SentinelOne Deep Visibility ログを収集する

以下でサポートされています。

このドキュメントでは、ログを Google Cloud Storage にエクスポートする Cloud Funnel を使用して、SentinelOne Deep Visibility ログを Google Security Operations にエクスポートする方法について説明します。パーサーは、未加工の JSON 形式のセキュリティ イベントログを UDM に準拠した構造化形式に変換します。まず、一連の変数を初期化し、イベントタイプを抽出して JSON ペイロードを解析し、関連するフィールドを UDM スキーマにマッピングします。このとき、Windows イベントログは個別に処理します。

始める前に

次の前提条件を満たしていることを確認します。

  • Google SecOps インスタンス
  • Google Cloudへの特権アクセス
  • 環境に設定された SentinelOne Deep Visibility
  • SentinelOne への特権アクセス

Google Cloud Storage バケットを作成する

  1. Google Cloud コンソールにログインします。

  2. [Cloud Storage バケット] のページに移動します。

    [バケット] に移動

  3. [作成] をクリックします。

  4. [バケットの作成] ページでユーザーのバケット情報を入力します。以下のステップでは、操作を完了した後に [続行] をクリックして、次のステップに進みます。

    1. [始める] セクションで、次の操作を行います。

      1. バケット名の要件を満たす一意の名前(例: sentinelone-deepvisibility)を入力します。

      2. 階層名前空間を有効にするには、展開矢印をクリックして [Optimize for file oriented and data-intensive workloads] セクションを開き、[このバケットで階層的な名前空間を有効にする] を選択します。

      3. バケットラベルを追加するには、展開矢印をクリックして [ラベル] セクションを開きます。

      4. [ラベルを追加] をクリックし、ラベルのキーと値を指定します。

    2. [データの保存場所の選択] セクションで、次の操作を行います。

      1. ロケーション タイプを選択してください。

      2. ロケーション タイプのメニューを使用して、バケット内のオブジェクト データが永続的に保存されるロケーションを選択します。

      3. クロスバケット レプリケーションを設定するには、[クロスバケット レプリケーションを設定する] セクションを開きます。

    3. [データのストレージ クラスを選択する] セクションで、バケットのデフォルトのストレージ クラスを選択します。あるいは、Autoclass を選択して、バケットデータのストレージ クラスを自動的に管理します。

    4. [オブジェクトへのアクセスを制御する方法を選択する] セクションで、[なし] を選択して公開アクセスの防止を適用し、バケットのオブジェクトの [アクセス制御モデル] を選択します。

    5. [オブジェクト データを保護する方法を選択する] セクションで、次の操作を行います。

      1. [データ保護] で、バケットに設定するオプションを選択します。
      2. オブジェクト データの暗号化方法を選択するには、[データ暗号化] というラベルの付いた展開矢印をクリックし、データの暗号化方法を選択します。

  5. [作成] をクリックします。

Google Cloud サービス アカウントを作成する

  1. [IAM と管理] > [サービス アカウント] に移動します。
  2. 新しいサービス アカウントを作成します。
  3. わかりやすい名前を付けます(sentinelone-dv-logs など)。
  4. 前の手順で作成した Cloud Storage バケットに対する ストレージ オブジェクト作成者のロールをサービス アカウントに付与します。
  5. サービス アカウント用の SSH キーを作成します。
  6. サービス アカウント用の JSON キーファイルをダウンロードします。このファイルは安全に保管してください。

SentinelOne DeepVisibility で Cloud ファネルを構成する方法

  1. SentinelOne DeepVisibility にログインします。
  2. [Configure] > [Policy & Settings] をクリックします。
  3. [Singularity Data Lake] セクションで、[Cloud Funnel] をクリックします。
  4. 次の構成の詳細を指定します。
    • Cloud Provider: Google Cloudを選択します。
    • バケット名: SentinelOne DeepVisibility ログの取り込み用に作成した Cloud Storage バケットの名前を入力します。
    • テレメトリー ストリーミング: [有効] を選択します。
    • クエリフィルタ: Cloud Storage バケットにデータを送信する必要があるエージェントを含むクエリを作成します。
    • [検証] をクリックします。
    • 含めるフィールド: すべてのフィールドを選択します。
  5. [保存] をクリックします。

フィードを設定する

Google SecOps プラットフォームでフィードを設定するには、次の 2 つのエントリ ポイントがあります。

  • [SIEM 設定] > [フィード]
  • [Content Hub] > [Content Packs]

[SIEM 設定] > [フィード] でフィードを設定する

このプロダクト ファミリー内で異なるログタイプに対して複数のフィードを構成するには、プロダクトごとにフィードを構成するをご覧ください。

1 つのフィードを設定する手順は次のとおりです。

  1. [SIEM 設定] > [フィード] に移動します。
  2. [Add New Feed] をクリックします。
  3. 次のページで、[単一フィードを設定] をクリックします。
  4. [フィード名] フィールドに、フィードの名前を入力します(例: SentinelOne DV Logs)。
  5. [Source type] として [Google Cloud Storage] を選択します。
  6. [ログタイプ] として [SentinelOne Deep Visibility] を選択します。
  7. Chronicle サービス アカウントとして [サービス アカウントを取得する] をクリックします。
  8. [次へ] をクリックします。

  9. 次の入力パラメータの値を指定します。

    • Storage Bucket URI: gs://my-bucket/<value> 形式の Google Cloud Storage バケット URL。
    • URI Is A: [サブディレクトリを含むディレクトリ] を選択します。

    • Source deletion options: 取り込みの設定に応じて削除オプションを選択します。

    • アセットの名前空間: アセットの名前空間

    • Ingestion labels: このフィードのイベントに適用されるラベル。

  10. [次へ] をクリックします。

  11. [Finalize] 画面で新しいフィードの設定を確認し、[送信] をクリックします。

コンテンツ ハブからフィードを設定する

次のフィールドに値を指定します。

  • ストレージ バケット URI: Google Cloud Storage バケットのソース URI。
  • URI is a: ログストリームの構成([単一ファイル] | [ディレクトリ] | [サブディレクトリを含むディレクトリ])に応じて URI タイプを選択します。
  • Source deletion options: 取り込みの設定に応じて削除オプションを選択します。

詳細オプション

  • フィード名: フィードを識別する事前入力された値。
  • ソースタイプ: Google SecOps にログを収集するために使用される方法。
  • Asset Namespace: フィードに関連付けられた名前空間
  • Ingestion Labels: このフィードのすべてのイベントに適用されるラベル。

UDM マッピング テーブル

ログフィールド UDM マッピング ロジック
AdapterName security_result.about.resource.attribute.labels.value この値は、未加工ログの「AdapterName」フィールドから取得されます。
AdapterSuffixName security_result.about.resource.attribute.labels.value この値は、未加工ログの「AdapterSuffixName」フィールドから取得されます。
agent_version read_only_udm.metadata.product_version この値は、未加工ログの「meta.agent_version」フィールドから取得されます。
チャンネル security_result.about.resource.attribute.labels.value この値は、未加工ログの「Channel」フィールドから取得されます。
commandLine read_only_udm.principal.process.command_line この値は、未加工ログの「event.Event...commandLine」フィールドから取得されます。ここで、 は特定のイベントタイプ(ProcessCreation、ProcessExit)で、 はプロセス情報(プロセス、ソース、親など)を含むフィールドです。
computer_name read_only_udm.principal.hostname この値は、未加工ログの「meta.computer_name」フィールドから取得されます。
destinationAddress.address read_only_udm.target.ip この値は、未加工ログの「event.Event.Tcpv4.destinationAddress.address」フィールドから取得されます。
destinationAddress.port read_only_udm.target.port この値は、未加工ログの「event.Event.Tcpv4.destinationAddress.port」フィールドから取得されます。
DnsServerList read_only_udm.principal.ip この値は、未加工ログの「DnsServerList」フィールドから取得されます。
ErrorCode_new security_result.detection_fields.value この値は、未加工ログの「ErrorCode_new」フィールドから取得されます。
EventID security_result.about.resource.attribute.labels.value この値は、未加工ログの「EventID」フィールドから取得されます。
event.Event.Dns.query read_only_udm.network.dns.questions.name この値は、未加工ログの「event.Event.Dns.query」フィールドから取得されます。
event.Event.Dns.results read_only_udm.network.dns.answers.data この値は、未加工ログの「event.Event.Dns.results」フィールドから取得されます。
event.Event.Dns.source.fullPid.pid read_only_udm.principal.process.pid この値は、未加工ログの「event.Event.Dns.source.fullPid.pid」フィールドから取得されます。
event.Event.Dns.source.user.name read_only_udm.principal.user.userid この値は、未加工ログの「event.Event.Dns.source.user.name」フィールドから取得されます。
event.Event.FileCreation.source.fullPid.pid read_only_udm.principal.process.pid この値は、未加工ログの「event.Event.FileCreation.source.fullPid.pid」フィールドから取得されます。
event.Event.FileCreation.source.user.name read_only_udm.principal.user.userid この値は、未加工ログの「event.Event.FileCreation.source.user.name」フィールドから取得されます。
event.Event.FileCreation.targetFile.path read_only_udm.target.file.full_path この値は、未加工ログの「event.Event.FileCreation.targetFile.path」フィールドから取得されます。
event.Event.FileDeletion.source.fullPid.pid read_only_udm.principal.process.pid この値は、未加工ログの「event.Event.FileDeletion.source.fullPid.pid」フィールドから取得されます。
event.Event.FileDeletion.source.user.name read_only_udm.principal.user.userid この値は、未加工ログの「event.Event.FileDeletion.source.user.name」フィールドから取得されます。
event.Event.FileDeletion.targetFile.path read_only_udm.target.file.full_path この値は、未加工ログの「event.Event.FileDeletion.targetFile.path」フィールドから取得されます。
event.Event.FileModification.file.path read_only_udm.target.file.full_path この値は、未加工ログの「event.Event.FileModification.file.path」フィールドから取得されます。
event.Event.FileModification.source.user.name read_only_udm.principal.user.userid この値は、未加工ログの「event.Event.FileModification.source.user.name」フィールドから取得されます。
event.Event.FileModification.targetFile.path read_only_udm.target.file.full_path この値は、未加工ログの「event.Event.FileModification.targetFile.path」フィールドから取得されます。
event.Event.Http.source.user.name read_only_udm.principal.user.userid この値は、未加工ログの「event.Event.Http.source.user.name」フィールドから取得されます。
event.Event.Http.url read_only_udm.target.url この値は、未加工ログの「event.Event.Http.url」フィールドから取得されます。
event.Event.ProcessCreation.process.user.name read_only_udm.principal.user.userid この値は、未加工ログの「event.Event.ProcessCreation.process.user.name」フィールドから取得されます。
event.Event.ProcessCreation.source.user.name read_only_udm.principal.user.userid この値は、未加工ログの「event.Event.ProcessCreation.source.user.name」フィールドから取得されます。
event.Event.ProcessExit.source.user.name read_only_udm.principal.user.userid この値は、未加工ログの「event.Event.ProcessExit.source.user.name」フィールドから取得されます。
event.Event.ProcessTermination.source.user.name read_only_udm.principal.user.userid この値は、未加工ログの「event.Event.ProcessTermination.source.user.name」フィールドから取得されます。
event.Event.RegKeyCreate.source.fullPid.pid read_only_udm.principal.process.pid この値は、未加工ログの「event.Event.RegKeyCreate.source.fullPid.pid」フィールドから取得されます。
event.Event.RegKeyCreate.source.user.name read_only_udm.principal.user.userid この値は、未加工ログの「event.Event.RegKeyCreate.source.user.name」フィールドから取得されます。
event.Event.RegKeyDelete.source.user.name read_only_udm.principal.user.userid この値は、未加工ログの「event.Event.RegKeyDelete.source.user.name」フィールドから取得されます。
event.Event.RegValueModified.source.user.name read_only_udm.principal.user.userid この値は、未加工ログの「event.Event.RegValueModified.source.user.name」フィールドから取得されます。
event.Event.SchedTaskDelete.source.user.name read_only_udm.principal.user.userid この値は、未加工ログの「event.Event.SchedTaskDelete.source.user.name」フィールドから取得されます。
event.Event.SchedTaskRegister.source.user.name read_only_udm.principal.user.userid この値は、未加工ログの「event.Event.SchedTaskRegister.source.user.name」フィールドから取得されます。
event.Event.SchedTaskStart.source.user.name read_only_udm.principal.user.userid この値は、未加工ログの「event.Event.SchedTaskStart.source.user.name」フィールドから取得されます。
event.Event.SchedTaskTrigger.source.fullPid.pid read_only_udm.principal.process.pid この値は、未加工ログの「event.Event.SchedTaskTrigger.source.fullPid.pid」フィールドから取得されます。
event.Event.SchedTaskTrigger.source.user.name read_only_udm.principal.user.userid この値は、未加工ログの「event.Event.SchedTaskTrigger.source.user.name」フィールドから取得されます。
event.Event.Tcpv4.source.fullPid.pid read_only_udm.principal.process.pid この値は、未加工ログの「event.Event.Tcpv4.source.fullPid.pid」フィールドから取得されます。
event.Event.Tcpv4.source.user.name read_only_udm.principal.user.userid この値は、未加工ログの「event.Event.Tcpv4.source.user.name」フィールドから取得されます。
event.Event.Tcpv4Listen.local.address read_only_udm.principal.ip この値は、未加工ログの「event.Event.Tcpv4Listen.local.address」フィールドから取得されます。
event.timestamp.millisecondsSinceEpoch read_only_udm.metadata.event_timestamp.seconds この値は、未加工ログの「event.timestamp.millisecondsSinceEpoch」フィールドから取得され、秒に変換されます。
event.timestamp.millisecondsSinceEpoch read_only_udm.metadata.event_timestamp.nanos この値は、未加工ログの「event.timestamp.millisecondsSinceEpoch」フィールドから取得され、ナノ秒に変換されます。
event.timestamp.millisecondsSinceEpoch security_result.about.resource.attribute.labels.value この値は、未加工ログの「event.timestamp.millisecondsSinceEpoch」フィールドから取得され、security_result.about.resource.attribute.labels 配列のラベルの値として使用されます。
event_type read_only_udm.metadata.product_event_type 値は、grok パターンを使用して未加工ログの「message」フィールドから抽出されます。
executable.hashes.md5 read_only_udm.principal.process.file.md5 この値は、未加工ログの「event.Event...executable.hashes.md5」フィールドから取得されます。ここで、 は特定のイベントタイプ(ProcessCreation、ProcessExit)で、 はプロセス情報(プロセス、ソース、親など)を含むフィールドです。
executable.hashes.sha1 read_only_udm.principal.process.file.sha1 この値は、未加工ログの「event.Event...executable.hashes.sha1」フィールドから取得されます。ここで、 は特定のイベントタイプ(ProcessCreation、ProcessExit)で、 はプロセス情報(プロセス、ソース、親など)を含むフィールドです。
executable.hashes.sha256 read_only_udm.principal.process.file.sha256 この値は、未加工ログの「event.Event...executable.hashes.sha256」フィールドから取得されます。ここで、 は特定のイベントタイプ(ProcessCreation、ProcessExit)で、 はプロセス情報(プロセス、ソース、親など)を含むフィールドです。
executable.path read_only_udm.principal.process.file.full_path この値は、未加工ログの「event.Event...executable.path」フィールドから取得されます。ここで、 は特定のイベントタイプ(ProcessCreation、ProcessExit)で、 はプロセス情報(プロセス、ソース、親など)を含むフィールドです。
executable.sizeBytes read_only_udm.principal.process.file.size この値は、未加工ログの「event.Event...executable.sizeBytes」フィールドから取得されます。ここで、 は特定のイベントタイプ(ProcessCreation、ProcessExit)で、 はプロセス情報(プロセス、ソース、親など)を含むフィールドです。
fullPid.pid read_only_udm.principal.process.pid この値は、未加工ログの「event.Event...fullPid.pid」フィールドから取得されます。ここで、 は特定のイベントタイプ(ProcessCreation、ProcessExit)で、 はプロセス情報(プロセス、ソース、親など)を含むフィールドです。
hashes.md5 read_only_udm.target.file.md5 この値は、未加工ログの「event.Event.ProcessCreation.hashes.md5」フィールドから取得されます。
hashes.sha1 read_only_udm.target.file.sha1 この値は、未加工ログの「event.Event.ProcessCreation.hashes.sha1」フィールドから取得されます。
hashes.sha256 read_only_udm.target.file.sha256 この値は、未加工ログの「event.Event.ProcessCreation.hashes.sha256」フィールドから取得されます。
IpAddress read_only_udm.target.ip この値は、未加工ログの「IpAddress」フィールドから取得されます。
local.address read_only_udm.principal.ip この値は、未加工ログの「event.Event.Tcpv4Listen.local.address」フィールドから取得されます。
local.port read_only_udm.principal.port この値は、未加工ログの「event.Event.Tcpv4Listen.local.port」フィールドから取得されます。
log_type read_only_udm.metadata.log_type この値は、未加工ログの「log_type」フィールドから取得されます。
meta.agent_version read_only_udm.metadata.product_version この値は、未加工ログの「meta.agent_version」フィールドから取得されます。
meta.computer_name read_only_udm.principal.hostname この値は、未加工ログの「meta.computer_name」フィールドから取得されます。
meta.os_family read_only_udm.principal.platform この値は、未加工ログの「meta.os_family」フィールドから取得され、対応するプラットフォーム(windows は WINDOWS、osx は MAC、linux は LINUX を表します。
meta.os_name read_only_udm.principal.platform_version この値は、未加工ログの「meta.os_name」フィールドから取得されます。
meta.os_revision read_only_udm.principal.platform_patch_level この値は、未加工ログの「meta.os_revision」フィールドから取得されます。
meta.uuid read_only_udm.principal.asset_id この値は、未加工ログの「meta.uuid」フィールドから取得され、SENTINELONE: が先頭に追加されます。
name read_only_udm.principal.application この値は、未加工ログの「event.Event...name」フィールドから取得されます。ここで、 は特定のイベントタイプ(例: ProcessCreation、ProcessExit)で、 はプロセス情報(プロセス、ソース、親など)を含むフィールドです。
parent.executable.hashes.md5 read_only_udm.target.process.parent_process.file.md5 この値は、未加工ログの「event.Event..parent.executable.hashes.md5」フィールドから取得されます。ここで、 は特定のイベントタイプ(ProcessCreation、ProcessExit)。
parent.executable.hashes.sha1 read_only_udm.target.process.parent_process.file.sha1 この値は、未加工ログの「event.Event..parent.executable.hashes.sha1」フィールドから取得されます。ここで、 は特定のイベントタイプ(ProcessCreation、ProcessExit)。
parent.executable.hashes.sha256 read_only_udm.target.process.parent_process.file.sha256 この値は、未加工ログの「event.Event..parent.executable.hashes.sha256」フィールドから取得されます。ここで、 は特定のイベントタイプ(ProcessCreation、ProcessExit)。
parent.executable.path read_only_udm.target.process.parent_process.file.full_path この値は、未加工ログの「event.Event..parent.executable.path」フィールドから取得されます。ここで、 は特定のイベントタイプ(ProcessCreation、ProcessExit)。
parent.fullPid.pid read_only_udm.target.process.parent_process.pid この値は、未加工ログの「event.Event..parent.fullPid.pid」フィールドから取得されます。ここで、 は特定のイベントタイプ(ProcessCreation、ProcessExit)。
パス read_only_udm.principal.process.file.full_path この値は、未加工ログの「event.Event...path」フィールドから取得されます。ここで、 は特定のイベントタイプ(ProcessCreation、ProcessExit)で、 はプロセス情報(プロセス、ソース、親など)を含むフィールドです。
process.commandLine read_only_udm.target.process.command_line この値は、未加工ログの「event.Event.ProcessCreation.process.commandLine」フィールドから取得されます。
process.fullPid.pid read_only_udm.target.process.pid この値は、未加工ログの「event.Event.ProcessCreation.process.fullPid.pid」フィールドから取得されます。
process.parent.fullPid.pid read_only_udm.target.process.parent_process.pid この値は、未加工ログの「event.Event.ProcessCreation.process.parent.fullPid.pid」フィールドから取得されます。
ProviderGuid security_result.about.resource.attribute.labels.value この値は、未加工ログの「ProviderGuid」フィールドから取得されます。中かっこは削除されます。
クエリ read_only_udm.network.dns.questions.name この値は、未加工ログの「event.Event.Dns.query」フィールドから取得されます。
RecordNumber security_result.about.resource.attribute.labels.value この値は、未加工ログの「RecordNumber」フィールドから取得されます。
regKey.path read_only_udm.target.registry.registry_key この値は、未加工ログの「event.Event.RegKeyCreate.regKey.path」フィールドまたは「event.Event.RegKeyDelete.regKey.path」フィールドから取得されます。
regValue.path read_only_udm.target.registry.registry_key この値は、未加工ログの「event.Event.RegValueDelete.regValue.path」フィールドまたは「event.Event.RegValueModified.regValue.path」フィールドから取得されます。
結果 read_only_udm.network.dns.answers.data この値は、未加工ログの「event.Event.Dns.results」フィールドから取得されます。
UpdateServer を送信 intermediary.hostname この値は、未加工ログの「Sent UpdateServer」フィールドから取得されます。
seq_id このフィールドは UDM に直接マッピングされません。
signature.Status.Signed.identity このフィールドは UDM に直接マッピングされません。
sizeBytes read_only_udm.principal.process.file.size この値は、未加工ログの「event.Event...sizeBytes」フィールドから取得されます。ここで、 は特定のイベントタイプ(ProcessCreation、ProcessExit)で、 はプロセス情報(プロセス、ソース、親など)を含むフィールドです。
sourceAddress.address read_only_udm.principal.ip この値は、未加工ログの「event.Event.Tcpv4.sourceAddress.address」フィールドから取得されます。
sourceAddress.port read_only_udm.principal.port この値は、未加工ログの「event.Event.Tcpv4.sourceAddress.port」フィールドから取得されます。
SourceName security_result.about.resource.attribute.labels.value この値は、未加工ログの「SourceName」フィールドから取得されます。
ステータス このフィールドは UDM に直接マッピングされません。
taskName read_only_udm.target.resource.name この値は、未加工ログの「event.Event.SchedTaskStart.taskName」、「event.Event.SchedTaskTrigger.taskName」、「event.Event.SchedTaskDelete.taskName」フィールドから取得されます。
targetFile.hashes.md5 read_only_udm.target.file.md5 この値は、未加工ログの「event.Event.FileDeletion.targetFile.hashes.md5」フィールドまたは「event.Event.SchedTaskStart.targetFile.hashes.md5」フィールドから取得されます。
targetFile.hashes.sha1 read_only_udm.target.file.sha1 この値は、未加工ログの「event.Event.FileDeletion.targetFile.hashes.sha1」または「event.Event.SchedTaskStart.targetFile.hashes.sha1」フィールドから取得されます。
targetFile.hashes.sha256 read_only_udm.target.file.sha256 この値は、未加工ログの「event.Event.FileDeletion.targetFile.hashes.sha256」フィールドまたは「event.Event.SchedTaskStart.targetFile.hashes.sha256」フィールドから取得されます。
targetFile.path read_only_udm.target.file.full_path この値は、未加工ログの「event.Event.FileDeletion.targetFile.path」フィールドまたは「event.Event.SchedTaskStart.targetFile.path」フィールドから取得されます。
タスク security_result.about.resource.attribute.labels.value この値は、未加工ログの「Task」フィールドから取得されます。
timestamp.millisecondsSinceEpoch read_only_udm.metadata.event_timestamp.seconds この値は、未加工ログの「event.timestamp.millisecondsSinceEpoch」フィールドから取得され、秒に変換されます。
timestamp.millisecondsSinceEpoch read_only_udm.metadata.event_timestamp.nanos この値は、未加工ログの「event.timestamp.millisecondsSinceEpoch」フィールドから取得され、ナノ秒に変換されます。
trace_id このフィールドは UDM に直接マッピングされません。
triggerType このフィールドは UDM に直接マッピングされません。
trueContext このフィールドは UDM に直接マッピングされません。
trueContext.key このフィールドは UDM に直接マッピングされません。
trueContext.key.value このフィールドは UDM に直接マッピングされません。
type read_only_udm.network.dns.answers.type この値は、未加工ログの「event.Event.Dns.results」フィールドから取得され、正規表現を使用して抽出されます。
URL read_only_udm.target.url この値は、未加工ログの「event.Event.Http.url」フィールドから取得されます。
user.name read_only_udm.principal.user.userid この値は、未加工ログの「event.Event...user.name」フィールドから取得されます。ここで、 は特定のイベントタイプ(ProcessCreation、ProcessExit)で、 はプロセス情報(プロセス、ソース、親など)を含むフィールドです。
user.sid read_only_udm.principal.user.windows_sid この値は、未加工ログの「event.Event...user.sid」フィールドから取得されます。ここで、 は特定のイベントタイプ(ProcessCreation、ProcessExit)で、 はプロセス情報(プロセス、ソース、親など)を含むフィールドです。
UserID read_only_udm.target.user.windows_sid この値は、Windows SID パターンと一致する場合にのみ、未加工ログの「UserID」フィールドから取得されます。
UserSid read_only_udm.target.user.windows_sid この値は、Windows SID パターンと一致する場合にのみ、未加工ログの「UserSid」フィールドから取得されます。
valueType このフィールドは UDM に直接マッピングされません。
winEventLog.channel security_result.about.resource.attribute.labels.value この値は、未加工ログの「winEventLog.channel」フィールドから取得されます。
winEventLog.description このフィールドは UDM に直接マッピングされません。
winEventLog.id security_result.about.resource.attribute.labels.value この値は、未加工ログの「winEventLog.id」フィールドから取得されます。
winEventLog.level security_result.severity この値は、未加工ログの「winEventLog.level」フィールドから取得され、対応する重大度レベル(Warning から MEDIUM)。
winEventLog.providerName security_result.about.resource.attribute.labels.value この値は、未加工ログの「winEventLog.providerName」フィールドから取得されます。
winEventLog.xml このフィールドは UDM に直接マッピングされません。
read_only_udm.metadata.event_type 値は event_type フィールドに基づいて決定され、対応する UDM イベントタイプにマッピングされます。
read_only_udm.metadata.vendor_name 値は SentinelOne に設定されています。
read_only_udm.metadata.product_name 値は Deep Visibility に設定されています。
read_only_udm.metadata.product_log_id この値は、未加工ログの「trace.id」フィールドから取得されます。ただし、「meta.event.name」が PROCESSCREATION のイベントに限ります。
read_only_udm.metadata.product_deployment_id この値は、未加工ログの「account.id」フィールドから取得されます。ただし、「meta.event.name」が PROCESSCREATION のイベントに限ります。
read_only_udm.metadata.url_back_to_product この値は、未加工ログの「mgmt.url」フィールドから取得されます。ただし、「meta.event.name」が PROCESSCREATION のイベントに限ります。
read_only_udm.metadata.ingestion_labels.key この値は、'meta.event.name' が PROCESSCREATION に等しいイベントの場合、Process eUserUid または Process lUserUid に設定されます。
read_only_udm.metadata.ingestion_labels.value この値は、未加工ログの「src.process.eUserUid」または「src.process.lUserUid」フィールドから取得されます。ただし、「meta.event.name」が PROCESSCREATION と等しいイベントの場合に限ります。
read_only_udm.principal.administrative_domain 未加工ログの「event.Event...user.name」フィールドのドメイン部分。ここで、 は特定のイベントタイプ(ProcessCreation、ProcessExit)で、 はプロセス情報(プロセス、ソース、親など)を含むフィールドです。
read_only_udm.target.process.parent_process.command_line この値は、未加工ログの「event.Event..parent.commandLine」フィールドから取得されます。ここで、 は特定のイベントタイプ(ProcessCreation、ProcessExit)。
read_only_udm.target.file 「event_type」が FileCreationFileDeletionFileModificationSchedTaskStartProcessCreation のいずれでもない場合は、空のオブジェクトが作成されます。
read_only_udm.network.ip_protocol この値は、Tcpv4Tcpv4ListenHttp に等しい「event_type」を持つイベントに対して TCP に設定されます。
read_only_udm.network.application_protocol 値は、'event_type' が Dns のイベントの場合は DNS に設定されます。
read_only_udm.target.resource.type 「event_type」が SchedTaskStartSchedTaskTrigger、または SchedTaskDelete に等しいイベントの場合、値は TASK に設定されます。
read_only_udm.target.resource.resource_type この値は、SchedTaskStartSchedTaskTriggerSchedTaskDelete に等しい「event_type」を持つイベントに対して TASK に設定されます。
read_only_udm.principal.process.product_specific_process_id 未加工ログに「ExecutionThreadID」フィールドが存在する場合、値は ExecutionThreadID:<ExecutionThreadID> に設定されます。
read_only_udm.principal.asset.asset_id 未加工ログに「agent.uuid」フィールドが存在する場合、この値は Device ID:<agent.uuid> に設定されます。
read_only_udm.principal.namespace この値は、未加工ログの「site.id」フィールドから取得されます。ただし、「meta.event.name」が PROCESSCREATION のイベントに限ります。
read_only_udm.principal.location.name この値は、未加工ログの「site.name」フィールドから取得されます。ただし、「meta.event.name」が PROCESSCREATION のイベントに限ります。
read_only_udm.principal.resource.attribute.labels.key 値は、'meta.event.name' が PROCESSCREATION に等しいイベントの場合、src.process.displayNamesrc.process.uidisRedirectCmdProcessorisNative64BitisStorylineRootsignedStatussrc process subsystemsrc process integrityLevel、または childProcCount に設定されます。
read_only_udm.principal.resource.attribute.labels.value この値は、未加工ログの対応するフィールドから取得されます。ただし、'meta.event.name' が PROCESSCREATION に等しいイベントの場合に限ります。
read_only_udm.target.user.userid この値は、未加工ログの「tgt.process.uid」フィールドから取得されます。ただし、「meta.event.name」が PROCESSCREATION と等しいイベントに限ります。
read_only_udm.target.user.user_display_name この値は、未加工ログの「tgt.process.displayName」フィールドから取得されます。ただし、「meta.event.name」が PROCESSCREATION と等しいイベントに限ります。
read_only_udm.target.resource.attribute.labels.key 値は、PROCESSCREATION に等しい meta.event.name を持つイベントに対して、isRedirectCmdProcessorisNative64BitisStorylineRootsignedStatusfile_isSignedtgt process subsystem、または tgt process integrityLevel に設定されます。
read_only_udm.target.resource.attribute.labels.value この値は、未加工ログの対応するフィールドから取得されます。ただし、'meta.event.name' が PROCESSCREATION に等しいイベントの場合に限ります。
read_only_udm.security_result.about.resource.attribute.labels.key 値は、'meta.event.name' が PROCESSCREATION に等しいイベントに対して tgt.process.storyline.idendpoint_typepacket_idsrc.process.storyline.id、または src.process.parent.storyline.id に設定されます。
read_only_udm.security_result.about.resource.attribute.labels.value この値は、未加工ログの対応するフィールドから取得され、ストーリーライン ID の場合は ID: が先頭に追加されます。これは、'meta.event.name' が PROCESSCREATION と等しいイベントの場合のみです。
read_only_udm.security_result.category_details この値は、'meta.event.name' が PROCESSCREATION に等しいイベントの場合は security に設定されます。
read_only_udm.target.asset.product_object_id この値は、未加工ログの「AdapterName」フィールドから取得されます。ただし、これは「meta.event.name」が EVENTLOG に等しいイベントの場合に限られます。
security_result.about.resource.attribute.labels.key 値は、'meta.event.name' が EVENTLOG に等しいイベントの場合、TimeCreated SystemTimeEventIDTaskChannelProviderGuidRecordNumberSourceNameendpoint_type、または packet_id に設定されます。
security_result.detection_fields.key この値は、'meta.event.name' が EVENTLOG で、'ActivityID' フィールドが空でないイベントの場合は Activity ID に設定されます。
security_result.detection_fields.value この値は、未加工ログの「ActivityID」フィールドから取得されます。ただし、これは「meta.event.name」が EVENTLOG で、「ActivityID」フィールドが空でないイベントに限られます。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。