Esta página foi traduzida pela API Cloud Translation.

Recolha registos do CrowdStrike Falcon em CEF

Compatível com:

Google secops SIEM

Este documento explica como recolher registos do CrowdStrike Falcon no formato CEF através do Bindplane. O analisador extrai pares de chave-valor e mapeia-os para o modelo de dados unificado (UDM), processando diferentes delimitadores e enriquecendo os dados com contexto adicional, como a gravidade e os tipos de eventos. Também realiza transformações específicas para determinados tipos de eventos e campos, como inícios de sessão de utilizadores e resultados de segurança.

Antes de começar

Certifique-se de que tem uma instância do Google Security Operations.
Certifique-se de que está a usar o Windows 2016 ou posterior, ou um anfitrião Linux com systemd.
Se estiver a executar o serviço através de um proxy, certifique-se de que as portas da firewall estão abertas.
Certifique-se de que tem acesso privilegiado à consola do CrowdStrike Falcon.
Obtenha credenciais da API para o Falcon Stream (ID de cliente e segredo do cliente).

Obtenha o ficheiro de autenticação de carregamento do Google SecOps

Inicie sessão na consola Google SecOps.
Aceda a Definições do SIEM > Agentes de recolha.
Transfira o ficheiro de autenticação de carregamento. Guarde o ficheiro de forma segura no sistema onde o Bindplane vai ser instalado.

Obtenha o ID de cliente do Google SecOps

Inicie sessão na consola Google SecOps.
Aceda a Definições do SIEM > Perfil.
Copie e guarde o ID do cliente da secção Detalhes da organização.

Instale o agente do Bindplane

Instalação do Windows

Abra a Linha de comandos ou o PowerShell como administrador.

Execute o seguinte comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalação do Linux

Abra um terminal com privilégios de raiz ou sudo.

Execute o seguinte comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalação adicionais

Para ver opções de instalação adicionais, consulte este guia de instalação.

Configure o agente Bindplane para carregar o Syslog e enviá-lo para o Google SecOps

Aceda ao ficheiro de configuração:
1. Localize o ficheiro config.yaml. Normalmente, encontra-se no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
2. Abra o ficheiro com um editor de texto (por exemplo, nano, vi ou Bloco de notas).

Edite o ficheiro config.yaml da seguinte forma:

receivers:
    tcplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:54525"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: SYSLOG
            namespace: cs_falcon
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
Substitua <customer_id> pelo ID de cliente real.
Atualize /path/to/ingestion-authentication-file.json para o caminho onde o ficheiro de autenticação foi guardado na secção Obtenha o ficheiro de autenticação de carregamento do Google SecOps.

Reinicie o agente do Bindplane para aplicar as alterações

Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar o agente do Bindplane no Windows, pode usar a consola Services ou introduzir o seguinte comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configure e obtenha uma chave da API CrowdStrike

Inicie sessão no CrowdStrike Falcon com uma conta privilegiada.
Aceda a Menu > Apoio técnico.
Clique em Clientes da API > ChavesSelecionar.
Clique em Adicionar novo cliente de API.
Na secção Âmbitos da API, selecione Fluxos de eventos e Alertas > ative a opção Ler.
Clique em Adicionar.
Copie e guarde o ID de cliente, o segredo e o URL base.

Instale o conetor do SIEM do Falcon

Transfira o pacote do instalador RPM para o seu sistema operativo.

Instalação de pacotes:

Sistema operativo CentOS:
```
sudo rpm -Uvh <installer package>
```
Sistema operativo Ubuntu:
```
sudo dpkg -i <installer package>
```

Diretórios de instalação predefinidos:
- Conetor do Falcon SIEM – /opt/crowdstrike/.
- Serviço: /etc/init.d/cs.falconhoseclientd/.

Configure o conetor SIEM para encaminhar registos CEF para o Bindplane

Inicie sessão na máquina com o SIEM Connector instalado como utilizador sudo.
Aceda ao diretório /opt/crowdstrike/etc/.
Mude o nome de cs.falconhoseclient.cef.cfg para cs.falconhoseclient.cfg.
- O conetor SIEM usa a configuração cs.falconhoseclient.cfg por predefinição.
Edite o ficheiro cs.falconhoseclient.cfg e modifique/defina os seguintes parâmetros:
- api_url: – o URL base do CrowdStrike Falcon copiado do passo anterior.
- app_id: – qualquer string como identificador para a ligação à API Falcon Streaming (por exemplo, defina como app_id: SECOPS-CEF).
- client_id:: o valor client_id copiado do passo anterior.
- client_secret:: o valor client_secret copiado do passo anterior.
- send_to_syslog_server: true: ative o envio push para o servidor Syslog.
- host:: o IP ou o nome de anfitrião do agente do Bindplane.
- port: – a porta do agente Bindplane.
Guarde o ficheiro cs.falconhoseclient.cfg.
Inicie o serviço do conetor SIEM:
- Sistema operativo CentOS
```
sudo service cs.falconhoseclientd start
```
- Sistema operativo Ubuntu 16.04 ou posterior
```
sudo systemctl start cs.falconhoseclientd.service
```
Opcional: pare o serviço do conetor SIEM:
- Sistema operativo CentOS
```
sudo service cs.falconhoseclientd stop
```
- Sistema operativo Ubuntu 16.04 ou posterior
```
sudo systemctl stop cs.falconhoseclientd.service
```
Opcional: reinicie o serviço do conetor SIEM:
- Sistema operativo CentOS
```
sudo service cs.falconhoseclientd restart
```
- Sistema operativo Ubuntu 16.04 ou posterior
```
sudo systemctl restart cs.falconhoseclientd.service
```

Tabela de mapeamento da UDM

Campo de registo	Mapeamento de UDM	Lógica
`AccountCreationTimeStamp`	`event.idm.read_only_udm.metadata.event_timestamp`	O nome do campo de registo não processado `AccountCreationTimeStamp` foi alterado para `event.idm.read_only_udm.metadata.event_timestamp`.
`AccountDomain`	`event.idm.read_only_udm.principal.administrative_domain`	O nome do campo de registo não processado `AccountDomain` foi alterado para `event.idm.read_only_udm.principal.administrative_domain`.
`AccountObjectGuid`	`event.idm.read_only_udm.metadata.product_log_id`	O nome do campo de registo não processado `AccountObjectGuid` foi alterado para `event.idm.read_only_udm.metadata.product_log_id`.
`AccountObjectSid`	`event.idm.read_only_udm.principal.user.windows_sid`	O nome do campo de registo não processado `AccountObjectSid` foi alterado para `event.idm.read_only_udm.principal.user.windows_sid`.
`AccessType`	-	Não está mapeado para o objeto IDM.
`action_taken`	`event.idm.read_only_udm.additional.fields[0].value.string_value`	Parte da matriz `AuditKeyValues`.
`ActiveCpuCount`	-	Não está mapeado para o objeto IDM.
`ActiveDirectoryAuthenticationMethod`	-	Não está mapeado para o objeto IDM.
`ActiveDirectoryDataProtocol`	-	Não está mapeado para o objeto IDM.
`AddressFamily`	-	Não está mapeado para o objeto IDM.
`AdminStatus`	-	Não está mapeado para o objeto IDM.
`AllocateVirtualMemoryCount`	`security_result.detection_fields[0].value`	Faz parte do evento `EndOfProcess`.
`agent-windows`	`event.idm.read_only_udm.target.file.full_path`	Parte de TargetFileName.
`AgentIdString`	`event.idm.read_only_udm.principal.asset_id`	Com o prefixo `CS:`.
`AgentLoadFlags`	-	Não está mapeado para o objeto IDM.
`AgentLocalTime`	-	Não está mapeado para o objeto IDM.
`AgentOnline` `AgentTimeOffset`	-	Não está mapeado para o objeto IDM.
`AgentVersion` `AggregationActivityCount` `AggregationEarliestTimestamp`	-	Não está mapeado para o objeto IDM.
`aid`	`event.idm.read_only_udm.principal.asset_id`	Com o prefixo `CS:`.
`aip`	`event.idm.read_only_udm.principal.nat_ip`	Quando `_aid_is_target` é falso, se `aip` não for nulo, crie uma entidade ip com o valor de `aip` e adicione-a a `event.idm.read_only_udm.principal.nat_ip`.
`aipCount` `AllocVmEtw` `AllocationType`	-	Não está mapeado para o objeto IDM.
`AllowHardTerminate`	-	Não está mapeado para o objeto IDM.
`AllowStartOnDemand`	-	Não está mapeado para o objeto IDM.
`ApcArgument1`	-	Não está mapeado para o objeto IDM.
`ApcArgument2`	-	Não está mapeado para o objeto IDM.
`ApcContextAddress`	-	Não está mapeado para o objeto IDM.
`ApcContextFileName`	-	Não está mapeado para o objeto IDM.
`ApcContext`	-	Não está mapeado para o objeto IDM.
`ApplicationName` `ApplicationUniqueIdentifier`	-	Não está mapeado para o objeto IDM.
`ApplicationVersion`	-	Não está mapeado para o objeto IDM.
`AppIs64Bit`	-	Não está mapeado para o objeto IDM.
`AppName` `AppPath` `AppPathFlag`	-	Não está mapeado para o objeto IDM.
`AppProductId`	-	Não está mapeado para o objeto IDM.
`AppType`	-	Não está mapeado para o objeto IDM.
`AppUpdateIds`	-	Não está mapeado para o objeto IDM.
`AppVendor`	-	Não está mapeado para o objeto IDM.
`AppVersion` `ArchiveFileWrittenCount`	`security_result.detection_fields[0].value`	Faz parte do evento `EndOfProcess`.
`AsepClass`	-	Não está mapeado para o objeto IDM.
`AsepFileChange` `AsepFlags`	-	Não está mapeado para o objeto IDM.
`AsepIndex`	-	Não está mapeado para o objeto IDM.
`AsepKeyUpdate` `AsepValueUpdate` `AsepValueType`	-	Não está mapeado para o objeto IDM.
`AsepWrittenCount`	`security_result.detection_fields[0].value`	Faz parte do evento `EndOfProcess`.
`AssociateIndicator` `AssociateTreeIdWithRoot` `AssemblyFlags`	-	Não está mapeado para o objeto IDM.
`AssemblyId`	-	Não está mapeado para o objeto IDM.
`AssemblyName` `AuthenticationId`	`event.idm.read_only_udm.principal.user.product_object_id`	Com o prefixo `CS:`.
`AuthenticationPackage` `AuthenticationUuid`	-	Não está mapeado para o objeto IDM.
`AuthenticationUuidAsString`	-	Não está mapeado para o objeto IDM.
`AuthenticodeHashData` `AuthenticodeMatch` `automated_remediation`	`assessments.automated_remediation`	Faz parte do evento `ZeroTrustHostAssessment`.
`BaseReachableTime`	-	Não está mapeado para o objeto IDM.
`BaseTime`	-	Não está mapeado para o objeto IDM.
`BatchDataNumber`	-	Não está mapeado para o objeto IDM.
`BatchDataTotal`	-	Não está mapeado para o objeto IDM.
`BatchTimestamp` `BatteryLevel`	-	Não está mapeado para o objeto IDM.
`BatteryStatus`	-	Não está mapeado para o objeto IDM.
`BehaviorWhitelisted` `benchmarks` `BenignCount`	-	Não está mapeado para o objeto IDM.
`beta_build_disabled`	`assessments.beta_build_disabled`	Faz parte do evento `ZeroTrustHostAssessment`.
`BinaryExecutableWrittenCount`	`security_result.detection_fields[0].value`	Faz parte do evento `EndOfProcess`.
`BillingInfo` `BillingType`	-	Não está mapeado para o objeto IDM.
`BiosManufacturer` `BiosReleaseDate`	-	Não está mapeado para o objeto IDM.
`BiosVersion` `BITSJobCreated` `BootArgs`	-	Não está mapeado para o objeto IDM.
`BootId`	-	Não está mapeado para o objeto IDM.
`BootStatusDataAabEnabled`	-	Não está mapeado para o objeto IDM.
`BootStatusDataBootAttemptCount`	-	Não está mapeado para o objeto IDM.
`BootStatusDataBootGood`	-	Não está mapeado para o objeto IDM.
`BootStatusDataBootShutdown`	-	Não está mapeado para o objeto IDM.
`BootTimeFunctionalityLevel`	-	Não está mapeado para o objeto IDM.
`BrowserInjectedThread` `BundleID`	-	Não está mapeado para o objeto IDM.
`CallStackModuleNames` `CallStackModuleNamesVersion` `ChannelId`	-	Não está mapeado para o objeto IDM.
`ChannelVersion`	-	Não está mapeado para o objeto IDM.
`ChannelVersionRequired` `ChasisManufacturer`	-	Não está mapeado para o objeto IDM.
`ChassisType` `cid` `City` `CLICreationCount`	`security_result.detection_fields[0].value`	Faz parte do evento `EndOfProcess`.
`ClassifiedModuleLoad` `CloudAssociateTreeIdWithRoot` `CloudErrorCode`	-	Não está mapeado para o objeto IDM.
`CNAMERecords` `CodeIntegrity`	-	Não está mapeado para o objeto IDM.
`CommandLine` `CommandSequence`	-	Não está mapeado para o objeto IDM.
`CompletionEventId`	-	Não está mapeado para o objeto IDM.
`ComputerName`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Se `ComputerName` não for nulo, uma string vazia ou um traço, crie uma entidade de nome do anfitrião com o valor de `ComputerName` e adicione-a a `event.idm.read_only_udm.principal.hostname` e `event.idm.read_only_udm.principal.asset.hostname`.
`ConfigBuild` `ConfigIDBase`	-	Não está mapeado para o objeto IDM.
`ConfigIDBuild`	-	Não está mapeado para o objeto IDM.
`ConfigIDPlatform`	-	Não está mapeado para o objeto IDM.
`ConfigurationVersion`	-	Não está mapeado para o objeto IDM.
`ConfigStateData`	-	Não está mapeado para o objeto IDM.
`ConfigStateHash` `ConfigStateUpdate` `ConnectTime`	-	Não está mapeado para o objeto IDM.
`ConnectType`	-	Não está mapeado para o objeto IDM.
`Connected`	-	Não está mapeado para o objeto IDM.
`ConnectionCipher`	-	Não está mapeado para o objeto IDM.
`ConnectionCipherStrength`	-	Não está mapeado para o objeto IDM.
`ConnectionDirection`	-	Não está mapeado para o objeto IDM.
`ConnectionExchange`	-	Não está mapeado para o objeto IDM.
`ConnectionExchangeStrength`	-	Não está mapeado para o objeto IDM.
`ConnectionFlags`	-	Não está mapeado para o objeto IDM.
`ConnectionHash`	-	Não está mapeado para o objeto IDM.
`ConnectionHashStrength`	-	Não está mapeado para o objeto IDM.
`ConnectionProtocol`	-	Não está mapeado para o objeto IDM.
`ConnectionType`	-	Não está mapeado para o objeto IDM.
`Continent` `ContentSHA256HashData` `ContextData`	-	Não está mapeado para o objeto IDM.
`ContextProcessId`	`event.idm.read_only_udm.principal.process.product_specific_process_id`, `event.idm.read_only_udm.target.process.product_specific_process_id`	Com o prefixo `CS:%{cid}:%{aid}:`.
`ContextThreadId`	-	Não está mapeado para o objeto IDM.
`ContextTimeStamp` `ContextTimeStamp_decimal` `Country` `CrashDumpFilePath`	-	Não está mapeado para o objeto IDM.
`CrashNotification` `CreateProcessArgs` `CreateProcessCount`	`security_result.detection_fields[0].value`	Faz parte do evento `EndOfProcess`.
`CreateService` `CreateThreadNoStartImage` `CreationTimeStamp`	-	Não está mapeado para o objeto IDM.
`CriticalFileAccessed` `CriticalFileModified` `CsaProcessDataCollectionInstanceId`	-	Não está mapeado para o objeto IDM.
`CurrentFunctionalityLevel`	-	Não está mapeado para o objeto IDM.
`CurrentLocalIP`	-	Não está mapeado para o objeto IDM.
`CurrentSystemTags` `CustomerIdString` `CycleTime`	-	Não está mapeado para o objeto IDM.
`DadState`	-	Não está mapeado para o objeto IDM.
`DadTransmits`	-	Não está mapeado para o objeto IDM.
`DcName`	`event.idm.read_only_udm.principal.user.userid`	O nome do campo de registo não processado `DcName` foi alterado para `event.idm.read_only_udm.principal.user.userid`.
`DcNumAttachments`	-	Não está mapeado para o objeto IDM.
`DcNumBlockingPolicies`	-	Não está mapeado para o objeto IDM.
`DcOnline` `DcPropertyIdInterfaceType`	-	Não está mapeado para o objeto IDM.
`DcPropertyIdInterfaceVersion`	-	Não está mapeado para o objeto IDM.
`DcSensorInterfaceType`	-	Não está mapeado para o objeto IDM.
`DcSensorInterfaceVersion`	-	Não está mapeado para o objeto IDM.
`DcStatus` `DcUsbConfigurationDescriptor` `DcUsbDeviceConnected` `DcUsbDeviceDisconnected` `DcUsbEndpointDescriptor` `DcUsbHIDDescriptor` `DcUsbInterfaceDescriptor` `DCSyncAttempted` `Debug`	-	Não está mapeado para o objeto IDM.
`DefaultGatewayIP4`	-	Não está mapeado para o objeto IDM.
`DefaultGatewayIP6`	-	Não está mapeado para o objeto IDM.
`DefaultGatewayPhysicalAddress`	-	Não está mapeado para o objeto IDM.
`DeepHashBlacklistClassification` `DeepHashBlacklistVersion`	-	Não está mapeado para o objeto IDM.
`DeliverLocalFXToCloud` `DesiredAccess` `detectionId` `detectionName` `DetectDescription` `DetectId`	-	Não está mapeado para o objeto IDM.
`DetectName` `DeviceActiveConfigurationNumber`	-	Não está mapeado para o objeto IDM.
`DeviceConnectionStatus`	-	Não está mapeado para o objeto IDM.
`DeviceDescriptorNumber`	-	Não está mapeado para o objeto IDM.
`DeviceDescriptorSetHash`	-	Não está mapeado para o objeto IDM.
`DeviceDescriptorUniqueIdentifier`	-	Não está mapeado para o objeto IDM.
`DeviceId`	-	Não está mapeado para o objeto IDM.
`DeviceInstanceId`	`event.idm.read_only_udm.target.asset_id`	Com o prefixo `Device Instance Id:`.
`DeviceManufacturer` `DeviceProduct` `DeviceProductId`	-	Não está mapeado para o objeto IDM.
`DevicePropertyClassName`	-	Não está mapeado para o objeto IDM.
`DevicePropertyClassGuid`	-	Não está mapeado para o objeto IDM.
`DevicePropertyDeviceDescription` `DevicePropertyFriendlyName`	-	Não está mapeado para o objeto IDM.
`DevicePropertyLocationInformation` `DevicePropertyManufacturer`	-	Não está mapeado para o objeto IDM.
`DeviceProtocol`	-	Não está mapeado para o objeto IDM.
`DeviceSerialNumber` `DeviceTimeStamp` `DeviceType`	-	Não está mapeado para o objeto IDM.
`DeviceUsbClass`	-	Não está mapeado para o objeto IDM.
`DeviceUsbSubclass`	-	Não está mapeado para o objeto IDM.
`DeviceUsbVersion`	-	Não está mapeado para o objeto IDM.
`DeviceVendorId`	-	Não está mapeado para o objeto IDM.
`DeviceVersion`	-	Não está mapeado para o objeto IDM.
`DirectoryCreate` `DirectoryCreatedCount`	`security_result.detection_fields[0].value`	Faz parte do evento `EndOfProcess`.
`DirectoryEnumeratedCount`	`security_result.detection_fields[0].value`	Faz parte do evento `EndOfProcess`.
`DisableRealtimeMonitoring` `DisallowStartIfOnBatteries`	-	Não está mapeado para o objeto IDM.
`DisallowStartOnRemoteAppSession`	-	Não está mapeado para o objeto IDM.
`DiskParentDeviceInstanceId` `DllCharacteristics`	-	Não está mapeado para o objeto IDM.
`DllInjection` `DlpPolicy`	-	Não está mapeado para o objeto IDM.
`DlpVerdict`	-	Não está mapeado para o objeto IDM.
`DmpFileWritten` `DnsRequest` `DnsRequestCount`	`security_result.detection_fields[0].value`	Faz parte do evento `EndOfProcess`.
`DnsResponseType`	-	Não está mapeado para o objeto IDM.
`DnsResponseTtl`	-	Não está mapeado para o objeto IDM.
`DocumentFileWrittenCount`	`security_result.detection_fields[0].value`	Faz parte do evento `EndOfProcess`.
`DomainName`	`event.idm.read_only_udm.target.hostname`, `event.idm.read_only_udm.target.asset.hostname`, `event.idm.read_only_udm.network.dns.questions[0].name`	Se `DomainName` não for nulo, crie uma entidade de nome de anfitrião com o valor de `DomainName` e adicione-a a `event.idm.read_only_udm.target.hostname`, `event.idm.read_only_udm.target.asset.hostname` e `event.idm.read_only_udm.network.dns.questions[0].name`.
`DotnetModuleFlags`	-	Não está mapeado para o objeto IDM.
`DotnetModuleId`	-	Não está mapeado para o objeto IDM.
`DotnetModuleLoadDetectInfo` `DownloadPath`	-	Não está mapeado para o objeto IDM.
`DownloadPort`	-	Não está mapeado para o objeto IDM.
`DownloadServer` `DriverLoad` `DualRequest`	-	Não está mapeado para o objeto IDM.
`EffectiveTransmissionClass` `Effective`	-	Não está mapeado para o objeto IDM.
`EfiSupported`	-	Não está mapeado para o objeto IDM.
`EfiVariableCustomMode`	-	Não está mapeado para o objeto IDM.
`EfiVariableCustomModeAttributes`	-	Não está mapeado para o objeto IDM.
`EfiVariableDbAttributes`	-	Não está mapeado para o objeto IDM.
`EfiVariableDbxAttributes`	-	Não está mapeado para o objeto IDM.
`EfiVariableDbxSha256Hash`	-	Não está mapeado para o objeto IDM.
`EfiVariableKekAttributes`	-	Não está mapeado para o objeto IDM.
`EfiVariableKekSha256Hash`	-	Não está mapeado para o objeto IDM.
`EfiVariablePkAttributes`	-	Não está mapeado para o objeto IDM.
`EfiVariablePkSha256Hash`	-	Não está mapeado para o objeto IDM.
`EfiVariableSecureBoot`	-	Não está mapeado para o objeto IDM.
`EfiVariableSecureBootAttributes`	-	Não está mapeado para o objeto IDM.
`EfiVariableSetupMode`	-	Não está mapeado para o objeto IDM.
`EfiVariableSetupModeAttributes`	-	Não está mapeado para o objeto IDM.
`EfiVariableSignatureSupport`	-	Não está mapeado para o objeto IDM.
`EfiVariableSignatureSupportAttributes`	-	Não está mapeado para o objeto IDM.
`EndpointDescriptorAddress`	-	Não está mapeado para o objeto IDM.
`EndpointDescriptorAttributes`	-	Não está mapeado para o objeto IDM.
`EndpointDescriptorInterval`	-	Não está mapeado para o objeto IDM.
`EndpointDescriptorMaxPacketSize`	-	Não está mapeado para o objeto IDM.
`EndOfProcess` `Entitlements` `ErrorEvent` `ErrorCode`	-	Não está mapeado para o objeto IDM.
`ErrorLocation`	-	Não está mapeado para o objeto IDM.
`ErrorReason`	-	Não está mapeado para o objeto IDM.
`ErrorSource`	-	Não está mapeado para o objeto IDM.
`ErrorStatus`	-	Não está mapeado para o objeto IDM.
`ErrorText`	-	Não está mapeado para o objeto IDM.
`EventLogCleared` `EventMax`	-	Não está mapeado para o objeto IDM.
`EventMin`	-	Não está mapeado para o objeto IDM.
`EventOrigin`	-	Não está mapeado para o objeto IDM.
`EventType`	`event.idm.read_only_udm.metadata.product_event_type`	Se `event_simpleName` for nulo e `EventType` não for nulo, crie uma entidade product_event_type com o valor de `EventType` e adicione-a a `event.idm.read_only_udm.metadata.product_event_type`.
`EtwErrorEvent` `EtwRawProcessId`	-	Não está mapeado para o objeto IDM.
`EtwRawThreadId`	-	Não está mapeado para o objeto IDM.
`ExecutableDeleted` `ExecutableDeletedCount`	`security_result.detection_fields[0].value`	Faz parte do evento `EndOfProcess`.
`ExeAndServiceCount`	`security_result.detection_fields[0].value`	Faz parte do evento `EndOfProcess`.
`ExitCode`	-	Não está mapeado para o objeto IDM.
`Exploit` `ExternalApiType`	`event.idm.read_only_udm.metadata.product_event_type`, `event.idm.read_only_udm.extensions.auth.auth_details`	Se `message` contiver `event1`, o nome de `ExternalApiType` é alterado para `event.idm.read_only_udm.metadata.product_event_type`. Caso contrário, o nome é mudado para `event.idm.read_only_udm.extensions.auth.auth_details`.
`Facility`	-	Não está mapeado para o objeto IDM.
`FailedConnectCount`	-	Não está mapeado para o objeto IDM.
`FalconHostLink` `FalconServiceComponent`	-	Não está mapeado para o objeto IDM.
`FalconServiceServletErrors`	-	Não está mapeado para o objeto IDM.
`FalconServiceServletStarts`	-	Não está mapeado para o objeto IDM.
`FalconServiceState`	-	Não está mapeado para o objeto IDM.
`FalconServiceStatus` `FeatureExtractionVersion`	-	Não está mapeado para o objeto IDM.
`FeatureVector`	-	Não está mapeado para o objeto IDM.
`File`	-	Não está mapeado para o objeto IDM.
`FileAttributes`	-	Não está mapeado para o objeto IDM.
`FileCreateInfo` `FileDeletedCount`	`security_result.detection_fields[0].value`	Faz parte do evento `EndOfProcess`.
`FileDeleteInfo` `FileEcpBitmask`	-	Não está mapeado para o objeto IDM.
`FileEventType`	-	Não está mapeado para o objeto IDM.
`FileIdentifier` `FileObject`	-	Não está mapeado para o objeto IDM.
`FileName` `FileOpenInfo` `FileRenameInfo` `FileSigningTime`	-	Não está mapeado para o objeto IDM.
`FirewallAction`	-	Não está mapeado para o objeto IDM.
`FirewallChangeOption` `FirewallDeleteRule` `FirewallDeleteRuleIP4` `FirewallDeleteRuleIP6` `FirewallEnabled` `FirewallOption` `FirewallOptionNumericValue`	-	Não está mapeado para o objeto IDM.
`FirewallProfile`	-	Não está mapeado para o objeto IDM.
`FirewallRule` `FirewallRuleId` `FirewallSetRule` `FirewallSetRuleIP4` `FirewallSetRuleIP6` `FirmwareAnalysisErrorEvent` `FirmwareAnalysisErrorLocation`	-	Não está mapeado para o objeto IDM.
`FirmwareAnalysisErrorReason`	-	Não está mapeado para o objeto IDM.
`FirmwareAnalysisErrorSource`	-	Não está mapeado para o objeto IDM.
`FirmwareAnalysisHardwareData` `FirmwareAnalysisStatus` `FirmwareAnalysisCpuSupported`	-	Não está mapeado para o objeto IDM.
`FirmwareAnalysisEclControlInterfaceVersion`	-	Não está mapeado para o objeto IDM.
`FirmwareAnalysisEclConsumerInterfaceVersion`	-	Não está mapeado para o objeto IDM.
`FirmwareImageAnalyzed` `FirmwareRegionMeasured` `FirmwareSize`	-	Não está mapeado para o objeto IDM.
`FirmwareType`	-	Não está mapeado para o objeto IDM.
`FirstDiscoveredDate`	-	Não está mapeado para o objeto IDM.
`FirstIP4Record` `Flags`	-	Não está mapeado para o objeto IDM.
`FltCallbackData`	-	Não está mapeado para o objeto IDM.
`FltCompletionContext`	-	Não está mapeado para o objeto IDM.
`FltRelatedObjects`	-	Não está mapeado para o objeto IDM.
`FontBuffer`	-	Não está mapeado para o objeto IDM.
`FontBufferLength`	-	Não está mapeado para o objeto IDM.
`FontFileCount`	-	Não está mapeado para o objeto IDM.
`FontFileName` `FontLoadOperation`	-	Não está mapeado para o objeto IDM.
`FsOperationBlocked`	`event1.PatternDispositionFlags.FsOperationBlocked`	Parte de `Event_DetectionSummaryEvent`.
`FsPostOpenSnapshotFile` `FsVolumeMounted` `FsVolumeUnmounted` `FullContext`	-	Não está mapeado para o objeto IDM.
`FullExceptionRecord`	-	Não está mapeado para o objeto IDM.
`GcpCreationTimestamp` `GenericFileWrittenCount`	`security_result.detection_fields[0].value`	Faz parte do evento `EndOfProcess`.
`GID`	-	Não está mapeado para o objeto IDM.
`GrandparentCommandLine` `GrandparentImageFileName` `GrandParentBaseFileName` `GroupIdentity` `GroupRid` `GzipFileWritten` `HandleCreated`	-	Não está mapeado para o objeto IDM.
`HIDDescriptorCountryCode`	-	Não está mapeado para o objeto IDM.
`HIDDescriptorNumDescriptors`	-	Não está mapeado para o objeto IDM.
`HIDDescriptorVersion`	-	Não está mapeado para o objeto IDM.
`HIPHandlers.dll`	`event.idm.read_only_udm.target.file.full_path`	Parte de TargetFileName.
`HostGroups`	-	Não está mapeado para o objeto IDM.
`HostHiddenStatus` `HostInfo` `HostnameChanged` `hostname` `HostProcessType`	-	Não está mapeado para o objeto IDM.
`HostUrl` `HttpRequestDetect` `HttpRequestHeader` `HttpUrl` `IcmpCode`	-	Não está mapeado para o objeto IDM.
`IcmpType`	-	Não está mapeado para o objeto IDM.
`id` `IdleSettings`	-	Não está mapeado para o objeto IDM.
`ImageFileName` `ImageSubsystem`	-	Não está mapeado para o objeto IDM.
`Image`	-	Não está mapeado para o objeto IDM.
`ImpersonatedUserName` `InBroadcastOctets`	-	Não está mapeado para o objeto IDM.
`InContext`	-	Não está mapeado para o objeto IDM.
`InDiscards`	-	Não está mapeado para o objeto IDM.
`Indicator`	`event1.PatternDispositionFlags.Indicator`	Parte de `Event_DetectionSummaryEvent`.
`InddetMask`	`event1.PatternDispositionFlags.InddetMask`	Parte de `Event_DetectionSummaryEvent`.
`InErrors`	-	Não está mapeado para o objeto IDM.
`Information`	-	Não está mapeado para o objeto IDM.
`InjectedDll` `InjectedThread` `InjectedThreadCount`	`security_result.detection_fields[0].value`	Faz parte do evento `EndOfProcess`.
`InjectedThreadFlag`	-	Não está mapeado para o objeto IDM.
`InMulticastOctets`	-	Não está mapeado para o objeto IDM.
`InNUcastPkts`	-	Não está mapeado para o objeto IDM.
`InOctets`	-	Não está mapeado para o objeto IDM.
`InstallDate`	-	Não está mapeado para o objeto IDM.
`InstalledApplication` `InstalledUpdateExtendedStatus`	-	Não está mapeado para o objeto IDM.
`InstalledUpdateIds`	-	Não está mapeado para o objeto IDM.
`InstalledUpdates` `InstanceMetadata` `InstanceMetadataProvider`	-	Não está mapeado para o objeto IDM.
`InstanceMetadataRequest`	-	Não está mapeado para o objeto IDM.
`InstanceMetadataSignature`	-	Não está mapeado para o objeto IDM.
`InUcastOctets`	-	Não está mapeado para o objeto IDM.
`InUcastPkts`	-	Não está mapeado para o objeto IDM.
`InUnknownProtos`	-	Não está mapeado para o objeto IDM.
`IntegrityLevel`	-	Não está mapeado para o objeto IDM.
`InterfaceAlias`	-	Não está mapeado para o objeto IDM.
`InterfaceDescription`	-	Não está mapeado para o objeto IDM.
`InterfaceFlags`	-	Não está mapeado para o objeto IDM.
`InterfaceGuid`	-	Não está mapeado para o objeto IDM.
`InterfaceIdentifier`	-	Não está mapeado para o objeto IDM.
`InterfaceIndex`	-	Não está mapeado para o objeto IDM.
`InterfaceMtu`	-	Não está mapeado para o objeto IDM.
`InterfaceType`	-	Não está mapeado para o objeto IDM.
`InterfaceVersion`	-	Não está mapeado para o objeto IDM.
`InjectedDllCount`	`security_result.detection_fields[0].value`	Faz parte do evento `EndOfProcess`.
`InjectedThreadFlag`	-	Não está mapeado para o objeto IDM.
`InkDiv.dll`	`event.idm.read_only_udm.target.file.full_path`	Parte de `ExecutablesWritten`.
`InkObj.dll`	`event.idm.read_only_udm.target.file.full_path`	Parte de `ExecutablesWritten`.
`InMulticastPkts`	-	Não está mapeado para o objeto IDM.
`InOctets`	-	Não está mapeado para o objeto IDM.
`InUcastPkts`	-	Não está mapeado para o objeto IDM.
`IOARuleGroupName` `IOARuleInstanceID`	-	Não está mapeado para o objeto IDM.
`IOARuleInstanceVersion`	-	Não está mapeado para o objeto IDM.
`IOARuleName` `IOServiceClass`	-	Não está mapeado para o objeto IDM.
`IOServiceName`	-	Não está mapeado para o objeto IDM.
`IOServicePath`	-	Não está mapeado para o objeto IDM.
`IOServiceProperties`	-	Não está mapeado para o objeto IDM.
`IOServiceRegister` `IoSessionConnected` `IoSessionLoggedOn` `IpEntryFlags`	-	Não está mapeado para o objeto IDM.
`IrpFlags`	-	Não está mapeado para o objeto IDM.
`IsCpuDataCommonOnAllCores`	-	Não está mapeado para o objeto IDM.
`IsNorthBridgeSupported`	-	Não está mapeado para o objeto IDM.
`IsOnClearCaseMvfs`	-	Não está mapeado para o objeto IDM.
`IsOnNetwork` `IsOnRemovableDisk` `IsOn`	-	Não está mapeado para o objeto IDM.
`IsRemote`	-	Não está mapeado para o objeto IDM.
`IsSouthBridgeSupported`	-	Não está mapeado para o objeto IDM.
`IsTransactedFile`	-	Não está mapeado para o objeto IDM.
`IsUnique`	-	Não está mapeado para o objeto IDM.
`JavaInjectedThread` `JarFileWritten` `KernelModeLoadImage` `KernelTime`	-	Não está mapeado para o objeto IDM.
`KextUnload` `K8SCreationTimestamp` `K8SDetectionEvent` `LanguageId`	-	Não está mapeado para o objeto IDM.
`LastAdded`	-	Não está mapeado para o objeto IDM.
`LastDiscoveredBy`	-	Não está mapeado para o objeto IDM.
`LastDisplayed`	-	Não está mapeado para o objeto IDM.
`LastLoggedOnHost`	-	Não está mapeado para o objeto IDM.
`LastUpdateInstalledTime`	-	Não está mapeado para o objeto IDM.
`LateralMovement`	-	Não está mapeado para o objeto IDM.
`LdapSearchAttributes`	-	Não está mapeado para o objeto IDM.
`LdapSearchBaseObjectSample`	-	Não está mapeado para o objeto IDM.
`LdapSearchFilterSample`	-	Não está mapeado para o objeto IDM.
`LdapSearchFilterShape`	-	Não está mapeado para o objeto IDM.
`LdapSearchQueryClassification`	-	Não está mapeado para o objeto IDM.
`LdapSearchQueryToken`	-	Não está mapeado para o objeto IDM.
`LdapSearchScope`	-	Não está mapeado para o objeto IDM.
`LdapSearchSizeLimit`	-	Não está mapeado para o objeto IDM.
`LdapSecurityType`	-	Não está mapeado para o objeto IDM.
`LightningLatencyInfo` `LightningLatencyState`	-	Não está mapeado para o objeto IDM.
`Line`	-	Não está mapeado para o objeto IDM.
`LinkLocalAddressBehavior`	-	Não está mapeado para o objeto IDM.
`LinkLocalAddressTimeout`	-	Não está mapeado para o objeto IDM.
`LinkName` `LocalAccount`	-	Não está mapeado para o objeto IDM.
`LocalAddressIP4` `LocalAddressIP6` `LocalAddressMaskIP4`	-	Não está mapeado para o objeto IDM.
`LocalAddressMaskIP6`	-	Não está mapeado para o objeto IDM.
`LocalAdminAccess`	-	Não está mapeado para o objeto IDM.
`LocalIpAddressIP4` `LocalIpAddressIP6` `LocalIpAddressRemovedIP4` `LocalIpAddressRemovedIP6` `LocalPort` `LocalSession`	-	Não está mapeado para o objeto IDM.
`localipCount` `LockScreenEnabled`	-	Não está mapeado para o objeto IDM.
`LockScreenStatus` `LogoffTime` `LogonDomain` `LogonId`	-	Não está mapeado para o objeto IDM.
`LogonInfo`	`security_result.summary`	Define `event_type` como `USER_LOGIN`.
`LogonServer` `LogonTime` `LogonType`	`event.idm.read_only_udm.extensions.auth.mechanism`	Mapeado para um valor enum do UDM com base no valor `LogonType`.
`LogoffTime` `LsassHandleFromUnsignedModule` `MAC`	`event.idm.read_only_udm.principal.mac`	Convertido para minúsculas e os dois pontos são substituídos por hífenes.
`MACAddress`	`event.idm.read_only_udm.principal.mac`	Os hífens são substituídos por dois pontos.
`MACPrefix`	-	Não está mapeado para o objeto IDM.
`MachOFileWritten` `MachOSubType`	-	Não está mapeado para o objeto IDM.
`MachineDn` `MachineDomain` `MajorFunction`	-	Não está mapeado para o objeto IDM.
`MajorVersion`	-	Não está mapeado para o objeto IDM.
`Malicious`	-	Não está mapeado para o objeto IDM.
`ManagedPdbBuildPath` `MappedFromUserMode`	-	Não está mapeado para o objeto IDM.
`MaxReassemblySize`	-	Não está mapeado para o objeto IDM.
`MaxRouterAdvertisementInterval`	-	Não está mapeado para o objeto IDM.
`MaxThreadCount`	-	Não está mapeado para o objeto IDM.
`MD5HashData`	`event.idm.read_only_udm.target.file.md5`, `event.idm.read_only_udm.target.process.file.md5`	Se `MD5HashData` for um hash MD5 válido e não for composto apenas por zeros, crie uma entidade de hash MD5 com o valor de `MD5HashData` e adicione-a a `event.idm.read_only_udm.target.file.md5` e `event.idm.read_only_udm.target.process.file.md5`.
`MD5String` `MediaConnectState`	-	Não está mapeado para o objeto IDM.
`MediaType`	-	Não está mapeado para o objeto IDM.
`MemoryAvailable`	-	Não está mapeado para o objeto IDM.
`MemoryRegionProtection`	-	Não está mapeado para o objeto IDM.
`MemoryRegionStart`	-	Não está mapeado para o objeto IDM.
`MemoryTotal`	-	Não está mapeado para o objeto IDM.
`MmioDataSmiEn`	-	Não está mapeado para o objeto IDM.
`MmioDataTco1Cnt`	-	Não está mapeado para o objeto IDM.
`MLModelVersion`	-	Não está mapeado para o objeto IDM.
`MobileDetection` `MobileDetectionId`	-	Não está mapeado para o objeto IDM.
`MobileOsIntegrityIntact`	-	Não está mapeado para o objeto IDM.
`MobileOsIntegrityStatus` `MobilePowerStats` `MoboManufacturer`	-	Não está mapeado para o objeto IDM.
`MoboProductName`	-	Não está mapeado para o objeto IDM.
`ModelPrediction`	-	Não está mapeado para o objeto IDM.
`ModuleBaseAddress`	-	Não está mapeado para o objeto IDM.
`ModuleCharacteristics`	-	Não está mapeado para o objeto IDM.
`ModuleDetectInfo` `ModuleLoadCount`	-	Não está mapeado para o objeto IDM.
`ModuleLoadMechanism`	-	Não está mapeado para o objeto IDM.
`ModuleLoadTelemetryClassification`	-	Não está mapeado para o objeto IDM.
`ModuleNativePath`	-	Não está mapeado para o objeto IDM.
`ModuleSize`	-	Não está mapeado para o objeto IDM.
`ModifyServiceBinary` `MostRecentActivityTimeStamp`	-	Não está mapeado para o objeto IDM.
`MotwWritten` `mskssrv.sys`	`event.idm.read_only_udm.principal.process.file.full_path`	Parte de OriginalFilename.
`MultipleInstancesPolicy`	-	Não está mapeado para o objeto IDM.
`name` `namespace` `NativePdbBuildPath`	-	Não está mapeado para o objeto IDM.
`NegateInterface`	-	Não está mapeado para o objeto IDM.
`NegateLocalAddress`	-	Não está mapeado para o objeto IDM.
`NegateRemoteAddress`	-	Não está mapeado para o objeto IDM.
`NeighborList`	-	Não está mapeado para o objeto IDM.
`NeighborListIP4` `NeighborListIP6` `NeighborName` `NetLuidIndex`	-	Não está mapeado para o objeto IDM.
`NetShareAdd` `NetShareDelete` `NetShareSecurityModify` `NetworkBindCount`	`security_result.detection_fields[0].value`	Faz parte do evento `EndOfProcess`.
`NetworkCapableAsepWriteCount`	`security_result.detection_fields[0].value`	Faz parte do evento `EndOfProcess`.
`NetworkCloseCount`	`security_result.detection_fields[0].value`	Faz parte do evento `EndOfProcess`.
`NetworkCloseIP4` `NetworkCloseIP6` `NetworkConnectCount`	`security_result.detection_fields[0].value`	Faz parte do evento `EndOfProcess`.
`NetworkConnectCountUdp`	`security_result.detection_fields[0].value`	Faz parte do evento `EndOfProcess`.
`NetworkConnectIP4` `NetworkConnectIP6` `NetworkContainmentState` `NetworkInterfaceGuid`	-	Não está mapeado para o objeto IDM.
`NetworkListenCount`	`security_result.detection_fields[0].value`	Faz parte do evento `EndOfProcess`.
`NetworkListenIP4` `NetworkListenIP6` `NetworkModuleLoadCount`	`security_result.detection_fields[0].value`	Faz parte do evento `EndOfProcess`.
`NetworkRecvAcceptCount`	`security_result.detection_fields[0].value`	Faz parte do evento `EndOfProcess`.
`NetworkReceiveAcceptIP4` `NetworkReceiveAcceptIP6` `NewExecutableRenamed` `NewExecutableWritten` `NewExecutableWrittenCount`	`security_result.detection_fields[0].value`	Faz parte do evento `EndOfProcess`.
`NewFileIdentifier`	-	Não está mapeado para o objeto IDM.
`NewScriptWritten` `NlMtu`	-	Não está mapeado para o objeto IDM.
`NorthBridgeDeviceId`	-	Não está mapeado para o objeto IDM.
`NorthBridgeVendorId`	-	Não está mapeado para o objeto IDM.
`NumberOfMeasurements`	-	Não está mapeado para o objeto IDM.
`OciContainerId`	-	Não está mapeado para o objeto IDM.
`OciContainerTelemetry` `OciContainersStartedCount`	-	Não está mapeado para o objeto IDM.
`OciContainersStoppedCount`	-	Não está mapeado para o objeto IDM.
`OleFileWritten` `OnLinkPrefixLength`	-	Não está mapeado para o objeto IDM.
`OoxmlFileWritten` `OperStatus`	-	Não está mapeado para o objeto IDM.
`OperationFlags`	-	Não está mapeado para o objeto IDM.
`OperationName` `OriginalContentLength`	-	Não está mapeado para o objeto IDM.
`OriginalEventTimeStamp`	-	Não está mapeado para o objeto IDM.
`OriginalFilename` `OriginalParentAuthenticationId`	-	Não está mapeado para o objeto IDM.
`OriginalUserName` `OriginalUserSid` `OsfmDownloadComplete` `OsVersionInfo` `OU` `OutBroadcastOctets`	-	Não está mapeado para o objeto IDM.
`OutDiscards`	-	Não está mapeado para o objeto IDM.
`OutErrors`	-	Não está mapeado para o objeto IDM.
`OutMulticastOctets`	-	Não está mapeado para o objeto IDM.
`OutNUcastPkts`	-	Não está mapeado para o objeto IDM.
`OutOctets`	-	Não está mapeado para o objeto IDM.
`OutUcastOctets`	-	Não está mapeado para o objeto IDM.
`OutUcastPkts`	-	Não está mapeado para o objeto IDM.
`PackedExecutableWritten` `Parameter64_1`	-	Não está mapeado para o objeto IDM.
`Parameter64_2`	-	Não está mapeado para o objeto IDM.
`Parameter64_3`	-	Não está mapeado para o objeto IDM.
`ParameterSizedBuffer_1`	-	Não está mapeado para o objeto IDM.
`Parameter1`	-	Não está mapeado para o objeto IDM.
`Parameter2`	-	Não está mapeado para o objeto IDM.
`Parameter3`	-	Não está mapeado para o objeto IDM.
`ParentAuthenticationId`	-	Não está mapeado para o objeto IDM.
`ParentBaseFileName` `ParentCommandLine`	`event1.ParentCommandLine`	Parte de `Event_DetectionSummaryEvent`.
`ParentHubInstanceId`	-	Não está mapeado para o objeto IDM.
`ParentHubPort`	-	Não está mapeado para o objeto IDM.
`ParentImageFileName`	`event.idm.read_only_udm.principal.process.file.full_path`, `event1.ParentImageFileName`	Parte de `Event_DetectionSummaryEvent`.
`ParentProcessId`	`event.idm.read_only_udm.principal.process.product_specific_process_id`, `event1.ParentProcessId`	Com o prefixo `CS:%{cid}:%{aid}:`. Parte de `Event_DetectionSummaryEvent`.
`PasswordLastSet`	-	Não está mapeado para o objeto IDM.
`PathMtuDiscoveryTimeout`	-	Não está mapeado para o objeto IDM.
`PatternDispositionFlags`	-	Não está mapeado para o objeto IDM.
`PatternDispositionValue` `PatternDisposition

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.