收集 Abnormal Security 記錄
支援的國家/地區:
Google SecOps
SIEM
本文說明如何將 Abnormal Security 記錄擷取至 Google Security Operations。剖析器可處理 JSON 和 Syslog 格式的電子郵件記錄。系統會先嘗試將輸入內容處理為 JSON,如果失敗,則會使用 Grok 模式從 Syslog 格式擷取資料。接著,系統會將擷取的欄位對應至 Unified Data Model (UDM),並以相關安全性環境資訊擴充資料,以及將格式標準化,以利進一步分析。
事前準備
請確認您已完成下列事前準備事項:
- Google SecOps 執行個體。
- Abnormal Security 的特殊存取權。
取得 Google SecOps 客戶 ID
- 登入 Google SecOps 控制台。
- 依序前往「SIEM 設定」>「設定檔」。
- 複製並儲存「機構詳細資料」專區中的客戶 ID。
取得 Google SecOps 擷取驗證檔案
- 登入 Google SecOps 控制台。
- 依序前往「SIEM 設定」>「收集代理程式」。
- 下載擷取驗證檔案。
設定 Abnormal Security,將記錄傳送至 Google SecOps
- 登入 Abnormal Security 網頁版 UI。
- 依序點選「設定」>「整合」。
- 找到「Google Chronicle」圖示,然後按一下「連結」。
- 輸入 Google SecOps 客戶 ID。
- 輸入 Google SecOps 執行個體端點地址。
- 加拿大:https://northamerica-northeast2-malachiteingestion-pa.googleapis.com
- Dammam:https://me-central2-malachiteingestion-pa.googleapis.com
- 歐洲多區域:https://europe-malachiteingestion-pa.googleapis.com
- 法蘭克福:https://europe-west3-malachiteingestion-pa.googleapis.com
- 倫敦:https://europe-west2-malachiteingestion-pa.googleapis.com
- 孟買:https://asia-south1-malachiteingestion-pa.googleapis.com
- 新加坡:https://asia-southeast1-malachiteingestion-pa.googleapis.com
- 雪梨:https://australia-southeast1-malachiteingestion-pa.googleapis.com
- 特拉維夫:https://me-west1-malachiteingestion-pa.googleapis.com
- 東京:https://asia-northeast1-malachiteingestion-pa.googleapis.com
- 美國多區域:https://malachiteingestion-pa.googleapis.com
- 蘇黎世:https://europe-west6-malachiteingestion-pa.googleapis.com
- 上傳先前下載的「擷取驗證檔案」,做為 Google 服務帳戶。
- 依序點選「儲存」>「確認」。
UDM 對應表
| 記錄欄位 | UDM 對應 | 邏輯 |
|---|---|---|
| attachmentCount | additional.fields.attachmentCount.value.number_value | 直接對應 |
| attachmentNames | additional.fields.attachmentNames.value | 串連成以半形逗號分隔的字串 |
| attackStrategy | security_result.detection_fields.attackStrategy.value | 直接對應 |
| attackType | security_result.threat_name | 直接對應 |
| attackVector | security_result.detection_fields.attackVector.value | 直接對應 |
| attackedParty | security_result.detection_fields.attackedParty.value | 直接對應 |
| autoRemediated | 未對應至 IDM 物件 | |
| ccEmails | network.email.cc | 系統會擷取每個電子郵件地址,並新增至陣列 |
| fromAddress | network.email.from | 直接擷取並對應電子郵件地址 |
| fromName | principal.user.user_display_name | 直接對應 |
| impersonatedParty | security_result.detection_fields.impersonatedParty.value | 直接對應 |
| internetMessageId | additional.fields.internetMessageId.value.string_value | 直接對應 |
| isRead | additional.fields.isRead.value.bool_value | 直接對應 |
| postRemediated | additional.fields.postRemediated.value.bool_value | 直接對應 |
| receivedTime | additional.fields.mailReceivedTime.value.string_value | 直接對應 |
| remediationStatus | additional.fields.remediationStatus.value.string_value | 直接對應 |
| remediationTimestamp | additional.fields.mailRemediationTimestamp.value.string_value | 直接對應 |
| replyToEmails | network.email.reply_to | 系統會擷取第一個電子郵件地址並直接對應 |
| returnPath | additional.fields.returnPath.value.string_value | 直接對應 |
| senderDomain | principal.administrative_domain | 直接對應 |
| senderIpAddress | principal.ip、principal.asset.ip | 系統會擷取 IP 位址,並對應至兩個欄位 |
| sentTime | additional.fields.mailSentTime.value.string_value | 直接對應 |
| 主旨 | network.email.subject | 直接對應 |
| summaryInsights | security_result.summary | 串連成以半形逗號分隔的字串 |
| threatId | security_result.threat_id | 直接對應 |
| toAddresses | network.email.to | 系統會擷取每個電子郵件地址,並新增至陣列 |
| urlCount | additional.fields.urlCount.value.number_value | 直接對應 |
| 網址 | additional.fields.detectedUrls.value | 串連成以半形逗號分隔的字串 |
| additional.fields.campaign_id.value.string_value | 如果存在,則從 event_data.abx_body.campaign_id 對應 | |
| additional.fields.trace_id.value.string_value | 如果存在,則從 event_data.abx_metadata.trace_id 對應 | |
| additional.fields.messageReportedTime.value.string_value | 如果存在,則從 event_data.abx_body.message_reported_time 對應 | |
| metadata.event_type | 如果存在訊息陣列,請設為 EMAIL_TRANSACTION,否則會根據其他欄位判斷,且可以是 USER_LOGIN、STATUS_UPDATE 或 GENERIC_EVENT |
|
| metadata.product_name | 一律設為「ABNORMAL_SECURITY」 |
|
| metadata.vendor_name | 一律設為「ABNORMAL_SECURITY」 |
|
| metadata.product_event_type | 如果存在,則從 event_data.abx_metadata.event_type 對應 | |
| extensions.auth.type | 如果 event_type 為 USER_LOGIN,請設為 AUTHTYPE_UNSPECIFIED |
|
| security_result.category | 如有訊息陣列,請設為 MAIL_SPAM 和 MAIL_PHISHING,否則請根據其他欄位設為 MAIL_PHISHING 和/或 MAIL_SPAM |
|
| security_result.category_details | 如果 abx_metadata.event_type 為 ABUSE_MAILBOX,請設為 ABUSE_MAILBOX;否則,如果 abx_body.category 為 login,請設為 login |
|
| security_result.detection_fields.reported.value | 如果存在,則從 event_data.abx_body.reported 對應 | |
| security_result.detection_fields.judgement.value | 如果存在,則從 event_data.abx_body.judgement 對應 | |
| target.url | 如果存在,則從 event_data.abx_body.details.request_url 對應 | |
| target.user.userid | 如果存在,則從 event_data.abx_body.user.email 對應 | |
| target.user.email_addresses | 如果存在,則從 event_data.abx_body.user.email 對應 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。