Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log CrowdStrike Falcon dalam CEF

Didukung di:

Google secops SIEM

Dokumen ini menjelaskan cara mengumpulkan log CrowdStrike Falcon dalam format CEF menggunakan BindPlane. Parser mengekstrak pasangan nilai kunci dan memetakannya ke Model Data Terpadu (UDM), menangani berbagai pembatas, dan memperkaya data dengan konteks tambahan seperti tingkat keparahan dan jenis peristiwa. Proses ini juga melakukan transformasi tertentu untuk jenis dan kolom peristiwa tertentu, seperti login pengguna dan hasil keamanan.

Sebelum memulai

Pastikan Anda memiliki instance Google Security Operations.
Pastikan Anda menggunakan Windows 2016 atau yang lebih baru, atau host Linux dengan systemd.
Jika berjalan di belakang proxy, pastikan port firewall terbuka.
Pastikan Anda memiliki akses istimewa ke konsol CrowdStrike Falcon.
Dapatkan kredensial API untuk Falcon Stream (Client ID dan Client Secret).

Mendapatkan file autentikasi penyerapan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Agen Pengumpulan.
Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Profil.
Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen Bindplane

Penginstalan Windows

Buka Command Prompt atau PowerShell sebagai administrator.

Jalankan perintah berikut:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Penginstalan Linux

Buka terminal dengan hak istimewa root atau sudo.

Jalankan perintah berikut:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Referensi penginstalan tambahan

Untuk opsi penginstalan tambahan, lihat panduan penginstalan ini.

Mengonfigurasi agen BindPlane untuk menyerap Syslog dan mengirimkannya ke Google SecOps

Akses file konfigurasi:
1. Cari file config.yaml. Biasanya, file ini berada di direktori /etc/bindplane-agent/ di Linux atau di direktori penginstalan di Windows.
2. Buka file menggunakan editor teks (misalnya, nano, vi, atau Notepad).

Edit file config.yaml sebagai berikut:

receivers:
    tcplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:54525"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: SYSLOG
            namespace: cs_falcon
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.
Ganti <customer_id> dengan ID pelanggan yang sebenarnya.
Perbarui /path/to/ingestion-authentication-file.json ke jalur tempat file autentikasi disimpan di bagian Dapatkan file autentikasi penyerapan Google SecOps.

Mulai ulang agen Bindplane untuk menerapkan perubahan

Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:
```
sudo systemctl restart bindplane-agent
```
Untuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Mengonfigurasi dan mendapatkan Kunci API CrowdStrike

Login ke CrowdStrike Falcon dengan akun istimewa.
Buka Menu > Dukungan.
Klik API Clients > KeysSelect.
Klik Tambahkan klien API baru.
Di bagian Cakupan API, pilih Streaming peristiwa dan Pemberitahuan > aktifkan opsi Baca.
Klik Tambahkan.
Salin dan simpan Client ID, Secret, dan Base URL.

Menginstal Falcon SIEM Connector

Download paket penginstal RPM untuk sistem operasi Anda.

Penginstalan paket:

Sistem operasi CentOS:
```
sudo rpm -Uvh <installer package>
```
Sistem operasi Ubuntu:
```
sudo dpkg -i <installer package>
```

Direktori penginstalan default:
- Konektor Falcon SIEM - /opt/crowdstrike/.
- Layanan - /etc/init.d/cs.falconhoseclientd/.

Mengonfigurasi Konektor SIEM untuk meneruskan log CEF ke BindPlane

Login ke komputer dengan SIEM Connector yang terinstal sebagai pengguna sudo.
Buka direktori /opt/crowdstrike/etc/.
Ganti nama cs.falconhoseclient.cef.cfg menjadi cs.falconhoseclient.cfg.
- Konektor SIEM menggunakan konfigurasi cs.falconhoseclient.cfg secara default.
Edit file cs.falconhoseclient.cfg dan ubah/tetapkan parameter berikut:
- api_url: - URL Dasar CrowdStrike Falcon yang disalin dari langkah sebelumnya.
- app_id: - string apa pun sebagai ID untuk terhubung ke Falcon Streaming API (Misalnya, setel ke app_id: SECOPS-CEF).
- client_id: - nilai client_id yang disalin dari langkah sebelumnya.
- client_secret: - nilai client_secret yang disalin dari langkah sebelumnya.
- send_to_syslog_server: true - mengaktifkan push ke server Syslog.
- host: - IP atau nama host agen BindPlane.
- port: - port agen Bindplane.
Simpan file cs.falconhoseclient.cfg.

Mulai layanan SIEM Connector:

Sistem operasi CentOS

sudo service cs.falconhoseclientd start

Sistem operasi Ubuntu 16.04 atau yang lebih baru

sudo systemctl start cs.falconhoseclientd.service

Opsional: Hentikan layanan SIEM Connector:
- Sistem operasi CentOS
```
sudo service cs.falconhoseclientd stop
```
- Sistem operasi Ubuntu 16.04 atau yang lebih baru
```
sudo systemctl stop cs.falconhoseclientd.service
```
Opsional: Mulai ulang layanan SIEM Connector:
- Sistem operasi CentOS
```
sudo service cs.falconhoseclientd restart
```
- Sistem operasi Ubuntu 16.04 atau yang lebih baru
```
sudo systemctl restart cs.falconhoseclientd.service
```

Tabel Pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
`AccountCreationTimeStamp`	`event.idm.read_only_udm.metadata.event_timestamp`	Kolom log mentah `AccountCreationTimeStamp` diganti namanya menjadi `event.idm.read_only_udm.metadata.event_timestamp`.
`AccountDomain`	`event.idm.read_only_udm.principal.administrative_domain`	Kolom log mentah `AccountDomain` diganti namanya menjadi `event.idm.read_only_udm.principal.administrative_domain`.
`AccountObjectGuid`	`event.idm.read_only_udm.metadata.product_log_id`	Kolom log mentah `AccountObjectGuid` diganti namanya menjadi `event.idm.read_only_udm.metadata.product_log_id`.
`AccountObjectSid`	`event.idm.read_only_udm.principal.user.windows_sid`	Kolom log mentah `AccountObjectSid` diganti namanya menjadi `event.idm.read_only_udm.principal.user.windows_sid`.
`AccessType`	-	Tidak dipetakan ke objek IDM.
`action_taken`	`event.idm.read_only_udm.additional.fields[0].value.string_value`	Bagian dari array `AuditKeyValues`.
`ActiveCpuCount`	-	Tidak dipetakan ke objek IDM.
`ActiveDirectoryAuthenticationMethod`	-	Tidak dipetakan ke objek IDM.
`ActiveDirectoryDataProtocol`	-	Tidak dipetakan ke objek IDM.
`AddressFamily`	-	Tidak dipetakan ke objek IDM.
`AdminStatus`	-	Tidak dipetakan ke objek IDM.
`AllocateVirtualMemoryCount`	`security_result.detection_fields[0].value`	Bagian dari peristiwa `EndOfProcess`.
`agent-windows`	`event.idm.read_only_udm.target.file.full_path`	Bagian dari TargetFileName.
`AgentIdString`	`event.idm.read_only_udm.principal.asset_id`	Diawali dengan `CS:`.
`AgentLoadFlags`	-	Tidak dipetakan ke objek IDM.
`AgentLocalTime`	-	Tidak dipetakan ke objek IDM.
`AgentOnline` `AgentTimeOffset`	-	Tidak dipetakan ke objek IDM.
`AgentVersion` `AggregationActivityCount` `AggregationEarliestTimestamp`	-	Tidak dipetakan ke objek IDM.
`aid`	`event.idm.read_only_udm.principal.asset_id`	Diawali dengan `CS:`.
`aip`	`event.idm.read_only_udm.principal.nat_ip`	Jika `_aid_is_target` salah, dan jika `aip` tidak null, buat entity ip dengan nilai `aip` dan tambahkan ke `event.idm.read_only_udm.principal.nat_ip`.
`aipCount` `AllocVmEtw` `AllocationType`	-	Tidak dipetakan ke objek IDM.
`AllowHardTerminate`	-	Tidak dipetakan ke objek IDM.
`AllowStartOnDemand`	-	Tidak dipetakan ke objek IDM.
`ApcArgument1`	-	Tidak dipetakan ke objek IDM.
`ApcArgument2`	-	Tidak dipetakan ke objek IDM.
`ApcContextAddress`	-	Tidak dipetakan ke objek IDM.
`ApcContextFileName`	-	Tidak dipetakan ke objek IDM.
`ApcContext`	-	Tidak dipetakan ke objek IDM.
`ApplicationName` `ApplicationUniqueIdentifier`	-	Tidak dipetakan ke objek IDM.
`ApplicationVersion`	-	Tidak dipetakan ke objek IDM.
`AppIs64Bit`	-	Tidak dipetakan ke objek IDM.
`AppName` `AppPath` `AppPathFlag`	-	Tidak dipetakan ke objek IDM.
`AppProductId`	-	Tidak dipetakan ke objek IDM.
`AppType`	-	Tidak dipetakan ke objek IDM.
`AppUpdateIds`	-	Tidak dipetakan ke objek IDM.
`AppVendor`	-	Tidak dipetakan ke objek IDM.
`AppVersion` `ArchiveFileWrittenCount`	`security_result.detection_fields[0].value`	Bagian dari peristiwa `EndOfProcess`.
`AsepClass`	-	Tidak dipetakan ke objek IDM.
`AsepFileChange` `AsepFlags`	-	Tidak dipetakan ke objek IDM.
`AsepIndex`	-	Tidak dipetakan ke objek IDM.
`AsepKeyUpdate` `AsepValueUpdate` `AsepValueType`	-	Tidak dipetakan ke objek IDM.
`AsepWrittenCount`	`security_result.detection_fields[0].value`	Bagian dari peristiwa `EndOfProcess`.
`AssociateIndicator` `AssociateTreeIdWithRoot` `AssemblyFlags`	-	Tidak dipetakan ke objek IDM.
`AssemblyId`	-	Tidak dipetakan ke objek IDM.
`AssemblyName` `AuthenticationId`	`event.idm.read_only_udm.principal.user.product_object_id`	Diawali dengan `CS:`.
`AuthenticationPackage` `AuthenticationUuid`	-	Tidak dipetakan ke objek IDM.
`AuthenticationUuidAsString`	-	Tidak dipetakan ke objek IDM.
`AuthenticodeHashData` `AuthenticodeMatch` `automated_remediation`	`assessments.automated_remediation`	Bagian dari peristiwa `ZeroTrustHostAssessment`.
`BaseReachableTime`	-	Tidak dipetakan ke objek IDM.
`BaseTime`	-	Tidak dipetakan ke objek IDM.
`BatchDataNumber`	-	Tidak dipetakan ke objek IDM.
`BatchDataTotal`	-	Tidak dipetakan ke objek IDM.
`BatchTimestamp` `BatteryLevel`	-	Tidak dipetakan ke objek IDM.
`BatteryStatus`	-	Tidak dipetakan ke objek IDM.
`BehaviorWhitelisted` `benchmarks` `BenignCount`	-	Tidak dipetakan ke objek IDM.
`beta_build_disabled`	`assessments.beta_build_disabled`	Bagian dari peristiwa `ZeroTrustHostAssessment`.
`BinaryExecutableWrittenCount`	`security_result.detection_fields[0].value`	Bagian dari peristiwa `EndOfProcess`.
`BillingInfo` `BillingType`	-	Tidak dipetakan ke objek IDM.
`BiosManufacturer` `BiosReleaseDate`	-	Tidak dipetakan ke objek IDM.
`BiosVersion` `BITSJobCreated` `BootArgs`	-	Tidak dipetakan ke objek IDM.
`BootId`	-	Tidak dipetakan ke objek IDM.
`BootStatusDataAabEnabled`	-	Tidak dipetakan ke objek IDM.
`BootStatusDataBootAttemptCount`	-	Tidak dipetakan ke objek IDM.
`BootStatusDataBootGood`	-	Tidak dipetakan ke objek IDM.
`BootStatusDataBootShutdown`	-	Tidak dipetakan ke objek IDM.
`BootTimeFunctionalityLevel`	-	Tidak dipetakan ke objek IDM.
`BrowserInjectedThread` `BundleID`	-	Tidak dipetakan ke objek IDM.
`CallStackModuleNames` `CallStackModuleNamesVersion` `ChannelId`	-	Tidak dipetakan ke objek IDM.
`ChannelVersion`	-	Tidak dipetakan ke objek IDM.
`ChannelVersionRequired` `ChasisManufacturer`	-	Tidak dipetakan ke objek IDM.
`ChassisType` `cid` `City` `CLICreationCount`	`security_result.detection_fields[0].value`	Bagian dari peristiwa `EndOfProcess`.
`ClassifiedModuleLoad` `CloudAssociateTreeIdWithRoot` `CloudErrorCode`	-	Tidak dipetakan ke objek IDM.
`CNAMERecords` `CodeIntegrity`	-	Tidak dipetakan ke objek IDM.
`CommandLine` `CommandSequence`	-	Tidak dipetakan ke objek IDM.
`CompletionEventId`	-	Tidak dipetakan ke objek IDM.
`ComputerName`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Jika `ComputerName` bukan null, string kosong, atau tanda hubung, buat entity nama host dengan nilai `ComputerName` dan tambahkan ke `event.idm.read_only_udm.principal.hostname` dan `event.idm.read_only_udm.principal.asset.hostname`.
`ConfigBuild` `ConfigIDBase`	-	Tidak dipetakan ke objek IDM.
`ConfigIDBuild`	-	Tidak dipetakan ke objek IDM.
`ConfigIDPlatform`	-	Tidak dipetakan ke objek IDM.
`ConfigurationVersion`	-	Tidak dipetakan ke objek IDM.
`ConfigStateData`	-	Tidak dipetakan ke objek IDM.
`ConfigStateHash` `ConfigStateUpdate` `ConnectTime`	-	Tidak dipetakan ke objek IDM.
`ConnectType`	-	Tidak dipetakan ke objek IDM.
`Connected`	-	Tidak dipetakan ke objek IDM.
`ConnectionCipher`	-	Tidak dipetakan ke objek IDM.
`ConnectionCipherStrength`	-	Tidak dipetakan ke objek IDM.
`ConnectionDirection`	-	Tidak dipetakan ke objek IDM.
`ConnectionExchange`	-	Tidak dipetakan ke objek IDM.
`ConnectionExchangeStrength`	-	Tidak dipetakan ke objek IDM.
`ConnectionFlags`	-	Tidak dipetakan ke objek IDM.
`ConnectionHash`	-	Tidak dipetakan ke objek IDM.
`ConnectionHashStrength`	-	Tidak dipetakan ke objek IDM.
`ConnectionProtocol`	-	Tidak dipetakan ke objek IDM.
`ConnectionType`	-	Tidak dipetakan ke objek IDM.
`Continent` `ContentSHA256HashData` `ContextData`	-	Tidak dipetakan ke objek IDM.
`ContextProcessId`	`event.idm.read_only_udm.principal.process.product_specific_process_id`, `event.idm.read_only_udm.target.process.product_specific_process_id`	Diawali dengan `CS:%{cid}:%{aid}:`.
`ContextThreadId`	-	Tidak dipetakan ke objek IDM.
`ContextTimeStamp` `ContextTimeStamp_decimal` `Country` `CrashDumpFilePath`	-	Tidak dipetakan ke objek IDM.
`CrashNotification` `CreateProcessArgs` `CreateProcessCount`	`security_result.detection_fields[0].value`	Bagian dari peristiwa `EndOfProcess`.
`CreateService` `CreateThreadNoStartImage` `CreationTimeStamp`	-	Tidak dipetakan ke objek IDM.
`CriticalFileAccessed` `CriticalFileModified` `CsaProcessDataCollectionInstanceId`	-	Tidak dipetakan ke objek IDM.
`CurrentFunctionalityLevel`	-	Tidak dipetakan ke objek IDM.
`CurrentLocalIP`	-	Tidak dipetakan ke objek IDM.
`CurrentSystemTags` `CustomerIdString` `CycleTime`	-	Tidak dipetakan ke objek IDM.
`DadState`	-	Tidak dipetakan ke objek IDM.
`DadTransmits`	-	Tidak dipetakan ke objek IDM.
`DcName`	`event.idm.read_only_udm.principal.user.userid`	Kolom log mentah `DcName` diganti namanya menjadi `event.idm.read_only_udm.principal.user.userid`.
`DcNumAttachments`	-	Tidak dipetakan ke objek IDM.
`DcNumBlockingPolicies`	-	Tidak dipetakan ke objek IDM.
`DcOnline` `DcPropertyIdInterfaceType`	-	Tidak dipetakan ke objek IDM.
`DcPropertyIdInterfaceVersion`	-	Tidak dipetakan ke objek IDM.
`DcSensorInterfaceType`	-	Tidak dipetakan ke objek IDM.
`DcSensorInterfaceVersion`	-	Tidak dipetakan ke objek IDM.
`DcStatus` `DcUsbConfigurationDescriptor` `DcUsbDeviceConnected` `DcUsbDeviceDisconnected` `DcUsbEndpointDescriptor` `DcUsbHIDDescriptor` `DcUsbInterfaceDescriptor` `DCSyncAttempted` `Debug`	-	Tidak dipetakan ke objek IDM.
`DefaultGatewayIP4`	-	Tidak dipetakan ke objek IDM.
`DefaultGatewayIP6`	-	Tidak dipetakan ke objek IDM.
`DefaultGatewayPhysicalAddress`	-	Tidak dipetakan ke objek IDM.
`DeepHashBlacklistClassification` `DeepHashBlacklistVersion`	-	Tidak dipetakan ke objek IDM.
`DeliverLocalFXToCloud` `DesiredAccess` `detectionId` `detectionName` `DetectDescription` `DetectId`	-	Tidak dipetakan ke objek IDM.
`DetectName` `DeviceActiveConfigurationNumber`	-	Tidak dipetakan ke objek IDM.
`DeviceConnectionStatus`	-	Tidak dipetakan ke objek IDM.
`DeviceDescriptorNumber`	-	Tidak dipetakan ke objek IDM.
`DeviceDescriptorSetHash`	-	Tidak dipetakan ke objek IDM.
`DeviceDescriptorUniqueIdentifier`	-	Tidak dipetakan ke objek IDM.
`DeviceId`	-	Tidak dipetakan ke objek IDM.
`DeviceInstanceId`	`event.idm.read_only_udm.target.asset_id`	Diawali dengan `Device Instance Id:`.
`DeviceManufacturer` `DeviceProduct` `DeviceProductId`	-	Tidak dipetakan ke objek IDM.
`DevicePropertyClassName`	-	Tidak dipetakan ke objek IDM.
`DevicePropertyClassGuid`	-	Tidak dipetakan ke objek IDM.
`DevicePropertyDeviceDescription` `DevicePropertyFriendlyName`	-	Tidak dipetakan ke objek IDM.
`DevicePropertyLocationInformation` `DevicePropertyManufacturer`	-	Tidak dipetakan ke objek IDM.
`DeviceProtocol`	-	Tidak dipetakan ke objek IDM.
`DeviceSerialNumber` `DeviceTimeStamp` `DeviceType`	-	Tidak dipetakan ke objek IDM.
`DeviceUsbClass`	-	Tidak dipetakan ke objek IDM.
`DeviceUsbSubclass`	-	Tidak dipetakan ke objek IDM.
`DeviceUsbVersion`	-	Tidak dipetakan ke objek IDM.
`DeviceVendorId`	-	Tidak dipetakan ke objek IDM.
`DeviceVersion`	-	Tidak dipetakan ke objek IDM.
`DirectoryCreate` `DirectoryCreatedCount`	`security_result.detection_fields[0].value`	Bagian dari peristiwa `EndOfProcess`.
`DirectoryEnumeratedCount`	`security_result.detection_fields[0].value`	Bagian dari peristiwa `EndOfProcess`.
`DisableRealtimeMonitoring` `DisallowStartIfOnBatteries`	-	Tidak dipetakan ke objek IDM.
`DisallowStartOnRemoteAppSession`	-	Tidak dipetakan ke objek IDM.
`DiskParentDeviceInstanceId` `DllCharacteristics`	-	Tidak dipetakan ke objek IDM.
`DllInjection` `DlpPolicy`	-	Tidak dipetakan ke objek IDM.
`DlpVerdict`	-	Tidak dipetakan ke objek IDM.
`DmpFileWritten` `DnsRequest` `DnsRequestCount`	`security_result.detection_fields[0].value`	Bagian dari peristiwa `EndOfProcess`.
`DnsResponseType`	-	Tidak dipetakan ke objek IDM.
`DnsResponseTtl`	-	Tidak dipetakan ke objek IDM.
`DocumentFileWrittenCount`	`security_result.detection_fields[0].value`	Bagian dari peristiwa `EndOfProcess`.
`DomainName`	`event.idm.read_only_udm.target.hostname`, `event.idm.read_only_udm.target.asset.hostname`, `event.idm.read_only_udm.network.dns.questions[0].name`	Jika `DomainName` tidak null, buat entity nama host dengan nilai `DomainName` dan tambahkan ke `event.idm.read_only_udm.target.hostname`, `event.idm.read_only_udm.target.asset.hostname`, dan `event.idm.read_only_udm.network.dns.questions[0].name`.
`DotnetModuleFlags`	-	Tidak dipetakan ke objek IDM.
`DotnetModuleId`	-	Tidak dipetakan ke objek IDM.
`DotnetModuleLoadDetectInfo` `DownloadPath`	-	Tidak dipetakan ke objek IDM.
`DownloadPort`	-	Tidak dipetakan ke objek IDM.
`DownloadServer` `DriverLoad` `DualRequest`	-	Tidak dipetakan ke objek IDM.
`EffectiveTransmissionClass` `Effective`	-	Tidak dipetakan ke objek IDM.
`EfiSupported`	-	Tidak dipetakan ke objek IDM.
`EfiVariableCustomMode`	-	Tidak dipetakan ke objek IDM.
`EfiVariableCustomModeAttributes`	-	Tidak dipetakan ke objek IDM.
`EfiVariableDbAttributes`	-	Tidak dipetakan ke objek IDM.
`EfiVariableDbxAttributes`	-	Tidak dipetakan ke objek IDM.
`EfiVariableDbxSha256Hash`	-	Tidak dipetakan ke objek IDM.
`EfiVariableKekAttributes`	-	Tidak dipetakan ke objek IDM.
`EfiVariableKekSha256Hash`	-	Tidak dipetakan ke objek IDM.
`EfiVariablePkAttributes`	-	Tidak dipetakan ke objek IDM.
`EfiVariablePkSha256Hash`	-	Tidak dipetakan ke objek IDM.
`EfiVariableSecureBoot`	-	Tidak dipetakan ke objek IDM.
`EfiVariableSecureBootAttributes`	-	Tidak dipetakan ke objek IDM.
`EfiVariableSetupMode`	-	Tidak dipetakan ke objek IDM.
`EfiVariableSetupModeAttributes`	-	Tidak dipetakan ke objek IDM.
`EfiVariableSignatureSupport`	-	Tidak dipetakan ke objek IDM.
`EfiVariableSignatureSupportAttributes`	-	Tidak dipetakan ke objek IDM.
`EndpointDescriptorAddress`	-	Tidak dipetakan ke objek IDM.
`EndpointDescriptorAttributes`	-	Tidak dipetakan ke objek IDM.
`EndpointDescriptorInterval`	-	Tidak dipetakan ke objek IDM.
`EndpointDescriptorMaxPacketSize`	-	Tidak dipetakan ke objek IDM.
`EndOfProcess` `Entitlements` `ErrorEvent` `ErrorCode`	-	Tidak dipetakan ke objek IDM.
`ErrorLocation`	-	Tidak dipetakan ke objek IDM.
`ErrorReason`	-	Tidak dipetakan ke objek IDM.
`ErrorSource`	-	Tidak dipetakan ke objek IDM.
`ErrorStatus`	-	Tidak dipetakan ke objek IDM.
`ErrorText`	-	Tidak dipetakan ke objek IDM.
`EventLogCleared` `EventMax`	-	Tidak dipetakan ke objek IDM.
`EventMin`	-	Tidak dipetakan ke objek IDM.
`EventOrigin`	-	Tidak dipetakan ke objek IDM.
`EventType`	`event.idm.read_only_udm.metadata.product_event_type`	Jika `event_simpleName` adalah null dan `EventType` bukan null, buat entity product_event_type dengan nilai `EventType` dan tambahkan ke `event.idm.read_only_udm.metadata.product_event_type`.
`EtwErrorEvent` `EtwRawProcessId`	-	Tidak dipetakan ke objek IDM.
`EtwRawThreadId`	-	Tidak dipetakan ke objek IDM.
`ExecutableDeleted` `ExecutableDeletedCount`	`security_result.detection_fields[0].value`	Bagian dari peristiwa `EndOfProcess`.
`ExeAndServiceCount`	`security_result.detection_fields[0].value`	Bagian dari peristiwa `EndOfProcess`.
`ExitCode`	-	Tidak dipetakan ke objek IDM.
`Exploit` `ExternalApiType`	`event.idm.read_only_udm.metadata.product_event_type`, `event.idm.read_only_udm.extensions.auth.auth_details`	Jika `message` berisi `event1`, `ExternalApiType` diganti namanya menjadi `event.idm.read_only_udm.metadata.product_event_type`. Jika tidak, namanya akan diubah menjadi `event.idm.read_only_udm.extensions.auth.auth_details`.
`Facility`	-	Tidak dipetakan ke objek IDM.
`FailedConnectCount`	-	Tidak dipetakan ke objek IDM.
`FalconHostLink` `FalconServiceComponent`	-	Tidak dipetakan ke objek IDM.
`FalconServiceServletErrors`	-	Tidak dipetakan ke objek IDM.
`FalconServiceServletStarts`	-	Tidak dipetakan ke objek IDM.
`FalconServiceState`	-	Tidak dipetakan ke objek IDM.
`FalconServiceStatus` `FeatureExtractionVersion`	-	Tidak dipetakan ke objek IDM.
`FeatureVector`	-	Tidak dipetakan ke objek IDM.
`File`	-	Tidak dipetakan ke objek IDM.
`FileAttributes`	-	Tidak dipetakan ke objek IDM.
`FileCreateInfo` `FileDeletedCount`	`security_result.detection_fields[0].value`	Bagian dari peristiwa `EndOfProcess`.
`FileDeleteInfo` `FileEcpBitmask`	-	Tidak dipetakan ke objek IDM.
`FileEventType`	-	Tidak dipetakan ke objek IDM.
`FileIdentifier` `FileObject`	-	Tidak dipetakan ke objek IDM.
`FileName` `FileOpenInfo` `FileRenameInfo` `FileSigningTime`	-	Tidak dipetakan ke objek IDM.
`FirewallAction`	-	Tidak dipetakan ke objek IDM.
`FirewallChangeOption` `FirewallDeleteRule` `FirewallDeleteRuleIP4` `FirewallDeleteRuleIP6` `FirewallEnabled` `FirewallOption` `FirewallOptionNumericValue`	-	Tidak dipetakan ke objek IDM.
`FirewallProfile`	-	Tidak dipetakan ke objek IDM.
`FirewallRule` `FirewallRuleId` `FirewallSetRule` `FirewallSetRuleIP4` `FirewallSetRuleIP6` `FirmwareAnalysisErrorEvent` `FirmwareAnalysisErrorLocation`	-	Tidak dipetakan ke objek IDM.
`FirmwareAnalysisErrorReason`	-	Tidak dipetakan ke objek IDM.
`FirmwareAnalysisErrorSource`	-	Tidak dipetakan ke objek IDM.
`FirmwareAnalysisHardwareData` `FirmwareAnalysisStatus` `FirmwareAnalysisCpuSupported`	-	Tidak dipetakan ke objek IDM.
`FirmwareAnalysisEclControlInterfaceVersion`	-	Tidak dipetakan ke objek IDM.
`FirmwareAnalysisEclConsumerInterfaceVersion`	-	Tidak dipetakan ke objek IDM.
`FirmwareImageAnalyzed` `FirmwareRegionMeasured` `FirmwareSize`	-	Tidak dipetakan ke objek IDM.
`FirmwareType`	-	Tidak dipetakan ke objek IDM.
`FirstDiscoveredDate`	-	Tidak dipetakan ke objek IDM.
`FirstIP4Record` `Flags`	-	Tidak dipetakan ke objek IDM.
`FltCallbackData`	-	Tidak dipetakan ke objek IDM.
`FltCompletionContext`	-	Tidak dipetakan ke objek IDM.
`FltRelatedObjects`	-	Tidak dipetakan ke objek IDM.
`FontBuffer`	-	Tidak dipetakan ke objek IDM.
`FontBufferLength`	-	Tidak dipetakan ke objek IDM.
`FontFileCount`	-	Tidak dipetakan ke objek IDM.
`FontFileName` `FontLoadOperation`	-	Tidak dipetakan ke objek IDM.
`FsOperationBlocked`	`event1.PatternDispositionFlags.FsOperationBlocked`	Bagian dari `Event_DetectionSummaryEvent`.
`FsPostOpenSnapshotFile` `FsVolumeMounted` `FsVolumeUnmounted` `FullContext`	-	Tidak dipetakan ke objek IDM.
`FullExceptionRecord`	-	Tidak dipetakan ke objek IDM.
`GcpCreationTimestamp` `GenericFileWrittenCount`	`security_result.detection_fields[0].value`	Bagian dari peristiwa `EndOfProcess`.
`GID`	-	Tidak dipetakan ke objek IDM.
`GrandparentCommandLine` `GrandparentImageFileName` `GrandParentBaseFileName` `GroupIdentity` `GroupRid` `GzipFileWritten` `HandleCreated`	-	Tidak dipetakan ke objek IDM.
`HIDDescriptorCountryCode`	-	Tidak dipetakan ke objek IDM.
`HIDDescriptorNumDescriptors`	-	Tidak dipetakan ke objek IDM.
`HIDDescriptorVersion`	-	Tidak dipetakan ke objek IDM.
`HIPHandlers.dll`	`event.idm.read_only_udm.target.file.full_path`	Bagian dari TargetFileName.
`HostGroups`	-	Tidak dipetakan ke objek IDM.
`HostHiddenStatus` `HostInfo` `HostnameChanged` `hostname` `HostProcessType`	-	Tidak dipetakan ke objek IDM.
`HostUrl` `HttpRequestDetect` `HttpRequestHeader` `HttpUrl` `IcmpCode`	-	Tidak dipetakan ke objek IDM.
`IcmpType`	-	Tidak dipetakan ke objek IDM.
`id` `IdleSettings`	-	Tidak dipetakan ke objek IDM.
`ImageFileName` `ImageSubsystem`	-	Tidak dipetakan ke objek IDM.
`Image`	-	Tidak dipetakan ke objek IDM.
`ImpersonatedUserName` `InBroadcastOctets`	-	Tidak dipetakan ke objek IDM.
`InContext`	-	Tidak dipetakan ke objek IDM.
`InDiscards`	-	Tidak dipetakan ke objek IDM.
`Indicator`	`event1.PatternDispositionFlags.Indicator`	Bagian dari `Event_DetectionSummaryEvent`.
`InddetMask`	`event1.PatternDispositionFlags.InddetMask`	Bagian dari `Event_DetectionSummaryEvent`.
`InErrors`	-	Tidak dipetakan ke objek IDM.
`Information`	-	Tidak dipetakan ke objek IDM.
`InjectedDll` `InjectedThread` `InjectedThreadCount`	`security_result.detection_fields[0].value`	Bagian dari peristiwa `EndOfProcess`.
`InjectedThreadFlag`	-	Tidak dipetakan ke objek IDM.
`InMulticastOctets`	-	Tidak dipetakan ke objek IDM.
`InNUcastPkts`	-	Tidak dipetakan ke objek IDM.
`InOctets`	-	Tidak dipetakan ke objek IDM.
`InstallDate`	-	Tidak dipetakan ke objek IDM.
`InstalledApplication` `InstalledUpdateExtendedStatus`	-	Tidak dipetakan ke objek IDM.
`InstalledUpdateIds`	-	Tidak dipetakan ke objek IDM.
`InstalledUpdates` `InstanceMetadata` `InstanceMetadataProvider`	-	Tidak dipetakan ke objek IDM.
`InstanceMetadataRequest`	-	Tidak dipetakan ke objek IDM.
`InstanceMetadataSignature`	-	Tidak dipetakan ke objek IDM.
`InUcastOctets`	-	Tidak dipetakan ke objek IDM.
`InUcastPkts`	-	Tidak dipetakan ke objek IDM.
`InUnknownProtos`	-	Tidak dipetakan ke objek IDM.
`IntegrityLevel`	-	Tidak dipetakan ke objek IDM.
`InterfaceAlias`	-	Tidak dipetakan ke objek IDM.
`InterfaceDescription`	-	Tidak dipetakan ke objek IDM.
`InterfaceFlags`	-	Tidak dipetakan ke objek IDM.
`InterfaceGuid`	-	Tidak dipetakan ke objek IDM.
`InterfaceIdentifier`	-	Tidak dipetakan ke objek IDM.
`InterfaceIndex`	-	Tidak dipetakan ke objek IDM.
`InterfaceMtu`	-	Tidak dipetakan ke objek IDM.
`InterfaceType`	-	Tidak dipetakan ke objek IDM.
`InterfaceVersion`	-	Tidak dipetakan ke objek IDM.
`InjectedDllCount`	`security_result.detection_fields[0].value`	Bagian dari peristiwa `EndOfProcess`.
`InjectedThreadFlag`	-	Tidak dipetakan ke objek IDM.
`InkDiv.dll`	`event.idm.read_only_udm.target.file.full_path`	Bagian dari `ExecutablesWritten`.
`InkObj.dll`	`event.idm.read_only_udm.target.file.full_path`	Bagian dari `ExecutablesWritten`.
`InMulticastPkts`	-	Tidak dipetakan ke objek IDM.
`InOctets`	-	Tidak dipetakan ke objek IDM.
`InUcastPkts`	-	Tidak dipetakan ke objek IDM.
`IOARuleGroupName` `IOARuleInstanceID`	-	Tidak dipetakan ke objek IDM.
`IOARuleInstanceVersion`	-	Tidak dipetakan ke objek IDM.
`IOARuleName` `IOServiceClass`	-	Tidak dipetakan ke objek IDM.
`IOServiceName`	-	Tidak dipetakan ke objek IDM.
`IOServicePath`	-	Tidak dipetakan ke objek IDM.
`IOServiceProperties`	-	Tidak dipetakan ke objek IDM.
`IOServiceRegister` `IoSessionConnected` `IoSessionLoggedOn` `IpEntryFlags`	-	Tidak dipetakan ke objek IDM.
`IrpFlags`	-	Tidak dipetakan ke objek IDM.
`IsCpuDataCommonOnAllCores`	-	Tidak dipetakan ke objek IDM.
`IsNorthBridgeSupported`	-	Tidak dipetakan ke objek IDM.
`IsOnClearCaseMvfs`	-	Tidak dipetakan ke objek IDM.
`IsOnNetwork` `IsOnRemovableDisk` `IsOn`	-	Tidak dipetakan ke objek IDM.
`IsRemote`	-	Tidak dipetakan ke objek IDM.
`IsSouthBridgeSupported`	-	Tidak dipetakan ke objek IDM.
`IsTransactedFile`	-	Tidak dipetakan ke objek IDM.
`IsUnique`	-	Tidak dipetakan ke objek IDM.
`JavaInjectedThread` `JarFileWritten` `KernelModeLoadImage` `KernelTime`	-	Tidak dipetakan ke objek IDM.
`KextUnload` `K8SCreationTimestamp` `K8SDetectionEvent` `LanguageId`	-	Tidak dipetakan ke objek IDM.
`LastAdded`	-	Tidak dipetakan ke objek IDM.
`LastDiscoveredBy`	-	Tidak dipetakan ke objek IDM.
`LastDisplayed`	-	Tidak dipetakan ke objek IDM.
`LastLoggedOnHost`	-	Tidak dipetakan ke objek IDM.
`LastUpdateInstalledTime`	-	Tidak dipetakan ke objek IDM.
`LateralMovement`	-	Tidak dipetakan ke objek IDM.
`LdapSearchAttributes`	-	Tidak dipetakan ke objek IDM.
`LdapSearchBaseObjectSample`	-	Tidak dipetakan ke objek IDM.
`LdapSearchFilterSample`	-	Tidak dipetakan ke objek IDM.
`LdapSearchFilterShape`	-	Tidak dipetakan ke objek IDM.
`LdapSearchQueryClassification`	-	Tidak dipetakan ke objek IDM.
`LdapSearchQueryToken`	-	Tidak dipetakan ke objek IDM.
`LdapSearchScope`	-	Tidak dipetakan ke objek IDM.
`LdapSearchSizeLimit`	-	Tidak dipetakan ke objek IDM.
`LdapSecurityType`	-	Tidak dipetakan ke objek IDM.
`LightningLatencyInfo` `LightningLatencyState`	-	Tidak dipetakan ke objek IDM.
`Line`	-	Tidak dipetakan ke objek IDM.
`LinkLocalAddressBehavior`	-	Tidak dipetakan ke objek IDM.
`LinkLocalAddressTimeout`	-	Tidak dipetakan ke objek IDM.
`LinkName` `LocalAccount`	-	Tidak dipetakan ke objek IDM.
`LocalAddressIP4` `LocalAddressIP6` `LocalAddressMaskIP4`	-	Tidak dipetakan ke objek IDM.
`LocalAddressMaskIP6`	-	Tidak dipetakan ke objek IDM.
`LocalAdminAccess`	-	Tidak dipetakan ke objek IDM.
`LocalIpAddressIP4` `LocalIpAddressIP6` `LocalIpAddressRemovedIP4` `LocalIpAddressRemovedIP6` `LocalPort` `LocalSession`	-	Tidak dipetakan ke objek IDM.
`localipCount` `LockScreenEnabled`	-	Tidak dipetakan ke objek IDM.
`LockScreenStatus` `LogoffTime` `LogonDomain` `LogonId`	-	Tidak dipetakan ke objek IDM.
`LogonInfo`	`security_result.summary`	Menetapkan `event_type` ke `USER_LOGIN`.
`LogonServer` `LogonTime` `LogonType`	`event.idm.read_only_udm.extensions.auth.mechanism`	Dipetakan ke nilai enum UDM berdasarkan nilai `LogonType`.
`LogoffTime` `LsassHandleFromUnsignedModule` `MAC`	`event.idm.read_only_udm.principal.mac`	Dikonversi menjadi huruf kecil dan titik dua diganti dengan tanda hubung.
`MACAddress`	`event.idm.read_only_udm.principal.mac`	Tanda hubung diganti dengan titik dua.
`MACPrefix`	-	Tidak dipetakan ke objek IDM.
`MachOFileWritten` `MachOSubType`	-	Tidak dipetakan ke objek IDM.
`MachineDn` `MachineDomain` `MajorFunction`	-	Tidak dipetakan ke objek IDM.
`MajorVersion`	-	Tidak dipetakan ke objek IDM.
`Malicious`	-	Tidak dipetakan ke objek IDM.
`ManagedPdbBuildPath` `MappedFromUserMode`	-	Tidak dipetakan ke objek IDM.
`MaxReassemblySize`	-	Tidak dipetakan ke objek IDM.
`MaxRouterAdvertisementInterval`	-	Tidak dipetakan ke objek IDM.
`MaxThreadCount`	-	Tidak dipetakan ke objek IDM.
`MD5HashData`	`event.idm.read_only_udm.target.file.md5`, `event.idm.read_only_udm.target.process.file.md5`	Jika `MD5HashData` adalah hash MD5 yang valid dan bukan semua nol, buat entity hash MD5 dengan nilai `MD5HashData` dan tambahkan ke `event.idm.read_only_udm.target.file.md5` dan `event.idm.read_only_udm.target.process.file.md5`.
`MD5String` `MediaConnectState`	-	Tidak dipetakan ke objek IDM.
`MediaType`	-	Tidak dipetakan ke objek IDM.
`MemoryAvailable`	-	Tidak dipetakan ke objek IDM.
`MemoryRegionProtection`	-	Tidak dipetakan ke objek IDM.
`MemoryRegionStart`	-	Tidak dipetakan ke objek IDM.
`MemoryTotal`	-	Tidak dipetakan ke objek IDM.
`MmioDataSmiEn`	-	Tidak dipetakan ke objek IDM.
`MmioDataTco1Cnt`	-	Tidak dipetakan ke objek IDM.
`MLModelVersion`	-	Tidak dipetakan ke objek IDM.
`MobileDetection` `MobileDetectionId`	-	Tidak dipetakan ke objek IDM.
`MobileOsIntegrityIntact`	-	Tidak dipetakan ke objek IDM.
`MobileOsIntegrityStatus` `MobilePowerStats` `MoboManufacturer`	-	Tidak dipetakan ke objek IDM.
`MoboProductName`	-	Tidak dipetakan ke objek IDM.
`ModelPrediction`	-	Tidak dipetakan ke objek IDM.
`ModuleBaseAddress`	-	Tidak dipetakan ke objek IDM.
`ModuleCharacteristics`	-	Tidak dipetakan ke objek IDM.
`ModuleDetectInfo` `ModuleLoadCount`	-	Tidak dipetakan ke objek IDM.
`ModuleLoadMechanism`	-	Tidak dipetakan ke objek IDM.
`ModuleLoadTelemetryClassification`	-	Tidak dipetakan ke objek IDM.
`ModuleNativePath`	-	Tidak dipetakan ke objek IDM.
`ModuleSize`	-	Tidak dipetakan ke objek IDM.
`ModifyServiceBinary` `MostRecentActivityTimeStamp`	-	Tidak dipetakan ke objek IDM.
`MotwWritten` `mskssrv.sys`	`event.idm.read_only_udm.principal.process.file.full_path`	Bagian dari OriginalFilename.
`MultipleInstancesPolicy`	-	Tidak dipetakan ke objek IDM.
`name` `namespace` `NativePdbBuildPath`	-	Tidak dipetakan ke objek IDM.
`NegateInterface`	-	Tidak dipetakan ke objek IDM.
`NegateLocalAddress`	-	Tidak dipetakan ke objek IDM.
`NegateRemoteAddress`	-	Tidak dipetakan ke objek IDM.
`NeighborList`	-	Tidak dipetakan ke objek IDM.
`NeighborListIP4` `NeighborListIP6` `NeighborName` `NetLuidIndex`	-	Tidak dipetakan ke objek IDM.
`NetShareAdd` `NetShareDelete` `NetShareSecurityModify` `NetworkBindCount`	`security_result.detection_fields[0].value`	Bagian dari peristiwa `EndOfProcess`.
`NetworkCapableAsepWriteCount`	`security_result.detection_fields[0].value`	Bagian dari peristiwa `EndOfProcess`.
`NetworkCloseCount`	`security_result.detection_fields[0].value`	Bagian dari peristiwa `EndOfProcess`.
`NetworkCloseIP4` `NetworkCloseIP6` `NetworkConnectCount`	`security_result.detection_fields[0].value`	Bagian dari peristiwa `EndOfProcess`.
`NetworkConnectCountUdp`	`security_result.detection_fields[0].value`	Bagian dari peristiwa `EndOfProcess`.
`NetworkConnectIP4` `NetworkConnectIP6` `NetworkContainmentState` `NetworkInterfaceGuid`	-	Tidak dipetakan ke objek IDM.
`NetworkListenCount`	`security_result.detection_fields[0].value`	Bagian dari peristiwa `EndOfProcess`.
`NetworkListenIP4` `NetworkListenIP6` `NetworkModuleLoadCount`	`security_result.detection_fields[0].value`	Bagian dari peristiwa `EndOfProcess`.
`NetworkRecvAcceptCount`	`security_result.detection_fields[0].value`	Bagian dari peristiwa `EndOfProcess`.
`NetworkReceiveAcceptIP4` `NetworkReceiveAcceptIP6` `NewExecutableRenamed` `NewExecutableWritten` `NewExecutableWrittenCount`	`security_result.detection_fields[0].value`	Bagian dari peristiwa `EndOfProcess`.
`NewFileIdentifier`	-	Tidak dipetakan ke objek IDM.
`NewScriptWritten` `NlMtu`	-	Tidak dipetakan ke objek IDM.
`NorthBridgeDeviceId`	-	Tidak dipetakan ke objek IDM.
`NorthBridgeVendorId`	-	Tidak dipetakan ke objek IDM.
`NumberOfMeasurements`	-	Tidak dipetakan ke objek IDM.
`OciContainerId`	-	Tidak dipetakan ke objek IDM.
`OciContainerTelemetry` `OciContainersStartedCount`	-	Tidak dipetakan ke objek IDM.
`OciContainersStoppedCount`	-	Tidak dipetakan ke objek IDM.
`OleFileWritten` `OnLinkPrefixLength`	-	Tidak dipetakan ke objek IDM.
`OoxmlFileWritten` `OperStatus`	-	Tidak dipetakan ke objek IDM.
`OperationFlags`	-	Tidak dipetakan ke objek IDM.
`OperationName` `OriginalContentLength`	-	Tidak dipetakan ke objek IDM.
`OriginalEventTimeStamp`	-	Tidak dipetakan ke objek IDM.
`OriginalFilename` `OriginalParentAuthenticationId`	-	Tidak dipetakan ke objek IDM.
`OriginalUserName` `OriginalUserSid` `OsfmDownloadComplete` `OsVersionInfo` `OU` `OutBroadcastOctets`	-	Tidak dipetakan ke objek IDM.
`OutDiscards`	-	Tidak dipetakan ke objek IDM.
`OutErrors`	-	Tidak dipetakan ke objek IDM.
`OutMulticastOctets`	-	Tidak dipetakan ke objek IDM.
`OutNUcastPkts`	-	Tidak dipetakan ke objek IDM.
`OutOctets`	-	Tidak dipetakan ke objek IDM.
`OutUcastOctets`	-	Tidak dipetakan ke objek IDM.
`OutUcastPkts`	-	Tidak dipetakan ke objek IDM.
`PackedExecutableWritten` `Parameter64_1`	-	Tidak dipetakan ke objek IDM.
`Parameter64_2`	-	Tidak dipetakan ke objek IDM.
`Parameter64_3`	-	Tidak dipetakan ke objek IDM.
`ParameterSizedBuffer_1`	-	Tidak dipetakan ke objek IDM.
`Parameter1`	-	Tidak dipetakan ke objek IDM.
`Parameter2`	-	Tidak dipetakan ke objek IDM.
`Parameter3`	-	Tidak dipetakan ke objek IDM.
`ParentAuthenticationId`	-	Tidak dipetakan ke objek IDM.
`ParentBaseFileName` `ParentCommandLine`	`event1.ParentCommandLine`	Bagian dari `Event_DetectionSummaryEvent`.
`ParentHubInstanceId`	-	Tidak dipetakan ke objek IDM.
`ParentHubPort`	-	Tidak dipetakan ke objek IDM.
`ParentImageFileName`	`event.idm.read_only_udm.principal.process.file.full_path`, `event1.ParentImageFileName`	Bagian dari `Event_DetectionSummaryEvent`.
`ParentProcessId`	`event.idm.read_only_udm.principal.process.product_specific_process_id`, `event1.ParentProcessId`	Diawali dengan `CS:%{cid}:%{aid}:`. Bagian dari `Event_DetectionSummaryEvent`.
`PasswordLastSet`	-	Tidak dipetakan ke objek IDM.
`PathMtuDiscoveryTimeout`	-	Tidak dipetakan ke objek IDM.
`PatternDispositionFlags`	-	Tidak dipetakan ke objek IDM.
`PatternDispositionValue` `PatternDisposition

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.