Raccogliere i log di CrowdStrike Falcon in CEF

Supportato in:

Questo documento spiega come raccogliere i log di CrowdStrike Falcon in formato CEF utilizzando Bindplane. Il parser estrae le coppie chiave-valore e le mappa al modello di dati unificato (UDM), gestisce diversi delimitatori e arricchisce i dati con un contesto aggiuntivo, come la gravità e i tipi di eventi. Esegue inoltre trasformazioni specifiche per determinati tipi di eventi e campi, ad esempio gli accessi utente e i risultati di sicurezza.

Prima di iniziare

  • Assicurati di avere un'istanza Google Security Operations.
  • Assicurati di utilizzare Windows 2016 o versioni successive o un host Linux con systemd.
  • Se il servizio è eseguito dietro un proxy, assicurati che le porte del firewall siano aperte.
  • Assicurati di disporre dell'accesso privilegiato alla console CrowdStrike Falcon.
  • Ottieni le credenziali API per Falcon Stream (ID cliente e client secret).

Ottenere il file di autenticazione di importazione di Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Agenti di raccolta.
  3. Scarica il file di autenticazione dell'importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Ottenere l'ID cliente Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Profilo.
  3. Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Installazione di Windows

  1. Apri il prompt dei comandi o PowerShell come amministratore.

  2. Esegui questo comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installazione di Linux

  1. Apri un terminale con privilegi di root o sudo.

  2. Esegui questo comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Risorse di installazione aggiuntive

Configura l'agente Bindplane per importare Syslog e inviarlo a Google SecOps

  1. Accedi al file di configurazione:

    1. Individua il file config.yaml. In genere si trova nella directory /etc/bindplane-agent/ su Linux o nella directory di installazione su Windows.
    2. Apri il file utilizzando un editor di testo (ad esempio nano, vi o Blocco note).

  2. Modifica il file config.yaml come segue:

    receivers:
    tcplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:54525"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: SYSLOG
            namespace: cs_falcon
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

  3. Sostituisci la porta e l'indirizzo IP come richiesto nella tua infrastruttura.

  4. Sostituisci <customer_id> con l'ID cliente effettivo.

  5. Aggiorna /path/to/ingestion-authentication-file.json con il percorso in cui è stato salvato il file di autenticazione nella sezione Ottenere il file di autenticazione per l'importazione di Google SecOps.

Riavvia l'agente Bindplane per applicare le modifiche

  • Per riavviare l'agente Bindplane in Linux, esegui il seguente comando:

    sudo systemctl restart bindplane-agent

  • Per riavviare l'agente Bindplane in Windows, puoi utilizzare la console Servizi o inserire il seguente comando:

    net stop BindPlaneAgent && net start BindPlaneAgent

Configurare e ottenere una chiave API CrowdStrike

  1. Accedi a CrowdStrike Falcon con un account con privilegi.
  2. Vai a Menu > Assistenza.
  3. Fai clic su Client API > KeysSelect.
  4. Fai clic su Aggiungi nuovo client API.
  5. Nella sezione Ampi dello spazio di dati dell'API, seleziona Stream di eventi e Allerte > attiva l'opzione Lettura.
  6. Fai clic su Aggiungi.
  7. Copia e salva l'ID client, il token segreto e l'URL di base.

Installa Falcon SIEM Connector

  1. Scarica il pacchetto di installazione RPM per il tuo sistema operativo.

  2. Installazione del pacchetto:

    • Sistema operativo CentOS:

      sudo rpm -Uvh <installer package>

    • Sistema operativo Ubuntu: 

      sudo dpkg -i <installer package>

  3. Directory di installazione predefinite:

    • Falcon SIEM Connector - /opt/crowdstrike/.
    • Servizio: /etc/init.d/cs.falconhoseclientd/.

Configurare il connettore SIEM per inoltrare i log CEF a Bindplane

  1. Accedi alla macchina su cui è installato SIEM Connector come utente sudo.
  2. Vai alla directory /opt/crowdstrike/etc/.
  3. Rinomina cs.falconhoseclient.cef.cfg in cs.falconhoseclient.cfg.
    • Il connettore SIEM utilizza la configurazione cs.falconhoseclient.cfg per impostazione predefinita.
  4. Modifica il file cs.falconhoseclient.cfg e modifica/imposta i seguenti parametri:
    • api_url:: l'URL base di CrowdStrike Falcon copiato dal passaggio precedente.
    • app_id:: qualsiasi stringa come identificatore per la connessione all'API Falcon Streaming (ad esempio, impostata su app_id: SECOPS-CEF).
    • client_id:: il valore client_id copiato dal passaggio precedente.
    • client_secret:: il valore client_secret copiato dal passaggio precedente.
    • send_to_syslog_server: true: attiva il push al server Syslog.
    • host:: l'IP o il nome host dell'agente Bindplane.
    • port:: la porta dell'agente Bindplane.
  5. Salva il file cs.falconhoseclient.cfg.

  6. Avvia il servizio SIEM Connector:

    • Sistema operativo CentOS

      sudo service cs.falconhoseclientd start

    • Sistema operativo Ubuntu 16.04 o versioni successive

      sudo systemctl start cs.falconhoseclientd.service

  7. (Facoltativo) Interrompi il servizio SIEM Connector:

    • Sistema operativo CentOS

      sudo service cs.falconhoseclientd stop

    • Sistema operativo Ubuntu 16.04 o versioni successive

      sudo systemctl stop cs.falconhoseclientd.service

  8. (Facoltativo) Riavvia il servizio SIEM Connector:

    • Sistema operativo CentOS

      sudo service cs.falconhoseclientd restart

    • Sistema operativo Ubuntu 16.04 o versioni successive

      sudo systemctl restart cs.falconhoseclientd.service

Tabella di mappatura UDM

Campo log Mappatura UDM Logica
AccountCreationTimeStamp event.idm.read_only_udm.metadata.event_timestamp Il campo del log non elaborato AccountCreationTimeStamp è stato rinominato in event.idm.read_only_udm.metadata.event_timestamp.
AccountDomain event.idm.read_only_udm.principal.administrative_domain Il campo del log non elaborato AccountDomain è stato rinominato in event.idm.read_only_udm.principal.administrative_domain.
AccountObjectGuid event.idm.read_only_udm.metadata.product_log_id Il campo del log non elaborato AccountObjectGuid è stato rinominato in event.idm.read_only_udm.metadata.product_log_id.
AccountObjectSid event.idm.read_only_udm.principal.user.windows_sid Il campo del log non elaborato AccountObjectSid è stato rinominato in event.idm.read_only_udm.principal.user.windows_sid.
AccessType - Non mappato all'oggetto IDM.
action_taken event.idm.read_only_udm.additional.fields[0].value.string_value Parte dell'array AuditKeyValues.
ActiveCpuCount - Non mappato all'oggetto IDM.
ActiveDirectoryAuthenticationMethod - Non mappato all'oggetto IDM.
ActiveDirectoryDataProtocol - Non mappato all'oggetto IDM.
AddressFamily - Non mappato all'oggetto IDM.
AdminStatus - Non mappato all'oggetto IDM.
AllocateVirtualMemoryCount security_result.detection_fields[0].value Componente dell'evento EndOfProcess.
agent-windows event.idm.read_only_udm.target.file.full_path Componente di TargetFileName.
AgentIdString event.idm.read_only_udm.principal.asset_id Con prefisso CS:.
AgentLoadFlags - Non mappato all'oggetto IDM.
AgentLocalTime - Non mappato all'oggetto IDM.
AgentOnline AgentTimeOffset - Non mappato all'oggetto IDM.
AgentVersion AggregationActivityCount AggregationEarliestTimestamp - Non mappato all'oggetto IDM.
aid event.idm.read_only_udm.principal.asset_id Con prefisso CS:.
aip event.idm.read_only_udm.principal.nat_ip Quando _aid_is_target è false, se aip non è null, crea un'entità IP con il valore di aip e aggiungila a event.idm.read_only_udm.principal.nat_ip.
aipCount AllocVmEtw AllocationType - Non mappato all'oggetto IDM.
AllowHardTerminate - Non mappato all'oggetto IDM.
AllowStartOnDemand - Non mappato all'oggetto IDM.
ApcArgument1 - Non mappato all'oggetto IDM.
ApcArgument2 - Non mappato all'oggetto IDM.
ApcContextAddress - Non mappato all'oggetto IDM.
ApcContextFileName - Non mappato all'oggetto IDM.
ApcContext - Non mappato all'oggetto IDM.
ApplicationName ApplicationUniqueIdentifier - Non mappato all'oggetto IDM.
ApplicationVersion - Non mappato all'oggetto IDM.
AppIs64Bit - Non mappato all'oggetto IDM.
AppName AppPath AppPathFlag - Non mappato all'oggetto IDM.
AppProductId - Non mappato all'oggetto IDM.
AppType - Non mappato all'oggetto IDM.
AppUpdateIds - Non mappato all'oggetto IDM.
AppVendor - Non mappato all'oggetto IDM.
AppVersion ArchiveFileWrittenCount security_result.detection_fields[0].value Componente dell'evento EndOfProcess.
AsepClass - Non mappato all'oggetto IDM.
AsepFileChange AsepFlags - Non mappato all'oggetto IDM.
AsepIndex - Non mappato all'oggetto IDM.
AsepKeyUpdate AsepValueUpdate AsepValueType - Non mappato all'oggetto IDM.
AsepWrittenCount security_result.detection_fields[0].value Componente dell'evento EndOfProcess.
AssociateIndicator AssociateTreeIdWithRoot AssemblyFlags - Non mappato all'oggetto IDM.
AssemblyId - Non mappato all'oggetto IDM.
AssemblyName AuthenticationId event.idm.read_only_udm.principal.user.product_object_id Con prefisso CS:.
AuthenticationPackage AuthenticationUuid - Non mappato all'oggetto IDM.
AuthenticationUuidAsString - Non mappato all'oggetto IDM.
AuthenticodeHashData AuthenticodeMatch automated_remediation assessments.automated_remediation Componente dell'evento ZeroTrustHostAssessment.
BaseReachableTime - Non mappato all'oggetto IDM.
BaseTime - Non mappato all'oggetto IDM.
BatchDataNumber - Non mappato all'oggetto IDM.
BatchDataTotal - Non mappato all'oggetto IDM.
BatchTimestamp BatteryLevel - Non mappato all'oggetto IDM.
BatteryStatus - Non mappato all'oggetto IDM.
BehaviorWhitelisted benchmarks BenignCount - Non mappato all'oggetto IDM.
beta_build_disabled assessments.beta_build_disabled Componente dell'evento ZeroTrustHostAssessment.
BinaryExecutableWrittenCount security_result.detection_fields[0].value Componente dell'evento EndOfProcess.
BillingInfo BillingType - Non mappato all'oggetto IDM.
BiosManufacturer BiosReleaseDate - Non mappato all'oggetto IDM.
BiosVersion BITSJobCreated BootArgs - Non mappato all'oggetto IDM.
BootId - Non mappato all'oggetto IDM.
BootStatusDataAabEnabled - Non mappato all'oggetto IDM.
BootStatusDataBootAttemptCount - Non mappato all'oggetto IDM.
BootStatusDataBootGood - Non mappato all'oggetto IDM.
BootStatusDataBootShutdown - Non mappato all'oggetto IDM.
BootTimeFunctionalityLevel - Non mappato all'oggetto IDM.
BrowserInjectedThread BundleID - Non mappato all'oggetto IDM.
CallStackModuleNames CallStackModuleNamesVersion ChannelId - Non mappato all'oggetto IDM.
ChannelVersion - Non mappato all'oggetto IDM.
ChannelVersionRequired ChasisManufacturer - Non mappato all'oggetto IDM.
ChassisType cid City CLICreationCount security_result.detection_fields[0].value Componente dell'evento EndOfProcess.
ClassifiedModuleLoad CloudAssociateTreeIdWithRoot CloudErrorCode - Non mappato all'oggetto IDM.
CNAMERecords CodeIntegrity - Non mappato all'oggetto IDM.
CommandLine CommandSequence - Non mappato all'oggetto IDM.
CompletionEventId - Non mappato all'oggetto IDM.
ComputerName event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname Se ComputerName non è nullo, una stringa vuota o un trattino, crea un'entità hostname con il valore ComputerName e aggiungila a event.idm.read_only_udm.principal.hostname e event.idm.read_only_udm.principal.asset.hostname.
ConfigBuild ConfigIDBase - Non mappato all'oggetto IDM.
ConfigIDBuild - Non mappato all'oggetto IDM.
ConfigIDPlatform - Non mappato all'oggetto IDM.
ConfigurationVersion - Non mappato all'oggetto IDM.
ConfigStateData - Non mappato all'oggetto IDM.
ConfigStateHash ConfigStateUpdate ConnectTime - Non mappato all'oggetto IDM.
ConnectType - Non mappato all'oggetto IDM.
Connected - Non mappato all'oggetto IDM.
ConnectionCipher - Non mappato all'oggetto IDM.
ConnectionCipherStrength - Non mappato all'oggetto IDM.
ConnectionDirection - Non mappato all'oggetto IDM.
ConnectionExchange - Non mappato all'oggetto IDM.
ConnectionExchangeStrength - Non mappato all'oggetto IDM.
ConnectionFlags - Non mappato all'oggetto IDM.
ConnectionHash - Non mappato all'oggetto IDM.
ConnectionHashStrength - Non mappato all'oggetto IDM.
ConnectionProtocol - Non mappato all'oggetto IDM.
ConnectionType - Non mappato all'oggetto IDM.
Continent ContentSHA256HashData ContextData - Non mappato all'oggetto IDM.
ContextProcessId event.idm.read_only_udm.principal.process.product_specific_process_id, event.idm.read_only_udm.target.process.product_specific_process_id Con prefisso CS:%{cid}:%{aid}:.
ContextThreadId - Non mappato all'oggetto IDM.
ContextTimeStamp ContextTimeStamp_decimal Country CrashDumpFilePath - Non mappato all'oggetto IDM.
CrashNotification CreateProcessArgs CreateProcessCount security_result.detection_fields[0].value Componente dell'evento EndOfProcess.
CreateService CreateThreadNoStartImage CreationTimeStamp - Non mappato all'oggetto IDM.
CriticalFileAccessed CriticalFileModified CsaProcessDataCollectionInstanceId - Non mappato all'oggetto IDM.
CurrentFunctionalityLevel - Non mappato all'oggetto IDM.
CurrentLocalIP - Non mappato all'oggetto IDM.
CurrentSystemTags CustomerIdString CycleTime - Non mappato all'oggetto IDM.
DadState - Non mappato all'oggetto IDM.
DadTransmits - Non mappato all'oggetto IDM.
DcName event.idm.read_only_udm.principal.user.userid Il campo del log non elaborato DcName è stato rinominato in event.idm.read_only_udm.principal.user.userid.
DcNumAttachments - Non mappato all'oggetto IDM.
DcNumBlockingPolicies - Non mappato all'oggetto IDM.
DcOnline DcPropertyIdInterfaceType - Non mappato all'oggetto IDM.
DcPropertyIdInterfaceVersion - Non mappato all'oggetto IDM.
DcSensorInterfaceType - Non mappato all'oggetto IDM.
DcSensorInterfaceVersion - Non mappato all'oggetto IDM.
DcStatus DcUsbConfigurationDescriptor DcUsbDeviceConnected DcUsbDeviceDisconnected DcUsbEndpointDescriptor DcUsbHIDDescriptor DcUsbInterfaceDescriptor DCSyncAttempted Debug - Non mappato all'oggetto IDM.
DefaultGatewayIP4 - Non mappato all'oggetto IDM.
DefaultGatewayIP6 - Non mappato all'oggetto IDM.
DefaultGatewayPhysicalAddress - Non mappato all'oggetto IDM.
DeepHashBlacklistClassification DeepHashBlacklistVersion - Non mappato all'oggetto IDM.
DeliverLocalFXToCloud DesiredAccess detectionId detectionName DetectDescription DetectId - Non mappato all'oggetto IDM.
DetectName DeviceActiveConfigurationNumber - Non mappato all'oggetto IDM.
DeviceConnectionStatus - Non mappato all'oggetto IDM.
DeviceDescriptorNumber - Non mappato all'oggetto IDM.
DeviceDescriptorSetHash - Non mappato all'oggetto IDM.
DeviceDescriptorUniqueIdentifier - Non mappato all'oggetto IDM.
DeviceId - Non mappato all'oggetto IDM.
DeviceInstanceId event.idm.read_only_udm.target.asset_id Con prefisso Device Instance Id:.
DeviceManufacturer DeviceProduct DeviceProductId - Non mappato all'oggetto IDM.
DevicePropertyClassName - Non mappato all'oggetto IDM.
DevicePropertyClassGuid - Non mappato all'oggetto IDM.
DevicePropertyDeviceDescription DevicePropertyFriendlyName - Non mappato all'oggetto IDM.
DevicePropertyLocationInformation DevicePropertyManufacturer - Non mappato all'oggetto IDM.
DeviceProtocol - Non mappato all'oggetto IDM.
DeviceSerialNumber DeviceTimeStamp DeviceType - Non mappato all'oggetto IDM.
DeviceUsbClass - Non mappato all'oggetto IDM.
DeviceUsbSubclass - Non mappato all'oggetto IDM.
DeviceUsbVersion - Non mappato all'oggetto IDM.
DeviceVendorId - Non mappato all'oggetto IDM.
DeviceVersion - Non mappato all'oggetto IDM.
DirectoryCreate DirectoryCreatedCount security_result.detection_fields[0].value Componente dell'evento EndOfProcess.
DirectoryEnumeratedCount security_result.detection_fields[0].value Componente dell'evento EndOfProcess.
DisableRealtimeMonitoring DisallowStartIfOnBatteries - Non mappato all'oggetto IDM.
DisallowStartOnRemoteAppSession - Non mappato all'oggetto IDM.
DiskParentDeviceInstanceId DllCharacteristics - Non mappato all'oggetto IDM.
DllInjection DlpPolicy - Non mappato all'oggetto IDM.
DlpVerdict - Non mappato all'oggetto IDM.
DmpFileWritten DnsRequest DnsRequestCount security_result.detection_fields[0].value Componente dell'evento EndOfProcess.
DnsResponseType - Non mappato all'oggetto IDM.
DnsResponseTtl - Non mappato all'oggetto IDM.
DocumentFileWrittenCount security_result.detection_fields[0].value Componente dell'evento EndOfProcess.
DomainName event.idm.read_only_udm.target.hostname, event.idm.read_only_udm.target.asset.hostname, event.idm.read_only_udm.network.dns.questions[0].name Se DomainName non è nullo, crea un'entità hostname con il valore DomainName e aggiungila a event.idm.read_only_udm.target.hostname, event.idm.read_only_udm.target.asset.hostname e event.idm.read_only_udm.network.dns.questions[0].name.
DotnetModuleFlags - Non mappato all'oggetto IDM.
DotnetModuleId - Non mappato all'oggetto IDM.
DotnetModuleLoadDetectInfo DownloadPath - Non mappato all'oggetto IDM.
DownloadPort - Non mappato all'oggetto IDM.
DownloadServer DriverLoad DualRequest - Non mappato all'oggetto IDM.
EffectiveTransmissionClass Effective - Non mappato all'oggetto IDM.
EfiSupported - Non mappato all'oggetto IDM.
EfiVariableCustomMode - Non mappato all'oggetto IDM.
EfiVariableCustomModeAttributes - Non mappato all'oggetto IDM.
EfiVariableDbAttributes - Non mappato all'oggetto IDM.
EfiVariableDbxAttributes - Non mappato all'oggetto IDM.
EfiVariableDbxSha256Hash - Non mappato all'oggetto IDM.
EfiVariableKekAttributes - Non mappato all'oggetto IDM.
EfiVariableKekSha256Hash - Non mappato all'oggetto IDM.
EfiVariablePkAttributes - Non mappato all'oggetto IDM.
EfiVariablePkSha256Hash - Non mappato all'oggetto IDM.
EfiVariableSecureBoot - Non mappato all'oggetto IDM.
EfiVariableSecureBootAttributes - Non mappato all'oggetto IDM.
EfiVariableSetupMode - Non mappato all'oggetto IDM.
EfiVariableSetupModeAttributes - Non mappato all'oggetto IDM.
EfiVariableSignatureSupport - Non mappato all'oggetto IDM.
EfiVariableSignatureSupportAttributes - Non mappato all'oggetto IDM.
EndpointDescriptorAddress - Non mappato all'oggetto IDM.
EndpointDescriptorAttributes - Non mappato all'oggetto IDM.
EndpointDescriptorInterval - Non mappato all'oggetto IDM.
EndpointDescriptorMaxPacketSize - Non mappato all'oggetto IDM.
EndOfProcess Entitlements ErrorEvent ErrorCode - Non mappato all'oggetto IDM.
ErrorLocation - Non mappato all'oggetto IDM.
ErrorReason - Non mappato all'oggetto IDM.
ErrorSource - Non mappato all'oggetto IDM.
ErrorStatus - Non mappato all'oggetto IDM.
ErrorText - Non mappato all'oggetto IDM.
EventLogCleared EventMax - Non mappato all'oggetto IDM.
EventMin - Non mappato all'oggetto IDM.
EventOrigin - Non mappato all'oggetto IDM.
EventType event.idm.read_only_udm.metadata.product_event_type Se event_simpleName è nullo e EventType non è nullo, crea un'entità product_event_type con il valore EventType e aggiungila a event.idm.read_only_udm.metadata.product_event_type.
EtwErrorEvent EtwRawProcessId - Non mappato all'oggetto IDM.
EtwRawThreadId - Non mappato all'oggetto IDM.
ExecutableDeleted ExecutableDeletedCount security_result.detection_fields[0].value Componente dell'evento EndOfProcess.
ExeAndServiceCount security_result.detection_fields[0].value Componente dell'evento EndOfProcess.
ExitCode - Non mappato all'oggetto IDM.
Exploit ExternalApiType event.idm.read_only_udm.metadata.product_event_type, event.idm.read_only_udm.extensions.auth.auth_details Se message contiene event1, ExternalApiType viene rinominato in event.idm.read_only_udm.metadata.product_event_type. In caso contrario, viene rinominata in event.idm.read_only_udm.extensions.auth.auth_details.
Facility - Non mappato all'oggetto IDM.
FailedConnectCount - Non mappato all'oggetto IDM.
FalconHostLink FalconServiceComponent - Non mappato all'oggetto IDM.
FalconServiceServletErrors - Non mappato all'oggetto IDM.
FalconServiceServletStarts - Non mappato all'oggetto IDM.
FalconServiceState - Non mappato all'oggetto IDM.
FalconServiceStatus FeatureExtractionVersion - Non mappato all'oggetto IDM.
FeatureVector - Non mappato all'oggetto IDM.
File - Non mappato all'oggetto IDM.
FileAttributes - Non mappato all'oggetto IDM.
FileCreateInfo FileDeletedCount security_result.detection_fields[0].value Componente dell'evento EndOfProcess.
FileDeleteInfo FileEcpBitmask - Non mappato all'oggetto IDM.
FileEventType - Non mappato all'oggetto IDM.
FileIdentifier FileObject - Non mappato all'oggetto IDM.
FileName FileOpenInfo FileRenameInfo FileSigningTime - Non mappato all'oggetto IDM.
FirewallAction - Non mappato all'oggetto IDM.
FirewallChangeOption FirewallDeleteRule FirewallDeleteRuleIP4 FirewallDeleteRuleIP6 FirewallEnabled FirewallOption FirewallOptionNumericValue - Non mappato all'oggetto IDM.
FirewallProfile - Non mappato all'oggetto IDM.
FirewallRule FirewallRuleId FirewallSetRule FirewallSetRuleIP4 FirewallSetRuleIP6 FirmwareAnalysisErrorEvent FirmwareAnalysisErrorLocation - Non mappato all'oggetto IDM.
FirmwareAnalysisErrorReason - Non mappato all'oggetto IDM.
FirmwareAnalysisErrorSource - Non mappato all'oggetto IDM.
FirmwareAnalysisHardwareData FirmwareAnalysisStatus FirmwareAnalysisCpuSupported - Non mappato all'oggetto IDM.
FirmwareAnalysisEclControlInterfaceVersion - Non mappato all'oggetto IDM.
FirmwareAnalysisEclConsumerInterfaceVersion - Non mappato all'oggetto IDM.
FirmwareImageAnalyzed FirmwareRegionMeasured FirmwareSize - Non mappato all'oggetto IDM.
FirmwareType - Non mappato all'oggetto IDM.
FirstDiscoveredDate - Non mappato all'oggetto IDM.
FirstIP4Record Flags - Non mappato all'oggetto IDM.
FltCallbackData - Non mappato all'oggetto IDM.
FltCompletionContext - Non mappato all'oggetto IDM.
FltRelatedObjects - Non mappato all'oggetto IDM.
FontBuffer - Non mappato all'oggetto IDM.
FontBufferLength - Non mappato all'oggetto IDM.
FontFileCount - Non mappato all'oggetto IDM.
FontFileName FontLoadOperation - Non mappato all'oggetto IDM.
FsOperationBlocked event1.PatternDispositionFlags.FsOperationBlocked Parte di Event_DetectionSummaryEvent.
FsPostOpenSnapshotFile FsVolumeMounted FsVolumeUnmounted FullContext - Non mappato all'oggetto IDM.
FullExceptionRecord - Non mappato all'oggetto IDM.
GcpCreationTimestamp GenericFileWrittenCount security_result.detection_fields[0].value Componente dell'evento EndOfProcess.
GID - Non mappato all'oggetto IDM.
GrandparentCommandLine GrandparentImageFileName GrandParentBaseFileName GroupIdentity GroupRid GzipFileWritten HandleCreated - Non mappato all'oggetto IDM.
HIDDescriptorCountryCode - Non mappato all'oggetto IDM.
HIDDescriptorNumDescriptors - Non mappato all'oggetto IDM.
HIDDescriptorVersion - Non mappato all'oggetto IDM.
HIPHandlers.dll event.idm.read_only_udm.target.file.full_path Componente di TargetFileName.
HostGroups - Non mappato all'oggetto IDM.
HostHiddenStatus HostInfo HostnameChanged hostname HostProcessType - Non mappato all'oggetto IDM.
HostUrl HttpRequestDetect HttpRequestHeader HttpUrl IcmpCode - Non mappato all'oggetto IDM.
IcmpType - Non mappato all'oggetto IDM.
id IdleSettings - Non mappato all'oggetto IDM.
ImageFileName ImageSubsystem - Non mappato all'oggetto IDM.
Image - Non mappato all'oggetto IDM.
ImpersonatedUserName InBroadcastOctets - Non mappato all'oggetto IDM.
InContext - Non mappato all'oggetto IDM.
InDiscards - Non mappato all'oggetto IDM.
Indicator event1.PatternDispositionFlags.Indicator Parte di Event_DetectionSummaryEvent.
InddetMask event1.PatternDispositionFlags.InddetMask Parte di Event_DetectionSummaryEvent.
InErrors - Non mappato all'oggetto IDM.
Information - Non mappato all'oggetto IDM.
InjectedDll InjectedThread InjectedThreadCount security_result.detection_fields[0].value Componente dell'evento EndOfProcess.
InjectedThreadFlag - Non mappato all'oggetto IDM.
InMulticastOctets - Non mappato all'oggetto IDM.
InNUcastPkts - Non mappato all'oggetto IDM.
InOctets - Non mappato all'oggetto IDM.
InstallDate - Non mappato all'oggetto IDM.
InstalledApplication InstalledUpdateExtendedStatus - Non mappato all'oggetto IDM.
InstalledUpdateIds - Non mappato all'oggetto IDM.
InstalledUpdates InstanceMetadata InstanceMetadataProvider - Non mappato all'oggetto IDM.
InstanceMetadataRequest - Non mappato all'oggetto IDM.
InstanceMetadataSignature - Non mappato all'oggetto IDM.
InUcastOctets - Non mappato all'oggetto IDM.
InUcastPkts - Non mappato all'oggetto IDM.
InUnknownProtos - Non mappato all'oggetto IDM.
IntegrityLevel - Non mappato all'oggetto IDM.
InterfaceAlias - Non mappato all'oggetto IDM.
InterfaceDescription - Non mappato all'oggetto IDM.
InterfaceFlags - Non mappato all'oggetto IDM.
InterfaceGuid - Non mappato all'oggetto IDM.
InterfaceIdentifier - Non mappato all'oggetto IDM.
InterfaceIndex - Non mappato all'oggetto IDM.
InterfaceMtu - Non mappato all'oggetto IDM.
InterfaceType - Non mappato all'oggetto IDM.
InterfaceVersion - Non mappato all'oggetto IDM.
InjectedDllCount security_result.detection_fields[0].value Componente dell'evento EndOfProcess.
InjectedThreadFlag - Non mappato all'oggetto IDM.
InkDiv.dll event.idm.read_only_udm.target.file.full_path Parte di ExecutablesWritten.
InkObj.dll event.idm.read_only_udm.target.file.full_path Parte di ExecutablesWritten.
InMulticastPkts - Non mappato all'oggetto IDM.
InOctets - Non mappato all'oggetto IDM.
InUcastPkts - Non mappato all'oggetto IDM.
IOARuleGroupName IOARuleInstanceID - Non mappato all'oggetto IDM.
IOARuleInstanceVersion - Non mappato all'oggetto IDM.
IOARuleName IOServiceClass - Non mappato all'oggetto IDM.
IOServiceName - Non mappato all'oggetto IDM.
IOServicePath - Non mappato all'oggetto IDM.
IOServiceProperties - Non mappato all'oggetto IDM.
IOServiceRegister IoSessionConnected IoSessionLoggedOn IpEntryFlags - Non mappato all'oggetto IDM.
IrpFlags - Non mappato all'oggetto IDM.
IsCpuDataCommonOnAllCores - Non mappato all'oggetto IDM.
IsNorthBridgeSupported - Non mappato all'oggetto IDM.
IsOnClearCaseMvfs - Non mappato all'oggetto IDM.
IsOnNetwork IsOnRemovableDisk IsOn - Non mappato all'oggetto IDM.
IsRemote - Non mappato all'oggetto IDM.
IsSouthBridgeSupported - Non mappato all'oggetto IDM.
IsTransactedFile - Non mappato all'oggetto IDM.
IsUnique - Non mappato all'oggetto IDM.
JavaInjectedThread JarFileWritten KernelModeLoadImage KernelTime - Non mappato all'oggetto IDM.
KextUnload K8SCreationTimestamp K8SDetectionEvent LanguageId - Non mappato all'oggetto IDM.
LastAdded - Non mappato all'oggetto IDM.
LastDiscoveredBy - Non mappato all'oggetto IDM.
LastDisplayed - Non mappato all'oggetto IDM.
LastLoggedOnHost - Non mappato all'oggetto IDM.
LastUpdateInstalledTime - Non mappato all'oggetto IDM.
LateralMovement - Non mappato all'oggetto IDM.
LdapSearchAttributes - Non mappato all'oggetto IDM.
LdapSearchBaseObjectSample - Non mappato all'oggetto IDM.
LdapSearchFilterSample - Non mappato all'oggetto IDM.
LdapSearchFilterShape - Non mappato all'oggetto IDM.
LdapSearchQueryClassification - Non mappato all'oggetto IDM.
LdapSearchQueryToken - Non mappato all'oggetto IDM.
LdapSearchScope - Non mappato all'oggetto IDM.
LdapSearchSizeLimit - Non mappato all'oggetto IDM.
LdapSecurityType - Non mappato all'oggetto IDM.
LightningLatencyInfo LightningLatencyState - Non mappato all'oggetto IDM.
Line - Non mappato all'oggetto IDM.
LinkLocalAddressBehavior - Non mappato all'oggetto IDM.
LinkLocalAddressTimeout - Non mappato all'oggetto IDM.
LinkName LocalAccount - Non mappato all'oggetto IDM.
LocalAddressIP4 LocalAddressIP6 LocalAddressMaskIP4 - Non mappato all'oggetto IDM.
LocalAddressMaskIP6 - Non mappato all'oggetto IDM.
LocalAdminAccess - Non mappato all'oggetto IDM.
LocalIpAddressIP4 LocalIpAddressIP6 LocalIpAddressRemovedIP4 LocalIpAddressRemovedIP6 LocalPort LocalSession - Non mappato all'oggetto IDM.
localipCount LockScreenEnabled - Non mappato all'oggetto IDM.
LockScreenStatus LogoffTime LogonDomain LogonId - Non mappato all'oggetto IDM.
LogonInfo security_result.summary Imposta event_type su USER_LOGIN.
LogonServer LogonTime LogonType event.idm.read_only_udm.extensions.auth.mechanism Mappato a un valore enumerato UDM in base al valore LogonType.
LogoffTime LsassHandleFromUnsignedModule MAC event.idm.read_only_udm.principal.mac Vengono convertiti in minuscole e i due punti vengono sostituiti con i trattini.
MACAddress event.idm.read_only_udm.principal.mac I trattini vengono sostituiti con due punti.
MACPrefix - Non mappato all'oggetto IDM.
MachOFileWritten MachOSubType - Non mappato all'oggetto IDM.
MachineDn MachineDomain MajorFunction - Non mappato all'oggetto IDM.
MajorVersion - Non mappato all'oggetto IDM.
Malicious - Non mappato all'oggetto IDM.
ManagedPdbBuildPath MappedFromUserMode - Non mappato all'oggetto IDM.
MaxReassemblySize - Non mappato all'oggetto IDM.
MaxRouterAdvertisementInterval - Non mappato all'oggetto IDM.
MaxThreadCount - Non mappato all'oggetto IDM.
MD5HashData event.idm.read_only_udm.target.file.md5, event.idm.read_only_udm.target.process.file.md5 Se MD5HashData è un hash MD5 valido e non è costituito da zeri, crea un'entità hash MD5 con il valore MD5HashData e aggiungila a event.idm.read_only_udm.target.file.md5 e event.idm.read_only_udm.target.process.file.md5.
MD5String MediaConnectState - Non mappato all'oggetto IDM.
MediaType - Non mappato all'oggetto IDM.
MemoryAvailable - Non mappato all'oggetto IDM.
MemoryRegionProtection - Non mappato all'oggetto IDM.
MemoryRegionStart - Non mappato all'oggetto IDM.
MemoryTotal - Non mappato all'oggetto IDM.
MmioDataSmiEn - Non mappato all'oggetto IDM.
MmioDataTco1Cnt - Non mappato all'oggetto IDM.
MLModelVersion - Non mappato all'oggetto IDM.
MobileDetection MobileDetectionId - Non mappato all'oggetto IDM.
MobileOsIntegrityIntact - Non mappato all'oggetto IDM.
MobileOsIntegrityStatus MobilePowerStats MoboManufacturer - Non mappato all'oggetto IDM.
MoboProductName - Non mappato all'oggetto IDM.
ModelPrediction - Non mappato all'oggetto IDM.
ModuleBaseAddress - Non mappato all'oggetto IDM.
ModuleCharacteristics - Non mappato all'oggetto IDM.
ModuleDetectInfo ModuleLoadCount - Non mappato all'oggetto IDM.
ModuleLoadMechanism - Non mappato all'oggetto IDM.
ModuleLoadTelemetryClassification - Non mappato all'oggetto IDM.
ModuleNativePath - Non mappato all'oggetto IDM.
ModuleSize - Non mappato all'oggetto IDM.
ModifyServiceBinary MostRecentActivityTimeStamp - Non mappato all'oggetto IDM.
MotwWritten mskssrv.sys event.idm.read_only_udm.principal.process.file.full_path Componente di OriginalFilename.
MultipleInstancesPolicy - Non mappato all'oggetto IDM.
name namespace NativePdbBuildPath - Non mappato all'oggetto IDM.
NegateInterface - Non mappato all'oggetto IDM.
NegateLocalAddress - Non mappato all'oggetto IDM.
NegateRemoteAddress - Non mappato all'oggetto IDM.
NeighborList - Non mappato all'oggetto IDM.
NeighborListIP4 NeighborListIP6 NeighborName NetLuidIndex - Non mappato all'oggetto IDM.
NetShareAdd NetShareDelete NetShareSecurityModify NetworkBindCount security_result.detection_fields[0].value Componente dell'evento EndOfProcess.
NetworkCapableAsepWriteCount security_result.detection_fields[0].value Componente dell'evento EndOfProcess.
NetworkCloseCount security_result.detection_fields[0].value Componente dell'evento EndOfProcess.
NetworkCloseIP4 NetworkCloseIP6 NetworkConnectCount security_result.detection_fields[0].value Componente dell'evento EndOfProcess.
NetworkConnectCountUdp security_result.detection_fields[0].value Componente dell'evento EndOfProcess.
NetworkConnectIP4 NetworkConnectIP6 NetworkContainmentState NetworkInterfaceGuid - Non mappato all'oggetto IDM.
NetworkListenCount security_result.detection_fields[0].value Componente dell'evento EndOfProcess.
NetworkListenIP4 NetworkListenIP6 NetworkModuleLoadCount security_result.detection_fields[0].value Componente dell'evento EndOfProcess.
NetworkRecvAcceptCount security_result.detection_fields[0].value Componente dell'evento EndOfProcess.
NetworkReceiveAcceptIP4 NetworkReceiveAcceptIP6 NewExecutableRenamed NewExecutableWritten NewExecutableWrittenCount security_result.detection_fields[0].value Componente dell'evento EndOfProcess.
NewFileIdentifier - Non mappato all'oggetto IDM.
NewScriptWritten NlMtu - Non mappato all'oggetto IDM.
NorthBridgeDeviceId - Non mappato all'oggetto IDM.
NorthBridgeVendorId - Non mappato all'oggetto IDM.
NumberOfMeasurements - Non mappato all'oggetto IDM.
OciContainerId - Non mappato all'oggetto IDM.
OciContainerTelemetry OciContainersStartedCount - Non mappato all'oggetto IDM.
OciContainersStoppedCount - Non mappato all'oggetto IDM.
OleFileWritten OnLinkPrefixLength - Non mappato all'oggetto IDM.
OoxmlFileWritten OperStatus - Non mappato all'oggetto IDM.
OperationFlags - Non mappato all'oggetto IDM.
OperationName OriginalContentLength - Non mappato all'oggetto IDM.
OriginalEventTimeStamp - Non mappato all'oggetto IDM.
OriginalFilename OriginalParentAuthenticationId - Non mappato all'oggetto IDM.
OriginalUserName OriginalUserSid OsfmDownloadComplete OsVersionInfo OU OutBroadcastOctets - Non mappato all'oggetto IDM.
OutDiscards - Non mappato all'oggetto IDM.
OutErrors - Non mappato all'oggetto IDM.
OutMulticastOctets - Non mappato all'oggetto IDM.
OutNUcastPkts - Non mappato all'oggetto IDM.
OutOctets - Non mappato all'oggetto IDM.
OutUcastOctets - Non mappato all'oggetto IDM.
OutUcastPkts - Non mappato all'oggetto IDM.
PackedExecutableWritten Parameter64_1 - Non mappato all'oggetto IDM.
Parameter64_2 - Non mappato all'oggetto IDM.
Parameter64_3 - Non mappato all'oggetto IDM.
ParameterSizedBuffer_1 - Non mappato all'oggetto IDM.
Parameter1 - Non mappato all'oggetto IDM.
Parameter2 - Non mappato all'oggetto IDM.
Parameter3 - Non mappato all'oggetto IDM.
ParentAuthenticationId - Non mappato all'oggetto IDM.
ParentBaseFileName ParentCommandLine event1.ParentCommandLine Parte di Event_DetectionSummaryEvent.
ParentHubInstanceId - Non mappato all'oggetto IDM.
ParentHubPort - Non mappato all'oggetto IDM.
ParentImageFileName event.idm.read_only_udm.principal.process.file.full_path, event1.ParentImageFileName Parte di Event_DetectionSummaryEvent.
ParentProcessId event.idm.read_only_udm.principal.process.product_specific_process_id, event1.ParentProcessId Con prefisso CS:%{cid}:%{aid}:. Parte di Event_DetectionSummaryEvent.
PasswordLastSet - Non mappato all'oggetto IDM.
PathMtuDiscoveryTimeout - Non mappato all'oggetto IDM.
PatternDispositionFlags - Non mappato all'oggetto IDM.
PatternDispositionValue `PatternDisposition

Modifiche

2025-02-25

  • È stata aggiunta la mappatura per l'evento FileIntegrityMonitorRuleMatched come segue: È stata aggiunta la mappatura del campo ObjectName ai campi UDM target.file.full_path, target.registry.registry_value_data, e target.registry.registry_key, in base al valore del campo ObjectType.

2025-02-07

Miglioramento:

  • detectName è stato mappato a security_result.threatname.

2025-01-31

  • È stato gestito il caso limite per il valore intero elevato all'interno del campo del log non elaborato ProcessId e ParentProcessId.
  • È stato aggiunto il campo AgendIdString alla mappatura per il campo UDM principal.process.product_specific_process_id in assenza del campo del log non elaborato aid.
  • È stato aggiunto il campo AgendIdString alla mappatura per il campo UDM principal.process.parent_process.product_specific_process_id in assenza del campo del log non elaborato aid.

2025-01-17

  • È stata aggiunta la funzione gsub per supportare il valore grande di un numero intero all'interno del campo del log non elaborato ProcessId e ParentProcessId.

2025-01-16

Miglioramento:

  • Sono stati mappati EventOrigin, id, KerberosRequestTicketCreationTimeSample, ActiveDirectoryDataProtocol, KerberosRequestTicketValidityPeriod, LdapSearchBaseObjectSample, LdapSearchSizeLimit, DebugInfoUnicode, LdapSecurityType, ActiveDirectoryAuthenticationMethod, SourceAccountType, AggregationEarliestTimestamp, AggregationWindowTimestamp, LdapSearchQueryToken e LdapSearchScope a security_result.detection_fields.
  • SourceEndpointNetworkTag è stato mappato a security_result.description.
  • LocalPortSample è stato mappato a principal.port.
  • RemotePortSample è stato mappato a target.port.
  • LocalAddressIP4Sample è stato mappato a principal.ip e principal.asset.ip.
  • Sono stati mappati LdapSearchFilterShape, TargetAccountType, KerberosAnomaly, LdapSearchQueryClassification e LdapSearchAttributes a additional.fields.

2025-01-09

Miglioramento:

  • È stato aggiunto il supporto per il nuovo evento InstalledBrowserExtension.

2024-12-19

Miglioramento:

  • Quando FileOperatorSid è un SID Windows valido, viene mappato a target.user.windows_sid.

2024-12-18

Miglioramento:

  • La mappatura di OriginalFilename è stata modificata da principal.process.file.full_path a target.process.file.exif_info.original_file.
  • La mappatura di ParentBaseFileName è stata modificata da principal.process.file.full_path a principal.process.file.names.
  • La mappatura di OriginalFilename è stata modificata da principal.process.file.exif_info.original_file a target.process.file.exif_info.original_file.

2024-12-04

Miglioramento:

  • Sono stati mappati ConfigurationDescriptorName, DeviceDescriptorUniqueIdentifier, DeviceVendorId, DeviceUsbClass, ConfigurationDescriptorNumInterfaces, ConfigurationDescriptorMaxPowerDraw e ConfigurationDescriptorAttributes a security_result.detection_fields.
  • DeviceDescriptorSetHash è stato mappato a target.file.sha256.

2024-10-29

Correzione di bug:

  • È stata rimossa la mappatura di SourceFileName a principal.process.file.full_path per gli eventi FILE_MOVE, FILE_MODIFICATION e FILE_READ, in quanto è già mappata a src.file.full_path.

2024-10-09

Miglioramento:

  • SmbNamedPipeName è stato mappato a security_result.detection_fields.
  • RequestType è stato mappato a network.dns.question.type.
  • QueryStatus è stato mappato a network.dns.response_code.
  • IP4Records, IP6Records e CNAMERecords sono stati mappati a network.dns.answer.name.

2024-09-24

Miglioramento:

  • È stato aggiunto un pattern Grok per interrompere l'analisi degli indirizzi IP come principal.hostname.

2024-09-19

Miglioramento:

  • HttpRequest è stato mappato a target.ip.
  • HttpHost è stato mappato a target.hostname.
  • HttpPath è stato mappato a target.url.

2024-09-19

Miglioramento:

  • HttpRequest è stato mappato a target.ip.
  • HttpHost è stato mappato a target.hostname.
  • HttpPath è stato mappato a target.url.

2024-09-12

Miglioramento:

  • Per gli eventi FILE_CREATION, quando ContextImageFileName non è nullo, ContextImageFileName è stato mappato a principal.process.file.full_path.
  • La mappatura di OriginalFilename è cambiata da target.process.file.exif_info.original_file a principal.process.file.exif_info.original_file.

2024-09-10

  • È stato aggiunto il supporto di un nuovo pattern di log JSON.
  • FileVersion e FixedFileVersion sono stati mappati a additional.fields.

2024-09-03

Miglioramento:

  • timestamp è stato mappato a metadata.event_timestamp.

2024-08-29

Correzione di bug:

  • È stato aggiunto on_error per gestire la situazione in cui TaskExecCommand è null.

2024-08-20

Miglioramento:

  • IsOnRemovableDisk, RegOperationType e RegType sono stati mappati a additional.fields.

2024-08-06

Miglioramento:

  • tar_user è stato mappato a target.user.userid.

2024-07-24

Miglioramento:

  • La mappatura di LocalAddressIP4 è stata modificata da target.ip a principal.ip.
  • Quando direction è INBOUND, la mappatura di RemoteAddressIP4 è stata modificata da principal.ip a src.ip.
  • Quando direction è OUTBOUND, la mappatura di RemoteAddressIP4 è stata modificata da principal.ip a target.ip.

2024-07-08

Miglioramento:

  • Description è stato mappato a security_result.description.
  • Name è stato mappato a security_result.threat_name.
  • CompositeId è stato mappato a additional.fields.
  • id è stato mappato a metadata.product_log_id.

2024-06-25

Miglioramento:

  • SourceFileName è stato mappato a principal.process.file.full_path.
  • OdsFileName e ImageFileName sono stati mappati a target.process.file.full_path.
  • Quando event_simpleName è MotwWritten, metadata.event_type viene mappato a FILE_CREATION.

2024-06-06

Miglioramento:

  • OriginalFilename è stato mappato a target.process.file.exif_info.original_file.

2024-05-31

Miglioramento:

  • os_version è stato mappato a principal.platform_version.
  • hostname è stato mappato a principal.hostname e principal.asset.hostname.
  • Sono stati mappati product_type_desc, host_hidden_status, scores.os, scores.sensor, scores.version, scores.overall e scores.modified_time a security_result.detection_fields.

2024-05-23

Miglioramento:

  • Version è stato mappato a principal.platform_version.

2024-05-21

Miglioramento:

  • Quando event_simpleName è FileWritten, NetworkConnect o DnsRequest, ContextBaseFileName viene mappato a principal.process.file.full_path.
  • QuarantinedFileName è stato mappato a principal.process.file.full_path.

2024-05-15

Miglioramento:

  • Version, BiosVersion e ChassisType sono stati mappati a principal.asset.attribute.labels.
  • Continent, OU e SiteName sono stati mappati a additional.fields.

2024-04-17

Miglioramento:

  • ModuleILPath è stato mappato a target.resource.attribute.labels.

2024-04-08

Correzione di bug:

  • Quando event_simpleName è ClassifiedModuleLoad, metadata.event_type è passato da STATUS_UPDATE a PROCESS_MODULE_LOAD.

2024-02-21

Miglioramento:

  • SubjectDN è stato mappato a security_result.about.artifact.last_https_certificate.subject.
  • IssuerDN è stato mappato a security_result.about.artifact.last_https_certificate.issuer.
  • SubjectCertValidTo è stato mappato a security_result.about.artifact.last_https_certificate.validity.issue_time.
  • SubjectCertValidFrom è stato mappato a security_result.about.artifact.last_https_certificate.validity.expiry_time.
  • SubjectSerialNumber è stato mappato a security_result.about.artifact.last_https_certificate.serial_number.
  • SubjectVersion è stato mappato a security_result.about.artifact.last_https_certificate.version.
  • SubjectCertThumbprint è stato mappato a security_result.about.artifact.last_https_certificate.thumbprint.
  • SignatureDigestAlg è stato mappato a security_result.about.artifact.last_https_certificate.signature_algorithm.
  • SignatureDigestEncryptAlg è stato mappato a security_result.about.artifact.last_https_certificate.cert_signature.signature_algorithm.
  • AuthenticodeHashData è stato mappato a target.file.authentihash.
  • AuthorityKeyIdentifier è stato mappato a security_result.about.artifact.last_https_certificate.extension.authority_key_id.keyid e security_result.about.artifact.last_https_certificate.cert_extensions.fields.
  • SubjectKeyIdentifier è stato mappato a security_result.about.artifact.last_https_certificate.extension.subject_key_id e security_result.about.artifact.last_https_certificate.cert_extensions.fields.
  • OriginalFilename è stato mappato a additional.fields.
  • Sono stati mappati SignInfoFlagUnknownError, SignInfoFlagHasValidSignature, SignInfoFlagSignHashMismatch, AuthenticodeMatch, SignInfoFlagMicrosoftSigned, SignInfoFlagNoSignature, SignInfoFlagInvalidSignChain, SignInfoFlagNoCodeKeyUsage, SignInfoFlagNoEmbeddedCert, SignInfoFlagThirdPartyRoot, SignInfoFlagCatalogSigned, SignInfoFlagSelfSigned, SignInfoFlagFailedCertCheck, SignInfoFlagEmbeddedSigned, IssuerCN, SubjectCN a security_result.detection_fields.

2023-12-22

  • HostUrl è stato mappato a target.url.
  • ReferrerUrl è stato mappato a network.http.referral_url.

2023-11-23

  • Quando is_alert è impostato su true, event.idm.is_significant viene mappato a true.
  • Quando is_alert è impostato su true, event_simpleName viene mappato a security_result.summary.

2023-10-11

  • È stato aggiunto un controllo con espressioni regolari per convalidare i valori SHA1, MD5 e SHA256.

2023-08-22

  • Technique mappato a security_result.attack_details.techniques.name e dettagli corrispondenti di tecnica e tattica.

2023-08-03

Miglioramento:

  • ReflectiveDllName è stato mappato a target.file.full_path.
  • event_type è stato mappato a STATUS_UPDATE per i log in cui il campo DomainName è assente.

2023-08-01

  • Tactic è stato mappato a security_result.attack_details.tactics.name e al relativo ID tactics.

2023-07-31

Correzione di bug:

  • È stato aggiunto il controllo on_error per il filtro data.

2023-06-19

  • ParentBaseFileName è stato mappato a principal.process.file.full_path.
  • È stata rimossa la mappatura di ImageFileName a target.file.full_path perché è già mappata a target.process.file.full_path per gli eventi ProcessRollup2 e SyntheticProcessRollup2.

2023-05-12

Miglioramento:

  • "aip" è stato mappato a "intermediary.ip".

2023-05-08

Correzione di bug:

  • Converti i formati di tempo in stringa e gestisci il formato di tempo in nanosecondi.

2023-04-14

Miglioramento:

  • Il valore Severity dell'intervallo [0-19] è stato modificato in security_result.severity come INFORMATIONAL.
  • Il valore Severity dell'intervallo [20-39] è stato modificato da security_result.severity in LOW.
  • Il valore Severity dell'intervallo [40-59] è stato modificato da security_result.severity in MEDIUM.
  • Il valore Severity dell'intervallo [60-79] è stato modificato in security_result.severity come HIGH.
  • Il valore Severity dell'intervallo [80-100] è stato modificato in security_result.severity come CRITICAL.
  • PatternId è stato mappato a security_result.detection_fields.
  • SourceEndpointIpAddress è stato mappato a principal.ip.
  • metadata.event_type è stato mappato a USER_UNCATEGORIZED quando event_simpleName =~ userlogonfailed e le informazioni utente non sono presenti.
  • metadata.event_type mappato a USER_UNCATEGORIZED quando ExternalApiType =Event_UserActivityAuditEvent`` e contiene informazioni sull'utente.
  • metadata.event_type è stato mappato a USER_UNCATEGORIZED quando event_simpleName =~ActiveDirectory`.
  • TargetAccountObjectGuid è stato mappato a additional.fields.
  • TargetDomainControllerObjectGuid è stato mappato a additional.fields.
  • TargetDomainControllerObjectSid è stato mappato a additional.fields.
  • AggregationActivityCount è stato mappato a additional.fields.
  • TargetServiceAccessIdentifier è stato mappato a additional.fields.
  • SourceAccountUserPrincipal è stato mappato a principal.user.userid.
  • SourceEndpointAddressIP4 è stato mappato a principal.ip.
  • SourceAccountObjectGuid è stato mappato a additional.fields.
  • AccountDomain è stato mappato a principal.administrative_domain.
  • AccountObjectGuid è stato mappato a metadata.product_log_id.
  • AccountObjectSid è stato mappato a principal.user.windows_sid.
  • SamAccountName è stato mappato a principal.user.user_display_name.
  • SourceAccountSamAccountName è stato mappato a principal.user.user_display_name.
  • IOARuleGroupName è stato mappato a security_result.detection_fields.
  • IOARuleName è stato mappato a security_result.detection_fields.
  • RemoteAddressIP4 è stato mappato a target.ip per event_simpleName=RegCredAccessDetectInfo.

2023-03-24

  • id è stato mappato a metadata.product_log_id anziché a target.resource.id.
  • RegBinaryValue è stato mappato a target.registry.registry_value_data se sia RegNumericValue che RegStringValue sono null.

2023-03-21

Miglioramento:

  • BatchTimestamp, GcpCreationTimestamp, K8SCreationTimestamp, AwsCreationTimestamp sono stati mappati a metadata.event_timestamp.
  • FileOperatorSid è stato mappato a target.user.windows_sid.

2023-03-13

Miglioramento:

  • Sono stati mappati LogonTime, ProcessStartTime, ContextTimeStamp, ContextTimeStamp_decimal e AccountCreationTimeStamp a metadata.event_timestamp.

2023-03-10

Miglioramento:

  • CallStackModuleNamesVersion,CallStackModuleNamesVersion sono stati mappati a security_result.detection_fields.

2023-02-28

Miglioramento:

  • Sono state modificate le seguenti mappature per il campo ParentProcessId quando event_simpleName è in [ProcessRollup2, SyntheticProcessRollup2]
  • target.process.parent_process.pid modificato in target.process.parent_process.product_specific_process_id

2023-02-16

Miglioramento:

  • Il campo AssociatedFile è stato mappato a security_result.detection_fields[n].value e security_result.detection_fields[n].key a AssociatedIOCFile.

2023-02-09

Miglioramento:

  • I campi mappati in target.labels sono stati rimappati in target.resource.attribute.labels.
  • È stata rettificata la mappatura di ManagedPdbBuildPath a target.resource.attribute.labels.

2023-02-09

Miglioramento:

  • I campi mappati in target.labels sono stati rimappati in target.resource.attribute.labels.
  • È stata rettificata la mappatura di ManagedPdbBuildPath a target.resource.attribute.labels.

2023-01-15

Correzione di bug:

  • aid per l'evento UserLogonFailed è stato rimappato a target.asset_id da principal.asset_id.

2023-01-13

Miglioramento:

  • Nome utente mappato a principal.user.userid per event_type ScheduledTaskModified e ScheduledTaskRegistered.
  • AssemblyName,ManagedPdbBuildPath,ModuleILPath mappati a target.labels quando metadata.product_event_type = ReflectiveDotnetModuleLoad
  • VirtualDriveFileName,VolumeName mappato a target.labels quando metadata.product_event_type = RemovableMediaVolumeMounted
  • ImageFileName mappato a target.file.full_path quando metadata.product_event_type = ClassifiedModuleLoad

2023-01-13

Miglioramento:

  • Nome utente mappato a principal.user.userid per event_type ScheduledTaskModified e ScheduledTaskRegistered.
  • AssemblyName,ManagedPdbBuildPath,ModuleILPath mappati a target.labels quando metadata.product_event_type = ReflectiveDotnetModuleLoad
  • VirtualDriveFileName,VolumeName mappato a target.labels quando metadata.product_event_type = RemovableMediaVolumeMounted
  • ImageFileName mappato a target.file.full_path quando metadata.product_event_type = ClassifiedModuleLoad

2023-01-02

Miglioramento:

  • Nome utente mappato a principal.user.userid per event_type ScheduledTaskModified e ScheduledTaskRegistered.

2022-12-22

Miglioramento:

  • RemoteAddressIP4 è stato mappato a principal.ip per event_type=Userlogonfailed2

2022-11-04

Miglioramento:

  • GrandparentImageFileName è stato mappato a principal.process.parent_process.parent_process.file.full_path.
  • GrandparentCommandLine mappato a principal.process.parent_process.parent_process.commamdLine

2022-11-03

Correzione di bug:

  • Quando event_simpleName è InstalledApplication, i parametri riportati di seguito vengono mappati.
  • AppName è stato mappato a principal.asset.software.name.
  • AppVersion è stato mappato a principal.asset.software.version.

2022-10-12

Correzione di bug:

  • discoverer_aid è stato mappato a resource.attribute.labels.
  • NeighborName è stato mappato a intermediary.hostname.
  • subnet è stato mappato a additional.fields.
  • localipCount è stato mappato a additional.fields.
  • aipCount è stato mappato a additional.fields.
  • È stato aggiunto il controllo condizionale per LogonServer

2022-10-07

Correzione di bug:

  • La mappatura di CommandLine è stata modificata da principal.process.command_line a target.process.command_line.

2022-09-13

Correzione di bug:

  • È stato mappato metadata.event_type a REGISTRY_CREATION se RegOperationType è 3.
  • È stato mappato event_type a REGISTRY_DELETION se RegOperationType è 4 o 102.
  • Event_type è stato mappato a REGISTRY_MODIFICATION se RegOperationType è 5,7,9,101 o 1.
  • event_type è stato mappato a REGISTRY_UNCATEGORIZED se RegOperationType non è nullo e non in tutti i casi precedenti.

2022-09-02

Miglioramento:

  • Definisci il campo UserPrincipal in statedata.

2022-08-30

Miglioramento:

  • È stato definito il campo UserPrincipal in statedata.

2022-08-21

Miglioramento:

  • ActivityId è stato mappato a additional.fields.
  • SourceEndpointHostName è stato mappato a principal.hostname.
  • SourceAccountObjectSid è stato mappato a principal.user.windows_sid.
  • È stata aggiunta una condizione per analizzare LocalAddressIP4 e aip.
  • metadata.event_type è stato mappato a STATUS_UPDATE se ComputerName e LocalAddressIP4 non sono null.
  • SourceEndpointAccountObjectGuid è stato mappato a metadata.product_log_id.
  • SourceEndpointAccountObjectSid è stato mappato a target.user.windows_sid.
  • SourceEndpointHostName è stato mappato a principal.hostname.

2022-08-18

Correzione di bug:

  • Sono stati mappati i seguenti campi:
  • event.PatternDispositionValue a security_result.about.labels.
  • event.ProcessId a principal.process.product_specific_process_id.
  • event.ParentProcessId a target.process.parent_process.pid.
  • event.ProcessStartTime a security_result.detection_fields.
  • event.ProcessEndTime a security_result.detection_fields.
  • event.ComputerName a principal.hostname.
  • event.UserName a principal.user.userid.
  • event.DetectName a security_result.threat_name.
  • event.DetectDescription a security_result.description.
  • event.SeverityName a security_result.severity.
  • event.FileName a target.file.full_path.
  • event.FilePath a target.file.full_path.
  • event.CommandLine a principal.process.command_line.
  • event.SHA256String a target.file.sha256.
  • event.MD5String a security_result.about.file.md5.
  • event.MachineDomain a principal.administrative_domain.
  • event.FalconHostLink a intermediary.url.
  • event.LocalIP a principal.ip.
  • event.MACAddress a principal.mac.
  • event.Tactic a security_result.detection_fields.
  • event.Technique a security_result.detection_fields.
  • event.Objective a security_result.rule_name.
  • event.PatternDispositionDescription a security_result.summary.
  • event.ParentImageFileName a principal.process.parent_process.file.full_path.
  • event.ParentCommandLine a principal.process.parent_process.command_line.

2022-07-29

Miglioramento:

  • event_category,event_module,Hmac è stato mappato a additional.fields.
  • user_name è stato mappato a principal.user.userid.
  • event_source è stato mappato a target.application.
  • È stato aggiunto il pattern grok per auth_group and new logs.
  • È stato aggiunto il controllo per principal_ip,target_ip and event_type.

2022-07-25

Correzione di bug:

  • metadata.event_type è stato mappato a USER_RESOURCE_ACCESS, dove eventType è K8SDetectionEvent
  • metadata.event_type è stato mappato a STATUS_UPDATE se metadata.event_type è nullo e principal.asset_id non è nullo.
  • SourceAccountDomain mappato a principal.administrative_domain
  • SourceAccountName mappato a principal.user.userid
  • metadata.event_type è stato mappato a STATUS_UPDATE, dove EventType è Event_ExternalApiEvent e OperationName è in [quarantined_file_update, detection_update, update_rule]
  • metadata.event_type è stato mappato a USER_RESOURCE_ACCESS se FilePath è nullo e FileName è nullo o AgentIdString è nullo.
  • metadata.event_type è stato mappato a STATUS_UPDATE se Protocol è null.
  • È stato aggiunto il controllo condizionale per MD5String,SHA256String,CommandLine,AgentIdString,ProcessId,ParentProcessId,FilePath,FileName.

2022-07-12

Miglioramento:

  • Per event_simpleName: DriverLoad,ProcessRollup,PeVersionInfo,PeFileWritten,TemplateDetectAnalysis,ScriptControlDetectInfo.
  • OriginalFilename mappato a principal.process.file.full_path

2022-06-20

Miglioramento:

  • ConfigBuild è stato mappato a security_result.detection_fields.
  • EffectiveTransmissionClass è stato mappato a security_result.detection_fields.
  • Entitlements è stato mappato a security_result.detection_fields.

2022-06-14

Miglioramento:

  • CompanyName mappato a target.user.company_name
  • AccountType mappato a target.user.role_description
  • ProductVersion mappato a metadata.product_version
  • LogonInfo mappato a principal.ip
  • MAC mappato a principal.mac
  • UserSid_readable mappato a target.user.windows_sid
  • FileName mappato a target.file.full_path
  • _time mappato a metadata.event_timestamp
  • È stato aggiunto il controllo condizionale per MD5HashData, SHA256HashData, UserName, id, RegObjectName, RegStringValue, RegValueName, UserSid, TargetFileName, aid

2022-06-02

Correzione di bug:

  • È stato rimosso il nome della chiave e il carattere due punti da security_result.detection_fields.value.

2022-05-27

Miglioramento:

  • Mappatura aggiuntiva: SHA256String e MD5String a security_result.about.file per essere visualizzati come evento di avviso.

2022-05-20

Miglioramento:

  • LinkName è stato mappato a target.resource.attribute.labels.
  • Le possibili occorrenze di GENERIC_EVENTS sono state impostate su STATUS_UPDATE.
  • È stata aggiunta una barra verticale tra il processo e la relativa directory principale principale.
  • Piattaforma analizzata se event_platform è iOS.
  • La risorsa resource.type è stata modificata in resource_type.

2022-05-12

Miglioramento:

  • resourceName mappato a target.resource.name
  • resourceId mappato a target.resource.product_object_id
  • Spazio dei nomi mappato a target.namespace
  • Categoria mappata a security_result.category_details
  • descrizione mappata a security_result.description
  • sourceAgent mappato a network.http.user_agent
  • Gravità mappata a security_result.severity
  • resourceKind mappato a target.resource.type
  • detectionName mappato a target.resource.name
  • clusterName mappato a target.resource.attribute.labels
  • clusterId mappato a target.resource.attribute.labels
  • detectionId mappato a target.resource.attribute.labels
  • Tipo mappato a campi.aggiuntivi
  • Correzione di additional.fields
  • Benchmark per additional.fields
  • badResources a additional.fields

2022-04-27

Correzione di bug:

  • È stato modificato il tipo di evento udm da GENERIC_EVENT a USER_LOGIN per i log con ExternalApiType = Event_AuthActivityAuditEvent.
  • Le mappature di target_user, actor_user e actor_user_uuid sono state modificate da additional.fields a target.user.email_addresses, target.user.user_display_name e target.user.userid rispettivamente.

2022-04-25

Miglioramento:

  • RemoteAddressIP4 è stato mappato a principal.ip.

2022-04-14

Correzione di bug:

  • È stato aggiunto il supporto per il campo ScriptContent per tutti i tipi di log

2022-04-13

Miglioramento:

  • Sono state aggiunte mappature per i nuovi campi
  • Sono state aggiunte nuove mappature di eventi: AuthenticationPackage mappato a target.resource.name

2022-04-04

Correzione di bug:

  • OriginatingURL è stato mappato a principal.url per gli eventi NetworkConnect.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.