Mappare i campi data e ora per Elasticsearch

Dopo aver configurato un'integrazione, devi mappare i relativi campi con i campi di Google Security Operations per visualizzare correttamente le informazioni sulla piattaforma. Più in particolare, questo documento spiega come mappare una data e un'ora personalizzate per il connettore Elasticsearch.

Quando configuri il connettore Elasticsearch, devi convertire o mappare i campi personalizzati di data e ora, ad esempio \_source\_@timestamps, a startTime e endTime dei casi di Google SecOps.

1. Vai a Impostazioni SOAR > Ontologia > Stato ontologia.
2. Fai clic su Impostazioni Configura nella stessa riga del connettore Elasticsearch.
3. Nella pagina Configurazione evento, seleziona Mapping.
4. In Campi di sistema, seleziona la riga Ora di inizio e scegli Modifica campo dal menu.
5. Nella finestra di dialogo Mappa campo di destinazione: StartTime, imposta i seguenti campi:
• Estratto: seleziona \_source\_@timestamp, che proviene dallo stack ELK.
• Funzione di trasformazione: seleziona FROM_CUSTOM_DATETIME.
• Inserisci parametri: inserisci YYYY-MM-DDTHH:MM:SS:zzzZ.
6. Nella finestra di dialogo Mappa campo di destinazione: EndTime, imposta i seguenti campi:
   • Campo estratto: seleziona \_source\_@timestamp, che proviene dallo stack ELK.
   • Funzione di trasformazione: seleziona FROM_CUSTOM_DATETIME.
   • Inserisci parametri: inserisci YYYY-MM-DDTHH:MM:SS:zzzZ per generalizzare il formato dell'ora.
7. Fai clic su Salva.

I campi timestamp di Elasticsearch vengono ora convertiti nei campi data e ora standardizzati.