Raccogliere i log di Claroty CTD

Supportato in:

Questo documento spiega come importare i log di Claroty Continuous Threat Detection (CTD) in Google Security Operations utilizzando Bindplane.

Prima di iniziare

  • Assicurati di avere un'istanza Google Security Operations.
  • Assicurati di utilizzare Windows 2016 o versioni successive oppure un host Linux con systemd.
  • Se l'esecuzione avviene tramite un proxy, assicurati che le porte del firewall siano aperte.
  • Assicurati di disporre dell'accesso con privilegi a Claroty CTD.

Recuperare il file di autenticazione importazione di Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Agenti di raccolta.
  3. Scarica il file di autenticazione importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Recuperare l'ID cliente Google SecOps

  1. Accedi alla console Google SecOps.
  2. Vai a Impostazioni SIEM > Profilo.
  3. Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Installazione di Windows

  1. Apri il prompt dei comandi o PowerShell come amministratore.
  2. Esegui questo comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
    

Installazione di Linux

  1. Apri un terminale con privilegi di root o sudo.
  2. Esegui questo comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
    

Risorse aggiuntive per l'installazione

Configura l'agente Bindplane per importare Syslog e inviarli a Google SecOps

  1. Accedi al file di configurazione:

    1. Individua il file config.yaml. In genere, si trova nella directory /etc/bindplane-agent/ su Linux o nella directory di installazione su Windows.
    2. Apri il file utilizzando un editor di testo (ad esempio nano, vi o Blocco note).
  2. Modifica il file config.yaml come segue:

    receivers:
        udplog:
            # Replace the port and IP address as required
            listen_address: "0.0.0.0:514"
    
    exporters:
        chronicle/chronicle_w_labels:
            compression: gzip
            # Adjust the path to the credentials file you downloaded in Step 1
            creds: '/path/to/ingestion-authentication-file.json'
            # Replace with your actual customer ID from Step 2
            customer_id: <customer_id>
            endpoint: malachiteingestion-pa.googleapis.com
            # Add optional ingestion labels for better organization
            ingestion_labels:
                log_type: CLAROTY_CTD
                raw_log_field: body
    
    service:
        pipelines:
            logs/source0__chronicle_w_labels-0:
                receivers:
                    - udplog
                exporters:
                    - chronicle/chronicle_w_labels
    
  3. Sostituisci la porta e l'indirizzo IP in base alle esigenze della tua infrastruttura.

  4. Sostituisci <customer_id> con l'ID cliente effettivo.

  5. Aggiorna /path/to/ingestion-authentication-file.json al percorso in cui è stato salvato il file di autenticazione nella sezione Recupera il file di autenticazione per l'importazione di Google SecOps.

Riavvia l'agente Bindplane per applicare le modifiche

  • Per riavviare l'agente Bindplane in Linux, esegui questo comando:

    sudo systemctl restart bindplane-agent
    
  • Per riavviare l'agente Bindplane in Windows, puoi utilizzare la console Servizi o inserire il seguente comando:

    net stop BindPlaneAgent && net start BindPlaneAgent
    

Configura Syslog su Claroty Continuous Threat Detection (CTD)

  1. Accedi all'interfaccia utente web di Claroty CTD.
  2. Vai a Menu > Integrazioni > Syslog.
  3. Ripeti i seguenti passaggi per ogni tipo di contenuto del messaggio syslog:
    • Avvisi
    • Eventi
    • Monitoraggio dello stato di integrità
    • Approfondimenti
    • Log delle attività
    • Vulnerabilità
  4. Fai clic su + per aggiungere una nuova configurazione.
  5. Nel menu Contenuto del messaggio, seleziona i contenuti da esportare.
  6. Fornisci i seguenti dettagli di configurazione:
    • Categoria: seleziona Tutte.
    • Tipo: seleziona tutti i tipi Seleziona tutto.
    • Formato: seleziona CEF (Latest).
    • URL di sistema: non aggiornare l'URL/l'IP di sistema, a meno che non utilizzi un server proxy.
    • Invia a: seleziona Server Syslog esterno (ad es.sistemi SIEM, SOAR).
    • Fornitore: seleziona Altro.
    • IP server Syslog: inserisci l'indirizzo IP dell'agente Bindplane.
    • Porta: inserisci la porta dell'agente Bindplane (ad esempio, 514).
    • Protocollo: seleziona UDP (le altre opzioni includono TCP, TLS o mTLS, a seconda della configurazione di Bindplane).
  7. Fai clic su Salva.

Tabella di mappatura UDM

Campo log Mappatura UDM Logic
CtdRealTime metadata.event_timestamp Analizzato utilizzando MMM dd yyyy HH:mm:ss da CtdRealTime e utilizzato come timestamp dell'evento.
CtdTimeGenerated metadata.event_timestamp Se CtdRealTime è vuoto, viene analizzato utilizzando MMM dd yyyy HH:mm:ss da CtdTimeGenerated per impostare il timestamp dell'evento.
CtdMessage metadata.description Imposta metadata.description dal campo CtdMessage.
CtdMessage security_result.description Imposta security_result.description dal campo CtdMessage, se applicabile.
Porta (da CtdMessage KV) principal.port Estratto dalla chiave Port in CtdMessage; convertito in numero intero e impostato come principal.port.
Categoria (dalla chiave valore CtdMessage) security_result.detection_fields (Category_label) Estratto da CtdMessage come chiave Category e unito ai campi di rilevamento.
Accesso (da CtdMessage KV) security_result.detection_fields (Access_label) Estratto da CtdMessage come chiave Access e unito ai campi di rilevamento.
CtdSite principal.hostname Mappa CtdSite a principal.hostname.
CtdSite principal.asset.hostname Mappa CtdSite a principal.asset.hostname.
CtdCpu principal.resource.attribute.labels (CtdCpu_label) Crea un'etichetta con la chiave CtdCpu utilizzando il valore di CtdCpu e la unisce a principal.resource.attribute.labels.
CtdMem principal.resource.attribute.labels (CtdMem_label) Crea un'etichetta con la chiave CtdMem utilizzando il valore di CtdMem e la unisce a principal.resource.attribute.labels.
CtdUsedOptIcsranger principal.resource.attribute.labels (CtdUsedOptIcsranger_label) Crea un'etichetta da CtdUsedOptIcsranger e la unisce.
CtdUsedVar principal.resource.attribute.labels (CtdUsedVar_label) Crea un'etichetta da CtdUsedVar e la unisce.
CtdUsedTmp principal.resource.attribute.labels (CtdUsedTmp_label) Crea un'etichetta da CtdUsedTmp e la unisce.
CtdUsedEtc principal.resource.attribute.labels (CtdUsedEtc_label) Crea un'etichetta da CtdUsedEtc e la unisce.
CtdBusyFd principal.resource.attribute.labels (CtdBusyFd_label) Crea un'etichetta da CtdBusyFd e la unisce.
CtdBusySda principal.resource.attribute.labels (CtdBusySda_label) Crea un'etichetta da CtdBusySda e la unisce.
CtdBusySdaA principal.resource.attribute.labels (CtdBusySdaA_label) Crea un'etichetta da CtdBusySdaA e la unisce.
CtdBusySdaB principal.resource.attribute.labels (CtdBusySdaB_label) Crea un'etichetta da CtdBusySdaB e la unisce.
CtdBusySr principal.resource.attribute.labels (CtdBusySr_label) Crea un'etichetta da CtdBusySr e la unisce.
CtdBusyDm principal.resource.attribute.labels (CtdBusyDm_label) Crea un'etichetta da CtdBusyDm e la unisce.
CtdBusyDmA principal.resource.attribute.labels (CtdBusyDmA_label) Crea un'etichetta da CtdBusyDmA e la unisce.
CtdQuPreprocessingNg principal.resource.attribute.labels (CtdQuPreprocessingNg_label) Crea un'etichetta da CtdQuPreprocessingNg e la unisce.
CtdQuBaselineTracker principal.resource.attribute.labels (CtdQuBaselineTracker_label) Crea un'etichetta da CtdQuBaselineTracker e la unisce.
CtdQuBridge principal.resource.attribute.labels (CtdQuBridge_label) Crea un'etichetta da CtdQuBridge e la unisce.
CtdQuCentralBridge principal.resource.attribute.labels (CtdQuCentralBridge_label) Crea un'etichetta da CtdQuCentralBridge e la unisce.
CtdQuConcluding principal.resource.attribute.labels (CtdQuConcluding_label) Crea un'etichetta da CtdQuConcluding e la unisce.
CtdQuDiodeFeeder principal.resource.attribute.labels (CtdQuDiodeFeeder_label) Crea un'etichetta da CtdQuDiodeFeeder e la unisce.
CtdQuDissector principal.resource.attribute.labels (CtdQuDissector_label) Crea un'etichetta da CtdQuDissector e la unisce.
CtdQuDissectorA principal.resource.attribute.labels (CtdQuDissectorA_label) Crea un'etichetta da CtdQuDissectorA e la unisce.
CtdQuDissectorNg principal.resource.attribute.labels (CtdQuDissectorNg_label) Crea un'etichetta da CtdQuDissectorNg e la unisce.
CtdQuIndicatorService principal.resource.attribute.labels (CtdQuIndicatorService_label) Crea un'etichetta da CtdQuIndicatorService e la unisce.
CtdQuLeecher principal.resource.attribute.labels (CtdQuLeecher_label) Crea un'etichetta da CtdQuLeecher e la unisce.
CtdQuMonitor principal.resource.attribute.labels (CtdQuMonitor_label) Crea un'etichetta da CtdQuMonitor e la unisce.
CtdQuNetworkStatistics principal.resource.attribute.labels (CtdQuNetworkStatistics_label) Crea un'etichetta da CtdQuNetworkStatistics e la unisce.
CtdQuPackets principal.resource.attribute.labels (CtdQuPackets_label) Crea un'etichetta da CtdQuPackets e la unisce.
CtdQuPacketsErrors principal.resource.attribute.labels (CtdQuPacketsErrors_label) Crea un'etichetta da CtdQuPacketsErrors e la unisce.
CtdQuPreprocessing principal.resource.attribute.labels (CtdQuPreprocessing_label) Crea un'etichetta da CtdQuPreprocessing e la unisce.
CtdQuPriorityProcessing principal.resource.attribute.labels (CtdQuPriorityProcessing_label) Crea un'etichetta da CtdQuPriorityProcessing e la unisce.
CtdQuProcessing principal.resource.attribute.labels (CtdQuProcessing_label) Crea un'etichetta da CtdQuProcessing e la unisce.
CtdQuProcessingHigh principal.resource.attribute.labels (CtdQuProcessingHigh_label) Crea un'etichetta da CtdQuProcessingHigh e la unisce.
CtdQuZordonUpdates principal.resource.attribute.labels (CtdQuZordonUpdates_label) Crea un'etichetta da CtdQuZordonUpdates e la unisce.
CtdQuStatisticsNg principal.resource.attribute.labels (CtdQuStatisticsNg_label) Crea un'etichetta da CtdQuStatisticsNg e la unisce.
CtdQueuePurge principal.resource.attribute.labels (CtdQueuePurge_label) Crea un'etichetta da CtdQueuePurge e la unisce.
CtdQuSyslogAlerts principal.resource.attribute.labels (CtdQuSyslogAlerts_label) Crea un'etichetta da CtdQuSyslogAlerts e la unisce.
CtdQuSyslogEvents principal.resource.attribute.labels (CtdQuSyslogEvents_label) Crea un'etichetta da CtdQuSyslogEvents e la unisce.
CtdQuSyslogInsights principal.resource.attribute.labels (CtdQuSyslogInsights_label) Crea un'etichetta da CtdQuSyslogInsights e la unisce.
CtdRdDissector principal.resource.attribute.labels (CtdRdDissector_label) Crea un'etichetta da CtdRdDissector e la unisce.
CtdRdDissectorA principal.resource.attribute.labels (CtdRdDissectorA_label) Crea un'etichetta da CtdRdDissectorA e la unisce.
CtdRdDissectorNg principal.resource.attribute.labels (CtdRdDissectorNg_label) Crea un'etichetta da CtdRdDissectorNg e la unisce.
CtdRdPreprocessing principal.resource.attribute.labels (CtdRdPreprocessing_label) Crea un'etichetta da CtdRdPreprocessing e la unisce.
CtdRdPreprocessingNg principal.resource.attribute.labels (CtdRdPreprocessingNg_label) Crea un'etichetta da CtdRdPreprocessingNg e la unisce.
CtdSvcMariaDb principal.resource.attribute.labels (CtdSvcMariaDb_label) Crea un'etichetta da CtdSvcMariaDb e la unisce.
CtdSvcPostgres principal.resource.attribute.labels (CtdSvcPostgres_label) Crea un'etichetta da CtdSvcPostgres e la unisce.
CtdSvcRedis principal.resource.attribute.labels (CtdSvcRedis_label) Crea un'etichetta da CtdSvcRedis e la unisce.
CtdSvcRabbitMq principal.resource.attribute.labels (CtdSvcRabbitMq_label) Crea un'etichetta da CtdSvcRabbitMq e la unisce.
CtdSvcIcsranger principal.resource.attribute.labels (CtdSvcIcsranger_label) Crea un'etichetta da CtdSvcIcsranger e la unisce.
CtdSvcWatchdog principal.resource.attribute.labels (CtdSvcWatchdog_label) Crea un'etichetta da CtdSvcWatchdog e la unisce.
CtdSvcFirewalld principal.resource.attribute.labels (CtdSvcFirewalld_label) Crea un'etichetta da CtdSvcFirewalld e la unisce.
CtdSvcNetunnel principal.resource.attribute.labels (CtdSvcNetunnel_label) Crea un'etichetta da CtdSvcNetunnel e la unisce.
CtdSvcJwthenticator principal.resource.attribute.labels (CtdSvcJwthenticator_label) Crea un'etichetta da CtdSvcJwthenticator e la unisce.
CtdSvcDocker principal.resource.attribute.labels (CtdSvcDocker_label) Crea un'etichetta da CtdSvcDocker e la unisce.
CtdExceptions principal.resource.attribute.labels (CtdExceptions_label) Crea un'etichetta da CtdExceptions e la unisce.
CtdInputPacketDrops principal.resource.attribute.labels (CtdInputPacketDrops_label) Crea un'etichetta da CtdInputPacketDrops e la unisce.
CtdOutputPacketDrops principal.resource.attribute.labels (CtdOutputPacketDrops_label) Crea un'etichetta da CtdOutputPacketDrops e la unisce.
CtdFullOutputPacketDrops principal.resource.attribute.labels (CtdFullOutputPacketDrops_label) Crea un'etichetta da CtdFullOutputPacketDrops e la unisce.
CtdDissectorNgPacketDrops principal.resource.attribute.labels (CtdDissectorNgPacketDrops_label) Crea un'etichetta da CtdDissectorNgPacketDrops e la unisce.
CtdTagArtifactsDropsPreprocessor principal.resource.attribute.labels (CtdTagArtifactsDropsPreprocessor_label) Crea un'etichetta da CtdTagArtifactsDropsPreprocessor e la unisce.
CtdTagArtifactsDropsPreprocessorSum principal.resource.attribute.labels (CtdTagArtifactsDropsPreprocessorSum_label) Crea un'etichetta da CtdTagArtifactsDropsPreprocessorSum e la unisce.
CtdTagArtifactsDropsProcessor principal.resource.attribute.labels (CtdTagArtifactsDropsProcessor_label) Crea un'etichetta da CtdTagArtifactsDropsProcessor e la unisce.
CtdTagArtifactsDropsProcessorSum principal.resource.attribute.labels (CtdTagArtifactsDropsProcessorSum_label) Crea un'etichetta da CtdTagArtifactsDropsProcessorSum e la unisce.
CtdTagArtifactsDropsSniffer principal.resource.attribute.labels (CtdTagArtifactsDropsSniffer_label) Crea un'etichetta da CtdTagArtifactsDropsSniffer e la unisce.
CtdTagArtifactsDropsSnifferSum principal.resource.attribute.labels (CtdTagArtifactsDropsSnifferSum_label) Crea un'etichetta da CtdTagArtifactsDropsSnifferSum e la unisce.
CtdTagArtifactsDropsDissectorPypy principal.resource.attribute.labels (CtdTagArtifactsDropsDissectorPypy_label) Crea un'etichetta da CtdTagArtifactsDropsDissectorPypy e la unisce.
CtdTagArtifactsDropsDissectorPypySum principal.resource.attribute.labels (CtdTagArtifactsDropsDissectorPypySum_label) Crea un'etichetta da CtdTagArtifactsDropsDissectorPypySum e la unisce.
CtdCapsaverFolderCleanup principal.resource.attribute.labels (CtdCapsaverFolderCleanup_label) Crea un'etichetta da CtdCapsaverFolderCleanup e la unisce.
CtdCapsaverUtilzationTest principal.resource.attribute.labels (CtdCapsaverUtilzationTest_label) Crea un'etichetta da CtdCapsaverUtilzationTest e la unisce.
CtdYaraScannerTest principal.resource.attribute.labels (CtdYaraScannerTest_label) Crea un'etichetta da CtdYaraScannerTest e la unisce.
CtdWrkrWorkersStop principal.resource.attribute.labels (CtdWrkrWorkersStop_label) Crea un'etichetta da CtdWrkrWorkersStop e la unisce.
CtdWrkrWorkersRestart principal.resource.attribute.labels (CtdWrkrWorkersRestart_label) Crea un'etichetta da CtdWrkrWorkersRestart e la unisce.
CtdWrkrActiveExecuter principal.resource.attribute.labels (CtdWrkrActiveExecuter_label) Crea un'etichetta da CtdWrkrActiveExecuter e la unisce.
CtdWrkrSensor principal.resource.attribute.labels (CtdWrkrSensor_label) Crea un'etichetta da CtdWrkrSensor e la unisce.
CtdWrkrAuthentication principal.resource.attribute.labels (CtdWrkrAuthentication_label) Crea un'etichetta da CtdWrkrAuthentication e la unisce.
CtdWrkrMitre principal.resource.attribute.labels (CtdWrkrMitre_label) Crea un'etichetta da CtdWrkrMitre e la unisce.
CtdWrkrNotifications principal.resource.attribute.labels (CtdWrkrNotifications_label) Crea un'etichetta da CtdWrkrNotifications e la unisce.
CtdWrkrProcessor principal.resource.attribute.labels (CtdWrkrProcessor_label) Crea un'etichetta da CtdWrkrProcessor e la unisce.
CtdWrkrCloudAgent principal.resource.attribute.labels (CtdWrkrCloudAgent_label) Crea un'etichetta da CtdWrkrCloudAgent e la unisce.
CtdWrkrCloudClient principal.resource.attribute.labels (CtdWrkrCloudClient_label) Crea un'etichetta da CtdWrkrCloudClient e la unisce.
CtdWrkrScheduler principal.resource.attribute.labels (CtdWrkrScheduler_label) Crea un'etichetta da CtdWrkrScheduler e la unisce.
CtdWrkrknownThreats principal.resource.attribute.labels (CtdWrkrknownThreats_label) Crea un'etichetta da CtdWrkrknownThreats e la unisce.
CtdWrkrCacher principal.resource.attribute.labels (CtdWrkrCacher_label) Crea un'etichetta da CtdWrkrCacher e la unisce.
CtdWrkrInsights principal.resource.attribute.labels (CtdWrkrInsights_label) Crea un'etichetta da CtdWrkrInsights e la unisce.
CtdWrkrActive principal.resource.attribute.labels (CtdWrkrActive_label) Crea un'etichetta da CtdWrkrActive e la unisce.
CtdWrkrEnricher principal.resource.attribute.labels (CtdWrkrEnricher_label) Crea un'etichetta da CtdWrkrEnricher e la unisce.
CtdWrkrIndicators principal.resource.attribute.labels (CtdWrkrIndicators_label) Crea un'etichetta da CtdWrkrIndicators e la unisce.
CtdWrkrIndicatorsApi principal.resource.attribute.labels (CtdWrkrIndicatorsApi_label) Crea un'etichetta da CtdWrkrIndicatorsApi e la unisce.
CtdWrkrConcluder principal.resource.attribute.labels (CtdWrkrConcluder_label) Crea un'etichetta da CtdWrkrConcluder e la unisce.
CtdWrkrPreprocessor principal.resource.attribute.labels (CtdWrkrPreprocessor_label) Crea un'etichetta da CtdWrkrPreprocessor e la unisce.
CtdWrkrLeecher principal.resource.attribute.labels (CtdWrkrLeecher_label) Crea un'etichetta da CtdWrkrLeecher e la unisce.
CtdWrkrSyncManager principal.resource.attribute.labels (CtdWrkrSyncManager_label) Crea un'etichetta da CtdWrkrSyncManager e la unisce.
CtdWrkrBridge principal.resource.attribute.labels (CtdWrkrBridge_label) Crea un'etichetta da CtdWrkrBridge e la unisce.
CtdWrkrWebRanger principal.resource.attribute.labels (CtdWrkrWebRanger_label) Crea un'etichetta da CtdWrkrWebRanger e la unisce.
CtdWrkrWebWs principal.resource.attribute.labels (CtdWrkrWebWs_label) Crea un'etichetta da CtdWrkrWebWs e la unisce.
CtdWrkrWebAuth principal.resource.attribute.labels (CtdWrkrWebAuth_label) Crea un'etichetta da CtdWrkrWebAuth e la unisce.
CtdWrkrWebNginx principal.resource.attribute.labels (CtdWrkrWebNginx_label) Crea un'etichetta da CtdWrkrWebNginx e la unisce.
CtdWrkrConfigurator principal.resource.attribute.labels (CtdWrkrConfigurator_label) Crea un'etichetta da CtdWrkrConfigurator e la unisce.
CtdWrkrConfiguratorNginx principal.resource.attribute.labels (CtdWrkrConfiguratorNginx_label) Crea un'etichetta da CtdWrkrConfiguratorNginx e la unisce.
CtdWrkrCapsaver principal.resource.attribute.labels (CtdWrkrCapsaver_label) Crea un'etichetta da CtdWrkrCapsaver e la unisce.
CtdWrkrBaselineTracker principal.resource.attribute.labels (CtdWrkrBaselineTracker_label) Crea un'etichetta da CtdWrkrBaselineTracker e la unisce.
CtdWrkrDissector principal.resource.attribute.labels (CtdWrkrDissector_label) Crea un'etichetta da CtdWrkrDissector e la unisce.
CtdWrkrDissectorA principal.resource.attribute.labels (CtdWrkrDissectorA_label) Crea un'etichetta da CtdWrkrDissectorA e la unisce.
CtdWrkrDissectorNg principal.resource.attribute.labels (CtdWrkrDissectorNg_label) Crea un'etichetta da CtdWrkrDissectorNg e la unisce.
CtdWrkrPreprocessing principal.resource.attribute.labels (CtdWrkrPreprocessing_label) Crea un'etichetta da CtdWrkrPreprocessing e la unisce.
CtdWrkrPreprocessingNg principal.resource.attribute.labels (CtdWrkrPreprocessingNg_label) Crea un'etichetta da CtdWrkrPreprocessingNg e la unisce.
CtdWrkrStatisticsNg principal.resource.attribute.labels (CtdWrkrStatisticsNg_label) Crea un'etichetta da CtdWrkrStatisticsNg e la unisce.
CtdWrkrSyslogAlerts principal.resource.attribute.labels (CtdWrkrSyslogAlerts_label) Crea un'etichetta da CtdWrkrSyslogAlerts e la unisce.
CtdWrkrSyslogEvents principal.resource.attribute.labels (CtdWrkrSyslogEvents_label) Crea un'etichetta da CtdWrkrSyslogEvents e la unisce.
CtdWrkrSyslogInsights principal.resource.attribute.labels (CtdWrkrSyslogInsights_label) Crea un'etichetta da CtdWrkrSyslogInsights e la unisce.
CtdWrkrRdDissector principal.resource.attribute.labels (CtdWrkrRdDissector_label) Crea un'etichetta da CtdWrkrRdDissector e la unisce.
CtdWrkrRdDissectorA principal.resource.attribute.labels (CtdWrkrRdDissectorA_label) Crea un'etichetta da CtdWrkrRdDissectorA e la unisce.
CtdSensorName principal.resource.attribute.labels (CtdSensorName_label) Crea un'etichetta da CtdSensorName e la unisce.
CtdCtrlSite principal.resource.attribute.labels (CtdCtrlSite_label) Crea un'etichetta da CtdCtrlSite e la unisce.
CtdLoopCallDurationBaselineTrackerWrkerHandleNetworkStatistics principal.resource.attribute.labels (CtdLoopCallDurationBaselineTrackerWrkerHandleNetworkStatistics_label) Crea un'etichetta da CtdLoopCallDurationBaselineTrackerWrkerHandleNetworkStatistics e la unisce.
CtdDissectionCoverage principal.resource.attribute.labels (CtdDissectionCoverage_label) Crea un'etichetta da CtdDissectionCoverage e la unisce.
CtdDissectionEfficiencyModbus principal.resource.attribute.labels (CtdDissectionEfficiencyModbus_label) Crea un'etichetta da CtdDissectionEfficiencyModbus e la unisce.
CtdDissectionEfficiencySmb principal.resource.attribute.labels (CtdDissectionEfficiencySmb_label) Crea un'etichetta da CtdDissectionEfficiencySmb e la unisce.
CtdDissectionEfficiencyDcerpc principal.resource.attribute.labels (CtdDissectionEfficiencyDcerpc_label) Crea un'etichetta da CtdDissectionEfficiencyDcerpc e la unisce.
CtdDissectionEfficiencyZabbix principal.resource.attribute.labels (CtdDissectionEfficiencyZabbix_label) Crea un'etichetta da CtdDissectionEfficiencyZabbix e la unisce.
CtdDissectionEfficiencyFactorytalkRna principal.resource.attribute.labels (CtdDissectionEfficiencyFactorytalkRna_label) Crea un'etichetta da CtdDissectionEfficiencyFactorytalkRna e la unisce.
CtdDissectionEfficiencySsl principal.resource.attribute.labels (CtdDissectionEfficiencySsl_label) Crea un'etichetta da CtdDissectionEfficiencySsl e la unisce.
CtdDissectionEfficiencyVrrpProtocolMatcher principal.resource.attribute.labels (CtdDissectionEfficiencyVrrpProtocolMatcher_label) Crea un'etichetta da CtdDissectionEfficiencyVrrpProtocolMatcher e la unisce.
CtdDissectionEfficiencyRdp principal.resource.attribute.labels (CtdDissectionEfficiencyRdp_label) Crea un'etichetta da CtdDissectionEfficiencyRdp e la unisce.
CtdDissectionEfficiencySsh principal.resource.attribute.labels (CtdDissectionEfficiencySsh_label) Crea un'etichetta da CtdDissectionEfficiencySsh e la unisce.
CtdDissectionEfficiencyHttp principal.resource.attribute.labels (CtdDissectionEfficiencyHttp_label) Crea un'etichetta da CtdDissectionEfficiencyHttp e la unisce.
CtdDissectionEfficiencyTcpHttp principal.resource.attribute.labels (CtdDissectionEfficiencyTcpHttp_label) Crea un'etichetta da CtdDissectionEfficiencyTcpHttp e la unisce.
CtdDissectionEfficiencyLdap principal.resource.attribute.labels (CtdDissectionEfficiencyLdap_label) Crea un'etichetta da CtdDissectionEfficiencyLdap e la unisce.
CtdDissectionEfficiencyJrmi principal.resource.attribute.labels (CtdDissectionEfficiencyJrmi_label) Crea un'etichetta da CtdDissectionEfficiencyJrmi e la unisce.
CtdDissectionEfficiencyGeIfix principal.resource.attribute.labels (CtdDissectionEfficiencyGeIfix_label) Crea un'etichetta da CtdDissectionEfficiencyGeIfix e la unisce.
CtdDissectionEfficiencyLlc principal.resource.attribute.labels (CtdDissectionEfficiencyLlc_label) Crea un'etichetta da CtdDissectionEfficiencyLlc e la unisce.
CtdDissectionEfficiencyMatrikonNopc principal.resource.attribute.labels (CtdDissectionEfficiencyMatrikonNopc_label) Crea un'etichetta da CtdDissectionEfficiencyMatrikonNopc e la unisce.
CtdDissectionEfficiencyVnc principal.resource.attribute.labels (CtdDissectionEfficiencyVnc_label) Crea un'etichetta da CtdDissectionEfficiencyVnc e la unisce.
CtdUnhandledEvents principal.resource.attribute.labels (CtdUnhandledEvents_label) Crea un'etichetta da CtdUnhandledEvents e la unisce.
CtdConcludeTime principal.resource.attribute.labels (CtdConcludeTime_label) Crea un'etichetta da CtdConcludeTime e la unisce.
CtdMysqlQuery principal.resource.attribute.labels (CtdMysqlQuery_label) Crea un'etichetta da CtdMysqlQuery e la unisce.
CtdPostgresQuery principal.resource.attribute.labels (CtdPostgresQuery_label) Crea un'etichetta da CtdPostgresQuery e la unisce.
CtdPsqlIdleSessions principal.resource.attribute.labels (CtdPsqlIdleSessions_label) Crea un'etichetta da CtdPsqlIdleSessions e la unisce.
CtdPsqlIdleInTransactionSessions principal.resource.attribute.labels (CtdPsqlIdleInTransactionSessions_label) Crea un'etichetta da CtdPsqlIdleInTransactionSessions e la unisce.
CtdSnifferStatus principal.resource.attribute.labels (CtdSnifferStatus_label) Crea un'etichetta da CtdSnifferStatus e la unisce.
CtdLoopCallDurationPollObjects principal.resource.attribute.labels (CtdLoopCallDurationPollObjects_label) Crea un'etichetta da CtdLoopCallDurationPollObjects e la unisce.
CtdLoopCallDurationCloudClientWrkrBaseRunCloudConnected principal.resource.attribute.labels (CtdLoopCallDurationCloudClientWrkrBaseRunCloudConnected_label) Crea un'etichetta da CtdLoopCallDurationCloudClientWrkrBaseRunCloudConnected e la unisce.
CtdSnifferStatusCentral principal.resource.attribute.labels (CtdSnifferStatusCentral_label) Crea un'etichetta da CtdSnifferStatusCentral e la unisce.
CtdSnifferStatusSite principal.resource.attribute.labels (CtdSnifferStatusSite_label) Crea un'etichetta da CtdSnifferStatusSite e la unisce.
CtdWrkrMailer principal.resource.attribute.labels (CtdWrkrMailer_label) Crea un'etichetta da CtdWrkrMailer e la unisce.
CtdDroppedEntities principal.resource.attribute.labels (CtdDroppedEntities_label) Crea un'etichetta da CtdDroppedEntities e la unisce.
externalId metadata.product_log_id Mappa externalId a metadata.product_log_id.
proto protocol_number_src Converte il proto in maiuscolo e lo assegna a protocol_number_src per la ricerca.
protocol_number_src ip_protocol_out; app_protocol_out Inizializza ip_protocol_out a UNKNOWN_IP_PROTOCOL e app_protocol_out a UNKNOWN_APPLICATION_PROTOCOL, quindi aggiorna in base alla ricerca.
ip_protocol_out network.ip_protocol Imposta network.ip_protocol da ip_protocol_out.
app_protocol_out network.application_protocol Imposta network.application_protocol da app_protocol_out.
CtdExternalId metadata.product_log_id Sovrascrive metadata.product_log_id con CtdExternalId se fornito.
CtdDeviceExternalId principal.resource.attribute.labels (ctd_device_label) Crea un'etichetta da CtdDeviceExternalId (con il prefisso CtdDeviceExternalId) e la unisce.
(se has_principal_device è true e ctdeventtype = Login) security_result.category; security_result.action Per gli eventi di accesso, imposta security_result.category su AUTH_VIOLATION e action su BLOCK.
(se has_principal_device è true e ctdeventtype = Memory Reset) security_result.category Imposta security_result.category su SOFTWARE_SUSPICIOUS.
(se target_machine_id_present è true, has_principal_device è true e ctdeventtype è in [Known Threat Alert, Known Threat Event, Man-in-the-Middle Attack, Suspicious Activity]) security_result.category Imposta security_result.category su NETWORK_MALICIOUS.
(se target_machine_id_present è true, has_principal_device è true e ctdeventtype = Suspicious File Transfer) security_result.category Imposta security_result.category su NETWORK_SUSPICIOUS.
(se target_machine_id_present è true, has_principal_device è true e ctdeventtype = Denial Of Service) security_result.category Imposta security_result.category su NETWORK_DENIAL_OF_SERVICE.
(if has_principal_device is true and ctdeventtype in [Host Scan, Port Scan]) security_result.category Imposta security_result.category su NETWORK_RECON.
(if target_machine_id_present is true, has_principal_device is true, and ctdeventtype in [Policy Rule Match, Policy Violation Alert, Policy Violation]) security_result.category Imposta security_result.category su POLICY_VIOLATION.
(valore predefinito se has_principal_device è true) security_result.category Imposta security_result.category su NETWORK_SUSPICIOUS per impostazione predefinita.
security_result_category derivata security_result.category Unisce la categoria di sicurezza derivata a security_result.category.
Derived security_result_action security_result.action Unisce l'azione di sicurezza derivata a security_result.action (se impostata).
cs6 (con cs6Label CTDlink) metadata.url_back_to_product; security_result.url_back_to_product Imposta i campi URL da cs6 per il backlinking ai dettagli del prodotto.
cs1 (con cs1Label SourceAssetType) principal.asset.category; principal.asset.type Imposta principal.asset.category da cs1 e determina principal.asset.type in base al suo valore.
cs2 (con cs2Label DestAssetType) target.asset.category; target.asset.type Imposta target.asset.category da cs2 e determina target.asset.type in base al suo valore.
cfp1 (con cfp1Label CVEScore) vulns.vulnerabilities.cvss_base_score Imposta vulns.vulnerabilities.cvss_base_score (convertito in float) e contrassegna vul_fields_present come true.
cs6 (con cs6Label CVE) vulns.vulnerabilities.cve_id Imposta vulns.vulnerabilities.cve_id e contrassegna vul_fields_present come true.
cn1 (con cn1Label IndicatorScore) security_result.confidence_score Estrae il punteggio dell'indicatore da cn1, lo converte in un numero in virgola mobile e lo assegna come punteggio di affidabilità.
filepath about.file.full_path; security_result.about.file.full_path Percorso del file di Maps a about.file.full_path e security_result.about.file.full_path.
(if eventclass = HealthCheck and cs1Label = Site) intermediary.location.name Imposta intermediary.location.name da cs1 quando viene utilizzato come identificatore del sito.
cn1 (con cn1Label) additional.fields (cn1_label) Crea un'etichetta di campo aggiuntiva da cn1 e la unisce a additional.fields.
cs1 (con cs1Label) additional.fields (cs1_label) Crea un'etichetta di campo aggiuntiva da cs1 e la unisce a additional.fields.
cs2 (con cs2Label) additional.fields (cs2_label) Crea un'etichetta di campo aggiuntiva da cs2 e la unisce a additional.fields.
cs3 (con cs3Label) additional.fields (cs3_label) Crea un'etichetta di campo aggiuntiva da cs3 e la unisce.
cs4 (con cs4Label) additional.fields (cs4_label) Crea un'etichetta di campo aggiuntiva da cs4 e la unisce.
cs6 (con cs6Label) additional.fields (cs6_label) Crea un'etichetta di campo aggiuntiva da cs6 e la unisce.
(per gli eventi Insight in base a event_name e vul_fields_present) event_type Deriva event_type per gli eventi Insight (ad es. SCAN_VULN_HOST, STATUS_UNCATEGORIZED, STATUS_UPDATE).
(per eventi/avvisi basati su ctdeventtype, has_principal_device e così via) event_type; (facoltativamente target.resource.type o auth.type) Deriva event_type per eventi/avvisi come DEVICE_CONFIG_UPDATE, DEVICE_PROGRAM_DOWNLOAD/UPLOAD, NETWORK_UNCATEGORIZED, USER_RESOURCE_CREATION, SCAN_HOST, SCAN_NETWORK, SETTING_MODIFICATION, USER_LOGIN, NETWORK_CONNECTION o STATUS_UPDATE.
(se event_type rimane vuoto) event_type Imposta event_type su NETWORK_CONNECTION, USER_RESOURCE_ACCESS o STATUS_UPDATE in base ai flag disponibili.
event_type (final) metadata.event_type Copia event_type finale in metadata.event_type; il valore predefinito è GENERIC_EVENT se il campo è vuoto.
device_vendor metadata.vendor_name Imposta metadata.vendor_name da device_vendor; il valore predefinito è CLAROTY se manca.
device_product metadata.product_name Imposta metadata.product_name da device_product; il valore predefinito è CTD se manca.
device_version metadata.product_version Imposta metadata.product_version da device_version.
security_description (se corrisponde a ET TROJAN …) security_result.threat_name Estrae threat_name utilizzando il pattern ET TROJAN (?P<threat_name>\S+) da security_description e lo mappa a security_result.threat_name.
metadati event.idm.read_only_udm.metadata Rinomina i metadati in event.idm.read_only_udm.metadata.
entità event.idm.read_only_udm.principal Rinomina il principal in event.idm.read_only_udm.principal.
target event.idm.read_only_udm.target Rinomina il target in event.idm.read_only_udm.target.
rete event.idm.read_only_udm.network Rinomina la rete in event.idm.read_only_udm.network.
aggiuntivo event.idm.read_only_udm.additional Rinomina additional in event.idm.read_only_udm.additional.
security_result event.idm.read_only_udm.security_result Unisce security_result a event.idm.read_only_udm.security_result.
about event.idm.read_only_udm.about Unisce about in event.idm.read_only_udm.about.
intermediario event.idm.read_only_udm.intermediary Unisce l'intermediario a event.idm.read_only_udm.intermediary.
vulns.vulnerabilities event.idm.read_only_udm.extensions.vulns.vulnerabilities Unisce vulns.vulnerabilities a event.idm.read_only_udm.extensions.vulns.vulnerabilities.
@output event Unisce la struttura completa dell'evento UDM nel campo event finale.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.