Raccogliere i log EDR di CrowdStrike

Supportato in:

Questo documento descrive come esportare i log di CrowdStrike EDR in Google Security Operations tramite il feed di Google Security Operations e come i campi di CrowdStrike EDR vengono mappati ai campi del modello di dati unificato (UDM) di Google Security Operations.

Per ulteriori informazioni, consulta la Panoramica dell'importazione dei dati in Google Security Operations.

Un deployment tipico consiste in CrowdStrike abilitato per l'importazione in Google Security Operations. Ogni implementazione del cliente può essere diversa e più complessa.

Il deployment contiene i seguenti componenti:

  • CrowdStrike Falcon Intelligence: il prodotto CrowdStrike da cui raccogliete i log.

  • Google Security Operations: conserva e analizza i log EDR di CrowdStrike.

Un'etichetta di importazione identifica l'analizzatore sintattico che normalizza i dati dei log non elaborati in formato UDM strutturato. Le informazioni contenute in questo documento si applicano al parser con l'etichetta di importazione CS_EDR.

Prima di iniziare

  • Assicurati di disporre dei diritti di amministratore sull'istanza CrowdStrike per installare il sensore host CrowdStrike Falcon.

  • Assicurati che il dispositivo sia in esecuzione su un sistema operativo supportato.

    • Il sistema operativo deve essere in esecuzione su un server a 64 bit. Microsoft Windows Server 2008 R2 SP1 è supportato per le versioni 6.51 o successive del sensore Crowdstrike Falcon Host.
    • I sistemi con versioni precedenti del sistema operativo (ad esempio Windows 7 SP1) richiedono la presenza sul dispositivo del supporto per la firma del codice SHA-2.

  • Ottieni il file dell'account di servizio Google Security Operations e il tuo ID cliente dal team di assistenza di Google Security Operations.

  • Assicurati che tutti i sistemi nell'architettura di deployment siano configurati nel fuso orario UTC.

Configurare un feed di Falcon Data Replicator

Per configurare un feed di Falcon Data Replicator:

  1. Fai clic sul pulsante AGGIUNGI per creare un nuovo feed di Falcon Data Replicator. Verranno generati identificatore S3, URL di SQS e segreto cliente.
  2. Utilizza i valori Feed, Identificatore S3, URL SQS e Secret client generati per configurare il feed in Google Security Operations.

Configura un feed in Google Security Operations per importare i log EDR di CrowdStrike

Puoi utilizzare SQS o un bucket S3 per configurare il feed di importazione in Google Security Operations. È preferibile utilizzare SQS, ma è supportato anche S3.

Per configurare un feed di importazione utilizzando il bucket S3:

  1. Seleziona Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo.
  3. Inserisci un nome univoco per il nome del feed.
  4. In Tipo di origine, seleziona Amazon S3.
  5. In Tipo di log, seleziona CrowdStrike Falcon.
  6. Fai clic su Avanti.
  7. In base all'account di servizio e alla configurazione del bucket Amazon S3 che hai creato, specifica i valori per i seguenti campi:
    Campo Descrizione
    regione La regione S3 associata all'URI.
    URI S3 L'URI di origine del bucket S3.
    uri è un Il tipo di oggetto a cui fa riferimento l'URI.
    opzione di eliminazione dell'origine Indica se eliminare file e/o directory dopo il trasferimento.
    ID chiave di accesso Una chiave di accesso all'account che è una stringa alfanumerica di 20 caratteri, ad esempio AKIAOSFOODNN7EXAMPLE.
    chiave di accesso segreta Una chiave di accesso all'account che è una stringa alfanumerica di 40 caratteri, ad esempio wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY.
    oauth client id Un identificatore OAuth pubblico e specifico per il client.
    client secret OAuth Client secret OAuth 2.0.
    oauth secret refresh uri URI di aggiornamento del client secret OAuth 2.0.
    spazio dei nomi asset Lo spazio dei nomi a cui verrà associato il feed.
  8. Fai clic su Avanti e poi su Invia.

Per configurare un feed di importazione utilizzando SQS:

  1. Seleziona Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo.
  3. Inserisci un nome univoco per il nome del feed.
  4. In Tipo di origine, seleziona Amazon SQS.
  5. In Tipo di log, seleziona CrowdStrike Falcon.
  6. Fai clic su Avanti.
  7. In base all'account di servizio e alla configurazione di Amazon SQS che hai creato, specifica i valori per i seguenti campi:
    Campo Descrizione
    regione La regione S3 associata all'URI.
    NOME CODA Il nome della coda SQS da cui leggere.
    NUMERO DI CONTO Il numero dell'account SQS.
    opzione di eliminazione dell'origine Indica se eliminare file e/o directory dopo il trasferimento.
    QUEUE ACCESS KEY ID Una chiave di accesso all'account che è una stringa alfanumerica di 20 caratteri, ad esempio AKIAOSFOODNN7EXAMPLE.
    QUEUE SECRET ACCESS KEY Una chiave di accesso all'account che è una stringa alfanumerica di 40 caratteri, ad esempio wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY.
    spazio dei nomi asset Lo spazio dei nomi a cui verrà associato il feed.
  8. Fai clic su Avanti e poi su Invia. Nota: in caso di problemi durante la configurazione dei feed e l'invio dei dati di monitoraggio di EDR di Crowdstrike a Google Security Operations, puoi contattare il team di assistenza di Google Security Operations.

Riferimento alla mappatura dei campi

Questo parser elabora i log JSON della piattaforma CrowdStrike Falcon, normalizzandoli in UDM. Estrae i campi, gestisce vari formati di timestamp, mappa i tipi di eventi ai tipi di eventi UDM e arricchisce i dati con informazioni di MITRE ATT&CK e contesto aggiuntivo. Il parser gestisce anche tipi di eventi e logiche specifici per gli accessi utente, le connessioni di rete e le operazioni sui file, garantendo una copertura completa dell'UDM.

Tabella di mappatura UDM

Campo log Mappatura UDM Logic
AccountCreationTimeStamp event.idm.read_only_udm.metadata.event_timestamp Il campo del log non elaborato AccountCreationTimeStamp viene convertito in un timestamp UDM e mappato a event_timestamp.
AccountDomain event.idm.read_only_udm.principal.administrative_domain Mappatura diretta.
AccountObjectGuid event.idm.read_only_udm.metadata.product_log_id Mappatura diretta.
AccountObjectSid event.idm.read_only_udm.principal.user.windows_sid Mappatura diretta.
ActiveDirectoryAuthenticationMethod event.idm.read_only_udm.extensions.auth.mechanism Se ActiveDirectoryAuthenticationMethod è 0, il meccanismo è KERBEROS. In caso contrario, il meccanismo è AUTHTYPE_UNSPECIFIED.
ActivityId event.idm.read_only_udm.additional.fields[ActivityId] Aggiunto come coppia chiave-valore all'array additional_fields.
AggregationActivityCount event.idm.read_only_udm.additional.fields[AggregationActivityCount] Aggiunto come coppia chiave-valore all'array additional_fields.
AgentIdString event.idm.read_only_udm.principal.asset_id Deve essere preceduto dal prefisso "CS:".
AgentOnlineMacV13 event.idm.read_only_udm.metadata.description Mappatura diretta.
AgentVersion event.idm.read_only_udm.principal.asset.attribute.labels[AgentVersion] Aggiunto come coppia chiave-valore all'array labels.
aid event.idm.read_only_udm.principal.asset_id Deve essere preceduto dal prefisso "CS:".
aip event.idm.read_only_udm.principal.nat_ip, intermediary.ip Se _aid_is_target è false, esegui la mappatura a principal.nat_ip e intermediary.ip. Se _aid_is_target è true e LogonType è 3, mappa a target.nat_ip e intermediary.ip.
aipCount event.idm.read_only_udm.additional.fields[aipCount] Aggiunto come coppia chiave-valore all'array additional_fields.
AppName event.idm.read_only_udm.principal.asset.software.name Mappatura diretta.
ApplicationName event.idm.read_only_udm.target.application Mappatura diretta.
AppVersion event.idm.read_only_udm.principal.asset.software.version Mappatura diretta.
AsepFileChangeMacV2 event.idm.read_only_udm.metadata.description Mappatura diretta.
AsepKeyUpdateV6 event.idm.read_only_udm.metadata.description Mappatura diretta.
AsepValueUpdateV7 event.idm.read_only_udm.metadata.description Mappatura diretta.
AssociateIndicatorV5 event.idm.read_only_udm.metadata.description Mappatura diretta.
AssociateTreeIdWithRootV6 event.idm.read_only_udm.metadata.description Mappatura diretta.
AssemblyName event.idm.read_only_udm.target.resource.attribute.labels[AssemblyName] Aggiunto come coppia chiave-valore all'array labels.
AuthenticationId event.idm.read_only_udm.principal.user.product_object_id, event.idm.read_only_udm.target.user.product_object_id Se _aid_is_target è false, esegui la mappatura a principal.user.product_object_id. Se _aid_is_target è vero e LogonType è 3, mappa a target.user.product_object_id.
AuthenticationPackage event.idm.read_only_udm.target.resource.name Mappatura diretta.
AuthenticodeHashData event.idm.read_only_udm.target.file.authentihash Mappatura diretta.
AuthenticodeMatch event.idm.read_only_udm.security_result.detection_fields[AuthenticodeMatch] Aggiunto come coppia chiave-valore all'array detection_fields.
AuthorityKeyIdentifier event.idm.read_only_udm.security_result.about.artifact.last_https_certificate.extension.authority_key_id.keyid, event.idm.read_only_udm.security_result.about.artifact.last_https_certificate.cert_extensions.fields[authority_key_id.keyid] Aggiunto come coppia chiave-valore all'array cert_extensions.fields.
BatchTimestamp event.idm.read_only_udm.metadata.event_timestamp Il campo del log non elaborato BatchTimestamp viene convertito in un timestamp UDM e mappato a event_timestamp.
badResources event.idm.read_only_udm.additional.fields[badResource_n] Per ogni elemento dell'array badResources, all'array additional_fields viene aggiunta una coppia chiave-valore con la chiave badResource_n, dove n è l'indice dell'elemento.
benchmarks event.idm.read_only_udm.additional.fields[benchmark_n] Per ogni elemento dell'array benchmarks, all'array additional_fields viene aggiunta una coppia chiave-valore con la chiave benchmark_n, dove n è l'indice dell'elemento.
BehaviorWhitelistedV3 event.idm.read_only_udm.metadata.description Mappatura diretta.
BillingInfoV2 event.idm.read_only_udm.metadata.description Mappatura diretta.
BiosVersion event.idm.read_only_udm.principal.asset.attribute.labels[BiosVersion] Aggiunto come coppia chiave-valore all'array labels.
BITSJobCreatedV2 event.idm.read_only_udm.metadata.description Mappatura diretta.
BrowserInjectedThreadV5 event.idm.read_only_udm.metadata.description Mappatura diretta.
CallStackModuleNames event.idm.read_only_udm.security_result.detection_fields[CallStackModuleNames] Aggiunto come coppia chiave-valore all'array detection_fields.
CallStackModuleNamesVersion event.idm.read_only_udm.security_result.detection_fields[CallStackModuleNamesVersion] Aggiunto come coppia chiave-valore all'array detection_fields.
category event.idm.read_only_udm.security_result.category_details Mappatura diretta.
ChannelVersionRequiredV1 event.idm.read_only_udm.metadata.description Mappatura diretta.
ChassisType event.idm.read_only_udm.principal.asset.attribute.labels[ChassisType] Aggiunto come coppia chiave-valore all'array labels.
cid event.idm.read_only_udm.metadata.product_deployment_id Mappatura diretta.
City event.idm.read_only_udm.principal.location.city Mappatura diretta.
ClassifiedModuleLoadV1 event.idm.read_only_udm.metadata.description Mappatura diretta.
CloudAssociateTreeIdWithRootV3 event.idm.read_only_udm.metadata.description Mappatura diretta.
CommandLine event.idm.read_only_udm.principal.process.command_line, event.idm.read_only_udm.target.process.command_line, event.idm.read_only_udm.principal.process.parent_process.parent_process.command_line Se event_simpleName è ProcessRollup2 o SyntheticProcessRollup2, mappa a target.process.command_line. Se event_simpleName è CreateService, mappa a principal.process.command_line. Se event_simpleName è FalconHostFileTamperingInfo, mappa a principal.process.command_line. Se event_simpleName è HostedServiceStarted o ServiceStarted, mappa a principal.process.command_line. Se event_simpleName è ProcessRollup2Stats, mappa a principal.process.command_line. Se event_simpleName è RansomwareCreateFile, mappa a principal.process.command_line. Se event_simpleName è ScreenshotTakenEtw, mappa a principal.process.command_line. Se event_simpleName è ScriptControlDetectInfo, mappa a target.process.command_line. Se event_simpleName è SuspiciousCreateSymbolicLink, mappa a principal.process.command_line. Se event_simpleName è UACExeElevation, mappa a principal.process.command_line. Se event_simpleName è WmiCreateProcess, mappa a principal.process.command_line. Se event_simpleName è WmiFilterConsumerBindingEtw o WmiProviderRegistrationEtw, mappa a principal.process.command_line. Se ExternalApiType è DetectionSummaryEvent, mappa a target.process.command_line. Se event_simpleName è ReflectiveDllOpenProcess, mappa a principal.process.command_line. Se GrandparentCommandLine non è definito, mappa a event.idm.read_only_udm.principal.process.parent_process.parent_process.command_line.
CommandHistory event.idm.read_only_udm.target.resource.attribute.labels[CommandHistory] Aggiunto come coppia chiave-valore all'array labels.
CompanyName event.idm.read_only_udm.target.user.company_name Mappatura diretta.
ComputerName event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname Se ComputerName non è vuoto o "-", mappa a principal.hostname e principal.asset.hostname.
ConfigBuild event.idm.read_only_udm.security_result.detection_fields[ConfigBuild] Aggiunto come coppia chiave-valore all'array detection_fields.
ConfigStateHash event.idm.read_only_udm.security_result.detection_fields[ConfigStateHash] Aggiunto come coppia chiave-valore all'array detection_fields.
ConfigStateUpdateV1 event.idm.read_only_udm.metadata.description Mappatura diretta.
ConnectionDirection _network_direction Se 0, imposta _network_direction su OUTBOUND. Se 1, imposta _network_direction su INBOUND. Se 2, imposta _network_direction su NEITHER. Se 3, imposta _network_direction su STATUS_UPDATE.
Continent event.idm.read_only_udm.additional.fields[Continent] Aggiunto come coppia chiave-valore all'array additional_fields.
ContentSHA256HashData event.idm.read_only_udm.security_result.detection_fields[ContentSHA256HashData] Aggiunto come coppia chiave-valore all'array detection_fields.
ContextProcessId event.idm.read_only_udm.principal.process.product_specific_process_id, event.idm.read_only_udm.target.process.product_specific_process_id Se _aid_is_target è false, esegui la mappatura a principal.process.product_specific_process_id. Se _aid_is_target è vero e LogonType è 3, mappa a target.process.product_specific_process_id.
ContextTimeStamp event.idm.read_only_udm.metadata.event_timestamp, event.idm.read_only_udm.security_result.detection_fields[ContextTimeStamp] Il campo del log non elaborato ContextTimeStamp viene convertito in un timestamp UDM e mappato a event_timestamp. Aggiunto come coppia chiave-valore all'array detection_fields.
Country event.idm.read_only_udm.principal.location.country_or_region Mappatura diretta.
CreateServiceV3 event.idm.read_only_udm.metadata.description Mappatura diretta.
CreateThreadNoStartImageV12 event.idm.read_only_udm.metadata.description Mappatura diretta.
CrashNotificationV4 event.idm.read_only_udm.metadata.description Mappatura diretta.
CriticalFileAccessedLinV1 event.idm.read_only_udm.metadata.description Mappatura diretta.
CriticalFileModifiedMacV2 event.idm.read_only_udm.metadata.description Mappatura diretta.
CurrentSystemTagsV1 event.idm.read_only_udm.metadata.description Mappatura diretta.
DCSyncAttemptedV1 event.idm.read_only_udm.metadata.description Mappatura diretta.
DcName event.idm.read_only_udm.principal.user.userid Le barre oblique vengono rimosse dal campo DcName.
DcOnlineV1 event.idm.read_only_udm.metadata.description Mappatura diretta.
DcStatusV1 event.idm.read_only_udm.metadata.description Mappatura diretta.
DcUsbConfigurationDescriptorV2 event.idm.read_only_udm.metadata.description Mappatura diretta.
DcUsbDeviceConnectedV2 event.idm.read_only_udm.metadata.description Mappatura diretta.
DcUsbDeviceDisconnectedV2 event.idm.read_only_udm.metadata.description Mappatura diretta.
DcUsbEndpointDescriptorV2 event.idm.read_only_udm.metadata.description Mappatura diretta.
DcUsbHIDDescriptorV2 event.idm.read_only_udm.metadata.description Mappatura diretta.
DcUsbInterfaceDescriptorV2 event.idm.read_only_udm.metadata.description Mappatura diretta.
DeepHashBlacklistClassificationV1 event.idm.read_only_udm.metadata.description Mappatura diretta.
DeliverLocalFXToCloudV2 event.idm.read_only_udm.metadata.description Mappatura diretta.
DeliverLocalFXToCloudV3 event.idm.read_only_udm.metadata.description Mappatura diretta.
DesiredAccess event.idm.read_only_udm.security_result.detection_fields[DesiredAccess] Aggiunto come coppia chiave-valore all'array detection_fields.
DetectDescription event.idm.read_only_udm.security_result.description Mappatura diretta.
DetectId event.idm.read_only_udm.security_result.about.labels[DetectId] Aggiunto come coppia chiave-valore all'array labels.
DetectName event.idm.read_only_udm.security_result.threat_name Mappatura diretta.
detectionId event.idm.read_only_udm.security_result.detection_fields[detectionId] Aggiunto come coppia chiave-valore all'array detection_fields.
detectionName event.idm.read_only_udm.security_result.detection_fields[detectionName] Aggiunto come coppia chiave-valore all'array detection_fields.
DeviceInstanceId event.idm.read_only_udm.target.asset_id Preceduta da "ID istanza dispositivo: ".
DeviceManufacturer event.idm.read_only_udm.target.asset.hardware.manufacturer Mappatura diretta.
DeviceProduct event.idm.read_only_udm.target.asset.hardware.model Mappatura diretta.
DevicePropertyDeviceDescription event.idm.read_only_udm.target.asset.attribute.labels[Device Property Device Description] Aggiunto come coppia chiave-valore all'array labels.
DevicePropertyLocationInformation event.idm.read_only_udm.target.asset.attribute.labels[Device Property Location Information] Aggiunto come coppia chiave-valore all'array labels.
DeviceSerialNumber event.idm.read_only_udm.target.asset.hardware.serial_number Mappatura diretta.
DeviceTimeStamp event.idm.read_only_udm.metadata.event_timestamp Il campo del log non elaborato DeviceTimeStamp viene convertito in un timestamp UDM e mappato a event_timestamp.
DirectoryCreateMacV1 event.idm.read_only_udm.metadata.description Mappatura diretta.
DiskParentDeviceInstanceId event.idm.read_only_udm.target.resource.id Mappatura diretta.
DllInjectionV1 event.idm.read_only_udm.metadata.description Mappatura diretta.
DmpFileWrittenV11 event.idm.read_only_udm.metadata.description Mappatura diretta.
DomainName event.idm.read_only_udm.target.hostname, event.idm.read_only_udm.target.asset.hostname Se event_simpleName è DnsRequest o SuspiciousDnsRequest, mappa a target.hostname e target.asset.hostname.
DotnetModuleLoadDetectInfoV1 event.idm.read_only_udm.metadata.description Mappatura diretta.
DownloadServer `event.id

Modifiche

2024-06-06

  • "OriginalFilename" è stato mappato a "target.process.file.exif_info.original_file".

2024-05-31

  • "os_version" è stato mappato a "principal.platform_version".
  • "hostname" è stato mappato a "principal.hostname" e "principal.asset.hostname".
  • "product_type_desc", "host_hidden_status", "scores.os", "scores.sensor", "scores.version", "scores.overall" e "scores.modified_time" sono stati mappati a "security_result.detection_fields".

2024-05-23

  • "Versione" è stata mappata a "principal.platform_version".

2024-05-21

  • Quando "event_simpleName" è "FileWritten", "NetworkConnect" o "DnsRequest", mappa "ContextBaseFileName" a "principal.process.file.full_path".
  • "QuarantinedFileName" è stato mappato a "principal.process.file.full_path".

2024-05-15

  • "Version", "BiosVersion" e "ChassisType" sono stati mappati a "principal.asset.attribute.labels".
  • Ho mappato "Continent", "OU" e "SiteName" a "additional.fields".

2024-04-17

  • "ModuleILPath" è stato mappato a "target.resource.attribute.labels".

2024-04-08

  • Correzione di bug:
  • Quando "event_simpleName" è "ClassifiedModuleLoad", modifica "metadata.event_type" da "STATUS_UPDATE" a "PROCESS_MODULE_LOAD".

2024-02-21

  • "SubjectDN" è stato mappato a "security_result.about.artifact.last_https_certificate.subject".
  • "IssuerDN" è stato mappato a "security_result.about.artifact.last_https_certificate.issuer".
  • "SubjectCertValidTo" è stato mappato a "security_result.about.artifact.last_https_certificate.validity.issue_time".
  • "SubjectCertValidFrom" è stato mappato a "security_result.about.artifact.last_https_certificate.validity.expiry_time".
  • "SubjectSerialNumber" è stato mappato a "security_result.about.artifact.last_https_certificate.serial_number".
  • "SubjectVersion" è stato mappato a "security_result.about.artifact.last_https_certificate.version".
  • "SubjectCertThumbprint" è stato mappato a "security_result.about.artifact.last_https_certificate.thumbprint".
  • "SignatureDigestAlg" è stato mappato a "security_result.about.artifact.last_https_certificate.signature_algorithm".
  • "SignatureDigestEncryptAlg" è stato mappato a "security_result.about.artifact.last_https_certificate.cert_signature.signature_algorithm".
  • "AuthenticodeHashData" è stato mappato a "target.file.authentihash".
  • "AuthorityKeyIdentifier" è stato mappato a "security_result.about.artifact.last_https_certificate.extension.authority_key_id.keyid" e "security_result.about.artifact.last_https_certificate.cert_extensions.fields".
  • "SubjectKeyIdentifier" è stato mappato a "security_result.about.artifact.last_https_certificate.extension.subject_key_id" e "security_result.about.artifact.last_https_certificate.cert_extensions.fields".
  • "OriginalFilename" è stato mappato a "additional.fields".
  • Sono stati mappati "SignInfoFlagUnknownError", "SignInfoFlagHasValidSignature", "SignInfoFlagSignHashMismatch",
  • "AuthenticodeMatch", "SignInfoFlagMicrosoftSigned", "SignInfoFlagNoSignature", "SignInfoFlagInvalidSignChain",
  • "SignInfoFlagNoCodeKeyUsage", "SignInfoFlagNoEmbeddedCert", "SignInfoFlagThirdPartyRoot",
  • "SignInfoFlagCatalogSigned", "SignInfoFlagSelfSigned", "SignInfoFlagFailedCertCheck",
  • "SignInfoFlagEmbeddedSigned", "IssuerCN", "SubjectCN" in "security_result.detection_fields".

2023-12-22

  • "HostUrl" è stato mappato a "target.url".
  • "ReferrerUrl" è stato mappato a "network.http.referral_url".

2023-11-23

  • Quando "is_alert" è impostato su "true", mappa "event.idm.is_significant" su "true".
  • Quando "is_alert" è impostato su "true", mappa "event_simpleName" a "security_result.summary".

2023-10-11

  • È stato aggiunto un controllo con espressioni regolari per convalidare i valori SHA-1, MD5 e SHA256.

2023-08-22

  • "Tecnica" è stato mappato a "security_result.attack_details.techniques.name" e ai dettagli della tecnica e della tattica corrispondenti.

2023-08-03

  • "ReflectiveDllName" è stato mappato a "target.file.full_path".
  • "event_type" è stato mappato a "STATUS_UPDATE" per i log in cui il campo "DomainName" non è presente.

2023-08-01

  • "Tattica" è stato mappato a "security_result.attack_details.tactics.name" e al relativo tactics.id.

2023-07-31

  • Bug-Fix-
  • È stato aggiunto il controllo "on_error" per il filtro data.

2023-06-19

  • "ParentBaseFileName" è stato mappato a "principal.process.file.full_path".
  • È stata rimossa la mappatura di "ImageFileName" a "target.file.full_path" perché è già mappata a "target.process.file.full_path" per gli eventi "ProcessRollup2" e "SyntheticProcessRollup2".

2023-05-12

  • Miglioramento:
  • "aip" è stato mappato a "intermediary.ip".

2023-05-08

  • Correzione di bug: converti i formati di tempo in stringa e gestisci il formato di tempo in nanosecondi.

2023-04-14

  • Miglioramento: il valore "Severità" dell'intervallo [0-19] è stato modificato in "security_result.severity" come "INFORMATIONAL".
  • Il valore "Severità" dell'intervallo [20-39] è stato modificato in "security_result.severity" come "LOW".
  • Il valore "Severità" dell'intervallo [40-59] è stato modificato in "security_result.severity" come "MEDIA".
  • Il valore "Severità" dell'intervallo [60-79] è stato modificato in "security_result.severity" come "ELEVATA".
  • Il valore "Severità" dell'intervallo [80-100] è stato modificato in "security_result.severity" come "CRITICO".
  • "PatternId" è stato mappato a "security_result.detection_fields".
  • "SourceEndpointIpAddress" è stato mappato a "principal.ip".
  • "metadata.event_type" è stato mappato a "USER_UNCATEGORIZED" quando "event_simpleName =~ userlogonfailed" e le informazioni utente non sono presenti.
  • "metadata.event_type" è stato mappato a "USER_UNCATEGORIZED" quando "ExternalApiType = "Event_UserActivityAuditEvent"" e contiene informazioni sull'utente.
  • "metadata.event_type" è stato mappato a "USER_UNCATEGORIZED" quando "event_simpleName =~ "ActiveDirectory".
  • "TargetAccountObjectGuid" è stato mappato a "additional.fields".
  • "TargetDomainControllerObjectGuid" è stato mappato a "additional.fields".
  • "TargetDomainControllerObjectSid" è stato mappato a "additional.fields".
  • "AggregationActivityCount" è stato mappato a "additional.fields".
  • "TargetServiceAccessIdentifier" è stato mappato a "additional.fields".
  • "SourceAccountUserPrincipal" è stato mappato a "principal.user.userid".
  • "SourceEndpointAddressIP4" è stato mappato a "principal.ip".
  • "SourceAccountObjectGuid" è stato mappato a "additional.fields".
  • "AccountDomain" è stato mappato a "principal.administrative_domain".
  • "AccountObjectGuid" è stato mappato a "metadata.product_log_id".
  • "AccountObjectSid" è stato mappato a "principal.user.windows_sid".
  • "SamAccountName" è stato mappato a "principal.user.user_display_name".
  • "SourceAccountSamAccountName" è stato mappato a "principal.user.user_display_name".
  • "IOARuleGroupName" è stato mappato a "security_result.detection_fields".
  • "IOARuleName" è stato mappato a "security_result.detection_fields".
  • "RemoteAddressIP4" è stato mappato a "target.ip" per "event_simpleName"="RegCredAccessDetectInfo".

2023-03-24

  • "ID" è stato mappato a "metadata.product_log_id" anziché a "target.resource.id".
  • "RegBinaryValue" è stato mappato a "target.registry.registry_value_data" se sia "RegNumericValue" sia "RegStringValue" sono null.

2023-03-21

  • Miglioramento:
  • "BatchTimestamp", "GcpCreationTimestamp", "K8SCreationTimestamp" e "AwsCreationTimestamp" sono stati mappati a "metadata.event_timestamp".
  • "FileOperatorSid" è stato mappato a "target.user.windows_sid".

2023-03-13

  • Miglioramento:
  • "LogonTime", "ProcessStartTime", "ContextTimeStamp", "ContextTimeStamp_decimal" e "AccountCreationTimeStamp" sono stati mappati a "metadata.event_timestamp".

2023-03-10

  • Miglioramento:
  • "CallStackModuleNamesVersion" e "CallStackModuleNamesVersion" sono stati mappati a security_result.detection_fields.

2023-02-28

  • Miglioramento: sono state modificate le seguenti mappature per il campo "ParentProcessId" quando "event_simpleName" è in ["ProcessRollup2", "SyntheticProcessRollup2"]
  • "target.process.parent_process.pid" modificato in "target.process.parent_process.product_specific_process_id"

2023-02-16

  • Miglioramento:
  • Il campo "AssociatedFile" è stato mappato a "security_result.detection_fields[n].value" e "security_result.detection_fields[n].key" è mappato a "AssociatedIOCFile".

2023-02-09

  • Miglioramento:
  • "RegNumericValue" è stato mappato a "target.registry.registry_value_data".
  • "ManagedPdbBuildPath" è stato mappato a "target.labels".

2023-02-09

  • Miglioramento
  • I campi mappati in "target.labels" sono stati rimappati in "target.resource.attribute.labels".
  • È stata rettificata la mappatura di "ManagedPdbBuildPath" in "target.resource.attribute.labels".

2023-01-15

  • BugFix -
  • "aid" per l'evento "UserLogonFailed" è stato rimappato su "target.asset_id" da "principal.asset_id".

2023-01-13

  • Miglioramento:
  • È stata aggiunta la mappatura per "Severità", mappandola a "security_result.severity".

2023-01-13

  • Miglioramento:
  • Nome utente mappato a principal.user.userid per event_type "ScheduledTaskModified" e "ScheduledTaskRegistered".
  • "AssemblyName","ManagedPdbBuildPath","ModuleILPath" mappati a "target.labels" quando metadata.product_event_type = "ReflectiveDotnetModuleLoad"
  • "VirtualDriveFileName","VolumeName" mappati a "target.labels" quando metadata.product_event_type = "RemovableMediaVolumeMounted"
  • "ImageFileName" mappato a "target.file.full_path" quando metadata.product_event_type = "ClassifiedModuleLoad"

2023-01-02

  • Miglioramento:
  • Nome utente mappato a principal.user.userid per event_type "ScheduledTaskModified" e "ScheduledTaskRegistered".

2022-12-22

  • Miglioramento:
  • "RemoteAddressIP4" è stato mappato a "principal.ip" per "event_type"="Userlogonfailed2"

2022-11-04

  • Miglioramento:
  • "GrandparentImageFileName" è stato mappato a "principal.process.parent_process.parent_process.file.full_path".
  • "GrandparentCommandLine" è stato mappato a "principal.process.parent_process.parent_process.commamdLine"

2022-11-03

  • Bug -
  • Quando "event_simpleName" è "InstalledApplication", vengono mappati i seguenti parametri.
  • "AppName" è stato mappato a "principal.asset.software.name".
  • "AppVersion" è stato mappato a "principal.asset.software.version".

2022-10-12

  • Bug -
  • "discoverer_aid" è stato mappato a "resource.attribute.labels".
  • "NomeNeighbor" è stato mappato a "intermediary.hostname".
  • "subnet" è stato mappato a "additional.fields".
  • "localipCount" è stato mappato a "additional.fields".
  • "aipCount" è stato mappato a "additional.fields".
  • È stato aggiunto il controllo condizionale per "LogonServer"

2022-10-07

  • Correzione di bug:
  • La mappatura "CommandLine" è stata modificata da "principal.process.command_line" a "target.process.command_line".

2022-09-13

  • Correzione:
  • È stato mappato metadata.event_type a REGISTRY_CREATION se RegOperationType è "3".
  • event_type è stato mappato a REGISTRY_DELETION se RegOperationType è "4" o "102".
  • È stato mappato event_type a REGISTRY_MODIFICATION se RegOperationType è "5","7","9","101" o "1".
  • È stato mappato event_type a REGISTRY_UNCATEGORIZED se RegOperationType non è nullo e non in tutti i casi precedenti.

2022-09-02

  • Definisci il campo "UserPrincipal" in statedata.

2022-08-21

  • "ActivityId" è stato mappato a "additional.fields".
  • "SourceEndpointHostName" è stato mappato a "principal.hostname".
  • "SourceAccountObjectSid" è stato mappato a "principal.user.windows_sid".
  • È stata aggiunta una condizione per analizzare "LocalAddressIP4" e "aip".
  • "metadata.event_type" è stato mappato a "STATUS_UPDATE" se "ComputerName" e "LocalAddressIP4" non sono null.
  • "SourceEndpointAccountObjectGuid" è stato mappato a "metadata.product_log_id".
  • "SourceEndpointAccountObjectSid" è stato mappato a "target.user.windows_sid".
  • "SourceEndpointHostName" è stato mappato a "principal.hostname".

2022-08-18

  • Correzione:
  • Sono stati mappati i seguenti campi:
  • "event.PatternDispositionValue" a "security_result.about.labels".
  • "event.ProcessId" a "principal.process.product_specific_process_id".
  • "event.ParentProcessId" a "target.process.parent_process.pid".
  • "event.ProcessStartTime" a "security_result.detection_fields".
  • "event.ProcessEndTime" a "security_result.detection_fields".
  • "event.ComputerName" a "principal.hostname".
  • "event.UserName" a "principal.user.userid".
  • "event.DetectName" a "security_result.threat_name".
  • "event.DetectDescription" a "security_result.description".
  • "event.SeverityName" a "security_result.severity".
  • "event.FileName" a "target.file.full_path".
  • "event.FilePath" a "target.file.full_path".
  • "event.CommandLine" a "principal.process.command_line".
  • "event.SHA256String" in "target.file.sha256".
  • "event.MD5String" in "security_result.about.file.md5".
  • "event.MachineDomain" a "principal.administrative_domain".
  • "event.FalconHostLink" a "intermediary.url".
  • "event.LocalIP" a "principal.ip".
  • "event.MACAddress" a "principal.mac".
  • "event.Tactic" a "security_result.detection_fields".
  • "event.Technique" a "security_result.detection_fields".
  • "event.Objective" a "security_result.rule_name".
  • "event.PatternDispositionDescription" a "security_result.summary".
  • "event.ParentImageFileName" a "principal.process.parent_process.file.full_path".
  • "event.ParentCommandLine" a "principal.process.parent_process.command_line".

2022-08-30

  • ID Buganized: 243245623
  • Miglioramento:
  • È stato definito il campo "UserPrincipal" in statedata.

2022-07-29

  • "event_category,event_module,Hmac" sono stati mappati a "additional.fields".
  • "user_name" è stato mappato a "principal.user.userid".
  • "event_source" è stato mappato a "target.application".
  • È stato aggiunto il pattern grok per "auth_group e nuovi log".
  • È stato aggiunto il controllo per "principal_ip,target_ip ed event_type".

2022-07-25

  • Correzione di bug:

  • "metadata.event_type" è stato mappato a "USER_RESOURCE_ACCESS" se "eventType" è "K8SDetectionEvent"

  • "metadata.event_type" è stato mappato a "STATUS_UPDATE" se "metadata.event_type" è null e "principal.asset_id" non è null.

  • "SourceAccountDomain" è stato mappato a "principal.administrative_domain"

  • "SourceAccountName" è stato mappato a "principal.user.userid"

  • "metadata.event_type" è stato mappato a "STATUS_UPDATE", dove "EventType" è "Event_ExternalApiEvent" e "OperationName" è in ["quarantined_file_update", "detection_update", "update_rule"]

  • "metadata.event_type" è stato mappato a "USER_RESOURCE_ACCESS" se Path è null e FileName è null o AgentIdString è null.

  • "metadata.event_type" è stato mappato a "STATUS_UPDATE" se Protocol è null.

  • È stato aggiunto il controllo condizionale per MD5String,SHA256String,CommandLine,AgentIdString,ProcessId,ParentProcessId,FilePath,FileName.

2022-07-12

  • per event_simpleName: DriverLoad,ProcessRollup,PeVersionInfo,PeFileWritten,TemplateDetectAnalysis,ScriptControlDetectInfo.
  • OriginalFilename mappato a principal.process.file.full_path

2022-06-14

  • "CompanyName" è stato mappato a "target.user.company_name"
  • "AccountType" è stato mappato a "target.user.role_description"
  • "ProductVersion" è stato mappato a "metadata.product_version"
  • "LogonInfo" è stato mappato a "principal.ip"
  • "MAC" mappato a "principal.mac"
  • "UserSid_readable" è stato mappato a "target.user.windows_sid"
  • "FileName" è stato mappato a "target.file.full_path"
  • "_time" è stato mappato a "metadata.event_timestamp"
  • È stato aggiunto il controllo condizionale per "MD5HashData", "SHA256HashData", "UserName", "ID", "RegObjectName", "RegStringValue", "RegValueName", "UserSid", "TargetFileName", "aid"

2022-06-20

  • "ConfigBuild" è stato mappato a "security_result.detection_fields".
  • "EffectiveTransmissionClass" è stato mappato a "security_result.detection_fields".
  • "Diritti" è stato mappato a "security_result.detection_fields".

2022-06-02

  • Correzione di bug: è stato rimosso il nome della chiave e il carattere dei due punti da "security_result.detection_fields.value".

2022-05-27

  • Miglioramento: mappatura aggiuntiva: SHA256String e MD5String a security_result.about.file per essere visualizzati come evento di avviso.

2022-05-20

  • "LinkName" è stato mappato a "target.resource.attribute.labels".
  • Le possibili occorrenze di "GENERIC_EVENTS" sono state impostate su "STATUS_UPDATE".
  • È stata aggiunta una barra inversa tra il processo e la relativa directory principale principale.
  • Piattaforma analizzata se "event_platform" è iOS.
  • È stato modificato resource.type in resource_type.

2022-05-12

  • Miglioramento: resourceName mappato a target.resource.name
  • resourceId mappato a target.resource.product_object_id
  • Spazio dei nomi mappato a target.namespace
  • Categoria mappata a security_result.category_details
  • descrizione mappata a security_result.description
  • sourceAgent mappato a network.http.user_agent
  • Gravità mappata a security_result.severity
  • resourceKind mappato a target.resource.type
  • detectionName mappato a target.resource.name
  • clusterName mappato a target.resource.attribute.labels
  • clusterId mappato a target.resource.attribute.labels
  • detectionId mappato a target.resource.attribute.labels
  • Tipo mappato a additional.fields
  • Correzione di additional.fields
  • Benchmark per additional.fields
  • badResources a additional.fields

2022-04-27

  • Bug - Correzione: 1. È stato modificato il tipo di evento udm da GENERIC_EVENT a USER_LOGIN per i log con ExternalApiType = Event_AuthActivityAuditEvent.
  • 2. Le mappature di target_user, actor_user e actor_user_uuid sono state modificate da additional.fields a target.user.email_addresses, target.user.user_display_name e target.user.userid rispettivamente.

2022-04-25

  • Miglioramento: è stato mappato "RemoteAddressIP4" a principal.ip.

2022-04-14

  • Bug: è stato aggiunto il supporto per il campo ScriptContent per tutti i tipi di log

2022-04-13

  • Miglioramento: sono state aggiunte mappature per i nuovi campi
  • Sono state aggiunte nuove mappature di eventi: AuthenticationPackage mappato a target.resource.name

2022-04-04

  • Bug: "OriginatingURL" è stato mappato a principal.url per gli eventi NetworkConnect.