Recolha registos de visibilidade detalhada do SentinelOne

Compatível com:

Este documento explica como exportar registos do SentinelOne Deep Visibility para o Google Security Operations através do Cloud Funnel para exportar registos para o Google Cloud Storage. O analisador transforma os registos de eventos de segurança formatados em JSON não processado num formato estruturado em conformidade com o UDM. Primeiro, inicializa um conjunto de variáveis e, em seguida, extrai o tipo de evento e analisa a carga útil JSON, mapeando os campos relevantes para o esquema do UDM enquanto processa os registos de eventos do Windows separadamente.

Antes de começar

Certifique-se de que cumpre os seguintes pré-requisitos:

  • Instância do Google SecOps
  • Acesso privilegiado a Google Cloud
  • Configuração da visibilidade detalhada do SentinelOne no seu ambiente
  • Acesso privilegiado ao SentinelOne

Crie um contentor do Google Cloud Storage

  1. Inicie sessão na Google Cloud consola.

  2. Aceda à página Contentores do Cloud Storage.

    Aceda aos contentores

  3. Clique em Criar.

  4. Na página Criar um depósito, introduza as informações do depósito. Após cada um dos passos seguintes, clique em Continuar para avançar para o passo seguinte:

    1. Na secção Começar, faça o seguinte:

      1. Introduza um nome exclusivo que cumpra os requisitos de nome do contentor; por exemplo, sentinelone-deepvisibility.

      2. Para ativar o espaço de nomes hierárquico, clique na seta de expansão para expandir a secção Otimizar para cargas de trabalho orientadas para ficheiros e com grande volume de dados e, de seguida, selecione Ativar espaço de nomes hierárquico neste contentor.

      3. Para adicionar uma etiqueta de grupo, clique na seta de expansão para expandir a secção Etiquetas.

      4. Clique em Adicionar etiqueta e especifique uma chave e um valor para a etiqueta.

    2. Na secção Escolha onde quer armazenar os seus dados, faça o seguinte:

      1. Selecione um Tipo de localização.

      2. Use o menu de tipo de localização para selecionar uma Localização onde os dados de objetos no seu contentor vão ser armazenados permanentemente.

      3. Para configurar a replicação entre contentores, expanda a secção Configurar replicação entre contentores.

    3. Na secção Escolha uma classe de armazenamento para os seus dados, selecione uma classe de armazenamento predefinida para o contentor ou selecione Autoclass para a gestão automática da classe de armazenamento dos dados do seu contentor.

    4. Na secção Escolha como controlar o acesso a objetos, selecione não para aplicar a prevenção de acesso público e selecione um modelo de controlo de acesso para os objetos do seu contentor.

    5. Na secção Escolha como proteger os dados de objetos, faça o seguinte:

      1. Selecione qualquer uma das opções em Proteção de dados que quer definir para o seu contentor.
      2. Para escolher como os dados de objetos vão ser encriptados, clique na seta de expansão com a etiqueta Encriptação de dados e selecione um Método de encriptação de dados.

  5. Clique em Criar.

Crie uma conta de serviço do Google Cloud

  1. Aceda a IAM e administrador > Contas de serviço.
  2. Crie uma nova conta de serviço.
  3. Atribua-lhe um nome descritivo; por exemplo, sentinelone-dv-logs.
  4. Conceda à conta de serviço a função de criador de objetos de armazenamento no contentor do Cloud Storage que criou no passo anterior.
  5. Crie uma chave SSH para a conta de serviço.
  6. Transfira um ficheiro de chave JSON para a conta de serviço. Mantenha este ficheiro seguro.

Como configurar o funil na nuvem no SentinelOne DeepVisibility

  1. Inicie sessão no SentinelOne DeepVisibility.
  2. Clique em Configurar > Política e definições.
  3. Na secção Singularity Data Lake, clique em Cloud Funnel.
  4. Indique os seguintes detalhes de configuração:
    • Fornecedor de nuvem: selecione Google Cloud.
    • Nome do contentor: introduza o nome do contentor do Cloud Storage que criou para o carregamento de registos do SentinelOne DeepVisibility.
    • Streaming de telemetria: selecione Ativar.
    • Filtros de consulta: crie uma consulta que inclua os agentes que precisam de enviar dados para um contentor do Cloud Storage.
    • Clique em Validar.
    • Campos a incluir: selecione todos os campos.
  5. Clique em Guardar.

Configure feeds

Existem dois pontos de entrada diferentes para configurar feeds na plataforma Google SecOps:

  • Definições do SIEM > Feeds > Adicionar novo
  • Content Hub > Pacotes de conteúdo > Começar

Como configurar o feed de visibilidade detalhada do SentinelOne

  1. Clique no pacote SentinelOne.
  2. No tipo de registo SentinelOne Deep Visibility, especifique os valores dos seguintes campos:
    • Tipo de origem: Google Cloud Storage V2.
    • URI do contentor de armazenamento: o URI de origem do contentor do Google Cloud Storage.
    • Opção de eliminação da origem: se pretende eliminar ficheiros ou diretórios após a transferência. Selecione a opção Eliminar ficheiros transferidos em Opção de eliminação da origem.
    • Idade máxima do ficheiro: inclua ficheiros modificados no número de dias mais recente. A predefinição é 180 dias.
    • Conta de serviço do Chronicle: copie a conta de serviço. Precisa desta conta para adicionar autorizações no contentor para que o Google SecOps possa ler ou eliminar dados no contentor.

Opções avançadas

  • Nome do feed: um valor pré-preenchido que identifica o feed.
  • Espaço de nomes do recurso: espaço de nomes associado ao feed.
  • Etiquetas de carregamento: etiquetas aplicadas a todos os eventos deste feed.
  • Clique em Criar feed.

Para mais informações sobre a configuração de vários feeds para diferentes tipos de registos nesta família de produtos, consulte o artigo Configure feeds por produto.

Tabela de mapeamento da UDM

Campo de registo Mapeamento do UDM Lógica
AdapterName security_result.about.resource.attribute.labels.value O valor é retirado do campo "AdapterName" no registo não processado.
AdapterSuffixName security_result.about.resource.attribute.labels.value O valor é retirado do campo "AdapterSuffixName" no registo não processado.
agent_version read_only_udm.metadata.product_version O valor é retirado do campo "meta.agent_version" no registo não processado.
Canal security_result.about.resource.attribute.labels.value O valor é retirado do campo "Canal" no registo não processado.
commandLine read_only_udm.principal.process.command_line O valor é retirado do campo "event.Event...commandLine" no registo não processado, onde é o tipo de evento específico (por exemplo, ProcessCreation, ProcessExit) e é o campo que contém informações do processo (por exemplo, processo, origem, principal).
computer_name read_only_udm.principal.hostname O valor é retirado do campo "meta.computer_name" no registo não processado.
destinationAddress.address read_only_udm.target.ip O valor é retirado do campo "event.Event.Tcpv4.destinationAddress.address" no registo não processado.
destinationAddress.port read_only_udm.target.port O valor é retirado do campo "event.Event.Tcpv4.destinationAddress.port" no registo não processado.
DnsServerList read_only_udm.principal.ip O valor é retirado do campo "DnsServerList" no registo não processado.
ErrorCode_new security_result.detection_fields.value O valor é retirado do campo "ErrorCode_new" no registo não processado.
EventID security_result.about.resource.attribute.labels.value O valor é retirado do campo "EventID" no registo não processado.
event.Event.Dns.query read_only_udm.network.dns.questions.name O valor é retirado do campo "event.Event.Dns.query" no registo não processado.
event.Event.Dns.results read_only_udm.network.dns.answers.data O valor é retirado do campo "event.Event.Dns.results" no registo não processado.
event.Event.Dns.source.fullPid.pid read_only_udm.principal.process.pid O valor é retirado do campo "event.Event.Dns.source.fullPid.pid" no registo não processado.
event.Event.Dns.source.user.name read_only_udm.principal.user.userid O valor é retirado do campo "event.Event.Dns.source.user.name" no registo não processado.
event.Event.FileCreation.source.fullPid.pid read_only_udm.principal.process.pid O valor é retirado do campo "event.Event.FileCreation.source.fullPid.pid" no registo não processado.
event.Event.FileCreation.source.user.name read_only_udm.principal.user.userid O valor é retirado do campo "event.Event.FileCreation.source.user.name" no registo não processado.
event.Event.FileCreation.targetFile.path read_only_udm.target.file.full_path O valor é retirado do campo "event.Event.FileCreation.targetFile.path" no registo não processado.
event.Event.FileDeletion.source.fullPid.pid read_only_udm.principal.process.pid O valor é retirado do campo "event.Event.FileDeletion.source.fullPid.pid" no registo não processado.
event.Event.FileDeletion.source.user.name read_only_udm.principal.user.userid O valor é retirado do campo "event.Event.FileDeletion.source.user.name" no registo não processado.
event.Event.FileDeletion.targetFile.path read_only_udm.target.file.full_path O valor é retirado do campo "event.Event.FileDeletion.targetFile.path" no registo não processado.
event.Event.FileModification.file.path read_only_udm.target.file.full_path O valor é retirado do campo "event.Event.FileModification.file.path" no registo não processado.
event.Event.FileModification.source.user.name read_only_udm.principal.user.userid O valor é retirado do campo "event.Event.FileModification.source.user.name" no registo não processado.
event.Event.FileModification.targetFile.path read_only_udm.target.file.full_path O valor é retirado do campo "event.Event.FileModification.targetFile.path" no registo não processado.
event.Event.Http.source.user.name read_only_udm.principal.user.userid O valor é retirado do campo "event.Event.Http.source.user.name" no registo não processado.
event.Event.Http.url read_only_udm.target.url O valor é retirado do campo "event.Event.Http.url" no registo não processado.
event.Event.ProcessCreation.process.user.name read_only_udm.principal.user.userid O valor é retirado do campo "event.Event.ProcessCreation.process.user.name" no registo não processado.
event.Event.ProcessCreation.source.user.name read_only_udm.principal.user.userid O valor é retirado do campo "event.Event.ProcessCreation.source.user.name" no registo não processado.
event.Event.ProcessExit.source.user.name read_only_udm.principal.user.userid O valor é retirado do campo "event.Event.ProcessExit.source.user.name" no registo não processado.
event.Event.ProcessTermination.source.user.name read_only_udm.principal.user.userid O valor é retirado do campo "event.Event.ProcessTermination.source.user.name" no registo não processado.
event.Event.RegKeyCreate.source.fullPid.pid read_only_udm.principal.process.pid O valor é retirado do campo "event.Event.RegKeyCreate.source.fullPid.pid" no registo não processado.
event.Event.RegKeyCreate.source.user.name read_only_udm.principal.user.userid O valor é retirado do campo "event.Event.RegKeyCreate.source.user.name" no registo não processado.
event.Event.RegKeyDelete.source.user.name read_only_udm.principal.user.userid O valor é retirado do campo "event.Event.RegKeyDelete.source.user.name" no registo não processado.
event.Event.RegValueModified.source.user.name read_only_udm.principal.user.userid O valor é retirado do campo "event.Event.RegValueModified.source.user.name" no registo não processado.
event.Event.SchedTaskDelete.source.user.name read_only_udm.principal.user.userid O valor é retirado do campo "event.Event.SchedTaskDelete.source.user.name" no registo não processado.
event.Event.SchedTaskRegister.source.user.name read_only_udm.principal.user.userid O valor é retirado do campo "event.Event.SchedTaskRegister.source.user.name" no registo não processado.
event.Event.SchedTaskStart.source.user.name read_only_udm.principal.user.userid O valor é retirado do campo "event.Event.SchedTaskStart.source.user.name" no registo não processado.
event.Event.SchedTaskTrigger.source.fullPid.pid read_only_udm.principal.process.pid O valor é retirado do campo "event.Event.SchedTaskTrigger.source.fullPid.pid" no registo não processado.
event.Event.SchedTaskTrigger.source.user.name read_only_udm.principal.user.userid O valor é retirado do campo "event.Event.SchedTaskTrigger.source.user.name" no registo não processado.
event.Event.Tcpv4.source.fullPid.pid read_only_udm.principal.process.pid O valor é retirado do campo "event.Event.Tcpv4.source.fullPid.pid" no registo não processado.
event.Event.Tcpv4.source.user.name read_only_udm.principal.user.userid O valor é retirado do campo "event.Event.Tcpv4.source.user.name" no registo não processado.
event.Event.Tcpv4Listen.local.address read_only_udm.principal.ip O valor é retirado do campo "event.Event.Tcpv4Listen.local.address" no registo não processado.
event.timestamp.millisecondsSinceEpoch read_only_udm.metadata.event_timestamp.seconds O valor é retirado do campo "event.timestamp.millisecondsSinceEpoch" no registo não processado, convertido em segundos.
event.timestamp.millisecondsSinceEpoch read_only_udm.metadata.event_timestamp.nanos O valor é retirado do campo "event.timestamp.millisecondsSinceEpoch" no registo não processado, convertido em nanosegundos.
event.timestamp.millisecondsSinceEpoch security_result.about.resource.attribute.labels.value O valor é retirado do campo "event.timestamp.millisecondsSinceEpoch" no registo não processado e usado como o valor de uma etiqueta na matriz security_result.about.resource.attribute.labels.
event_type read_only_udm.metadata.product_event_type O valor é extraído do campo "message" no registo não processado através de um padrão grok.
executable.hashes.md5 read_only_udm.principal.process.file.md5 O valor é retirado do campo "event.Event...executable.hashes.md5" no registo não processado, em que é o tipo de evento específico (por exemplo, ProcessCreation, ProcessExit) e é o campo que contém informações do processo (por exemplo, processo, origem, principal).
executable.hashes.sha1 read_only_udm.principal.process.file.sha1 O valor é retirado do campo "event.Event...executable.hashes.sha1" no registo não processado, onde é o tipo de evento específico (por exemplo, ProcessCreation, ProcessExit) e é o campo que contém informações do processo (por exemplo, processo, origem, principal).
executable.hashes.sha256 read_only_udm.principal.process.file.sha256 O valor é retirado do campo "event.Event...executable.hashes.sha256" no registo não processado, em que é o tipo de evento específico (por exemplo, ProcessCreation, ProcessExit) e é o campo que contém informações do processo (por exemplo, processo, origem, principal).
executable.path read_only_udm.principal.process.file.full_path O valor é retirado do campo "event.Event...executable.path" no registo não processado, onde é o tipo de evento específico (por exemplo, ProcessCreation, ProcessExit) e é o campo que contém informações do processo (por exemplo, processo, origem, principal).
executable.sizeBytes read_only_udm.principal.process.file.size O valor é retirado do campo "event.Event...executable.sizeBytes" no registo não processado, onde é o tipo de evento específico (por exemplo, ProcessCreation, ProcessExit) e é o campo que contém informações do processo (por exemplo, processo, origem, principal).
fullPid.pid read_only_udm.principal.process.pid O valor é retirado do campo "event.Event...fullPid.pid" no registo não processado, onde é o tipo de evento específico (por exemplo, ProcessCreation, ProcessExit) e é o campo que contém informações do processo (por exemplo, processo, origem, principal).
hashes.md5 read_only_udm.target.file.md5 O valor é retirado do campo "event.Event.ProcessCreation.hashes.md5" no registo não processado.
hashes.sha1 read_only_udm.target.file.sha1 O valor é retirado do campo "event.Event.ProcessCreation.hashes.sha1" no registo não processado.
hashes.sha256 read_only_udm.target.file.sha256 O valor é retirado do campo "event.Event.ProcessCreation.hashes.sha256" no registo não processado.
IpAddress read_only_udm.target.ip O valor é retirado do campo "IpAddress" no registo não processado.
local.address read_only_udm.principal.ip O valor é retirado do campo "event.Event.Tcpv4Listen.local.address" no registo não processado.
local.port read_only_udm.principal.port O valor é retirado do campo "event.Event.Tcpv4Listen.local.port" no registo não processado.
log_type read_only_udm.metadata.log_type O valor é retirado do campo "log_type" no registo não processado.
meta.agent_version read_only_udm.metadata.product_version O valor é retirado do campo "meta.agent_version" no registo não processado.
meta.computer_name read_only_udm.principal.hostname O valor é retirado do campo "meta.computer_name" no registo não processado.
meta.os_family read_only_udm.principal.platform O valor é retirado do campo "meta.os_family" no registo não processado e mapeado para a plataforma correspondente (por exemplo, windows para WINDOWS, osx para MAC e linux para LINUX).
meta.os_name read_only_udm.principal.platform_version O valor é retirado do campo "meta.os_name" no registo não processado.
meta.os_revision read_only_udm.principal.platform_patch_level O valor é retirado do campo "meta.os_revision" no registo não processado.
meta.uuid read_only_udm.principal.asset_id O valor é retirado do campo "meta.uuid" no registo não processado e é precedido de SENTINELONE:.
nome read_only_udm.principal.application O valor é retirado do campo "event.Event...name" no registo não processado, onde é o tipo de evento específico (por exemplo, ProcessCreation, ProcessExit) e é o campo que contém informações do processo (por exemplo, processo, origem, principal).
parent.executable.hashes.md5 read_only_udm.target.process.parent_process.file.md5 O valor é retirado do campo "event.Event..parent.executable.hashes.md5" no registo não processado, onde é o tipo de evento específico (por exemplo, ProcessCreation, ProcessExit).
parent.executable.hashes.sha1 read_only_udm.target.process.parent_process.file.sha1 O valor é retirado do campo "event.Event..parent.executable.hashes.sha1" no registo não processado, onde é o tipo de evento específico (por exemplo, ProcessCreation, ProcessExit).
parent.executable.hashes.sha256 read_only_udm.target.process.parent_process.file.sha256 O valor é retirado do campo "event.Event..parent.executable.hashes.sha256" no registo não processado, onde é o tipo de evento específico (por exemplo, ProcessCreation, ProcessExit).
parent.executable.path read_only_udm.target.process.parent_process.file.full_path O valor é retirado do campo "event.Event..parent.executable.path" no registo não processado, onde é o tipo de evento específico (por exemplo, ProcessCreation, ProcessExit).
parent.fullPid.pid read_only_udm.target.process.parent_process.pid O valor é retirado do campo "event.Event..parent.fullPid.pid" no registo não processado, em que é o tipo de evento específico (por exemplo, ProcessCreation, ProcessExit).
caminho read_only_udm.principal.process.file.full_path O valor é retirado do campo "event.Event...path" no registo não processado, onde é o tipo de evento específico (por exemplo, ProcessCreation, ProcessExit) e é o campo que contém informações do processo (por exemplo, processo, origem, principal).
process.commandLine read_only_udm.target.process.command_line O valor é retirado do campo "event.Event.ProcessCreation.process.commandLine" no registo não processado.
process.fullPid.pid read_only_udm.target.process.pid O valor é retirado do campo "event.Event.ProcessCreation.process.fullPid.pid" no registo não processado.
process.parent.fullPid.pid read_only_udm.target.process.parent_process.pid O valor é retirado do campo "event.Event.ProcessCreation.process.parent.fullPid.pid" no registo não processado.
ProviderGuid security_result.about.resource.attribute.labels.value O valor é retirado do campo "ProviderGuid" no registo não processado, com as chavetas removidas.
consulta read_only_udm.network.dns.questions.name O valor é retirado do campo "event.Event.Dns.query" no registo não processado.
RecordNumber security_result.about.resource.attribute.labels.value O valor é retirado do campo "RecordNumber" no registo não processado.
regKey.path read_only_udm.target.registry.registry_key O valor é retirado do campo "event.Event.RegKeyCreate.regKey.path" ou "event.Event.RegKeyDelete.regKey.path" no registo não processado.
regValue.path read_only_udm.target.registry.registry_key O valor é retirado do campo "event.Event.RegValueDelete.regValue.path" ou "event.Event.RegValueModified.regValue.path" no registo não processado.
resultados read_only_udm.network.dns.answers.data O valor é retirado do campo "event.Event.Dns.results" no registo não processado.
Sent UpdateServer intermediary.hostname O valor é retirado do campo "Sent UpdateServer" no registo não processado.
seq_id Este campo não está mapeado diretamente para o UDM.
signature.Status.Signed.identity Este campo não está mapeado diretamente para o UDM.
sizeBytes read_only_udm.principal.process.file.size O valor é retirado do campo "event.Event...sizeBytes" no registo não processado, onde é o tipo de evento específico (por exemplo, ProcessCreation, ProcessExit) e é o campo que contém informações do processo (por exemplo, processo, origem, principal).
sourceAddress.address read_only_udm.principal.ip O valor é retirado do campo "event.Event.Tcpv4.sourceAddress.address" no registo não processado.
sourceAddress.port read_only_udm.principal.port O valor é retirado do campo "event.Event.Tcpv4.sourceAddress.port" no registo não processado.
SourceName security_result.about.resource.attribute.labels.value O valor é retirado do campo "SourceName" no registo não processado.
estado Este campo não está mapeado diretamente para o UDM.
taskName read_only_udm.target.resource.name O valor é retirado do campo "event.Event.SchedTaskStart.taskName", "event.Event.SchedTaskTrigger.taskName" ou "event.Event.SchedTaskDelete.taskName" no registo não processado.
targetFile.hashes.md5 read_only_udm.target.file.md5 O valor é retirado do campo "event.Event.FileDeletion.targetFile.hashes.md5" ou "event.Event.SchedTaskStart.targetFile.hashes.md5" no registo não processado.
targetFile.hashes.sha1 read_only_udm.target.file.sha1 O valor é retirado do campo "event.Event.FileDeletion.targetFile.hashes.sha1" ou "event.Event.SchedTaskStart.targetFile.hashes.sha1" no registo não processado.
targetFile.hashes.sha256 read_only_udm.target.file.sha256 O valor é retirado do campo "event.Event.FileDeletion.targetFile.hashes.sha256" ou "event.Event.SchedTaskStart.targetFile.hashes.sha256" no registo não processado.
targetFile.path read_only_udm.target.file.full_path O valor é retirado do campo "event.Event.FileDeletion.targetFile.path" ou "event.Event.SchedTaskStart.targetFile.path" no registo não processado.
Tarefa security_result.about.resource.attribute.labels.value O valor é retirado do campo "Tarefa" no registo não processado.
timestamp.millisecondsSinceEpoch read_only_udm.metadata.event_timestamp.seconds O valor é retirado do campo "event.timestamp.millisecondsSinceEpoch" no registo não processado, convertido em segundos.
timestamp.millisecondsSinceEpoch read_only_udm.metadata.event_timestamp.nanos O valor é retirado do campo "event.timestamp.millisecondsSinceEpoch" no registo não processado, convertido em nanosegundos.
trace_id Este campo não está mapeado diretamente para o UDM.
triggerType Este campo não está mapeado diretamente para o UDM.
trueContext Este campo não está mapeado diretamente para o UDM.
trueContext.key Este campo não está mapeado diretamente para o UDM.
trueContext.key.value Este campo não está mapeado diretamente para o UDM.
escrever read_only_udm.network.dns.answers.type O valor é retirado do campo "event.Event.Dns.results" no registo não processado e extraído através de uma expressão regular.
url read_only_udm.target.url O valor é retirado do campo "event.Event.Http.url" no registo não processado.
user.name read_only_udm.principal.user.userid O valor é retirado do campo "event.Event...user.name" no registo não processado, em que é o tipo de evento específico (por exemplo, ProcessCreation, ProcessExit) e é o campo que contém informações do processo (por exemplo, processo, origem, principal).
user.sid read_only_udm.principal.user.windows_sid O valor é retirado do campo "event.Event...user.sid" no registo não processado, em que é o tipo de evento específico (por exemplo, ProcessCreation, ProcessExit) e é o campo que contém informações do processo (por exemplo, processo, origem, principal).
UserID read_only_udm.target.user.windows_sid O valor é retirado do campo "UserID" no registo não processado, apenas se corresponder ao padrão SID do Windows.
UserSid read_only_udm.target.user.windows_sid O valor é retirado do campo "UserSid" no registo não processado, apenas se corresponder ao padrão SID do Windows.
valueType Este campo não está mapeado diretamente para o UDM.
winEventLog.channel security_result.about.resource.attribute.labels.value O valor é retirado do campo "winEventLog.channel" no registo não processado.
winEventLog.description Este campo não está mapeado diretamente para o UDM.
winEventLog.id security_result.about.resource.attribute.labels.value O valor é retirado do campo "winEventLog.id" no registo não processado.
winEventLog.level security_result.severity O valor é retirado do campo "winEventLog.level" no registo não processado e mapeado para o nível de gravidade correspondente (por exemplo, Warning para MÉDIA).
winEventLog.providerName security_result.about.resource.attribute.labels.value O valor é retirado do campo "winEventLog.providerName" no registo não processado.
winEventLog.xml Este campo não está mapeado diretamente para o UDM.
read_only_udm.metadata.event_type O valor é determinado com base no campo "event_type" e mapeado para o tipo de evento da UDM correspondente.
read_only_udm.metadata.vendor_name O valor é definido como SentinelOne.
read_only_udm.metadata.product_name O valor é definido como Deep Visibility.
read_only_udm.metadata.product_log_id O valor é retirado do campo "trace.id" no registo não processado, apenas para eventos com "meta.event.name" igual a PROCESSCREATION.
read_only_udm.metadata.product_deployment_id O valor é retirado do campo "account.id" no registo não processado, apenas para eventos com "meta.event.name" igual a PROCESSCREATION.
read_only_udm.metadata.url_back_to_product O valor é retirado do campo "mgmt.url" no registo não processado, apenas para eventos com "meta.event.name" igual a PROCESSCREATION.
read_only_udm.metadata.ingestion_labels.key O valor é definido como Process eUserUid ou Process lUserUid para eventos com "meta.event.name" igual a PROCESSCREATION.
read_only_udm.metadata.ingestion_labels.value O valor é retirado do campo "src.process.eUserUid" ou "src.process.lUserUid" no registo não processado, apenas para eventos com "meta.event.name" igual a PROCESSCREATION.
read_only_udm.principal.administrative_domain A parte do domínio do campo "event.Event...user.name" no registo não processado, em que é o tipo de evento específico (por exemplo, ProcessCreation, ProcessExit) e é o campo que contém informações do processo (por exemplo, processo, origem, principal).
read_only_udm.target.process.parent_process.command_line O valor é retirado do campo "event.Event..parent.commandLine" no registo não processado, onde é o tipo de evento específico (por exemplo, ProcessCreation, ProcessExit).
read_only_udm.target.file É criado um objeto vazio se o "event_type" não for FileCreation, FileDeletion, FileModification, SchedTaskStart ou ProcessCreation.
read_only_udm.network.ip_protocol O valor é definido como TCP para eventos com "event_type" igual a Tcpv4, Tcpv4Listen ou Http.
read_only_udm.network.application_protocol O valor é definido como DNS para eventos com "event_type" igual a Dns.
read_only_udm.target.resource.type O valor é definido como TASK para eventos com "event_type" igual a SchedTaskStart, SchedTaskTrigger ou SchedTaskDelete.
read_only_udm.target.resource.resource_type O valor é definido como TASK para eventos com "event_type" igual a SchedTaskStart, SchedTaskTrigger ou SchedTaskDelete.
read_only_udm.principal.process.product_specific_process_id O valor é definido como ExecutionThreadID:<ExecutionThreadID> se o campo "ExecutionThreadID" estiver presente no registo não processado.
read_only_udm.principal.asset.asset_id O valor é definido como Device ID:<agent.uuid> se o campo "agent.uuid" estiver presente no registo não processado.
read_only_udm.principal.namespace O valor é retirado do campo "site.id" no registo não processado, apenas para eventos com "meta.event.name" igual a PROCESSCREATION.
read_only_udm.principal.location.name O valor é retirado do campo "site.name" no registo não processado, apenas para eventos com "meta.event.name" igual a PROCESSCREATION.
read_only_udm.principal.resource.attribute.labels.key O valor é definido como src.process.displayName, src.process.uid, isRedirectCmdProcessor, isNative64Bit, isStorylineRoot, signedStatus, src process subsystem, src process integrityLevel ou childProcCount para eventos com "meta.event.name" igual a PROCESSCREATION.
read_only_udm.principal.resource.attribute.labels.value O valor é retirado do campo correspondente no registo não processado, apenas para eventos com "meta.event.name" igual a PROCESSCREATION.
read_only_udm.target.user.userid O valor é retirado do campo "tgt.process.uid" no registo não processado, apenas para eventos com "meta.event.name" igual a PROCESSCREATION.
read_only_udm.target.user.user_display_name O valor é retirado do campo "tgt.process.displayName" no registo não processado, apenas para eventos com "meta.event.name" igual a PROCESSCREATION.
read_only_udm.target.resource.attribute.labels.key O valor é definido como isRedirectCmdProcessor, isNative64Bit, isStorylineRoot, signedStatus, file_isSigned, tgt process subsystem ou tgt process integrityLevel para eventos com "meta.event.name" igual a PROCESSCREATION.
read_only_udm.target.resource.attribute.labels.value O valor é retirado do campo correspondente no registo não processado, apenas para eventos com "meta.event.name" igual a PROCESSCREATION.
read_only_udm.security_result.about.resource.attribute.labels.key O valor é definido como tgt.process.storyline.id, endpoint_type, packet_id, src.process.storyline.id ou src.process.parent.storyline.id para eventos com "meta.event.name" igual a PROCESSCREATION.
read_only_udm.security_result.about.resource.attribute.labels.value O valor é retirado do campo correspondente no registo não processado e é precedido de ID: para IDs de enredo, apenas para eventos com "meta.event.name" igual a PROCESSCREATION.
read_only_udm.security_result.category_details O valor é definido como security para eventos com "meta.event.name" igual a PROCESSCREATION.
read_only_udm.target.asset.product_object_id O valor é retirado do campo "AdapterName" no registo não processado, apenas para eventos com "meta.event.name" igual a EVENTLOG.
security_result.about.resource.attribute.labels.key O valor é definido como TimeCreated SystemTime, EventID, Task, Channel, ProviderGuid, RecordNumber, SourceName, endpoint_type ou packet_id para eventos com "meta.event.name" igual a EVENTLOG.
security_result.detection_fields.key O valor está definido como Activity ID para eventos com "meta.event.name" igual a EVENTLOG e um campo "ActivityID" não vazio.
security_result.detection_fields.value O valor é retirado do campo "ActivityID" no registo não processado, apenas para eventos com "meta.event.name" igual a EVENTLOG e um campo "ActivityID" não vazio.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.