Coletar registros do CrowdStrike Falcon no CEF

Este documento explica como coletar registros do CrowdStrike Falcon no formato CEF usando o Bindplane. O analisador extrai pares de chave-valor e os mapeia para o modelo de dados unificado (UDM, na sigla em inglês), processando delimitadores diferentes e enriquecendo os dados com mais contexto, como gravidade e tipos de evento. Ele também realiza transformações específicas para determinados tipos de evento e campos, como logins de usuários e resultados de segurança.

Antes de começar

• Verifique se você tem uma instância do Google Security Operations.
• Verifique se você está usando o Windows 2016 ou uma versão mais recente ou um host Linux com systemd.
• Se estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas.
• Verifique se você tem acesso privilegiado ao console do CrowdStrike Falcon.
• Receba as credenciais da API para o Falcon Stream (ID e chave secreta do cliente).

Receber o arquivo de autenticação de ingestão do Google SecOps

1. Faça login no console do Google SecOps.
2. Acesse Configurações do SIEM > Agentes de coleta.
3. Faça o download do arquivo de autenticação de transferência. Salve o arquivo com segurança no sistema em que o BindPlane será instalado.

Receber o ID de cliente do Google SecOps

1. Faça login no console do Google SecOps.
2. Acesse Configurações do SIEM > Perfil.
3. Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do Bindplane

Instalação do Windows

1. Abra o Prompt de Comando ou o PowerShell como administrador.

2. Execute este comando:

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Instalação do Linux

1. Abra um terminal com privilégios de raiz ou sudo.

2. Execute este comando:

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Outros recursos de instalação

• Para mais opções de instalação, consulte este guia de instalação.

Configurar o agente do Bindplane para processar o Syslog e enviar ao Google SecOps

1. Acesse o arquivo de configuração:

   1. Localize o arquivo config.yaml. Normalmente, ele está no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
   2. Abra o arquivo usando um editor de texto (por exemplo, nano, vi ou Notepad).

2. Edite o arquivo config.yaml da seguinte forma:

   receivers:
       tcplog:
           # Replace the port and IP address as required
           listen_address: "0.0.0.0:54525"
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the path to the credentials file you downloaded in Step 1
           creds: '/path/to/ingestion-authentication-file.json'
           # Replace with your actual customer ID from Step 2
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # Add optional ingestion labels for better organization
           ingestion_labels:
               log_type: SYSLOG
               namespace: cs_falcon
               raw_log_field: body
   
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                   - tcplog
               exporters:
                   - chronicle/chronicle_w_labels
   
   

3. Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.

4. Substitua <customer_id> pelo ID real do cliente.

5. Atualize /path/to/ingestion-authentication-file.json para o caminho em que o arquivo de autenticação foi salvo na seção Receber o arquivo de autenticação de ingestão do Google SecOps.

Reinicie o agente do Bindplane para aplicar as mudanças

• Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:

  sudo systemctl restart bindplane-agent
  

• Para reiniciar o agente do Bindplane no Windows, use o console Services ou digite o seguinte comando:

  net stop BindPlaneAgent && net start BindPlaneAgent
  

Configurar e receber uma chave de API do CrowdStrike

1. Faça login no CrowdStrike Falcon com uma conta privilegiada.
2. Acesse Menu > Suporte.
3. Clique em Clientes de API > Selecionar chaves.
4. Clique em Adicionar novo cliente de API.
5. Na seção Escopos da API, selecione Fluxos de eventos e Alertas > ative a opção Ler.
6. Clique em Adicionar.
7. Copie e salve o ID do cliente, a chave secreta e o URL de base.

Instalar o conector do SIEM do Falcon

1. Faça o download do pacote de instalação do RPM para seu sistema operacional.

2. Instalação do pacote:

   • Sistema operacional CentOS:

     sudo rpm -Uvh <installer package>
     

   • Sistema operacional Ubuntu:

     sudo dpkg -i <installer package>
     

3. Diretórios de instalação padrão:

   • Conector de SIEM do Falcon: /opt/crowdstrike/.
   • Serviço: /etc/init.d/cs.falconhoseclientd/.

Configurar o conector SIEM para encaminhar registros CEF ao BindPlane

1. Faça login na máquina com o conector SIEM instalado como usuário sudo.
2. Acesse o diretório /opt/crowdstrike/etc/.
3. cs.falconhoseclient.cef.cfg foi renomeado como cs.falconhoseclient.cfg.
   • O conector SIEM usa a configuração cs.falconhoseclient.cfg por padrão.
4. Edite o arquivo cs.falconhoseclient.cfg e modifique/defina os seguintes parâmetros:
   • api_url:: o URL base do CrowdStrike Falcon copiado da etapa anterior.
   • app_id:: qualquer string como identificador para conexão com a API Falcon Streaming (por exemplo, definida como app_id: SECOPS-CEF).
   • client_id:: o valor de client_id copiado da etapa anterior.
   • client_secret:: o valor de client_secret copiado da etapa anterior.
   • send_to_syslog_server: true: ativa o push para o servidor Syslog.
   • host:: o IP ou o nome do host do agente do Bindplane.
   • port:: a porta do agente do Bindplane.
5. Salve o arquivo cs.falconhoseclient.cfg.

6. Inicie o serviço do conector do SIEM:

   • Sistema operacional CentOS

     sudo service cs.falconhoseclientd start
     

   • Sistema operacional Ubuntu 16.04 ou mais recente

     sudo systemctl start cs.falconhoseclientd.service
     

7. Opcional: pare o serviço do conector do SIEM:

   • Sistema operacional CentOS

     sudo service cs.falconhoseclientd stop
     

   • Sistema operacional Ubuntu 16.04 ou mais recente

     sudo systemctl stop cs.falconhoseclientd.service
     

8. Opcional: reinicie o serviço do conector do SIEM:

   • Sistema operacional CentOS

     sudo service cs.falconhoseclientd restart
     

   • Sistema operacional Ubuntu 16.04 ou mais recente

     sudo systemctl restart cs.falconhoseclientd.service
     

Tabela de mapeamento do UDM

Campo de registro	Mapeamento do UDM	Lógica
AccountCreationTimeStamp	event.idm.read_only_udm.metadata.event_timestamp	O campo de registro bruto AccountCreationTimeStamp foi renomeado como event.idm.read_only_udm.metadata.event_timestamp.
AccountDomain	event.idm.read_only_udm.principal.administrative_domain	O campo de registro bruto AccountDomain foi renomeado como event.idm.read_only_udm.principal.administrative_domain.
AccountObjectGuid	event.idm.read_only_udm.metadata.product_log_id	O campo de registro bruto AccountObjectGuid foi renomeado como event.idm.read_only_udm.metadata.product_log_id.
AccountObjectSid	event.idm.read_only_udm.principal.user.windows_sid	O campo de registro bruto AccountObjectSid foi renomeado como event.idm.read_only_udm.principal.user.windows_sid.
AccessType	-	Não mapeado para o objeto IDM.
action_taken	event.idm.read_only_udm.additional.fields[0].value.string_value	Parte da matriz AuditKeyValues.
ActiveCpuCount	-	Não mapeado para o objeto IDM.
ActiveDirectoryAuthenticationMethod	-	Não mapeado para o objeto IDM.
ActiveDirectoryDataProtocol	-	Não mapeado para o objeto IDM.
AddressFamily	-	Não mapeado para o objeto IDM.
AdminStatus	-	Não mapeado para o objeto IDM.
AllocateVirtualMemoryCount	security_result.detection_fields[0].value	Parte do evento EndOfProcess.
agent-windows	event.idm.read_only_udm.target.file.full_path	Parte de TargetFileName.
AgentIdString	event.idm.read_only_udm.principal.asset_id	Prefixado com CS:.
AgentLoadFlags	-	Não mapeado para o objeto IDM.
AgentLocalTime	-	Não mapeado para o objeto IDM.
AgentOnline AgentTimeOffset	-	Não mapeado para o objeto IDM.
AgentVersion AggregationActivityCount AggregationEarliestTimestamp	-	Não mapeado para o objeto IDM.
aid	event.idm.read_only_udm.principal.asset_id	Prefixado com CS:.
aip	event.idm.read_only_udm.principal.nat_ip	Quando _aid_is_target for falso, se aip não for nulo, crie uma entidade ip com o valor de aip e adicione-a a event.idm.read_only_udm.principal.nat_ip.
aipCount AllocVmEtw AllocationType	-	Não mapeado para o objeto IDM.
AllowHardTerminate	-	Não mapeado para o objeto IDM.
AllowStartOnDemand	-	Não mapeado para o objeto IDM.
ApcArgument1	-	Não mapeado para o objeto IDM.
ApcArgument2	-	Não mapeado para o objeto IDM.
ApcContextAddress	-	Não mapeado para o objeto IDM.
ApcContextFileName	-	Não mapeado para o objeto IDM.
ApcContext	-	Não mapeado para o objeto IDM.
ApplicationName ApplicationUniqueIdentifier	-	Não mapeado para o objeto IDM.
ApplicationVersion	-	Não mapeado para o objeto IDM.
AppIs64Bit	-	Não mapeado para o objeto IDM.
AppName AppPath AppPathFlag	-	Não mapeado para o objeto IDM.
AppProductId	-	Não mapeado para o objeto IDM.
AppType	-	Não mapeado para o objeto IDM.
AppUpdateIds	-	Não mapeado para o objeto IDM.
AppVendor	-	Não mapeado para o objeto IDM.
AppVersion ArchiveFileWrittenCount	security_result.detection_fields[0].value	Parte do evento EndOfProcess.
AsepClass	-	Não mapeado para o objeto IDM.
AsepFileChange AsepFlags	-	Não mapeado para o objeto IDM.
AsepIndex	-	Não mapeado para o objeto IDM.
AsepKeyUpdate AsepValueUpdate AsepValueType	-	Não mapeado para o objeto IDM.
AsepWrittenCount	security_result.detection_fields[0].value	Parte do evento EndOfProcess.
AssociateIndicator AssociateTreeIdWithRoot AssemblyFlags	-	Não mapeado para o objeto IDM.
AssemblyId	-	Não mapeado para o objeto IDM.
AssemblyName AuthenticationId	event.idm.read_only_udm.principal.user.product_object_id	Prefixado com CS:.
AuthenticationPackage AuthenticationUuid	-	Não mapeado para o objeto IDM.
AuthenticationUuidAsString	-	Não mapeado para o objeto IDM.
AuthenticodeHashData AuthenticodeMatch automated_remediation	assessments.automated_remediation	Parte do evento ZeroTrustHostAssessment.
BaseReachableTime	-	Não mapeado para o objeto IDM.
BaseTime	-	Não mapeado para o objeto IDM.
BatchDataNumber	-	Não mapeado para o objeto IDM.
BatchDataTotal	-	Não mapeado para o objeto IDM.
BatchTimestamp BatteryLevel	-	Não mapeado para o objeto IDM.
BatteryStatus	-	Não mapeado para o objeto IDM.
BehaviorWhitelisted benchmarks BenignCount	-	Não mapeado para o objeto IDM.
beta_build_disabled	assessments.beta_build_disabled	Parte do evento ZeroTrustHostAssessment.
BinaryExecutableWrittenCount	security_result.detection_fields[0].value	Parte do evento EndOfProcess.
BillingInfo BillingType	-	Não mapeado para o objeto IDM.
BiosManufacturer BiosReleaseDate	-	Não mapeado para o objeto IDM.
BiosVersion BITSJobCreated BootArgs	-	Não mapeado para o objeto IDM.
BootId	-	Não mapeado para o objeto IDM.
BootStatusDataAabEnabled	-	Não mapeado para o objeto IDM.
BootStatusDataBootAttemptCount	-	Não mapeado para o objeto IDM.
BootStatusDataBootGood	-	Não mapeado para o objeto IDM.
BootStatusDataBootShutdown	-	Não mapeado para o objeto IDM.
BootTimeFunctionalityLevel	-	Não mapeado para o objeto IDM.
BrowserInjectedThread BundleID	-	Não mapeado para o objeto IDM.
CallStackModuleNames CallStackModuleNamesVersion ChannelId	-	Não mapeado para o objeto IDM.
ChannelVersion	-	Não mapeado para o objeto IDM.
ChannelVersionRequired ChasisManufacturer	-	Não mapeado para o objeto IDM.
ChassisType cid City CLICreationCount	security_result.detection_fields[0].value	Parte do evento EndOfProcess.
ClassifiedModuleLoad CloudAssociateTreeIdWithRoot CloudErrorCode	-	Não mapeado para o objeto IDM.
CNAMERecords CodeIntegrity	-	Não mapeado para o objeto IDM.
CommandLine CommandSequence	-	Não mapeado para o objeto IDM.
CompletionEventId	-	Não mapeado para o objeto IDM.
ComputerName	event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname	Se ComputerName não for nulo, uma string vazia ou um traço, crie uma entidade de nome de host com o valor de ComputerName e adicione-a a event.idm.read_only_udm.principal.hostname e event.idm.read_only_udm.principal.asset.hostname.
ConfigBuild ConfigIDBase	-	Não mapeado para o objeto IDM.
ConfigIDBuild	-	Não mapeado para o objeto IDM.
ConfigIDPlatform	-	Não mapeado para o objeto IDM.
ConfigurationVersion	-	Não mapeado para o objeto IDM.
ConfigStateData	-	Não mapeado para o objeto IDM.
ConfigStateHash ConfigStateUpdate ConnectTime	-	Não mapeado para o objeto IDM.
ConnectType	-	Não mapeado para o objeto IDM.
Connected	-	Não mapeado para o objeto IDM.
ConnectionCipher	-	Não mapeado para o objeto IDM.
ConnectionCipherStrength	-	Não mapeado para o objeto IDM.
ConnectionDirection	-	Não mapeado para o objeto IDM.
ConnectionExchange	-	Não mapeado para o objeto IDM.
ConnectionExchangeStrength	-	Não mapeado para o objeto IDM.
ConnectionFlags	-	Não mapeado para o objeto IDM.
ConnectionHash	-	Não mapeado para o objeto IDM.
ConnectionHashStrength	-	Não mapeado para o objeto IDM.
ConnectionProtocol	-	Não mapeado para o objeto IDM.
ConnectionType	-	Não mapeado para o objeto IDM.
Continent ContentSHA256HashData ContextData	-	Não mapeado para o objeto IDM.
ContextProcessId	event.idm.read_only_udm.principal.process.product_specific_process_id, event.idm.read_only_udm.target.process.product_specific_process_id	Prefixado com CS:%{cid}:%{aid}:.
ContextThreadId	-	Não mapeado para o objeto IDM.
ContextTimeStamp ContextTimeStamp_decimal Country CrashDumpFilePath	-	Não mapeado para o objeto IDM.
CrashNotification CreateProcessArgs CreateProcessCount	security_result.detection_fields[0].value	Parte do evento EndOfProcess.
CreateService CreateThreadNoStartImage CreationTimeStamp	-	Não mapeado para o objeto IDM.
CriticalFileAccessed CriticalFileModified CsaProcessDataCollectionInstanceId	-	Não mapeado para o objeto IDM.
CurrentFunctionalityLevel	-	Não mapeado para o objeto IDM.
CurrentLocalIP	-	Não mapeado para o objeto IDM.
CurrentSystemTags CustomerIdString CycleTime	-	Não mapeado para o objeto IDM.
DadState	-	Não mapeado para o objeto IDM.
DadTransmits	-	Não mapeado para o objeto IDM.
DcName	event.idm.read_only_udm.principal.user.userid	O campo de registro bruto DcName foi renomeado como event.idm.read_only_udm.principal.user.userid.
DcNumAttachments	-	Não mapeado para o objeto IDM.
DcNumBlockingPolicies	-	Não mapeado para o objeto IDM.
DcOnline DcPropertyIdInterfaceType	-	Não mapeado para o objeto IDM.
DcPropertyIdInterfaceVersion	-	Não mapeado para o objeto IDM.
DcSensorInterfaceType	-	Não mapeado para o objeto IDM.
DcSensorInterfaceVersion	-	Não mapeado para o objeto IDM.
DcStatus DcUsbConfigurationDescriptor DcUsbDeviceConnected DcUsbDeviceDisconnected DcUsbEndpointDescriptor DcUsbHIDDescriptor DcUsbInterfaceDescriptor DCSyncAttempted Debug	-	Não mapeado para o objeto IDM.
DefaultGatewayIP4	-	Não mapeado para o objeto IDM.
DefaultGatewayIP6	-	Não mapeado para o objeto IDM.
DefaultGatewayPhysicalAddress	-	Não mapeado para o objeto IDM.
DeepHashBlacklistClassification DeepHashBlacklistVersion	-	Não mapeado para o objeto IDM.
DeliverLocalFXToCloud DesiredAccess detectionId detectionName DetectDescription DetectId	-	Não mapeado para o objeto IDM.
DetectName DeviceActiveConfigurationNumber	-	Não mapeado para o objeto IDM.
DeviceConnectionStatus	-	Não mapeado para o objeto IDM.
DeviceDescriptorNumber	-	Não mapeado para o objeto IDM.
DeviceDescriptorSetHash	-	Não mapeado para o objeto IDM.
DeviceDescriptorUniqueIdentifier	-	Não mapeado para o objeto IDM.
DeviceId	-	Não mapeado para o objeto IDM.
DeviceInstanceId	event.idm.read_only_udm.target.asset_id	Prefixado com Device Instance Id:.
DeviceManufacturer DeviceProduct DeviceProductId	-	Não mapeado para o objeto IDM.
DevicePropertyClassName	-	Não mapeado para o objeto IDM.
DevicePropertyClassGuid	-	Não mapeado para o objeto IDM.
DevicePropertyDeviceDescription DevicePropertyFriendlyName	-	Não mapeado para o objeto IDM.
DevicePropertyLocationInformation DevicePropertyManufacturer	-	Não mapeado para o objeto IDM.
DeviceProtocol	-	Não mapeado para o objeto IDM.
DeviceSerialNumber DeviceTimeStamp DeviceType	-	Não mapeado para o objeto IDM.
DeviceUsbClass	-	Não mapeado para o objeto IDM.
DeviceUsbSubclass	-	Não mapeado para o objeto IDM.
DeviceUsbVersion	-	Não mapeado para o objeto IDM.
DeviceVendorId	-	Não mapeado para o objeto IDM.
DeviceVersion	-	Não mapeado para o objeto IDM.
DirectoryCreate DirectoryCreatedCount	security_result.detection_fields[0].value	Parte do evento EndOfProcess.
DirectoryEnumeratedCount	security_result.detection_fields[0].value	Parte do evento EndOfProcess.
DisableRealtimeMonitoring DisallowStartIfOnBatteries	-	Não mapeado para o objeto IDM.
DisallowStartOnRemoteAppSession	-	Não mapeado para o objeto IDM.
DiskParentDeviceInstanceId DllCharacteristics	-	Não mapeado para o objeto IDM.
DllInjection DlpPolicy	-	Não mapeado para o objeto IDM.
DlpVerdict	-	Não mapeado para o objeto IDM.
DmpFileWritten DnsRequest DnsRequestCount	security_result.detection_fields[0].value	Parte do evento EndOfProcess.
DnsResponseType	-	Não mapeado para o objeto IDM.
DnsResponseTtl	-	Não mapeado para o objeto IDM.
DocumentFileWrittenCount	security_result.detection_fields[0].value	Parte do evento EndOfProcess.
DomainName	event.idm.read_only_udm.target.hostname, event.idm.read_only_udm.target.asset.hostname, event.idm.read_only_udm.network.dns.questions[0].name	Se DomainName não for nulo, crie uma entidade de nome de host com o valor de DomainName e adicione-a a event.idm.read_only_udm.target.hostname, event.idm.read_only_udm.target.asset.hostname e event.idm.read_only_udm.network.dns.questions[0].name.
DotnetModuleFlags	-	Não mapeado para o objeto IDM.
DotnetModuleId	-	Não mapeado para o objeto IDM.
DotnetModuleLoadDetectInfo DownloadPath	-	Não mapeado para o objeto IDM.
DownloadPort	-	Não mapeado para o objeto IDM.
DownloadServer DriverLoad DualRequest	-	Não mapeado para o objeto IDM.
EffectiveTransmissionClass Effective	-	Não mapeado para o objeto IDM.
EfiSupported	-	Não mapeado para o objeto IDM.
EfiVariableCustomMode	-	Não mapeado para o objeto IDM.
EfiVariableCustomModeAttributes	-	Não mapeado para o objeto IDM.
EfiVariableDbAttributes	-	Não mapeado para o objeto IDM.
EfiVariableDbxAttributes	-	Não mapeado para o objeto IDM.
EfiVariableDbxSha256Hash	-	Não mapeado para o objeto IDM.
EfiVariableKekAttributes	-	Não mapeado para o objeto IDM.
EfiVariableKekSha256Hash	-	Não mapeado para o objeto IDM.
EfiVariablePkAttributes	-	Não mapeado para o objeto IDM.
EfiVariablePkSha256Hash	-	Não mapeado para o objeto IDM.
EfiVariableSecureBoot	-	Não mapeado para o objeto IDM.
EfiVariableSecureBootAttributes	-	Não mapeado para o objeto IDM.
EfiVariableSetupMode	-	Não mapeado para o objeto IDM.
EfiVariableSetupModeAttributes	-	Não mapeado para o objeto IDM.
EfiVariableSignatureSupport	-	Não mapeado para o objeto IDM.
EfiVariableSignatureSupportAttributes	-	Não mapeado para o objeto IDM.
EndpointDescriptorAddress	-	Não mapeado para o objeto IDM.
EndpointDescriptorAttributes	-	Não mapeado para o objeto IDM.
EndpointDescriptorInterval	-	Não mapeado para o objeto IDM.
EndpointDescriptorMaxPacketSize	-	Não mapeado para o objeto IDM.
EndOfProcess Entitlements ErrorEvent ErrorCode	-	Não mapeado para o objeto IDM.
ErrorLocation	-	Não mapeado para o objeto IDM.
ErrorReason	-	Não mapeado para o objeto IDM.
ErrorSource	-	Não mapeado para o objeto IDM.
ErrorStatus	-	Não mapeado para o objeto IDM.
ErrorText	-	Não mapeado para o objeto IDM.
EventLogCleared EventMax	-	Não mapeado para o objeto IDM.
EventMin	-	Não mapeado para o objeto IDM.
EventOrigin	-	Não mapeado para o objeto IDM.
EventType	event.idm.read_only_udm.metadata.product_event_type	Se event_simpleName for nulo e EventType não for nulo, crie uma entidade product_event_type com o valor de EventType e adicione-a a event.idm.read_only_udm.metadata.product_event_type.
EtwErrorEvent EtwRawProcessId	-	Não mapeado para o objeto IDM.
EtwRawThreadId	-	Não mapeado para o objeto IDM.
ExecutableDeleted ExecutableDeletedCount	security_result.detection_fields[0].value	Parte do evento EndOfProcess.
ExeAndServiceCount	security_result.detection_fields[0].value	Parte do evento EndOfProcess.
ExitCode	-	Não mapeado para o objeto IDM.
Exploit ExternalApiType	event.idm.read_only_udm.metadata.product_event_type, event.idm.read_only_udm.extensions.auth.auth_details	Se message contiver event1, ExternalApiType será renomeado como event.idm.read_only_udm.metadata.product_event_type. Caso contrário, será renomeado como event.idm.read_only_udm.extensions.auth.auth_details.
Facility	-	Não mapeado para o objeto IDM.
FailedConnectCount	-	Não mapeado para o objeto IDM.
FalconHostLink FalconServiceComponent	-	Não mapeado para o objeto IDM.
FalconServiceServletErrors	-	Não mapeado para o objeto IDM.
FalconServiceServletStarts	-	Não mapeado para o objeto IDM.
FalconServiceState	-	Não mapeado para o objeto IDM.
FalconServiceStatus FeatureExtractionVersion	-	Não mapeado para o objeto IDM.
FeatureVector	-	Não mapeado para o objeto IDM.
File	-	Não mapeado para o objeto IDM.
FileAttributes	-	Não mapeado para o objeto IDM.
FileCreateInfo FileDeletedCount	security_result.detection_fields[0].value	Parte do evento EndOfProcess.
FileDeleteInfo FileEcpBitmask	-	Não mapeado para o objeto IDM.
FileEventType	-	Não mapeado para o objeto IDM.
FileIdentifier FileObject	-	Não mapeado para o objeto IDM.
FileName FileOpenInfo FileRenameInfo FileSigningTime	-	Não mapeado para o objeto IDM.
FirewallAction	-	Não mapeado para o objeto IDM.
FirewallChangeOption FirewallDeleteRule FirewallDeleteRuleIP4 FirewallDeleteRuleIP6 FirewallEnabled FirewallOption FirewallOptionNumericValue	-	Não mapeado para o objeto IDM.
FirewallProfile	-	Não mapeado para o objeto IDM.
FirewallRule FirewallRuleId FirewallSetRule FirewallSetRuleIP4 FirewallSetRuleIP6 FirmwareAnalysisErrorEvent FirmwareAnalysisErrorLocation	-	Não mapeado para o objeto IDM.
FirmwareAnalysisErrorReason	-	Não mapeado para o objeto IDM.
FirmwareAnalysisErrorSource	-	Não mapeado para o objeto IDM.
FirmwareAnalysisHardwareData FirmwareAnalysisStatus FirmwareAnalysisCpuSupported	-	Não mapeado para o objeto IDM.
FirmwareAnalysisEclControlInterfaceVersion	-	Não mapeado para o objeto IDM.
FirmwareAnalysisEclConsumerInterfaceVersion	-	Não mapeado para o objeto IDM.
FirmwareImageAnalyzed FirmwareRegionMeasured FirmwareSize	-	Não mapeado para o objeto IDM.
FirmwareType	-	Não mapeado para o objeto IDM.
FirstDiscoveredDate	-	Não mapeado para o objeto IDM.
FirstIP4Record Flags	-	Não mapeado para o objeto IDM.
FltCallbackData	-	Não mapeado para o objeto IDM.
FltCompletionContext	-	Não mapeado para o objeto IDM.
FltRelatedObjects	-	Não mapeado para o objeto IDM.
FontBuffer	-	Não mapeado para o objeto IDM.
FontBufferLength	-	Não mapeado para o objeto IDM.
FontFileCount	-	Não mapeado para o objeto IDM.
FontFileName FontLoadOperation	-	Não mapeado para o objeto IDM.
FsOperationBlocked	event1.PatternDispositionFlags.FsOperationBlocked	Parte de Event_DetectionSummaryEvent.
FsPostOpenSnapshotFile FsVolumeMounted FsVolumeUnmounted FullContext	-	Não mapeado para o objeto IDM.
FullExceptionRecord	-	Não mapeado para o objeto IDM.
GcpCreationTimestamp GenericFileWrittenCount	security_result.detection_fields[0].value	Parte do evento EndOfProcess.
GID	-	Não mapeado para o objeto IDM.
GrandparentCommandLine GrandparentImageFileName GrandParentBaseFileName GroupIdentity GroupRid GzipFileWritten HandleCreated	-	Não mapeado para o objeto IDM.
HIDDescriptorCountryCode	-	Não mapeado para o objeto IDM.
HIDDescriptorNumDescriptors	-	Não mapeado para o objeto IDM.
HIDDescriptorVersion	-	Não mapeado para o objeto IDM.
HIPHandlers.dll	event.idm.read_only_udm.target.file.full_path	Parte de TargetFileName.
HostGroups	-	Não mapeado para o objeto IDM.
HostHiddenStatus HostInfo HostnameChanged hostname HostProcessType	-	Não mapeado para o objeto IDM.
HostUrl HttpRequestDetect HttpRequestHeader HttpUrl IcmpCode	-	Não mapeado para o objeto IDM.
IcmpType	-	Não mapeado para o objeto IDM.
id IdleSettings	-	Não mapeado para o objeto IDM.
ImageFileName ImageSubsystem	-	Não mapeado para o objeto IDM.
Image	-	Não mapeado para o objeto IDM.
ImpersonatedUserName InBroadcastOctets	-	Não mapeado para o objeto IDM.
InContext	-	Não mapeado para o objeto IDM.
InDiscards	-	Não mapeado para o objeto IDM.
Indicator	event1.PatternDispositionFlags.Indicator	Parte de Event_DetectionSummaryEvent.
InddetMask	event1.PatternDispositionFlags.InddetMask	Parte de Event_DetectionSummaryEvent.
InErrors	-	Não mapeado para o objeto IDM.
Information	-	Não mapeado para o objeto IDM.
InjectedDll InjectedThread InjectedThreadCount	security_result.detection_fields[0].value	Parte do evento EndOfProcess.
InjectedThreadFlag	-	Não mapeado para o objeto IDM.
InMulticastOctets	-	Não mapeado para o objeto IDM.
InNUcastPkts	-	Não mapeado para o objeto IDM.
InOctets	-	Não mapeado para o objeto IDM.
InstallDate	-	Não mapeado para o objeto IDM.
InstalledApplication InstalledUpdateExtendedStatus	-	Não mapeado para o objeto IDM.
InstalledUpdateIds	-	Não mapeado para o objeto IDM.
InstalledUpdates InstanceMetadata InstanceMetadataProvider	-	Não mapeado para o objeto IDM.
InstanceMetadataRequest	-	Não mapeado para o objeto IDM.
InstanceMetadataSignature	-	Não mapeado para o objeto IDM.
InUcastOctets	-	Não mapeado para o objeto IDM.
InUcastPkts	-	Não mapeado para o objeto IDM.
InUnknownProtos	-	Não mapeado para o objeto IDM.
IntegrityLevel	-	Não mapeado para o objeto IDM.
InterfaceAlias	-	Não mapeado para o objeto IDM.
InterfaceDescription	-	Não mapeado para o objeto IDM.
InterfaceFlags	-	Não mapeado para o objeto IDM.
InterfaceGuid	-	Não mapeado para o objeto IDM.
InterfaceIdentifier	-	Não mapeado para o objeto IDM.
InterfaceIndex	-	Não mapeado para o objeto IDM.
InterfaceMtu	-	Não mapeado para o objeto IDM.
InterfaceType	-	Não mapeado para o objeto IDM.
InterfaceVersion	-	Não mapeado para o objeto IDM.
InjectedDllCount	security_result.detection_fields[0].value	Parte do evento EndOfProcess.
InjectedThreadFlag	-	Não mapeado para o objeto IDM.
InkDiv.dll	event.idm.read_only_udm.target.file.full_path	Parte de ExecutablesWritten.
InkObj.dll	event.idm.read_only_udm.target.file.full_path	Parte de ExecutablesWritten.
InMulticastPkts	-	Não mapeado para o objeto IDM.
InOctets	-	Não mapeado para o objeto IDM.
InUcastPkts	-	Não mapeado para o objeto IDM.
IOARuleGroupName IOARuleInstanceID	-	Não mapeado para o objeto IDM.
IOARuleInstanceVersion	-	Não mapeado para o objeto IDM.
IOARuleName IOServiceClass	-	Não mapeado para o objeto IDM.
IOServiceName	-	Não mapeado para o objeto IDM.
IOServicePath	-	Não mapeado para o objeto IDM.
IOServiceProperties	-	Não mapeado para o objeto IDM.
IOServiceRegister IoSessionConnected IoSessionLoggedOn IpEntryFlags	-	Não mapeado para o objeto IDM.
IrpFlags	-	Não mapeado para o objeto IDM.
IsCpuDataCommonOnAllCores	-	Não mapeado para o objeto IDM.
IsNorthBridgeSupported	-	Não mapeado para o objeto IDM.
IsOnClearCaseMvfs	-	Não mapeado para o objeto IDM.
IsOnNetwork IsOnRemovableDisk IsOn	-	Não mapeado para o objeto IDM.
IsRemote	-	Não mapeado para o objeto IDM.
IsSouthBridgeSupported	-	Não mapeado para o objeto IDM.
IsTransactedFile	-	Não mapeado para o objeto IDM.
IsUnique	-	Não mapeado para o objeto IDM.
JavaInjectedThread JarFileWritten KernelModeLoadImage KernelTime	-	Não mapeado para o objeto IDM.
KextUnload K8SCreationTimestamp K8SDetectionEvent LanguageId	-	Não mapeado para o objeto IDM.
LastAdded	-	Não mapeado para o objeto IDM.
LastDiscoveredBy	-	Não mapeado para o objeto IDM.
LastDisplayed	-	Não mapeado para o objeto IDM.
LastLoggedOnHost	-	Não mapeado para o objeto IDM.
LastUpdateInstalledTime	-	Não mapeado para o objeto IDM.
LateralMovement	-	Não mapeado para o objeto IDM.
LdapSearchAttributes	-	Não mapeado para o objeto IDM.
LdapSearchBaseObjectSample	-	Não mapeado para o objeto IDM.
LdapSearchFilterSample	-	Não mapeado para o objeto IDM.
LdapSearchFilterShape	-	Não mapeado para o objeto IDM.
LdapSearchQueryClassification	-	Não mapeado para o objeto IDM.
LdapSearchQueryToken	-	Não mapeado para o objeto IDM.
LdapSearchScope	-	Não mapeado para o objeto IDM.
LdapSearchSizeLimit	-	Não mapeado para o objeto IDM.
LdapSecurityType	-	Não mapeado para o objeto IDM.
LightningLatencyInfo LightningLatencyState	-	Não mapeado para o objeto IDM.
Line	-	Não mapeado para o objeto IDM.
LinkLocalAddressBehavior	-	Não mapeado para o objeto IDM.
LinkLocalAddressTimeout	-	Não mapeado para o objeto IDM.
LinkName LocalAccount	-	Não mapeado para o objeto IDM.
LocalAddressIP4 LocalAddressIP6 LocalAddressMaskIP4	-	Não mapeado para o objeto IDM.
LocalAddressMaskIP6	-	Não mapeado para o objeto IDM.
LocalAdminAccess	-	Não mapeado para o objeto IDM.
LocalIpAddressIP4 LocalIpAddressIP6 LocalIpAddressRemovedIP4 LocalIpAddressRemovedIP6 LocalPort LocalSession	-	Não mapeado para o objeto IDM.
localipCount LockScreenEnabled	-	Não mapeado para o objeto IDM.
LockScreenStatus LogoffTime LogonDomain LogonId	-	Não mapeado para o objeto IDM.
LogonInfo	security_result.summary	Define event_type como USER_LOGIN.
LogonServer LogonTime LogonType	event.idm.read_only_udm.extensions.auth.mechanism	Mapeado para um valor de tipo enumerado do UDM com base no valor LogonType.
LogoffTime LsassHandleFromUnsignedModule MAC	event.idm.read_only_udm.principal.mac	São convertidos em letras minúsculas e os dois-pontos são substituídos por hífens.
MACAddress	event.idm.read_only_udm.principal.mac	Os hifens são substituídos por dois-pontos.
MACPrefix	-	Não mapeado para o objeto IDM.
MachOFileWritten MachOSubType	-	Não mapeado para o objeto IDM.
MachineDn MachineDomain MajorFunction	-	Não mapeado para o objeto IDM.
MajorVersion	-	Não mapeado para o objeto IDM.
Malicious	-	Não mapeado para o objeto IDM.
ManagedPdbBuildPath MappedFromUserMode	-	Não mapeado para o objeto IDM.
MaxReassemblySize	-	Não mapeado para o objeto IDM.
MaxRouterAdvertisementInterval	-	Não mapeado para o objeto IDM.
MaxThreadCount	-	Não mapeado para o objeto IDM.
MD5HashData	event.idm.read_only_udm.target.file.md5, event.idm.read_only_udm.target.process.file.md5	Se MD5HashData for um hash MD5 válido e não for composto apenas de zeros, crie uma entidade de hash MD5 com o valor de MD5HashData e adicione-a a event.idm.read_only_udm.target.file.md5 e event.idm.read_only_udm.target.process.file.md5.
MD5String MediaConnectState	-	Não mapeado para o objeto IDM.
MediaType	-	Não mapeado para o objeto IDM.
MemoryAvailable	-	Não mapeado para o objeto IDM.
MemoryRegionProtection	-	Não mapeado para o objeto IDM.
MemoryRegionStart	-	Não mapeado para o objeto IDM.
MemoryTotal	-	Não mapeado para o objeto IDM.
MmioDataSmiEn	-	Não mapeado para o objeto IDM.
MmioDataTco1Cnt	-	Não mapeado para o objeto IDM.
MLModelVersion	-	Não mapeado para o objeto IDM.
MobileDetection MobileDetectionId	-	Não mapeado para o objeto IDM.
MobileOsIntegrityIntact	-	Não mapeado para o objeto IDM.
MobileOsIntegrityStatus MobilePowerStats MoboManufacturer	-	Não mapeado para o objeto IDM.
MoboProductName	-	Não mapeado para o objeto IDM.
ModelPrediction	-	Não mapeado para o objeto IDM.
ModuleBaseAddress	-	Não mapeado para o objeto IDM.
ModuleCharacteristics	-	Não mapeado para o objeto IDM.
ModuleDetectInfo ModuleLoadCount	-	Não mapeado para o objeto IDM.
ModuleLoadMechanism	-	Não mapeado para o objeto IDM.
ModuleLoadTelemetryClassification	-	Não mapeado para o objeto IDM.
ModuleNativePath	-	Não mapeado para o objeto IDM.
ModuleSize	-	Não mapeado para o objeto IDM.
ModifyServiceBinary MostRecentActivityTimeStamp	-	Não mapeado para o objeto IDM.
MotwWritten mskssrv.sys	event.idm.read_only_udm.principal.process.file.full_path	Parte de OriginalFilename.
MultipleInstancesPolicy	-	Não mapeado para o objeto IDM.
name namespace NativePdbBuildPath	-	Não mapeado para o objeto IDM.
NegateInterface	-	Não mapeado para o objeto IDM.
NegateLocalAddress	-	Não mapeado para o objeto IDM.
NegateRemoteAddress	-	Não mapeado para o objeto IDM.
NeighborList	-	Não mapeado para o objeto IDM.
NeighborListIP4 NeighborListIP6 NeighborName NetLuidIndex	-	Não mapeado para o objeto IDM.
NetShareAdd NetShareDelete NetShareSecurityModify NetworkBindCount	security_result.detection_fields[0].value	Parte do evento EndOfProcess.
NetworkCapableAsepWriteCount	security_result.detection_fields[0].value	Parte do evento EndOfProcess.
NetworkCloseCount	security_result.detection_fields[0].value	Parte do evento EndOfProcess.
NetworkCloseIP4 NetworkCloseIP6 NetworkConnectCount	security_result.detection_fields[0].value	Parte do evento EndOfProcess.
NetworkConnectCountUdp	security_result.detection_fields[0].value	Parte do evento EndOfProcess.
NetworkConnectIP4 NetworkConnectIP6 NetworkContainmentState NetworkInterfaceGuid	-	Não mapeado para o objeto IDM.
NetworkListenCount	security_result.detection_fields[0].value	Parte do evento EndOfProcess.
NetworkListenIP4 NetworkListenIP6 NetworkModuleLoadCount	security_result.detection_fields[0].value	Parte do evento EndOfProcess.
NetworkRecvAcceptCount	security_result.detection_fields[0].value	Parte do evento EndOfProcess.
NetworkReceiveAcceptIP4 NetworkReceiveAcceptIP6 NewExecutableRenamed NewExecutableWritten NewExecutableWrittenCount	security_result.detection_fields[0].value	Parte do evento EndOfProcess.
NewFileIdentifier	-	Não mapeado para o objeto IDM.
NewScriptWritten NlMtu	-	Não mapeado para o objeto IDM.
NorthBridgeDeviceId	-	Não mapeado para o objeto IDM.
NorthBridgeVendorId	-	Não mapeado para o objeto IDM.
NumberOfMeasurements	-	Não mapeado para o objeto IDM.
OciContainerId	-	Não mapeado para o objeto IDM.
OciContainerTelemetry OciContainersStartedCount	-	Não mapeado para o objeto IDM.
OciContainersStoppedCount	-	Não mapeado para o objeto IDM.
OleFileWritten OnLinkPrefixLength	-	Não mapeado para o objeto IDM.
OoxmlFileWritten OperStatus	-	Não mapeado para o objeto IDM.
OperationFlags	-	Não mapeado para o objeto IDM.
OperationName OriginalContentLength	-	Não mapeado para o objeto IDM.
OriginalEventTimeStamp	-	Não mapeado para o objeto IDM.
OriginalFilename OriginalParentAuthenticationId	-	Não mapeado para o objeto IDM.
OriginalUserName OriginalUserSid OsfmDownloadComplete OsVersionInfo OU OutBroadcastOctets	-	Não mapeado para o objeto IDM.
OutDiscards	-	Não mapeado para o objeto IDM.
OutErrors	-	Não mapeado para o objeto IDM.
OutMulticastOctets	-	Não mapeado para o objeto IDM.
OutNUcastPkts	-	Não mapeado para o objeto IDM.
OutOctets	-	Não mapeado para o objeto IDM.
OutUcastOctets	-	Não mapeado para o objeto IDM.
OutUcastPkts	-	Não mapeado para o objeto IDM.
PackedExecutableWritten Parameter64_1	-	Não mapeado para o objeto IDM.
Parameter64_2	-	Não mapeado para o objeto IDM.
Parameter64_3	-	Não mapeado para o objeto IDM.
ParameterSizedBuffer_1	-	Não mapeado para o objeto IDM.
Parameter1	-	Não mapeado para o objeto IDM.
Parameter2	-	Não mapeado para o objeto IDM.
Parameter3	-	Não mapeado para o objeto IDM.
ParentAuthenticationId	-	Não mapeado para o objeto IDM.
ParentBaseFileName ParentCommandLine	event1.ParentCommandLine	Parte de Event_DetectionSummaryEvent.
ParentHubInstanceId	-	Não mapeado para o objeto IDM.
ParentHubPort	-	Não mapeado para o objeto IDM.
ParentImageFileName	event.idm.read_only_udm.principal.process.file.full_path, event1.ParentImageFileName	Parte de Event_DetectionSummaryEvent.
ParentProcessId	event.idm.read_only_udm.principal.process.product_specific_process_id, event1.ParentProcessId	Prefixado com CS:%{cid}:%{aid}:. Parte de Event_DetectionSummaryEvent.
PasswordLastSet	-	Não mapeado para o objeto IDM.
PathMtuDiscoveryTimeout	-	Não mapeado para o objeto IDM.
PatternDispositionFlags	-	Não mapeado para o objeto IDM.
PatternDispositionValue `PatternDisposition

Alterações

2025-02-25

• Mapeamento adicionado para o evento FileIntegrityMonitorRuleMatched da seguinte forma: Mapeamento do campo ObjectName para os campos UDM target.file.full_path, target.registry.registry_value_data, e target.registry.registry_key, com base no valor do campo ObjectType.

2025-02-07

Melhoria:

• detectName foi mapeado para security_result.threatname.

2025-01-31

• O caso extremo para o valor grande de número inteiro no campo de registro bruto ProcessId e ParentProcessId foi tratado.
• O campo AgendIdString foi adicionado ao mapeamento do campo principal.process.product_specific_process_id da UDM na ausência do campo de registro bruto aid.
• O campo AgendIdString foi adicionado ao mapeamento do campo principal.process.parent_process.product_specific_process_id da UDM na ausência do campo de registro bruto aid.

2025-01-17

• Adição de gsub para oferecer suporte ao valor grande de número inteiro no campo de registro bruto ProcessId e ParentProcessId.

2025-01-16

Melhoria:

• Mapeou EventOrigin, id, KerberosRequestTicketCreationTimeSample, ActiveDirectoryDataProtocol, KerberosRequestTicketValidityPeriod, LdapSearchBaseObjectSample, LdapSearchSizeLimit, DebugInfoUnicode, LdapSecurityType, ActiveDirectoryAuthenticationMethod, SourceAccountType, AggregationEarliestTimestamp, AggregationWindowTimestamp, LdapSearchQueryToken e LdapSearchScope para security_result.detection_fields.
• SourceEndpointNetworkTag foi mapeado para security_result.description.
• LocalPortSample foi mapeado para principal.port.
• RemotePortSample foi mapeado para target.port.
• Mapeamento de LocalAddressIP4Sample para principal.ip e principal.asset.ip.
• Mapeamos LdapSearchFilterShape, TargetAccountType, KerberosAnomaly, LdapSearchQueryClassification e LdapSearchAttributes para additional.fields.

2025-01-09

Melhoria:

• Adição de suporte ao novo evento InstalledBrowserExtension.

2024-12-19

Melhoria:

• Quando FileOperatorSid é um sid válido do Windows, ele é mapeado para target.user.windows_sid.

2024-12-18

Melhoria:

• O mapeamento de OriginalFilename foi alterado de principal.process.file.full_path para target.process.file.exif_info.original_file.
• O mapeamento de ParentBaseFileName foi alterado de principal.process.file.full_path para principal.process.file.names.
• O mapeamento de OriginalFilename foi alterado de principal.process.file.exif_info.original_file para target.process.file.exif_info.original_file.

2024-12-04

Melhoria:

• Mapeamos ConfigurationDescriptorName, DeviceDescriptorUniqueIdentifier, DeviceVendorId, DeviceUsbClass, ConfigurationDescriptorNumInterfaces, ConfigurationDescriptorMaxPowerDraw e ConfigurationDescriptorAttributes para security_result.detection_fields.
• DeviceDescriptorSetHash foi mapeado para target.file.sha256.

2024-10-29

Correção de bugs:

• O mapeamento de SourceFileName para principal.process.file.full_path foi removido dos eventos FILE_MOVE, FILE_MODIFICATION e FILE_READ, porque já está mapeado para src.file.full_path.

2024-10-09

Melhoria:

• SmbNamedPipeName foi mapeado para security_result.detection_fields.
• RequestType foi mapeado para network.dns.question.type.
• QueryStatus foi mapeado para network.dns.response_code.
• IP4Records, IP6Records e CNAMERecords foram mapeados para network.dns.answer.name.

2024-09-24

Melhoria:

• Um padrão Grok foi adicionado para interromper a análise de endereços IP como principal.hostname.

2024-09-19

Melhoria:

• HttpRequest foi mapeado para target.ip.
• HttpHost foi mapeado para target.hostname.
• HttpPath foi mapeado para target.url.

2024-09-19

Melhoria:

• HttpRequest foi mapeado para target.ip.
• HttpHost foi mapeado para target.hostname.
• HttpPath foi mapeado para target.url.

2024-09-12

Melhoria:

• Para eventos FILE_CREATION, quando ContextImageFileName não é nulo, mapeie ContextImageFileName para principal.process.file.full_path.
• O mapeamento de OriginalFilename foi alterado de target.process.file.exif_info.original_file para principal.process.file.exif_info.original_file.

2024-09-10

• Adição de suporte a um novo padrão de registros JSON.
• Mapeamento de FileVersion e FixedFileVersion para additional.fields.

2024-09-03

Melhoria:

• timestamp foi mapeado para metadata.event_timestamp.

2024-08-29

Correção de bugs:

• Adição de on_error para processar o caso quando TaskExecCommand for nulo.

2024-08-20

Melhoria:

• IsOnRemovableDisk, RegOperationType e RegType foram mapeados para additional.fields.

2024-08-06

Melhoria:

• tar_user foi mapeado para target.user.userid.

2024-07-24

Melhoria:

• O mapeamento de LocalAddressIP4 foi modificado de target.ip para principal.ip.
• Quando direction é INBOUND, o mapeamento RemoteAddressIP4 é alterado de principal.ip para src.ip.
• Quando direction é OUTBOUND, o mapeamento RemoteAddressIP4 é alterado de principal.ip para target.ip.

2024-07-08

Melhoria:

• Description foi mapeado para security_result.description.
• Name foi mapeado para security_result.threat_name.
• CompositeId foi mapeado para additional.fields.
• id foi mapeado para metadata.product_log_id.

2024-06-25

Melhoria:

• SourceFileName foi mapeado para principal.process.file.full_path.
• Mapeamento de OdsFileName e ImageFileName para target.process.file.full_path.
• Quando event_simpleName é MotwWritten, metadata.event_type é mapeado para FILE_CREATION.

2024-06-06

Melhoria:

• OriginalFilename foi mapeado para target.process.file.exif_info.original_file.

2024-05-31

Melhoria:

• os_version foi mapeado para principal.platform_version.
• Mapeamento de hostname para principal.hostname e principal.asset.hostname.
• Mapeamos product_type_desc, host_hidden_status, scores.os, scores.sensor, scores.version, scores.overall e scores.modified_time para security_result.detection_fields.

2024-05-23

Melhoria:

• Version foi mapeado para principal.platform_version.

2024-05-21

Melhoria:

• Quando event_simpleName é FileWritten, NetworkConnect ou DnsRequest, mapeie ContextBaseFileName para principal.process.file.full_path.
• QuarantinedFileName foi mapeado para principal.process.file.full_path.

2024-05-15

Melhoria:

• Version, BiosVersion e ChassisType foram mapeados para principal.asset.attribute.labels.
• Continent, OU e SiteName foram mapeados para additional.fields.

2024-04-17

Melhoria:

• ModuleILPath foi mapeado para target.resource.attribute.labels.

2024-04-08

Correção de bugs:

• Quando event_simpleName é ClassifiedModuleLoad, metadata.event_type muda de STATUS_UPDATE para PROCESS_MODULE_LOAD.

2024-02-21

Melhoria:

• SubjectDN foi mapeado para security_result.about.artifact.last_https_certificate.subject.
• IssuerDN foi mapeado para security_result.about.artifact.last_https_certificate.issuer.
• SubjectCertValidTo foi mapeado para security_result.about.artifact.last_https_certificate.validity.issue_time.
• SubjectCertValidFrom foi mapeado para security_result.about.artifact.last_https_certificate.validity.expiry_time.
• SubjectSerialNumber foi mapeado para security_result.about.artifact.last_https_certificate.serial_number.
• SubjectVersion foi mapeado para security_result.about.artifact.last_https_certificate.version.
• SubjectCertThumbprint foi mapeado para security_result.about.artifact.last_https_certificate.thumbprint.
• SignatureDigestAlg foi mapeado para security_result.about.artifact.last_https_certificate.signature_algorithm.
• SignatureDigestEncryptAlg foi mapeado para security_result.about.artifact.last_https_certificate.cert_signature.signature_algorithm.
• AuthenticodeHashData foi mapeado para target.file.authentihash.
• Mapeamento de AuthorityKeyIdentifier para security_result.about.artifact.last_https_certificate.extension.authority_key_id.keyid e security_result.about.artifact.last_https_certificate.cert_extensions.fields.
• Mapeamento de SubjectKeyIdentifier para security_result.about.artifact.last_https_certificate.extension.subject_key_id e security_result.about.artifact.last_https_certificate.cert_extensions.fields.
• OriginalFilename foi mapeado para additional.fields.
• SignInfoFlagUnknownError, SignInfoFlagHasValidSignature, SignInfoFlagSignHashMismatch, AuthenticodeMatch, SignInfoFlagMicrosoftSigned, SignInfoFlagNoSignature, SignInfoFlagInvalidSignChain, SignInfoFlagNoCodeKeyUsage, SignInfoFlagNoEmbeddedCert, SignInfoFlagThirdPartyRoot, SignInfoFlagCatalogSigned, SignInfoFlagSelfSigned, SignInfoFlagFailedCertCheck, SignInfoFlagEmbeddedSigned, IssuerCN, SubjectCN mapeados para security_result.detection_fields.

2023-12-22

• HostUrl foi mapeado para target.url.
• ReferrerUrl foi mapeado para network.http.referral_url.

2023-11-23

• Quando is_alert é definido como true, event.idm.is_significant é mapeado para true.
• Quando is_alert é definido como true, event_simpleName é mapeado para security_result.summary.

2023-10-11

• Adição de uma verificação de expressão regular para validar os valores SHA1, MD5 e SHA256.

2023-08-22

• Mapeamos Technique para security_result.attack_details.techniques.name e os detalhes correspondentes da técnica e da tática.

2023-08-03

Melhoria:

• ReflectiveDllName foi mapeado para target.file.full_path.
• Mapeou event_type para STATUS_UPDATE em registros em que o campo DomainName está ausente.

2023-08-01

• Mapeamento de Tactic para security_result.attack_details.tactics.name e tactics.id correspondente.

2023-07-31

Correção de bugs:

• Foi adicionada a verificação on_error para o filtro de data.

2023-06-19

• ParentBaseFileName foi mapeado para principal.process.file.full_path.
• O mapeamento de ImageFileName para target.file.full_path foi removido, porque ele já está mapeado para target.process.file.full_path nos eventos ProcessRollup2 e SyntheticProcessRollup2.

2023-05-12

Melhoria:

• O "aip" foi mapeado para "intermediary.ip".

2023-05-08

Correção de bugs:

• Converte formatos de hora em string e processa o formato de tempo em nanossegundos.

2023-04-14

Melhoria:

• O valor Severity do intervalo [0-19] foi modificado para security_result.severity como INFORMATIONAL.
• O valor Severity do intervalo [20-39] foi modificado para security_result.severity como LOW.
• O valor Severity do intervalo [40-59] foi modificado para security_result.severity como MEDIUM.
• O valor Severity do intervalo [60-79] foi modificado para security_result.severity como HIGH.
• O valor Severity do intervalo [80-100] foi modificado para security_result.severity como CRITICAL.
• PatternId foi mapeado para security_result.detection_fields.
• SourceEndpointIpAddress foi mapeado para principal.ip.
• Mapeou metadata.event_type para USER_UNCATEGORIZED quando event_simpleName =~ userlogonfailed e as informações do usuário não estavam presentes.
• Mapeou metadata.event_type para USER_UNCATEGORIZED quando ExternalApiType =Event_UserActivityAuditEvent`` e tem informações do usuário.
• Mapeou metadata.event_type para USER_UNCATEGORIZED quando event_simpleName =~ActiveDirectory`.
• TargetAccountObjectGuid foi mapeado para additional.fields.
• TargetDomainControllerObjectGuid foi mapeado para additional.fields.
• TargetDomainControllerObjectSid foi mapeado para additional.fields.
• AggregationActivityCount foi mapeado para additional.fields.
• TargetServiceAccessIdentifier foi mapeado para additional.fields.
• SourceAccountUserPrincipal foi mapeado para principal.user.userid.
• SourceEndpointAddressIP4 foi mapeado para principal.ip.
• SourceAccountObjectGuid foi mapeado para additional.fields.
• AccountDomain foi mapeado para principal.administrative_domain.
• AccountObjectGuid foi mapeado para metadata.product_log_id.
• AccountObjectSid foi mapeado para principal.user.windows_sid.
• SamAccountName foi mapeado para principal.user.user_display_name.
• SourceAccountSamAccountName foi mapeado para principal.user.user_display_name.
• IOARuleGroupName foi mapeado para security_result.detection_fields.
• IOARuleName foi mapeado para security_result.detection_fields.
• RemoteAddressIP4 foi associado a target.ip para event_simpleName=RegCredAccessDetectInfo.

2023-03-24

• Mapeou id para metadata.product_log_id em vez de target.resource.id.
• Mapeou RegBinaryValue para target.registry.registry_value_data se RegNumericValue e RegStringValue forem nulos.

2023-03-21

Melhoria:

• BatchTimestamp, GcpCreationTimestamp, K8SCreationTimestamp e AwsCreationTimestamp foram mapeados para metadata.event_timestamp.
• FileOperatorSid foi mapeado para target.user.windows_sid.

2023-03-13

Melhoria:

• Mapeamos LogonTime, ProcessStartTime, ContextTimeStamp, ContextTimeStamp_decimal e AccountCreationTimeStamp para metadata.event_timestamp.

2023-03-10

Melhoria:

• CallStackModuleNamesVersion e CallStackModuleNamesVersion foram mapeados para security_result.detection_fields.

2023-02-28

Melhoria:

• Os seguintes mapeamentos foram modificados para o campo ParentProcessId quando event_simpleName está em [ProcessRollup2, SyntheticProcessRollup2]
• target.process.parent_process.pid foi modificado para target.process.parent_process.product_specific_process_id

2023-02-16

Melhoria:

• O campo AssociatedFile foi mapeado para security_result.detection_fields[n].value, e o security_result.detection_fields[n].key foi mapeado para AssociatedIOCFile.

2023-02-09

Melhoria:

• Os campos mapeados em target.labels foram remapeados para target.resource.attribute.labels.
• O mapeamento de ManagedPdbBuildPath foi corrigido para target.resource.attribute.labels.

2023-02-09

Melhoria:

• Os campos mapeados em target.labels foram remapeados para target.resource.attribute.labels.
• O mapeamento de ManagedPdbBuildPath foi corrigido para target.resource.attribute.labels.

2023-01-15

Correção de bugs:

• aid foi remapeado para o evento UserLogonFailed para target.asset_id em principal.asset_id.

2023-01-13

Melhoria:

• Nome do usuário associado a principal.user.userid para event_type ScheduledTaskModified e ScheduledTaskRegistered.
• AssemblyName,ManagedPdbBuildPath,ModuleILPath mapeados para target.labels quando metadata.product_event_type = ReflectiveDotnetModuleLoad
• VirtualDriveFileName,VolumeName mapeados para target.labels quando metadata.product_event_type = RemovableMediaVolumeMounted
• ImageFileName mapeado para target.file.full_path quando metadata.product_event_type = ClassifiedModuleLoad

2023-01-13

Melhoria:

• Nome do usuário associado a principal.user.userid para event_type ScheduledTaskModified e ScheduledTaskRegistered.
• AssemblyName,ManagedPdbBuildPath,ModuleILPath mapeados para target.labels quando metadata.product_event_type = ReflectiveDotnetModuleLoad
• VirtualDriveFileName,VolumeName mapeados para target.labels quando metadata.product_event_type = RemovableMediaVolumeMounted
• ImageFileName mapeado para target.file.full_path quando metadata.product_event_type = ClassifiedModuleLoad

2023-01-02

Melhoria:

• Nome do usuário associado a principal.user.userid para event_type ScheduledTaskModified e ScheduledTaskRegistered.

2022-12-22

Melhoria:

• RemoteAddressIP4 foi mapeado para principal.ip para event_type=Userlogonfailed2

2022-11-04

Melhoria:

• GrandparentImageFileName foi mapeado para principal.process.parent_process.parent_process.file.full_path.
• Mapeou GrandparentCommandLine para principal.process.parent_process.parent_process.commamdLine

2022-11-03

Correção de bugs:

• Quando event_simpleName é InstalledApplication, os parâmetros abaixo são mapeados.
• AppName foi mapeado para principal.asset.software.name.
• AppVersion foi mapeado para principal.asset.software.version.

2022-10-12

Correção de bugs:

• discoverer_aid foi mapeado para resource.attribute.labels.
• NeighborName foi mapeado para intermediary.hostname.
• subnet foi mapeado para additional.fields.
• localipCount foi mapeado para additional.fields.
• aipCount foi mapeado para additional.fields.
• Foi adicionada uma verificação condicional para LogonServer

2022-10-07

Correção de bugs:

• O mapeamento de CommandLine foi modificado de principal.process.command_line para target.process.command_line.

2022-09-13

Correção de bugs:

• Mapeamos metadata.event_type para REGISTRY_CREATION, em que RegOperationType é 3.
• O event_type foi mapeado para REGISTRY_DELETION, em que RegOperationType é 4 ou 102.
• O event_type foi mapeado para REGISTRY_MODIFICATION, em que RegOperationType é 5,7,9,101 ou 1.
• O event_type foi associado a REGISTRY_UNCATEGORIZED, em que RegOperationType não é nulo e não está em todos os casos acima.

2022-09-02

Melhoria:

• Defina o campo UserPrincipal nos dados de estado.

2022-08-30

Melhoria:

• Definiu o campo UserPrincipal nos dados de estado.

21/08/2022

Melhoria:

• ActivityId foi mapeado para additional.fields.
• SourceEndpointHostName foi mapeado para principal.hostname.
• SourceAccountObjectSid foi mapeado para principal.user.windows_sid.
• Condição adicionada para analisar LocalAddressIP4 e aip.
• Mapeou metadata.event_type para STATUS_UPDATE, em que ComputerName e LocalAddressIP4 não são nulos.
• SourceEndpointAccountObjectGuid foi mapeado para metadata.product_log_id.
• SourceEndpointAccountObjectSid foi mapeado para target.user.windows_sid.
• SourceEndpointHostName foi mapeado para principal.hostname.

18/08/2022

Correção de bugs:

• Mapeou os seguintes campos:
• event.PatternDispositionValue para security_result.about.labels.
• event.ProcessId para principal.process.product_specific_process_id.
• event.ParentProcessId para target.process.parent_process.pid.
• event.ProcessStartTime para security_result.detection_fields.
• event.ProcessEndTime para security_result.detection_fields.
• event.ComputerName para principal.hostname.
• event.UserName para principal.user.userid.
• event.DetectName para security_result.threat_name.
• event.DetectDescription para security_result.description.
• event.SeverityName para security_result.severity.
• event.FileName para target.file.full_path.
• event.FilePath para target.file.full_path.
• event.CommandLine para principal.process.command_line.
• event.SHA256String para target.file.sha256.
• event.MD5String para security_result.about.file.md5.
• event.MachineDomain para principal.administrative_domain.
• event.FalconHostLink para intermediary.url.
• event.LocalIP para principal.ip.
• event.MACAddress para principal.mac.
• event.Tactic para security_result.detection_fields.
• event.Technique para security_result.detection_fields.
• event.Objective para security_result.rule_name.
• event.PatternDispositionDescription para security_result.summary.
• event.ParentImageFileName para principal.process.parent_process.file.full_path.
• event.ParentCommandLine para principal.process.parent_process.command_line.

2022-07-29

Melhoria:

• event_category,event_module,Hmac foi mapeado para additional.fields.
• user_name foi mapeado para principal.user.userid.
• event_source foi mapeado para target.application.
• O grok para auth_group and new logs foi adicionado.
• Foi adicionada uma verificação para principal_ip,target_ip and event_type.

2022-07-25

Correção de bugs:

• Mapeamento de metadata.event_type para USER_RESOURCE_ACCESS, em que eventType é K8SDetectionEvent
• Mapeou metadata.event_type para STATUS_UPDATE, em que metadata.event_type é nulo e principal.asset_id não é nulo.
• Mapeou SourceAccountDomain para principal.administrative_domain
• Mapeou SourceAccountName para principal.user.userid
• metadata.event_type foi associado a STATUS_UPDATE, em que EventType é Event_ExternalApiEvent e OperationName está em [quarantined_file_update, detection_update, update_rule].
• metadata.event_type mapeado para USER_RESOURCE_ACCESS, em que FilePath é nulo e FileName é nulo ou AgentIdString é nulo.
• Mapeou metadata.event_type para STATUS_UPDATE, em que o protocolo é nulo.
• Adição de uma verificação condicional para MD5String, SHA256String, CommandLine, AgentIdString, ProcessId, ParentProcessId, FilePath e FileName.

2022-07-12

Melhoria:

• Para event_simpleName: DriverLoad,ProcessRollup,PeVersionInfo,PeFileWritten,TemplateDetectAnalysis,ScriptControlDetectInfo.
• OriginalFilename foi mapeado para principal.process.file.full_path

2022-06-20

Melhoria:

• ConfigBuild foi mapeado para security_result.detection_fields.
• EffectiveTransmissionClass foi mapeado para security_result.detection_fields.
• Entitlements foi mapeado para security_result.detection_fields.

2022-06-14

Melhoria:

• Mapeou CompanyName para target.user.company_name
• Mapeou AccountType para target.user.role_description
• Mapeou ProductVersion para metadata.product_version
• Mapeou LogonInfo para principal.ip
• Mapeou MAC para principal.mac
• Mapeou UserSid_readable para target.user.windows_sid
• Mapeou FileName para target.file.full_path
• Mapeou _time para metadata.event_timestamp
• Adição de uma verificação condicional para MD5HashData, SHA256HashData, UserName, id, RegObjectName, RegStringValue, RegValueName, UserSid, TargetFileName e aid.

2022-06-02

Correção de bugs:

• O nome da chave e o caractere de dois pontos foram removidos de security_result.detection_fields.value.

2022-05-27

Melhoria:

• Mapeamento adicional: SHA256String e MD5String para security_result.about.file para aparecer como evento de alerta.

2022-05-20

Melhoria:

• LinkName foi mapeado para target.resource.attribute.labels.
• As possíveis ocorrências de GENERIC_EVENTS foram trocadas por STATUS_UPDATE.
• Adicionamos o caractere de barra invertida entre o processo e o diretório raiz pai.
• Plataforma analisada se event_platform for iOS.
• O recurso resource.type foi alterado para resource_type.

2022-05-12

Melhoria:

• resourceName mapeado para target.resource.name
• resourceId mapeado para target.resource.product_object_id
• Namespace mapeado para target.namespace
• Categoria mapeada para security_result.category_details
• descrição mapeada para security_result.description
• sourceAgent mapeado para network.http.user_agent
• Gravidade mapeada para security_result.severity
• resourceKind mapeado para target.resource.type
• detectionName mapeado para target.resource.name
• clusterName mapeado para target.resource.attribute.labels
• clusterId mapeado para target.resource.attribute.labels
• detectionId mapeado para target.resource.attribute.labels
• Tipo mapeado para additional.fields
• Correção para additional.fields
• Comparações com outros produtos para additional.fields
• badResources para additional.fields

2022-04-27

Correção de bugs:

• O event_type do udm mudou de GENERIC_EVENT para USER_LOGIN para registros com ExternalApiType = Event_AuthActivityAuditEvent.
• Os mapeamentos de target_user, actor_user e actor_user_uuid foram alterados de additional.fields para target.user.email_addresses, target.user.user_display_name e target.user.userid, respectivamente.

2022-04-25

Melhoria:

• RemoteAddressIP4 foi associado a principal.ip.

2022-04-14

Correção de bugs:

• Foi adicionado suporte ao campo "ScriptContent" para todos os tipos de registros.

13/04/2022

Melhoria:

• Mapeamentos adicionados para novos campos
• Foram adicionados novos mapeamentos de eventos: AuthenticationPackage mapeado para target.resource.name

2022-04-04

Correção de bugs:

• OriginatingURL foi mapeado para principal.url para eventos NetworkConnect.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.