收集 SentinelOne Deep Visibility 記錄
支援的國家/地區:
Google SecOps
SIEM
本文說明如何使用 Cloud Funnel 將記錄檔匯出至 Google Cloud Storage,進而將 SentinelOne Deep Visibility 記錄檔匯出至 Google Security Operations。剖析器會將原始 JSON 格式的安全事件記錄轉換為符合 UDM 的結構化格式。這個外掛程式會先初始化一組變數,然後擷取事件類型並剖析 JSON 酬載,同時將相關欄位對應至 UDM 結構定義,並分別處理 Windows 事件記錄。
事前準備
請確認您已完成下列事前準備事項:
- Google SecOps 執行個體
- Google Cloud的特殊存取權
- 在環境中設定 SentinelOne Deep Visibility
- SentinelOne 的特殊存取權
建立 Google Cloud Storage bucket
- 登入Google Cloud 控制台。
前往「Cloud Storage Buckets」(Cloud Storage bucket) 頁面。
點選「建立」。
在「建立 bucket」頁面中,輸入 bucket 資訊。完成下列每個步驟後,請按一下「繼續」前往下一個步驟:
在「開始使用」部分執行下列操作:
- 輸入符合值區名稱規定的專屬名稱,例如 sentinelone-deepvisibility。
如要啟用階層命名空間,請按一下展開箭頭,展開「為檔案導向和資料密集型工作負載提供最理想的儲存空間」部分,然後選取「為這個值區啟用階層結構式命名空間」。
如要新增值區標籤,請按一下展開箭頭,展開「標籤」部分。
按一下「新增標籤」,然後指定標籤的鍵和值。
在「Choose where to store your data」(選擇資料的儲存位置) 專區中執行下列操作:
- 選取「位置類型」。
使用位置類型選單選取位置,永久儲存 bucket 中的物件資料。
如要設定跨 bucket 複製作業,請展開「設定跨 bucket 複製作業」部分。
在「為資料選擇儲存空間級別」部分,選取值區的預設儲存空間級別,或選取「Autoclass」,讓系統自動管理值區資料的儲存空間級別。
在「選取如何控制物件的存取權」部分,選取「否」以強制禁止公開存取,並為值區物件選取存取權控管模型。
在「選擇保護物件資料的方式」部分,執行下列操作:
- 選取「資料保護」下要為值區設定的任何選項。
- 如要選擇物件資料的加密方式,請按一下標示為「資料加密」的展開箭頭,然後選取「資料加密方法」。
點選「建立」。
建立 Google Cloud 服務帳戶
- 依序前往「IAM & Admin」(IAM 與管理) >「Service Accounts」(服務帳戶)。
- 建立新的服務帳戶。
- 為其設定描述性名稱,例如 sentinelone-dv-logs。
- 在您於上一步建立的 Cloud Storage bucket 中,將「Storage 物件建立者」角色授予服務帳戶。
- 為服務帳戶建立 SSH 金鑰。
- 下載服務帳戶的 JSON 金鑰檔案。請妥善保管這個檔案。
如何在 SentinelOne DeepVisibility 中設定 Cloud Funnel
- 登入 SentinelOne DeepVisibility。
- 依序點選「設定」>「政策與設定」。
- 在「Singularity Data Lake」部分,按一下「Cloud Funnel」。
- 提供下列設定詳細資料:
- 雲端服務供應商:選取 Google Cloud。
- Bucket 名稱:輸入您為 SentinelOne DeepVisibility 記錄檔擷取作業建立的 Cloud Storage bucket 名稱。
- 遙測串流:選取「啟用」。
- 查詢篩選條件:建立查詢,其中包含需要將資料傳送至 Cloud Storage 值區的代理程式。
- 按一下「Validate」(驗證)。
- 要納入的欄位:選取所有欄位。
- 按一下 [儲存]。
設定動態饋給
在 Google SecOps 平台中,有兩種不同的進入點可設定動態饋給:
- 「SIEM 設定」>「動態消息」
- 內容中心 > 內容包
依序前往「SIEM 設定」>「動態消息」,設定動態消息
如要為這個產品系列中的不同記錄類型設定多個動態饋給,請參閱「依產品設定動態饋給」。
如要設定單一動態饋給,請按照下列步驟操作:
- 依序前往「SIEM 設定」>「動態饋給」。
- 按一下「新增動態消息」。
- 在下一個頁面中,按一下「設定單一動態饋給」。
- 在「動態饋給名稱」欄位中,輸入動態饋給的名稱,例如「SentinelOne DV Logs」。
- 選取「Google Cloud Storage」做為「來源類型」。
- 選取「SentinelOne Deep Visibility」做為「記錄類型」。
- 按一下「Chronicle 服務帳戶」的「取得服務帳戶」。
- 點選「下一步」。
指定下列輸入參數的值:
- 儲存空間值區 URI:Google Cloud Storage 值區網址,格式為
gs://my-bucket/<value>。 - 「URI Is A」(URI 為):選取「Directory which includes subdirectories」(包含子目錄的目錄)。
來源刪除選項:根據擷取偏好設定選取刪除選項。
資產命名空間:資產命名空間。
擷取標籤:套用至這個動態饋給事件的標籤。
- 儲存空間值區 URI:Google Cloud Storage 值區網址,格式為
點選「下一步」。
在「Finalize」畫面中檢查新的動態饋給設定,然後按一下「Submit」。
從內容中心設定動態饋給
為下列欄位指定值:
- 儲存空間 bucket URI:Google Cloud Storage bucket 來源 URI。
- URI 為:根據記錄串流設定選取 URI 類型 (「單一檔案」|「目錄」|「包含子目錄的目錄」)。
- 來源刪除選項:根據擷取偏好設定選取刪除選項。
進階選項
- 動態饋給名稱:系統預先填入的值,用於識別動態饋給。
- 來源類型:將記錄收集到 Google SecOps 的方法。
- 資產命名空間:與動態饋給相關聯的命名空間。
- 擷取標籤:套用至這個動態饋給所有事件的標籤。
UDM 對應表
| 記錄欄位 | UDM 對應 | 邏輯 |
|---|---|---|
| AdapterName | security_result.about.resource.attribute.labels.value | 這個值取自原始記錄中的「AdapterName」欄位。 |
| AdapterSuffixName | security_result.about.resource.attribute.labels.value | 這個值取自原始記錄中的「AdapterSuffixName」欄位。 |
| agent_version | read_only_udm.metadata.product_version | 這個值取自原始記錄中的「meta.agent_version」欄位。 |
| 管道 | security_result.about.resource.attribute.labels.value | 這個值取自原始記錄中的「管道」欄位。 |
| commandLine | read_only_udm.principal.process.command_line | 這個值取自原始記錄中的「event.Event. |
| computer_name | read_only_udm.principal.hostname | 這個值取自原始記錄中的「meta.computer_name」欄位。 |
| destinationAddress.address | read_only_udm.target.ip | 此值取自原始記錄中的「event.Event.Tcpv4.destinationAddress.address」欄位。 |
| destinationAddress.port | read_only_udm.target.port | 此值取自原始記錄中的「event.Event.Tcpv4.destinationAddress.port」欄位。 |
| DnsServerList | read_only_udm.principal.ip | 這個值取自原始記錄中的「DnsServerList」欄位。 |
| ErrorCode_new | security_result.detection_fields.value | 這個值取自原始記錄中的「ErrorCode_new」欄位。 |
| EventID | security_result.about.resource.attribute.labels.value | 這個值取自原始記錄中的「EventID」欄位。 |
| event.Event.Dns.query | read_only_udm.network.dns.questions.name | 此值取自原始記錄中的「event.Event.Dns.query」欄位。 |
| event.Event.Dns.results | read_only_udm.network.dns.answers.data | 此值取自原始記錄中的「event.Event.Dns.results」欄位。 |
| event.Event.Dns.source.fullPid.pid | read_only_udm.principal.process.pid | 此值取自原始記錄中的「event.Event.Dns.source.fullPid.pid」欄位。 |
| event.Event.Dns.source.user.name | read_only_udm.principal.user.userid | 這個值取自原始記錄中的「event.Event.Dns.source.user.name」欄位。 |
| event.Event.FileCreation.source.fullPid.pid | read_only_udm.principal.process.pid | 此值取自原始記錄中的「event.Event.FileCreation.source.fullPid.pid」欄位。 |
| event.Event.FileCreation.source.user.name | read_only_udm.principal.user.userid | 這個值取自原始記錄中的「event.Event.FileCreation.source.user.name」欄位。 |
| event.Event.FileCreation.targetFile.path | read_only_udm.target.file.full_path | 這個值取自原始記錄中的「event.Event.FileCreation.targetFile.path」欄位。 |
| event.Event.FileDeletion.source.fullPid.pid | read_only_udm.principal.process.pid | 這個值取自原始記錄中的「event.Event.FileDeletion.source.fullPid.pid」欄位。 |
| event.Event.FileDeletion.source.user.name | read_only_udm.principal.user.userid | 這個值取自原始記錄中的「event.Event.FileDeletion.source.user.name」欄位。 |
| event.Event.FileDeletion.targetFile.path | read_only_udm.target.file.full_path | 這個值取自原始記錄中的「event.Event.FileDeletion.targetFile.path」欄位。 |
| event.Event.FileModification.file.path | read_only_udm.target.file.full_path | 這個值取自原始記錄中的「event.Event.FileModification.file.path」欄位。 |
| event.Event.FileModification.source.user.name | read_only_udm.principal.user.userid | 這個值取自原始記錄中的「event.Event.FileModification.source.user.name」欄位。 |
| event.Event.FileModification.targetFile.path | read_only_udm.target.file.full_path | 這個值取自原始記錄中的「event.Event.FileModification.targetFile.path」欄位。 |
| event.Event.Http.source.user.name | read_only_udm.principal.user.userid | 這個值取自原始記錄中的「event.Event.Http.source.user.name」欄位。 |
| event.Event.Http.url | read_only_udm.target.url | 這個值取自原始記錄中的「event.Event.Http.url」欄位。 |
| event.Event.ProcessCreation.process.user.name | read_only_udm.principal.user.userid | 這個值取自原始記錄中的「event.Event.ProcessCreation.process.user.name」欄位。 |
| event.Event.ProcessCreation.source.user.name | read_only_udm.principal.user.userid | 這個值取自原始記錄中的「event.Event.ProcessCreation.source.user.name」欄位。 |
| event.Event.ProcessExit.source.user.name | read_only_udm.principal.user.userid | 這個值取自原始記錄中的「event.Event.ProcessExit.source.user.name」欄位。 |
| event.Event.ProcessTermination.source.user.name | read_only_udm.principal.user.userid | 這個值取自原始記錄中的「event.Event.ProcessTermination.source.user.name」欄位。 |
| event.Event.RegKeyCreate.source.fullPid.pid | read_only_udm.principal.process.pid | 此值取自原始記錄中的「event.Event.RegKeyCreate.source.fullPid.pid」欄位。 |
| event.Event.RegKeyCreate.source.user.name | read_only_udm.principal.user.userid | 這個值取自原始記錄中的「event.Event.RegKeyCreate.source.user.name」欄位。 |
| event.Event.RegKeyDelete.source.user.name | read_only_udm.principal.user.userid | 這個值取自原始記錄中的「event.Event.RegKeyDelete.source.user.name」欄位。 |
| event.Event.RegValueModified.source.user.name | read_only_udm.principal.user.userid | 這個值取自原始記錄中的「event.Event.RegValueModified.source.user.name」欄位。 |
| event.Event.SchedTaskDelete.source.user.name | read_only_udm.principal.user.userid | 這個值取自原始記錄中的「event.Event.SchedTaskDelete.source.user.name」欄位。 |
| event.Event.SchedTaskRegister.source.user.name | read_only_udm.principal.user.userid | 這個值取自原始記錄中的「event.Event.SchedTaskRegister.source.user.name」欄位。 |
| event.Event.SchedTaskStart.source.user.name | read_only_udm.principal.user.userid | 這個值取自原始記錄中的「event.Event.SchedTaskStart.source.user.name」欄位。 |
| event.Event.SchedTaskTrigger.source.fullPid.pid | read_only_udm.principal.process.pid | 此值取自原始記錄中的「event.Event.SchedTaskTrigger.source.fullPid.pid」欄位。 |
| event.Event.SchedTaskTrigger.source.user.name | read_only_udm.principal.user.userid | 這個值取自原始記錄中的「event.Event.SchedTaskTrigger.source.user.name」欄位。 |
| event.Event.Tcpv4.source.fullPid.pid | read_only_udm.principal.process.pid | 此值取自原始記錄中的「event.Event.Tcpv4.source.fullPid.pid」欄位。 |
| event.Event.Tcpv4.source.user.name | read_only_udm.principal.user.userid | 這個值取自原始記錄中的「event.Event.Tcpv4.source.user.name」欄位。 |
| event.Event.Tcpv4Listen.local.address | read_only_udm.principal.ip | 此值取自原始記錄中的「event.Event.Tcpv4Listen.local.address」欄位。 |
| event.timestamp.millisecondsSinceEpoch | read_only_udm.metadata.event_timestamp.seconds | 這個值取自原始記錄中的「event.timestamp.millisecondsSinceEpoch」欄位,並轉換為秒數。 |
| event.timestamp.millisecondsSinceEpoch | read_only_udm.metadata.event_timestamp.nanos | 這個值取自原始記錄中的「event.timestamp.millisecondsSinceEpoch」欄位,並轉換為奈秒。 |
| event.timestamp.millisecondsSinceEpoch | security_result.about.resource.attribute.labels.value | 這個值取自原始記錄中的「event.timestamp.millisecondsSinceEpoch」欄位,並做為 security_result.about.resource.attribute.labels 陣列中標籤的值。 |
| event_type | read_only_udm.metadata.product_event_type | 系統會使用 grok 模式,從原始記錄的「message」欄位中擷取值。 |
| executable.hashes.md5 | read_only_udm.principal.process.file.md5 | 此值取自原始記錄中的「event.Event. |
| executable.hashes.sha1 | read_only_udm.principal.process.file.sha1 | 此值取自原始記錄中的「event.Event. |
| executable.hashes.sha256 | read_only_udm.principal.process.file.sha256 | 此值取自原始記錄中的「event.Event. |
| executable.path | read_only_udm.principal.process.file.full_path | 此值取自原始記錄中的「event.Event. |
| executable.sizeBytes | read_only_udm.principal.process.file.size | 這個值取自原始記錄中的「event.Event. |
| fullPid.pid | read_only_udm.principal.process.pid | 此值取自原始記錄中的「event.Event. |
| hashes.md5 | read_only_udm.target.file.md5 | 此值取自原始記錄中的「event.Event.ProcessCreation.hashes.md5」欄位。 |
| hashes.sha1 | read_only_udm.target.file.sha1 | 此值取自原始記錄中的「event.Event.ProcessCreation.hashes.sha1」欄位。 |
| hashes.sha256 | read_only_udm.target.file.sha256 | 此值取自原始記錄中的「event.Event.ProcessCreation.hashes.sha256」欄位。 |
| IpAddress | read_only_udm.target.ip | 這個值取自原始記錄中的「IpAddress」欄位。 |
| local.address | read_only_udm.principal.ip | 此值取自原始記錄中的「event.Event.Tcpv4Listen.local.address」欄位。 |
| local.port | read_only_udm.principal.port | 此值取自原始記錄中的「event.Event.Tcpv4Listen.local.port」欄位。 |
| log_type | read_only_udm.metadata.log_type | 這個值取自原始記錄中的「log_type」欄位。 |
| meta.agent_version | read_only_udm.metadata.product_version | 這個值取自原始記錄中的「meta.agent_version」欄位。 |
| meta.computer_name | read_only_udm.principal.hostname | 這個值取自原始記錄中的「meta.computer_name」欄位。 |
| meta.os_family | read_only_udm.principal.platform | 這個值取自原始記錄中的「meta.os_family」欄位,並對應至相應平台 (例如windows (Windows)、osx (Mac) 或 linux (Linux)。 |
| meta.os_name | read_only_udm.principal.platform_version | 這個值取自原始記錄中的「meta.os_name」欄位。 |
| meta.os_revision | read_only_udm.principal.platform_patch_level | 這個值取自原始記錄中的「meta.os_revision」欄位。 |
| meta.uuid | read_only_udm.principal.asset_id | 這個值取自原始記錄中的「meta.uuid」欄位,並加上 SENTINELONE: 前置字元。 |
| 名稱 | read_only_udm.principal.application | 這個值取自原始記錄中的「event.Event. |
| parent.executable.hashes.md5 | read_only_udm.target.process.parent_process.file.md5 | 此值取自原始記錄中的「event.Event. |
| parent.executable.hashes.sha1 | read_only_udm.target.process.parent_process.file.sha1 | 此值取自原始記錄中的「event.Event. |
| parent.executable.hashes.sha256 | read_only_udm.target.process.parent_process.file.sha256 | 此值取自原始記錄中的「event.Event. |
| parent.executable.path | read_only_udm.target.process.parent_process.file.full_path | 這個值取自原始記錄中的「event.Event. |
| parent.fullPid.pid | read_only_udm.target.process.parent_process.pid | 這個值取自原始記錄中的「event.Event. |
| 路徑 | read_only_udm.principal.process.file.full_path | 此值取自原始記錄中的「event.Event. |
| process.commandLine | read_only_udm.target.process.command_line | 此值取自原始記錄中的「event.Event.ProcessCreation.process.commandLine」欄位。 |
| process.fullPid.pid | read_only_udm.target.process.pid | 此值取自原始記錄中的「event.Event.ProcessCreation.process.fullPid.pid」欄位。 |
| process.parent.fullPid.pid | read_only_udm.target.process.parent_process.pid | 此值取自原始記錄中的「event.Event.ProcessCreation.process.parent.fullPid.pid」欄位。 |
| ProviderGuid | security_result.about.resource.attribute.labels.value | 這個值取自原始記錄中的「ProviderGuid」欄位,並移除大括號。 |
| 查詢 | read_only_udm.network.dns.questions.name | 此值取自原始記錄中的「event.Event.Dns.query」欄位。 |
| RecordNumber | security_result.about.resource.attribute.labels.value | 這個值取自原始記錄中的「RecordNumber」欄位。 |
| regKey.path | read_only_udm.target.registry.registry_key | 此值取自原始記錄中的「event.Event.RegKeyCreate.regKey.path」或「event.Event.RegKeyDelete.regKey.path」欄位。 |
| regValue.path | read_only_udm.target.registry.registry_key | 這個值取自原始記錄中的「event.Event.RegValueDelete.regValue.path」或「event.Event.RegValueModified.regValue.path」欄位。 |
| 結果 | read_only_udm.network.dns.answers.data | 此值取自原始記錄中的「event.Event.Dns.results」欄位。 |
| 已傳送 UpdateServer | intermediary.hostname | 這個值取自原始記錄中的「Sent UpdateServer」欄位。 |
| seq_id | 這個欄位不會直接對應至 UDM。 | |
| signature.Status.Signed.identity | 這個欄位不會直接對應至 UDM。 | |
| sizeBytes | read_only_udm.principal.process.file.size | 這個值取自原始記錄中的「event.Event. |
| sourceAddress.address | read_only_udm.principal.ip | 此值取自原始記錄中的「event.Event.Tcpv4.sourceAddress.address」欄位。 |
| sourceAddress.port | read_only_udm.principal.port | 此值取自原始記錄中的「event.Event.Tcpv4.sourceAddress.port」欄位。 |
| SourceName | security_result.about.resource.attribute.labels.value | 這個值取自原始記錄中的「SourceName」欄位。 |
| 狀態 | 這個欄位不會直接對應至 UDM。 | |
| taskName | read_only_udm.target.resource.name | 此值取自原始記錄中的「event.Event.SchedTaskStart.taskName」、「event.Event.SchedTaskTrigger.taskName」或「event.Event.SchedTaskDelete.taskName」欄位。 |
| targetFile.hashes.md5 | read_only_udm.target.file.md5 | 此值取自原始記錄中的「event.Event.FileDeletion.targetFile.hashes.md5」或「event.Event.SchedTaskStart.targetFile.hashes.md5」欄位。 |
| targetFile.hashes.sha1 | read_only_udm.target.file.sha1 | 此值取自原始記錄中的「event.Event.FileDeletion.targetFile.hashes.sha1」或「event.Event.SchedTaskStart.targetFile.hashes.sha1」欄位。 |
| targetFile.hashes.sha256 | read_only_udm.target.file.sha256 | 此值取自原始記錄中的「event.Event.FileDeletion.targetFile.hashes.sha256」或「event.Event.SchedTaskStart.targetFile.hashes.sha256」欄位。 |
| targetFile.path | read_only_udm.target.file.full_path | 這個值取自原始記錄中的「event.Event.FileDeletion.targetFile.path」或「event.Event.SchedTaskStart.targetFile.path」欄位。 |
| 工作 | security_result.about.resource.attribute.labels.value | 這個值取自原始記錄中的「工作」欄位。 |
| timestamp.millisecondsSinceEpoch | read_only_udm.metadata.event_timestamp.seconds | 這個值取自原始記錄中的「event.timestamp.millisecondsSinceEpoch」欄位,並轉換為秒數。 |
| timestamp.millisecondsSinceEpoch | read_only_udm.metadata.event_timestamp.nanos | 這個值取自原始記錄中的「event.timestamp.millisecondsSinceEpoch」欄位,並轉換為奈秒。 |
| trace_id | 這個欄位不會直接對應至 UDM。 | |
| triggerType | 這個欄位不會直接對應至 UDM。 | |
| trueContext | 這個欄位不會直接對應至 UDM。 | |
| trueContext.key | 這個欄位不會直接對應至 UDM。 | |
| trueContext.key.value | 這個欄位不會直接對應至 UDM。 | |
| 類型 | read_only_udm.network.dns.answers.type | 這個值取自原始記錄中的「event.Event.Dns.results」欄位,並使用規則運算式擷取。 |
| 網址 | read_only_udm.target.url | 這個值取自原始記錄中的「event.Event.Http.url」欄位。 |
| user.name | read_only_udm.principal.user.userid | 這個值取自原始記錄中的「event.Event. |
| user.sid | read_only_udm.principal.user.windows_sid | 這個值取自原始記錄中的「event.Event. |
| UserID | read_only_udm.target.user.windows_sid | 只有在符合 Windows SID 模式時,系統才會從原始記錄的「UserID」欄位取得值。 |
| UserSid | read_only_udm.target.user.windows_sid | 只有在符合 Windows SID 模式時,系統才會從原始記錄的「UserSid」欄位取得值。 |
| valueType | 這個欄位不會直接對應至 UDM。 | |
| winEventLog.channel | security_result.about.resource.attribute.labels.value | 這個值取自原始記錄中的「winEventLog.channel」欄位。 |
| winEventLog.description | 這個欄位不會直接對應至 UDM。 | |
| winEventLog.id | security_result.about.resource.attribute.labels.value | 這個值取自原始記錄中的「winEventLog.id」欄位。 |
| winEventLog.level | security_result.severity | 這個值取自原始記錄中的「winEventLog.level」欄位,並對應至相應的嚴重程度 (例如 Warning 至「中」)。 |
| winEventLog.providerName | security_result.about.resource.attribute.labels.value | 這個值取自原始記錄中的「winEventLog.providerName」欄位。 |
| winEventLog.xml | 這個欄位不會直接對應至 UDM。 | |
| read_only_udm.metadata.event_type | 系統會根據「event_type」欄位判斷值,並對應至相應的 UDM 事件類型。 | |
| read_only_udm.metadata.vendor_name | 值會設為 SentinelOne。 |
|
| read_only_udm.metadata.product_name | 值會設為 Deep Visibility。 |
|
| read_only_udm.metadata.product_log_id | 這個值取自原始記錄中的「trace.id」欄位,僅適用於「meta.event.name」等於 PROCESSCREATION 的事件。 |
|
| read_only_udm.metadata.product_deployment_id | 只有當「meta.event.name」等於 PROCESSCREATION 時,系統才會從原始記錄的「account.id」欄位取得值。 |
|
| read_only_udm.metadata.url_back_to_product | 這個值取自原始記錄中的「mgmt.url」欄位,僅適用於「meta.event.name」等於 PROCESSCREATION 的事件。 |
|
| read_only_udm.metadata.ingestion_labels.key | 如果事件的「meta.event.name」等於 PROCESSCREATION,這個值會設為 Process eUserUid 或 Process lUserUid。 |
|
| read_only_udm.metadata.ingestion_labels.value | 這個值取自原始記錄中的「src.process.eUserUid」或「src.process.lUserUid」欄位,但僅適用於「meta.event.name」等於 PROCESSCREATION 的事件。 |
|
| read_only_udm.principal.administrative_domain | 原始記錄中「event.Event. |
|
| read_only_udm.target.process.parent_process.command_line | 此值取自原始記錄中的「event.Event. |
|
| read_only_udm.target.file | 如果「event_type」不是 FileCreation、FileDeletion、FileModification、SchedTaskStart 或 ProcessCreation,系統就會建立空白物件。 |
|
| read_only_udm.network.ip_protocol | 如果事件的「event_type」等於 Tcpv4、Tcpv4Listen 或 Http,此值會設為 TCP。 |
|
| read_only_udm.network.application_protocol | 如果事件的「event_type」等於 Dns,這個值會設為 DNS。 |
|
| read_only_udm.target.resource.type | 如果事件的「event_type」等於 SchedTaskStart、SchedTaskTrigger 或 SchedTaskDelete,這個值會設為 TASK。 |
|
| read_only_udm.target.resource.resource_type | 如果事件的「event_type」等於 SchedTaskStart、SchedTaskTrigger 或 SchedTaskDelete,這個值就會設為 TASK。 |
|
| read_only_udm.principal.process.product_specific_process_id | 如果原始記錄中含有「ExecutionThreadID」欄位,此值會設為 ExecutionThreadID:<ExecutionThreadID>。 |
|
| read_only_udm.principal.asset.asset_id | 如果原始記錄中含有「agent.uuid」欄位,值會設為 Device ID:<agent.uuid>。 |
|
| read_only_udm.principal.namespace | 這個值取自原始記錄中的「site.id」欄位,僅適用於「meta.event.name」等於 PROCESSCREATION 的事件。 |
|
| read_only_udm.principal.location.name | 這個值取自原始記錄中的「site.name」欄位,僅適用於「meta.event.name」等於 PROCESSCREATION 的事件。 |
|
| read_only_udm.principal.resource.attribute.labels.key | 如果事件的「meta.event.name」等於 PROCESSCREATION,則值會設為 src.process.displayName、src.process.uid、isRedirectCmdProcessor、isNative64Bit、isStorylineRoot、signedStatus、src process subsystem、src process integrityLevel 或 childProcCount。 |
|
| read_only_udm.principal.resource.attribute.labels.value | 這個值取自原始記錄中的對應欄位,僅適用於「meta.event.name」等於 PROCESSCREATION 的事件。 |
|
| read_only_udm.target.user.userid | 這個值取自原始記錄中的「tgt.process.uid」欄位,僅適用於「meta.event.name」等於 PROCESSCREATION 的事件。 |
|
| read_only_udm.target.user.user_display_name | 這個值取自原始記錄中的「tgt.process.displayName」欄位,僅適用於「meta.event.name」等於 PROCESSCREATION 的事件。 |
|
| read_only_udm.target.resource.attribute.labels.key | 如果事件的「meta.event.name」等於 PROCESSCREATION,則值會設為 isRedirectCmdProcessor、isNative64Bit、isStorylineRoot、signedStatus、file_isSigned、tgt process subsystem 或 tgt process integrityLevel。 |
|
| read_only_udm.target.resource.attribute.labels.value | 這個值取自原始記錄中的對應欄位,僅適用於「meta.event.name」等於 PROCESSCREATION 的事件。 |
|
| read_only_udm.security_result.about.resource.attribute.labels.key | 如果事件的「meta.event.name」等於 PROCESSCREATION,則值會設為 tgt.process.storyline.id、endpoint_type、packet_id、src.process.storyline.id 或 src.process.parent.storyline.id。 |
|
| read_only_udm.security_result.about.resource.attribute.labels.value | 此值取自原始記錄中的對應欄位,並以 ID: 做為故事線 ID 的前置字元,僅適用於「meta.event.name」等於 PROCESSCREATION 的事件。 |
|
| read_only_udm.security_result.category_details | 如果事件的「meta.event.name」等於 PROCESSCREATION,這個值就會設為 security。 |
|
| read_only_udm.target.asset.product_object_id | 只有當「meta.event.name」等於 EVENTLOG 時,系統才會從原始記錄的「AdapterName」欄位取得值。 |
|
| security_result.about.resource.attribute.labels.key | 如果事件的「meta.event.name」等於 EVENTLOG,則值會設為 TimeCreated SystemTime、EventID、Task、Channel、ProviderGuid、RecordNumber、SourceName、endpoint_type 或 packet_id。 |
|
| security_result.detection_fields.key | 如果事件的「meta.event.name」等於 EVENTLOG,且「ActivityID」欄位不為空白,則值會設為 Activity ID。 |
|
| security_result.detection_fields.value | 只有在「meta.event.name」等於 EVENTLOG 且「ActivityID」欄位不為空白時,系統才會從原始記錄的「ActivityID」欄位中擷取值。 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。