Recopila registros de CyberX
En este documento, se describe cómo puedes recopilar registros de CyberX con un reenviador de Google Security Operations.
Para obtener más información, consulta la descripción general de la transferencia de datos a Google Security Operations.
Una etiqueta de transferencia identifica el analizador que normaliza los datos de registro sin procesar al formato estructurado del UDM. La información de este documento se aplica al analizador
con la etiqueta de transferencia CyberX
.
Configura CyberX
- Accede a la IU de CyberX.
- En la IU de CyberX, selecciona Redireccionamiento y, luego, haz clic en Crear regla de reenvío.
Para seleccionar filtros para las notificaciones, haz lo siguiente:
- En la sección Protocolos, selecciona los protocolos necesarios o haz clic en Todos para seleccionarlos.
En la lista Gravedad, selecciona la gravedad más baja de las alertas que se enviarán.
Por ejemplo, las alertas críticas y principales se envían mediante notificaciones si seleccionas la gravedad Importante.
En la sección Motores, selecciona los motores necesarios o haz clic en Todos para seleccionarlos.
Haz clic en Agregar para agregar un nuevo método de notificación.
En la lista Acción, selecciona un tipo de acción de las acciones disponibles.
Si agregas más de una acción, se pueden crear varios métodos de notificación para cada regla.
Según la acción que hayas seleccionado, especifica los detalles obligatorios en los campos adecuados. Por ejemplo, si seleccionaste Enviar al servidor SYSLOG (CEF), haz lo siguiente:
- En el campo Host, ingresa la dirección del servidor de syslog.
- En el campo Zona horaria, ingresa la zona horaria del servidor de syslog.
- En el campo Puerto, ingresa el puerto del servidor syslog.
Haz clic en Enviar.
Del mismo modo, para las otras acciones que selecciones, especifica los detalles obligatorios.
Configura el reenviador de Google Security Operations para transferir registros de CyberX
- Selecciona Configuración de SIEM > Redireccionamientos.
- Haz clic en Agregar nuevo remitente.
- En el campo Nombre del reenviador, ingresa un nombre único para el reenviador.
- Haz clic en Enviar y, luego, en Confirmar. Se agregará el reenviador y aparecerá la ventana Add collector configuration.
- En el campo Nombre del recopilador, escribe un nombre único para el recopilador.
- Selecciona
Microsoft CyberX
como el Tipo de registro. - Selecciona Syslog como el tipo de recopilador.
- Configura los siguientes parámetros de entrada:
- Protocolo: Especifica el protocolo de conexión que usa el recopilador para escuchar datos de syslog.
- Dirección: Especifica la dirección IP o el nombre de host de destino donde reside el recopilador y escucha los datos de syslog.
- Puerto: Especifica el puerto de destino en el que reside el recopilador y escucha los datos de syslog.
- Haz clic en Enviar.
Para obtener más información sobre los reenvíos de Google Security Operations, consulta Cómo administrar las configuraciones de reenvío a través de la IU de Google Security Operations.
Si tienes problemas cuando creas reenvío de correo, comunícate con el equipo de asistencia de Operaciones de seguridad de Google.
Referencia de la asignación de campos
Este analizador controla los registros de CyberX en formato SYSLOG+KV y los transforma en UDM. Inicializa varios campos en cadenas vacías, realiza varias sustituciones para cambiar el nombre de los pares clave-valor y aplicarles formato dentro del campo de mensaje y, luego, usa los filtros grok
y kv
para extraer datos estructurados en campos de UDM. El analizador prioriza la extracción de datos de par clave-valor y recurre a patrones de grok si es necesario, lo que enriquece el evento de la UDM con metadatos, información de resultados de seguridad, objetivo, red y principal.
Tabla de asignación de la UDM
Campo de registro | Asignación de UDM | Lógica |
---|---|---|
Máscara de acceso | security_result.detection_fields.value |
Valor de access_mask de access_request_kvdata analizado |
Dominio de la cuenta | principal.administrative_domain |
Valor de principal_domain de principal_kvdata analizado |
Dominio de la cuenta | target.administrative_domain |
Valor de target_domain de target_kvdata analizado |
Nombre de la cuenta | principal.user.userid |
Valor de principal_account_name de principal_kvdata analizado |
Nombre de la cuenta | target.user.userid |
Valor de target_account_name de target_kvdata analizado |
acción | security_result.action_details |
Valor de action |
acción | security_result.action |
Derivado. Si action es "accept", "passthrough", "pass", "permit", "detected" o "close", se asigna a "ALLOW". Si action es “deny”, “dropped” o “blocked”, asigna el valor “BLOCK”. Si action es "timeout", asigna "FAIL". De lo contrario, asigna la acción a "UNKNOWN_ACTION". |
Nombre del algoritmo | security_result.detection_fields.value |
Valor de algorithm_name de cryptographic_kvdata analizado |
app | target.application |
Valor de service si app_protocol_output está vacío |
appcat | security_result.detection_fields.value |
Valor de appcat |
Nombre de la app | principal.application |
Valor de application_name |
Paquete de autenticación | security_result.about.resource.name |
Valor de authentication_package |
Alerta de Azure Defender para IoT | security_result.detection_fields.value |
Valor de azure_defender_for_iot_alert |
canal | security_result.detection_fields.value |
Valor de channel |
Dirección del cliente | principal.ip , principal.asset.ip |
Valor de source_ip |
Puerto de cliente | principal.port |
Valor de source_port |
craction | security_result.detection_fields.value |
Valor de craction |
Se creó una copia de seguridad de las credenciales del Administrador de credenciales | security_result.description |
Valor de description |
Se leyeron las credenciales del Administrador de credenciales. | security_result.description |
Valor de description |
crscore | security_result.severity_details |
Valor de crscore |
crlevel | security_result.severity , security_result.severity_details |
Es el valor de crlevel . Si crlevel es “HIGH”, “MEDIUM”, “LOW” o “CRITICAL”, asócialo a la gravedad de la UDM correspondiente. |
Operación criptográfica | metadata.description |
Valor de product_desc |
Nombre de la plataforma de CyberX | security_result.detection_fields.value |
Valor de cyberx_platform_name |
Descripción | security_result.description |
Valor de description si Message está vacío |
Destino | target.ip , target.asset.ip o target.hostname |
Si Destination es una dirección IP, asigna a target.ip y target.asset.ip . De lo contrario, asigna a target.hostname . |
Dirección de destino | target.ip , target.asset.ip |
Valor de destination_ip de network_information analizado |
DRA de destino | target.resource.name |
Valor de destination_dra |
IP de destino | target.ip , target.asset.ip |
Valor de destination_ip |
Puerto de destino | target.port |
Valor de destination_port de network_information analizado |
devid | principal.resource.product_object_id |
Valor de devid |
devname | principal.resource.name |
Valor de devname |
Dirección | network.direction |
Si Direction es "incoming", "inbound" o "response", asigna "INBOUND". Si Direction es "outgoing", "outbound" o "request", asócialo a "OUTBOUND". |
dstip | target.ip , target.asset.ip |
Valor de dstip si destination_ip está vacío |
dstcountry | target.location.country_or_region |
Valor de dstcountry |
dstintf | security_result.detection_fields.value |
Valor de dstintf |
dstintfrole | security_result.detection_fields.value |
Valor de dstintfrole |
dstosname | target.platform |
Es el valor de dstosname si es "WINDOWS", "LINUX" o "MAC". |
dstport | target.port |
Valor de dstport si destination_port está vacío |
dstswversion | target.platform_version |
Valor de dstswversion |
duración | network.session_duration.seconds |
Valor de duration |
event_id | security_result.rule_name |
Se usa para construir el nombre de la regla como "EventID: %{event_id}". |
event_in_sequence | security_result.detection_fields.value |
Valor de event_in_sequence |
Filtrar el ID de entorno de ejecución | security_result.detection_fields.value |
Valor de filter_run_time_id de filter_information analizado |
Membresía la grupo | security_result.detection_fields.value |
Valor de group_membership si event_id no es 4627 |
Membresía la grupo | target.user.group_identifiers |
Valores de group_membership analizados si event_id es 4627 |
handle_id | security_result.detection_fields.value |
Valor de handle_id de object_kvdata analizado |
ID de control | security_result.detection_fields.value |
Valor de handle_id de object_kvdata analizado |
impersonation_level | security_result.detection_fields.value |
Valor de impersonation_level de logon_information_kvdata analizado |
Longitud de la clave | security_result.detection_fields.value |
Valor de key_length de auth_kvdata analizado |
Nombre de la clave | security_result.detection_fields.value |
Valor de key_name de cryptographic_kvdata analizado |
Tipo de clave | security_result.detection_fields.value |
Valor de key_type de cryptographic_kvdata analizado |
palabras clave | security_result.detection_fields.value |
Valor de keywords |
Nombre de la capa | security_result.detection_fields.value |
Valor de layer_name de filter_information analizado |
ID de tiempo de ejecución de la capa | security_result.detection_fields.value |
Valor de layer_run_time_id de filter_information analizado |
logid | metadata.product_log_id |
Valor de logid |
GUID de acceso | principal.resource.product_object_id |
Valor de logon_guid |
ID de acceso | security_result.detection_fields.value |
Valor de logon_id |
logon_type | event.idm.read_only_udm.extensions.auth.mechanism |
Derivado. Si logon_type es "3", asigna "NETWORK". Si es "4", asigna "BATCH". Si es "5", asigna el valor "SERVICE". Si es "8", asigna a "NETWORK_CLEAR_TEXT". Si es "9", asigna a "NEW_CREDENTIALS". Si es "10", asigna "REMOTE_INTERACTIVE". Si es "11", asigna a "CACHED_INTERACTIVE". De lo contrario, si no está vacío, asigna el valor a "MECHANISM_OTHER". |
Cuenta de acceso | security_result.detection_fields.value |
Valor de logon_id del análisis de Grok |
Proceso de acceso | security_result.detection_fields.value |
Valor de logon_process de auth_kvdata analizado |
Etiqueta obligatoria | security_result.detection_fields.value |
Valor de mandatory_label |
mastersrcmac | principal.mac |
Valor de mastersrcmac |
Mensaje | security_result.description |
Valor de Message |
new_process_id | target.process.pid |
Valor de new_process_id de process_kvdata analizado |
new_process_name | target.process.file.full_path |
Valor de new_process_name de process_kvdata analizado |
Nombre del objeto | security_result.detection_fields.value |
Valor de object_name de object_kvdata analizado |
Servidor de objetos | security_result.detection_fields.value |
Valor de object_server de object_kvdata analizado |
Tipo de objeto | security_result.detection_fields.value |
Valor de object_type de object_kvdata analizado |
osname | principal.platform |
Es el valor de osname si es "WINDOWS", "LINUX" o "MAC". |
Nombre del paquete (solo NTLM) | security_result.detection_fields.value |
Valor de package_name de auth_kvdata analizado |
policyid | security_result.rule_id |
Valor de policyid |
policyname | security_result.rule_name |
Valor de policyname |
policytype | security_result.rule_type |
Valor de policytype |
ID de proceso | principal.process.pid |
Valor de process_id |
Nombre del proceso | principal.process.file.full_path |
Valor de creator_process_name de process_kvdata analizado |
profile_changed | security_result.detection_fields.value |
Valor de profile_changed |
Se cambió el perfil | security_result.detection_fields.value |
Valor de profile_changed del análisis de Grok |
protocolo | network.ip_protocol |
Si proto es “17”, asigna a “UDP”. Si "6" o subtype es "wad", asigna a "TCP". Si es “41”, asigna a “IP6IN4”. Si service es "PING", proto es "1" o service contiene "ICMP", asigna a "ICMP". |
Protocolo | network.application_protocol |
Valor de app_protocol_output derivado de Protocol |
Nombre del proveedor | security_result.detection_fields.value |
Valor de provider_name de provider_kvdata o cryptographic_kvdata analizado |
rcvdbyte | network.received_bytes |
Valor de rcvdbyte |
rcvdpkt | security_result.detection_fields.value |
Valor de rcvdpkt |
restricted_admin_mode | security_result.detection_fields.value |
Valor de restricted_admin_mode de logon_information_kvdata analizado |
Código de retorno | security_result.detection_fields.value |
Valor de return_code de cryptographic_kvdata analizado |
respuesta | security_result.detection_fields.value |
Valor de response |
rule_id | security_result.rule_id |
Valor de rule_id |
ID de seguridad | principal.user.windows_sid |
Valor de principal_security_id de principal_kvdata analizado |
ID de seguridad | target.user.windows_sid |
Valor de target_security_id de target_kvdata analizado |
sentbyte | network.sent_bytes |
Valor de sentbyte |
sentpkt | security_result.detection_fields.value |
Valor de sentpkt |
servicio | network.application_protocol o target.application |
Valor de app_protocol_output derivado de service . Si app_protocol_output está vacío, asigna a target.application . |
ID de servicio | security_result.detection_fields.value |
Valor de service_id de service_kvdata analizado |
Nombre del servicio | security_result.detection_fields.value |
Valor de service_name de service_kvdata analizado |
sessionid | network.session_id |
Valor de sessionid |
Gravedad | security_result.severity , security_result.severity_details |
Si Severity es “ERROR” o “CRÍTICO”, asócialo a la gravedad de la UDM correspondiente. Si es "INFO", asigna el valor "INFORMATIONAL". Si es "MINOR", asigna "LOW". Si es "ADVERTENCIA", asigna el valor "MEDIANO". Si es "MAJOR", asigna "HIGH". Asigna también el valor sin procesar a severity_details . |
gravedad, | security_result.severity , security_result.severity_details |
Si severity es "1", "2" o "3", asigna el valor a "LOW". Si es "4", "5" o "6", asigna "MEDIANO". Si es "7", "8" o "9", asigna el valor "ALTO". Asigna también el valor sin procesar a severity_details . |
Nombre del elemento compartido | security_result.detection_fields.value |
Valor de share_name de share_information_kvdata analizado |
Compartir ruta | security_result.detection_fields.value |
Valor de share_path de share_information_kvdata analizado |
Fuente | principal.ip , principal.asset.ip o principal.hostname , principal.asset.hostname |
Si Source es una dirección IP, asigna a principal.ip y principal.asset.ip . De lo contrario, asigna a principal.hostname y principal.asset.hostname . |
Dirección de origen | principal.ip , principal.asset.ip |
Valor de source_ip de network_information analizado |
DRA de origen | principal.resource.name |
Valor de source_dra |
IP de origen | principal.ip |
Valor de source_ip |
Dirección de red de origen | principal.ip , principal.asset.ip |
Valor de source_ip |
Puerto de origen | principal.port |
Valor de source_port de network_information analizado |
Estación de trabajo de origen | workstation_name |
Valor de source_workstation_name |
srcip | source_ip |
Valor de srcip si source_ip está vacío |
srccountry | principal.location.country_or_region |
Valor de srccountry |
srcmac | principal.mac |
Valor de srcmac |
srcname | principal.hostname , principal.asset.hostname |
Valor de srcname |
srcport | source_port |
Valor de srcport si source_port está vacío |
srcswversion | principal.platform_version |
Valor de srcswversion |
Código de estado | network.http.response_code |
Valor de status_code |
Tipo de elevación de token | security_result.detection_fields.value |
Valor de token_elevation_type |
transited_services | security_result.detection_fields.value |
Valor de transited_services de auth_kvdata analizado |
transip | principal.nat_ip |
Valor de transip |
transporte | principal.nat_port |
Valor de transport |
tipo | metadata.product_event_type |
Se usa con subtype para crear metadata.product_event_type . |
Tipo | security_result.detection_fields.value |
Valor de Type |
UUID | metadata.product_log_id |
Valor de UUID |
vd | principal.administrative_domain |
Valor de vd |
virtual_account | security_result.detection_fields.value |
Valor de virtual_account de logon_information_kvdata analizado |
Nombre de la estación de trabajo | principal.hostname , principal.asset.hostname |
Valor de workstation_name si no hay otro identificador principal |
metadata.event_type |
metadata.event_type |
Derivado. Si principal_present y target_present son verdaderos, asigna el valor "NETWORK_CONNECTION". Si user_present es verdadero, asigna a "USER_RESOURCE_ACCESS". Si principal_present es verdadero, asigna a "STATUS_UPDATE". De lo contrario, asigna el evento a "GENERIC_EVENT". |
metadata.log_type |
metadata.log_type |
Está codificado de forma fija en "CYBERX". |
metadata.product_name |
metadata.product_name |
Está codificado de forma fija en "CYBERX". |
metadata.vendor_name |
metadata.vendor_name |
Está codificado de forma fija en "CYBERX". |
metadata.event_timestamp |
metadata.event_timestamp |
Se copia del campo timestamp de nivel superior o se deriva de los campos eventtime , date y time . |
Cambios
2024-05-15
- Se modificó el patrón de KV para controlar el nuevo patrón de SYSLOGS.
- Se asignó "source_ip2" a "principal.ip" y "principal.asset.ip".
- Se asignó "destination_ip2" a "target.ip" y "target.asset.ip".
- Se asignó "Severity" a "security_result.severity_details".
- Se alinearon las asignaciones de "principal.ip" y "principal.asset.ip".
- Se alinearon las asignaciones "target.ip" y "target.asset.ip".
- Se alinearon las asignaciones de "principal.hostname" y "principal.asset.hostname".
- Se alinearon las asignaciones "target.hostname" y "target.asset.hostname".
2023-12-06
- Sin embargo, el analizador se creó recientemente.
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.