Memetakan kolom tanggal dan waktu untuk Elasticsearch

Didukung di:

Setelah mengonfigurasi integrasi, Anda harus memetakan kolomnya ke kolom Google Security Operations agar informasi ditampilkan secara akurat di platform. Lebih khusus lagi, dokumen ini menjelaskan cara memetakan tanggal dan waktu kustom untuk konektor Elasticsearch.

Saat mengonfigurasi konektor Elasticsearch, Anda harus mengonversi atau memetakan kolom tanggal dan waktu kustom, seperti \_source\_@timestamps, ke startTime dan endTime kasus Google SecOps.

  1. Buka Setelan SOAR > Ontologi > Status Ontologi.
  2. Klik settings Configure di baris yang sama dengan konektor Elasticsearch.
  3. Di halaman Konfigurasi Peristiwa, pilih Pemetaan.
  4. Di bagian Kolom Sistem, pilih baris StartTime, lalu pilih Edit Kolom dari menu.
  5. Pada dialog Map Target Field: StartTime, tetapkan kolom berikut:
    • Diekstrak: Pilih \_source\_@timestamp, yang berasal dari stack ELK.
    • Fungsi Transformasi: Pilih FROM_CUSTOM_DATETIME.
    • Masukkan Parameter: Masukkan YYYY-MM-DDTHH:MM:SS:zzzZ.
  6. Pada dialog Map Target Field: EndTime, tetapkan kolom berikut:
    • Extracted Field: Pilih \_source\_@timestamp, yang berasal dari stack ELK.
    • Fungsi Transformasi: Pilih FROM_CUSTOM_DATETIME.
    • Masukkan Parameter: Masukkan YYYY-MM-DDTHH:MM:SS:zzzZ untuk menggeneralisasi format waktu.
  7. Klik Simpan.

Kolom stempel waktu Elasticsearch kini dikonversi ke kolom tanggal dan waktu standar.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.