本頁面由 Cloud Translation API 翻譯而成。

收集 LimaCharlie EDR 記錄

支援的國家/地區：

Google SecOps SIEM

本文說明如何使用 Google Cloud Storage，將 LimaCharlie EDR 記錄檔擷取至 Google Security Operations。剖析器會從 JSON 格式的記錄中擷取事件，將欄位正規化為 UDM，並處理頂層和巢狀事件。具體來說，這項功能會剖析各種事件類型，包括 DNS 要求、程序建立、檔案修改、網路連線和登錄檔變更，將相關欄位對應至其統一資料模型 (UDM) 對等項目，並使用 LimaCharlie 專屬情境擴充資料。

事前準備

請確認您已完成下列事前準備事項：

Google SecOps 執行個體
Google Cloud的特殊存取權
LimaCharlie 的特殊存取權

建立 Google Cloud 儲存空間 bucket

登入 Google Cloud 控制台
前往「Cloud Storage Buckets」(Cloud Storage bucket) 頁面。

前往「Buckets」(值區) 頁面
點選「建立」。
在「建立 bucket」頁面中，輸入 bucket 資訊。完成下列每個步驟後，請按一下「繼續」前往下一個步驟：
1. 在「開始使用」部分，執行下列操作：
  - 輸入符合值區名稱規定的專屬名稱 (例如 cloudrun-logs)。
  - 如要啟用階層命名空間，請按一下展開箭頭，展開「為檔案導向和資料密集型工作負載提供最理想的儲存空間」部分，然後選取「為這個值區啟用階層結構式命名空間」。
  注意： 您無法在現有值區中啟用階層式命名空間。
  - 如要新增值區標籤，請按一下展開箭頭，展開「標籤」部分。
  - 按一下「新增標籤」，然後指定標籤的鍵和值。
2. 在「Choose where to store your data」(選擇資料的儲存位置) 部分，執行下列操作：
  - 選取「位置類型」。
  - 使用位置類型選單選取位置，永久儲存 bucket 中的物件資料。
  注意： 如果您選取「雙區域」位置類型，也可以使用相關核取方塊啟用強化型複製功能。
  - 如要設定跨 bucket 複製作業，請展開「設定跨 bucket 複製作業」部分。
3. 在「為資料選擇儲存空間級別」部分，選取 bucket 的預設儲存空間級別，或選取「Autoclass」，讓系統自動管理 bucket 資料的儲存空間級別。
4. 在「選取如何控制物件的存取權」部分，選取「否」來強制執行禁止公開存取，並為值區物件選取存取權控管模型。
注意： 如果專案的機構政策已強制執行禁止公開存取，則「禁止公開存取」核取方塊會遭到鎖定。
1. 在「選擇保護物件資料的方式」部分，執行下列操作：
  - 選取「資料保護」下方的任何選項，為 bucket 設定資料保護措施。
  - 如要選擇物件資料的加密方式，請按一下「資料加密」展開箭頭，然後選取「資料加密方法」。
點選「建立」。

在 LimaCharlie EDR 中設定記錄匯出功能

登入 LimaCharlie 入口網站。
選取左選單中的「輸出」。
按一下「新增輸出」。
選擇輸出串流：選取「事件」。
選擇輸出目的地：選取「Google Cloud Storage」。
提供下列設定詳細資料：
- 值區：Google Cloud Storage 值區的路徑。
- 私密金鑰：用於識別服務帳戶的私密 JSON 金鑰。
- 每個檔案的秒數：檔案剪輯並上傳的秒數。
- 壓縮：設為 False。
- 索引：設為 False。
- Dir：要在遠端主機上輸出檔案的目錄前置字元。
按一下「儲存輸出內容」。

設定動態饋給

如要設定動態消息，請按照下列步驟操作：

依序前往「SIEM 設定」>「動態消息」。
按一下「新增動態消息」。
在下一個頁面中，按一下「設定單一動態饋給」。
在「動態饋給名稱」欄位中，輸入動態饋給的名稱 (例如「Limacharlie EDR Logs」)。
選取「Google Cloud Storage V2」做為「來源類型」。
選取「LimaCharlie」做為「記錄類型」。
按一下「取得服務帳戶」做為「Chronicle 服務帳戶」。
點選「下一步」。
指定下列輸入參數的值：
- 儲存空間值區 URI：Google Cloud Storage 值區網址，格式為 gs://my-bucket/<value>/。這個網址的結尾必須是正斜線 (/)。
- 來源刪除選項：根據偏好設定選取刪除選項。
注意： 如果選取 Delete transferred files 或 Delete transferred files and empty directories 選項，請務必授予服務帳戶適當的權限。 * 檔案存在時間上限：包含在過去天數內修改的檔案。預設值為 180 天。 * 資產命名空間：資產命名空間。 * 擷取標籤：套用至這個動態饋給事件的標籤。
點選「下一步」。
在「完成」畫面中檢查新的動態饋給設定，然後按一下「提交」。

支援的 LimaCharlie 記錄樣本

DNS_REQUEST

{
  "routing": {
    "oid": "406b0c42-af98-4b82-b78f-caecee64e3db",
    "iid": "811d1c22-d9a2-4b99-b1ac-6f7547998177",
    "sid": "98e97377-ad12-4fb7-a2e5-b492e18cf17a",
    "arch": 2,
    "plat": 268435456,
    "hostname": "masked-hostname.internal.net",
    "int_ip": "10.10.10.10",
    "ext_ip": "10.10.10.11",
    "moduleid": 2,
    "event_type": "DNS_REQUEST",
    "event_time": 1584131972237,
    "event_id": "42a5b328-dccb-4972-8b3e-d28c6298da1d",
    "tags": ["workstations"],
    "this": "d8856b9e783083c120fff45eadef092e"
  },
  "event": {
    "DOMAIN_NAME": "sanitized.domain.net",
    "PROCESS_ID": 1556,
    "MESSAGE_ID": 52513,
    "DNS_TYPE": 28,
    "IP_ADDRESS": "2001:db8::1"
  }
}

NEW_PROCESS

{
  "routing": {
    "oid": "406b0c42-af98-4b82-b78f-caecee64e3db",
    "iid": "811d1c22-d9a2-4b99-b1ac-6f7547998177",
    "sid": "7812dc27-5b53-475b-9a9c-b86964355986",
    "arch": 2,
    "plat": 268435456,
    "hostname": "masked-hostname.internal.net",
    "int_ip": "10.10.10.10",
    "ext_ip": "10.10.10.12",
    "moduleid": 2,
    "event_type": "NEW_PROCESS",
    "event_time": 1584121663200,
    "event_id": "519be559-6f48-4c4c-8374-55cf4b80bedc",
    "tags": ["workstations"],
    "this": "bfc2100277f0cc05e7f821c6011e5c54",
    "parent": "500e2ef6f130fc184889800b4d8403e3"
  },
  "event": {
    "PARENT_PROCESS_ID": 3452,
    "FILE_PATH": "C:\\Program Files\\Git\\usr\\bin\\bash.exe",
    "COMMAND_LINE": "\"C:\\Program Files\\Git\\usr\\bin\\bash.exe\"",
    "MEMORY_USAGE": 20480,
    "USER_NAME": "CTC\\masked_user",
    "PROCESS_ID": 676,
    "PARENT": {
      "PARENT_PROCESS_ID": 18900,
      "FILE_PATH": "C:\\Program Files\\Git\\usr\\bin\\bash.exe",
      "COMMAND_LINE": "\"C:\\Program Files\\Git\\usr\\bin\\bash.exe\"",
      "BASE_ADDRESS": 4299161600,
      "PROCESS_ID": 3452,
      "THREADS": 5,
      "MEMORY_USAGE": 9437184,
      "USER_NAME": "CTC\\masked_user",
      "TIMESTAMP": 1584121249676,
      "THIS_ATOM": "500e2ef6f130fc184889800b4d8403e3",
      "PARENT_ATOM": "699c825429b894129b26dfe488225315",
      "FILE_IS_SIGNED": 0,
      "HASH": "744343e01351ba92e365b7e24eedd4ed18ed3ebe26e68c69d9b5e324fe64a1b5"
    },
    "FILE_IS_SIGNED": 0,
    "HASH": "744343e01351ba92e365b7e24eedd4ed18ed3ebe26e68c69d9b5e324fe64a1b5"
  }
}

TERMINATE_PROCESS

{
  "routing": {
    "oid": "406b0c42-af98-4b82-b78f-caecee64e3db",
    "iid": "811d1c22-d9a2-4b99-b1ac-6f7547998177",
    "sid": "7812dc27-5b53-475b-9a9c-b86964355986",
    "arch": 2,
    "plat": 268435456,
    "hostname": "masked-hostname.internal.net",
    "int_ip": "10.10.10.10",
    "ext_ip": "10.10.10.12",
    "moduleid": 2,
    "event_type": "TERMINATE_PROCESS",
    "event_time": 1584121663547,
    "event_id": "8abfd85b-71b1-4495-bd18-1f4b6f55103b",
    "tags": ["workstations"],
    "this": "2932ce40bde71d9b6bf2f648600badec",
    "parent": "bfc2100277f0cc05e7f821c6011e5c54"
  },
  "event": {
    "PARENT_PROCESS_ID": 3452,
    "PROCESS_ID": 676
  }
}

CODE_IDENTITY

{
  "routing": {
    "oid": "406b0c42-af98-4b82-b78f-caecee64e3db",
    "iid": "811d1c22-d9a2-4b99-b1ac-6f7547998177",
    "sid": "c81a8699-8f37-4f74-a71f-3edf7a7ae80c",
    "arch": 2,
    "plat": 268435456,
    "hostname": "masked-hostname.internal.net",
    "int_ip": "10.10.10.10",
    "ext_ip": "10.10.10.11",
    "moduleid": 2,
    "event_type": "CODE_IDENTITY",
    "event_time": 1584116496391,
    "event_id": "4810161f-1c87-4069-89e0-1ea84a3f3b63",
    "tags": ["workstations"],
    "this": "72198f6f157681b611dc36cde1589b1d",
    "parent": "c167e778592b4da6cbf705249752d6e6"
  },
  "event": {
    "FILE_PATH": "C:\\Windows\\System32\\psapi.dll",
    "HASH": "6dae0b5bac5b2c34fd313b51ac793b6f0c270da01474e4d1016b119fc1f9ce8f",
    "HASH_MD5": "89d92079f45d2f2539bcd1eef73a701e",
    "HASH_SHA1": "354fbac912764bbf6595f97a59d5e32041926194",
    "ERROR": 0,
    "SIGNATURE": {
      "FILE_PATH": "C:\\Windows\\System32\\psapi.dll",
      "CERT_ISSUER": "C=US, S=Washington, L=Redmond, O=Microsoft Corporation, "
        "CN=Microsoft Windows Production PCA 2011",
      "CERT_SUBJECT": "C=US, S=Washington, L=Redmond, O=Microsoft Corporation, "
        "CN=Microsoft Windows",
      "FILE_IS_SIGNED": 1,
      "FILE_CERT_IS_VERIFIED_LOCAL": 1
    },
    "FILE_INFO": "10.0.18362.1",
    "ORIGINAL_FILE_NAME": "PSAPI"
  }
}

EXISTING_PROCESS

{
  "source": "129538ba-8970-4421-92dc-5bd958f8308e.05da2702-0aef-43e5-afa1-1bd747dc6161."
    "fcdd2eb7-9737-4dac-b639-c11c7a149c71.10000000.2",
  "routing": {
    "oid": "129538ba-8970-4421-92dc-5bd958f8308e",
    "iid": "05da2702-0aef-43e5-afa1-1bd747dc6161",
    "sid": "fcdd2eb7-9737-4dac-b639-c11c7a149c71",
    "arch": 2,
    "plat": 268435456,
    "hostname": "masked-hostname.internal.net",
    "int_ip": "10.10.10.10",
    "ext_ip": "10.10.10.11",
    "moduleid": 2,
    "event_type": "NEW_PROCESS",
    "event_time": 1584039879031,
    "event_id": "f2dd9f86-91fc-4566-8e7d-3235407ebc88",
    "tags": [],
    "this": "c8b9305d9358fea725096f354779ddec",
    "parent": "1deb4f32a9fc7d4d51e155a5c748ca74"
  },
  "cat": "Whoami Execution",
  "namespace": "general",
  "detect": {
    "routing": {
      "oid": "129538ba-8970-4421-92dc-5bd958f8308e",
      "iid": "05da2702-0aef-43e5-afa1-1bd747dc6161",
      "sid": "fcdd2eb7-9737-4dac-b639-c11c7a149c71",
      "arch": 2,
      "plat": 268435456,
      "hostname": "masked-hostname.internal.net",
      "int_ip": "10.10.10.10",
      "ext_ip": "10.10.10.11",
      "moduleid": 2,
      "event_type": "NEW_PROCESS",
      "event_time": 1584039879031,
      "event_id": "f2dd9f86-91fc-4566-8e7d-3235407ebc88",
      "tags": [],
      "this": "c8b9305d9358fea725096f354779ddec",
      "parent": "1deb4f32a9fc7d4d51e155a5c748ca74"
    },
    "event": {
      "PARENT_PROCESS_ID": 8396,
      "FILE_PATH": "C:\\Windows\\system32\\whoami.exe",
      "COMMAND_LINE": "whoami.exe",
      "PROCESS_ID": 4456,
      "PARENT": {
        "PARENT_PROCESS_ID": 5072,
        "FILE_PATH": "C:\\Windows\\system32\\cmd.exe",
        "COMMAND_LINE": "\"C:\\Windows\\system32\\cmd.exe\" ",
        "BASE_ADDRESS": 140699014070272,
        "PROCESS_ID": 8396,
        "THREADS": 3,
        "MEMORY_USAGE": 3645440,
        "USER_NAME": "masked-hostname.internal.net\\masked_user",
        "TIMESTAMP": 1584039874151,
        "THIS_ATOM": "1deb4f32a9fc7d4d51e155a5c748ca74",
        "PARENT_ATOM": "f6abd6b90dd752db2d2670a35f261ecb",
        "FILE_IS_SIGNED": 1,
        "HASH": "ff79d3c4a0b7eb191783c323ab8363ebd1fd10be58d8bcc96b07067743ca81d5"
      },
      "FILE_IS_SIGNED": 1,
      "HASH": "a8a4c4719113b071bb50d67f6e12c188b92c70eeafdfcd6f5da69b6aaa99a7fd"
    }
  },
  "detect_id": "996b32e7-9e92-4adb-9503-a53f1d52090a",
  "detect_mtd": {
    "level": "high",
    "references": [
      "https://sanitized.domain.net/alerts/alert/public/1247926/"
        "agent-tesla-keylogger-delivered-inside-a-power-iso-daa-archive/",
      "https://sanitized.domain.net/tasks/7eaba74e-c1ea-400f-9c17-5e30eee89906/"
    ],
    "description": "Detects the execution of whoami, which is often used by attackers after "
      "exloitation / privilege escalation but rarely used by administrators",
    "tags": ["attack.discovery", "attack.t1033", "car.2016-03-001"],
    "author": "Florian Roth"
  },
  "ts": 1584451579789
}

SERVICE_CHANGE

{
  "event": {
    "DLL": "%systemroot%\\system32\\wuaueng.dll",
    "EXECUTABLE": "%systemroot%\\system32\\svchost.exe -k netsvcs",
    "FILE_IS_SIGNED": 1,
    "HASH": "bce4a05d601d358f06f4d8f996aaa1923a8ee9d37262cc9b20b143be070c4641",
    "PROCESS_ID": 836,
    "SVC_DISPLAY_NAME": "Windows Update",
    "SVC_NAME": "wuauserv",
    "SVC_STATE": 4,
    "SVC_TYPE": 32
  },
  "routing": {
    "arch": 2,
    "did": "",
    "event_id": "baec41a4-0849-46c6-a78a-86fd3c61348f",
    "event_time": 1584131972237,
    "event_type": "SERVICE_CHANGE",
    "ext_ip": "10.10.10.12",
    "hostname": "masked-hostname.internal.net",
    "iid": "82fa9eb7-8f1c-474d-b68b-61825f4773d2",
    "int_ip": "10.10.10.13",
    "moduleid": 2,
    "oid": "3fb2aff0-a135-49f3-8231-b773a773da43",
    "plat": 268435456,
    "sid": "72a4fc32-46a3-4e34-9e07-3295aa59b3b6",
    "tags": ["server"],
    "this": "c624bb9dfb0dd39214de202d615a3027"
  }
}

NETWORK_CONNECTIONS

{
  "event": {
    "COMMAND_LINE": "C:\\windows\\system32\\svchost.exe -k NetworkService -p -s Dnscache",
    "FILE_IS_SIGNED": 1,
    "FILE_PATH": "C:\\windows\\system32\\svchost.exe",
    "HASH": "643ec58e82e0272c97c2a59f6020970d881af19c0ad5029db9c958c13b6558c7",
    "NETWORK_ACTIVITY": [
      {
        "DESTINATION": {
          "IP_ADDRESS": "2001:db8::10",
          "PORT": 53
        },
        "IS_OUTGOING": 1,
        "PROTOCOL": "udp6",
        "SOURCE": {
          "IP_ADDRESS": "2001:db8::20",
          "PORT": 49285
        },
        "TIMESTAMP": 1633325249854
      },
      {
        "DESTINATION": {
          "IP_ADDRESS": "10.10.10.14",
          "PORT": 53
        },
        "IS_OUTGOING": 1,
        "PROTOCOL": "udp4",
        "SOURCE": {
          "IP_ADDRESS": "10.10.10.15",
          "PORT": 50364
        },
        "TIMESTAMP": 1633325249898
      }
    ],
    "PARENT_PROCESS_ID": 1356,
    "PROCESS_ID": 2544,
    "USER_NAME": "NT AUTHORITY\\NETWORK SERVICE"
  },
  "routing": {
    "arch": 2,
    "did": "",
    "event_id": "c0556a7a-9580-4ed4-a75a-25ab4fa33302",
    "event_time": 1584131972237,
    "event_type": "NETWORK_CONNECTIONS",
    "ext_ip": "10.10.10.16",
    "hostname": "masked-hostname.internal.net",
    "iid": "6c989fbd-c296-4881-a0a2-b9f165f0ab1a",
    "int_ip": "10.10.10.15",
    "moduleid": 2,
    "oid": "bb479180-e2dc-422b-a54b-f48a572fcb32",
    "parent": "a48b0fd4e065922eaa452a2661588411",
    "plat": 268435456,
    "sid": "437a4196-9fb8-440b-9c90-cb49bee78d8c",
    "tags": ["windows-end-users"],
    "this": "b4659600ca9f18d5be4eaee6615a90e1"
  }
}

CLOUD_NOTIFICATION

{
  "event": {
    "EXPIRY": 1633293567,
    "HCP_IDENT": {
      "HCP_ARCHITECTURE": 2,
      "HCP_INSTALLER_ID": "907e4bc5e4224a20a0b47618017ed09c",
      "HCP_ORG_ID": "1367c836c1ed4d4cadeb47bd2bbaf962",
      "HCP_PLATFORM": 536870912,
      "HCP_SENSOR_ID": "fcc8cd7d93a24afab58c9658350d6f66"
    },
    "NOTIFICATION": {
      "DOMAIN_NAME": "sanitized.domain.net"
    },
    "NOTIFICATION_ID": "DNS_RESOLVE_REQ"
  },
  "routing": {
    "arch": 2,
    "did": "",
    "event_id": "e37fe0cf-7c09-424e-acc1-d821225cf2e0",
    "event_time": 1584131972237,
    "event_type": "CLOUD_NOTIFICATION",
    "ext_ip": "10.10.10.17",
    "hostname": "masked-hostname.internal.net",
    "iid": "907e4bc5-e422-4a20-a0b4-7618017ed09c",
    "int_ip": "10.10.10.18",
    "moduleid": 2,
    "oid": "1367c836-c1ed-4d4c-adeb-47bd2bbaf962",
    "plat": 536870912,
    "sid": "fcc8cd7d-93a2-4afa-b58c-9658350d6f66",
    "tags": ["cloudlinuxworkloads"]
  }
}

收據

{
  "event": {
    "ERROR": 0
  },
  "routing": {
    "arch": 2,
    "did": "",
    "event_id": "832008f0-75af-401f-97de-b9a4d96e6e0c",
    "event_time": 1584131972237,
    "event_type": "RECEIPT",
    "ext_ip": "10.10.10.17",
    "hostname": "masked-hostname.internal.net",
    "iid": "907e4bc5-e422-4a20-a0b4-7618017ed09c",
    "int_ip": "10.10.10.18",
    "moduleid": 2,
    "oid": "1367c836-c1ed-4d4c-adeb-47bd2bbaf962",
    "plat": 536870912,
    "sid": "fcc8cd7d-93a2-4afa-b58c-9658350d6f66",
    "tags": ["cloudlinuxworkloads"]
  }
}

MODULE_LOAD

{
  "event": {
    "BASE_ADDRESS": 140710068617216,
    "FILE_IS_SIGNED": 1,
    "FILE_PATH": "C:\\Windows\\System32\\cryptbase.dll",
    "HASH": "b50d007ee8764f7cada9d9a395da396201c8b18e6501b50ab809914a7588baf1",
    "MEMORY_SIZE": 49152,
    "MODULE_NAME": "cryptbase.dll",
    "PROCESS_ID": 1736
  },
  "routing": {
    "arch": 2,
    "did": "",
    "event_id": "1bd26937-ac7f-4f61-bab6-f83f796d2ecd",
    "event_time": 1584131972237,
    "event_type": "MODULE_LOAD",
    "ext_ip": "10.10.10.19",
    "hostname": "masked-hostname.internal.net",
    "iid": "efc77307-2d8a-4db5-a10f-f45fab19d1f3",
    "int_ip": "10.10.10.20",
    "moduleid": 2,
    "oid": "8cbe27f4-bfa1-4afb-ba19-138cd51389cd",
    "parent": "3da6ecb6ef74802bda4da2fa6159c7b3",
    "plat": 268435456,
    "sid": "41459c8d-977c-40cb-aa84-a5d2413a72e1",
    "tags": ["proj-simulated-data"],
    "this": "9804e2ec76caa07d743631ee6159c7b5"
  }
}

FILE_READ

{
  "event": {
    "FILE_PATH": "C:\\Windows\\System32\\config\\systemprofile\\AppData\\Local\\Microsoft\\"
      "Windows\\PowerShell\\ModuleAnalysisCache",
    "PROCESS_ID": 4020
  },
  "routing": {
    "arch": 2,
    "did": "",
    "event_id": "f4a6a55a-6035-4bdc-8fca-d63cd39b9b7c",
    "event_time": 1584131972237,
    "event_type": "FILE_READ",
    "ext_ip": "10.10.10.19",
    "hostname": "DESKTOP-masked-hostname.internal.net",
    "iid": "efc77307-2d8a-4db5-a10f-f45fab19d1f3",
    "int_ip": "10.10.10.11",
    "moduleid": 2,
    "oid": "8cbe27f4-bfa1-4afb-ba19-138cd51389cd",
    "parent": "2d1eff5f675337956bb09e206159c792",
    "plat": 268435456,
    "sid": "41459c8d-977c-40cb-aa84-a5d2413a72e1",
    "tags": ["proj-simulated-data"],
    "this": "43018962d7e64857797adbd56159c7b3"
  }
}

NEW_NAMED_PIPE

{
  "event": {
    "FILE_PATH": "\\Device\\NamedPipe\\masked.pipe.name",
    "PROCESS_ID": 1736
  },
  "routing": {
    "arch": 2,
    "did": "",
    "event_id": "c2381353-bddf-4ba2-92bf-15b1c4cd06d1",
    "event_time": 1584131972237,
    "event_type": "NEW_NAMED_PIPE",
    "ext_ip": "10.10.10.19",
    "hostname": "DESKTOP-masked-hostname.internal.net",
    "iid": "efc77307-2d8a-4db5-a10f-f45fab19d1f3",
    "int_ip": "10.10.10.11",
    "moduleid": 2,
    "oid": "8cbe27f4-bfa1-4afb-ba19-138cd51389cd",
    "parent": "3da6ecb6ef74802bda4da2fa6159c7b3",
    "plat": 268435456,
    "sid": "41459c8d-977c-40cb-aa84-a5d2413a72e1",
    "tags": ["proj-simulated-data"],
    "this": "75c28d52c8cb8bd841d1b8ad6159c7b4"
  }
}

REGISTRY_WRITE

{
  "event": {
    "PROCESS_ID": 1736,
    "REGISTRY_KEY": "\\REGISTRY\\USER\\.DEFAULT\\Software\\Microsoft\\Windows\\"
      "CurrentVersion\\Internet Settings\\ZoneMap\\ProxyBypass",
    "REGISTRY_VALUE": "AQAAAA==",
    "SIZE": 4,
    "TYPE": 4
  },
  "routing": {
    "arch": 2,
    "did": "",
    "event_id": "3fbd9a14-4605-4447-a8e4-ab6c0cda6852",
    "event_time": 1584131972237,
    "event_type": "REGISTRY_WRITE",
    "ext_ip": "10.10.10.19",
    "hostname": "DESKTOP-masked-hostname.internal.net",
    "iid": "efc77307-2d8a-4db5-a10f-f45fab19d1f3",
    "int_ip": "10.10.10.11",
    "moduleid": 2,
    "oid": "8cbe27f4-bfa1-4afb-ba19-138cd51389cd",
    "parent": "3da6ecb6ef74802bda4da2fa6159c7b3",
    "plat": 268435456,
    "sid": "41459c8d-977c-40cb-aa84-a5d2413a72e1",
    "tags": ["proj-simulated-data"],
    "this": "dd0f92df3b5e26a6be12cd186159c7b4"
  }
}

THREAD_INJECTION

{
  "event": {
    "EVENTS": [
      {
        "event": {
          "ACCESS_FLAGS": 2097151,
          "PARENT_PROCESS_ID": 3136,
          "PROCESS_ID": 2644,
          "SOURCE": {
            "COMMAND_LINE": "\"C:\\Windows\\system32\\HOSTNAME.EXE\"",
            "FILE_IS_SIGNED": 1,
            "FILE_PATH": "C:\\Windows\\system32\\HOSTNAME.EXE",
            "HASH": "a90c3fb350a11c6f6a6efa9607987d924d1de65e09ca9faf2e0e0e00531ee335",
            "MEMORY_USAGE": 32768,
            "PARENT_ATOM": "eab4177ebe39abb8c934b15c6159bd9e",
            "PARENT_PROCESS_ID": 3728,
            "PROCESS_ID": 3136,
            "THIS_ATOM": "a20ec63b1d44ef8111c596666159bdc2",
            "TIMESTAMP": 1633271233872,
            "USER_NAME": "BUILTIN\\Administrators"
          },
          "TARGET": {
            "BASE_ADDRESS": 140702461788160,
            "COMMAND_LINE": "C:\\Windows\\system32\\disksnapshot.exe -z",
            "FILE_IS_SIGNED": 1,
            "FILE_PATH": "C:\\Windows\\system32\\disksnapshot.exe",
            "HASH": "f9a712caed73ec1392224aa13f48b154832151488e53410f1130cdf81aacf2ae",
            "MEMORY_USAGE": 1273856,
            "PARENT_ATOM": "2de44917d7d1e657951b6b5d614dff96",
            "PARENT_PROCESS_ID": 380,
            "PROCESS_ID": 2644,
            "THIS_ATOM": "0131cb216eb106953b0ee220615e9f7e",
            "THREADS": 1,
            "TIMESTAMP": 1633591166179,
            "USER_NAME": "NT AUTHORITY\\SYSTEM"
          }
        },
        "routing": {
          "arch": 2,
          "did": "",
          "event_id": "82aac6d1-0bf5-43b4-911a-13e18a5044ab",
          "event_time": 1584131972237,
          "event_type": "REMOTE_PROCESS_HANDLE",
          "ext_ip": "10.10.10.19",
          "hostname": "DESKTOP-masked-hostname.internal.net",
          "iid": "efc77307-2d8a-4db5-a10f-f45fab19d1f3",
          "int_ip": "10.10.10.11",
          "moduleid": 2,
          "oid": "8cbe27f4-bfa1-4afb-ba19-138cd51389cd",
          "parent": "a20ec63b1d44ef8111c596666159bdc2",
          "plat": 268435456,
          "sid": "41459c8d-977c-40cb-aa84-a5d2413a72e1",
          "tags": ["proj-simulated-data"],
          "target": "0131cb216eb106953b0ee220615e9f7e",
          "this": "2b96934869a59d19ced528436159d3fa"
        }
      }
    ]
  },
  "routing": {
    "arch": 2,
    "did": "",
    "event_id": "3349f656-ebd3-4ecf-b510-91d698af11b8",
    "event_time": 1584131972237,
    "event_type": "THREAD_INJECTION",
    "ext_ip": "10.10.10.19",
    "hostname": "DESKTOP-masked-hostname.internal.net",
    "iid": "efc77307-2d8a-4db5-a10f-f45fab19d1f3",
    "int_ip": "10.10.10.11",
    "moduleid": 2,
    "oid": "8cbe27f4-bfa1-4afb-ba19-138cd51389cd",
    "parent": "a20ec63b1d44ef8111c596666159bdc2",
    "plat": 268435456,
    "sid": "41459c8d-977c-40cb-aa84-a5d2413a72e1",
    "tags": ["proj-simulated-data"],
    "target": "0131cb216eb106953b0ee220615e9f7e",
    "this": "ff59af10d5ef682d206adfeb6159d3fa"
  }
}

UDM 對應表

記錄欄位	UDM 對應	邏輯
`cat`	`security_result.summary`	已從「`cat`」重新命名。如果 `detect` 不為空白，則適用這項規定。
`detect.event.COMMAND_LINE`	`principal.process.command_line`	已從「`detect.event.COMMAND_LINE`」重新命名。當 `event_type` 為 `NEW_PROCESS`、`NEW_DOCUMENT`、`FILE_MODIFIED`、`FILE_DELETE`、`FILE_CREATE`、`FILE_READ`、`MODULE_LOAD`、`TERMINATE_PROCESS` 或 `SENSITIVE_PROCESS_ACCESS`，且 `detect` 不為空白時，適用這項規則。
`detect.event.COMMAND_LINE`	`principal.process.command_line`	已從「`detect.event.COMMAND_LINE`」重新命名。如果 `event_type` 不是 `NEW_PROCESS`、`NEW_DOCUMENT`、`FILE_MODIFIED`、`FILE_DELETE`、`FILE_CREATE`、`FILE_READ`、`MODULE_LOAD`、`TERMINATE_PROCESS` 或 `SENSITIVE_PROCESS_ACCESS`，且 `detect` 不為空白，則適用這項規定。
`detect.event.FILE_PATH`	`principal.process.file.full_path`	已從「`detect.event.FILE_PATH`」重新命名。當 `event_type` 為 `NEW_PROCESS`、`NEW_DOCUMENT`、`FILE_MODIFIED`、`FILE_DELETE`、`FILE_CREATE`、`FILE_READ`、`MODULE_LOAD`、`TERMINATE_PROCESS` 或 `SENSITIVE_PROCESS_ACCESS`，且 `detect` 不為空白時，適用這項規則。
`detect.event.FILE_PATH`	`principal.process.file.full_path`	已從「`detect.event.FILE_PATH`」重新命名。如果 `event_type` 不是 `NEW_PROCESS`、`NEW_DOCUMENT`、`FILE_MODIFIED`、`FILE_DELETE`、`FILE_CREATE`、`FILE_READ`、`MODULE_LOAD`、`TERMINATE_PROCESS` 或 `SENSITIVE_PROCESS_ACCESS`，且 `detect` 不為空白，則適用這項規定。
`detect.event.HASH`	`principal.process.file.sha256`	已從「`detect.event.HASH`」重新命名。當 `event_type` 為 `NEW_PROCESS`、`NEW_DOCUMENT`、`FILE_MODIFIED`、`FILE_DELETE`、`FILE_CREATE`、`FILE_READ`、`MODULE_LOAD`、`TERMINATE_PROCESS` 或 `SENSITIVE_PROCESS_ACCESS`，且 `detect` 不為空白時，適用這項規則。
`detect.event.HASH`	`principal.process.file.sha256`	已從「`detect.event.HASH`」重新命名。如果 `event_type` 不是 `NEW_PROCESS`、`NEW_DOCUMENT`、`FILE_MODIFIED`、`FILE_DELETE`、`FILE_CREATE`、`FILE_READ`、`MODULE_LOAD`、`TERMINATE_PROCESS` 或 `SENSITIVE_PROCESS_ACCESS`，且 `detect` 不為空白，則適用這項規定。
`detect.event.HASH_MD5`	`principal.process.file.md5`	已從「`detect.event.HASH_MD5`」重新命名。如果 `event_type` 不是 `NEW_PROCESS`、`NEW_DOCUMENT`、`FILE_MODIFIED`、`FILE_DELETE`、`FILE_CREATE`、`FILE_READ`、`MODULE_LOAD`、`TERMINATE_PROCESS` 或 `SENSITIVE_PROCESS_ACCESS`，且 `detect` 不為空白，則適用這項規定。
`detect.event.HASH_SHA1`	`principal.process.file.sha1`	已從「`detect.event.HASH_SHA1`」重新命名。如果 `event_type` 不是 `NEW_PROCESS`、`NEW_DOCUMENT`、`FILE_MODIFIED`、`FILE_DELETE`、`FILE_CREATE`、`FILE_READ`、`MODULE_LOAD`、`TERMINATE_PROCESS` 或 `SENSITIVE_PROCESS_ACCESS`，且 `detect` 不為空白，則適用這項規定。
`detect.event.PARENT.COMMAND_LINE`	`principal.process.command_line`	已從「`detect.event.PARENT.COMMAND_LINE`」重新命名。當 `event_type` 為 `NEW_PROCESS`、`NEW_DOCUMENT`、`FILE_MODIFIED`、`FILE_DELETE`、`FILE_CREATE`、`FILE_READ`、`MODULE_LOAD`、`TERMINATE_PROCESS` 或 `SENSITIVE_PROCESS_ACCESS`，且 `detect` 不為空白時，適用這項規則。
`detect.event.PARENT.COMMAND_LINE`	`principal.process.parent_process.command_line`	已從「`detect.event.PARENT.COMMAND_LINE`」重新命名。如果 `event_type` 不是 `NEW_PROCESS`、`NEW_DOCUMENT`、`FILE_MODIFIED`、`FILE_DELETE`、`FILE_CREATE`、`FILE_READ`、`MODULE_LOAD`、`TERMINATE_PROCESS` 或 `SENSITIVE_PROCESS_ACCESS`，且 `detect` 不為空白，則適用這項規定。
`detect.event.PARENT.FILE_PATH`	`principal.process.file.full_path`	已從「`detect.event.PARENT.FILE_PATH`」重新命名。當 `event_type` 為 `NEW_PROCESS`、`NEW_DOCUMENT`、`FILE_MODIFIED`、`FILE_DELETE`、`FILE_CREATE`、`FILE_READ`、`MODULE_LOAD`、`TERMINATE_PROCESS` 或 `SENSITIVE_PROCESS_ACCESS`，且 `detect` 不為空白時，適用這項規則。
`detect.event.PARENT.FILE_PATH`	`principal.process.parent_process.file.full_path`	已從「`detect.event.PARENT.FILE_PATH`」重新命名。如果 `event_type` 不是 `NEW_PROCESS`、`NEW_DOCUMENT`、`FILE_MODIFIED`、`FILE_DELETE`、`FILE_CREATE`、`FILE_READ`、`MODULE_LOAD`、`TERMINATE_PROCESS` 或 `SENSITIVE_PROCESS_ACCESS`，且 `detect` 不為空白，則適用這項規定。
`detect.event.PARENT.HASH`	`principal.process.file.sha256`	已從「`detect.event.PARENT.HASH`」重新命名。當 `event_type` 為 `NEW_PROCESS`、`NEW_DOCUMENT`、`FILE_MODIFIED`、`FILE_DELETE`、`FILE_CREATE`、`FILE_READ`、`MODULE_LOAD`、`TERMINATE_PROCESS` 或 `SENSITIVE_PROCESS_ACCESS`，且 `detect` 不為空白時，適用這項規則。
`detect.event.PARENT.HASH`	`principal.process.parent_process.file.sha256`	已從「`detect.event.PARENT.HASH`」重新命名。如果 `event_type` 不是 `NEW_PROCESS`、`NEW_DOCUMENT`、`FILE_MODIFIED`、`FILE_DELETE`、`FILE_CREATE`、`FILE_READ`、`MODULE_LOAD`、`TERMINATE_PROCESS` 或 `SENSITIVE_PROCESS_ACCESS`，且 `detect` 不為空白，則適用這項規定。
`detect.event.PARENT_PROCESS_ID`	`principal.process.pid`	已從「`detect.event.PARENT_PROCESS_ID`」重新命名。當 `event_type` 為 `NEW_PROCESS`、`NEW_DOCUMENT`、`FILE_MODIFIED`、`FILE_DELETE`、`FILE_CREATE`、`FILE_READ`、`MODULE_LOAD`、`TERMINATE_PROCESS` 或 `SENSITIVE_PROCESS_ACCESS`，且 `detect` 不為空白時，適用這項規則。
`detect.event.PARENT_PROCESS_ID`	`principal.process.parent_process.pid`	已從「`detect.event.PARENT_PROCESS_ID`」重新命名。如果 `event_type` 不是 `NEW_PROCESS`、`NEW_DOCUMENT`、`FILE_MODIFIED`、`FILE_DELETE`、`FILE_CREATE`、`FILE_READ`、`MODULE_LOAD`、`TERMINATE_PROCESS` 或 `SENSITIVE_PROCESS_ACCESS`，且 `detect` 不為空白，則適用這項規定。
`detect.event.PROCESS_ID`	`target.process.pid`	已從「`detect.event.PROCESS_ID`」重新命名。當 `event_type` 為 `NEW_PROCESS`、`NEW_DOCUMENT`、`FILE_MODIFIED`、`FILE_DELETE`、`FILE_CREATE`、`FILE_READ`、`MODULE_LOAD`、`TERMINATE_PROCESS` 或 `SENSITIVE_PROCESS_ACCESS`，且 `detect` 不為空白時，適用這項規則。
`detect.event.PROCESS_ID`	`principal.process.pid`	已從「`detect.event.PROCESS_ID`」重新命名。如果 `event_type` 不是 `NEW_PROCESS`、`NEW_DOCUMENT`、`FILE_MODIFIED`、`FILE_DELETE`、`FILE_CREATE`、`FILE_READ`、`MODULE_LOAD`、`TERMINATE_PROCESS` 或 `SENSITIVE_PROCESS_ACCESS`，且 `detect` 不為空白，則適用這項規定。
`detect.event.USER_NAME`	`principal.user.userid`	已從「`detect.event.USER_NAME`」重新命名。如果 `event_type` 不是 `NEW_PROCESS`、`NEW_DOCUMENT`、`FILE_MODIFIED`、`FILE_DELETE`、`FILE_CREATE`、`FILE_READ`、`MODULE_LOAD`、`TERMINATE_PROCESS` 或 `SENSITIVE_PROCESS_ACCESS`，且 `detect` 不為空白，則適用這項規定。
`detect_mtd.description`	`security_result.description`	已從「`detect_mtd.description`」重新命名。如果 `detect` 不為空白，則適用這項規定。
`detect_mtd.level`	`security_result.severity`	從 `detect_mtd.level` 複製並轉換為大寫。如果 `detect` 不為空白，則適用這項規定。
`event.COMMAND_LINE`	`principal.process.command_line`	已從「`event.COMMAND_LINE`」重新命名。如果 `event_type` 是 `NEW_PROCESS`、`NEW_DOCUMENT`、`FILE_MODIFIED`、`FILE_DELETE`、`FILE_CREATE`、`FILE_READ`、`MODULE_LOAD`、`TERMINATE_PROCESS` 或 `SENSITIVE_PROCESS_ACCESS`，且 `detect` 為空白，則適用這項規定。
`event.COMMAND_LINE`	`principal.process.command_line`	已從「`event.COMMAND_LINE`」重新命名。如果 `event_type` 不是 `NEW_PROCESS`、`NEW_DOCUMENT`、`FILE_MODIFIED`、`FILE_DELETE`、`FILE_CREATE`、`FILE_READ`、`MODULE_LOAD`、`TERMINATE_PROCESS` 或 `SENSITIVE_PROCESS_ACCESS`，且 `detect` 為空白，則適用這項規則。
`event.DLL`	`target.file.full_path`	從「`event.DLL`」複製的項目。適用於 `event_type` 為 `SERVICE_CHANGE` 的情況。
`event.DOMAIN_NAME`	`network.dns.questions.0.name`、`network.dns.answers.0.name`	重新命名為 `a.name`，然後複製到 `q.name`，再合併到 `network.dns.questions` 和 `network.dns.answers` 陣列。適用於 `event_type` 為 `DNS_REQUEST` 的情況。
`event.DNS_TYPE`	`network.dns.answers.0.type`	重新命名為 `a.type`，然後合併至 `network.dns.answers` 陣列。適用於 `event_type` 為 `DNS_REQUEST` 的情況。
`event.ERROR`	`security_result.severity_details`	從「`event.ERROR`」複製的項目。如果 `event.ERROR` 不為空白，則適用這項規定。
`event.EXECUTABLE`	`target.process.command_line`	從「`event.EXECUTABLE`」複製的項目。適用於 `event_type` 為 `SERVICE_CHANGE` 的情況。
`event.FILE_PATH`	`target.file.full_path`	已從「`event.FILE_PATH`」重新命名。如果 `event_type` 是 `NEW_DOCUMENT`、`FILE_MODIFIED`、`FILE_DELETE`、`FILE_CREATE` 或 `FILE_READ`，且 `detect` 為空白，則適用這項規則。
`event.FILE_PATH`	`principal.process.file.full_path`	已從「`event.FILE_PATH`」重新命名。如果 `event_type` 不是 `NEW_PROCESS`、`NEW_DOCUMENT`、`FILE_MODIFIED`、`FILE_DELETE`、`FILE_CREATE`、`FILE_READ`、`MODULE_LOAD`、`TERMINATE_PROCESS` 或 `SENSITIVE_PROCESS_ACCESS`，且 `detect` 為空白，則適用這項規則。
`event.FILE_PATH`	`target.process.file.full_path`	已從「`event.FILE_PATH`」重新命名。如果 `event_type` 為 `NEW_PROCESS`、`MODULE_LOAD`、`TERMINATE_PROCESS` 或 `SENSITIVE_PROCESS_ACCESS`，且 `detect` 為空白，則適用這項規定。
`event.HASH`	`target.file.sha256`	已從「`event.HASH`」重新命名。如果 `event_type` 是 `NEW_DOCUMENT`、`FILE_MODIFIED`、`FILE_DELETE`、`FILE_CREATE` 或 `FILE_READ`，且 `detect` 為空白，則適用這項規則。
`event.HASH`	`principal.process.file.sha256`	已從「`event.HASH`」重新命名。如果 `event_type` 不是 `NEW_PROCESS`、`NEW_DOCUMENT`、`FILE_MODIFIED`、`FILE_DELETE`、`FILE_CREATE`、`FILE_READ`、`MODULE_LOAD`、`TERMINATE_PROCESS` 或 `SENSITIVE_PROCESS_ACCESS`，且 `detect` 為空白，則適用這項規則。
`event.HASH`	`target.process.file.sha256`	已從「`event.HASH`」重新命名。如果 `event_type` 為 `NEW_PROCESS`、`MODULE_LOAD`、`TERMINATE_PROCESS` 或 `SENSITIVE_PROCESS_ACCESS`，且 `detect` 為空白，則適用這項規定。
`event.HASH_MD5`	`principal.process.file.md5`	已從「`event.HASH_MD5`」重新命名。如果 `event_type` 不是 `NEW_PROCESS`、`NEW_DOCUMENT`、`FILE_MODIFIED`、`FILE_DELETE`、`FILE_CREATE`、`FILE_READ`、`MODULE_LOAD`、`TERMINATE_PROCESS` 或 `SENSITIVE_PROCESS_ACCESS`，且 `detect` 為空白，則適用這項規則。
`event.HASH_SHA1`	`principal.process.file.sha1`	已從「`event.HASH_SHA1`」重新命名。如果 `event_type` 不是 `NEW_PROCESS`、`NEW_DOCUMENT`、`FILE_MODIFIED`、`FILE_DELETE`、`FILE_CREATE`、`FILE_READ`、`MODULE_LOAD`、`TERMINATE_PROCESS` 或 `SENSITIVE_PROCESS_ACCESS`，且 `detect` 為空白，則適用這項規則。
`event.IP_ADDRESS`	`network.dns.answers.0.data`	重新命名為 `a.data`，然後合併至 `network.dns.answers` 陣列。如果 `event_type` 為 `DNS_REQUEST` 且 `event.IP_ADDRESS` 不為空值，則適用此規則。
`event.MESSAGE_ID`	`network.dns.id`	已從「`event.MESSAGE_ID`」重新命名。適用於 `event_type` 為 `DNS_REQUEST` 的情況。
`event.NETWORK_ACTIVITY[].DESTINATION.IP_ADDRESS`	`target.ip`	從「`event.NETWORK_ACTIVITY[].DESTINATION.IP_ADDRESS`」合併。適用於 `event_type` 為 `NETWORK_CONNECTIONS` 的情況。
`event.NETWORK_ACTIVITY[].SOURCE.IP_ADDRESS`	`principal.ip`	從「`event.NETWORK_ACTIVITY[].SOURCE.IP_ADDRESS`」合併。適用於 `event_type` 為 `NETWORK_CONNECTIONS` 的情況。
`event.PARENT.COMMAND_LINE`	`principal.process.command_line`	已從「`event.PARENT.COMMAND_LINE`」重新命名。如果 `event_type` 是 `NEW_PROCESS`、`NEW_DOCUMENT`、`FILE_MODIFIED`、`FILE_DELETE`、`FILE_CREATE`、`FILE_READ`、`MODULE_LOAD`、`TERMINATE_PROCESS` 或 `SENSITIVE_PROCESS_ACCESS`，且 `detect` 為空白，則適用這項規定。
`event.PARENT.COMMAND_LINE`	`principal.process.parent_process.command_line`	已從「`event.PARENT.COMMAND_LINE`」重新命名。如果 `event_type` 不是 `NEW_PROCESS`、`NEW_DOCUMENT`、`FILE_MODIFIED`、`FILE_DELETE`、`FILE_CREATE`、`FILE_READ`、`MODULE_LOAD`、`TERMINATE_PROCESS` 或 `SENSITIVE_PROCESS_ACCESS`，且 `detect` 為空白，則適用這項規則。
`event.PARENT.FILE_PATH`	`principal.process.file.full_path`	已從「`event.PARENT.FILE_PATH`」重新命名。如果 `event_type` 是 `NEW_PROCESS`、`NEW_DOCUMENT`、`FILE_MODIFIED`、`FILE_DELETE`、`FILE_CREATE`、`FILE_READ`、`MODULE_LOAD`、`TERMINATE_PROCESS` 或 `SENSITIVE_PROCESS_ACCESS`，且 `detect` 為空白，則適用這項規定。
`event.PARENT.FILE_PATH`	`principal.process.parent_process.file.full_path`	已從「`event.PARENT.FILE_PATH`」重新命名。如果 `event_type` 不是 `NEW_PROCESS`、`NEW_DOCUMENT`、`FILE_MODIFIED`、`FILE_DELETE`、`FILE_CREATE`、`FILE_READ`、`MODULE_LOAD`、`TERMINATE_PROCESS` 或 `SENSITIVE_PROCESS_ACCESS`，且 `detect` 為空白，則適用這項規則。
`event.PARENT.HASH`	`principal.process.file.sha256`	已從「`event.PARENT.HASH`」重新命名。如果 `event_type` 是 `NEW_PROCESS`、`NEW_DOCUMENT`、`FILE_MODIFIED`、`FILE_DELETE`、`FILE_CREATE`、`FILE_READ`、`MODULE_LOAD`、`TERMINATE_PROCESS` 或 `SENSITIVE_PROCESS_ACCESS`，且 `detect` 為空白，則適用這項規定。
`event.PARENT.HASH`	`principal.process.parent_process.file.sha256`	已從「`event.PARENT.HASH`」重新命名。如果 `event_type` 不是 `NEW_PROCESS`、`NEW_DOCUMENT`、`FILE_MODIFIED`、`FILE_DELETE`、`FILE_CREATE`、`FILE_READ`、`MODULE_LOAD`、`TERMINATE_PROCESS` 或 `SENSITIVE_PROCESS_ACCESS`，且 `detect` 為空白，則適用這項規則。
`event.PARENT_PROCESS_ID`	`principal.process.pid`	已從「`event.PARENT_PROCESS_ID`」重新命名。如果 `event_type` 是 `NEW_PROCESS`、`NEW_DOCUMENT`、`FILE_MODIFIED`、`FILE_DELETE`、`FILE_CREATE`、`FILE_READ`、`MODULE_LOAD`、`TERMINATE_PROCESS` 或 `SENSITIVE_PROCESS_ACCESS`，且 `detect` 為空白，則適用這項規定。
`event.PARENT_PROCESS_ID`	`principal.process.parent_process.pid`	已從「`event.PARENT_PROCESS_ID`」重新命名。如果 `event_type` 不是 `NEW_PROCESS`、`NEW_DOCUMENT`、`FILE_MODIFIED`、`FILE_DELETE`、`FILE_CREATE`、`FILE_READ`、`MODULE_LOAD`、`TERMINATE_PROCESS` 或 `SENSITIVE_PROCESS_ACCESS`，且 `detect` 為空白，則適用這項規則。
`event.PROCESS_ID`	`target.process.pid`	已從「`event.PROCESS_ID`」重新命名。如果 `event_type` 是 `NEW_PROCESS`、`NEW_DOCUMENT`、`FILE_MODIFIED`、`FILE_DELETE`、`FILE_CREATE`、`FILE_READ`、`MODULE_LOAD`、`TERMINATE_PROCESS` 或 `SENSITIVE_PROCESS_ACCESS`，且 `detect` 為空白，則適用這項規定。
`event.PROCESS_ID`	`principal.process.pid`	已從「`event.PROCESS_ID`」重新命名。如果 `event_type` 不是 `NEW_PROCESS`、`NEW_DOCUMENT`、`FILE_MODIFIED`、`FILE_DELETE`、`FILE_CREATE`、`FILE_READ`、`MODULE_LOAD`、`TERMINATE_PROCESS` 或 `SENSITIVE_PROCESS_ACCESS`，且 `detect` 為空白，則適用這項規則。
`event.REGISTRY_KEY`	`target.registry.registry_key`	從「`event.REGISTRY_KEY`」複製的項目。適用於 `event_type` 為 `REGISTRY_WRITE` 的情況。
`event.REGISTRY_VALUE`	`target.registry.registry_value_data`	從「`event.REGISTRY_VALUE`」複製的項目。適用於 `event_type` 為 `REGISTRY_WRITE` 的情況。
`event.SVC_DISPLAY_NAME`	`metadata.description`	從「`event.SVC_DISPLAY_NAME`」複製的項目。適用於 `event_type` 為 `SERVICE_CHANGE` 的情況。
`event.SVC_NAME`	`target.application`	從「`event.SVC_NAME`」複製的項目。適用於 `event_type` 為 `SERVICE_CHANGE` 的情況。
`event.USER_NAME`	`principal.user.userid`	已從「`event.USER_NAME`」重新命名。如果 `event_type` 不是 `NEW_PROCESS`、`NEW_DOCUMENT`、`FILE_MODIFIED`、`FILE_DELETE`、`FILE_CREATE`、`FILE_READ`、`MODULE_LOAD`、`TERMINATE_PROCESS` 或 `SENSITIVE_PROCESS_ACCESS`，且 `detect` 為空白，則適用這項規則。
`routing.event_time`	`metadata.event_timestamp`	從 `routing.event_time`剖析為時間戳記，格式為 UNIX_MS 或 ISO8601。
`routing.event_type`	`metadata.product_event_type`	從「`routing.event_type`」複製的項目。
`routing.ext_ip`	`principal.ip`	從「`routing.ext_ip`」複製的項目。如果 `routing.ext_ip` 不為空白，則適用這項規定。
`routing.hostname`	`principal.hostname`	從「`routing.hostname`」複製的項目。如果 `routing.hostname` 不為空白，則適用這項規定。
`routing.int_ip`	`principal.ip`	從「`routing.int_ip`」複製的項目。如果 `routing.int_ip` 不為空白，則適用這項規定。
`routing.parent`	`target.process.product_specific_process_id`	從 `routing.parent` 開始，並加上「LC:」前置字元。如果 `detect` 不為空白，則適用這項規定。
`routing.parent`	`principal.process.product_specific_process_id`	並在開頭加上「LC:」，如 `routing.parent` 所示。當 `event_type` 不是 `NEW_PROCESS`、`NEW_DOCUMENT`、`FILE_MODIFIED`、`FILE_DELETE`、`FILE_CREATE`、`FILE_READ`、`MODULE_LOAD`、`TERMINATE_PROCESS` 或 `SENSITIVE_PROCESS_ACCESS`，且 `routing.this` 為空白，而 `routing.parent` 不為空白時，適用這項規則。
`routing.this`	`principal.process.product_specific_process_id`	從 `routing.this` 開始，並加上「LC:」前置字元。如果 `event_type` 是 `NEW_PROCESS`、`NEW_DOCUMENT`、`FILE_MODIFIED`、`FILE_DELETE`、`FILE_CREATE`、`FILE_READ`、`MODULE_LOAD`、`TERMINATE_PROCESS` 或 `SENSITIVE_PROCESS_ACCESS`，且 `detect` 為空白，則適用這項規定。
`routing.this`	`principal.process.product_specific_process_id`	從 `routing.this` 開始，並加上「LC:」前置字元。如果 `event_type` 不是 `NEW_PROCESS`、`NEW_DOCUMENT`、`FILE_MODIFIED`、`FILE_DELETE`、`FILE_CREATE`、`FILE_READ`、`MODULE_LOAD`、`TERMINATE_PROCESS` 或 `SENSITIVE_PROCESS_ACCESS`，且 `routing.this` 不為空白，則適用這項規定。如果 `detect` 不是空白，請設為 `true`。如果 `detect` 不為空白，且 `detect_mtd.level` 是 `high`、`medium` 或 `critical` 其中之一，請設為 `true`。根據 `event_type` 設定值：`DNS_REQUEST` 為 `NETWORK_DNS`、`NEW_PROCESS` 為 `PROCESS_LAUNCH`、`EXISTING_PROCESS` 為 `PROCESS_UNCATEGORIZED`、`CONNECTED` 或 `NETWORK_CONNECTIONS` 為 `NETWORK_CONNECTION`、`REGISTRY_WRITE` 為 `REGISTRY_MODIFICATION`、`SERVICE_CHANGE` 為 `SERVICE_MODIFICATION`、`NEW_DOCUMENT` 為 `FILE_UNCATEGORIZED`、`FILE_READ` 為 `FILE_READ`、`FILE_DELETE` 為 `FILE_DELETION`、`FILE_CREATE` 為 `FILE_CREATION`、`FILE_MODIFIED` 為 `FILE_MODIFICATION`、`MODULE_LOAD` 為 `PROCESS_MODULE_LOAD`、`TERMINATE_PROCESS` 為 `PROCESS_TERMINATION`、`CLOUD_NOTIFICATION` 或 `RECEIPT` 為 `STATUS_UNCATEGORIZED`、`REMOTE_PROCESS_HANDLE` 或 `NEW_REMOTE_THREAD` 為 `PROCESS_UNCATEGORIZED`，否則為 `GENERIC_EVENT`。設為「LimaCharlie EDR」。設為「LimaCharlie」。如果 `event_type` 為 `DNS_REQUEST`，請設為「DNS」。如果 `event.ERROR` 不為空白，請設為「ERROR」。從「`event.HOST_NAME`」複製的項目。適用於 `event_type` 為 `CONNECTED` 的情況。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。