Recopila registros de CyberX
Compatible con:
Google SecOps
SIEM
En este documento, se describe cómo recopilar registros de CyberX con un retransmisor de Google Security Operations.
Para obtener más información, consulta la descripción general de la transferencia de datos a Google Security Operations.
Una etiqueta de transferencia identifica el analizador que normaliza los datos de registro sin procesar en formato UDM estructurado. La información de este documento se aplica al analizador con la etiqueta de transferencia CyberX.
Configura CyberX
- Accede a la IU de CyberX.
- En la IU de CyberX, selecciona Reenvío y, luego, haz clic en Crear regla de reenvío.
Para seleccionar filtros para las notificaciones, haz lo siguiente:
- En la sección Protocols, selecciona los protocolos necesarios o haz clic en All para seleccionar todos los protocolos.
En la lista Gravedad, selecciona la gravedad más baja de las alertas que se enviarán.
Por ejemplo, las alertas críticas y graves se envían como notificaciones si seleccionas la gravedad Grave.
En la sección Motores, selecciona los motores necesarios o haz clic en Todos para seleccionar todos los motores.
Haz clic en Agregar para agregar un nuevo método de notificación.
En la lista Acción, selecciona un tipo de acción de las acciones disponibles.
Si agregas más de una acción, se pueden crear varios métodos de notificación para cada regla.
Según la acción que seleccionaste, especifica los detalles necesarios en los campos correspondientes. Por ejemplo, si seleccionaste Enviar al servidor SYSLOG (CEF), haz lo siguiente:
- En el campo Host, ingresa la dirección del servidor syslog.
- En el campo Zona horaria, ingresa la zona horaria del servidor de Syslog.
- En el campo Puerto, ingresa el puerto del servidor syslog.
Haz clic en Enviar.
De manera similar, para otras acciones que selecciones, especifica los detalles obligatorios.
Configura el reenvío de Google Security Operations para transferir registros de CyberX
- Selecciona SIEM Settings > Forwarders.
- Haz clic en Agregar un nuevo reenvío.
- En el campo Nombre del reenviador, ingresa un nombre único para el reenviador.
- Haz clic en Enviar y, luego, en Confirmar. Se agregará el reenvío y aparecerá la ventana Add collector configuration.
- En el campo Nombre del recopilador, escribe un nombre único para el recopilador.
- Selecciona
Microsoft CyberXcomo el Tipo de registro. - Selecciona Syslog como el Tipo de recopilador.
- Configura los siguientes parámetros de entrada:
- Protocolo: Especifica el protocolo de conexión que usa el recopilador para escuchar los datos de Syslog.
- Dirección: Especifica la dirección IP o el nombre de host de destino en el que reside el recopilador y escucha los datos de syslog.
- Puerto: Especifica el puerto de destino en el que reside el recopilador y escucha los datos de syslog.
- Haz clic en Enviar.
Para obtener más información sobre los reenvíadores de Google Security Operations, consulta Administra la configuración de los reenvíadores a través de la IU de Google Security Operations.
Si tienes problemas para crear reenvíos, comunícate con el equipo de asistencia de Operaciones de seguridad de Google.
Referencia de la asignación de campos
Este analizador controla los registros de CyberX en formato SYSLOG+KV y los transforma en UDM. Inicializa numerosos campos en cadenas vacías, realiza varias sustituciones para cambiar el nombre y dar formato a los pares clave-valor dentro del campo de mensaje y, luego, usa los filtros grok y kv para extraer datos estructurados en campos de UDM. El analizador prioriza la extracción de datos de clave-valor y recurre a patrones de Grok si es necesario, lo que enriquece el evento del UDM con información de metadatos, principal, objetivo, red y resultados de seguridad.
Tabla de asignación de UDM
| Campo de registro | Asignación de UDM | Lógica |
|---|---|---|
| Máscara de acceso | security_result.detection_fields.value |
Valor de access_mask del access_request_kvdata analizado |
| Dominio de la cuenta | principal.administrative_domain |
Valor de principal_domain del principal_kvdata analizado |
| Dominio de la cuenta | target.administrative_domain |
Valor de target_domain del target_kvdata analizado |
| Nombre de la cuenta | principal.user.userid |
Valor de principal_account_name del principal_kvdata analizado |
| Nombre de la cuenta | target.user.userid |
Valor de target_account_name del target_kvdata analizado |
| acción | security_result.action_details |
Valor de action |
| acción | security_result.action |
Es derivado. Si action es "accept", "passthrough", "pass", "permit", "detected" o "close", se asigna a "ALLOW". Si action es "deny", "dropped" o "blocked", se asigna a "BLOCK". Si action es "timeout", se asigna a "FAIL". De lo contrario, se asigna a "UNKNOWN_ACTION". |
| Nombre del algoritmo | security_result.detection_fields.value |
Valor de algorithm_name del cryptographic_kvdata analizado |
| app | target.application |
Valor de service si app_protocol_output está vacío |
| appcat | security_result.detection_fields.value |
Valor de appcat |
| Nombre de la app | principal.application |
Valor de application_name |
| Paquete de autenticación | security_result.about.resource.name |
Valor de authentication_package |
| Alerta de Azure Defender para IoT | security_result.detection_fields.value |
Valor de azure_defender_for_iot_alert |
| canal | security_result.detection_fields.value |
Valor de channel |
| Dirección del cliente | principal.ip, principal.asset.ip |
Valor de source_ip |
| Puerto de cliente | principal.port |
Valor de source_port |
| craction | security_result.detection_fields.value |
Valor de craction |
| Se hizo una copia de seguridad de las credenciales del Administrador de credenciales | security_result.description |
Valor de description |
| Se leyeron las credenciales del Administrador de credenciales. | security_result.description |
Valor de description |
| crscore | security_result.severity_details |
Valor de crscore |
| crlevel | security_result.severity, security_result.severity_details |
Valor de crlevel. Si crlevel es "HIGH", "MEDIUM", "LOW" o "CRITICAL", se debe asignar a la gravedad correspondiente del UDM. |
| Operación criptográfica | metadata.description |
Valor de product_desc |
| Nombre de la plataforma de CyberX | security_result.detection_fields.value |
Valor de cyberx_platform_name |
| Descripción | security_result.description |
Valor de description si Message está vacío |
| Destino | target.ip, target.asset.ip o target.hostname |
Si Destination es una dirección IP, asigna target.ip y target.asset.ip. De lo contrario, asigna target.hostname. |
| Dirección de destino | target.ip, target.asset.ip |
Valor de destination_ip del network_information analizado |
| DRA de destino | target.resource.name |
Valor de destination_dra |
| IP de destino | target.ip, target.asset.ip |
Valor de destination_ip |
| Puerto de destino | target.port |
Valor de destination_port del network_information analizado |
| devid | principal.resource.product_object_id |
Valor de devid |
| devname | principal.resource.name |
Valor de devname |
| Dirección | network.direction |
Si Direction es "incoming", "inbound" o "response", se asigna a "INBOUND". Si Direction es "outgoing", "outbound" o "request", se asigna a "OUTBOUND". |
| dstip | target.ip, target.asset.ip |
Valor de dstip si destination_ip está vacío |
| dstcountry | target.location.country_or_region |
Valor de dstcountry |
| dstintf | security_result.detection_fields.value |
Valor de dstintf |
| dstintfrole | security_result.detection_fields.value |
Valor de dstintfrole |
| dstosname | target.platform |
Valor de dstosname si es "WINDOWS", "LINUX" o "MAC". |
| dstport | target.port |
Valor de dstport si destination_port está vacío |
| dstswversion | target.platform_version |
Valor de dstswversion |
| duración | network.session_duration.seconds |
Valor de duration |
| event_id | security_result.rule_name |
Se usa para construir el nombre de la regla como "EventID: %{event_id}". |
| event_in_sequence | security_result.detection_fields.value |
Valor de event_in_sequence |
| ID de tiempo de ejecución del filtro | security_result.detection_fields.value |
Valor de filter_run_time_id del filter_information analizado |
| Membresía la grupo | security_result.detection_fields.value |
Valor de group_membership si event_id no es 4627 |
| Membresía la grupo | target.user.group_identifiers |
Valores de group_membership analizado si event_id es 4627 |
| handle_id | security_result.detection_fields.value |
Valor de handle_id del object_kvdata analizado |
| ID de identificador | security_result.detection_fields.value |
Valor de handle_id del object_kvdata analizado |
| impersonation_level | security_result.detection_fields.value |
Valor de impersonation_level del logon_information_kvdata analizado |
| Longitud de la llave | security_result.detection_fields.value |
Valor de key_length del auth_kvdata analizado |
| Nombre de la clave | security_result.detection_fields.value |
Valor de key_name del cryptographic_kvdata analizado |
| Tipo de clave | security_result.detection_fields.value |
Valor de key_type del cryptographic_kvdata analizado |
| palabras clave | security_result.detection_fields.value |
Valor de keywords |
| Nombre de la capa | security_result.detection_fields.value |
Valor de layer_name del filter_information analizado |
| ID de tiempo de ejecución de la capa | security_result.detection_fields.value |
Valor de layer_run_time_id del filter_information analizado |
| logid | metadata.product_log_id |
Valor de logid |
| GUID de inicio de sesión | principal.resource.product_object_id |
Valor de logon_guid |
| ID de acceso | security_result.detection_fields.value |
Valor de logon_id |
| logon_type | event.idm.read_only_udm.extensions.auth.mechanism |
Es derivado. Si logon_type es "3", se asigna a "NETWORK". Si es "4", se asigna a "BATCH". Si es "5", se asigna a "SERVICE". Si es "8", se asigna a "NETWORK_CLEAR_TEXT". Si es "9", se asigna a "NEW_CREDENTIALS". Si es "10", se asigna a "REMOTE_INTERACTIVE". Si es "11", se asigna a "CACHED_INTERACTIVE". De lo contrario, si no está vacío, se asigna a "MECHANISM_OTHER". |
| Cuenta de acceso | security_result.detection_fields.value |
Valor de logon_id del análisis de Grok |
| Proceso de acceso | security_result.detection_fields.value |
Valor de logon_process del auth_kvdata analizado |
| Etiqueta obligatoria | security_result.detection_fields.value |
Valor de mandatory_label |
| mastersrcmac | principal.mac |
Valor de mastersrcmac |
| Mensaje | security_result.description |
Valor de Message |
| new_process_id | target.process.pid |
Valor de new_process_id del process_kvdata analizado |
| new_process_name | target.process.file.full_path |
Valor de new_process_name del process_kvdata analizado |
| Nombre del objeto | security_result.detection_fields.value |
Valor de object_name del object_kvdata analizado |
| Servidor de objetos | security_result.detection_fields.value |
Valor de object_server del object_kvdata analizado |
| Tipo de objeto | security_result.detection_fields.value |
Valor de object_type del object_kvdata analizado |
| osname | principal.platform |
Valor de osname si es "WINDOWS", "LINUX" o "MAC". |
| Nombre del paquete (solo NTLM) | security_result.detection_fields.value |
Valor de package_name del auth_kvdata analizado |
| policyid | security_result.rule_id |
Valor de policyid |
| policyname | security_result.rule_name |
Valor de policyname |
| policytype | security_result.rule_type |
Valor de policytype |
| ID de proceso | principal.process.pid |
Valor de process_id |
| Nombre del proceso | principal.process.file.full_path |
Valor de creator_process_name del process_kvdata analizado |
| profile_changed | security_result.detection_fields.value |
Valor de profile_changed |
| Se cambió el perfil | security_result.detection_fields.value |
Valor de profile_changed del análisis de Grok |
| protocolo | network.ip_protocol |
Si proto es "17", se asigna a "UDP". Si "6" o subtype es "wad", se asigna a "TCP". Si es "41", se asigna a "IP6IN4". Si service es "PING", proto es "1" o service contiene "ICMP", se asigna a "ICMP". |
| Protocolo | network.application_protocol |
Valor de app_protocol_output derivado de Protocol |
| Nombre del proveedor | security_result.detection_fields.value |
Valor de provider_name del provider_kvdata o cryptographic_kvdata analizado |
| rcvdbyte | network.received_bytes |
Valor de rcvdbyte |
| rcvdpkt | security_result.detection_fields.value |
Valor de rcvdpkt |
| restricted_admin_mode | security_result.detection_fields.value |
Valor de restricted_admin_mode del logon_information_kvdata analizado |
| Código de retorno | security_result.detection_fields.value |
Valor de return_code del cryptographic_kvdata analizado |
| respuesta | security_result.detection_fields.value |
Valor de response |
| rule_id | security_result.rule_id |
Valor de rule_id |
| ID de seguridad | principal.user.windows_sid |
Valor de principal_security_id del principal_kvdata analizado |
| ID de seguridad | target.user.windows_sid |
Valor de target_security_id del target_kvdata analizado |
| sentbyte | network.sent_bytes |
Valor de sentbyte |
| sentpkt | security_result.detection_fields.value |
Valor de sentpkt |
| servicio | network.application_protocol o target.application |
Valor de app_protocol_output derivado de service. Si app_protocol_output está vacío, se asigna a target.application. |
| ID de servicio | security_result.detection_fields.value |
Valor de service_id del service_kvdata analizado |
| Nombre del servicio | security_result.detection_fields.value |
Valor de service_name del service_kvdata analizado |
| sessionid | network.session_id |
Valor de sessionid |
| Gravedad | security_result.severity, security_result.severity_details |
Si Severity es "ERROR" o "CRITICAL", se debe asignar a la gravedad correspondiente del UDM. Si es "INFO", asigna "INFORMATIONAL". Si es "MINOR", se asigna a "LOW". Si es "WARNING", asigna "MEDIUM". Si es "MAJOR", se asigna a "HIGH". También asigna el valor sin procesar a severity_details. |
| gravedad, | security_result.severity, security_result.severity_details |
Si severity es "1", "2" o "3", se asigna a "LOW". Si es "4", "5" o "6", se asigna a "MEDIUM". Si es "7", "8" o "9", se asigna a "ALTA". También asigna el valor sin procesar a severity_details. |
| Nombre del elemento compartido | security_result.detection_fields.value |
Valor de share_name del share_information_kvdata analizado |
| Compartir ruta | security_result.detection_fields.value |
Valor de share_path del share_information_kvdata analizado |
| Fuente | principal.ip, principal.asset.ip o principal.hostname, principal.asset.hostname |
Si Source es una dirección IP, asigna principal.ip y principal.asset.ip. De lo contrario, asigna a principal.hostname y principal.asset.hostname. |
| Dirección de origen | principal.ip, principal.asset.ip |
Valor de source_ip del network_information analizado |
| DRA de origen | principal.resource.name |
Valor de source_dra |
| IP de origen | principal.ip |
Valor de source_ip |
| Dirección de red de origen | principal.ip, principal.asset.ip |
Valor de source_ip |
| Puerto de origen | principal.port |
Valor de source_port del network_information analizado |
| Estación de trabajo de origen | workstation_name |
Valor de source_workstation_name |
| srcip | source_ip |
Valor de srcip si source_ip está vacío |
| srccountry | principal.location.country_or_region |
Valor de srccountry |
| srcmac | principal.mac |
Valor de srcmac |
| srcname | principal.hostname, principal.asset.hostname |
Valor de srcname |
| srcport | source_port |
Valor de srcport si source_port está vacío |
| srcswversion | principal.platform_version |
Valor de srcswversion |
| Código de estado | network.http.response_code |
Valor de status_code |
| Tipo de elevación del token | security_result.detection_fields.value |
Valor de token_elevation_type |
| transited_services | security_result.detection_fields.value |
Valor de transited_services del auth_kvdata analizado |
| transip | principal.nat_ip |
Valor de transip |
| transporte | principal.nat_port |
Valor de transport |
| tipo | metadata.product_event_type |
Se usa con subtype para crear metadata.product_event_type. |
| Tipo | security_result.detection_fields.value |
Valor de Type |
| UUID | metadata.product_log_id |
Valor de UUID |
| vd | principal.administrative_domain |
Valor de vd |
| virtual_account | security_result.detection_fields.value |
Valor de virtual_account del logon_information_kvdata analizado |
| Nombre de la estación de trabajo | principal.hostname, principal.asset.hostname |
Valor de workstation_name si no hay otro identificador principal presente |
metadata.event_type |
metadata.event_type |
Es derivado. Si principal_present y target_present son verdaderos, se asigna a "NETWORK_CONNECTION". Si user_present es verdadero, se asigna a "USER_RESOURCE_ACCESS". Si principal_present es verdadero, se asigna a "STATUS_UPDATE". De lo contrario, se asigna a "GENERIC_EVENT". |
metadata.log_type |
metadata.log_type |
Se codificó de forma rígida como "CYBERX". |
metadata.product_name |
metadata.product_name |
Se codificó de forma rígida como "CYBERX". |
metadata.vendor_name |
metadata.vendor_name |
Se codificó de forma rígida como "CYBERX". |
metadata.event_timestamp |
metadata.event_timestamp |
Se copia del campo timestamp de nivel superior o se deriva de los campos eventtime o date y time. |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.