Benutzerdefinierte IOC-Dateien im CSV-Format erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie benutzerdefinierte CSV-IOC-Dateien mit Google Cloud Storage in Google Security Operations aufnehmen, die Felder dann dem UDM zuordnen, verschiedene Datentypen wie IP-Adressen, Domains und Hashes verarbeiten und die Ausgabe mit Bedrohungsdetails, Informationen zu Entitäten und Schweregraden anreichern.

Hinweis

Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:

  • Eine Google SecOps-Instanz
  • Ein GCP-Projekt mit aktivierter Cloud Storage API
  • Berechtigungen zum Erstellen und Verwalten von GCS-Buckets
  • Berechtigungen zum Verwalten von IAM-Richtlinien für GCS-Buckets
  • Berechtigungen zum Erstellen von Cloud Run-Diensten, Pub/Sub-Themen und Cloud Scheduler-Jobs
  • Zugriff auf eine oder mehrere CSV-IOC-Feed-URLs (HTTPS) oder einen internen Endpunkt, der CSV bereitstellt

Google Cloud Storage-Bucket erstellen

  1. Rufen Sie die Google Cloud Console auf.
  2. Wählen Sie Ihr Projekt aus oder erstellen Sie ein neues.
  3. Rufen Sie im Navigationsmenü Cloud Storage > Buckets auf.
  4. Klicken Sie auf Bucket erstellen.

  5. Geben Sie die folgenden Konfigurationsdetails an:

    Einstellung Wert
    Bucket benennen Geben Sie einen global eindeutigen Namen ein, z. B. csv-ioc-logs.
    Standorttyp Wählen Sie je nach Bedarf aus (Region, Dual-Region, Multi-Region).
    Standort Wählen Sie den Speicherort aus, z. B. us-central1.
    Speicherklasse Standard (empfohlen für Logs, auf die häufig zugegriffen wird)
    Zugriffssteuerung Einheitlich (empfohlen)
    Schutzmaßnahmen Optional: Objektversionsverwaltung oder Aufbewahrungsrichtlinie aktivieren

  6. Klicken Sie auf Erstellen.

Dienstkonto für Cloud Run-Funktion erstellen

Die Cloud Run-Funktion benötigt ein Dienstkonto mit Berechtigungen zum Schreiben in den GCS-Bucket und zum Aufrufen durch Pub/Sub.

Dienstkonto erstellen

  1. Wechseln Sie in der GCP Console zu IAM & Verwaltung > Dienstkonten.
  2. Klicken Sie auf Dienstkonto erstellen.
  3. Geben Sie die folgenden Konfigurationsdetails an:
    • Name des Dienstkontos: Geben Sie csv-ioc-collector-sa ein.
    • Beschreibung des Dienstkontos: Geben Sie Service account for Cloud Run function to collect CSV IOC files ein.
  4. Klicken Sie auf Erstellen und fortfahren.
  5. Fügen Sie im Abschnitt Diesem Dienstkonto Zugriff auf das Projekt erteilen die folgenden Rollen hinzu:
    1. Klicken Sie auf Rolle auswählen.
    2. Suchen Sie nach Storage-Objekt-Administrator und wählen Sie die Rolle aus.
    3. Klicken Sie auf + Weitere Rolle hinzufügen.
    4. Suchen Sie nach Cloud Run Invoker und wählen Sie die Rolle aus.
    5. Klicken Sie auf + Weitere Rolle hinzufügen.
    6. Suchen Sie nach Cloud Functions Invoker und wählen Sie die Rolle aus.
  6. Klicken Sie auf Weiter.
  7. Klicken Sie auf Fertig.

Diese Rollen sind erforderlich für:

  • Storage-Objekt-Administrator: Protokolle in GCS-Bucket schreiben
  • Cloud Run-Aufrufer: Pub/Sub darf die Funktion aufrufen.
  • Cloud Functions-Invoker: Funktionsaufruf zulassen

IAM-Berechtigungen für GCS-Bucket erteilen

Gewähren Sie dem Dienstkonto Schreibberechtigungen für den GCS-Bucket:

  1. Rufen Sie Cloud Storage > Buckets auf.
  2. Klicken Sie auf den Namen Ihres Buckets.
  3. Wechseln Sie zum Tab Berechtigungen.
  4. Klicken Sie auf Zugriff erlauben.
  5. Geben Sie die folgenden Konfigurationsdetails an:
    • Hauptkonten hinzufügen: Geben Sie die E-Mail-Adresse des Dienstkontos ein (z. B. csv-ioc-collector-sa@PROJECT_ID.iam.gserviceaccount.com).
    • Rollen zuweisen: Wählen Sie Storage-Objekt-Administrator aus.
  6. Klicken Sie auf Speichern.

Pub/Sub-Thema erstellen

Erstellen Sie ein Pub/Sub-Thema, in dem Cloud Scheduler veröffentlicht und das von der Cloud Run-Funktion abonniert wird.

  1. Rufen Sie in der GCP Console Pub/Sub > Themen auf.
  2. Klicken Sie auf Thema erstellen.
  3. Geben Sie die folgenden Konfigurationsdetails an:
    • Themen-ID: Geben Sie csv-ioc-trigger ein.
    • Übernehmen Sie die anderen Einstellungen.
  4. Klicken Sie auf Erstellen.

Cloud Run-Funktion zum Erfassen von CSV-IOC-Dateien erstellen

Die Cloud Run-Funktion wird durch Pub/Sub-Nachrichten von Cloud Scheduler ausgelöst, um CSV-IOC-Dateien von HTTPS-Endpunkten abzurufen und in GCS zu schreiben.

  1. Rufen Sie in der GCP Console Cloud Run auf.
  2. Klicken Sie auf Dienst erstellen.
  3. Wählen Sie Funktion aus, um eine Funktion mit einem Inline-Editor zu erstellen.

  4. Geben Sie im Abschnitt Konfigurieren die folgenden Konfigurationsdetails an:

    Einstellung Wert
    Dienstname csv-ioc-collector
    Region Wählen Sie die Region aus, die Ihrem GCS-Bucket entspricht (z. B. us-central1).
    Laufzeit Wählen Sie Python 3.12 oder höher aus.

  5. Im Abschnitt Trigger (optional):

    1. Klicken Sie auf + Trigger hinzufügen.
    2. Wählen Sie Cloud Pub/Sub aus.
    3. Wählen Sie unter Cloud Pub/Sub-Thema auswählen das Pub/Sub-Thema (csv-ioc-trigger) aus.
    4. Klicken Sie auf Speichern.

  6. Im Abschnitt Authentifizierung:

    1. Wählen Sie Authentifizierung erforderlich aus.
    2. Identitäts- und Zugriffsverwaltung

  7. Scrollen Sie nach unten und maximieren Sie Container, Netzwerk, Sicherheit.

  8. Rufen Sie den Tab Sicherheit auf:

    • Dienstkonto: Wählen Sie das Dienstkonto aus (csv-ioc-collector-sa).

  9. Rufen Sie den Tab Container auf:

    1. Klicken Sie auf Variablen und Secrets.
    2. Klicken Sie für jede Umgebungsvariable auf + Variable hinzufügen:
    Variablenname Beispielwert Beschreibung
    GCS_BUCKET csv-ioc-logs Name des GCS-Buckets
    GCS_PREFIX csv-ioc Präfix für Protokolldateien
    IOC_URLS https://ioc.example.com/feed.csv,https://another.example.org/iocs.csv Durch Kommas getrennte HTTPS-URLs
    AUTH_HEADER Authorization: Bearer <token> Optionaler Authentifizierungsheader
    TIMEOUT 60 Zeitüberschreitung für eine Anfrage in Sekunden

  10. Scrollen Sie im Bereich Variablen und Secrets nach unten zu Anfragen:

    • Zeitlimit für Anfragen: Geben Sie 600 Sekunden (10 Minuten) ein.

  11. Rufen Sie den Tab Einstellungen auf:

    • Im Abschnitt Ressourcen:
      • Arbeitsspeicher: Wählen Sie 512 MiB oder höher aus.
      • CPU: Wählen Sie 1 aus.
    • Klicken Sie auf Fertig.

  12. Im Abschnitt Versionsskalierung:

    • Mindestanzahl von Instanzen: Geben Sie 0 ein.
    • Maximale Anzahl von Instanzen: Geben Sie 100 ein (oder passen Sie den Wert an die erwartete Last an).

  13. Klicken Sie auf Erstellen.

  14. Warten Sie ein bis zwei Minuten, bis der Dienst erstellt wurde.

  15. Nachdem der Dienst erstellt wurde, wird automatisch der Inline-Code-Editor geöffnet.

Funktionscode hinzufügen

  1. Geben Sie main unter Funktionseinstiegspunkt ein.

  2. Erstellen Sie im Inline-Codeeditor zwei Dateien:

    • Erste Datei: main.py::
    import functions_framework
from google.cloud import storage
import json
import os
import urllib3
from datetime import datetime, timezone
import time

# Initialize HTTP client with timeouts
http = urllib3.PoolManager(
    timeout=urllib3.Timeout(connect=5.0, read=30.0),
    retries=False,
)

# Initialize Storage client
storage_client = storage.Client()

@functions_framework.cloud_event
def main(cloud_event):
    """
    Cloud Run function triggered by Pub/Sub to fetch CSV IOC feeds over HTTPS and write to GCS.

    Args:
        cloud_event: CloudEvent object containing Pub/Sub message
    """

    # Get environment variables
    bucket_name = os.environ.get('GCS_BUCKET')
    prefix = os.environ.get('GCS_PREFIX', 'csv-ioc').strip('/')
    ioc_urls_str = os.environ.get('IOC_URLS', '')
    auth_header = os.environ.get('AUTH_HEADER', '')
    timeout = int(os.environ.get('TIMEOUT', '60'))

    ioc_urls = [u.strip() for u in ioc_urls_str.split(',') if u.strip()]

    if not bucket_name:
        print('Error: GCS_BUCKET environment variable is required')
        return

    if not ioc_urls:
        print('Error: IOC_URLS must contain at least one HTTPS URL')
        return

    try:
        # Get GCS bucket
        bucket = storage_client.bucket(bucket_name)

        run_ts = int(time.time())
        written = []

        for i, url in enumerate(ioc_urls):
            print(f'Processing URL {i+1}/{len(ioc_urls)}: {url}')

            # Build request
            req_headers = {'Accept': 'text/csv, */*'}

            # Add authentication header if provided
            if auth_header:
                if ':' in auth_header:
                    k, v = auth_header.split(':', 1)
                    req_headers[k.strip()] = v.strip()
                else:
                    req_headers['Authorization'] = auth_header.strip()

            # Fetch data with retries
            data = fetch_with_retries(url, req_headers, timeout)

            if data:
                # Write to GCS
                key = generate_blob_name(prefix, url, run_ts, i)
                blob = bucket.blob(key)
                blob.upload_from_string(data, content_type='text/csv')

                written.append({
                    'url': url,
                    'gcs_key': key,
                    'bytes': len(data)
                })

                print(f'Wrote {len(data)} bytes to gs://{bucket_name}/{key}')
            else:
                print(f'Warning: No data retrieved from {url}')

        print(f'Successfully processed {len(written)} URLs')
        print(json.dumps({'ok': True, 'written': written}, indent=2))

    except Exception as e:
        print(f'Error processing CSV IOC feeds: {str(e)}')
        raise

def fetch_with_retries(url, headers, timeout, max_retries=5):
    """Fetch data from URL with retry logic for 429/5xx errors."""
    if not url.lower().startswith('https://'):
        raise ValueError('Only HTTPS URLs are allowed in IOC_URLS')

    attempt = 0
    backoff = 1.0

    while attempt < max_retries:
        try:
            response = http.request('GET', url, headers=headers, timeout=timeout)

            if response.status == 200:
                return response.data.decode('utf-8')
            elif response.status == 429 or (500 <= response.status < 600):
                print(f'Received status {response.status}, retrying in {backoff}s (attempt {attempt+1}/{max_retries})')
                time.sleep(backoff)
                attempt += 1
                backoff *= 2
            else:
                print(f'Error: Received unexpected status {response.status} from {url}')
                return None

        except Exception as e:
            if attempt < max_retries - 1:
                print(f'Request failed: {str(e)}, retrying in {backoff}s (attempt {attempt+1}/{max_retries})')
                time.sleep(backoff)
                attempt += 1
                backoff *= 2
            else:
                raise

    print(f'Max retries exceeded for {url}')
    return None

def generate_blob_name(prefix, url, run_ts, idx):
    """Generate a unique blob name for the CSV file."""
    # Create a short, filesystem-safe token for the URL
    safe_url = url.replace('://', '_').replace('/', '_').replace('?', '_').replace('&', '_')[:100]

    # Generate timestamp-based path
    timestamp_path = time.strftime('%Y/%m/%d/%H%M%S', time.gmtime(run_ts))

    return f"{prefix}/{timestamp_path}-url{idx:03d}-{safe_url}.csv"
    • Zweite Datei: requirements.txt::
    functions-framework==3.*
google-cloud-storage==2.*
urllib3>=2.0.0

  3. Klicken Sie auf Bereitstellen, um die Funktion zu speichern und bereitzustellen.

  4. Warten Sie, bis die Bereitstellung abgeschlossen ist (2–3 Minuten).

Cloud Scheduler-Job erstellen

Cloud Scheduler veröffentlicht in regelmäßigen Abständen Nachrichten im Pub/Sub-Thema, wodurch die Cloud Run-Funktion ausgelöst wird.

  1. Rufen Sie in der GCP Console Cloud Scheduler auf.
  2. Klicken Sie auf Job erstellen.

  3. Geben Sie die folgenden Konfigurationsdetails an:

    Einstellung Wert
    Name csv-ioc-collector-hourly
    Region Dieselbe Region wie für die Cloud Run-Funktion auswählen
    Frequenz 0 * * * * (jede Stunde, zur vollen Stunde)
    Zeitzone Zeitzone auswählen (UTC empfohlen)
    Zieltyp Pub/Sub
    Thema Wählen Sie das Pub/Sub-Thema aus (csv-ioc-trigger).
    Nachrichtentext {} (leeres JSON-Objekt)

  4. Klicken Sie auf Erstellen.

Optionen für die Häufigkeit des Zeitplans

  • Wählen Sie die Häufigkeit basierend auf dem Logvolumen und den Latenzanforderungen aus:

    Häufigkeit Cron-Ausdruck Anwendungsfall
    Alle 5 Minuten */5 * * * * Hohes Volumen, niedrige Latenz
    Alle 15 Minuten */15 * * * * Mittleres Suchvolumen
    Stündlich 0 * * * * Standard (empfohlen)
    Alle 6 Stunden 0 */6 * * * Geringes Volumen, Batchverarbeitung
    Täglich 0 0 * * * Erhebung von Verlaufsdaten

Integration testen

  1. Suchen Sie in der Cloud Scheduler-Konsole nach Ihrem Job (csv-ioc-collector-hourly).
  2. Klicken Sie auf Force run (Ausführung erzwingen), um den Job manuell auszulösen.
  3. Warten Sie einige Sekunden.
  4. Rufen Sie Cloud Run > Dienste auf.
  5. Klicken Sie auf den Namen Ihrer Funktion (csv-ioc-collector).
  6. Klicken Sie auf den Tab Logs.

  7. Prüfen Sie, ob die Funktion erfolgreich ausgeführt wurde. Achten Sie auf Folgendes:

    Processing URL 1/X: https://...
Wrote X bytes to gs://csv-ioc-logs/csv-ioc/YYYY/MM/DD/HHMMSS-url000-...csv
Successfully processed X URLs

  8. Rufen Sie Cloud Storage > Buckets auf.

  9. Klicken Sie auf den Namen Ihres Buckets (csv-ioc-logs).

  10. Rufen Sie den Präfixordner (csv-ioc/) auf.

  11. Prüfen Sie, ob neue .csv-Dateien mit dem aktuellen Zeitstempel erstellt wurden.

Wenn in den Logs Fehler angezeigt werden, gehen Sie so vor:

  • HTTP 401/403: AUTH_HEADER-Umgebungsvariable prüfen
  • HTTP 429: Ratenbegrenzung – die Funktion wird automatisch mit Backoff wiederholt.
  • Fehlende Umgebungsvariablen: Prüfen Sie, ob alle erforderlichen Variablen festgelegt sind.
  • Nur HTTPS-URLs sind zulässig: Prüfen Sie, ob IOC_URLS nur HTTPS-URLs enthält.

Google SecOps-Dienstkonto abrufen

Google SecOps verwendet ein eindeutiges Dienstkonto, um Daten aus Ihrem GCS-Bucket zu lesen. Sie müssen diesem Dienstkonto Zugriff auf Ihren Bucket gewähren.

E-Mail-Adresse des Dienstkontos abrufen

  1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
  2. Klicken Sie auf Neuen Feed hinzufügen.
  3. Klicken Sie auf Einzelnen Feed konfigurieren.
  4. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. CSV Custom IOC.
  5. Wählen Sie Google Cloud Storage V2 als Quelltyp aus.
  6. Wählen Sie Benutzerdefinierte IOCs im CSV-Format als Logtyp aus.

  7. Klicken Sie auf Dienstkonto abrufen. Es wird eine eindeutige E-Mail-Adresse für das Dienstkonto angezeigt, z. B.:

    chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com

  8. Kopieren Sie diese E‑Mail-Adresse für den nächsten Schritt.

Dem Google SecOps-Dienstkonto IAM-Berechtigungen gewähren

Das Google SecOps-Dienstkonto benötigt die Rolle Storage-Objekt-Betrachter für Ihren GCS-Bucket.

  1. Rufen Sie Cloud Storage > Buckets auf.
  2. Klicken Sie auf den Namen Ihres Buckets (csv-ioc-logs).
  3. Wechseln Sie zum Tab Berechtigungen.
  4. Klicken Sie auf Zugriff erlauben.
  5. Geben Sie die folgenden Konfigurationsdetails an:
    • Hauptkonten hinzufügen: Fügen Sie die E‑Mail-Adresse des Google SecOps-Dienstkontos ein.
    • Rollen zuweisen: Wählen Sie Storage-Objekt-Betrachter aus.

  6. Klicken Sie auf Speichern.

Feed in Google SecOps konfigurieren, um benutzerdefinierte CSV-IOC-Dateien aufzunehmen

  1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
  2. Klicken Sie auf Neuen Feed hinzufügen.
  3. Klicken Sie auf Einzelnen Feed konfigurieren.
  4. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. CSV Custom IOC.
  5. Wählen Sie Google Cloud Storage V2 als Quelltyp aus.
  6. Wählen Sie Benutzerdefinierte IOCs im CSV-Format als Logtyp aus.
  7. Klicken Sie auf Weiter.

  8. Geben Sie Werte für die folgenden Eingabeparameter an:

    • Storage-Bucket-URL: Geben Sie den GCS-Bucket-URI mit dem Präfixpfad ein:

      gs://csv-ioc-logs/csv-ioc/

      • Ersetzen Sie:

        • csv-ioc-logs: Der Name Ihres GCS-Buckets.
        • csv-ioc: Optionales Präfix/Ordnerpfad, in dem Logs gespeichert werden.

      • Beispiele:

        • Root-Bucket: gs://csv-ioc-logs/
        • Mit Präfix: gs://csv-ioc-logs/csv-ioc/
        • Mit Unterordner: gs://csv-ioc-logs/ioc-feeds/

    • Option zum Löschen der Quelle: Wählen Sie die gewünschte Löschoption aus:

      • Nie: Es werden nach Übertragungen nie Dateien gelöscht (empfohlen für Tests).
      • Übertragene Dateien löschen: Dateien werden nach der erfolgreichen Übertragung gelöscht.

      • Übertragene Dateien und leere Verzeichnisse löschen: Löscht Dateien und leere Verzeichnisse nach der erfolgreichen Übertragung.

    • Maximales Dateialter: Dateien einschließen, die in den letzten Tagen geändert wurden. Der Standardwert ist 180 Tage.

    • Asset-Namespace: Der Asset-Namespace.

    • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.

  9. Klicken Sie auf Weiter.

  10. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
asn entity.metadata.threat.detection_fields.asn_label.value Direkt aus dem Feld „asn“ zugeordnet.
Kategorie entity.metadata.threat.category_details Direkt aus dem Feld „category“ zugeordnet.
Klassifizierung entity.metadata.threat.category_details Wird an „classification – “ angehängt und dem Feld „entity.metadata.threat.category_details“ zugeordnet.
Spalte2 entity.entity.hostname Wird „entity.entity.hostname“ zugeordnet, wenn [category] mit „. ?ip“ oder „. ?proxy“ übereinstimmt und [not_ip] „true“ ist.
Spalte2 entity.entity.ip Wird in „entity.entity.ip“ zusammengeführt, wenn [category] mit „. ?ip“ oder „. ?proxy“ übereinstimmt und [not_ip] „false“ ist.
Konfidenz entity.metadata.threat.confidence_score In Gleitkommazahl konvertiert und dem Feld „entity.metadata.threat.confidence_score“ zugeordnet.
country entity.entity.location.country_or_region Direkt aus dem Feld „country“ (Land) zugeordnet.
date_first entity.metadata.threat.first_discovered_time Wird als ISO8601-Wert geparst und dem Feld „entity.metadata.threat.first_discovered_time“ zugeordnet.
date_last entity.metadata.threat.last_updated_time Wird als ISO8601-Zeit geparst und dem Feld „entity.metadata.threat.last_updated_time“ zugeordnet.
Detail entity.metadata.threat.summary Direkt aus dem Feld „detail“ zugeordnet.
detail2 entity.metadata.threat.description Direkt aus dem Feld „detail2“ zugeordnet.
Domain entity.entity.hostname Direkt aus dem Feld „domain“ zugeordnet.
E-Mail entity.entity.user.email_addresses In das Feld „entity.entity.user.email_addresses“ zusammengeführt.
id entity.metadata.product_entity_id Wird an „id – “ angehängt und dem Feld „entity.metadata.product_entity_id“ zugeordnet.
import_session_id entity.metadata.threat.detection_fields.import_session_id_label.value Direkt aus dem Feld „import_session_id“ zugeordnet.
itype entity.metadata.threat.detection_fields.itype_label.value Direkt aus dem Feld „itype“ zugeordnet.
Lat entity.entity.location.region_latitude In Gleitkommazahl umgewandelt und dem Feld „entity.entity.location.region_latitude“ zugeordnet.
Länge entity.entity.location.region_longitude In Gleitkommazahl konvertiert und dem Feld „entity.entity.location.region_longitude“ zugeordnet.
maltype entity.metadata.threat.detection_fields.maltype_label.value Direkt aus dem Feld „maltype“ zugeordnet.
md5 entity.entity.file.md5 Direkt aus dem Feld „md5“ zugeordnet.
Medien entity.metadata.threat.detection_fields.media_label.value Direkt aus dem Feld „media“ zugeordnet.
media_type entity.metadata.threat.detection_fields.media_type_label.value Direkt aus dem Feld „media_type“ zugeordnet.
Org entity.metadata.threat.detection_fields.org_label.value Direkt aus dem Feld „org“ zugeordnet.
resource_uri entity.entity.url Wird „entity.entity.url“ zugeordnet, wenn [itype] nicht mit „(ip
resource_uri entity.metadata.threat.url_back_to_product Wird „entity.metadata.threat.url_back_to_product“ zugeordnet, wenn [itype] mit „(ip
Punktzahl entity.metadata.threat.confidence_details Direkt aus dem Feld „score“ zugeordnet.
die Ausprägung entity.metadata.threat.severity Wird in Großbuchstaben umgewandelt und dem Feld „entity.metadata.threat.severity“ zugeordnet, wenn es mit „LOW“, „MEDIUM“, „HIGH“ oder „CRITICAL“ übereinstimmt.
source entity.metadata.threat.detection_fields.source_label.value Direkt aus dem Feld „Quelle“ zugeordnet.
source_feed_id entity.metadata.threat.detection_fields.source_feed_id_label.value Direkt aus dem Feld „source_feed_id“ zugeordnet.
srcip entity.entity.ip Wird in „entity.entity.ip“ zusammengeführt, wenn [srcip] nicht leer ist und nicht [value] entspricht.
Bundesstaat entity.metadata.threat.detection_fields.state_label.value Direkt aus dem Feld „state“ zugeordnet.
trusted_circle_ids entity.metadata.threat.detection_fields.trusted_circle_ids_label.value Direkt aus dem Feld „trusted_circle_ids“ zugeordnet.
update_id entity.metadata.threat.detection_fields.update_id_label.value Direkt aus dem Feld „update_id“ zugeordnet.
Wert entity.entity.file.full_path Wird „entity.entity.file.full_path“ zugeordnet, wenn [category] mit „.*?file“ übereinstimmt.
Wert entity.entity.file.md5 Wird „entity.entity.file.md5“ zugeordnet, wenn [category] mit „.*?md5“ übereinstimmt und [value] ein 32‑stelliger Hexadezimalstring ist.
Wert entity.entity.file.sha1 Wird „entity.entity.file.sha1“ zugeordnet, wenn [category] mit „. ?md5“ übereinstimmt und [value] ein 40-stelliger Hexadezimalstring ist oder wenn [category] mit „. ?sha1“ übereinstimmt und [value] ein 40-stelliger Hexadezimalstring ist.
Wert entity.entity.file.sha256 Wird „entity.entity.file.sha256“ zugeordnet, wenn ([category] mit „. ?md5“ übereinstimmt und [value] ein hexadezimaler String ist und [file_type] nicht „md5“ ist) oder ([category] mit „. ?sha256“ übereinstimmt und [value] ein hexadezimaler String ist).
Wert entity.entity.hostname Wird „entity.entity.hostname“ zugeordnet, wenn [category] mit „. ?domain“ oder mit „. ?ip“ oder „.*?proxy“ übereinstimmt und [not_ip] „true“ ist.
Wert entity.entity.url Wird „entity.entity.url“ zugeordnet, wenn [category] mit „.*?url“ übereinstimmt oder [category] mit „url“ übereinstimmt und [resource_uri] nicht leer ist.
entity.metadata.collected_timestamp Wird mit dem Zeitstempel des Ereignisses ausgefüllt.
entity.metadata.interval.end_time Auf einen konstanten Wert von 253402300799 Sekunden festgelegt.
entity.metadata.interval.start_time Wird mit dem Zeitstempel des Ereignisses ausgefüllt.
entity.metadata.vendor_name Auf den konstanten Wert „Benutzerdefinierter IOC“ festgelegt.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten