Abnormal Security 로그 수집
다음에서 지원:
Google SecOps
SIEM
이 문서에서는 Abnormal Security 로그를 Google Security Operations에 수집하는 방법을 설명합니다. 파서는 JSON 및 Syslog 형식의 이메일 로그를 모두 처리합니다. 먼저 입력을 JSON으로 처리하려고 시도하고, 실패하면 Grok 패턴을 사용하여 Syslog 형식에서 데이터를 추출합니다. 추출된 필드는 통합 데이터 모델 (UDM)에 매핑되어 관련 보안 컨텍스트로 데이터를 보강하고 추가 분석을 위해 형식을 표준화합니다.
시작하기 전에
다음 기본 요건이 충족되었는지 확인합니다.
- Google SecOps 인스턴스입니다.
- Abnormal Security에 대한 액세스 권한 관리
Google SecOps 고객 ID 가져오기
- Google SecOps 콘솔에 로그인합니다.
- SIEM 설정 > 프로필로 이동합니다.
- 조직 세부정보 섹션에서 고객 ID를 복사하여 저장합니다.
Google SecOps 수집 인증 파일 가져오기
- Google SecOps 콘솔에 로그인합니다.
- SIEM 설정 > 수집 에이전트로 이동합니다.
- 수집 인증 파일을 다운로드합니다.
Abnormal Security를 구성하여 로그를 Google SecOps에 전송
- Abnormal Security 웹 UI에 로그인합니다.
- 설정 > 통합을 클릭합니다.
- Google Chronicle 아이콘을 찾아 연결을 클릭합니다.
- Google SecOps 고객 ID를 입력합니다.
- Google SecOps 인스턴스 엔드포인트 주소를 입력합니다.
- 캐나다: https://northamerica-northeast2-malachiteingestion-pa.googleapis.com
- Dammam: https://me-central2-malachiteingestion-pa.googleapis.com
- 유럽 멀티 리전: https://europe-malachiteingestion-pa.googleapis.com
- 프랑크푸르트: https://europe-west3-malachiteingestion-pa.googleapis.com
- 런던: https://europe-west2-malachiteingestion-pa.googleapis.com
- 뭄바이: https://asia-south1-malachiteingestion-pa.googleapis.com
- 싱가포르: https://asia-southeast1-malachiteingestion-pa.googleapis.com
- 시드니: https://australia-southeast1-malachiteingestion-pa.googleapis.com
- 텔아비브: https://me-west1-malachiteingestion-pa.googleapis.com
- 도쿄: https://asia-northeast1-malachiteingestion-pa.googleapis.com
- 미국 다중 리전: https://malachiteingestion-pa.googleapis.com
- 취리히: https://europe-west6-malachiteingestion-pa.googleapis.com
- 이전에 다운로드한 수집 인증 파일을 Google 서비스 계정으로 업로드합니다.
- 저장 > 확인을 클릭합니다.
UDM 매핑 테이블
| 로그 필드 | UDM 매핑 | 논리 |
|---|---|---|
| attachmentCount | additional.fields.attachmentCount.value.number_value | 직접 매핑됨 |
| attachmentNames | additional.fields.attachmentNames.value | 쉼표로 구분된 문자열로 연결됨 |
| attackStrategy | security_result.detection_fields.attackStrategy.value | 직접 매핑됨 |
| attackType | security_result.threat_name | 직접 매핑됨 |
| attackVector | security_result.detection_fields.attackVector.value | 직접 매핑됨 |
| attackedParty | security_result.detection_fields.attackedParty.value | 직접 매핑됨 |
| autoRemediated | IDM 객체에 매핑되지 않음 | |
| ccEmails | network.email.cc | 각 이메일 주소가 추출되어 배열에 추가됩니다. |
| fromAddress | network.email.from | 이메일 주소가 추출되어 직접 매핑됨 |
| fromName | principal.user.user_display_name | 직접 매핑됨 |
| impersonatedParty | security_result.detection_fields.impersonatedParty.value | 직접 매핑됨 |
| internetMessageId | additional.fields.internetMessageId.value.string_value | 직접 매핑됨 |
| isRead | additional.fields.isRead.value.bool_value | 직접 매핑됨 |
| postRemediated | additional.fields.postRemediated.value.bool_value | 직접 매핑됨 |
| receivedTime | additional.fields.mailReceivedTime.value.string_value | 직접 매핑됨 |
| remediationStatus | additional.fields.remediationStatus.value.string_value | 직접 매핑됨 |
| remediationTimestamp | additional.fields.mailRemediationTimestamp.value.string_value | 직접 매핑됨 |
| replyToEmails | network.email.reply_to | 첫 번째 이메일 주소가 추출되어 직접 매핑됩니다. |
| returnPath | additional.fields.returnPath.value.string_value | 직접 매핑됨 |
| senderDomain | principal.administrative_domain | 직접 매핑됨 |
| senderIpAddress | principal.ip, principal.asset.ip | IP 주소가 추출되어 두 필드 모두에 매핑됩니다. |
| sentTime | additional.fields.mailSentTime.value.string_value | 직접 매핑됨 |
| subject | network.email.subject | 직접 매핑됨 |
| summaryInsights | security_result.summary | 쉼표로 구분된 문자열로 연결됨 |
| threatId | security_result.threat_id | 직접 매핑됨 |
| toAddresses | network.email.to | 각 이메일 주소가 추출되어 배열에 추가됩니다. |
| urlCount | additional.fields.urlCount.value.number_value | 직접 매핑됨 |
| URL | additional.fields.detectedUrls.value | 쉼표로 구분된 문자열로 연결됨 |
| additional.fields.campaign_id.value.string_value | 있는 경우 event_data.abx_body.campaign_id에서 매핑됨 | |
| additional.fields.trace_id.value.string_value | 있는 경우 event_data.abx_metadata.trace_id에서 매핑됨 | |
| additional.fields.messageReportedTime.value.string_value | 있는 경우 event_data.abx_body.message_reported_time에서 매핑됨 | |
| metadata.event_type | 메시지 배열이 있으면 EMAIL_TRANSACTION로 설정되고, 그렇지 않으면 다른 필드를 기반으로 결정되며 USER_LOGIN, STATUS_UPDATE 또는 GENERIC_EVENT일 수 있습니다. |
|
| metadata.product_name | 항상 ABNORMAL_SECURITY로 설정 |
|
| metadata.vendor_name | 항상 ABNORMAL_SECURITY로 설정 |
|
| metadata.product_event_type | 있는 경우 event_data.abx_metadata.event_type에서 매핑됨 | |
| extensions.auth.type | event_type이 USER_LOGIN이면 AUTHTYPE_UNSPECIFIED로 설정합니다. |
|
| security_result.category | 메시지 배열이 있으면 MAIL_SPAM 및 MAIL_PHISHING로 설정하고, 그렇지 않으면 다른 필드에 따라 MAIL_PHISHING 또는 MAIL_SPAM로 설정합니다. |
|
| security_result.category_details | abx_metadata.event_type이 ABUSE_MAILBOX인 경우 ABUSE_MAILBOX로 설정하고, 그렇지 않고 abx_body.category가 login인 경우 login로 설정합니다. |
|
| security_result.detection_fields.reported.value | 있는 경우 event_data.abx_body.reported에서 매핑됨 | |
| security_result.detection_fields.judgement.value | 있는 경우 event_data.abx_body.judgement에서 매핑됨 | |
| target.url | 있는 경우 event_data.abx_body.details.request_url에서 매핑됨 | |
| target.user.userid | 있는 경우 event_data.abx_body.user.email에서 매핑됨 | |
| target.user.email_addresses | 있는 경우 event_data.abx_body.user.email에서 매핑됨 |
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.