Raccogliere i log EDR di LimaCharlie

Supportato in:

Questo documento spiega come importare i log EDR di LimaCharlie in Google Security Operations utilizzando Google Cloud Storage. Il parser estrae gli eventi dai log in formato JSON, normalizza i campi in UDM e gestisce sia gli eventi di primo livello che quelli nidificati. Analizza in modo specifico vari tipi di eventi, tra cui richieste DNS, creazione di processi, modifiche ai file, connessioni di rete e modifiche al registro, mappando i campi pertinenti con i loro equivalenti nel modello di dati unificato (UDM) e arricchendo i dati con il contesto specifico di LimaCharlie.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

  • Istanza Google SecOps
  • Accesso privilegiato a Google Cloud
  • Accesso privilegiato a LimaCharlie

Crea un Google Cloud bucket di archiviazione

  1. Accedi alla Google Cloud console.

  2. Vai alla pagina Bucket Cloud Storage.

    Vai a Bucket

  3. Fai clic su Crea.

  4. Nella pagina Crea un bucket, inserisci le informazioni del bucket. Dopo ogni passaggio riportato di seguito, fai clic su Continua per passare al passaggio successivo:

    1. Nella sezione Inizia:

      • Inserisci un nome univoco che soddisfi i requisiti del nome del bucket (ad esempio, cloudrun-logs).
      • Per attivare lo spazio dei nomi gerarchico, fai clic sulla freccia di espansione per espandere la sezione Ottimizza per workload orientati ai file e con uso intensivo dei dati, poi seleziona Abilita uno spazio dei nomi gerarchico in questo bucket.
      • Per aggiungere un'etichetta del bucket, fai clic sulla freccia di espansione per espandere la sezione Etichette.
      • Fai clic su Aggiungi etichetta e specifica una chiave e un valore per l'etichetta.

    2. Nella sezione Scegli dove archiviare i tuoi dati, segui questi passaggi:

      • Seleziona un Tipo di località.
      • Utilizza il menu del tipo di località per selezionare una località in cui verranno archiviati in modo permanente i dati degli oggetti all'interno del bucket.
      • Per configurare la replica tra bucket, espandi la sezione Configura replica tra bucket.

    3. Nella sezione Scegli una classe di archiviazione per i tuoi dati, seleziona una classe di archiviazione predefinita per il bucket oppure Autoclass per la gestione automatica della classe di archiviazione dei dati del bucket.

    4. Nella sezione Scegli come controllare l'accesso agli oggetti, seleziona No per applicare la prevenzione dell'accesso pubblico e seleziona un modello di controllo dell'accesso per gli oggetti del bucket.

    1. Nella sezione Scegli come proteggere i dati degli oggetti, segui questi passaggi:
      • Seleziona una delle opzioni in Protezione dei dati che vuoi impostare per il bucket.
      • Per scegliere come criptare i dati degli oggetti, fai clic sulla freccia di espansione Crittografia dei dati e seleziona un Metodo di crittografia dei dati.

  5. Fai clic su Crea.

Configurare l'esportazione dei log in LimaCharlie EDR

  1. Accedi al portale LimaCharlie.
  2. Seleziona Output dal menu a sinistra.
  3. Fai clic su Aggiungi output.
  4. Scegli flusso di output: seleziona Eventi.
  5. Scegli la destinazione dell'output: seleziona Google Cloud Storage.
  6. Fornisci i seguenti dettagli di configurazione:
    • Bucket: percorso del bucket Google Cloud Storage.
    • Chiave segreta: chiave JSON segreta che identifica un account di servizio.
    • Sec per File: numero di secondi dopo i quali un file viene tagliato e caricato.
    • Compressione: imposta su False.
    • Indicizzazione: impostato su Falso.
    • Dir: prefisso della directory in cui generare i file sull'host remoto.
  7. Fai clic su Salva output.

Configurare i feed

Esistono due diversi punti di accesso per configurare i feed nella piattaforma Google SecOps:

  • Impostazioni SIEM > Feed
  • Hub dei contenuti > Pacchetti di contenuti

Configura i feed da Impostazioni SIEM > Feed

Per configurare un feed:

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo feed.
  3. Nella pagina successiva, fai clic su Configura un singolo feed.
  4. Nel campo Nome feed, inserisci un nome per il feed (ad esempio, Limacharlie EDR Logs).
  5. Seleziona Google Cloud Storage come Tipo di origine.
  6. Seleziona LimaCharlie come Tipo di log.
  7. Fai clic su Ottieni account di servizio come Account di servizio Chronicle.
  8. Fai clic su Avanti.

  9. Specifica i valori per i seguenti parametri di input:

    • URI bucket di archiviazione: URL del bucket Google Cloud Storage nel formato gs://my-bucket/<value>.
    • URI Is A: seleziona Directory which includes subdirectories (Directory che include sottodirectory).
    • Opzioni di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze.
    • Spazio dei nomi dell'asset: lo spazio dei nomi dell'asset.
    • Etichette di importazione: l'etichetta applicata agli eventi di questo feed.

  10. Fai clic su Avanti.

  11. Controlla la nuova configurazione del feed nella schermata Finalizza e poi fai clic su Invia.

Configurare i feed dall'hub dei contenuti

Specifica i valori per i seguenti campi:

  • URI bucket di archiviazione: URL del bucket Google Cloud Storage nel formato gs://my-bucket/<value>.
  • URI Is A: seleziona Directory which includes subdirectories (Directory che include sottodirectory).
  • Opzioni di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze.

Opzioni avanzate

  • Nome feed: un valore precompilato che identifica il feed.
  • Tipo di origine: metodo utilizzato per raccogliere i log in Google SecOps.
  • Spazio dei nomi dell'asset: lo spazio dei nomi associato al feed.
  • Etichette di importazione: etichette applicate a tutti gli eventi di questo feed.

Tabella di mappatura UDM

Campo log Mappatura UDM Logic
cat security_result.summary Rinominato da cat. Si applica quando detect non è vuoto.
detect.event.COMMAND_LINE principal.process.command_line Rinominato da detect.event.COMMAND_LINE. Si applica quando event_type è uno tra NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS o SENSITIVE_PROCESS_ACCESS e detect non è vuoto.
detect.event.COMMAND_LINE principal.process.command_line Rinominato da detect.event.COMMAND_LINE. Si applica quando event_type non è uno tra NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS o SENSITIVE_PROCESS_ACCESS e detect non è vuoto.
detect.event.FILE_PATH principal.process.file.full_path Rinominato da detect.event.FILE_PATH. Si applica quando event_type è uno tra NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS o SENSITIVE_PROCESS_ACCESS e detect non è vuoto.
detect.event.FILE_PATH principal.process.file.full_path Rinominato da detect.event.FILE_PATH. Si applica quando event_type non è uno tra NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS o SENSITIVE_PROCESS_ACCESS e detect non è vuoto.
detect.event.HASH principal.process.file.sha256 Rinominato da detect.event.HASH. Si applica quando event_type è uno tra NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS o SENSITIVE_PROCESS_ACCESS e detect non è vuoto.
detect.event.HASH principal.process.file.sha256 Rinominato da detect.event.HASH. Si applica quando event_type non è uno tra NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS o SENSITIVE_PROCESS_ACCESS e detect non è vuoto.
detect.event.HASH_MD5 principal.process.file.md5 Rinominato da detect.event.HASH_MD5. Si applica quando event_type non è uno tra NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS o SENSITIVE_PROCESS_ACCESS e detect non è vuoto.
detect.event.HASH_SHA1 principal.process.file.sha1 Rinominato da detect.event.HASH_SHA1. Si applica quando event_type non è uno tra NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS o SENSITIVE_PROCESS_ACCESS e detect non è vuoto.
detect.event.PARENT.COMMAND_LINE principal.process.command_line Rinominato da detect.event.PARENT.COMMAND_LINE. Si applica quando event_type è uno tra NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS o SENSITIVE_PROCESS_ACCESS e detect non è vuoto.
detect.event.PARENT.COMMAND_LINE principal.process.parent_process.command_line Rinominato da detect.event.PARENT.COMMAND_LINE. Si applica quando event_type non è uno tra NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS o SENSITIVE_PROCESS_ACCESS e detect non è vuoto.
detect.event.PARENT.FILE_PATH principal.process.file.full_path Rinominato da detect.event.PARENT.FILE_PATH. Si applica quando event_type è uno tra NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS o SENSITIVE_PROCESS_ACCESS e detect non è vuoto.
detect.event.PARENT.FILE_PATH principal.process.parent_process.file.full_path Rinominato da detect.event.PARENT.FILE_PATH. Si applica quando event_type non è uno tra NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS o SENSITIVE_PROCESS_ACCESS e detect non è vuoto.
detect.event.PARENT.HASH principal.process.file.sha256 Rinominato da detect.event.PARENT.HASH. Si applica quando event_type è uno tra NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS o SENSITIVE_PROCESS_ACCESS e detect non è vuoto.
detect.event.PARENT.HASH principal.process.parent_process.file.sha256 Rinominato da detect.event.PARENT.HASH. Si applica quando event_type non è uno tra NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS o SENSITIVE_PROCESS_ACCESS e detect non è vuoto.
detect.event.PARENT_PROCESS_ID principal.process.pid Rinominato da detect.event.PARENT_PROCESS_ID. Si applica quando event_type è uno tra NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS o SENSITIVE_PROCESS_ACCESS e detect non è vuoto.
detect.event.PARENT_PROCESS_ID principal.process.parent_process.pid Rinominato da detect.event.PARENT_PROCESS_ID. Si applica quando event_type non è uno tra NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS o SENSITIVE_PROCESS_ACCESS e detect non è vuoto.
detect.event.PROCESS_ID target.process.pid Rinominato da detect.event.PROCESS_ID. Si applica quando event_type è uno tra NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS o SENSITIVE_PROCESS_ACCESS e detect non è vuoto.
detect.event.PROCESS_ID principal.process.pid Rinominato da detect.event.PROCESS_ID. Si applica quando event_type non è uno tra NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS o SENSITIVE_PROCESS_ACCESS e detect non è vuoto.
detect.event.USER_NAME principal.user.userid Rinominato da detect.event.USER_NAME. Si applica quando event_type non è uno tra NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS o SENSITIVE_PROCESS_ACCESS e detect non è vuoto.
detect_mtd.description security_result.description Rinominato da detect_mtd.description. Si applica quando detect non è vuoto.
detect_mtd.level security_result.severity Copiato da detect_mtd.level e convertito in maiuscolo. Si applica quando detect non è vuoto.
event.COMMAND_LINE principal.process.command_line Rinominato da event.COMMAND_LINE. Si applica quando event_type è uno tra NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS o SENSITIVE_PROCESS_ACCESS e detect è vuoto.
event.COMMAND_LINE principal.process.command_line Rinominato da event.COMMAND_LINE. Si applica quando event_type non è uno tra NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS o SENSITIVE_PROCESS_ACCESS e detect è vuoto.
event.DLL target.file.full_path Copiato da event.DLL. Si applica quando event_type è SERVICE_CHANGE.
event.DOMAIN_NAME network.dns.questions.0.name, network.dns.answers.0.name Rinominate in a.name, poi copiate in q.name, poi unite negli array network.dns.questions e network.dns.answers. Si applica quando event_type è DNS_REQUEST.
event.DNS_TYPE network.dns.answers.0.type Rinominato in a.type, poi unito all'array network.dns.answers. Si applica quando event_type è DNS_REQUEST.
event.ERROR security_result.severity_details Copiato da event.ERROR. Si applica quando event.ERROR non è vuoto.
event.EXECUTABLE target.process.command_line Copiato da event.EXECUTABLE. Si applica quando event_type è SERVICE_CHANGE.
event.FILE_PATH target.file.full_path Rinominato da event.FILE_PATH. Si applica quando event_type è uno tra NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE o FILE_READ e detect è vuoto.
event.FILE_PATH principal.process.file.full_path Rinominato da event.FILE_PATH. Si applica quando event_type non è uno tra NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS o SENSITIVE_PROCESS_ACCESS e detect è vuoto.
event.FILE_PATH target.process.file.full_path Rinominato da event.FILE_PATH. Si applica quando event_type è uno tra NEW_PROCESS, MODULE_LOAD, TERMINATE_PROCESS o SENSITIVE_PROCESS_ACCESS e detect è vuoto.
event.HASH target.file.sha256 Rinominato da event.HASH. Si applica quando event_type è uno tra NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE o FILE_READ e detect è vuoto.
event.HASH principal.process.file.sha256 Rinominato da event.HASH. Si applica quando event_type non è uno tra NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS o SENSITIVE_PROCESS_ACCESS e detect è vuoto.
event.HASH target.process.file.sha256 Rinominato da event.HASH. Si applica quando event_type è uno tra NEW_PROCESS, MODULE_LOAD, TERMINATE_PROCESS o SENSITIVE_PROCESS_ACCESS e detect è vuoto.
event.HASH_MD5 principal.process.file.md5 Rinominato da event.HASH_MD5. Si applica quando event_type non è uno tra NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS o SENSITIVE_PROCESS_ACCESS e detect è vuoto.
event.HASH_SHA1 principal.process.file.sha1 Rinominato da event.HASH_SHA1. Si applica quando event_type non è uno tra NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS o SENSITIVE_PROCESS_ACCESS e detect è vuoto.
event.IP_ADDRESS network.dns.answers.0.data Rinominato in a.data, poi unito all'array network.dns.answers. Si applica quando event_type è DNS_REQUEST e event.IP_ADDRESS non è vuoto.
event.MESSAGE_ID network.dns.id Rinominato da event.MESSAGE_ID. Si applica quando event_type è DNS_REQUEST.
event.NETWORK_ACTIVITY[].DESTINATION.IP_ADDRESS target.ip Unito da event.NETWORK_ACTIVITY[].DESTINATION.IP_ADDRESS. Si applica quando event_type è NETWORK_CONNECTIONS.
event.NETWORK_ACTIVITY[].SOURCE.IP_ADDRESS principal.ip Unito da event.NETWORK_ACTIVITY[].SOURCE.IP_ADDRESS. Si applica quando event_type è NETWORK_CONNECTIONS.
event.PARENT.COMMAND_LINE principal.process.command_line Rinominato da event.PARENT.COMMAND_LINE. Si applica quando event_type è uno tra NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS o SENSITIVE_PROCESS_ACCESS e detect è vuoto.
event.PARENT.COMMAND_LINE principal.process.parent_process.command_line Rinominato da event.PARENT.COMMAND_LINE. Si applica quando event_type non è uno tra NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS o SENSITIVE_PROCESS_ACCESS e detect è vuoto.
event.PARENT.FILE_PATH principal.process.file.full_path Rinominato da event.PARENT.FILE_PATH. Si applica quando event_type è uno tra NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS o SENSITIVE_PROCESS_ACCESS e detect è vuoto.
event.PARENT.FILE_PATH principal.process.parent_process.file.full_path Rinominato da event.PARENT.FILE_PATH. Si applica quando event_type non è uno tra NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS o SENSITIVE_PROCESS_ACCESS e detect è vuoto.
event.PARENT.HASH principal.process.file.sha256 Rinominato da event.PARENT.HASH. Si applica quando event_type è uno tra NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS o SENSITIVE_PROCESS_ACCESS e detect è vuoto.
event.PARENT.HASH principal.process.parent_process.file.sha256 Rinominato da event.PARENT.HASH. Si applica quando event_type non è uno tra NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS o SENSITIVE_PROCESS_ACCESS e detect è vuoto.
event.PARENT_PROCESS_ID principal.process.pid Rinominato da event.PARENT_PROCESS_ID. Si applica quando event_type è uno tra NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS o SENSITIVE_PROCESS_ACCESS e detect è vuoto.
event.PARENT_PROCESS_ID principal.process.parent_process.pid Rinominato da event.PARENT_PROCESS_ID. Si applica quando event_type non è uno tra NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS o SENSITIVE_PROCESS_ACCESS e detect è vuoto.
event.PROCESS_ID target.process.pid Rinominato da event.PROCESS_ID. Si applica quando event_type è uno tra NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS o SENSITIVE_PROCESS_ACCESS e detect è vuoto.
event.PROCESS_ID principal.process.pid Rinominato da event.PROCESS_ID. Si applica quando event_type non è uno tra NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS o SENSITIVE_PROCESS_ACCESS e detect è vuoto.
event.REGISTRY_KEY target.registry.registry_key Copiato da event.REGISTRY_KEY. Si applica quando event_type è REGISTRY_WRITE.
event.REGISTRY_VALUE target.registry.registry_value_data Copiato da event.REGISTRY_VALUE. Si applica quando event_type è REGISTRY_WRITE.
event.SVC_DISPLAY_NAME metadata.description Copiato da event.SVC_DISPLAY_NAME. Si applica quando event_type è SERVICE_CHANGE.
event.SVC_NAME target.application Copiato da event.SVC_NAME. Si applica quando event_type è SERVICE_CHANGE.
event.USER_NAME principal.user.userid Rinominato da event.USER_NAME. Si applica quando event_type non è uno tra NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS o SENSITIVE_PROCESS_ACCESS e detect è vuoto.
routing.event_time metadata.event_timestamp Analizzato come timestamp da routing.event_time utilizzando il formato UNIX_MS o ISO8601.
routing.event_type metadata.product_event_type Copiato da routing.event_type.
routing.ext_ip principal.ip Copiato da routing.ext_ip. Si applica quando routing.ext_ip non è vuoto.
routing.hostname principal.hostname Copiato da routing.hostname. Si applica quando routing.hostname non è vuoto.
routing.int_ip principal.ip Copiato da routing.int_ip. Si applica quando routing.int_ip non è vuoto.
routing.parent target.process.product_specific_process_id Prefisso "LC:" da routing.parent. Si applica quando detect non è vuoto.
routing.parent principal.process.product_specific_process_id Prefisso "LC:" da routing.parent. Si applica quando event_type non è uno tra NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS o SENSITIVE_PROCESS_ACCESS e routing.this è vuoto e routing.parent non è vuoto.
routing.this principal.process.product_specific_process_id Prefisso "LC:" da routing.this. Si applica quando event_type è uno tra NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS o SENSITIVE_PROCESS_ACCESS e detect è vuoto.
routing.this principal.process.product_specific_process_id Prefisso "LC:" da routing.this. Si applica quando event_type non è uno tra NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS o SENSITIVE_PROCESS_ACCESS e routing.this non è vuoto. Imposta il valore su true quando detect non è vuoto. Impostato su true quando detect non è vuoto e detect_mtd.level è uno tra high, medium o critical. Imposta un valore in base a event_type: NETWORK_DNS per DNS_REQUEST, PROCESS_LAUNCH per NEW_PROCESS, PROCESS_UNCATEGORIZED per EXISTING_PROCESS, NETWORK_CONNECTION per CONNECTED o NETWORK_CONNECTIONS, REGISTRY_MODIFICATION per REGISTRY_WRITE, SERVICE_MODIFICATION per SERVICE_CHANGE, FILE_UNCATEGORIZED per NEW_DOCUMENT, FILE_READ per FILE_READ, FILE_DELETION per FILE_DELETE, FILE_CREATION per FILE_CREATE, FILE_MODIFICATION per FILE_MODIFIED, PROCESS_MODULE_LOAD per MODULE_LOAD, PROCESS_TERMINATION per TERMINATE_PROCESS, STATUS_UNCATEGORIZED per CLOUD_NOTIFICATION o RECEIPT, PROCESS_UNCATEGORIZED per REMOTE_PROCESS_HANDLE o NEW_REMOTE_THREAD oppure GENERIC_EVENT in caso contrario. Imposta "LimaCharlie EDR". Imposta su "LimaCharlie". Imposta su "DNS" quando event_type è DNS_REQUEST. Impostato su "ERROR" quando event.ERROR non è vuoto. Copiato da event.HOST_NAME. Si applica quando event_type è CONNECTED.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.