收集 LimaCharlie EDR 日志

支持的语言:

本文档介绍了如何使用 Google Cloud 存储将 LimaCharlie EDR 日志注入到 Google Security Operations。解析器从 JSON 格式的日志中提取事件,将字段标准化为 UDM,并处理顶级事件和嵌套事件。它专门解析各种事件类型,包括 DNS 请求、进程创建、文件修改、网络连接和注册表更改,将相关字段映射到其统一数据模型 (UDM) 等效项,并使用 LimaCharlie 特定上下文丰富数据。

准备工作

请确保满足以下前提条件:

  • Google SecOps 实例
  • 对 Google Cloud的特权访问权限
  • 对 LimaCharlie 的特权访问权限

创建 Google Cloud 存储分区

  1. 登录 Google Cloud 控制台。

  2. 前往 Cloud Storage 存储分区页面。

    进入“存储桶”

  3. 点击创建

  4. 创建存储桶页面上,输入您的存储桶信息。完成以下每一步后,点击继续以继续执行后续步骤:

    1. 开始使用部分中,执行以下操作:

      • 输入符合存储桶名称要求的唯一名称(例如 cloudrun-logs)。
      • 如需启用分层命名空间,请点击展开箭头以展开优化文件导向型和数据密集型工作负载部分,然后选择在此存储桶上启用分层命名空间
      • 如需添加存储桶标签,请点击展开箭头以展开标签部分。
      • 点击添加标签,然后为标签指定键和值。

    2. 选择数据存储位置部分中,执行以下操作:

      • 选择位置类型
      • 使用位置类型的菜单选择一个位置,用于永久存储存储桶中的对象数据。
      • 如需设置跨存储桶复制,请展开设置跨存储桶复制部分。

    3. 为数据选择一个存储类别部分中,为存储桶选择默认存储类别,或者选择 Autoclass 对存储桶数据进行自动存储类别管理。

    4. 选择如何控制对对象的访问权限部分中,选择强制执行禁止公开访问,然后为存储桶对象选择访问权限控制模型

    1. 选择如何保护对象数据部分中,执行以下操作:
      • 数据保护下,选择您要为存储桶设置的任何选项。
      • 如需选择对象数据的加密方式,请点击数据加密展开箭头,然后选择数据加密方法

  5. 点击创建

在 LimaCharlie EDR 中配置日志导出

  1. 登录 LimaCharlie 门户。
  2. 从左侧菜单中选择 Outputs
  3. 点击添加输出
  4. 选择输出数据流:选择事件
  5. 选择输出目的地:选择 Google Cloud Storage
  6. 提供以下配置详细信息:
    • 存储分区:Google Cloud Storage 存储桶的路径。
    • 密钥:用于标识服务账号的密钥 JSON。
    • 每个文件的秒数:文件被剪切并上传的秒数。
    • 压缩:设置为 False
    • 编制索引:设置为 False
    • Dir:远程主机上用于输出文件目录的前缀。
  7. 点击保存输出

设置 Feed

您可以通过两种不同的入口点在 Google SecOps 平台中设置 Feed:

  • SIEM 设置 > Feed
  • 内容中心 > 内容包

通过“SIEM 设置”>“Feed”设置 Feed

如需配置 Feed,请按以下步骤操作:

  1. 依次前往 SIEM 设置 > Feed
  2. 点击添加新 Feed
  3. 在下一页上,点击配置单个 Feed
  4. Feed name 字段中,输入 Feed 的名称(例如 Limacharlie EDR Logs)。
  5. 选择 Google Cloud Storage 作为来源类型
  6. 选择 LimaCharlie 作为日志类型
  7. 点击获取服务账号作为 Chronicle 服务账号
  8. 点击下一步

  9. 为以下输入参数指定值:

    • 存储分区 URI:Google Cloud Storage 存储桶网址,采用 gs://my-bucket/<value> 格式。
    • URI Is A:选择目录(包括子目录)
    • 来源删除选项:根据您的偏好设置选择删除选项。
    • 资源命名空间资源命名空间
    • 注入标签:应用于此 Feed 中事件的标签。

  10. 点击下一步

  11. 最终确定界面中查看新的 Feed 配置,然后点击提交

设置来自内容中心的 Feed

为以下字段指定值:

  • 存储分区 URI:Google Cloud Storage 存储桶网址,采用 gs://my-bucket/<value> 格式。
  • URI Is A:选择目录(包括子目录)
  • 来源删除选项:根据您的偏好设置选择删除选项。

高级选项

  • Feed 名称:用于标识 Feed 的预填充值。
  • 来源类型:用于将日志收集到 Google SecOps 中的方法。
  • 资源命名空间:与 Feed 关联的命名空间。
  • 提取标签:应用于相应 Feed 中所有事件的标签。

UDM 映射表

日志字段 UDM 映射 逻辑
cat security_result.summary 已从 cat 重命名。当 detect 不为空时适用。
detect.event.COMMAND_LINE principal.process.command_line 已从 detect.event.COMMAND_LINE 重命名。当 event_typeNEW_PROCESSNEW_DOCUMENTFILE_MODIFIEDFILE_DELETEFILE_CREATEFILE_READMODULE_LOADTERMINATE_PROCESSSENSITIVE_PROCESS_ACCESS 之一且 detect 不为空时适用。
detect.event.COMMAND_LINE principal.process.command_line 已从 detect.event.COMMAND_LINE 重命名。当 event_type 不是 NEW_PROCESSNEW_DOCUMENTFILE_MODIFIEDFILE_DELETEFILE_CREATEFILE_READMODULE_LOADTERMINATE_PROCESSSENSITIVE_PROCESS_ACCESS 之一,且 detect 不为空时适用。
detect.event.FILE_PATH principal.process.file.full_path 已从 detect.event.FILE_PATH 重命名。当 event_typeNEW_PROCESSNEW_DOCUMENTFILE_MODIFIEDFILE_DELETEFILE_CREATEFILE_READMODULE_LOADTERMINATE_PROCESSSENSITIVE_PROCESS_ACCESS 之一且 detect 不为空时适用。
detect.event.FILE_PATH principal.process.file.full_path 已从 detect.event.FILE_PATH 重命名。当 event_type 不是 NEW_PROCESSNEW_DOCUMENTFILE_MODIFIEDFILE_DELETEFILE_CREATEFILE_READMODULE_LOADTERMINATE_PROCESSSENSITIVE_PROCESS_ACCESS 之一,且 detect 不为空时适用。
detect.event.HASH principal.process.file.sha256 已从 detect.event.HASH 重命名。当 event_typeNEW_PROCESSNEW_DOCUMENTFILE_MODIFIEDFILE_DELETEFILE_CREATEFILE_READMODULE_LOADTERMINATE_PROCESSSENSITIVE_PROCESS_ACCESS 之一且 detect 不为空时适用。
detect.event.HASH principal.process.file.sha256 已从 detect.event.HASH 重命名。当 event_type 不是 NEW_PROCESSNEW_DOCUMENTFILE_MODIFIEDFILE_DELETEFILE_CREATEFILE_READMODULE_LOADTERMINATE_PROCESSSENSITIVE_PROCESS_ACCESS 之一,且 detect 不为空时适用。
detect.event.HASH_MD5 principal.process.file.md5 已从 detect.event.HASH_MD5 重命名。当 event_type 不是 NEW_PROCESSNEW_DOCUMENTFILE_MODIFIEDFILE_DELETEFILE_CREATEFILE_READMODULE_LOADTERMINATE_PROCESSSENSITIVE_PROCESS_ACCESS 之一,且 detect 不为空时适用。
detect.event.HASH_SHA1 principal.process.file.sha1 已从 detect.event.HASH_SHA1 重命名。当 event_type 不是 NEW_PROCESSNEW_DOCUMENTFILE_MODIFIEDFILE_DELETEFILE_CREATEFILE_READMODULE_LOADTERMINATE_PROCESSSENSITIVE_PROCESS_ACCESS 之一,且 detect 不为空时适用。
detect.event.PARENT.COMMAND_LINE principal.process.command_line 已从 detect.event.PARENT.COMMAND_LINE 重命名。当 event_typeNEW_PROCESSNEW_DOCUMENTFILE_MODIFIEDFILE_DELETEFILE_CREATEFILE_READMODULE_LOADTERMINATE_PROCESSSENSITIVE_PROCESS_ACCESS 之一且 detect 不为空时适用。
detect.event.PARENT.COMMAND_LINE principal.process.parent_process.command_line 已从 detect.event.PARENT.COMMAND_LINE 重命名。当 event_type 不是 NEW_PROCESSNEW_DOCUMENTFILE_MODIFIEDFILE_DELETEFILE_CREATEFILE_READMODULE_LOADTERMINATE_PROCESSSENSITIVE_PROCESS_ACCESS 之一,且 detect 不为空时适用。
detect.event.PARENT.FILE_PATH principal.process.file.full_path 已从 detect.event.PARENT.FILE_PATH 重命名。当 event_typeNEW_PROCESSNEW_DOCUMENTFILE_MODIFIEDFILE_DELETEFILE_CREATEFILE_READMODULE_LOADTERMINATE_PROCESSSENSITIVE_PROCESS_ACCESS 之一且 detect 不为空时适用。
detect.event.PARENT.FILE_PATH principal.process.parent_process.file.full_path 已从 detect.event.PARENT.FILE_PATH 重命名。当 event_type 不是 NEW_PROCESSNEW_DOCUMENTFILE_MODIFIEDFILE_DELETEFILE_CREATEFILE_READMODULE_LOADTERMINATE_PROCESSSENSITIVE_PROCESS_ACCESS 之一,且 detect 不为空时适用。
detect.event.PARENT.HASH principal.process.file.sha256 已从 detect.event.PARENT.HASH 重命名。当 event_typeNEW_PROCESSNEW_DOCUMENTFILE_MODIFIEDFILE_DELETEFILE_CREATEFILE_READMODULE_LOADTERMINATE_PROCESSSENSITIVE_PROCESS_ACCESS 之一且 detect 不为空时适用。
detect.event.PARENT.HASH principal.process.parent_process.file.sha256 已从 detect.event.PARENT.HASH 重命名。当 event_type 不是 NEW_PROCESSNEW_DOCUMENTFILE_MODIFIEDFILE_DELETEFILE_CREATEFILE_READMODULE_LOADTERMINATE_PROCESSSENSITIVE_PROCESS_ACCESS 之一,且 detect 不为空时适用。
detect.event.PARENT_PROCESS_ID principal.process.pid 已从 detect.event.PARENT_PROCESS_ID 重命名。当 event_typeNEW_PROCESSNEW_DOCUMENTFILE_MODIFIEDFILE_DELETEFILE_CREATEFILE_READMODULE_LOADTERMINATE_PROCESSSENSITIVE_PROCESS_ACCESS 之一且 detect 不为空时适用。
detect.event.PARENT_PROCESS_ID principal.process.parent_process.pid 已从 detect.event.PARENT_PROCESS_ID 重命名。当 event_type 不是 NEW_PROCESSNEW_DOCUMENTFILE_MODIFIEDFILE_DELETEFILE_CREATEFILE_READMODULE_LOADTERMINATE_PROCESSSENSITIVE_PROCESS_ACCESS 之一,且 detect 不为空时适用。
detect.event.PROCESS_ID target.process.pid 已从 detect.event.PROCESS_ID 重命名。当 event_typeNEW_PROCESSNEW_DOCUMENTFILE_MODIFIEDFILE_DELETEFILE_CREATEFILE_READMODULE_LOADTERMINATE_PROCESSSENSITIVE_PROCESS_ACCESS 之一且 detect 不为空时适用。
detect.event.PROCESS_ID principal.process.pid 已从 detect.event.PROCESS_ID 重命名。当 event_type 不是 NEW_PROCESSNEW_DOCUMENTFILE_MODIFIEDFILE_DELETEFILE_CREATEFILE_READMODULE_LOADTERMINATE_PROCESSSENSITIVE_PROCESS_ACCESS 之一,且 detect 不为空时适用。
detect.event.USER_NAME principal.user.userid 已从 detect.event.USER_NAME 重命名。当 event_type 不是 NEW_PROCESSNEW_DOCUMENTFILE_MODIFIEDFILE_DELETEFILE_CREATEFILE_READMODULE_LOADTERMINATE_PROCESSSENSITIVE_PROCESS_ACCESS 之一,且 detect 不为空时适用。
detect_mtd.description security_result.description 已从 detect_mtd.description 重命名。当 detect 不为空时适用。
detect_mtd.level security_result.severity detect_mtd.level 复制并转换为大写。当 detect 不为空时适用。
event.COMMAND_LINE principal.process.command_line 已从 event.COMMAND_LINE 重命名。当 event_typeNEW_PROCESSNEW_DOCUMENTFILE_MODIFIEDFILE_DELETEFILE_CREATEFILE_READMODULE_LOADTERMINATE_PROCESSSENSITIVE_PROCESS_ACCESS 之一且 detect 为空时适用。
event.COMMAND_LINE principal.process.command_line 已从 event.COMMAND_LINE 重命名。当 event_type 不是 NEW_PROCESSNEW_DOCUMENTFILE_MODIFIEDFILE_DELETEFILE_CREATEFILE_READMODULE_LOADTERMINATE_PROCESSSENSITIVE_PROCESS_ACCESS 之一且 detect 为空时适用。
event.DLL target.file.full_path event.DLL 复制的联系人。当 event_typeSERVICE_CHANGE 时适用。
event.DOMAIN_NAME network.dns.questions.0.namenetwork.dns.answers.0.name 重命名为 a.name,然后复制到 q.name,再合并到 network.dns.questionsnetwork.dns.answers 数组中。当 event_typeDNS_REQUEST 时适用。
event.DNS_TYPE network.dns.answers.0.type 重命名为 a.type,然后合并到 network.dns.answers 数组中。当 event_typeDNS_REQUEST 时适用。
event.ERROR security_result.severity_details event.ERROR 复制的联系人。当 event.ERROR 不为空时适用。
event.EXECUTABLE target.process.command_line event.EXECUTABLE 复制的联系人。当 event_typeSERVICE_CHANGE 时适用。
event.FILE_PATH target.file.full_path 已从 event.FILE_PATH 重命名。当 event_typeNEW_DOCUMENTFILE_MODIFIEDFILE_DELETEFILE_CREATEFILE_READ 中的一个且 detect 为空时,适用此字段。
event.FILE_PATH principal.process.file.full_path 已从 event.FILE_PATH 重命名。当 event_type 不是 NEW_PROCESSNEW_DOCUMENTFILE_MODIFIEDFILE_DELETEFILE_CREATEFILE_READMODULE_LOADTERMINATE_PROCESSSENSITIVE_PROCESS_ACCESS 之一且 detect 为空时适用。
event.FILE_PATH target.process.file.full_path 已从 event.FILE_PATH 重命名。当 event_typeNEW_PROCESSMODULE_LOADTERMINATE_PROCESSSENSITIVE_PROCESS_ACCESS 之一且 detect 为空时,适用此字段。
event.HASH target.file.sha256 已从 event.HASH 重命名。当 event_typeNEW_DOCUMENTFILE_MODIFIEDFILE_DELETEFILE_CREATEFILE_READ 中的一个且 detect 为空时,适用此字段。
event.HASH principal.process.file.sha256 已从 event.HASH 重命名。当 event_type 不是 NEW_PROCESSNEW_DOCUMENTFILE_MODIFIEDFILE_DELETEFILE_CREATEFILE_READMODULE_LOADTERMINATE_PROCESSSENSITIVE_PROCESS_ACCESS 之一且 detect 为空时适用。
event.HASH target.process.file.sha256 已从 event.HASH 重命名。当 event_typeNEW_PROCESSMODULE_LOADTERMINATE_PROCESSSENSITIVE_PROCESS_ACCESS 之一且 detect 为空时,适用此字段。
event.HASH_MD5 principal.process.file.md5 已从 event.HASH_MD5 重命名。当 event_type 不是 NEW_PROCESSNEW_DOCUMENTFILE_MODIFIEDFILE_DELETEFILE_CREATEFILE_READMODULE_LOADTERMINATE_PROCESSSENSITIVE_PROCESS_ACCESS 之一且 detect 为空时适用。
event.HASH_SHA1 principal.process.file.sha1 已从 event.HASH_SHA1 重命名。当 event_type 不是 NEW_PROCESSNEW_DOCUMENTFILE_MODIFIEDFILE_DELETEFILE_CREATEFILE_READMODULE_LOADTERMINATE_PROCESSSENSITIVE_PROCESS_ACCESS 之一且 detect 为空时适用。
event.IP_ADDRESS network.dns.answers.0.data 重命名为 a.data,然后合并到 network.dns.answers 数组中。当 event_typeDNS_REQUESTevent.IP_ADDRESS 不为空时适用。
event.MESSAGE_ID network.dns.id 已从 event.MESSAGE_ID 重命名。当 event_typeDNS_REQUEST 时适用。
event.NETWORK_ACTIVITY[].DESTINATION.IP_ADDRESS target.ip event.NETWORK_ACTIVITY[].DESTINATION.IP_ADDRESS 合并。当 event_typeNETWORK_CONNECTIONS 时适用。
event.NETWORK_ACTIVITY[].SOURCE.IP_ADDRESS principal.ip event.NETWORK_ACTIVITY[].SOURCE.IP_ADDRESS 合并。当 event_typeNETWORK_CONNECTIONS 时适用。
event.PARENT.COMMAND_LINE principal.process.command_line 已从 event.PARENT.COMMAND_LINE 重命名。当 event_typeNEW_PROCESSNEW_DOCUMENTFILE_MODIFIEDFILE_DELETEFILE_CREATEFILE_READMODULE_LOADTERMINATE_PROCESSSENSITIVE_PROCESS_ACCESS 之一且 detect 为空时适用。
event.PARENT.COMMAND_LINE principal.process.parent_process.command_line 已从 event.PARENT.COMMAND_LINE 重命名。当 event_type 不是 NEW_PROCESSNEW_DOCUMENTFILE_MODIFIEDFILE_DELETEFILE_CREATEFILE_READMODULE_LOADTERMINATE_PROCESSSENSITIVE_PROCESS_ACCESS 之一且 detect 为空时适用。
event.PARENT.FILE_PATH principal.process.file.full_path 已从 event.PARENT.FILE_PATH 重命名。当 event_typeNEW_PROCESSNEW_DOCUMENTFILE_MODIFIEDFILE_DELETEFILE_CREATEFILE_READMODULE_LOADTERMINATE_PROCESSSENSITIVE_PROCESS_ACCESS 之一且 detect 为空时适用。
event.PARENT.FILE_PATH principal.process.parent_process.file.full_path 已从 event.PARENT.FILE_PATH 重命名。当 event_type 不是 NEW_PROCESSNEW_DOCUMENTFILE_MODIFIEDFILE_DELETEFILE_CREATEFILE_READMODULE_LOADTERMINATE_PROCESSSENSITIVE_PROCESS_ACCESS 之一且 detect 为空时适用。
event.PARENT.HASH principal.process.file.sha256 已从 event.PARENT.HASH 重命名。当 event_typeNEW_PROCESSNEW_DOCUMENTFILE_MODIFIEDFILE_DELETEFILE_CREATEFILE_READMODULE_LOADTERMINATE_PROCESSSENSITIVE_PROCESS_ACCESS 之一且 detect 为空时适用。
event.PARENT.HASH principal.process.parent_process.file.sha256 已从 event.PARENT.HASH 重命名。当 event_type 不是 NEW_PROCESSNEW_DOCUMENTFILE_MODIFIEDFILE_DELETEFILE_CREATEFILE_READMODULE_LOADTERMINATE_PROCESSSENSITIVE_PROCESS_ACCESS 之一且 detect 为空时适用。
event.PARENT_PROCESS_ID principal.process.pid 已从 event.PARENT_PROCESS_ID 重命名。当 event_typeNEW_PROCESSNEW_DOCUMENTFILE_MODIFIEDFILE_DELETEFILE_CREATEFILE_READMODULE_LOADTERMINATE_PROCESSSENSITIVE_PROCESS_ACCESS 之一且 detect 为空时适用。
event.PARENT_PROCESS_ID principal.process.parent_process.pid 已从 event.PARENT_PROCESS_ID 重命名。当 event_type 不是 NEW_PROCESSNEW_DOCUMENTFILE_MODIFIEDFILE_DELETEFILE_CREATEFILE_READMODULE_LOADTERMINATE_PROCESSSENSITIVE_PROCESS_ACCESS 之一且 detect 为空时适用。
event.PROCESS_ID target.process.pid 已从 event.PROCESS_ID 重命名。当 event_typeNEW_PROCESSNEW_DOCUMENTFILE_MODIFIEDFILE_DELETEFILE_CREATEFILE_READMODULE_LOADTERMINATE_PROCESSSENSITIVE_PROCESS_ACCESS 之一且 detect 为空时适用。
event.PROCESS_ID principal.process.pid 已从 event.PROCESS_ID 重命名。当 event_type 不是 NEW_PROCESSNEW_DOCUMENTFILE_MODIFIEDFILE_DELETEFILE_CREATEFILE_READMODULE_LOADTERMINATE_PROCESSSENSITIVE_PROCESS_ACCESS 之一且 detect 为空时适用。
event.REGISTRY_KEY target.registry.registry_key event.REGISTRY_KEY 复制的联系人。当 event_typeREGISTRY_WRITE 时适用。
event.REGISTRY_VALUE target.registry.registry_value_data event.REGISTRY_VALUE 复制的联系人。当 event_typeREGISTRY_WRITE 时适用。
event.SVC_DISPLAY_NAME metadata.description event.SVC_DISPLAY_NAME 复制的联系人。当 event_typeSERVICE_CHANGE 时适用。
event.SVC_NAME target.application event.SVC_NAME 复制的联系人。当 event_typeSERVICE_CHANGE 时适用。
event.USER_NAME principal.user.userid 已从 event.USER_NAME 重命名。当 event_type 不是 NEW_PROCESSNEW_DOCUMENTFILE_MODIFIEDFILE_DELETEFILE_CREATEFILE_READMODULE_LOADTERMINATE_PROCESSSENSITIVE_PROCESS_ACCESS 之一且 detect 为空时适用。
routing.event_time metadata.event_timestamp routing.event_time 解析为时间戳,使用 UNIX_MS 或 ISO8601 格式。
routing.event_type metadata.product_event_type routing.event_type 复制的联系人。
routing.ext_ip principal.ip routing.ext_ip 复制的联系人。当 routing.ext_ip 不为空时适用。
routing.hostname principal.hostname routing.hostname 复制的联系人。当 routing.hostname 不为空时适用。
routing.int_ip principal.ip routing.int_ip 复制的联系人。当 routing.int_ip 不为空时适用。
routing.parent target.process.product_specific_process_id routing.parent 开始,以“LC:”开头。当 detect 不为空时适用。
routing.parent principal.process.product_specific_process_id routing.parent 开始,以“LC:”开头。当 event_type 不是 NEW_PROCESSNEW_DOCUMENTFILE_MODIFIEDFILE_DELETEFILE_CREATEFILE_READMODULE_LOADTERMINATE_PROCESSSENSITIVE_PROCESS_ACCESS 之一,且 routing.this 为空而 routing.parent 不为空时适用。
routing.this principal.process.product_specific_process_id routing.this 开始,以“LC:”开头。当 event_typeNEW_PROCESSNEW_DOCUMENTFILE_MODIFIEDFILE_DELETEFILE_CREATEFILE_READMODULE_LOADTERMINATE_PROCESSSENSITIVE_PROCESS_ACCESS 之一且 detect 为空时适用。
routing.this principal.process.product_specific_process_id routing.this 开始,以“LC:”开头。当 event_type 不是 NEW_PROCESSNEW_DOCUMENTFILE_MODIFIEDFILE_DELETEFILE_CREATEFILE_READMODULE_LOADTERMINATE_PROCESSSENSITIVE_PROCESS_ACCESS 之一,且 routing.this 不为空时适用。如果 detect 不为空,则设置为 true。当 detect 不为空且 detect_mtd.levelhighmediumcritical 时,设置为 true。根据 event_type 设置为相应的值:DNS_REQUESTNETWORK_DNSNEW_PROCESSPROCESS_LAUNCHEXISTING_PROCESSPROCESS_UNCATEGORIZEDCONNECTEDNETWORK_CONNECTIONSNETWORK_CONNECTIONREGISTRY_WRITEREGISTRY_MODIFICATIONSERVICE_CHANGESERVICE_MODIFICATIONNEW_DOCUMENTFILE_UNCATEGORIZEDFILE_READFILE_READFILE_DELETEFILE_DELETIONFILE_CREATEFILE_CREATIONFILE_MODIFIEDFILE_MODIFICATIONMODULE_LOADPROCESS_MODULE_LOADTERMINATE_PROCESSPROCESS_TERMINATIONCLOUD_NOTIFICATIONRECEIPTSTATUS_UNCATEGORIZEDREMOTE_PROCESS_HANDLENEW_REMOTE_THREADPROCESS_UNCATEGORIZED,否则为 GENERIC_EVENT。设置为“LimaCharlie EDR”。设置为“LimaCharlie”。当 event_typeDNS_REQUEST 时,设置为“DNS”。如果 event.ERROR 不为空,则设置为“ERROR”。从 event.HOST_NAME 复制的联系人。当 event_typeCONNECTED 时适用。

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。