此页面由 Cloud Translation API 翻译。

收集 CyberX 日志

支持的语言：

Google SecOps SIEM

本文档介绍了如何使用 Google Security Operations 转发器收集 CyberX 日志。

如需了解详情，请参阅 Google Security Operations 数据注入概览。

注入标签用于标识将原始日志数据标准化为结构化 UDM 格式的解析器。本文档中的信息适用于具有 CyberX 注入标签的解析器。

配置 CyberX

登录 CyberX 界面。
在 CyberX 界面中，选择转发，然后点击创建转发规则。
如需为通知选择过滤条件，请执行以下操作：
- 在协议部分，选择所需的协议，或点击全部以选择所有协议。
- 在严重程度列表中，选择要发送的提醒的最低严重程度。
  
  例如，如果您选择严重严重程度，系统会使用通知发送严重和主要警报。
- 在引擎部分，选择所需的引擎，或点击全部以选择所有引擎。
点击添加，即可添加新的通知方法。
在操作列表中，从可用操作中选择一种操作类型。

如果您添加了多项操作，则可以为每条规则创建多种通知方法。
根据您选择的操作，在相应字段中指定所需的详细信息。例如，如果您选择了发送到 SYSLOG 服务器 (CEF)，请执行以下操作：
- 在主机字段中，输入 syslog 服务器地址。
- 在时区字段中，输入 syslog 服务器时区。
- 在端口字段中，输入 syslog 服务器端口。
点击提交。

同样，对于您选择的其他操作，请指定所需的详细信息。

配置 Google Security Operations 转发器以注入 CyberX 日志

依次选择 SIEM 设置 > 转发器。
点击添加新转发器。
在转发器名称字段中，输入转发器的唯一名称。
点击提交，然后点击确认。转发器已添加，系统会显示添加收集器配置窗口。
在收集器名称字段中，为收集器输入一个唯一名称。
选择 Microsoft CyberX 作为日志类型。
选择 Syslog 作为收集器类型。
配置以下输入参数：
- 协议：指定收集器用于监听 syslog 数据的连接协议。
- 地址：指定收集器所在的并监听 syslog 数据的目标 IP 地址或主机名。
- 端口：指定收集器所在的并监听 syslog 数据的目标端口。
点击提交。

如需详细了解 Google Security Operations 转发器，请参阅通过 Google Security Operations 界面管理转发器配置。

如果您在创建转发器时遇到问题，请与 Google Security Operations 支持团队联系。

字段映射参考

此解析器可处理 SYSLOG+KV 格式的 CyberX 日志，并将其转换为 UDM。它会将许多字段初始化为空字符串，执行多项替换操作以重命名和格式化消息字段中的键值对，然后使用 grok 和 kv 过滤器将结构化数据提取到 UDM 字段中。解析器会优先提取键值数据，并在必要时回退到 grok 模式，从而使用元数据、正文、目标、网络和安全结果信息来丰富 UDM 事件。

UDM 映射表

日志字段	UDM 映射	逻辑
访问权限掩码	`security_result.detection_fields.value`	已解析的 `access_request_kvdata` 中的 `access_mask` 值
账号网域	`principal.administrative_domain`	已解析的 `principal_kvdata` 中的 `principal_domain` 值
账号网域	`target.administrative_domain`	已解析的 `target_kvdata` 中的 `target_domain` 值
账号名	`principal.user.userid`	已解析的 `principal_kvdata` 中的 `principal_account_name` 值
账号名	`target.user.userid`	已解析的 `target_kvdata` 中的 `target_account_name` 值
操作	`security_result.action_details`	`action` 的值
操作	`security_result.action`	派生。如果 `action` 为“accept”“passthrough”“pass”“permit”“detected”或“close”，则映射为“ALLOW”。如果 `action` 为“deny”“dropped”或“blocked”，则映射到“BLOCK”。如果 `action` 为“timeout”，则映射为“FAIL”。否则，映射到“UNKNOWN_ACTION”。
算法名称	`security_result.detection_fields.value`	已解析的 `cryptographic_kvdata` 中的 `algorithm_name` 值
应用	`target.application`	如果 `app_protocol_output` 为空，则 `service` 的值为
appcat	`security_result.detection_fields.value`	`appcat` 的值
应用名称	`principal.application`	`application_name` 的值
身份验证软件包	`security_result.about.resource.name`	`authentication_package` 的值
Azure Defender for IoT 警报	`security_result.detection_fields.value`	`azure_defender_for_iot_alert` 的值
频道	`security_result.detection_fields.value`	`channel` 的值
客户端地址	`principal.ip`，`principal.asset.ip`	`source_ip` 的值
客户端端口	`principal.port`	`source_port` 的值
craction	`security_result.detection_fields.value`	`craction` 的值
已备份凭据管理器凭据	`security_result.description`	`description` 的值
已读取凭据管理器凭据。	`security_result.description`	`description` 的值
crscore	`security_result.severity_details`	`crscore` 的值
crlevel	`security_result.severity`，`security_result.severity_details`	`crlevel` 的值。如果 `crlevel` 为“HIGH”“MEDIUM”“LOW”或“CRITICAL”，则映射到相应的 UDM 严重程度。
加密操作	`metadata.description`	`product_desc` 的值
CyberX 平台名称	`security_result.detection_fields.value`	`cyberx_platform_name` 的值
说明	`security_result.description`	如果 `Message` 为空，则 `description` 的值为
目的地	`target.ip`、`target.asset.ip` 或 `target.hostname`	如果 `Destination` 是 IP 地址，则映射到 `target.ip` 和 `target.asset.ip`。否则，映射到 `target.hostname`。
目的地地址	`target.ip`，`target.asset.ip`	已解析的 `network_information` 中的 `destination_ip` 值
目标 DRA	`target.resource.name`	`destination_dra` 的值
目标 IP	`target.ip`，`target.asset.ip`	`destination_ip` 的值
目标端口	`target.port`	已解析的 `network_information` 中的 `destination_port` 值
devid	`principal.resource.product_object_id`	`devid` 的值
devname	`principal.resource.name`	`devname` 的值
方向	`network.direction`	如果 `Direction` 为“incoming”“inbound”或“response”，则映射到“INBOUND”。如果 `Direction` 是“outgoing”“outbound”或“request”，则映射到“OUTBOUND”。
dstip	`target.ip`，`target.asset.ip`	如果 `destination_ip` 为空，则 `dstip` 的值为
dstcountry	`target.location.country_or_region`	`dstcountry` 的值
dstintf	`security_result.detection_fields.value`	`dstintf` 的值
dstintfrole	`security_result.detection_fields.value`	`dstintfrole` 的值
dstosname	`target.platform`	如果值为“WINDOWS”“LINUX”或“MAC”，则为 `dstosname`。
dstport	`target.port`	如果 `destination_port` 为空，则 `dstport` 的值为
dstswversion	`target.platform_version`	`dstswversion` 的值
时长	`network.session_duration.seconds`	`duration` 的值
event_id	`security_result.rule_name`	用于将规则名称构造为“EventID: %{event_id}”
event_in_sequence	`security_result.detection_fields.value`	`event_in_sequence` 的值
过滤运行时 ID	`security_result.detection_fields.value`	已解析的 `filter_information` 中的 `filter_run_time_id` 值
群组成员资格	`security_result.detection_fields.value`	如果 `event_id` 不是 4627，则为 `group_membership`
群组成员资格	`target.user.group_identifiers`	如果 `event_id` 为 4627，则为已解析的 `group_membership` 中的值
handle_id	`security_result.detection_fields.value`	已解析的 `object_kvdata` 中的 `handle_id` 值
句柄 ID	`security_result.detection_fields.value`	已解析的 `object_kvdata` 中的 `handle_id` 值
impersonation_level	`security_result.detection_fields.value`	已解析的 `logon_information_kvdata` 中的 `impersonation_level` 值
密钥长度	`security_result.detection_fields.value`	已解析的 `auth_kvdata` 中的 `key_length` 值
键名	`security_result.detection_fields.value`	已解析的 `cryptographic_kvdata` 中的 `key_name` 值
密钥类型	`security_result.detection_fields.value`	已解析的 `cryptographic_kvdata` 中的 `key_type` 值
关键字	`security_result.detection_fields.value`	`keywords` 的值
图层名称	`security_result.detection_fields.value`	已解析的 `filter_information` 中的 `layer_name` 值
层运行时 ID	`security_result.detection_fields.value`	已解析的 `filter_information` 中的 `layer_run_time_id` 值
logid	`metadata.product_log_id`	`logid` 的值
登录 GUID	`principal.resource.product_object_id`	`logon_guid` 的值
登录 ID	`security_result.detection_fields.value`	`logon_id` 的值
logon_type	`event.idm.read_only_udm.extensions.auth.mechanism`	派生。如果 `logon_type` 为“3”，则映射到“NETWORK”。如果为“4”，则映射到“BATCH”。如果为“5”，则映射到“SERVICE”。如果值为“8”，则映射到“NETWORK_CLEAR_TEXT”。如果值为“9”，则映射到“NEW_CREDENTIALS”。如果为“10”，则映射到“REMOTE_INTERACTIVE”。如果为“11”，则映射到“CACHED_INTERACTIVE”。否则，如果非空，则映射到“MECHANISM_OTHER”。
登录账号	`security_result.detection_fields.value`	来自 grok 解析的 `logon_id` 值
登录流程	`security_result.detection_fields.value`	已解析的 `auth_kvdata` 中的 `logon_process` 值
强制性标签	`security_result.detection_fields.value`	`mandatory_label` 的值
mastersrcmac	`principal.mac`	`mastersrcmac` 的值
消息	`security_result.description`	`Message` 的值
new_process_id	`target.process.pid`	已解析的 `process_kvdata` 中的 `new_process_id` 值
new_process_name	`target.process.file.full_path`	已解析的 `process_kvdata` 中的 `new_process_name` 值
对象名称	`security_result.detection_fields.value`	已解析的 `object_kvdata` 中的 `object_name` 值
对象服务器	`security_result.detection_fields.value`	已解析的 `object_kvdata` 中的 `object_server` 值
对象类型	`security_result.detection_fields.value`	已解析的 `object_kvdata` 中的 `object_type` 值
osname	`principal.platform`	如果值为“WINDOWS”“LINUX”或“MAC”，则为 `osname`。
软件包名称（仅限 NTLM）	`security_result.detection_fields.value`	已解析的 `auth_kvdata` 中的 `package_name` 值
policyid	`security_result.rule_id`	`policyid` 的值
policyname	`security_result.rule_name`	`policyname` 的值
policytype	`security_result.rule_type`	`policytype` 的值
进程 ID	`principal.process.pid`	`process_id` 的值
进程名称	`principal.process.file.full_path`	已解析的 `process_kvdata` 中的 `creator_process_name` 值
profile_changed	`security_result.detection_fields.value`	`profile_changed` 的值
个人资料已更改	`security_result.detection_fields.value`	来自 grok 解析的 `profile_changed` 值
proto	`network.ip_protocol`	如果 `proto` 为“17”，则映射到“UDP”。如果为“6”或 `subtype` 为“wad”，则映射到“TCP”。如果为“41”，则映射到“IP6IN4”。如果 `service` 为“PING”或 `proto` 为“1”或 `service` 包含“ICMP”，则映射到“ICMP”。
协议	`network.application_protocol`	从 `Protocol` 派生的 `app_protocol_output` 值
提供方名称	`security_result.detection_fields.value`	已解析的 `provider_kvdata` 或 `cryptographic_kvdata` 中的 `provider_name` 值
rcvdbyte	`network.received_bytes`	`rcvdbyte` 的值
rcvdpkt	`security_result.detection_fields.value`	`rcvdpkt` 的值
restricted_admin_mode	`security_result.detection_fields.value`	已解析的 `logon_information_kvdata` 中的 `restricted_admin_mode` 值
返回代码	`security_result.detection_fields.value`	已解析的 `cryptographic_kvdata` 中的 `return_code` 值
回答	`security_result.detection_fields.value`	`response` 的值
rule_id	`security_result.rule_id`	`rule_id` 的值
安全 ID	`principal.user.windows_sid`	已解析的 `principal_kvdata` 中的 `principal_security_id` 值
安全 ID	`target.user.windows_sid`	已解析的 `target_kvdata` 中的 `target_security_id` 值
sentbyte	`network.sent_bytes`	`sentbyte` 的值
sentpkt	`security_result.detection_fields.value`	`sentpkt` 的值
服务	`network.application_protocol` 或 `target.application`	从 `service` 派生的 `app_protocol_output` 的值。如果 `app_protocol_output` 为空，则映射到 `target.application`。
服务 ID	`security_result.detection_fields.value`	已解析的 `service_kvdata` 中的 `service_id` 值
服务名称	`security_result.detection_fields.value`	已解析的 `service_kvdata` 中的 `service_name` 值
sessionid	`network.session_id`	`sessionid` 的值
严重程度	`security_result.severity`，`security_result.severity_details`	如果 `Severity` 为“ERROR”或“CRITICAL”，则映射到相应的 UDM 严重程度。如果为“INFO”，则映射为“INFORMATIONAL”。如果为“MINOR”，则映射为“LOW”。如果为“WARNING”，则映射到“MEDIUM”。如果为“MAJOR”，则映射为“HIGH”。还将原始值映射到 `severity_details`。
和程度上减少	`security_result.severity`，`security_result.severity_details`	如果 `severity` 为“1”“2”或“3”，则映射为“LOW”。如果值为“4”“5”或“6”，则映射为“中等”。如果为“7”“8”或“9”，则映射为“HIGH”。还将原始值映射到 `severity_details`。
共享名称	`security_result.detection_fields.value`	已解析的 `share_information_kvdata` 中的 `share_name` 值
分享路径	`security_result.detection_fields.value`	已解析的 `share_information_kvdata` 中的 `share_path` 值
来源	`principal.ip`、`principal.asset.ip` 或 `principal.hostname`、`principal.asset.hostname`	如果 `Source` 是 IP 地址，则映射到 `principal.ip` 和 `principal.asset.ip`。否则，映射到 `principal.hostname` 和 `principal.asset.hostname`。
来源地址	`principal.ip`，`principal.asset.ip`	已解析的 `network_information` 中的 `source_ip` 值
来源 DRA	`principal.resource.name`	`source_dra` 的值
来源 IP	`principal.ip`	`source_ip` 的值
来源网络地址	`principal.ip`，`principal.asset.ip`	`source_ip` 的值
来源端口	`principal.port`	已解析的 `network_information` 中的 `source_port` 值
来源工作站	`workstation_name`	`source_workstation_name` 的值
srcip	`source_ip`	如果 `source_ip` 为空，则 `srcip` 的值为
srccountry	`principal.location.country_or_region`	`srccountry` 的值
srcmac	`principal.mac`	`srcmac` 的值
srcname	`principal.hostname`，`principal.asset.hostname`	`srcname` 的值
srcport	`source_port`	如果 `source_port` 为空，则 `srcport` 的值为
srcswversion	`principal.platform_version`	`srcswversion` 的值
状态代码	`network.http.response_code`	`status_code` 的值
令牌提升类型	`security_result.detection_fields.value`	`token_elevation_type` 的值
transited_services	`security_result.detection_fields.value`	已解析的 `auth_kvdata` 中的 `transited_services` 值
transip	`principal.nat_ip`	`transip` 的值
transport	`principal.nat_port`	`transport` 的值
类型	`metadata.product_event_type`	与 `subtype` 搭配使用以创建 `metadata.product_event_type`
类型	`security_result.detection_fields.value`	`Type` 的值
UUID	`metadata.product_log_id`	`UUID` 的值
vd	`principal.administrative_domain`	`vd` 的值
virtual_account	`security_result.detection_fields.value`	已解析的 `logon_information_kvdata` 中的 `virtual_account` 值
工作站名称	`principal.hostname`，`principal.asset.hostname`	如果不存在其他正文标识符，则为 `workstation_name` 的值
`metadata.event_type`	`metadata.event_type`	派生。如果 `principal_present` 和 `target_present` 均为 true，则映射到“NETWORK_CONNECTION”。如果 `user_present` 为 true，则映射到“USER_RESOURCE_ACCESS”。如果 `principal_present` 为 true，则映射到“STATUS_UPDATE”。否则，映射到“GENERIC_EVENT”。
`metadata.log_type`	`metadata.log_type`	硬编码为“CYBERX”
`metadata.product_name`	`metadata.product_name`	硬编码为“CYBERX”
`metadata.vendor_name`	`metadata.vendor_name`	硬编码为“CYBERX”
`metadata.event_timestamp`	`metadata.event_timestamp`	从顶级 `timestamp` 字段复制，或从 `eventtime`、`date` 和 `time` 字段派生。