Esta página foi traduzida pela API Cloud Translation.

Coletar registros do EDR do LimaCharlie

Compatível com:

Google SecOps SIEM

Neste documento, explicamos como ingerir os registros de EDR do LimaCharlie no Google Security Operations usando o Google Cloud Storage. O analisador extrai eventos de registros formatados em JSON, normaliza campos na UDM e processa eventos de nível superior e aninhados. Ele analisa vários tipos de eventos, incluindo solicitações de DNS, criação de processos, modificações de arquivos, conexões de rede e alterações de registro, mapeando campos relevantes para os equivalentes do Modelo Unificado de Dados (UDM, na sigla em inglês) e enriquecendo os dados com o contexto específico do LimaCharlie.

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

Instância do Google SecOps
Acesso privilegiado a Google Cloud
Acesso privilegiado ao LimaCharlie

Criar um Google Cloud bucket do Storage

Faça login no console do Google Cloud .
Acesse a página Buckets do Cloud Storage.

Acessar buckets
Clique em Criar.
Na página Criar um bucket, insira as informações do seu bucket. Após cada uma das etapas a seguir, clique em Continuar para prosseguir para a próxima etapa:
1. Na seção Começar, faça o seguinte:
  - Insira um nome exclusivo que atenda aos requisitos de nome de bucket (por exemplo, cloudrun-logs).
  - Para ativar o namespace hierárquico, clique na seta de expansão para abrir a seção Otimizar para cargas de trabalho orientadas a arquivos e com uso intensivo de dados e selecione Ativar namespace hierárquico neste bucket.
  Observação: não é possível ativar o namespace hierárquico em um bucket atual.
  - Para adicionar um rótulo de bucket, clique na seta de expansão para abrir a seção Rótulos.
  - Clique em Adicionar rótulo e especifique uma chave e um valor para o rótulo.
2. Na seção Escolha onde armazenar seus dados, faça o seguinte:
  - Selecione um tipo de local.
  - Use o menu do tipo de local para selecionar um Local em que os dados de objetos no bucket serão armazenados permanentemente.
  Observação: se você selecionar o tipo de local birregional, também poderá ativar a replicação turbo usando a caixa de seleção relevante.
  - Para configurar a replicação entre buckets, abra a seção Configurar a replicação entre buckets.
3. Na seção Escolha uma classe de armazenamento para seus dados, selecione uma classe de armazenamento padrão para o bucket ou selecione Classe automática para gerenciamento automático da classe de armazenamento dos dados do bucket.
4. Na seção Escolha como controlar o acesso a objetos, selecione não para aplicar a prevenção de acesso público e selecione um modelo de controle de acesso para os objetos do bucket.
Observação: se a prevenção de acesso público já estiver aplicada pela política da organização do projeto, a caixa de seleção Impedir acesso público ficará bloqueada.
1. Na seção Escolha como proteger os dados do objeto, faça o seguinte:
  - Selecione qualquer uma das opções em Proteção de dados que você quer definir para o bucket.
  - Para escolher como os dados do objeto serão criptografados, clique na seta de expansão Criptografia de dados e selecione um Método de criptografia de dados.
Clique em Criar.

Configurar a exportação de registros no EDR do LimaCharlie

Faça login no portal do LimaCharlie.
Selecione Saídas no menu à esquerda.
Clique em Adicionar saída.
Escolher stream de saída: selecione Eventos.
Escolher destino de saída: selecione Google Cloud Storage.
Informe os seguintes detalhes de configuração:
- Bucket: caminho para o bucket do Google Cloud Storage.
- Chave secreta: chave JSON secreta que identifica uma conta de serviço.
- Segundos por arquivo: número de segundos após o qual um arquivo é cortado e enviado.
- Compactação: defina como False.
- Indexação: defina como Falso.
- Dir: prefixo do diretório em que os arquivos serão enviados no host remoto.
Clique em Salvar saída.

Configurar feeds

Para configurar um feed, siga estas etapas:

Acesse Configurações do SIEM > Feeds.
Clique em Adicionar novo feed.
Na próxima página, clique em Configurar um único feed.
No campo Nome do feed, insira um nome para o feed (por exemplo, Registros de EDR do Limacharlie).
Selecione Google Cloud Storage como o Tipo de origem.
Selecione LimaCharlie como o Tipo de registro.
Clique em Receber conta de serviço como a Conta de serviço do Chronicle.
Clique em Próxima.
Especifique valores para os seguintes parâmetros de entrada:
- URI do bucket de armazenamento: URL do bucket do Google Cloud Storage no formato gs://my-bucket/<value>.
- URI Is A: selecione Directory which includes subdirectories.
- Opções de exclusão de fontes: selecione a opção de exclusão de acordo com sua preferência.
Observação: se você selecionar a opção Delete transferred files ou Delete transferred files and empty directories, verifique se concedeu as permissões adequadas à conta de serviço.
- Namespace do recurso: o namespace do recurso.
- Rótulos de ingestão: o rótulo aplicado aos eventos deste feed.
Clique em Próxima.
Revise a nova configuração do feed na tela Finalizar e clique em Enviar.

Tabela de mapeamento da UDM

Campo de registro	Mapeamento do UDM	Lógica
`cat`	`security_result.summary`	Renomeado de `cat`. Aplicável quando `detect` não está vazio.
`detect.event.COMMAND_LINE`	`principal.process.command_line`	Renomeado de `detect.event.COMMAND_LINE`. Aplicado quando `event_type` é um dos seguintes: `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` ou `SENSITIVE_PROCESS_ACCESS` e `detect` não está vazio.
`detect.event.COMMAND_LINE`	`principal.process.command_line`	Renomeado de `detect.event.COMMAND_LINE`. Aplicado quando `event_type` não é um dos `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` ou `SENSITIVE_PROCESS_ACCESS` e `detect` não está vazio.
`detect.event.FILE_PATH`	`principal.process.file.full_path`	Renomeado de `detect.event.FILE_PATH`. Aplicado quando `event_type` é um dos seguintes: `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` ou `SENSITIVE_PROCESS_ACCESS` e `detect` não está vazio.
`detect.event.FILE_PATH`	`principal.process.file.full_path`	Renomeado de `detect.event.FILE_PATH`. Aplicado quando `event_type` não é um dos `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` ou `SENSITIVE_PROCESS_ACCESS` e `detect` não está vazio.
`detect.event.HASH`	`principal.process.file.sha256`	Renomeado de `detect.event.HASH`. Aplicado quando `event_type` é um dos seguintes: `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` ou `SENSITIVE_PROCESS_ACCESS` e `detect` não está vazio.
`detect.event.HASH`	`principal.process.file.sha256`	Renomeado de `detect.event.HASH`. Aplicado quando `event_type` não é um dos `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` ou `SENSITIVE_PROCESS_ACCESS` e `detect` não está vazio.
`detect.event.HASH_MD5`	`principal.process.file.md5`	Renomeado de `detect.event.HASH_MD5`. Aplicado quando `event_type` não é um dos `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` ou `SENSITIVE_PROCESS_ACCESS` e `detect` não está vazio.
`detect.event.HASH_SHA1`	`principal.process.file.sha1`	Renomeado de `detect.event.HASH_SHA1`. Aplicado quando `event_type` não é um dos `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` ou `SENSITIVE_PROCESS_ACCESS` e `detect` não está vazio.
`detect.event.PARENT.COMMAND_LINE`	`principal.process.command_line`	Renomeado de `detect.event.PARENT.COMMAND_LINE`. Aplicado quando `event_type` é um dos seguintes: `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` ou `SENSITIVE_PROCESS_ACCESS` e `detect` não está vazio.
`detect.event.PARENT.COMMAND_LINE`	`principal.process.parent_process.command_line`	Renomeado de `detect.event.PARENT.COMMAND_LINE`. Aplicado quando `event_type` não é um dos `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` ou `SENSITIVE_PROCESS_ACCESS` e `detect` não está vazio.
`detect.event.PARENT.FILE_PATH`	`principal.process.file.full_path`	Renomeado de `detect.event.PARENT.FILE_PATH`. Aplicado quando `event_type` é um dos seguintes: `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` ou `SENSITIVE_PROCESS_ACCESS` e `detect` não está vazio.
`detect.event.PARENT.FILE_PATH`	`principal.process.parent_process.file.full_path`	Renomeado de `detect.event.PARENT.FILE_PATH`. Aplicado quando `event_type` não é um dos `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` ou `SENSITIVE_PROCESS_ACCESS` e `detect` não está vazio.
`detect.event.PARENT.HASH`	`principal.process.file.sha256`	Renomeado de `detect.event.PARENT.HASH`. Aplicado quando `event_type` é um dos seguintes: `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` ou `SENSITIVE_PROCESS_ACCESS` e `detect` não está vazio.
`detect.event.PARENT.HASH`	`principal.process.parent_process.file.sha256`	Renomeado de `detect.event.PARENT.HASH`. Aplicado quando `event_type` não é um dos `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` ou `SENSITIVE_PROCESS_ACCESS` e `detect` não está vazio.
`detect.event.PARENT_PROCESS_ID`	`principal.process.pid`	Renomeado de `detect.event.PARENT_PROCESS_ID`. Aplicado quando `event_type` é um dos seguintes: `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` ou `SENSITIVE_PROCESS_ACCESS` e `detect` não está vazio.
`detect.event.PARENT_PROCESS_ID`	`principal.process.parent_process.pid`	Renomeado de `detect.event.PARENT_PROCESS_ID`. Aplicado quando `event_type` não é um dos `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` ou `SENSITIVE_PROCESS_ACCESS` e `detect` não está vazio.
`detect.event.PROCESS_ID`	`target.process.pid`	Renomeado de `detect.event.PROCESS_ID`. Aplicado quando `event_type` é um dos seguintes: `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` ou `SENSITIVE_PROCESS_ACCESS` e `detect` não está vazio.
`detect.event.PROCESS_ID`	`principal.process.pid`	Renomeado de `detect.event.PROCESS_ID`. Aplicado quando `event_type` não é um dos `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` ou `SENSITIVE_PROCESS_ACCESS` e `detect` não está vazio.
`detect.event.USER_NAME`	`principal.user.userid`	Renomeado de `detect.event.USER_NAME`. Aplicado quando `event_type` não é um dos `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` ou `SENSITIVE_PROCESS_ACCESS` e `detect` não está vazio.
`detect_mtd.description`	`security_result.description`	Renomeado de `detect_mtd.description`. Aplicável quando `detect` não está vazio.
`detect_mtd.level`	`security_result.severity`	Copiado de `detect_mtd.level` e convertido em letras maiúsculas. Aplicável quando `detect` não está vazio.
`event.COMMAND_LINE`	`principal.process.command_line`	Renomeado de `event.COMMAND_LINE`. Aplicado quando `event_type` é um dos seguintes: `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` ou `SENSITIVE_PROCESS_ACCESS` e `detect` está vazio.
`event.COMMAND_LINE`	`principal.process.command_line`	Renomeado de `event.COMMAND_LINE`. Aplicável quando `event_type` não é um dos `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` ou `SENSITIVE_PROCESS_ACCESS` e `detect` está vazio.
`event.DLL`	`target.file.full_path`	Copiado de `event.DLL`. Aplicável quando `event_type` é `SERVICE_CHANGE`.
`event.DOMAIN_NAME`	`network.dns.questions.0.name`, `network.dns.answers.0.name`	Renomeado como `a.name`, copiado para `q.name` e mesclado nas matrizes `network.dns.questions` e `network.dns.answers`. Aplicável quando `event_type` é `DNS_REQUEST`.
`event.DNS_TYPE`	`network.dns.answers.0.type`	Renomeado como `a.type` e mesclado na matriz `network.dns.answers`. Aplicável quando `event_type` é `DNS_REQUEST`.
`event.ERROR`	`security_result.severity_details`	Copiado de `event.ERROR`. Aplicável quando `event.ERROR` não está vazio.
`event.EXECUTABLE`	`target.process.command_line`	Copiado de `event.EXECUTABLE`. Aplicável quando `event_type` é `SERVICE_CHANGE`.
`event.FILE_PATH`	`target.file.full_path`	Renomeado de `event.FILE_PATH`. Aplicável quando `event_type` é `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE` ou `FILE_READ` e `detect` está vazio.
`event.FILE_PATH`	`principal.process.file.full_path`	Renomeado de `event.FILE_PATH`. Aplicável quando `event_type` não é um dos `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` ou `SENSITIVE_PROCESS_ACCESS` e `detect` está vazio.
`event.FILE_PATH`	`target.process.file.full_path`	Renomeado de `event.FILE_PATH`. Aplicável quando `event_type` é um dos seguintes: `NEW_PROCESS`, `MODULE_LOAD`, `TERMINATE_PROCESS` ou `SENSITIVE_PROCESS_ACCESS`, e `detect` está vazio.
`event.HASH`	`target.file.sha256`	Renomeado de `event.HASH`. Aplicável quando `event_type` é `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE` ou `FILE_READ` e `detect` está vazio.
`event.HASH`	`principal.process.file.sha256`	Renomeado de `event.HASH`. Aplicável quando `event_type` não é um dos `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` ou `SENSITIVE_PROCESS_ACCESS` e `detect` está vazio.
`event.HASH`	`target.process.file.sha256`	Renomeado de `event.HASH`. Aplicável quando `event_type` é um dos seguintes: `NEW_PROCESS`, `MODULE_LOAD`, `TERMINATE_PROCESS` ou `SENSITIVE_PROCESS_ACCESS`, e `detect` está vazio.
`event.HASH_MD5`	`principal.process.file.md5`	Renomeado de `event.HASH_MD5`. Aplicável quando `event_type` não é um dos `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` ou `SENSITIVE_PROCESS_ACCESS` e `detect` está vazio.
`event.HASH_SHA1`	`principal.process.file.sha1`	Renomeado de `event.HASH_SHA1`. Aplicável quando `event_type` não é um dos `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` ou `SENSITIVE_PROCESS_ACCESS` e `detect` está vazio.
`event.IP_ADDRESS`	`network.dns.answers.0.data`	Renomeado como `a.data` e mesclado na matriz `network.dns.answers`. Aplicável quando `event_type` é `DNS_REQUEST` e `event.IP_ADDRESS` não está vazio.
`event.MESSAGE_ID`	`network.dns.id`	Renomeado de `event.MESSAGE_ID`. Aplicável quando `event_type` é `DNS_REQUEST`.
`event.NETWORK_ACTIVITY[].DESTINATION.IP_ADDRESS`	`target.ip`	Mesclado de `event.NETWORK_ACTIVITY[].DESTINATION.IP_ADDRESS`. Aplicável quando `event_type` é `NETWORK_CONNECTIONS`.
`event.NETWORK_ACTIVITY[].SOURCE.IP_ADDRESS`	`principal.ip`	Mesclado de `event.NETWORK_ACTIVITY[].SOURCE.IP_ADDRESS`. Aplicável quando `event_type` é `NETWORK_CONNECTIONS`.
`event.PARENT.COMMAND_LINE`	`principal.process.command_line`	Renomeado de `event.PARENT.COMMAND_LINE`. Aplicado quando `event_type` é um dos seguintes: `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` ou `SENSITIVE_PROCESS_ACCESS` e `detect` está vazio.
`event.PARENT.COMMAND_LINE`	`principal.process.parent_process.command_line`	Renomeado de `event.PARENT.COMMAND_LINE`. Aplicável quando `event_type` não é um dos `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` ou `SENSITIVE_PROCESS_ACCESS` e `detect` está vazio.
`event.PARENT.FILE_PATH`	`principal.process.file.full_path`	Renomeado de `event.PARENT.FILE_PATH`. Aplicado quando `event_type` é um dos seguintes: `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` ou `SENSITIVE_PROCESS_ACCESS` e `detect` está vazio.
`event.PARENT.FILE_PATH`	`principal.process.parent_process.file.full_path`	Renomeado de `event.PARENT.FILE_PATH`. Aplicável quando `event_type` não é um dos `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` ou `SENSITIVE_PROCESS_ACCESS` e `detect` está vazio.
`event.PARENT.HASH`	`principal.process.file.sha256`	Renomeado de `event.PARENT.HASH`. Aplicado quando `event_type` é um dos seguintes: `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` ou `SENSITIVE_PROCESS_ACCESS` e `detect` está vazio.
`event.PARENT.HASH`	`principal.process.parent_process.file.sha256`	Renomeado de `event.PARENT.HASH`. Aplicável quando `event_type` não é um dos `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` ou `SENSITIVE_PROCESS_ACCESS` e `detect` está vazio.
`event.PARENT_PROCESS_ID`	`principal.process.pid`	Renomeado de `event.PARENT_PROCESS_ID`. Aplicado quando `event_type` é um dos seguintes: `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` ou `SENSITIVE_PROCESS_ACCESS` e `detect` está vazio.
`event.PARENT_PROCESS_ID`	`principal.process.parent_process.pid`	Renomeado de `event.PARENT_PROCESS_ID`. Aplicável quando `event_type` não é um dos `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` ou `SENSITIVE_PROCESS_ACCESS` e `detect` está vazio.
`event.PROCESS_ID`	`target.process.pid`	Renomeado de `event.PROCESS_ID`. Aplicado quando `event_type` é um dos seguintes: `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` ou `SENSITIVE_PROCESS_ACCESS` e `detect` está vazio.
`event.PROCESS_ID`	`principal.process.pid`	Renomeado de `event.PROCESS_ID`. Aplicável quando `event_type` não é um dos `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` ou `SENSITIVE_PROCESS_ACCESS` e `detect` está vazio.
`event.REGISTRY_KEY`	`target.registry.registry_key`	Copiado de `event.REGISTRY_KEY`. Aplicável quando `event_type` é `REGISTRY_WRITE`.
`event.REGISTRY_VALUE`	`target.registry.registry_value_data`	Copiado de `event.REGISTRY_VALUE`. Aplicável quando `event_type` é `REGISTRY_WRITE`.
`event.SVC_DISPLAY_NAME`	`metadata.description`	Copiado de `event.SVC_DISPLAY_NAME`. Aplicável quando `event_type` é `SERVICE_CHANGE`.
`event.SVC_NAME`	`target.application`	Copiado de `event.SVC_NAME`. Aplicável quando `event_type` é `SERVICE_CHANGE`.
`event.USER_NAME`	`principal.user.userid`	Renomeado de `event.USER_NAME`. Aplicável quando `event_type` não é um dos `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` ou `SENSITIVE_PROCESS_ACCESS` e `detect` está vazio.
`routing.event_time`	`metadata.event_timestamp`	Analisado como um carimbo de data/hora de `routing.event_time` usando o formato UNIX_MS ou ISO8601.
`routing.event_type`	`metadata.product_event_type`	Copiado de `routing.event_type`.
`routing.ext_ip`	`principal.ip`	Copiado de `routing.ext_ip`. Aplicável quando `routing.ext_ip` não está vazio.
`routing.hostname`	`principal.hostname`	Copiado de `routing.hostname`. Aplicável quando `routing.hostname` não está vazio.
`routing.int_ip`	`principal.ip`	Copiado de `routing.int_ip`. Aplicável quando `routing.int_ip` não está vazio.
`routing.parent`	`target.process.product_specific_process_id`	Prefixo "LC:" de `routing.parent`. Aplicável quando `detect` não está vazio.
`routing.parent`	`principal.process.product_specific_process_id`	Prefixo "LC:" de `routing.parent`. Aplicado quando `event_type` não é um dos seguintes: `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` ou `SENSITIVE_PROCESS_ACCESS`, e `routing.this` está vazio e `routing.parent` não está vazio.
`routing.this`	`principal.process.product_specific_process_id`	Prefixo "LC:" de `routing.this`. Aplicado quando `event_type` é um dos seguintes: `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` ou `SENSITIVE_PROCESS_ACCESS` e `detect` está vazio.
`routing.this`	`principal.process.product_specific_process_id`	Prefixo "LC:" de `routing.this`. Aplicado quando `event_type` não é um dos `NEW_PROCESS`, `NEW_DOCUMENT`, `FILE_MODIFIED`, `FILE_DELETE`, `FILE_CREATE`, `FILE_READ`, `MODULE_LOAD`, `TERMINATE_PROCESS` ou `SENSITIVE_PROCESS_ACCESS` e `routing.this` não está vazio. Defina como `true` quando `detect` não estiver vazio. Defina como `true` quando `detect` não estiver vazio e `detect_mtd.level` for um dos seguintes: `high`, `medium` ou `critical`. Defina um valor com base em `event_type`: `NETWORK_DNS` para `DNS_REQUEST`, `PROCESS_LAUNCH` para `NEW_PROCESS`, `PROCESS_UNCATEGORIZED` para `EXISTING_PROCESS`, `NETWORK_CONNECTION` para `CONNECTED` ou `NETWORK_CONNECTIONS`, `REGISTRY_MODIFICATION` para `REGISTRY_WRITE`, `SERVICE_MODIFICATION` para `SERVICE_CHANGE`, `FILE_UNCATEGORIZED` para `NEW_DOCUMENT`, `FILE_READ` para `FILE_READ`, `FILE_DELETION` para `FILE_DELETE`, `FILE_CREATION` para `FILE_CREATE`, `FILE_MODIFICATION` para `FILE_MODIFIED`, `PROCESS_MODULE_LOAD` para `MODULE_LOAD`, `PROCESS_TERMINATION` para `TERMINATE_PROCESS`, `STATUS_UNCATEGORIZED` para `CLOUD_NOTIFICATION` ou `RECEIPT`, `PROCESS_UNCATEGORIZED` para `REMOTE_PROCESS_HANDLE` ou `NEW_REMOTE_THREAD` ou `GENERIC_EVENT` caso contrário. Defina como "LimaCharlie EDR". Defina como "LimaCharlie". Defina como "DNS" quando `event_type` for `DNS_REQUEST`. Definido como "ERROR" quando `event.ERROR` não está vazio. Copiado de `event.HOST_NAME`. Aplicável quando `event_type` é `CONNECTED`.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.