Coletar registros do Microsoft Windows Defender ATP
Compatível com:
Google SecOps
SIEM
Este documento explica como coletar registros do Microsoft Windows Defender ATP para o Google Security Operations usando uma conta de armazenamento do Azure. Esse analisador processa registros do Windows Defender ATP nos formatos SYSLOG, XML e JSON. Ele normaliza os diversos campos desses formatos em uma estrutura unificada, extraindo informações importantes, como detalhes de eventos, dados do usuário, informações de processos, atividade de rede e resultados de segurança, e mapeando-os para a UDM. O analisador também realiza uma lógica condicional com base em EventID e ActionType para categorizar eventos e enriquecer a UDM com detalhes específicos relevantes para cada tipo de evento.
Antes de começar
- Verifique se você tem uma instância do Google SecOps.
- Verifique se você tem uma assinatura ativa do Azure.
- Verifique se você tem uma função de administrador global ou de caça avançada de ameaças do Microsoft Defender.
- Faça login no seu locatário do Azure, acesse Assinaturas > Sua assinatura > Provedores de recursos > Registrar no Microsoft.Insights.
Configurar a conta de armazenamento do Azure
- No console do Azure, pesquise "Contas de armazenamento".
- Clique em Criar.
- Especifique valores para os seguintes parâmetros de entrada:
- Assinatura: selecione a assinatura.
- Grupo de recursos: selecione o grupo de recursos.
- Região: selecione a região.
- Performance: selecione a performance (padrão recomendado).
- Redundância: selecione a redundância (GRS ou LRS recomendado).
- Nome da conta de armazenamento: insira um nome para a nova conta de armazenamento.
- Clique em Revisar + criar.
- Revise a visão geral da conta e clique em Criar.
- Na página Visão geral da conta de armazenamento, selecione o submenu Chaves de acesso em Segurança + rede.
- Clique em Mostrar ao lado de key1 ou key2.
- Clique em Copiar para a área de transferência para copiar a chave.
- Salve a chave em um local seguro para uso posterior.
- Na página Visão geral da conta de armazenamento, selecione o submenu Endpoints em Configurações.
- Clique em Copiar para a área de transferência para copiar o URL do endpoint do serviço de blob. Por exemplo,
https://<storageaccountname>.blob.core.windows.net. - Salve o URL do endpoint em um local seguro para uso posterior.
Configurar a exportação de registros da busca avançada de ameaças do Windows Defender
- Faça login em security.microsoft.com como administrador global ou de segurança.
- Acesse Configurações > Microsoft Defender XDR.
- Selecione API de streaming.
- Clique em Adicionar.
- Selecione Encaminhar eventos para o Azure Storage.
- Acesse a conta de armazenamento criada anteriormente.
- Copie o ID do recurso e insira-o no ID do recurso da conta de armazenamento.
- Selecione todos os Tipos de eventos.
- Clique em Salvar.
Configurar um feed no Google SecOps para ingerir os registros do Windows Defender Advanced Threat Hunting
- Acesse Configurações do SIEM > Feeds.
- Clique em Adicionar novo.
- No campo Nome do feed, insira um nome para o feed, por exemplo,
Defender ATP Logs. - Selecione Microsoft Azure Blob Storage V2 como o Tipo de origem.
- Selecione Windows Defender ATP como o Tipo de registro.
- Clique em Próxima.
Especifique valores para os seguintes parâmetros de entrada:
- URI do Azure: o URL do endpoint do blob.
ENDPOINT_URL/BLOB_NAME- Substitua:
ENDPOINT_URL: o URL do endpoint do blob (https://<storageaccountname>.blob.core.windows.net).BLOB_NAME: o nome do blob, como<logname>-logs.
Opções de exclusão de fontes: selecione a opção de exclusão de acordo com sua preferência.
Idade máxima do arquivo: inclui arquivos modificados no último número de dias. O padrão é de 180 dias.
Chave compartilhada: a chave de acesso ao Azure Blob Storage.
Namespace do recurso: o namespace do recurso.
Rótulos de ingestão: o rótulo a ser aplicado aos eventos deste feed.
- URI do Azure: o URL do endpoint do blob.
Clique em Próxima.
Revise a nova configuração do feed na tela Finalizar e clique em Enviar.
Tabela de mapeamento da UDM
| Campo de registro | Mapeamento do UDM | Lógica |
|---|---|---|
AccountName |
target.user.userid |
Preenchido quando properties.AccountName está presente e properties.InitiatingProcessAccountName está em branco. |
AccountSid |
target.user.windows_sid |
Preenchido quando properties.AccountSid está presente. |
AccountType |
principal.user.attribute.labels |
Chave: AccountType, Valor: properties.AccountType |
Action |
security_result.action_details |
O valor de properties.Action. |
Action |
security_result.action |
Se properties.Action contiver quarantine, o valor será QUARANTINE. |
Action Name |
security_result.description |
Parte de security_result.description quando EventID é 1117. |
AdditionalFields |
about.labels, principal.resource.attribute.labels |
Chave: AdditionalFields, Valor: properties.AdditionalFields (ou AdditionalFields se analisado como JSON). Pares de chave-valor individuais de properties.AdditionalFields (ou AdditionalFields2 se analisados como JSON) também são adicionados como rótulos. |
AdditionalFields.ClientMachine |
principal.resource.attribute.labels |
Chave: ClientMachine, Valor: _AdditionalFields.ClientMachine |
AdditionalFields.Command |
target.process.command_line |
Usado quando ActionType é PowerShellCommand. |
AdditionalFields.Count |
read_only_udm.additional.fields |
Chave: Count, Valor: properties.AdditionalFields.Count |
AdditionalFields.DesiredAccess |
principal.resource.attribute.labels |
Chave: DesiredAccess, Valor: _AdditionalFields.DesiredAccess |
AdditionalFields.DnsQueryString |
network.dns.questions.name |
Usado quando ActionType é DnsQueryResponse. |
AdditionalFields.DnsQueryResult |
network.dns.answers |
Analisado em um loop para extrair respostas de DNS. Result se torna name e DnsQueryType é mapeado para o valor numérico type. |
AdditionalFields.Experience |
security_result.threat_name |
Usado quando properties.ActionType contém SmartScreen. |
AdditionalFields.FileOperation |
principal.resource.attribute.labels |
Chave: FileOperation, Valor: _AdditionalFields.FileOperation |
AdditionalFields.InitiatingProcess |
principal.resource.attribute.labels |
Chave: InitiatingProcess, Valor: _AdditionalFields.InitiatingProcess |
AdditionalFields.IsAudit |
principal.resource.attribute.labels |
Chave: IsAudit, Valor: _AdditionalFields.IsAudit |
AdditionalFields.IsLocalLogon |
extensions.auth.mechanism |
Se o valor for true, defina auth_mechanism como LOCAL. Se false, defina como REMOTE. |
AdditionalFields.IsRemoteMachine |
principal.resource.attribute.labels |
Chave: IsRemoteMachine, Valor: _AdditionalFields.IsRemoteMachine |
AdditionalFields.NamedPipeEnd |
principal.resource.attribute.labels |
Chave: NamedPipeEnd, Valor: _AdditionalFields.NamedPipeEnd |
AdditionalFields.PipeName |
principal.resource.attribute.labels |
Chave: PipeName, Valor: _AdditionalFields.PipeName |
AdditionalFields.RemoteClientsAccess |
principal.resource.attribute.labels |
Chave: RemoteClientsAccess, Valor: _AdditionalFields.RemoteClientsAccess |
AdditionalFields.SessionId |
principal.resource.attribute.labels |
Chave: SessionId, Valor: _AdditionalFields.SessionId |
AdditionalFields.SignatureName |
security_result.rule_id |
Usado quando properties.ActionType é AntivirusDetection. |
AdditionalFields.TaskName |
target.resource.name |
Usado quando properties.ActionType contém Scheduled. |
AdditionalFields.ThreatName |
security_result.threat_name |
Usado quando properties.ActionType é AntivirusDetection. |
AdditionalFields.ThreadId |
principal.resource.attribute.labels |
Chave: ThreadId, Valor: _AdditionalFields.ThreadId |
AdditionalFields.TokenModificationProperties |
principal.resource.attribute.labels |
Chave: TokenModificationProperties, Valor: _AdditionalFields.TokenModificationProperties |
AdditionalFields.TotalBytesCopied |
principal.resource.attribute.labels |
Chave: TotalBytesCopied, Valor: _AdditionalFields.TotalBytesCopied |
AdditionalFields.WasExecutingWhileDetected |
about.labels, principal.resource.attribute.labels |
Chave: WasExecutingWhileDetected, Valor: _AdditionalFields.WasExecutingWhileDetected |
AdditionalFields.WasRemediated |
security_result.action |
Se o valor for true, defina sr_action como BLOCK. Se false, defina como ALLOW. |
AppGuardContainerId ApplicationId |
read_only_udm.additional.fields |
Chave: ApplicationId, Valor: properties.ApplicationId |
category |
metadata.product_name |
O valor de category. |
category |
metadata.product_event_type |
O valor de category com AdvancedHunting- removido. |
City |
principal.location.city |
O valor de properties.City. |
ClientIP |
principal.ip, principal.asset.ip |
O valor de properties.RawEventData.ClientIP, se for um endereço IP válido. |
ClientIPAddress |
principal.ip, principal.asset.ip |
O valor de properties.RawEventData.ClientIPAddress, se for um endereço IP válido. |
ClientInfoString |
read_only_udm.additional.fields |
Chave: ClientInfoString, Valor: properties.RawEventData.ClientInfoString |
ClientProcessName |
read_only_udm.additional.fields |
Chave: ClientProcessName, Valor: properties.RawEventData.ClientProcessName |
ClientRequestId |
read_only_udm.additional.fields |
Chave: ClientRequestId, Valor: properties.RawEventData.ClientRequestId |
ClientVersion |
read_only_udm.additional.fields |
Chave: ClientVersion, Valor: properties.RawEventData.ClientVersion |
ConnectedNetworks |
entity.asset.network_domain |
O campo Name em ConnectedNetworks, se presente. |
CountryCode |
principal.location.country_or_region |
O valor de properties.CountryCode. |
CreationTime |
read_only_udm.additional.fields |
Chave: CreationTime, Valor: properties.RawEventData.CreationTime |
Current Engine Version |
security_result.description |
Parte de security_result.description quando EventID é 2000. |
Current Signature Version |
security_result.description |
Parte de security_result.description quando EventID é 2000. |
DeliveryAction |
read_only_udm.additional.fields |
Chave: DeliveryAction, Valor: properties.DeliveryAction |
DeliveryAction |
security_result.action |
Se properties.DeliveryAction contiver Blocked, o valor será BLOCK. |
DeliveryLocation |
read_only_udm.additional.fields |
Chave: DeliveryLocation, Valor: properties.DeliveryLocation |
DestinationLocationType |
read_only_udm.additional.fields |
Chave: DestinationLocationType, Valor: properties.RawEventData.DestinationLocationType |
DetectionMethods |
security_result.rule_name, security_result.detection_fields |
O valor de properties.DetectionMethods sem as aspas se torna rule_name e detection_fields (chave: Detection Method). |
Detection User |
principal.user.userid |
Usado quando EventID é 1116 ou 1117. |
DeviceCategory |
entity.asset.category |
O valor de properties.DeviceCategory. |
DeviceId |
principal.asset_id |
WINDOWS_DEFENDER: + DeviceId ao analisar syslog/JSON ou XML. DeviceId: + properties.DeviceId ao analisar JSON. |
DeviceName |
principal.hostname, principal.asset.hostname |
DeviceName ao analisar syslog/JSON ou XML. properties.DeviceName ao analisar JSON. properties.RawEventData.DeviceName, se houver. |
DeviceType |
read_only_udm.additional.fields |
Chave: DeviceType, Valor: properties.DeviceType |
Domain |
principal.administrative_domain |
Usado ao analisar syslog/JSON ou XML. |
Dynamic Signature Compilation Timestamp |
security_result.description |
Parte do security_result.description quando EventID é 2010 ou 2011. |
Dynamic Signature Type |
security_result.description |
Parte do security_result.description quando EventID é 2010 ou 2011. |
Dynamic Signature Version |
security_result.description |
Parte do security_result.description quando EventID é 2010 ou 2011. |
EmailClusterId |
read_only_udm.additional.fields |
Chave: EmailClusterId, Valor: properties.EmailClusterId |
EmailDirection |
network.direction |
Se o valor for Inbound, será definido como INBOUND. Se Outbound, defina como OUTBOUND. Caso contrário, será definido como UNKNOWN_DIRECTION. |
EmailLanguage |
read_only_udm.additional.fields |
Chave: EmailLanguage, Valor: properties.EmailLanguage |
Engine Version |
security_result.description |
Parte de security_result.description quando EventID é 1011. |
EnforcementMode |
read_only_udm.additional.fields |
Chave: EnforcementMode, Valor: properties.EnforcementMode |
Error Code |
security_result.description |
Parte do security_result.description quando EventID é 1117 ou 2001. |
Error Description |
security_result.description |
Parte do security_result.description quando EventID é 1117 ou 2001. |
EventID |
metadata.product_event_type |
Parte do metadata.product_event_type ao analisar syslog/JSON ou XML. |
EventTime |
metadata.event_timestamp |
Analisado para gerar o metadata.event_timestamp. |
ExchangeLocations |
security_result.category_details |
O valor de properties.RawEventData.ExchangeLocations. |
ExternalAccess |
read_only_udm.additional.fields |
Chave: ExternalAccess, Valor: properties.RawEventData.ExternalAccess |
FailureReason |
security_result.description |
O valor de properties.FailureReason quando ActionType é LogonFailed. |
FileExtension |
read_only_udm.additional.fields |
Chave: FileExtension, Valor: properties.RawEventData.FileExtension |
FileName |
about.file.full_path |
O valor de properties.FileName quando category contém EmailAttachmentInfo. Caso contrário, target.process.file.full_path. |
FileSize |
target.process.file.size |
O valor de properties.FileSize convertido em um número inteiro sem sinal. |
FileSize |
about.file.size |
O valor de properties.FileSize convertido em um número inteiro sem sinal quando category contém EmailAttachmentInfo. |
FileSize |
principal.process.file.size |
O valor de properties.RawEventData.FileSize convertido em um número inteiro sem sinal. |
FileType |
about.file.mime_type |
O valor de properties.FileType quando category contém EmailAttachmentInfo. Caso contrário, target.process.file.mime_type. |
FileType |
read_only_udm.additional.fields |
Chave: FileType, Valor: properties.RawEventData.FileType se não estiver vazio ou Unknown. |
FolderPath |
target.file.full_path |
O valor de properties.FolderPath. |
FolderPath |
target.process.file.full_path |
O valor de FolderPath quando ActionType é CreateRemoteThreadApiCall, ExploitGuardNonMicrosoftSignedBlocked, DriverLoad, FileRenamed, OpenProcessApiCall, ReadProcessMemoryApiCall, ImageLoaded ou properties.ActionType é FileCreatedOnNetworkShare. |
Hidden |
read_only_udm.additional.fields |
Chave: Hidden, Valor: properties.RawEventData.Hidden |
Hostname |
principal.hostname, principal.asset.hostname |
Usado ao analisar syslog/JSON ou XML. |
IPAddresses |
entity.asset.ip |
O campo IPAddress em cada objeto na matriz IPAddresses, exceto link-local IPv6, APIPA IPv4, loopback IPv6, multicast IPv6 e endereços de loopback. |
IPAddress |
principal.ip, principal.asset.ip |
O valor de properties.IPAddress, se for um endereço IP válido. |
IPCategory |
read_only_udm.additional.fields |
Chave: IPCategory, Valor: properties.IPCategory |
IPTags |
read_only_udm.additional.fields |
Chave: IPTags, Valor: properties.IPTags |
ISP |
read_only_udm.additional.fields |
Chave: ISP, Valor: properties.ISP |
InitiatingProcessAccountName |
principal.user.userid |
Preenchido quando presente e properties.AccountName está em branco ou quando ambos estão presentes. |
InitiatingProcessAccountSid |
principal.user.windows_sid |
Preenchido quando presente e properties.AccountSid está em branco ou quando ambos estão presentes. |
InitiatingProcessAccountUpn |
principal.user.email_addresses |
O valor de properties.InitiatingProcessAccountUpn. |
InitiatingProcessCommandLine |
principal.process.command_line |
O valor de properties.InitiatingProcessCommandLine sem as aspas. |
InitiatingProcessFileName |
principal.process.file.full_path |
O valor de properties.InitiatingProcessFileName. |
InitiatingProcessFileSize |
principal.process.file.size |
O valor de properties.InitiatingProcessFileSize convertido em um número inteiro sem sinal. |
InitiatingProcessFolderPath |
principal.process.file.full_path |
O valor de properties.InitiatingProcessFolderPath. |
InitiatingProcessId |
principal.process.pid |
O valor de properties.InitiatingProcessId convertido em uma string. |
InitiatingProcessIntegrityLevel |
about.labels, principal.resource.attribute.labels |
Chave: InitiatingProcessIntegrityLevel, Valor: properties.InitiatingProcessIntegrityLevel |
InitiatingProcessMD5 |
principal.process.file.md5 |
O valor de properties.InitiatingProcessMD5. |
InitiatingProcessParentFileName |
principal.process.parent_process.file.full_path |
O valor de properties.InitiatingProcessParentFileName. |
InitiatingProcessParentId |
principal.process.parent_process.pid |
O valor de properties.InitiatingProcessParentId convertido em uma string. |
InitiatingProcessSHA1 |
principal.process.file.sha1 |
O valor de properties.InitiatingProcessSHA1. |
InitiatingProcessSHA256 |
principal.process.file.sha256 |
O valor de properties.InitiatingProcessSHA256. |
InitiatingProcessSignatureStatus |
read_only_udm.additional.fields |
Chave: InitiatingProcessSignatureStatus, Valor: properties.InitiatingProcessSignatureStatus |
InitiatingProcessSignerType |
read_only_udm.additional.fields |
Chave: InitiatingProcessSignerType, Valor: properties.InitiatingProcessSignerType |
InitiatingProcessTokenElevation |
about.labels, principal.resource.attribute.labels |
Chave: InitiatingProcessTokenElevation, Valor: properties.InitiatingProcessTokenElevation |
InitiatingProcessVersionInfoCompanyName |
principal.user.company_name |
O valor de properties.InitiatingProcessVersionInfoCompanyName. |
InitiatingProcessVersionInfoFileDescription |
principal.resource.attribute.labels |
Chave: File Description, Valor: properties.InitiatingProcessVersionInfoFileDescription |
InitiatingProcessVersionInfoInternalFileName |
principal.resource.attribute.labels |
Chave: File Name, Valor: properties.InitiatingProcessVersionInfoInternalFileName |
InitiatingProcessVersionInfoOriginalFileName |
principal.resource.attribute.labels |
Chave: Original File Name, Valor: properties.InitiatingProcessVersionInfoOriginalFileName |
InitiatingProcessVersionInfoProductName |
read_only_udm.additional.fields |
Chave: InitiatingProcessVersionInfoProductName, Valor: properties.InitiatingProcessVersionInfoProductName |
InitiatingProcessVersionInfoProductVersion |
metadata.product_version |
O valor de properties.InitiatingProcessVersionInfoProductVersion. |
InternetMessageId |
read_only_udm.additional.fields |
Chave: InternetMessageId, Valor: properties.InternetMessageId com colchetes angulares removidos. |
IsAdminOperation |
read_only_udm.additional.fields |
Chave: IsAdminOperation, Valor: properties.IsAdminOperation |
IsAnonymousProxy |
read_only_udm.additional.fields |
Chave: IsAnonymousProxy, Valor: properties.IsAnonymousProxy |
IsExternalUser |
read_only_udm.additional.fields |
Chave: IsExternalUser, Valor: properties.IsExternalUser |
IsImpersonated |
read_only_udm.additional.fields |
Chave: IsImpersonated, Valor: properties.IsImpersonated |
IsLocalAdmin |
about.labels, principal.resource.attribute.labels |
Chave: IsLocalAdmin, Valor: true ou false, dependendo do valor booleano de properties.IsLocalAdmin. |
LoggedOnUsers |
target.user.userid, entity.relations.entity.user.userid |
O campo UserName em cada objeto na matriz LoggedOnUsers é adicionado como um target.user.userid e uma entidade de usuário relacionada. O campo Sid é adicionado como entity.relations.entity.user.windows_sid. |
LocalIP |
principal.ip, principal.asset.ip |
O valor de LocalIP ao analisar JSON. |
LocalPort |
principal.port |
O valor de LocalPort convertido em um número inteiro ao analisar JSON. |
LogonType |
extensions.auth.mechanism |
Mapeado para um mecanismo de autenticação da UDM com base no valor. |
LogonType |
read_only_udm.additional.fields |
Chave: LogonType, Valor: properties.RawEventData.LogonType |
LogonUserSid |
read_only_udm.additional.fields |
Chave: LogonUserSid, Valor: properties.RawEventData.LogonUserSid |
MacAddress |
entity.asset.mac |
O valor de MacAddress ou properties.MacAddress formatado como uma string separada por dois pontos. |
MailboxGuid |
read_only_udm.additional.fields |
Chave: MailboxGuid, Valor: properties.RawEventData.MailboxGuid |
MailboxOwnerMasterAccountSid |
read_only_udm.additional.fields |
Chave: MailboxOwnerMasterAccountSid, Valor: properties.RawEventData.MailboxOwnerMasterAccountSid |
MailboxOwnerSid |
read_only_udm.additional.fields |
Chave: MailboxOwnerSid, Valor: properties.RawEventData.MailboxOwnerSid |
MailboxOwnerUPN |
read_only_udm.additional.fields |
Chave: MailboxOwnerUPN, Valor: properties.RawEventData.MailboxOwnerUPN |
MD5 |
target.process.file.md5 |
O valor de properties.MD5. |
Message |
security_result.description |
Parte do security_result.description quando EventID é 1000, 1001, 1002, 1013, 1116, 1117, 2000, 2001, 2002, 2010, 2011 ou 5007. |
NetworkAdapterType |
metadata.product_event_type |
O valor de NetworkAdapterType ao analisar JSON. |
NetworkMessageId |
network.email.mail_id |
O valor de properties.NetworkMessageId. |
New Value |
security_result.description |
Parte do security_result.description quando EventID é 5007. |
Object Name |
read_only_udm.additional.fields |
Chave: ObjectName, Valor: properties.ObjectName |
Object Type |
read_only_udm.additional.fields |
Chave: ObjectType, Valor: properties.ObjectType |
ObjectId |
read_only_udm.additional.fields |
Chave: ObjectId, Valor: properties.ObjectId ou properties.RawEventData.ObjectId. |
Old Value |
security_result.description |
Parte do security_result.description quando EventID é 5007. |
Operation |
read_only_udm.additional.fields |
Chave: Operation, Valor: properties.RawEventData.Operation |
operationName |
read_only_udm.additional.fields |
Chave: OperationName, Valor: operationName |
OrganizationId |
read_only_udm.additional.fields |
Chave: OrganizationId, Valor: properties.RawEventData.OrganizationId |
OrganizationName |
read_only_udm.additional.fields |
Chave: OrganizationName, Valor: properties.RawEventData.OrganizationName |
OriginatingServer |
read_only_udm.additional.fields |
Chave: OriginatingServer, Valor: properties.RawEventData.OriginatingServer |
OSPlatform |
asset.platform_software.platform |
Se o valor contiver macos, defina platform como MAC. Se windows, defina como WINDOWS. Se nix, defina como LINUX. |
OSVersion |
asset.platform_software.platform_version |
O valor de properties.OSVersion. |
Path |
target.file.full_path |
Usado quando EventID é 1011 ou 1116. |
Persistence Limit Type |
security_result.description |
Parte do security_result.description quando EventID é 2010 ou 2011. |
Persistence Limit Value |
security_result.description |
Parte do security_result.description quando EventID é 2010 ou 2011. |
Persistence Path |
target.file.full_path |
Usado quando EventID é 2010 ou 2011. |
Previous Engine Version |
security_result.description |
Parte de security_result.description quando EventID é 2000, 2001 ou 2002. |
PreviousRegistryKey |
target.registry.registry_key |
O valor de properties.PreviousRegistryKey. |
PreviousRegistryValueData |
target.resource.attribute.labels |
Chave: PreviousRegistryValueData, Valor: properties.PreviousRegistryValueData |
PreviousRegistryValueName |
target.resource.attribute.labels |
Chave: PreviousRegistryValueName, Valor: properties.PreviousRegistryValueName |
Previous security intelligence Version |
security_result.description |
Parte de security_result.description quando EventID é 2001. |
Previous Signature Version |
security_result.description |
Parte de security_result.description quando EventID é 2000. |
ProcessCommandLine |
target.process.command_line |
O valor de properties.ProcessCommandLine. |
ProcessID |
principal.process.pid |
Usado ao analisar syslog/JSON ou XML. |
ProcessId |
target.process.pid |
O valor de properties.ProcessId convertido em uma string. |
Process Name |
target.process.pid |
Usado quando EventID é 1116 ou 1117. |
Product Version |
metadata.product_version |
Usado ao analisar syslog/JSON ou XML. |
Protocol |
network.ip_protocol |
Se o valor contiver Tcp, será definido como TCP. Se Udp, defina como UDP. Se Icmp, defina como ICMP. |
ProviderGuid |
principal.resource.id |
Usado ao analisar syslog/JSON ou XML. |
PublicIP |
principal.ip, principal.asset.ip |
O valor de properties.PublicIP. |
RawEventData.Application |
principal.application |
O valor de properties.RawEventData.Application. |
RawEventData.ClientIP |
principal.ip, principal.asset.ip |
O valor de properties.RawEventData.ClientIP, se for um endereço IP válido. |
RawEventData.ClientIPAddress |
principal.ip, principal.asset.ip |
O valor de properties.RawEventData.ClientIPAddress, se for um endereço IP válido. |
RawEventData.ClientInfoString |
read_only_udm.additional.fields |
Chave: ClientInfoString, Valor: properties.RawEventData.ClientInfoString |
RawEventData.ClientProcessName |
read_only_udm.additional.fields |
Chave: ClientProcessName, Valor: properties.RawEventData.ClientProcessName |
RawEventData.ClientRequestId |
read_only_udm.additional.fields |
Chave: ClientRequestId, Valor: properties.RawEventData.ClientRequestId |
RawEventData.ClientVersion |
read_only_udm.additional.fields |
Chave: ClientVersion, Valor: properties.RawEventData.ClientVersion |
RawEventData.CreationTime |
read_only_udm.additional.fields |
Chave: CreationTime, Valor: properties.RawEventData.CreationTime |
RawEventData.DeviceName |
principal.hostname, principal.asset.hostname |
O valor de properties.RawEventData.DeviceName. |
RawEventData.DestinationLocationType |
read_only_udm.additional.fields |
Chave: DestinationLocationType, Valor: properties.RawEventData.DestinationLocationType |
RawEventData.ExchangeLocations |
security_result.category_details |
O valor de properties.RawEventData.ExchangeLocations. |
RawEventData.ExternalAccess |
read_only_udm.additional.fields |
Chave: ExternalAccess, Valor: properties.RawEventData.ExternalAccess |
RawEventData.FileExtension |
read_only_udm.additional.fields |
Chave: FileExtension, Valor: properties.RawEventData.FileExtension |
RawEventData.FileSize |
target.process.file.size |
O valor de properties.RawEventData.FileSize convertido em um número inteiro sem sinal. |
RawEventData.FileType |
read_only_udm.additional.fields |
Chave: FileType, Valor: properties.RawEventData.FileType se não estiver vazio ou Unknown. |
RawEventData.Hidden |
read_only_udm.additional.fields |
Chave: Hidden, Valor: properties.RawEventData.Hidden |
RawEventData.Id |
read_only_udm.additional.fields |
Chave: RawEventDataId, Valor: properties.RawEventData.Id |
RawEventData.Item.Id |
item_idm.read_only_udm.additional.fields |
Chave: RawEventDataItemId, Valor: properties.RawEventData.item.id |
RawEventData.LogonType |
read_only_udm.additional.fields |
Chave: LogonType, Valor: properties.RawEventData.LogonType |
RawEventData.LogonUserSid |
read_only_udm.additional.fields |
Chave: LogonUserSid, Valor: properties.RawEventData.LogonUserSid |
RawEventData.MailboxGuid |
read_only_udm.additional.fields |
Chave: MailboxGuid, Valor: properties.RawEventData.MailboxGuid |
RawEventData.MailboxOwnerMasterAccountSid |
read_only_udm.additional.fields |
Chave: MailboxOwnerMasterAccountSid, Valor: properties.RawEventData.MailboxOwnerMasterAccountSid |
RawEventData.MailboxOwnerSid |
read_only_udm.additional.fields |
Chave: MailboxOwnerSid, Valor: properties.RawEventData.MailboxOwnerSid |
RawEventData.MailboxOwnerUPN |
read_only_udm.additional.fields |
Chave: MailboxOwnerUPN, Valor: properties.RawEventData.MailboxOwnerUPN |
RawEventData.MDATPDeviceId |
read_only_udm.additional.fields |
Chave: MDATPDeviceId, Valor: properties.RawEventData.MDATPDeviceId |
RawEventData.ObjectId |
read_only_udm.additional.fields |
Chave: ObjectId, Valor: properties.RawEventData.ObjectId |
RawEventData.Operation |
read_only_udm.additional.fields |
Chave: Operation, Valor: properties.RawEventData.Operation |
RawEventData.OrganizationId |
read_only_udm.additional.fields |
Chave: OrganizationId, Valor: properties.RawEventData.OrganizationId |
RawEventData.OrganizationName |
read_only_udm.additional.fields |
Chave: OrganizationName, Valor: properties.RawEventData.OrganizationName |
RawEventData.OriginatingServer |
read_only_udm.additional.fields |
Chave: OriginatingServer, Valor: properties.RawEventData.OriginatingServer |
RawEventData.ParentFolder.Id |
read_only_udm.additional.fields |
Chave: RawEventDataParentFolderId, Valor: properties.RawEventData.ParentFolder.Id |
RawEventData.Pid |
target.process.pid |
O valor de properties.RawEventData.Pid convertido em uma string. |
RawEventData.Query |
read_only_udm.additional.fields |
Chave: Query, Valor: properties.RawEventData.Query |
RawEventData.RecordType |
network.dns.questions.type |
O valor de properties.RawEventData.RecordType convertido em um número inteiro sem sinal. |
RawEventData.ResultStatus |
read_only_udm.additional.fields |
Chave: ResultStatus, Valor: properties.RawEventData.ResultStatus |
RawEventData.Scope |
read_only_udm.additional.fields |
Chave: Scope, Valor: properties.RawEventData.Scope |
RawEventData.SessionId |
network.session_id |
O valor de properties.RawEventData.SessionId. |
RawEventData.Sha1 |
target.process.file.sha1 |
O valor de properties.RawEventData.Sha1. |
RawEventData.Sha256 |
target.process.file.sha256 |
O valor de properties.RawEventData.Sha256. |
RawEventData.TargetDomain |
target.hostname, target.asset.hostname |
O valor de properties.RawEventData.TargetDomain. |
RawEventData.TargetFilePath |
target.file.full_path |
O valor de properties.RawEventData.TargetFilePath. |
RawEventData.UserId |
principal.user.email_addresses |
O valor de properties.RawEventData.UserId se for um endereço de e-mail. |
RawEventData.UserKey |
read_only_udm.additional.fields |
Chave: UserKey, Valor: properties.RawEventData.UserKey |
RawEventData.UserType |
read_only_udm.additional.fields |
Chave: UserType, Valor: properties.RawEventData.UserType |
RawEventData.Version |
read_only_udm.additional.fields |
Chave: Version, Valor: properties.RawEventData.Version |
RawEventData.Workload |
read_only_udm.additional.fields |
Chave: Workload, Valor: properties.RawEventData.Workload |
RecipientEmailAddress |
network.email.to, target.user.email_addresses |
O valor de properties.RecipientEmailAddress. |
RecipientObjectId |
target.user.product_object_id |
O valor de properties.RecipientObjectId. |
RegistryKey |
target.registry.registry_key |
O valor de properties.RegistryKey. |
RegistryValueData |
target.registry.registry_value_data |
O valor de properties.RegistryValueData. |
RegistryValueName |
target.registry.registry_value_name |
O valor de properties.RegistryValueName. |
Remediation User |
intermediary.user.userid |
Usado quando EventID é 1117. |
RemoteDeviceName |
target.hostname, target.asset.hostname |
O valor de properties.RemoteDeviceName. |
RemoteIP |
target.ip, target.asset.ip |
O valor de properties.RemoteIP se não estiver vazio, - ou null. |
RemoteIPType |
about.labels, principal.resource.attribute.labels |
Chave: RemoteIPType, Valor: properties.RemoteIPType |
RemotePort |
target.port |
O valor de properties.RemotePort convertido em um número inteiro. |
RemoteUrl |
target.url |
O valor de properties.RemoteUrl. Se ele contiver um nome de host, o nome será extraído e mapeado para target.hostname e target.asset.hostname. |
Removal Reason Value |
security_result.description |
Parte de security_result.description quando EventID é 2011. |
ReportId |
metadata.product_log_id |
O valor de properties.ReportId convertido em uma string. |
Scan ID |
security_result.description |
Parte do security_result.description quando EventID é 1000, 1001 ou 1002. |
Scan Parameters |
security_result.description |
Parte do security_result.description quando EventID é 1000, 1001 ou 1002. |
Scan Resources |
target.file.full_path |
Usado quando EventID é 1000. |
Scan Time Hours |
security_result.description |
Parte de security_result.description quando EventID é 1001. |
Scan Time Minutes |
security_result.description |
Parte de security_result.description quando EventID é 1001. |
Scan Time Seconds |
security_result.description |
Parte de security_result.description quando EventID é 1001. |
Scan Type |
security_result.description |
Parte do security_result.description quando EventID é 1000, 1001 ou 1002. |
Security intelligence Type |
security_result.description |
Parte de security_result.description quando EventID é 2001. |
Security intelligence Version |
security_result.description |
Parte de security_result.description quando EventID é 1011. |
SenderDisplayName |
principal.user.user_display_name |
O valor de properties.SenderDisplayName. |
SenderFromAddress |
network.email.from, principal.user.email_addresses |
O valor de properties.SenderFromAddress. |
SenderFromDomain |
principal.administrative_domain |
O valor de properties.SenderFromDomain. |
SenderIPv4 |
principal.ip, principal.asset.ip |
O valor de properties.SenderIPv4. |
SenderIPv6 |
principal.ip, principal.asset.ip |
O valor de properties.SenderIPv6. |
SenderMailFromAddress |
principal.user.attribute.labels |
Chave: SenderMailFromAddress, Valor: properties.SenderMailFromAddress |
SenderMailFromDomain |
principal.user.attribute.labels |
Chave: SenderMailFromDomain, Valor: properties.SenderMailFromDomain |
SenderObjectId |
principal.user.product_object_id |
O valor de properties.SenderObjectId. |
Severity Name |
security_result.severity |
Se o valor for Low, será definido como LOW. Se Moderate, defina como MEDIUM. Se High ou Severe, defina como HIGH. |
Severity |
security_result.severity |
Se o valor contiver informational, será definido como INFORMATIONAL. Se low, defina como LOW. Se medium, defina como MEDIUM. Se high, defina como HIGH. Caso contrário, será definido como UNKNOWN_SEVERITY. |
Severity |
security_result.severity_details |
O valor de properties.Severity. |
SHA1 |
target.process.file.sha1 |
O valor de properties.SHA1. |
SHA256 |
target.process.file.sha256 |
O valor de properties.SHA256. |
SHA256 |
about.file.sha256 |
O valor de properties.SHA256 quando category contém EmailAttachmentInfo. |
Signature Type |
security_result.description |
Parte do security_result.description quando EventID é 2000 ou 2010. |
SourceModuleName |
target.resource.name |
Usado quando EventID é 2008. |
Source Path |
security_result.description |
Parte de security_result.description quando EventID é 2001. |
Subject |
network.email.subject |
O valor de properties.Subject. |
Tenant |
read_only_udm.additional.fields |
Chave: Tenant, Valor: Tenant |
tenantId |
observer.cloud.project.id, target.resource_ancestors.product_object_id |
O valor de tenantId ou properties.tenantId. |
Threat ID |
security_result.threat_name |
Parte do security_result.threat_name quando EventID é 1011 ou 1116. |
ThreatNames |
security_result.threat_name |
O valor de properties.ThreatNames. |
Threat Types |
security_result.category |
Se o valor for Phish, defina security_result_category como MAIL_PHISHING. Caso contrário, será definido como UNKNOWN_CATEGORY. |
Timestamp |
security_result.description |
Parte de security_result.description quando EventID é 1013. |
Timestamp |
metadata.event_timestamp |
Analisado para gerar o metadata.event_timestamp. |
Timestamp |
entity.asset.system_last_update_time |
O valor de properties.Timestamp quando category é AdvancedHunting-DeviceNetworkInfo. |
Title |
security_result.threat_name |
O valor de properties.Title. |
Update Source |
security_result.description |
Parte de security_result.description quando EventID é 2001. |
Update State |
security_result.description |
Parte de security_result.description quando EventID é 2001. |
Update Type |
security_result.description |
Parte do security_result.description quando EventID é 2000 ou 2001. |
UserAgent |
network.http.user_agent |
O valor de properties.UserAgent. |
UserAgentTags |
additional.fields |
Cada elemento na matriz properties.UserAgentTags é adicionado como um rótulo com a chave UserAgentTags. |
Url |
target.url |
O valor de properties.Url. |
UrlCount |
read_only_udm.additional.fields |
Chave: UrlCount, Valor: properties.UrlCount |
UrlDomain |
target.hostname, target.asset.hostname |
O valor de properties.UrlDomain. |
UrlLocation |
read_only_udm.additional.fields |
Chave: UrlLocation, Valor: properties.UrlLocation |
User |
target.user.userid |
Usado quando EventID é 1000, 1001, 1002, 1011, 1013, 2000, 2002 ou quando Message contém \tUser:. |
UserID |
principal.user.userid |
Usado quando EventID é 2010 ou 2011. |
| (Lógica do analisador) | metadata.event_type |
Definido como GENERIC_EVENT inicialmente e depois substituído com base em outros campos e lógica. Os valores comuns incluem NETWORK_CONNECTION, PROCESS_LAUNCH, FILE_CREATION, FILE_MODIFICATION, USER_LOGIN, SCAN_HOST, SCAN_PROCESS, SYSTEM_AUDIT_LOG_WIPE, SETTING_MODIFICATION, FILE_DELETION, PROCESS_MODULE_LOAD, PROCESS_UNCATEGORIZED, STATUS_UPDATE, PROCESS_OPEN, NETWORK_DNS, FILE_MOVE, REGISTRY_CREATION, REGISTRY_DELETION, REGISTRY_MODIFICATION, SCHEDULED_TASK_CREATION, SCHEDULED_TASK_DELETION, SCHEDULED_TASK_MODIFICATION, SCAN_NETWORK, USER_UNCATEGORIZED. |
| (Lógica do analisador) | metadata.vendor_name |
Defina como Microsoft. |
| (Lógica do analisador) | metadata.product_name |
Definido como Windows Defender ATP inicialmente e, em seguida, possivelmente substituído pelo campo category. |
| (Lógica do analisador) | metadata.product_event_type |
Definido como GENERIC_EVENT inicialmente e depois substituído com base em outros campos e lógica. |
| (Lógica do analisador) | metadata.product_version |
Definido com base em Product Version ou properties.InitiatingProcessVersionInfoProductVersion. |
| (Lógica do analisador) | metadata.log_type |
Defina como WINDOWS_DEFENDER_ATP. |
| (Lógica do analisador) | principal.resource.type |
Defina como PROVIDER ao analisar syslog/JSON ou XML. |
| (Lógica do analisador) | target.resource_ancestors |
Contém um único ancestral com product_object_id definido como tenantId. |
| (Lógica do analisador) | security_result.summary |
Definido com base em EventID, properties.ActionType ou properties.Title e properties.Category. |
| (Lógica do analisador) | security_result.description |
Construído com base em vários campos, dependendo do EventID ou properties.ActionType. |
| (Lógica do analisador) | security_result.action |
Definido inicialmente como ALLOW e depois substituído com base em AdditionalFields.WasRemediated, ActionType ou Action Name. |
| (Lógica do analisador) | security_result.severity |
Definido com base em Severity Name ou properties.Severity. |
| (Lógica do analisador) | security_result.category |
Definido com base em Threat Types. |
| (Lógica do analisador) | network.direction |
Definido com base em RemoteIP, LocalIP ou EmailDirection. |
| (Lógica do analisador) | network.ip_protocol |
Defina como TCP quando metadata.event_type for NETWORK_CONNECTION. |
| (Lógica do analisador) | network.session_id |
Definido com base em properties.RawEventData.SessionId. |
| (Lógica do analisador) | network.http.user_agent |
Definido com base em properties.UserAgent. |
| (Lógica do analisador) | network.email.mail_id |
Definido com base em properties.NetworkMessageId. |
| (Lógica do analisador) | network.email.subject |
Definido com base em properties.Subject. |
| (Lógica do analisador) | network.email.from |
Definido com base em properties.SenderFromAddress. |
| (Lógica do analisador) | network.email.to |
Definido com base em properties.RecipientEmailAddress. |
| (Lógica do analisador) | network.dns.questions.name |
Definido com base em AdditionalFields.DnsQueryString. |
| (Lógica do analisador) | network.dns.questions.type |
Definido com base em properties.RawEventData.RecordType. |
| (Lógica do analisador) | network.dns.answers |
Criado com AdditionalFields.DnsQueryResult. |
| (Lógica do analisador) | extensions.auth.type |
Defina como MACHINE quando ActionType for LogonAttempted ou LogonSuccess. |
| (Lógica do analisador) | extensions.auth.mechanism |
Definido com base em LogonType ou AdditionalFields.IsLocalLogon. |
| (Lógica do analisador) | extensions.auth.auth_details |
Definido com base em properties.AuthenticationDetails. |
| (Lógica do analisador) | entity.asset.asset_id |
Construído usando WINDOWS: + DeviceId ou properties.DeviceId. |
| (Lógica do analisador) | entity.asset.product_object_id |
Defina como DeviceId ou properties.DeviceId. |
| (Lógica do analisador) | entity.asset.network_domain |
Extraído de ConnectedNetworks. |
| (Lógica do analisador) | entity.asset.ip |
Definido com base em IPAddresses, _ipaddress, PublicIP ou LocalIP. |
| (Lógica do analisador) | entity.asset.mac |
Definido com base em MacAddress ou properties.MacAddress. |
| (Lógica do analisador) | entity.asset.hostname |
Definido com base em DeviceName ou properties.DeviceName. |
| (Lógica do analisador) | entity.asset.platform_software.platform |
Definido com base em OSPlatform. |
| (Lógica do analisador) | entity.asset.platform_software.platform_version |
Definido com base em OSVersion. |
| (Lógica do analisador) | entity.asset.category |
Definido com base em DeviceCategory. |
| (Lógica do analisador) | entity.asset.type |
Definido como WORKSTATION para eventos de informações de dispositivo e rede. |
| (Lógica do analisador) | entity.asset.system_last_update_time |
Definido com base em properties.Timestamp para eventos de informações de rede. |
| (Lógica do analisador) | entity.relations |
Criado com LoggedOnUsers. |
| (Lógica do analisador) | entity.metadata.entity_type |
Definido como ASSET para eventos de dispositivo, rede e recurso. |
| (Lógica do analisador) | about.labels |
Contém rótulos para vários campos que não se encaixam diretamente no esquema da UDM. |
| (Lógica do analisador) | principal.user.attribute.labels |
Contém rótulos para vários campos relacionados ao usuário. |
| (Lógica do analisador) | principal.resource.attribute.labels |
Contém rótulos para vários campos relacionados a recursos. |
| (Lógica do analisador) | target.resource.resource_type |
Definido como TASK para eventos de tarefas programadas e SETTING para eventos de modificação de configurações. |
| (Lógica do analisador) | target.resource.name |
Definido com base em SourceModuleName, AdditionalFields.TaskName ou _taskname. |
| (Lógica do analisador) | target.resource.product_object_id |
Definido com base em properties.ReportId. |
| (Lógica do analisador) | target.resource_ancestors |
Definido com base em tenantId. |
| (Lógica do analisador) | target.registry.registry_key |
Definido com base em RegistryKey, PreviousRegistryKey ou properties.RegistryKey. |
| (Lógica do analisador) | target.registry.registry_value_name |
Definido com base em RegistryValueName ou properties.RegistryValueName. |
| (Lógica do analisador) | target.registry.registry_value_data |
Definido com base em RegistryValueData ou properties.RegistryValueData. |
| (Lógica do analisador) | intermediary.user.userid |
Definido com base em Remediation User. |
| (Lógica do analisador) | metadata.collected_timestamp |
Definido como o carimbo de data/hora do evento para eventos de informações de recursos e de rede. |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.