收集 Cisco AMP for Endpoints 記錄
支援的國家/地區:
Google SecOps
SIEM
本文說明如何使用 Google Cloud Storage,將 Cisco AMP for Endpoints 記錄檔擷取至 Google Security Operations。剖析器會將原始 JSON 格式的記錄轉換為符合 Chronicle UDM 的結構化格式。這項服務會從巢狀 JSON 物件中擷取欄位,將這些欄位對應至 UDM 結構定義,識別事件類別,指派嚴重性等級,並最終產生統一的事件輸出內容,在符合特定條件時標示安全警示。
事前準備
請確認您已完成下列事前準備事項:
- Google SecOps 執行個體
- 已啟用 Cloud Storage API 的 GCP 專案
- 建立及管理 GCS 值區的權限
- 管理 Google Cloud Storage 值區 IAM 政策的權限
- 建立 Cloud Run 服務、Pub/Sub 主題和 Cloud Scheduler 工作的權限
- Cisco AMP for Endpoints 控制台的特殊權限
收集 Cisco AMP for Endpoints API 憑證
- 登入 Cisco AMP for Endpoints 控制台。
- 依序前往「帳戶」>「API 憑證」。
- 按一下「New API Credential」(新的 API 憑證),建立新的 API 金鑰和用戶端 ID。
- 請提供下列設定詳細資料:
- 應用程式名稱:輸入名稱 (例如
Chronicle SecOps Integration)。 - 範圍:選取「唯讀」,進行基本事件輪詢。
- 應用程式名稱:輸入名稱 (例如
- 點選「建立」。
- 複製並儲存以下詳細資料,存放在安全的位置:
- 3API 用戶端 ID
- API 金鑰
- API 基準網址:視您所在的區域而定:
- 美國:
https://api.amp.cisco.com - 歐盟:
https://api.eu.amp.cisco.com - APJC:
https://api.apjc.amp.cisco.com
- 美國:
驗證權限
如要確認帳戶是否具備必要權限,請按照下列步驟操作:
- 登入 Cisco AMP for Endpoints 控制台。
- 依序前往「帳戶」>「API 憑證」。
- 如果可以查看「API 憑證」頁面,且新建立的憑證已列出,表示您具備必要權限。
- 如果沒有看到這個選項,請聯絡管理員,請對方授予 API 存取權。
測試 API 存取權
請先測試憑證,再繼續進行整合:
# Replace with your actual credentials AMP_CLIENT_ID="your-client-id" AMP_API_KEY="your-api-key" API_BASE="https://api.amp.cisco.com" # Test API access curl -v -u "${AMP_CLIENT_ID}:${AMP_API_KEY}" "${API_BASE}/v1/events?limit=1"
建立 Google Cloud Storage 值區
- 前往 Google Cloud 控制台。
- 選取專案或建立新專案。
- 在導覽選單中,依序前往「Cloud Storage」>「Bucket」。
- 按一下「建立值區」。
請提供下列設定詳細資料:
設定 值 為 bucket 命名 輸入全域不重複的名稱 (例如 cisco-amp-logs)位置類型 根據需求選擇 (區域、雙區域、多區域) 位置 選取地點 (例如 us-central1)儲存空間級別 標準 (建議用於經常存取的記錄) 存取控管 統一 (建議) 保護工具 選用:啟用物件版本管理或保留政策 點選「建立」。
為 Cloud Run 函式建立服務帳戶
Cloud Run 函式需要具備 GCS bucket 寫入權限的服務帳戶,並由 Pub/Sub 叫用。
建立服務帳戶
- 在 GCP 主控台中,依序前往「IAM & Admin」(IAM 與管理) >「Service Accounts」(服務帳戶)。
- 按一下 [Create Service Account] (建立服務帳戶)。
- 請提供下列設定詳細資料:
- 服務帳戶名稱:輸入
cisco-amp-collector-sa。 - 服務帳戶說明:輸入
Service account for Cloud Run function to collect Cisco AMP for Endpoints logs。
- 服務帳戶名稱:輸入
- 按一下「建立並繼續」。
- 在「將專案存取權授予這個服務帳戶」部分,新增下列角色:
- 按一下「選擇角色」。
- 搜尋並選取「Storage 物件管理員」。
- 點選「+ 新增其他角色」。
- 搜尋並選取「Cloud Run Invoker」。
- 點選「+ 新增其他角色」。
- 搜尋並選取「Cloud Functions Invoker」(Cloud Functions 叫用者)。
- 按一下「繼續」。
- 按一下 [完成]。
這些角色適用於:
- Storage 物件管理員:將記錄檔寫入 GCS 值區,並管理狀態檔案
- Cloud Run 叫用者:允許 Pub/Sub 叫用函式
- Cloud Functions 叫用者:允許函式叫用
授予 GCS 值區的 IAM 權限
將 GCS bucket 的寫入權限授予服務帳戶 (cisco-amp-collector-sa):
- 依序前往「Cloud Storage」>「Buckets」。
- 按一下 bucket 名稱。
- 前往「權限」分頁標籤。
- 按一下「授予存取權」。
- 請提供下列設定詳細資料:
- 新增主體:輸入服務帳戶電子郵件地址 (例如
cisco-amp-collector-sa@PROJECT_ID.iam.gserviceaccount.com)。 - 指派角色:選取「Storage 物件管理員」。
- 新增主體:輸入服務帳戶電子郵件地址 (例如
- 按一下 [儲存]。
建立 Pub/Sub 主題
建立 Pub/Sub 主題,Cloud Scheduler 會將訊息發布至該主題,而 Cloud Run 函式會訂閱該主題。
- 在 GCP Console 中,前往「Pub/Sub」>「Topics」(主題)。
- 按一下「建立主題」。
- 請提供下列設定詳細資料:
- 主題 ID:輸入
cisco-amp-events-trigger。 - 其他設定保留預設值。
- 主題 ID:輸入
- 點選「建立」。
建立 Cloud Run 函式來收集記錄
Cloud Run 函式會由 Cloud Scheduler 的 Pub/Sub 訊息觸發,從 Cisco AMP for Endpoints API 擷取記錄,並寫入 GCS。
- 前往 GCP Console 的「Cloud Run」。
- 按一下「Create service」(建立服務)。
- 選取「函式」 (使用內嵌編輯器建立函式)。
在「設定」部分,提供下列設定詳細資料:
設定 值 服務名稱 cisco-amp-events-collector區域 選取與 GCS bucket 相符的區域 (例如 us-central1)執行階段 選取「Python 3.12」以上版本 在「Trigger (optional)」(觸發條件 (選用)) 專區:
- 按一下「+ 新增觸發條件」。
- 選取「Cloud Pub/Sub」。
- 在「選取 Cloud Pub/Sub 主題」中,選擇 Pub/Sub 主題 (
cisco-amp-events-trigger)。 - 按一下 [儲存]。
在「Authentication」(驗證) 部分:
- 選取「需要驗證」。
- 選取「Identity and Access Management (IAM)」。
- 捲動至「Containers, Networking, Security」(容器、網路、安全性) 並展開。
- 前往「安全性」分頁:
- 服務帳戶:選取服務帳戶 (
cisco-amp-collector-sa)。
- 服務帳戶:選取服務帳戶 (
前往「容器」分頁:
- 按一下「變數與密鑰」。
針對每個環境變數,按一下「+ 新增變數」:
變數名稱 範例值 說明 GCS_BUCKETcisco-amp-logsGCS bucket 名稱 GCS_PREFIXcisco-amp-events/記錄檔的前置字串 STATE_KEYcisco-amp-events/state.json狀態檔案路徑 API_BASEhttps://api.amp.cisco.comAPI 基礎網址 AMP_CLIENT_IDyour-client-idAPI 用戶端 ID AMP_API_KEYyour-api-keyAPI 金鑰 PAGE_SIZE500每頁記錄數 MAX_PAGES10要擷取的頁面數量上限
在「變數與 Secret」部分,捲動至「要求」:
- 要求逾時:輸入
600秒 (10 分鐘)。
- 要求逾時:輸入
前往「設定」分頁:
- 在「資源」部分:
- 記憶體:選取 512 MiB 以上。
- CPU:選取 1。
- 在「資源」部分:
在「修訂版本資源調度」部分:
- 執行個體數量下限:輸入
0。 - 「Maximum number of instances」(執行個體數量上限):輸入
100(或根據預期負載調整)。
- 執行個體數量下限:輸入
點選「建立」。
等待服務建立完成 (1 到 2 分鐘)。
服務建立完成後,系統會自動開啟內嵌程式碼編輯器。
新增函式程式碼
- 在「進入點」欄位中輸入「main」。
在內嵌程式碼編輯器中建立兩個檔案:
- 第一個檔案:main.py:
import functions_framework from google.cloud import storage import json import os import urllib3 from datetime import datetime, timezone, timedelta import time import base64 # Initialize HTTP client with timeouts http = urllib3.PoolManager( timeout=urllib3.Timeout(connect=5.0, read=30.0), retries=False, ) # Initialize Storage client storage_client = storage.Client() # Environment variables GCS_BUCKET = os.environ.get('GCS_BUCKET') GCS_PREFIX = os.environ.get('GCS_PREFIX', 'cisco-amp-events/') STATE_KEY = os.environ.get('STATE_KEY', 'cisco-amp-events/state.json') API_BASE = os.environ.get('API_BASE') AMP_CLIENT_ID = os.environ.get('AMP_CLIENT_ID') AMP_API_KEY = os.environ.get('AMP_API_KEY') PAGE_SIZE = int(os.environ.get('PAGE_SIZE', '500')) MAX_PAGES = int(os.environ.get('MAX_PAGES', '10')) def parse_datetime(value: str) -> datetime: """Parse ISO datetime string to datetime object.""" if value.endswith("Z"): value = value[:-1] + "+00:00" return datetime.fromisoformat(value) @functions_framework.cloud_event def main(cloud_event): """ Cloud Run function triggered by Pub/Sub to fetch Cisco AMP events and write to GCS. Args: cloud_event: CloudEvent object containing Pub/Sub message """ if not all([GCS_BUCKET, API_BASE, AMP_CLIENT_ID, AMP_API_KEY]): print('Error: Missing required environment variables') return try: # Get GCS bucket bucket = storage_client.bucket(GCS_BUCKET) # Load state state = load_state(bucket, STATE_KEY) # Determine time window now = datetime.now(timezone.utc) last_time = None if isinstance(state, dict) and state.get("last_event_time"): try: last_time = parse_datetime(state["last_event_time"]) # Overlap by 2 minutes to catch any delayed events last_time = last_time - timedelta(minutes=2) except Exception as e: print(f"Warning: Could not parse last_event_time: {e}") if last_time is None: last_time = now - timedelta(days=1) print(f"Fetching logs from {last_time.isoformat()} to {now.isoformat()}") # Fetch logs records, newest_event_time = fetch_logs( api_base=API_BASE, client_id=AMP_CLIENT_ID, api_key=AMP_API_KEY, start_time=last_time, page_size=PAGE_SIZE, max_pages=MAX_PAGES, ) if not records: print("No new log records found.") save_state(bucket, STATE_KEY, now.isoformat()) return # Write to GCS as NDJSON timestamp = now.strftime('%Y%m%d_%H%M%S') object_key = f"{GCS_PREFIX}cisco_amp_events_{timestamp}.ndjson" blob = bucket.blob(object_key) ndjson = '\n'.join([json.dumps(record, ensure_ascii=False) for record in records]) + '\n' blob.upload_from_string(ndjson, content_type='application/x-ndjson') print(f"Wrote {len(records)} records to gs://{GCS_BUCKET}/{object_key}") # Update state with newest event time if newest_event_time: save_state(bucket, STATE_KEY, newest_event_time) else: save_state(bucket, STATE_KEY, now.isoformat()) print(f"Successfully processed {len(records)} records") except Exception as e: print(f'Error processing logs: {str(e)}') raise def load_state(bucket, key): """Load state from GCS.""" try: blob = bucket.blob(key) if blob.exists(): state_data = blob.download_as_text() return json.loads(state_data) except Exception as e: print(f"Warning: Could not load state: {e}") return {} def save_state(bucket, key, last_event_time_iso: str): """Save the last event timestamp to GCS state file.""" try: state = {'last_event_time': last_event_time_iso} blob = bucket.blob(key) blob.upload_from_string( json.dumps(state, indent=2), content_type='application/json' ) print(f"Saved state: last_event_time={last_event_time_iso}") except Exception as e: print(f"Warning: Could not save state: {e}") def fetch_logs(api_base: str, client_id: str, api_key: str, start_time: datetime, page_size: int, max_pages: int): """ Fetch logs from Cisco AMP for Endpoints API with pagination and rate limiting. Args: api_base: API base URL client_id: API client ID api_key: API key start_time: Start time for log query page_size: Number of records per page max_pages: Maximum total pages to fetch Returns: Tuple of (records list, newest_event_time ISO string) """ # Clean up base URL base_url = api_base.rstrip('/') endpoint = f"{base_url}/v1/events" # Create Basic Auth header auth_string = f"{client_id}:{api_key}" auth_bytes = auth_string.encode('utf-8') auth_b64 = base64.b64encode(auth_bytes).decode('utf-8') headers = { 'Authorization': f'Basic {auth_b64}', 'Accept': 'application/json', 'User-Agent': 'GoogleSecOps-CiscoAMPCollector/1.0' } records = [] newest_time = None page_num = 0 backoff = 1.0 # Build initial URL with start_date parameter start_date_str = start_time.isoformat() + 'Z' if not start_time.isoformat().endswith('Z') else start_time.isoformat() next_url = f"{endpoint}?limit={page_size}&start_date={start_date_str}" while next_url and page_num < max_pages: page_num += 1 try: response = http.request('GET', next_url, headers=headers) # Handle rate limiting with exponential backoff if response.status == 429: retry_after = int(response.headers.get('Retry-After', str(int(backoff)))) print(f"Rate limited (429). Retrying after {retry_after}s...") time.sleep(retry_after) backoff = min(backoff * 2, 30.0) continue backoff = 1.0 if response.status != 200: print(f"HTTP Error: {response.status}") response_text = response.data.decode('utf-8') print(f"Response body: {response_text[:256]}") return [], None data = json.loads(response.data.decode('utf-8')) # Extract events from response page_results = data.get('data', []) if not page_results: print(f"No more results (empty page)") break print(f"Page {page_num}: Retrieved {len(page_results)} events") records.extend(page_results) # Track newest event time for event in page_results: try: event_time = event.get('date') if event_time: if newest_time is None or parse_datetime(event_time) > parse_datetime(newest_time): newest_time = event_time except Exception as e: print(f"Warning: Could not parse event time: {e}") # Check for next page URL in metadata next_url = data.get('metadata', {}).get('links', {}).get('next') if not next_url: print("No more pages (no next URL)") break except Exception as e: print(f"Error fetching logs: {e}") return [], None print(f"Retrieved {len(records)} total records from {page_num} pages") return records, newest_time- 第二個檔案:requirements.txt:
functions-framework==3.* google-cloud-storage==2.* urllib3>=2.0.0點選「部署」來儲存並部署函式。
等待部署作業完成 (2 到 3 分鐘)。
建立 Cloud Scheduler 工作
Cloud Scheduler 會定期將訊息發布至 Pub/Sub 主題,觸發 Cloud Run 函式。
- 前往 GCP 主控台的「Cloud Scheduler」。
- 點選「建立工作」。
請提供下列設定詳細資料:
設定 值 名稱 cisco-amp-events-collector-hourly區域 選取與 Cloud Run 函式相同的區域 頻率 0 * * * *(每小時整點)時區 選取時區 (建議使用世界標準時間) 目標類型 Pub/Sub 主題 選取 Pub/Sub 主題 ( cisco-amp-events-trigger)郵件內文 {}(空白 JSON 物件)點選「建立」。
排程頻率選項
根據記錄檔量和延遲時間要求選擇頻率:
頻率 Cron 運算式 用途 每 5 分鐘 */5 * * * *高容量、低延遲 每 15 分鐘檢查一次 */15 * * * *普通量 每小時 0 * * * *標準 (建議採用) 每 6 小時 0 */6 * * *少量、批次處理 每日 0 0 * * *歷來資料集合
測試整合項目
- 在 Cloud Scheduler 控制台中找出您的工作。
- 按一下「強制執行」,手動觸發工作。
- 稍等幾秒鐘。
- 前往「Cloud Run」>「Services」。
- 按一下函式名稱 (
cisco-amp-events-collector)。 - 按一下 [Logs] (記錄) 分頁標籤。
確認函式是否已順利執行。請找出以下項目:
Fetching logs from YYYY-MM-DDTHH:MM:SS+00:00 to YYYY-MM-DDTHH:MM:SS+00:00 Page 1: Retrieved X events Wrote X records to gs://cisco-amp-logs/cisco-amp-events/cisco_amp_events_YYYYMMDD_HHMMSS.ndjson Successfully processed X records依序前往「Cloud Storage」>「Buckets」。
按一下 bucket 名稱。
前往前置字元資料夾 (
cisco-amp-events/)。確認是否已建立含有目前時間戳記的新
.ndjson檔案。
如果在記錄中發現錯誤:
- HTTP 401:檢查環境變數中的 API 憑證
- HTTP 403:確認帳戶是否具備必要權限
- HTTP 429:頻率限制 - 函式會自動重試並延遲
- 缺少環境變數:檢查是否已設定所有必要變數
擷取 Google SecOps 服務帳戶
Google SecOps 會使用專屬服務帳戶,從 GCS bucket 讀取資料。您必須授予這個服務帳戶值區存取權。
取得服務帳戶電子郵件地址
- 依序前往「SIEM 設定」>「動態饋給」。
- 按一下「新增動態消息」。
- 按一下「設定單一動態饋給」。
- 在「動態饋給名稱」欄位中輸入動態饋給名稱 (例如
Cisco AMP for Endpoints logs)。 - 選取「Google Cloud Storage V2」做為「來源類型」。
- 選取「Cisco AMP」做為「記錄類型」。
按一下「取得服務帳戶」。系統會顯示專屬的服務帳戶電子郵件地址,例如:
chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com複製這個電子郵件地址,以便在下一步中使用。
將 IAM 權限授予 Google SecOps 服務帳戶
Google SecOps 服務帳戶需要 GCS bucket 的「Storage 物件檢視者」角色。
- 依序前往「Cloud Storage」>「Buckets」。
- 按一下 bucket 名稱。
- 前往「權限」分頁標籤。
- 按一下「授予存取權」。
- 請提供下列設定詳細資料:
- 新增主體:貼上 Google SecOps 服務帳戶電子郵件地址。
- 指派角色:選取「Storage 物件檢視者」。
- 按一下 [儲存]。
在 Google SecOps 中設定資訊提供,以便擷取 Cisco AMP for Endpoints 記錄
- 依序前往「SIEM 設定」>「動態饋給」。
- 按一下「新增動態消息」。
- 按一下「設定單一動態饋給」。
- 在「動態饋給名稱」欄位中輸入動態饋給名稱 (例如
Cisco AMP for Endpoints logs)。 - 選取「Google Cloud Storage V2」做為「來源類型」。
- 選取「Cisco AMP」做為「記錄類型」。
- 點選 [下一步]。
指定下列輸入參數的值:
儲存空間 bucket URL:輸入 GCS bucket URI,並加上前置路徑:
gs://cisco-amp-logs/cisco-amp-events/- 取代:
cisco-amp-logs:您的 GCS bucket 名稱。cisco-amp-events/:儲存記錄的前置字元/資料夾路徑。
- 取代:
來源刪除選項:根據偏好設定選取刪除選項:
- 永不:移轉後一律不刪除任何檔案 (建議用於測試)。
- 刪除已轉移的檔案:成功轉移檔案後刪除檔案。
刪除已轉移的檔案和空白目錄:成功轉移後刪除檔案和空白目錄。
檔案存在時間上限:包含在過去天數內修改的檔案。預設值為 180 天。
資產命名空間:資產命名空間。
擷取標籤:要套用至這個動態饋給事件的標籤。
點選 [下一步]。
在「Finalize」(完成) 畫面中檢查新的動態饋給設定,然後按一下「Submit」(提交)。
UDM 對應表
| 記錄欄位 | UDM 對應 | 邏輯 |
|---|---|---|
| 已啟用 | read_only_udm.principal.asset.active | 直接從電腦對應。active |
| connector_guid | read_only_udm.principal.asset.uuid | 直接從電腦.connector_guid 對應 |
| 日期 | read_only_udm.metadata.event_timestamp.seconds | 轉換為時間戳記後直接對應 |
| 偵測 | read_only_udm.security_result.threat_name | 直接從偵測結果對應 |
| detection_id | read_only_udm.security_result.detection_fields.value | 直接從 detection_id 對應 |
| disposition | read_only_udm.security_result.description | 直接從 file.disposition 對應 |
| error.error_code | read_only_udm.security_result.detection_fields.value | 直接從 error.error_code 對應 |
| error.description | read_only_udm.security_result.detection_fields.value | 直接從 error.description 對應 |
| event_type | read_only_udm.metadata.product_event_type | 直接從 event_type 對應 |
| event_type_id | read_only_udm.metadata.product_log_id | 直接從 event_type_id 對應 |
| external_ip | read_only_udm.principal.asset.external_ip | 直接從電腦的外部 IP 對應 |
| file.file_name | read_only_udm.target.file.names | 直接從 file.file_name 對應 |
| file.file_path | read_only_udm.target.file.full_path | 直接從 file.file_path 對應 |
| file.identity.md5 | read_only_udm.security_result.about.file.md5 | 直接從 file.identity.md5 對應 |
| file.identity.md5 | read_only_udm.target.file.md5 | 直接從 file.identity.md5 對應 |
| file.identity.sha1 | read_only_udm.security_result.about.file.sha1 | 直接從 file.identity.sha1 對應 |
| file.identity.sha1 | read_only_udm.target.file.sha1 | 直接從 file.identity.sha1 對應 |
| file.identity.sha256 | read_only_udm.security_result.about.file.sha256 | 直接從 file.identity.sha256 對應 |
| file.identity.sha256 | read_only_udm.target.file.sha256 | 直接從 file.identity.sha256 對應 |
| file.parent.disposition | read_only_udm.target.resource.attribute.labels.value | 直接從 file.parent.disposition 對應 |
| file.parent.file_name | read_only_udm.target.resource.attribute.labels.value | 直接從 file.parent.file_name 對應 |
| file.parent.identity.md5 | read_only_udm.target.resource.attribute.labels.value | 直接從 file.parent.identity.md5 對應 |
| file.parent.identity.sha1 | read_only_udm.target.resource.attribute.labels.value | 直接從 file.parent.identity.sha1 對應 |
| file.parent.identity.sha256 | read_only_udm.target.resource.attribute.labels.value | 直接從 file.parent.identity.sha256 對應 |
| file.parent.process_id | read_only_udm.security_result.about.process.parent_process.pid | 直接從 file.parent.process_id 對應 |
| file.parent.process_id | read_only_udm.target.process.parent_process.pid | 直接從 file.parent.process_id 對應 |
| 主機名稱 | read_only_udm.principal.asset.hostname | 直接從 computer.hostname 對應 |
| 主機名稱 | read_only_udm.target.hostname | 直接從 computer.hostname 對應 |
| 主機名稱 | read_only_udm.target.asset.hostname | 直接從 computer.hostname 對應 |
| ip | read_only_udm.principal.asset.ip | 直接從 computer.network_addresses.ip 對應 |
| ip | read_only_udm.principal.ip | 直接從 computer.network_addresses.ip 對應 |
| ip | read_only_udm.security_result.about.ip | 直接從 computer.network_addresses.ip 對應 |
| mac | read_only_udm.principal.mac | 直接從 computer.network_addresses.mac 對應 |
| mac | read_only_udm.security_result.about.mac | 直接從 computer.network_addresses.mac 對應 |
| 嚴重性 | read_only_udm.security_result.severity | 根據下列邏輯從嚴重程度對應:-「中」->「中」-「高」或「重大」->「高」-「低」->「低」- 其他情況 ->「UNKNOWN_SEVERITY」 |
| 時間戳記 | read_only_udm.metadata.event_timestamp.seconds | 直接從時間戳記對應 |
| 使用者 | read_only_udm.security_result.about.user.user_display_name | 直接從 computer.user 對應 |
| 使用者 | read_only_udm.target.user.user_display_name | 直接從 computer.user 對應 |
| vulnerabilities.cve | read_only_udm.extensions.vulns.vulnerabilities.cve_id | 直接從 vulnerabilities.cve 對應 |
| vulnerabilities.name | read_only_udm.extensions.vulns.vulnerabilities.name | 直接從 vulnerabilities.name 對應 |
| vulnerabilities.score | read_only_udm.extensions.vulns.vulnerabilities.cvss_base_score | 從轉換為浮點數後的 vulnerabilities.score 直接對應 |
| vulnerabilities.url | read_only_udm.extensions.vulns.vulnerabilities.vendor_knowledge_base_article_id | 直接從 vulnerabilities.url 對應 |
| vulnerabilities.version | read_only_udm.extensions.vulns.vulnerabilities.cvss_version | 直接從 vulnerabilities.version 對應 |
| is_alert | 如果 event_type 為下列其中一項,請設為 true:「Threat Detected」、「Exploit Prevention」、「Executed malware」、「Potential Dropper Infection」、「Multiple Infected Files」、「Vulnerable Application Detected」,或 security_result.severity 為「HIGH」 | |
| is_significant | 如果 event_type 為下列其中一項,請設為 true:「Threat Detected」、「Exploit Prevention」、「Executed malware」、「Potential Dropper Infection」、「Multiple Infected Files」、「Vulnerable Application Detected」,或 security_result.severity 為「HIGH」 | |
| read_only_udm.metadata.event_type | 根據 event_type 和 security_result.severity 值判斷。- 如果 event_type 為下列其中一項:「Executed malware」、「Threat Detected」、「Potential Dropper Infection」、「Cloud Recall Detection」、「Malicious Activity Detection」、「Exploit Prevention」、「Multiple Infected Files」、「Cloud IOC」、「System Process Protection」、「Vulnerable Application Detected」、「Threat Quarantined」、「Execution Blocked」、「Cloud Recall Quarantine Successful」、「Cloud Recall Restore from Quarantine Failed」、「Cloud Recall Quarantine Attempt Failed」、「Quarantine Failure」,則 event_type 會設為「SCAN_FILE」。- 如果 security_result.severity 為「HIGH」,則事件類型會設為「SCAN_FILE」。- 如果 has_principal 和 has_target 皆為 true,則事件類型會設為「SCAN_UNCATEGORIZED」。- 否則,事件類型會設為「GENERIC_EVENT」。 | |
| read_only_udm.metadata.log_type | 設為「CISCO_AMP」 | |
| read_only_udm.metadata.vendor_name | 設為「CISCO_AMP」 | |
| read_only_udm.security_result.about.file.full_path | 直接從 file.file_path 對應 | |
| read_only_udm.security_result.about.hostname | 直接從 computer.hostname 對應 | |
| read_only_udm.security_result.about.user.user_display_name | 直接從 computer.user 對應 | |
| read_only_udm.security_result.detection_fields.key | 將 detection_id 設為「偵測 ID」、error.error_code 設為「錯誤代碼」、error.description 設為「錯誤說明」、file.parent.disposition 設為「上層處置」、file.parent.file_name 設為「上層檔案名稱」、file.parent.identity.md5 設為「上層 MD5」、file.parent.identity.sha1 設為「上層 SHA1」,以及 file.parent.identity.sha256 設為「上層 SHA256」 | |
| read_only_udm.security_result.summary | 如果 event_type 是下列其中一項:「Threat Detected」、「Exploit Prevention」、「Executed malware」、「Potential Dropper Infection」、「Multiple Infected Files」、「Vulnerable Application Detected」,或 security_result.severity 為「HIGH」,則設為 event_type | |
| read_only_udm.target.asset.ip | 直接從 computer.network_addresses.ip 對應 | |
| read_only_udm.target.resource.attribute.labels.key | 針對 file.parent.disposition 設為「Parent Disposition」,針對 file.parent.file_name 設為「Parent File Name」,針對 file.parent.identity.md5 設為「Parent MD5」,針對 file.parent.identity.sha1 設為「Parent SHA1」,針對 file.parent.identity.sha256 設為「Parent SHA256」 | |
| timestamp.seconds | 轉換為時間戳記後直接對應 |
需要其他協助嗎?向社群成員和 Google SecOps 專業人員尋求答案。