CyberX ログを収集する
以下でサポートされています。
Google SecOps
SIEM
このドキュメントでは、Google Security Operations フォワーダーを使用して CyberX ログを収集する方法について説明します。
詳細については、Google Security Operations へのデータの取り込みの概要をご覧ください。
取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。このドキュメントの情報は、取り込みラベル CyberX が付加されたパーサーに適用されます。
CyberX を構成する
- CyberX UI にログインします。
- CyberX UI で [転送] を選択し、[転送ルールを作成] をクリックします。
通知のフィルタを選択する手順は次のとおりです。
- [プロトコル] セクションで、必要なプロトコルを選択するか、[すべて] をクリックしてすべてのプロトコルを選択します。
[重大度] リストで、送信するアラートの最も低い重大度を選択します。
たとえば、重大度として [重大] を選択すると、重大なアラートと重大なアラートが通知を使用して送信されます。
[エンジン] セクションで、必要なエンジンを選択するか、[すべて] をクリックしてすべてのエンジンを選択します。
[追加] をクリックして、新しい通知方法を追加します。
[アクション] リストで、使用可能なアクションからアクション タイプを選択します。
複数のアクションを追加すると、ルールごとに複数の通知方法を作成できます。
選択したアクションに基づいて、適切なフィールドに必要な詳細を指定します。たとえば、[SYSLOG サーバーに送信(CEF)] を選択した場合は、次の操作を行います。
- [ホスト] フィールドに、Syslog サーバーのアドレスを入力します。
- [Timezone] フィールドに、syslog サーバーのタイムゾーンを入力します。
- [Port] フィールドに、syslog サーバーポートを入力します。
[送信] をクリックします。
同様に、選択した他のアクションについても必要な詳細を指定します。
CyberX のログを取り込むように Google Security Operations フォワーダーを構成する
- [SIEM の設定] > [フォワーダー] を選択します。
- [新しいフォワーダーの追加] をクリックします。
- [Forwarder name] フィールドに、フォワーダーの一意の名前を入力します。
- [Submit]、[Confirm] の順にクリックします。フォワーダーが追加され、[コレクタの構成を追加する] ウィンドウが表示されます。
- [Collector name] フィールドに、コレクタの一意の名前を入力します。
- [ログタイプ] として
Microsoft CyberXを選択します。 - [コレクタ タイプ] として [Syslog] を選択します。
- 次の入力パラメータを構成します。
- Protocol: コレクタが syslog データのリッスンに使用する接続プロトコルを指定します。
- アドレス: コレクタが存在し、Syslog データをリッスンするターゲット IP アドレスまたはホスト名を指定します。
- ポート: コレクタが存在し、syslog データをリッスンするターゲット ポートを指定します。
- [送信] をクリックします。
Google Security Operations フォワーダーの詳細については、Google Security Operations UI を使用してフォワーダー構成を管理するをご覧ください。
フォワーダーの作成時に問題が発生した場合は、Google Security Operations サポートにお問い合わせください。
フィールド マッピング リファレンス
このパーサーは、SYSLOG+KV 形式の CyberX ログを処理し、UDM に変換します。多数のフィールドを空の文字列に初期化し、メッセージ フィールド内の Key-Value ペアの名前変更と形式設定を行うために複数の置換を実行してから、grok フィルタと kv フィルタを使用して構造化データを UDM フィールドに抽出します。パーサーは、Key-Value データの抽出を優先し、必要に応じて grok パターンにフォールバックします。これにより、UDM イベントにメタデータ、プリンシパル、ターゲット、ネットワーク、セキュリティの結果情報が追加されます。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | 論理 |
|---|---|---|
| アクセス マスク | security_result.detection_fields.value |
パースされた access_request_kvdata の access_mask の値 |
| アカウントのドメイン | principal.administrative_domain |
パースされた principal_kvdata の principal_domain の値 |
| アカウントのドメイン | target.administrative_domain |
パースされた target_kvdata の target_domain の値 |
| アカウント名 | principal.user.userid |
パースされた principal_kvdata の principal_account_name の値 |
| アカウント名 | target.user.userid |
パースされた target_kvdata の target_account_name の値 |
| アクション | security_result.action_details |
action の値 |
| アクション | security_result.action |
派生。action が「accept」、「passthrough」、「pass」、「permit」、「detected」、「close」の場合は、「ALLOW」にマッピングします。action が「deny」、「dropped」、「blocked」の場合は、「BLOCK」にマッピングします。action が「timeout」の場合は「FAIL」にマッピングします。それ以外の場合は、「UNKNOWN_ACTION」にマッピングします。 |
| アルゴリズム名 | security_result.detection_fields.value |
パースされた cryptographic_kvdata の algorithm_name の値 |
| アプリ | target.application |
app_protocol_output が空の場合の service の値 |
| appcat | security_result.detection_fields.value |
appcat の値 |
| アプリケーション名 | principal.application |
application_name の値 |
| 認証パッケージ | security_result.about.resource.name |
authentication_package の値 |
| Azure Defender for IoT アラート | security_result.detection_fields.value |
azure_defender_for_iot_alert の値 |
| channel | security_result.detection_fields.value |
channel の値 |
| クライアント アドレス | principal.ip、principal.asset.ip |
source_ip の値 |
| クライアント ポート | principal.port |
source_port の値 |
| craction | security_result.detection_fields.value |
craction の値 |
| 認証情報マネージャーの認証情報がバックアップされました | security_result.description |
description の値 |
| 認証情報マネージャーの認証情報が読み取られました。 | security_result.description |
description の値 |
| crscore | security_result.severity_details |
crscore の値 |
| crlevel | security_result.severity、security_result.severity_details |
crlevel の値。crlevel が「HIGH」、「MEDIUM」、「LOW」、「CRITICAL」の場合は、対応する UDM の重大度にマッピングします。 |
| 暗号オペレーション | metadata.description |
product_desc の値 |
| CyberX プラットフォーム名 | security_result.detection_fields.value |
cyberx_platform_name の値 |
| 説明 | security_result.description |
Message が空の場合の description の値 |
| 宛先 | target.ip、target.asset.ip、または target.hostname |
Destination が IP アドレスの場合は、target.ip と target.asset.ip にマッピングします。それ以外の場合は target.hostname にマッピングします。 |
| 宛先アドレス | target.ip、target.asset.ip |
パースされた network_information の destination_ip の値 |
| 移行先の DRA | target.resource.name |
destination_dra の値 |
| 宛先 IP | target.ip、target.asset.ip |
destination_ip の値 |
| 宛先ポート | target.port |
パースされた network_information の destination_port の値 |
| devid | principal.resource.product_object_id |
devid の値 |
| devname | principal.resource.name |
devname の値 |
| 方向 | network.direction |
Direction が「incoming」、「inbound」、「response」の場合は「INBOUND」にマッピングします。Direction が「outgoing」、「outbound」、「request」の場合は「OUTBOUND」にマッピングします。 |
| dstip | target.ip、target.asset.ip |
destination_ip が空の場合の dstip の値 |
| dstcountry | target.location.country_or_region |
dstcountry の値 |
| dstintf | security_result.detection_fields.value |
dstintf の値 |
| dstintfrole | security_result.detection_fields.value |
dstintfrole の値 |
| dstosname | target.platform |
dstosname の値が「WINDOWS」、「LINUX」、「MAC」の場合。 |
| dstport | target.port |
destination_port が空の場合の dstport の値 |
| dstswversion | target.platform_version |
dstswversion の値 |
| duration | network.session_duration.seconds |
duration の値 |
| event_id | security_result.rule_name |
ルール名「EventID: %{event_id}」の作成に使用されます。 |
| event_in_sequence | security_result.detection_fields.value |
event_in_sequence の値 |
| フィルタ実行時 ID | security_result.detection_fields.value |
パースされた filter_information の filter_run_time_id の値 |
| グループ メンバー | security_result.detection_fields.value |
event_id が 4627 ではない場合、group_membership の値 |
| グループ メンバー | target.user.group_identifiers |
event_id が 4627 の場合、パースされた group_membership の値 |
| handle_id | security_result.detection_fields.value |
パースされた object_kvdata の handle_id の値 |
| ハンドル ID | security_result.detection_fields.value |
パースされた object_kvdata の handle_id の値 |
| impersonation_level | security_result.detection_fields.value |
パースされた logon_information_kvdata の impersonation_level の値 |
| 鍵長 | security_result.detection_fields.value |
パースされた auth_kvdata の key_length の値 |
| キー名 | security_result.detection_fields.value |
パースされた cryptographic_kvdata の key_name の値 |
| 鍵のタイプ | security_result.detection_fields.value |
パースされた cryptographic_kvdata の key_type の値 |
| キーワード | security_result.detection_fields.value |
keywords の値 |
| レイヤ名 | security_result.detection_fields.value |
パースされた filter_information の layer_name の値 |
| レイヤ ランタイム ID | security_result.detection_fields.value |
パースされた filter_information の layer_run_time_id の値 |
| logid | metadata.product_log_id |
logid の値 |
| ログオン GUID: | principal.resource.product_object_id |
logon_guid の値 |
| ログオン ID | security_result.detection_fields.value |
logon_id の値 |
| logon_type | event.idm.read_only_udm.extensions.auth.mechanism |
派生。logon_type が「3」の場合は「NETWORK」にマッピングします。4 の場合は「BATCH」にマッピングします。5 の場合は「SERVICE」にマッピングします。8 の場合は「NETWORK_CLEAR_TEXT」にマッピングします。9 の場合は「NEW_CREDENTIALS」にマッピングします。10 の場合は「REMOTE_INTERACTIVE」にマッピングします。11 の場合は「CACHED_INTERACTIVE」にマッピングします。それ以外の場合は、空でなければ「MECHANISM_OTHER」にマッピングします。 |
| ログオン アカウント | security_result.detection_fields.value |
grok パースの logon_id の値 |
| ログオン プロセス | security_result.detection_fields.value |
パースされた auth_kvdata の logon_process の値 |
| 必須ラベル | security_result.detection_fields.value |
mandatory_label の値 |
| mastersrcmac | principal.mac |
mastersrcmac の値 |
| メッセージ | security_result.description |
Message の値 |
| new_process_id | target.process.pid |
パースされた process_kvdata の new_process_id の値 |
| new_process_name | target.process.file.full_path |
パースされた process_kvdata の new_process_name の値 |
| オブジェクト名 | security_result.detection_fields.value |
パースされた object_kvdata の object_name の値 |
| オブジェクト サーバー | security_result.detection_fields.value |
パースされた object_kvdata の object_server の値 |
| オブジェクトタイプ | security_result.detection_fields.value |
パースされた object_kvdata の object_type の値 |
| osname | principal.platform |
osname の値が「WINDOWS」、「LINUX」、「MAC」の場合。 |
| Package Name(NTLM のみ) | security_result.detection_fields.value |
パースされた auth_kvdata の package_name の値 |
| policyid | security_result.rule_id |
policyid の値 |
| policyname | security_result.rule_name |
policyname の値 |
| policytype | security_result.rule_type |
policytype の値 |
| プロセス ID | principal.process.pid |
process_id の値 |
| プロセス名 | principal.process.file.full_path |
パースされた process_kvdata の creator_process_name の値 |
| profile_changed | security_result.detection_fields.value |
profile_changed の値 |
| Profile Changed(プロファイルが変更されました) | security_result.detection_fields.value |
grok パースの profile_changed の値 |
| proto | network.ip_protocol |
proto が「17」の場合は「UDP」にマッピングします。「6」または subtype が「wad」の場合は「TCP」にマッピングします。「41」の場合は「IP6IN4」にマッピングします。service が「PING」の場合、proto が「1」の場合、または service に「ICMP」が含まれている場合は、「ICMP」にマッピングします。 |
| プロトコル | network.application_protocol |
Protocol から取得された app_protocol_output の値 |
| プロバイダ名 | security_result.detection_fields.value |
パースされた provider_kvdata または cryptographic_kvdata の provider_name の値 |
| rcvdbyte | network.received_bytes |
rcvdbyte の値 |
| rcvdpkt | security_result.detection_fields.value |
rcvdpkt の値 |
| restricted_admin_mode | security_result.detection_fields.value |
パースされた logon_information_kvdata の restricted_admin_mode の値 |
| 戻りコード | security_result.detection_fields.value |
パースされた cryptographic_kvdata の return_code の値 |
| レスポンス | security_result.detection_fields.value |
response の値 |
| rule_id | security_result.rule_id |
rule_id の値 |
| セキュリティ ID | principal.user.windows_sid |
パースされた principal_kvdata の principal_security_id の値 |
| セキュリティ ID | target.user.windows_sid |
パースされた target_kvdata の target_security_id の値 |
| sentbyte | network.sent_bytes |
sentbyte の値 |
| sentpkt | security_result.detection_fields.value |
sentpkt の値 |
| サービス | network.application_protocol または target.application |
service から派生した app_protocol_output の値。app_protocol_output が空の場合は、target.application にマッピングします。 |
| サービス ID | security_result.detection_fields.value |
パースされた service_kvdata の service_id の値 |
| サービス名 | security_result.detection_fields.value |
パースされた service_kvdata の service_name の値 |
| sessionid | network.session_id |
sessionid の値 |
| 重大度 | security_result.severity、security_result.severity_details |
Severity が「ERROR」または「CRITICAL」の場合は、対応する UDM の重大度にマッピングします。「INFO」の場合は「INFORMATIONAL」にマッピングします。「MINOR」の場合は「LOW」にマッピングします。「WARNING」の場合は「MEDIUM」にマッピングします。「MAJOR」の場合は「HIGH」にマッピングします。また、未加工の値を severity_details にマッピングします。 |
| 重要度 | security_result.severity、security_result.severity_details |
severity が「1」、「2」、「3」の場合は「LOW」にマッピングします。「4」、「5」、「6」の場合は「MEDIUM」にマッピングします。「7」、「8」、「9」の場合は「HIGH」にマッピングします。また、未加工の値を severity_details にマッピングします。 |
| 共有名 | security_result.detection_fields.value |
パースされた share_information_kvdata の share_name の値 |
| 共有パス | security_result.detection_fields.value |
パースされた share_information_kvdata の share_path の値 |
| ソース | principal.ip、principal.asset.ip、または principal.hostname、principal.asset.hostname |
Source が IP アドレスの場合は、principal.ip と principal.asset.ip にマッピングします。それ以外の場合は、principal.hostname と principal.asset.hostname にマッピングします。 |
| ソース アドレス | principal.ip、principal.asset.ip |
パースされた network_information の source_ip の値 |
| ソース DRA | principal.resource.name |
source_dra の値 |
| 送信元 IP | principal.ip |
source_ip の値 |
| ソース ネットワーク アドレス | principal.ip、principal.asset.ip |
source_ip の値 |
| 送信元ポート | principal.port |
パースされた network_information の source_port の値 |
| ソース ワークステーション | workstation_name |
source_workstation_name の値 |
| srcip | source_ip |
source_ip が空の場合の srcip の値 |
| srccountry | principal.location.country_or_region |
srccountry の値 |
| srcmac | principal.mac |
srcmac の値 |
| srcname | principal.hostname、principal.asset.hostname |
srcname の値 |
| srcport | source_port |
source_port が空の場合の srcport の値 |
| srcswversion | principal.platform_version |
srcswversion の値 |
| ステータス コード | network.http.response_code |
status_code の値 |
| トークン昇格タイプ | security_result.detection_fields.value |
token_elevation_type の値 |
| transited_services | security_result.detection_fields.value |
パースされた auth_kvdata の transited_services の値 |
| transip | principal.nat_ip |
transip の値 |
| transport | principal.nat_port |
transport の値 |
| type | metadata.product_event_type |
subtype とともに使用して metadata.product_event_type を作成します。 |
| タイプ | security_result.detection_fields.value |
Type の値 |
| UUID | metadata.product_log_id |
UUID の値 |
| vd | principal.administrative_domain |
vd の値 |
| virtual_account | security_result.detection_fields.value |
パースされた logon_information_kvdata の virtual_account の値 |
| ワークステーション名 | principal.hostname、principal.asset.hostname |
他のプリンシパル ID が存在しない場合の workstation_name の値 |
metadata.event_type |
metadata.event_type |
派生。principal_present と target_present の両方が true の場合は、「NETWORK_CONNECTION」にマッピングします。user_present が true の場合は、「USER_RESOURCE_ACCESS」にマッピングします。principal_present が true の場合は「STATUS_UPDATE」にマッピングします。それ以外の場合は、「GENERIC_EVENT」にマッピングします。 |
metadata.log_type |
metadata.log_type |
「CYBERX」にハードコードされています |
metadata.product_name |
metadata.product_name |
「CYBERX」にハードコードされています |
metadata.vendor_name |
metadata.vendor_name |
「CYBERX」にハードコードされています |
metadata.event_timestamp |
metadata.event_timestamp |
最上位の timestamp フィールドからコピーされるか、eventtime フィールド、date フィールド、time フィールドから派生します。 |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。