收集 SentinelOne Deep Visibility 日志

支持的语言:

本文档介绍了如何使用 Cloud Funnel 将 SentinelOne Deep Visibility 日志导出到 Google Security Operations,以便将日志导出到 Google Cloud Storage。解析器将原始 JSON 格式的安全事件日志转换为符合 UDM 的结构化格式。它首先初始化一组变量,然后提取事件类型并解析 JSON 载荷,同时将相关字段映射到 UDM 架构,并单独处理 Windows 事件日志。

准备工作

确保您满足以下前提条件:

  • Google SecOps 实例
  • 对 Google Cloud的特权访问权限
  • 在您的环境中设置 SentinelOne Deep Visibility
  • 对 SentinelOne 的特权访问权限

创建 Google Cloud Storage 存储分区

  1. 登录 Google Cloud 控制台

  2. 前往 Cloud Storage 存储分区页面。

    进入“存储桶”

  3. 点击创建

  4. 创建存储桶页面上,输入您的存储桶信息。完成以下每一步后,点击继续以继续执行后续步骤:

    1. 开始使用部分中,执行以下操作:

      1. 输入符合存储桶名称要求的唯一名称,例如 sentinelone-deepvisibility

      2. 如需启用分层命名空间,请点击展开箭头以展开优化文件导向型和数据密集型工作负载部分,然后选择在此存储桶上启用分层命名空间

      3. 如需添加存储桶标签,请点击展开箭头以展开标签部分。

      4. 点击添加标签,然后为标签指定键和值。

    2. 选择数据存储位置部分中,执行以下操作:

      1. 选择位置类型

      2. 使用位置类型菜单选择一个位置,用于永久存储存储桶中的对象数据。

      3. 如需设置跨存储桶复制,请展开设置跨存储桶复制部分。

    3. 为数据选择一个存储类别部分中,为存储桶选择默认存储类别,或者选择 Autoclass 对存储桶数据进行自动存储类别管理。

    4. 选择如何控制对对象的访问权限部分中,选择强制执行禁止公开访问,然后为存储桶对象选择访问权限控制模型

    5. 选择如何保护对象数据部分中,执行以下操作:

      1. 数据保护下,选择您要为存储桶设置的任何选项。
      2. 如需选择对象数据的加密方式,请点击标有数据加密的展开箭头,然后选择数据加密方法

  5. 点击创建

创建 Google Cloud 服务账号

  1. 前往 IAM 和管理 > 服务账号
  2. 创建新的服务账号。
  3. 为其指定一个描述性名称,例如 sentinelone-dv-logs
  4. 向服务账号授予您在上一步中创建的 Cloud Storage 存储桶的 Storage Object Creator 角色。
  5. 为服务账号创建 SSH 密钥
  6. 下载服务账号的 JSON 密钥文件。请妥善保管此文件。

如何在 SentinelOne DeepVisibility 中配置 Cloud Funnel

  1. 登录 SentinelOne DeepVisibility
  2. 依次点击配置 > 政策和设置
  3. Singularity Data Lake 部分中,点击 Cloud Funnel
  4. 提供以下配置详细信息:
    • 云服务提供商:选择 Google Cloud。
    • 存储分区名称:输入您为 SentinelOne DeepVisibility 日志提取创建的 Cloud Storage 存储桶的名称。
    • 遥测数据流:选择启用
    • 查询过滤条件:创建包含需要将数据发送到 Cloud Storage 存储桶的代理的查询。
    • 点击验证
    • 要包含的字段:选择所有字段。
  5. 点击保存

设置 Feed

您可以通过两种不同的入口点在 Google SecOps 平台中设置 Feed:

  • SIEM 设置 > Feed > 添加新 Feed
  • 内容中心 > 内容包 > 开始

如何设置 SentinelOne Deep Visibility Feed

  1. 点击 SentinelOne 包。
  2. SentinelOne Deep Visibility 日志类型中,为以下字段指定值:
    • 数据源类型:Google Cloud Storage V2。
    • 存储桶 URI:Google Cloud Storage 存储桶源 URI。
    • 源删除选项:是否在转移后删除文件或目录。在来源删除选项中,选择删除已转移的文件选项。
    • 文件存在时间上限:包含在过去指定天数内修改的文件。默认值为 180 天。
    • Chronicle 服务账号:复制服务账号。您需要此服务账号才能在存储桶中添加权限,以便 Google SecOps 读取或删除存储桶中的数据。

高级选项

  • Feed 名称:用于标识 Feed 的预填充值。
  • 资源命名空间:与 Feed 关联的命名空间。
  • 提取标签:应用于相应 Feed 中所有事件的标签。
  • 点击创建 Feed

如需详细了解如何为相应产品系列中的不同日志类型配置多个 Feed,请参阅按产品配置 Feed

UDM 映射表

日志字段 UDM 映射 逻辑
AdapterName security_result.about.resource.attribute.labels.value 该值取自原始日志中的“AdapterName”字段。
AdapterSuffixName security_result.about.resource.attribute.labels.value 该值取自原始日志中的“AdapterSuffixName”字段。
agent_version read_only_udm.metadata.product_version 该值取自原始日志中的“meta.agent_version”字段。
渠道 security_result.about.resource.attribute.labels.value 该值取自原始日志中的“渠道”字段。
commandLine read_only_udm.principal.process.command_line 该值取自原始日志中的“event.Event...commandLine”字段,其中 是具体的事件类型(例如ProcessCreation、ProcessExit),而 是包含进程信息(例如进程、来源、父进程)的字段。
computer_name read_only_udm.principal.hostname 该值取自原始日志中的“meta.computer_name”字段。
destinationAddress.address read_only_udm.target.ip 该值取自原始日志中的“event.Event.Tcpv4.destinationAddress.address”字段。
destinationAddress.port read_only_udm.target.port 该值取自原始日志中的“event.Event.Tcpv4.destinationAddress.port”字段。
DnsServerList read_only_udm.principal.ip 该值取自原始日志中的“DnsServerList”字段。
ErrorCode_new security_result.detection_fields.value 该值取自原始日志中的“ErrorCode_new”字段。
EventID security_result.about.resource.attribute.labels.value 该值取自原始日志中的“EventID”字段。
event.Event.Dns.query read_only_udm.network.dns.questions.name 该值取自原始日志中的“event.Event.Dns.query”字段。
event.Event.Dns.results read_only_udm.network.dns.answers.data 该值取自原始日志中的“event.Event.Dns.results”字段。
event.Event.Dns.source.fullPid.pid read_only_udm.principal.process.pid 该值取自原始日志中的“event.Event.Dns.source.fullPid.pid”字段。
event.Event.Dns.source.user.name read_only_udm.principal.user.userid 该值取自原始日志中的“event.Event.Dns.source.user.name”字段。
event.Event.FileCreation.source.fullPid.pid read_only_udm.principal.process.pid 该值取自原始日志中的“event.Event.FileCreation.source.fullPid.pid”字段。
event.Event.FileCreation.source.user.name read_only_udm.principal.user.userid 该值取自原始日志中的“event.Event.FileCreation.source.user.name”字段。
event.Event.FileCreation.targetFile.path read_only_udm.target.file.full_path 该值取自原始日志中的“event.Event.FileCreation.targetFile.path”字段。
event.Event.FileDeletion.source.fullPid.pid read_only_udm.principal.process.pid 该值取自原始日志中的“event.Event.FileDeletion.source.fullPid.pid”字段。
event.Event.FileDeletion.source.user.name read_only_udm.principal.user.userid 该值取自原始日志中的“event.Event.FileDeletion.source.user.name”字段。
event.Event.FileDeletion.targetFile.path read_only_udm.target.file.full_path 该值取自原始日志中的“event.Event.FileDeletion.targetFile.path”字段。
event.Event.FileModification.file.path read_only_udm.target.file.full_path 该值取自原始日志中的“event.Event.FileModification.file.path”字段。
event.Event.FileModification.source.user.name read_only_udm.principal.user.userid 该值取自原始日志中的“event.Event.FileModification.source.user.name”字段。
event.Event.FileModification.targetFile.path read_only_udm.target.file.full_path 该值取自原始日志中的“event.Event.FileModification.targetFile.path”字段。
event.Event.Http.source.user.name read_only_udm.principal.user.userid 该值取自原始日志中的“event.Event.Http.source.user.name”字段。
event.Event.Http.url read_only_udm.target.url 该值取自原始日志中的“event.Event.Http.url”字段。
event.Event.ProcessCreation.process.user.name read_only_udm.principal.user.userid 该值取自原始日志中的“event.Event.ProcessCreation.process.user.name”字段。
event.Event.ProcessCreation.source.user.name read_only_udm.principal.user.userid 该值取自原始日志中的“event.Event.ProcessCreation.source.user.name”字段。
event.Event.ProcessExit.source.user.name read_only_udm.principal.user.userid 该值取自原始日志中的“event.Event.ProcessExit.source.user.name”字段。
event.Event.ProcessTermination.source.user.name read_only_udm.principal.user.userid 该值取自原始日志中的“event.Event.ProcessTermination.source.user.name”字段。
event.Event.RegKeyCreate.source.fullPid.pid read_only_udm.principal.process.pid 该值取自原始日志中的“event.Event.RegKeyCreate.source.fullPid.pid”字段。
event.Event.RegKeyCreate.source.user.name read_only_udm.principal.user.userid 该值取自原始日志中的“event.Event.RegKeyCreate.source.user.name”字段。
event.Event.RegKeyDelete.source.user.name read_only_udm.principal.user.userid 该值取自原始日志中的“event.Event.RegKeyDelete.source.user.name”字段。
event.Event.RegValueModified.source.user.name read_only_udm.principal.user.userid 该值取自原始日志中的“event.Event.RegValueModified.source.user.name”字段。
event.Event.SchedTaskDelete.source.user.name read_only_udm.principal.user.userid 该值取自原始日志中的“event.Event.SchedTaskDelete.source.user.name”字段。
event.Event.SchedTaskRegister.source.user.name read_only_udm.principal.user.userid 该值取自原始日志中的“event.Event.SchedTaskRegister.source.user.name”字段。
event.Event.SchedTaskStart.source.user.name read_only_udm.principal.user.userid 该值取自原始日志中的“event.Event.SchedTaskStart.source.user.name”字段。
event.Event.SchedTaskTrigger.source.fullPid.pid read_only_udm.principal.process.pid 该值取自原始日志中的“event.Event.SchedTaskTrigger.source.fullPid.pid”字段。
event.Event.SchedTaskTrigger.source.user.name read_only_udm.principal.user.userid 该值取自原始日志中的“event.Event.SchedTaskTrigger.source.user.name”字段。
event.Event.Tcpv4.source.fullPid.pid read_only_udm.principal.process.pid 该值取自原始日志中的“event.Event.Tcpv4.source.fullPid.pid”字段。
event.Event.Tcpv4.source.user.name read_only_udm.principal.user.userid 该值取自原始日志中的“event.Event.Tcpv4.source.user.name”字段。
event.Event.Tcpv4Listen.local.address read_only_udm.principal.ip 该值取自原始日志中的“event.Event.Tcpv4Listen.local.address”字段。
event.timestamp.millisecondsSinceEpoch read_only_udm.metadata.event_timestamp.seconds 该值取自原始日志中的“event.timestamp.millisecondsSinceEpoch”字段,并转换为秒。
event.timestamp.millisecondsSinceEpoch read_only_udm.metadata.event_timestamp.nanos 该值取自原始日志中的“event.timestamp.millisecondsSinceEpoch”字段,并转换为纳秒。
event.timestamp.millisecondsSinceEpoch security_result.about.resource.attribute.labels.value 该值取自原始日志中的“event.timestamp.millisecondsSinceEpoch”字段,并用作 security_result.about.resource.attribute.labels 数组中某个标签的值。
event_type read_only_udm.metadata.product_event_type 该值使用 Grok 模式从原始日志的“message”字段中提取。
executable.hashes.md5 read_only_udm.principal.process.file.md5 该值取自原始日志中的“event.Event...executable.hashes.md5”字段,其中 是具体的事件类型(例如,ProcessCreation、ProcessExit),而 是包含进程信息(例如进程、来源、父进程)的字段。
executable.hashes.sha1 read_only_udm.principal.process.file.sha1 该值取自原始日志中的“event.Event...executable.hashes.sha1”字段,其中 是具体的事件类型(例如,ProcessCreation、ProcessExit),而 是包含进程信息(例如进程、来源、父进程)的字段。
executable.hashes.sha256 read_only_udm.principal.process.file.sha256 该值取自原始日志中的“event.Event...executable.hashes.sha256”字段,其中 是具体的事件类型(例如ProcessCreation、ProcessExit),而 是包含进程信息(例如进程、来源、父进程)的字段。
executable.path read_only_udm.principal.process.file.full_path 该值取自原始日志中的“event.Event...executable.path”字段,其中 是具体的事件类型(例如,ProcessCreation、ProcessExit),而 是包含进程信息(例如进程、来源、父进程)的字段。
executable.sizeBytes read_only_udm.principal.process.file.size 该值取自原始日志中的“event.Event...executable.sizeBytes”字段,其中 是具体的事件类型(例如,ProcessCreation、ProcessExit),而 是包含进程信息(例如进程、来源、父进程)的字段。
fullPid.pid read_only_udm.principal.process.pid 该值取自原始日志中的“event.Event...fullPid.pid”字段,其中 是具体的事件类型(例如,ProcessCreation、ProcessExit),而 是包含进程信息(例如进程、来源、父进程)的字段。
hashes.md5 read_only_udm.target.file.md5 该值取自原始日志中的“event.Event.ProcessCreation.hashes.md5”字段。
hashes.sha1 read_only_udm.target.file.sha1 该值取自原始日志中的“event.Event.ProcessCreation.hashes.sha1”字段。
hashes.sha256 read_only_udm.target.file.sha256 该值取自原始日志中的“event.Event.ProcessCreation.hashes.sha256”字段。
IpAddress read_only_udm.target.ip 该值取自原始日志中的“IpAddress”字段。
local.address read_only_udm.principal.ip 该值取自原始日志中的“event.Event.Tcpv4Listen.local.address”字段。
local.port read_only_udm.principal.port 该值取自原始日志中的“event.Event.Tcpv4Listen.local.port”字段。
log_type read_only_udm.metadata.log_type 该值取自原始日志中的“log_type”字段。
meta.agent_version read_only_udm.metadata.product_version 该值取自原始日志中的“meta.agent_version”字段。
meta.computer_name read_only_udm.principal.hostname 该值取自原始日志中的“meta.computer_name”字段。
meta.os_family read_only_udm.principal.platform 该值取自原始日志中的“meta.os_family”字段,并映射到相应的平台(例如,windows 表示 Windows,osx 表示 Mac,linux 表示 Linux)。
meta.os_name read_only_udm.principal.platform_version 该值取自原始日志中的“meta.os_name”字段。
meta.os_revision read_only_udm.principal.platform_patch_level 该值取自原始日志中的“meta.os_revision”字段。
meta.uuid read_only_udm.principal.asset_id 该值取自原始日志中的“meta.uuid”字段,并以 SENTINELONE: 为前缀。
name read_only_udm.principal.application 该值取自原始日志中的“event.Event...name”字段,其中 是具体的事件类型(例如,ProcessCreation、ProcessExit),而 是包含进程信息(例如进程、来源、父进程)的字段。
parent.executable.hashes.md5 read_only_udm.target.process.parent_process.file.md5 该值取自原始日志中的“event.Event..parent.executable.hashes.md5”字段,其中 是具体的事件类型(例如,ProcessCreation、ProcessExit)。
parent.executable.hashes.sha1 read_only_udm.target.process.parent_process.file.sha1 该值取自原始日志中的“event.Event..parent.executable.hashes.sha1”字段,其中 是具体的事件类型(例如,ProcessCreation、ProcessExit)。
parent.executable.hashes.sha256 read_only_udm.target.process.parent_process.file.sha256 该值取自原始日志中的“event.Event..parent.executable.hashes.sha256”字段,其中 是具体的事件类型(例如,ProcessCreation、ProcessExit)。
parent.executable.path read_only_udm.target.process.parent_process.file.full_path 该值取自原始日志中的“event.Event..parent.executable.path”字段,其中 是具体的事件类型(例如,ProcessCreation、ProcessExit)。
parent.fullPid.pid read_only_udm.target.process.parent_process.pid 该值取自原始日志中的“event.Event..parent.fullPid.pid”字段,其中 是具体的事件类型(例如,ProcessCreation、ProcessExit)。
路径 read_only_udm.principal.process.file.full_path 该值取自原始日志中的“event.Event...path”字段,其中 是具体的事件类型(例如,ProcessCreation、ProcessExit),而 是包含进程信息(例如进程、来源、父进程)的字段。
process.commandLine read_only_udm.target.process.command_line 该值取自原始日志中的“event.Event.ProcessCreation.process.commandLine”字段。
process.fullPid.pid read_only_udm.target.process.pid 该值取自原始日志中的“event.Event.ProcessCreation.process.fullPid.pid”字段。
process.parent.fullPid.pid read_only_udm.target.process.parent_process.pid 该值取自原始日志中的“event.Event.ProcessCreation.process.parent.fullPid.pid”字段。
ProviderGuid security_result.about.resource.attribute.labels.value 该值取自原始日志中的“ProviderGuid”字段,并移除了大括号。
查询 read_only_udm.network.dns.questions.name 该值取自原始日志中的“event.Event.Dns.query”字段。
RecordNumber security_result.about.resource.attribute.labels.value 该值取自原始日志中的“RecordNumber”字段。
regKey.path read_only_udm.target.registry.registry_key 该值取自原始日志中的“event.Event.RegKeyCreate.regKey.path”或“event.Event.RegKeyDelete.regKey.path”字段。
regValue.path read_only_udm.target.registry.registry_key 该值取自原始日志中的“event.Event.RegValueDelete.regValue.path”或“event.Event.RegValueModified.regValue.path”字段。
结果 read_only_udm.network.dns.answers.data 该值取自原始日志中的“event.Event.Dns.results”字段。
发送了 UpdateServer intermediary.hostname 该值取自原始日志中的“Sent UpdateServer”字段。
seq_id 此字段未直接映射到 UDM。
signature.Status.Signed.identity 此字段未直接映射到 UDM。
sizeBytes read_only_udm.principal.process.file.size 该值取自原始日志中的“event.Event...sizeBytes”字段,其中 是具体的事件类型(例如,ProcessCreation、ProcessExit),而 是包含进程信息(例如进程、来源、父进程)的字段。
sourceAddress.address read_only_udm.principal.ip 该值取自原始日志中的“event.Event.Tcpv4.sourceAddress.address”字段。
sourceAddress.port read_only_udm.principal.port 该值取自原始日志中的“event.Event.Tcpv4.sourceAddress.port”字段。
SourceName security_result.about.resource.attribute.labels.value 该值取自原始日志中的“SourceName”字段。
状态 此字段未直接映射到 UDM。
taskName read_only_udm.target.resource.name 该值取自原始日志中的“event.Event.SchedTaskStart.taskName”“event.Event.SchedTaskTrigger.taskName”或“event.Event.SchedTaskDelete.taskName”字段。
targetFile.hashes.md5 read_only_udm.target.file.md5 该值取自原始日志中的“event.Event.FileDeletion.targetFile.hashes.md5”或“event.Event.SchedTaskStart.targetFile.hashes.md5”字段。
targetFile.hashes.sha1 read_only_udm.target.file.sha1 该值取自原始日志中的“event.Event.FileDeletion.targetFile.hashes.sha1”或“event.Event.SchedTaskStart.targetFile.hashes.sha1”字段。
targetFile.hashes.sha256 read_only_udm.target.file.sha256 该值取自原始日志中的“event.Event.FileDeletion.targetFile.hashes.sha256”或“event.Event.SchedTaskStart.targetFile.hashes.sha256”字段。
targetFile.path read_only_udm.target.file.full_path 该值取自原始日志中的“event.Event.FileDeletion.targetFile.path”或“event.Event.SchedTaskStart.targetFile.path”字段。
任务 security_result.about.resource.attribute.labels.value 该值取自原始日志中的“任务”字段。
timestamp.millisecondsSinceEpoch read_only_udm.metadata.event_timestamp.seconds 该值取自原始日志中的“event.timestamp.millisecondsSinceEpoch”字段,并转换为秒。
timestamp.millisecondsSinceEpoch read_only_udm.metadata.event_timestamp.nanos 该值取自原始日志中的“event.timestamp.millisecondsSinceEpoch”字段,并转换为纳秒。
trace_id 此字段未直接映射到 UDM。
triggerType 此字段未直接映射到 UDM。
trueContext 此字段未直接映射到 UDM。
trueContext.key 此字段未直接映射到 UDM。
trueContext.key.value 此字段未直接映射到 UDM。
类型 read_only_udm.network.dns.answers.type 该值取自原始日志中的“event.Event.Dns.results”字段,并使用正则表达式提取。
网址 read_only_udm.target.url 该值取自原始日志中的“event.Event.Http.url”字段。
user.name read_only_udm.principal.user.userid 该值取自原始日志中的“event.Event...user.name”字段,其中 是具体的事件类型(例如,ProcessCreation、ProcessExit),而 是包含进程信息(例如进程、来源、父进程)的字段。
user.sid read_only_udm.principal.user.windows_sid 该值取自原始日志中的“event.Event...user.sid”字段,其中 是具体的事件类型(例如,ProcessCreation、ProcessExit),而 是包含进程信息(例如进程、来源、父进程)的字段。
UserID read_only_udm.target.user.windows_sid 该值取自原始日志中的“UserID”字段,前提是该字段与 Windows SID 模式匹配。
UserSid read_only_udm.target.user.windows_sid 该值取自原始日志中的“UserSid”字段,前提是该字段与 Windows SID 模式匹配。
valueType 此字段未直接映射到 UDM。
winEventLog.channel security_result.about.resource.attribute.labels.value 该值取自原始日志中的“winEventLog.channel”字段。
winEventLog.description 此字段未直接映射到 UDM。
winEventLog.id security_result.about.resource.attribute.labels.value 该值取自原始日志中的“winEventLog.id”字段。
winEventLog.level security_result.severity 该值取自原始日志中的“winEventLog.level”字段,并映射到相应的严重程度(例如,Warning 到中等)。
winEventLog.providerName security_result.about.resource.attribute.labels.value 该值取自原始日志中的“winEventLog.providerName”字段。
winEventLog.xml 此字段未直接映射到 UDM。
read_only_udm.metadata.event_type 该值根据“event_type”字段确定,并映射到相应的 UDM 事件类型。
read_only_udm.metadata.vendor_name 该值设置为 SentinelOne
read_only_udm.metadata.product_name 该值设置为 Deep Visibility
read_only_udm.metadata.product_log_id 该值取自原始日志中的“trace.id”字段,仅适用于“meta.event.name”等于 PROCESSCREATION 的事件。
read_only_udm.metadata.product_deployment_id 该值取自原始日志中的“account.id”字段,仅适用于“meta.event.name”等于 PROCESSCREATION 的事件。
read_only_udm.metadata.url_back_to_product 该值取自原始日志中的“mgmt.url”字段,仅适用于“meta.event.name”等于 PROCESSCREATION 的事件。
read_only_udm.metadata.ingestion_labels.key 对于“meta.event.name”等于 PROCESSCREATION 的事件,该值设置为 Process eUserUidProcess lUserUid
read_only_udm.metadata.ingestion_labels.value 该值取自原始日志中的“src.process.eUserUid”或“src.process.lUserUid”字段,仅适用于“meta.event.name”等于 PROCESSCREATION 的事件。
read_only_udm.principal.administrative_domain 原始日志中“event.Event...user.name”字段的网域部分,其中 是具体事件类型(例如,ProcessCreation、ProcessExit),而 是包含进程信息(例如进程、来源、父进程)的字段。
read_only_udm.target.process.parent_process.command_line 该值取自原始日志中的“event.Event..parent.commandLine”字段,其中 是具体的事件类型(例如,ProcessCreation、ProcessExit)。
read_only_udm.target.file 如果“event_type”不是 FileCreationFileDeletionFileModificationSchedTaskStartProcessCreation,则会创建一个空对象。
read_only_udm.network.ip_protocol 对于“event_type”等于 Tcpv4Tcpv4ListenHttp 的事件,该值设置为 TCP。
read_only_udm.network.application_protocol 对于“event_type”等于 Dns 的事件,该值设置为 DNS。
read_only_udm.target.resource.type 对于“event_type”等于 SchedTaskStartSchedTaskTriggerSchedTaskDelete 的事件,该值设置为 TASK
read_only_udm.target.resource.resource_type 对于“event_type”等于 SchedTaskStartSchedTaskTriggerSchedTaskDelete 的事件,该值设置为 TASK。
read_only_udm.principal.process.product_specific_process_id 如果原始日志中存在“ExecutionThreadID”字段,则该值设置为 ExecutionThreadID:<ExecutionThreadID>
read_only_udm.principal.asset.asset_id 如果原始日志中存在“agent.uuid”字段,则该值设置为 Device ID:<agent.uuid>
read_only_udm.principal.namespace 该值取自原始日志中的“site.id”字段,仅适用于“meta.event.name”等于 PROCESSCREATION 的事件。
read_only_udm.principal.location.name 该值取自原始日志中的“site.name”字段,仅适用于“meta.event.name”等于 PROCESSCREATION 的事件。
read_only_udm.principal.resource.attribute.labels.key 对于“meta.event.name”等于 PROCESSCREATION 的事件,该值设置为 src.process.displayNamesrc.process.uidisRedirectCmdProcessorisNative64BitisStorylineRootsignedStatussrc process subsystemsrc process integrityLevelchildProcCount
read_only_udm.principal.resource.attribute.labels.value 该值取自原始日志中的相应字段,仅适用于“meta.event.name”等于 PROCESSCREATION 的事件。
read_only_udm.target.user.userid 该值取自原始日志中的“tgt.process.uid”字段,仅适用于“meta.event.name”等于 PROCESSCREATION 的事件。
read_only_udm.target.user.user_display_name 该值取自原始日志中的“tgt.process.displayName”字段,仅适用于“meta.event.name”等于 PROCESSCREATION 的事件。
read_only_udm.target.resource.attribute.labels.key 对于“meta.event.name”等于 PROCESSCREATION 的事件,该值设置为 isRedirectCmdProcessorisNative64BitisStorylineRootsignedStatusfile_isSignedtgt process subsystemtgt process integrityLevel
read_only_udm.target.resource.attribute.labels.value 该值取自原始日志中的相应字段,仅适用于“meta.event.name”等于 PROCESSCREATION 的事件。
read_only_udm.security_result.about.resource.attribute.labels.key 对于“meta.event.name”等于 PROCESSCREATION 的事件,该值设置为 tgt.process.storyline.idendpoint_typepacket_idsrc.process.storyline.idsrc.process.parent.storyline.id
read_only_udm.security_result.about.resource.attribute.labels.value 该值取自原始日志中的相应字段,并以 ID: 作为故事情节 ID 的前缀,仅适用于 'meta.event.name' 等于 PROCESSCREATION 的事件。
read_only_udm.security_result.category_details 对于“meta.event.name”等于 PROCESSCREATION 的事件,该值设置为 security
read_only_udm.target.asset.product_object_id 该值取自原始日志中的“AdapterName”字段,仅适用于“meta.event.name”等于 EVENTLOG 的事件。
security_result.about.resource.attribute.labels.key 对于“meta.event.name”等于 EVENTLOG 的事件,该值设置为 TimeCreated SystemTimeEventIDTaskChannelProviderGuidRecordNumberSourceNameendpoint_typepacket_id
security_result.detection_fields.key 对于 'meta.event.name' 等于 EVENTLOG 且 'ActivityID' 字段不为空的事件,该值设置为 Activity ID
security_result.detection_fields.value 该值取自原始日志中的“ActivityID”字段,仅适用于“meta.event.name”等于 EVENTLOG 且“ActivityID”字段不为空的事件。

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。