Esta página foi traduzida pela API Cloud Translation.

Coletar registros do CrowdStrike Falcon em CEF

Compatível com:

Google SecOps SIEM

Este documento explica como coletar registros do CrowdStrike Falcon no formato CEF usando o Bindplane. O analisador extrai pares de chave-valor e os mapeia para o modelo de dados unificado (UDM, na sigla em inglês), processando diferentes delimitadores e enriquecendo os dados com contexto adicional, como gravidade e tipos de eventos. Ele também realiza transformações específicas para determinados tipos de eventos e campos, como logins de usuários e resultados de segurança.

Antes de começar

Verifique se você tem uma instância do Google Security Operations.
Use o Windows 2016 ou uma versão mais recente ou um host Linux com systemd.
Se você estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas.
Confirme se você tem acesso privilegiado ao console do CrowdStrike Falcon.
Receba as credenciais da API para o Falcon Stream (ID e chave secreta do cliente).

Receber o arquivo de autenticação de ingestão do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Agentes de coleta.
Baixe o arquivo de autenticação de ingestão. Salve o arquivo de forma segura no sistema em que o Bindplane será instalado.

Receber o ID do cliente do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Perfil.
Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do Bindplane

Instalação do Windows

Abra o Prompt de Comando ou o PowerShell como administrador.

Execute este comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalação do Linux

Abra um terminal com privilégios de root ou sudo.

Execute este comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Outros recursos de instalação

Para mais opções de instalação, consulte este guia de instalação.

Configurar o agente do Bindplane para ingerir o Syslog e enviar ao Google SecOps

Acesse o arquivo de configuração:
1. Localize o arquivo config.yaml. Normalmente, ele fica no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
2. Abra o arquivo usando um editor de texto (por exemplo, nano, vi ou Bloco de Notas).

Edite o arquivo config.yaml da seguinte forma:

receivers:
    tcplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:54525"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: SYSLOG
            namespace: cs_falcon
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
Substitua <customer_id> pelo ID do cliente real.
Atualize /path/to/ingestion-authentication-file.json para o caminho em que o arquivo de autenticação foi salvo na seção Receber arquivo de autenticação de ingestão do Google SecOps.

Reinicie o agente do Bindplane para aplicar as mudanças

Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar o agente do Bindplane no Windows, use o console Serviços ou insira o seguinte comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurar e receber uma chave de API do CrowdStrike

Faça login no CrowdStrike Falcon com uma conta privilegiada.
Acesse Menu > Suporte.
Clique em Clientes de API > ChavesSelecionar.
Clique em Adicionar novo cliente de API.
Na seção Escopos da API, selecione Fluxos de eventos e Alertas > ative a opção Ler.
Clique em Adicionar.
Copie e salve o ID do cliente, o Segredo e o URL de base.

Instalar o conector do Falcon SIEM

Baixe o pacote de instalação RPM para seu sistema operacional.

Instalação do pacote:

Sistema operacional CentOS:
```
sudo rpm -Uvh <installer package>
```
Sistema operacional Ubuntu:
```
sudo dpkg -i <installer package>
```

Diretórios de instalação padrão:
- Conector do SIEM do Falcon: /opt/crowdstrike/.
- Serviço: /etc/init.d/cs.falconhoseclientd/.

Configurar o conector do SIEM para encaminhar registros CEF ao Bindplane

Faça login na máquina com o conector SIEM instalado como um usuário sudo.
Acesse o diretório /opt/crowdstrike/etc/.
cs.falconhoseclient.cef.cfg foi renomeado como cs.falconhoseclient.cfg.
- O conector SIEM usa a configuração cs.falconhoseclient.cfg por padrão.
Edite o arquivo cs.falconhoseclient.cfg e modifique/defina os seguintes parâmetros:
- api_url:: o URL base do CrowdStrike Falcon copiado da etapa anterior.
- app_id:: qualquer string como identificador para conexão com a API Falcon Streaming. Por exemplo, defina como app_id: SECOPS-CEF.
- client_id:: o valor de client_id copiado da etapa anterior.
- client_secret:: o valor de client_secret copiado da etapa anterior.
- send_to_syslog_server: true: ative o push para o servidor Syslog.
- host:: o IP ou nome do host do agente do Bindplane.
- port:: a porta do agente do Bindplane.
Salve o arquivo cs.falconhoseclient.cfg.
Inicie o serviço do conector do SIEM:
- Sistema operacional CentOS
```
sudo service cs.falconhoseclientd start
```
- Sistema operacional Ubuntu 16.04 ou mais recente
```
sudo systemctl start cs.falconhoseclientd.service
```
Opcional: pare o serviço do conector do SIEM:
- Sistema operacional CentOS
```
sudo service cs.falconhoseclientd stop
```
- Sistema operacional Ubuntu 16.04 ou mais recente
```
sudo systemctl stop cs.falconhoseclientd.service
```
Opcional: reinicie o serviço do conector do SIEM:
- Sistema operacional CentOS
```
sudo service cs.falconhoseclientd restart
```
- Sistema operacional Ubuntu 16.04 ou mais recente
```
sudo systemctl restart cs.falconhoseclientd.service
```

Tabela de mapeamento do UDM

Campo de registro	Mapeamento do UDM	Lógica
`AccountCreationTimeStamp`	`event.idm.read_only_udm.metadata.event_timestamp`	O campo de registro bruto `AccountCreationTimeStamp` foi renomeado como `event.idm.read_only_udm.metadata.event_timestamp`.
`AccountDomain`	`event.idm.read_only_udm.principal.administrative_domain`	O campo de registro bruto `AccountDomain` foi renomeado como `event.idm.read_only_udm.principal.administrative_domain`.
`AccountObjectGuid`	`event.idm.read_only_udm.metadata.product_log_id`	O campo de registro bruto `AccountObjectGuid` foi renomeado como `event.idm.read_only_udm.metadata.product_log_id`.
`AccountObjectSid`	`event.idm.read_only_udm.principal.user.windows_sid`	O campo de registro bruto `AccountObjectSid` foi renomeado como `event.idm.read_only_udm.principal.user.windows_sid`.
`AccessType`	-	Não mapeado para o objeto IDM.
`action_taken`	`event.idm.read_only_udm.additional.fields[0].value.string_value`	Parte da matriz `AuditKeyValues`.
`ActiveCpuCount`	-	Não mapeado para o objeto IDM.
`ActiveDirectoryAuthenticationMethod`	-	Não mapeado para o objeto IDM.
`ActiveDirectoryDataProtocol`	-	Não mapeado para o objeto IDM.
`AddressFamily`	-	Não mapeado para o objeto IDM.
`AdminStatus`	-	Não mapeado para o objeto IDM.
`AllocateVirtualMemoryCount`	`security_result.detection_fields[0].value`	Parte do evento `EndOfProcess`.
`agent-windows`	`event.idm.read_only_udm.target.file.full_path`	Parte de TargetFileName.
`AgentIdString`	`event.idm.read_only_udm.principal.asset_id`	Prefixo `CS:`.
`AgentLoadFlags`	-	Não mapeado para o objeto IDM.
`AgentLocalTime`	-	Não mapeado para o objeto IDM.
`AgentOnline` `AgentTimeOffset`	-	Não mapeado para o objeto IDM.
`AgentVersion` `AggregationActivityCount` `AggregationEarliestTimestamp`	-	Não mapeado para o objeto IDM.
`aid`	`event.idm.read_only_udm.principal.asset_id`	Prefixo `CS:`.
`aip`	`event.idm.read_only_udm.principal.nat_ip`	Quando `_aid_is_target` for falso, se `aip` não for nulo, crie uma entidade de IP com o valor de `aip` e adicione-a a `event.idm.read_only_udm.principal.nat_ip`.
`aipCount` `AllocVmEtw` `AllocationType`	-	Não mapeado para o objeto IDM.
`AllowHardTerminate`	-	Não mapeado para o objeto IDM.
`AllowStartOnDemand`	-	Não mapeado para o objeto IDM.
`ApcArgument1`	-	Não mapeado para o objeto IDM.
`ApcArgument2`	-	Não mapeado para o objeto IDM.
`ApcContextAddress`	-	Não mapeado para o objeto IDM.
`ApcContextFileName`	-	Não mapeado para o objeto IDM.
`ApcContext`	-	Não mapeado para o objeto IDM.
`ApplicationName` `ApplicationUniqueIdentifier`	-	Não mapeado para o objeto IDM.
`ApplicationVersion`	-	Não mapeado para o objeto IDM.
`AppIs64Bit`	-	Não mapeado para o objeto IDM.
`AppName` `AppPath` `AppPathFlag`	-	Não mapeado para o objeto IDM.
`AppProductId`	-	Não mapeado para o objeto IDM.
`AppType`	-	Não mapeado para o objeto IDM.
`AppUpdateIds`	-	Não mapeado para o objeto IDM.
`AppVendor`	-	Não mapeado para o objeto IDM.
`AppVersion` `ArchiveFileWrittenCount`	`security_result.detection_fields[0].value`	Parte do evento `EndOfProcess`.
`AsepClass`	-	Não mapeado para o objeto IDM.
`AsepFileChange` `AsepFlags`	-	Não mapeado para o objeto IDM.
`AsepIndex`	-	Não mapeado para o objeto IDM.
`AsepKeyUpdate` `AsepValueUpdate` `AsepValueType`	-	Não mapeado para o objeto IDM.
`AsepWrittenCount`	`security_result.detection_fields[0].value`	Parte do evento `EndOfProcess`.
`AssociateIndicator` `AssociateTreeIdWithRoot` `AssemblyFlags`	-	Não mapeado para o objeto IDM.
`AssemblyId`	-	Não mapeado para o objeto IDM.
`AssemblyName` `AuthenticationId`	`event.idm.read_only_udm.principal.user.product_object_id`	Prefixo `CS:`.
`AuthenticationPackage` `AuthenticationUuid`	-	Não mapeado para o objeto IDM.
`AuthenticationUuidAsString`	-	Não mapeado para o objeto IDM.
`AuthenticodeHashData` `AuthenticodeMatch` `automated_remediation`	`assessments.automated_remediation`	Parte do evento `ZeroTrustHostAssessment`.
`BaseReachableTime`	-	Não mapeado para o objeto IDM.
`BaseTime`	-	Não mapeado para o objeto IDM.
`BatchDataNumber`	-	Não mapeado para o objeto IDM.
`BatchDataTotal`	-	Não mapeado para o objeto IDM.
`BatchTimestamp` `BatteryLevel`	-	Não mapeado para o objeto IDM.
`BatteryStatus`	-	Não mapeado para o objeto IDM.
`BehaviorWhitelisted` `benchmarks` `BenignCount`	-	Não mapeado para o objeto IDM.
`beta_build_disabled`	`assessments.beta_build_disabled`	Parte do evento `ZeroTrustHostAssessment`.
`BinaryExecutableWrittenCount`	`security_result.detection_fields[0].value`	Parte do evento `EndOfProcess`.
`BillingInfo` `BillingType`	-	Não mapeado para o objeto IDM.
`BiosManufacturer` `BiosReleaseDate`	-	Não mapeado para o objeto IDM.
`BiosVersion` `BITSJobCreated` `BootArgs`	-	Não mapeado para o objeto IDM.
`BootId`	-	Não mapeado para o objeto IDM.
`BootStatusDataAabEnabled`	-	Não mapeado para o objeto IDM.
`BootStatusDataBootAttemptCount`	-	Não mapeado para o objeto IDM.
`BootStatusDataBootGood`	-	Não mapeado para o objeto IDM.
`BootStatusDataBootShutdown`	-	Não mapeado para o objeto IDM.
`BootTimeFunctionalityLevel`	-	Não mapeado para o objeto IDM.
`BrowserInjectedThread` `BundleID`	-	Não mapeado para o objeto IDM.
`CallStackModuleNames` `CallStackModuleNamesVersion` `ChannelId`	-	Não mapeado para o objeto IDM.
`ChannelVersion`	-	Não mapeado para o objeto IDM.
`ChannelVersionRequired` `ChasisManufacturer`	-	Não mapeado para o objeto IDM.
`ChassisType` `cid` `City` `CLICreationCount`	`security_result.detection_fields[0].value`	Parte do evento `EndOfProcess`.
`ClassifiedModuleLoad` `CloudAssociateTreeIdWithRoot` `CloudErrorCode`	-	Não mapeado para o objeto IDM.
`CNAMERecords` `CodeIntegrity`	-	Não mapeado para o objeto IDM.
`CommandLine` `CommandSequence`	-	Não mapeado para o objeto IDM.
`CompletionEventId`	-	Não mapeado para o objeto IDM.
`ComputerName`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Se `ComputerName` não for nulo, uma string vazia ou um traço, crie uma entidade de nome do host com o valor de `ComputerName` e adicione-a a `event.idm.read_only_udm.principal.hostname` e `event.idm.read_only_udm.principal.asset.hostname`.
`ConfigBuild` `ConfigIDBase`	-	Não mapeado para o objeto IDM.
`ConfigIDBuild`	-	Não mapeado para o objeto IDM.
`ConfigIDPlatform`	-	Não mapeado para o objeto IDM.
`ConfigurationVersion`	-	Não mapeado para o objeto IDM.
`ConfigStateData`	-	Não mapeado para o objeto IDM.
`ConfigStateHash` `ConfigStateUpdate` `ConnectTime`	-	Não mapeado para o objeto IDM.
`ConnectType`	-	Não mapeado para o objeto IDM.
`Connected`	-	Não mapeado para o objeto IDM.
`ConnectionCipher`	-	Não mapeado para o objeto IDM.
`ConnectionCipherStrength`	-	Não mapeado para o objeto IDM.
`ConnectionDirection`	-	Não mapeado para o objeto IDM.
`ConnectionExchange`	-	Não mapeado para o objeto IDM.
`ConnectionExchangeStrength`	-	Não mapeado para o objeto IDM.
`ConnectionFlags`	-	Não mapeado para o objeto IDM.
`ConnectionHash`	-	Não mapeado para o objeto IDM.
`ConnectionHashStrength`	-	Não mapeado para o objeto IDM.
`ConnectionProtocol`	-	Não mapeado para o objeto IDM.
`ConnectionType`	-	Não mapeado para o objeto IDM.
`Continent` `ContentSHA256HashData` `ContextData`	-	Não mapeado para o objeto IDM.
`ContextProcessId`	`event.idm.read_only_udm.principal.process.product_specific_process_id`, `event.idm.read_only_udm.target.process.product_specific_process_id`	Prefixo `CS:%{cid}:%{aid}:`.
`ContextThreadId`	-	Não mapeado para o objeto IDM.
`ContextTimeStamp` `ContextTimeStamp_decimal` `Country` `CrashDumpFilePath`	-	Não mapeado para o objeto IDM.
`CrashNotification` `CreateProcessArgs` `CreateProcessCount`	`security_result.detection_fields[0].value`	Parte do evento `EndOfProcess`.
`CreateService` `CreateThreadNoStartImage` `CreationTimeStamp`	-	Não mapeado para o objeto IDM.
`CriticalFileAccessed` `CriticalFileModified` `CsaProcessDataCollectionInstanceId`	-	Não mapeado para o objeto IDM.
`CurrentFunctionalityLevel`	-	Não mapeado para o objeto IDM.
`CurrentLocalIP`	-	Não mapeado para o objeto IDM.
`CurrentSystemTags` `CustomerIdString` `CycleTime`	-	Não mapeado para o objeto IDM.
`DadState`	-	Não mapeado para o objeto IDM.
`DadTransmits`	-	Não mapeado para o objeto IDM.
`DcName`	`event.idm.read_only_udm.principal.user.userid`	O campo de registro bruto `DcName` foi renomeado como `event.idm.read_only_udm.principal.user.userid`.
`DcNumAttachments`	-	Não mapeado para o objeto IDM.
`DcNumBlockingPolicies`	-	Não mapeado para o objeto IDM.
`DcOnline` `DcPropertyIdInterfaceType`	-	Não mapeado para o objeto IDM.
`DcPropertyIdInterfaceVersion`	-	Não mapeado para o objeto IDM.
`DcSensorInterfaceType`	-	Não mapeado para o objeto IDM.
`DcSensorInterfaceVersion`	-	Não mapeado para o objeto IDM.
`DcStatus` `DcUsbConfigurationDescriptor` `DcUsbDeviceConnected` `DcUsbDeviceDisconnected` `DcUsbEndpointDescriptor` `DcUsbHIDDescriptor` `DcUsbInterfaceDescriptor` `DCSyncAttempted` `Debug`	-	Não mapeado para o objeto IDM.
`DefaultGatewayIP4`	-	Não mapeado para o objeto IDM.
`DefaultGatewayIP6`	-	Não mapeado para o objeto IDM.
`DefaultGatewayPhysicalAddress`	-	Não mapeado para o objeto IDM.
`DeepHashBlacklistClassification` `DeepHashBlacklistVersion`	-	Não mapeado para o objeto IDM.
`DeliverLocalFXToCloud` `DesiredAccess` `detectionId` `detectionName` `DetectDescription` `DetectId`	-	Não mapeado para o objeto IDM.
`DetectName` `DeviceActiveConfigurationNumber`	-	Não mapeado para o objeto IDM.
`DeviceConnectionStatus`	-	Não mapeado para o objeto IDM.
`DeviceDescriptorNumber`	-	Não mapeado para o objeto IDM.
`DeviceDescriptorSetHash`	-	Não mapeado para o objeto IDM.
`DeviceDescriptorUniqueIdentifier`	-	Não mapeado para o objeto IDM.
`DeviceId`	-	Não mapeado para o objeto IDM.
`DeviceInstanceId`	`event.idm.read_only_udm.target.asset_id`	Prefixo `Device Instance Id:`.
`DeviceManufacturer` `DeviceProduct` `DeviceProductId`	-	Não mapeado para o objeto IDM.
`DevicePropertyClassName`	-	Não mapeado para o objeto IDM.
`DevicePropertyClassGuid`	-	Não mapeado para o objeto IDM.
`DevicePropertyDeviceDescription` `DevicePropertyFriendlyName`	-	Não mapeado para o objeto IDM.
`DevicePropertyLocationInformation` `DevicePropertyManufacturer`	-	Não mapeado para o objeto IDM.
`DeviceProtocol`	-	Não mapeado para o objeto IDM.
`DeviceSerialNumber` `DeviceTimeStamp` `DeviceType`	-	Não mapeado para o objeto IDM.
`DeviceUsbClass`	-	Não mapeado para o objeto IDM.
`DeviceUsbSubclass`	-	Não mapeado para o objeto IDM.
`DeviceUsbVersion`	-	Não mapeado para o objeto IDM.
`DeviceVendorId`	-	Não mapeado para o objeto IDM.
`DeviceVersion`	-	Não mapeado para o objeto IDM.
`DirectoryCreate` `DirectoryCreatedCount`	`security_result.detection_fields[0].value`	Parte do evento `EndOfProcess`.
`DirectoryEnumeratedCount`	`security_result.detection_fields[0].value`	Parte do evento `EndOfProcess`.
`DisableRealtimeMonitoring` `DisallowStartIfOnBatteries`	-	Não mapeado para o objeto IDM.
`DisallowStartOnRemoteAppSession`	-	Não mapeado para o objeto IDM.
`DiskParentDeviceInstanceId` `DllCharacteristics`	-	Não mapeado para o objeto IDM.
`DllInjection` `DlpPolicy`	-	Não mapeado para o objeto IDM.
`DlpVerdict`	-	Não mapeado para o objeto IDM.
`DmpFileWritten` `DnsRequest` `DnsRequestCount`	`security_result.detection_fields[0].value`	Parte do evento `EndOfProcess`.
`DnsResponseType`	-	Não mapeado para o objeto IDM.
`DnsResponseTtl`	-	Não mapeado para o objeto IDM.
`DocumentFileWrittenCount`	`security_result.detection_fields[0].value`	Parte do evento `EndOfProcess`.
`DomainName`	`event.idm.read_only_udm.target.hostname`, `event.idm.read_only_udm.target.asset.hostname`, `event.idm.read_only_udm.network.dns.questions[0].name`	Se `DomainName` não for nulo, crie uma entidade de nome do host com o valor de `DomainName` e adicione-a a `event.idm.read_only_udm.target.hostname`, `event.idm.read_only_udm.target.asset.hostname` e `event.idm.read_only_udm.network.dns.questions[0].name`.
`DotnetModuleFlags`	-	Não mapeado para o objeto IDM.
`DotnetModuleId`	-	Não mapeado para o objeto IDM.
`DotnetModuleLoadDetectInfo` `DownloadPath`	-	Não mapeado para o objeto IDM.
`DownloadPort`	-	Não mapeado para o objeto IDM.
`DownloadServer` `DriverLoad` `DualRequest`	-	Não mapeado para o objeto IDM.
`EffectiveTransmissionClass` `Effective`	-	Não mapeado para o objeto IDM.
`EfiSupported`	-	Não mapeado para o objeto IDM.
`EfiVariableCustomMode`	-	Não mapeado para o objeto IDM.
`EfiVariableCustomModeAttributes`	-	Não mapeado para o objeto IDM.
`EfiVariableDbAttributes`	-	Não mapeado para o objeto IDM.
`EfiVariableDbxAttributes`	-	Não mapeado para o objeto IDM.
`EfiVariableDbxSha256Hash`	-	Não mapeado para o objeto IDM.
`EfiVariableKekAttributes`	-	Não mapeado para o objeto IDM.
`EfiVariableKekSha256Hash`	-	Não mapeado para o objeto IDM.
`EfiVariablePkAttributes`	-	Não mapeado para o objeto IDM.
`EfiVariablePkSha256Hash`	-	Não mapeado para o objeto IDM.
`EfiVariableSecureBoot`	-	Não mapeado para o objeto IDM.
`EfiVariableSecureBootAttributes`	-	Não mapeado para o objeto IDM.
`EfiVariableSetupMode`	-	Não mapeado para o objeto IDM.
`EfiVariableSetupModeAttributes`	-	Não mapeado para o objeto IDM.
`EfiVariableSignatureSupport`	-	Não mapeado para o objeto IDM.
`EfiVariableSignatureSupportAttributes`	-	Não mapeado para o objeto IDM.
`EndpointDescriptorAddress`	-	Não mapeado para o objeto IDM.
`EndpointDescriptorAttributes`	-	Não mapeado para o objeto IDM.
`EndpointDescriptorInterval`	-	Não mapeado para o objeto IDM.
`EndpointDescriptorMaxPacketSize`	-	Não mapeado para o objeto IDM.
`EndOfProcess` `Entitlements` `ErrorEvent` `ErrorCode`	-	Não mapeado para o objeto IDM.
`ErrorLocation`	-	Não mapeado para o objeto IDM.
`ErrorReason`	-	Não mapeado para o objeto IDM.
`ErrorSource`	-	Não mapeado para o objeto IDM.
`ErrorStatus`	-	Não mapeado para o objeto IDM.
`ErrorText`	-	Não mapeado para o objeto IDM.
`EventLogCleared` `EventMax`	-	Não mapeado para o objeto IDM.
`EventMin`	-	Não mapeado para o objeto IDM.
`EventOrigin`	-	Não mapeado para o objeto IDM.
`EventType`	`event.idm.read_only_udm.metadata.product_event_type`	Se `event_simpleName` for nulo e `EventType` não for nulo, crie uma entidade product_event_type com o valor de `EventType` e adicione-a a `event.idm.read_only_udm.metadata.product_event_type`.
`EtwErrorEvent` `EtwRawProcessId`	-	Não mapeado para o objeto IDM.
`EtwRawThreadId`	-	Não mapeado para o objeto IDM.
`ExecutableDeleted` `ExecutableDeletedCount`	`security_result.detection_fields[0].value`	Parte do evento `EndOfProcess`.
`ExeAndServiceCount`	`security_result.detection_fields[0].value`	Parte do evento `EndOfProcess`.
`ExitCode`	-	Não mapeado para o objeto IDM.
`Exploit` `ExternalApiType`	`event.idm.read_only_udm.metadata.product_event_type`, `event.idm.read_only_udm.extensions.auth.auth_details`	Se `message` contiver `event1`, `ExternalApiType` será renomeado como `event.idm.read_only_udm.metadata.product_event_type`. Caso contrário, ele será renomeado como `event.idm.read_only_udm.extensions.auth.auth_details`.
`Facility`	-	Não mapeado para o objeto IDM.
`FailedConnectCount`	-	Não mapeado para o objeto IDM.
`FalconHostLink` `FalconServiceComponent`	-	Não mapeado para o objeto IDM.
`FalconServiceServletErrors`	-	Não mapeado para o objeto IDM.
`FalconServiceServletStarts`	-	Não mapeado para o objeto IDM.
`FalconServiceState`	-	Não mapeado para o objeto IDM.
`FalconServiceStatus` `FeatureExtractionVersion`	-	Não mapeado para o objeto IDM.
`FeatureVector`	-	Não mapeado para o objeto IDM.
`File`	-	Não mapeado para o objeto IDM.
`FileAttributes`	-	Não mapeado para o objeto IDM.
`FileCreateInfo` `FileDeletedCount`	`security_result.detection_fields[0].value`	Parte do evento `EndOfProcess`.
`FileDeleteInfo` `FileEcpBitmask`	-	Não mapeado para o objeto IDM.
`FileEventType`	-	Não mapeado para o objeto IDM.
`FileIdentifier` `FileObject`	-	Não mapeado para o objeto IDM.
`FileName` `FileOpenInfo` `FileRenameInfo` `FileSigningTime`	-	Não mapeado para o objeto IDM.
`FirewallAction`	-	Não mapeado para o objeto IDM.
`FirewallChangeOption` `FirewallDeleteRule` `FirewallDeleteRuleIP4` `FirewallDeleteRuleIP6` `FirewallEnabled` `FirewallOption` `FirewallOptionNumericValue`	-	Não mapeado para o objeto IDM.
`FirewallProfile`	-	Não mapeado para o objeto IDM.
`FirewallRule` `FirewallRuleId` `FirewallSetRule` `FirewallSetRuleIP4` `FirewallSetRuleIP6` `FirmwareAnalysisErrorEvent` `FirmwareAnalysisErrorLocation`	-	Não mapeado para o objeto IDM.
`FirmwareAnalysisErrorReason`	-	Não mapeado para o objeto IDM.
`FirmwareAnalysisErrorSource`	-	Não mapeado para o objeto IDM.
`FirmwareAnalysisHardwareData` `FirmwareAnalysisStatus` `FirmwareAnalysisCpuSupported`	-	Não mapeado para o objeto IDM.
`FirmwareAnalysisEclControlInterfaceVersion`	-	Não mapeado para o objeto IDM.
`FirmwareAnalysisEclConsumerInterfaceVersion`	-	Não mapeado para o objeto IDM.
`FirmwareImageAnalyzed` `FirmwareRegionMeasured` `FirmwareSize`	-	Não mapeado para o objeto IDM.
`FirmwareType`	-	Não mapeado para o objeto IDM.
`FirstDiscoveredDate`	-	Não mapeado para o objeto IDM.
`FirstIP4Record` `Flags`	-	Não mapeado para o objeto IDM.
`FltCallbackData`	-	Não mapeado para o objeto IDM.
`FltCompletionContext`	-	Não mapeado para o objeto IDM.
`FltRelatedObjects`	-	Não mapeado para o objeto IDM.
`FontBuffer`	-	Não mapeado para o objeto IDM.
`FontBufferLength`	-	Não mapeado para o objeto IDM.
`FontFileCount`	-	Não mapeado para o objeto IDM.
`FontFileName` `FontLoadOperation`	-	Não mapeado para o objeto IDM.
`FsOperationBlocked`	`event1.PatternDispositionFlags.FsOperationBlocked`	Parte de `Event_DetectionSummaryEvent`.
`FsPostOpenSnapshotFile` `FsVolumeMounted` `FsVolumeUnmounted` `FullContext`	-	Não mapeado para o objeto IDM.
`FullExceptionRecord`	-	Não mapeado para o objeto IDM.
`GcpCreationTimestamp` `GenericFileWrittenCount`	`security_result.detection_fields[0].value`	Parte do evento `EndOfProcess`.
`GID`	-	Não mapeado para o objeto IDM.
`GrandparentCommandLine` `GrandparentImageFileName` `GrandParentBaseFileName` `GroupIdentity` `GroupRid` `GzipFileWritten` `HandleCreated`	-	Não mapeado para o objeto IDM.
`HIDDescriptorCountryCode`	-	Não mapeado para o objeto IDM.
`HIDDescriptorNumDescriptors`	-	Não mapeado para o objeto IDM.
`HIDDescriptorVersion`	-	Não mapeado para o objeto IDM.
`HIPHandlers.dll`	`event.idm.read_only_udm.target.file.full_path`	Parte de TargetFileName.
`HostGroups`	-	Não mapeado para o objeto IDM.
`HostHiddenStatus` `HostInfo` `HostnameChanged` `hostname` `HostProcessType`	-	Não mapeado para o objeto IDM.
`HostUrl` `HttpRequestDetect` `HttpRequestHeader` `HttpUrl` `IcmpCode`	-	Não mapeado para o objeto IDM.
`IcmpType`	-	Não mapeado para o objeto IDM.
`id` `IdleSettings`	-	Não mapeado para o objeto IDM.
`ImageFileName` `ImageSubsystem`	-	Não mapeado para o objeto IDM.
`Image`	-	Não mapeado para o objeto IDM.
`ImpersonatedUserName` `InBroadcastOctets`	-	Não mapeado para o objeto IDM.
`InContext`	-	Não mapeado para o objeto IDM.
`InDiscards`	-	Não mapeado para o objeto IDM.
`Indicator`	`event1.PatternDispositionFlags.Indicator`	Parte de `Event_DetectionSummaryEvent`.
`InddetMask`	`event1.PatternDispositionFlags.InddetMask`	Parte de `Event_DetectionSummaryEvent`.
`InErrors`	-	Não mapeado para o objeto IDM.
`Information`	-	Não mapeado para o objeto IDM.
`InjectedDll` `InjectedThread` `InjectedThreadCount`	`security_result.detection_fields[0].value`	Parte do evento `EndOfProcess`.
`InjectedThreadFlag`	-	Não mapeado para o objeto IDM.
`InMulticastOctets`	-	Não mapeado para o objeto IDM.
`InNUcastPkts`	-	Não mapeado para o objeto IDM.
`InOctets`	-	Não mapeado para o objeto IDM.
`InstallDate`	-	Não mapeado para o objeto IDM.
`InstalledApplication` `InstalledUpdateExtendedStatus`	-	Não mapeado para o objeto IDM.
`InstalledUpdateIds`	-	Não mapeado para o objeto IDM.
`InstalledUpdates` `InstanceMetadata` `InstanceMetadataProvider`	-	Não mapeado para o objeto IDM.
`InstanceMetadataRequest`	-	Não mapeado para o objeto IDM.
`InstanceMetadataSignature`	-	Não mapeado para o objeto IDM.
`InUcastOctets`	-	Não mapeado para o objeto IDM.
`InUcastPkts`	-	Não mapeado para o objeto IDM.
`InUnknownProtos`	-	Não mapeado para o objeto IDM.
`IntegrityLevel`	-	Não mapeado para o objeto IDM.
`InterfaceAlias`	-	Não mapeado para o objeto IDM.
`InterfaceDescription`	-	Não mapeado para o objeto IDM.
`InterfaceFlags`	-	Não mapeado para o objeto IDM.
`InterfaceGuid`	-	Não mapeado para o objeto IDM.
`InterfaceIdentifier`	-	Não mapeado para o objeto IDM.
`InterfaceIndex`	-	Não mapeado para o objeto IDM.
`InterfaceMtu`	-	Não mapeado para o objeto IDM.
`InterfaceType`	-	Não mapeado para o objeto IDM.
`InterfaceVersion`	-	Não mapeado para o objeto IDM.
`InjectedDllCount`	`security_result.detection_fields[0].value`	Parte do evento `EndOfProcess`.
`InjectedThreadFlag`	-	Não mapeado para o objeto IDM.
`InkDiv.dll`	`event.idm.read_only_udm.target.file.full_path`	Parte de `ExecutablesWritten`.
`InkObj.dll`	`event.idm.read_only_udm.target.file.full_path`	Parte de `ExecutablesWritten`.
`InMulticastPkts`	-	Não mapeado para o objeto IDM.
`InOctets`	-	Não mapeado para o objeto IDM.
`InUcastPkts`	-	Não mapeado para o objeto IDM.
`IOARuleGroupName` `IOARuleInstanceID`	-	Não mapeado para o objeto IDM.
`IOARuleInstanceVersion`	-	Não mapeado para o objeto IDM.
`IOARuleName` `IOServiceClass`	-	Não mapeado para o objeto IDM.
`IOServiceName`	-	Não mapeado para o objeto IDM.
`IOServicePath`	-	Não mapeado para o objeto IDM.
`IOServiceProperties`	-	Não mapeado para o objeto IDM.
`IOServiceRegister` `IoSessionConnected` `IoSessionLoggedOn` `IpEntryFlags`	-	Não mapeado para o objeto IDM.
`IrpFlags`	-	Não mapeado para o objeto IDM.
`IsCpuDataCommonOnAllCores`	-	Não mapeado para o objeto IDM.
`IsNorthBridgeSupported`	-	Não mapeado para o objeto IDM.
`IsOnClearCaseMvfs`	-	Não mapeado para o objeto IDM.
`IsOnNetwork` `IsOnRemovableDisk` `IsOn`	-	Não mapeado para o objeto IDM.
`IsRemote`	-	Não mapeado para o objeto IDM.
`IsSouthBridgeSupported`	-	Não mapeado para o objeto IDM.
`IsTransactedFile`	-	Não mapeado para o objeto IDM.
`IsUnique`	-	Não mapeado para o objeto IDM.
`JavaInjectedThread` `JarFileWritten` `KernelModeLoadImage` `KernelTime`	-	Não mapeado para o objeto IDM.
`KextUnload` `K8SCreationTimestamp` `K8SDetectionEvent` `LanguageId`	-	Não mapeado para o objeto IDM.
`LastAdded`	-	Não mapeado para o objeto IDM.
`LastDiscoveredBy`	-	Não mapeado para o objeto IDM.
`LastDisplayed`	-	Não mapeado para o objeto IDM.
`LastLoggedOnHost`	-	Não mapeado para o objeto IDM.
`LastUpdateInstalledTime`	-	Não mapeado para o objeto IDM.
`LateralMovement`	-	Não mapeado para o objeto IDM.
`LdapSearchAttributes`	-	Não mapeado para o objeto IDM.
`LdapSearchBaseObjectSample`	-	Não mapeado para o objeto IDM.
`LdapSearchFilterSample`	-	Não mapeado para o objeto IDM.
`LdapSearchFilterShape`	-	Não mapeado para o objeto IDM.
`LdapSearchQueryClassification`	-	Não mapeado para o objeto IDM.
`LdapSearchQueryToken`	-	Não mapeado para o objeto IDM.
`LdapSearchScope`	-	Não mapeado para o objeto IDM.
`LdapSearchSizeLimit`	-	Não mapeado para o objeto IDM.
`LdapSecurityType`	-	Não mapeado para o objeto IDM.
`LightningLatencyInfo` `LightningLatencyState`	-	Não mapeado para o objeto IDM.
`Line`	-	Não mapeado para o objeto IDM.
`LinkLocalAddressBehavior`	-	Não mapeado para o objeto IDM.
`LinkLocalAddressTimeout`	-	Não mapeado para o objeto IDM.
`LinkName` `LocalAccount`	-	Não mapeado para o objeto IDM.
`LocalAddressIP4` `LocalAddressIP6` `LocalAddressMaskIP4`	-	Não mapeado para o objeto IDM.
`LocalAddressMaskIP6`	-	Não mapeado para o objeto IDM.
`LocalAdminAccess`	-	Não mapeado para o objeto IDM.
`LocalIpAddressIP4` `LocalIpAddressIP6` `LocalIpAddressRemovedIP4` `LocalIpAddressRemovedIP6` `LocalPort` `LocalSession`	-	Não mapeado para o objeto IDM.
`localipCount` `LockScreenEnabled`	-	Não mapeado para o objeto IDM.
`LockScreenStatus` `LogoffTime` `LogonDomain` `LogonId`	-	Não mapeado para o objeto IDM.
`LogonInfo`	`security_result.summary`	Define `event_type` como `USER_LOGIN`.
`LogonServer` `LogonTime` `LogonType`	`event.idm.read_only_udm.extensions.auth.mechanism`	Mapeado para um valor de enumeração da UDM com base no valor `LogonType`.
`LogoffTime` `LsassHandleFromUnsignedModule` `MAC`	`event.idm.read_only_udm.principal.mac`	Convertido para minúsculas e os dois-pontos são substituídos por hífens.
`MACAddress`	`event.idm.read_only_udm.principal.mac`	Os hifens são substituídos por dois-pontos.
`MACPrefix`	-	Não mapeado para o objeto IDM.
`MachOFileWritten` `MachOSubType`	-	Não mapeado para o objeto IDM.
`MachineDn` `MachineDomain` `MajorFunction`	-	Não mapeado para o objeto IDM.
`MajorVersion`	-	Não mapeado para o objeto IDM.
`Malicious`	-	Não mapeado para o objeto IDM.
`ManagedPdbBuildPath` `MappedFromUserMode`	-	Não mapeado para o objeto IDM.
`MaxReassemblySize`	-	Não mapeado para o objeto IDM.
`MaxRouterAdvertisementInterval`	-	Não mapeado para o objeto IDM.
`MaxThreadCount`	-	Não mapeado para o objeto IDM.
`MD5HashData`	`event.idm.read_only_udm.target.file.md5`, `event.idm.read_only_udm.target.process.file.md5`	Se `MD5HashData` for um hash MD5 válido e não for composto apenas de zeros, crie uma entidade de hash MD5 com o valor de `MD5HashData` e adicione-a a `event.idm.read_only_udm.target.file.md5` e `event.idm.read_only_udm.target.process.file.md5`.
`MD5String` `MediaConnectState`	-	Não mapeado para o objeto IDM.
`MediaType`	-	Não mapeado para o objeto IDM.
`MemoryAvailable`	-	Não mapeado para o objeto IDM.
`MemoryRegionProtection`	-	Não mapeado para o objeto IDM.
`MemoryRegionStart`	-	Não mapeado para o objeto IDM.
`MemoryTotal`	-	Não mapeado para o objeto IDM.
`MmioDataSmiEn`	-	Não mapeado para o objeto IDM.
`MmioDataTco1Cnt`	-	Não mapeado para o objeto IDM.
`MLModelVersion`	-	Não mapeado para o objeto IDM.
`MobileDetection` `MobileDetectionId`	-	Não mapeado para o objeto IDM.
`MobileOsIntegrityIntact`	-	Não mapeado para o objeto IDM.
`MobileOsIntegrityStatus` `MobilePowerStats` `MoboManufacturer`	-	Não mapeado para o objeto IDM.
`MoboProductName`	-	Não mapeado para o objeto IDM.
`ModelPrediction`	-	Não mapeado para o objeto IDM.
`ModuleBaseAddress`	-	Não mapeado para o objeto IDM.
`ModuleCharacteristics`	-	Não mapeado para o objeto IDM.
`ModuleDetectInfo` `ModuleLoadCount`	-	Não mapeado para o objeto IDM.
`ModuleLoadMechanism`	-	Não mapeado para o objeto IDM.
`ModuleLoadTelemetryClassification`	-	Não mapeado para o objeto IDM.
`ModuleNativePath`	-	Não mapeado para o objeto IDM.
`ModuleSize`	-	Não mapeado para o objeto IDM.
`ModifyServiceBinary` `MostRecentActivityTimeStamp`	-	Não mapeado para o objeto IDM.
`MotwWritten` `mskssrv.sys`	`event.idm.read_only_udm.principal.process.file.full_path`	Parte de OriginalFilename.
`MultipleInstancesPolicy`	-	Não mapeado para o objeto IDM.
`name` `namespace` `NativePdbBuildPath`	-	Não mapeado para o objeto IDM.
`NegateInterface`	-	Não mapeado para o objeto IDM.
`NegateLocalAddress`	-	Não mapeado para o objeto IDM.
`NegateRemoteAddress`	-	Não mapeado para o objeto IDM.
`NeighborList`	-	Não mapeado para o objeto IDM.
`NeighborListIP4` `NeighborListIP6` `NeighborName` `NetLuidIndex`	-	Não mapeado para o objeto IDM.
`NetShareAdd` `NetShareDelete` `NetShareSecurityModify` `NetworkBindCount`	`security_result.detection_fields[0].value`	Parte do evento `EndOfProcess`.
`NetworkCapableAsepWriteCount`	`security_result.detection_fields[0].value`	Parte do evento `EndOfProcess`.
`NetworkCloseCount`	`security_result.detection_fields[0].value`	Parte do evento `EndOfProcess`.
`NetworkCloseIP4` `NetworkCloseIP6` `NetworkConnectCount`	`security_result.detection_fields[0].value`	Parte do evento `EndOfProcess`.
`NetworkConnectCountUdp`	`security_result.detection_fields[0].value`	Parte do evento `EndOfProcess`.
`NetworkConnectIP4` `NetworkConnectIP6` `NetworkContainmentState` `NetworkInterfaceGuid`	-	Não mapeado para o objeto IDM.
`NetworkListenCount`	`security_result.detection_fields[0].value`	Parte do evento `EndOfProcess`.
`NetworkListenIP4` `NetworkListenIP6` `NetworkModuleLoadCount`	`security_result.detection_fields[0].value`	Parte do evento `EndOfProcess`.
`NetworkRecvAcceptCount`	`security_result.detection_fields[0].value`	Parte do evento `EndOfProcess`.
`NetworkReceiveAcceptIP4` `NetworkReceiveAcceptIP6` `NewExecutableRenamed` `NewExecutableWritten` `NewExecutableWrittenCount`	`security_result.detection_fields[0].value`	Parte do evento `EndOfProcess`.
`NewFileIdentifier`	-	Não mapeado para o objeto IDM.
`NewScriptWritten` `NlMtu`	-	Não mapeado para o objeto IDM.
`NorthBridgeDeviceId`	-	Não mapeado para o objeto IDM.
`NorthBridgeVendorId`	-	Não mapeado para o objeto IDM.
`NumberOfMeasurements`	-	Não mapeado para o objeto IDM.
`OciContainerId`	-	Não mapeado para o objeto IDM.
`OciContainerTelemetry` `OciContainersStartedCount`	-	Não mapeado para o objeto IDM.
`OciContainersStoppedCount`	-	Não mapeado para o objeto IDM.
`OleFileWritten` `OnLinkPrefixLength`	-	Não mapeado para o objeto IDM.
`OoxmlFileWritten` `OperStatus`	-	Não mapeado para o objeto IDM.
`OperationFlags`	-	Não mapeado para o objeto IDM.
`OperationName` `OriginalContentLength`	-	Não mapeado para o objeto IDM.
`OriginalEventTimeStamp`	-	Não mapeado para o objeto IDM.
`OriginalFilename` `OriginalParentAuthenticationId`	-	Não mapeado para o objeto IDM.
`OriginalUserName` `OriginalUserSid` `OsfmDownloadComplete` `OsVersionInfo` `OU` `OutBroadcastOctets`	-	Não mapeado para o objeto IDM.
`OutDiscards`	-	Não mapeado para o objeto IDM.
`OutErrors`	-	Não mapeado para o objeto IDM.
`OutMulticastOctets`	-	Não mapeado para o objeto IDM.
`OutNUcastPkts`	-	Não mapeado para o objeto IDM.
`OutOctets`	-	Não mapeado para o objeto IDM.
`OutUcastOctets`	-	Não mapeado para o objeto IDM.
`OutUcastPkts`	-	Não mapeado para o objeto IDM.
`PackedExecutableWritten` `Parameter64_1`	-	Não mapeado para o objeto IDM.
`Parameter64_2`	-	Não mapeado para o objeto IDM.
`Parameter64_3`	-	Não mapeado para o objeto IDM.
`ParameterSizedBuffer_1`	-	Não mapeado para o objeto IDM.
`Parameter1`	-	Não mapeado para o objeto IDM.
`Parameter2`	-	Não mapeado para o objeto IDM.
`Parameter3`	-	Não mapeado para o objeto IDM.
`ParentAuthenticationId`	-	Não mapeado para o objeto IDM.
`ParentBaseFileName` `ParentCommandLine`	`event1.ParentCommandLine`	Parte de `Event_DetectionSummaryEvent`.
`ParentHubInstanceId`	-	Não mapeado para o objeto IDM.
`ParentHubPort`	-	Não mapeado para o objeto IDM.
`ParentImageFileName`	`event.idm.read_only_udm.principal.process.file.full_path`, `event1.ParentImageFileName`	Parte de `Event_DetectionSummaryEvent`.
`ParentProcessId`	`event.idm.read_only_udm.principal.process.product_specific_process_id`, `event1.ParentProcessId`	Prefixo `CS:%{cid}:%{aid}:`. Parte de `Event_DetectionSummaryEvent`.
`PasswordLastSet`	-	Não mapeado para o objeto IDM.
`PathMtuDiscoveryTimeout`	-	Não mapeado para o objeto IDM.
`PatternDispositionFlags`	-	Não mapeado para o objeto IDM.
`PatternDispositionValue` `PatternDisposition

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.