Esta página se ha traducido con Cloud Translation API.

Recopilar registros de LimaCharlie EDR

Disponible en:

SecOps de Google SIEM

En este documento se explica cómo ingerir los registros de EDR de LimaCharlie en Google Security Operations mediante Google Cloud Storage. El analizador extrae eventos de registros con formato JSON, normaliza los campos en UDM y gestiona eventos de nivel superior y anidados. Analiza específicamente varios tipos de eventos, como solicitudes de DNS, creación de procesos, modificaciones de archivos, conexiones de red y cambios en el registro, asignando los campos relevantes a sus equivalentes del modelo de datos unificado (UDM) y enriqueciendo los datos con el contexto específico de LimaCharlie.

Antes de empezar

Asegúrate de que cumples los siguientes requisitos previos:

Instancia de Google SecOps
Acceso privilegiado a Google Cloud
Acceso privilegiado a LimaCharlie

Crea un Google Cloud segmento de almacenamiento

Inicia sesión en la Google Cloud consola.
Ve a la página Segmentos de Cloud Storage.

Ir a Contenedores
Haz clic en Crear.
En la página Crear un segmento, introduce la información del segmento. Después de cada uno de los pasos siguientes, haga clic en Continuar para pasar al siguiente:
1. En la sección Empezar, haz lo siguiente:
  - Introduce un nombre único que cumpla los requisitos de nombres de segmentos (por ejemplo, cloudrun-logs).
  - Para habilitar el espacio de nombres jerárquico, haz clic en la flecha para desplegar la sección Optimizar para cargas de trabajo orientadas a archivos y con gran cantidad de datos y, a continuación, selecciona Habilitar espacio de nombres jerárquico en este bucket.
  Nota: No puedes habilitar el espacio de nombres jerárquico en un bucket que ya tengas.
  - Para añadir una etiqueta de contenedor, haz clic en la flecha para desplegar la sección Etiquetas.
  - Haga clic en Añadir etiqueta y especifique una clave y un valor para la etiqueta.
2. En la sección Elige dónde quieres almacenar los datos, haz lo siguiente:
  - Selecciona un Tipo de ubicación.
  - Usa el menú del tipo de ubicación para seleccionar una Ubicación donde se almacenarán de forma permanente los datos de los objetos de tu segmento.
  Nota: Si selecciona el tipo de ubicación birregional, también puede habilitar la replicación turbo mediante la casilla correspondiente.
  - Para configurar la replicación entre contenedores, despliega la sección Configurar la replicación entre contenedores.
3. En la sección Elige una clase de almacenamiento para tus datos, selecciona una clase de almacenamiento predeterminada para el segmento o Autoclass para gestionar automáticamente la clase de almacenamiento de los datos del segmento.
4. En la sección Elige cómo quieres controlar el acceso a los objetos, selecciona no para aplicar la prevención del acceso público y elige un modelo de control de acceso para los objetos del segmento.
Nota: Si la política de organización de tu proyecto ya aplica la prevención del acceso público, la casilla Impedir el acceso público estará bloqueada.
1. En la sección Elige cómo proteger los datos de los objetos, haz lo siguiente:
  - Selecciona cualquiera de las opciones de Protección de datos que quieras configurar para tu contenedor.
  - Para elegir cómo se cifrarán los datos de los objetos, haz clic en la flecha del desplegable Cifrado de datos y, a continuación, selecciona un Método de cifrado de datos.
Haz clic en Crear.

Configurar la exportación de registros en LimaCharlie EDR

Inicia sesión en el portal de LimaCharlie.
En el menú de la izquierda, selecciona Salidas.
Haz clic en Añadir salida.
Elegir flujo de salida: selecciona Eventos.
Elige el destino de salida: selecciona Google Cloud Storage.
Proporcione los siguientes detalles de configuración:
- Segmento: ruta al segmento de Google Cloud Storage.
- Clave secreta: clave JSON secreta que identifica una cuenta de servicio.
- Segundos por archivo: número de segundos después de los cuales se corta y se sube un archivo.
- Compresión: asigna el valor False.
- Indexación: se ha definido como False.
- Dir prefijo del directorio en el que se generarán los archivos en el host remoto.
Haz clic en Guardar salida.

Configurar feeds

Para configurar un feed, sigue estos pasos:

Ve a Configuración de SIEM > Feeds.
Haz clic en Añadir feed.
En la página siguiente, haga clic en Configurar un solo feed.
En el campo Nombre del feed, introduce un nombre para el feed (por ejemplo, Registros de EDR de Limacharlie).
Selecciona Google Cloud Storage V2 como Tipo de origen.
Seleccione LimaCharlie como Tipo de registro.
Haz clic en Obtener cuenta de servicio en Cuenta de servicio de Chronicle.
Haz clic en Siguiente.
Especifique los valores de los siguientes parámetros de entrada:
- URI del segmento de almacenamiento: URL del segmento de Google Cloud Storage en formato gs://my-bucket/<value>/. Esta URL debe terminar con una barra inclinada (/).
- Opciones de eliminación de la fuente: selecciona la opción de eliminación que prefieras.
Nota: Si seleccionas la opción Delete transferred files o Delete transferred files and empty directories, asegúrate de que has concedido los permisos adecuados a la cuenta de servicio. * Antigüedad máxima del archivo: incluye los archivos modificados en los últimos días. El valor predeterminado es 180 días. * Espacio de nombres de recursos: el espacio de nombres de recursos. * Etiquetas de ingestión: la etiqueta aplicada a los eventos de este feed.
Haz clic en Siguiente.
Revise la configuración de la nueva fuente en la pantalla Finalizar y, a continuación, haga clic en Enviar.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
`cat`	`security_result.summary`	Se ha cambiado el nombre de `cat`. Se aplica cuando `detect` no está vacío.
`detect.event.COMMAND_LINE`	`principal.process.command_line`	Se ha cambiado el nombre de `detect.event.COMMAND_LINE`. Se aplica cuando `event_type` es `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` o `SENSITIVE_PROCESS_ACCESS` y `detect` no está vacío.
`detect.event.COMMAND_LINE`	`principal.process.command_line`	Se ha cambiado el nombre de `detect.event.COMMAND_LINE`. Se aplica cuando `event_type` no es `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` ni `SENSITIVE_PROCESS_ACCESS` y `detect` no está vacío.
`detect.event.FILE_PATH`	`principal.process.file.full_path`	Se ha cambiado el nombre de `detect.event.FILE_PATH`. Se aplica cuando `event_type` es `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` o `SENSITIVE_PROCESS_ACCESS` y `detect` no está vacío.
`detect.event.FILE_PATH`	`principal.process.file.full_path`	Se ha cambiado el nombre de `detect.event.FILE_PATH`. Se aplica cuando `event_type` no es `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` ni `SENSITIVE_PROCESS_ACCESS` y `detect` no está vacío.
`detect.event.HASH`	`principal.process.file.sha256`	Se ha cambiado el nombre de `detect.event.HASH`. Se aplica cuando `event_type` es `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` o `SENSITIVE_PROCESS_ACCESS` y `detect` no está vacío.
`detect.event.HASH`	`principal.process.file.sha256`	Se ha cambiado el nombre de `detect.event.HASH`. Se aplica cuando `event_type` no es `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` ni `SENSITIVE_PROCESS_ACCESS` y `detect` no está vacío.
`detect.event.HASH_MD5`	`principal.process.file.md5`	Se ha cambiado el nombre de `detect.event.HASH_MD5`. Se aplica cuando `event_type` no es `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` ni `SENSITIVE_PROCESS_ACCESS` y `detect` no está vacío.
`detect.event.HASH_SHA1`	`principal.process.file.sha1`	Se ha cambiado el nombre de `detect.event.HASH_SHA1`. Se aplica cuando `event_type` no es `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` ni `SENSITIVE_PROCESS_ACCESS` y `detect` no está vacío.
`detect.event.PARENT.COMMAND_LINE`	`principal.process.command_line`	Se ha cambiado el nombre de `detect.event.PARENT.COMMAND_LINE`. Se aplica cuando `event_type` es `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` o `SENSITIVE_PROCESS_ACCESS` y `detect` no está vacío.
`detect.event.PARENT.COMMAND_LINE`	`principal.process.parent_process.command_line`	Se ha cambiado el nombre de `detect.event.PARENT.COMMAND_LINE`. Se aplica cuando `event_type` no es `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` ni `SENSITIVE_PROCESS_ACCESS` y `detect` no está vacío.
`detect.event.PARENT.FILE_PATH`	`principal.process.file.full_path`	Se ha cambiado el nombre de `detect.event.PARENT.FILE_PATH`. Se aplica cuando `event_type` es `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` o `SENSITIVE_PROCESS_ACCESS` y `detect` no está vacío.
`detect.event.PARENT.FILE_PATH`	`principal.process.parent_process.file.full_path`	Se ha cambiado el nombre de `detect.event.PARENT.FILE_PATH`. Se aplica cuando `event_type` no es `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` ni `SENSITIVE_PROCESS_ACCESS` y `detect` no está vacío.
`detect.event.PARENT.HASH`	`principal.process.file.sha256`	Se ha cambiado el nombre de `detect.event.PARENT.HASH`. Se aplica cuando `event_type` es `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` o `SENSITIVE_PROCESS_ACCESS` y `detect` no está vacío.
`detect.event.PARENT.HASH`	`principal.process.parent_process.file.sha256`	Se ha cambiado el nombre de `detect.event.PARENT.HASH`. Se aplica cuando `event_type` no es `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` ni `SENSITIVE_PROCESS_ACCESS` y `detect` no está vacío.
`detect.event.PARENT_PROCESS_ID`	`principal.process.pid`	Se ha cambiado el nombre de `detect.event.PARENT_PROCESS_ID`. Se aplica cuando `event_type` es `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` o `SENSITIVE_PROCESS_ACCESS` y `detect` no está vacío.
`detect.event.PARENT_PROCESS_ID`	`principal.process.parent_process.pid`	Se ha cambiado el nombre de `detect.event.PARENT_PROCESS_ID`. Se aplica cuando `event_type` no es `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` ni `SENSITIVE_PROCESS_ACCESS` y `detect` no está vacío.
`detect.event.PROCESS_ID`	`target.process.pid`	Se ha cambiado el nombre de `detect.event.PROCESS_ID`. Se aplica cuando `event_type` es `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` o `SENSITIVE_PROCESS_ACCESS` y `detect` no está vacío.
`detect.event.PROCESS_ID`	`principal.process.pid`	Se ha cambiado el nombre de `detect.event.PROCESS_ID`. Se aplica cuando `event_type` no es `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` ni `SENSITIVE_PROCESS_ACCESS` y `detect` no está vacío.
`detect.event.USER_NAME`	`principal.user.userid`	Se ha cambiado el nombre de `detect.event.USER_NAME`. Se aplica cuando `event_type` no es `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` ni `SENSITIVE_PROCESS_ACCESS` y `detect` no está vacío.
`detect_mtd.description`	`security_result.description`	Se ha cambiado el nombre de `detect_mtd.description`. Se aplica cuando `detect` no está vacío.
`detect_mtd.level`	`security_result.severity`	Copiado de `detect_mtd.level` y convertido a mayúsculas. Se aplica cuando `detect` no está vacío.
`event.COMMAND_LINE`	`principal.process.command_line`	Se ha cambiado el nombre de `event.COMMAND_LINE`. Se aplica cuando `event_type` es `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` o `SENSITIVE_PROCESS_ACCESS` y `detect` está vacío.
`event.COMMAND_LINE`	`principal.process.command_line`	Se ha cambiado el nombre de `event.COMMAND_LINE`. Se aplica cuando `event_type` no es `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` ni `SENSITIVE_PROCESS_ACCESS` y `detect` está vacío.
`event.DLL`	`target.file.full_path`	Copiado de `event.DLL`. Se aplica cuando `event_type` es `SERVICE_CHANGE`.
`event.DOMAIN_NAME`	`network.dns.questions.0.name`, `network.dns.answers.0.name`	Se ha cambiado el nombre a `a.name`, se ha copiado en `q.name` y, a continuación, se ha combinado en las matrices `network.dns.questions` y `network.dns.answers`. Se aplica cuando `event_type` es `DNS_REQUEST`.
`event.DNS_TYPE`	`network.dns.answers.0.type`	Se ha cambiado el nombre a `a.type` y, a continuación, se ha combinado en la matriz `network.dns.answers`. Se aplica cuando `event_type` es `DNS_REQUEST`.
`event.ERROR`	`security_result.severity_details`	Copiado de `event.ERROR`. Se aplica cuando `event.ERROR` no está vacío.
`event.EXECUTABLE`	`target.process.command_line`	Copiado de `event.EXECUTABLE`. Se aplica cuando `event_type` es `SERVICE_CHANGE`.
`event.FILE_PATH`	`target.file.full_path`	Se ha cambiado el nombre de `event.FILE_PATH`. Se aplica cuando `event_type` es `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE` o `FILE_READ` y `detect` está vacío.
`event.FILE_PATH`	`principal.process.file.full_path`	Se ha cambiado el nombre de `event.FILE_PATH`. Se aplica cuando `event_type` no es `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` ni `SENSITIVE_PROCESS_ACCESS` y `detect` está vacío.
`event.FILE_PATH`	`target.process.file.full_path`	Se ha cambiado el nombre de `event.FILE_PATH`. Se aplica cuando `event_type` es `NEW_PROCESS`, `MODULE_LOAD`, `TERMINATE_PROCESS` o `SENSITIVE_PROCESS_ACCESS` y `detect` está vacío.
`event.HASH`	`target.file.sha256`	Se ha cambiado el nombre de `event.HASH`. Se aplica cuando `event_type` es `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE` o `FILE_READ` y `detect` está vacío.
`event.HASH`	`principal.process.file.sha256`	Se ha cambiado el nombre de `event.HASH`. Se aplica cuando `event_type` no es `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` ni `SENSITIVE_PROCESS_ACCESS` y `detect` está vacío.
`event.HASH`	`target.process.file.sha256`	Se ha cambiado el nombre de `event.HASH`. Se aplica cuando `event_type` es `NEW_PROCESS`, `MODULE_LOAD`, `TERMINATE_PROCESS` o `SENSITIVE_PROCESS_ACCESS` y `detect` está vacío.
`event.HASH_MD5`	`principal.process.file.md5`	Se ha cambiado el nombre de `event.HASH_MD5`. Se aplica cuando `event_type` no es `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` ni `SENSITIVE_PROCESS_ACCESS` y `detect` está vacío.
`event.HASH_SHA1`	`principal.process.file.sha1`	Se ha cambiado el nombre de `event.HASH_SHA1`. Se aplica cuando `event_type` no es `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` ni `SENSITIVE_PROCESS_ACCESS` y `detect` está vacío.
`event.IP_ADDRESS`	`network.dns.answers.0.data`	Se ha cambiado el nombre a `a.data` y, a continuación, se ha combinado en la matriz `network.dns.answers`. Se aplica cuando `event_type` es `DNS_REQUEST` y `event.IP_ADDRESS` no está vacío.
`event.MESSAGE_ID`	`network.dns.id`	Se ha cambiado el nombre de `event.MESSAGE_ID`. Se aplica cuando `event_type` es `DNS_REQUEST`.
`event.NETWORK_ACTIVITY[].DESTINATION.IP_ADDRESS`	`target.ip`	Combinado de `event.NETWORK_ACTIVITY[].DESTINATION.IP_ADDRESS`. Se aplica cuando `event_type` es `NETWORK_CONNECTIONS`.
`event.NETWORK_ACTIVITY[].SOURCE.IP_ADDRESS`	`principal.ip`	Combinado de `event.NETWORK_ACTIVITY[].SOURCE.IP_ADDRESS`. Se aplica cuando `event_type` es `NETWORK_CONNECTIONS`.
`event.PARENT.COMMAND_LINE`	`principal.process.command_line`	Se ha cambiado el nombre de `event.PARENT.COMMAND_LINE`. Se aplica cuando `event_type` es `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` o `SENSITIVE_PROCESS_ACCESS` y `detect` está vacío.
`event.PARENT.COMMAND_LINE`	`principal.process.parent_process.command_line`	Se ha cambiado el nombre de `event.PARENT.COMMAND_LINE`. Se aplica cuando `event_type` no es `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` ni `SENSITIVE_PROCESS_ACCESS` y `detect` está vacío.
`event.PARENT.FILE_PATH`	`principal.process.file.full_path`	Se ha cambiado el nombre de `event.PARENT.FILE_PATH`. Se aplica cuando `event_type` es `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` o `SENSITIVE_PROCESS_ACCESS` y `detect` está vacío.
`event.PARENT.FILE_PATH`	`principal.process.parent_process.file.full_path`	Se ha cambiado el nombre de `event.PARENT.FILE_PATH`. Se aplica cuando `event_type` no es `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` ni `SENSITIVE_PROCESS_ACCESS` y `detect` está vacío.
`event.PARENT.HASH`	`principal.process.file.sha256`	Se ha cambiado el nombre de `event.PARENT.HASH`. Se aplica cuando `event_type` es `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` o `SENSITIVE_PROCESS_ACCESS` y `detect` está vacío.
`event.PARENT.HASH`	`principal.process.parent_process.file.sha256`	Se ha cambiado el nombre de `event.PARENT.HASH`. Se aplica cuando `event_type` no es `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` ni `SENSITIVE_PROCESS_ACCESS` y `detect` está vacío.
`event.PARENT_PROCESS_ID`	`principal.process.pid`	Se ha cambiado el nombre de `event.PARENT_PROCESS_ID`. Se aplica cuando `event_type` es `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` o `SENSITIVE_PROCESS_ACCESS` y `detect` está vacío.
`event.PARENT_PROCESS_ID`	`principal.process.parent_process.pid`	Se ha cambiado el nombre de `event.PARENT_PROCESS_ID`. Se aplica cuando `event_type` no es `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` ni `SENSITIVE_PROCESS_ACCESS` y `detect` está vacío.
`event.PROCESS_ID`	`target.process.pid`	Se ha cambiado el nombre de `event.PROCESS_ID`. Se aplica cuando `event_type` es `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` o `SENSITIVE_PROCESS_ACCESS` y `detect` está vacío.
`event.PROCESS_ID`	`principal.process.pid`	Se ha cambiado el nombre de `event.PROCESS_ID`. Se aplica cuando `event_type` no es `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` ni `SENSITIVE_PROCESS_ACCESS` y `detect` está vacío.
`event.REGISTRY_KEY`	`target.registry.registry_key`	Copiado de `event.REGISTRY_KEY`. Se aplica cuando `event_type` es `REGISTRY_WRITE`.
`event.REGISTRY_VALUE`	`target.registry.registry_value_data`	Copiado de `event.REGISTRY_VALUE`. Se aplica cuando `event_type` es `REGISTRY_WRITE`.
`event.SVC_DISPLAY_NAME`	`metadata.description`	Copiado de `event.SVC_DISPLAY_NAME`. Se aplica cuando `event_type` es `SERVICE_CHANGE`.
`event.SVC_NAME`	`target.application`	Copiado de `event.SVC_NAME`. Se aplica cuando `event_type` es `SERVICE_CHANGE`.
`event.USER_NAME`	`principal.user.userid`	Se ha cambiado el nombre de `event.USER_NAME`. Se aplica cuando `event_type` no es `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` ni `SENSITIVE_PROCESS_ACCESS` y `detect` está vacío.
`routing.event_time`	`metadata.event_timestamp`	Se analiza como una marca de tiempo de `routing.event_time` con el formato UNIX_MS o ISO8601.
`routing.event_type`	`metadata.product_event_type`	Copiado de `routing.event_type`.
`routing.ext_ip`	`principal.ip`	Copiado de `routing.ext_ip`. Se aplica cuando `routing.ext_ip` no está vacío.
`routing.hostname`	`principal.hostname`	Copiado de `routing.hostname`. Se aplica cuando `routing.hostname` no está vacío.
`routing.int_ip`	`principal.ip`	Copiado de `routing.int_ip`. Se aplica cuando `routing.int_ip` no está vacío.
`routing.parent`	`target.process.product_specific_process_id`	Se ha añadido el prefijo "LC:" de `routing.parent`. Se aplica cuando `detect` no está vacío.
`routing.parent`	`principal.process.product_specific_process_id`	Se ha añadido el prefijo "LC:" de `routing.parent`. Se aplica cuando `event_type` no es `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` o `SENSITIVE_PROCESS_ACCESS`, `routing.this` está vacío y `routing.parent` no está vacío.
`routing.this`	`principal.process.product_specific_process_id`	Se ha añadido el prefijo "LC:" de `routing.this`. Se aplica cuando `event_type` es `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` o `SENSITIVE_PROCESS_ACCESS` y `detect` está vacío.
`routing.this`	`principal.process.product_specific_process_id`	Se ha añadido el prefijo "LC:" de `routing.this`. Se aplica cuando `event_type` no es `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` ni `SENSITIVE_PROCESS_ACCESS` y `routing.this` no está vacío. Se asigna el valor `true` cuando `detect` no está vacío. Se asigna el valor `true` cuando `detect` no está vacío y `detect_mtd.level` es `high`, `medium` o `critical`. Asigna un valor en función de `event_type`: `NETWORK_DNS` para `DNS_REQUEST`, `PROCESS_LAUNCH` para `NEW_PROCESS`, `PROCESS_UNCATEGORIZED` para `EXISTING_PROCESS`, `NETWORK_CONNECTION` para `CONNECTED` o `NETWORK_CONNECTIONS`, `REGISTRY_MODIFICATION` para `REGISTRY_WRITE`, `SERVICE_MODIFICATION` para `SERVICE_CHANGE`, `FILE_UNCATEGORIZED` para `NEW_DOCUMENT`, `FILE_READ` para `FILE_READ`, `FILE_DELETION` para `FILE_DELETE`, `FILE_CREATION` para `FILE_CREATE`, `FILE_MODIFICATION` para `FILE_MODIFIED`, `PROCESS_MODULE_LOAD` para `MODULE_LOAD`, `PROCESS_TERMINATION` para `TERMINATE_PROCESS`, `STATUS_UNCATEGORIZED` para `CLOUD_NOTIFICATION` o `RECEIPT`, `PROCESS_UNCATEGORIZED` para `REMOTE_PROCESS_HANDLE` o `NEW_REMOTE_THREAD`, o `GENERIC_EVENT` en otros casos. Selecciona "LimaCharlie EDR". Se ha asignado el valor "LimaCharlie". Se define como "DNS" cuando `event_type` es `DNS_REQUEST`. Se asigna el valor "ERROR" cuando `event.ERROR` no está vacío. Copiado de `event.HOST_NAME`. Se aplica cuando `event_type` es `CONNECTED`.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.