收集 Claroty CTD 日志
支持的语言:
Google SecOps
SIEM
本文档介绍了如何使用 Bindplane 将 Claroty 持续威胁检测 (CTD) 日志注入到 Google Security Operations。
准备工作
- 确保您拥有 Google Security Operations 实例。
- 确保您使用的是 Windows 2016 或更高版本,或者具有
systemd
的 Linux 主机。 - 如果通过代理运行,请确保防火墙端口处于开放状态。
- 确保您拥有对 Claroty CTD 的特权访问权限。
获取 Google SecOps 注入身份验证文件
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 收集代理。
- 下载注入身份验证文件。将文件安全地保存在将要安装 Bindplane 的系统上。
获取 Google SecOps 客户 ID
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 配置文件。
- 复制并保存组织详细信息部分中的客户 ID。
安装 Bindplane 代理
Windows 安装
- 以管理员身份打开命令提示符或 PowerShell。
运行以下命令:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux 安装
- 打开具有 root 或 sudo 权限的终端。
运行以下命令:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
其他安装资源
- 如需了解其他安装选项,请参阅此安装指南。
配置 Bindplane 代理以注入 Syslog 并将其发送到 Google SecOps
访问配置文件:
- 找到
config.yaml
文件。通常,它位于 Linux 上的/etc/bindplane-agent/
目录中或 Windows 上的安装目录中。 - 使用文本编辑器(例如
nano
、vi
或记事本)打开该文件。
- 找到
按如下方式修改
config.yaml
文件:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: CLAROTY_CTD raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels
根据基础架构的需要替换端口和 IP 地址。
将
<customer_id>
替换为实际的客户 ID。将
/path/to/ingestion-authentication-file.json
更新为获取 Google SecOps 提取身份验证文件部分中保存身份验证文件的路径。
重启 Bindplane 代理以应用更改
如需在 Linux 中重启 Bindplane 代理,请运行以下命令:
sudo systemctl restart bindplane-agent
如需在 Windows 中重启 Bindplane 代理,您可以使用服务控制台,也可以输入以下命令:
net stop BindPlaneAgent && net start BindPlaneAgent
在 Claroty Continuous Threat Detection (CTD) 上配置 Syslog
- 登录 Claroty CTD 网页界面。
- 依次前往菜单 > 集成 > Syslog。
- 针对每种 syslog 消息内容类型重复执行以下步骤:
- 提醒
- 事件
- 健康状况监控
- 数据分析
- 活动日志
- 漏洞
- 点击 + 以添加新配置。
- 在消息内容菜单中,选择要导出的所需内容。
- 提供以下配置详细信息:
- 类别:选择全部。
- 类型:选择全选类型。
- 格式:选择 CEF(最新)。
- 系统网址:除非您位于代理服务器后面,否则请勿更新系统网址/IP。
- 发送到:选择外部 Syslog 服务器(例如 SIEM、SOAR 系统)。
- 供应商:选择其他。
- Syslog 服务器 IP:输入 Bindplane 代理 IP 地址。
- 端口:输入 Bindplane 代理端口(例如
514
)。 - 协议:选择 UDP(其他选项包括 TCP、TLS 或 mTLS,具体取决于您的 Bindplane 配置)。
- 点击保存。
UDM 映射表
日志字段 | UDM 映射 | 逻辑 |
---|---|---|
CtdRealTime | metadata.event_timestamp | 使用 MMM dd yyyy HH:mm:ss 从 CtdRealTime 进行解析,并用作事件时间戳。 |
CtdTimeGenerated | metadata.event_timestamp | 如果 CtdRealTime 为空,则使用 CtdTimeGenerated 中的 MMM dd yyyy HH:mm:ss 进行解析,以设置事件时间戳。 |
CtdMessage | metadata.description | 根据 CtdMessage 字段设置 metadata.description。 |
CtdMessage | security_result.description | 在适用情况下,根据 CtdMessage 字段设置 security_result.description。 |
端口(来自 CtdMessage KV) | principal.port | 从 CtdMessage 中的键 Port 提取;转换为整数并设置为 principal.port。 |
类别(来自 CtdMessage KV) | security_result.detection_fields(Category_label) | 从 CtdMessage 中提取为键 Category 并合并到检测字段中。 |
访问(来自 CtdMessage KV) | security_result.detection_fields(Access_label) | 从 CtdMessage 中提取为键 Access 并合并到检测字段中。 |
CtdSite | principal.hostname | 将 CtdSite 映射到 principal.hostname。 |
CtdSite | principal.asset.hostname | 将 CtdSite 映射到 principal.asset.hostname。 |
CtdCpu | principal.resource.attribute.labels (CtdCpu_label) | 使用 CtdCpu 的值创建键为 CtdCpu 的标签,并将其合并到 principal.resource.attribute.labels 中。 |
CtdMem | principal.resource.attribute.labels (CtdMem_label) | 使用 CtdMem 的值创建键为 CtdMem 的标签,并将其合并到 principal.resource.attribute.labels 中。 |
CtdUsedOptIcsranger | principal.resource.attribute.labels (CtdUsedOptIcsranger_label) | 根据 CtdUsedOptIcsranger 创建标签并将其合并。 |
CtdUsedVar | principal.resource.attribute.labels (CtdUsedVar_label) | 根据 CtdUsedVar 创建标签并合并。 |
CtdUsedTmp | principal.resource.attribute.labels (CtdUsedTmp_label) | 根据 CtdUsedTmp 创建标签并合并。 |
CtdUsedEtc | principal.resource.attribute.labels (CtdUsedEtc_label) | 根据 CtdUsedEtc 创建标签并将其合并。 |
CtdBusyFd | principal.resource.attribute.labels (CtdBusyFd_label) | 根据 CtdBusyFd 创建标签并将其合并。 |
CtdBusySda | principal.resource.attribute.labels (CtdBusySda_label) | 根据 CtdBusySda 创建标签并合并。 |
CtdBusySdaA | principal.resource.attribute.labels (CtdBusySdaA_label) | 根据 CtdBusySdaA 创建标签并将其合并。 |
CtdBusySdaB | principal.resource.attribute.labels (CtdBusySdaB_label) | 从 CtdBusySdaB 创建标签并合并。 |
CtdBusySr | principal.resource.attribute.labels (CtdBusySr_label) | 根据 CtdBusySr 创建标签并将其合并。 |
CtdBusyDm | principal.resource.attribute.labels (CtdBusyDm_label) | 根据 CtdBusyDm 创建标签并合并。 |
CtdBusyDmA | principal.resource.attribute.labels (CtdBusyDmA_label) | 根据 CtdBusyDmA 创建标签并合并。 |
CtdQuPreprocessingNg | principal.resource.attribute.labels (CtdQuPreprocessingNg_label) | 从 CtdQuPreprocessingNg 创建标签并合并。 |
CtdQuBaselineTracker | principal.resource.attribute.labels (CtdQuBaselineTracker_label) | 根据 CtdQuBaselineTracker 创建标签并合并。 |
CtdQuBridge | principal.resource.attribute.labels (CtdQuBridge_label) | 从 CtdQuBridge 创建标签并将其合并。 |
CtdQuCentralBridge | principal.resource.attribute.labels (CtdQuCentralBridge_label) | 从 CtdQuCentralBridge 创建标签并将其合并。 |
CtdQuConcluding | principal.resource.attribute.labels (CtdQuConcluding_label) | 根据 CtdQuConcluding 创建标签并合并。 |
CtdQuDiodeFeeder | principal.resource.attribute.labels (CtdQuDiodeFeeder_label) | 根据 CtdQuDiodeFeeder 创建标签并将其合并。 |
CtdQuDissector | principal.resource.attribute.labels (CtdQuDissector_label) | 从 CtdQuDissector 创建标签并合并。 |
CtdQuDissectorA | principal.resource.attribute.labels (CtdQuDissectorA_label) | 根据 CtdQuDissectorA 创建标签并将其合并。 |
CtdQuDissectorNg | principal.resource.attribute.labels (CtdQuDissectorNg_label) | 从 CtdQuDissectorNg 创建标签并合并。 |
CtdQuIndicatorService | principal.resource.attribute.labels (CtdQuIndicatorService_label) | 从 CtdQuIndicatorService 创建标签并合并。 |
CtdQuLeecher | principal.resource.attribute.labels (CtdQuLeecher_label) | 根据 CtdQuLeecher 创建标签并将其合并。 |
CtdQuMonitor | principal.resource.attribute.labels (CtdQuMonitor_label) | 从 CtdQuMonitor 创建标签并合并。 |
CtdQuNetworkStatistics | principal.resource.attribute.labels (CtdQuNetworkStatistics_label) | 根据 CtdQuNetworkStatistics 创建标签并合并。 |
CtdQuPackets | principal.resource.attribute.labels (CtdQuPackets_label) | 根据 CtdQuPackets 创建标签并合并。 |
CtdQuPacketsErrors | principal.resource.attribute.labels (CtdQuPacketsErrors_label) | 根据 CtdQuPacketsErrors 创建标签并将其合并。 |
CtdQuPreprocessing | principal.resource.attribute.labels (CtdQuPreprocessing_label) | 从 CtdQuPreprocessing 创建标签并合并。 |
CtdQuPriorityProcessing | principal.resource.attribute.labels (CtdQuPriorityProcessing_label) | 根据 CtdQuPriorityProcessing 创建标签并将其合并。 |
CtdQuProcessing | principal.resource.attribute.labels (CtdQuProcessing_label) | 从 CtdQuProcessing 创建标签并将其合并。 |
CtdQuProcessingHigh | principal.resource.attribute.labels (CtdQuProcessingHigh_label) | 根据 CtdQuProcessingHigh 创建标签并将其合并。 |
CtdQuZordonUpdates | principal.resource.attribute.labels (CtdQuZordonUpdates_label) | 从 CtdQuZordonUpdates 创建标签并合并。 |
CtdQuStatisticsNg | principal.resource.attribute.labels (CtdQuStatisticsNg_label) | 根据 CtdQuStatisticsNg 创建标签并合并。 |
CtdQueuePurge | principal.resource.attribute.labels (CtdQueuePurge_label) | 从 CtdQueuePurge 创建标签并合并。 |
CtdQuSyslogAlerts | principal.resource.attribute.labels (CtdQuSyslogAlerts_label) | 从 CtdQuSyslogAlerts 创建标签并将其合并。 |
CtdQuSyslogEvents | principal.resource.attribute.labels (CtdQuSyslogEvents_label) | 从 CtdQuSyslogEvents 创建标签并合并。 |
CtdQuSyslogInsights | principal.resource.attribute.labels (CtdQuSyslogInsights_label) | 根据 CtdQuSyslogInsights 创建标签并将其合并。 |
CtdRdDissector | principal.resource.attribute.labels (CtdRdDissector_label) | 根据 CtdRdDissector 创建标签并合并。 |
CtdRdDissectorA | principal.resource.attribute.labels (CtdRdDissectorA_label) | 根据 CtdRdDissectorA 创建标签并将其合并。 |
CtdRdDissectorNg | principal.resource.attribute.labels (CtdRdDissectorNg_label) | 从 CtdRdDissectorNg 创建标签并合并。 |
CtdRdPreprocessing | principal.resource.attribute.labels (CtdRdPreprocessing_label) | 从 CtdRdPreprocessing 创建标签并合并。 |
CtdRdPreprocessingNg | principal.resource.attribute.labels (CtdRdPreprocessingNg_label) | 从 CtdRdPreprocessingNg 创建标签并合并。 |
CtdSvcMariaDb | principal.resource.attribute.labels (CtdSvcMariaDb_label) | 从 CtdSvcMariaDb 创建标签并合并。 |
CtdSvcPostgres | principal.resource.attribute.labels (CtdSvcPostgres_label) | 从 CtdSvcPostgres 创建标签并将其合并。 |
CtdSvcRedis | principal.resource.attribute.labels (CtdSvcRedis_label) | 从 CtdSvcRedis 创建标签并合并。 |
CtdSvcRabbitMq | principal.resource.attribute.labels (CtdSvcRabbitMq_label) | 从 CtdSvcRabbitMq 创建标签并合并。 |
CtdSvcIcsranger | principal.resource.attribute.labels (CtdSvcIcsranger_label) | 从 CtdSvcIcsranger 创建标签并将其合并。 |
CtdSvcWatchdog | principal.resource.attribute.labels (CtdSvcWatchdog_label) | 从 CtdSvcWatchdog 创建标签并合并。 |
CtdSvcFirewalld | principal.resource.attribute.labels (CtdSvcFirewalld_label) | 从 CtdSvcFirewalld 创建标签并合并。 |
CtdSvcNetunnel | principal.resource.attribute.labels (CtdSvcNetunnel_label) | 从 CtdSvcNetunnel 创建标签并合并。 |
CtdSvcJwthenticator | principal.resource.attribute.labels (CtdSvcJwthenticator_label) | 从 CtdSvcJwthenticator 创建标签并合并。 |
CtdSvcDocker | principal.resource.attribute.labels (CtdSvcDocker_label) | 从 CtdSvcDocker 创建标签并合并。 |
CtdExceptions | principal.resource.attribute.labels (CtdExceptions_label) | 根据 CtdException 创建标签并合并。 |
CtdInputPacketDrops | principal.resource.attribute.labels (CtdInputPacketDrops_label) | 根据 CtdInputPacketDrops 创建标签并合并。 |
CtdOutputPacketDrops | principal.resource.attribute.labels (CtdOutputPacketDrops_label) | 根据 CtdOutputPacketDrops 创建标签并合并。 |
CtdFullOutputPacketDrops | principal.resource.attribute.labels (CtdFullOutputPacketDrops_label) | 根据 CtdFullOutputPacketDrops 创建标签并合并。 |
CtdDissectorNgPacketDrops | principal.resource.attribute.labels (CtdDissectorNgPacketDrops_label) | 从 CtdDissectorNgPacketDrops 创建标签并合并。 |
CtdTagArtifactsDropsPreprocessor | principal.resource.attribute.labels (CtdTagArtifactsDropsPreprocessor_label) | 从 CtdTagArtifactsDropsPreprocessor 创建标签并合并。 |
CtdTagArtifactsDropsPreprocessorSum | principal.resource.attribute.labels (CtdTagArtifactsDropsPreprocessorSum_label) | 根据 CtdTagArtifactsDropsPreprocessorSum 创建标签并合并。 |
CtdTagArtifactsDropsProcessor | principal.resource.attribute.labels (CtdTagArtifactsDropsProcessor_label) | 从 CtdTagArtifactsDropsProcessor 创建标签并合并。 |
CtdTagArtifactsDropsProcessorSum | principal.resource.attribute.labels (CtdTagArtifactsDropsProcessorSum_label) | 根据 CtdTagArtifactsDropsProcessorSum 创建标签并合并。 |
CtdTagArtifactsDropsSniffer | principal.resource.attribute.labels (CtdTagArtifactsDropsSniffer_label) | 从 CtdTagArtifactsDropsSniffer 创建标签并合并。 |
CtdTagArtifactsDropsSnifferSum | principal.resource.attribute.labels (CtdTagArtifactsDropsSnifferSum_label) | 根据 CtdTagArtifactsDropsSnifferSum 创建标签并合并。 |
CtdTagArtifactsDropsDissectorPypy | principal.resource.attribute.labels (CtdTagArtifactsDropsDissectorPypy_label) | 从 CtdTagArtifactsDropsDissectorPypy 创建标签并合并。 |
CtdTagArtifactsDropsDissectorPypySum | principal.resource.attribute.labels (CtdTagArtifactsDropsDissectorPypySum_label) | 根据 CtdTagArtifactsDropsDissectorPypySum 创建标签并合并。 |
CtdCapsaverFolderCleanup | principal.resource.attribute.labels (CtdCapsaverFolderCleanup_label) | 根据 CtdCapsaverFolderCleanup 创建标签并将其合并。 |
CtdCapsaverUtilzationTest | principal.resource.attribute.labels (CtdCapsaverUtilzationTest_label) | 根据 CtdCapsaverUtilzationTest 创建标签并合并。 |
CtdYaraScannerTest | principal.resource.attribute.labels (CtdYaraScannerTest_label) | 从 CtdYaraScannerTest 创建标签并合并。 |
CtdWrkrWorkersStop | principal.resource.attribute.labels (CtdWrkrWorkersStop_label) | 从 CtdWrkrWorkersStop 创建标签并合并。 |
CtdWrkrWorkersRestart | principal.resource.attribute.labels (CtdWrkrWorkersRestart_label) | 根据 CtdWrkrWorkersRestart 创建标签并合并。 |
CtdWrkrActiveExecuter | principal.resource.attribute.labels (CtdWrkrActiveExecuter_label) | 从 CtdWrkrActiveExecuter 创建标签并合并。 |
CtdWrkrSensor | principal.resource.attribute.labels (CtdWrkrSensor_label) | 从 CtdWrkrSensor 创建标签并将其合并。 |
CtdWrkrAuthentication | principal.resource.attribute.labels (CtdWrkrAuthentication_label) | 根据 CtdWrkrAuthentication 创建标签并将其合并。 |
CtdWrkrMitre | principal.resource.attribute.labels (CtdWrkrMitre_label) | 从 CtdWrkrMitre 创建标签并合并。 |
CtdWrkrNotifications | principal.resource.attribute.labels (CtdWrkrNotifications_label) | 从 CtdWrkrNotifications 创建标签并合并。 |
CtdWrkrProcessor | principal.resource.attribute.labels (CtdWrkrProcessor_label) | 根据 CtdWrkrProcessor 创建标签并将其合并。 |
CtdWrkrCloudAgent | principal.resource.attribute.labels (CtdWrkrCloudAgent_label) | 从 CtdWrkrCloudAgent 创建标签并合并。 |
CtdWrkrCloudClient | principal.resource.attribute.labels (CtdWrkrCloudClient_label) | 从 CtdWrkrCloudClient 创建标签并合并。 |
CtdWrkrScheduler | principal.resource.attribute.labels (CtdWrkrScheduler_label) | 从 CtdWrkrScheduler 创建标签并合并。 |
CtdWrkrknownThreats | principal.resource.attribute.labels (CtdWrkrknownThreats_label) | 从 CtdWrkrknownThreats 创建标签并合并。 |
CtdWrkrCacher | principal.resource.attribute.labels (CtdWrkrCacher_label) | 从 CtdWrkrCacher 创建标签并合并。 |
CtdWrkrInsights | principal.resource.attribute.labels (CtdWrkrInsights_label) | 根据 CtdWrkrInsights 创建标签并将其合并。 |
CtdWrkrActive | principal.resource.attribute.labels (CtdWrkrActive_label) | 根据 CtdWrkrActive 创建标签并将其合并。 |
CtdWrkrEnricher | principal.resource.attribute.labels (CtdWrkrEnricher_label) | 从 CtdWrkrEnricher 创建标签并合并。 |
CtdWrkrIndicators | principal.resource.attribute.labels (CtdWrkrIndicators_label) | 根据 CtdWrkrIndicators 创建标签并合并。 |
CtdWrkrIndicatorsApi | principal.resource.attribute.labels (CtdWrkrIndicatorsApi_label) | 从 CtdWrkrIndicatorsApi 创建标签并合并。 |
CtdWrkrConcluder | principal.resource.attribute.labels (CtdWrkrConcluder_label) | 根据 CtdWrkrConcluder 创建标签并将其合并。 |
CtdWrkrPreprocessor | principal.resource.attribute.labels (CtdWrkrPreprocessor_label) | 从 CtdWrkrPreprocessor 创建标签并合并。 |
CtdWrkrLeecher | principal.resource.attribute.labels (CtdWrkrLeecher_label) | 从 CtdWrkrLeecher 创建标签并合并。 |
CtdWrkrSyncManager | principal.resource.attribute.labels (CtdWrkrSyncManager_label) | 从 CtdWrkrSyncManager 创建标签并合并。 |
CtdWrkrBridge | principal.resource.attribute.labels (CtdWrkrBridge_label) | 从 CtdWrkrBridge 创建标签并合并。 |
CtdWrkrWebRanger | principal.resource.attribute.labels (CtdWrkrWebRanger_label) | 从 CtdWrkrWebRanger 创建标签并合并。 |
CtdWrkrWebWs | principal.resource.attribute.labels (CtdWrkrWebWs_label) | 从 CtdWrkrWebWs 创建标签并合并。 |
CtdWrkrWebAuth | principal.resource.attribute.labels (CtdWrkrWebAuth_label) | 根据 CtdWrkrWebAuth 创建标签并将其合并。 |
CtdWrkrWebNginx | principal.resource.attribute.labels (CtdWrkrWebNginx_label) | 从 CtdWrkrWebNginx 创建标签并合并。 |
CtdWrkrConfigurator | principal.resource.attribute.labels (CtdWrkrConfigurator_label) | 从 CtdWrkrConfigurator 创建标签并合并。 |
CtdWrkrConfiguratorNginx | principal.resource.attribute.labels (CtdWrkrConfiguratorNginx_label) | 从 CtdWrkrConfiguratorNginx 创建标签并合并。 |
CtdWrkrCapsaver | principal.resource.attribute.labels (CtdWrkrCapsaver_label) | 从 CtdWrkrCapsaver 创建标签并合并。 |
CtdWrkrBaselineTracker | principal.resource.attribute.labels (CtdWrkrBaselineTracker_label) | 从 CtdWrkrBaselineTracker 创建标签并合并。 |
CtdWrkrDissector | principal.resource.attribute.labels (CtdWrkrDissector_label) | 从 CtdWrkrDissector 创建标签并合并。 |
CtdWrkrDissectorA | principal.resource.attribute.labels (CtdWrkrDissectorA_label) | 从 CtdWrkrDissectorA 创建标签并将其合并。 |
CtdWrkrDissectorNg | principal.resource.attribute.labels (CtdWrkrDissectorNg_label) | 从 CtdWrkrDissectorNg 创建标签并合并。 |
CtdWrkrPreprocessing | principal.resource.attribute.labels (CtdWrkrPreprocessing_label) | 从 CtdWrkrPreprocessing 创建标签并将其合并。 |
CtdWrkrPreprocessingNg | principal.resource.attribute.labels (CtdWrkrPreprocessingNg_label) | 从 CtdWrkrPreprocessingNg 创建标签并合并。 |
CtdWrkrStatisticsNg | principal.resource.attribute.labels (CtdWrkrStatisticsNg_label) | 根据 CtdWrkrStatisticsNg 创建标签并将其合并。 |
CtdWrkrSyslogAlerts | principal.resource.attribute.labels (CtdWrkrSyslogAlerts_label) | 从 CtdWrkrSyslogAlerts 创建标签并合并。 |
CtdWrkrSyslogEvents | principal.resource.attribute.labels (CtdWrkrSyslogEvents_label) | 从 CtdWrkrSyslogEvents 创建标签并合并。 |
CtdWrkrSyslogInsights | principal.resource.attribute.labels (CtdWrkrSyslogInsights_label) | 根据 CtdWrkrSyslogInsights 创建标签并将其合并。 |
CtdWrkrRdDissector | principal.resource.attribute.labels (CtdWrkrRdDissector_label) | 根据 CtdWrkrRdDissector 创建标签并将其合并。 |
CtdWrkrRdDissectorA | principal.resource.attribute.labels (CtdWrkrRdDissectorA_label) | 从 CtdWrkrRdDissectorA 创建标签并合并。 |
CtdSensorName | principal.resource.attribute.labels (CtdSensorName_label) | 根据 CtdSensorName 创建标签并将其合并。 |
CtdCtrlSite | principal.resource.attribute.labels (CtdCtrlSite_label) | 根据 CtdCtrlSite 创建标签并将其合并。 |
CtdLoopCallDurationBaselineTrackerWrkerHandleNetworkStatistics | principal.resource.attribute.labels (CtdLoopCallDurationBaselineTrackerWrkerHandleNetworkStatistics_label) | 根据 CtdLoopCallDurationBaselineTrackerWrkerHandleNetworkStatistics 创建标签并合并。 |
CtdDissectionCoverage | principal.resource.attribute.labels (CtdDissectionCoverage_label) | 根据 CtdDissectionCoverage 创建标签并合并。 |
CtdDissectionEfficiencyModbus | principal.resource.attribute.labels (CtdDissectionEfficiencyModbus_label) | 根据 CtdDissectionEfficiencyModbus 创建标签并合并。 |
CtdDissectionEfficiencySmb | principal.resource.attribute.labels (CtdDissectionEfficiencySmb_label) | 根据 CtdDissectionEfficiencySmb 创建标签并合并。 |
CtdDissectionEfficiencyDcerpc | principal.resource.attribute.labels (CtdDissectionEfficiencyDcerpc_label) | 根据 CtdDissectionEfficiencyDcerpc 创建标签并合并。 |
CtdDissectionEfficiencyZabbix | principal.resource.attribute.labels (CtdDissectionEfficiencyZabbix_label) | 根据 CtdDissectionEfficiencyZabbix 创建标签并合并。 |
CtdDissectionEfficiencyFactorytalkRna | principal.resource.attribute.labels (CtdDissectionEfficiencyFactorytalkRna_label) | 从 CtdDissectionEfficiencyFactorytalkRna 创建标签并合并。 |
CtdDissectionEfficiencySsl | principal.resource.attribute.labels (CtdDissectionEfficiencySsl_label) | 根据 CtdDissectionEfficiencySsl 创建标签并合并。 |
CtdDissectionEfficiencyVrrpProtocolMatcher | principal.resource.attribute.labels (CtdDissectionEfficiencyVrrpProtocolMatcher_label) | 根据 CtdDissectionEfficiencyVrrpProtocolMatcher 创建标签并合并。 |
CtdDissectionEfficiencyRdp | principal.resource.attribute.labels (CtdDissectionEfficiencyRdp_label) | 根据 CtdDissectionEfficiencyRdp 创建标签并合并。 |
CtdDissectionEfficiencySsh | principal.resource.attribute.labels (CtdDissectionEfficiencySsh_label) | 根据 CtdDissectionEfficiencySsh 创建标签并合并。 |
CtdDissectionEfficiencyHttp | principal.resource.attribute.labels (CtdDissectionEfficiencyHttp_label) | 从 CtdDissectionEfficiencyHttp 创建标签并合并。 |
CtdDissectionEfficiencyTcpHttp | principal.resource.attribute.labels (CtdDissectionEfficiencyTcpHttp_label) | 根据 CtdDissectionEfficiencyTcpHttp 创建标签并合并。 |
CtdDissectionEfficiencyLdap | principal.resource.attribute.labels (CtdDissectionEfficiencyLdap_label) | 根据 CtdDissectionEfficiencyLdap 创建标签并将其合并。 |
CtdDissectionEfficiencyJrmi | principal.resource.attribute.labels (CtdDissectionEfficiencyJrmi_label) | 根据 CtdDissectionEfficiencyJrmi 创建标签并合并。 |
CtdDissectionEfficiencyGeIfix | principal.resource.attribute.labels (CtdDissectionEfficiencyGeIfix_label) | 根据 CtdDissectionEfficiencyGeIfix 创建标签并合并。 |
CtdDissectionEfficiencyLlc | principal.resource.attribute.labels (CtdDissectionEfficiencyLlc_label) | 从 CtdDissectionEfficiencyLlc 创建标签并合并。 |
CtdDissectionEfficiencyMatrikonNopc | principal.resource.attribute.labels (CtdDissectionEfficiencyMatrikonNopc_label) | 根据 CtdDissectionEfficiencyMatrikonNopc 创建标签并合并。 |
CtdDissectionEfficiencyVnc | principal.resource.attribute.labels (CtdDissectionEfficiencyVnc_label) | 根据 CtdDissectionEfficiencyVnc 创建标签并合并。 |
CtdUnhandledEvents | principal.resource.attribute.labels (CtdUnhandledEvents_label) | 根据 CtdUnhandledEvents 创建标签并合并。 |
CtdConcludeTime | principal.resource.attribute.labels (CtdConcludeTime_label) | 根据 CtdConcludeTime 创建标签并合并。 |
CtdMysqlQuery | principal.resource.attribute.labels (CtdMysqlQuery_label) | 根据 CtdMysqlQuery 创建标签并合并。 |
CtdPostgresQuery | principal.resource.attribute.labels (CtdPostgresQuery_label) | 从 CtdPostgresQuery 创建标签并合并。 |
CtdPsqlIdleSessions | principal.resource.attribute.labels (CtdPsqlIdleSessions_label) | 从 CtdPsqlIdleSessions 创建标签并合并。 |
CtdPsqlIdleInTransactionSessions | principal.resource.attribute.labels (CtdPsqlIdleInTransactionSessions_label) | 根据 CtdPsqlIdleInTransactionSessions 创建标签并合并。 |
CtdSnifferStatus | principal.resource.attribute.labels (CtdSnifferStatus_label) | 根据 CtdSnifferStatus 创建标签并合并。 |
CtdLoopCallDurationPollObjects | principal.resource.attribute.labels (CtdLoopCallDurationPollObjects_label) | 根据 CtdLoopCallDurationPollObjects 创建标签并合并。 |
CtdLoopCallDurationCloudClientWrkrBaseRunCloudConnected | principal.resource.attribute.labels (CtdLoopCallDurationCloudClientWrkrBaseRunCloudConnected_label) | 根据 CtdLoopCallDurationCloudClientWrkrBaseRunCloudConnected 创建标签并合并。 |
CtdSnifferStatusCentral | principal.resource.attribute.labels (CtdSnifferStatusCentral_label) | 根据 CtdSnifferStatusCentral 创建标签并合并。 |
CtdSnifferStatusSite | principal.resource.attribute.labels (CtdSnifferStatusSite_label) | 根据 CtdSnifferStatusSite 创建标签并合并。 |
CtdWrkrMailer | principal.resource.attribute.labels (CtdWrkrMailer_label) | 从 CtdWrkrMailer 创建标签并合并。 |
CtdDroppedEntities | principal.resource.attribute.labels (CtdDroppedEntities_label) | 根据 CtdDroppedEntities 创建标签并合并。 |
externalId | metadata.product_log_id | 将 externalId 映射到 metadata.product_log_id。 |
proto | protocol_number_src | 将 proto 转换为大写,并将其分配给 protocol_number_src 以供查找。 |
protocol_number_src | ip_protocol_out; app_protocol_out | 将 ip_protocol_out 初始化为 UNKNOWN_IP_PROTOCOL ,将 app_protocol_out 初始化为 UNKNOWN_APPLICATION_PROTOCOL ,然后根据查找结果进行更新。 |
ip_protocol_out | network.ip_protocol | 根据 ip_protocol_out 设置 network.ip_protocol。 |
app_protocol_out | network.application_protocol | 根据 app_protocol_out 设置 network.application_protocol。 |
CtdExternalId | metadata.product_log_id | 如果提供了 CtdExternalId,则会使用该值覆盖 metadata.product_log_id。 |
CtdDeviceExternalId | principal.resource.attribute.labels (ctd_device_label) | 根据 CtdDeviceExternalId(以 CtdDeviceExternalId 为前缀)创建标签并合并。 |
(如果 has_principal_device 为 true 且 ctdeventtype = Login ) |
security_result.category; security_result.action | 对于登录事件,将 security_result.category 设置为 AUTH_VIOLATION ,并将 action 设置为 BLOCK 。 |
(如果 has_principal_device 为 true 且 ctdeventtype = Memory Reset ) |
security_result.category | 将 security_result.category 设置为 SOFTWARE_SUSPICIOUS 。 |
(如果 target_machine_id_present 为 true、has_principal_device 为 true,且 ctdeventtype 属于 [Known Threat Alert , Known Threat Event , Man-in-the-Middle Attack , Suspicious Activity ]) |
security_result.category | 将 security_result.category 设置为 NETWORK_MALICIOUS 。 |
(如果 target_machine_id_present 为 true,has_principal_device 为 true,且 ctdeventtype = Suspicious File Transfer ) |
security_result.category | 将 security_result.category 设置为 NETWORK_SUSPICIOUS 。 |
(如果 target_machine_id_present 为 true,has_principal_device 为 true,且 ctdeventtype = Denial Of Service ) |
security_result.category | 将 security_result.category 设置为 NETWORK_DENIAL_OF_SERVICE 。 |
(如果 has_principal_device 为 true 且 ctdeventtype 属于 [Host Scan , Port Scan ]) |
security_result.category | 将 security_result.category 设置为 NETWORK_RECON 。 |
(如果 target_machine_id_present 为 true,has_principal_device 为 true,且 ctdeventtype 属于 [Policy Rule Match , Policy Violation Alert , Policy Violation ]) |
security_result.category | 将 security_result.category 设置为 POLICY_VIOLATION 。 |
(如果 has_principal_device 为 true,则为默认值) | security_result.category | 默认将 security_result.category 设置为 NETWORK_SUSPICIOUS 。 |
派生的 security_result_category | security_result.category | 将派生的安全类别合并到 security_result.category 中。 |
派生的 security_result_action | security_result.action | 将派生的安全操作合并到 security_result.action 中(如果已设置)。 |
cs6(带有 cs6Label CTDlink ) |
metadata.url_back_to_product; security_result.url_back_to_product | 设置来自 cs6 的网址字段,以用于反向链接到商品详情。 |
cs1(带有 cs1Label SourceAssetType ) |
principal.asset.category; principal.asset.type | 根据 cs1 设置 principal.asset.category,并根据其值确定 principal.asset.type。 |
cs2(带有 cs2Label DestAssetType ) |
target.asset.category; target.asset.type | 根据 cs2 设置 target.asset.category,并根据其值确定 target.asset.type。 |
cfp1(带有 cfp1Label CVEScore ) |
vulns.vulnerabilities.cvss_base_score | 设置 vulns.vulnerabilities.cvss_base_score(转换为浮点数),并将 vul_fields_present 标记为 true。 |
cs6(带有 cs6Label CVE ) |
vulns.vulnerabilities.cve_id | 设置 vulns.vulnerabilities.cve_id 并将 vul_fields_present 标记为 true。 |
cn1(cn1Label 为 IndicatorScore ) |
security_result.confidence_score | 从 cn1 中提取指示器得分,将其转换为浮点数,并将其分配为置信度得分。 |
filepath | about.file.full_path; security_result.about.file.full_path | 将文件路径映射到 about.file.full_path 和 security_result.about.file.full_path。 |
(如果 eventclass = HealthCheck 且 cs1Label = Site ) |
intermediary.location.name | 当用作网站标识符时,从 cs1 设置 intermediary.location.name。 |
cn1(带有 cn1Label) | additional.fields (cn1_label) | 根据 cn1 创建一个额外的字段标签,并将其合并到 additional.fields 中。 |
cs1(带有 cs1Label) | additional.fields (cs1_label) | 根据 cs1 创建一个额外的字段标签,并将其合并到 additional.fields 中。 |
cs2(带有 cs2Label) | additional.fields (cs2_label) | 根据 cs2 创建一个额外的字段标签,并将其合并到 additional.fields 中。 |
cs3(带有 cs3Label) | additional.fields (cs3_label) | 根据 cs3 创建额外的字段标签并合并。 |
cs4(带有 cs4Label) | additional.fields (cs4_label) | 根据 cs4 创建额外的字段标签并合并。 |
cs6(带有 cs6Label) | additional.fields (cs6_label) | 根据 cs6 创建额外的字段标签并将其合并。 |
(对于基于 event_name 和 vul_fields_present 的数据洞见事件) | event_type | 为数据分析事件(例如 SCAN_VULN_HOST、STATUS_UNCATEGORIZED、STATUS_UPDATE)派生 event_type。 |
(对于基于 ctdeventtype、has_principal_device 等的事件/提醒事件) | event_type;(可选)target.resource.type 或 auth.type | 派生事件/提醒事件(例如 DEVICE_CONFIG_UPDATE、DEVICE_PROGRAM_DOWNLOAD/UPLOAD、NETWORK_UNCATEGORIZED、USER_RESOURCE_CREATION、SCAN_HOST、SCAN_NETWORK、SETTING_MODIFICATION、USER_LOGIN、NETWORK_CONNECTION 或 STATUS_UPDATE)的 event_type。 |
(如果 event_type 仍为空) | event_type | 根据可用的标志将 event_type 设置为 NETWORK_CONNECTION、USER_RESOURCE_ACCESS 或 STATUS_UPDATE。 |
event_type(最终) | metadata.event_type | 将最终的 event_type 复制到 metadata.event_type 中;如果为空,则默认为 GENERIC_EVENT 。 |
device_vendor | metadata.vendor_name | 根据 device_vendor 设置 metadata.vendor_name;如果缺少该值,则默认为 CLAROTY 。 |
device_product | metadata.product_name | 根据 device_product 设置 metadata.product_name;如果缺少该值,则默认为 CTD 。 |
device_version | metadata.product_version | 根据 device_version 设置 metadata.product_version。 |
security_description(如果匹配 ET TROJAN … ) |
security_result.threat_name | 使用 ET TROJAN (?P<threat_name>\S+) 模式从 security_description 中提取 threat_name,并将其映射到 security_result.threat_name。 |
元数据 | event.idm.read_only_udm.metadata | 将元数据重命名为 event.idm.read_only_udm.metadata。 |
主账号 | event.idm.read_only_udm.principal | 将主账号重命名为 event.idm.read_only_udm.principal。 |
目标 | event.idm.read_only_udm.target | 将目标重命名为 event.idm.read_only_udm.target。 |
网络 | event.idm.read_only_udm.network | 将网络重命名为 event.idm.read_only_udm.network。 |
其他 | event.idm.read_only_udm.additional | 将 additional 重命名为 event.idm.read_only_udm.additional。 |
security_result | event.idm.read_only_udm.security_result | 将 security_result 合并到 event.idm.read_only_udm.security_result 中。 |
关于 | event.idm.read_only_udm.about | 将 about 合并到 event.idm.read_only_udm.about 中。 |
中介 | event.idm.read_only_udm.intermediary | 将中介合并到 event.idm.read_only_udm.intermediary 中。 |
vulns.vulnerabilities | event.idm.read_only_udm.extensions.vulns.vulnerabilities | 将 vulns.vulnerabilities 合并到 event.idm.read_only_udm.extensions.vulns.vulnerabilities 中。 |
@output | 事件 | 将完整的 UDM 事件结构合并到最终的 event 字段中。 |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。