收集 Claroty CTD 記錄

支援的國家/地區:

本文說明如何使用 Bindplane 擷取 Claroty Continuous Threat Detection (CTD) 記錄檔至 Google Security Operations。

事前準備

  • 確認您有 Google Security Operations 執行個體。
  • 確認您使用的是 Windows 2016 以上版本,或是搭載 systemd 的 Linux 主機。
  • 如果透過 Proxy 執行,請確認防火牆通訊埠已開啟。
  • 確認您擁有 Claroty CTD 的特殊權限。

取得 Google SecOps 擷取驗證檔案

  1. 登入 Google SecOps 控制台。
  2. 依序前往「SIEM 設定」>「收集代理程式」
  3. 下載擷取驗證檔案。將檔案安全地儲存在要安裝 Bindplane 的系統上。

取得 Google SecOps 客戶 ID

  1. 登入 Google SecOps 控制台。
  2. 依序前往「SIEM 設定」>「設定檔」
  3. 複製並儲存「機構詳細資料」專區中的客戶 ID

安裝 Bindplane 代理程式

Windows 安裝

  1. 以系統管理員身分開啟「命令提示字元」或「PowerShell」
  2. 執行下列指令:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
    

Linux 安裝

  1. 開啟具有根層級或 sudo 權限的終端機。
  2. 執行下列指令:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
    

其他安裝資源

設定 Bindplane 代理程式,擷取系統記錄檔並傳送至 Google SecOps

  1. 存取設定檔:

    1. 找出 config.yaml 檔案。通常位於 Linux 的 /etc/bindplane-agent/ 目錄,或 Windows 的安裝目錄。
    2. 使用文字編輯器 (例如 nanovi 或記事本) 開啟檔案。
  2. 按照下列方式編輯 config.yaml 檔案:

    receivers:
        udplog:
            # Replace the port and IP address as required
            listen_address: "0.0.0.0:514"
    
    exporters:
        chronicle/chronicle_w_labels:
            compression: gzip
            # Adjust the path to the credentials file you downloaded in Step 1
            creds: '/path/to/ingestion-authentication-file.json'
            # Replace with your actual customer ID from Step 2
            customer_id: <customer_id>
            endpoint: malachiteingestion-pa.googleapis.com
            # Add optional ingestion labels for better organization
            ingestion_labels:
                log_type: CLAROTY_CTD
                raw_log_field: body
    
    service:
        pipelines:
            logs/source0__chronicle_w_labels-0:
                receivers:
                    - udplog
                exporters:
                    - chronicle/chronicle_w_labels
    
  3. 視基礎架構需求,替換通訊埠和 IP 位址。

  4. <customer_id> 替換為實際的客戶 ID。

  5. /path/to/ingestion-authentication-file.json 更新為「取得 Google SecOps 擷取驗證檔案」一節中儲存驗證檔案的路徑。

重新啟動 Bindplane 代理程式,以套用變更

  • 如要在 Linux 中重新啟動 Bindplane 代理程式,請執行下列指令:

    sudo systemctl restart bindplane-agent
    
  • 如要在 Windows 中重新啟動 Bindplane 代理程式,可以使用「服務」控制台,或輸入下列指令:

    net stop BindPlaneAgent && net start BindPlaneAgent
    

在 Claroty Continuous Threat Detection (CTD) 上設定 Syslog

  1. 登入 Claroty CTD 網頁版 UI。
  2. 依序前往「選單」>「整合」>「Syslog」
  3. 針對每種 Syslog 訊息內容類型,重複下列步驟:
    • 警告
    • 活動
    • 健康監測
    • 深入分析
    • 活動記錄
    • 安全漏洞
  4. 按一下「+」新增設定。
  5. 在「訊息內容」選單中,選取要匯出的內容。
  6. 提供下列設定詳細資料:
    • 類別:選取「全部」
    • 類型:選取「全選」類型。
    • 格式:選取「CEF (最新)」
    • 系統網址:除非您使用 Proxy 伺服器,否則請勿更新系統網址/IP。
    • 傳送至:選取「外部 Syslog 伺服器 (例如 SIEM、SOAR 系統)」
    • 供應商:選取「其他」
    • 系統記錄伺服器 IP:輸入 Bindplane 代理程式 IP 位址。
    • 「Port」(通訊埠):輸入 Bindplane 代理程式通訊埠 (例如 514)。
    • 通訊協定:選取「UDP」 (其他選項包括 TCP、TLS 或 mTLS,視 Bindplane 設定而定)。
  7. 按一下 [儲存]

UDM 對應表

記錄欄位 UDM 對應 邏輯
CtdRealTime metadata.event_timestamp 使用 CtdRealTime 中的 MMM dd yyyy HH:mm:ss 剖析,並做為事件時間戳記。
CtdTimeGenerated metadata.event_timestamp 如果 CtdRealTime 為空,則使用 CtdTimeGenerated 中的 MMM dd yyyy HH:mm:ss進行剖析,以設定事件時間戳記。
CtdMessage metadata.description 從 CtdMessage 欄位設定 metadata.description。
CtdMessage security_result.description 在適用情況下,從 CtdMessage 欄位設定 security_result.description。
通訊埠 (來自 CtdMessage KV) principal.port 從 CtdMessage 的金鑰 Port 中擷取;轉換為整數並設為 principal.port。
類別 (來自 CtdMessage KV) security_result.detection_fields (Category_label) 從 CtdMessage 擷取為鍵 Category,並合併至偵測欄位。
存取權 (來自 CtdMessage KV) security_result.detection_fields (Access_label) 從 CtdMessage 擷取為鍵 Access,並合併至偵測欄位。
CtdSite principal.hostname 將 CtdSite 對應至 principal.hostname。
CtdSite principal.asset.hostname 將 CtdSite 對應至 principal.asset.hostname。
CtdCpu principal.resource.attribute.labels (CtdCpu_label) 使用 CtdCpu 的值建立鍵為 CtdCpu 的標籤,並將其合併至 principal.resource.attribute.labels。
CtdMem principal.resource.attribute.labels (CtdMem_label) 使用 CtdMem 的值建立鍵為 CtdMem 的標籤,並將其合併至 principal.resource.attribute.labels。
CtdUsedOptIcsranger principal.resource.attribute.labels (CtdUsedOptIcsranger_label) 從 CtdUsedOptIcsranger 建立標籤並合併。
CtdUsedVar principal.resource.attribute.labels (CtdUsedVar_label) 從 CtdUsedVar 建立標籤並合併。
CtdUsedTmp principal.resource.attribute.labels (CtdUsedTmp_label) 從 CtdUsedTmp 建立標籤並合併。
CtdUsedEtc principal.resource.attribute.labels (CtdUsedEtc_label) 從 CtdUsedEtc 建立標籤並合併。
CtdBusyFd principal.resource.attribute.labels (CtdBusyFd_label) 從 CtdBusyFd 建立標籤並合併。
CtdBusySda principal.resource.attribute.labels (CtdBusySda_label) 從 CtdBusySda 建立標籤並合併。
CtdBusySdaA principal.resource.attribute.labels (CtdBusySdaA_label) 從 CtdBusySdaA 建立標籤並合併。
CtdBusySdaB principal.resource.attribute.labels (CtdBusySdaB_label) 從 CtdBusySdaB 建立標籤並合併。
CtdBusySr principal.resource.attribute.labels (CtdBusySr_label) 從 CtdBusySr 建立標籤並合併。
CtdBusyDm principal.resource.attribute.labels (CtdBusyDm_label) 從 CtdBusyDm 建立標籤並合併。
CtdBusyDmA principal.resource.attribute.labels (CtdBusyDmA_label) 從 CtdBusyDmA 建立標籤並合併。
CtdQuPreprocessingNg principal.resource.attribute.labels (CtdQuPreprocessingNg_label) 從 CtdQuPreprocessingNg 建立標籤並合併。
CtdQuBaselineTracker principal.resource.attribute.labels (CtdQuBaselineTracker_label) 從 CtdQuBaselineTracker 建立標籤並合併。
CtdQuBridge principal.resource.attribute.labels (CtdQuBridge_label) 從 CtdQuBridge 建立標籤並合併。
CtdQuCentralBridge principal.resource.attribute.labels (CtdQuCentralBridge_label) 從 CtdQuCentralBridge 建立標籤並合併。
CtdQuConcluding principal.resource.attribute.labels (CtdQuConcluding_label) 從 CtdQuConcluding 建立標籤並合併。
CtdQuDiodeFeeder principal.resource.attribute.labels (CtdQuDiodeFeeder_label) 從 CtdQuDiodeFeeder 建立標籤並合併。
CtdQuDissector principal.resource.attribute.labels (CtdQuDissector_label) 從 CtdQuDissector 建立標籤並合併。
CtdQuDissectorA principal.resource.attribute.labels (CtdQuDissectorA_label) 從 CtdQuDissectorA 建立標籤並合併。
CtdQuDissectorNg principal.resource.attribute.labels (CtdQuDissectorNg_label) 從 CtdQuDissectorNg 建立標籤並合併。
CtdQuIndicatorService principal.resource.attribute.labels (CtdQuIndicatorService_label) 從 CtdQuIndicatorService 建立標籤並合併。
CtdQuLeecher principal.resource.attribute.labels (CtdQuLeecher_label) 從 CtdQuLeecher 建立標籤並合併。
CtdQuMonitor principal.resource.attribute.labels (CtdQuMonitor_label) 從 CtdQuMonitor 建立標籤並合併。
CtdQuNetworkStatistics principal.resource.attribute.labels (CtdQuNetworkStatistics_label) 從 CtdQuNetworkStatistics 建立標籤並合併。
CtdQuPackets principal.resource.attribute.labels (CtdQuPackets_label) 從 CtdQuPackets 建立標籤並合併。
CtdQuPacketsErrors principal.resource.attribute.labels (CtdQuPacketsErrors_label) 從 CtdQuPacketsErrors 建立標籤並合併。
CtdQuPreprocessing principal.resource.attribute.labels (CtdQuPreprocessing_label) 從 CtdQuPreprocessing 建立標籤並合併。
CtdQuPriorityProcessing principal.resource.attribute.labels (CtdQuPriorityProcessing_label) 從 CtdQuPriorityProcessing 建立標籤並合併。
CtdQuProcessing principal.resource.attribute.labels (CtdQuProcessing_label) 從 CtdQuProcessing 建立標籤並合併。
CtdQuProcessingHigh principal.resource.attribute.labels (CtdQuProcessingHigh_label) 從 CtdQuProcessingHigh 建立標籤並合併。
CtdQuZordonUpdates principal.resource.attribute.labels (CtdQuZordonUpdates_label) 從 CtdQuZordonUpdates 建立標籤並合併。
CtdQuStatisticsNg principal.resource.attribute.labels (CtdQuStatisticsNg_label) 從 CtdQuStatisticsNg 建立標籤並合併。
CtdQueuePurge principal.resource.attribute.labels (CtdQueuePurge_label) 從 CtdQueuePurge 建立標籤並合併。
CtdQuSyslogAlerts principal.resource.attribute.labels (CtdQuSyslogAlerts_label) 從 CtdQuSyslogAlerts 建立標籤並合併。
CtdQuSyslogEvents principal.resource.attribute.labels (CtdQuSyslogEvents_label) 從 CtdQuSyslogEvents 建立標籤並合併。
CtdQuSyslogInsights principal.resource.attribute.labels (CtdQuSyslogInsights_label) 從 CtdQuSyslogInsights 建立標籤並合併。
CtdRdDissector principal.resource.attribute.labels (CtdRdDissector_label) 從 CtdRdDissector 建立標籤並合併。
CtdRdDissectorA principal.resource.attribute.labels (CtdRdDissectorA_label) 從 CtdRdDissectorA 建立標籤並合併。
CtdRdDissectorNg principal.resource.attribute.labels (CtdRdDissectorNg_label) 從 CtdRdDissectorNg 建立標籤並合併。
CtdRdPreprocessing principal.resource.attribute.labels (CtdRdPreprocessing_label) 從 CtdRdPreprocessing 建立標籤並合併。
CtdRdPreprocessingNg principal.resource.attribute.labels (CtdRdPreprocessingNg_label) 從 CtdRdPreprocessingNg 建立標籤並合併。
CtdSvcMariaDb principal.resource.attribute.labels (CtdSvcMariaDb_label) 從 CtdSvcMariaDb 建立標籤並合併。
CtdSvcPostgres principal.resource.attribute.labels (CtdSvcPostgres_label) 從 CtdSvcPostgres 建立標籤並合併。
CtdSvcRedis principal.resource.attribute.labels (CtdSvcRedis_label) 從 CtdSvcRedis 建立標籤並合併。
CtdSvcRabbitMq principal.resource.attribute.labels (CtdSvcRabbitMq_label) 從 CtdSvcRabbitMq 建立標籤並合併。
CtdSvcIcsranger principal.resource.attribute.labels (CtdSvcIcsranger_label) 從 CtdSvcIcsranger 建立標籤並合併。
CtdSvcWatchdog principal.resource.attribute.labels (CtdSvcWatchdog_label) 從 CtdSvcWatchdog 建立標籤並合併。
CtdSvcFirewalld principal.resource.attribute.labels (CtdSvcFirewalld_label) 從 CtdSvcFirewalld 建立標籤並合併。
CtdSvcNetunnel principal.resource.attribute.labels (CtdSvcNetunnel_label) 從 CtdSvcNetunnel 建立標籤並合併。
CtdSvcJwthenticator principal.resource.attribute.labels (CtdSvcJwthenticator_label) 從 CtdSvcJwthenticator 建立標籤並合併。
CtdSvcDocker principal.resource.attribute.labels (CtdSvcDocker_label) 從 CtdSvcDocker 建立標籤並合併。
CtdExceptions principal.resource.attribute.labels (CtdExceptions_label) 從 CtdExceptions 建立標籤並合併。
CtdInputPacketDrops principal.resource.attribute.labels (CtdInputPacketDrops_label) 從 CtdInputPacketDrops 建立標籤並合併。
CtdOutputPacketDrops principal.resource.attribute.labels (CtdOutputPacketDrops_label) 從 CtdOutputPacketDrops 建立標籤並合併。
CtdFullOutputPacketDrops principal.resource.attribute.labels (CtdFullOutputPacketDrops_label) 從 CtdFullOutputPacketDrops 建立標籤並合併。
CtdDissectorNgPacketDrops principal.resource.attribute.labels (CtdDissectorNgPacketDrops_label) 從 CtdDissectorNgPacketDrops 建立標籤並合併。
CtdTagArtifactsDropsPreprocessor principal.resource.attribute.labels (CtdTagArtifactsDropsPreprocessor_label) 從 CtdTagArtifactsDropsPreprocessor 建立標籤並合併。
CtdTagArtifactsDropsPreprocessorSum principal.resource.attribute.labels (CtdTagArtifactsDropsPreprocessorSum_label) 從 CtdTagArtifactsDropsPreprocessorSum 建立標籤並合併。
CtdTagArtifactsDropsProcessor principal.resource.attribute.labels (CtdTagArtifactsDropsProcessor_label) 從 CtdTagArtifactsDropsProcessor 建立標籤並合併。
CtdTagArtifactsDropsProcessorSum principal.resource.attribute.labels (CtdTagArtifactsDropsProcessorSum_label) 從 CtdTagArtifactsDropsProcessorSum 建立標籤並合併。
CtdTagArtifactsDropsSniffer principal.resource.attribute.labels (CtdTagArtifactsDropsSniffer_label) 從 CtdTagArtifactsDropsSniffer 建立標籤並合併。
CtdTagArtifactsDropsSnifferSum principal.resource.attribute.labels (CtdTagArtifactsDropsSnifferSum_label) 從 CtdTagArtifactsDropsSnifferSum 建立標籤並合併。
CtdTagArtifactsDropsDissectorPypy principal.resource.attribute.labels (CtdTagArtifactsDropsDissectorPypy_label) 從 CtdTagArtifactsDropsDissectorPypy 建立標籤並合併。
CtdTagArtifactsDropsDissectorPypySum principal.resource.attribute.labels (CtdTagArtifactsDropsDissectorPypySum_label) 從 CtdTagArtifactsDropsDissectorPypySum 建立標籤並合併。
CtdCapsaverFolderCleanup principal.resource.attribute.labels (CtdCapsaverFolderCleanup_label) 從 CtdCapsaverFolderCleanup 建立標籤並合併。
CtdCapsaverUtilzationTest principal.resource.attribute.labels (CtdCapsaverUtilzationTest_label) 從 CtdCapsaverUtilzationTest 建立標籤並合併。
CtdYaraScannerTest principal.resource.attribute.labels (CtdYaraScannerTest_label) 從 CtdYaraScannerTest 建立標籤並合併。
CtdWrkrWorkersStop principal.resource.attribute.labels (CtdWrkrWorkersStop_label) 從 CtdWrkrWorkersStop 建立標籤並合併。
CtdWrkrWorkersRestart principal.resource.attribute.labels (CtdWrkrWorkersRestart_label) 從 CtdWrkrWorkersRestart 建立標籤並合併。
CtdWrkrActiveExecuter principal.resource.attribute.labels (CtdWrkrActiveExecuter_label) 從 CtdWrkrActiveExecuter 建立標籤並合併。
CtdWrkrSensor principal.resource.attribute.labels (CtdWrkrSensor_label) 從 CtdWrkrSensor 建立標籤並合併。
CtdWrkrAuthentication principal.resource.attribute.labels (CtdWrkrAuthentication_label) 從 CtdWrkrAuthentication 建立標籤並合併。
CtdWrkrMitre principal.resource.attribute.labels (CtdWrkrMitre_label) 從 CtdWrkrMitre 建立標籤並合併。
CtdWrkrNotifications principal.resource.attribute.labels (CtdWrkrNotifications_label) 從 CtdWrkrNotifications 建立標籤並合併。
CtdWrkrProcessor principal.resource.attribute.labels (CtdWrkrProcessor_label) 從 CtdWrkrProcessor 建立標籤並合併。
CtdWrkrCloudAgent principal.resource.attribute.labels (CtdWrkrCloudAgent_label) 從 CtdWrkrCloudAgent 建立標籤並合併。
CtdWrkrCloudClient principal.resource.attribute.labels (CtdWrkrCloudClient_label) 從 CtdWrkrCloudClient 建立標籤並合併。
CtdWrkrScheduler principal.resource.attribute.labels (CtdWrkrScheduler_label) 從 CtdWrkrScheduler 建立標籤並合併。
CtdWrkrknownThreats principal.resource.attribute.labels (CtdWrkrknownThreats_label) 從 CtdWrkrknownThreats 建立標籤並合併。
CtdWrkrCacher principal.resource.attribute.labels (CtdWrkrCacher_label) 從 CtdWrkrCacher 建立標籤並合併。
CtdWrkrInsights principal.resource.attribute.labels (CtdWrkrInsights_label) 從 CtdWrkrInsights 建立標籤並合併。
CtdWrkrActive principal.resource.attribute.labels (CtdWrkrActive_label) 從 CtdWrkrActive 建立標籤並合併。
CtdWrkrEnricher principal.resource.attribute.labels (CtdWrkrEnricher_label) 從 CtdWrkrEnricher 建立標籤並合併。
CtdWrkrIndicators principal.resource.attribute.labels (CtdWrkrIndicators_label) 從 CtdWrkrIndicators 建立標籤並合併。
CtdWrkrIndicatorsApi principal.resource.attribute.labels (CtdWrkrIndicatorsApi_label) 從 CtdWrkrIndicatorsApi 建立標籤並合併。
CtdWrkrConcluder principal.resource.attribute.labels (CtdWrkrConcluder_label) 從 CtdWrkrConcluder 建立標籤並合併。
CtdWrkrPreprocessor principal.resource.attribute.labels (CtdWrkrPreprocessor_label) 從 CtdWrkrPreprocessor 建立標籤並合併。
CtdWrkrLeecher principal.resource.attribute.labels (CtdWrkrLeecher_label) 從 CtdWrkrLeecher 建立標籤並合併。
CtdWrkrSyncManager principal.resource.attribute.labels (CtdWrkrSyncManager_label) 從 CtdWrkrSyncManager 建立標籤並合併。
CtdWrkrBridge principal.resource.attribute.labels (CtdWrkrBridge_label) 從 CtdWrkrBridge 建立標籤並合併。
CtdWrkrWebRanger principal.resource.attribute.labels (CtdWrkrWebRanger_label) 從 CtdWrkrWebRanger 建立標籤並合併。
CtdWrkrWebWs principal.resource.attribute.labels (CtdWrkrWebWs_label) 從 CtdWrkrWebWs 建立標籤並合併。
CtdWrkrWebAuth principal.resource.attribute.labels (CtdWrkrWebAuth_label) 從 CtdWrkrWebAuth 建立標籤並合併。
CtdWrkrWebNginx principal.resource.attribute.labels (CtdWrkrWebNginx_label) 從 CtdWrkrWebNginx 建立標籤並合併。
CtdWrkrConfigurator principal.resource.attribute.labels (CtdWrkrConfigurator_label) 從 CtdWrkrConfigurator 建立標籤並合併。
CtdWrkrConfiguratorNginx principal.resource.attribute.labels (CtdWrkrConfiguratorNginx_label) 從 CtdWrkrConfiguratorNginx 建立標籤並合併。
CtdWrkrCapsaver principal.resource.attribute.labels (CtdWrkrCapsaver_label) 從 CtdWrkrCapsaver 建立標籤並合併。
CtdWrkrBaselineTracker principal.resource.attribute.labels (CtdWrkrBaselineTracker_label) 從 CtdWrkrBaselineTracker 建立標籤並合併。
CtdWrkrDissector principal.resource.attribute.labels (CtdWrkrDissector_label) 從 CtdWrkrDissector 建立標籤並合併。
CtdWrkrDissectorA principal.resource.attribute.labels (CtdWrkrDissectorA_label) 從 CtdWrkrDissectorA 建立標籤並合併。
CtdWrkrDissectorNg principal.resource.attribute.labels (CtdWrkrDissectorNg_label) 從 CtdWrkrDissectorNg 建立標籤並合併。
CtdWrkrPreprocessing principal.resource.attribute.labels (CtdWrkrPreprocessing_label) 從 CtdWrkrPreprocessing 建立標籤並合併。
CtdWrkrPreprocessingNg principal.resource.attribute.labels (CtdWrkrPreprocessingNg_label) 從 CtdWrkrPreprocessingNg 建立標籤並合併。
CtdWrkrStatisticsNg principal.resource.attribute.labels (CtdWrkrStatisticsNg_label) 從 CtdWrkrStatisticsNg 建立標籤並合併。
CtdWrkrSyslogAlerts principal.resource.attribute.labels (CtdWrkrSyslogAlerts_label) 從 CtdWrkrSyslogAlerts 建立標籤並合併。
CtdWrkrSyslogEvents principal.resource.attribute.labels (CtdWrkrSyslogEvents_label) 從 CtdWrkrSyslogEvents 建立標籤並合併。
CtdWrkrSyslogInsights principal.resource.attribute.labels (CtdWrkrSyslogInsights_label) 從 CtdWrkrSyslogInsights 建立標籤並合併。
CtdWrkrRdDissector principal.resource.attribute.labels (CtdWrkrRdDissector_label) 從 CtdWrkrRdDissector 建立標籤並合併。
CtdWrkrRdDissectorA principal.resource.attribute.labels (CtdWrkrRdDissectorA_label) 從 CtdWrkrRdDissectorA 建立標籤並合併。
CtdSensorName principal.resource.attribute.labels (CtdSensorName_label) 從 CtdSensorName 建立標籤並合併。
CtdCtrlSite principal.resource.attribute.labels (CtdCtrlSite_label) 從 CtdCtrlSite 建立標籤並合併。
CtdLoopCallDurationBaselineTrackerWrkerHandleNetworkStatistics principal.resource.attribute.labels (CtdLoopCallDurationBaselineTrackerWrkerHandleNetworkStatistics_label) 從 CtdLoopCallDurationBaselineTrackerWrkerHandleNetworkStatistics 建立標籤,並合併標籤。
CtdDissectionCoverage principal.resource.attribute.labels (CtdDissectionCoverage_label) 從 CtdDissectionCoverage 建立標籤並合併。
CtdDissectionEfficiencyModbus principal.resource.attribute.labels (CtdDissectionEfficiencyModbus_label) 從 CtdDissectionEfficiencyModbus 建立標籤並合併。
CtdDissectionEfficiencySmb principal.resource.attribute.labels (CtdDissectionEfficiencySmb_label) 從 CtdDissectionEfficiencySmb 建立標籤並合併。
CtdDissectionEfficiencyDcerpc principal.resource.attribute.labels (CtdDissectionEfficiencyDcerpc_label) 從 CtdDissectionEfficiencyDcerpc 建立標籤並合併。
CtdDissectionEfficiencyZabbix principal.resource.attribute.labels (CtdDissectionEfficiencyZabbix_label) 從 CtdDissectionEfficiencyZabbix 建立標籤並合併。
CtdDissectionEfficiencyFactorytalkRna principal.resource.attribute.labels (CtdDissectionEfficiencyFactorytalkRna_label) 從 CtdDissectionEfficiencyFactorytalkRna 建立標籤並合併。
CtdDissectionEfficiencySsl principal.resource.attribute.labels (CtdDissectionEfficiencySsl_label) 從 CtdDissectionEfficiencySsl 建立標籤並合併。
CtdDissectionEfficiencyVrrpProtocolMatcher principal.resource.attribute.labels (CtdDissectionEfficiencyVrrpProtocolMatcher_label) 從 CtdDissectionEfficiencyVrrpProtocolMatcher 建立標籤並合併。
CtdDissectionEfficiencyRdp principal.resource.attribute.labels (CtdDissectionEfficiencyRdp_label) 從 CtdDissectionEfficiencyRdp 建立標籤並合併。
CtdDissectionEfficiencySsh principal.resource.attribute.labels (CtdDissectionEfficiencySsh_label) 從 CtdDissectionEfficiencySsh 建立標籤並合併。
CtdDissectionEfficiencyHttp principal.resource.attribute.labels (CtdDissectionEfficiencyHttp_label) 從 CtdDissectionEfficiencyHttp 建立標籤並合併。
CtdDissectionEfficiencyTcpHttp principal.resource.attribute.labels (CtdDissectionEfficiencyTcpHttp_label) 從 CtdDissectionEfficiencyTcpHttp 建立標籤並合併。
CtdDissectionEfficiencyLdap principal.resource.attribute.labels (CtdDissectionEfficiencyLdap_label) 從 CtdDissectionEfficiencyLdap 建立標籤並合併。
CtdDissectionEfficiencyJrmi principal.resource.attribute.labels (CtdDissectionEfficiencyJrmi_label) 從 CtdDissectionEfficiencyJrmi 建立標籤並合併。
CtdDissectionEfficiencyGeIfix principal.resource.attribute.labels (CtdDissectionEfficiencyGeIfix_label) 從 CtdDissectionEfficiencyGeIfix 建立標籤並合併。
CtdDissectionEfficiencyLlc principal.resource.attribute.labels (CtdDissectionEfficiencyLlc_label) 從 CtdDissectionEfficiencyLlc 建立標籤並合併。
CtdDissectionEfficiencyMatrikonNopc principal.resource.attribute.labels (CtdDissectionEfficiencyMatrikonNopc_label) 從 CtdDissectionEfficiencyMatrikonNopc 建立標籤並合併。
CtdDissectionEfficiencyVnc principal.resource.attribute.labels (CtdDissectionEfficiencyVnc_label) 從 CtdDissectionEfficiencyVnc 建立標籤並合併。
CtdUnhandledEvents principal.resource.attribute.labels (CtdUnhandledEvents_label) 從 CtdUnhandledEvents 建立標籤並合併。
CtdConcludeTime principal.resource.attribute.labels (CtdConcludeTime_label) 從 CtdConcludeTime 建立標籤並合併。
CtdMysqlQuery principal.resource.attribute.labels (CtdMysqlQuery_label) 從 CtdMysqlQuery 建立標籤並合併。
CtdPostgresQuery principal.resource.attribute.labels (CtdPostgresQuery_label) 從 CtdPostgresQuery 建立標籤並合併。
CtdPsqlIdleSessions principal.resource.attribute.labels (CtdPsqlIdleSessions_label) 從 CtdPsqlIdleSessions 建立標籤並合併。
CtdPsqlIdleInTransactionSessions principal.resource.attribute.labels (CtdPsqlIdleInTransactionSessions_label) 從 CtdPsqlIdleInTransactionSessions 建立標籤,並合併標籤。
CtdSnifferStatus principal.resource.attribute.labels (CtdSnifferStatus_label) 從 CtdSnifferStatus 建立標籤並合併。
CtdLoopCallDurationPollObjects principal.resource.attribute.labels (CtdLoopCallDurationPollObjects_label) 從 CtdLoopCallDurationPollObjects 建立標籤並合併。
CtdLoopCallDurationCloudClientWrkrBaseRunCloudConnected principal.resource.attribute.labels (CtdLoopCallDurationCloudClientWrkrBaseRunCloudConnected_label) 從 CtdLoopCallDurationCloudClientWrkrBaseRunCloudConnected 建立標籤,然後合併。
CtdSnifferStatusCentral principal.resource.attribute.labels (CtdSnifferStatusCentral_label) 從 CtdSnifferStatusCentral 建立標籤並合併。
CtdSnifferStatusSite principal.resource.attribute.labels (CtdSnifferStatusSite_label) 從 CtdSnifferStatusSite 建立標籤並合併。
CtdWrkrMailer principal.resource.attribute.labels (CtdWrkrMailer_label) 從 CtdWrkrMailer 建立標籤並合併。
CtdDroppedEntities principal.resource.attribute.labels (CtdDroppedEntities_label) 從 CtdDroppedEntities 建立標籤並合併。
externalId metadata.product_log_id 將 externalId 對應至 metadata.product_log_id。
proto protocol_number_src 將 proto 轉換為大寫,並指派給 protocol_number_src 以供查詢。
protocol_number_src ip_protocol_out; app_protocol_out 將 ip_protocol_out 初始化為 UNKNOWN_IP_PROTOCOL,並將 app_protocol_out 初始化為 UNKNOWN_APPLICATION_PROTOCOL,然後根據查閱結果更新。
ip_protocol_out network.ip_protocol 從 ip_protocol_out 設定 network.ip_protocol。
app_protocol_out network.application_protocol 從 app_protocol_out 設定 network.application_protocol。
CtdExternalId metadata.product_log_id 如果提供 CtdExternalId,則會覆寫 metadata.product_log_id。
CtdDeviceExternalId principal.resource.attribute.labels (ctd_device_label) 從 CtdDeviceExternalId (前置字元為 CtdDeviceExternalId) 建立標籤並合併。
(if has_principal_device is true and ctdeventtype = Login) security_result.category; security_result.action 如果是登入事件,則將 security_result.category 設為 AUTH_VIOLATION,並將動作設為 BLOCK
(if has_principal_device is true and ctdeventtype = Memory Reset) security_result.category 將 security_result.category 設為 SOFTWARE_SUSPICIOUS
(if target_machine_id_present is true, has_principal_device is true, and ctdeventtype in [Known Threat Alert, Known Threat Event, Man-in-the-Middle Attack, Suspicious Activity]) security_result.category 將 security_result.category 設為 NETWORK_MALICIOUS
(if target_machine_id_present 為 true,has_principal_device 為 true,且 ctdeventtype = Suspicious File Transfer) security_result.category 將 security_result.category 設為 NETWORK_SUSPICIOUS
(if target_machine_id_present 為 true,has_principal_device 為 true,且 ctdeventtype = Denial Of Service) security_result.category 將 security_result.category 設為 NETWORK_DENIAL_OF_SERVICE
(if has_principal_device is true and ctdeventtype in [Host Scan, Port Scan]) security_result.category 將 security_result.category 設為 NETWORK_RECON
(if target_machine_id_present is true, has_principal_device is true, and ctdeventtype in [Policy Rule Match, Policy Violation Alert, Policy Violation]) security_result.category 將 security_result.category 設為 POLICY_VIOLATION
(如果 has_principal_device 為 true,則為預設值) security_result.category 預設會將 security_result.category 設為 NETWORK_SUSPICIOUS
衍生 security_result_category security_result.category 將衍生安全性類別合併至 security_result.category。
衍生 security_result_action security_result.action 將衍生安全動作合併至 security_result.action (如有設定)。
cs6 (附 cs6Label CTDlink) metadata.url_back_to_product; security_result.url_back_to_product 從 cs6 設定網址欄位,以回連至產品詳細資料。
cs1 (附有 cs1Label SourceAssetType) principal.asset.category;principal.asset.type 從 cs1 設定 principal.asset.category,並根據其值判斷 principal.asset.type。
cs2 (含 cs2Label DestAssetType) target.asset.category;target.asset.type 從 cs2 設定 target.asset.category,並根據其值判斷 target.asset.type。
cfp1 (附 cfp1Label CVEScore) vulns.vulnerabilities.cvss_base_score 設定 vulns.vulnerabilities.cvss_base_score (轉換為浮點數),並將 vul_fields_present 標示為 true。
cs6 (附 cs6Label CVE) vulns.vulnerabilities.cve_id 設定 vulns.vulnerabilities.cve_id,並將 vul_fields_present 標示為 true。
cn1 (附有 cn1Label IndicatorScore) security_result.confidence_score 從 cn1 擷取指標分數、轉換為浮點數,並指派為信賴度分數。
filepath about.file.full_path;security_result.about.file.full_path 將檔案路徑對應至 about.file.full_path 和 security_result.about.file.full_path。
(if eventclass = HealthCheck and cs1Label = Site) intermediary.location.name 當做網站 ID 使用時,會從 cs1 設定 intermediary.location.name。
cn1 (含 cn1Label) additional.fields (cn1_label) 從 cn1 建立額外欄位標籤,並合併至 additional.fields。
cs1 (含 cs1Label) additional.fields (cs1_label) 從 cs1 建立額外欄位標籤,並合併至 additional.fields。
cs2 (含 cs2Label) additional.fields (cs2_label) 從 cs2 建立額外欄位標籤,並合併至 additional.fields。
cs3 (含 cs3Label) additional.fields (cs3_label) 從 cs3 建立額外的欄位標籤並合併。
cs4 (含 cs4Label) additional.fields (cs4_label) 從 cs4 建立額外的欄位標籤並合併。
cs6 (含 cs6Label) additional.fields (cs6_label) 從 cs6 建立額外的欄位標籤並合併。
(適用於根據 event_name 和 vul_fields_present 建立的 Insight 事件) event_type 衍生深入分析事件的 event_type (例如 SCAN_VULN_HOST、STATUS_UNCATEGORIZED、STATUS_UPDATE)。
(適用於以 ctdeventtype、has_principal_device 等為依據的事件/快訊事件) event_type;(選用) target.resource.type 或 auth.type 衍生事件/快訊事件的 event_type,例如 DEVICE_CONFIG_UPDATE、DEVICE_PROGRAM_DOWNLOAD/UPLOAD、NETWORK_UNCATEGORIZED、USER_RESOURCE_CREATION、SCAN_HOST、SCAN_NETWORK、SETTING_MODIFICATION、USER_LOGIN、NETWORK_CONNECTION 或 STATUS_UPDATE。
(如果 event_type 仍為空白) event_type 根據可用標記,將 event_type 設為 NETWORK_CONNECTION、USER_RESOURCE_ACCESS 或 STATUS_UPDATE。
event_type (final) metadata.event_type 將最終 event_type 複製到 metadata.event_type;如果為空白,則預設為 GENERIC_EVENT
device_vendor metadata.vendor_name 從 device_vendor 設定 metadata.vendor_name;如遺失,則預設為 CLAROTY
device_product metadata.product_name 從 device_product 設定 metadata.product_name;如果缺少,則預設為 CTD
device_version metadata.product_version 從 device_version 設定 metadata.product_version。
security_description (如果相符 ET TROJAN …) security_result.threat_name 使用 ET TROJAN (?P<threat_name>\S+) 模式從 security_description 擷取 threat_name,並對應至 security_result.threat_name。
中繼資料 event.idm.read_only_udm.metadata 將中繼資料重新命名為 event.idm.read_only_udm.metadata。
主體 event.idm.read_only_udm.principal 將主體重新命名為 event.idm.read_only_udm.principal。
目標 event.idm.read_only_udm.target 將目標重新命名為 event.idm.read_only_udm.target。
網路 event.idm.read_only_udm.network 將網路重新命名為 event.idm.read_only_udm.network。
其他 event.idm.read_only_udm.additional 將 additional 重新命名為 event.idm.read_only_udm.additional。
security_result event.idm.read_only_udm.security_result 將 security_result 合併至 event.idm.read_only_udm.security_result。
關於 event.idm.read_only_udm.about 將 about 合併到 event.idm.read_only_udm.about 中。
中介 event.idm.read_only_udm.intermediary 將中介項目併入 event.idm.read_only_udm.intermediary。
vulns.vulnerabilities event.idm.read_only_udm.extensions.vulns.vulnerabilities 將 vulns.vulnerabilities 合併至 event.idm.read_only_udm.extensions.vulns.vulnerabilities。
@output 活動 將完整的 UDM 事件結構合併至最終的 event 欄位。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。