收集 Claroty CTD 日志

支持的语言:

本文档介绍了如何使用 Bindplane 将 Claroty 持续威胁检测 (CTD) 日志注入到 Google Security Operations。

准备工作

  • 确保您拥有 Google Security Operations 实例。
  • 确保您使用的是 Windows 2016 或更高版本,或者具有 systemd 的 Linux 主机。
  • 如果通过代理运行,请确保防火墙端口处于开放状态。
  • 确保您拥有对 Claroty CTD 的特权访问权限。

获取 Google SecOps 注入身份验证文件

  1. 登录 Google SecOps 控制台。
  2. 依次前往 SIEM 设置 > 收集代理
  3. 下载注入身份验证文件。将文件安全地保存在将要安装 Bindplane 的系统上。

获取 Google SecOps 客户 ID

  1. 登录 Google SecOps 控制台。
  2. 依次前往 SIEM 设置 > 配置文件
  3. 复制并保存组织详细信息部分中的客户 ID

安装 Bindplane 代理

Windows 安装

  1. 以管理员身份打开命令提示符PowerShell
  2. 运行以下命令:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
    

Linux 安装

  1. 打开具有 root 或 sudo 权限的终端。
  2. 运行以下命令:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
    

其他安装资源

  • 如需了解其他安装选项,请参阅此安装指南

配置 Bindplane 代理以注入 Syslog 并将其发送到 Google SecOps

  1. 访问配置文件:

    1. 找到 config.yaml 文件。通常,它位于 Linux 上的 /etc/bindplane-agent/ 目录中或 Windows 上的安装目录中。
    2. 使用文本编辑器(例如 nanovi 或记事本)打开该文件。
  2. 按如下方式修改 config.yaml 文件:

    receivers:
        udplog:
            # Replace the port and IP address as required
            listen_address: "0.0.0.0:514"
    
    exporters:
        chronicle/chronicle_w_labels:
            compression: gzip
            # Adjust the path to the credentials file you downloaded in Step 1
            creds: '/path/to/ingestion-authentication-file.json'
            # Replace with your actual customer ID from Step 2
            customer_id: <customer_id>
            endpoint: malachiteingestion-pa.googleapis.com
            # Add optional ingestion labels for better organization
            ingestion_labels:
                log_type: CLAROTY_CTD
                raw_log_field: body
    
    service:
        pipelines:
            logs/source0__chronicle_w_labels-0:
                receivers:
                    - udplog
                exporters:
                    - chronicle/chronicle_w_labels
    
  3. 根据基础架构的需要替换端口和 IP 地址。

  4. <customer_id> 替换为实际的客户 ID。

  5. /path/to/ingestion-authentication-file.json 更新为获取 Google SecOps 提取身份验证文件部分中保存身份验证文件的路径。

重启 Bindplane 代理以应用更改

  • 如需在 Linux 中重启 Bindplane 代理,请运行以下命令:

    sudo systemctl restart bindplane-agent
    
  • 如需在 Windows 中重启 Bindplane 代理,您可以使用服务控制台,也可以输入以下命令:

    net stop BindPlaneAgent && net start BindPlaneAgent
    

在 Claroty Continuous Threat Detection (CTD) 上配置 Syslog

  1. 登录 Claroty CTD 网页界面。
  2. 依次前往菜单 > 集成 > Syslog
  3. 针对每种 syslog 消息内容类型重复执行以下步骤:
    • 提醒
    • 事件
    • 健康状况监控
    • 数据分析
    • 活动日志
    • 漏洞
  4. 点击 + 以添加新配置。
  5. 消息内容菜单中,选择要导出的所需内容。
  6. 提供以下配置详细信息:
    • 类别:选择全部
    • 类型:选择全选类型。
    • 格式:选择 CEF(最新)
    • 系统网址:除非您位于代理服务器后面,否则请勿更新系统网址/IP。
    • 发送到:选择外部 Syslog 服务器(例如 SIEM、SOAR 系统)
    • 供应商:选择其他
    • Syslog 服务器 IP:输入 Bindplane 代理 IP 地址。
    • 端口:输入 Bindplane 代理端口(例如 514)。
    • 协议:选择 UDP(其他选项包括 TCP、TLS 或 mTLS,具体取决于您的 Bindplane 配置)。
  7. 点击保存

UDM 映射表

日志字段 UDM 映射 逻辑
CtdRealTime metadata.event_timestamp 使用 MMM dd yyyy HH:mm:ss 从 CtdRealTime 进行解析,并用作事件时间戳。
CtdTimeGenerated metadata.event_timestamp 如果 CtdRealTime 为空,则使用 CtdTimeGenerated 中的 MMM dd yyyy HH:mm:ss 进行解析,以设置事件时间戳。
CtdMessage metadata.description 根据 CtdMessage 字段设置 metadata.description。
CtdMessage security_result.description 在适用情况下,根据 CtdMessage 字段设置 security_result.description。
端口(来自 CtdMessage KV) principal.port 从 CtdMessage 中的键 Port 提取;转换为整数并设置为 principal.port。
类别(来自 CtdMessage KV) security_result.detection_fields(Category_label) 从 CtdMessage 中提取为键 Category 并合并到检测字段中。
访问(来自 CtdMessage KV) security_result.detection_fields(Access_label) 从 CtdMessage 中提取为键 Access 并合并到检测字段中。
CtdSite principal.hostname 将 CtdSite 映射到 principal.hostname。
CtdSite principal.asset.hostname 将 CtdSite 映射到 principal.asset.hostname。
CtdCpu principal.resource.attribute.labels (CtdCpu_label) 使用 CtdCpu 的值创建键为 CtdCpu 的标签,并将其合并到 principal.resource.attribute.labels 中。
CtdMem principal.resource.attribute.labels (CtdMem_label) 使用 CtdMem 的值创建键为 CtdMem 的标签,并将其合并到 principal.resource.attribute.labels 中。
CtdUsedOptIcsranger principal.resource.attribute.labels (CtdUsedOptIcsranger_label) 根据 CtdUsedOptIcsranger 创建标签并将其合并。
CtdUsedVar principal.resource.attribute.labels (CtdUsedVar_label) 根据 CtdUsedVar 创建标签并合并。
CtdUsedTmp principal.resource.attribute.labels (CtdUsedTmp_label) 根据 CtdUsedTmp 创建标签并合并。
CtdUsedEtc principal.resource.attribute.labels (CtdUsedEtc_label) 根据 CtdUsedEtc 创建标签并将其合并。
CtdBusyFd principal.resource.attribute.labels (CtdBusyFd_label) 根据 CtdBusyFd 创建标签并将其合并。
CtdBusySda principal.resource.attribute.labels (CtdBusySda_label) 根据 CtdBusySda 创建标签并合并。
CtdBusySdaA principal.resource.attribute.labels (CtdBusySdaA_label) 根据 CtdBusySdaA 创建标签并将其合并。
CtdBusySdaB principal.resource.attribute.labels (CtdBusySdaB_label) 从 CtdBusySdaB 创建标签并合并。
CtdBusySr principal.resource.attribute.labels (CtdBusySr_label) 根据 CtdBusySr 创建标签并将其合并。
CtdBusyDm principal.resource.attribute.labels (CtdBusyDm_label) 根据 CtdBusyDm 创建标签并合并。
CtdBusyDmA principal.resource.attribute.labels (CtdBusyDmA_label) 根据 CtdBusyDmA 创建标签并合并。
CtdQuPreprocessingNg principal.resource.attribute.labels (CtdQuPreprocessingNg_label) 从 CtdQuPreprocessingNg 创建标签并合并。
CtdQuBaselineTracker principal.resource.attribute.labels (CtdQuBaselineTracker_label) 根据 CtdQuBaselineTracker 创建标签并合并。
CtdQuBridge principal.resource.attribute.labels (CtdQuBridge_label) 从 CtdQuBridge 创建标签并将其合并。
CtdQuCentralBridge principal.resource.attribute.labels (CtdQuCentralBridge_label) 从 CtdQuCentralBridge 创建标签并将其合并。
CtdQuConcluding principal.resource.attribute.labels (CtdQuConcluding_label) 根据 CtdQuConcluding 创建标签并合并。
CtdQuDiodeFeeder principal.resource.attribute.labels (CtdQuDiodeFeeder_label) 根据 CtdQuDiodeFeeder 创建标签并将其合并。
CtdQuDissector principal.resource.attribute.labels (CtdQuDissector_label) 从 CtdQuDissector 创建标签并合并。
CtdQuDissectorA principal.resource.attribute.labels (CtdQuDissectorA_label) 根据 CtdQuDissectorA 创建标签并将其合并。
CtdQuDissectorNg principal.resource.attribute.labels (CtdQuDissectorNg_label) 从 CtdQuDissectorNg 创建标签并合并。
CtdQuIndicatorService principal.resource.attribute.labels (CtdQuIndicatorService_label) 从 CtdQuIndicatorService 创建标签并合并。
CtdQuLeecher principal.resource.attribute.labels (CtdQuLeecher_label) 根据 CtdQuLeecher 创建标签并将其合并。
CtdQuMonitor principal.resource.attribute.labels (CtdQuMonitor_label) 从 CtdQuMonitor 创建标签并合并。
CtdQuNetworkStatistics principal.resource.attribute.labels (CtdQuNetworkStatistics_label) 根据 CtdQuNetworkStatistics 创建标签并合并。
CtdQuPackets principal.resource.attribute.labels (CtdQuPackets_label) 根据 CtdQuPackets 创建标签并合并。
CtdQuPacketsErrors principal.resource.attribute.labels (CtdQuPacketsErrors_label) 根据 CtdQuPacketsErrors 创建标签并将其合并。
CtdQuPreprocessing principal.resource.attribute.labels (CtdQuPreprocessing_label) 从 CtdQuPreprocessing 创建标签并合并。
CtdQuPriorityProcessing principal.resource.attribute.labels (CtdQuPriorityProcessing_label) 根据 CtdQuPriorityProcessing 创建标签并将其合并。
CtdQuProcessing principal.resource.attribute.labels (CtdQuProcessing_label) 从 CtdQuProcessing 创建标签并将其合并。
CtdQuProcessingHigh principal.resource.attribute.labels (CtdQuProcessingHigh_label) 根据 CtdQuProcessingHigh 创建标签并将其合并。
CtdQuZordonUpdates principal.resource.attribute.labels (CtdQuZordonUpdates_label) 从 CtdQuZordonUpdates 创建标签并合并。
CtdQuStatisticsNg principal.resource.attribute.labels (CtdQuStatisticsNg_label) 根据 CtdQuStatisticsNg 创建标签并合并。
CtdQueuePurge principal.resource.attribute.labels (CtdQueuePurge_label) 从 CtdQueuePurge 创建标签并合并。
CtdQuSyslogAlerts principal.resource.attribute.labels (CtdQuSyslogAlerts_label) 从 CtdQuSyslogAlerts 创建标签并将其合并。
CtdQuSyslogEvents principal.resource.attribute.labels (CtdQuSyslogEvents_label) 从 CtdQuSyslogEvents 创建标签并合并。
CtdQuSyslogInsights principal.resource.attribute.labels (CtdQuSyslogInsights_label) 根据 CtdQuSyslogInsights 创建标签并将其合并。
CtdRdDissector principal.resource.attribute.labels (CtdRdDissector_label) 根据 CtdRdDissector 创建标签并合并。
CtdRdDissectorA principal.resource.attribute.labels (CtdRdDissectorA_label) 根据 CtdRdDissectorA 创建标签并将其合并。
CtdRdDissectorNg principal.resource.attribute.labels (CtdRdDissectorNg_label) 从 CtdRdDissectorNg 创建标签并合并。
CtdRdPreprocessing principal.resource.attribute.labels (CtdRdPreprocessing_label) 从 CtdRdPreprocessing 创建标签并合并。
CtdRdPreprocessingNg principal.resource.attribute.labels (CtdRdPreprocessingNg_label) 从 CtdRdPreprocessingNg 创建标签并合并。
CtdSvcMariaDb principal.resource.attribute.labels (CtdSvcMariaDb_label) 从 CtdSvcMariaDb 创建标签并合并。
CtdSvcPostgres principal.resource.attribute.labels (CtdSvcPostgres_label) 从 CtdSvcPostgres 创建标签并将其合并。
CtdSvcRedis principal.resource.attribute.labels (CtdSvcRedis_label) 从 CtdSvcRedis 创建标签并合并。
CtdSvcRabbitMq principal.resource.attribute.labels (CtdSvcRabbitMq_label) 从 CtdSvcRabbitMq 创建标签并合并。
CtdSvcIcsranger principal.resource.attribute.labels (CtdSvcIcsranger_label) 从 CtdSvcIcsranger 创建标签并将其合并。
CtdSvcWatchdog principal.resource.attribute.labels (CtdSvcWatchdog_label) 从 CtdSvcWatchdog 创建标签并合并。
CtdSvcFirewalld principal.resource.attribute.labels (CtdSvcFirewalld_label) 从 CtdSvcFirewalld 创建标签并合并。
CtdSvcNetunnel principal.resource.attribute.labels (CtdSvcNetunnel_label) 从 CtdSvcNetunnel 创建标签并合并。
CtdSvcJwthenticator principal.resource.attribute.labels (CtdSvcJwthenticator_label) 从 CtdSvcJwthenticator 创建标签并合并。
CtdSvcDocker principal.resource.attribute.labels (CtdSvcDocker_label) 从 CtdSvcDocker 创建标签并合并。
CtdExceptions principal.resource.attribute.labels (CtdExceptions_label) 根据 CtdException 创建标签并合并。
CtdInputPacketDrops principal.resource.attribute.labels (CtdInputPacketDrops_label) 根据 CtdInputPacketDrops 创建标签并合并。
CtdOutputPacketDrops principal.resource.attribute.labels (CtdOutputPacketDrops_label) 根据 CtdOutputPacketDrops 创建标签并合并。
CtdFullOutputPacketDrops principal.resource.attribute.labels (CtdFullOutputPacketDrops_label) 根据 CtdFullOutputPacketDrops 创建标签并合并。
CtdDissectorNgPacketDrops principal.resource.attribute.labels (CtdDissectorNgPacketDrops_label) 从 CtdDissectorNgPacketDrops 创建标签并合并。
CtdTagArtifactsDropsPreprocessor principal.resource.attribute.labels (CtdTagArtifactsDropsPreprocessor_label) 从 CtdTagArtifactsDropsPreprocessor 创建标签并合并。
CtdTagArtifactsDropsPreprocessorSum principal.resource.attribute.labels (CtdTagArtifactsDropsPreprocessorSum_label) 根据 CtdTagArtifactsDropsPreprocessorSum 创建标签并合并。
CtdTagArtifactsDropsProcessor principal.resource.attribute.labels (CtdTagArtifactsDropsProcessor_label) 从 CtdTagArtifactsDropsProcessor 创建标签并合并。
CtdTagArtifactsDropsProcessorSum principal.resource.attribute.labels (CtdTagArtifactsDropsProcessorSum_label) 根据 CtdTagArtifactsDropsProcessorSum 创建标签并合并。
CtdTagArtifactsDropsSniffer principal.resource.attribute.labels (CtdTagArtifactsDropsSniffer_label) 从 CtdTagArtifactsDropsSniffer 创建标签并合并。
CtdTagArtifactsDropsSnifferSum principal.resource.attribute.labels (CtdTagArtifactsDropsSnifferSum_label) 根据 CtdTagArtifactsDropsSnifferSum 创建标签并合并。
CtdTagArtifactsDropsDissectorPypy principal.resource.attribute.labels (CtdTagArtifactsDropsDissectorPypy_label) 从 CtdTagArtifactsDropsDissectorPypy 创建标签并合并。
CtdTagArtifactsDropsDissectorPypySum principal.resource.attribute.labels (CtdTagArtifactsDropsDissectorPypySum_label) 根据 CtdTagArtifactsDropsDissectorPypySum 创建标签并合并。
CtdCapsaverFolderCleanup principal.resource.attribute.labels (CtdCapsaverFolderCleanup_label) 根据 CtdCapsaverFolderCleanup 创建标签并将其合并。
CtdCapsaverUtilzationTest principal.resource.attribute.labels (CtdCapsaverUtilzationTest_label) 根据 CtdCapsaverUtilzationTest 创建标签并合并。
CtdYaraScannerTest principal.resource.attribute.labels (CtdYaraScannerTest_label) 从 CtdYaraScannerTest 创建标签并合并。
CtdWrkrWorkersStop principal.resource.attribute.labels (CtdWrkrWorkersStop_label) 从 CtdWrkrWorkersStop 创建标签并合并。
CtdWrkrWorkersRestart principal.resource.attribute.labels (CtdWrkrWorkersRestart_label) 根据 CtdWrkrWorkersRestart 创建标签并合并。
CtdWrkrActiveExecuter principal.resource.attribute.labels (CtdWrkrActiveExecuter_label) 从 CtdWrkrActiveExecuter 创建标签并合并。
CtdWrkrSensor principal.resource.attribute.labels (CtdWrkrSensor_label) 从 CtdWrkrSensor 创建标签并将其合并。
CtdWrkrAuthentication principal.resource.attribute.labels (CtdWrkrAuthentication_label) 根据 CtdWrkrAuthentication 创建标签并将其合并。
CtdWrkrMitre principal.resource.attribute.labels (CtdWrkrMitre_label) 从 CtdWrkrMitre 创建标签并合并。
CtdWrkrNotifications principal.resource.attribute.labels (CtdWrkrNotifications_label) 从 CtdWrkrNotifications 创建标签并合并。
CtdWrkrProcessor principal.resource.attribute.labels (CtdWrkrProcessor_label) 根据 CtdWrkrProcessor 创建标签并将其合并。
CtdWrkrCloudAgent principal.resource.attribute.labels (CtdWrkrCloudAgent_label) 从 CtdWrkrCloudAgent 创建标签并合并。
CtdWrkrCloudClient principal.resource.attribute.labels (CtdWrkrCloudClient_label) 从 CtdWrkrCloudClient 创建标签并合并。
CtdWrkrScheduler principal.resource.attribute.labels (CtdWrkrScheduler_label) 从 CtdWrkrScheduler 创建标签并合并。
CtdWrkrknownThreats principal.resource.attribute.labels (CtdWrkrknownThreats_label) 从 CtdWrkrknownThreats 创建标签并合并。
CtdWrkrCacher principal.resource.attribute.labels (CtdWrkrCacher_label) 从 CtdWrkrCacher 创建标签并合并。
CtdWrkrInsights principal.resource.attribute.labels (CtdWrkrInsights_label) 根据 CtdWrkrInsights 创建标签并将其合并。
CtdWrkrActive principal.resource.attribute.labels (CtdWrkrActive_label) 根据 CtdWrkrActive 创建标签并将其合并。
CtdWrkrEnricher principal.resource.attribute.labels (CtdWrkrEnricher_label) 从 CtdWrkrEnricher 创建标签并合并。
CtdWrkrIndicators principal.resource.attribute.labels (CtdWrkrIndicators_label) 根据 CtdWrkrIndicators 创建标签并合并。
CtdWrkrIndicatorsApi principal.resource.attribute.labels (CtdWrkrIndicatorsApi_label) 从 CtdWrkrIndicatorsApi 创建标签并合并。
CtdWrkrConcluder principal.resource.attribute.labels (CtdWrkrConcluder_label) 根据 CtdWrkrConcluder 创建标签并将其合并。
CtdWrkrPreprocessor principal.resource.attribute.labels (CtdWrkrPreprocessor_label) 从 CtdWrkrPreprocessor 创建标签并合并。
CtdWrkrLeecher principal.resource.attribute.labels (CtdWrkrLeecher_label) 从 CtdWrkrLeecher 创建标签并合并。
CtdWrkrSyncManager principal.resource.attribute.labels (CtdWrkrSyncManager_label) 从 CtdWrkrSyncManager 创建标签并合并。
CtdWrkrBridge principal.resource.attribute.labels (CtdWrkrBridge_label) 从 CtdWrkrBridge 创建标签并合并。
CtdWrkrWebRanger principal.resource.attribute.labels (CtdWrkrWebRanger_label) 从 CtdWrkrWebRanger 创建标签并合并。
CtdWrkrWebWs principal.resource.attribute.labels (CtdWrkrWebWs_label) 从 CtdWrkrWebWs 创建标签并合并。
CtdWrkrWebAuth principal.resource.attribute.labels (CtdWrkrWebAuth_label) 根据 CtdWrkrWebAuth 创建标签并将其合并。
CtdWrkrWebNginx principal.resource.attribute.labels (CtdWrkrWebNginx_label) 从 CtdWrkrWebNginx 创建标签并合并。
CtdWrkrConfigurator principal.resource.attribute.labels (CtdWrkrConfigurator_label) 从 CtdWrkrConfigurator 创建标签并合并。
CtdWrkrConfiguratorNginx principal.resource.attribute.labels (CtdWrkrConfiguratorNginx_label) 从 CtdWrkrConfiguratorNginx 创建标签并合并。
CtdWrkrCapsaver principal.resource.attribute.labels (CtdWrkrCapsaver_label) 从 CtdWrkrCapsaver 创建标签并合并。
CtdWrkrBaselineTracker principal.resource.attribute.labels (CtdWrkrBaselineTracker_label) 从 CtdWrkrBaselineTracker 创建标签并合并。
CtdWrkrDissector principal.resource.attribute.labels (CtdWrkrDissector_label) 从 CtdWrkrDissector 创建标签并合并。
CtdWrkrDissectorA principal.resource.attribute.labels (CtdWrkrDissectorA_label) 从 CtdWrkrDissectorA 创建标签并将其合并。
CtdWrkrDissectorNg principal.resource.attribute.labels (CtdWrkrDissectorNg_label) 从 CtdWrkrDissectorNg 创建标签并合并。
CtdWrkrPreprocessing principal.resource.attribute.labels (CtdWrkrPreprocessing_label) 从 CtdWrkrPreprocessing 创建标签并将其合并。
CtdWrkrPreprocessingNg principal.resource.attribute.labels (CtdWrkrPreprocessingNg_label) 从 CtdWrkrPreprocessingNg 创建标签并合并。
CtdWrkrStatisticsNg principal.resource.attribute.labels (CtdWrkrStatisticsNg_label) 根据 CtdWrkrStatisticsNg 创建标签并将其合并。
CtdWrkrSyslogAlerts principal.resource.attribute.labels (CtdWrkrSyslogAlerts_label) 从 CtdWrkrSyslogAlerts 创建标签并合并。
CtdWrkrSyslogEvents principal.resource.attribute.labels (CtdWrkrSyslogEvents_label) 从 CtdWrkrSyslogEvents 创建标签并合并。
CtdWrkrSyslogInsights principal.resource.attribute.labels (CtdWrkrSyslogInsights_label) 根据 CtdWrkrSyslogInsights 创建标签并将其合并。
CtdWrkrRdDissector principal.resource.attribute.labels (CtdWrkrRdDissector_label) 根据 CtdWrkrRdDissector 创建标签并将其合并。
CtdWrkrRdDissectorA principal.resource.attribute.labels (CtdWrkrRdDissectorA_label) 从 CtdWrkrRdDissectorA 创建标签并合并。
CtdSensorName principal.resource.attribute.labels (CtdSensorName_label) 根据 CtdSensorName 创建标签并将其合并。
CtdCtrlSite principal.resource.attribute.labels (CtdCtrlSite_label) 根据 CtdCtrlSite 创建标签并将其合并。
CtdLoopCallDurationBaselineTrackerWrkerHandleNetworkStatistics principal.resource.attribute.labels (CtdLoopCallDurationBaselineTrackerWrkerHandleNetworkStatistics_label) 根据 CtdLoopCallDurationBaselineTrackerWrkerHandleNetworkStatistics 创建标签并合并。
CtdDissectionCoverage principal.resource.attribute.labels (CtdDissectionCoverage_label) 根据 CtdDissectionCoverage 创建标签并合并。
CtdDissectionEfficiencyModbus principal.resource.attribute.labels (CtdDissectionEfficiencyModbus_label) 根据 CtdDissectionEfficiencyModbus 创建标签并合并。
CtdDissectionEfficiencySmb principal.resource.attribute.labels (CtdDissectionEfficiencySmb_label) 根据 CtdDissectionEfficiencySmb 创建标签并合并。
CtdDissectionEfficiencyDcerpc principal.resource.attribute.labels (CtdDissectionEfficiencyDcerpc_label) 根据 CtdDissectionEfficiencyDcerpc 创建标签并合并。
CtdDissectionEfficiencyZabbix principal.resource.attribute.labels (CtdDissectionEfficiencyZabbix_label) 根据 CtdDissectionEfficiencyZabbix 创建标签并合并。
CtdDissectionEfficiencyFactorytalkRna principal.resource.attribute.labels (CtdDissectionEfficiencyFactorytalkRna_label) 从 CtdDissectionEfficiencyFactorytalkRna 创建标签并合并。
CtdDissectionEfficiencySsl principal.resource.attribute.labels (CtdDissectionEfficiencySsl_label) 根据 CtdDissectionEfficiencySsl 创建标签并合并。
CtdDissectionEfficiencyVrrpProtocolMatcher principal.resource.attribute.labels (CtdDissectionEfficiencyVrrpProtocolMatcher_label) 根据 CtdDissectionEfficiencyVrrpProtocolMatcher 创建标签并合并。
CtdDissectionEfficiencyRdp principal.resource.attribute.labels (CtdDissectionEfficiencyRdp_label) 根据 CtdDissectionEfficiencyRdp 创建标签并合并。
CtdDissectionEfficiencySsh principal.resource.attribute.labels (CtdDissectionEfficiencySsh_label) 根据 CtdDissectionEfficiencySsh 创建标签并合并。
CtdDissectionEfficiencyHttp principal.resource.attribute.labels (CtdDissectionEfficiencyHttp_label) 从 CtdDissectionEfficiencyHttp 创建标签并合并。
CtdDissectionEfficiencyTcpHttp principal.resource.attribute.labels (CtdDissectionEfficiencyTcpHttp_label) 根据 CtdDissectionEfficiencyTcpHttp 创建标签并合并。
CtdDissectionEfficiencyLdap principal.resource.attribute.labels (CtdDissectionEfficiencyLdap_label) 根据 CtdDissectionEfficiencyLdap 创建标签并将其合并。
CtdDissectionEfficiencyJrmi principal.resource.attribute.labels (CtdDissectionEfficiencyJrmi_label) 根据 CtdDissectionEfficiencyJrmi 创建标签并合并。
CtdDissectionEfficiencyGeIfix principal.resource.attribute.labels (CtdDissectionEfficiencyGeIfix_label) 根据 CtdDissectionEfficiencyGeIfix 创建标签并合并。
CtdDissectionEfficiencyLlc principal.resource.attribute.labels (CtdDissectionEfficiencyLlc_label) 从 CtdDissectionEfficiencyLlc 创建标签并合并。
CtdDissectionEfficiencyMatrikonNopc principal.resource.attribute.labels (CtdDissectionEfficiencyMatrikonNopc_label) 根据 CtdDissectionEfficiencyMatrikonNopc 创建标签并合并。
CtdDissectionEfficiencyVnc principal.resource.attribute.labels (CtdDissectionEfficiencyVnc_label) 根据 CtdDissectionEfficiencyVnc 创建标签并合并。
CtdUnhandledEvents principal.resource.attribute.labels (CtdUnhandledEvents_label) 根据 CtdUnhandledEvents 创建标签并合并。
CtdConcludeTime principal.resource.attribute.labels (CtdConcludeTime_label) 根据 CtdConcludeTime 创建标签并合并。
CtdMysqlQuery principal.resource.attribute.labels (CtdMysqlQuery_label) 根据 CtdMysqlQuery 创建标签并合并。
CtdPostgresQuery principal.resource.attribute.labels (CtdPostgresQuery_label) 从 CtdPostgresQuery 创建标签并合并。
CtdPsqlIdleSessions principal.resource.attribute.labels (CtdPsqlIdleSessions_label) 从 CtdPsqlIdleSessions 创建标签并合并。
CtdPsqlIdleInTransactionSessions principal.resource.attribute.labels (CtdPsqlIdleInTransactionSessions_label) 根据 CtdPsqlIdleInTransactionSessions 创建标签并合并。
CtdSnifferStatus principal.resource.attribute.labels (CtdSnifferStatus_label) 根据 CtdSnifferStatus 创建标签并合并。
CtdLoopCallDurationPollObjects principal.resource.attribute.labels (CtdLoopCallDurationPollObjects_label) 根据 CtdLoopCallDurationPollObjects 创建标签并合并。
CtdLoopCallDurationCloudClientWrkrBaseRunCloudConnected principal.resource.attribute.labels (CtdLoopCallDurationCloudClientWrkrBaseRunCloudConnected_label) 根据 CtdLoopCallDurationCloudClientWrkrBaseRunCloudConnected 创建标签并合并。
CtdSnifferStatusCentral principal.resource.attribute.labels (CtdSnifferStatusCentral_label) 根据 CtdSnifferStatusCentral 创建标签并合并。
CtdSnifferStatusSite principal.resource.attribute.labels (CtdSnifferStatusSite_label) 根据 CtdSnifferStatusSite 创建标签并合并。
CtdWrkrMailer principal.resource.attribute.labels (CtdWrkrMailer_label) 从 CtdWrkrMailer 创建标签并合并。
CtdDroppedEntities principal.resource.attribute.labels (CtdDroppedEntities_label) 根据 CtdDroppedEntities 创建标签并合并。
externalId metadata.product_log_id 将 externalId 映射到 metadata.product_log_id。
proto protocol_number_src 将 proto 转换为大写,并将其分配给 protocol_number_src 以供查找。
protocol_number_src ip_protocol_out; app_protocol_out 将 ip_protocol_out 初始化为 UNKNOWN_IP_PROTOCOL,将 app_protocol_out 初始化为 UNKNOWN_APPLICATION_PROTOCOL,然后根据查找结果进行更新。
ip_protocol_out network.ip_protocol 根据 ip_protocol_out 设置 network.ip_protocol。
app_protocol_out network.application_protocol 根据 app_protocol_out 设置 network.application_protocol。
CtdExternalId metadata.product_log_id 如果提供了 CtdExternalId,则会使用该值覆盖 metadata.product_log_id。
CtdDeviceExternalId principal.resource.attribute.labels (ctd_device_label) 根据 CtdDeviceExternalId(以 CtdDeviceExternalId 为前缀)创建标签并合并。
(如果 has_principal_device 为 true 且 ctdeventtype = Login security_result.category; security_result.action 对于登录事件,将 security_result.category 设置为 AUTH_VIOLATION,并将 action 设置为 BLOCK
(如果 has_principal_device 为 true 且 ctdeventtype = Memory Reset security_result.category 将 security_result.category 设置为 SOFTWARE_SUSPICIOUS
(如果 target_machine_id_present 为 true、has_principal_device 为 true,且 ctdeventtype 属于 [Known Threat Alert, Known Threat Event, Man-in-the-Middle Attack, Suspicious Activity]) security_result.category 将 security_result.category 设置为 NETWORK_MALICIOUS
(如果 target_machine_id_present 为 true,has_principal_device 为 true,且 ctdeventtype = Suspicious File Transfer security_result.category 将 security_result.category 设置为 NETWORK_SUSPICIOUS
(如果 target_machine_id_present 为 true,has_principal_device 为 true,且 ctdeventtype = Denial Of Service security_result.category 将 security_result.category 设置为 NETWORK_DENIAL_OF_SERVICE
(如果 has_principal_device 为 true 且 ctdeventtype 属于 [Host Scan, Port Scan]) security_result.category 将 security_result.category 设置为 NETWORK_RECON
(如果 target_machine_id_present 为 true,has_principal_device 为 true,且 ctdeventtype 属于 [Policy Rule Match, Policy Violation Alert, Policy Violation]) security_result.category 将 security_result.category 设置为 POLICY_VIOLATION
(如果 has_principal_device 为 true,则为默认值) security_result.category 默认将 security_result.category 设置为 NETWORK_SUSPICIOUS
派生的 security_result_category security_result.category 将派生的安全类别合并到 security_result.category 中。
派生的 security_result_action security_result.action 将派生的安全操作合并到 security_result.action 中(如果已设置)。
cs6(带有 cs6Label CTDlink metadata.url_back_to_product; security_result.url_back_to_product 设置来自 cs6 的网址字段,以用于反向链接到商品详情。
cs1(带有 cs1Label SourceAssetType principal.asset.category; principal.asset.type 根据 cs1 设置 principal.asset.category,并根据其值确定 principal.asset.type。
cs2(带有 cs2Label DestAssetType target.asset.category; target.asset.type 根据 cs2 设置 target.asset.category,并根据其值确定 target.asset.type。
cfp1(带有 cfp1Label CVEScore vulns.vulnerabilities.cvss_base_score 设置 vulns.vulnerabilities.cvss_base_score(转换为浮点数),并将 vul_fields_present 标记为 true。
cs6(带有 cs6Label CVE vulns.vulnerabilities.cve_id 设置 vulns.vulnerabilities.cve_id 并将 vul_fields_present 标记为 true。
cn1(cn1Label 为 IndicatorScore security_result.confidence_score 从 cn1 中提取指示器得分,将其转换为浮点数,并将其分配为置信度得分。
filepath about.file.full_path; security_result.about.file.full_path 将文件路径映射到 about.file.full_path 和 security_result.about.file.full_path。
(如果 eventclass = HealthCheck 且 cs1Label = Site intermediary.location.name 当用作网站标识符时,从 cs1 设置 intermediary.location.name。
cn1(带有 cn1Label) additional.fields (cn1_label) 根据 cn1 创建一个额外的字段标签,并将其合并到 additional.fields 中。
cs1(带有 cs1Label) additional.fields (cs1_label) 根据 cs1 创建一个额外的字段标签,并将其合并到 additional.fields 中。
cs2(带有 cs2Label) additional.fields (cs2_label) 根据 cs2 创建一个额外的字段标签,并将其合并到 additional.fields 中。
cs3(带有 cs3Label) additional.fields (cs3_label) 根据 cs3 创建额外的字段标签并合并。
cs4(带有 cs4Label) additional.fields (cs4_label) 根据 cs4 创建额外的字段标签并合并。
cs6(带有 cs6Label) additional.fields (cs6_label) 根据 cs6 创建额外的字段标签并将其合并。
(对于基于 event_name 和 vul_fields_present 的数据洞见事件) event_type 为数据分析事件(例如 SCAN_VULN_HOST、STATUS_UNCATEGORIZED、STATUS_UPDATE)派生 event_type。
(对于基于 ctdeventtype、has_principal_device 等的事件/提醒事件) event_type;(可选)target.resource.type 或 auth.type 派生事件/提醒事件(例如 DEVICE_CONFIG_UPDATE、DEVICE_PROGRAM_DOWNLOAD/UPLOAD、NETWORK_UNCATEGORIZED、USER_RESOURCE_CREATION、SCAN_HOST、SCAN_NETWORK、SETTING_MODIFICATION、USER_LOGIN、NETWORK_CONNECTION 或 STATUS_UPDATE)的 event_type。
(如果 event_type 仍为空) event_type 根据可用的标志将 event_type 设置为 NETWORK_CONNECTION、USER_RESOURCE_ACCESS 或 STATUS_UPDATE。
event_type(最终) metadata.event_type 将最终的 event_type 复制到 metadata.event_type 中;如果为空,则默认为 GENERIC_EVENT
device_vendor metadata.vendor_name 根据 device_vendor 设置 metadata.vendor_name;如果缺少该值,则默认为 CLAROTY
device_product metadata.product_name 根据 device_product 设置 metadata.product_name;如果缺少该值,则默认为 CTD
device_version metadata.product_version 根据 device_version 设置 metadata.product_version。
security_description(如果匹配 ET TROJAN … security_result.threat_name 使用 ET TROJAN (?P<threat_name>\S+) 模式从 security_description 中提取 threat_name,并将其映射到 security_result.threat_name。
元数据 event.idm.read_only_udm.metadata 将元数据重命名为 event.idm.read_only_udm.metadata。
主账号 event.idm.read_only_udm.principal 将主账号重命名为 event.idm.read_only_udm.principal。
目标 event.idm.read_only_udm.target 将目标重命名为 event.idm.read_only_udm.target。
网络 event.idm.read_only_udm.network 将网络重命名为 event.idm.read_only_udm.network。
其他 event.idm.read_only_udm.additional 将 additional 重命名为 event.idm.read_only_udm.additional。
security_result event.idm.read_only_udm.security_result 将 security_result 合并到 event.idm.read_only_udm.security_result 中。
关于 event.idm.read_only_udm.about 将 about 合并到 event.idm.read_only_udm.about 中。
中介 event.idm.read_only_udm.intermediary 将中介合并到 event.idm.read_only_udm.intermediary 中。
vulns.vulnerabilities event.idm.read_only_udm.extensions.vulns.vulnerabilities 将 vulns.vulnerabilities 合并到 event.idm.read_only_udm.extensions.vulns.vulnerabilities 中。
@output 事件 将完整的 UDM 事件结构合并到最终的 event 字段中。

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。