Mengumpulkan log CTD Claroty

Didukung di:

Dokumen ini menjelaskan cara menyerap log Claroty Continuous Threat Detection (CTD) ke Google Security Operations menggunakan Bindplane.

Sebelum memulai

  • Pastikan Anda memiliki instance Google Security Operations.
  • Pastikan Anda menggunakan Windows 2016 atau yang lebih baru, atau host Linux dengan systemd.
  • Jika berjalan di belakang proxy, pastikan port firewall terbuka.
  • Pastikan Anda memiliki akses istimewa ke Claroty CTD.

Mendapatkan file autentikasi penyerapan Google SecOps

  1. Login ke konsol Google SecOps.
  2. Buka Setelan SIEM > Agen Pengumpulan.
  3. Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

  1. Login ke konsol Google SecOps.
  2. Buka Setelan SIEM > Profil.
  3. Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen Bindplane

Penginstalan Windows

  1. Buka Command Prompt atau PowerShell sebagai administrator.
  2. Jalankan perintah berikut:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
    

Penginstalan Linux

  1. Buka terminal dengan hak istimewa root atau sudo.
  2. Jalankan perintah berikut:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
    

Referensi penginstalan tambahan

Mengonfigurasi agen BindPlane untuk menyerap Syslog dan mengirimkannya ke Google SecOps

  1. Akses file konfigurasi:

    1. Cari file config.yaml. Biasanya, file ini berada di direktori /etc/bindplane-agent/ di Linux atau di direktori penginstalan di Windows.
    2. Buka file menggunakan editor teks (misalnya, nano, vi, atau Notepad).
  2. Edit file config.yaml sebagai berikut:

    receivers:
        udplog:
            # Replace the port and IP address as required
            listen_address: "0.0.0.0:514"
    
    exporters:
        chronicle/chronicle_w_labels:
            compression: gzip
            # Adjust the path to the credentials file you downloaded in Step 1
            creds: '/path/to/ingestion-authentication-file.json'
            # Replace with your actual customer ID from Step 2
            customer_id: <customer_id>
            endpoint: malachiteingestion-pa.googleapis.com
            # Add optional ingestion labels for better organization
            ingestion_labels:
                log_type: CLAROTY_CTD
                raw_log_field: body
    
    service:
        pipelines:
            logs/source0__chronicle_w_labels-0:
                receivers:
                    - udplog
                exporters:
                    - chronicle/chronicle_w_labels
    
  3. Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.

  4. Ganti <customer_id> dengan ID pelanggan yang sebenarnya.

  5. Perbarui /path/to/ingestion-authentication-file.json ke jalur tempat file autentikasi disimpan di bagian Dapatkan file autentikasi penyerapan Google SecOps.

Mulai ulang agen Bindplane untuk menerapkan perubahan

  • Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:

    sudo systemctl restart bindplane-agent
    
  • Untuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:

    net stop BindPlaneAgent && net start BindPlaneAgent
    

Mengonfigurasi Syslog di Claroty Continuous Threat Detection (CTD)

  1. Login ke UI Web Claroty CTD.
  2. Buka Menu > Integrasi > Syslog.
  3. Ulangi langkah-langkah berikut untuk setiap jenis konten pesan syslog:
    • Notifikasi
    • Acara
    • Pemantauan Kesehatan
    • Insight
    • Log Aktivitas
    • Kerentanan
  4. Klik + untuk menambahkan konfigurasi baru.
  5. Di menu Konten Pesan, pilih konten yang diperlukan untuk diekspor.
  6. Berikan detail konfigurasi berikut:
    • Kategori: pilih Semua.
    • Jenis: pilih jenis Pilih Semua.
    • Format: pilih CEF (Terbaru).
    • URL Sistem: jangan perbarui URL/IP sistem, kecuali jika Anda berada di belakang server proxy.
    • Kirim ke: pilih Server Syslog eksternal (misalnya, sistem SIEM, SOAR).
    • Vendor: pilih Lainnya.
    • IP Server Syslog: masukkan alamat IP agen Bindplane.
    • Port: masukkan port agen Bindplane (misalnya, 514).
    • Protocol: pilih UDP (opsi lainnya mencakup TCP, TLS, atau mTLS, bergantung pada konfigurasi Bindplane Anda).
  7. Klik Simpan.

Tabel Pemetaan UDM

Kolom Log Pemetaan UDM Logika
CtdRealTime metadata.event_timestamp Diparsing menggunakan MMM dd yyyy HH:mm:ss dari CtdRealTime dan digunakan sebagai stempel waktu peristiwa.
CtdTimeGenerated metadata.event_timestamp Jika CtdRealTime kosong, akan diuraikan menggunakan MMM dd yyyy HH:mm:ss dari CtdTimeGenerated untuk menetapkan stempel waktu peristiwa.
CtdMessage metadata.description Menetapkan metadata.description dari kolom CtdMessage.
CtdMessage security_result.description Menetapkan security_result.description dari kolom CtdMessage jika berlaku.
Port (dari KV CtdMessage) principal.port Diekstrak dari kunci Port di CtdMessage; dikonversi menjadi bilangan bulat dan ditetapkan sebagai principal.port.
Kategori (dari KV CtdMessage) security_result.detection_fields (Category_label) Diekstrak dari CtdMessage sebagai kunci Category dan digabungkan ke dalam kolom deteksi.
Akses (dari KV CtdMessage) security_result.detection_fields (Access_label) Diekstrak dari CtdMessage sebagai kunci Access dan digabungkan ke dalam kolom deteksi.
CtdSite principal.hostname Memetakan CtdSite ke principal.hostname.
CtdSite principal.asset.hostname Memetakan CtdSite ke principal.asset.hostname.
CtdCpu principal.resource.attribute.labels (CtdCpu_label) Membuat label dengan kunci CtdCpu menggunakan nilai CtdCpu dan menggabungkannya ke principal.resource.attribute.labels.
CtdMem principal.resource.attribute.labels (CtdMem_label) Membuat label dengan kunci CtdMem menggunakan nilai CtdMem dan menggabungkannya ke principal.resource.attribute.labels.
CtdUsedOptIcsranger principal.resource.attribute.labels (CtdUsedOptIcsranger_label) Membuat label dari CtdUsedOptIcsranger dan menggabungkannya.
CtdUsedVar principal.resource.attribute.labels (CtdUsedVar_label) Membuat label dari CtdUsedVar dan menggabungkannya.
CtdUsedTmp principal.resource.attribute.labels (CtdUsedTmp_label) Membuat label dari CtdUsedTmp dan menggabungkannya.
CtdUsedEtc principal.resource.attribute.labels (CtdUsedEtc_label) Membuat label dari CtdUsedEtc dan menggabungkannya.
CtdBusyFd principal.resource.attribute.labels (CtdBusyFd_label) Membuat label dari CtdBusyFd dan menggabungkannya.
CtdBusySda principal.resource.attribute.labels (CtdBusySda_label) Membuat label dari CtdBusySda dan menggabungkannya.
CtdBusySdaA principal.resource.attribute.labels (CtdBusySdaA_label) Membuat label dari CtdBusySdaA dan menggabungkannya.
CtdBusySdaB principal.resource.attribute.labels (CtdBusySdaB_label) Membuat label dari CtdBusySdaB dan menggabungkannya.
CtdBusySr principal.resource.attribute.labels (CtdBusySr_label) Membuat label dari CtdBusySr dan menggabungkannya.
CtdBusyDm principal.resource.attribute.labels (CtdBusyDm_label) Membuat label dari CtdBusyDm dan menggabungkannya.
CtdBusyDmA principal.resource.attribute.labels (CtdBusyDmA_label) Membuat label dari CtdBusyDmA dan menggabungkannya.
CtdQuPreprocessingNg principal.resource.attribute.labels (CtdQuPreprocessingNg_label) Membuat label dari CtdQuPreprocessingNg dan menggabungkannya.
CtdQuBaselineTracker principal.resource.attribute.labels (CtdQuBaselineTracker_label) Membuat label dari CtdQuBaselineTracker dan menggabungkannya.
CtdQuBridge principal.resource.attribute.labels (CtdQuBridge_label) Membuat label dari CtdQuBridge dan menggabungkannya.
CtdQuCentralBridge principal.resource.attribute.labels (CtdQuCentralBridge_label) Membuat label dari CtdQuCentralBridge dan menggabungkannya.
CtdQuConcluding principal.resource.attribute.labels (CtdQuConcluding_label) Membuat label dari CtdQuConcluding dan menggabungkannya.
CtdQuDiodeFeeder principal.resource.attribute.labels (CtdQuDiodeFeeder_label) Membuat label dari CtdQuDiodeFeeder dan menggabungkannya.
CtdQuDissector principal.resource.attribute.labels (CtdQuDissector_label) Membuat label dari CtdQuDissector dan menggabungkannya.
CtdQuDissectorA principal.resource.attribute.labels (CtdQuDissectorA_label) Membuat label dari CtdQuDissectorA dan menggabungkannya.
CtdQuDissectorNg principal.resource.attribute.labels (CtdQuDissectorNg_label) Membuat label dari CtdQuDissectorNg dan menggabungkannya.
CtdQuIndicatorService principal.resource.attribute.labels (CtdQuIndicatorService_label) Membuat label dari CtdQuIndicatorService dan menggabungkannya.
CtdQuLeecher principal.resource.attribute.labels (CtdQuLeecher_label) Membuat label dari CtdQuLeecher dan menggabungkannya.
CtdQuMonitor principal.resource.attribute.labels (CtdQuMonitor_label) Membuat label dari CtdQuMonitor dan menggabungkannya.
CtdQuNetworkStatistics principal.resource.attribute.labels (CtdQuNetworkStatistics_label) Membuat label dari CtdQuNetworkStatistics dan menggabungkannya.
CtdQuPackets principal.resource.attribute.labels (CtdQuPackets_label) Membuat label dari CtdQuPackets dan menggabungkannya.
CtdQuPacketsErrors principal.resource.attribute.labels (CtdQuPacketsErrors_label) Membuat label dari CtdQuPacketsErrors dan menggabungkannya.
CtdQuPreprocessing principal.resource.attribute.labels (CtdQuPreprocessing_label) Membuat label dari CtdQuPreprocessing dan menggabungkannya.
CtdQuPriorityProcessing principal.resource.attribute.labels (CtdQuPriorityProcessing_label) Membuat label dari CtdQuPriorityProcessing dan menggabungkannya.
CtdQuProcessing principal.resource.attribute.labels (CtdQuProcessing_label) Membuat label dari CtdQuProcessing dan menggabungkannya.
CtdQuProcessingHigh principal.resource.attribute.labels (CtdQuProcessingHigh_label) Membuat label dari CtdQuProcessingHigh dan menggabungkannya.
CtdQuZordonUpdates principal.resource.attribute.labels (CtdQuZordonUpdates_label) Membuat label dari CtdQuZordonUpdates dan menggabungkannya.
CtdQuStatisticsNg principal.resource.attribute.labels (CtdQuStatisticsNg_label) Membuat label dari CtdQuStatisticsNg dan menggabungkannya.
CtdQueuePurge principal.resource.attribute.labels (CtdQueuePurge_label) Membuat label dari CtdQueuePurge dan menggabungkannya.
CtdQuSyslogAlerts principal.resource.attribute.labels (CtdQuSyslogAlerts_label) Membuat label dari CtdQuSyslogAlerts dan menggabungkannya.
CtdQuSyslogEvents principal.resource.attribute.labels (CtdQuSyslogEvents_label) Membuat label dari CtdQuSyslogEvents dan menggabungkannya.
CtdQuSyslogInsights principal.resource.attribute.labels (CtdQuSyslogInsights_label) Membuat label dari CtdQuSyslogInsights dan menggabungkannya.
CtdRdDissector principal.resource.attribute.labels (CtdRdDissector_label) Membuat label dari CtdRdDissector dan menggabungkannya.
CtdRdDissectorA principal.resource.attribute.labels (CtdRdDissectorA_label) Membuat label dari CtdRdDissectorA dan menggabungkannya.
CtdRdDissectorNg principal.resource.attribute.labels (CtdRdDissectorNg_label) Membuat label dari CtdRdDissectorNg dan menggabungkannya.
CtdRdPreprocessing principal.resource.attribute.labels (CtdRdPreprocessing_label) Membuat label dari CtdRdPreprocessing dan menggabungkannya.
CtdRdPreprocessingNg principal.resource.attribute.labels (CtdRdPreprocessingNg_label) Membuat label dari CtdRdPreprocessingNg dan menggabungkannya.
CtdSvcMariaDb principal.resource.attribute.labels (CtdSvcMariaDb_label) Membuat label dari CtdSvcMariaDb dan menggabungkannya.
CtdSvcPostgres principal.resource.attribute.labels (CtdSvcPostgres_label) Membuat label dari CtdSvcPostgres dan menggabungkannya.
CtdSvcRedis principal.resource.attribute.labels (CtdSvcRedis_label) Membuat label dari CtdSvcRedis dan menggabungkannya.
CtdSvcRabbitMq principal.resource.attribute.labels (CtdSvcRabbitMq_label) Membuat label dari CtdSvcRabbitMq dan menggabungkannya.
CtdSvcIcsranger principal.resource.attribute.labels (CtdSvcIcsranger_label) Membuat label dari CtdSvcIcsranger dan menggabungkannya.
CtdSvcWatchdog principal.resource.attribute.labels (CtdSvcWatchdog_label) Membuat label dari CtdSvcWatchdog dan menggabungkannya.
CtdSvcFirewalld principal.resource.attribute.labels (CtdSvcFirewalld_label) Membuat label dari CtdSvcFirewalld dan menggabungkannya.
CtdSvcNetunnel principal.resource.attribute.labels (CtdSvcNetunnel_label) Membuat label dari CtdSvcNetunnel dan menggabungkannya.
CtdSvcJwthenticator principal.resource.attribute.labels (CtdSvcJwthenticator_label) Membuat label dari CtdSvcJwthenticator dan menggabungkannya.
CtdSvcDocker principal.resource.attribute.labels (CtdSvcDocker_label) Membuat label dari CtdSvcDocker dan menggabungkannya.
CtdExceptions principal.resource.attribute.labels (CtdExceptions_label) Membuat label dari CtdExceptions dan menggabungkannya.
CtdInputPacketDrops principal.resource.attribute.labels (CtdInputPacketDrops_label) Membuat label dari CtdInputPacketDrops dan menggabungkannya.
CtdOutputPacketDrops principal.resource.attribute.labels (CtdOutputPacketDrops_label) Membuat label dari CtdOutputPacketDrops dan menggabungkannya.
CtdFullOutputPacketDrops principal.resource.attribute.labels (CtdFullOutputPacketDrops_label) Membuat label dari CtdFullOutputPacketDrops dan menggabungkannya.
CtdDissectorNgPacketDrops principal.resource.attribute.labels (CtdDissectorNgPacketDrops_label) Membuat label dari CtdDissectorNgPacketDrops dan menggabungkannya.
CtdTagArtifactsDropsPreprocessor principal.resource.attribute.labels (CtdTagArtifactsDropsPreprocessor_label) Membuat label dari CtdTagArtifactsDropsPreprocessor dan menggabungkannya.
CtdTagArtifactsDropsPreprocessorSum principal.resource.attribute.labels (CtdTagArtifactsDropsPreprocessorSum_label) Membuat label dari CtdTagArtifactsDropsPreprocessorSum dan menggabungkannya.
CtdTagArtifactsDropsProcessor principal.resource.attribute.labels (CtdTagArtifactsDropsProcessor_label) Membuat label dari CtdTagArtifactsDropsProcessor dan menggabungkannya.
CtdTagArtifactsDropsProcessorSum principal.resource.attribute.labels (CtdTagArtifactsDropsProcessorSum_label) Membuat label dari CtdTagArtifactsDropsProcessorSum dan menggabungkannya.
CtdTagArtifactsDropsSniffer principal.resource.attribute.labels (CtdTagArtifactsDropsSniffer_label) Membuat label dari CtdTagArtifactsDropsSniffer dan menggabungkannya.
CtdTagArtifactsDropsSnifferSum principal.resource.attribute.labels (CtdTagArtifactsDropsSnifferSum_label) Membuat label dari CtdTagArtifactsDropsSnifferSum dan menggabungkannya.
CtdTagArtifactsDropsDissectorPypy principal.resource.attribute.labels (CtdTagArtifactsDropsDissectorPypy_label) Membuat label dari CtdTagArtifactsDropsDissectorPypy dan menggabungkannya.
CtdTagArtifactsDropsDissectorPypySum principal.resource.attribute.labels (CtdTagArtifactsDropsDissectorPypySum_label) Membuat label dari CtdTagArtifactsDropsDissectorPypySum dan menggabungkannya.
CtdCapsaverFolderCleanup principal.resource.attribute.labels (CtdCapsaverFolderCleanup_label) Membuat label dari CtdCapsaverFolderCleanup dan menggabungkannya.
CtdCapsaverUtilzationTest principal.resource.attribute.labels (CtdCapsaverUtilzationTest_label) Membuat label dari CtdCapsaverUtilzationTest dan menggabungkannya.
CtdYaraScannerTest principal.resource.attribute.labels (CtdYaraScannerTest_label) Membuat label dari CtdYaraScannerTest dan menggabungkannya.
CtdWrkrWorkersStop principal.resource.attribute.labels (CtdWrkrWorkersStop_label) Membuat label dari CtdWrkrWorkersStop dan menggabungkannya.
CtdWrkrWorkersRestart principal.resource.attribute.labels (CtdWrkrWorkersRestart_label) Membuat label dari CtdWrkrWorkersRestart dan menggabungkannya.
CtdWrkrActiveExecuter principal.resource.attribute.labels (CtdWrkrActiveExecuter_label) Membuat label dari CtdWrkrActiveExecuter dan menggabungkannya.
CtdWrkrSensor principal.resource.attribute.labels (CtdWrkrSensor_label) Membuat label dari CtdWrkrSensor dan menggabungkannya.
CtdWrkrAuthentication principal.resource.attribute.labels (CtdWrkrAuthentication_label) Membuat label dari CtdWrkrAuthentication dan menggabungkannya.
CtdWrkrMitre principal.resource.attribute.labels (CtdWrkrMitre_label) Membuat label dari CtdWrkrMitre dan menggabungkannya.
CtdWrkrNotifications principal.resource.attribute.labels (CtdWrkrNotifications_label) Membuat label dari CtdWrkrNotifications dan menggabungkannya.
CtdWrkrProcessor principal.resource.attribute.labels (CtdWrkrProcessor_label) Membuat label dari CtdWrkrProcessor dan menggabungkannya.
CtdWrkrCloudAgent principal.resource.attribute.labels (CtdWrkrCloudAgent_label) Membuat label dari CtdWrkrCloudAgent dan menggabungkannya.
CtdWrkrCloudClient principal.resource.attribute.labels (CtdWrkrCloudClient_label) Membuat label dari CtdWrkrCloudClient dan menggabungkannya.
CtdWrkrScheduler principal.resource.attribute.labels (CtdWrkrScheduler_label) Membuat label dari CtdWrkrScheduler dan menggabungkannya.
CtdWrkrknownThreats principal.resource.attribute.labels (CtdWrkrknownThreats_label) Membuat label dari CtdWrkrknownThreats dan menggabungkannya.
CtdWrkrCacher principal.resource.attribute.labels (CtdWrkrCacher_label) Membuat label dari CtdWrkrCacher dan menggabungkannya.
CtdWrkrInsights principal.resource.attribute.labels (CtdWrkrInsights_label) Membuat label dari CtdWrkrInsights dan menggabungkannya.
CtdWrkrActive principal.resource.attribute.labels (CtdWrkrActive_label) Membuat label dari CtdWrkrActive dan menggabungkannya.
CtdWrkrEnricher principal.resource.attribute.labels (CtdWrkrEnricher_label) Membuat label dari CtdWrkrEnricher dan menggabungkannya.
CtdWrkrIndicators principal.resource.attribute.labels (CtdWrkrIndicators_label) Membuat label dari CtdWrkrIndicators dan menggabungkannya.
CtdWrkrIndicatorsApi principal.resource.attribute.labels (CtdWrkrIndicatorsApi_label) Membuat label dari CtdWrkrIndicatorsApi dan menggabungkannya.
CtdWrkrConcluder principal.resource.attribute.labels (CtdWrkrConcluder_label) Membuat label dari CtdWrkrConcluder dan menggabungkannya.
CtdWrkrPreprocessor principal.resource.attribute.labels (CtdWrkrPreprocessor_label) Membuat label dari CtdWrkrPreprocessor dan menggabungkannya.
CtdWrkrLeecher principal.resource.attribute.labels (CtdWrkrLeecher_label) Membuat label dari CtdWrkrLeecher dan menggabungkannya.
CtdWrkrSyncManager principal.resource.attribute.labels (CtdWrkrSyncManager_label) Membuat label dari CtdWrkrSyncManager dan menggabungkannya.
CtdWrkrBridge principal.resource.attribute.labels (CtdWrkrBridge_label) Membuat label dari CtdWrkrBridge dan menggabungkannya.
CtdWrkrWebRanger principal.resource.attribute.labels (CtdWrkrWebRanger_label) Membuat label dari CtdWrkrWebRanger dan menggabungkannya.
CtdWrkrWebWs principal.resource.attribute.labels (CtdWrkrWebWs_label) Membuat label dari CtdWrkrWebWs dan menggabungkannya.
CtdWrkrWebAuth principal.resource.attribute.labels (CtdWrkrWebAuth_label) Membuat label dari CtdWrkrWebAuth dan menggabungkannya.
CtdWrkrWebNginx principal.resource.attribute.labels (CtdWrkrWebNginx_label) Membuat label dari CtdWrkrWebNginx dan menggabungkannya.
CtdWrkrConfigurator principal.resource.attribute.labels (CtdWrkrConfigurator_label) Membuat label dari CtdWrkrConfigurator dan menggabungkannya.
CtdWrkrConfiguratorNginx principal.resource.attribute.labels (CtdWrkrConfiguratorNginx_label) Membuat label dari CtdWrkrConfiguratorNginx dan menggabungkannya.
CtdWrkrCapsaver principal.resource.attribute.labels (CtdWrkrCapsaver_label) Membuat label dari CtdWrkrCapsaver dan menggabungkannya.
CtdWrkrBaselineTracker principal.resource.attribute.labels (CtdWrkrBaselineTracker_label) Membuat label dari CtdWrkrBaselineTracker dan menggabungkannya.
CtdWrkrDissector principal.resource.attribute.labels (CtdWrkrDissector_label) Membuat label dari CtdWrkrDissector dan menggabungkannya.
CtdWrkrDissectorA principal.resource.attribute.labels (CtdWrkrDissectorA_label) Membuat label dari CtdWrkrDissectorA dan menggabungkannya.
CtdWrkrDissectorNg principal.resource.attribute.labels (CtdWrkrDissectorNg_label) Membuat label dari CtdWrkrDissectorNg dan menggabungkannya.
CtdWrkrPreprocessing principal.resource.attribute.labels (CtdWrkrPreprocessing_label) Membuat label dari CtdWrkrPreprocessing dan menggabungkannya.
CtdWrkrPreprocessingNg principal.resource.attribute.labels (CtdWrkrPreprocessingNg_label) Membuat label dari CtdWrkrPreprocessingNg dan menggabungkannya.
CtdWrkrStatisticsNg principal.resource.attribute.labels (CtdWrkrStatisticsNg_label) Membuat label dari CtdWrkrStatisticsNg dan menggabungkannya.
CtdWrkrSyslogAlerts principal.resource.attribute.labels (CtdWrkrSyslogAlerts_label) Membuat label dari CtdWrkrSyslogAlerts dan menggabungkannya.
CtdWrkrSyslogEvents principal.resource.attribute.labels (CtdWrkrSyslogEvents_label) Membuat label dari CtdWrkrSyslogEvents dan menggabungkannya.
CtdWrkrSyslogInsights principal.resource.attribute.labels (CtdWrkrSyslogInsights_label) Membuat label dari CtdWrkrSyslogInsights dan menggabungkannya.
CtdWrkrRdDissector principal.resource.attribute.labels (CtdWrkrRdDissector_label) Membuat label dari CtdWrkrRdDissector dan menggabungkannya.
CtdWrkrRdDissectorA principal.resource.attribute.labels (CtdWrkrRdDissectorA_label) Membuat label dari CtdWrkrRdDissectorA dan menggabungkannya.
CtdSensorName principal.resource.attribute.labels (CtdSensorName_label) Membuat label dari CtdSensorName dan menggabungkannya.
CtdCtrlSite principal.resource.attribute.labels (CtdCtrlSite_label) Membuat label dari CtdCtrlSite dan menggabungkannya.
CtdLoopCallDurationBaselineTrackerWrkerHandleNetworkStatistics principal.resource.attribute.labels (CtdLoopCallDurationBaselineTrackerWrkerHandleNetworkStatistics_label) Membuat label dari CtdLoopCallDurationBaselineTrackerWrkerHandleNetworkStatistics dan menggabungkannya.
CtdDissectionCoverage principal.resource.attribute.labels (CtdDissectionCoverage_label) Membuat label dari CtdDissectionCoverage dan menggabungkannya.
CtdDissectionEfficiencyModbus principal.resource.attribute.labels (CtdDissectionEfficiencyModbus_label) Membuat label dari CtdDissectionEfficiencyModbus dan menggabungkannya.
CtdDissectionEfficiencySmb principal.resource.attribute.labels (CtdDissectionEfficiencySmb_label) Membuat label dari CtdDissectionEfficiencySmb dan menggabungkannya.
CtdDissectionEfficiencyDcerpc principal.resource.attribute.labels (CtdDissectionEfficiencyDcerpc_label) Membuat label dari CtdDissectionEfficiencyDcerpc dan menggabungkannya.
CtdDissectionEfficiencyZabbix principal.resource.attribute.labels (CtdDissectionEfficiencyZabbix_label) Membuat label dari CtdDissectionEfficiencyZabbix dan menggabungkannya.
CtdDissectionEfficiencyFactorytalkRna principal.resource.attribute.labels (CtdDissectionEfficiencyFactorytalkRna_label) Membuat label dari CtdDissectionEfficiencyFactorytalkRna dan menggabungkannya.
CtdDissectionEfficiencySsl principal.resource.attribute.labels (CtdDissectionEfficiencySsl_label) Membuat label dari CtdDissectionEfficiencySsl dan menggabungkannya.
CtdDissectionEfficiencyVrrpProtocolMatcher principal.resource.attribute.labels (CtdDissectionEfficiencyVrrpProtocolMatcher_label) Membuat label dari CtdDissectionEfficiencyVrrpProtocolMatcher dan menggabungkannya.
CtdDissectionEfficiencyRdp principal.resource.attribute.labels (CtdDissectionEfficiencyRdp_label) Membuat label dari CtdDissectionEfficiencyRdp dan menggabungkannya.
CtdDissectionEfficiencySsh principal.resource.attribute.labels (CtdDissectionEfficiencySsh_label) Membuat label dari CtdDissectionEfficiencySsh dan menggabungkannya.
CtdDissectionEfficiencyHttp principal.resource.attribute.labels (CtdDissectionEfficiencyHttp_label) Membuat label dari CtdDissectionEfficiencyHttp dan menggabungkannya.
CtdDissectionEfficiencyTcpHttp principal.resource.attribute.labels (CtdDissectionEfficiencyTcpHttp_label) Membuat label dari CtdDissectionEfficiencyTcpHttp dan menggabungkannya.
CtdDissectionEfficiencyLdap principal.resource.attribute.labels (CtdDissectionEfficiencyLdap_label) Membuat label dari CtdDissectionEfficiencyLdap dan menggabungkannya.
CtdDissectionEfficiencyJrmi principal.resource.attribute.labels (CtdDissectionEfficiencyJrmi_label) Membuat label dari CtdDissectionEfficiencyJrmi dan menggabungkannya.
CtdDissectionEfficiencyGeIfix principal.resource.attribute.labels (CtdDissectionEfficiencyGeIfix_label) Membuat label dari CtdDissectionEfficiencyGeIfix dan menggabungkannya.
CtdDissectionEfficiencyLlc principal.resource.attribute.labels (CtdDissectionEfficiencyLlc_label) Membuat label dari CtdDissectionEfficiencyLlc dan menggabungkannya.
CtdDissectionEfficiencyMatrikonNopc principal.resource.attribute.labels (CtdDissectionEfficiencyMatrikonNopc_label) Membuat label dari CtdDissectionEfficiencyMatrikonNopc dan menggabungkannya.
CtdDissectionEfficiencyVnc principal.resource.attribute.labels (CtdDissectionEfficiencyVnc_label) Membuat label dari CtdDissectionEfficiencyVnc dan menggabungkannya.
CtdUnhandledEvents principal.resource.attribute.labels (CtdUnhandledEvents_label) Membuat label dari CtdUnhandledEvents dan menggabungkannya.
CtdConcludeTime principal.resource.attribute.labels (CtdConcludeTime_label) Membuat label dari CtdConcludeTime dan menggabungkannya.
CtdMysqlQuery principal.resource.attribute.labels (CtdMysqlQuery_label) Membuat label dari CtdMysqlQuery dan menggabungkannya.
CtdPostgresQuery principal.resource.attribute.labels (CtdPostgresQuery_label) Membuat label dari CtdPostgresQuery dan menggabungkannya.
CtdPsqlIdleSessions principal.resource.attribute.labels (CtdPsqlIdleSessions_label) Membuat label dari CtdPsqlIdleSessions dan menggabungkannya.
CtdPsqlIdleInTransactionSessions principal.resource.attribute.labels (CtdPsqlIdleInTransactionSessions_label) Membuat label dari CtdPsqlIdleInTransactionSessions dan menggabungkannya.
CtdSnifferStatus principal.resource.attribute.labels (CtdSnifferStatus_label) Membuat label dari CtdSnifferStatus dan menggabungkannya.
CtdLoopCallDurationPollObjects principal.resource.attribute.labels (CtdLoopCallDurationPollObjects_label) Membuat label dari CtdLoopCallDurationPollObjects dan menggabungkannya.
CtdLoopCallDurationCloudClientWrkrBaseRunCloudConnected principal.resource.attribute.labels (CtdLoopCallDurationCloudClientWrkrBaseRunCloudConnected_label) Membuat label dari CtdLoopCallDurationCloudClientWrkrBaseRunCloudConnected dan menggabungkannya.
CtdSnifferStatusCentral principal.resource.attribute.labels (CtdSnifferStatusCentral_label) Membuat label dari CtdSnifferStatusCentral dan menggabungkannya.
CtdSnifferStatusSite principal.resource.attribute.labels (CtdSnifferStatusSite_label) Membuat label dari CtdSnifferStatusSite dan menggabungkannya.
CtdWrkrMailer principal.resource.attribute.labels (CtdWrkrMailer_label) Membuat label dari CtdWrkrMailer dan menggabungkannya.
CtdDroppedEntities principal.resource.attribute.labels (CtdDroppedEntities_label) Membuat label dari CtdDroppedEntities dan menggabungkannya.
externalId metadata.product_log_id Memetakan externalId ke metadata.product_log_id.
proto protocol_number_src Mengonversi proto menjadi huruf besar dan menetapkannya ke protocol_number_src untuk pencarian.
protocol_number_src ip_protocol_out; app_protocol_out Menginisialisasi ip_protocol_out ke UNKNOWN_IP_PROTOCOL dan app_protocol_out ke UNKNOWN_APPLICATION_PROTOCOL, lalu memperbarui berdasarkan pencarian.
ip_protocol_out network.ip_protocol Menetapkan network.ip_protocol dari ip_protocol_out.
app_protocol_out network.application_protocol Menetapkan network.application_protocol dari app_protocol_out.
CtdExternalId metadata.product_log_id Menimpa metadata.product_log_id dengan CtdExternalId jika diberikan.
CtdDeviceExternalId principal.resource.attribute.labels (ctd_device_label) Membuat label dari CtdDeviceExternalId (dengan awalan CtdDeviceExternalId) dan menggabungkannya.
(if has_principal_device is true and ctdeventtype = Login) security_result.category; security_result.action Untuk peristiwa Login, menetapkan security_result.category ke AUTH_VIOLATION dan tindakan ke BLOCK.
(if has_principal_device is true and ctdeventtype = Memory Reset) security_result.category Menetapkan security_result.category ke SOFTWARE_SUSPICIOUS.
(jika target_machine_id_present benar, has_principal_device benar, dan ctdeventtype dalam [Known Threat Alert, Known Threat Event, Man-in-the-Middle Attack, Suspicious Activity]) security_result.category Menetapkan security_result.category ke NETWORK_MALICIOUS.
(if target_machine_id_present is true, has_principal_device is true, and ctdeventtype = Suspicious File Transfer) security_result.category Menetapkan security_result.category ke NETWORK_SUSPICIOUS.
(if target_machine_id_present is true, has_principal_device is true, and ctdeventtype = Denial Of Service) security_result.category Menetapkan security_result.category ke NETWORK_DENIAL_OF_SERVICE.
(if has_principal_device is true and ctdeventtype in [Host Scan, Port Scan]) security_result.category Menetapkan security_result.category ke NETWORK_RECON.
(jika target_machine_id_present benar, has_principal_device benar, dan ctdeventtype dalam [Policy Rule Match, Policy Violation Alert, Policy Violation]) security_result.category Menetapkan security_result.category ke POLICY_VIOLATION.
(default jika has_principal_device bernilai benar (true)) security_result.category Menetapkan security_result.category ke NETWORK_SUSPICIOUS secara default.
security_result_category turunan security_result.category Menggabungkan kategori keamanan turunan ke dalam security_result.category.
Derived security_result_action security_result.action Menggabungkan tindakan keamanan turunan ke dalam security_result.action (jika disetel).
cs6 (dengan cs6Label CTDlink) metadata.url_back_to_product; security_result.url_back_to_product Menetapkan kolom URL dari cs6 untuk menautkan kembali ke detail produk.
cs1 (dengan cs1Label SourceAssetType) principal.asset.category; principal.asset.type Menetapkan principal.asset.category dari cs1 dan menentukan principal.asset.type berdasarkan nilainya.
cs2 (dengan cs2Label DestAssetType) target.asset.category; target.asset.type Menetapkan target.asset.category dari cs2 dan menentukan target.asset.type berdasarkan nilainya.
cfp1 (dengan cfp1Label CVEScore) vulns.vulnerabilities.cvss_base_score Menetapkan vulns.vulnerabilities.cvss_base_score (dikonversi menjadi float) dan menandai vul_fields_present benar.
cs6 (dengan cs6Label CVE) vulns.vulnerabilities.cve_id Menetapkan vulns.vulnerabilities.cve_id dan menandai vul_fields_present sebagai benar.
cn1 (dengan cn1Label IndicatorScore) security_result.confidence_score Mengekstrak skor indikator dari cn1, mengonversinya menjadi float, dan menetapkannya sebagai skor keyakinan.
filepath about.file.full_path; security_result.about.file.full_path Memetakan jalur file ke about.file.full_path dan security_result.about.file.full_path.
(if eventclass = HealthCheck and cs1Label = Site) intermediary.location.name Menetapkan intermediary.location.name dari cs1 saat digunakan sebagai ID situs.
cn1 (dengan cn1Label) additional.fields (cn1_label) Membuat label kolom tambahan dari cn1 dan menggabungkannya ke additional.fields.
cs1 (dengan cs1Label) additional.fields (cs1_label) Membuat label kolom tambahan dari cs1 dan menggabungkannya ke additional.fields.
cs2 (dengan cs2Label) additional.fields (cs2_label) Membuat label kolom tambahan dari cs2 dan menggabungkannya ke additional.fields.
cs3 (dengan cs3Label) additional.fields (cs3_label) Membuat label kolom tambahan dari cs3 dan menggabungkannya.
cs4 (dengan cs4Label) additional.fields (cs4_label) Membuat label kolom tambahan dari cs4 dan menggabungkannya.
cs6 (dengan cs6Label) additional.fields (cs6_label) Membuat label kolom tambahan dari cs6 dan menggabungkannya.
(untuk peristiwa Insight berdasarkan event_name dan vul_fields_present) event_type Mendapatkan event_type untuk peristiwa Insight (misalnya, SCAN_VULN_HOST, STATUS_UNCATEGORIZED, STATUS_UPDATE).
(untuk peristiwa Event/Alert berdasarkan ctdeventtype, has_principal_device, dll.) event_type; (opsional target.resource.type atau auth.type) Mendapatkan event_type untuk peristiwa Event/Alert seperti DEVICE_CONFIG_UPDATE, DEVICE_PROGRAM_DOWNLOAD/UPLOAD, NETWORK_UNCATEGORIZED, USER_RESOURCE_CREATION, SCAN_HOST, SCAN_NETWORK, SETTING_MODIFICATION, USER_LOGIN, NETWORK_CONNECTION, atau STATUS_UPDATE.
(jika event_type tetap kosong) event_type Menetapkan event_type ke NETWORK_CONNECTION, USER_RESOURCE_ACCESS, atau STATUS_UPDATE berdasarkan tanda yang tersedia.
event_type (final) metadata.event_type Menyalin event_type akhir ke metadata.event_type; defaultnya adalah GENERIC_EVENT jika kosong.
device_vendor metadata.vendor_name Menetapkan metadata.vendor_name dari device_vendor; defaultnya adalah CLAROTY jika tidak ada.
device_product metadata.product_name Menetapkan metadata.product_name dari device_product; defaultnya adalah CTD jika tidak ada.
device_version metadata.product_version Menetapkan metadata.product_version dari device_version.
security_description (jika cocok dengan ET TROJAN …) security_result.threat_name Mengekstrak threat_name menggunakan pola ET TROJAN (?P<threat_name>\S+) dari security_description dan memetakannya ke security_result.threat_name.
metadata event.idm.read_only_udm.metadata Mengganti nama metadata menjadi event.idm.read_only_udm.metadata.
utama event.idm.read_only_udm.principal Mengganti nama principal menjadi event.idm.read_only_udm.principal.
target event.idm.read_only_udm.target Mengganti nama target menjadi event.idm.read_only_udm.target.
jaringan event.idm.read_only_udm.network Mengganti nama network menjadi event.idm.read_only_udm.network.
tambahan event.idm.read_only_udm.additional Mengganti nama additional menjadi event.idm.read_only_udm.additional.
security_result event.idm.read_only_udm.security_result Menggabungkan security_result ke event.idm.read_only_udm.security_result.
tentang event.idm.read_only_udm.about Menggabungkan about ke event.idm.read_only_udm.about.
perantara event.idm.read_only_udm.intermediary Menggabungkan perantara ke event.idm.read_only_udm.intermediary.
vulns.vulnerabilities event.idm.read_only_udm.extensions.vulns.vulnerabilities Menggabungkan vulns.vulnerabilities ke event.idm.read_only_udm.extensions.vulns.vulnerabilities.
@output event Menggabungkan struktur peristiwa UDM lengkap ke dalam kolom event akhir.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.