Coletar registros do Claroty CTD
Este documento explica como ingerir registros do Continuous Threat Detection (CTD) da Claroty no Google Security Operations usando o Bindplane.
Antes de começar
- Verifique se você tem uma instância do Google Security Operations.
- Use o Windows 2016 ou uma versão mais recente ou um host Linux com
systemd
. - Se você estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas.
- Verifique se você tem acesso privilegiado ao Claroty CTD.
Receber o arquivo de autenticação de ingestão do Google SecOps
- Faça login no console do Google SecOps.
- Acesse Configurações do SIEM > Agentes de coleta.
- Baixe o arquivo de autenticação de ingestão. Salve o arquivo de forma segura no sistema em que o Bindplane será instalado.
Receber o ID do cliente do Google SecOps
- Faça login no console do Google SecOps.
- Acesse Configurações do SIEM > Perfil.
- Copie e salve o ID do cliente na seção Detalhes da organização.
Instalar o agente do Bindplane
Instalação do Windows
- Abra o Prompt de Comando ou o PowerShell como administrador.
Execute este comando:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Instalação do Linux
- Abra um terminal com privilégios de root ou sudo.
Execute este comando:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Outros recursos de instalação
- Para mais opções de instalação, consulte este guia de instalação.
Configurar o agente do Bindplane para ingerir o Syslog e enviar ao Google SecOps
Acesse o arquivo de configuração:
- Localize o arquivo
config.yaml
. Normalmente, ele fica no diretório/etc/bindplane-agent/
no Linux ou no diretório de instalação no Windows. - Abra o arquivo usando um editor de texto (por exemplo,
nano
,vi
ou Bloco de Notas).
- Localize o arquivo
Edite o arquivo
config.yaml
da seguinte forma:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: CLAROTY_CTD raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels
Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
Substitua
<customer_id>
pelo ID do cliente real.Atualize
/path/to/ingestion-authentication-file.json
para o caminho em que o arquivo de autenticação foi salvo na seção Receber arquivo de autenticação de ingestão do Google SecOps.
Reinicie o agente do Bindplane para aplicar as mudanças
Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:
sudo systemctl restart bindplane-agent
Para reiniciar o agente do Bindplane no Windows, use o console Serviços ou insira o seguinte comando:
net stop BindPlaneAgent && net start BindPlaneAgent
Configurar o Syslog no Claroty Continuous Threat Detection (CTD)
- Faça login na interface da Web do Claroty CTD.
- Acesse Menu > Integrações > Syslog.
- Repita as etapas a seguir para cada tipo de conteúdo da mensagem do syslog:
- Alertas
- Eventos
- Monitoramento da integridade
- Insights
- Registros de atividades
- Vulnerabilidades
- Clique em + para adicionar uma nova configuração.
- No menu Conteúdo da mensagem, selecione o conteúdo necessário para exportar.
- Informe os seguintes detalhes de configuração:
- Categoria: selecione Todas.
- Tipo: selecione Selecionar todos.
- Formato: selecione CEF (mais recente).
- URL do sistema: não atualize o URL/IP do sistema, a menos que você esteja usando um servidor proxy.
- Enviar para: selecione Servidor Syslog externo (por exemplo, sistemas SIEM, SOAR).
- Fornecedor: selecione Outro.
- IP do servidor Syslog: insira o endereço IP do agente do Bindplane.
- Porta: insira a porta do agente do Bindplane, por exemplo,
514
. - Protocolo: selecione UDP. Outras opções incluem TCP, TLS ou mTLS, dependendo da configuração do Bindplane.
- Clique em Salvar.
Tabela de mapeamento do UDM
Campo de registro | Mapeamento do UDM | Lógica |
---|---|---|
CtdRealTime | metadata.event_timestamp | Analisado usando MMM dd yyyy HH:mm:ss de CtdRealTime e usado como o carimbo de data/hora do evento. |
CtdTimeGenerated | metadata.event_timestamp | Se CtdRealTime estiver vazio, será analisado usando MMM dd yyyy HH:mm:ss de CtdTimeGenerated para definir o carimbo de data/hora do evento. |
CtdMessage | metadata.description | Define metadata.description do campo CtdMessage. |
CtdMessage | security_result.description | Define security_result.description do campo CtdMessage quando aplicável. |
Port (from CtdMessage KV) | principal.port | Extraído da chave Port em CtdMessage, convertido em número inteiro e definido como principal.port. |
Categoria (da chave-valor CtdMessage) | security_result.detection_fields (Category_label) | Extraído de CtdMessage como chave Category e mesclado em campos de detecção. |
Acesso (da chave-valor CtdMessage) | security_result.detection_fields (Access_label) | Extraído de CtdMessage como chave Access e mesclado em campos de detecção. |
CtdSite | principal.hostname | Mapeia CtdSite para principal.hostname. |
CtdSite | principal.asset.hostname | Mapeia CtdSite para principal.asset.hostname. |
CtdCpu | principal.resource.attribute.labels (CtdCpu_label) | Cria um rótulo com a chave CtdCpu usando o valor de CtdCpu e o mescla em principal.resource.attribute.labels. |
CtdMem | principal.resource.attribute.labels (CtdMem_label) | Cria um rótulo com a chave CtdMem usando o valor de CtdMem e o mescla em principal.resource.attribute.labels. |
CtdUsedOptIcsranger | principal.resource.attribute.labels (CtdUsedOptIcsranger_label) | Cria e mescla um marcador de CtdUsedOptIcsranger. |
CtdUsedVar | principal.resource.attribute.labels (CtdUsedVar_label) | Cria e mescla um marcador de CtdUsedVar. |
CtdUsedTmp | principal.resource.attribute.labels (CtdUsedTmp_label) | Cria e mescla um marcador de CtdUsedTmp. |
CtdUsedEtc | principal.resource.attribute.labels (CtdUsedEtc_label) | Cria e mescla um marcador de CtdUsedEtc. |
CtdBusyFd | principal.resource.attribute.labels (CtdBusyFd_label) | Cria e mescla um rótulo de CtdBusyFd. |
CtdBusySda | principal.resource.attribute.labels (CtdBusySda_label) | Cria e mescla um rótulo de CtdBusySda. |
CtdBusySdaA | principal.resource.attribute.labels (CtdBusySdaA_label) | Cria e mescla um marcador de CtdBusySdaA. |
CtdBusySdaB | principal.resource.attribute.labels (CtdBusySdaB_label) | Cria e mescla um marcador de CtdBusySdaB. |
CtdBusySr | principal.resource.attribute.labels (CtdBusySr_label) | Cria e mescla um rótulo de CtdBusySr. |
CtdBusyDm | principal.resource.attribute.labels (CtdBusyDm_label) | Cria e mescla um rótulo de CtdBusyDm. |
CtdBusyDmA | principal.resource.attribute.labels (CtdBusyDmA_label) | Cria e mescla um marcador de CtdBusyDmA. |
CtdQuPreprocessingNg | principal.resource.attribute.labels (CtdQuPreprocessingNg_label) | Cria e mescla um marcador de CtdQuPreprocessingNg. |
CtdQuBaselineTracker | principal.resource.attribute.labels (CtdQuBaselineTracker_label) | Cria e mescla um marcador de CtdQuBaselineTracker. |
CtdQuBridge | principal.resource.attribute.labels (CtdQuBridge_label) | Cria e mescla um marcador de CtdQuBridge. |
CtdQuCentralBridge | principal.resource.attribute.labels (CtdQuCentralBridge_label) | Cria e mescla um marcador de CtdQuCentralBridge. |
CtdQuConcluding | principal.resource.attribute.labels (CtdQuConcluding_label) | Cria e mescla um marcador de CtdQuConcluding. |
CtdQuDiodeFeeder | principal.resource.attribute.labels (CtdQuDiodeFeeder_label) | Cria e mescla um marcador de CtdQuDiodeFeeder. |
CtdQuDissector | principal.resource.attribute.labels (CtdQuDissector_label) | Cria e mescla um marcador de CtdQuDissector. |
CtdQuDissectorA | principal.resource.attribute.labels (CtdQuDissectorA_label) | Cria e mescla um marcador de CtdQuDissectorA. |
CtdQuDissectorNg | principal.resource.attribute.labels (CtdQuDissectorNg_label) | Cria e mescla um marcador de CtdQuDissectorNg. |
CtdQuIndicatorService | principal.resource.attribute.labels (CtdQuIndicatorService_label) | Cria e mescla um rótulo do CtdQuIndicatorService. |
CtdQuLeecher | principal.resource.attribute.labels (CtdQuLeecher_label) | Cria e mescla um marcador de CtdQuLeecher. |
CtdQuMonitor | principal.resource.attribute.labels (CtdQuMonitor_label) | Cria e mescla um rótulo de CtdQuMonitor. |
CtdQuNetworkStatistics | principal.resource.attribute.labels (CtdQuNetworkStatistics_label) | Cria e mescla um rótulo de CtdQuNetworkStatistics. |
CtdQuPackets | principal.resource.attribute.labels (CtdQuPackets_label) | Cria e mescla um marcador de CtdQuPackets. |
CtdQuPacketsErrors | principal.resource.attribute.labels (CtdQuPacketsErrors_label) | Cria e mescla um marcador de CtdQuPacketsErrors. |
CtdQuPreprocessing | principal.resource.attribute.labels (CtdQuPreprocessing_label) | Cria e mescla um rótulo de CtdQuPreprocessing. |
CtdQuPriorityProcessing | principal.resource.attribute.labels (CtdQuPriorityProcessing_label) | Cria e mescla um marcador de CtdQuPriorityProcessing. |
CtdQuProcessing | principal.resource.attribute.labels (CtdQuProcessing_label) | Cria e mescla um rótulo de CtdQuProcessing. |
CtdQuProcessingHigh | principal.resource.attribute.labels (CtdQuProcessingHigh_label) | Cria e mescla um rótulo de CtdQuProcessingHigh. |
CtdQuZordonUpdates | principal.resource.attribute.labels (CtdQuZordonUpdates_label) | Cria e mescla um marcador de CtdQuZordonUpdates. |
CtdQuStatisticsNg | principal.resource.attribute.labels (CtdQuStatisticsNg_label) | Cria e mescla um marcador de CtdQuStatisticsNg. |
CtdQueuePurge | principal.resource.attribute.labels (CtdQueuePurge_label) | Cria e mescla um marcador de CtdQueuePurge. |
CtdQuSyslogAlerts | principal.resource.attribute.labels (CtdQuSyslogAlerts_label) | Cria e mescla um marcador de CtdQuSyslogAlerts. |
CtdQuSyslogEvents | principal.resource.attribute.labels (CtdQuSyslogEvents_label) | Cria e mescla um marcador de CtdQuSyslogEvents. |
CtdQuSyslogInsights | principal.resource.attribute.labels (CtdQuSyslogInsights_label) | Cria e mescla um marcador de CtdQuSyslogInsights. |
CtdRdDissector | principal.resource.attribute.labels (CtdRdDissector_label) | Cria e mescla um rótulo de CtdRdDissector. |
CtdRdDissectorA | principal.resource.attribute.labels (CtdRdDissectorA_label) | Cria e mescla um rótulo de CtdRdDissectorA. |
CtdRdDissectorNg | principal.resource.attribute.labels (CtdRdDissectorNg_label) | Cria e mescla um marcador de CtdRdDissectorNg. |
CtdRdPreprocessing | principal.resource.attribute.labels (CtdRdPreprocessing_label) | Cria e mescla um rótulo de CtdRdPreprocessing. |
CtdRdPreprocessingNg | principal.resource.attribute.labels (CtdRdPreprocessingNg_label) | Cria e mescla um marcador de CtdRdPreprocessingNg. |
CtdSvcMariaDb | principal.resource.attribute.labels (CtdSvcMariaDb_label) | Cria e mescla um rótulo de CtdSvcMariaDb. |
CtdSvcPostgres | principal.resource.attribute.labels (CtdSvcPostgres_label) | Cria e mescla um marcador de CtdSvcPostgres. |
CtdSvcRedis | principal.resource.attribute.labels (CtdSvcRedis_label) | Cria e mescla um marcador do CtdSvcRedis. |
CtdSvcRabbitMq | principal.resource.attribute.labels (CtdSvcRabbitMq_label) | Cria e mescla um marcador de CtdSvcRabbitMq. |
CtdSvcIcsranger | principal.resource.attribute.labels (CtdSvcIcsranger_label) | Cria e mescla um rótulo de CtdSvcIcsranger. |
CtdSvcWatchdog | principal.resource.attribute.labels (CtdSvcWatchdog_label) | Cria e mescla um rótulo do CtdSvcWatchdog. |
CtdSvcFirewalld | principal.resource.attribute.labels (CtdSvcFirewalld_label) | Cria e mescla um marcador de CtdSvcFirewalld. |
CtdSvcNetunnel | principal.resource.attribute.labels (CtdSvcNetunnel_label) | Cria e mescla um marcador de CtdSvcNetunnel. |
CtdSvcJwthenticator | principal.resource.attribute.labels (CtdSvcJwthenticator_label) | Cria um marcador de CtdSvcJwthenticator e o mescla. |
CtdSvcDocker | principal.resource.attribute.labels (CtdSvcDocker_label) | Cria e mescla um rótulo de CtdSvcDocker. |
CtdExceptions | principal.resource.attribute.labels (CtdExceptions_label) | Cria um rótulo de CtdExceptions e o mescla. |
CtdInputPacketDrops | principal.resource.attribute.labels (CtdInputPacketDrops_label) | Cria e mescla um rótulo de CtdInputPacketDrops. |
CtdOutputPacketDrops | principal.resource.attribute.labels (CtdOutputPacketDrops_label) | Cria e mescla um marcador de CtdOutputPacketDrops. |
CtdFullOutputPacketDrops | principal.resource.attribute.labels (CtdFullOutputPacketDrops_label) | Cria e mescla um marcador de CtdFullOutputPacketDrops. |
CtdDissectorNgPacketDrops | principal.resource.attribute.labels (CtdDissectorNgPacketDrops_label) | Cria e mescla um rótulo de CtdDissectorNgPacketDrops. |
CtdTagArtifactsDropsPreprocessor | principal.resource.attribute.labels (CtdTagArtifactsDropsPreprocessor_label) | Cria e mescla um rótulo de CtdTagArtifactsDropsPreprocessor. |
CtdTagArtifactsDropsPreprocessorSum | principal.resource.attribute.labels (CtdTagArtifactsDropsPreprocessorSum_label) | Cria e mescla um rótulo de CtdTagArtifactsDropsPreprocessorSum. |
CtdTagArtifactsDropsProcessor | principal.resource.attribute.labels (CtdTagArtifactsDropsProcessor_label) | Cria e mescla um marcador de CtdTagArtifactsDropsProcessor. |
CtdTagArtifactsDropsProcessorSum | principal.resource.attribute.labels (CtdTagArtifactsDropsProcessorSum_label) | Cria um marcador de CtdTagArtifactsDropsProcessorSum e o mescla. |
CtdTagArtifactsDropsSniffer | principal.resource.attribute.labels (CtdTagArtifactsDropsSniffer_label) | Cria e mescla um rótulo de CtdTagArtifactsDropsSniffer. |
CtdTagArtifactsDropsSnifferSum | principal.resource.attribute.labels (CtdTagArtifactsDropsSnifferSum_label) | Cria e mescla um rótulo de CtdTagArtifactsDropsSnifferSum. |
CtdTagArtifactsDropsDissectorPypy | principal.resource.attribute.labels (CtdTagArtifactsDropsDissectorPypy_label) | Cria e mescla um marcador de CtdTagArtifactsDropsDissectorPypy. |
CtdTagArtifactsDropsDissectorPypySum | principal.resource.attribute.labels (CtdTagArtifactsDropsDissectorPypySum_label) | Cria e mescla um rótulo de CtdTagArtifactsDropsDissectorPypySum. |
CtdCapsaverFolderCleanup | principal.resource.attribute.labels (CtdCapsaverFolderCleanup_label) | Cria e mescla um marcador de CtdCapsaverFolderCleanup. |
CtdCapsaverUtilzationTest | principal.resource.attribute.labels (CtdCapsaverUtilzationTest_label) | Cria e mescla um rótulo de CtdCapsaverUtilzationTest. |
CtdYaraScannerTest | principal.resource.attribute.labels (CtdYaraScannerTest_label) | Cria e mescla um marcador de CtdYaraScannerTest. |
CtdWrkrWorkersStop | principal.resource.attribute.labels (CtdWrkrWorkersStop_label) | Cria e mescla um marcador de CtdWrkrWorkersStop. |
CtdWrkrWorkersRestart | principal.resource.attribute.labels (CtdWrkrWorkersRestart_label) | Cria e mescla um marcador de CtdWrkrWorkersRestart. |
CtdWrkrActiveExecuter | principal.resource.attribute.labels (CtdWrkrActiveExecuter_label) | Cria e mescla um rótulo de CtdWrkrActiveExecuter. |
CtdWrkrSensor | principal.resource.attribute.labels (CtdWrkrSensor_label) | Cria e mescla um rótulo de CtdWrkrSensor. |
CtdWrkrAuthentication | principal.resource.attribute.labels (CtdWrkrAuthentication_label) | Cria e mescla um rótulo de CtdWrkrAuthentication. |
CtdWrkrMitre | principal.resource.attribute.labels (CtdWrkrMitre_label) | Cria e mescla um marcador de CtdWrkrMitre. |
CtdWrkrNotifications | principal.resource.attribute.labels (CtdWrkrNotifications_label) | Cria e mescla um marcador de CtdWrkrNotifications. |
CtdWrkrProcessor | principal.resource.attribute.labels (CtdWrkrProcessor_label) | Cria e mescla um marcador de CtdWrkrProcessor. |
CtdWrkrCloudAgent | principal.resource.attribute.labels (CtdWrkrCloudAgent_label) | Cria e mescla um marcador de CtdWrkrCloudAgent. |
CtdWrkrCloudClient | principal.resource.attribute.labels (CtdWrkrCloudClient_label) | Cria e mescla um marcador de CtdWrkrCloudClient. |
CtdWrkrScheduler | principal.resource.attribute.labels (CtdWrkrScheduler_label) | Cria e mescla um marcador de CtdWrkrScheduler. |
CtdWrkrknownThreats | principal.resource.attribute.labels (CtdWrkrknownThreats_label) | Cria e mescla um marcador de CtdWrkrknownThreats. |
CtdWrkrCacher | principal.resource.attribute.labels (CtdWrkrCacher_label) | Cria e mescla um rótulo de CtdWrkrCacher. |
CtdWrkrInsights | principal.resource.attribute.labels (CtdWrkrInsights_label) | Cria e mescla um marcador de CtdWrkrInsights. |
CtdWrkrActive | principal.resource.attribute.labels (CtdWrkrActive_label) | Cria e mescla um rótulo de CtdWrkrActive. |
CtdWrkrEnricher | principal.resource.attribute.labels (CtdWrkrEnricher_label) | Cria e mescla um rótulo de CtdWrkrEnricher. |
CtdWrkrIndicators | principal.resource.attribute.labels (CtdWrkrIndicators_label) | Cria e mescla um marcador de CtdWrkrIndicators. |
CtdWrkrIndicatorsApi | principal.resource.attribute.labels (CtdWrkrIndicatorsApi_label) | Cria e mescla um marcador da CtdWrkrIndicatorsApi. |
CtdWrkrConcluder | principal.resource.attribute.labels (CtdWrkrConcluder_label) | Cria e mescla um marcador de CtdWrkrConcluder. |
CtdWrkrPreprocessor | principal.resource.attribute.labels (CtdWrkrPreprocessor_label) | Cria e mescla um marcador de CtdWrkrPreprocessor. |
CtdWrkrLeecher | principal.resource.attribute.labels (CtdWrkrLeecher_label) | Cria e mescla um marcador de CtdWrkrLeecher. |
CtdWrkrSyncManager | principal.resource.attribute.labels (CtdWrkrSyncManager_label) | Cria e mescla um rótulo de CtdWrkrSyncManager. |
CtdWrkrBridge | principal.resource.attribute.labels (CtdWrkrBridge_label) | Cria e mescla um marcador de CtdWrkrBridge. |
CtdWrkrWebRanger | principal.resource.attribute.labels (CtdWrkrWebRanger_label) | Cria e mescla um marcador de CtdWrkrWebRanger. |
CtdWrkrWebWs | principal.resource.attribute.labels (CtdWrkrWebWs_label) | Cria e mescla um marcador de CtdWrkrWebWs. |
CtdWrkrWebAuth | principal.resource.attribute.labels (CtdWrkrWebAuth_label) | Cria e mescla um marcador de CtdWrkrWebAuth. |
CtdWrkrWebNginx | principal.resource.attribute.labels (CtdWrkrWebNginx_label) | Cria e mescla um marcador de CtdWrkrWebNginx. |
CtdWrkrConfigurator | principal.resource.attribute.labels (CtdWrkrConfigurator_label) | Cria e mescla um rótulo de CtdWrkrConfigurator. |
CtdWrkrConfiguratorNginx | principal.resource.attribute.labels (CtdWrkrConfiguratorNginx_label) | Cria e mescla um rótulo de CtdWrkrConfiguratorNginx. |
CtdWrkrCapsaver | principal.resource.attribute.labels (CtdWrkrCapsaver_label) | Cria e mescla um marcador de CtdWrkrCapsaver. |
CtdWrkrBaselineTracker | principal.resource.attribute.labels (CtdWrkrBaselineTracker_label) | Cria e mescla um marcador de CtdWrkrBaselineTracker. |
CtdWrkrDissector | principal.resource.attribute.labels (CtdWrkrDissector_label) | Cria e mescla um rótulo de CtdWrkrDissector. |
CtdWrkrDissectorA | principal.resource.attribute.labels (CtdWrkrDissectorA_label) | Cria e mescla um rótulo de CtdWrkrDissectorA. |
CtdWrkrDissectorNg | principal.resource.attribute.labels (CtdWrkrDissectorNg_label) | Cria e mescla um marcador de CtdWrkrDissectorNg. |
CtdWrkrPreprocessing | principal.resource.attribute.labels (CtdWrkrPreprocessing_label) | Cria e mescla um rótulo de CtdWrkrPreprocessing. |
CtdWrkrPreprocessingNg | principal.resource.attribute.labels (CtdWrkrPreprocessingNg_label) | Cria e mescla um rótulo de CtdWrkrPreprocessingNg. |
CtdWrkrStatisticsNg | principal.resource.attribute.labels (CtdWrkrStatisticsNg_label) | Cria e mescla um marcador de CtdWrkrStatisticsNg. |
CtdWrkrSyslogAlerts | principal.resource.attribute.labels (CtdWrkrSyslogAlerts_label) | Cria e mescla um marcador de CtdWrkrSyslogAlerts. |
CtdWrkrSyslogEvents | principal.resource.attribute.labels (CtdWrkrSyslogEvents_label) | Cria e mescla um marcador de CtdWrkrSyslogEvents. |
CtdWrkrSyslogInsights | principal.resource.attribute.labels (CtdWrkrSyslogInsights_label) | Cria e mescla um marcador de CtdWrkrSyslogInsights. |
CtdWrkrRdDissector | principal.resource.attribute.labels (CtdWrkrRdDissector_label) | Cria e mescla um rótulo de CtdWrkrRdDissector. |
CtdWrkrRdDissectorA | principal.resource.attribute.labels (CtdWrkrRdDissectorA_label) | Cria e mescla um marcador de CtdWrkrRdDissectorA. |
CtdSensorName | principal.resource.attribute.labels (CtdSensorName_label) | Cria um marcador com base em CtdSensorName e o mescla. |
CtdCtrlSite | principal.resource.attribute.labels (CtdCtrlSite_label) | Cria e mescla um marcador de CtdCtrlSite. |
CtdLoopCallDurationBaselineTrackerWrkerHandleNetworkStatistics | principal.resource.attribute.labels (CtdLoopCallDurationBaselineTrackerWrkerHandleNetworkStatistics_label) | Cria e mescla um marcador de CtdLoopCallDurationBaselineTrackerWrkerHandleNetworkStatistics. |
CtdDissectionCoverage | principal.resource.attribute.labels (CtdDissectionCoverage_label) | Cria e mescla um marcador de CtdDissectionCoverage. |
CtdDissectionEfficiencyModbus | principal.resource.attribute.labels (CtdDissectionEfficiencyModbus_label) | Cria e mescla um marcador de CtdDissectionEfficiencyModbus. |
CtdDissectionEfficiencySmb | principal.resource.attribute.labels (CtdDissectionEfficiencySmb_label) | Cria e mescla um rótulo de CtdDissectionEfficiencySmb. |
CtdDissectionEfficiencyDcerpc | principal.resource.attribute.labels (CtdDissectionEfficiencyDcerpc_label) | Cria e mescla um rótulo de CtdDissectionEfficiencyDcerpc. |
CtdDissectionEfficiencyZabbix | principal.resource.attribute.labels (CtdDissectionEfficiencyZabbix_label) | Cria e mescla um rótulo de CtdDissectionEfficiencyZabbix. |
CtdDissectionEfficiencyFactorytalkRna | principal.resource.attribute.labels (CtdDissectionEfficiencyFactorytalkRna_label) | Cria e mescla um marcador de CtdDissectionEfficiencyFactorytalkRna. |
CtdDissectionEfficiencySsl | principal.resource.attribute.labels (CtdDissectionEfficiencySsl_label) | Cria e mescla um rótulo de CtdDissectionEfficiencySsl. |
CtdDissectionEfficiencyVrrpProtocolMatcher | principal.resource.attribute.labels (CtdDissectionEfficiencyVrrpProtocolMatcher_label) | Cria e mescla um rótulo de "CtdDissectionEfficiencyVrrpProtocolMatcher". |
CtdDissectionEfficiencyRdp | principal.resource.attribute.labels (CtdDissectionEfficiencyRdp_label) | Cria e mescla um marcador de CtdDissectionEfficiencyRdp. |
CtdDissectionEfficiencySsh | principal.resource.attribute.labels (CtdDissectionEfficiencySsh_label) | Cria e mescla um rótulo de CtdDissectionEfficiencySsh. |
CtdDissectionEfficiencyHttp | principal.resource.attribute.labels (CtdDissectionEfficiencyHttp_label) | Cria e mescla um rótulo de CtdDissectionEfficiencyHttp. |
CtdDissectionEfficiencyTcpHttp | principal.resource.attribute.labels (CtdDissectionEfficiencyTcpHttp_label) | Cria e mescla um rótulo de CtdDissectionEfficiencyTcpHttp. |
CtdDissectionEfficiencyLdap | principal.resource.attribute.labels (CtdDissectionEfficiencyLdap_label) | Cria e mescla um rótulo de CtdDissectionEfficiencyLdap. |
CtdDissectionEfficiencyJrmi | principal.resource.attribute.labels (CtdDissectionEfficiencyJrmi_label) | Cria e mescla um marcador de CtdDissectionEfficiencyJrmi. |
CtdDissectionEfficiencyGeIfix | principal.resource.attribute.labels (CtdDissectionEfficiencyGeIfix_label) | Cria e mescla um marcador de CtdDissectionEfficiencyGeIfix. |
CtdDissectionEfficiencyLlc | principal.resource.attribute.labels (CtdDissectionEfficiencyLlc_label) | Cria e mescla um rótulo de CtdDissectionEfficiencyLlc. |
CtdDissectionEfficiencyMatrikonNopc | principal.resource.attribute.labels (CtdDissectionEfficiencyMatrikonNopc_label) | Cria e mescla um rótulo de CtdDissectionEfficiencyMatrikonNopc. |
CtdDissectionEfficiencyVnc | principal.resource.attribute.labels (CtdDissectionEfficiencyVnc_label) | Cria e mescla um rótulo de CtdDissectionEfficiencyVnc. |
CtdUnhandledEvents | principal.resource.attribute.labels (CtdUnhandledEvents_label) | Cria um rótulo de CtdUnhandledEvents e o mescla. |
CtdConcludeTime | principal.resource.attribute.labels (CtdConcludeTime_label) | Cria e mescla um marcador de CtdConcludeTime. |
CtdMysqlQuery | principal.resource.attribute.labels (CtdMysqlQuery_label) | Cria e mescla um marcador de CtdMysqlQuery. |
CtdPostgresQuery | principal.resource.attribute.labels (CtdPostgresQuery_label) | Cria e mescla um marcador de CtdPostgresQuery. |
CtdPsqlIdleSessions | principal.resource.attribute.labels (CtdPsqlIdleSessions_label) | Cria e mescla um marcador de CtdPsqlIdleSessions. |
CtdPsqlIdleInTransactionSessions | principal.resource.attribute.labels (CtdPsqlIdleInTransactionSessions_label) | Cria e mescla um rótulo de CtdPsqlIdleInTransactionSessions. |
CtdSnifferStatus | principal.resource.attribute.labels (CtdSnifferStatus_label) | Cria e mescla um marcador de CtdSnifferStatus. |
CtdLoopCallDurationPollObjects | principal.resource.attribute.labels (CtdLoopCallDurationPollObjects_label) | Cria um marcador de CtdLoopCallDurationPollObjects e o mescla. |
CtdLoopCallDurationCloudClientWrkrBaseRunCloudConnected | principal.resource.attribute.labels (CtdLoopCallDurationCloudClientWrkrBaseRunCloudConnected_label) | Cria e mescla um rótulo de CtdLoopCallDurationCloudClientWrkrBaseRunCloudConnected. |
CtdSnifferStatusCentral | principal.resource.attribute.labels (CtdSnifferStatusCentral_label) | Cria e mescla um rótulo de CtdSnifferStatusCentral. |
CtdSnifferStatusSite | principal.resource.attribute.labels (CtdSnifferStatusSite_label) | Cria e mescla um marcador de CtdSnifferStatusSite. |
CtdWrkrMailer | principal.resource.attribute.labels (CtdWrkrMailer_label) | Cria e mescla um marcador de CtdWrkrMailer. |
CtdDroppedEntities | principal.resource.attribute.labels (CtdDroppedEntities_label) | Cria e mescla um marcador de CtdDroppedEntities. |
externalId | metadata.product_log_id | Mapeia externalId para metadata.product_log_id. |
proto | protocol_number_src | Converte o proto em maiúsculas e o atribui a protocol_number_src para pesquisa. |
protocol_number_src | ip_protocol_out; app_protocol_out | Inicializa ip_protocol_out como UNKNOWN_IP_PROTOCOL e app_protocol_out como UNKNOWN_APPLICATION_PROTOCOL e, em seguida, atualiza com base na pesquisa. |
ip_protocol_out | network.ip_protocol | Define network.ip_protocol de ip_protocol_out. |
app_protocol_out | network.application_protocol | Define network.application_protocol de app_protocol_out. |
CtdExternalId | metadata.product_log_id | Substitui metadata.product_log_id por CtdExternalId, se fornecido. |
CtdDeviceExternalId | principal.resource.attribute.labels (ctd_device_label) | Cria e mescla um rótulo de CtdDeviceExternalId (com o prefixo CtdDeviceExternalId ). |
(if has_principal_device is true and ctdeventtype = Login ) |
security_result.category; security_result.action | Para eventos de login, define security_result.category como AUTH_VIOLATION e a ação como BLOCK . |
(if has_principal_device is true and ctdeventtype = Memory Reset ) |
security_result.category | Define security_result.category como SOFTWARE_SUSPICIOUS . |
(se target_machine_id_present for verdadeiro, has_principal_device for verdadeiro e ctdeventtype estiver em [Known Threat Alert , Known Threat Event , Man-in-the-Middle Attack , Suspicious Activity ]) |
security_result.category | Define security_result.category como NETWORK_MALICIOUS . |
(if target_machine_id_present is true, has_principal_device is true, and ctdeventtype = Suspicious File Transfer ) |
security_result.category | Define security_result.category como NETWORK_SUSPICIOUS . |
(if target_machine_id_present is true, has_principal_device is true, and ctdeventtype = Denial Of Service ) |
security_result.category | Define security_result.category como NETWORK_DENIAL_OF_SERVICE . |
(if has_principal_device is true and ctdeventtype in [Host Scan , Port Scan ]) |
security_result.category | Define security_result.category como NETWORK_RECON . |
(if target_machine_id_present is true, has_principal_device is true, and ctdeventtype in [Policy Rule Match , Policy Violation Alert , Policy Violation ]) |
security_result.category | Define security_result.category como POLICY_VIOLATION . |
(padrão se has_principal_device for "true") | security_result.category | Define security_result.category como NETWORK_SUSPICIOUS por padrão. |
security_result_category derivada | security_result.category | Mescla a categoria de segurança derivada em security_result.category. |
Derived security_result_action | security_result.action | Mescla a ação de segurança derivada em security_result.action (se definida). |
cs6 (com cs6Label CTDlink ) |
metadata.url_back_to_product; security_result.url_back_to_product | Define campos de URL do cs6 para backlinks aos detalhes do produto. |
cs1 (com cs1Label SourceAssetType ) |
principal.asset.category; principal.asset.type | Define principal.asset.category de cs1 e determina principal.asset.type com base no valor. |
cs2 (com cs2Label DestAssetType ) |
target.asset.category; target.asset.type | Define target.asset.category de cs2 e determina target.asset.type com base no valor dele. |
cfp1 (com cfp1Label CVEScore ) |
vulns.vulnerabilities.cvss_base_score | Define vulns.vulnerabilities.cvss_base_score (convertido para ponto flutuante) e marca vul_fields_present como verdadeiro. |
cs6 (com cs6Label CVE ) |
vulns.vulnerabilities.cve_id | Define vulns.vulnerabilities.cve_id e marca vul_fields_present como verdadeiro. |
cn1 (com cn1Label IndicatorScore ) |
security_result.confidence_score | Extrai a pontuação do indicador de cn1, converte em ponto flutuante e atribui como a pontuação de confiança. |
filepath | about.file.full_path; security_result.about.file.full_path | Mapeia o caminho do arquivo para "about.file.full_path" e "security_result.about.file.full_path". |
(if eventclass = HealthCheck and cs1Label = Site ) |
intermediary.location.name | Define intermediary.location.name de cs1 quando usado como um identificador de site. |
cn1 (com cn1Label) | additional.fields (cn1_label) | Cria um rótulo de campo adicional de cn1 e o mescla em additional.fields. |
cs1 (com cs1Label) | additional.fields (cs1_label) | Cria um rótulo de campo adicional de cs1 e o mescla em additional.fields. |
cs2 (com cs2Label) | additional.fields (cs2_label) | Cria um rótulo de campo adicional do cs2 e o mescla em additional.fields. |
cs3 (com cs3Label) | additional.fields (cs3_label) | Cria e mescla um rótulo de campo adicional do cs3. |
cs4 (com cs4Label) | additional.fields (cs4_label) | Cria e mescla um rótulo de campo adicional do cs4. |
cs6 (com cs6Label) | additional.fields (cs6_label) | Cria e mescla um rótulo de campo adicional do cs6. |
(para eventos de insight com base em event_name e vul_fields_present) | event_type | Deriva event_type para eventos de insight (por exemplo, SCAN_VULN_HOST, STATUS_UNCATEGORIZED, STATUS_UPDATE). |
(para eventos de evento/alerta com base em ctdeventtype, has_principal_device etc.) | event_type; (opcionalmente target.resource.type ou auth.type) | Deriva o event_type para eventos de evento/alerta, como DEVICE_CONFIG_UPDATE, DEVICE_PROGRAM_DOWNLOAD/UPLOAD, NETWORK_UNCATEGORIZED, USER_RESOURCE_CREATION, SCAN_HOST, SCAN_NETWORK, SETTING_MODIFICATION, USER_LOGIN, NETWORK_CONNECTION ou STATUS_UPDATE. |
(se event_type permanecer vazio) | event_type | Define event_type como NETWORK_CONNECTION, USER_RESOURCE_ACCESS ou STATUS_UPDATE com base nas flags disponíveis. |
event_type (final) | metadata.event_type | Copia o event_type final para metadata.event_type. O padrão é GENERIC_EVENT se estiver vazio. |
device_vendor | metadata.vendor_name | Define metadata.vendor_name de device_vendor. O padrão é CLAROTY se estiver faltando. |
device_product | metadata.product_name | Define metadata.product_name de device_product. O padrão é CTD se estiver faltando. |
device_version | metadata.product_version | Define metadata.product_version com base em device_version. |
security_description (se corresponder a ET TROJAN … ) |
security_result.threat_name | Extrai threat_name usando o padrão ET TROJAN (?P<threat_name>\S+) de security_description e o mapeia para security_result.threat_name. |
metadados | event.idm.read_only_udm.metadata | Renomeia os metadados para event.idm.read_only_udm.metadata. |
participante | event.idm.read_only_udm.principal | Renomeia o principal para event.idm.read_only_udm.principal. |
target | event.idm.read_only_udm.target | Renomeia o destino para event.idm.read_only_udm.target. |
rede | event.idm.read_only_udm.network | Renomeia a rede para event.idm.read_only_udm.network. |
adicional | event.idm.read_only_udm.additional | Renomeia "additional" para "event.idm.read_only_udm.additional". |
security_result | event.idm.read_only_udm.security_result | Mescla security_result em event.idm.read_only_udm.security_result. |
sobre | event.idm.read_only_udm.about | Mescla "about" em "event.idm.read_only_udm.about". |
intermediário | event.idm.read_only_udm.intermediary | Mescla "intermediary" em "event.idm.read_only_udm.intermediary". |
vulns.vulnerabilities | event.idm.read_only_udm.extensions.vulns.vulnerabilities | Mescla vulns.vulnerabilities em event.idm.read_only_udm.extensions.vulns.vulnerabilities. |
@output | evento | Mescla a estrutura completa de eventos da UDM no campo event final. |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.