Mengumpulkan log CrowdStrike Falcon Event Streams
Didukung di:
Google SecOps
SIEM
Dokumen ini menjelaskan cara menyerap log CrowdStrike Falcon Event Streams ke Google Security Operations menggunakan Google Cloud Storage V2. CrowdStrike Falcon Event Streams menyediakan API streaming real-time yang mengirimkan data peristiwa keamanan dari platform Falcon, termasuk peristiwa deteksi, peristiwa audit, aktivitas autentikasi, dan pembaruan insiden. Event Streams API menggunakan koneksi HTTP persisten dengan endpoint /sensors/entities/datafeed/v2 untuk mengirimkan peristiwa secara hampir real-time, yang mendukung kelanjutan berbasis offset untuk pengiriman yang andal.
Sebelum memulai
Pastikan Anda memiliki prasyarat berikut:
- Instance Google SecOps.
- Project GCP dengan Cloud Storage API yang diaktifkan.
- Izin untuk membuat dan mengelola bucket GCS.
- Izin untuk mengelola kebijakan IAM di bucket GCS.
- Izin untuk membuat layanan Cloud Run, topik Pub/Sub, dan tugas Cloud Scheduler.
- Akses istimewa ke Konsol CrowdStrike Falcon dengan izin untuk membuat klien API.
Membuat bucket Google Cloud Storage
- Buka Konsol Google Cloud.
- Pilih project Anda atau buat project baru.
- Di menu navigasi, buka Cloud Storage > Buckets.
- Klik Create bucket.
Berikan detail konfigurasi berikut:
Setelan Nilai Beri nama bucket Anda Masukkan nama yang unik secara global (misalnya, cs-stream-logs)Location type Pilih berdasarkan kebutuhan Anda (Region, Dual-region, Multi-region) Location Pilih lokasi (misalnya, us-central1)Kelas penyimpanan Standar (direkomendasikan untuk log yang sering diakses) Access control Seragam (direkomendasikan) Alat perlindungan Opsional: Aktifkan pembuatan versi objek atau kebijakan retensi Klik Create.
Mengonfigurasi akses API CrowdStrike Falcon
Buat klien API
- Login ke Konsol CrowdStrike Falcon.
- Di menu navigasi, buka Support and resources > Resources and tools > API clients and keys.
- Klik Buat klien API.
- Berikan detail konfigurasi berikut:
- Nama klien: Masukkan nama deskriptif (misalnya,
Google SecOps Event Streams Integration). - Deskripsi (opsional): Masukkan deskripsi (misalnya,
API client for streaming events to GCS).
- Nama klien: Masukkan nama deskriptif (misalnya,
- Di bagian Cakupan API, pilih izin berikut:
- Aliran peristiwa: Pilih Baca (wajib untuk menggunakan streaming API).
- Klik Create.
Mencatat kredensial API
Setelah membuat klien API, Anda akan menerima kredensial berikut:
- ID Klien: String heksadesimal huruf kecil 32 karakter.
- Rahasia Klien: String alfanumerik 40 karakter.
- URL Dasar: Nama domain yang sepenuhnya memenuhi syarat untuk CrowdStrike API (misalnya,
api.crowdstrike.comatauapi.us-2.crowdstrike.com).
Penting: Segera salin dan simpan Client Secret. Nilai ini hanya ditampilkan sekali dan tidak dapat diambil lagi.
Endpoint regional
CrowdStrike beroperasi di beberapa wilayah dengan endpoint API yang berbeda:
| Wilayah | URL Dasar |
|---|---|
| US-1 | api.crowdstrike.com |
| US-2 | api.us-2.crowdstrike.com |
| EU-1 | api.eu-1.crowdstrike.com |
| US-GOV-1 | api.laggar.gcw.crowdstrike.com |
Penting: Gunakan URL dasar yang sesuai dengan region login Konsol CrowdStrike Falcon Anda.
Verifikasi izin
Untuk memverifikasi bahwa klien API memiliki izin yang diperlukan:
- Login ke Konsol CrowdStrike Falcon.
- Buka Dukungan dan sumber daya > Sumber daya dan alat > Klien dan kunci API.
- Temukan klien API yang Anda buat dan pastikan cakupan Event streams menampilkan akses Read.
Menguji akses API
Uji kredensial Anda sebelum melanjutkan integrasi:
CLIENT_ID="<your-client-id>" CLIENT_SECRET="<your-client-secret>" BASE_URL="https://api.crowdstrike.com" # Get OAuth2 token TOKEN=$(curl -s -X POST "${BASE_URL}/oauth2/token" \ -H "Content-Type: application/x-www-form-urlencoded" \ -d "client_id=${CLIENT_ID}&client_secret=${CLIENT_SECRET}" | python3 -c "import sys,json; print(json.load(sys.stdin)['access_token'])") # Test Event Streams API access (discover available data feeds) curl -s -H "Authorization: Bearer ${TOKEN}" \ "${BASE_URL}/sensors/entities/datafeed/v2?appId=secops-test&format=flatjson"
Respons yang berhasil akan menampilkan objek JSON yang berisi resources dengan kolom dataFeedURL dan sessionToken untuk setiap partisi streaming yang tersedia.
Buat akun layanan untuk Cloud Run Function
Fungsi Cloud Run memerlukan akun layanan dengan izin untuk menulis ke bucket GCS dan dipanggil oleh Pub/Sub.
Membuat akun layanan
- Di GCP Console, buka IAM & Admin > Service Accounts.
- Klik Create Service Account.
- Berikan detail konfigurasi berikut:
- Nama akun layanan: Masukkan
cs-stream-collector-sa - Deskripsi akun layanan: Masukkan
Service account for Cloud Run function to collect CrowdStrike Event Streams logs
- Nama akun layanan: Masukkan
- Klik Create and Continue.
- Di bagian Grant this service account access to project, tambahkan peran berikut:
- Klik Pilih peran.
- Telusuri dan pilih Storage Object Admin.
- Klik + Add another role.
- Telusuri dan pilih Cloud Run Invoker.
- Klik + Add another role.
- Telusuri dan pilih Cloud Functions Invoker.
- Klik Lanjutkan.
- Klik Done.
Peran ini diperlukan untuk:
- Storage Object Admin: Menulis log ke bucket GCS dan mengelola file status
- Cloud Run Invoker: Mengizinkan Pub/Sub memanggil fungsi
- Cloud Functions Invoker: Mengizinkan pemanggilan fungsi
Memberikan izin IAM pada bucket GCS
Beri akun layanan izin tulis di bucket GCS:
- Buka Cloud Storage > Buckets.
- Klik nama bucket Anda (misalnya,
cs-stream-logs). - Buka tab Izin.
- Klik Grant access.
- Berikan detail konfigurasi berikut:
- Tambahkan prinsipal: Masukkan email akun layanan (misalnya,
cs-stream-collector-sa@PROJECT_ID.iam.gserviceaccount.com) - Tetapkan peran: Pilih Storage Object Admin
- Tambahkan prinsipal: Masukkan email akun layanan (misalnya,
- Klik Simpan.
Membuat topik Pub/Sub
Buat topik Pub/Sub yang akan dipublikasikan oleh Cloud Scheduler dan akan dilanggan oleh fungsi Cloud Run.
- Di Konsol GCP, buka Pub/Sub > Topics.
- Klik Create topic.
- Berikan detail konfigurasi berikut:
- ID Topik: Masukkan
cs-stream-trigger - Biarkan setelan lainnya menggunakan setelan default
- ID Topik: Masukkan
- Klik Create.
Membuat fungsi Cloud Run untuk mengumpulkan log
Fungsi Cloud Run akan dipicu oleh pesan Pub/Sub dari Cloud Scheduler untuk terhubung ke CrowdStrike Event Streams API, menggunakan peristiwa, dan menuliskannya ke GCS.
- Di Konsol GCP, buka Cloud Run.
- Klik Create service.
- Pilih Function (gunakan editor inline untuk membuat fungsi).
Di bagian Konfigurasi, berikan detail konfigurasi berikut:
Setelan Nilai Nama layanan cs-stream-collectorRegion Pilih region yang cocok dengan bucket GCS Anda (misalnya, us-central1)Runtime Pilih Python 3.12 atau yang lebih baru Di bagian Pemicu (opsional):
- Klik + Tambahkan pemicu.
- Pilih Cloud Pub/Sub.
- Di Select a Cloud Pub/Sub topic, pilih
cs-stream-trigger. - Klik Simpan.
Di bagian Authentication:
- Pilih Wajibkan autentikasi.
- Periksa Identity and Access Management (IAM).
Scroll ke bawah dan luaskan Containers, Networking, Security.
Buka tab Security:
- Akun layanan: Pilih
cs-stream-collector-sa
- Akun layanan: Pilih
Buka tab Containers:
- Klik Variables & Secrets.
- Klik + Tambahkan variabel untuk setiap variabel lingkungan:
Nama Variabel Nilai Contoh Deskripsi GCS_BUCKETcs-stream-logsNama bucket GCS GCS_PREFIXcrowdstrike/streamAwalan untuk file log STATE_KEYcrowdstrike/stream/state.jsonJalur file status CS_BASE_URLhttps://api.crowdstrike.comURL dasar CrowdStrike API CS_CLIENT_IDyour-client-idID Klien API CS_CLIENT_SECRETyour-client-secretRahasia Klien API CS_APP_IDsecops-stream-collectorID aplikasi unik untuk Aliran Peristiwa (maks. 32 karakter alfanumerik) STREAM_TIMEOUT300Waktu tunggu baca streaming dalam detik MAX_RECORDS10000Jumlah maksimum data per proses Di bagian Variables & Secrets, scroll ke bawah ke Requests:
- Waktu tunggu permintaan: Masukkan
600detik (10 menit)
- Waktu tunggu permintaan: Masukkan
Buka tab Setelan:
- Di bagian Materi:
- Memori: Pilih 512 MiB atau yang lebih tinggi
- CPU: Pilih 1
- Di bagian Materi:
Di bagian Revision scaling:
- Jumlah minimum instance: Masukkan
0 - Jumlah maksimum instance: Masukkan
1(hanya satu konsumen aliran yang harus berjalan dalam satu waktu)
- Jumlah minimum instance: Masukkan
Klik Create.
Tunggu hingga layanan dibuat (1-2 menit).
Setelah layanan dibuat, editor kode inline akan terbuka secara otomatis.
Menambahkan kode fungsi
- Masukkan main di kolom Entry point.
Di editor kode inline, buat dua file:
main.py:
import functions_framework from google.cloud import storage import json import os import urllib3 from datetime import datetime, timezone # Initialize HTTP client with timeouts http = urllib3.PoolManager( timeout=urllib3.Timeout(connect=5.0, read=30.0), retries=False, ) # Initialize Storage client storage_client = storage.Client() # Environment variables GCS_BUCKET = os.environ.get('GCS_BUCKET') GCS_PREFIX = os.environ.get('GCS_PREFIX', 'crowdstrike/stream') STATE_KEY = os.environ.get('STATE_KEY', 'crowdstrike/stream/state.json') CS_BASE_URL = os.environ.get('CS_BASE_URL', 'https://api.crowdstrike.com') CS_CLIENT_ID = os.environ.get('CS_CLIENT_ID') CS_CLIENT_SECRET = os.environ.get('CS_CLIENT_SECRET') CS_APP_ID = os.environ.get('CS_APP_ID', 'secops-stream-collector') STREAM_TIMEOUT = int(os.environ.get('STREAM_TIMEOUT', '300')) MAX_RECORDS = int(os.environ.get('MAX_RECORDS', '10000')) def get_oauth_token(base_url: str, client_id: str, client_secret: str) -> str: """Get CrowdStrike OAuth2 access token.""" token_url = f"{base_url}/oauth2/token" body = f"client_id={client_id}&client_secret={client_secret}" response = http.request( 'POST', token_url, body=body.encode('utf-8'), headers={'Content-Type': 'application/x-www-form-urlencoded'} ) if response.status != 200: raise Exception(f"OAuth token request failed: {response.status}") data = json.loads(response.data.decode('utf-8')) return data['access_token'] def refresh_stream_session(base_url: str, token: str, app_id: str, partition: int = 0): """Refresh an active stream session to keep it alive.""" refresh_url = ( f"{base_url}/sensors/entities/datafeed-actions/v1/{partition}" f"?appId={app_id}&action_name=refresh_active_stream_session" ) response = http.request( 'POST', refresh_url, headers={ 'Authorization': f'Bearer {token}', 'Content-Type': 'application/json', } ) if response.status == 200: print("Stream session refreshed successfully") else: print(f"Warning: Stream session refresh returned {response.status}") @functions_framework.cloud_event def main(cloud_event): """ Cloud Run function triggered by Pub/Sub to fetch CrowdStrike Event Streams data and write to GCS. """ if not all([GCS_BUCKET, CS_BASE_URL, CS_CLIENT_ID, CS_CLIENT_SECRET]): print('Error: Missing required environment variables') return try: bucket = storage_client.bucket(GCS_BUCKET) # Load state state = load_state(bucket, STATE_KEY) # Get OAuth token token = get_oauth_token(CS_BASE_URL, CS_CLIENT_ID, CS_CLIENT_SECRET) headers = { 'Authorization': f'Bearer {token}', 'Accept': 'application/json', } # Discover available data feeds discover_url = ( f"{CS_BASE_URL}/sensors/entities/datafeed/v2" f"?appId={CS_APP_ID}&format=flatjson" ) response = http.request('GET', discover_url, headers=headers) if response.status != 200: print(f"Failed to discover data feed: {response.status}") print(f"Response: {response.data.decode('utf-8')}") return feed_data = json.loads(response.data.decode('utf-8')) resources = feed_data.get('resources', []) if not resources: print("No data feed resources available") return feed_url = resources[0].get('dataFeedURL', '') session_token = resources[0].get( 'sessionToken', {} ).get('token', '') if not feed_url or not session_token: print("Missing feed URL or session token") return # Build stream URL with offset if available stream_url = feed_url offset = state.get('offset') if offset: stream_url = f"{feed_url}&offset={offset}" # Connect to Event Stream stream_headers = { 'Authorization': f'Token {session_token}', 'Accept': 'application/json', 'Connection': 'keep-alive', } stream_http = urllib3.PoolManager( timeout=urllib3.Timeout( connect=10.0, read=float(STREAM_TIMEOUT) ), retries=False, ) print(f"Connecting to Event Stream...") resp = stream_http.request( 'GET', stream_url, headers=stream_headers, preload_content=False ) if resp.status != 200: print(f"Stream connection failed: {resp.status}") return records = [] latest_offset = offset now = datetime.now(timezone.utc) for line in resp.stream(4096): decoded = line.decode('utf-8').strip() if not decoded: continue try: event = json.loads(decoded) records.append(event) event_offset = event.get( 'metadata', {} ).get('offset') if event_offset is not None: latest_offset = event_offset if len(records) >= MAX_RECORDS: print( f"Reached max records limit ({MAX_RECORDS})" ) break except json.JSONDecodeError: continue resp.release_conn() if not records: print("No new events found in stream.") # Refresh stream session to keep it alive refresh_stream_session( CS_BASE_URL, token, CS_APP_ID ) return # Write to GCS as NDJSON timestamp = now.strftime('%Y%m%d_%H%M%S') object_key = f"{GCS_PREFIX}/logs_{timestamp}.ndjson" blob = bucket.blob(object_key) ndjson = '\n'.join( [json.dumps(r, ensure_ascii=False) for r in records] ) + '\n' blob.upload_from_string( ndjson, content_type='application/x-ndjson' ) print( f"Wrote {len(records)} records to " f"gs://{GCS_BUCKET}/{object_key}" ) # Save state with latest offset new_state = { 'offset': latest_offset, 'last_run': now.isoformat() } save_state(bucket, STATE_KEY, new_state) # Refresh stream session to keep it alive refresh_stream_session( CS_BASE_URL, token, CS_APP_ID ) print(f"Successfully processed {len(records)} events") except Exception as e: print(f'Error processing logs: {str(e)}') raise def load_state(bucket, key): """Load state from GCS.""" try: blob = bucket.blob(key) if blob.exists(): state_data = blob.download_as_text() return json.loads(state_data) except Exception as e: print(f"Warning: Could not load state: {e}") return {} def save_state(bucket, key, state: dict): """Save state to GCS.""" try: blob = bucket.blob(key) blob.upload_from_string( json.dumps(state, indent=2), content_type='application/json' ) print(f"Saved state: {state}") except Exception as e: print(f"Warning: Could not save state: {e}")
requirements.txt:
```none functions-framework==3.* google-cloud-storage==2.* urllib3>=2.0.0 ```Klik Deploy untuk menyimpan dan men-deploy fungsi.
Tunggu hingga deployment selesai (2-3 menit).
Buat tugas Cloud Scheduler
Cloud Scheduler akan memublikasikan pesan ke topik Pub/Sub secara berkala, sehingga memicu fungsi Cloud Run.
- Di GCP Console, buka Cloud Scheduler.
- Klik Create Job.
Berikan detail konfigurasi berikut:
Setelan Nilai Nama cs-stream-collector-scheduledRegion Pilih region yang sama dengan fungsi Cloud Run Frekuensi */15 * * * *(setiap 15 menit)Zona Waktu Pilih zona waktu (UTC direkomendasikan) Jenis target Pub/Sub Topik Pilih cs-stream-triggerIsi pesan {}(objek JSON kosong)Klik Create.
Menguji integrasi
- Di konsol Cloud Scheduler, temukan tugas Anda.
- Klik Force run untuk memicu tugas secara manual.
- Tunggu beberapa detik.
- Buka Cloud Run > Services.
- Klik
cs-stream-collector. - Klik tab Logs.
Pastikan fungsi berhasil dieksekusi. Cari:
Connecting to Event Stream... Wrote X records to gs://cs-stream-logs/crowdstrike/stream/logs_YYYYMMDD_HHMMSS.ndjson Stream session refreshed successfully Successfully processed X eventsBuka Cloud Storage > Buckets.
Klik
cs-stream-logs.Buka folder
crowdstrike/stream/.Pastikan file
.ndjsonbaru dibuat dengan stempel waktu saat ini.
Jika Anda melihat error dalam log:
- HTTP 401: Periksa kredensial API di variabel lingkungan
- HTTP 403: Pastikan klien API memiliki cakupan Aliran peristiwa: Baca
- HTTP 429: Pembatasan kecepatan - sesuaikan frekuensi penjadwal atau tingkatkan
STREAM_TIMEOUT - Variabel lingkungan tidak ada: Pastikan semua variabel yang diperlukan telah ditetapkan
- Tidak ada resource feed data yang tersedia: Pastikan
CS_APP_IDunik dan tidak melebihi 32 karakter alfanumerik
Mengambil akun layanan Google SecOps
Google SecOps menggunakan akun layanan unik untuk membaca data dari bucket GCS Anda. Anda harus memberi akun layanan ini akses ke bucket Anda.
Dapatkan email akun layanan
- Buka Setelan SIEM > Feed.
- Klik Tambahkan Feed Baru.
- Klik Konfigurasi satu feed.
- Di kolom Nama feed, masukkan nama untuk feed (misalnya,
CrowdStrike Event Streams logs). - Pilih Google Cloud Storage V2 sebagai Source type.
- Pilih CrowdStrike Falcon Streaming sebagai Jenis log.
- Klik Get Service Account.
Email akun layanan yang unik akan ditampilkan, misalnya:
chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.comSalin alamat email ini untuk digunakan di langkah berikutnya.
Klik Berikutnya.
Tentukan nilai untuk parameter input berikut:
URL bucket penyimpanan: Masukkan URI bucket GCS dengan jalur awalan:
gs://cs-stream-logs/crowdstrike/stream/
Opsi penghapusan sumber: Pilih opsi penghapusan sesuai preferensi Anda:
- Jangan pernah: Tidak pernah menghapus file apa pun setelah transfer (direkomendasikan untuk pengujian).
- Hapus file yang ditransfer: Menghapus file setelah transfer berhasil.
Hapus file yang ditransfer dan direktori kosong: Menghapus file dan direktori kosong setelah transfer berhasil.
Usia File Maksimum: Menyertakan file yang diubah dalam beberapa hari terakhir (defaultnya adalah 180 hari)
Namespace aset: Namespace aset
Label penyerapan: Label yang akan diterapkan ke peristiwa dari feed ini
Klik Berikutnya.
Tinjau konfigurasi feed baru Anda di layar Selesaikan, lalu klik Kirim.
Memberikan izin IAM ke akun layanan Google SecOps
Akun layanan Google SecOps memerlukan peran Storage Object Viewer di bucket GCS Anda.
- Buka Cloud Storage > Buckets.
- Klik
cs-stream-logs. - Buka tab Izin.
- Klik Grant access.
- Berikan detail konfigurasi berikut:
- Add principals: Tempel email akun layanan Google SecOps
- Tetapkan peran: Pilih Storage Object Viewer
Klik Simpan.
Perlu bantuan lain?
Untuk mengetahui informasi selengkapnya tentang feed Google Security Operations, lihat dokumentasi feed Google Security Operations. Untuk mengetahui informasi tentang persyaratan untuk setiap jenis feed, lihat Konfigurasi feed menurut jenis.
Sebagai referensi, lihat dokumentasi parser CrowdStrike Falcon Event Streams.
Tabel pemetaan UDM
| Kolom Log | Pemetaan UDM | Logika |
|---|---|---|
event_data.AssociatedFile |
about.file.full_path |
Dipetakan secara langsung |
event_data.IOCValue |
about.file.sha256 |
Dipetakan secara langsung |
ActivityId_label |
additional.fields |
Digabung |
ActivityOperatingSystem_label |
additional.fields |
Digabung |
ModelAnomalyIndicators_label |
additional.fields |
Digabung |
SourceEndpointIpReputation_label |
additional.fields |
Digabung |
SourceIpIspClassification_label |
additional.fields |
Digabung |
SourceIpIspDomain_label |
additional.fields |
Digabung |
additional_deviceCustomDate1 |
additional.fields |
Digabung |
additional_domainname |
additional.fields |
Digabung |
commands_label |
additional.fields |
Digabung |
data_domains_label |
additional.fields |
Digabung |
dns_request_domain_name_label |
additional.fields |
Digabung |
dns_request_type_label |
additional.fields |
Digabung |
dnsrequest_interface_index_label |
additional.fields |
Digabung |
dnsrequest_load_time_label |
additional.fields |
Digabung |
eventType |
additional.fields |
Nilai yang dipetakan (total 8, misalnya "EppDetectionSummaryEvent","IdpDetectionSummaryEvent" → `file... |
event_data_ContextTimeStamp_id_label |
additional.fields |
Digabung |
event_data_MobileDetectionId_id_label |
additional.fields |
Digabung |
field1 |
additional.fields |
Digabung |
fileaccessed_full_path_label |
additional.fields |
Digabung |
fileaccessed_timestamp_label |
additional.fields |
Digabung |
filewritten_full_path_label |
additional.fields |
Digabung |
filewritten_timestamp_label |
additional.fields |
Digabung |
reputation_label_list_values |
additional.fields |
Digabung |
sourceipasncode_label |
additional.fields |
Digabung |
sourceipasnorg_label |
additional.fields |
Digabung |
eventType |
extensions.auth.mechanism |
Dipetakan: "saml2Assert", "twoFactorAuthenticate" → mechanism |
mechanism |
extensions.auth.mechanism |
Digabung |
eventType |
extensions.auth.type |
Dipetakan: "assert", "userAuthenticate" → AUTHTYPE_UNSPECIFIED |
description |
metadata.description |
Dipetakan secara langsung |
event_data.Description |
metadata.description |
Dipetakan secara langsung |
incidentDescription |
metadata.description |
Dipetakan secara langsung |
msg |
metadata.description |
Dipetakan secara langsung |
name |
metadata.description |
Dipetakan secara langsung |
serviceName |
metadata.description |
Dipetakan secara langsung |
devTime |
metadata.event_timestamp |
Diurai sebagai yyyy-MM-dd HH:mm:ss |
deviceCustomDate1 |
metadata.event_timestamp |
Diurai sebagai MMM dd yyyy HH:mm:ss |
event_data.UTCTimestamp |
metadata.event_timestamp |
Diurai sebagai UNIX_MS |
meta.eventCreationTime |
metadata.event_timestamp |
Diurai sebagai UNIX_MS |
meta.event_dataCreationTime |
metadata.event_timestamp |
Diurai sebagai UNIX_MS |
timestamp |
metadata.event_timestamp |
Diurai sebagai UNIX_MS |
eventType |
metadata.event_type |
Nilai yang dipetakan (total 6, misalnya "saml2Assert", "twoFactorAuthenticate" → USER_LOGIN, ` "r... |
has_principal |
metadata.event_type |
Dipetakan: true → STATUS_UPDATE, true → SCAN_FILE |
has_user |
metadata.event_type |
Dipetakan: false → GENERIC_EVENT |
cid |
metadata.product_deployment_id |
Dipetakan secara langsung |
eventType |
metadata.product_event_type |
Dipetakan secara langsung |
event_data_simpleName |
metadata.product_event_type |
Dipetakan secara langsung |
event_data.AgentId |
metadata.product_log_id |
Dipetakan secara langsung |
id |
metadata.product_log_id |
Dipetakan secara langsung |
product |
metadata.product_name |
Dipetakan secara langsung |
meta.version |
metadata.product_version |
Dipetakan secara langsung |
version |
metadata.product_version |
Dipetakan secara langsung |
cs6 |
metadata.url_back_to_product |
Dipetakan secara langsung |
url |
metadata.url_back_to_product |
Dipetakan secara langsung |
vendor |
metadata.vendor_name |
Dipetakan secara langsung |
connectionDirection |
network.direction |
Dipetakan: 0 → OUTBOUND, 1 → INBOUND |
event_data.Attributes.request_method |
network.http.method |
Dipetakan secara langsung |
event_data.FalconHostLink |
network.http.referral_url |
Dipetakan secara langsung |
request |
network.http.referral_url |
Dipetakan secara langsung |
event_data.Attributes.status_code |
network.http.response_code |
Dipetakan secara langsung |
event_data.Attributes.user_agent |
network.http.user_agent |
Dipetakan secara langsung |
protocol |
network.ip_protocol |
Dipetakan: 6 → TCP, 17 → UDP, 58 → ICMP |
event_data.Attributes.trace_id |
network.session_id |
Dipetakan secara langsung |
event_data.SessionId |
network.session_id |
Dipetakan secara langsung |
value_issuer |
network.tls.server.certificate.issuer |
Dipetakan secara langsung |
domain |
principal.administrative_domain |
Dipetakan secara langsung |
event_data.DataDomains |
principal.administrative_domain |
Dipetakan secara langsung |
event_data.SourceAccountDomain |
principal.administrative_domain |
Dipetakan secara langsung |
event_data_ActivityBrowser |
principal.application |
Dipetakan secara langsung |
aid |
principal.asset.asset_id |
Dipetakan secara langsung |
event_data.AgentIdString |
principal.asset.asset_id |
Dipetakan secara langsung |
event_data_SensorId |
principal.asset.asset_id |
Dipetakan secara langsung |
ComputerName |
principal.asset.hostname |
Dipetakan secara langsung |
endpointName |
principal.asset.hostname |
Dipetakan secara langsung |
event_data.EndpointName |
principal.asset.hostname |
Dipetakan secara langsung |
event_data.Hostname |
principal.asset.hostname |
Dipetakan secara langsung |
event_data.HostnameField |
principal.asset.hostname |
Dipetakan secara langsung |
event_data.SourceEndpointHostName |
principal.asset.hostname |
Dipetakan secara langsung |
event_data_ComputerName |
principal.asset.hostname |
Dipetakan secara langsung |
hostName |
principal.asset.hostname |
Dipetakan secara langsung |
ClientIP |
principal.asset.ip |
Digabung |
LocalAddressIP4 |
principal.asset.ip |
Digabung |
aip |
principal.asset.ip |
Digabung |
event_data.EndpointIp |
principal.asset.ip |
Digabung |
event_data.LocalIP |
principal.asset.ip |
Digabung |
event_data.LocalIPv6 |
principal.asset.ip |
Digabung |
event_data.SourceEndpointIpAddress |
principal.asset.ip |
Digabung |
event_data.UserIp |
principal.asset.ip |
Digabung |
ip |
principal.asset.ip |
Digabung |
localAddress |
principal.asset.ip |
Digabung |
remoteAddress |
principal.asset.ip |
Digabung |
src |
principal.asset.ip |
Digabung |
event_data.MACAddress |
principal.asset.mac |
Digabung |
event_data_SensorId |
principal.asset_id |
Dipetakan secara langsung |
ComputerName |
principal.hostname |
Dipetakan secara langsung |
endpointName |
principal.hostname |
Dipetakan secara langsung |
event_data.EndpointName |
principal.hostname |
Dipetakan secara langsung |
event_data.Hostname |
principal.hostname |
Dipetakan secara langsung |
event_data.HostnameField |
principal.hostname |
Dipetakan secara langsung |
event_data.SourceEndpointHostName |
principal.hostname |
Dipetakan secara langsung |
event_data_ComputerName |
principal.hostname |
Dipetakan secara langsung |
hostName |
principal.hostname |
Dipetakan secara langsung |
ClientIP |
principal.ip |
Digabung |
LocalAddressIP4 |
principal.ip |
Digabung |
aip |
principal.ip |
Digabung |
event_data.EndpointIp |
principal.ip |
Digabung |
event_data.LocalIP |
principal.ip |
Digabung |
event_data.LocalIPv6 |
principal.ip |
Digabung |
event_data.SourceEndpointIpAddress |
principal.ip |
Digabung |
event_data.UserIp |
principal.ip |
Digabung |
ip |
principal.ip |
Digabung |
localAddress |
principal.ip |
Digabung |
remoteAddress |
principal.ip |
Digabung |
src |
principal.ip |
Digabung |
event_data_LocationCountryCode |
principal.location.country_or_region |
Dipetakan secara langsung |
event_data.MACAddress |
principal.mac |
Digabung |
srcMAC |
principal.mac |
Digabung |
event_data_platformName |
principal.platform |
Dipetakan: (?i)Linux → LINUX, (?i)Windows → WINDOWS, (?i)mac/ios → MAC |
localPort |
principal.port |
Dipetakan secara langsung |
exeWrittenFilePath |
principal.process.file.full_path |
Dipetakan secara langsung |
event_data.ParentCommandLine |
principal.process.parent_process.command_line |
Dipetakan secara langsung |
event_data.ParentImageFilePath |
principal.process.parent_process.file.full_path |
Dipetakan secara langsung |
eventType |
principal.process.parent_process.file.names |
Dipetakan: "EppDetectionSummaryEvent","IdpDetectionSummaryEvent" → `event_data.ParentImageFil... |
event_data.ParentImageFileName |
principal.process.parent_process.file.names |
Digabung |
event_data.ParentProcessId |
principal.process.parent_process.pid |
Dipetakan secara langsung |
event_data.ProcessId |
principal.process.pid |
Dipetakan secara langsung |
event_data.Attributes.assign_to_user_id |
principal.user.email_addresses |
Digabung |
event_data.SourceAccountUpn |
principal.user.email_addresses |
Digabung |
userName |
principal.user.email_addresses |
Dipetakan: ^.+@.+$ → userName |
user_email |
principal.user.email_addresses |
Digabung |
eventType |
principal.user.group_identifiers |
Dipetakan: "EppDetectionSummaryEvent","IdpDetectionSummaryEvent" → event_data.LogonDomain |
event_data.LogonDomain |
principal.user.group_identifiers |
Digabung |
event_data.Attributes.assign_to_name |
principal.user.user_display_name |
Dipetakan secara langsung |
event_data.UserName |
principal.user.user_display_name |
Dipetakan secara langsung |
event_data.SourceAccountName |
principal.user.userid |
Dipetakan secara langsung |
event_data.UserId |
principal.user.userid |
Dipetakan secara langsung |
userName |
principal.user.userid |
Dipetakan secara langsung |
usrName |
principal.user.userid |
Dipetakan secara langsung |
event_data.SourceAccountObjectSid |
principal.user.windows_sid |
Dipetakan secara langsung |
_security_result |
security_result |
Digabung |
applicationName |
target.application |
Dipetakan secara langsung |
event_data.Source |
target.application |
Dipetakan secara langsung |
event_data_SsoApplicationIdentifier |
target.application |
Dipetakan secara langsung |
serviceName |
target.application |
Dipetakan secara langsung |
event_data.CompositeId |
target.asset.asset_id |
Dipetakan secara langsung |
dhost |
target.asset.hostname |
Dipetakan secara langsung |
event_data.TargetEndpointHostName |
target.asset.hostname |
Dipetakan secara langsung |
IP |
target.asset.ip |
Digabung |
dst |
target.asset.ip |
Digabung |
event_data.IOCValue |
target.asset.ip |
Digabung |
event_data.TargetEndpointIpAddress |
target.asset.ip |
Digabung |
TargetFileName |
target.file.full_path |
Dipetakan secara langsung |
event_data.FilePath |
target.file.full_path |
Dipetakan secara langsung |
event_data.MD5String |
target.file.md5 |
Dipetakan secara langsung |
eventType |
target.file.names |
Dipetakan: "EppDetectionSummaryEvent","IdpDetectionSummaryEvent" → fileaccessed.FileName, `... |
event_data.FileName |
target.file.names |
Digabung |
exeWrittenFileName |
target.file.names |
Digabung |
fileName |
target.file.names |
Digabung |
fileaccessed.FileName |
target.file.names |
Digabung |
filewritten.FileName |
target.file.names |
Digabung |
event_data.SHA1String |
target.file.sha1 |
Dipetakan secara langsung |
event_data.SHA256String |
target.file.sha256 |
Dipetakan secara langsung |
sha256 |
target.file.sha256 |
Dipetakan secara langsung |
Size |
target.file.size |
Dipetakan secara langsung |
dhost |
target.hostname |
Dipetakan secara langsung |
event_data.TargetEndpointHostName |
target.hostname |
Dipetakan secara langsung |
IP |
target.ip |
Digabung |
dst |
target.ip |
Digabung |
event_data.IOCValue |
target.ip |
Digabung |
event_data.TargetEndpointIpAddress |
target.ip |
Digabung |
dpt |
target.port |
Diganti nama/dipetakan |
remotePort |
target.port |
Diganti nama/dipetakan |
cmdLine |
target.process.command_line |
Dipetakan secara langsung |
commandLine |
target.process.command_line |
Dipetakan secara langsung |
event_data.CommandLine |
target.process.command_line |
Dipetakan secara langsung |
filePath |
target.process.file.full_path |
Dipetakan secara langsung |
md5 |
target.process.file.md5 |
Dipetakan secara langsung |
event_data_itempostedtimestamp_label |
target.resource.attribute.labels |
Digabung |
event_data_itemtype_label |
target.resource.attribute.labels |
Digabung |
resource |
target.resource.name |
Dipetakan secara langsung |
event_data_itemid |
target.resource.product_object_id |
Dipetakan secara langsung |
eventType |
target.resource.type |
Dipetakan: "remove_group", "update_group" → GROUP, delete_group → GROUP |
event_data.Attributes.request_path |
target.url |
Dipetakan secara langsung |
eventType |
target.user.email_addresses |
Dipetakan: "saml2Assert", "twoFactorAuthenticate", "assert", "userAuthenticate" → user_email |
user_email |
target.user.email_addresses |
Digabung |
usrName |
target.user.userid |
Dipetakan secara langsung |
event_data.TargetEndpointAccountObjectSid |
target.user.windows_sid |
Dipetakan secara langsung |
| T/A | extensions.auth.type |
Konstanta: AUTHTYPE_UNSPECIFIED |
| T/A | metadata.event_type |
Konstanta: GENERIC_EVENT |
| T/A | metadata.product_name |
Konstanta: FalconHost |
| T/A | metadata.vendor_name |
Konstanta: CrowdStrike |
| T/A | network.direction |
Konstanta: OUTBOUND |
| T/A | network.ip_protocol |
Konstanta: TCP |
| T/A | principal.platform |
Konstanta: LINUX |
| T/A | target.resource.type |
Konstanta: GROUP |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.