Esta página foi traduzida pela API Cloud Translation.

Recolha registos do CyberX

Compatível com:

Google secops SIEM

Este documento descreve como pode recolher registos do CyberX através de um encaminhador do Google Security Operations.

Para mais informações, consulte o artigo Vista geral da ingestão de dados no Google Security Operations.

Uma etiqueta de carregamento identifica o analisador que normaliza os dados de registo não processados para o formato UDM estruturado. As informações neste documento aplicam-se ao analisador com a etiqueta de carregamento CyberX.

Configure o CyberX

Inicie sessão na IU do CyberX.
Na IU do CyberX, selecione Encaminhamento e, de seguida, clique em Criar regra de encaminhamento.
Para selecionar filtros para notificações, faça o seguinte:
- Na secção Protocolos, selecione os protocolos necessários ou clique em Tudo para selecionar todos os protocolos.
- Na lista Gravidade, selecione a gravidade mais baixa dos alertas a enviar.
  
  Por exemplo, os alertas críticos e principais são enviados através de notificações se selecionar a gravidade Principal.
- Na secção Motores, selecione os motores necessários ou clique em Tudo para selecionar todos os motores.
Clique em Adicionar para adicionar um novo método de notificação.
Na lista Ação, selecione um tipo de ação entre as ações disponíveis.

Se adicionar mais do que uma ação, podem ser criados vários métodos de notificação para cada regra.
Com base na ação que selecionou, especifique os detalhes necessários nos campos adequados. Por exemplo, se selecionou Enviar para o servidor SYSLOG (CEF), faça o seguinte:
- No campo Anfitrião, introduza o endereço do servidor syslog.
- No campo Fuso horário, introduza o fuso horário do servidor syslog.
- No campo Porta, introduza a porta do servidor syslog.
Clique em Enviar.

Da mesma forma, para outras ações que selecionar, especifique os detalhes necessários.

Configure o encaminhador do Google Security Operations para carregar registos do CyberX

Selecione Definições do SIEM > Encaminhadores.
Clique em Adicionar novo encaminhador.
No campo Nome do encaminhador, introduza um nome exclusivo para o encaminhador.
Clique em Enviar e, de seguida, em Confirmar. O encaminhador é adicionado e é apresentada a janela Adicionar configuração do coletor.
No campo Nome do coletor, introduza um nome exclusivo para o coletor.
Selecione Microsoft CyberX como o Tipo de registo.
Selecione Syslog como o tipo de coletor.
Configure os seguintes parâmetros de entrada:
- Protocolo: especifique o protocolo de ligação que o coletor usa para ouvir dados de syslog.
- Endereço: especifique o endereço IP ou o nome de anfitrião de destino onde o coletor reside e escuta os dados syslog.
- Porta: especifique a porta de destino onde o coletor reside e ouve dados syslog.
Clique em Enviar.

Para mais informações acerca dos encaminhadores do Google Security Operations, consulte o artigo Faça a gestão das configurações de encaminhadores através da IU do Google Security Operations.

Se tiver problemas ao criar encaminhadores, contacte o apoio técnico das Operações de segurança da Google.

Referência de mapeamento de campos

Este analisador processa registos do CyberX no formato SYSLOG+KV, transformando-os em UDM. Inicializa vários campos para strings vazias, faz várias substituições para mudar o nome e formatar pares de chave/valor no campo de mensagem e, em seguida, usa os filtros grok e kv para extrair dados estruturados para campos UDM. O analisador dá prioridade à extração de dados de chave-valor e recorre a padrões grok, se necessário, enriquecendo o evento UDM com informações de metadados, principal, destino, rede e resultado de segurança.

Tabela de mapeamento do UDM

Campo de registo	Mapeamento de UDM	Lógica
Máscara de acesso	`security_result.detection_fields.value`	Valor de `access_mask` do `access_request_kvdata` analisado
Domínio da conta	`principal.administrative_domain`	Valor de `principal_domain` do `principal_kvdata` analisado
Domínio da conta	`target.administrative_domain`	Valor de `target_domain` do `target_kvdata` analisado
Nome da conta	`principal.user.userid`	Valor de `principal_account_name` do `principal_kvdata` analisado
Nome da conta	`target.user.userid`	Valor de `target_account_name` do `target_kvdata` analisado
ação	`security_result.action_details`	Valor de `action`
ação	`security_result.action`	Derivada. Se `action` for "accept", "passthrough", "pass", "permit", "detected" ou "close", mapeie para "ALLOW". Se `action` for "deny", "dropped" ou "blocked", mapeie para "BLOCK". Se `action` for "timeout", mapeie para "FAIL". Caso contrário, mapeie para "UNKNOWN_ACTION".
Nome do algoritmo	`security_result.detection_fields.value`	Valor de `algorithm_name` do `cryptographic_kvdata` analisado
app	`target.application`	Valor de `service` se `app_protocol_output` estiver vazio
appcat	`security_result.detection_fields.value`	Valor de `appcat`
Nome da aplicação	`principal.application`	Valor de `application_name`
Pacote de autenticação	`security_result.about.resource.name`	Valor de `authentication_package`
Alerta do Azure Defender para IoT	`security_result.detection_fields.value`	Valor de `azure_defender_for_iot_alert`
canal	`security_result.detection_fields.value`	Valor de `channel`
Endereço do cliente	`principal.ip`, `principal.asset.ip`	Valor de `source_ip`
Porta do cliente	`principal.port`	Valor de `source_port`
craction	`security_result.detection_fields.value`	Valor de `craction`
As credenciais do Gestor de credenciais foram copiadas	`security_result.description`	Valor de `description`
As credenciais do Gestor de credenciais foram lidas.	`security_result.description`	Valor de `description`
crscore	`security_result.severity_details`	Valor de `crscore`
crlevel	`security_result.severity`, `security_result.severity_details`	Valor de `crlevel`. Se `crlevel` for "HIGH", "MEDIUM", "LOW" ou "CRITICAL", mapeie para a gravidade da UDM correspondente.
Operação criptográfica	`metadata.description`	Valor de `product_desc`
Nome da plataforma CyberX	`security_result.detection_fields.value`	Valor de `cyberx_platform_name`
Descrição	`security_result.description`	Valor de `description` se `Message` estiver vazio
Destino	`target.ip`, `target.asset.ip` ou `target.hostname`	Se `Destination` for um endereço IP, mapeie para `target.ip` e `target.asset.ip`. Caso contrário, mapeie para `target.hostname`.
Endereço de destino	`target.ip`, `target.asset.ip`	Valor de `destination_ip` do `network_information` analisado
DRA de destino	`target.resource.name`	Valor de `destination_dra`
IP de destino	`target.ip`, `target.asset.ip`	Valor de `destination_ip`
Porta de destino	`target.port`	Valor de `destination_port` do `network_information` analisado
devid	`principal.resource.product_object_id`	Valor de `devid`
devname	`principal.resource.name`	Valor de `devname`
Direção	`network.direction`	Se `Direction` for "incoming", "inbound" ou "response", mapeie para "INBOUND". Se `Direction` for "outgoing", "outbound" ou "request", mapeie para "OUTBOUND".
dstip	`target.ip`, `target.asset.ip`	Valor de `dstip` se `destination_ip` estiver vazio
dstcountry	`target.location.country_or_region`	Valor de `dstcountry`
dstintf	`security_result.detection_fields.value`	Valor de `dstintf`
dstintfrole	`security_result.detection_fields.value`	Valor de `dstintfrole`
dstosname	`target.platform`	Valor de `dstosname` se for "WINDOWS", "LINUX" ou "MAC".
dstport	`target.port`	Valor de `dstport` se `destination_port` estiver vazio
dstswversion	`target.platform_version`	Valor de `dstswversion`
duração	`network.session_duration.seconds`	Valor de `duration`
event_id	`security_result.rule_name`	Usado para criar o nome da regra como "EventID: %{event_id}"
event_in_sequence	`security_result.detection_fields.value`	Valor de `event_in_sequence`
ID do ambiente de execução do filtro	`security_result.detection_fields.value`	Valor de `filter_run_time_id` do `filter_information` analisado
Inscrição em Grupos	`security_result.detection_fields.value`	Valor de `group_membership` se `event_id` não for 4627
Inscrição em Grupos	`target.user.group_identifiers`	Valores de `group_membership` analisados se `event_id` for 4627
handle_id	`security_result.detection_fields.value`	Valor de `handle_id` do `object_kvdata` analisado
ID do identificador	`security_result.detection_fields.value`	Valor de `handle_id` do `object_kvdata` analisado
impersonation_level	`security_result.detection_fields.value`	Valor de `impersonation_level` do `logon_information_kvdata` analisado
Comprimento da chave	`security_result.detection_fields.value`	Valor de `key_length` do `auth_kvdata` analisado
Nome da chave	`security_result.detection_fields.value`	Valor de `key_name` do `cryptographic_kvdata` analisado
Tipo de chave	`security_result.detection_fields.value`	Valor de `key_type` do `cryptographic_kvdata` analisado
palavras-chave	`security_result.detection_fields.value`	Valor de `keywords`
Nome da camada	`security_result.detection_fields.value`	Valor de `layer_name` do `filter_information` analisado
ID do ambiente de execução da camada	`security_result.detection_fields.value`	Valor de `layer_run_time_id` do `filter_information` analisado
logid	`metadata.product_log_id`	Valor de `logid`
GUID de início de sessão	`principal.resource.product_object_id`	Valor de `logon_guid`
ID de início de sessão	`security_result.detection_fields.value`	Valor de `logon_id`
logon_type	`event.idm.read_only_udm.extensions.auth.mechanism`	Derivada. Se `logon_type` for "3", mapeie para "NETWORK". Se for "4", mapeie para "BATCH". Se for "5", mapeie para "SERVICE". Se for "8", mapeie para "NETWORK_CLEAR_TEXT". Se for "9", mapeie para "NEW_CREDENTIALS". Se for "10", mapeie para "REMOTE_INTERACTIVE". Se for "11", mapeie para "CACHED_INTERACTIVE". Caso contrário, se não estiver vazio, mapeie para "MECHANISM_OTHER".
Conta de início de sessão	`security_result.detection_fields.value`	Valor de `logon_id` da análise grok
Processo de início de sessão	`security_result.detection_fields.value`	Valor de `logon_process` do `auth_kvdata` analisado
Etiqueta obrigatória	`security_result.detection_fields.value`	Valor de `mandatory_label`
mastersrcmac	`principal.mac`	Valor de `mastersrcmac`
Mensagem	`security_result.description`	Valor de `Message`
new_process_id	`target.process.pid`	Valor de `new_process_id` do `process_kvdata` analisado
new_process_name	`target.process.file.full_path`	Valor de `new_process_name` do `process_kvdata` analisado
Nome do objecto	`security_result.detection_fields.value`	Valor de `object_name` do `object_kvdata` analisado
Servidor de objetos	`security_result.detection_fields.value`	Valor de `object_server` do `object_kvdata` analisado
Tipo de objeto	`security_result.detection_fields.value`	Valor de `object_type` do `object_kvdata` analisado
osname	`principal.platform`	Valor de `osname` se for "WINDOWS", "LINUX" ou "MAC".
Nome do pacote (apenas NTLM)	`security_result.detection_fields.value`	Valor de `package_name` do `auth_kvdata` analisado
policyid	`security_result.rule_id`	Valor de `policyid`
policyname	`security_result.rule_name`	Valor de `policyname`
policytype	`security_result.rule_type`	Valor de `policytype`
ID do processo	`principal.process.pid`	Valor de `process_id`
Nome do processo	`principal.process.file.full_path`	Valor de `creator_process_name` do `process_kvdata` analisado
profile_changed	`security_result.detection_fields.value`	Valor de `profile_changed`
Perfil alterado	`security_result.detection_fields.value`	Valor de `profile_changed` da análise grok
proto	`network.ip_protocol`	Se `proto` for "17", mapeie para "UDP". Se "6" ou `subtype` for "wad", mapeie para "TCP". Se "41", mapeie para "IP6IN4". Se `service` for "PING" ou `proto` for "1" ou `service` contiver "ICMP", mapeie para "ICMP".
Protocolo	`network.application_protocol`	Valor de `app_protocol_output` derivado de `Protocol`
Nome do fornecedor	`security_result.detection_fields.value`	Valor de `provider_name` a partir de `provider_kvdata` ou `cryptographic_kvdata` analisado
rcvdbyte	`network.received_bytes`	Valor de `rcvdbyte`
rcvdpkt	`security_result.detection_fields.value`	Valor de `rcvdpkt`
restricted_admin_mode	`security_result.detection_fields.value`	Valor de `restricted_admin_mode` do `logon_information_kvdata` analisado
Código de retorno	`security_result.detection_fields.value`	Valor de `return_code` do `cryptographic_kvdata` analisado
resposta	`security_result.detection_fields.value`	Valor de `response`
rule_id	`security_result.rule_id`	Valor de `rule_id`
ID de segurança	`principal.user.windows_sid`	Valor de `principal_security_id` do `principal_kvdata` analisado
ID de segurança	`target.user.windows_sid`	Valor de `target_security_id` do `target_kvdata` analisado
sentbyte	`network.sent_bytes`	Valor de `sentbyte`
sentpkt	`security_result.detection_fields.value`	Valor de `sentpkt`
serviço	`network.application_protocol` ou `target.application`	Valor de `app_protocol_output` derivado de `service`. Se `app_protocol_output` estiver vazio, mapeie para `target.application`.
ID do serviço	`security_result.detection_fields.value`	Valor de `service_id` do `service_kvdata` analisado
Nome do serviço	`security_result.detection_fields.value`	Valor de `service_name` do `service_kvdata` analisado
sessionid	`network.session_id`	Valor de `sessionid`
Gravidade	`security_result.severity`, `security_result.severity_details`	Se `Severity` for "ERROR" ou "CRITICAL", mapeie para a gravidade correspondente do UDM. Se for "INFO", mapeie para "INFORMATIONAL". Se for "MINOR", mapeie para "LOW". Se for "WARNING", mapeie para "MEDIUM". Se for "MAJOR", mapeie para "HIGH". Mapeie também o valor não processado para `severity_details`.
gravidade	`security_result.severity`, `security_result.severity_details`	Se `severity` for "1", "2" ou "3", mapeie para "LOW". Se for "4", "5" ou "6", mapeie para "MEDIUM". Se for "7", "8" ou "9", mapeie para "ALTA". Mapeie também o valor não processado para `severity_details`.
Partilhar nome	`security_result.detection_fields.value`	Valor de `share_name` do `share_information_kvdata` analisado
Partilhe o caminho	`security_result.detection_fields.value`	Valor de `share_path` do `share_information_kvdata` analisado
Origem	`principal.ip`, `principal.asset.ip` ou `principal.hostname`, `principal.asset.hostname`	Se `Source` for um endereço IP, mapeie para `principal.ip` e `principal.asset.ip`. Caso contrário, mapeie para `principal.hostname` e `principal.asset.hostname`.
Endereço de origem	`principal.ip`, `principal.asset.ip`	Valor de `source_ip` do `network_information` analisado
DRA de origem	`principal.resource.name`	Valor de `source_dra`
IP de origem	`principal.ip`	Valor de `source_ip`
Endereço de rede de origem	`principal.ip`, `principal.asset.ip`	Valor de `source_ip`
Porta de origem	`principal.port`	Valor de `source_port` do `network_information` analisado
Estação de trabalho de origem	`workstation_name`	Valor de `source_workstation_name`
srcip	`source_ip`	Valor de `srcip` se `source_ip` estiver vazio
srccountry	`principal.location.country_or_region`	Valor de `srccountry`
srcmac	`principal.mac`	Valor de `srcmac`
srcname	`principal.hostname`, `principal.asset.hostname`	Valor de `srcname`
srcport	`source_port`	Valor de `srcport` se `source_port` estiver vazio
srcswversion	`principal.platform_version`	Valor de `srcswversion`
Código de estado	`network.http.response_code`	Valor de `status_code`
Tipo de elevação do token	`security_result.detection_fields.value`	Valor de `token_elevation_type`
transited_services	`security_result.detection_fields.value`	Valor de `transited_services` do `auth_kvdata` analisado
transip	`principal.nat_ip`	Valor de `transip`
transportes	`principal.nat_port`	Valor de `transport`
escrever	`metadata.product_event_type`	Usado com o `subtype` para criar `metadata.product_event_type`
Tipo	`security_result.detection_fields.value`	Valor de `Type`
UUID	`metadata.product_log_id`	Valor de `UUID`
vd	`principal.administrative_domain`	Valor de `vd`
virtual_account	`security_result.detection_fields.value`	Valor de `virtual_account` do `logon_information_kvdata` analisado
Nome da estação de trabalho	`principal.hostname`, `principal.asset.hostname`	Valor de `workstation_name` se não estiver presente nenhum outro identificador principal
`metadata.event_type`	`metadata.event_type`	Derivada. Se `principal_present` e `target_present` forem verdadeiros, mapeie para "NETWORK_CONNECTION". Se `user_present` for verdadeiro, mapeie para "USER_RESOURCE_ACCESS". Se `principal_present` for verdadeiro, mapeie para "STATUS_UPDATE". Caso contrário, mapeie para "GENERIC_EVENT".
`metadata.log_type`	`metadata.log_type`	Codificado como "CYBERX"
`metadata.product_name`	`metadata.product_name`	Codificado como "CYBERX"
`metadata.vendor_name`	`metadata.vendor_name`	Codificado como "CYBERX"
`metadata.event_timestamp`	`metadata.event_timestamp`	Copiado do campo `timestamp` de nível superior ou derivado dos campos `eventtime` ou `date` e `time`.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.