Collecter les journaux SentinelOne Deep Visibility

Compatible avec :

Ce document explique comment exporter les journaux SentinelOne Deep Visibility vers Google Security Operations à l'aide de Cloud Funnel pour exporter les journaux vers Google Cloud Storage. L'analyseur transforme les journaux d'événements de sécurité bruts au format JSON en un format structuré conforme à l'UDM. Il initialise d'abord un ensemble de variables, puis extrait le type d'événement et analyse la charge utile JSON, en mappant les champs pertinents au schéma UDM tout en gérant les journaux d'événements Windows séparément.

Avant de commencer

Assurez-vous de remplir les conditions préalables suivantes :

  • Instance Google SecOps
  • Accès privilégié à Google Cloud
  • SentinelOne Deep Visibility configuré dans votre environnement
  • Accès privilégié à SentinelOne

Créer un bucket Google Cloud Storage

  1. Connectez-vous à la consoleGoogle Cloud .

  2. Accédez à la page Buckets Cloud Storage.

    Accéder à la page "Buckets"

  3. Cliquez sur Créer.

  4. Sur la page Créer un bucket, saisissez les informations concernant votre bucket. Après chacune de ces étapes, cliquez sur Continuer pour passer à l'étape suivante :

    1. Dans la section Premiers pas, procédez comme suit :

      1. Saisissez un nom unique qui répond aux exigences de dénomination des buckets (par exemple, sentinelone-deepvisibility).

      2. Pour activer l'espace de noms hiérarchique, cliquez sur la flèche d'expansion pour développer la section Optimiser pour les charges de travail orientées fichiers et à forte intensité de données, puis sélectionnez Activer l'espace de noms hiérarchique sur ce bucket.

      3. Pour ajouter une étiquette de bucket, cliquez sur la flèche de développement pour développer la section Étiquettes.

      4. Cliquez sur Ajouter un libellé, puis spécifiez une clé et une valeur pour votre libellé.

    2. Dans la section Choisir l'emplacement de stockage de vos données, procédez comme suit :

      1. Sélectionnez un type d'emplacement.

      2. Utilisez le menu du type d'emplacement pour sélectionner un emplacement où les données d'objets de votre bucket seront stockées de manière permanente.

      3. Pour configurer la réplication entre buckets, développez la section Configurer la réplication entre buckets.

    3. Dans la section Choisir une classe de stockage pour vos données, sélectionnez une classe de stockage par défaut pour le bucket, ou bien classe automatique pour une gestion automatique des classes de stockage des données de votre bucket.

    4. Dans la section Choisir comment contrôler l'accès aux objets, sélectionnez non pour appliquer la protection contre l'accès public, puis sélectionnez un modèle de contrôle des accès pour les objets de votre bucket.

    5. Dans la section Choisir comment protéger les données d'objet, procédez comme suit :

      1. Sélectionnez l'une des options sous Protection des données que vous souhaitez définir pour votre bucket.
      2. Pour choisir comment vos données d'objet seront chiffrées, cliquez sur la flèche d'expansion intitulée Chiffrement des données, puis sélectionnez une méthode de chiffrement des données.

  5. Cliquez sur Créer.

Créer un compte de service Google Cloud

  1. Accédez à IAM et administration > Comptes de service.
  2. Créez un compte de service.
  3. Attribuez-lui un nom descriptif, par exemple sentinelone-dv-logs.
  4. Attribuez le rôle Créateur des objets de l'espace de stockage au compte de service sur le bucket Cloud Storage que vous avez créé à l'étape précédente.
  5. Créez une clé SSH pour le compte de service.
  6. Téléchargez un fichier de clé JSON pour le compte de service. Conservez ce fichier dans un endroit sécurisé.

Configurer Cloud Funnel dans SentinelOne DeepVisibility

  1. Connectez-vous à SentinelOne DeepVisibility.
  2. Cliquez sur Configurer > Règles et paramètres.
  3. Dans la section Singularity Data Lake, cliquez sur Cloud Funnel.
  4. Fournissez les informations de configuration suivantes :
    • Fournisseur cloud : sélectionnez Google Cloud.
    • Nom du bucket : saisissez le nom du bucket Cloud Storage que vous avez créé pour l'ingestion des journaux SentinelOne DeepVisibility.
    • Streaming de télémétrie : sélectionnez Activer.
    • Filtres de requête : créez une requête qui inclut les agents qui doivent envoyer des données à un bucket Cloud Storage.
    • Cliquez sur Valider.
    • Champs à inclure : sélectionnez tous les champs.
  5. Cliquez sur Enregistrer.

Configurer des flux

Il existe deux points d'entrée différents pour configurer les flux dans la plate-forme Google SecOps :

  • Paramètres SIEM> Flux
  • Plate-forme de contenu > Packs de contenu

Configurer des flux à partir de Paramètres SIEM > Flux

Pour configurer plusieurs flux pour différents types de journaux dans cette famille de produits, consultez Configurer des flux par produit.

Pour configurer un seul flux :

  1. Accédez à Paramètres SIEM> Flux.
  2. Cliquez sur Add New Feed (Ajouter un flux).
  3. Sur la page suivante, cliquez sur Configurer un seul flux.
  4. Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Journaux SentinelOne DV).
  5. Sélectionnez Google Cloud Storage comme Type de source.
  6. Sélectionnez SentinelOne Deep Visibility comme Type de journal.
  7. Cliquez sur Obtenir un compte de service en tant que compte de service Chronicle.
  8. Cliquez sur Suivant.

  9. Spécifiez les valeurs des paramètres d'entrée suivants :

    • URI du bucket de stockage : URL du bucket Google Cloud Storage au format gs://my-bucket/<value>.
    • URI Is A (L'URI est un) : sélectionnez Directory which includes subdirectories (Répertoire incluant des sous-répertoires).

    • Options de suppression de la source : sélectionnez l'option de suppression en fonction de vos préférences d'ingestion.

    • Espace de noms de l'élément : espace de noms de l'élément.

    • Libellés d'ingestion : libellé appliqué aux événements de ce flux.

  10. Cliquez sur Suivant.

  11. Vérifiez la configuration de votre nouveau flux sur l'écran de finalisation, puis cliquez sur Envoyer.

Configurer des flux depuis le Hub de contenu

Indiquez les valeurs des champs suivants :

  • URI du bucket de stockage : URI source du bucket Google Cloud Storage.
  • L'URI est : sélectionnez le TYPE d'URI en fonction de la configuration du flux de journaux (Fichier unique | Répertoire | Répertoire incluant des sous-répertoires).
  • Options de suppression de la source : sélectionnez l'option de suppression en fonction de vos préférences d'ingestion.

Options avancées

  • Nom du flux : valeur préremplie qui identifie le flux.
  • Type de source : méthode utilisée pour collecter les journaux dans Google SecOps.
  • Espace de noms de l'élément : espace de noms associé au flux.
  • Libellés d'ingestion : libellés appliqués à tous les événements de ce flux.

Table de mappage UDM

Champ du journal Mappage UDM Logique
AdapterName security_result.about.resource.attribute.labels.value La valeur est extraite du champ "AdapterName" du journal brut.
AdapterSuffixName security_result.about.resource.attribute.labels.value La valeur est extraite du champ "AdapterSuffixName" du journal brut.
agent_version read_only_udm.metadata.product_version La valeur est extraite du champ "meta.agent_version" du journal brut.
Canal security_result.about.resource.attribute.labels.value La valeur est extraite du champ "Canal" du journal brut.
commandLine read_only_udm.principal.process.command_line La valeur est extraite du champ "event.Event...commandLine" du journal brut, où correspond au type d'événement spécifique (par exemple, ProcessCreation, ProcessExit) et est le champ contenant des informations sur le processus (par exemple, processus, source, parent).
computer_name read_only_udm.principal.hostname La valeur est extraite du champ "meta.computer_name" du journal brut.
destinationAddress.address read_only_udm.target.ip La valeur est extraite du champ "event.Event.Tcpv4.destinationAddress.address" du journal brut.
destinationAddress.port read_only_udm.target.port La valeur est extraite du champ "event.Event.Tcpv4.destinationAddress.port" du journal brut.
DnsServerList read_only_udm.principal.ip La valeur est extraite du champ "DnsServerList" du journal brut.
ErrorCode_new security_result.detection_fields.value La valeur est extraite du champ "ErrorCode_new" du journal brut.
EventID security_result.about.resource.attribute.labels.value La valeur est extraite du champ "EventID" du journal brut.
event.Event.Dns.query read_only_udm.network.dns.questions.name La valeur est extraite du champ "event.Event.Dns.query" du journal brut.
event.Event.Dns.results read_only_udm.network.dns.answers.data La valeur est extraite du champ "event.Event.Dns.results" du journal brut.
event.Event.Dns.source.fullPid.pid read_only_udm.principal.process.pid La valeur est extraite du champ "event.Event.Dns.source.fullPid.pid" du journal brut.
event.Event.Dns.source.user.name read_only_udm.principal.user.userid La valeur est extraite du champ "event.Event.Dns.source.user.name" du journal brut.
event.Event.FileCreation.source.fullPid.pid read_only_udm.principal.process.pid La valeur est extraite du champ "event.Event.FileCreation.source.fullPid.pid" du journal brut.
event.Event.FileCreation.source.user.name read_only_udm.principal.user.userid La valeur est extraite du champ "event.Event.FileCreation.source.user.name" du journal brut.
event.Event.FileCreation.targetFile.path read_only_udm.target.file.full_path La valeur est extraite du champ "event.Event.FileCreation.targetFile.path" du journal brut.
event.Event.FileDeletion.source.fullPid.pid read_only_udm.principal.process.pid La valeur est extraite du champ "event.Event.FileDeletion.source.fullPid.pid" du journal brut.
event.Event.FileDeletion.source.user.name read_only_udm.principal.user.userid La valeur est extraite du champ "event.Event.FileDeletion.source.user.name" du journal brut.
event.Event.FileDeletion.targetFile.path read_only_udm.target.file.full_path La valeur est extraite du champ "event.Event.FileDeletion.targetFile.path" du journal brut.
event.Event.FileModification.file.path read_only_udm.target.file.full_path La valeur est extraite du champ "event.Event.FileModification.file.path" du journal brut.
event.Event.FileModification.source.user.name read_only_udm.principal.user.userid La valeur est extraite du champ "event.Event.FileModification.source.user.name" du journal brut.
event.Event.FileModification.targetFile.path read_only_udm.target.file.full_path La valeur est extraite du champ "event.Event.FileModification.targetFile.path" du journal brut.
event.Event.Http.source.user.name read_only_udm.principal.user.userid La valeur est extraite du champ "event.Event.Http.source.user.name" du journal brut.
event.Event.Http.url read_only_udm.target.url La valeur est extraite du champ "event.Event.Http.url" du journal brut.
event.Event.ProcessCreation.process.user.name read_only_udm.principal.user.userid La valeur est extraite du champ "event.Event.ProcessCreation.process.user.name" du journal brut.
event.Event.ProcessCreation.source.user.name read_only_udm.principal.user.userid La valeur est extraite du champ "event.Event.ProcessCreation.source.user.name" du journal brut.
event.Event.ProcessExit.source.user.name read_only_udm.principal.user.userid La valeur est extraite du champ "event.Event.ProcessExit.source.user.name" du journal brut.
event.Event.ProcessTermination.source.user.name read_only_udm.principal.user.userid La valeur est extraite du champ "event.Event.ProcessTermination.source.user.name" du journal brut.
event.Event.RegKeyCreate.source.fullPid.pid read_only_udm.principal.process.pid La valeur est extraite du champ "event.Event.RegKeyCreate.source.fullPid.pid" du journal brut.
event.Event.RegKeyCreate.source.user.name read_only_udm.principal.user.userid La valeur est extraite du champ "event.Event.RegKeyCreate.source.user.name" du journal brut.
event.Event.RegKeyDelete.source.user.name read_only_udm.principal.user.userid La valeur est extraite du champ "event.Event.RegKeyDelete.source.user.name" du journal brut.
event.Event.RegValueModified.source.user.name read_only_udm.principal.user.userid La valeur est extraite du champ "event.Event.RegValueModified.source.user.name" du journal brut.
event.Event.SchedTaskDelete.source.user.name read_only_udm.principal.user.userid La valeur est extraite du champ "event.Event.SchedTaskDelete.source.user.name" du journal brut.
event.Event.SchedTaskRegister.source.user.name read_only_udm.principal.user.userid La valeur est extraite du champ "event.Event.SchedTaskRegister.source.user.name" du journal brut.
event.Event.SchedTaskStart.source.user.name read_only_udm.principal.user.userid La valeur est extraite du champ "event.Event.SchedTaskStart.source.user.name" du journal brut.
event.Event.SchedTaskTrigger.source.fullPid.pid read_only_udm.principal.process.pid La valeur est extraite du champ "event.Event.SchedTaskTrigger.source.fullPid.pid" du journal brut.
event.Event.SchedTaskTrigger.source.user.name read_only_udm.principal.user.userid La valeur est extraite du champ "event.Event.SchedTaskTrigger.source.user.name" du journal brut.
event.Event.Tcpv4.source.fullPid.pid read_only_udm.principal.process.pid La valeur est extraite du champ "event.Event.Tcpv4.source.fullPid.pid" du journal brut.
event.Event.Tcpv4.source.user.name read_only_udm.principal.user.userid La valeur est extraite du champ "event.Event.Tcpv4.source.user.name" du journal brut.
event.Event.Tcpv4Listen.local.address read_only_udm.principal.ip La valeur est extraite du champ "event.Event.Tcpv4Listen.local.address" du journal brut.
event.timestamp.millisecondsSinceEpoch read_only_udm.metadata.event_timestamp.seconds La valeur est extraite du champ "event.timestamp.millisecondsSinceEpoch" du journal brut et convertie en secondes.
event.timestamp.millisecondsSinceEpoch read_only_udm.metadata.event_timestamp.nanos La valeur est extraite du champ "event.timestamp.millisecondsSinceEpoch" du journal brut et convertie en nanosecondes.
event.timestamp.millisecondsSinceEpoch security_result.about.resource.attribute.labels.value La valeur est extraite du champ "event.timestamp.millisecondsSinceEpoch" du journal brut et utilisée comme valeur pour un libellé dans le tableau security_result.about.resource.attribute.labels.
event_type read_only_udm.metadata.product_event_type La valeur est extraite du champ "message" du journal brut à l'aide d'un modèle Grok.
executable.hashes.md5 read_only_udm.principal.process.file.md5 La valeur est extraite du champ "event.Event...executable.hashes.md5" du journal brut, où correspond au type d'événement spécifique (par exemple, ProcessCreation, ProcessExit) et est le champ contenant des informations sur le processus (par exemple, processus, source, parent).
executable.hashes.sha1 read_only_udm.principal.process.file.sha1 La valeur est extraite du champ "event.Event...executable.hashes.sha1" du journal brut, où correspond au type d'événement spécifique (par exemple, ProcessCreation, ProcessExit) et est le champ contenant des informations sur le processus (par exemple, processus, source, parent).
executable.hashes.sha256 read_only_udm.principal.process.file.sha256 La valeur est extraite du champ "event.Event...executable.hashes.sha256" du journal brut, où correspond au type d'événement spécifique (par exemple, ProcessCreation, ProcessExit) et est le champ contenant des informations sur le processus (par exemple, processus, source, parent).
executable.path read_only_udm.principal.process.file.full_path La valeur est extraite du champ "event.Event...executable.path" du journal brut, où correspond au type d'événement spécifique (par exemple, ProcessCreation, ProcessExit) et est le champ contenant des informations sur le processus (par exemple, processus, source, parent).
executable.sizeBytes read_only_udm.principal.process.file.size La valeur est extraite du champ "event.Event...executable.sizeBytes" du journal brut, où correspond au type d'événement spécifique (par exemple, ProcessCreation, ProcessExit) et est le champ contenant des informations sur le processus (par exemple, processus, source, parent).
fullPid.pid read_only_udm.principal.process.pid La valeur est extraite du champ "event.Event...fullPid.pid" du journal brut, où correspond au type d'événement spécifique (par exemple, ProcessCreation, ProcessExit) et est le champ contenant des informations sur le processus (par exemple, processus, source, parent).
hashes.md5 read_only_udm.target.file.md5 La valeur est extraite du champ "event.Event.ProcessCreation.hashes.md5" du journal brut.
hashes.sha1 read_only_udm.target.file.sha1 La valeur est extraite du champ "event.Event.ProcessCreation.hashes.sha1" du journal brut.
hashes.sha256 read_only_udm.target.file.sha256 La valeur est extraite du champ "event.Event.ProcessCreation.hashes.sha256" du journal brut.
IpAddress read_only_udm.target.ip La valeur est extraite du champ "IpAddress" du journal brut.
local.address read_only_udm.principal.ip La valeur est extraite du champ "event.Event.Tcpv4Listen.local.address" du journal brut.
local.port read_only_udm.principal.port La valeur est extraite du champ "event.Event.Tcpv4Listen.local.port" du journal brut.
log_type read_only_udm.metadata.log_type La valeur est extraite du champ "log_type" du journal brut.
meta.agent_version read_only_udm.metadata.product_version La valeur est extraite du champ "meta.agent_version" du journal brut.
meta.computer_name read_only_udm.principal.hostname La valeur est extraite du champ "meta.computer_name" du journal brut.
meta.os_family read_only_udm.principal.platform La valeur est extraite du champ "meta.os_family" du journal brut et mappée à la plate-forme correspondante (par exemple, windows pour WINDOWS, osx pour MAC et linux pour LINUX).
meta.os_name read_only_udm.principal.platform_version La valeur est extraite du champ "meta.os_name" du journal brut.
meta.os_revision read_only_udm.principal.platform_patch_level La valeur est extraite du champ "meta.os_revision" du journal brut.
meta.uuid read_only_udm.principal.asset_id La valeur est extraite du champ "meta.uuid" du journal brut et est précédée de SENTINELONE:.
nom read_only_udm.principal.application La valeur est extraite du champ "event.Event...name" du journal brut, où correspond au type d'événement spécifique (par exemple, ProcessCreation, ProcessExit) et est le champ contenant des informations sur le processus (par exemple, processus, source, parent).
parent.executable.hashes.md5 read_only_udm.target.process.parent_process.file.md5 La valeur est extraite du champ "event.Event..parent.executable.hashes.md5" du journal brut, où correspond au type d'événement spécifique (par exemple, ProcessCreation, ProcessExit).
parent.executable.hashes.sha1 read_only_udm.target.process.parent_process.file.sha1 La valeur est extraite du champ "event.Event..parent.executable.hashes.sha1" du journal brut, où correspond au type d'événement spécifique (par exemple, ProcessCreation, ProcessExit).
parent.executable.hashes.sha256 read_only_udm.target.process.parent_process.file.sha256 La valeur est extraite du champ "event.Event..parent.executable.hashes.sha256" du journal brut, où correspond au type d'événement spécifique (par exemple, ProcessCreation, ProcessExit).
parent.executable.path read_only_udm.target.process.parent_process.file.full_path La valeur est extraite du champ "event.Event..parent.executable.path" du journal brut, où correspond au type d'événement spécifique (par exemple, ProcessCreation, ProcessExit).
parent.fullPid.pid read_only_udm.target.process.parent_process.pid La valeur est extraite du champ "event.Event..parent.fullPid.pid" du journal brut, où correspond au type d'événement spécifique (par exemple, ProcessCreation, ProcessExit).
chemin d'accès read_only_udm.principal.process.file.full_path La valeur est extraite du champ "event.Event...path" du journal brut, où correspond au type d'événement spécifique (par exemple, ProcessCreation, ProcessExit) et est le champ contenant des informations sur le processus (par exemple, processus, source, parent).
process.commandLine read_only_udm.target.process.command_line La valeur est extraite du champ "event.Event.ProcessCreation.process.commandLine" du journal brut.
process.fullPid.pid read_only_udm.target.process.pid La valeur est extraite du champ "event.Event.ProcessCreation.process.fullPid.pid" du journal brut.
process.parent.fullPid.pid read_only_udm.target.process.parent_process.pid La valeur est extraite du champ "event.Event.ProcessCreation.process.parent.fullPid.pid" du journal brut.
ProviderGuid security_result.about.resource.attribute.labels.value La valeur est extraite du champ "ProviderGuid" du journal brut, sans les accolades.
requête read_only_udm.network.dns.questions.name La valeur est extraite du champ "event.Event.Dns.query" du journal brut.
RecordNumber security_result.about.resource.attribute.labels.value La valeur est extraite du champ "RecordNumber" du journal brut.
regKey.path read_only_udm.target.registry.registry_key La valeur est extraite du champ "event.Event.RegKeyCreate.regKey.path" ou "event.Event.RegKeyDelete.regKey.path" du journal brut.
regValue.path read_only_udm.target.registry.registry_key La valeur est extraite du champ "event.Event.RegValueDelete.regValue.path" ou "event.Event.RegValueModified.regValue.path" du journal brut.
résultats read_only_udm.network.dns.answers.data La valeur est extraite du champ "event.Event.Dns.results" du journal brut.
UpdateServer envoyé intermediary.hostname La valeur est extraite du champ "Sent UpdateServer" du journal brut.
seq_id Ce champ n'est pas directement mappé à l'UDM.
signature.Status.Signed.identity Ce champ n'est pas directement mappé à l'UDM.
sizeBytes read_only_udm.principal.process.file.size La valeur est extraite du champ "event.Event...sizeBytes" du journal brut, où correspond au type d'événement spécifique (par exemple, ProcessCreation, ProcessExit) et est le champ contenant des informations sur le processus (par exemple, processus, source, parent).
sourceAddress.address read_only_udm.principal.ip La valeur est extraite du champ "event.Event.Tcpv4.sourceAddress.address" du journal brut.
sourceAddress.port read_only_udm.principal.port La valeur est extraite du champ "event.Event.Tcpv4.sourceAddress.port" du journal brut.
SourceName security_result.about.resource.attribute.labels.value La valeur est extraite du champ "SourceName" du journal brut.
état Ce champ n'est pas directement mappé à l'UDM.
taskName read_only_udm.target.resource.name La valeur est extraite du champ "event.Event.SchedTaskStart.taskName", "event.Event.SchedTaskTrigger.taskName" ou "event.Event.SchedTaskDelete.taskName" du journal brut.
targetFile.hashes.md5 read_only_udm.target.file.md5 La valeur est extraite du champ "event.Event.FileDeletion.targetFile.hashes.md5" ou "event.Event.SchedTaskStart.targetFile.hashes.md5" du journal brut.
targetFile.hashes.sha1 read_only_udm.target.file.sha1 La valeur est extraite du champ "event.Event.FileDeletion.targetFile.hashes.sha1" ou "event.Event.SchedTaskStart.targetFile.hashes.sha1" du journal brut.
targetFile.hashes.sha256 read_only_udm.target.file.sha256 La valeur est extraite du champ "event.Event.FileDeletion.targetFile.hashes.sha256" ou "event.Event.SchedTaskStart.targetFile.hashes.sha256" du journal brut.
targetFile.path read_only_udm.target.file.full_path La valeur est extraite du champ "event.Event.FileDeletion.targetFile.path" ou "event.Event.SchedTaskStart.targetFile.path" du journal brut.
Tâche security_result.about.resource.attribute.labels.value La valeur est extraite du champ "Task" (Tâche) du journal brut.
timestamp.millisecondsSinceEpoch read_only_udm.metadata.event_timestamp.seconds La valeur est extraite du champ "event.timestamp.millisecondsSinceEpoch" du journal brut et convertie en secondes.
timestamp.millisecondsSinceEpoch read_only_udm.metadata.event_timestamp.nanos La valeur est extraite du champ "event.timestamp.millisecondsSinceEpoch" du journal brut et convertie en nanosecondes.
trace_id Ce champ n'est pas directement mappé à l'UDM.
triggerType Ce champ n'est pas directement mappé à l'UDM.
trueContext Ce champ n'est pas directement mappé à l'UDM.
trueContext.key Ce champ n'est pas directement mappé à l'UDM.
trueContext.key.value Ce champ n'est pas directement mappé à l'UDM.
type read_only_udm.network.dns.answers.type La valeur est extraite du champ "event.Event.Dns.results" du journal brut à l'aide d'une expression régulière.
url read_only_udm.target.url La valeur est extraite du champ "event.Event.Http.url" du journal brut.
nom.utilisateur read_only_udm.principal.user.userid La valeur est extraite du champ "event.Event...user.name" du journal brut, où correspond au type d'événement spécifique (par exemple, ProcessCreation, ProcessExit) et est le champ contenant des informations sur le processus (par exemple, processus, source, parent).
user.sid read_only_udm.principal.user.windows_sid La valeur est extraite du champ "event.Event...user.sid" du journal brut, où correspond au type d'événement spécifique (par exemple, ProcessCreation, ProcessExit) et est le champ contenant des informations sur le processus (par exemple, processus, source, parent).
UserID read_only_udm.target.user.windows_sid La valeur est extraite du champ "UserID" (ID utilisateur) du journal brut, uniquement si elle correspond au modèle SID Windows.
UserSid read_only_udm.target.user.windows_sid La valeur est extraite du champ "UserSid" du journal brut, uniquement si elle correspond au modèle SID Windows.
valueType Ce champ n'est pas directement mappé à l'UDM.
winEventLog.channel security_result.about.resource.attribute.labels.value La valeur est extraite du champ "winEventLog.channel" du journal brut.
winEventLog.description Ce champ n'est pas directement mappé à l'UDM.
winEventLog.id security_result.about.resource.attribute.labels.value La valeur est extraite du champ "winEventLog.id" du journal brut.
winEventLog.level security_result.severity La valeur est extraite du champ "winEventLog.level" du journal brut et mappée au niveau de gravité correspondant (par exemple, Warning à MOYENNE).
winEventLog.providerName security_result.about.resource.attribute.labels.value La valeur est extraite du champ "winEventLog.providerName" du journal brut.
winEventLog.xml Ce champ n'est pas directement mappé à l'UDM.
read_only_udm.metadata.event_type La valeur est déterminée en fonction du champ "event_type" et mappée au type d'événement UDM correspondant.
read_only_udm.metadata.vendor_name La valeur est définie sur SentinelOne.
read_only_udm.metadata.product_name La valeur est définie sur Deep Visibility.
read_only_udm.metadata.product_log_id La valeur est extraite du champ "trace.id" du journal brut, uniquement pour les événements dont "meta.event.name" est égal à PROCESSCREATION.
read_only_udm.metadata.product_deployment_id La valeur est extraite du champ "account.id" du journal brut, uniquement pour les événements dont "meta.event.name" est égal à PROCESSCREATION.
read_only_udm.metadata.url_back_to_product La valeur est extraite du champ "mgmt.url" du journal brut, uniquement pour les événements dont "meta.event.name" est égal à PROCESSCREATION.
read_only_udm.metadata.ingestion_labels.key La valeur est définie sur Process eUserUid ou Process lUserUid pour les événements dont "meta.event.name" est égal à PROCESSCREATION.
read_only_udm.metadata.ingestion_labels.value La valeur est extraite du champ "src.process.eUserUid" ou "src.process.lUserUid" du journal brut, uniquement pour les événements dont "meta.event.name" est égal à PROCESSCREATION.
read_only_udm.principal.administrative_domain Partie du domaine du champ "event.Event...user.name" dans le journal brut, où correspond au type d'événement spécifique (par exemple, ProcessCreation, ProcessExit) et est le champ contenant des informations sur le processus (par exemple, processus, source, parent).
read_only_udm.target.process.parent_process.command_line La valeur est extraite du champ "event.Event..parent.commandLine" du journal brut, où correspond au type d'événement spécifique (par exemple, ProcessCreation, ProcessExit).
read_only_udm.target.file Un objet vide est créé si "event_type" n'est pas FileCreation, FileDeletion, FileModification, SchedTaskStart ou ProcessCreation.
read_only_udm.network.ip_protocol La valeur est définie sur TCP pour les événements dont le champ "event_type" est égal à Tcpv4, Tcpv4Listen ou Http.
read_only_udm.network.application_protocol La valeur est définie sur DNS pour les événements dont le champ "event_type" est égal à Dns.
read_only_udm.target.resource.type La valeur est définie sur TASK pour les événements dont le paramètre "event_type" est égal à SchedTaskStart, SchedTaskTrigger ou SchedTaskDelete.
read_only_udm.target.resource.resource_type La valeur est définie sur TASK pour les événements dont le champ "event_type" est égal à SchedTaskStart, SchedTaskTrigger ou SchedTaskDelete.
read_only_udm.principal.process.product_specific_process_id La valeur est définie sur ExecutionThreadID:<ExecutionThreadID> si le champ "ExecutionThreadID" est présent dans le journal brut.
read_only_udm.principal.asset.asset_id La valeur est définie sur Device ID:<agent.uuid> si le champ "agent.uuid" est présent dans le journal brut.
read_only_udm.principal.namespace La valeur est extraite du champ "site.id" du journal brut, uniquement pour les événements dont "meta.event.name" est égal à PROCESSCREATION.
read_only_udm.principal.location.name La valeur est extraite du champ "site.name" du journal brut, uniquement pour les événements dont "meta.event.name" est égal à PROCESSCREATION.
read_only_udm.principal.resource.attribute.labels.key La valeur est définie sur src.process.displayName, src.process.uid, isRedirectCmdProcessor, isNative64Bit, isStorylineRoot, signedStatus, src process subsystem, src process integrityLevel ou childProcCount pour les événements dont "meta.event.name" est égal à PROCESSCREATION.
read_only_udm.principal.resource.attribute.labels.value La valeur est extraite du champ correspondant dans le journal brut, uniquement pour les événements dont le champ "meta.event.name" est défini sur PROCESSCREATION.
read_only_udm.target.user.userid La valeur est extraite du champ "tgt.process.uid" du journal brut, uniquement pour les événements dont "meta.event.name" est égal à PROCESSCREATION.
read_only_udm.target.user.user_display_name La valeur est extraite du champ "tgt.process.displayName" du journal brut, uniquement pour les événements dont "meta.event.name" est égal à PROCESSCREATION.
read_only_udm.target.resource.attribute.labels.key La valeur est définie sur isRedirectCmdProcessor, isNative64Bit, isStorylineRoot, signedStatus, file_isSigned, tgt process subsystem ou tgt process integrityLevel pour les événements dont "meta.event.name" est égal à PROCESSCREATION.
read_only_udm.target.resource.attribute.labels.value La valeur est extraite du champ correspondant dans le journal brut, uniquement pour les événements dont le champ "meta.event.name" est défini sur PROCESSCREATION.
read_only_udm.security_result.about.resource.attribute.labels.key La valeur est définie sur tgt.process.storyline.id, endpoint_type, packet_id, src.process.storyline.id ou src.process.parent.storyline.id pour les événements dont 'meta.event.name' est égal à PROCESSCREATION.
read_only_udm.security_result.about.resource.attribute.labels.value La valeur est extraite du champ correspondant dans le journal brut et est précédée de ID: pour les ID de scénario, uniquement pour les événements dont "meta.event.name" est égal à PROCESSCREATION.
read_only_udm.security_result.category_details La valeur est définie sur security pour les événements dont 'meta.event.name' est égal à PROCESSCREATION.
read_only_udm.target.asset.product_object_id La valeur est extraite du champ "AdapterName" du journal brut, uniquement pour les événements dont "meta.event.name" est égal à EVENTLOG.
security_result.about.resource.attribute.labels.key La valeur est définie sur TimeCreated SystemTime, EventID, Task, Channel, ProviderGuid, RecordNumber, SourceName, endpoint_type ou packet_id pour les événements dont "meta.event.name" est égal à EVENTLOG.
security_result.detection_fields.key La valeur est définie sur Activity ID pour les événements dont le champ "meta.event.name" est égal à EVENTLOG et dont le champ "ActivityID" n'est pas vide.
security_result.detection_fields.value La valeur est extraite du champ "ActivityID" du journal brut, uniquement pour les événements dont le champ "meta.event.name" est égal à EVENTLOG et dont le champ "ActivityID" n'est pas vide.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.