Recoger registros de Abnormal Security
Disponible en:
SecOps de Google
SIEM
En este documento se explica cómo ingerir registros de Abnormal Security en Google Security Operations. El analizador gestiona los registros de correo en formato JSON y Syslog. Primero intenta procesar la entrada como JSON y, si no lo consigue, usa patrones Grok para extraer datos del formato Syslog. Los campos extraídos se asignan al modelo de datos unificado (UDM), lo que enriquece los datos con contexto de seguridad relevante y estandariza el formato para su posterior análisis.
Antes de empezar
Asegúrate de que cumples los siguientes requisitos previos:
- Una instancia de Google SecOps.
- Acceso privilegiado a Abnormal Security.
Obtener el ID de cliente de Google SecOps
- Inicia sesión en la consola de Google SecOps.
- Ve a Configuración de SIEM > Perfil.
- Copia y guarda el ID de cliente de la sección Detalles de la organización.
Obtener el archivo de autenticación de ingestión de Google SecOps
- Inicia sesión en la consola de Google SecOps.
- Ve a Configuración de SIEM > Agentes de recogida.
- Descarga el archivo de autenticación de ingestión.
Configurar Abnormal Security para enviar registros a Google SecOps
- Inicia sesión en la interfaz web de Abnormal Security.
- Haz clic en Configuración > Integraciones.
- Busca el icono de Google Chronicle y haz clic en Conectar.
- Introduce tu ID de cliente de Google SecOps.
- Introduce la dirección del endpoint de tu instancia de Google SecOps.
- Canadá: https://northamerica-northeast2-malachiteingestion-pa.googleapis.com
- Dammam https://me-central2-malachiteingestion-pa.googleapis.com
- Multirregión de Europa: https://europe-malachiteingestion-pa.googleapis.com
- Fráncfort: https://europe-west3-malachiteingestion-pa.googleapis.com
- Londres: https://europe-west2-malachiteingestion-pa.googleapis.com
- Bombay: https://asia-south1-malachiteingestion-pa.googleapis.com
- Singapur: https://asia-southeast1-malachiteingestion-pa.googleapis.com
- Sídney: https://australia-southeast1-malachiteingestion-pa.googleapis.com
- Tel Aviv: https://me-west1-malachiteingestion-pa.googleapis.com
- Tokio: https://asia-northeast1-malachiteingestion-pa.googleapis.com
- Multirregión de Estados Unidos: https://malachiteingestion-pa.googleapis.com
- Zúrich: https://europe-west6-malachiteingestion-pa.googleapis.com
- Sube el archivo de autenticación de ingestión que has descargado antes como cuenta de servicio de Google.
- Haz clic en Guardar > Confirmar.
Tabla de asignación de UDM
| Campo de registro | Asignación de UDM | Lógica |
|---|---|---|
| attachmentCount | additional.fields.attachmentCount.value.number_value | Asignado directamente |
| attachmentNames | additional.fields.attachmentNames.value | Concatenados en una cadena separada por comas |
| attackStrategy | security_result.detection_fields.attackStrategy.value | Asignado directamente |
| attackType | security_result.threat_name | Asignado directamente |
| attackVector | security_result.detection_fields.attackVector.value | Asignado directamente |
| attackedParty | security_result.detection_fields.attackedParty.value | Asignado directamente |
| autoRemediated | No se ha asignado al objeto IDM | |
| ccEmails | network.email.cc | Cada dirección de correo se extrae y se añade a la matriz. |
| fromAddress | network.email.from | La dirección de correo se extrae y se asigna directamente |
| fromName | principal.user.user_display_name | Asignado directamente |
| impersonatedParty | security_result.detection_fields.impersonatedParty.value | Asignado directamente |
| internetMessageId | additional.fields.internetMessageId.value.string_value | Asignado directamente |
| isRead | additional.fields.isRead.value.bool_value | Asignado directamente |
| postRemediated | additional.fields.postRemediated.value.bool_value | Asignado directamente |
| receivedTime | additional.fields.mailReceivedTime.value.string_value | Asignado directamente |
| remediationStatus | additional.fields.remediationStatus.value.string_value | Asignado directamente |
| remediationTimestamp | additional.fields.mailRemediationTimestamp.value.string_value | Asignado directamente |
| replyToEmails | network.email.reply_to | La primera dirección de correo se extrae y se asigna directamente. |
| returnPath | additional.fields.returnPath.value.string_value | Asignado directamente |
| senderDomain | principal.administrative_domain | Asignado directamente |
| senderIpAddress | principal.ip, principal.asset.ip | La dirección IP se extrae y se asigna a ambos campos |
| sentTime | additional.fields.mailSentTime.value.string_value | Asignado directamente |
| subject | network.email.subject | Asignado directamente |
| summaryInsights | security_result.summary | Concatenados en una cadena separada por comas |
| threatId | security_result.threat_id | Asignado directamente |
| toAddresses | network.email.to | Cada dirección de correo se extrae y se añade a la matriz. |
| urlCount | additional.fields.urlCount.value.number_value | Asignado directamente |
| URLs | additional.fields.detectedUrls.value | Concatenados en una cadena separada por comas |
| additional.fields.campaign_id.value.string_value | Se asigna desde event_data.abx_body.campaign_id si está presente. | |
| additional.fields.trace_id.value.string_value | Se asigna desde event_data.abx_metadata.trace_id si está presente. | |
| additional.fields.messageReportedTime.value.string_value | Se asigna desde event_data.abx_body.message_reported_time si está presente. | |
| metadata.event_type | Se le asigna el valor EMAIL_TRANSACTION si hay una matriz de mensajes. De lo contrario, se determina en función de otros campos y puede ser USER_LOGIN, STATUS_UPDATE o GENERIC_EVENT. |
|
| metadata.product_name | Siempre se establece en ABNORMAL_SECURITY |
|
| metadata.vendor_name | Siempre se establece en ABNORMAL_SECURITY |
|
| metadata.product_event_type | Se asigna desde event_data.abx_metadata.event_type si está presente. | |
| extensions.auth.type | Se define como AUTHTYPE_UNSPECIFIED si event_type es USER_LOGIN. |
|
| security_result.category | Se asigna el valor MAIL_SPAM y MAIL_PHISHING si la matriz de mensajes está presente. De lo contrario, se asigna el valor MAIL_PHISHING o MAIL_SPAM en función de otros campos. |
|
| security_result.category_details | Se define como ABUSE_MAILBOX si abx_metadata.event_type es ABUSE_MAILBOX. De lo contrario, se define como login si abx_body.category es login. |
|
| security_result.detection_fields.reported.value | Se asigna desde event_data.abx_body.reported si está presente. | |
| security_result.detection_fields.judgement.value | Se asigna desde event_data.abx_body.judgement si está presente. | |
| target.url | Asignado desde event_data.abx_body.details.request_url si está presente | |
| target.user.userid | Se asigna desde event_data.abx_body.user.email si está presente. | |
| target.user.email_addresses | Se asigna desde event_data.abx_body.user.email si está presente. |
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.