Mensaje de suceso de ejemplo CrowdStrike Falcon Data Replicator
El canal de información de Falcon Data Replicator consta de transferencias regulares de datos (volcados de memoria de datos) en lugar de corrientes de datos en curso.
El siguiente mensaje de suceso de ejemplo muestra los sucesos primarios y secundarios que se recopilan del replicador de datos de halcon.
Sucesos primarios
{"event_simpleName":"SensorHeartbeat","ConfigStateHash":"401382615","NetworkContainmentState":"0","aip":"10.0.0.0","ConfigIDBase":"65994763","SensorStateBitMap":"0","ConfigBuild":"1007.3.0017706.11","event_platform":"Win","ConfigurationVersion":"10","Entitlements":"15","name":"SensorHeartbeatV4","ConfigIDPlatform":"3","id":"*****-****-490e-*****-****8","ConfigIDBuild":"17706","EffectiveTransmissionClass":"0","aid":"****11****","ProvisionState":"1","timestamp":"1705904285259","cid":"56177c****11****0a0d64485abf698b5018d95f6c"}| QRadar Nombre del campo de | Nombre de campo de carga útil resaltado |
|---|---|
| ID de suceso | event_simpleName |
| IP de origen | aip |
| Hora de dispositivo | timestamp |
{"eid":118,"UserIp":"10.0.0.3","CustomerIdString":"56177c****11****0a0d64485abf698b5018d95f6c","EventType":"Event_ExternalApiEvent","OperationName":"logged","UTCTimestamp":1705980053283,"AuditKeyValues":[{"ValueString":"123******","Key":"APIClientID"},{"ValueString":"56177c****11****0a0d64485abf698b5018d95f6c","Key":"cid"}],"Success":true,"ExternalApiType":"Event_AuthActivityAuditEvent","Nonce":1,"ServiceName":"api_request","UserId":"","AgentIdString":"","cid":"56177c****11****0a0d64485abf698b5018d95f6c","timestamp":"2024-01-23T03:20:53Z"}| QRadar Nombre del campo de | Nombre de campo de carga útil resaltado |
|---|---|
| ID de suceso | EventType |
| IP de origen | UserIp |
| Hora de dispositivo | timestamp |
Sucesos secundarios
{"GatewayIP":"172.31.80.1","GatewayMAC":"00-00-5E-00-53-00","InterfaceAlias":"Ethernet 2","InterfaceDescription":"AWS PV Network Device #0","LocalAddressIP4":"10.0.0.12","MAC":"00-00-5E-00-53-01","MACPrefix":"00-00-5E","_time":"1704503615.475","aid":"123******","cid":"123******"}| QRadar Nombre del campo de | Nombre de campo de carga útil resaltado |
|---|---|
| ID de suceso | falcondatareplicator_secondary_event(Fixed for secondary events) |
| IP de origen | aip |
| MAC de origen | MAC |
| Hora de dispositivo | time |
Nota: Los sucesos secundarios se consideran metadatos para los sucesos primarios. Si el canal de información está configurado para sucesos secundarios, el ID de suceso se analiza tal como se describe en la tabla 3.
Tipos de sucesos secundarios
Los distintos tipos de sucesos secundarios soportados por IBM QRadar para CrowdStrike Falcon Data Replicator se proporcionan en la tabla.
| Nombre de suceso | Descripción |
|---|---|
| maestro de ayuda | Contiene información para cada host, como por ejemplo nombre de host, dominio, país y versión de sensor. Nota: Este evento se actualiza aprox. cada 5 minutos.
|
| activos gestionados | Contiene una lista de activos que ejecutan el sensor Falcon. |
| no gestionado | Contiene una lista de activos descubiertos por Falcon, que no tienen instalado el sensor. |
| info de aplicación | Contiene información para cada aplicación visible en el entorno como, por ejemplo, la empresa, el nombre de archivo y la versión. |
| información del usuario | Contiene información de usuario como, por ejemplo, el nombre de usuario, la hora de inicio de sesión y también cuándo se estableció por última vez la contraseña. |