CrowdStrike Falcon Data Replicator 샘플 이벤트 메시지
Falcon Data Replicator 피드는 진행 중인 데이터 스트림이 아닌 정기적인 데이터 전송 (데이터 메모리 덤프) 으로 구성됩니다.
다음 샘플 이벤트 메시지는 falcon 데이터 복제자에서 수집되는 1차 및 2차 이벤트를 표시합니다.
기본 이벤트
{"event_simpleName":"SensorHeartbeat","ConfigStateHash":"401382615","NetworkContainmentState":"0","aip":"10.0.0.0","ConfigIDBase":"65994763","SensorStateBitMap":"0","ConfigBuild":"1007.3.0017706.11","event_platform":"Win","ConfigurationVersion":"10","Entitlements":"15","name":"SensorHeartbeatV4","ConfigIDPlatform":"3","id":"*****-****-490e-*****-****8","ConfigIDBuild":"17706","EffectiveTransmissionClass":"0","aid":"****11****","ProvisionState":"1","timestamp":"1705904285259","cid":"56177c****11****0a0d64485abf698b5018d95f6c"}| QRadar 필드 이름 | 강조표시된 페이로드 필드 이름 |
|---|---|
| 이벤트 ID | event_simpleName |
| 소스 IP | aip |
| 디바이스 시간 | timestamp |
{"eid":118,"UserIp":"10.0.0.3","CustomerIdString":"56177c****11****0a0d64485abf698b5018d95f6c","EventType":"Event_ExternalApiEvent","OperationName":"logged","UTCTimestamp":1705980053283,"AuditKeyValues":[{"ValueString":"123******","Key":"APIClientID"},{"ValueString":"56177c****11****0a0d64485abf698b5018d95f6c","Key":"cid"}],"Success":true,"ExternalApiType":"Event_AuthActivityAuditEvent","Nonce":1,"ServiceName":"api_request","UserId":"","AgentIdString":"","cid":"56177c****11****0a0d64485abf698b5018d95f6c","timestamp":"2024-01-23T03:20:53Z"}| QRadar 필드 이름 | 강조표시된 페이로드 필드 이름 |
|---|---|
| 이벤트 ID | EventType |
| 소스 IP | UserIp |
| 디바이스 시간 | timestamp |
2차 이벤트
{"GatewayIP":"172.31.80.1","GatewayMAC":"00-00-5E-00-53-00","InterfaceAlias":"Ethernet 2","InterfaceDescription":"AWS PV Network Device #0","LocalAddressIP4":"10.0.0.12","MAC":"00-00-5E-00-53-01","MACPrefix":"00-00-5E","_time":"1704503615.475","aid":"123******","cid":"123******"}| QRadar 필드 이름 | 강조표시된 페이로드 필드 이름 |
|---|---|
| 이벤트 ID | falcondatareplicator_secondary_event(Fixed for secondary events) |
| 소스 IP | aip |
| 소스 Mac | MAC |
| 디바이스 시간 | time |
참고: 2차 이벤트는 1차 이벤트의 메타데이터로 간주됩니다. 2차 이벤트에 대해 피드가 구성된 경우 이벤트 ID는 표 3에 설명된 대로 구문 분석됩니다.
2차 이벤트의 유형
CrowdStrike Falcon Data Replicator 용 IBM QRadar 에서 지원되는 여러 가지 유형의 보조 이벤트가 표에 제공되어 있습니다.
| 이벤트 이름 | 설명 |
|---|---|
| aid_마스터 | 각 호스트에 대한 정보 (예: 호스트 이름, 도메인, 국가 및 센서 버전) 를 포함합니다. 참고: 이 이벤트는 대략 업데이트됩니다. 5분마다.
|
| 관리 자산 | Falcon 센서를 실행 중인 자산 목록을 포함합니다. |
| 관리되지 않음 | 센서가 설치되지 않은 Falcon에서 감지되는 자산 목록을 포함합니다. |
| 애플리케이션 정보 | 회사, 파일 이름 및 버전과 같은 환경에서 볼 수 있는 모든 애플리케이션에 대한 정보를 포함합니다. |
| userinfo | 사용자 이름, 로그인 시간 및 비밀번호가 마지막으로 설정된 시기와 같은 사용자 정보를 포함합니다. |