本頁面由 Cloud Translation API 翻譯而成。

以 CEF 格式收集 CrowdStrike Falcon 記錄

支援的國家/地區：

Google SecOps SIEM

本文說明如何使用 Bindplane 收集 CEF 格式的 CrowdStrike Falcon 記錄。剖析器會擷取鍵/值組合，並對應至 Unified Data Model (UDM)，處理不同的分隔符號，並以嚴重程度和事件類型等額外背景資訊豐富資料。此外，系統也會針對特定事件類型和欄位執行特定轉換，例如使用者登入和安全性結果。

事前準備

確認您有 Google Security Operations 執行個體。
確認您使用的是 Windows 2016 以上版本，或是搭載 systemd 的 Linux 主機。
如果透過 Proxy 執行，請確認防火牆通訊埠已開啟。
確認您擁有 CrowdStrike Falcon 控制台的特殊權限。
取得 Falcon Stream 的 API 憑證 (用戶端 ID 和用戶端密鑰)。

取得 Google SecOps 擷取驗證檔案

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「收集代理程式」。
下載擷取驗證檔案。將檔案安全地儲存在要安裝 Bindplane 的系統上。

取得 Google SecOps 客戶 ID

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「設定檔」。
複製並儲存「機構詳細資料」專區中的客戶 ID。

安裝 Bindplane 代理程式

Windows 安裝

以系統管理員身分開啟「命令提示字元」或「PowerShell」。

執行下列指令：

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 安裝

開啟具有根層級或 sudo 權限的終端機。

執行下列指令：

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安裝資源

如需其他安裝選項，請參閱這份安裝指南。

設定 Bindplane 代理程式，擷取系統記錄檔並傳送至 Google SecOps

存取設定檔：
1. 找出 config.yaml 檔案。通常位於 Linux 的 /etc/bindplane-agent/ 目錄，或 Windows 的安裝目錄。
2. 使用文字編輯器 (例如 nano、vi 或記事本) 開啟檔案。

按照下列方式編輯 config.yaml 檔案：

receivers:
    tcplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:54525"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: SYSLOG
            namespace: cs_falcon
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

視基礎架構需求，替換通訊埠和 IP 位址。
將 <customer_id> 替換為實際的客戶 ID。
將 /path/to/ingestion-authentication-file.json 更新為「取得 Google SecOps 擷取驗證檔案」一節中儲存驗證檔案的路徑。

重新啟動 Bindplane 代理程式，以套用變更

如要在 Linux 中重新啟動 Bindplane 代理程式，請執行下列指令：
```
sudo systemctl restart bindplane-agent
```
如要在 Windows 中重新啟動 Bindplane 代理程式，可以使用「服務」控制台，或輸入下列指令：
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

設定及取得 CrowdStrike API 金鑰

使用具備權限的帳戶登入 CrowdStrike Falcon。
依序前往「選單」>「支援」。
依序點選「API 用戶端」>「金鑰」。
按一下「新增 API 用戶端」。
在「API Scopes」(API 範圍) 部分，依序選取「Event streams」(事件串流) 和「Alerts」(快訊) > 啟用「Read」(讀取) 選項。
按一下「新增」。
複製並儲存「用戶端 ID」、「密碼」和「基本網址」。

安裝 Falcon SIEM Connector

根據所用的作業系統下載 RPM 安裝程式套件。

安裝套件：

CentOS 作業系統：
```
sudo rpm -Uvh <installer package>
```
Ubuntu 作業系統：
```
sudo dpkg -i <installer package>
```

預設安裝目錄：
- Falcon SIEM 連接器 - /opt/crowdstrike/。
- 服務 - /etc/init.d/cs.falconhoseclientd/。

設定 SIEM 連接器，將 CEF 記錄轉送至 Bindplane

以 sudo 使用者身分登入已安裝 SIEM 連接器的電腦。
前往 /opt/crowdstrike/etc/ 目錄。
將 cs.falconhoseclient.cef.cfg 重新命名為 cs.falconhoseclient.cfg。
- SIEM 連接器預設使用 cs.falconhoseclient.cfg 設定。
編輯 cs.falconhoseclient.cfg 檔案，然後修改/設定下列參數：
- api_url: - 您在上一步複製的 CrowdStrike Falcon 基礎網址。
- app_id: - 任何字串，做為連線至 Falcon Streaming API 的 ID (例如設為 app_id: SECOPS-CEF)。
- client_id:：從上一個步驟複製的 client_id 值。
- client_secret:：從上一個步驟複製的 client_secret 值。
- send_to_syslog_server: true - 啟用推送至 Syslog 伺服器。
- host: - Bindplane 代理程式的 IP 或主機名稱。
- port: - BindPlane 代理程式的通訊埠。
儲存 cs.falconhoseclient.cfg 檔案。

啟動 SIEM 連接器服務：

CentOS 作業系統

sudo service cs.falconhoseclientd start

Ubuntu 16.04 以上版本作業系統

sudo systemctl start cs.falconhoseclientd.service

選用：停止 SIEM 連接器服務：

CentOS 作業系統
```
sudo service cs.falconhoseclientd stop
```

Ubuntu 16.04 以上版本作業系統

sudo systemctl stop cs.falconhoseclientd.service

選用步驟：重新啟動 SIEM 連接器服務：
- CentOS 作業系統
```
sudo service cs.falconhoseclientd restart
```
- Ubuntu 16.04 以上版本作業系統
```
sudo systemctl restart cs.falconhoseclientd.service
```

UDM 對應表

記錄欄位	UDM 對應	邏輯
`AccountCreationTimeStamp`	`event.idm.read_only_udm.metadata.event_timestamp`	原始記錄欄位 `AccountCreationTimeStamp` 已重新命名為 `event.idm.read_only_udm.metadata.event_timestamp`。
`AccountDomain`	`event.idm.read_only_udm.principal.administrative_domain`	原始記錄欄位 `AccountDomain` 已重新命名為 `event.idm.read_only_udm.principal.administrative_domain`。
`AccountObjectGuid`	`event.idm.read_only_udm.metadata.product_log_id`	原始記錄欄位 `AccountObjectGuid` 已重新命名為 `event.idm.read_only_udm.metadata.product_log_id`。
`AccountObjectSid`	`event.idm.read_only_udm.principal.user.windows_sid`	原始記錄欄位 `AccountObjectSid` 已重新命名為 `event.idm.read_only_udm.principal.user.windows_sid`。
`AccessType`	-	未對應至 IDM 物件。
`action_taken`	`event.idm.read_only_udm.additional.fields[0].value.string_value`	`AuditKeyValues` 陣列的一部分。
`ActiveCpuCount`	-	未對應至 IDM 物件。
`ActiveDirectoryAuthenticationMethod`	-	未對應至 IDM 物件。
`ActiveDirectoryDataProtocol`	-	未對應至 IDM 物件。
`AddressFamily`	-	未對應至 IDM 物件。
`AdminStatus`	-	未對應至 IDM 物件。
`AllocateVirtualMemoryCount`	`security_result.detection_fields[0].value`	這是 `EndOfProcess` 事件的一部分。
`agent-windows`	`event.idm.read_only_udm.target.file.full_path`	TargetFileName 的一部分。
`AgentIdString`	`event.idm.read_only_udm.principal.asset_id`	前置字串為 `CS:`。
`AgentLoadFlags`	-	未對應至 IDM 物件。
`AgentLocalTime`	-	未對應至 IDM 物件。
`AgentOnline` `AgentTimeOffset`	-	未對應至 IDM 物件。
`AgentVersion` `AggregationActivityCount` `AggregationEarliestTimestamp`	-	未對應至 IDM 物件。
`aid`	`event.idm.read_only_udm.principal.asset_id`	前置字串為 `CS:`。
`aip`	`event.idm.read_only_udm.principal.nat_ip`	如果 `_aid_is_target` 為 false，且 `aip` 不是空值，請使用 `aip` 的值建立 IP 實體，並將其新增至 `event.idm.read_only_udm.principal.nat_ip`。
`aipCount` `AllocVmEtw` `AllocationType`	-	未對應至 IDM 物件。
`AllowHardTerminate`	-	未對應至 IDM 物件。
`AllowStartOnDemand`	-	未對應至 IDM 物件。
`ApcArgument1`	-	未對應至 IDM 物件。
`ApcArgument2`	-	未對應至 IDM 物件。
`ApcContextAddress`	-	未對應至 IDM 物件。
`ApcContextFileName`	-	未對應至 IDM 物件。
`ApcContext`	-	未對應至 IDM 物件。
`ApplicationName` `ApplicationUniqueIdentifier`	-	未對應至 IDM 物件。
`ApplicationVersion`	-	未對應至 IDM 物件。
`AppIs64Bit`	-	未對應至 IDM 物件。
`AppName` `AppPath` `AppPathFlag`	-	未對應至 IDM 物件。
`AppProductId`	-	未對應至 IDM 物件。
`AppType`	-	未對應至 IDM 物件。
`AppUpdateIds`	-	未對應至 IDM 物件。
`AppVendor`	-	未對應至 IDM 物件。
`AppVersion` `ArchiveFileWrittenCount`	`security_result.detection_fields[0].value`	這是 `EndOfProcess` 事件的一部分。
`AsepClass`	-	未對應至 IDM 物件。
`AsepFileChange` `AsepFlags`	-	未對應至 IDM 物件。
`AsepIndex`	-	未對應至 IDM 物件。
`AsepKeyUpdate` `AsepValueUpdate` `AsepValueType`	-	未對應至 IDM 物件。
`AsepWrittenCount`	`security_result.detection_fields[0].value`	這是 `EndOfProcess` 事件的一部分。
`AssociateIndicator` `AssociateTreeIdWithRoot` `AssemblyFlags`	-	未對應至 IDM 物件。
`AssemblyId`	-	未對應至 IDM 物件。
`AssemblyName` `AuthenticationId`	`event.idm.read_only_udm.principal.user.product_object_id`	前置字串為 `CS:`。
`AuthenticationPackage` `AuthenticationUuid`	-	未對應至 IDM 物件。
`AuthenticationUuidAsString`	-	未對應至 IDM 物件。
`AuthenticodeHashData` `AuthenticodeMatch` `automated_remediation`	`assessments.automated_remediation`	這是 `ZeroTrustHostAssessment` 事件的一部分。
`BaseReachableTime`	-	未對應至 IDM 物件。
`BaseTime`	-	未對應至 IDM 物件。
`BatchDataNumber`	-	未對應至 IDM 物件。
`BatchDataTotal`	-	未對應至 IDM 物件。
`BatchTimestamp` `BatteryLevel`	-	未對應至 IDM 物件。
`BatteryStatus`	-	未對應至 IDM 物件。
`BehaviorWhitelisted` `benchmarks` `BenignCount`	-	未對應至 IDM 物件。
`beta_build_disabled`	`assessments.beta_build_disabled`	這是 `ZeroTrustHostAssessment` 事件的一部分。
`BinaryExecutableWrittenCount`	`security_result.detection_fields[0].value`	這是 `EndOfProcess` 事件的一部分。
`BillingInfo` `BillingType`	-	未對應至 IDM 物件。
`BiosManufacturer` `BiosReleaseDate`	-	未對應至 IDM 物件。
`BiosVersion` `BITSJobCreated` `BootArgs`	-	未對應至 IDM 物件。
`BootId`	-	未對應至 IDM 物件。
`BootStatusDataAabEnabled`	-	未對應至 IDM 物件。
`BootStatusDataBootAttemptCount`	-	未對應至 IDM 物件。
`BootStatusDataBootGood`	-	未對應至 IDM 物件。
`BootStatusDataBootShutdown`	-	未對應至 IDM 物件。
`BootTimeFunctionalityLevel`	-	未對應至 IDM 物件。
`BrowserInjectedThread` `BundleID`	-	未對應至 IDM 物件。
`CallStackModuleNames` `CallStackModuleNamesVersion` `ChannelId`	-	未對應至 IDM 物件。
`ChannelVersion`	-	未對應至 IDM 物件。
`ChannelVersionRequired` `ChasisManufacturer`	-	未對應至 IDM 物件。
`ChassisType` `cid` `City` `CLICreationCount`	`security_result.detection_fields[0].value`	這是 `EndOfProcess` 事件的一部分。
`ClassifiedModuleLoad` `CloudAssociateTreeIdWithRoot` `CloudErrorCode`	-	未對應至 IDM 物件。
`CNAMERecords` `CodeIntegrity`	-	未對應至 IDM 物件。
`CommandLine` `CommandSequence`	-	未對應至 IDM 物件。
`CompletionEventId`	-	未對應至 IDM 物件。
`ComputerName`	`event.idm.read_only_udm.principal.hostname`、`event.idm.read_only_udm.principal.asset.hostname`	如果 `ComputerName` 不是空值、空白字串或破折號，請使用 `ComputerName` 的值建立主機名稱實體，並將其新增至 `event.idm.read_only_udm.principal.hostname` 和 `event.idm.read_only_udm.principal.asset.hostname`。
`ConfigBuild` `ConfigIDBase`	-	未對應至 IDM 物件。
`ConfigIDBuild`	-	未對應至 IDM 物件。
`ConfigIDPlatform`	-	未對應至 IDM 物件。
`ConfigurationVersion`	-	未對應至 IDM 物件。
`ConfigStateData`	-	未對應至 IDM 物件。
`ConfigStateHash` `ConfigStateUpdate` `ConnectTime`	-	未對應至 IDM 物件。
`ConnectType`	-	未對應至 IDM 物件。
`Connected`	-	未對應至 IDM 物件。
`ConnectionCipher`	-	未對應至 IDM 物件。
`ConnectionCipherStrength`	-	未對應至 IDM 物件。
`ConnectionDirection`	-	未對應至 IDM 物件。
`ConnectionExchange`	-	未對應至 IDM 物件。
`ConnectionExchangeStrength`	-	未對應至 IDM 物件。
`ConnectionFlags`	-	未對應至 IDM 物件。
`ConnectionHash`	-	未對應至 IDM 物件。
`ConnectionHashStrength`	-	未對應至 IDM 物件。
`ConnectionProtocol`	-	未對應至 IDM 物件。
`ConnectionType`	-	未對應至 IDM 物件。
`Continent` `ContentSHA256HashData` `ContextData`	-	未對應至 IDM 物件。
`ContextProcessId`	`event.idm.read_only_udm.principal.process.product_specific_process_id`、`event.idm.read_only_udm.target.process.product_specific_process_id`	前置字串為 `CS:%{cid}:%{aid}:`。
`ContextThreadId`	-	未對應至 IDM 物件。
`ContextTimeStamp` `ContextTimeStamp_decimal` `Country` `CrashDumpFilePath`	-	未對應至 IDM 物件。
`CrashNotification` `CreateProcessArgs` `CreateProcessCount`	`security_result.detection_fields[0].value`	這是 `EndOfProcess` 事件的一部分。
`CreateService` `CreateThreadNoStartImage` `CreationTimeStamp`	-	未對應至 IDM 物件。
`CriticalFileAccessed` `CriticalFileModified` `CsaProcessDataCollectionInstanceId`	-	未對應至 IDM 物件。
`CurrentFunctionalityLevel`	-	未對應至 IDM 物件。
`CurrentLocalIP`	-	未對應至 IDM 物件。
`CurrentSystemTags` `CustomerIdString` `CycleTime`	-	未對應至 IDM 物件。
`DadState`	-	未對應至 IDM 物件。
`DadTransmits`	-	未對應至 IDM 物件。
`DcName`	`event.idm.read_only_udm.principal.user.userid`	原始記錄欄位 `DcName` 已重新命名為 `event.idm.read_only_udm.principal.user.userid`。
`DcNumAttachments`	-	未對應至 IDM 物件。
`DcNumBlockingPolicies`	-	未對應至 IDM 物件。
`DcOnline` `DcPropertyIdInterfaceType`	-	未對應至 IDM 物件。
`DcPropertyIdInterfaceVersion`	-	未對應至 IDM 物件。
`DcSensorInterfaceType`	-	未對應至 IDM 物件。
`DcSensorInterfaceVersion`	-	未對應至 IDM 物件。
`DcStatus` `DcUsbConfigurationDescriptor` `DcUsbDeviceConnected` `DcUsbDeviceDisconnected` `DcUsbEndpointDescriptor` `DcUsbHIDDescriptor` `DcUsbInterfaceDescriptor` `DCSyncAttempted` `Debug`	-	未對應至 IDM 物件。
`DefaultGatewayIP4`	-	未對應至 IDM 物件。
`DefaultGatewayIP6`	-	未對應至 IDM 物件。
`DefaultGatewayPhysicalAddress`	-	未對應至 IDM 物件。
`DeepHashBlacklistClassification` `DeepHashBlacklistVersion`	-	未對應至 IDM 物件。
`DeliverLocalFXToCloud` `DesiredAccess` `detectionId` `detectionName` `DetectDescription` `DetectId`	-	未對應至 IDM 物件。
`DetectName` `DeviceActiveConfigurationNumber`	-	未對應至 IDM 物件。
`DeviceConnectionStatus`	-	未對應至 IDM 物件。
`DeviceDescriptorNumber`	-	未對應至 IDM 物件。
`DeviceDescriptorSetHash`	-	未對應至 IDM 物件。
`DeviceDescriptorUniqueIdentifier`	-	未對應至 IDM 物件。
`DeviceId`	-	未對應至 IDM 物件。
`DeviceInstanceId`	`event.idm.read_only_udm.target.asset_id`	前置字串為 `Device Instance Id:`。
`DeviceManufacturer` `DeviceProduct` `DeviceProductId`	-	未對應至 IDM 物件。
`DevicePropertyClassName`	-	未對應至 IDM 物件。
`DevicePropertyClassGuid`	-	未對應至 IDM 物件。
`DevicePropertyDeviceDescription` `DevicePropertyFriendlyName`	-	未對應至 IDM 物件。
`DevicePropertyLocationInformation` `DevicePropertyManufacturer`	-	未對應至 IDM 物件。
`DeviceProtocol`	-	未對應至 IDM 物件。
`DeviceSerialNumber` `DeviceTimeStamp` `DeviceType`	-	未對應至 IDM 物件。
`DeviceUsbClass`	-	未對應至 IDM 物件。
`DeviceUsbSubclass`	-	未對應至 IDM 物件。
`DeviceUsbVersion`	-	未對應至 IDM 物件。
`DeviceVendorId`	-	未對應至 IDM 物件。
`DeviceVersion`	-	未對應至 IDM 物件。
`DirectoryCreate` `DirectoryCreatedCount`	`security_result.detection_fields[0].value`	這是 `EndOfProcess` 事件的一部分。
`DirectoryEnumeratedCount`	`security_result.detection_fields[0].value`	這是 `EndOfProcess` 事件的一部分。
`DisableRealtimeMonitoring` `DisallowStartIfOnBatteries`	-	未對應至 IDM 物件。
`DisallowStartOnRemoteAppSession`	-	未對應至 IDM 物件。
`DiskParentDeviceInstanceId` `DllCharacteristics`	-	未對應至 IDM 物件。
`DllInjection` `DlpPolicy`	-	未對應至 IDM 物件。
`DlpVerdict`	-	未對應至 IDM 物件。
`DmpFileWritten` `DnsRequest` `DnsRequestCount`	`security_result.detection_fields[0].value`	這是 `EndOfProcess` 事件的一部分。
`DnsResponseType`	-	未對應至 IDM 物件。
`DnsResponseTtl`	-	未對應至 IDM 物件。
`DocumentFileWrittenCount`	`security_result.detection_fields[0].value`	這是 `EndOfProcess` 事件的一部分。
`DomainName`	`event.idm.read_only_udm.target.hostname`、`event.idm.read_only_udm.target.asset.hostname`、`event.idm.read_only_udm.network.dns.questions[0].name`	如果 `DomainName` 不是空值，請使用 `DomainName` 的值建立主機名稱實體，並將其新增至 `event.idm.read_only_udm.target.hostname`、`event.idm.read_only_udm.target.asset.hostname` 和 `event.idm.read_only_udm.network.dns.questions[0].name`。
`DotnetModuleFlags`	-	未對應至 IDM 物件。
`DotnetModuleId`	-	未對應至 IDM 物件。
`DotnetModuleLoadDetectInfo` `DownloadPath`	-	未對應至 IDM 物件。
`DownloadPort`	-	未對應至 IDM 物件。
`DownloadServer` `DriverLoad` `DualRequest`	-	未對應至 IDM 物件。
`EffectiveTransmissionClass` `Effective`	-	未對應至 IDM 物件。
`EfiSupported`	-	未對應至 IDM 物件。
`EfiVariableCustomMode`	-	未對應至 IDM 物件。
`EfiVariableCustomModeAttributes`	-	未對應至 IDM 物件。
`EfiVariableDbAttributes`	-	未對應至 IDM 物件。
`EfiVariableDbxAttributes`	-	未對應至 IDM 物件。
`EfiVariableDbxSha256Hash`	-	未對應至 IDM 物件。
`EfiVariableKekAttributes`	-	未對應至 IDM 物件。
`EfiVariableKekSha256Hash`	-	未對應至 IDM 物件。
`EfiVariablePkAttributes`	-	未對應至 IDM 物件。
`EfiVariablePkSha256Hash`	-	未對應至 IDM 物件。
`EfiVariableSecureBoot`	-	未對應至 IDM 物件。
`EfiVariableSecureBootAttributes`	-	未對應至 IDM 物件。
`EfiVariableSetupMode`	-	未對應至 IDM 物件。
`EfiVariableSetupModeAttributes`	-	未對應至 IDM 物件。
`EfiVariableSignatureSupport`	-	未對應至 IDM 物件。
`EfiVariableSignatureSupportAttributes`	-	未對應至 IDM 物件。
`EndpointDescriptorAddress`	-	未對應至 IDM 物件。
`EndpointDescriptorAttributes`	-	未對應至 IDM 物件。
`EndpointDescriptorInterval`	-	未對應至 IDM 物件。
`EndpointDescriptorMaxPacketSize`	-	未對應至 IDM 物件。
`EndOfProcess` `Entitlements` `ErrorEvent` `ErrorCode`	-	未對應至 IDM 物件。
`ErrorLocation`	-	未對應至 IDM 物件。
`ErrorReason`	-	未對應至 IDM 物件。
`ErrorSource`	-	未對應至 IDM 物件。
`ErrorStatus`	-	未對應至 IDM 物件。
`ErrorText`	-	未對應至 IDM 物件。
`EventLogCleared` `EventMax`	-	未對應至 IDM 物件。
`EventMin`	-	未對應至 IDM 物件。
`EventOrigin`	-	未對應至 IDM 物件。
`EventType`	`event.idm.read_only_udm.metadata.product_event_type`	如果 `event_simpleName` 為空值，但 `EventType` 不是空值，請建立 product_event_type 實體，並將 `EventType` 的值新增至 `event.idm.read_only_udm.metadata.product_event_type`。
`EtwErrorEvent` `EtwRawProcessId`	-	未對應至 IDM 物件。
`EtwRawThreadId`	-	未對應至 IDM 物件。
`ExecutableDeleted` `ExecutableDeletedCount`	`security_result.detection_fields[0].value`	這是 `EndOfProcess` 事件的一部分。
`ExeAndServiceCount`	`security_result.detection_fields[0].value`	這是 `EndOfProcess` 事件的一部分。
`ExitCode`	-	未對應至 IDM 物件。
`Exploit` `ExternalApiType`	`event.idm.read_only_udm.metadata.product_event_type`、`event.idm.read_only_udm.extensions.auth.auth_details`	如果 `message` 包含 `event1`，`ExternalApiType` 會重新命名為 `event.idm.read_only_udm.metadata.product_event_type`。否則會重新命名為 `event.idm.read_only_udm.extensions.auth.auth_details`。
`Facility`	-	未對應至 IDM 物件。
`FailedConnectCount`	-	未對應至 IDM 物件。
`FalconHostLink` `FalconServiceComponent`	-	未對應至 IDM 物件。
`FalconServiceServletErrors`	-	未對應至 IDM 物件。
`FalconServiceServletStarts`	-	未對應至 IDM 物件。
`FalconServiceState`	-	未對應至 IDM 物件。
`FalconServiceStatus` `FeatureExtractionVersion`	-	未對應至 IDM 物件。
`FeatureVector`	-	未對應至 IDM 物件。
`File`	-	未對應至 IDM 物件。
`FileAttributes`	-	未對應至 IDM 物件。
`FileCreateInfo` `FileDeletedCount`	`security_result.detection_fields[0].value`	這是 `EndOfProcess` 事件的一部分。
`FileDeleteInfo` `FileEcpBitmask`	-	未對應至 IDM 物件。
`FileEventType`	-	未對應至 IDM 物件。
`FileIdentifier` `FileObject`	-	未對應至 IDM 物件。
`FileName` `FileOpenInfo` `FileRenameInfo` `FileSigningTime`	-	未對應至 IDM 物件。
`FirewallAction`	-	未對應至 IDM 物件。
`FirewallChangeOption` `FirewallDeleteRule` `FirewallDeleteRuleIP4` `FirewallDeleteRuleIP6` `FirewallEnabled` `FirewallOption` `FirewallOptionNumericValue`	-	未對應至 IDM 物件。
`FirewallProfile`	-	未對應至 IDM 物件。
`FirewallRule` `FirewallRuleId` `FirewallSetRule` `FirewallSetRuleIP4` `FirewallSetRuleIP6` `FirmwareAnalysisErrorEvent` `FirmwareAnalysisErrorLocation`	-	未對應至 IDM 物件。
`FirmwareAnalysisErrorReason`	-	未對應至 IDM 物件。
`FirmwareAnalysisErrorSource`	-	未對應至 IDM 物件。
`FirmwareAnalysisHardwareData` `FirmwareAnalysisStatus` `FirmwareAnalysisCpuSupported`	-	未對應至 IDM 物件。
`FirmwareAnalysisEclControlInterfaceVersion`	-	未對應至 IDM 物件。
`FirmwareAnalysisEclConsumerInterfaceVersion`	-	未對應至 IDM 物件。
`FirmwareImageAnalyzed` `FirmwareRegionMeasured` `FirmwareSize`	-	未對應至 IDM 物件。
`FirmwareType`	-	未對應至 IDM 物件。
`FirstDiscoveredDate`	-	未對應至 IDM 物件。
`FirstIP4Record` `Flags`	-	未對應至 IDM 物件。
`FltCallbackData`	-	未對應至 IDM 物件。
`FltCompletionContext`	-	未對應至 IDM 物件。
`FltRelatedObjects`	-	未對應至 IDM 物件。
`FontBuffer`	-	未對應至 IDM 物件。
`FontBufferLength`	-	未對應至 IDM 物件。
`FontFileCount`	-	未對應至 IDM 物件。
`FontFileName` `FontLoadOperation`	-	未對應至 IDM 物件。
`FsOperationBlocked`	`event1.PatternDispositionFlags.FsOperationBlocked`	`Event_DetectionSummaryEvent` 的一部分。
`FsPostOpenSnapshotFile` `FsVolumeMounted` `FsVolumeUnmounted` `FullContext`	-	未對應至 IDM 物件。
`FullExceptionRecord`	-	未對應至 IDM 物件。
`GcpCreationTimestamp` `GenericFileWrittenCount`	`security_result.detection_fields[0].value`	這是 `EndOfProcess` 事件的一部分。
`GID`	-	未對應至 IDM 物件。
`GrandparentCommandLine` `GrandparentImageFileName` `GrandParentBaseFileName` `GroupIdentity` `GroupRid` `GzipFileWritten` `HandleCreated`	-	未對應至 IDM 物件。
`HIDDescriptorCountryCode`	-	未對應至 IDM 物件。
`HIDDescriptorNumDescriptors`	-	未對應至 IDM 物件。
`HIDDescriptorVersion`	-	未對應至 IDM 物件。
`HIPHandlers.dll`	`event.idm.read_only_udm.target.file.full_path`	TargetFileName 的一部分。
`HostGroups`	-	未對應至 IDM 物件。
`HostHiddenStatus` `HostInfo` `HostnameChanged` `hostname` `HostProcessType`	-	未對應至 IDM 物件。
`HostUrl` `HttpRequestDetect` `HttpRequestHeader` `HttpUrl` `IcmpCode`	-	未對應至 IDM 物件。
`IcmpType`	-	未對應至 IDM 物件。
`id` `IdleSettings`	-	未對應至 IDM 物件。
`ImageFileName` `ImageSubsystem`	-	未對應至 IDM 物件。
`Image`	-	未對應至 IDM 物件。
`ImpersonatedUserName` `InBroadcastOctets`	-	未對應至 IDM 物件。
`InContext`	-	未對應至 IDM 物件。
`InDiscards`	-	未對應至 IDM 物件。
`Indicator`	`event1.PatternDispositionFlags.Indicator`	`Event_DetectionSummaryEvent` 的一部分。
`InddetMask`	`event1.PatternDispositionFlags.InddetMask`	`Event_DetectionSummaryEvent` 的一部分。
`InErrors`	-	未對應至 IDM 物件。
`Information`	-	未對應至 IDM 物件。
`InjectedDll` `InjectedThread` `InjectedThreadCount`	`security_result.detection_fields[0].value`	這是 `EndOfProcess` 事件的一部分。
`InjectedThreadFlag`	-	未對應至 IDM 物件。
`InMulticastOctets`	-	未對應至 IDM 物件。
`InNUcastPkts`	-	未對應至 IDM 物件。
`InOctets`	-	未對應至 IDM 物件。
`InstallDate`	-	未對應至 IDM 物件。
`InstalledApplication` `InstalledUpdateExtendedStatus`	-	未對應至 IDM 物件。
`InstalledUpdateIds`	-	未對應至 IDM 物件。
`InstalledUpdates` `InstanceMetadata` `InstanceMetadataProvider`	-	未對應至 IDM 物件。
`InstanceMetadataRequest`	-	未對應至 IDM 物件。
`InstanceMetadataSignature`	-	未對應至 IDM 物件。
`InUcastOctets`	-	未對應至 IDM 物件。
`InUcastPkts`	-	未對應至 IDM 物件。
`InUnknownProtos`	-	未對應至 IDM 物件。
`IntegrityLevel`	-	未對應至 IDM 物件。
`InterfaceAlias`	-	未對應至 IDM 物件。
`InterfaceDescription`	-	未對應至 IDM 物件。
`InterfaceFlags`	-	未對應至 IDM 物件。
`InterfaceGuid`	-	未對應至 IDM 物件。
`InterfaceIdentifier`	-	未對應至 IDM 物件。
`InterfaceIndex`	-	未對應至 IDM 物件。
`InterfaceMtu`	-	未對應至 IDM 物件。
`InterfaceType`	-	未對應至 IDM 物件。
`InterfaceVersion`	-	未對應至 IDM 物件。
`InjectedDllCount`	`security_result.detection_fields[0].value`	這是 `EndOfProcess` 事件的一部分。
`InjectedThreadFlag`	-	未對應至 IDM 物件。
`InkDiv.dll`	`event.idm.read_only_udm.target.file.full_path`	`ExecutablesWritten` 的一部分。
`InkObj.dll`	`event.idm.read_only_udm.target.file.full_path`	`ExecutablesWritten` 的一部分。
`InMulticastPkts`	-	未對應至 IDM 物件。
`InOctets`	-	未對應至 IDM 物件。
`InUcastPkts`	-	未對應至 IDM 物件。
`IOARuleGroupName` `IOARuleInstanceID`	-	未對應至 IDM 物件。
`IOARuleInstanceVersion`	-	未對應至 IDM 物件。
`IOARuleName` `IOServiceClass`	-	未對應至 IDM 物件。
`IOServiceName`	-	未對應至 IDM 物件。
`IOServicePath`	-	未對應至 IDM 物件。
`IOServiceProperties`	-	未對應至 IDM 物件。
`IOServiceRegister` `IoSessionConnected` `IoSessionLoggedOn` `IpEntryFlags`	-	未對應至 IDM 物件。
`IrpFlags`	-	未對應至 IDM 物件。
`IsCpuDataCommonOnAllCores`	-	未對應至 IDM 物件。
`IsNorthBridgeSupported`	-	未對應至 IDM 物件。
`IsOnClearCaseMvfs`	-	未對應至 IDM 物件。
`IsOnNetwork` `IsOnRemovableDisk` `IsOn`	-	未對應至 IDM 物件。
`IsRemote`	-	未對應至 IDM 物件。
`IsSouthBridgeSupported`	-	未對應至 IDM 物件。
`IsTransactedFile`	-	未對應至 IDM 物件。
`IsUnique`	-	未對應至 IDM 物件。
`JavaInjectedThread` `JarFileWritten` `KernelModeLoadImage` `KernelTime`	-	未對應至 IDM 物件。
`KextUnload` `K8SCreationTimestamp` `K8SDetectionEvent` `LanguageId`	-	未對應至 IDM 物件。
`LastAdded`	-	未對應至 IDM 物件。
`LastDiscoveredBy`	-	未對應至 IDM 物件。
`LastDisplayed`	-	未對應至 IDM 物件。
`LastLoggedOnHost`	-	未對應至 IDM 物件。
`LastUpdateInstalledTime`	-	未對應至 IDM 物件。
`LateralMovement`	-	未對應至 IDM 物件。
`LdapSearchAttributes`	-	未對應至 IDM 物件。
`LdapSearchBaseObjectSample`	-	未對應至 IDM 物件。
`LdapSearchFilterSample`	-	未對應至 IDM 物件。
`LdapSearchFilterShape`	-	未對應至 IDM 物件。
`LdapSearchQueryClassification`	-	未對應至 IDM 物件。
`LdapSearchQueryToken`	-	未對應至 IDM 物件。
`LdapSearchScope`	-	未對應至 IDM 物件。
`LdapSearchSizeLimit`	-	未對應至 IDM 物件。
`LdapSecurityType`	-	未對應至 IDM 物件。
`LightningLatencyInfo` `LightningLatencyState`	-	未對應至 IDM 物件。
`Line`	-	未對應至 IDM 物件。
`LinkLocalAddressBehavior`	-	未對應至 IDM 物件。
`LinkLocalAddressTimeout`	-	未對應至 IDM 物件。
`LinkName` `LocalAccount`	-	未對應至 IDM 物件。
`LocalAddressIP4` `LocalAddressIP6` `LocalAddressMaskIP4`	-	未對應至 IDM 物件。
`LocalAddressMaskIP6`	-	未對應至 IDM 物件。
`LocalAdminAccess`	-	未對應至 IDM 物件。
`LocalIpAddressIP4` `LocalIpAddressIP6` `LocalIpAddressRemovedIP4` `LocalIpAddressRemovedIP6` `LocalPort` `LocalSession`	-	未對應至 IDM 物件。
`localipCount` `LockScreenEnabled`	-	未對應至 IDM 物件。
`LockScreenStatus` `LogoffTime` `LogonDomain` `LogonId`	-	未對應至 IDM 物件。
`LogonInfo`	`security_result.summary`	將 `event_type` 設為 `USER_LOGIN`。
`LogonServer` `LogonTime` `LogonType`	`event.idm.read_only_udm.extensions.auth.mechanism`	根據 `LogonType` 值對應至 UDM 列舉值。
`LogoffTime` `LsassHandleFromUnsignedModule` `MAC`	`event.idm.read_only_udm.principal.mac`	轉換為小寫，並將半形冒號替換為連字號。
`MACAddress`	`event.idm.read_only_udm.principal.mac`	連字號會替換為半形冒號。
`MACPrefix`	-	未對應至 IDM 物件。
`MachOFileWritten` `MachOSubType`	-	未對應至 IDM 物件。
`MachineDn` `MachineDomain` `MajorFunction`	-	未對應至 IDM 物件。
`MajorVersion`	-	未對應至 IDM 物件。
`Malicious`	-	未對應至 IDM 物件。
`ManagedPdbBuildPath` `MappedFromUserMode`	-	未對應至 IDM 物件。
`MaxReassemblySize`	-	未對應至 IDM 物件。
`MaxRouterAdvertisementInterval`	-	未對應至 IDM 物件。
`MaxThreadCount`	-	未對應至 IDM 物件。
`MD5HashData`	`event.idm.read_only_udm.target.file.md5`、`event.idm.read_only_udm.target.process.file.md5`	如果 `MD5HashData` 是有效的 MD5 雜湊，且不全為零，請使用 `MD5HashData` 的值建立 MD5 雜湊實體，並將其新增至 `event.idm.read_only_udm.target.file.md5` 和 `event.idm.read_only_udm.target.process.file.md5`。
`MD5String` `MediaConnectState`	-	未對應至 IDM 物件。
`MediaType`	-	未對應至 IDM 物件。
`MemoryAvailable`	-	未對應至 IDM 物件。
`MemoryRegionProtection`	-	未對應至 IDM 物件。
`MemoryRegionStart`	-	未對應至 IDM 物件。
`MemoryTotal`	-	未對應至 IDM 物件。
`MmioDataSmiEn`	-	未對應至 IDM 物件。
`MmioDataTco1Cnt`	-	未對應至 IDM 物件。
`MLModelVersion`	-	未對應至 IDM 物件。
`MobileDetection` `MobileDetectionId`	-	未對應至 IDM 物件。
`MobileOsIntegrityIntact`	-	未對應至 IDM 物件。
`MobileOsIntegrityStatus` `MobilePowerStats` `MoboManufacturer`	-	未對應至 IDM 物件。
`MoboProductName`	-	未對應至 IDM 物件。
`ModelPrediction`	-	未對應至 IDM 物件。
`ModuleBaseAddress`	-	未對應至 IDM 物件。
`ModuleCharacteristics`	-	未對應至 IDM 物件。
`ModuleDetectInfo` `ModuleLoadCount`	-	未對應至 IDM 物件。
`ModuleLoadMechanism`	-	未對應至 IDM 物件。
`ModuleLoadTelemetryClassification`	-	未對應至 IDM 物件。
`ModuleNativePath`	-	未對應至 IDM 物件。
`ModuleSize`	-	未對應至 IDM 物件。
`ModifyServiceBinary` `MostRecentActivityTimeStamp`	-	未對應至 IDM 物件。
`MotwWritten` `mskssrv.sys`	`event.idm.read_only_udm.principal.process.file.full_path`	OriginalFilename 的一部分。
`MultipleInstancesPolicy`	-	未對應至 IDM 物件。
`name` `namespace` `NativePdbBuildPath`	-	未對應至 IDM 物件。
`NegateInterface`	-	未對應至 IDM 物件。
`NegateLocalAddress`	-	未對應至 IDM 物件。
`NegateRemoteAddress`	-	未對應至 IDM 物件。
`NeighborList`	-	未對應至 IDM 物件。
`NeighborListIP4` `NeighborListIP6` `NeighborName` `NetLuidIndex`	-	未對應至 IDM 物件。
`NetShareAdd` `NetShareDelete` `NetShareSecurityModify` `NetworkBindCount`	`security_result.detection_fields[0].value`	這是 `EndOfProcess` 事件的一部分。
`NetworkCapableAsepWriteCount`	`security_result.detection_fields[0].value`	這是 `EndOfProcess` 事件的一部分。
`NetworkCloseCount`	`security_result.detection_fields[0].value`	這是 `EndOfProcess` 事件的一部分。
`NetworkCloseIP4` `NetworkCloseIP6` `NetworkConnectCount`	`security_result.detection_fields[0].value`	這是 `EndOfProcess` 事件的一部分。
`NetworkConnectCountUdp`	`security_result.detection_fields[0].value`	這是 `EndOfProcess` 事件的一部分。
`NetworkConnectIP4` `NetworkConnectIP6` `NetworkContainmentState` `NetworkInterfaceGuid`	-	未對應至 IDM 物件。
`NetworkListenCount`	`security_result.detection_fields[0].value`	這是 `EndOfProcess` 事件的一部分。
`NetworkListenIP4` `NetworkListenIP6` `NetworkModuleLoadCount`	`security_result.detection_fields[0].value`	這是 `EndOfProcess` 事件的一部分。
`NetworkRecvAcceptCount`	`security_result.detection_fields[0].value`	這是 `EndOfProcess` 事件的一部分。
`NetworkReceiveAcceptIP4` `NetworkReceiveAcceptIP6` `NewExecutableRenamed` `NewExecutableWritten` `NewExecutableWrittenCount`	`security_result.detection_fields[0].value`	這是 `EndOfProcess` 事件的一部分。
`NewFileIdentifier`	-	未對應至 IDM 物件。
`NewScriptWritten` `NlMtu`	-	未對應至 IDM 物件。
`NorthBridgeDeviceId`	-	未對應至 IDM 物件。
`NorthBridgeVendorId`	-	未對應至 IDM 物件。
`NumberOfMeasurements`	-	未對應至 IDM 物件。
`OciContainerId`	-	未對應至 IDM 物件。
`OciContainerTelemetry` `OciContainersStartedCount`	-	未對應至 IDM 物件。
`OciContainersStoppedCount`	-	未對應至 IDM 物件。
`OleFileWritten` `OnLinkPrefixLength`	-	未對應至 IDM 物件。
`OoxmlFileWritten` `OperStatus`	-	未對應至 IDM 物件。
`OperationFlags`	-	未對應至 IDM 物件。
`OperationName` `OriginalContentLength`	-	未對應至 IDM 物件。
`OriginalEventTimeStamp`	-	未對應至 IDM 物件。
`OriginalFilename` `OriginalParentAuthenticationId`	-	未對應至 IDM 物件。
`OriginalUserName` `OriginalUserSid` `OsfmDownloadComplete` `OsVersionInfo` `OU` `OutBroadcastOctets`	-	未對應至 IDM 物件。
`OutDiscards`	-	未對應至 IDM 物件。
`OutErrors`	-	未對應至 IDM 物件。
`OutMulticastOctets`	-	未對應至 IDM 物件。
`OutNUcastPkts`	-	未對應至 IDM 物件。
`OutOctets`	-	未對應至 IDM 物件。
`OutUcastOctets`	-	未對應至 IDM 物件。
`OutUcastPkts`	-	未對應至 IDM 物件。
`PackedExecutableWritten` `Parameter64_1`	-	未對應至 IDM 物件。
`Parameter64_2`	-	未對應至 IDM 物件。
`Parameter64_3`	-	未對應至 IDM 物件。
`ParameterSizedBuffer_1`	-	未對應至 IDM 物件。
`Parameter1`	-	未對應至 IDM 物件。
`Parameter2`	-	未對應至 IDM 物件。
`Parameter3`	-	未對應至 IDM 物件。
`ParentAuthenticationId`	-	未對應至 IDM 物件。
`ParentBaseFileName` `ParentCommandLine`	`event1.ParentCommandLine`	`Event_DetectionSummaryEvent` 的一部分。
`ParentHubInstanceId`	-	未對應至 IDM 物件。
`ParentHubPort`	-	未對應至 IDM 物件。
`ParentImageFileName`	`event.idm.read_only_udm.principal.process.file.full_path`、`event1.ParentImageFileName`	`Event_DetectionSummaryEvent` 的一部分。
`ParentProcessId`	`event.idm.read_only_udm.principal.process.product_specific_process_id`、`event1.ParentProcessId`	前置字串為 `CS:%{cid}:%{aid}:`。`Event_DetectionSummaryEvent` 的一部分。
`PasswordLastSet`	-	未對應至 IDM 物件。
`PathMtuDiscoveryTimeout`	-	未對應至 IDM 物件。
`PatternDispositionFlags`	-	未對應至 IDM 物件。
`PatternDispositionValue` `PatternDisposition

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。