此页面由 Cloud Translation API 翻译。

以 CEF 格式收集 CrowdStrike Falcon 日志

支持的语言：

Google SecOps SIEM

本文档介绍了如何使用 Bindplane 以 CEF 格式收集 CrowdStrike Falcon 日志。解析器会提取键值对并将其映射到统一数据模型 (UDM)，同时处理不同的分隔符，并使用严重程度和事件类型等其他背景信息来丰富数据。它还会针对某些事件类型和字段（例如用户登录和安全结果）执行特定转换。

准备工作

确保您拥有 Google Security Operations 实例。
确保您使用的是 Windows 2016 或更高版本，或者具有 systemd 的 Linux 主机。
如果通过代理运行，请确保防火墙端口处于开放状态。
确保您拥有 CrowdStrike Falcon 控制台的特权访问权限。
获取 Falcon Stream 的 API 凭据（客户端 ID 和客户端密钥）。

获取 Google SecOps 注入身份验证文件

登录 Google SecOps 控制台。
依次前往 SIEM 设置 > 收集代理。
下载注入身份验证文件。将文件安全地保存在将要安装 Bindplane 的系统上。

获取 Google SecOps 客户 ID

登录 Google SecOps 控制台。
依次前往 SIEM 设置 > 配置文件。
复制并保存组织详细信息部分中的客户 ID。

安装 Bindplane 代理

Windows 安装

以管理员身份打开命令提示符或 PowerShell。

运行以下命令：

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 安装

打开具有 root 或 sudo 权限的终端。

运行以下命令：

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安装资源

如需了解其他安装选项，请参阅此安装指南。

配置 Bindplane 代理以注入 Syslog 并将其发送到 Google SecOps

访问配置文件：
1. 找到 config.yaml 文件。通常，它位于 Linux 上的 /etc/bindplane-agent/ 目录中或 Windows 上的安装目录中。
2. 使用文本编辑器（例如 nano、vi 或记事本）打开该文件。

按如下方式修改 config.yaml 文件：

receivers:
    tcplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:54525"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: SYSLOG
            namespace: cs_falcon
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

根据基础架构的需要替换端口和 IP 地址。
将 <customer_id> 替换为实际的客户 ID。
将 /path/to/ingestion-authentication-file.json 更新为获取 Google SecOps 提取身份验证文件部分中保存身份验证文件的路径。

重启 Bindplane 代理以应用更改

如需在 Linux 中重启 Bindplane 代理，请运行以下命令：
```
sudo systemctl restart bindplane-agent
```
如需在 Windows 中重启 Bindplane 代理，您可以使用服务控制台，也可以输入以下命令：
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

配置并获取 CrowdStrike API 密钥

使用具有管理员权限的账号登录 CrowdStrike Falcon。
依次前往菜单 > 支持。
依次点击 API 客户端 > 密钥选择。
点击添加新的 API 客户端。
在 API 范围部分中，依次选择事件流和提醒 > 启用读取选项。
点击添加。
复制并保存客户端 ID、密钥和基本网址。

安装 Falcon SIEM 连接器

下载适用于您的操作系统的 RPM 安装程序软件包。

软件包安装：

CentOS 操作系统：
```
sudo rpm -Uvh <installer package>
```
Ubuntu 操作系统：
```
sudo dpkg -i <installer package>
```

默认安装目录：
- Falcon SIEM Connector - /opt/crowdstrike/。
- 服务 - /etc/init.d/cs.falconhoseclientd/。

配置 SIEM 连接器以将 CEF 日志转发到 Bindplane

以 sudo 用户身份登录已安装 SIEM 连接器的计算机。
转到 /opt/crowdstrike/etc/ 目录。
将 cs.falconhoseclient.cef.cfg 重命名为 cs.falconhoseclient.cfg。
- SIEM 连接器默认使用 cs.falconhoseclient.cfg 配置。
修改 cs.falconhoseclient.cfg 文件并修改/设置以下参数：
- api_url: - 您在上一步中复制的 CrowdStrike Falcon 基本网址。
- app_id: - 用于连接到 Falcon Streaming API 的任意字符串标识符（例如，设置为 app_id: SECOPS-CEF）。
- client_id: - 从上一步复制的 client_id 值。
- client_secret: - 从上一步复制的 client_secret 值。
- send_to_syslog_server: true - 启用向 Syslog 服务器推送。
- host: - Bindplane 代理的 IP 或主机名。
- port: - Bindplane 代理的端口。
保存 cs.falconhoseclient.cfg 文件。

启动 SIEM 连接器服务：

CentOS 操作系统

sudo service cs.falconhoseclientd start

Ubuntu 16.04 或更高版本的操作系统

sudo systemctl start cs.falconhoseclientd.service

可选：停止 SIEM 连接器服务：
- CentOS 操作系统
```
sudo service cs.falconhoseclientd stop
```
- Ubuntu 16.04 或更高版本的操作系统
```
sudo systemctl stop cs.falconhoseclientd.service
```

可选：重启 SIEM 连接器服务：

CentOS 操作系统

sudo service cs.falconhoseclientd restart

Ubuntu 16.04 或更高版本的操作系统

sudo systemctl restart cs.falconhoseclientd.service

UDM 映射表

日志字段	UDM 映射	逻辑
`AccountCreationTimeStamp`	`event.idm.read_only_udm.metadata.event_timestamp`	原始日志字段 `AccountCreationTimeStamp` 已重命名为 `event.idm.read_only_udm.metadata.event_timestamp`。
`AccountDomain`	`event.idm.read_only_udm.principal.administrative_domain`	原始日志字段 `AccountDomain` 已重命名为 `event.idm.read_only_udm.principal.administrative_domain`。
`AccountObjectGuid`	`event.idm.read_only_udm.metadata.product_log_id`	原始日志字段 `AccountObjectGuid` 已重命名为 `event.idm.read_only_udm.metadata.product_log_id`。
`AccountObjectSid`	`event.idm.read_only_udm.principal.user.windows_sid`	原始日志字段 `AccountObjectSid` 已重命名为 `event.idm.read_only_udm.principal.user.windows_sid`。
`AccessType`	-	未映射到 IDM 对象。
`action_taken`	`event.idm.read_only_udm.additional.fields[0].value.string_value`	`AuditKeyValues` 数组的一部分。
`ActiveCpuCount`	-	未映射到 IDM 对象。
`ActiveDirectoryAuthenticationMethod`	-	未映射到 IDM 对象。
`ActiveDirectoryDataProtocol`	-	未映射到 IDM 对象。
`AddressFamily`	-	未映射到 IDM 对象。
`AdminStatus`	-	未映射到 IDM 对象。
`AllocateVirtualMemoryCount`	`security_result.detection_fields[0].value`	`EndOfProcess` 事件的一部分。
`agent-windows`	`event.idm.read_only_udm.target.file.full_path`	TargetFileName 的一部分。
`AgentIdString`	`event.idm.read_only_udm.principal.asset_id`	前缀为 `CS:`。
`AgentLoadFlags`	-	未映射到 IDM 对象。
`AgentLocalTime`	-	未映射到 IDM 对象。
`AgentOnline` `AgentTimeOffset`	-	未映射到 IDM 对象。
`AgentVersion` `AggregationActivityCount` `AggregationEarliestTimestamp`	-	未映射到 IDM 对象。
`aid`	`event.idm.read_only_udm.principal.asset_id`	前缀为 `CS:`。
`aip`	`event.idm.read_only_udm.principal.nat_ip`	当 `_aid_is_target` 为 false 时，如果 `aip` 不为 null，则创建一个值为 `aip` 的 IP 实体并将其添加到 `event.idm.read_only_udm.principal.nat_ip`。
`aipCount` `AllocVmEtw` `AllocationType`	-	未映射到 IDM 对象。
`AllowHardTerminate`	-	未映射到 IDM 对象。
`AllowStartOnDemand`	-	未映射到 IDM 对象。
`ApcArgument1`	-	未映射到 IDM 对象。
`ApcArgument2`	-	未映射到 IDM 对象。
`ApcContextAddress`	-	未映射到 IDM 对象。
`ApcContextFileName`	-	未映射到 IDM 对象。
`ApcContext`	-	未映射到 IDM 对象。
`ApplicationName` `ApplicationUniqueIdentifier`	-	未映射到 IDM 对象。
`ApplicationVersion`	-	未映射到 IDM 对象。
`AppIs64Bit`	-	未映射到 IDM 对象。
`AppName` `AppPath` `AppPathFlag`	-	未映射到 IDM 对象。
`AppProductId`	-	未映射到 IDM 对象。
`AppType`	-	未映射到 IDM 对象。
`AppUpdateIds`	-	未映射到 IDM 对象。
`AppVendor`	-	未映射到 IDM 对象。
`AppVersion` `ArchiveFileWrittenCount`	`security_result.detection_fields[0].value`	`EndOfProcess` 事件的一部分。
`AsepClass`	-	未映射到 IDM 对象。
`AsepFileChange` `AsepFlags`	-	未映射到 IDM 对象。
`AsepIndex`	-	未映射到 IDM 对象。
`AsepKeyUpdate` `AsepValueUpdate` `AsepValueType`	-	未映射到 IDM 对象。
`AsepWrittenCount`	`security_result.detection_fields[0].value`	`EndOfProcess` 事件的一部分。
`AssociateIndicator` `AssociateTreeIdWithRoot` `AssemblyFlags`	-	未映射到 IDM 对象。
`AssemblyId`	-	未映射到 IDM 对象。
`AssemblyName` `AuthenticationId`	`event.idm.read_only_udm.principal.user.product_object_id`	前缀为 `CS:`。
`AuthenticationPackage` `AuthenticationUuid`	-	未映射到 IDM 对象。
`AuthenticationUuidAsString`	-	未映射到 IDM 对象。
`AuthenticodeHashData` `AuthenticodeMatch` `automated_remediation`	`assessments.automated_remediation`	`ZeroTrustHostAssessment` 事件的一部分。
`BaseReachableTime`	-	未映射到 IDM 对象。
`BaseTime`	-	未映射到 IDM 对象。
`BatchDataNumber`	-	未映射到 IDM 对象。
`BatchDataTotal`	-	未映射到 IDM 对象。
`BatchTimestamp` `BatteryLevel`	-	未映射到 IDM 对象。
`BatteryStatus`	-	未映射到 IDM 对象。
`BehaviorWhitelisted` `benchmarks` `BenignCount`	-	未映射到 IDM 对象。
`beta_build_disabled`	`assessments.beta_build_disabled`	`ZeroTrustHostAssessment` 事件的一部分。
`BinaryExecutableWrittenCount`	`security_result.detection_fields[0].value`	`EndOfProcess` 事件的一部分。
`BillingInfo` `BillingType`	-	未映射到 IDM 对象。
`BiosManufacturer` `BiosReleaseDate`	-	未映射到 IDM 对象。
`BiosVersion` `BITSJobCreated` `BootArgs`	-	未映射到 IDM 对象。
`BootId`	-	未映射到 IDM 对象。
`BootStatusDataAabEnabled`	-	未映射到 IDM 对象。
`BootStatusDataBootAttemptCount`	-	未映射到 IDM 对象。
`BootStatusDataBootGood`	-	未映射到 IDM 对象。
`BootStatusDataBootShutdown`	-	未映射到 IDM 对象。
`BootTimeFunctionalityLevel`	-	未映射到 IDM 对象。
`BrowserInjectedThread` `BundleID`	-	未映射到 IDM 对象。
`CallStackModuleNames` `CallStackModuleNamesVersion` `ChannelId`	-	未映射到 IDM 对象。
`ChannelVersion`	-	未映射到 IDM 对象。
`ChannelVersionRequired` `ChasisManufacturer`	-	未映射到 IDM 对象。
`ChassisType` `cid` `City` `CLICreationCount`	`security_result.detection_fields[0].value`	`EndOfProcess` 事件的一部分。
`ClassifiedModuleLoad` `CloudAssociateTreeIdWithRoot` `CloudErrorCode`	-	未映射到 IDM 对象。
`CNAMERecords` `CodeIntegrity`	-	未映射到 IDM 对象。
`CommandLine` `CommandSequence`	-	未映射到 IDM 对象。
`CompletionEventId`	-	未映射到 IDM 对象。
`ComputerName`	`event.idm.read_only_udm.principal.hostname`，`event.idm.read_only_udm.principal.asset.hostname`	如果 `ComputerName` 不为 null、空字符串或短划线，请使用 `ComputerName` 的值创建主机名实体，并将其添加到 `event.idm.read_only_udm.principal.hostname` 和 `event.idm.read_only_udm.principal.asset.hostname`。
`ConfigBuild` `ConfigIDBase`	-	未映射到 IDM 对象。
`ConfigIDBuild`	-	未映射到 IDM 对象。
`ConfigIDPlatform`	-	未映射到 IDM 对象。
`ConfigurationVersion`	-	未映射到 IDM 对象。
`ConfigStateData`	-	未映射到 IDM 对象。
`ConfigStateHash` `ConfigStateUpdate` `ConnectTime`	-	未映射到 IDM 对象。
`ConnectType`	-	未映射到 IDM 对象。
`Connected`	-	未映射到 IDM 对象。
`ConnectionCipher`	-	未映射到 IDM 对象。
`ConnectionCipherStrength`	-	未映射到 IDM 对象。
`ConnectionDirection`	-	未映射到 IDM 对象。
`ConnectionExchange`	-	未映射到 IDM 对象。
`ConnectionExchangeStrength`	-	未映射到 IDM 对象。
`ConnectionFlags`	-	未映射到 IDM 对象。
`ConnectionHash`	-	未映射到 IDM 对象。
`ConnectionHashStrength`	-	未映射到 IDM 对象。
`ConnectionProtocol`	-	未映射到 IDM 对象。
`ConnectionType`	-	未映射到 IDM 对象。
`Continent` `ContentSHA256HashData` `ContextData`	-	未映射到 IDM 对象。
`ContextProcessId`	`event.idm.read_only_udm.principal.process.product_specific_process_id`，`event.idm.read_only_udm.target.process.product_specific_process_id`	前缀为 `CS:%{cid}:%{aid}:`。
`ContextThreadId`	-	未映射到 IDM 对象。
`ContextTimeStamp` `ContextTimeStamp_decimal` `Country` `CrashDumpFilePath`	-	未映射到 IDM 对象。
`CrashNotification` `CreateProcessArgs` `CreateProcessCount`	`security_result.detection_fields[0].value`	`EndOfProcess` 事件的一部分。
`CreateService` `CreateThreadNoStartImage` `CreationTimeStamp`	-	未映射到 IDM 对象。
`CriticalFileAccessed` `CriticalFileModified` `CsaProcessDataCollectionInstanceId`	-	未映射到 IDM 对象。
`CurrentFunctionalityLevel`	-	未映射到 IDM 对象。
`CurrentLocalIP`	-	未映射到 IDM 对象。
`CurrentSystemTags` `CustomerIdString` `CycleTime`	-	未映射到 IDM 对象。
`DadState`	-	未映射到 IDM 对象。
`DadTransmits`	-	未映射到 IDM 对象。
`DcName`	`event.idm.read_only_udm.principal.user.userid`	原始日志字段 `DcName` 已重命名为 `event.idm.read_only_udm.principal.user.userid`。
`DcNumAttachments`	-	未映射到 IDM 对象。
`DcNumBlockingPolicies`	-	未映射到 IDM 对象。
`DcOnline` `DcPropertyIdInterfaceType`	-	未映射到 IDM 对象。
`DcPropertyIdInterfaceVersion`	-	未映射到 IDM 对象。
`DcSensorInterfaceType`	-	未映射到 IDM 对象。
`DcSensorInterfaceVersion`	-	未映射到 IDM 对象。
`DcStatus` `DcUsbConfigurationDescriptor` `DcUsbDeviceConnected` `DcUsbDeviceDisconnected` `DcUsbEndpointDescriptor` `DcUsbHIDDescriptor` `DcUsbInterfaceDescriptor` `DCSyncAttempted` `Debug`	-	未映射到 IDM 对象。
`DefaultGatewayIP4`	-	未映射到 IDM 对象。
`DefaultGatewayIP6`	-	未映射到 IDM 对象。
`DefaultGatewayPhysicalAddress`	-	未映射到 IDM 对象。
`DeepHashBlacklistClassification` `DeepHashBlacklistVersion`	-	未映射到 IDM 对象。
`DeliverLocalFXToCloud` `DesiredAccess` `detectionId` `detectionName` `DetectDescription` `DetectId`	-	未映射到 IDM 对象。
`DetectName` `DeviceActiveConfigurationNumber`	-	未映射到 IDM 对象。
`DeviceConnectionStatus`	-	未映射到 IDM 对象。
`DeviceDescriptorNumber`	-	未映射到 IDM 对象。
`DeviceDescriptorSetHash`	-	未映射到 IDM 对象。
`DeviceDescriptorUniqueIdentifier`	-	未映射到 IDM 对象。
`DeviceId`	-	未映射到 IDM 对象。
`DeviceInstanceId`	`event.idm.read_only_udm.target.asset_id`	前缀为 `Device Instance Id:`。
`DeviceManufacturer` `DeviceProduct` `DeviceProductId`	-	未映射到 IDM 对象。
`DevicePropertyClassName`	-	未映射到 IDM 对象。
`DevicePropertyClassGuid`	-	未映射到 IDM 对象。
`DevicePropertyDeviceDescription` `DevicePropertyFriendlyName`	-	未映射到 IDM 对象。
`DevicePropertyLocationInformation` `DevicePropertyManufacturer`	-	未映射到 IDM 对象。
`DeviceProtocol`	-	未映射到 IDM 对象。
`DeviceSerialNumber` `DeviceTimeStamp` `DeviceType`	-	未映射到 IDM 对象。
`DeviceUsbClass`	-	未映射到 IDM 对象。
`DeviceUsbSubclass`	-	未映射到 IDM 对象。
`DeviceUsbVersion`	-	未映射到 IDM 对象。
`DeviceVendorId`	-	未映射到 IDM 对象。
`DeviceVersion`	-	未映射到 IDM 对象。
`DirectoryCreate` `DirectoryCreatedCount`	`security_result.detection_fields[0].value`	`EndOfProcess` 事件的一部分。
`DirectoryEnumeratedCount`	`security_result.detection_fields[0].value`	`EndOfProcess` 事件的一部分。
`DisableRealtimeMonitoring` `DisallowStartIfOnBatteries`	-	未映射到 IDM 对象。
`DisallowStartOnRemoteAppSession`	-	未映射到 IDM 对象。
`DiskParentDeviceInstanceId` `DllCharacteristics`	-	未映射到 IDM 对象。
`DllInjection` `DlpPolicy`	-	未映射到 IDM 对象。
`DlpVerdict`	-	未映射到 IDM 对象。
`DmpFileWritten` `DnsRequest` `DnsRequestCount`	`security_result.detection_fields[0].value`	`EndOfProcess` 事件的一部分。
`DnsResponseType`	-	未映射到 IDM 对象。
`DnsResponseTtl`	-	未映射到 IDM 对象。
`DocumentFileWrittenCount`	`security_result.detection_fields[0].value`	`EndOfProcess` 事件的一部分。
`DomainName`	`event.idm.read_only_udm.target.hostname`、`event.idm.read_only_udm.target.asset.hostname`、`event.idm.read_only_udm.network.dns.questions[0].name`	如果 `DomainName` 不为 null，请创建一个值为 `DomainName` 的主机名实体，并将其添加到 `event.idm.read_only_udm.target.hostname`、`event.idm.read_only_udm.target.asset.hostname` 和 `event.idm.read_only_udm.network.dns.questions[0].name`。
`DotnetModuleFlags`	-	未映射到 IDM 对象。
`DotnetModuleId`	-	未映射到 IDM 对象。
`DotnetModuleLoadDetectInfo` `DownloadPath`	-	未映射到 IDM 对象。
`DownloadPort`	-	未映射到 IDM 对象。
`DownloadServer` `DriverLoad` `DualRequest`	-	未映射到 IDM 对象。
`EffectiveTransmissionClass` `Effective`	-	未映射到 IDM 对象。
`EfiSupported`	-	未映射到 IDM 对象。
`EfiVariableCustomMode`	-	未映射到 IDM 对象。
`EfiVariableCustomModeAttributes`	-	未映射到 IDM 对象。
`EfiVariableDbAttributes`	-	未映射到 IDM 对象。
`EfiVariableDbxAttributes`	-	未映射到 IDM 对象。
`EfiVariableDbxSha256Hash`	-	未映射到 IDM 对象。
`EfiVariableKekAttributes`	-	未映射到 IDM 对象。
`EfiVariableKekSha256Hash`	-	未映射到 IDM 对象。
`EfiVariablePkAttributes`	-	未映射到 IDM 对象。
`EfiVariablePkSha256Hash`	-	未映射到 IDM 对象。
`EfiVariableSecureBoot`	-	未映射到 IDM 对象。
`EfiVariableSecureBootAttributes`	-	未映射到 IDM 对象。
`EfiVariableSetupMode`	-	未映射到 IDM 对象。
`EfiVariableSetupModeAttributes`	-	未映射到 IDM 对象。
`EfiVariableSignatureSupport`	-	未映射到 IDM 对象。
`EfiVariableSignatureSupportAttributes`	-	未映射到 IDM 对象。
`EndpointDescriptorAddress`	-	未映射到 IDM 对象。
`EndpointDescriptorAttributes`	-	未映射到 IDM 对象。
`EndpointDescriptorInterval`	-	未映射到 IDM 对象。
`EndpointDescriptorMaxPacketSize`	-	未映射到 IDM 对象。
`EndOfProcess` `Entitlements` `ErrorEvent` `ErrorCode`	-	未映射到 IDM 对象。
`ErrorLocation`	-	未映射到 IDM 对象。
`ErrorReason`	-	未映射到 IDM 对象。
`ErrorSource`	-	未映射到 IDM 对象。
`ErrorStatus`	-	未映射到 IDM 对象。
`ErrorText`	-	未映射到 IDM 对象。
`EventLogCleared` `EventMax`	-	未映射到 IDM 对象。
`EventMin`	-	未映射到 IDM 对象。
`EventOrigin`	-	未映射到 IDM 对象。
`EventType`	`event.idm.read_only_udm.metadata.product_event_type`	如果 `event_simpleName` 为 null 且 `EventType` 不为 null，则创建一个值为 `EventType` 的 product_event_type 实体，并将其添加到 `event.idm.read_only_udm.metadata.product_event_type`。
`EtwErrorEvent` `EtwRawProcessId`	-	未映射到 IDM 对象。
`EtwRawThreadId`	-	未映射到 IDM 对象。
`ExecutableDeleted` `ExecutableDeletedCount`	`security_result.detection_fields[0].value`	`EndOfProcess` 事件的一部分。
`ExeAndServiceCount`	`security_result.detection_fields[0].value`	`EndOfProcess` 事件的一部分。
`ExitCode`	-	未映射到 IDM 对象。
`Exploit` `ExternalApiType`	`event.idm.read_only_udm.metadata.product_event_type`，`event.idm.read_only_udm.extensions.auth.auth_details`	如果 `message` 包含 `event1`，则将 `ExternalApiType` 重命名为 `event.idm.read_only_udm.metadata.product_event_type`。否则，将其重命名为 `event.idm.read_only_udm.extensions.auth.auth_details`。
`Facility`	-	未映射到 IDM 对象。
`FailedConnectCount`	-	未映射到 IDM 对象。
`FalconHostLink` `FalconServiceComponent`	-	未映射到 IDM 对象。
`FalconServiceServletErrors`	-	未映射到 IDM 对象。
`FalconServiceServletStarts`	-	未映射到 IDM 对象。
`FalconServiceState`	-	未映射到 IDM 对象。
`FalconServiceStatus` `FeatureExtractionVersion`	-	未映射到 IDM 对象。
`FeatureVector`	-	未映射到 IDM 对象。
`File`	-	未映射到 IDM 对象。
`FileAttributes`	-	未映射到 IDM 对象。
`FileCreateInfo` `FileDeletedCount`	`security_result.detection_fields[0].value`	`EndOfProcess` 事件的一部分。
`FileDeleteInfo` `FileEcpBitmask`	-	未映射到 IDM 对象。
`FileEventType`	-	未映射到 IDM 对象。
`FileIdentifier` `FileObject`	-	未映射到 IDM 对象。
`FileName` `FileOpenInfo` `FileRenameInfo` `FileSigningTime`	-	未映射到 IDM 对象。
`FirewallAction`	-	未映射到 IDM 对象。
`FirewallChangeOption` `FirewallDeleteRule` `FirewallDeleteRuleIP4` `FirewallDeleteRuleIP6` `FirewallEnabled` `FirewallOption` `FirewallOptionNumericValue`	-	未映射到 IDM 对象。
`FirewallProfile`	-	未映射到 IDM 对象。
`FirewallRule` `FirewallRuleId` `FirewallSetRule` `FirewallSetRuleIP4` `FirewallSetRuleIP6` `FirmwareAnalysisErrorEvent` `FirmwareAnalysisErrorLocation`	-	未映射到 IDM 对象。
`FirmwareAnalysisErrorReason`	-	未映射到 IDM 对象。
`FirmwareAnalysisErrorSource`	-	未映射到 IDM 对象。
`FirmwareAnalysisHardwareData` `FirmwareAnalysisStatus` `FirmwareAnalysisCpuSupported`	-	未映射到 IDM 对象。
`FirmwareAnalysisEclControlInterfaceVersion`	-	未映射到 IDM 对象。
`FirmwareAnalysisEclConsumerInterfaceVersion`	-	未映射到 IDM 对象。
`FirmwareImageAnalyzed` `FirmwareRegionMeasured` `FirmwareSize`	-	未映射到 IDM 对象。
`FirmwareType`	-	未映射到 IDM 对象。
`FirstDiscoveredDate`	-	未映射到 IDM 对象。
`FirstIP4Record` `Flags`	-	未映射到 IDM 对象。
`FltCallbackData`	-	未映射到 IDM 对象。
`FltCompletionContext`	-	未映射到 IDM 对象。
`FltRelatedObjects`	-	未映射到 IDM 对象。
`FontBuffer`	-	未映射到 IDM 对象。
`FontBufferLength`	-	未映射到 IDM 对象。
`FontFileCount`	-	未映射到 IDM 对象。
`FontFileName` `FontLoadOperation`	-	未映射到 IDM 对象。
`FsOperationBlocked`	`event1.PatternDispositionFlags.FsOperationBlocked`	“`Event_DetectionSummaryEvent`”的一部分
`FsPostOpenSnapshotFile` `FsVolumeMounted` `FsVolumeUnmounted` `FullContext`	-	未映射到 IDM 对象。
`FullExceptionRecord`	-	未映射到 IDM 对象。
`GcpCreationTimestamp` `GenericFileWrittenCount`	`security_result.detection_fields[0].value`	`EndOfProcess` 事件的一部分。
`GID`	-	未映射到 IDM 对象。
`GrandparentCommandLine` `GrandparentImageFileName` `GrandParentBaseFileName` `GroupIdentity` `GroupRid` `GzipFileWritten` `HandleCreated`	-	未映射到 IDM 对象。
`HIDDescriptorCountryCode`	-	未映射到 IDM 对象。
`HIDDescriptorNumDescriptors`	-	未映射到 IDM 对象。
`HIDDescriptorVersion`	-	未映射到 IDM 对象。
`HIPHandlers.dll`	`event.idm.read_only_udm.target.file.full_path`	TargetFileName 的一部分。
`HostGroups`	-	未映射到 IDM 对象。
`HostHiddenStatus` `HostInfo` `HostnameChanged` `hostname` `HostProcessType`	-	未映射到 IDM 对象。
`HostUrl` `HttpRequestDetect` `HttpRequestHeader` `HttpUrl` `IcmpCode`	-	未映射到 IDM 对象。
`IcmpType`	-	未映射到 IDM 对象。
`id` `IdleSettings`	-	未映射到 IDM 对象。
`ImageFileName` `ImageSubsystem`	-	未映射到 IDM 对象。
`Image`	-	未映射到 IDM 对象。
`ImpersonatedUserName` `InBroadcastOctets`	-	未映射到 IDM 对象。
`InContext`	-	未映射到 IDM 对象。
`InDiscards`	-	未映射到 IDM 对象。
`Indicator`	`event1.PatternDispositionFlags.Indicator`	“`Event_DetectionSummaryEvent`”的一部分
`InddetMask`	`event1.PatternDispositionFlags.InddetMask`	“`Event_DetectionSummaryEvent`”的一部分
`InErrors`	-	未映射到 IDM 对象。
`Information`	-	未映射到 IDM 对象。
`InjectedDll` `InjectedThread` `InjectedThreadCount`	`security_result.detection_fields[0].value`	`EndOfProcess` 事件的一部分。
`InjectedThreadFlag`	-	未映射到 IDM 对象。
`InMulticastOctets`	-	未映射到 IDM 对象。
`InNUcastPkts`	-	未映射到 IDM 对象。
`InOctets`	-	未映射到 IDM 对象。
`InstallDate`	-	未映射到 IDM 对象。
`InstalledApplication` `InstalledUpdateExtendedStatus`	-	未映射到 IDM 对象。
`InstalledUpdateIds`	-	未映射到 IDM 对象。
`InstalledUpdates` `InstanceMetadata` `InstanceMetadataProvider`	-	未映射到 IDM 对象。
`InstanceMetadataRequest`	-	未映射到 IDM 对象。
`InstanceMetadataSignature`	-	未映射到 IDM 对象。
`InUcastOctets`	-	未映射到 IDM 对象。
`InUcastPkts`	-	未映射到 IDM 对象。
`InUnknownProtos`	-	未映射到 IDM 对象。
`IntegrityLevel`	-	未映射到 IDM 对象。
`InterfaceAlias`	-	未映射到 IDM 对象。
`InterfaceDescription`	-	未映射到 IDM 对象。
`InterfaceFlags`	-	未映射到 IDM 对象。
`InterfaceGuid`	-	未映射到 IDM 对象。
`InterfaceIdentifier`	-	未映射到 IDM 对象。
`InterfaceIndex`	-	未映射到 IDM 对象。
`InterfaceMtu`	-	未映射到 IDM 对象。
`InterfaceType`	-	未映射到 IDM 对象。
`InterfaceVersion`	-	未映射到 IDM 对象。
`InjectedDllCount`	`security_result.detection_fields[0].value`	`EndOfProcess` 事件的一部分。
`InjectedThreadFlag`	-	未映射到 IDM 对象。
`InkDiv.dll`	`event.idm.read_only_udm.target.file.full_path`	“`ExecutablesWritten`”的一部分
`InkObj.dll`	`event.idm.read_only_udm.target.file.full_path`	“`ExecutablesWritten`”的一部分
`InMulticastPkts`	-	未映射到 IDM 对象。
`InOctets`	-	未映射到 IDM 对象。
`InUcastPkts`	-	未映射到 IDM 对象。
`IOARuleGroupName` `IOARuleInstanceID`	-	未映射到 IDM 对象。
`IOARuleInstanceVersion`	-	未映射到 IDM 对象。
`IOARuleName` `IOServiceClass`	-	未映射到 IDM 对象。
`IOServiceName`	-	未映射到 IDM 对象。
`IOServicePath`	-	未映射到 IDM 对象。
`IOServiceProperties`	-	未映射到 IDM 对象。
`IOServiceRegister` `IoSessionConnected` `IoSessionLoggedOn` `IpEntryFlags`	-	未映射到 IDM 对象。
`IrpFlags`	-	未映射到 IDM 对象。
`IsCpuDataCommonOnAllCores`	-	未映射到 IDM 对象。
`IsNorthBridgeSupported`	-	未映射到 IDM 对象。
`IsOnClearCaseMvfs`	-	未映射到 IDM 对象。
`IsOnNetwork` `IsOnRemovableDisk` `IsOn`	-	未映射到 IDM 对象。
`IsRemote`	-	未映射到 IDM 对象。
`IsSouthBridgeSupported`	-	未映射到 IDM 对象。
`IsTransactedFile`	-	未映射到 IDM 对象。
`IsUnique`	-	未映射到 IDM 对象。
`JavaInjectedThread` `JarFileWritten` `KernelModeLoadImage` `KernelTime`	-	未映射到 IDM 对象。
`KextUnload` `K8SCreationTimestamp` `K8SDetectionEvent` `LanguageId`	-	未映射到 IDM 对象。
`LastAdded`	-	未映射到 IDM 对象。
`LastDiscoveredBy`	-	未映射到 IDM 对象。
`LastDisplayed`	-	未映射到 IDM 对象。
`LastLoggedOnHost`	-	未映射到 IDM 对象。
`LastUpdateInstalledTime`	-	未映射到 IDM 对象。
`LateralMovement`	-	未映射到 IDM 对象。
`LdapSearchAttributes`	-	未映射到 IDM 对象。
`LdapSearchBaseObjectSample`	-	未映射到 IDM 对象。
`LdapSearchFilterSample`	-	未映射到 IDM 对象。
`LdapSearchFilterShape`	-	未映射到 IDM 对象。
`LdapSearchQueryClassification`	-	未映射到 IDM 对象。
`LdapSearchQueryToken`	-	未映射到 IDM 对象。
`LdapSearchScope`	-	未映射到 IDM 对象。
`LdapSearchSizeLimit`	-	未映射到 IDM 对象。
`LdapSecurityType`	-	未映射到 IDM 对象。
`LightningLatencyInfo` `LightningLatencyState`	-	未映射到 IDM 对象。
`Line`	-	未映射到 IDM 对象。
`LinkLocalAddressBehavior`	-	未映射到 IDM 对象。
`LinkLocalAddressTimeout`	-	未映射到 IDM 对象。
`LinkName` `LocalAccount`	-	未映射到 IDM 对象。
`LocalAddressIP4` `LocalAddressIP6` `LocalAddressMaskIP4`	-	未映射到 IDM 对象。
`LocalAddressMaskIP6`	-	未映射到 IDM 对象。
`LocalAdminAccess`	-	未映射到 IDM 对象。
`LocalIpAddressIP4` `LocalIpAddressIP6` `LocalIpAddressRemovedIP4` `LocalIpAddressRemovedIP6` `LocalPort` `LocalSession`	-	未映射到 IDM 对象。
`localipCount` `LockScreenEnabled`	-	未映射到 IDM 对象。
`LockScreenStatus` `LogoffTime` `LogonDomain` `LogonId`	-	未映射到 IDM 对象。
`LogonInfo`	`security_result.summary`	将 `event_type` 设置为 `USER_LOGIN`。
`LogonServer` `LogonTime` `LogonType`	`event.idm.read_only_udm.extensions.auth.mechanism`	根据 `LogonType` 值映射到 UDM 枚举值。
`LogoffTime` `LsassHandleFromUnsignedModule` `MAC`	`event.idm.read_only_udm.principal.mac`	转换为小写，并将英文冒号替换为连字符。
`MACAddress`	`event.idm.read_only_udm.principal.mac`	连字符替换为英文冒号。
`MACPrefix`	-	未映射到 IDM 对象。
`MachOFileWritten` `MachOSubType`	-	未映射到 IDM 对象。
`MachineDn` `MachineDomain` `MajorFunction`	-	未映射到 IDM 对象。
`MajorVersion`	-	未映射到 IDM 对象。
`Malicious`	-	未映射到 IDM 对象。
`ManagedPdbBuildPath` `MappedFromUserMode`	-	未映射到 IDM 对象。
`MaxReassemblySize`	-	未映射到 IDM 对象。
`MaxRouterAdvertisementInterval`	-	未映射到 IDM 对象。
`MaxThreadCount`	-	未映射到 IDM 对象。
`MD5HashData`	`event.idm.read_only_udm.target.file.md5`，`event.idm.read_only_udm.target.process.file.md5`	如果 `MD5HashData` 是有效的 MD5 哈希且不全为零，则创建一个值为 `MD5HashData` 的 MD5 哈希实体，并将其添加到 `event.idm.read_only_udm.target.file.md5` 和 `event.idm.read_only_udm.target.process.file.md5`。
`MD5String` `MediaConnectState`	-	未映射到 IDM 对象。
`MediaType`	-	未映射到 IDM 对象。
`MemoryAvailable`	-	未映射到 IDM 对象。
`MemoryRegionProtection`	-	未映射到 IDM 对象。
`MemoryRegionStart`	-	未映射到 IDM 对象。
`MemoryTotal`	-	未映射到 IDM 对象。
`MmioDataSmiEn`	-	未映射到 IDM 对象。
`MmioDataTco1Cnt`	-	未映射到 IDM 对象。
`MLModelVersion`	-	未映射到 IDM 对象。
`MobileDetection` `MobileDetectionId`	-	未映射到 IDM 对象。
`MobileOsIntegrityIntact`	-	未映射到 IDM 对象。
`MobileOsIntegrityStatus` `MobilePowerStats` `MoboManufacturer`	-	未映射到 IDM 对象。
`MoboProductName`	-	未映射到 IDM 对象。
`ModelPrediction`	-	未映射到 IDM 对象。
`ModuleBaseAddress`	-	未映射到 IDM 对象。
`ModuleCharacteristics`	-	未映射到 IDM 对象。
`ModuleDetectInfo` `ModuleLoadCount`	-	未映射到 IDM 对象。
`ModuleLoadMechanism`	-	未映射到 IDM 对象。
`ModuleLoadTelemetryClassification`	-	未映射到 IDM 对象。
`ModuleNativePath`	-	未映射到 IDM 对象。
`ModuleSize`	-	未映射到 IDM 对象。
`ModifyServiceBinary` `MostRecentActivityTimeStamp`	-	未映射到 IDM 对象。
`MotwWritten` `mskssrv.sys`	`event.idm.read_only_udm.principal.process.file.full_path`	OriginalFilename 的一部分。
`MultipleInstancesPolicy`	-	未映射到 IDM 对象。
`name` `namespace` `NativePdbBuildPath`	-	未映射到 IDM 对象。
`NegateInterface`	-	未映射到 IDM 对象。
`NegateLocalAddress`	-	未映射到 IDM 对象。
`NegateRemoteAddress`	-	未映射到 IDM 对象。
`NeighborList`	-	未映射到 IDM 对象。
`NeighborListIP4` `NeighborListIP6` `NeighborName` `NetLuidIndex`	-	未映射到 IDM 对象。
`NetShareAdd` `NetShareDelete` `NetShareSecurityModify` `NetworkBindCount`	`security_result.detection_fields[0].value`	`EndOfProcess` 事件的一部分。
`NetworkCapableAsepWriteCount`	`security_result.detection_fields[0].value`	`EndOfProcess` 事件的一部分。
`NetworkCloseCount`	`security_result.detection_fields[0].value`	`EndOfProcess` 事件的一部分。
`NetworkCloseIP4` `NetworkCloseIP6` `NetworkConnectCount`	`security_result.detection_fields[0].value`	`EndOfProcess` 事件的一部分。
`NetworkConnectCountUdp`	`security_result.detection_fields[0].value`	`EndOfProcess` 事件的一部分。
`NetworkConnectIP4` `NetworkConnectIP6` `NetworkContainmentState` `NetworkInterfaceGuid`	-	未映射到 IDM 对象。
`NetworkListenCount`	`security_result.detection_fields[0].value`	`EndOfProcess` 事件的一部分。
`NetworkListenIP4` `NetworkListenIP6` `NetworkModuleLoadCount`	`security_result.detection_fields[0].value`	`EndOfProcess` 事件的一部分。
`NetworkRecvAcceptCount`	`security_result.detection_fields[0].value`	`EndOfProcess` 事件的一部分。
`NetworkReceiveAcceptIP4` `NetworkReceiveAcceptIP6` `NewExecutableRenamed` `NewExecutableWritten` `NewExecutableWrittenCount`	`security_result.detection_fields[0].value`	`EndOfProcess` 事件的一部分。
`NewFileIdentifier`	-	未映射到 IDM 对象。
`NewScriptWritten` `NlMtu`	-	未映射到 IDM 对象。
`NorthBridgeDeviceId`	-	未映射到 IDM 对象。
`NorthBridgeVendorId`	-	未映射到 IDM 对象。
`NumberOfMeasurements`	-	未映射到 IDM 对象。
`OciContainerId`	-	未映射到 IDM 对象。
`OciContainerTelemetry` `OciContainersStartedCount`	-	未映射到 IDM 对象。
`OciContainersStoppedCount`	-	未映射到 IDM 对象。
`OleFileWritten` `OnLinkPrefixLength`	-	未映射到 IDM 对象。
`OoxmlFileWritten` `OperStatus`	-	未映射到 IDM 对象。
`OperationFlags`	-	未映射到 IDM 对象。
`OperationName` `OriginalContentLength`	-	未映射到 IDM 对象。
`OriginalEventTimeStamp`	-	未映射到 IDM 对象。
`OriginalFilename` `OriginalParentAuthenticationId`	-	未映射到 IDM 对象。
`OriginalUserName` `OriginalUserSid` `OsfmDownloadComplete` `OsVersionInfo` `OU` `OutBroadcastOctets`	-	未映射到 IDM 对象。
`OutDiscards`	-	未映射到 IDM 对象。
`OutErrors`	-	未映射到 IDM 对象。
`OutMulticastOctets`	-	未映射到 IDM 对象。
`OutNUcastPkts`	-	未映射到 IDM 对象。
`OutOctets`	-	未映射到 IDM 对象。
`OutUcastOctets`	-	未映射到 IDM 对象。
`OutUcastPkts`	-	未映射到 IDM 对象。
`PackedExecutableWritten` `Parameter64_1`	-	未映射到 IDM 对象。
`Parameter64_2`	-	未映射到 IDM 对象。
`Parameter64_3`	-	未映射到 IDM 对象。
`ParameterSizedBuffer_1`	-	未映射到 IDM 对象。
`Parameter1`	-	未映射到 IDM 对象。
`Parameter2`	-	未映射到 IDM 对象。
`Parameter3`	-	未映射到 IDM 对象。
`ParentAuthenticationId`	-	未映射到 IDM 对象。
`ParentBaseFileName` `ParentCommandLine`	`event1.ParentCommandLine`	“`Event_DetectionSummaryEvent`”的一部分
`ParentHubInstanceId`	-	未映射到 IDM 对象。
`ParentHubPort`	-	未映射到 IDM 对象。
`ParentImageFileName`	`event.idm.read_only_udm.principal.process.file.full_path`，`event1.ParentImageFileName`	“`Event_DetectionSummaryEvent`”的一部分
`ParentProcessId`	`event.idm.read_only_udm.principal.process.product_specific_process_id`，`event1.ParentProcessId`	前缀为 `CS:%{cid}:%{aid}:`。“`Event_DetectionSummaryEvent`”的一部分
`PasswordLastSet`	-	未映射到 IDM 对象。
`PathMtuDiscoveryTimeout`	-	未映射到 IDM 对象。
`PatternDispositionFlags`	-	未映射到 IDM 对象。
`PatternDispositionValue` `PatternDisposition