Recopila registros de CrowdStrike Falcon en CEF

Compatible con:

En este documento, se explica cómo recopilar registros de CrowdStrike Falcon en formato CEF con Bindplane. El analizador extrae pares clave-valor y los asigna al modelo de datos unificado (UDM), controla diferentes delimitadores y enriquece los datos con contexto adicional, como la gravedad y los tipos de eventos. También realiza transformaciones específicas para ciertos tipos y campos de eventos, como los accesos de los usuarios y los resultados de seguridad.

Antes de comenzar

  • Asegúrate de tener una instancia de Google Security Operations.
  • Asegúrate de usar Windows 2016 o una versión posterior, o un host de Linux con systemd.
  • Si se ejecuta detrás de un proxy, asegúrate de que los puertos del firewall estén abiertos.
  • Asegúrate de tener acceso con privilegios a la consola de CrowdStrike Falcon.
  • Obtén credenciales de API para Falcon Stream (ID de cliente y secreto del cliente).

Obtén el archivo de autenticación de transferencia de Google SecOps

  1. Accede a la consola de Google SecOps.
  2. Ve a Configuración de SIEM > Agentes de recopilación.
  3. Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará Bindplane.

Obtén el ID de cliente de Google SecOps

  1. Accede a la consola de Google SecOps.
  2. Ve a Configuración de SIEM > Perfil.
  3. Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de Bindplane

Instalación de Windows

  1. Abre el símbolo del sistema o PowerShell como administrador.

  2. Ejecuta el siguiente comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalación de Linux

  1. Abre una terminal con privilegios de raíz o sudo.

  2. Ejecuta el siguiente comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalación adicionales

Configura el agente de Bindplane para transferir Syslog y enviarlo a Google SecOps

  1. Accede al archivo de configuración:

    1. Ubica el archivo config.yaml. Por lo general, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
    2. Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

  2. Edita el archivo config.yaml de la siguiente manera:

    receivers:
    tcplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:54525"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: SYSLOG
            namespace: cs_falcon
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

  3. Reemplaza el puerto y la dirección IP según sea necesario en tu infraestructura.

  4. Reemplaza <customer_id> por el ID de cliente real.

  5. Actualiza /path/to/ingestion-authentication-file.json a la ruta de acceso en la que se guardó el archivo de autenticación en la sección Obtén el archivo de autenticación de transferencia de Google SecOps.

Reinicia el agente de Bindplane para aplicar los cambios.

  • Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:

    sudo systemctl restart bindplane-agent

  • Para reiniciar el agente de Bindplane en Windows, puedes usar la consola Services o ingresar el siguiente comando:

    net stop BindPlaneAgent && net start BindPlaneAgent

Configura y obtén una clave de API de CrowdStrike

  1. Accede a CrowdStrike Falcon con una cuenta con privilegios.
  2. Ve a Menú > Asistencia.
  3. Haz clic en Clientes de API > KeysSelect.
  4. Haz clic en Agregar nuevo cliente de API.
  5. En la sección Alcances de la API, selecciona Event streams y Alerts > habilita la opción Read.
  6. Haz clic en Agregar.
  7. Copia y guarda el ID de cliente, el secreto y la URL base.

Instala el conector de SIEM de Falcon

  1. Descarga el paquete del instalador de RPM para tu sistema operativo.

  2. Instalación de paquetes:

    • Sistema operativo CentOS:

      sudo rpm -Uvh <installer package>

    • Sistema operativo Ubuntu: 

      sudo dpkg -i <installer package>

  3. Directorios de instalación predeterminados:

    • Falcon SIEM Connector: /opt/crowdstrike/
    • Servicio: /etc/init.d/cs.falconhoseclientd/.

Configura el conector de SIEM para que reenvíe los registros de CEF a Bindplane

  1. Accede a la máquina con el conector de SIEM instalado como usuario sudo.
  2. Ve al directorio /opt/crowdstrike/etc/.
  3. Se cambió el nombre de cs.falconhoseclient.cef.cfg a cs.falconhoseclient.cfg.
    • El conector de SIEM usa la configuración de cs.falconhoseclient.cfg de forma predeterminada.
  4. Edita el archivo cs.falconhoseclient.cfg y modifica o establece los siguientes parámetros:
    • api_url:: Es la URL base de CrowdStrike Falcon que copiaste del paso anterior.
    • app_id:: Cualquier cadena como identificador para conectarse a la API de Falcon Streaming (por ejemplo, configúralo como app_id: SECOPS-CEF).
    • client_id:: Es el valor client_id copiado del paso anterior.
    • client_secret:: Es el valor client_secret copiado del paso anterior.
    • send_to_syslog_server: true: Habilita la transmisión al servidor Syslog.
    • host:: Es la IP o el nombre de host del agente de Bindplane.
    • port:: Es el puerto del agente de Bindplane.
  5. Guarda el archivo cs.falconhoseclient.cfg.

  6. Inicia el servicio del conector de SIEM:

    • Sistema operativo CentOS

      sudo service cs.falconhoseclientd start

    • Sistema operativo Ubuntu 16.04 o versiones posteriores

      sudo systemctl start cs.falconhoseclientd.service

  7. Opcional: Detén el servicio del conector de SIEM:

    • Sistema operativo CentOS

      sudo service cs.falconhoseclientd stop

    • Sistema operativo Ubuntu 16.04 o versiones posteriores

      sudo systemctl stop cs.falconhoseclientd.service

  8. Opcional: Reinicia el servicio del conector de SIEM:

    • Sistema operativo CentOS

      sudo service cs.falconhoseclientd restart

    • Sistema operativo Ubuntu 16.04 o versiones posteriores

      sudo systemctl restart cs.falconhoseclientd.service

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
AccountCreationTimeStamp event.idm.read_only_udm.metadata.event_timestamp Se cambió el nombre del campo de registro sin procesar AccountCreationTimeStamp a event.idm.read_only_udm.metadata.event_timestamp.
AccountDomain event.idm.read_only_udm.principal.administrative_domain Se cambió el nombre del campo de registro sin procesar AccountDomain a event.idm.read_only_udm.principal.administrative_domain.
AccountObjectGuid event.idm.read_only_udm.metadata.product_log_id Se cambió el nombre del campo de registro sin procesar AccountObjectGuid a event.idm.read_only_udm.metadata.product_log_id.
AccountObjectSid event.idm.read_only_udm.principal.user.windows_sid Se cambió el nombre del campo de registro sin procesar AccountObjectSid a event.idm.read_only_udm.principal.user.windows_sid.
AccessType - No está asignado al objeto IDM.
action_taken event.idm.read_only_udm.additional.fields[0].value.string_value Parte del array AuditKeyValues.
ActiveCpuCount - No está asignado al objeto IDM.
ActiveDirectoryAuthenticationMethod - No está asignado al objeto IDM.
ActiveDirectoryDataProtocol - No está asignado al objeto IDM.
AddressFamily - No está asignado al objeto IDM.
AdminStatus - No está asignado al objeto IDM.
AllocateVirtualMemoryCount security_result.detection_fields[0].value Es parte del evento EndOfProcess.
agent-windows event.idm.read_only_udm.target.file.full_path Es parte de TargetFileName.
AgentIdString event.idm.read_only_udm.principal.asset_id Con el prefijo CS:.
AgentLoadFlags - No está asignado al objeto IDM.
AgentLocalTime - No está asignado al objeto IDM.
AgentOnline AgentTimeOffset - No está asignado al objeto IDM.
AgentVersion AggregationActivityCount AggregationEarliestTimestamp - No está asignado al objeto IDM.
aid event.idm.read_only_udm.principal.asset_id Con el prefijo CS:.
aip event.idm.read_only_udm.principal.nat_ip Cuando _aid_is_target sea falso, si aip no es nulo, crea una entidad de IP con el valor de aip y agrégala a event.idm.read_only_udm.principal.nat_ip.
aipCount AllocVmEtw AllocationType - No está asignado al objeto IDM.
AllowHardTerminate - No está asignado al objeto IDM.
AllowStartOnDemand - No está asignado al objeto IDM.
ApcArgument1 - No está asignado al objeto IDM.
ApcArgument2 - No está asignado al objeto IDM.
ApcContextAddress - No está asignado al objeto IDM.
ApcContextFileName - No está asignado al objeto IDM.
ApcContext - No está asignado al objeto IDM.
ApplicationName ApplicationUniqueIdentifier - No está asignado al objeto IDM.
ApplicationVersion - No está asignado al objeto IDM.
AppIs64Bit - No está asignado al objeto IDM.
AppName AppPath AppPathFlag - No está asignado al objeto IDM.
AppProductId - No está asignado al objeto IDM.
AppType - No está asignado al objeto IDM.
AppUpdateIds - No está asignado al objeto IDM.
AppVendor - No está asignado al objeto IDM.
AppVersion ArchiveFileWrittenCount security_result.detection_fields[0].value Es parte del evento EndOfProcess.
AsepClass - No está asignado al objeto IDM.
AsepFileChange AsepFlags - No está asignado al objeto IDM.
AsepIndex - No está asignado al objeto IDM.
AsepKeyUpdate AsepValueUpdate AsepValueType - No está asignado al objeto IDM.
AsepWrittenCount security_result.detection_fields[0].value Es parte del evento EndOfProcess.
AssociateIndicator AssociateTreeIdWithRoot AssemblyFlags - No está asignado al objeto IDM.
AssemblyId - No está asignado al objeto IDM.
AssemblyName AuthenticationId event.idm.read_only_udm.principal.user.product_object_id Con el prefijo CS:.
AuthenticationPackage AuthenticationUuid - No está asignado al objeto IDM.
AuthenticationUuidAsString - No está asignado al objeto IDM.
AuthenticodeHashData AuthenticodeMatch automated_remediation assessments.automated_remediation Es parte del evento ZeroTrustHostAssessment.
BaseReachableTime - No está asignado al objeto IDM.
BaseTime - No está asignado al objeto IDM.
BatchDataNumber - No está asignado al objeto IDM.
BatchDataTotal - No está asignado al objeto IDM.
BatchTimestamp BatteryLevel - No está asignado al objeto IDM.
BatteryStatus - No está asignado al objeto IDM.
BehaviorWhitelisted benchmarks BenignCount - No está asignado al objeto IDM.
beta_build_disabled assessments.beta_build_disabled Es parte del evento ZeroTrustHostAssessment.
BinaryExecutableWrittenCount security_result.detection_fields[0].value Es parte del evento EndOfProcess.
BillingInfo BillingType - No está asignado al objeto IDM.
BiosManufacturer BiosReleaseDate - No está asignado al objeto IDM.
BiosVersion BITSJobCreated BootArgs - No está asignado al objeto IDM.
BootId - No está asignado al objeto IDM.
BootStatusDataAabEnabled - No está asignado al objeto IDM.
BootStatusDataBootAttemptCount - No está asignado al objeto IDM.
BootStatusDataBootGood - No está asignado al objeto IDM.
BootStatusDataBootShutdown - No está asignado al objeto IDM.
BootTimeFunctionalityLevel - No está asignado al objeto IDM.
BrowserInjectedThread BundleID - No está asignado al objeto IDM.
CallStackModuleNames CallStackModuleNamesVersion ChannelId - No está asignado al objeto IDM.
ChannelVersion - No está asignado al objeto IDM.
ChannelVersionRequired ChasisManufacturer - No está asignado al objeto IDM.
ChassisType cid City CLICreationCount security_result.detection_fields[0].value Es parte del evento EndOfProcess.
ClassifiedModuleLoad CloudAssociateTreeIdWithRoot CloudErrorCode - No está asignado al objeto IDM.
CNAMERecords CodeIntegrity - No está asignado al objeto IDM.
CommandLine CommandSequence - No está asignado al objeto IDM.
CompletionEventId - No está asignado al objeto IDM.
ComputerName event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname Si ComputerName no es nulo, una cadena vacía o un guion, crea una entidad de nombre de host con el valor de ComputerName y agrégala a event.idm.read_only_udm.principal.hostname y event.idm.read_only_udm.principal.asset.hostname.
ConfigBuild ConfigIDBase - No está asignado al objeto IDM.
ConfigIDBuild - No está asignado al objeto IDM.
ConfigIDPlatform - No está asignado al objeto IDM.
ConfigurationVersion - No está asignado al objeto IDM.
ConfigStateData - No está asignado al objeto IDM.
ConfigStateHash ConfigStateUpdate ConnectTime - No está asignado al objeto IDM.
ConnectType - No está asignado al objeto IDM.
Connected - No está asignado al objeto IDM.
ConnectionCipher - No está asignado al objeto IDM.
ConnectionCipherStrength - No está asignado al objeto IDM.
ConnectionDirection - No está asignado al objeto IDM.
ConnectionExchange - No está asignado al objeto IDM.
ConnectionExchangeStrength - No está asignado al objeto IDM.
ConnectionFlags - No está asignado al objeto IDM.
ConnectionHash - No está asignado al objeto IDM.
ConnectionHashStrength - No está asignado al objeto IDM.
ConnectionProtocol - No está asignado al objeto IDM.
ConnectionType - No está asignado al objeto IDM.
Continent ContentSHA256HashData ContextData - No está asignado al objeto IDM.
ContextProcessId event.idm.read_only_udm.principal.process.product_specific_process_id, event.idm.read_only_udm.target.process.product_specific_process_id Con el prefijo CS:%{cid}:%{aid}:.
ContextThreadId - No está asignado al objeto IDM.
ContextTimeStamp ContextTimeStamp_decimal Country CrashDumpFilePath - No está asignado al objeto IDM.
CrashNotification CreateProcessArgs CreateProcessCount security_result.detection_fields[0].value Es parte del evento EndOfProcess.
CreateService CreateThreadNoStartImage CreationTimeStamp - No está asignado al objeto IDM.
CriticalFileAccessed CriticalFileModified CsaProcessDataCollectionInstanceId - No está asignado al objeto IDM.
CurrentFunctionalityLevel - No está asignado al objeto IDM.
CurrentLocalIP - No está asignado al objeto IDM.
CurrentSystemTags CustomerIdString CycleTime - No está asignado al objeto IDM.
DadState - No está asignado al objeto IDM.
DadTransmits - No está asignado al objeto IDM.
DcName event.idm.read_only_udm.principal.user.userid Se cambió el nombre del campo de registro sin procesar DcName a event.idm.read_only_udm.principal.user.userid.
DcNumAttachments - No está asignado al objeto IDM.
DcNumBlockingPolicies - No está asignado al objeto IDM.
DcOnline DcPropertyIdInterfaceType - No está asignado al objeto IDM.
DcPropertyIdInterfaceVersion - No está asignado al objeto IDM.
DcSensorInterfaceType - No está asignado al objeto IDM.
DcSensorInterfaceVersion - No está asignado al objeto IDM.
DcStatus DcUsbConfigurationDescriptor DcUsbDeviceConnected DcUsbDeviceDisconnected DcUsbEndpointDescriptor DcUsbHIDDescriptor DcUsbInterfaceDescriptor DCSyncAttempted Debug - No está asignado al objeto IDM.
DefaultGatewayIP4 - No está asignado al objeto IDM.
DefaultGatewayIP6 - No está asignado al objeto IDM.
DefaultGatewayPhysicalAddress - No está asignado al objeto IDM.
DeepHashBlacklistClassification DeepHashBlacklistVersion - No está asignado al objeto IDM.
DeliverLocalFXToCloud DesiredAccess detectionId detectionName DetectDescription DetectId - No está asignado al objeto IDM.
DetectName DeviceActiveConfigurationNumber - No está asignado al objeto IDM.
DeviceConnectionStatus - No está asignado al objeto IDM.
DeviceDescriptorNumber - No está asignado al objeto IDM.
DeviceDescriptorSetHash - No está asignado al objeto IDM.
DeviceDescriptorUniqueIdentifier - No está asignado al objeto IDM.
DeviceId - No está asignado al objeto IDM.
DeviceInstanceId event.idm.read_only_udm.target.asset_id Con el prefijo Device Instance Id:.
DeviceManufacturer DeviceProduct DeviceProductId - No está asignado al objeto IDM.
DevicePropertyClassName - No está asignado al objeto IDM.
DevicePropertyClassGuid - No está asignado al objeto IDM.
DevicePropertyDeviceDescription DevicePropertyFriendlyName - No está asignado al objeto IDM.
DevicePropertyLocationInformation DevicePropertyManufacturer - No está asignado al objeto IDM.
DeviceProtocol - No está asignado al objeto IDM.
DeviceSerialNumber DeviceTimeStamp DeviceType - No está asignado al objeto IDM.
DeviceUsbClass - No está asignado al objeto IDM.
DeviceUsbSubclass - No está asignado al objeto IDM.
DeviceUsbVersion - No está asignado al objeto IDM.
DeviceVendorId - No está asignado al objeto IDM.
DeviceVersion - No está asignado al objeto IDM.
DirectoryCreate DirectoryCreatedCount security_result.detection_fields[0].value Es parte del evento EndOfProcess.
DirectoryEnumeratedCount security_result.detection_fields[0].value Es parte del evento EndOfProcess.
DisableRealtimeMonitoring DisallowStartIfOnBatteries - No está asignado al objeto IDM.
DisallowStartOnRemoteAppSession - No está asignado al objeto IDM.
DiskParentDeviceInstanceId DllCharacteristics - No está asignado al objeto IDM.
DllInjection DlpPolicy - No está asignado al objeto IDM.
DlpVerdict - No está asignado al objeto IDM.
DmpFileWritten DnsRequest DnsRequestCount security_result.detection_fields[0].value Es parte del evento EndOfProcess.
DnsResponseType - No está asignado al objeto IDM.
DnsResponseTtl - No está asignado al objeto IDM.
DocumentFileWrittenCount security_result.detection_fields[0].value Es parte del evento EndOfProcess.
DomainName event.idm.read_only_udm.target.hostname, event.idm.read_only_udm.target.asset.hostname, event.idm.read_only_udm.network.dns.questions[0].name Si DomainName no es nulo, crea una entidad de nombre de host con el valor de DomainName y agrégala a event.idm.read_only_udm.target.hostname, event.idm.read_only_udm.target.asset.hostname y event.idm.read_only_udm.network.dns.questions[0].name.
DotnetModuleFlags - No está asignado al objeto IDM.
DotnetModuleId - No está asignado al objeto IDM.
DotnetModuleLoadDetectInfo DownloadPath - No está asignado al objeto IDM.
DownloadPort - No está asignado al objeto IDM.
DownloadServer DriverLoad DualRequest - No está asignado al objeto IDM.
EffectiveTransmissionClass Effective - No está asignado al objeto IDM.
EfiSupported - No está asignado al objeto IDM.
EfiVariableCustomMode - No está asignado al objeto IDM.
EfiVariableCustomModeAttributes - No está asignado al objeto IDM.
EfiVariableDbAttributes - No está asignado al objeto IDM.
EfiVariableDbxAttributes - No está asignado al objeto IDM.
EfiVariableDbxSha256Hash - No está asignado al objeto IDM.
EfiVariableKekAttributes - No está asignado al objeto IDM.
EfiVariableKekSha256Hash - No está asignado al objeto IDM.
EfiVariablePkAttributes - No está asignado al objeto IDM.
EfiVariablePkSha256Hash - No está asignado al objeto IDM.
EfiVariableSecureBoot - No está asignado al objeto IDM.
EfiVariableSecureBootAttributes - No está asignado al objeto IDM.
EfiVariableSetupMode - No está asignado al objeto IDM.
EfiVariableSetupModeAttributes - No está asignado al objeto IDM.
EfiVariableSignatureSupport - No está asignado al objeto IDM.
EfiVariableSignatureSupportAttributes - No está asignado al objeto IDM.
EndpointDescriptorAddress - No está asignado al objeto IDM.
EndpointDescriptorAttributes - No está asignado al objeto IDM.
EndpointDescriptorInterval - No está asignado al objeto IDM.
EndpointDescriptorMaxPacketSize - No está asignado al objeto IDM.
EndOfProcess Entitlements ErrorEvent ErrorCode - No está asignado al objeto IDM.
ErrorLocation - No está asignado al objeto IDM.
ErrorReason - No está asignado al objeto IDM.
ErrorSource - No está asignado al objeto IDM.
ErrorStatus - No está asignado al objeto IDM.
ErrorText - No está asignado al objeto IDM.
EventLogCleared EventMax - No está asignado al objeto IDM.
EventMin - No está asignado al objeto IDM.
EventOrigin - No está asignado al objeto IDM.
EventType event.idm.read_only_udm.metadata.product_event_type Si event_simpleName es nulo y EventType no es nulo, crea una entidad product_event_type con el valor de EventType y agrégala a event.idm.read_only_udm.metadata.product_event_type.
EtwErrorEvent EtwRawProcessId - No está asignado al objeto IDM.
EtwRawThreadId - No está asignado al objeto IDM.
ExecutableDeleted ExecutableDeletedCount security_result.detection_fields[0].value Es parte del evento EndOfProcess.
ExeAndServiceCount security_result.detection_fields[0].value Es parte del evento EndOfProcess.
ExitCode - No está asignado al objeto IDM.
Exploit ExternalApiType event.idm.read_only_udm.metadata.product_event_type, event.idm.read_only_udm.extensions.auth.auth_details Si message contiene event1, el nombre de ExternalApiType cambia a event.idm.read_only_udm.metadata.product_event_type. De lo contrario, se cambia el nombre a event.idm.read_only_udm.extensions.auth.auth_details.
Facility - No está asignado al objeto IDM.
FailedConnectCount - No está asignado al objeto IDM.
FalconHostLink FalconServiceComponent - No está asignado al objeto IDM.
FalconServiceServletErrors - No está asignado al objeto IDM.
FalconServiceServletStarts - No está asignado al objeto IDM.
FalconServiceState - No está asignado al objeto IDM.
FalconServiceStatus FeatureExtractionVersion - No está asignado al objeto IDM.
FeatureVector - No está asignado al objeto IDM.
File - No está asignado al objeto IDM.
FileAttributes - No está asignado al objeto IDM.
FileCreateInfo FileDeletedCount security_result.detection_fields[0].value Es parte del evento EndOfProcess.
FileDeleteInfo FileEcpBitmask - No está asignado al objeto IDM.
FileEventType - No está asignado al objeto IDM.
FileIdentifier FileObject - No está asignado al objeto IDM.
FileName FileOpenInfo FileRenameInfo FileSigningTime - No está asignado al objeto IDM.
FirewallAction - No está asignado al objeto IDM.
FirewallChangeOption FirewallDeleteRule FirewallDeleteRuleIP4 FirewallDeleteRuleIP6 FirewallEnabled FirewallOption FirewallOptionNumericValue - No está asignado al objeto IDM.
FirewallProfile - No está asignado al objeto IDM.
FirewallRule FirewallRuleId FirewallSetRule FirewallSetRuleIP4 FirewallSetRuleIP6 FirmwareAnalysisErrorEvent FirmwareAnalysisErrorLocation - No está asignado al objeto IDM.
FirmwareAnalysisErrorReason - No está asignado al objeto IDM.
FirmwareAnalysisErrorSource - No está asignado al objeto IDM.
FirmwareAnalysisHardwareData FirmwareAnalysisStatus FirmwareAnalysisCpuSupported - No está asignado al objeto IDM.
FirmwareAnalysisEclControlInterfaceVersion - No está asignado al objeto IDM.
FirmwareAnalysisEclConsumerInterfaceVersion - No está asignado al objeto IDM.
FirmwareImageAnalyzed FirmwareRegionMeasured FirmwareSize - No está asignado al objeto IDM.
FirmwareType - No está asignado al objeto IDM.
FirstDiscoveredDate - No está asignado al objeto IDM.
FirstIP4Record Flags - No está asignado al objeto IDM.
FltCallbackData - No está asignado al objeto IDM.
FltCompletionContext - No está asignado al objeto IDM.
FltRelatedObjects - No está asignado al objeto IDM.
FontBuffer - No está asignado al objeto IDM.
FontBufferLength - No está asignado al objeto IDM.
FontFileCount - No está asignado al objeto IDM.
FontFileName FontLoadOperation - No está asignado al objeto IDM.
FsOperationBlocked event1.PatternDispositionFlags.FsOperationBlocked Parte de Event_DetectionSummaryEvent.
FsPostOpenSnapshotFile FsVolumeMounted FsVolumeUnmounted FullContext - No está asignado al objeto IDM.
FullExceptionRecord - No está asignado al objeto IDM.
GcpCreationTimestamp GenericFileWrittenCount security_result.detection_fields[0].value Es parte del evento EndOfProcess.
GID - No está asignado al objeto IDM.
GrandparentCommandLine GrandparentImageFileName GrandParentBaseFileName GroupIdentity GroupRid GzipFileWritten HandleCreated - No está asignado al objeto IDM.
HIDDescriptorCountryCode - No está asignado al objeto IDM.
HIDDescriptorNumDescriptors - No está asignado al objeto IDM.
HIDDescriptorVersion - No está asignado al objeto IDM.
HIPHandlers.dll event.idm.read_only_udm.target.file.full_path Es parte de TargetFileName.
HostGroups - No está asignado al objeto IDM.
HostHiddenStatus HostInfo HostnameChanged hostname HostProcessType - No está asignado al objeto IDM.
HostUrl HttpRequestDetect HttpRequestHeader HttpUrl IcmpCode - No está asignado al objeto IDM.
IcmpType - No está asignado al objeto IDM.
id IdleSettings - No está asignado al objeto IDM.
ImageFileName ImageSubsystem - No está asignado al objeto IDM.
Image - No está asignado al objeto IDM.
ImpersonatedUserName InBroadcastOctets - No está asignado al objeto IDM.
InContext - No está asignado al objeto IDM.
InDiscards - No está asignado al objeto IDM.
Indicator event1.PatternDispositionFlags.Indicator Parte de Event_DetectionSummaryEvent.
InddetMask event1.PatternDispositionFlags.InddetMask Parte de Event_DetectionSummaryEvent.
InErrors - No está asignado al objeto IDM.
Information - No está asignado al objeto IDM.
InjectedDll InjectedThread InjectedThreadCount security_result.detection_fields[0].value Es parte del evento EndOfProcess.
InjectedThreadFlag - No está asignado al objeto IDM.
InMulticastOctets - No está asignado al objeto IDM.
InNUcastPkts - No está asignado al objeto IDM.
InOctets - No está asignado al objeto IDM.
InstallDate - No está asignado al objeto IDM.
InstalledApplication InstalledUpdateExtendedStatus - No está asignado al objeto IDM.
InstalledUpdateIds - No está asignado al objeto IDM.
InstalledUpdates InstanceMetadata InstanceMetadataProvider - No está asignado al objeto IDM.
InstanceMetadataRequest - No está asignado al objeto IDM.
InstanceMetadataSignature - No está asignado al objeto IDM.
InUcastOctets - No está asignado al objeto IDM.
InUcastPkts - No está asignado al objeto IDM.
InUnknownProtos - No está asignado al objeto IDM.
IntegrityLevel - No está asignado al objeto IDM.
InterfaceAlias - No está asignado al objeto IDM.
InterfaceDescription - No está asignado al objeto IDM.
InterfaceFlags - No está asignado al objeto IDM.
InterfaceGuid - No está asignado al objeto IDM.
InterfaceIdentifier - No está asignado al objeto IDM.
InterfaceIndex - No está asignado al objeto IDM.
InterfaceMtu - No está asignado al objeto IDM.
InterfaceType - No está asignado al objeto IDM.
InterfaceVersion - No está asignado al objeto IDM.
InjectedDllCount security_result.detection_fields[0].value Es parte del evento EndOfProcess.
InjectedThreadFlag - No está asignado al objeto IDM.
InkDiv.dll event.idm.read_only_udm.target.file.full_path Parte de ExecutablesWritten.
InkObj.dll event.idm.read_only_udm.target.file.full_path Parte de ExecutablesWritten.
InMulticastPkts - No está asignado al objeto IDM.
InOctets - No está asignado al objeto IDM.
InUcastPkts - No está asignado al objeto IDM.
IOARuleGroupName IOARuleInstanceID - No está asignado al objeto IDM.
IOARuleInstanceVersion - No está asignado al objeto IDM.
IOARuleName IOServiceClass - No está asignado al objeto IDM.
IOServiceName - No está asignado al objeto IDM.
IOServicePath - No está asignado al objeto IDM.
IOServiceProperties - No está asignado al objeto IDM.
IOServiceRegister IoSessionConnected IoSessionLoggedOn IpEntryFlags - No está asignado al objeto IDM.
IrpFlags - No está asignado al objeto IDM.
IsCpuDataCommonOnAllCores - No está asignado al objeto IDM.
IsNorthBridgeSupported - No está asignado al objeto IDM.
IsOnClearCaseMvfs - No está asignado al objeto IDM.
IsOnNetwork IsOnRemovableDisk IsOn - No está asignado al objeto IDM.
IsRemote - No está asignado al objeto IDM.
IsSouthBridgeSupported - No está asignado al objeto IDM.
IsTransactedFile - No está asignado al objeto IDM.
IsUnique - No está asignado al objeto IDM.
JavaInjectedThread JarFileWritten KernelModeLoadImage KernelTime - No está asignado al objeto IDM.
KextUnload K8SCreationTimestamp K8SDetectionEvent LanguageId - No está asignado al objeto IDM.
LastAdded - No está asignado al objeto IDM.
LastDiscoveredBy - No está asignado al objeto IDM.
LastDisplayed - No está asignado al objeto IDM.
LastLoggedOnHost - No está asignado al objeto IDM.
LastUpdateInstalledTime - No está asignado al objeto IDM.
LateralMovement - No está asignado al objeto IDM.
LdapSearchAttributes - No está asignado al objeto IDM.
LdapSearchBaseObjectSample - No está asignado al objeto IDM.
LdapSearchFilterSample - No está asignado al objeto IDM.
LdapSearchFilterShape - No está asignado al objeto IDM.
LdapSearchQueryClassification - No está asignado al objeto IDM.
LdapSearchQueryToken - No está asignado al objeto IDM.
LdapSearchScope - No está asignado al objeto IDM.
LdapSearchSizeLimit - No está asignado al objeto IDM.
LdapSecurityType - No está asignado al objeto IDM.
LightningLatencyInfo LightningLatencyState - No está asignado al objeto IDM.
Line - No está asignado al objeto IDM.
LinkLocalAddressBehavior - No está asignado al objeto IDM.
LinkLocalAddressTimeout - No está asignado al objeto IDM.
LinkName LocalAccount - No está asignado al objeto IDM.
LocalAddressIP4 LocalAddressIP6 LocalAddressMaskIP4 - No está asignado al objeto IDM.
LocalAddressMaskIP6 - No está asignado al objeto IDM.
LocalAdminAccess - No está asignado al objeto IDM.
LocalIpAddressIP4 LocalIpAddressIP6 LocalIpAddressRemovedIP4 LocalIpAddressRemovedIP6 LocalPort LocalSession - No está asignado al objeto IDM.
localipCount LockScreenEnabled - No está asignado al objeto IDM.
LockScreenStatus LogoffTime LogonDomain LogonId - No está asignado al objeto IDM.
LogonInfo security_result.summary Establece event_type en USER_LOGIN.
LogonServer LogonTime LogonType event.idm.read_only_udm.extensions.auth.mechanism Se asigna a un valor de enumeración de la AUA según el valor de LogonType.
LogoffTime LsassHandleFromUnsignedModule MAC event.idm.read_only_udm.principal.mac Se convierte a minúsculas y los dos puntos se reemplazan por guiones.
MACAddress event.idm.read_only_udm.principal.mac Los guiones se reemplazan por dos puntos.
MACPrefix - No está asignado al objeto IDM.
MachOFileWritten MachOSubType - No está asignado al objeto IDM.
MachineDn MachineDomain MajorFunction - No está asignado al objeto IDM.
MajorVersion - No está asignado al objeto IDM.
Malicious - No está asignado al objeto IDM.
ManagedPdbBuildPath MappedFromUserMode - No está asignado al objeto IDM.
MaxReassemblySize - No está asignado al objeto IDM.
MaxRouterAdvertisementInterval - No está asignado al objeto IDM.
MaxThreadCount - No está asignado al objeto IDM.
MD5HashData event.idm.read_only_udm.target.file.md5, event.idm.read_only_udm.target.process.file.md5 Si MD5HashData es un hash MD5 válido y no todos los ceros, crea una entidad de hash MD5 con el valor de MD5HashData y agrégala a event.idm.read_only_udm.target.file.md5 y event.idm.read_only_udm.target.process.file.md5.
MD5String MediaConnectState - No está asignado al objeto IDM.
MediaType - No está asignado al objeto IDM.
MemoryAvailable - No está asignado al objeto IDM.
MemoryRegionProtection - No está asignado al objeto IDM.
MemoryRegionStart - No está asignado al objeto IDM.
MemoryTotal - No está asignado al objeto IDM.
MmioDataSmiEn - No está asignado al objeto IDM.
MmioDataTco1Cnt - No está asignado al objeto IDM.
MLModelVersion - No está asignado al objeto IDM.
MobileDetection MobileDetectionId - No está asignado al objeto IDM.
MobileOsIntegrityIntact - No está asignado al objeto IDM.
MobileOsIntegrityStatus MobilePowerStats MoboManufacturer - No está asignado al objeto IDM.
MoboProductName - No está asignado al objeto IDM.
ModelPrediction - No está asignado al objeto IDM.
ModuleBaseAddress - No está asignado al objeto IDM.
ModuleCharacteristics - No está asignado al objeto IDM.
ModuleDetectInfo ModuleLoadCount - No está asignado al objeto IDM.
ModuleLoadMechanism - No está asignado al objeto IDM.
ModuleLoadTelemetryClassification - No está asignado al objeto IDM.
ModuleNativePath - No está asignado al objeto IDM.
ModuleSize - No está asignado al objeto IDM.
ModifyServiceBinary MostRecentActivityTimeStamp - No está asignado al objeto IDM.
MotwWritten mskssrv.sys event.idm.read_only_udm.principal.process.file.full_path Es parte de OriginalFilename.
MultipleInstancesPolicy - No está asignado al objeto IDM.
name namespace NativePdbBuildPath - No está asignado al objeto IDM.
NegateInterface - No está asignado al objeto IDM.
NegateLocalAddress - No está asignado al objeto IDM.
NegateRemoteAddress - No está asignado al objeto IDM.
NeighborList - No está asignado al objeto IDM.
NeighborListIP4 NeighborListIP6 NeighborName NetLuidIndex - No está asignado al objeto IDM.
NetShareAdd NetShareDelete NetShareSecurityModify NetworkBindCount security_result.detection_fields[0].value Es parte del evento EndOfProcess.
NetworkCapableAsepWriteCount security_result.detection_fields[0].value Es parte del evento EndOfProcess.
NetworkCloseCount security_result.detection_fields[0].value Es parte del evento EndOfProcess.
NetworkCloseIP4 NetworkCloseIP6 NetworkConnectCount security_result.detection_fields[0].value Es parte del evento EndOfProcess.
NetworkConnectCountUdp security_result.detection_fields[0].value Es parte del evento EndOfProcess.
NetworkConnectIP4 NetworkConnectIP6 NetworkContainmentState NetworkInterfaceGuid - No está asignado al objeto IDM.
NetworkListenCount security_result.detection_fields[0].value Es parte del evento EndOfProcess.
NetworkListenIP4 NetworkListenIP6 NetworkModuleLoadCount security_result.detection_fields[0].value Es parte del evento EndOfProcess.
NetworkRecvAcceptCount security_result.detection_fields[0].value Es parte del evento EndOfProcess.
NetworkReceiveAcceptIP4 NetworkReceiveAcceptIP6 NewExecutableRenamed NewExecutableWritten NewExecutableWrittenCount security_result.detection_fields[0].value Es parte del evento EndOfProcess.
NewFileIdentifier - No está asignado al objeto IDM.
NewScriptWritten NlMtu - No está asignado al objeto IDM.
NorthBridgeDeviceId - No está asignado al objeto IDM.
NorthBridgeVendorId - No está asignado al objeto IDM.
NumberOfMeasurements - No está asignado al objeto IDM.
OciContainerId - No está asignado al objeto IDM.
OciContainerTelemetry OciContainersStartedCount - No está asignado al objeto IDM.
OciContainersStoppedCount - No está asignado al objeto IDM.
OleFileWritten OnLinkPrefixLength - No está asignado al objeto IDM.
OoxmlFileWritten OperStatus - No está asignado al objeto IDM.
OperationFlags - No está asignado al objeto IDM.
OperationName OriginalContentLength - No está asignado al objeto IDM.
OriginalEventTimeStamp - No está asignado al objeto IDM.
OriginalFilename OriginalParentAuthenticationId - No está asignado al objeto IDM.
OriginalUserName OriginalUserSid OsfmDownloadComplete OsVersionInfo OU OutBroadcastOctets - No está asignado al objeto IDM.
OutDiscards - No está asignado al objeto IDM.
OutErrors - No está asignado al objeto IDM.
OutMulticastOctets - No está asignado al objeto IDM.
OutNUcastPkts - No está asignado al objeto IDM.
OutOctets - No está asignado al objeto IDM.
OutUcastOctets - No está asignado al objeto IDM.
OutUcastPkts - No está asignado al objeto IDM.
PackedExecutableWritten Parameter64_1 - No está asignado al objeto IDM.
Parameter64_2 - No está asignado al objeto IDM.
Parameter64_3 - No está asignado al objeto IDM.
ParameterSizedBuffer_1 - No está asignado al objeto IDM.
Parameter1 - No está asignado al objeto IDM.
Parameter2 - No está asignado al objeto IDM.
Parameter3 - No está asignado al objeto IDM.
ParentAuthenticationId - No está asignado al objeto IDM.
ParentBaseFileName ParentCommandLine event1.ParentCommandLine Parte de Event_DetectionSummaryEvent.
ParentHubInstanceId - No está asignado al objeto IDM.
ParentHubPort - No está asignado al objeto IDM.
ParentImageFileName event.idm.read_only_udm.principal.process.file.full_path, event1.ParentImageFileName Parte de Event_DetectionSummaryEvent.
ParentProcessId event.idm.read_only_udm.principal.process.product_specific_process_id, event1.ParentProcessId Con el prefijo CS:%{cid}:%{aid}:. Parte de Event_DetectionSummaryEvent.
PasswordLastSet - No está asignado al objeto IDM.
PathMtuDiscoveryTimeout - No está asignado al objeto IDM.
PatternDispositionFlags - No está asignado al objeto IDM.
PatternDispositionValue "PatternDisposition

Cambios

2025-02-25

  • Se agregó la asignación para el evento FileIntegrityMonitorRuleMatched de la siguiente manera: Se agregó la asignación del campo ObjectName a los campos de UDM target.registry.registry_value_data, y target.registry.registry_key de target.file.full_path,, según el valor del campo ObjectType.

2025-02-07

Mejora:

  • Se asignó detectName a security_result.threatname.

31-01-2025

  • Se controló el caso extremo para el valor grande de número entero dentro del campo de registro sin procesar ProcessId y ParentProcessId.
  • Se agregó el campo AgendIdString a la asignación del campo principal.process.product_specific_process_id de la AUA en ausencia del campo de registro sin procesar aid.
  • Se agregó el campo AgendIdString a la asignación del campo principal.process.parent_process.product_specific_process_id de la AUA en ausencia del campo de registro sin procesar aid.

2025-01-17

  • Se agregó gsub para admitir el valor grande de número entero dentro del campo de registro sin procesar ProcessId y ParentProcessId.

2025-01-16

Mejora:

  • Se asignaron EventOrigin, id, KerberosRequestTicketCreationTimeSample, ActiveDirectoryDataProtocol, KerberosRequestTicketValidityPeriod, LdapSearchBaseObjectSample, LdapSearchSizeLimit, DebugInfoUnicode, LdapSecurityType, ActiveDirectoryAuthenticationMethod, SourceAccountType, AggregationEarliestTimestamp, AggregationWindowTimestamp, LdapSearchQueryToken y LdapSearchScope a security_result.detection_fields.
  • Se asignó SourceEndpointNetworkTag a security_result.description.
  • Se asignó LocalPortSample a principal.port.
  • Se asignó RemotePortSample a target.port.
  • Se asignó LocalAddressIP4Sample a principal.ip y principal.asset.ip.
  • Se asignaron LdapSearchFilterShape, TargetAccountType, KerberosAnomaly, LdapSearchQueryClassification y LdapSearchAttributes a additional.fields.

2025-01-09

Mejora:

  • Se agregó compatibilidad con el nuevo evento InstalledBrowserExtension.

2024-12-19

Mejora:

  • Cuando FileOperatorSid es un SID de Windows válido, se asigna a target.user.windows_sid.

2024-12-18

Mejora:

  • Se cambió la asignación de OriginalFilename de principal.process.file.full_path a target.process.file.exif_info.original_file.
  • Se cambió la asignación de ParentBaseFileName de principal.process.file.full_path a principal.process.file.names.
  • Se cambió la asignación de OriginalFilename de principal.process.file.exif_info.original_file a target.process.file.exif_info.original_file.

2024-12-04

Mejora:

  • Se asignaron ConfigurationDescriptorName, DeviceDescriptorUniqueIdentifier, DeviceVendorId, DeviceUsbClass, ConfigurationDescriptorNumInterfaces, ConfigurationDescriptorMaxPowerDraw y ConfigurationDescriptorAttributes a security_result.detection_fields.
  • Se asignó DeviceDescriptorSetHash a target.file.sha256.

2024-10-29

Corrección de errores:

  • Se quitó la asignación de SourceFileName a principal.process.file.full_path para los eventos FILE_MOVE, FILE_MODIFICATION y FILE_READ, ya que ya está asignado a src.file.full_path.

2024-10-09

Mejora:

  • Se asignó SmbNamedPipeName a security_result.detection_fields.
  • Se asignó RequestType a network.dns.question.type.
  • Se asignó QueryStatus a network.dns.response_code.
  • Se asignaron IP4Records, IP6Records y CNAMERecords a network.dns.answer.name.

2024-09-24

Mejora:

  • Se agregó un patrón de Grok para dejar de analizar las direcciones IP como principal.hostname.

2024-09-19

Mejora:

  • Se asignó HttpRequest a target.ip.
  • Se asignó HttpHost a target.hostname.
  • Se asignó HttpPath a target.url.

2024-09-19

Mejora:

  • Se asignó HttpRequest a target.ip.
  • Se asignó HttpHost a target.hostname.
  • Se asignó HttpPath a target.url.

2024-09-12

Mejora:

  • Para los eventos FILE_CREATION, cuando ContextImageFileName no es nulo, se asignó ContextImageFileName a principal.process.file.full_path.
  • Se cambió la asignación de OriginalFilename de target.process.file.exif_info.original_file a principal.process.file.exif_info.original_file.

2024-09-10

  • Se agregó compatibilidad con un nuevo patrón de registros JSON.
  • Se asignaron FileVersion y FixedFileVersion a additional.fields.

2024-09-03

Mejora:

  • Se asignó timestamp a metadata.event_timestamp.

2024-08-29

Corrección de errores:

  • Se agregó on_error para controlar el caso cuando TaskExecCommand es nulo.

2024-08-20

Mejora:

  • Se asignaron IsOnRemovableDisk, RegOperationType y RegType a additional.fields.

2024-08-06

Mejora:

  • Se asignó tar_user a target.user.userid.

2024-07-24

Mejora:

  • Se cambió la asignación de LocalAddressIP4 de target.ip a principal.ip.
  • Cuando direction es INBOUND, se cambió la asignación de RemoteAddressIP4 de principal.ip a src.ip.
  • Cuando direction es OUTBOUND, se cambió la asignación de RemoteAddressIP4 de principal.ip a target.ip.

2024-07-08

Mejora:

  • Se asignó Description a security_result.description.
  • Se asignó Name a security_result.threat_name.
  • Se asignó CompositeId a additional.fields.
  • Se asignó id a metadata.product_log_id.

2024-06-25

Mejora:

  • Se asignó SourceFileName a principal.process.file.full_path.
  • Se asignaron OdsFileName y ImageFileName a target.process.file.full_path.
  • Cuando event_simpleName sea MotwWritten, asigna metadata.event_type a FILE_CREATION.

2024-06-06

Mejora:

  • Se asignó OriginalFilename a target.process.file.exif_info.original_file.

2024-05-31

Mejora:

  • Se asignó os_version a principal.platform_version.
  • Se asignó hostname a principal.hostname y principal.asset.hostname.
  • Se asignaron product_type_desc, host_hidden_status, scores.os, scores.sensor, scores.version, scores.overall y scores.modified_time a security_result.detection_fields.

2024-05-23

Mejora:

  • Se asignó Version a principal.platform_version.

2024-05-21

Mejora:

  • Cuando event_simpleName sea FileWritten, NetworkConnect o DnsRequest, asigna ContextBaseFileName a principal.process.file.full_path.
  • Se asignó QuarantinedFileName a principal.process.file.full_path.

2024-05-15

Mejora:

  • Se asignaron Version, BiosVersion y ChassisType a principal.asset.attribute.labels.
  • Se asignaron Continent, OU y SiteName a additional.fields.

2024-04-17

Mejora:

  • Se asignó ModuleILPath a target.resource.attribute.labels.

2024-04-08

Corrección de errores:

  • Cuando event_simpleName es ClassifiedModuleLoad, cambia metadata.event_type de STATUS_UPDATE a PROCESS_MODULE_LOAD.

2024-02-21

Mejora:

  • Se asignó SubjectDN a security_result.about.artifact.last_https_certificate.subject.
  • Se asignó IssuerDN a security_result.about.artifact.last_https_certificate.issuer.
  • Se asignó SubjectCertValidTo a security_result.about.artifact.last_https_certificate.validity.issue_time`.
  • Se asignó SubjectCertValidFrom a security_result.about.artifact.last_https_certificate.validity.expiry_time.
  • Se asignó SubjectSerialNumber a security_result.about.artifact.last_https_certificate.serial_number.
  • Se asignó SubjectVersion a security_result.about.artifact.last_https_certificate.version.
  • Se asignó SubjectCertThumbprint a security_result.about.artifact.last_https_certificate.thumbprint.
  • Se asignó SignatureDigestAlg a security_result.about.artifact.last_https_certificate.signature_algorithm.
  • Se asignó SignatureDigestEncryptAlg a security_result.about.artifact.last_https_certificate.cert_signature.signature_algorithm.
  • Se asignó AuthenticodeHashData a target.file.authentihash.
  • Se asignó AuthorityKeyIdentifier a security_result.about.artifact.last_https_certificate.extension.authority_key_id.keyid y security_result.about.artifact.last_https_certificate.cert_extensions.fields.
  • Se asignó SubjectKeyIdentifier a security_result.about.artifact.last_https_certificate.extension.subject_key_id y security_result.about.artifact.last_https_certificate.cert_extensions.fields.
  • Se asignó OriginalFilename a additional.fields.
  • Se asignaron SignInfoFlagUnknownError, SignInfoFlagHasValidSignature, SignInfoFlagSignHashMismatch, AuthenticodeMatch, SignInfoFlagMicrosoftSigned, SignInfoFlagNoSignature, SignInfoFlagInvalidSignChain, SignInfoFlagNoCodeKeyUsage, SignInfoFlagNoEmbeddedCert, SignInfoFlagThirdPartyRoot, SignInfoFlagCatalogSigned, SignInfoFlagSelfSigned, SignInfoFlagFailedCertCheck, SignInfoFlagEmbeddedSigned, IssuerCN, SubjectCN a security_result.detection_fields.

2023-12-22

  • Se asignó HostUrl a target.url.
  • Se asignó ReferrerUrl a network.http.referral_url.

2023-11-23

  • Cuando is_alert se establece en true, se asigna event.idm.is_significant a true.
  • Cuando is_alert se establece en true, se asigna event_simpleName a security_result.summary.

2023-10-11

  • Se agregó una verificación de expresión regular para validar los valores SHA1, MD5 y SHA256.

2023-08-22

  • Se asignó Technique a security_result.attack_details.techniques.name y los detalles de la técnica y la táctica correspondientes.

2023-08-03

Mejora:

  • Se asignó ReflectiveDllName a target.file.full_path.
  • Se asignó event_type a STATUS_UPDATE para los registros en los que falta el campo DomainName.

2023-08-01

  • Se asignó Tactic a security_result.attack_details.tactics.name y al tactics.id correspondiente.

2023-07-31

Corrección de errores:

  • Se agregó la verificación on_error para el filtro de fecha.

2023-06-19

  • Se asignó ParentBaseFileName a principal.process.file.full_path.
  • Se quitó la asignación de ImageFileName a target.file.full_path, ya que ya está asignada a target.process.file.full_path para los eventos ProcessRollup2 y SyntheticProcessRollup2.

2023-05-12

Mejora:

  • Se asignó "aip" a "intermediary.ip".

2023-05-08

Corrección de errores:

  • Convierte los formatos de hora en cadenas y controla el formato de hora en nanosegundos.

2023-04-14

Mejora:

  • Se modificó el valor de Severity de range[0-19] a security_result.severity como INFORMATIONAL.
  • Se modificó el valor de Severity de range[20-39] a security_result.severity como LOW.
  • Se modificó el valor de Severity de range[40-59] a security_result.severity como MEDIUM.
  • Se modificó el valor de Severity de range[60-79] a security_result.severity como HIGH.
  • Se modificó el valor de Severity de range[80-100] a security_result.severity como CRITICAL.
  • Se asignó PatternId a security_result.detection_fields.
  • Se asignó SourceEndpointIpAddress a principal.ip.
  • Se asignó metadata.event_type a USER_UNCATEGORIZED cuando no están presentes event_simpleName =~ userlogonfailed ni la información del usuario.
  • Se asignó metadata.event_type a USER_UNCATEGORIZED cuando ExternalApiType =Event_UserActivityAuditEvent`` y tiene información del usuario.
  • Se asignó metadata.event_type a USER_UNCATEGORIZED cuando event_simpleName =~ActiveDirectory`.
  • Se asignó TargetAccountObjectGuid a additional.fields.
  • Se asignó TargetDomainControllerObjectGuid a additional.fields.
  • Se asignó TargetDomainControllerObjectSid a additional.fields.
  • Se asignó AggregationActivityCount a additional.fields.
  • Se asignó TargetServiceAccessIdentifier a additional.fields.
  • Se asignó SourceAccountUserPrincipal a principal.user.userid.
  • Se asignó SourceEndpointAddressIP4 a principal.ip.
  • Se asignó SourceAccountObjectGuid a additional.fields.
  • Se asignó AccountDomain a principal.administrative_domain.
  • Se asignó AccountObjectGuid a metadata.product_log_id.
  • Se asignó AccountObjectSid a principal.user.windows_sid.
  • Se asignó SamAccountName a principal.user.user_display_name.
  • Se asignó SourceAccountSamAccountName a principal.user.user_display_name.
  • Se asignó IOARuleGroupName a security_result.detection_fields.
  • Se asignó IOARuleName a security_result.detection_fields.
  • Se asignó RemoteAddressIP4 a target.ip para event_simpleName=RegCredAccessDetectInfo.

24-3-2023

  • Se asignó id a metadata.product_log_id en lugar de target.resource.id.
  • Se asignó RegBinaryValue a target.registry.registry_value_data si RegNumericValue y RegStringValue son nulos.

2023-03-21

Mejora:

  • Se asignaron BatchTimestamp, GcpCreationTimestamp, K8SCreationTimestamp y AwsCreationTimestamp a metadata.event_timestamp.
  • Se asignó FileOperatorSid a target.user.windows_sid.

2023-03-13

Mejora:

  • Se asignaron LogonTime, ProcessStartTime, ContextTimeStamp, ContextTimeStamp_decimal y AccountCreationTimeStamp a metadata.event_timestamp.

2023-03-10

Mejora:

  • Se asignó CallStackModuleNamesVersion,CallStackModuleNamesVersion a security_result.detection_fields.

2023-02-28

Mejora:

  • Se modificaron las siguientes asignaciones para el campo ParentProcessId cuando event_simpleName está en [ProcessRollup2, SyntheticProcessRollup2]
  • Se modificó target.process.parent_process.pid a target.process.parent_process.product_specific_process_id

2023-02-16

Mejora:

  • Se asignó el campo AssociatedFile a security_result.detection_fields[n].value y security_result.detection_fields[n].key se asignó a AssociatedIOCFile.

2023-02-09

Mejora:

  • Se volvieron a asignar los campos que se asignaban en target.labels a target.resource.attribute.labels.
  • Se rectificó la asignación de ManagedPdbBuildPath a target.resource.attribute.labels.

2023-02-09

Mejora:

  • Se volvieron a asignar los campos que se asignaban en target.labels a target.resource.attribute.labels.
  • Se rectificó la asignación de ManagedPdbBuildPath a target.resource.attribute.labels.

2023-01-15

Corrección de errores:

  • Se reasignó aid para el evento UserLogonFailed a target.asset_id desde principal.asset_id.

2023-01-13

Mejora:

  • El nombre de usuario se asignó a principal.user.userid para event_type ScheduledTaskModified y ScheduledTaskRegistered.
  • AssemblyName,ManagedPdbBuildPath,ModuleILPath se asignan a target.labels cuando metadata.product_event_type = ReflectiveDotnetModuleLoad.
  • VirtualDriveFileName,VolumeName asignados a target.labels cuando metadata.product_event_type = RemovableMediaVolumeMounted
  • ImageFileName asignado a target.file.full_path cuando metadata.product_event_type = ClassifiedModuleLoad

2023-01-13

Mejora:

  • El nombre de usuario se asignó a principal.user.userid para event_type ScheduledTaskModified y ScheduledTaskRegistered.
  • AssemblyName,ManagedPdbBuildPath,ModuleILPath se asignan a target.labels cuando metadata.product_event_type = ReflectiveDotnetModuleLoad.
  • VirtualDriveFileName,VolumeName asignados a target.labels cuando metadata.product_event_type = RemovableMediaVolumeMounted
  • ImageFileName asignado a target.file.full_path cuando metadata.product_event_type = ClassifiedModuleLoad

2023-01-02

Mejora:

  • El nombre de usuario se asignó a principal.user.userid para event_type ScheduledTaskModified y ScheduledTaskRegistered.

2022-12-22

Mejora:

  • Se asignó RemoteAddressIP4 a principal.ip para event_type=Userlogonfailed2

2022-11-04

Mejora:

  • Se asignó GrandparentImageFileName a principal.process.parent_process.parent_process.file.full_path.
  • Se asignó GrandparentCommandLine a principal.process.parent_process.parent_process.commamdLine

2022-11-03

Corrección de errores:

  • Cuando event_simpleName es InstalledApplication, se asignan los siguientes parámetros.
  • Se asignó AppName a principal.asset.software.name.
  • Se asignó AppVersion a principal.asset.software.version.

2022-10-12

Corrección de errores:

  • Se asignó discoverer_aid a resource.attribute.labels.
  • Se asignó NeighborName a intermediary.hostname.
  • Se asignó subnet a additional.fields.
  • Se asignó localipCount a additional.fields.
  • Se asignó aipCount a additional.fields.
  • Se agregó la verificación condicional para LogonServer

2022-10-07

Corrección de errores:

  • Se cambió la asignación de CommandLine de principal.process.command_line a target.process.command_line.

2022-09-13

Corrección de errores:

  • Se asignó metadata.event_type a REGISTRY_CREATION, donde RegOperationType es 3.
  • Se asignó event_type a REGISTRY_DELETION, donde RegOperationType es 4 o 102.
  • Se asignó event_type a REGISTRY_MODIFICATION, donde RegOperationType es 5,7,9,101 o 1.
  • Se asignó event_type a REGISTRY_UNCATEGORIZED cuando RegOperationType no es nulo y no en todos los casos anteriores.

2022-09-02

Mejora:

  • Define el campo UserPrincipal en statedata.

2022-08-30

Mejora:

  • Se definió el campo UserPrincipal en statedata.

21-8-2022

Mejora:

  • Se asignó ActivityId a additional.fields.
  • Se asignó SourceEndpointHostName a principal.hostname.
  • Se asignó SourceAccountObjectSid a principal.user.windows_sid.
  • Se agregó una condición para analizar LocalAddressIP4 y aip.
  • Se asignó metadata.event_type a STATUS_UPDATE, en el que ComputerName y LocalAddressIP4 no son nulos.
  • Se asignó SourceEndpointAccountObjectGuid a metadata.product_log_id.
  • Se asignó SourceEndpointAccountObjectSid a target.user.windows_sid.
  • Se asignó SourceEndpointHostName a principal.hostname.

18-8-2022

Corrección de errores:

  • Asigna los siguientes campos:
  • event.PatternDispositionValue a security_result.about.labels.
  • event.ProcessId a principal.process.product_specific_process_id.
  • event.ParentProcessId a target.process.parent_process.pid.
  • event.ProcessStartTime a security_result.detection_fields.
  • event.ProcessEndTime a security_result.detection_fields.
  • event.ComputerName a principal.hostname.
  • event.UserName a principal.user.userid.
  • event.DetectName a security_result.threat_name.
  • event.DetectDescription a security_result.description.
  • event.SeverityName a security_result.severity.
  • event.FileName a target.file.full_path.
  • event.FilePath a target.file.full_path.
  • event.CommandLine a principal.process.command_line.
  • event.SHA256String a target.file.sha256.
  • event.MD5String a security_result.about.file.md5.
  • event.MachineDomain a principal.administrative_domain.
  • event.FalconHostLink a intermediary.url.
  • event.LocalIP a principal.ip.
  • event.MACAddress a principal.mac.
  • event.Tactic a security_result.detection_fields.
  • event.Technique a security_result.detection_fields.
  • event.Objective a security_result.rule_name.
  • event.PatternDispositionDescription a security_result.summary.
  • event.ParentImageFileName a principal.process.parent_process.file.full_path.
  • event.ParentCommandLine a principal.process.parent_process.command_line.

2022-07-29

Mejora:

  • Se asignó event_category,event_module,Hmac a additional.fields.
  • Se asignó user_name a principal.user.userid.
  • Se asignó event_source a target.application.
  • Se agregó grok para auth_group and new logs.
  • Se agregó la verificación de principal_ip,target_ip and event_type.

2022-07-25

Corrección de errores:

  • Se asignó metadata.event_type a USER_RESOURCE_ACCESS, donde eventType es K8SDetectionEvent
  • Se asignó metadata.event_type a STATUS_UPDATE, donde metadata.event_type es nulo y principal.asset_id no es nulo.
  • Se asignó SourceAccountDomain a principal.administrative_domain
  • Se asignó SourceAccountName a principal.user.userid
  • Se asignó metadata.event_type a STATUS_UPDATE, en la que EventType es Event_ExternalApiEvent y OperationName está en [quarantined_file_update, detection_update, update_rule]
  • Se asignó metadata.event_type a USER_RESOURCE_ACCESS, donde FilePath es nulo y FileName es nulo o AgentIdString es nulo.
  • Se asignó metadata.event_type a STATUS_UPDATE cuando el protocolo es nulo.
  • Se agregó una verificación condicional para MD5String, SHA256String, CommandLine, AgentIdString, ProcessId, ParentProcessId, FilePath y FileName.

2022-07-12

Mejora:

  • Para event_simpleName,usa DriverLoad,ProcessRollup,PeVersionInfo,PeFileWritten,TemplateDetectAnalysis y ScriptControlDetectInfo.
  • Se asignó OriginalFilename a principal.process.file.full_path

2022-06-20

Mejora:

  • Se asignó ConfigBuild a security_result.detection_fields.
  • Se asignó EffectiveTransmissionClass a security_result.detection_fields.
  • Se asignó Entitlements a security_result.detection_fields.

2022-06-14

Mejora:

  • Se asignó CompanyName a target.user.company_name
  • Se asignó AccountType a target.user.role_description
  • Se asignó ProductVersion a metadata.product_version
  • Se asignó LogonInfo a principal.ip
  • Se asignó MAC a principal.mac
  • Se asignó UserSid_readable a target.user.windows_sid
  • Se asignó FileName a target.file.full_path
  • Se asignó _time a metadata.event_timestamp
  • Se agregó la verificación condicional para MD5HashData, SHA256HashData, UserName, id, RegObjectName, RegStringValue, RegValueName, UserSid, TargetFileName y aid

2022-06-02

Corrección de errores:

  • Se quitaron el nombre de la clave y el carácter de dos puntos de security_result.detection_fields.value.

2022-05-27

Mejora:

  • Asignación adicional: SHA256String y MD5String a security_result.about.file para que aparezcan como evento de alerta.

2022-05-20

Mejora:

  • Se asignó LinkName a target.resource.attribute.labels.
  • Se cambiaron los posibles casos de GENERIC_EVENTS a STATUS_UPDATE.
  • Se agregó una barra invertida entre el proceso y su directorio raíz superior.
  • Plataforma analizada si event_platform es iOS.
  • Se cambió resource.type a resource_type.

2022-05-12

Mejora:

  • resourceName asignado a target.resource.name
  • resourceId asignado a target.resource.product_object_id
  • Espacio de nombres asignado a target.namespace
  • Categoría asignada a security_result.category_details
  • description mapped to security_result.description
  • sourceAgent asignado a network.http.user_agent
  • Gravedad asignada a security_result.severity
  • resourceKind asignado a target.resource.type
  • detectionName asignado a target.resource.name
  • clusterName asignado a target.resource.attribute.labels
  • clusterId asignado a target.resource.attribute.labels
  • detectionId asignado a target.resource.attribute.labels
  • Tipo asignado a additional.fields
  • Solución para additional.fields
  • Comparativas de campos adicionales
  • badResources a additional.fields

2022-04-27

Corrección de errores:

  • Se cambió el tipo de evento de udm de GENERIC_EVENT a USER_LOGIN para los registros con ExternalApiType = Event_AuthActivityAuditEvent.
  • Se cambiaron las asignaciones de target_user, actor_user y actor_user_uuid de additional.fields a target.user.email_addresses, target.user.user_display_name y target.user.userid, respectivamente.

2022-04-25

Mejora:

  • Se asignó RemoteAddressIP4 a principal.ip.

2022-04-14

Corrección de errores:

  • Se agregó compatibilidad con el campo ScriptContent para todos los tipos de registros.

13-4-2022

Mejora:

  • Se agregaron asignaciones para campos nuevos
  • Se agregaron nuevas asignaciones de eventos: AuthenticationPackage se asignó a target.resource.name.

2022-04-04

Corrección de errores:

  • Se asignó OriginatingURL a principal.url para los eventos de NetworkConnect.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.