Abnormal-Sicherheitslogs erfassen
Unterstützt in:
Google SecOps
SIEM
In diesem Dokument wird beschrieben, wie Sie Abnormal Security-Logs in Google Security Operations aufnehmen. Der Parser verarbeitet E-Mail-Logs sowohl im JSON- als auch im Syslog-Format. Zuerst wird versucht, die Eingabe als JSON zu verarbeiten. Wenn das nicht gelingt, werden Grok-Muster verwendet, um Daten aus dem Syslog-Format zu extrahieren. Die extrahierten Felder werden dann dem Unified Data Model (UDM) zugeordnet, wodurch die Daten mit relevantem Sicherheitskontext angereichert und das Format für die weitere Analyse standardisiert wird.
Hinweise
Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:
- Google SecOps-Instanz
- Privilegierter Zugriff auf Abnormal Security
Google SecOps-Kundennummer abrufen
- Melden Sie sich in der Google SecOps-Konsole an.
- Rufen Sie die SIEM-Einstellungen > „Profil“ auf.
- Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.
Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen
- Melden Sie sich in der Google SecOps-Konsole an.
- Rufen Sie SIEM-Einstellungen > Collection Agents auf.
- Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.
Abnormal Security so konfigurieren, dass Logs an Google SecOps gesendet werden
- Melden Sie sich in der Abnormal Security-Web-UI an.
- Klicken Sie auf Einstellungen > Integrationen.
- Suchen Sie das Symbol für Google Chronicle und klicken Sie auf Verbinden.
- Geben Sie Ihre Google SecOps-Kundennummer ein.
Geben Sie die Endpunktadresse Ihrer Google SecOps-Instanz ein:
- Kanada: https://northamerica-northeast2-malachiteingestion-pa.googleapis.com
- Dammam: https://me-central2-malachiteingestion-pa.googleapis.com
- Europa, mehrere Regionen: https://europe-malachiteingestion-pa.googleapis.com
- Frankfurt: https://europe-west3-malachiteingestion-pa.googleapis.com
- London: https://europe-west2-malachiteingestion-pa.googleapis.com
- Mumbai: https://asia-south1-malachiteingestion-pa.googleapis.com
- Singapur: https://asia-southeast1-malachiteingestion-pa.googleapis.com
- Sydney: https://australia-southeast1-malachiteingestion-pa.googleapis.com
- Tel Aviv: https://me-west1-malachiteingestion-pa.googleapis.com
- Tokio: https://asia-northeast1-malachiteingestion-pa.googleapis.com
- USA (mehrere Regionen): https://malachiteingestion-pa.googleapis.com
- Zürich: https://europe-west6-malachiteingestion-pa.googleapis.com
Laden Sie den Google-Dienstkontoschlüssel hoch.
Klicken Sie auf Speichern> Bestätigen.
UDM-Zuordnungstabelle
| Logfeld | UDM-Zuordnung | Logik |
|---|---|---|
| attachmentCount | additional.fields.attachmentCount.value.number_value | Direkt zugeordnet |
| attachmentNames | additional.fields.attachmentNames.value | Verkettet zu einem durch Kommas getrennten String |
| attackStrategy | security_result.detection_fields.attackStrategy.value | Direkt zugeordnet |
| attackType | security_result.threat_name | Direkt zugeordnet |
| attackVector | security_result.detection_fields.attackVector.value | Direkt zugeordnet |
| attackedParty | security_result.detection_fields.attackedParty.value | Direkt zugeordnet |
| autoRemediated | Nicht dem IDM-Objekt zugeordnet | |
| ccEmails | network.email.cc | Jede E‑Mail-Adresse wird extrahiert und dem Array hinzugefügt. |
| fromAddress | network.email.from | E‑Mail-Adresse wird extrahiert und direkt zugeordnet |
| fromName | principal.user.user_display_name | Direkt zugeordnet |
| impersonatedParty | security_result.detection_fields.impersonatedParty.value | Direkt zugeordnet |
| internetMessageId | additional.fields.internetMessageId.value.string_value | Direkt zugeordnet |
| isRead | additional.fields.isRead.value.bool_value | Direkt zugeordnet |
| postRemediated | additional.fields.postRemediated.value.bool_value | Direkt zugeordnet |
| receivedTime | additional.fields.mailReceivedTime.value.string_value | Direkt zugeordnet |
| remediationStatus | additional.fields.remediationStatus.value.string_value | Direkt zugeordnet |
| remediationTimestamp | additional.fields.mailRemediationTimestamp.value.string_value | Direkt zugeordnet |
| replyToEmails | network.email.reply_to | Die erste E-Mail-Adresse wird extrahiert und direkt zugeordnet. |
| returnPath | additional.fields.returnPath.value.string_value | Direkt zugeordnet |
| senderDomain | principal.administrative_domain | Direkt zugeordnet |
| senderIpAddress | principal.ip, principal.asset.ip | Die IP-Adresse wird extrahiert und beiden Feldern zugeordnet. |
| sentTime | additional.fields.mailSentTime.value.string_value | Direkt zugeordnet |
| subject | network.email.subject | Direkt zugeordnet |
| summaryInsights | security_result.summary | Verkettet zu einem durch Kommas getrennten String |
| threatId | security_result.threat_id | Direkt zugeordnet |
| toAddresses | network.email.to | Jede E‑Mail-Adresse wird extrahiert und dem Array hinzugefügt. |
| urlCount | additional.fields.urlCount.value.number_value | Direkt zugeordnet |
| URLs | additional.fields.detectedUrls.value | Verkettet zu einem durch Kommas getrennten String |
| additional.fields.campaign_id.value.string_value | Wird aus event_data.abx_body.campaign_id zugeordnet, falls vorhanden | |
| additional.fields.trace_id.value.string_value | Wird aus event_data.abx_metadata.trace_id zugeordnet, sofern vorhanden | |
| additional.fields.messageReportedTime.value.string_value | Wird aus „event_data.abx_body.message_reported_time“ zugeordnet, falls vorhanden. | |
| metadata.event_type | Auf EMAIL_TRANSACTION festgelegt, wenn das Nachrichtenarray vorhanden ist. Andernfalls wird der Wert anhand anderer Felder bestimmt und kann USER_LOGIN, STATUS_UPDATE oder GENERIC_EVENT sein. |
|
| metadata.product_name | Immer auf ABNORMAL_SECURITY festgelegt |
|
| metadata.vendor_name | Immer auf ABNORMAL_SECURITY festgelegt |
|
| metadata.product_event_type | Wird aus „event_data.abx_metadata.event_type“ zugeordnet, sofern vorhanden | |
| extensions.auth.type | Wird auf AUTHTYPE_UNSPECIFIED gesetzt, wenn „event_type“ USER_LOGIN ist. |
|
| security_result.category | Auf MAIL_SPAM und MAIL_PHISHING festgelegt, wenn das Nachrichtenarray vorhanden ist. Andernfalls wird es basierend auf anderen Feldern auf MAIL_PHISHING und/oder MAIL_SPAM festgelegt. |
|
| security_result.category_details | Wird auf ABUSE_MAILBOX gesetzt, wenn abx_metadata.event_type ABUSE_MAILBOX ist. Andernfalls wird es auf login gesetzt, wenn abx_body.category login ist. |
|
| security_result.detection_fields.reported.value | Wird aus „event_data.abx_body.reported“ zugeordnet, falls vorhanden | |
| security_result.detection_fields.judgement.value | Wird aus „event_data.abx_body.judgement“ zugeordnet, falls vorhanden | |
| target.url | Wird aus „event_data.abx_body.details.request_url“ zugeordnet, sofern vorhanden. | |
| target.user.userid | Wird aus „event_data.abx_body.user.email“ zugeordnet, sofern vorhanden | |
| target.user.email_addresses | Wird aus „event_data.abx_body.user.email“ zugeordnet, sofern vorhanden |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten