Esta página se ha traducido con Cloud Translation API.

Recoger registros de CyberX

Disponible en:

SecOps de Google SIEM

En este documento se describe cómo puede recoger registros de CyberX mediante un reenviador de Google Security Operations.

Para obtener más información, consulta el artículo Información general sobre la ingestión de datos en Google Security Operations.

Una etiqueta de ingestión identifica el analizador que normaliza los datos de registro sin procesar en formato UDM estructurado. La información de este documento se aplica al analizador con la etiqueta de ingestión CyberX.

Configurar CyberX

Inicia sesión en la interfaz de usuario de CyberX.
En la interfaz de usuario de CyberX, seleccione Reenvío y, a continuación, haga clic en Crear regla de reenvío.
Para seleccionar filtros de notificaciones, sigue estos pasos:
- En la sección Protocolos, selecciona los protocolos necesarios o haz clic en Todos para seleccionar todos los protocolos.
- En la lista Gravedad, selecciona la gravedad más baja de las alertas que quieras enviar.
  
  Por ejemplo, las alertas críticas y graves se envían mediante notificaciones si seleccionas la gravedad Grave.
- En la sección Motores, selecciona los motores que quieras o haz clic en Todos para seleccionarlos todos.
Haz clic en Añadir para añadir un nuevo método de notificación.
En la lista Acción, selecciona un tipo de acción de las disponibles.

Si añades más de una acción, se pueden crear varios métodos de notificación para cada regla.
En función de la acción que hayas seleccionado, especifica los detalles necesarios en los campos correspondientes. Por ejemplo, si ha seleccionado Enviar a servidor SYSLOG (CEF), haga lo siguiente:
- En el campo Host, introduce la dirección del servidor syslog.
- En el campo Timezone (Zona horaria), introduce la zona horaria del servidor syslog.
- En el campo Puerto, introduce el puerto del servidor syslog.
Haz clic en Enviar.

Del mismo modo, especifica los detalles necesarios para otras acciones que selecciones.

Configurar el reenviador de Google Security Operations para ingerir registros de CyberX

Seleccione Configuración de SIEM > Reenviadores.
Haz clic en Añadir nuevo remitente.
En el campo Nombre del reenviador, introduce un nombre único para el reenviador.
Haz clic en Enviar y, a continuación, en Confirmar. Se añade el reenviador y se muestra la ventana Añadir configuración de recopilador.
En el campo Nombre del recolector, escriba un nombre único para el recolector.
Seleccione Microsoft CyberX como Tipo de registro.
Seleccione Syslog como Tipo de recogida.
Configure los siguientes parámetros de entrada:
- Protocolo: especifica el protocolo de conexión que usa el recopilador para escuchar los datos de syslog.
- Dirección: especifica la dirección IP o el nombre de host de destino donde reside el recolector y escucha los datos de syslog.
- Puerto: especifica el puerto de destino en el que reside el recopilador y escucha los datos de syslog.
Haz clic en Enviar.

Para obtener más información sobre los reenviadores de Google Security Operations, consulta Gestionar configuraciones de reenviadores a través de la interfaz de usuario de Google Security Operations.

Si tienes problemas al crear reenviadores, ponte en contacto con el equipo de Asistencia de Google Security Operations.

Referencia de asignación de campos

Este analizador gestiona los registros de CyberX en formato SYSLOG+KV y los transforma en UDM. Inicializa numerosos campos con cadenas vacías, realiza varias sustituciones para cambiar el nombre y el formato de los pares clave-valor del campo de mensaje y, a continuación, usa los filtros grok y kv para extraer datos estructurados en campos de UDM. El analizador prioriza la extracción de datos de pares clave-valor y recurre a los patrones grok si es necesario, lo que enriquece el evento UDM con metadatos, información sobre la entidad de seguridad, el objetivo, la red y el resultado de seguridad.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
Máscara de acceso	`security_result.detection_fields.value`	Valor de `access_mask` del `access_request_kvdata` analizado.
Dominio de la cuenta	`principal.administrative_domain`	Valor de `principal_domain` del `principal_kvdata` analizado.
Dominio de la cuenta	`target.administrative_domain`	Valor de `target_domain` del `target_kvdata` analizado.
Nombre de cuenta	`principal.user.userid`	Valor de `principal_account_name` del `principal_kvdata` analizado.
Nombre de cuenta	`target.user.userid`	Valor de `target_account_name` del `target_kvdata` analizado.
acción	`security_result.action_details`	Valor de `action`
acción	`security_result.action`	Derivado. Si `action` es "accept", "passthrough", "pass", "permit", "detected" o "close", asigna el valor "ALLOW". Si `action` es "deny", "dropped" o "blocked", asigna el valor "BLOCK". Si `action` es "timeout", asigna el valor "FAIL". De lo contrario, se asigna a "UNKNOWN_ACTION".
Nombre del algoritmo	`security_result.detection_fields.value`	Valor de `algorithm_name` del `cryptographic_kvdata` analizado.
aplicación	`target.application`	Valor de `service` si `app_protocol_output` está vacío.
appcat	`security_result.detection_fields.value`	Valor de `appcat`
Nombre de la aplicación	`principal.application`	Valor de `application_name`
Paquete de autenticación	`security_result.about.resource.name`	Valor de `authentication_package`
Alerta de Azure Defender for IoT	`security_result.detection_fields.value`	Valor de `azure_defender_for_iot_alert`
canal	`security_result.detection_fields.value`	Valor de `channel`
Dirección del cliente	`principal.ip`, `principal.asset.ip`	Valor de `source_ip`
Puerto del cliente	`principal.port`	Valor de `source_port`
craction	`security_result.detection_fields.value`	Valor de `craction`
Se han creado copias de seguridad de las credenciales del Gestor de credenciales	`security_result.description`	Valor de `description`
Se han leído las credenciales del Gestor de credenciales.	`security_result.description`	Valor de `description`
crscore	`security_result.severity_details`	Valor de `crscore`
crlevel	`security_result.severity`, `security_result.severity_details`	Valor de `crlevel`. Si `crlevel` es "HIGH", "MEDIUM", "LOW" o "CRITICAL", asigna la gravedad correspondiente de UDM.
Operación criptográfica	`metadata.description`	Valor de `product_desc`
Nombre de la plataforma CyberX	`security_result.detection_fields.value`	Valor de `cyberx_platform_name`
Descripción	`security_result.description`	Valor de `description` si `Message` está vacío.
Destino	`target.ip`, `target.asset.ip` o `target.hostname`	Si `Destination` es una dirección IP, asigna `target.ip` y `target.asset.ip`. De lo contrario, asigna el valor `target.hostname`.
Dirección de destino	`target.ip`, `target.asset.ip`	Valor de `destination_ip` del `network_information` analizado.
DRA de destino	`target.resource.name`	Valor de `destination_dra`
IP de destino	`target.ip`, `target.asset.ip`	Valor de `destination_ip`
Puerto de destino	`target.port`	Valor de `destination_port` del `network_information` analizado.
devid	`principal.resource.product_object_id`	Valor de `devid`
devname	`principal.resource.name`	Valor de `devname`
Dirección	`network.direction`	Si `Direction` es "incoming", "inbound" o "response", asigna el valor "INBOUND". Si `Direction` es "outgoing", "outbound" o "request", asigna el valor "OUTBOUND".
dstip	`target.ip`, `target.asset.ip`	Valor de `dstip` si `destination_ip` está vacío.
dstcountry	`target.location.country_or_region`	Valor de `dstcountry`
dstintf	`security_result.detection_fields.value`	Valor de `dstintf`
dstintfrole	`security_result.detection_fields.value`	Valor de `dstintfrole`
dstosname	`target.platform`	Valor de `dstosname` si es "WINDOWS", "LINUX" o "MAC".
dstport	`target.port`	Valor de `dstport` si `destination_port` está vacío.
dstswversion	`target.platform_version`	Valor de `dstswversion`
duración	`network.session_duration.seconds`	Valor de `duration`
event_id	`security_result.rule_name`	Se usa para crear el nombre de la regla como "EventID: %{event_id}".
event_in_sequence	`security_result.detection_fields.value`	Valor de `event_in_sequence`
Filtrar por ID de tiempo de ejecución	`security_result.detection_fields.value`	Valor de `filter_run_time_id` del `filter_information` analizado.
Pertenencia a un grupo	`security_result.detection_fields.value`	Valor de `group_membership` si `event_id` no es 4627
Pertenencia a un grupo	`target.user.group_identifiers`	Valores de `group_membership` analizado si `event_id` es 4627
handle_id	`security_result.detection_fields.value`	Valor de `handle_id` del `object_kvdata` analizado.
ID de controlador	`security_result.detection_fields.value`	Valor de `handle_id` del `object_kvdata` analizado.
impersonation_level	`security_result.detection_fields.value`	Valor de `impersonation_level` del `logon_information_kvdata` analizado.
Longitud de la clave	`security_result.detection_fields.value`	Valor de `key_length` del `auth_kvdata` analizado.
Nombre de la clave	`security_result.detection_fields.value`	Valor de `key_name` del `cryptographic_kvdata` analizado.
Tipo de clave	`security_result.detection_fields.value`	Valor de `key_type` del `cryptographic_kvdata` analizado.
keywords	`security_result.detection_fields.value`	Valor de `keywords`
Nombre de capa	`security_result.detection_fields.value`	Valor de `layer_name` del `filter_information` analizado.
ID de tiempo de ejecución de la capa	`security_result.detection_fields.value`	Valor de `layer_run_time_id` del `filter_information` analizado.
logid	`metadata.product_log_id`	Valor de `logid`
GUID de inicio de sesión	`principal.resource.product_object_id`	Valor de `logon_guid`
ID de inicio de sesión	`security_result.detection_fields.value`	Valor de `logon_id`
logon_type	`event.idm.read_only_udm.extensions.auth.mechanism`	Derivado. Si `logon_type` es "3", asigna el valor "NETWORK". Si es "4", asigna el valor "BATCH". Si es "5", asigna el valor "SERVICE". Si es "8", asigna el valor "NETWORK_CLEAR_TEXT". Si es "9", asigna el valor "NEW_CREDENTIALS". Si es "10", asigna el valor "REMOTE_INTERACTIVE". Si es "11", asigna el valor "CACHED_INTERACTIVE". De lo contrario, si no está vacío, asigna el valor "MECHANISM_OTHER".
Cuenta de inicio de sesión	`security_result.detection_fields.value`	Valor de `logon_id` del análisis de Grok
Proceso de inicio de sesión	`security_result.detection_fields.value`	Valor de `logon_process` del `auth_kvdata` analizado.
Etiqueta obligatoria	`security_result.detection_fields.value`	Valor de `mandatory_label`
mastersrcmac	`principal.mac`	Valor de `mastersrcmac`
Mensaje	`security_result.description`	Valor de `Message`
new_process_id	`target.process.pid`	Valor de `new_process_id` del `process_kvdata` analizado.
new_process_name	`target.process.file.full_path`	Valor de `new_process_name` del `process_kvdata` analizado.
Nombre de objeto	`security_result.detection_fields.value`	Valor de `object_name` del `object_kvdata` analizado.
Servidor de objetos	`security_result.detection_fields.value`	Valor de `object_server` del `object_kvdata` analizado.
Tipo de objeto	`security_result.detection_fields.value`	Valor de `object_type` del `object_kvdata` analizado.
osname	`principal.platform`	Valor de `osname` si es "WINDOWS", "LINUX" o "MAC".
Nombre del paquete (solo NTLM)	`security_result.detection_fields.value`	Valor de `package_name` del `auth_kvdata` analizado.
policyid	`security_result.rule_id`	Valor de `policyid`
policyname	`security_result.rule_name`	Valor de `policyname`
policytype	`security_result.rule_type`	Valor de `policytype`
ID de proceso	`principal.process.pid`	Valor de `process_id`
Nombre del proceso	`principal.process.file.full_path`	Valor de `creator_process_name` del `process_kvdata` analizado.
profile_changed	`security_result.detection_fields.value`	Valor de `profile_changed`
Perfil cambiado	`security_result.detection_fields.value`	Valor de `profile_changed` del análisis de Grok
proto	`network.ip_protocol`	Si `proto` es "17", asigna el valor "UDP". Si "6" o `subtype` es "wad", asigna el valor "TCP". Si es "41", asigna "IP6IN4". Si `service` es "PING", `proto` es "1" o `service` contiene "ICMP", asigna el valor "ICMP".
Protocolo	`network.application_protocol`	Valor de `app_protocol_output` derivado de `Protocol`
Nombre del proveedor	`security_result.detection_fields.value`	Valor de `provider_name` del `provider_kvdata` o `cryptographic_kvdata` analizado.
rcvdbyte	`network.received_bytes`	Valor de `rcvdbyte`
rcvdpkt	`security_result.detection_fields.value`	Valor de `rcvdpkt`
restricted_admin_mode	`security_result.detection_fields.value`	Valor de `restricted_admin_mode` del `logon_information_kvdata` analizado.
Código de retorno	`security_result.detection_fields.value`	Valor de `return_code` del `cryptographic_kvdata` analizado.
response	`security_result.detection_fields.value`	Valor de `response`
rule_id	`security_result.rule_id`	Valor de `rule_id`
ID de seguridad	`principal.user.windows_sid`	Valor de `principal_security_id` del `principal_kvdata` analizado.
ID de seguridad	`target.user.windows_sid`	Valor de `target_security_id` del `target_kvdata` analizado.
sentbyte	`network.sent_bytes`	Valor de `sentbyte`
sentpkt	`security_result.detection_fields.value`	Valor de `sentpkt`
servicio	`network.application_protocol` o `target.application`	Valor de `app_protocol_output` derivado de `service`. Si `app_protocol_output` está vacío, asigna el valor a `target.application`.
ID de servicio	`security_result.detection_fields.value`	Valor de `service_id` del `service_kvdata` analizado.
Nombre del servicio	`security_result.detection_fields.value`	Valor de `service_name` del `service_kvdata` analizado.
sessionid	`network.session_id`	Valor de `sessionid`
Gravedad	`security_result.severity`, `security_result.severity_details`	Si `Severity` es "ERROR" o "CRITICAL", asígnalo a la gravedad de UDM correspondiente. Si es "INFO", asigna el valor "INFORMATIONAL". Si es "MINOR", asigna el valor "LOW". Si es "WARNING", asigna el valor "MEDIUM". Si es "MAJOR", asigna el valor "HIGH". También debe asignar el valor sin procesar a `severity_details`.
gravedad	`security_result.severity`, `security_result.severity_details`	Si `severity` es "1", "2" o "3", asigna el valor "LOW". Si es "4", "5" o "6", asigna el valor "MEDIUM". Si es "7", "8" o "9", asigna el valor "HIGH". También debe asignar el valor sin procesar a `severity_details`.
Nombre para compartir	`security_result.detection_fields.value`	Valor de `share_name` del `share_information_kvdata` analizado.
Compartir ruta	`security_result.detection_fields.value`	Valor de `share_path` del `share_information_kvdata` analizado.
Fuente	`principal.ip`, `principal.asset.ip` o `principal.hostname`, `principal.asset.hostname`	Si `Source` es una dirección IP, asigna `principal.ip` y `principal.asset.ip`. De lo contrario, asigna los valores `principal.hostname` y `principal.asset.hostname`.
Dirección de origen	`principal.ip`, `principal.asset.ip`	Valor de `source_ip` del `network_information` analizado.
DRA de origen	`principal.resource.name`	Valor de `source_dra`
IP de origen	`principal.ip`	Valor de `source_ip`
Dirección de red de origen	`principal.ip`, `principal.asset.ip`	Valor de `source_ip`
Puerto de origen	`principal.port`	Valor de `source_port` del `network_information` analizado.
Estación de trabajo de origen	`workstation_name`	Valor de `source_workstation_name`
srcip	`source_ip`	Valor de `srcip` si `source_ip` está vacío.
srccountry	`principal.location.country_or_region`	Valor de `srccountry`
srcmac	`principal.mac`	Valor de `srcmac`
srcname	`principal.hostname`, `principal.asset.hostname`	Valor de `srcname`
srcport	`source_port`	Valor de `srcport` si `source_port` está vacío.
srcswversion	`principal.platform_version`	Valor de `srcswversion`
Código de estado	`network.http.response_code`	Valor de `status_code`
Tipo de elevación de token	`security_result.detection_fields.value`	Valor de `token_elevation_type`
transited_services	`security_result.detection_fields.value`	Valor de `transited_services` del `auth_kvdata` analizado.
transip	`principal.nat_ip`	Valor de `transip`
transporte	`principal.nat_port`	Valor de `transport`
tipo	`metadata.product_event_type`	Se usa con `subtype` para crear `metadata.product_event_type`.
Tipo	`security_result.detection_fields.value`	Valor de `Type`
UUID	`metadata.product_log_id`	Valor de `UUID`
vd	`principal.administrative_domain`	Valor de `vd`
virtual_account	`security_result.detection_fields.value`	Valor de `virtual_account` del `logon_information_kvdata` analizado.
Nombre de la estación de trabajo	`principal.hostname`, `principal.asset.hostname`	Valor de `workstation_name` si no hay otro identificador principal
`metadata.event_type`	`metadata.event_type`	Derivado. Si tanto `principal_present` como `target_present` son verdaderos, se asigna a "NETWORK_CONNECTION". Si `user_present` es true, asigna el valor "USER_RESOURCE_ACCESS". Si `principal_present` es true, asigna el valor "STATUS_UPDATE". De lo contrario, asigna el valor "GENERIC_EVENT".
`metadata.log_type`	`metadata.log_type`	Codificado como "CYBERX"
`metadata.product_name`	`metadata.product_name`	Codificado como "CYBERX"
`metadata.vendor_name`	`metadata.vendor_name`	Codificado como "CYBERX"
`metadata.event_timestamp`	`metadata.event_timestamp`	Copiado del campo `timestamp` de nivel superior o derivado de los campos `eventtime` o `date` y `time`.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.