Recoger registros de visibilidad detallada de SentinelOne

Disponible en:

En este documento se explica cómo exportar registros de Deep Visibility de SentinelOne a Google Security Operations mediante Cloud Funnel para exportar registros a Google Cloud Storage. El analizador transforma los registros de eventos de seguridad sin procesar en formato JSON en un formato estructurado conforme al UDM. Primero, inicializa un conjunto de variables, luego extrae el tipo de evento y analiza la carga útil JSON, asignando los campos relevantes al esquema de UDM y gestionando los registros de eventos de Windows por separado.

Antes de empezar

Asegúrate de que cumples los siguientes requisitos previos:

  • Instancia de Google SecOps
  • Acceso privilegiado a Google Cloud
  • Configuración de la visibilidad exhaustiva de SentinelOne en tu entorno
  • Acceso privilegiado a SentinelOne

Crear un segmento de Google Cloud Storage

  1. Inicia sesión en la consolaGoogle Cloud .

  2. Ve a la página Segmentos de Cloud Storage.

    Ir a Contenedores

  3. Haz clic en Crear.

  4. En la página Crear un segmento, introduce la información del segmento. Después de cada uno de los pasos siguientes, haga clic en Continuar para pasar al siguiente:

    1. En la sección Empezar, haz lo siguiente:

      1. Introduzca un nombre único que cumpla los requisitos de nombres de los segmentos. Por ejemplo, sentinelone-deepvisibility.

      2. Para habilitar el espacio de nombres jerárquico, haz clic en la flecha para desplegar la sección Optimizar para cargas de trabajo orientadas a archivos y con gran cantidad de datos y, a continuación, selecciona Habilitar espacio de nombres jerárquico en este bucket.

      3. Para añadir una etiqueta de contenedor, haz clic en la flecha para desplegar la sección Etiquetas.

      4. Haga clic en Añadir etiqueta y especifique una clave y un valor para la etiqueta.

    2. En la sección Elige dónde quieres almacenar los datos, haz lo siguiente:

      1. Selecciona un Tipo de ubicación.

      2. Usa el menú de tipo de ubicación para seleccionar una Ubicación donde se almacenarán de forma permanente los datos de los objetos de tu segmento.

      3. Para configurar la replicación entre contenedores, despliega la sección Configurar la replicación entre contenedores.

    3. En la sección Elige una clase de almacenamiento para tus datos, selecciona una clase de almacenamiento predeterminada para el segmento o Autoclass para gestionar automáticamente la clase de almacenamiento de los datos del segmento.

    4. En la sección Elige cómo quieres controlar el acceso a los objetos, selecciona no para aplicar la prevención del acceso público y elige un modelo de control de acceso para los objetos del segmento.

    5. En la sección Elige cómo proteger los datos de los objetos, haz lo siguiente:

      1. Selecciona cualquiera de las opciones de Protección de datos que quieras configurar para tu contenedor.
      2. Para elegir cómo se cifrarán los datos de los objetos, haga clic en la flecha del desplegable Cifrado de datos y seleccione un Método de cifrado de datos.

  5. Haz clic en Crear.

Crear una cuenta de servicio de Google Cloud

  1. Ve a IAM y administración > Cuentas de servicio.
  2. Crear una nueva cuenta de servicio.
  3. Asigna un nombre descriptivo; por ejemplo, sentinelone-dv-logs.
  4. Asigna a la cuenta de servicio el rol Creador de objetos de Storage en el segmento de Cloud Storage que has creado en el paso anterior.
  5. Crea una clave SSH para la cuenta de servicio.
  6. Descarga un archivo de clave JSON de la cuenta de servicio. Guarda este archivo de forma segura.

Cómo configurar Cloud Funnel en SentinelOne DeepVisibility

  1. Inicia sesión en SentinelOne DeepVisibility.
  2. Haz clic en Configurar > Políticas y ajustes.
  3. En la sección Singularity Data Lake, haga clic en Cloud Funnel.
  4. Proporcione los siguientes detalles de configuración:
    • Proveedor de servicios en la nube: selecciona Google Cloud.
    • Nombre del segmento: introduce el nombre del segmento de Cloud Storage que has creado para la ingestión de registros de Deep Visibility de SentinelOne.
    • Telemetría de streaming: selecciona Habilitar.
    • Filtros de consulta: crea una consulta que incluya los agentes que deban enviar datos a un segmento de Cloud Storage.
    • Haz clic en Validar.
    • Campos que incluir: selecciona todos los campos.
  5. Haz clic en Guardar.

Configurar feeds

Hay dos puntos de entrada diferentes para configurar feeds en la plataforma Google SecOps:

  • Configuración de SIEM > Feeds > Añadir nuevo feed
  • Centro de contenido > Paquetes de contenido > Empezar

Cómo configurar el feed de visibilidad profunda de SentinelOne

  1. Haz clic en el paquete SentinelOne.
  2. En el tipo de registro SentinelOne Deep Visibility, especifica los valores de los siguientes campos:
    • Tipo de fuente: Google Cloud Storage V2.
    • URI del segmento de almacenamiento: el URI de origen del segmento de Google Cloud Storage.
    • Opción de eliminación de la fuente: si quieres eliminar los archivos o directorios después de transferirlos. Selecciona la opción Eliminar archivos transferidos en Opción de eliminación de la fuente.
    • Antigüedad máxima del archivo: incluye los archivos modificados en los últimos días. El valor predeterminado es 180 días.
    • Cuenta de servicio de Chronicle: copia la cuenta de servicio. La necesitarás para añadir permisos en el segmento a esta cuenta de servicio y permitir que Google SecOps lea o elimine datos del segmento.

Opciones avanzadas

  • Nombre del feed: un valor rellenado automáticamente que identifica el feed.
  • Espacio de nombres del recurso: espacio de nombres asociado al feed.
  • Etiquetas de ingestión: etiquetas aplicadas a todos los eventos de este feed.
  • Haga clic en Crear feed.

Para obtener más información sobre cómo configurar varios feeds para diferentes tipos de registros en esta familia de productos, consulta el artículo Configurar feeds por producto.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
AdapterName security_result.about.resource.attribute.labels.value El valor se toma del campo "AdapterName" del registro sin procesar.
AdapterSuffixName security_result.about.resource.attribute.labels.value El valor se toma del campo "AdapterSuffixName" del registro sin procesar.
agent_version read_only_udm.metadata.product_version El valor se toma del campo "meta.agent_version" del registro sin procesar.
Canal security_result.about.resource.attribute.labels.value El valor se toma del campo "Channel" del registro sin procesar.
commandLine read_only_udm.principal.process.command_line El valor se toma del campo "event.Event...commandLine" del registro sin procesar, donde es el tipo de evento específico (por ejemplo, ProcessCreation, ProcessExit) y es el campo que contiene información del proceso (por ejemplo, proceso, fuente, elemento superior).
computer_name read_only_udm.principal.hostname El valor se toma del campo "meta.computer_name" del registro sin procesar.
destinationAddress.address read_only_udm.target.ip El valor se toma del campo "event.Event.Tcpv4.destinationAddress.address" del registro sin procesar.
destinationAddress.port read_only_udm.target.port El valor se toma del campo "event.Event.Tcpv4.destinationAddress.port" del registro sin procesar.
DnsServerList read_only_udm.principal.ip El valor se toma del campo "DnsServerList" del registro sin procesar.
ErrorCode_new security_result.detection_fields.value El valor se toma del campo "ErrorCode_new" del registro sin procesar.
EventID security_result.about.resource.attribute.labels.value El valor se toma del campo "EventID" del registro sin procesar.
event.Event.Dns.query read_only_udm.network.dns.questions.name El valor se toma del campo "event.Event.Dns.query" del registro sin procesar.
event.Event.Dns.results read_only_udm.network.dns.answers.data El valor se toma del campo "event.Event.Dns.results" del registro sin procesar.
event.Event.Dns.source.fullPid.pid read_only_udm.principal.process.pid El valor se toma del campo "event.Event.Dns.source.fullPid.pid" del registro sin procesar.
event.Event.Dns.source.user.name read_only_udm.principal.user.userid El valor se toma del campo "event.Event.Dns.source.user.name" del registro sin procesar.
event.Event.FileCreation.source.fullPid.pid read_only_udm.principal.process.pid El valor se toma del campo "event.Event.FileCreation.source.fullPid.pid" del registro sin procesar.
event.Event.FileCreation.source.user.name read_only_udm.principal.user.userid El valor se toma del campo "event.Event.FileCreation.source.user.name" del registro sin procesar.
event.Event.FileCreation.targetFile.path read_only_udm.target.file.full_path El valor se toma del campo "event.Event.FileCreation.targetFile.path" del registro sin procesar.
event.Event.FileDeletion.source.fullPid.pid read_only_udm.principal.process.pid El valor se toma del campo "event.Event.FileDeletion.source.fullPid.pid" del registro sin procesar.
event.Event.FileDeletion.source.user.name read_only_udm.principal.user.userid El valor se toma del campo "event.Event.FileDeletion.source.user.name" del registro sin procesar.
event.Event.FileDeletion.targetFile.path read_only_udm.target.file.full_path El valor se toma del campo "event.Event.FileDeletion.targetFile.path" del registro sin procesar.
event.Event.FileModification.file.path read_only_udm.target.file.full_path El valor se toma del campo "event.Event.FileModification.file.path" del registro sin procesar.
event.Event.FileModification.source.user.name read_only_udm.principal.user.userid El valor se toma del campo "event.Event.FileModification.source.user.name" del registro sin procesar.
event.Event.FileModification.targetFile.path read_only_udm.target.file.full_path El valor se toma del campo "event.Event.FileModification.targetFile.path" del registro sin procesar.
event.Event.Http.source.user.name read_only_udm.principal.user.userid El valor se toma del campo "event.Event.Http.source.user.name" del registro sin procesar.
event.Event.Http.url read_only_udm.target.url El valor se toma del campo "event.Event.Http.url" del registro sin procesar.
event.Event.ProcessCreation.process.user.name read_only_udm.principal.user.userid El valor se toma del campo "event.Event.ProcessCreation.process.user.name" del registro sin procesar.
event.Event.ProcessCreation.source.user.name read_only_udm.principal.user.userid El valor se toma del campo "event.Event.ProcessCreation.source.user.name" del registro sin procesar.
event.Event.ProcessExit.source.user.name read_only_udm.principal.user.userid El valor se toma del campo "event.Event.ProcessExit.source.user.name" del registro sin procesar.
event.Event.ProcessTermination.source.user.name read_only_udm.principal.user.userid El valor se toma del campo "event.Event.ProcessTermination.source.user.name" del registro sin procesar.
event.Event.RegKeyCreate.source.fullPid.pid read_only_udm.principal.process.pid El valor se toma del campo "event.Event.RegKeyCreate.source.fullPid.pid" del registro sin procesar.
event.Event.RegKeyCreate.source.user.name read_only_udm.principal.user.userid El valor se toma del campo "event.Event.RegKeyCreate.source.user.name" del registro sin procesar.
event.Event.RegKeyDelete.source.user.name read_only_udm.principal.user.userid El valor se toma del campo "event.Event.RegKeyDelete.source.user.name" del registro sin procesar.
event.Event.RegValueModified.source.user.name read_only_udm.principal.user.userid El valor se toma del campo "event.Event.RegValueModified.source.user.name" del registro sin procesar.
event.Event.SchedTaskDelete.source.user.name read_only_udm.principal.user.userid El valor se toma del campo "event.Event.SchedTaskDelete.source.user.name" del registro sin procesar.
event.Event.SchedTaskRegister.source.user.name read_only_udm.principal.user.userid El valor se toma del campo "event.Event.SchedTaskRegister.source.user.name" del registro sin procesar.
event.Event.SchedTaskStart.source.user.name read_only_udm.principal.user.userid El valor se toma del campo "event.Event.SchedTaskStart.source.user.name" del registro sin procesar.
event.Event.SchedTaskTrigger.source.fullPid.pid read_only_udm.principal.process.pid El valor se toma del campo "event.Event.SchedTaskTrigger.source.fullPid.pid" del registro sin procesar.
event.Event.SchedTaskTrigger.source.user.name read_only_udm.principal.user.userid El valor se toma del campo "event.Event.SchedTaskTrigger.source.user.name" del registro sin procesar.
event.Event.Tcpv4.source.fullPid.pid read_only_udm.principal.process.pid El valor se toma del campo "event.Event.Tcpv4.source.fullPid.pid" del registro sin procesar.
event.Event.Tcpv4.source.user.name read_only_udm.principal.user.userid El valor se toma del campo "event.Event.Tcpv4.source.user.name" del registro sin procesar.
event.Event.Tcpv4Listen.local.address read_only_udm.principal.ip El valor se toma del campo "event.Event.Tcpv4Listen.local.address" del registro sin procesar.
event.timestamp.millisecondsSinceEpoch read_only_udm.metadata.event_timestamp.seconds El valor se toma del campo "event.timestamp.millisecondsSinceEpoch" del registro sin procesar y se convierte a segundos.
event.timestamp.millisecondsSinceEpoch read_only_udm.metadata.event_timestamp.nanos El valor se toma del campo "event.timestamp.millisecondsSinceEpoch" del registro sin procesar y se convierte a nanosegundos.
event.timestamp.millisecondsSinceEpoch security_result.about.resource.attribute.labels.value El valor se toma del campo "event.timestamp.millisecondsSinceEpoch" del registro sin procesar y se usa como valor de una etiqueta de la matriz security_result.about.resource.attribute.labels.
event_type read_only_udm.metadata.product_event_type El valor se extrae del campo "message" del registro sin procesar mediante un patrón grok.
executable.hashes.md5 read_only_udm.principal.process.file.md5 El valor se toma del campo "event.Event...executable.hashes.md5" del registro sin procesar, donde es el tipo de evento específico (por ejemplo, ProcessCreation, ProcessExit) y es el campo que contiene información del proceso (por ejemplo, proceso, fuente, elemento superior).
executable.hashes.sha1 read_only_udm.principal.process.file.sha1 El valor se toma del campo "event.Event...executable.hashes.sha1" del registro sin procesar, donde es el tipo de evento específico (por ejemplo, ProcessCreation, ProcessExit) y es el campo que contiene información del proceso (por ejemplo, proceso, fuente, elemento superior).
executable.hashes.sha256 read_only_udm.principal.process.file.sha256 El valor se toma del campo "event.Event...executable.hashes.sha256" del registro sin procesar, donde es el tipo de evento específico (por ejemplo, ProcessCreation, ProcessExit) y es el campo que contiene información del proceso (por ejemplo, proceso, fuente, elemento superior).
executable.path read_only_udm.principal.process.file.full_path El valor se toma del campo "event.Event...executable.path" del registro sin procesar, donde es el tipo de evento específico (por ejemplo, ProcessCreation, ProcessExit) y es el campo que contiene información del proceso (por ejemplo, proceso, fuente, elemento superior).
executable.sizeBytes read_only_udm.principal.process.file.size El valor se toma del campo "event.Event...executable.sizeBytes" del registro sin procesar, donde es el tipo de evento específico (por ejemplo, ProcessCreation, ProcessExit) y es el campo que contiene información del proceso (por ejemplo, proceso, fuente, elemento superior).
fullPid.pid read_only_udm.principal.process.pid El valor se toma del campo "event.Event...fullPid.pid" del registro sin procesar, donde es el tipo de evento específico (por ejemplo, ProcessCreation, ProcessExit) y es el campo que contiene información del proceso (por ejemplo, proceso, fuente, elemento superior).
hashes.md5 read_only_udm.target.file.md5 El valor se toma del campo "event.Event.ProcessCreation.hashes.md5" del registro sin procesar.
hashes.sha1 read_only_udm.target.file.sha1 El valor se toma del campo "event.Event.ProcessCreation.hashes.sha1" del registro sin procesar.
hashes.sha256 read_only_udm.target.file.sha256 El valor se toma del campo "event.Event.ProcessCreation.hashes.sha256" del registro sin procesar.
IpAddress read_only_udm.target.ip El valor se toma del campo "IpAddress" del registro sin procesar.
local.address read_only_udm.principal.ip El valor se toma del campo "event.Event.Tcpv4Listen.local.address" del registro sin procesar.
local.port read_only_udm.principal.port El valor se toma del campo "event.Event.Tcpv4Listen.local.port" del registro sin procesar.
log_type read_only_udm.metadata.log_type El valor se toma del campo "log_type" del registro sin procesar.
meta.agent_version read_only_udm.metadata.product_version El valor se toma del campo "meta.agent_version" del registro sin procesar.
meta.computer_name read_only_udm.principal.hostname El valor se toma del campo "meta.computer_name" del registro sin procesar.
meta.os_family read_only_udm.principal.platform El valor se toma del campo "meta.os_family" del registro sin procesar y se asigna a la plataforma correspondiente (por ejemplo, windows para WINDOWS, osx para MAC y linux para LINUX.
meta.os_name read_only_udm.principal.platform_version El valor se toma del campo "meta.os_name" del registro sin procesar.
meta.os_revision read_only_udm.principal.platform_patch_level El valor se toma del campo "meta.os_revision" del registro sin procesar.
meta.uuid read_only_udm.principal.asset_id El valor se toma del campo "meta.uuid" del registro sin procesar y se le añade el prefijo SENTINELONE:.
name read_only_udm.principal.application El valor se toma del campo "event.Event...name" del registro sin procesar, donde es el tipo de evento específico (por ejemplo, ProcessCreation, ProcessExit) y es el campo que contiene información del proceso (por ejemplo, proceso, fuente, elemento superior).
parent.executable.hashes.md5 read_only_udm.target.process.parent_process.file.md5 El valor se toma del campo "event.Event..parent.executable.hashes.md5" del registro sin procesar, donde es el tipo de evento específico (por ejemplo, ProcessCreation y ProcessExit).
parent.executable.hashes.sha1 read_only_udm.target.process.parent_process.file.sha1 El valor se toma del campo "event.Event..parent.executable.hashes.sha1" del registro sin procesar, donde es el tipo de evento específico (por ejemplo, ProcessCreation y ProcessExit).
parent.executable.hashes.sha256 read_only_udm.target.process.parent_process.file.sha256 El valor se toma del campo "event.Event..parent.executable.hashes.sha256" del registro sin procesar, donde es el tipo de evento específico (por ejemplo, ProcessCreation y ProcessExit).
parent.executable.path read_only_udm.target.process.parent_process.file.full_path El valor se toma del campo "event.Event..parent.executable.path" del registro sin procesar, donde es el tipo de evento específico (por ejemplo, ProcessCreation y ProcessExit).
parent.fullPid.pid read_only_udm.target.process.parent_process.pid El valor se toma del campo "event.Event..parent.fullPid.pid" del registro sin procesar, donde es el tipo de evento específico (por ejemplo, ProcessCreation y ProcessExit).
ruta read_only_udm.principal.process.file.full_path El valor se toma del campo "event.Event...path" del registro sin procesar, donde es el tipo de evento específico (por ejemplo, ProcessCreation, ProcessExit) y es el campo que contiene información del proceso (por ejemplo, proceso, fuente, elemento superior).
process.commandLine read_only_udm.target.process.command_line El valor se toma del campo "event.Event.ProcessCreation.process.commandLine" del registro sin procesar.
process.fullPid.pid read_only_udm.target.process.pid El valor se toma del campo "event.Event.ProcessCreation.process.fullPid.pid" del registro sin procesar.
process.parent.fullPid.pid read_only_udm.target.process.parent_process.pid El valor se toma del campo "event.Event.ProcessCreation.process.parent.fullPid.pid" del registro sin procesar.
ProviderGuid security_result.about.resource.attribute.labels.value El valor se toma del campo "ProviderGuid" del registro sin procesar, con las llaves eliminadas.
query read_only_udm.network.dns.questions.name El valor se toma del campo "event.Event.Dns.query" del registro sin procesar.
RecordNumber security_result.about.resource.attribute.labels.value El valor se toma del campo "RecordNumber" del registro sin procesar.
regKey.path read_only_udm.target.registry.registry_key El valor se toma del campo "event.Event.RegKeyCreate.regKey.path" o "event.Event.RegKeyDelete.regKey.path" del registro sin procesar.
regValue.path read_only_udm.target.registry.registry_key El valor se toma del campo "event.Event.RegValueDelete.regValue.path" o "event.Event.RegValueModified.regValue.path" del registro sin procesar.
resultados read_only_udm.network.dns.answers.data El valor se toma del campo "event.Event.Dns.results" del registro sin procesar.
Sent UpdateServer intermediary.hostname El valor se toma del campo "Sent UpdateServer" del registro sin procesar.
seq_id Este campo no se asigna directamente a UDM.
signature.Status.Signed.identity Este campo no se asigna directamente a UDM.
sizeBytes read_only_udm.principal.process.file.size El valor se toma del campo "event.Event...sizeBytes" del registro sin procesar, donde es el tipo de evento específico (por ejemplo, ProcessCreation, ProcessExit) y es el campo que contiene información del proceso (por ejemplo, proceso, fuente, elemento superior).
sourceAddress.address read_only_udm.principal.ip El valor se toma del campo "event.Event.Tcpv4.sourceAddress.address" del registro sin procesar.
sourceAddress.port read_only_udm.principal.port El valor se toma del campo "event.Event.Tcpv4.sourceAddress.port" del registro sin procesar.
SourceName security_result.about.resource.attribute.labels.value El valor se toma del campo "SourceName" del registro sin procesar.
status Este campo no se asigna directamente a UDM.
taskName read_only_udm.target.resource.name El valor se toma del campo "event.Event.SchedTaskStart.taskName", "event.Event.SchedTaskTrigger.taskName" o "event.Event.SchedTaskDelete.taskName" del registro sin procesar.
targetFile.hashes.md5 read_only_udm.target.file.md5 El valor se toma del campo "event.Event.FileDeletion.targetFile.hashes.md5" o "event.Event.SchedTaskStart.targetFile.hashes.md5" del registro sin procesar.
targetFile.hashes.sha1 read_only_udm.target.file.sha1 El valor se toma del campo "event.Event.FileDeletion.targetFile.hashes.sha1" o "event.Event.SchedTaskStart.targetFile.hashes.sha1" del registro sin procesar.
targetFile.hashes.sha256 read_only_udm.target.file.sha256 El valor se toma del campo "event.Event.FileDeletion.targetFile.hashes.sha256" o "event.Event.SchedTaskStart.targetFile.hashes.sha256" del registro sin procesar.
targetFile.path read_only_udm.target.file.full_path El valor se toma del campo "event.Event.FileDeletion.targetFile.path" o "event.Event.SchedTaskStart.targetFile.path" del registro sin procesar.
Tarea security_result.about.resource.attribute.labels.value El valor se toma del campo "Task" (Tarea) del registro sin procesar.
timestamp.millisecondsSinceEpoch read_only_udm.metadata.event_timestamp.seconds El valor se toma del campo "event.timestamp.millisecondsSinceEpoch" del registro sin procesar y se convierte a segundos.
timestamp.millisecondsSinceEpoch read_only_udm.metadata.event_timestamp.nanos El valor se toma del campo "event.timestamp.millisecondsSinceEpoch" del registro sin procesar y se convierte a nanosegundos.
trace_id Este campo no se asigna directamente a UDM.
triggerType Este campo no se asigna directamente a UDM.
trueContext Este campo no se asigna directamente a UDM.
trueContext.key Este campo no se asigna directamente a UDM.
trueContext.key.value Este campo no se asigna directamente a UDM.
tipo read_only_udm.network.dns.answers.type El valor se toma del campo "event.Event.Dns.results" del registro sin procesar y se extrae mediante una expresión regular.
url read_only_udm.target.url El valor se toma del campo "event.Event.Http.url" del registro sin procesar.
nombre.usuario read_only_udm.principal.user.userid El valor se toma del campo "event.Event...user.name" del registro sin procesar, donde es el tipo de evento específico (por ejemplo, ProcessCreation, ProcessExit) y es el campo que contiene información del proceso (por ejemplo, proceso, fuente, elemento superior).
user.sid read_only_udm.principal.user.windows_sid El valor se toma del campo "event.Event...user.sid" del registro sin procesar, donde es el tipo de evento específico (por ejemplo, ProcessCreation, ProcessExit) y es el campo que contiene información del proceso (por ejemplo, proceso, fuente, elemento superior).
UserID read_only_udm.target.user.windows_sid El valor se toma del campo "UserID" del registro sin procesar, solo si coincide con el patrón SID de Windows.
UserSid read_only_udm.target.user.windows_sid El valor se toma del campo "UserSid" del registro sin procesar, solo si coincide con el patrón SID de Windows.
valueType Este campo no se asigna directamente a UDM.
winEventLog.channel security_result.about.resource.attribute.labels.value El valor se toma del campo "winEventLog.channel" del registro sin procesar.
winEventLog.description Este campo no se asigna directamente a UDM.
winEventLog.id security_result.about.resource.attribute.labels.value El valor se toma del campo "winEventLog.id" del registro sin procesar.
winEventLog.level security_result.severity El valor se toma del campo "winEventLog.level" del registro sin procesar y se asigna al nivel de gravedad correspondiente (por ejemplo, Warning a MEDIO).
winEventLog.providerName security_result.about.resource.attribute.labels.value El valor se toma del campo "winEventLog.providerName" del registro sin procesar.
winEventLog.xml Este campo no se asigna directamente a UDM.
read_only_udm.metadata.event_type El valor se determina en función del campo "event_type" y se asigna al tipo de evento de UDM correspondiente.
read_only_udm.metadata.vendor_name El valor se ha definido como SentinelOne.
read_only_udm.metadata.product_name El valor se ha definido como Deep Visibility.
read_only_udm.metadata.product_log_id El valor se toma del campo "trace.id" del registro sin procesar, solo para los eventos cuyo campo "meta.event.name" sea igual a PROCESSCREATION.
read_only_udm.metadata.product_deployment_id El valor se toma del campo "account.id" del registro sin procesar, solo en el caso de los eventos cuyo valor de "meta.event.name" sea PROCESSCREATION.
read_only_udm.metadata.url_back_to_product El valor se toma del campo "mgmt.url" del registro sin procesar, solo en el caso de los eventos cuyo campo "meta.event.name" sea igual a PROCESSCREATION.
read_only_udm.metadata.ingestion_labels.key El valor es Process eUserUid o Process lUserUid para los eventos con "meta.event.name" igual a PROCESSCREATION.
read_only_udm.metadata.ingestion_labels.value El valor se toma del campo "src.process.eUserUid" o "src.process.lUserUid" del registro sin procesar, solo en el caso de los eventos con el valor PROCESSCREATION en "meta.event.name".
read_only_udm.principal.administrative_domain La parte del dominio del campo "event.Event...user.name" del registro sin procesar, donde es el tipo de evento específico (por ejemplo, ProcessCreation, ProcessExit) y es el campo que contiene información del proceso (por ejemplo, proceso, fuente, elemento superior).
read_only_udm.target.process.parent_process.command_line El valor se toma del campo "event.Event..parent.commandLine" del registro sin procesar, donde es el tipo de evento específico (por ejemplo, ProcessCreation y ProcessExit).
read_only_udm.target.file Se crea un objeto vacío si el valor de "event_type" no es FileCreation, FileDeletion, FileModification, SchedTaskStart ni ProcessCreation.
read_only_udm.network.ip_protocol El valor se asigna a TCP en los eventos cuyo valor de "event_type" es Tcpv4, Tcpv4Listen o Http.
read_only_udm.network.application_protocol El valor se asigna a DNS para los eventos con el valor Dns en "event_type".
read_only_udm.target.resource.type El valor se asigna a TASK en los eventos cuyo valor de "event_type" es SchedTaskStart, SchedTaskTrigger o SchedTaskDelete.
read_only_udm.target.resource.resource_type El valor se asigna a TASK en los eventos con el valor SchedTaskStart, SchedTaskTrigger o SchedTaskDelete en "event_type".
read_only_udm.principal.process.product_specific_process_id El valor es ExecutionThreadID:<ExecutionThreadID> si el campo "ExecutionThreadID" está presente en el registro sin procesar.
read_only_udm.principal.asset.asset_id El valor se define como Device ID:<agent.uuid> si el campo "agent.uuid" está presente en el registro sin procesar.
read_only_udm.principal.namespace El valor se toma del campo "site.id" del registro sin procesar, solo para los eventos con "meta.event.name" igual a PROCESSCREATION.
read_only_udm.principal.location.name El valor se toma del campo "site.name" del registro sin procesar, solo en el caso de los eventos cuyo valor de "meta.event.name" sea PROCESSCREATION.
read_only_udm.principal.resource.attribute.labels.key El valor se asigna a src.process.displayName, src.process.uid, isRedirectCmdProcessor, isNative64Bit, isStorylineRoot, signedStatus, src process subsystem, src process integrityLevel o childProcCount en el caso de los eventos cuyo valor de "meta.event.name" sea PROCESSCREATION.
read_only_udm.principal.resource.attribute.labels.value El valor se toma del campo correspondiente del registro sin procesar, solo en el caso de los eventos cuyo valor de "meta.event.name" sea PROCESSCREATION.
read_only_udm.target.user.userid El valor se toma del campo "tgt.process.uid" del registro sin procesar, solo para los eventos con "meta.event.name" igual a PROCESSCREATION.
read_only_udm.target.user.user_display_name El valor se toma del campo "tgt.process.displayName" del registro sin procesar, solo para los eventos cuyo campo "meta.event.name" sea igual a PROCESSCREATION.
read_only_udm.target.resource.attribute.labels.key El valor se asigna a isRedirectCmdProcessor, isNative64Bit, isStorylineRoot, signedStatus, file_isSigned, tgt process subsystem o tgt process integrityLevel en el caso de los eventos cuyo valor de "meta.event.name" sea PROCESSCREATION.
read_only_udm.target.resource.attribute.labels.value El valor se toma del campo correspondiente del registro sin procesar, solo en el caso de los eventos cuyo valor de "meta.event.name" sea PROCESSCREATION.
read_only_udm.security_result.about.resource.attribute.labels.key El valor se asigna a tgt.process.storyline.id, endpoint_type, packet_id, src.process.storyline.id o src.process.parent.storyline.id en el caso de los eventos cuyo valor de "meta.event.name" sea PROCESSCREATION.
read_only_udm.security_result.about.resource.attribute.labels.value El valor se toma del campo correspondiente del registro sin procesar y se le añade el prefijo ID: para los IDs de la trama, solo en el caso de los eventos cuyo valor de "meta.event.name" sea PROCESSCREATION.
read_only_udm.security_result.category_details El valor que se asigna es security para los eventos cuyo valor de "meta.event.name" es PROCESSCREATION.
read_only_udm.target.asset.product_object_id El valor se toma del campo "AdapterName" del registro sin procesar, solo para los eventos con "meta.event.name" igual a EVENTLOG.
security_result.about.resource.attribute.labels.key El valor se asigna a TimeCreated SystemTime, EventID, Task, Channel, ProviderGuid, RecordNumber, SourceName, endpoint_type o packet_id en el caso de los eventos cuyo valor de "meta.event.name" sea EVENTLOG.
security_result.detection_fields.key El valor es Activity ID para los eventos con el campo "meta.event.name" igual a EVENTLOG y el campo "ActivityID" no vacío.
security_result.detection_fields.value El valor se toma del campo "ActivityID" del registro sin procesar, solo para los eventos con "meta.event.name" igual a EVENTLOG y un campo "ActivityID" no vacío.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.