Mengumpulkan log CrowdStrike EDR

Didukung di:

Dokumen ini menjelaskan cara mengekspor log CrowdStrike EDR ke Google Security Operations melalui feed Google Security Operations, dan cara kolom CrowdStrike EDR dipetakan ke kolom Unified Data Model (UDM) Google Security Operations.

Untuk mengetahui informasi selengkapnya, lihat Ringkasan penyerapan data ke Google Security Operations.

Deployment standar terdiri dari CrowdStrike yang diaktifkan untuk penyerapan ke Google Security Operations. Setiap deployment pelanggan dapat berbeda dan mungkin lebih kompleks.

Deployment berisi komponen berikut:

  • CrowdStrike Falcon Intelligence: Produk CrowdStrike tempat Anda mengumpulkan log.

  • Google Security Operations: Menyimpan dan menganalisis log EDR CrowdStrike.

Label penyerapan mengidentifikasi parser yang menormalisasi data log mentah ke format UDM terstruktur. Informasi dalam dokumen ini berlaku untuk parser dengan label transfer CS_EDR.

Sebelum memulai

  • Pastikan Anda memiliki hak administrator di instance CrowdStrike untuk menginstal sensor Host CrowdStrike Falcon.

  • Pastikan perangkat berjalan di sistem operasi yang didukung.

    • OS harus berjalan di server 64-bit. Microsoft Windows server 2008 R2 SP1 didukung untuk sensor Host Crowdstrike Falcon versi 6.51 atau yang lebih baru.
    • Sistem yang menjalankan versi OS lama (misalnya, Windows 7 SP1) memerlukan dukungan penandatanganan kode SHA-2 yang diinstal di perangkatnya.

  • Dapatkan file akun layanan Google Security Operations dan ID pelanggan Anda dari tim dukungan Google Security Operations.

  • Pastikan semua sistem dalam arsitektur deployment dikonfigurasi dalam zona waktu UTC.

Mengonfigurasi Feed Falcon Data Replicator

Untuk menyiapkan feed Falcon Data Replicator, ikuti langkah-langkah berikut:

  1. Klik tombol TAMBAHKAN untuk membuat feed Falcon Data Replicator baru. Tindakan ini akan menghasilkan ID S3, URL SQS, dan Rahasia klien.
  2. Gunakan nilai Feed, ID S3, URL SQS, dan Rahasia klien yang dihasilkan untuk menyiapkan feed di Google Security Operations.

Mengonfigurasi feed di Google Security Operations untuk menyerap log CrowdStrike EDR

Anda dapat menggunakan SQS atau bucket S3 untuk menyiapkan feed penyerapan di Google Security Operations. SQS lebih disarankan, tetapi S3 juga didukung.

Untuk menyiapkan feed penyerapan menggunakan bucket S3, ikuti langkah-langkah berikut:

  1. Pilih Setelan SIEM > Feed.
  2. Klik Tambahkan baru.
  3. Masukkan nama unik untuk Nama feed.
  4. Di Source type, pilih Amazon S3.
  5. Di Jenis log, pilih CrowdStrike Falcon.
  6. Klik Berikutnya.
  7. Berdasarkan akun layanan dan konfigurasi bucket Amazon S3 yang Anda buat, tentukan nilai untuk kolom berikut:
    Kolom Deskripsi
    region Region S3 yang terkait dengan URI.
    URI S3 URI sumber bucket S3.
    uri adalah Jenis URI objek yang dituju.
    opsi penghapusan sumber Apakah akan menghapus file dan/atau direktori setelah mentransfer.
    ID kunci akses Kunci akses akun yang berupa string alfanumerik 20 karakter, misalnya AKIAOSFOODNN7EXAMPLE.
    kunci akses rahasia Kunci akses akun yang merupakan string alfanumerik 40 karakter, misalnya wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY.
    client id oauth ID OAuth publik khusus klien.
    rahasia klien oauth Rahasia klien OAuth 2.0.
    uri refresh rahasia oauth URI refresh secret klien OAuth 2.0.
    namespace aset Namespace yang akan dikaitkan dengan feed.
  8. Klik Berikutnya, lalu klik Kirim.

Untuk menyiapkan feed penyerapan menggunakan SQS, ikuti langkah-langkah berikut:

  1. Pilih Setelan SIEM > Feed.
  2. Klik Tambahkan baru.
  3. Masukkan nama unik untuk Nama feed.
  4. Di Source type, pilih Amazon SQS.
  5. Di Jenis log, pilih CrowdStrike Falcon.
  6. Klik Berikutnya.
  7. Berdasarkan akun layanan dan konfigurasi Amazon SQS yang Anda buat, tentukan nilai untuk kolom berikut:
    Kolom Deskripsi
    region Region S3 yang terkait dengan URI.
    NAMA ANTREAN Nama antrean SQS yang akan dibaca.
    NOMOR REKENING Nomor akun SQS.
    opsi penghapusan sumber Apakah akan menghapus file dan/atau direktori setelah mentransfer.
    QUEUE ACCESS KEY ID Kunci akses akun yang berupa string alfanumerik 20 karakter, misalnya, AKIAOSFOODNN7EXAMPLE.
    QUEUE SECRET ACCESS KEY Kunci akses akun yang merupakan string alfanumerik 40 karakter, misalnya, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY.
    namespace aset Namespace yang akan dikaitkan dengan feed.
  8. Klik Berikutnya, lalu klik Kirim. Catatan: Anda dapat menghubungi tim dukungan Google Security Operations jika mengalami masalah saat menyiapkan feed dan mengirim data Pemantauan EDR Crowdstrike ke Google Security Operations.

Referensi pemetaan kolom

Parser ini memproses log JSON platform CrowdStrike Falcon, yang dinormalisasi ke dalam UDM. Alat ini mengekstrak kolom, menangani berbagai format stempel waktu, memetakan jenis peristiwa ke jenis peristiwa UDM, dan memperkaya data dengan informasi MITRE ATT&CK dan konteks tambahan. Parser juga menangani jenis dan logika peristiwa tertentu untuk login pengguna, koneksi jaringan, dan operasi file, sehingga memastikan cakupan UDM yang komprehensif.

Tabel pemetaan UDM

Kolom Log Pemetaan UDM Logika
AccountCreationTimeStamp event.idm.read_only_udm.metadata.event_timestamp Kolom log mentah AccountCreationTimeStamp dikonversi menjadi stempel waktu UDM dan dipetakan ke event_timestamp.
AccountDomain event.idm.read_only_udm.principal.administrative_domain Pemetaan langsung.
AccountObjectGuid event.idm.read_only_udm.metadata.product_log_id Pemetaan langsung.
AccountObjectSid event.idm.read_only_udm.principal.user.windows_sid Pemetaan langsung.
ActiveDirectoryAuthenticationMethod event.idm.read_only_udm.extensions.auth.mechanism Jika ActiveDirectoryAuthenticationMethod adalah 0, mekanismenya adalah KERBEROS. Jika tidak, mekanismenya adalah AUTHTYPE_UNSPECIFIED.
ActivityId event.idm.read_only_udm.additional.fields[ActivityId] Ditambahkan sebagai pasangan nilai kunci ke array additional_fields.
AggregationActivityCount event.idm.read_only_udm.additional.fields[AggregationActivityCount] Ditambahkan sebagai pasangan nilai kunci ke array additional_fields.
AgentIdString event.idm.read_only_udm.principal.asset_id Diawali dengan "CS:".
AgentOnlineMacV13 event.idm.read_only_udm.metadata.description Pemetaan langsung.
AgentVersion event.idm.read_only_udm.principal.asset.attribute.labels[AgentVersion] Ditambahkan sebagai pasangan nilai kunci ke array labels.
aid event.idm.read_only_udm.principal.asset_id Diawali dengan "CS:".
aip event.idm.read_only_udm.principal.nat_ip, intermediary.ip Jika _aid_is_target bernilai salah, petakan ke principal.nat_ip dan intermediary.ip. Jika _aid_is_target bernilai benar dan LogonType adalah 3, petakan ke target.nat_ip dan intermediary.ip.
aipCount event.idm.read_only_udm.additional.fields[aipCount] Ditambahkan sebagai pasangan nilai kunci ke array additional_fields.
AppName event.idm.read_only_udm.principal.asset.software.name Pemetaan langsung.
ApplicationName event.idm.read_only_udm.target.application Pemetaan langsung.
AppVersion event.idm.read_only_udm.principal.asset.software.version Pemetaan langsung.
AsepFileChangeMacV2 event.idm.read_only_udm.metadata.description Pemetaan langsung.
AsepKeyUpdateV6 event.idm.read_only_udm.metadata.description Pemetaan langsung.
AsepValueUpdateV7 event.idm.read_only_udm.metadata.description Pemetaan langsung.
AssociateIndicatorV5 event.idm.read_only_udm.metadata.description Pemetaan langsung.
AssociateTreeIdWithRootV6 event.idm.read_only_udm.metadata.description Pemetaan langsung.
AssemblyName event.idm.read_only_udm.target.resource.attribute.labels[AssemblyName] Ditambahkan sebagai pasangan nilai kunci ke array labels.
AuthenticationId event.idm.read_only_udm.principal.user.product_object_id, event.idm.read_only_udm.target.user.product_object_id Jika _aid_is_target bernilai salah, petakan ke principal.user.product_object_id. Jika _aid_is_target benar dan LogonType adalah 3, petakan ke target.user.product_object_id.
AuthenticationPackage event.idm.read_only_udm.target.resource.name Pemetaan langsung.
AuthenticodeHashData event.idm.read_only_udm.target.file.authentihash Pemetaan langsung.
AuthenticodeMatch event.idm.read_only_udm.security_result.detection_fields[AuthenticodeMatch] Ditambahkan sebagai pasangan nilai kunci ke array detection_fields.
AuthorityKeyIdentifier event.idm.read_only_udm.security_result.about.artifact.last_https_certificate.extension.authority_key_id.keyid, event.idm.read_only_udm.security_result.about.artifact.last_https_certificate.cert_extensions.fields[authority_key_id.keyid] Ditambahkan sebagai pasangan nilai kunci ke array cert_extensions.fields.
BatchTimestamp event.idm.read_only_udm.metadata.event_timestamp Kolom log mentah BatchTimestamp dikonversi menjadi stempel waktu UDM dan dipetakan ke event_timestamp.
badResources event.idm.read_only_udm.additional.fields[badResource_n] Untuk setiap elemen dalam array badResources, pasangan nilai kunci ditambahkan ke array additional_fields dengan kunci badResource_n, dengan n adalah indeks elemen.
benchmarks event.idm.read_only_udm.additional.fields[benchmark_n] Untuk setiap elemen dalam array benchmarks, pasangan nilai kunci ditambahkan ke array additional_fields dengan kunci benchmark_n, dengan n adalah indeks elemen.
BehaviorWhitelistedV3 event.idm.read_only_udm.metadata.description Pemetaan langsung.
BillingInfoV2 event.idm.read_only_udm.metadata.description Pemetaan langsung.
BiosVersion event.idm.read_only_udm.principal.asset.attribute.labels[BiosVersion] Ditambahkan sebagai pasangan nilai kunci ke array labels.
BITSJobCreatedV2 event.idm.read_only_udm.metadata.description Pemetaan langsung.
BrowserInjectedThreadV5 event.idm.read_only_udm.metadata.description Pemetaan langsung.
CallStackModuleNames event.idm.read_only_udm.security_result.detection_fields[CallStackModuleNames] Ditambahkan sebagai pasangan nilai kunci ke array detection_fields.
CallStackModuleNamesVersion event.idm.read_only_udm.security_result.detection_fields[CallStackModuleNamesVersion] Ditambahkan sebagai pasangan nilai kunci ke array detection_fields.
category event.idm.read_only_udm.security_result.category_details Pemetaan langsung.
ChannelVersionRequiredV1 event.idm.read_only_udm.metadata.description Pemetaan langsung.
ChassisType event.idm.read_only_udm.principal.asset.attribute.labels[ChassisType] Ditambahkan sebagai pasangan nilai kunci ke array labels.
cid event.idm.read_only_udm.metadata.product_deployment_id Pemetaan langsung.
City event.idm.read_only_udm.principal.location.city Pemetaan langsung.
ClassifiedModuleLoadV1 event.idm.read_only_udm.metadata.description Pemetaan langsung.
CloudAssociateTreeIdWithRootV3 event.idm.read_only_udm.metadata.description Pemetaan langsung.
CommandLine event.idm.read_only_udm.principal.process.command_line, event.idm.read_only_udm.target.process.command_line, event.idm.read_only_udm.principal.process.parent_process.parent_process.command_line Jika event_simpleName adalah ProcessRollup2 atau SyntheticProcessRollup2, petakan ke target.process.command_line. Jika event_simpleName adalah CreateService, petakan ke principal.process.command_line. Jika event_simpleName adalah FalconHostFileTamperingInfo, petakan ke principal.process.command_line. Jika event_simpleName adalah HostedServiceStarted atau ServiceStarted, petakan ke principal.process.command_line. Jika event_simpleName adalah ProcessRollup2Stats, petakan ke principal.process.command_line. Jika event_simpleName adalah RansomwareCreateFile, petakan ke principal.process.command_line. Jika event_simpleName adalah ScreenshotTakenEtw, petakan ke principal.process.command_line. Jika event_simpleName adalah ScriptControlDetectInfo, petakan ke target.process.command_line. Jika event_simpleName adalah SuspiciousCreateSymbolicLink, petakan ke principal.process.command_line. Jika event_simpleName adalah UACExeElevation, petakan ke principal.process.command_line. Jika event_simpleName adalah WmiCreateProcess, petakan ke principal.process.command_line. Jika event_simpleName adalah WmiFilterConsumerBindingEtw atau WmiProviderRegistrationEtw, petakan ke principal.process.command_line. Jika ExternalApiType adalah DetectionSummaryEvent, petakan ke target.process.command_line. Jika event_simpleName adalah ReflectiveDllOpenProcess, petakan ke principal.process.command_line. Jika GrandparentCommandLine tidak ditentukan, petakan ke event.idm.read_only_udm.principal.process.parent_process.parent_process.command_line.
CommandHistory event.idm.read_only_udm.target.resource.attribute.labels[CommandHistory] Ditambahkan sebagai pasangan nilai kunci ke array labels.
CompanyName event.idm.read_only_udm.target.user.company_name Pemetaan langsung.
ComputerName event.idm.read_only_udm.principal.hostname, event.idm.read_only_udm.principal.asset.hostname Jika ComputerName tidak kosong atau "-", petakan ke principal.hostname dan principal.asset.hostname.
ConfigBuild event.idm.read_only_udm.security_result.detection_fields[ConfigBuild] Ditambahkan sebagai pasangan nilai kunci ke array detection_fields.
ConfigStateHash event.idm.read_only_udm.security_result.detection_fields[ConfigStateHash] Ditambahkan sebagai pasangan nilai kunci ke array detection_fields.
ConfigStateUpdateV1 event.idm.read_only_udm.metadata.description Pemetaan langsung.
ConnectionDirection _network_direction Jika 0, tetapkan _network_direction ke OUTBOUND. Jika 1, tetapkan _network_direction ke INBOUND. Jika 2, tetapkan _network_direction ke NEITHER. Jika 3, tetapkan _network_direction ke STATUS_UPDATE.
Continent event.idm.read_only_udm.additional.fields[Continent] Ditambahkan sebagai pasangan nilai kunci ke array additional_fields.
ContentSHA256HashData event.idm.read_only_udm.security_result.detection_fields[ContentSHA256HashData] Ditambahkan sebagai pasangan nilai kunci ke array detection_fields.
ContextProcessId event.idm.read_only_udm.principal.process.product_specific_process_id, event.idm.read_only_udm.target.process.product_specific_process_id Jika _aid_is_target bernilai salah, petakan ke principal.process.product_specific_process_id. Jika _aid_is_target benar dan LogonType adalah 3, petakan ke target.process.product_specific_process_id.
ContextTimeStamp event.idm.read_only_udm.metadata.event_timestamp, event.idm.read_only_udm.security_result.detection_fields[ContextTimeStamp] Kolom log mentah ContextTimeStamp dikonversi menjadi stempel waktu UDM dan dipetakan ke event_timestamp. Ditambahkan sebagai pasangan nilai kunci ke array detection_fields.
Country event.idm.read_only_udm.principal.location.country_or_region Pemetaan langsung.
CreateServiceV3 event.idm.read_only_udm.metadata.description Pemetaan langsung.
CreateThreadNoStartImageV12 event.idm.read_only_udm.metadata.description Pemetaan langsung.
CrashNotificationV4 event.idm.read_only_udm.metadata.description Pemetaan langsung.
CriticalFileAccessedLinV1 event.idm.read_only_udm.metadata.description Pemetaan langsung.
CriticalFileModifiedMacV2 event.idm.read_only_udm.metadata.description Pemetaan langsung.
CurrentSystemTagsV1 event.idm.read_only_udm.metadata.description Pemetaan langsung.
DCSyncAttemptedV1 event.idm.read_only_udm.metadata.description Pemetaan langsung.
DcName event.idm.read_only_udm.principal.user.userid Backslash dihapus dari kolom DcName.
DcOnlineV1 event.idm.read_only_udm.metadata.description Pemetaan langsung.
DcStatusV1 event.idm.read_only_udm.metadata.description Pemetaan langsung.
DcUsbConfigurationDescriptorV2 event.idm.read_only_udm.metadata.description Pemetaan langsung.
DcUsbDeviceConnectedV2 event.idm.read_only_udm.metadata.description Pemetaan langsung.
DcUsbDeviceDisconnectedV2 event.idm.read_only_udm.metadata.description Pemetaan langsung.
DcUsbEndpointDescriptorV2 event.idm.read_only_udm.metadata.description Pemetaan langsung.
DcUsbHIDDescriptorV2 event.idm.read_only_udm.metadata.description Pemetaan langsung.
DcUsbInterfaceDescriptorV2 event.idm.read_only_udm.metadata.description Pemetaan langsung.
DeepHashBlacklistClassificationV1 event.idm.read_only_udm.metadata.description Pemetaan langsung.
DeliverLocalFXToCloudV2 event.idm.read_only_udm.metadata.description Pemetaan langsung.
DeliverLocalFXToCloudV3 event.idm.read_only_udm.metadata.description Pemetaan langsung.
DesiredAccess event.idm.read_only_udm.security_result.detection_fields[DesiredAccess] Ditambahkan sebagai pasangan nilai kunci ke array detection_fields.
DetectDescription event.idm.read_only_udm.security_result.description Pemetaan langsung.
DetectId event.idm.read_only_udm.security_result.about.labels[DetectId] Ditambahkan sebagai pasangan nilai kunci ke array labels.
DetectName event.idm.read_only_udm.security_result.threat_name Pemetaan langsung.
detectionId event.idm.read_only_udm.security_result.detection_fields[detectionId] Ditambahkan sebagai pasangan nilai kunci ke array detection_fields.
detectionName event.idm.read_only_udm.security_result.detection_fields[detectionName] Ditambahkan sebagai pasangan nilai kunci ke array detection_fields.
DeviceInstanceId event.idm.read_only_udm.target.asset_id Diawali dengan "Device Instance Id: ".
DeviceManufacturer event.idm.read_only_udm.target.asset.hardware.manufacturer Pemetaan langsung.
DeviceProduct event.idm.read_only_udm.target.asset.hardware.model Pemetaan langsung.
DevicePropertyDeviceDescription event.idm.read_only_udm.target.asset.attribute.labels[Device Property Device Description] Ditambahkan sebagai pasangan nilai kunci ke array labels.
DevicePropertyLocationInformation event.idm.read_only_udm.target.asset.attribute.labels[Device Property Location Information] Ditambahkan sebagai pasangan nilai kunci ke array labels.
DeviceSerialNumber event.idm.read_only_udm.target.asset.hardware.serial_number Pemetaan langsung.
DeviceTimeStamp event.idm.read_only_udm.metadata.event_timestamp Kolom log mentah DeviceTimeStamp dikonversi menjadi stempel waktu UDM dan dipetakan ke event_timestamp.
DirectoryCreateMacV1 event.idm.read_only_udm.metadata.description Pemetaan langsung.
DiskParentDeviceInstanceId event.idm.read_only_udm.target.resource.id Pemetaan langsung.
DllInjectionV1 event.idm.read_only_udm.metadata.description Pemetaan langsung.
DmpFileWrittenV11 event.idm.read_only_udm.metadata.description Pemetaan langsung.
DomainName event.idm.read_only_udm.target.hostname, event.idm.read_only_udm.target.asset.hostname Jika event_simpleName adalah DnsRequest atau SuspiciousDnsRequest, petakan ke target.hostname dan target.asset.hostname.
DotnetModuleLoadDetectInfoV1 event.idm.read_only_udm.metadata.description Pemetaan langsung.
DownloadServer `event.id

Perubahan

2024-06-06

  • Memetakan "OriginalFilename" ke "target.process.file.exif_info.original_file".

2024-05-31

  • Memetakan "os_version" ke "principal.platform_version".
  • Memetakan "hostname" ke "principal.hostname" dan "principal.asset.hostname".
  • Memetakan "product_type_desc", "host_hidden_status", "scores.os", "scores.sensor", "scores.version", "scores.overall", dan "scores.modified_time" ke "security_result.detection_fields".

2024-05-23

  • Memetakan "Version" ke "principal.platform_version".

2024-05-21

  • Jika "event_simpleName" adalah "FileWritten", "NetworkConnect", atau "DnsRequest", maka pemetaan "ContextBaseFileName" ke "principal.process.file.full_path".
  • Memetakan "QuarantinedFileName" ke "principal.process.file.full_path".

2024-05-15

  • Memetakan "Version", "BiosVersion", dan "ChassisType" ke "principal.asset.attribute.labels".
  • Memetakan "Continent", "OU", dan "SiteName" ke "additional.fields".

2024-04-17

  • Memetakan "ModuleILPath" ke "target.resource.attribute.labels".

2024-04-08

  • Perbaikan Bug:
  • Jika "event_simpleName" adalah "ClassifiedModuleLoad", ubah "metadata.event_type" dari "STATUS_UPDATE" menjadi "PROCESS_MODULE_LOAD".

2024-02-21

  • Memetakan "SubjectDN" ke "security_result.about.artifact.last_https_certificate.subject".
  • Memetakan "IssuerDN" ke "security_result.about.artifact.last_https_certificate.issuer".
  • Memetakan "SubjectCertValidTo" ke "security_result.about.artifact.last_https_certificate.validity.issue_time"".
  • Memetakan "SubjectCertValidFrom" ke "security_result.about.artifact.last_https_certificate.validity.expiry_time".
  • Memetakan "SubjectSerialNumber" ke "security_result.about.artifact.last_https_certificate.serial_number".
  • Memetakan "SubjectVersion" ke "security_result.about.artifact.last_https_certificate.version".
  • Memetakan "SubjectCertThumbprint" ke "security_result.about.artifact.last_https_certificate.thumbprint".
  • Memetakan "SignatureDigestAlg" ke "security_result.about.artifact.last_https_certificate.signature_algorithm".
  • Memetakan "SignatureDigestEncryptAlg" ke "security_result.about.artifact.last_https_certificate.cert_signature.signature_algorithm".
  • Memetakan "AuthenticodeHashData" ke "target.file.authentihash".
  • Memetakan "AuthorityKeyIdentifier" ke "security_result.about.artifact.last_https_certificate.extension.authority_key_id.keyid" dan "security_result.about.artifact.last_https_certificate.cert_extensions.fields".
  • Memetakan "SubjectKeyIdentifier" ke "security_result.about.artifact.last_https_certificate.extension.subject_key_id" dan "security_result.about.artifact.last_https_certificate.cert_extensions.fields".
  • Memetakan "OriginalFilename" ke "additional.fields".
  • Memetakan "SignInfoFlagUnknownError", "SignInfoFlagHasValidSignature", "SignInfoFlagSignHashMismatch",
  • "AuthenticodeMatch", "SignInfoFlagMicrosoftSigned", "SignInfoFlagNoSignature", "SignInfoFlagInvalidSignChain",
  • "SignInfoFlagNoCodeKeyUsage", "SignInfoFlagNoEmbeddedCert", "SignInfoFlagThirdPartyRoot",
  • "SignInfoFlagCatalogSigned", "SignInfoFlagSelfSigned", "SignInfoFlagFailedCertCheck",
  • "SignInfoFlagEmbeddedSigned", "IssuerCN", "SubjectCN" ke "security_result.detection_fields".

2023-12-22

  • Memetakan "HostUrl" ke "target.url".
  • Memetakan "ReferrerUrl" ke "network.http.referral_url".

2023-11-23

  • Jika "is_alert" ditetapkan ke "true", maka pemetakan "event.idm.is_significant" ke "true".
  • Jika "is_alert" ditetapkan ke "true", maka pemetakan "event_simpleName" ke "security_result.summary".

2023-10-11

  • Menambahkan pemeriksaan ekspresi reguler untuk memvalidasi nilai SHA-1, MD5, dan SHA256.

2023-08-22

  • Memetakan "Teknik" ke "security_result.attack_details.techniques.name" serta detail teknik dan taktik yang sesuai.

2023-08-03

  • Memetakan "ReflectiveDllName" ke "target.file.full_path".
  • Memetakan "event_type" ke "STATUS_UPDATE" untuk log yang tidak memiliki kolom "DomainName".

2023-08-01

  • Memetakan "Taktik" ke "security_result.attack_details.tactics.name" dan tactics.id yang sesuai.

2023-07-31

  • Bug-Fix-
  • Menambahkan pemeriksaan "on_error" untuk filter tanggal.

2023-06-19

  • Memetakan "ParentBaseFileName" ke "principal.process.file.full_path".
  • Menghapus pemetaan "ImageFileName" ke "target.file.full_path" karena sudah dipetakan ke "target.process.file.full_path" untuk peristiwa "ProcessRollup2" dan "SyntheticProcessRollup2".

2023-05-12

  • Peningkatan -
  • Memetakan 'aip' ke 'intermediary.ip'.

2023-05-08

  • Perbaikan bug - Mengonversi format waktu menjadi string dan menangani format waktu nanodetik.

2023-04-14

  • Peningkatan - Mengubah nilai "Severity" dari rentang [0-19] menjadi "security_result.severity" sebagai "INFORMATIONAL".
  • Mengubah nilai "Severity" dari rentang [20-39] menjadi "security_result.severity" sebagai "LOW".
  • Mengubah nilai "Severity" dari rentang [40-59] menjadi "security_result.severity" sebagai "MEDIUM".
  • Mengubah nilai "Severity" dari rentang[60-79] menjadi "security_result.severity" sebagai "HIGH".
  • Mengubah nilai "Severity" dari rentang[80-100] menjadi "security_result.severity" sebagai "CRITICAL".
  • Memetakan "PatternId" ke "security_result.detection_fields".
  • Memetakan "SourceEndpointIpAddress" ke "principal.ip".
  • Memetakan "metadata.event_type" ke "USER_UNCATEGORIZED" saat "event_simpleName =~ userlogonfailed" dan informasi pengguna tidak ada.
  • Memetakan "metadata.event_type" ke "USER_UNCATEGORIZED" saat "ExternalApiType = "Event_UserActivityAuditEvent"" dan memiliki informasi pengguna.
  • Memetakan "metadata.event_type" ke "USER_UNCATEGORIZED" saat "event_simpleName =~ "ActiveDirectory".
  • Memetakan "TargetAccountObjectGuid" ke "additional.fields".
  • Memetakan "TargetDomainControllerObjectGuid" ke "additional.fields".
  • Memetakan "TargetDomainControllerObjectSid" ke "additional.fields".
  • Memetakan "AggregationActivityCount" ke "additional.fields".
  • Memetakan "TargetServiceAccessIdentifier" ke "additional.fields".
  • Memetakan "SourceAccountUserPrincipal" ke "principal.user.userid".
  • Memetakan "SourceEndpointAddressIP4" ke "principal.ip".
  • Memetakan "SourceAccountObjectGuid" ke "additional.fields".
  • Memetakan "AccountDomain" ke "principal.administrative_domain".
  • Memetakan "AccountObjectGuid" ke "metadata.product_log_id".
  • Memetakan "AccountObjectSid" ke "principal.user.windows_sid".
  • Memetakan "SamAccountName" ke "principal.user.user_display_name".
  • Memetakan "SourceAccountSamAccountName" ke "principal.user.user_display_name".
  • Memetakan "IOARuleGroupName" ke "security_result.detection_fields".
  • Memetakan "IOARuleName" ke "security_result.detection_fields".
  • Memetakan "RemoteAddressIP4" ke "target.ip" untuk "event_simpleName"="RegCredAccessDetectInfo".

24-03-2023

  • Memetakan "ID" ke "metadata.product_log_id", bukan "target.resource.id".
  • Memetakan "RegBinaryValue" ke "target.registry.registry_value_data" jika "RegNumericValue" dan "RegStringValue" null.

2023-03-21

  • Peningkatan -
  • Memetakan "BatchTimestamp", "GcpCreationTimestamp", "K8SCreationTimestamp", "AwsCreationTimestamp" ke "metadata.event_timestamp".
  • Memetakan "FileOperatorSid" ke "target.user.windows_sid".

2023-03-13

  • Peningkatan -
  • Memetakan "LogonTime", "ProcessStartTime", "ContextTimeStamp", "ContextTimeStamp_decimal", dan "AccountCreationTimeStamp" ke "metadata.event_timestamp".

2023-03-10

  • Peningkatan -
  • Memetakan "CallStackModuleNamesVersion","CallStackModuleNamesVersion" ke security_result.detection_fields.

2023-02-28

  • Peningkatan - Mengubah pemetaan berikut untuk kolom "ParentProcessId" saat "event_simpleName" berada di ["ProcessRollup2", "SyntheticProcessRollup2"]
  • "target.process.parent_process.pid" diubah menjadi "target.process.parent_process.product_specific_process_id"

2023-02-16

  • Peningkatan -
  • Memetakan kolom "AssociatedFile" ke "security_result.detection_fields[n].value" dan "security_result.detection_fields[n].key" dipetakan ke "AssociatedIOCFile".

2023-02-09

  • Peningkatan -
  • Memetakan "RegNumericValue" ke "target.registry.registry_value_data".
  • Memetakan "ManagedPdbBuildPath" ke "target.labels".

2023-02-09

  • Penyempurnaan
  • Memetakan ulang kolom yang dipetakan di bagian "target.labels" ke "target.resource.attribute.labels".
  • Memperbaiki pemetaan untuk "ManagedPdbBuildPath" ke "target.resource.attribute.labels".

2023-01-15

  • BugFix -
  • Memetakan ulang "aid" untuk peristiwa "UserLogonFailed" ke "target.asset_id" dari "principal.asset_id".

2023-01-13

  • Peningkatan -
  • Menambahkan pemetaan untuk "Severity", yang memetakan ke "security_result.severity".

2023-01-13

  • Peningkatan -
  • Nama pengguna dipetakan ke principal.user.userid untuk event_type "ScheduledTaskModified" dan "ScheduledTaskRegistered".
  • "AssemblyName","ManagedPdbBuildPath","ModuleILPath" dipetakan ke "target.labels" saat metadata.product_event_type = "ReflectiveDotnetModuleLoad"
  • "VirtualDriveFileName","VolumeName" dipetakan ke "target.labels" saat metadata.product_event_type = "RemovableMediaVolumeMounted"
  • "ImageFileName" dipetakan ke "target.file.full_path" saat metadata.product_event_type = "ClassifiedModuleLoad"

2023-01-02

  • Peningkatan -
  • Nama pengguna dipetakan ke principal.user.userid untuk event_type "ScheduledTaskModified" dan "ScheduledTaskRegistered".

2022-12-22

  • Peningkatan -
  • Memetakan "RemoteAddressIP4" ke "principal.ip" untuk "event_type"="Userlogonfailed2"

2022-11-04

  • Peningkatan -
  • Memetakan "GrandparentImageFileName" ke "principal.process.parent_process.parent_process.file.full_path".
  • Memetakan "GrandparentCommandLine" ke "principal.process.parent_process.parent_process.commamdLine"

2022-11-03

  • Bug -
  • Jika "event_simpleName" adalah "InstalledApplication", parameter berikut akan dipetakan.
  • Memetakan "AppName" ke "principal.asset.software.name".
  • Memetakan "AppVersion" ke "principal.asset.software.version".

2022-10-12

  • Bug -
  • Memetakan "discoverer_aid" ke "resource.attribute.labels".
  • Memetakan "NeighborName" ke "intermediary.hostname".
  • Memetakan "subnet" ke "additional.fields".
  • Memetakan "localipCount" ke "additional.fields".
  • Memetakan "aipCount" ke "additional.fields".
  • Menambahkan pemeriksaan bersyarat untuk "LogonServer"

2022-10-07

  • Perbaikan Bug:
  • Mengubah pemetaan "CommandLine" dari "principal.process.command_line" menjadi "target.process.command_line".

2022-09-13

  • Perbaikan:
  • Memetakan metadata.event_type ke REGISTRY_CREATION dengan RegOperationType "3".
  • Memetakan event_type ke REGISTRY_DELETION dengan RegOperationType "4" atau "102".
  • Memetakan event_type ke REGISTRY_MODIFICATION dengan RegOperationType adalah "5","7","9","101", atau "1".
  • Memetakan event_type ke REGISTRY_UNCATEGORIZED dengan RegOperationType bukan null dan tidak dalam semua kasus sebelumnya.

2022-09-02

  • Tentukan kolom "UserPrincipal" di statedata.

21-08-2022

  • Memetakan "ActivityId" ke "additional.fields".
  • Memetakan "SourceEndpointHostName" ke "principal.hostname".
  • Memetakan "SourceAccountObjectSid" ke "principal.user.windows_sid".
  • Menambahkan kondisi untuk mengurai "LocalAddressIP4" dan "aip".
  • Memetakan "metadata.event_type" ke "STATUS_UPDATE" dengan "ComputerName" dan "LocalAddressIP4" tidak null.
  • Memetakan "SourceEndpointAccountObjectGuid" ke "metadata.product_log_id".
  • Memetakan "SourceEndpointAccountObjectSid" ke "target.user.windows_sid".
  • Memetakan "SourceEndpointHostName" ke "principal.hostname".

18-08-2022

  • Perbaikan:
  • Memetakan kolom berikut:
  • "event.PatternDispositionValue" menjadi "security_result.about.labels".
  • "event.ProcessId" menjadi "principal.process.product_specific_process_id".
  • "event.ParentProcessId" menjadi "target.process.parent_process.pid".
  • "event.ProcessStartTime" menjadi "security_result.detection_fields".
  • "event.ProcessEndTime" menjadi "security_result.detection_fields".
  • "event.ComputerName" menjadi "principal.hostname".
  • "event.UserName" menjadi "principal.user.userid".
  • "event.DetectName" menjadi "security_result.threat_name".
  • "event.DetectDescription" menjadi "security_result.description".
  • "event.SeverityName" menjadi "security_result.severity".
  • "event.FileName" menjadi "target.file.full_path".
  • "event.FilePath" menjadi "target.file.full_path".
  • "event.CommandLine" menjadi "principal.process.command_line".
  • "event.SHA256String" menjadi "target.file.sha256".
  • "event.MD5String" menjadi "security_result.about.file.md5".
  • "event.MachineDomain" menjadi "principal.administrative_domain".
  • "event.FalconHostLink" menjadi "intermediary.url".
  • "event.LocalIP" menjadi "principal.ip".
  • "event.MACAddress" menjadi "principal.mac".
  • "event.Tactic" menjadi "security_result.detection_fields".
  • "event.Technique" menjadi "security_result.detection_fields".
  • "event.Objective" menjadi "security_result.rule_name".
  • "event.PatternDispositionDescription" menjadi "security_result.summary".
  • "event.ParentImageFileName" menjadi "principal.process.parent_process.file.full_path".
  • "event.ParentCommandLine" menjadi "principal.process.parent_process.command_line".

2022-08-30

  • ID yang Di-buganizer: 243245623
  • Peningkatan:
  • Menentukan kolom "UserPrincipal" di statedata.

2022-07-29

  • Memetakan "event_category,event_module,Hmac" ke "additional.fields".
  • Memetakan "user_name" ke "principal.user.userid".
  • Memetakan "event_source" ke "target.application".
  • Menambahkan grok untuk "auth_group dan log baru".
  • Menambahkan pemeriksaan untuk "principal_ip,target_ip, dan event_type".

2022-07-25

  • Perbaikan Bug:

  • Memetakan "metadata.event_type" ke "USER_RESOURCE_ACCESS" dengan "eventType" adalah "K8SDetectionEvent"

  • Memetakan "metadata.event_type" ke "STATUS_UPDATE" dengan "metadata.event_type" null dan "principal.asset_id" tidak null.

  • Memetakan "SourceAccountDomain" ke "principal.administrative_domain"

  • Memetakan "SourceAccountName" ke "principal.user.userid"

  • Memetakan "metadata.event_type" ke "STATUS_UPDATE" dengan "EventType" adalah "Event_ExternalApiEvent" dan "OperationName" di ["quarantined_file_update", "detection_update", "update_rule"]

  • Memetakan "metadata.event_type" ke "USER_RESOURCE_ACCESS" dengan Path null dan FileName null atau AgentIdString null.

  • Memetakan "metadata.event_type" ke "STATUS_UPDATE" dengan Protokol null.

  • Menambahkan pemeriksaan bersyarat untuk MD5String,SHA256String,CommandLine,AgentIdString,ProcessId,ParentProcessId,FilePath,FileName.

2022-07-12

  • untuk event_simpleName - DriverLoad,ProcessRollup,PeVersionInfo,PeFileWritten,TemplateDetectAnalysis,ScriptControlDetectInfo.
  • Memetakan OriginalFilename ke principal.process.file.full_path

2022-06-14

  • Memetakan "CompanyName" ke "target.user.company_name"
  • Memetakan "AccountType" ke "target.user.role_description"
  • Memetakan "ProductVersion" ke "metadata.product_version"
  • Memetakan "LogonInfo" ke "principal.ip"
  • Memetakan "MAC" ke "principal.mac"
  • Memetakan "UserSid_readable" ke "target.user.windows_sid"
  • Memetakan "FileName" ke "target.file.full_path"
  • Memetakan "_time" ke "metadata.event_timestamp"
  • Menambahkan Pemeriksaan bersyarat untuk "MD5HashData", "SHA256HashData", "UserName", "ID", "RegObjectName", "RegStringValue", "RegValueName", "UserSid", "TargetFileName", "aid"

2022-06-20

  • Memetakan "ConfigBuild" ke "security_result.detection_fields".
  • Memetakan "EffectiveTransmissionClass" ke "security_result.detection_fields".
  • Memetakan "Hak" ke "security_result.detection_fields".

2022-06-02

  • Perbaikan Bug: Menghapus nama kunci dan karakter titik dua dari "security_result.detection_fields.value".

2022-05-27

  • Peningkatan - Pemetaan tambahan: SHA256String dan MD5String ke security_result.about.file agar muncul sebagai peristiwa Notifikasi.

2022-05-20

  • Memetakan "LinkName" ke "target.resource.attribute.labels".
  • Mengganti kemungkinan kemunculan "GENERIC_EVENTS" menjadi "STATUS_UPDATE".
  • Menambahkan Backslash di antara proses dan direktori root induknya.
  • Platform yang diuraikan jika "event_platform" adalah iOS.
  • Mengubah resource.type menjadi resource_type.

2022-05-12

  • Peningkatan - resourceName dipetakan ke target.resource.name
  • resourceId dipetakan ke target.resource.product_object_id
  • Namespace dipetakan ke target.namespace
  • Kategori yang dipetakan ke security_result.category_details
  • deskripsi dipetakan ke security_result.description
  • sourceAgent dipetakan ke network.http.user_agent
  • Keparahan yang dipetakan ke security_result.severity
  • resourceKind dipetakan ke target.resource.type
  • detectionName dipetakan ke target.resource.name
  • clusterName dipetakan ke target.resource.attribute.labels
  • clusterId dipetakan ke target.resource.attribute.labels
  • detectionId dipetakan ke target.resource.attribute.labels
  • Jenis yang dipetakan ke additional.fields
  • Perbaikan untuk additional.fields
  • Tolok ukur ke additional.fields
  • badResources ke additional.fields

2022-04-27

  • Bug - Perbaikan: 1. Mengubah event_type udm dari GENERIC_EVENT menjadi USER_LOGIN untuk log dengan ExternalApiType = Event_AuthActivityAuditEvent.
  • 2. Mengubah pemetaan untuk target_user,actor_user, actor_user_uuid dari additional.fields menjadi target.user.email_addresses, target.user.user_display_name, target.user.userid.

2022-04-25

  • Peningkatan - Memetakan "RemoteAddressIP4" ke principal.ip.

2022-04-14

  • Bug - Menambahkan Dukungan untuk kolom ScriptContent untuk semua jenis log

13-04-2022

  • Peningkatan-Pemetaan yang ditambahkan untuk kolom baru
  • Menambahkan pemetaan peristiwa baru - AuthenticationPackage dipetakan ke target.resource.name

2022-04-04

  • Bug - Memetakan "OriginatingURL" ke principal.url untuk peristiwa NetworkConnect.