Recopila registros del EDR de LimaCharlie

Compatible con:

En este documento, se explica cómo transferir los registros del EDR de LimaCharlie a Google Security Operations con Google Cloud Storage. El analizador extrae eventos de los registros con formato JSON, normaliza los campos en el UDM y controla los eventos de nivel superior y anidados. Analiza específicamente varios tipos de eventos, incluidas las solicitudes de DNS, la creación de procesos, las modificaciones de archivos, las conexiones de red y los cambios en el registro, y asigna los campos pertinentes a sus equivalentes del Modelo de datos unificado (UDM) y enriquece los datos con el contexto específico de LimaCharlie.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

  • Instancia de Google SecOps
  • Acceso con privilegios a Google Cloud
  • Acceso privilegiado a LimaCharlie

Crea un Google Cloud bucket de Storage

  1. Accede a la consola de Google Cloud .

  2. Ve a la página Buckets de Cloud Storage.

    Ir a Buckets

  3. Haz clic en Crear.

  4. En la página Crear un bucket, ingresa la información de tu bucket. Después de cada uno de los siguientes pasos, haz clic en Continuar para avanzar al siguiente paso:

    1. En la sección Primeros pasos, haz lo siguiente:

      • Ingresa un nombre único que cumpla con los requisitos de nombres de bucket (por ejemplo, cloudrun-logs).
      • Para habilitar el espacio de nombres jerárquico, haz clic en la flecha de expansión para expandir la sección Optimizar las cargas de trabajo orientadas a archivos y con uso intensivo de datos y, luego, selecciona Habilitar el espacio de nombres jerárquico en este bucket.
      • Para agregar una etiqueta de bucket, haz clic en la flecha de expansión para expandir la sección Etiquetas.
      • Haz clic en Agregar etiqueta y especifica una clave y un valor para tu etiqueta.

    2. En la sección Eligir dónde almacenar tus datos, haz lo siguiente:

      • Selecciona un tipo de ubicación
      • Usa el menú del tipo de ubicación para seleccionar una Ubicación en la que se almacenarán de forma permanente los datos de objetos de tu bucket.
      • Para configurar la replicación entre bucket, expande la sección Configura la bucket entre buckets.

    3. En la sección Elige una clase de almacenamiento para tus datos, selecciona una clase de almacenamiento predeterminada para el bucket o selecciona Autoclass para la administración automática de clases de almacenamiento de los datos de tu bucket.

    4. En la sección Elige cómo controlar el acceso a los objetos, selecciona no para aplicar la prevención del acceso público y selecciona un modelo de control de acceso para los objetos del bucket.

    1. En la sección Elige cómo proteger los datos de objetos, haz lo siguiente:
      • Selecciona cualquiera de las opciones de Protección de datos que desees configurar para tu bucket.
      • Para elegir cómo se encriptarán los datos de tus objetos, haz clic en la flecha desplegable Encriptación de datos y, luego, selecciona un método de encriptación de datos.

  5. Haz clic en Crear.

Configura la exportación de registros en el EDR de LimaCharlie

  1. Accede al portal de LimaCharlie.
  2. Selecciona Outputs en el menú de la izquierda.
  3. Haz clic en Agregar salida.
  4. Elegir flujo de salida: Selecciona Eventos.
  5. Elige el destino de salida: Selecciona Google Cloud Storage.
  6. Proporciona los siguientes detalles de configuración:
    • Bucket: Es la ruta de acceso al bucket de Google Cloud Storage.
    • Clave secreta: Clave secreta en formato JSON que identifica una cuenta de servicio.
    • Sec per File: Cantidad de segundos después de los cuales se corta y sube un archivo.
    • Compresión: Se establece en Falso.
    • Indexación: Se establece en False.
    • Dir: Es el prefijo del directorio en el que se generarán los archivos en el host remoto.
  7. Haz clic en Guardar salida.

Configura feeds

Existen dos puntos de entrada diferentes para configurar feeds en la plataforma de Google SecOps:

  • Configuración de SIEM > Feeds
  • Centro de contenido > Paquetes de contenido

Configura feeds en Configuración del SIEM > Feeds

Para configurar un feed, sigue estos pasos:

  1. Ve a Configuración del SIEM > Feeds.
  2. Haz clic en Agregar feed nuevo.
  3. En la siguiente página, haz clic en Configurar un solo feed.
  4. En el campo Nombre del feed, ingresa un nombre para el feed (por ejemplo, Registros de EDR de Limacharlie).
  5. Selecciona Google Cloud Storage como el Tipo de fuente.
  6. Selecciona LimaCharlie como el Tipo de registro.
  7. Haz clic en Obtener cuenta de servicio como la Cuenta de servicio de Chronicle.
  8. Haz clic en Siguiente.

  9. Especifica valores para los siguientes parámetros de entrada:

    • URI del bucket de almacenamiento: URL del bucket de Google Cloud Storage en formato gs://my-bucket/<value>.
    • URI Is A: Selecciona Directory which includes subdirectories.
    • Opciones de borrado de la fuente: Selecciona la opción de borrado según tu preferencia.
    • Espacio de nombres del recurso: Es el espacio de nombres del recurso.
    • Etiquetas de transferencia: Es la etiqueta que se aplica a los eventos de este feed.

  10. Haz clic en Siguiente.

  11. Revisa la nueva configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.

Configura feeds desde el Centro de contenido

Especifica valores para los siguientes campos:

  • URI del bucket de almacenamiento: URL del bucket de Google Cloud Storage en formato gs://my-bucket/<value>.
  • URI Is A: Selecciona Directory which includes subdirectories.
  • Opciones de borrado de la fuente: Selecciona la opción de borrado según tu preferencia.

Opciones avanzadas

  • Nombre del feed: Es un valor completado previamente que identifica el feed.
  • Tipo de fuente: Es el método que se usa para recopilar registros en Google SecOps.
  • Espacio de nombres del activo: Es el espacio de nombres asociado con el feed.
  • Etiquetas de transferencia: Son las etiquetas que se aplican a todos los eventos de este feed.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
cat security_result.summary Se cambió el nombre de cat. Se aplica cuando detect no está vacío.
detect.event.COMMAND_LINE principal.process.command_line Se cambió el nombre de detect.event.COMMAND_LINE. Se aplica cuando event_type es uno de los siguientes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS o SENSITIVE_PROCESS_ACCESS, y detect no está vacío.
detect.event.COMMAND_LINE principal.process.command_line Se cambió el nombre de detect.event.COMMAND_LINE. Se aplica cuando event_type no es uno de los siguientes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS o SENSITIVE_PROCESS_ACCESS, y detect no está vacío.
detect.event.FILE_PATH principal.process.file.full_path Se cambió el nombre de detect.event.FILE_PATH. Se aplica cuando event_type es uno de los siguientes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS o SENSITIVE_PROCESS_ACCESS, y detect no está vacío.
detect.event.FILE_PATH principal.process.file.full_path Se cambió el nombre de detect.event.FILE_PATH. Se aplica cuando event_type no es uno de los siguientes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS o SENSITIVE_PROCESS_ACCESS, y detect no está vacío.
detect.event.HASH principal.process.file.sha256 Se cambió el nombre de detect.event.HASH. Se aplica cuando event_type es uno de los siguientes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS o SENSITIVE_PROCESS_ACCESS, y detect no está vacío.
detect.event.HASH principal.process.file.sha256 Se cambió el nombre de detect.event.HASH. Se aplica cuando event_type no es uno de los siguientes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS o SENSITIVE_PROCESS_ACCESS, y detect no está vacío.
detect.event.HASH_MD5 principal.process.file.md5 Se cambió el nombre de detect.event.HASH_MD5. Se aplica cuando event_type no es uno de los siguientes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS o SENSITIVE_PROCESS_ACCESS, y detect no está vacío.
detect.event.HASH_SHA1 principal.process.file.sha1 Se cambió el nombre de detect.event.HASH_SHA1. Se aplica cuando event_type no es uno de los siguientes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS o SENSITIVE_PROCESS_ACCESS, y detect no está vacío.
detect.event.PARENT.COMMAND_LINE principal.process.command_line Se cambió el nombre de detect.event.PARENT.COMMAND_LINE. Se aplica cuando event_type es uno de los siguientes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS o SENSITIVE_PROCESS_ACCESS, y detect no está vacío.
detect.event.PARENT.COMMAND_LINE principal.process.parent_process.command_line Se cambió el nombre de detect.event.PARENT.COMMAND_LINE. Se aplica cuando event_type no es uno de los siguientes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS o SENSITIVE_PROCESS_ACCESS, y detect no está vacío.
detect.event.PARENT.FILE_PATH principal.process.file.full_path Se cambió el nombre de detect.event.PARENT.FILE_PATH. Se aplica cuando event_type es uno de los siguientes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS o SENSITIVE_PROCESS_ACCESS, y detect no está vacío.
detect.event.PARENT.FILE_PATH principal.process.parent_process.file.full_path Se cambió el nombre de detect.event.PARENT.FILE_PATH. Se aplica cuando event_type no es uno de los siguientes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS o SENSITIVE_PROCESS_ACCESS, y detect no está vacío.
detect.event.PARENT.HASH principal.process.file.sha256 Se cambió el nombre de detect.event.PARENT.HASH. Se aplica cuando event_type es uno de los siguientes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS o SENSITIVE_PROCESS_ACCESS, y detect no está vacío.
detect.event.PARENT.HASH principal.process.parent_process.file.sha256 Se cambió el nombre de detect.event.PARENT.HASH. Se aplica cuando event_type no es uno de los siguientes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS o SENSITIVE_PROCESS_ACCESS, y detect no está vacío.
detect.event.PARENT_PROCESS_ID principal.process.pid Se cambió el nombre de detect.event.PARENT_PROCESS_ID. Se aplica cuando event_type es uno de los siguientes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS o SENSITIVE_PROCESS_ACCESS, y detect no está vacío.
detect.event.PARENT_PROCESS_ID principal.process.parent_process.pid Se cambió el nombre de detect.event.PARENT_PROCESS_ID. Se aplica cuando event_type no es uno de los siguientes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS o SENSITIVE_PROCESS_ACCESS, y detect no está vacío.
detect.event.PROCESS_ID target.process.pid Se cambió el nombre de detect.event.PROCESS_ID. Se aplica cuando event_type es uno de los siguientes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS o SENSITIVE_PROCESS_ACCESS, y detect no está vacío.
detect.event.PROCESS_ID principal.process.pid Se cambió el nombre de detect.event.PROCESS_ID. Se aplica cuando event_type no es uno de los siguientes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS o SENSITIVE_PROCESS_ACCESS, y detect no está vacío.
detect.event.USER_NAME principal.user.userid Se cambió el nombre de detect.event.USER_NAME. Se aplica cuando event_type no es uno de los siguientes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS o SENSITIVE_PROCESS_ACCESS, y detect no está vacío.
detect_mtd.description security_result.description Se cambió el nombre de detect_mtd.description. Se aplica cuando detect no está vacío.
detect_mtd.level security_result.severity Se copió de detect_mtd.level y se convirtió a mayúsculas. Se aplica cuando detect no está vacío.
event.COMMAND_LINE principal.process.command_line Se cambió el nombre de event.COMMAND_LINE. Se aplica cuando event_type es uno de los siguientes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS o SENSITIVE_PROCESS_ACCESS, y detect está vacío.
event.COMMAND_LINE principal.process.command_line Se cambió el nombre de event.COMMAND_LINE. Se aplica cuando event_type no es uno de los siguientes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS o SENSITIVE_PROCESS_ACCESS, y detect está vacío.
event.DLL target.file.full_path Se copió desde event.DLL. Se aplica cuando event_type es SERVICE_CHANGE.
event.DOMAIN_NAME network.dns.questions.0.name, network.dns.answers.0.name Se cambió el nombre a a.name, luego se copió a q.name y, por último, se combinó en los arrays network.dns.questions y network.dns.answers. Se aplica cuando event_type es DNS_REQUEST.
event.DNS_TYPE network.dns.answers.0.type Se cambió el nombre a a.type y, luego, se combinó en el array network.dns.answers. Se aplica cuando event_type es DNS_REQUEST.
event.ERROR security_result.severity_details Se copió desde event.ERROR. Se aplica cuando event.ERROR no está vacío.
event.EXECUTABLE target.process.command_line Se copió desde event.EXECUTABLE. Se aplica cuando event_type es SERVICE_CHANGE.
event.FILE_PATH target.file.full_path Se cambió el nombre de event.FILE_PATH. Se aplica cuando event_type es uno de NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE o FILE_READ, y detect está vacío.
event.FILE_PATH principal.process.file.full_path Se cambió el nombre de event.FILE_PATH. Se aplica cuando event_type no es uno de los siguientes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS o SENSITIVE_PROCESS_ACCESS, y detect está vacío.
event.FILE_PATH target.process.file.full_path Se cambió el nombre de event.FILE_PATH. Se aplica cuando event_type es uno de NEW_PROCESS, MODULE_LOAD, TERMINATE_PROCESS o SENSITIVE_PROCESS_ACCESS y detect está vacío.
event.HASH target.file.sha256 Se cambió el nombre de event.HASH. Se aplica cuando event_type es uno de NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE o FILE_READ, y detect está vacío.
event.HASH principal.process.file.sha256 Se cambió el nombre de event.HASH. Se aplica cuando event_type no es uno de los siguientes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS o SENSITIVE_PROCESS_ACCESS, y detect está vacío.
event.HASH target.process.file.sha256 Se cambió el nombre de event.HASH. Se aplica cuando event_type es uno de NEW_PROCESS, MODULE_LOAD, TERMINATE_PROCESS o SENSITIVE_PROCESS_ACCESS y detect está vacío.
event.HASH_MD5 principal.process.file.md5 Se cambió el nombre de event.HASH_MD5. Se aplica cuando event_type no es uno de los siguientes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS o SENSITIVE_PROCESS_ACCESS, y detect está vacío.
event.HASH_SHA1 principal.process.file.sha1 Se cambió el nombre de event.HASH_SHA1. Se aplica cuando event_type no es uno de los siguientes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS o SENSITIVE_PROCESS_ACCESS, y detect está vacío.
event.IP_ADDRESS network.dns.answers.0.data Se cambió el nombre a a.data y, luego, se combinó en el array network.dns.answers. Se aplica cuando event_type es DNS_REQUEST y event.IP_ADDRESS no está vacío.
event.MESSAGE_ID network.dns.id Se cambió el nombre de event.MESSAGE_ID. Se aplica cuando event_type es DNS_REQUEST.
event.NETWORK_ACTIVITY[].DESTINATION.IP_ADDRESS target.ip Se combinó desde event.NETWORK_ACTIVITY[].DESTINATION.IP_ADDRESS. Se aplica cuando event_type es NETWORK_CONNECTIONS.
event.NETWORK_ACTIVITY[].SOURCE.IP_ADDRESS principal.ip Se combinó desde event.NETWORK_ACTIVITY[].SOURCE.IP_ADDRESS. Se aplica cuando event_type es NETWORK_CONNECTIONS.
event.PARENT.COMMAND_LINE principal.process.command_line Se cambió el nombre de event.PARENT.COMMAND_LINE. Se aplica cuando event_type es uno de los siguientes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS o SENSITIVE_PROCESS_ACCESS, y detect está vacío.
event.PARENT.COMMAND_LINE principal.process.parent_process.command_line Se cambió el nombre de event.PARENT.COMMAND_LINE. Se aplica cuando event_type no es uno de los siguientes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS o SENSITIVE_PROCESS_ACCESS, y detect está vacío.
event.PARENT.FILE_PATH principal.process.file.full_path Se cambió el nombre de event.PARENT.FILE_PATH. Se aplica cuando event_type es uno de los siguientes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS o SENSITIVE_PROCESS_ACCESS, y detect está vacío.
event.PARENT.FILE_PATH principal.process.parent_process.file.full_path Se cambió el nombre de event.PARENT.FILE_PATH. Se aplica cuando event_type no es uno de los siguientes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS o SENSITIVE_PROCESS_ACCESS, y detect está vacío.
event.PARENT.HASH principal.process.file.sha256 Se cambió el nombre de event.PARENT.HASH. Se aplica cuando event_type es uno de los siguientes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS o SENSITIVE_PROCESS_ACCESS, y detect está vacío.
event.PARENT.HASH principal.process.parent_process.file.sha256 Se cambió el nombre de event.PARENT.HASH. Se aplica cuando event_type no es uno de los siguientes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS o SENSITIVE_PROCESS_ACCESS, y detect está vacío.
event.PARENT_PROCESS_ID principal.process.pid Se cambió el nombre de event.PARENT_PROCESS_ID. Se aplica cuando event_type es uno de los siguientes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS o SENSITIVE_PROCESS_ACCESS, y detect está vacío.
event.PARENT_PROCESS_ID principal.process.parent_process.pid Se cambió el nombre de event.PARENT_PROCESS_ID. Se aplica cuando event_type no es uno de los siguientes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS o SENSITIVE_PROCESS_ACCESS, y detect está vacío.
event.PROCESS_ID target.process.pid Se cambió el nombre de event.PROCESS_ID. Se aplica cuando event_type es uno de los siguientes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS o SENSITIVE_PROCESS_ACCESS, y detect está vacío.
event.PROCESS_ID principal.process.pid Se cambió el nombre de event.PROCESS_ID. Se aplica cuando event_type no es uno de los siguientes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS o SENSITIVE_PROCESS_ACCESS, y detect está vacío.
event.REGISTRY_KEY target.registry.registry_key Se copió desde event.REGISTRY_KEY. Se aplica cuando event_type es REGISTRY_WRITE.
event.REGISTRY_VALUE target.registry.registry_value_data Se copió desde event.REGISTRY_VALUE. Se aplica cuando event_type es REGISTRY_WRITE.
event.SVC_DISPLAY_NAME metadata.description Se copió desde event.SVC_DISPLAY_NAME. Se aplica cuando event_type es SERVICE_CHANGE.
event.SVC_NAME target.application Se copió desde event.SVC_NAME. Se aplica cuando event_type es SERVICE_CHANGE.
event.USER_NAME principal.user.userid Se cambió el nombre de event.USER_NAME. Se aplica cuando event_type no es uno de los siguientes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS o SENSITIVE_PROCESS_ACCESS, y detect está vacío.
routing.event_time metadata.event_timestamp Se analiza como una marca de tiempo de routing.event_time con el formato UNIX_MS o ISO8601.
routing.event_type metadata.product_event_type Se copió desde routing.event_type.
routing.ext_ip principal.ip Se copió desde routing.ext_ip. Se aplica cuando routing.ext_ip no está vacío.
routing.hostname principal.hostname Se copió desde routing.hostname. Se aplica cuando routing.hostname no está vacío.
routing.int_ip principal.ip Se copió desde routing.int_ip. Se aplica cuando routing.int_ip no está vacío.
routing.parent target.process.product_specific_process_id Se antepone "LC:" de routing.parent. Se aplica cuando detect no está vacío.
routing.parent principal.process.product_specific_process_id Se antepone "LC:" de routing.parent. Se aplica cuando event_type no es uno de los siguientes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS o SENSITIVE_PROCESS_ACCESS, y routing.this está vacío y routing.parent no está vacío.
routing.this principal.process.product_specific_process_id Se antepone "LC:" de routing.this. Se aplica cuando event_type es uno de los siguientes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS o SENSITIVE_PROCESS_ACCESS, y detect está vacío.
routing.this principal.process.product_specific_process_id Se antepone "LC:" de routing.this. Se aplica cuando event_type no es uno de los siguientes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS o SENSITIVE_PROCESS_ACCESS, y routing.this no está vacío. Se establece en true cuando detect no está vacío. Se establece en true cuando detect no está vacío y detect_mtd.level es uno de los siguientes: high, medium o critical. Se establece en un valor basado en event_type: NETWORK_DNS para DNS_REQUEST, PROCESS_LAUNCH para NEW_PROCESS, PROCESS_UNCATEGORIZED para EXISTING_PROCESS, NETWORK_CONNECTION para CONNECTED o NETWORK_CONNECTIONS, REGISTRY_MODIFICATION para REGISTRY_WRITE, SERVICE_MODIFICATION para SERVICE_CHANGE, FILE_UNCATEGORIZED para NEW_DOCUMENT, FILE_READ para FILE_READ, FILE_DELETION para FILE_DELETE, FILE_CREATION para FILE_CREATE, FILE_MODIFICATION para FILE_MODIFIED, PROCESS_MODULE_LOAD para MODULE_LOAD, PROCESS_TERMINATION para TERMINATE_PROCESS, STATUS_UNCATEGORIZED para CLOUD_NOTIFICATION o RECEIPT, PROCESS_UNCATEGORIZED para REMOTE_PROCESS_HANDLE o NEW_REMOTE_THREAD, o GENERIC_EVENT en otros casos. Se debe establecer en "LimaCharlie EDR". Se establece en "LimaCharlie". Se establece en "DNS" cuando event_type es DNS_REQUEST. Se establece en "ERROR" cuando event.ERROR no está vacío. Se copió desde event.HOST_NAME. Se aplica cuando event_type es CONNECTED.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.