Asigna campos de fecha y hora para Elasticsearch

Compatible con:

Después de configurar una integración, debes asignar sus campos a los campos de Google Security Operations para mostrar la información con precisión en la plataforma. Específicamente, en este documento, se explica cómo asignar una fecha y hora personalizadas para el conector de Elasticsearch.

Cuando configures el conector de Elasticsearch, debes convertir o asignar los campos personalizados de fecha y hora, como \_source\_@timestamps, a startTime y endTime de los casos de Google SecOps.

  1. Ve a Configuración de SOAR > Ontología > Estado de la ontología.
  2. Haz clic en settings Configurar en la misma fila que el conector de Elasticsearch.
  3. En la página Configuración del evento, selecciona Asignación.
  4. En Campos del sistema, selecciona la fila StartTime y elige Editar campo en el menú.
  5. En el diálogo Map Target Field: StartTime, establece los siguientes campos:
    • Extraído: Selecciona \_source\_@timestamp, que proviene de la pila de ELK.
    • Función de transformación: Selecciona FROM_CUSTOM_DATETIME.
    • Enter Parameters: Ingresa YYYY-MM-DDTHH:MM:SS:zzzZ.
  6. En el diálogo Map Target Field: EndTime, establece los siguientes campos:
    • Campo extraído: Selecciona \_source\_@timestamp, que proviene de la pila de ELK.
    • Función de transformación: Selecciona FROM_CUSTOM_DATETIME.
    • Enter Parameters: Ingresa YYYY-MM-DDTHH:MM:SS:zzzZ para generalizar el formato de hora.
  7. Haz clic en Guardar.

Los campos de marca de tiempo de Elasticsearch ahora se convierten en los campos de fecha y hora estandarizados.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.