Recopila registros de Abnormal Security
Compatible con:
Google SecOps
SIEM
En este documento, se explica cómo transferir registros de Abnormal Security a Google Security Operations. El analizador controla los registros de correo electrónico en formatos JSON y Syslog. Primero, intenta procesar la entrada como JSON y, si no lo logra, usa patrones de Grok para extraer datos del formato Syslog. Luego, los campos extraídos se asignan al modelo de datos unificado (UDM), lo que enriquece los datos con contexto de seguridad pertinente y estandariza el formato para su posterior análisis.
Antes de comenzar
Asegúrate de cumplir con los siguientes requisitos previos:
- Instancia de Google SecOps
- Acceso con privilegios a Abnormal Security
Obtén el ID de cliente de Google SecOps
- Accede a la consola de Google SecOps.
- Ve a SIEM Settings > Profile.
- Copia y guarda el ID de cliente de la sección Detalles de la organización.
Obtén el archivo de autenticación de transferencia de Google SecOps
- Accede a la consola de Google SecOps.
- Ve a SIEM Settings > Collection Agents.
- Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará BindPlane.
Configura Abnormal Security para enviar registros a Google SecOps
- Accede a la IU web de Abnormal Security.
- Haz clic en Configuración > Integraciones.
- Busca el ícono de Google Chronicle y haz clic en Conectar.
- Ingresa tu ID de cliente de Google SecOps.
Ingresa la dirección del extremo de tu instancia de Google SecOps:
- Canadá: https://northamerica-northeast2-malachiteingestion-pa.googleapis.com
- Dammam: https://me-central2-malachiteingestion-pa.googleapis.com
- Multi-Region de Europa: https://europe-malachiteingestion-pa.googleapis.com
- Fráncfort: https://europe-west3-malachiteingestion-pa.googleapis.com
- Londres: https://europe-west2-malachiteingestion-pa.googleapis.com
- Mumbai: https://asia-south1-malachiteingestion-pa.googleapis.com
- Singapur: https://asia-southeast1-malachiteingestion-pa.googleapis.com
- Sydney: https://australia-southeast1-malachiteingestion-pa.googleapis.com
- Tel Aviv: https://me-west1-malachiteingestion-pa.googleapis.com
- Tokio: https://asia-northeast1-malachiteingestion-pa.googleapis.com
- Región múltiple de Estados Unidos: https://malachiteingestion-pa.googleapis.com
- Zúrich: https://europe-west6-malachiteingestion-pa.googleapis.com
Sube la clave de la cuenta de servicio de Google.
Haz clic en Guardar > Confirmar.
Tabla de asignación de UDM
| Campo de registro | Asignación de UDM | Lógica |
|---|---|---|
| attachmentCount | additional.fields.attachmentCount.value.number_value | Asignado directamente |
| attachmentNames | additional.fields.attachmentNames.value | Se concatenan en una cadena separada por comas. |
| attackStrategy | security_result.detection_fields.attackStrategy.value | Asignado directamente |
| attackType | security_result.threat_name | Asignado directamente |
| attackVector | security_result.detection_fields.attackVector.value | Asignado directamente |
| attackedParty | security_result.detection_fields.attackedParty.value | Asignado directamente |
| autoRemediated | No se asignó al objeto IDM | |
| ccEmails | network.email.cc | Cada dirección de correo electrónico se extrae y se agrega al array. |
| fromAddress | network.email.from | La dirección de correo electrónico se extrae y se asigna directamente |
| fromName | principal.user.user_display_name | Asignado directamente |
| impersonatedParty | security_result.detection_fields.impersonatedParty.value | Asignado directamente |
| internetMessageId | additional.fields.internetMessageId.value.string_value | Asignado directamente |
| isRead | additional.fields.isRead.value.bool_value | Asignado directamente |
| postRemediated | additional.fields.postRemediated.value.bool_value | Asignado directamente |
| receivedTime | additional.fields.mailReceivedTime.value.string_value | Asignado directamente |
| remediationStatus | additional.fields.remediationStatus.value.string_value | Asignado directamente |
| remediationTimestamp | additional.fields.mailRemediationTimestamp.value.string_value | Asignado directamente |
| replyToEmails | network.email.reply_to | La primera dirección de correo electrónico se extrae y se asigna directamente. |
| returnPath | additional.fields.returnPath.value.string_value | Asignado directamente |
| senderDomain | principal.administrative_domain | Asignado directamente |
| senderIpAddress | principal.ip, principal.asset.ip | La dirección IP se extrae y se asigna a ambos campos. |
| sentTime | additional.fields.mailSentTime.value.string_value | Asignado directamente |
| asunto | network.email.subject | Asignado directamente |
| summaryInsights | security_result.summary | Se concatenan en una cadena separada por comas. |
| threatId | security_result.threat_id | Asignado directamente |
| toAddresses | network.email.to | Cada dirección de correo electrónico se extrae y se agrega al array. |
| urlCount | additional.fields.urlCount.value.number_value | Asignado directamente |
| URL | additional.fields.detectedUrls.value | Se concatenan en una cadena separada por comas. |
| additional.fields.campaign_id.value.string_value | Se asigna desde event_data.abx_body.campaign_id si está presente. | |
| additional.fields.trace_id.value.string_value | Se asigna desde event_data.abx_metadata.trace_id si está presente. | |
| additional.fields.messageReportedTime.value.string_value | Se asigna desde event_data.abx_body.message_reported_time si está presente. | |
| metadata.event_type | Se establece en EMAIL_TRANSACTION si el array de mensajes está presente; de lo contrario, se determina en función de otros campos y puede ser USER_LOGIN, STATUS_UPDATE o GENERIC_EVENT. |
|
| metadata.product_name | Siempre se establece en ABNORMAL_SECURITY. |
|
| metadata.vendor_name | Siempre se establece en ABNORMAL_SECURITY. |
|
| metadata.product_event_type | Se asigna desde event_data.abx_metadata.event_type si está presente. | |
| extensions.auth.type | Se establece en AUTHTYPE_UNSPECIFIED si event_type es USER_LOGIN |
|
| security_result.category | Se establece en MAIL_SPAM y MAIL_PHISHING si el array de mensajes está presente; de lo contrario, se establece en MAIL_PHISHING o MAIL_SPAM según otros campos. |
|
| security_result.category_details | Se establece en ABUSE_MAILBOX si abx_metadata.event_type es ABUSE_MAILBOX; de lo contrario, se establece en login si abx_body.category es login. |
|
| security_result.detection_fields.reported.value | Se asigna desde event_data.abx_body.reported si está presente. | |
| security_result.detection_fields.judgement.value | Se asigna desde event_data.abx_body.judgement si está presente. | |
| target.url | Se asigna desde event_data.abx_body.details.request_url si está presente. | |
| target.user.userid | Se asigna desde event_data.abx_body.user.email si está presente. | |
| target.user.email_addresses | Se asigna desde event_data.abx_body.user.email si está presente. |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.