Sentinel 上的 Darktrace 分析规则

Darktrace analytics rules on Sentinel

提问人:MKH_Cerbebrus 提问时间:8/9/2023 最后编辑:MKH_Cerbebrus 更新时间:8/9/2023 访问量:39

问:

我正在尝试在 Sentinel 上为 Darktrace 自定义和创建工作簿。我正在使用数据类型darktrace_model_alerts_CL。 对于 AI Analyst 事件类型,我使用以下 KQL 查询。

darktrace_model_alerts_CL
| where dtProduct_s =="AI Analyst"
| project-rename  EventStartTime=breachTime_s, DtCurrentGroup=uuid_g, 
ThreatCategory=dtProduct_s, ThreatRiskLevel=score_d, SrcHostname=hostname_s,SrcIpAddr=deviceIP_s, DtURL=url_s, 
 DtSummary=description_s, DtGroupCategory=Category, 
 DtSrcDeviceIP=SourceIP,DtGroupByActivity=groupByActivity_b, 
DtSummaryFirstSentence=summaryFirstSentence_s,  DtNewEvent=newEvent_b, 
DtCGLegacy=currentGroup_s, DtGroupPreviousGroups=groupPreviousGroups_s, DtTime=time_s, 
DtSeverity=Severity, DtLongitude=longitude_d, DtLatitude=latitude_d  
| extend EventVendor = "Darktrace", EventProduct = "Darktrace DETECT", DtSentinelCategory=DtGroupCategory
| extend DtSentinelCategory = case (DtGroupCategory == "compliance", "Low", 
                                DtGroupCategory == "suspicious", "Medium",
                                "High") //compliance -> low, suspcious -> medium, critical -> high

然而,我收到与暗迹列名称相关的错误,例如

project-rename:无法解析列引用“startTime_s”。

如何找到 Darktrace 的正确列名,以便在查询中替换它们?

谢谢

监测 哨点

评论

答: 暂无答案

上一个:使用 Redis Sentinel 时遇到“failover-abort-slave-timeout”错误

下一个:NativeSession::startSession 在 laravel 中花费更多时间 - Sentinel