Questa pagina è stata tradotta dall'API Cloud Translation.

Raccogliere i log di CrowdStrike Falcon

Questo documento fornisce indicazioni su come importare i log di CrowdStrike Falcon in Google Security Operations nel seguente modo:

Raccogli i log di CrowdStrike Falcon configurando un feed Google Security Operations.
Mappa i campi dei log di CrowdStrike Falcon ai campi Unified Data Model (UDM) di Google SecOps.
Comprendi i tipi di log e di eventi CrowdStrike Falcon supportati.

Per saperne di più, consulta la panoramica dell'importazione dei dati in Google SecOps.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

Diritti di amministratore sull'istanza di CrowdStrike per installare il sensore host CrowdStrike Falcon
Tutti i sistemi nell'architettura di deployment sono configurati nel fuso orario UTC.
Il dispositivo di destinazione utilizza un sistema operativo supportato
- Deve essere un server a 64 bit
- Microsoft Windows Server 2008 R2 SP1 è supportato per il sensore CrowdStrike Falcon Host versione 6.51 o successive.
- Le versioni precedenti del sistema operativo devono supportare la firma del codice SHA-2.
File dell'account di servizio Google SecOps e ID cliente del team di assistenza Google SecOps

Esegui il deployment di CrowdStrike Falcon con l'integrazione del feed Google SecOps

Un deployment tipico è costituito da CrowdStrike Falcon, che invia i log, e dal feed Google SecOps, che li recupera. Il deployment potrebbe variare leggermente in base alla configurazione.

Il deployment in genere include i seguenti componenti:

CrowdStrike Falcon Intelligence: il prodotto CrowdStrike da cui raccogli i log.
Feed CrowdStrike. Il feed CrowdStrike che recupera i log da CrowdStrike e li scrive in Google SecOps.
CrowdStrike Intel Bridge: il prodotto CrowdStrike che raccoglie gli indicatori di minaccia dall'origine dati e li inoltra a Google SecOps.
Google SecOps: la piattaforma che conserva, normalizza e analizza i log di rilevamento di CrowdStrike.
Un parser di etichette di importazione che normalizza i dati di log non elaborati nel formato UDM. Le informazioni contenute in questo documento si applicano ai parser CrowdStrike Falcon con le seguenti etichette di importazione:
- CS_EDR
- CS_DETECTS
- CS_IOC Il parser dell'indicatore di compromissione (IoC) di CrowdStrike supporta i seguenti tipi di indicatori:
  - domain
  - email_address
  - file_name
  - file_path
  - hash_md5
  - hash_sha1
  - hash_sha256
  - ip_address
  - mutex_name
  - url
- CS_ALERTS Il parser degli avvisi CrowdStrike supporta i seguenti tipi di prodotti:
  - epp
  - idp
  - overwatch
  - xdr
  - mobile
  - cwpp
  - ngsiem

Configura un feed Google SecOps per i log EDR di CrowdStrike

Per configurare il feed sono necessarie le seguenti procedure.

Come configurare CrowdStrike

Per configurare un feed Falcon Data Replicator:

Accedi alla console CrowdStrike Falcon.
Vai ad App di assistenza > Falcon Data Replicator.
Fai clic su Aggiungi per creare un nuovo feed Falcon Data Replicator e generare i seguenti valori:
- Feed
- Identificatore S3,
- URL SQS
Client secret. Conserva questi valori per configurare un feed in Google SecOps.

Per ulteriori informazioni, vedi Come configurare il feed di Falcon Data Replicator.

Configurare i feed

Esistono due diversi punti di accesso per configurare i feed nella piattaforma Google SecOps:

Impostazioni SIEM > Feed > Aggiungi nuovo feed
Hub dei contenuti > Pacchetti di contenuti > Inizia

Come configurare il feed CrowdStrike Falcon

Fai clic sul pacchetto CrowdStrike.
Nel tipo di log CrowdStrike Falcon, specifica i valori per i seguenti campi:
- Origine: Amazon SQS V2
- Nome coda: nome della coda SQS da cui leggere i dati di log.
- URI S3: l'URI di origine del bucket S3.
- Opzione di eliminazione dell'origine: opzione per eliminare file e directory dopo il trasferimento dei dati.
- Età massima del file: includi i file modificati nell'ultimo numero di giorni. Il valore predefinito è 180 giorni.
- ID chiave di accesso alla coda SQS: ID chiave di accesso all'account di 20 caratteri. Ad esempio, AKIAOSFOODNN7EXAMPLE.
- Chiave di accesso segreta della coda SQS: chiave di accesso segreta di 40 caratteri. Ad esempio, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY.
Opzioni avanzate
- Nome feed: un valore precompilato che identifica il feed.
- Spazio dei nomi dell'asset: spazio dei nomi associato al feed.
- Etichette di importazione: etichette applicate a tutti gli eventi di questo feed.
Fai clic su Crea feed.

Per ulteriori informazioni sulla configurazione di più feed per diversi tipi di log all'interno di questa famiglia di prodotti, consulta Configurare i feed per prodotto.

Configurare un feed di importazione con il bucket Amazon S3

Per configurare un feed di importazione utilizzando un bucket S3:

Vai a Impostazioni SIEM > Feed.
Fai clic su Aggiungi nuovo feed.
Nella pagina successiva, fai clic su Configura un singolo feed.
Nel campo Nome feed, inserisci un nome per il feed, ad esempio Crowdstrike Falcon Logs.
In Tipo di origine, seleziona Amazon S3.
In Tipo di log, seleziona CrowdStrike Falcon.

In base al account di servizio e alla configurazione del bucket Amazon S3 che hai creato, specifica i valori per i seguenti campi:

Campo	Descrizione
`region`	URI della regione S3.
`S3 uri`	URI di origine del bucket S3.
`uri is a`	Tipo di oggetto a cui punta l'URI (ad esempio, file o cartella).
`source deletion option`	Opzione per eliminare file e directory dopo il trasferimento dei dati.
`access key id`	Chiave di accesso (stringa alfanumerica di 20 caratteri). Ad esempio, `AKIAOSFOODNN7EXAMPLE`.
`secret access key`	Chiave di accesso segreta (stringa alfanumerica di 40 caratteri). Ad esempio, `wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY`.
`oauth client id`	ID client OAuth pubblico.
`oauth client secret`	Client secret OAuth 2.0.
`oauth secret refresh uri`	URI di aggiornamento del client secret OAuth 2.0.
`asset namespace`	Lo spazio dei nomi associato al feed.

Configura un feed Google SecOps per i log CrowdStrike

Per inoltrare i log di monitoraggio del rilevamento di CrowdStrike:

Accedi alla console CrowdStrike Falcon.
Vai ad App di assistenza > Client e chiavi API .
Crea una nuova coppia di chiavi client API in CrowdStrike Falcon. Questa coppia di chiavi deve disporre delle autorizzazioni READ sia per Detections che per Alerts da CrowdStrike Falcon.

Importare i log utilizzando Cloud Storage per i log EDR di CrowdStrike

Puoi configurare CrowdStrike per inviare i log EDR a un bucket Cloud Storage e poi importarli in Google SecOps utilizzando un feed. Questa procedura richiede il coordinamento con l'assistenza CrowdStrike.

Prima di iniziare

Assicurati di avere un'istanza di CrowdStrike Falcon attiva.
Assicurati di avere un progetto Google Cloud in cui puoi creare bucket Cloud Storage e gestire le autorizzazioni IAM.
Assicurati di avere un'istanza Google SecOps attiva.
Assicurati di disporre dei diritti di amministratore sia nel tuo ambiente Google Cloud che nella tua istanza Google SecOps.

Passaggi

Contatta l'assistenza CrowdStrike:apri un ticket di assistenza con CrowdStrike per attivare e configurare la funzionalità di push dei log EDR nel tuo bucket Cloud Storage. L'assistenza CrowdStrike fornirà indicazioni sulle configurazioni specifiche richieste.
Crea e autorizza il bucket Cloud Storage:
1. Nella console Google Cloud , crea un nuovo bucket in Cloud Storage. Prendi nota del nome del bucket (ad esempio, gs://my-crowdstrike-edr-logs/).
2. Concedi le autorizzazioni di scrittura al account di servizio o all'entità forniti da CrowdStrike. Segui le istruzioni dell'assistenza CrowdStrike per consentire la scrittura dei file di log in questo bucket per questa autorizzazione.
Configura il feed Google SecOps:
1. Nell'istanza di Google SecOps, vai a Impostazioni SIEM > Feed.
2. Fai clic su Add New (Aggiungi nuovo).
3. Inserisci un Nome feed descrittivo (ad esempio, CS-EDR-GCS).
4. Per Tipo di origine, seleziona Google Cloud Storage V2.
5. Per Tipo di log, seleziona CrowdStrike Falcon.
6. Nella sezione dell'account di servizio, fai clic su Ottieni service account. Copia l'indirizzo email univoco dell'account di servizio visualizzato.
7. Nella console Google Cloud , vai al tuo bucket Cloud Storage. Concedi il ruolo IAM Storage Object Viewer all'indirizzo email del account di servizio copiato dalle impostazioni del feed Google SecOps. Questa autorizzazione consente al feed di leggere i file di log.
8. Torna alla pagina di configurazione dei feed di Google SecOps.
9. Inserisci l'URL del bucket di archiviazione utilizzando il nome del bucket che hai creato (ad esempio gs://my-crowdstrike-edr-logs/). Questo URL deve terminare con una barra (/).
10. Seleziona un'opzione di eliminazione dell'origine:
  - Non cancellare mai i file: opzione consigliata.
  - Elimina i file trasferiti e le directory vuote: utilizza questa opzione con cautela.
11. (Facoltativo) Specifica uno spazio dei nomi dell'asset.
12. Fai clic su Avanti, rivedi le impostazioni e poi fai clic su Invia.
Verifica l'importazione dei log: dopo che CrowdStrike conferma che i log vengono inviati, attendi un po' di tempo per l'importazione dei dati in Google SecOps. Controlla i log in entrata cercando con il tipo di log CROWDSTRIKE_EDR in Google SecOps.

Se riscontri problemi, esamina le autorizzazioni IAM nel bucket Cloud Storage e la configurazione del feed in Google SecOps. Se i problemi persistono, contatta il team di assistenza Google SecOps.

Per ricevere i log di monitoraggio del rilevamento di CrowdStrike, segui questi passaggi

Accedi alla tua istanza Google SecOps.
Vai a Impostazioni SIEM > Feed.
Fai clic su Aggiungi nuovo feed.
Nella pagina successiva, fai clic su Configura un singolo feed.
Nel campo Nome feed, inserisci un nome per il feed, ad esempio Crowdstrike Falcon Logs.
In Tipo di origine, seleziona API di terze parti.
In Tipo di log, seleziona Monitoraggio rilevamento CrowdStrike.

Se riscontri problemi, contatta il team di assistenza di Google SecOps.

Importa i log IoC di CrowdStrike in Google SecOps

Per configurare l'importazione dei log da CrowdStrike in Google SecOps per i log IoC, completa i seguenti passaggi:

Crea una nuova coppia di chiavi client API nella console CrowdStrike Falcon. Questa coppia di chiavi consente a Google SecOps Intel Bridge di accedere e leggere eventi e informazioni supplementari da CrowdStrike Falcon. Per le istruzioni di configurazione, consulta CrowdStrike to Google SecOps Intel Bridge.
Concedi l'autorizzazione READ a Indicators (Falcon Intelligence) quando crei la coppia di chiavi.
Configura Google SecOps Intel Bridge seguendo i passaggi descritti in CrowdStrike to Google SecOps Intel Bridge.

Esegui i seguenti comandi Docker per inviare i log da CrowdStrike a Google SecOps, dove sa.json è il file account di servizio Google SecOps:

docker build . -t ccib:latest
docker run -it --rm \
      -e FALCON_CLIENT_ID="$FALCON_CLIENT_ID"  \
      -e FALCON_CLIENT_SECRET="$FALCON_CLIENT_SECRET"  \
      -e FALCON_CLOUD_REGION="$FALCON_CLOUD"  \
      -e CHRONICLE_CUSTOMER_ID="$CHRONICLE_CUSTOMER_ID"  \
      -e GOOGLE_APPLICATION_CREDENTIALS=/ccib/sa.json  \
      -v  ~/my/path/to/service/account/filer/sa.json:/ccib/sa.json  \
      ccib:latest

Una volta eseguito correttamente il contenitore, i log IoC inizieranno a essere trasmessi in streaming a Google SecOps.

Configurare un feed Google SecOps per i log degli avvisi di CrowdStrike

Per configurare un feed di importazione per i log degli avvisi di CrowdStrike:

Nella console CrowdStrike Falcon:

Accedi alla console CrowdStrike Falcon.
Nella pagina Client e chiavi API (Assistenza e risorse > Risorse e strumenti > Client e chiavi API), fai clic su Crea client API.
Inserisci i dettagli per definire il client API:
- Nome client
- Descrizione
- Ambiti API : seleziona le caselle Lettura e Scrittura accanto all'ambito Avvisi per attivare l'accesso.
Fai clic su Crea per salvare il client API e generare l'ID client e il secret. Nota: l'ID client, il secret e l'URL di base verranno utilizzati nei passaggi successivi.

Nell'istanza Google SecOps:

Accedi alla tua istanza Google SecOps.
Nel menu Google SecOps, seleziona Impostazioni e poi fai clic su Feed.
Fai clic su Aggiungi nuovo feed.
In Tipo di origine, seleziona API di terze parti.
In Tipo di log, seleziona API CrowdStrike Alerts.
Fai clic su Avanti e compila i seguenti campi utilizzando i valori raccolti dal client API CrowdStrike:
- Endpoint token OAuth
- ID client OAuth
- Client secret OAuth
- URL di base
Fai clic su Avanti e poi su Invia.

Se riscontri problemi, contatta il team di assistenza di Google SecOps.

Delta di mappatura UDM per i log degli avvisi di CrowdStrike

Riferimento delta della mappatura UDM: CS_ALERTS

La seguente tabella elenca la differenza tra il parser predefinito di CS ALERTS e la versione premium di CS ALERTS.

Default UDM Mapping	Log Field	Premium Mapping Delta
`about.resource.product_object_id`	`cid`	Removed mapping to avoid duplication, as the `cid` log field is also mapped to `metadata.product_deployment_id`.
`principal.asset.platform_software.platform`	`platform`	If the `device.platform_name` log field value is empty and the `platform` log field value is not empty and if the `platform` log field value matches the regular expression pattern `(?i)Windows` then, the `principal.asset.platform_software.platform` UDM field is set to `WINDOWS`. Else, if `platform` log field value matches the regular expression pattern `(?i)Linux` then, the `principal.asset.platform_software.platform` UDM field is set to `LINUX`. Else, if `platform` log field value matches the regular expression pattern `(?i)Mac` then, the `principal.asset.platform_software.platform` UDM field is set to `MAC`. Else, if `platform` log field value matches the regular expression pattern `(?i)ios` then, the `principal.asset.platform_software.platform` UDM field is set to `IOS`.
`security_result.detection_fields[agent_id]`	`agent_id`	If the `device.device_id` log field value is empty and the `host_id` log field value is empty and the `mdm_device_id` log field value is empty then, `CS:%{agent_id}` log field is mapped to the `principal.asset_id` UDM field. Else, the `principal.asset.attribute.labels.key` UDM field is set to `agent_id` and `agent_id` log field is mapped to the `principal.asset.attribute.labels.value` UDM field.
`security_result.detection_fields[idp_policy_account_event_type]`	`idp_policy_account_event_type`	`security_result.rule_labels[idp_policy_account_event_type]`
`security_result.detection_fields[idp_policy_mfa_factor_type]`	`idp_policy_mfa_factor_type`	`security_result.rule_labels[idp_policy_mfa_factor_type]`
`security_result.detection_fields[idp_policy_mfa_provider_name]`	`idp_policy_mfa_provider_name`	`security_result.rule_labels[idp_policy_mfa_provider_name]`
`security_result.detection_fields[idp_policy_mfa_provider]`	`idp_policy_mfa_provider`	`security_result.rule_labels[idp_policy_mfa_provider]`
`security_result.detection_fields[idp_policy_rule_action]`	`idp_policy_rule_action`	`security_result.rule_labels[idp_policy_rule_action]`
`security_result.detection_fields[idp_policy_rule_trigger]`	`idp_policy_rule_trigger`	`security_result.rule_labels[idp_policy_rule_trigger]`
`security_result.detection_fields[idp_policy_rule_id]`	`idp_policy_rule_id`	`security_result.rule_id`
`security_result.detection_fields[idp_policy_rule_name]`	`idp_policy_rule_name`	`security_result.rule_name`
`target.process.file.mime_type`	`alleged_filetype`	If the `technique_name` log field value contain one of the following values `Archive via Library` `Ingress Tool Transfer` `Remote File Copy` `File Transfer Protocols` `Credentials from Web Browsers` `Credentials In Files` `Proc Filesystem` `Unsecured Credentials` `File Deletion` `Obfuscated Files or Information` `Compile After Delivery` `Compiled HTML File` `Deobfuscate/Decode Files or Information` `Double File Extension` `File and Directory Permissions Modification` `File System Logical Offsets` `Hidden Files and Directories` `Install Root Certificate` `Archive Collected Data` `Archive via Custom Method` `Archive via Utility` `Linux and Mac File and Directory Permissions Modification` `MMC` `NTFS File Attributes` `PubPrn` `Resource Forking` `Rundll32` `Scripting` `Space after Filename` `System Script Proxy Execution` `XSL Script Processing` `Intelligence Indicator - Hash` `Known Hash` `Malicious File` `File and Directory Discovery` `AppleScript` `Command and Scripting Interpreter` `JavaScript` `JavaScript/JScript` `Malicious Image` `PowerShell` `Python` `Service Execution` `Unix Shell` `User Execution` `Data Destruction` `Spearphishing Attachment` `.bash_profile and .bashrc` `Change Default File Association` `Ccache Files` `Chat Messages` `Multi-Factor Authentication` `TCC Manipulation` `Application Versioning` `Fileless Storage` `Embedded Payloads` `File/Path Exclusions` `Encrypted/Encoded File` `Match Legitimate Resource Name or Location` `Masquerade File Type` `Stripped Payloads` `Clear Network Connection History and Configurations` `Disable or Modify Linux Audit System` `Junk Code Insertion` `Extended Attributes` `SVG Smuggling` `Indicator Removal` `LNK Icon Smuggling` `Polymorphic Code` `Relocate Malware` `Clear Persistence` `Compression` `Compromise Host Software Binary` `Conceal Multimedia Files` `Browser Information Discovery` `Taint Shared Content` `Shared Webroot` then, `alleged_filetype` log field is mapped to the `target.file.mime_type` UDM field. Else, `alleged_filetype` log field is mapped to the `target.process.file.mime_type` UDM field.
`principal.resource.product_object_id`	`device.cid`	`principal.asset.attribute.labels[device_cid]`
`security_result.detection_fields[active_directory_dn_display]`	`device.hostinfo.active_directory_dn_display`	Iterate through log field `device.hostinfo.active_directory_dn_display`, then the `security_result.detection_fields.key` UDM field is set to `device_hostinfo_active_directory_dn_display` and `device.hostinfo.active_directory_dn_display` log field is mapped to the `security_result.detection_fields.value` UDM field.
`principal.asset.platform_software.platform`	`device.platform_name`	If the `device.platform_name` log field value is not empty and if the `device.platform_name` log field value matches the regular expression pattern `(?i)Windows` then, the `principal.asset.platform_software.platform` UDM field is set to `WINDOWS`. Else, if `device.platform_name` log field value matches the regular expression pattern `(?i)Linux` then, the `principal.asset.platform_software.platform` UDM field is set to `LINUX`. Else, if `device.platform_name` log field value matches the regular expression pattern `(?i)Mac` then, the `principal.asset.platform_software.platform` UDM field is set to `MAC`. Else, if `device.platform_name` log field value matches the regular expression pattern `(?i)ios` then, the `principal.asset.platform_software.platform` UDM field is set to `IOS`. if the `platform` log field value is not empty and the `device.platform_name` log field value is equal to `the platform log field value` then, the `principal.asset.attribute.labels.key` UDM field is set to `platform` and `platform` log field is mapped to the `principal.asset.attribute.labels.value` UDM field.
`principal.asset.platform_software.platform_version`	`device.system_product_name`	`principal.asset.hardware.model`
`target.process.file.names`	`filename`	If the `technique_name` log field value contain one of the following values `Archive via Library` `Ingress Tool Transfer` `Remote File Copy` `File Transfer Protocols` `Credentials from Web Browsers` `Credentials In Files` `Proc Filesystem` `Unsecured Credentials` `File Deletion` `Obfuscated Files or Information` `Compile After Delivery` `Compiled HTML File` `Deobfuscate/Decode Files or Information` `Double File Extension` `File and Directory Permissions Modification` `File System Logical Offsets` `Hidden Files and Directories` `Install Root Certificate` `Archive Collected Data` `Archive via Custom Method` `Archive via Utility` `Linux and Mac File and Directory Permissions Modification` `MMC` `NTFS File Attributes` `PubPrn` `Resource Forking` `Rundll32` `Scripting` `Space after Filename` `System Script Proxy Execution` `XSL Script Processing` `Intelligence Indicator - Hash` `Known Hash` `Malicious File` `File and Directory Discovery` `AppleScript` `Command and Scripting Interpreter` `JavaScript` `JavaScript/JScript` `Malicious Image` `PowerShell` `Python` `Service Execution` `Unix Shell` `User Execution` `Data Destruction` `Spearphishing Attachment` `.bash_profile and .bashrc` `Change Default File Association` `Ccache Files` `Chat Messages` `Multi-Factor Authentication` `TCC Manipulation` `Application Versioning` `Fileless Storage` `Embedded Payloads` `File/Path Exclusions` `Encrypted/Encoded File` `Match Legitimate Resource Name or Location` `Masquerade File Type` `Stripped Payloads` `Clear Network Connection History and Configurations` `Disable or Modify Linux Audit System` `Junk Code Insertion` `Extended Attributes` `SVG Smuggling` `Indicator Removal` `LNK Icon Smuggling` `Polymorphic Code` `Relocate Malware` `Clear Persistence` `Compression` `Compromise Host Software Binary` `Conceal Multimedia Files` `Browser Information Discovery` `Taint Shared Content` `Shared Webroot` then, `filename` log field is mapped to the `target.file.names` UDM field. Else, `filename` log field is mapped to the `target.process.file.names` UDM field.
`target.file.full_path`	`filepath`	If the `technique_name` log field value contain one of the following values `Archive via Library` `Ingress Tool Transfer` `Remote File Copy` `File Transfer Protocols` `Credentials from Web Browsers` `Credentials In Files` `Proc Filesystem` `Unsecured Credentials` `File Deletion` `Obfuscated Files or Information` `Compile After Delivery` `Compiled HTML File` `Deobfuscate/Decode Files or Information` `Double File Extension` `File and Directory Permissions Modification` `File System Logical Offsets` `Hidden Files and Directories` `Install Root Certificate` `Archive Collected Data` `Archive via Custom Method` `Archive via Utility` `Linux and Mac File and Directory Permissions Modification` `MMC` `NTFS File Attributes` `PubPrn` `Resource Forking` `Rundll32` `Scripting` `Space after Filename` `System Script Proxy Execution` `XSL Script Processing` `Intelligence Indicator - Hash` `Known Hash` `Malicious File` `File and Directory Discovery` `AppleScript` `Command and Scripting Interpreter` `JavaScript` `JavaScript/JScript` `Malicious Image` `PowerShell` `Python` `Service Execution` `Unix Shell` `User Execution` `Data Destruction` `Spearphishing Attachment` `.bash_profile and .bashrc` `Change Default File Association` `Ccache Files` `Chat Messages` `Multi-Factor Authentication` `TCC Manipulation` `Application Versioning` `Fileless Storage` `Embedded Payloads` `File/Path Exclusions` `Encrypted/Encoded File` `Match Legitimate Resource Name or Location` `Masquerade File Type` `Stripped Payloads` `Clear Network Connection History and Configurations` `Disable or Modify Linux Audit System` `Junk Code Insertion` `Extended Attributes` `SVG Smuggling` `Indicator Removal` `LNK Icon Smuggling` `Polymorphic Code` `Relocate Malware` `Clear Persistence` `Compression` `Compromise Host Software Binary` `Conceal Multimedia Files` `Browser Information Discovery` `Taint Shared Content` `Shared Webroot` then, `filepath` log field is mapped to the `target.file.full_path` UDM field. Else, `filepath` log field is mapped to the `target.process.file.full_path` UDM field. If the `product` log field value is equal to `epp` and the `type` log field value is equal to `ofp` and if the `macros.ioc_description` log field value is not empty then, `macros.ioc_description` log field is mapped to the `target.file.full_path` UDM field and the `security_result.detection_fields.key` UDM field is set to `filepath` and `filepath` log field is mapped to the `security_result.detection_fields.value` UDM field.
`target.process_ancestors.command_line`	`grandparent_details.cmdline`	`target.process.parent_process.parent_process.command_line`
`target.process_ancestors.file.names`	`grandparent_details.filename`	`target.process.parent_process.parent_process.file.names`
`target.process_ancestors.file.full_path`	`grandparent_details.filepath`	`target.process.parent_process.parent_process.file.full_path`
`target.process_ancestors.file.md5`	`grandparent_details.md5`	`target.process.parent_process.parent_process.file.md5`
`target.process_ancestors.product_specific_process_id`	`grandparent_details.process_graph_id`	If the `grandparent_details.process_graph_id` log field value is not empty then, `PRODUCT_SPECIFIC_PROCESS_ID: %{grandparent_details.process_graph_id}` log field is mapped to the `target.process.parent_process.parent_process.product_specific_process_id` UDM field.
`target.process_ancestors.pid`	`grandparent_details.process_id`	`target.process.parent_process.parent_process.pid`
`target.process_ancestors.file.sha256`	`grandparent_details.sha256`	`target.process.parent_process.parent_process.file.sha256`
`security_result.detection_fields[ioc_description]`	`ioc_context.ioc_description`	Iterate through log field `ioc_context`, then the `security_result.detection_fields.key` UDM field is set to `ioc_context_ioc_description` and `ioc_context.ioc_description` log field is mapped to the `security_result.detection_fields.value` UDM field.
`security_result.detection_fields[ioc_source]`	`ioc_context.ioc_source`	Iterate through log field `ioc_context`, then the `security_result.detection_fields.key` UDM field is set to `ioc_context_ioc_source` and `ioc_context.ioc_source` log field is mapped to the `security_result.detection_fields.value` UDM field.
`target.process.file.md5`	`md5`	If the `technique_name` log field value contain one of the following values `Archive via Library` `Ingress Tool Transfer` `Remote File Copy` `File Transfer Protocols` `Credentials from Web Browsers` `Credentials In Files` `Proc Filesystem` `Unsecured Credentials` `File Deletion` `Obfuscated Files or Information` `Compile After Delivery` `Compiled HTML File` `Deobfuscate/Decode Files or Information` `Double File Extension` `File and Directory Permissions Modification` `File System Logical Offsets` `Hidden Files and Directories` `Install Root Certificate` `Archive Collected Data` `Archive via Custom Method` `Archive via Utility` `Linux and Mac File and Directory Permissions Modification` `MMC` `NTFS File Attributes` `PubPrn` `Resource Forking` `Rundll32` `Scripting` `Space after Filename` `System Script Proxy Execution` `XSL Script Processing` `Intelligence Indicator - Hash` `Known Hash` `Malicious File` `File and Directory Discovery` `AppleScript` `Command and Scripting Interpreter` `JavaScript` `JavaScript/JScript` `Malicious Image` `PowerShell` `Python` `Service Execution` `Unix Shell` `User Execution` `Data Destruction` `Spearphishing Attachment` `.bash_profile and .bashrc` `Change Default File Association` `Ccache Files` `Chat Messages` `Multi-Factor Authentication` `TCC Manipulation` `Application Versioning` `Fileless Storage` `Embedded Payloads` `File/Path Exclusions` `Encrypted/Encoded File` `Match Legitimate Resource Name or Location` `Masquerade File Type` `Stripped Payloads` `Clear Network Connection History and Configurations` `Disable or Modify Linux Audit System` `Junk Code Insertion` `Extended Attributes` `SVG Smuggling` `Indicator Removal` `LNK Icon Smuggling` `Polymorphic Code` `Relocate Malware` `Clear Persistence` `Compression` `Compromise Host Software Binary` `Conceal Multimedia Files` `Browser Information Discovery` `Taint Shared Content` `Shared Webroot` then, `md5` log field is mapped to the `target.file.md5` UDM field. Else, `md5` log field is mapped to the `target.process.file.md5` UDM field.
`target.process.file.sha1`	`sha1`	If the `technique_name` log field value contain one of the following values `Archive via Library` `Ingress Tool Transfer` `Remote File Copy` `File Transfer Protocols` `Credentials from Web Browsers` `Credentials In Files` `Proc Filesystem` `Unsecured Credentials` `File Deletion` `Obfuscated Files or Information` `Compile After Delivery` `Compiled HTML File` `Deobfuscate/Decode Files or Information` `Double File Extension` `File and Directory Permissions Modification` `File System Logical Offsets` `Hidden Files and Directories` `Install Root Certificate` `Archive Collected Data` `Archive via Custom Method` `Archive via Utility` `Linux and Mac File and Directory Permissions Modification` `MMC` `NTFS File Attributes` `PubPrn` `Resource Forking` `Rundll32` `Scripting` `Space after Filename` `System Script Proxy Execution` `XSL Script Processing` `Intelligence Indicator - Hash` `Known Hash` `Malicious File` `File and Directory Discovery` `AppleScript` `Command and Scripting Interpreter` `JavaScript` `JavaScript/JScript` `Malicious Image` `PowerShell` `Python` `Service Execution` `Unix Shell` `User Execution` `Data Destruction` `Spearphishing Attachment` `.bash_profile and .bashrc` `Change Default File Association` `Ccache Files` `Chat Messages` `Multi-Factor Authentication` `TCC Manipulation` `Application Versioning` `Fileless Storage` `Embedded Payloads` `File/Path Exclusions` `Encrypted/Encoded File` `Match Legitimate Resource Name or Location` `Masquerade File Type` `Stripped Payloads` `Clear Network Connection History and Configurations` `Disable or Modify Linux Audit System` `Junk Code Insertion` `Extended Attributes` `SVG Smuggling` `Indicator Removal` `LNK Icon Smuggling` `Polymorphic Code` `Relocate Malware` `Clear Persistence` `Compression` `Compromise Host Software Binary` `Conceal Multimedia Files` `Browser Information Discovery` `Taint Shared Content` `Shared Webroot` then, `sha1` log field is mapped to the `target.file.sha1` UDM field. Else, `sha1` log field is mapped to the `target.process.file.sha1` UDM field.
`target.file.sha256`	`sha256`	If the `technique_name` log field value contain one of the following values `Archive via Library` `Ingress Tool Transfer` `Remote File Copy` `File Transfer Protocols` `Credentials from Web Browsers` `Credentials In Files` `Proc Filesystem` `Unsecured Credentials` `File Deletion` `Obfuscated Files or Information` `Compile After Delivery` `Compiled HTML File` `Deobfuscate/Decode Files or Information` `Double File Extension` `File and Directory Permissions Modification` `File System Logical Offsets` `Hidden Files and Directories` `Install Root Certificate` `Archive Collected Data` `Archive via Custom Method` `Archive via Utility` `Linux and Mac File and Directory Permissions Modification` `MMC` `NTFS File Attributes` `PubPrn` `Resource Forking` `Rundll32` `Scripting` `Space after Filename` `System Script Proxy Execution` `XSL Script Processing` `Intelligence Indicator - Hash` `Known Hash` `Malicious File` `File and Directory Discovery` `AppleScript` `Command and Scripting Interpreter` `JavaScript` `JavaScript/JScript` `Malicious Image` `PowerShell` `Python` `Service Execution` `Unix Shell` `User Execution` `Data Destruction` `Spearphishing Attachment` `.bash_profile and .bashrc` `Change Default File Association` `Ccache Files` `Chat Messages` `Multi-Factor Authentication` `TCC Manipulation` `Application Versioning` `Fileless Storage` `Embedded Payloads` `File/Path Exclusions` `Encrypted/Encoded File` `Match Legitimate Resource Name or Location` `Masquerade File Type` `Stripped Payloads` `Clear Network Connection History and Configurations` `Disable or Modify Linux Audit System` `Junk Code Insertion` `Extended Attributes` `SVG Smuggling` `Indicator Removal` `LNK Icon Smuggling` `Polymorphic Code` `Relocate Malware` `Clear Persistence` `Compression` `Compromise Host Software Binary` `Conceal Multimedia Files` `Browser Information Discovery` `Taint Shared Content` `Shared Webroot` then, `sha256` log field is mapped to the `target.file.sha256` UDM field. Else, `sha256` log field is mapped to the `target.process.file.sha256` UDM field. If the `product` log field value is equal to `epp` and the `type` log field value is equal to `ofp` and if the `ioc_type` log field value is equal to `hash_sha256` and the `macros.ioc_value` log field value is not empty then, `macros.ioc_value` log field is mapped to the `target.file.sha256` UDM field and the `security_result.detection_fields.key` UDM field is set to `sha256` and `sha256` log field is mapped to the `security_result.detection_fields.value` UDM field.
`target.asset.platform_software.platform`	`operating_system`	If the `operating_system` log field value matches the regular expression pattern `(?i)Windows` then, the `principal.asset.platform_software.platform` UDM field is set to `WINDOWS`. Else, if `operating_system` log field value matches the regular expression pattern `(?i)linux` then, the `principal.asset.platform_software.platform` UDM field is set to `LINUX`. Else, if `operating_system` log field value matches the regular expression pattern `(?i)ios` then, the `principal.asset.platform_software.platform` UDM field is set to `IOS`. Else, if `operating_system` log field value matches the regular expression pattern `(?i)mac` then, the `principal.asset.platform_software.platform` UDM field is set to `MAC`.
`security_result.detection_fields[agent_version]`	`agent_version`	`principal.asset.attribute.labels[agent_version]`
`about.email`	`enrollment_email`	`principal.user.email_addresses`
`principal.asset.type`		If the `mdm_device_id` log field value is not empty or the `mobile_hardware` log field value is not empty or the `mobile_manufacturer` log field value is not empty or the `mobile_serial` log field value is not empty then, the `principal.asset.type` UDM field is set to `MOBILE`.

Formati di log CrowdStrike supportati

Il parser CrowdStrike supporta i log in formato JSON.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.