Mapper les champs de date et d'heure pour Elasticsearch

Une fois que vous avez configuré une intégration, vous devez mapper ses champs à ceux de Google Security Operations pour afficher correctement les informations sur la plate-forme. Plus précisément, ce document explique comment mapper une date et une heure personnalisées pour le connecteur Elasticsearch.

Lorsque vous configurez le connecteur Elasticsearch, vous devez convertir ou mapper les champs de date et d'heure personnalisés, tels que \_source\_@timestamps, sur startTime et endTime des cas Google SecOps.

1. Accédez à Paramètres SOAR> Ontologie> État de l'ontologie.
2. Cliquez sur settings Configurer sur la même ligne que le connecteur Elasticsearch.
3. Sur la page Configuration des événements, sélectionnez Mappage.
4. Sous Champs système, sélectionnez la ligne StartTime (Heure de début), puis choisissez Modifier le champ dans le menu.
5. Dans la boîte de dialogue Map Target Field: StartTime (Mapper le champ cible : StartTime), définissez les champs suivants :
• Extrait : sélectionnez \_source\_@timestamp, qui provient de la pile ELK.
• Fonction de transformation : sélectionnez FROM_CUSTOM_DATETIME.
• Saisir les paramètres : saisissez YYYY-MM-DDTHH:MM:SS:zzzZ.
6. Dans la boîte de dialogue Map Target Field: EndTime (Mapper le champ cible : EndTime), définissez les champs suivants :
   • Champ extrait : sélectionnez \_source\_@timestamp, qui provient de la pile ELK.
   • Fonction de transformation : sélectionnez FROM_CUSTOM_DATETIME.
   • Saisir les paramètres : saisissez YYYY-MM-DDTHH:MM:SS:zzzZ pour généraliser le format de l'heure.
7. Cliquez sur Enregistrer.

Les champs d'horodatage Elasticsearch sont désormais convertis en champs de date et d'heure standardisés.