對應 Elasticsearch 的日期和時間欄位

支援的國家/地區:

設定整合功能後,您必須將整合功能的欄位對應至 Google Security Operations 欄位,才能在平台上準確顯示資訊。具體來說,本文說明如何為 Elasticsearch 連接器對應自訂日期和時間。

設定 Elasticsearch 連接器時,您必須轉換或對應自訂日期和時間欄位 (例如 \_source\_@timestamps),才能對應至 Google SecOps 案件的 startTimeendTime

  1. 依序前往「SOAR 設定」>「本體」>「本體狀態」
  2. 在 Elasticsearch 連接器同一列中,依序點選「設定」 「設定」。
  3. 在「事件設定」頁面中,選取「對應」
  4. 在「系統欄位」下方,選取「開始時間」列,然後從選單中選擇「編輯欄位」
  5. 在「對應目標欄位:StartTime」對話方塊中,設定下列欄位:
    • 已擷取:選取 \_source\_@timestamp,這是來自 ELK 堆疊的資料。
    • 轉換函式:選取「FROM_CUSTOM_DATETIME」
    • 輸入參數:輸入 YYYY-MM-DDTHH:MM:SS:zzzZ
  6. 在「對應目標欄位:EndTime」對話方塊中,設定下列欄位:
    • 擷取的欄位:選取 \_source\_@timestamp,這是 ELK 堆疊中的欄位。
    • 轉換函式:選取「FROM_CUSTOM_DATETIME」
    • 輸入參數:輸入 YYYY-MM-DDTHH:MM:SS:zzzZ,將時間格式一般化。
  7. 按一下 [儲存]

Elasticsearch 時間戳記欄位現在會轉換為標準時間和日期欄位。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。