_only_udm.network.dns.questions.name Der Wert wird aus dem Feld „event.Event.Dns.query“ im Rohlog übernommen.
event.Event.Dns.results read_only_udm.network.dns.answers.data Der Wert wird aus dem Feld „event.Event.Dns.results“ im Rohlog übernommen.
event.Event.Dns.source.fullPid.pid read_only_udm.principal.process.pid Der Wert wird aus dem Feld „event.Event.Dns.source.fullPid.pid“ im Rohlog übernommen.
event.Event.Dns.source.user.name read_only_udm.principal.user.userid Der Wert wird aus dem Feld „event.Event.Dns.source.user.name“ im Rohlog übernommen.
event.Event.FileCreation.source.fullPid.pid read_only_udm.principal.process.pid Der Wert wird aus dem Feld „event.Event.FileCreation.source.fullPid.pid“ im Rohlog übernommen.
event.Event.FileCreation.source.user.name read_only_udm.principal.user.userid Der Wert wird aus dem Feld „event.Event.FileCreation.source.user.name“ im Rohlog übernommen.
event.Event.FileCreation.targetFile.path read_only_udm.target.file.full_path Der Wert wird aus dem Feld „event.Event.FileCreation.targetFile.path“ im Rohlog übernommen.
event.Event.FileDeletion.source.fullPid.pid read_only_udm.principal.process.pid Der Wert wird aus dem Feld „event.Event.FileDeletion.source.fullPid.pid“ im Rohlog übernommen.
event.Event.FileDeletion.source.user.name read_only_udm.principal.user.userid Der Wert wird aus dem Feld „event.Event.FileDeletion.source.user.name“ im Rohlog übernommen.
event.Event.FileDeletion.targetFile.path read_only_udm.target.file.full_path Der Wert wird aus dem Feld „event.Event.FileDeletion.targetFile.path“ im Rohlog übernommen.
event.Event.FileModification.file.path read_only_udm.target.file.full_path Der Wert wird aus dem Feld „event.Event.FileModification.file.path“ im Rohlog übernommen.
event.Event.FileModification.source.user.name read_only_udm.principal.user.userid Der Wert wird aus dem Feld „event.Event.FileModification.source.user.name“ im Rohlog übernommen.
event.Event.FileModification.targetFile.path read_only_udm.target.file.full_path Der Wert wird aus dem Feld „event.Event.FileModification.targetFile.path“ im Rohlog übernommen.
event.Event.Http.source.user.name read_only_udm.principal.user.userid Der Wert wird aus dem Feld „event.Event.Http.source.user.name“ im Rohlog übernommen.
event.Event.Http.url read_only_udm.target.url Der Wert wird aus dem Feld „event.Event.Http.url“ im Rohlog übernommen.
event.Event.ProcessCreation.process.user.name read_only_udm.principal.user.userid Der Wert wird aus dem Feld „event.Event.ProcessCreation.process.user.name“ im Rohlog übernommen.
event.Event.ProcessCreation.source.user.name read_only_udm.principal.user.userid Der Wert wird aus dem Feld „event.Event.ProcessCreation.source.user.name“ im Rohlog übernommen.
event.Event.ProcessExit.source.user.name read_only_udm.principal.user.userid Der Wert wird aus dem Feld „event.Event.ProcessExit.source.user.name“ im Rohlog übernommen.
event.Event.ProcessTermination.source.user.name read_only_udm.principal.user.userid Der Wert wird aus dem Feld „event.Event.ProcessTermination.source.user.name“ im Rohlog übernommen.
event.Event.RegKeyCreate.source.fullPid.pid read_only_udm.principal.process.pid Der Wert wird aus dem Feld „event.Event.RegKeyCreate.source.fullPid.pid“ im Rohlog übernommen.
event.Event.RegKeyCreate.source.user.name read_only_udm.principal.user.userid Der Wert wird aus dem Feld „event.Event.RegKeyCreate.source.user.name“ im Rohlog übernommen.
event.Event.RegKeyDelete.source.user.name read_only_udm.principal.user.userid Der Wert wird aus dem Feld „event.Event.RegKeyDelete.source.user.name“ im Rohlog übernommen.
event.Event.RegValueModified.source.user.name read_only_udm.principal.user.userid Der Wert wird aus dem Feld „event.Event.RegValueModified.source.user.name“ im Rohlog übernommen.
event.Event.SchedTaskDelete.source.user.name read_only_udm.principal.user.userid Der Wert wird aus dem Feld „event.Event.SchedTaskDelete.source.user.name“ im Rohlog übernommen.
event.Event.SchedTaskRegister.source.user.name read_only_udm.principal.user.userid Der Wert wird aus dem Feld „event.Event.SchedTaskRegister.source.user.name“ im Rohlog übernommen.
event.Event.SchedTaskStart.source.user.name read_only_udm.principal.user.userid Der Wert wird aus dem Feld „event.Event.SchedTaskStart.source.user.name“ im Rohlog übernommen.
event.Event.SchedTaskTrigger.source.fullPid.pid read_only_udm.principal.process.pid Der Wert wird aus dem Feld „event.Event.SchedTaskTrigger.source.fullPid.pid“ im Rohlog übernommen.
event.Event.SchedTaskTrigger.source.user.name read_only_udm.principal.user.userid Der Wert wird aus dem Feld „event.Event.SchedTaskTrigger.source.user.name“ im Rohlog übernommen.
event.Event.Tcpv4.source.fullPid.pid read_only_udm.principal.process.pid Der Wert wird aus dem Feld „event.Event.Tcpv4.source.fullPid.pid“ im Rohlog übernommen.
event.Event.Tcpv4.source.user.name read_only_udm.principal.user.userid Der Wert wird aus dem Feld „event.Event.Tcpv4.source.user.name“ im Rohlog übernommen.
event.Event.Tcpv4Listen.local.address read_only_udm.principal.ip Der Wert wird aus dem Feld „event.Event.Tcpv4Listen.local.address“ im Rohlog übernommen.
event.timestamp.millisecondsSinceEpoch read_only_udm.metadata.event_timestamp.seconds Der Wert wird aus dem Feld „event.timestamp.millisecondsSinceEpoch“ im Rohlog übernommen und in Sekunden umgerechnet.
event.timestamp.millisecondsSinceEpoch read_only_udm.metadata.event_timestamp.nanos Der Wert wird aus dem Feld „event.timestamp.millisecondsSinceEpoch“ im Rohlog übernommen und in Nanosekunden umgerechnet.
event.timestamp.millisecondsSinceEpoch security_result.about.resource.attribute.labels.value Der Wert wird aus dem Feld „event.timestamp.millisecondsSinceEpoch“ im Rohlog übernommen und als Wert für ein Label im Array „security_result.about.resource.attribute.labels“ verwendet.
event_type read_only_udm.metadata.product_event_type Der Wert wird aus dem Feld „message“ im Rohlog mithilfe eines Grok-Musters extrahiert.
executable.hashes.md5 read_only_udm.principal.process.file.md5 Der Wert wird aus dem Feld „event.Event...executable.hashes.md5“ im Rohlog übernommen, wobei der spezifische Ereignistyp ist (z.B. ProcessCreation, ProcessExit) und ist das Feld mit Prozessinformationen (z.B. Prozess, Quelle, übergeordnetes Element).
executable.hashes.sha1 read_only_udm.principal.process.file.sha1 Der Wert wird aus dem Feld „event.Event...executable.hashes.sha1“ im Rohlog übernommen, wobei der spezifische Ereignistyp ist (z.B. ProcessCreation, ProcessExit) und ist das Feld mit Prozessinformationen (z.B. Prozess, Quelle, übergeordnetes Element).
executable.hashes.sha256 read_only_udm.principal.process.file.sha256 Der Wert wird aus dem Feld „event.Event...executable.hashes.sha256“ im Rohlog übernommen, wobei der spezifische Ereignistyp ist (z.B. ProcessCreation, ProcessExit) und ist das Feld mit Prozessinformationen (z.B. Prozess, Quelle, übergeordnetes Element).
executable.path read_only_udm.principal.process.file.full_path Der Wert wird aus dem Feld „event.Event...executable.path“ im Rohlog übernommen, wobei der spezifische Ereignistyp ist (z.B. ProcessCreation, ProcessExit) und ist das Feld mit Prozessinformationen (z.B. Prozess, Quelle, übergeordnetes Element).
executable.sizeBytes read_only_udm.principal.process.file.size Der Wert wird aus dem Feld „event.Event...executable.sizeBytes“ im Rohlog übernommen, wobei der spezifische Ereignistyp ist (z.B. ProcessCreation, ProcessExit) und ist das Feld mit Prozessinformationen (z.B. Prozess, Quelle, übergeordnetes Element).
fullPid.pid read_only_udm.principal.process.pid Der Wert wird aus dem Feld „event.Event...fullPid.pid“ im Rohlog übernommen, wobei der spezifische Ereignistyp ist (z.B. ProcessCreation, ProcessExit) und ist das Feld mit Prozessinformationen (z.B. Prozess, Quelle, übergeordnetes Element).
hashes.md5 read_only_udm.target.file.md5 Der Wert wird aus dem Feld „event.Event.ProcessCreation.hashes.md5“ im Rohlog übernommen.
hashes.sha1 read_only_udm.target.file.sha1 Der Wert wird aus dem Feld „event.Event.ProcessCreation.hashes.sha1“ im Rohlog übernommen.
hashes.sha256 read_only_udm.target.file.sha256 Der Wert wird aus dem Feld „event.Event.ProcessCreation.hashes.sha256“ im Rohlog übernommen.
IpAddress read_only_udm.target.ip Der Wert wird aus dem Feld „IpAddress“ im Rohlog übernommen.
local.address read_only_udm.principal.ip Der Wert wird aus dem Feld „event.Event.Tcpv4Listen.local.address“ im Rohlog übernommen.
local.port read_only_udm.principal.port Der Wert wird aus dem Feld „event.Event.Tcpv4Listen.local.port“ im Rohlog übernommen.
log_type read_only_udm.metadata.log_type Der Wert wird aus dem Feld „log_type“ im Rohlog übernommen.
meta.agent_version read_only_udm.metadata.product_version Der Wert wird aus dem Feld „meta.agent_version“ im Rohlog übernommen.
meta.computer_name read_only_udm.principal.hostname Der Wert wird aus dem Feld „meta.computer_name“ im Rohlog übernommen.
meta.os_family read_only_udm.principal.platform Der Wert wird aus dem Feld „meta.os_family“ im Rohlog übernommen und der entsprechenden Plattform zugeordnet (z.B. windows für WINDOWS, osx für MAC, linux für LINUX).
meta.os_name read_only_udm.principal.platform_version Der Wert wird aus dem Feld „meta.os_name“ im Rohlog übernommen.
meta.os_revision read_only_udm.principal.platform_patch_level Der Wert wird aus dem Feld „meta.os_revision“ im Rohlog übernommen.
meta.uuid read_only_udm.principal.asset_id Der Wert wird aus dem Feld „meta.uuid“ im Rohlog übernommen und mit SENTINELONE: vorangestellt.
Name read_only_udm.principal.application Der Wert wird aus dem Feld „event.Event...name“ im Rohlog übernommen, wobei der spezifische Ereignistyp ist (z.B. ProcessCreation, ProcessExit) und ist das Feld mit Prozessinformationen (z.B. Prozess, Quelle, übergeordnetes Element).
parent.executable.hashes.md5 read_only_udm.target.process.parent_process.file.md5 Der Wert wird aus dem Feld „event.Event..parent.executable.hashes.md5“ im Rohlog übernommen, wobei der spezifische Ereignistyp ist (z.B. ProcessCreation, ProcessExit).
parent.executable.hashes.sha1 read_only_udm.target.process.parent_process.file.sha1 Der Wert wird aus dem Feld „event.Event..parent.executable.hashes.sha1“ im Rohlog übernommen, wobei der spezifische Ereignistyp ist (z.B. ProcessCreation, ProcessExit).
parent.executable.hashes.sha256 read_only_udm.target.process.parent_process.file.sha256 Der Wert wird aus dem Feld „event.Event..parent.executable.hashes.sha256“ im Rohlog übernommen, wobei der spezifische Ereignistyp ist (z.B. ProcessCreation, ProcessExit).
parent.executable.path read_only_udm.target.process.parent_process.file.full_path Der Wert wird aus dem Feld „event.Event..parent.executable.path“ im Rohlog übernommen, wobei der spezifische Ereignistyp ist (z.B. ProcessCreation, ProcessExit).
parent.fullPid.pid read_only_udm.target.process.parent_process.pid Der Wert wird aus dem Feld „event.Event..parent.fullPid.pid“ im Rohlog übernommen, wobei der spezifische Ereignistyp ist (z.B. ProcessCreation, ProcessExit).
Pfad read_only_udm.principal.process.file.full_path Der Wert wird aus dem Feld „event.Event...path“ im Rohlog übernommen, wobei der spezifische Ereignistyp ist (z.B. ProcessCreation, ProcessExit) und ist das Feld mit Prozessinformationen (z.B. Prozess, Quelle, übergeordnetes Element).
process.commandLine read_only_udm.target.process.command_line Der Wert wird aus dem Feld „event.Event.ProcessCreation.process.commandLine“ im Rohlog übernommen.
process.fullPid.pid read_only_udm.target.process.pid Der Wert wird aus dem Feld „event.Event.ProcessCreation.process.fullPid.pid“ im Rohlog übernommen.
process.parent.fullPid.pid read_only_udm.target.process.parent_process.pid Der Wert wird aus dem Feld „event.Event.ProcessCreation.process.parent.fullPid.pid“ im Rohlog übernommen.
ProviderGuid security_result.about.resource.attribute.labels.value Der Wert wird aus dem Feld „ProviderGuid“ im Rohlog ohne geschweifte Klammern übernommen.
Abfrage read_only_udm.network.dns.questions.name Der Wert wird aus dem Feld „event.Event.Dns.query“ im Rohlog übernommen.
RecordNumber security_result.about.resource.attribute.labels.value Der Wert wird aus dem Feld „RecordNumber“ im Rohlog übernommen.
regKey.path read_only_udm.target.registry.registry_key Der Wert wird aus dem Feld „event.Event.RegKeyCreate.regKey.path“ oder „event.Event.RegKeyDelete.regKey.path“ im Rohlog übernommen.
regValue.path read_only_udm.target.registry.registry_key Der Wert wird aus dem Feld „event.Event.RegValueDelete.regValue.path“ oder „event.Event.RegValueModified.regValue.path“ im Rohlog übernommen.
Ergebnisse read_only_udm.network.dns.answers.data Der Wert wird aus dem Feld „event.Event.Dns.results“ im Rohlog übernommen.
Sent UpdateServer intermediary.hostname Der Wert wird aus dem Feld „Sent UpdateServer“ im Rohlog übernommen.
seq_id Dieses Feld wird nicht direkt dem UDM zugeordnet.
signature.Status.Signed.identity Dieses Feld wird nicht direkt dem UDM zugeordnet.
sizeBytes read_only_udm.principal.process.file.size Der Wert wird aus dem Feld „event.Event...sizeBytes“ im Rohlog übernommen, wobei der spezifische Ereignistyp ist (z.B. ProcessCreation, ProcessExit) und ist das Feld mit Prozessinformationen (z.B. Prozess, Quelle, übergeordnetes Element).
sourceAddress.address read_only_udm.principal.ip Der Wert wird aus dem Feld „event.Event.Tcpv4.sourceAddress.address“ im Rohlog übernommen.
sourceAddress.port read_only_udm.principal.port Der Wert wird aus dem Feld „event.Event.Tcpv4.sourceAddress.port“ im Rohlog übernommen.
SourceName security_result.about.resource.attribute.labels.value Der Wert wird aus dem Feld „SourceName“ im Rohlog übernommen.
Status Dieses Feld wird nicht direkt dem UDM zugeordnet.
taskName read_only_udm.target.resource.name Der Wert wird aus dem Feld „event.Event.SchedTaskStart.taskName“, „event.Event.SchedTaskTrigger.taskName“ oder „event.Event.SchedTaskDelete.taskName“ im Rohlog übernommen.
targetFile.hashes.md5 read_only_udm.target.file.md5 Der Wert wird aus dem Feld „event.Event.FileDeletion.targetFile.hashes.md5“ oder „event.Event.SchedTaskStart.targetFile.hashes.md5“ im Rohlog übernommen.
targetFile.hashes.sha1 read_only_udm.target.file.sha1 Der Wert wird aus dem Feld „event.Event.FileDeletion.targetFile.hashes.sha1“ oder „event.Event.SchedTaskStart.targetFile.hashes.sha1“ im Rohlog übernommen.
targetFile.hashes.sha256 read_only_udm.target.file.sha256 Der Wert wird aus dem Feld „event.Event.FileDeletion.targetFile.hashes.sha256“ oder „event.Event.SchedTaskStart.targetFile.hashes.sha256“ im Rohlog übernommen.
targetFile.path read_only_udm.target.file.full_path Der Wert wird aus dem Feld „event.Event.FileDeletion.targetFile.path“ oder „event.Event.SchedTaskStart.targetFile.path“ im Rohlog übernommen.
Aufgabe security_result.about.resource.attribute.labels.value Der Wert wird aus dem Feld „Task“ im Rohlog übernommen.
timestamp.millisecondsSinceEpoch read_only_udm.metadata.event_timestamp.seconds Der Wert wird aus dem Feld „event.timestamp.millisecondsSinceEpoch“ im Rohlog übernommen und in Sekunden umgerechnet.
timestamp.millisecondsSinceEpoch read_only_udm.metadata.event_timestamp.nanos Der Wert wird aus dem Feld „event.timestamp.millisecondsSinceEpoch“ im Rohlog übernommen und in Nanosekunden umgerechnet.
trace_id Dieses Feld wird nicht direkt dem UDM zugeordnet.
triggerType Dieses Feld wird nicht direkt dem UDM zugeordnet.
trueContext Dieses Feld wird nicht direkt dem UDM zugeordnet.
trueContext.key Dieses Feld wird nicht direkt dem UDM zugeordnet.
trueContext.key.value Dieses Feld wird nicht direkt dem UDM zugeordnet.
Typ read_only_udm.network.dns.answers.type Der Wert wird aus dem Feld „event.Event.Dns.results“ im Rohlog übernommen und mit einem regulären Ausdruck extrahiert.
URL read_only_udm.target.url Der Wert wird aus dem Feld „event.Event.Http.url“ im Rohlog übernommen.
nutzer.name read_only_udm.principal.user.userid Der Wert wird aus dem Feld „event.Event...user.name“ im Rohlog übernommen, wobei der spezifische Ereignistyp ist (z.B. ProcessCreation, ProcessExit) und ist das Feld mit Prozessinformationen (z.B. Prozess, Quelle, übergeordnetes Element).
user.sid read_only_udm.principal.user.windows_sid Der Wert wird aus dem Feld „event.Event...user.sid“ im Rohlog übernommen, wobei der spezifische Ereignistyp ist (z.B. ProcessCreation, ProcessExit) und ist das Feld mit Prozessinformationen (z.B. Prozess, Quelle, übergeordnetes Element).
UserID read_only_udm.target.user.windows_sid Der Wert wird aus dem Feld „UserID“ im Rohlog übernommen, sofern er dem Windows-SID-Muster entspricht.
UserSid read_only_udm.target.user.windows_sid Der Wert wird aus dem Feld „UserSid“ im Rohlog übernommen, sofern er dem Windows-SID-Muster entspricht.
valueType Dieses Feld wird nicht direkt dem UDM zugeordnet.
winEventLog.channel security_result.about.resource.attribute.labels.value Der Wert wird aus dem Feld „winEventLog.channel“ im Rohlog übernommen.
winEventLog.description Dieses Feld wird nicht direkt dem UDM zugeordnet.
winEventLog.id security_result.about.resource.attribute.labels.value Der Wert wird aus dem Feld „winEventLog.id“ im Rohlog übernommen.
winEventLog.level security_result.severity Der Wert wird aus dem Feld „winEventLog.level“ im Rohlog übernommen und der entsprechenden Schweregradstufe zugeordnet (z.B. Warning bis MITTEL).
winEventLog.providerName security_result.about.resource.attribute.labels.value Der Wert wird aus dem Feld „winEventLog.providerName“ im Rohlog übernommen.
winEventLog.xml Dieses Feld wird nicht direkt dem UDM zugeordnet.
read_only_udm.metadata.event_type Der Wert wird anhand des Felds „event_type“ ermittelt und dem entsprechenden UDM-Ereignistyp zugeordnet.
read_only_udm.metadata.vendor_name Der Wert wird auf SentinelOne festgelegt.
read_only_udm.metadata.product_name Der Wert wird auf Deep Visibility festgelegt.
read_only_udm.metadata.product_log_id Der Wert wird aus dem Feld „trace.id“ im Rohlog übernommen, nur für Ereignisse, bei denen „meta.event.name“ gleich PROCESSCREATION ist.
read_only_udm.metadata.product_deployment_id Der Wert wird aus dem Feld „account.id“ im Rohlog übernommen, jedoch nur für Ereignisse, bei denen „meta.event.name“ gleich PROCESSCREATION ist.
read_only_udm.metadata.url_back_to_product Der Wert wird aus dem Feld „mgmt.url“ im Rohlog übernommen, jedoch nur für Ereignisse, bei denen „meta.event.name“ gleich PROCESSCREATION ist.
read_only_udm.metadata.ingestion_labels.key Der Wert wird für Ereignisse mit „meta.event.name“ gleich PROCESSCREATION auf Process eUserUid oder Process lUserUid festgelegt.
read_only_udm.metadata.ingestion_labels.value Der Wert wird aus dem Feld „src.process.eUserUid“ oder „src.process.lUserUid“ im Rohlog übernommen, jedoch nur für Ereignisse, bei denen „meta.event.name“ gleich PROCESSCREATION ist.
read_only_udm.principal.administrative_domain Der Domain-Teil des Felds „event.Event...user.name“ im Rohlog, wobei der spezifische Ereignistyp ist (z.B. ProcessCreation, ProcessExit) und ist das Feld mit Prozessinformationen (z.B. Prozess, Quelle, übergeordnetes Element).
read_only_udm.target.process.parent_process.command_line Der Wert wird aus dem Feld „event.Event..parent.commandLine“ im Rohlog übernommen, wobei der spezifische Ereignistyp ist (z.B. ProcessCreation, ProcessExit).
read_only_udm.target.file Ein leeres Objekt wird erstellt, wenn „event_type“ nicht FileCreation, FileDeletion, FileModification, SchedTaskStart oder ProcessCreation ist.
read_only_udm.network.ip_protocol Der Wert wird für Ereignisse mit „event_type“ gleich Tcpv4, Tcpv4Listen oder Http auf TCP festgelegt.
read_only_udm.network.application_protocol Der Wert wird für Ereignisse mit „event_type“ gleich Dns auf DNS festgelegt.
read_only_udm.target.resource.type Der Wert wird für Ereignisse mit „event_type“ gleich SchedTaskStart, SchedTaskTrigger oder SchedTaskDelete auf TASK festgelegt.
read_only_udm.target.resource.resource_type Der Wert wird für Ereignisse mit „event_type“ gleich SchedTaskStart, SchedTaskTrigger oder SchedTaskDelete auf TASK festgelegt.
read_only_udm.principal.process.product_specific_process_id Der Wert wird auf ExecutionThreadID:<ExecutionThreadID> festgelegt, wenn das Feld „ExecutionThreadID“ im Rohlog vorhanden ist.
read_only_udm.principal.asset.asset_id Der Wert wird auf Device ID:<agent.uuid> gesetzt, wenn das Feld „agent.uuid“ im Rohlog vorhanden ist.
read_only_udm.principal.namespace Der Wert wird aus dem Feld „site.id“ im Rohlog übernommen, nur für Ereignisse, bei denen „meta.event.name“ gleich PROCESSCREATION ist.
read_only_udm.principal.location.name Der Wert wird aus dem Feld „site.name“ im Rohlog übernommen, jedoch nur für Ereignisse, bei denen „meta.event.name“ gleich PROCESSCREATION ist.
read_only_udm.principal.resource.attribute.labels.key Der Wert wird für Ereignisse mit „meta.event.name“ gleich PROCESSCREATION auf src.process.displayName, src.process.uid, isRedirectCmdProcessor, isNative64Bit, isStorylineRoot, signedStatus, src process subsystem, src process integrityLevel oder childProcCount festgelegt.
read_only_udm.principal.resource.attribute.labels.value Der Wert wird aus dem entsprechenden Feld im Rohlog übernommen, nur für Ereignisse, bei denen „meta.event.name“ gleich PROCESSCREATION ist.
read_only_udm.target.user.userid Der Wert wird aus dem Feld „tgt.process.uid“ im Rohlog übernommen, nur für Ereignisse, bei denen „meta.event.name“ gleich PROCESSCREATION ist.
read_only_udm.target.user.user_display_name Der Wert wird aus dem Feld „tgt.process.displayName“ im Rohlog übernommen, jedoch nur für Ereignisse, bei denen „meta.event.name“ gleich PROCESSCREATION ist.
read_only_udm.target.resource.attribute.labels.key Der Wert wird für Ereignisse mit „meta.event.name“ gleich PROCESSCREATION auf isRedirectCmdProcessor, isNative64Bit, isStorylineRoot, signedStatus, file_isSigned, tgt process subsystem oder tgt process integrityLevel festgelegt.
read_only_udm.target.resource.attribute.labels.value Der Wert wird aus dem entsprechenden Feld im Rohlog übernommen, nur für Ereignisse, bei denen „meta.event.name“ gleich PROCESSCREATION ist.
read_only_udm.security_result.about.resource.attribute.labels.key Der Wert wird für Ereignisse mit „meta.event.name“ gleich PROCESSCREATION auf tgt.process.storyline.id, endpoint_type, packet_id, src.process.storyline.id oder src.process.parent.storyline.id festgelegt.
read_only_udm.security_result.about.resource.attribute.labels.value Der Wert wird aus dem entsprechenden Feld im Rohlog übernommen und für Storyline-IDs mit ID: vorangestellt. Das gilt nur für Ereignisse, bei denen „meta.event.name“ gleich PROCESSCREATION ist.
read_only_udm.security_result.category_details Der Wert wird für Ereignisse mit „meta.event.name“ gleich PROCESSCREATION auf security festgelegt.
read_only_udm.target.asset.product_object_id Der Wert wird aus dem Feld „AdapterName“ im Rohlog übernommen, nur für Ereignisse, bei denen „meta.event.name“ gleich EVENTLOG ist.
security_result.about.resource.attribute.labels.key Der Wert wird für Ereignisse mit „meta.event.name“ gleich EVENTLOG auf TimeCreated SystemTime, EventID, Task, Channel, ProviderGuid, RecordNumber, SourceName, endpoint_type oder packet_id festgelegt.
security_result.detection_fields.key Der Wert wird für Ereignisse mit „meta.event.name“ gleich EVENTLOG und einem nicht leeren Feld „ActivityID“ auf Activity ID festgelegt.
security_result.detection_fields.value Der Wert wird aus dem Feld „ActivityID“ im Rohlog übernommen, nur für Ereignisse, bei denen „meta.event.name“ gleich EVENTLOG und das Feld „ActivityID“ nicht leer ist.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten