Raccogliere i log di Abnormal Security
Supportato in:
Google secops
SIEM
Questo documento spiega come importare i log di Abnormal Security in Google Security Operations. Il parser gestisce i log delle email in formato JSON e Syslog. Tenta innanzitutto di elaborare l'input come JSON e, se non riesce, utilizza i pattern Grok per estrarre i dati dal formato Syslog. I campi estratti vengono poi mappati al modello Unified Data Model (UDM), arricchendo i dati con contesto di sicurezza pertinente e standardizzando il formato per ulteriori analisi.
Prima di iniziare
Assicurati di soddisfare i seguenti prerequisiti:
- Istanza Google SecOps
- Accesso privilegiato ad Abnormal Security
Recuperare l'ID cliente Google SecOps
- Accedi alla console Google SecOps.
- Vai a Impostazioni SIEM > Profilo.
- Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.
Recuperare il file di autenticazione importazione di Google SecOps
- Accedi alla console Google SecOps.
- Vai a Impostazioni SIEM > Agenti di raccolta.
- Scarica il file di autenticazione importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.
Configurare Abnormal Security per inviare i log a Google SecOps
- Accedi all'interfaccia utente web di Abnormal Security.
- Fai clic su Impostazioni > Integrazioni.
- Trova l'icona Google Chronicle e fai clic su Connetti.
- Inserisci il tuo ID cliente Google SecOps.
Inserisci l'indirizzo dell'endpoint dell'istanza Google SecOps:
- Canada: https://northamerica-northeast2-malachiteingestion-pa.googleapis.com
- Dammam: https://me-central2-malachiteingestion-pa.googleapis.com
- Europa multiregionale: https://europe-malachiteingestion-pa.googleapis.com
- Francoforte: https://europe-west3-malachiteingestion-pa.googleapis.com
- Londra: https://europe-west2-malachiteingestion-pa.googleapis.com
- Mumbai: https://asia-south1-malachiteingestion-pa.googleapis.com
- Singapore: https://asia-southeast1-malachiteingestion-pa.googleapis.com
- Sydney: https://australia-southeast1-malachiteingestion-pa.googleapis.com
- Tel Aviv: https://me-west1-malachiteingestion-pa.googleapis.com
- Tokyo: https://asia-northeast1-malachiteingestion-pa.googleapis.com
- Multi-Region Stati Uniti: https://malachiteingestion-pa.googleapis.com
- Zurigo: https://europe-west6-malachiteingestion-pa.googleapis.com
Carica la chiave del service account Google.
Fai clic su Salva > Conferma.
Tabella di mappatura UDM
| Campo log | Mappatura UDM | Logic |
|---|---|---|
| attachmentCount | additional.fields.attachmentCount.value.number_value | Mappato direttamente |
| attachmentNames | additional.fields.attachmentNames.value | Concatenati in una stringa separata da virgole |
| attackStrategy | security_result.detection_fields.attackStrategy.value | Mappato direttamente |
| attackType | security_result.threat_name | Mappato direttamente |
| attackVector | security_result.detection_fields.attackVector.value | Mappato direttamente |
| attackedParty | security_result.detection_fields.attackedParty.value | Mappato direttamente |
| autoRemediated | Non mappato all'oggetto IDM | |
| ccEmails | network.email.cc | Ogni indirizzo email viene estratto e aggiunto all'array |
| fromAddress | network.email.from | L'indirizzo email viene estratto e mappato direttamente |
| fromName | principal.user.user_display_name | Mappato direttamente |
| impersonatedParty | security_result.detection_fields.impersonatedParty.value | Mappato direttamente |
| internetMessageId | additional.fields.internetMessageId.value.string_value | Mappato direttamente |
| isRead | additional.fields.isRead.value.bool_value | Mappato direttamente |
| postRemediated | additional.fields.postRemediated.value.bool_value | Mappato direttamente |
| receivedTime | additional.fields.mailReceivedTime.value.string_value | Mappato direttamente |
| remediationStatus | additional.fields.remediationStatus.value.string_value | Mappato direttamente |
| remediationTimestamp | additional.fields.mailRemediationTimestamp.value.string_value | Mappato direttamente |
| replyToEmails | network.email.reply_to | Il primo indirizzo email viene estratto e mappato direttamente |
| returnPath | additional.fields.returnPath.value.string_value | Mappato direttamente |
| senderDomain | principal.administrative_domain | Mappato direttamente |
| senderIpAddress | principal.ip, principal.asset.ip | L'indirizzo IP viene estratto e mappato in entrambi i campi |
| sentTime | additional.fields.mailSentTime.value.string_value | Mappato direttamente |
| subject | network.email.subject | Mappato direttamente |
| summaryInsights | security_result.summary | Concatenati in una stringa separata da virgole |
| threatId | security_result.threat_id | Mappato direttamente |
| toAddresses | network.email.to | Ogni indirizzo email viene estratto e aggiunto all'array |
| urlCount | additional.fields.urlCount.value.number_value | Mappato direttamente |
| URL | additional.fields.detectedUrls.value | Concatenati in una stringa separata da virgole |
| additional.fields.campaign_id.value.string_value | Mappato da event_data.abx_body.campaign_id, se presente | |
| additional.fields.trace_id.value.string_value | Mappato da event_data.abx_metadata.trace_id, se presente | |
| additional.fields.messageReportedTime.value.string_value | Mappato da event_data.abx_body.message_reported_time, se presente | |
| metadata.event_type | Impostato su EMAIL_TRANSACTION se è presente l'array di messaggi, altrimenti determinato in base ad altri campi e può essere USER_LOGIN, STATUS_UPDATE o GENERIC_EVENT |
|
| metadata.product_name | Sempre impostato su ABNORMAL_SECURITY |
|
| metadata.vendor_name | Sempre impostato su ABNORMAL_SECURITY |
|
| metadata.product_event_type | Mappato da event_data.abx_metadata.event_type, se presente | |
| extensions.auth.type | Impostato su AUTHTYPE_UNSPECIFIED se event_type è USER_LOGIN |
|
| security_result.category | Imposta su MAIL_SPAM e MAIL_PHISHING se è presente l'array di messaggi, altrimenti imposta su MAIL_PHISHING e/o MAIL_SPAM in base ad altri campi |
|
| security_result.category_details | Imposta su ABUSE_MAILBOX se abx_metadata.event_type è ABUSE_MAILBOX, altrimenti imposta su login se abx_body.category è login |
|
| security_result.detection_fields.reported.value | Mappato da event_data.abx_body.reported se presente | |
| security_result.detection_fields.judgement.value | Mappato da event_data.abx_body.judgement, se presente | |
| target.url | Mappato da event_data.abx_body.details.request_url, se presente | |
| target.user.userid | Mappato da event_data.abx_body.user.email, se presente | |
| target.user.email_addresses | Mappato da event_data.abx_body.user.email, se presente |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.