Mengumpulkan log CTD Claroty
Dokumen ini menjelaskan cara menyerap log Claroty Continuous Threat Detection (CTD) ke Google Security Operations menggunakan Bindplane.
Sebelum memulai
- Pastikan Anda memiliki instance Google Security Operations.
- Pastikan Anda menggunakan Windows 2016 atau yang lebih baru, atau host Linux dengan
systemd
. - Jika berjalan di belakang proxy, pastikan port firewall terbuka.
- Pastikan Anda memiliki akses istimewa ke Claroty CTD.
Mendapatkan file autentikasi penyerapan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Agen Pengumpulan.
- Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.
Mendapatkan ID pelanggan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Profil.
- Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.
Menginstal agen Bindplane
Penginstalan Windows
- Buka Command Prompt atau PowerShell sebagai administrator.
Jalankan perintah berikut:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Penginstalan Linux
- Buka terminal dengan hak istimewa root atau sudo.
Jalankan perintah berikut:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Referensi penginstalan tambahan
- Untuk opsi penginstalan tambahan, lihat panduan penginstalan ini.
Mengonfigurasi agen BindPlane untuk menyerap Syslog dan mengirimkannya ke Google SecOps
Akses file konfigurasi:
- Cari file
config.yaml
. Biasanya, file ini berada di direktori/etc/bindplane-agent/
di Linux atau di direktori penginstalan di Windows. - Buka file menggunakan editor teks (misalnya,
nano
,vi
, atau Notepad).
- Cari file
Edit file
config.yaml
sebagai berikut:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: CLAROTY_CTD raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels
Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.
Ganti
<customer_id>
dengan ID pelanggan yang sebenarnya.Perbarui
/path/to/ingestion-authentication-file.json
ke jalur tempat file autentikasi disimpan di bagian Dapatkan file autentikasi penyerapan Google SecOps.
Mulai ulang agen Bindplane untuk menerapkan perubahan
Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:
sudo systemctl restart bindplane-agent
Untuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:
net stop BindPlaneAgent && net start BindPlaneAgent
Mengonfigurasi Syslog di Claroty Continuous Threat Detection (CTD)
- Login ke UI Web Claroty CTD.
- Buka Menu > Integrasi > Syslog.
- Ulangi langkah-langkah berikut untuk setiap jenis konten pesan syslog:
- Notifikasi
- Acara
- Pemantauan Kesehatan
- Insight
- Log Aktivitas
- Kerentanan
- Klik + untuk menambahkan konfigurasi baru.
- Di menu Konten Pesan, pilih konten yang diperlukan untuk diekspor.
- Berikan detail konfigurasi berikut:
- Kategori: pilih Semua.
- Jenis: pilih jenis Pilih Semua.
- Format: pilih CEF (Terbaru).
- URL Sistem: jangan perbarui URL/IP sistem, kecuali jika Anda berada di belakang server proxy.
- Kirim ke: pilih Server Syslog eksternal (misalnya, sistem SIEM, SOAR).
- Vendor: pilih Lainnya.
- IP Server Syslog: masukkan alamat IP agen Bindplane.
- Port: masukkan port agen Bindplane (misalnya,
514
). - Protocol: pilih UDP (opsi lainnya mencakup TCP, TLS, atau mTLS, bergantung pada konfigurasi Bindplane Anda).
- Klik Simpan.
Tabel Pemetaan UDM
Kolom Log | Pemetaan UDM | Logika |
---|---|---|
CtdRealTime | metadata.event_timestamp | Diparsing menggunakan MMM dd yyyy HH:mm:ss dari CtdRealTime dan digunakan sebagai stempel waktu peristiwa. |
CtdTimeGenerated | metadata.event_timestamp | Jika CtdRealTime kosong, akan diuraikan menggunakan MMM dd yyyy HH:mm:ss dari CtdTimeGenerated untuk menetapkan stempel waktu peristiwa. |
CtdMessage | metadata.description | Menetapkan metadata.description dari kolom CtdMessage. |
CtdMessage | security_result.description | Menetapkan security_result.description dari kolom CtdMessage jika berlaku. |
Port (dari KV CtdMessage) | principal.port | Diekstrak dari kunci Port di CtdMessage; dikonversi menjadi bilangan bulat dan ditetapkan sebagai principal.port. |
Kategori (dari KV CtdMessage) | security_result.detection_fields (Category_label) | Diekstrak dari CtdMessage sebagai kunci Category dan digabungkan ke dalam kolom deteksi. |
Akses (dari KV CtdMessage) | security_result.detection_fields (Access_label) | Diekstrak dari CtdMessage sebagai kunci Access dan digabungkan ke dalam kolom deteksi. |
CtdSite | principal.hostname | Memetakan CtdSite ke principal.hostname. |
CtdSite | principal.asset.hostname | Memetakan CtdSite ke principal.asset.hostname. |
CtdCpu | principal.resource.attribute.labels (CtdCpu_label) | Membuat label dengan kunci CtdCpu menggunakan nilai CtdCpu dan menggabungkannya ke principal.resource.attribute.labels. |
CtdMem | principal.resource.attribute.labels (CtdMem_label) | Membuat label dengan kunci CtdMem menggunakan nilai CtdMem dan menggabungkannya ke principal.resource.attribute.labels. |
CtdUsedOptIcsranger | principal.resource.attribute.labels (CtdUsedOptIcsranger_label) | Membuat label dari CtdUsedOptIcsranger dan menggabungkannya. |
CtdUsedVar | principal.resource.attribute.labels (CtdUsedVar_label) | Membuat label dari CtdUsedVar dan menggabungkannya. |
CtdUsedTmp | principal.resource.attribute.labels (CtdUsedTmp_label) | Membuat label dari CtdUsedTmp dan menggabungkannya. |
CtdUsedEtc | principal.resource.attribute.labels (CtdUsedEtc_label) | Membuat label dari CtdUsedEtc dan menggabungkannya. |
CtdBusyFd | principal.resource.attribute.labels (CtdBusyFd_label) | Membuat label dari CtdBusyFd dan menggabungkannya. |
CtdBusySda | principal.resource.attribute.labels (CtdBusySda_label) | Membuat label dari CtdBusySda dan menggabungkannya. |
CtdBusySdaA | principal.resource.attribute.labels (CtdBusySdaA_label) | Membuat label dari CtdBusySdaA dan menggabungkannya. |
CtdBusySdaB | principal.resource.attribute.labels (CtdBusySdaB_label) | Membuat label dari CtdBusySdaB dan menggabungkannya. |
CtdBusySr | principal.resource.attribute.labels (CtdBusySr_label) | Membuat label dari CtdBusySr dan menggabungkannya. |
CtdBusyDm | principal.resource.attribute.labels (CtdBusyDm_label) | Membuat label dari CtdBusyDm dan menggabungkannya. |
CtdBusyDmA | principal.resource.attribute.labels (CtdBusyDmA_label) | Membuat label dari CtdBusyDmA dan menggabungkannya. |
CtdQuPreprocessingNg | principal.resource.attribute.labels (CtdQuPreprocessingNg_label) | Membuat label dari CtdQuPreprocessingNg dan menggabungkannya. |
CtdQuBaselineTracker | principal.resource.attribute.labels (CtdQuBaselineTracker_label) | Membuat label dari CtdQuBaselineTracker dan menggabungkannya. |
CtdQuBridge | principal.resource.attribute.labels (CtdQuBridge_label) | Membuat label dari CtdQuBridge dan menggabungkannya. |
CtdQuCentralBridge | principal.resource.attribute.labels (CtdQuCentralBridge_label) | Membuat label dari CtdQuCentralBridge dan menggabungkannya. |
CtdQuConcluding | principal.resource.attribute.labels (CtdQuConcluding_label) | Membuat label dari CtdQuConcluding dan menggabungkannya. |
CtdQuDiodeFeeder | principal.resource.attribute.labels (CtdQuDiodeFeeder_label) | Membuat label dari CtdQuDiodeFeeder dan menggabungkannya. |
CtdQuDissector | principal.resource.attribute.labels (CtdQuDissector_label) | Membuat label dari CtdQuDissector dan menggabungkannya. |
CtdQuDissectorA | principal.resource.attribute.labels (CtdQuDissectorA_label) | Membuat label dari CtdQuDissectorA dan menggabungkannya. |
CtdQuDissectorNg | principal.resource.attribute.labels (CtdQuDissectorNg_label) | Membuat label dari CtdQuDissectorNg dan menggabungkannya. |
CtdQuIndicatorService | principal.resource.attribute.labels (CtdQuIndicatorService_label) | Membuat label dari CtdQuIndicatorService dan menggabungkannya. |
CtdQuLeecher | principal.resource.attribute.labels (CtdQuLeecher_label) | Membuat label dari CtdQuLeecher dan menggabungkannya. |
CtdQuMonitor | principal.resource.attribute.labels (CtdQuMonitor_label) | Membuat label dari CtdQuMonitor dan menggabungkannya. |
CtdQuNetworkStatistics | principal.resource.attribute.labels (CtdQuNetworkStatistics_label) | Membuat label dari CtdQuNetworkStatistics dan menggabungkannya. |
CtdQuPackets | principal.resource.attribute.labels (CtdQuPackets_label) | Membuat label dari CtdQuPackets dan menggabungkannya. |
CtdQuPacketsErrors | principal.resource.attribute.labels (CtdQuPacketsErrors_label) | Membuat label dari CtdQuPacketsErrors dan menggabungkannya. |
CtdQuPreprocessing | principal.resource.attribute.labels (CtdQuPreprocessing_label) | Membuat label dari CtdQuPreprocessing dan menggabungkannya. |
CtdQuPriorityProcessing | principal.resource.attribute.labels (CtdQuPriorityProcessing_label) | Membuat label dari CtdQuPriorityProcessing dan menggabungkannya. |
CtdQuProcessing | principal.resource.attribute.labels (CtdQuProcessing_label) | Membuat label dari CtdQuProcessing dan menggabungkannya. |
CtdQuProcessingHigh | principal.resource.attribute.labels (CtdQuProcessingHigh_label) | Membuat label dari CtdQuProcessingHigh dan menggabungkannya. |
CtdQuZordonUpdates | principal.resource.attribute.labels (CtdQuZordonUpdates_label) | Membuat label dari CtdQuZordonUpdates dan menggabungkannya. |
CtdQuStatisticsNg | principal.resource.attribute.labels (CtdQuStatisticsNg_label) | Membuat label dari CtdQuStatisticsNg dan menggabungkannya. |
CtdQueuePurge | principal.resource.attribute.labels (CtdQueuePurge_label) | Membuat label dari CtdQueuePurge dan menggabungkannya. |
CtdQuSyslogAlerts | principal.resource.attribute.labels (CtdQuSyslogAlerts_label) | Membuat label dari CtdQuSyslogAlerts dan menggabungkannya. |
CtdQuSyslogEvents | principal.resource.attribute.labels (CtdQuSyslogEvents_label) | Membuat label dari CtdQuSyslogEvents dan menggabungkannya. |
CtdQuSyslogInsights | principal.resource.attribute.labels (CtdQuSyslogInsights_label) | Membuat label dari CtdQuSyslogInsights dan menggabungkannya. |
CtdRdDissector | principal.resource.attribute.labels (CtdRdDissector_label) | Membuat label dari CtdRdDissector dan menggabungkannya. |
CtdRdDissectorA | principal.resource.attribute.labels (CtdRdDissectorA_label) | Membuat label dari CtdRdDissectorA dan menggabungkannya. |
CtdRdDissectorNg | principal.resource.attribute.labels (CtdRdDissectorNg_label) | Membuat label dari CtdRdDissectorNg dan menggabungkannya. |
CtdRdPreprocessing | principal.resource.attribute.labels (CtdRdPreprocessing_label) | Membuat label dari CtdRdPreprocessing dan menggabungkannya. |
CtdRdPreprocessingNg | principal.resource.attribute.labels (CtdRdPreprocessingNg_label) | Membuat label dari CtdRdPreprocessingNg dan menggabungkannya. |
CtdSvcMariaDb | principal.resource.attribute.labels (CtdSvcMariaDb_label) | Membuat label dari CtdSvcMariaDb dan menggabungkannya. |
CtdSvcPostgres | principal.resource.attribute.labels (CtdSvcPostgres_label) | Membuat label dari CtdSvcPostgres dan menggabungkannya. |
CtdSvcRedis | principal.resource.attribute.labels (CtdSvcRedis_label) | Membuat label dari CtdSvcRedis dan menggabungkannya. |
CtdSvcRabbitMq | principal.resource.attribute.labels (CtdSvcRabbitMq_label) | Membuat label dari CtdSvcRabbitMq dan menggabungkannya. |
CtdSvcIcsranger | principal.resource.attribute.labels (CtdSvcIcsranger_label) | Membuat label dari CtdSvcIcsranger dan menggabungkannya. |
CtdSvcWatchdog | principal.resource.attribute.labels (CtdSvcWatchdog_label) | Membuat label dari CtdSvcWatchdog dan menggabungkannya. |
CtdSvcFirewalld | principal.resource.attribute.labels (CtdSvcFirewalld_label) | Membuat label dari CtdSvcFirewalld dan menggabungkannya. |
CtdSvcNetunnel | principal.resource.attribute.labels (CtdSvcNetunnel_label) | Membuat label dari CtdSvcNetunnel dan menggabungkannya. |
CtdSvcJwthenticator | principal.resource.attribute.labels (CtdSvcJwthenticator_label) | Membuat label dari CtdSvcJwthenticator dan menggabungkannya. |
CtdSvcDocker | principal.resource.attribute.labels (CtdSvcDocker_label) | Membuat label dari CtdSvcDocker dan menggabungkannya. |
CtdExceptions | principal.resource.attribute.labels (CtdExceptions_label) | Membuat label dari CtdExceptions dan menggabungkannya. |
CtdInputPacketDrops | principal.resource.attribute.labels (CtdInputPacketDrops_label) | Membuat label dari CtdInputPacketDrops dan menggabungkannya. |
CtdOutputPacketDrops | principal.resource.attribute.labels (CtdOutputPacketDrops_label) | Membuat label dari CtdOutputPacketDrops dan menggabungkannya. |
CtdFullOutputPacketDrops | principal.resource.attribute.labels (CtdFullOutputPacketDrops_label) | Membuat label dari CtdFullOutputPacketDrops dan menggabungkannya. |
CtdDissectorNgPacketDrops | principal.resource.attribute.labels (CtdDissectorNgPacketDrops_label) | Membuat label dari CtdDissectorNgPacketDrops dan menggabungkannya. |
CtdTagArtifactsDropsPreprocessor | principal.resource.attribute.labels (CtdTagArtifactsDropsPreprocessor_label) | Membuat label dari CtdTagArtifactsDropsPreprocessor dan menggabungkannya. |
CtdTagArtifactsDropsPreprocessorSum | principal.resource.attribute.labels (CtdTagArtifactsDropsPreprocessorSum_label) | Membuat label dari CtdTagArtifactsDropsPreprocessorSum dan menggabungkannya. |
CtdTagArtifactsDropsProcessor | principal.resource.attribute.labels (CtdTagArtifactsDropsProcessor_label) | Membuat label dari CtdTagArtifactsDropsProcessor dan menggabungkannya. |
CtdTagArtifactsDropsProcessorSum | principal.resource.attribute.labels (CtdTagArtifactsDropsProcessorSum_label) | Membuat label dari CtdTagArtifactsDropsProcessorSum dan menggabungkannya. |
CtdTagArtifactsDropsSniffer | principal.resource.attribute.labels (CtdTagArtifactsDropsSniffer_label) | Membuat label dari CtdTagArtifactsDropsSniffer dan menggabungkannya. |
CtdTagArtifactsDropsSnifferSum | principal.resource.attribute.labels (CtdTagArtifactsDropsSnifferSum_label) | Membuat label dari CtdTagArtifactsDropsSnifferSum dan menggabungkannya. |
CtdTagArtifactsDropsDissectorPypy | principal.resource.attribute.labels (CtdTagArtifactsDropsDissectorPypy_label) | Membuat label dari CtdTagArtifactsDropsDissectorPypy dan menggabungkannya. |
CtdTagArtifactsDropsDissectorPypySum | principal.resource.attribute.labels (CtdTagArtifactsDropsDissectorPypySum_label) | Membuat label dari CtdTagArtifactsDropsDissectorPypySum dan menggabungkannya. |
CtdCapsaverFolderCleanup | principal.resource.attribute.labels (CtdCapsaverFolderCleanup_label) | Membuat label dari CtdCapsaverFolderCleanup dan menggabungkannya. |
CtdCapsaverUtilzationTest | principal.resource.attribute.labels (CtdCapsaverUtilzationTest_label) | Membuat label dari CtdCapsaverUtilzationTest dan menggabungkannya. |
CtdYaraScannerTest | principal.resource.attribute.labels (CtdYaraScannerTest_label) | Membuat label dari CtdYaraScannerTest dan menggabungkannya. |
CtdWrkrWorkersStop | principal.resource.attribute.labels (CtdWrkrWorkersStop_label) | Membuat label dari CtdWrkrWorkersStop dan menggabungkannya. |
CtdWrkrWorkersRestart | principal.resource.attribute.labels (CtdWrkrWorkersRestart_label) | Membuat label dari CtdWrkrWorkersRestart dan menggabungkannya. |
CtdWrkrActiveExecuter | principal.resource.attribute.labels (CtdWrkrActiveExecuter_label) | Membuat label dari CtdWrkrActiveExecuter dan menggabungkannya. |
CtdWrkrSensor | principal.resource.attribute.labels (CtdWrkrSensor_label) | Membuat label dari CtdWrkrSensor dan menggabungkannya. |
CtdWrkrAuthentication | principal.resource.attribute.labels (CtdWrkrAuthentication_label) | Membuat label dari CtdWrkrAuthentication dan menggabungkannya. |
CtdWrkrMitre | principal.resource.attribute.labels (CtdWrkrMitre_label) | Membuat label dari CtdWrkrMitre dan menggabungkannya. |
CtdWrkrNotifications | principal.resource.attribute.labels (CtdWrkrNotifications_label) | Membuat label dari CtdWrkrNotifications dan menggabungkannya. |
CtdWrkrProcessor | principal.resource.attribute.labels (CtdWrkrProcessor_label) | Membuat label dari CtdWrkrProcessor dan menggabungkannya. |
CtdWrkrCloudAgent | principal.resource.attribute.labels (CtdWrkrCloudAgent_label) | Membuat label dari CtdWrkrCloudAgent dan menggabungkannya. |
CtdWrkrCloudClient | principal.resource.attribute.labels (CtdWrkrCloudClient_label) | Membuat label dari CtdWrkrCloudClient dan menggabungkannya. |
CtdWrkrScheduler | principal.resource.attribute.labels (CtdWrkrScheduler_label) | Membuat label dari CtdWrkrScheduler dan menggabungkannya. |
CtdWrkrknownThreats | principal.resource.attribute.labels (CtdWrkrknownThreats_label) | Membuat label dari CtdWrkrknownThreats dan menggabungkannya. |
CtdWrkrCacher | principal.resource.attribute.labels (CtdWrkrCacher_label) | Membuat label dari CtdWrkrCacher dan menggabungkannya. |
CtdWrkrInsights | principal.resource.attribute.labels (CtdWrkrInsights_label) | Membuat label dari CtdWrkrInsights dan menggabungkannya. |
CtdWrkrActive | principal.resource.attribute.labels (CtdWrkrActive_label) | Membuat label dari CtdWrkrActive dan menggabungkannya. |
CtdWrkrEnricher | principal.resource.attribute.labels (CtdWrkrEnricher_label) | Membuat label dari CtdWrkrEnricher dan menggabungkannya. |
CtdWrkrIndicators | principal.resource.attribute.labels (CtdWrkrIndicators_label) | Membuat label dari CtdWrkrIndicators dan menggabungkannya. |
CtdWrkrIndicatorsApi | principal.resource.attribute.labels (CtdWrkrIndicatorsApi_label) | Membuat label dari CtdWrkrIndicatorsApi dan menggabungkannya. |
CtdWrkrConcluder | principal.resource.attribute.labels (CtdWrkrConcluder_label) | Membuat label dari CtdWrkrConcluder dan menggabungkannya. |
CtdWrkrPreprocessor | principal.resource.attribute.labels (CtdWrkrPreprocessor_label) | Membuat label dari CtdWrkrPreprocessor dan menggabungkannya. |
CtdWrkrLeecher | principal.resource.attribute.labels (CtdWrkrLeecher_label) | Membuat label dari CtdWrkrLeecher dan menggabungkannya. |
CtdWrkrSyncManager | principal.resource.attribute.labels (CtdWrkrSyncManager_label) | Membuat label dari CtdWrkrSyncManager dan menggabungkannya. |
CtdWrkrBridge | principal.resource.attribute.labels (CtdWrkrBridge_label) | Membuat label dari CtdWrkrBridge dan menggabungkannya. |
CtdWrkrWebRanger | principal.resource.attribute.labels (CtdWrkrWebRanger_label) | Membuat label dari CtdWrkrWebRanger dan menggabungkannya. |
CtdWrkrWebWs | principal.resource.attribute.labels (CtdWrkrWebWs_label) | Membuat label dari CtdWrkrWebWs dan menggabungkannya. |
CtdWrkrWebAuth | principal.resource.attribute.labels (CtdWrkrWebAuth_label) | Membuat label dari CtdWrkrWebAuth dan menggabungkannya. |
CtdWrkrWebNginx | principal.resource.attribute.labels (CtdWrkrWebNginx_label) | Membuat label dari CtdWrkrWebNginx dan menggabungkannya. |
CtdWrkrConfigurator | principal.resource.attribute.labels (CtdWrkrConfigurator_label) | Membuat label dari CtdWrkrConfigurator dan menggabungkannya. |
CtdWrkrConfiguratorNginx | principal.resource.attribute.labels (CtdWrkrConfiguratorNginx_label) | Membuat label dari CtdWrkrConfiguratorNginx dan menggabungkannya. |
CtdWrkrCapsaver | principal.resource.attribute.labels (CtdWrkrCapsaver_label) | Membuat label dari CtdWrkrCapsaver dan menggabungkannya. |
CtdWrkrBaselineTracker | principal.resource.attribute.labels (CtdWrkrBaselineTracker_label) | Membuat label dari CtdWrkrBaselineTracker dan menggabungkannya. |
CtdWrkrDissector | principal.resource.attribute.labels (CtdWrkrDissector_label) | Membuat label dari CtdWrkrDissector dan menggabungkannya. |
CtdWrkrDissectorA | principal.resource.attribute.labels (CtdWrkrDissectorA_label) | Membuat label dari CtdWrkrDissectorA dan menggabungkannya. |
CtdWrkrDissectorNg | principal.resource.attribute.labels (CtdWrkrDissectorNg_label) | Membuat label dari CtdWrkrDissectorNg dan menggabungkannya. |
CtdWrkrPreprocessing | principal.resource.attribute.labels (CtdWrkrPreprocessing_label) | Membuat label dari CtdWrkrPreprocessing dan menggabungkannya. |
CtdWrkrPreprocessingNg | principal.resource.attribute.labels (CtdWrkrPreprocessingNg_label) | Membuat label dari CtdWrkrPreprocessingNg dan menggabungkannya. |
CtdWrkrStatisticsNg | principal.resource.attribute.labels (CtdWrkrStatisticsNg_label) | Membuat label dari CtdWrkrStatisticsNg dan menggabungkannya. |
CtdWrkrSyslogAlerts | principal.resource.attribute.labels (CtdWrkrSyslogAlerts_label) | Membuat label dari CtdWrkrSyslogAlerts dan menggabungkannya. |
CtdWrkrSyslogEvents | principal.resource.attribute.labels (CtdWrkrSyslogEvents_label) | Membuat label dari CtdWrkrSyslogEvents dan menggabungkannya. |
CtdWrkrSyslogInsights | principal.resource.attribute.labels (CtdWrkrSyslogInsights_label) | Membuat label dari CtdWrkrSyslogInsights dan menggabungkannya. |
CtdWrkrRdDissector | principal.resource.attribute.labels (CtdWrkrRdDissector_label) | Membuat label dari CtdWrkrRdDissector dan menggabungkannya. |
CtdWrkrRdDissectorA | principal.resource.attribute.labels (CtdWrkrRdDissectorA_label) | Membuat label dari CtdWrkrRdDissectorA dan menggabungkannya. |
CtdSensorName | principal.resource.attribute.labels (CtdSensorName_label) | Membuat label dari CtdSensorName dan menggabungkannya. |
CtdCtrlSite | principal.resource.attribute.labels (CtdCtrlSite_label) | Membuat label dari CtdCtrlSite dan menggabungkannya. |
CtdLoopCallDurationBaselineTrackerWrkerHandleNetworkStatistics | principal.resource.attribute.labels (CtdLoopCallDurationBaselineTrackerWrkerHandleNetworkStatistics_label) | Membuat label dari CtdLoopCallDurationBaselineTrackerWrkerHandleNetworkStatistics dan menggabungkannya. |
CtdDissectionCoverage | principal.resource.attribute.labels (CtdDissectionCoverage_label) | Membuat label dari CtdDissectionCoverage dan menggabungkannya. |
CtdDissectionEfficiencyModbus | principal.resource.attribute.labels (CtdDissectionEfficiencyModbus_label) | Membuat label dari CtdDissectionEfficiencyModbus dan menggabungkannya. |
CtdDissectionEfficiencySmb | principal.resource.attribute.labels (CtdDissectionEfficiencySmb_label) | Membuat label dari CtdDissectionEfficiencySmb dan menggabungkannya. |
CtdDissectionEfficiencyDcerpc | principal.resource.attribute.labels (CtdDissectionEfficiencyDcerpc_label) | Membuat label dari CtdDissectionEfficiencyDcerpc dan menggabungkannya. |
CtdDissectionEfficiencyZabbix | principal.resource.attribute.labels (CtdDissectionEfficiencyZabbix_label) | Membuat label dari CtdDissectionEfficiencyZabbix dan menggabungkannya. |
CtdDissectionEfficiencyFactorytalkRna | principal.resource.attribute.labels (CtdDissectionEfficiencyFactorytalkRna_label) | Membuat label dari CtdDissectionEfficiencyFactorytalkRna dan menggabungkannya. |
CtdDissectionEfficiencySsl | principal.resource.attribute.labels (CtdDissectionEfficiencySsl_label) | Membuat label dari CtdDissectionEfficiencySsl dan menggabungkannya. |
CtdDissectionEfficiencyVrrpProtocolMatcher | principal.resource.attribute.labels (CtdDissectionEfficiencyVrrpProtocolMatcher_label) | Membuat label dari CtdDissectionEfficiencyVrrpProtocolMatcher dan menggabungkannya. |
CtdDissectionEfficiencyRdp | principal.resource.attribute.labels (CtdDissectionEfficiencyRdp_label) | Membuat label dari CtdDissectionEfficiencyRdp dan menggabungkannya. |
CtdDissectionEfficiencySsh | principal.resource.attribute.labels (CtdDissectionEfficiencySsh_label) | Membuat label dari CtdDissectionEfficiencySsh dan menggabungkannya. |
CtdDissectionEfficiencyHttp | principal.resource.attribute.labels (CtdDissectionEfficiencyHttp_label) | Membuat label dari CtdDissectionEfficiencyHttp dan menggabungkannya. |
CtdDissectionEfficiencyTcpHttp | principal.resource.attribute.labels (CtdDissectionEfficiencyTcpHttp_label) | Membuat label dari CtdDissectionEfficiencyTcpHttp dan menggabungkannya. |
CtdDissectionEfficiencyLdap | principal.resource.attribute.labels (CtdDissectionEfficiencyLdap_label) | Membuat label dari CtdDissectionEfficiencyLdap dan menggabungkannya. |
CtdDissectionEfficiencyJrmi | principal.resource.attribute.labels (CtdDissectionEfficiencyJrmi_label) | Membuat label dari CtdDissectionEfficiencyJrmi dan menggabungkannya. |
CtdDissectionEfficiencyGeIfix | principal.resource.attribute.labels (CtdDissectionEfficiencyGeIfix_label) | Membuat label dari CtdDissectionEfficiencyGeIfix dan menggabungkannya. |
CtdDissectionEfficiencyLlc | principal.resource.attribute.labels (CtdDissectionEfficiencyLlc_label) | Membuat label dari CtdDissectionEfficiencyLlc dan menggabungkannya. |
CtdDissectionEfficiencyMatrikonNopc | principal.resource.attribute.labels (CtdDissectionEfficiencyMatrikonNopc_label) | Membuat label dari CtdDissectionEfficiencyMatrikonNopc dan menggabungkannya. |
CtdDissectionEfficiencyVnc | principal.resource.attribute.labels (CtdDissectionEfficiencyVnc_label) | Membuat label dari CtdDissectionEfficiencyVnc dan menggabungkannya. |
CtdUnhandledEvents | principal.resource.attribute.labels (CtdUnhandledEvents_label) | Membuat label dari CtdUnhandledEvents dan menggabungkannya. |
CtdConcludeTime | principal.resource.attribute.labels (CtdConcludeTime_label) | Membuat label dari CtdConcludeTime dan menggabungkannya. |
CtdMysqlQuery | principal.resource.attribute.labels (CtdMysqlQuery_label) | Membuat label dari CtdMysqlQuery dan menggabungkannya. |
CtdPostgresQuery | principal.resource.attribute.labels (CtdPostgresQuery_label) | Membuat label dari CtdPostgresQuery dan menggabungkannya. |
CtdPsqlIdleSessions | principal.resource.attribute.labels (CtdPsqlIdleSessions_label) | Membuat label dari CtdPsqlIdleSessions dan menggabungkannya. |
CtdPsqlIdleInTransactionSessions | principal.resource.attribute.labels (CtdPsqlIdleInTransactionSessions_label) | Membuat label dari CtdPsqlIdleInTransactionSessions dan menggabungkannya. |
CtdSnifferStatus | principal.resource.attribute.labels (CtdSnifferStatus_label) | Membuat label dari CtdSnifferStatus dan menggabungkannya. |
CtdLoopCallDurationPollObjects | principal.resource.attribute.labels (CtdLoopCallDurationPollObjects_label) | Membuat label dari CtdLoopCallDurationPollObjects dan menggabungkannya. |
CtdLoopCallDurationCloudClientWrkrBaseRunCloudConnected | principal.resource.attribute.labels (CtdLoopCallDurationCloudClientWrkrBaseRunCloudConnected_label) | Membuat label dari CtdLoopCallDurationCloudClientWrkrBaseRunCloudConnected dan menggabungkannya. |
CtdSnifferStatusCentral | principal.resource.attribute.labels (CtdSnifferStatusCentral_label) | Membuat label dari CtdSnifferStatusCentral dan menggabungkannya. |
CtdSnifferStatusSite | principal.resource.attribute.labels (CtdSnifferStatusSite_label) | Membuat label dari CtdSnifferStatusSite dan menggabungkannya. |
CtdWrkrMailer | principal.resource.attribute.labels (CtdWrkrMailer_label) | Membuat label dari CtdWrkrMailer dan menggabungkannya. |
CtdDroppedEntities | principal.resource.attribute.labels (CtdDroppedEntities_label) | Membuat label dari CtdDroppedEntities dan menggabungkannya. |
externalId | metadata.product_log_id | Memetakan externalId ke metadata.product_log_id. |
proto | protocol_number_src | Mengonversi proto menjadi huruf besar dan menetapkannya ke protocol_number_src untuk pencarian. |
protocol_number_src | ip_protocol_out; app_protocol_out | Menginisialisasi ip_protocol_out ke UNKNOWN_IP_PROTOCOL dan app_protocol_out ke UNKNOWN_APPLICATION_PROTOCOL , lalu memperbarui berdasarkan pencarian. |
ip_protocol_out | network.ip_protocol | Menetapkan network.ip_protocol dari ip_protocol_out. |
app_protocol_out | network.application_protocol | Menetapkan network.application_protocol dari app_protocol_out. |
CtdExternalId | metadata.product_log_id | Menimpa metadata.product_log_id dengan CtdExternalId jika diberikan. |
CtdDeviceExternalId | principal.resource.attribute.labels (ctd_device_label) | Membuat label dari CtdDeviceExternalId (dengan awalan CtdDeviceExternalId ) dan menggabungkannya. |
(if has_principal_device is true and ctdeventtype = Login ) |
security_result.category; security_result.action | Untuk peristiwa Login, menetapkan security_result.category ke AUTH_VIOLATION dan tindakan ke BLOCK . |
(if has_principal_device is true and ctdeventtype = Memory Reset ) |
security_result.category | Menetapkan security_result.category ke SOFTWARE_SUSPICIOUS . |
(jika target_machine_id_present benar, has_principal_device benar, dan ctdeventtype dalam [Known Threat Alert , Known Threat Event , Man-in-the-Middle Attack , Suspicious Activity ]) |
security_result.category | Menetapkan security_result.category ke NETWORK_MALICIOUS . |
(if target_machine_id_present is true, has_principal_device is true, and ctdeventtype = Suspicious File Transfer ) |
security_result.category | Menetapkan security_result.category ke NETWORK_SUSPICIOUS . |
(if target_machine_id_present is true, has_principal_device is true, and ctdeventtype = Denial Of Service ) |
security_result.category | Menetapkan security_result.category ke NETWORK_DENIAL_OF_SERVICE . |
(if has_principal_device is true and ctdeventtype in [Host Scan , Port Scan ]) |
security_result.category | Menetapkan security_result.category ke NETWORK_RECON . |
(jika target_machine_id_present benar, has_principal_device benar, dan ctdeventtype dalam [Policy Rule Match , Policy Violation Alert , Policy Violation ]) |
security_result.category | Menetapkan security_result.category ke POLICY_VIOLATION . |
(default jika has_principal_device bernilai benar (true)) | security_result.category | Menetapkan security_result.category ke NETWORK_SUSPICIOUS secara default. |
security_result_category turunan | security_result.category | Menggabungkan kategori keamanan turunan ke dalam security_result.category. |
Derived security_result_action | security_result.action | Menggabungkan tindakan keamanan turunan ke dalam security_result.action (jika disetel). |
cs6 (dengan cs6Label CTDlink ) |
metadata.url_back_to_product; security_result.url_back_to_product | Menetapkan kolom URL dari cs6 untuk menautkan kembali ke detail produk. |
cs1 (dengan cs1Label SourceAssetType ) |
principal.asset.category; principal.asset.type | Menetapkan principal.asset.category dari cs1 dan menentukan principal.asset.type berdasarkan nilainya. |
cs2 (dengan cs2Label DestAssetType ) |
target.asset.category; target.asset.type | Menetapkan target.asset.category dari cs2 dan menentukan target.asset.type berdasarkan nilainya. |
cfp1 (dengan cfp1Label CVEScore ) |
vulns.vulnerabilities.cvss_base_score | Menetapkan vulns.vulnerabilities.cvss_base_score (dikonversi menjadi float) dan menandai vul_fields_present benar. |
cs6 (dengan cs6Label CVE ) |
vulns.vulnerabilities.cve_id | Menetapkan vulns.vulnerabilities.cve_id dan menandai vul_fields_present sebagai benar. |
cn1 (dengan cn1Label IndicatorScore ) |
security_result.confidence_score | Mengekstrak skor indikator dari cn1, mengonversinya menjadi float, dan menetapkannya sebagai skor keyakinan. |
filepath | about.file.full_path; security_result.about.file.full_path | Memetakan jalur file ke about.file.full_path dan security_result.about.file.full_path. |
(if eventclass = HealthCheck and cs1Label = Site ) |
intermediary.location.name | Menetapkan intermediary.location.name dari cs1 saat digunakan sebagai ID situs. |
cn1 (dengan cn1Label) | additional.fields (cn1_label) | Membuat label kolom tambahan dari cn1 dan menggabungkannya ke additional.fields. |
cs1 (dengan cs1Label) | additional.fields (cs1_label) | Membuat label kolom tambahan dari cs1 dan menggabungkannya ke additional.fields. |
cs2 (dengan cs2Label) | additional.fields (cs2_label) | Membuat label kolom tambahan dari cs2 dan menggabungkannya ke additional.fields. |
cs3 (dengan cs3Label) | additional.fields (cs3_label) | Membuat label kolom tambahan dari cs3 dan menggabungkannya. |
cs4 (dengan cs4Label) | additional.fields (cs4_label) | Membuat label kolom tambahan dari cs4 dan menggabungkannya. |
cs6 (dengan cs6Label) | additional.fields (cs6_label) | Membuat label kolom tambahan dari cs6 dan menggabungkannya. |
(untuk peristiwa Insight berdasarkan event_name dan vul_fields_present) | event_type | Mendapatkan event_type untuk peristiwa Insight (misalnya, SCAN_VULN_HOST, STATUS_UNCATEGORIZED, STATUS_UPDATE). |
(untuk peristiwa Event/Alert berdasarkan ctdeventtype, has_principal_device, dll.) | event_type; (opsional target.resource.type atau auth.type) | Mendapatkan event_type untuk peristiwa Event/Alert seperti DEVICE_CONFIG_UPDATE, DEVICE_PROGRAM_DOWNLOAD/UPLOAD, NETWORK_UNCATEGORIZED, USER_RESOURCE_CREATION, SCAN_HOST, SCAN_NETWORK, SETTING_MODIFICATION, USER_LOGIN, NETWORK_CONNECTION, atau STATUS_UPDATE. |
(jika event_type tetap kosong) | event_type | Menetapkan event_type ke NETWORK_CONNECTION, USER_RESOURCE_ACCESS, atau STATUS_UPDATE berdasarkan tanda yang tersedia. |
event_type (final) | metadata.event_type | Menyalin event_type akhir ke metadata.event_type; defaultnya adalah GENERIC_EVENT jika kosong. |
device_vendor | metadata.vendor_name | Menetapkan metadata.vendor_name dari device_vendor; defaultnya adalah CLAROTY jika tidak ada. |
device_product | metadata.product_name | Menetapkan metadata.product_name dari device_product; defaultnya adalah CTD jika tidak ada. |
device_version | metadata.product_version | Menetapkan metadata.product_version dari device_version. |
security_description (jika cocok dengan ET TROJAN … ) |
security_result.threat_name | Mengekstrak threat_name menggunakan pola ET TROJAN (?P<threat_name>\S+) dari security_description dan memetakannya ke security_result.threat_name. |
metadata | event.idm.read_only_udm.metadata | Mengganti nama metadata menjadi event.idm.read_only_udm.metadata. |
utama | event.idm.read_only_udm.principal | Mengganti nama principal menjadi event.idm.read_only_udm.principal. |
target | event.idm.read_only_udm.target | Mengganti nama target menjadi event.idm.read_only_udm.target. |
jaringan | event.idm.read_only_udm.network | Mengganti nama network menjadi event.idm.read_only_udm.network. |
tambahan | event.idm.read_only_udm.additional | Mengganti nama additional menjadi event.idm.read_only_udm.additional. |
security_result | event.idm.read_only_udm.security_result | Menggabungkan security_result ke event.idm.read_only_udm.security_result. |
tentang | event.idm.read_only_udm.about | Menggabungkan about ke event.idm.read_only_udm.about. |
perantara | event.idm.read_only_udm.intermediary | Menggabungkan perantara ke event.idm.read_only_udm.intermediary. |
vulns.vulnerabilities | event.idm.read_only_udm.extensions.vulns.vulnerabilities | Menggabungkan vulns.vulnerabilities ke event.idm.read_only_udm.extensions.vulns.vulnerabilities. |
@output | event | Menggabungkan struktur peristiwa UDM lengkap ke dalam kolom event akhir. |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.