CrowdStrike Falcon Data Replicator サンプル・イベント・メッセージ

Falcon Data Replicator フィードは、継続的なデータ・ストリームではなく、定期的なデータ転送 (データ・メモリー・ダンプ) で構成されます。

以下のサンプル・イベント・メッセージは、falcon データ・レプリケーターから収集された 1 次イベントと 2 次イベントを示しています。

プライマリー・イベント

{"event_simpleName":"SensorHeartbeat","ConfigStateHash":"401382615","NetworkContainmentState":"0","aip":"10.0.0.0","ConfigIDBase":"65994763","SensorStateBitMap":"0","ConfigBuild":"1007.3.0017706.11","event_platform":"Win","ConfigurationVersion":"10","Entitlements":"15","name":"SensorHeartbeatV4","ConfigIDPlatform":"3","id":"*****-****-490e-*****-****8","ConfigIDBuild":"17706","EffectiveTransmissionClass":"0","aid":"****11****","ProvisionState":"1","timestamp":"1705904285259","cid":"56177c****11****0a0d64485abf698b5018d95f6c"}

表 1. CrowdStrike Falcon Data Replicator サンプル 1 次イベントで強調表示された値
QRadarフィールド名	強調表示されたペイロードのフィールド名
イベント ID	event_simpleName
送信元 IP	aip
デバイス時刻	timestamp

{"eid":118,"UserIp":"10.0.0.3","CustomerIdString":"56177c****11****0a0d64485abf698b5018d95f6c","EventType":"Event_ExternalApiEvent","OperationName":"logged","UTCTimestamp":1705980053283,"AuditKeyValues":[{"ValueString":"123******","Key":"APIClientID"},{"ValueString":"56177c****11****0a0d64485abf698b5018d95f6c","Key":"cid"}],"Success":true,"ExternalApiType":"Event_AuthActivityAuditEvent","Nonce":1,"ServiceName":"api_request","UserId":"","AgentIdString":"","cid":"56177c****11****0a0d64485abf698b5018d95f6c","timestamp":"2024-01-23T03:20:53Z"}

表 2. CrowdStrike Falcon Data Replicator サンプル 1 次イベントで強調表示された値
QRadarフィールド名	強調表示されたペイロードのフィールド名
イベント ID	EventType
送信元 IP	UserIp
デバイス時刻	timestamp

2 次イベント

{"GatewayIP":"172.31.80.1","GatewayMAC":"00-00-5E-00-53-00","InterfaceAlias":"Ethernet 2","InterfaceDescription":"AWS PV Network Device #0","LocalAddressIP4":"10.0.0.12","MAC":"00-00-5E-00-53-01","MACPrefix":"00-00-5E","_time":"1704503615.475","aid":"123******","cid":"123******"}

表 3. CrowdStrike Falcon Data Replicator サンプル 2 次イベントで強調表示された値
QRadarフィールド名	強調表示されたペイロードのフィールド名
イベント ID	falcondatareplicator_secondary_event(Fixed for secondary events)
送信元 IP	aip
送信元 Mac	MAC
デバイス時刻	time

注: 2 次イベントは、1 次イベントのメタデータと見なされます。フィードが 2 次イベント用に構成されている場合、イベント ID は表 3 の説明に従って解析されます。

2 次イベントのタイプ

この表には、 IBM QRadar for CrowdStrike Falcon Data Replicator でサポートされるさまざまなタイプの 2 次イベントが示されています。

表 4. CrowdStrike Falcon Data Replicator での 2 次イベントのタイプ
イベント名	説明
エイドマスター	各ホストの情報 (ホスト名、ドメイン、国、センサーのバージョンなど) が含まれます。注: このイベントは約更新されました。 5 分ごとに
管理対象資産	Falcon センサーを実行している資産のリストが含まれます。
管理対象外	Falcon によってディスカバーされた資産のうち、センサーがインストールされていない資産のリストが含まれています。
アプリケーション情報	環境内で表示されるすべてのアプリケーションの情報 (会社、ファイル名、バージョンなど) が含まれます。
userinfo	ユーザー名、ログイン時間、およびパスワードが最後に設定された日時などのユーザー情報が含まれます。