Se usó la API de Cloud Translation para traducir esta página.

Recopila registros de CrowdStrike Falcon

En este documento, se describe cómo transferir registros de CrowdStrike Falcon a Google Security Operations. Puedes transferir varios tipos de registros de CrowdStrike Falcon, y este documento describe la configuración específica para cada uno.

Para obtener una descripción general de alto nivel de la transferencia de datos en Google Security Operations, consulta Transferencia de datos a Google Security Operations.

Tipos de registros de CrowdStrike Falcon admitidos

Google Security Operations admite los siguientes tipos de registros de CrowdStrike Falcon a través de los analizadores con las siguientes etiquetas de transferencia:

Detección y respuesta de extremos (EDR): CS_EDR. Este analizador analiza los datos de telemetría casi en tiempo real del replicador de datos de CrowdStrike Falcon (FDR), como el acceso a archivos y las modificaciones del registro. Por lo general, los datos se transfieren desde un bucket de S3 o Cloud Storage.
Detecciones: CS_DETECTS. Este analizador analiza los eventos de resumen de detección de CrowdStrike con la API de Detect. Si bien se relaciona con la actividad del endpoint, CS_DETECTS proporciona resúmenes de detección de nivel superior en comparación con la telemetría sin procesar que se analiza con CS_EDR.

Nota: CrowdStrike dejó de admitir el endpoint "Detects". Te recomendamos que uses CS_ALERTS para transferir registros de detección.
Alertas: CS_ALERTS. Este analizador analiza las alertas de CrowdStrike con la API de Alerts. El analizador de alertas de CrowdStrike admite los siguientes tipos de productos:
- epp
- idp
- overwatch
- xdr
- mobile
- cwpp
- ngsiem
Indicadores de compromiso (IoC): CS_IOC. Este analizador analiza los IoC y los indicadores de ataque (IoA) de la inteligencia sobre amenazas de CrowdStrike con el puente de inteligencia de CrowdStrike Chronicle. El analizador de indicadores de compromiso (IoC) de CrowdStrike admite los siguientes tipos de indicadores:
- domain
- email_address
- file_name
- file_path
- hash_md5
- hash_sha1
- hash_sha256
- ip_address
- mutex_name
- url

Google SecOps recomienda usar feeds para CS_EDR, CS_DETECTS y CS_IOC para la transferencia integral de datos desde CrowdStrike.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

Derechos de administrador en la instancia de CrowdStrike para instalar el sensor de host de CrowdStrike Falcon
Todos los sistemas de la arquitectura de implementación están configurados en la zona horaria UTC.
El dispositivo de destino ejecuta un sistema operativo compatible.
- Debe ser un servidor de 64 bits
- Microsoft Windows Server 2008 R2 SP1 es compatible con la versión 6.51 o posterior del sensor de host de CrowdStrike Falcon.
- Las versiones heredadas del SO deben admitir la firma de código SHA-2.
El archivo de la cuenta de servicio de Google SecOps y tu ID de cliente del equipo de asistencia de Google SecOps

Configura feeds

Existen dos puntos de entrada diferentes para configurar feeds en la plataforma de Google SecOps:

Configuración de SIEM > Feeds > Agregar feed nuevo
Centro de contenido > Paquetes de contenido > Comenzar

Para obtener más información sobre cómo configurar varios feeds para diferentes tipos de registros dentro de esta familia de productos, consulta Configura feeds por producto.

Transfiere registros de CrowdStrike Falcon

En esta sección, se describe cómo configurar la transferencia para los diferentes tipos de registros de CrowdStrike Falcon.

Transfiere registros de EDR (`CS_EDR`)

Puedes transferir registros de EDR de CrowdStrike Falcon con uno de los siguientes métodos, según dónde quieras enviar los registros desde CrowdStrike:

Amazon SQS: Se usa un feed de Falcon Data Replicator.
Amazon S3: Usar un feed de Google Security Operations configurado para un bucket de S3
Google Cloud Storage: CrowdStrike envía registros a un bucket de Cloud Storage.

Elige uno de los siguientes procedimientos.

Opción 1: Transfiere registros de EDR desde Amazon SQS

Este método usa el replicador de datos de CrowdStrike Falcon para enviar registros de EDR a una cola de Amazon SQS, que luego sondea Google Security Operations.

Haz clic en el paquete CrowdStrike.
En el tipo de registro CrowdStrike Falcon, especifica valores para los siguientes campos:
- Fuente: Amazon SQS
- Región: Es la región de S3 asociada al URI.
- Nombre de la cola: Nombre de la cola de SQS desde la que se leerán los datos de registro.
- URI de S3: Es el URI de origen del bucket de S3.
- Número de cuenta: Es el número de cuenta de SQS.
- ID de clave de acceso a la cola: ID de clave de acceso a la cuenta de 20 caracteres. Por ejemplo, AKIAOSFOODNN7EXAMPLE
- Clave de acceso secreta de la fila: Clave de acceso secreta de 40 caracteres. Por ejemplo, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
- Opción de eliminación de la fuente: Opción para borrar archivos y directorios después de transferir los datos.
Opciones avanzadas
- Nombre del feed: Es un valor completado previamente que identifica el feed.
- Espacio de nombres del recurso: Espacio de nombres asociado al feed.
- Etiquetas de transferencia: Son las etiquetas que se aplican a todos los eventos de este feed.
Haz clic en Crear feed.

Para obtener más información sobre cómo configurar varios feeds para diferentes tipos de registros dentro de esta familia de productos, consulta Configura feeds por producto.

Opción 2: Ingesta registros de EDR desde un bucket de Amazon S3

Este método implica configurar un feed de Google Security Operations para extraer registros de EDR directamente desde un bucket de Amazon S3.

Para configurar un feed de transferencia con un bucket de S3, sigue estos pasos:

Ve a Configuración de SIEM > Feeds.
Haz clic en Agregar feed nuevo.
En la siguiente página, haz clic en Configurar un solo feed.
En el campo Nombre del feed, ingresa un nombre para el feed, por ejemplo, Registros de Crowdstrike Falcon.
En Tipo de fuente, selecciona Amazon S3.
En Log type, selecciona CrowdStrike Falcon.

Según la cuenta de servicio y la configuración del bucket de Amazon S3 que creaste, especifica valores para los siguientes campos:

Campo	Descripción
`region`	Es el URI de la región de S3.
`S3 uri`	Es el URI de origen del bucket de S3.
`uri is a`	Tipo de objeto al que apunta el URI (por ejemplo, archivo o carpeta).
`source deletion option`	Opción para borrar archivos y directorios después de transferir los datos
`access key id`	Clave de acceso (cadena alfanumérica de 20 caracteres) Por ejemplo, `AKIAOSFOODNN7EXAMPLE`.
`secret access key`	Clave de acceso secreta (cadena alfanumérica de 40 caracteres) Por ejemplo, `wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY`.
`oauth client id`	ID de cliente de OAuth público.
`oauth client secret`	Es el secreto del cliente de OAuth 2.0.
`oauth secret refresh uri`	Es el URI de actualización del secreto del cliente de OAuth 2.0.
`asset namespace`	Es el espacio de nombres asociado con el feed.

Haz clic en Siguiente y, luego, en Enviar.

Opción 3: Transfiere registros de EDR desde Cloud Storage

Puedes configurar CrowdStrike para que envíe registros de EDR a un bucket de Cloud Storage y, luego, los ingiera en Google Security Operations a través de un feed. Este proceso requiere coordinación con el equipo de asistencia de CrowdStrike.

Comunícate con la asistencia de CrowdStrike: Abre un ticket de asistencia con CrowdStrike para habilitar y configurar el envío de registros de EDR a tu bucket de Cloud Storage. Te brindarán orientación sobre las configuraciones necesarias.
Crea y otorga permisos al bucket de Cloud Storage:
1. En la consola de Google Cloud , crea un bucket nuevo de Cloud Storage. Toma nota del nombre del bucket (por ejemplo, gs://my-crowdstrike-edr-logs/).
2. Otorga permisos de escritura a la cuenta de servicio proporcionada por CrowdStrike. Sigue las instrucciones del equipo de asistencia de CrowdStrike.
Configura el feed de Google SecOps:
1. En tu instancia de Google SecOps, ve a Configuración > Feeds y haz clic en Agregar nuevo.
2. Ingresa un Nombre del feed descriptivo (por ejemplo, CS-EDR-GCS).
3. En Tipo de fuente, selecciona Google Cloud Storage V2.
4. En Log type, selecciona CrowdStrike Falcon.
5. En la sección de la cuenta de servicio, haz clic en Obtener cuenta de servicio. Copia la dirección de correo electrónico única de la cuenta de servicio que se muestra.
6. En la consola de Google Cloud , navega a tu bucket de Cloud Storage y otorga el rol de IAM de Storage Object Viewer a la dirección de correo electrónico de la cuenta de servicio que copiaste. Esto permite que el feed lea los archivos de registro.
7. Regresa a la página de configuración del feed de Google SecOps.
8. Ingresa la URL del bucket de almacenamiento (por ejemplo, gs://my-crowdstrike-edr-logs/). Esta URL debe terminar con una barra diagonal (/).
9. Selecciona una Opción de eliminación de la fuente. Se recomienda la opción No borrar archivos nunca.
10. Haz clic en Siguiente, revisa la configuración y, luego, haz clic en Enviar.
Verifica la transferencia de registros: Después de que CrowdStrike confirme que se envían los registros, verifica si hay registros entrantes en Google SecOps con el tipo de registro CROWDSTRIKE_EDR.

Registros de alertas de transferencia (`CS_ALERTS`)

Para transferir alertas de CrowdStrike Falcon, debes configurar un feed que use la API de CrowdStrike.

En la consola de CrowdStrike Falcon, haz lo siguiente:
1. Accede a la consola de CrowdStrike Falcon.
2. Ve a Asistencia y recursos > Recursos y herramientas > Clientes y claves de API y haz clic en Crear cliente de API.
3. Ingresa un Nombre del cliente y una Descripción.
4. En Permisos de la API, selecciona las casillas Lectura y Escritura para Alertas.
5. Haz clic en Crear. Toma nota del ID de cliente, el secreto del cliente y la URL base generados.
En Google Security Operations:
1. Ve a Configuración > Feeds y haz clic en Agregar nuevo.
2. Selecciona API de terceros en Tipo de fuente.
3. Selecciona CrowdStrike Alerts API para Log type.
4. Haz clic en Siguiente y completa los siguientes campos con los valores del cliente de la API de CrowdStrike:
  - Extremo del token de OAuth
  - ID de cliente de OAuth
  - Secreto del cliente de OAuth
  - URL base
5. Haz clic en Siguiente y, luego, en Enviar.

Transfiere registros de Detecciones (`CS_DETECTS`)

Para transferir los registros de detección de CrowdStrike Falcon, también debes usar la API de CrowdStrike.

En la consola de CrowdStrike Falcon, haz lo siguiente:
1. Accede a la consola de CrowdStrike Falcon.
2. Ve a Support Apps > API Clients and Keys.
3. Crea un nuevo par de claves de cliente de API. Este par de claves debe tener permisos de READ para Detections.
En Google Security Operations:
1. Ve a Configuración > Feeds y haz clic en Agregar nuevo.
2. Selecciona API de terceros en Tipo de fuente.
3. Selecciona CrowdStrike Detection Monitoring en Tipo de registro.
4. Haz clic en Siguiente y, luego, en Enviar. Se te solicitarán las credenciales de la API que creaste.

Transfiere registros de IoC (`CS_IOC`)

Para transferir registros de indicadores de compromiso (IoC) de CrowdStrike, usa Google SecOps Intel Bridge.

En la consola de CrowdStrike Falcon, crea un nuevo par de claves de cliente de API. Este par de claves debe tener permiso de READ para Indicators (Falcon Intelligence).
Configura Google SecOps Intel Bridge siguiendo las instrucciones que se indican en CrowdStrike to Google SecOps Intel Bridge.

Ejecuta los siguientes comandos de Docker para enviar los registros de CrowdStrike a Google SecOps. sa.json es el archivo de tu cuenta de servicio de Google SecOps.

docker build . -t ccib:latest
docker run -it --rm \
      -e FALCON_CLIENT_ID="$FALCON_CLIENT_ID"  \
      -e FALCON_CLIENT_SECRET="$FALCON_CLIENT_SECRET"  \
      -e FALCON_CLOUD_REGION="$FALCON_CLOUD"  \
      -e CHRONICLE_CUSTOMER_ID="$CHRONICLE_CUSTOMER_ID"  \
      -e GOOGLE_APPLICATION_CREDENTIALS=/ccib/sa.json  \
      -v  ~/my/path/to/service/account/filer/sa.json:/ccib/sa.json  \
      ccib:latest

Una vez que el contenedor esté en ejecución, los registros de IoC comenzarán a transmitirse a Google SecOps.

Si tienes problemas con alguna de estas configuraciones, comunícate con el equipo de asistencia de SecOps de Google.

Es el delta de la asignación del UDM para los registros de alertas de CrowdStrike.

Referencia del delta de asignación del UDM: CS_ALERTS

En la siguiente tabla, se muestra la diferencia entre el analizador predeterminado de CS ALERTS y la versión premium de CS ALERTS.

Default UDM Mapping	Log Field	Premium Mapping Delta
`about.resource.product_object_id`	`cid`	Removed mapping to avoid duplication, as the `cid` log field is also mapped to `metadata.product_deployment_id`.
`principal.asset.platform_software.platform`	`platform`	If the `device.platform_name` log field value is empty and the `platform` log field value is not empty and if the `platform` log field value matches the regular expression pattern `(?i)Windows` then, the `principal.asset.platform_software.platform` UDM field is set to `WINDOWS`. Else, if `platform` log field value matches the regular expression pattern `(?i)Linux` then, the `principal.asset.platform_software.platform` UDM field is set to `LINUX`. Else, if `platform` log field value matches the regular expression pattern `(?i)Mac` then, the `principal.asset.platform_software.platform` UDM field is set to `MAC`. Else, if `platform` log field value matches the regular expression pattern `(?i)ios` then, the `principal.asset.platform_software.platform` UDM field is set to `IOS`.
`security_result.detection_fields[agent_id]`	`agent_id`	If the `device.device_id` log field value is empty and the `host_id` log field value is empty and the `mdm_device_id` log field value is empty then, `CS:%{agent_id}` log field is mapped to the `principal.asset_id` UDM field. Else, the `principal.asset.attribute.labels.key` UDM field is set to `agent_id` and `agent_id` log field is mapped to the `principal.asset.attribute.labels.value` UDM field.
`security_result.detection_fields[idp_policy_account_event_type]`	`idp_policy_account_event_type`	`security_result.rule_labels[idp_policy_account_event_type]`
`security_result.detection_fields[idp_policy_mfa_factor_type]`	`idp_policy_mfa_factor_type`	`security_result.rule_labels[idp_policy_mfa_factor_type]`
`security_result.detection_fields[idp_policy_mfa_provider_name]`	`idp_policy_mfa_provider_name`	`security_result.rule_labels[idp_policy_mfa_provider_name]`
`security_result.detection_fields[idp_policy_mfa_provider]`	`idp_policy_mfa_provider`	`security_result.rule_labels[idp_policy_mfa_provider]`
`security_result.detection_fields[idp_policy_rule_action]`	`idp_policy_rule_action`	`security_result.rule_labels[idp_policy_rule_action]`
`security_result.detection_fields[idp_policy_rule_trigger]`	`idp_policy_rule_trigger`	`security_result.rule_labels[idp_policy_rule_trigger]`
`security_result.detection_fields[idp_policy_rule_id]`	`idp_policy_rule_id`	`security_result.rule_id`
`security_result.detection_fields[idp_policy_rule_name]`	`idp_policy_rule_name`	`security_result.rule_name`
`security_result.detection_fields[status]`	`status`	If the `status` log field value matches the regular expression pattern `(?i)new` then, `status` log field is mapped to the `security_result.about.investigation.status` UDM field with the value `NEW`. Else, if `status` log field value matches the regular expression pattern `(?i)closed` then, `status` log field is mapped to the `security_result.about.investigation.status` UDM field with the value `CLOSED`. Else, `status` log field is mapped to the `security_result.detection_fields[status]` UDM field.
`target.process.file.mime_type`	`alleged_filetype`	If the `technique_name` log field value contain one of the following values `Archive via Library` `Ingress Tool Transfer` `Remote File Copy` `File Transfer Protocols` `Credentials from Web Browsers` `Credentials In Files` `Proc Filesystem` `Unsecured Credentials` `File Deletion` `Obfuscated Files or Information` `Compile After Delivery` `Compiled HTML File` `Deobfuscate/Decode Files or Information` `Double File Extension` `File and Directory Permissions Modification` `File System Logical Offsets` `Hidden Files and Directories` `Install Root Certificate` `Archive Collected Data` `Archive via Custom Method` `Archive via Utility` `Linux and Mac File and Directory Permissions Modification` `MMC` `NTFS File Attributes` `PubPrn` `Resource Forking` `Rundll32` `Scripting` `Space after Filename` `System Script Proxy Execution` `XSL Script Processing` `Intelligence Indicator - Hash` `Known Hash` `Malicious File` `File and Directory Discovery` `AppleScript` `Command and Scripting Interpreter` `JavaScript` `JavaScript/JScript` `Malicious Image` `PowerShell` `Python` `Service Execution` `Unix Shell` `User Execution` `Data Destruction` `Spearphishing Attachment` `.bash_profile and .bashrc` `Change Default File Association` `Ccache Files` `Chat Messages` `Multi-Factor Authentication` `TCC Manipulation` `Application Versioning` `Fileless Storage` `Embedded Payloads` `File/Path Exclusions` `Encrypted/Encoded File` `Match Legitimate Resource Name or Location` `Masquerade File Type` `Stripped Payloads` `Clear Network Connection History and Configurations` `Disable or Modify Linux Audit System` `Junk Code Insertion` `Extended Attributes` `SVG Smuggling` `Indicator Removal` `LNK Icon Smuggling` `Polymorphic Code` `Relocate Malware` `Clear Persistence` `Compression` `Compromise Host Software Binary` `Conceal Multimedia Files` `Browser Information Discovery` `Taint Shared Content` `Shared Webroot` then, `alleged_filetype` log field is mapped to the `target.file.mime_type` UDM field. Else, `alleged_filetype` log field is mapped to the `target.process.file.mime_type` UDM field.
`principal.resource.product_object_id`	`device.cid`	`principal.asset.attribute.labels[device_cid]`
`security_result.detection_fields[active_directory_dn_display]`	`device.hostinfo.active_directory_dn_display`	Iterate through log field `device.hostinfo.active_directory_dn_display`, then the `security_result.detection_fields.key` UDM field is set to `device_hostinfo_active_directory_dn_display` and `device.hostinfo.active_directory_dn_display` log field is mapped to the `security_result.detection_fields.value` UDM field.
`principal.asset.platform_software.platform`	`device.platform_name`	If the `device.platform_name` log field value is not empty and if the `device.platform_name` log field value matches the regular expression pattern `(?i)Windows` then, the `principal.asset.platform_software.platform` UDM field is set to `WINDOWS`. Else, if `device.platform_name` log field value matches the regular expression pattern `(?i)Linux` then, the `principal.asset.platform_software.platform` UDM field is set to `LINUX`. Else, if `device.platform_name` log field value matches the regular expression pattern `(?i)Mac` then, the `principal.asset.platform_software.platform` UDM field is set to `MAC`. Else, if `device.platform_name` log field value matches the regular expression pattern `(?i)ios` then, the `principal.asset.platform_software.platform` UDM field is set to `IOS`. if the `platform` log field value is not empty and the `device.platform_name` log field value is equal to `the platform log field value` then, the `principal.asset.attribute.labels.key` UDM field is set to `platform` and `platform` log field is mapped to the `principal.asset.attribute.labels.value` UDM field.
`principal.asset.platform_software.platform_version`	`device.system_product_name`	`principal.asset.hardware.model`
`target.process.file.names`	`filename`	If the `technique_name` log field value contain one of the following values `Archive via Library` `Ingress Tool Transfer` `Remote File Copy` `File Transfer Protocols` `Credentials from Web Browsers` `Credentials In Files` `Proc Filesystem` `Unsecured Credentials` `File Deletion` `Obfuscated Files or Information` `Compile After Delivery` `Compiled HTML File` `Deobfuscate/Decode Files or Information` `Double File Extension` `File and Directory Permissions Modification` `File System Logical Offsets` `Hidden Files and Directories` `Install Root Certificate` `Archive Collected Data` `Archive via Custom Method` `Archive via Utility` `Linux and Mac File and Directory Permissions Modification` `MMC` `NTFS File Attributes` `PubPrn` `Resource Forking` `Rundll32` `Scripting` `Space after Filename` `System Script Proxy Execution` `XSL Script Processing` `Intelligence Indicator - Hash` `Known Hash` `Malicious File` `File and Directory Discovery` `AppleScript` `Command and Scripting Interpreter` `JavaScript` `JavaScript/JScript` `Malicious Image` `PowerShell` `Python` `Service Execution` `Unix Shell` `User Execution` `Data Destruction` `Spearphishing Attachment` `.bash_profile and .bashrc` `Change Default File Association` `Ccache Files` `Chat Messages` `Multi-Factor Authentication` `TCC Manipulation` `Application Versioning` `Fileless Storage` `Embedded Payloads` `File/Path Exclusions` `Encrypted/Encoded File` `Match Legitimate Resource Name or Location` `Masquerade File Type` `Stripped Payloads` `Clear Network Connection History and Configurations` `Disable or Modify Linux Audit System` `Junk Code Insertion` `Extended Attributes` `SVG Smuggling` `Indicator Removal` `LNK Icon Smuggling` `Polymorphic Code` `Relocate Malware` `Clear Persistence` `Compression` `Compromise Host Software Binary` `Conceal Multimedia Files` `Browser Information Discovery` `Taint Shared Content` `Shared Webroot` then, `filename` log field is mapped to the `target.file.names` UDM field. Else, `filename` log field is mapped to the `target.process.file.names` UDM field.
`target.file.full_path`	`filepath`	If the `technique_name` log field value contain one of the following values `Archive via Library` `Ingress Tool Transfer` `Remote File Copy` `File Transfer Protocols` `Credentials from Web Browsers` `Credentials In Files` `Proc Filesystem` `Unsecured Credentials` `File Deletion` `Obfuscated Files or Information` `Compile After Delivery` `Compiled HTML File` `Deobfuscate/Decode Files or Information` `Double File Extension` `File and Directory Permissions Modification` `File System Logical Offsets` `Hidden Files and Directories` `Install Root Certificate` `Archive Collected Data` `Archive via Custom Method` `Archive via Utility` `Linux and Mac File and Directory Permissions Modification` `MMC` `NTFS File Attributes` `PubPrn` `Resource Forking` `Rundll32` `Scripting` `Space after Filename` `System Script Proxy Execution` `XSL Script Processing` `Intelligence Indicator - Hash` `Known Hash` `Malicious File` `File and Directory Discovery` `AppleScript` `Command and Scripting Interpreter` `JavaScript` `JavaScript/JScript` `Malicious Image` `PowerShell` `Python` `Service Execution` `Unix Shell` `User Execution` `Data Destruction` `Spearphishing Attachment` `.bash_profile and .bashrc` `Change Default File Association` `Ccache Files` `Chat Messages` `Multi-Factor Authentication` `TCC Manipulation` `Application Versioning` `Fileless Storage` `Embedded Payloads` `File/Path Exclusions` `Encrypted/Encoded File` `Match Legitimate Resource Name or Location` `Masquerade File Type` `Stripped Payloads` `Clear Network Connection History and Configurations` `Disable or Modify Linux Audit System` `Junk Code Insertion` `Extended Attributes` `SVG Smuggling` `Indicator Removal` `LNK Icon Smuggling` `Polymorphic Code` `Relocate Malware` `Clear Persistence` `Compression` `Compromise Host Software Binary` `Conceal Multimedia Files` `Browser Information Discovery` `Taint Shared Content` `Shared Webroot` then, `filepath` log field is mapped to the `target.file.full_path` UDM field. Else, `filepath` log field is mapped to the `target.process.file.full_path` UDM field. If the `product` log field value is equal to `epp` and the `type` log field value is equal to `ofp` and if the `macros.ioc_description` log field value is not empty then, `macros.ioc_description` log field is mapped to the `target.file.full_path` UDM field and the `security_result.detection_fields.key` UDM field is set to `filepath` and `filepath` log field is mapped to the `security_result.detection_fields.value` UDM field.
`target.process_ancestors.command_line`	`grandparent_details.cmdline`	`target.process.parent_process.parent_process.command_line`
`target.process_ancestors.file.names`	`grandparent_details.filename`	`target.process.parent_process.parent_process.file.names`
`target.process_ancestors.file.full_path`	`grandparent_details.filepath`	`target.process.parent_process.parent_process.file.full_path`
`target.process_ancestors.file.md5`	`grandparent_details.md5`	`target.process.parent_process.parent_process.file.md5`
`target.process_ancestors.product_specific_process_id`	`grandparent_details.process_graph_id`	If the `grandparent_details.process_graph_id` log field value is not empty then, `PRODUCT_SPECIFIC_PROCESS_ID: %{grandparent_details.process_graph_id}` log field is mapped to the `target.process.parent_process.parent_process.product_specific_process_id` UDM field.
`target.process_ancestors.pid`	`grandparent_details.process_id`	`target.process.parent_process.parent_process.pid`
`target.process_ancestors.file.sha256`	`grandparent_details.sha256`	`target.process.parent_process.parent_process.file.sha256`
`security_result.detection_fields[ioc_description]`	`ioc_context.ioc_description`	Iterate through log field `ioc_context`, then the `security_result.detection_fields.key` UDM field is set to `ioc_context_ioc_description` and `ioc_context.ioc_description` log field is mapped to the `security_result.detection_fields.value` UDM field.
`security_result.detection_fields[ioc_source]`	`ioc_context.ioc_source`	Iterate through log field `ioc_context`, then the `security_result.detection_fields.key` UDM field is set to `ioc_context_ioc_source` and `ioc_context.ioc_source` log field is mapped to the `security_result.detection_fields.value` UDM field.
`target.process.file.md5`	`md5`	If the `technique_name` log field value contain one of the following values `Archive via Library` `Ingress Tool Transfer` `Remote File Copy` `File Transfer Protocols` `Credentials from Web Browsers` `Credentials In Files` `Proc Filesystem` `Unsecured Credentials` `File Deletion` `Obfuscated Files or Information` `Compile After Delivery` `Compiled HTML File` `Deobfuscate/Decode Files or Information` `Double File Extension` `File and Directory Permissions Modification` `File System Logical Offsets` `Hidden Files and Directories` `Install Root Certificate` `Archive Collected Data` `Archive via Custom Method` `Archive via Utility` `Linux and Mac File and Directory Permissions Modification` `MMC` `NTFS File Attributes` `PubPrn` `Resource Forking` `Rundll32` `Scripting` `Space after Filename` `System Script Proxy Execution` `XSL Script Processing` `Intelligence Indicator - Hash` `Known Hash` `Malicious File` `File and Directory Discovery` `AppleScript` `Command and Scripting Interpreter` `JavaScript` `JavaScript/JScript` `Malicious Image` `PowerShell` `Python` `Service Execution` `Unix Shell` `User Execution` `Data Destruction` `Spearphishing Attachment` `.bash_profile and .bashrc` `Change Default File Association` `Ccache Files` `Chat Messages` `Multi-Factor Authentication` `TCC Manipulation` `Application Versioning` `Fileless Storage` `Embedded Payloads` `File/Path Exclusions` `Encrypted/Encoded File` `Match Legitimate Resource Name or Location` `Masquerade File Type` `Stripped Payloads` `Clear Network Connection History and Configurations` `Disable or Modify Linux Audit System` `Junk Code Insertion` `Extended Attributes` `SVG Smuggling` `Indicator Removal` `LNK Icon Smuggling` `Polymorphic Code` `Relocate Malware` `Clear Persistence` `Compression` `Compromise Host Software Binary` `Conceal Multimedia Files` `Browser Information Discovery` `Taint Shared Content` `Shared Webroot` then, `md5` log field is mapped to the `target.file.md5` UDM field. Else, `md5` log field is mapped to the `target.process.file.md5` UDM field.
`target.process.file.sha1`	`sha1`	If the `technique_name` log field value contain one of the following values `Archive via Library` `Ingress Tool Transfer` `Remote File Copy` `File Transfer Protocols` `Credentials from Web Browsers` `Credentials In Files` `Proc Filesystem` `Unsecured Credentials` `File Deletion` `Obfuscated Files or Information` `Compile After Delivery` `Compiled HTML File` `Deobfuscate/Decode Files or Information` `Double File Extension` `File and Directory Permissions Modification` `File System Logical Offsets` `Hidden Files and Directories` `Install Root Certificate` `Archive Collected Data` `Archive via Custom Method` `Archive via Utility` `Linux and Mac File and Directory Permissions Modification` `MMC` `NTFS File Attributes` `PubPrn` `Resource Forking` `Rundll32` `Scripting` `Space after Filename` `System Script Proxy Execution` `XSL Script Processing` `Intelligence Indicator - Hash` `Known Hash` `Malicious File` `File and Directory Discovery` `AppleScript` `Command and Scripting Interpreter` `JavaScript` `JavaScript/JScript` `Malicious Image` `PowerShell` `Python` `Service Execution` `Unix Shell` `User Execution` `Data Destruction` `Spearphishing Attachment` `.bash_profile and .bashrc` `Change Default File Association` `Ccache Files` `Chat Messages` `Multi-Factor Authentication` `TCC Manipulation` `Application Versioning` `Fileless Storage` `Embedded Payloads` `File/Path Exclusions` `Encrypted/Encoded File` `Match Legitimate Resource Name or Location` `Masquerade File Type` `Stripped Payloads` `Clear Network Connection History and Configurations` `Disable or Modify Linux Audit System` `Junk Code Insertion` `Extended Attributes` `SVG Smuggling` `Indicator Removal` `LNK Icon Smuggling` `Polymorphic Code` `Relocate Malware` `Clear Persistence` `Compression` `Compromise Host Software Binary` `Conceal Multimedia Files` `Browser Information Discovery` `Taint Shared Content` `Shared Webroot` then, `sha1` log field is mapped to the `target.file.sha1` UDM field. Else, `sha1` log field is mapped to the `target.process.file.sha1` UDM field.
`target.file.sha256`	`sha256`	If the `technique_name` log field value contain one of the following values `Archive via Library` `Ingress Tool Transfer` `Remote File Copy` `File Transfer Protocols` `Credentials from Web Browsers` `Credentials In Files` `Proc Filesystem` `Unsecured Credentials` `File Deletion` `Obfuscated Files or Information` `Compile After Delivery` `Compiled HTML File` `Deobfuscate/Decode Files or Information` `Double File Extension` `File and Directory Permissions Modification` `File System Logical Offsets` `Hidden Files and Directories` `Install Root Certificate` `Archive Collected Data` `Archive via Custom Method` `Archive via Utility` `Linux and Mac File and Directory Permissions Modification` `MMC` `NTFS File Attributes` `PubPrn` `Resource Forking` `Rundll32` `Scripting` `Space after Filename` `System Script Proxy Execution` `XSL Script Processing` `Intelligence Indicator - Hash` `Known Hash` `Malicious File` `File and Directory Discovery` `AppleScript` `Command and Scripting Interpreter` `JavaScript` `JavaScript/JScript` `Malicious Image` `PowerShell` `Python` `Service Execution` `Unix Shell` `User Execution` `Data Destruction` `Spearphishing Attachment` `.bash_profile and .bashrc` `Change Default File Association` `Ccache Files` `Chat Messages` `Multi-Factor Authentication` `TCC Manipulation` `Application Versioning` `Fileless Storage` `Embedded Payloads` `File/Path Exclusions` `Encrypted/Encoded File` `Match Legitimate Resource Name or Location` `Masquerade File Type` `Stripped Payloads` `Clear Network Connection History and Configurations` `Disable or Modify Linux Audit System` `Junk Code Insertion` `Extended Attributes` `SVG Smuggling` `Indicator Removal` `LNK Icon Smuggling` `Polymorphic Code` `Relocate Malware` `Clear Persistence` `Compression` `Compromise Host Software Binary` `Conceal Multimedia Files` `Browser Information Discovery` `Taint Shared Content` `Shared Webroot` then, `sha256` log field is mapped to the `target.file.sha256` UDM field. Else, `sha256` log field is mapped to the `target.process.file.sha256` UDM field. If the `product` log field value is equal to `epp` and the `type` log field value is equal to `ofp` and if the `ioc_type` log field value is equal to `hash_sha256` and the `macros.ioc_value` log field value is not empty then, `macros.ioc_value` log field is mapped to the `target.file.sha256` UDM field and the `security_result.detection_fields.key` UDM field is set to `sha256` and `sha256` log field is mapped to the `security_result.detection_fields.value` UDM field.
`target.asset.platform_software.platform`	`operating_system`	If the `operating_system` log field value matches the regular expression pattern `(?i)Windows` then, the `principal.asset.platform_software.platform` UDM field is set to `WINDOWS`. Else, if `operating_system` log field value matches the regular expression pattern `(?i)linux` then, the `principal.asset.platform_software.platform` UDM field is set to `LINUX`. Else, if `operating_system` log field value matches the regular expression pattern `(?i)ios` then, the `principal.asset.platform_software.platform` UDM field is set to `IOS`. Else, if `operating_system` log field value matches the regular expression pattern `(?i)mac` then, the `principal.asset.platform_software.platform` UDM field is set to `MAC`.
`security_result.detection_fields[agent_version]`	`agent_version`	`principal.asset.attribute.labels[agent_version]`
`about.email`	`enrollment_email`	`principal.user.email_addresses`
`principal.asset.type`		If the `mdm_device_id` log field value is not empty or the `mobile_hardware` log field value is not empty or the `mobile_manufacturer` log field value is not empty or the `mobile_serial` log field value is not empty then, the `principal.asset.type` UDM field is set to `MOBILE`.
`security_result.detection_fields[detection_context_user_is_admin]`	`detection_context.user_is_admin`	`security_result.about.user.attribute.label[detection_context_user_is_admin]`
`security_result.detection_fields[detection_context_user_sid]`	`detection_context.user_sid`	`security_result.about.user.attribute.label[detection_context_user_sid]`
`principal.asset.attribute.labels[pod_id]`	`device.pod_id`	`principal.resource.product_object_id`
`principal.asset.attribute.labels[pod_labels]`	`device.pod_labels`	`principal.resource.attribute.labels[pod_labels]`
`principal.asset.attribute.labels[pod_name]`	`device.pod_name`	`principal.resource.name`
`principal.asset.attribute.labels[pod_namespace]`	`device.pod_namespace`	`principal.resource.attribute.labels[pod_namespace]`
`principal.asset.attribute.labels[pod_service_account_name]`	`device.pod_service_account_name`	`principal.resource.attribute.labels[pod_service_account_name]`

Formatos de registro de CrowdStrike admitidos

El analizador de CrowdStrike admite registros en formato JSON.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.