Mapear campos de data e hora para o Elasticsearch

Compatível com:

Depois de configurar uma integração, é necessário mapear os campos dela para os campos do Google Security Operations e mostrar as informações com precisão na plataforma. Mais especificamente, este documento explica como mapear uma data e hora personalizadas para o conector do Elasticsearch.

Ao configurar o conector do Elasticsearch, é necessário converter ou mapear os campos personalizados de data e hora, como \_source\_@timestamps, para startTime e endTime dos casos do Google SecOps.

  1. Acesse Configurações do SOAR > Ontologia > Status da ontologia.
  2. Clique em Configurações Configurar na mesma linha do conector do Elasticsearch.
  3. Na página Configuração de eventos, selecione Mapeamento.
  4. Em Campos do sistema, selecione a linha StartTime e escolha Editar campo no menu.
  5. Na caixa de diálogo Mapear campo de destino: StartTime, defina os seguintes campos:
    • Extraído: selecione \_source\_@timestamp, que é da pilha ELK.
    • Função de transformação: selecione FROM_CUSTOM_DATETIME.
    • Inserir parâmetros: insira YYYY-MM-DDTHH:MM:SS:zzzZ.
  6. Na caixa de diálogo Mapear campo de destino: EndTime, defina os seguintes campos:
    • Campo extraído: selecione \_source\_@timestamp, que é da pilha ELK.
    • Função de transformação: selecione FROM_CUSTOM_DATETIME.
    • Inserir parâmetros: insira YYYY-MM-DDTHH:MM:SS:zzzZ para generalizar o formato de hora.
  7. Clique em Salvar.

Os campos de carimbo de data/hora do Elasticsearch agora são convertidos para os campos de data e hora padronizados.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.