Esta página foi traduzida pela API Cloud Translation.

Coletar registros de EDR da CrowdStrike

Compatível com:

Google SecOps SIEM

Este documento descreve como exportar registros de EDR do CrowdStrike para as operações de segurança do Google pelo feed das operações de segurança do Google e como os campos do EDR do CrowdStrike são mapeados para os campos do modelo de dados unificado (UDM, na sigla em inglês) das operações de segurança do Google.

Para mais informações, consulte Visão geral da transferência de dados para as operações de segurança do Google.

Uma implantação típica consiste no CrowdStrike ativado para ingestão no Google Security Operations. Cada implantação do cliente pode ser diferente e mais complexa.

A implantação contém os seguintes componentes:

CrowdStrike Falcon Intelligence: o produto do CrowdStrike em que você coleta registros.
Operações de segurança do Google: retém e analisa os registros de EDR do CrowdStrike.

Um rótulo de transferência identifica o analisador que normaliza os dados de registro brutos para o formato estruturado do UDM. As informações neste documento se aplicam ao analisador com o rótulo de transferência CS_EDR.

Antes de começar

Verifique se você tem direitos de administrador na instância do CrowdStrike para instalar o sensor de host do CrowdStrike Falcon.
Verifique se o dispositivo está sendo executado em um sistema operacional compatível.
- O SO precisa estar em execução em um servidor de 64 bits. O Microsoft Windows Server 2008 R2 SP1 é compatível com as versões 6.51 ou mais recentes do sensor de host do Crowdstrike Falcon.
- Os sistemas com versões legadas do SO (por exemplo, Windows 7 SP1) exigem o suporte à assinatura de código SHA-2 instalado nos dispositivos.
Receba o arquivo da conta de serviço do Google Security Operations e seu ID de cliente da equipe de suporte do Google Security Operations.
Verifique se todos os sistemas na arquitetura de implantação estão configurados no fuso horário UTC.

Configurar um feed do Falcon Data Replicator

Para configurar um feed do Falcon Data Replicator, siga estas etapas:

Clique no botão ADD para criar um novo feed do Falcon Data Replicator. Isso vai gerar o identificador do S3, o URL do SQS e a chave secreta do cliente.
Use o feed, o identificador do S3, o URL do SQS e os valores da Chave secreta do cliente gerados para configurar o feed nas Operações de segurança do Google.

Configurar um feed no Google Security Operations para processar registros de EDR do CrowdStrike

É possível usar o SQS ou o bucket do S3 para configurar o feed de transferência no Google Security Operations. A SQS é a opção preferencial, mas o S3 também é aceito.

Para configurar um feed de transferência usando o bucket do S3, siga estas etapas:

Selecione Configurações do SIEM > Feeds.
Clique em Adicionar novo.
Insira um nome exclusivo para o nome do feed.
Em Tipo de origem, selecione Amazon S3.
Em Tipo de registro, selecione CrowdStrike Falcon.
Clique em Próxima.

Com base na conta de serviço e na configuração do bucket do Amazon S3 que você criou, especifique os valores dos seguintes campos:

Campo	Descrição
região	A região do S3 associada ao URI.
S3 uri	O URI de origem do bucket do S3.
uri é um	O tipo de objeto para o qual o URI aponta.
opção de exclusão de origem	Se os arquivos e/ou diretórios serão excluídos após a transferência.
ID da chave de acesso	Uma chave de acesso à conta que é uma string alfanumérica de 20 caracteres, por exemplo, AKIAOSFOODNN7EXAMPLE.
chave de acesso do secret	Uma chave de acesso à conta que é uma string alfanumérica de 40 caracteres, por exemplo, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY.
oauth client id	Um identificador OAuth público específico do cliente.
chave secreta do cliente OAuth	Chave secreta do cliente OAuth 2.0.
oauth secret refresh uri	URI de atualização da chave secreta do cliente OAuth 2.0.
namespace do recurso	O namespace ao qual o feed será associado.

Clique em Próxima e em Enviar.

Para configurar um feed de transferência usando o SQS, siga estas etapas:

Selecione Configurações do SIEM > Feeds.
Clique em Adicionar novo.
Insira um nome exclusivo para o nome do feed.
Em Tipo de origem, selecione Amazon SQS.
Em Tipo de registro, selecione CrowdStrike Falcon.
Clique em Próxima.

Com base na conta de serviço e na configuração do Amazon SQS que você criou, especifique os valores dos seguintes campos:

Campo	Descrição
região	A região do S3 associada ao URI.
NOME DA FILA	O nome da fila SQS a ser lido.
NÚMERO DA CONTA	O número da conta do SQS.
opção de exclusão de origem	Define se os arquivos e/ou diretórios serão excluídos após a transferência.
ID DA CHAVE DE ACESSO DA FILA	Uma chave de acesso à conta que é uma string alfanumérica de 20 caracteres, por exemplo, AKIAOSFOODNN7EXAMPLE.
CHAVE DE ACESSO DO SECRET DA FILA	Uma chave de acesso à conta que é uma string alfanumérica de 40 caracteres, por exemplo, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY.
namespace do recurso	O namespace ao qual o feed será associado.

Clique em Próxima e em Enviar. Observação: entre em contato com a equipe de suporte do Google Security Operations em caso de problemas ao configurar feeds e enviar dados de monitoramento de EDR do Crowdstrike para o Google Security Operations.

Referência do mapeamento de campo

Esse analisador processa os registros JSON da plataforma CrowdStrike Falcon e os normaliza no UDM. Ele extrai campos, processa vários formatos de carimbo de data/hora, mapeia tipos de eventos para tipos de eventos do UDM e enriquece os dados com informações do MITRE ATT&CK e contexto adicional. O analisador também processa tipos de eventos e lógica específicos para logins de usuários, conexões de rede e operações de arquivos, garantindo uma cobertura abrangente do UDM.

Tabela de mapeamento da UDM

Campo de registro	Mapeamento do UDM	Lógica
`AccountCreationTimeStamp`	`event.idm.read_only_udm.metadata.event_timestamp`	O campo de registro bruto `AccountCreationTimeStamp` é convertido em um carimbo de data/hora do UDM e mapeado para `event_timestamp`.
`AccountDomain`	`event.idm.read_only_udm.principal.administrative_domain`	Mapeamento direto.
`AccountObjectGuid`	`event.idm.read_only_udm.metadata.product_log_id`	Mapeamento direto.
`AccountObjectSid`	`event.idm.read_only_udm.principal.user.windows_sid`	Mapeamento direto.
`ActiveDirectoryAuthenticationMethod`	`event.idm.read_only_udm.extensions.auth.mechanism`	Se `ActiveDirectoryAuthenticationMethod` for 0, o mecanismo será `KERBEROS`. Caso contrário, o mecanismo é `AUTHTYPE_UNSPECIFIED`.
`ActivityId`	`event.idm.read_only_udm.additional.fields[ActivityId]`	Adicionado como um par de chave-valor à matriz `additional_fields`.
`AggregationActivityCount`	`event.idm.read_only_udm.additional.fields[AggregationActivityCount]`	Adicionado como um par de chave-valor à matriz `additional_fields`.
`AgentIdString`	`event.idm.read_only_udm.principal.asset_id`	Prefixado com "CS:".
`AgentOnlineMacV13`	`event.idm.read_only_udm.metadata.description`	Mapeamento direto.
`AgentVersion`	`event.idm.read_only_udm.principal.asset.attribute.labels[AgentVersion]`	Adicionado como um par de chave-valor à matriz `labels`.
`aid`	`event.idm.read_only_udm.principal.asset_id`	Prefixado com "CS:".
`aip`	`event.idm.read_only_udm.principal.nat_ip`, `intermediary.ip`	Se `_aid_is_target` for falso, mapeie para `principal.nat_ip` e `intermediary.ip`. Se `_aid_is_target` for verdadeiro e `LogonType` for 3, mapeie para `target.nat_ip` e `intermediary.ip`.
`aipCount`	`event.idm.read_only_udm.additional.fields[aipCount]`	Adicionado como um par de chave-valor à matriz `additional_fields`.
`AppName`	`event.idm.read_only_udm.principal.asset.software.name`	Mapeamento direto.
`ApplicationName`	`event.idm.read_only_udm.target.application`	Mapeamento direto.
`AppVersion`	`event.idm.read_only_udm.principal.asset.software.version`	Mapeamento direto.
`AsepFileChangeMacV2`	`event.idm.read_only_udm.metadata.description`	Mapeamento direto.
`AsepKeyUpdateV6`	`event.idm.read_only_udm.metadata.description`	Mapeamento direto.
`AsepValueUpdateV7`	`event.idm.read_only_udm.metadata.description`	Mapeamento direto.
`AssociateIndicatorV5`	`event.idm.read_only_udm.metadata.description`	Mapeamento direto.
`AssociateTreeIdWithRootV6`	`event.idm.read_only_udm.metadata.description`	Mapeamento direto.
`AssemblyName`	`event.idm.read_only_udm.target.resource.attribute.labels[AssemblyName]`	Adicionado como um par de chave-valor à matriz `labels`.
`AuthenticationId`	`event.idm.read_only_udm.principal.user.product_object_id`, `event.idm.read_only_udm.target.user.product_object_id`	Se `_aid_is_target` for falso, mapeie para `principal.user.product_object_id`. Se `_aid_is_target` for verdadeiro e `LogonType` for 3, mapeie para `target.user.product_object_id`.
`AuthenticationPackage`	`event.idm.read_only_udm.target.resource.name`	Mapeamento direto.
`AuthenticodeHashData`	`event.idm.read_only_udm.target.file.authentihash`	Mapeamento direto.
`AuthenticodeMatch`	`event.idm.read_only_udm.security_result.detection_fields[AuthenticodeMatch]`	Adicionado como um par de chave-valor à matriz `detection_fields`.
`AuthorityKeyIdentifier`	`event.idm.read_only_udm.security_result.about.artifact.last_https_certificate.extension.authority_key_id.keyid`, `event.idm.read_only_udm.security_result.about.artifact.last_https_certificate.cert_extensions.fields[authority_key_id.keyid]`	Adicionado como um par de chave-valor à matriz `cert_extensions.fields`.
`BatchTimestamp`	`event.idm.read_only_udm.metadata.event_timestamp`	O campo de registro bruto `BatchTimestamp` é convertido em um carimbo de data/hora do UDM e mapeado para `event_timestamp`.
`badResources`	`event.idm.read_only_udm.additional.fields[badResource_n]`	Para cada elemento na matriz `badResources`, um par de chave-valor é adicionado à matriz `additional_fields` com a chave `badResource_n`, em que `n` é o índice do elemento.
`benchmarks`	`event.idm.read_only_udm.additional.fields[benchmark_n]`	Para cada elemento na matriz `benchmarks`, um par de chave-valor é adicionado à matriz `additional_fields` com a chave `benchmark_n`, em que `n` é o índice do elemento.
`BehaviorWhitelistedV3`	`event.idm.read_only_udm.metadata.description`	Mapeamento direto.
`BillingInfoV2`	`event.idm.read_only_udm.metadata.description`	Mapeamento direto.
`BiosVersion`	`event.idm.read_only_udm.principal.asset.attribute.labels[BiosVersion]`	Adicionado como um par de chave-valor à matriz `labels`.
`BITSJobCreatedV2`	`event.idm.read_only_udm.metadata.description`	Mapeamento direto.
`BrowserInjectedThreadV5`	`event.idm.read_only_udm.metadata.description`	Mapeamento direto.
`CallStackModuleNames`	`event.idm.read_only_udm.security_result.detection_fields[CallStackModuleNames]`	Adicionado como um par de chave-valor à matriz `detection_fields`.
`CallStackModuleNamesVersion`	`event.idm.read_only_udm.security_result.detection_fields[CallStackModuleNamesVersion]`	Adicionado como um par de chave-valor à matriz `detection_fields`.
`category`	`event.idm.read_only_udm.security_result.category_details`	Mapeamento direto.
`ChannelVersionRequiredV1`	`event.idm.read_only_udm.metadata.description`	Mapeamento direto.
`ChassisType`	`event.idm.read_only_udm.principal.asset.attribute.labels[ChassisType]`	Adicionado como um par de chave-valor à matriz `labels`.
`cid`	`event.idm.read_only_udm.metadata.product_deployment_id`	Mapeamento direto.
`City`	`event.idm.read_only_udm.principal.location.city`	Mapeamento direto.
`ClassifiedModuleLoadV1`	`event.idm.read_only_udm.metadata.description`	Mapeamento direto.
`CloudAssociateTreeIdWithRootV3`	`event.idm.read_only_udm.metadata.description`	Mapeamento direto.
`CommandLine`	`event.idm.read_only_udm.principal.process.command_line`, `event.idm.read_only_udm.target.process.command_line`, `event.idm.read_only_udm.principal.process.parent_process.parent_process.command_line`	Se `event_simpleName` for `ProcessRollup2` ou `SyntheticProcessRollup2`, mapeie para `target.process.command_line`. Se `event_simpleName` for `CreateService`, mapeie para `principal.process.command_line`. Se `event_simpleName` for `FalconHostFileTamperingInfo`, mapeie para `principal.process.command_line`. Se `event_simpleName` for `HostedServiceStarted` ou `ServiceStarted`, mapeie para `principal.process.command_line`. Se `event_simpleName` for `ProcessRollup2Stats`, mapeie para `principal.process.command_line`. Se `event_simpleName` for `RansomwareCreateFile`, mapeie para `principal.process.command_line`. Se `event_simpleName` for `ScreenshotTakenEtw`, mapeie para `principal.process.command_line`. Se `event_simpleName` for `ScriptControlDetectInfo`, mapeie para `target.process.command_line`. Se `event_simpleName` for `SuspiciousCreateSymbolicLink`, mapeie para `principal.process.command_line`. Se `event_simpleName` for `UACExeElevation`, mapeie para `principal.process.command_line`. Se `event_simpleName` for `WmiCreateProcess`, mapeie para `principal.process.command_line`. Se `event_simpleName` for `WmiFilterConsumerBindingEtw` ou `WmiProviderRegistrationEtw`, mapeie para `principal.process.command_line`. Se `ExternalApiType` for `DetectionSummaryEvent`, mapeie para `target.process.command_line`. Se `event_simpleName` for `ReflectiveDllOpenProcess`, mapeie para `principal.process.command_line`. Se `GrandparentCommandLine` não estiver definido, mapeie para `event.idm.read_only_udm.principal.process.parent_process.parent_process.command_line`.
`CommandHistory`	`event.idm.read_only_udm.target.resource.attribute.labels[CommandHistory]`	Adicionado como um par de chave-valor à matriz `labels`.
`CompanyName`	`event.idm.read_only_udm.target.user.company_name`	Mapeamento direto.
`ComputerName`	`event.idm.read_only_udm.principal.hostname`, `event.idm.read_only_udm.principal.asset.hostname`	Se `ComputerName` não estiver vazio ou "-", mapeie para `principal.hostname` e `principal.asset.hostname`.
`ConfigBuild`	`event.idm.read_only_udm.security_result.detection_fields[ConfigBuild]`	Adicionado como um par de chave-valor à matriz `detection_fields`.
`ConfigStateHash`	`event.idm.read_only_udm.security_result.detection_fields[ConfigStateHash]`	Adicionado como um par de chave-valor à matriz `detection_fields`.
`ConfigStateUpdateV1`	`event.idm.read_only_udm.metadata.description`	Mapeamento direto.
`ConnectionDirection`	`_network_direction`	Se 0, defina `_network_direction` como `OUTBOUND`. Se 1, defina `_network_direction` como `INBOUND`. Se 2, defina `_network_direction` como `NEITHER`. Se 3, defina `_network_direction` como `STATUS_UPDATE`.
`Continent`	`event.idm.read_only_udm.additional.fields[Continent]`	Adicionado como um par de chave-valor à matriz `additional_fields`.
`ContentSHA256HashData`	`event.idm.read_only_udm.security_result.detection_fields[ContentSHA256HashData]`	Adicionado como um par de chave-valor à matriz `detection_fields`.
`ContextProcessId`	`event.idm.read_only_udm.principal.process.product_specific_process_id`, `event.idm.read_only_udm.target.process.product_specific_process_id`	Se `_aid_is_target` for falso, mapeie para `principal.process.product_specific_process_id`. Se `_aid_is_target` for verdadeiro e `LogonType` for 3, mapeie para `target.process.product_specific_process_id`.
`ContextTimeStamp`	`event.idm.read_only_udm.metadata.event_timestamp`, `event.idm.read_only_udm.security_result.detection_fields[ContextTimeStamp]`	O campo de registro bruto `ContextTimeStamp` é convertido em um carimbo de data/hora do UDM e mapeado para `event_timestamp`. Adicionado como um par de chave-valor à matriz `detection_fields`.
`Country`	`event.idm.read_only_udm.principal.location.country_or_region`	Mapeamento direto.
`CreateServiceV3`	`event.idm.read_only_udm.metadata.description`	Mapeamento direto.
`CreateThreadNoStartImageV12`	`event.idm.read_only_udm.metadata.description`	Mapeamento direto.
`CrashNotificationV4`	`event.idm.read_only_udm.metadata.description`	Mapeamento direto.
`CriticalFileAccessedLinV1`	`event.idm.read_only_udm.metadata.description`	Mapeamento direto.
`CriticalFileModifiedMacV2`	`event.idm.read_only_udm.metadata.description`	Mapeamento direto.
`CurrentSystemTagsV1`	`event.idm.read_only_udm.metadata.description`	Mapeamento direto.
`DCSyncAttemptedV1`	`event.idm.read_only_udm.metadata.description`	Mapeamento direto.
`DcName`	`event.idm.read_only_udm.principal.user.userid`	As barras invertidas são removidas do campo `DcName`.
`DcOnlineV1`	`event.idm.read_only_udm.metadata.description`	Mapeamento direto.
`DcStatusV1`	`event.idm.read_only_udm.metadata.description`	Mapeamento direto.
`DcUsbConfigurationDescriptorV2`	`event.idm.read_only_udm.metadata.description`	Mapeamento direto.
`DcUsbDeviceConnectedV2`	`event.idm.read_only_udm.metadata.description`	Mapeamento direto.
`DcUsbDeviceDisconnectedV2`	`event.idm.read_only_udm.metadata.description`	Mapeamento direto.
`DcUsbEndpointDescriptorV2`	`event.idm.read_only_udm.metadata.description`	Mapeamento direto.
`DcUsbHIDDescriptorV2`	`event.idm.read_only_udm.metadata.description`	Mapeamento direto.
`DcUsbInterfaceDescriptorV2`	`event.idm.read_only_udm.metadata.description`	Mapeamento direto.
`DeepHashBlacklistClassificationV1`	`event.idm.read_only_udm.metadata.description`	Mapeamento direto.
`DeliverLocalFXToCloudV2`	`event.idm.read_only_udm.metadata.description`	Mapeamento direto.
`DeliverLocalFXToCloudV3`	`event.idm.read_only_udm.metadata.description`	Mapeamento direto.
`DesiredAccess`	`event.idm.read_only_udm.security_result.detection_fields[DesiredAccess]`	Adicionado como um par de chave-valor à matriz `detection_fields`.
`DetectDescription`	`event.idm.read_only_udm.security_result.description`	Mapeamento direto.
`DetectId`	`event.idm.read_only_udm.security_result.about.labels[DetectId]`	Adicionado como um par de chave-valor à matriz `labels`.
`DetectName`	`event.idm.read_only_udm.security_result.threat_name`	Mapeamento direto.
`detectionId`	`event.idm.read_only_udm.security_result.detection_fields[detectionId]`	Adicionado como um par de chave-valor à matriz `detection_fields`.
`detectionName`	`event.idm.read_only_udm.security_result.detection_fields[detectionName]`	Adicionado como um par de chave-valor à matriz `detection_fields`.
`DeviceInstanceId`	`event.idm.read_only_udm.target.asset_id`	Prefixado com "ID da instância do dispositivo: ".
`DeviceManufacturer`	`event.idm.read_only_udm.target.asset.hardware.manufacturer`	Mapeamento direto.
`DeviceProduct`	`event.idm.read_only_udm.target.asset.hardware.model`	Mapeamento direto.
`DevicePropertyDeviceDescription`	`event.idm.read_only_udm.target.asset.attribute.labels[Device Property Device Description]`	Adicionado como um par de chave-valor à matriz `labels`.
`DevicePropertyLocationInformation`	`event.idm.read_only_udm.target.asset.attribute.labels[Device Property Location Information]`	Adicionado como um par de chave-valor à matriz `labels`.
`DeviceSerialNumber`	`event.idm.read_only_udm.target.asset.hardware.serial_number`	Mapeamento direto.
`DeviceTimeStamp`	`event.idm.read_only_udm.metadata.event_timestamp`	O campo de registro bruto `DeviceTimeStamp` é convertido em um carimbo de data/hora do UDM e mapeado para `event_timestamp`.
`DirectoryCreateMacV1`	`event.idm.read_only_udm.metadata.description`	Mapeamento direto.
`DiskParentDeviceInstanceId`	`event.idm.read_only_udm.target.resource.id`	Mapeamento direto.
`DllInjectionV1`	`event.idm.read_only_udm.metadata.description`	Mapeamento direto.
`DmpFileWrittenV11`	`event.idm.read_only_udm.metadata.description`	Mapeamento direto.
`DomainName`	`event.idm.read_only_udm.target.hostname`, `event.idm.read_only_udm.target.asset.hostname`	Se `event_simpleName` for `DnsRequest` ou `SuspiciousDnsRequest`, mapeie para `target.hostname` e `target.asset.hostname`.
`DotnetModuleLoadDetectInfoV1`	`event.idm.read_only_udm.metadata.description`	Mapeamento direto.
`DownloadServer`	`event.id

Alterações

2024-06-06

"OriginalFilename" foi associado a "target.process.file.exif_info.original_file".

2024-05-31

"os_version" foi mapeado para "principal.platform_version".
"hostname" foi mapeado para "principal.hostname" e "principal.asset.hostname".
Mapeamos "product_type_desc", "host_hidden_status", "scores.os", "scores.sensor", "scores.version", "scores.overall" e "scores.modified_time" para "security_result.detection_fields".

2024-05-23

"Version" foi mapeado para "principal.platform_version".

2024-05-21

Quando "event_simpleName" é "FileWritten", "NetworkConnect" ou "DnsRequest", "ContextBaseFileName" é mapeado para "principal.process.file.full_path".
"QuarantinedFileName" foi associado a "principal.process.file.full_path".

2024-05-15

"Version", "BiosVersion" e "ChassisType" foram mapeados para "principal.asset.attribute.labels".
Mapeamos "Continent", "OU" e "SiteName" para "additional.fields".

2024-04-17

"ModuleILPath" foi mapeado para "target.resource.attribute.labels".

2024-04-08

Correção de bugs:
Quando "event_simpleName" é "ClassifiedModuleLoad", "metadata.event_type" muda de "STATUS_UPDATE" para "PROCESS_MODULE_LOAD".

2024-02-21

Mapeamos "SubjectDN" para "security_result.about.artifact.last_https_certificate.subject".
Mapeamos "IssuerDN" para "security_result.about.artifact.last_https_certificate.issuer".
Mapeamos "SubjectCertValidTo" para "security_result.about.artifact.last_https_certificate.validity.issue_time".
"SubjectCertValidFrom" foi associado a "security_result.about.artifact.last_https_certificate.validity.expiry_time".
Mapeamos "SubjectSerialNumber" para "security_result.about.artifact.last_https_certificate.serial_number".
"SubjectVersion" foi associado a "security_result.about.artifact.last_https_certificate.version".
"SubjectCertThumbprint" foi associado a "security_result.about.artifact.last_https_certificate.thumbprint".
Mapeamos "SignatureDigestAlg" para "security_result.about.artifact.last_https_certificate.signature_algorithm".
"SignatureDigestEncryptAlg" foi associado a "security_result.about.artifact.last_https_certificate.cert_signature.signature_algorithm".
"AuthenticodeHashData" foi associado a "target.file.authentihash".
O AuthorityKeyIdentifier foi mapeado para security_result.about.artifact.last_https_certificate.extension.authority_key_id.keyid e security_result.about.artifact.last_https_certificate.cert_extensions.fields.
Mapeamos "SubjectKeyIdentifier" para "security_result.about.artifact.last_https_certificate.extension.subject_key_id" e "security_result.about.artifact.last_https_certificate.cert_extensions.fields".
"OriginalFilename" foi associado a "additional.fields".
Mapeou "SignInfoFlagUnknownError", "SignInfoFlagHasValidSignature", "SignInfoFlagSignHashMismatch",
"AuthenticodeMatch", "SignInfoFlagMicrosoftSigned", "SignInfoFlagNoSignature", "SignInfoFlagInvalidSignChain",
"SignInfoFlagNoCodeKeyUsage", "SignInfoFlagNoEmbeddedCert", "SignInfoFlagThirdPartyRoot",
"SignInfoFlagCatalogSigned", "SignInfoFlagSelfSigned", "SignInfoFlagFailedCertCheck",
"SignInfoFlagEmbeddedSigned", "IssuerCN", "SubjectCN" para "security_result.detection_fields".

2023-12-22

"HostUrl" foi associado a "target.url".
"ReferrerUrl" foi associado a "network.http.referral_url".

2023-11-23

Quando "is_alert" é definido como "true", "event.idm.is_significant" é mapeado como "true".
Quando "is_alert" é definido como "true", "event_simpleName" é associado a "security_result.summary".

2023-10-11

Adição de uma verificação de expressão regular para validar os valores SHA-1, MD5 e SHA256.

2023-08-22

"Technique" foi associado a "security_result.attack_details.techniques.name" e aos detalhes correspondentes de técnica e tática.

2023-08-03

"ReflectiveDllName" foi mapeado para "target.file.full_path".
"event_type" foi mapeado para "STATUS_UPDATE" em registros em que o campo "DomainName" está ausente.

2023-08-01

"Tática" foi mapeada para "security_result.attack_details.tactics.name" e tactics.id correspondente.

2023-07-31

Correção de bugs-
A verificação "on_error" foi adicionada ao filtro de data.

2023-06-19

"ParentBaseFileName" foi mapeado para "principal.process.file.full_path".
O mapeamento de "ImageFileName" para "target.file.full_path" foi removido, porque ele já está mapeado para "target.process.file.full_path" para os eventos "ProcessRollup2" e "SyntheticProcessRollup2".

2023-05-12

Melhoria:
O "aip" foi mapeado para "intermediary.ip".

2023-05-08

Correção de bug: converta formatos de hora em string e processe o formato de tempo de nanossegundos.

2023-04-14

Melhoria: o valor "Severity" do intervalo [0-19] foi modificado para "security_result.severity" como "INFORMATIONAL".
O valor "Severity" do intervalo [20-39] foi modificado para "security_result.severity" como "LOW".
O valor "Severity" do intervalo [40-59] foi modificado para "security_result.severity" como "MEDIUM".
O valor "Severity" do intervalo [60-79] foi modificado para "security_result.severity" como "HIGH".
O valor "Severity" de range[80-100] foi modificado para "security_result.severity" como "CRITICAL".
"PatternId" foi mapeado para "security_result.detection_fields".
"SourceEndpointIpAddress" foi mapeado para "principal.ip".
"metadata.event_type" foi mapeado para "USER_UNCATEGORIZED" quando "event_simpleName =~ userlogonfailed" e as informações do usuário não estavam presentes.
Mapeou "metadata.event_type" para "USER_UNCATEGORIZED" quando "ExternalApiType = "Event_UserActivityAuditEvent"" e tem informações do usuário.
"metadata.event_type" foi associado a "USER_UNCATEGORIZED" quando "event_simpleName =~ "ActiveDirectory".
"TargetAccountObjectGuid" foi mapeado para "additional.fields".
Mapeamos "TargetDomainControllerObjectGuid" para "additional.fields".
"TargetDomainControllerObjectSid" foi mapeado para "additional.fields".
"AggregationActivityCount" foi associado a "additional.fields".
Mapeamos "TargetServiceAccessIdentifier" para "additional.fields".
"SourceAccountUserPrincipal" foi associado a "principal.user.userid".
"SourceEndpointAddressIP4" foi mapeado para "principal.ip".
"SourceAccountObjectGuid" foi mapeado para "additional.fields".
"AccountDomain" foi associado a "principal.administrative_domain".
Mapeamos "AccountObjectGuid" para "metadata.product_log_id".
Mapeamos "AccountObjectSid" para "principal.user.windows_sid".
"SamAccountName" foi associado a "principal.user.user_display_name".
"SourceAccountSamAccountName" foi associado a "principal.user.user_display_name".
"IOARuleGroupName" foi associado a "security_result.detection_fields".
"IOARuleName" foi associado a "security_result.detection_fields".
"RemoteAddressIP4" foi associado a "target.ip" para "event_simpleName"="RegCredAccessDetectInfo".

2023-03-24

O "ID" foi mapeado para "metadata.product_log_id" em vez de "target.resource.id".
"RegBinaryValue" foi mapeado para "target.registry.registry_value_data" se "RegNumericValue" e "RegStringValue" forem nulos.

2023-03-21

Melhoria:
"BatchTimestamp", "GcpCreationTimestamp", "K8SCreationTimestamp" e "AwsCreationTimestamp" foram mapeados para "metadata.event_timestamp".
"FileOperatorSid" foi mapeado para "target.user.windows_sid".

2023-03-13

Melhoria:
Mapeou "LogonTime", "ProcessStartTime", "ContextTimeStamp", "ContextTimeStamp_decimal" e "AccountCreationTimeStamp" para "metadata.event_timestamp".

2023-03-10

Melhoria:
Mapeamos "CallStackModuleNamesVersion" e "CallStackModuleNamesVersion" para security_result.detection_fields.

2023-02-28

Melhoria: foram modificados os seguintes mapeamentos para o campo "ParentProcessId" quando "event_simpleName" está em ["ProcessRollup2", "SyntheticProcessRollup2"].
"target.process.parent_process.pid" modificado para "target.process.parent_process.product_specific_process_id"

2023-02-16

Melhoria:
O campo "AssociatedFile" foi mapeado para "security_result.detection_fields[n].value" e "security_result.detection_fields[n].key" foi mapeado para "AssociatedIOCFile".

2023-02-09

Melhoria:
"RegNumericValue" foi mapeado para "target.registry.registry_value_data".
"ManagedPdbBuildPath" foi mapeado para "target.labels".

2023-02-09

Melhoria
Os campos mapeados em "target.labels" foram remapeados para "target.resource.attribute.labels".
O mapeamento de "ManagedPdbBuildPath" foi corrigido para "target.resource.attribute.labels".

2023-01-15

BugFix:
O "aid" do evento "UserLogonFailed" foi remapeado para "target.asset_id" de "principal.asset_id".

2023-01-13

Melhoria:
Foi adicionado um mapeamento para "Severity", mapeando-o para "security_result.severity".

2023-01-13

Melhoria:
Nome do usuário associado a principal.user.userid para event_type "ScheduledTaskModified" e "ScheduledTaskRegistered".
"AssemblyName","ManagedPdbBuildPath" e "ModuleILPath" mapeados para "target.labels" quando metadata.product_event_type = "ReflectiveDotnetModuleLoad"
"VirtualDriveFileName","VolumeName" mapeados para "target.labels" quando metadata.product_event_type = "RemovableMediaVolumeMounted"
"ImageFileName" mapeado para "target.file.full_path" quando metadata.product_event_type = "ClassifiedModuleLoad"

2023-01-02

Melhoria:
Nome do usuário associado a principal.user.userid para event_type "ScheduledTaskModified" e "ScheduledTaskRegistered".

2022-12-22

Melhoria:
"RemoteAddressIP4" foi associado a "principal.ip" para "event_type"="Userlogonfailed2"

2022-11-04

Melhoria:
"GrandparentImageFileName" foi associado a "principal.process.parent_process.parent_process.file.full_path".
"GrandparentCommandLine" foi associado a "principal.process.parent_process.parent_process.commamdLine".

2022-11-03

Bug:
Quando "event_simpleName" é "InstalledApplication", os parâmetros a seguir são mapeados.
"AppName" foi associado a "principal.asset.software.name".
Mapeamos "AppVersion" para "principal.asset.software.version".

2022-10-12

Bug:
"discoverer_aid" foi mapeado para "resource.attribute.labels".
"NeighborName" foi mapeado para "intermediary.hostname".
"Sub-rede" foi mapeada para "additional.fields".
"localipCount" foi associado a "additional.fields".
"aipCount" foi mapeado para "additional.fields".
Adição de uma verificação condicional para "LogonServer"

2022-10-07

Correção de bugs:
O mapeamento "CommandLine" mudou de "principal.process.command_line" para "target.process.command_line".

2022-09-13

Corrigir:
Mapeamos metadata.event_type para REGISTRY_CREATION, em que RegOperationType é "3".
O event_type foi mapeado para REGISTRY_DELETION, em que RegOperationType é "4" ou "102".
O event_type foi associado a REGISTRY_MODIFICATION, em que RegOperationType é "5","7","9","101" ou "1".
O event_type foi mapeado para REGISTRY_UNCATEGORIZED, em que RegOperationType não é nulo e não está em todos os casos anteriores.

2022-09-02

Defina o campo "UserPrincipal" nos dados de estado.

21/08/2022

"ActivityId" foi mapeado para "additional.fields".
"SourceEndpointHostName" foi mapeado para "principal.hostname".
"SourceAccountObjectSid" foi mapeado para "principal.user.windows_sid".
Foi adicionada uma condição para analisar "LocalAddressIP4" e "aip".
"metadata.event_type" foi associado a "STATUS_UPDATE", em que "ComputerName" e "LocalAddressIP4" não são nulos.
"SourceEndpointAccountObjectGuid" foi mapeado para "metadata.product_log_id".
Mapeamos "SourceEndpointAccountObjectSid" para "target.user.windows_sid".
"SourceEndpointHostName" foi mapeado para "principal.hostname".

18/08/2022

Corrigir:
Mapeou os seguintes campos:
"event.PatternDispositionValue" para "security_result.about.labels".
"event.ProcessId" para "principal.process.product_specific_process_id".
"event.ParentProcessId" para "target.process.parent_process.pid".
"event.ProcessStartTime" para "security_result.detection_fields".
"event.ProcessEndTime" para "security_result.detection_fields".
"event.ComputerName" para "principal.hostname".
"event.UserName" para "principal.user.userid".
"event.DetectName" para "security_result.threat_name".
"event.DetectDescription" para "security_result.description".
"event.SeverityName" para "security_result.severity".
"event.FileName" para "target.file.full_path".
"event.FilePath" para "target.file.full_path".
"event.CommandLine" para "principal.process.command_line".
"event.SHA256String" para "target.file.sha256".
"event.MD5String" para "security_result.about.file.md5".
"event.MachineDomain" para "principal.administrative_domain".
"event.FalconHostLink" para "intermediary.url".
De "event.LocalIP" para "principal.ip".
"event.MACAddress" para "principal.mac".
"event.Tactic" para "security_result.detection_fields".
"event.Technique" para "security_result.detection_fields".
"event.Objective" para "security_result.rule_name".
"event.PatternDispositionDescription" para "security_result.summary".
"event.ParentImageFileName" para "principal.process.parent_process.file.full_path".
"event.ParentCommandLine" para "principal.process.parent_process.command_line".

2022-08-30

IDs do Buganizer: 243245623
Enahancement:
Definiu o campo "UserPrincipal" nos dados de estado.

2022-07-29

"event_category,event_module,Hmac" foi associado a "additional.fields".
"user_name" foi associado a "principal.user.userid".
"event_source" foi mapeado para "target.application".
Adição de grok para "auth_group and new logs".
Foi adicionada uma verificação para "principal_ip,target_ip e event_type".

2022-07-25

Correção de bugs:
"metadata.event_type" foi associado a "USER_RESOURCE_ACCESS", em que "eventType" é "K8SDetectionEvent".
Mapeamos "metadata.event_type" para "STATUS_UPDATE", em que "metadata.event_type" é nulo e "principal.asset_id" não é nulo.
"SourceAccountDomain" foi associado a "principal.administrative_domain"
"SourceAccountName" foi associado a "principal.user.userid"
Mapeamos "metadata.event_type" para "STATUS_UPDATE", em que "EventType" é "Event_ExternalApiEvent" e "OperationName" está em ["quarantined_file_update", "detection_update", "update_rule"].
"metadata.event_type" foi associado a "USER_RESOURCE_ACCESS", em que "Path" é nulo e "FileName" ou "AgentIdString" também são nulos.
"metadata.event_type" foi mapeado para "STATUS_UPDATE", em que o protocolo é nulo.
Adição de uma verificação condicional para MD5String, SHA256String, CommandLine, AgentIdString, ProcessId, ParentProcessId, FilePath e FileName.

2022-07-12

para event_simpleName: DriverLoad,ProcessRollup,PeVersionInfo,PeFileWritten,TemplateDetectAnalysis,ScriptControlDetectInfo.
OriginalFilename foi mapeado para principal.process.file.full_path

2022-06-14

"CompanyName" foi associado a "target.user.company_name"
"AccountType" foi associado a "target.user.role_description"
Mapeamos "ProductVersion" para "metadata.product_version"
"LogonInfo" foi mapeado para "principal.ip"
"MAC" foi mapeado para "principal.mac".
"UserSid_readable" foi mapeado para "target.user.windows_sid".
"FileName" foi associado a "target.file.full_path"
"_time" foi associado a "metadata.event_timestamp"
Adição de uma verificação condicional para "MD5HashData", "SHA256HashData", "UserName", "ID", "RegObjectName", "RegStringValue", "RegValueName", "UserSid", "TargetFileName" e "aid"

2022-06-20

"ConfigBuild" foi associado a "security_result.detection_fields".
"EffectiveTransmissionClass" foi mapeado para "security_result.detection_fields".
"Direitos" foi mapeado para "security_result.detection_fields".

2022-06-02

Correção de bug: o nome da chave e o caractere dois-pontos foram removidos de "security_result.detection_fields.value".

2022-05-27

Melhoria: mapeamento adicional: SHA256String e MD5String para security_result.about.file para aparecer como evento de alerta.

2022-05-20

"LinkName" foi associado a "target.resource.attribute.labels".
As possíveis ocorrências de "GENERIC_EVENTS" foram alteradas para "STATUS_UPDATE".
Adicionamos o caractere de barra invertida entre o processo e o diretório raiz pai.
Plataforma analisada se "event_platform" for iOS.
O recurso resource.type foi alterado para resource_type.

2022-05-12

Melhoria: resourceName mapeado para target.resource.name
resourceId mapeado para target.resource.product_object_id
Namespace mapeado para target.namespace
Categoria mapeada para security_result.category_details
descrição mapeada para security_result.description
sourceAgent mapeado para network.http.user_agent
Gravidade mapeada para security_result.severity
resourceKind mapeado para target.resource.type
detectionName mapeado para target.resource.name
clusterName mapeado para target.resource.attribute.labels
clusterId mapeado para target.resource.attribute.labels
detectionId mapeado para target.resource.attribute.labels
Tipo mapeado para additional.fields
Correção para additional.fields
Comparações com outros produtos para additional.fields
badResources para additional.fields

2022-04-27

Bug - Fix: 1. O event_type do udm mudou de GENERIC_EVENT para USER_LOGIN para registros com ExternalApiType = Event_AuthActivityAuditEvent.
2. Os mapeamentos de target_user, actor_user e actor_user_uuid foram alterados de additional.fields para target.user.email_addresses, target.user.user_display_name e target.user.userid, respectivamente.

2022-04-25

Melhoria: mapeamos "RemoteAddressIP4" para principal.ip.

2022-04-14

Bug: adição de suporte ao campo "ScriptContent" para todos os tipos de registros

13/04/2022

Melhoria: mapeamentos adicionados para novos campos
Foram adicionados novos mapeamentos de eventos: AuthenticationPackage mapeado para target.resource.name

2022-04-04

Bug: "OriginatingURL" foi mapeado para principal.url para eventos NetworkConnect.