收集 Claroty CTD 記錄
支援的國家/地區:
Google SecOps
SIEM
本文說明如何使用 Bindplane 擷取 Claroty Continuous Threat Detection (CTD) 記錄檔至 Google Security Operations。
事前準備
- 確認您有 Google Security Operations 執行個體。
- 確認您使用的是 Windows 2016 以上版本,或是搭載
systemd
的 Linux 主機。 - 如果透過 Proxy 執行,請確認防火牆通訊埠已開啟。
- 確認您擁有 Claroty CTD 的特殊權限。
取得 Google SecOps 擷取驗證檔案
- 登入 Google SecOps 控制台。
- 依序前往「SIEM 設定」>「收集代理程式」。
- 下載擷取驗證檔案。將檔案安全地儲存在要安裝 Bindplane 的系統上。
取得 Google SecOps 客戶 ID
- 登入 Google SecOps 控制台。
- 依序前往「SIEM 設定」>「設定檔」。
- 複製並儲存「機構詳細資料」專區中的客戶 ID。
安裝 Bindplane 代理程式
Windows 安裝
- 以系統管理員身分開啟「命令提示字元」或「PowerShell」。
執行下列指令:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux 安裝
- 開啟具有根層級或 sudo 權限的終端機。
執行下列指令:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
其他安裝資源
- 如需其他安裝選項,請參閱這份安裝指南。
設定 Bindplane 代理程式,擷取系統記錄檔並傳送至 Google SecOps
存取設定檔:
- 找出
config.yaml
檔案。通常位於 Linux 的/etc/bindplane-agent/
目錄,或 Windows 的安裝目錄。 - 使用文字編輯器 (例如
nano
、vi
或記事本) 開啟檔案。
- 找出
按照下列方式編輯
config.yaml
檔案:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: CLAROTY_CTD raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels
視基礎架構需求,替換通訊埠和 IP 位址。
將
<customer_id>
替換為實際的客戶 ID。將
/path/to/ingestion-authentication-file.json
更新為「取得 Google SecOps 擷取驗證檔案」一節中儲存驗證檔案的路徑。
重新啟動 Bindplane 代理程式,以套用變更
如要在 Linux 中重新啟動 Bindplane 代理程式,請執行下列指令:
sudo systemctl restart bindplane-agent
如要在 Windows 中重新啟動 Bindplane 代理程式,可以使用「服務」控制台,或輸入下列指令:
net stop BindPlaneAgent && net start BindPlaneAgent
在 Claroty Continuous Threat Detection (CTD) 上設定 Syslog
- 登入 Claroty CTD 網頁版 UI。
- 依序前往「選單」>「整合」>「Syslog」。
- 針對每種 Syslog 訊息內容類型,重複下列步驟:
- 警告
- 活動
- 健康監測
- 深入分析
- 活動記錄
- 安全漏洞
- 按一下「+」新增設定。
- 在「訊息內容」選單中,選取要匯出的內容。
- 提供下列設定詳細資料:
- 類別:選取「全部」。
- 類型:選取「全選」類型。
- 格式:選取「CEF (最新)」。
- 系統網址:除非您使用 Proxy 伺服器,否則請勿更新系統網址/IP。
- 傳送至:選取「外部 Syslog 伺服器 (例如 SIEM、SOAR 系統)」。
- 供應商:選取「其他」。
- 系統記錄伺服器 IP:輸入 Bindplane 代理程式 IP 位址。
- 「Port」(通訊埠):輸入 Bindplane 代理程式通訊埠 (例如
514
)。 - 通訊協定:選取「UDP」 (其他選項包括 TCP、TLS 或 mTLS,視 Bindplane 設定而定)。
- 按一下 [儲存]。
UDM 對應表
記錄欄位 | UDM 對應 | 邏輯 |
---|---|---|
CtdRealTime | metadata.event_timestamp | 使用 CtdRealTime 中的 MMM dd yyyy HH:mm:ss 剖析,並做為事件時間戳記。 |
CtdTimeGenerated | metadata.event_timestamp | 如果 CtdRealTime 為空,則使用 CtdTimeGenerated 中的 MMM dd yyyy HH:mm:ss 進行剖析,以設定事件時間戳記。 |
CtdMessage | metadata.description | 從 CtdMessage 欄位設定 metadata.description。 |
CtdMessage | security_result.description | 在適用情況下,從 CtdMessage 欄位設定 security_result.description。 |
通訊埠 (來自 CtdMessage KV) | principal.port | 從 CtdMessage 的金鑰 Port 中擷取;轉換為整數並設為 principal.port。 |
類別 (來自 CtdMessage KV) | security_result.detection_fields (Category_label) | 從 CtdMessage 擷取為鍵 Category ,並合併至偵測欄位。 |
存取權 (來自 CtdMessage KV) | security_result.detection_fields (Access_label) | 從 CtdMessage 擷取為鍵 Access ,並合併至偵測欄位。 |
CtdSite | principal.hostname | 將 CtdSite 對應至 principal.hostname。 |
CtdSite | principal.asset.hostname | 將 CtdSite 對應至 principal.asset.hostname。 |
CtdCpu | principal.resource.attribute.labels (CtdCpu_label) | 使用 CtdCpu 的值建立鍵為 CtdCpu 的標籤,並將其合併至 principal.resource.attribute.labels。 |
CtdMem | principal.resource.attribute.labels (CtdMem_label) | 使用 CtdMem 的值建立鍵為 CtdMem 的標籤,並將其合併至 principal.resource.attribute.labels。 |
CtdUsedOptIcsranger | principal.resource.attribute.labels (CtdUsedOptIcsranger_label) | 從 CtdUsedOptIcsranger 建立標籤並合併。 |
CtdUsedVar | principal.resource.attribute.labels (CtdUsedVar_label) | 從 CtdUsedVar 建立標籤並合併。 |
CtdUsedTmp | principal.resource.attribute.labels (CtdUsedTmp_label) | 從 CtdUsedTmp 建立標籤並合併。 |
CtdUsedEtc | principal.resource.attribute.labels (CtdUsedEtc_label) | 從 CtdUsedEtc 建立標籤並合併。 |
CtdBusyFd | principal.resource.attribute.labels (CtdBusyFd_label) | 從 CtdBusyFd 建立標籤並合併。 |
CtdBusySda | principal.resource.attribute.labels (CtdBusySda_label) | 從 CtdBusySda 建立標籤並合併。 |
CtdBusySdaA | principal.resource.attribute.labels (CtdBusySdaA_label) | 從 CtdBusySdaA 建立標籤並合併。 |
CtdBusySdaB | principal.resource.attribute.labels (CtdBusySdaB_label) | 從 CtdBusySdaB 建立標籤並合併。 |
CtdBusySr | principal.resource.attribute.labels (CtdBusySr_label) | 從 CtdBusySr 建立標籤並合併。 |
CtdBusyDm | principal.resource.attribute.labels (CtdBusyDm_label) | 從 CtdBusyDm 建立標籤並合併。 |
CtdBusyDmA | principal.resource.attribute.labels (CtdBusyDmA_label) | 從 CtdBusyDmA 建立標籤並合併。 |
CtdQuPreprocessingNg | principal.resource.attribute.labels (CtdQuPreprocessingNg_label) | 從 CtdQuPreprocessingNg 建立標籤並合併。 |
CtdQuBaselineTracker | principal.resource.attribute.labels (CtdQuBaselineTracker_label) | 從 CtdQuBaselineTracker 建立標籤並合併。 |
CtdQuBridge | principal.resource.attribute.labels (CtdQuBridge_label) | 從 CtdQuBridge 建立標籤並合併。 |
CtdQuCentralBridge | principal.resource.attribute.labels (CtdQuCentralBridge_label) | 從 CtdQuCentralBridge 建立標籤並合併。 |
CtdQuConcluding | principal.resource.attribute.labels (CtdQuConcluding_label) | 從 CtdQuConcluding 建立標籤並合併。 |
CtdQuDiodeFeeder | principal.resource.attribute.labels (CtdQuDiodeFeeder_label) | 從 CtdQuDiodeFeeder 建立標籤並合併。 |
CtdQuDissector | principal.resource.attribute.labels (CtdQuDissector_label) | 從 CtdQuDissector 建立標籤並合併。 |
CtdQuDissectorA | principal.resource.attribute.labels (CtdQuDissectorA_label) | 從 CtdQuDissectorA 建立標籤並合併。 |
CtdQuDissectorNg | principal.resource.attribute.labels (CtdQuDissectorNg_label) | 從 CtdQuDissectorNg 建立標籤並合併。 |
CtdQuIndicatorService | principal.resource.attribute.labels (CtdQuIndicatorService_label) | 從 CtdQuIndicatorService 建立標籤並合併。 |
CtdQuLeecher | principal.resource.attribute.labels (CtdQuLeecher_label) | 從 CtdQuLeecher 建立標籤並合併。 |
CtdQuMonitor | principal.resource.attribute.labels (CtdQuMonitor_label) | 從 CtdQuMonitor 建立標籤並合併。 |
CtdQuNetworkStatistics | principal.resource.attribute.labels (CtdQuNetworkStatistics_label) | 從 CtdQuNetworkStatistics 建立標籤並合併。 |
CtdQuPackets | principal.resource.attribute.labels (CtdQuPackets_label) | 從 CtdQuPackets 建立標籤並合併。 |
CtdQuPacketsErrors | principal.resource.attribute.labels (CtdQuPacketsErrors_label) | 從 CtdQuPacketsErrors 建立標籤並合併。 |
CtdQuPreprocessing | principal.resource.attribute.labels (CtdQuPreprocessing_label) | 從 CtdQuPreprocessing 建立標籤並合併。 |
CtdQuPriorityProcessing | principal.resource.attribute.labels (CtdQuPriorityProcessing_label) | 從 CtdQuPriorityProcessing 建立標籤並合併。 |
CtdQuProcessing | principal.resource.attribute.labels (CtdQuProcessing_label) | 從 CtdQuProcessing 建立標籤並合併。 |
CtdQuProcessingHigh | principal.resource.attribute.labels (CtdQuProcessingHigh_label) | 從 CtdQuProcessingHigh 建立標籤並合併。 |
CtdQuZordonUpdates | principal.resource.attribute.labels (CtdQuZordonUpdates_label) | 從 CtdQuZordonUpdates 建立標籤並合併。 |
CtdQuStatisticsNg | principal.resource.attribute.labels (CtdQuStatisticsNg_label) | 從 CtdQuStatisticsNg 建立標籤並合併。 |
CtdQueuePurge | principal.resource.attribute.labels (CtdQueuePurge_label) | 從 CtdQueuePurge 建立標籤並合併。 |
CtdQuSyslogAlerts | principal.resource.attribute.labels (CtdQuSyslogAlerts_label) | 從 CtdQuSyslogAlerts 建立標籤並合併。 |
CtdQuSyslogEvents | principal.resource.attribute.labels (CtdQuSyslogEvents_label) | 從 CtdQuSyslogEvents 建立標籤並合併。 |
CtdQuSyslogInsights | principal.resource.attribute.labels (CtdQuSyslogInsights_label) | 從 CtdQuSyslogInsights 建立標籤並合併。 |
CtdRdDissector | principal.resource.attribute.labels (CtdRdDissector_label) | 從 CtdRdDissector 建立標籤並合併。 |
CtdRdDissectorA | principal.resource.attribute.labels (CtdRdDissectorA_label) | 從 CtdRdDissectorA 建立標籤並合併。 |
CtdRdDissectorNg | principal.resource.attribute.labels (CtdRdDissectorNg_label) | 從 CtdRdDissectorNg 建立標籤並合併。 |
CtdRdPreprocessing | principal.resource.attribute.labels (CtdRdPreprocessing_label) | 從 CtdRdPreprocessing 建立標籤並合併。 |
CtdRdPreprocessingNg | principal.resource.attribute.labels (CtdRdPreprocessingNg_label) | 從 CtdRdPreprocessingNg 建立標籤並合併。 |
CtdSvcMariaDb | principal.resource.attribute.labels (CtdSvcMariaDb_label) | 從 CtdSvcMariaDb 建立標籤並合併。 |
CtdSvcPostgres | principal.resource.attribute.labels (CtdSvcPostgres_label) | 從 CtdSvcPostgres 建立標籤並合併。 |
CtdSvcRedis | principal.resource.attribute.labels (CtdSvcRedis_label) | 從 CtdSvcRedis 建立標籤並合併。 |
CtdSvcRabbitMq | principal.resource.attribute.labels (CtdSvcRabbitMq_label) | 從 CtdSvcRabbitMq 建立標籤並合併。 |
CtdSvcIcsranger | principal.resource.attribute.labels (CtdSvcIcsranger_label) | 從 CtdSvcIcsranger 建立標籤並合併。 |
CtdSvcWatchdog | principal.resource.attribute.labels (CtdSvcWatchdog_label) | 從 CtdSvcWatchdog 建立標籤並合併。 |
CtdSvcFirewalld | principal.resource.attribute.labels (CtdSvcFirewalld_label) | 從 CtdSvcFirewalld 建立標籤並合併。 |
CtdSvcNetunnel | principal.resource.attribute.labels (CtdSvcNetunnel_label) | 從 CtdSvcNetunnel 建立標籤並合併。 |
CtdSvcJwthenticator | principal.resource.attribute.labels (CtdSvcJwthenticator_label) | 從 CtdSvcJwthenticator 建立標籤並合併。 |
CtdSvcDocker | principal.resource.attribute.labels (CtdSvcDocker_label) | 從 CtdSvcDocker 建立標籤並合併。 |
CtdExceptions | principal.resource.attribute.labels (CtdExceptions_label) | 從 CtdExceptions 建立標籤並合併。 |
CtdInputPacketDrops | principal.resource.attribute.labels (CtdInputPacketDrops_label) | 從 CtdInputPacketDrops 建立標籤並合併。 |
CtdOutputPacketDrops | principal.resource.attribute.labels (CtdOutputPacketDrops_label) | 從 CtdOutputPacketDrops 建立標籤並合併。 |
CtdFullOutputPacketDrops | principal.resource.attribute.labels (CtdFullOutputPacketDrops_label) | 從 CtdFullOutputPacketDrops 建立標籤並合併。 |
CtdDissectorNgPacketDrops | principal.resource.attribute.labels (CtdDissectorNgPacketDrops_label) | 從 CtdDissectorNgPacketDrops 建立標籤並合併。 |
CtdTagArtifactsDropsPreprocessor | principal.resource.attribute.labels (CtdTagArtifactsDropsPreprocessor_label) | 從 CtdTagArtifactsDropsPreprocessor 建立標籤並合併。 |
CtdTagArtifactsDropsPreprocessorSum | principal.resource.attribute.labels (CtdTagArtifactsDropsPreprocessorSum_label) | 從 CtdTagArtifactsDropsPreprocessorSum 建立標籤並合併。 |
CtdTagArtifactsDropsProcessor | principal.resource.attribute.labels (CtdTagArtifactsDropsProcessor_label) | 從 CtdTagArtifactsDropsProcessor 建立標籤並合併。 |
CtdTagArtifactsDropsProcessorSum | principal.resource.attribute.labels (CtdTagArtifactsDropsProcessorSum_label) | 從 CtdTagArtifactsDropsProcessorSum 建立標籤並合併。 |
CtdTagArtifactsDropsSniffer | principal.resource.attribute.labels (CtdTagArtifactsDropsSniffer_label) | 從 CtdTagArtifactsDropsSniffer 建立標籤並合併。 |
CtdTagArtifactsDropsSnifferSum | principal.resource.attribute.labels (CtdTagArtifactsDropsSnifferSum_label) | 從 CtdTagArtifactsDropsSnifferSum 建立標籤並合併。 |
CtdTagArtifactsDropsDissectorPypy | principal.resource.attribute.labels (CtdTagArtifactsDropsDissectorPypy_label) | 從 CtdTagArtifactsDropsDissectorPypy 建立標籤並合併。 |
CtdTagArtifactsDropsDissectorPypySum | principal.resource.attribute.labels (CtdTagArtifactsDropsDissectorPypySum_label) | 從 CtdTagArtifactsDropsDissectorPypySum 建立標籤並合併。 |
CtdCapsaverFolderCleanup | principal.resource.attribute.labels (CtdCapsaverFolderCleanup_label) | 從 CtdCapsaverFolderCleanup 建立標籤並合併。 |
CtdCapsaverUtilzationTest | principal.resource.attribute.labels (CtdCapsaverUtilzationTest_label) | 從 CtdCapsaverUtilzationTest 建立標籤並合併。 |
CtdYaraScannerTest | principal.resource.attribute.labels (CtdYaraScannerTest_label) | 從 CtdYaraScannerTest 建立標籤並合併。 |
CtdWrkrWorkersStop | principal.resource.attribute.labels (CtdWrkrWorkersStop_label) | 從 CtdWrkrWorkersStop 建立標籤並合併。 |
CtdWrkrWorkersRestart | principal.resource.attribute.labels (CtdWrkrWorkersRestart_label) | 從 CtdWrkrWorkersRestart 建立標籤並合併。 |
CtdWrkrActiveExecuter | principal.resource.attribute.labels (CtdWrkrActiveExecuter_label) | 從 CtdWrkrActiveExecuter 建立標籤並合併。 |
CtdWrkrSensor | principal.resource.attribute.labels (CtdWrkrSensor_label) | 從 CtdWrkrSensor 建立標籤並合併。 |
CtdWrkrAuthentication | principal.resource.attribute.labels (CtdWrkrAuthentication_label) | 從 CtdWrkrAuthentication 建立標籤並合併。 |
CtdWrkrMitre | principal.resource.attribute.labels (CtdWrkrMitre_label) | 從 CtdWrkrMitre 建立標籤並合併。 |
CtdWrkrNotifications | principal.resource.attribute.labels (CtdWrkrNotifications_label) | 從 CtdWrkrNotifications 建立標籤並合併。 |
CtdWrkrProcessor | principal.resource.attribute.labels (CtdWrkrProcessor_label) | 從 CtdWrkrProcessor 建立標籤並合併。 |
CtdWrkrCloudAgent | principal.resource.attribute.labels (CtdWrkrCloudAgent_label) | 從 CtdWrkrCloudAgent 建立標籤並合併。 |
CtdWrkrCloudClient | principal.resource.attribute.labels (CtdWrkrCloudClient_label) | 從 CtdWrkrCloudClient 建立標籤並合併。 |
CtdWrkrScheduler | principal.resource.attribute.labels (CtdWrkrScheduler_label) | 從 CtdWrkrScheduler 建立標籤並合併。 |
CtdWrkrknownThreats | principal.resource.attribute.labels (CtdWrkrknownThreats_label) | 從 CtdWrkrknownThreats 建立標籤並合併。 |
CtdWrkrCacher | principal.resource.attribute.labels (CtdWrkrCacher_label) | 從 CtdWrkrCacher 建立標籤並合併。 |
CtdWrkrInsights | principal.resource.attribute.labels (CtdWrkrInsights_label) | 從 CtdWrkrInsights 建立標籤並合併。 |
CtdWrkrActive | principal.resource.attribute.labels (CtdWrkrActive_label) | 從 CtdWrkrActive 建立標籤並合併。 |
CtdWrkrEnricher | principal.resource.attribute.labels (CtdWrkrEnricher_label) | 從 CtdWrkrEnricher 建立標籤並合併。 |
CtdWrkrIndicators | principal.resource.attribute.labels (CtdWrkrIndicators_label) | 從 CtdWrkrIndicators 建立標籤並合併。 |
CtdWrkrIndicatorsApi | principal.resource.attribute.labels (CtdWrkrIndicatorsApi_label) | 從 CtdWrkrIndicatorsApi 建立標籤並合併。 |
CtdWrkrConcluder | principal.resource.attribute.labels (CtdWrkrConcluder_label) | 從 CtdWrkrConcluder 建立標籤並合併。 |
CtdWrkrPreprocessor | principal.resource.attribute.labels (CtdWrkrPreprocessor_label) | 從 CtdWrkrPreprocessor 建立標籤並合併。 |
CtdWrkrLeecher | principal.resource.attribute.labels (CtdWrkrLeecher_label) | 從 CtdWrkrLeecher 建立標籤並合併。 |
CtdWrkrSyncManager | principal.resource.attribute.labels (CtdWrkrSyncManager_label) | 從 CtdWrkrSyncManager 建立標籤並合併。 |
CtdWrkrBridge | principal.resource.attribute.labels (CtdWrkrBridge_label) | 從 CtdWrkrBridge 建立標籤並合併。 |
CtdWrkrWebRanger | principal.resource.attribute.labels (CtdWrkrWebRanger_label) | 從 CtdWrkrWebRanger 建立標籤並合併。 |
CtdWrkrWebWs | principal.resource.attribute.labels (CtdWrkrWebWs_label) | 從 CtdWrkrWebWs 建立標籤並合併。 |
CtdWrkrWebAuth | principal.resource.attribute.labels (CtdWrkrWebAuth_label) | 從 CtdWrkrWebAuth 建立標籤並合併。 |
CtdWrkrWebNginx | principal.resource.attribute.labels (CtdWrkrWebNginx_label) | 從 CtdWrkrWebNginx 建立標籤並合併。 |
CtdWrkrConfigurator | principal.resource.attribute.labels (CtdWrkrConfigurator_label) | 從 CtdWrkrConfigurator 建立標籤並合併。 |
CtdWrkrConfiguratorNginx | principal.resource.attribute.labels (CtdWrkrConfiguratorNginx_label) | 從 CtdWrkrConfiguratorNginx 建立標籤並合併。 |
CtdWrkrCapsaver | principal.resource.attribute.labels (CtdWrkrCapsaver_label) | 從 CtdWrkrCapsaver 建立標籤並合併。 |
CtdWrkrBaselineTracker | principal.resource.attribute.labels (CtdWrkrBaselineTracker_label) | 從 CtdWrkrBaselineTracker 建立標籤並合併。 |
CtdWrkrDissector | principal.resource.attribute.labels (CtdWrkrDissector_label) | 從 CtdWrkrDissector 建立標籤並合併。 |
CtdWrkrDissectorA | principal.resource.attribute.labels (CtdWrkrDissectorA_label) | 從 CtdWrkrDissectorA 建立標籤並合併。 |
CtdWrkrDissectorNg | principal.resource.attribute.labels (CtdWrkrDissectorNg_label) | 從 CtdWrkrDissectorNg 建立標籤並合併。 |
CtdWrkrPreprocessing | principal.resource.attribute.labels (CtdWrkrPreprocessing_label) | 從 CtdWrkrPreprocessing 建立標籤並合併。 |
CtdWrkrPreprocessingNg | principal.resource.attribute.labels (CtdWrkrPreprocessingNg_label) | 從 CtdWrkrPreprocessingNg 建立標籤並合併。 |
CtdWrkrStatisticsNg | principal.resource.attribute.labels (CtdWrkrStatisticsNg_label) | 從 CtdWrkrStatisticsNg 建立標籤並合併。 |
CtdWrkrSyslogAlerts | principal.resource.attribute.labels (CtdWrkrSyslogAlerts_label) | 從 CtdWrkrSyslogAlerts 建立標籤並合併。 |
CtdWrkrSyslogEvents | principal.resource.attribute.labels (CtdWrkrSyslogEvents_label) | 從 CtdWrkrSyslogEvents 建立標籤並合併。 |
CtdWrkrSyslogInsights | principal.resource.attribute.labels (CtdWrkrSyslogInsights_label) | 從 CtdWrkrSyslogInsights 建立標籤並合併。 |
CtdWrkrRdDissector | principal.resource.attribute.labels (CtdWrkrRdDissector_label) | 從 CtdWrkrRdDissector 建立標籤並合併。 |
CtdWrkrRdDissectorA | principal.resource.attribute.labels (CtdWrkrRdDissectorA_label) | 從 CtdWrkrRdDissectorA 建立標籤並合併。 |
CtdSensorName | principal.resource.attribute.labels (CtdSensorName_label) | 從 CtdSensorName 建立標籤並合併。 |
CtdCtrlSite | principal.resource.attribute.labels (CtdCtrlSite_label) | 從 CtdCtrlSite 建立標籤並合併。 |
CtdLoopCallDurationBaselineTrackerWrkerHandleNetworkStatistics | principal.resource.attribute.labels (CtdLoopCallDurationBaselineTrackerWrkerHandleNetworkStatistics_label) | 從 CtdLoopCallDurationBaselineTrackerWrkerHandleNetworkStatistics 建立標籤,並合併標籤。 |
CtdDissectionCoverage | principal.resource.attribute.labels (CtdDissectionCoverage_label) | 從 CtdDissectionCoverage 建立標籤並合併。 |
CtdDissectionEfficiencyModbus | principal.resource.attribute.labels (CtdDissectionEfficiencyModbus_label) | 從 CtdDissectionEfficiencyModbus 建立標籤並合併。 |
CtdDissectionEfficiencySmb | principal.resource.attribute.labels (CtdDissectionEfficiencySmb_label) | 從 CtdDissectionEfficiencySmb 建立標籤並合併。 |
CtdDissectionEfficiencyDcerpc | principal.resource.attribute.labels (CtdDissectionEfficiencyDcerpc_label) | 從 CtdDissectionEfficiencyDcerpc 建立標籤並合併。 |
CtdDissectionEfficiencyZabbix | principal.resource.attribute.labels (CtdDissectionEfficiencyZabbix_label) | 從 CtdDissectionEfficiencyZabbix 建立標籤並合併。 |
CtdDissectionEfficiencyFactorytalkRna | principal.resource.attribute.labels (CtdDissectionEfficiencyFactorytalkRna_label) | 從 CtdDissectionEfficiencyFactorytalkRna 建立標籤並合併。 |
CtdDissectionEfficiencySsl | principal.resource.attribute.labels (CtdDissectionEfficiencySsl_label) | 從 CtdDissectionEfficiencySsl 建立標籤並合併。 |
CtdDissectionEfficiencyVrrpProtocolMatcher | principal.resource.attribute.labels (CtdDissectionEfficiencyVrrpProtocolMatcher_label) | 從 CtdDissectionEfficiencyVrrpProtocolMatcher 建立標籤並合併。 |
CtdDissectionEfficiencyRdp | principal.resource.attribute.labels (CtdDissectionEfficiencyRdp_label) | 從 CtdDissectionEfficiencyRdp 建立標籤並合併。 |
CtdDissectionEfficiencySsh | principal.resource.attribute.labels (CtdDissectionEfficiencySsh_label) | 從 CtdDissectionEfficiencySsh 建立標籤並合併。 |
CtdDissectionEfficiencyHttp | principal.resource.attribute.labels (CtdDissectionEfficiencyHttp_label) | 從 CtdDissectionEfficiencyHttp 建立標籤並合併。 |
CtdDissectionEfficiencyTcpHttp | principal.resource.attribute.labels (CtdDissectionEfficiencyTcpHttp_label) | 從 CtdDissectionEfficiencyTcpHttp 建立標籤並合併。 |
CtdDissectionEfficiencyLdap | principal.resource.attribute.labels (CtdDissectionEfficiencyLdap_label) | 從 CtdDissectionEfficiencyLdap 建立標籤並合併。 |
CtdDissectionEfficiencyJrmi | principal.resource.attribute.labels (CtdDissectionEfficiencyJrmi_label) | 從 CtdDissectionEfficiencyJrmi 建立標籤並合併。 |
CtdDissectionEfficiencyGeIfix | principal.resource.attribute.labels (CtdDissectionEfficiencyGeIfix_label) | 從 CtdDissectionEfficiencyGeIfix 建立標籤並合併。 |
CtdDissectionEfficiencyLlc | principal.resource.attribute.labels (CtdDissectionEfficiencyLlc_label) | 從 CtdDissectionEfficiencyLlc 建立標籤並合併。 |
CtdDissectionEfficiencyMatrikonNopc | principal.resource.attribute.labels (CtdDissectionEfficiencyMatrikonNopc_label) | 從 CtdDissectionEfficiencyMatrikonNopc 建立標籤並合併。 |
CtdDissectionEfficiencyVnc | principal.resource.attribute.labels (CtdDissectionEfficiencyVnc_label) | 從 CtdDissectionEfficiencyVnc 建立標籤並合併。 |
CtdUnhandledEvents | principal.resource.attribute.labels (CtdUnhandledEvents_label) | 從 CtdUnhandledEvents 建立標籤並合併。 |
CtdConcludeTime | principal.resource.attribute.labels (CtdConcludeTime_label) | 從 CtdConcludeTime 建立標籤並合併。 |
CtdMysqlQuery | principal.resource.attribute.labels (CtdMysqlQuery_label) | 從 CtdMysqlQuery 建立標籤並合併。 |
CtdPostgresQuery | principal.resource.attribute.labels (CtdPostgresQuery_label) | 從 CtdPostgresQuery 建立標籤並合併。 |
CtdPsqlIdleSessions | principal.resource.attribute.labels (CtdPsqlIdleSessions_label) | 從 CtdPsqlIdleSessions 建立標籤並合併。 |
CtdPsqlIdleInTransactionSessions | principal.resource.attribute.labels (CtdPsqlIdleInTransactionSessions_label) | 從 CtdPsqlIdleInTransactionSessions 建立標籤,並合併標籤。 |
CtdSnifferStatus | principal.resource.attribute.labels (CtdSnifferStatus_label) | 從 CtdSnifferStatus 建立標籤並合併。 |
CtdLoopCallDurationPollObjects | principal.resource.attribute.labels (CtdLoopCallDurationPollObjects_label) | 從 CtdLoopCallDurationPollObjects 建立標籤並合併。 |
CtdLoopCallDurationCloudClientWrkrBaseRunCloudConnected | principal.resource.attribute.labels (CtdLoopCallDurationCloudClientWrkrBaseRunCloudConnected_label) | 從 CtdLoopCallDurationCloudClientWrkrBaseRunCloudConnected 建立標籤,然後合併。 |
CtdSnifferStatusCentral | principal.resource.attribute.labels (CtdSnifferStatusCentral_label) | 從 CtdSnifferStatusCentral 建立標籤並合併。 |
CtdSnifferStatusSite | principal.resource.attribute.labels (CtdSnifferStatusSite_label) | 從 CtdSnifferStatusSite 建立標籤並合併。 |
CtdWrkrMailer | principal.resource.attribute.labels (CtdWrkrMailer_label) | 從 CtdWrkrMailer 建立標籤並合併。 |
CtdDroppedEntities | principal.resource.attribute.labels (CtdDroppedEntities_label) | 從 CtdDroppedEntities 建立標籤並合併。 |
externalId | metadata.product_log_id | 將 externalId 對應至 metadata.product_log_id。 |
proto | protocol_number_src | 將 proto 轉換為大寫,並指派給 protocol_number_src 以供查詢。 |
protocol_number_src | ip_protocol_out; app_protocol_out | 將 ip_protocol_out 初始化為 UNKNOWN_IP_PROTOCOL ,並將 app_protocol_out 初始化為 UNKNOWN_APPLICATION_PROTOCOL ,然後根據查閱結果更新。 |
ip_protocol_out | network.ip_protocol | 從 ip_protocol_out 設定 network.ip_protocol。 |
app_protocol_out | network.application_protocol | 從 app_protocol_out 設定 network.application_protocol。 |
CtdExternalId | metadata.product_log_id | 如果提供 CtdExternalId,則會覆寫 metadata.product_log_id。 |
CtdDeviceExternalId | principal.resource.attribute.labels (ctd_device_label) | 從 CtdDeviceExternalId (前置字元為 CtdDeviceExternalId ) 建立標籤並合併。 |
(if has_principal_device is true and ctdeventtype = Login ) |
security_result.category; security_result.action | 如果是登入事件,則將 security_result.category 設為 AUTH_VIOLATION ,並將動作設為 BLOCK 。 |
(if has_principal_device is true and ctdeventtype = Memory Reset ) |
security_result.category | 將 security_result.category 設為 SOFTWARE_SUSPICIOUS 。 |
(if target_machine_id_present is true, has_principal_device is true, and ctdeventtype in [Known Threat Alert , Known Threat Event , Man-in-the-Middle Attack , Suspicious Activity ]) |
security_result.category | 將 security_result.category 設為 NETWORK_MALICIOUS 。 |
(if target_machine_id_present 為 true,has_principal_device 為 true,且 ctdeventtype = Suspicious File Transfer ) |
security_result.category | 將 security_result.category 設為 NETWORK_SUSPICIOUS 。 |
(if target_machine_id_present 為 true,has_principal_device 為 true,且 ctdeventtype = Denial Of Service ) |
security_result.category | 將 security_result.category 設為 NETWORK_DENIAL_OF_SERVICE 。 |
(if has_principal_device is true and ctdeventtype in [Host Scan , Port Scan ]) |
security_result.category | 將 security_result.category 設為 NETWORK_RECON 。 |
(if target_machine_id_present is true, has_principal_device is true, and ctdeventtype in [Policy Rule Match , Policy Violation Alert , Policy Violation ]) |
security_result.category | 將 security_result.category 設為 POLICY_VIOLATION 。 |
(如果 has_principal_device 為 true,則為預設值) | security_result.category | 預設會將 security_result.category 設為 NETWORK_SUSPICIOUS 。 |
衍生 security_result_category | security_result.category | 將衍生安全性類別合併至 security_result.category。 |
衍生 security_result_action | security_result.action | 將衍生安全動作合併至 security_result.action (如有設定)。 |
cs6 (附 cs6Label CTDlink ) |
metadata.url_back_to_product; security_result.url_back_to_product | 從 cs6 設定網址欄位,以回連至產品詳細資料。 |
cs1 (附有 cs1Label SourceAssetType ) |
principal.asset.category;principal.asset.type | 從 cs1 設定 principal.asset.category,並根據其值判斷 principal.asset.type。 |
cs2 (含 cs2Label DestAssetType ) |
target.asset.category;target.asset.type | 從 cs2 設定 target.asset.category,並根據其值判斷 target.asset.type。 |
cfp1 (附 cfp1Label CVEScore ) |
vulns.vulnerabilities.cvss_base_score | 設定 vulns.vulnerabilities.cvss_base_score (轉換為浮點數),並將 vul_fields_present 標示為 true。 |
cs6 (附 cs6Label CVE ) |
vulns.vulnerabilities.cve_id | 設定 vulns.vulnerabilities.cve_id,並將 vul_fields_present 標示為 true。 |
cn1 (附有 cn1Label IndicatorScore ) |
security_result.confidence_score | 從 cn1 擷取指標分數、轉換為浮點數,並指派為信賴度分數。 |
filepath | about.file.full_path;security_result.about.file.full_path | 將檔案路徑對應至 about.file.full_path 和 security_result.about.file.full_path。 |
(if eventclass = HealthCheck and cs1Label = Site ) |
intermediary.location.name | 當做網站 ID 使用時,會從 cs1 設定 intermediary.location.name。 |
cn1 (含 cn1Label) | additional.fields (cn1_label) | 從 cn1 建立額外欄位標籤,並合併至 additional.fields。 |
cs1 (含 cs1Label) | additional.fields (cs1_label) | 從 cs1 建立額外欄位標籤,並合併至 additional.fields。 |
cs2 (含 cs2Label) | additional.fields (cs2_label) | 從 cs2 建立額外欄位標籤,並合併至 additional.fields。 |
cs3 (含 cs3Label) | additional.fields (cs3_label) | 從 cs3 建立額外的欄位標籤並合併。 |
cs4 (含 cs4Label) | additional.fields (cs4_label) | 從 cs4 建立額外的欄位標籤並合併。 |
cs6 (含 cs6Label) | additional.fields (cs6_label) | 從 cs6 建立額外的欄位標籤並合併。 |
(適用於根據 event_name 和 vul_fields_present 建立的 Insight 事件) | event_type | 衍生深入分析事件的 event_type (例如 SCAN_VULN_HOST、STATUS_UNCATEGORIZED、STATUS_UPDATE)。 |
(適用於以 ctdeventtype、has_principal_device 等為依據的事件/快訊事件) | event_type;(選用) target.resource.type 或 auth.type | 衍生事件/快訊事件的 event_type,例如 DEVICE_CONFIG_UPDATE、DEVICE_PROGRAM_DOWNLOAD/UPLOAD、NETWORK_UNCATEGORIZED、USER_RESOURCE_CREATION、SCAN_HOST、SCAN_NETWORK、SETTING_MODIFICATION、USER_LOGIN、NETWORK_CONNECTION 或 STATUS_UPDATE。 |
(如果 event_type 仍為空白) | event_type | 根據可用標記,將 event_type 設為 NETWORK_CONNECTION、USER_RESOURCE_ACCESS 或 STATUS_UPDATE。 |
event_type (final) | metadata.event_type | 將最終 event_type 複製到 metadata.event_type;如果為空白,則預設為 GENERIC_EVENT 。 |
device_vendor | metadata.vendor_name | 從 device_vendor 設定 metadata.vendor_name;如遺失,則預設為 CLAROTY 。 |
device_product | metadata.product_name | 從 device_product 設定 metadata.product_name;如果缺少,則預設為 CTD 。 |
device_version | metadata.product_version | 從 device_version 設定 metadata.product_version。 |
security_description (如果相符 ET TROJAN … ) |
security_result.threat_name | 使用 ET TROJAN (?P<threat_name>\S+) 模式從 security_description 擷取 threat_name,並對應至 security_result.threat_name。 |
中繼資料 | event.idm.read_only_udm.metadata | 將中繼資料重新命名為 event.idm.read_only_udm.metadata。 |
主體 | event.idm.read_only_udm.principal | 將主體重新命名為 event.idm.read_only_udm.principal。 |
目標 | event.idm.read_only_udm.target | 將目標重新命名為 event.idm.read_only_udm.target。 |
網路 | event.idm.read_only_udm.network | 將網路重新命名為 event.idm.read_only_udm.network。 |
其他 | event.idm.read_only_udm.additional | 將 additional 重新命名為 event.idm.read_only_udm.additional。 |
security_result | event.idm.read_only_udm.security_result | 將 security_result 合併至 event.idm.read_only_udm.security_result。 |
關於 | event.idm.read_only_udm.about | 將 about 合併到 event.idm.read_only_udm.about 中。 |
中介 | event.idm.read_only_udm.intermediary | 將中介項目併入 event.idm.read_only_udm.intermediary。 |
vulns.vulnerabilities | event.idm.read_only_udm.extensions.vulns.vulnerabilities | 將 vulns.vulnerabilities 合併至 event.idm.read_only_udm.extensions.vulns.vulnerabilities。 |
@output | 活動 | 將完整的 UDM 事件結構合併至最終的 event 欄位。 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。