收集 Abnormal Security 記錄
支援的國家/地區:
Google SecOps
SIEM
本文說明如何將 Abnormal Security 記錄擷取至 Google Security Operations。剖析器會處理 JSON 和 Syslog 格式的電子郵件記錄。系統會先嘗試將輸入內容處理為 JSON,如果失敗,則會使用 Grok 模式從 Syslog 格式擷取資料。接著,系統會將擷取的欄位對應至統一資料模型 (UDM),並以相關安全性情境豐富資料,以及將格式標準化,以利後續分析。
事前準備
請確認您已完成下列事前準備事項:
- Google SecOps 執行個體
- Abnormal Security 的特殊存取權
取得 Google SecOps 客戶 ID
- 登入 Google SecOps 控制台。
- 依序前往「SIEM 設定」>「設定檔」。
- 複製並儲存「機構詳細資料」專區中的客戶 ID。
取得 Google SecOps 擷取驗證檔案
- 登入 Google SecOps 控制台。
- 依序前往「SIEM 設定」>「收集代理程式」。
- 下載擷取驗證檔案。將檔案安全地儲存在要安裝 Bindplane 的系統上。
設定 Abnormal Security,將記錄傳送至 Google SecOps
- 登入 Abnormal Security 網頁版 UI。
- 依序點選「設定」>「整合」。
- 找到「Google Chronicle」圖示,然後按一下「連結」。
- 輸入 Google SecOps 客戶 ID。
輸入 Google SecOps 執行個體端點位址:
- 加拿大:https://northamerica-northeast2-malachiteingestion-pa.googleapis.com
- Dammam:https://me-central2-malachiteingestion-pa.googleapis.com
- 歐洲多區域:https://europe-malachiteingestion-pa.googleapis.com
- 法蘭克福:https://europe-west3-malachiteingestion-pa.googleapis.com
- 倫敦:https://europe-west2-malachiteingestion-pa.googleapis.com
- 孟買:https://asia-south1-malachiteingestion-pa.googleapis.com
- 新加坡:https://asia-southeast1-malachiteingestion-pa.googleapis.com
- 雪梨:https://australia-southeast1-malachiteingestion-pa.googleapis.com
- 特拉維夫:https://me-west1-malachiteingestion-pa.googleapis.com
- 東京:https://asia-northeast1-malachiteingestion-pa.googleapis.com
- 美國多區域:https://malachiteingestion-pa.googleapis.com
- 蘇黎世:https://europe-west6-malachiteingestion-pa.googleapis.com
上傳 Google 服務帳戶金鑰。
依序點選「儲存」>「確認」。
UDM 對應表
記錄欄位 | UDM 對應 | 邏輯 |
---|---|---|
attachmentCount | additional.fields.attachmentCount.value.number_value | 直接對應 |
attachmentNames | additional.fields.attachmentNames.value | 串連成以半形逗號分隔的字串 |
attackStrategy | security_result.detection_fields.attackStrategy.value | 直接對應 |
attackType | security_result.threat_name | 直接對應 |
attackVector | security_result.detection_fields.attackVector.value | 直接對應 |
attackedParty | security_result.detection_fields.attackedParty.value | 直接對應 |
autoRemediated | 未對應至 IDM 物件 | |
ccEmails | network.email.cc | 系統會擷取每個電子郵件地址,並新增至陣列 |
fromAddress | network.email.from | 直接擷取並對應電子郵件地址 |
fromName | principal.user.user_display_name | 直接對應 |
impersonatedParty | security_result.detection_fields.impersonatedParty.value | 直接對應 |
internetMessageId | additional.fields.internetMessageId.value.string_value | 直接對應 |
isRead | additional.fields.isRead.value.bool_value | 直接對應 |
postRemediated | additional.fields.postRemediated.value.bool_value | 直接對應 |
receivedTime | additional.fields.mailReceivedTime.value.string_value | 直接對應 |
remediationStatus | additional.fields.remediationStatus.value.string_value | 直接對應 |
remediationTimestamp | additional.fields.mailRemediationTimestamp.value.string_value | 直接對應 |
replyToEmails | network.email.reply_to | 系統會擷取第一個電子郵件地址並直接對應 |
returnPath | additional.fields.returnPath.value.string_value | 直接對應 |
senderDomain | principal.administrative_domain | 直接對應 |
senderIpAddress | principal.ip、principal.asset.ip | 系統會擷取 IP 位址,並對應至兩個欄位 |
sentTime | additional.fields.mailSentTime.value.string_value | 直接對應 |
主旨 | network.email.subject | 直接對應 |
summaryInsights | security_result.summary | 串連成以半形逗號分隔的字串 |
threatId | security_result.threat_id | 直接對應 |
toAddresses | network.email.to | 系統會擷取每個電子郵件地址,並新增至陣列 |
urlCount | additional.fields.urlCount.value.number_value | 直接對應 |
網址 | additional.fields.detectedUrls.value | 串連成以半形逗號分隔的字串 |
additional.fields.campaign_id.value.string_value | 如果存在,則從 event_data.abx_body.campaign_id 對應 | |
additional.fields.trace_id.value.string_value | 如果存在,則從 event_data.abx_metadata.trace_id 對應 | |
additional.fields.messageReportedTime.value.string_value | 如果存在,則從 event_data.abx_body.message_reported_time 對應 | |
metadata.event_type | 如果存在訊息陣列,請設為 EMAIL_TRANSACTION ,否則會根據其他欄位判斷,且可以是 USER_LOGIN 、STATUS_UPDATE 或 GENERIC_EVENT |
|
metadata.product_name | 一律設為「ABNORMAL_SECURITY 」 |
|
metadata.vendor_name | 一律設為「ABNORMAL_SECURITY 」 |
|
metadata.product_event_type | 如果存在,則從 event_data.abx_metadata.event_type 對應 | |
extensions.auth.type | 如果 event_type 為 USER_LOGIN ,請設為 AUTHTYPE_UNSPECIFIED |
|
security_result.category | 如有訊息陣列,請設為 MAIL_SPAM 和 MAIL_PHISHING ,否則請根據其他欄位設為 MAIL_PHISHING 和/或 MAIL_SPAM |
|
security_result.category_details | 如果 abx_metadata.event_type 為 ABUSE_MAILBOX ,請設為 ABUSE_MAILBOX ;否則,如果 abx_body.category 為 login ,請設為 login |
|
security_result.detection_fields.reported.value | 如果存在,則從 event_data.abx_body.reported 對應 | |
security_result.detection_fields.judgement.value | 如果存在,則從 event_data.abx_body.judgement 對應 | |
target.url | 如果存在,則從 event_data.abx_body.details.request_url 對應 | |
target.user.userid | 如果存在,則從 event_data.abx_body.user.email 對應 | |
target.user.email_addresses | 如果存在,則從 event_data.abx_body.user.email 對應 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。