Coletar registros do Claroty CTD

Compatível com:

Este documento explica como ingerir registros do Continuous Threat Detection (CTD) da Claroty no Google Security Operations usando o Bindplane.

Antes de começar

  • Verifique se você tem uma instância do Google Security Operations.
  • Use o Windows 2016 ou uma versão mais recente ou um host Linux com systemd.
  • Se você estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas.
  • Verifique se você tem acesso privilegiado ao Claroty CTD.

Receber o arquivo de autenticação de ingestão do Google SecOps

  1. Faça login no console do Google SecOps.
  2. Acesse Configurações do SIEM > Agentes de coleta.
  3. Baixe o arquivo de autenticação de ingestão. Salve o arquivo de forma segura no sistema em que o Bindplane será instalado.

Receber o ID do cliente do Google SecOps

  1. Faça login no console do Google SecOps.
  2. Acesse Configurações do SIEM > Perfil.
  3. Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do Bindplane

Instalação do Windows

  1. Abra o Prompt de Comando ou o PowerShell como administrador.
  2. Execute este comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
    

Instalação do Linux

  1. Abra um terminal com privilégios de root ou sudo.
  2. Execute este comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
    

Outros recursos de instalação

Configurar o agente do Bindplane para ingerir o Syslog e enviar ao Google SecOps

  1. Acesse o arquivo de configuração:

    1. Localize o arquivo config.yaml. Normalmente, ele fica no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
    2. Abra o arquivo usando um editor de texto (por exemplo, nano, vi ou Bloco de Notas).
  2. Edite o arquivo config.yaml da seguinte forma:

    receivers:
        udplog:
            # Replace the port and IP address as required
            listen_address: "0.0.0.0:514"
    
    exporters:
        chronicle/chronicle_w_labels:
            compression: gzip
            # Adjust the path to the credentials file you downloaded in Step 1
            creds: '/path/to/ingestion-authentication-file.json'
            # Replace with your actual customer ID from Step 2
            customer_id: <customer_id>
            endpoint: malachiteingestion-pa.googleapis.com
            # Add optional ingestion labels for better organization
            ingestion_labels:
                log_type: CLAROTY_CTD
                raw_log_field: body
    
    service:
        pipelines:
            logs/source0__chronicle_w_labels-0:
                receivers:
                    - udplog
                exporters:
                    - chronicle/chronicle_w_labels
    
  3. Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.

  4. Substitua <customer_id> pelo ID do cliente real.

  5. Atualize /path/to/ingestion-authentication-file.json para o caminho em que o arquivo de autenticação foi salvo na seção Receber arquivo de autenticação de ingestão do Google SecOps.

Reinicie o agente do Bindplane para aplicar as mudanças

  • Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:

    sudo systemctl restart bindplane-agent
    
  • Para reiniciar o agente do Bindplane no Windows, use o console Serviços ou insira o seguinte comando:

    net stop BindPlaneAgent && net start BindPlaneAgent
    

Configurar o Syslog no Claroty Continuous Threat Detection (CTD)

  1. Faça login na interface da Web do Claroty CTD.
  2. Acesse Menu > Integrações > Syslog.
  3. Repita as etapas a seguir para cada tipo de conteúdo da mensagem do syslog:
    • Alertas
    • Eventos
    • Monitoramento da integridade
    • Insights
    • Registros de atividades
    • Vulnerabilidades
  4. Clique em + para adicionar uma nova configuração.
  5. No menu Conteúdo da mensagem, selecione o conteúdo necessário para exportar.
  6. Informe os seguintes detalhes de configuração:
    • Categoria: selecione Todas.
    • Tipo: selecione Selecionar todos.
    • Formato: selecione CEF (mais recente).
    • URL do sistema: não atualize o URL/IP do sistema, a menos que você esteja usando um servidor proxy.
    • Enviar para: selecione Servidor Syslog externo (por exemplo, sistemas SIEM, SOAR).
    • Fornecedor: selecione Outro.
    • IP do servidor Syslog: insira o endereço IP do agente do Bindplane.
    • Porta: insira a porta do agente do Bindplane, por exemplo, 514.
    • Protocolo: selecione UDP. Outras opções incluem TCP, TLS ou mTLS, dependendo da configuração do Bindplane.
  7. Clique em Salvar.

Tabela de mapeamento do UDM

Campo de registro Mapeamento do UDM Lógica
CtdRealTime metadata.event_timestamp Analisado usando MMM dd yyyy HH:mm:ss de CtdRealTime e usado como o carimbo de data/hora do evento.
CtdTimeGenerated metadata.event_timestamp Se CtdRealTime estiver vazio, será analisado usando MMM dd yyyy HH:mm:ss de CtdTimeGenerated para definir o carimbo de data/hora do evento.
CtdMessage metadata.description Define metadata.description do campo CtdMessage.
CtdMessage security_result.description Define security_result.description do campo CtdMessage quando aplicável.
Port (from CtdMessage KV) principal.port Extraído da chave Port em CtdMessage, convertido em número inteiro e definido como principal.port.
Categoria (da chave-valor CtdMessage) security_result.detection_fields (Category_label) Extraído de CtdMessage como chave Category e mesclado em campos de detecção.
Acesso (da chave-valor CtdMessage) security_result.detection_fields (Access_label) Extraído de CtdMessage como chave Access e mesclado em campos de detecção.
CtdSite principal.hostname Mapeia CtdSite para principal.hostname.
CtdSite principal.asset.hostname Mapeia CtdSite para principal.asset.hostname.
CtdCpu principal.resource.attribute.labels (CtdCpu_label) Cria um rótulo com a chave CtdCpu usando o valor de CtdCpu e o mescla em principal.resource.attribute.labels.
CtdMem principal.resource.attribute.labels (CtdMem_label) Cria um rótulo com a chave CtdMem usando o valor de CtdMem e o mescla em principal.resource.attribute.labels.
CtdUsedOptIcsranger principal.resource.attribute.labels (CtdUsedOptIcsranger_label) Cria e mescla um marcador de CtdUsedOptIcsranger.
CtdUsedVar principal.resource.attribute.labels (CtdUsedVar_label) Cria e mescla um marcador de CtdUsedVar.
CtdUsedTmp principal.resource.attribute.labels (CtdUsedTmp_label) Cria e mescla um marcador de CtdUsedTmp.
CtdUsedEtc principal.resource.attribute.labels (CtdUsedEtc_label) Cria e mescla um marcador de CtdUsedEtc.
CtdBusyFd principal.resource.attribute.labels (CtdBusyFd_label) Cria e mescla um rótulo de CtdBusyFd.
CtdBusySda principal.resource.attribute.labels (CtdBusySda_label) Cria e mescla um rótulo de CtdBusySda.
CtdBusySdaA principal.resource.attribute.labels (CtdBusySdaA_label) Cria e mescla um marcador de CtdBusySdaA.
CtdBusySdaB principal.resource.attribute.labels (CtdBusySdaB_label) Cria e mescla um marcador de CtdBusySdaB.
CtdBusySr principal.resource.attribute.labels (CtdBusySr_label) Cria e mescla um rótulo de CtdBusySr.
CtdBusyDm principal.resource.attribute.labels (CtdBusyDm_label) Cria e mescla um rótulo de CtdBusyDm.
CtdBusyDmA principal.resource.attribute.labels (CtdBusyDmA_label) Cria e mescla um marcador de CtdBusyDmA.
CtdQuPreprocessingNg principal.resource.attribute.labels (CtdQuPreprocessingNg_label) Cria e mescla um marcador de CtdQuPreprocessingNg.
CtdQuBaselineTracker principal.resource.attribute.labels (CtdQuBaselineTracker_label) Cria e mescla um marcador de CtdQuBaselineTracker.
CtdQuBridge principal.resource.attribute.labels (CtdQuBridge_label) Cria e mescla um marcador de CtdQuBridge.
CtdQuCentralBridge principal.resource.attribute.labels (CtdQuCentralBridge_label) Cria e mescla um marcador de CtdQuCentralBridge.
CtdQuConcluding principal.resource.attribute.labels (CtdQuConcluding_label) Cria e mescla um marcador de CtdQuConcluding.
CtdQuDiodeFeeder principal.resource.attribute.labels (CtdQuDiodeFeeder_label) Cria e mescla um marcador de CtdQuDiodeFeeder.
CtdQuDissector principal.resource.attribute.labels (CtdQuDissector_label) Cria e mescla um marcador de CtdQuDissector.
CtdQuDissectorA principal.resource.attribute.labels (CtdQuDissectorA_label) Cria e mescla um marcador de CtdQuDissectorA.
CtdQuDissectorNg principal.resource.attribute.labels (CtdQuDissectorNg_label) Cria e mescla um marcador de CtdQuDissectorNg.
CtdQuIndicatorService principal.resource.attribute.labels (CtdQuIndicatorService_label) Cria e mescla um rótulo do CtdQuIndicatorService.
CtdQuLeecher principal.resource.attribute.labels (CtdQuLeecher_label) Cria e mescla um marcador de CtdQuLeecher.
CtdQuMonitor principal.resource.attribute.labels (CtdQuMonitor_label) Cria e mescla um rótulo de CtdQuMonitor.
CtdQuNetworkStatistics principal.resource.attribute.labels (CtdQuNetworkStatistics_label) Cria e mescla um rótulo de CtdQuNetworkStatistics.
CtdQuPackets principal.resource.attribute.labels (CtdQuPackets_label) Cria e mescla um marcador de CtdQuPackets.
CtdQuPacketsErrors principal.resource.attribute.labels (CtdQuPacketsErrors_label) Cria e mescla um marcador de CtdQuPacketsErrors.
CtdQuPreprocessing principal.resource.attribute.labels (CtdQuPreprocessing_label) Cria e mescla um rótulo de CtdQuPreprocessing.
CtdQuPriorityProcessing principal.resource.attribute.labels (CtdQuPriorityProcessing_label) Cria e mescla um marcador de CtdQuPriorityProcessing.
CtdQuProcessing principal.resource.attribute.labels (CtdQuProcessing_label) Cria e mescla um rótulo de CtdQuProcessing.
CtdQuProcessingHigh principal.resource.attribute.labels (CtdQuProcessingHigh_label) Cria e mescla um rótulo de CtdQuProcessingHigh.
CtdQuZordonUpdates principal.resource.attribute.labels (CtdQuZordonUpdates_label) Cria e mescla um marcador de CtdQuZordonUpdates.
CtdQuStatisticsNg principal.resource.attribute.labels (CtdQuStatisticsNg_label) Cria e mescla um marcador de CtdQuStatisticsNg.
CtdQueuePurge principal.resource.attribute.labels (CtdQueuePurge_label) Cria e mescla um marcador de CtdQueuePurge.
CtdQuSyslogAlerts principal.resource.attribute.labels (CtdQuSyslogAlerts_label) Cria e mescla um marcador de CtdQuSyslogAlerts.
CtdQuSyslogEvents principal.resource.attribute.labels (CtdQuSyslogEvents_label) Cria e mescla um marcador de CtdQuSyslogEvents.
CtdQuSyslogInsights principal.resource.attribute.labels (CtdQuSyslogInsights_label) Cria e mescla um marcador de CtdQuSyslogInsights.
CtdRdDissector principal.resource.attribute.labels (CtdRdDissector_label) Cria e mescla um rótulo de CtdRdDissector.
CtdRdDissectorA principal.resource.attribute.labels (CtdRdDissectorA_label) Cria e mescla um rótulo de CtdRdDissectorA.
CtdRdDissectorNg principal.resource.attribute.labels (CtdRdDissectorNg_label) Cria e mescla um marcador de CtdRdDissectorNg.
CtdRdPreprocessing principal.resource.attribute.labels (CtdRdPreprocessing_label) Cria e mescla um rótulo de CtdRdPreprocessing.
CtdRdPreprocessingNg principal.resource.attribute.labels (CtdRdPreprocessingNg_label) Cria e mescla um marcador de CtdRdPreprocessingNg.
CtdSvcMariaDb principal.resource.attribute.labels (CtdSvcMariaDb_label) Cria e mescla um rótulo de CtdSvcMariaDb.
CtdSvcPostgres principal.resource.attribute.labels (CtdSvcPostgres_label) Cria e mescla um marcador de CtdSvcPostgres.
CtdSvcRedis principal.resource.attribute.labels (CtdSvcRedis_label) Cria e mescla um marcador do CtdSvcRedis.
CtdSvcRabbitMq principal.resource.attribute.labels (CtdSvcRabbitMq_label) Cria e mescla um marcador de CtdSvcRabbitMq.
CtdSvcIcsranger principal.resource.attribute.labels (CtdSvcIcsranger_label) Cria e mescla um rótulo de CtdSvcIcsranger.
CtdSvcWatchdog principal.resource.attribute.labels (CtdSvcWatchdog_label) Cria e mescla um rótulo do CtdSvcWatchdog.
CtdSvcFirewalld principal.resource.attribute.labels (CtdSvcFirewalld_label) Cria e mescla um marcador de CtdSvcFirewalld.
CtdSvcNetunnel principal.resource.attribute.labels (CtdSvcNetunnel_label) Cria e mescla um marcador de CtdSvcNetunnel.
CtdSvcJwthenticator principal.resource.attribute.labels (CtdSvcJwthenticator_label) Cria um marcador de CtdSvcJwthenticator e o mescla.
CtdSvcDocker principal.resource.attribute.labels (CtdSvcDocker_label) Cria e mescla um rótulo de CtdSvcDocker.
CtdExceptions principal.resource.attribute.labels (CtdExceptions_label) Cria um rótulo de CtdExceptions e o mescla.
CtdInputPacketDrops principal.resource.attribute.labels (CtdInputPacketDrops_label) Cria e mescla um rótulo de CtdInputPacketDrops.
CtdOutputPacketDrops principal.resource.attribute.labels (CtdOutputPacketDrops_label) Cria e mescla um marcador de CtdOutputPacketDrops.
CtdFullOutputPacketDrops principal.resource.attribute.labels (CtdFullOutputPacketDrops_label) Cria e mescla um marcador de CtdFullOutputPacketDrops.
CtdDissectorNgPacketDrops principal.resource.attribute.labels (CtdDissectorNgPacketDrops_label) Cria e mescla um rótulo de CtdDissectorNgPacketDrops.
CtdTagArtifactsDropsPreprocessor principal.resource.attribute.labels (CtdTagArtifactsDropsPreprocessor_label) Cria e mescla um rótulo de CtdTagArtifactsDropsPreprocessor.
CtdTagArtifactsDropsPreprocessorSum principal.resource.attribute.labels (CtdTagArtifactsDropsPreprocessorSum_label) Cria e mescla um rótulo de CtdTagArtifactsDropsPreprocessorSum.
CtdTagArtifactsDropsProcessor principal.resource.attribute.labels (CtdTagArtifactsDropsProcessor_label) Cria e mescla um marcador de CtdTagArtifactsDropsProcessor.
CtdTagArtifactsDropsProcessorSum principal.resource.attribute.labels (CtdTagArtifactsDropsProcessorSum_label) Cria um marcador de CtdTagArtifactsDropsProcessorSum e o mescla.
CtdTagArtifactsDropsSniffer principal.resource.attribute.labels (CtdTagArtifactsDropsSniffer_label) Cria e mescla um rótulo de CtdTagArtifactsDropsSniffer.
CtdTagArtifactsDropsSnifferSum principal.resource.attribute.labels (CtdTagArtifactsDropsSnifferSum_label) Cria e mescla um rótulo de CtdTagArtifactsDropsSnifferSum.
CtdTagArtifactsDropsDissectorPypy principal.resource.attribute.labels (CtdTagArtifactsDropsDissectorPypy_label) Cria e mescla um marcador de CtdTagArtifactsDropsDissectorPypy.
CtdTagArtifactsDropsDissectorPypySum principal.resource.attribute.labels (CtdTagArtifactsDropsDissectorPypySum_label) Cria e mescla um rótulo de CtdTagArtifactsDropsDissectorPypySum.
CtdCapsaverFolderCleanup principal.resource.attribute.labels (CtdCapsaverFolderCleanup_label) Cria e mescla um marcador de CtdCapsaverFolderCleanup.
CtdCapsaverUtilzationTest principal.resource.attribute.labels (CtdCapsaverUtilzationTest_label) Cria e mescla um rótulo de CtdCapsaverUtilzationTest.
CtdYaraScannerTest principal.resource.attribute.labels (CtdYaraScannerTest_label) Cria e mescla um marcador de CtdYaraScannerTest.
CtdWrkrWorkersStop principal.resource.attribute.labels (CtdWrkrWorkersStop_label) Cria e mescla um marcador de CtdWrkrWorkersStop.
CtdWrkrWorkersRestart principal.resource.attribute.labels (CtdWrkrWorkersRestart_label) Cria e mescla um marcador de CtdWrkrWorkersRestart.
CtdWrkrActiveExecuter principal.resource.attribute.labels (CtdWrkrActiveExecuter_label) Cria e mescla um rótulo de CtdWrkrActiveExecuter.
CtdWrkrSensor principal.resource.attribute.labels (CtdWrkrSensor_label) Cria e mescla um rótulo de CtdWrkrSensor.
CtdWrkrAuthentication principal.resource.attribute.labels (CtdWrkrAuthentication_label) Cria e mescla um rótulo de CtdWrkrAuthentication.
CtdWrkrMitre principal.resource.attribute.labels (CtdWrkrMitre_label) Cria e mescla um marcador de CtdWrkrMitre.
CtdWrkrNotifications principal.resource.attribute.labels (CtdWrkrNotifications_label) Cria e mescla um marcador de CtdWrkrNotifications.
CtdWrkrProcessor principal.resource.attribute.labels (CtdWrkrProcessor_label) Cria e mescla um marcador de CtdWrkrProcessor.
CtdWrkrCloudAgent principal.resource.attribute.labels (CtdWrkrCloudAgent_label) Cria e mescla um marcador de CtdWrkrCloudAgent.
CtdWrkrCloudClient principal.resource.attribute.labels (CtdWrkrCloudClient_label) Cria e mescla um marcador de CtdWrkrCloudClient.
CtdWrkrScheduler principal.resource.attribute.labels (CtdWrkrScheduler_label) Cria e mescla um marcador de CtdWrkrScheduler.
CtdWrkrknownThreats principal.resource.attribute.labels (CtdWrkrknownThreats_label) Cria e mescla um marcador de CtdWrkrknownThreats.
CtdWrkrCacher principal.resource.attribute.labels (CtdWrkrCacher_label) Cria e mescla um rótulo de CtdWrkrCacher.
CtdWrkrInsights principal.resource.attribute.labels (CtdWrkrInsights_label) Cria e mescla um marcador de CtdWrkrInsights.
CtdWrkrActive principal.resource.attribute.labels (CtdWrkrActive_label) Cria e mescla um rótulo de CtdWrkrActive.
CtdWrkrEnricher principal.resource.attribute.labels (CtdWrkrEnricher_label) Cria e mescla um rótulo de CtdWrkrEnricher.
CtdWrkrIndicators principal.resource.attribute.labels (CtdWrkrIndicators_label) Cria e mescla um marcador de CtdWrkrIndicators.
CtdWrkrIndicatorsApi principal.resource.attribute.labels (CtdWrkrIndicatorsApi_label) Cria e mescla um marcador da CtdWrkrIndicatorsApi.
CtdWrkrConcluder principal.resource.attribute.labels (CtdWrkrConcluder_label) Cria e mescla um marcador de CtdWrkrConcluder.
CtdWrkrPreprocessor principal.resource.attribute.labels (CtdWrkrPreprocessor_label) Cria e mescla um marcador de CtdWrkrPreprocessor.
CtdWrkrLeecher principal.resource.attribute.labels (CtdWrkrLeecher_label) Cria e mescla um marcador de CtdWrkrLeecher.
CtdWrkrSyncManager principal.resource.attribute.labels (CtdWrkrSyncManager_label) Cria e mescla um rótulo de CtdWrkrSyncManager.
CtdWrkrBridge principal.resource.attribute.labels (CtdWrkrBridge_label) Cria e mescla um marcador de CtdWrkrBridge.
CtdWrkrWebRanger principal.resource.attribute.labels (CtdWrkrWebRanger_label) Cria e mescla um marcador de CtdWrkrWebRanger.
CtdWrkrWebWs principal.resource.attribute.labels (CtdWrkrWebWs_label) Cria e mescla um marcador de CtdWrkrWebWs.
CtdWrkrWebAuth principal.resource.attribute.labels (CtdWrkrWebAuth_label) Cria e mescla um marcador de CtdWrkrWebAuth.
CtdWrkrWebNginx principal.resource.attribute.labels (CtdWrkrWebNginx_label) Cria e mescla um marcador de CtdWrkrWebNginx.
CtdWrkrConfigurator principal.resource.attribute.labels (CtdWrkrConfigurator_label) Cria e mescla um rótulo de CtdWrkrConfigurator.
CtdWrkrConfiguratorNginx principal.resource.attribute.labels (CtdWrkrConfiguratorNginx_label) Cria e mescla um rótulo de CtdWrkrConfiguratorNginx.
CtdWrkrCapsaver principal.resource.attribute.labels (CtdWrkrCapsaver_label) Cria e mescla um marcador de CtdWrkrCapsaver.
CtdWrkrBaselineTracker principal.resource.attribute.labels (CtdWrkrBaselineTracker_label) Cria e mescla um marcador de CtdWrkrBaselineTracker.
CtdWrkrDissector principal.resource.attribute.labels (CtdWrkrDissector_label) Cria e mescla um rótulo de CtdWrkrDissector.
CtdWrkrDissectorA principal.resource.attribute.labels (CtdWrkrDissectorA_label) Cria e mescla um rótulo de CtdWrkrDissectorA.
CtdWrkrDissectorNg principal.resource.attribute.labels (CtdWrkrDissectorNg_label) Cria e mescla um marcador de CtdWrkrDissectorNg.
CtdWrkrPreprocessing principal.resource.attribute.labels (CtdWrkrPreprocessing_label) Cria e mescla um rótulo de CtdWrkrPreprocessing.
CtdWrkrPreprocessingNg principal.resource.attribute.labels (CtdWrkrPreprocessingNg_label) Cria e mescla um rótulo de CtdWrkrPreprocessingNg.
CtdWrkrStatisticsNg principal.resource.attribute.labels (CtdWrkrStatisticsNg_label) Cria e mescla um marcador de CtdWrkrStatisticsNg.
CtdWrkrSyslogAlerts principal.resource.attribute.labels (CtdWrkrSyslogAlerts_label) Cria e mescla um marcador de CtdWrkrSyslogAlerts.
CtdWrkrSyslogEvents principal.resource.attribute.labels (CtdWrkrSyslogEvents_label) Cria e mescla um marcador de CtdWrkrSyslogEvents.
CtdWrkrSyslogInsights principal.resource.attribute.labels (CtdWrkrSyslogInsights_label) Cria e mescla um marcador de CtdWrkrSyslogInsights.
CtdWrkrRdDissector principal.resource.attribute.labels (CtdWrkrRdDissector_label) Cria e mescla um rótulo de CtdWrkrRdDissector.
CtdWrkrRdDissectorA principal.resource.attribute.labels (CtdWrkrRdDissectorA_label) Cria e mescla um marcador de CtdWrkrRdDissectorA.
CtdSensorName principal.resource.attribute.labels (CtdSensorName_label) Cria um marcador com base em CtdSensorName e o mescla.
CtdCtrlSite principal.resource.attribute.labels (CtdCtrlSite_label) Cria e mescla um marcador de CtdCtrlSite.
CtdLoopCallDurationBaselineTrackerWrkerHandleNetworkStatistics principal.resource.attribute.labels (CtdLoopCallDurationBaselineTrackerWrkerHandleNetworkStatistics_label) Cria e mescla um marcador de CtdLoopCallDurationBaselineTrackerWrkerHandleNetworkStatistics.
CtdDissectionCoverage principal.resource.attribute.labels (CtdDissectionCoverage_label) Cria e mescla um marcador de CtdDissectionCoverage.
CtdDissectionEfficiencyModbus principal.resource.attribute.labels (CtdDissectionEfficiencyModbus_label) Cria e mescla um marcador de CtdDissectionEfficiencyModbus.
CtdDissectionEfficiencySmb principal.resource.attribute.labels (CtdDissectionEfficiencySmb_label) Cria e mescla um rótulo de CtdDissectionEfficiencySmb.
CtdDissectionEfficiencyDcerpc principal.resource.attribute.labels (CtdDissectionEfficiencyDcerpc_label) Cria e mescla um rótulo de CtdDissectionEfficiencyDcerpc.
CtdDissectionEfficiencyZabbix principal.resource.attribute.labels (CtdDissectionEfficiencyZabbix_label) Cria e mescla um rótulo de CtdDissectionEfficiencyZabbix.
CtdDissectionEfficiencyFactorytalkRna principal.resource.attribute.labels (CtdDissectionEfficiencyFactorytalkRna_label) Cria e mescla um marcador de CtdDissectionEfficiencyFactorytalkRna.
CtdDissectionEfficiencySsl principal.resource.attribute.labels (CtdDissectionEfficiencySsl_label) Cria e mescla um rótulo de CtdDissectionEfficiencySsl.
CtdDissectionEfficiencyVrrpProtocolMatcher principal.resource.attribute.labels (CtdDissectionEfficiencyVrrpProtocolMatcher_label) Cria e mescla um rótulo de "CtdDissectionEfficiencyVrrpProtocolMatcher".
CtdDissectionEfficiencyRdp principal.resource.attribute.labels (CtdDissectionEfficiencyRdp_label) Cria e mescla um marcador de CtdDissectionEfficiencyRdp.
CtdDissectionEfficiencySsh principal.resource.attribute.labels (CtdDissectionEfficiencySsh_label) Cria e mescla um rótulo de CtdDissectionEfficiencySsh.
CtdDissectionEfficiencyHttp principal.resource.attribute.labels (CtdDissectionEfficiencyHttp_label) Cria e mescla um rótulo de CtdDissectionEfficiencyHttp.
CtdDissectionEfficiencyTcpHttp principal.resource.attribute.labels (CtdDissectionEfficiencyTcpHttp_label) Cria e mescla um rótulo de CtdDissectionEfficiencyTcpHttp.
CtdDissectionEfficiencyLdap principal.resource.attribute.labels (CtdDissectionEfficiencyLdap_label) Cria e mescla um rótulo de CtdDissectionEfficiencyLdap.
CtdDissectionEfficiencyJrmi principal.resource.attribute.labels (CtdDissectionEfficiencyJrmi_label) Cria e mescla um marcador de CtdDissectionEfficiencyJrmi.
CtdDissectionEfficiencyGeIfix principal.resource.attribute.labels (CtdDissectionEfficiencyGeIfix_label) Cria e mescla um marcador de CtdDissectionEfficiencyGeIfix.
CtdDissectionEfficiencyLlc principal.resource.attribute.labels (CtdDissectionEfficiencyLlc_label) Cria e mescla um rótulo de CtdDissectionEfficiencyLlc.
CtdDissectionEfficiencyMatrikonNopc principal.resource.attribute.labels (CtdDissectionEfficiencyMatrikonNopc_label) Cria e mescla um rótulo de CtdDissectionEfficiencyMatrikonNopc.
CtdDissectionEfficiencyVnc principal.resource.attribute.labels (CtdDissectionEfficiencyVnc_label) Cria e mescla um rótulo de CtdDissectionEfficiencyVnc.
CtdUnhandledEvents principal.resource.attribute.labels (CtdUnhandledEvents_label) Cria um rótulo de CtdUnhandledEvents e o mescla.
CtdConcludeTime principal.resource.attribute.labels (CtdConcludeTime_label) Cria e mescla um marcador de CtdConcludeTime.
CtdMysqlQuery principal.resource.attribute.labels (CtdMysqlQuery_label) Cria e mescla um marcador de CtdMysqlQuery.
CtdPostgresQuery principal.resource.attribute.labels (CtdPostgresQuery_label) Cria e mescla um marcador de CtdPostgresQuery.
CtdPsqlIdleSessions principal.resource.attribute.labels (CtdPsqlIdleSessions_label) Cria e mescla um marcador de CtdPsqlIdleSessions.
CtdPsqlIdleInTransactionSessions principal.resource.attribute.labels (CtdPsqlIdleInTransactionSessions_label) Cria e mescla um rótulo de CtdPsqlIdleInTransactionSessions.
CtdSnifferStatus principal.resource.attribute.labels (CtdSnifferStatus_label) Cria e mescla um marcador de CtdSnifferStatus.
CtdLoopCallDurationPollObjects principal.resource.attribute.labels (CtdLoopCallDurationPollObjects_label) Cria um marcador de CtdLoopCallDurationPollObjects e o mescla.
CtdLoopCallDurationCloudClientWrkrBaseRunCloudConnected principal.resource.attribute.labels (CtdLoopCallDurationCloudClientWrkrBaseRunCloudConnected_label) Cria e mescla um rótulo de CtdLoopCallDurationCloudClientWrkrBaseRunCloudConnected.
CtdSnifferStatusCentral principal.resource.attribute.labels (CtdSnifferStatusCentral_label) Cria e mescla um rótulo de CtdSnifferStatusCentral.
CtdSnifferStatusSite principal.resource.attribute.labels (CtdSnifferStatusSite_label) Cria e mescla um marcador de CtdSnifferStatusSite.
CtdWrkrMailer principal.resource.attribute.labels (CtdWrkrMailer_label) Cria e mescla um marcador de CtdWrkrMailer.
CtdDroppedEntities principal.resource.attribute.labels (CtdDroppedEntities_label) Cria e mescla um marcador de CtdDroppedEntities.
externalId metadata.product_log_id Mapeia externalId para metadata.product_log_id.
proto protocol_number_src Converte o proto em maiúsculas e o atribui a protocol_number_src para pesquisa.
protocol_number_src ip_protocol_out; app_protocol_out Inicializa ip_protocol_out como UNKNOWN_IP_PROTOCOL e app_protocol_out como UNKNOWN_APPLICATION_PROTOCOL e, em seguida, atualiza com base na pesquisa.
ip_protocol_out network.ip_protocol Define network.ip_protocol de ip_protocol_out.
app_protocol_out network.application_protocol Define network.application_protocol de app_protocol_out.
CtdExternalId metadata.product_log_id Substitui metadata.product_log_id por CtdExternalId, se fornecido.
CtdDeviceExternalId principal.resource.attribute.labels (ctd_device_label) Cria e mescla um rótulo de CtdDeviceExternalId (com o prefixo CtdDeviceExternalId).
(if has_principal_device is true and ctdeventtype = Login) security_result.category; security_result.action Para eventos de login, define security_result.category como AUTH_VIOLATION e a ação como BLOCK.
(if has_principal_device is true and ctdeventtype = Memory Reset) security_result.category Define security_result.category como SOFTWARE_SUSPICIOUS.
(se target_machine_id_present for verdadeiro, has_principal_device for verdadeiro e ctdeventtype estiver em [Known Threat Alert, Known Threat Event, Man-in-the-Middle Attack, Suspicious Activity]) security_result.category Define security_result.category como NETWORK_MALICIOUS.
(if target_machine_id_present is true, has_principal_device is true, and ctdeventtype = Suspicious File Transfer) security_result.category Define security_result.category como NETWORK_SUSPICIOUS.
(if target_machine_id_present is true, has_principal_device is true, and ctdeventtype = Denial Of Service) security_result.category Define security_result.category como NETWORK_DENIAL_OF_SERVICE.
(if has_principal_device is true and ctdeventtype in [Host Scan, Port Scan]) security_result.category Define security_result.category como NETWORK_RECON.
(if target_machine_id_present is true, has_principal_device is true, and ctdeventtype in [Policy Rule Match, Policy Violation Alert, Policy Violation]) security_result.category Define security_result.category como POLICY_VIOLATION.
(padrão se has_principal_device for "true") security_result.category Define security_result.category como NETWORK_SUSPICIOUS por padrão.
security_result_category derivada security_result.category Mescla a categoria de segurança derivada em security_result.category.
Derived security_result_action security_result.action Mescla a ação de segurança derivada em security_result.action (se definida).
cs6 (com cs6Label CTDlink) metadata.url_back_to_product; security_result.url_back_to_product Define campos de URL do cs6 para backlinks aos detalhes do produto.
cs1 (com cs1Label SourceAssetType) principal.asset.category; principal.asset.type Define principal.asset.category de cs1 e determina principal.asset.type com base no valor.
cs2 (com cs2Label DestAssetType) target.asset.category; target.asset.type Define target.asset.category de cs2 e determina target.asset.type com base no valor dele.
cfp1 (com cfp1Label CVEScore) vulns.vulnerabilities.cvss_base_score Define vulns.vulnerabilities.cvss_base_score (convertido para ponto flutuante) e marca vul_fields_present como verdadeiro.
cs6 (com cs6Label CVE) vulns.vulnerabilities.cve_id Define vulns.vulnerabilities.cve_id e marca vul_fields_present como verdadeiro.
cn1 (com cn1Label IndicatorScore) security_result.confidence_score Extrai a pontuação do indicador de cn1, converte em ponto flutuante e atribui como a pontuação de confiança.
filepath about.file.full_path; security_result.about.file.full_path Mapeia o caminho do arquivo para "about.file.full_path" e "security_result.about.file.full_path".
(if eventclass = HealthCheck and cs1Label = Site) intermediary.location.name Define intermediary.location.name de cs1 quando usado como um identificador de site.
cn1 (com cn1Label) additional.fields (cn1_label) Cria um rótulo de campo adicional de cn1 e o mescla em additional.fields.
cs1 (com cs1Label) additional.fields (cs1_label) Cria um rótulo de campo adicional de cs1 e o mescla em additional.fields.
cs2 (com cs2Label) additional.fields (cs2_label) Cria um rótulo de campo adicional do cs2 e o mescla em additional.fields.
cs3 (com cs3Label) additional.fields (cs3_label) Cria e mescla um rótulo de campo adicional do cs3.
cs4 (com cs4Label) additional.fields (cs4_label) Cria e mescla um rótulo de campo adicional do cs4.
cs6 (com cs6Label) additional.fields (cs6_label) Cria e mescla um rótulo de campo adicional do cs6.
(para eventos de insight com base em event_name e vul_fields_present) event_type Deriva event_type para eventos de insight (por exemplo, SCAN_VULN_HOST, STATUS_UNCATEGORIZED, STATUS_UPDATE).
(para eventos de evento/alerta com base em ctdeventtype, has_principal_device etc.) event_type; (opcionalmente target.resource.type ou auth.type) Deriva o event_type para eventos de evento/alerta, como DEVICE_CONFIG_UPDATE, DEVICE_PROGRAM_DOWNLOAD/UPLOAD, NETWORK_UNCATEGORIZED, USER_RESOURCE_CREATION, SCAN_HOST, SCAN_NETWORK, SETTING_MODIFICATION, USER_LOGIN, NETWORK_CONNECTION ou STATUS_UPDATE.
(se event_type permanecer vazio) event_type Define event_type como NETWORK_CONNECTION, USER_RESOURCE_ACCESS ou STATUS_UPDATE com base nas flags disponíveis.
event_type (final) metadata.event_type Copia o event_type final para metadata.event_type. O padrão é GENERIC_EVENT se estiver vazio.
device_vendor metadata.vendor_name Define metadata.vendor_name de device_vendor. O padrão é CLAROTY se estiver faltando.
device_product metadata.product_name Define metadata.product_name de device_product. O padrão é CTD se estiver faltando.
device_version metadata.product_version Define metadata.product_version com base em device_version.
security_description (se corresponder a ET TROJAN …) security_result.threat_name Extrai threat_name usando o padrão ET TROJAN (?P<threat_name>\S+) de security_description e o mapeia para security_result.threat_name.
metadados event.idm.read_only_udm.metadata Renomeia os metadados para event.idm.read_only_udm.metadata.
participante event.idm.read_only_udm.principal Renomeia o principal para event.idm.read_only_udm.principal.
target event.idm.read_only_udm.target Renomeia o destino para event.idm.read_only_udm.target.
rede event.idm.read_only_udm.network Renomeia a rede para event.idm.read_only_udm.network.
adicional event.idm.read_only_udm.additional Renomeia "additional" para "event.idm.read_only_udm.additional".
security_result event.idm.read_only_udm.security_result Mescla security_result em event.idm.read_only_udm.security_result.
sobre event.idm.read_only_udm.about Mescla "about" em "event.idm.read_only_udm.about".
intermediário event.idm.read_only_udm.intermediary Mescla "intermediary" em "event.idm.read_only_udm.intermediary".
vulns.vulnerabilities event.idm.read_only_udm.extensions.vulns.vulnerabilities Mescla vulns.vulnerabilities em event.idm.read_only_udm.extensions.vulns.vulnerabilities.
@output evento Mescla a estrutura completa de eventos da UDM no campo event final.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.