Elasticsearch의 날짜 및 시간 필드 매핑

다음에서 지원:

통합을 구성한 후에는 플랫폼에 정보를 정확하게 표시하기 위해 통합의 필드를 Google Security Operations 필드에 매핑해야 합니다. 구체적으로 이 문서에서는 Elasticsearch 커넥터의 맞춤 날짜 및 시간을 매핑하는 방법을 설명합니다.

Elasticsearch 커넥터를 구성할 때 \_source\_@timestamps와 같은 맞춤 날짜 및 시간 필드를 Google SecOps 케이스의 startTimeendTime변환하거나 매핑해야 합니다.

  1. SOAR 설정 > 온톨로지 > 온톨로지 상태로 이동합니다.
  2. Elasticsearch 커넥터와 같은 행에서 설정 구성을 클릭합니다.
  3. 이벤트 구성 페이지에서 매핑을 선택합니다.
  4. 시스템 필드에서 StartTime 행을 선택하고 메뉴에서 필드 수정을 선택합니다.
  5. Map Target Field: StartTime 대화상자에서 다음 필드를 설정합니다.
    • 추출됨: ELK 스택에서 가져온 \_source\_@timestamp를 선택합니다.
    • 변환 함수: FROM_CUSTOM_DATETIME을 선택합니다.
    • 매개변수 입력: YYYY-MM-DDTHH:MM:SS:zzzZ을 입력합니다.
  6. 타겟 필드 매핑: EndTime 대화상자에서 다음 필드를 설정합니다.
    • 추출된 필드: ELK 스택에서 가져온 \_source\_@timestamp를 선택합니다.
    • 변환 함수: FROM_CUSTOM_DATETIME을 선택합니다.
    • 매개변수 입력: 시간 형식을 일반화하려면 YYYY-MM-DDTHH:MM:SS:zzzZ를 입력합니다.
  7. 저장을 클릭합니다.

이제 Elasticsearch 타임스탬프 필드가 표준화된 시간 및 날짜 필드로 변환됩니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.