Mengumpulkan log CrowdStrike Falcon di CEF
Didukung di:
Google SecOps
SIEM
Dokumen ini menjelaskan cara mengumpulkan log CrowdStrike Falcon dalam format CEF menggunakan Bindplane. Parser mengekstrak pasangan nilai kunci dan memetakan ke Model Data Terpadu (UDM), menangani pemisah yang berbeda, dan memperkaya data dengan konteks tambahan seperti tingkat keparahan dan jenis peristiwa. Alat ini juga melakukan transformasi tertentu untuk jenis dan kolom peristiwa tertentu, seperti login pengguna dan hasil keamanan.
Sebelum memulai
- Pastikan Anda memiliki instance Google Security Operations.
- Pastikan Anda menggunakan Windows 2016 atau yang lebih baru, atau host Linux dengan
systemd. - Jika berjalan di balik proxy, pastikan port firewall terbuka.
- Pastikan Anda memiliki akses dengan hak istimewa ke konsol CrowdStrike Falcon.
- Dapatkan kredensial API untuk Falcon Stream (Client ID dan Client Secret).
Mendapatkan file autentikasi penyerapan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Agen Pengumpulan.
- Download File Autentikasi Proses Transfer. Simpan file dengan aman di sistem tempat Bindplane akan diinstal.
Mendapatkan ID pelanggan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Profil.
- Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.
Menginstal agen Bindplane
Penginstalan Windows
- Buka Command Prompt atau PowerShell sebagai administrator.
Jalankan perintah berikut:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Penginstalan Linux
- Buka terminal dengan hak istimewa root atau sudo.
Jalankan perintah berikut:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Referensi penginstalan tambahan
- Untuk opsi penginstalan tambahan, lihat panduan penginstalan ini.
Mengonfigurasi agen Bindplane untuk menyerap Syslog dan mengirim ke Google SecOps
Akses file konfigurasi:
- Temukan file
config.yaml. Biasanya, file ini berada di direktori/etc/bindplane-agent/di Linux atau di direktori penginstalan di Windows. - Buka file menggunakan editor teks (misalnya,
nano,vi, atau Notepad).
- Temukan file
Edit file
config.yamlsebagai berikut:receivers: tcplog: # Replace the port and IP address as required listen_address: "0.0.0.0:54525" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: SYSLOG namespace: cs_falcon raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - tcplog exporters: - chronicle/chronicle_w_labelsGanti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.
Ganti
<customer_id>dengan ID pelanggan yang sebenarnya.Perbarui
/path/to/ingestion-authentication-file.jsonke jalur tempat file autentikasi disimpan di bagian Mendapatkan file autentikasi penyerapan Google SecOps.
Mulai ulang agen Bindplane untuk menerapkan perubahan
Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:
sudo systemctl restart bindplane-agentUntuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:
net stop BindPlaneAgent && net start BindPlaneAgent
Mengonfigurasi dan mendapatkan Kunci API CrowdStrike
- Login ke CrowdStrike Falcon dengan akun yang memiliki hak istimewa.
- Buka Menu > Dukungan.
- Klik API Clients > KeysSelect.
- Klik Tambahkan klien API baru.
- Di bagian Cakupan API, pilih Aliran peristiwa dan Notifikasi > aktifkan opsi Baca.
- Klik Tambahkan.
- Salin dan simpan Client ID, Secret, dan Base URL.
Menginstal Konektor Falcon SIEM
- Download paket penginstal RPM untuk sistem operasi Anda.
Penginstalan paket:
Sistem operasi CentOS:
sudo rpm -Uvh <installer package>Sistem operasi Ubuntu:
sudo dpkg -i <installer package>
Direktori penginstalan default:
- Konektor Falcon SIEM -
/opt/crowdstrike/. - Layanan -
/etc/init.d/cs.falconhoseclientd/.
- Konektor Falcon SIEM -
Mengonfigurasi Konektor SIEM untuk meneruskan log CEF ke Bindplane
- Login ke komputer dengan SIEM Connector yang terinstal sebagai pengguna
sudo. - Buka direktori
/opt/crowdstrike/etc/. - Mengganti nama
cs.falconhoseclient.cef.cfgmenjadics.falconhoseclient.cfg.- Konektor SIEM menggunakan konfigurasi
cs.falconhoseclient.cfgsecara default.
- Konektor SIEM menggunakan konfigurasi
- Edit file
cs.falconhoseclient.cfgdan ubah/tetapkan parameter berikut:api_url:- URL Dasar CrowdStrike Falcon Anda yang disalin dari langkah sebelumnya.app_id:- string apa pun sebagai ID untuk terhubung ke Falcon Streaming API (Misalnya, ditetapkan keapp_id: SECOPS-CEF).client_id:- nilaiclient_idyang disalin dari langkah sebelumnya.client_secret:- nilaiclient_secretyang disalin dari langkah sebelumnya.send_to_syslog_server: true- mengaktifkan push ke server Syslog.host:- IP atau nama host agen Bindplane.port:- port agen Bindplane.
- Simpan file
cs.falconhoseclient.cfg. Mulai layanan Konektor SIEM:
Sistem operasi CentOS
sudo service cs.falconhoseclientd startSistem operasi Ubuntu 16.04 atau yang lebih baru
sudo systemctl start cs.falconhoseclientd.service
Opsional: Hentikan layanan Konektor SIEM:
Sistem operasi CentOS
sudo service cs.falconhoseclientd stopSistem operasi Ubuntu 16.04 atau yang lebih baru
sudo systemctl stop cs.falconhoseclientd.service
Opsional: Mulai ulang layanan Konektor SIEM:
Sistem operasi CentOS
sudo service cs.falconhoseclientd restartSistem operasi Ubuntu 16.04 atau yang lebih baru
sudo systemctl restart cs.falconhoseclientd.service
Tabel Pemetaan UDM
| Kolom Log | Pemetaan UDM | Logika |
|---|---|---|
AccountCreationTimeStamp |
event.idm.read_only_udm.metadata.event_timestamp |
Kolom log mentah AccountCreationTimeStamp diganti namanya menjadi event.idm.read_only_udm.metadata.event_timestamp. |
AccountDomain |
event.idm.read_only_udm.principal.administrative_domain |
Kolom log mentah AccountDomain diganti namanya menjadi event.idm.read_only_udm.principal.administrative_domain. |
AccountObjectGuid |
event.idm.read_only_udm.metadata.product_log_id |
Kolom log mentah AccountObjectGuid diganti namanya menjadi event.idm.read_only_udm.metadata.product_log_id. |
AccountObjectSid |
event.idm.read_only_udm.principal.user.windows_sid |
Kolom log mentah AccountObjectSid diganti namanya menjadi event.idm.read_only_udm.principal.user.windows_sid. |
AccessType |
- | Tidak dipetakan ke objek IDM. |
action_taken |
event.idm.read_only_udm.additional.fields[0].value.string_value |
Bagian dari array AuditKeyValues. |
ActiveCpuCount |
- | Tidak dipetakan ke objek IDM. |
ActiveDirectoryAuthenticationMethod |
- | Tidak dipetakan ke objek IDM. |
ActiveDirectoryDataProtocol |
- | Tidak dipetakan ke objek IDM. |
AddressFamily |
- | Tidak dipetakan ke objek IDM. |
AdminStatus |
- | Tidak dipetakan ke objek IDM. |
AllocateVirtualMemoryCount |
security_result.detection_fields[0].value |
Bagian dari peristiwa EndOfProcess. |
agent-windows |
event.idm.read_only_udm.target.file.full_path |
Bagian dari TargetFileName. |
AgentIdString |
event.idm.read_only_udm.principal.asset_id |
Diawali dengan CS:. |
AgentLoadFlags |
- | Tidak dipetakan ke objek IDM. |
AgentLocalTime |
- | Tidak dipetakan ke objek IDM. |
AgentOnline AgentTimeOffset |
- | Tidak dipetakan ke objek IDM. |
AgentVersion AggregationActivityCount AggregationEarliestTimestamp |
- | Tidak dipetakan ke objek IDM. |
aid |
event.idm.read_only_udm.principal.asset_id |
Diawali dengan CS:. |
aip |
event.idm.read_only_udm.principal.nat_ip |
Jika _aid_is_target salah, jika aip bukan null, buat entity ip dengan nilai aip dan tambahkan ke event.idm.read_only_udm.principal.nat_ip. |
aipCount AllocVmEtw AllocationType |
- | Tidak dipetakan ke objek IDM. |
AllowHardTerminate |
- | Tidak dipetakan ke objek IDM. |
AllowStartOnDemand |
- | Tidak dipetakan ke objek IDM. |
ApcArgument1 |
- | Tidak dipetakan ke objek IDM. |
ApcArgument2 |
- | Tidak dipetakan ke objek IDM. |
ApcContextAddress |
- | Tidak dipetakan ke objek IDM. |
ApcContextFileName |
- | Tidak dipetakan ke objek IDM. |
ApcContext |
- | Tidak dipetakan ke objek IDM. |
ApplicationName ApplicationUniqueIdentifier |
- | Tidak dipetakan ke objek IDM. |
ApplicationVersion |
- | Tidak dipetakan ke objek IDM. |
AppIs64Bit |
- | Tidak dipetakan ke objek IDM. |
AppName AppPath AppPathFlag |
- | Tidak dipetakan ke objek IDM. |
AppProductId |
- | Tidak dipetakan ke objek IDM. |
AppType |
- | Tidak dipetakan ke objek IDM. |
AppUpdateIds |
- | Tidak dipetakan ke objek IDM. |
AppVendor |
- | Tidak dipetakan ke objek IDM. |
AppVersion ArchiveFileWrittenCount |
security_result.detection_fields[0].value |
Bagian dari peristiwa EndOfProcess. |
AsepClass |
- | Tidak dipetakan ke objek IDM. |
AsepFileChange AsepFlags |
- | Tidak dipetakan ke objek IDM. |
AsepIndex |
- | Tidak dipetakan ke objek IDM. |
AsepKeyUpdate AsepValueUpdate AsepValueType |
- | Tidak dipetakan ke objek IDM. |
AsepWrittenCount |
security_result.detection_fields[0].value |
Bagian dari peristiwa EndOfProcess. |
AssociateIndicator AssociateTreeIdWithRoot AssemblyFlags |
- | Tidak dipetakan ke objek IDM. |
AssemblyId |
- | Tidak dipetakan ke objek IDM. |
AssemblyName AuthenticationId |
event.idm.read_only_udm.principal.user.product_object_id |
Diawali dengan CS:. |
AuthenticationPackage AuthenticationUuid |
- | Tidak dipetakan ke objek IDM. |
AuthenticationUuidAsString |
- | Tidak dipetakan ke objek IDM. |
AuthenticodeHashData AuthenticodeMatch automated_remediation |
assessments.automated_remediation |
Bagian dari peristiwa ZeroTrustHostAssessment. |
BaseReachableTime |
- | Tidak dipetakan ke objek IDM. |
BaseTime |
- | Tidak dipetakan ke objek IDM. |
BatchDataNumber |
- | Tidak dipetakan ke objek IDM. |
BatchDataTotal |
- | Tidak dipetakan ke objek IDM. |
BatchTimestamp BatteryLevel |
- | Tidak dipetakan ke objek IDM. |
BatteryStatus |
- | Tidak dipetakan ke objek IDM. |
BehaviorWhitelisted benchmarks BenignCount |
- | Tidak dipetakan ke objek IDM. |
beta_build_disabled |
assessments.beta_build_disabled |
Bagian dari peristiwa ZeroTrustHostAssessment. |
BinaryExecutableWrittenCount |
security_result.detection_fields[0].value |
Bagian dari peristiwa EndOfProcess. |
BillingInfo BillingType |
- | Tidak dipetakan ke objek IDM. |
BiosManufacturer BiosReleaseDate |
- | Tidak dipetakan ke objek IDM. |
BiosVersion BITSJobCreated BootArgs |
- | Tidak dipetakan ke objek IDM. |
BootId |
- | Tidak dipetakan ke objek IDM. |
BootStatusDataAabEnabled |
- | Tidak dipetakan ke objek IDM. |
BootStatusDataBootAttemptCount |
- | Tidak dipetakan ke objek IDM. |
BootStatusDataBootGood |
- | Tidak dipetakan ke objek IDM. |
BootStatusDataBootShutdown |
- | Tidak dipetakan ke objek IDM. |
BootTimeFunctionalityLevel |
- | Tidak dipetakan ke objek IDM. |
BrowserInjectedThread BundleID |
- | Tidak dipetakan ke objek IDM. |
CallStackModuleNames CallStackModuleNamesVersion ChannelId |
- | Tidak dipetakan ke objek IDM. |
ChannelVersion |
- | Tidak dipetakan ke objek IDM. |
ChannelVersionRequired ChasisManufacturer |
- | Tidak dipetakan ke objek IDM. |
ChassisType cid City CLICreationCount |
security_result.detection_fields[0].value |
Bagian dari peristiwa EndOfProcess. |
ClassifiedModuleLoad CloudAssociateTreeIdWithRoot CloudErrorCode |
- | Tidak dipetakan ke objek IDM. |
CNAMERecords CodeIntegrity |
- | Tidak dipetakan ke objek IDM. |
CommandLine CommandSequence |
- | Tidak dipetakan ke objek IDM. |
CompletionEventId |
- | Tidak dipetakan ke objek IDM. |
ComputerName |
event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname |
Jika ComputerName bukan null, string kosong, atau tanda hubung, buat entity nama host dengan nilai ComputerName dan tambahkan ke event.idm.read_only_udm.principal.hostname dan event.idm.read_only_udm.principal.asset.hostname. |
ConfigBuild ConfigIDBase |
- | Tidak dipetakan ke objek IDM. |
ConfigIDBuild |
- | Tidak dipetakan ke objek IDM. |
ConfigIDPlatform |
- | Tidak dipetakan ke objek IDM. |
ConfigurationVersion |
- | Tidak dipetakan ke objek IDM. |
ConfigStateData |
- | Tidak dipetakan ke objek IDM. |
ConfigStateHash ConfigStateUpdate ConnectTime |
- | Tidak dipetakan ke objek IDM. |
ConnectType |
- | Tidak dipetakan ke objek IDM. |
Connected |
- | Tidak dipetakan ke objek IDM. |
ConnectionCipher |
- | Tidak dipetakan ke objek IDM. |
ConnectionCipherStrength |
- | Tidak dipetakan ke objek IDM. |
ConnectionDirection |
- | Tidak dipetakan ke objek IDM. |
ConnectionExchange |
- | Tidak dipetakan ke objek IDM. |
ConnectionExchangeStrength |
- | Tidak dipetakan ke objek IDM. |
ConnectionFlags |
- | Tidak dipetakan ke objek IDM. |
ConnectionHash |
- | Tidak dipetakan ke objek IDM. |
ConnectionHashStrength |
- | Tidak dipetakan ke objek IDM. |
ConnectionProtocol |
- | Tidak dipetakan ke objek IDM. |
ConnectionType |
- | Tidak dipetakan ke objek IDM. |
Continent ContentSHA256HashData ContextData |
- | Tidak dipetakan ke objek IDM. |
ContextProcessId |
event.idm.read_only_udm.principal.process.product_specific_process_id, event.idm.read_only_udm.target.process.product_specific_process_id |
Diawali dengan CS:%{cid}:%{aid}:. |
ContextThreadId |
- | Tidak dipetakan ke objek IDM. |
ContextTimeStamp ContextTimeStamp_decimal Country CrashDumpFilePath |
- | Tidak dipetakan ke objek IDM. |
CrashNotification CreateProcessArgs CreateProcessCount |
security_result.detection_fields[0].value |
Bagian dari peristiwa EndOfProcess. |
CreateService CreateThreadNoStartImage CreationTimeStamp |
- | Tidak dipetakan ke objek IDM. |
CriticalFileAccessed CriticalFileModified CsaProcessDataCollectionInstanceId |
- | Tidak dipetakan ke objek IDM. |
CurrentFunctionalityLevel |
- | Tidak dipetakan ke objek IDM. |
CurrentLocalIP |
- | Tidak dipetakan ke objek IDM. |
CurrentSystemTags CustomerIdString CycleTime |
- | Tidak dipetakan ke objek IDM. |
DadState |
- | Tidak dipetakan ke objek IDM. |
DadTransmits |
- | Tidak dipetakan ke objek IDM. |
DcName |
event.idm.read_only_udm.principal.user.userid |
Kolom log mentah DcName diganti namanya menjadi event.idm.read_only_udm.principal.user.userid. |
DcNumAttachments |
- | Tidak dipetakan ke objek IDM. |
DcNumBlockingPolicies |
- | Tidak dipetakan ke objek IDM. |
DcOnline DcPropertyIdInterfaceType |
- | Tidak dipetakan ke objek IDM. |
DcPropertyIdInterfaceVersion |
- | Tidak dipetakan ke objek IDM. |
DcSensorInterfaceType |
- | Tidak dipetakan ke objek IDM. |
DcSensorInterfaceVersion |
- | Tidak dipetakan ke objek IDM. |
DcStatus DcUsbConfigurationDescriptor DcUsbDeviceConnected DcUsbDeviceDisconnected DcUsbEndpointDescriptor DcUsbHIDDescriptor DcUsbInterfaceDescriptor DCSyncAttempted Debug |
- | Tidak dipetakan ke objek IDM. |
DefaultGatewayIP4 |
- | Tidak dipetakan ke objek IDM. |
DefaultGatewayIP6 |
- | Tidak dipetakan ke objek IDM. |
DefaultGatewayPhysicalAddress |
- | Tidak dipetakan ke objek IDM. |
DeepHashBlacklistClassification DeepHashBlacklistVersion |
- | Tidak dipetakan ke objek IDM. |
DeliverLocalFXToCloud DesiredAccess detectionId detectionName DetectDescription DetectId |
- | Tidak dipetakan ke objek IDM. |
DetectName DeviceActiveConfigurationNumber |
- | Tidak dipetakan ke objek IDM. |
DeviceConnectionStatus |
- | Tidak dipetakan ke objek IDM. |
DeviceDescriptorNumber |
- | Tidak dipetakan ke objek IDM. |
DeviceDescriptorSetHash |
- | Tidak dipetakan ke objek IDM. |
DeviceDescriptorUniqueIdentifier |
- | Tidak dipetakan ke objek IDM. |
DeviceId |
- | Tidak dipetakan ke objek IDM. |
DeviceInstanceId |
event.idm.read_only_udm.target.asset_id |
Diawali dengan Device Instance Id:. |
DeviceManufacturer DeviceProduct DeviceProductId |
- | Tidak dipetakan ke objek IDM. |
DevicePropertyClassName |
- | Tidak dipetakan ke objek IDM. |
DevicePropertyClassGuid |
- | Tidak dipetakan ke objek IDM. |
DevicePropertyDeviceDescription DevicePropertyFriendlyName |
- | Tidak dipetakan ke objek IDM. |
DevicePropertyLocationInformation DevicePropertyManufacturer |
- | Tidak dipetakan ke objek IDM. |
DeviceProtocol |
- | Tidak dipetakan ke objek IDM. |
DeviceSerialNumber DeviceTimeStamp DeviceType |
- | Tidak dipetakan ke objek IDM. |
DeviceUsbClass |
- | Tidak dipetakan ke objek IDM. |
DeviceUsbSubclass |
- | Tidak dipetakan ke objek IDM. |
DeviceUsbVersion |
- | Tidak dipetakan ke objek IDM. |
DeviceVendorId |
- | Tidak dipetakan ke objek IDM. |
DeviceVersion |
- | Tidak dipetakan ke objek IDM. |
DirectoryCreate DirectoryCreatedCount |
security_result.detection_fields[0].value |
Bagian dari peristiwa EndOfProcess. |
DirectoryEnumeratedCount |
security_result.detection_fields[0].value |
Bagian dari peristiwa EndOfProcess. |
DisableRealtimeMonitoring DisallowStartIfOnBatteries |
- | Tidak dipetakan ke objek IDM. |
DisallowStartOnRemoteAppSession |
- | Tidak dipetakan ke objek IDM. |
DiskParentDeviceInstanceId DllCharacteristics |
- | Tidak dipetakan ke objek IDM. |
DllInjection DlpPolicy |
- | Tidak dipetakan ke objek IDM. |
DlpVerdict |
- | Tidak dipetakan ke objek IDM. |
DmpFileWritten DnsRequest DnsRequestCount |
security_result.detection_fields[0].value |
Bagian dari peristiwa EndOfProcess. |
DnsResponseType |
- | Tidak dipetakan ke objek IDM. |
DnsResponseTtl |
- | Tidak dipetakan ke objek IDM. |
DocumentFileWrittenCount |
security_result.detection_fields[0].value |
Bagian dari peristiwa EndOfProcess. |
DomainName |
event.idm.read_only_udm.target.hostname, event.idm.read_only_udm.target.asset.hostname, event.idm.read_only_udm.network.dns.questions[0].name |
Jika DomainName bukan null, buat entity nama host dengan nilai DomainName dan tambahkan ke event.idm.read_only_udm.target.hostname, event.idm.read_only_udm.target.asset.hostname, dan event.idm.read_only_udm.network.dns.questions[0].name. |
DotnetModuleFlags |
- | Tidak dipetakan ke objek IDM. |
DotnetModuleId |
- | Tidak dipetakan ke objek IDM. |
DotnetModuleLoadDetectInfo DownloadPath |
- | Tidak dipetakan ke objek IDM. |
DownloadPort |
- | Tidak dipetakan ke objek IDM. |
DownloadServer DriverLoad DualRequest |
- | Tidak dipetakan ke objek IDM. |
EffectiveTransmissionClass Effective |
- | Tidak dipetakan ke objek IDM. |
EfiSupported |
- | Tidak dipetakan ke objek IDM. |
EfiVariableCustomMode |
- | Tidak dipetakan ke objek IDM. |
EfiVariableCustomModeAttributes |
- | Tidak dipetakan ke objek IDM. |
EfiVariableDbAttributes |
- | Tidak dipetakan ke objek IDM. |
EfiVariableDbxAttributes |
- | Tidak dipetakan ke objek IDM. |
EfiVariableDbxSha256Hash |
- | Tidak dipetakan ke objek IDM. |
EfiVariableKekAttributes |
- | Tidak dipetakan ke objek IDM. |
EfiVariableKekSha256Hash |
- | Tidak dipetakan ke objek IDM. |
EfiVariablePkAttributes |
- | Tidak dipetakan ke objek IDM. |
EfiVariablePkSha256Hash |
- | Tidak dipetakan ke objek IDM. |
EfiVariableSecureBoot |
- | Tidak dipetakan ke objek IDM. |
EfiVariableSecureBootAttributes |
- | Tidak dipetakan ke objek IDM. |
EfiVariableSetupMode |
- | Tidak dipetakan ke objek IDM. |
EfiVariableSetupModeAttributes |
- | Tidak dipetakan ke objek IDM. |
EfiVariableSignatureSupport |
- | Tidak dipetakan ke objek IDM. |
EfiVariableSignatureSupportAttributes |
- | Tidak dipetakan ke objek IDM. |
EndpointDescriptorAddress |
- | Tidak dipetakan ke objek IDM. |
EndpointDescriptorAttributes |
- | Tidak dipetakan ke objek IDM. |
EndpointDescriptorInterval |
- | Tidak dipetakan ke objek IDM. |
EndpointDescriptorMaxPacketSize |
- | Tidak dipetakan ke objek IDM. |
EndOfProcess Entitlements ErrorEvent ErrorCode |
- | Tidak dipetakan ke objek IDM. |
ErrorLocation |
- | Tidak dipetakan ke objek IDM. |
ErrorReason |
- | Tidak dipetakan ke objek IDM. |
ErrorSource |
- | Tidak dipetakan ke objek IDM. |
ErrorStatus |
- | Tidak dipetakan ke objek IDM. |
ErrorText |
- | Tidak dipetakan ke objek IDM. |
EventLogCleared EventMax |
- | Tidak dipetakan ke objek IDM. |
EventMin |
- | Tidak dipetakan ke objek IDM. |
EventOrigin |
- | Tidak dipetakan ke objek IDM. |
EventType |
event.idm.read_only_udm.metadata.product_event_type |
Jika event_simpleName null dan EventType bukan null, buat entity product_event_type dengan nilai EventType dan tambahkan ke event.idm.read_only_udm.metadata.product_event_type. |
EtwErrorEvent EtwRawProcessId |
- | Tidak dipetakan ke objek IDM. |
EtwRawThreadId |
- | Tidak dipetakan ke objek IDM. |
ExecutableDeleted ExecutableDeletedCount |
security_result.detection_fields[0].value |
Bagian dari peristiwa EndOfProcess. |
ExeAndServiceCount |
security_result.detection_fields[0].value |
Bagian dari peristiwa EndOfProcess. |
ExitCode |
- | Tidak dipetakan ke objek IDM. |
Exploit ExternalApiType |
event.idm.read_only_udm.metadata.product_event_type, event.idm.read_only_udm.extensions.auth.auth_details |
Jika message berisi event1, ExternalApiType akan diganti namanya menjadi event.idm.read_only_udm.metadata.product_event_type. Jika tidak, nama kolom akan diganti menjadi event.idm.read_only_udm.extensions.auth.auth_details. |
Facility |
- | Tidak dipetakan ke objek IDM. |
FailedConnectCount |
- | Tidak dipetakan ke objek IDM. |
FalconHostLink FalconServiceComponent |
- | Tidak dipetakan ke objek IDM. |
FalconServiceServletErrors |
- | Tidak dipetakan ke objek IDM. |
FalconServiceServletStarts |
- | Tidak dipetakan ke objek IDM. |
FalconServiceState |
- | Tidak dipetakan ke objek IDM. |
FalconServiceStatus FeatureExtractionVersion |
- | Tidak dipetakan ke objek IDM. |
FeatureVector |
- | Tidak dipetakan ke objek IDM. |
File |
- | Tidak dipetakan ke objek IDM. |
FileAttributes |
- | Tidak dipetakan ke objek IDM. |
FileCreateInfo FileDeletedCount |
security_result.detection_fields[0].value |
Bagian dari peristiwa EndOfProcess. |
FileDeleteInfo FileEcpBitmask |
- | Tidak dipetakan ke objek IDM. |
FileEventType |
- | Tidak dipetakan ke objek IDM. |
FileIdentifier FileObject |
- | Tidak dipetakan ke objek IDM. |
FileName FileOpenInfo FileRenameInfo FileSigningTime |
- | Tidak dipetakan ke objek IDM. |
FirewallAction |
- | Tidak dipetakan ke objek IDM. |
FirewallChangeOption FirewallDeleteRule FirewallDeleteRuleIP4 FirewallDeleteRuleIP6 FirewallEnabled FirewallOption FirewallOptionNumericValue |
- | Tidak dipetakan ke objek IDM. |
FirewallProfile |
- | Tidak dipetakan ke objek IDM. |
FirewallRule FirewallRuleId FirewallSetRule FirewallSetRuleIP4 FirewallSetRuleIP6 FirmwareAnalysisErrorEvent FirmwareAnalysisErrorLocation |
- | Tidak dipetakan ke objek IDM. |
FirmwareAnalysisErrorReason |
- | Tidak dipetakan ke objek IDM. |
FirmwareAnalysisErrorSource |
- | Tidak dipetakan ke objek IDM. |
FirmwareAnalysisHardwareData FirmwareAnalysisStatus FirmwareAnalysisCpuSupported |
- | Tidak dipetakan ke objek IDM. |
FirmwareAnalysisEclControlInterfaceVersion |
- | Tidak dipetakan ke objek IDM. |
FirmwareAnalysisEclConsumerInterfaceVersion |
- | Tidak dipetakan ke objek IDM. |
FirmwareImageAnalyzed FirmwareRegionMeasured FirmwareSize |
- | Tidak dipetakan ke objek IDM. |
FirmwareType |
- | Tidak dipetakan ke objek IDM. |
FirstDiscoveredDate |
- | Tidak dipetakan ke objek IDM. |
FirstIP4Record Flags |
- | Tidak dipetakan ke objek IDM. |
FltCallbackData |
- | Tidak dipetakan ke objek IDM. |
FltCompletionContext |
- | Tidak dipetakan ke objek IDM. |
FltRelatedObjects |
- | Tidak dipetakan ke objek IDM. |
FontBuffer |
- | Tidak dipetakan ke objek IDM. |
FontBufferLength |
- | Tidak dipetakan ke objek IDM. |
FontFileCount |
- | Tidak dipetakan ke objek IDM. |
FontFileName FontLoadOperation |
- | Tidak dipetakan ke objek IDM. |
FsOperationBlocked |
event1.PatternDispositionFlags.FsOperationBlocked |
Bagian dari Event_DetectionSummaryEvent. |
FsPostOpenSnapshotFile FsVolumeMounted FsVolumeUnmounted FullContext |
- | Tidak dipetakan ke objek IDM. |
FullExceptionRecord |
- | Tidak dipetakan ke objek IDM. |
GcpCreationTimestamp GenericFileWrittenCount |
security_result.detection_fields[0].value |
Bagian dari peristiwa EndOfProcess. |
GID |
- | Tidak dipetakan ke objek IDM. |
GrandparentCommandLine GrandparentImageFileName GrandParentBaseFileName GroupIdentity GroupRid GzipFileWritten HandleCreated |
- | Tidak dipetakan ke objek IDM. |
HIDDescriptorCountryCode |
- | Tidak dipetakan ke objek IDM. |
HIDDescriptorNumDescriptors |
- | Tidak dipetakan ke objek IDM. |
HIDDescriptorVersion |
- | Tidak dipetakan ke objek IDM. |
HIPHandlers.dll |
event.idm.read_only_udm.target.file.full_path |
Bagian dari TargetFileName. |
HostGroups |
- | Tidak dipetakan ke objek IDM. |
HostHiddenStatus HostInfo HostnameChanged hostname HostProcessType |
- | Tidak dipetakan ke objek IDM. |
HostUrl HttpRequestDetect HttpRequestHeader HttpUrl IcmpCode |
- | Tidak dipetakan ke objek IDM. |
IcmpType |
- | Tidak dipetakan ke objek IDM. |
id IdleSettings |
- | Tidak dipetakan ke objek IDM. |
ImageFileName ImageSubsystem |
- | Tidak dipetakan ke objek IDM. |
Image |
- | Tidak dipetakan ke objek IDM. |
ImpersonatedUserName InBroadcastOctets |
- | Tidak dipetakan ke objek IDM. |
InContext |
- | Tidak dipetakan ke objek IDM. |
InDiscards |
- | Tidak dipetakan ke objek IDM. |
Indicator |
event1.PatternDispositionFlags.Indicator |
Bagian dari Event_DetectionSummaryEvent. |
InddetMask |
event1.PatternDispositionFlags.InddetMask |
Bagian dari Event_DetectionSummaryEvent. |
InErrors |
- | Tidak dipetakan ke objek IDM. |
Information |
- | Tidak dipetakan ke objek IDM. |
InjectedDll InjectedThread InjectedThreadCount |
security_result.detection_fields[0].value |
Bagian dari peristiwa EndOfProcess. |
InjectedThreadFlag |
- | Tidak dipetakan ke objek IDM. |
InMulticastOctets |
- | Tidak dipetakan ke objek IDM. |
InNUcastPkts |
- | Tidak dipetakan ke objek IDM. |
InOctets |
- | Tidak dipetakan ke objek IDM. |
InstallDate |
- | Tidak dipetakan ke objek IDM. |
InstalledApplication InstalledUpdateExtendedStatus |
- | Tidak dipetakan ke objek IDM. |
InstalledUpdateIds |
- | Tidak dipetakan ke objek IDM. |
InstalledUpdates InstanceMetadata InstanceMetadataProvider |
- | Tidak dipetakan ke objek IDM. |
InstanceMetadataRequest |
- | Tidak dipetakan ke objek IDM. |
InstanceMetadataSignature |
- | Tidak dipetakan ke objek IDM. |
InUcastOctets |
- | Tidak dipetakan ke objek IDM. |
InUcastPkts |
- | Tidak dipetakan ke objek IDM. |
InUnknownProtos |
- | Tidak dipetakan ke objek IDM. |
IntegrityLevel |
- | Tidak dipetakan ke objek IDM. |
InterfaceAlias |
- | Tidak dipetakan ke objek IDM. |
InterfaceDescription |
- | Tidak dipetakan ke objek IDM. |
InterfaceFlags |
- | Tidak dipetakan ke objek IDM. |
InterfaceGuid |
- | Tidak dipetakan ke objek IDM. |
InterfaceIdentifier |
- | Tidak dipetakan ke objek IDM. |
InterfaceIndex |
- | Tidak dipetakan ke objek IDM. |
InterfaceMtu |
- | Tidak dipetakan ke objek IDM. |
InterfaceType |
- | Tidak dipetakan ke objek IDM. |
InterfaceVersion |
- | Tidak dipetakan ke objek IDM. |
InjectedDllCount |
security_result.detection_fields[0].value |
Bagian dari peristiwa EndOfProcess. |
InjectedThreadFlag |
- | Tidak dipetakan ke objek IDM. |
InkDiv.dll |
event.idm.read_only_udm.target.file.full_path |
Bagian dari ExecutablesWritten. |
InkObj.dll |
event.idm.read_only_udm.target.file.full_path |
Bagian dari ExecutablesWritten. |
InMulticastPkts |
- | Tidak dipetakan ke objek IDM. |
InOctets |
- | Tidak dipetakan ke objek IDM. |
InUcastPkts |
- | Tidak dipetakan ke objek IDM. |
IOARuleGroupName IOARuleInstanceID |
- | Tidak dipetakan ke objek IDM. |
IOARuleInstanceVersion |
- | Tidak dipetakan ke objek IDM. |
IOARuleName IOServiceClass |
- | Tidak dipetakan ke objek IDM. |
IOServiceName |
- | Tidak dipetakan ke objek IDM. |
IOServicePath |
- | Tidak dipetakan ke objek IDM. |
IOServiceProperties |
- | Tidak dipetakan ke objek IDM. |
IOServiceRegister IoSessionConnected IoSessionLoggedOn IpEntryFlags |
- | Tidak dipetakan ke objek IDM. |
IrpFlags |
- | Tidak dipetakan ke objek IDM. |
IsCpuDataCommonOnAllCores |
- | Tidak dipetakan ke objek IDM. |
IsNorthBridgeSupported |
- | Tidak dipetakan ke objek IDM. |
IsOnClearCaseMvfs |
- | Tidak dipetakan ke objek IDM. |
IsOnNetwork IsOnRemovableDisk IsOn |
- | Tidak dipetakan ke objek IDM. |
IsRemote |
- | Tidak dipetakan ke objek IDM. |
IsSouthBridgeSupported |
- | Tidak dipetakan ke objek IDM. |
IsTransactedFile |
- | Tidak dipetakan ke objek IDM. |
IsUnique |
- | Tidak dipetakan ke objek IDM. |
JavaInjectedThread JarFileWritten KernelModeLoadImage KernelTime |
- | Tidak dipetakan ke objek IDM. |
KextUnload K8SCreationTimestamp K8SDetectionEvent LanguageId |
- | Tidak dipetakan ke objek IDM. |
LastAdded |
- | Tidak dipetakan ke objek IDM. |
LastDiscoveredBy |
- | Tidak dipetakan ke objek IDM. |
LastDisplayed |
- | Tidak dipetakan ke objek IDM. |
LastLoggedOnHost |
- | Tidak dipetakan ke objek IDM. |
LastUpdateInstalledTime |
- | Tidak dipetakan ke objek IDM. |
LateralMovement |
- | Tidak dipetakan ke objek IDM. |
LdapSearchAttributes |
- | Tidak dipetakan ke objek IDM. |
LdapSearchBaseObjectSample |
- | Tidak dipetakan ke objek IDM. |
LdapSearchFilterSample |
- | Tidak dipetakan ke objek IDM. |
LdapSearchFilterShape |
- | Tidak dipetakan ke objek IDM. |
LdapSearchQueryClassification |
- | Tidak dipetakan ke objek IDM. |
LdapSearchQueryToken |
- | Tidak dipetakan ke objek IDM. |
LdapSearchScope |
- | Tidak dipetakan ke objek IDM. |
LdapSearchSizeLimit |
- | Tidak dipetakan ke objek IDM. |
LdapSecurityType |
- | Tidak dipetakan ke objek IDM. |
LightningLatencyInfo LightningLatencyState |
- | Tidak dipetakan ke objek IDM. |
Line |
- | Tidak dipetakan ke objek IDM. |
LinkLocalAddressBehavior |
- | Tidak dipetakan ke objek IDM. |
LinkLocalAddressTimeout |
- | Tidak dipetakan ke objek IDM. |
LinkName LocalAccount |
- | Tidak dipetakan ke objek IDM. |
LocalAddressIP4 LocalAddressIP6 LocalAddressMaskIP4 |
- | Tidak dipetakan ke objek IDM. |
LocalAddressMaskIP6 |
- | Tidak dipetakan ke objek IDM. |
LocalAdminAccess |
- | Tidak dipetakan ke objek IDM. |
LocalIpAddressIP4 LocalIpAddressIP6 LocalIpAddressRemovedIP4 LocalIpAddressRemovedIP6 LocalPort LocalSession |
- | Tidak dipetakan ke objek IDM. |
localipCount LockScreenEnabled |
- | Tidak dipetakan ke objek IDM. |
LockScreenStatus LogoffTime LogonDomain LogonId |
- | Tidak dipetakan ke objek IDM. |
LogonInfo |
security_result.summary |
Menetapkan event_type ke USER_LOGIN. |
LogonServer LogonTime LogonType |
event.idm.read_only_udm.extensions.auth.mechanism |
Dipetakan ke nilai enum UDM berdasarkan nilai LogonType. |
LogoffTime LsassHandleFromUnsignedModule MAC |
event.idm.read_only_udm.principal.mac |
Dikonversi menjadi huruf kecil dan titik dua diganti dengan tanda hubung. |
MACAddress |
event.idm.read_only_udm.principal.mac |
Tanda hubung diganti dengan titik dua. |
MACPrefix |
- | Tidak dipetakan ke objek IDM. |
MachOFileWritten MachOSubType |
- | Tidak dipetakan ke objek IDM. |
MachineDn MachineDomain MajorFunction |
- | Tidak dipetakan ke objek IDM. |
MajorVersion |
- | Tidak dipetakan ke objek IDM. |
Malicious |
- | Tidak dipetakan ke objek IDM. |
ManagedPdbBuildPath MappedFromUserMode |
- | Tidak dipetakan ke objek IDM. |
MaxReassemblySize |
- | Tidak dipetakan ke objek IDM. |
MaxRouterAdvertisementInterval |
- | Tidak dipetakan ke objek IDM. |
MaxThreadCount |
- | Tidak dipetakan ke objek IDM. |
MD5HashData |
event.idm.read_only_udm.target.file.md5, event.idm.read_only_udm.target.process.file.md5 |
Jika MD5HashData adalah hash MD5 yang valid dan bukan semua nol, buat entitas hash MD5 dengan nilai MD5HashData dan tambahkan ke event.idm.read_only_udm.target.file.md5 dan event.idm.read_only_udm.target.process.file.md5. |
MD5String MediaConnectState |
- | Tidak dipetakan ke objek IDM. |
MediaType |
- | Tidak dipetakan ke objek IDM. |
MemoryAvailable |
- | Tidak dipetakan ke objek IDM. |
MemoryRegionProtection |
- | Tidak dipetakan ke objek IDM. |
MemoryRegionStart |
- | Tidak dipetakan ke objek IDM. |
MemoryTotal |
- | Tidak dipetakan ke objek IDM. |
MmioDataSmiEn |
- | Tidak dipetakan ke objek IDM. |
MmioDataTco1Cnt |
- | Tidak dipetakan ke objek IDM. |
MLModelVersion |
- | Tidak dipetakan ke objek IDM. |
MobileDetection MobileDetectionId |
- | Tidak dipetakan ke objek IDM. |
MobileOsIntegrityIntact |
- | Tidak dipetakan ke objek IDM. |
MobileOsIntegrityStatus MobilePowerStats MoboManufacturer |
- | Tidak dipetakan ke objek IDM. |
MoboProductName |
- | Tidak dipetakan ke objek IDM. |
ModelPrediction |
- | Tidak dipetakan ke objek IDM. |
ModuleBaseAddress |
- | Tidak dipetakan ke objek IDM. |
ModuleCharacteristics |
- | Tidak dipetakan ke objek IDM. |
ModuleDetectInfo ModuleLoadCount |
- | Tidak dipetakan ke objek IDM. |
ModuleLoadMechanism |
- | Tidak dipetakan ke objek IDM. |
ModuleLoadTelemetryClassification |
- | Tidak dipetakan ke objek IDM. |
ModuleNativePath |
- | Tidak dipetakan ke objek IDM. |
ModuleSize |
- | Tidak dipetakan ke objek IDM. |
ModifyServiceBinary MostRecentActivityTimeStamp |
- | Tidak dipetakan ke objek IDM. |
MotwWritten mskssrv.sys |
event.idm.read_only_udm.principal.process.file.full_path |
Bagian dari OriginalFilename. |
MultipleInstancesPolicy |
- | Tidak dipetakan ke objek IDM. |
name namespace NativePdbBuildPath |
- | Tidak dipetakan ke objek IDM. |
NegateInterface |
- | Tidak dipetakan ke objek IDM. |
NegateLocalAddress |
- | Tidak dipetakan ke objek IDM. |
NegateRemoteAddress |
- | Tidak dipetakan ke objek IDM. |
NeighborList |
- | Tidak dipetakan ke objek IDM. |
NeighborListIP4 NeighborListIP6 NeighborName NetLuidIndex |
- | Tidak dipetakan ke objek IDM. |
NetShareAdd NetShareDelete NetShareSecurityModify NetworkBindCount |
security_result.detection_fields[0].value |
Bagian dari peristiwa EndOfProcess. |
NetworkCapableAsepWriteCount |
security_result.detection_fields[0].value |
Bagian dari peristiwa EndOfProcess. |
NetworkCloseCount |
security_result.detection_fields[0].value |
Bagian dari peristiwa EndOfProcess. |
NetworkCloseIP4 NetworkCloseIP6 NetworkConnectCount |
security_result.detection_fields[0].value |
Bagian dari peristiwa EndOfProcess. |
NetworkConnectCountUdp |
security_result.detection_fields[0].value |
Bagian dari peristiwa EndOfProcess. |
NetworkConnectIP4 NetworkConnectIP6 NetworkContainmentState NetworkInterfaceGuid |
- | Tidak dipetakan ke objek IDM. |
NetworkListenCount |
security_result.detection_fields[0].value |
Bagian dari peristiwa EndOfProcess. |
NetworkListenIP4 NetworkListenIP6 NetworkModuleLoadCount |
security_result.detection_fields[0].value |
Bagian dari peristiwa EndOfProcess. |
NetworkRecvAcceptCount |
security_result.detection_fields[0].value |
Bagian dari peristiwa EndOfProcess. |
NetworkReceiveAcceptIP4 NetworkReceiveAcceptIP6 NewExecutableRenamed NewExecutableWritten NewExecutableWrittenCount |
security_result.detection_fields[0].value |
Bagian dari peristiwa EndOfProcess. |
NewFileIdentifier |
- | Tidak dipetakan ke objek IDM. |
NewScriptWritten NlMtu |
- | Tidak dipetakan ke objek IDM. |
NorthBridgeDeviceId |
- | Tidak dipetakan ke objek IDM. |
NorthBridgeVendorId |
- | Tidak dipetakan ke objek IDM. |
NumberOfMeasurements |
- | Tidak dipetakan ke objek IDM. |
OciContainerId |
- | Tidak dipetakan ke objek IDM. |
OciContainerTelemetry OciContainersStartedCount |
- | Tidak dipetakan ke objek IDM. |
OciContainersStoppedCount |
- | Tidak dipetakan ke objek IDM. |
OleFileWritten OnLinkPrefixLength |
- | Tidak dipetakan ke objek IDM. |
OoxmlFileWritten OperStatus |
- | Tidak dipetakan ke objek IDM. |
OperationFlags |
- | Tidak dipetakan ke objek IDM. |
OperationName OriginalContentLength |
- | Tidak dipetakan ke objek IDM. |
OriginalEventTimeStamp |
- | Tidak dipetakan ke objek IDM. |
OriginalFilename OriginalParentAuthenticationId |
- | Tidak dipetakan ke objek IDM. |
OriginalUserName OriginalUserSid OsfmDownloadComplete OsVersionInfo OU OutBroadcastOctets |
- | Tidak dipetakan ke objek IDM. |
OutDiscards |
- | Tidak dipetakan ke objek IDM. |
OutErrors |
- | Tidak dipetakan ke objek IDM. |
OutMulticastOctets |
- | Tidak dipetakan ke objek IDM. |
OutNUcastPkts |
- | Tidak dipetakan ke objek IDM. |
OutOctets |
- | Tidak dipetakan ke objek IDM. |
OutUcastOctets |
- | Tidak dipetakan ke objek IDM. |
OutUcastPkts |
- | Tidak dipetakan ke objek IDM. |
PackedExecutableWritten Parameter64_1 |
- | Tidak dipetakan ke objek IDM. |
Parameter64_2 |
- | Tidak dipetakan ke objek IDM. |
Parameter64_3 |
- | Tidak dipetakan ke objek IDM. |
ParameterSizedBuffer_1 |
- | Tidak dipetakan ke objek IDM. |
Parameter1 |
- | Tidak dipetakan ke objek IDM. |
Parameter2 |
- | Tidak dipetakan ke objek IDM. |
Parameter3 |
- | Tidak dipetakan ke objek IDM. |
ParentAuthenticationId |
- | Tidak dipetakan ke objek IDM. |
ParentBaseFileName ParentCommandLine |
event1.ParentCommandLine |
Bagian dari Event_DetectionSummaryEvent. |
ParentHubInstanceId |
- | Tidak dipetakan ke objek IDM. |
ParentHubPort |
- | Tidak dipetakan ke objek IDM. |
ParentImageFileName |
event.idm.read_only_udm.principal.process.file.full_path, event1.ParentImageFileName |
Bagian dari Event_DetectionSummaryEvent. |
ParentProcessId |
event.idm.read_only_udm.principal.process.product_specific_process_id, event1.ParentProcessId |
Diawali dengan CS:%{cid}:%{aid}:. Bagian dari Event_DetectionSummaryEvent. |
PasswordLastSet |
- | Tidak dipetakan ke objek IDM. |
PathMtuDiscoveryTimeout |
- | Tidak dipetakan ke objek IDM. |
PatternDispositionFlags |
- | Tidak dipetakan ke objek IDM. |
PatternDispositionValue `PatternDisposition |
Perubahan
2025-02-25
- Menambahkan pemetaan untuk peristiwa
FileIntegrityMonitorRuleMatchedsebagai berikut: Menambahkan pemetaan kolomObjectNameke kolom UDMtarget.file.full_path,target.registry.registry_value_data,dantarget.registry.registry_key, berdasarkan nilai kolomObjectType.
2025-02-07
Peningkatan:
- Memetakan
detectNamekesecurity_result.threatname.
2025-01-31
- Menangani kasus ekstrem untuk nilai bilangan bulat yang besar dalam kolom log mentah
ProcessIddanParentProcessId. - Menambahkan kolom AgendIdString ke pemetaan untuk kolom UDM
principal.process.product_specific_process_idjika tidak ada kolom log mentahaid. - Menambahkan kolom AgendIdString ke pemetaan untuk kolom UDM
principal.process.parent_process.product_specific_process_idjika tidak ada kolom log mentahaid.
2025-01-17
- Menambahkan gsub untuk mendukung nilai bilangan bulat yang besar dalam kolom log mentah
ProcessIddanParentProcessId.
2025-01-16
Peningkatan:
- Memetakan
EventOrigin,id,KerberosRequestTicketCreationTimeSample,ActiveDirectoryDataProtocol,KerberosRequestTicketValidityPeriod,LdapSearchBaseObjectSample,LdapSearchSizeLimit,DebugInfoUnicode,LdapSecurityType,ActiveDirectoryAuthenticationMethod,SourceAccountType,AggregationEarliestTimestamp,AggregationWindowTimestamp,LdapSearchQueryToken, danLdapSearchScopekesecurity_result.detection_fields. - Memetakan
SourceEndpointNetworkTagkesecurity_result.description. - Memetakan
LocalPortSamplekeprincipal.port. - Memetakan
RemotePortSampleketarget.port. - Memetakan
LocalAddressIP4Samplekeprincipal.ipdanprincipal.asset.ip. - Memetakan
LdapSearchFilterShape,TargetAccountType,KerberosAnomaly,LdapSearchQueryClassification, danLdapSearchAttributeskeadditional.fields.
2025-01-09
Peningkatan:
- Menambahkan dukungan untuk peristiwa baru
InstalledBrowserExtension.
2024-12-19
Peningkatan:
- Jika
FileOperatorSidadalah sid jendela yang valid, petakan ketarget.user.windows_sid.
2024-12-18
Peningkatan:
- Mengubah pemetaan
OriginalFilenamedariprincipal.process.file.full_pathmenjaditarget.process.file.exif_info.original_file. - Mengubah pemetaan
ParentBaseFileNamedariprincipal.process.file.full_pathmenjadiprincipal.process.file.names. - Mengubah pemetaan
OriginalFilenamedariprincipal.process.file.exif_info.original_filemenjaditarget.process.file.exif_info.original_file.
2024-12-04
Peningkatan:
- Memetakan
ConfigurationDescriptorName,DeviceDescriptorUniqueIdentifier,DeviceVendorId,DeviceUsbClass,ConfigurationDescriptorNumInterfaces,ConfigurationDescriptorMaxPowerDraw, danConfigurationDescriptorAttributeskesecurity_result.detection_fields. - Memetakan
DeviceDescriptorSetHashketarget.file.sha256.
2024-10-29
Perbaikan bug:
- Menghapus pemetaan
SourceFileNamekeprincipal.process.file.full_pathuntuk peristiwaFILE_MOVE,FILE_MODIFICATION, danFILE_READ, karena sudah dipetakan kesrc.file.full_path.
2024-10-09
Peningkatan:
- Memetakan
SmbNamedPipeNamekesecurity_result.detection_fields. - Memetakan
RequestTypekenetwork.dns.question.type. - Memetakan
QueryStatuskenetwork.dns.response_code. - Memetakan
IP4Records,IP6Records, danCNAMERecordskenetwork.dns.answer.name.
2024-09-24
Peningkatan:
- Menambahkan pola Grok untuk berhenti mengurai alamat IP sebagai
principal.hostname.
2024-09-19
Peningkatan:
- Memetakan
HttpRequestketarget.ip. - Memetakan
HttpHostketarget.hostname. - Memetakan
HttpPathketarget.url.
2024-09-19
Peningkatan:
- Memetakan
HttpRequestketarget.ip. - Memetakan
HttpHostketarget.hostname. - Memetakan
HttpPathketarget.url.
2024-09-12
Peningkatan:
- Untuk peristiwa
FILE_CREATIONsaatContextImageFileNamebukan null, lalu petakanContextImageFileNamekeprincipal.process.file.full_path. - Mengubah pemetaan
OriginalFilenamedaritarget.process.file.exif_info.original_filemenjadiprincipal.process.file.exif_info.original_file.
2024-09-10
- Menambahkan dukungan untuk pola log JSON baru.
- Memetakan
FileVersiondanFixedFileVersionkeadditional.fields.
2024-09-03
Peningkatan:
- Memetakan
timestampkemetadata.event_timestamp.
2024-08-29
Perbaikan bug:
- Menambahkan on_error untuk menangani kasus saat
TaskExecCommandnull.
2024-08-20
Peningkatan:
- Memetakan
IsOnRemovableDisk,RegOperationType, danRegTypekeadditional.fields.
2024-08-06
Peningkatan:
- Memetakan
tar_userketarget.user.userid.
2024-07-24
Peningkatan:
- Mengubah pemetaan
LocalAddressIP4daritarget.ipmenjadiprincipal.ip. - Jika
directionadalahINBOUND, ubah pemetaanRemoteAddressIP4dariprincipal.ipmenjadisrc.ip. - Jika
directionadalahOUTBOUND, ubah pemetaanRemoteAddressIP4dariprincipal.ipmenjaditarget.ip.
2024-07-08
Peningkatan:
- Memetakan
Descriptionkesecurity_result.description. - Memetakan
Namekesecurity_result.threat_name. - Memetakan
CompositeIdkeadditional.fields. - Memetakan
idkemetadata.product_log_id.
2024-06-25
Peningkatan:
- Memetakan
SourceFileNamekeprincipal.process.file.full_path. - Memetakan
OdsFileNamedanImageFileNameketarget.process.file.full_path. - Jika
event_simpleNameadalahMotwWritten, maka pemetakanmetadata.event_typekeFILE_CREATION.
2024-06-06
Peningkatan:
- Memetakan
OriginalFilenameketarget.process.file.exif_info.original_file.
2024-05-31
Peningkatan:
- Memetakan
os_versionkeprincipal.platform_version. - Memetakan
hostnamekeprincipal.hostnamedanprincipal.asset.hostname. - Memetakan
product_type_desc,host_hidden_status,scores.os,scores.sensor,scores.version,scores.overall, danscores.modified_timekesecurity_result.detection_fields.
2024-05-23
Peningkatan:
- Memetakan
Versionkeprincipal.platform_version.
2024-05-21
Peningkatan:
- Jika
event_simpleNameadalahFileWritten,NetworkConnect, atauDnsRequest, lalu petakanContextBaseFileNamekeprincipal.process.file.full_path. - Memetakan
QuarantinedFileNamekeprincipal.process.file.full_path.
2024-05-15
Peningkatan:
- Memetakan
Version,BiosVersion, danChassisTypekeprincipal.asset.attribute.labels. - Memetakan
Continent,OU, danSiteNamekeadditional.fields.
2024-04-17
Peningkatan:
- Memetakan
ModuleILPathketarget.resource.attribute.labels.
2024-04-08
Perbaikan bug:
- Jika
event_simpleNameadalahClassifiedModuleLoad, ubahmetadata.event_typedariSTATUS_UPDATEmenjadiPROCESS_MODULE_LOAD.
2024-02-21
Peningkatan:
- Memetakan
SubjectDNkesecurity_result.about.artifact.last_https_certificate.subject. - Memetakan
IssuerDNkesecurity_result.about.artifact.last_https_certificate.issuer. - Memetakan
SubjectCertValidTokesecurity_result.about.artifact.last_https_certificate.validity.issue_time`. - Memetakan
SubjectCertValidFromkesecurity_result.about.artifact.last_https_certificate.validity.expiry_time. - Memetakan
SubjectSerialNumberkesecurity_result.about.artifact.last_https_certificate.serial_number. - Memetakan
SubjectVersionkesecurity_result.about.artifact.last_https_certificate.version. - Memetakan
SubjectCertThumbprintkesecurity_result.about.artifact.last_https_certificate.thumbprint. - Memetakan
SignatureDigestAlgkesecurity_result.about.artifact.last_https_certificate.signature_algorithm. - Memetakan
SignatureDigestEncryptAlgkesecurity_result.about.artifact.last_https_certificate.cert_signature.signature_algorithm. - Memetakan
AuthenticodeHashDataketarget.file.authentihash. - Memetakan
AuthorityKeyIdentifierkesecurity_result.about.artifact.last_https_certificate.extension.authority_key_id.keyiddansecurity_result.about.artifact.last_https_certificate.cert_extensions.fields. - Memetakan
SubjectKeyIdentifierkesecurity_result.about.artifact.last_https_certificate.extension.subject_key_iddansecurity_result.about.artifact.last_https_certificate.cert_extensions.fields. - Memetakan
OriginalFilenamekeadditional.fields. - Memetakan
SignInfoFlagUnknownError,SignInfoFlagHasValidSignature,SignInfoFlagSignHashMismatch,AuthenticodeMatch,SignInfoFlagMicrosoftSigned,SignInfoFlagNoSignature,SignInfoFlagInvalidSignChain,SignInfoFlagNoCodeKeyUsage,SignInfoFlagNoEmbeddedCert,SignInfoFlagThirdPartyRoot,SignInfoFlagCatalogSigned,SignInfoFlagSelfSigned,SignInfoFlagFailedCertCheck,SignInfoFlagEmbeddedSigned,IssuerCN,SubjectCNkesecurity_result.detection_fields.
2023-12-22
- Memetakan
HostUrlketarget.url. - Memetakan
ReferrerUrlkenetwork.http.referral_url.
2023-11-23
- Jika
is_alertditetapkan ketrue, lalu petakanevent.idm.is_significantketrue. - Jika
is_alertditetapkan ketrue, lalu petakanevent_simpleNamekesecurity_result.summary.
2023-10-11
- Menambahkan pemeriksaan ekspresi reguler untuk memvalidasi nilai SHA1, MD5, dan SHA256.
2023-08-22
- Memetakan
Techniquekesecurity_result.attack_details.techniques.nameserta detail teknik dan taktik yang sesuai.
2023-08-03
Peningkatan:
- Memetakan
ReflectiveDllNameketarget.file.full_path. - Memetakan
event_typekeSTATUS_UPDATEuntuk log yang tidak memiliki kolomDomainName.
2023-08-01
- Memetakan
Tactickesecurity_result.attack_details.tactics.namedan tactics.id yang sesuai.
2023-07-31
Perbaikan bug:
- Menambahkan pemeriksaan
on_erroruntuk filter tanggal.
2023-06-19
- Memetakan
ParentBaseFileNamekeprincipal.process.file.full_path. - Menghapus pemetaan
ImageFileNameketarget.file.full_pathkarena sudah dipetakan ketarget.process.file.full_pathuntuk peristiwaProcessRollup2danSyntheticProcessRollup2.
2023-05-12
Peningkatan:
- Memetakan 'aip' ke 'intermediary.ip'.
2023-05-08
Perbaikan bug:
- Mengonversi format waktu menjadi string dan menangani format waktu nanodetik.
2023-04-14
Peningkatan:
- Mengubah nilai
Severityrentang [0-19] menjadisecurity_result.severitysebagaiINFORMATIONAL. - Mengubah nilai
Severityrentang[20-39] menjadisecurity_result.severitysebagaiLOW. - Mengubah nilai
Severityrentang[40-59] menjadisecurity_result.severitysebagaiMEDIUM. - Mengubah nilai
Severityrentang[60-79] menjadisecurity_result.severitysebagaiHIGH. - Mengubah nilai
Severityrentang[80-100] menjadisecurity_result.severitysebagaiCRITICAL. - Memetakan
PatternIdkesecurity_result.detection_fields. - Memetakan
SourceEndpointIpAddresskeprincipal.ip. - Memetakan
metadata.event_typekeUSER_UNCATEGORIZEDjikaevent_simpleName =~ userlogonfaileddan informasi pengguna tidak ada. - Memetakan
metadata.event_typekeUSER_UNCATEGORIZEDsaatExternalApiType =Event_UserActivityAuditEvent`` dan memiliki informasi pengguna. - Memetakan
metadata.event_typekeUSER_UNCATEGORIZEDsaatevent_simpleName =~ActiveDirectory`. - Memetakan
TargetAccountObjectGuidkeadditional.fields. - Memetakan
TargetDomainControllerObjectGuidkeadditional.fields. - Memetakan
TargetDomainControllerObjectSidkeadditional.fields. - Memetakan
AggregationActivityCountkeadditional.fields. - Memetakan
TargetServiceAccessIdentifierkeadditional.fields. - Memetakan
SourceAccountUserPrincipalkeprincipal.user.userid. - Memetakan
SourceEndpointAddressIP4keprincipal.ip. - Memetakan
SourceAccountObjectGuidkeadditional.fields. - Memetakan
AccountDomainkeprincipal.administrative_domain. - Memetakan
AccountObjectGuidkemetadata.product_log_id. - Memetakan
AccountObjectSidkeprincipal.user.windows_sid. - Memetakan
SamAccountNamekeprincipal.user.user_display_name. - Memetakan
SourceAccountSamAccountNamekeprincipal.user.user_display_name. - Memetakan
IOARuleGroupNamekesecurity_result.detection_fields. - Memetakan
IOARuleNamekesecurity_result.detection_fields. - Memetakan
RemoteAddressIP4ketarget.ipuntukevent_simpleName=RegCredAccessDetectInfo.
24-03-2023
- Memetakan
idkemetadata.product_log_id, bukantarget.resource.id. - Memetakan
RegBinaryValueketarget.registry.registry_value_datajikaRegNumericValuedanRegStringValueadalah null.
2023-03-21
Peningkatan:
- Memetakan
BatchTimestamp,GcpCreationTimestamp,K8SCreationTimestamp,AwsCreationTimestampkemetadata.event_timestamp. - Memetakan
FileOperatorSidketarget.user.windows_sid.
2023-03-13
Peningkatan:
- Memetakan
LogonTime,ProcessStartTime,ContextTimeStamp,ContextTimeStamp_decimal, danAccountCreationTimeStampkemetadata.event_timestamp.
2023-03-10
Peningkatan:
- Memetakan
CallStackModuleNamesVersion,CallStackModuleNamesVersionke security_result.detection_fields.
2023-02-28
Peningkatan:
- Mengubah pemetaan berikut untuk kolom
ParentProcessIdsaatevent_simpleNameberada di [ProcessRollup2,SyntheticProcessRollup2] target.process.parent_process.piddiubah menjaditarget.process.parent_process.product_specific_process_id
2023-02-16
Peningkatan:
- Memetakan kolom
AssociatedFilekesecurity_result.detection_fields[n].valuedansecurity_result.detection_fields[n].keydipetakan keAssociatedIOCFile.
2023-02-09
Peningkatan:
- Memetakan ulang kolom yang dipetakan di bagian
target.labelsketarget.resource.attribute.labels. - Memperbaiki pemetaan untuk
ManagedPdbBuildPathketarget.resource.attribute.labels.
2023-02-09
Peningkatan:
- Memetakan ulang kolom yang dipetakan di bagian
target.labelsketarget.resource.attribute.labels. - Memperbaiki pemetaan untuk
ManagedPdbBuildPathketarget.resource.attribute.labels.
2023-01-15
Perbaikan bug:
- Memetakan ulang
aiduntuk peristiwaUserLogonFailedketarget.asset_iddariprincipal.asset_id.
2023-01-13
Peningkatan:
- Nama pengguna dipetakan ke principal.user.userid untuk event_type
ScheduledTaskModifieddanScheduledTaskRegistered. AssemblyName,ManagedPdbBuildPath,ModuleILPathdipetakan ketarget.labelsjika metadata.product_event_type =ReflectiveDotnetModuleLoadVirtualDriveFileName,VolumeNamedipetakan ketarget.labelssaat metadata.product_event_type =RemovableMediaVolumeMountedImageFileNamedipetakan ketarget.file.full_pathjika metadata.product_event_type =ClassifiedModuleLoad
2023-01-13
Peningkatan:
- Nama pengguna dipetakan ke principal.user.userid untuk event_type
ScheduledTaskModifieddanScheduledTaskRegistered. AssemblyName,ManagedPdbBuildPath,ModuleILPathdipetakan ketarget.labelsjika metadata.product_event_type =ReflectiveDotnetModuleLoadVirtualDriveFileName,VolumeNamedipetakan ketarget.labelssaat metadata.product_event_type =RemovableMediaVolumeMountedImageFileNamedipetakan ketarget.file.full_pathjika metadata.product_event_type =ClassifiedModuleLoad
2023-01-02
Peningkatan:
- Nama pengguna dipetakan ke principal.user.userid untuk event_type
ScheduledTaskModifieddanScheduledTaskRegistered.
2022-12-22
Peningkatan:
- Memetakan
RemoteAddressIP4keprincipal.ipuntukevent_type=Userlogonfailed2
2022-11-04
Peningkatan:
- Memetakan
GrandparentImageFileNamekeprincipal.process.parent_process.parent_process.file.full_path. - Memetakan
GrandparentCommandLinekeprincipal.process.parent_process.parent_process.commamdLine
2022-11-03
Perbaikan bug:
- Jika
event_simpleNameadalahInstalledApplication, parameter di bawah akan dipetakan. - Memetakan
AppNamekeprincipal.asset.software.name. - Memetakan
AppVersionkeprincipal.asset.software.version.
2022-10-12
Perbaikan bug:
- Memetakan
discoverer_aidkeresource.attribute.labels. - Memetakan
NeighborNamekeintermediary.hostname. - Memetakan
subnetkeadditional.fields. - Memetakan
localipCountkeadditional.fields. - Memetakan
aipCountkeadditional.fields. - Menambahkan pemeriksaan bersyarat untuk
LogonServer
2022-10-07
Perbaikan bug:
- Mengubah pemetaan
CommandLinedariprincipal.process.command_linemenjaditarget.process.command_line.
2022-09-13
Perbaikan bug:
- Memetakan metadata.event_type ke REGISTRY_CREATION dengan RegOperationType adalah
3. - Memetakan event_type ke REGISTRY_DELETION dengan RegOperationType adalah
4atau102. - Memetakan event_type ke REGISTRY_MODIFICATION dengan RegOperationType adalah
5,7,9,101, atau1. - Memetakan event_type ke REGISTRY_UNCATEGORIZED dengan RegOperationType bukan null dan tidak dalam semua kasus di atas.
2022-09-02
Peningkatan:
- Tentukan kolom
UserPrincipaldi statedata.
2022-08-30
Peningkatan:
- Menentukan kolom
UserPrincipaldi statedata.
21-08-2022
Peningkatan:
- Memetakan
ActivityIdkeadditional.fields. - Memetakan
SourceEndpointHostNamekeprincipal.hostname. - Memetakan
SourceAccountObjectSidkeprincipal.user.windows_sid. - Menambahkan kondisi untuk mengurai
LocalAddressIP4danaip. - Memetakan
metadata.event_typekeSTATUS_UPDATEdenganComputerNamedanLocalAddressIP4bukan null. - Memetakan
SourceEndpointAccountObjectGuidkemetadata.product_log_id. - Memetakan
SourceEndpointAccountObjectSidketarget.user.windows_sid. - Memetakan
SourceEndpointHostNamekeprincipal.hostname.
18-08-2022
Perbaikan bug:
- Memetakan kolom berikut:
event.PatternDispositionValuekesecurity_result.about.labels.event.ProcessIdkeprincipal.process.product_specific_process_id.event.ParentProcessIdketarget.process.parent_process.pid.event.ProcessStartTimekesecurity_result.detection_fields.event.ProcessEndTimekesecurity_result.detection_fields.event.ComputerNamekeprincipal.hostname.event.UserNamekeprincipal.user.userid.event.DetectNamekesecurity_result.threat_name.event.DetectDescriptionkesecurity_result.description.event.SeverityNamekesecurity_result.severity.event.FileNameketarget.file.full_path.event.FilePathketarget.file.full_path.event.CommandLinekeprincipal.process.command_line.event.SHA256Stringketarget.file.sha256.event.MD5Stringkesecurity_result.about.file.md5.event.MachineDomainkeprincipal.administrative_domain.event.FalconHostLinkkeintermediary.url.event.LocalIPkeprincipal.ip.event.MACAddresskeprincipal.mac.event.Tactickesecurity_result.detection_fields.event.Techniquekesecurity_result.detection_fields.event.Objectivekesecurity_result.rule_name.event.PatternDispositionDescriptionkesecurity_result.summary.event.ParentImageFileNamekeprincipal.process.parent_process.file.full_path.event.ParentCommandLinekeprincipal.process.parent_process.command_line.
2022-07-29
Peningkatan:
- Memetakan
event_category,event_module,Hmackeadditional.fields. - Memetakan
user_namekeprincipal.user.userid. - Memetakan
event_sourceketarget.application. - Menambahkan grok untuk
auth_group and new logs. - Pemeriksaan untuk
principal_ip,target_ip and event_typetelah ditambahkan.
2022-07-25
Perbaikan bug:
- Memetakan
metadata.event_typekeUSER_RESOURCE_ACCESSdenganeventTypeadalahK8SDetectionEvent - Memetakan
metadata.event_typekeSTATUS_UPDATEdenganmetadata.event_typenull danprincipal.asset_idbukan null. - Memetakan
SourceAccountDomainkeprincipal.administrative_domain - Memetakan
SourceAccountNamekeprincipal.user.userid - Memetakan
metadata.event_typekeSTATUS_UPDATEdenganEventTypeadalahEvent_ExternalApiEventdanOperationNamedi [quarantined_file_update,detection_update,update_rule] - Memetakan
metadata.event_typekeUSER_RESOURCE_ACCESSdengan FilePath null dan FileName null atau AgentIdString null. - Memetakan
metadata.event_typekeSTATUS_UPDATEdengan Protokol null. - Menambahkan pemeriksaan bersyarat untuk MD5String,SHA256String,CommandLine,AgentIdString,ProcessId,ParentProcessId,FilePath,FileName.
2022-07-12
Peningkatan:
- Untuk event_simpleName - DriverLoad,ProcessRollup,PeVersionInfo,PeFileWritten,TemplateDetectAnalysis,ScriptControlDetectInfo.
- Memetakan OriginalFilename ke principal.process.file.full_path
2022-06-20
Peningkatan:
- Memetakan
ConfigBuildkesecurity_result.detection_fields. - Memetakan
EffectiveTransmissionClasskesecurity_result.detection_fields. - Memetakan
Entitlementskesecurity_result.detection_fields.
2022-06-14
Peningkatan:
- Memetakan
CompanyNameketarget.user.company_name - Memetakan
AccountTypeketarget.user.role_description - Memetakan
ProductVersionkemetadata.product_version - Memetakan
LogonInfokeprincipal.ip - Memetakan
MACkeprincipal.mac - Memetakan
UserSid_readableketarget.user.windows_sid - Memetakan
FileNameketarget.file.full_path - Memetakan
_timekemetadata.event_timestamp - Menambahkan Pemeriksaan bersyarat untuk
MD5HashData,SHA256HashData,UserName,id,RegObjectName,RegStringValue,RegValueName,UserSid,TargetFileName,aid
2022-06-02
Perbaikan bug:
- Menghapus nama kunci dan karakter titik dua dari
security_result.detection_fields.value.
2022-05-27
Peningkatan:
- Pemetaan tambahan: SHA256String dan MD5String ke security_result.about.file agar muncul sebagai peristiwa Notifikasi.
2022-05-20
Peningkatan:
- Memetakan
LinkNameketarget.resource.attribute.labels. - Mengalihkan kemungkinan kemunculan
GENERIC_EVENTSkeSTATUS_UPDATE. - Menambahkan Backslash di antara proses dan direktori root induknya.
- Platform yang diuraikan jika
event_platformadalah iOS. - Mengubah resource.type menjadi resource_type.
2022-05-12
Peningkatan:
- resourceName dipetakan ke target.resource.name
- resourceId dipetakan ke target.resource.product_object_id
- Namespace dipetakan ke target.namespace
- Kategori yang dipetakan ke security_result.category_details
- deskripsi dipetakan ke security_result.description
- sourceAgent dipetakan ke network.http.user_agent
- Tingkat keparahan yang dipetakan ke security_result.severity
- resourceKind dipetakan ke target.resource.type
- detectionName dipetakan ke target.resource.name
- clusterName dipetakan ke target.resource.attribute.labels
- clusterId dipetakan ke target.resource.attribute.labels
- detectionId dipetakan ke target.resource.attribute.labels
- Jenis yang dipetakan ke additional.fields
- Perbaikan untuk additional.fields
- Tolok ukur ke additional.fields
- badResources ke additional.fields
2022-04-27
Perbaikan bug:
- Mengubah event_type udm dari GENERIC_EVENT menjadi USER_LOGIN untuk log dengan ExternalApiType = Event_AuthActivityAuditEvent.
- Mengubah pemetaan untuk target_user,actor_user, actor_user_uuid dari additional.fields menjadi target.user.email_addresses, target.user.user_display_name, target.user.userid.
2022-04-25
Peningkatan:
- Memetakan
RemoteAddressIP4ke principal.ip.
2022-04-14
Perbaikan bug:
- Menambahkan Dukungan untuk kolom ScriptContent untuk semua jenis log
13-04-2022
Peningkatan:
- Menambahkan pemetaan untuk kolom baru
- Menambahkan pemetaan peristiwa baru - AuthenticationPackage dipetakan ke target.resource.name
2022-04-04
Perbaikan bug:
- Memetakan
OriginatingURLke principal.url untuk peristiwa NetworkConnect.
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.