CrowdStrike Falcon-Protokolle im Common Event Format erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie CrowdStrike Falcon-Logs im CEF-Format mit Bindplane erfassen. Der Parser extrahiert Schlüssel/Wert-Paare und ordnet sie dem Unified Data Model (UDM) zu. Dabei werden verschiedene Trennzeichen berücksichtigt und die Daten um zusätzlichen Kontext wie Schweregrad und Ereignistypen ergänzt. Außerdem werden bestimmte Transformationen für bestimmte Ereignistypen und Felder durchgeführt, z. B. für Nutzeranmeldungen und Sicherheitsergebnisse.

Hinweise

  • Sie benötigen eine Google Security Operations-Instanz.
  • Sie müssen Windows 2016 oder höher oder einen Linux-Host mit systemd verwenden.
  • Wenn die Ausführung hinter einem Proxy erfolgt, müssen die Firewallports geöffnet sein.
  • Sie benötigen Lese- und Schreibzugriff auf die CrowdStrike Falcon-Konsole.
  • API-Anmeldedaten für Falcon Stream abrufen (Client-ID und Client-Secret)

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

  1. Melden Sie sich in der Google SecOps Console an.
  2. Gehen Sie zu SIEM-Einstellungen > Erfassungsagenten.
  3. Lade die Datei zur Authentifizierung der Datenaufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Google SecOps-Kundennummer abrufen

  1. Melden Sie sich in der Google SecOps Console an.
  2. Gehen Sie zu SIEM-Einstellungen > Profil.
  3. Kopieren und speichern Sie die Kundennummer aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Windows-Installation

  1. Öffnen Sie die Eingabeaufforderung oder die PowerShell als Administrator.

  2. Führen Sie dazu diesen Befehl aus:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux-Installation

  1. Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

  2. Führen Sie dazu diesen Befehl aus:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Weitere Installationsressourcen

Bindplane-Agent so konfigurieren, dass er Syslog-Daten aufnimmt und an Google SecOps sendet

  1. Rufen Sie die Konfigurationsdatei auf:

    1. Suchen Sie die Datei config.yaml. Normalerweise befindet es sich unter Linux im Verzeichnis /etc/bindplane-agent/ oder unter Windows im Installationsverzeichnis.
    2. Öffnen Sie die Datei mit einem Texteditor, z. B. nano, vi oder Notepad.

  2. Bearbeiten Sie die Datei config.yamlso:

    receivers:
    tcplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:54525"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: SYSLOG
            namespace: cs_falcon
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

  3. Ersetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.

  4. Ersetzen Sie <customer_id> durch die tatsächliche Kundennummer.

  5. Aktualisieren Sie /path/to/ingestion-authentication-file.json im Abschnitt Authentifizierungsdatei für die Datenaufnahme von Google SecOps abrufen auf den Pfad, unter dem die Authentifizierungsdatei gespeichert wurde.

Starten Sie den Bindplane-Agent neu, um die Änderungen anzuwenden

  • Führen Sie den folgenden Befehl aus, um den Bindplane-Agenten unter Linux neu zu starten:

    sudo systemctl restart bindplane-agent

  • Sie können den Bindplane-Agenten unter Windows entweder über die Dienste-Konsole oder mit dem folgenden Befehl neu starten:

    net stop BindPlaneAgent && net start BindPlaneAgent

CrowdStrike API-Schlüssel konfigurieren und abrufen

  1. Melden Sie sich mit einem Konto mit Berechtigungen in CrowdStrike Falcon an.
  2. Gehen Sie zu Menü > Support.
  3. Klicken Sie auf API-Clients > KeysSelect.
  4. Klicken Sie auf Neuen API-Client hinzufügen.
  5. Wählen Sie im Bereich API-Bereiche die Optionen Ereignisstreams und Benachrichtigungen aus > aktivieren Sie die Option Lesen.
  6. Klicken Sie auf Hinzufügen.
  7. Kopieren und speichern Sie die Client-ID, das Secret und die Basis-URL.

Falcon SIEM Connector installieren

  1. Laden Sie das RPM-Installationspaket für Ihr Betriebssystem herunter.

  2. Paketinstallation:

    • CentOS-Betriebssystem:

      sudo rpm -Uvh <installer package>

    • Ubuntu-Betriebssystem: 

      sudo dpkg -i <installer package>

  3. Standardinstallationsverzeichnisse:

    • Falcon SIEM Connector – /opt/crowdstrike/.
    • Dienst: /etc/init.d/cs.falconhoseclientd/.

SIEM-Connector für das Weiterleiten von CEF-Logs an Bindplane konfigurieren

  1. Melden Sie sich auf dem Computer mit installiertem SIEM Connector als sudo-Nutzer an.
  2. Wechseln Sie zum Verzeichnis /opt/crowdstrike/etc/.
  3. Benennen Sie cs.falconhoseclient.cef.cfg in cs.falconhoseclient.cfg um.
    • Der SIEM-Connector verwendet standardmäßig die cs.falconhoseclient.cfg-Konfiguration.
  4. Bearbeiten Sie die Datei cs.falconhoseclient.cfg und ändern/legen Sie die folgenden Parameter fest:
    • api_url:: Ihre CrowdStrike Falcon-Basis-URL, die Sie aus dem vorherigen Schritt kopiert haben.
    • app_id:: beliebiger String als Kennung für die Verbindung zur Falcon Streaming API (z. B. app_id: SECOPS-CEF)
    • client_id:: Der Wert client_id, der aus dem vorherigen Schritt kopiert wurde.
    • client_secret:: Der Wert client_secret, der aus dem vorherigen Schritt kopiert wurde.
    • send_to_syslog_server: true – Push-Funktion für Syslog-Server aktivieren.
    • host:: IP-Adresse oder Hostname des BindPlane-Agents.
    • port:: der Port des BindPlane-Agents.
  5. Speichern Sie die Datei cs.falconhoseclient.cfg.

  6. Starten Sie den SIEM-Connector-Dienst:

    • CentOS-Betriebssystem

      sudo service cs.falconhoseclientd start

    • Betriebssystem Ubuntu 16.04 oder höher

      sudo systemctl start cs.falconhoseclientd.service

  7. Optional: Beenden Sie den SIEM Connector-Dienst:

    • CentOS-Betriebssystem

      sudo service cs.falconhoseclientd stop

    • Betriebssystem Ubuntu 16.04 oder höher

      sudo systemctl stop cs.falconhoseclientd.service

  8. Optional: Starten Sie den SIEM-Connector-Dienst neu:

    • CentOS-Betriebssystem

      sudo service cs.falconhoseclientd restart

    • Betriebssystem Ubuntu 16.04 oder höher

      sudo systemctl restart cs.falconhoseclientd.service

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
AccountCreationTimeStamp event.idm.read_only_udm.metadata.event_timestamp Das Feld „Raw Log“ (Nutzungsprotokoll) AccountCreationTimeStamp wurde in event.idm.read_only_udm.metadata.event_timestamp umbenannt.
AccountDomain event.idm.read_only_udm.principal.administrative_domain Das Feld „Raw Log“ (Log-Eingabe) AccountDomain wurde in event.idm.read_only_udm.principal.administrative_domain umbenannt.
AccountObjectGuid event.idm.read_only_udm.metadata.product_log_id Das Feld „Raw Log“ (Log-Eingabe) AccountObjectGuid wurde in event.idm.read_only_udm.metadata.product_log_id umbenannt.
AccountObjectSid event.idm.read_only_udm.principal.user.windows_sid Das Feld „Raw Log“ (Log-Eingabe) AccountObjectSid wurde in event.idm.read_only_udm.principal.user.windows_sid umbenannt.
AccessType - Nicht dem IDM-Objekt zugeordnet.
action_taken event.idm.read_only_udm.additional.fields[0].value.string_value Teil des AuditKeyValues-Arrays.
ActiveCpuCount - Nicht dem IDM-Objekt zugeordnet.
ActiveDirectoryAuthenticationMethod - Nicht dem IDM-Objekt zugeordnet.
ActiveDirectoryDataProtocol - Nicht dem IDM-Objekt zugeordnet.
AddressFamily - Nicht dem IDM-Objekt zugeordnet.
AdminStatus - Nicht dem IDM-Objekt zugeordnet.
AllocateVirtualMemoryCount security_result.detection_fields[0].value Teil des Ereignisses EndOfProcess.
agent-windows event.idm.read_only_udm.target.file.full_path Teil von TargetFileName.
AgentIdString event.idm.read_only_udm.principal.asset_id mit dem Präfix CS:.
AgentLoadFlags - Nicht dem IDM-Objekt zugeordnet.
AgentLocalTime - Nicht dem IDM-Objekt zugeordnet.
AgentOnline AgentTimeOffset - Nicht dem IDM-Objekt zugeordnet.
AgentVersion AggregationActivityCount AggregationEarliestTimestamp - Nicht dem IDM-Objekt zugeordnet.
aid event.idm.read_only_udm.principal.asset_id mit dem Präfix CS:.
aip event.idm.read_only_udm.principal.nat_ip Wenn _aid_is_target falsch ist und aip nicht null ist, erstellen Sie eine IP-Entität mit dem Wert von aip und fügen Sie sie event.idm.read_only_udm.principal.nat_ip hinzu.
aipCount AllocVmEtw AllocationType - Nicht dem IDM-Objekt zugeordnet.
AllowHardTerminate - Nicht dem IDM-Objekt zugeordnet.
AllowStartOnDemand - Nicht dem IDM-Objekt zugeordnet.
ApcArgument1 - Nicht dem IDM-Objekt zugeordnet.
ApcArgument2 - Nicht dem IDM-Objekt zugeordnet.
ApcContextAddress - Nicht dem IDM-Objekt zugeordnet.
ApcContextFileName - Nicht dem IDM-Objekt zugeordnet.
ApcContext - Nicht dem IDM-Objekt zugeordnet.
ApplicationName ApplicationUniqueIdentifier - Nicht dem IDM-Objekt zugeordnet.
ApplicationVersion - Nicht dem IDM-Objekt zugeordnet.
AppIs64Bit - Nicht dem IDM-Objekt zugeordnet.
AppName AppPath AppPathFlag - Nicht dem IDM-Objekt zugeordnet.
AppProductId - Nicht dem IDM-Objekt zugeordnet.
AppType - Nicht dem IDM-Objekt zugeordnet.
AppUpdateIds - Nicht dem IDM-Objekt zugeordnet.
AppVendor - Nicht dem IDM-Objekt zugeordnet.
AppVersion ArchiveFileWrittenCount security_result.detection_fields[0].value Teil des Ereignisses EndOfProcess.
AsepClass - Nicht dem IDM-Objekt zugeordnet.
AsepFileChange AsepFlags - Nicht dem IDM-Objekt zugeordnet.
AsepIndex - Nicht dem IDM-Objekt zugeordnet.
AsepKeyUpdate AsepValueUpdate AsepValueType - Nicht dem IDM-Objekt zugeordnet.
AsepWrittenCount security_result.detection_fields[0].value Teil des Ereignisses EndOfProcess.
AssociateIndicator AssociateTreeIdWithRoot AssemblyFlags - Nicht dem IDM-Objekt zugeordnet.
AssemblyId - Nicht dem IDM-Objekt zugeordnet.
AssemblyName AuthenticationId event.idm.read_only_udm.principal.user.product_object_id mit dem Präfix CS:.
AuthenticationPackage AuthenticationUuid - Nicht dem IDM-Objekt zugeordnet.
AuthenticationUuidAsString - Nicht dem IDM-Objekt zugeordnet.
AuthenticodeHashData AuthenticodeMatch automated_remediation assessments.automated_remediation Teil des Ereignisses ZeroTrustHostAssessment.
BaseReachableTime - Nicht dem IDM-Objekt zugeordnet.
BaseTime - Nicht dem IDM-Objekt zugeordnet.
BatchDataNumber - Nicht dem IDM-Objekt zugeordnet.
BatchDataTotal - Nicht dem IDM-Objekt zugeordnet.
BatchTimestamp BatteryLevel - Nicht dem IDM-Objekt zugeordnet.
BatteryStatus - Nicht dem IDM-Objekt zugeordnet.
BehaviorWhitelisted benchmarks BenignCount - Nicht dem IDM-Objekt zugeordnet.
beta_build_disabled assessments.beta_build_disabled Teil des Ereignisses ZeroTrustHostAssessment.
BinaryExecutableWrittenCount security_result.detection_fields[0].value Teil des Ereignisses EndOfProcess.
BillingInfo BillingType - Nicht dem IDM-Objekt zugeordnet.
BiosManufacturer BiosReleaseDate - Nicht dem IDM-Objekt zugeordnet.
BiosVersion BITSJobCreated BootArgs - Nicht dem IDM-Objekt zugeordnet.
BootId - Nicht dem IDM-Objekt zugeordnet.
BootStatusDataAabEnabled - Nicht dem IDM-Objekt zugeordnet.
BootStatusDataBootAttemptCount - Nicht dem IDM-Objekt zugeordnet.
BootStatusDataBootGood - Nicht dem IDM-Objekt zugeordnet.
BootStatusDataBootShutdown - Nicht dem IDM-Objekt zugeordnet.
BootTimeFunctionalityLevel - Nicht dem IDM-Objekt zugeordnet.
BrowserInjectedThread BundleID - Nicht dem IDM-Objekt zugeordnet.
CallStackModuleNames CallStackModuleNamesVersion ChannelId - Nicht dem IDM-Objekt zugeordnet.
ChannelVersion - Nicht dem IDM-Objekt zugeordnet.
ChannelVersionRequired ChasisManufacturer - Nicht dem IDM-Objekt zugeordnet.
ChassisType cid City CLICreationCount security_result.detection_fields[0].value Teil des Ereignisses EndOfProcess.
ClassifiedModuleLoad CloudAssociateTreeIdWithRoot CloudErrorCode - Nicht dem IDM-Objekt zugeordnet.
CNAMERecords CodeIntegrity - Nicht dem IDM-Objekt zugeordnet.
CommandLine CommandSequence - Nicht dem IDM-Objekt zugeordnet.
CompletionEventId - Nicht dem IDM-Objekt zugeordnet.
ComputerName event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname Wenn ComputerName nicht null, ein leerer String oder ein Bindestrich ist, erstellen Sie eine Entität vom Typ „Hostname“ mit dem Wert ComputerName und fügen Sie sie event.idm.read_only_udm.principal.hostname und event.idm.read_only_udm.principal.asset.hostname hinzu.
ConfigBuild ConfigIDBase - Nicht dem IDM-Objekt zugeordnet.
ConfigIDBuild - Nicht dem IDM-Objekt zugeordnet.
ConfigIDPlatform - Nicht dem IDM-Objekt zugeordnet.
ConfigurationVersion - Nicht dem IDM-Objekt zugeordnet.
ConfigStateData - Nicht dem IDM-Objekt zugeordnet.
ConfigStateHash ConfigStateUpdate ConnectTime - Nicht dem IDM-Objekt zugeordnet.
ConnectType - Nicht dem IDM-Objekt zugeordnet.
Connected - Nicht dem IDM-Objekt zugeordnet.
ConnectionCipher - Nicht dem IDM-Objekt zugeordnet.
ConnectionCipherStrength - Nicht dem IDM-Objekt zugeordnet.
ConnectionDirection - Nicht dem IDM-Objekt zugeordnet.
ConnectionExchange - Nicht dem IDM-Objekt zugeordnet.
ConnectionExchangeStrength - Nicht dem IDM-Objekt zugeordnet.
ConnectionFlags - Nicht dem IDM-Objekt zugeordnet.
ConnectionHash - Nicht dem IDM-Objekt zugeordnet.
ConnectionHashStrength - Nicht dem IDM-Objekt zugeordnet.
ConnectionProtocol - Nicht dem IDM-Objekt zugeordnet.
ConnectionType - Nicht dem IDM-Objekt zugeordnet.
Continent ContentSHA256HashData ContextData - Nicht dem IDM-Objekt zugeordnet.
ContextProcessId event.idm.read_only_udm.principal.process.product_specific_process_id, event.idm.read_only_udm.target.process.product_specific_process_id mit dem Präfix CS:%{cid}:%{aid}:.
ContextThreadId - Nicht dem IDM-Objekt zugeordnet.
ContextTimeStamp ContextTimeStamp_decimal Country CrashDumpFilePath - Nicht dem IDM-Objekt zugeordnet.
CrashNotification CreateProcessArgs CreateProcessCount security_result.detection_fields[0].value Teil des Ereignisses EndOfProcess.
CreateService CreateThreadNoStartImage CreationTimeStamp - Nicht dem IDM-Objekt zugeordnet.
CriticalFileAccessed CriticalFileModified CsaProcessDataCollectionInstanceId - Nicht dem IDM-Objekt zugeordnet.
CurrentFunctionalityLevel - Nicht dem IDM-Objekt zugeordnet.
CurrentLocalIP - Nicht dem IDM-Objekt zugeordnet.
CurrentSystemTags CustomerIdString CycleTime - Nicht dem IDM-Objekt zugeordnet.
DadState - Nicht dem IDM-Objekt zugeordnet.
DadTransmits - Nicht dem IDM-Objekt zugeordnet.
DcName event.idm.read_only_udm.principal.user.userid Das Feld „Raw Log“ (Log-Eingabe) DcName wurde in event.idm.read_only_udm.principal.user.userid umbenannt.
DcNumAttachments - Nicht dem IDM-Objekt zugeordnet.
DcNumBlockingPolicies - Nicht dem IDM-Objekt zugeordnet.
DcOnline DcPropertyIdInterfaceType - Nicht dem IDM-Objekt zugeordnet.
DcPropertyIdInterfaceVersion - Nicht dem IDM-Objekt zugeordnet.
DcSensorInterfaceType - Nicht dem IDM-Objekt zugeordnet.
DcSensorInterfaceVersion - Nicht dem IDM-Objekt zugeordnet.
DcStatus DcUsbConfigurationDescriptor DcUsbDeviceConnected DcUsbDeviceDisconnected DcUsbEndpointDescriptor DcUsbHIDDescriptor DcUsbInterfaceDescriptor DCSyncAttempted Debug - Nicht dem IDM-Objekt zugeordnet.
DefaultGatewayIP4 - Nicht dem IDM-Objekt zugeordnet.
DefaultGatewayIP6 - Nicht dem IDM-Objekt zugeordnet.
DefaultGatewayPhysicalAddress - Nicht dem IDM-Objekt zugeordnet.
DeepHashBlacklistClassification DeepHashBlacklistVersion - Nicht dem IDM-Objekt zugeordnet.
DeliverLocalFXToCloud DesiredAccess detectionId detectionName DetectDescription DetectId - Nicht dem IDM-Objekt zugeordnet.
DetectName DeviceActiveConfigurationNumber - Nicht dem IDM-Objekt zugeordnet.
DeviceConnectionStatus - Nicht dem IDM-Objekt zugeordnet.
DeviceDescriptorNumber - Nicht dem IDM-Objekt zugeordnet.
DeviceDescriptorSetHash - Nicht dem IDM-Objekt zugeordnet.
DeviceDescriptorUniqueIdentifier - Nicht dem IDM-Objekt zugeordnet.
DeviceId - Nicht dem IDM-Objekt zugeordnet.
DeviceInstanceId event.idm.read_only_udm.target.asset_id mit dem Präfix Device Instance Id:.
DeviceManufacturer DeviceProduct DeviceProductId - Nicht dem IDM-Objekt zugeordnet.
DevicePropertyClassName - Nicht dem IDM-Objekt zugeordnet.
DevicePropertyClassGuid - Nicht dem IDM-Objekt zugeordnet.
DevicePropertyDeviceDescription DevicePropertyFriendlyName - Nicht dem IDM-Objekt zugeordnet.
DevicePropertyLocationInformation DevicePropertyManufacturer - Nicht dem IDM-Objekt zugeordnet.
DeviceProtocol - Nicht dem IDM-Objekt zugeordnet.
DeviceSerialNumber DeviceTimeStamp DeviceType - Nicht dem IDM-Objekt zugeordnet.
DeviceUsbClass - Nicht dem IDM-Objekt zugeordnet.
DeviceUsbSubclass - Nicht dem IDM-Objekt zugeordnet.
DeviceUsbVersion - Nicht dem IDM-Objekt zugeordnet.
DeviceVendorId - Nicht dem IDM-Objekt zugeordnet.
DeviceVersion - Nicht dem IDM-Objekt zugeordnet.
DirectoryCreate DirectoryCreatedCount security_result.detection_fields[0].value Teil des Ereignisses EndOfProcess.
DirectoryEnumeratedCount security_result.detection_fields[0].value Teil des Ereignisses EndOfProcess.
DisableRealtimeMonitoring DisallowStartIfOnBatteries - Nicht dem IDM-Objekt zugeordnet.
DisallowStartOnRemoteAppSession - Nicht dem IDM-Objekt zugeordnet.
DiskParentDeviceInstanceId DllCharacteristics - Nicht dem IDM-Objekt zugeordnet.
DllInjection DlpPolicy - Nicht dem IDM-Objekt zugeordnet.
DlpVerdict - Nicht dem IDM-Objekt zugeordnet.
DmpFileWritten DnsRequest DnsRequestCount security_result.detection_fields[0].value Teil des Ereignisses EndOfProcess.
DnsResponseType - Nicht dem IDM-Objekt zugeordnet.
DnsResponseTtl - Nicht dem IDM-Objekt zugeordnet.
DocumentFileWrittenCount security_result.detection_fields[0].value Teil des Ereignisses EndOfProcess.
DomainName event.idm.read_only_udm.target.hostname, event.idm.read_only_udm.target.asset.hostname, event.idm.read_only_udm.network.dns.questions[0].name Wenn DomainName nicht null ist, erstellen Sie eine Hostnamenentität mit dem Wert DomainName und fügen Sie sie event.idm.read_only_udm.target.hostname, event.idm.read_only_udm.target.asset.hostname und event.idm.read_only_udm.network.dns.questions[0].name hinzu.
DotnetModuleFlags - Nicht dem IDM-Objekt zugeordnet.
DotnetModuleId - Nicht dem IDM-Objekt zugeordnet.
DotnetModuleLoadDetectInfo DownloadPath - Nicht dem IDM-Objekt zugeordnet.
DownloadPort - Nicht dem IDM-Objekt zugeordnet.
DownloadServer DriverLoad DualRequest - Nicht dem IDM-Objekt zugeordnet.
EffectiveTransmissionClass Effective - Nicht dem IDM-Objekt zugeordnet.
EfiSupported - Nicht dem IDM-Objekt zugeordnet.
EfiVariableCustomMode - Nicht dem IDM-Objekt zugeordnet.
EfiVariableCustomModeAttributes - Nicht dem IDM-Objekt zugeordnet.
EfiVariableDbAttributes - Nicht dem IDM-Objekt zugeordnet.
EfiVariableDbxAttributes - Nicht dem IDM-Objekt zugeordnet.
EfiVariableDbxSha256Hash - Nicht dem IDM-Objekt zugeordnet.
EfiVariableKekAttributes - Nicht dem IDM-Objekt zugeordnet.
EfiVariableKekSha256Hash - Nicht dem IDM-Objekt zugeordnet.
EfiVariablePkAttributes - Nicht dem IDM-Objekt zugeordnet.
EfiVariablePkSha256Hash - Nicht dem IDM-Objekt zugeordnet.
EfiVariableSecureBoot - Nicht dem IDM-Objekt zugeordnet.
EfiVariableSecureBootAttributes - Nicht dem IDM-Objekt zugeordnet.
EfiVariableSetupMode - Nicht dem IDM-Objekt zugeordnet.
EfiVariableSetupModeAttributes - Nicht dem IDM-Objekt zugeordnet.
EfiVariableSignatureSupport - Nicht dem IDM-Objekt zugeordnet.
EfiVariableSignatureSupportAttributes - Nicht dem IDM-Objekt zugeordnet.
EndpointDescriptorAddress - Nicht dem IDM-Objekt zugeordnet.
EndpointDescriptorAttributes - Nicht dem IDM-Objekt zugeordnet.
EndpointDescriptorInterval - Nicht dem IDM-Objekt zugeordnet.
EndpointDescriptorMaxPacketSize - Nicht dem IDM-Objekt zugeordnet.
EndOfProcess Entitlements ErrorEvent ErrorCode - Nicht dem IDM-Objekt zugeordnet.
ErrorLocation - Nicht dem IDM-Objekt zugeordnet.
ErrorReason - Nicht dem IDM-Objekt zugeordnet.
ErrorSource - Nicht dem IDM-Objekt zugeordnet.
ErrorStatus - Nicht dem IDM-Objekt zugeordnet.
ErrorText - Nicht dem IDM-Objekt zugeordnet.
EventLogCleared EventMax - Nicht dem IDM-Objekt zugeordnet.
EventMin - Nicht dem IDM-Objekt zugeordnet.
EventOrigin - Nicht dem IDM-Objekt zugeordnet.
EventType event.idm.read_only_udm.metadata.product_event_type Wenn event_simpleName null ist und EventType nicht null, erstellen Sie eine Entität vom Typ „product_event_type“ mit dem Wert EventType und fügen Sie sie event.idm.read_only_udm.metadata.product_event_type hinzu.
EtwErrorEvent EtwRawProcessId - Nicht dem IDM-Objekt zugeordnet.
EtwRawThreadId - Nicht dem IDM-Objekt zugeordnet.
ExecutableDeleted ExecutableDeletedCount security_result.detection_fields[0].value Teil des Ereignisses EndOfProcess.
ExeAndServiceCount security_result.detection_fields[0].value Teil des Ereignisses EndOfProcess.
ExitCode - Nicht dem IDM-Objekt zugeordnet.
Exploit ExternalApiType event.idm.read_only_udm.metadata.product_event_type, event.idm.read_only_udm.extensions.auth.auth_details Wenn message event1 enthält, wird ExternalApiType in event.idm.read_only_udm.metadata.product_event_type umbenannt. Andernfalls wird es in event.idm.read_only_udm.extensions.auth.auth_details umbenannt.
Facility - Nicht dem IDM-Objekt zugeordnet.
FailedConnectCount - Nicht dem IDM-Objekt zugeordnet.
FalconHostLink FalconServiceComponent - Nicht dem IDM-Objekt zugeordnet.
FalconServiceServletErrors - Nicht dem IDM-Objekt zugeordnet.
FalconServiceServletStarts - Nicht dem IDM-Objekt zugeordnet.
FalconServiceState - Nicht dem IDM-Objekt zugeordnet.
FalconServiceStatus FeatureExtractionVersion - Nicht dem IDM-Objekt zugeordnet.
FeatureVector - Nicht dem IDM-Objekt zugeordnet.
File - Nicht dem IDM-Objekt zugeordnet.
FileAttributes - Nicht dem IDM-Objekt zugeordnet.
FileCreateInfo FileDeletedCount security_result.detection_fields[0].value Teil des Ereignisses EndOfProcess.
FileDeleteInfo FileEcpBitmask - Nicht dem IDM-Objekt zugeordnet.
FileEventType - Nicht dem IDM-Objekt zugeordnet.
FileIdentifier FileObject - Nicht dem IDM-Objekt zugeordnet.
FileName FileOpenInfo FileRenameInfo FileSigningTime - Nicht dem IDM-Objekt zugeordnet.
FirewallAction - Nicht dem IDM-Objekt zugeordnet.
FirewallChangeOption FirewallDeleteRule FirewallDeleteRuleIP4 FirewallDeleteRuleIP6 FirewallEnabled FirewallOption FirewallOptionNumericValue - Nicht dem IDM-Objekt zugeordnet.
FirewallProfile - Nicht dem IDM-Objekt zugeordnet.
FirewallRule FirewallRuleId FirewallSetRule FirewallSetRuleIP4 FirewallSetRuleIP6 FirmwareAnalysisErrorEvent FirmwareAnalysisErrorLocation - Nicht dem IDM-Objekt zugeordnet.
FirmwareAnalysisErrorReason - Nicht dem IDM-Objekt zugeordnet.
FirmwareAnalysisErrorSource - Nicht dem IDM-Objekt zugeordnet.
FirmwareAnalysisHardwareData FirmwareAnalysisStatus FirmwareAnalysisCpuSupported - Nicht dem IDM-Objekt zugeordnet.
FirmwareAnalysisEclControlInterfaceVersion - Nicht dem IDM-Objekt zugeordnet.
FirmwareAnalysisEclConsumerInterfaceVersion - Nicht dem IDM-Objekt zugeordnet.
FirmwareImageAnalyzed FirmwareRegionMeasured FirmwareSize - Nicht dem IDM-Objekt zugeordnet.
FirmwareType - Nicht dem IDM-Objekt zugeordnet.
FirstDiscoveredDate - Nicht dem IDM-Objekt zugeordnet.
FirstIP4Record Flags - Nicht dem IDM-Objekt zugeordnet.
FltCallbackData - Nicht dem IDM-Objekt zugeordnet.
FltCompletionContext - Nicht dem IDM-Objekt zugeordnet.
FltRelatedObjects - Nicht dem IDM-Objekt zugeordnet.
FontBuffer - Nicht dem IDM-Objekt zugeordnet.
FontBufferLength - Nicht dem IDM-Objekt zugeordnet.
FontFileCount - Nicht dem IDM-Objekt zugeordnet.
FontFileName FontLoadOperation - Nicht dem IDM-Objekt zugeordnet.
FsOperationBlocked event1.PatternDispositionFlags.FsOperationBlocked Teil von Event_DetectionSummaryEvent.
FsPostOpenSnapshotFile FsVolumeMounted FsVolumeUnmounted FullContext - Nicht dem IDM-Objekt zugeordnet.
FullExceptionRecord - Nicht dem IDM-Objekt zugeordnet.
GcpCreationTimestamp GenericFileWrittenCount security_result.detection_fields[0].value Teil des Ereignisses EndOfProcess.
GID - Nicht dem IDM-Objekt zugeordnet.
GrandparentCommandLine GrandparentImageFileName GrandParentBaseFileName GroupIdentity GroupRid GzipFileWritten HandleCreated - Nicht dem IDM-Objekt zugeordnet.
HIDDescriptorCountryCode - Nicht dem IDM-Objekt zugeordnet.
HIDDescriptorNumDescriptors - Nicht dem IDM-Objekt zugeordnet.
HIDDescriptorVersion - Nicht dem IDM-Objekt zugeordnet.
HIPHandlers.dll event.idm.read_only_udm.target.file.full_path Teil von TargetFileName.
HostGroups - Nicht dem IDM-Objekt zugeordnet.
HostHiddenStatus HostInfo HostnameChanged hostname HostProcessType - Nicht dem IDM-Objekt zugeordnet.
HostUrl HttpRequestDetect HttpRequestHeader HttpUrl IcmpCode - Nicht dem IDM-Objekt zugeordnet.
IcmpType - Nicht dem IDM-Objekt zugeordnet.
id IdleSettings - Nicht dem IDM-Objekt zugeordnet.
ImageFileName ImageSubsystem - Nicht dem IDM-Objekt zugeordnet.
Image - Nicht dem IDM-Objekt zugeordnet.
ImpersonatedUserName InBroadcastOctets - Nicht dem IDM-Objekt zugeordnet.
InContext - Nicht dem IDM-Objekt zugeordnet.
InDiscards - Nicht dem IDM-Objekt zugeordnet.
Indicator event1.PatternDispositionFlags.Indicator Teil von Event_DetectionSummaryEvent.
InddetMask event1.PatternDispositionFlags.InddetMask Teil von Event_DetectionSummaryEvent.
InErrors - Nicht dem IDM-Objekt zugeordnet.
Information - Nicht dem IDM-Objekt zugeordnet.
InjectedDll InjectedThread InjectedThreadCount security_result.detection_fields[0].value Teil des Ereignisses EndOfProcess.
InjectedThreadFlag - Nicht dem IDM-Objekt zugeordnet.
InMulticastOctets - Nicht dem IDM-Objekt zugeordnet.
InNUcastPkts - Nicht dem IDM-Objekt zugeordnet.
InOctets - Nicht dem IDM-Objekt zugeordnet.
InstallDate - Nicht dem IDM-Objekt zugeordnet.
InstalledApplication InstalledUpdateExtendedStatus - Nicht dem IDM-Objekt zugeordnet.
InstalledUpdateIds - Nicht dem IDM-Objekt zugeordnet.
InstalledUpdates InstanceMetadata InstanceMetadataProvider - Nicht dem IDM-Objekt zugeordnet.
InstanceMetadataRequest - Nicht dem IDM-Objekt zugeordnet.
InstanceMetadataSignature - Nicht dem IDM-Objekt zugeordnet.
InUcastOctets - Nicht dem IDM-Objekt zugeordnet.
InUcastPkts - Nicht dem IDM-Objekt zugeordnet.
InUnknownProtos - Nicht dem IDM-Objekt zugeordnet.
IntegrityLevel - Nicht dem IDM-Objekt zugeordnet.
InterfaceAlias - Nicht dem IDM-Objekt zugeordnet.
InterfaceDescription - Nicht dem IDM-Objekt zugeordnet.
InterfaceFlags - Nicht dem IDM-Objekt zugeordnet.
InterfaceGuid - Nicht dem IDM-Objekt zugeordnet.
InterfaceIdentifier - Nicht dem IDM-Objekt zugeordnet.
InterfaceIndex - Nicht dem IDM-Objekt zugeordnet.
InterfaceMtu - Nicht dem IDM-Objekt zugeordnet.
InterfaceType - Nicht dem IDM-Objekt zugeordnet.
InterfaceVersion - Nicht dem IDM-Objekt zugeordnet.
InjectedDllCount security_result.detection_fields[0].value Teil des Ereignisses EndOfProcess.
InjectedThreadFlag - Nicht dem IDM-Objekt zugeordnet.
InkDiv.dll event.idm.read_only_udm.target.file.full_path Teil von ExecutablesWritten.
InkObj.dll event.idm.read_only_udm.target.file.full_path Teil von ExecutablesWritten.
InMulticastPkts - Nicht dem IDM-Objekt zugeordnet.
InOctets - Nicht dem IDM-Objekt zugeordnet.
InUcastPkts - Nicht dem IDM-Objekt zugeordnet.
IOARuleGroupName IOARuleInstanceID - Nicht dem IDM-Objekt zugeordnet.
IOARuleInstanceVersion - Nicht dem IDM-Objekt zugeordnet.
IOARuleName IOServiceClass - Nicht dem IDM-Objekt zugeordnet.
IOServiceName - Nicht dem IDM-Objekt zugeordnet.
IOServicePath - Nicht dem IDM-Objekt zugeordnet.
IOServiceProperties - Nicht dem IDM-Objekt zugeordnet.
IOServiceRegister IoSessionConnected IoSessionLoggedOn IpEntryFlags - Nicht dem IDM-Objekt zugeordnet.
IrpFlags - Nicht dem IDM-Objekt zugeordnet.
IsCpuDataCommonOnAllCores - Nicht dem IDM-Objekt zugeordnet.
IsNorthBridgeSupported - Nicht dem IDM-Objekt zugeordnet.
IsOnClearCaseMvfs - Nicht dem IDM-Objekt zugeordnet.
IsOnNetwork IsOnRemovableDisk IsOn - Nicht dem IDM-Objekt zugeordnet.
IsRemote - Nicht dem IDM-Objekt zugeordnet.
IsSouthBridgeSupported - Nicht dem IDM-Objekt zugeordnet.
IsTransactedFile - Nicht dem IDM-Objekt zugeordnet.
IsUnique - Nicht dem IDM-Objekt zugeordnet.
JavaInjectedThread JarFileWritten KernelModeLoadImage KernelTime - Nicht dem IDM-Objekt zugeordnet.
KextUnload K8SCreationTimestamp K8SDetectionEvent LanguageId - Nicht dem IDM-Objekt zugeordnet.
LastAdded - Nicht dem IDM-Objekt zugeordnet.
LastDiscoveredBy - Nicht dem IDM-Objekt zugeordnet.
LastDisplayed - Nicht dem IDM-Objekt zugeordnet.
LastLoggedOnHost - Nicht dem IDM-Objekt zugeordnet.
LastUpdateInstalledTime - Nicht dem IDM-Objekt zugeordnet.
LateralMovement - Nicht dem IDM-Objekt zugeordnet.
LdapSearchAttributes - Nicht dem IDM-Objekt zugeordnet.
LdapSearchBaseObjectSample - Nicht dem IDM-Objekt zugeordnet.
LdapSearchFilterSample - Nicht dem IDM-Objekt zugeordnet.
LdapSearchFilterShape - Nicht dem IDM-Objekt zugeordnet.
LdapSearchQueryClassification - Nicht dem IDM-Objekt zugeordnet.
LdapSearchQueryToken - Nicht dem IDM-Objekt zugeordnet.
LdapSearchScope - Nicht dem IDM-Objekt zugeordnet.
LdapSearchSizeLimit - Nicht dem IDM-Objekt zugeordnet.
LdapSecurityType - Nicht dem IDM-Objekt zugeordnet.
LightningLatencyInfo LightningLatencyState - Nicht dem IDM-Objekt zugeordnet.
Line - Nicht dem IDM-Objekt zugeordnet.
LinkLocalAddressBehavior - Nicht dem IDM-Objekt zugeordnet.
LinkLocalAddressTimeout - Nicht dem IDM-Objekt zugeordnet.
LinkName LocalAccount - Nicht dem IDM-Objekt zugeordnet.
LocalAddressIP4 LocalAddressIP6 LocalAddressMaskIP4 - Nicht dem IDM-Objekt zugeordnet.
LocalAddressMaskIP6 - Nicht dem IDM-Objekt zugeordnet.
LocalAdminAccess - Nicht dem IDM-Objekt zugeordnet.
LocalIpAddressIP4 LocalIpAddressIP6 LocalIpAddressRemovedIP4 LocalIpAddressRemovedIP6 LocalPort LocalSession - Nicht dem IDM-Objekt zugeordnet.
localipCount LockScreenEnabled - Nicht dem IDM-Objekt zugeordnet.
LockScreenStatus LogoffTime LogonDomain LogonId - Nicht dem IDM-Objekt zugeordnet.
LogonInfo security_result.summary Legt event_type auf USER_LOGIN fest.
LogonServer LogonTime LogonType event.idm.read_only_udm.extensions.auth.mechanism Wird basierend auf dem LogonType-Wert einem UDM-Enum-Wert zugeordnet.
LogoffTime LsassHandleFromUnsignedModule MAC event.idm.read_only_udm.principal.mac Sie werden in Kleinbuchstaben umgewandelt und Doppelpunkte werden durch Bindestriche ersetzt.
MACAddress event.idm.read_only_udm.principal.mac Bindestriche werden durch Doppelpunkte ersetzt.
MACPrefix - Nicht dem IDM-Objekt zugeordnet.
MachOFileWritten MachOSubType - Nicht dem IDM-Objekt zugeordnet.
MachineDn MachineDomain MajorFunction - Nicht dem IDM-Objekt zugeordnet.
MajorVersion - Nicht dem IDM-Objekt zugeordnet.
Malicious - Nicht dem IDM-Objekt zugeordnet.
ManagedPdbBuildPath MappedFromUserMode - Nicht dem IDM-Objekt zugeordnet.
MaxReassemblySize - Nicht dem IDM-Objekt zugeordnet.
MaxRouterAdvertisementInterval - Nicht dem IDM-Objekt zugeordnet.
MaxThreadCount - Nicht dem IDM-Objekt zugeordnet.
MD5HashData event.idm.read_only_udm.target.file.md5, event.idm.read_only_udm.target.process.file.md5 Wenn MD5HashData ein gültiger MD5-Hash ist und nicht nur aus Nullen besteht, erstellen Sie eine MD5-Hash-Entität mit dem Wert MD5HashData und fügen Sie sie event.idm.read_only_udm.target.file.md5 und event.idm.read_only_udm.target.process.file.md5 hinzu.
MD5String MediaConnectState - Nicht dem IDM-Objekt zugeordnet.
MediaType - Nicht dem IDM-Objekt zugeordnet.
MemoryAvailable - Nicht dem IDM-Objekt zugeordnet.
MemoryRegionProtection - Nicht dem IDM-Objekt zugeordnet.
MemoryRegionStart - Nicht dem IDM-Objekt zugeordnet.
MemoryTotal - Nicht dem IDM-Objekt zugeordnet.
MmioDataSmiEn - Nicht dem IDM-Objekt zugeordnet.
MmioDataTco1Cnt - Nicht dem IDM-Objekt zugeordnet.
MLModelVersion - Nicht dem IDM-Objekt zugeordnet.
MobileDetection MobileDetectionId - Nicht dem IDM-Objekt zugeordnet.
MobileOsIntegrityIntact - Nicht dem IDM-Objekt zugeordnet.
MobileOsIntegrityStatus MobilePowerStats MoboManufacturer - Nicht dem IDM-Objekt zugeordnet.
MoboProductName - Nicht dem IDM-Objekt zugeordnet.
ModelPrediction - Nicht dem IDM-Objekt zugeordnet.
ModuleBaseAddress - Nicht dem IDM-Objekt zugeordnet.
ModuleCharacteristics - Nicht dem IDM-Objekt zugeordnet.
ModuleDetectInfo ModuleLoadCount - Nicht dem IDM-Objekt zugeordnet.
ModuleLoadMechanism - Nicht dem IDM-Objekt zugeordnet.
ModuleLoadTelemetryClassification - Nicht dem IDM-Objekt zugeordnet.
ModuleNativePath - Nicht dem IDM-Objekt zugeordnet.
ModuleSize - Nicht dem IDM-Objekt zugeordnet.
ModifyServiceBinary MostRecentActivityTimeStamp - Nicht dem IDM-Objekt zugeordnet.
MotwWritten mskssrv.sys event.idm.read_only_udm.principal.process.file.full_path Teil von „OriginalFilename“.
MultipleInstancesPolicy - Nicht dem IDM-Objekt zugeordnet.
name namespace NativePdbBuildPath - Nicht dem IDM-Objekt zugeordnet.
NegateInterface - Nicht dem IDM-Objekt zugeordnet.
NegateLocalAddress - Nicht dem IDM-Objekt zugeordnet.
NegateRemoteAddress - Nicht dem IDM-Objekt zugeordnet.
NeighborList - Nicht dem IDM-Objekt zugeordnet.
NeighborListIP4 NeighborListIP6 NeighborName NetLuidIndex - Nicht dem IDM-Objekt zugeordnet.
NetShareAdd NetShareDelete NetShareSecurityModify NetworkBindCount security_result.detection_fields[0].value Teil des Ereignisses EndOfProcess.
NetworkCapableAsepWriteCount security_result.detection_fields[0].value Teil des Ereignisses EndOfProcess.
NetworkCloseCount security_result.detection_fields[0].value Teil des Ereignisses EndOfProcess.
NetworkCloseIP4 NetworkCloseIP6 NetworkConnectCount security_result.detection_fields[0].value Teil des Ereignisses EndOfProcess.
NetworkConnectCountUdp security_result.detection_fields[0].value Teil des Ereignisses EndOfProcess.
NetworkConnectIP4 NetworkConnectIP6 NetworkContainmentState NetworkInterfaceGuid - Nicht dem IDM-Objekt zugeordnet.
NetworkListenCount security_result.detection_fields[0].value Teil des Ereignisses EndOfProcess.
NetworkListenIP4 NetworkListenIP6 NetworkModuleLoadCount security_result.detection_fields[0].value Teil des Ereignisses EndOfProcess.
NetworkRecvAcceptCount security_result.detection_fields[0].value Teil des Ereignisses EndOfProcess.
NetworkReceiveAcceptIP4 NetworkReceiveAcceptIP6 NewExecutableRenamed NewExecutableWritten NewExecutableWrittenCount security_result.detection_fields[0].value Teil des Ereignisses EndOfProcess.
NewFileIdentifier - Nicht dem IDM-Objekt zugeordnet.
NewScriptWritten NlMtu - Nicht dem IDM-Objekt zugeordnet.
NorthBridgeDeviceId - Nicht dem IDM-Objekt zugeordnet.
NorthBridgeVendorId - Nicht dem IDM-Objekt zugeordnet.
NumberOfMeasurements - Nicht dem IDM-Objekt zugeordnet.
OciContainerId - Nicht dem IDM-Objekt zugeordnet.
OciContainerTelemetry OciContainersStartedCount - Nicht dem IDM-Objekt zugeordnet.
OciContainersStoppedCount - Nicht dem IDM-Objekt zugeordnet.
OleFileWritten OnLinkPrefixLength - Nicht dem IDM-Objekt zugeordnet.
OoxmlFileWritten OperStatus - Nicht dem IDM-Objekt zugeordnet.
OperationFlags - Nicht dem IDM-Objekt zugeordnet.
OperationName OriginalContentLength - Nicht dem IDM-Objekt zugeordnet.
OriginalEventTimeStamp - Nicht dem IDM-Objekt zugeordnet.
OriginalFilename OriginalParentAuthenticationId - Nicht dem IDM-Objekt zugeordnet.
OriginalUserName OriginalUserSid OsfmDownloadComplete OsVersionInfo OU OutBroadcastOctets - Nicht dem IDM-Objekt zugeordnet.
OutDiscards - Nicht dem IDM-Objekt zugeordnet.
OutErrors - Nicht dem IDM-Objekt zugeordnet.
OutMulticastOctets - Nicht dem IDM-Objekt zugeordnet.
OutNUcastPkts - Nicht dem IDM-Objekt zugeordnet.
OutOctets - Nicht dem IDM-Objekt zugeordnet.
OutUcastOctets - Nicht dem IDM-Objekt zugeordnet.
OutUcastPkts - Nicht dem IDM-Objekt zugeordnet.
PackedExecutableWritten Parameter64_1 - Nicht dem IDM-Objekt zugeordnet.
Parameter64_2 - Nicht dem IDM-Objekt zugeordnet.
Parameter64_3 - Nicht dem IDM-Objekt zugeordnet.
ParameterSizedBuffer_1 - Nicht dem IDM-Objekt zugeordnet.
Parameter1 - Nicht dem IDM-Objekt zugeordnet.
Parameter2 - Nicht dem IDM-Objekt zugeordnet.
Parameter3 - Nicht dem IDM-Objekt zugeordnet.
ParentAuthenticationId - Nicht dem IDM-Objekt zugeordnet.
ParentBaseFileName ParentCommandLine event1.ParentCommandLine Teil von Event_DetectionSummaryEvent.
ParentHubInstanceId - Nicht dem IDM-Objekt zugeordnet.
ParentHubPort - Nicht dem IDM-Objekt zugeordnet.
ParentImageFileName event.idm.read_only_udm.principal.process.file.full_path, event1.ParentImageFileName Teil von Event_DetectionSummaryEvent.
ParentProcessId event.idm.read_only_udm.principal.process.product_specific_process_id, event1.ParentProcessId mit dem Präfix CS:%{cid}:%{aid}:. Teil von Event_DetectionSummaryEvent.
PasswordLastSet - Nicht dem IDM-Objekt zugeordnet.
PathMtuDiscoveryTimeout - Nicht dem IDM-Objekt zugeordnet.
PatternDispositionFlags - Nicht dem IDM-Objekt zugeordnet.
PatternDispositionValue `PatternDisposition

Änderungen

2025-02-25

  • Zuordnung für Ereignis FileIntegrityMonitorRuleMatched hinzugefügt: Zuordnung des Felds ObjectName zu den UDM-Feldern target.file.full_path,, target.registry.registry_value_data, und target.registry.registry_key basierend auf dem Wert des Felds ObjectType.

2025-02-07

Optimierung:

  • detectName wurde security_result.threatname zugeordnet.

2025-01-31

  • Der Grenzfall für den großen Ganzzahlwert im Feld „Raw Log“ ProcessId und ParentProcessId wurde behandelt.
  • Das Feld „AgendIdString“ wurde der Zuordnung für das UDM-Feld principal.process.product_specific_process_id hinzugefügt, da das Rohlog-Feld aid nicht vorhanden war.
  • Das Feld „AgendIdString“ wurde der Zuordnung für das UDM-Feld principal.process.parent_process.product_specific_process_id hinzugefügt, da das Rohlog-Feld aid nicht vorhanden war.

2025-01-17

  • „gsub“ wurde hinzugefügt, um große Ganzzahlwerte in den Rohlogsfeldern ProcessId und ParentProcessId zu unterstützen.

2025-01-16

Optimierung:

  • EventOrigin, id, KerberosRequestTicketCreationTimeSample, ActiveDirectoryDataProtocol, KerberosRequestTicketValidityPeriod, LdapSearchBaseObjectSample, LdapSearchSizeLimit, DebugInfoUnicode, LdapSecurityType, ActiveDirectoryAuthenticationMethod, SourceAccountType, AggregationEarliestTimestamp, AggregationWindowTimestamp, LdapSearchQueryToken und LdapSearchScope auf security_result.detection_fields.
  • SourceEndpointNetworkTag wurde security_result.description zugeordnet.
  • LocalPortSample wurde principal.port zugeordnet.
  • RemotePortSample wurde target.port zugeordnet.
  • LocalAddressIP4Sample wurde principal.ip und principal.asset.ip zugeordnet.
  • LdapSearchFilterShape, TargetAccountType, KerberosAnomaly, LdapSearchQueryClassification und LdapSearchAttributes wurden additional.fields zugeordnet.

2025-01-09

Optimierung:

  • Unterstützung für das neue Ereignis InstalledBrowserExtension hinzugefügt.

2024-12-19

Optimierung:

  • Wenn FileOperatorSid eine gültige Windows-SID ist, wird sie target.user.windows_sid zugeordnet.

2024-12-18

Optimierung:

  • Die Zuordnung von OriginalFilename wurde von principal.process.file.full_path zu target.process.file.exif_info.original_file geändert.
  • Die Zuordnung von ParentBaseFileName wurde von principal.process.file.full_path zu principal.process.file.names geändert.
  • Die Zuordnung von OriginalFilename wurde von principal.process.file.exif_info.original_file zu target.process.file.exif_info.original_file geändert.

2024-12-04

Optimierung:

  • ConfigurationDescriptorName, DeviceDescriptorUniqueIdentifier, DeviceVendorId, DeviceUsbClass, ConfigurationDescriptorNumInterfaces, ConfigurationDescriptorMaxPowerDraw und ConfigurationDescriptorAttributes wurden security_result.detection_fields zugeordnet.
  • DeviceDescriptorSetHash wurde target.file.sha256 zugeordnet.

2024-10-29

Fehlerkorrektur:

  • Die Zuordnung von SourceFileName zu principal.process.file.full_path für FILE_MOVE-, FILE_MODIFICATION- und FILE_READ-Ereignisse wurde entfernt, da sie bereits src.file.full_path zugeordnet ist.

2024-10-09

Optimierung:

  • SmbNamedPipeName wurde security_result.detection_fields zugeordnet.
  • RequestType wurde network.dns.question.type zugeordnet.
  • QueryStatus wurde network.dns.response_code zugeordnet.
  • IP4Records, IP6Records und CNAMERecords wurden network.dns.answer.name zugeordnet.

2024-09-24

Optimierung:

  • Es wurde ein Grok-Muster hinzugefügt, damit IP-Adressen nicht mehr als principal.hostname geparst werden.

2024-09-19

Optimierung:

  • HttpRequest wurde target.ip zugeordnet.
  • HttpHost wurde target.hostname zugeordnet.
  • HttpPath wurde target.url zugeordnet.

2024-09-19

Optimierung:

  • HttpRequest wurde target.ip zugeordnet.
  • HttpHost wurde target.hostname zugeordnet.
  • HttpPath wurde target.url zugeordnet.

2024-09-12

Optimierung:

  • Bei FILE_CREATION-Ereignissen, bei denen ContextImageFileName nicht null ist, wird ContextImageFileName auf principal.process.file.full_path zugeordnet.
  • Die Zuordnung von OriginalFilename wurde von target.process.file.exif_info.original_file zu principal.process.file.exif_info.original_file geändert.

2024-09-10

  • Unterstützung für ein neues Muster von JSON-Protokollen hinzugefügt.
  • FileVersion und FixedFileVersion wurden additional.fields zugeordnet.

2024-09-03

Optimierung:

  • timestamp wurde metadata.event_timestamp zugeordnet.

2024-08-29

Fehlerkorrektur:

  • „on_error“ hinzugefügt, um den Fall zu behandeln, wenn TaskExecCommand null ist.

2024-08-20

Optimierung:

  • IsOnRemovableDisk, RegOperationType und RegType wurden additional.fields zugeordnet.

2024-08-06

Optimierung:

  • tar_user wurde target.user.userid zugeordnet.

2024-07-24

Optimierung:

  • Die Zuordnung von LocalAddressIP4 wurde von target.ip zu principal.ip geändert.
  • Wenn direction = INBOUND, wurde die Zuordnung von RemoteAddressIP4 von principal.ip zu src.ip geändert.
  • Wenn direction = OUTBOUND, wurde die Zuordnung von RemoteAddressIP4 von principal.ip zu target.ip geändert.

2024-07-08

Optimierung:

  • Description wurde security_result.description zugeordnet.
  • Name wurde security_result.threat_name zugeordnet.
  • CompositeId wurde additional.fields zugeordnet.
  • id wurde metadata.product_log_id zugeordnet.

2024-06-25

Optimierung:

  • SourceFileName wurde principal.process.file.full_path zugeordnet.
  • OdsFileName und ImageFileName wurden target.process.file.full_path zugeordnet.
  • Wenn event_simpleName = MotwWritten ist, wird metadata.event_type = FILE_CREATION zugeordnet.

2024-06-06

Optimierung:

  • OriginalFilename wurde target.process.file.exif_info.original_file zugeordnet.

2024-05-31

Optimierung:

  • os_version wurde principal.platform_version zugeordnet.
  • hostname wurde principal.hostname und principal.asset.hostname zugeordnet.
  • product_type_desc, host_hidden_status, scores.os, scores.sensor, scores.version, scores.overall und scores.modified_time wurden security_result.detection_fields zugeordnet.

2024-05-23

Optimierung:

  • Version wurde principal.platform_version zugeordnet.

2024-05-21

Optimierung:

  • Wenn event_simpleName FileWritten, NetworkConnect oder DnsRequest ist, wird ContextBaseFileName principal.process.file.full_path zugeordnet.
  • QuarantinedFileName wurde principal.process.file.full_path zugeordnet.

2024-05-15

Optimierung:

  • Version, BiosVersion und ChassisType wurden principal.asset.attribute.labels zugeordnet.
  • Continent, OU und SiteName wurden additional.fields zugeordnet.

2024-04-17

Optimierung:

  • ModuleILPath wurde target.resource.attribute.labels zugeordnet.

2024-04-08

Fehlerkorrektur:

  • Wenn event_simpleName = ClassifiedModuleLoad, wurde metadata.event_type von STATUS_UPDATE in PROCESS_MODULE_LOAD geändert.

2024-02-21

Optimierung:

  • SubjectDN wurde security_result.about.artifact.last_https_certificate.subject zugeordnet.
  • IssuerDN wurde security_result.about.artifact.last_https_certificate.issuer zugeordnet.
  • SubjectCertValidTo wurde security_result.about.artifact.last_https_certificate.validity.issue_time zugeordnet.
  • SubjectCertValidFrom wurde security_result.about.artifact.last_https_certificate.validity.expiry_time zugeordnet.
  • SubjectSerialNumber wurde security_result.about.artifact.last_https_certificate.serial_number zugeordnet.
  • SubjectVersion wurde security_result.about.artifact.last_https_certificate.version zugeordnet.
  • SubjectCertThumbprint wurde security_result.about.artifact.last_https_certificate.thumbprint zugeordnet.
  • SignatureDigestAlg wurde security_result.about.artifact.last_https_certificate.signature_algorithm zugeordnet.
  • SignatureDigestEncryptAlg wurde security_result.about.artifact.last_https_certificate.cert_signature.signature_algorithm zugeordnet.
  • AuthenticodeHashData wurde target.file.authentihash zugeordnet.
  • AuthorityKeyIdentifier wurde security_result.about.artifact.last_https_certificate.extension.authority_key_id.keyid und security_result.about.artifact.last_https_certificate.cert_extensions.fields zugeordnet.
  • SubjectKeyIdentifier wurde security_result.about.artifact.last_https_certificate.extension.subject_key_id und security_result.about.artifact.last_https_certificate.cert_extensions.fields zugeordnet.
  • OriginalFilename wurde additional.fields zugeordnet.
  • Zugewiesene Zeichen: SignInfoFlagUnknownError, SignInfoFlagHasValidSignature, SignInfoFlagSignHashMismatch, AuthenticodeMatch, SignInfoFlagMicrosoftSigned, SignInfoFlagNoSignature, SignInfoFlagInvalidSignChain, SignInfoFlagNoCodeKeyUsage, SignInfoFlagNoEmbeddedCert, SignInfoFlagThirdPartyRoot, SignInfoFlagCatalogSigned, SignInfoFlagSelfSigned, SignInfoFlagFailedCertCheck, SignInfoFlagEmbeddedSigned, IssuerCN, SubjectCN bis security_result.detection_fields.

2023-12-22

  • HostUrl wurde target.url zugeordnet.
  • ReferrerUrl wurde network.http.referral_url zugeordnet.

2023-11-23

  • Wenn is_alert auf true festgelegt ist, wird event.idm.is_significant auf true zugeordnet.
  • Wenn is_alert auf true festgelegt ist, wird event_simpleName mit security_result.summary verknüpft.

2023-10-11

  • Es wurde eine reguläre Ausdrucksprüfung hinzugefügt, um SHA1-, MD5- und SHA256-Werte zu validieren.

2023-08-22

  • Technique wurde security_result.attack_details.techniques.name zugeordnet und die entsprechenden Details zu Technik und Taktik hinzugefügt.

2023-08-03

Optimierung:

  • ReflectiveDllName wurde target.file.full_path zugeordnet.
  • event_type wurde STATUS_UPDATE zugeordnet, wenn das Feld DomainName in den Protokollen fehlt.

2023-08-01

  • Tactic wurde security_result.attack_details.tactics.name und der entsprechenden „tactics.id“ zugeordnet.

2023-07-31

Fehlerkorrektur:

  • on_error-Prüfung für Datumsfilter hinzugefügt.

2023-06-19

  • ParentBaseFileName wurde principal.process.file.full_path zugeordnet.
  • Die Zuordnung von ImageFileName zu target.file.full_path wurde entfernt, da sie für die Ereignisse ProcessRollup2 und SyntheticProcessRollup2 bereits target.process.file.full_path zugeordnet ist.

2023-05-12

Optimierung:

  • „aip“ wurde „intermediary.ip“ zugeordnet.

2023-05-08

Fehlerkorrektur:

  • Zeitformate in Strings konvertieren und Nanosekunden-Zeitformat verarbeiten

2023-04-14

Optimierung:

  • Der Severity-Wert von „Bereich[0–19]“ wurde von security_result.severity in INFORMATIONAL geändert.
  • Der Wert von Severity für den Bereich [20–39] wurde von security_result.severity in LOW geändert.
  • Der Severity-Wert von „Bereich[40–59]“ wurde von security_result.severity in MEDIUM geändert.
  • Der Wert von Severity für den Bereich [60–79] wurde von security_result.severity in HIGH geändert.
  • Der Wert von Severity für „Bereich[80–100]“ wurde von security_result.severity in CRITICAL geändert.
  • PatternId wurde security_result.detection_fields zugeordnet.
  • SourceEndpointIpAddress wurde principal.ip zugeordnet.
  • metadata.event_type wurde USER_UNCATEGORIZED zugeordnet, wenn event_simpleName =~ userlogonfailed und Nutzerinformationen nicht vorhanden waren.
  • metadata.event_type wurde USER_UNCATEGORIZED zugeordnet, wenn ExternalApiType =Event_UserActivityAuditEvent`` und Nutzerinformationen vorhanden sind.
  • metadata.event_type wurde USER_UNCATEGORIZED zugeordnet, wenn event_simpleName =~ActiveDirectory`.
  • TargetAccountObjectGuid wurde additional.fields zugeordnet.
  • TargetDomainControllerObjectGuid wurde additional.fields zugeordnet.
  • TargetDomainControllerObjectSid wurde additional.fields zugeordnet.
  • AggregationActivityCount wurde additional.fields zugeordnet.
  • TargetServiceAccessIdentifier wurde additional.fields zugeordnet.
  • SourceAccountUserPrincipal wurde principal.user.userid zugeordnet.
  • SourceEndpointAddressIP4 wurde principal.ip zugeordnet.
  • SourceAccountObjectGuid wurde additional.fields zugeordnet.
  • AccountDomain wurde principal.administrative_domain zugeordnet.
  • AccountObjectGuid wurde metadata.product_log_id zugeordnet.
  • AccountObjectSid wurde principal.user.windows_sid zugeordnet.
  • SamAccountName wurde principal.user.user_display_name zugeordnet.
  • SourceAccountSamAccountName wurde principal.user.user_display_name zugeordnet.
  • IOARuleGroupName wurde security_result.detection_fields zugeordnet.
  • IOARuleName wurde security_result.detection_fields zugeordnet.
  • RemoteAddressIP4 wurde target.ip zugeordnet, wenn event_simpleName=RegCredAccessDetectInfo.

2023-03-24

  • id wurde metadata.product_log_id statt target.resource.id zugeordnet.
  • RegBinaryValue wurde target.registry.registry_value_data zugeordnet, wenn sowohl RegNumericValue als auch RegStringValue null sind.

2023-03-21

Optimierung:

  • BatchTimestamp, GcpCreationTimestamp, K8SCreationTimestamp und AwsCreationTimestamp wurden metadata.event_timestamp zugeordnet.
  • FileOperatorSid wurde target.user.windows_sid zugeordnet.

2023-03-13

Optimierung:

  • LogonTime, ProcessStartTime, ContextTimeStamp, ContextTimeStamp_decimal und AccountCreationTimeStamp wurden metadata.event_timestamp zugeordnet.

2023-03-10

Optimierung:

  • CallStackModuleNamesVersion,CallStackModuleNamesVersion wurden security_result.detection_fields zugeordnet.

2023-02-28

Optimierung:

  • Die folgenden Zuordnungen für das Feld ParentProcessId wurden geändert, wenn event_simpleName in [ProcessRollup2, SyntheticProcessRollup2] liegt.
  • target.process.parent_process.pid in target.process.parent_process.product_specific_process_id geändert

2023-02-16

Optimierung:

  • Das Feld AssociatedFile wurde security_result.detection_fields[n].value zugeordnet und security_result.detection_fields[n].key AssociatedIOCFile.

2023-02-09

Optimierung:

  • Die Felder, die unter target.labels zugeordnet waren, wurden neu target.resource.attribute.labels zugeordnet.
  • Die Zuordnung von ManagedPdbBuildPath zu target.resource.attribute.labels wurde korrigiert.

2023-02-09

Optimierung:

  • Die Felder, die unter target.labels zugeordnet waren, wurden neu target.resource.attribute.labels zugeordnet.
  • Die Zuordnung von ManagedPdbBuildPath zu target.resource.attribute.labels wurde korrigiert.

2023-01-15

Fehlerkorrektur:

  • aid für das Ereignis UserLogonFailed von principal.asset_id zu target.asset_id neu zugeordnet.

2023-01-13

Optimierung:

  • Nutzername, der für den Ereignistyp ScheduledTaskModified und ScheduledTaskRegistered principal.user.userid zugeordnet ist.
  • AssemblyName,ManagedPdbBuildPath,ModuleILPath werden auf target.labels zugeordnet, wenn metadata.product_event_type = ReflectiveDotnetModuleLoad
  • VirtualDriveFileName,VolumeName werden auf target.labels zugeordnet, wenn metadata.product_event_type = RemovableMediaVolumeMounted
  • ImageFileName wird target.file.full_path zugeordnet, wenn „metadata.product_event_type“ den Wert ClassifiedModuleLoad hat.

2023-01-13

Optimierung:

  • Nutzername, der für den Ereignistyp ScheduledTaskModified und ScheduledTaskRegistered principal.user.userid zugeordnet ist.
  • AssemblyName,ManagedPdbBuildPath,ModuleILPath werden auf target.labels zugeordnet, wenn metadata.product_event_type = ReflectiveDotnetModuleLoad
  • VirtualDriveFileName,VolumeName werden auf target.labels zugeordnet, wenn metadata.product_event_type = RemovableMediaVolumeMounted
  • ImageFileName wird target.file.full_path zugeordnet, wenn „metadata.product_event_type“ den Wert ClassifiedModuleLoad hat.

2023-01-02

Optimierung:

  • Nutzername, der für den Ereignistyp ScheduledTaskModified und ScheduledTaskRegistered principal.user.userid zugeordnet ist.

2022-12-22

Optimierung:

  • RemoteAddressIP4 wurde principal.ip zugeordnet, wenn event_type=Userlogonfailed2

2022-11-04

Optimierung:

  • GrandparentImageFileName wurde principal.process.parent_process.parent_process.file.full_path zugeordnet.
  • GrandparentCommandLine wurde principal.process.parent_process.parent_process.commamdLine zugeordnet

2022-11-03

Fehlerkorrektur:

  • Wenn event_simpleName InstalledApplication ist, werden die folgenden Parameter zugeordnet.
  • AppName wurde principal.asset.software.name zugeordnet.
  • AppVersion wurde principal.asset.software.version zugeordnet.

2022-10-12

Fehlerkorrektur:

  • discoverer_aid wurde resource.attribute.labels zugeordnet.
  • NeighborName wurde intermediary.hostname zugeordnet.
  • subnet wurde additional.fields zugeordnet.
  • localipCount wurde additional.fields zugeordnet.
  • aipCount wurde additional.fields zugeordnet.
  • Bedingte Prüfung für LogonServer hinzugefügt

2022-10-07

Fehlerkorrektur:

  • Die Zuordnung von CommandLine wurde von principal.process.command_line zu target.process.command_line geändert.

2022-09-13

Fehlerkorrektur:

  • „metadata.event_type“ wurde „REGISTRY_CREATION“ zugeordnet, wenn „RegOperationType“ 3 ist.
  • „event_type“ wurde REGISTRY_DELETION zugeordnet, wenn „RegOperationType“ 4 oder 102 ist.
  • „event_type“ wurde auf „REGISTRY_MODIFICATION“ zugeordnet, wenn „RegOperationType“ den Wert 5, 7, 9, 101 oder 1 hat.
  • „event_type“ wurde in REGISTRY_UNCATEGORIZED zugeordnet, wenn „RegOperationType“ nicht null ist und nicht in allen oben genannten Fällen.

2022-09-02

Optimierung:

  • Definieren Sie das Feld UserPrincipal in den Statusdaten.

2022-08-30

Optimierung:

  • Das Feld UserPrincipal in den Statusdaten definiert.

2022-08-21

Optimierung:

  • ActivityId wurde additional.fields zugeordnet.
  • SourceEndpointHostName wurde principal.hostname zugeordnet.
  • SourceAccountObjectSid wurde principal.user.windows_sid zugeordnet.
  • Bedingung zum Parsen von LocalAddressIP4 und aip hinzugefügt.
  • metadata.event_type wurde STATUS_UPDATE zugeordnet, wobei ComputerName und LocalAddressIP4 nicht null sind.
  • SourceEndpointAccountObjectGuid wurde metadata.product_log_id zugeordnet.
  • SourceEndpointAccountObjectSid wurde target.user.windows_sid zugeordnet.
  • SourceEndpointHostName wurde principal.hostname zugeordnet.

2022-08-18

Fehlerkorrektur:

  • Die folgenden Felder wurden zugeordnet:
  • event.PatternDispositionValue zu security_result.about.labels.
  • event.ProcessId zu principal.process.product_specific_process_id.
  • event.ParentProcessId zu target.process.parent_process.pid.
  • event.ProcessStartTime zu security_result.detection_fields.
  • event.ProcessEndTime zu security_result.detection_fields.
  • event.ComputerName zu principal.hostname.
  • event.UserName zu principal.user.userid.
  • event.DetectName zu security_result.threat_name.
  • event.DetectDescription zu security_result.description.
  • event.SeverityName zu security_result.severity.
  • event.FileName zu target.file.full_path.
  • event.FilePath zu target.file.full_path.
  • event.CommandLine zu principal.process.command_line.
  • event.SHA256String zu target.file.sha256.
  • event.MD5String zu security_result.about.file.md5.
  • event.MachineDomain zu principal.administrative_domain.
  • event.FalconHostLink zu intermediary.url.
  • event.LocalIP zu principal.ip.
  • event.MACAddress zu principal.mac.
  • event.Tactic zu security_result.detection_fields.
  • event.Technique zu security_result.detection_fields.
  • event.Objective zu security_result.rule_name.
  • event.PatternDispositionDescription zu security_result.summary.
  • event.ParentImageFileName zu principal.process.parent_process.file.full_path.
  • event.ParentCommandLine zu principal.process.parent_process.command_line.

2022-07-29

Optimierung:

  • event_category,event_module,Hmac wurde additional.fields zugeordnet.
  • user_name wurde principal.user.userid zugeordnet.
  • event_source wurde target.application zugeordnet.
  • Grok-Regel für auth_group and new logs hinzugefügt
  • Prüfung für principal_ip,target_ip and event_type hinzugefügt.

2022-07-25

Fehlerkorrektur:

  • metadata.event_type wurde USER_RESOURCE_ACCESS zugeordnet, wobei eventType K8SDetectionEvent ist
  • metadata.event_type wurde STATUS_UPDATE zugeordnet, wobei metadata.event_type null und principal.asset_id nicht null ist.
  • SourceAccountDomain wurde principal.administrative_domain zugeordnet
  • SourceAccountName wurde principal.user.userid zugeordnet
  • metadata.event_type wurde STATUS_UPDATE zugeordnet, wobei EventType Event_ExternalApiEvent und OperationName in [quarantined_file_update, detection_update, update_rule] liegt
  • metadata.event_type wurde USER_RESOURCE_ACCESS zugeordnet, wenn FilePath und FileName null oder AgentIdString null ist.
  • metadata.event_type wurde STATUS_UPDATE zugeordnet, wobei „Protokoll“ den Wert „null“ hat.
  • Bedingte Prüfung für MD5String, SHA256String, CommandLine, AgentIdString, ProcessId, ParentProcessId, FilePath und FileName hinzugefügt.

2022-07-12

Optimierung:

  • Für „event_simpleName“: „DriverLoad“, „ProcessRollup“, „PeVersionInfo“, „PeFileWritten“, „TemplateDetectAnalysis“, „ScriptControlDetectInfo“.
  • OriginalFilename wurde principal.process.file.full_path zugeordnet

2022-06-20

Optimierung:

  • ConfigBuild wurde security_result.detection_fields zugeordnet.
  • EffectiveTransmissionClass wurde security_result.detection_fields zugeordnet.
  • Entitlements wurde security_result.detection_fields zugeordnet.

2022-06-14

Optimierung:

  • CompanyName wurde target.user.company_name zugeordnet
  • AccountType wurde target.user.role_description zugeordnet
  • ProductVersion wurde metadata.product_version zugeordnet
  • LogonInfo wurde principal.ip zugeordnet
  • MAC wurde principal.mac zugeordnet
  • UserSid_readable wurde target.user.windows_sid zugeordnet
  • FileName wurde target.file.full_path zugeordnet
  • _time wurde metadata.event_timestamp zugeordnet
  • Bedingte Prüfung für MD5HashData, SHA256HashData, UserName, id, RegObjectName, RegStringValue, RegValueName, UserSid, TargetFileName, aid hinzugefügt

2022-06-02

Fehlerkorrektur:

  • Schlüsselname und Doppelpunktzeichen aus security_result.detection_fields.value entfernt

2022-05-27

Optimierung:

  • Zusätzliche Zuordnung: SHA256String und MD5String zu „security_result.about.file“, um als Benachrichtigungsereignis angezeigt zu werden.

2022-05-20

Optimierung:

  • LinkName wurde target.resource.attribute.labels zugeordnet.
  • Mögliche Vorkommen von GENERIC_EVENTS wurden in STATUS_UPDATE geändert.
  • Zwischen dem Prozess und dem übergeordneten Stammverzeichnis wurde ein umgekehrter Schrägstrich eingefügt.
  • Geparste Plattform, wenn event_platform „iOS“ ist.
  • „resource.type“ in „resource_type“ geändert.

2022-05-12

Optimierung:

  • „resourceName“ ist „target.resource.name“ zugeordnet
  • resourceId muss mit target.resource.product_object_id übereinstimmen
  • Namespace, der target.namespace zugeordnet ist
  • Kategorie, die security_result.category_details zugeordnet ist
  • description wird security_result.description zugeordnet
  • „sourceAgent“ zu „network.http.user_agent“ zugeordnet
  • Schweregrad, der security_result.severity zugeordnet ist
  • „resourceKind“ ist auf „target.resource.type“ zugeordnet
  • detectionName ist target.resource.name zugeordnet
  • clusterName wird auf target.resource.attribute.labels zugeordnet
  • clusterId zu target.resource.attribute.labels
  • detectionId ist target.resource.attribute.labels zugeordnet
  • Typ, der „additional.fields“ zugeordnet ist
  • Korrektur für additional.fields
  • Benchmarks für additional.fields
  • badResources zu additional.fields

2022-04-27

Fehlerkorrektur:

  • Der UDM-Ereignistyp wurde für Protokolle mit ExternalApiType = Event_AuthActivityAuditEvent von GENERIC_EVENT in USER_LOGIN geändert.
  • Die Zuordnungen für „target_user“, „actor_user“ und „actor_user_uuid“ wurden von „additional.fields“ zu „target.user.email_addresses“, „target.user.user_display_name“ und „target.user.userid“ geändert.

2022-04-25

Optimierung:

  • RemoteAddressIP4 wurde principal.ip zugeordnet.

2022-04-14

Fehlerkorrektur:

  • Unterstützung für das Feld „ScriptContent“ für alle Arten von Protokollen hinzugefügt

2022-04-13

Optimierung:

  • Zuordnungen für neue Felder hinzugefügt
  • Neue Ereigniszuordnungen hinzugefügt: „AuthenticationPackage“ wurde „target.resource.name“ zugeordnet.

2022-04-04

Fehlerkorrektur:

  • OriginatingURL wurde für NetworkConnect-Ereignisse principal.url zugeordnet.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten