Recolha registos do EDR do LimaCharlie

Compatível com:

Este documento explica como carregar os registos do EDR do LimaCharlie para o Google Security Operations através do Google Cloud armazenamento. O analisador extrai eventos de registos formatados em JSON, normaliza os campos no UDM e processa eventos de nível superior e aninhados. Analisa especificamente vários tipos de eventos, incluindo pedidos DNS, criação de processos, modificações de ficheiros, ligações de rede e alterações ao registo, mapeando os campos relevantes para os respetivos equivalentes do modelo de dados unificado (UDM) e enriquecendo os dados com o contexto específico do LimaCharlie.

Antes de começar

Certifique-se de que tem os seguintes pré-requisitos:

  • Instância do Google SecOps
  • Acesso privilegiado a Google Cloud
  • Acesso privilegiado ao LimaCharlie

Crie um Google Cloud contentor de armazenamento

  1. Inicie sessão na Google Cloud consola.

  2. Aceda à página Contentores do Cloud Storage.

    Aceda aos contentores

  3. Clique em Criar.

  4. Na página Criar um depósito, introduza as informações do depósito. Após cada um dos passos seguintes, clique em Continuar para avançar para o passo seguinte:

    1. Na secção Começar, faça o seguinte:

      • Introduza um nome exclusivo que cumpra os requisitos de nome do contentor (por exemplo, cloudrun-logs).
      • Para ativar o espaço de nomes hierárquico, clique na seta de expansão para expandir a secção Otimizar para cargas de trabalho orientadas para ficheiros e com grande volume de dados e, de seguida, selecione Ativar espaço de nomes hierárquico neste contentor.
      • Para adicionar uma etiqueta de grupo, clique na seta de expansão para expandir a secção Etiquetas.
      • Clique em Adicionar etiqueta e especifique uma chave e um valor para a etiqueta.

    2. Na secção Escolha onde quer armazenar os seus dados, faça o seguinte:

      • Selecione um Tipo de localização.
      • Use o menu do tipo de localização para selecionar uma Localização onde os dados de objetos no seu contentor vão ser armazenados permanentemente.
      • Para configurar a replicação entre contentores, expanda a secção Configurar replicação entre contentores.

    3. Na secção Escolha uma classe de armazenamento para os seus dados, selecione uma classe de armazenamento predefinida para o contentor ou selecione Autoclass para a gestão automática da classe de armazenamento dos dados do seu contentor.

    4. Na secção Escolha como controlar o acesso a objetos, selecione não para aplicar a prevenção de acesso público e selecione um modelo de controlo de acesso para os objetos do seu contentor.

    1. Na secção Escolha como proteger os dados de objetos, faça o seguinte:
      • Selecione qualquer uma das opções em Proteção de dados que quer definir para o seu contentor.
      • Para escolher como os dados de objetos vão ser encriptados, clique na seta do expansor Encriptação de dados e, de seguida, selecione um Método de encriptação de dados.

  5. Clique em Criar.

Configure a exportação de registos no LimaCharlie EDR

  1. Inicie sessão no portal LimaCharlie.
  2. Selecione Resultados no menu do lado esquerdo.
  3. Clique em Adicionar saída.
  4. Escolha a stream de saída: selecione Eventos.
  5. Escolha o destino de saída: selecione Google Cloud Storage.
  6. Indique os seguintes detalhes de configuração:
    • Contentor: caminho para o contentor do Google Cloud Storage.
    • Chave secreta: chave json secreta que identifica uma conta de serviço.
    • Segundos por ficheiro: número de segundos após os quais um ficheiro é cortado e carregado.
    • Compressão: defina como Falso.
    • Indexação: definida como Falso.
    • Dir: prefixo do diretório onde os ficheiros são enviados no anfitrião remoto.
  7. Clique em Guardar resultado.

Configure feeds

Para configurar um feed, siga estes passos:

  1. Aceda a Definições do SIEM > Feeds.
  2. Clique em Adicionar novo feed.
  3. Na página seguinte, clique em Configurar um único feed.
  4. No campo Nome do feed, introduza um nome para o feed (por exemplo, Registos de EDR da Limacharlie).
  5. Selecione Google Cloud Storage V2 como Tipo de origem.
  6. Selecione LimaCharlie como o Tipo de registo.
  7. Clique em Obter conta de serviço como a conta de serviço do Chronicle.
  8. Clicar em Seguinte.

  9. Especifique valores para os seguintes parâmetros de entrada:

    • URI do contentor de armazenamento: URL do contentor do Google Cloud Storage no formato gs://my-bucket/<value>.
    • Opções de eliminação de origens: selecione a opção de eliminação de acordo com a sua preferência.

  10. Clicar em Seguinte.

  11. Reveja a nova configuração do feed no ecrã Finalizar e, de seguida, clique em Enviar.

Tabela de mapeamento do UDM

Campo de registo Mapeamento de UDM Lógica
cat security_result.summary Nome mudado de cat. Aplica-se quando detect não está vazio.
detect.event.COMMAND_LINE principal.process.command_line Nome mudado de detect.event.COMMAND_LINE. Aplica-se quando event_type é um dos seguintes valores: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect não está vazio.
detect.event.COMMAND_LINE principal.process.command_line Nome mudado de detect.event.COMMAND_LINE. Aplica-se quando event_type não é um dos seguintes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect não está vazio.
detect.event.FILE_PATH principal.process.file.full_path Nome mudado de detect.event.FILE_PATH. Aplica-se quando event_type é um dos seguintes valores: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect não está vazio.
detect.event.FILE_PATH principal.process.file.full_path Nome mudado de detect.event.FILE_PATH. Aplica-se quando event_type não é um dos seguintes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect não está vazio.
detect.event.HASH principal.process.file.sha256 Nome mudado de detect.event.HASH. Aplica-se quando event_type é um dos seguintes valores: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect não está vazio.
detect.event.HASH principal.process.file.sha256 Nome mudado de detect.event.HASH. Aplica-se quando event_type não é um dos seguintes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect não está vazio.
detect.event.HASH_MD5 principal.process.file.md5 Nome mudado de detect.event.HASH_MD5. Aplica-se quando event_type não é um dos seguintes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect não está vazio.
detect.event.HASH_SHA1 principal.process.file.sha1 Nome mudado de detect.event.HASH_SHA1. Aplica-se quando event_type não é um dos seguintes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect não está vazio.
detect.event.PARENT.COMMAND_LINE principal.process.command_line Nome mudado de detect.event.PARENT.COMMAND_LINE. Aplica-se quando event_type é um dos seguintes valores: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect não está vazio.
detect.event.PARENT.COMMAND_LINE principal.process.parent_process.command_line Nome mudado de detect.event.PARENT.COMMAND_LINE. Aplica-se quando event_type não é um dos seguintes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect não está vazio.
detect.event.PARENT.FILE_PATH principal.process.file.full_path Nome mudado de detect.event.PARENT.FILE_PATH. Aplica-se quando event_type é um dos seguintes valores: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect não está vazio.
detect.event.PARENT.FILE_PATH principal.process.parent_process.file.full_path Nome mudado de detect.event.PARENT.FILE_PATH. Aplica-se quando event_type não é um dos seguintes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect não está vazio.
detect.event.PARENT.HASH principal.process.file.sha256 Nome mudado de detect.event.PARENT.HASH. Aplica-se quando event_type é um dos seguintes valores: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect não está vazio.
detect.event.PARENT.HASH principal.process.parent_process.file.sha256 Nome mudado de detect.event.PARENT.HASH. Aplica-se quando event_type não é um dos seguintes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect não está vazio.
detect.event.PARENT_PROCESS_ID principal.process.pid Nome mudado de detect.event.PARENT_PROCESS_ID. Aplica-se quando event_type é um dos seguintes valores: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect não está vazio.
detect.event.PARENT_PROCESS_ID principal.process.parent_process.pid Nome mudado de detect.event.PARENT_PROCESS_ID. Aplica-se quando event_type não é um dos seguintes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect não está vazio.
detect.event.PROCESS_ID target.process.pid Nome mudado de detect.event.PROCESS_ID. Aplica-se quando event_type é um dos seguintes valores: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect não está vazio.
detect.event.PROCESS_ID principal.process.pid Nome mudado de detect.event.PROCESS_ID. Aplica-se quando event_type não é um dos seguintes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect não está vazio.
detect.event.USER_NAME principal.user.userid Nome mudado de detect.event.USER_NAME. Aplica-se quando event_type não é um dos seguintes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect não está vazio.
detect_mtd.description security_result.description Nome mudado de detect_mtd.description. Aplica-se quando detect não está vazio.
detect_mtd.level security_result.severity Copiado de detect_mtd.level e convertido em letras maiúsculas. Aplica-se quando detect não está vazio.
event.COMMAND_LINE principal.process.command_line Nome mudado de event.COMMAND_LINE. Aplica-se quando event_type é um dos seguintes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect está vazio.
event.COMMAND_LINE principal.process.command_line Nome mudado de event.COMMAND_LINE. Aplica-se quando event_type não é um dos seguintes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect está vazio.
event.DLL target.file.full_path Copiado de event.DLL. Aplica-se quando event_type é SERVICE_CHANGE.
event.DOMAIN_NAME network.dns.questions.0.name, network.dns.answers.0.name Mudou o nome para a.name, depois foi copiado para q.name e, em seguida, foi unido nas matrizes network.dns.questions e network.dns.answers. Aplica-se quando event_type é DNS_REQUEST.
event.DNS_TYPE network.dns.answers.0.type O nome foi mudado para a.type e, em seguida, foi unido à matriz network.dns.answers. Aplica-se quando event_type é DNS_REQUEST.
event.ERROR security_result.severity_details Copiado de event.ERROR. Aplica-se quando event.ERROR não está vazio.
event.EXECUTABLE target.process.command_line Copiado de event.EXECUTABLE. Aplica-se quando event_type é SERVICE_CHANGE.
event.FILE_PATH target.file.full_path Nome mudado de event.FILE_PATH. Aplica-se quando event_type é um de NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE ou FILE_READ e detect está vazio.
event.FILE_PATH principal.process.file.full_path Nome mudado de event.FILE_PATH. Aplica-se quando event_type não é um dos seguintes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect está vazio.
event.FILE_PATH target.process.file.full_path Nome mudado de event.FILE_PATH. Aplica-se quando event_type é um dos seguintes: NEW_PROCESS, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS, e detect está vazio.
event.HASH target.file.sha256 Nome mudado de event.HASH. Aplica-se quando event_type é um de NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE ou FILE_READ e detect está vazio.
event.HASH principal.process.file.sha256 Nome mudado de event.HASH. Aplica-se quando event_type não é um dos seguintes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect está vazio.
event.HASH target.process.file.sha256 Nome mudado de event.HASH. Aplica-se quando event_type é um dos seguintes: NEW_PROCESS, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS, e detect está vazio.
event.HASH_MD5 principal.process.file.md5 Nome mudado de event.HASH_MD5. Aplica-se quando event_type não é um dos seguintes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect está vazio.
event.HASH_SHA1 principal.process.file.sha1 Nome mudado de event.HASH_SHA1. Aplica-se quando event_type não é um dos seguintes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect está vazio.
event.IP_ADDRESS network.dns.answers.0.data O nome foi mudado para a.data e, em seguida, foi unido à matriz network.dns.answers. Aplica-se quando event_type é DNS_REQUEST e event.IP_ADDRESS não está vazio.
event.MESSAGE_ID network.dns.id Nome mudado de event.MESSAGE_ID. Aplica-se quando event_type é DNS_REQUEST.
event.NETWORK_ACTIVITY[].DESTINATION.IP_ADDRESS target.ip Unido a partir de event.NETWORK_ACTIVITY[].DESTINATION.IP_ADDRESS. Aplica-se quando event_type é NETWORK_CONNECTIONS.
event.NETWORK_ACTIVITY[].SOURCE.IP_ADDRESS principal.ip Unido a partir de event.NETWORK_ACTIVITY[].SOURCE.IP_ADDRESS. Aplica-se quando event_type é NETWORK_CONNECTIONS.
event.PARENT.COMMAND_LINE principal.process.command_line Nome mudado de event.PARENT.COMMAND_LINE. Aplica-se quando event_type é um dos seguintes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect está vazio.
event.PARENT.COMMAND_LINE principal.process.parent_process.command_line Nome mudado de event.PARENT.COMMAND_LINE. Aplica-se quando event_type não é um dos seguintes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect está vazio.
event.PARENT.FILE_PATH principal.process.file.full_path Nome mudado de event.PARENT.FILE_PATH. Aplica-se quando event_type é um dos seguintes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect está vazio.
event.PARENT.FILE_PATH principal.process.parent_process.file.full_path Nome mudado de event.PARENT.FILE_PATH. Aplica-se quando event_type não é um dos seguintes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect está vazio.
event.PARENT.HASH principal.process.file.sha256 Nome mudado de event.PARENT.HASH. Aplica-se quando event_type é um dos seguintes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect está vazio.
event.PARENT.HASH principal.process.parent_process.file.sha256 Nome mudado de event.PARENT.HASH. Aplica-se quando event_type não é um dos seguintes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect está vazio.
event.PARENT_PROCESS_ID principal.process.pid Nome mudado de event.PARENT_PROCESS_ID. Aplica-se quando event_type é um dos seguintes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect está vazio.
event.PARENT_PROCESS_ID principal.process.parent_process.pid Nome mudado de event.PARENT_PROCESS_ID. Aplica-se quando event_type não é um dos seguintes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect está vazio.
event.PROCESS_ID target.process.pid Nome mudado de event.PROCESS_ID. Aplica-se quando event_type é um dos seguintes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect está vazio.
event.PROCESS_ID principal.process.pid Nome mudado de event.PROCESS_ID. Aplica-se quando event_type não é um dos seguintes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect está vazio.
event.REGISTRY_KEY target.registry.registry_key Copiado de event.REGISTRY_KEY. Aplica-se quando event_type é REGISTRY_WRITE.
event.REGISTRY_VALUE target.registry.registry_value_data Copiado de event.REGISTRY_VALUE. Aplica-se quando event_type é REGISTRY_WRITE.
event.SVC_DISPLAY_NAME metadata.description Copiado de event.SVC_DISPLAY_NAME. Aplica-se quando event_type é SERVICE_CHANGE.
event.SVC_NAME target.application Copiado de event.SVC_NAME. Aplica-se quando event_type é SERVICE_CHANGE.
event.USER_NAME principal.user.userid Nome mudado de event.USER_NAME. Aplica-se quando event_type não é um dos seguintes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect está vazio.
routing.event_time metadata.event_timestamp Analisado como uma data/hora a partir de routing.event_time usando o formato UNIX_MS ou ISO8601.
routing.event_type metadata.product_event_type Copiado de routing.event_type.
routing.ext_ip principal.ip Copiado de routing.ext_ip. Aplica-se quando routing.ext_ip não está vazio.
routing.hostname principal.hostname Copiado de routing.hostname. Aplica-se quando routing.hostname não está vazio.
routing.int_ip principal.ip Copiado de routing.int_ip. Aplica-se quando routing.int_ip não está vazio.
routing.parent target.process.product_specific_process_id Adicionado "LC:" de routing.parent. Aplica-se quando detect não está vazio.
routing.parent principal.process.product_specific_process_id Adicionado "LC:" de routing.parent. Aplica-se quando event_type não é um dos seguintes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS, e routing.this está vazio e routing.parent não está vazio.
routing.this principal.process.product_specific_process_id Adicionado "LC:" de routing.this. Aplica-se quando event_type é um dos seguintes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect está vazio.
routing.this principal.process.product_specific_process_id Adicionado "LC:" de routing.this. Aplica-se quando event_type não é um dos seguintes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e routing.this não está vazio. Definido como true quando detect não está vazio. Definido como true quando detect não está vazio e detect_mtd.level é um de high, medium ou critical. Definido para um valor com base em event_type: NETWORK_DNS para DNS_REQUEST, PROCESS_LAUNCH para NEW_PROCESS, PROCESS_UNCATEGORIZED para EXISTING_PROCESS, NETWORK_CONNECTION para CONNECTED ou NETWORK_CONNECTIONS, REGISTRY_MODIFICATION para REGISTRY_WRITE, SERVICE_MODIFICATION para SERVICE_CHANGE, FILE_UNCATEGORIZED para NEW_DOCUMENT, FILE_READ para FILE_READ, FILE_DELETION para FILE_DELETE, FILE_CREATION para FILE_CREATE, FILE_MODIFICATION para FILE_MODIFIED, PROCESS_MODULE_LOAD para MODULE_LOAD, PROCESS_TERMINATION para TERMINATE_PROCESS, STATUS_UNCATEGORIZED para CLOUD_NOTIFICATION ou RECEIPT, PROCESS_UNCATEGORIZED para REMOTE_PROCESS_HANDLE ou NEW_REMOTE_THREAD, ou GENERIC_EVENT caso contrário. Definido como "LimaCharlie EDR". Definido como "LimaCharlie". Definido como "DNS" quando event_type é DNS_REQUEST. Definido como "ERROR" quando event.ERROR não está vazio. Copiado de event.HOST_NAME. Aplica-se quando event_type é CONNECTED.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.