LimaCharlie EDR のログを収集する

以下でサポートされています。

このドキュメントでは、 Google Cloud Storage を使用して LimaCharlie EDR ログを Google Security Operations に取り込む方法について説明します。パーサーは、JSON 形式のログからイベントを抽出し、フィールドを UDM に正規化して、トップレベルとネストされたイベントの両方を処理します。具体的には、DNS リクエスト、プロセスの作成、ファイルの変更、ネットワーク接続、レジストリの変更など、さまざまなイベントタイプを解析し、関連するフィールドを統合データモデル(UDM)の同等のフィールドにマッピングして、LimaCharlie 固有のコンテキストでデータを拡充します。

始める前に

次の前提条件を満たしていることを確認してください。

  • Google SecOps インスタンス
  • Google Cloudへの特権アクセス
  • LimaCharlie への特権アクセス

Google Cloud Storage バケットの作成

  1. Google Cloud コンソールにログインします。

  2. [Cloud Storage バケット] のページに移動します。

    [バケット] に移動

  3. [作成] をクリックします。

  4. [バケットの作成] ページでユーザーのバケット情報を入力します。以下のステップでは、操作を完了した後に [続行] をクリックして、次のステップに進みます。

    1. [始める] セクションで、次の操作を行います。

      • バケット名の要件を満たす一意の名前を入力します(例: cloudrun-logs)。
      • 階層名前空間を有効にするには、展開矢印をクリックして [Optimize for file oriented and data-intensive workloads] セクションを開き、[このバケットで階層的な名前空間を有効にする] を選択します。
      • バケットラベルを追加するには、展開矢印をクリックして [ラベル] セクションを開きます。
      • [ラベルを追加] をクリックし、ラベルのキーと値を指定します。

    2. [データの保存場所の選択] セクションで、次の操作を行います。

      • ロケーション タイプを選択してください。
      • ロケーション タイプのメニューを使用して、バケット内のオブジェクト データが永続的に保存されるロケーションを選択します。
      • クロスバケット レプリケーションを設定するには、[クロスバケット レプリケーションを設定する] セクションを開きます。

    3. [データのストレージ クラスを選択する] セクションで、バケットのデフォルトのストレージ クラスを選択します。あるいは、Autoclass を選択して、バケットデータのストレージ クラスを自動的に管理します。

    4. [オブジェクトへのアクセスを制御する方法を選択する] セクションで、[なし] を選択して公開アクセスの防止を適用し、バケットのオブジェクトの [アクセス制御モデル] を選択します。

    1. [オブジェクト データを保護する方法を選択する] セクションで、次の操作を行います。
      • [データ保護] で、バケットに設定するオプションを選択します。
      • オブジェクト データの暗号化方法を選択するには、[データ暗号化] 展開矢印をクリックし、データの暗号化方法を選択します。

  5. [作成] をクリックします。

LimaCharlie EDR でログのエクスポートを構成する

  1. LimaCharlie ポータルにログインします。
  2. 左側のメニューから [出力] を選択します。
  3. [出力を追加] をクリックします。
  4. 出力ストリームを選択: [イベント] を選択します。
  5. 出力先を選択: [Google Cloud Storage] を選択します。
  6. 次の構成の詳細を指定します。
    • バケット: Google Cloud Storage バケットのパス。
    • Secret Key: サービス アカウントを識別するシークレット JSON キー。
    • ファイルあたりの秒数: ファイルがカットされてアップロードされるまでの秒数。
    • 圧縮: False に設定します。
    • インデックス登録: False に設定します。
    • Dir: リモートホストに出力するファイルのディレクトリ接頭辞。
  7. [出力を保存] をクリックします。

フィードを設定する

Google SecOps プラットフォームでフィードを設定するには、次の 2 つのエントリ ポイントがあります。

  • [SIEM 設定] > [フィード]
  • [Content Hub] > [Content Packs]

[SIEM 設定] > [フィード] でフィードを設定する

フィードを構成する手順は次のとおりです。

  1. [SIEM Settings] > [Feeds] に移動します。
  2. [Add New Feed] をクリックします。
  3. 次のページで [単一のフィードを設定] をクリックします。
  4. [フィード名] フィールドに、フィードの名前を入力します(例: Limacharlie EDR Logs)。
  5. [Source type] として [Google Cloud Storage] を選択します。
  6. [ログタイプ] として [LimaCharlie] を選択します。
  7. Chronicle サービス アカウントとして [サービス アカウントを取得する] をクリックします。
  8. [次へ] をクリックします。

  9. 次の入力パラメータの値を指定します。

    • Storage Bucket URI: gs://my-bucket/<value> 形式の Google Cloud Storage バケット URL。
    • URI Is A: [サブディレクトリを含むディレクトリ] を選択します。
    • Source deletion options: 必要に応じて削除オプションを選択します。
    • アセットの名前空間: アセットの名前空間
    • Ingestion labels: このフィードのイベントに適用されるラベル。

  10. [次へ] をクリックします。

  11. [Finalize] 画面で新しいフィードの設定を確認し、[送信] をクリックします。

コンテンツ ハブからフィードを設定する

次のフィールドに値を指定します。

  • Storage Bucket URI: gs://my-bucket/<value> 形式の Google Cloud Storage バケット URL。
  • URI Is A: [サブディレクトリを含むディレクトリ] を選択します。
  • Source deletion options: 必要に応じて削除オプションを選択します。

詳細オプション

  • フィード名: フィードを識別する事前入力された値。
  • ソースタイプ: Google SecOps にログを収集するために使用される方法。
  • アセットの名前空間: フィードに関連付けられた名前空間。
  • Ingestion Labels: このフィードのすべてのイベントに適用されるラベル。

UDM マッピング テーブル

ログフィールド UDM マッピング ロジック
cat security_result.summary cat から名前を変更しました。detect が空でない場合に適用されます。
detect.event.COMMAND_LINE principal.process.command_line detect.event.COMMAND_LINE から名前を変更しました。event_typeNEW_PROCESSNEW_DOCUMENTFILE_MODIFIEDFILE_DELETEFILE_CREATEFILE_READMODULE_LOADTERMINATE_PROCESSSENSITIVE_PROCESS_ACCESS のいずれかで、detect が空でない場合に適用されます。
detect.event.COMMAND_LINE principal.process.command_line detect.event.COMMAND_LINE から名前を変更しました。event_typeNEW_PROCESSNEW_DOCUMENTFILE_MODIFIEDFILE_DELETEFILE_CREATEFILE_READMODULE_LOADTERMINATE_PROCESSSENSITIVE_PROCESS_ACCESS のいずれでもなく、detect が空でない場合に適用されます。
detect.event.FILE_PATH principal.process.file.full_path detect.event.FILE_PATH から名前を変更しました。event_typeNEW_PROCESSNEW_DOCUMENTFILE_MODIFIEDFILE_DELETEFILE_CREATEFILE_READMODULE_LOADTERMINATE_PROCESSSENSITIVE_PROCESS_ACCESS のいずれかで、detect が空でない場合に適用されます。
detect.event.FILE_PATH principal.process.file.full_path detect.event.FILE_PATH から名前を変更しました。event_typeNEW_PROCESSNEW_DOCUMENTFILE_MODIFIEDFILE_DELETEFILE_CREATEFILE_READMODULE_LOADTERMINATE_PROCESSSENSITIVE_PROCESS_ACCESS のいずれでもなく、detect が空でない場合に適用されます。
detect.event.HASH principal.process.file.sha256 detect.event.HASH から名前を変更しました。event_typeNEW_PROCESSNEW_DOCUMENTFILE_MODIFIEDFILE_DELETEFILE_CREATEFILE_READMODULE_LOADTERMINATE_PROCESSSENSITIVE_PROCESS_ACCESS のいずれかで、detect が空でない場合に適用されます。
detect.event.HASH principal.process.file.sha256 detect.event.HASH から名前を変更しました。event_typeNEW_PROCESSNEW_DOCUMENTFILE_MODIFIEDFILE_DELETEFILE_CREATEFILE_READMODULE_LOADTERMINATE_PROCESSSENSITIVE_PROCESS_ACCESS のいずれでもなく、detect が空でない場合に適用されます。
detect.event.HASH_MD5 principal.process.file.md5 detect.event.HASH_MD5 から名前を変更しました。event_typeNEW_PROCESSNEW_DOCUMENTFILE_MODIFIEDFILE_DELETEFILE_CREATEFILE_READMODULE_LOADTERMINATE_PROCESSSENSITIVE_PROCESS_ACCESS のいずれでもなく、detect が空でない場合に適用されます。
detect.event.HASH_SHA1 principal.process.file.sha1 detect.event.HASH_SHA1 から名前を変更しました。event_typeNEW_PROCESSNEW_DOCUMENTFILE_MODIFIEDFILE_DELETEFILE_CREATEFILE_READMODULE_LOADTERMINATE_PROCESSSENSITIVE_PROCESS_ACCESS のいずれでもなく、detect が空でない場合に適用されます。
detect.event.PARENT.COMMAND_LINE principal.process.command_line detect.event.PARENT.COMMAND_LINE から名前を変更しました。event_typeNEW_PROCESSNEW_DOCUMENTFILE_MODIFIEDFILE_DELETEFILE_CREATEFILE_READMODULE_LOADTERMINATE_PROCESSSENSITIVE_PROCESS_ACCESS のいずれかで、detect が空でない場合に適用されます。
detect.event.PARENT.COMMAND_LINE principal.process.parent_process.command_line detect.event.PARENT.COMMAND_LINE から名前を変更しました。event_typeNEW_PROCESSNEW_DOCUMENTFILE_MODIFIEDFILE_DELETEFILE_CREATEFILE_READMODULE_LOADTERMINATE_PROCESSSENSITIVE_PROCESS_ACCESS のいずれでもなく、detect が空でない場合に適用されます。
detect.event.PARENT.FILE_PATH principal.process.file.full_path detect.event.PARENT.FILE_PATH から名前を変更しました。event_typeNEW_PROCESSNEW_DOCUMENTFILE_MODIFIEDFILE_DELETEFILE_CREATEFILE_READMODULE_LOADTERMINATE_PROCESSSENSITIVE_PROCESS_ACCESS のいずれかで、detect が空でない場合に適用されます。
detect.event.PARENT.FILE_PATH principal.process.parent_process.file.full_path detect.event.PARENT.FILE_PATH から名前を変更しました。event_typeNEW_PROCESSNEW_DOCUMENTFILE_MODIFIEDFILE_DELETEFILE_CREATEFILE_READMODULE_LOADTERMINATE_PROCESSSENSITIVE_PROCESS_ACCESS のいずれでもなく、detect が空でない場合に適用されます。
detect.event.PARENT.HASH principal.process.file.sha256 detect.event.PARENT.HASH から名前を変更しました。event_typeNEW_PROCESSNEW_DOCUMENTFILE_MODIFIEDFILE_DELETEFILE_CREATEFILE_READMODULE_LOADTERMINATE_PROCESSSENSITIVE_PROCESS_ACCESS のいずれかで、detect が空でない場合に適用されます。
detect.event.PARENT.HASH principal.process.parent_process.file.sha256 detect.event.PARENT.HASH から名前を変更しました。event_typeNEW_PROCESSNEW_DOCUMENTFILE_MODIFIEDFILE_DELETEFILE_CREATEFILE_READMODULE_LOADTERMINATE_PROCESSSENSITIVE_PROCESS_ACCESS のいずれでもなく、detect が空でない場合に適用されます。
detect.event.PARENT_PROCESS_ID principal.process.pid detect.event.PARENT_PROCESS_ID から名前を変更しました。event_typeNEW_PROCESSNEW_DOCUMENTFILE_MODIFIEDFILE_DELETEFILE_CREATEFILE_READMODULE_LOADTERMINATE_PROCESSSENSITIVE_PROCESS_ACCESS のいずれかで、detect が空でない場合に適用されます。
detect.event.PARENT_PROCESS_ID principal.process.parent_process.pid detect.event.PARENT_PROCESS_ID から名前を変更しました。event_typeNEW_PROCESSNEW_DOCUMENTFILE_MODIFIEDFILE_DELETEFILE_CREATEFILE_READMODULE_LOADTERMINATE_PROCESSSENSITIVE_PROCESS_ACCESS のいずれでもなく、detect が空でない場合に適用されます。
detect.event.PROCESS_ID target.process.pid detect.event.PROCESS_ID から名前を変更しました。event_typeNEW_PROCESSNEW_DOCUMENTFILE_MODIFIEDFILE_DELETEFILE_CREATEFILE_READMODULE_LOADTERMINATE_PROCESSSENSITIVE_PROCESS_ACCESS のいずれかで、detect が空でない場合に適用されます。
detect.event.PROCESS_ID principal.process.pid detect.event.PROCESS_ID から名前を変更しました。event_typeNEW_PROCESSNEW_DOCUMENTFILE_MODIFIEDFILE_DELETEFILE_CREATEFILE_READMODULE_LOADTERMINATE_PROCESSSENSITIVE_PROCESS_ACCESS のいずれでもなく、detect が空でない場合に適用されます。
detect.event.USER_NAME principal.user.userid detect.event.USER_NAME から名前を変更しました。event_typeNEW_PROCESSNEW_DOCUMENTFILE_MODIFIEDFILE_DELETEFILE_CREATEFILE_READMODULE_LOADTERMINATE_PROCESSSENSITIVE_PROCESS_ACCESS のいずれでもなく、detect が空でない場合に適用されます。
detect_mtd.description security_result.description detect_mtd.description から名前を変更しました。detect が空でない場合に適用されます。
detect_mtd.level security_result.severity detect_mtd.level からコピーされ、大文字に変換されます。detect が空でない場合に適用されます。
event.COMMAND_LINE principal.process.command_line event.COMMAND_LINE から名前を変更しました。event_typeNEW_PROCESSNEW_DOCUMENTFILE_MODIFIEDFILE_DELETEFILE_CREATEFILE_READMODULE_LOADTERMINATE_PROCESSSENSITIVE_PROCESS_ACCESS のいずれかで、detect が空の場合に適用されます。
event.COMMAND_LINE principal.process.command_line event.COMMAND_LINE から名前を変更しました。event_typeNEW_PROCESSNEW_DOCUMENTFILE_MODIFIEDFILE_DELETEFILE_CREATEFILE_READMODULE_LOADTERMINATE_PROCESSSENSITIVE_PROCESS_ACCESS のいずれでもなく、detect が空の場合に適用されます。
event.DLL target.file.full_path コピー元: event.DLLevent_typeSERVICE_CHANGE の場合に適用されます。
event.DOMAIN_NAME network.dns.questions.0.namenetwork.dns.answers.0.name a.name に名前が変更され、q.name にコピーされた後、network.dns.questions 配列と network.dns.answers 配列に統合されます。event_typeDNS_REQUEST の場合に適用されます。
event.DNS_TYPE network.dns.answers.0.type a.type に名前が変更され、network.dns.answers 配列に統合されます。event_typeDNS_REQUEST の場合に適用されます。
event.ERROR security_result.severity_details コピー元: event.ERRORevent.ERROR が空でない場合に適用されます。
event.EXECUTABLE target.process.command_line コピー元: event.EXECUTABLEevent_typeSERVICE_CHANGE の場合に適用されます。
event.FILE_PATH target.file.full_path event.FILE_PATH から名前を変更しました。event_typeNEW_DOCUMENTFILE_MODIFIEDFILE_DELETEFILE_CREATEFILE_READ のいずれかで、detect が空の場合に適用されます。
event.FILE_PATH principal.process.file.full_path event.FILE_PATH から名前を変更しました。event_typeNEW_PROCESSNEW_DOCUMENTFILE_MODIFIEDFILE_DELETEFILE_CREATEFILE_READMODULE_LOADTERMINATE_PROCESSSENSITIVE_PROCESS_ACCESS のいずれでもなく、detect が空の場合に適用されます。
event.FILE_PATH target.process.file.full_path event.FILE_PATH から名前を変更しました。event_typeNEW_PROCESSMODULE_LOADTERMINATE_PROCESSSENSITIVE_PROCESS_ACCESS のいずれかで、detect が空の場合に適用されます。
event.HASH target.file.sha256 event.HASH から名前を変更しました。event_typeNEW_DOCUMENTFILE_MODIFIEDFILE_DELETEFILE_CREATEFILE_READ のいずれかで、detect が空の場合に適用されます。
event.HASH principal.process.file.sha256 event.HASH から名前を変更しました。event_typeNEW_PROCESSNEW_DOCUMENTFILE_MODIFIEDFILE_DELETEFILE_CREATEFILE_READMODULE_LOADTERMINATE_PROCESSSENSITIVE_PROCESS_ACCESS のいずれでもなく、detect が空の場合に適用されます。
event.HASH target.process.file.sha256 event.HASH から名前を変更しました。event_typeNEW_PROCESSMODULE_LOADTERMINATE_PROCESSSENSITIVE_PROCESS_ACCESS のいずれかで、detect が空の場合に適用されます。
event.HASH_MD5 principal.process.file.md5 event.HASH_MD5 から名前を変更しました。event_typeNEW_PROCESSNEW_DOCUMENTFILE_MODIFIEDFILE_DELETEFILE_CREATEFILE_READMODULE_LOADTERMINATE_PROCESSSENSITIVE_PROCESS_ACCESS のいずれでもなく、detect が空の場合に適用されます。
event.HASH_SHA1 principal.process.file.sha1 event.HASH_SHA1 から名前を変更しました。event_typeNEW_PROCESSNEW_DOCUMENTFILE_MODIFIEDFILE_DELETEFILE_CREATEFILE_READMODULE_LOADTERMINATE_PROCESSSENSITIVE_PROCESS_ACCESS のいずれでもなく、detect が空の場合に適用されます。
event.IP_ADDRESS network.dns.answers.0.data a.data に名前が変更され、network.dns.answers 配列に統合されます。event_typeDNS_REQUEST で、event.IP_ADDRESS が空でない場合に適用されます。
event.MESSAGE_ID network.dns.id event.MESSAGE_ID から名前を変更しました。event_typeDNS_REQUEST の場合に適用されます。
event.NETWORK_ACTIVITY[].DESTINATION.IP_ADDRESS target.ip event.NETWORK_ACTIVITY[].DESTINATION.IP_ADDRESS から統合されました。event_typeNETWORK_CONNECTIONS の場合に適用されます。
event.NETWORK_ACTIVITY[].SOURCE.IP_ADDRESS principal.ip event.NETWORK_ACTIVITY[].SOURCE.IP_ADDRESS から統合されました。event_typeNETWORK_CONNECTIONS の場合に適用されます。
event.PARENT.COMMAND_LINE principal.process.command_line event.PARENT.COMMAND_LINE から名前を変更しました。event_typeNEW_PROCESSNEW_DOCUMENTFILE_MODIFIEDFILE_DELETEFILE_CREATEFILE_READMODULE_LOADTERMINATE_PROCESSSENSITIVE_PROCESS_ACCESS のいずれかで、detect が空の場合に適用されます。
event.PARENT.COMMAND_LINE principal.process.parent_process.command_line event.PARENT.COMMAND_LINE から名前を変更しました。event_typeNEW_PROCESSNEW_DOCUMENTFILE_MODIFIEDFILE_DELETEFILE_CREATEFILE_READMODULE_LOADTERMINATE_PROCESSSENSITIVE_PROCESS_ACCESS のいずれでもなく、detect が空の場合に適用されます。
event.PARENT.FILE_PATH principal.process.file.full_path event.PARENT.FILE_PATH から名前を変更しました。event_typeNEW_PROCESSNEW_DOCUMENTFILE_MODIFIEDFILE_DELETEFILE_CREATEFILE_READMODULE_LOADTERMINATE_PROCESSSENSITIVE_PROCESS_ACCESS のいずれかで、detect が空の場合に適用されます。
event.PARENT.FILE_PATH principal.process.parent_process.file.full_path event.PARENT.FILE_PATH から名前を変更しました。event_typeNEW_PROCESSNEW_DOCUMENTFILE_MODIFIEDFILE_DELETEFILE_CREATEFILE_READMODULE_LOADTERMINATE_PROCESSSENSITIVE_PROCESS_ACCESS のいずれでもなく、detect が空の場合に適用されます。
event.PARENT.HASH principal.process.file.sha256 event.PARENT.HASH から名前を変更しました。event_typeNEW_PROCESSNEW_DOCUMENTFILE_MODIFIEDFILE_DELETEFILE_CREATEFILE_READMODULE_LOADTERMINATE_PROCESSSENSITIVE_PROCESS_ACCESS のいずれかで、detect が空の場合に適用されます。
event.PARENT.HASH principal.process.parent_process.file.sha256 event.PARENT.HASH から名前を変更しました。event_typeNEW_PROCESSNEW_DOCUMENTFILE_MODIFIEDFILE_DELETEFILE_CREATEFILE_READMODULE_LOADTERMINATE_PROCESSSENSITIVE_PROCESS_ACCESS のいずれでもなく、detect が空の場合に適用されます。
event.PARENT_PROCESS_ID principal.process.pid event.PARENT_PROCESS_ID から名前を変更しました。event_typeNEW_PROCESSNEW_DOCUMENTFILE_MODIFIEDFILE_DELETEFILE_CREATEFILE_READMODULE_LOADTERMINATE_PROCESSSENSITIVE_PROCESS_ACCESS のいずれかで、detect が空の場合に適用されます。
event.PARENT_PROCESS_ID principal.process.parent_process.pid event.PARENT_PROCESS_ID から名前を変更しました。event_typeNEW_PROCESSNEW_DOCUMENTFILE_MODIFIEDFILE_DELETEFILE_CREATEFILE_READMODULE_LOADTERMINATE_PROCESSSENSITIVE_PROCESS_ACCESS のいずれでもなく、detect が空の場合に適用されます。
event.PROCESS_ID target.process.pid event.PROCESS_ID から名前を変更しました。event_typeNEW_PROCESSNEW_DOCUMENTFILE_MODIFIEDFILE_DELETEFILE_CREATEFILE_READMODULE_LOADTERMINATE_PROCESSSENSITIVE_PROCESS_ACCESS のいずれかで、detect が空の場合に適用されます。
event.PROCESS_ID principal.process.pid event.PROCESS_ID から名前を変更しました。event_typeNEW_PROCESSNEW_DOCUMENTFILE_MODIFIEDFILE_DELETEFILE_CREATEFILE_READMODULE_LOADTERMINATE_PROCESSSENSITIVE_PROCESS_ACCESS のいずれでもなく、detect が空の場合に適用されます。
event.REGISTRY_KEY target.registry.registry_key コピー元: event.REGISTRY_KEYevent_typeREGISTRY_WRITE の場合に適用されます。
event.REGISTRY_VALUE target.registry.registry_value_data コピー元: event.REGISTRY_VALUEevent_typeREGISTRY_WRITE の場合に適用されます。
event.SVC_DISPLAY_NAME metadata.description コピー元: event.SVC_DISPLAY_NAMEevent_typeSERVICE_CHANGE の場合に適用されます。
event.SVC_NAME target.application コピー元: event.SVC_NAMEevent_typeSERVICE_CHANGE の場合に適用されます。
event.USER_NAME principal.user.userid event.USER_NAME から名前を変更しました。event_typeNEW_PROCESSNEW_DOCUMENTFILE_MODIFIEDFILE_DELETEFILE_CREATEFILE_READMODULE_LOADTERMINATE_PROCESSSENSITIVE_PROCESS_ACCESS のいずれでもなく、detect が空の場合に適用されます。
routing.event_time metadata.event_timestamp routing.event_time から UNIX_MS または ISO8601 形式のいずれかを使用してタイムスタンプとして解析されます。
routing.event_type metadata.product_event_type routing.event_type からコピーされます。
routing.ext_ip principal.ip コピー元: routing.ext_iprouting.ext_ip が空でない場合に適用されます。
routing.hostname principal.hostname コピー元: routing.hostnamerouting.hostname が空でない場合に適用されます。
routing.int_ip principal.ip コピー元: routing.int_iprouting.int_ip が空でない場合に適用されます。
routing.parent target.process.product_specific_process_id routing.parent から「LC:」が先頭に追加されます。detect が空でない場合に適用されます。
routing.parent principal.process.product_specific_process_id routing.parent から「LC:」が先頭に追加されます。event_typeNEW_PROCESSNEW_DOCUMENTFILE_MODIFIEDFILE_DELETEFILE_CREATEFILE_READMODULE_LOADTERMINATE_PROCESSSENSITIVE_PROCESS_ACCESS のいずれでもなく、routing.this が空で、routing.parent が空でない場合に適用されます。
routing.this principal.process.product_specific_process_id routing.this から「LC:」が先頭に追加されます。event_typeNEW_PROCESSNEW_DOCUMENTFILE_MODIFIEDFILE_DELETEFILE_CREATEFILE_READMODULE_LOADTERMINATE_PROCESSSENSITIVE_PROCESS_ACCESS のいずれかで、detect が空の場合に適用されます。
routing.this principal.process.product_specific_process_id routing.this から「LC:」が先頭に追加されます。event_typeNEW_PROCESSNEW_DOCUMENTFILE_MODIFIEDFILE_DELETEFILE_CREATEFILE_READMODULE_LOADTERMINATE_PROCESSSENSITIVE_PROCESS_ACCESS のいずれでもなく、routing.this が空でない場合に適用されます。detect が空でない場合は true に設定します。detect が空ではなく、detect_mtd.levelhighmediumcritical のいずれかである場合は、true に設定します。event_type に基づいて値を設定します。DNS_REQUEST の場合は NETWORK_DNSNEW_PROCESS の場合は PROCESS_LAUNCHEXISTING_PROCESS の場合は PROCESS_UNCATEGORIZEDCONNECTED または NETWORK_CONNECTIONS の場合は NETWORK_CONNECTIONREGISTRY_WRITE の場合は REGISTRY_MODIFICATIONSERVICE_CHANGE の場合は SERVICE_MODIFICATIONNEW_DOCUMENT の場合は FILE_UNCATEGORIZEDFILE_READ の場合は FILE_READFILE_DELETE の場合は FILE_DELETIONFILE_CREATE の場合は FILE_CREATIONFILE_MODIFIED の場合は FILE_MODIFICATIONMODULE_LOAD の場合は PROCESS_MODULE_LOADTERMINATE_PROCESS の場合は PROCESS_TERMINATIONCLOUD_NOTIFICATION または RECEIPT の場合は STATUS_UNCATEGORIZEDREMOTE_PROCESS_HANDLE または NEW_REMOTE_THREAD の場合は PROCESS_UNCATEGORIZED、それ以外の場合は GENERIC_EVENT。「LimaCharlie EDR」に設定します。「LimaCharlie」に設定します。event_typeDNS_REQUEST の場合は「DNS」に設定されます。event.ERROR が空でない場合は「ERROR」に設定します。event.HOST_NAME からコピーされます。event_typeCONNECTED の場合に適用されます。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。