ElasticsearchV7
통합 버전: 17.0
Google Security Operations와 함께 작동하도록 ElasticsearchV7 구성
API 토큰을 만드는 방법
새 API 토큰을 만들려면 다음 요청을 실행하세요.
curl --location --request POST 'http://<server address>:<port>/_security/api_key' \
--header 'Authorization: Basic Base64(username, password)' \
--header 'Content-Type: application/json' \
--data-raw '{
"name": "siemplify-integration",
"role_descriptors": {}
}':
응답 예시:
{
"id": "G1NIWnI",
"name": "siemplify-integration",
"api_key": "dSwyjWJ_Ql"
}
- 응답에서 'id' 및 'api_key' 매개변수를 가져옵니다.
- 콜론으로 연결된 'id' 및 'api_key'의 base64 인코딩을 사용합니다(예: 'id:api_key').
- 결과는 통합에서 API 토큰으로 사용됩니다.
Elasticsearch 액세스
Google SecOps는 기본적으로 TCP 포트 9200의 RESTful API를 통해 Elasticsearch에 액세스합니다. Google SecOps 서버는 Elasticsearch 배포 중에 기본 포트가 사용되지 않은 경우 TCP 9200 (기본값) 또는 대체 포트에서 관련 Elasticsearch 노드에 액세스해야 합니다.
Google SecOps에서 ElasticsearchV7 통합 구성
Google SecOps에서 통합을 구성하는 방법에 대한 자세한 내용은 통합 구성을 참고하세요.
CA 인증서로 Elasticsearch 통합 구성
필요한 경우 CA 인증서 파일로 연결을 확인할 수 있습니다.
시작하기 전에 다음 사항을 확인하세요.
- CA 인증서 파일
- 최신 Elasticsearch 통합 버전
CA 인증서와의 통합을 구성하려면 다음 단계를 완료하세요.
- CA 인증서 파일을 Base64 문자열로 파싱합니다.
- 통합 구성 매개변수 페이지를 엽니다.
- CA 인증서 파일 필드에 문자열을 삽입합니다.
- 통합이 성공적으로 구성되었는지 테스트하려면 SSL 확인 체크박스를 선택하고 테스트를 클릭합니다.
통합 매개변수
다음 매개변수를 사용하여 통합을 구성합니다.
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 인스턴스 이름 | 문자열 | 해당 사항 없음 | No | 통합을 구성할 인스턴스의 이름입니다. |
| 설명 | 문자열 | 해당 사항 없음 | No | 인스턴스에 대한 설명입니다. |
| 서버 주소 | 문자열 | x.x.x.x | 예 | Elasticsearch 7.0.0 서버의 IP 주소입니다. |
| 사용자 이름 | 문자열 | 해당 사항 없음 | 예 | Elasticsearch 7.0.0에 연결하는 데 사용할 사용자의 이메일 주소입니다. |
| 비밀번호 | 비밀번호 | 해당 사항 없음 | 예 | 해당 사용자의 비밀번호입니다. |
| API 토큰 | 비밀번호 | 해당 사항 없음 | 아니요 | Elasticsearch XPack API 토큰입니다. |
| 인증 | 체크박스 | 선택 해제 | 아니요 | 해당 사항 없음 |
| SSL 확인 | 체크박스 | 선택 해제 | 아니요 | Elasticsearch 7.0.0 연결에 SSL 확인이 필요한 경우 이 체크박스를 사용합니다 (기본적으로 선택되지 않음). |
| CA 인증서 파일 | 문자열 | 해당 사항 없음 | 아니요 | CA 인증서 파일입니다. |
| 원격 실행 | 체크박스 | 선택 해제 | No | 구성된 통합을 원격으로 실행하려면 필드를 선택합니다. 선택하면 원격 사용자(에이전트)를 선택하는 옵션이 나타납니다. |
작업
고급 ES 검색
설명
미리 만들어진 Elasticsearch 테스트로, 단어 사전을 반환합니다.
매개변수
| 매개변수 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| 색인 | 문자열 | * | Elasticsearch 색인의 검색 패턴입니다. Elastic에서 색인은 DatabaseName과 같으며 데이터는 다양한 색인에 저장됩니다.이 매개변수는 검색할 색인을 정의합니다. 정확한 이름(예: 'smp_playbooks-2019.06.13')일 수도 있고 와일드 카드를 사용하여 패턴별로 검색할 수도 있습니다(예: 'smp_playbooks-2019.06 ' 또는 'smp'). Elasticsearch 색인에 대해 자세히 알아보려면 https://www.elastic.co/blog/what-is-an-elasticsearch-index를 참고하세요. |
| 쿼리 | 문자열 | * | 실행할 검색어입니다. Lucene 구문으로 되어 있습니다. IE1: '*' (모든 레코드를 반환하는 와일드 카드) IE2: 'level:error' IE3: 'level:information' IE4: 'level:error OR level:warning' Lucene 구문에 대해 자세히 알아보려면 https://www.elastic.co/guide/en/kibana/current/lucene-query.html#lucene-query\r\nhttps://www.elastic.co/guide/en/elasticsearch/reference/7.1/query-dsl-query-string-query.html#query-string-syntax를 참고하세요. |
| 한도 | 문자열 | 100 | 문서 반환 수를 제한합니다(예: 10). 0 = 제한 없음 |
| 표시 필드 | 문자열 | * | 반환되는 필드를 제한합니다. 기본값 '*' = 모든 필드를 반환합니다. 단일 필드를 지정할 수 있습니다(예: 'level'). |
| 검색창 | 문자열 | _all | 자유 텍스트 쿼리의 검색 필드입니다 (쿼리에서 필드 이름을 지정하지 않은 경우). 기본값은 '_all'이며, 이는 모든 필드가 검색됨을 의미합니다. '_all' 필드에는 적절한 Lucene 구문을 사용하고 특정 필드에는 텍스트 검색을 사용하는 것이 좋습니다. Ie1: 검색 필드 = '_all' 쿼리 = 'level:error' 쿼리는 'level' 필드가 'error'와 동일한 모든 레코드를 반환합니다. Ie2: 검색 필드 = '메시지', 쿼리 = '로그인 알람' '메시지' 필드에 '로그인 알림'이라는 텍스트가 포함된 모든 레코드를 반환하는 쿼리 |
| 타임스탬프 필드 | 문자열 | @timestamp | 시간 기반 필터링을 실행할 필드의 이름입니다. 기본값은 @timestamp입니다. Earliest Date와 Oldest Date가 모두 비어 있으면 시간 기반 필터링이 발생하지 않습니다. |
| 가장 오래된 날짜 | 문자열 | now-1d | 검색 시작일입니다. 검색에서는 이 시점과 같거나 이후의 레코드만 반환합니다. 입력은 정확한 UTC일 수 있습니다. 형식: YYYY-MM-DDTHH:MM:SSZ 예: 2019-06-04T10:00:00Z 입력은 상대적 형식 (날짜 계산 사용)일 수도 있습니다. tie: 'now', 'now-1d', 'now-1d/d', 'now-2h/h' 날짜 계산에 대해 자세히 알아보려면 https://www.elastic.co/guide/en/elasticsearch/reference/7.1/common-options.html#date-math를 참고하세요. |
| 가장 빠른 날짜 | 문자열 | 지금 | 검색의 종료일입니다. 검색에서는 이 시점과 같거나 이전의 레코드만 반환합니다. 입력은 정확한 UTC일 수 있습니다. 형식: YYYY-MM-DDTHH:MM:SSZ 예: 2019-06-04T10:00:00Z 입력은 상대 형식 (date-math 사용)일 수도 있습니다. 예: 'now', 'now-1d', 'now-1d/d', 'now-2h/h' 날짜 계산에 대해 자세히 알아보려면 https://www.elastic.co/guide/en/elasticsearch/reference/7.1/common-options.html#date-math를 참고하세요. |
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| 결과 | 해당 사항 없음 | 해당 사항 없음 |
DSL 검색
설명
Elasticsearch의 모든 항목을 검색하고 결과를 사전 형식으로 반환합니다. 이 작업은 기간이 없는 쿼리만 지원합니다. 쿼리에서 기간을 사용하려면 고급 ES 검색 작업을 사용하세요.
매개변수
| 매개변수 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| 색인 | 문자열 | * | Elasticsearch 색인의 검색 패턴입니다. Elasticsearch에서 색인은 DatabaseName과 같으며 데이터는 다양한 색인에 저장됩니다. 이 매개변수는 검색할 색인을 정의합니다. 정확한 이름(예: 'smp_playbooks-2019.06.13')일 수도 있고, () 와일드 카드를 사용하여 패턴별로 검색할 수도 있습니다(예: 'smp_playbooks-2019.06' 또는 'smp*'). Elasticsearch 색인에 대해 자세히 알아보려면 https://www.elastic.co/blog/what-is-an-elasticsearch-index를 참고하세요. |
| 쿼리 | 문자열 | * | 실행할 검색어입니다. Lucene 구문으로 되어 있습니다. IE1: \"*\" (모든 레코드를 반환하는 와일드 카드) IE2: \'level:error\' IE3: \"level:information\" IE4: \'level:error OR level:warning\' Lucene 구문에 대해 자세히 알아보려면 https://www.elastic.co/guide/en/kibana/current/lucene-query.html#lucene-query\r\nhttps://www.elastic.co/guide/en/elasticsearch/reference/7.1/query-dsl-query-string-query.html#query-string-syntax를 참고하세요. |
| 한도 | 문자열 | 100 | 문서 반환 수를 제한합니다(예: 10). 0 = 제한 없음 |
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| 결과 | 해당 사항 없음 | 해당 사항 없음 |
JSON 결과
[
{
"_score": 0.2876821,
"_type": "person",
"_id": "2",
"_source": {
"lastname": "Smith",
"name": "John",
"job_description": "Systems administrator"
},
"_index": "accounts"
}, {
"_score": 0.28582606,
"_type": "person",
"_id": "1",
"_source":
{
"lastname": "Doe",
"name": "John",
"job_description": "Systems administrator and Linux specialist"
},
"_index": "accounts"
}
]
핑
설명
테스트는 Elasticsearch 서버에 대한 연결을 확인합니다.
매개변수
해당 사항 없음
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
Simple ES Search
설명
작업은 Elasticsearch의 모든 항목을 검색하고 결과를 사전 형식으로 반환합니다.
매개변수
| 매개변수 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| 색인 | 문자열 | * | Elasticsearch 색인의 검색 패턴입니다. Elasticsearch에서 색인은 DatabaseName과 같으며 데이터는 다양한 색인에 저장됩니다. 이 매개변수는 검색할 색인을 정의합니다. 정확한 이름(예: 'smp_playbooks-2019.06.13')일 수도 있고 패턴으로 검색하기 위해 와일드 카드()를 사용할 수도 있습니다(예: 'smp_playbooks-2019.06' 또는 'smp*'). Elasticsearch 색인에 대해 자세히 알아보려면 https://www.elastic.co/blog/what-is-an-elasticsearch-index를 참고하세요. |
| 쿼리 | 문자열 | * | 실행할 검색어입니다. Lucene 구문으로 되어 있습니다. IE1: \"*\" (모든 레코드를 반환하는 와일드 카드) IE2: \'level:error\' IE3: \"level:information\" IE4: \'level:error OR level:warning\' Lucene 구문에 대해 자세히 알아보려면 https://www.elastic.co/guide/en/kibana/current/lucene-query.html#lucene-query\r\nhttps://www.elastic.co/guide/en/elasticsearch/reference/7.1/query-dsl-query-string-query.html#query-string-syntax를 참고하세요. |
| 한도 | 문자열 | 100 | 문서 반환 수를 제한합니다(예: 10). 0 = 제한 없음 |
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| 결과 | 해당 사항 없음 | 해당 사항 없음 |
JSON 결과
[{
"_score": 0.2876821,
"_type": "person",
"_id": "2",
"_source":
{
"lastname": "Smith",
"name": "John",
"job_description": "Systems administrator"
},
"_index": "accounts"
},
{
"_score": 0.28582606,
"_type": "person",
"_id": "1",
"_source":
{
"lastname": "Doe",
"name": "John",
"job_description": "Systems administrator and Linux specialist"
},
"_index": "accounts"
}
]
커넥터
Google SecOps에서 Elasticsearch v7 커넥터 구성
Google SecOps에서 커넥터를 구성하는 방법에 대한 자세한 내용은 커넥터 구성을 참고하세요.
선택한 커넥터를 구성하려면 다음 표에 나열된 커넥터별 매개변수를 사용하세요.
Elasticsearch 커넥터
설명
이 주제에서는 Google SecOps가 수집 및 처리를 위한 메커니즘 및 구성과 Elasticsearch를 통합하는 방법을 보여줍니다.
Elasticsearch 알림을 Google SecOps로 전달
Google SecOps는 제공된 쿼리 (Lucene 쿼리 구문 사용)로 지정된 Elasticsearch 색인을 검색하고, 케이스의 '알림'으로 번역되고 맥락화될 Elasticsearch 문서를 반환합니다.
커넥터 매개변수
다음 매개변수를 사용하여 커넥터를 구성합니다.
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 기본 환경 | 문자열 | 해당 사항 없음 | 아니요 | 필요한 환경을 선택합니다. 예: '고객 1' |
| 실행 빈도 | 정수 | 0:0:0:10 | 아니요 | 연결을 실행할 시간을 선택합니다. 예: '매일' |
| 제품 필드 이름 | 문자열 | device_product | 예 | 기기 제품을 확인하는 데 사용되는 필드 이름입니다. 예: _type |
| 이벤트 필드 이름 | 문자열 | name | 예 | 이벤트 이름(하위 유형)을 결정하는 데 사용되는 필드 이름입니다. 예: _source_match_event_id |
| 스크립트 제한 시간(초) | 문자열 | 60 | 예 | 현재 스크립트를 실행하는 Python 프로세스의 제한 시간 한도(초)입니다. |
| 서버 주소 | 문자열 | 해당 사항 없음 | 예 | Elasticsearch 서버 주소(예: http://{ip_address}:{port}) |
| 사용자 이름 | 문자열 | 해당 사항 없음 | 예 | Elasticsearch 사용자 이름입니다. |
| 비밀번호 | 비밀번호 | 해당 사항 없음 | 예 | Elasticsearch 비밀번호 |
| 인증 | 체크박스 | 선택 해제 | 아니요 | 연결 시 인증할지 여부입니다. |
| API 토큰 | 비밀번호 | 해당 사항 없음 | 아니요 | Elasticsearch XPack API 토큰입니다. |
| SSL 확인 | 체크박스 | 선택 해제 | 아니요 | 연결에 SSL을 사용할지 여부입니다. |
| 알림 이름 필드 | 문자열 | 해당 사항 없음 | 예 | 알림 이름이 있는 필드의 이름입니다 (플랫 필드 경로). 예: _source_alert_info_alert |
| 타임스탬프 필드 | 문자열 | 해당 사항 없음 | 예 | 타임스탬프가 있는 필드의 이름입니다 (플랫 필드 경로). 예: source@timestamp |
| 환경 필드 | 문자열 | 해당 사항 없음 | 아니요 | 환경이 있는 필드의 이름입니다 (플랫 필드 경로). 예: _source_environment |
| 색인 | 문자열 | 해당 사항 없음 | 아니요 | 검색할 색인 패턴입니다. 예: '*' |
| 쿼리 | 문자열 | 해당 사항 없음 | 아니요 | 검색 패턴 쿼리 (Lucene 쿼리 구문) 예: '*' |
| 알림 수 제한 | 정수 | 20 | 예 | 한 주기에서 가져올 최대 알림 수입니다. 예: 20 |
| 최대 이전 일수 | 정수 | 1 | 예 | 이후 알림을 가져올 최대 일수입니다. 예: 3. |
| 심각도 필드 매핑 | 문자열 | 해당 사항 없음 | 아니요 | 심각도 값이 저장된 필드의 이름입니다. |
| 프록시 서버 주소 | 문자열 | 해당 사항 없음 | 아니요 | 사용할 프록시 서버의 주소입니다. |
| 프록시 사용자 이름 | 문자열 | 해당 사항 없음 | 아니요 | 인증할 프록시 사용자 이름입니다. |
| 프록시 비밀번호 | 비밀번호 | 해당 사항 없음 | 아니요 | 인증할 프록시 비밀번호입니다. |
| 심각도 필드 이름 | 문자열 | 해당 사항 없음 | 아니요 | 문자열 값을 기반으로 심각도를 매핑하려면 매핑 파일을 만들어야 합니다. 자세한 내용은 문서 포털을 참고하세요. |
| 환경 정규식 패턴 | 문자열 | .* | 아니요 | '환경 필드 이름' 필드에 있는 값에서 실행할 정규식 패턴입니다. 기본값은 .* 로서 모두 포착하고 변경되지 않은 값을 반환합니다. 사용자가 정규식 로직을 통해 환경 필드를 조작할 수 있도록 허용하는 데 사용됩니다. 정규식 패턴이 null이거나 비어 있거나 환경 값이 null이면 최종 환경 결과는 ''입니다. |
커넥터에서 심각도를 매핑하는 방법
심각도를 매핑하려면 '심각도 필드 이름' 매개변수에서 심각도 값을 가져오는 데 사용할 필드를 지정해야 합니다. 응답에는 정수, 부동 소수점, 문자열의 세 가지 유형의 값이 포함될 수 있습니다. 정수와 부동 소수점의 경우 추가 구성을 수행할 필요가 없습니다. 커넥터는 이러한 값을 읽고 Google SecOps 표준에 따라 매핑합니다. 정수 값이 매핑되는 방식을 간단히 살펴보겠습니다.
- 100 - 심각
- 100 > x >= 80 높음
- 80 > x >=60 보통
- 60 > x >=40 낮음
- 40 > x 정보
대답에서 문자열을 사용하는 경우 추가 구성이 필요합니다. 커넥터 스크립트가 있는 폴더에 severity_map_config.json이라는 구성 파일이 있습니다. 이 파일은 심각도에 대한 매핑 규칙을 정의합니다.
처음에는 파일이 다음과 같이 표시됩니다.
{
"Default": 50
}
필요한 값이 event.severity에 있는 상황을 가정해 보겠습니다. event.severity에는 '악성', '양성', '알 수 없음' 값이 포함될 수 있습니다.
먼저 '심각도 필드 이름' 매개변수에서 event.severity를 사용한다고 지정해야 합니다.
두 번째로 구성 파일을 업데이트해야 합니다.
변경 후 severity_map_config.json 파일은 다음과 같이 표시됩니다.
{
"event.severity": {
"Malicious": 100,
"Unknown": 60,
"Benign": -1
},
"Default": 50
}
이제 커넥터가 event.severity = 'Malicious'인 이벤트를 수신하면 심각도 Critical을 부여합니다.
커넥터 규칙
허용 목록/차단 목록
커넥터에서 허용 목록/차단 목록을 지원하지 않습니다.
프록시 지원
커넥터가 프록시를 지원합니다.
Elasticsearch DSL 커넥터
설명
커넥터는 DSL 쿼리를 사용하여 REST API 호출을 실행하여 작동합니다.
사용 사례 및 예
Elasticsearch에서 DSL 쿼리를 검색 매개변수로 사용할 수 있습니다.
커넥터 매개변수
다음 매개변수를 사용하여 커넥터를 구성합니다.
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 기본 환경 | 문자열 | 해당 사항 없음 | 아니요 | 필요한 환경을 선택합니다. 예: '고객 1' |
| 실행 빈도 | 정수 | 0:0:0:10 | 아니요 | 연결을 실행할 시간을 선택합니다. 예: '매일' |
| 제품 필드 이름 | 문자열 | device_product | 예 | 제품 이름이 저장된 필드의 이름을 설명합니다. |
| 환경 필드 이름 | 문자열 | "" | 아니요 | 환경 이름이 저장된 필드의 이름을 설명합니다. 환경 필드를 찾을 수 없는 경우 환경은 ''입니다. |
| 환경 정규식 패턴 | 문자열 | .* | 아니요 | '환경 필드 이름' 필드에 있는 값에서 실행할 정규식 패턴입니다. 기본값은 .* 로서 모두 포착하고 변경되지 않은 값을 반환합니다. 사용자가 정규식 로직을 통해 환경 필드를 조작할 수 있도록 허용하는 데 사용됩니다. 정규식 패턴이 null이거나 비어 있거나 환경 값이 null이면 최종 환경 결과는 ''입니다. |
| 스크립트 제한 시간(초) | 정수 | 60 | 예 | 현재 스크립트를 실행하는 Python 프로세스의 제한 시간 한도입니다. |
| 서버 주소 | 문자열 | 해당 사항 없음 | 예 | Elasticsearch API 서버의 IP 주소입니다. |
| 포트 | 문자열 | 해당 사항 없음 | 예 | Elasticsearch API 서버의 포트입니다. |
| 쿼리 | 문자열 | 해당 사항 없음 | 예 | 검색에 사용되는 DSL 쿼리입니다. 유효한 JSON 형식이 필요합니다. 커넥터를 더 안정적으로 만들려면 오름차순으로 정렬 타임스탬프 키를 추가하는 것이 좋습니다. |
| 색인 | 문자열 | 해당 사항 없음 | 예 | 검색에 사용되는 색인입니다. 예: _all |
| 타임스탬프 필드 | 문자열 | 해당 사항 없음 | 예 | 타임스탬프가 있는 필드의 이름입니다. source@timestamp |
| 알림 필드 이름 | 문자열 | 해당 사항 없음 | 예 | 알림 이름이 있는 필드의 이름입니다. _source_info_alertname |
| 설명 필드 | 문자열 | 해당 사항 없음 | 아니요 | 설명이 있는 필드의 이름입니다. _source_alert_info_description |
| 심각도 | 문자열 | 보통 | 예 | 알림의 심각도입니다. 정보 낮음 중간 높음 심각 |
| 알림 수 제한 | 정수 | 100 | 아니요 | 커넥터가 1회 반복당 반환하는 알림 수를 제한합니다. |
| 인증 | 체크박스 | 선택 해제 | 아니요 | 연결에서 인증할지 여부입니다. |
| 사용자 이름 | 문자열 | 해당 사항 없음 | 아니요 | Elasticsearch 계정 사용자 이름입니다. |
| 비밀번호 | 비밀번호 | 해당 사항 없음 | 아니요 | Elasticsearch 계정 비밀번호입니다. |
| Use SSL | 체크박스 | 선택 해제 | 아니요 | SSL/TLS 연결을 사용 설정하는 옵션입니다. |
| 심각도 필드 이름 | 문자열 | 해당 사항 없음 | 아니요 | 문자열 값을 기반으로 심각도를 매핑하려면 매핑 파일을 만들어야 합니다. 자세한 내용은 문서 포털을 참고하세요. |
| 알림 심각도 | 문자열 | 해당 사항 없음 | 아니요 | 알림의 심각도입니다. 가능한 값: Info, Low, Medium, High, Critical 참고: 이 매개변수는 '심각도 필드 이름'보다 우선합니다. '심각도 필드 이름'을 사용하려면 이 필드를 비워 두어야 합니다. |
| 프록시 서버 주소 | 문자열 | 해당 사항 없음 | 아니요 | 사용할 프록시 서버의 주소입니다. |
| 프록시 사용자 이름 | 문자열 | 해당 사항 없음 | 아니요 | 인증할 프록시 사용자 이름입니다. |
| 프록시 비밀번호 | 비밀번호 | 해당 사항 없음 | 아니요 | 인증할 프록시 비밀번호입니다. |
지원되는 표기법
커넥터는 세 가지 표기법을 지원합니다. 예를 들어 '이벤트 필드 이름' 매개변수에서 event.type을 사용하려는 경우 이 경우 _source_event_type, event_type 또는 event.type을 제공할 수 있습니다. 이러한 값은 모두 동일한 방식으로 작동합니다.
매개변수의 경우:
- 제품 필드 이름
- 이벤트 필드 이름
- 심각도 필드 이름
- 환경 필드
- 타임스탬프 필드
- 알림 이름 필드
- 알림 설명 필드 - DSL 커넥터 전용
커넥터에서 심각도를 매핑하는 방법
심각도를 매핑하려면 '심각도 필드 이름' 매개변수에서 심각도 값을 가져오는 데 사용할 필드를 지정해야 합니다. 응답에는 정수, 부동 소수점, 문자열의 세 가지 유형의 값이 포함될 수 있습니다. 정수와 부동 소수점의 경우 추가 구성을 수행할 필요가 없습니다. 커넥터는 이러한 값을 읽고 Google SecOps 표준에 따라 매핑합니다. 정수 값이 매핑되는 방식을 간단히 살펴보겠습니다.
- 100 - 심각
- 100 > x >= 80 높음
- 80 > x >=60 보통
- 60 > x >=40 낮음
- 40 > x 정보
대답에서 문자열을 사용하는 경우 추가 구성이 필요합니다. 커넥터 스크립트가 있는 폴더에 severity_map_config.json이라는 구성 파일이 있습니다. 이 파일은 심각도에 대한 매핑 규칙을 정의합니다.
처음에는 파일이 다음과 같이 표시됩니다.
{
"Default": 50
}
필요한 값이 event.severity에 있는 상황을 가정해 보겠습니다. event.severity에는 '악성', '양성', '알 수 없음' 값이 포함될 수 있습니다.
먼저 '심각도 필드 이름' 매개변수에서 event.severity를 사용한다고 지정해야 합니다.
두 번째로 구성 파일을 업데이트해야 합니다.
변경 후 severity_map_config.json 파일은 다음과 같이 표시됩니다.
{
"event.severity": {
"Malicious": 100,
"Unknown": 60,
"Benign": -1
},
"Default": 50
}
이제 커넥터가 event.severity = 'Malicious'인 이벤트를 수신하면 심각도 Critical을 부여합니다.
커넥터 규칙
허용 목록/차단 목록
커넥터에서 허용 목록/차단 목록을 지원하지 않습니다.
프록시 지원
커넥터가 프록시를 지원합니다.
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.