Raccogliere i log di Claroty CTD
Questo documento spiega come importare i log di Claroty Continuous Threat Detection (CTD) in Google Security Operations utilizzando Bindplane.
Prima di iniziare
- Assicurati di avere un'istanza Google Security Operations.
- Assicurati di utilizzare Windows 2016 o versioni successive oppure un host Linux con
systemd
. - Se l'esecuzione avviene tramite un proxy, assicurati che le porte del firewall siano aperte.
- Assicurati di disporre dell'accesso con privilegi a Claroty CTD.
Recuperare il file di autenticazione importazione di Google SecOps
- Accedi alla console Google SecOps.
- Vai a Impostazioni SIEM > Agenti di raccolta.
- Scarica il file di autenticazione importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.
Recuperare l'ID cliente Google SecOps
- Accedi alla console Google SecOps.
- Vai a Impostazioni SIEM > Profilo.
- Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.
Installa l'agente Bindplane
Installazione di Windows
- Apri il prompt dei comandi o PowerShell come amministratore.
Esegui questo comando:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Installazione di Linux
- Apri un terminale con privilegi di root o sudo.
Esegui questo comando:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Risorse aggiuntive per l'installazione
- Per ulteriori opzioni di installazione, consulta questa guida all'installazione.
Configura l'agente Bindplane per importare Syslog e inviarli a Google SecOps
Accedi al file di configurazione:
- Individua il file
config.yaml
. In genere, si trova nella directory/etc/bindplane-agent/
su Linux o nella directory di installazione su Windows. - Apri il file utilizzando un editor di testo (ad esempio
nano
,vi
o Blocco note).
- Individua il file
Modifica il file
config.yaml
come segue:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: CLAROTY_CTD raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels
Sostituisci la porta e l'indirizzo IP in base alle esigenze della tua infrastruttura.
Sostituisci
<customer_id>
con l'ID cliente effettivo.Aggiorna
/path/to/ingestion-authentication-file.json
al percorso in cui è stato salvato il file di autenticazione nella sezione Recupera il file di autenticazione per l'importazione di Google SecOps.
Riavvia l'agente Bindplane per applicare le modifiche
Per riavviare l'agente Bindplane in Linux, esegui questo comando:
sudo systemctl restart bindplane-agent
Per riavviare l'agente Bindplane in Windows, puoi utilizzare la console Servizi o inserire il seguente comando:
net stop BindPlaneAgent && net start BindPlaneAgent
Configura Syslog su Claroty Continuous Threat Detection (CTD)
- Accedi all'interfaccia utente web di Claroty CTD.
- Vai a Menu > Integrazioni > Syslog.
- Ripeti i seguenti passaggi per ogni tipo di contenuto del messaggio syslog:
- Avvisi
- Eventi
- Monitoraggio dello stato di integrità
- Approfondimenti
- Log delle attività
- Vulnerabilità
- Fai clic su + per aggiungere una nuova configurazione.
- Nel menu Contenuto del messaggio, seleziona i contenuti da esportare.
- Fornisci i seguenti dettagli di configurazione:
- Categoria: seleziona Tutte.
- Tipo: seleziona tutti i tipi Seleziona tutto.
- Formato: seleziona CEF (Latest).
- URL di sistema: non aggiornare l'URL/l'IP di sistema, a meno che non utilizzi un server proxy.
- Invia a: seleziona Server Syslog esterno (ad es.sistemi SIEM, SOAR).
- Fornitore: seleziona Altro.
- IP server Syslog: inserisci l'indirizzo IP dell'agente Bindplane.
- Porta: inserisci la porta dell'agente Bindplane (ad esempio,
514
). - Protocollo: seleziona UDP (le altre opzioni includono TCP, TLS o mTLS, a seconda della configurazione di Bindplane).
- Fai clic su Salva.
Tabella di mappatura UDM
Campo log | Mappatura UDM | Logic |
---|---|---|
CtdRealTime | metadata.event_timestamp | Analizzato utilizzando MMM dd yyyy HH:mm:ss da CtdRealTime e utilizzato come timestamp dell'evento. |
CtdTimeGenerated | metadata.event_timestamp | Se CtdRealTime è vuoto, viene analizzato utilizzando MMM dd yyyy HH:mm:ss da CtdTimeGenerated per impostare il timestamp dell'evento. |
CtdMessage | metadata.description | Imposta metadata.description dal campo CtdMessage. |
CtdMessage | security_result.description | Imposta security_result.description dal campo CtdMessage, se applicabile. |
Porta (da CtdMessage KV) | principal.port | Estratto dalla chiave Port in CtdMessage; convertito in numero intero e impostato come principal.port. |
Categoria (dalla chiave valore CtdMessage) | security_result.detection_fields (Category_label) | Estratto da CtdMessage come chiave Category e unito ai campi di rilevamento. |
Accesso (da CtdMessage KV) | security_result.detection_fields (Access_label) | Estratto da CtdMessage come chiave Access e unito ai campi di rilevamento. |
CtdSite | principal.hostname | Mappa CtdSite a principal.hostname. |
CtdSite | principal.asset.hostname | Mappa CtdSite a principal.asset.hostname. |
CtdCpu | principal.resource.attribute.labels (CtdCpu_label) | Crea un'etichetta con la chiave CtdCpu utilizzando il valore di CtdCpu e la unisce a principal.resource.attribute.labels. |
CtdMem | principal.resource.attribute.labels (CtdMem_label) | Crea un'etichetta con la chiave CtdMem utilizzando il valore di CtdMem e la unisce a principal.resource.attribute.labels. |
CtdUsedOptIcsranger | principal.resource.attribute.labels (CtdUsedOptIcsranger_label) | Crea un'etichetta da CtdUsedOptIcsranger e la unisce. |
CtdUsedVar | principal.resource.attribute.labels (CtdUsedVar_label) | Crea un'etichetta da CtdUsedVar e la unisce. |
CtdUsedTmp | principal.resource.attribute.labels (CtdUsedTmp_label) | Crea un'etichetta da CtdUsedTmp e la unisce. |
CtdUsedEtc | principal.resource.attribute.labels (CtdUsedEtc_label) | Crea un'etichetta da CtdUsedEtc e la unisce. |
CtdBusyFd | principal.resource.attribute.labels (CtdBusyFd_label) | Crea un'etichetta da CtdBusyFd e la unisce. |
CtdBusySda | principal.resource.attribute.labels (CtdBusySda_label) | Crea un'etichetta da CtdBusySda e la unisce. |
CtdBusySdaA | principal.resource.attribute.labels (CtdBusySdaA_label) | Crea un'etichetta da CtdBusySdaA e la unisce. |
CtdBusySdaB | principal.resource.attribute.labels (CtdBusySdaB_label) | Crea un'etichetta da CtdBusySdaB e la unisce. |
CtdBusySr | principal.resource.attribute.labels (CtdBusySr_label) | Crea un'etichetta da CtdBusySr e la unisce. |
CtdBusyDm | principal.resource.attribute.labels (CtdBusyDm_label) | Crea un'etichetta da CtdBusyDm e la unisce. |
CtdBusyDmA | principal.resource.attribute.labels (CtdBusyDmA_label) | Crea un'etichetta da CtdBusyDmA e la unisce. |
CtdQuPreprocessingNg | principal.resource.attribute.labels (CtdQuPreprocessingNg_label) | Crea un'etichetta da CtdQuPreprocessingNg e la unisce. |
CtdQuBaselineTracker | principal.resource.attribute.labels (CtdQuBaselineTracker_label) | Crea un'etichetta da CtdQuBaselineTracker e la unisce. |
CtdQuBridge | principal.resource.attribute.labels (CtdQuBridge_label) | Crea un'etichetta da CtdQuBridge e la unisce. |
CtdQuCentralBridge | principal.resource.attribute.labels (CtdQuCentralBridge_label) | Crea un'etichetta da CtdQuCentralBridge e la unisce. |
CtdQuConcluding | principal.resource.attribute.labels (CtdQuConcluding_label) | Crea un'etichetta da CtdQuConcluding e la unisce. |
CtdQuDiodeFeeder | principal.resource.attribute.labels (CtdQuDiodeFeeder_label) | Crea un'etichetta da CtdQuDiodeFeeder e la unisce. |
CtdQuDissector | principal.resource.attribute.labels (CtdQuDissector_label) | Crea un'etichetta da CtdQuDissector e la unisce. |
CtdQuDissectorA | principal.resource.attribute.labels (CtdQuDissectorA_label) | Crea un'etichetta da CtdQuDissectorA e la unisce. |
CtdQuDissectorNg | principal.resource.attribute.labels (CtdQuDissectorNg_label) | Crea un'etichetta da CtdQuDissectorNg e la unisce. |
CtdQuIndicatorService | principal.resource.attribute.labels (CtdQuIndicatorService_label) | Crea un'etichetta da CtdQuIndicatorService e la unisce. |
CtdQuLeecher | principal.resource.attribute.labels (CtdQuLeecher_label) | Crea un'etichetta da CtdQuLeecher e la unisce. |
CtdQuMonitor | principal.resource.attribute.labels (CtdQuMonitor_label) | Crea un'etichetta da CtdQuMonitor e la unisce. |
CtdQuNetworkStatistics | principal.resource.attribute.labels (CtdQuNetworkStatistics_label) | Crea un'etichetta da CtdQuNetworkStatistics e la unisce. |
CtdQuPackets | principal.resource.attribute.labels (CtdQuPackets_label) | Crea un'etichetta da CtdQuPackets e la unisce. |
CtdQuPacketsErrors | principal.resource.attribute.labels (CtdQuPacketsErrors_label) | Crea un'etichetta da CtdQuPacketsErrors e la unisce. |
CtdQuPreprocessing | principal.resource.attribute.labels (CtdQuPreprocessing_label) | Crea un'etichetta da CtdQuPreprocessing e la unisce. |
CtdQuPriorityProcessing | principal.resource.attribute.labels (CtdQuPriorityProcessing_label) | Crea un'etichetta da CtdQuPriorityProcessing e la unisce. |
CtdQuProcessing | principal.resource.attribute.labels (CtdQuProcessing_label) | Crea un'etichetta da CtdQuProcessing e la unisce. |
CtdQuProcessingHigh | principal.resource.attribute.labels (CtdQuProcessingHigh_label) | Crea un'etichetta da CtdQuProcessingHigh e la unisce. |
CtdQuZordonUpdates | principal.resource.attribute.labels (CtdQuZordonUpdates_label) | Crea un'etichetta da CtdQuZordonUpdates e la unisce. |
CtdQuStatisticsNg | principal.resource.attribute.labels (CtdQuStatisticsNg_label) | Crea un'etichetta da CtdQuStatisticsNg e la unisce. |
CtdQueuePurge | principal.resource.attribute.labels (CtdQueuePurge_label) | Crea un'etichetta da CtdQueuePurge e la unisce. |
CtdQuSyslogAlerts | principal.resource.attribute.labels (CtdQuSyslogAlerts_label) | Crea un'etichetta da CtdQuSyslogAlerts e la unisce. |
CtdQuSyslogEvents | principal.resource.attribute.labels (CtdQuSyslogEvents_label) | Crea un'etichetta da CtdQuSyslogEvents e la unisce. |
CtdQuSyslogInsights | principal.resource.attribute.labels (CtdQuSyslogInsights_label) | Crea un'etichetta da CtdQuSyslogInsights e la unisce. |
CtdRdDissector | principal.resource.attribute.labels (CtdRdDissector_label) | Crea un'etichetta da CtdRdDissector e la unisce. |
CtdRdDissectorA | principal.resource.attribute.labels (CtdRdDissectorA_label) | Crea un'etichetta da CtdRdDissectorA e la unisce. |
CtdRdDissectorNg | principal.resource.attribute.labels (CtdRdDissectorNg_label) | Crea un'etichetta da CtdRdDissectorNg e la unisce. |
CtdRdPreprocessing | principal.resource.attribute.labels (CtdRdPreprocessing_label) | Crea un'etichetta da CtdRdPreprocessing e la unisce. |
CtdRdPreprocessingNg | principal.resource.attribute.labels (CtdRdPreprocessingNg_label) | Crea un'etichetta da CtdRdPreprocessingNg e la unisce. |
CtdSvcMariaDb | principal.resource.attribute.labels (CtdSvcMariaDb_label) | Crea un'etichetta da CtdSvcMariaDb e la unisce. |
CtdSvcPostgres | principal.resource.attribute.labels (CtdSvcPostgres_label) | Crea un'etichetta da CtdSvcPostgres e la unisce. |
CtdSvcRedis | principal.resource.attribute.labels (CtdSvcRedis_label) | Crea un'etichetta da CtdSvcRedis e la unisce. |
CtdSvcRabbitMq | principal.resource.attribute.labels (CtdSvcRabbitMq_label) | Crea un'etichetta da CtdSvcRabbitMq e la unisce. |
CtdSvcIcsranger | principal.resource.attribute.labels (CtdSvcIcsranger_label) | Crea un'etichetta da CtdSvcIcsranger e la unisce. |
CtdSvcWatchdog | principal.resource.attribute.labels (CtdSvcWatchdog_label) | Crea un'etichetta da CtdSvcWatchdog e la unisce. |
CtdSvcFirewalld | principal.resource.attribute.labels (CtdSvcFirewalld_label) | Crea un'etichetta da CtdSvcFirewalld e la unisce. |
CtdSvcNetunnel | principal.resource.attribute.labels (CtdSvcNetunnel_label) | Crea un'etichetta da CtdSvcNetunnel e la unisce. |
CtdSvcJwthenticator | principal.resource.attribute.labels (CtdSvcJwthenticator_label) | Crea un'etichetta da CtdSvcJwthenticator e la unisce. |
CtdSvcDocker | principal.resource.attribute.labels (CtdSvcDocker_label) | Crea un'etichetta da CtdSvcDocker e la unisce. |
CtdExceptions | principal.resource.attribute.labels (CtdExceptions_label) | Crea un'etichetta da CtdExceptions e la unisce. |
CtdInputPacketDrops | principal.resource.attribute.labels (CtdInputPacketDrops_label) | Crea un'etichetta da CtdInputPacketDrops e la unisce. |
CtdOutputPacketDrops | principal.resource.attribute.labels (CtdOutputPacketDrops_label) | Crea un'etichetta da CtdOutputPacketDrops e la unisce. |
CtdFullOutputPacketDrops | principal.resource.attribute.labels (CtdFullOutputPacketDrops_label) | Crea un'etichetta da CtdFullOutputPacketDrops e la unisce. |
CtdDissectorNgPacketDrops | principal.resource.attribute.labels (CtdDissectorNgPacketDrops_label) | Crea un'etichetta da CtdDissectorNgPacketDrops e la unisce. |
CtdTagArtifactsDropsPreprocessor | principal.resource.attribute.labels (CtdTagArtifactsDropsPreprocessor_label) | Crea un'etichetta da CtdTagArtifactsDropsPreprocessor e la unisce. |
CtdTagArtifactsDropsPreprocessorSum | principal.resource.attribute.labels (CtdTagArtifactsDropsPreprocessorSum_label) | Crea un'etichetta da CtdTagArtifactsDropsPreprocessorSum e la unisce. |
CtdTagArtifactsDropsProcessor | principal.resource.attribute.labels (CtdTagArtifactsDropsProcessor_label) | Crea un'etichetta da CtdTagArtifactsDropsProcessor e la unisce. |
CtdTagArtifactsDropsProcessorSum | principal.resource.attribute.labels (CtdTagArtifactsDropsProcessorSum_label) | Crea un'etichetta da CtdTagArtifactsDropsProcessorSum e la unisce. |
CtdTagArtifactsDropsSniffer | principal.resource.attribute.labels (CtdTagArtifactsDropsSniffer_label) | Crea un'etichetta da CtdTagArtifactsDropsSniffer e la unisce. |
CtdTagArtifactsDropsSnifferSum | principal.resource.attribute.labels (CtdTagArtifactsDropsSnifferSum_label) | Crea un'etichetta da CtdTagArtifactsDropsSnifferSum e la unisce. |
CtdTagArtifactsDropsDissectorPypy | principal.resource.attribute.labels (CtdTagArtifactsDropsDissectorPypy_label) | Crea un'etichetta da CtdTagArtifactsDropsDissectorPypy e la unisce. |
CtdTagArtifactsDropsDissectorPypySum | principal.resource.attribute.labels (CtdTagArtifactsDropsDissectorPypySum_label) | Crea un'etichetta da CtdTagArtifactsDropsDissectorPypySum e la unisce. |
CtdCapsaverFolderCleanup | principal.resource.attribute.labels (CtdCapsaverFolderCleanup_label) | Crea un'etichetta da CtdCapsaverFolderCleanup e la unisce. |
CtdCapsaverUtilzationTest | principal.resource.attribute.labels (CtdCapsaverUtilzationTest_label) | Crea un'etichetta da CtdCapsaverUtilzationTest e la unisce. |
CtdYaraScannerTest | principal.resource.attribute.labels (CtdYaraScannerTest_label) | Crea un'etichetta da CtdYaraScannerTest e la unisce. |
CtdWrkrWorkersStop | principal.resource.attribute.labels (CtdWrkrWorkersStop_label) | Crea un'etichetta da CtdWrkrWorkersStop e la unisce. |
CtdWrkrWorkersRestart | principal.resource.attribute.labels (CtdWrkrWorkersRestart_label) | Crea un'etichetta da CtdWrkrWorkersRestart e la unisce. |
CtdWrkrActiveExecuter | principal.resource.attribute.labels (CtdWrkrActiveExecuter_label) | Crea un'etichetta da CtdWrkrActiveExecuter e la unisce. |
CtdWrkrSensor | principal.resource.attribute.labels (CtdWrkrSensor_label) | Crea un'etichetta da CtdWrkrSensor e la unisce. |
CtdWrkrAuthentication | principal.resource.attribute.labels (CtdWrkrAuthentication_label) | Crea un'etichetta da CtdWrkrAuthentication e la unisce. |
CtdWrkrMitre | principal.resource.attribute.labels (CtdWrkrMitre_label) | Crea un'etichetta da CtdWrkrMitre e la unisce. |
CtdWrkrNotifications | principal.resource.attribute.labels (CtdWrkrNotifications_label) | Crea un'etichetta da CtdWrkrNotifications e la unisce. |
CtdWrkrProcessor | principal.resource.attribute.labels (CtdWrkrProcessor_label) | Crea un'etichetta da CtdWrkrProcessor e la unisce. |
CtdWrkrCloudAgent | principal.resource.attribute.labels (CtdWrkrCloudAgent_label) | Crea un'etichetta da CtdWrkrCloudAgent e la unisce. |
CtdWrkrCloudClient | principal.resource.attribute.labels (CtdWrkrCloudClient_label) | Crea un'etichetta da CtdWrkrCloudClient e la unisce. |
CtdWrkrScheduler | principal.resource.attribute.labels (CtdWrkrScheduler_label) | Crea un'etichetta da CtdWrkrScheduler e la unisce. |
CtdWrkrknownThreats | principal.resource.attribute.labels (CtdWrkrknownThreats_label) | Crea un'etichetta da CtdWrkrknownThreats e la unisce. |
CtdWrkrCacher | principal.resource.attribute.labels (CtdWrkrCacher_label) | Crea un'etichetta da CtdWrkrCacher e la unisce. |
CtdWrkrInsights | principal.resource.attribute.labels (CtdWrkrInsights_label) | Crea un'etichetta da CtdWrkrInsights e la unisce. |
CtdWrkrActive | principal.resource.attribute.labels (CtdWrkrActive_label) | Crea un'etichetta da CtdWrkrActive e la unisce. |
CtdWrkrEnricher | principal.resource.attribute.labels (CtdWrkrEnricher_label) | Crea un'etichetta da CtdWrkrEnricher e la unisce. |
CtdWrkrIndicators | principal.resource.attribute.labels (CtdWrkrIndicators_label) | Crea un'etichetta da CtdWrkrIndicators e la unisce. |
CtdWrkrIndicatorsApi | principal.resource.attribute.labels (CtdWrkrIndicatorsApi_label) | Crea un'etichetta da CtdWrkrIndicatorsApi e la unisce. |
CtdWrkrConcluder | principal.resource.attribute.labels (CtdWrkrConcluder_label) | Crea un'etichetta da CtdWrkrConcluder e la unisce. |
CtdWrkrPreprocessor | principal.resource.attribute.labels (CtdWrkrPreprocessor_label) | Crea un'etichetta da CtdWrkrPreprocessor e la unisce. |
CtdWrkrLeecher | principal.resource.attribute.labels (CtdWrkrLeecher_label) | Crea un'etichetta da CtdWrkrLeecher e la unisce. |
CtdWrkrSyncManager | principal.resource.attribute.labels (CtdWrkrSyncManager_label) | Crea un'etichetta da CtdWrkrSyncManager e la unisce. |
CtdWrkrBridge | principal.resource.attribute.labels (CtdWrkrBridge_label) | Crea un'etichetta da CtdWrkrBridge e la unisce. |
CtdWrkrWebRanger | principal.resource.attribute.labels (CtdWrkrWebRanger_label) | Crea un'etichetta da CtdWrkrWebRanger e la unisce. |
CtdWrkrWebWs | principal.resource.attribute.labels (CtdWrkrWebWs_label) | Crea un'etichetta da CtdWrkrWebWs e la unisce. |
CtdWrkrWebAuth | principal.resource.attribute.labels (CtdWrkrWebAuth_label) | Crea un'etichetta da CtdWrkrWebAuth e la unisce. |
CtdWrkrWebNginx | principal.resource.attribute.labels (CtdWrkrWebNginx_label) | Crea un'etichetta da CtdWrkrWebNginx e la unisce. |
CtdWrkrConfigurator | principal.resource.attribute.labels (CtdWrkrConfigurator_label) | Crea un'etichetta da CtdWrkrConfigurator e la unisce. |
CtdWrkrConfiguratorNginx | principal.resource.attribute.labels (CtdWrkrConfiguratorNginx_label) | Crea un'etichetta da CtdWrkrConfiguratorNginx e la unisce. |
CtdWrkrCapsaver | principal.resource.attribute.labels (CtdWrkrCapsaver_label) | Crea un'etichetta da CtdWrkrCapsaver e la unisce. |
CtdWrkrBaselineTracker | principal.resource.attribute.labels (CtdWrkrBaselineTracker_label) | Crea un'etichetta da CtdWrkrBaselineTracker e la unisce. |
CtdWrkrDissector | principal.resource.attribute.labels (CtdWrkrDissector_label) | Crea un'etichetta da CtdWrkrDissector e la unisce. |
CtdWrkrDissectorA | principal.resource.attribute.labels (CtdWrkrDissectorA_label) | Crea un'etichetta da CtdWrkrDissectorA e la unisce. |
CtdWrkrDissectorNg | principal.resource.attribute.labels (CtdWrkrDissectorNg_label) | Crea un'etichetta da CtdWrkrDissectorNg e la unisce. |
CtdWrkrPreprocessing | principal.resource.attribute.labels (CtdWrkrPreprocessing_label) | Crea un'etichetta da CtdWrkrPreprocessing e la unisce. |
CtdWrkrPreprocessingNg | principal.resource.attribute.labels (CtdWrkrPreprocessingNg_label) | Crea un'etichetta da CtdWrkrPreprocessingNg e la unisce. |
CtdWrkrStatisticsNg | principal.resource.attribute.labels (CtdWrkrStatisticsNg_label) | Crea un'etichetta da CtdWrkrStatisticsNg e la unisce. |
CtdWrkrSyslogAlerts | principal.resource.attribute.labels (CtdWrkrSyslogAlerts_label) | Crea un'etichetta da CtdWrkrSyslogAlerts e la unisce. |
CtdWrkrSyslogEvents | principal.resource.attribute.labels (CtdWrkrSyslogEvents_label) | Crea un'etichetta da CtdWrkrSyslogEvents e la unisce. |
CtdWrkrSyslogInsights | principal.resource.attribute.labels (CtdWrkrSyslogInsights_label) | Crea un'etichetta da CtdWrkrSyslogInsights e la unisce. |
CtdWrkrRdDissector | principal.resource.attribute.labels (CtdWrkrRdDissector_label) | Crea un'etichetta da CtdWrkrRdDissector e la unisce. |
CtdWrkrRdDissectorA | principal.resource.attribute.labels (CtdWrkrRdDissectorA_label) | Crea un'etichetta da CtdWrkrRdDissectorA e la unisce. |
CtdSensorName | principal.resource.attribute.labels (CtdSensorName_label) | Crea un'etichetta da CtdSensorName e la unisce. |
CtdCtrlSite | principal.resource.attribute.labels (CtdCtrlSite_label) | Crea un'etichetta da CtdCtrlSite e la unisce. |
CtdLoopCallDurationBaselineTrackerWrkerHandleNetworkStatistics | principal.resource.attribute.labels (CtdLoopCallDurationBaselineTrackerWrkerHandleNetworkStatistics_label) | Crea un'etichetta da CtdLoopCallDurationBaselineTrackerWrkerHandleNetworkStatistics e la unisce. |
CtdDissectionCoverage | principal.resource.attribute.labels (CtdDissectionCoverage_label) | Crea un'etichetta da CtdDissectionCoverage e la unisce. |
CtdDissectionEfficiencyModbus | principal.resource.attribute.labels (CtdDissectionEfficiencyModbus_label) | Crea un'etichetta da CtdDissectionEfficiencyModbus e la unisce. |
CtdDissectionEfficiencySmb | principal.resource.attribute.labels (CtdDissectionEfficiencySmb_label) | Crea un'etichetta da CtdDissectionEfficiencySmb e la unisce. |
CtdDissectionEfficiencyDcerpc | principal.resource.attribute.labels (CtdDissectionEfficiencyDcerpc_label) | Crea un'etichetta da CtdDissectionEfficiencyDcerpc e la unisce. |
CtdDissectionEfficiencyZabbix | principal.resource.attribute.labels (CtdDissectionEfficiencyZabbix_label) | Crea un'etichetta da CtdDissectionEfficiencyZabbix e la unisce. |
CtdDissectionEfficiencyFactorytalkRna | principal.resource.attribute.labels (CtdDissectionEfficiencyFactorytalkRna_label) | Crea un'etichetta da CtdDissectionEfficiencyFactorytalkRna e la unisce. |
CtdDissectionEfficiencySsl | principal.resource.attribute.labels (CtdDissectionEfficiencySsl_label) | Crea un'etichetta da CtdDissectionEfficiencySsl e la unisce. |
CtdDissectionEfficiencyVrrpProtocolMatcher | principal.resource.attribute.labels (CtdDissectionEfficiencyVrrpProtocolMatcher_label) | Crea un'etichetta da CtdDissectionEfficiencyVrrpProtocolMatcher e la unisce. |
CtdDissectionEfficiencyRdp | principal.resource.attribute.labels (CtdDissectionEfficiencyRdp_label) | Crea un'etichetta da CtdDissectionEfficiencyRdp e la unisce. |
CtdDissectionEfficiencySsh | principal.resource.attribute.labels (CtdDissectionEfficiencySsh_label) | Crea un'etichetta da CtdDissectionEfficiencySsh e la unisce. |
CtdDissectionEfficiencyHttp | principal.resource.attribute.labels (CtdDissectionEfficiencyHttp_label) | Crea un'etichetta da CtdDissectionEfficiencyHttp e la unisce. |
CtdDissectionEfficiencyTcpHttp | principal.resource.attribute.labels (CtdDissectionEfficiencyTcpHttp_label) | Crea un'etichetta da CtdDissectionEfficiencyTcpHttp e la unisce. |
CtdDissectionEfficiencyLdap | principal.resource.attribute.labels (CtdDissectionEfficiencyLdap_label) | Crea un'etichetta da CtdDissectionEfficiencyLdap e la unisce. |
CtdDissectionEfficiencyJrmi | principal.resource.attribute.labels (CtdDissectionEfficiencyJrmi_label) | Crea un'etichetta da CtdDissectionEfficiencyJrmi e la unisce. |
CtdDissectionEfficiencyGeIfix | principal.resource.attribute.labels (CtdDissectionEfficiencyGeIfix_label) | Crea un'etichetta da CtdDissectionEfficiencyGeIfix e la unisce. |
CtdDissectionEfficiencyLlc | principal.resource.attribute.labels (CtdDissectionEfficiencyLlc_label) | Crea un'etichetta da CtdDissectionEfficiencyLlc e la unisce. |
CtdDissectionEfficiencyMatrikonNopc | principal.resource.attribute.labels (CtdDissectionEfficiencyMatrikonNopc_label) | Crea un'etichetta da CtdDissectionEfficiencyMatrikonNopc e la unisce. |
CtdDissectionEfficiencyVnc | principal.resource.attribute.labels (CtdDissectionEfficiencyVnc_label) | Crea un'etichetta da CtdDissectionEfficiencyVnc e la unisce. |
CtdUnhandledEvents | principal.resource.attribute.labels (CtdUnhandledEvents_label) | Crea un'etichetta da CtdUnhandledEvents e la unisce. |
CtdConcludeTime | principal.resource.attribute.labels (CtdConcludeTime_label) | Crea un'etichetta da CtdConcludeTime e la unisce. |
CtdMysqlQuery | principal.resource.attribute.labels (CtdMysqlQuery_label) | Crea un'etichetta da CtdMysqlQuery e la unisce. |
CtdPostgresQuery | principal.resource.attribute.labels (CtdPostgresQuery_label) | Crea un'etichetta da CtdPostgresQuery e la unisce. |
CtdPsqlIdleSessions | principal.resource.attribute.labels (CtdPsqlIdleSessions_label) | Crea un'etichetta da CtdPsqlIdleSessions e la unisce. |
CtdPsqlIdleInTransactionSessions | principal.resource.attribute.labels (CtdPsqlIdleInTransactionSessions_label) | Crea un'etichetta da CtdPsqlIdleInTransactionSessions e la unisce. |
CtdSnifferStatus | principal.resource.attribute.labels (CtdSnifferStatus_label) | Crea un'etichetta da CtdSnifferStatus e la unisce. |
CtdLoopCallDurationPollObjects | principal.resource.attribute.labels (CtdLoopCallDurationPollObjects_label) | Crea un'etichetta da CtdLoopCallDurationPollObjects e la unisce. |
CtdLoopCallDurationCloudClientWrkrBaseRunCloudConnected | principal.resource.attribute.labels (CtdLoopCallDurationCloudClientWrkrBaseRunCloudConnected_label) | Crea un'etichetta da CtdLoopCallDurationCloudClientWrkrBaseRunCloudConnected e la unisce. |
CtdSnifferStatusCentral | principal.resource.attribute.labels (CtdSnifferStatusCentral_label) | Crea un'etichetta da CtdSnifferStatusCentral e la unisce. |
CtdSnifferStatusSite | principal.resource.attribute.labels (CtdSnifferStatusSite_label) | Crea un'etichetta da CtdSnifferStatusSite e la unisce. |
CtdWrkrMailer | principal.resource.attribute.labels (CtdWrkrMailer_label) | Crea un'etichetta da CtdWrkrMailer e la unisce. |
CtdDroppedEntities | principal.resource.attribute.labels (CtdDroppedEntities_label) | Crea un'etichetta da CtdDroppedEntities e la unisce. |
externalId | metadata.product_log_id | Mappa externalId a metadata.product_log_id. |
proto | protocol_number_src | Converte il proto in maiuscolo e lo assegna a protocol_number_src per la ricerca. |
protocol_number_src | ip_protocol_out; app_protocol_out | Inizializza ip_protocol_out a UNKNOWN_IP_PROTOCOL e app_protocol_out a UNKNOWN_APPLICATION_PROTOCOL , quindi aggiorna in base alla ricerca. |
ip_protocol_out | network.ip_protocol | Imposta network.ip_protocol da ip_protocol_out. |
app_protocol_out | network.application_protocol | Imposta network.application_protocol da app_protocol_out. |
CtdExternalId | metadata.product_log_id | Sovrascrive metadata.product_log_id con CtdExternalId se fornito. |
CtdDeviceExternalId | principal.resource.attribute.labels (ctd_device_label) | Crea un'etichetta da CtdDeviceExternalId (con il prefisso CtdDeviceExternalId ) e la unisce. |
(se has_principal_device è true e ctdeventtype = Login ) |
security_result.category; security_result.action | Per gli eventi di accesso, imposta security_result.category su AUTH_VIOLATION e action su BLOCK . |
(se has_principal_device è true e ctdeventtype = Memory Reset ) |
security_result.category | Imposta security_result.category su SOFTWARE_SUSPICIOUS . |
(se target_machine_id_present è true, has_principal_device è true e ctdeventtype è in [Known Threat Alert , Known Threat Event , Man-in-the-Middle Attack , Suspicious Activity ]) |
security_result.category | Imposta security_result.category su NETWORK_MALICIOUS . |
(se target_machine_id_present è true, has_principal_device è true e ctdeventtype = Suspicious File Transfer ) |
security_result.category | Imposta security_result.category su NETWORK_SUSPICIOUS . |
(se target_machine_id_present è true, has_principal_device è true e ctdeventtype = Denial Of Service ) |
security_result.category | Imposta security_result.category su NETWORK_DENIAL_OF_SERVICE . |
(if has_principal_device is true and ctdeventtype in [Host Scan , Port Scan ]) |
security_result.category | Imposta security_result.category su NETWORK_RECON . |
(if target_machine_id_present is true, has_principal_device is true, and ctdeventtype in [Policy Rule Match , Policy Violation Alert , Policy Violation ]) |
security_result.category | Imposta security_result.category su POLICY_VIOLATION . |
(valore predefinito se has_principal_device è true) | security_result.category | Imposta security_result.category su NETWORK_SUSPICIOUS per impostazione predefinita. |
security_result_category derivata | security_result.category | Unisce la categoria di sicurezza derivata a security_result.category. |
Derived security_result_action | security_result.action | Unisce l'azione di sicurezza derivata a security_result.action (se impostata). |
cs6 (con cs6Label CTDlink ) |
metadata.url_back_to_product; security_result.url_back_to_product | Imposta i campi URL da cs6 per il backlinking ai dettagli del prodotto. |
cs1 (con cs1Label SourceAssetType ) |
principal.asset.category; principal.asset.type | Imposta principal.asset.category da cs1 e determina principal.asset.type in base al suo valore. |
cs2 (con cs2Label DestAssetType ) |
target.asset.category; target.asset.type | Imposta target.asset.category da cs2 e determina target.asset.type in base al suo valore. |
cfp1 (con cfp1Label CVEScore ) |
vulns.vulnerabilities.cvss_base_score | Imposta vulns.vulnerabilities.cvss_base_score (convertito in float) e contrassegna vul_fields_present come true. |
cs6 (con cs6Label CVE ) |
vulns.vulnerabilities.cve_id | Imposta vulns.vulnerabilities.cve_id e contrassegna vul_fields_present come true. |
cn1 (con cn1Label IndicatorScore ) |
security_result.confidence_score | Estrae il punteggio dell'indicatore da cn1, lo converte in un numero in virgola mobile e lo assegna come punteggio di affidabilità. |
filepath | about.file.full_path; security_result.about.file.full_path | Percorso del file di Maps a about.file.full_path e security_result.about.file.full_path. |
(if eventclass = HealthCheck and cs1Label = Site ) |
intermediary.location.name | Imposta intermediary.location.name da cs1 quando viene utilizzato come identificatore del sito. |
cn1 (con cn1Label) | additional.fields (cn1_label) | Crea un'etichetta di campo aggiuntiva da cn1 e la unisce a additional.fields. |
cs1 (con cs1Label) | additional.fields (cs1_label) | Crea un'etichetta di campo aggiuntiva da cs1 e la unisce a additional.fields. |
cs2 (con cs2Label) | additional.fields (cs2_label) | Crea un'etichetta di campo aggiuntiva da cs2 e la unisce a additional.fields. |
cs3 (con cs3Label) | additional.fields (cs3_label) | Crea un'etichetta di campo aggiuntiva da cs3 e la unisce. |
cs4 (con cs4Label) | additional.fields (cs4_label) | Crea un'etichetta di campo aggiuntiva da cs4 e la unisce. |
cs6 (con cs6Label) | additional.fields (cs6_label) | Crea un'etichetta di campo aggiuntiva da cs6 e la unisce. |
(per gli eventi Insight in base a event_name e vul_fields_present) | event_type | Deriva event_type per gli eventi Insight (ad es. SCAN_VULN_HOST, STATUS_UNCATEGORIZED, STATUS_UPDATE). |
(per eventi/avvisi basati su ctdeventtype, has_principal_device e così via) | event_type; (facoltativamente target.resource.type o auth.type) | Deriva event_type per eventi/avvisi come DEVICE_CONFIG_UPDATE, DEVICE_PROGRAM_DOWNLOAD/UPLOAD, NETWORK_UNCATEGORIZED, USER_RESOURCE_CREATION, SCAN_HOST, SCAN_NETWORK, SETTING_MODIFICATION, USER_LOGIN, NETWORK_CONNECTION o STATUS_UPDATE. |
(se event_type rimane vuoto) | event_type | Imposta event_type su NETWORK_CONNECTION, USER_RESOURCE_ACCESS o STATUS_UPDATE in base ai flag disponibili. |
event_type (final) | metadata.event_type | Copia event_type finale in metadata.event_type; il valore predefinito è GENERIC_EVENT se il campo è vuoto. |
device_vendor | metadata.vendor_name | Imposta metadata.vendor_name da device_vendor; il valore predefinito è CLAROTY se manca. |
device_product | metadata.product_name | Imposta metadata.product_name da device_product; il valore predefinito è CTD se manca. |
device_version | metadata.product_version | Imposta metadata.product_version da device_version. |
security_description (se corrisponde a ET TROJAN … ) |
security_result.threat_name | Estrae threat_name utilizzando il pattern ET TROJAN (?P<threat_name>\S+) da security_description e lo mappa a security_result.threat_name. |
metadati | event.idm.read_only_udm.metadata | Rinomina i metadati in event.idm.read_only_udm.metadata. |
entità | event.idm.read_only_udm.principal | Rinomina il principal in event.idm.read_only_udm.principal. |
target | event.idm.read_only_udm.target | Rinomina il target in event.idm.read_only_udm.target. |
rete | event.idm.read_only_udm.network | Rinomina la rete in event.idm.read_only_udm.network. |
aggiuntivo | event.idm.read_only_udm.additional | Rinomina additional in event.idm.read_only_udm.additional. |
security_result | event.idm.read_only_udm.security_result | Unisce security_result a event.idm.read_only_udm.security_result. |
about | event.idm.read_only_udm.about | Unisce about in event.idm.read_only_udm.about. |
intermediario | event.idm.read_only_udm.intermediary | Unisce l'intermediario a event.idm.read_only_udm.intermediary. |
vulns.vulnerabilities | event.idm.read_only_udm.extensions.vulns.vulnerabilities | Unisce vulns.vulnerabilities a event.idm.read_only_udm.extensions.vulns.vulnerabilities. |
@output | event | Unisce la struttura completa dell'evento UDM nel campo event finale. |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.