Datums- und Zeitfelder für Elasticsearch zuordnen

Nachdem Sie eine Integration konfiguriert haben, müssen Sie ihre Felder Google Security Operations-Feldern zuordnen, damit die Informationen auf der Plattform korrekt angezeigt werden. In diesem Dokument wird genauer beschrieben, wie Sie ein benutzerdefiniertes Datum und eine benutzerdefinierte Uhrzeit für den Elasticsearch-Connector zuordnen.

Wenn Sie den Elasticsearch-Connector konfigurieren, müssen Sie die benutzerdefinierten Datums- und Uhrzeitfelder, z. B. \_source\_@timestamps, in startTime und endTime von Google SecOps-Vorgängen konvertieren oder zuordnen.

1. Gehen Sie zu SOAR Settings> Ontology> Ontology Status.
2. Klicken Sie in derselben Zeile wie der Elasticsearch-Connector auf die Einstellungen Konfigurieren.
3. Wählen Sie auf der Seite Ereigniskonfiguration die Option Zuordnung aus.
4. Wählen Sie unter Systemfelder die Zeile StartTime aus und wählen Sie im Menü Feld bearbeiten aus.
5. Legen Sie im Dialogfeld Zielfeld zuordnen: StartTime die folgenden Felder fest:
• Extracted: Wählen Sie \_source\_@timestamp aus, das aus dem ELK-Stack stammt.
• Transformationsfunktion: Wählen Sie FROM_CUSTOM_DATETIME aus.
• Parameter eingeben: Geben Sie YYYY-MM-DDTHH:MM:SS:zzzZ ein.
6. Legen Sie im Dialogfeld Zielfeld zuordnen: EndTime die folgenden Felder fest:
   • Extracted Field (Extrahiertes Feld): Wählen Sie \_source\_@timestamp aus dem ELK-Stack aus.
   • Transformationsfunktion: Wählen Sie FROM_CUSTOM_DATETIME aus.
   • Parameter eingeben: Geben Sie YYYY-MM-DDTHH:MM:SS:zzzZ ein, um das Zeitformat zu verallgemeinern.
7. Klicken Sie auf Speichern.

Die Elasticsearch-Zeitstempelfelder werden jetzt in die standardisierten Zeit- und Datumsfelder konvertiert.