CyberX 로그 수집

다음에서 지원:

이 문서에서는 Google Security Operations 전달자를 사용하여 CyberX 로그를 수집하는 방법을 설명합니다.

자세한 내용은 Google Security Operations에 데이터 수집 개요를 참조하세요.

수집 라벨은 원시 로그 데이터를 구조화된 UDM 형식으로 정규화하는 파서를 식별합니다. 이 문서의 정보는 CyberX 수집 라벨이 있는 파서에 적용됩니다.

CyberX 구성

  1. CyberX UI에 로그인합니다.
  2. CyberX UI에서 전달을 선택한 후 전달 규칙 만들기를 클릭합니다.

  3. 알림 필터를 선택하려면 다음 단계를 따르세요.

    • 프로토콜 섹션에서 필요한 프로토콜을 선택하거나 모두를 클릭하여 모든 프로토콜을 선택합니다.

    • 심각도 목록에서 전송할 알림의 최소 심각도를 선택합니다.

      예를 들어 중요 심각도를 선택하면 심각 및 주요 알림이 알림을 사용하여 전송됩니다.

    • 엔진 섹션에서 필요한 엔진을 선택하거나 모두를 클릭하여 모든 엔진을 선택합니다.

  4. 추가를 클릭하여 새 알림 방법을 추가합니다.

  5. 작업 목록에서 사용 가능한 작업 중 작업 유형을 선택합니다.

    작업을 두 개 이상 추가하면 각 규칙에 여러 알림 방법을 만들 수 있습니다.

  6. 선택한 작업에 따라 적절한 입력란에 필수 세부정보를 지정합니다. 예를 들어 SYSLOG 서버로 전송 (CEF)을 선택한 경우 다음을 수행합니다.

    • 호스트 필드에 syslog 서버 주소를 입력합니다.
    • Timezone(시간대) 필드에 syslog 서버 시간대를 입력합니다.
    • 포트 필드에 syslog 서버 포트를 입력합니다.

  7. 제출을 클릭합니다.

    마찬가지로 선택한 다른 작업의 경우 필요한 세부정보를 지정합니다.

CyberX 로그를 수집하도록 Google Security Operations 전달자 구성

  1. SIEM 설정 > 전달자를 선택합니다.
  2. 새 전달자 추가를 클릭합니다.
  3. 전달자 이름 입력란에 전달자의 고유한 이름을 입력합니다.
  4. 제출을 클릭한 다음 확인을 클릭합니다. 전달자가 추가되고 수집기 구성 추가 창이 표시됩니다.
  5. 수집기 이름 필드에 수집기의 고유한 이름을 입력합니다.
  6. 로그 유형으로 Microsoft CyberX를 선택합니다.
  7. 수집기 유형으로 Syslog를 선택합니다.
  8. 다음 입력 매개변수를 구성합니다.
    • 프로토콜: 수집기가 syslog 데이터를 리슨하는 데 사용하는 연결 프로토콜을 지정합니다.
    • 주소: 수집기가 상주하고 syslog 데이터를 리슨하는 대상 IP 주소 또는 호스트 이름을 지정합니다.
    • 포트: 수집기가 상주하고 syslog 데이터를 리슨하는 대상 포트를 지정합니다.
  9. 제출을 클릭합니다.

Google Security Operations 전달자에 대한 자세한 내용은 Google Security Operations UI를 통해 전달자 구성 관리를 참고하세요.

전달자를 만들 때 문제가 발생하면 Google Security Operations 지원팀에 문의하세요.

필드 매핑 참조

이 파서는 SYSLOG+KV 형식의 CyberX 로그를 처리하여 UDM으로 변환합니다. 이 함수는 여러 필드를 빈 문자열로 초기화하고, 여러 대체를 실행하여 메시지 필드 내에서 키-값 쌍의 이름을 바꾸고 형식을 지정한 다음 grokkv 필터를 사용하여 구조화된 데이터를 UDM 필드로 추출합니다. 파서는 키-값 데이터 추출을 우선시하고 필요한 경우 grok 패턴으로 대체하여 메타데이터, 사용자, 대상, 네트워크, 보안 결과 정보로 UDM 이벤트를 보강합니다.

UDM 매핑 표

로그 필드 UDM 매핑 논리
액세스 마스크 security_result.detection_fields.value 파싱된 access_request_kvdataaccess_mask
계정 도메인 principal.administrative_domain 파싱된 principal_kvdataprincipal_domain
계정 도메인 target.administrative_domain 파싱된 target_kvdatatarget_domain
계정 이름 principal.user.userid 파싱된 principal_kvdataprincipal_account_name
계정 이름 target.user.userid 파싱된 target_kvdatatarget_account_name
action security_result.action_details action의 값
action security_result.action 파생됨 action이 'accept', 'passthrough', 'pass', 'permit', 'detected' 또는 'close'인 경우 'ALLOW'에 매핑합니다. action이 'deny', 'dropped' 또는 'blocked'인 경우 'BLOCK'에 매핑합니다. action이 'timeout'인 경우 'FAIL'에 매핑합니다. 그 외의 경우에는 'UNKNOWN_ACTION'에 매핑합니다.
알고리즘 이름 security_result.detection_fields.value 파싱된 cryptographic_kvdataalgorithm_name
target.application app_protocol_output가 비어 있으면 service의 값
appcat security_result.detection_fields.value appcat의 값
애플리케이션 이름 principal.application application_name의 값
인증 패키지 security_result.about.resource.name authentication_package의 값
IoT용 Azure Defender 알림 security_result.detection_fields.value azure_defender_for_iot_alert의 값
채널 security_result.detection_fields.value channel의 값
클라이언트 주소 principal.ip, principal.asset.ip source_ip의 값
클라이언트 포트 principal.port source_port의 값
craction security_result.detection_fields.value craction의 값
인증 관리자 사용자 인증 정보가 백업되었습니다. security_result.description description의 값
인증 관리자 사용자 인증 정보가 읽혔습니다. security_result.description description의 값
crscore security_result.severity_details crscore의 값
crlevel security_result.severity, security_result.severity_details crlevel의 값입니다. crlevel가 'HIGH', 'MEDIUM', 'LOW' 또는 'CRITICAL'인 경우 해당하는 UDM 심각도에 매핑합니다.
암호화 작업 metadata.description product_desc의 값
CyberX 플랫폼 이름 security_result.detection_fields.value cyberx_platform_name의 값
설명 security_result.description Message가 비어 있으면 description의 값
대상 target.ip, target.asset.ip 또는 target.hostname Destination가 IP 주소인 경우 target.iptarget.asset.ip에 매핑합니다. 그렇지 않으면 target.hostname으로 매핑합니다.
도착 페이지 주소 target.ip, target.asset.ip 파싱된 network_informationdestination_ip
대상 DRA target.resource.name destination_dra의 값
대상 IP target.ip, target.asset.ip destination_ip의 값
대상 포트 target.port 파싱된 network_informationdestination_port
devid principal.resource.product_object_id devid의 값
devname principal.resource.name devname의 값
방향 network.direction Direction이 'incoming', 'inbound' 또는 'response'인 경우 'INBOUND'에 매핑합니다. Direction이 'outgoing', 'outbound' 또는 'request'인 경우 'OUTBOUND'에 매핑합니다.
dstip target.ip, target.asset.ip destination_ip가 비어 있으면 dstip의 값
dstcountry target.location.country_or_region dstcountry의 값
dstintf security_result.detection_fields.value dstintf의 값
dstintfrole security_result.detection_fields.value dstintfrole의 값
dstosname target.platform dstosname 값이 'WINDOWS', 'LINUX' 또는 'MAC'인 경우
dstport target.port destination_port가 비어 있으면 dstport의 값
dstswversion target.platform_version dstswversion의 값
기간 network.session_duration.seconds duration의 값
event_id security_result.rule_name 규칙 이름을 'EventID: %{event_id}'로 구성하는 데 사용됩니다.
event_in_sequence security_result.detection_fields.value event_in_sequence의 값
필터 런타임 ID security_result.detection_fields.value 파싱된 filter_informationfilter_run_time_id
그룹 회원 security_result.detection_fields.value event_id이 4627이 아닌 경우 group_membership의 값
그룹 회원 target.user.group_identifiers event_id이 4627인 경우 파싱된 group_membership의 값
handle_id security_result.detection_fields.value 파싱된 object_kvdatahandle_id
핸들 ID security_result.detection_fields.value 파싱된 object_kvdatahandle_id
impersonation_level security_result.detection_fields.value 파싱된 logon_information_kvdataimpersonation_level
키 길이 security_result.detection_fields.value 파싱된 auth_kvdatakey_length
키 이름 security_result.detection_fields.value 파싱된 cryptographic_kvdatakey_name
키 유형 security_result.detection_fields.value 파싱된 cryptographic_kvdatakey_type
keywords security_result.detection_fields.value keywords의 값
레이어 이름 security_result.detection_fields.value 파싱된 filter_informationlayer_name
레이어 런타임 ID security_result.detection_fields.value 파싱된 filter_informationlayer_run_time_id
logid metadata.product_log_id logid의 값
로그온 GUID principal.resource.product_object_id logon_guid의 값
로그온 ID security_result.detection_fields.value logon_id의 값
logon_type event.idm.read_only_udm.extensions.auth.mechanism 파생됨 logon_type이 '3'인 경우 'NETWORK'에 매핑합니다. '4'인 경우 'BATCH'에 매핑합니다. '5'인 경우 'SERVICE'에 매핑합니다. '8'인 경우 'NETWORK_CLEAR_TEXT'에 매핑합니다. '9'인 경우 'NEW_CREDENTIALS'에 매핑합니다. '10'인 경우 'REMOTE_INTERACTIVE'에 매핑합니다. '11'인 경우 'CACHED_INTERACTIVE'에 매핑합니다. 그렇지 않은 경우(비어 있지 않은 경우) 'MECHANISM_OTHER'로 매핑합니다.
로그온 계정 security_result.detection_fields.value Grok 파싱의 logon_id
로그온 프로세스 security_result.detection_fields.value 파싱된 auth_kvdatalogon_process
필수 라벨 security_result.detection_fields.value mandatory_label의 값
mastersrcmac principal.mac mastersrcmac의 값
메시지 security_result.description Message의 값
new_process_id target.process.pid 파싱된 process_kvdatanew_process_id
new_process_name target.process.file.full_path 파싱된 process_kvdatanew_process_name
객체 이름 security_result.detection_fields.value 파싱된 object_kvdataobject_name
객체 서버 security_result.detection_fields.value 파싱된 object_kvdataobject_server
객체 유형 security_result.detection_fields.value 파싱된 object_kvdataobject_type
osname principal.platform osname 값이 'WINDOWS', 'LINUX' 또는 'MAC'인 경우
패키지 이름 (NTLM만 해당) security_result.detection_fields.value 파싱된 auth_kvdatapackage_name
policyid security_result.rule_id policyid의 값
policyname security_result.rule_name policyname의 값
policytype security_result.rule_type policytype의 값
프로세스 ID principal.process.pid process_id의 값
프로세스 이름 principal.process.file.full_path 파싱된 process_kvdatacreator_process_name
profile_changed security_result.detection_fields.value profile_changed의 값
프로필 변경됨 security_result.detection_fields.value Grok 파싱의 profile_changed
proto network.ip_protocol proto이 '17'이면 'UDP'에 매핑합니다. '6' 또는 subtype이 'wad'인 경우 'TCP'에 매핑합니다. '41'인 경우 'IP6IN4'에 매핑합니다. service이 'PING'이거나 proto이 '1'이거나 service에 'ICMP'가 포함된 경우 'ICMP'에 매핑합니다.
프로토콜 network.application_protocol Protocol에서 파생된 app_protocol_output의 값
제공업체 이름 security_result.detection_fields.value 파싱된 provider_kvdata 또는 cryptographic_kvdataprovider_name
rcvdbyte network.received_bytes rcvdbyte의 값
rcvdpkt security_result.detection_fields.value rcvdpkt의 값
restricted_admin_mode security_result.detection_fields.value 파싱된 logon_information_kvdatarestricted_admin_mode
반환 코드 security_result.detection_fields.value 파싱된 cryptographic_kvdatareturn_code
응답 security_result.detection_fields.value response의 값
rule_id security_result.rule_id rule_id의 값
보안 ID principal.user.windows_sid 파싱된 principal_kvdataprincipal_security_id
보안 ID target.user.windows_sid 파싱된 target_kvdatatarget_security_id
sentbyte network.sent_bytes sentbyte의 값
sentpkt security_result.detection_fields.value sentpkt의 값
서비스 network.application_protocol 또는 target.application service에서 파생된 app_protocol_output 값입니다. app_protocol_output가 비어 있으면 target.application로 매핑합니다.
서비스 ID security_result.detection_fields.value 파싱된 service_kvdataservice_id
서비스 이름 security_result.detection_fields.value 파싱된 service_kvdataservice_name
sessionid network.session_id sessionid의 값
심각도 security_result.severity, security_result.severity_details Severity가 'ERROR' 또는 'CRITICAL'인 경우 해당하는 UDM 심각도에 매핑합니다. 'INFO'인 경우 'INFORMATIONAL'에 매핑합니다. 'MINOR'인 경우 'LOW'에 매핑합니다. 'WARNING'인 경우 'MEDIUM'에 매핑합니다. 'MAJOR'인 경우 'HIGH'에 매핑합니다. 원시 값을 severity_details에 매핑합니다.
줄이는 것을 security_result.severity, security_result.severity_details severity가 '1', '2' 또는 '3'인 경우 'LOW'에 매핑합니다. '4', '5' 또는 '6'인 경우 'MEDIUM'에 매핑합니다. '7', '8' 또는 '9'인 경우 'HIGH'에 매핑합니다. 원시 값을 severity_details에 매핑합니다.
공유 이름 security_result.detection_fields.value 파싱된 share_information_kvdatashare_name
공유 경로 security_result.detection_fields.value 파싱된 share_information_kvdatashare_path
소스 principal.ip, principal.asset.ip 또는 principal.hostname, principal.asset.hostname Source가 IP 주소인 경우 principal.ipprincipal.asset.ip에 매핑합니다. 그렇지 않으면 principal.hostnameprincipal.asset.hostname로 매핑합니다.
소스 주소 principal.ip, principal.asset.ip 파싱된 network_informationsource_ip
소스 DRA principal.resource.name source_dra의 값
소스 IP principal.ip source_ip의 값
소스 네트워크 주소 principal.ip, principal.asset.ip source_ip의 값
소스 포트 principal.port 파싱된 network_informationsource_port
소스 워크스테이션 workstation_name source_workstation_name의 값
srcip source_ip source_ip가 비어 있으면 srcip의 값
srccountry principal.location.country_or_region srccountry의 값
srcmac principal.mac srcmac의 값
srcname principal.hostname, principal.asset.hostname srcname의 값
srcport source_port source_port가 비어 있으면 srcport의 값
srcswversion principal.platform_version srcswversion의 값
상태 코드 network.http.response_code status_code의 값
토큰 상승 유형 security_result.detection_fields.value token_elevation_type의 값
transited_services security_result.detection_fields.value 파싱된 auth_kvdatatransited_services
transip principal.nat_ip transip의 값
전송 principal.nat_port transport의 값
유형 metadata.product_event_type subtype와 함께 사용하여 metadata.product_event_type를 만듭니다.
유형 security_result.detection_fields.value Type의 값
UUID metadata.product_log_id UUID의 값
vd principal.administrative_domain vd의 값
virtual_account security_result.detection_fields.value 파싱된 logon_information_kvdatavirtual_account
워크스테이션 이름 principal.hostname, principal.asset.hostname 다른 기본 식별자가 없는 경우 workstation_name
metadata.event_type metadata.event_type 파생됨 principal_presenttarget_present가 모두 true인 경우 'NETWORK_CONNECTION'에 매핑합니다. user_present가 true이면 'USER_RESOURCE_ACCESS'에 매핑합니다. principal_present가 true이면 'STATUS_UPDATE'에 매핑합니다. 그렇지 않으면 'GENERIC_EVENT'에 매핑합니다.
metadata.log_type metadata.log_type 'CYBERX'로 하드코딩됨
metadata.product_name metadata.product_name 'CYBERX'로 하드코딩됨
metadata.vendor_name metadata.vendor_name 'CYBERX'로 하드코딩됨
metadata.event_timestamp metadata.event_timestamp 최상위 timestamp 필드에서 복사되거나 eventtime 또는 datetime 필드에서 파생됩니다.

변경사항

2024-05-15

  • 새 SYSLOG 패턴을 처리하도록 KV 패턴을 수정했습니다.
  • 'source_ip2'가 'principal.ip' 및 'principal.asset.ip'에 매핑되었습니다.
  • 'destination_ip2'가 'target.ip' 및 'target.asset.ip'에 매핑되었습니다.
  • 'Severity'가 'security_result.severity_details'에 매핑되었습니다.
  • 'principal.ip' 및 'principal.asset.ip' 매핑이 정렬되었습니다.
  • 'target.ip' 및 'target.asset.ip' 매핑이 정렬되었습니다.
  • 'principal.hostname' 및 'principal.asset.hostname' 매핑이 정렬되었습니다.
  • 'target.hostname' 및 'target.asset.hostname' 매핑이 정렬되었습니다.

2023-12-06

  • 파서를 새로 만들었습니다.