Mengumpulkan log Abnormal Security
Didukung di:
Google SecOps
SIEM
Dokumen ini menjelaskan cara menyerap log Abnormal Security ke Google Security Operations. Parser menangani log email dalam format JSON dan Syslog. Pertama-tama, ia akan mencoba memproses input sebagai JSON, dan jika gagal, ia akan menggunakan pola Grok untuk mengekstrak data dari format Syslog. Kolom yang diekstrak kemudian dipetakan ke Model Data Terpadu (UDM), yang memperkaya data dengan konteks keamanan yang relevan dan menstandardisasi format untuk analisis lebih lanjut.
Sebelum memulai
Pastikan Anda memenuhi prasyarat berikut:
- Instance Google SecOps.
- Akses istimewa ke Abnormal Security.
Mendapatkan ID pelanggan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Profil.
- Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.
Mendapatkan file autentikasi penyerapan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Agen Pengumpulan.
- Download File Autentikasi Penyerapan.
Mengonfigurasi Abnormal Security untuk mengirim log ke Google SecOps
- Login ke UI Web Abnormal Security.
- Klik Setelan > Integrasi.
- Temukan ikon Google Chronicle, lalu klik Hubungkan.
- Masukkan ID Pelanggan Google SecOps Anda.
- Masukkan alamat Endpoint instance Google SecOps Anda.
- Kanada: https://northamerica-northeast2-malachiteingestion-pa.googleapis.com
- Dammam: https://me-central2-malachiteingestion-pa.googleapis.com
- Multi-Region Eropa: https://europe-malachiteingestion-pa.googleapis.com
- Frankfurt: https://europe-west3-malachiteingestion-pa.googleapis.com
- London: https://europe-west2-malachiteingestion-pa.googleapis.com
- Mumbai: https://asia-south1-malachiteingestion-pa.googleapis.com
- Singapura: https://asia-southeast1-malachiteingestion-pa.googleapis.com
- Sydney: https://australia-southeast1-malachiteingestion-pa.googleapis.com
- Tel Aviv: https://me-west1-malachiteingestion-pa.googleapis.com
- Tokyo: https://asia-northeast1-malachiteingestion-pa.googleapis.com
- Multi-Region Amerika Serikat: https://malachiteingestion-pa.googleapis.com
- Zurich: https://europe-west6-malachiteingestion-pa.googleapis.com
- Upload File Autentikasi Penyerapan yang didownload sebelumnya sebagai Akun Layanan Google.
- Klik Simpan > Konfirmasi.
Tabel pemetaan UDM
| Kolom log | Pemetaan UDM | Logika |
|---|---|---|
| attachmentCount | additional.fields.attachmentCount.value.number_value | Dipetakan secara langsung |
| attachmentNames | additional.fields.attachmentNames.value | Digabungkan menjadi string yang dipisahkan koma |
| attackStrategy | security_result.detection_fields.attackStrategy.value | Dipetakan secara langsung |
| attackType | security_result.threat_name | Dipetakan secara langsung |
| attackVector | security_result.detection_fields.attackVector.value | Dipetakan secara langsung |
| attackedParty | security_result.detection_fields.attackedParty.value | Dipetakan secara langsung |
| autoRemediated | Tidak dipetakan ke objek IDM | |
| ccEmails | network.email.cc | Setiap alamat email diekstrak dan ditambahkan ke array |
| fromAddress | network.email.from | Alamat email diekstrak dan dipetakan secara langsung |
| fromName | principal.user.user_display_name | Dipetakan secara langsung |
| impersonatedParty | security_result.detection_fields.impersonatedParty.value | Dipetakan secara langsung |
| internetMessageId | additional.fields.internetMessageId.value.string_value | Dipetakan secara langsung |
| isRead | additional.fields.isRead.value.bool_value | Dipetakan secara langsung |
| postRemediated | additional.fields.postRemediated.value.bool_value | Dipetakan secara langsung |
| receivedTime | additional.fields.mailReceivedTime.value.string_value | Dipetakan secara langsung |
| remediationStatus | additional.fields.remediationStatus.value.string_value | Dipetakan secara langsung |
| remediationTimestamp | additional.fields.mailRemediationTimestamp.value.string_value | Dipetakan secara langsung |
| replyToEmails | network.email.reply_to | Alamat email pertama diekstrak dan dipetakan secara langsung |
| returnPath | additional.fields.returnPath.value.string_value | Dipetakan secara langsung |
| senderDomain | principal.administrative_domain | Dipetakan secara langsung |
| senderIpAddress | principal.ip, principal.asset.ip | Alamat IP diekstrak dan dipetakan ke kedua kolom |
| sentTime | additional.fields.mailSentTime.value.string_value | Dipetakan secara langsung |
| subject | network.email.subject | Dipetakan secara langsung |
| summaryInsights | security_result.summary | Digabungkan menjadi string yang dipisahkan koma |
| threatId | security_result.threat_id | Dipetakan secara langsung |
| toAddresses | network.email.to | Setiap alamat email diekstrak dan ditambahkan ke array |
| urlCount | additional.fields.urlCount.value.number_value | Dipetakan secara langsung |
| URL | additional.fields.detectedUrls.value | Digabungkan menjadi string yang dipisahkan koma |
| additional.fields.campaign_id.value.string_value | Dipetakan dari event_data.abx_body.campaign_id jika ada | |
| additional.fields.trace_id.value.string_value | Dipetakan dari event_data.abx_metadata.trace_id jika ada | |
| additional.fields.messageReportedTime.value.string_value | Dipetakan dari event_data.abx_body.message_reported_time jika ada | |
| metadata.event_type | Disetel ke EMAIL_TRANSACTION jika array pesan ada, jika tidak, ditentukan berdasarkan kolom lain dan dapat berupa USER_LOGIN, STATUS_UPDATE, atau GENERIC_EVENT |
|
| metadata.product_name | Selalu ditetapkan ke ABNORMAL_SECURITY |
|
| metadata.vendor_name | Selalu ditetapkan ke ABNORMAL_SECURITY |
|
| metadata.product_event_type | Dipetakan dari event_data.abx_metadata.event_type jika ada | |
| extensions.auth.type | Disetel ke AUTHTYPE_UNSPECIFIED jika event_type adalah USER_LOGIN |
|
| security_result.category | Ditetapkan ke MAIL_SPAM dan MAIL_PHISHING jika array pesan ada, jika tidak, ditetapkan ke MAIL_PHISHING dan/atau MAIL_SPAM berdasarkan kolom lain |
|
| security_result.category_details | Tetapkan ke ABUSE_MAILBOX jika abx_metadata.event_type adalah ABUSE_MAILBOX, atau tetapkan ke login jika abx_body.category adalah login |
|
| security_result.detection_fields.reported.value | Dipetakan dari event_data.abx_body.reported jika ada | |
| security_result.detection_fields.judgement.value | Dipetakan dari event_data.abx_body.judgement jika ada | |
| target.url | Dipetakan dari event_data.abx_body.details.request_url jika ada | |
| target.user.userid | Dipetakan dari event_data.abx_body.user.email jika ada | |
| target.user.email_addresses | Dipetakan dari event_data.abx_body.user.email jika ada |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.