Recoger registros de CrowdStrike Falcon en formato CEF
Disponible en:
SecOps de Google
SIEM
En este documento se explica cómo recoger registros de CrowdStrike Falcon en formato CEF mediante Bindplane. El analizador extrae pares clave-valor y los asigna al modelo de datos unificado (UDM), gestionando diferentes delimitadores y enriqueciendo los datos con contexto adicional, como la gravedad y los tipos de evento. También realiza transformaciones específicas para determinados tipos de eventos y campos, como los inicios de sesión de usuarios y los resultados de seguridad.
Antes de empezar
- Asegúrate de que tienes una instancia de Google Security Operations.
- Asegúrate de usar Windows 2016 o una versión posterior, o un host Linux con
systemd. - Si se ejecuta a través de un proxy, asegúrate de que los puertos del cortafuegos estén abiertos.
- Asegúrate de que tienes acceso con privilegios a la consola de CrowdStrike Falcon.
- Obtén las credenciales de la API de Falcon Stream (ID de cliente y secreto de cliente).
Obtener el archivo de autenticación de ingestión de Google SecOps
- Inicia sesión en la consola de Google SecOps.
- Ve a Configuración de SIEM > Agentes de recogida.
- Descarga el archivo de autenticación de ingestión. Guarda el archivo de forma segura en el sistema en el que se instalará Bindplane.
Obtener el ID de cliente de Google SecOps
- Inicia sesión en la consola de Google SecOps.
- Ve a Configuración de SIEM > Perfil.
- Copia y guarda el ID de cliente de la sección Detalles de la organización.
Instalar el agente de Bindplane
Instalación de ventanas
- Abre el símbolo del sistema o PowerShell como administrador.
Ejecuta el siguiente comando:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Instalación de Linux
- Abre un terminal con privilegios de superusuario o sudo.
Ejecuta el siguiente comando:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Recursos de instalación adicionales
- Para ver otras opciones de instalación, consulta esta guía de instalación.
Configurar el agente de BindPlane para ingerir Syslog y enviarlo a Google SecOps
Accede al archivo de configuración:
- Busca el archivo
config.yaml. Normalmente, se encuentra en el directorio/etc/bindplane-agent/en Linux o en el directorio de instalación en Windows. - Abre el archivo con un editor de texto (por ejemplo,
nano,vio Bloc de notas).
- Busca el archivo
Edita el archivo
config.yamlde la siguiente manera:receivers: tcplog: # Replace the port and IP address as required listen_address: "0.0.0.0:54525" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: SYSLOG namespace: cs_falcon raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - tcplog exporters: - chronicle/chronicle_w_labelsSustituye el puerto y la dirección IP según sea necesario en tu infraestructura.
Sustituye
<customer_id>por el ID de cliente real.Actualiza
/path/to/ingestion-authentication-file.jsona la ruta en la que se guardó el archivo de autenticación en la sección Obtener el archivo de autenticación de ingestión de Google SecOps.
Reinicia el agente de Bindplane para aplicar los cambios
Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:
sudo systemctl restart bindplane-agentPara reiniciar el agente de Bindplane en Windows, puedes usar la consola Servicios o introducir el siguiente comando:
net stop BindPlaneAgent && net start BindPlaneAgent
Configurar y obtener una clave de API de CrowdStrike
- Inicia sesión en CrowdStrike Falcon con una cuenta con privilegios.
- Ve a Menú > Asistencia.
- Haz clic en Clientes de API > Seleccionar claves.
- Haz clic en Añadir nuevo cliente de API.
- En la sección API Scopes (Ámbitos de la API), selecciona Event streams (Secuencias de eventos) y Alerts (Alertas) > habilita la opción Read (Leer).
- Haz clic en Añadir.
- Copia y guarda los valores de Client ID (ID de cliente), Secret (Secreto) y Base URL (URL base).
Instalar el conector de Falcon SIEM
- Descarga el paquete de instalación RPM para tu sistema operativo.
Instalación de paquetes:
Sistema operativo CentOS:
sudo rpm -Uvh <installer package>Sistema operativo Ubuntu:
sudo dpkg -i <installer package>
Directorios de instalación predeterminados:
- Conector de Falcon SIEM -
/opt/crowdstrike/. - Servicio:
/etc/init.d/cs.falconhoseclientd/.
- Conector de Falcon SIEM -
Configurar el conector SIEM para reenviar registros CEF a Bindplane
- Inicia sesión en el equipo con SIEM Connector instalado como usuario
sudo. - Ve al directorio
/opt/crowdstrike/etc/. - Cambia el nombre de
cs.falconhoseclient.cef.cfgacs.falconhoseclient.cfg.- SIEM Connector usa la configuración
cs.falconhoseclient.cfgde forma predeterminada.
- SIEM Connector usa la configuración
- Edita el archivo
cs.falconhoseclient.cfgy modifica o define los siguientes parámetros:api_url:: la URL base de CrowdStrike Falcon que has copiado en el paso anterior.app_id:: cualquier cadena como identificador para conectarse a la API Falcon Streaming (por ejemplo,app_id: SECOPS-CEF).client_id:: el valor declient_idcopiado en el paso anterior.client_secret:: el valor declient_secretcopiado en el paso anterior.send_to_syslog_server: true: habilita el envío al servidor Syslog.host:: la IP o el nombre de host del agente de Bindplane.port:: el puerto del agente de Bindplane.
- Guarda el archivo
cs.falconhoseclient.cfg. Inicia el servicio SIEM Connector:
Sistema operativo CentOS
sudo service cs.falconhoseclientd startSistema operativo Ubuntu 16.04 o versiones posteriores
sudo systemctl start cs.falconhoseclientd.service
Opcional: Detén el servicio del conector SIEM:
Sistema operativo CentOS
sudo service cs.falconhoseclientd stopSistema operativo Ubuntu 16.04 o versiones posteriores
sudo systemctl stop cs.falconhoseclientd.service
Opcional: Reinicia el servicio SIEM Connector:
Sistema operativo CentOS
sudo service cs.falconhoseclientd restartSistema operativo Ubuntu 16.04 o versiones posteriores
sudo systemctl restart cs.falconhoseclientd.service
Tabla de asignación de UDM
| Campo de registro | Asignación de UDM | Lógica |
|---|---|---|
AccountCreationTimeStamp |
event.idm.read_only_udm.metadata.event_timestamp |
El nombre del campo de registro sin procesar AccountCreationTimeStamp se ha cambiado a event.idm.read_only_udm.metadata.event_timestamp. |
AccountDomain |
event.idm.read_only_udm.principal.administrative_domain |
El nombre del campo de registro sin procesar AccountDomain se ha cambiado a event.idm.read_only_udm.principal.administrative_domain. |
AccountObjectGuid |
event.idm.read_only_udm.metadata.product_log_id |
El nombre del campo de registro sin procesar AccountObjectGuid se ha cambiado a event.idm.read_only_udm.metadata.product_log_id. |
AccountObjectSid |
event.idm.read_only_udm.principal.user.windows_sid |
El nombre del campo de registro sin procesar AccountObjectSid se ha cambiado a event.idm.read_only_udm.principal.user.windows_sid. |
AccessType |
- | No está asignado al objeto IDM. |
action_taken |
event.idm.read_only_udm.additional.fields[0].value.string_value |
Parte de la matriz AuditKeyValues. |
ActiveCpuCount |
- | No está asignado al objeto IDM. |
ActiveDirectoryAuthenticationMethod |
- | No está asignado al objeto IDM. |
ActiveDirectoryDataProtocol |
- | No está asignado al objeto IDM. |
AddressFamily |
- | No está asignado al objeto IDM. |
AdminStatus |
- | No está asignado al objeto IDM. |
AllocateVirtualMemoryCount |
security_result.detection_fields[0].value |
Parte del evento EndOfProcess. |
agent-windows |
event.idm.read_only_udm.target.file.full_path |
Parte de TargetFileName. |
AgentIdString |
event.idm.read_only_udm.principal.asset_id |
Prefijo CS:. |
AgentLoadFlags |
- | No está asignado al objeto IDM. |
AgentLocalTime |
- | No está asignado al objeto IDM. |
AgentOnline AgentTimeOffset |
- | No está asignado al objeto IDM. |
AgentVersion AggregationActivityCount AggregationEarliestTimestamp |
- | No está asignado al objeto IDM. |
aid |
event.idm.read_only_udm.principal.asset_id |
Prefijo CS:. |
aip |
event.idm.read_only_udm.principal.nat_ip |
Si _aid_is_target es false y aip no es null, crea una entidad de IP con el valor de aip y añádela a event.idm.read_only_udm.principal.nat_ip. |
aipCount AllocVmEtw AllocationType |
- | No está asignado al objeto IDM. |
AllowHardTerminate |
- | No está asignado al objeto IDM. |
AllowStartOnDemand |
- | No está asignado al objeto IDM. |
ApcArgument1 |
- | No está asignado al objeto IDM. |
ApcArgument2 |
- | No está asignado al objeto IDM. |
ApcContextAddress |
- | No está asignado al objeto IDM. |
ApcContextFileName |
- | No está asignado al objeto IDM. |
ApcContext |
- | No está asignado al objeto IDM. |
ApplicationName ApplicationUniqueIdentifier |
- | No está asignado al objeto IDM. |
ApplicationVersion |
- | No está asignado al objeto IDM. |
AppIs64Bit |
- | No está asignado al objeto IDM. |
AppName AppPath AppPathFlag |
- | No está asignado al objeto IDM. |
AppProductId |
- | No está asignado al objeto IDM. |
AppType |
- | No está asignado al objeto IDM. |
AppUpdateIds |
- | No está asignado al objeto IDM. |
AppVendor |
- | No está asignado al objeto IDM. |
AppVersion ArchiveFileWrittenCount |
security_result.detection_fields[0].value |
Parte del evento EndOfProcess. |
AsepClass |
- | No está asignado al objeto IDM. |
AsepFileChange AsepFlags |
- | No está asignado al objeto IDM. |
AsepIndex |
- | No está asignado al objeto IDM. |
AsepKeyUpdate AsepValueUpdate AsepValueType |
- | No está asignado al objeto IDM. |
AsepWrittenCount |
security_result.detection_fields[0].value |
Parte del evento EndOfProcess. |
AssociateIndicator AssociateTreeIdWithRoot AssemblyFlags |
- | No está asignado al objeto IDM. |
AssemblyId |
- | No está asignado al objeto IDM. |
AssemblyName AuthenticationId |
event.idm.read_only_udm.principal.user.product_object_id |
Prefijo CS:. |
AuthenticationPackage AuthenticationUuid |
- | No está asignado al objeto IDM. |
AuthenticationUuidAsString |
- | No está asignado al objeto IDM. |
AuthenticodeHashData AuthenticodeMatch automated_remediation |
assessments.automated_remediation |
Parte del evento ZeroTrustHostAssessment. |
BaseReachableTime |
- | No está asignado al objeto IDM. |
BaseTime |
- | No está asignado al objeto IDM. |
BatchDataNumber |
- | No está asignado al objeto IDM. |
BatchDataTotal |
- | No está asignado al objeto IDM. |
BatchTimestamp BatteryLevel |
- | No está asignado al objeto IDM. |
BatteryStatus |
- | No está asignado al objeto IDM. |
BehaviorWhitelisted benchmarks BenignCount |
- | No está asignado al objeto IDM. |
beta_build_disabled |
assessments.beta_build_disabled |
Parte del evento ZeroTrustHostAssessment. |
BinaryExecutableWrittenCount |
security_result.detection_fields[0].value |
Parte del evento EndOfProcess. |
BillingInfo BillingType |
- | No está asignado al objeto IDM. |
BiosManufacturer BiosReleaseDate |
- | No está asignado al objeto IDM. |
BiosVersion BITSJobCreated BootArgs |
- | No está asignado al objeto IDM. |
BootId |
- | No está asignado al objeto IDM. |
BootStatusDataAabEnabled |
- | No está asignado al objeto IDM. |
BootStatusDataBootAttemptCount |
- | No está asignado al objeto IDM. |
BootStatusDataBootGood |
- | No está asignado al objeto IDM. |
BootStatusDataBootShutdown |
- | No está asignado al objeto IDM. |
BootTimeFunctionalityLevel |
- | No está asignado al objeto IDM. |
BrowserInjectedThread BundleID |
- | No está asignado al objeto IDM. |
CallStackModuleNames CallStackModuleNamesVersion ChannelId |
- | No está asignado al objeto IDM. |
ChannelVersion |
- | No está asignado al objeto IDM. |
ChannelVersionRequired ChasisManufacturer |
- | No está asignado al objeto IDM. |
ChassisType cid City CLICreationCount |
security_result.detection_fields[0].value |
Parte del evento EndOfProcess. |
ClassifiedModuleLoad CloudAssociateTreeIdWithRoot CloudErrorCode |
- | No está asignado al objeto IDM. |
CNAMERecords CodeIntegrity |
- | No está asignado al objeto IDM. |
CommandLine CommandSequence |
- | No está asignado al objeto IDM. |
CompletionEventId |
- | No está asignado al objeto IDM. |
ComputerName |
event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname |
Si ComputerName no es nulo, una cadena vacía o un guion, cree una entidad de nombre de host con el valor de ComputerName y añádala a event.idm.read_only_udm.principal.hostname y event.idm.read_only_udm.principal.asset.hostname. |
ConfigBuild ConfigIDBase |
- | No está asignado al objeto IDM. |
ConfigIDBuild |
- | No está asignado al objeto IDM. |
ConfigIDPlatform |
- | No está asignado al objeto IDM. |
ConfigurationVersion |
- | No está asignado al objeto IDM. |
ConfigStateData |
- | No está asignado al objeto IDM. |
ConfigStateHash ConfigStateUpdate ConnectTime |
- | No está asignado al objeto IDM. |
ConnectType |
- | No está asignado al objeto IDM. |
Connected |
- | No está asignado al objeto IDM. |
ConnectionCipher |
- | No está asignado al objeto IDM. |
ConnectionCipherStrength |
- | No está asignado al objeto IDM. |
ConnectionDirection |
- | No está asignado al objeto IDM. |
ConnectionExchange |
- | No está asignado al objeto IDM. |
ConnectionExchangeStrength |
- | No está asignado al objeto IDM. |
ConnectionFlags |
- | No está asignado al objeto IDM. |
ConnectionHash |
- | No está asignado al objeto IDM. |
ConnectionHashStrength |
- | No está asignado al objeto IDM. |
ConnectionProtocol |
- | No está asignado al objeto IDM. |
ConnectionType |
- | No está asignado al objeto IDM. |
Continent ContentSHA256HashData ContextData |
- | No está asignado al objeto IDM. |
ContextProcessId |
event.idm.read_only_udm.principal.process.product_specific_process_id, event.idm.read_only_udm.target.process.product_specific_process_id |
Prefijo CS:%{cid}:%{aid}:. |
ContextThreadId |
- | No está asignado al objeto IDM. |
ContextTimeStamp ContextTimeStamp_decimal Country CrashDumpFilePath |
- | No está asignado al objeto IDM. |
CrashNotification CreateProcessArgs CreateProcessCount |
security_result.detection_fields[0].value |
Parte del evento EndOfProcess. |
CreateService CreateThreadNoStartImage CreationTimeStamp |
- | No está asignado al objeto IDM. |
CriticalFileAccessed CriticalFileModified CsaProcessDataCollectionInstanceId |
- | No está asignado al objeto IDM. |
CurrentFunctionalityLevel |
- | No está asignado al objeto IDM. |
CurrentLocalIP |
- | No está asignado al objeto IDM. |
CurrentSystemTags CustomerIdString CycleTime |
- | No está asignado al objeto IDM. |
DadState |
- | No está asignado al objeto IDM. |
DadTransmits |
- | No está asignado al objeto IDM. |
DcName |
event.idm.read_only_udm.principal.user.userid |
El nombre del campo de registro sin procesar DcName se ha cambiado a event.idm.read_only_udm.principal.user.userid. |
DcNumAttachments |
- | No está asignado al objeto IDM. |
DcNumBlockingPolicies |
- | No está asignado al objeto IDM. |
DcOnline DcPropertyIdInterfaceType |
- | No está asignado al objeto IDM. |
DcPropertyIdInterfaceVersion |
- | No está asignado al objeto IDM. |
DcSensorInterfaceType |
- | No está asignado al objeto IDM. |
DcSensorInterfaceVersion |
- | No está asignado al objeto IDM. |
DcStatus DcUsbConfigurationDescriptor DcUsbDeviceConnected DcUsbDeviceDisconnected DcUsbEndpointDescriptor DcUsbHIDDescriptor DcUsbInterfaceDescriptor DCSyncAttempted Debug |
- | No está asignado al objeto IDM. |
DefaultGatewayIP4 |
- | No está asignado al objeto IDM. |
DefaultGatewayIP6 |
- | No está asignado al objeto IDM. |
DefaultGatewayPhysicalAddress |
- | No está asignado al objeto IDM. |
DeepHashBlacklistClassification DeepHashBlacklistVersion |
- | No está asignado al objeto IDM. |
DeliverLocalFXToCloud DesiredAccess detectionId detectionName DetectDescription DetectId |
- | No está asignado al objeto IDM. |
DetectName DeviceActiveConfigurationNumber |
- | No está asignado al objeto IDM. |
DeviceConnectionStatus |
- | No está asignado al objeto IDM. |
DeviceDescriptorNumber |
- | No está asignado al objeto IDM. |
DeviceDescriptorSetHash |
- | No está asignado al objeto IDM. |
DeviceDescriptorUniqueIdentifier |
- | No está asignado al objeto IDM. |
DeviceId |
- | No está asignado al objeto IDM. |
DeviceInstanceId |
event.idm.read_only_udm.target.asset_id |
Prefijo Device Instance Id:. |
DeviceManufacturer DeviceProduct DeviceProductId |
- | No está asignado al objeto IDM. |
DevicePropertyClassName |
- | No está asignado al objeto IDM. |
DevicePropertyClassGuid |
- | No está asignado al objeto IDM. |
DevicePropertyDeviceDescription DevicePropertyFriendlyName |
- | No está asignado al objeto IDM. |
DevicePropertyLocationInformation DevicePropertyManufacturer |
- | No está asignado al objeto IDM. |
DeviceProtocol |
- | No está asignado al objeto IDM. |
DeviceSerialNumber DeviceTimeStamp DeviceType |
- | No está asignado al objeto IDM. |
DeviceUsbClass |
- | No está asignado al objeto IDM. |
DeviceUsbSubclass |
- | No está asignado al objeto IDM. |
DeviceUsbVersion |
- | No está asignado al objeto IDM. |
DeviceVendorId |
- | No está asignado al objeto IDM. |
DeviceVersion |
- | No está asignado al objeto IDM. |
DirectoryCreate DirectoryCreatedCount |
security_result.detection_fields[0].value |
Parte del evento EndOfProcess. |
DirectoryEnumeratedCount |
security_result.detection_fields[0].value |
Parte del evento EndOfProcess. |
DisableRealtimeMonitoring DisallowStartIfOnBatteries |
- | No está asignado al objeto IDM. |
DisallowStartOnRemoteAppSession |
- | No está asignado al objeto IDM. |
DiskParentDeviceInstanceId DllCharacteristics |
- | No está asignado al objeto IDM. |
DllInjection DlpPolicy |
- | No está asignado al objeto IDM. |
DlpVerdict |
- | No está asignado al objeto IDM. |
DmpFileWritten DnsRequest DnsRequestCount |
security_result.detection_fields[0].value |
Parte del evento EndOfProcess. |
DnsResponseType |
- | No está asignado al objeto IDM. |
DnsResponseTtl |
- | No está asignado al objeto IDM. |
DocumentFileWrittenCount |
security_result.detection_fields[0].value |
Parte del evento EndOfProcess. |
DomainName |
event.idm.read_only_udm.target.hostname, event.idm.read_only_udm.target.asset.hostname, event.idm.read_only_udm.network.dns.questions[0].name |
Si DomainName no es nulo, crea una entidad de nombre de host con el valor de DomainName y añádela a event.idm.read_only_udm.target.hostname, event.idm.read_only_udm.target.asset.hostname y event.idm.read_only_udm.network.dns.questions[0].name. |
DotnetModuleFlags |
- | No está asignado al objeto IDM. |
DotnetModuleId |
- | No está asignado al objeto IDM. |
DotnetModuleLoadDetectInfo DownloadPath |
- | No está asignado al objeto IDM. |
DownloadPort |
- | No está asignado al objeto IDM. |
DownloadServer DriverLoad DualRequest |
- | No está asignado al objeto IDM. |
EffectiveTransmissionClass Effective |
- | No está asignado al objeto IDM. |
EfiSupported |
- | No está asignado al objeto IDM. |
EfiVariableCustomMode |
- | No está asignado al objeto IDM. |
EfiVariableCustomModeAttributes |
- | No está asignado al objeto IDM. |
EfiVariableDbAttributes |
- | No está asignado al objeto IDM. |
EfiVariableDbxAttributes |
- | No está asignado al objeto IDM. |
EfiVariableDbxSha256Hash |
- | No está asignado al objeto IDM. |
EfiVariableKekAttributes |
- | No está asignado al objeto IDM. |
EfiVariableKekSha256Hash |
- | No está asignado al objeto IDM. |
EfiVariablePkAttributes |
- | No está asignado al objeto IDM. |
EfiVariablePkSha256Hash |
- | No está asignado al objeto IDM. |
EfiVariableSecureBoot |
- | No está asignado al objeto IDM. |
EfiVariableSecureBootAttributes |
- | No está asignado al objeto IDM. |
EfiVariableSetupMode |
- | No está asignado al objeto IDM. |
EfiVariableSetupModeAttributes |
- | No está asignado al objeto IDM. |
EfiVariableSignatureSupport |
- | No está asignado al objeto IDM. |
EfiVariableSignatureSupportAttributes |
- | No está asignado al objeto IDM. |
EndpointDescriptorAddress |
- | No está asignado al objeto IDM. |
EndpointDescriptorAttributes |
- | No está asignado al objeto IDM. |
EndpointDescriptorInterval |
- | No está asignado al objeto IDM. |
EndpointDescriptorMaxPacketSize |
- | No está asignado al objeto IDM. |
EndOfProcess Entitlements ErrorEvent ErrorCode |
- | No está asignado al objeto IDM. |
ErrorLocation |
- | No está asignado al objeto IDM. |
ErrorReason |
- | No está asignado al objeto IDM. |
ErrorSource |
- | No está asignado al objeto IDM. |
ErrorStatus |
- | No está asignado al objeto IDM. |
ErrorText |
- | No está asignado al objeto IDM. |
EventLogCleared EventMax |
- | No está asignado al objeto IDM. |
EventMin |
- | No está asignado al objeto IDM. |
EventOrigin |
- | No está asignado al objeto IDM. |
EventType |
event.idm.read_only_udm.metadata.product_event_type |
Si event_simpleName es nulo y EventType no es nulo, crea una entidad product_event_type con el valor de EventType y añádela a event.idm.read_only_udm.metadata.product_event_type. |
EtwErrorEvent EtwRawProcessId |
- | No está asignado al objeto IDM. |
EtwRawThreadId |
- | No está asignado al objeto IDM. |
ExecutableDeleted ExecutableDeletedCount |
security_result.detection_fields[0].value |
Parte del evento EndOfProcess. |
ExeAndServiceCount |
security_result.detection_fields[0].value |
Parte del evento EndOfProcess. |
ExitCode |
- | No está asignado al objeto IDM. |
Exploit ExternalApiType |
event.idm.read_only_udm.metadata.product_event_type, event.idm.read_only_udm.extensions.auth.auth_details |
Si message contiene event1, se cambia el nombre de ExternalApiType a event.idm.read_only_udm.metadata.product_event_type. De lo contrario, se le cambia el nombre a event.idm.read_only_udm.extensions.auth.auth_details. |
Facility |
- | No está asignado al objeto IDM. |
FailedConnectCount |
- | No está asignado al objeto IDM. |
FalconHostLink FalconServiceComponent |
- | No está asignado al objeto IDM. |
FalconServiceServletErrors |
- | No está asignado al objeto IDM. |
FalconServiceServletStarts |
- | No está asignado al objeto IDM. |
FalconServiceState |
- | No está asignado al objeto IDM. |
FalconServiceStatus FeatureExtractionVersion |
- | No está asignado al objeto IDM. |
FeatureVector |
- | No está asignado al objeto IDM. |
File |
- | No está asignado al objeto IDM. |
FileAttributes |
- | No está asignado al objeto IDM. |
FileCreateInfo FileDeletedCount |
security_result.detection_fields[0].value |
Parte del evento EndOfProcess. |
FileDeleteInfo FileEcpBitmask |
- | No está asignado al objeto IDM. |
FileEventType |
- | No está asignado al objeto IDM. |
FileIdentifier FileObject |
- | No está asignado al objeto IDM. |
FileName FileOpenInfo FileRenameInfo FileSigningTime |
- | No está asignado al objeto IDM. |
FirewallAction |
- | No está asignado al objeto IDM. |
FirewallChangeOption FirewallDeleteRule FirewallDeleteRuleIP4 FirewallDeleteRuleIP6 FirewallEnabled FirewallOption FirewallOptionNumericValue |
- | No está asignado al objeto IDM. |
FirewallProfile |
- | No está asignado al objeto IDM. |
FirewallRule FirewallRuleId FirewallSetRule FirewallSetRuleIP4 FirewallSetRuleIP6 FirmwareAnalysisErrorEvent FirmwareAnalysisErrorLocation |
- | No está asignado al objeto IDM. |
FirmwareAnalysisErrorReason |
- | No está asignado al objeto IDM. |
FirmwareAnalysisErrorSource |
- | No está asignado al objeto IDM. |
FirmwareAnalysisHardwareData FirmwareAnalysisStatus FirmwareAnalysisCpuSupported |
- | No está asignado al objeto IDM. |
FirmwareAnalysisEclControlInterfaceVersion |
- | No está asignado al objeto IDM. |
FirmwareAnalysisEclConsumerInterfaceVersion |
- | No está asignado al objeto IDM. |
FirmwareImageAnalyzed FirmwareRegionMeasured FirmwareSize |
- | No está asignado al objeto IDM. |
FirmwareType |
- | No está asignado al objeto IDM. |
FirstDiscoveredDate |
- | No está asignado al objeto IDM. |
FirstIP4Record Flags |
- | No está asignado al objeto IDM. |
FltCallbackData |
- | No está asignado al objeto IDM. |
FltCompletionContext |
- | No está asignado al objeto IDM. |
FltRelatedObjects |
- | No está asignado al objeto IDM. |
FontBuffer |
- | No está asignado al objeto IDM. |
FontBufferLength |
- | No está asignado al objeto IDM. |
FontFileCount |
- | No está asignado al objeto IDM. |
FontFileName FontLoadOperation |
- | No está asignado al objeto IDM. |
FsOperationBlocked |
event1.PatternDispositionFlags.FsOperationBlocked |
Parte de Event_DetectionSummaryEvent. |
FsPostOpenSnapshotFile FsVolumeMounted FsVolumeUnmounted FullContext |
- | No está asignado al objeto IDM. |
FullExceptionRecord |
- | No está asignado al objeto IDM. |
GcpCreationTimestamp GenericFileWrittenCount |
security_result.detection_fields[0].value |
Parte del evento EndOfProcess. |
GID |
- | No está asignado al objeto IDM. |
GrandparentCommandLine GrandparentImageFileName GrandParentBaseFileName GroupIdentity GroupRid GzipFileWritten HandleCreated |
- | No está asignado al objeto IDM. |
HIDDescriptorCountryCode |
- | No está asignado al objeto IDM. |
HIDDescriptorNumDescriptors |
- | No está asignado al objeto IDM. |
HIDDescriptorVersion |
- | No está asignado al objeto IDM. |
HIPHandlers.dll |
event.idm.read_only_udm.target.file.full_path |
Parte de TargetFileName. |
HostGroups |
- | No está asignado al objeto IDM. |
HostHiddenStatus HostInfo HostnameChanged hostname HostProcessType |
- | No está asignado al objeto IDM. |
HostUrl HttpRequestDetect HttpRequestHeader HttpUrl IcmpCode |
- | No está asignado al objeto IDM. |
IcmpType |
- | No está asignado al objeto IDM. |
id IdleSettings |
- | No está asignado al objeto IDM. |
ImageFileName ImageSubsystem |
- | No está asignado al objeto IDM. |
Image |
- | No está asignado al objeto IDM. |
ImpersonatedUserName InBroadcastOctets |
- | No está asignado al objeto IDM. |
InContext |
- | No está asignado al objeto IDM. |
InDiscards |
- | No está asignado al objeto IDM. |
Indicator |
event1.PatternDispositionFlags.Indicator |
Parte de Event_DetectionSummaryEvent. |
InddetMask |
event1.PatternDispositionFlags.InddetMask |
Parte de Event_DetectionSummaryEvent. |
InErrors |
- | No está asignado al objeto IDM. |
Information |
- | No está asignado al objeto IDM. |
InjectedDll InjectedThread InjectedThreadCount |
security_result.detection_fields[0].value |
Parte del evento EndOfProcess. |
InjectedThreadFlag |
- | No está asignado al objeto IDM. |
InMulticastOctets |
- | No está asignado al objeto IDM. |
InNUcastPkts |
- | No está asignado al objeto IDM. |
InOctets |
- | No está asignado al objeto IDM. |
InstallDate |
- | No está asignado al objeto IDM. |
InstalledApplication InstalledUpdateExtendedStatus |
- | No está asignado al objeto IDM. |
InstalledUpdateIds |
- | No está asignado al objeto IDM. |
InstalledUpdates InstanceMetadata InstanceMetadataProvider |
- | No está asignado al objeto IDM. |
InstanceMetadataRequest |
- | No está asignado al objeto IDM. |
InstanceMetadataSignature |
- | No está asignado al objeto IDM. |
InUcastOctets |
- | No está asignado al objeto IDM. |
InUcastPkts |
- | No está asignado al objeto IDM. |
InUnknownProtos |
- | No está asignado al objeto IDM. |
IntegrityLevel |
- | No está asignado al objeto IDM. |
InterfaceAlias |
- | No está asignado al objeto IDM. |
InterfaceDescription |
- | No está asignado al objeto IDM. |
InterfaceFlags |
- | No está asignado al objeto IDM. |
InterfaceGuid |
- | No está asignado al objeto IDM. |
InterfaceIdentifier |
- | No está asignado al objeto IDM. |
InterfaceIndex |
- | No está asignado al objeto IDM. |
InterfaceMtu |
- | No está asignado al objeto IDM. |
InterfaceType |
- | No está asignado al objeto IDM. |
InterfaceVersion |
- | No está asignado al objeto IDM. |
InjectedDllCount |
security_result.detection_fields[0].value |
Parte del evento EndOfProcess. |
InjectedThreadFlag |
- | No está asignado al objeto IDM. |
InkDiv.dll |
event.idm.read_only_udm.target.file.full_path |
Parte de ExecutablesWritten. |
InkObj.dll |
event.idm.read_only_udm.target.file.full_path |
Parte de ExecutablesWritten. |
InMulticastPkts |
- | No está asignado al objeto IDM. |
InOctets |
- | No está asignado al objeto IDM. |
InUcastPkts |
- | No está asignado al objeto IDM. |
IOARuleGroupName IOARuleInstanceID |
- | No está asignado al objeto IDM. |
IOARuleInstanceVersion |
- | No está asignado al objeto IDM. |
IOARuleName IOServiceClass |
- | No está asignado al objeto IDM. |
IOServiceName |
- | No está asignado al objeto IDM. |
IOServicePath |
- | No está asignado al objeto IDM. |
IOServiceProperties |
- | No está asignado al objeto IDM. |
IOServiceRegister IoSessionConnected IoSessionLoggedOn IpEntryFlags |
- | No está asignado al objeto IDM. |
IrpFlags |
- | No está asignado al objeto IDM. |
IsCpuDataCommonOnAllCores |
- | No está asignado al objeto IDM. |
IsNorthBridgeSupported |
- | No está asignado al objeto IDM. |
IsOnClearCaseMvfs |
- | No está asignado al objeto IDM. |
IsOnNetwork IsOnRemovableDisk IsOn |
- | No está asignado al objeto IDM. |
IsRemote |
- | No está asignado al objeto IDM. |
IsSouthBridgeSupported |
- | No está asignado al objeto IDM. |
IsTransactedFile |
- | No está asignado al objeto IDM. |
IsUnique |
- | No está asignado al objeto IDM. |
JavaInjectedThread JarFileWritten KernelModeLoadImage KernelTime |
- | No está asignado al objeto IDM. |
KextUnload K8SCreationTimestamp K8SDetectionEvent LanguageId |
- | No está asignado al objeto IDM. |
LastAdded |
- | No está asignado al objeto IDM. |
LastDiscoveredBy |
- | No está asignado al objeto IDM. |
LastDisplayed |
- | No está asignado al objeto IDM. |
LastLoggedOnHost |
- | No está asignado al objeto IDM. |
LastUpdateInstalledTime |
- | No está asignado al objeto IDM. |
LateralMovement |
- | No está asignado al objeto IDM. |
LdapSearchAttributes |
- | No está asignado al objeto IDM. |
LdapSearchBaseObjectSample |
- | No está asignado al objeto IDM. |
LdapSearchFilterSample |
- | No está asignado al objeto IDM. |
LdapSearchFilterShape |
- | No está asignado al objeto IDM. |
LdapSearchQueryClassification |
- | No está asignado al objeto IDM. |
LdapSearchQueryToken |
- | No está asignado al objeto IDM. |
LdapSearchScope |
- | No está asignado al objeto IDM. |
LdapSearchSizeLimit |
- | No está asignado al objeto IDM. |
LdapSecurityType |
- | No está asignado al objeto IDM. |
LightningLatencyInfo LightningLatencyState |
- | No está asignado al objeto IDM. |
Line |
- | No está asignado al objeto IDM. |
LinkLocalAddressBehavior |
- | No está asignado al objeto IDM. |
LinkLocalAddressTimeout |
- | No está asignado al objeto IDM. |
LinkName LocalAccount |
- | No está asignado al objeto IDM. |
LocalAddressIP4 LocalAddressIP6 LocalAddressMaskIP4 |
- | No está asignado al objeto IDM. |
LocalAddressMaskIP6 |
- | No está asignado al objeto IDM. |
LocalAdminAccess |
- | No está asignado al objeto IDM. |
LocalIpAddressIP4 LocalIpAddressIP6 LocalIpAddressRemovedIP4 LocalIpAddressRemovedIP6 LocalPort LocalSession |
- | No está asignado al objeto IDM. |
localipCount LockScreenEnabled |
- | No está asignado al objeto IDM. |
LockScreenStatus LogoffTime LogonDomain LogonId |
- | No está asignado al objeto IDM. |
LogonInfo |
security_result.summary |
Asigna el valor USER_LOGIN a event_type. |
LogonServer LogonTime LogonType |
event.idm.read_only_udm.extensions.auth.mechanism |
Se asigna a un valor de enumeración de UDM en función del valor de LogonType. |
LogoffTime LsassHandleFromUnsignedModule MAC |
event.idm.read_only_udm.principal.mac |
Se convierten a minúsculas y los dos puntos se sustituyen por guiones. |
MACAddress |
event.idm.read_only_udm.principal.mac |
Los guiones se sustituyen por dos puntos. |
MACPrefix |
- | No está asignado al objeto IDM. |
MachOFileWritten MachOSubType |
- | No está asignado al objeto IDM. |
MachineDn MachineDomain MajorFunction |
- | No está asignado al objeto IDM. |
MajorVersion |
- | No está asignado al objeto IDM. |
Malicious |
- | No está asignado al objeto IDM. |
ManagedPdbBuildPath MappedFromUserMode |
- | No está asignado al objeto IDM. |
MaxReassemblySize |
- | No está asignado al objeto IDM. |
MaxRouterAdvertisementInterval |
- | No está asignado al objeto IDM. |
MaxThreadCount |
- | No está asignado al objeto IDM. |
MD5HashData |
event.idm.read_only_udm.target.file.md5, event.idm.read_only_udm.target.process.file.md5 |
Si MD5HashData es un hash MD5 válido y no está formado por ceros, crea una entidad de hash MD5 con el valor de MD5HashData y añádela a event.idm.read_only_udm.target.file.md5 y event.idm.read_only_udm.target.process.file.md5. |
MD5String MediaConnectState |
- | No está asignado al objeto IDM. |
MediaType |
- | No está asignado al objeto IDM. |
MemoryAvailable |
- | No está asignado al objeto IDM. |
MemoryRegionProtection |
- | No está asignado al objeto IDM. |
MemoryRegionStart |
- | No está asignado al objeto IDM. |
MemoryTotal |
- | No está asignado al objeto IDM. |
MmioDataSmiEn |
- | No está asignado al objeto IDM. |
MmioDataTco1Cnt |
- | No está asignado al objeto IDM. |
MLModelVersion |
- | No está asignado al objeto IDM. |
MobileDetection MobileDetectionId |
- | No está asignado al objeto IDM. |
MobileOsIntegrityIntact |
- | No está asignado al objeto IDM. |
MobileOsIntegrityStatus MobilePowerStats MoboManufacturer |
- | No está asignado al objeto IDM. |
MoboProductName |
- | No está asignado al objeto IDM. |
ModelPrediction |
- | No está asignado al objeto IDM. |
ModuleBaseAddress |
- | No está asignado al objeto IDM. |
ModuleCharacteristics |
- | No está asignado al objeto IDM. |
ModuleDetectInfo ModuleLoadCount |
- | No está asignado al objeto IDM. |
ModuleLoadMechanism |
- | No está asignado al objeto IDM. |
ModuleLoadTelemetryClassification |
- | No está asignado al objeto IDM. |
ModuleNativePath |
- | No está asignado al objeto IDM. |
ModuleSize |
- | No está asignado al objeto IDM. |
ModifyServiceBinary MostRecentActivityTimeStamp |
- | No está asignado al objeto IDM. |
MotwWritten mskssrv.sys |
event.idm.read_only_udm.principal.process.file.full_path |
Parte de OriginalFilename. |
MultipleInstancesPolicy |
- | No está asignado al objeto IDM. |
name namespace NativePdbBuildPath |
- | No está asignado al objeto IDM. |
NegateInterface |
- | No está asignado al objeto IDM. |
NegateLocalAddress |
- | No está asignado al objeto IDM. |
NegateRemoteAddress |
- | No está asignado al objeto IDM. |
NeighborList |
- | No está asignado al objeto IDM. |
NeighborListIP4 NeighborListIP6 NeighborName NetLuidIndex |
- | No está asignado al objeto IDM. |
NetShareAdd NetShareDelete NetShareSecurityModify NetworkBindCount |
security_result.detection_fields[0].value |
Parte del evento EndOfProcess. |
NetworkCapableAsepWriteCount |
security_result.detection_fields[0].value |
Parte del evento EndOfProcess. |
NetworkCloseCount |
security_result.detection_fields[0].value |
Parte del evento EndOfProcess. |
NetworkCloseIP4 NetworkCloseIP6 NetworkConnectCount |
security_result.detection_fields[0].value |
Parte del evento EndOfProcess. |
NetworkConnectCountUdp |
security_result.detection_fields[0].value |
Parte del evento EndOfProcess. |
NetworkConnectIP4 NetworkConnectIP6 NetworkContainmentState NetworkInterfaceGuid |
- | No está asignado al objeto IDM. |
NetworkListenCount |
security_result.detection_fields[0].value |
Parte del evento EndOfProcess. |
NetworkListenIP4 NetworkListenIP6 NetworkModuleLoadCount |
security_result.detection_fields[0].value |
Parte del evento EndOfProcess. |
NetworkRecvAcceptCount |
security_result.detection_fields[0].value |
Parte del evento EndOfProcess. |
NetworkReceiveAcceptIP4 NetworkReceiveAcceptIP6 NewExecutableRenamed NewExecutableWritten NewExecutableWrittenCount |
security_result.detection_fields[0].value |
Parte del evento EndOfProcess. |
NewFileIdentifier |
- | No está asignado al objeto IDM. |
NewScriptWritten NlMtu |
- | No está asignado al objeto IDM. |
NorthBridgeDeviceId |
- | No está asignado al objeto IDM. |
NorthBridgeVendorId |
- | No está asignado al objeto IDM. |
NumberOfMeasurements |
- | No está asignado al objeto IDM. |
OciContainerId |
- | No está asignado al objeto IDM. |
OciContainerTelemetry OciContainersStartedCount |
- | No está asignado al objeto IDM. |
OciContainersStoppedCount |
- | No está asignado al objeto IDM. |
OleFileWritten OnLinkPrefixLength |
- | No está asignado al objeto IDM. |
OoxmlFileWritten OperStatus |
- | No está asignado al objeto IDM. |
OperationFlags |
- | No está asignado al objeto IDM. |
OperationName OriginalContentLength |
- | No está asignado al objeto IDM. |
OriginalEventTimeStamp |
- | No está asignado al objeto IDM. |
OriginalFilename OriginalParentAuthenticationId |
- | No está asignado al objeto IDM. |
OriginalUserName OriginalUserSid OsfmDownloadComplete OsVersionInfo OU OutBroadcastOctets |
- | No está asignado al objeto IDM. |
OutDiscards |
- | No está asignado al objeto IDM. |
OutErrors |
- | No está asignado al objeto IDM. |
OutMulticastOctets |
- | No está asignado al objeto IDM. |
OutNUcastPkts |
- | No está asignado al objeto IDM. |
OutOctets |
- | No está asignado al objeto IDM. |
OutUcastOctets |
- | No está asignado al objeto IDM. |
OutUcastPkts |
- | No está asignado al objeto IDM. |
PackedExecutableWritten Parameter64_1 |
- | No está asignado al objeto IDM. |
Parameter64_2 |
- | No está asignado al objeto IDM. |
Parameter64_3 |
- | No está asignado al objeto IDM. |
ParameterSizedBuffer_1 |
- | No está asignado al objeto IDM. |
Parameter1 |
- | No está asignado al objeto IDM. |
Parameter2 |
- | No está asignado al objeto IDM. |
Parameter3 |
- | No está asignado al objeto IDM. |
ParentAuthenticationId |
- | No está asignado al objeto IDM. |
ParentBaseFileName ParentCommandLine |
event1.ParentCommandLine |
Parte de Event_DetectionSummaryEvent. |
ParentHubInstanceId |
- | No está asignado al objeto IDM. |
ParentHubPort |
- | No está asignado al objeto IDM. |
ParentImageFileName |
event.idm.read_only_udm.principal.process.file.full_path, event1.ParentImageFileName |
Parte de Event_DetectionSummaryEvent. |
ParentProcessId |
event.idm.read_only_udm.principal.process.product_specific_process_id, event1.ParentProcessId |
Prefijo CS:%{cid}:%{aid}:. Parte de Event_DetectionSummaryEvent. |
PasswordLastSet |
- | No está asignado al objeto IDM. |
PathMtuDiscoveryTimeout |
- | No está asignado al objeto IDM. |
PatternDispositionFlags |
- | No está asignado al objeto IDM. |
PatternDispositionValue `PatternDisposition |
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.