CS_EDR の変更履歴
| Date | 変更点 |
|---|---|
| 2023-12-22 | - 「HostUrl」を「target.url」にマッピングしました。 - 「ReferrerUrl」を「network.http.referral_url」にマッピングしました。 |
| 2023-11-23 | - 「is_alert」が「true」に設定されている場合に、「event.idm.is_significant」を「true」にマッピングしました。
- 「is_alert」が「true」に設定されている場合、「event_simpleName」を「security_result.summary」にマッピングしました。 |
| 2023-10-11 | - SHA1、MD5、SHA256 の値を検証するための正規表現チェックを追加しました。
|
| 2023-08-22 | - 「Technique」を「security_result.attack_details.techniques.name」、対応する手法、および戦術の詳細にマッピングしました。
|
| 2023-08-03 | 機能拡張:
- 「ReflectiveDllName」を「target.file.full_path」にマッピングしました。 - 「event_type」をフィールド「DomainName」が存在しないログの「STATUS_UPDATE」にマッピングしました。 |
| 2023-08-01 | - 「Tactic」を「security_result.attack_details.tactics.name」と対応する tactics.id にマッピングしました。
|
| 2023-07-31 | バグの修正
- 日付フィルタの「on_error」チェックを追加しました。 |
| 2023-06-19 | - 「ParentBaseFileName」を「principal.process.file.full_path」にマッピングしました。 - 「ImageFileName」と「target.file.full_path」のマッピングは、イベント「ProcessRollup2」と「SyntheticProcessRollup2」用にすでに「target.process.file.full_path」にマッピングされているため削除しました。 |
| 2023-05-12 | 機能拡張 - - 「aip」を「intermediary.ip」にマッピングしました。 |
| 2023-05-08 | バグの修正 - 時間形式を文字列に変換して、ナノ秒単位の時間形式を処理しました。 |
| 2023-04-14 | 機能拡張 - 範囲 [0-19] の「Severity」値を「INFORMATIONAL」として「security_result.severity」に変更しました。
- 範囲 [20-39] の「Severity」値を「security_result.severity」に「LOW」に変更しました。 - 範囲 [40-59] の「Severity」値を「security_result.severity」に変更し「MEDIUM」に変更しました。 - 範囲 [60-79] の「Severity」値を「security_result.severity」に「HIGH」に変更しました。 - 範囲 [80-100] の「Severity」値を「security_result.severity」に変更し「CRITICAL」に変更しました。 - 「PatternId」を「security_result.detection_fields」にマッピングしました。 - 「SourceEndpointIpAddress」を「principal.ip」にマッピングしました。 - 「event_simpleName =~ userlogonfailed」とユーザー情報が存在しない場合、「metadata.event_type」を「USER_UNCATEGORIZED」にマッピングしました。 - 「ExternalApiType = "Event_UserActivityAuditEvent」とユーザー情報がある場合、「metadata.event_type」を「USER_UNCATEGORIZED」にマッピングしました。 - 「event_simpleName =~ "ActiveDirectory」の場合に「metadata.event_type」を「USER_UNCATEGORIZED」にマッピングしました。 - 「TargetAccountObjectGuid」を「additional.fields」にマッピングしました。 - 「TargetDomainControllerObjectGuid」を「additional.fields」にマッピングしました。 - 「TargetDomainControllerObjectSid」を「additional.fields」にマッピングしました。 - 「AggregationActivityCount」を「additional.fields」にマッピングしました。 - 「TargetServiceAccessIdentifier」が「additional.fields」にマッピングされました。 - 「SourceAccountUserPrincipal」を「principal.user.userid」にマッピングしました。 - 「SourceEndpointAddressIP4」を「principal.ip」にマッピングしました。 - 「SourceAccountObjectGuid」を「additional.fields」にマッピングしました。 - 「AccountDomain」を「principal.administrative_domain」にマッピングしました。 - 「AccountObjectGuid」を「metadata.product_log_id」にマッピングしました。 - 「AccountObjectSid」を「principal.user.windows_sid」にマッピングしました。 - 「SamAccountName」を「principal.user.user_display_name」にマッピングしました。 - 「SourceAccountSamAccountName」を「principal.user.user_display_name」にマッピングしました。 - 「IOARuleGroupName」を「security_result.detection_fields」にマッピングしました。 - 「IOARuleName」を「security_result.detection_fields」にマッピングしました。 - 「RemoteAddressIP4」を「event_simpleName」="RegCredAccessDetectInfo」の「target.ip」にマッピングしました。 |
| 2023-03-24 | - 「id」を「target.resource.id」ではなく「metadata.product_log_id」にマッピングしました。 - 「RegNumericValue」と「RegStringValue」の両方が null の場合に、「RegBinaryValue」を「target.registry.registry_value_data」にマッピングしました。 |
| 2023-03-21 | 機能拡張 -
- 「BatchTimestamp」、「GcpCreationTimestamp」、「K8SCreationTimestamp」、「AwsCreationTimestamp」を「metadata.event_timestamp」にマッピングしました。 - 「FileOperatorSid」を「target.user.windows_sid」にマッピングしました。 |
| 2023-03-13 | 機能拡張 -
- 「LogonTime」、「ProcessStartTime」、「ContextTimeStamp」、「ContextTimeStamp_decimal」、「AccountCreationTimeStamp」を「metadata.event_timestamp」にマッピングしました。 |
| 2023-03-10 | 機能拡張 -
- 「CallStackModuleNamesVersion」、「CallStackModuleNamesVersion」を security_result.detection_fields にマッピングしました。 |
| 2023-02-28 | 機能拡張 - 「event_simpleName」が ["ProcessRollup2", "SyntheticProcessRollup2"] の場合に、フィールド「ParentProcessId」の次のマッピングを変更しました。
-「target.process.parent_process.product_specific_process_id」に変更された「target.process.parent_process.pid」 |
| 2023-02-16 | 機能拡張 -
- フィールド「AssociatedFile」を「security_result.detection_fields[n].value」にマッピングし、「security_result.detection_fields[n].key」を「AssociatedIOCFile」にマッピングしました。 |
| 2023-02-09 | 機能強化
- 「target.labels」の下にマッピングされるフィールドを「target.resource.attributes.labels」に再マッピングしました。 - 「ManagedPdbBuildPath」から「target.resource.attributes.labels」へのマッピングを修正しました。 |
| 2023-02-09 | 機能強化
- 「target.labels」の下にマッピングされるフィールドを「target.resource.attributes.labels」に再マッピングしました。 - 「ManagedPdbBuildPath」から「target.resource.attributes.labels」へのマッピングを修正しました。 |
| 2023-01-15 | バグの修正 -
- 「UserLogonFailed」イベントの「aid」を「principal.asset_id」から「target.asset_id」に再マッピングしました。 |
| 2023-01-13 | 機能拡張 -
- event_type の「ScheduledTaskModified」と「ScheduledTaskRegistered」の principal.user.userid にマッピングされたユーザー名。 - metadata.product_event_type = 「ReflectiveDotnetModuleLoad」 の場合、「AssemblyName」、「ManagedPdbBuildPath」、「ModuleILPath」 は、「target.labels」 にマッピングされます。 - metadata.product_event_type = 「RemovableMediaVolumeMounted」 の場合、「VirtualDriveFileName」、「VolumeName」 は「target.labels」にマッピングされます。 - metadata.product_event_type = 「ClassifiedModuleLoad」の場合、「ImageFileName」は 「target.file.full_path」にマッピングされます。 |
| 2023-01-13 | 機能拡張 -
- event_type の「ScheduledTaskModified」と「ScheduledTaskRegistered」の principal.user.userid にマッピングされたユーザー名。 - metadata.product_event_type = 「ReflectiveDotnetModuleLoad」 の場合、「AssemblyName」、「ManagedPdbBuildPath」、「ModuleILPath」 は、「target.labels」 にマッピングされます。 - metadata.product_event_type = 「RemovableMediaVolumeMounted」 の場合、「VirtualDriveFileName」、「VolumeName」 は「target.labels」にマッピングされます。 - metadata.product_event_type = 「ClassifiedModuleLoad」の場合、「ImageFileName」は 「target.file.full_path」にマッピングされます。 |
| 2023-01-02 | 機能拡張 -
-ユーザー名が event_type「ScheduledTaskModified」と「ScheduledTaskRegistered」の principal.user.userid にマッピングされました。 |
| 2022-12-22 | 機能拡張 -
-「RemoteAddressIP4」を「event_type」="Userlogonfailed2" の「principal.ip」にマッピングしました |
| 2022-11-04 | 機能拡張 -
- 「GrandparentImageFileName」を「principal.process.parent_process.parent_process.file.full_path」にマッピングしました。 -「GrandparentCommandLine」を「principal.process.parent_process.parent_process.commamdLine」にマッピングしました」 |
| 2022-11-03 | バグ -
「event_simpleName」が「InstalledApplication」の場合、以下のパラメータがマッピングされます。 - 「AppName」を「principal.asset.software.name」にマッピングしました。 「AppVersion」を「principal.asset.software.version」にマッピングしました。 |
| 2022-10-12 | バグ - -「discoverer_aid」を「resource.attributes.labels」にマッピングしました。 -「NeighborName」を「intermediary.hostname」にマッピングしました。 - 「subnet」を「additional.fields」にマッピングしました。 -「localipCount」を「additional.fields」にマッピングしました。 - 「aipCount」が「additional.fields」にマッピングされました。 - 「LogonServer」の条件付きチェックを追加しました。 |
| 2022-10-07 | バグの修正:
「CommandLine」のマッピングが「principal.process.command_line」から「target.process.command_line」に変更されました。 |
| 2022-09-13 | 修正:
- metadata.event_type を RegOperationType が「3」の REGISTRY_CREATION にマッピングしました。 - event_type を ReGISOperationType は「4」または「102」のREGISTRY_DELETION にマッピングしました。 - event_type を ReGISOperationType が「5」、「7」、「9」、「101」または「1」の REGISTRY_MODIFICATION にマッピングしました。 - event_type を RegOperationType が null でなく、上記のいずれのケースにも該当しない REGISTRY_UNCATEGORIZED にマッピングしました。 |
| 2022-09-02 | 機能拡張:
- statedata でフィールド「UserPrincipal」を定義します。 |
| 2022-08-30 | 機能拡張:
- statedata でフィールド「UserPrincipal」を定義しました。 |
| 2022-08-21 | 機能拡張:
- 「ActivityId」を「additional.fields」にマッピングしました。 - 「SourceEndpointHostName」を「principal.hostname」にマッピングしました。 - 「SourceAccountObjectSid」を「principal.user.windows_sid」にマッピングしました。 - 「LocalAddressIP4」と「aip」を解析するための条件を追加しました。 - 「metadata.event_type」を「ComputerName」と「LocalAddressIP4」が null でない「STATUS_UPDATE」にマッピングしました。 - 「SourceEndpointAccountObjectGuid」を「metadata.product_log_id」にマッピングしました。 - 「SourceEndpointAccountObjectSid」を「target.user.windows_sid」にマッピングしました。 - 「SourceEndpointHostName」を「principal.hostname」にマッピングしました。 |
| 2022-08-18 | 修正:
- 次のフィールドをマッピングしました。 - 「event.PatternDispositionValue」を「security_result.about.labels」にマッピング。 -「event.ProcessId」を「principal.process.product_specific_process_id」にマッピング。 -「event.ParentProcessId」を「target.process.parent_process.pid」にマッピング。 - 「event.ProcessStartTime」を「security_result.detection_fields」に。 - 「event.ProcessEndTime」を「security_result.detection_fields」に。 - 「event.ComputerName」を「principal.hostname」にマッピング。 -「event.UserName」を「principal.user.userid」にマッピング。 - 「event.DetectName」を「security_result.threat_name」にマッピング。 - 「event.DetectDescription」を「security_result.description」にマッピング。 - 「event.SeverityName」を「security_result.severity」にマッピング。 -「event.FileName」を「target.file.full_path」にマッピング。 -「event.FilePath」を「target.file.full_path」にマッピング。 - 「event.CommandLine」を「principal.process.command_line」にマッピング。 -「event.SHA256String」を「target.file.sha256」にマッピング。 -「event.MD5String」を「security_result.about.file.md5」にマッピング。 - 「event.MachineDomain」を「principal.administrative_domain」にマッピング。 -「event.FalconHostLink」を「intermediary.url」にマッピング。 - 「event.LocalIP」を「principal.ip」にマッピング。 - 「event.MACAddress」を「principal.mac」にマッピング。 - 「event.Tactic」を「security_result.detection_fields」にマッピング。 - 「event.Technique」を「security_result.detection_fields」にマッピング。 -「event.Objective」を「security_result.rule_name」にマッピング。 -「event.PatternDispositionDescription」を「security_result.summary」にマッピング。 - 「event.ParentImageFileName」を「principal.process.parent_process.file.full_path」にマッピング。 - 「event.ParentCommandLine」を「principal.process.parent_process.command_line」にマッピング。 |
| 2022-07-29 | 機能拡張:
- 「event_category,event_module,Hmac」を「additional.fields」にマッピングしました。 - 「user_name」を「principal.user.userid」にマッピングしました。 - 「event_source」を「target.application」にマッピングしました。 - 「auth_group と新しいログ」に grok を追加しました。 - 「principal_ip、target_ip、event_type」のチェックを追加しました。 |
| 2022-07-25 | バグの修正:
-「metadata.event_type」を「USER_RESOURCE_ACCESS」にマッピングしました。ここで、「eventType」は「K8SDetectionEvent」です。 -「metadata.event_type」を「STATUS_UPDATE」にマッピングしました。ここで「metadata.event_type は null で、「principal.asset_id」は null ではありません。 -「SourceAccountDomain」を「principal.administrative_domain」にマッピングしました。 -「SourceAccountName」を「principal.user.userid」にマッピングしました。 -「metadata.event_type」を「EventType」が「Event_ExternalApiEvent」である「STATUS_UPDATE」、[「paused_file_update」,「detection_update」,「update_rule」]の「OperationName」にマッピングしました。 -「metadata.event_type」を FilePath が null で FileName が null か、AgentIdString が null の「USER_RESOURCE_ACCESS」にマッピングしました。 -「metadata.event_type」を「STATUS_UPDATE」にマッピングしました(プロトコルは null です)。 - MD5String、SHA256String、CommandLine、AgentIdString、ProcessId、ParentProcessId、FilePath、FileName の条件付きチェックを追加しました。 |
| 2022-07-12 | 機能拡張:
event_simpleName - DriverLoad、ProcessRollup、PeVersionInfo、PeFileWritten,TemplateDetectAnalysis,ScriptControlDetectInfo 用 - OriginalFilename を principal.process.file.full_path にマッピングしました |
| 2022-06-20 | 機能拡張:
- 「ConfigBuild」を「security_result.detection_fields」にマッピングしました。 - 「EffectiveTransmissionClass」を「security_result.detection_fields」にマッピングしました。 - 「Entitlements」を「security_result.detection_fields」にマッピングしました。 |
| 2022-06-14 | 機能拡張:
- 「CompanyName」を「target.user.company_name」にマッピング - 「AccountType」を「target.user.role_description」にマッピング - 「ProductVersion」を「metadata.product_version」にマッピング - 「LogonInfo」を「principal.ip」にマッピング - 「MAC」を「principal.mac」にマッピング - 「UserSid_readable」を「target.user.windows_sid」にマッピング - 「FileName」を「target.file.full_path」にマッピング - 「_time」を「metadata.event_timestamp」にマッピング - 「MD5HashData」、「SHA256HashData」、「UserName」、「id」、「RegObjectName」、「RegStringValue」、「RegValueName」、「UserSid」、「TargetFileName」、「aid」の条件付きチェックを追加 |
| 2022-06-02 | バグの修正: 「security_result.detection_fields.value」からキー名とコロン文字を削除しました。
|
| 2022-05-27 | 機能拡張 - 追加のマッピング: SHA256String と MD5String が security_result.about.file にマッピングされ、アラート イベントとして表示されるようになりました。
|
| 2022-05-20 | 機能拡張:
- 「LinkName」を「target.resource.attributes.labels」にマッピングしました。 - 「GENERIC_EVENTS」の発生回数を「STATUS_UPDATE」に切り替えました。 - プロセスとその親ルート ディレクトリの間にバックスラッシュを追加しました。 - 「event_platform」が iOS の場合、解析されたプラットフォーム。 - resource.type を resource_type に変更しました。 |
| 2022-05-12 | 機能拡張 - resourceName を target.resource.name にマッピング
resourceId を target.resource.product_object_id にマッピング 名前空間を target.namespace にマッピング カテゴリーを security_result.category_details にマッピング 説明を security_result.description にマッピング sourceAgent を network.http.user_agent にマッピング 重大度を security_result.severity にマッピング resourceKind を target.resource.type にマッピング detectionName を target.resource.name にマッピング clusterName を target.resource.attributes.labels にマッピング clusterId を target.resource.attribute.labels にマッピング detectionId を target.resource.attributes.labels にマッピング タイプを additional.fields にマッピング 修復を additional.fieldsに ベンチマークを additional.fields に badResources を additional.fields に |
| 2022-04-27 | バグ - 修正: 1ExternalApiType = Event_AuthActivityAuditEvent のログの udm event_type が GENERIC_EVENT から USER_LOGIN に変更されました。 2. target_user、actor_user、actor_user_uuid のマッピングを、additional.fields からそれぞれ、target.user.email_addresses、target.user.user_display_name、target.user.userid へ変更しました。 |
| 2022-04-25 | 機能拡張 - 「RemoteAddressIP4」を principal.ip にマッピングしました。 |
| 2022-04-14 | バグ - すべてのタイプのログに ScriptContent フィールドのサポートを追加しました。 |
| 2022-04-13 | 新しいフィールドの機能拡張を追加したマッピング
新しいイベント マッピングの追加 - AuthenticationPackage を target.resource.name にマッピングしました |
| 2022-04-04 | バグ - NetworkConnect イベントの「OriginatingURL」を principal.url にマッピングしました。
|