Diese Seite wurde von der Cloud Translation API übersetzt.

LimaCharlie EDR-Logs erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie die LimaCharlie EDR-Logs mit Google Cloud Storage in Google Security Operations aufnehmen. Der Parser extrahiert Ereignisse aus JSON-formatierten Logs, normalisiert Felder im UDM und verarbeitet sowohl Ereignisse auf oberster Ebene als auch verschachtelte Ereignisse. Es werden verschiedene Ereignistypen analysiert, darunter DNS-Anfragen, Prozessgenerierung, Dateiänderungen, Netzwerkverbindungen und Registrierungsänderungen. Relevante Felder werden ihren UDM-Entsprechungen (Unified Data Model) zugeordnet und die Daten werden mit LimaCharlie-spezifischem Kontext angereichert.

Hinweise

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

Google SecOps-Instanz
Privilegierter Zugriff auf Google Cloud
Privilegierter Zugriff auf LimaCharlie

Google Cloud Storage-Bucket erstellen

Melden Sie sich in der Google Cloud -Konsole an.
Rufen Sie die Seite Cloud Storage-Buckets auf.

Buckets aufrufen
Klicken Sie auf Erstellen.
Geben Sie auf der Seite Bucket erstellen die Bucket-Informationen ein. Klicken Sie nach jedem der folgenden Schritte auf Weiter, um mit dem nächsten Schritt fortzufahren:
1. Führen Sie im Abschnitt Einstieg die folgenden Schritte aus:
  - Geben Sie einen eindeutigen Namen ein, der den Anforderungen für Bucket-Namen entspricht (z. B. cloudrun-logs).
  - Wenn Sie den hierarchischen Namespace aktivieren möchten, klicken Sie auf den Maximierungspfeil, um den Bereich Für dateiorientierte und datenintensive Arbeitslasten optimieren zu maximieren, und wählen Sie dann Hierarchischen Namespace für diesen Bucket aktivieren aus.
  Hinweis: Sie können den hierarchischen Namespace nicht in einem vorhandenen Bucket aktivieren.
  - Wenn Sie ein Bucket-Label hinzufügen möchten, klicken Sie auf den Erweiterungspfeil, um den Abschnitt Labels zu maximieren.
  - Klicken Sie auf Label hinzufügen und geben Sie einen Schlüssel und einen Wert für das Label an.
2. Gehen Sie im Bereich Speicherort für Daten auswählen so vor:
  - Standorttyp auswählen.
  - Wählen Sie im Menü für den Standorttyp einen Speicherort aus, an dem die Objektdaten in Ihrem Bucket dauerhaft gespeichert werden sollen.
  Hinweis :Wenn Sie den Standorttyp Dual-Region auswählen, können Sie auch die Turboreplikation aktivieren, indem Sie das entsprechende Kästchen anklicken.
  - Wenn Sie die Bucket-übergreifende Replikation einrichten möchten, maximieren Sie den Bereich Bucket-übergreifende Replikation einrichten.
3. Wählen Sie im Abschnitt Speicherklasse für Ihre Daten auswählen entweder eine Standardspeicherklasse für den Bucket oder Autoclass für die automatische Verwaltung der Speicherklassen Ihrer Bucket-Daten aus.
4. Wählen Sie im Abschnitt Zugriff auf Objekte steuern die Option nicht aus, um die Verhinderung des öffentlichen Zugriffs zu erzwingen, und wählen Sie ein Zugriffssteuerungsmodell für die Objekte Ihres Buckets aus.
Hinweis: Wenn die Verhinderung des öffentlichen Zugriffs bereits durch die Organisationsrichtlinie Ihres Projekts erzwungen wird, ist das Kästchen Öffentlichen Zugriff verhindern gesperrt.
1. Gehen Sie im Bereich Auswählen, wie Objektdaten geschützt werden so vor:
  - Wählen Sie unter Datenschutz die gewünschten Optionen für Ihren Bucket aus.
  - Um auszuwählen, wie Ihre Objektdaten verschlüsselt werden, klicken Sie auf den Erweiterungspfeil Datenverschlüsselung und wählen Sie eine Methode für die Datenverschlüsselung aus.
Klicken Sie auf Erstellen.

Logexport in LimaCharlie EDR konfigurieren

Melden Sie sich im LimaCharlie-Portal an.
Wählen Sie im Menü auf der linken Seite Ausgaben aus.
Klicken Sie auf Ausgabe hinzufügen.
Ausgabestream auswählen: Wählen Sie Ereignisse aus.
Ausgabeziel auswählen: Wählen Sie Google Cloud Storage aus.
Geben Sie die folgenden Konfigurationsdetails an:
- Bucket: Pfad zum Google Cloud Storage-Bucket.
- Secret Key (Geheimer Schlüssel): Geheimer JSON-Schlüssel zur Identifizierung eines Dienstkontos.
- Sek. pro Datei: Anzahl der Sekunden, nach denen eine Datei geschnitten und hochgeladen wird.
- Komprimierung: Legen Sie Falsch fest.
- Indexierung: Auf Falsch setzen.
- Dir: Verzeichnispräfix für die Ausgabe der Dateien auf dem Remote-Host.
Klicken Sie auf Ausgabe speichern.

Feeds einrichten

Es gibt zwei verschiedene Einstiegspunkte zum Einrichten von Feeds in der Google SecOps-Plattform:

SIEM-Einstellungen > Feeds
Content Hub> Content-Pakete

Feeds über „SIEM-Einstellungen“ > „Feeds“ einrichten

So konfigurieren Sie einen Feed:

Rufen Sie die SIEM-Einstellungen > Feeds auf.
Klicken Sie auf Neuen Feed hinzufügen.
Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
Geben Sie im Feld Feed name (Feedname) einen Namen für den Feed ein, z. B. Limacharlie EDR Logs (Limacharlie-EDR-Logs).
Wählen Sie Google Cloud Storage als Quelltyp aus.
Wählen Sie LimaCharlie als Logtyp aus.
Klicken Sie auf Dienstkonto abrufen als Chronicle-Dienstkonto.
Klicken Sie auf Weiter.
Geben Sie Werte für die folgenden Eingabeparameter an:
- Storage-Bucket-URI: Google Cloud Storage-Bucket-URL im Format gs://my-bucket/<value>.
- URI Is A (URI ist ein): Wählen Sie Directory which includes subdirectories (Verzeichnis mit Unterverzeichnissen) aus.
- Optionen zum Löschen von Quellen: Wählen Sie die gewünschte Option zum Löschen aus.
Hinweis: Wenn Sie die Option Delete transferred files oder Delete transferred files and empty directories auswählen, müssen Sie dem Dienstkonto die entsprechenden Berechtigungen erteilen.
- Asset-Namespace: Der Asset-Namespace.
- Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet wird.
Klicken Sie auf Weiter.
Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

Feeds über den Content Hub einrichten

Geben Sie Werte für die folgenden Felder an:

Storage-Bucket-URI: Google Cloud Storage-Bucket-URL im Format gs://my-bucket/<value>.
URI Is A (URI ist ein): Wählen Sie Directory which includes subdirectories (Verzeichnis mit Unterverzeichnissen) aus.
Optionen zum Löschen von Quellen: Wählen Sie die gewünschte Option zum Löschen aus.

Erweiterte Optionen

Feedname: Ein vorausgefüllter Wert, der den Feed identifiziert.
Quelltyp: Methode, die zum Erfassen von Logs in Google SecOps verwendet wird.
Asset-Namespace: Der Namespace, der dem Feed zugeordnet ist.
Aufnahmelabels: Labels, die auf alle Ereignisse aus diesem Feed angewendet werden.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
`cat`	`security_result.summary`	Umbenannt von `cat`. Gilt, wenn `detect` nicht leer ist.
`detect.event.COMMAND_LINE`	`principal.process.command_line`	Umbenannt von `detect.event.COMMAND_LINE`. Wird angewendet, wenn `event_type` einer der folgenden Werte ist: `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` oder `SENSITIVE_PROCESS_ACCESS` und `detect` nicht leer ist.
`detect.event.COMMAND_LINE`	`principal.process.command_line`	Umbenannt von `detect.event.COMMAND_LINE`. Wird angewendet, wenn `event_type` nicht `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` oder `SENSITIVE_PROCESS_ACCESS` ist und `detect` nicht leer ist.
`detect.event.FILE_PATH`	`principal.process.file.full_path`	Umbenannt von `detect.event.FILE_PATH`. Wird angewendet, wenn `event_type` einer der folgenden Werte ist: `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` oder `SENSITIVE_PROCESS_ACCESS` und `detect` nicht leer ist.
`detect.event.FILE_PATH`	`principal.process.file.full_path`	Umbenannt von `detect.event.FILE_PATH`. Wird angewendet, wenn `event_type` nicht `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` oder `SENSITIVE_PROCESS_ACCESS` ist und `detect` nicht leer ist.
`detect.event.HASH`	`principal.process.file.sha256`	Umbenannt von `detect.event.HASH`. Wird angewendet, wenn `event_type` einer der folgenden Werte ist: `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` oder `SENSITIVE_PROCESS_ACCESS` und `detect` nicht leer ist.
`detect.event.HASH`	`principal.process.file.sha256`	Umbenannt von `detect.event.HASH`. Wird angewendet, wenn `event_type` nicht `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` oder `SENSITIVE_PROCESS_ACCESS` ist und `detect` nicht leer ist.
`detect.event.HASH_MD5`	`principal.process.file.md5`	Umbenannt von `detect.event.HASH_MD5`. Wird angewendet, wenn `event_type` nicht `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` oder `SENSITIVE_PROCESS_ACCESS` ist und `detect` nicht leer ist.
`detect.event.HASH_SHA1`	`principal.process.file.sha1`	Umbenannt von `detect.event.HASH_SHA1`. Wird angewendet, wenn `event_type` nicht `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` oder `SENSITIVE_PROCESS_ACCESS` ist und `detect` nicht leer ist.
`detect.event.PARENT.COMMAND_LINE`	`principal.process.command_line`	Umbenannt von `detect.event.PARENT.COMMAND_LINE`. Wird angewendet, wenn `event_type` einer der folgenden Werte ist: `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` oder `SENSITIVE_PROCESS_ACCESS` und `detect` nicht leer ist.
`detect.event.PARENT.COMMAND_LINE`	`principal.process.parent_process.command_line`	Umbenannt von `detect.event.PARENT.COMMAND_LINE`. Wird angewendet, wenn `event_type` nicht `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` oder `SENSITIVE_PROCESS_ACCESS` ist und `detect` nicht leer ist.
`detect.event.PARENT.FILE_PATH`	`principal.process.file.full_path`	Umbenannt von `detect.event.PARENT.FILE_PATH`. Wird angewendet, wenn `event_type` einer der folgenden Werte ist: `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` oder `SENSITIVE_PROCESS_ACCESS` und `detect` nicht leer ist.
`detect.event.PARENT.FILE_PATH`	`principal.process.parent_process.file.full_path`	Umbenannt von `detect.event.PARENT.FILE_PATH`. Wird angewendet, wenn `event_type` nicht `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` oder `SENSITIVE_PROCESS_ACCESS` ist und `detect` nicht leer ist.
`detect.event.PARENT.HASH`	`principal.process.file.sha256`	Umbenannt von `detect.event.PARENT.HASH`. Wird angewendet, wenn `event_type` einer der folgenden Werte ist: `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` oder `SENSITIVE_PROCESS_ACCESS` und `detect` nicht leer ist.
`detect.event.PARENT.HASH`	`principal.process.parent_process.file.sha256`	Umbenannt von `detect.event.PARENT.HASH`. Wird angewendet, wenn `event_type` nicht `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` oder `SENSITIVE_PROCESS_ACCESS` ist und `detect` nicht leer ist.
`detect.event.PARENT_PROCESS_ID`	`principal.process.pid`	Umbenannt von `detect.event.PARENT_PROCESS_ID`. Wird angewendet, wenn `event_type` einer der folgenden Werte ist: `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` oder `SENSITIVE_PROCESS_ACCESS` und `detect` nicht leer ist.
`detect.event.PARENT_PROCESS_ID`	`principal.process.parent_process.pid`	Umbenannt von `detect.event.PARENT_PROCESS_ID`. Wird angewendet, wenn `event_type` nicht `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` oder `SENSITIVE_PROCESS_ACCESS` ist und `detect` nicht leer ist.
`detect.event.PROCESS_ID`	`target.process.pid`	Umbenannt von `detect.event.PROCESS_ID`. Wird angewendet, wenn `event_type` einer der folgenden Werte ist: `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` oder `SENSITIVE_PROCESS_ACCESS` und `detect` nicht leer ist.
`detect.event.PROCESS_ID`	`principal.process.pid`	Umbenannt von `detect.event.PROCESS_ID`. Wird angewendet, wenn `event_type` nicht `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` oder `SENSITIVE_PROCESS_ACCESS` ist und `detect` nicht leer ist.
`detect.event.USER_NAME`	`principal.user.userid`	Umbenannt von `detect.event.USER_NAME`. Wird angewendet, wenn `event_type` nicht `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` oder `SENSITIVE_PROCESS_ACCESS` ist und `detect` nicht leer ist.
`detect_mtd.description`	`security_result.description`	Umbenannt von `detect_mtd.description`. Gilt, wenn `detect` nicht leer ist.
`detect_mtd.level`	`security_result.severity`	Von `detect_mtd.level` kopiert und in Großbuchstaben konvertiert. Gilt, wenn `detect` nicht leer ist.
`event.COMMAND_LINE`	`principal.process.command_line`	Umbenannt von `event.COMMAND_LINE`. Wird angewendet, wenn `event_type` einer der folgenden Werte ist: `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` oder `SENSITIVE_PROCESS_ACCESS` und `detect` leer ist.
`event.COMMAND_LINE`	`principal.process.command_line`	Umbenannt von `event.COMMAND_LINE`. Wird angewendet, wenn `event_type` nicht `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` oder `SENSITIVE_PROCESS_ACCESS` ist und `detect` leer ist.
`event.DLL`	`target.file.full_path`	Kopiert von `event.DLL`. Gilt, wenn `event_type` `SERVICE_CHANGE` ist.
`event.DOMAIN_NAME`	`network.dns.questions.0.name`, `network.dns.answers.0.name`	In `a.name` umbenannt, dann in `q.name` kopiert und dann in die Arrays `network.dns.questions` und `network.dns.answers` zusammengeführt. Gilt, wenn `event_type` `DNS_REQUEST` ist.
`event.DNS_TYPE`	`network.dns.answers.0.type`	In `a.type` umbenannt und dann in das `network.dns.answers`-Array zusammengeführt. Gilt, wenn `event_type` `DNS_REQUEST` ist.
`event.ERROR`	`security_result.severity_details`	Kopiert von `event.ERROR`. Gilt, wenn `event.ERROR` nicht leer ist.
`event.EXECUTABLE`	`target.process.command_line`	Kopiert von `event.EXECUTABLE`. Gilt, wenn `event_type` `SERVICE_CHANGE` ist.
`event.FILE_PATH`	`target.file.full_path`	Umbenannt von `event.FILE_PATH`. Gilt, wenn `event_type` einer der folgenden Werte ist: `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE` oder `FILE_READ` und `detect` leer ist.
`event.FILE_PATH`	`principal.process.file.full_path`	Umbenannt von `event.FILE_PATH`. Wird angewendet, wenn `event_type` nicht `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` oder `SENSITIVE_PROCESS_ACCESS` ist und `detect` leer ist.
`event.FILE_PATH`	`target.process.file.full_path`	Umbenannt von `event.FILE_PATH`. Gilt, wenn `event_type` einer der folgenden Werte ist: `NEW_PROCESS`, `MODULE_LOAD`, `TERMINATE_PROCESS` oder `SENSITIVE_PROCESS_ACCESS` und `detect` leer ist.
`event.HASH`	`target.file.sha256`	Umbenannt von `event.HASH`. Gilt, wenn `event_type` einer der folgenden Werte ist: `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE` oder `FILE_READ` und `detect` leer ist.
`event.HASH`	`principal.process.file.sha256`	Umbenannt von `event.HASH`. Wird angewendet, wenn `event_type` nicht `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` oder `SENSITIVE_PROCESS_ACCESS` ist und `detect` leer ist.
`event.HASH`	`target.process.file.sha256`	Umbenannt von `event.HASH`. Gilt, wenn `event_type` einer der folgenden Werte ist: `NEW_PROCESS`, `MODULE_LOAD`, `TERMINATE_PROCESS` oder `SENSITIVE_PROCESS_ACCESS` und `detect` leer ist.
`event.HASH_MD5`	`principal.process.file.md5`	Umbenannt von `event.HASH_MD5`. Wird angewendet, wenn `event_type` nicht `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` oder `SENSITIVE_PROCESS_ACCESS` ist und `detect` leer ist.
`event.HASH_SHA1`	`principal.process.file.sha1`	Umbenannt von `event.HASH_SHA1`. Wird angewendet, wenn `event_type` nicht `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` oder `SENSITIVE_PROCESS_ACCESS` ist und `detect` leer ist.
`event.IP_ADDRESS`	`network.dns.answers.0.data`	In `a.data` umbenannt und dann in das `network.dns.answers`-Array zusammengeführt. Gilt, wenn `event_type` `DNS_REQUEST` ist und `event.IP_ADDRESS` nicht leer ist.
`event.MESSAGE_ID`	`network.dns.id`	Umbenannt von `event.MESSAGE_ID`. Gilt, wenn `event_type` `DNS_REQUEST` ist.
`event.NETWORK_ACTIVITY[].DESTINATION.IP_ADDRESS`	`target.ip`	Zusammengeführt aus `event.NETWORK_ACTIVITY[].DESTINATION.IP_ADDRESS`. Gilt, wenn `event_type` `NETWORK_CONNECTIONS` ist.
`event.NETWORK_ACTIVITY[].SOURCE.IP_ADDRESS`	`principal.ip`	Zusammengeführt aus `event.NETWORK_ACTIVITY[].SOURCE.IP_ADDRESS`. Gilt, wenn `event_type` `NETWORK_CONNECTIONS` ist.
`event.PARENT.COMMAND_LINE`	`principal.process.command_line`	Umbenannt von `event.PARENT.COMMAND_LINE`. Wird angewendet, wenn `event_type` einer der folgenden Werte ist: `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` oder `SENSITIVE_PROCESS_ACCESS` und `detect` leer ist.
`event.PARENT.COMMAND_LINE`	`principal.process.parent_process.command_line`	Umbenannt von `event.PARENT.COMMAND_LINE`. Wird angewendet, wenn `event_type` nicht `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` oder `SENSITIVE_PROCESS_ACCESS` ist und `detect` leer ist.
`event.PARENT.FILE_PATH`	`principal.process.file.full_path`	Umbenannt von `event.PARENT.FILE_PATH`. Wird angewendet, wenn `event_type` einer der folgenden Werte ist: `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` oder `SENSITIVE_PROCESS_ACCESS` und `detect` leer ist.
`event.PARENT.FILE_PATH`	`principal.process.parent_process.file.full_path`	Umbenannt von `event.PARENT.FILE_PATH`. Wird angewendet, wenn `event_type` nicht `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` oder `SENSITIVE_PROCESS_ACCESS` ist und `detect` leer ist.
`event.PARENT.HASH`	`principal.process.file.sha256`	Umbenannt von `event.PARENT.HASH`. Wird angewendet, wenn `event_type` einer der folgenden Werte ist: `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` oder `SENSITIVE_PROCESS_ACCESS` und `detect` leer ist.
`event.PARENT.HASH`	`principal.process.parent_process.file.sha256`	Umbenannt von `event.PARENT.HASH`. Wird angewendet, wenn `event_type` nicht `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` oder `SENSITIVE_PROCESS_ACCESS` ist und `detect` leer ist.
`event.PARENT_PROCESS_ID`	`principal.process.pid`	Umbenannt von `event.PARENT_PROCESS_ID`. Wird angewendet, wenn `event_type` einer der folgenden Werte ist: `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` oder `SENSITIVE_PROCESS_ACCESS` und `detect` leer ist.
`event.PARENT_PROCESS_ID`	`principal.process.parent_process.pid`	Umbenannt von `event.PARENT_PROCESS_ID`. Wird angewendet, wenn `event_type` nicht `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` oder `SENSITIVE_PROCESS_ACCESS` ist und `detect` leer ist.
`event.PROCESS_ID`	`target.process.pid`	Umbenannt von `event.PROCESS_ID`. Wird angewendet, wenn `event_type` einer der folgenden Werte ist: `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` oder `SENSITIVE_PROCESS_ACCESS` und `detect` leer ist.
`event.PROCESS_ID`	`principal.process.pid`	Umbenannt von `event.PROCESS_ID`. Wird angewendet, wenn `event_type` nicht `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` oder `SENSITIVE_PROCESS_ACCESS` ist und `detect` leer ist.
`event.REGISTRY_KEY`	`target.registry.registry_key`	Kopiert von `event.REGISTRY_KEY`. Gilt, wenn `event_type` `REGISTRY_WRITE` ist.
`event.REGISTRY_VALUE`	`target.registry.registry_value_data`	Kopiert von `event.REGISTRY_VALUE`. Gilt, wenn `event_type` `REGISTRY_WRITE` ist.
`event.SVC_DISPLAY_NAME`	`metadata.description`	Kopiert von `event.SVC_DISPLAY_NAME`. Gilt, wenn `event_type` `SERVICE_CHANGE` ist.
`event.SVC_NAME`	`target.application`	Kopiert von `event.SVC_NAME`. Gilt, wenn `event_type` `SERVICE_CHANGE` ist.
`event.USER_NAME`	`principal.user.userid`	Umbenannt von `event.USER_NAME`. Wird angewendet, wenn `event_type` nicht `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` oder `SENSITIVE_PROCESS_ACCESS` ist und `detect` leer ist.
`routing.event_time`	`metadata.event_timestamp`	Wird als Zeitstempel aus `routing.event_time` im UNIX_MS- oder ISO8601-Format geparst.
`routing.event_type`	`metadata.product_event_type`	Kopiert von `routing.event_type`.
`routing.ext_ip`	`principal.ip`	Kopiert von `routing.ext_ip`. Gilt, wenn `routing.ext_ip` nicht leer ist.
`routing.hostname`	`principal.hostname`	Kopiert von `routing.hostname`. Gilt, wenn `routing.hostname` nicht leer ist.
`routing.int_ip`	`principal.ip`	Kopiert von `routing.int_ip`. Gilt, wenn `routing.int_ip` nicht leer ist.
`routing.parent`	`target.process.product_specific_process_id`	Wurde mit „LC:“ aus `routing.parent` vorangestellt. Gilt, wenn `detect` nicht leer ist.
`routing.parent`	`principal.process.product_specific_process_id`	Wurde mit „LC:“ aus `routing.parent` vorangestellt. Gilt, wenn `event_type` nicht `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` oder `SENSITIVE_PROCESS_ACCESS` ist und `routing.this` leer und `routing.parent` nicht leer ist.
`routing.this`	`principal.process.product_specific_process_id`	Wurde mit „LC:“ aus `routing.this` vorangestellt. Wird angewendet, wenn `event_type` einer der folgenden Werte ist: `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` oder `SENSITIVE_PROCESS_ACCESS` und `detect` leer ist.
`routing.this`	`principal.process.product_specific_process_id`	Wurde mit „LC:“ aus `routing.this` vorangestellt. Wird angewendet, wenn `event_type` nicht `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` oder `SENSITIVE_PROCESS_ACCESS` ist und `routing.this` nicht leer ist. Legen Sie den Wert auf `true` fest, wenn `detect` nicht leer ist. Legen Sie `true` fest, wenn `detect` nicht leer ist und `detect_mtd.level` einer der folgenden Werte ist: `high`, `medium` oder `critical`. Legen Sie einen Wert basierend auf `event_type` fest: `NETWORK_DNS` für `DNS_REQUEST`, `PROCESS_LAUNCH` für `NEW_PROCESS`, `PROCESS_UNCATEGORIZED` für `EXISTING_PROCESS`, `NETWORK_CONNECTION` für `CONNECTED` oder `NETWORK_CONNECTIONS`, `REGISTRY_MODIFICATION` für `REGISTRY_WRITE`, `SERVICE_MODIFICATION` für `SERVICE_CHANGE`, `FILE_UNCATEGORIZED` für `NEW_DOCUMENT`, `FILE_READ` für `FILE_READ`, `FILE_DELETION` für `FILE_DELETE`, `FILE_CREATION` für `FILE_CREATE`, `FILE_MODIFICATION` für `FILE_MODIFIED`, `PROCESS_MODULE_LOAD` für `MODULE_LOAD`, `PROCESS_TERMINATION` für `TERMINATE_PROCESS`, `STATUS_UNCATEGORIZED` für `CLOUD_NOTIFICATION` oder `RECEIPT`, `PROCESS_UNCATEGORIZED` für `REMOTE_PROCESS_HANDLE` oder `NEW_REMOTE_THREAD` oder `GENERIC_EVENT` für alle anderen Fälle. Legen Sie „LimaCharlie EDR“ fest. Legen Sie diesen Wert auf „LimaCharlie“ fest. Wird auf „DNS“ gesetzt, wenn `event_type` gleich `DNS_REQUEST` ist. Wird auf „ERROR“ gesetzt, wenn `event.ERROR` nicht leer ist. Kopiert von `event.HOST_NAME`. Gilt, wenn `event_type` `CONNECTED` ist.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten