Recopila registros de CyberX

Compatible con:

En este documento, se describe cómo puedes recopilar registros de CyberX con un reenviador de Google Security Operations.

Para obtener más información, consulta la descripción general de la transferencia de datos a Google Security Operations.

Una etiqueta de transferencia identifica el analizador que normaliza los datos de registro sin procesar al formato estructurado del UDM. La información de este documento se aplica al analizador con la etiqueta de transferencia CyberX.

Configura CyberX

  1. Accede a la IU de CyberX.
  2. En la IU de CyberX, selecciona Redireccionamiento y, luego, haz clic en Crear regla de reenvío.
  3. Para seleccionar filtros para las notificaciones, haz lo siguiente:

    • En la sección Protocolos, selecciona los protocolos necesarios o haz clic en Todos para seleccionarlos.
    • En la lista Gravedad, selecciona la gravedad más baja de las alertas que se enviarán.

      Por ejemplo, las alertas críticas y principales se envían mediante notificaciones si seleccionas la gravedad Importante.

    • En la sección Motores, selecciona los motores necesarios o haz clic en Todos para seleccionarlos.

  4. Haz clic en Agregar para agregar un nuevo método de notificación.

  5. En la lista Acción, selecciona un tipo de acción de las acciones disponibles.

    Si agregas más de una acción, se pueden crear varios métodos de notificación para cada regla.

  6. Según la acción que hayas seleccionado, especifica los detalles obligatorios en los campos adecuados. Por ejemplo, si seleccionaste Enviar al servidor SYSLOG (CEF), haz lo siguiente:

    • En el campo Host, ingresa la dirección del servidor de syslog.
    • En el campo Zona horaria, ingresa la zona horaria del servidor de syslog.
    • En el campo Puerto, ingresa el puerto del servidor syslog.
  7. Haz clic en Enviar.

    Del mismo modo, para las otras acciones que selecciones, especifica los detalles obligatorios.

Configura el reenviador de Google Security Operations para transferir registros de CyberX

  1. Selecciona Configuración de SIEM > Redireccionamientos.
  2. Haz clic en Agregar nuevo remitente.
  3. En el campo Nombre del reenviador, ingresa un nombre único para el reenviador.
  4. Haz clic en Enviar y, luego, en Confirmar. Se agregará el reenviador y aparecerá la ventana Add collector configuration.
  5. En el campo Nombre del recopilador, escribe un nombre único para el recopilador.
  6. Selecciona Microsoft CyberX como el Tipo de registro.
  7. Selecciona Syslog como el tipo de recopilador.
  8. Configura los siguientes parámetros de entrada:
    • Protocolo: Especifica el protocolo de conexión que usa el recopilador para escuchar datos de syslog.
    • Dirección: Especifica la dirección IP o el nombre de host de destino donde reside el recopilador y escucha los datos de syslog.
    • Puerto: Especifica el puerto de destino en el que reside el recopilador y escucha los datos de syslog.
  9. Haz clic en Enviar.

Para obtener más información sobre los reenvíos de Google Security Operations, consulta Cómo administrar las configuraciones de reenvío a través de la IU de Google Security Operations.

Si tienes problemas cuando creas reenvío de correo, comunícate con el equipo de asistencia de Operaciones de seguridad de Google.

Referencia de la asignación de campos

Este analizador controla los registros de CyberX en formato SYSLOG+KV y los transforma en UDM. Inicializa varios campos en cadenas vacías, realiza varias sustituciones para cambiar el nombre de los pares clave-valor y aplicarles formato dentro del campo de mensaje y, luego, usa los filtros grok y kv para extraer datos estructurados en campos de UDM. El analizador prioriza la extracción de datos de par clave-valor y recurre a patrones de grok si es necesario, lo que enriquece el evento de la UDM con metadatos, información de resultados de seguridad, objetivo, red y principal.

Tabla de asignación de la UDM

Campo de registro Asignación de UDM Lógica
Máscara de acceso security_result.detection_fields.value Valor de access_mask de access_request_kvdata analizado
Dominio de la cuenta principal.administrative_domain Valor de principal_domain de principal_kvdata analizado
Dominio de la cuenta target.administrative_domain Valor de target_domain de target_kvdata analizado
Nombre de la cuenta principal.user.userid Valor de principal_account_name de principal_kvdata analizado
Nombre de la cuenta target.user.userid Valor de target_account_name de target_kvdata analizado
acción security_result.action_details Valor de action
acción security_result.action Derivado. Si action es "accept", "passthrough", "pass", "permit", "detected" o "close", se asigna a "ALLOW". Si action es “deny”, “dropped” o “blocked”, asigna el valor “BLOCK”. Si action es "timeout", asigna "FAIL". De lo contrario, asigna la acción a "UNKNOWN_ACTION".
Nombre del algoritmo security_result.detection_fields.value Valor de algorithm_name de cryptographic_kvdata analizado
app target.application Valor de service si app_protocol_output está vacío
appcat security_result.detection_fields.value Valor de appcat
Nombre de la app principal.application Valor de application_name
Paquete de autenticación security_result.about.resource.name Valor de authentication_package
Alerta de Azure Defender para IoT security_result.detection_fields.value Valor de azure_defender_for_iot_alert
canal security_result.detection_fields.value Valor de channel
Dirección del cliente principal.ip, principal.asset.ip Valor de source_ip
Puerto de cliente principal.port Valor de source_port
craction security_result.detection_fields.value Valor de craction
Se creó una copia de seguridad de las credenciales del Administrador de credenciales security_result.description Valor de description
Se leyeron las credenciales del Administrador de credenciales. security_result.description Valor de description
crscore security_result.severity_details Valor de crscore
crlevel security_result.severity, security_result.severity_details Es el valor de crlevel. Si crlevel es “HIGH”, “MEDIUM”, “LOW” o “CRITICAL”, asócialo a la gravedad de la UDM correspondiente.
Operación criptográfica metadata.description Valor de product_desc
Nombre de la plataforma de CyberX security_result.detection_fields.value Valor de cyberx_platform_name
Descripción security_result.description Valor de description si Message está vacío
Destino target.ip, target.asset.ip o target.hostname Si Destination es una dirección IP, asigna a target.ip y target.asset.ip. De lo contrario, asigna a target.hostname.
Dirección de destino target.ip, target.asset.ip Valor de destination_ip de network_information analizado
DRA de destino target.resource.name Valor de destination_dra
IP de destino target.ip, target.asset.ip Valor de destination_ip
Puerto de destino target.port Valor de destination_port de network_information analizado
devid principal.resource.product_object_id Valor de devid
devname principal.resource.name Valor de devname
Dirección network.direction Si Direction es "incoming", "inbound" o "response", asigna "INBOUND". Si Direction es "outgoing", "outbound" o "request", asócialo a "OUTBOUND".
dstip target.ip, target.asset.ip Valor de dstip si destination_ip está vacío
dstcountry target.location.country_or_region Valor de dstcountry
dstintf security_result.detection_fields.value Valor de dstintf
dstintfrole security_result.detection_fields.value Valor de dstintfrole
dstosname target.platform Es el valor de dstosname si es "WINDOWS", "LINUX" o "MAC".
dstport target.port Valor de dstport si destination_port está vacío
dstswversion target.platform_version Valor de dstswversion
duración network.session_duration.seconds Valor de duration
event_id security_result.rule_name Se usa para construir el nombre de la regla como "EventID: %{event_id}".
event_in_sequence security_result.detection_fields.value Valor de event_in_sequence
Filtrar el ID de entorno de ejecución security_result.detection_fields.value Valor de filter_run_time_id de filter_information analizado
Membresía la grupo security_result.detection_fields.value Valor de group_membership si event_id no es 4627
Membresía la grupo target.user.group_identifiers Valores de group_membership analizados si event_id es 4627
handle_id security_result.detection_fields.value Valor de handle_id de object_kvdata analizado
ID de control security_result.detection_fields.value Valor de handle_id de object_kvdata analizado
impersonation_level security_result.detection_fields.value Valor de impersonation_level de logon_information_kvdata analizado
Longitud de la clave security_result.detection_fields.value Valor de key_length de auth_kvdata analizado
Nombre de la clave security_result.detection_fields.value Valor de key_name de cryptographic_kvdata analizado
Tipo de clave security_result.detection_fields.value Valor de key_type de cryptographic_kvdata analizado
palabras clave security_result.detection_fields.value Valor de keywords
Nombre de la capa security_result.detection_fields.value Valor de layer_name de filter_information analizado
ID de tiempo de ejecución de la capa security_result.detection_fields.value Valor de layer_run_time_id de filter_information analizado
logid metadata.product_log_id Valor de logid
GUID de acceso principal.resource.product_object_id Valor de logon_guid
ID de acceso security_result.detection_fields.value Valor de logon_id
logon_type event.idm.read_only_udm.extensions.auth.mechanism Derivado. Si logon_type es "3", asigna "NETWORK". Si es "4", asigna "BATCH". Si es "5", asigna el valor "SERVICE". Si es "8", asigna a "NETWORK_CLEAR_TEXT". Si es "9", asigna a "NEW_CREDENTIALS". Si es "10", asigna "REMOTE_INTERACTIVE". Si es "11", asigna a "CACHED_INTERACTIVE". De lo contrario, si no está vacío, asigna el valor a "MECHANISM_OTHER".
Cuenta de acceso security_result.detection_fields.value Valor de logon_id del análisis de Grok
Proceso de acceso security_result.detection_fields.value Valor de logon_process de auth_kvdata analizado
Etiqueta obligatoria security_result.detection_fields.value Valor de mandatory_label
mastersrcmac principal.mac Valor de mastersrcmac
Mensaje security_result.description Valor de Message
new_process_id target.process.pid Valor de new_process_id de process_kvdata analizado
new_process_name target.process.file.full_path Valor de new_process_name de process_kvdata analizado
Nombre del objeto security_result.detection_fields.value Valor de object_name de object_kvdata analizado
Servidor de objetos security_result.detection_fields.value Valor de object_server de object_kvdata analizado
Tipo de objeto security_result.detection_fields.value Valor de object_type de object_kvdata analizado
osname principal.platform Es el valor de osname si es "WINDOWS", "LINUX" o "MAC".
Nombre del paquete (solo NTLM) security_result.detection_fields.value Valor de package_name de auth_kvdata analizado
policyid security_result.rule_id Valor de policyid
policyname security_result.rule_name Valor de policyname
policytype security_result.rule_type Valor de policytype
ID de proceso principal.process.pid Valor de process_id
Nombre del proceso principal.process.file.full_path Valor de creator_process_name de process_kvdata analizado
profile_changed security_result.detection_fields.value Valor de profile_changed
Se cambió el perfil security_result.detection_fields.value Valor de profile_changed del análisis de Grok
protocolo network.ip_protocol Si proto es “17”, asigna a “UDP”. Si "6" o subtype es "wad", asigna a "TCP". Si es “41”, asigna a “IP6IN4”. Si service es "PING", proto es "1" o service contiene "ICMP", asigna a "ICMP".
Protocolo network.application_protocol Valor de app_protocol_output derivado de Protocol
Nombre del proveedor security_result.detection_fields.value Valor de provider_name de provider_kvdata o cryptographic_kvdata analizado
rcvdbyte network.received_bytes Valor de rcvdbyte
rcvdpkt security_result.detection_fields.value Valor de rcvdpkt
restricted_admin_mode security_result.detection_fields.value Valor de restricted_admin_mode de logon_information_kvdata analizado
Código de retorno security_result.detection_fields.value Valor de return_code de cryptographic_kvdata analizado
respuesta security_result.detection_fields.value Valor de response
rule_id security_result.rule_id Valor de rule_id
ID de seguridad principal.user.windows_sid Valor de principal_security_id de principal_kvdata analizado
ID de seguridad target.user.windows_sid Valor de target_security_id de target_kvdata analizado
sentbyte network.sent_bytes Valor de sentbyte
sentpkt security_result.detection_fields.value Valor de sentpkt
servicio network.application_protocol o target.application Valor de app_protocol_output derivado de service. Si app_protocol_output está vacío, asigna a target.application.
ID de servicio security_result.detection_fields.value Valor de service_id de service_kvdata analizado
Nombre del servicio security_result.detection_fields.value Valor de service_name de service_kvdata analizado
sessionid network.session_id Valor de sessionid
Gravedad security_result.severity, security_result.severity_details Si Severity es “ERROR” o “CRÍTICO”, asócialo a la gravedad de la UDM correspondiente. Si es "INFO", asigna el valor "INFORMATIONAL". Si es "MINOR", asigna "LOW". Si es "ADVERTENCIA", asigna el valor "MEDIANO". Si es "MAJOR", asigna "HIGH". Asigna también el valor sin procesar a severity_details.
gravedad, security_result.severity, security_result.severity_details Si severity es "1", "2" o "3", asigna el valor a "LOW". Si es "4", "5" o "6", asigna "MEDIANO". Si es "7", "8" o "9", asigna el valor "ALTO". Asigna también el valor sin procesar a severity_details.
Nombre del elemento compartido security_result.detection_fields.value Valor de share_name de share_information_kvdata analizado
Compartir ruta security_result.detection_fields.value Valor de share_path de share_information_kvdata analizado
Fuente principal.ip, principal.asset.ip o principal.hostname, principal.asset.hostname Si Source es una dirección IP, asigna a principal.ip y principal.asset.ip. De lo contrario, asigna a principal.hostname y principal.asset.hostname.
Dirección de origen principal.ip, principal.asset.ip Valor de source_ip de network_information analizado
DRA de origen principal.resource.name Valor de source_dra
IP de origen principal.ip Valor de source_ip
Dirección de red de origen principal.ip, principal.asset.ip Valor de source_ip
Puerto de origen principal.port Valor de source_port de network_information analizado
Estación de trabajo de origen workstation_name Valor de source_workstation_name
srcip source_ip Valor de srcip si source_ip está vacío
srccountry principal.location.country_or_region Valor de srccountry
srcmac principal.mac Valor de srcmac
srcname principal.hostname, principal.asset.hostname Valor de srcname
srcport source_port Valor de srcport si source_port está vacío
srcswversion principal.platform_version Valor de srcswversion
Código de estado network.http.response_code Valor de status_code
Tipo de elevación de token security_result.detection_fields.value Valor de token_elevation_type
transited_services security_result.detection_fields.value Valor de transited_services de auth_kvdata analizado
transip principal.nat_ip Valor de transip
transporte principal.nat_port Valor de transport
tipo metadata.product_event_type Se usa con subtype para crear metadata.product_event_type.
Tipo security_result.detection_fields.value Valor de Type
UUID metadata.product_log_id Valor de UUID
vd principal.administrative_domain Valor de vd
virtual_account security_result.detection_fields.value Valor de virtual_account de logon_information_kvdata analizado
Nombre de la estación de trabajo principal.hostname, principal.asset.hostname Valor de workstation_name si no hay otro identificador principal
metadata.event_type metadata.event_type Derivado. Si principal_present y target_present son verdaderos, asigna el valor "NETWORK_CONNECTION". Si user_present es verdadero, asigna a "USER_RESOURCE_ACCESS". Si principal_present es verdadero, asigna a "STATUS_UPDATE". De lo contrario, asigna el evento a "GENERIC_EVENT".
metadata.log_type metadata.log_type Está codificado de forma fija en "CYBERX".
metadata.product_name metadata.product_name Está codificado de forma fija en "CYBERX".
metadata.vendor_name metadata.vendor_name Está codificado de forma fija en "CYBERX".
metadata.event_timestamp metadata.event_timestamp Se copia del campo timestamp de nivel superior o se deriva de los campos eventtime, date y time.

Cambios

2024-05-15

  • Se modificó el patrón de KV para controlar el nuevo patrón de SYSLOGS.
  • Se asignó "source_ip2" a "principal.ip" y "principal.asset.ip".
  • Se asignó "destination_ip2" a "target.ip" y "target.asset.ip".
  • Se asignó "Severity" a "security_result.severity_details".
  • Se alinearon las asignaciones de "principal.ip" y "principal.asset.ip".
  • Se alinearon las asignaciones "target.ip" y "target.asset.ip".
  • Se alinearon las asignaciones de "principal.hostname" y "principal.asset.hostname".
  • Se alinearon las asignaciones "target.hostname" y "target.asset.hostname".

2023-12-06

  • Sin embargo, el analizador se creó recientemente.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.