在 CEF 中收集 CrowdStrike Falcon 日志

支持的平台:

本文档介绍了如何使用 Bindplane 收集 CEF 格式的 CrowdStrike Falcon 日志。解析器会提取键值对并将其映射到统一数据模型 (UDM),处理不同的分隔符,并使用严重程度和事件类型等其他上下文丰富数据。它还会针对特定事件类型和字段(例如用户登录和安全结果)执行特定转换。

准备工作

  • 确保您有一个 Google Security Operations 实例。
  • 确保您使用的是 Windows 2016 或更高版本,或者使用了 systemd 的 Linux 主机。
  • 如果在代理后面运行,请确保防火墙端口处于打开状态。
  • 确保您拥有对 CrowdStrike Falcon 控制台的特权访问权限。
  • 获取 Falcon Stream 的 API 凭据(客户端 ID 和客户端密钥)。

获取 Google SecOps 提取身份验证文件

  1. 登录 Google SecOps 控制台。
  2. 依次前往 SIEM 设置 > 收集代理
  3. 下载提取身份验证文件。将该文件安全地保存在将安装 BindPlane 的系统上。

获取 Google SecOps 客户 ID

  1. 登录 Google SecOps 控制台。
  2. 依次选择 SIEM 设置 > 配置文件
  3. 复制并保存组织详细信息部分中的客户 ID

安装 Bindplane 代理

Windows 安装

  1. 以管理员身份打开命令提示符PowerShell

  2. 运行以下命令:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 安装

  1. 打开具有 root 或 sudo 权限的终端。

  2. 运行以下命令:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安装资源

  • 如需了解其他安装选项,请参阅此安装指南

配置 Bindplane 代理以提取 Syslog 并将其发送到 Google SecOps

  1. 访问配置文件:

    1. 找到 config.yaml 文件。通常,在 Linux 上,该目录位于 /etc/bindplane-agent/ 目录中;在 Windows 上,该目录位于安装目录中。
    2. 使用文本编辑器(例如 nanovi 或记事本)打开该文件。

  2. 按如下方式修改 config.yaml 文件:

    receivers:
    tcplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:54525"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: SYSLOG
            namespace: cs_falcon
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

  3. 根据基础架构中的需要替换端口和 IP 地址。

  4. <customer_id> 替换为实际的客户 ID。

  5. 获取 Google SecOps 提取身份验证文件部分,将 /path/to/ingestion-authentication-file.json 更新为身份验证文件的保存路径。

重启 Bindplane 代理以应用更改

  • 如需在 Linux 中重启 Bindplane 代理,请运行以下命令:

    sudo systemctl restart bindplane-agent

  • 如需在 Windows 中重启 Bindplane 代理,您可以使用服务控制台,也可以输入以下命令:

    net stop BindPlaneAgent && net start BindPlaneAgent

配置并获取 CrowdStrike API 密钥

  1. 使用特权账号登录 CrowdStrike Falcon
  2. 依次点击菜单 > 支持
  3. 依次点击 API 客户端 > 密钥
  4. 点击添加新的 API 客户端
  5. API 范围部分中,依次选择事件串流提醒 > 启用读取选项。
  6. 点击添加
  7. 复制并保存客户端 ID密钥基本网址

安装 Falcon SIEM Connector

  1. 下载适用于您的操作系统的 RPM 安装程序软件包。

  2. 软件包安装:

    • CentOS 操作系统:

      sudo rpm -Uvh <installer package>

    • Ubuntu 操作系统:

      sudo dpkg -i <installer package>

  3. 默认安装目录:

    • Falcon SIEM Connector - /opt/crowdstrike/
    • 服务 - /etc/init.d/cs.falconhoseclientd/

配置 SIEM 连接器以将 CEF 日志转发到 BindPlane

  1. sudo 用户身份登录安装了 SIEM Connector 的机器。
  2. 转到 /opt/crowdstrike/etc/ 目录。
  3. cs.falconhoseclient.cef.cfg 重命名为 cs.falconhoseclient.cfg
    • SIEM Connector 默认使用 cs.falconhoseclient.cfg 配置。
  4. 修改 cs.falconhoseclient.cfg 文件并修改/设置以下参数:
    • api_url: - 您在上一步中复制的 CrowdStrike Falcon 基本网址。
    • app_id: - 用于连接到 Falcon Streaming API 的标识符(例如,设置为 app_id: SECOPS-CEF)的任何字符串。
    • client_id: - 从上一步复制的 client_id 值。
    • client_secret: - 从上一步复制的 client_secret 值。
    • send_to_syslog_server: true - 启用对 Syslog 服务器的推送。
    • host: - Bindplane 代理的 IP 地址或主机名。
    • port: - Bindplane 代理的端口。
  5. 保存 cs.falconhoseclient.cfg 文件。

  6. 启动 SIEM 连接器服务:

    • CentOS 操作系统

      sudo service cs.falconhoseclientd start

    • Ubuntu 16.04 或更高版本的操作系统

      sudo systemctl start cs.falconhoseclientd.service

  7. 可选:停止 SIEM 连接器服务:

    • CentOS 操作系统

      sudo service cs.falconhoseclientd stop

    • Ubuntu 16.04 或更高版本的操作系统

      sudo systemctl stop cs.falconhoseclientd.service

  8. 可选:重启 SIEM 连接器服务:

    • CentOS 操作系统

      sudo service cs.falconhoseclientd restart

    • Ubuntu 16.04 或更高版本的操作系统

      sudo systemctl restart cs.falconhoseclientd.service

UDM 映射表

日志字段 UDM 映射 逻辑
AccountCreationTimeStamp event.idm.read_only_udm.metadata.event_timestamp 原始日志字段 AccountCreationTimeStamp 已重命名为 event.idm.read_only_udm.metadata.event_timestamp
AccountDomain event.idm.read_only_udm.principal.administrative_domain 原始日志字段 AccountDomain 已重命名为 event.idm.read_only_udm.principal.administrative_domain
AccountObjectGuid event.idm.read_only_udm.metadata.product_log_id 原始日志字段 AccountObjectGuid 已重命名为 event.idm.read_only_udm.metadata.product_log_id
AccountObjectSid event.idm.read_only_udm.principal.user.windows_sid 原始日志字段 AccountObjectSid 已重命名为 event.idm.read_only_udm.principal.user.windows_sid
AccessType - 未映射到 IDM 对象。
action_taken event.idm.read_only_udm.additional.fields[0].value.string_value AuditKeyValues 数组的一部分。
ActiveCpuCount - 未映射到 IDM 对象。
ActiveDirectoryAuthenticationMethod - 未映射到 IDM 对象。
ActiveDirectoryDataProtocol - 未映射到 IDM 对象。
AddressFamily - 未映射到 IDM 对象。
AdminStatus - 未映射到 IDM 对象。
AllocateVirtualMemoryCount security_result.detection_fields[0].value EndOfProcess 事件的一部分。
agent-windows event.idm.read_only_udm.target.file.full_path TargetFileName 的一部分。
AgentIdString event.idm.read_only_udm.principal.asset_id 前缀为 CS:
AgentLoadFlags - 未映射到 IDM 对象。
AgentLocalTime - 未映射到 IDM 对象。
AgentOnline AgentTimeOffset - 未映射到 IDM 对象。
AgentVersion AggregationActivityCount AggregationEarliestTimestamp - 未映射到 IDM 对象。
aid event.idm.read_only_udm.principal.asset_id 前缀为 CS:
aip event.idm.read_only_udm.principal.nat_ip _aid_is_target 为 false 时,如果 aip 不为 null,则创建一个值为 aip 的 IP 实体并将其添加到 event.idm.read_only_udm.principal.nat_ip
aipCount AllocVmEtw AllocationType - 未映射到 IDM 对象。
AllowHardTerminate - 未映射到 IDM 对象。
AllowStartOnDemand - 未映射到 IDM 对象。
ApcArgument1 - 未映射到 IDM 对象。
ApcArgument2 - 未映射到 IDM 对象。
ApcContextAddress - 未映射到 IDM 对象。
ApcContextFileName - 未映射到 IDM 对象。
ApcContext - 未映射到 IDM 对象。
ApplicationName ApplicationUniqueIdentifier - 未映射到 IDM 对象。
ApplicationVersion - 未映射到 IDM 对象。
AppIs64Bit - 未映射到 IDM 对象。
AppName AppPath AppPathFlag - 未映射到 IDM 对象。
AppProductId - 未映射到 IDM 对象。
AppType - 未映射到 IDM 对象。
AppUpdateIds - 未映射到 IDM 对象。
AppVendor - 未映射到 IDM 对象。
AppVersion ArchiveFileWrittenCount security_result.detection_fields[0].value EndOfProcess 事件的一部分。
AsepClass - 未映射到 IDM 对象。
AsepFileChange AsepFlags - 未映射到 IDM 对象。
AsepIndex - 未映射到 IDM 对象。
AsepKeyUpdate AsepValueUpdate AsepValueType - 未映射到 IDM 对象。
AsepWrittenCount security_result.detection_fields[0].value EndOfProcess 事件的一部分。
AssociateIndicator AssociateTreeIdWithRoot AssemblyFlags - 未映射到 IDM 对象。
AssemblyId - 未映射到 IDM 对象。
AssemblyName AuthenticationId event.idm.read_only_udm.principal.user.product_object_id 前缀为 CS:
AuthenticationPackage AuthenticationUuid - 未映射到 IDM 对象。
AuthenticationUuidAsString - 未映射到 IDM 对象。
AuthenticodeHashData AuthenticodeMatch automated_remediation assessments.automated_remediation ZeroTrustHostAssessment 事件的一部分。
BaseReachableTime - 未映射到 IDM 对象。
BaseTime - 未映射到 IDM 对象。
BatchDataNumber - 未映射到 IDM 对象。
BatchDataTotal - 未映射到 IDM 对象。
BatchTimestamp BatteryLevel - 未映射到 IDM 对象。
BatteryStatus - 未映射到 IDM 对象。
BehaviorWhitelisted benchmarks BenignCount - 未映射到 IDM 对象。
beta_build_disabled assessments.beta_build_disabled ZeroTrustHostAssessment 事件的一部分。
BinaryExecutableWrittenCount security_result.detection_fields[0].value EndOfProcess 事件的一部分。
BillingInfo BillingType - 未映射到 IDM 对象。
BiosManufacturer BiosReleaseDate - 未映射到 IDM 对象。
BiosVersion BITSJobCreated BootArgs - 未映射到 IDM 对象。
BootId - 未映射到 IDM 对象。
BootStatusDataAabEnabled - 未映射到 IDM 对象。
BootStatusDataBootAttemptCount - 未映射到 IDM 对象。
BootStatusDataBootGood - 未映射到 IDM 对象。
BootStatusDataBootShutdown - 未映射到 IDM 对象。
BootTimeFunctionalityLevel - 未映射到 IDM 对象。
BrowserInjectedThread BundleID - 未映射到 IDM 对象。
CallStackModuleNames CallStackModuleNamesVersion ChannelId - 未映射到 IDM 对象。
ChannelVersion - 未映射到 IDM 对象。
ChannelVersionRequired ChasisManufacturer - 未映射到 IDM 对象。
ChassisType cid City CLICreationCount security_result.detection_fields[0].value EndOfProcess 事件的一部分。
ClassifiedModuleLoad CloudAssociateTreeIdWithRoot CloudErrorCode - 未映射到 IDM 对象。
CNAMERecords CodeIntegrity - 未映射到 IDM 对象。
CommandLine CommandSequence - 未映射到 IDM 对象。
CompletionEventId - 未映射到 IDM 对象。
ComputerName event.idm.read_only_udm.principal.hostnameevent.idm.read_only_udm.principal.asset.hostname 如果 ComputerName 不为 null、空字符串或短划线,请创建一个值为 ComputerName 的主机名实体,并将其添加到 event.idm.read_only_udm.principal.hostnameevent.idm.read_only_udm.principal.asset.hostname
ConfigBuild ConfigIDBase - 未映射到 IDM 对象。
ConfigIDBuild - 未映射到 IDM 对象。
ConfigIDPlatform - 未映射到 IDM 对象。
ConfigurationVersion - 未映射到 IDM 对象。
ConfigStateData - 未映射到 IDM 对象。
ConfigStateHash ConfigStateUpdate ConnectTime - 未映射到 IDM 对象。
ConnectType - 未映射到 IDM 对象。
Connected - 未映射到 IDM 对象。
ConnectionCipher - 未映射到 IDM 对象。
ConnectionCipherStrength - 未映射到 IDM 对象。
ConnectionDirection - 未映射到 IDM 对象。
ConnectionExchange - 未映射到 IDM 对象。
ConnectionExchangeStrength - 未映射到 IDM 对象。
ConnectionFlags - 未映射到 IDM 对象。
ConnectionHash - 未映射到 IDM 对象。
ConnectionHashStrength - 未映射到 IDM 对象。
ConnectionProtocol - 未映射到 IDM 对象。
ConnectionType - 未映射到 IDM 对象。
Continent ContentSHA256HashData ContextData - 未映射到 IDM 对象。
ContextProcessId event.idm.read_only_udm.principal.process.product_specific_process_idevent.idm.read_only_udm.target.process.product_specific_process_id 前缀为 CS:%{cid}:%{aid}:
ContextThreadId - 未映射到 IDM 对象。
ContextTimeStamp ContextTimeStamp_decimal Country CrashDumpFilePath - 未映射到 IDM 对象。
CrashNotification CreateProcessArgs CreateProcessCount security_result.detection_fields[0].value EndOfProcess 事件的一部分。
CreateService CreateThreadNoStartImage CreationTimeStamp - 未映射到 IDM 对象。
CriticalFileAccessed CriticalFileModified CsaProcessDataCollectionInstanceId - 未映射到 IDM 对象。
CurrentFunctionalityLevel - 未映射到 IDM 对象。
CurrentLocalIP - 未映射到 IDM 对象。
CurrentSystemTags CustomerIdString CycleTime - 未映射到 IDM 对象。
DadState - 未映射到 IDM 对象。
DadTransmits - 未映射到 IDM 对象。
DcName event.idm.read_only_udm.principal.user.userid 原始日志字段 DcName 已重命名为 event.idm.read_only_udm.principal.user.userid
DcNumAttachments - 未映射到 IDM 对象。
DcNumBlockingPolicies - 未映射到 IDM 对象。
DcOnline DcPropertyIdInterfaceType - 未映射到 IDM 对象。
DcPropertyIdInterfaceVersion - 未映射到 IDM 对象。
DcSensorInterfaceType - 未映射到 IDM 对象。
DcSensorInterfaceVersion - 未映射到 IDM 对象。
DcStatus DcUsbConfigurationDescriptor DcUsbDeviceConnected DcUsbDeviceDisconnected DcUsbEndpointDescriptor DcUsbHIDDescriptor DcUsbInterfaceDescriptor DCSyncAttempted Debug - 未映射到 IDM 对象。
DefaultGatewayIP4 - 未映射到 IDM 对象。
DefaultGatewayIP6 - 未映射到 IDM 对象。
DefaultGatewayPhysicalAddress - 未映射到 IDM 对象。
DeepHashBlacklistClassification DeepHashBlacklistVersion - 未映射到 IDM 对象。
DeliverLocalFXToCloud DesiredAccess detectionId detectionName DetectDescription DetectId - 未映射到 IDM 对象。
DetectName DeviceActiveConfigurationNumber - 未映射到 IDM 对象。
DeviceConnectionStatus - 未映射到 IDM 对象。
DeviceDescriptorNumber - 未映射到 IDM 对象。
DeviceDescriptorSetHash - 未映射到 IDM 对象。
DeviceDescriptorUniqueIdentifier - 未映射到 IDM 对象。
DeviceId - 未映射到 IDM 对象。
DeviceInstanceId event.idm.read_only_udm.target.asset_id 前缀为 Device Instance Id:
DeviceManufacturer DeviceProduct DeviceProductId - 未映射到 IDM 对象。
DevicePropertyClassName - 未映射到 IDM 对象。
DevicePropertyClassGuid - 未映射到 IDM 对象。
DevicePropertyDeviceDescription DevicePropertyFriendlyName - 未映射到 IDM 对象。
DevicePropertyLocationInformation DevicePropertyManufacturer - 未映射到 IDM 对象。
DeviceProtocol - 未映射到 IDM 对象。
DeviceSerialNumber DeviceTimeStamp DeviceType - 未映射到 IDM 对象。
DeviceUsbClass - 未映射到 IDM 对象。
DeviceUsbSubclass - 未映射到 IDM 对象。
DeviceUsbVersion - 未映射到 IDM 对象。
DeviceVendorId - 未映射到 IDM 对象。
DeviceVersion - 未映射到 IDM 对象。
DirectoryCreate DirectoryCreatedCount security_result.detection_fields[0].value EndOfProcess 事件的一部分。
DirectoryEnumeratedCount security_result.detection_fields[0].value EndOfProcess 事件的一部分。
DisableRealtimeMonitoring DisallowStartIfOnBatteries - 未映射到 IDM 对象。
DisallowStartOnRemoteAppSession - 未映射到 IDM 对象。
DiskParentDeviceInstanceId DllCharacteristics - 未映射到 IDM 对象。
DllInjection DlpPolicy - 未映射到 IDM 对象。
DlpVerdict - 未映射到 IDM 对象。
DmpFileWritten DnsRequest DnsRequestCount security_result.detection_fields[0].value EndOfProcess 事件的一部分。
DnsResponseType - 未映射到 IDM 对象。
DnsResponseTtl - 未映射到 IDM 对象。
DocumentFileWrittenCount security_result.detection_fields[0].value EndOfProcess 事件的一部分。
DomainName event.idm.read_only_udm.target.hostnameevent.idm.read_only_udm.target.asset.hostnameevent.idm.read_only_udm.network.dns.questions[0].name 如果 DomainName 不为 null,请创建一个值为 DomainName 的主机名实体,并将其添加到 event.idm.read_only_udm.target.hostnameevent.idm.read_only_udm.target.asset.hostnameevent.idm.read_only_udm.network.dns.questions[0].name
DotnetModuleFlags - 未映射到 IDM 对象。
DotnetModuleId - 未映射到 IDM 对象。
DotnetModuleLoadDetectInfo DownloadPath - 未映射到 IDM 对象。
DownloadPort - 未映射到 IDM 对象。
DownloadServer DriverLoad DualRequest - 未映射到 IDM 对象。
EffectiveTransmissionClass Effective - 未映射到 IDM 对象。
EfiSupported - 未映射到 IDM 对象。
EfiVariableCustomMode - 未映射到 IDM 对象。
EfiVariableCustomModeAttributes - 未映射到 IDM 对象。
EfiVariableDbAttributes - 未映射到 IDM 对象。
EfiVariableDbxAttributes - 未映射到 IDM 对象。
EfiVariableDbxSha256Hash - 未映射到 IDM 对象。
EfiVariableKekAttributes - 未映射到 IDM 对象。
EfiVariableKekSha256Hash - 未映射到 IDM 对象。
EfiVariablePkAttributes - 未映射到 IDM 对象。
EfiVariablePkSha256Hash - 未映射到 IDM 对象。
EfiVariableSecureBoot - 未映射到 IDM 对象。
EfiVariableSecureBootAttributes - 未映射到 IDM 对象。
EfiVariableSetupMode - 未映射到 IDM 对象。
EfiVariableSetupModeAttributes - 未映射到 IDM 对象。
EfiVariableSignatureSupport - 未映射到 IDM 对象。
EfiVariableSignatureSupportAttributes - 未映射到 IDM 对象。
EndpointDescriptorAddress - 未映射到 IDM 对象。
EndpointDescriptorAttributes - 未映射到 IDM 对象。
EndpointDescriptorInterval - 未映射到 IDM 对象。
EndpointDescriptorMaxPacketSize - 未映射到 IDM 对象。
EndOfProcess Entitlements ErrorEvent ErrorCode - 未映射到 IDM 对象。
ErrorLocation - 未映射到 IDM 对象。
ErrorReason - 未映射到 IDM 对象。
ErrorSource - 未映射到 IDM 对象。
ErrorStatus - 未映射到 IDM 对象。
ErrorText - 未映射到 IDM 对象。
EventLogCleared EventMax - 未映射到 IDM 对象。
EventMin - 未映射到 IDM 对象。
EventOrigin - 未映射到 IDM 对象。
EventType event.idm.read_only_udm.metadata.product_event_type 如果 event_simpleName 为 null 且 EventType 不为 null,请创建一个值为 EventType 的 product_event_type 实体,并将其添加到 event.idm.read_only_udm.metadata.product_event_type
EtwErrorEvent EtwRawProcessId - 未映射到 IDM 对象。
EtwRawThreadId - 未映射到 IDM 对象。
ExecutableDeleted ExecutableDeletedCount security_result.detection_fields[0].value EndOfProcess 事件的一部分。
ExeAndServiceCount security_result.detection_fields[0].value EndOfProcess 事件的一部分。
ExitCode - 未映射到 IDM 对象。
Exploit ExternalApiType event.idm.read_only_udm.metadata.product_event_typeevent.idm.read_only_udm.extensions.auth.auth_details 如果 message 包含 event1,则 ExternalApiType 会重命名为 event.idm.read_only_udm.metadata.product_event_type。否则,该值会重命名为 event.idm.read_only_udm.extensions.auth.auth_details
Facility - 未映射到 IDM 对象。
FailedConnectCount - 未映射到 IDM 对象。
FalconHostLink FalconServiceComponent - 未映射到 IDM 对象。
FalconServiceServletErrors - 未映射到 IDM 对象。
FalconServiceServletStarts - 未映射到 IDM 对象。
FalconServiceState - 未映射到 IDM 对象。
FalconServiceStatus FeatureExtractionVersion - 未映射到 IDM 对象。
FeatureVector - 未映射到 IDM 对象。
File - 未映射到 IDM 对象。
FileAttributes - 未映射到 IDM 对象。
FileCreateInfo FileDeletedCount security_result.detection_fields[0].value EndOfProcess 事件的一部分。
FileDeleteInfo FileEcpBitmask - 未映射到 IDM 对象。
FileEventType - 未映射到 IDM 对象。
FileIdentifier FileObject - 未映射到 IDM 对象。
FileName FileOpenInfo FileRenameInfo FileSigningTime - 未映射到 IDM 对象。
FirewallAction - 未映射到 IDM 对象。
FirewallChangeOption FirewallDeleteRule FirewallDeleteRuleIP4 FirewallDeleteRuleIP6 FirewallEnabled FirewallOption FirewallOptionNumericValue - 未映射到 IDM 对象。
FirewallProfile - 未映射到 IDM 对象。
FirewallRule FirewallRuleId FirewallSetRule FirewallSetRuleIP4 FirewallSetRuleIP6 FirmwareAnalysisErrorEvent FirmwareAnalysisErrorLocation - 未映射到 IDM 对象。
FirmwareAnalysisErrorReason - 未映射到 IDM 对象。
FirmwareAnalysisErrorSource - 未映射到 IDM 对象。
FirmwareAnalysisHardwareData FirmwareAnalysisStatus FirmwareAnalysisCpuSupported - 未映射到 IDM 对象。
FirmwareAnalysisEclControlInterfaceVersion - 未映射到 IDM 对象。
FirmwareAnalysisEclConsumerInterfaceVersion - 未映射到 IDM 对象。
FirmwareImageAnalyzed FirmwareRegionMeasured FirmwareSize - 未映射到 IDM 对象。
FirmwareType - 未映射到 IDM 对象。
FirstDiscoveredDate - 未映射到 IDM 对象。
FirstIP4Record Flags - 未映射到 IDM 对象。
FltCallbackData - 未映射到 IDM 对象。
FltCompletionContext - 未映射到 IDM 对象。
FltRelatedObjects - 未映射到 IDM 对象。
FontBuffer - 未映射到 IDM 对象。
FontBufferLength - 未映射到 IDM 对象。
FontFileCount - 未映射到 IDM 对象。
FontFileName FontLoadOperation - 未映射到 IDM 对象。
FsOperationBlocked event1.PatternDispositionFlags.FsOperationBlocked 属于 Event_DetectionSummaryEvent
FsPostOpenSnapshotFile FsVolumeMounted FsVolumeUnmounted FullContext - 未映射到 IDM 对象。
FullExceptionRecord - 未映射到 IDM 对象。
GcpCreationTimestamp GenericFileWrittenCount security_result.detection_fields[0].value EndOfProcess 事件的一部分。
GID - 未映射到 IDM 对象。
GrandparentCommandLine GrandparentImageFileName GrandParentBaseFileName GroupIdentity GroupRid GzipFileWritten HandleCreated - 未映射到 IDM 对象。
HIDDescriptorCountryCode - 未映射到 IDM 对象。
HIDDescriptorNumDescriptors - 未映射到 IDM 对象。
HIDDescriptorVersion - 未映射到 IDM 对象。
HIPHandlers.dll event.idm.read_only_udm.target.file.full_path TargetFileName 的一部分。
HostGroups - 未映射到 IDM 对象。
HostHiddenStatus HostInfo HostnameChanged hostname HostProcessType - 未映射到 IDM 对象。
HostUrl HttpRequestDetect HttpRequestHeader HttpUrl IcmpCode - 未映射到 IDM 对象。
IcmpType - 未映射到 IDM 对象。
id IdleSettings - 未映射到 IDM 对象。
ImageFileName ImageSubsystem - 未映射到 IDM 对象。
Image - 未映射到 IDM 对象。
ImpersonatedUserName InBroadcastOctets - 未映射到 IDM 对象。
InContext - 未映射到 IDM 对象。
InDiscards - 未映射到 IDM 对象。
Indicator event1.PatternDispositionFlags.Indicator 属于 Event_DetectionSummaryEvent
InddetMask event1.PatternDispositionFlags.InddetMask 属于 Event_DetectionSummaryEvent
InErrors - 未映射到 IDM 对象。
Information - 未映射到 IDM 对象。
InjectedDll InjectedThread InjectedThreadCount security_result.detection_fields[0].value EndOfProcess 事件的一部分。
InjectedThreadFlag - 未映射到 IDM 对象。
InMulticastOctets - 未映射到 IDM 对象。
InNUcastPkts - 未映射到 IDM 对象。
InOctets - 未映射到 IDM 对象。
InstallDate - 未映射到 IDM 对象。
InstalledApplication InstalledUpdateExtendedStatus - 未映射到 IDM 对象。
InstalledUpdateIds - 未映射到 IDM 对象。
InstalledUpdates InstanceMetadata InstanceMetadataProvider - 未映射到 IDM 对象。
InstanceMetadataRequest - 未映射到 IDM 对象。
InstanceMetadataSignature - 未映射到 IDM 对象。
InUcastOctets - 未映射到 IDM 对象。
InUcastPkts - 未映射到 IDM 对象。
InUnknownProtos - 未映射到 IDM 对象。
IntegrityLevel - 未映射到 IDM 对象。
InterfaceAlias - 未映射到 IDM 对象。
InterfaceDescription - 未映射到 IDM 对象。
InterfaceFlags - 未映射到 IDM 对象。
InterfaceGuid - 未映射到 IDM 对象。
InterfaceIdentifier - 未映射到 IDM 对象。
InterfaceIndex - 未映射到 IDM 对象。
InterfaceMtu - 未映射到 IDM 对象。
InterfaceType - 未映射到 IDM 对象。
InterfaceVersion - 未映射到 IDM 对象。
InjectedDllCount security_result.detection_fields[0].value EndOfProcess 事件的一部分。
InjectedThreadFlag - 未映射到 IDM 对象。
InkDiv.dll event.idm.read_only_udm.target.file.full_path 属于 ExecutablesWritten
InkObj.dll event.idm.read_only_udm.target.file.full_path 属于 ExecutablesWritten
InMulticastPkts - 未映射到 IDM 对象。
InOctets - 未映射到 IDM 对象。
InUcastPkts - 未映射到 IDM 对象。
IOARuleGroupName IOARuleInstanceID - 未映射到 IDM 对象。
IOARuleInstanceVersion - 未映射到 IDM 对象。
IOARuleName IOServiceClass - 未映射到 IDM 对象。
IOServiceName - 未映射到 IDM 对象。
IOServicePath - 未映射到 IDM 对象。
IOServiceProperties - 未映射到 IDM 对象。
IOServiceRegister IoSessionConnected IoSessionLoggedOn IpEntryFlags - 未映射到 IDM 对象。
IrpFlags - 未映射到 IDM 对象。
IsCpuDataCommonOnAllCores - 未映射到 IDM 对象。
IsNorthBridgeSupported - 未映射到 IDM 对象。
IsOnClearCaseMvfs - 未映射到 IDM 对象。
IsOnNetwork IsOnRemovableDisk IsOn - 未映射到 IDM 对象。
IsRemote - 未映射到 IDM 对象。
IsSouthBridgeSupported - 未映射到 IDM 对象。
IsTransactedFile - 未映射到 IDM 对象。
IsUnique - 未映射到 IDM 对象。
JavaInjectedThread JarFileWritten KernelModeLoadImage KernelTime - 未映射到 IDM 对象。
KextUnload K8SCreationTimestamp K8SDetectionEvent LanguageId - 未映射到 IDM 对象。
LastAdded - 未映射到 IDM 对象。
LastDiscoveredBy - 未映射到 IDM 对象。
LastDisplayed - 未映射到 IDM 对象。
LastLoggedOnHost - 未映射到 IDM 对象。
LastUpdateInstalledTime - 未映射到 IDM 对象。
LateralMovement - 未映射到 IDM 对象。
LdapSearchAttributes - 未映射到 IDM 对象。
LdapSearchBaseObjectSample - 未映射到 IDM 对象。
LdapSearchFilterSample - 未映射到 IDM 对象。
LdapSearchFilterShape - 未映射到 IDM 对象。
LdapSearchQueryClassification - 未映射到 IDM 对象。
LdapSearchQueryToken - 未映射到 IDM 对象。
LdapSearchScope - 未映射到 IDM 对象。
LdapSearchSizeLimit - 未映射到 IDM 对象。
LdapSecurityType - 未映射到 IDM 对象。
LightningLatencyInfo LightningLatencyState - 未映射到 IDM 对象。
Line - 未映射到 IDM 对象。
LinkLocalAddressBehavior - 未映射到 IDM 对象。
LinkLocalAddressTimeout - 未映射到 IDM 对象。
LinkName LocalAccount - 未映射到 IDM 对象。
LocalAddressIP4 LocalAddressIP6 LocalAddressMaskIP4 - 未映射到 IDM 对象。
LocalAddressMaskIP6 - 未映射到 IDM 对象。
LocalAdminAccess - 未映射到 IDM 对象。
LocalIpAddressIP4 LocalIpAddressIP6 LocalIpAddressRemovedIP4 LocalIpAddressRemovedIP6 LocalPort LocalSession - 未映射到 IDM 对象。
localipCount LockScreenEnabled - 未映射到 IDM 对象。
LockScreenStatus LogoffTime LogonDomain LogonId - 未映射到 IDM 对象。
LogonInfo security_result.summary event_type 设置为 USER_LOGIN
LogonServer LogonTime LogonType event.idm.read_only_udm.extensions.auth.mechanism 根据 LogonType 值映射到 UDM 枚举值。
LogoffTime LsassHandleFromUnsignedModule MAC event.idm.read_only_udm.principal.mac 转换为小写,并将英文冒号替换为连字符。
MACAddress event.idm.read_only_udm.principal.mac 连字符会替换为英文冒号。
MACPrefix - 未映射到 IDM 对象。
MachOFileWritten MachOSubType - 未映射到 IDM 对象。
MachineDn MachineDomain MajorFunction - 未映射到 IDM 对象。
MajorVersion - 未映射到 IDM 对象。
Malicious - 未映射到 IDM 对象。
ManagedPdbBuildPath MappedFromUserMode - 未映射到 IDM 对象。
MaxReassemblySize - 未映射到 IDM 对象。
MaxRouterAdvertisementInterval - 未映射到 IDM 对象。
MaxThreadCount - 未映射到 IDM 对象。
MD5HashData event.idm.read_only_udm.target.file.md5event.idm.read_only_udm.target.process.file.md5 如果 MD5HashData 是有效的 MD5 哈希值且不是全零,请创建一个值为 MD5HashData 的 MD5 哈希实体,并将其添加到 event.idm.read_only_udm.target.file.md5event.idm.read_only_udm.target.process.file.md5
MD5String MediaConnectState - 未映射到 IDM 对象。
MediaType - 未映射到 IDM 对象。
MemoryAvailable - 未映射到 IDM 对象。
MemoryRegionProtection - 未映射到 IDM 对象。
MemoryRegionStart - 未映射到 IDM 对象。
MemoryTotal - 未映射到 IDM 对象。
MmioDataSmiEn - 未映射到 IDM 对象。
MmioDataTco1Cnt - 未映射到 IDM 对象。
MLModelVersion - 未映射到 IDM 对象。
MobileDetection MobileDetectionId - 未映射到 IDM 对象。
MobileOsIntegrityIntact - 未映射到 IDM 对象。
MobileOsIntegrityStatus MobilePowerStats MoboManufacturer - 未映射到 IDM 对象。
MoboProductName - 未映射到 IDM 对象。
ModelPrediction - 未映射到 IDM 对象。
ModuleBaseAddress - 未映射到 IDM 对象。
ModuleCharacteristics - 未映射到 IDM 对象。
ModuleDetectInfo ModuleLoadCount - 未映射到 IDM 对象。
ModuleLoadMechanism - 未映射到 IDM 对象。
ModuleLoadTelemetryClassification - 未映射到 IDM 对象。
ModuleNativePath - 未映射到 IDM 对象。
ModuleSize - 未映射到 IDM 对象。
ModifyServiceBinary MostRecentActivityTimeStamp - 未映射到 IDM 对象。
MotwWritten mskssrv.sys event.idm.read_only_udm.principal.process.file.full_path 是 OriginalFilename 的一部分。
MultipleInstancesPolicy - 未映射到 IDM 对象。
name namespace NativePdbBuildPath - 未映射到 IDM 对象。
NegateInterface - 未映射到 IDM 对象。
NegateLocalAddress - 未映射到 IDM 对象。
NegateRemoteAddress - 未映射到 IDM 对象。
NeighborList - 未映射到 IDM 对象。
NeighborListIP4 NeighborListIP6 NeighborName NetLuidIndex - 未映射到 IDM 对象。
NetShareAdd NetShareDelete NetShareSecurityModify NetworkBindCount security_result.detection_fields[0].value EndOfProcess 事件的一部分。
NetworkCapableAsepWriteCount security_result.detection_fields[0].value EndOfProcess 事件的一部分。
NetworkCloseCount security_result.detection_fields[0].value EndOfProcess 事件的一部分。
NetworkCloseIP4 NetworkCloseIP6 NetworkConnectCount security_result.detection_fields[0].value EndOfProcess 事件的一部分。
NetworkConnectCountUdp security_result.detection_fields[0].value EndOfProcess 事件的一部分。
NetworkConnectIP4 NetworkConnectIP6 NetworkContainmentState NetworkInterfaceGuid - 未映射到 IDM 对象。
NetworkListenCount security_result.detection_fields[0].value EndOfProcess 事件的一部分。
NetworkListenIP4 NetworkListenIP6 NetworkModuleLoadCount security_result.detection_fields[0].value EndOfProcess 事件的一部分。
NetworkRecvAcceptCount security_result.detection_fields[0].value EndOfProcess 事件的一部分。
NetworkReceiveAcceptIP4 NetworkReceiveAcceptIP6 NewExecutableRenamed NewExecutableWritten NewExecutableWrittenCount security_result.detection_fields[0].value EndOfProcess 事件的一部分。
NewFileIdentifier - 未映射到 IDM 对象。
NewScriptWritten NlMtu - 未映射到 IDM 对象。
NorthBridgeDeviceId - 未映射到 IDM 对象。
NorthBridgeVendorId - 未映射到 IDM 对象。
NumberOfMeasurements - 未映射到 IDM 对象。
OciContainerId - 未映射到 IDM 对象。
OciContainerTelemetry OciContainersStartedCount - 未映射到 IDM 对象。
OciContainersStoppedCount - 未映射到 IDM 对象。
OleFileWritten OnLinkPrefixLength - 未映射到 IDM 对象。
OoxmlFileWritten OperStatus - 未映射到 IDM 对象。
OperationFlags - 未映射到 IDM 对象。
OperationName OriginalContentLength - 未映射到 IDM 对象。
OriginalEventTimeStamp - 未映射到 IDM 对象。
OriginalFilename OriginalParentAuthenticationId - 未映射到 IDM 对象。
OriginalUserName OriginalUserSid OsfmDownloadComplete OsVersionInfo OU OutBroadcastOctets - 未映射到 IDM 对象。
OutDiscards - 未映射到 IDM 对象。
OutErrors - 未映射到 IDM 对象。
OutMulticastOctets - 未映射到 IDM 对象。
OutNUcastPkts - 未映射到 IDM 对象。
OutOctets - 未映射到 IDM 对象。
OutUcastOctets - 未映射到 IDM 对象。
OutUcastPkts - 未映射到 IDM 对象。
PackedExecutableWritten Parameter64_1 - 未映射到 IDM 对象。
Parameter64_2 - 未映射到 IDM 对象。
Parameter64_3 - 未映射到 IDM 对象。
ParameterSizedBuffer_1 - 未映射到 IDM 对象。
Parameter1 - 未映射到 IDM 对象。
Parameter2 - 未映射到 IDM 对象。
Parameter3 - 未映射到 IDM 对象。
ParentAuthenticationId - 未映射到 IDM 对象。
ParentBaseFileName ParentCommandLine event1.ParentCommandLine 属于 Event_DetectionSummaryEvent
ParentHubInstanceId - 未映射到 IDM 对象。
ParentHubPort - 未映射到 IDM 对象。
ParentImageFileName event.idm.read_only_udm.principal.process.file.full_pathevent1.ParentImageFileName 属于 Event_DetectionSummaryEvent
ParentProcessId event.idm.read_only_udm.principal.process.product_specific_process_idevent1.ParentProcessId 前缀为 CS:%{cid}:%{aid}:。属于 Event_DetectionSummaryEvent
PasswordLastSet - 未映射到 IDM 对象。
PathMtuDiscoveryTimeout - 未映射到 IDM 对象。
PatternDispositionFlags - 未映射到 IDM 对象。
PatternDispositionValue `PatternDisposition

变化

2025-02-25

  • 添加了事件 FileIntegrityMonitorRuleMatched 的映射,如下所示:根据 ObjectType 字段的值,添加了将 ObjectName 字段映射到 target.file.full_path, target.registry.registry_value_data,target.registry.registry_key UDM 字段的映射。

2025-02-07

增强功能

  • detectName 映射到 security_result.threatname

2025-01-31

  • 处理了原始日志字段 ProcessIdParentProcessId 中整数值过大的边界情况。
  • 在没有 aid 原始日志字段的情况下,将 AgendIdString 字段添加到了 UDM 字段 principal.process.product_specific_process_id 的映射中。
  • 在没有 aid 原始日志字段的情况下,将 AgendIdString 字段添加到了 UDM 字段 principal.process.parent_process.product_specific_process_id 的映射中。

2025-01-17

  • 添加了 gsub,以支持原始日志字段 ProcessIdParentProcessId 中的大整数值。

2025-01-16

增强功能

  • EventOriginidKerberosRequestTicketCreationTimeSampleActiveDirectoryDataProtocolKerberosRequestTicketValidityPeriodLdapSearchBaseObjectSampleLdapSearchSizeLimitDebugInfoUnicodeLdapSecurityTypeActiveDirectoryAuthenticationMethodSourceAccountTypeAggregationEarliestTimestampAggregationWindowTimestampLdapSearchQueryTokenLdapSearchScope 映射到 security_result.detection_fields
  • SourceEndpointNetworkTag 映射到 security_result.description
  • LocalPortSample 映射到 principal.port
  • RemotePortSample 映射到 target.port
  • LocalAddressIP4Sample 映射到 principal.ipprincipal.asset.ip
  • LdapSearchFilterShapeTargetAccountTypeKerberosAnomalyLdapSearchQueryClassificationLdapSearchAttributes 映射到 additional.fields

2025-01-09

增强功能

  • 添加了对新事件 InstalledBrowserExtension 的支持。

2024-12-19

增强功能

  • 如果 FileOperatorSid 是有效的 Windows sid,则将其映射到 target.user.windows_sid

2024-12-18

增强功能

  • OriginalFilename 的映射从 principal.process.file.full_path 更改为 target.process.file.exif_info.original_file
  • ParentBaseFileName 的映射从 principal.process.file.full_path 更改为 principal.process.file.names
  • OriginalFilename 的映射从 principal.process.file.exif_info.original_file 更改为 target.process.file.exif_info.original_file

2024-12-04

增强功能

  • ConfigurationDescriptorNameDeviceDescriptorUniqueIdentifierDeviceVendorIdDeviceUsbClassConfigurationDescriptorNumInterfacesConfigurationDescriptorMaxPowerDrawConfigurationDescriptorAttributes 映射到 security_result.detection_fields
  • DeviceDescriptorSetHash 映射到 target.file.sha256

2024-10-29

bug 修复

  • 移除了 FILE_MOVEFILE_MODIFICATIONFILE_READ 事件的 SourceFileNameprincipal.process.file.full_path 的映射,因为它已映射到 src.file.full_path

2024-10-09

增强功能

  • SmbNamedPipeName 映射到 security_result.detection_fields
  • RequestType 映射到 network.dns.question.type
  • QueryStatus 映射到 network.dns.response_code
  • IP4RecordsIP6RecordsCNAMERecords 映射到 network.dns.answer.name

2024-09-24

增强功能

  • 添加了 Grok 模式,以停止将 IP 地址解析为 principal.hostname

2024-09-19

增强功能

  • HttpRequest 映射到 target.ip
  • HttpHost 映射到 target.hostname
  • HttpPath 映射到 target.url

2024-09-19

增强功能

  • HttpRequest 映射到 target.ip
  • HttpHost 映射到 target.hostname
  • HttpPath 映射到 target.url

2024-09-12

增强功能

  • 对于 FILE_CREATION 事件,如果 ContextImageFileName 不为 null,则将 ContextImageFileName 映射到 principal.process.file.full_path
  • OriginalFilename 的映射从 target.process.file.exif_info.original_file 更改为 principal.process.file.exif_info.original_file

2024-09-10

  • 添加了对新 JSON 日志模式的支持。
  • FileVersionFixedFileVersion 映射到 additional.fields

2024-09-03

增强功能

  • timestamp 映射到 metadata.event_timestamp

2024-08-29

bug 修复

  • 添加了 on_error 以处理 TaskExecCommand 为 null 的情况。

2024-08-20

增强功能

  • IsOnRemovableDiskRegOperationTypeRegType 映射到 additional.fields

2024-08-06

增强功能

  • tar_user 映射到 target.user.userid

2024-07-24

增强功能

  • LocalAddressIP4 映射从 target.ip 更改为了 principal.ip
  • directionINBOUND 时,将 RemoteAddressIP4 映射从 principal.ip 更改为 src.ip
  • directionOUTBOUND 时,将 RemoteAddressIP4 映射从 principal.ip 更改为 target.ip

2024-07-08

增强功能

  • Description 映射到 security_result.description
  • Name 映射到 security_result.threat_name
  • CompositeId 映射到 additional.fields
  • id 映射到 metadata.product_log_id

2024-06-25

增强功能

  • SourceFileName 映射到 principal.process.file.full_path
  • OdsFileNameImageFileName 映射到 target.process.file.full_path
  • event_simpleNameMotwWritten 时,将 metadata.event_type 映射到 FILE_CREATION

2024-06-06

增强功能

  • OriginalFilename 映射到 target.process.file.exif_info.original_file

2024-05-31

增强功能

  • os_version 映射到 principal.platform_version
  • hostname 映射到 principal.hostnameprincipal.asset.hostname
  • product_type_deschost_hidden_statusscores.osscores.sensorscores.versionscores.overallscores.modified_time 映射到 security_result.detection_fields

2024-05-23

增强功能

  • Version 映射到 principal.platform_version

2024-05-21

增强功能

  • event_simpleNameFileWrittenNetworkConnectDnsRequest 时,将 ContextBaseFileName 映射到 principal.process.file.full_path
  • QuarantinedFileName 映射到 principal.process.file.full_path

2024-05-15

增强功能

  • VersionBiosVersionChassisType 映射到 principal.asset.attribute.labels
  • ContinentOUSiteName 映射到 additional.fields

2024-04-17

增强功能

  • ModuleILPath 映射到 target.resource.attribute.labels

2024-04-08

bug 修复

  • event_simpleNameClassifiedModuleLoad 时,将 metadata.event_typeSTATUS_UPDATE 更改为 PROCESS_MODULE_LOAD

2024-02-21

增强功能

  • SubjectDN 映射到 security_result.about.artifact.last_https_certificate.subject
  • IssuerDN 映射到 security_result.about.artifact.last_https_certificate.issuer
  • SubjectCertValidTo 映射到 security_result.about.artifact.last_https_certificate.validity.issue_time`。
  • SubjectCertValidFrom 映射到 security_result.about.artifact.last_https_certificate.validity.expiry_time
  • SubjectSerialNumber 映射到 security_result.about.artifact.last_https_certificate.serial_number
  • SubjectVersion 映射到 security_result.about.artifact.last_https_certificate.version
  • SubjectCertThumbprint 映射到 security_result.about.artifact.last_https_certificate.thumbprint
  • SignatureDigestAlg 映射到 security_result.about.artifact.last_https_certificate.signature_algorithm
  • SignatureDigestEncryptAlg 映射到 security_result.about.artifact.last_https_certificate.cert_signature.signature_algorithm
  • AuthenticodeHashData 映射到 target.file.authentihash
  • AuthorityKeyIdentifier 映射到 security_result.about.artifact.last_https_certificate.extension.authority_key_id.keyidsecurity_result.about.artifact.last_https_certificate.cert_extensions.fields
  • SubjectKeyIdentifier 映射到 security_result.about.artifact.last_https_certificate.extension.subject_key_idsecurity_result.about.artifact.last_https_certificate.cert_extensions.fields
  • OriginalFilename 映射到 additional.fields
  • SignInfoFlagUnknownErrorSignInfoFlagHasValidSignatureSignInfoFlagSignHashMismatchAuthenticodeMatchSignInfoFlagMicrosoftSignedSignInfoFlagNoSignatureSignInfoFlagInvalidSignChainSignInfoFlagNoCodeKeyUsageSignInfoFlagNoEmbeddedCertSignInfoFlagThirdPartyRootSignInfoFlagCatalogSignedSignInfoFlagSelfSignedSignInfoFlagFailedCertCheckSignInfoFlagEmbeddedSignedIssuerCNSubjectCN 映射到 security_result.detection_fields

2023-12-22

  • HostUrl 映射到 target.url
  • ReferrerUrl 映射到 network.http.referral_url

2023-11-23

  • is_alert 设置为 true,然后将 event.idm.is_significant 映射到 true
  • is_alert 设置为 true,然后将 event_simpleName 映射到 security_result.summary

2023-10-11

  • 添加了正则表达式检查,以验证 SHA1、MD5 和 SHA256 值。

2023-08-22

  • Technique 映射到 security_result.attack_details.techniques.name 以及相应的技术和策略详细信息。

2023-08-03

增强功能

  • ReflectiveDllName 映射到 target.file.full_path
  • 对于缺少 DomainName 字段的日志,将 event_type 映射到 STATUS_UPDATE

2023-08-01

  • Tactic 映射到 security_result.attack_details.tactics.name 和相应的 tactics.id。

2023-07-31

bug 修复

  • 添加了日期过滤条件的 on_error 检查。

2023-06-19

  • ParentBaseFileName 映射到 principal.process.file.full_path
  • 移除了 ImageFileNametarget.file.full_path 的映射,因为它已针对事件 ProcessRollup2SyntheticProcessRollup2 映射到 target.process.file.full_path

2023-05-12

增强功能

  • 将“aip”映射到“intermediary.ip”。

2023-05-08

bug 修复

  • 将时间格式转换为字符串,并处理纳秒时间格式。

2023-04-14

增强功能

  • 将 range[0-19] 的 Severity 值从 security_result.severity 修改为 INFORMATIONAL
  • 将 range[20-39] 的 Severity 值从 security_result.severity 修改为 LOW
  • 将 range[40-59] 的 Severity 值从 security_result.severity 修改为 MEDIUM
  • 将 range[60-79] 的 Severity 值从 security_result.severity 修改为 HIGH
  • 将 range[80-100] 的 Severity 值从 security_result.severity 修改为 CRITICAL
  • PatternId 映射到 security_result.detection_fields
  • SourceEndpointIpAddress 映射到 principal.ip
  • event_simpleName =~ userlogonfailed 和用户信息不存在时,将 metadata.event_type 映射到 USER_UNCATEGORIZED
  • ExternalApiType =Event_UserActivityAuditEvent`` 且包含用户信息时,将 metadata.event_type 映射到 USER_UNCATEGORIZED
  • event_simpleName =~ActiveDirectory` 时,将 metadata.event_type 映射到 USER_UNCATEGORIZED
  • TargetAccountObjectGuid 映射到 additional.fields
  • TargetDomainControllerObjectGuid 映射到 additional.fields
  • TargetDomainControllerObjectSid 映射到 additional.fields
  • AggregationActivityCount 映射到 additional.fields
  • TargetServiceAccessIdentifier 映射到 additional.fields
  • SourceAccountUserPrincipal 映射到 principal.user.userid
  • SourceEndpointAddressIP4 映射到 principal.ip
  • SourceAccountObjectGuid 映射到 additional.fields
  • AccountDomain 映射到 principal.administrative_domain
  • AccountObjectGuid 映射到 metadata.product_log_id
  • AccountObjectSid 映射到 principal.user.windows_sid
  • SamAccountName 映射到 principal.user.user_display_name
  • SourceAccountSamAccountName 映射到 principal.user.user_display_name
  • IOARuleGroupName 映射到 security_result.detection_fields
  • IOARuleName 映射到 security_result.detection_fields
  • RemoteAddressIP4 映射到 target.ipevent_simpleName=RegCredAccessDetectInfo)。

2023-03-24

  • id 映射到 metadata.product_log_id,而不是 target.resource.id
  • 如果 RegNumericValueRegStringValue 均为 null,则将 RegBinaryValue 映射到 target.registry.registry_value_data

2023-03-21

增强功能

  • BatchTimestampGcpCreationTimestampK8SCreationTimestampAwsCreationTimestamp 映射到 metadata.event_timestamp
  • FileOperatorSid 映射到 target.user.windows_sid

2023-03-13

增强功能

  • LogonTimeProcessStartTimeContextTimeStampContextTimeStamp_decimalAccountCreationTimeStamp 映射到 metadata.event_timestamp

2023-03-10

增强功能

  • CallStackModuleNamesVersionCallStackModuleNamesVersion 映射到 security_result.detection_fields。

2023-02-28

增强功能

  • 修改了当 event_simpleName 在 [ProcessRollup2, SyntheticProcessRollup2] 范围内时,字段 ParentProcessId 的以下映射
  • target.process.parent_process.pid 已修改为 target.process.parent_process.product_specific_process_id

2023-02-16

增强功能

  • 将字段 AssociatedFile 映射到 security_result.detection_fields[n].value,并将 security_result.detection_fields[n].key 映射到 AssociatedIOCFile

2023-02-09

增强功能

  • 将映射到 target.labels 下的字段重新映射到了 target.resource.attribute.labels
  • 更正了 ManagedPdbBuildPathtarget.resource.attribute.labels 的映射。

2023-02-09

增强功能

  • 将映射到 target.labels 下的字段重新映射到了 target.resource.attribute.labels
  • 更正了 ManagedPdbBuildPathtarget.resource.attribute.labels 的映射。

2023-01-15

bug 修复

  • UserLogonFailed 事件的 aidprincipal.asset_id 重新映射到了 target.asset_id

2023-01-13

增强功能

  • 为 event_type ScheduledTaskModifiedScheduledTaskRegistered 映射到的用户名 principal.user.userid。
  • 当 metadata.product_event_type = ReflectiveDotnetModuleLoad 时,AssemblyNameManagedPdbBuildPathModuleILPath 会映射到 target.labels
  • 当 metadata.product_event_type = RemovableMediaVolumeMounted 时,VirtualDriveFileNameVolumeName 会映射到 target.labels
  • 当 metadata.product_event_type = ClassifiedModuleLoad 时,ImageFileName 映射到 target.file.full_path

2023-01-13

增强功能

  • 为 event_type ScheduledTaskModifiedScheduledTaskRegistered 映射到的用户名 principal.user.userid。
  • 当 metadata.product_event_type = ReflectiveDotnetModuleLoad 时,AssemblyNameManagedPdbBuildPathModuleILPath 会映射到 target.labels
  • 当 metadata.product_event_type = RemovableMediaVolumeMounted 时,VirtualDriveFileNameVolumeName 会映射到 target.labels
  • 当 metadata.product_event_type = ClassifiedModuleLoad 时,ImageFileName 映射到 target.file.full_path

2023-01-02

增强功能

  • 为 event_type ScheduledTaskModifiedScheduledTaskRegistered 映射到的用户名 principal.user.userid。

2022-12-22

增强功能

  • RemoteAddressIP4 映射到 principal.ipevent_type=Userlogonfailed2

2022-11-04

增强功能

  • GrandparentImageFileName 映射到 principal.process.parent_process.parent_process.file.full_path
  • GrandparentCommandLine 映射到 principal.process.parent_process.parent_process.commamdLine

2022-11-03

bug 修复

  • event_simpleNameInstalledApplication 时,系统会映射以下参数。
  • AppName 映射到 principal.asset.software.name
  • AppVersion 映射到 principal.asset.software.version

2022-10-12

bug 修复

  • discoverer_aid 映射到 resource.attribute.labels
  • NeighborName 映射到 intermediary.hostname
  • subnet 映射到 additional.fields
  • localipCount 映射到 additional.fields
  • aipCount 映射到 additional.fields
  • 添加了针对 LogonServer 的条件检查

2022-10-07

bug 修复

  • CommandLine 映射从 principal.process.command_line 更改为了 target.process.command_line

2022-09-13

bug 修复

  • 将 metadata.event_type 映射到 RegOperationType 为 3 的 REGISTRY_CREATION。
  • 将 event_type 映射到 REGISTRY_DELETION,其中 RegOperationType 为 4102
  • 将 event_type 映射到 REGISTRY_MODIFICATION,其中 RegOperationType 为 5791011
  • 将 event_type 映射到 REGISTRY_UNCATEGORIZED,前提是 RegOperationType 不为 null,且不属于上述所有情况。

2022-09-02

增强功能

  • 在 statedata 中定义 UserPrincipal 字段。

2022-08-30

增强功能

  • 在 statedata 中定义了 UserPrincipal 字段。

2022-08-21

增强功能

  • ActivityId 映射到 additional.fields
  • SourceEndpointHostName 映射到 principal.hostname
  • SourceAccountObjectSid 映射到 principal.user.windows_sid
  • 添加了用于解析 LocalAddressIP4aip 的条件。
  • metadata.event_type 映射到 STATUS_UPDATE,其中 ComputerNameLocalAddressIP4 不为 null。
  • SourceEndpointAccountObjectGuid 映射到 metadata.product_log_id
  • SourceEndpointAccountObjectSid 映射到 target.user.windows_sid
  • SourceEndpointHostName 映射到 principal.hostname

2022-08-18

bug 修复

  • 映射了以下字段:
  • event.PatternDispositionValue 映射到 security_result.about.labels
  • event.ProcessId 映射到 principal.process.product_specific_process_id
  • event.ParentProcessId 映射到 target.process.parent_process.pid
  • event.ProcessStartTime 映射到 security_result.detection_fields
  • event.ProcessEndTime 映射到 security_result.detection_fields
  • event.ComputerName 映射到 principal.hostname
  • event.UserName 映射到 principal.user.userid
  • event.DetectName 映射到 security_result.threat_name
  • event.DetectDescription 映射到 security_result.description
  • event.SeverityName 映射到 security_result.severity
  • event.FileName 映射到 target.file.full_path
  • event.FilePath 映射到 target.file.full_path
  • event.CommandLine 映射到 principal.process.command_line
  • event.SHA256String 映射到 target.file.sha256
  • event.MD5String 映射到 security_result.about.file.md5
  • event.MachineDomain 映射到 principal.administrative_domain
  • event.FalconHostLink 映射到 intermediary.url
  • event.LocalIP 映射到 principal.ip
  • event.MACAddress 映射到 principal.mac
  • event.Tactic 映射到 security_result.detection_fields
  • event.Technique 映射到 security_result.detection_fields
  • event.Objective 映射到 security_result.rule_name
  • event.PatternDispositionDescription 映射到 security_result.summary
  • event.ParentImageFileName 映射到 principal.process.parent_process.file.full_path
  • event.ParentCommandLine 映射到 principal.process.parent_process.command_line

2022-07-29

增强功能

  • event_category,event_module,Hmac 映射到 additional.fields
  • user_name 映射到 principal.user.userid
  • event_source 映射到 target.application
  • auth_group and new logs 添加了 Grok。
  • 添加了对 principal_ip,target_ip and event_type 的检查。

2022-07-25

bug 修复

  • metadata.event_type 映射到 USER_RESOURCE_ACCESS,其中 eventTypeK8SDetectionEvent
  • metadata.event_type 映射到 STATUS_UPDATE,其中 metadata.event_type 为 null 且 principal.asset_id 不为 null。
  • SourceAccountDomain 映射到 principal.administrative_domain
  • SourceAccountName 映射到 principal.user.userid
  • metadata.event_type 映射到 STATUS_UPDATE,其中 EventTypeEvent_ExternalApiEventOperationName 在 [quarantined_file_updatedetection_updateupdate_rule] 中
  • metadata.event_type 映射到 USER_RESOURCE_ACCESS,其中 FilePath 为 null 且 FileName 为 null 或 AgentIdString 为 null。
  • metadata.event_type 映射到 STATUS_UPDATE(协议为 null)。
  • 添加了针对 MD5String、SHA256String、CommandLine、AgentIdString、ProcessId、ParentProcessId、FilePath、FileName 的条件检查。

2022-07-12

增强功能

  • 对于 event_simpleName,请使用 DriverLoad、ProcessRollup、PeVersionInfo、PeFileWritten、TemplateDetectAnalysis、ScriptControlDetectInfo。
  • 将 OriginalFilename 映射到 principal.process.file.full_path

2022-06-20

增强功能

  • ConfigBuild 映射到 security_result.detection_fields
  • EffectiveTransmissionClass 映射到 security_result.detection_fields
  • Entitlements 映射到 security_result.detection_fields

2022-06-14

增强功能

  • CompanyName 映射到 target.user.company_name
  • AccountType 映射到 target.user.role_description
  • ProductVersion 映射到 metadata.product_version
  • LogonInfo 映射到 principal.ip
  • MAC 映射到 principal.mac
  • UserSid_readable 映射到 target.user.windows_sid
  • FileName 映射到 target.file.full_path
  • _time 映射到 metadata.event_timestamp
  • MD5HashDataSHA256HashDataUserNameidRegObjectNameRegStringValueRegValueNameUserSidTargetFileNameaid 添加了条件检查

2022-06-02

bug 修复

  • security_result.detection_fields.value 中移除了按键名称和英文冒号字符。

2022-05-27

增强功能

  • 其他映射:将 SHA256String 和 MD5String 映射到 security_result.about.file,以显示为提醒事件。

2022-05-20

增强功能

  • LinkName 映射到 target.resource.attribute.labels
  • 将可能的 GENERIC_EVENTS 出现情况切换为 STATUS_UPDATE
  • 在进程及其父级根目录之间添加了反斜线。
  • 如果 event_platform 为 iOS,则解析的平台。
  • 将 resource.type 更改为 resource_type。

2022-05-12

增强功能

  • resourceName 映射到 target.resource.name
  • resourceId 映射到 target.resource.product_object_id
  • 映射到 target.namespace 的命名空间
  • 映射到 security_result.category_details 的类别
  • description 已映射到 security_result.description
  • sourceAgent 已映射到 network.http.user_agent
  • 严重级别已映射到 security_result.severity
  • resourceKind 映射到 target.resource.type
  • detectionName 映射到 target.resource.name
  • clusterName 已映射到 target.resource.attribute.labels
  • clusterId 已映射到 target.resource.attribute.labels
  • detectionId 已映射到 target.resource.attribute.labels
  • 类型映射到 additional.fields
  • 对 additional.fields 的修复
  • 针对 additional.fields 的基准测试
  • badResources 更改为 additional.fields

2022-04-27

bug 修复

  • 将 ExternalApiType 为 Event_AuthActivityAuditEvent 的日志的 udm event_type 从 GENERIC_EVENT 更改为 USER_LOGIN。
  • 将 target_user、actor_user 和 actor_user_uuid 的映射分别从 additional.fields 更改为 target.user.email_addresses、target.user.user_display_name 和 target.user.userid。

2022-04-25

增强功能

  • RemoteAddressIP4 映射到 principal.ip。

2022-04-14

bug 修复

  • 添加了对所有类型日志的 ScriptContent 字段的支持

2022-04-13

增强功能

  • 添加了新字段的映射
  • 添加了新的事件映射 - AuthenticationPackage 映射到 target.resource.name

2022-04-04

bug 修复

  • OriginatingURL 映射到 NetworkConnect 事件的 principal.url。

需要更多帮助?向社区成员和 Google SecOps 专业人士寻求解答。