收集 Claroty CTD 日志
支持的语言:
Google SecOps
SIEM
本文档介绍了如何使用 Bindplane 将 Claroty 持续威胁检测 (CTD) 日志注入到 Google Security Operations。
准备工作
- 确保您拥有 Google Security Operations 实例。
- 确保您使用的是 Windows 2016 或更高版本,或者具有
systemd的 Linux 主机。 - 如果通过代理运行,请确保防火墙端口处于开放状态。
- 确保您拥有对 Claroty CTD 的特权访问权限。
获取 Google SecOps 注入身份验证文件
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 收集代理。
- 下载注入身份验证文件。将文件安全地保存在将要安装 Bindplane 的系统上。
获取 Google SecOps 客户 ID
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 配置文件。
- 复制并保存组织详细信息部分中的客户 ID。
安装 Bindplane 代理
Windows 安装
- 以管理员身份打开命令提示符或 PowerShell。
运行以下命令:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux 安装
- 打开具有 root 或 sudo 权限的终端。
运行以下命令:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
其他安装资源
- 如需了解其他安装选项,请参阅此安装指南。
配置 Bindplane 代理以注入 Syslog 并将其发送到 Google SecOps
访问配置文件:
- 找到
config.yaml文件。通常,它位于 Linux 上的/etc/bindplane-agent/目录中或 Windows 上的安装目录中。 - 使用文本编辑器(例如
nano、vi或记事本)打开该文件。
- 找到
按如下方式修改
config.yaml文件:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: CLAROTY_CTD raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels根据基础架构的需要替换端口和 IP 地址。
将
<customer_id>替换为实际的客户 ID。将
/path/to/ingestion-authentication-file.json更新为获取 Google SecOps 提取身份验证文件部分中保存身份验证文件的路径。
重启 Bindplane 代理以应用更改
如需在 Linux 中重启 Bindplane 代理,请运行以下命令:
sudo systemctl restart bindplane-agent如需在 Windows 中重启 Bindplane 代理,您可以使用服务控制台,也可以输入以下命令:
net stop BindPlaneAgent && net start BindPlaneAgent
在 Claroty Continuous Threat Detection (CTD) 上配置 Syslog
- 登录 Claroty CTD 网页界面。
- 依次前往菜单 > 集成 > Syslog。
- 针对每种 syslog 消息内容类型重复执行以下步骤:
- 提醒
- 事件
- 健康状况监控
- 数据分析
- 活动日志
- 漏洞
- 点击 + 以添加新配置。
- 在消息内容菜单中,选择要导出的所需内容。
- 提供以下配置详细信息:
- 类别:选择全部。
- 类型:选择全选类型。
- 格式:选择 CEF(最新)。
- 系统网址:除非您位于代理服务器后面,否则请勿更新系统网址/IP。
- 发送到:选择外部 Syslog 服务器(例如 SIEM、SOAR 系统)。
- 供应商:选择其他。
- Syslog 服务器 IP:输入 Bindplane 代理 IP 地址。
- 端口:输入 Bindplane 代理端口(例如
514)。 - 协议:选择 UDP(其他选项包括 TCP、TLS 或 mTLS,具体取决于您的 Bindplane 配置)。
- 点击保存。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
| CtdRealTime | metadata.event_timestamp | 使用 MMM dd yyyy HH:mm:ss 从 CtdRealTime 进行解析,并用作事件时间戳。 |
| CtdTimeGenerated | metadata.event_timestamp | 如果 CtdRealTime 为空,则使用 CtdTimeGenerated 中的 MMM dd yyyy HH:mm:ss 进行解析,以设置事件时间戳。 |
| CtdMessage | metadata.description | 根据 CtdMessage 字段设置 metadata.description。 |
| CtdMessage | security_result.description | 在适用情况下,根据 CtdMessage 字段设置 security_result.description。 |
| 端口(来自 CtdMessage KV) | principal.port | 从 CtdMessage 中的键 Port 提取;转换为整数并设置为 principal.port。 |
| 类别(来自 CtdMessage KV) | security_result.detection_fields(Category_label) | 从 CtdMessage 中提取为键 Category 并合并到检测字段中。 |
| 访问(来自 CtdMessage KV) | security_result.detection_fields(Access_label) | 从 CtdMessage 中提取为键 Access 并合并到检测字段中。 |
| CtdSite | principal.hostname | 将 CtdSite 映射到 principal.hostname。 |
| CtdSite | principal.asset.hostname | 将 CtdSite 映射到 principal.asset.hostname。 |
| CtdCpu | principal.resource.attribute.labels (CtdCpu_label) | 使用 CtdCpu 的值创建键为 CtdCpu 的标签,并将其合并到 principal.resource.attribute.labels 中。 |
| CtdMem | principal.resource.attribute.labels (CtdMem_label) | 使用 CtdMem 的值创建键为 CtdMem 的标签,并将其合并到 principal.resource.attribute.labels 中。 |
| CtdUsedOptIcsranger | principal.resource.attribute.labels (CtdUsedOptIcsranger_label) | 根据 CtdUsedOptIcsranger 创建标签并将其合并。 |
| CtdUsedVar | principal.resource.attribute.labels (CtdUsedVar_label) | 根据 CtdUsedVar 创建标签并合并。 |
| CtdUsedTmp | principal.resource.attribute.labels (CtdUsedTmp_label) | 根据 CtdUsedTmp 创建标签并合并。 |
| CtdUsedEtc | principal.resource.attribute.labels (CtdUsedEtc_label) | 根据 CtdUsedEtc 创建标签并将其合并。 |
| CtdBusyFd | principal.resource.attribute.labels (CtdBusyFd_label) | 根据 CtdBusyFd 创建标签并将其合并。 |
| CtdBusySda | principal.resource.attribute.labels (CtdBusySda_label) | 根据 CtdBusySda 创建标签并合并。 |
| CtdBusySdaA | principal.resource.attribute.labels (CtdBusySdaA_label) | 根据 CtdBusySdaA 创建标签并将其合并。 |
| CtdBusySdaB | principal.resource.attribute.labels (CtdBusySdaB_label) | 从 CtdBusySdaB 创建标签并合并。 |
| CtdBusySr | principal.resource.attribute.labels (CtdBusySr_label) | 根据 CtdBusySr 创建标签并将其合并。 |
| CtdBusyDm | principal.resource.attribute.labels (CtdBusyDm_label) | 根据 CtdBusyDm 创建标签并合并。 |
| CtdBusyDmA | principal.resource.attribute.labels (CtdBusyDmA_label) | 根据 CtdBusyDmA 创建标签并合并。 |
| CtdQuPreprocessingNg | principal.resource.attribute.labels (CtdQuPreprocessingNg_label) | 从 CtdQuPreprocessingNg 创建标签并合并。 |
| CtdQuBaselineTracker | principal.resource.attribute.labels (CtdQuBaselineTracker_label) | 根据 CtdQuBaselineTracker 创建标签并合并。 |
| CtdQuBridge | principal.resource.attribute.labels (CtdQuBridge_label) | 从 CtdQuBridge 创建标签并将其合并。 |
| CtdQuCentralBridge | principal.resource.attribute.labels (CtdQuCentralBridge_label) | 从 CtdQuCentralBridge 创建标签并将其合并。 |
| CtdQuConcluding | principal.resource.attribute.labels (CtdQuConcluding_label) | 根据 CtdQuConcluding 创建标签并合并。 |
| CtdQuDiodeFeeder | principal.resource.attribute.labels (CtdQuDiodeFeeder_label) | 根据 CtdQuDiodeFeeder 创建标签并将其合并。 |
| CtdQuDissector | principal.resource.attribute.labels (CtdQuDissector_label) | 从 CtdQuDissector 创建标签并合并。 |
| CtdQuDissectorA | principal.resource.attribute.labels (CtdQuDissectorA_label) | 根据 CtdQuDissectorA 创建标签并将其合并。 |
| CtdQuDissectorNg | principal.resource.attribute.labels (CtdQuDissectorNg_label) | 从 CtdQuDissectorNg 创建标签并合并。 |
| CtdQuIndicatorService | principal.resource.attribute.labels (CtdQuIndicatorService_label) | 从 CtdQuIndicatorService 创建标签并合并。 |
| CtdQuLeecher | principal.resource.attribute.labels (CtdQuLeecher_label) | 根据 CtdQuLeecher 创建标签并将其合并。 |
| CtdQuMonitor | principal.resource.attribute.labels (CtdQuMonitor_label) | 从 CtdQuMonitor 创建标签并合并。 |
| CtdQuNetworkStatistics | principal.resource.attribute.labels (CtdQuNetworkStatistics_label) | 根据 CtdQuNetworkStatistics 创建标签并合并。 |
| CtdQuPackets | principal.resource.attribute.labels (CtdQuPackets_label) | 根据 CtdQuPackets 创建标签并合并。 |
| CtdQuPacketsErrors | principal.resource.attribute.labels (CtdQuPacketsErrors_label) | 根据 CtdQuPacketsErrors 创建标签并将其合并。 |
| CtdQuPreprocessing | principal.resource.attribute.labels (CtdQuPreprocessing_label) | 从 CtdQuPreprocessing 创建标签并合并。 |
| CtdQuPriorityProcessing | principal.resource.attribute.labels (CtdQuPriorityProcessing_label) | 根据 CtdQuPriorityProcessing 创建标签并将其合并。 |
| CtdQuProcessing | principal.resource.attribute.labels (CtdQuProcessing_label) | 从 CtdQuProcessing 创建标签并将其合并。 |
| CtdQuProcessingHigh | principal.resource.attribute.labels (CtdQuProcessingHigh_label) | 根据 CtdQuProcessingHigh 创建标签并将其合并。 |
| CtdQuZordonUpdates | principal.resource.attribute.labels (CtdQuZordonUpdates_label) | 从 CtdQuZordonUpdates 创建标签并合并。 |
| CtdQuStatisticsNg | principal.resource.attribute.labels (CtdQuStatisticsNg_label) | 根据 CtdQuStatisticsNg 创建标签并合并。 |
| CtdQueuePurge | principal.resource.attribute.labels (CtdQueuePurge_label) | 从 CtdQueuePurge 创建标签并合并。 |
| CtdQuSyslogAlerts | principal.resource.attribute.labels (CtdQuSyslogAlerts_label) | 从 CtdQuSyslogAlerts 创建标签并将其合并。 |
| CtdQuSyslogEvents | principal.resource.attribute.labels (CtdQuSyslogEvents_label) | 从 CtdQuSyslogEvents 创建标签并合并。 |
| CtdQuSyslogInsights | principal.resource.attribute.labels (CtdQuSyslogInsights_label) | 根据 CtdQuSyslogInsights 创建标签并将其合并。 |
| CtdRdDissector | principal.resource.attribute.labels (CtdRdDissector_label) | 根据 CtdRdDissector 创建标签并合并。 |
| CtdRdDissectorA | principal.resource.attribute.labels (CtdRdDissectorA_label) | 根据 CtdRdDissectorA 创建标签并将其合并。 |
| CtdRdDissectorNg | principal.resource.attribute.labels (CtdRdDissectorNg_label) | 从 CtdRdDissectorNg 创建标签并合并。 |
| CtdRdPreprocessing | principal.resource.attribute.labels (CtdRdPreprocessing_label) | 从 CtdRdPreprocessing 创建标签并合并。 |
| CtdRdPreprocessingNg | principal.resource.attribute.labels (CtdRdPreprocessingNg_label) | 从 CtdRdPreprocessingNg 创建标签并合并。 |
| CtdSvcMariaDb | principal.resource.attribute.labels (CtdSvcMariaDb_label) | 从 CtdSvcMariaDb 创建标签并合并。 |
| CtdSvcPostgres | principal.resource.attribute.labels (CtdSvcPostgres_label) | 从 CtdSvcPostgres 创建标签并将其合并。 |
| CtdSvcRedis | principal.resource.attribute.labels (CtdSvcRedis_label) | 从 CtdSvcRedis 创建标签并合并。 |
| CtdSvcRabbitMq | principal.resource.attribute.labels (CtdSvcRabbitMq_label) | 从 CtdSvcRabbitMq 创建标签并合并。 |
| CtdSvcIcsranger | principal.resource.attribute.labels (CtdSvcIcsranger_label) | 从 CtdSvcIcsranger 创建标签并将其合并。 |
| CtdSvcWatchdog | principal.resource.attribute.labels (CtdSvcWatchdog_label) | 从 CtdSvcWatchdog 创建标签并合并。 |
| CtdSvcFirewalld | principal.resource.attribute.labels (CtdSvcFirewalld_label) | 从 CtdSvcFirewalld 创建标签并合并。 |
| CtdSvcNetunnel | principal.resource.attribute.labels (CtdSvcNetunnel_label) | 从 CtdSvcNetunnel 创建标签并合并。 |
| CtdSvcJwthenticator | principal.resource.attribute.labels (CtdSvcJwthenticator_label) | 从 CtdSvcJwthenticator 创建标签并合并。 |
| CtdSvcDocker | principal.resource.attribute.labels (CtdSvcDocker_label) | 从 CtdSvcDocker 创建标签并合并。 |
| CtdExceptions | principal.resource.attribute.labels (CtdExceptions_label) | 根据 CtdException 创建标签并合并。 |
| CtdInputPacketDrops | principal.resource.attribute.labels (CtdInputPacketDrops_label) | 根据 CtdInputPacketDrops 创建标签并合并。 |
| CtdOutputPacketDrops | principal.resource.attribute.labels (CtdOutputPacketDrops_label) | 根据 CtdOutputPacketDrops 创建标签并合并。 |
| CtdFullOutputPacketDrops | principal.resource.attribute.labels (CtdFullOutputPacketDrops_label) | 根据 CtdFullOutputPacketDrops 创建标签并合并。 |
| CtdDissectorNgPacketDrops | principal.resource.attribute.labels (CtdDissectorNgPacketDrops_label) | 从 CtdDissectorNgPacketDrops 创建标签并合并。 |
| CtdTagArtifactsDropsPreprocessor | principal.resource.attribute.labels (CtdTagArtifactsDropsPreprocessor_label) | 从 CtdTagArtifactsDropsPreprocessor 创建标签并合并。 |
| CtdTagArtifactsDropsPreprocessorSum | principal.resource.attribute.labels (CtdTagArtifactsDropsPreprocessorSum_label) | 根据 CtdTagArtifactsDropsPreprocessorSum 创建标签并合并。 |
| CtdTagArtifactsDropsProcessor | principal.resource.attribute.labels (CtdTagArtifactsDropsProcessor_label) | 从 CtdTagArtifactsDropsProcessor 创建标签并合并。 |
| CtdTagArtifactsDropsProcessorSum | principal.resource.attribute.labels (CtdTagArtifactsDropsProcessorSum_label) | 根据 CtdTagArtifactsDropsProcessorSum 创建标签并合并。 |
| CtdTagArtifactsDropsSniffer | principal.resource.attribute.labels (CtdTagArtifactsDropsSniffer_label) | 从 CtdTagArtifactsDropsSniffer 创建标签并合并。 |
| CtdTagArtifactsDropsSnifferSum | principal.resource.attribute.labels (CtdTagArtifactsDropsSnifferSum_label) | 根据 CtdTagArtifactsDropsSnifferSum 创建标签并合并。 |
| CtdTagArtifactsDropsDissectorPypy | principal.resource.attribute.labels (CtdTagArtifactsDropsDissectorPypy_label) | 从 CtdTagArtifactsDropsDissectorPypy 创建标签并合并。 |
| CtdTagArtifactsDropsDissectorPypySum | principal.resource.attribute.labels (CtdTagArtifactsDropsDissectorPypySum_label) | 根据 CtdTagArtifactsDropsDissectorPypySum 创建标签并合并。 |
| CtdCapsaverFolderCleanup | principal.resource.attribute.labels (CtdCapsaverFolderCleanup_label) | 根据 CtdCapsaverFolderCleanup 创建标签并将其合并。 |
| CtdCapsaverUtilzationTest | principal.resource.attribute.labels (CtdCapsaverUtilzationTest_label) | 根据 CtdCapsaverUtilzationTest 创建标签并合并。 |
| CtdYaraScannerTest | principal.resource.attribute.labels (CtdYaraScannerTest_label) | 从 CtdYaraScannerTest 创建标签并合并。 |
| CtdWrkrWorkersStop | principal.resource.attribute.labels (CtdWrkrWorkersStop_label) | 从 CtdWrkrWorkersStop 创建标签并合并。 |
| CtdWrkrWorkersRestart | principal.resource.attribute.labels (CtdWrkrWorkersRestart_label) | 根据 CtdWrkrWorkersRestart 创建标签并合并。 |
| CtdWrkrActiveExecuter | principal.resource.attribute.labels (CtdWrkrActiveExecuter_label) | 从 CtdWrkrActiveExecuter 创建标签并合并。 |
| CtdWrkrSensor | principal.resource.attribute.labels (CtdWrkrSensor_label) | 从 CtdWrkrSensor 创建标签并将其合并。 |
| CtdWrkrAuthentication | principal.resource.attribute.labels (CtdWrkrAuthentication_label) | 根据 CtdWrkrAuthentication 创建标签并将其合并。 |
| CtdWrkrMitre | principal.resource.attribute.labels (CtdWrkrMitre_label) | 从 CtdWrkrMitre 创建标签并合并。 |
| CtdWrkrNotifications | principal.resource.attribute.labels (CtdWrkrNotifications_label) | 从 CtdWrkrNotifications 创建标签并合并。 |
| CtdWrkrProcessor | principal.resource.attribute.labels (CtdWrkrProcessor_label) | 根据 CtdWrkrProcessor 创建标签并将其合并。 |
| CtdWrkrCloudAgent | principal.resource.attribute.labels (CtdWrkrCloudAgent_label) | 从 CtdWrkrCloudAgent 创建标签并合并。 |
| CtdWrkrCloudClient | principal.resource.attribute.labels (CtdWrkrCloudClient_label) | 从 CtdWrkrCloudClient 创建标签并合并。 |
| CtdWrkrScheduler | principal.resource.attribute.labels (CtdWrkrScheduler_label) | 从 CtdWrkrScheduler 创建标签并合并。 |
| CtdWrkrknownThreats | principal.resource.attribute.labels (CtdWrkrknownThreats_label) | 从 CtdWrkrknownThreats 创建标签并合并。 |
| CtdWrkrCacher | principal.resource.attribute.labels (CtdWrkrCacher_label) | 从 CtdWrkrCacher 创建标签并合并。 |
| CtdWrkrInsights | principal.resource.attribute.labels (CtdWrkrInsights_label) | 根据 CtdWrkrInsights 创建标签并将其合并。 |
| CtdWrkrActive | principal.resource.attribute.labels (CtdWrkrActive_label) | 根据 CtdWrkrActive 创建标签并将其合并。 |
| CtdWrkrEnricher | principal.resource.attribute.labels (CtdWrkrEnricher_label) | 从 CtdWrkrEnricher 创建标签并合并。 |
| CtdWrkrIndicators | principal.resource.attribute.labels (CtdWrkrIndicators_label) | 根据 CtdWrkrIndicators 创建标签并合并。 |
| CtdWrkrIndicatorsApi | principal.resource.attribute.labels (CtdWrkrIndicatorsApi_label) | 从 CtdWrkrIndicatorsApi 创建标签并合并。 |
| CtdWrkrConcluder | principal.resource.attribute.labels (CtdWrkrConcluder_label) | 根据 CtdWrkrConcluder 创建标签并将其合并。 |
| CtdWrkrPreprocessor | principal.resource.attribute.labels (CtdWrkrPreprocessor_label) | 从 CtdWrkrPreprocessor 创建标签并合并。 |
| CtdWrkrLeecher | principal.resource.attribute.labels (CtdWrkrLeecher_label) | 从 CtdWrkrLeecher 创建标签并合并。 |
| CtdWrkrSyncManager | principal.resource.attribute.labels (CtdWrkrSyncManager_label) | 从 CtdWrkrSyncManager 创建标签并合并。 |
| CtdWrkrBridge | principal.resource.attribute.labels (CtdWrkrBridge_label) | 从 CtdWrkrBridge 创建标签并合并。 |
| CtdWrkrWebRanger | principal.resource.attribute.labels (CtdWrkrWebRanger_label) | 从 CtdWrkrWebRanger 创建标签并合并。 |
| CtdWrkrWebWs | principal.resource.attribute.labels (CtdWrkrWebWs_label) | 从 CtdWrkrWebWs 创建标签并合并。 |
| CtdWrkrWebAuth | principal.resource.attribute.labels (CtdWrkrWebAuth_label) | 根据 CtdWrkrWebAuth 创建标签并将其合并。 |
| CtdWrkrWebNginx | principal.resource.attribute.labels (CtdWrkrWebNginx_label) | 从 CtdWrkrWebNginx 创建标签并合并。 |
| CtdWrkrConfigurator | principal.resource.attribute.labels (CtdWrkrConfigurator_label) | 从 CtdWrkrConfigurator 创建标签并合并。 |
| CtdWrkrConfiguratorNginx | principal.resource.attribute.labels (CtdWrkrConfiguratorNginx_label) | 从 CtdWrkrConfiguratorNginx 创建标签并合并。 |
| CtdWrkrCapsaver | principal.resource.attribute.labels (CtdWrkrCapsaver_label) | 从 CtdWrkrCapsaver 创建标签并合并。 |
| CtdWrkrBaselineTracker | principal.resource.attribute.labels (CtdWrkrBaselineTracker_label) | 从 CtdWrkrBaselineTracker 创建标签并合并。 |
| CtdWrkrDissector | principal.resource.attribute.labels (CtdWrkrDissector_label) | 从 CtdWrkrDissector 创建标签并合并。 |
| CtdWrkrDissectorA | principal.resource.attribute.labels (CtdWrkrDissectorA_label) | 从 CtdWrkrDissectorA 创建标签并将其合并。 |
| CtdWrkrDissectorNg | principal.resource.attribute.labels (CtdWrkrDissectorNg_label) | 从 CtdWrkrDissectorNg 创建标签并合并。 |
| CtdWrkrPreprocessing | principal.resource.attribute.labels (CtdWrkrPreprocessing_label) | 从 CtdWrkrPreprocessing 创建标签并将其合并。 |
| CtdWrkrPreprocessingNg | principal.resource.attribute.labels (CtdWrkrPreprocessingNg_label) | 从 CtdWrkrPreprocessingNg 创建标签并合并。 |
| CtdWrkrStatisticsNg | principal.resource.attribute.labels (CtdWrkrStatisticsNg_label) | 根据 CtdWrkrStatisticsNg 创建标签并将其合并。 |
| CtdWrkrSyslogAlerts | principal.resource.attribute.labels (CtdWrkrSyslogAlerts_label) | 从 CtdWrkrSyslogAlerts 创建标签并合并。 |
| CtdWrkrSyslogEvents | principal.resource.attribute.labels (CtdWrkrSyslogEvents_label) | 从 CtdWrkrSyslogEvents 创建标签并合并。 |
| CtdWrkrSyslogInsights | principal.resource.attribute.labels (CtdWrkrSyslogInsights_label) | 根据 CtdWrkrSyslogInsights 创建标签并将其合并。 |
| CtdWrkrRdDissector | principal.resource.attribute.labels (CtdWrkrRdDissector_label) | 根据 CtdWrkrRdDissector 创建标签并将其合并。 |
| CtdWrkrRdDissectorA | principal.resource.attribute.labels (CtdWrkrRdDissectorA_label) | 从 CtdWrkrRdDissectorA 创建标签并合并。 |
| CtdSensorName | principal.resource.attribute.labels (CtdSensorName_label) | 根据 CtdSensorName 创建标签并将其合并。 |
| CtdCtrlSite | principal.resource.attribute.labels (CtdCtrlSite_label) | 根据 CtdCtrlSite 创建标签并将其合并。 |
| CtdLoopCallDurationBaselineTrackerWrkerHandleNetworkStatistics | principal.resource.attribute.labels (CtdLoopCallDurationBaselineTrackerWrkerHandleNetworkStatistics_label) | 根据 CtdLoopCallDurationBaselineTrackerWrkerHandleNetworkStatistics 创建标签并合并。 |
| CtdDissectionCoverage | principal.resource.attribute.labels (CtdDissectionCoverage_label) | 根据 CtdDissectionCoverage 创建标签并合并。 |
| CtdDissectionEfficiencyModbus | principal.resource.attribute.labels (CtdDissectionEfficiencyModbus_label) | 根据 CtdDissectionEfficiencyModbus 创建标签并合并。 |
| CtdDissectionEfficiencySmb | principal.resource.attribute.labels (CtdDissectionEfficiencySmb_label) | 根据 CtdDissectionEfficiencySmb 创建标签并合并。 |
| CtdDissectionEfficiencyDcerpc | principal.resource.attribute.labels (CtdDissectionEfficiencyDcerpc_label) | 根据 CtdDissectionEfficiencyDcerpc 创建标签并合并。 |
| CtdDissectionEfficiencyZabbix | principal.resource.attribute.labels (CtdDissectionEfficiencyZabbix_label) | 根据 CtdDissectionEfficiencyZabbix 创建标签并合并。 |
| CtdDissectionEfficiencyFactorytalkRna | principal.resource.attribute.labels (CtdDissectionEfficiencyFactorytalkRna_label) | 从 CtdDissectionEfficiencyFactorytalkRna 创建标签并合并。 |
| CtdDissectionEfficiencySsl | principal.resource.attribute.labels (CtdDissectionEfficiencySsl_label) | 根据 CtdDissectionEfficiencySsl 创建标签并合并。 |
| CtdDissectionEfficiencyVrrpProtocolMatcher | principal.resource.attribute.labels (CtdDissectionEfficiencyVrrpProtocolMatcher_label) | 根据 CtdDissectionEfficiencyVrrpProtocolMatcher 创建标签并合并。 |
| CtdDissectionEfficiencyRdp | principal.resource.attribute.labels (CtdDissectionEfficiencyRdp_label) | 根据 CtdDissectionEfficiencyRdp 创建标签并合并。 |
| CtdDissectionEfficiencySsh | principal.resource.attribute.labels (CtdDissectionEfficiencySsh_label) | 根据 CtdDissectionEfficiencySsh 创建标签并合并。 |
| CtdDissectionEfficiencyHttp | principal.resource.attribute.labels (CtdDissectionEfficiencyHttp_label) | 从 CtdDissectionEfficiencyHttp 创建标签并合并。 |
| CtdDissectionEfficiencyTcpHttp | principal.resource.attribute.labels (CtdDissectionEfficiencyTcpHttp_label) | 根据 CtdDissectionEfficiencyTcpHttp 创建标签并合并。 |
| CtdDissectionEfficiencyLdap | principal.resource.attribute.labels (CtdDissectionEfficiencyLdap_label) | 根据 CtdDissectionEfficiencyLdap 创建标签并将其合并。 |
| CtdDissectionEfficiencyJrmi | principal.resource.attribute.labels (CtdDissectionEfficiencyJrmi_label) | 根据 CtdDissectionEfficiencyJrmi 创建标签并合并。 |
| CtdDissectionEfficiencyGeIfix | principal.resource.attribute.labels (CtdDissectionEfficiencyGeIfix_label) | 根据 CtdDissectionEfficiencyGeIfix 创建标签并合并。 |
| CtdDissectionEfficiencyLlc | principal.resource.attribute.labels (CtdDissectionEfficiencyLlc_label) | 从 CtdDissectionEfficiencyLlc 创建标签并合并。 |
| CtdDissectionEfficiencyMatrikonNopc | principal.resource.attribute.labels (CtdDissectionEfficiencyMatrikonNopc_label) | 根据 CtdDissectionEfficiencyMatrikonNopc 创建标签并合并。 |
| CtdDissectionEfficiencyVnc | principal.resource.attribute.labels (CtdDissectionEfficiencyVnc_label) | 根据 CtdDissectionEfficiencyVnc 创建标签并合并。 |
| CtdUnhandledEvents | principal.resource.attribute.labels (CtdUnhandledEvents_label) | 根据 CtdUnhandledEvents 创建标签并合并。 |
| CtdConcludeTime | principal.resource.attribute.labels (CtdConcludeTime_label) | 根据 CtdConcludeTime 创建标签并合并。 |
| CtdMysqlQuery | principal.resource.attribute.labels (CtdMysqlQuery_label) | 根据 CtdMysqlQuery 创建标签并合并。 |
| CtdPostgresQuery | principal.resource.attribute.labels (CtdPostgresQuery_label) | 从 CtdPostgresQuery 创建标签并合并。 |
| CtdPsqlIdleSessions | principal.resource.attribute.labels (CtdPsqlIdleSessions_label) | 从 CtdPsqlIdleSessions 创建标签并合并。 |
| CtdPsqlIdleInTransactionSessions | principal.resource.attribute.labels (CtdPsqlIdleInTransactionSessions_label) | 根据 CtdPsqlIdleInTransactionSessions 创建标签并合并。 |
| CtdSnifferStatus | principal.resource.attribute.labels (CtdSnifferStatus_label) | 根据 CtdSnifferStatus 创建标签并合并。 |
| CtdLoopCallDurationPollObjects | principal.resource.attribute.labels (CtdLoopCallDurationPollObjects_label) | 根据 CtdLoopCallDurationPollObjects 创建标签并合并。 |
| CtdLoopCallDurationCloudClientWrkrBaseRunCloudConnected | principal.resource.attribute.labels (CtdLoopCallDurationCloudClientWrkrBaseRunCloudConnected_label) | 根据 CtdLoopCallDurationCloudClientWrkrBaseRunCloudConnected 创建标签并合并。 |
| CtdSnifferStatusCentral | principal.resource.attribute.labels (CtdSnifferStatusCentral_label) | 根据 CtdSnifferStatusCentral 创建标签并合并。 |
| CtdSnifferStatusSite | principal.resource.attribute.labels (CtdSnifferStatusSite_label) | 根据 CtdSnifferStatusSite 创建标签并合并。 |
| CtdWrkrMailer | principal.resource.attribute.labels (CtdWrkrMailer_label) | 从 CtdWrkrMailer 创建标签并合并。 |
| CtdDroppedEntities | principal.resource.attribute.labels (CtdDroppedEntities_label) | 根据 CtdDroppedEntities 创建标签并合并。 |
| externalId | metadata.product_log_id | 将 externalId 映射到 metadata.product_log_id。 |
| proto | protocol_number_src | 将 proto 转换为大写,并将其分配给 protocol_number_src 以供查找。 |
| protocol_number_src | ip_protocol_out; app_protocol_out | 将 ip_protocol_out 初始化为 UNKNOWN_IP_PROTOCOL,将 app_protocol_out 初始化为 UNKNOWN_APPLICATION_PROTOCOL,然后根据查找结果进行更新。 |
| ip_protocol_out | network.ip_protocol | 根据 ip_protocol_out 设置 network.ip_protocol。 |
| app_protocol_out | network.application_protocol | 根据 app_protocol_out 设置 network.application_protocol。 |
| CtdExternalId | metadata.product_log_id | 如果提供了 CtdExternalId,则会使用该值覆盖 metadata.product_log_id。 |
| CtdDeviceExternalId | principal.resource.attribute.labels (ctd_device_label) | 根据 CtdDeviceExternalId(以 CtdDeviceExternalId 为前缀)创建标签并合并。 |
(如果 has_principal_device 为 true 且 ctdeventtype = Login) |
security_result.category; security_result.action | 对于登录事件,将 security_result.category 设置为 AUTH_VIOLATION,并将 action 设置为 BLOCK。 |
(如果 has_principal_device 为 true 且 ctdeventtype = Memory Reset) |
security_result.category | 将 security_result.category 设置为 SOFTWARE_SUSPICIOUS。 |
(如果 target_machine_id_present 为 true、has_principal_device 为 true,且 ctdeventtype 属于 [Known Threat Alert, Known Threat Event, Man-in-the-Middle Attack, Suspicious Activity]) |
security_result.category | 将 security_result.category 设置为 NETWORK_MALICIOUS。 |
(如果 target_machine_id_present 为 true,has_principal_device 为 true,且 ctdeventtype = Suspicious File Transfer) |
security_result.category | 将 security_result.category 设置为 NETWORK_SUSPICIOUS。 |
(如果 target_machine_id_present 为 true,has_principal_device 为 true,且 ctdeventtype = Denial Of Service) |
security_result.category | 将 security_result.category 设置为 NETWORK_DENIAL_OF_SERVICE。 |
(如果 has_principal_device 为 true 且 ctdeventtype 属于 [Host Scan, Port Scan]) |
security_result.category | 将 security_result.category 设置为 NETWORK_RECON。 |
(如果 target_machine_id_present 为 true,has_principal_device 为 true,且 ctdeventtype 属于 [Policy Rule Match, Policy Violation Alert, Policy Violation]) |
security_result.category | 将 security_result.category 设置为 POLICY_VIOLATION。 |
| (如果 has_principal_device 为 true,则为默认值) | security_result.category | 默认将 security_result.category 设置为 NETWORK_SUSPICIOUS。 |
| 派生的 security_result_category | security_result.category | 将派生的安全类别合并到 security_result.category 中。 |
| 派生的 security_result_action | security_result.action | 将派生的安全操作合并到 security_result.action 中(如果已设置)。 |
cs6(带有 cs6Label CTDlink) |
metadata.url_back_to_product; security_result.url_back_to_product | 设置来自 cs6 的网址字段,以用于反向链接到商品详情。 |
cs1(带有 cs1Label SourceAssetType) |
principal.asset.category; principal.asset.type | 根据 cs1 设置 principal.asset.category,并根据其值确定 principal.asset.type。 |
cs2(带有 cs2Label DestAssetType) |
target.asset.category; target.asset.type | 根据 cs2 设置 target.asset.category,并根据其值确定 target.asset.type。 |
cfp1(带有 cfp1Label CVEScore) |
vulns.vulnerabilities.cvss_base_score | 设置 vulns.vulnerabilities.cvss_base_score(转换为浮点数),并将 vul_fields_present 标记为 true。 |
cs6(带有 cs6Label CVE) |
vulns.vulnerabilities.cve_id | 设置 vulns.vulnerabilities.cve_id 并将 vul_fields_present 标记为 true。 |
cn1(cn1Label 为 IndicatorScore) |
security_result.confidence_score | 从 cn1 中提取指示器得分,将其转换为浮点数,并将其分配为置信度得分。 |
| filepath | about.file.full_path; security_result.about.file.full_path | 将文件路径映射到 about.file.full_path 和 security_result.about.file.full_path。 |
(如果 eventclass = HealthCheck 且 cs1Label = Site) |
intermediary.location.name | 当用作网站标识符时,从 cs1 设置 intermediary.location.name。 |
| cn1(带有 cn1Label) | additional.fields (cn1_label) | 根据 cn1 创建一个额外的字段标签,并将其合并到 additional.fields 中。 |
| cs1(带有 cs1Label) | additional.fields (cs1_label) | 根据 cs1 创建一个额外的字段标签,并将其合并到 additional.fields 中。 |
| cs2(带有 cs2Label) | additional.fields (cs2_label) | 根据 cs2 创建一个额外的字段标签,并将其合并到 additional.fields 中。 |
| cs3(带有 cs3Label) | additional.fields (cs3_label) | 根据 cs3 创建额外的字段标签并合并。 |
| cs4(带有 cs4Label) | additional.fields (cs4_label) | 根据 cs4 创建额外的字段标签并合并。 |
| cs6(带有 cs6Label) | additional.fields (cs6_label) | 根据 cs6 创建额外的字段标签并将其合并。 |
| (对于基于 event_name 和 vul_fields_present 的数据洞见事件) | event_type | 为数据分析事件(例如 SCAN_VULN_HOST、STATUS_UNCATEGORIZED、STATUS_UPDATE)派生 event_type。 |
| (对于基于 ctdeventtype、has_principal_device 等的事件/提醒事件) | event_type;(可选)target.resource.type 或 auth.type | 派生事件/提醒事件(例如 DEVICE_CONFIG_UPDATE、DEVICE_PROGRAM_DOWNLOAD/UPLOAD、NETWORK_UNCATEGORIZED、USER_RESOURCE_CREATION、SCAN_HOST、SCAN_NETWORK、SETTING_MODIFICATION、USER_LOGIN、NETWORK_CONNECTION 或 STATUS_UPDATE)的 event_type。 |
| (如果 event_type 仍为空) | event_type | 根据可用的标志将 event_type 设置为 NETWORK_CONNECTION、USER_RESOURCE_ACCESS 或 STATUS_UPDATE。 |
| event_type(最终) | metadata.event_type | 将最终的 event_type 复制到 metadata.event_type 中;如果为空,则默认为 GENERIC_EVENT。 |
| device_vendor | metadata.vendor_name | 根据 device_vendor 设置 metadata.vendor_name;如果缺少该值,则默认为 CLAROTY。 |
| device_product | metadata.product_name | 根据 device_product 设置 metadata.product_name;如果缺少该值,则默认为 CTD。 |
| device_version | metadata.product_version | 根据 device_version 设置 metadata.product_version。 |
security_description(如果匹配 ET TROJAN …) |
security_result.threat_name | 使用 ET TROJAN (?P<threat_name>\S+) 模式从 security_description 中提取 threat_name,并将其映射到 security_result.threat_name。 |
| 元数据 | event.idm.read_only_udm.metadata | 将元数据重命名为 event.idm.read_only_udm.metadata。 |
| 主账号 | event.idm.read_only_udm.principal | 将主账号重命名为 event.idm.read_only_udm.principal。 |
| 目标 | event.idm.read_only_udm.target | 将目标重命名为 event.idm.read_only_udm.target。 |
| 网络 | event.idm.read_only_udm.network | 将网络重命名为 event.idm.read_only_udm.network。 |
| 其他 | event.idm.read_only_udm.additional | 将 additional 重命名为 event.idm.read_only_udm.additional。 |
| security_result | event.idm.read_only_udm.security_result | 将 security_result 合并到 event.idm.read_only_udm.security_result 中。 |
| 关于 | event.idm.read_only_udm.about | 将 about 合并到 event.idm.read_only_udm.about 中。 |
| 中介 | event.idm.read_only_udm.intermediary | 将中介合并到 event.idm.read_only_udm.intermediary 中。 |
| vulns.vulnerabilities | event.idm.read_only_udm.extensions.vulns.vulnerabilities | 将 vulns.vulnerabilities 合并到 event.idm.read_only_udm.extensions.vulns.vulnerabilities 中。 |
| @output | 事件 | 将完整的 UDM 事件结构合并到最终的 event 字段中。 |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。