Diese Seite wurde von der Cloud Translation API übersetzt.

CyberX-Protokolle erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie CyberX-Protokolle mithilfe eines Google Security Operations-Weiterleiters erfassen können.

Weitere Informationen finden Sie unter Datenaufnahme in Google Security Operations.

Mit einem Datenaufnahmelabel wird der Parser identifiziert, der Roh-Logdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument beziehen sich auf den Parser mit dem Datenaufnahmelabel CyberX.

CyberX konfigurieren

Melden Sie sich in der CyberX-Benutzeroberfläche an.
Wählen Sie in der CyberX-Benutzeroberfläche Weiterleitung und dann Weiterleitungsregel erstellen aus.
So wählen Sie Filter für Benachrichtigungen aus:
- Wählen Sie im Bereich Protokolle die erforderlichen Protokolle aus oder klicken Sie auf Alle, um alle Protokolle auszuwählen.
- Wählen Sie in der Liste Schweregrad die niedrigste Schwere der zu sendenden Benachrichtigungen aus.
  
  Wenn Sie beispielsweise Wichtig auswählen, werden kritische und wichtige Benachrichtigungen per Benachrichtigung gesendet.
- Wählen Sie im Bereich Engines die erforderlichen Engines aus oder klicken Sie auf Alle, um alle Engines auszuwählen.
Klicken Sie auf Hinzufügen, um eine neue Benachrichtigungsmethode hinzuzufügen.
Wählen Sie in der Liste Aktion einen Aktionstyp aus den verfügbaren Aktionen aus.

Wenn Sie mehrere Aktionen hinzufügen, können für jede Regel mehrere Benachrichtigungsmethoden erstellt werden.
Geben Sie je nach ausgewählter Aktion die erforderlichen Details in den entsprechenden Feldern an. Wenn Sie beispielsweise An SYSLOG-Server senden (CEF) ausgewählt haben, gehen Sie so vor:
- Geben Sie im Feld Host die Adresse des syslog-Servers ein.
- Geben Sie im Feld Zeitzone die Zeitzone des syslog-Servers ein.
- Geben Sie im Feld Port den Port des syslog-Servers ein.
Klicken Sie auf Senden.

Geben Sie für andere ausgewählte Aktionen ebenfalls die erforderlichen Details an.

Google Security Operations-Weiterleiter für die Aufnahme von CyberX-Protokollen konfigurieren

Wählen Sie SIEM-Einstellungen > Weiterleitungen aus.
Klicken Sie auf Neuen Weiterleiter hinzufügen.
Geben Sie im Feld Name des Absenders einen eindeutigen Namen für den Absender ein.
Klicken Sie auf Senden und dann auf Bestätigen. Der Weiterleiter wird hinzugefügt und das Fenster Aufnehmerkonfiguration hinzufügen wird angezeigt.
Geben Sie im Feld Name des Collectors einen eindeutigen Namen für den Collector ein.
Wählen Sie Microsoft CyberX als Logtyp aus.
Wählen Sie Syslog als Typ des Collectors aus.
Konfigurieren Sie die folgenden Eingabeparameter:
- Protokoll: Geben Sie das Verbindungsprotokoll an, mit dem der Collector nach syslog-Daten sucht.
- Adresse: Geben Sie die Ziel-IP-Adresse oder den Ziel-Hostnamen an, an dem sich der Collector befindet und auf syslog-Daten wartet.
- Port: Gibt den Zielport an, an dem sich der Collector befindet und auf Syslog-Daten wartet.
Klicken Sie auf Senden.

Weitere Informationen zu den Google Security Operations-Weiterleitungen finden Sie unter Weiterleitungskonfigurationen über die Google Security Operations-Benutzeroberfläche verwalten.

Wenn beim Erstellen von Weiterleitungen Probleme auftreten, wenden Sie sich an den Google Security Operations-Support.

Referenz für die Feldzuordnung

Dieser Parser verarbeitet CyberX-Logs im SYSLOG+KV-Format und wandelt sie in UDM um. Dabei werden zahlreiche Felder mit leeren Strings initialisiert, mehrere Substitutionen durchgeführt, um Schlüssel/Wert-Paare im Nachrichtenfeld umzubenennen und zu formatieren, und dann werden strukturierte Daten mithilfe von grok- und kv-Filtern in UDM-Felder extrahiert. Der Parser priorisiert die Extraktion von Schlüssel/Wert-Daten und greift bei Bedarf auf Grok-Muster zurück. Das UDM-Ereignis wird dann mit Informationen zu Metadaten, Hauptpersonen, Ziel, Netzwerk und Sicherheitsergebnissen angereichert.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
Zugriffsmaske	`security_result.detection_fields.value`	Wert von `access_mask` aus geparstem `access_request_kvdata`
Kontodomain	`principal.administrative_domain`	Wert von `principal_domain` aus geparstem `principal_kvdata`
Kontodomain	`target.administrative_domain`	Wert von `target_domain` aus geparstem `target_kvdata`
Kontoname	`principal.user.userid`	Wert von `principal_account_name` aus geparstem `principal_kvdata`
Kontoname	`target.user.userid`	Wert von `target_account_name` aus geparstem `target_kvdata`
Aktion	`security_result.action_details`	Wert von `action`
Aktion	`security_result.action`	Abgeleitet. Wenn `action` „accept“, „passthrough“, „pass“, „permit“, „detected“ oder „close“ ist, wird „ALLOW“ zugeordnet. Wenn `action` „deny“, „dropped“ oder „blocked“ ist, ordnen Sie „BLOCK“ zu. Wenn `action` „timeout“ ist, ordnen Sie „FAIL“ zu. Andernfalls ordnen Sie „UNKNOWN_ACTION“ zu.
Algorithmusname	`security_result.detection_fields.value`	Wert von `algorithm_name` aus geparstem `cryptographic_kvdata`
App	`target.application`	Wert von `service`, wenn `app_protocol_output` leer ist
appcat	`security_result.detection_fields.value`	Wert von `appcat`
Name der Anwendung	`principal.application`	Wert von `application_name`
Authentifizierungspaket	`security_result.about.resource.name`	Wert von `authentication_package`
Azure Defender for IoT-Benachrichtigung	`security_result.detection_fields.value`	Wert von `azure_defender_for_iot_alert`
channel	`security_result.detection_fields.value`	Wert von `channel`
Clientadresse	`principal.ip`, `principal.asset.ip`	Wert von `source_ip`
Clientport	`principal.port`	Wert von `source_port`
craction	`security_result.detection_fields.value`	Wert von `craction`
Anmeldedaten-Manager-Anmeldedaten wurden gesichert	`security_result.description`	Wert von `description`
Anmeldedaten aus dem Anmeldedaten-Manager wurden gelesen.	`security_result.description`	Wert von `description`
crscore	`security_result.severity_details`	Wert von `crscore`
crlevel	`security_result.severity`, `security_result.severity_details`	Wert von `crlevel`. Wenn `crlevel` „HIGH“, „MEDIUM“, „LOW“ oder „CRITICAL“ ist, ordnen Sie die entsprechende UDM-Schwere zu.
Kryptografischer Vorgang	`metadata.description`	Wert von `product_desc`
Name der CyberX-Plattform	`security_result.detection_fields.value`	Wert von `cyberx_platform_name`
Beschreibung	`security_result.description`	Wert von `description`, wenn `Message` leer ist
Ziel	`target.ip`, `target.asset.ip` oder `target.hostname`	Wenn `Destination` eine IP-Adresse ist, ordnen Sie sie `target.ip` und `target.asset.ip` zu. Andernfalls wird `target.hostname` zugeordnet.
Zieladresse	`target.ip`, `target.asset.ip`	Wert von `destination_ip` aus geparstem `network_information`
Ziel-DRA	`target.resource.name`	Wert von `destination_dra`
Ziel-IP-Adresse	`target.ip`, `target.asset.ip`	Wert von `destination_ip`
Zielport	`target.port`	Wert von `destination_port` aus geparstem `network_information`
devid	`principal.resource.product_object_id`	Wert von `devid`
devname	`principal.resource.name`	Wert von `devname`
Richtung	`network.direction`	Wenn `Direction` „eingehend“, „inbound“ oder „response“ ist, ordnen Sie „INBOUND“ zu. Wenn `Direction` „outgoing“, „outbound“ oder „request“ ist, ordnen Sie „OUTBOUND“ zu.
dstip	`target.ip`, `target.asset.ip`	Wert von `dstip`, wenn `destination_ip` leer ist
dstcountry	`target.location.country_or_region`	Wert von `dstcountry`
dstintf	`security_result.detection_fields.value`	Wert von `dstintf`
dstintfrole	`security_result.detection_fields.value`	Wert von `dstintfrole`
dstosname	`target.platform`	Wert von `dstosname`, wenn er „WINDOWS“, „LINUX“ oder „MAC“ ist.
dstport	`target.port`	Wert von `dstport`, wenn `destination_port` leer ist
dstswversion	`target.platform_version`	Wert von `dstswversion`
Dauer	`network.session_duration.seconds`	Wert von `duration`
event_id	`security_result.rule_name`	Wird verwendet, um den Namen der Regel als „Ereignis-ID: %{event_id}“ zu erstellen.
event_in_sequence	`security_result.detection_fields.value`	Wert von `event_in_sequence`
Nach Laufzeit-ID filtern	`security_result.detection_fields.value`	Wert von `filter_run_time_id` aus geparstem `filter_information`
Gruppenmitgliedschaft	`security_result.detection_fields.value`	Wert von `group_membership`, wenn `event_id` nicht 4627 ist
Gruppenmitgliedschaft	`target.user.group_identifiers`	Werte aus geparsten `group_membership`, wenn `event_id` = 4627
handle_id	`security_result.detection_fields.value`	Wert von `handle_id` aus geparstem `object_kvdata`
Handle-ID	`security_result.detection_fields.value`	Wert von `handle_id` aus geparstem `object_kvdata`
impersonation_level	`security_result.detection_fields.value`	Wert von `impersonation_level` aus geparstem `logon_information_kvdata`
Schlüssellänge	`security_result.detection_fields.value`	Wert von `key_length` aus geparsten `auth_kvdata`
Schlüsselname	`security_result.detection_fields.value`	Wert von `key_name` aus geparstem `cryptographic_kvdata`
Schlüsseltyp	`security_result.detection_fields.value`	Wert von `key_type` aus geparsten `cryptographic_kvdata`
Keywords	`security_result.detection_fields.value`	Wert von `keywords`
Name der Ebene	`security_result.detection_fields.value`	Wert von `layer_name` aus geparstem `filter_information`
Laufzeit-ID der Ebene	`security_result.detection_fields.value`	Wert von `layer_run_time_id` aus geparsten `filter_information`
logid	`metadata.product_log_id`	Wert von `logid`
Anmelde-GUID	`principal.resource.product_object_id`	Wert von `logon_guid`
Anmelde-ID	`security_result.detection_fields.value`	Wert von `logon_id`
logon_type	`event.idm.read_only_udm.extensions.auth.mechanism`	Abgeleitet Wenn `logon_type` „3“ ist, ordnen Sie „Netzwerk“ zu. Wenn „4“, ordnen Sie „BATCH“ zu. Wenn „5“, ordnen Sie „SERVICE“ zu. Bei „8“ muss „NETWORK_CLEAR_TEXT“ zugewiesen werden. Wenn „9“, ordnen Sie „NEW_CREDENTIALS“ zu. Wenn „10“, wird „REMOTE_INTERACTIVE“ zugeordnet. Bei „11“ muss „CACHED_INTERACTIVE“ zugewiesen werden. Andernfalls, wenn das Feld nicht leer ist, ordnen Sie „MECHANISM_OTHER“ zu.
Anmeldekonto	`security_result.detection_fields.value`	Wert von `logon_id` aus der Grok-Analyse
Anmeldevorgang	`security_result.detection_fields.value`	Wert von `logon_process` aus geparstem `auth_kvdata`
Erforderliches Label	`security_result.detection_fields.value`	Wert von `mandatory_label`
mastersrcmac	`principal.mac`	Wert von `mastersrcmac`
Meldung	`security_result.description`	Wert von `Message`
new_process_id	`target.process.pid`	Wert von `new_process_id` aus geparsten `process_kvdata`
new_process_name	`target.process.file.full_path`	Wert von `new_process_name` aus geparsten `process_kvdata`
Objektname	`security_result.detection_fields.value`	Wert von `object_name` aus geparsten `object_kvdata`
Objektserver	`security_result.detection_fields.value`	Wert von `object_server` aus geparstem `object_kvdata`
Objektart	`security_result.detection_fields.value`	Wert von `object_type` aus geparstem `object_kvdata`
osname	`principal.platform`	Wert von `osname`, wenn er „WINDOWS“, „LINUX“ oder „MAC“ ist.
Paketname (nur NTLM)	`security_result.detection_fields.value`	Wert von `package_name` aus geparsten `auth_kvdata`
policyid	`security_result.rule_id`	Wert von `policyid`
policyname	`security_result.rule_name`	Wert von `policyname`
policytype	`security_result.rule_type`	Wert von `policytype`
Prozess-ID	`principal.process.pid`	Wert von `process_id`
Prozessname	`principal.process.file.full_path`	Wert von `creator_process_name` aus geparstem `process_kvdata`
profile_changed	`security_result.detection_fields.value`	Wert von `profile_changed`
Profil geändert	`security_result.detection_fields.value`	Wert von `profile_changed` aus der Grok-Analyse
Proto	`network.ip_protocol`	Wenn `proto` „17“ ist, ordnen Sie „UDP“ zu. Wenn „6“ oder `subtype` „wad“ ist, ordnen Sie „TCP“ zu. Wenn „41“, ordnen Sie „IP6IN4“ zu. Wenn `service` „PING“ ist oder `proto` „1“ ist oder `service` „ICMP“ enthält, ordnen Sie „ICMP“ zu.
Protokoll	`network.application_protocol`	Wert von `app_protocol_output`, abgeleitet von `Protocol`
Name des Anbieters	`security_result.detection_fields.value`	Wert von `provider_name` aus geparsten `provider_kvdata`- oder `cryptographic_kvdata`-Werten
rcvdbyte	`network.received_bytes`	Wert von `rcvdbyte`
rcvdpkt	`security_result.detection_fields.value`	Wert von `rcvdpkt`
restricted_admin_mode	`security_result.detection_fields.value`	Wert von `restricted_admin_mode` aus geparstem `logon_information_kvdata`
Rückgabecode	`security_result.detection_fields.value`	Wert von `return_code` aus geparsten `cryptographic_kvdata`
Antwort	`security_result.detection_fields.value`	Wert von `response`
rule_id	`security_result.rule_id`	Wert von `rule_id`
Sicherheits-ID	`principal.user.windows_sid`	Wert von `principal_security_id` aus geparstem `principal_kvdata`
Sicherheits-ID	`target.user.windows_sid`	Wert von `target_security_id` aus geparstem `target_kvdata`
sentbyte	`network.sent_bytes`	Wert von `sentbyte`
sentpkt	`security_result.detection_fields.value`	Wert von `sentpkt`
Dienst	`network.application_protocol` oder `target.application`	Wert von `app_protocol_output`, der von `service` abgeleitet wurde. Wenn `app_protocol_output` leer ist, ordnen Sie `target.application` zu.
Dienst-ID	`security_result.detection_fields.value`	Wert von `service_id` aus geparsten `service_kvdata`
Dienstname	`security_result.detection_fields.value`	Wert von `service_name` aus geparstem `service_kvdata`
sessionid	`network.session_id`	Wert von `sessionid`
Schweregrad	`security_result.severity`, `security_result.severity_details`	Wenn `Severity` „ERROR“ oder „CRITICAL“ ist, ordnen Sie den entsprechenden UDM-Schweregrad zu. Wenn „INFO“, ordne „INFORMATIONAL“ zu. Wenn „MINOR“, wird „LOW“ zugeordnet. Wenn „WARNUNG“, ordnen Sie „MITTEL“ zu. Wenn „MAJOR“, wird „HIGH“ zugeordnet. Ordnen Sie auch den Rohwert `severity_details` zu.
die Ausprägung	`security_result.severity`, `security_result.severity_details`	Wenn `severity` „1“, „2“ oder „3“ ist, ordnen Sie „LOW“ zu. Wenn „4“, „5“ oder „6“ angegeben ist, wird „MEDIUM“ zugeordnet. Wenn „7“, „8“ oder „9“ angegeben ist, wird „HIGH“ zugeordnet. Ordnen Sie auch den Rohwert `severity_details` zu.
Freigabename	`security_result.detection_fields.value`	Wert von `share_name` aus geparstem `share_information_kvdata`
Pfad teilen	`security_result.detection_fields.value`	Wert von `share_path` aus geparsten `share_information_kvdata`
Quelle	`principal.ip`, `principal.asset.ip` oder `principal.hostname`, `principal.asset.hostname`	Wenn `Source` eine IP-Adresse ist, ordnen Sie sie `principal.ip` und `principal.asset.ip` zu. Andernfalls ordnen Sie sie `principal.hostname` und `principal.asset.hostname` zu.
Quelladresse	`principal.ip`, `principal.asset.ip`	Wert von `source_ip` aus geparsten `network_information`
Quell-DRA	`principal.resource.name`	Wert von `source_dra`
Quell-IP-Adresse	`principal.ip`	Wert von `source_ip`
Quellnetzwerkadresse	`principal.ip`, `principal.asset.ip`	Wert von `source_ip`
Quellport	`principal.port`	Wert von `source_port` aus geparstem `network_information`
Quell-Workstation	`workstation_name`	Wert von `source_workstation_name`
srcip	`source_ip`	Wert von `srcip`, wenn `source_ip` leer ist
srccountry	`principal.location.country_or_region`	Wert von `srccountry`
srcmac	`principal.mac`	Wert von `srcmac`
srcname	`principal.hostname`, `principal.asset.hostname`	Wert von `srcname`
srcport	`source_port`	Wert von `srcport`, wenn `source_port` leer ist
srcswversion	`principal.platform_version`	Wert von `srcswversion`
Statuscode	`network.http.response_code`	Wert von `status_code`
Token-Berechtigungstyp	`security_result.detection_fields.value`	Wert von `token_elevation_type`
transited_services	`security_result.detection_fields.value`	Wert von `transited_services` aus geparstem `auth_kvdata`
transip	`principal.nat_ip`	Wert von `transip`
transport	`principal.nat_port`	Wert von `transport`
Typ	`metadata.product_event_type`	Wird mit `subtype` verwendet, um `metadata.product_event_type` zu erstellen
Typ	`security_result.detection_fields.value`	Wert von `Type`
UUID	`metadata.product_log_id`	Wert von `UUID`
vd	`principal.administrative_domain`	Wert von `vd`
virtual_account	`security_result.detection_fields.value`	Wert von `virtual_account` aus geparstem `logon_information_kvdata`
Name der Workstation	`principal.hostname`, `principal.asset.hostname`	Wert `workstation_name`, wenn keine andere Hauptkennzeichnung vorhanden ist
`metadata.event_type`	`metadata.event_type`	Abgeleitet Wenn sowohl `principal_present` als auch `target_present` wahr sind, ordnen Sie „NETWORK_CONNECTION“ zu. Wenn `user_present` wahr ist, ordnen Sie „USER_RESOURCE_ACCESS“ zu. Wenn `principal_present` wahr ist, ordnen Sie „STATUS_UPDATE“ zu. Andernfalls ordnen Sie „GENERIC_EVENT“ zu.
`metadata.log_type`	`metadata.log_type`	Hartcodiert auf „CYBERX“
`metadata.product_name`	`metadata.product_name`	Hartcodiert auf „CYBERX“
`metadata.vendor_name`	`metadata.vendor_name`	Hartcodiert auf „CYBERX“
`metadata.event_timestamp`	`metadata.event_timestamp`	Aus dem übergeordneten Feld `timestamp` kopiert oder aus den Feldern `eventtime` oder `date` und `time` abgeleitet.

Änderungen

2024-05-15

Das KV-Muster wurde geändert, um ein neues SYSLOG-Muster zu verarbeiten.
„source_ip2“ wurde auf „principal.ip“ und „principal.asset.ip“ zugeordnet.
„destination_ip2“ wurde „target.ip“ und „target.asset.ip“ zugeordnet.
„Schwere“ wurde „security_result.severity_details“ zugeordnet.
Die Zuordnungen „principal.ip“ und „principal.asset.ip“ wurden angeglichen.
Die Zuordnungen „target.ip“ und „target.asset.ip“ wurden angeglichen.
Die Zuordnungen „principal.hostname“ und „principal.asset.hostname“ wurden angeglichen.
Die Zuordnungen „target.hostname“ und „target.asset.hostname“ wurden angeglichen.

2023-12-06

Neu erstellter Parser.