Coletar registros do CyberX

Compatível com:

Este documento descreve como coletar registros do CyberX usando um encaminhador do Google Security Operations.

Para mais informações, consulte Visão geral da ingestão de dados no Google Security Operations.

Um rótulo de ingestão identifica o analisador que normaliza dados de registro brutos para o formato UDM estruturado. As informações neste documento se aplicam ao analisador com o rótulo de ingestão CyberX.

Configurar o CyberX

  1. Faça login na UI da CyberX.
  2. Na UI do CyberX, selecione Encaminhamento e clique em Criar regra de encaminhamento.

  3. Para selecionar filtros de notificações, faça o seguinte:

    • Na seção Protocolos, selecione os protocolos necessários ou clique em Todos para selecionar todos os protocolos.

    • Na lista Gravidade, selecione a menor gravidade dos alertas a serem enviados.

      Por exemplo, alertas críticos e graves são enviados usando notificações se você selecionar a gravidade Grave.

    • Na seção Mecanismos, selecione os mecanismos necessários ou clique em Todos para selecionar todos.

  4. Clique em Adicionar para incluir um novo método de notificação.

  5. Na lista Ação, selecione um tipo de ação entre as opções disponíveis.

    Se você adicionar mais de uma ação, vários métodos de notificação poderão ser criados para cada regra.

  6. Com base na ação selecionada, especifique os detalhes necessários nos campos apropriados. Por exemplo, se você selecionou Enviar para o servidor SYSLOG (CEF), faça o seguinte:

    • No campo Host, insira o endereço do servidor syslog.
    • No campo Fuso horário, insira o fuso horário do servidor syslog.
    • No campo Porta, insira a porta do servidor syslog.

  7. Clique em Enviar.

    Da mesma forma, para outras ações que você selecionar, especifique os detalhes necessários.

Configurar o encaminhador do Google Security Operations para ingerir registros do CyberX

  1. Selecione Configurações do SIEM > Encaminhadores.
  2. Clique em Adicionar novo encaminhador.
  3. No campo Nome do encaminhador, insira um nome exclusivo para ele.
  4. Clique em Enviar e em Confirmar. O encaminhador é adicionado, e a janela Adicionar configuração do coletor aparece.
  5. No campo Nome do coletor, digite um nome exclusivo para ele.
  6. Selecione Microsoft CyberX como o Tipo de registro.
  7. Selecione Syslog como o Tipo de coletor.
  8. Configure os seguintes parâmetros de entrada:
    • Protocolo: especifique o protocolo de conexão que o coletor usa para detectar dados do syslog.
    • Endereço: especifique o endereço IP ou o nome do host de destino em que o coletor reside e aguarda dados do syslog.
    • Porta: especifique a porta de destino em que o coletor reside e detecta dados do syslog.
  9. Clique em Enviar.

Para mais informações sobre os encaminhadores do Google Security Operations, consulte Gerenciar configurações de encaminhador na interface do Google Security Operations.

Se você tiver problemas ao criar encaminhadores, entre em contato com o suporte do Google Security Operations.

Referência de mapeamento de campos

Esse analisador processa registros do CyberX no formato SYSLOG+KV, transformando-os em UDM. Ele inicializa vários campos com strings vazias, faz várias substituições para renomear e formatar pares de chave-valor no campo de mensagem e usa filtros grok e kv para extrair dados estruturados em campos do UDM. O analisador prioriza a extração de dados de chave-valor e volta para padrões grok, se necessário, enriquecendo o evento da UDM com metadados, principal, destino, rede e informações de resultado de segurança.

Tabela de mapeamento da UDM

Campo de registro Mapeamento do UDM Lógica
Máscara de acesso security_result.detection_fields.value Valor de access_mask do access_request_kvdata analisado
Domínio da conta principal.administrative_domain Valor de principal_domain do principal_kvdata analisado
Domínio da conta target.administrative_domain Valor de target_domain do target_kvdata analisado
Nome da conta principal.user.userid Valor de principal_account_name do principal_kvdata analisado
Nome da conta target.user.userid Valor de target_account_name do target_kvdata analisado
ação security_result.action_details Valor de action
ação security_result.action Derivada. Se action for "accept", "passthrough", "pass", "permit", "detected" ou "close", mapeie para "ALLOW". Se action for "deny", "dropped" ou "blocked", mapeie para "BLOCK". Se action for "timeout", mapeie para "FAIL". Caso contrário, mapeie para "UNKNOWN_ACTION".
Nome do algoritmo security_result.detection_fields.value Valor de algorithm_name do cryptographic_kvdata analisado
app target.application Valor de service se app_protocol_output estiver vazio
appcat security_result.detection_fields.value Valor de appcat
Nome do aplicativo principal.application Valor de application_name
Pacote de autenticação security_result.about.resource.name Valor de authentication_package
Alerta do Azure Defender para IoT security_result.detection_fields.value Valor de azure_defender_for_iot_alert
canal security_result.detection_fields.value Valor de channel
Endereço do cliente principal.ip, principal.asset.ip Valor de source_ip
Porta de cliente principal.port Valor de source_port
cração security_result.detection_fields.value Valor de craction
As credenciais do Gerenciador de credenciais foram armazenadas em backup security_result.description Valor de description
As credenciais do Credential Manager foram lidas. security_result.description Valor de description
crscore security_result.severity_details Valor de crscore
crlevel security_result.severity, security_result.severity_details Valor de crlevel. Se crlevel for "HIGH", "MEDIUM", "LOW" ou "CRITICAL", mapeie para a gravidade correspondente da UDM.
Operação criptográfica metadata.description Valor de product_desc
Nome da plataforma CyberX security_result.detection_fields.value Valor de cyberx_platform_name
Descrição security_result.description Valor de description se Message estiver vazio
Destino target.ip, target.asset.ip ou target.hostname Se Destination for um endereço IP, mapeie para target.ip e target.asset.ip. Caso contrário, mapeie para target.hostname.
Endereço de destino target.ip, target.asset.ip Valor de destination_ip do network_information analisado
DRA de destino target.resource.name Valor de destination_dra
IP de destino target.ip, target.asset.ip Valor de destination_ip
Porta de destino target.port Valor de destination_port do network_information analisado
devid principal.resource.product_object_id Valor de devid
devname principal.resource.name Valor de devname
Direção network.direction Se Direction for "incoming", "inbound" ou "response", mapeie para "INBOUND". Se Direction for "outgoing", "outbound" ou "request", mapeie para "OUTBOUND".
dstip target.ip, target.asset.ip Valor de dstip se destination_ip estiver vazio
dstcountry target.location.country_or_region Valor de dstcountry
dstintf security_result.detection_fields.value Valor de dstintf
dstintfrole security_result.detection_fields.value Valor de dstintfrole
dstosname target.platform Valor de dstosname se for "WINDOWS", "LINUX" ou "MAC".
dstport target.port Valor de dstport se destination_port estiver vazio
dstswversion target.platform_version Valor de dstswversion
duration network.session_duration.seconds Valor de duration
event_id security_result.rule_name Usado para criar o nome da regra como "EventID: %{event_id}"
event_in_sequence security_result.detection_fields.value Valor de event_in_sequence
Filtrar ID de tempo de execução security_result.detection_fields.value Valor de filter_run_time_id do filter_information analisado
Filiação a grupo security_result.detection_fields.value Valor de group_membership se event_id não for 4627
Filiação a grupo target.user.group_identifiers Valores de group_membership analisados se event_id for 4627
handle_id security_result.detection_fields.value Valor de handle_id do object_kvdata analisado
ID do identificador security_result.detection_fields.value Valor de handle_id do object_kvdata analisado
impersonation_level security_result.detection_fields.value Valor de impersonation_level do logon_information_kvdata analisado
Comprimento da chave security_result.detection_fields.value Valor de key_length do auth_kvdata analisado
Nome da chave security_result.detection_fields.value Valor de key_name do cryptographic_kvdata analisado
Tipo de chave security_result.detection_fields.value Valor de key_type do cryptographic_kvdata analisado
palavras-chave security_result.detection_fields.value Valor de keywords
Nome da camada security_result.detection_fields.value Valor de layer_name do filter_information analisado
ID do ambiente de execução da camada security_result.detection_fields.value Valor de layer_run_time_id do filter_information analisado
logid metadata.product_log_id Valor de logid
GUID de logon principal.resource.product_object_id Valor de logon_guid
ID de logon security_result.detection_fields.value Valor de logon_id
logon_type event.idm.read_only_udm.extensions.auth.mechanism Derivada. Se logon_type for "3", mapeie para "NETWORK". Se for "4", mapeie para "BATCH". Se for "5", mapeie para "SERVICE". Se for "8", mapeie para "NETWORK_CLEAR_TEXT". Se for "9", mapeie para "NEW_CREDENTIALS". Se for "10", mapeie para "REMOTE_INTERACTIVE". Se for "11", mapeie para "CACHED_INTERACTIVE". Caso contrário, se não estiver vazio, mapeie para "MECHANISM_OTHER".
Conta de login security_result.detection_fields.value Valor de logon_id da análise do grok
Processo de logon security_result.detection_fields.value Valor de logon_process do auth_kvdata analisado
Marcador obrigatório security_result.detection_fields.value Valor de mandatory_label
mastersrcmac principal.mac Valor de mastersrcmac
Mensagem security_result.description Valor de Message
new_process_id target.process.pid Valor de new_process_id do process_kvdata analisado
new_process_name target.process.file.full_path Valor de new_process_name do process_kvdata analisado
Nome do objeto security_result.detection_fields.value Valor de object_name do object_kvdata analisado
Servidor de objetos security_result.detection_fields.value Valor de object_server do object_kvdata analisado
Tipo de objeto security_result.detection_fields.value Valor de object_type do object_kvdata analisado
osname principal.platform Valor de osname se for "WINDOWS", "LINUX" ou "MAC".
Nome do pacote (somente NTLM) security_result.detection_fields.value Valor de package_name do auth_kvdata analisado
policyid security_result.rule_id Valor de policyid
policyname security_result.rule_name Valor de policyname
policytype security_result.rule_type Valor de policytype
ID do processo principal.process.pid Valor de process_id
Nome do processo principal.process.file.full_path Valor de creator_process_name do process_kvdata analisado
profile_changed security_result.detection_fields.value Valor de profile_changed
Perfil alterado security_result.detection_fields.value Valor de profile_changed da análise do grok
proto network.ip_protocol Se proto for "17", mapeie para "UDP". Se "6" ou subtype for "wad", mapeie para "TCP". Se for "41", mapeie para "IP6IN4". Se service for "PING" ou proto for "1" ou service contiver "ICMP", mapeie para "ICMP".
Protocolo network.application_protocol Valor de app_protocol_output derivado de Protocol
Nome do provedor security_result.detection_fields.value Valor de provider_name de provider_kvdata ou cryptographic_kvdata analisado
rcvdbyte network.received_bytes Valor de rcvdbyte
rcvdpkt security_result.detection_fields.value Valor de rcvdpkt
restricted_admin_mode security_result.detection_fields.value Valor de restricted_admin_mode do logon_information_kvdata analisado
Código de retorno security_result.detection_fields.value Valor de return_code do cryptographic_kvdata analisado
resposta security_result.detection_fields.value Valor de response
rule_id security_result.rule_id Valor de rule_id
ID de segurança principal.user.windows_sid Valor de principal_security_id do principal_kvdata analisado
ID de segurança target.user.windows_sid Valor de target_security_id do target_kvdata analisado
sentbyte network.sent_bytes Valor de sentbyte
sentpkt security_result.detection_fields.value Valor de sentpkt
serviço network.application_protocol ou target.application Valor de app_protocol_output derivado de service. Se app_protocol_output estiver vazio, mapeie para target.application.
ID do serviço security_result.detection_fields.value Valor de service_id do service_kvdata analisado
Nome do serviço security_result.detection_fields.value Valor de service_name do service_kvdata analisado
sessionid network.session_id Valor de sessionid
Gravidade security_result.severity, security_result.severity_details Se Severity for "ERROR" ou "CRITICAL", mapeie para a gravidade correspondente do UDM. Se for "INFO", mapeie para "INFORMATIONAL". Se for "MINOR", mapeie para "LOW". Se for "WARNING", mapeie para "MEDIUM". Se for "MAJOR", mapeie para "HIGH". Mapeie também o valor bruto para severity_details.
gravidade, security_result.severity, security_result.severity_details Se severity for "1", "2" ou "3", mapeie para "LOW". Se for "4", "5" ou "6", mapeie para "MEDIUM". Se for "7", "8" ou "9", mapeie para "ALTA". Mapeie também o valor bruto para severity_details.
Nome do compartilhamento security_result.detection_fields.value Valor de share_name do share_information_kvdata analisado
Compartilhar trajeto security_result.detection_fields.value Valor de share_path do share_information_kvdata analisado
Origem principal.ip, principal.asset.ip ou principal.hostname, principal.asset.hostname Se Source for um endereço IP, mapeie para principal.ip e principal.asset.ip. Caso contrário, mapeie para principal.hostname e principal.asset.hostname.
Endereço de origem principal.ip, principal.asset.ip Valor de source_ip do network_information analisado
DRA de origem principal.resource.name Valor de source_dra
IP de origem principal.ip Valor de source_ip
Endereço de rede de origem principal.ip, principal.asset.ip Valor de source_ip
Porta de origem principal.port Valor de source_port do network_information analisado
Estação de trabalho de origem workstation_name Valor de source_workstation_name
srcip source_ip Valor de srcip se source_ip estiver vazio
srccountry principal.location.country_or_region Valor de srccountry
srcmac principal.mac Valor de srcmac
srcname principal.hostname, principal.asset.hostname Valor de srcname
srcport source_port Valor de srcport se source_port estiver vazio
srcswversion principal.platform_version Valor de srcswversion
Código de status network.http.response_code Valor de status_code
Tipo de elevação do token security_result.detection_fields.value Valor de token_elevation_type
transited_services security_result.detection_fields.value Valor de transited_services do auth_kvdata analisado
transip principal.nat_ip Valor de transip
transport principal.nat_port Valor de transport
tipo metadata.product_event_type Usado com subtype para criar metadata.product_event_type
Tipo security_result.detection_fields.value Valor de Type
UUID metadata.product_log_id Valor de UUID
vd principal.administrative_domain Valor de vd
virtual_account security_result.detection_fields.value Valor de virtual_account do logon_information_kvdata analisado
Nome da estação de trabalho principal.hostname, principal.asset.hostname Valor de workstation_name se nenhum outro identificador principal estiver presente
metadata.event_type metadata.event_type Derivada. Se principal_present e target_present forem verdadeiros, mapeie para "NETWORK_CONNECTION". Se user_present for verdadeiro, mapeie para "USER_RESOURCE_ACCESS". Se principal_present for verdadeiro, mapeie para "STATUS_UPDATE". Caso contrário, mapeie para "GENERIC_EVENT".
metadata.log_type metadata.log_type Codificado como "CYBERX"
metadata.product_name metadata.product_name Codificado como "CYBERX"
metadata.vendor_name metadata.vendor_name Codificado como "CYBERX"
metadata.event_timestamp metadata.event_timestamp Copiado do campo timestamp de nível superior ou derivado dos campos eventtime ou date e time.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.