Recopila registros de visibilidad detallada de SentinelOne
Compatible con:
Google SecOps
SIEM
En este documento, se explica cómo exportar registros de Deep Visibility de SentinelOne a Google Security Operations con Cloud Funnel para exportar registros a Google Cloud Storage. El analizador transforma los registros de eventos de seguridad sin procesar con formato JSON en un formato estructurado que se ajusta al UDM. Primero, inicializa un conjunto de variables, luego extrae el tipo de evento y analiza la carga útil JSON, asignando los campos pertinentes al esquema del UDM mientras controla los registros de eventos de Windows por separado.
Antes de comenzar
Asegúrate de cumplir con los siguientes requisitos previos:
- Instancia de Google SecOps
- Acceso con privilegios a Google Cloud
- Configuración de la visibilidad profunda de SentinelOne en tu entorno
- Acceso con privilegios a SentinelOne
Crea un bucket de Google Cloud Storage.
- Accede a la consola deGoogle Cloud .
Ve a la página Buckets de Cloud Storage.
Haz clic en Crear.
En la página Crear un bucket, ingresa la información de tu bucket. Después de cada uno de los siguientes pasos, haz clic en Continuar para avanzar al siguiente paso:
En la sección Primeros pasos, haz lo siguiente:
- Ingresa un nombre único que cumpla con los requisitos de nombres de bucket, por ejemplo, sentinelone-deepvisibility.
Para habilitar el espacio de nombres jerárquico, haz clic en la flecha de expansión para expandir la sección Optimizar las cargas de trabajo orientadas a archivos y con uso intensivo de datos y, luego, selecciona Habilitar el espacio de nombres jerárquico en este bucket.
Para agregar una etiqueta de bucket, haz clic en la flecha de expansión para expandir la sección Etiquetas.
Haz clic en Agregar etiqueta y especifica una clave y un valor para tu etiqueta.
En la sección Eligir dónde almacenar tus datos, haz lo siguiente:
- Selecciona un tipo de ubicación
Usa el menú de tipo de ubicación para seleccionar una Ubicación en la que se almacenarán de forma permanente los datos de objetos de tu bucket.
Para configurar la replicación entre bucket, expande la sección Configura la bucket entre buckets.
En la sección Elige una clase de almacenamiento para tus datos, selecciona una clase de almacenamiento predeterminada para el bucket o selecciona Autoclass para la administración automática de clases de almacenamiento de los datos de tu bucket.
En la sección Elige cómo controlar el acceso a los objetos, selecciona no para aplicar la prevención del acceso público y selecciona un modelo de control de acceso para los objetos del bucket.
En la sección Elige cómo proteger los datos de objetos, haz lo siguiente:
- Selecciona cualquiera de las opciones de Protección de datos que desees configurar para tu bucket.
- Para elegir cómo se encriptarán los datos de tus objetos, haz clic en la flecha desplegable etiquetada como Encriptación de datos y selecciona un método de encriptación de datos.
Haz clic en Crear.
Crea una cuenta de servicio de Google Cloud
- Ve a IAM y administración > Cuentas de servicio.
- Cree una cuenta de servicio nueva
- Asigna un nombre descriptivo, por ejemplo, sentinelone-dv-logs.
- Otorga a la cuenta de servicio el rol de Creador de objetos de almacenamiento en el bucket de Cloud Storage que creaste en el paso anterior.
- Crea una clave SSH para la cuenta de servicio.
- Descarga un archivo de claves JSON para la cuenta de servicio. Protege este archivo.
Cómo configurar Cloud Funnel en DeepVisibility de SentinelOne
- Accede a SentinelOne DeepVisibility.
- Haz clic en Configurar > Política y configuración.
- En la sección Singularity Data Lake, haz clic en Cloud Funnel.
- Proporciona los siguientes detalles de configuración:
- Proveedor de servicios en la nube: Selecciona Google Cloud.
- Nombre del bucket: Ingresa el nombre del bucket de Cloud Storage que creaste para la transferencia de registros de DeepVisibility de SentinelOne.
- Transmisión de telemetría: Selecciona Habilitar.
- Filtros de consulta: Crea una consulta que incluya los agentes que deben enviar datos a un bucket de Cloud Storage.
- Haz clic en Validate.
- Campos para incluir: Selecciona todos los campos.
- Haz clic en Guardar.
Configura feeds
Existen dos puntos de entrada diferentes para configurar feeds en la plataforma de Google SecOps:
- Configuración de SIEM > Feeds
- Centro de contenido > Paquetes de contenido
Configura feeds desde Configuración del SIEM > Feeds
Para configurar varios feeds para diferentes tipos de registros dentro de esta familia de productos, consulta Cómo configurar feeds por producto.
Para configurar un solo feed, sigue estos pasos:
- Ve a SIEM Settings > Feeds.
- Haz clic en Agregar feed nuevo.
- En la siguiente página, haz clic en Configurar un solo feed.
- En el campo Nombre del feed, ingresa un nombre para el feed, por ejemplo, Registros de DV de SentinelOne.
- Selecciona Google Cloud Storage como el Tipo de fuente.
- Selecciona SentinelOne Deep Visibility como el Tipo de registro.
- Haz clic en Obtener cuenta de servicio como la Cuenta de servicio de Chronicle.
- Haz clic en Siguiente.
Especifica valores para los siguientes parámetros de entrada:
- URI del bucket de almacenamiento: URL del bucket de Google Cloud Storage en formato
gs://my-bucket/<value>. - URI Is A: Selecciona Directory which includes subdirectories.
Opciones de eliminación de la fuente: Selecciona la opción de eliminación según tus preferencias de transferencia.
Espacio de nombres del recurso: Es el espacio de nombres del recurso.
Etiquetas de transferencia: Es la etiqueta que se aplica a los eventos de este feed.
- URI del bucket de almacenamiento: URL del bucket de Google Cloud Storage en formato
Haz clic en Siguiente.
Revisa la nueva configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.
Configura feeds desde el Centro de contenido
Especifica valores para los siguientes campos:
- URI del bucket de almacenamiento: Es el URI de origen del bucket de Google Cloud Storage.
- El URI es un: Selecciona el TIPO de URI según la configuración del flujo de registros (Archivo único | Directorio | Directorio que incluye subdirectorios).
- Opciones de eliminación de la fuente: Selecciona la opción de eliminación según tus preferencias de transferencia.
Opciones avanzadas
- Nombre del feed: Es un valor completado previamente que identifica el feed.
- Tipo de fuente: Es el método que se usa para recopilar registros en Google SecOps.
- Espacio de nombres del recurso: Espacio de nombres asociado al feed.
- Etiquetas de transferencia: Son las etiquetas que se aplican a todos los eventos de este feed.
Tabla de asignación de UDM
| Campo de registro | Asignación de UDM | Lógica |
|---|---|---|
| AdapterName | security_result.about.resource.attribute.labels.value | El valor se toma del campo "AdapterName" en el registro sin procesar. |
| AdapterSuffixName | security_result.about.resource.attribute.labels.value | El valor se toma del campo "AdapterSuffixName" en el registro sin procesar. |
| agent_version | read_only_udm.metadata.product_version | El valor se toma del campo "meta.agent_version" en el registro sin procesar. |
| Canal | security_result.about.resource.attribute.labels.value | El valor se toma del campo "Canal" en el registro sin procesar. |
| commandLine | read_only_udm.principal.process.command_line | El valor se toma del campo "event.Event. |
| computer_name | read_only_udm.principal.hostname | El valor se toma del campo "meta.computer_name" en el registro sin procesar. |
| destinationAddress.address | read_only_udm.target.ip | El valor se toma del campo "event.Event.Tcpv4.destinationAddress.address" en el registro sin procesar. |
| destinationAddress.port | read_only_udm.target.port | El valor se toma del campo "event.Event.Tcpv4.destinationAddress.port" en el registro sin procesar. |
| DnsServerList | read_only_udm.principal.ip | El valor se toma del campo "DnsServerList" en el registro sin procesar. |
| ErrorCode_new | security_result.detection_fields.value | El valor se toma del campo "ErrorCode_new" en el registro sin procesar. |
| EventID | security_result.about.resource.attribute.labels.value | El valor se toma del campo "EventID" en el registro sin procesar. |
| event.Event.Dns.query | read_only_udm.network.dns.questions.name | El valor se toma del campo "event.Event.Dns.query" en el registro sin procesar. |
| event.Event.Dns.results | read_only_udm.network.dns.answers.data | El valor se toma del campo "event.Event.Dns.results" en el registro sin procesar. |
| event.Event.Dns.source.fullPid.pid | read_only_udm.principal.process.pid | El valor se toma del campo "event.Event.Dns.source.fullPid.pid" en el registro sin procesar. |
| event.Event.Dns.source.user.name | read_only_udm.principal.user.userid | El valor se toma del campo "event.Event.Dns.source.user.name" en el registro sin procesar. |
| event.Event.FileCreation.source.fullPid.pid | read_only_udm.principal.process.pid | El valor se toma del campo "event.Event.FileCreation.source.fullPid.pid" en el registro sin procesar. |
| event.Event.FileCreation.source.user.name | read_only_udm.principal.user.userid | El valor se toma del campo "event.Event.FileCreation.source.user.name" en el registro sin procesar. |
| event.Event.FileCreation.targetFile.path | read_only_udm.target.file.full_path | El valor se toma del campo "event.Event.FileCreation.targetFile.path" en el registro sin procesar. |
| event.Event.FileDeletion.source.fullPid.pid | read_only_udm.principal.process.pid | El valor se toma del campo "event.Event.FileDeletion.source.fullPid.pid" en el registro sin procesar. |
| event.Event.FileDeletion.source.user.name | read_only_udm.principal.user.userid | El valor se toma del campo "event.Event.FileDeletion.source.user.name" en el registro sin procesar. |
| event.Event.FileDeletion.targetFile.path | read_only_udm.target.file.full_path | El valor se toma del campo "event.Event.FileDeletion.targetFile.path" en el registro sin procesar. |
| event.Event.FileModification.file.path | read_only_udm.target.file.full_path | El valor se toma del campo "event.Event.FileModification.file.path" en el registro sin procesar. |
| event.Event.FileModification.source.user.name | read_only_udm.principal.user.userid | El valor se toma del campo "event.Event.FileModification.source.user.name" en el registro sin procesar. |
| event.Event.FileModification.targetFile.path | read_only_udm.target.file.full_path | El valor se toma del campo "event.Event.FileModification.targetFile.path" en el registro sin procesar. |
| event.Event.Http.source.user.name | read_only_udm.principal.user.userid | El valor se toma del campo "event.Event.Http.source.user.name" en el registro sin procesar. |
| event.Event.Http.url | read_only_udm.target.url | El valor se toma del campo "event.Event.Http.url" en el registro sin procesar. |
| event.Event.ProcessCreation.process.user.name | read_only_udm.principal.user.userid | El valor se toma del campo "event.Event.ProcessCreation.process.user.name" en el registro sin procesar. |
| event.Event.ProcessCreation.source.user.name | read_only_udm.principal.user.userid | El valor se toma del campo "event.Event.ProcessCreation.source.user.name" en el registro sin procesar. |
| event.Event.ProcessExit.source.user.name | read_only_udm.principal.user.userid | El valor se toma del campo "event.Event.ProcessExit.source.user.name" en el registro sin procesar. |
| event.Event.ProcessTermination.source.user.name | read_only_udm.principal.user.userid | El valor se toma del campo "event.Event.ProcessTermination.source.user.name" en el registro sin procesar. |
| event.Event.RegKeyCreate.source.fullPid.pid | read_only_udm.principal.process.pid | El valor se toma del campo "event.Event.RegKeyCreate.source.fullPid.pid" en el registro sin procesar. |
| event.Event.RegKeyCreate.source.user.name | read_only_udm.principal.user.userid | El valor se toma del campo "event.Event.RegKeyCreate.source.user.name" en el registro sin procesar. |
| event.Event.RegKeyDelete.source.user.name | read_only_udm.principal.user.userid | El valor se toma del campo "event.Event.RegKeyDelete.source.user.name" en el registro sin procesar. |
| event.Event.RegValueModified.source.user.name | read_only_udm.principal.user.userid | El valor se toma del campo "event.Event.RegValueModified.source.user.name" en el registro sin procesar. |
| event.Event.SchedTaskDelete.source.user.name | read_only_udm.principal.user.userid | El valor se toma del campo "event.Event.SchedTaskDelete.source.user.name" en el registro sin procesar. |
| event.Event.SchedTaskRegister.source.user.name | read_only_udm.principal.user.userid | El valor se toma del campo "event.Event.SchedTaskRegister.source.user.name" en el registro sin procesar. |
| event.Event.SchedTaskStart.source.user.name | read_only_udm.principal.user.userid | El valor se toma del campo "event.Event.SchedTaskStart.source.user.name" en el registro sin procesar. |
| event.Event.SchedTaskTrigger.source.fullPid.pid | read_only_udm.principal.process.pid | El valor se toma del campo "event.Event.SchedTaskTrigger.source.fullPid.pid" en el registro sin procesar. |
| event.Event.SchedTaskTrigger.source.user.name | read_only_udm.principal.user.userid | El valor se toma del campo "event.Event.SchedTaskTrigger.source.user.name" en el registro sin procesar. |
| event.Event.Tcpv4.source.fullPid.pid | read_only_udm.principal.process.pid | El valor se toma del campo "event.Event.Tcpv4.source.fullPid.pid" en el registro sin procesar. |
| event.Event.Tcpv4.source.user.name | read_only_udm.principal.user.userid | El valor se toma del campo "event.Event.Tcpv4.source.user.name" en el registro sin procesar. |
| event.Event.Tcpv4Listen.local.address | read_only_udm.principal.ip | El valor se toma del campo "event.Event.Tcpv4Listen.local.address" en el registro sin procesar. |
| event.timestamp.millisecondsSinceEpoch | read_only_udm.metadata.event_timestamp.seconds | El valor se toma del campo "event.timestamp.millisecondsSinceEpoch" en el registro sin procesar y se convierte en segundos. |
| event.timestamp.millisecondsSinceEpoch | read_only_udm.metadata.event_timestamp.nanos | El valor se toma del campo "event.timestamp.millisecondsSinceEpoch" en el registro sin procesar y se convierte a nanosegundos. |
| event.timestamp.millisecondsSinceEpoch | security_result.about.resource.attribute.labels.value | El valor se toma del campo "event.timestamp.millisecondsSinceEpoch" en el registro sin procesar y se usa como el valor de una etiqueta en el array security_result.about.resource.attribute.labels. |
| event_type | read_only_udm.metadata.product_event_type | El valor se extrae del campo "message" en el registro sin procesar con un patrón de Grok. |
| executable.hashes.md5 | read_only_udm.principal.process.file.md5 | El valor se toma del campo "event.Event. |
| executable.hashes.sha1 | read_only_udm.principal.process.file.sha1 | El valor se toma del campo "event.Event. |
| executable.hashes.sha256 | read_only_udm.principal.process.file.sha256 | El valor se toma del campo "event.Event. |
| executable.path | read_only_udm.principal.process.file.full_path | El valor se toma del campo "event.Event. |
| executable.sizeBytes | read_only_udm.principal.process.file.size | El valor se toma del campo "event.Event. |
| fullPid.pid | read_only_udm.principal.process.pid | El valor se toma del campo "event.Event. |
| hashes.md5 | read_only_udm.target.file.md5 | El valor se toma del campo "event.Event.ProcessCreation.hashes.md5" en el registro sin procesar. |
| hashes.sha1 | read_only_udm.target.file.sha1 | El valor se toma del campo "event.Event.ProcessCreation.hashes.sha1" en el registro sin procesar. |
| hashes.sha256 | read_only_udm.target.file.sha256 | El valor se toma del campo "event.Event.ProcessCreation.hashes.sha256" en el registro sin procesar. |
| IpAddress | read_only_udm.target.ip | El valor se toma del campo "IpAddress" en el registro sin procesar. |
| local.address | read_only_udm.principal.ip | El valor se toma del campo "event.Event.Tcpv4Listen.local.address" en el registro sin procesar. |
| local.port | read_only_udm.principal.port | El valor se toma del campo "event.Event.Tcpv4Listen.local.port" en el registro sin procesar. |
| log_type | read_only_udm.metadata.log_type | El valor se toma del campo "log_type" en el registro sin procesar. |
| meta.agent_version | read_only_udm.metadata.product_version | El valor se toma del campo "meta.agent_version" en el registro sin procesar. |
| meta.computer_name | read_only_udm.principal.hostname | El valor se toma del campo "meta.computer_name" en el registro sin procesar. |
| meta.os_family | read_only_udm.principal.platform | El valor se toma del campo "meta.os_family" en el registro sin procesar y se asigna a la plataforma correspondiente (p.ej., windows para WINDOWS, osx para MAC y linux para LINUX). |
| meta.os_name | read_only_udm.principal.platform_version | El valor se toma del campo "meta.os_name" en el registro sin procesar. |
| meta.os_revision | read_only_udm.principal.platform_patch_level | El valor se toma del campo "meta.os_revision" en el registro sin procesar. |
| meta.uuid | read_only_udm.principal.asset_id | El valor se toma del campo "meta.uuid" en el registro sin procesar y se antepone con SENTINELONE:. |
| nombre | read_only_udm.principal.application | El valor se toma del campo "event.Event. |
| parent.executable.hashes.md5 | read_only_udm.target.process.parent_process.file.md5 | El valor se toma del campo "event.Event. |
| parent.executable.hashes.sha1 | read_only_udm.target.process.parent_process.file.sha1 | El valor se toma del campo "event.Event. |
| parent.executable.hashes.sha256 | read_only_udm.target.process.parent_process.file.sha256 | El valor se toma del campo "event.Event. |
| parent.executable.path | read_only_udm.target.process.parent_process.file.full_path | El valor se toma del campo "event.Event. |
| parent.fullPid.pid | read_only_udm.target.process.parent_process.pid | El valor se toma del campo "event.Event. |
| path | read_only_udm.principal.process.file.full_path | El valor se toma del campo "event.Event. |
| process.commandLine | read_only_udm.target.process.command_line | El valor se toma del campo "event.Event.ProcessCreation.process.commandLine" en el registro sin procesar. |
| process.fullPid.pid | read_only_udm.target.process.pid | El valor se toma del campo "event.Event.ProcessCreation.process.fullPid.pid" en el registro sin procesar. |
| process.parent.fullPid.pid | read_only_udm.target.process.parent_process.pid | El valor se toma del campo "event.Event.ProcessCreation.process.parent.fullPid.pid" en el registro sin procesar. |
| ProviderGuid | security_result.about.resource.attribute.labels.value | El valor se toma del campo "ProviderGuid" en el registro sin procesar, con las llaves quitadas. |
| consulta | read_only_udm.network.dns.questions.name | El valor se toma del campo "event.Event.Dns.query" en el registro sin procesar. |
| RecordNumber | security_result.about.resource.attribute.labels.value | El valor se toma del campo "RecordNumber" en el registro sin procesar. |
| regKey.path | read_only_udm.target.registry.registry_key | El valor se toma del campo "event.Event.RegKeyCreate.regKey.path" o "event.Event.RegKeyDelete.regKey.path" en el registro sin procesar. |
| regValue.path | read_only_udm.target.registry.registry_key | El valor se toma del campo "event.Event.RegValueDelete.regValue.path" o "event.Event.RegValueModified.regValue.path" en el registro sin procesar. |
| resultados | read_only_udm.network.dns.answers.data | El valor se toma del campo "event.Event.Dns.results" en el registro sin procesar. |
| Sent UpdateServer | intermediary.hostname | El valor se toma del campo "Sent UpdateServer" en el registro sin procesar. |
| seq_id | Este campo no se asigna directamente al UDM. | |
| signature.Status.Signed.identity | Este campo no se asigna directamente al UDM. | |
| sizeBytes | read_only_udm.principal.process.file.size | El valor se toma del campo "event.Event. |
| sourceAddress.address | read_only_udm.principal.ip | El valor se toma del campo "event.Event.Tcpv4.sourceAddress.address" en el registro sin procesar. |
| sourceAddress.port | read_only_udm.principal.port | El valor se toma del campo "event.Event.Tcpv4.sourceAddress.port" en el registro sin procesar. |
| SourceName | security_result.about.resource.attribute.labels.value | El valor se toma del campo "SourceName" en el registro sin procesar. |
| estado | Este campo no se asigna directamente al UDM. | |
| taskName | read_only_udm.target.resource.name | El valor se toma del campo "event.Event.SchedTaskStart.taskName", "event.Event.SchedTaskTrigger.taskName" o "event.Event.SchedTaskDelete.taskName" en el registro sin procesar. |
| targetFile.hashes.md5 | read_only_udm.target.file.md5 | El valor se toma del campo "event.Event.FileDeletion.targetFile.hashes.md5" o "event.Event.SchedTaskStart.targetFile.hashes.md5" en el registro sin procesar. |
| targetFile.hashes.sha1 | read_only_udm.target.file.sha1 | El valor se toma del campo "event.Event.FileDeletion.targetFile.hashes.sha1" o "event.Event.SchedTaskStart.targetFile.hashes.sha1" en el registro sin procesar. |
| targetFile.hashes.sha256 | read_only_udm.target.file.sha256 | El valor se toma del campo "event.Event.FileDeletion.targetFile.hashes.sha256" o "event.Event.SchedTaskStart.targetFile.hashes.sha256" en el registro sin procesar. |
| targetFile.path | read_only_udm.target.file.full_path | El valor se toma del campo "event.Event.FileDeletion.targetFile.path" o "event.Event.SchedTaskStart.targetFile.path" en el registro sin procesar. |
| Tarea | security_result.about.resource.attribute.labels.value | El valor se toma del campo "Tarea" en el registro sin procesar. |
| timestamp.millisecondsSinceEpoch | read_only_udm.metadata.event_timestamp.seconds | El valor se toma del campo "event.timestamp.millisecondsSinceEpoch" en el registro sin procesar y se convierte en segundos. |
| timestamp.millisecondsSinceEpoch | read_only_udm.metadata.event_timestamp.nanos | El valor se toma del campo "event.timestamp.millisecondsSinceEpoch" en el registro sin procesar y se convierte a nanosegundos. |
| trace_id | Este campo no se asigna directamente al UDM. | |
| triggerType | Este campo no se asigna directamente al UDM. | |
| trueContext | Este campo no se asigna directamente al UDM. | |
| trueContext.key | Este campo no se asigna directamente al UDM. | |
| trueContext.key.value | Este campo no se asigna directamente al UDM. | |
| tipo | read_only_udm.network.dns.answers.type | El valor se toma del campo "event.Event.Dns.results" en el registro sin procesar y se extrae con una expresión regular. |
| url | read_only_udm.target.url | El valor se toma del campo "event.Event.Http.url" en el registro sin procesar. |
| user.name | read_only_udm.principal.user.userid | El valor se toma del campo "event.Event. |
| user.sid | read_only_udm.principal.user.windows_sid | El valor se toma del campo "event.Event. |
| UserID | read_only_udm.target.user.windows_sid | El valor se toma del campo "UserID" en el registro sin procesar, solo si coincide con el patrón de SID de Windows. |
| UserSid | read_only_udm.target.user.windows_sid | El valor se toma del campo "UserSid" en el registro sin procesar, solo si coincide con el patrón de SID de Windows. |
| valueType | Este campo no se asigna directamente al UDM. | |
| winEventLog.channel | security_result.about.resource.attribute.labels.value | El valor se toma del campo "winEventLog.channel" en el registro sin procesar. |
| winEventLog.description | Este campo no se asigna directamente al UDM. | |
| winEventLog.id | security_result.about.resource.attribute.labels.value | El valor se toma del campo "winEventLog.id" en el registro sin procesar. |
| winEventLog.level | security_result.severity | El valor se toma del campo "winEventLog.level" en el registro sin procesar y se asigna al nivel de gravedad correspondiente (p.ej., Warning a MEDIUM). |
| winEventLog.providerName | security_result.about.resource.attribute.labels.value | El valor se toma del campo "winEventLog.providerName" en el registro sin procesar. |
| winEventLog.xml | Este campo no se asigna directamente al UDM. | |
| read_only_udm.metadata.event_type | El valor se determina según el campo "event_type" y se asigna al tipo de evento de UDM correspondiente. | |
| read_only_udm.metadata.vendor_name | El valor se establece en SentinelOne. |
|
| read_only_udm.metadata.product_name | El valor se establece en Deep Visibility. |
|
| read_only_udm.metadata.product_log_id | El valor se toma del campo "trace.id" en el registro sin procesar, solo para los eventos con "meta.event.name" igual a PROCESSCREATION. |
|
| read_only_udm.metadata.product_deployment_id | El valor se toma del campo "account.id" en el registro sin procesar, solo para los eventos con "meta.event.name" igual a PROCESSCREATION. |
|
| read_only_udm.metadata.url_back_to_product | El valor se toma del campo "mgmt.url" en el registro sin procesar, solo para los eventos con "meta.event.name" igual a PROCESSCREATION. |
|
| read_only_udm.metadata.ingestion_labels.key | El valor se establece en Process eUserUid o Process lUserUid para los eventos con "meta.event.name" igual a PROCESSCREATION. |
|
| read_only_udm.metadata.ingestion_labels.value | El valor se toma del campo "src.process.eUserUid" o "src.process.lUserUid" en el registro sin procesar, solo para los eventos con "meta.event.name" igual a PROCESSCREATION. |
|
| read_only_udm.principal.administrative_domain | Es la parte del dominio del campo "event.Event. |
|
| read_only_udm.target.process.parent_process.command_line | El valor se toma del campo "event.Event. |
|
| read_only_udm.target.file | Se crea un objeto vacío si "event_type" no es FileCreation, FileDeletion, FileModification, SchedTaskStart o ProcessCreation. |
|
| read_only_udm.network.ip_protocol | El valor se establece en TCP para los eventos con "event_type" igual a Tcpv4, Tcpv4Listen o Http. |
|
| read_only_udm.network.application_protocol | El valor se establece en DNS para los eventos con "event_type" igual a Dns. |
|
| read_only_udm.target.resource.type | El valor se establece en TASK para los eventos con "event_type" igual a SchedTaskStart, SchedTaskTrigger o SchedTaskDelete. |
|
| read_only_udm.target.resource.resource_type | El valor se establece en TASK para los eventos con "event_type" igual a SchedTaskStart, SchedTaskTrigger o SchedTaskDelete. |
|
| read_only_udm.principal.process.product_specific_process_id | El valor se establece en ExecutionThreadID:<ExecutionThreadID> si el campo "ExecutionThreadID" está presente en el registro sin procesar. |
|
| read_only_udm.principal.asset.asset_id | El valor se establece en Device ID:<agent.uuid> si el campo "agent.uuid" está presente en el registro sin procesar. |
|
| read_only_udm.principal.namespace | El valor se toma del campo "site.id" en el registro sin procesar, solo para los eventos con "meta.event.name" igual a PROCESSCREATION. |
|
| read_only_udm.principal.location.name | El valor se toma del campo "site.name" en el registro sin procesar, solo para los eventos con "meta.event.name" igual a PROCESSCREATION. |
|
| read_only_udm.principal.resource.attribute.labels.key | El valor se establece en src.process.displayName, src.process.uid, isRedirectCmdProcessor, isNative64Bit, isStorylineRoot, signedStatus, src process subsystem, src process integrityLevel o childProcCount para los eventos con "meta.event.name" igual a PROCESSCREATION. |
|
| read_only_udm.principal.resource.attribute.labels.value | El valor se toma del campo correspondiente en el registro sin procesar, solo para los eventos con "meta.event.name" igual a PROCESSCREATION. |
|
| read_only_udm.target.user.userid | El valor se toma del campo "tgt.process.uid" en el registro sin procesar, solo para los eventos con "meta.event.name" igual a PROCESSCREATION. |
|
| read_only_udm.target.user.user_display_name | El valor se toma del campo "tgt.process.displayName" en el registro sin procesar, solo para los eventos con "meta.event.name" igual a PROCESSCREATION. |
|
| read_only_udm.target.resource.attribute.labels.key | El valor se establece en isRedirectCmdProcessor, isNative64Bit, isStorylineRoot, signedStatus, file_isSigned, tgt process subsystem o tgt process integrityLevel para los eventos con "meta.event.name" igual a PROCESSCREATION. |
|
| read_only_udm.target.resource.attribute.labels.value | El valor se toma del campo correspondiente en el registro sin procesar, solo para los eventos con "meta.event.name" igual a PROCESSCREATION. |
|
| read_only_udm.security_result.about.resource.attribute.labels.key | El valor se establece en tgt.process.storyline.id, endpoint_type, packet_id, src.process.storyline.id o src.process.parent.storyline.id para los eventos con "meta.event.name" igual a PROCESSCREATION. |
|
| read_only_udm.security_result.about.resource.attribute.labels.value | El valor se toma del campo correspondiente en el registro sin procesar y se antepone con ID: para los IDs de la secuencia, solo para los eventos con "meta.event.name" igual a PROCESSCREATION. |
|
| read_only_udm.security_result.category_details | El valor se establece en security para los eventos con "meta.event.name" igual a PROCESSCREATION. |
|
| read_only_udm.target.asset.product_object_id | El valor se toma del campo "AdapterName" en el registro sin procesar, solo para los eventos con "meta.event.name" igual a EVENTLOG. |
|
| security_result.about.resource.attribute.labels.key | El valor se establece en TimeCreated SystemTime, EventID, Task, Channel, ProviderGuid, RecordNumber, SourceName, endpoint_type o packet_id para los eventos con "meta.event.name" igual a EVENTLOG. |
|
| security_result.detection_fields.key | El valor se establece en Activity ID para los eventos con "meta.event.name" igual a EVENTLOG y un campo "ActivityID" no vacío. |
|
| security_result.detection_fields.value | El valor se toma del campo "ActivityID" en el registro sin procesar, solo para los eventos con "meta.event.name" igual a EVENTLOG y un campo "ActivityID" no vacío. |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.