Abnormal Security のログを収集する
以下でサポートされています。
Google SecOps
SIEM
このドキュメントでは、Abnormal Security ログを Google Security Operations に取り込む方法について説明します。パーサーは、JSON 形式と Syslog 形式の両方のメールログを処理します。まず、入力を JSON として処理しようとします。失敗した場合は、Grok パターンを使用して Syslog 形式からデータを抽出します。抽出されたフィールドは、統合データモデル(UDM)にマッピングされ、関連するセキュリティ コンテキストでデータが拡充され、さらなる分析のために形式が標準化されます。
始める前に
次の前提条件を満たしていることを確認します。
- Google SecOps インスタンス
- Abnormal Security への特権アクセス
Google SecOps のお客様 ID を取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [プロファイル] に移動します。
- [組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。
Google SecOps の取り込み認証ファイルを取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [コレクション エージェント] に移動します。
- Ingestion Authentication File をダウンロードします。Bindplane をインストールするシステムにファイルを安全に保存します。
Google SecOps にログを送信するように Abnormal Security を構成する
- Abnormal Security ウェブ UI にログインします。
- [Settings> Integrations] をクリックします。
- [Google Chronicle] アイコンを見つけて、[接続] をクリックします。
- Google SecOps のお客様 ID を入力します。
Google SecOps インスタンスのエンドポイント アドレスを入力します。
- カナダ: https://northamerica-northeast2-malachiteingestion-pa.googleapis.com
- Dammam: https://me-central2-malachiteingestion-pa.googleapis.com
- ヨーロッパ(マルチリージョン): https://europe-malachiteingestion-pa.googleapis.com
- フランクフルト: https://europe-west3-malachiteingestion-pa.googleapis.com
- ロンドン: https://europe-west2-malachiteingestion-pa.googleapis.com
- ムンバイ: https://asia-south1-malachiteingestion-pa.googleapis.com
- シンガポール: https://asia-southeast1-malachiteingestion-pa.googleapis.com
- シドニー: https://australia-southeast1-malachiteingestion-pa.googleapis.com
- テルアビブ: https://me-west1-malachiteingestion-pa.googleapis.com
- 東京: https://asia-northeast1-malachiteingestion-pa.googleapis.com
- 米国マルチリージョン: https://malachiteingestion-pa.googleapis.com
- チューリッヒ: https://europe-west6-malachiteingestion-pa.googleapis.com
Google サービス アカウント キーをアップロードします。
[保存] > [確認] をクリックします。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | ロジック |
|---|---|---|
| attachmentCount | additional.fields.attachmentCount.value.number_value | 直接マッピングされます |
| attachmentNames | additional.fields.attachmentNames.value | カンマ区切りの文字列に連結 |
| attackStrategy | security_result.detection_fields.attackStrategy.value | 直接マッピングされます |
| attackType | security_result.threat_name | 直接マッピングされます |
| attackVector | security_result.detection_fields.attackVector.value | 直接マッピングされます |
| attackedParty | security_result.detection_fields.attackedParty.value | 直接マッピングされます |
| autoRemediated | IDM オブジェクトにマッピングされない | |
| ccEmails | network.email.cc | 各メールアドレスが抽出され、配列に追加されます。 |
| fromAddress | network.email.from | メールアドレスが抽出され、直接マッピングされます。 |
| fromName | principal.user.user_display_name | 直接マッピングされます |
| impersonatedParty | security_result.detection_fields.impersonatedParty.value | 直接マッピングされます |
| internetMessageId | additional.fields.internetMessageId.value.string_value | 直接マッピングされます |
| isRead | additional.fields.isRead.value.bool_value | 直接マッピングされます |
| postRemediated | additional.fields.postRemediated.value.bool_value | 直接マッピングされます |
| receivedTime | additional.fields.mailReceivedTime.value.string_value | 直接マッピングされます |
| remediationStatus | additional.fields.remediationStatus.value.string_value | 直接マッピングされます |
| remediationTimestamp | additional.fields.mailRemediationTimestamp.value.string_value | 直接マッピングされます |
| replyToEmails | network.email.reply_to | 最初のメールアドレスが抽出され、直接マッピングされます。 |
| returnPath | additional.fields.returnPath.value.string_value | 直接マッピングされます |
| senderDomain | principal.administrative_domain | 直接マッピングされます |
| senderIpAddress | principal.ip、principal.asset.ip | IP アドレスが抽出され、両方のフィールドにマッピングされる |
| sentTime | additional.fields.mailSentTime.value.string_value | 直接マッピングされます |
| 件名 | network.email.subject | 直接マッピングされます |
| summaryInsights | security_result.summary | カンマ区切りの文字列に連結 |
| threatId | security_result.threat_id | 直接マッピングされます |
| toAddresses | network.email.to | 各メールアドレスが抽出され、配列に追加されます。 |
| urlCount | additional.fields.urlCount.value.number_value | 直接マッピングされます |
| URL | additional.fields.detectedUrls.value | カンマ区切りの文字列に連結 |
| additional.fields.campaign_id.value.string_value | 存在する場合は event_data.abx_body.campaign_id からマッピングされます | |
| additional.fields.trace_id.value.string_value | 存在する場合は event_data.abx_metadata.trace_id からマッピングされます | |
| additional.fields.messageReportedTime.value.string_value | 存在する場合は event_data.abx_body.message_reported_time からマッピングされます | |
| metadata.event_type | メッセージ配列が存在する場合は EMAIL_TRANSACTION に設定します。それ以外の場合は、他のフィールドに基づいて決定され、USER_LOGIN、STATUS_UPDATE、GENERIC_EVENT のいずれかになります。 |
|
| metadata.product_name | 常に ABNORMAL_SECURITY に設定 |
|
| metadata.vendor_name | 常に ABNORMAL_SECURITY に設定 |
|
| metadata.product_event_type | 存在する場合は event_data.abx_metadata.event_type からマッピングされます | |
| extensions.auth.type | event_type が USER_LOGIN の場合、AUTHTYPE_UNSPECIFIED に設定します。 |
|
| security_result.category | メッセージ配列が存在する場合は MAIL_SPAM と MAIL_PHISHING に設定します。それ以外の場合は、他のフィールドに基づいて MAIL_PHISHING や MAIL_SPAM に設定します。 |
|
| security_result.category_details | abx_metadata.event_type が ABUSE_MAILBOX の場合は ABUSE_MAILBOX に設定し、それ以外の場合は abx_body.category が login の場合は login に設定します。 |
|
| security_result.detection_fields.reported.value | 存在する場合は event_data.abx_body.reported からマッピングされます | |
| security_result.detection_fields.judgement.value | 存在する場合は event_data.abx_body.judgement からマッピングされます | |
| target.url | 存在する場合は event_data.abx_body.details.request_url からマッピングされます | |
| target.user.userid | 存在する場合は event_data.abx_body.user.email からマッピングされます | |
| target.user.email_addresses | 存在する場合は event_data.abx_body.user.email からマッピングされます |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。