Claroty CTD ログを収集する

以下でサポートされています。

このドキュメントでは、Bindplane を使用して Claroty Continuous Threat Detection(CTD)ログを Google Security Operations に取り込む方法について説明します。

始める前に

  • Google Security Operations インスタンスがあることを確認します。
  • Windows 2016 以降、または systemd を使用する Linux ホストを使用していることを確認します。
  • プロキシの背後で実行している場合は、ファイアウォール ポートが開いていることを確認します。
  • Claroty CTD への特権アクセス権があることを確認します。

Google SecOps の取り込み認証ファイルを取得する

  1. Google SecOps コンソールにログインします。
  2. [SIEM 設定] > [コレクション エージェント] に移動します。
  3. Ingestion Authentication File をダウンロードします。Bindplane をインストールするシステムにファイルを安全に保存します。

Google SecOps のお客様 ID を取得する

  1. Google SecOps コンソールにログインします。
  2. [SIEM 設定] > [プロファイル] に移動します。
  3. [組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。

Bindplane エージェントをインストールする

Windows のインストール

  1. 管理者として コマンド プロンプトまたは PowerShell を開きます。
  2. 次のコマンドを実行します。

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
    

Linux のインストール

  1. root 権限または sudo 権限でターミナルを開きます。
  2. 次のコマンドを実行します。

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
    

その他のインストール リソース

Syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する

  1. 構成ファイルにアクセスします。

    1. config.yaml ファイルを見つけます。通常、Linux では /etc/bindplane-agent/ ディレクトリに、Windows ではインストール ディレクトリにあります。
    2. テキスト エディタ(nanovi、メモ帳など)を使用してファイルを開きます。
  2. config.yaml ファイルを次のように編集します。

    receivers:
        udplog:
            # Replace the port and IP address as required
            listen_address: "0.0.0.0:514"
    
    exporters:
        chronicle/chronicle_w_labels:
            compression: gzip
            # Adjust the path to the credentials file you downloaded in Step 1
            creds: '/path/to/ingestion-authentication-file.json'
            # Replace with your actual customer ID from Step 2
            customer_id: <customer_id>
            endpoint: malachiteingestion-pa.googleapis.com
            # Add optional ingestion labels for better organization
            ingestion_labels:
                log_type: CLAROTY_CTD
                raw_log_field: body
    
    service:
        pipelines:
            logs/source0__chronicle_w_labels-0:
                receivers:
                    - udplog
                exporters:
                    - chronicle/chronicle_w_labels
    
  3. 自社のインフラストラクチャでの必要性に応じて、ポートと IP アドレスを置き換えます。

  4. <customer_id> は、実際の顧客 ID に置き換えます。

  5. /path/to/ingestion-authentication-file.json の値を、Google SecOps の取り込み認証ファイルを取得するで認証ファイルを保存したパスに更新します。

Bindplane エージェントを再起動して変更を適用する

  • Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。

    sudo systemctl restart bindplane-agent
    
  • Windows で Bindplane エージェントを再起動するには、Services コンソールを使用するか、次のコマンドを入力します。

    net stop BindPlaneAgent && net start BindPlaneAgent
    

Claroty Continuous Threat Detection(CTD)で Syslog を構成する

  1. Claroty CTD ウェブ UI にログインします。
  2. [メニュー] > [統合] > [Syslog] に移動します。
  3. syslog のメッセージ コンテンツ タイプごとに、次の手順を繰り返します。
    • アラート
    • イベント
    • ヘルスモニタリング
    • 分析情報
    • Activity Logs
    • 脆弱性
  4. [+] をクリックして新しい構成を追加します。
  5. [メッセージ コンテンツ] メニューで、エクスポートするコンテンツを選択します。
  6. 次の構成の詳細を指定します。
    • カテゴリ: [すべて] を選択します。
    • タイプ: [すべて選択] タイプを選択します。
    • 形式: [CEF(最新)] を選択します。
    • システム URL: プロキシ サーバーの背後にいる場合を除き、システム URL/IP を更新しないでください。
    • 送信先: [外部 Syslog サーバー(SIEM、SOAR システムなど)] を選択します。
    • [Vendor](ベンダー): [Other](その他)を選択します。
    • Syslog サーバー IP: Bindplane エージェントの IP アドレスを入力します。
    • ポート: Bindplane エージェントのポート(例: 514)を入力します。
    • プロトコル: [UDP] を選択します(Bindplane の構成に応じて、TCP、TLS、mTLS を選択することもできます)。
  7. [保存] をクリックします。

UDM マッピング テーブル

ログフィールド UDM マッピング ロジック
CtdRealTime metadata.event_timestamp CtdRealTime から MMM dd yyyy HH:mm:ss を使用して解析され、イベント タイムスタンプとして使用されます。
CtdTimeGenerated metadata.event_timestamp CtdRealTime が空の場合、CtdTimeGenerated から MMM dd yyyy HH:mm:ss を使用して解析し、イベント タイムスタンプを設定します。
CtdMessage metadata.description CtdMessage フィールドから metadata.description を設定します。
CtdMessage security_result.description 該当する場合、CtdMessage フィールドから security_result.description を設定します。
ポート(CtdMessage KV から) principal.port CtdMessage のキー Port から抽出され、整数に変換されて principal.port として設定されます。
カテゴリ(CtdMessage KV から) security_result.detection_fields(Category_label) CtdMessage からキー Category として抽出され、検出フィールドに統合されます。
アクセス(CtdMessage KV から) security_result.detection_fields(Access_label) CtdMessage からキー Access として抽出され、検出フィールドに統合されます。
CtdSite principal.hostname CtdSite を principal.hostname にマッピングします。
CtdSite principal.asset.hostname CtdSite を principal.asset.hostname にマッピングします。
CtdCpu principal.resource.attribute.labels(CtdCpu_label) CtdCpu の値を使用してキー CtdCpu でラベルを作成し、principal.resource.attribute.labels にマージします。
CtdMem principal.resource.attribute.labels(CtdMem_label) CtdMem の値を使用してキー CtdMem でラベルを作成し、principal.resource.attribute.labels にマージします。
CtdUsedOptIcsranger principal.resource.attribute.labels(CtdUsedOptIcsranger_label) CtdUsedOptIcsranger からラベルを作成して統合します。
CtdUsedVar principal.resource.attribute.labels(CtdUsedVar_label) CtdUsedVar からラベルを作成して統合します。
CtdUsedTmp principal.resource.attribute.labels(CtdUsedTmp_label) CtdUsedTmp からラベルを作成してマージします。
CtdUsedEtc principal.resource.attribute.labels(CtdUsedEtc_label) CtdUsedEtc からラベルを作成してマージします。
CtdBusyFd principal.resource.attribute.labels(CtdBusyFd_label) CtdBusyFd からラベルを作成してマージします。
CtdBusySda principal.resource.attribute.labels(CtdBusySda_label) CtdBusySda からラベルを作成してマージします。
CtdBusySdaA principal.resource.attribute.labels(CtdBusySdaA_label) CtdBusySdaA からラベルを作成してマージします。
CtdBusySdaB principal.resource.attribute.labels(CtdBusySdaB_label) CtdBusySdaB からラベルを作成してマージします。
CtdBusySr principal.resource.attribute.labels(CtdBusySr_label) CtdBusySr からラベルを作成してマージします。
CtdBusyDm principal.resource.attribute.labels(CtdBusyDm_label) CtdBusyDm からラベルを作成してマージします。
CtdBusyDmA principal.resource.attribute.labels(CtdBusyDmA_label) CtdBusyDmA からラベルを作成してマージします。
CtdQuPreprocessingNg principal.resource.attribute.labels(CtdQuPreprocessingNg_label) CtdQuPreprocessingNg からラベルを作成して統合します。
CtdQuBaselineTracker principal.resource.attribute.labels(CtdQuBaselineTracker_label) CtdQuBaselineTracker からラベルを作成してマージします。
CtdQuBridge principal.resource.attribute.labels(CtdQuBridge_label) CtdQuBridge からラベルを作成して統合します。
CtdQuCentralBridge principal.resource.attribute.labels(CtdQuCentralBridge_label) CtdQuCentralBridge からラベルを作成してマージします。
CtdQuConcluding principal.resource.attribute.labels(CtdQuConcluding_label) CtdQuConcluding からラベルを作成して統合します。
CtdQuDiodeFeeder principal.resource.attribute.labels(CtdQuDiodeFeeder_label) CtdQuDiodeFeeder からラベルを作成して統合します。
CtdQuDissector principal.resource.attribute.labels(CtdQuDissector_label) CtdQuDissector からラベルを作成して統合します。
CtdQuDissectorA principal.resource.attribute.labels(CtdQuDissectorA_label) CtdQuDissectorA からラベルを作成して統合します。
CtdQuDissectorNg principal.resource.attribute.labels(CtdQuDissectorNg_label) CtdQuDissectorNg からラベルを作成してマージします。
CtdQuIndicatorService principal.resource.attribute.labels(CtdQuIndicatorService_label) CtdQuIndicatorService からラベルを作成して統合します。
CtdQuLeecher principal.resource.attribute.labels(CtdQuLeecher_label) CtdQuLeecher からラベルを作成して統合します。
CtdQuMonitor principal.resource.attribute.labels(CtdQuMonitor_label) CtdQuMonitor からラベルを作成して統合します。
CtdQuNetworkStatistics principal.resource.attribute.labels(CtdQuNetworkStatistics_label) CtdQuNetworkStatistics からラベルを作成してマージします。
CtdQuPackets principal.resource.attribute.labels(CtdQuPackets_label) CtdQuPackets からラベルを作成して統合します。
CtdQuPacketsErrors principal.resource.attribute.labels(CtdQuPacketsErrors_label) CtdQuPacketsErrors からラベルを作成して統合します。
CtdQuPreprocessing principal.resource.attribute.labels(CtdQuPreprocessing_label) CtdQuPreprocessing からラベルを作成して統合します。
CtdQuPriorityProcessing principal.resource.attribute.labels(CtdQuPriorityProcessing_label) CtdQuPriorityProcessing からラベルを作成して統合します。
CtdQuProcessing principal.resource.attribute.labels(CtdQuProcessing_label) CtdQuProcessing からラベルを作成してマージします。
CtdQuProcessingHigh principal.resource.attribute.labels(CtdQuProcessingHigh_label) CtdQuProcessingHigh からラベルを作成して、マージします。
CtdQuZordonUpdates principal.resource.attribute.labels(CtdQuZordonUpdates_label) CtdQuZordonUpdates からラベルを作成して統合します。
CtdQuStatisticsNg principal.resource.attribute.labels(CtdQuStatisticsNg_label) CtdQuStatisticsNg からラベルを作成して統合します。
CtdQueuePurge principal.resource.attribute.labels(CtdQueuePurge_label) CtdQueuePurge からラベルを作成してマージします。
CtdQuSyslogAlerts principal.resource.attribute.labels(CtdQuSyslogAlerts_label) CtdQuSyslogAlerts からラベルを作成して統合します。
CtdQuSyslogEvents principal.resource.attribute.labels(CtdQuSyslogEvents_label) CtdQuSyslogEvents からラベルを作成して統合します。
CtdQuSyslogInsights principal.resource.attribute.labels(CtdQuSyslogInsights_label) CtdQuSyslogInsights からラベルを作成して統合します。
CtdRdDissector principal.resource.attribute.labels(CtdRdDissector_label) CtdRdDissector からラベルを作成してマージします。
CtdRdDissectorA principal.resource.attribute.labels(CtdRdDissectorA_label) CtdRdDissectorA からラベルを作成してマージします。
CtdRdDissectorNg principal.resource.attribute.labels(CtdRdDissectorNg_label) CtdRdDissectorNg からラベルを作成してマージします。
CtdRdPreprocessing principal.resource.attribute.labels(CtdRdPreprocessing_label) CtdRdPreprocessing からラベルを作成して、マージします。
CtdRdPreprocessingNg principal.resource.attribute.labels(CtdRdPreprocessingNg_label) CtdRdPreprocessingNg からラベルを作成して統合します。
CtdSvcMariaDb principal.resource.attribute.labels(CtdSvcMariaDb_label) CtdSvcMariaDb からラベルを作成してマージします。
CtdSvcPostgres principal.resource.attribute.labels(CtdSvcPostgres_label) CtdSvcPostgres からラベルを作成してマージします。
CtdSvcRedis principal.resource.attribute.labels(CtdSvcRedis_label) CtdSvcRedis からラベルを作成してマージします。
CtdSvcRabbitMq principal.resource.attribute.labels(CtdSvcRabbitMq_label) CtdSvcRabbitMq からラベルを作成して統合します。
CtdSvcIcsranger principal.resource.attribute.labels(CtdSvcIcsranger_label) CtdSvcIcsranger からラベルを作成してマージします。
CtdSvcWatchdog principal.resource.attribute.labels(CtdSvcWatchdog_label) CtdSvcWatchdog からラベルを作成してマージします。
CtdSvcFirewalld principal.resource.attribute.labels(CtdSvcFirewalld_label) CtdSvcFirewalld からラベルを作成してマージします。
CtdSvcNetunnel principal.resource.attribute.labels(CtdSvcNetunnel_label) CtdSvcNetunnel からラベルを作成してマージします。
CtdSvcJwthenticator principal.resource.attribute.labels(CtdSvcJwthenticator_label) CtdSvcJwthenticator からラベルを作成してマージします。
CtdSvcDocker principal.resource.attribute.labels(CtdSvcDocker_label) CtdSvcDocker からラベルを作成してマージします。
CtdExceptions principal.resource.attribute.labels(CtdExceptions_label) CtdExceptions からラベルを作成してマージします。
CtdInputPacketDrops principal.resource.attribute.labels(CtdInputPacketDrops_label) CtdInputPacketDrops からラベルを作成してマージします。
CtdOutputPacketDrops principal.resource.attribute.labels(CtdOutputPacketDrops_label) CtdOutputPacketDrops からラベルを作成して統合します。
CtdFullOutputPacketDrops principal.resource.attribute.labels(CtdFullOutputPacketDrops_label) CtdFullOutputPacketDrops からラベルを作成して統合します。
CtdDissectorNgPacketDrops principal.resource.attribute.labels(CtdDissectorNgPacketDrops_label) CtdDissectorNgPacketDrops からラベルを作成してマージします。
CtdTagArtifactsDropsPreprocessor principal.resource.attribute.labels(CtdTagArtifactsDropsPreprocessor_label) CtdTagArtifactsDropsPreprocessor からラベルを作成してマージします。
CtdTagArtifactsDropsPreprocessorSum principal.resource.attribute.labels(CtdTagArtifactsDropsPreprocessorSum_label) CtdTagArtifactsDropsPreprocessorSum からラベルを作成して統合します。
CtdTagArtifactsDropsProcessor principal.resource.attribute.labels(CtdTagArtifactsDropsProcessor_label) CtdTagArtifactsDropsProcessor からラベルを作成してマージします。
CtdTagArtifactsDropsProcessorSum principal.resource.attribute.labels(CtdTagArtifactsDropsProcessorSum_label) CtdTagArtifactsDropsProcessorSum からラベルを作成して統合します。
CtdTagArtifactsDropsSniffer principal.resource.attribute.labels(CtdTagArtifactsDropsSniffer_label) CtdTagArtifactsDropsSniffer からラベルを作成してマージします。
CtdTagArtifactsDropsSnifferSum principal.resource.attribute.labels(CtdTagArtifactsDropsSnifferSum_label) CtdTagArtifactsDropsSnifferSum からラベルを作成して統合します。
CtdTagArtifactsDropsDissectorPypy principal.resource.attribute.labels(CtdTagArtifactsDropsDissectorPypy_label) CtdTagArtifactsDropsDissectorPypy からラベルを作成してマージします。
CtdTagArtifactsDropsDissectorPypySum principal.resource.attribute.labels(CtdTagArtifactsDropsDissectorPypySum_label) CtdTagArtifactsDropsDissectorPypySum からラベルを作成してマージします。
CtdCapsaverFolderCleanup principal.resource.attribute.labels(CtdCapsaverFolderCleanup_label) CtdCapsaverFolderCleanup からラベルを作成してマージします。
CtdCapsaverUtilzationTest principal.resource.attribute.labels(CtdCapsaverUtilzationTest_label) CtdCapsaverUtilzationTest からラベルを作成してマージします。
CtdYaraScannerTest principal.resource.attribute.labels(CtdYaraScannerTest_label) CtdYaraScannerTest からラベルを作成してマージします。
CtdWrkrWorkersStop principal.resource.attribute.labels(CtdWrkrWorkersStop_label) CtdWrkrWorkersStop からラベルを作成して統合します。
CtdWrkrWorkersRestart principal.resource.attribute.labels(CtdWrkrWorkersRestart_label) CtdWrkrWorkersRestart からラベルを作成してマージします。
CtdWrkrActiveExecuter principal.resource.attribute.labels(CtdWrkrActiveExecuter_label) CtdWrkrActiveExecuter からラベルを作成してマージします。
CtdWrkrSensor principal.resource.attribute.labels(CtdWrkrSensor_label) CtdWrkrSensor からラベルを作成して統合します。
CtdWrkrAuthentication principal.resource.attribute.labels(CtdWrkrAuthentication_label) CtdWrkrAuthentication からラベルを作成して統合します。
CtdWrkrMitre principal.resource.attribute.labels(CtdWrkrMitre_label) CtdWrkrMitre からラベルを作成して統合します。
CtdWrkrNotifications principal.resource.attribute.labels(CtdWrkrNotifications_label) CtdWrkrNotifications からラベルを作成してマージします。
CtdWrkrProcessor principal.resource.attribute.labels(CtdWrkrProcessor_label) CtdWrkrProcessor からラベルを作成してマージします。
CtdWrkrCloudAgent principal.resource.attribute.labels(CtdWrkrCloudAgent_label) CtdWrkrCloudAgent からラベルを作成して統合します。
CtdWrkrCloudClient principal.resource.attribute.labels(CtdWrkrCloudClient_label) CtdWrkrCloudClient からラベルを作成してマージします。
CtdWrkrScheduler principal.resource.attribute.labels(CtdWrkrScheduler_label) CtdWrkrScheduler からラベルを作成してマージします。
CtdWrkrknownThreats principal.resource.attribute.labels(CtdWrkrknownThreats_label) CtdWrkrknownThreats からラベルを作成して統合します。
CtdWrkrCacher principal.resource.attribute.labels(CtdWrkrCacher_label) CtdWrkrCacher からラベルを作成してマージします。
CtdWrkrInsights principal.resource.attribute.labels(CtdWrkrInsights_label) CtdWrkrInsights からラベルを作成して統合します。
CtdWrkrActive principal.resource.attribute.labels(CtdWrkrActive_label) CtdWrkrActive からラベルを作成して統合します。
CtdWrkrEnricher principal.resource.attribute.labels(CtdWrkrEnricher_label) CtdWrkrEnricher からラベルを作成して統合します。
CtdWrkrIndicators principal.resource.attribute.labels(CtdWrkrIndicators_label) CtdWrkrIndicators からラベルを作成して統合します。
CtdWrkrIndicatorsApi principal.resource.attribute.labels(CtdWrkrIndicatorsApi_label) CtdWrkrIndicatorsApi からラベルを作成して統合します。
CtdWrkrConcluder principal.resource.attribute.labels(CtdWrkrConcluder_label) CtdWrkrConcluder からラベルを作成してマージします。
CtdWrkrPreprocessor principal.resource.attribute.labels(CtdWrkrPreprocessor_label) CtdWrkrPreprocessor からラベルを作成して統合します。
CtdWrkrLeecher principal.resource.attribute.labels(CtdWrkrLeecher_label) CtdWrkrLeecher からラベルを作成してマージします。
CtdWrkrSyncManager principal.resource.attribute.labels(CtdWrkrSyncManager_label) CtdWrkrSyncManager からラベルを作成してマージします。
CtdWrkrBridge principal.resource.attribute.labels(CtdWrkrBridge_label) CtdWrkrBridge からラベルを作成してマージします。
CtdWrkrWebRanger principal.resource.attribute.labels(CtdWrkrWebRanger_label) CtdWrkrWebRanger からラベルを作成して統合します。
CtdWrkrWebWs principal.resource.attribute.labels(CtdWrkrWebWs_label) CtdWrkrWebWs からラベルを作成してマージします。
CtdWrkrWebAuth principal.resource.attribute.labels(CtdWrkrWebAuth_label) CtdWrkrWebAuth からラベルを作成して統合します。
CtdWrkrWebNginx principal.resource.attribute.labels(CtdWrkrWebNginx_label) CtdWrkrWebNginx からラベルを作成して統合します。
CtdWrkrConfigurator principal.resource.attribute.labels(CtdWrkrConfigurator_label) CtdWrkrConfigurator からラベルを作成してマージします。
CtdWrkrConfiguratorNginx principal.resource.attribute.labels(CtdWrkrConfiguratorNginx_label) CtdWrkrConfiguratorNginx からラベルを作成して統合します。
CtdWrkrCapsaver principal.resource.attribute.labels(CtdWrkrCapsaver_label) CtdWrkrCapsaver からラベルを作成して統合します。
CtdWrkrBaselineTracker principal.resource.attribute.labels(CtdWrkrBaselineTracker_label) CtdWrkrBaselineTracker からラベルを作成してマージします。
CtdWrkrDissector principal.resource.attribute.labels(CtdWrkrDissector_label) CtdWrkrDissector からラベルを作成して統合します。
CtdWrkrDissectorA principal.resource.attribute.labels(CtdWrkrDissectorA_label) CtdWrkrDissectorA からラベルを作成してマージします。
CtdWrkrDissectorNg principal.resource.attribute.labels(CtdWrkrDissectorNg_label) CtdWrkrDissectorNg からラベルを作成してマージします。
CtdWrkrPreprocessing principal.resource.attribute.labels(CtdWrkrPreprocessing_label) CtdWrkrPreprocessing からラベルを作成して統合します。
CtdWrkrPreprocessingNg principal.resource.attribute.labels(CtdWrkrPreprocessingNg_label) CtdWrkrPreprocessingNg からラベルを作成して統合します。
CtdWrkrStatisticsNg principal.resource.attribute.labels(CtdWrkrStatisticsNg_label) CtdWrkrStatisticsNg からラベルを作成してマージします。
CtdWrkrSyslogAlerts principal.resource.attribute.labels(CtdWrkrSyslogAlerts_label) CtdWrkrSyslogAlerts からラベルを作成して統合します。
CtdWrkrSyslogEvents principal.resource.attribute.labels(CtdWrkrSyslogEvents_label) CtdWrkrSyslogEvents からラベルを作成して統合します。
CtdWrkrSyslogInsights principal.resource.attribute.labels(CtdWrkrSyslogInsights_label) CtdWrkrSyslogInsights からラベルを作成して統合します。
CtdWrkrRdDissector principal.resource.attribute.labels(CtdWrkrRdDissector_label) CtdWrkrRdDissector からラベルを作成してマージします。
CtdWrkrRdDissectorA principal.resource.attribute.labels(CtdWrkrRdDissectorA_label) CtdWrkrRdDissectorA からラベルを作成して統合します。
CtdSensorName principal.resource.attribute.labels(CtdSensorName_label) CtdSensorName からラベルを作成して統合します。
CtdCtrlSite principal.resource.attribute.labels(CtdCtrlSite_label) CtdCtrlSite からラベルを作成して統合します。
CtdLoopCallDurationBaselineTrackerWrkerHandleNetworkStatistics principal.resource.attribute.labels(CtdLoopCallDurationBaselineTrackerWrkerHandleNetworkStatistics_label) CtdLoopCallDurationBaselineTrackerWrkerHandleNetworkStatistics からラベルを作成してマージします。
CtdDissectionCoverage principal.resource.attribute.labels(CtdDissectionCoverage_label) CtdDissectionCoverage からラベルを作成して統合します。
CtdDissectionEfficiencyModbus principal.resource.attribute.labels(CtdDissectionEfficiencyModbus_label) CtdDissectionEfficiencyModbus からラベルを作成して統合します。
CtdDissectionEfficiencySmb principal.resource.attribute.labels(CtdDissectionEfficiencySmb_label) CtdDissectionEfficiencySmb からラベルを作成して統合します。
CtdDissectionEfficiencyDcerpc principal.resource.attribute.labels(CtdDissectionEfficiencyDcerpc_label) CtdDissectionEfficiencyDcerpc からラベルを作成して統合します。
CtdDissectionEfficiencyZabbix principal.resource.attribute.labels(CtdDissectionEfficiencyZabbix_label) CtdDissectionEfficiencyZabbix からラベルを作成して統合します。
CtdDissectionEfficiencyFactorytalkRna principal.resource.attribute.labels(CtdDissectionEfficiencyFactorytalkRna_label) CtdDissectionEfficiencyFactorytalkRna からラベルを作成して統合します。
CtdDissectionEfficiencySsl principal.resource.attribute.labels(CtdDissectionEfficiencySsl_label) CtdDissectionEfficiencySsl からラベルを作成して統合します。
CtdDissectionEfficiencyVrrpProtocolMatcher principal.resource.attribute.labels(CtdDissectionEfficiencyVrrpProtocolMatcher_label) CtdDissectionEfficiencyVrrpProtocolMatcher からラベルを作成してマージします。
CtdDissectionEfficiencyRdp principal.resource.attribute.labels(CtdDissectionEfficiencyRdp_label) CtdDissectionEfficiencyRdp からラベルを作成して統合します。
CtdDissectionEfficiencySsh principal.resource.attribute.labels(CtdDissectionEfficiencySsh_label) CtdDissectionEfficiencySsh からラベルを作成して統合します。
CtdDissectionEfficiencyHttp principal.resource.attribute.labels(CtdDissectionEfficiencyHttp_label) CtdDissectionEfficiencyHttp からラベルを作成して統合します。
CtdDissectionEfficiencyTcpHttp principal.resource.attribute.labels(CtdDissectionEfficiencyTcpHttp_label) CtdDissectionEfficiencyTcpHttp からラベルを作成して統合します。
CtdDissectionEfficiencyLdap principal.resource.attribute.labels(CtdDissectionEfficiencyLdap_label) CtdDissectionEfficiencyLdap からラベルを作成して統合します。
CtdDissectionEfficiencyJrmi principal.resource.attribute.labels(CtdDissectionEfficiencyJrmi_label) CtdDissectionEfficiencyJrmi からラベルを作成して統合します。
CtdDissectionEfficiencyGeIfix principal.resource.attribute.labels(CtdDissectionEfficiencyGeIfix_label) CtdDissectionEfficiencyGeIfix からラベルを作成して統合します。
CtdDissectionEfficiencyLlc principal.resource.attribute.labels(CtdDissectionEfficiencyLlc_label) CtdDissectionEfficiencyLlc からラベルを作成して統合します。
CtdDissectionEfficiencyMatrikonNopc principal.resource.attribute.labels(CtdDissectionEfficiencyMatrikonNopc_label) CtdDissectionEfficiencyMatrikonNopc からラベルを作成して統合します。
CtdDissectionEfficiencyVnc principal.resource.attribute.labels(CtdDissectionEfficiencyVnc_label) CtdDissectionEfficiencyVnc からラベルを作成して統合します。
CtdUnhandledEvents principal.resource.attribute.labels(CtdUnhandledEvents_label) CtdUnhandledEvents からラベルを作成してマージします。
CtdConcludeTime principal.resource.attribute.labels(CtdConcludeTime_label) CtdConcludeTime からラベルを作成して統合します。
CtdMysqlQuery principal.resource.attribute.labels(CtdMysqlQuery_label) CtdMysqlQuery からラベルを作成してマージします。
CtdPostgresQuery principal.resource.attribute.labels(CtdPostgresQuery_label) CtdPostgresQuery からラベルを作成して統合します。
CtdPsqlIdleSessions principal.resource.attribute.labels(CtdPsqlIdleSessions_label) CtdPsqlIdleSessions からラベルを作成して統合します。
CtdPsqlIdleInTransactionSessions principal.resource.attribute.labels(CtdPsqlIdleInTransactionSessions_label) CtdPsqlIdleInTransactionSessions からラベルを作成して統合します。
CtdSnifferStatus principal.resource.attribute.labels(CtdSnifferStatus_label) CtdSnifferStatus からラベルを作成してマージします。
CtdLoopCallDurationPollObjects principal.resource.attribute.labels(CtdLoopCallDurationPollObjects_label) CtdLoopCallDurationPollObjects からラベルを作成して統合します。
CtdLoopCallDurationCloudClientWrkrBaseRunCloudConnected principal.resource.attribute.labels(CtdLoopCallDurationCloudClientWrkrBaseRunCloudConnected_label) CtdLoopCallDurationCloudClientWrkrBaseRunCloudConnected からラベルを作成して統合します。
CtdSnifferStatusCentral principal.resource.attribute.labels(CtdSnifferStatusCentral_label) CtdSnifferStatusCentral からラベルを作成してマージします。
CtdSnifferStatusSite principal.resource.attribute.labels(CtdSnifferStatusSite_label) CtdSnifferStatusSite からラベルを作成してマージします。
CtdWrkrMailer principal.resource.attribute.labels(CtdWrkrMailer_label) CtdWrkrMailer からラベルを作成してマージします。
CtdDroppedEntities principal.resource.attribute.labels(CtdDroppedEntities_label) CtdDroppedEntities からラベルを作成して統合します。
externalId metadata.product_log_id externalId を metadata.product_log_id にマッピングします。
proto protocol_number_src proto を大文字に変換し、ルックアップ用に protocol_number_src に割り当てます。
protocol_number_src ip_protocol_out; app_protocol_out ip_protocol_out を UNKNOWN_IP_PROTOCOL に、app_protocol_out を UNKNOWN_APPLICATION_PROTOCOL に初期化し、ルックアップに基づいて更新します。
ip_protocol_out network.ip_protocol ip_protocol_out から network.ip_protocol を設定します。
app_protocol_out network.application_protocol app_protocol_out から network.application_protocol を設定します。
CtdExternalId metadata.product_log_id 指定されている場合、metadata.product_log_id を CtdExternalId で上書きします。
CtdDeviceExternalId principal.resource.attribute.labels(ctd_device_label) CtdDeviceExternalId(CtdDeviceExternalId プレフィックス付き)からラベルを作成して統合します。
(has_principal_device が true で ctdeventtype = Login の場合) security_result.category; security_result.action ログイン イベントの場合、security_result.category を AUTH_VIOLATION に、action を BLOCK に設定します。
(has_principal_device が true で ctdeventtype = Memory Reset の場合) security_result.category security_result.category を SOFTWARE_SUSPICIOUS に設定します。
(target_machine_id_present が true、has_principal_device が true、ctdeventtype が [Known Threat AlertKnown Threat EventMan-in-the-Middle AttackSuspicious Activity] の場合) security_result.category security_result.category を NETWORK_MALICIOUS に設定します。
(target_machine_id_present が true、has_principal_device が true、ctdeventtype = Suspicious File Transfer の場合) security_result.category security_result.category を NETWORK_SUSPICIOUS に設定します。
(target_machine_id_present が true、has_principal_device が true、ctdeventtype = Denial Of Service の場合) security_result.category security_result.category を NETWORK_DENIAL_OF_SERVICE に設定します。
(has_principal_device が true で、ctdeventtype が [Host ScanPort Scan] の場合) security_result.category security_result.category を NETWORK_RECON に設定します。
(target_machine_id_present が true、has_principal_device が true、ctdeventtype が [Policy Rule MatchPolicy Violation AlertPolicy Violation] の場合) security_result.category security_result.category を POLICY_VIOLATION に設定します。
(has_principal_device が true の場合のデフォルト) security_result.category デフォルトで security_result.category を NETWORK_SUSPICIOUS に設定します。
派生した security_result_category security_result.category 導出されたセキュリティ カテゴリを security_result.category に統合します。
派生 security_result_action security_result.action 導出されたセキュリティ アクションを security_result.action に統合します(設定されている場合)。
cs6(cs6Label CTDlink metadata.url_back_to_product; security_result.url_back_to_product 商品詳細へのバックリンク用に cs6 から URL フィールドを設定します。
cs1(cs1Label SourceAssetType principal.asset.category; principal.asset.type cs1 から principal.asset.category を設定し、その値に基づいて principal.asset.type を決定します。
cs2(cs2Label DestAssetType target.asset.category; target.asset.type cs2 から target.asset.category を設定し、その値に基づいて target.asset.type を決定します。
cfp1(cfp1Label CVEScore を含む) vulns.vulnerabilities.cvss_base_score vulns.vulnerabilities.cvss_base_score(浮動小数点数に変換)を設定し、vul_fields_present を true に設定します。
cs6(cs6Label CVE vulns.vulnerabilities.cve_id vulns.vulnerabilities.cve_id を設定し、vul_fields_present を true に設定します。
cn1(cn1Label IndicatorScore security_result.confidence_score cn1 からインジケーター スコアを抽出し、浮動小数点数に変換して、信頼スコアとして割り当てます。
filepath about.file.full_path; security_result.about.file.full_path filepath を about.file.full_path と security_result.about.file.full_path にマッピングします。
(eventclass = HealthCheck かつ cs1Label = Site の場合) intermediary.location.name サイト ID として使用される場合、cs1 から intermediary.location.name を設定します。
cn1(cn1Label 付き) additional.fields(cn1_label) cn1 から追加のフィールド ラベルを作成し、additional.fields にマージします。
cs1(cs1Label 付き) additional.fields(cs1_label) cs1 から追加のフィールド ラベルを作成し、additional.fields に統合します。
cs2(cs2Label を含む) additional.fields(cs2_label) cs2 から追加のフィールド ラベルを作成し、additional.fields に統合します。
cs3(cs3Label を含む) additional.fields(cs3_label) cs3 から追加のフィールド ラベルを作成して統合します。
cs4(cs4Label を含む) additional.fields(cs4_label) cs4 から追加のフィールドラベルを作成して統合します。
cs6(cs6Label 付き) additional.fields(cs6_label) cs6 から追加のフィールド ラベルを作成して統合します。
(event_name と vul_fields_present に基づく分析情報イベントの場合) event_type Insight イベントの event_type(SCAN_VULN_HOST、STATUS_UNCATEGORIZED、STATUS_UPDATE など)を導出します。
(ctdeventtype、has_principal_device などに基づくイベント/アラート イベントの場合) event_type(必要に応じて target.resource.type または auth.type) DEVICE_CONFIG_UPDATE、DEVICE_PROGRAM_DOWNLOAD/UPLOAD、NETWORK_UNCATEGORIZED、USER_RESOURCE_CREATION、SCAN_HOST、SCAN_NETWORK、SETTING_MODIFICATION、USER_LOGIN、NETWORK_CONNECTION、STATUS_UPDATE などのイベント/アラート イベントの event_type を派生させます。
(event_type が空のままの場合) event_type 使用可能なフラグに基づいて、event_type を NETWORK_CONNECTION、USER_RESOURCE_ACCESS、STATUS_UPDATE のいずれかに設定します。
event_type(最終) metadata.event_type 最終的な event_type を metadata.event_type にコピーします。空の場合はデフォルトで GENERIC_EVENT になります。
device_vendor metadata.vendor_name device_vendor から metadata.vendor_name を設定します。存在しない場合はデフォルトで CLAROTY になります。
device_product metadata.product_name device_product から metadata.product_name を設定します。存在しない場合はデフォルトの CTD になります。
device_version metadata.product_version device_version から metadata.product_version を設定します。
security_description(ET TROJAN … と一致する場合) security_result.threat_name パターン ET TROJAN (?P<threat_name>\S+) を使用して security_description から threat_name を抽出し、security_result.threat_name にマッピングします。
metadata event.idm.read_only_udm.metadata メタデータを event.idm.read_only_udm.metadata に名前変更します。
プリンシパル event.idm.read_only_udm.principal プリンシパルを event.idm.read_only_udm.principal に名前変更します。
ターゲット event.idm.read_only_udm.target ターゲットの名前を event.idm.read_only_udm.target に変更します。
ネットワーク event.idm.read_only_udm.network ネットワークの名前を event.idm.read_only_udm.network に変更します。
追加の event.idm.read_only_udm.additional additional を event.idm.read_only_udm.additional に名前変更します。
security_result event.idm.read_only_udm.security_result security_result を event.idm.read_only_udm.security_result に統合します。
about event.idm.read_only_udm.about about を event.idm.read_only_udm.about に統合します。
intermediary event.idm.read_only_udm.intermediary intermediary を event.idm.read_only_udm.intermediary に統合します。
vulns.vulnerabilities event.idm.read_only_udm.extensions.vulns.vulnerabilities vulns.vulnerabilities を event.idm.read_only_udm.extensions.vulns.vulnerabilities に統合します。
@output イベント 完全な UDM イベント構造を最終的な event フィールドに統合します。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。