Asignar campos de fecha y hora para Elasticsearch

Después de configurar una integración, debes asignar sus campos a los campos de Google Security Operations para que la información se muestre correctamente en la plataforma. En concreto, en este documento se explica cómo asignar una fecha y una hora personalizadas al conector de Elasticsearch.

Cuando configure el conector Elasticsearch, debe convertir o asignar los campos de fecha y hora personalizados, como \_source\_@timestamps, a startTime y endTime de los casos de Google SecOps.

1. Ve a Configuración de SOAR > Ontología > Estado de la ontología.
2. Haz clic en Configuración Configurar en la misma fila que el conector de Elasticsearch.
3. En la página Configuración de eventos, seleccione Asignación.
4. En Campos del sistema, seleccione la fila StartTime y elija Editar campo en el menú.
5. En el cuadro de diálogo Asignar campo de destino: StartTime, defina los siguientes campos:
• Extraído: selecciona \_source\_@timestamp, que es de la pila ELK.
• Función de transformación: selecciona FROM_CUSTOM_DATETIME.
• Introducir parámetros: escribe YYYY-MM-DDTHH:MM:SS:zzzZ.
6. En el cuadro de diálogo Asignar campo de destino: EndTime, define los siguientes campos:
   • Campo extraído: selecciona \_source\_@timestamp, que es de la pila ELK.
   • Función de transformación: selecciona FROM_CUSTOM_DATETIME.
   • Introducir parámetros: introduce YYYY-MM-DDTHH:MM:SS:zzzZ para generalizar el formato de hora.
7. Haz clic en Guardar.

Los campos de marca de tiempo de Elasticsearch ahora se convierten en campos de fecha y hora estandarizados.