CyberX ログを収集する
以下でサポートされています。
Google SecOpsSIEM
このドキュメントでは、Google Security Operations フォワーダーを使用して CyberX のログを収集する方法について説明します。
詳細については、Google Security Operations へのデータの取り込みの概要をご覧ください。
取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。このドキュメントの情報は、取り込みラベル CyberX が付加されたパーサーに適用されます。
CyberX を構成する
- CyberX UI にログインします。
- CyberX UI で [転送] を選択し、[転送ルールを作成] をクリックします。
通知のフィルタを選択する手順は次のとおりです。
- [プロトコル] セクションで、必要なプロトコルを選択するか、[すべて] をクリックしてすべてのプロトコルを選択します。
[重大度] リストで、送信するアラートの最も低い重大度を選択します。
たとえば、重大度を [重大] に選択すると、重大アラートと重大アラートは通知を使用して送信されます。
[エンジン] セクションで、必要なエンジンを選択するか、[すべて] をクリックしてすべてのエンジンを選択します。
[追加] をクリックして、新しい通知方法を追加します。
[アクション] リストで、使用可能なアクションからアクション タイプを選択します。
複数のアクションを追加すると、ルールごとに複数の通知方法を作成できます。
選択したアクションに基づいて、必要な詳細を適切なフィールドに指定します。たとえば、[SYSLOG サーバーに送信(CEF)] を選択した場合は、次の操作を行います。
- [Host] フィールドに、Syslog サーバーのアドレスを入力します。
- [Timezone] フィールドに、Syslog サーバーのタイムゾーンを入力します。
- [Port] フィールドに、syslog サーバー ポートを入力します。
[送信] をクリックします。
同様に、選択した他のアクションについても、必要な詳細を指定します。
CyberX ログを取り込むように Google Security Operations フォワーダーを構成する
- [SIEM の設定] > [転送元] を選択します。
- [新しいフォワーダーの追加] をクリックします。
- [フォワーダーの名前] フィールドに、フォワーダーの一意の名前を入力します。
- [送信]、[確認] の順にクリックします。フォワーダーが追加され、[コレクタの構成を追加する] ウィンドウが表示されます。
- [コレクタ名] フィールドに、コレクタの一意の名前を入力します。
- [ログタイプ] として
Microsoft CyberXを選択します。 - [Collector type] として [Syslog] を選択します。
- 次の入力パラメータを構成します。
- プロトコル: コレクタが syslog データをリッスンするために使用する接続プロトコルを指定します。
- Address: コレクタが存在し、syslog データをリッスンするターゲット IP アドレスまたはホスト名を指定します。
- ポート: コレクタが存在し、Syslog データをリッスンするターゲット ポートを指定します。
- [送信] をクリックします。
Google Security Operations フォワーダーの詳細については、Google Security Operations UI でフォワーダー構成を管理するをご覧ください。
フォワーダーの作成時に問題が発生した場合は、Google Security Operations サポートにお問い合わせください。
フィールド マッピング リファレンス
このパーサーは、SYSLOG+KV 形式の CyberX ログを処理し、UDM に変換します。多くのフィールドを空の文字列に初期化し、いくつかの置換を実行してメッセージ フィールド内の Key-Value ペアの名前を変更し、フォーマットします。次に、grok フィルタと kv フィルタを使用して、構造化データを UDM フィールドに抽出します。パーサーは、Key-Value データの抽出を優先し、必要に応じて grok パターンにフォールバックします。これにより、UDM イベントにメタデータ、プリンシパル、ターゲット、ネットワーク、セキュリティの結果情報が追加されます。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | ロジック |
|---|---|---|
| アクセス マスク | security_result.detection_fields.value |
解析された access_request_kvdata の access_mask の値 |
| アカウントのドメイン | principal.administrative_domain |
解析された principal_kvdata の principal_domain の値 |
| アカウントのドメイン | target.administrative_domain |
解析された target_kvdata の target_domain の値 |
| Account Name | principal.user.userid |
解析された principal_kvdata の principal_account_name の値 |
| Account Name | target.user.userid |
解析された target_kvdata の target_account_name の値 |
| アクション | security_result.action_details |
action の値 |
| アクション | security_result.action |
派生。action が「accept」、「passthrough」、「pass」、「permit」、「detected」、「close」の場合は、「ALLOW」にマッピングします。action が「deny」、「dropped」、「blocked」の場合は、「BLOCK」にマッピングします。action が「timeout」の場合は、「FAIL」にマッピングします。それ以外の場合は、「UNKNOWN_ACTION」にマッピングします。 |
| アルゴリズム名 | security_result.detection_fields.value |
解析された cryptographic_kvdata の algorithm_name の値 |
| app | target.application |
app_protocol_output が空の場合の service の値 |
| appcat | security_result.detection_fields.value |
appcat の値 |
| アプリケーション名 | principal.application |
application_name の値 |
| 認証パッケージ | security_result.about.resource.name |
authentication_package の値 |
| Azure Defender for IoT アラート | security_result.detection_fields.value |
azure_defender_for_iot_alert の値 |
| channel | security_result.detection_fields.value |
channel の値 |
| クライアント アドレス | principal.ip、principal.asset.ip |
source_ip の値 |
| クライアント ポート | principal.port |
source_port の値 |
| craction | security_result.detection_fields.value |
craction の値 |
| 認証情報マネージャーの認証情報がバックアップされている | security_result.description |
description の値 |
| 認証情報マネージャーの認証情報が読み取られました。 | security_result.description |
description の値 |
| crscore | security_result.severity_details |
crscore の値 |
| crlevel | security_result.severity、security_result.severity_details |
crlevel の値。crlevel が「HIGH」、「MEDIUM」、「LOW」、「CRITICAL」の場合は、対応する UDM の重大度にマッピングします。 |
| 暗号オペレーション | metadata.description |
product_desc の値 |
| CyberX プラットフォーム名 | security_result.detection_fields.value |
cyberx_platform_name の値 |
| 説明 | security_result.description |
Message が空の場合の description の値 |
| 目的地 | target.ip、target.asset.ip、target.hostnameのいずれか |
Destination が IP アドレスの場合は、target.ip と target.asset.ip にマッピングします。それ以外の場合は、target.hostname にマッピングします。 |
| 宛先アドレス | target.ip、target.asset.ip |
解析された network_information の destination_ip の値 |
| 宛先 DRA | target.resource.name |
destination_dra の値 |
| 宛先 IP | target.ip、target.asset.ip |
destination_ip の値 |
| 宛先ポート | target.port |
解析された network_information の destination_port の値 |
| devid | principal.resource.product_object_id |
devid の値 |
| devname | principal.resource.name |
devname の値 |
| 方向 | network.direction |
Direction が「incoming」、「inbound」、「response」の場合は、「INBOUND」にマッピングします。Direction が「outgoing」、「outbound」、「request」の場合は、「OUTBOUND」にマッピングします。 |
| dstip | target.ip、target.asset.ip |
destination_ip が空の場合の dstip の値 |
| dstcountry | target.location.country_or_region |
dstcountry の値 |
| dstintf | security_result.detection_fields.value |
dstintf の値 |
| dstintfrole | security_result.detection_fields.value |
dstintfrole の値 |
| dstosname | target.platform |
dstosname の値(「WINDOWS」、「LINUX」、「MAC」のいずれか)。 |
| dstport | target.port |
destination_port が空の場合の dstport の値 |
| dstswversion | target.platform_version |
dstswversion の値 |
| duration | network.session_duration.seconds |
duration の値 |
| event_id | security_result.rule_name |
ルール名を「EventID: %{event_id}」として構築するために使用されます。 |
| event_in_sequence | security_result.detection_fields.value |
event_in_sequence の値 |
| フィルタの実行時間 ID | security_result.detection_fields.value |
解析された filter_information の filter_run_time_id の値 |
| グループ メンバー | security_result.detection_fields.value |
event_id が 4627 でない場合は group_membership の値 |
| グループ メンバー | target.user.group_identifiers |
event_id が 4627 の場合、解析された group_membership の値 |
| handle_id | security_result.detection_fields.value |
解析された object_kvdata の handle_id の値 |
| ハンドル ID | security_result.detection_fields.value |
解析された object_kvdata の handle_id の値 |
| impersonation_level | security_result.detection_fields.value |
解析された logon_information_kvdata の impersonation_level の値 |
| キーの長さ | security_result.detection_fields.value |
解析された auth_kvdata の key_length の値 |
| 鍵の名前 | security_result.detection_fields.value |
解析された cryptographic_kvdata の key_name の値 |
| 鍵のタイプ | security_result.detection_fields.value |
解析された cryptographic_kvdata の key_type の値 |
| キーワード | security_result.detection_fields.value |
keywords の値 |
| レイヤ名 | security_result.detection_fields.value |
解析された filter_information の layer_name の値 |
| レイヤのランタイム ID | security_result.detection_fields.value |
解析された filter_information の layer_run_time_id の値 |
| logid | metadata.product_log_id |
logid の値 |
| ログオン GUID | principal.resource.product_object_id |
logon_guid の値 |
| ログオン ID | security_result.detection_fields.value |
logon_id の値 |
| logon_type | event.idm.read_only_udm.extensions.auth.mechanism |
派生。logon_type が「3」の場合、「NETWORK」にマッピングします。4 の場合は「BATCH」にマッピングします。5 の場合、「SERVICE」にマッピングします。8 の場合は、「NETWORK_CLEAR_TEXT」にマッピングします。9 の場合は、「NEW_CREDENTIALS」にマッピングします。10 の場合、「REMOTE_INTERACTIVE」にマッピングします。11 の場合は、「CACHED_INTERACTIVE」にマッピングします。それ以外の場合は、空でない場合、「MECHANISM_OTHER」にマッピングします。 |
| ログオン アカウント | security_result.detection_fields.value |
grok 解析からの logon_id の値 |
| ログオン プロセス | security_result.detection_fields.value |
解析された auth_kvdata の logon_process の値 |
| 必須ラベル | security_result.detection_fields.value |
mandatory_label の値 |
| mastersrcmac | principal.mac |
mastersrcmac の値 |
| メッセージ | security_result.description |
Message の値 |
| new_process_id | target.process.pid |
解析された process_kvdata の new_process_id の値 |
| new_process_name | target.process.file.full_path |
解析された process_kvdata の new_process_name の値 |
| オブジェクト名 | security_result.detection_fields.value |
解析された object_kvdata の object_name の値 |
| オブジェクト サーバー | security_result.detection_fields.value |
解析された object_kvdata の object_server の値 |
| オブジェクトタイプ | security_result.detection_fields.value |
解析された object_kvdata の object_type の値 |
| osname | principal.platform |
osname の値(「WINDOWS」、「LINUX」、「MAC」のいずれか)。 |
| パッケージ名(NTLM のみ) | security_result.detection_fields.value |
解析された auth_kvdata の package_name の値 |
| policyid | security_result.rule_id |
policyid の値 |
| policyname | security_result.rule_name |
policyname の値 |
| policytype | security_result.rule_type |
policytype の値 |
| プロセス ID | principal.process.pid |
process_id の値 |
| プロセス名 | principal.process.file.full_path |
解析された process_kvdata の creator_process_name の値 |
| profile_changed | security_result.detection_fields.value |
profile_changed の値 |
| プロフィールを変更しました | security_result.detection_fields.value |
grok 解析からの profile_changed の値 |
| proto | network.ip_protocol |
proto が「17」の場合は、「UDP」にマッピングします。「6」または subtype が「wad」の場合は、「TCP」にマッピングします。「41」の場合は、「IP6IN4」にマッピングします。service が「PING」の場合、または proto が「1」の場合、または service に「ICMP」が含まれている場合は、「ICMP」にマッピングします。 |
| プロトコル | network.application_protocol |
Protocol から派生した app_protocol_output の値 |
| プロバイダ名 | security_result.detection_fields.value |
解析された provider_kvdata または cryptographic_kvdata の provider_name の値 |
| rcvdbyte | network.received_bytes |
rcvdbyte の値 |
| rcvdpkt | security_result.detection_fields.value |
rcvdpkt の値 |
| restricted_admin_mode | security_result.detection_fields.value |
解析された logon_information_kvdata の restricted_admin_mode の値 |
| 戻りコード | security_result.detection_fields.value |
解析された cryptographic_kvdata の return_code の値 |
| レスポンス | security_result.detection_fields.value |
response の値 |
| rule_id | security_result.rule_id |
rule_id の値 |
| セキュリティ ID | principal.user.windows_sid |
解析された principal_kvdata の principal_security_id の値 |
| セキュリティ ID | target.user.windows_sid |
解析された target_kvdata の target_security_id の値 |
| sentbyte | network.sent_bytes |
sentbyte の値 |
| sentpkt | security_result.detection_fields.value |
sentpkt の値 |
| サービス | network.application_protocol または target.application |
service から派生した app_protocol_output の値。app_protocol_output が空の場合は、target.application にマッピングします。 |
| サービス ID | security_result.detection_fields.value |
解析された service_kvdata の service_id の値 |
| サービス名 | security_result.detection_fields.value |
解析された service_kvdata の service_name の値 |
| sessionid | network.session_id |
sessionid の値 |
| 重大度 | security_result.severity、security_result.severity_details |
Severity が「ERROR」または「CRITICAL」の場合は、対応する UDM の重大度にマッピングします。「INFO」の場合は、「INFORMATIONAL」にマッピングします。「MINOR」の場合は、「LOW」にマッピングします。「WARNING」の場合は、「MEDIUM」にマッピングします。「MAJOR」の場合は「HIGH」にマッピングします。未加工の値も severity_details にマッピングします。 |
| 重要度 | security_result.severity、security_result.severity_details |
severity が「1」、「2」、「3」の場合は、「LOW」にマッピングします。「4」、「5」、「6」の場合は、「MEDIUM」にマッピングします。「7」、「8」、「9」の場合は、「HIGH」にマッピングします。未加工の値も severity_details にマッピングします。 |
| 共有名 | security_result.detection_fields.value |
解析された share_information_kvdata の share_name の値 |
| 共有パス | security_result.detection_fields.value |
解析された share_information_kvdata の share_path の値 |
| ソース | principal.ip、principal.asset.ip、principal.hostname、principal.asset.hostname |
Source が IP アドレスの場合は、principal.ip と principal.asset.ip にマッピングします。それ以外の場合は、principal.hostname と principal.asset.hostname にマッピングします。 |
| 送信元アドレス | principal.ip、principal.asset.ip |
解析された network_information の source_ip の値 |
| ソース DRA | principal.resource.name |
source_dra の値 |
| 送信元 IP | principal.ip |
source_ip の値 |
| ソース ネットワーク アドレス | principal.ip、principal.asset.ip |
source_ip の値 |
| 送信元ポート | principal.port |
解析された network_information の source_port の値 |
| ソース ワークステーション | workstation_name |
source_workstation_name の値 |
| srcip | source_ip |
source_ip が空の場合の srcip の値 |
| srccountry | principal.location.country_or_region |
srccountry の値 |
| srcmac | principal.mac |
srcmac の値 |
| srcname | principal.hostname、principal.asset.hostname |
srcname の値 |
| srcport | source_port |
source_port が空の場合の srcport の値 |
| srcswversion | principal.platform_version |
srcswversion の値 |
| ステータス コード | network.http.response_code |
status_code の値 |
| トークンエスカレーション タイプ | security_result.detection_fields.value |
token_elevation_type の値 |
| transited_services | security_result.detection_fields.value |
解析された auth_kvdata の transited_services の値 |
| transip | principal.nat_ip |
transip の値 |
| transport | principal.nat_port |
transport の値 |
| type | metadata.product_event_type |
subtype で使用して metadata.product_event_type を作成する |
| タイプ | security_result.detection_fields.value |
Type の値 |
| UUID | metadata.product_log_id |
UUID の値 |
| vd | principal.administrative_domain |
vd の値 |
| virtual_account | security_result.detection_fields.value |
解析された logon_information_kvdata の virtual_account の値 |
| ワークステーション名 | principal.hostname、principal.asset.hostname |
他のプリンシパル ID が存在しない場合の値は workstation_name です。 |
metadata.event_type |
metadata.event_type |
派生。principal_present と target_present の両方が true の場合、「NETWORK_CONNECTION」にマッピングします。user_present が true の場合、「USER_RESOURCE_ACCESS」にマッピングします。principal_present が true の場合、「STATUS_UPDATE」にマッピングします。それ以外の場合は、「GENERIC_EVENT」にマッピングします。 |
metadata.log_type |
metadata.log_type |
「CYBERX」にハードコード |
metadata.product_name |
metadata.product_name |
「CYBERX」にハードコード |
metadata.vendor_name |
metadata.vendor_name |
「CYBERX」にハードコード |
metadata.event_timestamp |
metadata.event_timestamp |
最上位の timestamp フィールドからコピーされるか、eventtime フィールドまたは date フィールドと time フィールドから派生します。 |
変更点
2024-05-15
- 新しい SYSLOG パターンを処理するように KV パターンを変更しました。
- 「source_ip2」を「principal.ip」と「principal.asset.ip」にマッピングしました。
- 「destination_ip2」を「target.ip」と「target.asset.ip」にマッピングしました。
- 「Severity」を「security_result.severity_details」にマッピングしました。
- 「principal.ip」と「principal.asset.ip」のマッピングを調整しました。
- 「target.ip」と「target.asset.ip」のマッピングを調整しました。
- 「principal.hostname」と「principal.asset.hostname」のマッピングを調整しました。
- 「target.hostname」と「target.asset.hostname」のマッピングを調整しました。
2023-12-06
- 新しく作成されたパーサー。