Esta página foi traduzida pela API Cloud Translation.

Coletar registros do CyberX

Compatível com:

Google SecOps SIEM

Este documento descreve como coletar registros do CyberX usando um forwarder de operações de segurança do Google.

Para mais informações, consulte Visão geral da transferência de dados para as operações de segurança do Google.

Um rótulo de transferência identifica o analisador que normaliza os dados de registro brutos para o formato estruturado do UDM. As informações neste documento se aplicam ao analisador com o rótulo de transferência CyberX.

Configurar o CyberX

Faça login na interface do CyberX.
Na interface do CyberX, selecione Forwarding e clique em Create forwarding rule.
Para selecionar filtros para notificações, faça o seguinte:
- Na seção Protocolos, selecione os protocolos necessários ou clique em Todos para selecionar todos os protocolos.
- Na lista Severity, selecione a gravidade mais baixa dos alertas a serem enviados.
  
  Por exemplo, alertas críticos e principais são enviados usando notificações se você selecionar a gravidade Major.
- Na seção Mecanismos, selecione os mecanismos necessários ou clique em Todos para selecionar todos.
Clique em Adicionar para adicionar um novo método de notificação.
Na lista Ação, selecione um tipo de ação entre as opções disponíveis.

Se você adicionar mais de uma ação, vários métodos de notificação poderão ser criados para cada regra.
Com base na ação selecionada, especifique os detalhes necessários nos campos apropriados. Por exemplo, se você selecionou Enviar para o servidor SYSLOG (CEF), faça o seguinte:
- No campo Host, insira o endereço do servidor syslog.
- No campo Fuso horário, insira o fuso horário do servidor syslog.
- No campo Port, insira a porta do servidor syslog.
Clique em Enviar.

Da mesma forma, especifique os detalhes necessários para outras ações selecionadas.

Configurar o encaminhador do Google Security Operations para processar registros do CyberX

Selecione Configurações do SIEM > Encaminhadores.
Clique em Adicionar novo encaminhador.
No campo Nome do encaminhador, insira um nome exclusivo.
Clique em Enviar e em Confirmar. O encaminhador é adicionado, e a janela Add collector configuration aparece.
No campo Nome do coletor, digite um nome exclusivo para o coletor.
Selecione Microsoft CyberX como o Tipo de registro.
Selecione Syslog como o Tipo de coletor.
Configure os seguintes parâmetros de entrada:
- Protocolo: especifique o protocolo de conexão que o coletor usa para detectar dados do syslog.
- Endereço: especifique o endereço IP ou o nome do host de destino em que o coletor reside e detecta dados do syslog.
- Porta: especifique a porta de destino em que o coletor reside e detecta dados do syslog.
Clique em Enviar.

Para mais informações sobre os encaminhadores do Google Security Operations, consulte Gerenciar configurações de encaminhadores na interface do Google Security Operations.

Se você tiver problemas ao criar encaminhadores, entre em contato com o suporte da Google Security Operations.

Referência do mapeamento de campo

Esse analisador processa os registros do CyberX no formato SYSLOG+KV, transformando-os em UDM. Ele inicializa vários campos como strings vazias, realiza várias substituições para renomear e formatar pares de chave-valor no campo de mensagem e, em seguida, usa os filtros grok e kv para extrair dados estruturados em campos do UDM. O analisador prioriza a extração de dados de chave-valor e, se necessário, usa padrões grok, enriquecendo o evento do UDM com informações de metadados, principal, destino, rede e resultado de segurança.

Tabela de mapeamento da UDM

Campo de registro	Mapeamento do UDM	Lógica
Máscara de acesso	`security_result.detection_fields.value`	Valor de `access_mask` de `access_request_kvdata` analisado
Domínio da conta	`principal.administrative_domain`	Valor de `principal_domain` de `principal_kvdata` analisado
Domínio da conta	`target.administrative_domain`	Valor de `target_domain` de `target_kvdata` analisado
Nome da conta	`principal.user.userid`	Valor de `principal_account_name` de `principal_kvdata` analisado
Nome da conta	`target.user.userid`	Valor de `target_account_name` de `target_kvdata` analisado
ação	`security_result.action_details`	Valor de `action`
ação	`security_result.action`	Derivado. Se `action` for "aceitar", "encaminhar", "aprovar", "permitir", "detectado" ou "fechar", mapeie para "PERMITIR". Se `action` for "deny", "dropped" ou "blocked", mapeie para "BLOCK". Se `action` for "timeout", mapeie para "FAIL". Caso contrário, mapeie para "UNKNOWN_ACTION".
Nome do algoritmo	`security_result.detection_fields.value`	Valor de `algorithm_name` de `cryptographic_kvdata` analisado
app	`target.application`	Valor de `service` se `app_protocol_output` estiver vazio
appcat	`security_result.detection_fields.value`	Valor de `appcat`
Nome do aplicativo	`principal.application`	Valor de `application_name`
Pacote de autenticação	`security_result.about.resource.name`	Valor de `authentication_package`
Alerta do Azure Defender para IoT	`security_result.detection_fields.value`	Valor de `azure_defender_for_iot_alert`
canal	`security_result.detection_fields.value`	Valor de `channel`
Endereço do cliente	`principal.ip`, `principal.asset.ip`	Valor de `source_ip`
Porta de cliente	`principal.port`	Valor de `source_port`
craction	`security_result.detection_fields.value`	Valor de `craction`
O backup das credenciais do Gerenciador de credenciais foi feito	`security_result.description`	Valor de `description`
As credenciais do Gerenciador de credenciais foram lidas.	`security_result.description`	Valor de `description`
crscore	`security_result.severity_details`	Valor de `crscore`
crlevel	`security_result.severity`, `security_result.severity_details`	Valor de `crlevel`. Se `crlevel` for "ALTA", "MÉDIA", "BAIXA" ou "CRÍTICA", mapeie para a gravidade do UDM correspondente.
Operação criptográfica	`metadata.description`	Valor de `product_desc`
Nome da plataforma CyberX	`security_result.detection_fields.value`	Valor de `cyberx_platform_name`
Descrição	`security_result.description`	Valor de `description` se `Message` estiver vazio
Destino	`target.ip`, `target.asset.ip` ou `target.hostname`	Se `Destination` for um endereço IP, mapeie para `target.ip` e `target.asset.ip`. Caso contrário, mapeie para `target.hostname`.
Endereço de destino	`target.ip`, `target.asset.ip`	Valor de `destination_ip` de `network_information` analisado
DRA de destino	`target.resource.name`	Valor de `destination_dra`
IP de destino	`target.ip`, `target.asset.ip`	Valor de `destination_ip`
Porta de destino	`target.port`	Valor de `destination_port` de `network_information` analisado
devid	`principal.resource.product_object_id`	Valor de `devid`
devname	`principal.resource.name`	Valor de `devname`
Direção	`network.direction`	Se `Direction` for "incoming", "inbound" ou "response", mapeie para "INBOUND". Se `Direction` for "outgoing", "outbound" ou "request", mapeie para "OUTBOUND".
dstip	`target.ip`, `target.asset.ip`	Valor de `dstip` se `destination_ip` estiver vazio
dstcountry	`target.location.country_or_region`	Valor de `dstcountry`
dstintf	`security_result.detection_fields.value`	Valor de `dstintf`
dstintfrole	`security_result.detection_fields.value`	Valor de `dstintfrole`
dstosname	`target.platform`	Valor de `dstosname` se for "WINDOWS", "LINUX" ou "MAC".
dstport	`target.port`	Valor de `dstport` se `destination_port` estiver vazio
dstswversion	`target.platform_version`	Valor de `dstswversion`
duration	`network.session_duration.seconds`	Valor de `duration`
event_id	`security_result.rule_name`	Usado para construir o nome da regra como "EventID: %{event_id}"
event_in_sequence	`security_result.detection_fields.value`	Valor de `event_in_sequence`
Filtrar o ID do ambiente de execução	`security_result.detection_fields.value`	Valor de `filter_run_time_id` de `filter_information` analisado
Filiação a grupo	`security_result.detection_fields.value`	Valor de `group_membership` se `event_id` não for 4627
Filiação a grupo	`target.user.group_identifiers`	Valores de `group_membership` analisados se `event_id` for 4627
handle_id	`security_result.detection_fields.value`	Valor de `handle_id` de `object_kvdata` analisado
ID do identificador	`security_result.detection_fields.value`	Valor de `handle_id` de `object_kvdata` analisado
impersonation_level	`security_result.detection_fields.value`	Valor de `impersonation_level` de `logon_information_kvdata` analisado
Comprimento da chave	`security_result.detection_fields.value`	Valor de `key_length` de `auth_kvdata` analisado
Nome da chave	`security_result.detection_fields.value`	Valor de `key_name` de `cryptographic_kvdata` analisado
Tipo de chave	`security_result.detection_fields.value`	Valor de `key_type` de `cryptographic_kvdata` analisado
palavras-chave	`security_result.detection_fields.value`	Valor de `keywords`
Nome da camada	`security_result.detection_fields.value`	Valor de `layer_name` de `filter_information` analisado
ID do ambiente de execução da camada	`security_result.detection_fields.value`	Valor de `layer_run_time_id` de `filter_information` analisado
logid	`metadata.product_log_id`	Valor de `logid`
GUID de logon	`principal.resource.product_object_id`	Valor de `logon_guid`
ID de login	`security_result.detection_fields.value`	Valor de `logon_id`
logon_type	`event.idm.read_only_udm.extensions.auth.mechanism`	Derivado. Se `logon_type` for "3", mapeie para "REDE SOCIAL". Se for "4", mapeie para "BATCH". Se for "5", mapeie para "SERVIÇO". Se for "8", mapeie para "NETWORK_CLEAR_TEXT". Se for "9", mapeie para "NEW_CREDENTIALS". Se for "10", mapeie para "REMOTE_INTERACTIVE". Se for "11", mapeie para "CACHED_INTERACTIVE". Caso contrário, se não estiver vazio, mapeie para "MECHANISM_OTHER".
Conta de login	`security_result.detection_fields.value`	Valor de `logon_id` da análise do grok
Processo de login	`security_result.detection_fields.value`	Valor de `logon_process` de `auth_kvdata` analisado
Rótulo obrigatório	`security_result.detection_fields.value`	Valor de `mandatory_label`
mastersrcmac	`principal.mac`	Valor de `mastersrcmac`
Mensagem	`security_result.description`	Valor de `Message`
new_process_id	`target.process.pid`	Valor de `new_process_id` de `process_kvdata` analisado
new_process_name	`target.process.file.full_path`	Valor de `new_process_name` de `process_kvdata` analisado
Nome do objeto	`security_result.detection_fields.value`	Valor de `object_name` de `object_kvdata` analisado
Servidor de objetos	`security_result.detection_fields.value`	Valor de `object_server` de `object_kvdata` analisado
Tipo de objeto	`security_result.detection_fields.value`	Valor de `object_type` de `object_kvdata` analisado
osname	`principal.platform`	Valor de `osname` se for "WINDOWS", "LINUX" ou "MAC".
Nome do pacote (somente NTLM)	`security_result.detection_fields.value`	Valor de `package_name` de `auth_kvdata` analisado
policyid	`security_result.rule_id`	Valor de `policyid`
policyname	`security_result.rule_name`	Valor de `policyname`
policytype	`security_result.rule_type`	Valor de `policytype`
ID do processo	`principal.process.pid`	Valor de `process_id`
Nome do processo	`principal.process.file.full_path`	Valor de `creator_process_name` de `process_kvdata` analisado
profile_changed	`security_result.detection_fields.value`	Valor de `profile_changed`
Perfil alterado	`security_result.detection_fields.value`	Valor de `profile_changed` da análise do grok
proto	`network.ip_protocol`	Se `proto` for "17", mapeie para "UDP". Se "6" ou `subtype` for "wad", mapeie para "TCP". Se for "41", mapeie para "IP6IN4". Se `service` for "PING" ou `proto` for "1" ou `service` contiver "ICMP", mapeie para "ICMP".
Protocolo	`network.application_protocol`	Valor de `app_protocol_output` derivado de `Protocol`
Nome do provedor	`security_result.detection_fields.value`	Valor de `provider_name` de `provider_kvdata` ou `cryptographic_kvdata` analisados
rcvdbyte	`network.received_bytes`	Valor de `rcvdbyte`
rcvdpkt	`security_result.detection_fields.value`	Valor de `rcvdpkt`
restricted_admin_mode	`security_result.detection_fields.value`	Valor de `restricted_admin_mode` de `logon_information_kvdata` analisado
Código de retorno	`security_result.detection_fields.value`	Valor de `return_code` de `cryptographic_kvdata` analisado
resposta	`security_result.detection_fields.value`	Valor de `response`
rule_id	`security_result.rule_id`	Valor de `rule_id`
ID de segurança	`principal.user.windows_sid`	Valor de `principal_security_id` de `principal_kvdata` analisado
ID de segurança	`target.user.windows_sid`	Valor de `target_security_id` de `target_kvdata` analisado
sentbyte	`network.sent_bytes`	Valor de `sentbyte`
sentpkt	`security_result.detection_fields.value`	Valor de `sentpkt`
serviço	`network.application_protocol` ou `target.application`	Valor de `app_protocol_output` derivado de `service`. Se `app_protocol_output` estiver vazio, mapeie para `target.application`.
ID do serviço	`security_result.detection_fields.value`	Valor de `service_id` de `service_kvdata` analisado
Nome do serviço	`security_result.detection_fields.value`	Valor de `service_name` de `service_kvdata` analisado
sessionid	`network.session_id`	Valor de `sessionid`
Gravidade	`security_result.severity`, `security_result.severity_details`	Se `Severity` for "ERROR" ou "CRITICAL", mapeie para a gravidade do UDM correspondente. Se for "INFO", mapeie para "INFORMATIONAL". Se for "MINOR", mapeie para "LOW". Se for "WARNING", mapeie para "MEDIUM". Se for "MAJOR", mapeie para "HIGH". Também mapeie o valor bruto para `severity_details`.
gravidade,	`security_result.severity`, `security_result.severity_details`	Se `severity` for "1", "2" ou "3", mapeie para "LOW". Se for "4", "5" ou "6", mapeie para "MÉDIO". Se for "7", "8" ou "9", mapeie para "ALTA". Também mapeie o valor bruto para `severity_details`.
Nome do compartilhamento	`security_result.detection_fields.value`	Valor de `share_name` de `share_information_kvdata` analisado
Caminho de compartilhamento	`security_result.detection_fields.value`	Valor de `share_path` de `share_information_kvdata` analisado
Origem	`principal.ip`, `principal.asset.ip` ou `principal.hostname`, `principal.asset.hostname`	Se `Source` for um endereço IP, mapeie para `principal.ip` e `principal.asset.ip`. Caso contrário, mapeie para `principal.hostname` e `principal.asset.hostname`.
Endereço de origem	`principal.ip`, `principal.asset.ip`	Valor de `source_ip` de `network_information` analisado
DRA de origem	`principal.resource.name`	Valor de `source_dra`
IP de origem	`principal.ip`	Valor de `source_ip`
Endereço de rede de origem	`principal.ip`, `principal.asset.ip`	Valor de `source_ip`
Porta de origem	`principal.port`	Valor de `source_port` de `network_information` analisado
Estação de trabalho de origem	`workstation_name`	Valor de `source_workstation_name`
srcip	`source_ip`	Valor de `srcip` se `source_ip` estiver vazio
srccountry	`principal.location.country_or_region`	Valor de `srccountry`
srcmac	`principal.mac`	Valor de `srcmac`
srcname	`principal.hostname`, `principal.asset.hostname`	Valor de `srcname`
srcport	`source_port`	Valor de `srcport` se `source_port` estiver vazio
srcswversion	`principal.platform_version`	Valor de `srcswversion`
Código de status	`network.http.response_code`	Valor de `status_code`
Tipo de elevação de token	`security_result.detection_fields.value`	Valor de `token_elevation_type`
transited_services	`security_result.detection_fields.value`	Valor de `transited_services` de `auth_kvdata` analisado
transip	`principal.nat_ip`	Valor de `transip`
transport	`principal.nat_port`	Valor de `transport`
tipo	`metadata.product_event_type`	Usado com `subtype` para criar `metadata.product_event_type`
Tipo	`security_result.detection_fields.value`	Valor de `Type`
UUID	`metadata.product_log_id`	Valor de `UUID`
vd	`principal.administrative_domain`	Valor de `vd`
virtual_account	`security_result.detection_fields.value`	Valor de `virtual_account` de `logon_information_kvdata` analisado
Nome da estação de trabalho	`principal.hostname`, `principal.asset.hostname`	Valor de `workstation_name` se nenhum outro identificador principal estiver presente
`metadata.event_type`	`metadata.event_type`	Derivado. Se `principal_present` e `target_present` forem verdadeiros, mapeie para "NETWORK_CONNECTION". Se `user_present` for verdadeiro, mapeie para "USER_RESOURCE_ACCESS". Se `principal_present` for verdadeiro, mapeie para "STATUS_UPDATE". Caso contrário, mapeie para "GENERIC_EVENT".
`metadata.log_type`	`metadata.log_type`	Fixado em "CYBERX"
`metadata.product_name`	`metadata.product_name`	Fixado em "CYBERX"
`metadata.vendor_name`	`metadata.vendor_name`	Fixado em "CYBERX"
`metadata.event_timestamp`	`metadata.event_timestamp`	Copiado do campo `timestamp` de nível superior ou derivado dos campos `eventtime`, `date` e `time`.

Alterações

2024-05-15

O padrão KV foi modificado para processar o novo padrão de SYSLOGS.
"source_ip2" foi associado a "principal.ip" e "principal.asset.ip".
Mapeamos "destination_ip2" para "target.ip" e "target.asset.ip".
Mapeamos "Severity" para "security_result.severity_details".
Mapeamentos "principal.ip" e "principal.asset.ip" alinhados.
Mapeamentos "target.ip" e "target.asset.ip" alinhados.
Os mapeamentos "principal.hostname" e "principal.asset.hostname" foram alinhados.
Os mapeamentos "target.hostname" e "target.asset.hostname" foram alinhados.

2023-12-06

Parser recém-criado.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.