Collecter les journaux LimaCharlie EDR

Compatible avec :

Ce document explique comment ingérer les journaux LimaCharlie EDR dans Google Security Operations à l'aide de Google Cloud  Storage. L'analyseur extrait les événements des journaux au format JSON, normalise les champs dans l'UDM et gère les événements de premier niveau et imbriqués. Il analyse spécifiquement différents types d'événements, y compris les requêtes DNS, la création de processus, les modifications de fichiers, les connexions réseau et les modifications de registre, en mappant les champs pertinents à leurs équivalents dans le modèle de données unifié (UDM, Unified Data Model) et en enrichissant les données avec le contexte spécifique à LimaCharlie.

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

  • Instance Google SecOps
  • Accès privilégié à Google Cloud
  • Accès privilégié à LimaCharlie

Créer un bucket de stockage Google Cloud

  1. Connectez-vous à la console Google Cloud .

  2. Accédez à la page Buckets Cloud Storage.

    Accéder à la page "Buckets"

  3. Cliquez sur Créer.

  4. Sur la page Créer un bucket, saisissez les informations concernant votre bucket. Après chacune de ces étapes, cliquez sur Continuer pour passer à l'étape suivante :

    1. Dans la section Premiers pas, procédez comme suit :

      • Saisissez un nom unique qui répond aux exigences de dénomination des buckets (par exemple, cloudrun-logs).
      • Pour activer l'espace de noms hiérarchique, cliquez sur la flèche d'expansion pour développer la section Optimiser pour les charges de travail orientées fichiers et à forte intensité de données, puis sélectionnez Activer l'espace de noms hiérarchique sur ce bucket.
      • Pour ajouter une étiquette de bucket, cliquez sur la flèche de développement pour développer la section Étiquettes.
      • Cliquez sur Ajouter un libellé, puis spécifiez une clé et une valeur pour votre libellé.

    2. Dans la section Choisir l'emplacement de stockage de vos données, procédez comme suit :

      • Sélectionnez un type d'emplacement.
      • Utilisez le menu du type d'emplacement pour sélectionner un emplacement où les données d'objets de votre bucket seront stockées de manière permanente.
      • Pour configurer la réplication entre buckets, développez la section Configurer la réplication entre buckets.

    3. Dans la section Choisir une classe de stockage pour vos données, sélectionnez une classe de stockage par défaut pour le bucket, ou bien classe automatique pour une gestion automatique des classes de stockage des données de votre bucket.

    4. Dans la section Choisir comment contrôler l'accès aux objets, sélectionnez non pour appliquer la protection contre l'accès public, puis sélectionnez un modèle de contrôle des accès pour les objets de votre bucket.

    1. Dans la section Choisir comment protéger les données d'objet, procédez comme suit :
      • Sélectionnez l'une des options sous Protection des données que vous souhaitez définir pour votre bucket.
      • Pour choisir comment vos données d'objet seront chiffrées, cliquez sur la flèche d'expansion Chiffrement des données, puis sélectionnez une méthode de chiffrement des données.

  5. Cliquez sur Créer.

Configurer l'exportation des journaux dans LimaCharlie EDR

  1. Connectez-vous au portail LimaCharlie.
  2. Sélectionnez Sorties dans le menu de gauche.
  3. Cliquez sur Ajouter une sortie.
  4. Choisir le flux de sortie : sélectionnez Événements.
  5. Choisir la destination de sortie : sélectionnez Google Cloud Storage.
  6. Fournissez les informations de configuration suivantes :
    • Bucket : chemin d'accès au bucket Google Cloud Storage.
    • Clé secrète : clé JSON secrète identifiant un compte de service.
    • Sec par fichier : nombre de secondes après lesquelles un fichier est coupé et importé.
    • Compression : définissez sur False.
    • Indexation : définissez sur False.
    • Dir : préfixe du répertoire dans lequel les fichiers doivent être générés sur l'hôte distant.
  7. Cliquez sur Enregistrer la sortie.

Configurer des flux

Il existe deux points d'entrée différents pour configurer les flux dans la plate-forme Google SecOps :

  • Paramètres SIEM> Flux
  • Plate-forme de contenu > Packs de contenu

Configurer des flux à partir de Paramètres SIEM > Flux

Pour configurer un flux, procédez comme suit :

  1. Accédez à Paramètres SIEM > Flux.
  2. Cliquez sur Add New Feed (Ajouter un flux).
  3. Sur la page suivante, cliquez sur Configurer un seul flux.
  4. Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Journaux EDR Limacharlie).
  5. Sélectionnez Google Cloud Storage comme Type de source.
  6. Sélectionnez LimaCharlie comme type de journal.
  7. Cliquez sur Obtenir un compte de service en tant que compte de service Chronicle.
  8. Cliquez sur Suivant.

  9. Spécifiez les valeurs des paramètres d'entrée suivants :

    • URI du bucket de stockage : URL du bucket Google Cloud Storage au format gs://my-bucket/<value>.
    • URI Is A (L'URI est un) : sélectionnez Directory which includes subdirectories (Répertoire incluant des sous-répertoires).
    • Options de suppression de la source : sélectionnez l'option de suppression de votre choix.

  10. Cliquez sur Suivant.

  11. Vérifiez la configuration de votre nouveau flux sur l'écran Finaliser, puis cliquez sur Envoyer.

Configurer des flux depuis le Hub de contenu

Indiquez les valeurs des champs suivants :

  • URI du bucket de stockage : URL du bucket Google Cloud Storage au format gs://my-bucket/<value>.
  • URI Is A (L'URI est un) : sélectionnez Directory which includes subdirectories (Répertoire incluant des sous-répertoires).
  • Options de suppression de la source : sélectionnez l'option de suppression de votre choix.

Options avancées

  • Nom du flux : valeur préremplie qui identifie le flux.
  • Type de source : méthode utilisée pour collecter les journaux dans Google SecOps.
  • Espace de noms de l'élément : espace de noms associé au flux.
  • Libellés d'ingestion : libellés appliqués à tous les événements de ce flux.

Table de mappage UDM

Champ de journal Mappage UDM Logique
cat security_result.summary Nom remplacé par cat. S'applique lorsque detect n'est pas vide.
detect.event.COMMAND_LINE principal.process.command_line Nom remplacé par detect.event.COMMAND_LINE. S'applique lorsque event_type correspond à NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS et que detect n'est pas vide.
detect.event.COMMAND_LINE principal.process.command_line Nom remplacé par detect.event.COMMAND_LINE. S'applique lorsque event_type n'est pas l'une des valeurs suivantes : NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS, et que detect n'est pas vide.
detect.event.FILE_PATH principal.process.file.full_path Nom remplacé par detect.event.FILE_PATH. S'applique lorsque event_type correspond à NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS et que detect n'est pas vide.
detect.event.FILE_PATH principal.process.file.full_path Nom remplacé par detect.event.FILE_PATH. S'applique lorsque event_type n'est pas l'une des valeurs suivantes : NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS, et que detect n'est pas vide.
detect.event.HASH principal.process.file.sha256 Nom remplacé par detect.event.HASH. S'applique lorsque event_type correspond à NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS et que detect n'est pas vide.
detect.event.HASH principal.process.file.sha256 Nom remplacé par detect.event.HASH. S'applique lorsque event_type n'est pas l'une des valeurs suivantes : NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS, et que detect n'est pas vide.
detect.event.HASH_MD5 principal.process.file.md5 Nom remplacé par detect.event.HASH_MD5. S'applique lorsque event_type n'est pas l'une des valeurs suivantes : NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS, et que detect n'est pas vide.
detect.event.HASH_SHA1 principal.process.file.sha1 Nom remplacé par detect.event.HASH_SHA1. S'applique lorsque event_type n'est pas l'une des valeurs suivantes : NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS, et que detect n'est pas vide.
detect.event.PARENT.COMMAND_LINE principal.process.command_line Nom remplacé par detect.event.PARENT.COMMAND_LINE. S'applique lorsque event_type correspond à NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS et que detect n'est pas vide.
detect.event.PARENT.COMMAND_LINE principal.process.parent_process.command_line Nom remplacé par detect.event.PARENT.COMMAND_LINE. S'applique lorsque event_type n'est pas l'une des valeurs suivantes : NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS, et que detect n'est pas vide.
detect.event.PARENT.FILE_PATH principal.process.file.full_path Nom remplacé par detect.event.PARENT.FILE_PATH. S'applique lorsque event_type correspond à NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS et que detect n'est pas vide.
detect.event.PARENT.FILE_PATH principal.process.parent_process.file.full_path Nom remplacé par detect.event.PARENT.FILE_PATH. S'applique lorsque event_type n'est pas l'une des valeurs suivantes : NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS, et que detect n'est pas vide.
detect.event.PARENT.HASH principal.process.file.sha256 Nom remplacé par detect.event.PARENT.HASH. S'applique lorsque event_type correspond à NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS et que detect n'est pas vide.
detect.event.PARENT.HASH principal.process.parent_process.file.sha256 Nom remplacé par detect.event.PARENT.HASH. S'applique lorsque event_type n'est pas l'une des valeurs suivantes : NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS, et que detect n'est pas vide.
detect.event.PARENT_PROCESS_ID principal.process.pid Nom remplacé par detect.event.PARENT_PROCESS_ID. S'applique lorsque event_type correspond à NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS et que detect n'est pas vide.
detect.event.PARENT_PROCESS_ID principal.process.parent_process.pid Nom remplacé par detect.event.PARENT_PROCESS_ID. S'applique lorsque event_type n'est pas l'une des valeurs suivantes : NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS, et que detect n'est pas vide.
detect.event.PROCESS_ID target.process.pid Nom remplacé par detect.event.PROCESS_ID. S'applique lorsque event_type correspond à NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS et que detect n'est pas vide.
detect.event.PROCESS_ID principal.process.pid Nom remplacé par detect.event.PROCESS_ID. S'applique lorsque event_type n'est pas l'une des valeurs suivantes : NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS, et que detect n'est pas vide.
detect.event.USER_NAME principal.user.userid Nom remplacé par detect.event.USER_NAME. S'applique lorsque event_type n'est pas l'une des valeurs suivantes : NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS, et que detect n'est pas vide.
detect_mtd.description security_result.description Nom remplacé par detect_mtd.description. S'applique lorsque detect n'est pas vide.
detect_mtd.level security_result.severity Copié depuis detect_mtd.level et converti en majuscules. S'applique lorsque detect n'est pas vide.
event.COMMAND_LINE principal.process.command_line Nom remplacé par event.COMMAND_LINE. S'applique lorsque event_type correspond à NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS et que detect est vide.
event.COMMAND_LINE principal.process.command_line Nom remplacé par event.COMMAND_LINE. S'applique lorsque event_type n'est pas l'une des valeurs suivantes : NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS, et que detect est vide.
event.DLL target.file.full_path Copié depuis event.DLL. S'applique lorsque event_type est SERVICE_CHANGE.
event.DOMAIN_NAME network.dns.questions.0.name, network.dns.answers.0.name Renommé a.name, puis copié dans q.name, puis fusionné dans les tableaux network.dns.questions et network.dns.answers. S'applique lorsque event_type est DNS_REQUEST.
event.DNS_TYPE network.dns.answers.0.type Renommé en a.type, puis fusionné dans le tableau network.dns.answers. S'applique lorsque event_type est DNS_REQUEST.
event.ERROR security_result.severity_details Copié depuis event.ERROR. S'applique lorsque event.ERROR n'est pas vide.
event.EXECUTABLE target.process.command_line Copié depuis event.EXECUTABLE. S'applique lorsque event_type est SERVICE_CHANGE.
event.FILE_PATH target.file.full_path Nom remplacé par event.FILE_PATH. S'applique lorsque event_type est l'une des valeurs suivantes : NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE ou FILE_READ, et que detect est vide.
event.FILE_PATH principal.process.file.full_path Nom remplacé par event.FILE_PATH. S'applique lorsque event_type n'est pas l'une des valeurs suivantes : NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS, et que detect est vide.
event.FILE_PATH target.process.file.full_path Nom remplacé par event.FILE_PATH. S'applique lorsque event_type est défini sur NEW_PROCESS, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS, et que detect est vide.
event.HASH target.file.sha256 Nom remplacé par event.HASH. S'applique lorsque event_type est l'une des valeurs suivantes : NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE ou FILE_READ, et que detect est vide.
event.HASH principal.process.file.sha256 Nom remplacé par event.HASH. S'applique lorsque event_type n'est pas l'une des valeurs suivantes : NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS, et que detect est vide.
event.HASH target.process.file.sha256 Nom remplacé par event.HASH. S'applique lorsque event_type est défini sur NEW_PROCESS, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS, et que detect est vide.
event.HASH_MD5 principal.process.file.md5 Nom remplacé par event.HASH_MD5. S'applique lorsque event_type n'est pas l'une des valeurs suivantes : NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS, et que detect est vide.
event.HASH_SHA1 principal.process.file.sha1 Nom remplacé par event.HASH_SHA1. S'applique lorsque event_type n'est pas l'une des valeurs suivantes : NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS, et que detect est vide.
event.IP_ADDRESS network.dns.answers.0.data Renommé en a.data, puis fusionné dans le tableau network.dns.answers. S'applique lorsque event_type est défini sur DNS_REQUEST et que event.IP_ADDRESS n'est pas vide.
event.MESSAGE_ID network.dns.id Nom remplacé par event.MESSAGE_ID. S'applique lorsque event_type est DNS_REQUEST.
event.NETWORK_ACTIVITY[].DESTINATION.IP_ADDRESS target.ip Fusionné à partir de event.NETWORK_ACTIVITY[].DESTINATION.IP_ADDRESS. S'applique lorsque event_type est NETWORK_CONNECTIONS.
event.NETWORK_ACTIVITY[].SOURCE.IP_ADDRESS principal.ip Fusionné à partir de event.NETWORK_ACTIVITY[].SOURCE.IP_ADDRESS. S'applique lorsque event_type est NETWORK_CONNECTIONS.
event.PARENT.COMMAND_LINE principal.process.command_line Nom remplacé par event.PARENT.COMMAND_LINE. S'applique lorsque event_type correspond à NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS et que detect est vide.
event.PARENT.COMMAND_LINE principal.process.parent_process.command_line Nom remplacé par event.PARENT.COMMAND_LINE. S'applique lorsque event_type n'est pas l'une des valeurs suivantes : NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS, et que detect est vide.
event.PARENT.FILE_PATH principal.process.file.full_path Nom remplacé par event.PARENT.FILE_PATH. S'applique lorsque event_type correspond à NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS et que detect est vide.
event.PARENT.FILE_PATH principal.process.parent_process.file.full_path Nom remplacé par event.PARENT.FILE_PATH. S'applique lorsque event_type n'est pas l'une des valeurs suivantes : NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS, et que detect est vide.
event.PARENT.HASH principal.process.file.sha256 Nom remplacé par event.PARENT.HASH. S'applique lorsque event_type correspond à NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS et que detect est vide.
event.PARENT.HASH principal.process.parent_process.file.sha256 Nom remplacé par event.PARENT.HASH. S'applique lorsque event_type n'est pas l'une des valeurs suivantes : NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS, et que detect est vide.
event.PARENT_PROCESS_ID principal.process.pid Nom remplacé par event.PARENT_PROCESS_ID. S'applique lorsque event_type correspond à NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS et que detect est vide.
event.PARENT_PROCESS_ID principal.process.parent_process.pid Nom remplacé par event.PARENT_PROCESS_ID. S'applique lorsque event_type n'est pas l'une des valeurs suivantes : NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS, et que detect est vide.
event.PROCESS_ID target.process.pid Nom remplacé par event.PROCESS_ID. S'applique lorsque event_type correspond à NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS et que detect est vide.
event.PROCESS_ID principal.process.pid Nom remplacé par event.PROCESS_ID. S'applique lorsque event_type n'est pas l'une des valeurs suivantes : NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS, et que detect est vide.
event.REGISTRY_KEY target.registry.registry_key Copié depuis event.REGISTRY_KEY. S'applique lorsque event_type est REGISTRY_WRITE.
event.REGISTRY_VALUE target.registry.registry_value_data Copié depuis event.REGISTRY_VALUE. S'applique lorsque event_type est REGISTRY_WRITE.
event.SVC_DISPLAY_NAME metadata.description Copié depuis event.SVC_DISPLAY_NAME. S'applique lorsque event_type est SERVICE_CHANGE.
event.SVC_NAME target.application Copié depuis event.SVC_NAME. S'applique lorsque event_type est SERVICE_CHANGE.
event.USER_NAME principal.user.userid Nom remplacé par event.USER_NAME. S'applique lorsque event_type n'est pas l'une des valeurs suivantes : NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS, et que detect est vide.
routing.event_time metadata.event_timestamp Analysé comme un code temporel à partir de routing.event_time au format UNIX_MS ou ISO8601.
routing.event_type metadata.product_event_type Copié depuis routing.event_type.
routing.ext_ip principal.ip Copié depuis routing.ext_ip. S'applique lorsque routing.ext_ip n'est pas vide.
routing.hostname principal.hostname Copié depuis routing.hostname. S'applique lorsque routing.hostname n'est pas vide.
routing.int_ip principal.ip Copié depuis routing.int_ip. S'applique lorsque routing.int_ip n'est pas vide.
routing.parent target.process.product_specific_process_id Préfixe "LC:" ajouté à routing.parent. S'applique lorsque detect n'est pas vide.
routing.parent principal.process.product_specific_process_id Préfixe "LC:" ajouté à routing.parent. S'applique lorsque event_type n'est pas l'une des valeurs suivantes : NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS, et que routing.this est vide et routing.parent ne l'est pas.
routing.this principal.process.product_specific_process_id Préfixe "LC:" ajouté à routing.this. S'applique lorsque event_type correspond à NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS et que detect est vide.
routing.this principal.process.product_specific_process_id Préfixe "LC:" ajouté à routing.this. S'applique lorsque event_type n'est pas l'une des valeurs suivantes : NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS, et que routing.this n'est pas vide. Défini sur true lorsque detect n'est pas vide. Définissez-le sur true lorsque detect n'est pas vide et que detect_mtd.level est l'une des valeurs suivantes : high, medium ou critical. Définissez une valeur en fonction de event_type : NETWORK_DNS pour DNS_REQUEST, PROCESS_LAUNCH pour NEW_PROCESS, PROCESS_UNCATEGORIZED pour EXISTING_PROCESS, NETWORK_CONNECTION pour CONNECTED ou NETWORK_CONNECTIONS, REGISTRY_MODIFICATION pour REGISTRY_WRITE, SERVICE_MODIFICATION pour SERVICE_CHANGE, FILE_UNCATEGORIZED pour NEW_DOCUMENT, FILE_READ pour FILE_READ, FILE_DELETION pour FILE_DELETE, FILE_CREATION pour FILE_CREATE, FILE_MODIFICATION pour FILE_MODIFIED, PROCESS_MODULE_LOAD pour MODULE_LOAD, PROCESS_TERMINATION pour TERMINATE_PROCESS, STATUS_UNCATEGORIZED pour CLOUD_NOTIFICATION ou RECEIPT, PROCESS_UNCATEGORIZED pour REMOTE_PROCESS_HANDLE ou NEW_REMOTE_THREAD, ou GENERIC_EVENT dans le cas contraire. Définissez-le sur "LimaCharlie EDR". Défini sur "LimaCharlie". Définissez sur "DNS" lorsque event_type est DNS_REQUEST. Défini sur "ERROR" (ERREUR) lorsque event.ERROR n'est pas vide. Copié depuis event.HOST_NAME. S'applique lorsque event_type est CONNECTED.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.