为 Elasticsearch 映射日期和时间字段

支持的平台:

配置集成后,您必须将其字段映射到 Google Security Operations 字段,以便在平台上准确显示信息。更具体地说,本文档介绍了如何为 Elasticsearch 连接器映射自定义日期和时间。

配置 Elasticsearch 连接器时,您必须将自定义日期和时间字段(例如 \_source\_@timestamps转换或映射到 Google SecOps 支持请求的 startTimeendTime

  1. 前往 SOAR 设置 > 知识图谱 > 知识图谱状态
  2. 点击 Elasticsearch 连接器所在行中的 设置 图标 配置
  3. 活动配置页面上,选择映射
  4. 系统字段下,选择 StartTime 行,然后从菜单中选择修改字段
  5. 映射目标字段:StartTime 对话框中,设置以下字段:
    • 已提取:选择 \_source\_@timestamp,该字段来自 ELK 堆栈。
    • 转换函数:选择 FROM_CUSTOM_DATETIME
    • 输入参数:输入 YYYY-MM-DDTHH:MM:SS:zzzZ
  6. 映射目标字段:EndTime 对话框中,设置以下字段:
    • 提取的字段:选择 \_source\_@timestamp,该字段来自 ELK 堆栈。
    • 转换函数:选择 FROM_CUSTOM_DATETIME
    • 输入参数:输入 YYYY-MM-DDTHH:MM:SS:zzzZ 可将时间格式泛化。
  7. 点击保存

现在,Elasticsearch 时间戳字段会转换为标准化的时间和日期字段。

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。