Elasticsearch の日付と時刻のフィールドをマッピングする

統合を構成したら、プラットフォームに情報を正確に表示するために、そのフィールドを Google Security Operations のフィールドにマッピングする必要があります。具体的には、このドキュメントでは、Elasticsearch コネクタのカスタム日時をマッピングする方法について説明します。

Elasticsearch コネクタを構成する場合は、\_source\_@timestamps などのカスタムの日付と時刻のフィールドを Google SecOps ケースの startTime と endTime に変換またはマッピングする必要があります。

1. [SOAR 設定] > [オントロジー] > [オントロジー ステータス] に移動します。
2. Elasticsearch コネクタと同じ行にある settings Configure をクリックします。
3. [イベント構成] ページで、[マッピング] を選択します。
4. [システム フィールド] で、[StartTime] 行を選択し、メニューから [フィールドを編集] を選択します。
5. [Map Target Field: StartTime] ダイアログで、次のフィールドを設定します。
• 抽出: ELK スタックの \_source\_@timestamp を選択します。
• 変換関数: [FROM_CUSTOM_DATETIME] を選択します。
• パラメータを入力: YYYY-MM-DDTHH:MM:SS:zzzZ と入力します。
6. [Map Target Field: EndTime] ダイアログで、次のフィールドを設定します。
   • 抽出されたフィールド: ELK スタックの \_source\_@timestamp を選択します。
   • 変換関数: FROM_CUSTOM_DATETIME を選択します。
   • パラメータを入力: YYYY-MM-DDTHH:MM:SS:zzzZ と入力して、時間形式を一般化します。
7. [保存] をクリックします。

Elasticsearch のタイムスタンプ フィールドが標準化された日時フィールドに変換されるようになりました。