Coletar registros do Abnormal Security
Compatível com:
Google SecOps
SIEM
Este documento explica como ingerir registros da Abnormal Security no Google Security Operations. O analisador processa registros de e-mail nos formatos JSON e Syslog. Primeiro, ele tenta processar a entrada como JSON e, se não for possível, usa padrões Grok para extrair dados do formato Syslog. Os campos extraídos são mapeados para o modelo de dados unificado (UDM), enriquecendo os dados com contexto de segurança relevante e padronizando o formato para análise posterior.
Antes de começar
Verifique se você atende aos seguintes pré-requisitos:
- Instância do Google SecOps
- Acesso privilegiado à Abnormal Security
Receber o ID do cliente do Google SecOps
- Faça login no console do Google SecOps.
- Acesse Configurações do SIEM > Perfil.
- Copie e salve o ID do cliente na seção Detalhes da organização.
Receber o arquivo de autenticação de ingestão do Google SecOps
- Faça login no console do Google SecOps.
- Acesse Configurações do SIEM > Agentes de coleta.
- Baixe o arquivo de autenticação de ingestão. Salve o arquivo de forma segura no sistema em que o Bindplane será instalado.
Configurar a Abnormal Security para enviar registros ao Google SecOps
- Faça login na interface da Web do Abnormal Security.
- Clique em Configurações > Integrações.
- Encontre o ícone do Google Chronicle e clique em Conectar.
- Insira seu ID de cliente do Google SecOps.
Insira o endereço do endpoint da sua instância do Google SecOps:
- Canadá: https://northamerica-northeast2-malachiteingestion-pa.googleapis.com
- Dammam: https://me-central2-malachiteingestion-pa.googleapis.com
- Multirregião da Europa: https://europe-malachiteingestion-pa.googleapis.com
- Frankfurt: https://europe-west3-malachiteingestion-pa.googleapis.com
- Londres: https://europe-west2-malachiteingestion-pa.googleapis.com
- Mumbai: https://asia-south1-malachiteingestion-pa.googleapis.com
- Singapura: https://asia-southeast1-malachiteingestion-pa.googleapis.com
- Sydney: https://australia-southeast1-malachiteingestion-pa.googleapis.com
- Tel Aviv: https://me-west1-malachiteingestion-pa.googleapis.com
- Tóquio: https://asia-northeast1-malachiteingestion-pa.googleapis.com
- Multirregião dos Estados Unidos: https://malachiteingestion-pa.googleapis.com
- Zurique: https://europe-west6-malachiteingestion-pa.googleapis.com
Faça upload da chave da conta de serviço do Google.
Clique em Salvar > Confirmar.
Tabela de mapeamento da UDM
| Campo de registro | Mapeamento da UDM | Lógica |
|---|---|---|
| attachmentCount | additional.fields.attachmentCount.value.number_value | Mapeado diretamente |
| attachmentNames | additional.fields.attachmentNames.value | Concatenados em uma string separada por vírgulas |
| attackStrategy | security_result.detection_fields.attackStrategy.value | Mapeado diretamente |
| attackType | security_result.threat_name | Mapeado diretamente |
| attackVector | security_result.detection_fields.attackVector.value | Mapeado diretamente |
| attackedParty | security_result.detection_fields.attackedParty.value | Mapeado diretamente |
| autoRemediated | Não mapeado para o objeto IDM | |
| ccEmails | network.email.cc | Cada endereço de e-mail é extraído e adicionado à matriz. |
| fromAddress | network.email.from | O endereço de e-mail é extraído e mapeado diretamente |
| fromName | principal.user.user_display_name | Mapeado diretamente |
| impersonatedParty | security_result.detection_fields.impersonatedParty.value | Mapeado diretamente |
| internetMessageId | additional.fields.internetMessageId.value.string_value | Mapeado diretamente |
| isRead | additional.fields.isRead.value.bool_value | Mapeado diretamente |
| postRemediated | additional.fields.postRemediated.value.bool_value | Mapeado diretamente |
| receivedTime | additional.fields.mailReceivedTime.value.string_value | Mapeado diretamente |
| remediationStatus | additional.fields.remediationStatus.value.string_value | Mapeado diretamente |
| remediationTimestamp | additional.fields.mailRemediationTimestamp.value.string_value | Mapeado diretamente |
| replyToEmails | network.email.reply_to | O primeiro endereço de e-mail é extraído e mapeado diretamente. |
| returnPath | additional.fields.returnPath.value.string_value | Mapeado diretamente |
| senderDomain | principal.administrative_domain | Mapeado diretamente |
| senderIpAddress | principal.ip, principal.asset.ip | O endereço IP é extraído e mapeado para os dois campos |
| sentTime | additional.fields.mailSentTime.value.string_value | Mapeado diretamente |
| subject | network.email.subject | Mapeado diretamente |
| summaryInsights | security_result.summary | Concatenados em uma string separada por vírgulas |
| threatId | security_result.threat_id | Mapeado diretamente |
| toAddresses | network.email.to | Cada endereço de e-mail é extraído e adicionado à matriz. |
| urlCount | additional.fields.urlCount.value.number_value | Mapeado diretamente |
| URLs | additional.fields.detectedUrls.value | Concatenados em uma string separada por vírgulas |
| additional.fields.campaign_id.value.string_value | Mapeado de event_data.abx_body.campaign_id, se presente | |
| additional.fields.trace_id.value.string_value | Mapeado de event_data.abx_metadata.trace_id, se presente | |
| additional.fields.messageReportedTime.value.string_value | Mapeado de event_data.abx_body.message_reported_time, se presente | |
| metadata.event_type | Definido como EMAIL_TRANSACTION se a matriz de mensagens estiver presente. Caso contrário, será determinado com base em outros campos e poderá ser USER_LOGIN, STATUS_UPDATE ou GENERIC_EVENT. |
|
| metadata.product_name | Sempre definido como ABNORMAL_SECURITY |
|
| metadata.vendor_name | Sempre definido como ABNORMAL_SECURITY |
|
| metadata.product_event_type | Mapeado de event_data.abx_metadata.event_type, se presente | |
| extensions.auth.type | Defina como AUTHTYPE_UNSPECIFIED se event_type for USER_LOGIN |
|
| security_result.category | Definido como MAIL_SPAM e MAIL_PHISHING se a matriz de mensagens estiver presente. Caso contrário, definido como MAIL_PHISHING e/ou MAIL_SPAM com base em outros campos. |
|
| security_result.category_details | Defina como ABUSE_MAILBOX se abx_metadata.event_type for ABUSE_MAILBOX. Caso contrário, defina como login se abx_body.category for login. |
|
| security_result.detection_fields.reported.value | Mapeado de event_data.abx_body.reported, se presente | |
| security_result.detection_fields.judgement.value | Mapeado de event_data.abx_body.judgement, se presente | |
| target.url | Mapeado de event_data.abx_body.details.request_url, se presente | |
| target.user.userid | Mapeado de event_data.abx_body.user.email, se presente | |
| target.user.email_addresses | Mapeado de event_data.abx_body.user.email, se presente |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.