Se usó la API de Cloud Translation para traducir esta página.

Recopila registros de CrowdStrike Falcon en CEF

Compatible con:

Google SecOps SIEM

En este documento, se explica cómo recopilar registros de CrowdStrike Falcon en formato CEF con Bindplane. El analizador extrae pares clave-valor y los asigna al modelo de datos unificado (UDM), controla diferentes delimitadores y enriquece los datos con contexto adicional, como la gravedad y los tipos de eventos. También realiza transformaciones específicas para ciertos tipos de eventos y campos, como los accesos de usuarios y los resultados de seguridad.

Antes de comenzar

Asegúrate de tener una instancia de Google Security Operations.
Asegúrate de usar Windows 2016 o una versión posterior, o un host de Linux con systemd.
Si ejecutas la herramienta detrás de un proxy, asegúrate de que los puertos del firewall estén abiertos.
Asegúrate de tener acceso con privilegios a la consola de CrowdStrike Falcon.
Obtén las credenciales de la API para Falcon Stream (ID de cliente y secreto del cliente).

Obtén el archivo de autenticación de transferencia de Google SecOps

Accede a la consola de Google SecOps.
Ve a SIEM Settings > Collection Agents.
Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará BindPlane.

Obtén el ID de cliente de Google SecOps

Accede a la consola de Google SecOps.
Ve a SIEM Settings > Profile.
Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de BindPlane

Instalación en Windows

Abre el símbolo del sistema o PowerShell como administrador.

Ejecuta el siguiente comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalación en Linux

Abre una terminal con privilegios de raíz o sudo.

Ejecuta el siguiente comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalación adicionales

Para obtener más opciones de instalación, consulta esta guía de instalación.

Configura el agente de BindPlane para transferir Syslog y enviarlo a Google SecOps

Accede al archivo de configuración:
1. Ubica el archivo config.yaml. Por lo general, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
2. Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

Edita el archivo config.yaml de la siguiente manera:

receivers:
    tcplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:54525"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: SYSLOG
            namespace: cs_falcon
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

Reemplaza el puerto y la dirección IP según sea necesario en tu infraestructura.
Reemplaza <customer_id> por el ID de cliente real.
Actualiza /path/to/ingestion-authentication-file.json a la ruta de acceso en la que se guardó el archivo de autenticación en la sección Cómo obtener el archivo de autenticación de la transferencia de datos de Google SecOps.

Reinicia el agente de Bindplane para aplicar los cambios

Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar el agente de Bindplane en Windows, puedes usar la consola de Servicios o ingresar el siguiente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configura y obtén una clave de API de CrowdStrike

Accede a CrowdStrike Falcon con una cuenta con privilegios.
Ve a Menú > Asistencia.
Haz clic en Clientes de API > Seleccionar claves.
Haz clic en Agregar cliente de API nuevo.
En la sección Permisos de la API, selecciona Event streams y Alerts > habilita la opción Read.
Haz clic en Agregar.
Copia y guarda el ID de cliente, el secreto y la URL base.

Instala el conector de Falcon SIEM

Descarga el paquete del instalador de RPM para tu sistema operativo.

Instalación de paquetes:

Sistema operativo CentOS:
```
sudo rpm -Uvh <installer package>
```
Sistema operativo Ubuntu:
```
sudo dpkg -i <installer package>
```

Directorios de instalación predeterminados:
- Falcon SIEM Connector - /opt/crowdstrike/.
- Servicio: /etc/init.d/cs.falconhoseclientd/.

Configura el conector de SIEM para reenviar registros de CEF a BindPlane

Accede a la máquina con el conector de SIEM instalado como usuario sudo.
Ve al directorio /opt/crowdstrike/etc/.
Se cambió el nombre de cs.falconhoseclient.cef.cfg a cs.falconhoseclient.cfg.
- De forma predeterminada, el conector de SIEM usa la configuración cs.falconhoseclient.cfg.
Edita el archivo cs.falconhoseclient.cfg y modifica o configura los siguientes parámetros:
- api_url:: Es la URL base de CrowdStrike Falcon que copiaste en el paso anterior.
- app_id:: Cualquier cadena como identificador para conectarse a la API de Falcon Streaming (por ejemplo, se establece en app_id: SECOPS-CEF).
- client_id:: Es el valor client_id copiado del paso anterior.
- client_secret:: Es el valor client_secret copiado del paso anterior.
- send_to_syslog_server: true: Habilita el envío al servidor Syslog.
- host:: Es la IP o el nombre de host del agente de BindPlane.
- port:: Es el puerto del agente de BindPlane.
Guarda el archivo cs.falconhoseclient.cfg.
Inicia el servicio del conector del SIEM:
- Sistema operativo CentOS
```
sudo service cs.falconhoseclientd start
```
- Sistema operativo Ubuntu 16.04 o posterior
```
sudo systemctl start cs.falconhoseclientd.service
```
Opcional: Detén el servicio del conector de SIEM:
- Sistema operativo CentOS
```
sudo service cs.falconhoseclientd stop
```
- Sistema operativo Ubuntu 16.04 o posterior
```
sudo systemctl stop cs.falconhoseclientd.service
```
Opcional: Reinicia el servicio del conector del SIEM:
- Sistema operativo CentOS
```
sudo service cs.falconhoseclientd restart
```
- Sistema operativo Ubuntu 16.04 o posterior
```
sudo systemctl restart cs.falconhoseclientd.service
```

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
`AccountCreationTimeStamp`	`event.idm.read_only_udm.metadata.event_timestamp`	Se cambió el nombre del campo de registro sin procesar `AccountCreationTimeStamp` a `event.idm.read_only_udm.metadata.event_timestamp`.
`AccountDomain`	`event.idm.read_only_udm.principal.administrative_domain`	Se cambió el nombre del campo de registro sin procesar `AccountDomain` a `event.idm.read_only_udm.principal.administrative_domain`.
`AccountObjectGuid`	`event.idm.read_only_udm.metadata.product_log_id`	Se cambió el nombre del campo de registro sin procesar `AccountObjectGuid` a `event.idm.read_only_udm.metadata.product_log_id`.
`AccountObjectSid`	`event.idm.read_only_udm.principal.user.windows_sid`	Se cambió el nombre del campo de registro sin procesar `AccountObjectSid` a `event.idm.read_only_udm.principal.user.windows_sid`.
`AccessType`	-	No se asignó al objeto IDM.
`action_taken`	`event.idm.read_only_udm.additional.fields[0].value.string_value`	Es parte del array `AuditKeyValues`.
`ActiveCpuCount`	-	No se asignó al objeto IDM.
`ActiveDirectoryAuthenticationMethod`	-	No se asignó al objeto IDM.
`ActiveDirectoryDataProtocol`	-	No se asignó al objeto IDM.
`AddressFamily`	-	No se asignó al objeto IDM.
`AdminStatus`	-	No se asignó al objeto IDM.
`AllocateVirtualMemoryCount`	`security_result.detection_fields[0].value`	Es parte del evento `EndOfProcess`.
`agent-windows`	`event.idm.read_only_udm.target.file.full_path`	Es parte de TargetFileName.
`AgentIdString`	`event.idm.read_only_udm.principal.asset_id`	Tiene el prefijo `CS:`.
`AgentLoadFlags`	-	No se asignó al objeto IDM.
`AgentLocalTime`	-	No se asignó al objeto IDM.
`AgentOnline` `AgentTimeOffset`	-	No se asignó al objeto IDM.
`AgentVersion` `AggregationActivityCount` `AggregationEarliestTimestamp`	-	No se asignó al objeto IDM.
`aid`	`event.idm.read_only_udm.principal.asset_id`	Tiene el prefijo `CS:`.
`aip`	`event.idm.read_only_udm.principal.nat_ip`	Cuando `_aid_is_target` es falso, si `aip` no es nulo, crea una entidad de IP con el valor de `aip` y agrégala a `event.idm.read_only_udm.principal.nat_ip`.
`aipCount` `AllocVmEtw` `AllocationType`	-	No se asignó al objeto IDM.
`AllowHardTerminate`	-	No se asignó al objeto IDM.
`AllowStartOnDemand`	-	No se asignó al objeto IDM.
`ApcArgument1`	-	No se asignó al objeto IDM.
`ApcArgument2`	-	No se asignó al objeto IDM.
`ApcContextAddress`	-	No se asignó al objeto IDM.
`ApcContextFileName`	-	No se asignó al objeto IDM.
`ApcContext`	-	No se asignó al objeto IDM.
`ApplicationName` `ApplicationUniqueIdentifier`	-	No se asignó al objeto IDM.
`ApplicationVersion`	-	No se asignó al objeto IDM.
`AppIs64Bit`	-	No se asignó al objeto IDM.
`AppName` `AppPath` `AppPathFlag`	-	No se asignó al objeto IDM.
`AppProductId`	-	No se asignó al objeto IDM.
`AppType`	-	No se asignó al objeto IDM.
`AppUpdateIds`	-	No se asignó al objeto IDM.
`AppVendor`	-	No se asignó al objeto IDM.
`AppVersion` `ArchiveFileWrittenCount`	`security_result.detection_fields[0].value`	Es parte del evento `EndOfProcess`.
`AsepClass`	-	No se asignó al objeto IDM.
`AsepFileChange` `AsepFlags`	-	No se asignó al objeto IDM.
`AsepIndex`	-	No se asignó al objeto IDM.
`AsepKeyUpdate` `AsepValueUpdate` `AsepValueType`	-	No se asignó al objeto IDM.
`AsepWrittenCount`	`security_result.detection_fields[0].value`	Es parte del evento `EndOfProcess`.
`AssociateIndicator` `AssociateTreeIdWithRoot` `AssemblyFlags`	-	No se asignó al objeto IDM.
`AssemblyId`	-	No se asignó al objeto IDM.
`AssemblyName` `AuthenticationId`	`event.idm.read_only_udm.principal.user.product_object_id`	Tiene el prefijo `CS:`.
`AuthenticationPackage` `AuthenticationUuid`	-	No se asignó al objeto IDM.
`AuthenticationUuidAsString`	-	No se asignó al objeto IDM.
`AuthenticodeHashData` `AuthenticodeMatch` `automated_remediation`	`assessments.automated_remediation`	Es parte del evento `ZeroTrustHostAssessment`.
`BaseReachableTime`	-	No se asignó al objeto IDM.
`BaseTime`	-	No se asignó al objeto IDM.
`BatchDataNumber`	-	No se asignó al objeto IDM.
`BatchDataTotal`	-	No se asignó al objeto IDM.
`BatchTimestamp` `BatteryLevel`	-	No se asignó al objeto IDM.
`BatteryStatus`	-	No se asignó al objeto IDM.
`BehaviorWhitelisted` `benchmarks` `BenignCount`	-	No se asignó al objeto IDM.
`beta_build_disabled`	`assessments.beta_build_disabled`	Es parte del evento `ZeroTrustHostAssessment`.
`BinaryExecutableWrittenCount`	`security_result.detection_fields[0].value`	Es parte del evento `EndOfProcess`.
`BillingInfo` `BillingType`	-	No se asignó al objeto IDM.
`BiosManufacturer` `BiosReleaseDate`	-	No se asignó al objeto IDM.
`BiosVersion` `BITSJobCreated` `BootArgs`	-	No se asignó al objeto IDM.
`BootId`	-	No se asignó al objeto IDM.
`BootStatusDataAabEnabled`	-	No se asignó al objeto IDM.
`BootStatusDataBootAttemptCount`	-	No se asignó al objeto IDM.
`BootStatusDataBootGood`	-	No se asignó al objeto IDM.
`BootStatusDataBootShutdown`	-	No se asignó al objeto IDM.
`BootTimeFunctionalityLevel`	-	No se asignó al objeto IDM.
`BrowserInjectedThread` `BundleID`	-	No se asignó al objeto IDM.
`CallStackModuleNames` `CallStackModuleNamesVersion` `ChannelId`	-	No se asignó al objeto IDM.
`ChannelVersion`	-	No se asignó al objeto IDM.
`ChannelVersionRequired` `ChasisManufacturer`	-	No se asignó al objeto IDM.
`ChassisType` `cid` `City` `CLICreationCount`	`security_result.detection_fields[0].value`	Es parte del evento `EndOfProcess`.
`ClassifiedModuleLoad` `CloudAssociateTreeIdWithRoot` `CloudErrorCode`	-	No se asignó al objeto IDM.
`CNAMERecords` `CodeIntegrity`	-	No se asignó al objeto IDM.
`CommandLine` `CommandSequence`	-	No se asignó al objeto IDM.
`CompletionEventId`	-	No se asignó al objeto IDM.
`ComputerName`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Si `ComputerName` no es nulo, una cadena vacía o un guion, crea una entidad de nombre de host con el valor de `ComputerName` y agrégala a `event.idm.read_only_udm.principal.hostname` y `event.idm.read_only_udm.principal.asset.hostname`.
`ConfigBuild` `ConfigIDBase`	-	No se asignó al objeto IDM.
`ConfigIDBuild`	-	No se asignó al objeto IDM.
`ConfigIDPlatform`	-	No se asignó al objeto IDM.
`ConfigurationVersion`	-	No se asignó al objeto IDM.
`ConfigStateData`	-	No se asignó al objeto IDM.
`ConfigStateHash` `ConfigStateUpdate` `ConnectTime`	-	No se asignó al objeto IDM.
`ConnectType`	-	No se asignó al objeto IDM.
`Connected`	-	No se asignó al objeto IDM.
`ConnectionCipher`	-	No se asignó al objeto IDM.
`ConnectionCipherStrength`	-	No se asignó al objeto IDM.
`ConnectionDirection`	-	No se asignó al objeto IDM.
`ConnectionExchange`	-	No se asignó al objeto IDM.
`ConnectionExchangeStrength`	-	No se asignó al objeto IDM.
`ConnectionFlags`	-	No se asignó al objeto IDM.
`ConnectionHash`	-	No se asignó al objeto IDM.
`ConnectionHashStrength`	-	No se asignó al objeto IDM.
`ConnectionProtocol`	-	No se asignó al objeto IDM.
`ConnectionType`	-	No se asignó al objeto IDM.
`Continent` `ContentSHA256HashData` `ContextData`	-	No se asignó al objeto IDM.
`ContextProcessId`	`event.idm.read_only_udm.principal.process.product_specific_process_id`, `event.idm.read_only_udm.target.process.product_specific_process_id`	Tiene el prefijo `CS:%{cid}:%{aid}:`.
`ContextThreadId`	-	No se asignó al objeto IDM.
`ContextTimeStamp` `ContextTimeStamp_decimal` `Country` `CrashDumpFilePath`	-	No se asignó al objeto IDM.
`CrashNotification` `CreateProcessArgs` `CreateProcessCount`	`security_result.detection_fields[0].value`	Es parte del evento `EndOfProcess`.
`CreateService` `CreateThreadNoStartImage` `CreationTimeStamp`	-	No se asignó al objeto IDM.
`CriticalFileAccessed` `CriticalFileModified` `CsaProcessDataCollectionInstanceId`	-	No se asignó al objeto IDM.
`CurrentFunctionalityLevel`	-	No se asignó al objeto IDM.
`CurrentLocalIP`	-	No se asignó al objeto IDM.
`CurrentSystemTags` `CustomerIdString` `CycleTime`	-	No se asignó al objeto IDM.
`DadState`	-	No se asignó al objeto IDM.
`DadTransmits`	-	No se asignó al objeto IDM.
`DcName`	`event.idm.read_only_udm.principal.user.userid`	Se cambió el nombre del campo de registro sin procesar `DcName` a `event.idm.read_only_udm.principal.user.userid`.
`DcNumAttachments`	-	No se asignó al objeto IDM.
`DcNumBlockingPolicies`	-	No se asignó al objeto IDM.
`DcOnline` `DcPropertyIdInterfaceType`	-	No se asignó al objeto IDM.
`DcPropertyIdInterfaceVersion`	-	No se asignó al objeto IDM.
`DcSensorInterfaceType`	-	No se asignó al objeto IDM.
`DcSensorInterfaceVersion`	-	No se asignó al objeto IDM.
`DcStatus` `DcUsbConfigurationDescriptor` `DcUsbDeviceConnected` `DcUsbDeviceDisconnected` `DcUsbEndpointDescriptor` `DcUsbHIDDescriptor` `DcUsbInterfaceDescriptor` `DCSyncAttempted` `Debug`	-	No se asignó al objeto IDM.
`DefaultGatewayIP4`	-	No se asignó al objeto IDM.
`DefaultGatewayIP6`	-	No se asignó al objeto IDM.
`DefaultGatewayPhysicalAddress`	-	No se asignó al objeto IDM.
`DeepHashBlacklistClassification` `DeepHashBlacklistVersion`	-	No se asignó al objeto IDM.
`DeliverLocalFXToCloud` `DesiredAccess` `detectionId` `detectionName` `DetectDescription` `DetectId`	-	No se asignó al objeto IDM.
`DetectName` `DeviceActiveConfigurationNumber`	-	No se asignó al objeto IDM.
`DeviceConnectionStatus`	-	No se asignó al objeto IDM.
`DeviceDescriptorNumber`	-	No se asignó al objeto IDM.
`DeviceDescriptorSetHash`	-	No se asignó al objeto IDM.
`DeviceDescriptorUniqueIdentifier`	-	No se asignó al objeto IDM.
`DeviceId`	-	No se asignó al objeto IDM.
`DeviceInstanceId`	`event.idm.read_only_udm.target.asset_id`	Tiene el prefijo `Device Instance Id:`.
`DeviceManufacturer` `DeviceProduct` `DeviceProductId`	-	No se asignó al objeto IDM.
`DevicePropertyClassName`	-	No se asignó al objeto IDM.
`DevicePropertyClassGuid`	-	No se asignó al objeto IDM.
`DevicePropertyDeviceDescription` `DevicePropertyFriendlyName`	-	No se asignó al objeto IDM.
`DevicePropertyLocationInformation` `DevicePropertyManufacturer`	-	No se asignó al objeto IDM.
`DeviceProtocol`	-	No se asignó al objeto IDM.
`DeviceSerialNumber` `DeviceTimeStamp` `DeviceType`	-	No se asignó al objeto IDM.
`DeviceUsbClass`	-	No se asignó al objeto IDM.
`DeviceUsbSubclass`	-	No se asignó al objeto IDM.
`DeviceUsbVersion`	-	No se asignó al objeto IDM.
`DeviceVendorId`	-	No se asignó al objeto IDM.
`DeviceVersion`	-	No se asignó al objeto IDM.
`DirectoryCreate` `DirectoryCreatedCount`	`security_result.detection_fields[0].value`	Es parte del evento `EndOfProcess`.
`DirectoryEnumeratedCount`	`security_result.detection_fields[0].value`	Es parte del evento `EndOfProcess`.
`DisableRealtimeMonitoring` `DisallowStartIfOnBatteries`	-	No se asignó al objeto IDM.
`DisallowStartOnRemoteAppSession`	-	No se asignó al objeto IDM.
`DiskParentDeviceInstanceId` `DllCharacteristics`	-	No se asignó al objeto IDM.
`DllInjection` `DlpPolicy`	-	No se asignó al objeto IDM.
`DlpVerdict`	-	No se asignó al objeto IDM.
`DmpFileWritten` `DnsRequest` `DnsRequestCount`	`security_result.detection_fields[0].value`	Es parte del evento `EndOfProcess`.
`DnsResponseType`	-	No se asignó al objeto IDM.
`DnsResponseTtl`	-	No se asignó al objeto IDM.
`DocumentFileWrittenCount`	`security_result.detection_fields[0].value`	Es parte del evento `EndOfProcess`.
`DomainName`	`event.idm.read_only_udm.target.hostname`, `event.idm.read_only_udm.target.asset.hostname`, `event.idm.read_only_udm.network.dns.questions[0].name`	Si `DomainName` no es nulo, crea una entidad de nombre de host con el valor de `DomainName` y agrégala a `event.idm.read_only_udm.target.hostname`, `event.idm.read_only_udm.target.asset.hostname` y `event.idm.read_only_udm.network.dns.questions[0].name`.
`DotnetModuleFlags`	-	No se asignó al objeto IDM.
`DotnetModuleId`	-	No se asignó al objeto IDM.
`DotnetModuleLoadDetectInfo` `DownloadPath`	-	No se asignó al objeto IDM.
`DownloadPort`	-	No se asignó al objeto IDM.
`DownloadServer` `DriverLoad` `DualRequest`	-	No se asignó al objeto IDM.
`EffectiveTransmissionClass` `Effective`	-	No se asignó al objeto IDM.
`EfiSupported`	-	No se asignó al objeto IDM.
`EfiVariableCustomMode`	-	No se asignó al objeto IDM.
`EfiVariableCustomModeAttributes`	-	No se asignó al objeto IDM.
`EfiVariableDbAttributes`	-	No se asignó al objeto IDM.
`EfiVariableDbxAttributes`	-	No se asignó al objeto IDM.
`EfiVariableDbxSha256Hash`	-	No se asignó al objeto IDM.
`EfiVariableKekAttributes`	-	No se asignó al objeto IDM.
`EfiVariableKekSha256Hash`	-	No se asignó al objeto IDM.
`EfiVariablePkAttributes`	-	No se asignó al objeto IDM.
`EfiVariablePkSha256Hash`	-	No se asignó al objeto IDM.
`EfiVariableSecureBoot`	-	No se asignó al objeto IDM.
`EfiVariableSecureBootAttributes`	-	No se asignó al objeto IDM.
`EfiVariableSetupMode`	-	No se asignó al objeto IDM.
`EfiVariableSetupModeAttributes`	-	No se asignó al objeto IDM.
`EfiVariableSignatureSupport`	-	No se asignó al objeto IDM.
`EfiVariableSignatureSupportAttributes`	-	No se asignó al objeto IDM.
`EndpointDescriptorAddress`	-	No se asignó al objeto IDM.
`EndpointDescriptorAttributes`	-	No se asignó al objeto IDM.
`EndpointDescriptorInterval`	-	No se asignó al objeto IDM.
`EndpointDescriptorMaxPacketSize`	-	No se asignó al objeto IDM.
`EndOfProcess` `Entitlements` `ErrorEvent` `ErrorCode`	-	No se asignó al objeto IDM.
`ErrorLocation`	-	No se asignó al objeto IDM.
`ErrorReason`	-	No se asignó al objeto IDM.
`ErrorSource`	-	No se asignó al objeto IDM.
`ErrorStatus`	-	No se asignó al objeto IDM.
`ErrorText`	-	No se asignó al objeto IDM.
`EventLogCleared` `EventMax`	-	No se asignó al objeto IDM.
`EventMin`	-	No se asignó al objeto IDM.
`EventOrigin`	-	No se asignó al objeto IDM.
`EventType`	`event.idm.read_only_udm.metadata.product_event_type`	Si `event_simpleName` es nulo y `EventType` no es nulo, crea una entidad product_event_type con el valor de `EventType` y agrégala a `event.idm.read_only_udm.metadata.product_event_type`.
`EtwErrorEvent` `EtwRawProcessId`	-	No se asignó al objeto IDM.
`EtwRawThreadId`	-	No se asignó al objeto IDM.
`ExecutableDeleted` `ExecutableDeletedCount`	`security_result.detection_fields[0].value`	Es parte del evento `EndOfProcess`.
`ExeAndServiceCount`	`security_result.detection_fields[0].value`	Es parte del evento `EndOfProcess`.
`ExitCode`	-	No se asignó al objeto IDM.
`Exploit` `ExternalApiType`	`event.idm.read_only_udm.metadata.product_event_type`, `event.idm.read_only_udm.extensions.auth.auth_details`	Si `message` contiene `event1`, se cambia el nombre de `ExternalApiType` a `event.idm.read_only_udm.metadata.product_event_type`. De lo contrario, se cambia el nombre a `event.idm.read_only_udm.extensions.auth.auth_details`.
`Facility`	-	No se asignó al objeto IDM.
`FailedConnectCount`	-	No se asignó al objeto IDM.
`FalconHostLink` `FalconServiceComponent`	-	No se asignó al objeto IDM.
`FalconServiceServletErrors`	-	No se asignó al objeto IDM.
`FalconServiceServletStarts`	-	No se asignó al objeto IDM.
`FalconServiceState`	-	No se asignó al objeto IDM.
`FalconServiceStatus` `FeatureExtractionVersion`	-	No se asignó al objeto IDM.
`FeatureVector`	-	No se asignó al objeto IDM.
`File`	-	No se asignó al objeto IDM.
`FileAttributes`	-	No se asignó al objeto IDM.
`FileCreateInfo` `FileDeletedCount`	`security_result.detection_fields[0].value`	Es parte del evento `EndOfProcess`.
`FileDeleteInfo` `FileEcpBitmask`	-	No se asignó al objeto IDM.
`FileEventType`	-	No se asignó al objeto IDM.
`FileIdentifier` `FileObject`	-	No se asignó al objeto IDM.
`FileName` `FileOpenInfo` `FileRenameInfo` `FileSigningTime`	-	No se asignó al objeto IDM.
`FirewallAction`	-	No se asignó al objeto IDM.
`FirewallChangeOption` `FirewallDeleteRule` `FirewallDeleteRuleIP4` `FirewallDeleteRuleIP6` `FirewallEnabled` `FirewallOption` `FirewallOptionNumericValue`	-	No se asignó al objeto IDM.
`FirewallProfile`	-	No se asignó al objeto IDM.
`FirewallRule` `FirewallRuleId` `FirewallSetRule` `FirewallSetRuleIP4` `FirewallSetRuleIP6` `FirmwareAnalysisErrorEvent` `FirmwareAnalysisErrorLocation`	-	No se asignó al objeto IDM.
`FirmwareAnalysisErrorReason`	-	No se asignó al objeto IDM.
`FirmwareAnalysisErrorSource`	-	No se asignó al objeto IDM.
`FirmwareAnalysisHardwareData` `FirmwareAnalysisStatus` `FirmwareAnalysisCpuSupported`	-	No se asignó al objeto IDM.
`FirmwareAnalysisEclControlInterfaceVersion`	-	No se asignó al objeto IDM.
`FirmwareAnalysisEclConsumerInterfaceVersion`	-	No se asignó al objeto IDM.
`FirmwareImageAnalyzed` `FirmwareRegionMeasured` `FirmwareSize`	-	No se asignó al objeto IDM.
`FirmwareType`	-	No se asignó al objeto IDM.
`FirstDiscoveredDate`	-	No se asignó al objeto IDM.
`FirstIP4Record` `Flags`	-	No se asignó al objeto IDM.
`FltCallbackData`	-	No se asignó al objeto IDM.
`FltCompletionContext`	-	No se asignó al objeto IDM.
`FltRelatedObjects`	-	No se asignó al objeto IDM.
`FontBuffer`	-	No se asignó al objeto IDM.
`FontBufferLength`	-	No se asignó al objeto IDM.
`FontFileCount`	-	No se asignó al objeto IDM.
`FontFileName` `FontLoadOperation`	-	No se asignó al objeto IDM.
`FsOperationBlocked`	`event1.PatternDispositionFlags.FsOperationBlocked`	Parte de `Event_DetectionSummaryEvent`.
`FsPostOpenSnapshotFile` `FsVolumeMounted` `FsVolumeUnmounted` `FullContext`	-	No se asignó al objeto IDM.
`FullExceptionRecord`	-	No se asignó al objeto IDM.
`GcpCreationTimestamp` `GenericFileWrittenCount`	`security_result.detection_fields[0].value`	Es parte del evento `EndOfProcess`.
`GID`	-	No se asignó al objeto IDM.
`GrandparentCommandLine` `GrandparentImageFileName` `GrandParentBaseFileName` `GroupIdentity` `GroupRid` `GzipFileWritten` `HandleCreated`	-	No se asignó al objeto IDM.
`HIDDescriptorCountryCode`	-	No se asignó al objeto IDM.
`HIDDescriptorNumDescriptors`	-	No se asignó al objeto IDM.
`HIDDescriptorVersion`	-	No se asignó al objeto IDM.
`HIPHandlers.dll`	`event.idm.read_only_udm.target.file.full_path`	Es parte de TargetFileName.
`HostGroups`	-	No se asignó al objeto IDM.
`HostHiddenStatus` `HostInfo` `HostnameChanged` `hostname` `HostProcessType`	-	No se asignó al objeto IDM.
`HostUrl` `HttpRequestDetect` `HttpRequestHeader` `HttpUrl` `IcmpCode`	-	No se asignó al objeto IDM.
`IcmpType`	-	No se asignó al objeto IDM.
`id` `IdleSettings`	-	No se asignó al objeto IDM.
`ImageFileName` `ImageSubsystem`	-	No se asignó al objeto IDM.
`Image`	-	No se asignó al objeto IDM.
`ImpersonatedUserName` `InBroadcastOctets`	-	No se asignó al objeto IDM.
`InContext`	-	No se asignó al objeto IDM.
`InDiscards`	-	No se asignó al objeto IDM.
`Indicator`	`event1.PatternDispositionFlags.Indicator`	Parte de `Event_DetectionSummaryEvent`.
`InddetMask`	`event1.PatternDispositionFlags.InddetMask`	Parte de `Event_DetectionSummaryEvent`.
`InErrors`	-	No se asignó al objeto IDM.
`Information`	-	No se asignó al objeto IDM.
`InjectedDll` `InjectedThread` `InjectedThreadCount`	`security_result.detection_fields[0].value`	Es parte del evento `EndOfProcess`.
`InjectedThreadFlag`	-	No se asignó al objeto IDM.
`InMulticastOctets`	-	No se asignó al objeto IDM.
`InNUcastPkts`	-	No se asignó al objeto IDM.
`InOctets`	-	No se asignó al objeto IDM.
`InstallDate`	-	No se asignó al objeto IDM.
`InstalledApplication` `InstalledUpdateExtendedStatus`	-	No se asignó al objeto IDM.
`InstalledUpdateIds`	-	No se asignó al objeto IDM.
`InstalledUpdates` `InstanceMetadata` `InstanceMetadataProvider`	-	No se asignó al objeto IDM.
`InstanceMetadataRequest`	-	No se asignó al objeto IDM.
`InstanceMetadataSignature`	-	No se asignó al objeto IDM.
`InUcastOctets`	-	No se asignó al objeto IDM.
`InUcastPkts`	-	No se asignó al objeto IDM.
`InUnknownProtos`	-	No se asignó al objeto IDM.
`IntegrityLevel`	-	No se asignó al objeto IDM.
`InterfaceAlias`	-	No se asignó al objeto IDM.
`InterfaceDescription`	-	No se asignó al objeto IDM.
`InterfaceFlags`	-	No se asignó al objeto IDM.
`InterfaceGuid`	-	No se asignó al objeto IDM.
`InterfaceIdentifier`	-	No se asignó al objeto IDM.
`InterfaceIndex`	-	No se asignó al objeto IDM.
`InterfaceMtu`	-	No se asignó al objeto IDM.
`InterfaceType`	-	No se asignó al objeto IDM.
`InterfaceVersion`	-	No se asignó al objeto IDM.
`InjectedDllCount`	`security_result.detection_fields[0].value`	Es parte del evento `EndOfProcess`.
`InjectedThreadFlag`	-	No se asignó al objeto IDM.
`InkDiv.dll`	`event.idm.read_only_udm.target.file.full_path`	Parte de `ExecutablesWritten`.
`InkObj.dll`	`event.idm.read_only_udm.target.file.full_path`	Parte de `ExecutablesWritten`.
`InMulticastPkts`	-	No se asignó al objeto IDM.
`InOctets`	-	No se asignó al objeto IDM.
`InUcastPkts`	-	No se asignó al objeto IDM.
`IOARuleGroupName` `IOARuleInstanceID`	-	No se asignó al objeto IDM.
`IOARuleInstanceVersion`	-	No se asignó al objeto IDM.
`IOARuleName` `IOServiceClass`	-	No se asignó al objeto IDM.
`IOServiceName`	-	No se asignó al objeto IDM.
`IOServicePath`	-	No se asignó al objeto IDM.
`IOServiceProperties`	-	No se asignó al objeto IDM.
`IOServiceRegister` `IoSessionConnected` `IoSessionLoggedOn` `IpEntryFlags`	-	No se asignó al objeto IDM.
`IrpFlags`	-	No se asignó al objeto IDM.
`IsCpuDataCommonOnAllCores`	-	No se asignó al objeto IDM.
`IsNorthBridgeSupported`	-	No se asignó al objeto IDM.
`IsOnClearCaseMvfs`	-	No se asignó al objeto IDM.
`IsOnNetwork` `IsOnRemovableDisk` `IsOn`	-	No se asignó al objeto IDM.
`IsRemote`	-	No se asignó al objeto IDM.
`IsSouthBridgeSupported`	-	No se asignó al objeto IDM.
`IsTransactedFile`	-	No se asignó al objeto IDM.
`IsUnique`	-	No se asignó al objeto IDM.
`JavaInjectedThread` `JarFileWritten` `KernelModeLoadImage` `KernelTime`	-	No se asignó al objeto IDM.
`KextUnload` `K8SCreationTimestamp` `K8SDetectionEvent` `LanguageId`	-	No se asignó al objeto IDM.
`LastAdded`	-	No se asignó al objeto IDM.
`LastDiscoveredBy`	-	No se asignó al objeto IDM.
`LastDisplayed`	-	No se asignó al objeto IDM.
`LastLoggedOnHost`	-	No se asignó al objeto IDM.
`LastUpdateInstalledTime`	-	No se asignó al objeto IDM.
`LateralMovement`	-	No se asignó al objeto IDM.
`LdapSearchAttributes`	-	No se asignó al objeto IDM.
`LdapSearchBaseObjectSample`	-	No se asignó al objeto IDM.
`LdapSearchFilterSample`	-	No se asignó al objeto IDM.
`LdapSearchFilterShape`	-	No se asignó al objeto IDM.
`LdapSearchQueryClassification`	-	No se asignó al objeto IDM.
`LdapSearchQueryToken`	-	No se asignó al objeto IDM.
`LdapSearchScope`	-	No se asignó al objeto IDM.
`LdapSearchSizeLimit`	-	No se asignó al objeto IDM.
`LdapSecurityType`	-	No se asignó al objeto IDM.
`LightningLatencyInfo` `LightningLatencyState`	-	No se asignó al objeto IDM.
`Line`	-	No se asignó al objeto IDM.
`LinkLocalAddressBehavior`	-	No se asignó al objeto IDM.
`LinkLocalAddressTimeout`	-	No se asignó al objeto IDM.
`LinkName` `LocalAccount`	-	No se asignó al objeto IDM.
`LocalAddressIP4` `LocalAddressIP6` `LocalAddressMaskIP4`	-	No se asignó al objeto IDM.
`LocalAddressMaskIP6`	-	No se asignó al objeto IDM.
`LocalAdminAccess`	-	No se asignó al objeto IDM.
`LocalIpAddressIP4` `LocalIpAddressIP6` `LocalIpAddressRemovedIP4` `LocalIpAddressRemovedIP6` `LocalPort` `LocalSession`	-	No se asignó al objeto IDM.
`localipCount` `LockScreenEnabled`	-	No se asignó al objeto IDM.
`LockScreenStatus` `LogoffTime` `LogonDomain` `LogonId`	-	No se asignó al objeto IDM.
`LogonInfo`	`security_result.summary`	Establece `event_type` en `USER_LOGIN`.
`LogonServer` `LogonTime` `LogonType`	`event.idm.read_only_udm.extensions.auth.mechanism`	Se asigna a un valor de enumeración de UDM según el valor de `LogonType`.
`LogoffTime` `LsassHandleFromUnsignedModule` `MAC`	`event.idm.read_only_udm.principal.mac`	Se convierte a minúsculas y los dos puntos se reemplazan por guiones.
`MACAddress`	`event.idm.read_only_udm.principal.mac`	Los guiones se reemplazan por dos puntos.
`MACPrefix`	-	No se asignó al objeto IDM.
`MachOFileWritten` `MachOSubType`	-	No se asignó al objeto IDM.
`MachineDn` `MachineDomain` `MajorFunction`	-	No se asignó al objeto IDM.
`MajorVersion`	-	No se asignó al objeto IDM.
`Malicious`	-	No se asignó al objeto IDM.
`ManagedPdbBuildPath` `MappedFromUserMode`	-	No se asignó al objeto IDM.
`MaxReassemblySize`	-	No se asignó al objeto IDM.
`MaxRouterAdvertisementInterval`	-	No se asignó al objeto IDM.
`MaxThreadCount`	-	No se asignó al objeto IDM.
`MD5HashData`	`event.idm.read_only_udm.target.file.md5`, `event.idm.read_only_udm.target.process.file.md5`	Si `MD5HashData` es un hash MD5 válido y no todos los caracteres son ceros, crea una entidad de hash MD5 con el valor de `MD5HashData` y agrégala a `event.idm.read_only_udm.target.file.md5` y `event.idm.read_only_udm.target.process.file.md5`.
`MD5String` `MediaConnectState`	-	No se asignó al objeto IDM.
`MediaType`	-	No se asignó al objeto IDM.
`MemoryAvailable`	-	No se asignó al objeto IDM.
`MemoryRegionProtection`	-	No se asignó al objeto IDM.
`MemoryRegionStart`	-	No se asignó al objeto IDM.
`MemoryTotal`	-	No se asignó al objeto IDM.
`MmioDataSmiEn`	-	No se asignó al objeto IDM.
`MmioDataTco1Cnt`	-	No se asignó al objeto IDM.
`MLModelVersion`	-	No se asignó al objeto IDM.
`MobileDetection` `MobileDetectionId`	-	No se asignó al objeto IDM.
`MobileOsIntegrityIntact`	-	No se asignó al objeto IDM.
`MobileOsIntegrityStatus` `MobilePowerStats` `MoboManufacturer`	-	No se asignó al objeto IDM.
`MoboProductName`	-	No se asignó al objeto IDM.
`ModelPrediction`	-	No se asignó al objeto IDM.
`ModuleBaseAddress`	-	No se asignó al objeto IDM.
`ModuleCharacteristics`	-	No se asignó al objeto IDM.
`ModuleDetectInfo` `ModuleLoadCount`	-	No se asignó al objeto IDM.
`ModuleLoadMechanism`	-	No se asignó al objeto IDM.
`ModuleLoadTelemetryClassification`	-	No se asignó al objeto IDM.
`ModuleNativePath`	-	No se asignó al objeto IDM.
`ModuleSize`	-	No se asignó al objeto IDM.
`ModifyServiceBinary` `MostRecentActivityTimeStamp`	-	No se asignó al objeto IDM.
`MotwWritten` `mskssrv.sys`	`event.idm.read_only_udm.principal.process.file.full_path`	Es parte de OriginalFilename.
`MultipleInstancesPolicy`	-	No se asignó al objeto IDM.
`name` `namespace` `NativePdbBuildPath`	-	No se asignó al objeto IDM.
`NegateInterface`	-	No se asignó al objeto IDM.
`NegateLocalAddress`	-	No se asignó al objeto IDM.
`NegateRemoteAddress`	-	No se asignó al objeto IDM.
`NeighborList`	-	No se asignó al objeto IDM.
`NeighborListIP4` `NeighborListIP6` `NeighborName` `NetLuidIndex`	-	No se asignó al objeto IDM.
`NetShareAdd` `NetShareDelete` `NetShareSecurityModify` `NetworkBindCount`	`security_result.detection_fields[0].value`	Es parte del evento `EndOfProcess`.
`NetworkCapableAsepWriteCount`	`security_result.detection_fields[0].value`	Es parte del evento `EndOfProcess`.
`NetworkCloseCount`	`security_result.detection_fields[0].value`	Es parte del evento `EndOfProcess`.
`NetworkCloseIP4` `NetworkCloseIP6` `NetworkConnectCount`	`security_result.detection_fields[0].value`	Es parte del evento `EndOfProcess`.
`NetworkConnectCountUdp`	`security_result.detection_fields[0].value`	Es parte del evento `EndOfProcess`.
`NetworkConnectIP4` `NetworkConnectIP6` `NetworkContainmentState` `NetworkInterfaceGuid`	-	No se asignó al objeto IDM.
`NetworkListenCount`	`security_result.detection_fields[0].value`	Es parte del evento `EndOfProcess`.
`NetworkListenIP4` `NetworkListenIP6` `NetworkModuleLoadCount`	`security_result.detection_fields[0].value`	Es parte del evento `EndOfProcess`.
`NetworkRecvAcceptCount`	`security_result.detection_fields[0].value`	Es parte del evento `EndOfProcess`.
`NetworkReceiveAcceptIP4` `NetworkReceiveAcceptIP6` `NewExecutableRenamed` `NewExecutableWritten` `NewExecutableWrittenCount`	`security_result.detection_fields[0].value`	Es parte del evento `EndOfProcess`.
`NewFileIdentifier`	-	No se asignó al objeto IDM.
`NewScriptWritten` `NlMtu`	-	No se asignó al objeto IDM.
`NorthBridgeDeviceId`	-	No se asignó al objeto IDM.
`NorthBridgeVendorId`	-	No se asignó al objeto IDM.
`NumberOfMeasurements`	-	No se asignó al objeto IDM.
`OciContainerId`	-	No se asignó al objeto IDM.
`OciContainerTelemetry` `OciContainersStartedCount`	-	No se asignó al objeto IDM.
`OciContainersStoppedCount`	-	No se asignó al objeto IDM.
`OleFileWritten` `OnLinkPrefixLength`	-	No se asignó al objeto IDM.
`OoxmlFileWritten` `OperStatus`	-	No se asignó al objeto IDM.
`OperationFlags`	-	No se asignó al objeto IDM.
`OperationName` `OriginalContentLength`	-	No se asignó al objeto IDM.
`OriginalEventTimeStamp`	-	No se asignó al objeto IDM.
`OriginalFilename` `OriginalParentAuthenticationId`	-	No se asignó al objeto IDM.
`OriginalUserName` `OriginalUserSid` `OsfmDownloadComplete` `OsVersionInfo` `OU` `OutBroadcastOctets`	-	No se asignó al objeto IDM.
`OutDiscards`	-	No se asignó al objeto IDM.
`OutErrors`	-	No se asignó al objeto IDM.
`OutMulticastOctets`	-	No se asignó al objeto IDM.
`OutNUcastPkts`	-	No se asignó al objeto IDM.
`OutOctets`	-	No se asignó al objeto IDM.
`OutUcastOctets`	-	No se asignó al objeto IDM.
`OutUcastPkts`	-	No se asignó al objeto IDM.
`PackedExecutableWritten` `Parameter64_1`	-	No se asignó al objeto IDM.
`Parameter64_2`	-	No se asignó al objeto IDM.
`Parameter64_3`	-	No se asignó al objeto IDM.
`ParameterSizedBuffer_1`	-	No se asignó al objeto IDM.
`Parameter1`	-	No se asignó al objeto IDM.
`Parameter2`	-	No se asignó al objeto IDM.
`Parameter3`	-	No se asignó al objeto IDM.
`ParentAuthenticationId`	-	No se asignó al objeto IDM.
`ParentBaseFileName` `ParentCommandLine`	`event1.ParentCommandLine`	Parte de `Event_DetectionSummaryEvent`.
`ParentHubInstanceId`	-	No se asignó al objeto IDM.
`ParentHubPort`	-	No se asignó al objeto IDM.
`ParentImageFileName`	`event.idm.read_only_udm.principal.process.file.full_path`, `event1.ParentImageFileName`	Parte de `Event_DetectionSummaryEvent`.
`ParentProcessId`	`event.idm.read_only_udm.principal.process.product_specific_process_id`, `event1.ParentProcessId`	Tiene el prefijo `CS:%{cid}:%{aid}:`. Parte de `Event_DetectionSummaryEvent`.
`PasswordLastSet`	-	No se asignó al objeto IDM.
`PathMtuDiscoveryTimeout`	-	No se asignó al objeto IDM.
`PatternDispositionFlags`	-	No se asignó al objeto IDM.
`PatternDispositionValue` `PatternDisposition

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.