Se usó la API de Cloud Translation para traducir esta página.

Recopila registros de EDR de CrowdStrike

Se admite en los siguientes países:

Google SecOps SIEM

En este documento, se describe cómo puedes exportar registros de EDR de CrowdStrike a Google Security Operations mediante el feed de Google Security Operations y cómo los campos de EDR de CrowdStrike se asignan a los campos del modelo de datos unificado (UDM) de Google Security Operations.

Para obtener más información, consulta la descripción general de la transferencia de datos a Google Security Operations.

Una implementación típica consiste en CrowdStrike habilitado para la transferencia a Google Security Operations. Cada implementación de cliente puede diferir y ser más compleja.

La implementación contiene los siguientes componentes:

CrowdStrike Falcon Intelligence: Es el producto de CrowdStrike desde el que recopilas registros.
Google Security Operations: Retiene y analiza los registros de EDR de CrowdStrike.

Una etiqueta de transferencia identifica el analizador que normaliza los datos de registro sin procesar al formato estructurado del UDM. La información de este documento se aplica al analizador con la etiqueta de transferencia CS_EDR.

Antes de comenzar

Asegúrate de tener derechos de administrador en la instancia de CrowdStrike para instalar el sensor de host de CrowdStrike Falcon.
Asegúrate de que el dispositivo se ejecute en un sistema operativo compatible.
- El SO debe ejecutarse en un servidor de 64 bits. Microsoft Windows Server 2008 R2 SP1 es compatible con las versiones 6.51 o posteriores del sensor de host de Crowdstrike Falcon.
- Los sistemas que ejecutan versiones heredadas del SO (por ejemplo, Windows 7 SP1) requieren la compatibilidad con la firma de código SHA-2 instalada en sus dispositivos.
Obtén el archivo de la cuenta de servicio de Google Security Operations y tu ID de cliente del equipo de asistencia al cliente de Google Security Operations.
Asegúrate de que todos los sistemas de la arquitectura de implementación estén configurados en la zona horaria UTC.

Configura un feed del replicador de datos de Falcon

Para configurar un feed de Falcon Data Replicator, sigue estos pasos:

Haz clic en el botón AGREGAR para crear un nuevo feed de Falcon Data Replicator. Esto generará el identificador de S3, la URL de SQS y el secreto de cliente.
Usa los valores generados de Feed, Identificador de S3, URL de SQS y Secreto de cliente para configurar el feed en Operaciones de seguridad de Google.

Configura un feed en Google Security Operations para transferir registros de EDR de CrowdStrike

Puedes usar SQS o un bucket de S3 para configurar el feed de transferencia en Google Security Operations. Se prefiere SQS, pero también se admite S3.

Para configurar un feed de transferencia con un bucket de S3, sigue estos pasos:

Selecciona Configuración de SIEM > Feeds.
Haz clic en Agregar nueva.
Ingresa un nombre único para el Nombre del feed.
En Tipo de fuente, selecciona Amazon S3.
En Tipo de registro, selecciona CrowdStrike Falcon.
Haz clic en Siguiente.

Según la cuenta de servicio y la configuración del bucket de Amazon S3 que creaste, especifica los valores para los siguientes campos:

Campo	Descripción
región	Es la región de S3 asociada con el URI.
URI de S3	Es el URI de origen del bucket de S3.
uri es un	Es el tipo de objeto al que apunta el URI.
opción de eliminación de la fuente	Si quieres borrar archivos o directorios después de la transferencia.
ID de clave de acceso	Una clave de acceso de la cuenta que sea una cadena alfanumérica de 20 caracteres, por ejemplo, AKIAOSFOODNN7EXAMPLE.
clave de acceso secreta	Una clave de acceso de la cuenta que sea una cadena alfanumérica de 40 caracteres, por ejemplo, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY.
ID de cliente de OAuth	Un identificador OAuth público y específico del cliente.
secreto del cliente de OAuth	Secreto del cliente de OAuth 2.0.
uri de actualización del secreto de OAuth	URI de actualización del secreto del cliente de OAuth 2.0.
espacio de nombres del activo	Es el espacio de nombres con el que se asociará el feed.

Haz clic en Siguiente y, luego, en Enviar.

Para configurar un feed de transferencia con SQS, sigue estos pasos:

Selecciona Configuración de SIEM > Feeds.
Haz clic en Agregar nueva.
Ingresa un nombre único para el Nombre del feed.
En Tipo de fuente, selecciona Amazon SQS.
En Tipo de registro, selecciona CrowdStrike Falcon.
Haz clic en Siguiente.

Según la cuenta de servicio y la configuración de Amazon SQS que creaste, especifica los valores para los siguientes campos:

Campo	Descripción
región	Es la región de S3 asociada con el URI.
NOMBRE DE LA COLA	El nombre de la cola de SQS de la que se leerá.
NÚMERO DE CUENTA	El número de cuenta de SQS
opción de eliminación de la fuente	Si quieres borrar archivos o directorios después de la transferencia.
ID DE CLAVE DE ACCESO DE LA FILA	Una clave de acceso de la cuenta que sea una cadena alfanumérica de 20 caracteres, por ejemplo, AKIAOSFOODNN7EXAMPLE.
CLAVE DE ACCESO SECRETA DE LA FILA	Una clave de acceso de la cuenta que sea una cadena alfanumérica de 40 caracteres, por ejemplo, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY.
espacio de nombres del activo	Es el espacio de nombres con el que se asociará el feed.

Haz clic en Siguiente y, luego, en Enviar. Nota: Puedes comunicarte con el equipo de asistencia de Google Security Operations en caso de que tengas algún problema mientras configuras feeds y envías datos de supervisión de EDR de Crowdstrike a Google Security Operations.

Referencia de la asignación de campos

Este analizador procesa los registros JSON de la plataforma de CrowdStrike Falcon y los normaliza en la UDM. Extrae campos, controla varios formatos de marca de tiempo, asigna tipos de eventos a tipos de eventos de la AUA y enriquece los datos con información de MITRE ATT&CK y contexto adicional. El analizador también controla tipos de eventos y lógicas específicos para los accesos de los usuarios, las conexiones de red y las operaciones de archivos, lo que garantiza una cobertura integral de la AUA.

Tabla de asignación de la UDM

Campo de registro	Asignación de UDM	Lógica
`AccountCreationTimeStamp`	`event.idm.read_only_udm.metadata.event_timestamp`	El campo de registro sin procesar `AccountCreationTimeStamp` se convierte en una marca de tiempo de la AUA y se asigna a `event_timestamp`.
`AccountDomain`	`event.idm.read_only_udm.principal.administrative_domain`	Asignación directa
`AccountObjectGuid`	`event.idm.read_only_udm.metadata.product_log_id`	Asignación directa
`AccountObjectSid`	`event.idm.read_only_udm.principal.user.windows_sid`	Asignación directa
`ActiveDirectoryAuthenticationMethod`	`event.idm.read_only_udm.extensions.auth.mechanism`	Si `ActiveDirectoryAuthenticationMethod` es 0, el mecanismo es `KERBEROS`. De lo contrario, el mecanismo es `AUTHTYPE_UNSPECIFIED`.
`ActivityId`	`event.idm.read_only_udm.additional.fields[ActivityId]`	Se agregó como un par clave-valor al array `additional_fields`.
`AggregationActivityCount`	`event.idm.read_only_udm.additional.fields[AggregationActivityCount]`	Se agregó como un par clave-valor al array `additional_fields`.
`AgentIdString`	`event.idm.read_only_udm.principal.asset_id`	Tiene el prefijo “CS:”.
`AgentOnlineMacV13`	`event.idm.read_only_udm.metadata.description`	Asignación directa
`AgentVersion`	`event.idm.read_only_udm.principal.asset.attribute.labels[AgentVersion]`	Se agregó como un par clave-valor al array `labels`.
`aid`	`event.idm.read_only_udm.principal.asset_id`	Tiene el prefijo “CS:”.
`aip`	`event.idm.read_only_udm.principal.nat_ip`, `intermediary.ip`	Si `_aid_is_target` es falso, asigna a `principal.nat_ip` y `intermediary.ip`. Si `_aid_is_target` es verdadero y `LogonType` es 3, asigna a `target.nat_ip` y `intermediary.ip`.
`aipCount`	`event.idm.read_only_udm.additional.fields[aipCount]`	Se agregó como un par clave-valor al array `additional_fields`.
`AppName`	`event.idm.read_only_udm.principal.asset.software.name`	Asignación directa
`ApplicationName`	`event.idm.read_only_udm.target.application`	Asignación directa
`AppVersion`	`event.idm.read_only_udm.principal.asset.software.version`	Asignación directa
`AsepFileChangeMacV2`	`event.idm.read_only_udm.metadata.description`	Asignación directa
`AsepKeyUpdateV6`	`event.idm.read_only_udm.metadata.description`	Asignación directa
`AsepValueUpdateV7`	`event.idm.read_only_udm.metadata.description`	Asignación directa
`AssociateIndicatorV5`	`event.idm.read_only_udm.metadata.description`	Asignación directa
`AssociateTreeIdWithRootV6`	`event.idm.read_only_udm.metadata.description`	Asignación directa
`AssemblyName`	`event.idm.read_only_udm.target.resource.attribute.labels[AssemblyName]`	Se agregó como un par clave-valor al array `labels`.
`AuthenticationId`	`event.idm.read_only_udm.principal.user.product_object_id`, `event.idm.read_only_udm.target.user.product_object_id`	Si `_aid_is_target` es falso, asigna a `principal.user.product_object_id`. Si `_aid_is_target` es verdadero y `LogonType` es 3, asigna a `target.user.product_object_id`.
`AuthenticationPackage`	`event.idm.read_only_udm.target.resource.name`	Asignación directa
`AuthenticodeHashData`	`event.idm.read_only_udm.target.file.authentihash`	Asignación directa
`AuthenticodeMatch`	`event.idm.read_only_udm.security_result.detection_fields[AuthenticodeMatch]`	Se agregó como un par clave-valor al array `detection_fields`.
`AuthorityKeyIdentifier`	`event.idm.read_only_udm.security_result.about.artifact.last_https_certificate.extension.authority_key_id.keyid`, `event.idm.read_only_udm.security_result.about.artifact.last_https_certificate.cert_extensions.fields[authority_key_id.keyid]`	Se agregó como un par clave-valor al array `cert_extensions.fields`.
`BatchTimestamp`	`event.idm.read_only_udm.metadata.event_timestamp`	El campo de registro sin procesar `BatchTimestamp` se convierte en una marca de tiempo de la AUA y se asigna a `event_timestamp`.
`badResources`	`event.idm.read_only_udm.additional.fields[badResource_n]`	Para cada elemento del array `badResources`, se agrega un par clave-valor al array `additional_fields` con la clave `badResource_n`, donde `n` es el índice del elemento.
`benchmarks`	`event.idm.read_only_udm.additional.fields[benchmark_n]`	Para cada elemento del array `benchmarks`, se agrega un par clave-valor al array `additional_fields` con la clave `benchmark_n`, donde `n` es el índice del elemento.
`BehaviorWhitelistedV3`	`event.idm.read_only_udm.metadata.description`	Asignación directa
`BillingInfoV2`	`event.idm.read_only_udm.metadata.description`	Asignación directa
`BiosVersion`	`event.idm.read_only_udm.principal.asset.attribute.labels[BiosVersion]`	Se agregó como un par clave-valor al array `labels`.
`BITSJobCreatedV2`	`event.idm.read_only_udm.metadata.description`	Asignación directa
`BrowserInjectedThreadV5`	`event.idm.read_only_udm.metadata.description`	Asignación directa
`CallStackModuleNames`	`event.idm.read_only_udm.security_result.detection_fields[CallStackModuleNames]`	Se agregó como un par clave-valor al array `detection_fields`.
`CallStackModuleNamesVersion`	`event.idm.read_only_udm.security_result.detection_fields[CallStackModuleNamesVersion]`	Se agregó como un par clave-valor al array `detection_fields`.
`category`	`event.idm.read_only_udm.security_result.category_details`	Asignación directa
`ChannelVersionRequiredV1`	`event.idm.read_only_udm.metadata.description`	Asignación directa
`ChassisType`	`event.idm.read_only_udm.principal.asset.attribute.labels[ChassisType]`	Se agregó como un par clave-valor al array `labels`.
`cid`	`event.idm.read_only_udm.metadata.product_deployment_id`	Asignación directa
`City`	`event.idm.read_only_udm.principal.location.city`	Asignación directa
`ClassifiedModuleLoadV1`	`event.idm.read_only_udm.metadata.description`	Asignación directa
`CloudAssociateTreeIdWithRootV3`	`event.idm.read_only_udm.metadata.description`	Asignación directa
`CommandLine`	`event.idm.read_only_udm.principal.process.command_line`, `event.idm.read_only_udm.target.process.command_line`, `event.idm.read_only_udm.principal.process.parent_process.parent_process.command_line`	Si `event_simpleName` es `ProcessRollup2` o `SyntheticProcessRollup2`, asigna a `target.process.command_line`. Si `event_simpleName` es `CreateService`, asigna a `principal.process.command_line`. Si `event_simpleName` es `FalconHostFileTamperingInfo`, asigna a `principal.process.command_line`. Si `event_simpleName` es `HostedServiceStarted` o `ServiceStarted`, asigna a `principal.process.command_line`. Si `event_simpleName` es `ProcessRollup2Stats`, asigna a `principal.process.command_line`. Si `event_simpleName` es `RansomwareCreateFile`, asigna a `principal.process.command_line`. Si `event_simpleName` es `ScreenshotTakenEtw`, asigna a `principal.process.command_line`. Si `event_simpleName` es `ScriptControlDetectInfo`, asigna a `target.process.command_line`. Si `event_simpleName` es `SuspiciousCreateSymbolicLink`, asigna a `principal.process.command_line`. Si `event_simpleName` es `UACExeElevation`, asigna a `principal.process.command_line`. Si `event_simpleName` es `WmiCreateProcess`, asigna a `principal.process.command_line`. Si `event_simpleName` es `WmiFilterConsumerBindingEtw` o `WmiProviderRegistrationEtw`, asigna a `principal.process.command_line`. Si `ExternalApiType` es `DetectionSummaryEvent`, asigna a `target.process.command_line`. Si `event_simpleName` es `ReflectiveDllOpenProcess`, asigna a `principal.process.command_line`. Si no se define `GrandparentCommandLine`, asigna a `event.idm.read_only_udm.principal.process.parent_process.parent_process.command_line`.
`CommandHistory`	`event.idm.read_only_udm.target.resource.attribute.labels[CommandHistory]`	Se agregó como un par clave-valor al array `labels`.
`CompanyName`	`event.idm.read_only_udm.target.user.company_name`	Asignación directa
`ComputerName`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Si `ComputerName` no está vacío o no es “-”, asigna a `principal.hostname` y `principal.asset.hostname`.
`ConfigBuild`	`event.idm.read_only_udm.security_result.detection_fields[ConfigBuild]`	Se agregó como un par clave-valor al array `detection_fields`.
`ConfigStateHash`	`event.idm.read_only_udm.security_result.detection_fields[ConfigStateHash]`	Se agregó como un par clave-valor al array `detection_fields`.
`ConfigStateUpdateV1`	`event.idm.read_only_udm.metadata.description`	Asignación directa
`ConnectionDirection`	`_network_direction`	Si es 0, establece `_network_direction` en `OUTBOUND`. Si es 1, establece `_network_direction` en `INBOUND`. Si es 2, establece `_network_direction` en `NEITHER`. Si es 3, establece `_network_direction` en `STATUS_UPDATE`.
`Continent`	`event.idm.read_only_udm.additional.fields[Continent]`	Se agregó como un par clave-valor al array `additional_fields`.
`ContentSHA256HashData`	`event.idm.read_only_udm.security_result.detection_fields[ContentSHA256HashData]`	Se agregó como un par clave-valor al array `detection_fields`.
`ContextProcessId`	`event.idm.read_only_udm.principal.process.product_specific_process_id`, `event.idm.read_only_udm.target.process.product_specific_process_id`	Si `_aid_is_target` es falso, asigna a `principal.process.product_specific_process_id`. Si `_aid_is_target` es verdadero y `LogonType` es 3, asigna a `target.process.product_specific_process_id`.
`ContextTimeStamp`	`event.idm.read_only_udm.metadata.event_timestamp`, `event.idm.read_only_udm.security_result.detection_fields[ContextTimeStamp]`	El campo de registro sin procesar `ContextTimeStamp` se convierte en una marca de tiempo de la AUA y se asigna a `event_timestamp`. Se agregó como un par clave-valor al array `detection_fields`.
`Country`	`event.idm.read_only_udm.principal.location.country_or_region`	Asignación directa
`CreateServiceV3`	`event.idm.read_only_udm.metadata.description`	Asignación directa
`CreateThreadNoStartImageV12`	`event.idm.read_only_udm.metadata.description`	Asignación directa
`CrashNotificationV4`	`event.idm.read_only_udm.metadata.description`	Asignación directa
`CriticalFileAccessedLinV1`	`event.idm.read_only_udm.metadata.description`	Asignación directa
`CriticalFileModifiedMacV2`	`event.idm.read_only_udm.metadata.description`	Asignación directa
`CurrentSystemTagsV1`	`event.idm.read_only_udm.metadata.description`	Asignación directa
`DCSyncAttemptedV1`	`event.idm.read_only_udm.metadata.description`	Asignación directa
`DcName`	`event.idm.read_only_udm.principal.user.userid`	Se quitan las barras diagonales del campo `DcName`.
`DcOnlineV1`	`event.idm.read_only_udm.metadata.description`	Asignación directa
`DcStatusV1`	`event.idm.read_only_udm.metadata.description`	Asignación directa
`DcUsbConfigurationDescriptorV2`	`event.idm.read_only_udm.metadata.description`	Asignación directa
`DcUsbDeviceConnectedV2`	`event.idm.read_only_udm.metadata.description`	Asignación directa
`DcUsbDeviceDisconnectedV2`	`event.idm.read_only_udm.metadata.description`	Asignación directa
`DcUsbEndpointDescriptorV2`	`event.idm.read_only_udm.metadata.description`	Asignación directa
`DcUsbHIDDescriptorV2`	`event.idm.read_only_udm.metadata.description`	Asignación directa
`DcUsbInterfaceDescriptorV2`	`event.idm.read_only_udm.metadata.description`	Asignación directa
`DeepHashBlacklistClassificationV1`	`event.idm.read_only_udm.metadata.description`	Asignación directa
`DeliverLocalFXToCloudV2`	`event.idm.read_only_udm.metadata.description`	Asignación directa
`DeliverLocalFXToCloudV3`	`event.idm.read_only_udm.metadata.description`	Asignación directa
`DesiredAccess`	`event.idm.read_only_udm.security_result.detection_fields[DesiredAccess]`	Se agregó como un par clave-valor al array `detection_fields`.
`DetectDescription`	`event.idm.read_only_udm.security_result.description`	Asignación directa
`DetectId`	`event.idm.read_only_udm.security_result.about.labels[DetectId]`	Se agregó como un par clave-valor al array `labels`.
`DetectName`	`event.idm.read_only_udm.security_result.threat_name`	Asignación directa
`detectionId`	`event.idm.read_only_udm.security_result.detection_fields[detectionId]`	Se agregó como un par clave-valor al array `detection_fields`.
`detectionName`	`event.idm.read_only_udm.security_result.detection_fields[detectionName]`	Se agregó como un par clave-valor al array `detection_fields`.
`DeviceInstanceId`	`event.idm.read_only_udm.target.asset_id`	Tiene el prefijo "Device Instance Id: ".
`DeviceManufacturer`	`event.idm.read_only_udm.target.asset.hardware.manufacturer`	Asignación directa
`DeviceProduct`	`event.idm.read_only_udm.target.asset.hardware.model`	Asignación directa
`DevicePropertyDeviceDescription`	`event.idm.read_only_udm.target.asset.attribute.labels[Device Property Device Description]`	Se agregó como un par clave-valor al array `labels`.
`DevicePropertyLocationInformation`	`event.idm.read_only_udm.target.asset.attribute.labels[Device Property Location Information]`	Se agregó como un par clave-valor al array `labels`.
`DeviceSerialNumber`	`event.idm.read_only_udm.target.asset.hardware.serial_number`	Asignación directa
`DeviceTimeStamp`	`event.idm.read_only_udm.metadata.event_timestamp`	El campo de registro sin procesar `DeviceTimeStamp` se convierte en una marca de tiempo de la AUA y se asigna a `event_timestamp`.
`DirectoryCreateMacV1`	`event.idm.read_only_udm.metadata.description`	Asignación directa
`DiskParentDeviceInstanceId`	`event.idm.read_only_udm.target.resource.id`	Asignación directa
`DllInjectionV1`	`event.idm.read_only_udm.metadata.description`	Asignación directa
`DmpFileWrittenV11`	`event.idm.read_only_udm.metadata.description`	Asignación directa
`DomainName`	`event.idm.read_only_udm.target.hostname`, `event.idm.read_only_udm.target.asset.hostname`	Si `event_simpleName` es `DnsRequest` o `SuspiciousDnsRequest`, asigna a `target.hostname` y `target.asset.hostname`.
`DotnetModuleLoadDetectInfoV1`	`event.idm.read_only_udm.metadata.description`	Asignación directa
`DownloadServer`	"event.id

Cambios

2024-06-06

Se asignó "OriginalFilename" a "target.process.file.exif_info.original_file".

2024-05-31

Se asignó "os_version" a "principal.platform_version".
Se asignó "hostname" a "principal.hostname" y "principal.asset.hostname".
Se asignaron "product_type_desc", "host_hidden_status", "scores.os", "scores.sensor", "scores.version", "scores.overall" y "scores.modified_time" a "security_result.detection_fields".

2024-05-23

Se asignó "Version" a "principal.platform_version".

2024-05-21

Cuando "event_simpleName" es "FileWritten", "NetworkConnect" o "DnsRequest", se asigna "ContextBaseFileName" a "principal.process.file.full_path".
Se asignó "QuarantinedFileName" a "principal.process.file.full_path".

2024-05-15

Se asignaron "Version", "BiosVersion" y "ChassisType" a "principal.asset.attribute.labels".
Se asignaron "Continent", "UO" y "SiteName" a "additional.fields".

2024-04-17

Se asignó "ModuleILPath" a "target.resource.attribute.labels".

2024-04-08

Corrección de errores:
Cuando "event_simpleName" es "ClassifiedModuleLoad", se cambió "metadata.event_type" de "STATUS_UPDATE" a "PROCESS_MODULE_LOAD".

2024-02-21

Se asignó "SubjectDN" a "security_result.about.artifact.last_https_certificate.subject".
Se asignó "IssuerDN" a "security_result.about.artifact.last_https_certificate.issuer".
Se asignó “SubjectCertValidTo” a “security_result.about.artifact.last_https_certificate.validity.issue_time”.
Se asignó "SubjectCertValidFrom" a "security_result.about.artifact.last_https_certificate.validity.expiry_time".
Se asignó "SubjectSerialNumber" a "security_result.about.artifact.last_https_certificate.serial_number".
Se asignó “SubjectVersion” a “security_result.about.artifact.last_https_certificate.version”.
Se asignó "SubjectCertThumbprint" a "security_result.about.artifact.last_https_certificate.thumbprint".
Se asignó "SignatureDigestAlg" a "security_result.about.artifact.last_https_certificate.signature_algorithm".
Se asignó "SignatureDigestEncryptAlg" a "security_result.about.artifact.last_https_certificate.cert_signature.signature_algorithm".
Se asignó "AuthenticodeHashData" a "target.file.authentihash".
Se asignó "AuthorityKeyIdentifier" a "security_result.about.artifact.last_https_certificate.extension.authority_key_id.keyid" y "security_result.about.artifact.last_https_certificate.cert_extensions.fields".
Se asignó "SubjectKeyIdentifier" a "security_result.about.artifact.last_https_certificate.extension.subject_key_id" y "security_result.about.artifact.last_https_certificate.cert_extensions.fields".
Se asignó "OriginalFilename" a "additional.fields".
Se asignaron "SignInfoFlagUnknownError", "SignInfoFlagHasValidSignature" y "SignInfoFlagSignHashMismatch".
"AuthenticodeMatch", "SignInfoFlagMicrosoftSigned", "SignInfoFlagNoSignature", "SignInfoFlagInvalidSignChain",
"SignInfoFlagNoCodeKeyUsage", "SignInfoFlagNoEmbeddedCert", "SignInfoFlagThirdPartyRoot",
"SignInfoFlagCatalogSigned", "SignInfoFlagSelfSigned", "SignInfoFlagFailedCertCheck",
"SignInfoFlagEmbeddedSigned", "IssuerCN", "SubjectCN" a "security_result.detection_fields".

2023-12-22

Se asignó "HostUrl" a "target.url".
Se asignó "ReferrerUrl" a "network.http.referral_url".

2023-11-23

Cuando "is_alert" se establece en "true", se asigna "event.idm.is_significant" a "true".
Cuando "is_alert" se establece en "true", se asigna "event_simpleName" a "security_result.summary".

2023-10-11

Se agregó una verificación de expresión regular para validar los valores SHA-1, MD5 y SHA256.

2023-08-22

Se asignó "Técnica" a "security_result.attack_details.techniques.name" y a los detalles de la técnica y la táctica correspondientes.

2023-08-03

Se asignó "ReflectiveDllName" a "target.file.full_path".
Se asignó "event_type" a "STATUS_UPDATE" para los registros en los que no se incluye el campo "DomainName".

2023-08-01

Se asignó "Táctica" a "security_result.attack_details.tactics.name" y al tactics.id correspondiente.

2023-07-31

Bug-Fix-
Se agregó la verificación "on_error" para el filtro de fecha.

2023-06-19

Se asignó "ParentBaseFileName" a "principal.process.file.full_path".
Se quitó la asignación de "ImageFileName" a "target.file.full_path", ya que ya está asignada a "target.process.file.full_path" para los eventos "ProcessRollup2" y "SyntheticProcessRollup2".

2023-05-12

Mejora:
Se asignó "aip" a "intermediary.ip".

2023-05-08

Se corrigió un error: Se convirtieron los formatos de hora en cadenas y se controló el formato de hora en nanosegundos.

2023-04-14

Mejora: Se modificó el valor de "Severity" del rango [0-19] a "security_result.severity" como "INFORMATIONAL".
Se modificó el valor de “Severity” del rango [20-39] a “security_result.severity” como “LOW”.
Se modificó el valor de "Severity" del rango [40-59] a "security_result.severity" como "MEDIUM".
Se modificó el valor de "Severity" del rango [60-79] a "security_result.severity" como "HIGH".
Se modificó el valor de "Severity" de range[80-100] a "security_result.severity" como "CRITICAL".
Se asignó "PatternId" a "security_result.detection_fields".
Se asignó "SourceEndpointIpAddress" a "principal.ip".
Se asignó "metadata.event_type" a "USER_UNCATEGORIZED" cuando "event_simpleName =~ userlogonfailed" y no hay información del usuario.
Se asignó "metadata.event_type" a "USER_UNCATEGORIZED" cuando "ExternalApiType = "Event_UserActivityAuditEvent"" y tiene información del usuario.
Se asignó "metadata.event_type" a "USER_UNCATEGORIZED" cuando "event_simpleName =~ "ActiveDirectory".
Se asignó "TargetAccountObjectGuid" a "additional.fields".
Se asignó "TargetDomainControllerObjectGuid" a "additional.fields".
Se asignó "TargetDomainControllerObjectSid" a "additional.fields".
Se asignó "AggregationActivityCount" a "additional.fields".
Se asignó "TargetServiceAccessIdentifier" a "additional.fields".
Se asignó "SourceAccountUserPrincipal" a "principal.user.userid".
Se asignó "SourceEndpointAddressIP4" a "principal.ip".
Se asignó "SourceAccountObjectGuid" a "additional.fields".
Se asignó "AccountDomain" a "principal.administrative_domain".
Se asignó "AccountObjectGuid" a "metadata.product_log_id".
Se asignó "AccountObjectSid" a "principal.user.windows_sid".
Se asignó "SamAccountName" a "principal.user.user_display_name".
Se asignó "SourceAccountSamAccountName" a "principal.user.user_display_name".
Se asignó "IOARuleGroupName" a "security_result.detection_fields".
Se asignó "IOARuleName" a "security_result.detection_fields".
Se asignó "RemoteAddressIP4" a "target.ip" para "event_simpleName"="RegCredAccessDetectInfo".

24-3-2023

Se asignó "ID" a "metadata.product_log_id" en lugar de "target.resource.id".
Se asignó "RegBinaryValue" a "target.registry.registry_value_data" si "RegNumericValue" y "RegStringValue" son nulos.

2023-03-21

Mejora:
Se asignaron "BatchTimestamp", "GcpCreationTimestamp", "K8SCreationTimestamp" y "AwsCreationTimestamp" a "metadata.event_timestamp".
Se asignó "FileOperatorSid" a "target.user.windows_sid".

2023-03-13

Mejora:
Se asignaron "LogonTime", "ProcessStartTime", "ContextTimeStamp", "ContextTimeStamp_decimal" y "AccountCreationTimeStamp" a "metadata.event_timestamp".

2023-03-10

Mejora:
Se asignaron "CallStackModuleNamesVersion" y "CallStackModuleNamesVersion" a security_result.detection_fields.

2023-02-28

Mejora: Se modificaron las siguientes asignaciones para el campo "ParentProcessId" cuando "event_simpleName" está en ["ProcessRollup2", "SyntheticProcessRollup2"]
"target.process.parent_process.pid" se modificó a "target.process.parent_process.product_specific_process_id".

2023-02-16

Mejora:
Se asignó el campo "AssociatedFile" a "security_result.detection_fields[n].value" y "security_result.detection_fields[n].key" se asignó a "AssociatedIOCFile".

2023-02-09

Mejora:
Se asignó "RegNumericValue" a "target.registry.registry_value_data".
Se asignó "ManagedPdbBuildPath" a "target.labels".

2023-02-09

Mejora
Se volvieron a asignar los campos que se asignaban en "target.labels" a "target.resource.attribute.labels".
Se rectificó la asignación de "ManagedPdbBuildPath" a "target.resource.attribute.labels".

2023-01-15

BugFix:
Se volvió a asignar "aid" para el evento "UserLogonFailed" a "target.asset_id" desde "principal.asset_id".

2023-01-13

Mejora:
Se agregó la asignación de "Severity", que se asigna a "security_result.severity".

2023-01-13

Mejora:
El nombre de usuario se asignó a principal.user.userid para event_type "ScheduledTaskModified" y "ScheduledTaskRegistered".
"AssemblyName","ManagedPdbBuildPath" y "ModuleILPath" se asignan a "target.labels" cuando metadata.product_event_type = "ReflectiveDotnetModuleLoad".
"VirtualDriveFileName" y "VolumeName" se asignan a "target.labels" cuando metadata.product_event_type = "RemovableMediaVolumeMounted".
"ImageFileName" se asignó a "target.file.full_path" cuando metadata.product_event_type = "ClassifiedModuleLoad".

2023-01-02

Mejora:
El nombre de usuario se asignó a principal.user.userid para event_type "ScheduledTaskModified" y "ScheduledTaskRegistered".

2022-12-22

Mejora:
Se asignó "RemoteAddressIP4" a "principal.ip" para "event_type"="Userlogonfailed2"

2022-11-04

Mejora:
Se asignó "GrandparentImageFileName" a "principal.process.parent_process.parent_process.file.full_path".
Se asignó "GrandparentCommandLine" a "principal.process.parent_process.parent_process.commamdLine".

2022-11-03

Error:
Cuando "event_simpleName" es "InstalledApplication", se asignan los siguientes parámetros.
Se asignó "AppName" a "principal.asset.software.name".
Se asignó "AppVersion" a "principal.asset.software.version".

2022-10-12

Error:
Se asignó "discoverer_aid" a "resource.attribute.labels".
Se asignó "NeighborName" a "intermediary.hostname".
Se asignó "subred" a "additional.fields".
Se asignó "localipCount" a "additional.fields".
Se asignó "aipCount" a "additional.fields".
Se agregó la verificación condicional para "LogonServer".

2022-10-07

Corrección de errores:
Se cambió la asignación de "CommandLine" de "principal.process.command_line" a "target.process.command_line".

2022-09-13

Solución:
Se asignó metadata.event_type a REGISTRY_CREATION, donde RegOperationType es “3”.
Se asignó event_type a REGISTRY_DELETION, donde RegOperationType es “4” o “102”.
Se asignó event_type a REGISTRY_MODIFICATION, donde RegOperationType es "5","7","9","101" o "1".
Se asignó event_type a REGISTRY_UNCATEGORIZED cuando RegOperationType no es nulo y no en todos los casos anteriores.

2022-09-02

Define el campo "UserPrincipal" en statedata.

21-8-2022

Se asignó "ActivityId" a "additional.fields".
Se asignó "SourceEndpointHostName" a "principal.hostname".
Se asignó "SourceAccountObjectSid" a "principal.user.windows_sid".
Se agregó una condición para analizar "LocalAddressIP4" y "aip".
Se asignó "metadata.event_type" a "STATUS_UPDATE", donde "ComputerName" y "LocalAddressIP4" no son nulos.
Se asignó "SourceEndpointAccountObjectGuid" a "metadata.product_log_id".
Se asignó "SourceEndpointAccountObjectSid" a "target.user.windows_sid".
Se asignó "SourceEndpointHostName" a "principal.hostname".

18-8-2022

Solución:
Asigna los siguientes campos:
"event.PatternDispositionValue" a "security_result.about.labels".
"event.ProcessId" a "principal.process.product_specific_process_id".
"event.ParentProcessId" a "target.process.parent_process.pid".
"event.ProcessStartTime" a "security_result.detection_fields".
"event.ProcessEndTime" a "security_result.detection_fields".
"event.ComputerName" a "principal.hostname".
"event.UserName" a "principal.user.userid".
"event.DetectName" a "security_result.threat_name".
"event.DetectDescription" a "security_result.description".
"event.SeverityName" a "security_result.severity".
"event.FileName" a "target.file.full_path".
"event.FilePath" a "target.file.full_path".
"event.CommandLine" a "principal.process.command_line".
"event.SHA256String" a "target.file.sha256".
"event.MD5String" a "security_result.about.file.md5".
"event.MachineDomain" a "principal.administrative_domain".
"event.FalconHostLink" a "intermediary.url".
"event.LocalIP" a "principal.ip".
"event.MACAddress" a "principal.mac".
"event.Tactic" a "security_result.detection_fields".
"event.Technique" a "security_result.detection_fields".
"event.Objective" a "security_result.rule_name".
"event.PatternDispositionDescription" a "security_result.summary".
"event.ParentImageFileName" a "principal.process.parent_process.file.full_path".
"event.ParentCommandLine" a "principal.process.parent_process.command_line".

2022-08-30

IDs de Buganized: 243245623
Mejora:
Se definió el campo "UserPrincipal" en statedata.

2022-07-29

Se asignaron "event_category,event_module,Hmac" a "additional.fields".
Se asignó "user_name" a "principal.user.userid".
Se asignó "event_source" a "target.application".
Se agregó grok para "auth_group and new logs".
Se agregó la verificación de "principal_ip,target_ip y event_type".

2022-07-25

Corrección de errores:
Se asignó "metadata.event_type" a "USER_RESOURCE_ACCESS", donde "eventType" es "K8SDetectionEvent".
Se asignó "metadata.event_type" a "STATUS_UPDATE", donde "metadata.event_type" es nulo y "principal.asset_id" no es nulo.
Se asignó "SourceAccountDomain" a "principal.administrative_domain".
Se asignó "SourceAccountName" a "principal.user.userid".
Se asignó "metadata.event_type" a "STATUS_UPDATE", donde "EventType" es "Event_ExternalApiEvent" y "OperationName" está en ["quarantined_file_update", "detection_update", "update_rule"]
Se asignó "metadata.event_type" a "USER_RESOURCE_ACCESS", donde Path es nulo, FileName es nulo o AgentIdString es nulo.
Se asignó "metadata.event_type" a "STATUS_UPDATE", donde el protocolo es nulo.
Se agregó una verificación condicional para MD5String, SHA256String, CommandLine, AgentIdString, ProcessId, ParentProcessId, FilePath y FileName.

2022-07-12

para event_simpleName: DriverLoad,ProcessRollup,PeVersionInfo,PeFileWritten,TemplateDetectAnalysis,ScriptControlDetectInfo.
Se asignó OriginalFilename a principal.process.file.full_path

2022-06-14

Se asignó "CompanyName" a "target.user.company_name"
Se asignó "AccountType" a "target.user.role_description".
Se asignó "ProductVersion" a "metadata.product_version".
Se asignó "LogonInfo" a "principal.ip".
Se asignó "MAC" a "principal.mac".
Se asignó "UserSid_readable" a "target.user.windows_sid".
Se asignó "FileName" a "target.file.full_path".
Se asignó "_time" a "metadata.event_timestamp"
Se agregó la verificación condicional para "MD5HashData", "SHA256HashData", "UserName", "ID", "RegObjectName", "RegStringValue", "RegValueName", "UserSid", "TargetFileName" y "aid".

2022-06-20

Se asignó "ConfigBuild" a "security_result.detection_fields".
Se asignó "EffectiveTransmissionClass" a "security_result.detection_fields".
Se asignó "Entitlements" a "security_result.detection_fields".

2022-06-02

Se corrigió un error: Se quitaron el nombre de la clave y el carácter de dos puntos de "security_result.detection_fields.value".

2022-05-27

Mejora: Asignación adicional: SHA256String y MD5String a security_result.about.file para que aparezcan como eventos de alerta.

2022-05-20

Se asignó "LinkName" a "target.resource.attribute.labels".
Se cambiaron los posibles casos de "GENERIC_EVENTS" a "STATUS_UPDATE".
Se agregó una barra invertida entre el proceso y su directorio raíz superior.
Es la plataforma analizada si "event_platform" es iOS.
Se cambió resource.type a resource_type.

2022-05-12

Mejora: resourceName se asignó a target.resource.name
resourceId asignado a target.resource.product_object_id
Espacio de nombres asignado a target.namespace
Categoría asignada a security_result.category_details
description mapped to security_result.description
sourceAgent asignado a network.http.user_agent
Gravedad asignada a security_result.severity
resourceKind asignado a target.resource.type
detectionName asignado a target.resource.name
clusterName asignado a target.resource.attribute.labels
clusterId asignado a target.resource.attribute.labels
detectionId asignado a target.resource.attribute.labels
Tipo asignado a additional.fields
Solución para additional.fields
Comparativas de campos adicionales
badResources a additional.fields

2022-04-27

Error: Corrección: 1. Se cambió el tipo de evento de udm de GENERIC_EVENT a USER_LOGIN para los registros con ExternalApiType = Event_AuthActivityAuditEvent.
2. Se cambiaron las asignaciones de target_user, actor_user y actor_user_uuid de additional.fields a target.user.email_addresses, target.user.user_display_name y target.user.userid, respectivamente.

2022-04-25

Mejora: Se asignó "RemoteAddressIP4" a principal.ip.

2022-04-14

Error: Se agregó compatibilidad con el campo ScriptContent para todos los tipos de registros.

13-4-2022

Se agregaron asignaciones de mejora para campos nuevos
Se agregaron nuevas asignaciones de eventos: AuthenticationPackage se asignó a target.resource.name.

2022-04-04

Error: Se asignó "OriginatingURL" a principal.url para los eventos de NetworkConnect.