Mengumpulkan log CyberX

Didukung di:

Dokumen ini menjelaskan cara mengumpulkan log CyberX menggunakan forwarder Operasi Keamanan Google.

Untuk mengetahui informasi selengkapnya, lihat Ringkasan penyerapan data ke Google Security Operations.

Label penyerapan mengidentifikasi parser yang menormalisasi data log mentah ke format UDM terstruktur. Informasi dalam dokumen ini berlaku untuk parser dengan label transfer CyberX.

Mengonfigurasi CyberX

  1. Login ke UI CyberX.
  2. Di UI CyberX, pilih Forwarding, lalu klik Create forwarding rule.

  3. Untuk memilih filter notifikasi, lakukan tindakan berikut:

    • Di bagian Protocols, pilih protokol yang diperlukan atau klik All untuk memilih semua protokol.

    • Dalam daftar Keseriusan, pilih tingkat keseriusan pemberitahuan terendah yang akan dikirim.

      Misalnya, pemberitahuan penting dan utama dikirim menggunakan notifikasi jika Anda memilih tingkat keparahan Besar.

    • Di bagian Mesin, pilih mesin yang diperlukan atau klik Semua untuk memilih semua mesin.

  4. Klik Tambahkan untuk menambahkan metode notifikasi baru.

  5. Dalam daftar Action, pilih jenis tindakan dari tindakan yang tersedia.

    Jika Anda menambahkan lebih dari satu tindakan, beberapa metode notifikasi dapat dibuat untuk setiap aturan.

  6. Berdasarkan tindakan yang Anda pilih, tentukan detail yang diperlukan di kolom yang sesuai. Misalnya, jika Anda memilih Kirim ke server SYSLOG (CEF), lakukan hal berikut:

    • Di kolom Host, masukkan alamat server syslog.
    • Di kolom Zona waktu, masukkan zona waktu server syslog.
    • Di kolom Port, masukkan port server syslog.

  7. Klik Kirim.

    Demikian pula, untuk tindakan lain yang Anda pilih, tentukan detail yang diperlukan.

Mengonfigurasi forwarder Google Security Operations untuk menyerap log CyberX

  1. Pilih Setelan SIEM > Penerima.
  2. Klik Tambahkan penerusan baru.
  3. Di kolom Nama pengirim, masukkan nama unik untuk pengirim.
  4. Klik Kirim, lalu klik Konfirmasi. Pengirim ditambahkan dan jendela Tambahkan konfigurasi kolektor akan muncul.
  5. Di kolom Nama kolektor, ketik nama unik untuk kolektor.
  6. Pilih Microsoft CyberX sebagai Jenis log.
  7. Pilih Syslog sebagai Jenis kolektor.
  8. Konfigurasikan parameter input berikut:
    • Protokol: menentukan protokol koneksi yang digunakan kolektor untuk memproses data syslog.
    • Address: tentukan alamat IP atau nama host target tempat kolektor berada dan memproses data syslog.
    • Port: menentukan port target tempat kolektor berada dan memproses data syslog.
  9. Klik Kirim.

Untuk informasi selengkapnya tentang forwarder Google Security Operations, lihat Mengelola konfigurasi forwarder melalui UI Google Security Operations.

Jika Anda mengalami masalah saat membuat penerusan, hubungi dukungan Google Security Operations.

Referensi pemetaan kolom

Parser ini menangani log CyberX dalam format SYSLOG+KV, yang mengubahnya menjadi UDM. Fungsi ini melakukan inisialisasi sejumlah kolom ke string kosong, melakukan beberapa penggantian untuk mengganti nama dan memformat key-value pair dalam kolom pesan, lalu menggunakan filter grok dan kv untuk mengekstrak data terstruktur ke dalam kolom UDM. Parser memprioritaskan ekstraksi data nilai kunci dan kembali ke pola grok jika diperlukan, memperkaya peristiwa UDM dengan informasi hasil metadata, akun utama, target, jaringan, dan keamanan.

Tabel pemetaan UDM

Kolom Log Pemetaan UDM Logika
Masker Akses security_result.detection_fields.value Nilai access_mask dari access_request_kvdata yang diuraikan
Domain Akun principal.administrative_domain Nilai principal_domain dari principal_kvdata yang diuraikan
Domain Akun target.administrative_domain Nilai target_domain dari target_kvdata yang diuraikan
Nama Akun principal.user.userid Nilai principal_account_name dari principal_kvdata yang diuraikan
Nama Akun target.user.userid Nilai target_account_name dari target_kvdata yang diuraikan
action security_result.action_details Nilai action
action security_result.action Turunan. Jika action adalah "accept", "passthrough", "pass", "permit", "detected", atau "close", petakan ke "ALLOW". Jika action adalah "deny", "dropped", atau "blocked", petakan ke "BLOCK". Jika action adalah "timeout", petakan ke "GAGAL". Jika tidak, petakan ke "UNKNOWN_ACTION".
Nama Algoritma security_result.detection_fields.value Nilai algorithm_name dari cryptographic_kvdata yang diuraikan
aplikasi target.application Nilai service jika app_protocol_output kosong
appcat security_result.detection_fields.value Nilai appcat
Nama Aplikasi principal.application Nilai application_name
Paket Autentikasi security_result.about.resource.name Nilai authentication_package
Notifikasi Azure Defender for IoT security_result.detection_fields.value Nilai azure_defender_for_iot_alert
saluran security_result.detection_fields.value Nilai channel
Alamat Klien principal.ip, principal.asset.ip Nilai source_ip
Port Klien principal.port Nilai source_port
craction security_result.detection_fields.value Nilai craction
Kredensial Pengelola Kredensial dicadangkan security_result.description Nilai description
Kredensial Pengelola Kredensial telah dibaca. security_result.description Nilai description
crscore security_result.severity_details Nilai crscore
crlevel security_result.severity, security_result.severity_details Nilai crlevel. Jika crlevel adalah "TINGGI", "SEDANG", "RENDAH", atau "KRITIS", petakan ke tingkat keparahan UDM yang sesuai.
Operasi Kriptografis metadata.description Nilai product_desc
Nama platform CyberX security_result.detection_fields.value Nilai cyberx_platform_name
Deskripsi security_result.description Nilai description jika Message kosong
Tujuan target.ip, target.asset.ip, atau target.hostname Jika Destination adalah alamat IP, petakan ke target.ip dan target.asset.ip. Jika tidak, petakan ke target.hostname.
Alamat Tujuan target.ip, target.asset.ip Nilai destination_ip dari network_information yang diuraikan
DRA Tujuan target.resource.name Nilai destination_dra
IP tujuan target.ip, target.asset.ip Nilai destination_ip
Port Tujuan target.port Nilai destination_port dari network_information yang diuraikan
devid principal.resource.product_object_id Nilai devid
devname principal.resource.name Nilai devname
Arah network.direction Jika Direction adalah "incoming", "inbound", atau "response", petakan ke "INBOUND". Jika Direction adalah "outgoing", "outbound", atau "request", petakan ke "OUTBOUND".
dstip target.ip, target.asset.ip Nilai dstip jika destination_ip kosong
dstcountry target.location.country_or_region Nilai dstcountry
dstintf security_result.detection_fields.value Nilai dstintf
dstintfrole security_result.detection_fields.value Nilai dstintfrole
dstosname target.platform Nilai dstosname jika "WINDOWS", "LINUX", atau "MAC".
dstport target.port Nilai dstport jika destination_port kosong
dstswversion target.platform_version Nilai dstswversion
durasi network.session_duration.seconds Nilai duration
event_id security_result.rule_name Digunakan untuk membuat nama aturan sebagai "EventID: %{event_id}"
event_in_sequence security_result.detection_fields.value Nilai event_in_sequence
ID Runtime Filter security_result.detection_fields.value Nilai filter_run_time_id dari filter_information yang diuraikan
Keanggotaan Grup security_result.detection_fields.value Nilai group_membership jika event_id bukan 4627
Keanggotaan Grup target.user.group_identifiers Nilai dari group_membership yang diuraikan jika event_id adalah 4627
handle_id security_result.detection_fields.value Nilai handle_id dari object_kvdata yang diuraikan
ID Nama Sebutan Channel security_result.detection_fields.value Nilai handle_id dari object_kvdata yang diuraikan
impersonation_level security_result.detection_fields.value Nilai impersonation_level dari logon_information_kvdata yang diuraikan
Panjang Kunci security_result.detection_fields.value Nilai key_length dari auth_kvdata yang diuraikan
Nama Kunci security_result.detection_fields.value Nilai key_name dari cryptographic_kvdata yang diuraikan
Jenis Kunci security_result.detection_fields.value Nilai key_type dari cryptographic_kvdata yang diuraikan
kata kunci security_result.detection_fields.value Nilai keywords
Nama Lapisan security_result.detection_fields.value Nilai layer_name dari filter_information yang diuraikan
ID Runtime Lapisan security_result.detection_fields.value Nilai layer_run_time_id dari filter_information yang diuraikan
logid metadata.product_log_id Nilai logid
GUID Login principal.resource.product_object_id Nilai logon_guid
ID Login security_result.detection_fields.value Nilai logon_id
logon_type event.idm.read_only_udm.extensions.auth.mechanism Turunan. Jika logon_type adalah '3', petakan ke "NETWORK". Jika '4', petakan ke "BATCH". Jika '5', petakan ke "SERVICE". Jika '8', petakan ke "NETWORK_CLEAR_TEXT". Jika '9', petakan ke "NEW_CREDENTIALS". Jika '10', petakan ke "REMOTE_INTERACTIVE". Jika '11', petakan ke "CACHED_INTERACTIVE". Jika tidak, jika tidak kosong, petakan ke "MECHANISM_OTHER".
Akun Login security_result.detection_fields.value Nilai logon_id dari penguraian grok
Proses Login security_result.detection_fields.value Nilai logon_process dari auth_kvdata yang diuraikan
Label Wajib security_result.detection_fields.value Nilai mandatory_label
mastersrcmac principal.mac Nilai mastersrcmac
Pesan security_result.description Nilai Message
new_process_id target.process.pid Nilai new_process_id dari process_kvdata yang diuraikan
new_process_name target.process.file.full_path Nilai new_process_name dari process_kvdata yang diuraikan
Nama Objek security_result.detection_fields.value Nilai object_name dari object_kvdata yang diuraikan
Server Objek security_result.detection_fields.value Nilai object_server dari object_kvdata yang diuraikan
Jenis Objek security_result.detection_fields.value Nilai object_type dari object_kvdata yang diuraikan
osname principal.platform Nilai osname jika "WINDOWS", "LINUX", atau "MAC".
Nama Paket (khusus NTLM) security_result.detection_fields.value Nilai package_name dari auth_kvdata yang diuraikan
policyid security_result.rule_id Nilai policyid
policyname security_result.rule_name Nilai policyname
policytype security_result.rule_type Nilai policytype
ID proses principal.process.pid Nilai process_id
Nama Proses principal.process.file.full_path Nilai creator_process_name dari process_kvdata yang diuraikan
profile_changed security_result.detection_fields.value Nilai profile_changed
Profil Berubah security_result.detection_fields.value Nilai profile_changed dari penguraian grok
proto network.ip_protocol Jika proto adalah "17", petakan ke "UDP". Jika "6" atau subtype adalah "wad", petakan ke "TCP". Jika "41", petakan ke "IP6IN4". Jika service adalah "PING" atau proto adalah "1" atau service berisi "ICMP", petakan ke "ICMP".
Protokol network.application_protocol Nilai app_protocol_output yang berasal dari Protocol
Nama Penyedia security_result.detection_fields.value Nilai provider_name dari provider_kvdata atau cryptographic_kvdata yang diuraikan
rcvdbyte network.received_bytes Nilai rcvdbyte
rcvdpkt security_result.detection_fields.value Nilai rcvdpkt
restricted_admin_mode security_result.detection_fields.value Nilai restricted_admin_mode dari logon_information_kvdata yang diuraikan
Kode Status security_result.detection_fields.value Nilai return_code dari cryptographic_kvdata yang diuraikan
respons security_result.detection_fields.value Nilai response
rule_id security_result.rule_id Nilai rule_id
ID Keamanan principal.user.windows_sid Nilai principal_security_id dari principal_kvdata yang diuraikan
ID Keamanan target.user.windows_sid Nilai target_security_id dari target_kvdata yang diuraikan
sentbyte network.sent_bytes Nilai sentbyte
sentpkt security_result.detection_fields.value Nilai sentpkt
pelanggan network.application_protocol atau target.application Nilai app_protocol_output yang berasal dari service. Jika app_protocol_output kosong, petakan ke target.application.
Service ID security_result.detection_fields.value Nilai service_id dari service_kvdata yang diuraikan
Nama Layanan security_result.detection_fields.value Nilai service_name dari service_kvdata yang diuraikan
sessionid network.session_id Nilai sessionid
Keparahan security_result.severity, security_result.severity_details Jika Severity adalah "ERROR" atau "CRITICAL", petakan ke tingkat keparahan UDM yang sesuai. Jika "INFO", petakan ke "INFORMATIONAL". Jika "MINOR", petakan ke "LOW". Jika "PERINGATAN", petakan ke "SEDANG". Jika "MAJOR", petakan ke "HIGH". Petakan juga nilai mentah ke severity_details.
tingkat keseriusan, security_result.severity, security_result.severity_details Jika severity adalah "1", "2", atau "3", petakan ke "RENDAH". Jika "4", "5", atau "6", petakan ke "MEDIUM". Jika "7", "8", atau "9", petakan ke "TINGGI". Petakan juga nilai mentah ke severity_details.
Bagikan Nama security_result.detection_fields.value Nilai share_name dari share_information_kvdata yang diuraikan
Bagikan Jalur security_result.detection_fields.value Nilai share_path dari share_information_kvdata yang diuraikan
Sumber principal.ip, principal.asset.ip, atau principal.hostname, principal.asset.hostname Jika Source adalah alamat IP, petakan ke principal.ip dan principal.asset.ip. Jika tidak, petakan ke principal.hostname dan principal.asset.hostname.
Alamat Sumber principal.ip, principal.asset.ip Nilai source_ip dari network_information yang diuraikan
DRA Sumber principal.resource.name Nilai source_dra
IP sumber principal.ip Nilai source_ip
Alamat Jaringan Sumber principal.ip, principal.asset.ip Nilai source_ip
Port Sumber principal.port Nilai source_port dari network_information yang diuraikan
Workstation Sumber workstation_name Nilai source_workstation_name
srcip source_ip Nilai srcip jika source_ip kosong
srccountry principal.location.country_or_region Nilai srccountry
srcmac principal.mac Nilai srcmac
srcname principal.hostname, principal.asset.hostname Nilai srcname
srcport source_port Nilai srcport jika source_port kosong
srcswversion principal.platform_version Nilai srcswversion
Kode Status network.http.response_code Nilai status_code
Jenis Elevasi Token security_result.detection_fields.value Nilai token_elevation_type
transited_services security_result.detection_fields.value Nilai transited_services dari auth_kvdata yang diuraikan
transip principal.nat_ip Nilai transip
transportasi principal.nat_port Nilai transport
jenis metadata.product_event_type Digunakan dengan subtype untuk membuat metadata.product_event_type
Jenis security_result.detection_fields.value Nilai Type
UUID metadata.product_log_id Nilai UUID
vd principal.administrative_domain Nilai vd
virtual_account security_result.detection_fields.value Nilai virtual_account dari logon_information_kvdata yang diuraikan
Nama Workstation principal.hostname, principal.asset.hostname Nilai workstation_name jika tidak ada ID akun utama lainnya
metadata.event_type metadata.event_type Turunan. Jika principal_present dan target_present benar, petakan ke "NETWORK_CONNECTION". Jika user_present bernilai benar, petakan ke "USER_RESOURCE_ACCESS". Jika principal_present bernilai benar, petakan ke "STATUS_UPDATE". Jika tidak, petakan ke "GENERIC_EVENT".
metadata.log_type metadata.log_type Di-hardcode ke "CYBERX"
metadata.product_name metadata.product_name Di-hardcode ke "CYBERX"
metadata.vendor_name metadata.vendor_name Di-hardcode ke "CYBERX"
metadata.event_timestamp metadata.event_timestamp Disalin dari kolom timestamp level teratas, atau berasal dari kolom eventtime atau date dan time.

Perubahan

2024-05-15

  • Mengubah pola KV untuk menangani pola SYSLOGS baru.
  • Memetakan "source_ip2" ke "principal.ip" dan "principal.asset.ip".
  • Memetakan "destination_ip2" ke "target.ip" dan "target.asset.ip".
  • Memetakan "Severity" ke "security_result.severity_details".
  • Menyelaraskan pemetaan "principal.ip" dan "principal.asset.ip".
  • Pemetaan "target.ip" dan "target.asset.ip" yang diselaraskan.
  • Pemetaan "principal.hostname" dan "principal.asset.hostname" yang diselaraskan.
  • Pemetaan "target.hostname" dan "target.asset.hostname" yang diselaraskan.

2023-12-06

  • Parser yang baru dibuat.