收集 Abnormal Security 日志
支持的语言:
Google SecOps
SIEM
本文档介绍了如何将 Abnormal Security 日志注入到 Google Security Operations。解析器可处理 JSON 和 Syslog 格式的电子邮件日志。它会先尝试将输入内容处理为 JSON,如果失败,则使用 Grok 模式从 Syslog 格式中提取数据。然后,系统会将提取的字段映射到统一数据模型 (UDM),通过相关安全背景信息丰富数据,并标准化格式以供进一步分析。
准备工作
确保您满足以下前提条件:
- Google SecOps 实例
- 对 Abnormal Security 的特权访问权限
获取 Google SecOps 客户 ID
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 配置文件。
- 复制并保存组织详细信息部分中的客户 ID。
获取 Google SecOps 注入身份验证文件
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 收集代理。
- 下载注入身份验证文件。将该文件安全地保存在将要安装 Bindplane 的系统上。
配置 Abnormal Security 以将日志发送到 Google SecOps
- 登录 Abnormal Security 网页界面。
- 依次点击设置 > 集成。
- 找到 Google Chronicle 图标,然后点击关联。
- 输入您的 Google SecOps 客户 ID。
输入 Google SecOps 实例的端点地址:
- 加拿大:https://northamerica-northeast2-malachiteingestion-pa.googleapis.com
- Dammam:https://me-central2-malachiteingestion-pa.googleapis.com
- 欧洲多区域:https://europe-malachiteingestion-pa.googleapis.com
- 法兰克福:https://europe-west3-malachiteingestion-pa.googleapis.com
- 伦敦:https://europe-west2-malachiteingestion-pa.googleapis.com
- 孟买:https://asia-south1-malachiteingestion-pa.googleapis.com
- 新加坡:https://asia-southeast1-malachiteingestion-pa.googleapis.com
- 悉尼:https://australia-southeast1-malachiteingestion-pa.googleapis.com
- 特拉维夫:https://me-west1-malachiteingestion-pa.googleapis.com
- 东京:https://asia-northeast1-malachiteingestion-pa.googleapis.com
- 美国多区域:https://malachiteingestion-pa.googleapis.com
- 苏黎世:https://europe-west6-malachiteingestion-pa.googleapis.com
上传 Google 服务账号密钥。
依次点击保存 > 确认。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
| attachmentCount | additional.fields.attachmentCount.value.number_value | 直接映射 |
| attachmentNames | additional.fields.attachmentNames.value | 连接成以英文逗号分隔的字符串 |
| attackStrategy | security_result.detection_fields.attackStrategy.value | 直接映射 |
| attackType | security_result.threat_name | 直接映射 |
| attackVector | security_result.detection_fields.attackVector.value | 直接映射 |
| attackedParty | security_result.detection_fields.attackedParty.value | 直接映射 |
| autoRemediated | 未映射到 IDM 对象 | |
| ccEmails | network.email.cc | 系统会提取每个电子邮件地址并将其添加到数组中 |
| fromAddress | network.email.from | 电子邮件地址已提取并直接映射 |
| fromName | principal.user.user_display_name | 直接映射 |
| impersonatedParty | security_result.detection_fields.impersonatedParty.value | 直接映射 |
| internetMessageId | additional.fields.internetMessageId.value.string_value | 直接映射 |
| isRead | additional.fields.isRead.value.bool_value | 直接映射 |
| postRemediated | additional.fields.postRemediated.value.bool_value | 直接映射 |
| receivedTime | additional.fields.mailReceivedTime.value.string_value | 直接映射 |
| remediationStatus | additional.fields.remediationStatus.value.string_value | 直接映射 |
| remediationTimestamp | additional.fields.mailRemediationTimestamp.value.string_value | 直接映射 |
| replyToEmails | network.email.reply_to | 系统会提取第一个电子邮件地址并直接进行映射 |
| returnPath | additional.fields.returnPath.value.string_value | 直接映射 |
| senderDomain | principal.administrative_domain | 直接映射 |
| senderIpAddress | principal.ip、principal.asset.ip | IP 地址已提取并映射到这两个字段 |
| sentTime | additional.fields.mailSentTime.value.string_value | 直接映射 |
| subject | network.email.subject | 直接映射 |
| summaryInsights | security_result.summary | 连接成以英文逗号分隔的字符串 |
| threatId | security_result.threat_id | 直接映射 |
| toAddresses | network.email.to | 系统会提取每个电子邮件地址并将其添加到数组中 |
| urlCount | additional.fields.urlCount.value.number_value | 直接映射 |
| 网址 | additional.fields.detectedUrls.value | 连接成以英文逗号分隔的字符串 |
| additional.fields.campaign_id.value.string_value | 如果存在,则从 event_data.abx_body.campaign_id 映射 | |
| additional.fields.trace_id.value.string_value | 如果存在,则从 event_data.abx_metadata.trace_id 映射 | |
| additional.fields.messageReportedTime.value.string_value | 如果存在,则从 event_data.abx_body.message_reported_time 映射 | |
| metadata.event_type | 如果存在消息数组,则设置为 EMAIL_TRANSACTION;否则,根据其他字段确定,可以是 USER_LOGIN、STATUS_UPDATE 或 GENERIC_EVENT |
|
| metadata.product_name | 始终设置为 ABNORMAL_SECURITY |
|
| metadata.vendor_name | 始终设置为 ABNORMAL_SECURITY |
|
| metadata.product_event_type | 如果存在,则从 event_data.abx_metadata.event_type 映射 | |
| extensions.auth.type | 如果 event_type 为 USER_LOGIN,则设置为 AUTHTYPE_UNSPECIFIED |
|
| security_result.category | 如果存在消息数组,则设置为 MAIL_SPAM 和 MAIL_PHISHING;否则,根据其他字段设置为 MAIL_PHISHING 和/或 MAIL_SPAM |
|
| security_result.category_details | 如果 abx_metadata.event_type 为 ABUSE_MAILBOX,则设置为 ABUSE_MAILBOX;否则,如果 abx_body.category 为 login,则设置为 login |
|
| security_result.detection_fields.reported.value | 如果存在,则从 event_data.abx_body.reported 映射 | |
| security_result.detection_fields.judgement.value | 如果存在,则从 event_data.abx_body.judgement 映射 | |
| target.url | 如果存在,则从 event_data.abx_body.details.request_url 映射 | |
| target.user.userid | 如果存在,则从 event_data.abx_body.user.email 映射 | |
| target.user.email_addresses | 如果存在,则从 event_data.abx_body.user.email 映射 |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。