Recopila registros de CTD de Claroty
Compatible con:
Google SecOps
SIEM
En este documento, se explica cómo transferir registros de Claroty Continuous Threat Detection (CTD) a Google Security Operations con Bindplane.
Antes de comenzar
- Asegúrate de tener una instancia de Google Security Operations.
- Asegúrate de usar Windows 2016 o una versión posterior, o un host de Linux con
systemd. - Si ejecutas la herramienta detrás de un proxy, asegúrate de que los puertos del firewall estén abiertos.
- Asegúrate de tener acceso con privilegios a Claroty CTD.
Obtén el archivo de autenticación de transferencia de Google SecOps
- Accede a la consola de Google SecOps.
- Ve a SIEM Settings > Collection Agents.
- Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará BindPlane.
Obtén el ID de cliente de Google SecOps
- Accede a la consola de Google SecOps.
- Ve a SIEM Settings > Profile.
- Copia y guarda el ID de cliente de la sección Detalles de la organización.
Instala el agente de BindPlane
Instalación en Windows
- Abre el símbolo del sistema o PowerShell como administrador.
Ejecuta el siguiente comando:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Instalación en Linux
- Abre una terminal con privilegios de raíz o sudo.
Ejecuta el siguiente comando:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Recursos de instalación adicionales
- Para obtener más opciones de instalación, consulta esta guía de instalación.
Configura el agente de BindPlane para transferir Syslog y enviarlo a Google SecOps
Accede al archivo de configuración:
- Ubica el archivo
config.yaml. Por lo general, se encuentra en el directorio/etc/bindplane-agent/en Linux o en el directorio de instalación en Windows. - Abre el archivo con un editor de texto (por ejemplo,
nano,vio Bloc de notas).
- Ubica el archivo
Edita el archivo
config.yamlde la siguiente manera:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: CLAROTY_CTD raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labelsReemplaza el puerto y la dirección IP según sea necesario en tu infraestructura.
Reemplaza
<customer_id>por el ID de cliente real.Actualiza
/path/to/ingestion-authentication-file.jsona la ruta de acceso en la que se guardó el archivo de autenticación en la sección Cómo obtener el archivo de autenticación de la transferencia de datos de Google SecOps.
Reinicia el agente de Bindplane para aplicar los cambios
Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:
sudo systemctl restart bindplane-agentPara reiniciar el agente de Bindplane en Windows, puedes usar la consola de Servicios o ingresar el siguiente comando:
net stop BindPlaneAgent && net start BindPlaneAgent
Configura Syslog en Claroty Continuous Threat Detection (CTD)
- Accede a la IU web de Claroty CTD.
- Ve a Menú > Integraciones > Syslog.
- Repite los siguientes pasos para cada tipo de contenido de mensaje de syslog:
- Alertas
- Eventos
- Supervisión de la salud
- Estadísticas
- Registros de actividad
- Vulnerabilidades
- Haz clic en + para agregar una configuración nueva.
- En el menú Contenido del mensaje, selecciona el contenido que deseas exportar.
- Proporciona los siguientes detalles de configuración:
- Categoría: Selecciona Todas.
- Tipo: Selecciona todos los tipos de Seleccionar todo.
- Formato: Selecciona CEF (Latest).
- URL del sistema: No actualices la URL o la IP del sistema, a menos que estés detrás de un servidor proxy.
- Enviar a: Selecciona Servidor Syslog externo (p. ej., sistemas SIEM y SOAR).
- Proveedor: Selecciona Otro.
- IP del servidor Syslog: Ingresa la dirección IP del agente de Bindplane.
- Puerto: Ingresa el puerto del agente de Bindplane (por ejemplo,
514). - Protocolo: Selecciona UDP (otras opciones incluyen TCP, TLS o mTLS, según la configuración de Bindplane).
- Haz clic en Guardar.
Tabla de asignación de UDM
| Campo de registro | Asignación de UDM | Lógica |
|---|---|---|
| CtdRealTime | metadata.event_timestamp | Se analiza con MMM dd yyyy HH:mm:ss de CtdRealTime y se usa como la marca de tiempo del evento. |
| CtdTimeGenerated | metadata.event_timestamp | Si CtdRealTime está vacío, se analiza con MMM dd yyyy HH:mm:ss de CtdTimeGenerated para establecer la marca de tiempo del evento. |
| CtdMessage | metadata.description | Establece metadata.description a partir del campo CtdMessage. |
| CtdMessage | security_result.description | Establece security_result.description desde el campo CtdMessage cuando corresponda. |
| Puerto (de CtdMessage KV) | principal.port | Se extrae de la clave Port en CtdMessage, se convierte en un número entero y se establece como principal.port. |
| Categoría (del par clave-valor de CtdMessage) | security_result.detection_fields (Category_label) | Se extrae de CtdMessage como clave Category y se combina en los campos de detección. |
| Acceso (desde el KV de CtdMessage) | security_result.detection_fields (Access_label) | Se extrae de CtdMessage como clave Access y se combina en los campos de detección. |
| CtdSite | principal.hostname | Asigna CtdSite de Maps a principal.hostname. |
| CtdSite | principal.asset.hostname | Asigna CtdSite a principal.asset.hostname. |
| CtdCpu | principal.resource.attribute.labels (CtdCpu_label) | Crea una etiqueta con la clave CtdCpu usando el valor de CtdCpu y la combina con principal.resource.attribute.labels. |
| CtdMem | principal.resource.attribute.labels (CtdMem_label) | Crea una etiqueta con la clave CtdMem usando el valor de CtdMem y la combina con principal.resource.attribute.labels. |
| CtdUsedOptIcsranger | principal.resource.attribute.labels (CtdUsedOptIcsranger_label) | Crea una etiqueta a partir de CtdUsedOptIcsranger y la combina. |
| CtdUsedVar | principal.resource.attribute.labels (CtdUsedVar_label) | Crea una etiqueta a partir de CtdUsedVar y la combina. |
| CtdUsedTmp | principal.resource.attribute.labels (CtdUsedTmp_label) | Crea una etiqueta a partir de CtdUsedTmp y la combina. |
| CtdUsedEtc | principal.resource.attribute.labels (CtdUsedEtc_label) | Crea una etiqueta a partir de CtdUsedEtc y la combina. |
| CtdBusyFd | principal.resource.attribute.labels (CtdBusyFd_label) | Crea una etiqueta a partir de CtdBusyFd y la combina. |
| CtdBusySda | principal.resource.attribute.labels (CtdBusySda_label) | Crea una etiqueta a partir de CtdBusySda y la combina. |
| CtdBusySdaA | principal.resource.attribute.labels (CtdBusySdaA_label) | Crea una etiqueta a partir de CtdBusySdaA y la combina. |
| CtdBusySdaB | principal.resource.attribute.labels (CtdBusySdaB_label) | Crea una etiqueta a partir de CtdBusySdaB y la combina. |
| CtdBusySr | principal.resource.attribute.labels (CtdBusySr_label) | Crea una etiqueta a partir de CtdBusySr y la combina. |
| CtdBusyDm | principal.resource.attribute.labels (CtdBusyDm_label) | Crea una etiqueta a partir de CtdBusyDm y la combina. |
| CtdBusyDmA | principal.resource.attribute.labels (CtdBusyDmA_label) | Crea una etiqueta a partir de CtdBusyDmA y la combina. |
| CtdQuPreprocessingNg | principal.resource.attribute.labels (CtdQuPreprocessingNg_label) | Crea una etiqueta a partir de CtdQuPreprocessingNg y la combina. |
| CtdQuBaselineTracker | principal.resource.attribute.labels (CtdQuBaselineTracker_label) | Crea una etiqueta a partir de CtdQuBaselineTracker y la combina. |
| CtdQuBridge | principal.resource.attribute.labels (CtdQuBridge_label) | Crea una etiqueta a partir de CtdQuBridge y la combina. |
| CtdQuCentralBridge | principal.resource.attribute.labels (CtdQuCentralBridge_label) | Crea una etiqueta a partir de CtdQuCentralBridge y la combina. |
| CtdQuConcluding | principal.resource.attribute.labels (CtdQuConcluding_label) | Crea una etiqueta a partir de CtdQuConcluding y la combina. |
| CtdQuDiodeFeeder | principal.resource.attribute.labels (CtdQuDiodeFeeder_label) | Crea una etiqueta a partir de CtdQuDiodeFeeder y la combina. |
| CtdQuDissector | principal.resource.attribute.labels (CtdQuDissector_label) | Crea una etiqueta a partir de CtdQuDissector y la combina. |
| CtdQuDissectorA | principal.resource.attribute.labels (CtdQuDissectorA_label) | Crea una etiqueta a partir de CtdQuDissectorA y la combina. |
| CtdQuDissectorNg | principal.resource.attribute.labels (CtdQuDissectorNg_label) | Crea una etiqueta a partir de CtdQuDissectorNg y la combina. |
| CtdQuIndicatorService | principal.resource.attribute.labels (CtdQuIndicatorService_label) | Crea una etiqueta a partir de CtdQuIndicatorService y la combina. |
| CtdQuLeecher | principal.resource.attribute.labels (CtdQuLeecher_label) | Crea una etiqueta a partir de CtdQuLeecher y la combina. |
| CtdQuMonitor | principal.resource.attribute.labels (CtdQuMonitor_label) | Crea una etiqueta a partir de CtdQuMonitor y la combina. |
| CtdQuNetworkStatistics | principal.resource.attribute.labels (CtdQuNetworkStatistics_label) | Crea una etiqueta a partir de CtdQuNetworkStatistics y la combina. |
| CtdQuPackets | principal.resource.attribute.labels (CtdQuPackets_label) | Crea una etiqueta a partir de CtdQuPackets y la combina. |
| CtdQuPacketsErrors | principal.resource.attribute.labels (CtdQuPacketsErrors_label) | Crea una etiqueta a partir de CtdQuPacketsErrors y la combina. |
| CtdQuPreprocessing | principal.resource.attribute.labels (CtdQuPreprocessing_label) | Crea una etiqueta a partir de CtdQuPreprocessing y la combina. |
| CtdQuPriorityProcessing | principal.resource.attribute.labels (CtdQuPriorityProcessing_label) | Crea una etiqueta a partir de CtdQuPriorityProcessing y la combina. |
| CtdQuProcessing | principal.resource.attribute.labels (CtdQuProcessing_label) | Crea una etiqueta a partir de CtdQuProcessing y la combina. |
| CtdQuProcessingHigh | principal.resource.attribute.labels (CtdQuProcessingHigh_label) | Crea una etiqueta a partir de CtdQuProcessingHigh y la combina. |
| CtdQuZordonUpdates | principal.resource.attribute.labels (CtdQuZordonUpdates_label) | Crea una etiqueta a partir de CtdQuZordonUpdates y la combina. |
| CtdQuStatisticsNg | principal.resource.attribute.labels (CtdQuStatisticsNg_label) | Crea una etiqueta a partir de CtdQuStatisticsNg y la combina. |
| CtdQueuePurge | principal.resource.attribute.labels (CtdQueuePurge_label) | Crea una etiqueta a partir de CtdQueuePurge y la combina. |
| CtdQuSyslogAlerts | principal.resource.attribute.labels (CtdQuSyslogAlerts_label) | Crea una etiqueta a partir de CtdQuSyslogAlerts y la combina. |
| CtdQuSyslogEvents | principal.resource.attribute.labels (CtdQuSyslogEvents_label) | Crea una etiqueta a partir de CtdQuSyslogEvents y la combina. |
| CtdQuSyslogInsights | principal.resource.attribute.labels (CtdQuSyslogInsights_label) | Crea una etiqueta a partir de CtdQuSyslogInsights y la combina. |
| CtdRdDissector | principal.resource.attribute.labels (CtdRdDissector_label) | Crea una etiqueta a partir de CtdRdDissector y la combina. |
| CtdRdDissectorA | principal.resource.attribute.labels (CtdRdDissectorA_label) | Crea una etiqueta a partir de CtdRdDissectorA y la combina. |
| CtdRdDissectorNg | principal.resource.attribute.labels (CtdRdDissectorNg_label) | Crea una etiqueta a partir de CtdRdDissectorNg y la combina. |
| CtdRdPreprocessing | principal.resource.attribute.labels (CtdRdPreprocessing_label) | Crea una etiqueta a partir de CtdRdPreprocessing y la combina. |
| CtdRdPreprocessingNg | principal.resource.attribute.labels (CtdRdPreprocessingNg_label) | Crea una etiqueta a partir de CtdRdPreprocessingNg y la combina. |
| CtdSvcMariaDb | principal.resource.attribute.labels (CtdSvcMariaDb_label) | Crea una etiqueta a partir de CtdSvcMariaDb y la combina. |
| CtdSvcPostgres | principal.resource.attribute.labels (CtdSvcPostgres_label) | Crea una etiqueta a partir de CtdSvcPostgres y la combina. |
| CtdSvcRedis | principal.resource.attribute.labels (CtdSvcRedis_label) | Crea una etiqueta a partir de CtdSvcRedis y la combina. |
| CtdSvcRabbitMq | principal.resource.attribute.labels (CtdSvcRabbitMq_label) | Crea una etiqueta a partir de CtdSvcRabbitMq y la combina. |
| CtdSvcIcsranger | principal.resource.attribute.labels (CtdSvcIcsranger_label) | Crea una etiqueta a partir de CtdSvcIcsranger y la combina. |
| CtdSvcWatchdog | principal.resource.attribute.labels (CtdSvcWatchdog_label) | Crea una etiqueta a partir de CtdSvcWatchdog y la combina. |
| CtdSvcFirewalld | principal.resource.attribute.labels (CtdSvcFirewalld_label) | Crea una etiqueta a partir de CtdSvcFirewalld y la combina. |
| CtdSvcNetunnel | principal.resource.attribute.labels (CtdSvcNetunnel_label) | Crea una etiqueta a partir de CtdSvcNetunnel y la combina. |
| CtdSvcJwthenticator | principal.resource.attribute.labels (CtdSvcJwthenticator_label) | Crea una etiqueta a partir de CtdSvcJwthenticator y la combina. |
| CtdSvcDocker | principal.resource.attribute.labels (CtdSvcDocker_label) | Crea una etiqueta a partir de CtdSvcDocker y la combina. |
| CtdExceptions | principal.resource.attribute.labels (CtdExceptions_label) | Crea una etiqueta a partir de CtdExceptions y la combina. |
| CtdInputPacketDrops | principal.resource.attribute.labels (CtdInputPacketDrops_label) | Crea una etiqueta a partir de CtdInputPacketDrops y la combina. |
| CtdOutputPacketDrops | principal.resource.attribute.labels (CtdOutputPacketDrops_label) | Crea una etiqueta a partir de CtdOutputPacketDrops y la combina. |
| CtdFullOutputPacketDrops | principal.resource.attribute.labels (CtdFullOutputPacketDrops_label) | Crea una etiqueta a partir de CtdFullOutputPacketDrops y la combina. |
| CtdDissectorNgPacketDrops | principal.resource.attribute.labels (CtdDissectorNgPacketDrops_label) | Crea una etiqueta a partir de CtdDissectorNgPacketDrops y la combina. |
| CtdTagArtifactsDropsPreprocessor | principal.resource.attribute.labels (CtdTagArtifactsDropsPreprocessor_label) | Crea una etiqueta a partir de CtdTagArtifactsDropsPreprocessor y la combina. |
| CtdTagArtifactsDropsPreprocessorSum | principal.resource.attribute.labels (CtdTagArtifactsDropsPreprocessorSum_label) | Crea una etiqueta a partir de CtdTagArtifactsDropsPreprocessorSum y la combina. |
| CtdTagArtifactsDropsProcessor | principal.resource.attribute.labels (CtdTagArtifactsDropsProcessor_label) | Crea una etiqueta a partir de CtdTagArtifactsDropsProcessor y la combina. |
| CtdTagArtifactsDropsProcessorSum | principal.resource.attribute.labels (CtdTagArtifactsDropsProcessorSum_label) | Crea una etiqueta a partir de CtdTagArtifactsDropsProcessorSum y la combina. |
| CtdTagArtifactsDropsSniffer | principal.resource.attribute.labels (CtdTagArtifactsDropsSniffer_label) | Crea una etiqueta a partir de CtdTagArtifactsDropsSniffer y la combina. |
| CtdTagArtifactsDropsSnifferSum | principal.resource.attribute.labels (CtdTagArtifactsDropsSnifferSum_label) | Crea una etiqueta a partir de CtdTagArtifactsDropsSnifferSum y la combina. |
| CtdTagArtifactsDropsDissectorPypy | principal.resource.attribute.labels (CtdTagArtifactsDropsDissectorPypy_label) | Crea una etiqueta a partir de CtdTagArtifactsDropsDissectorPypy y la combina. |
| CtdTagArtifactsDropsDissectorPypySum | principal.resource.attribute.labels (CtdTagArtifactsDropsDissectorPypySum_label) | Crea una etiqueta a partir de CtdTagArtifactsDropsDissectorPypySum y la combina. |
| CtdCapsaverFolderCleanup | principal.resource.attribute.labels (CtdCapsaverFolderCleanup_label) | Crea una etiqueta a partir de CtdCapsaverFolderCleanup y la combina. |
| CtdCapsaverUtilzationTest | principal.resource.attribute.labels (CtdCapsaverUtilzationTest_label) | Crea una etiqueta a partir de CtdCapsaverUtilzationTest y la combina. |
| CtdYaraScannerTest | principal.resource.attribute.labels (CtdYaraScannerTest_label) | Crea una etiqueta a partir de CtdYaraScannerTest y la combina. |
| CtdWrkrWorkersStop | principal.resource.attribute.labels (CtdWrkrWorkersStop_label) | Crea una etiqueta a partir de CtdWrkrWorkersStop y la combina. |
| CtdWrkrWorkersRestart | principal.resource.attribute.labels (CtdWrkrWorkersRestart_label) | Crea una etiqueta a partir de CtdWrkrWorkersRestart y la combina. |
| CtdWrkrActiveExecuter | principal.resource.attribute.labels (CtdWrkrActiveExecuter_label) | Crea una etiqueta a partir de CtdWrkrActiveExecuter y la combina. |
| CtdWrkrSensor | principal.resource.attribute.labels (CtdWrkrSensor_label) | Crea una etiqueta a partir de CtdWrkrSensor y la combina. |
| CtdWrkrAuthentication | principal.resource.attribute.labels (CtdWrkrAuthentication_label) | Crea una etiqueta a partir de CtdWrkrAuthentication y la combina. |
| CtdWrkrMitre | principal.resource.attribute.labels (CtdWrkrMitre_label) | Crea una etiqueta a partir de CtdWrkrMitre y la combina. |
| CtdWrkrNotifications | principal.resource.attribute.labels (CtdWrkrNotifications_label) | Crea una etiqueta a partir de CtdWrkrNotifications y la combina. |
| CtdWrkrProcessor | principal.resource.attribute.labels (CtdWrkrProcessor_label) | Crea una etiqueta a partir de CtdWrkrProcessor y la combina. |
| CtdWrkrCloudAgent | principal.resource.attribute.labels (CtdWrkrCloudAgent_label) | Crea una etiqueta a partir de CtdWrkrCloudAgent y la combina. |
| CtdWrkrCloudClient | principal.resource.attribute.labels (CtdWrkrCloudClient_label) | Crea una etiqueta a partir de CtdWrkrCloudClient y la combina. |
| CtdWrkrScheduler | principal.resource.attribute.labels (CtdWrkrScheduler_label) | Crea una etiqueta a partir de CtdWrkrScheduler y la combina. |
| CtdWrkrknownThreats | principal.resource.attribute.labels (CtdWrkrknownThreats_label) | Crea una etiqueta a partir de CtdWrkrknownThreats y la combina. |
| CtdWrkrCacher | principal.resource.attribute.labels (CtdWrkrCacher_label) | Crea una etiqueta a partir de CtdWrkrCacher y la combina. |
| CtdWrkrInsights | principal.resource.attribute.labels (CtdWrkrInsights_label) | Crea una etiqueta a partir de CtdWrkrInsights y la combina. |
| CtdWrkrActive | principal.resource.attribute.labels (CtdWrkrActive_label) | Crea una etiqueta a partir de CtdWrkrActive y la combina. |
| CtdWrkrEnricher | principal.resource.attribute.labels (CtdWrkrEnricher_label) | Crea una etiqueta a partir de CtdWrkrEnricher y la combina. |
| CtdWrkrIndicators | principal.resource.attribute.labels (CtdWrkrIndicators_label) | Crea una etiqueta a partir de CtdWrkrIndicators y la combina. |
| CtdWrkrIndicatorsApi | principal.resource.attribute.labels (CtdWrkrIndicatorsApi_label) | Crea una etiqueta a partir de CtdWrkrIndicatorsApi y la combina. |
| CtdWrkrConcluder | principal.resource.attribute.labels (CtdWrkrConcluder_label) | Crea una etiqueta a partir de CtdWrkrConcluder y la combina. |
| CtdWrkrPreprocessor | principal.resource.attribute.labels (CtdWrkrPreprocessor_label) | Crea una etiqueta a partir de CtdWrkrPreprocessor y la combina. |
| CtdWrkrLeecher | principal.resource.attribute.labels (CtdWrkrLeecher_label) | Crea una etiqueta a partir de CtdWrkrLeecher y la combina. |
| CtdWrkrSyncManager | principal.resource.attribute.labels (CtdWrkrSyncManager_label) | Crea una etiqueta a partir de CtdWrkrSyncManager y la combina. |
| CtdWrkrBridge | principal.resource.attribute.labels (CtdWrkrBridge_label) | Crea una etiqueta a partir de CtdWrkrBridge y la combina. |
| CtdWrkrWebRanger | principal.resource.attribute.labels (CtdWrkrWebRanger_label) | Crea una etiqueta a partir de CtdWrkrWebRanger y la combina. |
| CtdWrkrWebWs | principal.resource.attribute.labels (CtdWrkrWebWs_label) | Crea una etiqueta a partir de CtdWrkrWebWs y la combina. |
| CtdWrkrWebAuth | principal.resource.attribute.labels (CtdWrkrWebAuth_label) | Crea una etiqueta a partir de CtdWrkrWebAuth y la combina. |
| CtdWrkrWebNginx | principal.resource.attribute.labels (CtdWrkrWebNginx_label) | Crea una etiqueta a partir de CtdWrkrWebNginx y la combina. |
| CtdWrkrConfigurator | principal.resource.attribute.labels (CtdWrkrConfigurator_label) | Crea una etiqueta a partir de CtdWrkrConfigurator y la combina. |
| CtdWrkrConfiguratorNginx | principal.resource.attribute.labels (CtdWrkrConfiguratorNginx_label) | Crea una etiqueta a partir de CtdWrkrConfiguratorNginx y la combina. |
| CtdWrkrCapsaver | principal.resource.attribute.labels (CtdWrkrCapsaver_label) | Crea una etiqueta a partir de CtdWrkrCapsaver y la combina. |
| CtdWrkrBaselineTracker | principal.resource.attribute.labels (CtdWrkrBaselineTracker_label) | Crea una etiqueta a partir de CtdWrkrBaselineTracker y la combina. |
| CtdWrkrDissector | principal.resource.attribute.labels (CtdWrkrDissector_label) | Crea una etiqueta a partir de CtdWrkrDissector y la combina. |
| CtdWrkrDissectorA | principal.resource.attribute.labels (CtdWrkrDissectorA_label) | Crea una etiqueta a partir de CtdWrkrDissectorA y la combina. |
| CtdWrkrDissectorNg | principal.resource.attribute.labels (CtdWrkrDissectorNg_label) | Crea una etiqueta a partir de CtdWrkrDissectorNg y la combina. |
| CtdWrkrPreprocessing | principal.resource.attribute.labels (CtdWrkrPreprocessing_label) | Crea una etiqueta a partir de CtdWrkrPreprocessing y la combina. |
| CtdWrkrPreprocessingNg | principal.resource.attribute.labels (CtdWrkrPreprocessingNg_label) | Crea una etiqueta a partir de CtdWrkrPreprocessingNg y la combina. |
| CtdWrkrStatisticsNg | principal.resource.attribute.labels (CtdWrkrStatisticsNg_label) | Crea una etiqueta a partir de CtdWrkrStatisticsNg y la combina. |
| CtdWrkrSyslogAlerts | principal.resource.attribute.labels (CtdWrkrSyslogAlerts_label) | Crea una etiqueta a partir de CtdWrkrSyslogAlerts y la combina. |
| CtdWrkrSyslogEvents | principal.resource.attribute.labels (CtdWrkrSyslogEvents_label) | Crea una etiqueta a partir de CtdWrkrSyslogEvents y la combina. |
| CtdWrkrSyslogInsights | principal.resource.attribute.labels (CtdWrkrSyslogInsights_label) | Crea una etiqueta a partir de CtdWrkrSyslogInsights y la combina. |
| CtdWrkrRdDissector | principal.resource.attribute.labels (CtdWrkrRdDissector_label) | Crea una etiqueta a partir de CtdWrkrRdDissector y la combina. |
| CtdWrkrRdDissectorA | principal.resource.attribute.labels (CtdWrkrRdDissectorA_label) | Crea una etiqueta a partir de CtdWrkrRdDissectorA y la combina. |
| CtdSensorName | principal.resource.attribute.labels (CtdSensorName_label) | Crea una etiqueta a partir de CtdSensorName y la combina. |
| CtdCtrlSite | principal.resource.attribute.labels (CtdCtrlSite_label) | Crea una etiqueta a partir de CtdCtrlSite y la combina. |
| CtdLoopCallDurationBaselineTrackerWrkerHandleNetworkStatistics | principal.resource.attribute.labels (CtdLoopCallDurationBaselineTrackerWrkerHandleNetworkStatistics_label) | Crea una etiqueta a partir de CtdLoopCallDurationBaselineTrackerWrkerHandleNetworkStatistics y la combina. |
| CtdDissectionCoverage | principal.resource.attribute.labels (CtdDissectionCoverage_label) | Crea una etiqueta a partir de CtdDissectionCoverage y la combina. |
| CtdDissectionEfficiencyModbus | principal.resource.attribute.labels (CtdDissectionEfficiencyModbus_label) | Crea una etiqueta a partir de CtdDissectionEfficiencyModbus y la combina. |
| CtdDissectionEfficiencySmb | principal.resource.attribute.labels (CtdDissectionEfficiencySmb_label) | Crea una etiqueta a partir de CtdDissectionEfficiencySmb y la combina. |
| CtdDissectionEfficiencyDcerpc | principal.resource.attribute.labels (CtdDissectionEfficiencyDcerpc_label) | Crea una etiqueta a partir de CtdDissectionEfficiencyDcerpc y la combina. |
| CtdDissectionEfficiencyZabbix | principal.resource.attribute.labels (CtdDissectionEfficiencyZabbix_label) | Crea una etiqueta a partir de CtdDissectionEfficiencyZabbix y la combina. |
| CtdDissectionEfficiencyFactorytalkRna | principal.resource.attribute.labels (CtdDissectionEfficiencyFactorytalkRna_label) | Crea una etiqueta a partir de CtdDissectionEfficiencyFactorytalkRna y la combina. |
| CtdDissectionEfficiencySsl | principal.resource.attribute.labels (CtdDissectionEfficiencySsl_label) | Crea una etiqueta a partir de CtdDissectionEfficiencySsl y la combina. |
| CtdDissectionEfficiencyVrrpProtocolMatcher | principal.resource.attribute.labels (CtdDissectionEfficiencyVrrpProtocolMatcher_label) | Crea una etiqueta a partir de CtdDissectionEfficiencyVrrpProtocolMatcher y la combina. |
| CtdDissectionEfficiencyRdp | principal.resource.attribute.labels (CtdDissectionEfficiencyRdp_label) | Crea una etiqueta a partir de CtdDissectionEfficiencyRdp y la combina. |
| CtdDissectionEfficiencySsh | principal.resource.attribute.labels (CtdDissectionEfficiencySsh_label) | Crea una etiqueta a partir de CtdDissectionEfficiencySsh y la combina. |
| CtdDissectionEfficiencyHttp | principal.resource.attribute.labels (CtdDissectionEfficiencyHttp_label) | Crea una etiqueta a partir de CtdDissectionEfficiencyHttp y la combina. |
| CtdDissectionEfficiencyTcpHttp | principal.resource.attribute.labels (CtdDissectionEfficiencyTcpHttp_label) | Crea una etiqueta a partir de CtdDissectionEfficiencyTcpHttp y la combina. |
| CtdDissectionEfficiencyLdap | principal.resource.attribute.labels (CtdDissectionEfficiencyLdap_label) | Crea una etiqueta a partir de CtdDissectionEfficiencyLdap y la combina. |
| CtdDissectionEfficiencyJrmi | principal.resource.attribute.labels (CtdDissectionEfficiencyJrmi_label) | Crea una etiqueta a partir de CtdDissectionEfficiencyJrmi y la combina. |
| CtdDissectionEfficiencyGeIfix | principal.resource.attribute.labels (CtdDissectionEfficiencyGeIfix_label) | Crea una etiqueta a partir de CtdDissectionEfficiencyGeIfix y la combina. |
| CtdDissectionEfficiencyLlc | principal.resource.attribute.labels (CtdDissectionEfficiencyLlc_label) | Crea una etiqueta a partir de CtdDissectionEfficiencyLlc y la combina. |
| CtdDissectionEfficiencyMatrikonNopc | principal.resource.attribute.labels (CtdDissectionEfficiencyMatrikonNopc_label) | Crea una etiqueta a partir de CtdDissectionEfficiencyMatrikonNopc y la combina. |
| CtdDissectionEfficiencyVnc | principal.resource.attribute.labels (CtdDissectionEfficiencyVnc_label) | Crea una etiqueta a partir de CtdDissectionEfficiencyVnc y la combina. |
| CtdUnhandledEvents | principal.resource.attribute.labels (CtdUnhandledEvents_label) | Crea una etiqueta a partir de CtdUnhandledEvents y la combina. |
| CtdConcludeTime | principal.resource.attribute.labels (CtdConcludeTime_label) | Crea una etiqueta a partir de CtdConcludeTime y la combina. |
| CtdMysqlQuery | principal.resource.attribute.labels (CtdMysqlQuery_label) | Crea una etiqueta a partir de CtdMysqlQuery y la combina. |
| CtdPostgresQuery | principal.resource.attribute.labels (CtdPostgresQuery_label) | Crea una etiqueta a partir de CtdPostgresQuery y la combina. |
| CtdPsqlIdleSessions | principal.resource.attribute.labels (CtdPsqlIdleSessions_label) | Crea una etiqueta a partir de CtdPsqlIdleSessions y la combina. |
| CtdPsqlIdleInTransactionSessions | principal.resource.attribute.labels (CtdPsqlIdleInTransactionSessions_label) | Crea una etiqueta a partir de CtdPsqlIdleInTransactionSessions y la combina. |
| CtdSnifferStatus | principal.resource.attribute.labels (CtdSnifferStatus_label) | Crea una etiqueta a partir de CtdSnifferStatus y la combina. |
| CtdLoopCallDurationPollObjects | principal.resource.attribute.labels (CtdLoopCallDurationPollObjects_label) | Crea una etiqueta a partir de CtdLoopCallDurationPollObjects y la combina. |
| CtdLoopCallDurationCloudClientWrkrBaseRunCloudConnected | principal.resource.attribute.labels (CtdLoopCallDurationCloudClientWrkrBaseRunCloudConnected_label) | Crea una etiqueta a partir de CtdLoopCallDurationCloudClientWrkrBaseRunCloudConnected y la combina. |
| CtdSnifferStatusCentral | principal.resource.attribute.labels (CtdSnifferStatusCentral_label) | Crea una etiqueta a partir de CtdSnifferStatusCentral y la combina. |
| CtdSnifferStatusSite | principal.resource.attribute.labels (CtdSnifferStatusSite_label) | Crea una etiqueta a partir de CtdSnifferStatusSite y la combina. |
| CtdWrkrMailer | principal.resource.attribute.labels (CtdWrkrMailer_label) | Crea una etiqueta a partir de CtdWrkrMailer y la combina. |
| CtdDroppedEntities | principal.resource.attribute.labels (CtdDroppedEntities_label) | Crea una etiqueta a partir de CtdDroppedEntities y la combina. |
| externalId | metadata.product_log_id | Asigna externalId a metadata.product_log_id. |
| protocolo | protocol_number_src | Convierte el proto a mayúsculas y lo asigna a protocol_number_src para la búsqueda. |
| protocol_number_src | ip_protocol_out; app_protocol_out | Inicializa ip_protocol_out en UNKNOWN_IP_PROTOCOL y app_protocol_out en UNKNOWN_APPLICATION_PROTOCOL, y, luego, actualiza según la búsqueda. |
| ip_protocol_out | network.ip_protocol | Establece network.ip_protocol a partir de ip_protocol_out. |
| app_protocol_out | network.application_protocol | Establece network.application_protocol a partir de app_protocol_out. |
| CtdExternalId | metadata.product_log_id | Sobrescribe metadata.product_log_id con CtdExternalId si se proporciona. |
| CtdDeviceExternalId | principal.resource.attribute.labels (ctd_device_label) | Crea una etiqueta a partir de CtdDeviceExternalId (con el prefijo CtdDeviceExternalId) y la combina. |
(if has_principal_device is true and ctdeventtype = Login) |
security_result.category; security_result.action | Para los eventos de acceso, establece security_result.category en AUTH_VIOLATION y la acción en BLOCK. |
(if has_principal_device is true and ctdeventtype = Memory Reset) |
security_result.category | Establece security_result.category en SOFTWARE_SUSPICIOUS. |
(if target_machine_id_present is true, has_principal_device is true, and ctdeventtype in [Known Threat Alert, Known Threat Event, Man-in-the-Middle Attack, Suspicious Activity]) |
security_result.category | Establece security_result.category en NETWORK_MALICIOUS. |
(if target_machine_id_present is true, has_principal_device is true, and ctdeventtype = Suspicious File Transfer) |
security_result.category | Establece security_result.category en NETWORK_SUSPICIOUS. |
(if target_machine_id_present is true, has_principal_device is true, and ctdeventtype = Denial Of Service) |
security_result.category | Establece security_result.category en NETWORK_DENIAL_OF_SERVICE. |
(if has_principal_device is true and ctdeventtype in [Host Scan, Port Scan]) |
security_result.category | Establece security_result.category en NETWORK_RECON. |
(if target_machine_id_present is true, has_principal_device is true, and ctdeventtype in [Policy Rule Match, Policy Violation Alert, Policy Violation]) |
security_result.category | Establece security_result.category en POLICY_VIOLATION. |
| (valor predeterminado si has_principal_device es verdadero) | security_result.category | Establece security_result.category en NETWORK_SUSPICIOUS de forma predeterminada. |
| security_result_category derivada | security_result.category | Combina la categoría de seguridad derivada en security_result.category. |
| Derived security_result_action | security_result.action | Combina la acción de seguridad derivada en security_result.action (si se configura). |
cs6 (con cs6Label CTDlink) |
metadata.url_back_to_product; security_result.url_back_to_product | Establece los campos de URL de cs6 para crear vínculos de retroceso a los detalles del producto. |
cs1 (con cs1Label SourceAssetType) |
principal.asset.category; principal.asset.type | Establece principal.asset.category desde cs1 y determina principal.asset.type según su valor. |
cs2 (con cs2Label DestAssetType) |
target.asset.category; target.asset.type | Establece target.asset.category desde cs2 y determina target.asset.type según su valor. |
cfp1 (con cfp1Label CVEScore) |
vulns.vulnerabilities.cvss_base_score | Establece vulns.vulnerabilities.cvss_base_score (convertido a float) y marca vul_fields_present como verdadero. |
cs6 (con cs6Label CVE) |
vulns.vulnerabilities.cve_id | Establece vulns.vulnerabilities.cve_id y marca vul_fields_present como verdadero. |
cn1 (con cn1Label IndicatorScore) |
security_result.confidence_score | Extrae la puntuación del indicador de cn1, la convierte en un número de punto flotante y la asigna como la puntuación de confianza. |
| filepath | about.file.full_path; security_result.about.file.full_path | Asigna la ruta de acceso del mapa a about.file.full_path y security_result.about.file.full_path. |
(if eventclass = HealthCheck and cs1Label = Site) |
intermediary.location.name | Establece intermediary.location.name desde cs1 cuando se usa como identificador de sitio. |
| cn1 (con cn1Label) | additional.fields (cn1_label) | Crea una etiqueta de campo adicional a partir de cn1 y la combina en additional.fields. |
| cs1 (con cs1Label) | additional.fields (cs1_label) | Crea una etiqueta de campo adicional a partir de cs1 y la combina en additional.fields. |
| cs2 (con cs2Label) | additional.fields (cs2_label) | Crea una etiqueta de campo adicional a partir de cs2 y la combina en additional.fields. |
| cs3 (con cs3Label) | additional.fields (cs3_label) | Crea una etiqueta de campo adicional a partir de cs3 y la combina. |
| cs4 (con cs4Label) | additional.fields (cs4_label) | Crea una etiqueta de campo adicional a partir de cs4 y la combina. |
| cs6 (con cs6Label) | additional.fields (cs6_label) | Crea una etiqueta de campo adicional a partir de cs6 y la combina. |
| (para eventos de estadísticas basados en event_name y vul_fields_present) | event_type | Deriva event_type para los eventos de Insight (p.ej., SCAN_VULN_HOST, STATUS_UNCATEGORIZED, STATUS_UPDATE). |
| (para eventos de alerta o de evento basados en ctdeventtype, has_principal_device, etc.) | event_type (opcionalmente, target.resource.type o auth.type) | Deriva event_type para eventos de Event/Alert, como DEVICE_CONFIG_UPDATE, DEVICE_PROGRAM_DOWNLOAD/UPLOAD, NETWORK_UNCATEGORIZED, USER_RESOURCE_CREATION, SCAN_HOST, SCAN_NETWORK, SETTING_MODIFICATION, USER_LOGIN, NETWORK_CONNECTION o STATUS_UPDATE. |
| (si event_type permanece vacío) | event_type | Establece event_type en NETWORK_CONNECTION, USER_RESOURCE_ACCESS o STATUS_UPDATE según las marcas disponibles. |
| event_type (final) | metadata.event_type | Copia el valor final de event_type en metadata.event_type. El valor predeterminado es GENERIC_EVENT si está vacío. |
| device_vendor | metadata.vendor_name | Establece metadata.vendor_name desde device_vendor; el valor predeterminado es CLAROTY si falta. |
| device_product | metadata.product_name | Establece metadata.product_name desde device_product; el valor predeterminado es CTD si falta. |
| device_version | metadata.product_version | Establece metadata.product_version a partir de device_version. |
security_description (si coincide con ET TROJAN …) |
security_result.threat_name | Extrae threat_name con el patrón ET TROJAN (?P<threat_name>\S+) de security_description y lo asigna a security_result.threat_name. |
| metadatos | event.idm.read_only_udm.metadata | Se cambió el nombre de los metadatos a event.idm.read_only_udm.metadata. |
| principal | event.idm.read_only_udm.principal | Cambia el nombre del principal a event.idm.read_only_udm.principal. |
| objetivo | event.idm.read_only_udm.target | Cambia el nombre del destino a event.idm.read_only_udm.target. |
| red | event.idm.read_only_udm.network | Cambia el nombre de la red a event.idm.read_only_udm.network. |
| adicional | event.idm.read_only_udm.additional | Cambia el nombre de additional a event.idm.read_only_udm.additional. |
| security_result | event.idm.read_only_udm.security_result | Combina security_result en event.idm.read_only_udm.security_result. |
| acerca de | event.idm.read_only_udm.about | Combina about con event.idm.read_only_udm.about. |
| intermediario | event.idm.read_only_udm.intermediary | Combina el intermediario en event.idm.read_only_udm.intermediary. |
| vulns.vulnerabilities | event.idm.read_only_udm.extensions.vulns.vulnerabilities | Combina vulns.vulnerabilities en event.idm.read_only_udm.extensions.vulns.vulnerabilities. |
| @output | evento | Combina la estructura completa del evento de UDM en el campo event final. |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.