Coletar registros do Claroty CTD
Compatível com:
Google SecOps
SIEM
Este documento explica como ingerir registros do Continuous Threat Detection (CTD) da Claroty no Google Security Operations usando o Bindplane.
Antes de começar
- Verifique se você tem uma instância do Google Security Operations.
- Use o Windows 2016 ou uma versão mais recente ou um host Linux com
systemd. - Se você estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas.
- Verifique se você tem acesso privilegiado ao Claroty CTD.
Receber o arquivo de autenticação de ingestão do Google SecOps
- Faça login no console do Google SecOps.
- Acesse Configurações do SIEM > Agentes de coleta.
- Baixe o arquivo de autenticação de ingestão. Salve o arquivo de forma segura no sistema em que o Bindplane será instalado.
Receber o ID do cliente do Google SecOps
- Faça login no console do Google SecOps.
- Acesse Configurações do SIEM > Perfil.
- Copie e salve o ID do cliente na seção Detalhes da organização.
Instalar o agente do Bindplane
Instalação do Windows
- Abra o Prompt de Comando ou o PowerShell como administrador.
Execute este comando:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Instalação do Linux
- Abra um terminal com privilégios de root ou sudo.
Execute este comando:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Outros recursos de instalação
- Para mais opções de instalação, consulte este guia de instalação.
Configurar o agente do Bindplane para ingerir o Syslog e enviar ao Google SecOps
Acesse o arquivo de configuração:
- Localize o arquivo
config.yaml. Normalmente, ele fica no diretório/etc/bindplane-agent/no Linux ou no diretório de instalação no Windows. - Abra o arquivo usando um editor de texto (por exemplo,
nano,viou Bloco de Notas).
- Localize o arquivo
Edite o arquivo
config.yamlda seguinte forma:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: CLAROTY_CTD raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labelsSubstitua a porta e o endereço IP conforme necessário na sua infraestrutura.
Substitua
<customer_id>pelo ID do cliente real.Atualize
/path/to/ingestion-authentication-file.jsonpara o caminho em que o arquivo de autenticação foi salvo na seção Receber arquivo de autenticação de ingestão do Google SecOps.
Reinicie o agente do Bindplane para aplicar as mudanças
Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:
sudo systemctl restart bindplane-agentPara reiniciar o agente do Bindplane no Windows, use o console Serviços ou insira o seguinte comando:
net stop BindPlaneAgent && net start BindPlaneAgent
Configurar o Syslog no Claroty Continuous Threat Detection (CTD)
- Faça login na interface da Web do Claroty CTD.
- Acesse Menu > Integrações > Syslog.
- Repita as etapas a seguir para cada tipo de conteúdo da mensagem do syslog:
- Alertas
- Eventos
- Monitoramento da integridade
- Insights
- Registros de atividades
- Vulnerabilidades
- Clique em + para adicionar uma nova configuração.
- No menu Conteúdo da mensagem, selecione o conteúdo necessário para exportar.
- Informe os seguintes detalhes de configuração:
- Categoria: selecione Todas.
- Tipo: selecione Selecionar todos.
- Formato: selecione CEF (mais recente).
- URL do sistema: não atualize o URL/IP do sistema, a menos que você esteja usando um servidor proxy.
- Enviar para: selecione Servidor Syslog externo (por exemplo, sistemas SIEM, SOAR).
- Fornecedor: selecione Outro.
- IP do servidor Syslog: insira o endereço IP do agente do Bindplane.
- Porta: insira a porta do agente do Bindplane, por exemplo,
514. - Protocolo: selecione UDP. Outras opções incluem TCP, TLS ou mTLS, dependendo da configuração do Bindplane.
- Clique em Salvar.
Tabela de mapeamento do UDM
| Campo de registro | Mapeamento do UDM | Lógica |
|---|---|---|
| CtdRealTime | metadata.event_timestamp | Analisado usando MMM dd yyyy HH:mm:ss de CtdRealTime e usado como o carimbo de data/hora do evento. |
| CtdTimeGenerated | metadata.event_timestamp | Se CtdRealTime estiver vazio, será analisado usando MMM dd yyyy HH:mm:ss de CtdTimeGenerated para definir o carimbo de data/hora do evento. |
| CtdMessage | metadata.description | Define metadata.description do campo CtdMessage. |
| CtdMessage | security_result.description | Define security_result.description do campo CtdMessage quando aplicável. |
| Port (from CtdMessage KV) | principal.port | Extraído da chave Port em CtdMessage, convertido em número inteiro e definido como principal.port. |
| Categoria (da chave-valor CtdMessage) | security_result.detection_fields (Category_label) | Extraído de CtdMessage como chave Category e mesclado em campos de detecção. |
| Acesso (da chave-valor CtdMessage) | security_result.detection_fields (Access_label) | Extraído de CtdMessage como chave Access e mesclado em campos de detecção. |
| CtdSite | principal.hostname | Mapeia CtdSite para principal.hostname. |
| CtdSite | principal.asset.hostname | Mapeia CtdSite para principal.asset.hostname. |
| CtdCpu | principal.resource.attribute.labels (CtdCpu_label) | Cria um rótulo com a chave CtdCpu usando o valor de CtdCpu e o mescla em principal.resource.attribute.labels. |
| CtdMem | principal.resource.attribute.labels (CtdMem_label) | Cria um rótulo com a chave CtdMem usando o valor de CtdMem e o mescla em principal.resource.attribute.labels. |
| CtdUsedOptIcsranger | principal.resource.attribute.labels (CtdUsedOptIcsranger_label) | Cria e mescla um marcador de CtdUsedOptIcsranger. |
| CtdUsedVar | principal.resource.attribute.labels (CtdUsedVar_label) | Cria e mescla um marcador de CtdUsedVar. |
| CtdUsedTmp | principal.resource.attribute.labels (CtdUsedTmp_label) | Cria e mescla um marcador de CtdUsedTmp. |
| CtdUsedEtc | principal.resource.attribute.labels (CtdUsedEtc_label) | Cria e mescla um marcador de CtdUsedEtc. |
| CtdBusyFd | principal.resource.attribute.labels (CtdBusyFd_label) | Cria e mescla um rótulo de CtdBusyFd. |
| CtdBusySda | principal.resource.attribute.labels (CtdBusySda_label) | Cria e mescla um rótulo de CtdBusySda. |
| CtdBusySdaA | principal.resource.attribute.labels (CtdBusySdaA_label) | Cria e mescla um marcador de CtdBusySdaA. |
| CtdBusySdaB | principal.resource.attribute.labels (CtdBusySdaB_label) | Cria e mescla um marcador de CtdBusySdaB. |
| CtdBusySr | principal.resource.attribute.labels (CtdBusySr_label) | Cria e mescla um rótulo de CtdBusySr. |
| CtdBusyDm | principal.resource.attribute.labels (CtdBusyDm_label) | Cria e mescla um rótulo de CtdBusyDm. |
| CtdBusyDmA | principal.resource.attribute.labels (CtdBusyDmA_label) | Cria e mescla um marcador de CtdBusyDmA. |
| CtdQuPreprocessingNg | principal.resource.attribute.labels (CtdQuPreprocessingNg_label) | Cria e mescla um marcador de CtdQuPreprocessingNg. |
| CtdQuBaselineTracker | principal.resource.attribute.labels (CtdQuBaselineTracker_label) | Cria e mescla um marcador de CtdQuBaselineTracker. |
| CtdQuBridge | principal.resource.attribute.labels (CtdQuBridge_label) | Cria e mescla um marcador de CtdQuBridge. |
| CtdQuCentralBridge | principal.resource.attribute.labels (CtdQuCentralBridge_label) | Cria e mescla um marcador de CtdQuCentralBridge. |
| CtdQuConcluding | principal.resource.attribute.labels (CtdQuConcluding_label) | Cria e mescla um marcador de CtdQuConcluding. |
| CtdQuDiodeFeeder | principal.resource.attribute.labels (CtdQuDiodeFeeder_label) | Cria e mescla um marcador de CtdQuDiodeFeeder. |
| CtdQuDissector | principal.resource.attribute.labels (CtdQuDissector_label) | Cria e mescla um marcador de CtdQuDissector. |
| CtdQuDissectorA | principal.resource.attribute.labels (CtdQuDissectorA_label) | Cria e mescla um marcador de CtdQuDissectorA. |
| CtdQuDissectorNg | principal.resource.attribute.labels (CtdQuDissectorNg_label) | Cria e mescla um marcador de CtdQuDissectorNg. |
| CtdQuIndicatorService | principal.resource.attribute.labels (CtdQuIndicatorService_label) | Cria e mescla um rótulo do CtdQuIndicatorService. |
| CtdQuLeecher | principal.resource.attribute.labels (CtdQuLeecher_label) | Cria e mescla um marcador de CtdQuLeecher. |
| CtdQuMonitor | principal.resource.attribute.labels (CtdQuMonitor_label) | Cria e mescla um rótulo de CtdQuMonitor. |
| CtdQuNetworkStatistics | principal.resource.attribute.labels (CtdQuNetworkStatistics_label) | Cria e mescla um rótulo de CtdQuNetworkStatistics. |
| CtdQuPackets | principal.resource.attribute.labels (CtdQuPackets_label) | Cria e mescla um marcador de CtdQuPackets. |
| CtdQuPacketsErrors | principal.resource.attribute.labels (CtdQuPacketsErrors_label) | Cria e mescla um marcador de CtdQuPacketsErrors. |
| CtdQuPreprocessing | principal.resource.attribute.labels (CtdQuPreprocessing_label) | Cria e mescla um rótulo de CtdQuPreprocessing. |
| CtdQuPriorityProcessing | principal.resource.attribute.labels (CtdQuPriorityProcessing_label) | Cria e mescla um marcador de CtdQuPriorityProcessing. |
| CtdQuProcessing | principal.resource.attribute.labels (CtdQuProcessing_label) | Cria e mescla um rótulo de CtdQuProcessing. |
| CtdQuProcessingHigh | principal.resource.attribute.labels (CtdQuProcessingHigh_label) | Cria e mescla um rótulo de CtdQuProcessingHigh. |
| CtdQuZordonUpdates | principal.resource.attribute.labels (CtdQuZordonUpdates_label) | Cria e mescla um marcador de CtdQuZordonUpdates. |
| CtdQuStatisticsNg | principal.resource.attribute.labels (CtdQuStatisticsNg_label) | Cria e mescla um marcador de CtdQuStatisticsNg. |
| CtdQueuePurge | principal.resource.attribute.labels (CtdQueuePurge_label) | Cria e mescla um marcador de CtdQueuePurge. |
| CtdQuSyslogAlerts | principal.resource.attribute.labels (CtdQuSyslogAlerts_label) | Cria e mescla um marcador de CtdQuSyslogAlerts. |
| CtdQuSyslogEvents | principal.resource.attribute.labels (CtdQuSyslogEvents_label) | Cria e mescla um marcador de CtdQuSyslogEvents. |
| CtdQuSyslogInsights | principal.resource.attribute.labels (CtdQuSyslogInsights_label) | Cria e mescla um marcador de CtdQuSyslogInsights. |
| CtdRdDissector | principal.resource.attribute.labels (CtdRdDissector_label) | Cria e mescla um rótulo de CtdRdDissector. |
| CtdRdDissectorA | principal.resource.attribute.labels (CtdRdDissectorA_label) | Cria e mescla um rótulo de CtdRdDissectorA. |
| CtdRdDissectorNg | principal.resource.attribute.labels (CtdRdDissectorNg_label) | Cria e mescla um marcador de CtdRdDissectorNg. |
| CtdRdPreprocessing | principal.resource.attribute.labels (CtdRdPreprocessing_label) | Cria e mescla um rótulo de CtdRdPreprocessing. |
| CtdRdPreprocessingNg | principal.resource.attribute.labels (CtdRdPreprocessingNg_label) | Cria e mescla um marcador de CtdRdPreprocessingNg. |
| CtdSvcMariaDb | principal.resource.attribute.labels (CtdSvcMariaDb_label) | Cria e mescla um rótulo de CtdSvcMariaDb. |
| CtdSvcPostgres | principal.resource.attribute.labels (CtdSvcPostgres_label) | Cria e mescla um marcador de CtdSvcPostgres. |
| CtdSvcRedis | principal.resource.attribute.labels (CtdSvcRedis_label) | Cria e mescla um marcador do CtdSvcRedis. |
| CtdSvcRabbitMq | principal.resource.attribute.labels (CtdSvcRabbitMq_label) | Cria e mescla um marcador de CtdSvcRabbitMq. |
| CtdSvcIcsranger | principal.resource.attribute.labels (CtdSvcIcsranger_label) | Cria e mescla um rótulo de CtdSvcIcsranger. |
| CtdSvcWatchdog | principal.resource.attribute.labels (CtdSvcWatchdog_label) | Cria e mescla um rótulo do CtdSvcWatchdog. |
| CtdSvcFirewalld | principal.resource.attribute.labels (CtdSvcFirewalld_label) | Cria e mescla um marcador de CtdSvcFirewalld. |
| CtdSvcNetunnel | principal.resource.attribute.labels (CtdSvcNetunnel_label) | Cria e mescla um marcador de CtdSvcNetunnel. |
| CtdSvcJwthenticator | principal.resource.attribute.labels (CtdSvcJwthenticator_label) | Cria um marcador de CtdSvcJwthenticator e o mescla. |
| CtdSvcDocker | principal.resource.attribute.labels (CtdSvcDocker_label) | Cria e mescla um rótulo de CtdSvcDocker. |
| CtdExceptions | principal.resource.attribute.labels (CtdExceptions_label) | Cria um rótulo de CtdExceptions e o mescla. |
| CtdInputPacketDrops | principal.resource.attribute.labels (CtdInputPacketDrops_label) | Cria e mescla um rótulo de CtdInputPacketDrops. |
| CtdOutputPacketDrops | principal.resource.attribute.labels (CtdOutputPacketDrops_label) | Cria e mescla um marcador de CtdOutputPacketDrops. |
| CtdFullOutputPacketDrops | principal.resource.attribute.labels (CtdFullOutputPacketDrops_label) | Cria e mescla um marcador de CtdFullOutputPacketDrops. |
| CtdDissectorNgPacketDrops | principal.resource.attribute.labels (CtdDissectorNgPacketDrops_label) | Cria e mescla um rótulo de CtdDissectorNgPacketDrops. |
| CtdTagArtifactsDropsPreprocessor | principal.resource.attribute.labels (CtdTagArtifactsDropsPreprocessor_label) | Cria e mescla um rótulo de CtdTagArtifactsDropsPreprocessor. |
| CtdTagArtifactsDropsPreprocessorSum | principal.resource.attribute.labels (CtdTagArtifactsDropsPreprocessorSum_label) | Cria e mescla um rótulo de CtdTagArtifactsDropsPreprocessorSum. |
| CtdTagArtifactsDropsProcessor | principal.resource.attribute.labels (CtdTagArtifactsDropsProcessor_label) | Cria e mescla um marcador de CtdTagArtifactsDropsProcessor. |
| CtdTagArtifactsDropsProcessorSum | principal.resource.attribute.labels (CtdTagArtifactsDropsProcessorSum_label) | Cria um marcador de CtdTagArtifactsDropsProcessorSum e o mescla. |
| CtdTagArtifactsDropsSniffer | principal.resource.attribute.labels (CtdTagArtifactsDropsSniffer_label) | Cria e mescla um rótulo de CtdTagArtifactsDropsSniffer. |
| CtdTagArtifactsDropsSnifferSum | principal.resource.attribute.labels (CtdTagArtifactsDropsSnifferSum_label) | Cria e mescla um rótulo de CtdTagArtifactsDropsSnifferSum. |
| CtdTagArtifactsDropsDissectorPypy | principal.resource.attribute.labels (CtdTagArtifactsDropsDissectorPypy_label) | Cria e mescla um marcador de CtdTagArtifactsDropsDissectorPypy. |
| CtdTagArtifactsDropsDissectorPypySum | principal.resource.attribute.labels (CtdTagArtifactsDropsDissectorPypySum_label) | Cria e mescla um rótulo de CtdTagArtifactsDropsDissectorPypySum. |
| CtdCapsaverFolderCleanup | principal.resource.attribute.labels (CtdCapsaverFolderCleanup_label) | Cria e mescla um marcador de CtdCapsaverFolderCleanup. |
| CtdCapsaverUtilzationTest | principal.resource.attribute.labels (CtdCapsaverUtilzationTest_label) | Cria e mescla um rótulo de CtdCapsaverUtilzationTest. |
| CtdYaraScannerTest | principal.resource.attribute.labels (CtdYaraScannerTest_label) | Cria e mescla um marcador de CtdYaraScannerTest. |
| CtdWrkrWorkersStop | principal.resource.attribute.labels (CtdWrkrWorkersStop_label) | Cria e mescla um marcador de CtdWrkrWorkersStop. |
| CtdWrkrWorkersRestart | principal.resource.attribute.labels (CtdWrkrWorkersRestart_label) | Cria e mescla um marcador de CtdWrkrWorkersRestart. |
| CtdWrkrActiveExecuter | principal.resource.attribute.labels (CtdWrkrActiveExecuter_label) | Cria e mescla um rótulo de CtdWrkrActiveExecuter. |
| CtdWrkrSensor | principal.resource.attribute.labels (CtdWrkrSensor_label) | Cria e mescla um rótulo de CtdWrkrSensor. |
| CtdWrkrAuthentication | principal.resource.attribute.labels (CtdWrkrAuthentication_label) | Cria e mescla um rótulo de CtdWrkrAuthentication. |
| CtdWrkrMitre | principal.resource.attribute.labels (CtdWrkrMitre_label) | Cria e mescla um marcador de CtdWrkrMitre. |
| CtdWrkrNotifications | principal.resource.attribute.labels (CtdWrkrNotifications_label) | Cria e mescla um marcador de CtdWrkrNotifications. |
| CtdWrkrProcessor | principal.resource.attribute.labels (CtdWrkrProcessor_label) | Cria e mescla um marcador de CtdWrkrProcessor. |
| CtdWrkrCloudAgent | principal.resource.attribute.labels (CtdWrkrCloudAgent_label) | Cria e mescla um marcador de CtdWrkrCloudAgent. |
| CtdWrkrCloudClient | principal.resource.attribute.labels (CtdWrkrCloudClient_label) | Cria e mescla um marcador de CtdWrkrCloudClient. |
| CtdWrkrScheduler | principal.resource.attribute.labels (CtdWrkrScheduler_label) | Cria e mescla um marcador de CtdWrkrScheduler. |
| CtdWrkrknownThreats | principal.resource.attribute.labels (CtdWrkrknownThreats_label) | Cria e mescla um marcador de CtdWrkrknownThreats. |
| CtdWrkrCacher | principal.resource.attribute.labels (CtdWrkrCacher_label) | Cria e mescla um rótulo de CtdWrkrCacher. |
| CtdWrkrInsights | principal.resource.attribute.labels (CtdWrkrInsights_label) | Cria e mescla um marcador de CtdWrkrInsights. |
| CtdWrkrActive | principal.resource.attribute.labels (CtdWrkrActive_label) | Cria e mescla um rótulo de CtdWrkrActive. |
| CtdWrkrEnricher | principal.resource.attribute.labels (CtdWrkrEnricher_label) | Cria e mescla um rótulo de CtdWrkrEnricher. |
| CtdWrkrIndicators | principal.resource.attribute.labels (CtdWrkrIndicators_label) | Cria e mescla um marcador de CtdWrkrIndicators. |
| CtdWrkrIndicatorsApi | principal.resource.attribute.labels (CtdWrkrIndicatorsApi_label) | Cria e mescla um marcador da CtdWrkrIndicatorsApi. |
| CtdWrkrConcluder | principal.resource.attribute.labels (CtdWrkrConcluder_label) | Cria e mescla um marcador de CtdWrkrConcluder. |
| CtdWrkrPreprocessor | principal.resource.attribute.labels (CtdWrkrPreprocessor_label) | Cria e mescla um marcador de CtdWrkrPreprocessor. |
| CtdWrkrLeecher | principal.resource.attribute.labels (CtdWrkrLeecher_label) | Cria e mescla um marcador de CtdWrkrLeecher. |
| CtdWrkrSyncManager | principal.resource.attribute.labels (CtdWrkrSyncManager_label) | Cria e mescla um rótulo de CtdWrkrSyncManager. |
| CtdWrkrBridge | principal.resource.attribute.labels (CtdWrkrBridge_label) | Cria e mescla um marcador de CtdWrkrBridge. |
| CtdWrkrWebRanger | principal.resource.attribute.labels (CtdWrkrWebRanger_label) | Cria e mescla um marcador de CtdWrkrWebRanger. |
| CtdWrkrWebWs | principal.resource.attribute.labels (CtdWrkrWebWs_label) | Cria e mescla um marcador de CtdWrkrWebWs. |
| CtdWrkrWebAuth | principal.resource.attribute.labels (CtdWrkrWebAuth_label) | Cria e mescla um marcador de CtdWrkrWebAuth. |
| CtdWrkrWebNginx | principal.resource.attribute.labels (CtdWrkrWebNginx_label) | Cria e mescla um marcador de CtdWrkrWebNginx. |
| CtdWrkrConfigurator | principal.resource.attribute.labels (CtdWrkrConfigurator_label) | Cria e mescla um rótulo de CtdWrkrConfigurator. |
| CtdWrkrConfiguratorNginx | principal.resource.attribute.labels (CtdWrkrConfiguratorNginx_label) | Cria e mescla um rótulo de CtdWrkrConfiguratorNginx. |
| CtdWrkrCapsaver | principal.resource.attribute.labels (CtdWrkrCapsaver_label) | Cria e mescla um marcador de CtdWrkrCapsaver. |
| CtdWrkrBaselineTracker | principal.resource.attribute.labels (CtdWrkrBaselineTracker_label) | Cria e mescla um marcador de CtdWrkrBaselineTracker. |
| CtdWrkrDissector | principal.resource.attribute.labels (CtdWrkrDissector_label) | Cria e mescla um rótulo de CtdWrkrDissector. |
| CtdWrkrDissectorA | principal.resource.attribute.labels (CtdWrkrDissectorA_label) | Cria e mescla um rótulo de CtdWrkrDissectorA. |
| CtdWrkrDissectorNg | principal.resource.attribute.labels (CtdWrkrDissectorNg_label) | Cria e mescla um marcador de CtdWrkrDissectorNg. |
| CtdWrkrPreprocessing | principal.resource.attribute.labels (CtdWrkrPreprocessing_label) | Cria e mescla um rótulo de CtdWrkrPreprocessing. |
| CtdWrkrPreprocessingNg | principal.resource.attribute.labels (CtdWrkrPreprocessingNg_label) | Cria e mescla um rótulo de CtdWrkrPreprocessingNg. |
| CtdWrkrStatisticsNg | principal.resource.attribute.labels (CtdWrkrStatisticsNg_label) | Cria e mescla um marcador de CtdWrkrStatisticsNg. |
| CtdWrkrSyslogAlerts | principal.resource.attribute.labels (CtdWrkrSyslogAlerts_label) | Cria e mescla um marcador de CtdWrkrSyslogAlerts. |
| CtdWrkrSyslogEvents | principal.resource.attribute.labels (CtdWrkrSyslogEvents_label) | Cria e mescla um marcador de CtdWrkrSyslogEvents. |
| CtdWrkrSyslogInsights | principal.resource.attribute.labels (CtdWrkrSyslogInsights_label) | Cria e mescla um marcador de CtdWrkrSyslogInsights. |
| CtdWrkrRdDissector | principal.resource.attribute.labels (CtdWrkrRdDissector_label) | Cria e mescla um rótulo de CtdWrkrRdDissector. |
| CtdWrkrRdDissectorA | principal.resource.attribute.labels (CtdWrkrRdDissectorA_label) | Cria e mescla um marcador de CtdWrkrRdDissectorA. |
| CtdSensorName | principal.resource.attribute.labels (CtdSensorName_label) | Cria um marcador com base em CtdSensorName e o mescla. |
| CtdCtrlSite | principal.resource.attribute.labels (CtdCtrlSite_label) | Cria e mescla um marcador de CtdCtrlSite. |
| CtdLoopCallDurationBaselineTrackerWrkerHandleNetworkStatistics | principal.resource.attribute.labels (CtdLoopCallDurationBaselineTrackerWrkerHandleNetworkStatistics_label) | Cria e mescla um marcador de CtdLoopCallDurationBaselineTrackerWrkerHandleNetworkStatistics. |
| CtdDissectionCoverage | principal.resource.attribute.labels (CtdDissectionCoverage_label) | Cria e mescla um marcador de CtdDissectionCoverage. |
| CtdDissectionEfficiencyModbus | principal.resource.attribute.labels (CtdDissectionEfficiencyModbus_label) | Cria e mescla um marcador de CtdDissectionEfficiencyModbus. |
| CtdDissectionEfficiencySmb | principal.resource.attribute.labels (CtdDissectionEfficiencySmb_label) | Cria e mescla um rótulo de CtdDissectionEfficiencySmb. |
| CtdDissectionEfficiencyDcerpc | principal.resource.attribute.labels (CtdDissectionEfficiencyDcerpc_label) | Cria e mescla um rótulo de CtdDissectionEfficiencyDcerpc. |
| CtdDissectionEfficiencyZabbix | principal.resource.attribute.labels (CtdDissectionEfficiencyZabbix_label) | Cria e mescla um rótulo de CtdDissectionEfficiencyZabbix. |
| CtdDissectionEfficiencyFactorytalkRna | principal.resource.attribute.labels (CtdDissectionEfficiencyFactorytalkRna_label) | Cria e mescla um marcador de CtdDissectionEfficiencyFactorytalkRna. |
| CtdDissectionEfficiencySsl | principal.resource.attribute.labels (CtdDissectionEfficiencySsl_label) | Cria e mescla um rótulo de CtdDissectionEfficiencySsl. |
| CtdDissectionEfficiencyVrrpProtocolMatcher | principal.resource.attribute.labels (CtdDissectionEfficiencyVrrpProtocolMatcher_label) | Cria e mescla um rótulo de "CtdDissectionEfficiencyVrrpProtocolMatcher". |
| CtdDissectionEfficiencyRdp | principal.resource.attribute.labels (CtdDissectionEfficiencyRdp_label) | Cria e mescla um marcador de CtdDissectionEfficiencyRdp. |
| CtdDissectionEfficiencySsh | principal.resource.attribute.labels (CtdDissectionEfficiencySsh_label) | Cria e mescla um rótulo de CtdDissectionEfficiencySsh. |
| CtdDissectionEfficiencyHttp | principal.resource.attribute.labels (CtdDissectionEfficiencyHttp_label) | Cria e mescla um rótulo de CtdDissectionEfficiencyHttp. |
| CtdDissectionEfficiencyTcpHttp | principal.resource.attribute.labels (CtdDissectionEfficiencyTcpHttp_label) | Cria e mescla um rótulo de CtdDissectionEfficiencyTcpHttp. |
| CtdDissectionEfficiencyLdap | principal.resource.attribute.labels (CtdDissectionEfficiencyLdap_label) | Cria e mescla um rótulo de CtdDissectionEfficiencyLdap. |
| CtdDissectionEfficiencyJrmi | principal.resource.attribute.labels (CtdDissectionEfficiencyJrmi_label) | Cria e mescla um marcador de CtdDissectionEfficiencyJrmi. |
| CtdDissectionEfficiencyGeIfix | principal.resource.attribute.labels (CtdDissectionEfficiencyGeIfix_label) | Cria e mescla um marcador de CtdDissectionEfficiencyGeIfix. |
| CtdDissectionEfficiencyLlc | principal.resource.attribute.labels (CtdDissectionEfficiencyLlc_label) | Cria e mescla um rótulo de CtdDissectionEfficiencyLlc. |
| CtdDissectionEfficiencyMatrikonNopc | principal.resource.attribute.labels (CtdDissectionEfficiencyMatrikonNopc_label) | Cria e mescla um rótulo de CtdDissectionEfficiencyMatrikonNopc. |
| CtdDissectionEfficiencyVnc | principal.resource.attribute.labels (CtdDissectionEfficiencyVnc_label) | Cria e mescla um rótulo de CtdDissectionEfficiencyVnc. |
| CtdUnhandledEvents | principal.resource.attribute.labels (CtdUnhandledEvents_label) | Cria um rótulo de CtdUnhandledEvents e o mescla. |
| CtdConcludeTime | principal.resource.attribute.labels (CtdConcludeTime_label) | Cria e mescla um marcador de CtdConcludeTime. |
| CtdMysqlQuery | principal.resource.attribute.labels (CtdMysqlQuery_label) | Cria e mescla um marcador de CtdMysqlQuery. |
| CtdPostgresQuery | principal.resource.attribute.labels (CtdPostgresQuery_label) | Cria e mescla um marcador de CtdPostgresQuery. |
| CtdPsqlIdleSessions | principal.resource.attribute.labels (CtdPsqlIdleSessions_label) | Cria e mescla um marcador de CtdPsqlIdleSessions. |
| CtdPsqlIdleInTransactionSessions | principal.resource.attribute.labels (CtdPsqlIdleInTransactionSessions_label) | Cria e mescla um rótulo de CtdPsqlIdleInTransactionSessions. |
| CtdSnifferStatus | principal.resource.attribute.labels (CtdSnifferStatus_label) | Cria e mescla um marcador de CtdSnifferStatus. |
| CtdLoopCallDurationPollObjects | principal.resource.attribute.labels (CtdLoopCallDurationPollObjects_label) | Cria um marcador de CtdLoopCallDurationPollObjects e o mescla. |
| CtdLoopCallDurationCloudClientWrkrBaseRunCloudConnected | principal.resource.attribute.labels (CtdLoopCallDurationCloudClientWrkrBaseRunCloudConnected_label) | Cria e mescla um rótulo de CtdLoopCallDurationCloudClientWrkrBaseRunCloudConnected. |
| CtdSnifferStatusCentral | principal.resource.attribute.labels (CtdSnifferStatusCentral_label) | Cria e mescla um rótulo de CtdSnifferStatusCentral. |
| CtdSnifferStatusSite | principal.resource.attribute.labels (CtdSnifferStatusSite_label) | Cria e mescla um marcador de CtdSnifferStatusSite. |
| CtdWrkrMailer | principal.resource.attribute.labels (CtdWrkrMailer_label) | Cria e mescla um marcador de CtdWrkrMailer. |
| CtdDroppedEntities | principal.resource.attribute.labels (CtdDroppedEntities_label) | Cria e mescla um marcador de CtdDroppedEntities. |
| externalId | metadata.product_log_id | Mapeia externalId para metadata.product_log_id. |
| proto | protocol_number_src | Converte o proto em maiúsculas e o atribui a protocol_number_src para pesquisa. |
| protocol_number_src | ip_protocol_out; app_protocol_out | Inicializa ip_protocol_out como UNKNOWN_IP_PROTOCOL e app_protocol_out como UNKNOWN_APPLICATION_PROTOCOL e, em seguida, atualiza com base na pesquisa. |
| ip_protocol_out | network.ip_protocol | Define network.ip_protocol de ip_protocol_out. |
| app_protocol_out | network.application_protocol | Define network.application_protocol de app_protocol_out. |
| CtdExternalId | metadata.product_log_id | Substitui metadata.product_log_id por CtdExternalId, se fornecido. |
| CtdDeviceExternalId | principal.resource.attribute.labels (ctd_device_label) | Cria e mescla um rótulo de CtdDeviceExternalId (com o prefixo CtdDeviceExternalId). |
(if has_principal_device is true and ctdeventtype = Login) |
security_result.category; security_result.action | Para eventos de login, define security_result.category como AUTH_VIOLATION e a ação como BLOCK. |
(if has_principal_device is true and ctdeventtype = Memory Reset) |
security_result.category | Define security_result.category como SOFTWARE_SUSPICIOUS. |
(se target_machine_id_present for verdadeiro, has_principal_device for verdadeiro e ctdeventtype estiver em [Known Threat Alert, Known Threat Event, Man-in-the-Middle Attack, Suspicious Activity]) |
security_result.category | Define security_result.category como NETWORK_MALICIOUS. |
(if target_machine_id_present is true, has_principal_device is true, and ctdeventtype = Suspicious File Transfer) |
security_result.category | Define security_result.category como NETWORK_SUSPICIOUS. |
(if target_machine_id_present is true, has_principal_device is true, and ctdeventtype = Denial Of Service) |
security_result.category | Define security_result.category como NETWORK_DENIAL_OF_SERVICE. |
(if has_principal_device is true and ctdeventtype in [Host Scan, Port Scan]) |
security_result.category | Define security_result.category como NETWORK_RECON. |
(if target_machine_id_present is true, has_principal_device is true, and ctdeventtype in [Policy Rule Match, Policy Violation Alert, Policy Violation]) |
security_result.category | Define security_result.category como POLICY_VIOLATION. |
| (padrão se has_principal_device for "true") | security_result.category | Define security_result.category como NETWORK_SUSPICIOUS por padrão. |
| security_result_category derivada | security_result.category | Mescla a categoria de segurança derivada em security_result.category. |
| Derived security_result_action | security_result.action | Mescla a ação de segurança derivada em security_result.action (se definida). |
cs6 (com cs6Label CTDlink) |
metadata.url_back_to_product; security_result.url_back_to_product | Define campos de URL do cs6 para backlinks aos detalhes do produto. |
cs1 (com cs1Label SourceAssetType) |
principal.asset.category; principal.asset.type | Define principal.asset.category de cs1 e determina principal.asset.type com base no valor. |
cs2 (com cs2Label DestAssetType) |
target.asset.category; target.asset.type | Define target.asset.category de cs2 e determina target.asset.type com base no valor dele. |
cfp1 (com cfp1Label CVEScore) |
vulns.vulnerabilities.cvss_base_score | Define vulns.vulnerabilities.cvss_base_score (convertido para ponto flutuante) e marca vul_fields_present como verdadeiro. |
cs6 (com cs6Label CVE) |
vulns.vulnerabilities.cve_id | Define vulns.vulnerabilities.cve_id e marca vul_fields_present como verdadeiro. |
cn1 (com cn1Label IndicatorScore) |
security_result.confidence_score | Extrai a pontuação do indicador de cn1, converte em ponto flutuante e atribui como a pontuação de confiança. |
| filepath | about.file.full_path; security_result.about.file.full_path | Mapeia o caminho do arquivo para "about.file.full_path" e "security_result.about.file.full_path". |
(if eventclass = HealthCheck and cs1Label = Site) |
intermediary.location.name | Define intermediary.location.name de cs1 quando usado como um identificador de site. |
| cn1 (com cn1Label) | additional.fields (cn1_label) | Cria um rótulo de campo adicional de cn1 e o mescla em additional.fields. |
| cs1 (com cs1Label) | additional.fields (cs1_label) | Cria um rótulo de campo adicional de cs1 e o mescla em additional.fields. |
| cs2 (com cs2Label) | additional.fields (cs2_label) | Cria um rótulo de campo adicional do cs2 e o mescla em additional.fields. |
| cs3 (com cs3Label) | additional.fields (cs3_label) | Cria e mescla um rótulo de campo adicional do cs3. |
| cs4 (com cs4Label) | additional.fields (cs4_label) | Cria e mescla um rótulo de campo adicional do cs4. |
| cs6 (com cs6Label) | additional.fields (cs6_label) | Cria e mescla um rótulo de campo adicional do cs6. |
| (para eventos de insight com base em event_name e vul_fields_present) | event_type | Deriva event_type para eventos de insight (por exemplo, SCAN_VULN_HOST, STATUS_UNCATEGORIZED, STATUS_UPDATE). |
| (para eventos de evento/alerta com base em ctdeventtype, has_principal_device etc.) | event_type; (opcionalmente target.resource.type ou auth.type) | Deriva o event_type para eventos de evento/alerta, como DEVICE_CONFIG_UPDATE, DEVICE_PROGRAM_DOWNLOAD/UPLOAD, NETWORK_UNCATEGORIZED, USER_RESOURCE_CREATION, SCAN_HOST, SCAN_NETWORK, SETTING_MODIFICATION, USER_LOGIN, NETWORK_CONNECTION ou STATUS_UPDATE. |
| (se event_type permanecer vazio) | event_type | Define event_type como NETWORK_CONNECTION, USER_RESOURCE_ACCESS ou STATUS_UPDATE com base nas flags disponíveis. |
| event_type (final) | metadata.event_type | Copia o event_type final para metadata.event_type. O padrão é GENERIC_EVENT se estiver vazio. |
| device_vendor | metadata.vendor_name | Define metadata.vendor_name de device_vendor. O padrão é CLAROTY se estiver faltando. |
| device_product | metadata.product_name | Define metadata.product_name de device_product. O padrão é CTD se estiver faltando. |
| device_version | metadata.product_version | Define metadata.product_version com base em device_version. |
security_description (se corresponder a ET TROJAN …) |
security_result.threat_name | Extrai threat_name usando o padrão ET TROJAN (?P<threat_name>\S+) de security_description e o mapeia para security_result.threat_name. |
| metadados | event.idm.read_only_udm.metadata | Renomeia os metadados para event.idm.read_only_udm.metadata. |
| participante | event.idm.read_only_udm.principal | Renomeia o principal para event.idm.read_only_udm.principal. |
| target | event.idm.read_only_udm.target | Renomeia o destino para event.idm.read_only_udm.target. |
| rede | event.idm.read_only_udm.network | Renomeia a rede para event.idm.read_only_udm.network. |
| adicional | event.idm.read_only_udm.additional | Renomeia "additional" para "event.idm.read_only_udm.additional". |
| security_result | event.idm.read_only_udm.security_result | Mescla security_result em event.idm.read_only_udm.security_result. |
| sobre | event.idm.read_only_udm.about | Mescla "about" em "event.idm.read_only_udm.about". |
| intermediário | event.idm.read_only_udm.intermediary | Mescla "intermediary" em "event.idm.read_only_udm.intermediary". |
| vulns.vulnerabilities | event.idm.read_only_udm.extensions.vulns.vulnerabilities | Mescla vulns.vulnerabilities em event.idm.read_only_udm.extensions.vulns.vulnerabilities. |
| @output | evento | Mescla a estrutura completa de eventos da UDM no campo event final. |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.