Raccogliere i log di CyberX
Questo documento descrive come raccogliere i log di CyberX utilizzando un forwarder Google Security Operations.
Per saperne di più, consulta la Panoramica sull'importazione dei dati in Google Security Operations.
Un'etichetta di importazione identifica il parser che normalizza i dati dei log non elaborati in formato UDM strutturato. Le informazioni contenute in questo documento si applicano al parser
con l'etichetta di importazione CyberX
.
Configura CyberX
- Accedi all'interfaccia utente di CyberX.
- Nell'interfaccia utente di CyberX, seleziona Inoltro e poi fai clic su Crea regola di inoltro.
Per selezionare i filtri per le notifiche:
- Nella sezione Protocolli, seleziona i protocolli richiesti o fai clic su Tutti per selezionarli tutti.
Nell'elenco Gravità, seleziona la gravità più bassa degli avvisi da inviare.
Ad esempio, gli avvisi critici e gravi vengono inviati tramite notifiche se selezioni la gravità Grave.
Nella sezione Motori, seleziona i motori richiesti o fai clic su Tutti per selezionarli tutti.
Fai clic su Aggiungi per aggiungere un nuovo metodo di notifica.
Nell'elenco Azione, seleziona un tipo di azione tra quelle disponibili.
Se aggiungi più di un'azione, è possibile creare più metodi di notifica per ogni regola.
In base all'azione selezionata, specifica i dettagli richiesti nei campi appropriati. Ad esempio, se hai selezionato Invia al server SYSLOG (CEF):
- Nel campo Host, inserisci l'indirizzo del server syslog.
- Nel campo Timezone (Fuso orario), inserisci il fuso orario del server syslog.
- Nel campo Porta, inserisci la porta del server syslog.
Fai clic su Invia.
Allo stesso modo, per le altre azioni che selezioni, specifica i dettagli richiesti.
Configura il forwarder Google Security Operations per l'importazione dei log CyberX
- Seleziona Impostazioni SIEM > Forwarder.
- Fai clic su Aggiungi nuovo inoltro.
- Nel campo Nome del forwarder, inserisci un nome univoco per il forwarder.
- Fai clic su Invia e poi su Conferma. Il forwarder viene aggiunto e viene visualizzata la finestra Aggiungi configurazione del raccoglitore.
- Nel campo Nome del raccoglitore, digita un nome univoco per il raccoglitore.
- Seleziona
Microsoft CyberX
come tipo di log. - Seleziona Syslog come Tipo di raccoglitore.
- Configura i seguenti parametri di input:
- Protocollo: specifica il protocollo di connessione utilizzato dal collettore per ascoltare i dati syslog.
- Indirizzo: specifica l'indirizzo IP o il nome host di destinazione in cui risiede il raccoglitore e ascolta i dati syslog.
- Porta: specifica la porta di destinazione in cui risiede il raccoglitore e ascolta i dati syslog.
- Fai clic su Invia.
Per ulteriori informazioni sui forwarder di Google Security Operations, consulta Gestire le configurazioni dei forwarder tramite la UI di Google Security Operations.
Se riscontri problemi durante la creazione degli inoltri, contatta l'assistenza Google Security Operations.
Riferimento alla mappatura dei campi
Questo parser gestisce i log CyberX in formato SYSLOG+KV, trasformandoli in UDM. Inizializza numerosi campi con stringhe vuote, esegue diverse sostituzioni per rinominare e formattare le coppie chiave-valore all'interno del campo del messaggio, quindi utilizza i filtri grok
e kv
per estrarre i dati strutturati nei campi UDM. Il parser dà la priorità all'estrazione dei dati chiave-valore e ricorre ai pattern grok, se necessario, arricchendo l'evento UDM con metadati, principal, target, rete e informazioni sui risultati di sicurezza.
Tabella di mappatura UDM
Campo log | Mappatura UDM | Logic |
---|---|---|
Maschera di accesso | security_result.detection_fields.value |
Valore di access_mask da access_request_kvdata analizzato |
Dominio dell'account | principal.administrative_domain |
Valore di principal_domain da principal_kvdata analizzato |
Dominio dell'account | target.administrative_domain |
Valore di target_domain da target_kvdata analizzato |
Nome account | principal.user.userid |
Valore di principal_account_name da principal_kvdata analizzato |
Nome account | target.user.userid |
Valore di target_account_name da target_kvdata analizzato |
azione | security_result.action_details |
Valore di action |
azione | security_result.action |
Derivato. Se action è "accept", "passthrough", "pass", "permit", "detected" o "close", mappalo su "ALLOW". Se action è "deny", "dropped" o "blocked", mappalo su "BLOCK". Se action è "timeout", mappalo su "FAIL". In caso contrario, mappalo su "UNKNOWN_ACTION". |
Nome algoritmo | security_result.detection_fields.value |
Valore di algorithm_name da cryptographic_kvdata analizzato |
app | target.application |
Valore di service se app_protocol_output è vuoto |
appcat | security_result.detection_fields.value |
Valore di appcat |
Nome applicazione | principal.application |
Valore di application_name |
pacchetto di autenticazione | security_result.about.resource.name |
Valore di authentication_package |
Avviso di Azure Defender for IoT | security_result.detection_fields.value |
Valore di azure_defender_for_iot_alert |
canale | security_result.detection_fields.value |
Valore di channel |
Indirizzo client | principal.ip , principal.asset.ip |
Valore di source_ip |
Porta client | principal.port |
Valore di source_port |
craction | security_result.detection_fields.value |
Valore di craction |
Le credenziali di Gestore delle credenziali sono state sottoposte a backup | security_result.description |
Valore di description |
Le credenziali di Gestore delle credenziali sono state lette. | security_result.description |
Valore di description |
crscore | security_result.severity_details |
Valore di crscore |
crlevel | security_result.severity , security_result.severity_details |
Valore di crlevel . Se crlevel è "HIGH", "MEDIUM", "LOW" o "CRITICAL", esegui il mapping alla gravità UDM corrispondente. |
Operazione crittografica | metadata.description |
Valore di product_desc |
Nome della piattaforma CyberX | security_result.detection_fields.value |
Valore di cyberx_platform_name |
Descrizione | security_result.description |
Valore di description se Message è vuoto |
Destinazione | target.ip , target.asset.ip o target.hostname |
Se Destination è un indirizzo IP, esegui il mapping su target.ip e target.asset.ip . In caso contrario, mappalo su target.hostname . |
Indirizzo di destinazione | target.ip , target.asset.ip |
Valore di destination_ip da network_information analizzato |
DRA di destinazione | target.resource.name |
Valore di destination_dra |
IP di destinazione | target.ip , target.asset.ip |
Valore di destination_ip |
Porta di destinazione | target.port |
Valore di destination_port da network_information analizzato |
devid | principal.resource.product_object_id |
Valore di devid |
devname | principal.resource.name |
Valore di devname |
Direzione | network.direction |
Se Direction è "in arrivo", "in entrata" o "risposta", mappalo su "INBOUND". Se Direction è "in uscita", "outbound" o "richiesta", mappalo su "OUTBOUND". |
dstip | target.ip , target.asset.ip |
Valore di dstip se destination_ip è vuoto |
dstcountry | target.location.country_or_region |
Valore di dstcountry |
dstintf | security_result.detection_fields.value |
Valore di dstintf |
dstintfrole | security_result.detection_fields.value |
Valore di dstintfrole |
dstosname | target.platform |
Valore di dstosname se è "WINDOWS", "LINUX" o "MAC". |
dstport | target.port |
Valore di dstport se destination_port è vuoto |
dstswversion | target.platform_version |
Valore di dstswversion |
duration | network.session_duration.seconds |
Valore di duration |
event_id | security_result.rule_name |
Utilizzato per creare il nome della regola come "EventID: %{event_id}" |
event_in_sequence | security_result.detection_fields.value |
Valore di event_in_sequence |
ID runtime filtro | security_result.detection_fields.value |
Valore di filter_run_time_id da filter_information analizzato |
Appartenenza al gruppo | security_result.detection_fields.value |
Valore di group_membership se event_id non è 4627 |
Appartenenza al gruppo | target.user.group_identifiers |
Valori di group_membership analizzati se event_id è 4627 |
handle_id | security_result.detection_fields.value |
Valore di handle_id da object_kvdata analizzato |
ID handle | security_result.detection_fields.value |
Valore di handle_id da object_kvdata analizzato |
impersonation_level | security_result.detection_fields.value |
Valore di impersonation_level da logon_information_kvdata analizzato |
Lunghezza della chiave | security_result.detection_fields.value |
Valore di key_length da auth_kvdata analizzato |
Nome chiave | security_result.detection_fields.value |
Valore di key_name da cryptographic_kvdata analizzato |
Tipo di chiave | security_result.detection_fields.value |
Valore di key_type da cryptographic_kvdata analizzato |
parole chiave | security_result.detection_fields.value |
Valore di keywords |
Nome livello | security_result.detection_fields.value |
Valore di layer_name da filter_information analizzato |
ID runtime del livello | security_result.detection_fields.value |
Valore di layer_run_time_id da filter_information analizzato |
logid | metadata.product_log_id |
Valore di logid |
GUID di accesso | principal.resource.product_object_id |
Valore di logon_guid |
ID accesso | security_result.detection_fields.value |
Valore di logon_id |
logon_type | event.idm.read_only_udm.extensions.auth.mechanism |
Derivato. Se logon_type è "3", mappalo su "NETWORK". Se "4", mappalo su "BATCH". Se "5", mappalo su "SERVICE". Se "8", mappalo su "NETWORK_CLEAR_TEXT". Se "9", mappalo a "NEW_CREDENTIALS". Se "10", mappalo su "REMOTE_INTERACTIVE". Se "11", mappalo su "CACHED_INTERACTIVE". Altrimenti, se non è vuoto, mappalo su "MECHANISM_OTHER". |
Account di accesso | security_result.detection_fields.value |
Valore di logon_id dall'analisi Grok |
Procedura di accesso | security_result.detection_fields.value |
Valore di logon_process da auth_kvdata analizzato |
Etichetta obbligatoria | security_result.detection_fields.value |
Valore di mandatory_label |
mastersrcmac | principal.mac |
Valore di mastersrcmac |
Messaggio | security_result.description |
Valore di Message |
new_process_id | target.process.pid |
Valore di new_process_id da process_kvdata analizzato |
new_process_name | target.process.file.full_path |
Valore di new_process_name da process_kvdata analizzato |
Nome oggetto | security_result.detection_fields.value |
Valore di object_name da object_kvdata analizzato |
Object Server | security_result.detection_fields.value |
Valore di object_server da object_kvdata analizzato |
Tipo di oggetto | security_result.detection_fields.value |
Valore di object_type da object_kvdata analizzato |
osname | principal.platform |
Valore di osname se è "WINDOWS", "LINUX" o "MAC". |
Nome pacchetto (solo NTLM) | security_result.detection_fields.value |
Valore di package_name da auth_kvdata analizzato |
policyid | security_result.rule_id |
Valore di policyid |
policyname | security_result.rule_name |
Valore di policyname |
policytype | security_result.rule_type |
Valore di policytype |
ID processo | principal.process.pid |
Valore di process_id |
Nome processo | principal.process.file.full_path |
Valore di creator_process_name da process_kvdata analizzato |
profile_changed | security_result.detection_fields.value |
Valore di profile_changed |
Profilo modificato | security_result.detection_fields.value |
Valore di profile_changed dall'analisi Grok |
proto | network.ip_protocol |
Se proto è "17", mappalo su "UDP". Se "6" o subtype è "wad", mappalo su "TCP". Se "41", esegui la mappatura su "IP6IN4". Se service è "PING" o proto è "1" o service contiene "ICMP", mappalo su "ICMP". |
Protocollo | network.application_protocol |
Valore di app_protocol_output derivato da Protocol |
Nome provider | security_result.detection_fields.value |
Valore di provider_name da provider_kvdata o cryptographic_kvdata analizzato |
rcvdbyte | network.received_bytes |
Valore di rcvdbyte |
rcvdpkt | security_result.detection_fields.value |
Valore di rcvdpkt |
restricted_admin_mode | security_result.detection_fields.value |
Valore di restricted_admin_mode da logon_information_kvdata analizzato |
Codice di reso | security_result.detection_fields.value |
Valore di return_code da cryptographic_kvdata analizzato |
risposta | security_result.detection_fields.value |
Valore di response |
rule_id | security_result.rule_id |
Valore di rule_id |
ID sicurezza | principal.user.windows_sid |
Valore di principal_security_id da principal_kvdata analizzato |
ID sicurezza | target.user.windows_sid |
Valore di target_security_id da target_kvdata analizzato |
sentbyte | network.sent_bytes |
Valore di sentbyte |
sentpkt | security_result.detection_fields.value |
Valore di sentpkt |
servizio | network.application_protocol o target.application |
Valore di app_protocol_output derivato da service . Se app_protocol_output è vuoto, esegui la mappatura a target.application . |
ID servizio | security_result.detection_fields.value |
Valore di service_id da service_kvdata analizzato |
Nome servizio | security_result.detection_fields.value |
Valore di service_name da service_kvdata analizzato |
sessionid | network.session_id |
Valore di sessionid |
Gravità | security_result.severity , security_result.severity_details |
Se Severity è "ERROR" o "CRITICAL", mappalo alla gravità UDM corrispondente. Se "INFO", mappalo su "INFORMATIONAL". Se "MINOR", mappalo su "LOW". Se "WARNING", mappalo su "MEDIUM". Se "MAJOR", mappalo a "HIGH". Mappa anche il valore non elaborato su severity_details . |
gravità | security_result.severity , security_result.severity_details |
Se severity è "1", "2" o "3", mappalo su "LOW". Se "4", "5" o "6", mappalo su "MEDIA". Se "7", "8" o "9", mappalo su "ALTO". Mappa anche il valore non elaborato su severity_details . |
Nome condivisione | security_result.detection_fields.value |
Valore di share_name da share_information_kvdata analizzato |
Percorso condivisione | security_result.detection_fields.value |
Valore di share_path da share_information_kvdata analizzato |
Origine | principal.ip , principal.asset.ip o principal.hostname , principal.asset.hostname |
Se Source è un indirizzo IP, esegui il mapping su principal.ip e principal.asset.ip . In caso contrario, mappali a principal.hostname e principal.asset.hostname . |
Indirizzo di origine | principal.ip , principal.asset.ip |
Valore di source_ip da network_information analizzato |
DRA di origine | principal.resource.name |
Valore di source_dra |
IP di origine | principal.ip |
Valore di source_ip |
Indirizzo di rete di origine | principal.ip , principal.asset.ip |
Valore di source_ip |
Porta di origine | principal.port |
Valore di source_port da network_information analizzato |
Workstation di origine | workstation_name |
Valore di source_workstation_name |
srcip | source_ip |
Valore di srcip se source_ip è vuoto |
srccountry | principal.location.country_or_region |
Valore di srccountry |
srcmac | principal.mac |
Valore di srcmac |
srcname | principal.hostname , principal.asset.hostname |
Valore di srcname |
srcport | source_port |
Valore di srcport se source_port è vuoto |
srcswversion | principal.platform_version |
Valore di srcswversion |
Codice di stato | network.http.response_code |
Valore di status_code |
Tipo di elevazione del token | security_result.detection_fields.value |
Valore di token_elevation_type |
transited_services | security_result.detection_fields.value |
Valore di transited_services da auth_kvdata analizzato |
transip | principal.nat_ip |
Valore di transip |
trasporto | principal.nat_port |
Valore di transport |
tipo | metadata.product_event_type |
Utilizzato con subtype per creare metadata.product_event_type |
Tipo | security_result.detection_fields.value |
Valore di Type |
UUID | metadata.product_log_id |
Valore di UUID |
vd | principal.administrative_domain |
Valore di vd |
virtual_account | security_result.detection_fields.value |
Valore di virtual_account da logon_information_kvdata analizzato |
Nome della workstation | principal.hostname , principal.asset.hostname |
Valore di workstation_name se non è presente nessun altro identificatore principale |
metadata.event_type |
metadata.event_type |
Derivato. Se sia principal_present che target_present sono true, esegui la mappatura su "NETWORK_CONNECTION". Se user_present è true, mappalo su "USER_RESOURCE_ACCESS". Se principal_present è true, mappalo su "STATUS_UPDATE". In caso contrario, mappalo su "GENERIC_EVENT". |
metadata.log_type |
metadata.log_type |
Codificato in modo permanente su "CYBERX" |
metadata.product_name |
metadata.product_name |
Codificato in modo permanente su "CYBERX" |
metadata.vendor_name |
metadata.vendor_name |
Codificato in modo permanente su "CYBERX" |
metadata.event_timestamp |
metadata.event_timestamp |
Copiato dal campo timestamp di primo livello o derivato dai campi eventtime o date e time . |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.