Claroty CTD ログを収集する
以下でサポートされています。
Google SecOps
SIEM
このドキュメントでは、Bindplane を使用して Claroty Continuous Threat Detection(CTD)ログを Google Security Operations に取り込む方法について説明します。
始める前に
- Google Security Operations インスタンスがあることを確認します。
- Windows 2016 以降、または
systemdを使用する Linux ホストを使用していることを確認します。 - プロキシの背後で実行している場合は、ファイアウォール ポートが開いていることを確認します。
- Claroty CTD への特権アクセス権があることを確認します。
Google SecOps の取り込み認証ファイルを取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [コレクション エージェント] に移動します。
- Ingestion Authentication File をダウンロードします。Bindplane をインストールするシステムにファイルを安全に保存します。
Google SecOps のお客様 ID を取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [プロファイル] に移動します。
- [組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。
Bindplane エージェントをインストールする
Windows のインストール
- 管理者として コマンド プロンプトまたは PowerShell を開きます。
次のコマンドを実行します。
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux のインストール
- root 権限または sudo 権限でターミナルを開きます。
次のコマンドを実行します。
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
その他のインストール リソース
- その他のインストール オプションについては、こちらのインストール ガイドをご覧ください。
Syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する
構成ファイルにアクセスします。
config.yamlファイルを見つけます。通常、Linux では/etc/bindplane-agent/ディレクトリに、Windows ではインストール ディレクトリにあります。- テキスト エディタ(
nano、vi、メモ帳など)を使用してファイルを開きます。
config.yamlファイルを次のように編集します。receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: CLAROTY_CTD raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels自社のインフラストラクチャでの必要性に応じて、ポートと IP アドレスを置き換えます。
<customer_id>は、実際の顧客 ID に置き換えます。/path/to/ingestion-authentication-file.jsonの値を、Google SecOps の取り込み認証ファイルを取得するで認証ファイルを保存したパスに更新します。
Bindplane エージェントを再起動して変更を適用する
Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。
sudo systemctl restart bindplane-agentWindows で Bindplane エージェントを再起動するには、Services コンソールを使用するか、次のコマンドを入力します。
net stop BindPlaneAgent && net start BindPlaneAgent
Claroty Continuous Threat Detection(CTD)で Syslog を構成する
- Claroty CTD ウェブ UI にログインします。
- [メニュー] > [統合] > [Syslog] に移動します。
- syslog のメッセージ コンテンツ タイプごとに、次の手順を繰り返します。
- アラート
- イベント
- ヘルスモニタリング
- 分析情報
- Activity Logs
- 脆弱性
- [+] をクリックして新しい構成を追加します。
- [メッセージ コンテンツ] メニューで、エクスポートするコンテンツを選択します。
- 次の構成の詳細を指定します。
- カテゴリ: [すべて] を選択します。
- タイプ: [すべて選択] タイプを選択します。
- 形式: [CEF(最新)] を選択します。
- システム URL: プロキシ サーバーの背後にいる場合を除き、システム URL/IP を更新しないでください。
- 送信先: [外部 Syslog サーバー(SIEM、SOAR システムなど)] を選択します。
- [Vendor](ベンダー): [Other](その他)を選択します。
- Syslog サーバー IP: Bindplane エージェントの IP アドレスを入力します。
- ポート: Bindplane エージェントのポート(例:
514)を入力します。 - プロトコル: [UDP] を選択します(Bindplane の構成に応じて、TCP、TLS、mTLS を選択することもできます)。
- [保存] をクリックします。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | ロジック |
|---|---|---|
| CtdRealTime | metadata.event_timestamp | CtdRealTime から MMM dd yyyy HH:mm:ss を使用して解析され、イベント タイムスタンプとして使用されます。 |
| CtdTimeGenerated | metadata.event_timestamp | CtdRealTime が空の場合、CtdTimeGenerated から MMM dd yyyy HH:mm:ss を使用して解析し、イベント タイムスタンプを設定します。 |
| CtdMessage | metadata.description | CtdMessage フィールドから metadata.description を設定します。 |
| CtdMessage | security_result.description | 該当する場合、CtdMessage フィールドから security_result.description を設定します。 |
| ポート(CtdMessage KV から) | principal.port | CtdMessage のキー Port から抽出され、整数に変換されて principal.port として設定されます。 |
| カテゴリ(CtdMessage KV から) | security_result.detection_fields(Category_label) | CtdMessage からキー Category として抽出され、検出フィールドに統合されます。 |
| アクセス(CtdMessage KV から) | security_result.detection_fields(Access_label) | CtdMessage からキー Access として抽出され、検出フィールドに統合されます。 |
| CtdSite | principal.hostname | CtdSite を principal.hostname にマッピングします。 |
| CtdSite | principal.asset.hostname | CtdSite を principal.asset.hostname にマッピングします。 |
| CtdCpu | principal.resource.attribute.labels(CtdCpu_label) | CtdCpu の値を使用してキー CtdCpu でラベルを作成し、principal.resource.attribute.labels にマージします。 |
| CtdMem | principal.resource.attribute.labels(CtdMem_label) | CtdMem の値を使用してキー CtdMem でラベルを作成し、principal.resource.attribute.labels にマージします。 |
| CtdUsedOptIcsranger | principal.resource.attribute.labels(CtdUsedOptIcsranger_label) | CtdUsedOptIcsranger からラベルを作成して統合します。 |
| CtdUsedVar | principal.resource.attribute.labels(CtdUsedVar_label) | CtdUsedVar からラベルを作成して統合します。 |
| CtdUsedTmp | principal.resource.attribute.labels(CtdUsedTmp_label) | CtdUsedTmp からラベルを作成してマージします。 |
| CtdUsedEtc | principal.resource.attribute.labels(CtdUsedEtc_label) | CtdUsedEtc からラベルを作成してマージします。 |
| CtdBusyFd | principal.resource.attribute.labels(CtdBusyFd_label) | CtdBusyFd からラベルを作成してマージします。 |
| CtdBusySda | principal.resource.attribute.labels(CtdBusySda_label) | CtdBusySda からラベルを作成してマージします。 |
| CtdBusySdaA | principal.resource.attribute.labels(CtdBusySdaA_label) | CtdBusySdaA からラベルを作成してマージします。 |
| CtdBusySdaB | principal.resource.attribute.labels(CtdBusySdaB_label) | CtdBusySdaB からラベルを作成してマージします。 |
| CtdBusySr | principal.resource.attribute.labels(CtdBusySr_label) | CtdBusySr からラベルを作成してマージします。 |
| CtdBusyDm | principal.resource.attribute.labels(CtdBusyDm_label) | CtdBusyDm からラベルを作成してマージします。 |
| CtdBusyDmA | principal.resource.attribute.labels(CtdBusyDmA_label) | CtdBusyDmA からラベルを作成してマージします。 |
| CtdQuPreprocessingNg | principal.resource.attribute.labels(CtdQuPreprocessingNg_label) | CtdQuPreprocessingNg からラベルを作成して統合します。 |
| CtdQuBaselineTracker | principal.resource.attribute.labels(CtdQuBaselineTracker_label) | CtdQuBaselineTracker からラベルを作成してマージします。 |
| CtdQuBridge | principal.resource.attribute.labels(CtdQuBridge_label) | CtdQuBridge からラベルを作成して統合します。 |
| CtdQuCentralBridge | principal.resource.attribute.labels(CtdQuCentralBridge_label) | CtdQuCentralBridge からラベルを作成してマージします。 |
| CtdQuConcluding | principal.resource.attribute.labels(CtdQuConcluding_label) | CtdQuConcluding からラベルを作成して統合します。 |
| CtdQuDiodeFeeder | principal.resource.attribute.labels(CtdQuDiodeFeeder_label) | CtdQuDiodeFeeder からラベルを作成して統合します。 |
| CtdQuDissector | principal.resource.attribute.labels(CtdQuDissector_label) | CtdQuDissector からラベルを作成して統合します。 |
| CtdQuDissectorA | principal.resource.attribute.labels(CtdQuDissectorA_label) | CtdQuDissectorA からラベルを作成して統合します。 |
| CtdQuDissectorNg | principal.resource.attribute.labels(CtdQuDissectorNg_label) | CtdQuDissectorNg からラベルを作成してマージします。 |
| CtdQuIndicatorService | principal.resource.attribute.labels(CtdQuIndicatorService_label) | CtdQuIndicatorService からラベルを作成して統合します。 |
| CtdQuLeecher | principal.resource.attribute.labels(CtdQuLeecher_label) | CtdQuLeecher からラベルを作成して統合します。 |
| CtdQuMonitor | principal.resource.attribute.labels(CtdQuMonitor_label) | CtdQuMonitor からラベルを作成して統合します。 |
| CtdQuNetworkStatistics | principal.resource.attribute.labels(CtdQuNetworkStatistics_label) | CtdQuNetworkStatistics からラベルを作成してマージします。 |
| CtdQuPackets | principal.resource.attribute.labels(CtdQuPackets_label) | CtdQuPackets からラベルを作成して統合します。 |
| CtdQuPacketsErrors | principal.resource.attribute.labels(CtdQuPacketsErrors_label) | CtdQuPacketsErrors からラベルを作成して統合します。 |
| CtdQuPreprocessing | principal.resource.attribute.labels(CtdQuPreprocessing_label) | CtdQuPreprocessing からラベルを作成して統合します。 |
| CtdQuPriorityProcessing | principal.resource.attribute.labels(CtdQuPriorityProcessing_label) | CtdQuPriorityProcessing からラベルを作成して統合します。 |
| CtdQuProcessing | principal.resource.attribute.labels(CtdQuProcessing_label) | CtdQuProcessing からラベルを作成してマージします。 |
| CtdQuProcessingHigh | principal.resource.attribute.labels(CtdQuProcessingHigh_label) | CtdQuProcessingHigh からラベルを作成して、マージします。 |
| CtdQuZordonUpdates | principal.resource.attribute.labels(CtdQuZordonUpdates_label) | CtdQuZordonUpdates からラベルを作成して統合します。 |
| CtdQuStatisticsNg | principal.resource.attribute.labels(CtdQuStatisticsNg_label) | CtdQuStatisticsNg からラベルを作成して統合します。 |
| CtdQueuePurge | principal.resource.attribute.labels(CtdQueuePurge_label) | CtdQueuePurge からラベルを作成してマージします。 |
| CtdQuSyslogAlerts | principal.resource.attribute.labels(CtdQuSyslogAlerts_label) | CtdQuSyslogAlerts からラベルを作成して統合します。 |
| CtdQuSyslogEvents | principal.resource.attribute.labels(CtdQuSyslogEvents_label) | CtdQuSyslogEvents からラベルを作成して統合します。 |
| CtdQuSyslogInsights | principal.resource.attribute.labels(CtdQuSyslogInsights_label) | CtdQuSyslogInsights からラベルを作成して統合します。 |
| CtdRdDissector | principal.resource.attribute.labels(CtdRdDissector_label) | CtdRdDissector からラベルを作成してマージします。 |
| CtdRdDissectorA | principal.resource.attribute.labels(CtdRdDissectorA_label) | CtdRdDissectorA からラベルを作成してマージします。 |
| CtdRdDissectorNg | principal.resource.attribute.labels(CtdRdDissectorNg_label) | CtdRdDissectorNg からラベルを作成してマージします。 |
| CtdRdPreprocessing | principal.resource.attribute.labels(CtdRdPreprocessing_label) | CtdRdPreprocessing からラベルを作成して、マージします。 |
| CtdRdPreprocessingNg | principal.resource.attribute.labels(CtdRdPreprocessingNg_label) | CtdRdPreprocessingNg からラベルを作成して統合します。 |
| CtdSvcMariaDb | principal.resource.attribute.labels(CtdSvcMariaDb_label) | CtdSvcMariaDb からラベルを作成してマージします。 |
| CtdSvcPostgres | principal.resource.attribute.labels(CtdSvcPostgres_label) | CtdSvcPostgres からラベルを作成してマージします。 |
| CtdSvcRedis | principal.resource.attribute.labels(CtdSvcRedis_label) | CtdSvcRedis からラベルを作成してマージします。 |
| CtdSvcRabbitMq | principal.resource.attribute.labels(CtdSvcRabbitMq_label) | CtdSvcRabbitMq からラベルを作成して統合します。 |
| CtdSvcIcsranger | principal.resource.attribute.labels(CtdSvcIcsranger_label) | CtdSvcIcsranger からラベルを作成してマージします。 |
| CtdSvcWatchdog | principal.resource.attribute.labels(CtdSvcWatchdog_label) | CtdSvcWatchdog からラベルを作成してマージします。 |
| CtdSvcFirewalld | principal.resource.attribute.labels(CtdSvcFirewalld_label) | CtdSvcFirewalld からラベルを作成してマージします。 |
| CtdSvcNetunnel | principal.resource.attribute.labels(CtdSvcNetunnel_label) | CtdSvcNetunnel からラベルを作成してマージします。 |
| CtdSvcJwthenticator | principal.resource.attribute.labels(CtdSvcJwthenticator_label) | CtdSvcJwthenticator からラベルを作成してマージします。 |
| CtdSvcDocker | principal.resource.attribute.labels(CtdSvcDocker_label) | CtdSvcDocker からラベルを作成してマージします。 |
| CtdExceptions | principal.resource.attribute.labels(CtdExceptions_label) | CtdExceptions からラベルを作成してマージします。 |
| CtdInputPacketDrops | principal.resource.attribute.labels(CtdInputPacketDrops_label) | CtdInputPacketDrops からラベルを作成してマージします。 |
| CtdOutputPacketDrops | principal.resource.attribute.labels(CtdOutputPacketDrops_label) | CtdOutputPacketDrops からラベルを作成して統合します。 |
| CtdFullOutputPacketDrops | principal.resource.attribute.labels(CtdFullOutputPacketDrops_label) | CtdFullOutputPacketDrops からラベルを作成して統合します。 |
| CtdDissectorNgPacketDrops | principal.resource.attribute.labels(CtdDissectorNgPacketDrops_label) | CtdDissectorNgPacketDrops からラベルを作成してマージします。 |
| CtdTagArtifactsDropsPreprocessor | principal.resource.attribute.labels(CtdTagArtifactsDropsPreprocessor_label) | CtdTagArtifactsDropsPreprocessor からラベルを作成してマージします。 |
| CtdTagArtifactsDropsPreprocessorSum | principal.resource.attribute.labels(CtdTagArtifactsDropsPreprocessorSum_label) | CtdTagArtifactsDropsPreprocessorSum からラベルを作成して統合します。 |
| CtdTagArtifactsDropsProcessor | principal.resource.attribute.labels(CtdTagArtifactsDropsProcessor_label) | CtdTagArtifactsDropsProcessor からラベルを作成してマージします。 |
| CtdTagArtifactsDropsProcessorSum | principal.resource.attribute.labels(CtdTagArtifactsDropsProcessorSum_label) | CtdTagArtifactsDropsProcessorSum からラベルを作成して統合します。 |
| CtdTagArtifactsDropsSniffer | principal.resource.attribute.labels(CtdTagArtifactsDropsSniffer_label) | CtdTagArtifactsDropsSniffer からラベルを作成してマージします。 |
| CtdTagArtifactsDropsSnifferSum | principal.resource.attribute.labels(CtdTagArtifactsDropsSnifferSum_label) | CtdTagArtifactsDropsSnifferSum からラベルを作成して統合します。 |
| CtdTagArtifactsDropsDissectorPypy | principal.resource.attribute.labels(CtdTagArtifactsDropsDissectorPypy_label) | CtdTagArtifactsDropsDissectorPypy からラベルを作成してマージします。 |
| CtdTagArtifactsDropsDissectorPypySum | principal.resource.attribute.labels(CtdTagArtifactsDropsDissectorPypySum_label) | CtdTagArtifactsDropsDissectorPypySum からラベルを作成してマージします。 |
| CtdCapsaverFolderCleanup | principal.resource.attribute.labels(CtdCapsaverFolderCleanup_label) | CtdCapsaverFolderCleanup からラベルを作成してマージします。 |
| CtdCapsaverUtilzationTest | principal.resource.attribute.labels(CtdCapsaverUtilzationTest_label) | CtdCapsaverUtilzationTest からラベルを作成してマージします。 |
| CtdYaraScannerTest | principal.resource.attribute.labels(CtdYaraScannerTest_label) | CtdYaraScannerTest からラベルを作成してマージします。 |
| CtdWrkrWorkersStop | principal.resource.attribute.labels(CtdWrkrWorkersStop_label) | CtdWrkrWorkersStop からラベルを作成して統合します。 |
| CtdWrkrWorkersRestart | principal.resource.attribute.labels(CtdWrkrWorkersRestart_label) | CtdWrkrWorkersRestart からラベルを作成してマージします。 |
| CtdWrkrActiveExecuter | principal.resource.attribute.labels(CtdWrkrActiveExecuter_label) | CtdWrkrActiveExecuter からラベルを作成してマージします。 |
| CtdWrkrSensor | principal.resource.attribute.labels(CtdWrkrSensor_label) | CtdWrkrSensor からラベルを作成して統合します。 |
| CtdWrkrAuthentication | principal.resource.attribute.labels(CtdWrkrAuthentication_label) | CtdWrkrAuthentication からラベルを作成して統合します。 |
| CtdWrkrMitre | principal.resource.attribute.labels(CtdWrkrMitre_label) | CtdWrkrMitre からラベルを作成して統合します。 |
| CtdWrkrNotifications | principal.resource.attribute.labels(CtdWrkrNotifications_label) | CtdWrkrNotifications からラベルを作成してマージします。 |
| CtdWrkrProcessor | principal.resource.attribute.labels(CtdWrkrProcessor_label) | CtdWrkrProcessor からラベルを作成してマージします。 |
| CtdWrkrCloudAgent | principal.resource.attribute.labels(CtdWrkrCloudAgent_label) | CtdWrkrCloudAgent からラベルを作成して統合します。 |
| CtdWrkrCloudClient | principal.resource.attribute.labels(CtdWrkrCloudClient_label) | CtdWrkrCloudClient からラベルを作成してマージします。 |
| CtdWrkrScheduler | principal.resource.attribute.labels(CtdWrkrScheduler_label) | CtdWrkrScheduler からラベルを作成してマージします。 |
| CtdWrkrknownThreats | principal.resource.attribute.labels(CtdWrkrknownThreats_label) | CtdWrkrknownThreats からラベルを作成して統合します。 |
| CtdWrkrCacher | principal.resource.attribute.labels(CtdWrkrCacher_label) | CtdWrkrCacher からラベルを作成してマージします。 |
| CtdWrkrInsights | principal.resource.attribute.labels(CtdWrkrInsights_label) | CtdWrkrInsights からラベルを作成して統合します。 |
| CtdWrkrActive | principal.resource.attribute.labels(CtdWrkrActive_label) | CtdWrkrActive からラベルを作成して統合します。 |
| CtdWrkrEnricher | principal.resource.attribute.labels(CtdWrkrEnricher_label) | CtdWrkrEnricher からラベルを作成して統合します。 |
| CtdWrkrIndicators | principal.resource.attribute.labels(CtdWrkrIndicators_label) | CtdWrkrIndicators からラベルを作成して統合します。 |
| CtdWrkrIndicatorsApi | principal.resource.attribute.labels(CtdWrkrIndicatorsApi_label) | CtdWrkrIndicatorsApi からラベルを作成して統合します。 |
| CtdWrkrConcluder | principal.resource.attribute.labels(CtdWrkrConcluder_label) | CtdWrkrConcluder からラベルを作成してマージします。 |
| CtdWrkrPreprocessor | principal.resource.attribute.labels(CtdWrkrPreprocessor_label) | CtdWrkrPreprocessor からラベルを作成して統合します。 |
| CtdWrkrLeecher | principal.resource.attribute.labels(CtdWrkrLeecher_label) | CtdWrkrLeecher からラベルを作成してマージします。 |
| CtdWrkrSyncManager | principal.resource.attribute.labels(CtdWrkrSyncManager_label) | CtdWrkrSyncManager からラベルを作成してマージします。 |
| CtdWrkrBridge | principal.resource.attribute.labels(CtdWrkrBridge_label) | CtdWrkrBridge からラベルを作成してマージします。 |
| CtdWrkrWebRanger | principal.resource.attribute.labels(CtdWrkrWebRanger_label) | CtdWrkrWebRanger からラベルを作成して統合します。 |
| CtdWrkrWebWs | principal.resource.attribute.labels(CtdWrkrWebWs_label) | CtdWrkrWebWs からラベルを作成してマージします。 |
| CtdWrkrWebAuth | principal.resource.attribute.labels(CtdWrkrWebAuth_label) | CtdWrkrWebAuth からラベルを作成して統合します。 |
| CtdWrkrWebNginx | principal.resource.attribute.labels(CtdWrkrWebNginx_label) | CtdWrkrWebNginx からラベルを作成して統合します。 |
| CtdWrkrConfigurator | principal.resource.attribute.labels(CtdWrkrConfigurator_label) | CtdWrkrConfigurator からラベルを作成してマージします。 |
| CtdWrkrConfiguratorNginx | principal.resource.attribute.labels(CtdWrkrConfiguratorNginx_label) | CtdWrkrConfiguratorNginx からラベルを作成して統合します。 |
| CtdWrkrCapsaver | principal.resource.attribute.labels(CtdWrkrCapsaver_label) | CtdWrkrCapsaver からラベルを作成して統合します。 |
| CtdWrkrBaselineTracker | principal.resource.attribute.labels(CtdWrkrBaselineTracker_label) | CtdWrkrBaselineTracker からラベルを作成してマージします。 |
| CtdWrkrDissector | principal.resource.attribute.labels(CtdWrkrDissector_label) | CtdWrkrDissector からラベルを作成して統合します。 |
| CtdWrkrDissectorA | principal.resource.attribute.labels(CtdWrkrDissectorA_label) | CtdWrkrDissectorA からラベルを作成してマージします。 |
| CtdWrkrDissectorNg | principal.resource.attribute.labels(CtdWrkrDissectorNg_label) | CtdWrkrDissectorNg からラベルを作成してマージします。 |
| CtdWrkrPreprocessing | principal.resource.attribute.labels(CtdWrkrPreprocessing_label) | CtdWrkrPreprocessing からラベルを作成して統合します。 |
| CtdWrkrPreprocessingNg | principal.resource.attribute.labels(CtdWrkrPreprocessingNg_label) | CtdWrkrPreprocessingNg からラベルを作成して統合します。 |
| CtdWrkrStatisticsNg | principal.resource.attribute.labels(CtdWrkrStatisticsNg_label) | CtdWrkrStatisticsNg からラベルを作成してマージします。 |
| CtdWrkrSyslogAlerts | principal.resource.attribute.labels(CtdWrkrSyslogAlerts_label) | CtdWrkrSyslogAlerts からラベルを作成して統合します。 |
| CtdWrkrSyslogEvents | principal.resource.attribute.labels(CtdWrkrSyslogEvents_label) | CtdWrkrSyslogEvents からラベルを作成して統合します。 |
| CtdWrkrSyslogInsights | principal.resource.attribute.labels(CtdWrkrSyslogInsights_label) | CtdWrkrSyslogInsights からラベルを作成して統合します。 |
| CtdWrkrRdDissector | principal.resource.attribute.labels(CtdWrkrRdDissector_label) | CtdWrkrRdDissector からラベルを作成してマージします。 |
| CtdWrkrRdDissectorA | principal.resource.attribute.labels(CtdWrkrRdDissectorA_label) | CtdWrkrRdDissectorA からラベルを作成して統合します。 |
| CtdSensorName | principal.resource.attribute.labels(CtdSensorName_label) | CtdSensorName からラベルを作成して統合します。 |
| CtdCtrlSite | principal.resource.attribute.labels(CtdCtrlSite_label) | CtdCtrlSite からラベルを作成して統合します。 |
| CtdLoopCallDurationBaselineTrackerWrkerHandleNetworkStatistics | principal.resource.attribute.labels(CtdLoopCallDurationBaselineTrackerWrkerHandleNetworkStatistics_label) | CtdLoopCallDurationBaselineTrackerWrkerHandleNetworkStatistics からラベルを作成してマージします。 |
| CtdDissectionCoverage | principal.resource.attribute.labels(CtdDissectionCoverage_label) | CtdDissectionCoverage からラベルを作成して統合します。 |
| CtdDissectionEfficiencyModbus | principal.resource.attribute.labels(CtdDissectionEfficiencyModbus_label) | CtdDissectionEfficiencyModbus からラベルを作成して統合します。 |
| CtdDissectionEfficiencySmb | principal.resource.attribute.labels(CtdDissectionEfficiencySmb_label) | CtdDissectionEfficiencySmb からラベルを作成して統合します。 |
| CtdDissectionEfficiencyDcerpc | principal.resource.attribute.labels(CtdDissectionEfficiencyDcerpc_label) | CtdDissectionEfficiencyDcerpc からラベルを作成して統合します。 |
| CtdDissectionEfficiencyZabbix | principal.resource.attribute.labels(CtdDissectionEfficiencyZabbix_label) | CtdDissectionEfficiencyZabbix からラベルを作成して統合します。 |
| CtdDissectionEfficiencyFactorytalkRna | principal.resource.attribute.labels(CtdDissectionEfficiencyFactorytalkRna_label) | CtdDissectionEfficiencyFactorytalkRna からラベルを作成して統合します。 |
| CtdDissectionEfficiencySsl | principal.resource.attribute.labels(CtdDissectionEfficiencySsl_label) | CtdDissectionEfficiencySsl からラベルを作成して統合します。 |
| CtdDissectionEfficiencyVrrpProtocolMatcher | principal.resource.attribute.labels(CtdDissectionEfficiencyVrrpProtocolMatcher_label) | CtdDissectionEfficiencyVrrpProtocolMatcher からラベルを作成してマージします。 |
| CtdDissectionEfficiencyRdp | principal.resource.attribute.labels(CtdDissectionEfficiencyRdp_label) | CtdDissectionEfficiencyRdp からラベルを作成して統合します。 |
| CtdDissectionEfficiencySsh | principal.resource.attribute.labels(CtdDissectionEfficiencySsh_label) | CtdDissectionEfficiencySsh からラベルを作成して統合します。 |
| CtdDissectionEfficiencyHttp | principal.resource.attribute.labels(CtdDissectionEfficiencyHttp_label) | CtdDissectionEfficiencyHttp からラベルを作成して統合します。 |
| CtdDissectionEfficiencyTcpHttp | principal.resource.attribute.labels(CtdDissectionEfficiencyTcpHttp_label) | CtdDissectionEfficiencyTcpHttp からラベルを作成して統合します。 |
| CtdDissectionEfficiencyLdap | principal.resource.attribute.labels(CtdDissectionEfficiencyLdap_label) | CtdDissectionEfficiencyLdap からラベルを作成して統合します。 |
| CtdDissectionEfficiencyJrmi | principal.resource.attribute.labels(CtdDissectionEfficiencyJrmi_label) | CtdDissectionEfficiencyJrmi からラベルを作成して統合します。 |
| CtdDissectionEfficiencyGeIfix | principal.resource.attribute.labels(CtdDissectionEfficiencyGeIfix_label) | CtdDissectionEfficiencyGeIfix からラベルを作成して統合します。 |
| CtdDissectionEfficiencyLlc | principal.resource.attribute.labels(CtdDissectionEfficiencyLlc_label) | CtdDissectionEfficiencyLlc からラベルを作成して統合します。 |
| CtdDissectionEfficiencyMatrikonNopc | principal.resource.attribute.labels(CtdDissectionEfficiencyMatrikonNopc_label) | CtdDissectionEfficiencyMatrikonNopc からラベルを作成して統合します。 |
| CtdDissectionEfficiencyVnc | principal.resource.attribute.labels(CtdDissectionEfficiencyVnc_label) | CtdDissectionEfficiencyVnc からラベルを作成して統合します。 |
| CtdUnhandledEvents | principal.resource.attribute.labels(CtdUnhandledEvents_label) | CtdUnhandledEvents からラベルを作成してマージします。 |
| CtdConcludeTime | principal.resource.attribute.labels(CtdConcludeTime_label) | CtdConcludeTime からラベルを作成して統合します。 |
| CtdMysqlQuery | principal.resource.attribute.labels(CtdMysqlQuery_label) | CtdMysqlQuery からラベルを作成してマージします。 |
| CtdPostgresQuery | principal.resource.attribute.labels(CtdPostgresQuery_label) | CtdPostgresQuery からラベルを作成して統合します。 |
| CtdPsqlIdleSessions | principal.resource.attribute.labels(CtdPsqlIdleSessions_label) | CtdPsqlIdleSessions からラベルを作成して統合します。 |
| CtdPsqlIdleInTransactionSessions | principal.resource.attribute.labels(CtdPsqlIdleInTransactionSessions_label) | CtdPsqlIdleInTransactionSessions からラベルを作成して統合します。 |
| CtdSnifferStatus | principal.resource.attribute.labels(CtdSnifferStatus_label) | CtdSnifferStatus からラベルを作成してマージします。 |
| CtdLoopCallDurationPollObjects | principal.resource.attribute.labels(CtdLoopCallDurationPollObjects_label) | CtdLoopCallDurationPollObjects からラベルを作成して統合します。 |
| CtdLoopCallDurationCloudClientWrkrBaseRunCloudConnected | principal.resource.attribute.labels(CtdLoopCallDurationCloudClientWrkrBaseRunCloudConnected_label) | CtdLoopCallDurationCloudClientWrkrBaseRunCloudConnected からラベルを作成して統合します。 |
| CtdSnifferStatusCentral | principal.resource.attribute.labels(CtdSnifferStatusCentral_label) | CtdSnifferStatusCentral からラベルを作成してマージします。 |
| CtdSnifferStatusSite | principal.resource.attribute.labels(CtdSnifferStatusSite_label) | CtdSnifferStatusSite からラベルを作成してマージします。 |
| CtdWrkrMailer | principal.resource.attribute.labels(CtdWrkrMailer_label) | CtdWrkrMailer からラベルを作成してマージします。 |
| CtdDroppedEntities | principal.resource.attribute.labels(CtdDroppedEntities_label) | CtdDroppedEntities からラベルを作成して統合します。 |
| externalId | metadata.product_log_id | externalId を metadata.product_log_id にマッピングします。 |
| proto | protocol_number_src | proto を大文字に変換し、ルックアップ用に protocol_number_src に割り当てます。 |
| protocol_number_src | ip_protocol_out; app_protocol_out | ip_protocol_out を UNKNOWN_IP_PROTOCOL に、app_protocol_out を UNKNOWN_APPLICATION_PROTOCOL に初期化し、ルックアップに基づいて更新します。 |
| ip_protocol_out | network.ip_protocol | ip_protocol_out から network.ip_protocol を設定します。 |
| app_protocol_out | network.application_protocol | app_protocol_out から network.application_protocol を設定します。 |
| CtdExternalId | metadata.product_log_id | 指定されている場合、metadata.product_log_id を CtdExternalId で上書きします。 |
| CtdDeviceExternalId | principal.resource.attribute.labels(ctd_device_label) | CtdDeviceExternalId(CtdDeviceExternalId プレフィックス付き)からラベルを作成して統合します。 |
(has_principal_device が true で ctdeventtype = Login の場合) |
security_result.category; security_result.action | ログイン イベントの場合、security_result.category を AUTH_VIOLATION に、action を BLOCK に設定します。 |
(has_principal_device が true で ctdeventtype = Memory Reset の場合) |
security_result.category | security_result.category を SOFTWARE_SUSPICIOUS に設定します。 |
(target_machine_id_present が true、has_principal_device が true、ctdeventtype が [Known Threat Alert、Known Threat Event、Man-in-the-Middle Attack、Suspicious Activity] の場合) |
security_result.category | security_result.category を NETWORK_MALICIOUS に設定します。 |
(target_machine_id_present が true、has_principal_device が true、ctdeventtype = Suspicious File Transfer の場合) |
security_result.category | security_result.category を NETWORK_SUSPICIOUS に設定します。 |
(target_machine_id_present が true、has_principal_device が true、ctdeventtype = Denial Of Service の場合) |
security_result.category | security_result.category を NETWORK_DENIAL_OF_SERVICE に設定します。 |
(has_principal_device が true で、ctdeventtype が [Host Scan、Port Scan] の場合) |
security_result.category | security_result.category を NETWORK_RECON に設定します。 |
(target_machine_id_present が true、has_principal_device が true、ctdeventtype が [Policy Rule Match、Policy Violation Alert、Policy Violation] の場合) |
security_result.category | security_result.category を POLICY_VIOLATION に設定します。 |
| (has_principal_device が true の場合のデフォルト) | security_result.category | デフォルトで security_result.category を NETWORK_SUSPICIOUS に設定します。 |
| 派生した security_result_category | security_result.category | 導出されたセキュリティ カテゴリを security_result.category に統合します。 |
| 派生 security_result_action | security_result.action | 導出されたセキュリティ アクションを security_result.action に統合します(設定されている場合)。 |
cs6(cs6Label CTDlink) |
metadata.url_back_to_product; security_result.url_back_to_product | 商品詳細へのバックリンク用に cs6 から URL フィールドを設定します。 |
cs1(cs1Label SourceAssetType) |
principal.asset.category; principal.asset.type | cs1 から principal.asset.category を設定し、その値に基づいて principal.asset.type を決定します。 |
cs2(cs2Label DestAssetType) |
target.asset.category; target.asset.type | cs2 から target.asset.category を設定し、その値に基づいて target.asset.type を決定します。 |
cfp1(cfp1Label CVEScore を含む) |
vulns.vulnerabilities.cvss_base_score | vulns.vulnerabilities.cvss_base_score(浮動小数点数に変換)を設定し、vul_fields_present を true に設定します。 |
cs6(cs6Label CVE) |
vulns.vulnerabilities.cve_id | vulns.vulnerabilities.cve_id を設定し、vul_fields_present を true に設定します。 |
cn1(cn1Label IndicatorScore) |
security_result.confidence_score | cn1 からインジケーター スコアを抽出し、浮動小数点数に変換して、信頼スコアとして割り当てます。 |
| filepath | about.file.full_path; security_result.about.file.full_path | filepath を about.file.full_path と security_result.about.file.full_path にマッピングします。 |
(eventclass = HealthCheck かつ cs1Label = Site の場合) |
intermediary.location.name | サイト ID として使用される場合、cs1 から intermediary.location.name を設定します。 |
| cn1(cn1Label 付き) | additional.fields(cn1_label) | cn1 から追加のフィールド ラベルを作成し、additional.fields にマージします。 |
| cs1(cs1Label 付き) | additional.fields(cs1_label) | cs1 から追加のフィールド ラベルを作成し、additional.fields に統合します。 |
| cs2(cs2Label を含む) | additional.fields(cs2_label) | cs2 から追加のフィールド ラベルを作成し、additional.fields に統合します。 |
| cs3(cs3Label を含む) | additional.fields(cs3_label) | cs3 から追加のフィールド ラベルを作成して統合します。 |
| cs4(cs4Label を含む) | additional.fields(cs4_label) | cs4 から追加のフィールドラベルを作成して統合します。 |
| cs6(cs6Label 付き) | additional.fields(cs6_label) | cs6 から追加のフィールド ラベルを作成して統合します。 |
| (event_name と vul_fields_present に基づく分析情報イベントの場合) | event_type | Insight イベントの event_type(SCAN_VULN_HOST、STATUS_UNCATEGORIZED、STATUS_UPDATE など)を導出します。 |
| (ctdeventtype、has_principal_device などに基づくイベント/アラート イベントの場合) | event_type(必要に応じて target.resource.type または auth.type) | DEVICE_CONFIG_UPDATE、DEVICE_PROGRAM_DOWNLOAD/UPLOAD、NETWORK_UNCATEGORIZED、USER_RESOURCE_CREATION、SCAN_HOST、SCAN_NETWORK、SETTING_MODIFICATION、USER_LOGIN、NETWORK_CONNECTION、STATUS_UPDATE などのイベント/アラート イベントの event_type を派生させます。 |
| (event_type が空のままの場合) | event_type | 使用可能なフラグに基づいて、event_type を NETWORK_CONNECTION、USER_RESOURCE_ACCESS、STATUS_UPDATE のいずれかに設定します。 |
| event_type(最終) | metadata.event_type | 最終的な event_type を metadata.event_type にコピーします。空の場合はデフォルトで GENERIC_EVENT になります。 |
| device_vendor | metadata.vendor_name | device_vendor から metadata.vendor_name を設定します。存在しない場合はデフォルトで CLAROTY になります。 |
| device_product | metadata.product_name | device_product から metadata.product_name を設定します。存在しない場合はデフォルトの CTD になります。 |
| device_version | metadata.product_version | device_version から metadata.product_version を設定します。 |
security_description(ET TROJAN … と一致する場合) |
security_result.threat_name | パターン ET TROJAN (?P<threat_name>\S+) を使用して security_description から threat_name を抽出し、security_result.threat_name にマッピングします。 |
| metadata | event.idm.read_only_udm.metadata | メタデータを event.idm.read_only_udm.metadata に名前変更します。 |
| プリンシパル | event.idm.read_only_udm.principal | プリンシパルを event.idm.read_only_udm.principal に名前変更します。 |
| ターゲット | event.idm.read_only_udm.target | ターゲットの名前を event.idm.read_only_udm.target に変更します。 |
| ネットワーク | event.idm.read_only_udm.network | ネットワークの名前を event.idm.read_only_udm.network に変更します。 |
| 追加の | event.idm.read_only_udm.additional | additional を event.idm.read_only_udm.additional に名前変更します。 |
| security_result | event.idm.read_only_udm.security_result | security_result を event.idm.read_only_udm.security_result に統合します。 |
| about | event.idm.read_only_udm.about | about を event.idm.read_only_udm.about に統合します。 |
| intermediary | event.idm.read_only_udm.intermediary | intermediary を event.idm.read_only_udm.intermediary に統合します。 |
| vulns.vulnerabilities | event.idm.read_only_udm.extensions.vulns.vulnerabilities | vulns.vulnerabilities を event.idm.read_only_udm.extensions.vulns.vulnerabilities に統合します。 |
| @output | イベント | 完全な UDM イベント構造を最終的な event フィールドに統合します。 |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。