Coletar registros de visibilidade detalhada do SentinelOne

Compatível com:

Este documento explica como exportar registros do SentinelOne Deep Visibility para o Google Security Operations usando o Cloud Funnel para exportar registros para o Google Cloud Storage. O analisador transforma registros ocorrência de segurança brutos formatados em JSON em um formato estruturado de acordo com o UDM. Primeiro, ele inicializa um conjunto de variáveis, extrai o tipo de evento e analisa o payload JSON, mapeando os campos relevantes para o esquema da UDM e processando os registros de eventos do Windows separadamente.

Antes de começar

Verifique se você atende aos seguintes pré-requisitos:

  • Instância do Google SecOps
  • Acesso privilegiado a Google Cloud
  • SentinelOne Deep Visibility configurado no seu ambiente
  • Acesso privilegiado ao SentinelOne

Crie um bucket do Google Cloud Storage

  1. Faça login no console doGoogle Cloud .

  2. Acesse a página Buckets do Cloud Storage.

    Acessar buckets

  3. Clique em Criar.

  4. Na página Criar um bucket, insira as informações do seu bucket. Após cada uma das etapas a seguir, clique em Continuar para prosseguir para a próxima etapa:

    1. Na seção Começar, faça o seguinte:

      1. Insira um nome exclusivo que atenda aos requisitos de nome de bucket. Por exemplo, sentinelone-deepvisibility.

      2. Para ativar o namespace hierárquico, clique na seta de expansão para abrir a seção Otimizar para cargas de trabalho orientadas a arquivos e com uso intensivo de dados e selecione Ativar namespace hierárquico neste bucket.

      3. Para adicionar um rótulo de bucket, clique na seta de expansão para abrir a seção Rótulos.

      4. Clique em Adicionar rótulo e especifique uma chave e um valor para o rótulo.

    2. Na seção Escolha onde armazenar seus dados, faça o seguinte:

      1. Selecione um tipo de local.

      2. Use o menu do tipo de local para selecionar um Local em que os dados de objetos no bucket serão armazenados permanentemente.

      3. Para configurar a replicação entre buckets, abra a seção Configurar a replicação entre buckets.

    3. Na seção Escolha uma classe de armazenamento para seus dados, selecione uma classe de armazenamento padrão para o bucket ou selecione Classe automática para gerenciamento automático da classe de armazenamento dos dados do bucket.

    4. Na seção Escolha como controlar o acesso a objetos, selecione não para aplicar a prevenção de acesso público e selecione um modelo de controle de acesso para os objetos do bucket.

    5. Na seção Escolha como proteger os dados do objeto, faça o seguinte:

      1. Selecione qualquer uma das opções em Proteção de dados que você quer definir para o bucket.
      2. Para escolher como os dados do objeto serão criptografados, clique na seta de expansão identificada como Criptografia de dados e selecione um Método de criptografia de dados.

  5. Clique em Criar.

Criar uma conta de serviço do Google Cloud

  1. Acesse IAM e administrador > Contas de serviço.
  2. Crie uma nova conta de serviço.
  3. Dê um nome descritivo, por exemplo, sentinelone-dv-logs.
  4. Conceda à conta de serviço o papel de Criador de objetos do Storage no bucket do Cloud Storage criado na etapa anterior.
  5. Crie uma chave SSH para a conta de serviço.
  6. Faça o download de um arquivo de chave JSON para a conta de serviço. Mantenha esse arquivo em segurança.

Como configurar o funil de nuvem no SentinelOne DeepVisibility

  1. Faça login no SentinelOne DeepVisibility.
  2. Clique em Configurar > Política e configurações.
  3. Na seção Data Lake do Singularity, clique em Funil do Cloud.
  4. Informe os seguintes detalhes de configuração:
    • Provedor de nuvem: selecione Google Cloud.
    • Nome do bucket: insira o nome do bucket do Cloud Storage que você criou para a ingestão de registros do SentinelOne DeepVisibility.
    • Transmissão de telemetria: selecione Ativar.
    • Filtros de consulta: crie uma consulta que inclua os agentes que precisam enviar dados para um bucket do Cloud Storage.
    • Clique em Validate (Validar).
    • Campos a serem incluídos: selecione todos os campos.
  5. Clique em Salvar.

Configurar feeds

Há dois pontos de entrada diferentes para configurar feeds na plataforma do Google SecOps:

  • Configurações do SIEM > Feeds
  • Central de conteúdo > Pacotes de conteúdo

Configure feeds em Configurações do SIEM > Feeds

Para configurar vários feeds para diferentes tipos de registros nessa família de produtos, consulte Configurar feeds por produto.

Para configurar um único feed, siga estas etapas:

  1. Acesse Configurações do SIEM > Feeds.
  2. Clique em Adicionar novo feed.
  3. Na próxima página, clique em Configurar um único feed.
  4. No campo Nome do feed, insira um nome para o feed, por exemplo, Registros do SentinelOne DV.
  5. Selecione Google Cloud Storage como o Tipo de origem.
  6. Selecione Visibilidade detalhada do SentinelOne como o Tipo de registro.
  7. Clique em Receber conta de serviço como a Conta de serviço do Chronicle.
  8. Clique em Próxima.

  9. Especifique valores para os seguintes parâmetros de entrada:

    • URI do bucket de armazenamento: URL do bucket do Google Cloud Storage no formato gs://my-bucket/<value>.
    • URI Is A: selecione Directory which includes subdirectories.

    • Opções de exclusão de origem: selecione a opção de exclusão de acordo com suas preferências de ingestão.

    • Namespace do recurso: o namespace do recurso.

    • Rótulos de ingestão: o rótulo aplicado aos eventos deste feed.

  10. Clique em Próxima.

  11. Revise a nova configuração do feed na tela de finalização e clique em Enviar.

Configurar feeds na Central de conteúdo

Especifique valores para os seguintes campos:

  • URI do bucket de armazenamento: o URI de origem do bucket do Google Cloud Storage.
  • URI é um: selecione o TIPO DE URI de acordo com a configuração do fluxo de registros (Arquivo único | Diretório | Diretório que inclui subdiretórios).
  • Opções de exclusão de origem: selecione a opção de exclusão de acordo com suas preferências de ingestão.

Opções avançadas

  • Nome do feed: um valor pré-preenchido que identifica o feed.
  • Tipo de origem: método usado para coletar registros no Google SecOps.
  • Namespace do recurso: namespace associado ao feed.
  • Rótulos de ingestão: rótulos aplicados a todos os eventos deste feed.

Tabela de mapeamento do UDM

Campo de registro Mapeamento da UDM Lógica
AdapterName security_result.about.resource.attribute.labels.value O valor é extraído do campo "AdapterName" no registro bruto.
AdapterSuffixName security_result.about.resource.attribute.labels.value O valor é extraído do campo "AdapterSuffixName" no registro bruto.
agent_version read_only_udm.metadata.product_version O valor é extraído do campo "meta.agent_version" no registro bruto.
Canal security_result.about.resource.attribute.labels.value O valor é extraído do campo "Canal" no registro bruto.
commandLine read_only_udm.principal.process.command_line O valor é extraído do campo "event.Event...commandLine" no registro bruto, em que é o tipo de evento específico (por exemplo, ProcessCreation, ProcessExit) e é o campo que contém informações do processo (por exemplo, processo, origem, pai).
computer_name read_only_udm.principal.hostname O valor é extraído do campo "meta.computer_name" no registro bruto.
destinationAddress.address read_only_udm.target.ip O valor é extraído do campo "event.Event.Tcpv4.destinationAddress.address" no registro bruto.
destinationAddress.port read_only_udm.target.port O valor é extraído do campo "event.Event.Tcpv4.destinationAddress.port" no registro bruto.
DnsServerList read_only_udm.principal.ip O valor é extraído do campo "DnsServerList" no registro bruto.
ErrorCode_new security_result.detection_fields.value O valor é extraído do campo "ErrorCode_new" no registro bruto.
EventID security_result.about.resource.attribute.labels.value O valor é extraído do campo "EventID" no registro bruto.
event.Event.Dns.query read_only_udm.network.dns.questions.name O valor é extraído do campo "event.Event.Dns.query" no registro bruto.
event.Event.Dns.results read_only_udm.network.dns.answers.data O valor é extraído do campo "event.Event.Dns.results" no registro bruto.
event.Event.Dns.source.fullPid.pid read_only_udm.principal.process.pid O valor é extraído do campo "event.Event.Dns.source.fullPid.pid" no registro bruto.
event.Event.Dns.source.user.name read_only_udm.principal.user.userid O valor é extraído do campo "event.Event.Dns.source.user.name" no registro bruto.
event.Event.FileCreation.source.fullPid.pid read_only_udm.principal.process.pid O valor é extraído do campo "event.Event.FileCreation.source.fullPid.pid" no registro bruto.
event.Event.FileCreation.source.user.name read_only_udm.principal.user.userid O valor é extraído do campo "event.Event.FileCreation.source.user.name" no registro bruto.
event.Event.FileCreation.targetFile.path read_only_udm.target.file.full_path O valor é extraído do campo "event.Event.FileCreation.targetFile.path" no registro bruto.
event.Event.FileDeletion.source.fullPid.pid read_only_udm.principal.process.pid O valor é extraído do campo "event.Event.FileDeletion.source.fullPid.pid" no registro bruto.
event.Event.FileDeletion.source.user.name read_only_udm.principal.user.userid O valor é extraído do campo "event.Event.FileDeletion.source.user.name" no registro bruto.
event.Event.FileDeletion.targetFile.path read_only_udm.target.file.full_path O valor é extraído do campo "event.Event.FileDeletion.targetFile.path" no registro bruto.
event.Event.FileModification.file.path read_only_udm.target.file.full_path O valor é extraído do campo "event.Event.FileModification.file.path" no registro bruto.
event.Event.FileModification.source.user.name read_only_udm.principal.user.userid O valor é extraído do campo "event.Event.FileModification.source.user.name" no registro bruto.
event.Event.FileModification.targetFile.path read_only_udm.target.file.full_path O valor é extraído do campo "event.Event.FileModification.targetFile.path" no registro bruto.
event.Event.Http.source.user.name read_only_udm.principal.user.userid O valor é extraído do campo "event.Event.Http.source.user.name" no registro bruto.
event.Event.Http.url read_only_udm.target.url O valor é extraído do campo "event.Event.Http.url" no registro bruto.
event.Event.ProcessCreation.process.user.name read_only_udm.principal.user.userid O valor é extraído do campo "event.Event.ProcessCreation.process.user.name" no registro bruto.
event.Event.ProcessCreation.source.user.name read_only_udm.principal.user.userid O valor é extraído do campo "event.Event.ProcessCreation.source.user.name" no registro bruto.
event.Event.ProcessExit.source.user.name read_only_udm.principal.user.userid O valor é extraído do campo "event.Event.ProcessExit.source.user.name" no registro bruto.
event.Event.ProcessTermination.source.user.name read_only_udm.principal.user.userid O valor é extraído do campo "event.Event.ProcessTermination.source.user.name" no registro bruto.
event.Event.RegKeyCreate.source.fullPid.pid read_only_udm.principal.process.pid O valor é extraído do campo "event.Event.RegKeyCreate.source.fullPid.pid" no registro bruto.
event.Event.RegKeyCreate.source.user.name read_only_udm.principal.user.userid O valor é extraído do campo "event.Event.RegKeyCreate.source.user.name" no registro bruto.
event.Event.RegKeyDelete.source.user.name read_only_udm.principal.user.userid O valor é extraído do campo "event.Event.RegKeyDelete.source.user.name" no registro bruto.
event.Event.RegValueModified.source.user.name read_only_udm.principal.user.userid O valor é extraído do campo "event.Event.RegValueModified.source.user.name" no registro bruto.
event.Event.SchedTaskDelete.source.user.name read_only_udm.principal.user.userid O valor é extraído do campo "event.Event.SchedTaskDelete.source.user.name" no registro bruto.
event.Event.SchedTaskRegister.source.user.name read_only_udm.principal.user.userid O valor é extraído do campo "event.Event.SchedTaskRegister.source.user.name" no registro bruto.
event.Event.SchedTaskStart.source.user.name read_only_udm.principal.user.userid O valor é extraído do campo "event.Event.SchedTaskStart.source.user.name" no registro bruto.
event.Event.SchedTaskTrigger.source.fullPid.pid read_only_udm.principal.process.pid O valor é extraído do campo "event.Event.SchedTaskTrigger.source.fullPid.pid" no registro bruto.
event.Event.SchedTaskTrigger.source.user.name read_only_udm.principal.user.userid O valor é extraído do campo "event.Event.SchedTaskTrigger.source.user.name" no registro bruto.
event.Event.Tcpv4.source.fullPid.pid read_only_udm.principal.process.pid O valor é extraído do campo "event.Event.Tcpv4.source.fullPid.pid" no registro bruto.
event.Event.Tcpv4.source.user.name read_only_udm.principal.user.userid O valor é extraído do campo "event.Event.Tcpv4.source.user.name" no registro bruto.
event.Event.Tcpv4Listen.local.address read_only_udm.principal.ip O valor é extraído do campo "event.Event.Tcpv4Listen.local.address" no registro bruto.
event.timestamp.millisecondsSinceEpoch read_only_udm.metadata.event_timestamp.seconds O valor é extraído do campo "event.timestamp.millisecondsSinceEpoch" no registro bruto e convertido em segundos.
event.timestamp.millisecondsSinceEpoch read_only_udm.metadata.event_timestamp.nanos O valor é extraído do campo "event.timestamp.millisecondsSinceEpoch" no registro bruto e convertido em nanossegundos.
event.timestamp.millisecondsSinceEpoch security_result.about.resource.attribute.labels.value O valor é extraído do campo "event.timestamp.millisecondsSinceEpoch" no registro bruto e usado como o valor de um rótulo na matriz security_result.about.resource.attribute.labels.
event_type read_only_udm.metadata.product_event_type O valor é extraído do campo "message" no registro bruto usando um padrão grok.
executable.hashes.md5 read_only_udm.principal.process.file.md5 O valor é extraído do campo "event.Event...executable.hashes.md5" no registro bruto, em que é o tipo de evento específico (por exemplo, ProcessCreation, ProcessExit) e é o campo que contém informações do processo (por exemplo, processo, origem, pai).
executable.hashes.sha1 read_only_udm.principal.process.file.sha1 O valor é extraído do campo "event.Event...executable.hashes.sha1" no log bruto, em que é o tipo de evento específico (por exemplo, ProcessCreation, ProcessExit) e é o campo que contém informações do processo (por exemplo, processo, origem, pai).
executable.hashes.sha256 read_only_udm.principal.process.file.sha256 O valor é extraído do campo "event.Event...executable.hashes.sha256" no log bruto, em que é o tipo de evento específico (por exemplo, ProcessCreation, ProcessExit) e é o campo que contém informações do processo (por exemplo, processo, origem, pai).
executable.path read_only_udm.principal.process.file.full_path O valor é extraído do campo "event.Event...executable.path" no registro bruto, em que é o tipo de evento específico (por exemplo, ProcessCreation, ProcessExit) e é o campo que contém informações do processo (por exemplo, processo, origem, pai).
executable.sizeBytes read_only_udm.principal.process.file.size O valor é extraído do campo "event.Event...executable.sizeBytes" no registro bruto, em que é o tipo de evento específico (por exemplo, ProcessCreation, ProcessExit) e é o campo que contém informações do processo (por exemplo, processo, origem, pai).
fullPid.pid read_only_udm.principal.process.pid O valor é extraído do campo "event.Event...fullPid.pid" no registro bruto, em que é o tipo de evento específico (por exemplo, ProcessCreation, ProcessExit) e é o campo que contém informações do processo (por exemplo, processo, origem, pai).
hashes.md5 read_only_udm.target.file.md5 O valor é extraído do campo "event.Event.ProcessCreation.hashes.md5" no registro bruto.
hashes.sha1 read_only_udm.target.file.sha1 O valor é extraído do campo "event.Event.ProcessCreation.hashes.sha1" no registro bruto.
hashes.sha256 read_only_udm.target.file.sha256 O valor é extraído do campo "event.Event.ProcessCreation.hashes.sha256" no registro bruto.
IpAddress read_only_udm.target.ip O valor é extraído do campo "IpAddress" no registro bruto.
local.address read_only_udm.principal.ip O valor é extraído do campo "event.Event.Tcpv4Listen.local.address" no registro bruto.
local.port read_only_udm.principal.port O valor é extraído do campo "event.Event.Tcpv4Listen.local.port" no registro bruto.
log_type read_only_udm.metadata.log_type O valor é extraído do campo "log_type" no registro bruto.
meta.agent_version read_only_udm.metadata.product_version O valor é extraído do campo "meta.agent_version" no registro bruto.
meta.computer_name read_only_udm.principal.hostname O valor é extraído do campo "meta.computer_name" no registro bruto.
meta.os_family read_only_udm.principal.platform O valor é extraído do campo "meta.os_family" no registro bruto e mapeado para a plataforma correspondente (por exemplo, windows para WINDOWS, osx para MAC e linux para LINUX.
meta.os_name read_only_udm.principal.platform_version O valor é extraído do campo "meta.os_name" no registro bruto.
meta.os_revision read_only_udm.principal.platform_patch_level O valor é extraído do campo "meta.os_revision" no registro bruto.
meta.uuid read_only_udm.principal.asset_id O valor é extraído do campo "meta.uuid" no registro bruto e adicionado com o prefixo SENTINELONE:.
nome read_only_udm.principal.application O valor é extraído do campo "event.Event...name" no registro bruto, em que é o tipo de evento específico (por exemplo, ProcessCreation, ProcessExit) e é o campo que contém informações do processo (por exemplo, processo, origem, pai).
parent.executable.hashes.md5 read_only_udm.target.process.parent_process.file.md5 O valor é extraído do campo "event.Event..parent.executable.hashes.md5" no log bruto, em que é o tipo de evento específico (por exemplo, ProcessCreation, ProcessExit).
parent.executable.hashes.sha1 read_only_udm.target.process.parent_process.file.sha1 O valor é extraído do campo "event.Event..parent.executable.hashes.sha1" no registro bruto, em que é o tipo de evento específico (por exemplo, ProcessCreation, ProcessExit).
parent.executable.hashes.sha256 read_only_udm.target.process.parent_process.file.sha256 O valor é extraído do campo "event.Event..parent.executable.hashes.sha256" no registro bruto, em que é o tipo de evento específico (por exemplo, ProcessCreation, ProcessExit).
parent.executable.path read_only_udm.target.process.parent_process.file.full_path O valor é extraído do campo "event.Event..parent.executable.path" no registro bruto, em que é o tipo de evento específico (por exemplo, ProcessCreation, ProcessExit).
parent.fullPid.pid read_only_udm.target.process.parent_process.pid O valor é extraído do campo "event.Event..parent.fullPid.pid" no registro bruto, em que é o tipo de evento específico (por exemplo, ProcessCreation, ProcessExit).
path read_only_udm.principal.process.file.full_path O valor é extraído do campo "event.Event...path" no registro bruto, em que é o tipo de evento específico (por exemplo, ProcessCreation, ProcessExit) e é o campo que contém informações do processo (por exemplo, processo, origem, pai).
process.commandLine read_only_udm.target.process.command_line O valor é extraído do campo "event.Event.ProcessCreation.process.commandLine" no registro bruto.
process.fullPid.pid read_only_udm.target.process.pid O valor é extraído do campo "event.Event.ProcessCreation.process.fullPid.pid" no registro bruto.
process.parent.fullPid.pid read_only_udm.target.process.parent_process.pid O valor é extraído do campo "event.Event.ProcessCreation.process.parent.fullPid.pid" no registro bruto.
ProviderGuid security_result.about.resource.attribute.labels.value O valor é extraído do campo "ProviderGuid" no registro bruto, com as chaves removidas.
consulta read_only_udm.network.dns.questions.name O valor é extraído do campo "event.Event.Dns.query" no registro bruto.
RecordNumber security_result.about.resource.attribute.labels.value O valor é extraído do campo "RecordNumber" no registro bruto.
regKey.path read_only_udm.target.registry.registry_key O valor é extraído do campo "event.Event.RegKeyCreate.regKey.path" ou "event.Event.RegKeyDelete.regKey.path" no registro bruto.
regValue.path read_only_udm.target.registry.registry_key O valor é extraído do campo "event.Event.RegValueDelete.regValue.path" ou "event.Event.RegValueModified.regValue.path" no registro bruto.
resultados read_only_udm.network.dns.answers.data O valor é extraído do campo "event.Event.Dns.results" no registro bruto.
UpdateServer enviado intermediary.hostname O valor é extraído do campo "Sent UpdateServer" no registro bruto.
seq_id Esse campo não é mapeado diretamente para o UDM.
signature.Status.Signed.identity Esse campo não é mapeado diretamente para o UDM.
sizeBytes read_only_udm.principal.process.file.size O valor é extraído do campo "event.Event...sizeBytes" no registro bruto, em que é o tipo de evento específico (por exemplo, ProcessCreation, ProcessExit) e é o campo que contém informações do processo (por exemplo, processo, origem, pai).
sourceAddress.address read_only_udm.principal.ip O valor é extraído do campo "event.Event.Tcpv4.sourceAddress.address" no registro bruto.
sourceAddress.port read_only_udm.principal.port O valor é extraído do campo "event.Event.Tcpv4.sourceAddress.port" no registro bruto.
SourceName security_result.about.resource.attribute.labels.value O valor é extraído do campo "SourceName" no registro bruto.
status Esse campo não é mapeado diretamente para o UDM.
taskName read_only_udm.target.resource.name O valor é extraído do campo "event.Event.SchedTaskStart.taskName", "event.Event.SchedTaskTrigger.taskName" ou "event.Event.SchedTaskDelete.taskName" no registro bruto.
targetFile.hashes.md5 read_only_udm.target.file.md5 O valor é extraído do campo "event.Event.FileDeletion.targetFile.hashes.md5" ou "event.Event.SchedTaskStart.targetFile.hashes.md5" no registro bruto.
targetFile.hashes.sha1 read_only_udm.target.file.sha1 O valor é extraído do campo "event.Event.FileDeletion.targetFile.hashes.sha1" ou "event.Event.SchedTaskStart.targetFile.hashes.sha1" no registro bruto.
targetFile.hashes.sha256 read_only_udm.target.file.sha256 O valor é extraído do campo "event.Event.FileDeletion.targetFile.hashes.sha256" ou "event.Event.SchedTaskStart.targetFile.hashes.sha256" no registro bruto.
targetFile.path read_only_udm.target.file.full_path O valor é extraído do campo "event.Event.FileDeletion.targetFile.path" ou "event.Event.SchedTaskStart.targetFile.path" no registro bruto.
Tarefa security_result.about.resource.attribute.labels.value O valor é extraído do campo "Tarefa" no registro bruto.
timestamp.millisecondsSinceEpoch read_only_udm.metadata.event_timestamp.seconds O valor é extraído do campo "event.timestamp.millisecondsSinceEpoch" no registro bruto e convertido em segundos.
timestamp.millisecondsSinceEpoch read_only_udm.metadata.event_timestamp.nanos O valor é extraído do campo "event.timestamp.millisecondsSinceEpoch" no registro bruto e convertido em nanossegundos.
trace_id Esse campo não é mapeado diretamente para o UDM.
triggerType Esse campo não é mapeado diretamente para o UDM.
trueContext Esse campo não é mapeado diretamente para o UDM.
trueContext.key Esse campo não é mapeado diretamente para o UDM.
trueContext.key.value Esse campo não é mapeado diretamente para o UDM.
tipo read_only_udm.network.dns.answers.type O valor é extraído do campo "event.Event.Dns.results" no registro bruto usando uma expressão regular.
url read_only_udm.target.url O valor é extraído do campo "event.Event.Http.url" no registro bruto.
user.name read_only_udm.principal.user.userid O valor é extraído do campo "event.Event...user.name" no log bruto, em que é o tipo de evento específico (por exemplo, ProcessCreation, ProcessExit) e é o campo que contém informações do processo (por exemplo, processo, origem, pai).
user.sid read_only_udm.principal.user.windows_sid O valor é extraído do campo "event.Event...user.sid" no log bruto, em que é o tipo de evento específico (por exemplo, ProcessCreation, ProcessExit) e é o campo que contém informações do processo (por exemplo, processo, origem, pai).
UserID read_only_udm.target.user.windows_sid O valor é extraído do campo "UserID" no registro bruto somente se corresponder ao padrão SID do Windows.
UserSid read_only_udm.target.user.windows_sid O valor é extraído do campo "UserSid" no registro bruto, somente se corresponder ao padrão SID do Windows.
valueType Esse campo não é mapeado diretamente para o UDM.
winEventLog.channel security_result.about.resource.attribute.labels.value O valor é extraído do campo "winEventLog.channel" no registro bruto.
winEventLog.description Esse campo não é mapeado diretamente para o UDM.
winEventLog.id security_result.about.resource.attribute.labels.value O valor é extraído do campo "winEventLog.id" no registro bruto.
winEventLog.level security_result.severity O valor é extraído do campo "winEventLog.level" no registro bruto e mapeado para o nível de gravidade correspondente (por exemplo, Warning para MÉDIO).
winEventLog.providerName security_result.about.resource.attribute.labels.value O valor é extraído do campo "winEventLog.providerName" no registro bruto.
winEventLog.xml Esse campo não é mapeado diretamente para o UDM.
read_only_udm.metadata.event_type O valor é determinado com base no campo "event_type" e mapeado para o tipo de evento da UDM correspondente.
read_only_udm.metadata.vendor_name O valor é definido como SentinelOne.
read_only_udm.metadata.product_name O valor é definido como Deep Visibility.
read_only_udm.metadata.product_log_id O valor é extraído do campo "trace.id" no registro bruto, apenas para eventos com "meta.event.name" igual a PROCESSCREATION.
read_only_udm.metadata.product_deployment_id O valor é extraído do campo "account.id" no registro bruto, apenas para eventos com "meta.event.name" igual a PROCESSCREATION.
read_only_udm.metadata.url_back_to_product O valor é extraído do campo "mgmt.url" no registro bruto, apenas para eventos com "meta.event.name" igual a PROCESSCREATION.
read_only_udm.metadata.ingestion_labels.key O valor é definido como Process eUserUid ou Process lUserUid para eventos com "meta.event.name" igual a PROCESSCREATION.
read_only_udm.metadata.ingestion_labels.value O valor é extraído do campo "src.process.eUserUid" ou "src.process.lUserUid" no registro bruto, apenas para eventos com "meta.event.name" igual a PROCESSCREATION.
read_only_udm.principal.administrative_domain A parte do domínio do campo "event.Event...user.name" no registro bruto, em que é o tipo de evento específico (por exemplo, ProcessCreation, ProcessExit) e é o campo que contém informações do processo (por exemplo, processo, origem, pai).
read_only_udm.target.process.parent_process.command_line O valor é extraído do campo "event.Event..parent.commandLine" no registro bruto, em que é o tipo de evento específico (por exemplo, ProcessCreation, ProcessExit).
read_only_udm.target.file Um objeto vazio será criado se o "event_type" não for FileCreation, FileDeletion, FileModification, SchedTaskStart ou ProcessCreation.
read_only_udm.network.ip_protocol O valor é definido como TCP para eventos com "event_type" igual a Tcpv4, Tcpv4Listen ou Http.
read_only_udm.network.application_protocol O valor é definido como DNS para eventos com "event_type" igual a Dns.
read_only_udm.target.resource.type O valor é definido como TASK para eventos com "event_type" igual a SchedTaskStart, SchedTaskTrigger ou SchedTaskDelete.
read_only_udm.target.resource.resource_type O valor é definido como TASK para eventos com "event_type" igual a SchedTaskStart, SchedTaskTrigger ou SchedTaskDelete.
read_only_udm.principal.process.product_specific_process_id O valor é definido como ExecutionThreadID:<ExecutionThreadID> se o campo "ExecutionThreadID" estiver presente no registro bruto.
read_only_udm.principal.asset.asset_id O valor é definido como Device ID:<agent.uuid> se o campo "agent.uuid" estiver presente no registro bruto.
read_only_udm.principal.namespace O valor é extraído do campo "site.id" no registro bruto, apenas para eventos com "meta.event.name" igual a PROCESSCREATION.
read_only_udm.principal.location.name O valor é extraído do campo "site.name" no registro bruto, apenas para eventos com "meta.event.name" igual a PROCESSCREATION.
read_only_udm.principal.resource.attribute.labels.key O valor é definido como src.process.displayName, src.process.uid, isRedirectCmdProcessor, isNative64Bit, isStorylineRoot, signedStatus, src process subsystem, src process integrityLevel ou childProcCount para eventos com "meta.event.name" igual a PROCESSCREATION.
read_only_udm.principal.resource.attribute.labels.value O valor é extraído do campo correspondente no registro bruto, apenas para eventos com "meta.event.name" igual a PROCESSCREATION.
read_only_udm.target.user.userid O valor é extraído do campo "tgt.process.uid" no registro bruto, apenas para eventos com "meta.event.name" igual a PROCESSCREATION.
read_only_udm.target.user.user_display_name O valor é extraído do campo "tgt.process.displayName" no registro bruto, apenas para eventos com "meta.event.name" igual a PROCESSCREATION.
read_only_udm.target.resource.attribute.labels.key O valor é definido como isRedirectCmdProcessor, isNative64Bit, isStorylineRoot, signedStatus, file_isSigned, tgt process subsystem ou tgt process integrityLevel para eventos com "meta.event.name" igual a PROCESSCREATION.
read_only_udm.target.resource.attribute.labels.value O valor é extraído do campo correspondente no registro bruto, apenas para eventos com "meta.event.name" igual a PROCESSCREATION.
read_only_udm.security_result.about.resource.attribute.labels.key O valor é definido como tgt.process.storyline.id, endpoint_type, packet_id, src.process.storyline.id ou src.process.parent.storyline.id para eventos com "meta.event.name" igual a PROCESSCREATION.
read_only_udm.security_result.about.resource.attribute.labels.value O valor é extraído do campo correspondente no registro bruto e precedido por ID: para IDs de linha do tempo, apenas para eventos com "meta.event.name" igual a PROCESSCREATION.
read_only_udm.security_result.category_details O valor é definido como security para eventos com "meta.event.name" igual a PROCESSCREATION.
read_only_udm.target.asset.product_object_id O valor é extraído do campo "AdapterName" no registro bruto, apenas para eventos com "meta.event.name" igual a EVENTLOG.
security_result.about.resource.attribute.labels.key O valor é definido como TimeCreated SystemTime, EventID, Task, Channel, ProviderGuid, RecordNumber, SourceName, endpoint_type ou packet_id para eventos com "meta.event.name" igual a EVENTLOG.
security_result.detection_fields.key O valor é definido como Activity ID para eventos com "meta.event.name" igual a EVENTLOG e um campo "ActivityID" não vazio.
security_result.detection_fields.value O valor é extraído do campo "ActivityID" no registro bruto, apenas para eventos com "meta.event.name" igual a EVENTLOG e um campo "ActivityID" não vazio.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.