Recoger registros de CTD de Claroty
Disponible en:
SecOps de Google
SIEM
En este documento se explica cómo ingerir registros de Claroty Continuous Threat Detection (CTD) en Google Security Operations mediante Bindplane.
Antes de empezar
- Asegúrate de que tienes una instancia de Google Security Operations.
- Asegúrate de usar Windows 2016 o una versión posterior, o un host Linux con
systemd. - Si se ejecuta a través de un proxy, asegúrate de que los puertos del cortafuegos estén abiertos.
- Asegúrate de que tienes acceso con privilegios a Claroty CTD.
Obtener el archivo de autenticación de ingestión de Google SecOps
- Inicia sesión en la consola de Google SecOps.
- Ve a Configuración de SIEM > Agentes de recogida.
- Descarga el archivo de autenticación de ingestión. Guarda el archivo de forma segura en el sistema en el que se instalará Bindplane.
Obtener el ID de cliente de Google SecOps
- Inicia sesión en la consola de Google SecOps.
- Ve a Configuración de SIEM > Perfil.
- Copia y guarda el ID de cliente de la sección Detalles de la organización.
Instalar el agente de Bindplane
Instalación de ventanas
- Abre el símbolo del sistema o PowerShell como administrador.
Ejecuta el siguiente comando:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Instalación de Linux
- Abre un terminal con privilegios de superusuario o sudo.
Ejecuta el siguiente comando:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Recursos de instalación adicionales
- Para ver otras opciones de instalación, consulta esta guía de instalación.
Configurar el agente de BindPlane para ingerir Syslog y enviarlo a Google SecOps
Accede al archivo de configuración:
- Busca el archivo
config.yaml. Normalmente, se encuentra en el directorio/etc/bindplane-agent/en Linux o en el directorio de instalación en Windows. - Abre el archivo con un editor de texto (por ejemplo,
nano,vio Bloc de notas).
- Busca el archivo
Edita el archivo
config.yamlde la siguiente manera:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: CLAROTY_CTD raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labelsSustituye el puerto y la dirección IP según sea necesario en tu infraestructura.
Sustituye
<customer_id>por el ID de cliente real.Actualiza
/path/to/ingestion-authentication-file.jsona la ruta en la que se guardó el archivo de autenticación en la sección Obtener el archivo de autenticación de ingestión de Google SecOps.
Reinicia el agente de Bindplane para aplicar los cambios
Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:
sudo systemctl restart bindplane-agentPara reiniciar el agente de Bindplane en Windows, puedes usar la consola Servicios o introducir el siguiente comando:
net stop BindPlaneAgent && net start BindPlaneAgent
Configurar Syslog en Claroty Continuous Threat Detection (CTD)
- Inicia sesión en la interfaz web de Claroty CTD.
- Ve a Menú > Integraciones > Syslog.
- Repita los siguientes pasos para cada tipo de contenido de mensaje de syslog:
- Alertas
- Eventos
- Monitorización de la salud
- Estadísticas
- Registros de actividad
- Vulnerabilidades
- Haz clic en + para añadir una configuración.
- En el menú Contenido del mensaje, selecciona el contenido que quieras exportar.
- Proporcione los siguientes detalles de configuración:
- Categoría: selecciona Todas.
- Tipo: selecciona Seleccionar todo.
- Formato: seleccione CEF (Latest) (CEF [más reciente]).
- URL del sistema: no actualice la URL ni la IP del sistema, a menos que esté detrás de un servidor proxy.
- Enviar a: selecciona Servidor Syslog externo (por ejemplo, sistemas SIEM o SOAR).
- Proveedor: selecciona Otro.
- IP del servidor Syslog: introduce la dirección IP del agente de Bindplane.
- Puerto: introduce el puerto del agente de Bindplane (por ejemplo,
514). - Protocolo: selecciona UDP (otras opciones son TCP, TLS o mTLS, según tu configuración de Bindplane).
- Haz clic en Guardar.
Tabla de asignación de UDM
| Campo de registro | Asignación de UDM | Lógica |
|---|---|---|
| CtdRealTime | metadata.event_timestamp | Se analiza con MMM dd yyyy HH:mm:ss de CtdRealTime y se usa como marca de tiempo del evento. |
| CtdTimeGenerated | metadata.event_timestamp | Si CtdRealTime está vacío, se analiza con MMM dd yyyy HH:mm:ss de CtdTimeGenerated para definir la marca de tiempo del evento. |
| CtdMessage | metadata.description | Define metadata.description a partir del campo CtdMessage. |
| CtdMessage | security_result.description | Define security_result.description a partir del campo CtdMessage cuando procede. |
| Puerto (de CtdMessage KV) | principal.port | Se ha extraído de la clave Port de CtdMessage, se ha convertido en un número entero y se ha definido como principal.port. |
| Categoría (de CtdMessage KV) | security_result.detection_fields (Category_label) | Extraído de CtdMessage como clave Category y combinado en campos de detección. |
| Acceso (desde CtdMessage KV) | security_result.detection_fields (Access_label) | Extraído de CtdMessage como clave Access y combinado en campos de detección. |
| CtdSite | principal.hostname | Asigna CtdSite a principal.hostname. |
| CtdSite | principal.asset.hostname | Asigna CtdSite a principal.asset.hostname. |
| CtdCpu | principal.resource.attribute.labels (CtdCpu_label) | Crea una etiqueta con la clave CtdCpu usando el valor de CtdCpu y la combina con principal.resource.attribute.labels. |
| CtdMem | principal.resource.attribute.labels (CtdMem_label) | Crea una etiqueta con la clave CtdMem usando el valor de CtdMem y la combina con principal.resource.attribute.labels. |
| CtdUsedOptIcsranger | principal.resource.attribute.labels (CtdUsedOptIcsranger_label) | Crea una etiqueta a partir de CtdUsedOptIcsranger y la combina. |
| CtdUsedVar | principal.resource.attribute.labels (CtdUsedVar_label) | Crea una etiqueta a partir de CtdUsedVar y la combina. |
| CtdUsedTmp | principal.resource.attribute.labels (CtdUsedTmp_label) | Crea una etiqueta a partir de CtdUsedTmp y la combina. |
| CtdUsedEtc | principal.resource.attribute.labels (CtdUsedEtc_label) | Crea una etiqueta a partir de CtdUsedEtc y la combina. |
| CtdBusyFd | principal.resource.attribute.labels (CtdBusyFd_label) | Crea una etiqueta a partir de CtdBusyFd y la combina. |
| CtdBusySda | principal.resource.attribute.labels (CtdBusySda_label) | Crea una etiqueta a partir de CtdBusySda y la combina. |
| CtdBusySdaA | principal.resource.attribute.labels (CtdBusySdaA_label) | Crea una etiqueta a partir de CtdBusySdaA y la combina. |
| CtdBusySdaB | principal.resource.attribute.labels (CtdBusySdaB_label) | Crea una etiqueta a partir de CtdBusySdaB y la combina. |
| CtdBusySr | principal.resource.attribute.labels (CtdBusySr_label) | Crea una etiqueta a partir de CtdBusySr y la combina. |
| CtdBusyDm | principal.resource.attribute.labels (CtdBusyDm_label) | Crea una etiqueta a partir de CtdBusyDm y la combina. |
| CtdBusyDmA | principal.resource.attribute.labels (CtdBusyDmA_label) | Crea una etiqueta a partir de CtdBusyDmA y la combina. |
| CtdQuPreprocessingNg | principal.resource.attribute.labels (CtdQuPreprocessingNg_label) | Crea una etiqueta a partir de CtdQuPreprocessingNg y la combina. |
| CtdQuBaselineTracker | principal.resource.attribute.labels (CtdQuBaselineTracker_label) | Crea una etiqueta a partir de CtdQuBaselineTracker y la combina. |
| CtdQuBridge | principal.resource.attribute.labels (CtdQuBridge_label) | Crea una etiqueta a partir de CtdQuBridge y la combina. |
| CtdQuCentralBridge | principal.resource.attribute.labels (CtdQuCentralBridge_label) | Crea una etiqueta a partir de CtdQuCentralBridge y la combina. |
| CtdQuConcluding | principal.resource.attribute.labels (CtdQuConcluding_label) | Crea una etiqueta a partir de CtdQuConcluding y la combina. |
| CtdQuDiodeFeeder | principal.resource.attribute.labels (CtdQuDiodeFeeder_label) | Crea una etiqueta a partir de CtdQuDiodeFeeder y la combina. |
| CtdQuDissector | principal.resource.attribute.labels (CtdQuDissector_label) | Crea una etiqueta a partir de CtdQuDissector y la combina. |
| CtdQuDissectorA | principal.resource.attribute.labels (CtdQuDissectorA_label) | Crea una etiqueta a partir de CtdQuDissectorA y la combina. |
| CtdQuDissectorNg | principal.resource.attribute.labels (CtdQuDissectorNg_label) | Crea una etiqueta a partir de CtdQuDissectorNg y la combina. |
| CtdQuIndicatorService | principal.resource.attribute.labels (CtdQuIndicatorService_label) | Crea una etiqueta a partir de CtdQuIndicatorService y la combina. |
| CtdQuLeecher | principal.resource.attribute.labels (CtdQuLeecher_label) | Crea una etiqueta a partir de CtdQuLeecher y la combina. |
| CtdQuMonitor | principal.resource.attribute.labels (CtdQuMonitor_label) | Crea una etiqueta a partir de CtdQuMonitor y la combina. |
| CtdQuNetworkStatistics | principal.resource.attribute.labels (CtdQuNetworkStatistics_label) | Crea una etiqueta a partir de CtdQuNetworkStatistics y la combina. |
| CtdQuPackets | principal.resource.attribute.labels (CtdQuPackets_label) | Crea una etiqueta a partir de CtdQuPackets y la combina. |
| CtdQuPacketsErrors | principal.resource.attribute.labels (CtdQuPacketsErrors_label) | Crea una etiqueta a partir de CtdQuPacketsErrors y la combina. |
| CtdQuPreprocessing | principal.resource.attribute.labels (CtdQuPreprocessing_label) | Crea una etiqueta a partir de CtdQuPreprocessing y la combina. |
| CtdQuPriorityProcessing | principal.resource.attribute.labels (CtdQuPriorityProcessing_label) | Crea una etiqueta a partir de CtdQuPriorityProcessing y la combina. |
| CtdQuProcessing | principal.resource.attribute.labels (CtdQuProcessing_label) | Crea una etiqueta a partir de CtdQuProcessing y la combina. |
| CtdQuProcessingHigh | principal.resource.attribute.labels (CtdQuProcessingHigh_label) | Crea una etiqueta a partir de CtdQuProcessingHigh y la combina. |
| CtdQuZordonUpdates | principal.resource.attribute.labels (CtdQuZordonUpdates_label) | Crea una etiqueta a partir de CtdQuZordonUpdates y la combina. |
| CtdQuStatisticsNg | principal.resource.attribute.labels (CtdQuStatisticsNg_label) | Crea una etiqueta a partir de CtdQuStatisticsNg y la combina. |
| CtdQueuePurge | principal.resource.attribute.labels (CtdQueuePurge_label) | Crea una etiqueta a partir de CtdQueuePurge y la combina. |
| CtdQuSyslogAlerts | principal.resource.attribute.labels (CtdQuSyslogAlerts_label) | Crea una etiqueta a partir de CtdQuSyslogAlerts y la combina. |
| CtdQuSyslogEvents | principal.resource.attribute.labels (CtdQuSyslogEvents_label) | Crea una etiqueta a partir de CtdQuSyslogEvents y la combina. |
| CtdQuSyslogInsights | principal.resource.attribute.labels (CtdQuSyslogInsights_label) | Crea una etiqueta a partir de CtdQuSyslogInsights y la combina. |
| CtdRdDissector | principal.resource.attribute.labels (CtdRdDissector_label) | Crea una etiqueta a partir de CtdRdDissector y la combina. |
| CtdRdDissectorA | principal.resource.attribute.labels (CtdRdDissectorA_label) | Crea una etiqueta a partir de CtdRdDissectorA y la combina. |
| CtdRdDissectorNg | principal.resource.attribute.labels (CtdRdDissectorNg_label) | Crea una etiqueta a partir de CtdRdDissectorNg y la combina. |
| CtdRdPreprocessing | principal.resource.attribute.labels (CtdRdPreprocessing_label) | Crea una etiqueta a partir de CtdRdPreprocessing y la combina. |
| CtdRdPreprocessingNg | principal.resource.attribute.labels (CtdRdPreprocessingNg_label) | Crea una etiqueta a partir de CtdRdPreprocessingNg y la combina. |
| CtdSvcMariaDb | principal.resource.attribute.labels (CtdSvcMariaDb_label) | Crea una etiqueta a partir de CtdSvcMariaDb y la combina. |
| CtdSvcPostgres | principal.resource.attribute.labels (CtdSvcPostgres_label) | Crea una etiqueta a partir de CtdSvcPostgres y la combina. |
| CtdSvcRedis | principal.resource.attribute.labels (CtdSvcRedis_label) | Crea una etiqueta a partir de CtdSvcRedis y la combina. |
| CtdSvcRabbitMq | principal.resource.attribute.labels (CtdSvcRabbitMq_label) | Crea una etiqueta a partir de CtdSvcRabbitMq y la combina. |
| CtdSvcIcsranger | principal.resource.attribute.labels (CtdSvcIcsranger_label) | Crea una etiqueta a partir de CtdSvcIcsranger y la combina. |
| CtdSvcWatchdog | principal.resource.attribute.labels (CtdSvcWatchdog_label) | Crea una etiqueta a partir de CtdSvcWatchdog y la combina. |
| CtdSvcFirewalld | principal.resource.attribute.labels (CtdSvcFirewalld_label) | Crea una etiqueta a partir de CtdSvcFirewalld y la combina. |
| CtdSvcNetunnel | principal.resource.attribute.labels (CtdSvcNetunnel_label) | Crea una etiqueta a partir de CtdSvcNetunnel y la combina. |
| CtdSvcJwthenticator | principal.resource.attribute.labels (CtdSvcJwthenticator_label) | Crea una etiqueta a partir de CtdSvcJwthenticator y la combina. |
| CtdSvcDocker | principal.resource.attribute.labels (CtdSvcDocker_label) | Crea una etiqueta a partir de CtdSvcDocker y la combina. |
| CtdExceptions | principal.resource.attribute.labels (CtdExceptions_label) | Crea una etiqueta a partir de CtdExceptions y la combina. |
| CtdInputPacketDrops | principal.resource.attribute.labels (CtdInputPacketDrops_label) | Crea una etiqueta a partir de CtdInputPacketDrops y la combina. |
| CtdOutputPacketDrops | principal.resource.attribute.labels (CtdOutputPacketDrops_label) | Crea una etiqueta a partir de CtdOutputPacketDrops y la combina. |
| CtdFullOutputPacketDrops | principal.resource.attribute.labels (CtdFullOutputPacketDrops_label) | Crea una etiqueta a partir de CtdFullOutputPacketDrops y la combina. |
| CtdDissectorNgPacketDrops | principal.resource.attribute.labels (CtdDissectorNgPacketDrops_label) | Crea una etiqueta a partir de CtdDissectorNgPacketDrops y la combina. |
| CtdTagArtifactsDropsPreprocessor | principal.resource.attribute.labels (CtdTagArtifactsDropsPreprocessor_label) | Crea una etiqueta a partir de CtdTagArtifactsDropsPreprocessor y la combina. |
| CtdTagArtifactsDropsPreprocessorSum | principal.resource.attribute.labels (CtdTagArtifactsDropsPreprocessorSum_label) | Crea una etiqueta a partir de CtdTagArtifactsDropsPreprocessorSum y la combina. |
| CtdTagArtifactsDropsProcessor | principal.resource.attribute.labels (CtdTagArtifactsDropsProcessor_label) | Crea una etiqueta a partir de CtdTagArtifactsDropsProcessor y la combina. |
| CtdTagArtifactsDropsProcessorSum | principal.resource.attribute.labels (CtdTagArtifactsDropsProcessorSum_label) | Crea una etiqueta a partir de CtdTagArtifactsDropsProcessorSum y la combina. |
| CtdTagArtifactsDropsSniffer | principal.resource.attribute.labels (CtdTagArtifactsDropsSniffer_label) | Crea una etiqueta a partir de CtdTagArtifactsDropsSniffer y la combina. |
| CtdTagArtifactsDropsSnifferSum | principal.resource.attribute.labels (CtdTagArtifactsDropsSnifferSum_label) | Crea una etiqueta a partir de CtdTagArtifactsDropsSnifferSum y la combina. |
| CtdTagArtifactsDropsDissectorPypy | principal.resource.attribute.labels (CtdTagArtifactsDropsDissectorPypy_label) | Crea una etiqueta a partir de CtdTagArtifactsDropsDissectorPypy y la combina. |
| CtdTagArtifactsDropsDissectorPypySum | principal.resource.attribute.labels (CtdTagArtifactsDropsDissectorPypySum_label) | Crea una etiqueta a partir de CtdTagArtifactsDropsDissectorPypySum y la combina. |
| CtdCapsaverFolderCleanup | principal.resource.attribute.labels (CtdCapsaverFolderCleanup_label) | Crea una etiqueta a partir de CtdCapsaverFolderCleanup y la combina. |
| CtdCapsaverUtilzationTest | principal.resource.attribute.labels (CtdCapsaverUtilzationTest_label) | Crea una etiqueta a partir de CtdCapsaverUtilzationTest y la combina. |
| CtdYaraScannerTest | principal.resource.attribute.labels (CtdYaraScannerTest_label) | Crea una etiqueta a partir de CtdYaraScannerTest y la combina. |
| CtdWrkrWorkersStop | principal.resource.attribute.labels (CtdWrkrWorkersStop_label) | Crea una etiqueta a partir de CtdWrkrWorkersStop y la combina. |
| CtdWrkrWorkersRestart | principal.resource.attribute.labels (CtdWrkrWorkersRestart_label) | Crea una etiqueta a partir de CtdWrkrWorkersRestart y la combina. |
| CtdWrkrActiveExecuter | principal.resource.attribute.labels (CtdWrkrActiveExecuter_label) | Crea una etiqueta a partir de CtdWrkrActiveExecuter y la combina. |
| CtdWrkrSensor | principal.resource.attribute.labels (CtdWrkrSensor_label) | Crea una etiqueta a partir de CtdWrkrSensor y la combina. |
| CtdWrkrAuthentication | principal.resource.attribute.labels (CtdWrkrAuthentication_label) | Crea una etiqueta a partir de CtdWrkrAuthentication y la combina. |
| CtdWrkrMitre | principal.resource.attribute.labels (CtdWrkrMitre_label) | Crea una etiqueta a partir de CtdWrkrMitre y la combina. |
| CtdWrkrNotifications | principal.resource.attribute.labels (CtdWrkrNotifications_label) | Crea una etiqueta a partir de CtdWrkrNotifications y la combina. |
| CtdWrkrProcessor | principal.resource.attribute.labels (CtdWrkrProcessor_label) | Crea una etiqueta a partir de CtdWrkrProcessor y la combina. |
| CtdWrkrCloudAgent | principal.resource.attribute.labels (CtdWrkrCloudAgent_label) | Crea una etiqueta a partir de CtdWrkrCloudAgent y la combina. |
| CtdWrkrCloudClient | principal.resource.attribute.labels (CtdWrkrCloudClient_label) | Crea una etiqueta a partir de CtdWrkrCloudClient y la combina. |
| CtdWrkrScheduler | principal.resource.attribute.labels (CtdWrkrScheduler_label) | Crea una etiqueta a partir de CtdWrkrScheduler y la combina. |
| CtdWrkrknownThreats | principal.resource.attribute.labels (CtdWrkrknownThreats_label) | Crea una etiqueta a partir de CtdWrkrknownThreats y la combina. |
| CtdWrkrCacher | principal.resource.attribute.labels (CtdWrkrCacher_label) | Crea una etiqueta a partir de CtdWrkrCacher y la combina. |
| CtdWrkrInsights | principal.resource.attribute.labels (CtdWrkrInsights_label) | Crea una etiqueta a partir de CtdWrkrInsights y la combina. |
| CtdWrkrActive | principal.resource.attribute.labels (CtdWrkrActive_label) | Crea una etiqueta a partir de CtdWrkrActive y la combina. |
| CtdWrkrEnricher | principal.resource.attribute.labels (CtdWrkrEnricher_label) | Crea una etiqueta a partir de CtdWrkrEnricher y la combina. |
| CtdWrkrIndicators | principal.resource.attribute.labels (CtdWrkrIndicators_label) | Crea una etiqueta a partir de CtdWrkrIndicators y la combina. |
| CtdWrkrIndicatorsApi | principal.resource.attribute.labels (CtdWrkrIndicatorsApi_label) | Crea una etiqueta a partir de CtdWrkrIndicatorsApi y la combina. |
| CtdWrkrConcluder | principal.resource.attribute.labels (CtdWrkrConcluder_label) | Crea una etiqueta a partir de CtdWrkrConcluder y la combina. |
| CtdWrkrPreprocessor | principal.resource.attribute.labels (CtdWrkrPreprocessor_label) | Crea una etiqueta a partir de CtdWrkrPreprocessor y la combina. |
| CtdWrkrLeecher | principal.resource.attribute.labels (CtdWrkrLeecher_label) | Crea una etiqueta a partir de CtdWrkrLeecher y la combina. |
| CtdWrkrSyncManager | principal.resource.attribute.labels (CtdWrkrSyncManager_label) | Crea una etiqueta a partir de CtdWrkrSyncManager y la combina. |
| CtdWrkrBridge | principal.resource.attribute.labels (CtdWrkrBridge_label) | Crea una etiqueta a partir de CtdWrkrBridge y la combina. |
| CtdWrkrWebRanger | principal.resource.attribute.labels (CtdWrkrWebRanger_label) | Crea una etiqueta a partir de CtdWrkrWebRanger y la combina. |
| CtdWrkrWebWs | principal.resource.attribute.labels (CtdWrkrWebWs_label) | Crea una etiqueta a partir de CtdWrkrWebWs y la combina. |
| CtdWrkrWebAuth | principal.resource.attribute.labels (CtdWrkrWebAuth_label) | Crea una etiqueta a partir de CtdWrkrWebAuth y la combina. |
| CtdWrkrWebNginx | principal.resource.attribute.labels (CtdWrkrWebNginx_label) | Crea una etiqueta a partir de CtdWrkrWebNginx y la combina. |
| CtdWrkrConfigurator | principal.resource.attribute.labels (CtdWrkrConfigurator_label) | Crea una etiqueta a partir de CtdWrkrConfigurator y la combina. |
| CtdWrkrConfiguratorNginx | principal.resource.attribute.labels (CtdWrkrConfiguratorNginx_label) | Crea una etiqueta a partir de CtdWrkrConfiguratorNginx y la combina. |
| CtdWrkrCapsaver | principal.resource.attribute.labels (CtdWrkrCapsaver_label) | Crea una etiqueta a partir de CtdWrkrCapsaver y la combina. |
| CtdWrkrBaselineTracker | principal.resource.attribute.labels (CtdWrkrBaselineTracker_label) | Crea una etiqueta a partir de CtdWrkrBaselineTracker y la combina. |
| CtdWrkrDissector | principal.resource.attribute.labels (CtdWrkrDissector_label) | Crea una etiqueta a partir de CtdWrkrDissector y la combina. |
| CtdWrkrDissectorA | principal.resource.attribute.labels (CtdWrkrDissectorA_label) | Crea una etiqueta a partir de CtdWrkrDissectorA y la combina. |
| CtdWrkrDissectorNg | principal.resource.attribute.labels (CtdWrkrDissectorNg_label) | Crea una etiqueta a partir de CtdWrkrDissectorNg y la combina. |
| CtdWrkrPreprocessing | principal.resource.attribute.labels (CtdWrkrPreprocessing_label) | Crea una etiqueta a partir de CtdWrkrPreprocessing y la combina. |
| CtdWrkrPreprocessingNg | principal.resource.attribute.labels (CtdWrkrPreprocessingNg_label) | Crea una etiqueta a partir de CtdWrkrPreprocessingNg y la combina. |
| CtdWrkrStatisticsNg | principal.resource.attribute.labels (CtdWrkrStatisticsNg_label) | Crea una etiqueta a partir de CtdWrkrStatisticsNg y la combina. |
| CtdWrkrSyslogAlerts | principal.resource.attribute.labels (CtdWrkrSyslogAlerts_label) | Crea una etiqueta a partir de CtdWrkrSyslogAlerts y la combina. |
| CtdWrkrSyslogEvents | principal.resource.attribute.labels (CtdWrkrSyslogEvents_label) | Crea una etiqueta a partir de CtdWrkrSyslogEvents y la combina. |
| CtdWrkrSyslogInsights | principal.resource.attribute.labels (CtdWrkrSyslogInsights_label) | Crea una etiqueta a partir de CtdWrkrSyslogInsights y la combina. |
| CtdWrkrRdDissector | principal.resource.attribute.labels (CtdWrkrRdDissector_label) | Crea una etiqueta a partir de CtdWrkrRdDissector y la combina. |
| CtdWrkrRdDissectorA | principal.resource.attribute.labels (CtdWrkrRdDissectorA_label) | Crea una etiqueta a partir de CtdWrkrRdDissectorA y la combina. |
| CtdSensorName | principal.resource.attribute.labels (CtdSensorName_label) | Crea una etiqueta a partir de CtdSensorName y la combina. |
| CtdCtrlSite | principal.resource.attribute.labels (CtdCtrlSite_label) | Crea una etiqueta a partir de CtdCtrlSite y la combina. |
| CtdLoopCallDurationBaselineTrackerWrkerHandleNetworkStatistics | principal.resource.attribute.labels (CtdLoopCallDurationBaselineTrackerWrkerHandleNetworkStatistics_label) | Crea una etiqueta a partir de CtdLoopCallDurationBaselineTrackerWrkerHandleNetworkStatistics y la combina. |
| CtdDissectionCoverage | principal.resource.attribute.labels (CtdDissectionCoverage_label) | Crea una etiqueta a partir de CtdDissectionCoverage y la combina. |
| CtdDissectionEfficiencyModbus | principal.resource.attribute.labels (CtdDissectionEfficiencyModbus_label) | Crea una etiqueta a partir de CtdDissectionEfficiencyModbus y la combina. |
| CtdDissectionEfficiencySmb | principal.resource.attribute.labels (CtdDissectionEfficiencySmb_label) | Crea una etiqueta a partir de CtdDissectionEfficiencySmb y la combina. |
| CtdDissectionEfficiencyDcerpc | principal.resource.attribute.labels (CtdDissectionEfficiencyDcerpc_label) | Crea una etiqueta a partir de CtdDissectionEfficiencyDcerpc y la combina. |
| CtdDissectionEfficiencyZabbix | principal.resource.attribute.labels (CtdDissectionEfficiencyZabbix_label) | Crea una etiqueta a partir de CtdDissectionEfficiencyZabbix y la combina. |
| CtdDissectionEfficiencyFactorytalkRna | principal.resource.attribute.labels (CtdDissectionEfficiencyFactorytalkRna_label) | Crea una etiqueta a partir de CtdDissectionEfficiencyFactorytalkRna y la combina. |
| CtdDissectionEfficiencySsl | principal.resource.attribute.labels (CtdDissectionEfficiencySsl_label) | Crea una etiqueta a partir de CtdDissectionEfficiencySsl y la combina. |
| CtdDissectionEfficiencyVrrpProtocolMatcher | principal.resource.attribute.labels (CtdDissectionEfficiencyVrrpProtocolMatcher_label) | Crea una etiqueta a partir de CtdDissectionEfficiencyVrrpProtocolMatcher y la combina. |
| CtdDissectionEfficiencyRdp | principal.resource.attribute.labels (CtdDissectionEfficiencyRdp_label) | Crea una etiqueta a partir de CtdDissectionEfficiencyRdp y la combina. |
| CtdDissectionEfficiencySsh | principal.resource.attribute.labels (CtdDissectionEfficiencySsh_label) | Crea una etiqueta a partir de CtdDissectionEfficiencySsh y la combina. |
| CtdDissectionEfficiencyHttp | principal.resource.attribute.labels (CtdDissectionEfficiencyHttp_label) | Crea una etiqueta a partir de CtdDissectionEfficiencyHttp y la combina. |
| CtdDissectionEfficiencyTcpHttp | principal.resource.attribute.labels (CtdDissectionEfficiencyTcpHttp_label) | Crea una etiqueta a partir de CtdDissectionEfficiencyTcpHttp y la combina. |
| CtdDissectionEfficiencyLdap | principal.resource.attribute.labels (CtdDissectionEfficiencyLdap_label) | Crea una etiqueta a partir de CtdDissectionEfficiencyLdap y la combina. |
| CtdDissectionEfficiencyJrmi | principal.resource.attribute.labels (CtdDissectionEfficiencyJrmi_label) | Crea una etiqueta a partir de CtdDissectionEfficiencyJrmi y la combina. |
| CtdDissectionEfficiencyGeIfix | principal.resource.attribute.labels (CtdDissectionEfficiencyGeIfix_label) | Crea una etiqueta a partir de CtdDissectionEfficiencyGeIfix y la combina. |
| CtdDissectionEfficiencyLlc | principal.resource.attribute.labels (CtdDissectionEfficiencyLlc_label) | Crea una etiqueta a partir de CtdDissectionEfficiencyLlc y la combina. |
| CtdDissectionEfficiencyMatrikonNopc | principal.resource.attribute.labels (CtdDissectionEfficiencyMatrikonNopc_label) | Crea una etiqueta a partir de CtdDissectionEfficiencyMatrikonNopc y la combina. |
| CtdDissectionEfficiencyVnc | principal.resource.attribute.labels (CtdDissectionEfficiencyVnc_label) | Crea una etiqueta a partir de CtdDissectionEfficiencyVnc y la combina. |
| CtdUnhandledEvents | principal.resource.attribute.labels (CtdUnhandledEvents_label) | Crea una etiqueta a partir de CtdUnhandledEvents y la combina. |
| CtdConcludeTime | principal.resource.attribute.labels (CtdConcludeTime_label) | Crea una etiqueta a partir de CtdConcludeTime y la combina. |
| CtdMysqlQuery | principal.resource.attribute.labels (CtdMysqlQuery_label) | Crea una etiqueta a partir de CtdMysqlQuery y la combina. |
| CtdPostgresQuery | principal.resource.attribute.labels (CtdPostgresQuery_label) | Crea una etiqueta a partir de CtdPostgresQuery y la combina. |
| CtdPsqlIdleSessions | principal.resource.attribute.labels (CtdPsqlIdleSessions_label) | Crea una etiqueta a partir de CtdPsqlIdleSessions y la combina. |
| CtdPsqlIdleInTransactionSessions | principal.resource.attribute.labels (CtdPsqlIdleInTransactionSessions_label) | Crea una etiqueta a partir de CtdPsqlIdleInTransactionSessions y la combina. |
| CtdSnifferStatus | principal.resource.attribute.labels (CtdSnifferStatus_label) | Crea una etiqueta a partir de CtdSnifferStatus y la combina. |
| CtdLoopCallDurationPollObjects | principal.resource.attribute.labels (CtdLoopCallDurationPollObjects_label) | Crea una etiqueta a partir de CtdLoopCallDurationPollObjects y la combina. |
| CtdLoopCallDurationCloudClientWrkrBaseRunCloudConnected | principal.resource.attribute.labels (CtdLoopCallDurationCloudClientWrkrBaseRunCloudConnected_label) | Crea una etiqueta a partir de CtdLoopCallDurationCloudClientWrkrBaseRunCloudConnected y la combina. |
| CtdSnifferStatusCentral | principal.resource.attribute.labels (CtdSnifferStatusCentral_label) | Crea una etiqueta a partir de CtdSnifferStatusCentral y la combina. |
| CtdSnifferStatusSite | principal.resource.attribute.labels (CtdSnifferStatusSite_label) | Crea una etiqueta a partir de CtdSnifferStatusSite y la combina. |
| CtdWrkrMailer | principal.resource.attribute.labels (CtdWrkrMailer_label) | Crea una etiqueta a partir de CtdWrkrMailer y la combina. |
| CtdDroppedEntities | principal.resource.attribute.labels (CtdDroppedEntities_label) | Crea una etiqueta a partir de CtdDroppedEntities y la combina. |
| externalId | metadata.product_log_id | Asigna externalId a metadata.product_log_id. |
| proto | protocol_number_src | Convierte el proto en mayúsculas y lo asigna a protocol_number_src para buscarlo. |
| protocol_number_src | ip_protocol_out; app_protocol_out | Inicializa ip_protocol_out en UNKNOWN_IP_PROTOCOL y app_protocol_out en UNKNOWN_APPLICATION_PROTOCOL. A continuación, actualiza los valores en función de la búsqueda. |
| ip_protocol_out | network.ip_protocol | Define network.ip_protocol a partir de ip_protocol_out. |
| app_protocol_out | network.application_protocol | Define network.application_protocol a partir de app_protocol_out. |
| CtdExternalId | metadata.product_log_id | Sobrescribe metadata.product_log_id con CtdExternalId si se proporciona. |
| CtdDeviceExternalId | principal.resource.attribute.labels (ctd_device_label) | Crea una etiqueta a partir de CtdDeviceExternalId (con el prefijo CtdDeviceExternalId) y la combina. |
(si has_principal_device es true y ctdeventtype = Login) |
security_result.category; security_result.action | En el caso de los eventos de inicio de sesión, asigna el valor AUTH_VIOLATION a security_result.category y el valor BLOCK a action. |
(si has_principal_device es true y ctdeventtype = Memory Reset) |
security_result.category | Asigna el valor SOFTWARE_SUSPICIOUS a security_result.category. |
(if target_machine_id_present is true, has_principal_device is true, and ctdeventtype in [Known Threat Alert, Known Threat Event, Man-in-the-Middle Attack, Suspicious Activity]) |
security_result.category | Asigna el valor NETWORK_MALICIOUS a security_result.category. |
(si target_machine_id_present es true, has_principal_device es true y ctdeventtype = Suspicious File Transfer) |
security_result.category | Asigna el valor NETWORK_SUSPICIOUS a security_result.category. |
(si target_machine_id_present es true, has_principal_device es true y ctdeventtype = Denial Of Service) |
security_result.category | Asigna el valor NETWORK_DENIAL_OF_SERVICE a security_result.category. |
(if has_principal_device is true and ctdeventtype in [Host Scan, Port Scan]) |
security_result.category | Asigna el valor NETWORK_RECON a security_result.category. |
(si target_machine_id_present es true, has_principal_device es true y ctdeventtype está en [Policy Rule Match, Policy Violation Alert, Policy Violation]) |
security_result.category | Asigna el valor POLICY_VIOLATION a security_result.category. |
| (predeterminado si has_principal_device es true) | security_result.category | Asigna el valor NETWORK_SUSPICIOUS a security_result.category de forma predeterminada. |
| Derived security_result_category | security_result.category | Combina la categoría de seguridad derivada en security_result.category. |
| Derived security_result_action | security_result.action | Combina la acción de seguridad derivada en security_result.action (si se ha definido). |
cs6 (con cs6Label CTDlink) |
metadata.url_back_to_product; security_result.url_back_to_product | Define los campos de URL de cs6 para crear enlaces a los detalles del producto. |
cs1 (con cs1Label SourceAssetType) |
principal.asset.category; principal.asset.type | Define principal.asset.category a partir de cs1 y determina principal.asset.type en función de su valor. |
cs2 (con cs2Label DestAssetType) |
target.asset.category; target.asset.type | Define target.asset.category a partir de cs2 y determina target.asset.type en función de su valor. |
cfp1 (con cfp1Label CVEScore) |
vulns.vulnerabilities.cvss_base_score | Define vulns.vulnerabilities.cvss_base_score (convertido a float) y marca vul_fields_present como true. |
cs6 (con cs6Label CVE) |
vulns.vulnerabilities.cve_id | Define vulns.vulnerabilities.cve_id y marca vul_fields_present como true. |
cn1 (con cn1Label IndicatorScore) |
security_result.confidence_score | Extrae la puntuación del indicador de cn1, la convierte en un número de coma flotante y la asigna como puntuación de confianza. |
| ruta de archivo | about.file.full_path; security_result.about.file.full_path | Asigna la ruta del archivo a about.file.full_path y security_result.about.file.full_path. |
(if eventclass = HealthCheck and cs1Label = Site) |
intermediary.location.name | Define intermediary.location.name a partir de cs1 cuando se usa como identificador de sitio. |
| cn1 (con cn1Label) | additional.fields (cn1_label) | Crea una etiqueta de campo adicional a partir de cn1 y la combina en additional.fields. |
| cs1 (con cs1Label) | additional.fields (cs1_label) | Crea una etiqueta de campo adicional a partir de cs1 y la combina en additional.fields. |
| cs2 (con cs2Label) | additional.fields (cs2_label) | Crea una etiqueta de campo adicional a partir de cs2 y la combina en additional.fields. |
| cs3 (con cs3Label) | additional.fields (cs3_label) | Crea una etiqueta de campo adicional a partir de cs3 y la combina. |
| cs4 (con cs4Label) | additional.fields (cs4_label) | Crea una etiqueta de campo adicional a partir de cs4 y la combina. |
| cs6 (con cs6Label) | additional.fields (cs6_label) | Crea una etiqueta de campo adicional a partir de cs6 y la combina. |
| (para eventos de estadísticas basados en event_name y vul_fields_present) | event_type | Deriva el event_type de los eventos de estadísticas (por ejemplo, SCAN_VULN_HOST, STATUS_UNCATEGORIZED o STATUS_UPDATE). |
| (para eventos de alerta o de evento basados en ctdeventtype, has_principal_device, etc.) | event_type; (opcionalmente target.resource.type o auth.type) | Deriva el tipo de evento de los eventos o alertas, como DEVICE_CONFIG_UPDATE, DEVICE_PROGRAM_DOWNLOAD/UPLOAD, NETWORK_UNCATEGORIZED, USER_RESOURCE_CREATION, SCAN_HOST, SCAN_NETWORK, SETTING_MODIFICATION, USER_LOGIN, NETWORK_CONNECTION o STATUS_UPDATE. |
| (si event_type sigue vacío) | event_type | Define event_type como NETWORK_CONNECTION, USER_RESOURCE_ACCESS o STATUS_UPDATE en función de las marcas disponibles. |
| event_type (final) | metadata.event_type | Copia el valor de event_type final en metadata.event_type. El valor predeterminado es GENERIC_EVENT si está vacío. |
| device_vendor | metadata.vendor_name | Define metadata.vendor_name a partir de device_vendor. Si falta este valor, se asigna el valor predeterminado CLAROTY. |
| device_product | metadata.product_name | Define metadata.product_name a partir de device_product. Si falta, el valor predeterminado es CTD. |
| device_version | metadata.product_version | Define metadata.product_version a partir de device_version. |
security_description (si coincide con ET TROJAN …) |
security_result.threat_name | Extrae threat_name usando el patrón ET TROJAN (?P<threat_name>\S+) de security_description y lo asigna a security_result.threat_name. |
| metadata | event.idm.read_only_udm.metadata | Cambia el nombre de los metadatos a event.idm.read_only_udm.metadata. |
| capital | event.idm.read_only_udm.principal | Cambia el nombre de principal a event.idm.read_only_udm.principal. |
| target | event.idm.read_only_udm.target | Cambia el nombre del objetivo a event.idm.read_only_udm.target. |
| red | event.idm.read_only_udm.network | Cambia el nombre de la red a event.idm.read_only_udm.network. |
| adicional | event.idm.read_only_udm.additional | Cambia el nombre de additional a event.idm.read_only_udm.additional. |
| security_result | event.idm.read_only_udm.security_result | Combina security_result en event.idm.read_only_udm.security_result. |
| about | event.idm.read_only_udm.about | Combina la información de about en event.idm.read_only_udm.about. |
| intermediario | event.idm.read_only_udm.intermediary | Combina intermediary en event.idm.read_only_udm.intermediary. |
| vulns.vulnerabilities | event.idm.read_only_udm.extensions.vulns.vulnerabilities | Combina vulns.vulnerabilities en event.idm.read_only_udm.extensions.vulns.vulnerabilities. |
| @output | evento | Combina la estructura completa del evento de UDM en el campo event final. |
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.