Coletar registros do Microsoft Windows Defender ATP
Compatível com:
Google SecOps
SIEM
Este documento explica como coletar registros do Microsoft Windows Defender ATP no Google Security Operations usando uma conta de armazenamento do Azure. Esse analisador processa registros do Windows Defender ATP nos formatos SYSLOG, XML e JSON. Ele normaliza os diversos campos desses formatos em uma estrutura unificada, extraindo informações importantes, como detalhes de eventos, dados do usuário, informações de processos, atividade de rede e resultados de segurança, e mapeando-os para a UDM. O analisador também realiza uma lógica condicional com base em EventID e ActionType para categorizar eventos e enriquecer a UDM com detalhes específicos relevantes para cada tipo de evento.
Antes de começar
- Verifique se você tem uma instância do Google SecOps.
- Verifique se você tem uma assinatura ativa do Azure.
- Verifique se você tem uma função de administrador global ou de caça avançada de ameaças do Microsoft Defender.
- Faça login no seu locatário do Azure, acesse Assinaturas > Sua assinatura > Provedores de recursos > Registrar no Microsoft.Insights.
Configurar a conta de armazenamento do Azure
- No console do Azure, pesquise "Contas de armazenamento".
- Clique em Criar.
- Especifique valores para os seguintes parâmetros de entrada:
- Assinatura: selecione a assinatura.
- Grupo de recursos: selecione o grupo de recursos.
- Região: selecione a região.
- Performance: selecione a performance (padrão recomendado).
- Redundância: selecione a redundância (GRS ou LRS recomendado).
- Nome da conta de armazenamento: insira um nome para a nova conta de armazenamento.
- Clique em Revisar + criar.
- Revise a visão geral da conta e clique em Criar.
- Na página Visão geral da conta de armazenamento, selecione o submenu Chaves de acesso em Segurança + rede.
- Clique em Mostrar ao lado de key1 ou key2.
- Clique em Copiar para a área de transferência para copiar a chave.
- Salve a chave em um local seguro para uso posterior.
- Na página Visão geral da conta de armazenamento, selecione o submenu Endpoints em Configurações.
- Clique em Copiar para a área de transferência para copiar o URL do endpoint do serviço de blob. Por exemplo,
https://<storageaccountname>.blob.core.windows.net. - Salve o URL do endpoint em um local seguro para uso posterior.
Configurar a exportação de registros da busca avançada de ameaças do Windows Defender
- Faça login em security.microsoft.com como administrador global ou de segurança.
- Acesse Configurações > Microsoft Defender XDR.
- Selecione API de streaming.
- Clique em Adicionar.
- Selecione Encaminhar eventos para o Azure Storage.
- Acesse a conta de armazenamento criada anteriormente.
- Copie o ID do recurso e insira-o no ID do recurso da conta de armazenamento.
- Selecione todos os Tipos de eventos.
- Clique em Salvar.
Configurar um feed no Google SecOps para ingerir os registros de caça avançada de ameaças do Windows Defender
- Acesse Configurações do SIEM > Feeds.
- Clique em Adicionar novo.
- No campo Nome do feed, insira um nome para o feed, por exemplo,
Defender ATP Logs. - Selecione Microsoft Azure Blob Storage V2 como o Tipo de origem.
- Selecione Windows Defender ATP como o Tipo de registro.
- Clique em Próxima.
Especifique valores para os seguintes parâmetros de entrada:
- URI do Azure: o URL do endpoint do blob.
ENDPOINT_URL/BLOB_NAME- Substitua:
ENDPOINT_URL: o URL do endpoint do blob (https://<storageaccountname>.blob.core.windows.net).BLOB_NAME: o nome do blob, como<logname>-logs.
Opções de exclusão da fonte: selecione a opção de exclusão de acordo com sua preferência.
Idade máxima do arquivo: inclui arquivos modificados nos últimos dias. O padrão é de 180 dias.
Chave compartilhada: a chave de acesso ao Azure Blob Storage.
Namespace do recurso: o namespace do recurso.
Rótulos de ingestão: o rótulo a ser aplicado aos eventos deste feed.
- URI do Azure: o URL do endpoint do blob.
Clique em Próxima.
Revise a nova configuração do feed na tela Finalizar e clique em Enviar.
Tabela de mapeamento do UDM
| Campo de registro | Mapeamento do UDM | Lógica |
|---|---|---|
AccountName |
target.user.userid |
Preenchido quando properties.AccountName está presente e properties.InitiatingProcessAccountName está em branco. |
AccountSid |
target.user.windows_sid |
Preenchido quando properties.AccountSid está presente. |
AccountType |
principal.user.attribute.labels |
Chave: AccountType, Valor: properties.AccountType |
Action |
security_result.action_details |
O valor de properties.Action. |
Action |
security_result.action |
Se properties.Action contiver quarantine, o valor será QUARANTINE. |
Action Name |
security_result.description |
Parte de security_result.description quando EventID é 1117. |
AdditionalFields |
about.labels, principal.resource.attribute.labels |
Chave: AdditionalFields, Valor: properties.AdditionalFields (ou AdditionalFields se analisado como JSON). Pares de chave-valor individuais de properties.AdditionalFields (ou AdditionalFields2 se analisados como JSON) também são adicionados como rótulos. |
AdditionalFields.ClientMachine |
principal.resource.attribute.labels |
Chave: ClientMachine, Valor: _AdditionalFields.ClientMachine |
AdditionalFields.Command |
target.process.command_line |
Usado quando ActionType é PowerShellCommand. |
AdditionalFields.Count |
read_only_udm.additional.fields |
Chave: Count, Valor: properties.AdditionalFields.Count |
AdditionalFields.DesiredAccess |
principal.resource.attribute.labels |
Chave: DesiredAccess, Valor: _AdditionalFields.DesiredAccess |
AdditionalFields.DnsQueryString |
network.dns.questions.name |
Usado quando ActionType é DnsQueryResponse. |
AdditionalFields.DnsQueryResult |
network.dns.answers |
Analisado em um loop para extrair respostas de DNS. Result se torna name e DnsQueryType é mapeado para o valor numérico type. |
AdditionalFields.Experience |
security_result.threat_name |
Usado quando properties.ActionType contém SmartScreen. |
AdditionalFields.FileOperation |
principal.resource.attribute.labels |
Chave: FileOperation, Valor: _AdditionalFields.FileOperation |
AdditionalFields.InitiatingProcess |
principal.resource.attribute.labels |
Chave: InitiatingProcess, Valor: _AdditionalFields.InitiatingProcess |
AdditionalFields.IsAudit |
principal.resource.attribute.labels |
Chave: IsAudit, Valor: _AdditionalFields.IsAudit |
AdditionalFields.IsLocalLogon |
extensions.auth.mechanism |
Se o valor for true, defina auth_mechanism como LOCAL. Se false, defina como REMOTE. |
AdditionalFields.IsRemoteMachine |
principal.resource.attribute.labels |
Chave: IsRemoteMachine, Valor: _AdditionalFields.IsRemoteMachine |
AdditionalFields.NamedPipeEnd |
principal.resource.attribute.labels |
Chave: NamedPipeEnd, Valor: _AdditionalFields.NamedPipeEnd |
AdditionalFields.PipeName |
principal.resource.attribute.labels |
Chave: PipeName, Valor: _AdditionalFields.PipeName |
AdditionalFields.RemoteClientsAccess |
principal.resource.attribute.labels |
Chave: RemoteClientsAccess, Valor: _AdditionalFields.RemoteClientsAccess |
AdditionalFields.SessionId |
principal.resource.attribute.labels |
Chave: SessionId, Valor: _AdditionalFields.SessionId |
AdditionalFields.SignatureName |
security_result.rule_id |
Usado quando properties.ActionType é AntivirusDetection. |
AdditionalFields.TaskName |
target.resource.name |
Usado quando properties.ActionType contém Scheduled. |
AdditionalFields.ThreatName |
security_result.threat_name |
Usado quando properties.ActionType é AntivirusDetection. |
AdditionalFields.ThreadId |
principal.resource.attribute.labels |
Chave: ThreadId, Valor: _AdditionalFields.ThreadId |
AdditionalFields.TokenModificationProperties |
principal.resource.attribute.labels |
Chave: TokenModificationProperties, Valor: _AdditionalFields.TokenModificationProperties |
AdditionalFields.TotalBytesCopied |
principal.resource.attribute.labels |
Chave: TotalBytesCopied, Valor: _AdditionalFields.TotalBytesCopied |
AdditionalFields.WasExecutingWhileDetected |
about.labels, principal.resource.attribute.labels |
Chave: WasExecutingWhileDetected, Valor: _AdditionalFields.WasExecutingWhileDetected |
AdditionalFields.WasRemediated |
security_result.action |
Se o valor for true, defina sr_action como BLOCK. Se false, defina como ALLOW. |
AppGuardContainerId ApplicationId |
read_only_udm.additional.fields |
Chave: ApplicationId, Valor: properties.ApplicationId |
category |
metadata.product_name |
O valor de category. |
category |
metadata.product_event_type |
O valor de category com AdvancedHunting- removido. |
City |
principal.location.city |
O valor de properties.City. |
ClientIP |
principal.ip, principal.asset.ip |
O valor de properties.RawEventData.ClientIP, se for um endereço IP válido. |
ClientIPAddress |
principal.ip, principal.asset.ip |
O valor de properties.RawEventData.ClientIPAddress, se for um endereço IP válido. |
ClientInfoString |
read_only_udm.additional.fields |
Chave: ClientInfoString, Valor: properties.RawEventData.ClientInfoString |
ClientProcessName |
read_only_udm.additional.fields |
Chave: ClientProcessName, Valor: properties.RawEventData.ClientProcessName |
ClientRequestId |
read_only_udm.additional.fields |
Chave: ClientRequestId, Valor: properties.RawEventData.ClientRequestId |
ClientVersion |
read_only_udm.additional.fields |
Chave: ClientVersion, Valor: properties.RawEventData.ClientVersion |
ConnectedNetworks |
entity.asset.network_domain |
O campo Name em ConnectedNetworks, se presente. |
CountryCode |
principal.location.country_or_region |
O valor de properties.CountryCode. |
CreationTime |
read_only_udm.additional.fields |
Chave: CreationTime, Valor: properties.RawEventData.CreationTime |
Current Engine Version |
security_result.description |
Parte de security_result.description quando EventID é 2000. |
Current Signature Version |
security_result.description |
Parte de security_result.description quando EventID é 2000. |
DeliveryAction |
read_only_udm.additional.fields |
Chave: DeliveryAction, Valor: properties.DeliveryAction |
DeliveryAction |
security_result.action |
Se properties.DeliveryAction contiver Blocked, o valor será BLOCK. |
DeliveryLocation |
read_only_udm.additional.fields |
Chave: DeliveryLocation, Valor: properties.DeliveryLocation |
DestinationLocationType |
read_only_udm.additional.fields |
Chave: DestinationLocationType, Valor: properties.RawEventData.DestinationLocationType |
DetectionMethods |
security_result.rule_name, security_result.detection_fields |
O valor de properties.DetectionMethods sem as aspas se torna rule_name e detection_fields (chave: Detection Method). |
Detection User |
principal.user.userid |
Usado quando EventID é 1116 ou 1117. |
DeviceCategory |
entity.asset.category |
O valor de properties.DeviceCategory. |
DeviceId |
principal.asset_id |
WINDOWS_DEFENDER: + DeviceId ao analisar syslog/JSON ou XML. DeviceId: + properties.DeviceId ao analisar JSON. |
DeviceName |
principal.hostname, principal.asset.hostname |
DeviceName ao analisar syslog/JSON ou XML. properties.DeviceName ao analisar JSON. properties.RawEventData.DeviceName, se presente. |
DeviceType |
read_only_udm.additional.fields |
Chave: DeviceType, Valor: properties.DeviceType |
Domain |
principal.administrative_domain |
Usado ao analisar syslog/JSON ou XML. |
Dynamic Signature Compilation Timestamp |
security_result.description |
Parte do security_result.description quando EventID é 2010 ou 2011. |
Dynamic Signature Type |
security_result.description |
Parte do security_result.description quando EventID é 2010 ou 2011. |
Dynamic Signature Version |
security_result.description |
Parte do security_result.description quando EventID é 2010 ou 2011. |
EmailClusterId |
read_only_udm.additional.fields |
Chave: EmailClusterId, Valor: properties.EmailClusterId |
EmailDirection |
network.direction |
Se o valor for Inbound, será definido como INBOUND. Se Outbound, defina como OUTBOUND. Caso contrário, será definido como UNKNOWN_DIRECTION. |
EmailLanguage |
read_only_udm.additional.fields |
Chave: EmailLanguage, Valor: properties.EmailLanguage |
Engine Version |
security_result.description |
Parte de security_result.description quando EventID é 1011. |
EnforcementMode |
read_only_udm.additional.fields |
Chave: EnforcementMode, Valor: properties.EnforcementMode |
Error Code |
security_result.description |
Parte do security_result.description quando EventID é 1117 ou 2001. |
Error Description |
security_result.description |
Parte do security_result.description quando EventID é 1117 ou 2001. |
EventID |
metadata.product_event_type |
Parte do metadata.product_event_type ao analisar syslog/JSON ou XML. |
EventTime |
metadata.event_timestamp |
Analisado para gerar o metadata.event_timestamp. |
ExchangeLocations |
security_result.category_details |
O valor de properties.RawEventData.ExchangeLocations. |
ExternalAccess |
read_only_udm.additional.fields |
Chave: ExternalAccess, Valor: properties.RawEventData.ExternalAccess |
FailureReason |
security_result.description |
O valor de properties.FailureReason quando ActionType é LogonFailed. |
FileExtension |
read_only_udm.additional.fields |
Chave: FileExtension, Valor: properties.RawEventData.FileExtension |
FileName |
about.file.full_path |
O valor de properties.FileName quando category contém EmailAttachmentInfo. Caso contrário, target.process.file.full_path. |
FileSize |
target.process.file.size |
O valor de properties.FileSize convertido em um número inteiro sem sinal. |
FileSize |
about.file.size |
O valor de properties.FileSize convertido em um número inteiro sem sinal quando category contém EmailAttachmentInfo. |
FileSize |
principal.process.file.size |
O valor de properties.RawEventData.FileSize convertido em um número inteiro sem sinal. |
FileType |
about.file.mime_type |
O valor de properties.FileType quando category contém EmailAttachmentInfo. Caso contrário, target.process.file.mime_type. |
FileType |
read_only_udm.additional.fields |
Chave: FileType, Valor: properties.RawEventData.FileType se não estiver vazio ou Unknown. |
FolderPath |
target.file.full_path |
O valor de properties.FolderPath. |
FolderPath |
target.process.file.full_path |
O valor de FolderPath quando ActionType é CreateRemoteThreadApiCall, ExploitGuardNonMicrosoftSignedBlocked, DriverLoad, FileRenamed, OpenProcessApiCall, ReadProcessMemoryApiCall, ImageLoaded ou properties.ActionType é FileCreatedOnNetworkShare. |
Hidden |
read_only_udm.additional.fields |
Chave: Hidden, Valor: properties.RawEventData.Hidden |
Hostname |
principal.hostname, principal.asset.hostname |
Usado ao analisar syslog/JSON ou XML. |
IPAddresses |
entity.asset.ip |
O campo IPAddress em cada objeto na matriz IPAddresses, exceto link-local IPv6, APIPA IPv4, loopback IPv6, multicast IPv6 e endereços de loopback. |
IPAddress |
principal.ip, principal.asset.ip |
O valor de properties.IPAddress, se for um endereço IP válido. |
IPCategory |
read_only_udm.additional.fields |
Chave: IPCategory, Valor: properties.IPCategory |
IPTags |
read_only_udm.additional.fields |
Chave: IPTags, Valor: properties.IPTags |
ISP |
read_only_udm.additional.fields |
Chave: ISP, Valor: properties.ISP |
InitiatingProcessAccountName |
principal.user.userid |
Preenchido quando presente e properties.AccountName está em branco ou quando ambos estão presentes. |
InitiatingProcessAccountSid |
principal.user.windows_sid |
Preenchido quando presente e properties.AccountSid está em branco ou quando ambos estão presentes. |
InitiatingProcessAccountUpn |
principal.user.email_addresses |
O valor de properties.InitiatingProcessAccountUpn. |
InitiatingProcessCommandLine |
principal.process.command_line |
O valor de properties.InitiatingProcessCommandLine sem as aspas. |
InitiatingProcessFileName |
principal.process.file.full_path |
O valor de properties.InitiatingProcessFileName. |
InitiatingProcessFileSize |
principal.process.file.size |
O valor de properties.InitiatingProcessFileSize convertido em um número inteiro sem sinal. |
InitiatingProcessFolderPath |
principal.process.file.full_path |
O valor de properties.InitiatingProcessFolderPath. |
InitiatingProcessId |
principal.process.pid |
O valor de properties.InitiatingProcessId convertido em uma string. |
InitiatingProcessIntegrityLevel |
about.labels, principal.resource.attribute.labels |
Chave: InitiatingProcessIntegrityLevel, Valor: properties.InitiatingProcessIntegrityLevel |
InitiatingProcessMD5 |
principal.process.file.md5 |
O valor de properties.InitiatingProcessMD5. |
InitiatingProcessParentFileName |
principal.process.parent_process.file.full_path |
O valor de properties.InitiatingProcessParentFileName. |
InitiatingProcessParentId |
principal.process.parent_process.pid |
O valor de properties.InitiatingProcessParentId convertido em uma string. |
InitiatingProcessSHA1 |
principal.process.file.sha1 |
O valor de properties.InitiatingProcessSHA1. |
InitiatingProcessSHA256 |
principal.process.file.sha256 |
O valor de properties.InitiatingProcessSHA256. |
InitiatingProcessSignatureStatus |
read_only_udm.additional.fields |
Chave: InitiatingProcessSignatureStatus, Valor: properties.InitiatingProcessSignatureStatus |
InitiatingProcessSignerType |
read_only_udm.additional.fields |
Chave: InitiatingProcessSignerType, Valor: properties.InitiatingProcessSignerType |
InitiatingProcessTokenElevation |
about.labels, principal.resource.attribute.labels |
Chave: InitiatingProcessTokenElevation, Valor: properties.InitiatingProcessTokenElevation |
InitiatingProcessVersionInfoCompanyName |
principal.user.company_name |
O valor de properties.InitiatingProcessVersionInfoCompanyName. |
InitiatingProcessVersionInfoFileDescription |
principal.resource.attribute.labels |
Chave: File Description, Valor: properties.InitiatingProcessVersionInfoFileDescription |
InitiatingProcessVersionInfoInternalFileName |
principal.resource.attribute.labels |
Chave: File Name, Valor: properties.InitiatingProcessVersionInfoInternalFileName |
InitiatingProcessVersionInfoOriginalFileName |
principal.resource.attribute.labels |
Chave: Original File Name, Valor: properties.InitiatingProcessVersionInfoOriginalFileName |
InitiatingProcessVersionInfoProductName |
read_only_udm.additional.fields |
Chave: InitiatingProcessVersionInfoProductName, Valor: properties.InitiatingProcessVersionInfoProductName |
InitiatingProcessVersionInfoProductVersion |
metadata.product_version |
O valor de properties.InitiatingProcessVersionInfoProductVersion. |
InternetMessageId |
read_only_udm.additional.fields |
Chave: InternetMessageId, Valor: properties.InternetMessageId com colchetes angulares removidos. |
IsAdminOperation |
read_only_udm.additional.fields |
Chave: IsAdminOperation, Valor: properties.IsAdminOperation |
IsAnonymousProxy |
read_only_udm.additional.fields |
Chave: IsAnonymousProxy, Valor: properties.IsAnonymousProxy |
IsExternalUser |
read_only_udm.additional.fields |
Chave: IsExternalUser, Valor: properties.IsExternalUser |
IsImpersonated |
read_only_udm.additional.fields |
Chave: IsImpersonated, Valor: properties.IsImpersonated |
IsLocalAdmin |
about.labels, principal.resource.attribute.labels |
Chave: IsLocalAdmin, valor: true ou false, dependendo do valor booleano de properties.IsLocalAdmin. |
LoggedOnUsers |
target.user.userid, entity.relations.entity.user.userid |
O campo UserName em cada objeto da matriz LoggedOnUsers é adicionado como um target.user.userid e uma entidade de usuário relacionada. O campo Sid é adicionado como entity.relations.entity.user.windows_sid. |
LocalIP |
principal.ip, principal.asset.ip |
O valor de LocalIP ao analisar JSON. |
LocalPort |
principal.port |
O valor de LocalPort convertido em um número inteiro ao analisar JSON. |
LogonType |
extensions.auth.mechanism |
Mapeado para um mecanismo de autenticação da UDM com base no valor. |
LogonType |
read_only_udm.additional.fields |
Chave: LogonType, Valor: properties.RawEventData.LogonType |
LogonUserSid |
read_only_udm.additional.fields |
Chave: LogonUserSid, Valor: properties.RawEventData.LogonUserSid |
MacAddress |
entity.asset.mac |
O valor de MacAddress ou properties.MacAddress formatado como uma string separada por dois pontos. |
MailboxGuid |
read_only_udm.additional.fields |
Chave: MailboxGuid, Valor: properties.RawEventData.MailboxGuid |
MailboxOwnerMasterAccountSid |
read_only_udm.additional.fields |
Chave: MailboxOwnerMasterAccountSid, Valor: properties.RawEventData.MailboxOwnerMasterAccountSid |
MailboxOwnerSid |
read_only_udm.additional.fields |
Chave: MailboxOwnerSid, Valor: properties.RawEventData.MailboxOwnerSid |
MailboxOwnerUPN |
read_only_udm.additional.fields |
Chave: MailboxOwnerUPN, Valor: properties.RawEventData.MailboxOwnerUPN |
MD5 |
target.process.file.md5 |
O valor de properties.MD5. |
Message |
security_result.description |
Parte do security_result.description quando EventID é 1000, 1001, 1002, 1013, 1116, 1117, 2000, 2001, 2002, 2010, 2011 ou 5007. |
NetworkAdapterType |
metadata.product_event_type |
O valor de NetworkAdapterType ao analisar JSON. |
NetworkMessageId |
network.email.mail_id |
O valor de properties.NetworkMessageId. |
New Value |
security_result.description |
Parte do security_result.description quando EventID é 5007. |
Object Name |
read_only_udm.additional.fields |
Chave: ObjectName, Valor: properties.ObjectName |
Object Type |
read_only_udm.additional.fields |
Chave: ObjectType, Valor: properties.ObjectType |
ObjectId |
read_only_udm.additional.fields |
Chave: ObjectId, Valor: properties.ObjectId ou properties.RawEventData.ObjectId. |
Old Value |
security_result.description |
Parte do security_result.description quando EventID é 5007. |
Operation |
read_only_udm.additional.fields |
Chave: Operation, Valor: properties.RawEventData.Operation |
operationName |
read_only_udm.additional.fields |
Chave: OperationName, Valor: operationName |
OrganizationId |
read_only_udm.additional.fields |
Chave: OrganizationId, Valor: properties.RawEventData.OrganizationId |
OrganizationName |
read_only_udm.additional.fields |
Chave: OrganizationName, Valor: properties.RawEventData.OrganizationName |
OriginatingServer |
read_only_udm.additional.fields |
Chave: OriginatingServer, Valor: properties.RawEventData.OriginatingServer |
OSPlatform |
asset.platform_software.platform |
Se o valor contiver macos, defina platform como MAC. Se windows, defina como WINDOWS. Se nix, defina como LINUX. |
OSVersion |
asset.platform_software.platform_version |
O valor de properties.OSVersion. |
Path |
target.file.full_path |
Usado quando EventID é 1011 ou 1116. |
Persistence Limit Type |
security_result.description |
Parte do security_result.description quando EventID é 2010 ou 2011. |
Persistence Limit Value |
security_result.description |
Parte do security_result.description quando EventID é 2010 ou 2011. |
Persistence Path |
target.file.full_path |
Usado quando EventID é 2010 ou 2011. |
Previous Engine Version |
security_result.description |
Parte do security_result.description quando EventID é 2000, 2001 ou 2002. |
PreviousRegistryKey |
target.registry.registry_key |
O valor de properties.PreviousRegistryKey. |
PreviousRegistryValueData |
target.resource.attribute.labels |
Chave: PreviousRegistryValueData, Valor: properties.PreviousRegistryValueData |
PreviousRegistryValueName |
target.resource.attribute.labels |
Chave: PreviousRegistryValueName, Valor: properties.PreviousRegistryValueName |
Previous security intelligence Version |
security_result.description |
Parte de security_result.description quando EventID é 2001. |
Previous Signature Version |
security_result.description |
Parte de security_result.description quando EventID é 2000. |
ProcessCommandLine |
target.process.command_line |
O valor de properties.ProcessCommandLine. |
ProcessID |
principal.process.pid |
Usado ao analisar syslog/JSON ou XML. |
ProcessId |
target.process.pid |
O valor de properties.ProcessId convertido em uma string. |
Process Name |
target.process.pid |
Usado quando EventID é 1116 ou 1117. |
Product Version |
metadata.product_version |
Usado ao analisar syslog/JSON ou XML. |
Protocol |
network.ip_protocol |
Se o valor contiver Tcp, será definido como TCP. Se Udp, defina como UDP. Se Icmp, defina como ICMP. |
ProviderGuid |
principal.resource.id |
Usado ao analisar syslog/JSON ou XML. |
PublicIP |
principal.ip, principal.asset.ip |
O valor de properties.PublicIP. |
RawEventData.Application |
principal.application |
O valor de properties.RawEventData.Application. |
RawEventData.ClientIP |
principal.ip, principal.asset.ip |
O valor de properties.RawEventData.ClientIP, se for um endereço IP válido. |
RawEventData.ClientIPAddress |
principal.ip, principal.asset.ip |
O valor de properties.RawEventData.ClientIPAddress, se for um endereço IP válido. |
RawEventData.ClientInfoString |
read_only_udm.additional.fields |
Chave: ClientInfoString, Valor: properties.RawEventData.ClientInfoString |
RawEventData.ClientProcessName |
read_only_udm.additional.fields |
Chave: ClientProcessName, Valor: properties.RawEventData.ClientProcessName |
RawEventData.ClientRequestId |
read_only_udm.additional.fields |
Chave: ClientRequestId, Valor: properties.RawEventData.ClientRequestId |
RawEventData.ClientVersion |
read_only_udm.additional.fields |
Chave: ClientVersion, Valor: properties.RawEventData.ClientVersion |
RawEventData.CreationTime |
read_only_udm.additional.fields |
Chave: CreationTime, Valor: properties.RawEventData.CreationTime |
RawEventData.DeviceName |
principal.hostname, principal.asset.hostname |
O valor de properties.RawEventData.DeviceName. |
RawEventData.DestinationLocationType |
read_only_udm.additional.fields |
Chave: DestinationLocationType, Valor: properties.RawEventData.DestinationLocationType |
RawEventData.ExchangeLocations |
security_result.category_details |
O valor de properties.RawEventData.ExchangeLocations. |
RawEventData.ExternalAccess |
read_only_udm.additional.fields |
Chave: ExternalAccess, Valor: properties.RawEventData.ExternalAccess |
RawEventData.FileExtension |
read_only_udm.additional.fields |
Chave: FileExtension, Valor: properties.RawEventData.FileExtension |
RawEventData.FileSize |
target.process.file.size |
O valor de properties.RawEventData.FileSize convertido em um número inteiro sem sinal. |
RawEventData.FileType |
read_only_udm.additional.fields |
Chave: FileType, Valor: properties.RawEventData.FileType se não estiver vazio ou Unknown. |
RawEventData.Hidden |
read_only_udm.additional.fields |
Chave: Hidden, Valor: properties.RawEventData.Hidden |
RawEventData.Id |
read_only_udm.additional.fields |
Chave: RawEventDataId, Valor: properties.RawEventData.Id |
RawEventData.Item.Id |
item_idm.read_only_udm.additional.fields |
Chave: RawEventDataItemId, Valor: properties.RawEventData.item.id |
RawEventData.LogonType |
read_only_udm.additional.fields |
Chave: LogonType, Valor: properties.RawEventData.LogonType |
RawEventData.LogonUserSid |
read_only_udm.additional.fields |
Chave: LogonUserSid, Valor: properties.RawEventData.LogonUserSid |
RawEventData.MailboxGuid |
read_only_udm.additional.fields |
Chave: MailboxGuid, Valor: properties.RawEventData.MailboxGuid |
RawEventData.MailboxOwnerMasterAccountSid |
read_only_udm.additional.fields |
Chave: MailboxOwnerMasterAccountSid, Valor: properties.RawEventData.MailboxOwnerMasterAccountSid |
RawEventData.MailboxOwnerSid |
read_only_udm.additional.fields |
Chave: MailboxOwnerSid, Valor: properties.RawEventData.MailboxOwnerSid |
RawEventData.MailboxOwnerUPN |
read_only_udm.additional.fields |
Chave: MailboxOwnerUPN, Valor: properties.RawEventData.MailboxOwnerUPN |
RawEventData.MDATPDeviceId |
read_only_udm.additional.fields |
Chave: MDATPDeviceId, Valor: properties.RawEventData.MDATPDeviceId |
RawEventData.ObjectId |
read_only_udm.additional.fields |
Chave: ObjectId, Valor: properties.RawEventData.ObjectId |
RawEventData.Operation |
read_only_udm.additional.fields |
Chave: Operation, Valor: properties.RawEventData.Operation |
RawEventData.OrganizationId |
read_only_udm.additional.fields |
Chave: OrganizationId, Valor: properties.RawEventData.OrganizationId |
RawEventData.OrganizationName |
read_only_udm.additional.fields |
Chave: OrganizationName, Valor: properties.RawEventData.OrganizationName |
RawEventData.OriginatingServer |
read_only_udm.additional.fields |
Chave: OriginatingServer, Valor: properties.RawEventData.OriginatingServer |
RawEventData.ParentFolder.Id |
read_only_udm.additional.fields |
Chave: RawEventDataParentFolderId, Valor: properties.RawEventData.ParentFolder.Id |
RawEventData.Pid |
target.process.pid |
O valor de properties.RawEventData.Pid convertido em uma string. |
RawEventData.Query |
read_only_udm.additional.fields |
Chave: Query, Valor: properties.RawEventData.Query |
RawEventData.RecordType |
network.dns.questions.type |
O valor de properties.RawEventData.RecordType convertido em um número inteiro sem sinal. |
RawEventData.ResultStatus |
read_only_udm.additional.fields |
Chave: ResultStatus, Valor: properties.RawEventData.ResultStatus |
RawEventData.Scope |
read_only_udm.additional.fields |
Chave: Scope, Valor: properties.RawEventData.Scope |
RawEventData.SessionId |
network.session_id |
O valor de properties.RawEventData.SessionId. |
RawEventData.Sha1 |
target.process.file.sha1 |
O valor de properties.RawEventData.Sha1. |
RawEventData.Sha256 |
target.process.file.sha256 |
O valor de properties.RawEventData.Sha256. |
RawEventData.TargetDomain |
target.hostname, target.asset.hostname |
O valor de properties.RawEventData.TargetDomain. |
RawEventData.TargetFilePath |
target.file.full_path |
O valor de properties.RawEventData.TargetFilePath. |
RawEventData.UserId |
principal.user.email_addresses |
O valor de properties.RawEventData.UserId se for um endereço de e-mail. |
RawEventData.UserKey |
read_only_udm.additional.fields |
Chave: UserKey, Valor: properties.RawEventData.UserKey |
RawEventData.UserType |
read_only_udm.additional.fields |
Chave: UserType, Valor: properties.RawEventData.UserType |
RawEventData.Version |
read_only_udm.additional.fields |
Chave: Version, Valor: properties.RawEventData.Version |
RawEventData.Workload |
read_only_udm.additional.fields |
Chave: Workload, Valor: properties.RawEventData.Workload |
RecipientEmailAddress |
network.email.to, target.user.email_addresses |
O valor de properties.RecipientEmailAddress. |
RecipientObjectId |
target.user.product_object_id |
O valor de properties.RecipientObjectId. |
RegistryKey |
target.registry.registry_key |
O valor de properties.RegistryKey. |
RegistryValueData |
target.registry.registry_value_data |
O valor de properties.RegistryValueData. |
RegistryValueName |
target.registry.registry_value_name |
O valor de properties.RegistryValueName. |
Remediation User |
intermediary.user.userid |
Usado quando EventID é 1117. |
RemoteDeviceName |
target.hostname, target.asset.hostname |
O valor de properties.RemoteDeviceName. |
RemoteIP |
target.ip, target.asset.ip |
O valor de properties.RemoteIP se não estiver vazio, - ou null. |
RemoteIPType |
about.labels, principal.resource.attribute.labels |
Chave: RemoteIPType, Valor: properties.RemoteIPType |
RemotePort |
target.port |
O valor de properties.RemotePort convertido em um número inteiro. |
RemoteUrl |
target.url |
O valor de properties.RemoteUrl. Se ele contiver um nome de host, o nome será extraído e mapeado para target.hostname e target.asset.hostname. |
Removal Reason Value |
security_result.description |
Parte de security_result.description quando EventID é 2011. |
ReportId |
metadata.product_log_id |
O valor de properties.ReportId convertido em uma string. |
Scan ID |
security_result.description |
Parte do security_result.description quando EventID é 1000, 1001 ou 1002. |
Scan Parameters |
security_result.description |
Parte do security_result.description quando EventID é 1000, 1001 ou 1002. |
Scan Resources |
target.file.full_path |
Usado quando EventID é 1000. |
Scan Time Hours |
security_result.description |
Parte de security_result.description quando EventID é 1001. |
Scan Time Minutes |
security_result.description |
Parte de security_result.description quando EventID é 1001. |
Scan Time Seconds |
security_result.description |
Parte de security_result.description quando EventID é 1001. |
Scan Type |
security_result.description |
Parte do security_result.description quando EventID é 1000, 1001 ou 1002. |
Security intelligence Type |
security_result.description |
Parte de security_result.description quando EventID é 2001. |
Security intelligence Version |
security_result.description |
Parte de security_result.description quando EventID é 1011. |
SenderDisplayName |
principal.user.user_display_name |
O valor de properties.SenderDisplayName. |
SenderFromAddress |
network.email.from, principal.user.email_addresses |
O valor de properties.SenderFromAddress. |
SenderFromDomain |
principal.administrative_domain |
O valor de properties.SenderFromDomain. |
SenderIPv4 |
principal.ip, principal.asset.ip |
O valor de properties.SenderIPv4. |
SenderIPv6 |
principal.ip, principal.asset.ip |
O valor de properties.SenderIPv6. |
SenderMailFromAddress |
principal.user.attribute.labels |
Chave: SenderMailFromAddress, Valor: properties.SenderMailFromAddress |
SenderMailFromDomain |
principal.user.attribute.labels |
Chave: SenderMailFromDomain, Valor: properties.SenderMailFromDomain |
SenderObjectId |
principal.user.product_object_id |
O valor de properties.SenderObjectId. |
Severity Name |
security_result.severity |
Se o valor for Low, será definido como LOW. Se Moderate, defina como MEDIUM. Se High ou Severe, defina como HIGH. |
Severity |
security_result.severity |
Se o valor contiver informational, será definido como INFORMATIONAL. Se low, defina como LOW. Se medium, defina como MEDIUM. Se high, defina como HIGH. Caso contrário, será definido como UNKNOWN_SEVERITY. |
Severity |
security_result.severity_details |
O valor de properties.Severity. |
SHA1 |
target.process.file.sha1 |
O valor de properties.SHA1. |
SHA256 |
target.process.file.sha256 |
O valor de properties.SHA256. |
SHA256 |
about.file.sha256 |
O valor de properties.SHA256 quando category contém EmailAttachmentInfo. |
Signature Type |
security_result.description |
Parte do security_result.description quando EventID é 2000 ou 2010. |
SourceModuleName |
target.resource.name |
Usado quando EventID é 2008. |
Source Path |
security_result.description |
Parte de security_result.description quando EventID é 2001. |
Subject |
network.email.subject |
O valor de properties.Subject. |
Tenant |
read_only_udm.additional.fields |
Chave: Tenant, Valor: Tenant |
tenantId |
observer.cloud.project.id, target.resource_ancestors.product_object_id |
O valor de tenantId ou properties.tenantId. |
Threat ID |
security_result.threat_name |
Parte do security_result.threat_name quando EventID é 1011 ou 1116. |
ThreatNames |
security_result.threat_name |
O valor de properties.ThreatNames. |
Threat Types |
security_result.category |
Se o valor for Phish, defina security_result_category como MAIL_PHISHING. Caso contrário, será definido como UNKNOWN_CATEGORY. |
Timestamp |
security_result.description |
Parte de security_result.description quando EventID é 1013. |
Timestamp |
metadata.event_timestamp |
Analisado para gerar o metadata.event_timestamp. |
Timestamp |
entity.asset.system_last_update_time |
O valor de properties.Timestamp quando category é AdvancedHunting-DeviceNetworkInfo. |
Title |
security_result.threat_name |
O valor de properties.Title. |
Update Source |
security_result.description |
Parte de security_result.description quando EventID é 2001. |
Update State |
security_result.description |
Parte de security_result.description quando EventID é 2001. |
Update Type |
security_result.description |
Parte do security_result.description quando EventID é 2000 ou 2001. |
UserAgent |
network.http.user_agent |
O valor de properties.UserAgent. |
UserAgentTags |
additional.fields |
Cada elemento na matriz properties.UserAgentTags é adicionado como um rótulo com a chave UserAgentTags. |
Url |
target.url |
O valor de properties.Url. |
UrlCount |
read_only_udm.additional.fields |
Chave: UrlCount, Valor: properties.UrlCount |
UrlDomain |
target.hostname, target.asset.hostname |
O valor de properties.UrlDomain. |
UrlLocation |
read_only_udm.additional.fields |
Chave: UrlLocation, Valor: properties.UrlLocation |
User |
target.user.userid |
Usado quando EventID é 1000, 1001, 1002, 1011, 1013, 2000, 2002 ou quando Message contém \tUser:. |
UserID |
principal.user.userid |
Usado quando EventID é 2010 ou 2011. |
| (Lógica do analisador) | metadata.event_type |
Definido como GENERIC_EVENT inicialmente e depois substituído com base em outros campos e lógica. Os valores comuns incluem NETWORK_CONNECTION, PROCESS_LAUNCH, FILE_CREATION, FILE_MODIFICATION, USER_LOGIN, SCAN_HOST, SCAN_PROCESS, SYSTEM_AUDIT_LOG_WIPE, SETTING_MODIFICATION, FILE_DELETION, PROCESS_MODULE_LOAD, PROCESS_UNCATEGORIZED, STATUS_UPDATE, PROCESS_OPEN, NETWORK_DNS, FILE_MOVE, REGISTRY_CREATION, REGISTRY_DELETION, REGISTRY_MODIFICATION, SCHEDULED_TASK_CREATION, SCHEDULED_TASK_DELETION, SCHEDULED_TASK_MODIFICATION, SCAN_NETWORK e USER_UNCATEGORIZED. |
| (Lógica do analisador) | metadata.vendor_name |
Defina como Microsoft. |
| (Lógica do analisador) | metadata.product_name |
Definido como Windows Defender ATP inicialmente e, em seguida, possivelmente substituído pelo campo category. |
| (Lógica do analisador) | metadata.product_event_type |
Definido como GENERIC_EVENT inicialmente e depois substituído com base em outros campos e lógica. |
| (Lógica do analisador) | metadata.product_version |
Definido com base em Product Version ou properties.InitiatingProcessVersionInfoProductVersion. |
| (Lógica do analisador) | metadata.log_type |
Defina como WINDOWS_DEFENDER_ATP. |
| (Lógica do analisador) | principal.resource.type |
Defina como PROVIDER ao analisar syslog/JSON ou XML. |
| (Lógica do analisador) | target.resource_ancestors |
Contém um único ancestral com product_object_id definido como tenantId. |
| (Lógica do analisador) | security_result.summary |
Definido com base em EventID, properties.ActionType ou properties.Title e properties.Category. |
| (Lógica do analisador) | security_result.description |
Construído com base em vários campos, dependendo do EventID ou properties.ActionType. |
| (Lógica do analisador) | security_result.action |
Definido inicialmente como ALLOW e depois substituído com base em AdditionalFields.WasRemediated, ActionType ou Action Name. |
| (Lógica do analisador) | security_result.severity |
Definido com base em Severity Name ou properties.Severity. |
| (Lógica do analisador) | security_result.category |
Definido com base em Threat Types. |
| (Lógica do analisador) | network.direction |
Definido com base em RemoteIP, LocalIP ou EmailDirection. |
| (Lógica do analisador) | network.ip_protocol |
Defina como TCP quando metadata.event_type for NETWORK_CONNECTION. |
| (Lógica do analisador) | network.session_id |
Definido com base em properties.RawEventData.SessionId. |
| (Lógica do analisador) | network.http.user_agent |
Definido com base em properties.UserAgent. |
| (Lógica do analisador) | network.email.mail_id |
Definido com base em properties.NetworkMessageId. |
| (Lógica do analisador) | network.email.subject |
Definido com base em properties.Subject. |
| (Lógica do analisador) | network.email.from |
Definido com base em properties.SenderFromAddress. |
| (Lógica do analisador) | network.email.to |
Definido com base em properties.RecipientEmailAddress. |
| (Lógica do analisador) | network.dns.questions.name |
Definido com base em AdditionalFields.DnsQueryString. |
| (Lógica do analisador) | network.dns.questions.type |
Definido com base em properties.RawEventData.RecordType. |
| (Lógica do analisador) | network.dns.answers |
Criado com AdditionalFields.DnsQueryResult. |
| (Lógica do analisador) | extensions.auth.type |
Defina como MACHINE quando ActionType for LogonAttempted ou LogonSuccess. |
| (Lógica do analisador) | extensions.auth.mechanism |
Definido com base em LogonType ou AdditionalFields.IsLocalLogon. |
| (Lógica do analisador) | extensions.auth.auth_details |
Definido com base em properties.AuthenticationDetails. |
| (Lógica do analisador) | entity.asset.asset_id |
Construído usando WINDOWS: + DeviceId ou properties.DeviceId. |
| (Lógica do analisador) | entity.asset.product_object_id |
Defina como DeviceId ou properties.DeviceId. |
| (Lógica do analisador) | entity.asset.network_domain |
Extraído de ConnectedNetworks. |
| (Lógica do analisador) | entity.asset.ip |
Definido com base em IPAddresses, _ipaddress, PublicIP ou LocalIP. |
| (Lógica do analisador) | entity.asset.mac |
Definido com base em MacAddress ou properties.MacAddress. |
| (Lógica do analisador) | entity.asset.hostname |
Definido com base em DeviceName ou properties.DeviceName. |
| (Lógica do analisador) | entity.asset.platform_software.platform |
Definido com base em OSPlatform. |
| (Lógica do analisador) | entity.asset.platform_software.platform_version |
Definido com base em OSVersion. |
| (Lógica do analisador) | entity.asset.category |
Definido com base em DeviceCategory. |
| (Lógica do analisador) | entity.asset.type |
Definido como WORKSTATION para eventos de informações de dispositivo e rede. |
| (Lógica do analisador) | entity.asset.system_last_update_time |
Definido com base em properties.Timestamp para eventos de informações de rede. |
| (Lógica do analisador) | entity.relations |
Criado com LoggedOnUsers. |
| (Lógica do analisador) | entity.metadata.entity_type |
Definido como ASSET para eventos de dispositivo, rede e recurso. |
| (Lógica do analisador) | about.labels |
Contém rótulos para vários campos que não se encaixam diretamente no esquema da UDM. |
| (Lógica do analisador) | principal.user.attribute.labels |
Contém rótulos para vários campos relacionados ao usuário. |
| (Lógica do analisador) | principal.resource.attribute.labels |
Contém rótulos para vários campos relacionados a recursos. |
| (Lógica do analisador) | target.resource.resource_type |
Definido como TASK para eventos de tarefas programadas e SETTING para eventos de modificação de configurações. |
| (Lógica do analisador) | target.resource.name |
Definido com base em SourceModuleName, AdditionalFields.TaskName ou _taskname. |
| (Lógica do analisador) | target.resource.product_object_id |
Definido com base em properties.ReportId. |
| (Lógica do analisador) | target.resource_ancestors |
Definido com base em tenantId. |
| (Lógica do analisador) | target.registry.registry_key |
Definido com base em RegistryKey, PreviousRegistryKey ou properties.RegistryKey. |
| (Lógica do analisador) | target.registry.registry_value_name |
Definido com base em RegistryValueName ou properties.RegistryValueName. |
| (Lógica do analisador) | target.registry.registry_value_data |
Definido com base em RegistryValueData ou properties.RegistryValueData. |
| (Lógica do analisador) | intermediary.user.userid |
Definido com base em Remediation User. |
| (Lógica do analisador) | metadata.collected_timestamp |
Definido como o carimbo de data/hora do evento para eventos de informações de recursos e de rede. |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.