Collecter les journaux des flux d'événements CrowdStrike Falcon

Compatible avec :

Ce document explique comment ingérer les journaux CrowdStrike Falcon Event Streams dans Google Security Operations à l'aide de Google Cloud Storage V2. CrowdStrike Falcon Event Streams fournit une API de flux en temps réel qui transmet les données d'événements de sécurité de la plate-forme Falcon, y compris les événements de détection, les événements d'audit, l'activité d'authentification et les mises à jour des incidents. L'API Event Streams utilise une connexion HTTP persistante avec le point de terminaison /sensors/entities/datafeed/v2 pour envoyer des événements en temps quasi réel. Elle prend en charge la reprise basée sur le décalage pour une diffusion fiable.

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

  • Instance Google SecOps.
  • Un projet GCP avec l'API Cloud Storage activée.
  • Autorisations permettant de créer et de gérer des buckets GCS.
  • Autorisations permettant de gérer les stratégies IAM sur les buckets GCS.
  • Autorisations permettant de créer des services Cloud Run, des sujets Pub/Sub et des tâches Cloud Scheduler.
  • Accès privilégié à la console CrowdStrike Falcon avec les autorisations nécessaires pour créer des clients API.

Créer un bucket Google Cloud Storage

  1. Accédez à la console Google Cloud.
  2. Sélectionnez votre projet ou créez-en un.
  3. Dans le menu de navigation, accédez à Cloud Storage > Buckets.
  4. Cliquez sur Créer un bucket.

  5. Fournissez les informations de configuration suivantes :

    Paramètre Valeur
    Nommer votre bucket Saisissez un nom unique (par exemple, cs-stream-logs).
    Type d'emplacement Choisissez en fonction de vos besoins (région, birégion ou multirégion).
    Emplacement Sélectionnez l'emplacement (par exemple, us-central1).
    Classe de stockage Standard (recommandé pour les journaux auxquels vous accédez fréquemment)
    Access control (Contrôle des accès) Uniforme (recommandé)
    Outils de protection Facultatif : Activez la gestion des versions des objets ou une règle de conservation.

  6. Cliquez sur Créer.

Configurer l'accès à l'API CrowdStrike Falcon

Créer un client API

  1. Connectez-vous à la console CrowdStrike Falcon.
  2. Dans le menu de navigation, accédez à Assistance et ressources > Ressources et outils > Clés et clients API.
  3. Cliquez sur Créer un client API.
  4. Fournissez les informations de configuration suivantes :
    • Nom du client : saisissez un nom descriptif (par exemple, Google SecOps Event Streams Integration).
    • Description (facultatif) : saisissez une description (par exemple, API client for streaming events to GCS).
  5. Dans la section Champs d'application de l'API, sélectionnez l'autorisation suivante :
    • Flux d'événements : sélectionnez Lire (obligatoire pour utiliser l'API de streaming).
  6. Cliquez sur Créer.

Enregistrer les identifiants de l'API

Une fois le client API créé, vous recevez les identifiants suivants :

  • ID client : chaîne hexadécimale de 32 caractères en minuscules.
  • Code secret du client : chaîne alphanumérique de 40 caractères.
  • URL de base : nom de domaine complet de l'API CrowdStrike (par exemple, api.crowdstrike.com ou api.us-2.crowdstrike.com).

Important : Copiez et enregistrez immédiatement le code secret du client. Elle ne s'affiche qu'une seule fois et ne peut pas être récupérée ultérieurement.

Points de terminaison régionaux

CrowdStrike opère dans plusieurs régions avec différents points de terminaison d'API :

Région URL de base
US-1 api.crowdstrike.com
US-2 api.us-2.crowdstrike.com
EU-1 api.eu-1.crowdstrike.com
US-GOV-1 api.laggar.gcw.crowdstrike.com

Important : Utilisez l'URL de base qui correspond à la région de connexion de votre console CrowdStrike Falcon.

Vérifier les autorisations

Pour vérifier que le client API dispose des autorisations requises :

  1. Connectez-vous à la console CrowdStrike Falcon.
  2. Accédez à Assistance et ressources> Ressources et outils> Clés et clients API.
  3. Recherchez le client API que vous avez créé et vérifiez que le niveau d'accès Lecture est indiqué pour le champ Flux d'événements.

Tester l'accès à l'API

  • Testez vos identifiants avant de procéder à l'intégration :

    CLIENT_ID="<your-client-id>"
CLIENT_SECRET="<your-client-secret>"
BASE_URL="https://api.crowdstrike.com"

# Get OAuth2 token
TOKEN=$(curl -s -X POST "${BASE_URL}/oauth2/token" \
  -H "Content-Type: application/x-www-form-urlencoded" \
  -d "client_id=${CLIENT_ID}&client_secret=${CLIENT_SECRET}" | python3 -c "import sys,json; print(json.load(sys.stdin)['access_token'])")

# Test Event Streams API access (discover available data feeds)
curl -s -H "Authorization: Bearer ${TOKEN}" \
  "${BASE_URL}/sensors/entities/datafeed/v2?appId=secops-test&format=flatjson"

Une réponse réussie renvoie un objet JSON contenant resources avec les champs dataFeedURL et sessionToken pour chaque partition de flux disponible.

Créer un compte de service pour la fonction Cloud Run

La fonction Cloud Run a besoin d'un compte de service disposant des autorisations nécessaires pour écrire dans le bucket GCS et être appelée par Pub/Sub.

Créer un compte de service

  1. Dans la console GCP, accédez à IAM et administration > Comptes de service.
  2. Cliquez sur Créer un compte de service.
  3. Fournissez les informations de configuration suivantes :
    • Nom du compte de service : saisissez cs-stream-collector-sa.
    • Description du compte de service : saisissez Service account for Cloud Run function to collect CrowdStrike Event Streams logs.
  4. Cliquez sur Créer et continuer.
  5. Dans la section Autoriser ce compte de service à accéder au projet, ajoutez les rôles suivants :
    1. Cliquez sur Sélectionner un rôle.
    2. Recherchez et sélectionnez Administrateur des objets de l'espace de stockage.
    3. Cliquez sur + Ajouter un autre rôle.
    4. Recherchez et sélectionnez Demandeur Cloud Run.
    5. Cliquez sur + Ajouter un autre rôle.
    6. Recherchez et sélectionnez Demandeur Cloud Functions.
  6. Cliquez sur Continuer.
  7. Cliquez sur OK.

Ces rôles sont requis pour :

  • Administrateur des objets Storage : écrire des journaux dans un bucket GCS et gérer les fichiers d'état
  • Demandeur Cloud Run : autorise Pub/Sub à appeler la fonction
  • Demandeur Cloud Functions : autorise l'appel de fonctions

Accorder des autorisations IAM sur un bucket GCS

Accordez au compte de service des autorisations d'écriture sur le bucket GCS :

  1. Accédez à Cloud Storage > Buckets.
  2. Cliquez sur le nom de votre bucket (par exemple, cs-stream-logs).
  3. Accédez à l'onglet Autorisations.
  4. Cliquez sur Accorder l'accès.
  5. Fournissez les informations de configuration suivantes :
    • Ajouter des comptes principaux : saisissez l'adresse e-mail du compte de service (par exemple, cs-stream-collector-sa@PROJECT_ID.iam.gserviceaccount.com).
    • Attribuer des rôles : sélectionnez Administrateur des objets Storage.
  6. Cliquez sur Enregistrer.

Créer un sujet Pub/Sub

Créez un sujet Pub/Sub auquel Cloud Scheduler publiera des messages et auquel la fonction Cloud Run s'abonnera.

  1. Dans la console GCP, accédez à Pub/Sub > Sujets.
  2. Cliquez sur Create topic (Créer un sujet).
  3. Fournissez les informations de configuration suivantes :
    • ID du sujet : saisissez cs-stream-trigger.
    • Conservez les valeurs par défaut des autres paramètres.
  4. Cliquez sur Créer.

Créer une fonction Cloud Run pour collecter les journaux

La fonction Cloud Run sera déclenchée par les messages Pub/Sub de Cloud Scheduler pour se connecter à l'API CrowdStrike Event Streams, consommer des événements et les écrire dans GCS.

  1. Dans la console GCP, accédez à Cloud Run.
  2. Cliquez sur Créer un service.
  3. Sélectionnez Fonction (utilisez un éditeur intégré pour créer une fonction).

  4. Dans la section Configurer, fournissez les informations de configuration suivantes :

    Paramètre Valeur
    Nom du service cs-stream-collector
    Région Sélectionnez la région correspondant à votre bucket GCS (par exemple, us-central1).
    Durée d'exécution Sélectionnez Python 3.12 ou version ultérieure.

  5. Dans la section Déclencheur (facultatif) :

    1. Cliquez sur + Ajouter un déclencheur.
    2. Sélectionnez Cloud Pub/Sub.
    3. Dans Sélectionner un sujet Cloud Pub/Sub, sélectionnez cs-stream-trigger.
    4. Cliquez sur Enregistrer.

  6. Dans la section Authentification :

    1. Sélectionnez Exiger l'authentification.
    2. Consultez Identity and Access Management (IAM).

  7. Faites défiler la page vers le bas, puis développez Conteneurs, mise en réseau, sécurité.

  8. Accédez à l'onglet Sécurité :

    • Compte de service : sélectionnez cs-stream-collector-sa.

  9. Accédez à l'onglet Conteneurs :

    1. Cliquez sur Variables et secrets.
    2. Cliquez sur + Ajouter une variable pour chaque variable d'environnement :
    Nom de la variable Exemple de valeur Description
    GCS_BUCKET cs-stream-logs Nom du bucket GCS
    GCS_PREFIX crowdstrike/stream Préfixe des fichiers journaux
    STATE_KEY crowdstrike/stream/state.json Chemin d'accès au fichier d'état
    CS_BASE_URL https://api.crowdstrike.com URL de base de l'API CrowdStrike
    CS_CLIENT_ID your-client-id ID client de l'API
    CS_CLIENT_SECRET your-client-secret Code secret du client de l'API
    CS_APP_ID secops-stream-collector ID unique de l'application pour les flux d'événements (32 caractères alphanumériques maximum)
    STREAM_TIMEOUT 300 Délai avant expiration de la lecture du flux en secondes
    MAX_RECORDS 10000 Nombre maximal d'enregistrements par exécution

  10. Dans la section Variables et secrets, faites défiler la page jusqu'à Requêtes :

    • Délai avant expiration de la requête : saisissez 600 secondes (10 minutes).

  11. Accédez à l'onglet Paramètres :

    • Dans la section Ressources :
      • Mémoire : sélectionnez 512 Mio ou plus.
      • CPU : sélectionnez 1.

  12. Dans la section Scaling de révision :

    • Nombre minimal d'instances : saisissez 0.
    • Nombre maximal d'instances : saisissez 1 (un seul consommateur de flux doit s'exécuter à la fois).

  13. Cliquez sur Créer.

  14. Attendez que le service soit créé (1 à 2 minutes).

  15. Une fois le service créé, l'éditeur de code intégré s'ouvre automatiquement.

Ajouter un code de fonction

  1. Saisissez main dans le champ Point d'entrée.

  2. Dans l'éditeur de code intégré, créez deux fichiers :

    • main.py:

      import functions_framework
from google.cloud import storage
import json
import os
import urllib3
from datetime import datetime, timezone

# Initialize HTTP client with timeouts
http = urllib3.PoolManager(
    timeout=urllib3.Timeout(connect=5.0, read=30.0),
    retries=False,
)

# Initialize Storage client
storage_client = storage.Client()

# Environment variables
GCS_BUCKET = os.environ.get('GCS_BUCKET')
GCS_PREFIX = os.environ.get('GCS_PREFIX', 'crowdstrike/stream')
STATE_KEY = os.environ.get('STATE_KEY', 'crowdstrike/stream/state.json')
CS_BASE_URL = os.environ.get('CS_BASE_URL', 'https://api.crowdstrike.com')
CS_CLIENT_ID = os.environ.get('CS_CLIENT_ID')
CS_CLIENT_SECRET = os.environ.get('CS_CLIENT_SECRET')
CS_APP_ID = os.environ.get('CS_APP_ID', 'secops-stream-collector')
STREAM_TIMEOUT = int(os.environ.get('STREAM_TIMEOUT', '300'))
MAX_RECORDS = int(os.environ.get('MAX_RECORDS', '10000'))

def get_oauth_token(base_url: str, client_id: str, client_secret: str) -> str:
    """Get CrowdStrike OAuth2 access token."""
    token_url = f"{base_url}/oauth2/token"
    body = f"client_id={client_id}&client_secret={client_secret}"
    response = http.request(
        'POST', token_url,
        body=body.encode('utf-8'),
        headers={'Content-Type': 'application/x-www-form-urlencoded'}
    )
    if response.status != 200:
        raise Exception(f"OAuth token request failed: {response.status}")
    data = json.loads(response.data.decode('utf-8'))
    return data['access_token']

def refresh_stream_session(base_url: str, token: str, app_id: str, partition: int = 0):
    """Refresh an active stream session to keep it alive."""
    refresh_url = (
        f"{base_url}/sensors/entities/datafeed-actions/v1/{partition}"
        f"?appId={app_id}&action_name=refresh_active_stream_session"
    )
    response = http.request(
        'POST', refresh_url,
        headers={
            'Authorization': f'Bearer {token}',
            'Content-Type': 'application/json',
        }
    )
    if response.status == 200:
        print("Stream session refreshed successfully")
    else:
        print(f"Warning: Stream session refresh returned {response.status}")

@functions_framework.cloud_event
def main(cloud_event):
    """
    Cloud Run function triggered by Pub/Sub to fetch CrowdStrike
    Event Streams data and write to GCS.
    """

    if not all([GCS_BUCKET, CS_BASE_URL, CS_CLIENT_ID, CS_CLIENT_SECRET]):
        print('Error: Missing required environment variables')
        return

    try:
        bucket = storage_client.bucket(GCS_BUCKET)

        # Load state
        state = load_state(bucket, STATE_KEY)

        # Get OAuth token
        token = get_oauth_token(CS_BASE_URL, CS_CLIENT_ID, CS_CLIENT_SECRET)
        headers = {
            'Authorization': f'Bearer {token}',
            'Accept': 'application/json',
        }

        # Discover available data feeds
        discover_url = (
            f"{CS_BASE_URL}/sensors/entities/datafeed/v2"
            f"?appId={CS_APP_ID}&format=flatjson"
        )
        response = http.request('GET', discover_url, headers=headers)

        if response.status != 200:
            print(f"Failed to discover data feed: {response.status}")
            print(f"Response: {response.data.decode('utf-8')}")
            return

        feed_data = json.loads(response.data.decode('utf-8'))
        resources = feed_data.get('resources', [])

        if not resources:
            print("No data feed resources available")
            return

        feed_url = resources[0].get('dataFeedURL', '')
        session_token = resources[0].get(
            'sessionToken', {}
        ).get('token', '')

        if not feed_url or not session_token:
            print("Missing feed URL or session token")
            return

        # Build stream URL with offset if available
        stream_url = feed_url
        offset = state.get('offset')
        if offset:
            stream_url = f"{feed_url}&offset={offset}"

        # Connect to Event Stream
        stream_headers = {
            'Authorization': f'Token {session_token}',
            'Accept': 'application/json',
            'Connection': 'keep-alive',
        }

        stream_http = urllib3.PoolManager(
            timeout=urllib3.Timeout(
                connect=10.0, read=float(STREAM_TIMEOUT)
            ),
            retries=False,
        )

        print(f"Connecting to Event Stream...")
        resp = stream_http.request(
            'GET', stream_url,
            headers=stream_headers,
            preload_content=False
        )

        if resp.status != 200:
            print(f"Stream connection failed: {resp.status}")
            return

        records = []
        latest_offset = offset
        now = datetime.now(timezone.utc)

        for line in resp.stream(4096):
            decoded = line.decode('utf-8').strip()
            if not decoded:
                continue

            try:
                event = json.loads(decoded)
                records.append(event)

                event_offset = event.get(
                    'metadata', {}
                ).get('offset')
                if event_offset is not None:
                    latest_offset = event_offset

                if len(records) >= MAX_RECORDS:
                    print(
                        f"Reached max records limit ({MAX_RECORDS})"
                    )
                    break
            except json.JSONDecodeError:
                continue

        resp.release_conn()

        if not records:
            print("No new events found in stream.")
            # Refresh stream session to keep it alive
            refresh_stream_session(
                CS_BASE_URL, token, CS_APP_ID
            )
            return

        # Write to GCS as NDJSON
        timestamp = now.strftime('%Y%m%d_%H%M%S')
        object_key = f"{GCS_PREFIX}/logs_{timestamp}.ndjson"
        blob = bucket.blob(object_key)

        ndjson = '\n'.join(
            [json.dumps(r, ensure_ascii=False) for r in records]
        ) + '\n'
        blob.upload_from_string(
            ndjson, content_type='application/x-ndjson'
        )

        print(
            f"Wrote {len(records)} records to "
            f"gs://{GCS_BUCKET}/{object_key}"
        )

        # Save state with latest offset
        new_state = {
            'offset': latest_offset,
            'last_run': now.isoformat()
        }
        save_state(bucket, STATE_KEY, new_state)

        # Refresh stream session to keep it alive
        refresh_stream_session(
            CS_BASE_URL, token, CS_APP_ID
        )

        print(f"Successfully processed {len(records)} events")

    except Exception as e:
        print(f'Error processing logs: {str(e)}')
        raise

def load_state(bucket, key):
    """Load state from GCS."""
    try:
        blob = bucket.blob(key)
        if blob.exists():
            state_data = blob.download_as_text()
            return json.loads(state_data)
    except Exception as e:
        print(f"Warning: Could not load state: {e}")
    return {}

def save_state(bucket, key, state: dict):
    """Save state to GCS."""
    try:
        blob = bucket.blob(key)
        blob.upload_from_string(
            json.dumps(state, indent=2),
            content_type='application/json'
        )
        print(f"Saved state: {state}")
    except Exception as e:
        print(f"Warning: Could not save state: {e}")

    requirements.txt:

    ```none
functions-framework==3.*
google-cloud-storage==2.*
urllib3>=2.0.0
```

  3. Cliquez sur Déployer pour enregistrer et déployer la fonction.

  4. Attendez la fin du déploiement (deux à trois minutes).

Créer une tâche Cloud Scheduler

Cloud Scheduler publie des messages sur le sujet Pub/Sub à intervalles réguliers, ce qui déclenche la fonction Cloud Run.

  1. Dans la console GCP, accédez à Cloud Scheduler.
  2. Cliquez sur Créer une tâche.

  3. Fournissez les informations de configuration suivantes :

    Paramètre Valeur
    Nom cs-stream-collector-scheduled
    Région Sélectionnez la même région que la fonction Cloud Run.
    Fréquence */15 * * * * (toutes les 15 minutes)
    Fuseau horaire Sélectionnez un fuseau horaire (UTC recommandé).
    Type de cible Pub/Sub
    Thème Sélectionner cs-stream-trigger
    Corps du message {} (objet JSON vide)

  4. Cliquez sur Créer.

Tester l'intégration

  1. Dans la console Cloud Scheduler, recherchez votre job.
  2. Cliquez sur Exécuter de force pour déclencher le job manuellement.
  3. Patientez quelques secondes.
  4. Accédez à Cloud Run > Services.
  5. Cliquez sur cs-stream-collector.
  6. Cliquez sur l'onglet Journaux.

  7. Vérifiez que la fonction s'est exécutée correctement. Par exemple :

    Connecting to Event Stream...
Wrote X records to gs://cs-stream-logs/crowdstrike/stream/logs_YYYYMMDD_HHMMSS.ndjson
Stream session refreshed successfully
Successfully processed X events

  8. Accédez à Cloud Storage > Buckets.

  9. Cliquez sur cs-stream-logs.

  10. Accédez au dossier crowdstrike/stream/.

  11. Vérifiez qu'un fichier .ndjson a été créé avec le code temporel actuel.

Si vous constatez des erreurs dans les journaux :

  • HTTP 401 : vérifiez les identifiants de l'API dans les variables d'environnement
  • HTTP 403 : vérifiez que le client API dispose du champ d'application Flux d'événements : lecture.
  • HTTP 429 : limitation du débit. Ajustez la fréquence du planificateur ou augmentez STREAM_TIMEOUT.
  • Variables d'environnement manquantes : vérifiez que toutes les variables requises sont définies.
  • Aucune ressource de flux de données n'est disponible : vérifiez que CS_APP_ID est unique et ne dépasse pas 32 caractères alphanumériques.

Récupérer le compte de service Google SecOps

Google SecOps utilise un compte de service unique pour lire les données de votre bucket GCS. Vous devez accorder à ce compte de service l'accès à votre bucket.

Obtenir l'adresse e-mail du compte de service

  1. Accédez à Paramètres SIEM> Flux.
  2. Cliquez sur Add New Feed (Ajouter un flux).
  3. Cliquez sur Configurer un flux unique.
  4. Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, CrowdStrike Event Streams logs).
  5. Sélectionnez Google Cloud Storage V2 comme Type de source.
  6. Sélectionnez CrowdStrike Falcon Streaming comme Type de journal.
  7. Cliquez sur Obtenir un compte de service.

  8. Une adresse e-mail unique pour le compte de service s'affiche, par exemple :

    chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com

  9. Copiez cette adresse e-mail pour l'utiliser à l'étape suivante.

  10. Cliquez sur Suivant.

  11. Spécifiez les valeurs des paramètres d'entrée suivants :

    • URL du bucket de stockage : saisissez l'URI du bucket GCS avec le chemin d'accès au préfixe :

      gs://cs-stream-logs/crowdstrike/stream/

    • Option de suppression de la source : sélectionnez l'option de suppression de votre choix :

      • Jamais : ne supprime jamais aucun fichier après les transferts (recommandé pour les tests).
      • Supprimer les fichiers transférés : supprime les fichiers une fois le transfert réussi.

      • Supprimer les fichiers transférés et les répertoires vides : supprime les fichiers et les répertoires vides après un transfert réussi.

    • Âge maximal des fichiers : incluez les fichiers modifiés au cours des derniers jours (180 jours par défaut).

    • Espace de noms de l'élément : espace de noms de l'élément

    • Libellés d'ingestion : libellé à appliquer aux événements de ce flux

  12. Cliquez sur Suivant.

  13. Vérifiez la configuration de votre nouveau flux sur l'écran Finaliser, puis cliquez sur Envoyer.

Accorder des autorisations IAM au compte de service Google SecOps

Le compte de service Google SecOps a besoin du rôle Lecteur des objets Storage sur votre bucket GCS.

  1. Accédez à Cloud Storage > Buckets.
  2. Cliquez sur cs-stream-logs.
  3. Accédez à l'onglet Autorisations.
  4. Cliquez sur Accorder l'accès.
  5. Fournissez les informations de configuration suivantes :
    • Ajouter des comptes principaux : collez l'adresse e-mail du compte de service Google SecOps.
    • Attribuer des rôles : sélectionnez Lecteur des objets de l'espace de stockage.

  6. Cliquez sur Enregistrer.

Vous avez encore besoin d'aide ?

Pour en savoir plus sur les flux Google Security Operations, consultez la documentation sur les flux Google Security Operations. Pour en savoir plus sur les exigences associées à chaque type de flux, consultez Configuration des flux par type.

Pour référence, consultez la documentation sur l'analyseur de flux d'événements CrowdStrike Falcon.

Table de mappage UDM

Champ de journal Mappage UDM Logique
event_data.AssociatedFile about.file.full_path Mappé directement
event_data.IOCValue about.file.sha256 Mappé directement
ActivityId_label additional.fields Fusionné
ActivityOperatingSystem_label additional.fields Fusionné
ModelAnomalyIndicators_label additional.fields Fusionné
SourceEndpointIpReputation_label additional.fields Fusionné
SourceIpIspClassification_label additional.fields Fusionné
SourceIpIspDomain_label additional.fields Fusionné
additional_deviceCustomDate1 additional.fields Fusionné
additional_domainname additional.fields Fusionné
commands_label additional.fields Fusionné
data_domains_label additional.fields Fusionné
dns_request_domain_name_label additional.fields Fusionné
dns_request_type_label additional.fields Fusionné
dnsrequest_interface_index_label additional.fields Fusionné
dnsrequest_load_time_label additional.fields Fusionné
eventType additional.fields Valeurs mappées (8 au total, par exemple "EppDetectionSummaryEvent","IdpDetectionSummaryEvent" → `file...
event_data_ContextTimeStamp_id_label additional.fields Fusionné
event_data_MobileDetectionId_id_label additional.fields Fusionné
field1 additional.fields Fusionné
fileaccessed_full_path_label additional.fields Fusionné
fileaccessed_timestamp_label additional.fields Fusionné
filewritten_full_path_label additional.fields Fusionné
filewritten_timestamp_label additional.fields Fusionné
reputation_label_list_values additional.fields Fusionné
sourceipasncode_label additional.fields Fusionné
sourceipasnorg_label additional.fields Fusionné
eventType extensions.auth.mechanism Mappé : "saml2Assert", "twoFactorAuthenticate"mechanism
mechanism extensions.auth.mechanism Fusionné
eventType extensions.auth.type Mappé : "assert", "userAuthenticate"AUTHTYPE_UNSPECIFIED
description metadata.description Mappé directement
event_data.Description metadata.description Mappé directement
incidentDescription metadata.description Mappé directement
msg metadata.description Mappé directement
name metadata.description Mappé directement
serviceName metadata.description Mappé directement
devTime metadata.event_timestamp Analysé comme yyyy-MM-dd HH:mm:ss
deviceCustomDate1 metadata.event_timestamp Analysé comme MMM dd yyyy HH:mm:ss
event_data.UTCTimestamp metadata.event_timestamp Analysé comme UNIX_MS
meta.eventCreationTime metadata.event_timestamp Analysé comme UNIX_MS
meta.event_dataCreationTime metadata.event_timestamp Analysé comme UNIX_MS
timestamp metadata.event_timestamp Analysé comme UNIX_MS
eventType metadata.event_type Valeurs mappées (6 au total, par exemple "saml2Assert", "twoFactorAuthenticate" → USER_LOGIN, "r...
has_principal metadata.event_type Mappé : true → STATUS_UPDATE, true → SCAN_FILE
has_user metadata.event_type Mappé : falseGENERIC_EVENT
cid metadata.product_deployment_id Mappé directement
eventType metadata.product_event_type Mappé directement
event_data_simpleName metadata.product_event_type Mappé directement
event_data.AgentId metadata.product_log_id Mappé directement
id metadata.product_log_id Mappé directement
product metadata.product_name Mappé directement
meta.version metadata.product_version Mappé directement
version metadata.product_version Mappé directement
cs6 metadata.url_back_to_product Mappé directement
url metadata.url_back_to_product Mappé directement
vendor metadata.vendor_name Mappé directement
connectionDirection network.direction Mappé : 0 → OUTBOUND, 1 → INBOUND
event_data.Attributes.request_method network.http.method Mappé directement
event_data.FalconHostLink network.http.referral_url Mappé directement
request network.http.referral_url Mappé directement
event_data.Attributes.status_code network.http.response_code Mappé directement
event_data.Attributes.user_agent network.http.user_agent Mappé directement
protocol network.ip_protocol Mappé : 6 → TCP, 17 → UDP, 58 → ICMP
event_data.Attributes.trace_id network.session_id Mappé directement
event_data.SessionId network.session_id Mappé directement
value_issuer network.tls.server.certificate.issuer Mappé directement
domain principal.administrative_domain Mappé directement
event_data.DataDomains principal.administrative_domain Mappé directement
event_data.SourceAccountDomain principal.administrative_domain Mappé directement
event_data_ActivityBrowser principal.application Mappé directement
aid principal.asset.asset_id Mappé directement
event_data.AgentIdString principal.asset.asset_id Mappé directement
event_data_SensorId principal.asset.asset_id Mappé directement
ComputerName principal.asset.hostname Mappé directement
endpointName principal.asset.hostname Mappé directement
event_data.EndpointName principal.asset.hostname Mappé directement
event_data.Hostname principal.asset.hostname Mappé directement
event_data.HostnameField principal.asset.hostname Mappé directement
event_data.SourceEndpointHostName principal.asset.hostname Mappé directement
event_data_ComputerName principal.asset.hostname Mappé directement
hostName principal.asset.hostname Mappé directement
ClientIP principal.asset.ip Fusionné
LocalAddressIP4 principal.asset.ip Fusionné
aip principal.asset.ip Fusionné
event_data.EndpointIp principal.asset.ip Fusionné
event_data.LocalIP principal.asset.ip Fusionné
event_data.LocalIPv6 principal.asset.ip Fusionné
event_data.SourceEndpointIpAddress principal.asset.ip Fusionné
event_data.UserIp principal.asset.ip Fusionné
ip principal.asset.ip Fusionné
localAddress principal.asset.ip Fusionné
remoteAddress principal.asset.ip Fusionné
src principal.asset.ip Fusionné
event_data.MACAddress principal.asset.mac Fusionné
event_data_SensorId principal.asset_id Mappé directement
ComputerName principal.hostname Mappé directement
endpointName principal.hostname Mappé directement
event_data.EndpointName principal.hostname Mappé directement
event_data.Hostname principal.hostname Mappé directement
event_data.HostnameField principal.hostname Mappé directement
event_data.SourceEndpointHostName principal.hostname Mappé directement
event_data_ComputerName principal.hostname Mappé directement
hostName principal.hostname Mappé directement
ClientIP principal.ip Fusionné
LocalAddressIP4 principal.ip Fusionné
aip principal.ip Fusionné
event_data.EndpointIp principal.ip Fusionné
event_data.LocalIP principal.ip Fusionné
event_data.LocalIPv6 principal.ip Fusionné
event_data.SourceEndpointIpAddress principal.ip Fusionné
event_data.UserIp principal.ip Fusionné
ip principal.ip Fusionné
localAddress principal.ip Fusionné
remoteAddress principal.ip Fusionné
src principal.ip Fusionné
event_data_LocationCountryCode principal.location.country_or_region Mappé directement
event_data.MACAddress principal.mac Fusionné
srcMAC principal.mac Fusionné
event_data_platformName principal.platform Mappé : (?i)Linux → LINUX, (?i)Windows → WINDOWS, (?i)mac/ios → MAC
localPort principal.port Mappé directement
exeWrittenFilePath principal.process.file.full_path Mappé directement
event_data.ParentCommandLine principal.process.parent_process.command_line Mappé directement
event_data.ParentImageFilePath principal.process.parent_process.file.full_path Mappé directement
eventType principal.process.parent_process.file.names Mappé : "EppDetectionSummaryEvent","IdpDetectionSummaryEvent" → `event_data.ParentImageFil...
event_data.ParentImageFileName principal.process.parent_process.file.names Fusionné
event_data.ParentProcessId principal.process.parent_process.pid Mappé directement
event_data.ProcessId principal.process.pid Mappé directement
event_data.Attributes.assign_to_user_id principal.user.email_addresses Fusionné
event_data.SourceAccountUpn principal.user.email_addresses Fusionné
userName principal.user.email_addresses Mappé : ^.+@.+$userName
user_email principal.user.email_addresses Fusionné
eventType principal.user.group_identifiers Mappé : "EppDetectionSummaryEvent","IdpDetectionSummaryEvent"event_data.LogonDomain
event_data.LogonDomain principal.user.group_identifiers Fusionné
event_data.Attributes.assign_to_name principal.user.user_display_name Mappé directement
event_data.UserName principal.user.user_display_name Mappé directement
event_data.SourceAccountName principal.user.userid Mappé directement
event_data.UserId principal.user.userid Mappé directement
userName principal.user.userid Mappé directement
usrName principal.user.userid Mappé directement
event_data.SourceAccountObjectSid principal.user.windows_sid Mappé directement
_security_result security_result Fusionné
applicationName target.application Mappé directement
event_data.Source target.application Mappé directement
event_data_SsoApplicationIdentifier target.application Mappé directement
serviceName target.application Mappé directement
event_data.CompositeId target.asset.asset_id Mappé directement
dhost target.asset.hostname Mappé directement
event_data.TargetEndpointHostName target.asset.hostname Mappé directement
IP target.asset.ip Fusionné
dst target.asset.ip Fusionné
event_data.IOCValue target.asset.ip Fusionné
event_data.TargetEndpointIpAddress target.asset.ip Fusionné
TargetFileName target.file.full_path Mappé directement
event_data.FilePath target.file.full_path Mappé directement
event_data.MD5String target.file.md5 Mappé directement
eventType target.file.names Mappé : "EppDetectionSummaryEvent","IdpDetectionSummaryEvent" → fileaccessed.FileName, `...
event_data.FileName target.file.names Fusionné
exeWrittenFileName target.file.names Fusionné
fileName target.file.names Fusionné
fileaccessed.FileName target.file.names Fusionné
filewritten.FileName target.file.names Fusionné
event_data.SHA1String target.file.sha1 Mappé directement
event_data.SHA256String target.file.sha256 Mappé directement
sha256 target.file.sha256 Mappé directement
Size target.file.size Mappé directement
dhost target.hostname Mappé directement
event_data.TargetEndpointHostName target.hostname Mappé directement
IP target.ip Fusionné
dst target.ip Fusionné
event_data.IOCValue target.ip Fusionné
event_data.TargetEndpointIpAddress target.ip Fusionné
dpt target.port Renommé/Mappé
remotePort target.port Renommé/Mappé
cmdLine target.process.command_line Mappé directement
commandLine target.process.command_line Mappé directement
event_data.CommandLine target.process.command_line Mappé directement
filePath target.process.file.full_path Mappé directement
md5 target.process.file.md5 Mappé directement
event_data_itempostedtimestamp_label target.resource.attribute.labels Fusionné
event_data_itemtype_label target.resource.attribute.labels Fusionné
resource target.resource.name Mappé directement
event_data_itemid target.resource.product_object_id Mappé directement
eventType target.resource.type Mappé : "remove_group", "update_group" → GROUP, delete_group → GROUP
event_data.Attributes.request_path target.url Mappé directement
eventType target.user.email_addresses Mappé : "saml2Assert", "twoFactorAuthenticate", "assert", "userAuthenticate"user_email
user_email target.user.email_addresses Fusionné
usrName target.user.userid Mappé directement
event_data.TargetEndpointAccountObjectSid target.user.windows_sid Mappé directement
N/A extensions.auth.type Constante : AUTHTYPE_UNSPECIFIED
N/A metadata.event_type Constante : GENERIC_EVENT
N/A metadata.product_name Constante : FalconHost
N/A metadata.vendor_name Constante : CrowdStrike
N/A network.direction Constante : OUTBOUND
N/A network.ip_protocol Constante : TCP
N/A principal.platform Constante : LINUX
N/A target.resource.type Constante : GROUP

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.