Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log CyberX

Didukung di:

Google secops SIEM

Dokumen ini menjelaskan cara mengumpulkan log CyberX menggunakan penerus Google Security Operations.

Untuk mengetahui informasi selengkapnya, lihat Ringkasan penyerapan data ke Google Security Operations.

Label penyerapan mengidentifikasi parser yang menormalisasi data log mentah ke dalam format UDM terstruktur. Informasi dalam dokumen ini berlaku untuk parser dengan label penyerapan CyberX.

Mengonfigurasi CyberX

Login ke UI CyberX.
Di UI CyberX, pilih Forwarding, lalu klik Create forwarding rule.
Untuk memilih filter untuk notifikasi, lakukan tindakan berikut:
- Di bagian Protocols, pilih protokol yang diperlukan atau klik All untuk memilih semua protokol.
- Di daftar Tingkat Keseriusan, pilih tingkat keseriusan terendah untuk pemberitahuan yang akan dikirim.
  
  Misalnya, peringatan penting dan berat dikirim menggunakan notifikasi jika Anda memilih tingkat keparahan Berat.
- Di bagian Mesin telusur, pilih mesin telusur yang diperlukan atau klik Semua untuk memilih semua mesin telusur.
Klik Tambahkan untuk menambahkan metode notifikasi baru.
Dalam daftar Tindakan, pilih jenis tindakan dari tindakan yang tersedia.

Jika Anda menambahkan lebih dari satu tindakan, beberapa metode notifikasi dapat dibuat untuk setiap aturan.
Berdasarkan tindakan yang Anda pilih, tentukan detail yang diperlukan di kolom yang sesuai. Misalnya, jika Anda memilih Send to SYSLOG server (CEF), lakukan tindakan berikut:
- Di kolom Host, masukkan alamat server syslog.
- Di kolom Timezone, masukkan zona waktu server syslog.
- Di kolom Port, masukkan port server syslog.
Klik Kirim.

Demikian pula, untuk tindakan lain yang Anda pilih, tentukan detail yang diperlukan.

Mengonfigurasi penerusan Google Security Operations untuk menyerap log CyberX

Pilih Setelan SIEM > Forwarder.
Klik Tambahkan penerusan baru.
Di kolom Nama penerusan, masukkan nama unik untuk penerusan.
Klik Kirim, lalu klik Konfirmasi. Forwarder ditambahkan dan jendela Add collector configuration akan muncul.
Di kolom Collector name, ketik nama unik untuk pengumpul.
Pilih Microsoft CyberX sebagai Jenis log.
Pilih Syslog sebagai Collector type.
Konfigurasikan parameter input berikut:
- Protokol: tentukan protokol koneksi yang digunakan pengumpul untuk memproses data syslog.
- Alamat: tentukan alamat IP atau nama host target tempat pengumpul berada dan memproses data syslog.
- Port: tentukan port target tempat pengumpul berada dan memproses data syslog.
Klik Kirim.

Untuk mengetahui informasi selengkapnya tentang penerus Google Security Operations, lihat Mengelola konfigurasi penerus melalui UI Google Security Operations.

Jika Anda mengalami masalah saat membuat penerusan, hubungi dukungan Google Security Operations.

Referensi pemetaan kolom

Parser ini menangani log CyberX dalam format SYSLOG+KV, dan mengubahnya menjadi UDM. Fungsi ini menginisialisasi banyak kolom ke string kosong, melakukan beberapa penggantian untuk mengganti nama dan memformat pasangan nilai kunci dalam kolom pesan, lalu menggunakan filter grok dan kv untuk mengekstrak data terstruktur ke dalam kolom UDM. Parser memprioritaskan ekstraksi data nilai kunci dan melakukan penggantian ke pola grok jika perlu, dengan memperkaya peristiwa UDM dengan informasi metadata, principal, target, jaringan, dan hasil keamanan.

Tabel pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
Akses Masker	`security_result.detection_fields.value`	Nilai `access_mask` dari `access_request_kvdata` yang diuraikan
Domain Akun	`principal.administrative_domain`	Nilai `principal_domain` dari `principal_kvdata` yang diuraikan
Domain Akun	`target.administrative_domain`	Nilai `target_domain` dari `target_kvdata` yang diuraikan
Nama Akun	`principal.user.userid`	Nilai `principal_account_name` dari `principal_kvdata` yang diuraikan
Nama Akun	`target.user.userid`	Nilai `target_account_name` dari `target_kvdata` yang diuraikan
tindakan	`security_result.action_details`	Nilai `action`
tindakan	`security_result.action`	Diturunkan. Jika `action` adalah "accept", "passthrough", "pass", "permit", "detected", atau "close", petakan ke "ALLOW". Jika `action` adalah "deny", "dropped", atau "blocked", petakan ke "BLOCK". Jika `action` adalah "timeout", petakan ke "FAIL". Jika tidak, petakan ke "UNKNOWN_ACTION".
Nama Algoritma	`security_result.detection_fields.value`	Nilai `algorithm_name` dari `cryptographic_kvdata` yang diuraikan
aplikasi	`target.application`	Nilai `service` jika `app_protocol_output` kosong
appcat	`security_result.detection_fields.value`	Nilai `appcat`
Nama Aplikasi	`principal.application`	Nilai `application_name`
Paket Autentikasi	`security_result.about.resource.name`	Nilai `authentication_package`
Pemberitahuan Azure Defender untuk IoT	`security_result.detection_fields.value`	Nilai `azure_defender_for_iot_alert`
channel	`security_result.detection_fields.value`	Nilai `channel`
Alamat Klien	`principal.ip`, `principal.asset.ip`	Nilai `source_ip`
Port Klien	`principal.port`	Nilai `source_port`
craction	`security_result.detection_fields.value`	Nilai `craction`
Kredensial Pengelola Kredensial telah dicadangkan	`security_result.description`	Nilai `description`
Kredensial Pengelola Kredensial telah dibaca.	`security_result.description`	Nilai `description`
crscore	`security_result.severity_details`	Nilai `crscore`
crlevel	`security_result.severity`, `security_result.severity_details`	Nilai `crlevel`. Jika `crlevel` adalah "TINGGI", "SEDANG", "RENDAH", atau "KRITIS", petakan ke tingkat keparahan UDM yang sesuai.
Operasi Kriptografi	`metadata.description`	Nilai `product_desc`
Nama platform CyberX	`security_result.detection_fields.value`	Nilai `cyberx_platform_name`
Deskripsi	`security_result.description`	Nilai `description` jika `Message` kosong
Tujuan	`target.ip`, `target.asset.ip`, atau `target.hostname`	Jika `Destination` adalah alamat IP, petakan ke `target.ip` dan `target.asset.ip`. Jika tidak, petakan ke `target.hostname`.
Alamat Tujuan	`target.ip`, `target.asset.ip`	Nilai `destination_ip` dari `network_information` yang diuraikan
DRA tujuan	`target.resource.name`	Nilai `destination_dra`
IP tujuan	`target.ip`, `target.asset.ip`	Nilai `destination_ip`
Port Tujuan	`target.port`	Nilai `destination_port` dari `network_information` yang diuraikan
devid	`principal.resource.product_object_id`	Nilai `devid`
devname	`principal.resource.name`	Nilai `devname`
Arah	`network.direction`	Jika `Direction` adalah "incoming", "inbound", atau "response", petakan ke "INBOUND". Jika `Direction` adalah "outgoing", "outbound", atau "request", petakan ke "OUTBOUND".
dstip	`target.ip`, `target.asset.ip`	Nilai `dstip` jika `destination_ip` kosong
dstcountry	`target.location.country_or_region`	Nilai `dstcountry`
dstintf	`security_result.detection_fields.value`	Nilai `dstintf`
dstintfrole	`security_result.detection_fields.value`	Nilai `dstintfrole`
dstosname	`target.platform`	Nilai `dstosname` jika berupa "WINDOWS", "LINUX", atau "MAC".
dstport	`target.port`	Nilai `dstport` jika `destination_port` kosong
dstswversion	`target.platform_version`	Nilai `dstswversion`
durasi	`network.session_duration.seconds`	Nilai `duration`
event_id	`security_result.rule_name`	Digunakan untuk membuat nama aturan sebagai "EventID: %{event_id}"
event_in_sequence	`security_result.detection_fields.value`	Nilai `event_in_sequence`
ID Waktu Proses Filter	`security_result.detection_fields.value`	Nilai `filter_run_time_id` dari `filter_information` yang diuraikan
Keanggotaan Grup	`security_result.detection_fields.value`	Nilai `group_membership` jika `event_id` bukan 4627
Keanggotaan Grup	`target.user.group_identifiers`	Nilai dari `group_membership` yang diuraikan jika `event_id` adalah 4627
handle_id	`security_result.detection_fields.value`	Nilai `handle_id` dari `object_kvdata` yang diuraikan
ID Pegangan	`security_result.detection_fields.value`	Nilai `handle_id` dari `object_kvdata` yang diuraikan
impersonation_level	`security_result.detection_fields.value`	Nilai `impersonation_level` dari `logon_information_kvdata` yang diuraikan
Panjang Kunci	`security_result.detection_fields.value`	Nilai `key_length` dari `auth_kvdata` yang diuraikan
Nama Kunci	`security_result.detection_fields.value`	Nilai `key_name` dari `cryptographic_kvdata` yang diuraikan
Jenis Kunci	`security_result.detection_fields.value`	Nilai `key_type` dari `cryptographic_kvdata` yang diuraikan
kata kunci	`security_result.detection_fields.value`	Nilai `keywords`
Nama Lapisan	`security_result.detection_fields.value`	Nilai `layer_name` dari `filter_information` yang diuraikan
ID Waktu Proses Lapisan	`security_result.detection_fields.value`	Nilai `layer_run_time_id` dari `filter_information` yang diuraikan
logid	`metadata.product_log_id`	Nilai `logid`
GUID Login	`principal.resource.product_object_id`	Nilai `logon_guid`
ID Login	`security_result.detection_fields.value`	Nilai `logon_id`
logon_type	`event.idm.read_only_udm.extensions.auth.mechanism`	Diturunkan. Jika `logon_type` adalah '3', petakan ke "NETWORK". Jika '4', petakan ke "BATCH". Jika '5', petakan ke "SERVICE". Jika '8', petakan ke "NETWORK_CLEAR_TEXT". Jika '9', petakan ke "NEW_CREDENTIALS". Jika '10', petakan ke "REMOTE_INTERACTIVE". Jika '11', petakan ke "CACHED_INTERACTIVE". Jika tidak kosong, petakan ke "MECHANISM_OTHER".
Akun Login	`security_result.detection_fields.value`	Nilai `logon_id` dari penguraian grok
Proses Login	`security_result.detection_fields.value`	Nilai `logon_process` dari `auth_kvdata` yang diuraikan
Label Wajib	`security_result.detection_fields.value`	Nilai `mandatory_label`
mastersrcmac	`principal.mac`	Nilai `mastersrcmac`
Pesan	`security_result.description`	Nilai `Message`
new_process_id	`target.process.pid`	Nilai `new_process_id` dari `process_kvdata` yang diuraikan
new_process_name	`target.process.file.full_path`	Nilai `new_process_name` dari `process_kvdata` yang diuraikan
Nama Objek	`security_result.detection_fields.value`	Nilai `object_name` dari `object_kvdata` yang diuraikan
Server Objek	`security_result.detection_fields.value`	Nilai `object_server` dari `object_kvdata` yang diuraikan
Jenis Objek	`security_result.detection_fields.value`	Nilai `object_type` dari `object_kvdata` yang diuraikan
osname	`principal.platform`	Nilai `osname` jika berupa "WINDOWS", "LINUX", atau "MAC".
Nama Paket (khusus NTLM)	`security_result.detection_fields.value`	Nilai `package_name` dari `auth_kvdata` yang diuraikan
policyid	`security_result.rule_id`	Nilai `policyid`
policyname	`security_result.rule_name`	Nilai `policyname`
policytype	`security_result.rule_type`	Nilai `policytype`
ID proses	`principal.process.pid`	Nilai `process_id`
Nama Proses	`principal.process.file.full_path`	Nilai `creator_process_name` dari `process_kvdata` yang diuraikan
profile_changed	`security_result.detection_fields.value`	Nilai `profile_changed`
Profil Diubah	`security_result.detection_fields.value`	Nilai `profile_changed` dari penguraian grok
proto	`network.ip_protocol`	Jika `proto` adalah "17", petakan ke "UDP". Jika "6" atau `subtype` adalah "wad", petakan ke "TCP". Jika "41", petakan ke "IP6IN4". Jika `service` adalah "PING" atau `proto` adalah "1" atau `service` berisi "ICMP", petakan ke "ICMP".
Protokol	`network.application_protocol`	Nilai `app_protocol_output` yang berasal dari `Protocol`
Nama Penyedia	`security_result.detection_fields.value`	Nilai `provider_name` dari `provider_kvdata` atau `cryptographic_kvdata` yang diuraikan
rcvdbyte	`network.received_bytes`	Nilai `rcvdbyte`
rcvdpkt	`security_result.detection_fields.value`	Nilai `rcvdpkt`
restricted_admin_mode	`security_result.detection_fields.value`	Nilai `restricted_admin_mode` dari `logon_information_kvdata` yang diuraikan
Kode Status	`security_result.detection_fields.value`	Nilai `return_code` dari `cryptographic_kvdata` yang diuraikan
respons	`security_result.detection_fields.value`	Nilai `response`
rule_id	`security_result.rule_id`	Nilai `rule_id`
ID Keamanan	`principal.user.windows_sid`	Nilai `principal_security_id` dari `principal_kvdata` yang diuraikan
ID Keamanan	`target.user.windows_sid`	Nilai `target_security_id` dari `target_kvdata` yang diuraikan
sentbyte	`network.sent_bytes`	Nilai `sentbyte`
sentpkt	`security_result.detection_fields.value`	Nilai `sentpkt`
pelanggan	`network.application_protocol` atau `target.application`	Nilai `app_protocol_output` yang berasal dari `service`. Jika `app_protocol_output` kosong, petakan ke `target.application`.
ID layanan	`security_result.detection_fields.value`	Nilai `service_id` dari `service_kvdata` yang diuraikan
Nama Layanan	`security_result.detection_fields.value`	Nilai `service_name` dari `service_kvdata` yang diuraikan
sessionid	`network.session_id`	Nilai `sessionid`
Keparahan	`security_result.severity`, `security_result.severity_details`	Jika `Severity` adalah "ERROR" atau "CRITICAL", petakan ke tingkat keparahan UDM yang sesuai. Jika "INFO", petakan ke "INFORMATIONAL". Jika "MINOR", petakan ke "LOW". Jika "PERINGATAN", petakan ke "SEDANG". Jika "MAJOR", petakan ke "HIGH". Petakan juga nilai mentah ke `severity_details`.
tingkat keseriusan,	`security_result.severity`, `security_result.severity_details`	Jika `severity` adalah "1", "2", atau "3", petakan ke "RENDAH". Jika "4", "5", atau "6", petakan ke "MEDIUM". Jika "7", "8", atau "9", petakan ke "TINGGI". Petakan juga nilai mentah ke `severity_details`.
Nama Penerima	`security_result.detection_fields.value`	Nilai `share_name` dari `share_information_kvdata` yang diuraikan
Bagikan Jalur	`security_result.detection_fields.value`	Nilai `share_path` dari `share_information_kvdata` yang diuraikan
Sumber	`principal.ip`, `principal.asset.ip`, atau `principal.hostname`, `principal.asset.hostname`	Jika `Source` adalah alamat IP, petakan ke `principal.ip` dan `principal.asset.ip`. Jika tidak, petakan ke `principal.hostname` dan `principal.asset.hostname`.
Alamat Sumber	`principal.ip`, `principal.asset.ip`	Nilai `source_ip` dari `network_information` yang diuraikan
DRA Sumber	`principal.resource.name`	Nilai `source_dra`
IP sumber	`principal.ip`	Nilai `source_ip`
Alamat Jaringan Sumber	`principal.ip`, `principal.asset.ip`	Nilai `source_ip`
Port Sumber	`principal.port`	Nilai `source_port` dari `network_information` yang diuraikan
Workstation Sumber	`workstation_name`	Nilai `source_workstation_name`
srcip	`source_ip`	Nilai `srcip` jika `source_ip` kosong
srccountry	`principal.location.country_or_region`	Nilai `srccountry`
srcmac	`principal.mac`	Nilai `srcmac`
srcname	`principal.hostname`, `principal.asset.hostname`	Nilai `srcname`
srcport	`source_port`	Nilai `srcport` jika `source_port` kosong
srcswversion	`principal.platform_version`	Nilai `srcswversion`
Kode Status	`network.http.response_code`	Nilai `status_code`
Jenis Peninggian Token	`security_result.detection_fields.value`	Nilai `token_elevation_type`
transited_services	`security_result.detection_fields.value`	Nilai `transited_services` dari `auth_kvdata` yang diuraikan
transip	`principal.nat_ip`	Nilai `transip`
{i>transport<i}	`principal.nat_port`	Nilai `transport`
jenis	`metadata.product_event_type`	Digunakan dengan `subtype` untuk membuat `metadata.product_event_type`
Jenis	`security_result.detection_fields.value`	Nilai `Type`
UUID	`metadata.product_log_id`	Nilai `UUID`
vd	`principal.administrative_domain`	Nilai `vd`
virtual_account	`security_result.detection_fields.value`	Nilai `virtual_account` dari `logon_information_kvdata` yang diuraikan
Nama Workstation	`principal.hostname`, `principal.asset.hostname`	Nilai `workstation_name` jika tidak ada ID utama lainnya
`metadata.event_type`	`metadata.event_type`	Diturunkan. Jika `principal_present` dan `target_present` benar, petakan ke "NETWORK_CONNECTION". Jika `user_present` benar, petakan ke "USER_RESOURCE_ACCESS". Jika `principal_present` benar (true), petakan ke "STATUS_UPDATE". Jika tidak, petakan ke "GENERIC_EVENT".
`metadata.log_type`	`metadata.log_type`	Dikodekan secara permanen ke "CYBERX"
`metadata.product_name`	`metadata.product_name`	Dikodekan secara permanen ke "CYBERX"
`metadata.vendor_name`	`metadata.vendor_name`	Dikodekan secara permanen ke "CYBERX"
`metadata.event_timestamp`	`metadata.event_timestamp`	Disalin dari kolom `timestamp` tingkat teratas, atau berasal dari kolom `eventtime` atau `date` dan `time`.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.