本頁面由 Cloud Translation API 翻譯而成。

收集 CyberX 記錄

支援的國家/地區：

Google SecOps SIEM

本文說明如何使用 Google Security Operations 轉送器收集 CyberX 記錄。

詳情請參閱「將資料擷取至 Google Security Operations 總覽」。

擷取標籤會識別剖析器，該剖析器會將原始記錄資料正規化為具結構性的 UDM 格式。本文中的資訊適用於具有 CyberX 攝入標籤的剖析器。

設定 CyberX

登入 CyberX 使用者介面。
在 CyberX 使用者介面中，選取「Forwarding」(轉送)，然後按一下「Create forwarding rule」(建立轉送規則)。
如要選取通知的篩選條件，請按照下列步驟操作：
- 在「通訊協定」部分中，選取所需通訊協定，或按一下「全部」選取所有通訊協定。
- 在「嚴重性」清單中，選取要傳送的最低嚴重性快訊。
  
  舉例來說，如果選取「重大」嚴重程度，系統就會透過通知傳送重大和主要警示。
- 在「引擎」部分中，選取所需引擎，或按一下「全部」選取所有引擎。
按一下「新增」，新增通知方式。
在「動作」清單中，從可用動作選取動作類型。

如果新增多個動作，每項規則可以建立多種通知方法。
根據所選動作，在適當的欄位中指定必要詳細資料。舉例來說，如果您選取「傳送至 SYSLOG 伺服器 (CEF)」，請按照下列步驟操作：
- 在「Host」(主機) 欄位中，輸入系統記錄伺服器地址。
- 在「時區」欄位中，輸入系統記錄伺服器時區。
- 在「Port」(通訊埠) 欄位中，輸入系統記錄伺服器通訊埠。
按一下「提交」。

同樣地，針對您選取的其他動作，請指定必要詳細資料。

設定 Google Security Operations 轉送器，以便擷取 CyberX 記錄

依序選取「SIEM 設定」>「轉送器」。
按一下「新增轉寄者」。
在「轉寄者名稱」欄位中，輸入轉寄者的專屬名稱。
依序點選「提交」和「確認」。轉送器新增完成後，系統會顯示「新增收集器設定」視窗。
在「Collector name」(收集器名稱) 欄位中，輸入收集器的專屬名稱。
選取「Microsoft CyberX」做為「記錄類型」。
選取「Syslog」做為「收集器類型」。
設定下列輸入參數：
- 通訊協定：指定收集器用來監聽系統記錄資料的連線通訊協定。
- 地址：指定收集器所在位置的目標 IP 位址或主機名稱，並監聽系統記錄資料。
- 通訊埠：指定收集器所在位置的目標通訊埠，並監聽系統記錄檔資料。
按一下「提交」。

如要進一步瞭解 Google Security Operations 轉送器，請參閱「透過 Google Security Operations 使用者介面管理轉送器設定」。

如果在建立轉寄者時遇到問題，請與 Google Security Operations 支援團隊聯絡。

欄位對應參考資料

這個剖析器會處理 SYSLOG+KV 格式的 CyberX 記錄，並將其轉換為 UDM。這個函式會將許多欄位初始化為空字串，執行多項替換作業，重新命名及格式化訊息欄位中的鍵值組，然後使用 grok 和 kv 篩選器，將結構化資料擷取至 UDM 欄位。剖析器會優先擷取鍵/值資料，並視需要改用 Grok 模式，以中繼資料、主體、目標、網路和安全性結果資訊豐富 UDM 事件。

UDM 對應表

記錄欄位	UDM 對應	邏輯
存取遮罩	`security_result.detection_fields.value`	從已剖析的 `access_request_kvdata` 取得 `access_mask` 值
帳戶網域	`principal.administrative_domain`	從已剖析的 `principal_kvdata` 取得 `principal_domain` 值
帳戶網域	`target.administrative_domain`	從已剖析的 `target_kvdata` 取得 `target_domain` 值
帳戶名稱	`principal.user.userid`	從已剖析的 `principal_kvdata` 取得 `principal_account_name` 值
帳戶名稱	`target.user.userid`	從已剖析的 `target_kvdata` 取得 `target_account_name` 值
動作	`security_result.action_details`	`action` 的值
動作	`security_result.action`	衍生。如果 `action` 是「accept」、「passthrough」、「pass」、「permit」、「detected」或「close」，請對應至「ALLOW」。如果 `action` 是「deny」、「dropped」或「blocked」，請對應至「BLOCK」。如果 `action` 是「timeout」，則對應至「FAIL」。否則，請對應至「UNKNOWN_ACTION」。
演算法名稱	`security_result.detection_fields.value`	從已剖析的 `cryptographic_kvdata` 取得 `algorithm_name` 值
應用程式	`target.application`	如果 `app_protocol_output` 為空白，則 `service` 的值
appcat	`security_result.detection_fields.value`	`appcat` 的值
應用程式名稱	`principal.application`	`application_name` 的值
驗證套件	`security_result.about.resource.name`	`authentication_package` 的值
Azure Defender for IoT 警示	`security_result.detection_fields.value`	`azure_defender_for_iot_alert` 的值
頻道	`security_result.detection_fields.value`	`channel` 的值
用戶端位址	`principal.ip`、`principal.asset.ip`	`source_ip` 的值
用戶端通訊埠	`principal.port`	`source_port` 的值
craction	`security_result.detection_fields.value`	`craction` 的值
已備份認證管理員憑證	`security_result.description`	`description` 的值
已讀取認證管理員憑證。	`security_result.description`	`description` 的值
crscore	`security_result.severity_details`	`crscore` 的值
crlevel	`security_result.severity`、`security_result.severity_details`	`crlevel` 的值。如果 `crlevel` 為「HIGH」、「MEDIUM」、「LOW」或「CRITICAL」，請對應至相應的 UDM 嚴重程度。
密碼編譯作業	`metadata.description`	`product_desc` 的值
CyberX 平台名稱	`security_result.detection_fields.value`	`cyberx_platform_name` 的值
說明	`security_result.description`	如果 `Message` 為空白，則 `description` 的值
目的地	`target.ip`、`target.asset.ip` 或 `target.hostname`	如果 `Destination` 是 IP 位址，請對應至 `target.ip` 和 `target.asset.ip`。否則，請對應至 `target.hostname`。
目的地地址	`target.ip`、`target.asset.ip`	從已剖析的 `network_information` 取得 `destination_ip` 值
目的地 DRA	`target.resource.name`	`destination_dra` 的值
目的地 IP	`target.ip`、`target.asset.ip`	`destination_ip` 的值
目的地通訊埠	`target.port`	從已剖析的 `network_information` 取得 `destination_port` 值
devid	`principal.resource.product_object_id`	`devid` 的值
devname	`principal.resource.name`	`devname` 的值
方向	`network.direction`	如果 `Direction` 是「incoming」、「inbound」或「response」，則對應至「INBOUND」。如果 `Direction` 是「outgoing」、「outbound」或「request」，則對應至「OUTBOUND」。
dstip	`target.ip`、`target.asset.ip`	如果 `destination_ip` 為空白，則 `dstip` 的值
dstcountry	`target.location.country_or_region`	`dstcountry` 的值
dstintf	`security_result.detection_fields.value`	`dstintf` 的值
dstintfrole	`security_result.detection_fields.value`	`dstintfrole` 的值
dstosname	`target.platform`	如果值為「WINDOWS」、「LINUX」或「MAC」，則為 `dstosname`。
dstport	`target.port`	如果 `destination_port` 為空白，則 `dstport` 的值
dstswversion	`target.platform_version`	`dstswversion` 的值
持續時間	`network.session_duration.seconds`	`duration` 的值
event_id	`security_result.rule_name`	用於建構規則名稱，格式為「EventID: %{event_id}」
event_in_sequence	`security_result.detection_fields.value`	`event_in_sequence` 的值
篩選器執行階段 ID	`security_result.detection_fields.value`	從已剖析的 `filter_information` 取得 `filter_run_time_id` 值
群組成員資格	`security_result.detection_fields.value`	如果 `event_id` 不是 4627，則 `group_membership` 的值
群組成員資格	`target.user.group_identifiers`	如果 `event_id` 為 4627，則為剖析 `group_membership` 的值
handle_id	`security_result.detection_fields.value`	從已剖析的 `object_kvdata` 取得 `handle_id` 值
帳號代碼	`security_result.detection_fields.value`	從已剖析的 `object_kvdata` 取得 `handle_id` 值
impersonation_level	`security_result.detection_fields.value`	從已剖析的 `logon_information_kvdata` 取得 `impersonation_level` 值
金鑰長度	`security_result.detection_fields.value`	從已剖析的 `auth_kvdata` 取得 `key_length` 值
金鑰名稱	`security_result.detection_fields.value`	從已剖析的 `cryptographic_kvdata` 取得 `key_name` 值
金鑰類型	`security_result.detection_fields.value`	從已剖析的 `cryptographic_kvdata` 取得 `key_type` 值
關鍵字	`security_result.detection_fields.value`	`keywords` 的值
圖層名稱	`security_result.detection_fields.value`	從已剖析的 `filter_information` 取得 `layer_name` 值
圖層執行階段 ID	`security_result.detection_fields.value`	從已剖析的 `filter_information` 取得 `layer_run_time_id` 值
logid	`metadata.product_log_id`	`logid` 的值
登入 GUID	`principal.resource.product_object_id`	`logon_guid` 的值
登入 ID	`security_result.detection_fields.value`	`logon_id` 的值
logon_type	`event.idm.read_only_udm.extensions.auth.mechanism`	衍生。如果 `logon_type` 為「3」，請對應至「NETWORK」。如果是「4」，則對應至「BATCH」。如果是「5」，則對應至「SERVICE」。如果是「8」，則對應至「NETWORK_CLEAR_TEXT」。如果是「9」，則對應至「NEW_CREDENTIALS」。如果是「10」，則對應至「REMOTE_INTERACTIVE」。如果是「11」，則對應至「CACHED_INTERACTIVE」。否則，如果不是空白，請對應至「MECHANISM_OTHER」。
登入帳戶	`security_result.detection_fields.value`	從 grok 剖析的 `logon_id` 值
登入程序	`security_result.detection_fields.value`	從已剖析的 `auth_kvdata` 取得 `logon_process` 值
必要標籤	`security_result.detection_fields.value`	`mandatory_label` 的值
mastersrcmac	`principal.mac`	`mastersrcmac` 的值
訊息	`security_result.description`	`Message` 的值
new_process_id	`target.process.pid`	從已剖析的 `process_kvdata` 取得 `new_process_id` 值
new_process_name	`target.process.file.full_path`	從已剖析的 `process_kvdata` 取得 `new_process_name` 值
物件名稱	`security_result.detection_fields.value`	從已剖析的 `object_kvdata` 取得 `object_name` 值
物件伺服器	`security_result.detection_fields.value`	從已剖析的 `object_kvdata` 取得 `object_server` 值
物件類型	`security_result.detection_fields.value`	從已剖析的 `object_kvdata` 取得 `object_type` 值
osname	`principal.platform`	如果值為「WINDOWS」、「LINUX」或「MAC」，則為 `osname`。
套件名稱 (僅限 NTLM)	`security_result.detection_fields.value`	從已剖析的 `auth_kvdata` 取得 `package_name` 值
policyid	`security_result.rule_id`	`policyid` 的值
policyname	`security_result.rule_name`	`policyname` 的值
policytype	`security_result.rule_type`	`policytype` 的值
程序 ID	`principal.process.pid`	`process_id` 的值
程序名稱	`principal.process.file.full_path`	從已剖析的 `process_kvdata` 取得 `creator_process_name` 值
profile_changed	`security_result.detection_fields.value`	`profile_changed` 的值
已變更設定檔	`security_result.detection_fields.value`	從 grok 剖析的 `profile_changed` 值
proto	`network.ip_protocol`	如果 `proto` 為「17」，請對應至「UDP」。如果「6」或 `subtype` 為「wad」，請對應至「TCP」。如果為「41」，則對應至「IP6IN4」。如果 `service` 為「PING」、`proto` 為「1」或 `service` 包含「ICMP」，請對應至「ICMP」。
通訊協定	`network.application_protocol`	從 `Protocol` 衍生出的 `app_protocol_output` 值
供應商名稱	`security_result.detection_fields.value`	從已剖析的 `provider_kvdata` 或 `cryptographic_kvdata` 取得 `provider_name` 的值
rcvdbyte	`network.received_bytes`	`rcvdbyte` 的值
rcvdpkt	`security_result.detection_fields.value`	`rcvdpkt` 的值
restricted_admin_mode	`security_result.detection_fields.value`	從已剖析的 `logon_information_kvdata` 取得 `restricted_admin_mode` 值
回覆代碼	`security_result.detection_fields.value`	從已剖析的 `cryptographic_kvdata` 取得 `return_code` 值
回應	`security_result.detection_fields.value`	`response` 的值
rule_id	`security_result.rule_id`	`rule_id` 的值
安全 ID	`principal.user.windows_sid`	從已剖析的 `principal_kvdata` 取得 `principal_security_id` 值
安全 ID	`target.user.windows_sid`	從已剖析的 `target_kvdata` 取得 `target_security_id` 值
sentbyte	`network.sent_bytes`	`sentbyte` 的值
sentpkt	`security_result.detection_fields.value`	`sentpkt` 的值
服務	`network.application_protocol`或`target.application`	`app_protocol_output` 的值衍生自 `service`。如果 `app_protocol_output` 為空，則對應至 `target.application`。
服務 ID	`security_result.detection_fields.value`	從已剖析的 `service_kvdata` 取得 `service_id` 值
服務名稱	`security_result.detection_fields.value`	從已剖析的 `service_kvdata` 取得 `service_name` 值
sessionid	`network.session_id`	`sessionid` 的值
嚴重性	`security_result.severity`、`security_result.severity_details`	如果 `Severity` 是「ERROR」或「CRITICAL」，請對應至相應的 UDM 嚴重程度。如果為「INFO」，則對應至「INFORMATIONAL」。如果為「MINOR」，請對應至「LOW」。如果是「WARNING」，則對應至「MEDIUM」。如果是「MAJOR」，則對應至「HIGH」。同時將原始值對應至 `severity_details`。
嚴重性	`security_result.severity`、`security_result.severity_details`	如果 `severity` 是「1」、「2」或「3」，則對應至「LOW」。如果是「4」、「5」或「6」，則對應至「MEDIUM」。如果是「7」、「8」或「9」，則對應至「HIGH」。同時將原始值對應至 `severity_details`。
共用區名稱	`security_result.detection_fields.value`	從已剖析的 `share_information_kvdata` 取得 `share_name` 值
分享路徑	`security_result.detection_fields.value`	從已剖析的 `share_information_kvdata` 取得 `share_path` 值
來源	`principal.ip`、`principal.asset.ip` 或 `principal.hostname`，`principal.asset.hostname`	如果 `Source` 是 IP 位址，請對應至 `principal.ip` 和 `principal.asset.ip`。否則，請對應至 `principal.hostname` 和 `principal.asset.hostname`。
來源地址	`principal.ip`、`principal.asset.ip`	從已剖析的 `network_information` 取得 `source_ip` 值
來源 DRA	`principal.resource.name`	`source_dra` 的值
來源 IP	`principal.ip`	`source_ip` 的值
來源網路位址	`principal.ip`、`principal.asset.ip`	`source_ip` 的值
來源通訊埠	`principal.port`	從已剖析的 `network_information` 取得 `source_port` 值
來源工作站	`workstation_name`	`source_workstation_name` 的值
srcip	`source_ip`	如果 `source_ip` 為空白，則 `srcip` 的值
srccountry	`principal.location.country_or_region`	`srccountry` 的值
srcmac	`principal.mac`	`srcmac` 的值
srcname	`principal.hostname`、`principal.asset.hostname`	`srcname` 的值
srcport	`source_port`	如果 `source_port` 為空白，則 `srcport` 的值
srcswversion	`principal.platform_version`	`srcswversion` 的值
狀態碼	`network.http.response_code`	`status_code` 的值
權杖提升類型	`security_result.detection_fields.value`	`token_elevation_type` 的值
transited_services	`security_result.detection_fields.value`	從已剖析的 `auth_kvdata` 取得 `transited_services` 值
transip	`principal.nat_ip`	`transip` 的值
transport	`principal.nat_port`	`transport` 的值
類型	`metadata.product_event_type`	與 `subtype` 搭配使用，可建立 `metadata.product_event_type`
類型	`security_result.detection_fields.value`	`Type` 的值
UUID	`metadata.product_log_id`	`UUID` 的值
vd	`principal.administrative_domain`	`vd` 的值
virtual_account	`security_result.detection_fields.value`	從已剖析的 `logon_information_kvdata` 取得 `virtual_account` 值
工作站名稱	`principal.hostname`、`principal.asset.hostname`	如果沒有其他主體 ID，則為 `workstation_name` 的值
`metadata.event_type`	`metadata.event_type`	衍生。如果 `principal_present` 和 `target_present` 皆為 true，則對應至「NETWORK_CONNECTION」。如果 `user_present` 為 true，則對應至「USER_RESOURCE_ACCESS」。如果 `principal_present` 為 true，則對應至「STATUS_UPDATE」。否則請對應至「GENERIC_EVENT」。
`metadata.log_type`	`metadata.log_type`	硬式編碼為「CYBERX」
`metadata.product_name`	`metadata.product_name`	硬式編碼為「CYBERX」
`metadata.vendor_name`	`metadata.vendor_name`	硬式編碼為「CYBERX」
`metadata.event_timestamp`	`metadata.event_timestamp`	從頂層 `timestamp` 欄位複製，或衍生自 `eventtime` 或 `date` 和 `time` 欄位。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。