Collecter les journaux CrowdStrike Falcon dans CEF

Ce document explique comment collecter les journaux CrowdStrike Falcon au format CEF à l'aide de Bindplane. L'analyseur extrait les paires clé-valeur et les met en correspondance avec le modèle de données unifié (UDM), gère différents séparateurs et enrichit les données avec un contexte supplémentaire, comme la gravité et les types d'événements. Il effectue également des transformations spécifiques pour certains types et champs d'événements, tels que les connexions utilisateur et les résultats de sécurité.

Avant de commencer

• Assurez-vous de disposer d'une instance Google Security Operations.
• Assurez-vous d'utiliser Windows 2016 ou une version ultérieure, ou un hôte Linux avec systemd.
• Si vous exécutez l'application derrière un proxy, assurez-vous que les ports du pare-feu sont ouverts.
• Assurez-vous d'avoir un accès privilégié à la console CrowdStrike Falcon.
• Obtenez les identifiants de l'API pour Falcon Stream (ID client et code secret client).

Obtenir le fichier d'authentification d'ingestion Google SecOps

1. Connectez-vous à la console Google SecOps.
2. Accédez à Paramètres du SIEM > Agents de collecte.
3. Téléchargez le fichier d'authentification d'ingestion. Enregistrez le fichier de manière sécurisée sur le système sur lequel Bindplane sera installé.

Obtenir le numéro client Google SecOps

1. Connectez-vous à la console Google SecOps.
2. Accédez à Paramètres du SIEM > Profil.
3. Copiez et sauvegardez le numéro client dans la section Détails de l'organisation.

Installer l'agent Bindplane

Installation de Windows

1. Ouvrez l'invite de commande ou PowerShell en tant qu'administrateur.

2. Exécutez la commande suivante :

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Installation de Linux

1. Ouvrez un terminal avec des droits root ou sudo.

2. Exécutez la commande suivante :

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Autres ressources d'installation

• Pour plus d'options d'installation, consultez ce guide d'installation.

Configurer l'agent Bindplane pour qu'il ingère les journaux Syslog et les envoie à Google SecOps

1. Accédez au fichier de configuration:

   1. Recherchez le fichier config.yaml. En règle générale, il se trouve dans le répertoire /etc/bindplane-agent/ sous Linux ou dans le répertoire d'installation sous Windows.
   2. Ouvrez le fichier à l'aide d'un éditeur de texte (nano, vi ou Bloc-notes, par exemple).

2. Modifiez le fichier config.yaml comme suit :

   receivers:
       tcplog:
           # Replace the port and IP address as required
           listen_address: "0.0.0.0:54525"
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the path to the credentials file you downloaded in Step 1
           creds: '/path/to/ingestion-authentication-file.json'
           # Replace with your actual customer ID from Step 2
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # Add optional ingestion labels for better organization
           ingestion_labels:
               log_type: SYSLOG
               namespace: cs_falcon
               raw_log_field: body
   
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                   - tcplog
               exporters:
                   - chronicle/chronicle_w_labels
   
   

3. Remplacez le port et l'adresse IP dans votre infrastructure si nécessaire.

4. Remplacez <customer_id> par le numéro client réel.

5. Remplacez /path/to/ingestion-authentication-file.json par le chemin d'accès où le fichier d'authentification a été enregistré dans la section Obtenir le fichier d'authentification d'ingestion Google SecOps.

Redémarrez l'agent Bindplane pour appliquer les modifications

• Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante:

  sudo systemctl restart bindplane-agent
  

• Pour redémarrer l'agent Bindplane sous Windows, vous pouvez utiliser la console Services ou saisir la commande suivante:

  net stop BindPlaneAgent && net start BindPlaneAgent
  

Configurer et obtenir une clé API CrowdStrike

1. Connectez-vous à CrowdStrike Falcon avec un compte privilégié.
2. Accédez à Menu > Assistance.
3. Cliquez sur Clients d'API > KeysSelect.
4. Cliquez sur Ajouter un client API.
5. Dans la section Champs d'application de l'API, sélectionnez Flux d'événements et Alertes > activez l'option Lecture.
6. Cliquez sur Ajouter.
7. Copiez et enregistrez les valeurs de Client ID (ID client), Secret (Secret) et Base URL (URL de base).

Installer le connecteur Falcon SIEM

1. Téléchargez le package d'installation RPM pour votre système d'exploitation.

2. Installation du package:

   • Système d'exploitation CentOS:

     sudo rpm -Uvh <installer package>
     

   • Système d'exploitation Ubuntu:

     sudo dpkg -i <installer package>
     

3. Répertoires d'installation par défaut:

   • Connecteur SIEM Falcon : /opt/crowdstrike/.
   • Service : /etc/init.d/cs.falconhoseclientd/.

Configurer le connecteur SIEM pour transférer les journaux CEF vers Bindplane

1. Connectez-vous à la machine avec le connecteur SIEM installé en tant qu'utilisateur sudo.
2. Accédez au répertoire /opt/crowdstrike/etc/.
3. Remplacement du nom cs.falconhoseclient.cef.cfg par cs.falconhoseclient.cfg.
   • SIEM Connector utilise la configuration cs.falconhoseclient.cfg par défaut.
4. Modifiez le fichier cs.falconhoseclient.cfg et modifiez/définissez les paramètres suivants :
   • api_url: : votre URL de base CrowdStrike Falcon copiée à l'étape précédente.
   • app_id: : toute chaîne en tant qu'identifiant pour la connexion à l'API Falcon Streaming (par exemple, définie sur app_id: SECOPS-CEF).
   • client_id: : valeur client_id copiée à l'étape précédente.
   • client_secret: : valeur client_secret copiée à l'étape précédente.
   • send_to_syslog_server: true : activez le transfert vers le serveur Syslog.
   • host: : adresse IP ou nom d'hôte de l'agent Bindplane.
   • port: : port de l'agent Bindplane.
5. Enregistrez le fichier cs.falconhoseclient.cfg.

6. Démarrez le service du connecteur SIEM:

   • Système d'exploitation CentOS

     sudo service cs.falconhoseclientd start
     

   • Système d'exploitation Ubuntu 16.04 ou version ultérieure

     sudo systemctl start cs.falconhoseclientd.service
     

7. Facultatif: Arrêtez le service du connecteur SIEM:

   • Système d'exploitation CentOS

     sudo service cs.falconhoseclientd stop
     

   • Système d'exploitation Ubuntu 16.04 ou version ultérieure

     sudo systemctl stop cs.falconhoseclientd.service
     

8. Facultatif: Redémarrez le service Connecteur SIEM:

   • Système d'exploitation CentOS

     sudo service cs.falconhoseclientd restart
     

   • Système d'exploitation Ubuntu 16.04 ou version ultérieure

     sudo systemctl restart cs.falconhoseclientd.service
     

Tableau de mappage UDM

Champ de journal	Mappage UDM	Logique
AccountCreationTimeStamp	event.idm.read_only_udm.metadata.event_timestamp	Le champ de journal brut AccountCreationTimeStamp est renommé event.idm.read_only_udm.metadata.event_timestamp.
AccountDomain	event.idm.read_only_udm.principal.administrative_domain	Le champ de journal brut AccountDomain est renommé event.idm.read_only_udm.principal.administrative_domain.
AccountObjectGuid	event.idm.read_only_udm.metadata.product_log_id	Le champ de journal brut AccountObjectGuid est renommé event.idm.read_only_udm.metadata.product_log_id.
AccountObjectSid	event.idm.read_only_udm.principal.user.windows_sid	Le champ de journal brut AccountObjectSid est renommé event.idm.read_only_udm.principal.user.windows_sid.
AccessType	-	Non mappé sur l'objet IDM.
action_taken	event.idm.read_only_udm.additional.fields[0].value.string_value	Partie du tableau AuditKeyValues.
ActiveCpuCount	-	Non mappé sur l'objet IDM.
ActiveDirectoryAuthenticationMethod	-	Non mappé sur l'objet IDM.
ActiveDirectoryDataProtocol	-	Non mappé sur l'objet IDM.
AddressFamily	-	Non mappé sur l'objet IDM.
AdminStatus	-	Non mappé sur l'objet IDM.
AllocateVirtualMemoryCount	security_result.detection_fields[0].value	Fait partie de l'événement EndOfProcess.
agent-windows	event.idm.read_only_udm.target.file.full_path	Fait partie de TargetFileName.
AgentIdString	event.idm.read_only_udm.principal.asset_id	Préfixé par CS:.
AgentLoadFlags	-	Non mappé sur l'objet IDM.
AgentLocalTime	-	Non mappé sur l'objet IDM.
AgentOnline AgentTimeOffset	-	Non mappé sur l'objet IDM.
AgentVersion AggregationActivityCount AggregationEarliestTimestamp	-	Non mappé sur l'objet IDM.
aid	event.idm.read_only_udm.principal.asset_id	Préfixé par CS:.
aip	event.idm.read_only_udm.principal.nat_ip	Lorsque _aid_is_target est défini sur "false", si aip n'est pas défini sur "null", créez une entité IP avec la valeur de aip et ajoutez-la à event.idm.read_only_udm.principal.nat_ip.
aipCount AllocVmEtw AllocationType	-	Non mappé sur l'objet IDM.
AllowHardTerminate	-	Non mappé sur l'objet IDM.
AllowStartOnDemand	-	Non mappé sur l'objet IDM.
ApcArgument1	-	Non mappé sur l'objet IDM.
ApcArgument2	-	Non mappé sur l'objet IDM.
ApcContextAddress	-	Non mappé sur l'objet IDM.
ApcContextFileName	-	Non mappé sur l'objet IDM.
ApcContext	-	Non mappé sur l'objet IDM.
ApplicationName ApplicationUniqueIdentifier	-	Non mappé sur l'objet IDM.
ApplicationVersion	-	Non mappé sur l'objet IDM.
AppIs64Bit	-	Non mappé sur l'objet IDM.
AppName AppPath AppPathFlag	-	Non mappé sur l'objet IDM.
AppProductId	-	Non mappé sur l'objet IDM.
AppType	-	Non mappé sur l'objet IDM.
AppUpdateIds	-	Non mappé sur l'objet IDM.
AppVendor	-	Non mappé sur l'objet IDM.
AppVersion ArchiveFileWrittenCount	security_result.detection_fields[0].value	Fait partie de l'événement EndOfProcess.
AsepClass	-	Non mappé sur l'objet IDM.
AsepFileChange AsepFlags	-	Non mappé sur l'objet IDM.
AsepIndex	-	Non mappé sur l'objet IDM.
AsepKeyUpdate AsepValueUpdate AsepValueType	-	Non mappé sur l'objet IDM.
AsepWrittenCount	security_result.detection_fields[0].value	Fait partie de l'événement EndOfProcess.
AssociateIndicator AssociateTreeIdWithRoot AssemblyFlags	-	Non mappé sur l'objet IDM.
AssemblyId	-	Non mappé sur l'objet IDM.
AssemblyName AuthenticationId	event.idm.read_only_udm.principal.user.product_object_id	Préfixé par CS:.
AuthenticationPackage AuthenticationUuid	-	Non mappé sur l'objet IDM.
AuthenticationUuidAsString	-	Non mappé sur l'objet IDM.
AuthenticodeHashData AuthenticodeMatch automated_remediation	assessments.automated_remediation	Fait partie de l'événement ZeroTrustHostAssessment.
BaseReachableTime	-	Non mappé sur l'objet IDM.
BaseTime	-	Non mappé sur l'objet IDM.
BatchDataNumber	-	Non mappé sur l'objet IDM.
BatchDataTotal	-	Non mappé sur l'objet IDM.
BatchTimestamp BatteryLevel	-	Non mappé sur l'objet IDM.
BatteryStatus	-	Non mappé sur l'objet IDM.
BehaviorWhitelisted benchmarks BenignCount	-	Non mappé sur l'objet IDM.
beta_build_disabled	assessments.beta_build_disabled	Fait partie de l'événement ZeroTrustHostAssessment.
BinaryExecutableWrittenCount	security_result.detection_fields[0].value	Fait partie de l'événement EndOfProcess.
BillingInfo BillingType	-	Non mappé sur l'objet IDM.
BiosManufacturer BiosReleaseDate	-	Non mappé sur l'objet IDM.
BiosVersion BITSJobCreated BootArgs	-	Non mappé sur l'objet IDM.
BootId	-	Non mappé sur l'objet IDM.
BootStatusDataAabEnabled	-	Non mappé sur l'objet IDM.
BootStatusDataBootAttemptCount	-	Non mappé sur l'objet IDM.
BootStatusDataBootGood	-	Non mappé sur l'objet IDM.
BootStatusDataBootShutdown	-	Non mappé sur l'objet IDM.
BootTimeFunctionalityLevel	-	Non mappé sur l'objet IDM.
BrowserInjectedThread BundleID	-	Non mappé sur l'objet IDM.
CallStackModuleNames CallStackModuleNamesVersion ChannelId	-	Non mappé sur l'objet IDM.
ChannelVersion	-	Non mappé sur l'objet IDM.
ChannelVersionRequired ChasisManufacturer	-	Non mappé sur l'objet IDM.
ChassisType cid City CLICreationCount	security_result.detection_fields[0].value	Fait partie de l'événement EndOfProcess.
ClassifiedModuleLoad CloudAssociateTreeIdWithRoot CloudErrorCode	-	Non mappé sur l'objet IDM.
CNAMERecords CodeIntegrity	-	Non mappé sur l'objet IDM.
CommandLine CommandSequence	-	Non mappé sur l'objet IDM.
CompletionEventId	-	Non mappé sur l'objet IDM.
ComputerName	event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname	Si ComputerName n'est pas NULL, une chaîne vide ou un tiret, créez une entité de nom d'hôte avec la valeur ComputerName et ajoutez-la à event.idm.read_only_udm.principal.hostname et event.idm.read_only_udm.principal.asset.hostname.
ConfigBuild ConfigIDBase	-	Non mappé sur l'objet IDM.
ConfigIDBuild	-	Non mappé sur l'objet IDM.
ConfigIDPlatform	-	Non mappé sur l'objet IDM.
ConfigurationVersion	-	Non mappé sur l'objet IDM.
ConfigStateData	-	Non mappé sur l'objet IDM.
ConfigStateHash ConfigStateUpdate ConnectTime	-	Non mappé sur l'objet IDM.
ConnectType	-	Non mappé sur l'objet IDM.
Connected	-	Non mappé sur l'objet IDM.
ConnectionCipher	-	Non mappé sur l'objet IDM.
ConnectionCipherStrength	-	Non mappé sur l'objet IDM.
ConnectionDirection	-	Non mappé sur l'objet IDM.
ConnectionExchange	-	Non mappé sur l'objet IDM.
ConnectionExchangeStrength	-	Non mappé sur l'objet IDM.
ConnectionFlags	-	Non mappé sur l'objet IDM.
ConnectionHash	-	Non mappé sur l'objet IDM.
ConnectionHashStrength	-	Non mappé sur l'objet IDM.
ConnectionProtocol	-	Non mappé sur l'objet IDM.
ConnectionType	-	Non mappé sur l'objet IDM.
Continent ContentSHA256HashData ContextData	-	Non mappé sur l'objet IDM.
ContextProcessId	event.idm.read_only_udm.principal.process.product_specific_process_id, event.idm.read_only_udm.target.process.product_specific_process_id	Préfixé par CS:%{cid}:%{aid}:.
ContextThreadId	-	Non mappé sur l'objet IDM.
ContextTimeStamp ContextTimeStamp_decimal Country CrashDumpFilePath	-	Non mappé sur l'objet IDM.
CrashNotification CreateProcessArgs CreateProcessCount	security_result.detection_fields[0].value	Fait partie de l'événement EndOfProcess.
CreateService CreateThreadNoStartImage CreationTimeStamp	-	Non mappé sur l'objet IDM.
CriticalFileAccessed CriticalFileModified CsaProcessDataCollectionInstanceId	-	Non mappé sur l'objet IDM.
CurrentFunctionalityLevel	-	Non mappé sur l'objet IDM.
CurrentLocalIP	-	Non mappé sur l'objet IDM.
CurrentSystemTags CustomerIdString CycleTime	-	Non mappé sur l'objet IDM.
DadState	-	Non mappé sur l'objet IDM.
DadTransmits	-	Non mappé sur l'objet IDM.
DcName	event.idm.read_only_udm.principal.user.userid	Le champ de journal brut DcName est renommé event.idm.read_only_udm.principal.user.userid.
DcNumAttachments	-	Non mappé sur l'objet IDM.
DcNumBlockingPolicies	-	Non mappé sur l'objet IDM.
DcOnline DcPropertyIdInterfaceType	-	Non mappé sur l'objet IDM.
DcPropertyIdInterfaceVersion	-	Non mappé sur l'objet IDM.
DcSensorInterfaceType	-	Non mappé sur l'objet IDM.
DcSensorInterfaceVersion	-	Non mappé sur l'objet IDM.
DcStatus DcUsbConfigurationDescriptor DcUsbDeviceConnected DcUsbDeviceDisconnected DcUsbEndpointDescriptor DcUsbHIDDescriptor DcUsbInterfaceDescriptor DCSyncAttempted Debug	-	Non mappé sur l'objet IDM.
DefaultGatewayIP4	-	Non mappé sur l'objet IDM.
DefaultGatewayIP6	-	Non mappé sur l'objet IDM.
DefaultGatewayPhysicalAddress	-	Non mappé sur l'objet IDM.
DeepHashBlacklistClassification DeepHashBlacklistVersion	-	Non mappé sur l'objet IDM.
DeliverLocalFXToCloud DesiredAccess detectionId detectionName DetectDescription DetectId	-	Non mappé sur l'objet IDM.
DetectName DeviceActiveConfigurationNumber	-	Non mappé sur l'objet IDM.
DeviceConnectionStatus	-	Non mappé sur l'objet IDM.
DeviceDescriptorNumber	-	Non mappé sur l'objet IDM.
DeviceDescriptorSetHash	-	Non mappé sur l'objet IDM.
DeviceDescriptorUniqueIdentifier	-	Non mappé sur l'objet IDM.
DeviceId	-	Non mappé sur l'objet IDM.
DeviceInstanceId	event.idm.read_only_udm.target.asset_id	Préfixé par Device Instance Id:.
DeviceManufacturer DeviceProduct DeviceProductId	-	Non mappé sur l'objet IDM.
DevicePropertyClassName	-	Non mappé sur l'objet IDM.
DevicePropertyClassGuid	-	Non mappé sur l'objet IDM.
DevicePropertyDeviceDescription DevicePropertyFriendlyName	-	Non mappé sur l'objet IDM.
DevicePropertyLocationInformation DevicePropertyManufacturer	-	Non mappé sur l'objet IDM.
DeviceProtocol	-	Non mappé sur l'objet IDM.
DeviceSerialNumber DeviceTimeStamp DeviceType	-	Non mappé sur l'objet IDM.
DeviceUsbClass	-	Non mappé sur l'objet IDM.
DeviceUsbSubclass	-	Non mappé sur l'objet IDM.
DeviceUsbVersion	-	Non mappé sur l'objet IDM.
DeviceVendorId	-	Non mappé sur l'objet IDM.
DeviceVersion	-	Non mappé sur l'objet IDM.
DirectoryCreate DirectoryCreatedCount	security_result.detection_fields[0].value	Fait partie de l'événement EndOfProcess.
DirectoryEnumeratedCount	security_result.detection_fields[0].value	Fait partie de l'événement EndOfProcess.
DisableRealtimeMonitoring DisallowStartIfOnBatteries	-	Non mappé sur l'objet IDM.
DisallowStartOnRemoteAppSession	-	Non mappé sur l'objet IDM.
DiskParentDeviceInstanceId DllCharacteristics	-	Non mappé sur l'objet IDM.
DllInjection DlpPolicy	-	Non mappé sur l'objet IDM.
DlpVerdict	-	Non mappé sur l'objet IDM.
DmpFileWritten DnsRequest DnsRequestCount	security_result.detection_fields[0].value	Fait partie de l'événement EndOfProcess.
DnsResponseType	-	Non mappé sur l'objet IDM.
DnsResponseTtl	-	Non mappé sur l'objet IDM.
DocumentFileWrittenCount	security_result.detection_fields[0].value	Fait partie de l'événement EndOfProcess.
DomainName	event.idm.read_only_udm.target.hostname, event.idm.read_only_udm.target.asset.hostname, event.idm.read_only_udm.network.dns.questions[0].name	Si DomainName n'est pas nul, créez une entité d'hôte avec la valeur DomainName, puis ajoutez-la à event.idm.read_only_udm.target.hostname, event.idm.read_only_udm.target.asset.hostname et event.idm.read_only_udm.network.dns.questions[0].name.
DotnetModuleFlags	-	Non mappé sur l'objet IDM.
DotnetModuleId	-	Non mappé sur l'objet IDM.
DotnetModuleLoadDetectInfo DownloadPath	-	Non mappé sur l'objet IDM.
DownloadPort	-	Non mappé sur l'objet IDM.
DownloadServer DriverLoad DualRequest	-	Non mappé sur l'objet IDM.
EffectiveTransmissionClass Effective	-	Non mappé sur l'objet IDM.
EfiSupported	-	Non mappé sur l'objet IDM.
EfiVariableCustomMode	-	Non mappé sur l'objet IDM.
EfiVariableCustomModeAttributes	-	Non mappé sur l'objet IDM.
EfiVariableDbAttributes	-	Non mappé sur l'objet IDM.
EfiVariableDbxAttributes	-	Non mappé sur l'objet IDM.
EfiVariableDbxSha256Hash	-	Non mappé sur l'objet IDM.
EfiVariableKekAttributes	-	Non mappé sur l'objet IDM.
EfiVariableKekSha256Hash	-	Non mappé sur l'objet IDM.
EfiVariablePkAttributes	-	Non mappé sur l'objet IDM.
EfiVariablePkSha256Hash	-	Non mappé sur l'objet IDM.
EfiVariableSecureBoot	-	Non mappé sur l'objet IDM.
EfiVariableSecureBootAttributes	-	Non mappé sur l'objet IDM.
EfiVariableSetupMode	-	Non mappé sur l'objet IDM.
EfiVariableSetupModeAttributes	-	Non mappé sur l'objet IDM.
EfiVariableSignatureSupport	-	Non mappé sur l'objet IDM.
EfiVariableSignatureSupportAttributes	-	Non mappé sur l'objet IDM.
EndpointDescriptorAddress	-	Non mappé sur l'objet IDM.
EndpointDescriptorAttributes	-	Non mappé sur l'objet IDM.
EndpointDescriptorInterval	-	Non mappé sur l'objet IDM.
EndpointDescriptorMaxPacketSize	-	Non mappé sur l'objet IDM.
EndOfProcess Entitlements ErrorEvent ErrorCode	-	Non mappé sur l'objet IDM.
ErrorLocation	-	Non mappé sur l'objet IDM.
ErrorReason	-	Non mappé sur l'objet IDM.
ErrorSource	-	Non mappé sur l'objet IDM.
ErrorStatus	-	Non mappé sur l'objet IDM.
ErrorText	-	Non mappé sur l'objet IDM.
EventLogCleared EventMax	-	Non mappé sur l'objet IDM.
EventMin	-	Non mappé sur l'objet IDM.
EventOrigin	-	Non mappé sur l'objet IDM.
EventType	event.idm.read_only_udm.metadata.product_event_type	Si event_simpleName est null et que EventType ne l'est pas, créez une entité product_event_type avec la valeur de EventType et ajoutez-la à event.idm.read_only_udm.metadata.product_event_type.
EtwErrorEvent EtwRawProcessId	-	Non mappé sur l'objet IDM.
EtwRawThreadId	-	Non mappé sur l'objet IDM.
ExecutableDeleted ExecutableDeletedCount	security_result.detection_fields[0].value	Fait partie de l'événement EndOfProcess.
ExeAndServiceCount	security_result.detection_fields[0].value	Fait partie de l'événement EndOfProcess.
ExitCode	-	Non mappé sur l'objet IDM.
Exploit ExternalApiType	event.idm.read_only_udm.metadata.product_event_type, event.idm.read_only_udm.extensions.auth.auth_details	Si message inclut event1, ExternalApiType est renommé event.idm.read_only_udm.metadata.product_event_type. Sinon, il est renommé event.idm.read_only_udm.extensions.auth.auth_details.
Facility	-	Non mappé sur l'objet IDM.
FailedConnectCount	-	Non mappé sur l'objet IDM.
FalconHostLink FalconServiceComponent	-	Non mappé sur l'objet IDM.
FalconServiceServletErrors	-	Non mappé sur l'objet IDM.
FalconServiceServletStarts	-	Non mappé sur l'objet IDM.
FalconServiceState	-	Non mappé sur l'objet IDM.
FalconServiceStatus FeatureExtractionVersion	-	Non mappé sur l'objet IDM.
FeatureVector	-	Non mappé sur l'objet IDM.
File	-	Non mappé sur l'objet IDM.
FileAttributes	-	Non mappé sur l'objet IDM.
FileCreateInfo FileDeletedCount	security_result.detection_fields[0].value	Fait partie de l'événement EndOfProcess.
FileDeleteInfo FileEcpBitmask	-	Non mappé sur l'objet IDM.
FileEventType	-	Non mappé sur l'objet IDM.
FileIdentifier FileObject	-	Non mappé sur l'objet IDM.
FileName FileOpenInfo FileRenameInfo FileSigningTime	-	Non mappé sur l'objet IDM.
FirewallAction	-	Non mappé sur l'objet IDM.
FirewallChangeOption FirewallDeleteRule FirewallDeleteRuleIP4 FirewallDeleteRuleIP6 FirewallEnabled FirewallOption FirewallOptionNumericValue	-	Non mappé sur l'objet IDM.
FirewallProfile	-	Non mappé sur l'objet IDM.
FirewallRule FirewallRuleId FirewallSetRule FirewallSetRuleIP4 FirewallSetRuleIP6 FirmwareAnalysisErrorEvent FirmwareAnalysisErrorLocation	-	Non mappé sur l'objet IDM.
FirmwareAnalysisErrorReason	-	Non mappé sur l'objet IDM.
FirmwareAnalysisErrorSource	-	Non mappé sur l'objet IDM.
FirmwareAnalysisHardwareData FirmwareAnalysisStatus FirmwareAnalysisCpuSupported	-	Non mappé sur l'objet IDM.
FirmwareAnalysisEclControlInterfaceVersion	-	Non mappé sur l'objet IDM.
FirmwareAnalysisEclConsumerInterfaceVersion	-	Non mappé sur l'objet IDM.
FirmwareImageAnalyzed FirmwareRegionMeasured FirmwareSize	-	Non mappé sur l'objet IDM.
FirmwareType	-	Non mappé sur l'objet IDM.
FirstDiscoveredDate	-	Non mappé sur l'objet IDM.
FirstIP4Record Flags	-	Non mappé sur l'objet IDM.
FltCallbackData	-	Non mappé sur l'objet IDM.
FltCompletionContext	-	Non mappé sur l'objet IDM.
FltRelatedObjects	-	Non mappé sur l'objet IDM.
FontBuffer	-	Non mappé sur l'objet IDM.
FontBufferLength	-	Non mappé sur l'objet IDM.
FontFileCount	-	Non mappé sur l'objet IDM.
FontFileName FontLoadOperation	-	Non mappé à l'objet IDM.
FsOperationBlocked	event1.PatternDispositionFlags.FsOperationBlocked	Fait partie de Event_DetectionSummaryEvent.
FsPostOpenSnapshotFile FsVolumeMounted FsVolumeUnmounted FullContext	-	Non mappé sur l'objet IDM.
FullExceptionRecord	-	Non mappé sur l'objet IDM.
GcpCreationTimestamp GenericFileWrittenCount	security_result.detection_fields[0].value	Fait partie de l'événement EndOfProcess.
GID	-	Non mappé sur l'objet IDM.
GrandparentCommandLine GrandparentImageFileName GrandParentBaseFileName GroupIdentity GroupRid GzipFileWritten HandleCreated	-	Non mappé sur l'objet IDM.
HIDDescriptorCountryCode	-	Non mappé sur l'objet IDM.
HIDDescriptorNumDescriptors	-	Non mappé sur l'objet IDM.
HIDDescriptorVersion	-	Non mappé sur l'objet IDM.
HIPHandlers.dll	event.idm.read_only_udm.target.file.full_path	Fait partie de TargetFileName.
HostGroups	-	Non mappé sur l'objet IDM.
HostHiddenStatus HostInfo HostnameChanged hostname HostProcessType	-	Non mappé sur l'objet IDM.
HostUrl HttpRequestDetect HttpRequestHeader HttpUrl IcmpCode	-	Non mappé sur l'objet IDM.
IcmpType	-	Non mappé sur l'objet IDM.
id IdleSettings	-	Non mappé sur l'objet IDM.
ImageFileName ImageSubsystem	-	Non mappé sur l'objet IDM.
Image	-	Non mappé sur l'objet IDM.
ImpersonatedUserName InBroadcastOctets	-	Non mappé sur l'objet IDM.
InContext	-	Non mappé sur l'objet IDM.
InDiscards	-	Non mappé à l'objet IDM.
Indicator	event1.PatternDispositionFlags.Indicator	Fait partie de Event_DetectionSummaryEvent.
InddetMask	event1.PatternDispositionFlags.InddetMask	Fait partie de Event_DetectionSummaryEvent.
InErrors	-	Non mappé sur l'objet IDM.
Information	-	Non mappé sur l'objet IDM.
InjectedDll InjectedThread InjectedThreadCount	security_result.detection_fields[0].value	Fait partie de l'événement EndOfProcess.
InjectedThreadFlag	-	Non mappé sur l'objet IDM.
InMulticastOctets	-	Non mappé sur l'objet IDM.
InNUcastPkts	-	Non mappé sur l'objet IDM.
InOctets	-	Non mappé sur l'objet IDM.
InstallDate	-	Non mappé sur l'objet IDM.
InstalledApplication InstalledUpdateExtendedStatus	-	Non mappé sur l'objet IDM.
InstalledUpdateIds	-	Non mappé sur l'objet IDM.
InstalledUpdates InstanceMetadata InstanceMetadataProvider	-	Non mappé sur l'objet IDM.
InstanceMetadataRequest	-	Non mappé sur l'objet IDM.
InstanceMetadataSignature	-	Non mappé sur l'objet IDM.
InUcastOctets	-	Non mappé sur l'objet IDM.
InUcastPkts	-	Non mappé sur l'objet IDM.
InUnknownProtos	-	Non mappé sur l'objet IDM.
IntegrityLevel	-	Non mappé sur l'objet IDM.
InterfaceAlias	-	Non mappé sur l'objet IDM.
InterfaceDescription	-	Non mappé sur l'objet IDM.
InterfaceFlags	-	Non mappé sur l'objet IDM.
InterfaceGuid	-	Non mappé sur l'objet IDM.
InterfaceIdentifier	-	Non mappé sur l'objet IDM.
InterfaceIndex	-	Non mappé sur l'objet IDM.
InterfaceMtu	-	Non mappé sur l'objet IDM.
InterfaceType	-	Non mappé sur l'objet IDM.
InterfaceVersion	-	Non mappé sur l'objet IDM.
InjectedDllCount	security_result.detection_fields[0].value	Fait partie de l'événement EndOfProcess.
InjectedThreadFlag	-	Non mappé sur l'objet IDM.
InkDiv.dll	event.idm.read_only_udm.target.file.full_path	Fait partie de ExecutablesWritten.
InkObj.dll	event.idm.read_only_udm.target.file.full_path	Fait partie de ExecutablesWritten.
InMulticastPkts	-	Non mappé sur l'objet IDM.
InOctets	-	Non mappé sur l'objet IDM.
InUcastPkts	-	Non mappé sur l'objet IDM.
IOARuleGroupName IOARuleInstanceID	-	Non mappé sur l'objet IDM.
IOARuleInstanceVersion	-	Non mappé sur l'objet IDM.
IOARuleName IOServiceClass	-	Non mappé sur l'objet IDM.
IOServiceName	-	Non mappé sur l'objet IDM.
IOServicePath	-	Non mappé sur l'objet IDM.
IOServiceProperties	-	Non mappé sur l'objet IDM.
IOServiceRegister IoSessionConnected IoSessionLoggedOn IpEntryFlags	-	Non mappé sur l'objet IDM.
IrpFlags	-	Non mappé sur l'objet IDM.
IsCpuDataCommonOnAllCores	-	Non mappé sur l'objet IDM.
IsNorthBridgeSupported	-	Non mappé sur l'objet IDM.
IsOnClearCaseMvfs	-	Non mappé sur l'objet IDM.
IsOnNetwork IsOnRemovableDisk IsOn	-	Non mappé sur l'objet IDM.
IsRemote	-	Non mappé sur l'objet IDM.
IsSouthBridgeSupported	-	Non mappé sur l'objet IDM.
IsTransactedFile	-	Non mappé sur l'objet IDM.
IsUnique	-	Non mappé sur l'objet IDM.
JavaInjectedThread JarFileWritten KernelModeLoadImage KernelTime	-	Non mappé sur l'objet IDM.
KextUnload K8SCreationTimestamp K8SDetectionEvent LanguageId	-	Non mappé sur l'objet IDM.
LastAdded	-	Non mappé sur l'objet IDM.
LastDiscoveredBy	-	Non mappé sur l'objet IDM.
LastDisplayed	-	Non mappé sur l'objet IDM.
LastLoggedOnHost	-	Non mappé sur l'objet IDM.
LastUpdateInstalledTime	-	Non mappé sur l'objet IDM.
LateralMovement	-	Non mappé sur l'objet IDM.
LdapSearchAttributes	-	Non mappé sur l'objet IDM.
LdapSearchBaseObjectSample	-	Non mappé sur l'objet IDM.
LdapSearchFilterSample	-	Non mappé sur l'objet IDM.
LdapSearchFilterShape	-	Non mappé sur l'objet IDM.
LdapSearchQueryClassification	-	Non mappé sur l'objet IDM.
LdapSearchQueryToken	-	Non mappé sur l'objet IDM.
LdapSearchScope	-	Non mappé sur l'objet IDM.
LdapSearchSizeLimit	-	Non mappé sur l'objet IDM.
LdapSecurityType	-	Non mappé sur l'objet IDM.
LightningLatencyInfo LightningLatencyState	-	Non mappé sur l'objet IDM.
Line	-	Non mappé sur l'objet IDM.
LinkLocalAddressBehavior	-	Non mappé sur l'objet IDM.
LinkLocalAddressTimeout	-	Non mappé sur l'objet IDM.
LinkName LocalAccount	-	Non mappé sur l'objet IDM.
LocalAddressIP4 LocalAddressIP6 LocalAddressMaskIP4	-	Non mappé sur l'objet IDM.
LocalAddressMaskIP6	-	Non mappé sur l'objet IDM.
LocalAdminAccess	-	Non mappé sur l'objet IDM.
LocalIpAddressIP4 LocalIpAddressIP6 LocalIpAddressRemovedIP4 LocalIpAddressRemovedIP6 LocalPort LocalSession	-	Non mappé sur l'objet IDM.
localipCount LockScreenEnabled	-	Non mappé sur l'objet IDM.
LockScreenStatus LogoffTime LogonDomain LogonId	-	Non mappé sur l'objet IDM.
LogonInfo	security_result.summary	Définit event_type sur USER_LOGIN.
LogonServer LogonTime LogonType	event.idm.read_only_udm.extensions.auth.mechanism	Mappé sur une valeur d'énumération UDM en fonction de la valeur LogonType.
LogoffTime LsassHandleFromUnsignedModule MAC	event.idm.read_only_udm.principal.mac	Les majuscules sont converties en minuscules, et les deux-points sont remplacés par des traits d'union.
MACAddress	event.idm.read_only_udm.principal.mac	Les traits d'union sont remplacés par des deux-points.
MACPrefix	-	Non mappé sur l'objet IDM.
MachOFileWritten MachOSubType	-	Non mappé sur l'objet IDM.
MachineDn MachineDomain MajorFunction	-	Non mappé sur l'objet IDM.
MajorVersion	-	Non mappé sur l'objet IDM.
Malicious	-	Non mappé sur l'objet IDM.
ManagedPdbBuildPath MappedFromUserMode	-	Non mappé sur l'objet IDM.
MaxReassemblySize	-	Non mappé sur l'objet IDM.
MaxRouterAdvertisementInterval	-	Non mappé sur l'objet IDM.
MaxThreadCount	-	Non mappé sur l'objet IDM.
MD5HashData	event.idm.read_only_udm.target.file.md5, event.idm.read_only_udm.target.process.file.md5	Si MD5HashData est un hachage MD5 valide et qu'il ne contient pas que des zéros, créez une entité de hachage MD5 avec la valeur MD5HashData et ajoutez-la à event.idm.read_only_udm.target.file.md5 et event.idm.read_only_udm.target.process.file.md5.
MD5String MediaConnectState	-	Non mappé sur l'objet IDM.
MediaType	-	Non mappé sur l'objet IDM.
MemoryAvailable	-	Non mappé sur l'objet IDM.
MemoryRegionProtection	-	Non mappé sur l'objet IDM.
MemoryRegionStart	-	Non mappé sur l'objet IDM.
MemoryTotal	-	Non mappé sur l'objet IDM.
MmioDataSmiEn	-	Non mappé sur l'objet IDM.
MmioDataTco1Cnt	-	Non mappé sur l'objet IDM.
MLModelVersion	-	Non mappé sur l'objet IDM.
MobileDetection MobileDetectionId	-	Non mappé sur l'objet IDM.
MobileOsIntegrityIntact	-	Non mappé sur l'objet IDM.
MobileOsIntegrityStatus MobilePowerStats MoboManufacturer	-	Non mappé sur l'objet IDM.
MoboProductName	-	Non mappé sur l'objet IDM.
ModelPrediction	-	Non mappé sur l'objet IDM.
ModuleBaseAddress	-	Non mappé sur l'objet IDM.
ModuleCharacteristics	-	Non mappé sur l'objet IDM.
ModuleDetectInfo ModuleLoadCount	-	Non mappé sur l'objet IDM.
ModuleLoadMechanism	-	Non mappé sur l'objet IDM.
ModuleLoadTelemetryClassification	-	Non mappé sur l'objet IDM.
ModuleNativePath	-	Non mappé sur l'objet IDM.
ModuleSize	-	Non mappé sur l'objet IDM.
ModifyServiceBinary MostRecentActivityTimeStamp	-	Non mappé sur l'objet IDM.
MotwWritten mskssrv.sys	event.idm.read_only_udm.principal.process.file.full_path	Fait partie de OriginalFilename.
MultipleInstancesPolicy	-	Non mappé sur l'objet IDM.
name namespace NativePdbBuildPath	-	Non mappé sur l'objet IDM.
NegateInterface	-	Non mappé sur l'objet IDM.
NegateLocalAddress	-	Non mappé sur l'objet IDM.
NegateRemoteAddress	-	Non mappé sur l'objet IDM.
NeighborList	-	Non mappé sur l'objet IDM.
NeighborListIP4 NeighborListIP6 NeighborName NetLuidIndex	-	Non mappé sur l'objet IDM.
NetShareAdd NetShareDelete NetShareSecurityModify NetworkBindCount	security_result.detection_fields[0].value	Fait partie de l'événement EndOfProcess.
NetworkCapableAsepWriteCount	security_result.detection_fields[0].value	Fait partie de l'événement EndOfProcess.
NetworkCloseCount	security_result.detection_fields[0].value	Fait partie de l'événement EndOfProcess.
NetworkCloseIP4 NetworkCloseIP6 NetworkConnectCount	security_result.detection_fields[0].value	Fait partie de l'événement EndOfProcess.
NetworkConnectCountUdp	security_result.detection_fields[0].value	Fait partie de l'événement EndOfProcess.
NetworkConnectIP4 NetworkConnectIP6 NetworkContainmentState NetworkInterfaceGuid	-	Non mappé sur l'objet IDM.
NetworkListenCount	security_result.detection_fields[0].value	Fait partie de l'événement EndOfProcess.
NetworkListenIP4 NetworkListenIP6 NetworkModuleLoadCount	security_result.detection_fields[0].value	Fait partie de l'événement EndOfProcess.
NetworkRecvAcceptCount	security_result.detection_fields[0].value	Fait partie de l'événement EndOfProcess.
NetworkReceiveAcceptIP4 NetworkReceiveAcceptIP6 NewExecutableRenamed NewExecutableWritten NewExecutableWrittenCount	security_result.detection_fields[0].value	Fait partie de l'événement EndOfProcess.
NewFileIdentifier	-	Non mappé sur l'objet IDM.
NewScriptWritten NlMtu	-	Non mappé sur l'objet IDM.
NorthBridgeDeviceId	-	Non mappé sur l'objet IDM.
NorthBridgeVendorId	-	Non mappé sur l'objet IDM.
NumberOfMeasurements	-	Non mappé sur l'objet IDM.
OciContainerId	-	Non mappé sur l'objet IDM.
OciContainerTelemetry OciContainersStartedCount	-	Non mappé sur l'objet IDM.
OciContainersStoppedCount	-	Non mappé sur l'objet IDM.
OleFileWritten OnLinkPrefixLength	-	Non mappé sur l'objet IDM.
OoxmlFileWritten OperStatus	-	Non mappé sur l'objet IDM.
OperationFlags	-	Non mappé sur l'objet IDM.
OperationName OriginalContentLength	-	Non mappé sur l'objet IDM.
OriginalEventTimeStamp	-	Non mappé sur l'objet IDM.
OriginalFilename OriginalParentAuthenticationId	-	Non mappé sur l'objet IDM.
OriginalUserName OriginalUserSid OsfmDownloadComplete OsVersionInfo OU OutBroadcastOctets	-	Non mappé sur l'objet IDM.
OutDiscards	-	Non mappé sur l'objet IDM.
OutErrors	-	Non mappé sur l'objet IDM.
OutMulticastOctets	-	Non mappé sur l'objet IDM.
OutNUcastPkts	-	Non mappé sur l'objet IDM.
OutOctets	-	Non mappé sur l'objet IDM.
OutUcastOctets	-	Non mappé sur l'objet IDM.
OutUcastPkts	-	Non mappé sur l'objet IDM.
PackedExecutableWritten Parameter64_1	-	Non mappé sur l'objet IDM.
Parameter64_2	-	Non mappé sur l'objet IDM.
Parameter64_3	-	Non mappé sur l'objet IDM.
ParameterSizedBuffer_1	-	Non mappé sur l'objet IDM.
Parameter1	-	Non mappé sur l'objet IDM.
Parameter2	-	Non mappé sur l'objet IDM.
Parameter3	-	Non mappé sur l'objet IDM.
ParentAuthenticationId	-	Non mappé à l'objet IDM.
ParentBaseFileName ParentCommandLine	event1.ParentCommandLine	Fait partie de Event_DetectionSummaryEvent.
ParentHubInstanceId	-	Non mappé sur l'objet IDM.
ParentHubPort	-	Non mappé sur l'objet IDM.
ParentImageFileName	event.idm.read_only_udm.principal.process.file.full_path, event1.ParentImageFileName	Fait partie de Event_DetectionSummaryEvent.
ParentProcessId	event.idm.read_only_udm.principal.process.product_specific_process_id, event1.ParentProcessId	Préfixé par CS:%{cid}:%{aid}:. Fait partie de Event_DetectionSummaryEvent.
PasswordLastSet	-	Non mappé sur l'objet IDM.
PathMtuDiscoveryTimeout	-	Non mappé sur l'objet IDM.
PatternDispositionFlags	-	Non mappé sur l'objet IDM.
PatternDispositionValue `PatternDisposition

Modifications

2025-02-25

• Ajout de mappage pour l'événement FileIntegrityMonitorRuleMatched comme suit : Ajout de mappage du champ ObjectName aux champs UDM target.registry.registry_value_data, et target.registry.registry_key target.file.full_path,, en fonction de la valeur du champ ObjectType.

2025-02-07

Amélioration :

• Mappage de detectName sur security_result.threatname.

2025-01-31

• Traitement du cas limite pour la grande valeur d'entier dans le champ de journal brut ProcessId et ParentProcessId.
• Ajout du champ AgendIdString au mappage du champ UDM principal.process.product_specific_process_id en l'absence du champ de journal brut aid.
• Ajout du champ AgendIdString au mappage du champ UDM principal.process.parent_process.product_specific_process_id en l'absence du champ de journal brut aid.

2025-01-17

• Ajout de gsub pour prendre en charge la grande valeur d'entier dans les champs de journal bruts ProcessId et ParentProcessId.

2025-01-16

Amélioration :

• Mappage de EventOrigin, id, KerberosRequestTicketCreationTimeSample, ActiveDirectoryDataProtocol, KerberosRequestTicketValidityPeriod, LdapSearchBaseObjectSample, LdapSearchSizeLimit, DebugInfoUnicode, LdapSecurityType, ActiveDirectoryAuthenticationMethod, SourceAccountType, AggregationEarliestTimestamp, AggregationWindowTimestamp, LdapSearchQueryToken et LdapSearchScope sur security_result.detection_fields.
• Mappage de SourceEndpointNetworkTag sur security_result.description.
• Mappage de LocalPortSample sur principal.port.
• Mappage de RemotePortSample sur target.port.
• Mappage de LocalAddressIP4Sample sur principal.ip et principal.asset.ip.
• LdapSearchFilterShape, TargetAccountType, KerberosAnomaly, LdapSearchQueryClassification et LdapSearchAttributes ont été mappés sur additional.fields.

2025-01-09

Amélioration :

• Ajout de la prise en charge du nouvel événement InstalledBrowserExtension.

2024-12-19

Amélioration :

• Lorsque FileOperatorSid est un SID Windows valide, il est mappé sur target.user.windows_sid.

2024-12-18

Amélioration :

• La mise en correspondance de OriginalFilename a été modifiée de principal.process.file.full_path à target.process.file.exif_info.original_file.
• La mise en correspondance de ParentBaseFileName a été modifiée de principal.process.file.full_path à principal.process.file.names.
• La mise en correspondance de OriginalFilename a été modifiée de principal.process.file.exif_info.original_file à target.process.file.exif_info.original_file.

2024-12-04

Amélioration :

• ConfigurationDescriptorName, DeviceDescriptorUniqueIdentifier, DeviceVendorId, DeviceUsbClass, ConfigurationDescriptorNumInterfaces, ConfigurationDescriptorMaxPowerDraw et ConfigurationDescriptorAttributes ont été mappés sur security_result.detection_fields.
• Mappage de DeviceDescriptorSetHash sur target.file.sha256.

2024-10-29

Correction de bug:

• Suppression du mappage de SourceFileName sur principal.process.file.full_path pour les événements FILE_MOVE, FILE_MODIFICATION et FILE_READ, car il est déjà mappé sur src.file.full_path.

2024-10-09

Amélioration :

• Mappage de SmbNamedPipeName sur security_result.detection_fields.
• Mappage de RequestType sur network.dns.question.type.
• Mappage de QueryStatus sur network.dns.response_code.
• IP4Records, IP6Records et CNAMERecords ont été mappés sur network.dns.answer.name.

2024-09-24

Amélioration :

• Ajout d'un format Grok pour arrêter l'analyse des adresses IP en tant que principal.hostname.

2024-09-19

Amélioration :

• Mappage de HttpRequest sur target.ip.
• Mappage de HttpHost sur target.hostname.
• Mappage de HttpPath sur target.url.

2024-09-19

Amélioration :

• Mappage de HttpRequest sur target.ip.
• Mappage de HttpHost sur target.hostname.
• Mappage de HttpPath sur target.url.

2024-09-12

Amélioration :

• Pour les événements FILE_CREATION lorsque ContextImageFileName n'est pas nul, ContextImageFileName a été mappé sur principal.process.file.full_path.
• Modification de la mise en correspondance de OriginalFilename de target.process.file.exif_info.original_file à principal.process.file.exif_info.original_file.

2024-09-10

• Prise en charge d'un nouveau format de journaux JSON.
• Mappage de FileVersion et FixedFileVersion sur additional.fields.

2024-09-03

Amélioration :

• Mappage de timestamp sur metadata.event_timestamp.

2024-08-29

Correction de bug:

• Ajout de on_error pour gérer le cas où TaskExecCommand est nul.

2024-08-20

Amélioration :

• IsOnRemovableDisk, RegOperationType et RegType ont été mappés sur additional.fields.

2024-08-06

Amélioration :

• Mappage de tar_user sur target.user.userid.

2024-07-24

Amélioration :

• Modification de la mise en correspondance de LocalAddressIP4 de target.ip à principal.ip.
• Lorsque direction est INBOUND, le mappage RemoteAddressIP4 est modifié de principal.ip à src.ip.
• Lorsque direction est OUTBOUND, le mappage RemoteAddressIP4 est modifié de principal.ip à target.ip.

2024-07-08

Amélioration :

• Mappage de Description sur security_result.description.
• Mappage de Name sur security_result.threat_name.
• Mappage de CompositeId sur additional.fields.
• Mappage de id sur metadata.product_log_id.

2024-06-25

Amélioration :

• Mappage de SourceFileName sur principal.process.file.full_path.
• Mappage de OdsFileName et ImageFileName sur target.process.file.full_path.
• Lorsque event_simpleName est défini sur MotwWritten, metadata.event_type est mappé sur FILE_CREATION.

2024-06-06

Amélioration :

• Mappage de OriginalFilename sur target.process.file.exif_info.original_file.

2024-05-31

Amélioration :

• Mappage de os_version sur principal.platform_version.
• Mappage de hostname sur principal.hostname et principal.asset.hostname.
• product_type_desc, host_hidden_status, scores.os, scores.sensor, scores.version, scores.overall et scores.modified_time ont été mappés sur security_result.detection_fields.

2024-05-23

Amélioration :

• Mappage de Version sur principal.platform_version.

2024-05-21

Amélioration :

• Lorsque event_simpleName est FileWritten, NetworkConnect ou DnsRequest, ContextBaseFileName est mappé sur principal.process.file.full_path.
• Mappage de QuarantinedFileName sur principal.process.file.full_path.

2024-05-15

Amélioration :

• Version, BiosVersion et ChassisType ont été mappés sur principal.asset.attribute.labels.
• Continent, OU et SiteName ont été mappés sur additional.fields.

2024-04-17

Amélioration :

• Mappage de ModuleILPath sur target.resource.attribute.labels.

2024-04-08

Correction de bug:

• Lorsque event_simpleName est ClassifiedModuleLoad, la valeur de metadata.event_type passe de STATUS_UPDATE à PROCESS_MODULE_LOAD.

2024-02-21

Amélioration :

• Mappage de SubjectDN sur security_result.about.artifact.last_https_certificate.subject.
• Mappage de IssuerDN sur security_result.about.artifact.last_https_certificate.issuer.
• SubjectCertValidTo a été mappé sur security_result.about.artifact.last_https_certificate.validity.issue_time.
• Mappage de SubjectCertValidFrom sur security_result.about.artifact.last_https_certificate.validity.expiry_time.
• Mappage de SubjectSerialNumber sur security_result.about.artifact.last_https_certificate.serial_number.
• Mappage de SubjectVersion sur security_result.about.artifact.last_https_certificate.version.
• Mappage de SubjectCertThumbprint sur security_result.about.artifact.last_https_certificate.thumbprint.
• Mappage de SignatureDigestAlg sur security_result.about.artifact.last_https_certificate.signature_algorithm.
• Mappage de SignatureDigestEncryptAlg sur security_result.about.artifact.last_https_certificate.cert_signature.signature_algorithm.
• Mappage de AuthenticodeHashData sur target.file.authentihash.
• Mappage de AuthorityKeyIdentifier sur security_result.about.artifact.last_https_certificate.extension.authority_key_id.keyid et security_result.about.artifact.last_https_certificate.cert_extensions.fields.
• Mappage de SubjectKeyIdentifier sur security_result.about.artifact.last_https_certificate.extension.subject_key_id et security_result.about.artifact.last_https_certificate.cert_extensions.fields.
• Mappage de OriginalFilename sur additional.fields.
• SignInfoFlagUnknownError, SignInfoFlagHasValidSignature, SignInfoFlagSignHashMismatch, AuthenticodeMatch, SignInfoFlagMicrosoftSigned, SignInfoFlagNoSignature, SignInfoFlagInvalidSignChain, SignInfoFlagNoCodeKeyUsage, SignInfoFlagNoEmbeddedCert, SignInfoFlagThirdPartyRoot, SignInfoFlagCatalogSigned, SignInfoFlagSelfSigned, SignInfoFlagFailedCertCheck, SignInfoFlagEmbeddedSigned, IssuerCN, SubjectCN mappés sur security_result.detection_fields.

2023-12-22

• Mappage de HostUrl sur target.url.
• Mappage de ReferrerUrl sur network.http.referral_url.

2023-11-23

• Lorsque is_alert est défini sur true, event.idm.is_significant est mappé sur true.
• Lorsque is_alert est défini sur true, event_simpleName est mappé sur security_result.summary.

2023-10-11

• Ajout d'une vérification par expression régulière pour valider les valeurs SHA1, MD5 et SHA256.

2023-08-22

• Mise en correspondance de Technique avec security_result.attack_details.techniques.name, ainsi que des informations sur la technique et la tactique correspondantes.

2023-08-03

Amélioration :

• Mappage de ReflectiveDllName sur target.file.full_path.
• Mappage de event_type sur STATUS_UPDATE pour les journaux où le champ DomainName est absent.

2023-08-01

• Mise en correspondance de Tactic avec security_result.attack_details.tactics.name et l'ID tactics.id correspondant.

2023-07-31

Correction de bug:

• Ajout de la vérification on_error pour le filtre de date.

2023-06-19

• Mappage de ParentBaseFileName sur principal.process.file.full_path.
• Suppression de la mise en correspondance de ImageFileName avec target.file.full_path, car elle est déjà mappée avec target.process.file.full_path pour les événements ProcessRollup2 et SyntheticProcessRollup2.

2023-05-12

Amélioration :

• Mappage de "aip" sur "intermediary.ip".

2023-05-08

Correction de bug:

• Convertit les formats d'heure en chaîne et en format d'heure en nanosecondes géré.

2023-04-14

Amélioration :

• Modification de la valeur Severity de la plage [0-19] de security_result.severity en INFORMATIONAL.
• Modification de la valeur Severity de la plage [20-39] de security_result.severity en LOW.
• Modification de la valeur Severity de la plage [40-59] de security_result.severity en MEDIUM.
• Modification de la valeur Severity de la plage [60-79] de security_result.severity en HIGH.
• Modification de la valeur Severity de la plage [80-100] de security_result.severity en CRITICAL.
• Mappage de PatternId sur security_result.detection_fields.
• Mappage de SourceEndpointIpAddress sur principal.ip.
• Mappage de metadata.event_type sur USER_UNCATEGORIZED lorsque event_simpleName =~ userlogonfailed et les informations utilisateur ne sont pas présents.
• metadata.event_type mappé sur USER_UNCATEGORIZED lorsque ExternalApiType =Event_UserActivityAuditEvent`` et contient des informations utilisateur.
• Mappage de metadata.event_type sur USER_UNCATEGORIZED lorsque event_simpleName =~ActiveDirectory`.
• Mappage de TargetAccountObjectGuid sur additional.fields.
• Mappage de TargetDomainControllerObjectGuid sur additional.fields.
• Mappage de TargetDomainControllerObjectSid sur additional.fields.
• Mappage de AggregationActivityCount sur additional.fields.
• Mappage de TargetServiceAccessIdentifier sur additional.fields.
• Mappage de SourceAccountUserPrincipal sur principal.user.userid.
• Mappage de SourceEndpointAddressIP4 sur principal.ip.
• Mappage de SourceAccountObjectGuid sur additional.fields.
• Mappage de AccountDomain sur principal.administrative_domain.
• Mappage de AccountObjectGuid sur metadata.product_log_id.
• Mappage de AccountObjectSid sur principal.user.windows_sid.
• Mappage de SamAccountName sur principal.user.user_display_name.
• Mappage de SourceAccountSamAccountName sur principal.user.user_display_name.
• Mappage de IOARuleGroupName sur security_result.detection_fields.
• Mappage de IOARuleName sur security_result.detection_fields.
• RemoteAddressIP4 a été mappé sur target.ip pour event_simpleName=RegCredAccessDetectInfo.

24/03/2023

• Mappage de id sur metadata.product_log_id au lieu de target.resource.id.
• RegBinaryValue a été mappé sur target.registry.registry_value_data si RegNumericValue et RegStringValue sont tous deux nuls.

2023-03-21

Amélioration :

• BatchTimestamp, GcpCreationTimestamp, K8SCreationTimestamp et AwsCreationTimestamp ont été mappés sur metadata.event_timestamp.
• FileOperatorSid a été mappé sur target.user.windows_sid.

2023-03-13

Amélioration :

• LogonTime, ProcessStartTime, ContextTimeStamp, ContextTimeStamp_decimal et AccountCreationTimeStamp ont été mappés sur metadata.event_timestamp.

2023-03-10

Amélioration :

• Mappage de CallStackModuleNamesVersion,CallStackModuleNamesVersion sur security_result.detection_fields.

2023-02-28

Amélioration :

• Modification des mappages suivants pour le champ ParentProcessId lorsque event_simpleName est dans [ProcessRollup2, SyntheticProcessRollup2]
• target.process.parent_process.pid modifié en target.process.parent_process.product_specific_process_id

2023-02-16

Amélioration :

• Le champ AssociatedFile est mappé sur security_result.detection_fields[n].value et security_result.detection_fields[n].key sur AssociatedIOCFile.

2023-02-09

Amélioration :

• Les champs mappés sous target.labels ont été remappés sur target.resource.attribute.labels.
• Correction du mappage de ManagedPdbBuildPath sur target.resource.attribute.labels.

2023-02-09

Amélioration :

• Les champs mappés sous target.labels ont été remappés sur target.resource.attribute.labels.
• Correction du mappage de ManagedPdbBuildPath sur target.resource.attribute.labels.

2023-01-15

Correction de bug:

• aid a été remappé pour l'événement UserLogonFailed sur target.asset_id à partir de principal.asset_id.

2023-01-13

Amélioration :

• Nom d'utilisateur mappé sur principal.user.userid pour les valeurs event_type ScheduledTaskModified et ScheduledTaskRegistered.
• AssemblyName,ManagedPdbBuildPath,ModuleILPath mappés sur target.labels lorsque metadata.product_event_type = ReflectiveDotnetModuleLoad
• VirtualDriveFileName,VolumeName mappés sur target.labels lorsque metadata.product_event_type = RemovableMediaVolumeMounted
• ImageFileName mappé sur target.file.full_path lorsque metadata.product_event_type = ClassifiedModuleLoad

2023-01-13

Amélioration :

• Nom d'utilisateur mappé sur principal.user.userid pour les valeurs event_type ScheduledTaskModified et ScheduledTaskRegistered.
• AssemblyName,ManagedPdbBuildPath,ModuleILPath mappés sur target.labels lorsque metadata.product_event_type = ReflectiveDotnetModuleLoad
• VirtualDriveFileName,VolumeName mappés sur target.labels lorsque metadata.product_event_type = RemovableMediaVolumeMounted
• ImageFileName mappé sur target.file.full_path lorsque metadata.product_event_type = ClassifiedModuleLoad

2023-01-02

Amélioration :

• Nom d'utilisateur mappé sur principal.user.userid pour les valeurs event_type ScheduledTaskModified et ScheduledTaskRegistered.

2022-12-22

Amélioration :

• RemoteAddressIP4 mappé sur principal.ip pour event_type=Userlogonfailed2

2022-11-04

Amélioration :

• Mappage de GrandparentImageFileName sur principal.process.parent_process.parent_process.file.full_path.
• GrandparentCommandLine mappé sur principal.process.parent_process.parent_process.commamdLine

2022-11-03

Correction de bug:

• Lorsque event_simpleName est InstalledApplication, les paramètres ci-dessous sont mappés.
• Mappage de AppName sur principal.asset.software.name.
• Mappage de AppVersion sur principal.asset.software.version.

2022-10-12

Correction de bug:

• Mappage de discoverer_aid sur resource.attribute.labels.
• Mappage de NeighborName sur intermediary.hostname.
• Mappage de subnet sur additional.fields.
• Mappage de localipCount sur additional.fields.
• Mappage de aipCount sur additional.fields.
• Ajout d'une vérification conditionnelle pour LogonServer

2022-10-07

Correction de bug:

• Modification de la mise en correspondance de CommandLine de principal.process.command_line à target.process.command_line.

2022-09-13

Correction de bug:

• Mapped metadata.event_type to REGISTRY_CREATION where RegOperationType is 3.
• Mappage de event_type sur REGISTRY_DELETION lorsque RegOperationType est 4 ou 102.
• Mapping de event_type sur REGISTRY_MODIFICATION où RegOperationType est 5,7,9,101 ou 1.
• Mappage de "event_type" sur "REGISTRY_UNCATEGORIZED" lorsque "RegOperationType" n'est pas nul et pas dans tous les cas ci-dessus.

2022-09-02

Amélioration :

• Définissez le champ UserPrincipal dans statedata.

2022-08-30

Amélioration :

• Vous avez défini le champ UserPrincipal dans statedata.

2022-08-21

Amélioration :

• Mappage de ActivityId sur additional.fields.
• Mappage de SourceEndpointHostName sur principal.hostname.
• Mappage de SourceAccountObjectSid sur principal.user.windows_sid.
• Ajout d'une condition pour analyser LocalAddressIP4 et aip.
• metadata.event_type mappé sur STATUS_UPDATE, où ComputerName et LocalAddressIP4 ne sont pas nuls.
• Mappage de SourceEndpointAccountObjectGuid sur metadata.product_log_id.
• Mappage de SourceEndpointAccountObjectSid sur target.user.windows_sid.
• Mappage de SourceEndpointHostName sur principal.hostname.

2022-08-18

Correction de bug:

• Les champs suivants ont été mappés:
• event.PatternDispositionValue à security_result.about.labels.
• event.ProcessId à principal.process.product_specific_process_id.
• event.ParentProcessId à target.process.parent_process.pid.
• event.ProcessStartTime à security_result.detection_fields.
• event.ProcessEndTime à security_result.detection_fields.
• event.ComputerName à principal.hostname.
• event.UserName à principal.user.userid.
• event.DetectName à security_result.threat_name.
• event.DetectDescription à security_result.description.
• event.SeverityName à security_result.severity.
• event.FileName à target.file.full_path.
• event.FilePath à target.file.full_path.
• event.CommandLine à principal.process.command_line.
• event.SHA256String à target.file.sha256.
• event.MD5String à security_result.about.file.md5.
• event.MachineDomain à principal.administrative_domain.
• event.FalconHostLink à intermediary.url.
• event.LocalIP à principal.ip.
• event.MACAddress à principal.mac.
• event.Tactic à security_result.detection_fields.
• event.Technique à security_result.detection_fields.
• event.Objective à security_result.rule_name.
• event.PatternDispositionDescription à security_result.summary.
• event.ParentImageFileName à principal.process.parent_process.file.full_path.
• event.ParentCommandLine à principal.process.parent_process.command_line.

2022-07-29

Amélioration :

• Mappage de event_category,event_module,Hmac sur additional.fields.
• Mappage de user_name sur principal.user.userid.
• Mappage de event_source sur target.application.
• Ajout de grok pour auth_group and new logs.
• Ajout de la vérification de principal_ip,target_ip and event_type.

2022-07-25

Correction de bug:

• Mappage de metadata.event_type sur USER_RESOURCE_ACCESS, où eventType est K8SDetectionEvent
• Mappage de metadata.event_type sur STATUS_UPDATE, où metadata.event_type est nul et principal.asset_id n'est pas nul.
• SourceAccountDomain mappé sur principal.administrative_domain
• SourceAccountName mappé sur principal.user.userid
• Mappage de metadata.event_type sur STATUS_UPDATE, où EventType est Event_ExternalApiEvent et OperationName dans [quarantined_file_update, detection_update, update_rule]
• metadata.event_type a été mappé sur USER_RESOURCE_ACCESS, où FilePath est nul et FileName est nul ou AgentIdString est nul.
• Mappage de metadata.event_type sur STATUS_UPDATE lorsque le protocole est nul.
• Ajout d'une vérification conditionnelle pour MD5String,SHA256String,CommandLine,AgentIdString,ProcessId,ParentProcessId,FilePath,FileName.

2022-07-12

Amélioration :

• Pour event_simpleName : DriverLoad,ProcessRollup,PeVersionInfo,PeFileWritten,TemplateDetectAnalysis,ScriptControlDetectInfo.
• Mapped OriginalFilename to principal.process.file.full_path

2022-06-20

Amélioration :

• Mappage de ConfigBuild sur security_result.detection_fields.
• Mappage de EffectiveTransmissionClass sur security_result.detection_fields.
• Mappage de Entitlements sur security_result.detection_fields.

2022-06-14

Amélioration :

• CompanyName mappé sur target.user.company_name
• AccountType mappé sur target.user.role_description
• ProductVersion mappé sur metadata.product_version
• LogonInfo mappé sur principal.ip
• MAC mappé sur principal.mac
• UserSid_readable mappé sur target.user.windows_sid
• FileName mappé sur target.file.full_path
• _time mappé sur metadata.event_timestamp
• Ajout d'une vérification conditionnelle pour MD5HashData, SHA256HashData, UserName, id, RegObjectName, RegStringValue, RegValueName, UserSid, TargetFileName et aid

2022-06-02

Correction de bug:

• Suppression du nom de la clé et du caractère deux-points de security_result.detection_fields.value.

2022-05-27

Amélioration :

• Mappage supplémentaire: SHA256String et MD5String vers security_result.about.file pour s'afficher en tant qu'événement d'alerte.

2022-05-20

Amélioration :

• Mappage de LinkName sur target.resource.attribute.labels.
• Remplacement des occurrences possibles de GENERIC_EVENTS par STATUS_UPDATE.
• Ajout d'une barre oblique inverse entre le processus et son répertoire racine parent.
• Plate-forme analysée si event_platform est iOS.
• Modification de resource.type en resource_type.

2022-05-12

Amélioration :

• resourceName mappé sur target.resource.name
• resourceId mappé sur target.resource.product_object_id
• Espace de noms mappé sur target.namespace
• Catégorie mappée sur security_result.category_details
• description mappée sur security_result.description
• sourceAgent mappé sur network.http.user_agent
• Gravité mappée sur security_result.severity
• resourceKind mappé sur target.resource.type
• detectionName mappé sur target.resource.name
• clusterName mappé sur target.resource.attribute.labels
• clusterId mappé sur target.resource.attribute.labels
• detectionId mappé sur target.resource.attribute.labels
• Type mappé sur additional.fields
• Correction de additional.fields
• Benchmarks pour additional.fields
• badResources à additional.fields

2022-04-27

Correction de bug:

• Modification du type d'événement udm de GENERIC_EVENT en USER_LOGIN pour les journaux avec ExternalApiType = Event_AuthActivityAuditEvent.
• Modification des mappages pour target_user,actor_user et actor_user_uuid, de additional.fields à target.user.email_addresses, target.user.user_display_name et target.user.userid, respectivement.

2022-04-25

Amélioration :

• RemoteAddressIP4 mappé sur principal.ip.

2022-04-14

Correction de bug:

• Ajout de la prise en charge du champ ScriptContent pour tous les types de journaux

2022-04-13

Amélioration :

• Ajout de mises en correspondance pour les nouveaux champs
• Ajout de nouvelles mises en correspondance d'événements : AuthenticationPackage mappé sur target.resource.name

2022-04-04

Correction de bug:

• Mappage de OriginatingURL sur principal.url pour les événements NetworkConnect.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.