Recolha registos do Claroty CTD
Compatível com:
Google secops
SIEM
Este documento explica como carregar registos do Claroty Continuous Threat Detection (CTD) para o Google Security Operations através do Bindplane.
Antes de começar
- Certifique-se de que tem uma instância do Google Security Operations.
- Certifique-se de que está a usar o Windows 2016 ou posterior, ou um anfitrião Linux com
systemd. - Se estiver a executar o serviço através de um proxy, certifique-se de que as portas da firewall estão abertas.
- Certifique-se de que tem acesso privilegiado ao Claroty CTD.
Obtenha o ficheiro de autenticação de carregamento do Google SecOps
- Inicie sessão na consola Google SecOps.
- Aceda a Definições do SIEM > Agentes de recolha.
- Transfira o ficheiro de autenticação de carregamento. Guarde o ficheiro de forma segura no sistema onde o Bindplane vai ser instalado.
Obtenha o ID de cliente do Google SecOps
- Inicie sessão na consola Google SecOps.
- Aceda a Definições do SIEM > Perfil.
- Copie e guarde o ID do cliente da secção Detalhes da organização.
Instale o agente do Bindplane
Instalação do Windows
- Abra a Linha de comandos ou o PowerShell como administrador.
Execute o seguinte comando:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Instalação do Linux
- Abra um terminal com privilégios de raiz ou sudo.
Execute o seguinte comando:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Recursos de instalação adicionais
- Para ver opções de instalação adicionais, consulte este guia de instalação.
Configure o agente Bindplane para carregar o Syslog e enviá-lo para o Google SecOps
Aceda ao ficheiro de configuração:
- Localize o ficheiro
config.yaml. Normalmente, encontra-se no diretório/etc/bindplane-agent/no Linux ou no diretório de instalação no Windows. - Abra o ficheiro com um editor de texto (por exemplo,
nano,viou Bloco de notas).
- Localize o ficheiro
Edite o ficheiro
config.yamlda seguinte forma:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: CLAROTY_CTD raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labelsSubstitua a porta e o endereço IP conforme necessário na sua infraestrutura.
Substitua
<customer_id>pelo ID de cliente real.Atualize
/path/to/ingestion-authentication-file.jsonpara o caminho onde o ficheiro de autenticação foi guardado na secção Obtenha o ficheiro de autenticação de carregamento do Google SecOps.
Reinicie o agente do Bindplane para aplicar as alterações
Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:
sudo systemctl restart bindplane-agentPara reiniciar o agente do Bindplane no Windows, pode usar a consola Services ou introduzir o seguinte comando:
net stop BindPlaneAgent && net start BindPlaneAgent
Configure o Syslog na Deteção contínua de ameaças (CTD) da Claroty
- Inicie sessão na IU Web do Claroty CTD.
- Aceda a Menu > Integrações > Syslog.
- Repita os passos seguintes para cada tipo de conteúdo de mensagem do syslog:
- Alertas
- Eventos
- Monitorização da saúde
- Estatísticas
- Registos de atividade
- Vulnerabilidades
- Clique em + para adicionar uma nova configuração.
- No menu Conteúdo da mensagem, selecione o conteúdo necessário para exportar.
- Indique os seguintes detalhes de configuração:
- Categoria: selecione Tudo.
- Tipo: selecione os tipos Selecionar tudo.
- Formato: selecione CEF (mais recente).
- URL do sistema: não atualize o URL/IP do sistema, a menos que esteja a usar um servidor proxy.
- Enviar para: selecione Servidor Syslog externo (por exemplo, sistemas SIEM e SOAR).
- Fornecedor: selecione Outro.
- IP do servidor Syslog: introduza o endereço IP do agente Bindplane.
- Porta: introduza a porta do agente do Bindplane (por exemplo,
514). - Protocolo: selecione UDP (outras opções incluem TCP, TLS ou mTLS, consoante a sua configuração do Bindplane).
- Clique em Guardar.
Tabela de mapeamento da UDM
| Campo de registo | Mapeamento de UDM | Lógica |
|---|---|---|
| CtdRealTime | metadata.event_timestamp | Analisado através de MMM dd yyyy HH:mm:ss de CtdRealTime e usado como a data/hora do evento. |
| CtdTimeGenerated | metadata.event_timestamp | Se CtdRealTime estiver vazio, é analisado através de MMM dd yyyy HH:mm:ss de CtdTimeGenerated para definir a data/hora do evento. |
| CtdMessage | metadata.description | Define metadata.description a partir do campo CtdMessage. |
| CtdMessage | security_result.description | Define security_result.description a partir do campo CtdMessage quando aplicável. |
| Porta (de CtdMessage KV) | principal.port | Extraído da chave Port em CtdMessage; convertido em número inteiro e definido como principal.port. |
| Categoria (de CtdMessage KV) | security_result.detection_fields (Category_label) | Extraído de CtdMessage como chave Category e unido em campos de deteção. |
| Acesso (de CtdMessage KV) | security_result.detection_fields (Access_label) | Extraído de CtdMessage como chave Access e unido em campos de deteção. |
| CtdSite | principal.hostname | Mapeia CtdSite para principal.hostname. |
| CtdSite | principal.asset.hostname | Mapeia CtdSite para principal.asset.hostname. |
| CtdCpu | principal.resource.attribute.labels (CtdCpu_label) | Cria uma etiqueta com a chave CtdCpu usando o valor de CtdCpu e junta-a a principal.resource.attribute.labels. |
| CtdMem | principal.resource.attribute.labels (CtdMem_label) | Cria uma etiqueta com a chave CtdMem usando o valor de CtdMem e junta-o a principal.resource.attribute.labels. |
| CtdUsedOptIcsranger | principal.resource.attribute.labels (CtdUsedOptIcsranger_label) | Cria uma etiqueta a partir de CtdUsedOptIcsranger e junta-a. |
| CtdUsedVar | principal.resource.attribute.labels (CtdUsedVar_label) | Cria uma etiqueta a partir de CtdUsedVar e junta-a. |
| CtdUsedTmp | principal.resource.attribute.labels (CtdUsedTmp_label) | Cria uma etiqueta a partir de CtdUsedTmp e junta-a. |
| CtdUsedEtc | principal.resource.attribute.labels (CtdUsedEtc_label) | Cria uma etiqueta a partir de CtdUsedEtc e junta-a. |
| CtdBusyFd | principal.resource.attribute.labels (CtdBusyFd_label) | Cria uma etiqueta a partir de CtdBusyFd e junta-a. |
| CtdBusySda | principal.resource.attribute.labels (CtdBusySda_label) | Cria uma etiqueta a partir de CtdBusySda e junta-a. |
| CtdBusySdaA | principal.resource.attribute.labels (CtdBusySdaA_label) | Cria uma etiqueta a partir de CtdBusySdaA e junta-a. |
| CtdBusySdaB | principal.resource.attribute.labels (CtdBusySdaB_label) | Cria uma etiqueta a partir de CtdBusySdaB e junta-a. |
| CtdBusySr | principal.resource.attribute.labels (CtdBusySr_label) | Cria uma etiqueta a partir de CtdBusySr e junta-a. |
| CtdBusyDm | principal.resource.attribute.labels (CtdBusyDm_label) | Cria uma etiqueta a partir de CtdBusyDm e junta-a. |
| CtdBusyDmA | principal.resource.attribute.labels (CtdBusyDmA_label) | Cria uma etiqueta a partir de CtdBusyDmA e junta-a. |
| CtdQuPreprocessingNg | principal.resource.attribute.labels (CtdQuPreprocessingNg_label) | Cria uma etiqueta a partir de CtdQuPreprocessingNg e junta-a. |
| CtdQuBaselineTracker | principal.resource.attribute.labels (CtdQuBaselineTracker_label) | Cria uma etiqueta a partir de CtdQuBaselineTracker e junta-a. |
| CtdQuBridge | principal.resource.attribute.labels (CtdQuBridge_label) | Cria uma etiqueta a partir de CtdQuBridge e junta-a. |
| CtdQuCentralBridge | principal.resource.attribute.labels (CtdQuCentralBridge_label) | Cria uma etiqueta a partir de CtdQuCentralBridge e junta-a. |
| CtdQuConcluding | principal.resource.attribute.labels (CtdQuConcluding_label) | Cria uma etiqueta a partir de CtdQuConcluding e junta-a. |
| CtdQuDiodeFeeder | principal.resource.attribute.labels (CtdQuDiodeFeeder_label) | Cria uma etiqueta a partir de CtdQuDiodeFeeder e junta-a. |
| CtdQuDissector | principal.resource.attribute.labels (CtdQuDissector_label) | Cria uma etiqueta a partir de CtdQuDissector e junta-a. |
| CtdQuDissectorA | principal.resource.attribute.labels (CtdQuDissectorA_label) | Cria uma etiqueta a partir de CtdQuDissectorA e junta-a. |
| CtdQuDissectorNg | principal.resource.attribute.labels (CtdQuDissectorNg_label) | Cria uma etiqueta a partir de CtdQuDissectorNg e junta-a. |
| CtdQuIndicatorService | principal.resource.attribute.labels (CtdQuIndicatorService_label) | Cria uma etiqueta a partir de CtdQuIndicatorService e junta-a. |
| CtdQuLeecher | principal.resource.attribute.labels (CtdQuLeecher_label) | Cria uma etiqueta a partir de CtdQuLeecher e junta-a. |
| CtdQuMonitor | principal.resource.attribute.labels (CtdQuMonitor_label) | Cria uma etiqueta a partir de CtdQuMonitor e junta-a. |
| CtdQuNetworkStatistics | principal.resource.attribute.labels (CtdQuNetworkStatistics_label) | Cria uma etiqueta a partir de CtdQuNetworkStatistics e junta-a. |
| CtdQuPackets | principal.resource.attribute.labels (CtdQuPackets_label) | Cria uma etiqueta a partir de CtdQuPackets e junta-a. |
| CtdQuPacketsErrors | principal.resource.attribute.labels (CtdQuPacketsErrors_label) | Cria uma etiqueta a partir de CtdQuPacketsErrors e junta-a. |
| CtdQuPreprocessing | principal.resource.attribute.labels (CtdQuPreprocessing_label) | Cria uma etiqueta a partir de CtdQuPreprocessing e junta-a. |
| CtdQuPriorityProcessing | principal.resource.attribute.labels (CtdQuPriorityProcessing_label) | Cria uma etiqueta a partir de CtdQuPriorityProcessing e junta-a. |
| CtdQuProcessing | principal.resource.attribute.labels (CtdQuProcessing_label) | Cria uma etiqueta a partir de CtdQuProcessing e junta-a. |
| CtdQuProcessingHigh | principal.resource.attribute.labels (CtdQuProcessingHigh_label) | Cria uma etiqueta a partir de CtdQuProcessingHigh e junta-a. |
| CtdQuZordonUpdates | principal.resource.attribute.labels (CtdQuZordonUpdates_label) | Cria uma etiqueta a partir de CtdQuZordonUpdates e junta-a. |
| CtdQuStatisticsNg | principal.resource.attribute.labels (CtdQuStatisticsNg_label) | Cria uma etiqueta a partir de CtdQuStatisticsNg e junta-a. |
| CtdQueuePurge | principal.resource.attribute.labels (CtdQueuePurge_label) | Cria uma etiqueta a partir de CtdQueuePurge e junta-a. |
| CtdQuSyslogAlerts | principal.resource.attribute.labels (CtdQuSyslogAlerts_label) | Cria uma etiqueta a partir de CtdQuSyslogAlerts e junta-a. |
| CtdQuSyslogEvents | principal.resource.attribute.labels (CtdQuSyslogEvents_label) | Cria uma etiqueta a partir de CtdQuSyslogEvents e junta-a. |
| CtdQuSyslogInsights | principal.resource.attribute.labels (CtdQuSyslogInsights_label) | Cria uma etiqueta a partir de CtdQuSyslogInsights e junta-a. |
| CtdRdDissector | principal.resource.attribute.labels (CtdRdDissector_label) | Cria uma etiqueta a partir de CtdRdDissector e junta-a. |
| CtdRdDissectorA | principal.resource.attribute.labels (CtdRdDissectorA_label) | Cria uma etiqueta a partir de CtdRdDissectorA e junta-a. |
| CtdRdDissectorNg | principal.resource.attribute.labels (CtdRdDissectorNg_label) | Cria uma etiqueta a partir de CtdRdDissectorNg e junta-a. |
| CtdRdPreprocessing | principal.resource.attribute.labels (CtdRdPreprocessing_label) | Cria uma etiqueta a partir de CtdRdPreprocessing e junta-a. |
| CtdRdPreprocessingNg | principal.resource.attribute.labels (CtdRdPreprocessingNg_label) | Cria uma etiqueta a partir de CtdRdPreprocessingNg e junta-a. |
| CtdSvcMariaDb | principal.resource.attribute.labels (CtdSvcMariaDb_label) | Cria uma etiqueta a partir de CtdSvcMariaDb e junta-a. |
| CtdSvcPostgres | principal.resource.attribute.labels (CtdSvcPostgres_label) | Cria uma etiqueta a partir de CtdSvcPostgres e junta-a. |
| CtdSvcRedis | principal.resource.attribute.labels (CtdSvcRedis_label) | Cria uma etiqueta a partir de CtdSvcRedis e junta-a. |
| CtdSvcRabbitMq | principal.resource.attribute.labels (CtdSvcRabbitMq_label) | Cria uma etiqueta a partir de CtdSvcRabbitMq e junta-a. |
| CtdSvcIcsranger | principal.resource.attribute.labels (CtdSvcIcsranger_label) | Cria uma etiqueta a partir de CtdSvcIcsranger e junta-a. |
| CtdSvcWatchdog | principal.resource.attribute.labels (CtdSvcWatchdog_label) | Cria uma etiqueta a partir de CtdSvcWatchdog e junta-a. |
| CtdSvcFirewalld | principal.resource.attribute.labels (CtdSvcFirewalld_label) | Cria uma etiqueta a partir de CtdSvcFirewalld e junta-a. |
| CtdSvcNetunnel | principal.resource.attribute.labels (CtdSvcNetunnel_label) | Cria uma etiqueta a partir de CtdSvcNetunnel e junta-a. |
| CtdSvcJwthenticator | principal.resource.attribute.labels (CtdSvcJwthenticator_label) | Cria uma etiqueta a partir de CtdSvcJwthenticator e junta-a. |
| CtdSvcDocker | principal.resource.attribute.labels (CtdSvcDocker_label) | Cria uma etiqueta a partir de CtdSvcDocker e junta-a. |
| CtdExceptions | principal.resource.attribute.labels (CtdExceptions_label) | Cria uma etiqueta a partir de CtdExceptions e junta-a. |
| CtdInputPacketDrops | principal.resource.attribute.labels (CtdInputPacketDrops_label) | Cria uma etiqueta a partir de CtdInputPacketDrops e junta-a. |
| CtdOutputPacketDrops | principal.resource.attribute.labels (CtdOutputPacketDrops_label) | Cria uma etiqueta a partir de CtdOutputPacketDrops e junta-a. |
| CtdFullOutputPacketDrops | principal.resource.attribute.labels (CtdFullOutputPacketDrops_label) | Cria uma etiqueta a partir de CtdFullOutputPacketDrops e junta-a. |
| CtdDissectorNgPacketDrops | principal.resource.attribute.labels (CtdDissectorNgPacketDrops_label) | Cria uma etiqueta a partir de CtdDissectorNgPacketDrops e junta-a. |
| CtdTagArtifactsDropsPreprocessor | principal.resource.attribute.labels (CtdTagArtifactsDropsPreprocessor_label) | Cria uma etiqueta a partir de CtdTagArtifactsDropsPreprocessor e junta-a. |
| CtdTagArtifactsDropsPreprocessorSum | principal.resource.attribute.labels (CtdTagArtifactsDropsPreprocessorSum_label) | Cria uma etiqueta a partir de CtdTagArtifactsDropsPreprocessorSum e junta-a. |
| CtdTagArtifactsDropsProcessor | principal.resource.attribute.labels (CtdTagArtifactsDropsProcessor_label) | Cria uma etiqueta a partir de CtdTagArtifactsDropsProcessor e junta-a. |
| CtdTagArtifactsDropsProcessorSum | principal.resource.attribute.labels (CtdTagArtifactsDropsProcessorSum_label) | Cria uma etiqueta a partir de CtdTagArtifactsDropsProcessorSum e junta-a. |
| CtdTagArtifactsDropsSniffer | principal.resource.attribute.labels (CtdTagArtifactsDropsSniffer_label) | Cria uma etiqueta a partir de CtdTagArtifactsDropsSniffer e junta-a. |
| CtdTagArtifactsDropsSnifferSum | principal.resource.attribute.labels (CtdTagArtifactsDropsSnifferSum_label) | Cria uma etiqueta a partir de CtdTagArtifactsDropsSnifferSum e junta-a. |
| CtdTagArtifactsDropsDissectorPypy | principal.resource.attribute.labels (CtdTagArtifactsDropsDissectorPypy_label) | Cria uma etiqueta a partir de CtdTagArtifactsDropsDissectorPypy e junta-a. |
| CtdTagArtifactsDropsDissectorPypySum | principal.resource.attribute.labels (CtdTagArtifactsDropsDissectorPypySum_label) | Cria uma etiqueta a partir de CtdTagArtifactsDropsDissectorPypySum e junta-a. |
| CtdCapsaverFolderCleanup | principal.resource.attribute.labels (CtdCapsaverFolderCleanup_label) | Cria uma etiqueta a partir de CtdCapsaverFolderCleanup e junta-a. |
| CtdCapsaverUtilzationTest | principal.resource.attribute.labels (CtdCapsaverUtilzationTest_label) | Cria uma etiqueta a partir de CtdCapsaverUtilzationTest e junta-a. |
| CtdYaraScannerTest | principal.resource.attribute.labels (CtdYaraScannerTest_label) | Cria uma etiqueta a partir de CtdYaraScannerTest e junta-a. |
| CtdWrkrWorkersStop | principal.resource.attribute.labels (CtdWrkrWorkersStop_label) | Cria uma etiqueta a partir de CtdWrkrWorkersStop e junta-a. |
| CtdWrkrWorkersRestart | principal.resource.attribute.labels (CtdWrkrWorkersRestart_label) | Cria uma etiqueta a partir de CtdWrkrWorkersRestart e junta-a. |
| CtdWrkrActiveExecuter | principal.resource.attribute.labels (CtdWrkrActiveExecuter_label) | Cria uma etiqueta a partir de CtdWrkrActiveExecuter e junta-a. |
| CtdWrkrSensor | principal.resource.attribute.labels (CtdWrkrSensor_label) | Cria uma etiqueta a partir de CtdWrkrSensor e junta-a. |
| CtdWrkrAuthentication | principal.resource.attribute.labels (CtdWrkrAuthentication_label) | Cria uma etiqueta a partir de CtdWrkrAuthentication e junta-a. |
| CtdWrkrMitre | principal.resource.attribute.labels (CtdWrkrMitre_label) | Cria uma etiqueta a partir de CtdWrkrMitre e junta-a. |
| CtdWrkrNotifications | principal.resource.attribute.labels (CtdWrkrNotifications_label) | Cria uma etiqueta a partir de CtdWrkrNotifications e junta-a. |
| CtdWrkrProcessor | principal.resource.attribute.labels (CtdWrkrProcessor_label) | Cria uma etiqueta a partir de CtdWrkrProcessor e junta-a. |
| CtdWrkrCloudAgent | principal.resource.attribute.labels (CtdWrkrCloudAgent_label) | Cria uma etiqueta a partir de CtdWrkrCloudAgent e junta-a. |
| CtdWrkrCloudClient | principal.resource.attribute.labels (CtdWrkrCloudClient_label) | Cria uma etiqueta a partir de CtdWrkrCloudClient e junta-a. |
| CtdWrkrScheduler | principal.resource.attribute.labels (CtdWrkrScheduler_label) | Cria uma etiqueta a partir de CtdWrkrScheduler e junta-a. |
| CtdWrkrknownThreats | principal.resource.attribute.labels (CtdWrkrknownThreats_label) | Cria uma etiqueta a partir de CtdWrkrknownThreats e junta-a. |
| CtdWrkrCacher | principal.resource.attribute.labels (CtdWrkrCacher_label) | Cria uma etiqueta a partir de CtdWrkrCacher e junta-a. |
| CtdWrkrInsights | principal.resource.attribute.labels (CtdWrkrInsights_label) | Cria uma etiqueta a partir de CtdWrkrInsights e junta-a. |
| CtdWrkrActive | principal.resource.attribute.labels (CtdWrkrActive_label) | Cria uma etiqueta a partir de CtdWrkrActive e junta-a. |
| CtdWrkrEnricher | principal.resource.attribute.labels (CtdWrkrEnricher_label) | Cria uma etiqueta a partir de CtdWrkrEnricher e junta-a. |
| CtdWrkrIndicators | principal.resource.attribute.labels (CtdWrkrIndicators_label) | Cria uma etiqueta a partir de CtdWrkrIndicators e junta-a. |
| CtdWrkrIndicatorsApi | principal.resource.attribute.labels (CtdWrkrIndicatorsApi_label) | Cria uma etiqueta a partir de CtdWrkrIndicatorsApi e junta-a. |
| CtdWrkrConcluder | principal.resource.attribute.labels (CtdWrkrConcluder_label) | Cria uma etiqueta a partir de CtdWrkrConcluder e junta-a. |
| CtdWrkrPreprocessor | principal.resource.attribute.labels (CtdWrkrPreprocessor_label) | Cria uma etiqueta a partir de CtdWrkrPreprocessor e junta-a. |
| CtdWrkrLeecher | principal.resource.attribute.labels (CtdWrkrLeecher_label) | Cria uma etiqueta a partir de CtdWrkrLeecher e junta-a. |
| CtdWrkrSyncManager | principal.resource.attribute.labels (CtdWrkrSyncManager_label) | Cria uma etiqueta a partir de CtdWrkrSyncManager e junta-a. |
| CtdWrkrBridge | principal.resource.attribute.labels (CtdWrkrBridge_label) | Cria uma etiqueta a partir de CtdWrkrBridge e junta-a. |
| CtdWrkrWebRanger | principal.resource.attribute.labels (CtdWrkrWebRanger_label) | Cria uma etiqueta a partir de CtdWrkrWebRanger e junta-a. |
| CtdWrkrWebWs | principal.resource.attribute.labels (CtdWrkrWebWs_label) | Cria uma etiqueta a partir de CtdWrkrWebWs e junta-a. |
| CtdWrkrWebAuth | principal.resource.attribute.labels (CtdWrkrWebAuth_label) | Cria uma etiqueta a partir de CtdWrkrWebAuth e junta-a. |
| CtdWrkrWebNginx | principal.resource.attribute.labels (CtdWrkrWebNginx_label) | Cria uma etiqueta a partir de CtdWrkrWebNginx e junta-a. |
| CtdWrkrConfigurator | principal.resource.attribute.labels (CtdWrkrConfigurator_label) | Cria uma etiqueta a partir de CtdWrkrConfigurator e junta-a. |
| CtdWrkrConfiguratorNginx | principal.resource.attribute.labels (CtdWrkrConfiguratorNginx_label) | Cria uma etiqueta a partir de CtdWrkrConfiguratorNginx e junta-a. |
| CtdWrkrCapsaver | principal.resource.attribute.labels (CtdWrkrCapsaver_label) | Cria uma etiqueta a partir de CtdWrkrCapsaver e junta-a. |
| CtdWrkrBaselineTracker | principal.resource.attribute.labels (CtdWrkrBaselineTracker_label) | Cria uma etiqueta a partir de CtdWrkrBaselineTracker e junta-a. |
| CtdWrkrDissector | principal.resource.attribute.labels (CtdWrkrDissector_label) | Cria uma etiqueta a partir de CtdWrkrDissector e junta-a. |
| CtdWrkrDissectorA | principal.resource.attribute.labels (CtdWrkrDissectorA_label) | Cria uma etiqueta a partir de CtdWrkrDissectorA e junta-a. |
| CtdWrkrDissectorNg | principal.resource.attribute.labels (CtdWrkrDissectorNg_label) | Cria uma etiqueta a partir de CtdWrkrDissectorNg e junta-a. |
| CtdWrkrPreprocessing | principal.resource.attribute.labels (CtdWrkrPreprocessing_label) | Cria uma etiqueta a partir de CtdWrkrPreprocessing e junta-a. |
| CtdWrkrPreprocessingNg | principal.resource.attribute.labels (CtdWrkrPreprocessingNg_label) | Cria uma etiqueta a partir de CtdWrkrPreprocessingNg e junta-a. |
| CtdWrkrStatisticsNg | principal.resource.attribute.labels (CtdWrkrStatisticsNg_label) | Cria uma etiqueta a partir de CtdWrkrStatisticsNg e junta-a. |
| CtdWrkrSyslogAlerts | principal.resource.attribute.labels (CtdWrkrSyslogAlerts_label) | Cria uma etiqueta a partir de CtdWrkrSyslogAlerts e junta-a. |
| CtdWrkrSyslogEvents | principal.resource.attribute.labels (CtdWrkrSyslogEvents_label) | Cria uma etiqueta a partir de CtdWrkrSyslogEvents e junta-a. |
| CtdWrkrSyslogInsights | principal.resource.attribute.labels (CtdWrkrSyslogInsights_label) | Cria uma etiqueta a partir de CtdWrkrSyslogInsights e junta-a. |
| CtdWrkrRdDissector | principal.resource.attribute.labels (CtdWrkrRdDissector_label) | Cria uma etiqueta a partir de CtdWrkrRdDissector e junta-a. |
| CtdWrkrRdDissectorA | principal.resource.attribute.labels (CtdWrkrRdDissectorA_label) | Cria uma etiqueta a partir de CtdWrkrRdDissectorA e junta-a. |
| CtdSensorName | principal.resource.attribute.labels (CtdSensorName_label) | Cria uma etiqueta a partir de CtdSensorName e junta-a. |
| CtdCtrlSite | principal.resource.attribute.labels (CtdCtrlSite_label) | Cria uma etiqueta a partir de CtdCtrlSite e junta-a. |
| CtdLoopCallDurationBaselineTrackerWrkerHandleNetworkStatistics | principal.resource.attribute.labels (CtdLoopCallDurationBaselineTrackerWrkerHandleNetworkStatistics_label) | Cria uma etiqueta a partir de CtdLoopCallDurationBaselineTrackerWrkerHandleNetworkStatistics e junta-a. |
| CtdDissectionCoverage | principal.resource.attribute.labels (CtdDissectionCoverage_label) | Cria uma etiqueta a partir de CtdDissectionCoverage e junta-a. |
| CtdDissectionEfficiencyModbus | principal.resource.attribute.labels (CtdDissectionEfficiencyModbus_label) | Cria uma etiqueta a partir de CtdDissectionEfficiencyModbus e junta-a. |
| CtdDissectionEfficiencySmb | principal.resource.attribute.labels (CtdDissectionEfficiencySmb_label) | Cria uma etiqueta a partir de CtdDissectionEfficiencySmb e junta-a. |
| CtdDissectionEfficiencyDcerpc | principal.resource.attribute.labels (CtdDissectionEfficiencyDcerpc_label) | Cria uma etiqueta a partir de CtdDissectionEfficiencyDcerpc e junta-a. |
| CtdDissectionEfficiencyZabbix | principal.resource.attribute.labels (CtdDissectionEfficiencyZabbix_label) | Cria uma etiqueta a partir de CtdDissectionEfficiencyZabbix e junta-a. |
| CtdDissectionEfficiencyFactorytalkRna | principal.resource.attribute.labels (CtdDissectionEfficiencyFactorytalkRna_label) | Cria uma etiqueta a partir de CtdDissectionEfficiencyFactorytalkRna e junta-a. |
| CtdDissectionEfficiencySsl | principal.resource.attribute.labels (CtdDissectionEfficiencySsl_label) | Cria uma etiqueta a partir de CtdDissectionEfficiencySsl e junta-a. |
| CtdDissectionEfficiencyVrrpProtocolMatcher | principal.resource.attribute.labels (CtdDissectionEfficiencyVrrpProtocolMatcher_label) | Cria uma etiqueta a partir de CtdDissectionEfficiencyVrrpProtocolMatcher e junta-a. |
| CtdDissectionEfficiencyRdp | principal.resource.attribute.labels (CtdDissectionEfficiencyRdp_label) | Cria uma etiqueta a partir de CtdDissectionEfficiencyRdp e junta-a. |
| CtdDissectionEfficiencySsh | principal.resource.attribute.labels (CtdDissectionEfficiencySsh_label) | Cria uma etiqueta a partir de CtdDissectionEfficiencySsh e junta-a. |
| CtdDissectionEfficiencyHttp | principal.resource.attribute.labels (CtdDissectionEfficiencyHttp_label) | Cria uma etiqueta a partir de CtdDissectionEfficiencyHttp e junta-a. |
| CtdDissectionEfficiencyTcpHttp | principal.resource.attribute.labels (CtdDissectionEfficiencyTcpHttp_label) | Cria uma etiqueta a partir de CtdDissectionEfficiencyTcpHttp e junta-a. |
| CtdDissectionEfficiencyLdap | principal.resource.attribute.labels (CtdDissectionEfficiencyLdap_label) | Cria uma etiqueta a partir de CtdDissectionEfficiencyLdap e junta-a. |
| CtdDissectionEfficiencyJrmi | principal.resource.attribute.labels (CtdDissectionEfficiencyJrmi_label) | Cria uma etiqueta a partir de CtdDissectionEfficiencyJrmi e une-a. |
| CtdDissectionEfficiencyGeIfix | principal.resource.attribute.labels (CtdDissectionEfficiencyGeIfix_label) | Cria uma etiqueta a partir de CtdDissectionEfficiencyGeIfix e junta-a. |
| CtdDissectionEfficiencyLlc | principal.resource.attribute.labels (CtdDissectionEfficiencyLlc_label) | Cria uma etiqueta a partir de CtdDissectionEfficiencyLlc e junta-a. |
| CtdDissectionEfficiencyMatrikonNopc | principal.resource.attribute.labels (CtdDissectionEfficiencyMatrikonNopc_label) | Cria uma etiqueta a partir de CtdDissectionEfficiencyMatrikonNopc e junta-a. |
| CtdDissectionEfficiencyVnc | principal.resource.attribute.labels (CtdDissectionEfficiencyVnc_label) | Cria uma etiqueta a partir de CtdDissectionEfficiencyVnc e junta-a. |
| CtdUnhandledEvents | principal.resource.attribute.labels (CtdUnhandledEvents_label) | Cria uma etiqueta a partir de CtdUnhandledEvents e junta-a. |
| CtdConcludeTime | principal.resource.attribute.labels (CtdConcludeTime_label) | Cria uma etiqueta a partir de CtdConcludeTime e junta-a. |
| CtdMysqlQuery | principal.resource.attribute.labels (CtdMysqlQuery_label) | Cria uma etiqueta a partir de CtdMysqlQuery e junta-a. |
| CtdPostgresQuery | principal.resource.attribute.labels (CtdPostgresQuery_label) | Cria uma etiqueta a partir de CtdPostgresQuery e junta-a. |
| CtdPsqlIdleSessions | principal.resource.attribute.labels (CtdPsqlIdleSessions_label) | Cria uma etiqueta a partir de CtdPsqlIdleSessions e junta-a. |
| CtdPsqlIdleInTransactionSessions | principal.resource.attribute.labels (CtdPsqlIdleInTransactionSessions_label) | Cria uma etiqueta a partir de CtdPsqlIdleInTransactionSessions e junta-a. |
| CtdSnifferStatus | principal.resource.attribute.labels (CtdSnifferStatus_label) | Cria uma etiqueta a partir de CtdSnifferStatus e junta-a. |
| CtdLoopCallDurationPollObjects | principal.resource.attribute.labels (CtdLoopCallDurationPollObjects_label) | Cria uma etiqueta a partir de CtdLoopCallDurationPollObjects e junta-a. |
| CtdLoopCallDurationCloudClientWrkrBaseRunCloudConnected | principal.resource.attribute.labels (CtdLoopCallDurationCloudClientWrkrBaseRunCloudConnected_label) | Cria uma etiqueta a partir de CtdLoopCallDurationCloudClientWrkrBaseRunCloudConnected e junta-a. |
| CtdSnifferStatusCentral | principal.resource.attribute.labels (CtdSnifferStatusCentral_label) | Cria uma etiqueta a partir de CtdSnifferStatusCentral e junta-a. |
| CtdSnifferStatusSite | principal.resource.attribute.labels (CtdSnifferStatusSite_label) | Cria uma etiqueta a partir de CtdSnifferStatusSite e junta-a. |
| CtdWrkrMailer | principal.resource.attribute.labels (CtdWrkrMailer_label) | Cria uma etiqueta a partir de CtdWrkrMailer e junta-a. |
| CtdDroppedEntities | principal.resource.attribute.labels (CtdDroppedEntities_label) | Cria uma etiqueta a partir de CtdDroppedEntities e junta-a. |
| externalId | metadata.product_log_id | Mapeia externalId para metadata.product_log_id. |
| proto | protocol_number_src | Converte o proto em letras maiúsculas e atribui-o a protocol_number_src para pesquisa. |
| protocol_number_src | ip_protocol_out; app_protocol_out | Inicializa ip_protocol_out como UNKNOWN_IP_PROTOCOL e app_protocol_out como UNKNOWN_APPLICATION_PROTOCOL e, em seguida, atualiza com base na pesquisa. |
| ip_protocol_out | network.ip_protocol | Define network.ip_protocol a partir de ip_protocol_out. |
| app_protocol_out | network.application_protocol | Define network.application_protocol a partir de app_protocol_out. |
| CtdExternalId | metadata.product_log_id | Substitui metadata.product_log_id por CtdExternalId, se fornecido. |
| CtdDeviceExternalId | principal.resource.attribute.labels (ctd_device_label) | Cria uma etiqueta a partir de CtdDeviceExternalId (com o prefixo CtdDeviceExternalId) e junta-a. |
(if has_principal_device is true and ctdeventtype = Login) |
security_result.category; security_result.action | Para eventos de início de sessão, define security_result.category como AUTH_VIOLATION e action como BLOCK. |
(if has_principal_device is true and ctdeventtype = Memory Reset) |
security_result.category | Define security_result.category como SOFTWARE_SUSPICIOUS. |
(if target_machine_id_present is true, has_principal_device is true, and ctdeventtype in [Known Threat Alert, Known Threat Event, Man-in-the-Middle Attack, Suspicious Activity]) |
security_result.category | Define security_result.category como NETWORK_MALICIOUS. |
(if target_machine_id_present is true, has_principal_device is true, and ctdeventtype = Suspicious File Transfer) |
security_result.category | Define security_result.category como NETWORK_SUSPICIOUS. |
(if target_machine_id_present is true, has_principal_device is true, and ctdeventtype = Denial Of Service) |
security_result.category | Define security_result.category como NETWORK_DENIAL_OF_SERVICE. |
(if has_principal_device is true and ctdeventtype in [Host Scan, Port Scan]) |
security_result.category | Define security_result.category como NETWORK_RECON. |
(if target_machine_id_present is true, has_principal_device is true, and ctdeventtype in [Policy Rule Match, Policy Violation Alert, Policy Violation]) |
security_result.category | Define security_result.category como POLICY_VIOLATION. |
| (predefinição se has_principal_device for verdadeiro) | security_result.category | Define security_result.category como NETWORK_SUSPICIOUS por predefinição. |
| security_result_category derivada | security_result.category | Mescla a categoria de segurança derivada em security_result.category. |
| Derived security_result_action | security_result.action | Mescla a ação de segurança derivada em security_result.action (se definida). |
cs6 (com cs6Label CTDlink) |
metadata.url_back_to_product; security_result.url_back_to_product | Define campos de URL do cs6 para criar links de volta para os detalhes do produto. |
cs1 (com cs1Label SourceAssetType) |
principal.asset.category; principal.asset.type | Define principal.asset.category a partir de cs1 e determina principal.asset.type com base no respetivo valor. |
cs2 (com cs2Label DestAssetType) |
target.asset.category; target.asset.type | Define target.asset.category a partir de cs2 e determina target.asset.type com base no respetivo valor. |
cfp1 (com cfp1Label CVEScore) |
vulns.vulnerabilities.cvss_base_score | Define vulns.vulnerabilities.cvss_base_score (convertido em float) e marca vul_fields_present como verdadeiro. |
cs6 (com cs6Label CVE) |
vulns.vulnerabilities.cve_id | Define vulns.vulnerabilities.cve_id e marca vul_fields_present como verdadeiro. |
cn1 (com cn1Label IndicatorScore) |
security_result.confidence_score | Extrai a pontuação do indicador de cn1, converte-a em número de vírgula flutuante e atribui-a como a pontuação de confiança. |
| filepath | about.file.full_path; security_result.about.file.full_path | Mapeia o caminho do ficheiro para about.file.full_path e security_result.about.file.full_path. |
(if eventclass = HealthCheck and cs1Label = Site) |
intermediary.location.name | Define intermediary.location.name a partir de cs1 quando usado como um identificador do site. |
| cn1 (com cn1Label) | additional.fields (cn1_label) | Cria uma etiqueta de campo adicional a partir de cn1 e junta-a a additional.fields. |
| cs1 (com cs1Label) | additional.fields (cs1_label) | Cria uma etiqueta de campo adicional a partir de cs1 e junta-a a additional.fields. |
| cs2 (com cs2Label) | additional.fields (cs2_label) | Cria uma etiqueta de campo adicional a partir de cs2 e junta-a a additional.fields. |
| cs3 (com cs3Label) | additional.fields (cs3_label) | Cria uma etiqueta de campo adicional a partir de cs3 e junta-a. |
| cs4 (com cs4Label) | additional.fields (cs4_label) | Cria uma etiqueta de campo adicional a partir de cs4 e junta-a. |
| cs6 (com cs6Label) | additional.fields (cs6_label) | Cria uma etiqueta de campo adicional a partir de cs6 e junta-a. |
| (para eventos de estatísticas com base em event_name e vul_fields_present) | event_type | Deriva event_type para eventos Insight (por exemplo, SCAN_VULN_HOST, STATUS_UNCATEGORIZED, STATUS_UPDATE). |
| (para eventos de Event/Alert com base em ctdeventtype, has_principal_device, etc.) | event_type; (optionally target.resource.type or auth.type) | Deriva event_type para eventos de Event/Alert, como DEVICE_CONFIG_UPDATE, DEVICE_PROGRAM_DOWNLOAD/UPLOAD, NETWORK_UNCATEGORIZED, USER_RESOURCE_CREATION, SCAN_HOST, SCAN_NETWORK, SETTING_MODIFICATION, USER_LOGIN, NETWORK_CONNECTION ou STATUS_UPDATE. |
| (se event_type permanecer vazio) | event_type | Define event_type como NETWORK_CONNECTION, USER_RESOURCE_ACCESS ou STATUS_UPDATE com base nas flags disponíveis. |
| event_type (final) | metadata.event_type | Copia o event_type final para metadata.event_type; o valor predefinido é GENERIC_EVENT se estiver vazio. |
| device_vendor | metadata.vendor_name | Define metadata.vendor_name a partir de device_vendor; a predefinição é CLAROTY se estiver em falta. |
| device_product | metadata.product_name | Define metadata.product_name a partir de device_product; a predefinição é CTD se estiver em falta. |
| device_version | metadata.product_version | Define metadata.product_version a partir de device_version. |
security_description (se corresponder a ET TROJAN …) |
security_result.threat_name | Extrai threat_name através do padrão ET TROJAN (?P<threat_name>\S+) de security_description e mapeia-o para security_result.threat_name. |
| metadados | event.idm.read_only_udm.metadata | Muda o nome dos metadados para event.idm.read_only_udm.metadata. |
| capital | event.idm.read_only_udm.principal | Muda o nome do principal para event.idm.read_only_udm.principal. |
| alvo | event.idm.read_only_udm.target | Muda o nome do alvo para event.idm.read_only_udm.target. |
| rede | event.idm.read_only_udm.network | Muda o nome da rede para event.idm.read_only_udm.network. |
| adicional | event.idm.read_only_udm.additional | Muda o nome de additional para event.idm.read_only_udm.additional. |
| security_result | event.idm.read_only_udm.security_result | Mescla security_result em event.idm.read_only_udm.security_result. |
| acerca | event.idm.read_only_udm.about | Faz a união de about em event.idm.read_only_udm.about. |
| intermediário | event.idm.read_only_udm.intermediary | Mescla intermediary em event.idm.read_only_udm.intermediary. |
| vulns.vulnerabilities | event.idm.read_only_udm.extensions.vulns.vulnerabilities | Mescla vulns.vulnerabilities em event.idm.read_only_udm.extensions.vulns.vulnerabilities. |
| @output | evento | Mescla a estrutura completa do evento UDM no campo event final. |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.