Mapeie campos de data e hora para o Elasticsearch

Depois de configurar uma integração, tem de mapear os respetivos campos para os campos do Google Security Operations para apresentar as informações com precisão na plataforma. Mais especificamente, este documento explica como mapear uma data e hora personalizadas para o conetor do Elasticsearch.

Quando configura o conector do Elasticsearch, tem de converter ou mapear os campos de data e hora personalizados, como \_source\_@timestamps, para startTime e endTime dos registos do Google SecOps.

1. Aceda a Definições de SOAR > Ontologia > Estado da ontologia.
2. Clique em definições Configurar na mesma linha que o conetor do Elasticsearch.
3. Na página Configuração de eventos, selecione Mapeamento.
4. Em Campos do sistema, selecione a linha StartTime e escolha Editar campo no menu.
5. Na caixa de diálogo Mapear campo de destino: StartTime, defina os seguintes campos:
• Extraído: selecione \_source\_@timestamp, que é da pilha ELK.
• Função de transformação: selecione FROM_CUSTOM_DATETIME.
• Introduza parâmetros: introduza YYYY-MM-DDTHH:MM:SS:zzzZ.
6. Na caixa de diálogo Mapear campo de destino: EndTime, defina os seguintes campos:
   • Campo extraído: selecione \_source\_@timestamp, que é da pilha ELK.
   • Função de transformação: selecione FROM_CUSTOM_DATETIME.
   • Introduzir parâmetros: introduza YYYY-MM-DDTHH:MM:SS:zzzZ para generalizar o formato de hora.
7. Clique em Guardar.

Os campos de indicação de tempo do Elasticsearch são agora convertidos nos campos de data e hora padronizados.