Raccogliere i log EDR di CrowdStrike
Questo documento descrive come esportare i log di CrowdStrike EDR in Google Security Operations tramite il feed di Google Security Operations e come i campi di CrowdStrike EDR vengono mappati ai campi del modello di dati unificato (UDM) di Google Security Operations.
Per ulteriori informazioni, consulta la Panoramica dell'importazione dei dati in Google Security Operations.
Un deployment tipico consiste in CrowdStrike abilitato per l'importazione in Google Security Operations. Ogni implementazione del cliente può essere diversa e più complessa.
Il deployment contiene i seguenti componenti:
CrowdStrike Falcon Intelligence: il prodotto CrowdStrike da cui raccogliete i log.
Google Security Operations: conserva e analizza i log EDR di CrowdStrike.
Un'etichetta di importazione identifica l'analizzatore sintattico che normalizza i dati dei log non elaborati
in formato UDM strutturato. Le informazioni contenute in questo documento si applicano al parser con l'etichetta di importazione CS_EDR
.
Prima di iniziare
Assicurati di disporre dei diritti di amministratore sull'istanza CrowdStrike per installare il sensore host CrowdStrike Falcon.
Assicurati che il dispositivo sia in esecuzione su un sistema operativo supportato.
- Il sistema operativo deve essere in esecuzione su un server a 64 bit. Microsoft Windows Server 2008 R2 SP1 è supportato per le versioni 6.51 o successive del sensore Crowdstrike Falcon Host.
- I sistemi con versioni precedenti del sistema operativo (ad esempio Windows 7 SP1) richiedono la presenza sul dispositivo del supporto per la firma del codice SHA-2.
Ottieni il file dell'account di servizio Google Security Operations e il tuo ID cliente dal team di assistenza di Google Security Operations.
Assicurati che tutti i sistemi nell'architettura di deployment siano configurati nel fuso orario UTC.
Configurare un feed di Falcon Data Replicator
Per configurare un feed di Falcon Data Replicator:
- Fai clic sul pulsante AGGIUNGI per creare un nuovo feed di Falcon Data Replicator. Verranno generati identificatore S3, URL di SQS e segreto cliente.
- Utilizza i valori Feed, Identificatore S3, URL SQS e Secret client generati per configurare il feed in Google Security Operations.
Configura un feed in Google Security Operations per importare i log EDR di CrowdStrike
Puoi utilizzare SQS o un bucket S3 per configurare il feed di importazione in Google Security Operations. È preferibile SQS, ma è supportato anche S3.
Per configurare un feed di importazione utilizzando il bucket S3:
- Seleziona Impostazioni SIEM > Feed.
- Fai clic su Aggiungi nuovo.
- Inserisci un nome univoco per il nome del feed.
- In Tipo di origine, seleziona Amazon S3.
- In Tipo di log, seleziona CrowdStrike Falcon.
- Fai clic su Avanti.
- In base all'account di servizio e alla configurazione del bucket Amazon S3 che hai creato, specifica i valori per i seguenti campi:
Campo Descrizione regione La regione S3 associata all'URI. URI S3 L'URI di origine del bucket S3. uri è un Il tipo di oggetto a cui fa riferimento l'URI. opzione di eliminazione dell'origine Indica se eliminare file e/o directory dopo il trasferimento. ID chiave di accesso Una chiave di accesso all'account che è una stringa alfanumerica di 20 caratteri, ad esempio AKIAOSFOODNN7EXAMPLE. chiave di accesso segreta Una chiave di accesso all'account che è una stringa alfanumerica di 40 caratteri, ad esempio wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY. oauth client id Un identificatore OAuth pubblico e specifico per il client. client secret OAuth Client secret OAuth 2.0. oauth secret refresh uri URI di aggiornamento del client secret OAuth 2.0. spazio dei nomi asset Lo spazio dei nomi a cui verrà associato il feed. - Fai clic su Avanti e poi su Invia.
Per configurare un feed di importazione utilizzando SQS:
- Seleziona Impostazioni SIEM > Feed.
- Fai clic su Aggiungi nuovo.
- Inserisci un nome univoco per il nome del feed.
- In Tipo di origine, seleziona Amazon SQS.
- In Tipo di log, seleziona CrowdStrike Falcon.
- Fai clic su Avanti.
- In base all'account di servizio e alla configurazione di Amazon SQS che hai creato, specifica i valori per i seguenti campi:
Campo Descrizione regione La regione S3 associata all'URI. NOME CODA Il nome della coda SQS da cui leggere. NUMERO DI CONTO Il numero dell'account SQS. opzione di eliminazione dell'origine Indica se eliminare file e/o directory dopo il trasferimento. QUEUE ACCESS KEY ID Una chiave di accesso all'account che è una stringa alfanumerica di 20 caratteri, ad esempio AKIAOSFOODNN7EXAMPLE. QUEUE SECRET ACCESS KEY Una chiave di accesso all'account che è una stringa alfanumerica di 40 caratteri, ad esempio wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY. spazio dei nomi asset Lo spazio dei nomi a cui verrà associato il feed. - Fai clic su Avanti e poi su Invia. Nota: in caso di problemi durante la configurazione dei feed e l'invio dei dati di monitoraggio di EDR di Crowdstrike a Google Security Operations, puoi contattare il team di assistenza di Google Security Operations.
Riferimento alla mappatura dei campi
Questo parser elabora i log JSON della piattaforma CrowdStrike Falcon, normalizzandoli in UDM. Estrae i campi, gestisce vari formati di timestamp, mappa i tipi di eventi ai tipi di eventi UDM e arricchisce i dati con informazioni di MITRE ATT&CK e contesto aggiuntivo. Il parser gestisce anche tipi di eventi e logiche specifici per gli accessi utente, le connessioni di rete e le operazioni sui file, garantendo una copertura completa dell'UDM.
Tabella di mappatura UDM
Campo log | Mappatura UDM | Logica |
---|---|---|
AccountCreationTimeStamp |
event.idm.read_only_udm.metadata.event_timestamp |
Il campo del log non elaborato AccountCreationTimeStamp viene convertito in un timestamp UDM e mappato a event_timestamp . |
AccountDomain |
event.idm.read_only_udm.principal.administrative_domain |
Mappatura diretta. |
AccountObjectGuid |
event.idm.read_only_udm.metadata.product_log_id |
Mappatura diretta. |
AccountObjectSid |
event.idm.read_only_udm.principal.user.windows_sid |
Mappatura diretta. |
ActiveDirectoryAuthenticationMethod |
event.idm.read_only_udm.extensions.auth.mechanism |
Se ActiveDirectoryAuthenticationMethod è 0, il meccanismo è KERBEROS . In caso contrario, il meccanismo è AUTHTYPE_UNSPECIFIED . |
ActivityId |
event.idm.read_only_udm.additional.fields[ActivityId] |
Aggiunto come coppia chiave-valore all'array additional_fields . |
AggregationActivityCount |
event.idm.read_only_udm.additional.fields[AggregationActivityCount] |
Aggiunto come coppia chiave-valore all'array additional_fields . |
AgentIdString |
event.idm.read_only_udm.principal.asset_id |
Deve essere preceduto dal prefisso "CS:". |
AgentOnlineMacV13 |
event.idm.read_only_udm.metadata.description |
Mappatura diretta. |
AgentVersion |
event.idm.read_only_udm.principal.asset.attribute.labels[AgentVersion] |
Aggiunto come coppia chiave-valore all'array labels . |
aid |
event.idm.read_only_udm.principal.asset_id |
Deve essere preceduto dal prefisso "CS:". |
aip |
event.idm.read_only_udm.principal.nat_ip , intermediary.ip |
Se _aid_is_target è false, esegui la mappatura a principal.nat_ip e intermediary.ip . Se _aid_is_target è true e LogonType è 3, esegui la mappatura a target.nat_ip e intermediary.ip . |
aipCount |
event.idm.read_only_udm.additional.fields[aipCount] |
Aggiunto come coppia chiave-valore all'array additional_fields . |
AppName |
event.idm.read_only_udm.principal.asset.software.name |
Mappatura diretta. |
ApplicationName |
event.idm.read_only_udm.target.application |
Mappatura diretta. |
AppVersion |
event.idm.read_only_udm.principal.asset.software.version |
Mappatura diretta. |
AsepFileChangeMacV2 |
event.idm.read_only_udm.metadata.description |
Mappatura diretta. |
AsepKeyUpdateV6 |
event.idm.read_only_udm.metadata.description |
Mappatura diretta. |
AsepValueUpdateV7 |
event.idm.read_only_udm.metadata.description |
Mappatura diretta. |
AssociateIndicatorV5 |
event.idm.read_only_udm.metadata.description |
Mappatura diretta. |
AssociateTreeIdWithRootV6 |
event.idm.read_only_udm.metadata.description |
Mappatura diretta. |
AssemblyName |
event.idm.read_only_udm.target.resource.attribute.labels[AssemblyName] |
Aggiunto come coppia chiave-valore all'array labels . |
AuthenticationId |
event.idm.read_only_udm.principal.user.product_object_id , event.idm.read_only_udm.target.user.product_object_id |
Se _aid_is_target è false, esegui la mappatura a principal.user.product_object_id . Se _aid_is_target è vero e LogonType è 3, mappa a target.user.product_object_id . |
AuthenticationPackage |
event.idm.read_only_udm.target.resource.name |
Mappatura diretta. |
AuthenticodeHashData |
event.idm.read_only_udm.target.file.authentihash |
Mappatura diretta. |
AuthenticodeMatch |
event.idm.read_only_udm.security_result.detection_fields[AuthenticodeMatch] |
Aggiunto come coppia chiave-valore all'array detection_fields . |
AuthorityKeyIdentifier |
event.idm.read_only_udm.security_result.about.artifact.last_https_certificate.extension.authority_key_id.keyid , event.idm.read_only_udm.security_result.about.artifact.last_https_certificate.cert_extensions.fields[authority_key_id.keyid] |
Aggiunto come coppia chiave-valore all'array cert_extensions.fields . |
BatchTimestamp |
event.idm.read_only_udm.metadata.event_timestamp |
Il campo del log non elaborato BatchTimestamp viene convertito in un timestamp UDM e mappato a event_timestamp . |
badResources |
event.idm.read_only_udm.additional.fields[badResource_n] |
Per ogni elemento dell'array badResources , all'array additional_fields viene aggiunta una coppia chiave-valore con la chiave badResource_n , dove n è l'indice dell'elemento. |
benchmarks |
event.idm.read_only_udm.additional.fields[benchmark_n] |
Per ogni elemento dell'array benchmarks , all'array additional_fields viene aggiunta una coppia chiave-valore con la chiave benchmark_n , dove n è l'indice dell'elemento. |
BehaviorWhitelistedV3 |
event.idm.read_only_udm.metadata.description |
Mappatura diretta. |
BillingInfoV2 |
event.idm.read_only_udm.metadata.description |
Mappatura diretta. |
BiosVersion |
event.idm.read_only_udm.principal.asset.attribute.labels[BiosVersion] |
Aggiunto come coppia chiave-valore all'array labels . |
BITSJobCreatedV2 |
event.idm.read_only_udm.metadata.description |
Mappatura diretta. |
BrowserInjectedThreadV5 |
event.idm.read_only_udm.metadata.description |
Mappatura diretta. |
CallStackModuleNames |
event.idm.read_only_udm.security_result.detection_fields[CallStackModuleNames] |
Aggiunto come coppia chiave-valore all'array detection_fields . |
CallStackModuleNamesVersion |
event.idm.read_only_udm.security_result.detection_fields[CallStackModuleNamesVersion] |
Aggiunto come coppia chiave-valore all'array detection_fields . |
category |
event.idm.read_only_udm.security_result.category_details |
Mappatura diretta. |
ChannelVersionRequiredV1 |
event.idm.read_only_udm.metadata.description |
Mappatura diretta. |
ChassisType |
event.idm.read_only_udm.principal.asset.attribute.labels[ChassisType] |
Aggiunto come coppia chiave-valore all'array labels . |
cid |
event.idm.read_only_udm.metadata.product_deployment_id |
Mappatura diretta. |
City |
event.idm.read_only_udm.principal.location.city |
Mappatura diretta. |
ClassifiedModuleLoadV1 |
event.idm.read_only_udm.metadata.description |
Mappatura diretta. |
CloudAssociateTreeIdWithRootV3 |
event.idm.read_only_udm.metadata.description |
Mappatura diretta. |
CommandLine |
event.idm.read_only_udm.principal.process.command_line , event.idm.read_only_udm.target.process.command_line , event.idm.read_only_udm.principal.process.parent_process.parent_process.command_line |
Se event_simpleName è ProcessRollup2 o SyntheticProcessRollup2 , mappa a target.process.command_line . Se event_simpleName è CreateService , mappa a principal.process.command_line . Se event_simpleName è FalconHostFileTamperingInfo , mappa a principal.process.command_line . Se event_simpleName è HostedServiceStarted o ServiceStarted , mappa a principal.process.command_line . Se event_simpleName è ProcessRollup2Stats , mappa a principal.process.command_line . Se event_simpleName è RansomwareCreateFile , mappa a principal.process.command_line . Se event_simpleName è ScreenshotTakenEtw , mappa a principal.process.command_line . Se event_simpleName è ScriptControlDetectInfo , mappa a target.process.command_line . Se event_simpleName è SuspiciousCreateSymbolicLink , mappa a principal.process.command_line . Se event_simpleName è UACExeElevation , mappa a principal.process.command_line . Se event_simpleName è WmiCreateProcess , mappa a principal.process.command_line . Se event_simpleName è WmiFilterConsumerBindingEtw o WmiProviderRegistrationEtw , mappa a principal.process.command_line . Se ExternalApiType è DetectionSummaryEvent , mappa a target.process.command_line . Se event_simpleName è ReflectiveDllOpenProcess , mappa a principal.process.command_line . Se GrandparentCommandLine non è definito, mappa a event.idm.read_only_udm.principal.process.parent_process.parent_process.command_line . |
CommandHistory |
event.idm.read_only_udm.target.resource.attribute.labels[CommandHistory] |
Aggiunto come coppia chiave-valore all'array labels . |
CompanyName |
event.idm.read_only_udm.target.user.company_name |
Mappatura diretta. |
ComputerName |
event.idm.read_only_udm.principal.hostname , event.idm.read_only_udm.principal.asset.hostname |
Se ComputerName non è vuoto o "-", mappa a principal.hostname e principal.asset.hostname . |
ConfigBuild |
event.idm.read_only_udm.security_result.detection_fields[ConfigBuild] |
Aggiunto come coppia chiave-valore all'array detection_fields . |
ConfigStateHash |
event.idm.read_only_udm.security_result.detection_fields[ConfigStateHash] |
Aggiunto come coppia chiave-valore all'array detection_fields . |
ConfigStateUpdateV1 |
event.idm.read_only_udm.metadata.description |
Mappatura diretta. |
ConnectionDirection |
_network_direction |
Se 0, imposta _network_direction su OUTBOUND . Se 1, imposta _network_direction su INBOUND . Se 2, imposta _network_direction su NEITHER . Se 3, imposta _network_direction su STATUS_UPDATE . |
Continent |
event.idm.read_only_udm.additional.fields[Continent] |
Aggiunto come coppia chiave-valore all'array additional_fields . |
ContentSHA256HashData |
event.idm.read_only_udm.security_result.detection_fields[ContentSHA256HashData] |
Aggiunto come coppia chiave-valore all'array detection_fields . |
ContextProcessId |
event.idm.read_only_udm.principal.process.product_specific_process_id , event.idm.read_only_udm.target.process.product_specific_process_id |
Se _aid_is_target è false, esegui la mappatura a principal.process.product_specific_process_id . Se _aid_is_target è vero e LogonType è 3, mappa a target.process.product_specific_process_id . |
ContextTimeStamp |
event.idm.read_only_udm.metadata.event_timestamp , event.idm.read_only_udm.security_result.detection_fields[ContextTimeStamp] |
Il campo del log non elaborato ContextTimeStamp viene convertito in un timestamp UDM e mappato a event_timestamp . Aggiunto come coppia chiave-valore all'array detection_fields . |
Country |
event.idm.read_only_udm.principal.location.country_or_region |
Mappatura diretta. |
CreateServiceV3 |
event.idm.read_only_udm.metadata.description |
Mappatura diretta. |
CreateThreadNoStartImageV12 |
event.idm.read_only_udm.metadata.description |
Mappatura diretta. |
CrashNotificationV4 |
event.idm.read_only_udm.metadata.description |
Mappatura diretta. |
CriticalFileAccessedLinV1 |
event.idm.read_only_udm.metadata.description |
Mappatura diretta. |
CriticalFileModifiedMacV2 |
event.idm.read_only_udm.metadata.description |
Mappatura diretta. |
CurrentSystemTagsV1 |
event.idm.read_only_udm.metadata.description |
Mappatura diretta. |
DCSyncAttemptedV1 |
event.idm.read_only_udm.metadata.description |
Mappatura diretta. |
DcName |
event.idm.read_only_udm.principal.user.userid |
Le barre oblique inverse vengono rimosse dal campo DcName . |
DcOnlineV1 |
event.idm.read_only_udm.metadata.description |
Mappatura diretta. |
DcStatusV1 |
event.idm.read_only_udm.metadata.description |
Mappatura diretta. |
DcUsbConfigurationDescriptorV2 |
event.idm.read_only_udm.metadata.description |
Mappatura diretta. |
DcUsbDeviceConnectedV2 |
event.idm.read_only_udm.metadata.description |
Mappatura diretta. |
DcUsbDeviceDisconnectedV2 |
event.idm.read_only_udm.metadata.description |
Mappatura diretta. |
DcUsbEndpointDescriptorV2 |
event.idm.read_only_udm.metadata.description |
Mappatura diretta. |
DcUsbHIDDescriptorV2 |
event.idm.read_only_udm.metadata.description |
Mappatura diretta. |
DcUsbInterfaceDescriptorV2 |
event.idm.read_only_udm.metadata.description |
Mappatura diretta. |
DeepHashBlacklistClassificationV1 |
event.idm.read_only_udm.metadata.description |
Mappatura diretta. |
DeliverLocalFXToCloudV2 |
event.idm.read_only_udm.metadata.description |
Mappatura diretta. |
DeliverLocalFXToCloudV3 |
event.idm.read_only_udm.metadata.description |
Mappatura diretta. |
DesiredAccess |
event.idm.read_only_udm.security_result.detection_fields[DesiredAccess] |
Aggiunto come coppia chiave-valore all'array detection_fields . |
DetectDescription |
event.idm.read_only_udm.security_result.description |
Mappatura diretta. |
DetectId |
event.idm.read_only_udm.security_result.about.labels[DetectId] |
Aggiunto come coppia chiave-valore all'array labels . |
DetectName |
event.idm.read_only_udm.security_result.threat_name |
Mappatura diretta. |
detectionId |
event.idm.read_only_udm.security_result.detection_fields[detectionId] |
Aggiunto come coppia chiave-valore all'array detection_fields . |
detectionName |
event.idm.read_only_udm.security_result.detection_fields[detectionName] |
Aggiunto come coppia chiave-valore all'array detection_fields . |
DeviceInstanceId |
event.idm.read_only_udm.target.asset_id |
Preceduta da "ID istanza dispositivo: ". |
DeviceManufacturer |
event.idm.read_only_udm.target.asset.hardware.manufacturer |
Mappatura diretta. |
DeviceProduct |
event.idm.read_only_udm.target.asset.hardware.model |
Mappatura diretta. |
DevicePropertyDeviceDescription |
event.idm.read_only_udm.target.asset.attribute.labels[Device Property Device Description] |
Aggiunto come coppia chiave-valore all'array labels . |
DevicePropertyLocationInformation |
event.idm.read_only_udm.target.asset.attribute.labels[Device Property Location Information] |
Aggiunto come coppia chiave-valore all'array labels . |
DeviceSerialNumber |
event.idm.read_only_udm.target.asset.hardware.serial_number |
Mappatura diretta. |
DeviceTimeStamp |
event.idm.read_only_udm.metadata.event_timestamp |
Il campo del log non elaborato DeviceTimeStamp viene convertito in un timestamp UDM e mappato a event_timestamp . |
DirectoryCreateMacV1 |
event.idm.read_only_udm.metadata.description |
Mappatura diretta. |
DiskParentDeviceInstanceId |
event.idm.read_only_udm.target.resource.id |
Mappatura diretta. |
DllInjectionV1 |
event.idm.read_only_udm.metadata.description |
Mappatura diretta. |
DmpFileWrittenV11 |
event.idm.read_only_udm.metadata.description |
Mappatura diretta. |
DomainName |
event.idm.read_only_udm.target.hostname , event.idm.read_only_udm.target.asset.hostname |
Se event_simpleName è DnsRequest o SuspiciousDnsRequest , mappa a target.hostname e target.asset.hostname . |
DotnetModuleLoadDetectInfoV1 |
event.idm.read_only_udm.metadata.description |
Mappatura diretta. |
DownloadServer |
`event.id |
Modifiche
2024-06-06
- "OriginalFilename" è stato mappato a "target.process.file.exif_info.original_file".
2024-05-31
- "os_version" è stato mappato a "principal.platform_version".
- "hostname" è stato mappato a "principal.hostname" e "principal.asset.hostname".
- "product_type_desc", "host_hidden_status", "scores.os", "scores.sensor", "scores.version", "scores.overall" e "scores.modified_time" sono stati mappati a "security_result.detection_fields".
2024-05-23
- "Versione" è stata mappata a "principal.platform_version".
2024-05-21
- Quando "event_simpleName" è "FileWritten", "NetworkConnect" o "DnsRequest", mappa "ContextBaseFileName" a "principal.process.file.full_path".
- "QuarantinedFileName" è stato mappato a "principal.process.file.full_path".
2024-05-15
- "Version", "BiosVersion" e "ChassisType" sono stati mappati a "principal.asset.attribute.labels".
- Ho mappato "Continent", "OU" e "SiteName" a "additional.fields".
2024-04-17
- "ModuleILPath" è stato mappato a "target.resource.attribute.labels".
2024-04-08
- Correzione di bug:
- Quando "event_simpleName" è "ClassifiedModuleLoad", modifica "metadata.event_type" da "STATUS_UPDATE" a "PROCESS_MODULE_LOAD".
2024-02-21
- "SubjectDN" è stato mappato a "security_result.about.artifact.last_https_certificate.subject".
- "IssuerDN" è stato mappato a "security_result.about.artifact.last_https_certificate.issuer".
- "SubjectCertValidTo" è stato mappato a "security_result.about.artifact.last_https_certificate.validity.issue_time".
- "SubjectCertValidFrom" è stato mappato a "security_result.about.artifact.last_https_certificate.validity.expiry_time".
- "SubjectSerialNumber" è stato mappato a "security_result.about.artifact.last_https_certificate.serial_number".
- "SubjectVersion" è stato mappato a "security_result.about.artifact.last_https_certificate.version".
- "SubjectCertThumbprint" è stato mappato a "security_result.about.artifact.last_https_certificate.thumbprint".
- "SignatureDigestAlg" è stato mappato a "security_result.about.artifact.last_https_certificate.signature_algorithm".
- "SignatureDigestEncryptAlg" è stato mappato a "security_result.about.artifact.last_https_certificate.cert_signature.signature_algorithm".
- "AuthenticodeHashData" è stato mappato a "target.file.authentihash".
- "AuthorityKeyIdentifier" è stato mappato a "security_result.about.artifact.last_https_certificate.extension.authority_key_id.keyid" e "security_result.about.artifact.last_https_certificate.cert_extensions.fields".
- "SubjectKeyIdentifier" è stato mappato a "security_result.about.artifact.last_https_certificate.extension.subject_key_id" e "security_result.about.artifact.last_https_certificate.cert_extensions.fields".
- "OriginalFilename" è stato mappato a "additional.fields".
- Sono stati mappati "SignInfoFlagUnknownError", "SignInfoFlagHasValidSignature", "SignInfoFlagSignHashMismatch",
- "AuthenticodeMatch", "SignInfoFlagMicrosoftSigned", "SignInfoFlagNoSignature", "SignInfoFlagInvalidSignChain",
- "SignInfoFlagNoCodeKeyUsage", "SignInfoFlagNoEmbeddedCert", "SignInfoFlagThirdPartyRoot",
- "SignInfoFlagCatalogSigned", "SignInfoFlagSelfSigned", "SignInfoFlagFailedCertCheck",
- "SignInfoFlagEmbeddedSigned", "IssuerCN", "SubjectCN" in "security_result.detection_fields".
2023-12-22
- "HostUrl" è stato mappato a "target.url".
- "ReferrerUrl" è stato mappato a "network.http.referral_url".
2023-11-23
- Quando "is_alert" è impostato su "true", mappa "event.idm.is_significant" su "true".
- Quando "is_alert" è impostato su "true", mappa "event_simpleName" a "security_result.summary".
2023-10-11
- È stato aggiunto un controllo con espressioni regolari per convalidare i valori SHA-1, MD5 e SHA256.
2023-08-22
- "Tecnica" è stato mappato a "security_result.attack_details.techniques.name" e ai dettagli della tecnica e della tattica corrispondenti.
2023-08-03
- "ReflectiveDllName" è stato mappato a "target.file.full_path".
- "event_type" è stato mappato a "STATUS_UPDATE" per i log in cui il campo "DomainName" non è presente.
2023-08-01
- "Tattica" è stato mappato a "security_result.attack_details.tactics.name" e al relativo tactics.id.
2023-07-31
- Bug-Fix-
- È stato aggiunto il controllo "on_error" per il filtro della data.
2023-06-19
- "ParentBaseFileName" è stato mappato a "principal.process.file.full_path".
- È stata rimossa la mappatura di "ImageFileName" a "target.file.full_path" perché è già mappata a "target.process.file.full_path" per gli eventi "ProcessRollup2" e "SyntheticProcessRollup2".
2023-05-12
- Miglioramento:
- "aip" è stato mappato a "intermediary.ip".
2023-05-08
- Correzione di bug: converti i formati di tempo in stringa e gestisci il formato di tempo in nanosecondi.
2023-04-14
- Miglioramento: il valore "Severità" dell'intervallo [0-19] è stato modificato in "security_result.severity" come "INFORMATIVA".
- Il valore "Severità" dell'intervallo [20-39] è stato modificato in "security_result.severity" come "LOW".
- Il valore "Severità" dell'intervallo [40-59] è stato modificato in "security_result.severity" come "MEDIA".
- Il valore "Severità" dell'intervallo [60-79] è stato modificato in "security_result.severity" come "ELEVATA".
- Il valore "Severità" dell'intervallo [80-100] è stato modificato in "security_result.severity" come "CRITICA".
- "PatternId" è stato mappato a "security_result.detection_fields".
- "SourceEndpointIpAddress" è stato mappato a "principal.ip".
- "metadata.event_type" è stato mappato a "USER_UNCATEGORIZED" quando "event_simpleName =~ userlogonfailed" e le informazioni utente non sono presenti.
- "metadata.event_type" è stato mappato a "USER_UNCATEGORIZED" quando "ExternalApiType = "Event_UserActivityAuditEvent"" e contiene informazioni sull'utente.
- "metadata.event_type" è stato mappato a "USER_UNCATEGORIZED" quando "event_simpleName =~ "ActiveDirectory".
- "TargetAccountObjectGuid" è stato mappato a "additional.fields".
- "TargetDomainControllerObjectGuid" è stato mappato a "additional.fields".
- "TargetDomainControllerObjectSid" è stato mappato a "additional.fields".
- "AggregationActivityCount" è stato mappato a "additional.fields".
- "TargetServiceAccessIdentifier" è stato mappato a "additional.fields".
- "SourceAccountUserPrincipal" è stato mappato a "principal.user.userid".
- "SourceEndpointAddressIP4" è stato mappato a "principal.ip".
- "SourceAccountObjectGuid" è stato mappato a "additional.fields".
- "AccountDomain" è stato mappato a "principal.administrative_domain".
- "AccountObjectGuid" è stato mappato a "metadata.product_log_id".
- "AccountObjectSid" è stato mappato a "principal.user.windows_sid".
- "SamAccountName" è stato mappato a "principal.user.user_display_name".
- "SourceAccountSamAccountName" è stato mappato a "principal.user.user_display_name".
- "IOARuleGroupName" è stato mappato a "security_result.detection_fields".
- "IOARuleName" è stato mappato a "security_result.detection_fields".
- "RemoteAddressIP4" è stato mappato a "target.ip" per "event_simpleName"="RegCredAccessDetectInfo".
2023-03-24
- "ID" è stato mappato a "metadata.product_log_id" anziché a "target.resource.id".
- "RegBinaryValue" è stato mappato a "target.registry.registry_value_data" se sia "RegNumericValue" sia "RegStringValue" sono null.
2023-03-21
- Miglioramento:
- "BatchTimestamp", "GcpCreationTimestamp", "K8SCreationTimestamp" e "AwsCreationTimestamp" sono stati mappati a "metadata.event_timestamp".
- "FileOperatorSid" è stato mappato a "target.user.windows_sid".
2023-03-13
- Miglioramento:
- "LogonTime", "ProcessStartTime", "ContextTimeStamp", "ContextTimeStamp_decimal" e "AccountCreationTimeStamp" sono stati mappati a "metadata.event_timestamp".
2023-03-10
- Miglioramento:
- "CallStackModuleNamesVersion" e "CallStackModuleNamesVersion" sono stati mappati a security_result.detection_fields.
2023-02-28
- Miglioramento: sono state modificate le seguenti mappature per il campo "ParentProcessId" quando "event_simpleName" è in ["ProcessRollup2", "SyntheticProcessRollup2"]
- "target.process.parent_process.pid" modificato in "target.process.parent_process.product_specific_process_id"
2023-02-16
- Miglioramento:
- Il campo "AssociatedFile" è stato mappato a "security_result.detection_fields[n].value" e "security_result.detection_fields[n].key" è mappato a "AssociatedIOCFile".
2023-02-09
- Miglioramento:
- "RegNumericValue" è stato mappato a "target.registry.registry_value_data".
- "ManagedPdbBuildPath" è stato mappato a "target.labels".
2023-02-09
- Miglioramento
- I campi mappati in "target.labels" sono stati rimappati in "target.resource.attribute.labels".
- È stata rettificata la mappatura di "ManagedPdbBuildPath" in "target.resource.attribute.labels".
2023-01-15
- BugFix -
- "aid" per l'evento "UserLogonFailed" è stato rimappato in "target.asset_id" da "principal.asset_id".
2023-01-13
- Miglioramento:
- È stata aggiunta la mappatura per "Severità", mappandola a "security_result.severity".
2023-01-13
- Miglioramento:
- Nome utente mappato a principal.user.userid per event_type "ScheduledTaskModified" e "ScheduledTaskRegistered".
- "AssemblyName","ManagedPdbBuildPath","ModuleILPath" mappati a "target.labels" quando metadata.product_event_type = "ReflectiveDotnetModuleLoad"
- "VirtualDriveFileName","VolumeName" mappati a "target.labels" quando metadata.product_event_type = "RemovableMediaVolumeMounted"
- "ImageFileName" mappato a "target.file.full_path" quando metadata.product_event_type = "ClassifiedModuleLoad"
2023-01-02
- Miglioramento:
- Nome utente mappato a principal.user.userid per event_type "ScheduledTaskModified" e "ScheduledTaskRegistered".
2022-12-22
- Miglioramento:
- "RemoteAddressIP4" è stato mappato a "principal.ip" per "event_type"="Userlogonfailed2"
2022-11-04
- Miglioramento:
- "GrandparentImageFileName" è stato mappato a "principal.process.parent_process.parent_process.file.full_path".
- "GrandparentCommandLine" è stato mappato a "principal.process.parent_process.parent_process.commamdLine"
2022-11-03
- Bug -
- Quando "event_simpleName" è "InstalledApplication", vengono mappati i seguenti parametri.
- "AppName" è stato mappato a "principal.asset.software.name".
- "AppVersion" è stato mappato a "principal.asset.software.version".
2022-10-12
- Bug -
- "discoverer_aid" è stato mappato a "resource.attribute.labels".
- "NomeNeighbor" è stato mappato a "intermediary.hostname".
- "subnet" è stato mappato a "additional.fields".
- "localipCount" è stato mappato a "additional.fields".
- "aipCount" è stato mappato a "additional.fields".
- È stato aggiunto il controllo condizionale per "LogonServer"
2022-10-07
- Correzione di bug:
- È stata modificata la mappatura di "CommandLine" da "principal.process.command_line" a "target.process.command_line".
2022-09-13
- Correzione:
- È stato mappato metadata.event_type a REGISTRY_CREATION se RegOperationType è "3".
- event_type è stato mappato a REGISTRY_DELETION se RegOperationType è "4" o "102".
- È stato mappato event_type a REGISTRY_MODIFICATION se RegOperationType è "5","7","9","101" o "1".
- È stato mappato event_type a REGISTRY_UNCATEGORIZED se RegOperationType non è nullo e non in tutti i casi precedenti.
2022-09-02
- Definisci il campo "UserPrincipal" in statedata.
2022-08-21
- "ActivityId" è stato mappato a "additional.fields".
- "SourceEndpointHostName" è stato mappato a "principal.hostname".
- "SourceAccountObjectSid" è stato mappato a "principal.user.windows_sid".
- È stata aggiunta una condizione per analizzare "LocalAddressIP4" e "aip".
- "metadata.event_type" è stato mappato a "STATUS_UPDATE" se "ComputerName" e "LocalAddressIP4" non sono null.
- "SourceEndpointAccountObjectGuid" è stato mappato a "metadata.product_log_id".
- "SourceEndpointAccountObjectSid" è stato mappato a "target.user.windows_sid".
- "SourceEndpointHostName" è stato mappato a "principal.hostname".
2022-08-18
- Correzione:
- Sono stati mappati i seguenti campi:
- "event.PatternDispositionValue" a "security_result.about.labels".
- "event.ProcessId" a "principal.process.product_specific_process_id".
- "event.ParentProcessId" a "target.process.parent_process.pid".
- "event.ProcessStartTime" a "security_result.detection_fields".
- "event.ProcessEndTime" a "security_result.detection_fields".
- "event.ComputerName" a "principal.hostname".
- "event.UserName" a "principal.user.userid".
- "event.DetectName" a "security_result.threat_name".
- "event.DetectDescription" a "security_result.description".
- "event.SeverityName" a "security_result.severity".
- "event.FileName" a "target.file.full_path".
- "event.FilePath" a "target.file.full_path".
- "event.CommandLine" a "principal.process.command_line".
- "event.SHA256String" in "target.file.sha256".
- "event.MD5String" in "security_result.about.file.md5".
- "event.MachineDomain" a "principal.administrative_domain".
- "event.FalconHostLink" a "intermediary.url".
- "event.LocalIP" a "principal.ip".
- "event.MACAddress" a "principal.mac".
- "event.Tactic" a "security_result.detection_fields".
- "event.Technique" a "security_result.detection_fields".
- "event.Objective" a "security_result.rule_name".
- "event.PatternDispositionDescription" a "security_result.summary".
- "event.ParentImageFileName" a "principal.process.parent_process.file.full_path".
- "event.ParentCommandLine" a "principal.process.parent_process.command_line".
2022-08-30
- ID Buganized: 243245623
- Miglioramento:
- È stato definito il campo "UserPrincipal" in statedata.
2022-07-29
- "event_category,event_module,Hmac" sono stati mappati a "additional.fields".
- "user_name" è stato mappato a "principal.user.userid".
- "event_source" è stato mappato a "target.application".
- È stato aggiunto il pattern grok per "auth_group e nuovi log".
- È stato aggiunto il controllo per "principal_ip,target_ip ed event_type".
2022-07-25
Correzione di bug:
"metadata.event_type" è stato mappato a "USER_RESOURCE_ACCESS" se "eventType" è "K8SDetectionEvent"
"metadata.event_type" è stato mappato a "STATUS_UPDATE" se "metadata.event_type" è null e "principal.asset_id" non è null.
"SourceAccountDomain" è stato mappato a "principal.administrative_domain"
"SourceAccountName" è stato mappato a "principal.user.userid"
"metadata.event_type" è stato mappato a "STATUS_UPDATE", dove "EventType" è "Event_ExternalApiEvent" e "OperationName" è in ["quarantined_file_update", "detection_update", "update_rule"]
"metadata.event_type" è stato mappato a "USER_RESOURCE_ACCESS" se Path è null e FileName è null o AgentIdString è null.
"metadata.event_type" è stato mappato a "STATUS_UPDATE" se Protocol è null.
È stato aggiunto il controllo condizionale per MD5String,SHA256String,CommandLine,AgentIdString,ProcessId,ParentProcessId,FilePath,FileName.
2022-07-12
- per event_simpleName: DriverLoad,ProcessRollup,PeVersionInfo,PeFileWritten,TemplateDetectAnalysis,ScriptControlDetectInfo.
- OriginalFilename mappato a principal.process.file.full_path
2022-06-14
- "CompanyName" è stato mappato a "target.user.company_name"
- "AccountType" è stato mappato a "target.user.role_description"
- "ProductVersion" è stato mappato a "metadata.product_version"
- "LogonInfo" è stato mappato a "principal.ip"
- "MAC" mappato a "principal.mac"
- "UserSid_readable" è stato mappato a "target.user.windows_sid"
- "FileName" è stato mappato a "target.file.full_path"
- "_time" è stato mappato a "metadata.event_timestamp"
- È stato aggiunto il controllo condizionale per "MD5HashData", "SHA256HashData", "UserName", "ID", "RegObjectName", "RegStringValue", "RegValueName", "UserSid", "TargetFileName", "aid"
2022-06-20
- "ConfigBuild" è stato mappato a "security_result.detection_fields".
- "EffectiveTransmissionClass" è stato mappato a "security_result.detection_fields".
- "Diritti" è stato mappato a "security_result.detection_fields".
2022-06-02
- Correzione di bug: è stato rimosso il nome della chiave e il carattere dei due punti da "security_result.detection_fields.value".
2022-05-27
- Miglioramento: mappatura aggiuntiva: SHA256String e MD5String a security_result.about.file per essere visualizzati come evento di avviso.
2022-05-20
- "LinkName" è stato mappato a "target.resource.attribute.labels".
- Le possibili occorrenze di "GENERIC_EVENTS" sono state impostate su "STATUS_UPDATE".
- È stata aggiunta una barra verticale tra il processo e la relativa directory principale principale.
- Piattaforma analizzata se "event_platform" è iOS.
- È stato modificato resource.type in resource_type.
2022-05-12
- Miglioramento: resourceName mappato a target.resource.name
- resourceId mappato a target.resource.product_object_id
- Spazio dei nomi mappato a target.namespace
- Categoria mappata a security_result.category_details
- descrizione mappata a security_result.description
- sourceAgent mappato a network.http.user_agent
- Gravità mappata a security_result.severity
- resourceKind mappato a target.resource.type
- detectionName mappato a target.resource.name
- clusterName mappato a target.resource.attribute.labels
- clusterId mappato a target.resource.attribute.labels
- detectionId mappato a target.resource.attribute.labels
- Tipo mappato a additional.fields
- Correzione di additional.fields
- Benchmark per additional.fields
- badResources a additional.fields
2022-04-27
- Bug - Correzione: 1. È stato modificato il tipo di evento udm da GENERIC_EVENT a USER_LOGIN per i log con ExternalApiType = Event_AuthActivityAuditEvent.
- 2. Le mappature di target_user, actor_user e actor_user_uuid sono state modificate da additional.fields a target.user.email_addresses, target.user.user_display_name e target.user.userid rispettivamente.
2022-04-25
- Miglioramento: è stato mappato "RemoteAddressIP4" a principal.ip.
2022-04-14
- Bug: è stato aggiunto il supporto per il campo ScriptContent per tutti i tipi di log
2022-04-13
- Miglioramento: sono state aggiunte mappature per i nuovi campi
- Sono state aggiunte nuove mappature di eventi: AuthenticationPackage mappato a target.resource.name
2022-04-04
- Bug: "OriginatingURL" è stato mappato a principal.url per gli eventi NetworkConnect.