Collecter les journaux Abnormal Security
Compatible avec :
Google SecOps
SIEM
Ce document explique comment ingérer les journaux Abnormal Security dans Google Security Operations. L'analyseur gère les journaux d'e-mails aux formats JSON et Syslog. Il tente d'abord de traiter l'entrée au format JSON. Si cela ne fonctionne pas, il utilise des modèles Grok pour extraire les données du format Syslog. Les champs extraits sont ensuite mappés au modèle de données unifié (UDM), ce qui enrichit les données avec un contexte de sécurité pertinent et standardise le format pour une analyse plus approfondie.
Avant de commencer
Assurez-vous de remplir les conditions préalables suivantes :
- Instance Google SecOps
- Accès privilégié à Abnormal Security
Obtenir l'ID client Google SecOps
- Connectez-vous à la console Google SecOps.
- Accédez à Paramètres SIEM> Profil.
- Copiez et enregistrez le numéro client de la section Informations sur l'organisation.
Obtenir le fichier d'authentification d'ingestion Google SecOps
- Connectez-vous à la console Google SecOps.
- Accédez à Paramètres du SIEM > Agents de collecte.
- Téléchargez le fichier d'authentification d'ingestion. Enregistrez le fichier de manière sécurisée sur le système sur lequel Bindplane sera installé.
Configurer Abnormal Security pour envoyer des journaux à Google SecOps
- Connectez-vous à l'interface utilisateur Web Abnormal Security.
- Cliquez sur Paramètres > Intégrations.
- Recherchez l'icône Google Chronicle, puis cliquez sur Connect (Associer).
- Saisissez votre numéro client Google SecOps.
Saisissez l'adresse du point de terminaison de votre instance Google SecOps :
- Canada : https://northamerica-northeast2-malachiteingestion-pa.googleapis.com
- Dammam : https://me-central2-malachiteingestion-pa.googleapis.com
- Europe (multirégion) : https://europe-malachiteingestion-pa.googleapis.com
- Francfort : https://europe-west3-malachiteingestion-pa.googleapis.com
- Londres : https://europe-west2-malachiteingestion-pa.googleapis.com
- Mumbai : https://asia-south1-malachiteingestion-pa.googleapis.com
- Singapour : https://asia-southeast1-malachiteingestion-pa.googleapis.com
- Sydney : https://australia-southeast1-malachiteingestion-pa.googleapis.com
- Tel-Aviv : https://me-west1-malachiteingestion-pa.googleapis.com
- Tokyo : https://asia-northeast1-malachiteingestion-pa.googleapis.com
- Multirégion États-Unis : https://malachiteingestion-pa.googleapis.com
- Zurich : https://europe-west6-malachiteingestion-pa.googleapis.com
Importez la clé du compte de service Google.
Cliquez sur Enregistrer > Confirmer.
Table de mappage UDM
| Champ du journal | Mappage UDM | Logique |
|---|---|---|
| attachmentCount | additional.fields.attachmentCount.value.number_value | Mappé directement |
| attachmentNames | additional.fields.attachmentNames.value | Concaténées dans une chaîne séparée par des virgules |
| attackStrategy | security_result.detection_fields.attackStrategy.value | Mappé directement |
| attackType | security_result.threat_name | Mappé directement |
| attackVector | security_result.detection_fields.attackVector.value | Mappé directement |
| attackedParty | security_result.detection_fields.attackedParty.value | Mappé directement |
| autoRemediated | Non mappé à l'objet IDM | |
| ccEmails | network.email.cc | Chaque adresse e-mail est extraite et ajoutée au tableau. |
| fromAddress | network.email.from | L'adresse e-mail est extraite et mappée directement. |
| fromName | principal.user.user_display_name | Mappé directement |
| impersonatedParty | security_result.detection_fields.impersonatedParty.value | Mappé directement |
| internetMessageId | additional.fields.internetMessageId.value.string_value | Mappé directement |
| isRead | additional.fields.isRead.value.bool_value | Mappé directement |
| postRemediated | additional.fields.postRemediated.value.bool_value | Mappé directement |
| receivedTime | additional.fields.mailReceivedTime.value.string_value | Mappé directement |
| remediationStatus | additional.fields.remediationStatus.value.string_value | Mappé directement |
| remediationTimestamp | additional.fields.mailRemediationTimestamp.value.string_value | Mappé directement |
| replyToEmails | network.email.reply_to | La première adresse e-mail est extraite et mappée directement. |
| returnPath | additional.fields.returnPath.value.string_value | Mappé directement |
| senderDomain | principal.administrative_domain | Mappé directement |
| senderIpAddress | principal.ip, principal.asset.ip | L'adresse IP est extraite et mappée aux deux champs |
| sentTime | additional.fields.mailSentTime.value.string_value | Mappé directement |
| subject | network.email.subject | Mappé directement |
| summaryInsights | security_result.summary | Concaténées dans une chaîne séparée par des virgules |
| threatId | security_result.threat_id | Mappé directement |
| toAddresses | network.email.to | Chaque adresse e-mail est extraite et ajoutée au tableau. |
| urlCount | additional.fields.urlCount.value.number_value | Mappé directement |
| URL | additional.fields.detectedUrls.value | Concaténées dans une chaîne séparée par des virgules |
| additional.fields.campaign_id.value.string_value | Mappé à partir de event_data.abx_body.campaign_id, le cas échéant | |
| additional.fields.trace_id.value.string_value | Mappé à partir de event_data.abx_metadata.trace_id, le cas échéant | |
| additional.fields.messageReportedTime.value.string_value | Mappé à partir de event_data.abx_body.message_reported_time, le cas échéant | |
| metadata.event_type | Défini sur EMAIL_TRANSACTION si le tableau de messages est présent, sinon déterminé en fonction d'autres champs et peut être USER_LOGIN, STATUS_UPDATE ou GENERIC_EVENT |
|
| metadata.product_name | Toujours défini sur ABNORMAL_SECURITY |
|
| metadata.vendor_name | Toujours défini sur ABNORMAL_SECURITY |
|
| metadata.product_event_type | Mappé à partir de event_data.abx_metadata.event_type, le cas échéant | |
| extensions.auth.type | Définissez sur AUTHTYPE_UNSPECIFIED si event_type est USER_LOGIN. |
|
| security_result.category | Définissez sur MAIL_SPAM et MAIL_PHISHING si le tableau de messages est présent, sinon définissez sur MAIL_PHISHING et/ou MAIL_SPAM en fonction des autres champs. |
|
| security_result.category_details | Définie sur ABUSE_MAILBOX si abx_metadata.event_type est ABUSE_MAILBOX, sinon définie sur login si abx_body.category est login |
|
| security_result.detection_fields.reported.value | Mappé à partir de event_data.abx_body.reported, le cas échéant | |
| security_result.detection_fields.judgement.value | Mappé à partir de event_data.abx_body.judgement, le cas échéant | |
| target.url | Mappé à partir de event_data.abx_body.details.request_url, le cas échéant | |
| target.user.userid | Mappé à partir de event_data.abx_body.user.email, le cas échéant | |
| target.user.email_addresses | Mappé à partir de event_data.abx_body.user.email, le cas échéant |
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.