Table of Contents | ||||||
---|---|---|---|---|---|---|
|
...
Valid tags and data tables
The full tag must have at least 3 levels. The first two are fixed asedr.sentinelone
. The third level identifies the type of events sent, and the fourth level indicates the event subtype.
These are the valid tags and corresponding data tables that will receive the parsers' data:
Product / Service | Tags | Data tables |
---|---|---|
SentinelOne agent events |
|
|
|
| |
SentinelOne Deep Visibility |
|
|
|
| |
|
| |
|
| |
|
| |
|
| |
|
| |
|
| |
|
| |
|
| |
|
| |
|
| |
|
| |
|
| |
SentinelOne management events |
|
|
How is the data sent to Devo?
To send events to the edr.sentinelone.dv
tables, you must use the SentinelOne Deep Visibility with Cloud Funnel collector.
Table structure
These are the fields displayed in these tables:
Rw ui tabs macro | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
dv.activitiesurl
accountName
activityType | agentId
agentUpdatedVersion | comments
createdAt | rawData
dataAccountName
dataFullScopeDetails
dataGroupName
dataScopeLevel
dataScopeName
dataSiteName
dataUsername
dataDescription
dataFileContentHash
dataComputerName
dataFilePath
dataFileFisplayName
dataThreatClassification
dataThreatClassificationSource
dataStatus
dataOsFamily
dataAgentipv4
dataAlertid
dataDetectedat
dataDnsrequest
dataDnsresponse
dataDstip
dataDstport
dataDveventid
dataDveventtype
dataExternalip
dataFullScopeDetailsPath
dataIndicatorcategory
dataIndicatordescription
dataIndicatorname
dataK8sclustername
dataK8scontainerid
dataK8scontainerimage
dataK8scontainerlabels
dataK8scontainername
dataK8scontrollerkind
dataK8scontrollerlabels
dataK8scontrollername
dataK8snamespace
dataK8snamespacelabels
dataK8snode
dataK8spod
dataK8spodlabels
dataLoginaccountdomain
dataLoginaccountsid
dataLoginisadministratorequivalent
dataLoginissuccessful
dataLoginsusername
dataLogintype
dataModulepath
dataModulesha1
dataNeteventdirection
dataOrigagentmachinetype
dataOrigagentname
dataOrigagentosfamily
dataOrigagentosname
dataOrigagentosrevision
dataOrigagentsiteid
dataOrigagentuuid
dataOrigagentversion
dataPhysical
dataRegistrykeypath
dataRegistryoldvalue
dataRegistryoldvaluetype
dataRegistrypath
dataRegistryvalue
dataRuledescription
dataRuleid
dataRulename
dataRulescopeid
dataRulescopelevel
dataScopeId
dataSeverity
dataSourcename
dataSourceparentprocesscommandline
dataSourceparentprocessintegritylevel
dataSourceparentprocesskey
dataSourceparentprocessmd5
dataSourceparentprocessname
dataSourceparentprocesspath
dataSourceparentprocesspid
dataSourceparentprocesssha1
dataSourceparentprocesssha256
dataSourceparentprocesssigneridentity
dataSourceparentprocessTESTttime
dataSourceparentprocessstoryline
dataSourceparentprocesssubsystem
dataSourceparentprocessusername
dataSourceprocesscommandline
dataSourceprocessfilepath
dataSourceprocessfilesigneridentity
dataSourceprocessintegritylevel
dataSourceprocesskey
dataSourceprocessmd5
dataSourceprocessname
dataSourceprocesspid
dataSourceprocesssha1
dataSourceprocesssha256
dataSourceprocessTESTttime
dataSourceprocessstoryline
dataSourceprocesssubsystem
dataSourceprocessusername
dataSrcip
dataSrcmachineip
dataSrcport
dataSystemUser
dataTgtfilecreatedat
dataTgtfilehashsha1
dataTgtfilehashsha256
dataTgtfileid
dataTgtfileissigned
dataTgtfilemodifiedat
dataTgtfileoldpath
dataTgtfilepath
dataTgtproccmdline
dataTgtprocessTESTttime
dataTgtprocimagepath
dataTgtprocintegritylevel
dataTgtprocname
dataTgtprocpid
dataTgtprocsignedstatus
dataTgtprocstorylineid
dataTgtprocuid
dataTiindicatorcomparisonmethod
dataTiindicatorsource
dataTiindicatortype
dataTiindicatorvalue
dataUserId
description
groupId
groupName
hash
id
osFamily
primaryDescription
secondaryDescription
siteId
siteName
threatId
updatedAt
userId
hostchain
✓ tag
✓ rawMessage str
dataAccountId
|