收集 SentinelOne Deep Visibility 日志

支持的语言:

本文档介绍了如何使用 Cloud Funnel 将 SentinelOne Deep Visibility 日志导出到 Google Cloud Storage,然后再导出到 Google Security Operations。解析器将原始 JSON 格式的安全事件日志转换为符合 UDM 的结构化格式。它首先初始化一组变量,然后提取事件类型并解析 JSON 载荷,同时将相关字段映射到 UDM 架构,并单独处理 Windows 事件日志。

准备工作

确保您满足以下前提条件:

  • Google SecOps 实例
  • 对 Google Cloud的特权访问权限
  • 在您的环境中设置 SentinelOne Deep Visibility
  • 对 SentinelOne 的特权访问权限

创建 Google Cloud Storage 存储分区

  1. 登录 Google Cloud 控制台

  2. 前往 Cloud Storage 存储分区页面。

    进入“存储桶”

  3. 点击创建

  4. 创建存储桶页面上,输入您的存储桶信息。完成以下每一步后,点击继续以继续执行后续步骤:

    1. 开始使用部分中,执行以下操作:

      1. 输入符合存储桶名称要求的唯一名称,例如 sentinelone-deepvisibility

      2. 如需启用分层命名空间,请点击展开箭头以展开优化文件导向型和数据密集型工作负载部分,然后选择在此存储桶上启用分层命名空间

      3. 如需添加存储桶标签,请点击展开箭头以展开标签部分。

      4. 点击添加标签,然后为标签指定键和值。

    2. 选择数据存储位置部分中,执行以下操作:

      1. 选择位置类型

      2. 使用位置类型菜单选择一个位置,用于永久存储存储桶中的对象数据。

      3. 如需设置跨存储桶复制,请展开设置跨存储桶复制部分。

    3. 为数据选择一个存储类别部分中,为存储桶选择默认存储类别,或者选择 Autoclass 对存储桶数据进行自动存储类别管理。

    4. 选择如何控制对对象的访问权限部分中,选择强制执行禁止公开访问,然后为存储桶对象选择访问权限控制模型

    5. 选择如何保护对象数据部分中,执行以下操作:

      1. 数据保护下,选择您要为存储桶设置的任何选项。
      2. 如需选择对象数据的加密方式,请点击标有数据加密的展开箭头,然后选择数据加密方法

  5. 点击创建

创建 Google Cloud 服务账号

  1. 前往 IAM 和管理 > 服务账号
  2. 创建新的服务账号。
  3. 为其指定一个描述性名称,例如 sentinelone-dv-logs
  4. 向服务账号授予您在上一步中创建的 Cloud Storage 存储桶的 Storage Object Creator 角色。
  5. 为服务账号创建 SSH 密钥
  6. 下载服务账号的 JSON 密钥文件。请妥善保管此文件。

如何在 SentinelOne DeepVisibility 中配置 Cloud Funnel

  1. 登录 SentinelOne DeepVisibility
  2. 依次点击配置 > 政策和设置
  3. Singularity Data Lake 部分中,点击 Cloud Funnel
  4. 提供以下配置详细信息:
    • 云服务提供商:选择 Google Cloud。
    • 存储分区名称:输入您为 SentinelOne DeepVisibility 日志提取创建的 Cloud Storage 存储桶的名称。
    • 遥测数据流:选择启用
    • 查询过滤条件:创建包含需要将数据发送到 Cloud Storage 存储桶的代理的查询。
    • 点击验证
    • 要包含的字段:选择所有字段。
  5. 点击保存

设置 Feed

您可以通过两种不同的入口点在 Google SecOps 平台中设置 Feed:

  • SIEM 设置 > Feed
  • 内容中心 > 内容包

通过“SIEM 设置”>“Feed”设置 Feed

如需为相应产品系列中的不同日志类型配置多个 Feed,请参阅按产品配置 Feed

如需配置单个 Feed,请按以下步骤操作:

  1. 依次前往 SIEM 设置> Feed
  2. 点击添加新 Feed
  3. 在下一页上,点击配置单个 Feed
  4. Feed 名称字段中,输入 Feed 的名称,例如 SentinelOne DV 日志
  5. 选择 Google Cloud Storage 作为来源类型
  6. 选择 SentinelOne Deep Visibility 作为日志类型
  7. 点击获取服务账号作为 Chronicle 服务账号
  8. 点击下一步

  9. 为以下输入参数指定值:

    • 存储分区 URI:Google Cloud Storage 存储桶网址,采用 gs://my-bucket/<value> 格式。
    • URI Is A:选择目录(包括子目录)

    • 源删除选项:根据您的提取偏好设置选择删除选项。

    • 资源命名空间资源命名空间

    • 注入标签:应用于此 Feed 中事件的标签。

  10. 点击下一步

  11. “Finalize”界面中查看新的 Feed 配置,然后点击提交

设置来自内容中心的 Feed

为以下字段指定值:

  • 存储桶 URI:Google Cloud Storage 存储桶源 URI。
  • URI is a:根据日志流配置选择 URI 类型(Single file [单个文件] | Directory [目录] | Directory which includes subdirectories [包含子目录的目录])。
  • 源删除选项:根据您的提取偏好设置选择删除选项。

高级选项

  • Feed 名称:用于标识 Feed 的预填充值。
  • 来源类型:用于将日志收集到 Google SecOps 中的方法。
  • 资产命名空间与 Feed 关联的命名空间
  • 提取标签:应用于相应 Feed 中所有事件的标签。

UDM 映射表

日志字段 UDM 映射 逻辑
AdapterName security_result.about.resource.attribute.labels.value 该值取自原始日志中的“AdapterName”字段。
AdapterSuffixName security_result.about.resource.attribute.labels.value 该值取自原始日志中的“AdapterSuffixName”字段。
agent_version read_only_udm.metadata.product_version 该值取自原始日志中的“meta.agent_version”字段。
渠道 security_result.about.resource.attribute.labels.value 该值取自原始日志中的“渠道”字段。
commandLine read_only_udm.principal.process.command_line 该值取自原始日志中的“event.Event...commandLine”字段,其中 是具体的事件类型(例如ProcessCreation、ProcessExit),而 是包含进程信息(例如进程、来源、父进程)的字段。
computer_name read_only_udm.principal.hostname 该值取自原始日志中的“meta.computer_name”字段。
destinationAddress.address read_only_udm.target.ip 该值取自原始日志中的“event.Event.Tcpv4.destinationAddress.address”字段。
destinationAddress.port read_only_udm.target.port 该值取自原始日志中的“event.Event.Tcpv4.destinationAddress.port”字段。
DnsServerList read_only_udm.principal.ip 该值取自原始日志中的“DnsServerList”字段。
ErrorCode_new security_result.detection_fields.value 该值取自原始日志中的“ErrorCode_new”字段。
EventID security_result.about.resource.attribute.labels.value 该值取自原始日志中的“EventID”字段。
event.Event.Dns.query read_only_udm.network.dns.questions.name 该值取自原始日志中的“event.Event.Dns.query”字段。
event.Event.Dns.results read_only_udm.network.dns.answers.data 该值取自原始日志中的“event.Event.Dns.results”字段。
event.Event.Dns.source.fullPid.pid read_only_udm.principal.process.pid 该值取自原始日志中的“event.Event.Dns.source.fullPid.pid”字段。
event.Event.Dns.source.user.name read_only_udm.principal.user.userid 该值取自原始日志中的“event.Event.Dns.source.user.name”字段。
event.Event.FileCreation.source.fullPid.pid read_only_udm.principal.process.pid 该值取自原始日志中的“event.Event.FileCreation.source.fullPid.pid”字段。
event.Event.FileCreation.source.user.name read_only_udm.principal.user.userid 该值取自原始日志中的“event.Event.FileCreation.source.user.name”字段。
event.Event.FileCreation.targetFile.path read_only_udm.target.file.full_path 该值取自原始日志中的“event.Event.FileCreation.targetFile.path”字段。
event.Event.FileDeletion.source.fullPid.pid read_only_udm.principal.process.pid 该值取自原始日志中的“event.Event.FileDeletion.source.fullPid.pid”字段。
event.Event.FileDeletion.source.user.name read_only_udm.principal.user.userid 该值取自原始日志中的“event.Event.FileDeletion.source.user.name”字段。
event.Event.FileDeletion.targetFile.path read_only_udm.target.file.full_path 该值取自原始日志中的“event.Event.FileDeletion.targetFile.path”字段。
event.Event.FileModification.file.path read_only_udm.target.file.full_path 该值取自原始日志中的“event.Event.FileModification.file.path”字段。
event.Event.FileModification.source.user.name read_only_udm.principal.user.userid 该值取自原始日志中的“event.Event.FileModification.source.user.name”字段。
event.Event.FileModification.targetFile.path read_only_udm.target.file.full_path 该值取自原始日志中的“event.Event.FileModification.targetFile.path”字段。
event.Event.Http.source.user.name read_only_udm.principal.user.userid 该值取自原始日志中的“event.Event.Http.source.user.name”字段。
event.Event.Http.url read_only_udm.target.url 该值取自原始日志中的“event.Event.Http.url”字段。
event.Event.ProcessCreation.process.user.name read_only_udm.principal.user.userid 该值取自原始日志中的“event.Event.ProcessCreation.process.user.name”字段。
event.Event.ProcessCreation.source.user.name read_only_udm.principal.user.userid 该值取自原始日志中的“event.Event.ProcessCreation.source.user.name”字段。
event.Event.ProcessExit.source.user.name read_only_udm.principal.user.userid 该值取自原始日志中的“event.Event.ProcessExit.source.user.name”字段。
event.Event.ProcessTermination.source.user.name read_only_udm.principal.user.userid 该值取自原始日志中的“event.Event.ProcessTermination.source.user.name”字段。
event.Event.RegKeyCreate.source.fullPid.pid read_only_udm.principal.process.pid 该值取自原始日志中的“event.Event.RegKeyCreate.source.fullPid.pid”字段。
event.Event.RegKeyCreate.source.user.name read_only_udm.principal.user.userid 该值取自原始日志中的“event.Event.RegKeyCreate.source.user.name”字段。
event.Event.RegKeyDelete.source.user.name read_only_udm.principal.user.userid 该值取自原始日志中的“event.Event.RegKeyDelete.source.user.name”字段。
event.Event.RegValueModified.source.user.name read_only_udm.principal.user.userid 该值取自原始日志中的“event.Event.RegValueModified.source.user.name”字段。
event.Event.SchedTaskDelete.source.user.name read_only_udm.principal.user.userid 该值取自原始日志中的“event.Event.SchedTaskDelete.source.user.name”字段。
event.Event.SchedTaskRegister.source.user.name read_only_udm.principal.user.userid 该值取自原始日志中的“event.Event.SchedTaskRegister.source.user.name”字段。
event.Event.SchedTaskStart.source.user.name read_only_udm.principal.user.userid 该值取自原始日志中的“event.Event.SchedTaskStart.source.user.name”字段。
event.Event.SchedTaskTrigger.source.fullPid.pid read_only_udm.principal.process.pid 该值取自原始日志中的“event.Event.SchedTaskTrigger.source.fullPid.pid”字段。
event.Event.SchedTaskTrigger.source.user.name read_only_udm.principal.user.userid 该值取自原始日志中的“event.Event.SchedTaskTrigger.source.user.name”字段。
event.Event.Tcpv4.source.fullPid.pid read_only_udm.principal.process.pid 该值取自原始日志中的“event.Event.Tcpv4.source.fullPid.pid”字段。
event.Event.Tcpv4.source.user.name read_only_udm.principal.user.userid 该值取自原始日志中的“event.Event.Tcpv4.source.user.name”字段。
event.Event.Tcpv4Listen.local.address read_only_udm.principal.ip 该值取自原始日志中的“event.Event.Tcpv4Listen.local.address”字段。
event.timestamp.millisecondsSinceEpoch read_only_udm.metadata.event_timestamp.seconds 该值取自原始日志中的“event.timestamp.millisecondsSinceEpoch”字段,并转换为秒。
event.timestamp.millisecondsSinceEpoch read_only_udm.metadata.event_timestamp.nanos 该值取自原始日志中的“event.timestamp.millisecondsSinceEpoch”字段,并转换为纳秒。
event.timestamp.millisecondsSinceEpoch security_result.about.resource.attribute.labels.value 该值取自原始日志中的“event.timestamp.millisecondsSinceEpoch”字段,并用作 security_result.about.resource.attribute.labels 数组中某个标签的值。
event_type read_only_udm.metadata.product_event_type 该值使用 Grok 模式从原始日志的“message”字段中提取。
executable.hashes.md5 read_only_udm.principal.process.file.md5 该值取自原始日志中的“event.Event...executable.hashes.md5”字段,其中 是具体的事件类型(例如,ProcessCreation、ProcessExit),而 是包含进程信息(例如进程、来源、父进程)的字段。
executable.hashes.sha1 read_only_udm.principal.process.file.sha1 该值取自原始日志中的“event.Event...executable.hashes.sha1”字段,其中 是具体的事件类型(例如,ProcessCreation、ProcessExit),而 是包含进程信息(例如进程、来源、父进程)的字段。
executable.hashes.sha256 read_only_udm.principal.process.file.sha256 该值取自原始日志中的“event.Event...executable.hashes.sha256”字段,其中 是具体的事件类型(例如ProcessCreation、ProcessExit),而 是包含进程信息(例如进程、来源、父进程)的字段。
executable.path read_only_udm.principal.process.file.full_path 该值取自原始日志中的“event.Event...executable.path”字段,其中 是具体的事件类型(例如,ProcessCreation、ProcessExit),而 是包含进程信息(例如进程、来源、父进程)的字段。
executable.sizeBytes read_only_udm.principal.process.file.size 该值取自原始日志中的“event.Event...executable.sizeBytes”字段,其中 是具体的事件类型(例如,ProcessCreation、ProcessExit),而 是包含进程信息(例如进程、来源、父进程)的字段。
fullPid.pid read_only_udm.principal.process.pid 该值取自原始日志中的“event.Event...fullPid.pid”字段,其中 是具体事件类型(例如,ProcessCreation、ProcessExit),而 是包含进程信息(例如进程、来源、父进程)的字段。
hashes.md5 read_only_udm.target.file.md5 该值取自原始日志中的“event.Event.ProcessCreation.hashes.md5”字段。
hashes.sha1 read_only_udm.target.file.sha1 该值取自原始日志中的“event.Event.ProcessCreation.hashes.sha1”字段。
hashes.sha256 read_only_udm.target.file.sha256 该值取自原始日志中的“event.Event.ProcessCreation.hashes.sha256”字段。
IpAddress read_only_udm.target.ip 该值取自原始日志中的“IpAddress”字段。
local.address read_only_udm.principal.ip 该值取自原始日志中的“event.Event.Tcpv4Listen.local.address”字段。
local.port read_only_udm.principal.port 该值取自原始日志中的“event.Event.Tcpv4Listen.local.port”字段。
log_type read_only_udm.metadata.log_type 该值取自原始日志中的“log_type”字段。
meta.agent_version read_only_udm.metadata.product_version 该值取自原始日志中的“meta.agent_version”字段。
meta.computer_name read_only_udm.principal.hostname 该值取自原始日志中的“meta.computer_name”字段。
meta.os_family read_only_udm.principal.platform 该值取自原始日志中的“meta.os_family”字段,并映射到相应的平台(例如,windows 表示 Windows,osx 表示 Mac,linux 表示 Linux)。
meta.os_name read_only_udm.principal.platform_version 该值取自原始日志中的“meta.os_name”字段。
meta.os_revision read_only_udm.principal.platform_patch_level 该值取自原始日志中的“meta.os_revision”字段。
meta.uuid read_only_udm.principal.asset_id 该值取自原始日志中的“meta.uuid”字段,并以 SENTINELONE: 为前缀。
name read_only_udm.principal.application 该值取自原始日志中的“event.Event...name”字段,其中 是具体的事件类型(例如,ProcessCreation、ProcessExit),而 是包含进程信息(例如进程、来源、父进程)的字段。
parent.executable.hashes.md5 read_only_udm.target.process.parent_process.file.md5 该值取自原始日志中的“event.Event..parent.executable.hashes.md5”字段,其中 是具体的事件类型(例如,ProcessCreation、ProcessExit)。
parent.executable.hashes.sha1 read_only_udm.target.process.parent_process.file.sha1 该值取自原始日志中的“event.Event..parent.executable.hashes.sha1”字段,其中 是具体的事件类型(例如,ProcessCreation、ProcessExit)。
parent.executable.hashes.sha256 read_only_udm.target.process.parent_process.file.sha256 该值取自原始日志中的“event.Event..parent.executable.hashes.sha256”字段,其中 是具体的事件类型(例如,ProcessCreation、ProcessExit)。
parent.executable.path read_only_udm.target.process.parent_process.file.full_path 该值取自原始日志中的“event.Event..parent.executable.path”字段,其中 是具体的事件类型(例如,ProcessCreation、ProcessExit)。
parent.fullPid.pid read_only_udm.target.process.parent_process.pid 该值取自原始日志中的“event.Event..parent.fullPid.pid”字段,其中 是具体的事件类型(例如,ProcessCreation、ProcessExit)。
路径 read_only_udm.principal.process.file.full_path 该值取自原始日志中的“event.Event...path”字段,其中 是具体的事件类型(例如,ProcessCreation、ProcessExit),而 是包含进程信息(例如进程、来源、父进程)的字段。
process.commandLine read_only_udm.target.process.command_line 该值取自原始日志中的“event.Event.ProcessCreation.process.commandLine”字段。
process.fullPid.pid read_only_udm.target.process.pid 该值取自原始日志中的“event.Event.ProcessCreation.process.fullPid.pid”字段。
process.parent.fullPid.pid read_only_udm.target.process.parent_process.pid 该值取自原始日志中的“event.Event.ProcessCreation.process.parent.fullPid.pid”字段。
ProviderGuid security_result.about.resource.attribute.labels.value 该值取自原始日志中的“ProviderGuid”字段,并移除了大括号。
查询 read_only_udm.network.dns.questions.name 该值取自原始日志中的“event.Event.Dns.query”字段。
RecordNumber security_result.about.resource.attribute.labels.value 该值取自原始日志中的“RecordNumber”字段。
regKey.path read_only_udm.target.registry.registry_key 该值取自原始日志中的“event.Event.RegKeyCreate.regKey.path”或“event.Event.RegKeyDelete.regKey.path”字段。
regValue.path read_only_udm.target.registry.registry_key 该值取自原始日志中的“event.Event.RegValueDelete.regValue.path”或“event.Event.RegValueModified.regValue.path”字段。
结果 read_only_udm.network.dns.answers.data 该值取自原始日志中的“event.Event.Dns.results”字段。
发送了 UpdateServer intermediary.hostname 该值取自原始日志中的“Sent UpdateServer”字段。
seq_id 此字段未直接映射到 UDM。
signature.Status.Signed.identity 此字段未直接映射到 UDM。
sizeBytes read_only_udm.principal.process.file.size 该值取自原始日志中的“event.Event...sizeBytes”字段,其中 是具体的事件类型(例如,ProcessCreation、ProcessExit),而 是包含进程信息(例如进程、来源、父进程)的字段。
sourceAddress.address read_only_udm.principal.ip 该值取自原始日志中的“event.Event.Tcpv4.sourceAddress.address”字段。
sourceAddress.port read_only_udm.principal.port 该值取自原始日志中的“event.Event.Tcpv4.sourceAddress.port”字段。
SourceName security_result.about.resource.attribute.labels.value 该值取自原始日志中的“SourceName”字段。
状态 此字段未直接映射到 UDM。
taskName read_only_udm.target.resource.name 该值取自原始日志中的“event.Event.SchedTaskStart.taskName”“event.Event.SchedTaskTrigger.taskName”或“event.Event.SchedTaskDelete.taskName”字段。
targetFile.hashes.md5 read_only_udm.target.file.md5 该值取自原始日志中的“event.Event.FileDeletion.targetFile.hashes.md5”或“event.Event.SchedTaskStart.targetFile.hashes.md5”字段。
targetFile.hashes.sha1 read_only_udm.target.file.sha1 该值取自原始日志中的“event.Event.FileDeletion.targetFile.hashes.sha1”或“event.Event.SchedTaskStart.targetFile.hashes.sha1”字段。
targetFile.hashes.sha256 read_only_udm.target.file.sha256 该值取自原始日志中的“event.Event.FileDeletion.targetFile.hashes.sha256”或“event.Event.SchedTaskStart.targetFile.hashes.sha256”字段。
targetFile.path read_only_udm.target.file.full_path 该值取自原始日志中的“event.Event.FileDeletion.targetFile.path”或“event.Event.SchedTaskStart.targetFile.path”字段。
任务 security_result.about.resource.attribute.labels.value 该值取自原始日志中的“任务”字段。
timestamp.millisecondsSinceEpoch read_only_udm.metadata.event_timestamp.seconds 该值取自原始日志中的“event.timestamp.millisecondsSinceEpoch”字段,并转换为秒。
timestamp.millisecondsSinceEpoch read_only_udm.metadata.event_timestamp.nanos 该值取自原始日志中的“event.timestamp.millisecondsSinceEpoch”字段,并转换为纳秒。
trace_id 此字段未直接映射到 UDM。
triggerType 此字段未直接映射到 UDM。
trueContext 此字段未直接映射到 UDM。
trueContext.key 此字段未直接映射到 UDM。
trueContext.key.value 此字段未直接映射到 UDM。
类型 read_only_udm.network.dns.answers.type 该值取自原始日志中的“event.Event.Dns.results”字段,并使用正则表达式提取。
网址 read_only_udm.target.url 该值取自原始日志中的“event.Event.Http.url”字段。
user.name read_only_udm.principal.user.userid 该值取自原始日志中的“event.Event...user.name”字段,其中 是具体的事件类型(例如,ProcessCreation、ProcessExit),而 是包含进程信息(例如进程、来源、父进程)的字段。
user.sid read_only_udm.principal.user.windows_sid 该值取自原始日志中的“event.Event...user.sid”字段,其中 是具体的事件类型(例如,ProcessCreation、ProcessExit),而 是包含进程信息(例如进程、来源、父进程)的字段。
UserID read_only_udm.target.user.windows_sid 该值取自原始日志中的“UserID”字段,前提是该字段与 Windows SID 模式匹配。
UserSid read_only_udm.target.user.windows_sid 该值取自原始日志中的“UserSid”字段,前提是该字段与 Windows SID 模式匹配。
valueType 此字段未直接映射到 UDM。
winEventLog.channel security_result.about.resource.attribute.labels.value 该值取自原始日志中的“winEventLog.channel”字段。
winEventLog.description 此字段未直接映射到 UDM。
winEventLog.id security_result.about.resource.attribute.labels.value 该值取自原始日志中的“winEventLog.id”字段。
winEventLog.level security_result.severity 该值取自原始日志中的“winEventLog.level”字段,并映射到相应的严重程度(例如,Warning 到中等)。
winEventLog.providerName security_result.about.resource.attribute.labels.value 该值取自原始日志中的“winEventLog.providerName”字段。
winEventLog.xml 此字段未直接映射到 UDM。
read_only_udm.metadata.event_type 该值根据“event_type”字段确定,并映射到相应的 UDM 事件类型。
read_only_udm.metadata.vendor_name 该值设置为 SentinelOne
read_only_udm.metadata.product_name 该值设置为 Deep Visibility
read_only_udm.metadata.product_log_id 该值取自原始日志中的“trace.id”字段,仅适用于“meta.event.name”等于 PROCESSCREATION 的事件。
read_only_udm.metadata.product_deployment_id 该值取自原始日志中的“account.id”字段,仅适用于“meta.event.name”等于 PROCESSCREATION 的事件。
read_only_udm.metadata.url_back_to_product 该值取自原始日志中的“mgmt.url”字段,仅适用于“meta.event.name”等于 PROCESSCREATION 的事件。
read_only_udm.metadata.ingestion_labels.key 对于“meta.event.name”等于 PROCESSCREATION 的事件,该值设置为 Process eUserUidProcess lUserUid
read_only_udm.metadata.ingestion_labels.value 该值取自原始日志中的“src.process.eUserUid”或“src.process.lUserUid”字段,仅适用于“meta.event.name”等于 PROCESSCREATION 的事件。
read_only_udm.principal.administrative_domain 原始日志中“event.Event...user.name”字段的网域部分,其中 是具体事件类型(例如,ProcessCreation、ProcessExit),而 是包含进程信息(例如进程、来源、父进程)的字段。
read_only_udm.target.process.parent_process.command_line 该值取自原始日志中的“event.Event..parent.commandLine”字段,其中 是具体的事件类型(例如,ProcessCreation、ProcessExit)。
read_only_udm.target.file 如果“event_type”不是 FileCreationFileDeletionFileModificationSchedTaskStartProcessCreation,则会创建一个空对象。
read_only_udm.network.ip_protocol 对于“event_type”等于 Tcpv4Tcpv4ListenHttp 的事件,该值设置为 TCP。
read_only_udm.network.application_protocol 对于“event_type”等于 Dns 的事件,该值设置为 DNS。
read_only_udm.target.resource.type 对于“event_type”等于 SchedTaskStartSchedTaskTriggerSchedTaskDelete 的事件,该值设置为 TASK
read_only_udm.target.resource.resource_type 对于“event_type”等于 SchedTaskStartSchedTaskTriggerSchedTaskDelete 的事件,该值设置为 TASK。
read_only_udm.principal.process.product_specific_process_id 如果原始日志中存在“ExecutionThreadID”字段,则该值设置为 ExecutionThreadID:<ExecutionThreadID>
read_only_udm.principal.asset.asset_id 如果原始日志中存在“agent.uuid”字段,则该值设置为 Device ID:<agent.uuid>
read_only_udm.principal.namespace 该值取自原始日志中的“site.id”字段,仅适用于“meta.event.name”等于 PROCESSCREATION 的事件。
read_only_udm.principal.location.name 该值取自原始日志中的“site.name”字段,仅适用于“meta.event.name”等于 PROCESSCREATION 的事件。
read_only_udm.principal.resource.attribute.labels.key 对于“meta.event.name”等于 PROCESSCREATION 的事件,该值设置为 src.process.displayNamesrc.process.uidisRedirectCmdProcessorisNative64BitisStorylineRootsignedStatussrc process subsystemsrc process integrityLevelchildProcCount
read_only_udm.principal.resource.attribute.labels.value 该值取自原始日志中的相应字段,仅适用于“meta.event.name”等于 PROCESSCREATION 的事件。
read_only_udm.target.user.userid 该值取自原始日志中的“tgt.process.uid”字段,仅适用于“meta.event.name”等于 PROCESSCREATION 的事件。
read_only_udm.target.user.user_display_name 该值取自原始日志中的“tgt.process.displayName”字段,仅适用于“meta.event.name”等于 PROCESSCREATION 的事件。
read_only_udm.target.resource.attribute.labels.key 对于“meta.event.name”等于 PROCESSCREATION 的事件,该值设置为 isRedirectCmdProcessorisNative64BitisStorylineRootsignedStatusfile_isSignedtgt process subsystemtgt process integrityLevel
read_only_udm.target.resource.attribute.labels.value 该值取自原始日志中的相应字段,仅适用于“meta.event.name”等于 PROCESSCREATION 的事件。
read_only_udm.security_result.about.resource.attribute.labels.key 对于“meta.event.name”等于 PROCESSCREATION 的事件,该值设置为 tgt.process.storyline.idendpoint_typepacket_idsrc.process.storyline.idsrc.process.parent.storyline.id
read_only_udm.security_result.about.resource.attribute.labels.value 该值取自原始日志中的相应字段,并以 ID: 作为故事情节 ID 的前缀,仅适用于 'meta.event.name' 等于 PROCESSCREATION 的事件。
read_only_udm.security_result.category_details 对于“meta.event.name”等于 PROCESSCREATION 的事件,该值设置为 security
read_only_udm.target.asset.product_object_id 该值取自原始日志中的“AdapterName”字段,仅适用于“meta.event.name”等于 EVENTLOG 的事件。
security_result.about.resource.attribute.labels.key 对于“meta.event.name”等于 EVENTLOG 的事件,该值设置为 TimeCreated SystemTimeEventIDTaskChannelProviderGuidRecordNumberSourceNameendpoint_typepacket_id
security_result.detection_fields.key 对于 'meta.event.name' 等于 EVENTLOG 且 'ActivityID' 字段不为空的事件,该值设置为 Activity ID
security_result.detection_fields.value 该值取自原始日志中的“ActivityID”字段,仅适用于“meta.event.name”等于 EVENTLOG 且“ActivityID”字段不为空的事件。

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。