Coletar registros de visibilidade detalhada do SentinelOne

Compatível com:

Este documento explica como exportar registros do SentinelOne Deep Visibility para o Google Security Operations usando o Cloud Funnel para exportar registros para o Google Cloud Storage. O analisador transforma registros ocorrência de segurança brutos formatados em JSON em um formato estruturado de acordo com o UDM. Primeiro, ele inicializa um conjunto de variáveis, extrai o tipo de evento e analisa o payload JSON, mapeando os campos relevantes para o esquema da UDM e processando os registros de eventos do Windows separadamente.

Antes de começar

Verifique se você atende aos seguintes pré-requisitos:

  • Instância do Google SecOps
  • Acesso privilegiado a Google Cloud
  • SentinelOne Deep Visibility configurado no seu ambiente
  • Acesso privilegiado ao SentinelOne

Crie um bucket do Google Cloud Storage

  1. Faça login no console doGoogle Cloud .

  2. Acesse a página Buckets do Cloud Storage.

    Acessar buckets

  3. Clique em Criar.

  4. Na página Criar um bucket, insira as informações do seu bucket. Após cada uma das etapas a seguir, clique em Continuar para prosseguir para a próxima etapa:

    1. Na seção Começar, faça o seguinte:

      1. Insira um nome exclusivo que atenda aos requisitos de nome de bucket. Por exemplo, sentinelone-deepvisibility.

      2. Para ativar o namespace hierárquico, clique na seta de expansão para abrir a seção Otimizar para cargas de trabalho orientadas a arquivos e com uso intensivo de dados e selecione Ativar namespace hierárquico neste bucket.

      3. Para adicionar um rótulo de bucket, clique na seta de expansão para abrir a seção Rótulos.

      4. Clique em Adicionar rótulo e especifique uma chave e um valor para o rótulo.

    2. Na seção Escolha onde armazenar seus dados, faça o seguinte:

      1. Selecione um tipo de local.

      2. Use o menu do tipo de local para selecionar um Local em que os dados de objetos no bucket serão armazenados permanentemente.

      3. Para configurar a replicação entre buckets, abra a seção Configurar a replicação entre buckets.

    3. Na seção Escolha uma classe de armazenamento para seus dados, selecione uma classe de armazenamento padrão para o bucket ou selecione Classe automática para gerenciamento automático da classe de armazenamento dos dados do bucket.

    4. Na seção Escolha como controlar o acesso a objetos, selecione não para aplicar a prevenção de acesso público e selecione um modelo de controle de acesso para os objetos do bucket.

    5. Na seção Escolha como proteger os dados do objeto, faça o seguinte:

      1. Selecione qualquer uma das opções em Proteção de dados que você quer definir para o bucket.
      2. Para escolher como os dados do objeto serão criptografados, clique na seta de expansão identificada como Criptografia de dados e selecione um Método de criptografia de dados.

  5. Clique em Criar.

Criar uma conta de serviço do Google Cloud

  1. Acesse IAM e administrador > Contas de serviço.
  2. Crie uma nova conta de serviço.
  3. Dê um nome descritivo, por exemplo, sentinelone-dv-logs.
  4. Conceda à conta de serviço o papel de Criador de objetos do Storage no bucket do Cloud Storage criado na etapa anterior.
  5. Crie uma chave SSH para a conta de serviço.
  6. Faça o download de um arquivo de chave JSON para a conta de serviço. Mantenha esse arquivo em segurança.

Como configurar o funil de nuvem no SentinelOne DeepVisibility

  1. Faça login no SentinelOne DeepVisibility.
  2. Clique em Configurar > Política e configurações.
  3. Na seção Data Lake do Singularity, clique em Funil do Cloud.
  4. Informe os seguintes detalhes de configuração:
    • Provedor de nuvem: selecione Google Cloud.
    • Nome do bucket: insira o nome do bucket do Cloud Storage que você criou para a ingestão de registros do SentinelOne DeepVisibility.
    • Transmissão de telemetria: selecione Ativar.
    • Filtros de consulta: crie uma consulta que inclua os agentes que precisam enviar dados para um bucket do Cloud Storage.
    • Clique em Validate (Validar).
    • Campos a serem incluídos: selecione todos os campos.
  5. Clique em Salvar.

Configurar feeds

Há dois pontos de entrada diferentes para configurar feeds na plataforma do Google SecOps:

  • Configurações do SIEM > Feeds > Adicionar novo
  • Central de conteúdo > Pacotes de conteúdo > Começar

Como configurar o feed de visibilidade detalhada do SentinelOne

  1. Clique no pacote SentinelOne.
  2. No tipo de registro SentinelOne Deep Visibility, especifique os valores dos seguintes campos:
    • Tipo de origem: Google Cloud Storage V2.
    • URI do bucket de armazenamento: o URI de origem do bucket do Google Cloud Storage.
    • Opção de exclusão de origem: se você quer excluir arquivos ou diretórios após a transferência. Selecione a opção Excluir arquivos transferidos em Opção de exclusão da origem.
    • Idade máxima do arquivo: inclui arquivos modificados nos últimos dias. O padrão é de 180 dias.
    • Conta de serviço do Chronicle: copie a conta de serviço. Você vai precisar dele para adicionar permissões no bucket para que essa conta de serviço permita que o Google SecOps leia ou exclua dados no bucket.

Opções avançadas

  • Nome do feed: um valor pré-preenchido que identifica o feed.
  • Namespace do recurso: namespace associado ao feed.
  • Rótulos de ingestão: rótulos aplicados a todos os eventos deste feed.
  • Clique em Criar feed.

Para mais informações sobre como configurar vários feeds para diferentes tipos de registros nessa família de produtos, consulte Configurar feeds por produto.

Tabela de mapeamento do UDM

Campo de registro Mapeamento da UDM Lógica
AdapterName security_result.about.resource.attribute.labels.value O valor é extraído do campo "AdapterName" no registro bruto.
AdapterSuffixName security_result.about.resource.attribute.labels.value O valor é extraído do campo "AdapterSuffixName" no registro bruto.
agent_version read_only_udm.metadata.product_version O valor é extraído do campo "meta.agent_version" no registro bruto.
Canal security_result.about.resource.attribute.labels.value O valor é extraído do campo "Canal" no registro bruto.
commandLine read_only_udm.principal.process.command_line O valor é extraído do campo "event.Event...commandLine" no registro bruto, em que é o tipo de evento específico (por exemplo, ProcessCreation, ProcessExit) e é o campo que contém informações do processo (por exemplo, processo, origem, pai).
computer_name read_only_udm.principal.hostname O valor é retirado do campo "meta.computer_name" no registro bruto.
destinationAddress.address read_only_udm.target.ip O valor é extraído do campo "event.Event.Tcpv4.destinationAddress.address" no registro bruto.
destinationAddress.port read_only_udm.target.port O valor é extraído do campo "event.Event.Tcpv4.destinationAddress.port" no registro bruto.
DnsServerList read_only_udm.principal.ip O valor é extraído do campo "DnsServerList" no registro bruto.
ErrorCode_new security_result.detection_fields.value O valor é extraído do campo "ErrorCode_new" no registro bruto.
EventID security_result.about.resource.attribute.labels.value O valor é extraído do campo "EventID" no registro bruto.
event.Event.Dns.query read_only_udm.network.dns.questions.name O valor é extraído do campo "event.Event.Dns.query" no registro bruto.
event.Event.Dns.results read_only_udm.network.dns.answers.data O valor é extraído do campo "event.Event.Dns.results" no registro bruto.
event.Event.Dns.source.fullPid.pid read_only_udm.principal.process.pid O valor é extraído do campo "event.Event.Dns.source.fullPid.pid" no registro bruto.
event.Event.Dns.source.user.name read_only_udm.principal.user.userid O valor é extraído do campo "event.Event.Dns.source.user.name" no registro bruto.
event.Event.FileCreation.source.fullPid.pid read_only_udm.principal.process.pid O valor é extraído do campo "event.Event.FileCreation.source.fullPid.pid" no registro bruto.
event.Event.FileCreation.source.user.name read_only_udm.principal.user.userid O valor é extraído do campo "event.Event.FileCreation.source.user.name" no registro bruto.
event.Event.FileCreation.targetFile.path read_only_udm.target.file.full_path O valor é extraído do campo "event.Event.FileCreation.targetFile.path" no registro bruto.
event.Event.FileDeletion.source.fullPid.pid read_only_udm.principal.process.pid O valor é extraído do campo "event.Event.FileDeletion.source.fullPid.pid" no registro bruto.
event.Event.FileDeletion.source.user.name read_only_udm.principal.user.userid O valor é extraído do campo "event.Event.FileDeletion.source.user.name" no registro bruto.
event.Event.FileDeletion.targetFile.path read_only_udm.target.file.full_path O valor é extraído do campo "event.Event.FileDeletion.targetFile.path" no registro bruto.
event.Event.FileModification.file.path read_only_udm.target.file.full_path O valor é extraído do campo "event.Event.FileModification.file.path" no registro bruto.
event.Event.FileModification.source.user.name read_only_udm.principal.user.userid O valor é extraído do campo "event.Event.FileModification.source.user.name" no registro bruto.
event.Event.FileModification.targetFile.path read_only_udm.target.file.full_path O valor é extraído do campo "event.Event.FileModification.targetFile.path" no registro bruto.
event.Event.Http.source.user.name read_only_udm.principal.user.userid O valor é extraído do campo "event.Event.Http.source.user.name" no registro bruto.
event.Event.Http.url read_only_udm.target.url O valor é extraído do campo "event.Event.Http.url" no registro bruto.
event.Event.ProcessCreation.process.user.name read_only_udm.principal.user.userid O valor é extraído do campo "event.Event.ProcessCreation.process.user.name" no registro bruto.
event.Event.ProcessCreation.source.user.name read_only_udm.principal.user.userid O valor é extraído do campo "event.Event.ProcessCreation.source.user.name" no registro bruto.
event.Event.ProcessExit.source.user.name read_only_udm.principal.user.userid O valor é extraído do campo "event.Event.ProcessExit.source.user.name" no registro bruto.
event.Event.ProcessTermination.source.user.name read_only_udm.principal.user.userid O valor é extraído do campo "event.Event.ProcessTermination.source.user.name" no registro bruto.
event.Event.RegKeyCreate.source.fullPid.pid read_only_udm.principal.process.pid O valor é extraído do campo "event.Event.RegKeyCreate.source.fullPid.pid" no registro bruto.
event.Event.RegKeyCreate.source.user.name read_only_udm.principal.user.userid O valor é extraído do campo "event.Event.RegKeyCreate.source.user.name" no registro bruto.
event.Event.RegKeyDelete.source.user.name read_only_udm.principal.user.userid O valor é extraído do campo "event.Event.RegKeyDelete.source.user.name" no registro bruto.
event.Event.RegValueModified.source.user.name read_only_udm.principal.user.userid O valor é extraído do campo "event.Event.RegValueModified.source.user.name" no registro bruto.
event.Event.SchedTaskDelete.source.user.name read_only_udm.principal.user.userid O valor é extraído do campo "event.Event.SchedTaskDelete.source.user.name" no registro bruto.
event.Event.SchedTaskRegister.source.user.name read_only_udm.principal.user.userid O valor é extraído do campo "event.Event.SchedTaskRegister.source.user.name" no registro bruto.
event.Event.SchedTaskStart.source.user.name read_only_udm.principal.user.userid O valor é extraído do campo "event.Event.SchedTaskStart.source.user.name" no registro bruto.
event.Event.SchedTaskTrigger.source.fullPid.pid read_only_udm.principal.process.pid O valor é extraído do campo "event.Event.SchedTaskTrigger.source.fullPid.pid" no registro bruto.
event.Event.SchedTaskTrigger.source.user.name read_only_udm.principal.user.userid O valor é extraído do campo "event.Event.SchedTaskTrigger.source.user.name" no registro bruto.
event.Event.Tcpv4.source.fullPid.pid read_only_udm.principal.process.pid O valor é extraído do campo "event.Event.Tcpv4.source.fullPid.pid" no registro bruto.
event.Event.Tcpv4.source.user.name read_only_udm.principal.user.userid O valor é extraído do campo "event.Event.Tcpv4.source.user.name" no registro bruto.
event.Event.Tcpv4Listen.local.address read_only_udm.principal.ip O valor é extraído do campo "event.Event.Tcpv4Listen.local.address" no registro bruto.
event.timestamp.millisecondsSinceEpoch read_only_udm.metadata.event_timestamp.seconds O valor é extraído do campo "event.timestamp.millisecondsSinceEpoch" no registro bruto e convertido em segundos.
event.timestamp.millisecondsSinceEpoch read_only_udm.metadata.event_timestamp.nanos O valor é extraído do campo "event.timestamp.millisecondsSinceEpoch" no registro bruto e convertido em nanossegundos.
event.timestamp.millisecondsSinceEpoch security_result.about.resource.attribute.labels.value O valor é extraído do campo "event.timestamp.millisecondsSinceEpoch" no registro bruto e usado como o valor de um rótulo na matriz security_result.about.resource.attribute.labels.
event_type read_only_udm.metadata.product_event_type O valor é extraído do campo "message" no registro bruto usando um padrão grok.
executable.hashes.md5 read_only_udm.principal.process.file.md5 O valor é extraído do campo "event.Event...executable.hashes.md5" no registro bruto, em que é o tipo de evento específico (por exemplo, ProcessCreation, ProcessExit) e é o campo que contém informações do processo (por exemplo, processo, origem, pai).
executable.hashes.sha1 read_only_udm.principal.process.file.sha1 O valor é extraído do campo "event.Event...executable.hashes.sha1" no log bruto, em que é o tipo de evento específico (por exemplo, ProcessCreation, ProcessExit) e é o campo que contém informações do processo (por exemplo, processo, origem, pai).
executable.hashes.sha256 read_only_udm.principal.process.file.sha256 O valor é extraído do campo "event.Event...executable.hashes.sha256" no log bruto, em que é o tipo de evento específico (por exemplo, ProcessCreation, ProcessExit) e é o campo que contém informações do processo (por exemplo, processo, origem, pai).
executable.path read_only_udm.principal.process.file.full_path O valor é extraído do campo "event.Event...executable.path" no registro bruto, em que é o tipo de evento específico (por exemplo, ProcessCreation, ProcessExit) e é o campo que contém informações do processo (por exemplo, processo, origem, pai).
executable.sizeBytes read_only_udm.principal.process.file.size O valor é extraído do campo "event.Event...executable.sizeBytes" no registro bruto, em que é o tipo de evento específico (por exemplo, ProcessCreation, ProcessExit) e é o campo que contém informações do processo (por exemplo, processo, origem, pai).
fullPid.pid read_only_udm.principal.process.pid O valor é extraído do campo "event.Event...fullPid.pid" no registro bruto, em que é o tipo de evento específico (por exemplo, ProcessCreation, ProcessExit) e é o campo que contém informações do processo (por exemplo, processo, origem, pai).
hashes.md5 read_only_udm.target.file.md5 O valor é extraído do campo "event.Event.ProcessCreation.hashes.md5" no registro bruto.
hashes.sha1 read_only_udm.target.file.sha1 O valor é extraído do campo "event.Event.ProcessCreation.hashes.sha1" no registro bruto.
hashes.sha256 read_only_udm.target.file.sha256 O valor é extraído do campo "event.Event.ProcessCreation.hashes.sha256" no registro bruto.
IpAddress read_only_udm.target.ip O valor é extraído do campo "IpAddress" no registro bruto.
local.address read_only_udm.principal.ip O valor é extraído do campo "event.Event.Tcpv4Listen.local.address" no registro bruto.
local.port read_only_udm.principal.port O valor é extraído do campo "event.Event.Tcpv4Listen.local.port" no registro bruto.
log_type read_only_udm.metadata.log_type O valor é extraído do campo "log_type" no registro bruto.
meta.agent_version read_only_udm.metadata.product_version O valor é extraído do campo "meta.agent_version" no registro bruto.
meta.computer_name read_only_udm.principal.hostname O valor é retirado do campo "meta.computer_name" no registro bruto.
meta.os_family read_only_udm.principal.platform O valor é extraído do campo "meta.os_family" no registro bruto e mapeado para a plataforma correspondente (por exemplo, windows para WINDOWS, osx para MAC e linux para LINUX.
meta.os_name read_only_udm.principal.platform_version O valor é retirado do campo "meta.os_name" no registro bruto.
meta.os_revision read_only_udm.principal.platform_patch_level O valor é extraído do campo "meta.os_revision" no registro bruto.
meta.uuid read_only_udm.principal.asset_id O valor é extraído do campo "meta.uuid" no registro bruto e adicionado com o prefixo SENTINELONE:.
nome read_only_udm.principal.application O valor é extraído do campo "event.Event...name" no registro bruto, em que é o tipo de evento específico (por exemplo, ProcessCreation, ProcessExit) e é o campo que contém informações do processo (por exemplo, processo, origem, pai).
parent.executable.hashes.md5 read_only_udm.target.process.parent_process.file.md5 O valor é extraído do campo "event.Event..parent.executable.hashes.md5" no log bruto, em que é o tipo de evento específico (por exemplo, ProcessCreation, ProcessExit).
parent.executable.hashes.sha1 read_only_udm.target.process.parent_process.file.sha1 O valor é extraído do campo "event.Event..parent.executable.hashes.sha1" no registro bruto, em que é o tipo de evento específico (por exemplo, ProcessCreation, ProcessExit).
parent.executable.hashes.sha256 read_only_udm.target.process.parent_process.file.sha256 O valor é extraído do campo "event.Event..parent.executable.hashes.sha256" no registro bruto, em que é o tipo de evento específico (por exemplo, ProcessCreation, ProcessExit).
parent.executable.path read_only_udm.target.process.parent_process.file.full_path O valor é extraído do campo "event.Event..parent.executable.path" no registro bruto, em que é o tipo de evento específico (por exemplo, ProcessCreation, ProcessExit).
parent.fullPid.pid read_only_udm.target.process.parent_process.pid O valor é extraído do campo "event.Event..parent.fullPid.pid" no registro bruto, em que é o tipo de evento específico (por exemplo, ProcessCreation, ProcessExit).
path read_only_udm.principal.process.file.full_path O valor é extraído do campo "event.Event...path" no registro bruto, em que é o tipo de evento específico (por exemplo, ProcessCreation, ProcessExit) e é o campo que contém informações do processo (por exemplo, processo, origem, pai).
process.commandLine read_only_udm.target.process.command_line O valor é extraído do campo "event.Event.ProcessCreation.process.commandLine" no registro bruto.
process.fullPid.pid read_only_udm.target.process.pid O valor é extraído do campo "event.Event.ProcessCreation.process.fullPid.pid" no registro bruto.
process.parent.fullPid.pid read_only_udm.target.process.parent_process.pid O valor é extraído do campo "event.Event.ProcessCreation.process.parent.fullPid.pid" no registro bruto.
ProviderGuid security_result.about.resource.attribute.labels.value O valor é extraído do campo "ProviderGuid" no registro bruto, com as chaves removidas.
consulta read_only_udm.network.dns.questions.name O valor é extraído do campo "event.Event.Dns.query" no registro bruto.
RecordNumber security_result.about.resource.attribute.labels.value O valor é extraído do campo "RecordNumber" no registro bruto.
regKey.path read_only_udm.target.registry.registry_key O valor é extraído do campo "event.Event.RegKeyCreate.regKey.path" ou "event.Event.RegKeyDelete.regKey.path" no registro bruto.
regValue.path read_only_udm.target.registry.registry_key O valor é extraído do campo "event.Event.RegValueDelete.regValue.path" ou "event.Event.RegValueModified.regValue.path" no registro bruto.
resultados read_only_udm.network.dns.answers.data O valor é extraído do campo "event.Event.Dns.results" no registro bruto.
UpdateServer enviado intermediary.hostname O valor é extraído do campo "Sent UpdateServer" no registro bruto.
seq_id Esse campo não é mapeado diretamente para o UDM.
signature.Status.Signed.identity Esse campo não é mapeado diretamente para o UDM.
sizeBytes read_only_udm.principal.process.file.size O valor é extraído do campo "event.Event...sizeBytes" no registro bruto, em que é o tipo de evento específico (por exemplo, ProcessCreation, ProcessExit) e é o campo que contém informações do processo (por exemplo, processo, origem, pai).
sourceAddress.address read_only_udm.principal.ip O valor é extraído do campo "event.Event.Tcpv4.sourceAddress.address" no registro bruto.
sourceAddress.port read_only_udm.principal.port O valor é extraído do campo "event.Event.Tcpv4.sourceAddress.port" no registro bruto.
SourceName security_result.about.resource.attribute.labels.value O valor é extraído do campo "SourceName" no registro bruto.
status Esse campo não é mapeado diretamente para o UDM.
taskName read_only_udm.target.resource.name O valor é extraído do campo "event.Event.SchedTaskStart.taskName", "event.Event.SchedTaskTrigger.taskName" ou "event.Event.SchedTaskDelete.taskName" no registro bruto.
targetFile.hashes.md5 read_only_udm.target.file.md5 O valor é extraído do campo "event.Event.FileDeletion.targetFile.hashes.md5" ou "event.Event.SchedTaskStart.targetFile.hashes.md5" no registro bruto.
targetFile.hashes.sha1 read_only_udm.target.file.sha1 O valor é extraído do campo "event.Event.FileDeletion.targetFile.hashes.sha1" ou "event.Event.SchedTaskStart.targetFile.hashes.sha1" no registro bruto.
targetFile.hashes.sha256 read_only_udm.target.file.sha256 O valor é extraído do campo "event.Event.FileDeletion.targetFile.hashes.sha256" ou "event.Event.SchedTaskStart.targetFile.hashes.sha256" no registro bruto.
targetFile.path read_only_udm.target.file.full_path O valor é extraído do campo "event.Event.FileDeletion.targetFile.path" ou "event.Event.SchedTaskStart.targetFile.path" no registro bruto.
Tarefa security_result.about.resource.attribute.labels.value O valor é extraído do campo "Tarefa" no registro bruto.
timestamp.millisecondsSinceEpoch read_only_udm.metadata.event_timestamp.seconds O valor é extraído do campo "event.timestamp.millisecondsSinceEpoch" no registro bruto e convertido em segundos.
timestamp.millisecondsSinceEpoch read_only_udm.metadata.event_timestamp.nanos O valor é extraído do campo "event.timestamp.millisecondsSinceEpoch" no registro bruto e convertido em nanossegundos.
trace_id Esse campo não é mapeado diretamente para o UDM.
triggerType Esse campo não é mapeado diretamente para o UDM.
trueContext Esse campo não é mapeado diretamente para o UDM.
trueContext.key Esse campo não é mapeado diretamente para o UDM.
trueContext.key.value Esse campo não é mapeado diretamente para o UDM.
tipo read_only_udm.network.dns.answers.type O valor é extraído do campo "event.Event.Dns.results" no registro bruto usando uma expressão regular.
url read_only_udm.target.url O valor é extraído do campo "event.Event.Http.url" no registro bruto.
user.name read_only_udm.principal.user.userid O valor é extraído do campo "event.Event...user.name" no log bruto, em que é o tipo de evento específico (por exemplo, ProcessCreation, ProcessExit) e é o campo que contém informações do processo (por exemplo, processo, origem, pai).
user.sid read_only_udm.principal.user.windows_sid O valor é extraído do campo "event.Event...user.sid" no log bruto, em que é o tipo de evento específico (por exemplo, ProcessCreation, ProcessExit) e é o campo que contém informações do processo (por exemplo, processo, origem, pai).
UserID read_only_udm.target.user.windows_sid O valor é extraído do campo "UserID" no registro bruto somente se corresponder ao padrão SID do Windows.
UserSid read_only_udm.target.user.windows_sid O valor é extraído do campo "UserSid" no registro bruto, somente se corresponder ao padrão SID do Windows.
valueType Esse campo não é mapeado diretamente para o UDM.
winEventLog.channel security_result.about.resource.attribute.labels.value O valor é extraído do campo "winEventLog.channel" no registro bruto.
winEventLog.description Esse campo não é mapeado diretamente para o UDM.
winEventLog.id security_result.about.resource.attribute.labels.value O valor é extraído do campo "winEventLog.id" no registro bruto.
winEventLog.level security_result.severity O valor é extraído do campo "winEventLog.level" no registro bruto e mapeado para o nível de gravidade correspondente (por exemplo, Warning para MÉDIO).
winEventLog.providerName security_result.about.resource.attribute.labels.value O valor é extraído do campo "winEventLog.providerName" no registro bruto.
winEventLog.xml Esse campo não é mapeado diretamente para o UDM.
read_only_udm.metadata.event_type O valor é determinado com base no campo "event_type" e mapeado para o tipo de evento da UDM correspondente.
read_only_udm.metadata.vendor_name O valor é definido como SentinelOne.
read_only_udm.metadata.product_name O valor é definido como Deep Visibility.
read_only_udm.metadata.product_log_id O valor é extraído do campo "trace.id" no registro bruto, apenas para eventos com "meta.event.name" igual a PROCESSCREATION.
read_only_udm.metadata.product_deployment_id O valor é extraído do campo "account.id" no registro bruto, apenas para eventos com "meta.event.name" igual a PROCESSCREATION.
read_only_udm.metadata.url_back_to_product O valor é extraído do campo "mgmt.url" no registro bruto, apenas para eventos com "meta.event.name" igual a PROCESSCREATION.
read_only_udm.metadata.ingestion_labels.key O valor é definido como Process eUserUid ou Process lUserUid para eventos com "meta.event.name" igual a PROCESSCREATION.
read_only_udm.metadata.ingestion_labels.value O valor é extraído do campo "src.process.eUserUid" ou "src.process.lUserUid" no registro bruto, apenas para eventos com "meta.event.name" igual a PROCESSCREATION.
read_only_udm.principal.administrative_domain A parte do domínio do campo "event.Event...user.name" no registro bruto, em que é o tipo de evento específico (por exemplo, ProcessCreation, ProcessExit) e é o campo que contém informações do processo (por exemplo, processo, origem, pai).
read_only_udm.target.process.parent_process.command_line O valor é extraído do campo "event.Event..parent.commandLine" no registro bruto, em que é o tipo de evento específico (por exemplo, ProcessCreation, ProcessExit).
read_only_udm.target.file Um objeto vazio será criado se o "event_type" não for FileCreation, FileDeletion, FileModification, SchedTaskStart ou ProcessCreation.
read_only_udm.network.ip_protocol O valor é definido como TCP para eventos com "event_type" igual a Tcpv4, Tcpv4Listen ou Http.
read_only_udm.network.application_protocol O valor é definido como DNS para eventos com "event_type" igual a Dns.
read_only_udm.target.resource.type O valor é definido como TASK para eventos com "event_type" igual a SchedTaskStart, SchedTaskTrigger ou SchedTaskDelete.
read_only_udm.target.resource.resource_type O valor é definido como TASK para eventos com "event_type" igual a SchedTaskStart, SchedTaskTrigger ou SchedTaskDelete.
read_only_udm.principal.process.product_specific_process_id O valor é definido como ExecutionThreadID:<ExecutionThreadID> se o campo "ExecutionThreadID" estiver presente no registro bruto.
read_only_udm.principal.asset.asset_id O valor é definido como Device ID:<agent.uuid> se o campo "agent.uuid" estiver presente no registro bruto.
read_only_udm.principal.namespace O valor é extraído do campo "site.id" no registro bruto, apenas para eventos com "meta.event.name" igual a PROCESSCREATION.
read_only_udm.principal.location.name O valor é extraído do campo "site.name" no registro bruto, apenas para eventos com "meta.event.name" igual a PROCESSCREATION.
read_only_udm.principal.resource.attribute.labels.key O valor é definido como src.process.displayName, src.process.uid, isRedirectCmdProcessor, isNative64Bit, isStorylineRoot, signedStatus, src process subsystem, src process integrityLevel ou childProcCount para eventos com "meta.event.name" igual a PROCESSCREATION.
read_only_udm.principal.resource.attribute.labels.value O valor é extraído do campo correspondente no registro bruto, apenas para eventos com "meta.event.name" igual a PROCESSCREATION.
read_only_udm.target.user.userid O valor é extraído do campo "tgt.process.uid" no registro bruto, apenas para eventos com "meta.event.name" igual a PROCESSCREATION.
read_only_udm.target.user.user_display_name O valor é extraído do campo "tgt.process.displayName" no registro bruto, apenas para eventos com "meta.event.name" igual a PROCESSCREATION.
read_only_udm.target.resource.attribute.labels.key O valor é definido como isRedirectCmdProcessor, isNative64Bit, isStorylineRoot, signedStatus, file_isSigned, tgt process subsystem ou tgt process integrityLevel para eventos com "meta.event.name" igual a PROCESSCREATION.
read_only_udm.target.resource.attribute.labels.value O valor é extraído do campo correspondente no registro bruto, apenas para eventos com "meta.event.name" igual a PROCESSCREATION.
read_only_udm.security_result.about.resource.attribute.labels.key O valor é definido como tgt.process.storyline.id, endpoint_type, packet_id, src.process.storyline.id ou src.process.parent.storyline.id para eventos com "meta.event.name" igual a PROCESSCREATION.
read_only_udm.security_result.about.resource.attribute.labels.value O valor é extraído do campo correspondente no registro bruto e precedido por ID: para IDs de linha do tempo, apenas para eventos com "meta.event.name" igual a PROCESSCREATION.
read_only_udm.security_result.category_details O valor é definido como security para eventos com "meta.event.name" igual a PROCESSCREATION.
read_only_udm.target.asset.product_object_id O valor é extraído do campo "AdapterName" no registro bruto, apenas para eventos com "meta.event.name" igual a EVENTLOG.
security_result.about.resource.attribute.labels.key O valor é definido como TimeCreated SystemTime, EventID, Task, Channel, ProviderGuid, RecordNumber, SourceName, endpoint_type ou packet_id para eventos com "meta.event.name" igual a EVENTLOG.
security_result.detection_fields.key O valor é definido como Activity ID para eventos com "meta.event.name" igual a EVENTLOG e um campo "ActivityID" não vazio.
security_result.detection_fields.value O valor é extraído do campo "ActivityID" no registro bruto, apenas para eventos com "meta.event.name" igual a EVENTLOG e um campo "ActivityID" não vazio.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.