Raccogliere i log di CrowdStrike Falcon in CEF
Questo documento spiega come raccogliere i log di CrowdStrike Falcon in formato CEF utilizzando Bindplane. Il parser estrae le coppie chiave-valore e le mappa al modello di dati unificato (UDM), gestisce diversi delimitatori e arricchisce i dati con un contesto aggiuntivo, come la gravità e i tipi di eventi. Esegue inoltre trasformazioni specifiche per determinati tipi di eventi e campi, ad esempio gli accessi utente e i risultati di sicurezza.
Prima di iniziare
- Assicurati di avere un'istanza Google Security Operations.
- Assicurati di utilizzare Windows 2016 o versioni successive o un host Linux con
systemd
. - Se il servizio è eseguito dietro un proxy, assicurati che le porte del firewall siano aperte.
- Assicurati di disporre dell'accesso privilegiato alla console CrowdStrike Falcon.
- Ottieni le credenziali API per Falcon Stream (ID cliente e client secret).
Ottenere il file di autenticazione di importazione di Google SecOps
- Accedi alla console Google SecOps.
- Vai a Impostazioni SIEM > Agenti di raccolta.
- Scarica il file di autenticazione dell'importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.
Ottenere l'ID cliente Google SecOps
- Accedi alla console Google SecOps.
- Vai a Impostazioni SIEM > Profilo.
- Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.
Installa l'agente Bindplane
Installazione di Windows
- Apri il prompt dei comandi o PowerShell come amministratore.
Esegui questo comando:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Installazione di Linux
- Apri un terminale con privilegi di root o sudo.
Esegui questo comando:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Risorse di installazione aggiuntive
- Per altre opzioni di installazione, consulta questa guida all'installazione.
Configura l'agente Bindplane per importare Syslog e inviarlo a Google SecOps
Accedi al file di configurazione:
- Individua il file
config.yaml
. In genere si trova nella directory/etc/bindplane-agent/
su Linux o nella directory di installazione su Windows. - Apri il file utilizzando un editor di testo (ad esempio
nano
,vi
o Blocco note).
- Individua il file
Modifica il file
config.yaml
come segue:receivers: tcplog: # Replace the port and IP address as required listen_address: "0.0.0.0:54525" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: SYSLOG namespace: cs_falcon raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - tcplog exporters: - chronicle/chronicle_w_labels
Sostituisci la porta e l'indirizzo IP come richiesto nella tua infrastruttura.
Sostituisci
<customer_id>
con l'ID cliente effettivo.Aggiorna
/path/to/ingestion-authentication-file.json
con il percorso in cui è stato salvato il file di autenticazione nella sezione Ottenere il file di autenticazione per l'importazione di Google SecOps.
Riavvia l'agente Bindplane per applicare le modifiche
Per riavviare l'agente Bindplane in Linux, esegui il seguente comando:
sudo systemctl restart bindplane-agent
Per riavviare l'agente Bindplane in Windows, puoi utilizzare la console Servizi o inserire il seguente comando:
net stop BindPlaneAgent && net start BindPlaneAgent
Configurare e ottenere una chiave API CrowdStrike
- Accedi a CrowdStrike Falcon con un account con privilegi.
- Vai a Menu > Assistenza.
- Fai clic su Client API > KeysSelect.
- Fai clic su Aggiungi nuovo client API.
- Nella sezione Ampi dello spazio di dati dell'API, seleziona Stream di eventi e Allerte > attiva l'opzione Lettura.
- Fai clic su Aggiungi.
- Copia e salva l'ID client, il token segreto e l'URL di base.
Installa Falcon SIEM Connector
- Scarica il pacchetto di installazione RPM per il tuo sistema operativo.
Installazione del pacchetto:
Sistema operativo CentOS:
sudo rpm -Uvh <installer package>
Sistema operativo Ubuntu:
sudo dpkg -i <installer package>
Directory di installazione predefinite:
- Falcon SIEM Connector -
/opt/crowdstrike/
. - Servizio:
/etc/init.d/cs.falconhoseclientd/
.
- Falcon SIEM Connector -
Configurare il connettore SIEM per inoltrare i log CEF a Bindplane
- Accedi alla macchina su cui è installato SIEM Connector come utente
sudo
. - Vai alla directory
/opt/crowdstrike/etc/
. - Rinomina
cs.falconhoseclient.cef.cfg
incs.falconhoseclient.cfg
.- Il connettore SIEM utilizza la configurazione
cs.falconhoseclient.cfg
per impostazione predefinita.
- Il connettore SIEM utilizza la configurazione
- Modifica il file
cs.falconhoseclient.cfg
e modifica/imposta i seguenti parametri:api_url:
: l'URL base di CrowdStrike Falcon copiato dal passaggio precedente.app_id:
: qualsiasi stringa come identificatore per la connessione all'API Falcon Streaming (ad esempio, impostata suapp_id: SECOPS-CEF
).client_id:
: il valoreclient_id
copiato dal passaggio precedente.client_secret:
: il valoreclient_secret
copiato dal passaggio precedente.send_to_syslog_server: true
: attiva il push al server Syslog.host:
: l'IP o il nome host dell'agente Bindplane.port:
: la porta dell'agente Bindplane.
- Salva il file
cs.falconhoseclient.cfg
. Avvia il servizio SIEM Connector:
Sistema operativo CentOS
sudo service cs.falconhoseclientd start
Sistema operativo Ubuntu 16.04 o versioni successive
sudo systemctl start cs.falconhoseclientd.service
(Facoltativo) Interrompi il servizio SIEM Connector:
Sistema operativo CentOS
sudo service cs.falconhoseclientd stop
Sistema operativo Ubuntu 16.04 o versioni successive
sudo systemctl stop cs.falconhoseclientd.service
(Facoltativo) Riavvia il servizio SIEM Connector:
Sistema operativo CentOS
sudo service cs.falconhoseclientd restart
Sistema operativo Ubuntu 16.04 o versioni successive
sudo systemctl restart cs.falconhoseclientd.service
Tabella di mappatura UDM
Campo log | Mappatura UDM | Logica |
---|---|---|
AccountCreationTimeStamp |
event.idm.read_only_udm.metadata.event_timestamp |
Il campo del log non elaborato AccountCreationTimeStamp è stato rinominato in event.idm.read_only_udm.metadata.event_timestamp . |
AccountDomain |
event.idm.read_only_udm.principal.administrative_domain |
Il campo del log non elaborato AccountDomain è stato rinominato in event.idm.read_only_udm.principal.administrative_domain . |
AccountObjectGuid |
event.idm.read_only_udm.metadata.product_log_id |
Il campo del log non elaborato AccountObjectGuid è stato rinominato in event.idm.read_only_udm.metadata.product_log_id . |
AccountObjectSid |
event.idm.read_only_udm.principal.user.windows_sid |
Il campo del log non elaborato AccountObjectSid è stato rinominato in event.idm.read_only_udm.principal.user.windows_sid . |
AccessType |
- | Non mappato all'oggetto IDM. |
action_taken |
event.idm.read_only_udm.additional.fields[0].value.string_value |
Parte dell'array AuditKeyValues . |
ActiveCpuCount |
- | Non mappato all'oggetto IDM. |
ActiveDirectoryAuthenticationMethod |
- | Non mappato all'oggetto IDM. |
ActiveDirectoryDataProtocol |
- | Non mappato all'oggetto IDM. |
AddressFamily |
- | Non mappato all'oggetto IDM. |
AdminStatus |
- | Non mappato all'oggetto IDM. |
AllocateVirtualMemoryCount |
security_result.detection_fields[0].value |
Componente dell'evento EndOfProcess . |
agent-windows |
event.idm.read_only_udm.target.file.full_path |
Componente di TargetFileName. |
AgentIdString |
event.idm.read_only_udm.principal.asset_id |
Con prefisso CS: . |
AgentLoadFlags |
- | Non mappato all'oggetto IDM. |
AgentLocalTime |
- | Non mappato all'oggetto IDM. |
AgentOnline AgentTimeOffset |
- | Non mappato all'oggetto IDM. |
AgentVersion AggregationActivityCount AggregationEarliestTimestamp |
- | Non mappato all'oggetto IDM. |
aid |
event.idm.read_only_udm.principal.asset_id |
Con prefisso CS: . |
aip |
event.idm.read_only_udm.principal.nat_ip |
Quando _aid_is_target è false, se aip non è null, crea un'entità IP con il valore di aip e aggiungila a event.idm.read_only_udm.principal.nat_ip . |
aipCount AllocVmEtw AllocationType |
- | Non mappato all'oggetto IDM. |
AllowHardTerminate |
- | Non mappato all'oggetto IDM. |
AllowStartOnDemand |
- | Non mappato all'oggetto IDM. |
ApcArgument1 |
- | Non mappato all'oggetto IDM. |
ApcArgument2 |
- | Non mappato all'oggetto IDM. |
ApcContextAddress |
- | Non mappato all'oggetto IDM. |
ApcContextFileName |
- | Non mappato all'oggetto IDM. |
ApcContext |
- | Non mappato all'oggetto IDM. |
ApplicationName ApplicationUniqueIdentifier |
- | Non mappato all'oggetto IDM. |
ApplicationVersion |
- | Non mappato all'oggetto IDM. |
AppIs64Bit |
- | Non mappato all'oggetto IDM. |
AppName AppPath AppPathFlag |
- | Non mappato all'oggetto IDM. |
AppProductId |
- | Non mappato all'oggetto IDM. |
AppType |
- | Non mappato all'oggetto IDM. |
AppUpdateIds |
- | Non mappato all'oggetto IDM. |
AppVendor |
- | Non mappato all'oggetto IDM. |
AppVersion ArchiveFileWrittenCount |
security_result.detection_fields[0].value |
Componente dell'evento EndOfProcess . |
AsepClass |
- | Non mappato all'oggetto IDM. |
AsepFileChange AsepFlags |
- | Non mappato all'oggetto IDM. |
AsepIndex |
- | Non mappato all'oggetto IDM. |
AsepKeyUpdate AsepValueUpdate AsepValueType |
- | Non mappato all'oggetto IDM. |
AsepWrittenCount |
security_result.detection_fields[0].value |
Componente dell'evento EndOfProcess . |
AssociateIndicator AssociateTreeIdWithRoot AssemblyFlags |
- | Non mappato all'oggetto IDM. |
AssemblyId |
- | Non mappato all'oggetto IDM. |
AssemblyName AuthenticationId |
event.idm.read_only_udm.principal.user.product_object_id |
Con prefisso CS: . |
AuthenticationPackage AuthenticationUuid |
- | Non mappato all'oggetto IDM. |
AuthenticationUuidAsString |
- | Non mappato all'oggetto IDM. |
AuthenticodeHashData AuthenticodeMatch automated_remediation |
assessments.automated_remediation |
Componente dell'evento ZeroTrustHostAssessment . |
BaseReachableTime |
- | Non mappato all'oggetto IDM. |
BaseTime |
- | Non mappato all'oggetto IDM. |
BatchDataNumber |
- | Non mappato all'oggetto IDM. |
BatchDataTotal |
- | Non mappato all'oggetto IDM. |
BatchTimestamp BatteryLevel |
- | Non mappato all'oggetto IDM. |
BatteryStatus |
- | Non mappato all'oggetto IDM. |
BehaviorWhitelisted benchmarks BenignCount |
- | Non mappato all'oggetto IDM. |
beta_build_disabled |
assessments.beta_build_disabled |
Componente dell'evento ZeroTrustHostAssessment . |
BinaryExecutableWrittenCount |
security_result.detection_fields[0].value |
Componente dell'evento EndOfProcess . |
BillingInfo BillingType |
- | Non mappato all'oggetto IDM. |
BiosManufacturer BiosReleaseDate |
- | Non mappato all'oggetto IDM. |
BiosVersion BITSJobCreated BootArgs |
- | Non mappato all'oggetto IDM. |
BootId |
- | Non mappato all'oggetto IDM. |
BootStatusDataAabEnabled |
- | Non mappato all'oggetto IDM. |
BootStatusDataBootAttemptCount |
- | Non mappato all'oggetto IDM. |
BootStatusDataBootGood |
- | Non mappato all'oggetto IDM. |
BootStatusDataBootShutdown |
- | Non mappato all'oggetto IDM. |
BootTimeFunctionalityLevel |
- | Non mappato all'oggetto IDM. |
BrowserInjectedThread BundleID |
- | Non mappato all'oggetto IDM. |
CallStackModuleNames CallStackModuleNamesVersion ChannelId |
- | Non mappato all'oggetto IDM. |
ChannelVersion |
- | Non mappato all'oggetto IDM. |
ChannelVersionRequired ChasisManufacturer |
- | Non mappato all'oggetto IDM. |
ChassisType cid City CLICreationCount |
security_result.detection_fields[0].value |
Componente dell'evento EndOfProcess . |
ClassifiedModuleLoad CloudAssociateTreeIdWithRoot CloudErrorCode |
- | Non mappato all'oggetto IDM. |
CNAMERecords CodeIntegrity |
- | Non mappato all'oggetto IDM. |
CommandLine CommandSequence |
- | Non mappato all'oggetto IDM. |
CompletionEventId |
- | Non mappato all'oggetto IDM. |
ComputerName |
event.idm.read_only_udm.principal.hostname , event.idm.read_only_udm.principal.asset.hostname |
Se ComputerName non è nullo, una stringa vuota o un trattino, crea un'entità hostname con il valore ComputerName e aggiungila a event.idm.read_only_udm.principal.hostname e event.idm.read_only_udm.principal.asset.hostname . |
ConfigBuild ConfigIDBase |
- | Non mappato all'oggetto IDM. |
ConfigIDBuild |
- | Non mappato all'oggetto IDM. |
ConfigIDPlatform |
- | Non mappato all'oggetto IDM. |
ConfigurationVersion |
- | Non mappato all'oggetto IDM. |
ConfigStateData |
- | Non mappato all'oggetto IDM. |
ConfigStateHash ConfigStateUpdate ConnectTime |
- | Non mappato all'oggetto IDM. |
ConnectType |
- | Non mappato all'oggetto IDM. |
Connected |
- | Non mappato all'oggetto IDM. |
ConnectionCipher |
- | Non mappato all'oggetto IDM. |
ConnectionCipherStrength |
- | Non mappato all'oggetto IDM. |
ConnectionDirection |
- | Non mappato all'oggetto IDM. |
ConnectionExchange |
- | Non mappato all'oggetto IDM. |
ConnectionExchangeStrength |
- | Non mappato all'oggetto IDM. |
ConnectionFlags |
- | Non mappato all'oggetto IDM. |
ConnectionHash |
- | Non mappato all'oggetto IDM. |
ConnectionHashStrength |
- | Non mappato all'oggetto IDM. |
ConnectionProtocol |
- | Non mappato all'oggetto IDM. |
ConnectionType |
- | Non mappato all'oggetto IDM. |
Continent ContentSHA256HashData ContextData |
- | Non mappato all'oggetto IDM. |
ContextProcessId |
event.idm.read_only_udm.principal.process.product_specific_process_id , event.idm.read_only_udm.target.process.product_specific_process_id |
Con prefisso CS:%{cid}:%{aid}: . |
ContextThreadId |
- | Non mappato all'oggetto IDM. |
ContextTimeStamp ContextTimeStamp_decimal Country CrashDumpFilePath |
- | Non mappato all'oggetto IDM. |
CrashNotification CreateProcessArgs CreateProcessCount |
security_result.detection_fields[0].value |
Componente dell'evento EndOfProcess . |
CreateService CreateThreadNoStartImage CreationTimeStamp |
- | Non mappato all'oggetto IDM. |
CriticalFileAccessed CriticalFileModified CsaProcessDataCollectionInstanceId |
- | Non mappato all'oggetto IDM. |
CurrentFunctionalityLevel |
- | Non mappato all'oggetto IDM. |
CurrentLocalIP |
- | Non mappato all'oggetto IDM. |
CurrentSystemTags CustomerIdString CycleTime |
- | Non mappato all'oggetto IDM. |
DadState |
- | Non mappato all'oggetto IDM. |
DadTransmits |
- | Non mappato all'oggetto IDM. |
DcName |
event.idm.read_only_udm.principal.user.userid |
Il campo del log non elaborato DcName è stato rinominato in event.idm.read_only_udm.principal.user.userid . |
DcNumAttachments |
- | Non mappato all'oggetto IDM. |
DcNumBlockingPolicies |
- | Non mappato all'oggetto IDM. |
DcOnline DcPropertyIdInterfaceType |
- | Non mappato all'oggetto IDM. |
DcPropertyIdInterfaceVersion |
- | Non mappato all'oggetto IDM. |
DcSensorInterfaceType |
- | Non mappato all'oggetto IDM. |
DcSensorInterfaceVersion |
- | Non mappato all'oggetto IDM. |
DcStatus DcUsbConfigurationDescriptor DcUsbDeviceConnected DcUsbDeviceDisconnected DcUsbEndpointDescriptor DcUsbHIDDescriptor DcUsbInterfaceDescriptor DCSyncAttempted Debug |
- | Non mappato all'oggetto IDM. |
DefaultGatewayIP4 |
- | Non mappato all'oggetto IDM. |
DefaultGatewayIP6 |
- | Non mappato all'oggetto IDM. |
DefaultGatewayPhysicalAddress |
- | Non mappato all'oggetto IDM. |
DeepHashBlacklistClassification DeepHashBlacklistVersion |
- | Non mappato all'oggetto IDM. |
DeliverLocalFXToCloud DesiredAccess detectionId detectionName DetectDescription DetectId |
- | Non mappato all'oggetto IDM. |
DetectName DeviceActiveConfigurationNumber |
- | Non mappato all'oggetto IDM. |
DeviceConnectionStatus |
- | Non mappato all'oggetto IDM. |
DeviceDescriptorNumber |
- | Non mappato all'oggetto IDM. |
DeviceDescriptorSetHash |
- | Non mappato all'oggetto IDM. |
DeviceDescriptorUniqueIdentifier |
- | Non mappato all'oggetto IDM. |
DeviceId |
- | Non mappato all'oggetto IDM. |
DeviceInstanceId |
event.idm.read_only_udm.target.asset_id |
Con prefisso Device Instance Id: . |
DeviceManufacturer DeviceProduct DeviceProductId |
- | Non mappato all'oggetto IDM. |
DevicePropertyClassName |
- | Non mappato all'oggetto IDM. |
DevicePropertyClassGuid |
- | Non mappato all'oggetto IDM. |
DevicePropertyDeviceDescription DevicePropertyFriendlyName |
- | Non mappato all'oggetto IDM. |
DevicePropertyLocationInformation DevicePropertyManufacturer |
- | Non mappato all'oggetto IDM. |
DeviceProtocol |
- | Non mappato all'oggetto IDM. |
DeviceSerialNumber DeviceTimeStamp DeviceType |
- | Non mappato all'oggetto IDM. |
DeviceUsbClass |
- | Non mappato all'oggetto IDM. |
DeviceUsbSubclass |
- | Non mappato all'oggetto IDM. |
DeviceUsbVersion |
- | Non mappato all'oggetto IDM. |
DeviceVendorId |
- | Non mappato all'oggetto IDM. |
DeviceVersion |
- | Non mappato all'oggetto IDM. |
DirectoryCreate DirectoryCreatedCount |
security_result.detection_fields[0].value |
Componente dell'evento EndOfProcess . |
DirectoryEnumeratedCount |
security_result.detection_fields[0].value |
Componente dell'evento EndOfProcess . |
DisableRealtimeMonitoring DisallowStartIfOnBatteries |
- | Non mappato all'oggetto IDM. |
DisallowStartOnRemoteAppSession |
- | Non mappato all'oggetto IDM. |
DiskParentDeviceInstanceId DllCharacteristics |
- | Non mappato all'oggetto IDM. |
DllInjection DlpPolicy |
- | Non mappato all'oggetto IDM. |
DlpVerdict |
- | Non mappato all'oggetto IDM. |
DmpFileWritten DnsRequest DnsRequestCount |
security_result.detection_fields[0].value |
Componente dell'evento EndOfProcess . |
DnsResponseType |
- | Non mappato all'oggetto IDM. |
DnsResponseTtl |
- | Non mappato all'oggetto IDM. |
DocumentFileWrittenCount |
security_result.detection_fields[0].value |
Componente dell'evento EndOfProcess . |
DomainName |
event.idm.read_only_udm.target.hostname , event.idm.read_only_udm.target.asset.hostname , event.idm.read_only_udm.network.dns.questions[0].name |
Se DomainName non è nullo, crea un'entità hostname con il valore DomainName e aggiungila a event.idm.read_only_udm.target.hostname , event.idm.read_only_udm.target.asset.hostname e event.idm.read_only_udm.network.dns.questions[0].name . |
DotnetModuleFlags |
- | Non mappato all'oggetto IDM. |
DotnetModuleId |
- | Non mappato all'oggetto IDM. |
DotnetModuleLoadDetectInfo DownloadPath |
- | Non mappato all'oggetto IDM. |
DownloadPort |
- | Non mappato all'oggetto IDM. |
DownloadServer DriverLoad DualRequest |
- | Non mappato all'oggetto IDM. |
EffectiveTransmissionClass Effective |
- | Non mappato all'oggetto IDM. |
EfiSupported |
- | Non mappato all'oggetto IDM. |
EfiVariableCustomMode |
- | Non mappato all'oggetto IDM. |
EfiVariableCustomModeAttributes |
- | Non mappato all'oggetto IDM. |
EfiVariableDbAttributes |
- | Non mappato all'oggetto IDM. |
EfiVariableDbxAttributes |
- | Non mappato all'oggetto IDM. |
EfiVariableDbxSha256Hash |
- | Non mappato all'oggetto IDM. |
EfiVariableKekAttributes |
- | Non mappato all'oggetto IDM. |
EfiVariableKekSha256Hash |
- | Non mappato all'oggetto IDM. |
EfiVariablePkAttributes |
- | Non mappato all'oggetto IDM. |
EfiVariablePkSha256Hash |
- | Non mappato all'oggetto IDM. |
EfiVariableSecureBoot |
- | Non mappato all'oggetto IDM. |
EfiVariableSecureBootAttributes |
- | Non mappato all'oggetto IDM. |
EfiVariableSetupMode |
- | Non mappato all'oggetto IDM. |
EfiVariableSetupModeAttributes |
- | Non mappato all'oggetto IDM. |
EfiVariableSignatureSupport |
- | Non mappato all'oggetto IDM. |
EfiVariableSignatureSupportAttributes |
- | Non mappato all'oggetto IDM. |
EndpointDescriptorAddress |
- | Non mappato all'oggetto IDM. |
EndpointDescriptorAttributes |
- | Non mappato all'oggetto IDM. |
EndpointDescriptorInterval |
- | Non mappato all'oggetto IDM. |
EndpointDescriptorMaxPacketSize |
- | Non mappato all'oggetto IDM. |
EndOfProcess Entitlements ErrorEvent ErrorCode |
- | Non mappato all'oggetto IDM. |
ErrorLocation |
- | Non mappato all'oggetto IDM. |
ErrorReason |
- | Non mappato all'oggetto IDM. |
ErrorSource |
- | Non mappato all'oggetto IDM. |
ErrorStatus |
- | Non mappato all'oggetto IDM. |
ErrorText |
- | Non mappato all'oggetto IDM. |
EventLogCleared EventMax |
- | Non mappato all'oggetto IDM. |
EventMin |
- | Non mappato all'oggetto IDM. |
EventOrigin |
- | Non mappato all'oggetto IDM. |
EventType |
event.idm.read_only_udm.metadata.product_event_type |
Se event_simpleName è nullo e EventType non è nullo, crea un'entità product_event_type con il valore EventType e aggiungila a event.idm.read_only_udm.metadata.product_event_type . |
EtwErrorEvent EtwRawProcessId |
- | Non mappato all'oggetto IDM. |
EtwRawThreadId |
- | Non mappato all'oggetto IDM. |
ExecutableDeleted ExecutableDeletedCount |
security_result.detection_fields[0].value |
Componente dell'evento EndOfProcess . |
ExeAndServiceCount |
security_result.detection_fields[0].value |
Componente dell'evento EndOfProcess . |
ExitCode |
- | Non mappato all'oggetto IDM. |
Exploit ExternalApiType |
event.idm.read_only_udm.metadata.product_event_type , event.idm.read_only_udm.extensions.auth.auth_details |
Se message contiene event1 , ExternalApiType viene rinominato in event.idm.read_only_udm.metadata.product_event_type . In caso contrario, viene rinominata in event.idm.read_only_udm.extensions.auth.auth_details . |
Facility |
- | Non mappato all'oggetto IDM. |
FailedConnectCount |
- | Non mappato all'oggetto IDM. |
FalconHostLink FalconServiceComponent |
- | Non mappato all'oggetto IDM. |
FalconServiceServletErrors |
- | Non mappato all'oggetto IDM. |
FalconServiceServletStarts |
- | Non mappato all'oggetto IDM. |
FalconServiceState |
- | Non mappato all'oggetto IDM. |
FalconServiceStatus FeatureExtractionVersion |
- | Non mappato all'oggetto IDM. |
FeatureVector |
- | Non mappato all'oggetto IDM. |
File |
- | Non mappato all'oggetto IDM. |
FileAttributes |
- | Non mappato all'oggetto IDM. |
FileCreateInfo FileDeletedCount |
security_result.detection_fields[0].value |
Componente dell'evento EndOfProcess . |
FileDeleteInfo FileEcpBitmask |
- | Non mappato all'oggetto IDM. |
FileEventType |
- | Non mappato all'oggetto IDM. |
FileIdentifier FileObject |
- | Non mappato all'oggetto IDM. |
FileName FileOpenInfo FileRenameInfo FileSigningTime |
- | Non mappato all'oggetto IDM. |
FirewallAction |
- | Non mappato all'oggetto IDM. |
FirewallChangeOption FirewallDeleteRule FirewallDeleteRuleIP4 FirewallDeleteRuleIP6 FirewallEnabled FirewallOption FirewallOptionNumericValue |
- | Non mappato all'oggetto IDM. |
FirewallProfile |
- | Non mappato all'oggetto IDM. |
FirewallRule FirewallRuleId FirewallSetRule FirewallSetRuleIP4 FirewallSetRuleIP6 FirmwareAnalysisErrorEvent FirmwareAnalysisErrorLocation |
- | Non mappato all'oggetto IDM. |
FirmwareAnalysisErrorReason |
- | Non mappato all'oggetto IDM. |
FirmwareAnalysisErrorSource |
- | Non mappato all'oggetto IDM. |
FirmwareAnalysisHardwareData FirmwareAnalysisStatus FirmwareAnalysisCpuSupported |
- | Non mappato all'oggetto IDM. |
FirmwareAnalysisEclControlInterfaceVersion |
- | Non mappato all'oggetto IDM. |
FirmwareAnalysisEclConsumerInterfaceVersion |
- | Non mappato all'oggetto IDM. |
FirmwareImageAnalyzed FirmwareRegionMeasured FirmwareSize |
- | Non mappato all'oggetto IDM. |
FirmwareType |
- | Non mappato all'oggetto IDM. |
FirstDiscoveredDate |
- | Non mappato all'oggetto IDM. |
FirstIP4Record Flags |
- | Non mappato all'oggetto IDM. |
FltCallbackData |
- | Non mappato all'oggetto IDM. |
FltCompletionContext |
- | Non mappato all'oggetto IDM. |
FltRelatedObjects |
- | Non mappato all'oggetto IDM. |
FontBuffer |
- | Non mappato all'oggetto IDM. |
FontBufferLength |
- | Non mappato all'oggetto IDM. |
FontFileCount |
- | Non mappato all'oggetto IDM. |
FontFileName FontLoadOperation |
- | Non mappato all'oggetto IDM. |
FsOperationBlocked |
event1.PatternDispositionFlags.FsOperationBlocked |
Parte di Event_DetectionSummaryEvent . |
FsPostOpenSnapshotFile FsVolumeMounted FsVolumeUnmounted FullContext |
- | Non mappato all'oggetto IDM. |
FullExceptionRecord |
- | Non mappato all'oggetto IDM. |
GcpCreationTimestamp GenericFileWrittenCount |
security_result.detection_fields[0].value |
Componente dell'evento EndOfProcess . |
GID |
- | Non mappato all'oggetto IDM. |
GrandparentCommandLine GrandparentImageFileName GrandParentBaseFileName GroupIdentity GroupRid GzipFileWritten HandleCreated |
- | Non mappato all'oggetto IDM. |
HIDDescriptorCountryCode |
- | Non mappato all'oggetto IDM. |
HIDDescriptorNumDescriptors |
- | Non mappato all'oggetto IDM. |
HIDDescriptorVersion |
- | Non mappato all'oggetto IDM. |
HIPHandlers.dll |
event.idm.read_only_udm.target.file.full_path |
Componente di TargetFileName. |
HostGroups |
- | Non mappato all'oggetto IDM. |
HostHiddenStatus HostInfo HostnameChanged hostname HostProcessType |
- | Non mappato all'oggetto IDM. |
HostUrl HttpRequestDetect HttpRequestHeader HttpUrl IcmpCode |
- | Non mappato all'oggetto IDM. |
IcmpType |
- | Non mappato all'oggetto IDM. |
id IdleSettings |
- | Non mappato all'oggetto IDM. |
ImageFileName ImageSubsystem |
- | Non mappato all'oggetto IDM. |
Image |
- | Non mappato all'oggetto IDM. |
ImpersonatedUserName InBroadcastOctets |
- | Non mappato all'oggetto IDM. |
InContext |
- | Non mappato all'oggetto IDM. |
InDiscards |
- | Non mappato all'oggetto IDM. |
Indicator |
event1.PatternDispositionFlags.Indicator |
Parte di Event_DetectionSummaryEvent . |
InddetMask |
event1.PatternDispositionFlags.InddetMask |
Parte di Event_DetectionSummaryEvent . |
InErrors |
- | Non mappato all'oggetto IDM. |
Information |
- | Non mappato all'oggetto IDM. |
InjectedDll InjectedThread InjectedThreadCount |
security_result.detection_fields[0].value |
Componente dell'evento EndOfProcess . |
InjectedThreadFlag |
- | Non mappato all'oggetto IDM. |
InMulticastOctets |
- | Non mappato all'oggetto IDM. |
InNUcastPkts |
- | Non mappato all'oggetto IDM. |
InOctets |
- | Non mappato all'oggetto IDM. |
InstallDate |
- | Non mappato all'oggetto IDM. |
InstalledApplication InstalledUpdateExtendedStatus |
- | Non mappato all'oggetto IDM. |
InstalledUpdateIds |
- | Non mappato all'oggetto IDM. |
InstalledUpdates InstanceMetadata InstanceMetadataProvider |
- | Non mappato all'oggetto IDM. |
InstanceMetadataRequest |
- | Non mappato all'oggetto IDM. |
InstanceMetadataSignature |
- | Non mappato all'oggetto IDM. |
InUcastOctets |
- | Non mappato all'oggetto IDM. |
InUcastPkts |
- | Non mappato all'oggetto IDM. |
InUnknownProtos |
- | Non mappato all'oggetto IDM. |
IntegrityLevel |
- | Non mappato all'oggetto IDM. |
InterfaceAlias |
- | Non mappato all'oggetto IDM. |
InterfaceDescription |
- | Non mappato all'oggetto IDM. |
InterfaceFlags |
- | Non mappato all'oggetto IDM. |
InterfaceGuid |
- | Non mappato all'oggetto IDM. |
InterfaceIdentifier |
- | Non mappato all'oggetto IDM. |
InterfaceIndex |
- | Non mappato all'oggetto IDM. |
InterfaceMtu |
- | Non mappato all'oggetto IDM. |
InterfaceType |
- | Non mappato all'oggetto IDM. |
InterfaceVersion |
- | Non mappato all'oggetto IDM. |
InjectedDllCount |
security_result.detection_fields[0].value |
Componente dell'evento EndOfProcess . |
InjectedThreadFlag |
- | Non mappato all'oggetto IDM. |
InkDiv.dll |
event.idm.read_only_udm.target.file.full_path |
Parte di ExecutablesWritten . |
InkObj.dll |
event.idm.read_only_udm.target.file.full_path |
Parte di ExecutablesWritten . |
InMulticastPkts |
- | Non mappato all'oggetto IDM. |
InOctets |
- | Non mappato all'oggetto IDM. |
InUcastPkts |
- | Non mappato all'oggetto IDM. |
IOARuleGroupName IOARuleInstanceID |
- | Non mappato all'oggetto IDM. |
IOARuleInstanceVersion |
- | Non mappato all'oggetto IDM. |
IOARuleName IOServiceClass |
- | Non mappato all'oggetto IDM. |
IOServiceName |
- | Non mappato all'oggetto IDM. |
IOServicePath |
- | Non mappato all'oggetto IDM. |
IOServiceProperties |
- | Non mappato all'oggetto IDM. |
IOServiceRegister IoSessionConnected IoSessionLoggedOn IpEntryFlags |
- | Non mappato all'oggetto IDM. |
IrpFlags |
- | Non mappato all'oggetto IDM. |
IsCpuDataCommonOnAllCores |
- | Non mappato all'oggetto IDM. |
IsNorthBridgeSupported |
- | Non mappato all'oggetto IDM. |
IsOnClearCaseMvfs |
- | Non mappato all'oggetto IDM. |
IsOnNetwork IsOnRemovableDisk IsOn |
- | Non mappato all'oggetto IDM. |
IsRemote |
- | Non mappato all'oggetto IDM. |
IsSouthBridgeSupported |
- | Non mappato all'oggetto IDM. |
IsTransactedFile |
- | Non mappato all'oggetto IDM. |
IsUnique |
- | Non mappato all'oggetto IDM. |
JavaInjectedThread JarFileWritten KernelModeLoadImage KernelTime |
- | Non mappato all'oggetto IDM. |
KextUnload K8SCreationTimestamp K8SDetectionEvent LanguageId |
- | Non mappato all'oggetto IDM. |
LastAdded |
- | Non mappato all'oggetto IDM. |
LastDiscoveredBy |
- | Non mappato all'oggetto IDM. |
LastDisplayed |
- | Non mappato all'oggetto IDM. |
LastLoggedOnHost |
- | Non mappato all'oggetto IDM. |
LastUpdateInstalledTime |
- | Non mappato all'oggetto IDM. |
LateralMovement |
- | Non mappato all'oggetto IDM. |
LdapSearchAttributes |
- | Non mappato all'oggetto IDM. |
LdapSearchBaseObjectSample |
- | Non mappato all'oggetto IDM. |
LdapSearchFilterSample |
- | Non mappato all'oggetto IDM. |
LdapSearchFilterShape |
- | Non mappato all'oggetto IDM. |
LdapSearchQueryClassification |
- | Non mappato all'oggetto IDM. |
LdapSearchQueryToken |
- | Non mappato all'oggetto IDM. |
LdapSearchScope |
- | Non mappato all'oggetto IDM. |
LdapSearchSizeLimit |
- | Non mappato all'oggetto IDM. |
LdapSecurityType |
- | Non mappato all'oggetto IDM. |
LightningLatencyInfo LightningLatencyState |
- | Non mappato all'oggetto IDM. |
Line |
- | Non mappato all'oggetto IDM. |
LinkLocalAddressBehavior |
- | Non mappato all'oggetto IDM. |
LinkLocalAddressTimeout |
- | Non mappato all'oggetto IDM. |
LinkName LocalAccount |
- | Non mappato all'oggetto IDM. |
LocalAddressIP4 LocalAddressIP6 LocalAddressMaskIP4 |
- | Non mappato all'oggetto IDM. |
LocalAddressMaskIP6 |
- | Non mappato all'oggetto IDM. |
LocalAdminAccess |
- | Non mappato all'oggetto IDM. |
LocalIpAddressIP4 LocalIpAddressIP6 LocalIpAddressRemovedIP4 LocalIpAddressRemovedIP6 LocalPort LocalSession |
- | Non mappato all'oggetto IDM. |
localipCount LockScreenEnabled |
- | Non mappato all'oggetto IDM. |
LockScreenStatus LogoffTime LogonDomain LogonId |
- | Non mappato all'oggetto IDM. |
LogonInfo |
security_result.summary |
Imposta event_type su USER_LOGIN . |
LogonServer LogonTime LogonType |
event.idm.read_only_udm.extensions.auth.mechanism |
Mappato a un valore enumerato UDM in base al valore LogonType . |
LogoffTime LsassHandleFromUnsignedModule MAC |
event.idm.read_only_udm.principal.mac |
Vengono convertiti in minuscole e i due punti vengono sostituiti con i trattini. |
MACAddress |
event.idm.read_only_udm.principal.mac |
I trattini vengono sostituiti con due punti. |
MACPrefix |
- | Non mappato all'oggetto IDM. |
MachOFileWritten MachOSubType |
- | Non mappato all'oggetto IDM. |
MachineDn MachineDomain MajorFunction |
- | Non mappato all'oggetto IDM. |
MajorVersion |
- | Non mappato all'oggetto IDM. |
Malicious |
- | Non mappato all'oggetto IDM. |
ManagedPdbBuildPath MappedFromUserMode |
- | Non mappato all'oggetto IDM. |
MaxReassemblySize |
- | Non mappato all'oggetto IDM. |
MaxRouterAdvertisementInterval |
- | Non mappato all'oggetto IDM. |
MaxThreadCount |
- | Non mappato all'oggetto IDM. |
MD5HashData |
event.idm.read_only_udm.target.file.md5 , event.idm.read_only_udm.target.process.file.md5 |
Se MD5HashData è un hash MD5 valido e non è costituito da zeri, crea un'entità hash MD5 con il valore MD5HashData e aggiungila a event.idm.read_only_udm.target.file.md5 e event.idm.read_only_udm.target.process.file.md5 . |
MD5String MediaConnectState |
- | Non mappato all'oggetto IDM. |
MediaType |
- | Non mappato all'oggetto IDM. |
MemoryAvailable |
- | Non mappato all'oggetto IDM. |
MemoryRegionProtection |
- | Non mappato all'oggetto IDM. |
MemoryRegionStart |
- | Non mappato all'oggetto IDM. |
MemoryTotal |
- | Non mappato all'oggetto IDM. |
MmioDataSmiEn |
- | Non mappato all'oggetto IDM. |
MmioDataTco1Cnt |
- | Non mappato all'oggetto IDM. |
MLModelVersion |
- | Non mappato all'oggetto IDM. |
MobileDetection MobileDetectionId |
- | Non mappato all'oggetto IDM. |
MobileOsIntegrityIntact |
- | Non mappato all'oggetto IDM. |
MobileOsIntegrityStatus MobilePowerStats MoboManufacturer |
- | Non mappato all'oggetto IDM. |
MoboProductName |
- | Non mappato all'oggetto IDM. |
ModelPrediction |
- | Non mappato all'oggetto IDM. |
ModuleBaseAddress |
- | Non mappato all'oggetto IDM. |
ModuleCharacteristics |
- | Non mappato all'oggetto IDM. |
ModuleDetectInfo ModuleLoadCount |
- | Non mappato all'oggetto IDM. |
ModuleLoadMechanism |
- | Non mappato all'oggetto IDM. |
ModuleLoadTelemetryClassification |
- | Non mappato all'oggetto IDM. |
ModuleNativePath |
- | Non mappato all'oggetto IDM. |
ModuleSize |
- | Non mappato all'oggetto IDM. |
ModifyServiceBinary MostRecentActivityTimeStamp |
- | Non mappato all'oggetto IDM. |
MotwWritten mskssrv.sys |
event.idm.read_only_udm.principal.process.file.full_path |
Componente di OriginalFilename. |
MultipleInstancesPolicy |
- | Non mappato all'oggetto IDM. |
name namespace NativePdbBuildPath |
- | Non mappato all'oggetto IDM. |
NegateInterface |
- | Non mappato all'oggetto IDM. |
NegateLocalAddress |
- | Non mappato all'oggetto IDM. |
NegateRemoteAddress |
- | Non mappato all'oggetto IDM. |
NeighborList |
- | Non mappato all'oggetto IDM. |
NeighborListIP4 NeighborListIP6 NeighborName NetLuidIndex |
- | Non mappato all'oggetto IDM. |
NetShareAdd NetShareDelete NetShareSecurityModify NetworkBindCount |
security_result.detection_fields[0].value |
Componente dell'evento EndOfProcess . |
NetworkCapableAsepWriteCount |
security_result.detection_fields[0].value |
Componente dell'evento EndOfProcess . |
NetworkCloseCount |
security_result.detection_fields[0].value |
Componente dell'evento EndOfProcess . |
NetworkCloseIP4 NetworkCloseIP6 NetworkConnectCount |
security_result.detection_fields[0].value |
Componente dell'evento EndOfProcess . |
NetworkConnectCountUdp |
security_result.detection_fields[0].value |
Componente dell'evento EndOfProcess . |
NetworkConnectIP4 NetworkConnectIP6 NetworkContainmentState NetworkInterfaceGuid |
- | Non mappato all'oggetto IDM. |
NetworkListenCount |
security_result.detection_fields[0].value |
Componente dell'evento EndOfProcess . |
NetworkListenIP4 NetworkListenIP6 NetworkModuleLoadCount |
security_result.detection_fields[0].value |
Componente dell'evento EndOfProcess . |
NetworkRecvAcceptCount |
security_result.detection_fields[0].value |
Componente dell'evento EndOfProcess . |
NetworkReceiveAcceptIP4 NetworkReceiveAcceptIP6 NewExecutableRenamed NewExecutableWritten NewExecutableWrittenCount |
security_result.detection_fields[0].value |
Componente dell'evento EndOfProcess . |
NewFileIdentifier |
- | Non mappato all'oggetto IDM. |
NewScriptWritten NlMtu |
- | Non mappato all'oggetto IDM. |
NorthBridgeDeviceId |
- | Non mappato all'oggetto IDM. |
NorthBridgeVendorId |
- | Non mappato all'oggetto IDM. |
NumberOfMeasurements |
- | Non mappato all'oggetto IDM. |
OciContainerId |
- | Non mappato all'oggetto IDM. |
OciContainerTelemetry OciContainersStartedCount |
- | Non mappato all'oggetto IDM. |
OciContainersStoppedCount |
- | Non mappato all'oggetto IDM. |
OleFileWritten OnLinkPrefixLength |
- | Non mappato all'oggetto IDM. |
OoxmlFileWritten OperStatus |
- | Non mappato all'oggetto IDM. |
OperationFlags |
- | Non mappato all'oggetto IDM. |
OperationName OriginalContentLength |
- | Non mappato all'oggetto IDM. |
OriginalEventTimeStamp |
- | Non mappato all'oggetto IDM. |
OriginalFilename OriginalParentAuthenticationId |
- | Non mappato all'oggetto IDM. |
OriginalUserName OriginalUserSid OsfmDownloadComplete OsVersionInfo OU OutBroadcastOctets |
- | Non mappato all'oggetto IDM. |
OutDiscards |
- | Non mappato all'oggetto IDM. |
OutErrors |
- | Non mappato all'oggetto IDM. |
OutMulticastOctets |
- | Non mappato all'oggetto IDM. |
OutNUcastPkts |
- | Non mappato all'oggetto IDM. |
OutOctets |
- | Non mappato all'oggetto IDM. |
OutUcastOctets |
- | Non mappato all'oggetto IDM. |
OutUcastPkts |
- | Non mappato all'oggetto IDM. |
PackedExecutableWritten Parameter64_1 |
- | Non mappato all'oggetto IDM. |
Parameter64_2 |
- | Non mappato all'oggetto IDM. |
Parameter64_3 |
- | Non mappato all'oggetto IDM. |
ParameterSizedBuffer_1 |
- | Non mappato all'oggetto IDM. |
Parameter1 |
- | Non mappato all'oggetto IDM. |
Parameter2 |
- | Non mappato all'oggetto IDM. |
Parameter3 |
- | Non mappato all'oggetto IDM. |
ParentAuthenticationId |
- | Non mappato all'oggetto IDM. |
ParentBaseFileName ParentCommandLine |
event1.ParentCommandLine |
Parte di Event_DetectionSummaryEvent . |
ParentHubInstanceId |
- | Non mappato all'oggetto IDM. |
ParentHubPort |
- | Non mappato all'oggetto IDM. |
ParentImageFileName |
event.idm.read_only_udm.principal.process.file.full_path , event1.ParentImageFileName |
Parte di Event_DetectionSummaryEvent . |
ParentProcessId |
event.idm.read_only_udm.principal.process.product_specific_process_id , event1.ParentProcessId |
Con prefisso CS:%{cid}:%{aid}: . Parte di Event_DetectionSummaryEvent . |
PasswordLastSet |
- | Non mappato all'oggetto IDM. |
PathMtuDiscoveryTimeout |
- | Non mappato all'oggetto IDM. |
PatternDispositionFlags |
- | Non mappato all'oggetto IDM. |
PatternDispositionValue `PatternDisposition |
Modifiche
2025-02-25
- È stata aggiunta la mappatura per l'evento
FileIntegrityMonitorRuleMatched
come segue: È stata aggiunta la mappatura del campoObjectName
ai campi UDMtarget.file.full_path,
target.registry.registry_value_data,
etarget.registry.registry_key
, in base al valore del campoObjectType
.
2025-02-07
Miglioramento:
detectName
è stato mappato asecurity_result.threatname
.
2025-01-31
- È stato gestito il caso limite per il valore intero elevato all'interno del campo del log non elaborato
ProcessId
eParentProcessId
. - È stato aggiunto il campo AgendIdString alla mappatura per il campo UDM
principal.process.product_specific_process_id
in assenza del campo del log non elaboratoaid
. - È stato aggiunto il campo AgendIdString alla mappatura per il campo UDM
principal.process.parent_process.product_specific_process_id
in assenza del campo del log non elaboratoaid
.
2025-01-17
- È stata aggiunta la funzione gsub per supportare il valore grande di un numero intero all'interno del campo del log non elaborato
ProcessId
eParentProcessId
.
2025-01-16
Miglioramento:
- Sono stati mappati
EventOrigin
,id
,KerberosRequestTicketCreationTimeSample
,ActiveDirectoryDataProtocol
,KerberosRequestTicketValidityPeriod
,LdapSearchBaseObjectSample
,LdapSearchSizeLimit
,DebugInfoUnicode
,LdapSecurityType
,ActiveDirectoryAuthenticationMethod
,SourceAccountType
,AggregationEarliestTimestamp
,AggregationWindowTimestamp
,LdapSearchQueryToken
eLdapSearchScope
asecurity_result.detection_fields
. SourceEndpointNetworkTag
è stato mappato asecurity_result.description
.LocalPortSample
è stato mappato aprincipal.port
.RemotePortSample
è stato mappato atarget.port
.LocalAddressIP4Sample
è stato mappato aprincipal.ip
eprincipal.asset.ip
.- Sono stati mappati
LdapSearchFilterShape
,TargetAccountType
,KerberosAnomaly
,LdapSearchQueryClassification
eLdapSearchAttributes
aadditional.fields
.
2025-01-09
Miglioramento:
- È stato aggiunto il supporto per il nuovo evento
InstalledBrowserExtension
.
2024-12-19
Miglioramento:
- Quando
FileOperatorSid
è un SID Windows valido, viene mappato atarget.user.windows_sid
.
2024-12-18
Miglioramento:
- La mappatura di
OriginalFilename
è stata modificata daprincipal.process.file.full_path
atarget.process.file.exif_info.original_file
. - La mappatura di
ParentBaseFileName
è stata modificata daprincipal.process.file.full_path
aprincipal.process.file.names
. - La mappatura di
OriginalFilename
è stata modificata daprincipal.process.file.exif_info.original_file
atarget.process.file.exif_info.original_file
.
2024-12-04
Miglioramento:
- Sono stati mappati
ConfigurationDescriptorName
,DeviceDescriptorUniqueIdentifier
,DeviceVendorId
,DeviceUsbClass
,ConfigurationDescriptorNumInterfaces
,ConfigurationDescriptorMaxPowerDraw
eConfigurationDescriptorAttributes
asecurity_result.detection_fields
. DeviceDescriptorSetHash
è stato mappato atarget.file.sha256
.
2024-10-29
Correzione di bug:
- È stata rimossa la mappatura di
SourceFileName
aprincipal.process.file.full_path
per gli eventiFILE_MOVE
,FILE_MODIFICATION
eFILE_READ
, in quanto è già mappata asrc.file.full_path
.
2024-10-09
Miglioramento:
SmbNamedPipeName
è stato mappato asecurity_result.detection_fields
.RequestType
è stato mappato anetwork.dns.question.type
.QueryStatus
è stato mappato anetwork.dns.response_code
.IP4Records
,IP6Records
eCNAMERecords
sono stati mappati anetwork.dns.answer.name
.
2024-09-24
Miglioramento:
- È stato aggiunto un pattern Grok per interrompere l'analisi degli indirizzi IP come
principal.hostname
.
2024-09-19
Miglioramento:
HttpRequest
è stato mappato atarget.ip
.HttpHost
è stato mappato atarget.hostname
.HttpPath
è stato mappato atarget.url
.
2024-09-19
Miglioramento:
HttpRequest
è stato mappato atarget.ip
.HttpHost
è stato mappato atarget.hostname
.HttpPath
è stato mappato atarget.url
.
2024-09-12
Miglioramento:
- Per gli eventi
FILE_CREATION
, quandoContextImageFileName
non è nullo,ContextImageFileName
è stato mappato aprincipal.process.file.full_path
. - La mappatura di
OriginalFilename
è cambiata datarget.process.file.exif_info.original_file
aprincipal.process.file.exif_info.original_file
.
2024-09-10
- È stato aggiunto il supporto di un nuovo pattern di log JSON.
FileVersion
eFixedFileVersion
sono stati mappati aadditional.fields
.
2024-09-03
Miglioramento:
timestamp
è stato mappato ametadata.event_timestamp
.
2024-08-29
Correzione di bug:
- È stato aggiunto on_error per gestire la situazione in cui
TaskExecCommand
è null.
2024-08-20
Miglioramento:
IsOnRemovableDisk
,RegOperationType
eRegType
sono stati mappati aadditional.fields
.
2024-08-06
Miglioramento:
tar_user
è stato mappato atarget.user.userid
.
2024-07-24
Miglioramento:
- La mappatura di
LocalAddressIP4
è stata modificata datarget.ip
aprincipal.ip
. - Quando
direction
èINBOUND
, la mappatura diRemoteAddressIP4
è stata modificata daprincipal.ip
asrc.ip
. - Quando
direction
èOUTBOUND
, la mappatura diRemoteAddressIP4
è stata modificata daprincipal.ip
atarget.ip
.
2024-07-08
Miglioramento:
Description
è stato mappato asecurity_result.description
.Name
è stato mappato asecurity_result.threat_name
.CompositeId
è stato mappato aadditional.fields
.id
è stato mappato ametadata.product_log_id
.
2024-06-25
Miglioramento:
SourceFileName
è stato mappato aprincipal.process.file.full_path
.OdsFileName
eImageFileName
sono stati mappati atarget.process.file.full_path
.- Quando
event_simpleName
èMotwWritten
,metadata.event_type
viene mappato aFILE_CREATION
.
2024-06-06
Miglioramento:
OriginalFilename
è stato mappato atarget.process.file.exif_info.original_file
.
2024-05-31
Miglioramento:
os_version
è stato mappato aprincipal.platform_version
.hostname
è stato mappato aprincipal.hostname
eprincipal.asset.hostname
.- Sono stati mappati
product_type_desc
,host_hidden_status
,scores.os
,scores.sensor
,scores.version
,scores.overall
escores.modified_time
asecurity_result.detection_fields
.
2024-05-23
Miglioramento:
Version
è stato mappato aprincipal.platform_version
.
2024-05-21
Miglioramento:
- Quando
event_simpleName
èFileWritten
,NetworkConnect
oDnsRequest
,ContextBaseFileName
viene mappato aprincipal.process.file.full_path
. QuarantinedFileName
è stato mappato aprincipal.process.file.full_path
.
2024-05-15
Miglioramento:
Version
,BiosVersion
eChassisType
sono stati mappati aprincipal.asset.attribute.labels
.Continent
,OU
eSiteName
sono stati mappati aadditional.fields
.
2024-04-17
Miglioramento:
ModuleILPath
è stato mappato atarget.resource.attribute.labels
.
2024-04-08
Correzione di bug:
- Quando
event_simpleName
èClassifiedModuleLoad
,metadata.event_type
è passato daSTATUS_UPDATE
aPROCESS_MODULE_LOAD
.
2024-02-21
Miglioramento:
SubjectDN
è stato mappato asecurity_result.about.artifact.last_https_certificate.subject
.IssuerDN
è stato mappato asecurity_result.about.artifact.last_https_certificate.issuer
.SubjectCertValidTo
è stato mappato asecurity_result.about.artifact.last_https_certificate.validity.issue_time
.SubjectCertValidFrom
è stato mappato asecurity_result.about.artifact.last_https_certificate.validity.expiry_time
.SubjectSerialNumber
è stato mappato asecurity_result.about.artifact.last_https_certificate.serial_number
.SubjectVersion
è stato mappato asecurity_result.about.artifact.last_https_certificate.version
.SubjectCertThumbprint
è stato mappato asecurity_result.about.artifact.last_https_certificate.thumbprint
.SignatureDigestAlg
è stato mappato asecurity_result.about.artifact.last_https_certificate.signature_algorithm
.SignatureDigestEncryptAlg
è stato mappato asecurity_result.about.artifact.last_https_certificate.cert_signature.signature_algorithm
.AuthenticodeHashData
è stato mappato atarget.file.authentihash
.AuthorityKeyIdentifier
è stato mappato asecurity_result.about.artifact.last_https_certificate.extension.authority_key_id.keyid
esecurity_result.about.artifact.last_https_certificate.cert_extensions.fields
.SubjectKeyIdentifier
è stato mappato asecurity_result.about.artifact.last_https_certificate.extension.subject_key_id
esecurity_result.about.artifact.last_https_certificate.cert_extensions.fields
.OriginalFilename
è stato mappato aadditional.fields
.- Sono stati mappati
SignInfoFlagUnknownError
,SignInfoFlagHasValidSignature
,SignInfoFlagSignHashMismatch
,AuthenticodeMatch
,SignInfoFlagMicrosoftSigned
,SignInfoFlagNoSignature
,SignInfoFlagInvalidSignChain
,SignInfoFlagNoCodeKeyUsage
,SignInfoFlagNoEmbeddedCert
,SignInfoFlagThirdPartyRoot
,SignInfoFlagCatalogSigned
,SignInfoFlagSelfSigned
,SignInfoFlagFailedCertCheck
,SignInfoFlagEmbeddedSigned
,IssuerCN
,SubjectCN
asecurity_result.detection_fields
.
2023-12-22
HostUrl
è stato mappato atarget.url
.ReferrerUrl
è stato mappato anetwork.http.referral_url
.
2023-11-23
- Quando
is_alert
è impostato sutrue
,event.idm.is_significant
viene mappato atrue
. - Quando
is_alert
è impostato sutrue
,event_simpleName
viene mappato asecurity_result.summary
.
2023-10-11
- È stato aggiunto un controllo con espressioni regolari per convalidare i valori SHA1, MD5 e SHA256.
2023-08-22
Technique
mappato asecurity_result.attack_details.techniques.name
e dettagli corrispondenti di tecnica e tattica.
2023-08-03
Miglioramento:
ReflectiveDllName
è stato mappato atarget.file.full_path
.event_type
è stato mappato aSTATUS_UPDATE
per i log in cui il campoDomainName
è assente.
2023-08-01
Tactic
è stato mappato asecurity_result.attack_details.tactics.name
e al relativo ID tactics.
2023-07-31
Correzione di bug:
- È stato aggiunto il controllo
on_error
per il filtro data.
2023-06-19
ParentBaseFileName
è stato mappato aprincipal.process.file.full_path
.- È stata rimossa la mappatura di
ImageFileName
atarget.file.full_path
perché è già mappata atarget.process.file.full_path
per gli eventiProcessRollup2
eSyntheticProcessRollup2
.
2023-05-12
Miglioramento:
- "aip" è stato mappato a "intermediary.ip".
2023-05-08
Correzione di bug:
- Converti i formati di tempo in stringa e gestisci il formato di tempo in nanosecondi.
2023-04-14
Miglioramento:
- Il valore
Severity
dell'intervallo [0-19] è stato modificato insecurity_result.severity
comeINFORMATIONAL
. - Il valore
Severity
dell'intervallo [20-39] è stato modificato dasecurity_result.severity
inLOW
. - Il valore
Severity
dell'intervallo [40-59] è stato modificato dasecurity_result.severity
inMEDIUM
. - Il valore
Severity
dell'intervallo [60-79] è stato modificato insecurity_result.severity
comeHIGH
. - Il valore
Severity
dell'intervallo [80-100] è stato modificato insecurity_result.severity
comeCRITICAL
. PatternId
è stato mappato asecurity_result.detection_fields
.SourceEndpointIpAddress
è stato mappato aprincipal.ip
.metadata.event_type
è stato mappato aUSER_UNCATEGORIZED
quandoevent_simpleName =~ userlogonfailed
e le informazioni utente non sono presenti.metadata.event_type
mappato aUSER_UNCATEGORIZED
quandoExternalApiType =
Event_UserActivityAuditEvent`` e contiene informazioni sull'utente.metadata.event_type
è stato mappato aUSER_UNCATEGORIZED
quandoevent_simpleName =~
ActiveDirectory`.TargetAccountObjectGuid
è stato mappato aadditional.fields
.TargetDomainControllerObjectGuid
è stato mappato aadditional.fields
.TargetDomainControllerObjectSid
è stato mappato aadditional.fields
.AggregationActivityCount
è stato mappato aadditional.fields
.TargetServiceAccessIdentifier
è stato mappato aadditional.fields
.SourceAccountUserPrincipal
è stato mappato aprincipal.user.userid
.SourceEndpointAddressIP4
è stato mappato aprincipal.ip
.SourceAccountObjectGuid
è stato mappato aadditional.fields
.AccountDomain
è stato mappato aprincipal.administrative_domain
.AccountObjectGuid
è stato mappato ametadata.product_log_id
.AccountObjectSid
è stato mappato aprincipal.user.windows_sid
.SamAccountName
è stato mappato aprincipal.user.user_display_name
.SourceAccountSamAccountName
è stato mappato aprincipal.user.user_display_name
.IOARuleGroupName
è stato mappato asecurity_result.detection_fields
.IOARuleName
è stato mappato asecurity_result.detection_fields
.RemoteAddressIP4
è stato mappato atarget.ip
perevent_simpleName
=RegCredAccessDetectInfo
.
2023-03-24
id
è stato mappato ametadata.product_log_id
anziché atarget.resource.id
.RegBinaryValue
è stato mappato atarget.registry.registry_value_data
se siaRegNumericValue
cheRegStringValue
sono null.
2023-03-21
Miglioramento:
BatchTimestamp
,GcpCreationTimestamp
,K8SCreationTimestamp
,AwsCreationTimestamp
sono stati mappati ametadata.event_timestamp
.FileOperatorSid
è stato mappato atarget.user.windows_sid
.
2023-03-13
Miglioramento:
- Sono stati mappati
LogonTime
,ProcessStartTime
,ContextTimeStamp
,ContextTimeStamp_decimal
eAccountCreationTimeStamp
ametadata.event_timestamp
.
2023-03-10
Miglioramento:
CallStackModuleNamesVersion
,CallStackModuleNamesVersion
sono stati mappati a security_result.detection_fields.
2023-02-28
Miglioramento:
- Sono state modificate le seguenti mappature per il campo
ParentProcessId
quandoevent_simpleName
è in [ProcessRollup2
,SyntheticProcessRollup2
] target.process.parent_process.pid
modificato intarget.process.parent_process.product_specific_process_id
2023-02-16
Miglioramento:
- Il campo
AssociatedFile
è stato mappato asecurity_result.detection_fields[n].value
esecurity_result.detection_fields[n].key
aAssociatedIOCFile
.
2023-02-09
Miglioramento:
- I campi mappati in
target.labels
sono stati rimappati intarget.resource.attribute.labels
. - È stata rettificata la mappatura di
ManagedPdbBuildPath
atarget.resource.attribute.labels
.
2023-02-09
Miglioramento:
- I campi mappati in
target.labels
sono stati rimappati intarget.resource.attribute.labels
. - È stata rettificata la mappatura di
ManagedPdbBuildPath
atarget.resource.attribute.labels
.
2023-01-15
Correzione di bug:
aid
per l'eventoUserLogonFailed
è stato rimappato atarget.asset_id
daprincipal.asset_id
.
2023-01-13
Miglioramento:
- Nome utente mappato a principal.user.userid per event_type
ScheduledTaskModified
eScheduledTaskRegistered
. AssemblyName
,ManagedPdbBuildPath
,ModuleILPath
mappati atarget.labels
quando metadata.product_event_type =ReflectiveDotnetModuleLoad
VirtualDriveFileName
,VolumeName
mappato atarget.labels
quando metadata.product_event_type =RemovableMediaVolumeMounted
ImageFileName
mappato atarget.file.full_path
quando metadata.product_event_type =ClassifiedModuleLoad
2023-01-13
Miglioramento:
- Nome utente mappato a principal.user.userid per event_type
ScheduledTaskModified
eScheduledTaskRegistered
. AssemblyName
,ManagedPdbBuildPath
,ModuleILPath
mappati atarget.labels
quando metadata.product_event_type =ReflectiveDotnetModuleLoad
VirtualDriveFileName
,VolumeName
mappato atarget.labels
quando metadata.product_event_type =RemovableMediaVolumeMounted
ImageFileName
mappato atarget.file.full_path
quando metadata.product_event_type =ClassifiedModuleLoad
2023-01-02
Miglioramento:
- Nome utente mappato a principal.user.userid per event_type
ScheduledTaskModified
eScheduledTaskRegistered
.
2022-12-22
Miglioramento:
RemoteAddressIP4
è stato mappato aprincipal.ip
perevent_type
=Userlogonfailed2
2022-11-04
Miglioramento:
GrandparentImageFileName
è stato mappato aprincipal.process.parent_process.parent_process.file.full_path
.GrandparentCommandLine
mappato aprincipal.process.parent_process.parent_process.commamdLine
2022-11-03
Correzione di bug:
- Quando
event_simpleName
èInstalledApplication
, i parametri riportati di seguito vengono mappati. AppName
è stato mappato aprincipal.asset.software.name
.AppVersion
è stato mappato aprincipal.asset.software.version
.
2022-10-12
Correzione di bug:
discoverer_aid
è stato mappato aresource.attribute.labels
.NeighborName
è stato mappato aintermediary.hostname
.subnet
è stato mappato aadditional.fields
.localipCount
è stato mappato aadditional.fields
.aipCount
è stato mappato aadditional.fields
.- È stato aggiunto il controllo condizionale per
LogonServer
2022-10-07
Correzione di bug:
- La mappatura di
CommandLine
è stata modificata daprincipal.process.command_line
atarget.process.command_line
.
2022-09-13
Correzione di bug:
- È stato mappato metadata.event_type a REGISTRY_CREATION se RegOperationType è
3
. - È stato mappato event_type a REGISTRY_DELETION se RegOperationType è
4
o102
. - Event_type è stato mappato a REGISTRY_MODIFICATION se RegOperationType è
5
,7
,9
,101
o1
. - event_type è stato mappato a REGISTRY_UNCATEGORIZED se RegOperationType non è nullo e non in tutti i casi precedenti.
2022-09-02
Miglioramento:
- Definisci il campo
UserPrincipal
in statedata.
2022-08-30
Miglioramento:
- È stato definito il campo
UserPrincipal
in statedata.
2022-08-21
Miglioramento:
ActivityId
è stato mappato aadditional.fields
.SourceEndpointHostName
è stato mappato aprincipal.hostname
.SourceAccountObjectSid
è stato mappato aprincipal.user.windows_sid
.- È stata aggiunta una condizione per analizzare
LocalAddressIP4
eaip
. metadata.event_type
è stato mappato aSTATUS_UPDATE
seComputerName
eLocalAddressIP4
non sono null.SourceEndpointAccountObjectGuid
è stato mappato ametadata.product_log_id
.SourceEndpointAccountObjectSid
è stato mappato atarget.user.windows_sid
.SourceEndpointHostName
è stato mappato aprincipal.hostname
.
2022-08-18
Correzione di bug:
- Sono stati mappati i seguenti campi:
event.PatternDispositionValue
asecurity_result.about.labels
.event.ProcessId
aprincipal.process.product_specific_process_id
.event.ParentProcessId
atarget.process.parent_process.pid
.event.ProcessStartTime
asecurity_result.detection_fields
.event.ProcessEndTime
asecurity_result.detection_fields
.event.ComputerName
aprincipal.hostname
.event.UserName
aprincipal.user.userid
.event.DetectName
asecurity_result.threat_name
.event.DetectDescription
asecurity_result.description
.event.SeverityName
asecurity_result.severity
.event.FileName
atarget.file.full_path
.event.FilePath
atarget.file.full_path
.event.CommandLine
aprincipal.process.command_line
.event.SHA256String
atarget.file.sha256
.event.MD5String
asecurity_result.about.file.md5
.event.MachineDomain
aprincipal.administrative_domain
.event.FalconHostLink
aintermediary.url
.event.LocalIP
aprincipal.ip
.event.MACAddress
aprincipal.mac
.event.Tactic
asecurity_result.detection_fields
.event.Technique
asecurity_result.detection_fields
.event.Objective
asecurity_result.rule_name
.event.PatternDispositionDescription
asecurity_result.summary
.event.ParentImageFileName
aprincipal.process.parent_process.file.full_path
.event.ParentCommandLine
aprincipal.process.parent_process.command_line
.
2022-07-29
Miglioramento:
event_category,event_module,Hmac
è stato mappato aadditional.fields
.user_name
è stato mappato aprincipal.user.userid
.event_source
è stato mappato atarget.application
.- È stato aggiunto il pattern grok per
auth_group and new logs
. - È stato aggiunto il controllo per
principal_ip,target_ip and event_type
.
2022-07-25
Correzione di bug:
metadata.event_type
è stato mappato aUSER_RESOURCE_ACCESS
, doveeventType
èK8SDetectionEvent
metadata.event_type
è stato mappato aSTATUS_UPDATE
semetadata.event_type
è nullo eprincipal.asset_id
non è nullo.SourceAccountDomain
mappato aprincipal.administrative_domain
SourceAccountName
mappato aprincipal.user.userid
metadata.event_type
è stato mappato aSTATUS_UPDATE
, doveEventType
èEvent_ExternalApiEvent
eOperationName
è in [quarantined_file_update
,detection_update
,update_rule
]metadata.event_type
è stato mappato aUSER_RESOURCE_ACCESS
se FilePath è nullo e FileName è nullo o AgentIdString è nullo.metadata.event_type
è stato mappato aSTATUS_UPDATE
se Protocol è null.- È stato aggiunto il controllo condizionale per MD5String,SHA256String,CommandLine,AgentIdString,ProcessId,ParentProcessId,FilePath,FileName.
2022-07-12
Miglioramento:
- Per event_simpleName: DriverLoad,ProcessRollup,PeVersionInfo,PeFileWritten,TemplateDetectAnalysis,ScriptControlDetectInfo.
- OriginalFilename mappato a principal.process.file.full_path
2022-06-20
Miglioramento:
ConfigBuild
è stato mappato asecurity_result.detection_fields
.EffectiveTransmissionClass
è stato mappato asecurity_result.detection_fields
.Entitlements
è stato mappato asecurity_result.detection_fields
.
2022-06-14
Miglioramento:
CompanyName
mappato atarget.user.company_name
AccountType
mappato atarget.user.role_description
ProductVersion
mappato ametadata.product_version
LogonInfo
mappato aprincipal.ip
MAC
mappato aprincipal.mac
UserSid_readable
mappato atarget.user.windows_sid
FileName
mappato atarget.file.full_path
_time
mappato ametadata.event_timestamp
- È stato aggiunto il controllo condizionale per
MD5HashData
,SHA256HashData
,UserName
,id
,RegObjectName
,RegStringValue
,RegValueName
,UserSid
,TargetFileName
,aid
2022-06-02
Correzione di bug:
- È stato rimosso il nome della chiave e il carattere due punti da
security_result.detection_fields.value
.
2022-05-27
Miglioramento:
- Mappatura aggiuntiva: SHA256String e MD5String a security_result.about.file per essere visualizzati come evento di avviso.
2022-05-20
Miglioramento:
LinkName
è stato mappato atarget.resource.attribute.labels
.- Le possibili occorrenze di
GENERIC_EVENTS
sono state impostate suSTATUS_UPDATE
. - È stata aggiunta una barra verticale tra il processo e la relativa directory principale principale.
- Piattaforma analizzata se
event_platform
è iOS. - La risorsa resource.type è stata modificata in resource_type.
2022-05-12
Miglioramento:
- resourceName mappato a target.resource.name
- resourceId mappato a target.resource.product_object_id
- Spazio dei nomi mappato a target.namespace
- Categoria mappata a security_result.category_details
- descrizione mappata a security_result.description
- sourceAgent mappato a network.http.user_agent
- Gravità mappata a security_result.severity
- resourceKind mappato a target.resource.type
- detectionName mappato a target.resource.name
- clusterName mappato a target.resource.attribute.labels
- clusterId mappato a target.resource.attribute.labels
- detectionId mappato a target.resource.attribute.labels
- Tipo mappato a campi.aggiuntivi
- Correzione di additional.fields
- Benchmark per additional.fields
- badResources a additional.fields
2022-04-27
Correzione di bug:
- È stato modificato il tipo di evento udm da GENERIC_EVENT a USER_LOGIN per i log con ExternalApiType = Event_AuthActivityAuditEvent.
- Le mappature di target_user, actor_user e actor_user_uuid sono state modificate da additional.fields a target.user.email_addresses, target.user.user_display_name e target.user.userid rispettivamente.
2022-04-25
Miglioramento:
RemoteAddressIP4
è stato mappato a principal.ip.
2022-04-14
Correzione di bug:
- È stato aggiunto il supporto per il campo ScriptContent per tutti i tipi di log
2022-04-13
Miglioramento:
- Sono state aggiunte mappature per i nuovi campi
- Sono state aggiunte nuove mappature di eventi: AuthenticationPackage mappato a target.resource.name
2022-04-04
Correzione di bug:
OriginatingURL
è stato mappato a principal.url per gli eventi NetworkConnect.
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.