Coletar registros de EDR do LimaCharlie
Compatível com:
Google SecOps
SIEM
Este documento explica como ingerir os registros do EDR do LimaCharlie no Google Security Operations usando o Google Cloud Storage. O analisador extrai eventos de registros formatados em JSON, normaliza campos na UDM e processa eventos de nível superior e aninhados. Ele analisa especificamente vários tipos de eventos, incluindo solicitações de DNS, criação de processos, modificações de arquivos, conexões de rede e alterações de registro, mapeando campos relevantes para seus equivalentes do Modelo de dados unificado (UDM) e enriquecendo os dados com o contexto específico do LimaCharlie.
Antes de começar
Verifique se você tem os pré-requisitos a seguir:
- Instância do Google SecOps
- Acesso privilegiado a Google Cloud
- Acesso privilegiado ao LimaCharlie
Criar um Google Cloud bucket do Storage
- Faça login no console Google Cloud .
Acesse a página Buckets do Cloud Storage.
Clique em Criar.
Na página Criar um bucket, insira as informações do seu bucket. Após cada uma das etapas a seguir, clique em Continuar para prosseguir para a próxima etapa:
Na seção Começar, faça o seguinte:
- Insira um nome exclusivo que atenda aos requisitos de nome de bucket (por exemplo, cloudrun-logs).
- Para ativar o namespace hierárquico, clique na seta de expansão para abrir a seção Otimizar para cargas de trabalho orientadas a arquivos e com uso intensivo de dados e selecione Ativar namespace hierárquico neste bucket.
- Para adicionar um rótulo de bucket, clique na seta de expansão para abrir a seção Rótulos.
- Clique em Adicionar rótulo e especifique uma chave e um valor para o rótulo.
Na seção Escolha onde armazenar seus dados, faça o seguinte:
- Selecione um tipo de local.
- Use o menu do tipo de local para selecionar um Local em que os dados de objetos no bucket serão armazenados permanentemente.
- Para configurar a replicação entre buckets, abra a seção Configurar a replicação entre buckets.
Na seção Escolha uma classe de armazenamento para seus dados, selecione uma classe de armazenamento padrão para o bucket ou selecione Classe automática para gerenciamento automático da classe de armazenamento dos dados do bucket.
Na seção Escolha como controlar o acesso a objetos, selecione não para aplicar a prevenção de acesso público e escolha um modelo de controle de acesso para os objetos do bucket.
- Na seção Escolha como proteger os dados do objeto, faça o seguinte:
- Selecione qualquer uma das opções em Proteção de dados que você quer definir para o bucket.
- Para escolher como os dados dos objetos serão criptografados, clique na seta de expansão Criptografia de dados e selecione um Método de criptografia de dados.
Clique em Criar.
Configurar a exportação de registros no EDR do LimaCharlie
- Faça login no portal do LimaCharlie.
- Selecione Saídas no menu à esquerda.
- Clique em Adicionar saída.
- Escolher stream de saída: selecione Eventos.
- Escolher destino de saída: selecione Google Cloud Storage.
- Informe os seguintes detalhes de configuração:
- Bucket: caminho para o bucket do Google Cloud Storage.
- Chave secreta: chave JSON secreta que identifica uma conta de serviço.
- Segundos por arquivo: número de segundos após o qual um arquivo é cortado e enviado.
- Compactação: defina como Falso.
- Indexação: defina como False.
- Dir: prefixo do diretório em que os arquivos serão enviados no host remoto.
- Clique em Salvar saída.
Configurar feeds
Para configurar um feed, siga estas etapas:
- Acesse Configurações do SIEM > Feeds.
- Clique em Adicionar novo feed.
- Na próxima página, clique em Configurar um único feed.
- No campo Nome do feed, insira um nome para o feed (por exemplo, Registros de EDR do Limacharlie).
- Selecione Google Cloud Storage V2 como o Tipo de origem.
- Selecione LimaCharlie como o Tipo de registro.
- Clique em Receber conta de serviço como a Conta de serviço do Chronicle.
- Clique em Próxima.
Especifique valores para os seguintes parâmetros de entrada:
- URI do bucket de armazenamento: URL do bucket do Google Cloud Storage no formato
gs://my-bucket/<value>/. Esse URL precisa terminar com uma barra (/). - Opções de exclusão da fonte: selecione a opção de exclusão de acordo com sua preferência.
- URI do bucket de armazenamento: URL do bucket do Google Cloud Storage no formato
Clique em Próxima.
Revise a nova configuração do feed na tela Finalizar e clique em Enviar.
Registros de amostra do LimaCharlie compatíveis
DNS_REQUEST
{ "routing": { "oid": "406b0c42-af98-4b82-b78f-caecee64e3db", "iid": "811d1c22-d9a2-4b99-b1ac-6f7547998177", "sid": "98e97377-ad12-4fb7-a2e5-b492e18cf17a", "arch": 2, "plat": 268435456, "hostname": "masked-hostname.internal.net", "int_ip": "10.10.10.10", "ext_ip": "10.10.10.11", "moduleid": 2, "event_type": "DNS_REQUEST", "event_time": 1584131972237, "event_id": "42a5b328-dccb-4972-8b3e-d28c6298da1d", "tags": ["workstations"], "this": "d8856b9e783083c120fff45eadef092e" }, "event": { "DOMAIN_NAME": "sanitized.domain.net", "PROCESS_ID": 1556, "MESSAGE_ID": 52513, "DNS_TYPE": 28, "IP_ADDRESS": "2001:db8::1" } }NEW_PROCESS
{ "routing": { "oid": "406b0c42-af98-4b82-b78f-caecee64e3db", "iid": "811d1c22-d9a2-4b99-b1ac-6f7547998177", "sid": "7812dc27-5b53-475b-9a9c-b86964355986", "arch": 2, "plat": 268435456, "hostname": "masked-hostname.internal.net", "int_ip": "10.10.10.10", "ext_ip": "10.10.10.12", "moduleid": 2, "event_type": "NEW_PROCESS", "event_time": 1584121663200, "event_id": "519be559-6f48-4c4c-8374-55cf4b80bedc", "tags": ["workstations"], "this": "bfc2100277f0cc05e7f821c6011e5c54", "parent": "500e2ef6f130fc184889800b4d8403e3" }, "event": { "PARENT_PROCESS_ID": 3452, "FILE_PATH": "C:\\Program Files\\Git\\usr\\bin\\bash.exe", "COMMAND_LINE": "\"C:\\Program Files\\Git\\usr\\bin\\bash.exe\"", "MEMORY_USAGE": 20480, "USER_NAME": "CTC\\masked_user", "PROCESS_ID": 676, "PARENT": { "PARENT_PROCESS_ID": 18900, "FILE_PATH": "C:\\Program Files\\Git\\usr\\bin\\bash.exe", "COMMAND_LINE": "\"C:\\Program Files\\Git\\usr\\bin\\bash.exe\"", "BASE_ADDRESS": 4299161600, "PROCESS_ID": 3452, "THREADS": 5, "MEMORY_USAGE": 9437184, "USER_NAME": "CTC\\masked_user", "TIMESTAMP": 1584121249676, "THIS_ATOM": "500e2ef6f130fc184889800b4d8403e3", "PARENT_ATOM": "699c825429b894129b26dfe488225315", "FILE_IS_SIGNED": 0, "HASH": "744343e01351ba92e365b7e24eedd4ed18ed3ebe26e68c69d9b5e324fe64a1b5" }, "FILE_IS_SIGNED": 0, "HASH": "744343e01351ba92e365b7e24eedd4ed18ed3ebe26e68c69d9b5e324fe64a1b5" } }TERMINATE_PROCESS
{ "routing": { "oid": "406b0c42-af98-4b82-b78f-caecee64e3db", "iid": "811d1c22-d9a2-4b99-b1ac-6f7547998177", "sid": "7812dc27-5b53-475b-9a9c-b86964355986", "arch": 2, "plat": 268435456, "hostname": "masked-hostname.internal.net", "int_ip": "10.10.10.10", "ext_ip": "10.10.10.12", "moduleid": 2, "event_type": "TERMINATE_PROCESS", "event_time": 1584121663547, "event_id": "8abfd85b-71b1-4495-bd18-1f4b6f55103b", "tags": ["workstations"], "this": "2932ce40bde71d9b6bf2f648600badec", "parent": "bfc2100277f0cc05e7f821c6011e5c54" }, "event": { "PARENT_PROCESS_ID": 3452, "PROCESS_ID": 676 } }CODE_IDENTITY
{ "routing": { "oid": "406b0c42-af98-4b82-b78f-caecee64e3db", "iid": "811d1c22-d9a2-4b99-b1ac-6f7547998177", "sid": "c81a8699-8f37-4f74-a71f-3edf7a7ae80c", "arch": 2, "plat": 268435456, "hostname": "masked-hostname.internal.net", "int_ip": "10.10.10.10", "ext_ip": "10.10.10.11", "moduleid": 2, "event_type": "CODE_IDENTITY", "event_time": 1584116496391, "event_id": "4810161f-1c87-4069-89e0-1ea84a3f3b63", "tags": ["workstations"], "this": "72198f6f157681b611dc36cde1589b1d", "parent": "c167e778592b4da6cbf705249752d6e6" }, "event": { "FILE_PATH": "C:\\Windows\\System32\\psapi.dll", "HASH": "6dae0b5bac5b2c34fd313b51ac793b6f0c270da01474e4d1016b119fc1f9ce8f", "HASH_MD5": "89d92079f45d2f2539bcd1eef73a701e", "HASH_SHA1": "354fbac912764bbf6595f97a59d5e32041926194", "ERROR": 0, "SIGNATURE": { "FILE_PATH": "C:\\Windows\\System32\\psapi.dll", "CERT_ISSUER": "C=US, S=Washington, L=Redmond, O=Microsoft Corporation, " "CN=Microsoft Windows Production PCA 2011", "CERT_SUBJECT": "C=US, S=Washington, L=Redmond, O=Microsoft Corporation, " "CN=Microsoft Windows", "FILE_IS_SIGNED": 1, "FILE_CERT_IS_VERIFIED_LOCAL": 1 }, "FILE_INFO": "10.0.18362.1", "ORIGINAL_FILE_NAME": "PSAPI" } }EXISTING_PROCESS
{ "source": "129538ba-8970-4421-92dc-5bd958f8308e.05da2702-0aef-43e5-afa1-1bd747dc6161." "fcdd2eb7-9737-4dac-b639-c11c7a149c71.10000000.2", "routing": { "oid": "129538ba-8970-4421-92dc-5bd958f8308e", "iid": "05da2702-0aef-43e5-afa1-1bd747dc6161", "sid": "fcdd2eb7-9737-4dac-b639-c11c7a149c71", "arch": 2, "plat": 268435456, "hostname": "masked-hostname.internal.net", "int_ip": "10.10.10.10", "ext_ip": "10.10.10.11", "moduleid": 2, "event_type": "NEW_PROCESS", "event_time": 1584039879031, "event_id": "f2dd9f86-91fc-4566-8e7d-3235407ebc88", "tags": [], "this": "c8b9305d9358fea725096f354779ddec", "parent": "1deb4f32a9fc7d4d51e155a5c748ca74" }, "cat": "Whoami Execution", "namespace": "general", "detect": { "routing": { "oid": "129538ba-8970-4421-92dc-5bd958f8308e", "iid": "05da2702-0aef-43e5-afa1-1bd747dc6161", "sid": "fcdd2eb7-9737-4dac-b639-c11c7a149c71", "arch": 2, "plat": 268435456, "hostname": "masked-hostname.internal.net", "int_ip": "10.10.10.10", "ext_ip": "10.10.10.11", "moduleid": 2, "event_type": "NEW_PROCESS", "event_time": 1584039879031, "event_id": "f2dd9f86-91fc-4566-8e7d-3235407ebc88", "tags": [], "this": "c8b9305d9358fea725096f354779ddec", "parent": "1deb4f32a9fc7d4d51e155a5c748ca74" }, "event": { "PARENT_PROCESS_ID": 8396, "FILE_PATH": "C:\\Windows\\system32\\whoami.exe", "COMMAND_LINE": "whoami.exe", "PROCESS_ID": 4456, "PARENT": { "PARENT_PROCESS_ID": 5072, "FILE_PATH": "C:\\Windows\\system32\\cmd.exe", "COMMAND_LINE": "\"C:\\Windows\\system32\\cmd.exe\" ", "BASE_ADDRESS": 140699014070272, "PROCESS_ID": 8396, "THREADS": 3, "MEMORY_USAGE": 3645440, "USER_NAME": "masked-hostname.internal.net\\masked_user", "TIMESTAMP": 1584039874151, "THIS_ATOM": "1deb4f32a9fc7d4d51e155a5c748ca74", "PARENT_ATOM": "f6abd6b90dd752db2d2670a35f261ecb", "FILE_IS_SIGNED": 1, "HASH": "ff79d3c4a0b7eb191783c323ab8363ebd1fd10be58d8bcc96b07067743ca81d5" }, "FILE_IS_SIGNED": 1, "HASH": "a8a4c4719113b071bb50d67f6e12c188b92c70eeafdfcd6f5da69b6aaa99a7fd" } }, "detect_id": "996b32e7-9e92-4adb-9503-a53f1d52090a", "detect_mtd": { "level": "high", "references": [ "https://sanitized.domain.net/alerts/alert/public/1247926/" "agent-tesla-keylogger-delivered-inside-a-power-iso-daa-archive/", "https://sanitized.domain.net/tasks/7eaba74e-c1ea-400f-9c17-5e30eee89906/" ], "description": "Detects the execution of whoami, which is often used by attackers after " "exloitation / privilege escalation but rarely used by administrators", "tags": ["attack.discovery", "attack.t1033", "car.2016-03-001"], "author": "Florian Roth" }, "ts": 1584451579789 }SERVICE_CHANGE
{ "event": { "DLL": "%systemroot%\\system32\\wuaueng.dll", "EXECUTABLE": "%systemroot%\\system32\\svchost.exe -k netsvcs", "FILE_IS_SIGNED": 1, "HASH": "bce4a05d601d358f06f4d8f996aaa1923a8ee9d37262cc9b20b143be070c4641", "PROCESS_ID": 836, "SVC_DISPLAY_NAME": "Windows Update", "SVC_NAME": "wuauserv", "SVC_STATE": 4, "SVC_TYPE": 32 }, "routing": { "arch": 2, "did": "", "event_id": "baec41a4-0849-46c6-a78a-86fd3c61348f", "event_time": 1584131972237, "event_type": "SERVICE_CHANGE", "ext_ip": "10.10.10.12", "hostname": "masked-hostname.internal.net", "iid": "82fa9eb7-8f1c-474d-b68b-61825f4773d2", "int_ip": "10.10.10.13", "moduleid": 2, "oid": "3fb2aff0-a135-49f3-8231-b773a773da43", "plat": 268435456, "sid": "72a4fc32-46a3-4e34-9e07-3295aa59b3b6", "tags": ["server"], "this": "c624bb9dfb0dd39214de202d615a3027" } }NETWORK_CONNECTIONS
{ "event": { "COMMAND_LINE": "C:\\windows\\system32\\svchost.exe -k NetworkService -p -s Dnscache", "FILE_IS_SIGNED": 1, "FILE_PATH": "C:\\windows\\system32\\svchost.exe", "HASH": "643ec58e82e0272c97c2a59f6020970d881af19c0ad5029db9c958c13b6558c7", "NETWORK_ACTIVITY": [ { "DESTINATION": { "IP_ADDRESS": "2001:db8::10", "PORT": 53 }, "IS_OUTGOING": 1, "PROTOCOL": "udp6", "SOURCE": { "IP_ADDRESS": "2001:db8::20", "PORT": 49285 }, "TIMESTAMP": 1633325249854 }, { "DESTINATION": { "IP_ADDRESS": "10.10.10.14", "PORT": 53 }, "IS_OUTGOING": 1, "PROTOCOL": "udp4", "SOURCE": { "IP_ADDRESS": "10.10.10.15", "PORT": 50364 }, "TIMESTAMP": 1633325249898 } ], "PARENT_PROCESS_ID": 1356, "PROCESS_ID": 2544, "USER_NAME": "NT AUTHORITY\\NETWORK SERVICE" }, "routing": { "arch": 2, "did": "", "event_id": "c0556a7a-9580-4ed4-a75a-25ab4fa33302", "event_time": 1584131972237, "event_type": "NETWORK_CONNECTIONS", "ext_ip": "10.10.10.16", "hostname": "masked-hostname.internal.net", "iid": "6c989fbd-c296-4881-a0a2-b9f165f0ab1a", "int_ip": "10.10.10.15", "moduleid": 2, "oid": "bb479180-e2dc-422b-a54b-f48a572fcb32", "parent": "a48b0fd4e065922eaa452a2661588411", "plat": 268435456, "sid": "437a4196-9fb8-440b-9c90-cb49bee78d8c", "tags": ["windows-end-users"], "this": "b4659600ca9f18d5be4eaee6615a90e1" } }CLOUD_NOTIFICATION
{ "event": { "EXPIRY": 1633293567, "HCP_IDENT": { "HCP_ARCHITECTURE": 2, "HCP_INSTALLER_ID": "907e4bc5e4224a20a0b47618017ed09c", "HCP_ORG_ID": "1367c836c1ed4d4cadeb47bd2bbaf962", "HCP_PLATFORM": 536870912, "HCP_SENSOR_ID": "fcc8cd7d93a24afab58c9658350d6f66" }, "NOTIFICATION": { "DOMAIN_NAME": "sanitized.domain.net" }, "NOTIFICATION_ID": "DNS_RESOLVE_REQ" }, "routing": { "arch": 2, "did": "", "event_id": "e37fe0cf-7c09-424e-acc1-d821225cf2e0", "event_time": 1584131972237, "event_type": "CLOUD_NOTIFICATION", "ext_ip": "10.10.10.17", "hostname": "masked-hostname.internal.net", "iid": "907e4bc5-e422-4a20-a0b4-7618017ed09c", "int_ip": "10.10.10.18", "moduleid": 2, "oid": "1367c836-c1ed-4d4c-adeb-47bd2bbaf962", "plat": 536870912, "sid": "fcc8cd7d-93a2-4afa-b58c-9658350d6f66", "tags": ["cloudlinuxworkloads"] } }RECEIPT
{ "event": { "ERROR": 0 }, "routing": { "arch": 2, "did": "", "event_id": "832008f0-75af-401f-97de-b9a4d96e6e0c", "event_time": 1584131972237, "event_type": "RECEIPT", "ext_ip": "10.10.10.17", "hostname": "masked-hostname.internal.net", "iid": "907e4bc5-e422-4a20-a0b4-7618017ed09c", "int_ip": "10.10.10.18", "moduleid": 2, "oid": "1367c836-c1ed-4d4c-adeb-47bd2bbaf962", "plat": 536870912, "sid": "fcc8cd7d-93a2-4afa-b58c-9658350d6f66", "tags": ["cloudlinuxworkloads"] } }MODULE_LOAD
{ "event": { "BASE_ADDRESS": 140710068617216, "FILE_IS_SIGNED": 1, "FILE_PATH": "C:\\Windows\\System32\\cryptbase.dll", "HASH": "b50d007ee8764f7cada9d9a395da396201c8b18e6501b50ab809914a7588baf1", "MEMORY_SIZE": 49152, "MODULE_NAME": "cryptbase.dll", "PROCESS_ID": 1736 }, "routing": { "arch": 2, "did": "", "event_id": "1bd26937-ac7f-4f61-bab6-f83f796d2ecd", "event_time": 1584131972237, "event_type": "MODULE_LOAD", "ext_ip": "10.10.10.19", "hostname": "masked-hostname.internal.net", "iid": "efc77307-2d8a-4db5-a10f-f45fab19d1f3", "int_ip": "10.10.10.20", "moduleid": 2, "oid": "8cbe27f4-bfa1-4afb-ba19-138cd51389cd", "parent": "3da6ecb6ef74802bda4da2fa6159c7b3", "plat": 268435456, "sid": "41459c8d-977c-40cb-aa84-a5d2413a72e1", "tags": ["proj-simulated-data"], "this": "9804e2ec76caa07d743631ee6159c7b5" } }FILE_READ
{ "event": { "FILE_PATH": "C:\\Windows\\System32\\config\\systemprofile\\AppData\\Local\\Microsoft\\" "Windows\\PowerShell\\ModuleAnalysisCache", "PROCESS_ID": 4020 }, "routing": { "arch": 2, "did": "", "event_id": "f4a6a55a-6035-4bdc-8fca-d63cd39b9b7c", "event_time": 1584131972237, "event_type": "FILE_READ", "ext_ip": "10.10.10.19", "hostname": "DESKTOP-masked-hostname.internal.net", "iid": "efc77307-2d8a-4db5-a10f-f45fab19d1f3", "int_ip": "10.10.10.11", "moduleid": 2, "oid": "8cbe27f4-bfa1-4afb-ba19-138cd51389cd", "parent": "2d1eff5f675337956bb09e206159c792", "plat": 268435456, "sid": "41459c8d-977c-40cb-aa84-a5d2413a72e1", "tags": ["proj-simulated-data"], "this": "43018962d7e64857797adbd56159c7b3" } }NEW_NAMED_PIPE
{ "event": { "FILE_PATH": "\\Device\\NamedPipe\\masked.pipe.name", "PROCESS_ID": 1736 }, "routing": { "arch": 2, "did": "", "event_id": "c2381353-bddf-4ba2-92bf-15b1c4cd06d1", "event_time": 1584131972237, "event_type": "NEW_NAMED_PIPE", "ext_ip": "10.10.10.19", "hostname": "DESKTOP-masked-hostname.internal.net", "iid": "efc77307-2d8a-4db5-a10f-f45fab19d1f3", "int_ip": "10.10.10.11", "moduleid": 2, "oid": "8cbe27f4-bfa1-4afb-ba19-138cd51389cd", "parent": "3da6ecb6ef74802bda4da2fa6159c7b3", "plat": 268435456, "sid": "41459c8d-977c-40cb-aa84-a5d2413a72e1", "tags": ["proj-simulated-data"], "this": "75c28d52c8cb8bd841d1b8ad6159c7b4" } }REGISTRY_WRITE
{ "event": { "PROCESS_ID": 1736, "REGISTRY_KEY": "\\REGISTRY\\USER\\.DEFAULT\\Software\\Microsoft\\Windows\\" "CurrentVersion\\Internet Settings\\ZoneMap\\ProxyBypass", "REGISTRY_VALUE": "AQAAAA==", "SIZE": 4, "TYPE": 4 }, "routing": { "arch": 2, "did": "", "event_id": "3fbd9a14-4605-4447-a8e4-ab6c0cda6852", "event_time": 1584131972237, "event_type": "REGISTRY_WRITE", "ext_ip": "10.10.10.19", "hostname": "DESKTOP-masked-hostname.internal.net", "iid": "efc77307-2d8a-4db5-a10f-f45fab19d1f3", "int_ip": "10.10.10.11", "moduleid": 2, "oid": "8cbe27f4-bfa1-4afb-ba19-138cd51389cd", "parent": "3da6ecb6ef74802bda4da2fa6159c7b3", "plat": 268435456, "sid": "41459c8d-977c-40cb-aa84-a5d2413a72e1", "tags": ["proj-simulated-data"], "this": "dd0f92df3b5e26a6be12cd186159c7b4" } }THREAD_INJECTION
{ "event": { "EVENTS": [ { "event": { "ACCESS_FLAGS": 2097151, "PARENT_PROCESS_ID": 3136, "PROCESS_ID": 2644, "SOURCE": { "COMMAND_LINE": "\"C:\\Windows\\system32\\HOSTNAME.EXE\"", "FILE_IS_SIGNED": 1, "FILE_PATH": "C:\\Windows\\system32\\HOSTNAME.EXE", "HASH": "a90c3fb350a11c6f6a6efa9607987d924d1de65e09ca9faf2e0e0e00531ee335", "MEMORY_USAGE": 32768, "PARENT_ATOM": "eab4177ebe39abb8c934b15c6159bd9e", "PARENT_PROCESS_ID": 3728, "PROCESS_ID": 3136, "THIS_ATOM": "a20ec63b1d44ef8111c596666159bdc2", "TIMESTAMP": 1633271233872, "USER_NAME": "BUILTIN\\Administrators" }, "TARGET": { "BASE_ADDRESS": 140702461788160, "COMMAND_LINE": "C:\\Windows\\system32\\disksnapshot.exe -z", "FILE_IS_SIGNED": 1, "FILE_PATH": "C:\\Windows\\system32\\disksnapshot.exe", "HASH": "f9a712caed73ec1392224aa13f48b154832151488e53410f1130cdf81aacf2ae", "MEMORY_USAGE": 1273856, "PARENT_ATOM": "2de44917d7d1e657951b6b5d614dff96", "PARENT_PROCESS_ID": 380, "PROCESS_ID": 2644, "THIS_ATOM": "0131cb216eb106953b0ee220615e9f7e", "THREADS": 1, "TIMESTAMP": 1633591166179, "USER_NAME": "NT AUTHORITY\\SYSTEM" } }, "routing": { "arch": 2, "did": "", "event_id": "82aac6d1-0bf5-43b4-911a-13e18a5044ab", "event_time": 1584131972237, "event_type": "REMOTE_PROCESS_HANDLE", "ext_ip": "10.10.10.19", "hostname": "DESKTOP-masked-hostname.internal.net", "iid": "efc77307-2d8a-4db5-a10f-f45fab19d1f3", "int_ip": "10.10.10.11", "moduleid": 2, "oid": "8cbe27f4-bfa1-4afb-ba19-138cd51389cd", "parent": "a20ec63b1d44ef8111c596666159bdc2", "plat": 268435456, "sid": "41459c8d-977c-40cb-aa84-a5d2413a72e1", "tags": ["proj-simulated-data"], "target": "0131cb216eb106953b0ee220615e9f7e", "this": "2b96934869a59d19ced528436159d3fa" } } ] }, "routing": { "arch": 2, "did": "", "event_id": "3349f656-ebd3-4ecf-b510-91d698af11b8", "event_time": 1584131972237, "event_type": "THREAD_INJECTION", "ext_ip": "10.10.10.19", "hostname": "DESKTOP-masked-hostname.internal.net", "iid": "efc77307-2d8a-4db5-a10f-f45fab19d1f3", "int_ip": "10.10.10.11", "moduleid": 2, "oid": "8cbe27f4-bfa1-4afb-ba19-138cd51389cd", "parent": "a20ec63b1d44ef8111c596666159bdc2", "plat": 268435456, "sid": "41459c8d-977c-40cb-aa84-a5d2413a72e1", "tags": ["proj-simulated-data"], "target": "0131cb216eb106953b0ee220615e9f7e", "this": "ff59af10d5ef682d206adfeb6159d3fa" } }
Tabela de mapeamento do UDM
| Campo de registro | Mapeamento do UDM | Lógica |
|---|---|---|
cat |
security_result.summary |
Renomeado de cat. Aplicável quando detect não está vazio. |
detect.event.COMMAND_LINE |
principal.process.command_line |
Renomeado de detect.event.COMMAND_LINE. Aplicado quando event_type é um dos seguintes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect não está vazio. |
detect.event.COMMAND_LINE |
principal.process.command_line |
Renomeado de detect.event.COMMAND_LINE. Aplicado quando event_type não é um dos NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect não está vazio. |
detect.event.FILE_PATH |
principal.process.file.full_path |
Renomeado de detect.event.FILE_PATH. Aplicado quando event_type é um dos seguintes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect não está vazio. |
detect.event.FILE_PATH |
principal.process.file.full_path |
Renomeado de detect.event.FILE_PATH. Aplicado quando event_type não é um dos NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect não está vazio. |
detect.event.HASH |
principal.process.file.sha256 |
Renomeado de detect.event.HASH. Aplicado quando event_type é um dos seguintes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect não está vazio. |
detect.event.HASH |
principal.process.file.sha256 |
Renomeado de detect.event.HASH. Aplicado quando event_type não é um dos seguintes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS, e detect não está vazio. |
detect.event.HASH_MD5 |
principal.process.file.md5 |
Renomeado de detect.event.HASH_MD5. Aplicado quando event_type não é um dos seguintes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS, e detect não está vazio. |
detect.event.HASH_SHA1 |
principal.process.file.sha1 |
Renomeado de detect.event.HASH_SHA1. Aplicado quando event_type não é um dos seguintes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS, e detect não está vazio. |
detect.event.PARENT.COMMAND_LINE |
principal.process.command_line |
Renomeado de detect.event.PARENT.COMMAND_LINE. Aplicado quando event_type é um dos seguintes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect não está vazio. |
detect.event.PARENT.COMMAND_LINE |
principal.process.parent_process.command_line |
Renomeado de detect.event.PARENT.COMMAND_LINE. Aplicado quando event_type não é um dos seguintes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS, e detect não está vazio. |
detect.event.PARENT.FILE_PATH |
principal.process.file.full_path |
Renomeado de detect.event.PARENT.FILE_PATH. Aplicado quando event_type é um dos seguintes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect não está vazio. |
detect.event.PARENT.FILE_PATH |
principal.process.parent_process.file.full_path |
Renomeado de detect.event.PARENT.FILE_PATH. Aplicado quando event_type não é um dos NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect não está vazio. |
detect.event.PARENT.HASH |
principal.process.file.sha256 |
Renomeado de detect.event.PARENT.HASH. Aplicado quando event_type é um dos seguintes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect não está vazio. |
detect.event.PARENT.HASH |
principal.process.parent_process.file.sha256 |
Renomeado de detect.event.PARENT.HASH. Aplicado quando event_type não é um dos NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect não está vazio. |
detect.event.PARENT_PROCESS_ID |
principal.process.pid |
Renomeado de detect.event.PARENT_PROCESS_ID. Aplicado quando event_type é um dos seguintes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect não está vazio. |
detect.event.PARENT_PROCESS_ID |
principal.process.parent_process.pid |
Renomeado de detect.event.PARENT_PROCESS_ID. Aplicado quando event_type não é um dos seguintes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS, e detect não está vazio. |
detect.event.PROCESS_ID |
target.process.pid |
Renomeado de detect.event.PROCESS_ID. Aplicado quando event_type é um dos seguintes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect não está vazio. |
detect.event.PROCESS_ID |
principal.process.pid |
Renomeado de detect.event.PROCESS_ID. Aplicado quando event_type não é um dos seguintes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS, e detect não está vazio. |
detect.event.USER_NAME |
principal.user.userid |
Renomeado de detect.event.USER_NAME. Aplicado quando event_type não é um dos NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect não está vazio. |
detect_mtd.description |
security_result.description |
Renomeado de detect_mtd.description. Aplicável quando detect não está vazio. |
detect_mtd.level |
security_result.severity |
Copiado de detect_mtd.level e convertido em letras maiúsculas. Aplicável quando detect não está vazio. |
event.COMMAND_LINE |
principal.process.command_line |
Renomeado de event.COMMAND_LINE. Aplicado quando event_type é um dos seguintes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect está vazio. |
event.COMMAND_LINE |
principal.process.command_line |
Renomeado de event.COMMAND_LINE. Aplicável quando event_type não é um dos NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect está vazio. |
event.DLL |
target.file.full_path |
Copiado de event.DLL. Aplicável quando event_type é SERVICE_CHANGE. |
event.DOMAIN_NAME |
network.dns.questions.0.name, network.dns.answers.0.name |
Renomeado como a.name, copiado para q.name e mesclado nas matrizes network.dns.questions e network.dns.answers. Aplicável quando event_type é DNS_REQUEST. |
event.DNS_TYPE |
network.dns.answers.0.type |
Renomeado como a.type e mesclado na matriz network.dns.answers. Aplicável quando event_type é DNS_REQUEST. |
event.ERROR |
security_result.severity_details |
Copiado de event.ERROR. Aplicável quando event.ERROR não está vazio. |
event.EXECUTABLE |
target.process.command_line |
Copiado de event.EXECUTABLE. Aplicável quando event_type é SERVICE_CHANGE. |
event.FILE_PATH |
target.file.full_path |
Renomeado de event.FILE_PATH. Aplicável quando event_type é NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE ou FILE_READ e detect está vazio. |
event.FILE_PATH |
principal.process.file.full_path |
Renomeado de event.FILE_PATH. Aplicável quando event_type não é um dos seguintes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect está vazio. |
event.FILE_PATH |
target.process.file.full_path |
Renomeado de event.FILE_PATH. Aplicável quando event_type é um dos seguintes: NEW_PROCESS, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS, e detect está vazio. |
event.HASH |
target.file.sha256 |
Renomeado de event.HASH. Aplicável quando event_type é NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE ou FILE_READ e detect está vazio. |
event.HASH |
principal.process.file.sha256 |
Renomeado de event.HASH. Aplicável quando event_type não é um dos seguintes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect está vazio. |
event.HASH |
target.process.file.sha256 |
Renomeado de event.HASH. Aplicável quando event_type é um dos seguintes: NEW_PROCESS, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS, e detect está vazio. |
event.HASH_MD5 |
principal.process.file.md5 |
Renomeado de event.HASH_MD5. Aplicável quando event_type não é um dos seguintes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect está vazio. |
event.HASH_SHA1 |
principal.process.file.sha1 |
Renomeado de event.HASH_SHA1. Aplicável quando event_type não é um dos seguintes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect está vazio. |
event.IP_ADDRESS |
network.dns.answers.0.data |
Renomeado como a.data e mesclado na matriz network.dns.answers. Aplicável quando event_type é DNS_REQUEST e event.IP_ADDRESS não está vazio. |
event.MESSAGE_ID |
network.dns.id |
Renomeado de event.MESSAGE_ID. Aplicável quando event_type é DNS_REQUEST. |
event.NETWORK_ACTIVITY[].DESTINATION.IP_ADDRESS |
target.ip |
Mesclado de event.NETWORK_ACTIVITY[].DESTINATION.IP_ADDRESS. Aplicável quando event_type é NETWORK_CONNECTIONS. |
event.NETWORK_ACTIVITY[].SOURCE.IP_ADDRESS |
principal.ip |
Mesclado de event.NETWORK_ACTIVITY[].SOURCE.IP_ADDRESS. Aplicável quando event_type é NETWORK_CONNECTIONS. |
event.PARENT.COMMAND_LINE |
principal.process.command_line |
Renomeado de event.PARENT.COMMAND_LINE. Aplicado quando event_type é um dos seguintes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect está vazio. |
event.PARENT.COMMAND_LINE |
principal.process.parent_process.command_line |
Renomeado de event.PARENT.COMMAND_LINE. Aplicável quando event_type não é um dos seguintes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect está vazio. |
event.PARENT.FILE_PATH |
principal.process.file.full_path |
Renomeado de event.PARENT.FILE_PATH. Aplicado quando event_type é um dos seguintes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect está vazio. |
event.PARENT.FILE_PATH |
principal.process.parent_process.file.full_path |
Renomeado de event.PARENT.FILE_PATH. Aplicável quando event_type não é um dos seguintes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect está vazio. |
event.PARENT.HASH |
principal.process.file.sha256 |
Renomeado de event.PARENT.HASH. Aplicado quando event_type é um dos seguintes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect está vazio. |
event.PARENT.HASH |
principal.process.parent_process.file.sha256 |
Renomeado de event.PARENT.HASH. Aplicável quando event_type não é um dos seguintes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect está vazio. |
event.PARENT_PROCESS_ID |
principal.process.pid |
Renomeado de event.PARENT_PROCESS_ID. Aplicado quando event_type é um dos seguintes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect está vazio. |
event.PARENT_PROCESS_ID |
principal.process.parent_process.pid |
Renomeado de event.PARENT_PROCESS_ID. Aplicável quando event_type não é um dos NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect está vazio. |
event.PROCESS_ID |
target.process.pid |
Renomeado de event.PROCESS_ID. Aplicado quando event_type é um dos seguintes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect está vazio. |
event.PROCESS_ID |
principal.process.pid |
Renomeado de event.PROCESS_ID. Aplicável quando event_type não é um dos seguintes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect está vazio. |
event.REGISTRY_KEY |
target.registry.registry_key |
Copiado de event.REGISTRY_KEY. Aplicável quando event_type é REGISTRY_WRITE. |
event.REGISTRY_VALUE |
target.registry.registry_value_data |
Copiado de event.REGISTRY_VALUE. Aplicável quando event_type é REGISTRY_WRITE. |
event.SVC_DISPLAY_NAME |
metadata.description |
Copiado de event.SVC_DISPLAY_NAME. Aplicável quando event_type é SERVICE_CHANGE. |
event.SVC_NAME |
target.application |
Copiado de event.SVC_NAME. Aplicável quando event_type é SERVICE_CHANGE. |
event.USER_NAME |
principal.user.userid |
Renomeado de event.USER_NAME. Aplicável quando event_type não é um dos seguintes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect está vazio. |
routing.event_time |
metadata.event_timestamp |
Analisado como um carimbo de data/hora de routing.event_time usando o formato UNIX_MS ou ISO8601. |
routing.event_type |
metadata.product_event_type |
Copiado de routing.event_type. |
routing.ext_ip |
principal.ip |
Copiado de routing.ext_ip. Aplicável quando routing.ext_ip não está vazio. |
routing.hostname |
principal.hostname |
Copiado de routing.hostname. Aplicável quando routing.hostname não está vazio. |
routing.int_ip |
principal.ip |
Copiado de routing.int_ip. Aplicável quando routing.int_ip não está vazio. |
routing.parent |
target.process.product_specific_process_id |
Prefixo "LC:" de routing.parent. Aplicável quando detect não está vazio. |
routing.parent |
principal.process.product_specific_process_id |
Prefixo "LC:" de routing.parent. Aplicado quando event_type não é um dos seguintes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS, e routing.this está vazio e routing.parent não está. |
routing.this |
principal.process.product_specific_process_id |
Prefixo "LC:" de routing.this. Aplicado quando event_type é um dos seguintes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS e detect está vazio. |
routing.this |
principal.process.product_specific_process_id |
Prefixo "LC:" de routing.this. Aplicado quando event_type não é um dos seguintes: NEW_PROCESS, NEW_DOCUMENT, FILE_MODIFIED, FILE_DELETE, FILE_CREATE, FILE_READ, MODULE_LOAD, TERMINATE_PROCESS ou SENSITIVE_PROCESS_ACCESS, e routing.this não está vazio. Defina como true quando detect não estiver vazio. Defina como true quando detect não estiver vazio e detect_mtd.level for um dos seguintes: high, medium ou critical. Defina um valor com base em event_type: NETWORK_DNS para DNS_REQUEST, PROCESS_LAUNCH para NEW_PROCESS, PROCESS_UNCATEGORIZED para EXISTING_PROCESS, NETWORK_CONNECTION para CONNECTED ou NETWORK_CONNECTIONS, REGISTRY_MODIFICATION para REGISTRY_WRITE, SERVICE_MODIFICATION para SERVICE_CHANGE, FILE_UNCATEGORIZED para NEW_DOCUMENT, FILE_READ para FILE_READ, FILE_DELETION para FILE_DELETE, FILE_CREATION para FILE_CREATE, FILE_MODIFICATION para FILE_MODIFIED, PROCESS_MODULE_LOAD para MODULE_LOAD, PROCESS_TERMINATION para TERMINATE_PROCESS, STATUS_UNCATEGORIZED para CLOUD_NOTIFICATION ou RECEIPT, PROCESS_UNCATEGORIZED para REMOTE_PROCESS_HANDLE ou NEW_REMOTE_THREAD ou GENERIC_EVENT caso contrário. Defina como "LimaCharlie EDR". Definido como "LimaCharlie". Defina como "DNS" quando event_type for DNS_REQUEST. Definido como "ERROR" quando event.ERROR não está vazio. Copiado de event.HOST_NAME. Aplicável quando event_type é CONNECTED. |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.