Diese Seite wurde von der Cloud Translation API übersetzt.

CyberX-Logs erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie CyberX-Logs mit einem Google Security Operations-Forwarder erfassen können.

Weitere Informationen finden Sie unter Übersicht über die Datenaufnahme in Google Security Operations.

Ein Erfassungslabel identifiziert den Parser, der Rohdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument beziehen sich auf den Parser mit dem Aufnahme-Label CyberX.

CyberX konfigurieren

Melden Sie sich in der CyberX-Benutzeroberfläche an.
Wählen Sie in der CyberX-Benutzeroberfläche Weiterleitung aus und klicken Sie dann auf Weiterleitungsregel erstellen.
So wählen Sie Filter für Benachrichtigungen aus:
- Wählen Sie im Bereich Protokolle die gewünschten Protokolle aus oder klicken Sie auf Alle, um alle Protokolle auszuwählen.
- Wählen Sie in der Liste Schweregrad den niedrigsten Schweregrad für zu sendende Benachrichtigungen aus.
  
  Beispiel: Kritische und schwerwiegende Warnungen werden über Benachrichtigungen gesendet, wenn Sie den Schweregrad Schwerwiegend auswählen.
- Wählen Sie im Bereich Engines die gewünschten Engines aus oder klicken Sie auf Alle, um alle Engines auszuwählen.
Klicken Sie auf Hinzufügen, um eine neue Benachrichtigungsmethode hinzuzufügen.
Wählen Sie in der Liste Aktion einen Aktionstyp aus den verfügbaren Aktionen aus.

Wenn Sie mehr als eine Aktion hinzufügen, können für jede Regel mehrere Benachrichtigungsmethoden erstellt werden.
Geben Sie je nach ausgewählter Aktion die erforderlichen Details in den entsprechenden Feldern an. Wenn Sie beispielsweise An SYSLOG-Server senden (CEF) ausgewählt haben, gehen Sie so vor:
- Geben Sie im Feld Host die Syslog-Serveradresse ein.
- Geben Sie im Feld Timezone (Zeitzone) die Zeitzone des Syslog-Servers ein.
- Geben Sie im Feld Port den Syslog-Serverport ein.
Klicken Sie auf Senden.

Geben Sie für andere Aktionen, die Sie auswählen, die erforderlichen Details an.

Google Security Operations-Forwarder für die Aufnahme von CyberX-Logs konfigurieren

Wählen Sie SIEM Settings > Forwarders aus.
Klicken Sie auf Neuen Weiterleitungsdienst hinzufügen.
Geben Sie im Feld Name des Weiterleitungsdienstes einen eindeutigen Namen für den Weiterleitungsdienst ein.
Klicken Sie auf Senden und dann auf Bestätigen. Der Weiterleiter wird hinzugefügt und das Fenster Collector-Konfiguration hinzufügen wird angezeigt.
Geben Sie im Feld Name des Collectors einen eindeutigen Namen für den Collector ein.
Wählen Sie Microsoft CyberX als Logtyp aus.
Wählen Sie Syslog als Collector-Typ aus.
Konfigurieren Sie die folgenden Eingabeparameter:
- Protokoll: Geben Sie das Verbindungsprotokoll an, das der Collector verwendet, um auf Syslog-Daten zu warten.
- Adresse: Geben Sie die Ziel-IP-Adresse oder den Hostnamen an, auf dem sich der Collector befindet und auf Syslog-Daten wartet.
- Port: Geben Sie den Zielport an, an dem sich der Collector befindet und an dem er auf Syslog-Daten wartet.
Klicken Sie auf Senden.

Weitere Informationen zu den Google Security Operations-Forwardern finden Sie unter Forwarder-Konfigurationen über die Google Security Operations-Benutzeroberfläche verwalten.

Wenn beim Erstellen von Weiterleitungen Probleme auftreten, wenden Sie sich an den Google Security Operations-Support.

Referenz zur Feldzuordnung

Dieser Parser verarbeitet CyberX-Logs im SYSLOG+KV-Format und wandelt sie in das UDM um. Damit werden zahlreiche Felder mit leeren Strings initialisiert, mehrere Ersetzungen vorgenommen, um Schlüssel/Wert-Paare im Nachrichtenfeld umzubenennen und zu formatieren, und dann werden grok- und kv-Filter verwendet, um strukturierte Daten in UDM-Felder zu extrahieren. Der Parser priorisiert die Extraktion von Schlüssel-Wert-Daten und greift bei Bedarf auf Grok-Muster zurück. Das UDM-Ereignis wird mit Metadaten, Informationen zu Prinzipal, Ziel, Netzwerk und Sicherheitsergebnis angereichert.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
Zugriffsmaske	`security_result.detection_fields.value`	Wert von `access_mask` aus dem geparsten `access_request_kvdata`
Kontodomain	`principal.administrative_domain`	Wert von `principal_domain` aus dem geparsten `principal_kvdata`
Kontodomain	`target.administrative_domain`	Wert von `target_domain` aus dem geparsten `target_kvdata`
Kontoname	`principal.user.userid`	Wert von `principal_account_name` aus dem geparsten `principal_kvdata`
Kontoname	`target.user.userid`	Wert von `target_account_name` aus dem geparsten `target_kvdata`
Aktion	`security_result.action_details`	Wert von `action`
Aktion	`security_result.action`	Abgeleitet. Wenn `action` „accept“, „passthrough“, „pass“, „permit“, „detected“ oder „close“ ist, ordnen Sie „ALLOW“ zu. Wenn `action` „deny“, „dropped“ oder „blocked“ ist, ordnen Sie es „BLOCK“ zu. Wenn `action` „timeout“ ist, ordnen Sie sie „FAIL“ zu. Andernfalls ordnen Sie „UNKNOWN_ACTION“ zu.
Algorithmusname	`security_result.detection_fields.value`	Wert von `algorithm_name` aus dem geparsten `cryptographic_kvdata`
App	`target.application`	Wert von `service`, wenn `app_protocol_output` leer ist
appcat	`security_result.detection_fields.value`	Wert von `appcat`
Name der Anwendung	`principal.application`	Wert von `application_name`
Authentifizierungspaket	`security_result.about.resource.name`	Wert von `authentication_package`
Azure Defender for IoT-Warnung	`security_result.detection_fields.value`	Wert von `azure_defender_for_iot_alert`
channel	`security_result.detection_fields.value`	Wert von `channel`
Clientadresse	`principal.ip`, `principal.asset.ip`	Wert von `source_ip`
Clientport	`principal.port`	Wert von `source_port`
craction	`security_result.detection_fields.value`	Wert von `craction`
Anmeldedaten des Anmeldedaten-Managers wurden gesichert	`security_result.description`	Wert von `description`
Anmeldedaten des Anmeldedaten-Managers wurden gelesen.	`security_result.description`	Wert von `description`
crscore	`security_result.severity_details`	Wert von `crscore`
crlevel	`security_result.severity`, `security_result.severity_details`	Wert von `crlevel`. Wenn `crlevel` „HIGH“, „MEDIUM“, „LOW“ oder „CRITICAL“ ist, ordnen Sie den entsprechenden UDM-Schweregrad zu.
Kryptografischer Vorgang	`metadata.description`	Wert von `product_desc`
CyberX-Plattformname	`security_result.detection_fields.value`	Wert von `cyberx_platform_name`
Beschreibung	`security_result.description`	Wert von `description`, wenn `Message` leer ist
Ziel	`target.ip`, `target.asset.ip` oder `target.hostname`	Wenn `Destination` eine IP-Adresse ist, ordnen Sie sie `target.ip` und `target.asset.ip` zu. Andernfalls wird `target.hostname` zugeordnet.
Zieladresse	`target.ip`, `target.asset.ip`	Wert von `destination_ip` aus dem geparsten `network_information`
Ziel-DRA	`target.resource.name`	Wert von `destination_dra`
Ziel-IP	`target.ip`, `target.asset.ip`	Wert von `destination_ip`
Zielport	`target.port`	Wert von `destination_port` aus dem geparsten `network_information`
devid	`principal.resource.product_object_id`	Wert von `devid`
devname	`principal.resource.name`	Wert von `devname`
Richtung	`network.direction`	Wenn `Direction` „incoming“, „inbound“ oder „response“ ist, ordnen Sie „INBOUND“ zu. Wenn `Direction` „outgoing“, „outbound“ oder „request“ ist, ordnen Sie sie „OUTBOUND“ zu.
dstip	`target.ip`, `target.asset.ip`	Wert von `dstip`, wenn `destination_ip` leer ist
dstcountry	`target.location.country_or_region`	Wert von `dstcountry`
dstintf	`security_result.detection_fields.value`	Wert von `dstintf`
dstintfrole	`security_result.detection_fields.value`	Wert von `dstintfrole`
dstosname	`target.platform`	Wert von `dstosname`, wenn er „WINDOWS“, „LINUX“ oder „MAC“ ist.
dstport	`target.port`	Wert von `dstport`, wenn `destination_port` leer ist
dstswversion	`target.platform_version`	Wert von `dstswversion`
Dauer	`network.session_duration.seconds`	Wert von `duration`
event_id	`security_result.rule_name`	Wird verwendet, um den Regelnamen als „EventID: %{event_id}“ zu erstellen.
event_in_sequence	`security_result.detection_fields.value`	Wert von `event_in_sequence`
Filter-Laufzeit-ID	`security_result.detection_fields.value`	Wert von `filter_run_time_id` aus dem geparsten `filter_information`
Gruppenmitgliedschaft	`security_result.detection_fields.value`	Wert von `group_membership`, wenn `event_id` nicht 4627 ist
Gruppenmitgliedschaft	`target.user.group_identifiers`	Werte aus geparsten `group_membership`, wenn `event_id` = 4627
handle_id	`security_result.detection_fields.value`	Wert von `handle_id` aus dem geparsten `object_kvdata`
Handle-ID	`security_result.detection_fields.value`	Wert von `handle_id` aus dem geparsten `object_kvdata`
impersonation_level	`security_result.detection_fields.value`	Wert von `impersonation_level` aus dem geparsten `logon_information_kvdata`
Schlüssellänge	`security_result.detection_fields.value`	Wert von `key_length` aus dem geparsten `auth_kvdata`
Schlüsselname	`security_result.detection_fields.value`	Wert von `key_name` aus dem geparsten `cryptographic_kvdata`
Schlüsseltyp	`security_result.detection_fields.value`	Wert von `key_type` aus dem geparsten `cryptographic_kvdata`
Keywords	`security_result.detection_fields.value`	Wert von `keywords`
Name der Ebene	`security_result.detection_fields.value`	Wert von `layer_name` aus dem geparsten `filter_information`
Laufzeit-ID der Ebene	`security_result.detection_fields.value`	Wert von `layer_run_time_id` aus dem geparsten `filter_information`
logid	`metadata.product_log_id`	Wert von `logid`
Anmelde-GUID	`principal.resource.product_object_id`	Wert von `logon_guid`
Anmelde-ID	`security_result.detection_fields.value`	Wert von `logon_id`
logon_type	`event.idm.read_only_udm.extensions.auth.mechanism`	Abgeleitet. Wenn `logon_type` „3“ ist, ordnen Sie „NETWORK“ zu. Wenn '4', ordnen Sie sie „BATCH“ zu. Wenn „5“, dann „SERVICE“. Bei „8“ wird „NETWORK_CLEAR_TEXT“ zugeordnet. Wenn „9“, dann „NEW_CREDENTIALS“. Wenn „10“, dann „REMOTE_INTERACTIVE“ zuordnen. Wenn „11“, dann „CACHED_INTERACTIVE“ zuordnen. Andernfalls, falls nicht leer, ordnen Sie „MECHANISM_OTHER“ zu.
Anmeldekonto	`security_result.detection_fields.value`	Wert von `logon_id` aus der Grok-Analyse
Anmeldeprozess	`security_result.detection_fields.value`	Wert von `logon_process` aus dem geparsten `auth_kvdata`
Pflichtlabel	`security_result.detection_fields.value`	Wert von `mandatory_label`
mastersrcmac	`principal.mac`	Wert von `mastersrcmac`
Nachricht	`security_result.description`	Wert von `Message`
new_process_id	`target.process.pid`	Wert von `new_process_id` aus dem geparsten `process_kvdata`
new_process_name	`target.process.file.full_path`	Wert von `new_process_name` aus dem geparsten `process_kvdata`
Objektname	`security_result.detection_fields.value`	Wert von `object_name` aus dem geparsten `object_kvdata`
Objektserver	`security_result.detection_fields.value`	Wert von `object_server` aus dem geparsten `object_kvdata`
Objektart	`security_result.detection_fields.value`	Wert von `object_type` aus dem geparsten `object_kvdata`
osname	`principal.platform`	Wert von `osname`, wenn er „WINDOWS“, „LINUX“ oder „MAC“ ist.
Paketname (nur NTLM)	`security_result.detection_fields.value`	Wert von `package_name` aus dem geparsten `auth_kvdata`
policyid	`security_result.rule_id`	Wert von `policyid`
policyname	`security_result.rule_name`	Wert von `policyname`
policytype	`security_result.rule_type`	Wert von `policytype`
Prozess-ID	`principal.process.pid`	Wert von `process_id`
Prozessname	`principal.process.file.full_path`	Wert von `creator_process_name` aus dem geparsten `process_kvdata`
profile_changed	`security_result.detection_fields.value`	Wert von `profile_changed`
Profil geändert	`security_result.detection_fields.value`	Wert von `profile_changed` aus der Grok-Analyse
Proto	`network.ip_protocol`	Wenn `proto` „17“ ist, ordnen Sie „UDP“ zu. Wenn „6“ oder `subtype` „wad“ ist, ordnen Sie „TCP“ zu. Wenn „41“, dann „IP6IN4“ zuordnen. Wenn `service` „PING“ ist oder `proto` „1“ ist oder `service` „ICMP“ enthält, ordnen Sie „ICMP“ zu.
Protokoll	`network.application_protocol`	Wert von `app_protocol_output`, abgeleitet von `Protocol`
Name des Anbieters	`security_result.detection_fields.value`	Wert von `provider_name` aus geparsten `provider_kvdata` oder `cryptographic_kvdata`
rcvdbyte	`network.received_bytes`	Wert von `rcvdbyte`
rcvdpkt	`security_result.detection_fields.value`	Wert von `rcvdpkt`
restricted_admin_mode	`security_result.detection_fields.value`	Wert von `restricted_admin_mode` aus dem geparsten `logon_information_kvdata`
Rückgabecode	`security_result.detection_fields.value`	Wert von `return_code` aus dem geparsten `cryptographic_kvdata`
Antwort	`security_result.detection_fields.value`	Wert von `response`
rule_id	`security_result.rule_id`	Wert von `rule_id`
Sicherheits-ID	`principal.user.windows_sid`	Wert von `principal_security_id` aus dem geparsten `principal_kvdata`
Sicherheits-ID	`target.user.windows_sid`	Wert von `target_security_id` aus dem geparsten `target_kvdata`
sentbyte	`network.sent_bytes`	Wert von `sentbyte`
sentpkt	`security_result.detection_fields.value`	Wert von `sentpkt`
Dienst	`network.application_protocol` oder `target.application`	Wert von `app_protocol_output`, der aus `service` abgeleitet wurde. Wenn `app_protocol_output` leer ist, ordnen Sie `target.application` zu.
Dienst-ID	`security_result.detection_fields.value`	Wert von `service_id` aus dem geparsten `service_kvdata`
Dienstname	`security_result.detection_fields.value`	Wert von `service_name` aus dem geparsten `service_kvdata`
sessionid	`network.session_id`	Wert von `sessionid`
Schweregrad	`security_result.severity`, `security_result.severity_details`	Wenn `Severity` „ERROR“ oder „CRITICAL“ ist, ordnen Sie den entsprechenden UDM-Schweregrad zu. Wenn „INFO“, ordnen Sie „INFORMATIONAL“ zu. Wenn „MINOR“, dann „LOW“. Wenn „WARNING“, ordnen Sie „MEDIUM“ zu. Wenn „MAJOR“, dann „HIGH“. Ordnen Sie den Rohwert auch `severity_details` zu.
die Ausprägung	`security_result.severity`, `security_result.severity_details`	Wenn `severity` „1“, „2“ oder „3“ ist, wird „LOW“ zugeordnet. Wenn „4“, „5“ oder „6“, dann „MEDIUM“. Wenn „7“, „8“ oder „9“, dann „HIGH“. Ordnen Sie den Rohwert auch `severity_details` zu.
Freigabename	`security_result.detection_fields.value`	Wert von `share_name` aus dem geparsten `share_information_kvdata`
Pfad teilen	`security_result.detection_fields.value`	Wert von `share_path` aus dem geparsten `share_information_kvdata`
Quelle	`principal.ip`, `principal.asset.ip` oder `principal.hostname`, `principal.asset.hostname`	Wenn `Source` eine IP-Adresse ist, ordnen Sie sie `principal.ip` und `principal.asset.ip` zu. Andernfalls wird `principal.hostname` und `principal.asset.hostname` zugeordnet.
Quelladresse	`principal.ip`, `principal.asset.ip`	Wert von `source_ip` aus dem geparsten `network_information`
Quell-DRA	`principal.resource.name`	Wert von `source_dra`
Quell-IP-Adresse	`principal.ip`	Wert von `source_ip`
Quellnetzwerkadresse	`principal.ip`, `principal.asset.ip`	Wert von `source_ip`
Quellport	`principal.port`	Wert von `source_port` aus dem geparsten `network_information`
Quellworkstation	`workstation_name`	Wert von `source_workstation_name`
srcip	`source_ip`	Wert von `srcip`, wenn `source_ip` leer ist
srccountry	`principal.location.country_or_region`	Wert von `srccountry`
srcmac	`principal.mac`	Wert von `srcmac`
srcname	`principal.hostname`, `principal.asset.hostname`	Wert von `srcname`
srcport	`source_port`	Wert von `srcport`, wenn `source_port` leer ist
srcswversion	`principal.platform_version`	Wert von `srcswversion`
Statuscode	`network.http.response_code`	Wert von `status_code`
Token-Erhebungstyp	`security_result.detection_fields.value`	Wert von `token_elevation_type`
transited_services	`security_result.detection_fields.value`	Wert von `transited_services` aus dem geparsten `auth_kvdata`
transip	`principal.nat_ip`	Wert von `transip`
transport	`principal.nat_port`	Wert von `transport`
Typ	`metadata.product_event_type`	Wird mit `subtype` verwendet, um `metadata.product_event_type` zu erstellen
Typ	`security_result.detection_fields.value`	Wert von `Type`
UUID	`metadata.product_log_id`	Wert von `UUID`
vd	`principal.administrative_domain`	Wert von `vd`
virtual_account	`security_result.detection_fields.value`	Wert von `virtual_account` aus dem geparsten `logon_information_kvdata`
Name der Workstation	`principal.hostname`, `principal.asset.hostname`	Wert von `workstation_name`, wenn keine andere Haupt-ID vorhanden ist
`metadata.event_type`	`metadata.event_type`	Abgeleitet. Wenn sowohl `principal_present` als auch `target_present` wahr sind, ordnen Sie „NETWORK_CONNECTION“ zu. Wenn `user_present` „true“ ist, wird „USER_RESOURCE_ACCESS“ zugeordnet. Wenn `principal_present` „true“ ist, ordnen Sie „STATUS_UPDATE“ zu. Andernfalls ordnen Sie das Ereignis „GENERIC_EVENT“ zu.
`metadata.log_type`	`metadata.log_type`	Fest codiert auf „CYBERX“
`metadata.product_name`	`metadata.product_name`	Fest codiert auf „CYBERX“
`metadata.vendor_name`	`metadata.vendor_name`	Fest codiert auf „CYBERX“
`metadata.event_timestamp`	`metadata.event_timestamp`	Wird aus dem Feld `timestamp` der obersten Ebene kopiert oder aus den Feldern `eventtime`, `date` und `time` abgeleitet.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten