Coletar registros do EDR do LimaCharlie

Compatível com:

Neste documento, explicamos como ingerir os registros de EDR do LimaCharlie no Google Security Operations usando o Google Cloud Storage. O analisador extrai eventos de registros formatados em JSON, normaliza campos na UDM e processa eventos de nível superior e aninhados. Ele analisa vários tipos de eventos, incluindo solicitações de DNS, criação de processos, modificações de arquivos, conexões de rede e alterações de registro, mapeando campos relevantes para os equivalentes do Modelo Unificado de Dados (UDM, na sigla em inglês) e enriquecendo os dados com o contexto específico do LimaCharlie.

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

  • Instância do Google SecOps
  • Acesso privilegiado a Google Cloud
  • Acesso privilegiado ao LimaCharlie

Criar um Google Cloud bucket do Storage

  1. Faça login no console do Google Cloud .

  2. Acesse a página Buckets do Cloud Storage.

    Acessar buckets

  3. Clique em Criar.

  4. Na página Criar um bucket, insira as informações do seu bucket. Após cada uma das etapas a seguir, clique em Continuar para prosseguir para a próxima etapa:

    1. Na seção Começar, faça o seguinte:

      • Insira um nome exclusivo que atenda aos requisitos de nome de bucket (por exemplo, cloudrun-logs).
      • Para ativar o namespace hierárquico, clique na seta de expansão para abrir a seção Otimizar para cargas de trabalho orientadas a arquivos e com uso intensivo de dados e selecione Ativar namespace hierárquico neste bucket.
      • Para adicionar um rótulo de bucket, clique na seta de expansão para abrir a seção Rótulos.
      • Clique em Adicionar rótulo e especifique uma chave e um valor para o rótulo.

    2. Na seção Escolha onde armazenar seus dados, faça o seguinte:

      • Selecione um tipo de local.
      • Use o menu do tipo de local para selecionar um Local em que os dados de objetos no bucket serão armazenados permanentemente.
      • Para configurar a replicação entre buckets, abra a seção Configurar a replicação entre buckets.

    3. Na seção Escolha uma classe de armazenamento para seus dados, selecione uma classe de armazenamento padrão para o bucket ou selecione Classe automática para gerenciamento automático da classe de armazenamento dos dados do bucket.

    4. Na seção Escolha como controlar o acesso a objetos, selecione não para aplicar a prevenção de acesso público e selecione um modelo de controle de acesso para os objetos do bucket.

    1. Na seção Escolha como proteger os dados do objeto, faça o seguinte:
      • Selecione qualquer uma das opções em Proteção de dados que você quer definir para o bucket.
      • Para escolher como os dados do objeto serão criptografados, clique na seta de expansão Criptografia de dados e selecione um Método de criptografia de dados.

  5. Clique em Criar.

Configurar a exportação de registros no EDR do LimaCharlie

  1. Faça login no portal do LimaCharlie.
  2. Selecione Saídas no menu à esquerda.
  3. Clique em Adicionar saída.
  4. Escolher stream de saída: selecione Eventos.
  5. Escolher destino de saída: selecione Google Cloud Storage.
  6. Informe os seguintes detalhes de configuração:
    • Bucket: caminho para o bucket do Google Cloud Storage.
    • Chave secreta: chave JSON secreta que identifica uma conta de serviço.
    • Segundos por arquivo: número de segundos após o qual um arquivo é cortado e enviado.
    • Compactação: defina como False.
    • Indexação: defina como Falso.
    • Dir: prefixo do diretório em que os arquivos serão enviados no host remoto.
  7. Clique em Salvar saída.

Configurar feeds

Há dois pontos de entrada diferentes para configurar feeds na plataforma do Google SecOps:

  • Configurações do SIEM > Feeds
  • Central de conteúdo > Pacotes de conteúdo

Configure feeds em "Configurações do SIEM" > "Feeds".

Para configurar um feed, siga estas etapas:

  1. Acesse Configurações do SIEM > Feeds.
  2. Clique em Adicionar novo feed.
  3. Na próxima página, clique em Configurar um único feed.
  4. No campo Nome do feed, insira um nome para o feed (por exemplo, Registros de EDR do Limacharlie).
  5. Selecione Google Cloud Storage como o Tipo de origem.
  6. Selecione LimaCharlie como o Tipo de registro.
  7. Clique em Receber conta de serviço como a Conta de serviço do Chronicle.
  8. Clique em Próxima.

  9. Especifique valores para os seguintes parâmetros de entrada:

    • URI do bucket de armazenamento: URL do bucket do Google Cloud Storage no formato gs://my-bucket/<value>.
    • URI Is A: selecione Directory which includes subdirectories.
    • Opções de exclusão de fontes: selecione a opção de exclusão de acordo com sua preferência.
    • Namespace do recurso: o namespace do recurso.
    • Rótulos de ingestão: o rótulo aplicado aos eventos deste feed.

  10. Clique em Próxima.

  11. Revise a nova configuração do feed na tela Finalizar e clique em Enviar.

Configurar feeds na Central de conteúdo

Especifique valores para os seguintes campos:

  • URI do bucket de armazenamento: URL do bucket do Google Cloud Storage no formato gs://my-bucket/<value>.
  • URI Is A: selecione Directory which includes subdirectories.
  • Opções de exclusão de fontes: selecione a opção de exclusão de acordo com sua preferência.

Opções avançadas

  • Nome do feed: um valor pré-preenchido que identifica o feed.
  • Tipo de origem: método usado para coletar registros no Google SecOps.
  • Namespace do recurso: namespace associado ao feed.
  • Rótulos de ingestão: rótulos aplicados a todos os eventos deste feed.

Tabela de mapeamento da UDM

Campo de registro Mapeamento do UDM Lógica
cat security_result.summary Renomeado de cat. Aplicável quando detect não está vazio.
detect.event.COMMAND_LINE principal.process.command_line Renomeado de detect.event.COMMAND_LINE. Aplicado quando event_type é um dos seguintes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect não está vazio.
detect.event.COMMAND_LINE principal.process.command_line Renomeado de detect.event.COMMAND_LINE. Aplicado quando event_type não é um dos NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect não está vazio.
detect.event.FILE_PATH principal.process.file.full_path Renomeado de detect.event.FILE_PATH. Aplicado quando event_type é um dos seguintes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect não está vazio.
detect.event.FILE_PATH principal.process.file.full_path Renomeado de detect.event.FILE_PATH. Aplicado quando event_type não é um dos NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect não está vazio.
detect.event.HASH principal.process.file.sha256 Renomeado de detect.event.HASH. Aplicado quando event_type é um dos seguintes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect não está vazio.
detect.event.HASH principal.process.file.sha256 Renomeado de detect.event.HASH. Aplicado quando event_type não é um dos NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect não está vazio.
detect.event.HASH_MD5 principal.process.file.md5 Renomeado de detect.event.HASH_MD5. Aplicado quando event_type não é um dos NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect não está vazio.
detect.event.HASH_SHA1 principal.process.file.sha1 Renomeado de detect.event.HASH_SHA1. Aplicado quando event_type não é um dos NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect não está vazio.
detect.event.PARENT.COMMAND_LINE principal.process.command_line Renomeado de detect.event.PARENT.COMMAND_LINE. Aplicado quando event_type é um dos seguintes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect não está vazio.
detect.event.PARENT.COMMAND_LINE principal.process.parent_process.command_line Renomeado de detect.event.PARENT.COMMAND_LINE. Aplicado quando event_type não é um dos NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect não está vazio.
detect.event.PARENT.FILE_PATH principal.process.file.full_path Renomeado de detect.event.PARENT.FILE_PATH. Aplicado quando event_type é um dos seguintes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect não está vazio.
detect.event.PARENT.FILE_PATH principal.process.parent_process.file.full_path Renomeado de detect.event.PARENT.FILE_PATH. Aplicado quando event_type não é um dos NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect não está vazio.
detect.event.PARENT.HASH principal.process.file.sha256 Renomeado de detect.event.PARENT.HASH. Aplicado quando event_type é um dos seguintes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect não está vazio.
detect.event.PARENT.HASH principal.process.parent_process.file.sha256 Renomeado de detect.event.PARENT.HASH. Aplicado quando event_type não é um dos NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect não está vazio.
detect.event.PARENT_PROCESS_ID principal.process.pid Renomeado de detect.event.PARENT_PROCESS_ID. Aplicado quando event_type é um dos seguintes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect não está vazio.
detect.event.PARENT_PROCESS_ID principal.process.parent_process.pid Renomeado de detect.event.PARENT_PROCESS_ID. Aplicado quando event_type não é um dos NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect não está vazio.
detect.event.PROCESS_ID target.process.pid Renomeado de detect.event.PROCESS_ID. Aplicado quando event_type é um dos seguintes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect não está vazio.
detect.event.PROCESS_ID principal.process.pid Renomeado de detect.event.PROCESS_ID. Aplicado quando event_type não é um dos NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect não está vazio.
detect.event.USER_NAME principal.user.userid Renomeado de detect.event.USER_NAME. Aplicado quando event_type não é um dos NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect não está vazio.
detect_mtd.description security_result.description Renomeado de detect_mtd.description. Aplicável quando detect não está vazio.
detect_mtd.level security_result.severity Copiado de detect_mtd.level e convertido em letras maiúsculas. Aplicável quando detect não está vazio.
event.COMMAND_LINE principal.process.command_line Renomeado de event.COMMAND_LINE. Aplicado quando event_type é um dos seguintes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect está vazio.
event.COMMAND_LINE principal.process.command_line Renomeado de event.COMMAND_LINE. Aplicável quando event_type não é um dos NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect está vazio.
event.DLL target.file.full_path Copiado de event.DLL. Aplicável quando event_type é SERVICE_CHANGE.
event.DOMAIN_NAME network.dns.questions.0.name, network.dns.answers.0.name Renomeado como a.name, copiado para q.name e mesclado nas matrizes network.dns.questions e network.dns.answers. Aplicável quando event_type é DNS_REQUEST.
event.DNS_TYPE network.dns.answers.0.type Renomeado como a.type e mesclado na matriz network.dns.answers. Aplicável quando event_type é DNS_REQUEST.
event.ERROR security_result.severity_details Copiado de event.ERROR. Aplicável quando event.ERROR não está vazio.
event.EXECUTABLE target.process.command_line Copiado de event.EXECUTABLE. Aplicável quando event_type é SERVICE_CHANGE.
event.FILE_PATH target.file.full_path Renomeado de event.FILE_PATH. Aplicável quando event_type é NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE ou FILE_READ e detect está vazio.
event.FILE_PATH principal.process.file.full_path Renomeado de event.FILE_PATH. Aplicável quando event_type não é um dos NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect está vazio.
event.FILE_PATH target.process.file.full_path Renomeado de event.FILE_PATH. Aplicável quando event_type é um dos seguintes: NEW_PROCESS, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS, e detect está vazio.
event.HASH target.file.sha256 Renomeado de event.HASH. Aplicável quando event_type é NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE ou FILE_READ e detect está vazio.
event.HASH principal.process.file.sha256 Renomeado de event.HASH. Aplicável quando event_type não é um dos NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect está vazio.
event.HASH target.process.file.sha256 Renomeado de event.HASH. Aplicável quando event_type é um dos seguintes: NEW_PROCESS, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS, e detect está vazio.
event.HASH_MD5 principal.process.file.md5 Renomeado de event.HASH_MD5. Aplicável quando event_type não é um dos NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect está vazio.
event.HASH_SHA1 principal.process.file.sha1 Renomeado de event.HASH_SHA1. Aplicável quando event_type não é um dos NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect está vazio.
event.IP_ADDRESS network.dns.answers.0.data Renomeado como a.data e mesclado na matriz network.dns.answers. Aplicável quando event_type é DNS_REQUEST e event.IP_ADDRESS não está vazio.
event.MESSAGE_ID network.dns.id Renomeado de event.MESSAGE_ID. Aplicável quando event_type é DNS_REQUEST.
event.NETWORK_ACTIVITY[].DESTINATION.IP_ADDRESS target.ip Mesclado de event.NETWORK_ACTIVITY[].DESTINATION.IP_ADDRESS. Aplicável quando event_type é NETWORK_CONNECTIONS.
event.NETWORK_ACTIVITY[].SOURCE.IP_ADDRESS principal.ip Mesclado de event.NETWORK_ACTIVITY[].SOURCE.IP_ADDRESS. Aplicável quando event_type é NETWORK_CONNECTIONS.
event.PARENT.COMMAND_LINE principal.process.command_line Renomeado de event.PARENT.COMMAND_LINE. Aplicado quando event_type é um dos seguintes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect está vazio.
event.PARENT.COMMAND_LINE principal.process.parent_process.command_line Renomeado de event.PARENT.COMMAND_LINE. Aplicável quando event_type não é um dos NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect está vazio.
event.PARENT.FILE_PATH principal.process.file.full_path Renomeado de event.PARENT.FILE_PATH. Aplicado quando event_type é um dos seguintes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect está vazio.
event.PARENT.FILE_PATH principal.process.parent_process.file.full_path Renomeado de event.PARENT.FILE_PATH. Aplicável quando event_type não é um dos NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect está vazio.
event.PARENT.HASH principal.process.file.sha256 Renomeado de event.PARENT.HASH. Aplicado quando event_type é um dos seguintes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect está vazio.
event.PARENT.HASH principal.process.parent_process.file.sha256 Renomeado de event.PARENT.HASH. Aplicável quando event_type não é um dos NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect está vazio.
event.PARENT_PROCESS_ID principal.process.pid Renomeado de event.PARENT_PROCESS_ID. Aplicado quando event_type é um dos seguintes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect está vazio.
event.PARENT_PROCESS_ID principal.process.parent_process.pid Renomeado de event.PARENT_PROCESS_ID. Aplicável quando event_type não é um dos NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect está vazio.
event.PROCESS_ID target.process.pid Renomeado de event.PROCESS_ID. Aplicado quando event_type é um dos seguintes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect está vazio.
event.PROCESS_ID principal.process.pid Renomeado de event.PROCESS_ID. Aplicável quando event_type não é um dos NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect está vazio.
event.REGISTRY_KEY target.registry.registry_key Copiado de event.REGISTRY_KEY. Aplicável quando event_type é REGISTRY_WRITE.
event.REGISTRY_VALUE target.registry.registry_value_data Copiado de event.REGISTRY_VALUE. Aplicável quando event_type é REGISTRY_WRITE.
event.SVC_DISPLAY_NAME metadata.description Copiado de event.SVC_DISPLAY_NAME. Aplicável quando event_type é SERVICE_CHANGE.
event.SVC_NAME target.application Copiado de event.SVC_NAME. Aplicável quando event_type é SERVICE_CHANGE.
event.USER_NAME principal.user.userid Renomeado de event.USER_NAME. Aplicável quando event_type não é um dos NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect está vazio.
routing.event_time metadata.event_timestamp Analisado como um carimbo de data/hora de routing.event_time usando o formato UNIX_MS ou ISO8601.
routing.event_type metadata.product_event_type Copiado de routing.event_type.
routing.ext_ip principal.ip Copiado de routing.ext_ip. Aplicável quando routing.ext_ip não está vazio.
routing.hostname principal.hostname Copiado de routing.hostname. Aplicável quando routing.hostname não está vazio.
routing.int_ip principal.ip Copiado de routing.int_ip. Aplicável quando routing.int_ip não está vazio.
routing.parent target.process.product_specific_process_id Prefixo "LC:" de routing.parent. Aplicável quando detect não está vazio.
routing.parent principal.process.product_specific_process_id Prefixo "LC:" de routing.parent. Aplicado quando event_type não é um dos seguintes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS, e routing.this está vazio e routing.parent não está vazio.
routing.this principal.process.product_specific_process_id Prefixo "LC:" de routing.this. Aplicado quando event_type é um dos seguintes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect está vazio.
routing.this principal.process.product_specific_process_id Prefixo "LC:" de routing.this. Aplicado quando event_type não é um dos NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e routing.this não está vazio. Defina como true quando detect não estiver vazio. Defina como true quando detect não estiver vazio e detect_mtd.level for um dos seguintes: high, medium ou critical. Defina um valor com base em event_type: NETWORK_DNS para DNS_REQUEST, PROCESS_LAUNCH para NEW_PROCESS, PROCESS_UNCATEGORIZED para EXISTING_PROCESS, NETWORK_CONNECTION para CONNECTED ou NETWORK_CONNECTIONS, REGISTRY_MODIFICATION para REGISTRY_WRITE, SERVICE_MODIFICATION para SERVICE_CHANGE, FILE_UNCATEGORIZED para NEW_DOCUMENT, FILE_READ para FILE_READ, FILE_DELETION para FILE_DELETE, FILE_CREATION para FILE_CREATE, FILE_MODIFICATION para FILE_MODIFIED, PROCESS_MODULE_LOAD para MODULE_LOAD, PROCESS_TERMINATION para TERMINATE_PROCESS, STATUS_UNCATEGORIZED para CLOUD_NOTIFICATION ou RECEIPT, PROCESS_UNCATEGORIZED para REMOTE_PROCESS_HANDLE ou NEW_REMOTE_THREAD ou GENERIC_EVENT caso contrário. Defina como "LimaCharlie EDR". Defina como "LimaCharlie". Defina como "DNS" quando event_type for DNS_REQUEST. Definido como "ERROR" quando event.ERROR não está vazio. Copiado de event.HOST_NAME. Aplicável quando event_type é CONNECTED.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.