此页面由 Cloud Translation API 翻译。

收集 CyberX 日志

支持的平台：

Google SecOps SIEM

本文档介绍了如何使用 Google 安全运营转发器收集 CyberX 日志。

如需了解详情，请参阅将数据提取到 Google 安全运营中心概览。

注入标签用于标识将原始日志数据标准化为结构化 UDM 格式的解析器。本文档中的信息适用于具有 CyberX 注入标签的解析器。

配置 CyberX

登录 CyberX 界面。
在 CyberX 界面中，选择转发，然后点击创建转发规则。
如需为通知选择过滤条件，请执行以下操作：
- 在协议部分，选择所需的协议，或点击全部以选择所有协议。
- 在严重程度列表中，选择要发送的最低严重程度提醒。
  
  例如，如果您选择严重严重级别，系统会使用通知发送严重和重大提醒。
- 在引擎部分，选择所需的引擎，或点击全部以选择所有引擎。
点击添加以添加新通知方法。
在操作列表中，从可用操作中选择一种操作类型。

如果您添加了多个操作，则可以为每条规则创建多种通知方法。
根据您选择的操作，在相应字段中指定所需的详细信息。例如，如果您选择了发送到 SYSLOG 服务器 (CEF)，请执行以下操作：
- 在 Host 字段中，输入 syslog 服务器地址。
- 在 Timezone（时区）字段中，输入 syslog 服务器的时区。
- 在端口字段中，输入 syslog 服务器端口。
点击提交。

同样，对于您选择的其他操作，请指定所需的详细信息。

配置 Google Security Operations 转发器以注入 CyberX 日志

依次选择 SIEM 设置 > 转发器。
点击添加新转发器。
在转发器名称字段中，为转发器输入一个唯一名称。
点击提交，然后点击确认。系统会添加转发器，并显示添加收集器配置窗口。
在 Collector name（收集器名称）字段中，为收集器输入一个唯一名称。
选择 Microsoft CyberX 作为日志类型。
选择 Syslog 作为收集器类型。
配置以下输入参数：
- 协议：指定收集器用于监听 syslog 数据的连接协议。
- 地址：指定收集器所在并监听 syslog 数据的目标 IP 地址或主机名。
- 端口：指定收集器所在的目标端口，以及收集器监听 syslog 数据的端口。
点击提交。

如需详细了解 Google Security Operations 转发器，请参阅通过 Google Security Operations 界面管理转发器配置。

如果您在创建转发器时遇到问题，请与 Google 安全运营支持团队联系。

字段映射参考文档

此解析器会处理采用 SYSLOG+KV 格式的 CyberX 日志，并将其转换为 UDM。它会将许多字段初始化为空字符串，执行多次替换以重命名和设置消息字段中的键值对的格式，然后使用 grok 和 kv 过滤器将结构化数据提取到 UDM 字段中。解析器会优先提取键值对数据，并在必要时回退到 Grok 模式，以便使用元数据、正文、目标、网络和安全结果信息丰富 UDM 事件。

UDM 映射表

日志字段	UDM 映射	逻辑
访问掩码	`security_result.detection_fields.value`	从解析的 `access_request_kvdata` 中获取的 `access_mask` 的值
账号网域	`principal.administrative_domain`	从解析的 `principal_kvdata` 中获取的 `principal_domain` 的值
账号网域	`target.administrative_domain`	从解析的 `target_kvdata` 中获取的 `target_domain` 的值
账号名称	`principal.user.userid`	从解析的 `principal_kvdata` 中获取的 `principal_account_name` 的值
账号名称	`target.user.userid`	从解析的 `target_kvdata` 中获取的 `target_account_name` 的值
操作	`security_result.action_details`	`action` 的值
操作	`security_result.action`	派生。如果 `action` 为“accept”“passthrough”“pass”“permit”“detected”或“close”，则映射为“ALLOW”。如果 `action` 为“deny”“dropped”或“blocked”，则映射到“BLOCK”。如果 `action` 为“timeout”，则映射为“FAIL”。否则，映射到“UNKNOWN_ACTION”。
算法名称	`security_result.detection_fields.value`	从解析的 `cryptographic_kvdata` 中获取的 `algorithm_name` 的值
应用	`target.application`	如果 `app_protocol_output` 为空，则 `service` 的值
appcat	`security_result.detection_fields.value`	`appcat` 的值
应用名称	`principal.application`	`application_name` 的值
身份验证软件包	`security_result.about.resource.name`	`authentication_package` 的值
Azure Defender for IoT 提醒	`security_result.detection_fields.value`	`azure_defender_for_iot_alert` 的值
channel	`security_result.detection_fields.value`	`channel` 的值
客户端地址	`principal.ip`，`principal.asset.ip`	`source_ip` 的值
客户端端口	`principal.port`	`source_port` 的值
craction	`security_result.detection_fields.value`	`craction` 的值
备份了 Credential Manager 凭据	`security_result.description`	`description` 的值
读取了 Credential Manager 凭据。	`security_result.description`	`description` 的值
crscore	`security_result.severity_details`	`crscore` 的值
crlevel	`security_result.severity`，`security_result.severity_details`	`crlevel` 的值。如果 `crlevel` 为“HIGH”“MEDIUM”“LOW”或“CRITICAL”，请映射到相应的 UDM 严重程度。
加密操作	`metadata.description`	`product_desc` 的值
CyberX 平台名称	`security_result.detection_fields.value`	`cyberx_platform_name` 的值
说明	`security_result.description`	如果 `Message` 为空，则 `description` 的值
目的地	`target.ip`、`target.asset.ip` 或 `target.hostname`	如果 `Destination` 是 IP 地址，请映射到 `target.ip` 和 `target.asset.ip`。否则，映射到 `target.hostname`。
目的地地址	`target.ip`，`target.asset.ip`	从解析的 `network_information` 中获取的 `destination_ip` 的值
目的地 DRA	`target.resource.name`	`destination_dra` 的值
目标 IP	`target.ip`，`target.asset.ip`	`destination_ip` 的值
目标端口	`target.port`	从解析的 `network_information` 中获取的 `destination_port` 的值
devid	`principal.resource.product_object_id`	`devid` 的值
devname	`principal.resource.name`	`devname` 的值
方向	`network.direction`	如果 `Direction` 为“incoming”“inbound”或“response”，请映射到“INBOUND”。如果 `Direction` 为“出站”“出站”或“请求”，请映射到“出站”。
dstip	`target.ip`，`target.asset.ip`	如果 `destination_ip` 为空，则 `dstip` 的值
dstcountry	`target.location.country_or_region`	`dstcountry` 的值
dstintf	`security_result.detection_fields.value`	`dstintf` 的值
dstintfrole	`security_result.detection_fields.value`	`dstintfrole` 的值
dstosname	`target.platform`	`dstosname` 的值（如果为“WINDOWS”“LINUX”或“MAC”）。
dstport	`target.port`	如果 `destination_port` 为空，则 `dstport` 的值
dstswversion	`target.platform_version`	`dstswversion` 的值
时长	`network.session_duration.seconds`	`duration` 的值
event_id	`security_result.rule_name`	用于构建规则名称“EventID: %{event_id}”
event_in_sequence	`security_result.detection_fields.value`	`event_in_sequence` 的值
过滤器运行时 ID	`security_result.detection_fields.value`	从解析的 `filter_information` 中获取的 `filter_run_time_id` 的值
群组成员资格	`security_result.detection_fields.value`	如果 `event_id` 不是 4627，则为 `group_membership` 的值
群组成员资格	`target.user.group_identifiers`	如果 `event_id` 为 4627，则解析后的 `group_membership` 中的值
handle_id	`security_result.detection_fields.value`	从解析的 `object_kvdata` 中获取的 `handle_id` 的值
标识名 ID	`security_result.detection_fields.value`	从解析的 `object_kvdata` 中获取的 `handle_id` 的值
impersonation_level	`security_result.detection_fields.value`	从解析的 `logon_information_kvdata` 中获取的 `impersonation_level` 的值
密钥长度	`security_result.detection_fields.value`	从解析的 `auth_kvdata` 中获取的 `key_length` 的值
键名	`security_result.detection_fields.value`	从解析的 `cryptographic_kvdata` 中获取的 `key_name` 的值
密钥类型	`security_result.detection_fields.value`	从解析的 `cryptographic_kvdata` 中获取的 `key_type` 的值
关键字	`security_result.detection_fields.value`	`keywords` 的值
图层名称	`security_result.detection_fields.value`	从解析的 `filter_information` 中获取的 `layer_name` 的值
图层运行时 ID	`security_result.detection_fields.value`	从解析的 `filter_information` 中获取的 `layer_run_time_id` 的值
logid	`metadata.product_log_id`	`logid` 的值
登录 GUID	`principal.resource.product_object_id`	`logon_guid` 的值
登录 ID	`security_result.detection_fields.value`	`logon_id` 的值
logon_type	`event.idm.read_only_udm.extensions.auth.mechanism`	派生。如果 `logon_type` 为“3”，则映射到“NETWORK”。如果为“4”，则映射到“BATCH”。如果为“5”，则映射到“SERVICE”。如果为“8”，则映射到“NETWORK_CLEAR_TEXT”。如果为“9”，则映射到“NEW_CREDENTIALS”。如果为“10”，则映射到“REMOTE_INTERACTIVE”。如果为“11”，则映射到“CACHED_INTERACTIVE”。否则，如果不为空，则映射到“MECHANISM_OTHER”。
登录账号	`security_result.detection_fields.value`	通过 Grok 解析得到的 `logon_id` 的值
登录流程	`security_result.detection_fields.value`	从解析的 `auth_kvdata` 中获取的 `logon_process` 的值
强制性标签	`security_result.detection_fields.value`	`mandatory_label` 的值
mastersrcmac	`principal.mac`	`mastersrcmac` 的值
消息	`security_result.description`	`Message` 的值
new_process_id	`target.process.pid`	从解析的 `process_kvdata` 中获取的 `new_process_id` 的值
new_process_name	`target.process.file.full_path`	从解析的 `process_kvdata` 中获取的 `new_process_name` 的值
对象名称	`security_result.detection_fields.value`	从解析的 `object_kvdata` 中获取的 `object_name` 的值
对象服务器	`security_result.detection_fields.value`	从解析的 `object_kvdata` 中获取的 `object_server` 的值
对象类型	`security_result.detection_fields.value`	从解析的 `object_kvdata` 中获取的 `object_type` 的值
osname	`principal.platform`	`osname` 的值（如果为“WINDOWS”“LINUX”或“MAC”）。
软件包名称（仅限 NTLM）	`security_result.detection_fields.value`	从解析的 `auth_kvdata` 中获取的 `package_name` 的值
policyid	`security_result.rule_id`	`policyid` 的值
policyname	`security_result.rule_name`	`policyname` 的值
policytype	`security_result.rule_type`	`policytype` 的值
进程 ID	`principal.process.pid`	`process_id` 的值
进程名称	`principal.process.file.full_path`	从解析的 `process_kvdata` 中获取的 `creator_process_name` 的值
profile_changed	`security_result.detection_fields.value`	`profile_changed` 的值
个人资料已更改	`security_result.detection_fields.value`	通过 Grok 解析得到的 `profile_changed` 的值
proto	`network.ip_protocol`	如果 `proto` 为“17”，则映射为“UDP”。如果“6”或 `subtype` 为“wad”，则映射到“TCP”。如果为“41”，则映射为“IP6IN4”。如果 `service` 为“PING”或 `proto` 为“1”或 `service` 包含“ICMP”，则映射到“ICMP”。
协议	`network.application_protocol`	从 `Protocol` 派生的 `app_protocol_output` 值
提供方名称	`security_result.detection_fields.value`	从解析的 `provider_kvdata` 或 `cryptographic_kvdata` 中得出的 `provider_name` 值
rcvdbyte	`network.received_bytes`	`rcvdbyte` 的值
rcvdpkt	`security_result.detection_fields.value`	`rcvdpkt` 的值
restricted_admin_mode	`security_result.detection_fields.value`	从解析的 `logon_information_kvdata` 中获取的 `restricted_admin_mode` 的值
返回代码	`security_result.detection_fields.value`	从解析的 `cryptographic_kvdata` 中获取的 `return_code` 的值
Response	`security_result.detection_fields.value`	`response` 的值
rule_id	`security_result.rule_id`	`rule_id` 的值
安全 ID	`principal.user.windows_sid`	从解析的 `principal_kvdata` 中获取的 `principal_security_id` 的值
安全 ID	`target.user.windows_sid`	从解析的 `target_kvdata` 中获取的 `target_security_id` 的值
sentbyte	`network.sent_bytes`	`sentbyte` 的值
sentpkt	`security_result.detection_fields.value`	`sentpkt` 的值
服务	`network.application_protocol` 或 `target.application`	从 `service` 派生的 `app_protocol_output` 值。如果 `app_protocol_output` 为空，则映射到 `target.application`。
服务 ID	`security_result.detection_fields.value`	从解析的 `service_kvdata` 中获取的 `service_id` 的值
服务名称	`security_result.detection_fields.value`	从解析的 `service_kvdata` 中获取的 `service_name` 的值
sessionid	`network.session_id`	`sessionid` 的值
严重程度	`security_result.severity`，`security_result.severity_details`	如果 `Severity` 为“ERROR”或“CRITICAL”，请映射到相应的 UDM 严重程度。如果为“INFO”，则映射为“INFORMATIONAL”。如果为“MINOR”，则映射为“LOW”。如果为“WARNING”，则映射为“MEDIUM”。如果为“MAJOR”，则映射为“HIGH”。此外，将原始值映射到 `severity_details`。
和程度上减少	`security_result.severity`，`security_result.severity_details`	如果 `severity` 为“1”“2”或“3”，则映射为“LOW”。如果为“4”“5”或“6”，则映射为“中等”。如果为“7”“8”或“9”，则映射为“高”。此外，将原始值映射到 `severity_details`。
共享名称	`security_result.detection_fields.value`	从解析的 `share_information_kvdata` 中获取的 `share_name` 的值
分享路径	`security_result.detection_fields.value`	从解析的 `share_information_kvdata` 中获取的 `share_path` 的值
来源	`principal.ip`、`principal.asset.ip` 或 `principal.hostname`、`principal.asset.hostname`	如果 `Source` 是 IP 地址，请映射到 `principal.ip` 和 `principal.asset.ip`。否则，映射到 `principal.hostname` 和 `principal.asset.hostname`。
来源地址	`principal.ip`，`principal.asset.ip`	从解析的 `network_information` 中获取的 `source_ip` 的值
来源 DRA	`principal.resource.name`	`source_dra` 的值
来源 IP	`principal.ip`	`source_ip` 的值
来源网络地址	`principal.ip`，`principal.asset.ip`	`source_ip` 的值
来源端口	`principal.port`	从解析的 `network_information` 中获取的 `source_port` 的值
来源工作站	`workstation_name`	`source_workstation_name` 的值
srcip	`source_ip`	如果 `source_ip` 为空，则 `srcip` 的值
srccountry	`principal.location.country_or_region`	`srccountry` 的值
srcmac	`principal.mac`	`srcmac` 的值
srcname	`principal.hostname`，`principal.asset.hostname`	`srcname` 的值
srcport	`source_port`	如果 `source_port` 为空，则 `srcport` 的值
srcswversion	`principal.platform_version`	`srcswversion` 的值
状态代码	`network.http.response_code`	`status_code` 的值
令牌提升类型	`security_result.detection_fields.value`	`token_elevation_type` 的值
transited_services	`security_result.detection_fields.value`	从解析的 `auth_kvdata` 中获取的 `transited_services` 的值
transip	`principal.nat_ip`	`transip` 的值
transport	`principal.nat_port`	`transport` 的值
类型	`metadata.product_event_type`	与 `subtype` 搭配使用，用于创建 `metadata.product_event_type`
类型	`security_result.detection_fields.value`	`Type` 的值
UUID	`metadata.product_log_id`	`UUID` 的值
vd	`principal.administrative_domain`	`vd` 的值
virtual_account	`security_result.detection_fields.value`	从解析的 `logon_information_kvdata` 中获取的 `virtual_account` 的值
工作站名称	`principal.hostname`，`principal.asset.hostname`	如果没有其他主要标识符，则为 `workstation_name` 的值
`metadata.event_type`	`metadata.event_type`	派生。如果 `principal_present` 和 `target_present` 均为 true，则映射到“NETWORK_CONNECTION”。如果 `user_present` 为 true，则映射到“USER_RESOURCE_ACCESS”。如果 `principal_present` 为 true，则映射到“STATUS_UPDATE”。否则，请映射到“GENERIC_EVENT”。
`metadata.log_type`	`metadata.log_type`	已硬编码为“CYBERX”
`metadata.product_name`	`metadata.product_name`	已硬编码为“CYBERX”
`metadata.vendor_name`	`metadata.vendor_name`	已硬编码为“CYBERX”
`metadata.event_timestamp`	`metadata.event_timestamp`	从顶级 `timestamp` 字段复制，或从 `eventtime` 或 `date` 和 `time` 字段派生。

变化

2024-05-15

修改了 KV 模式，以处理新的 SYSLOG 模式。
将“source_ip2”映射到“principal.ip”和“principal.asset.ip”。
将“destination_ip2”映射到“target.ip”和“target.asset.ip”。
将“Severity”映射到“security_result.severity_details”。
使“principal.ip”和“principal.asset.ip”映射保持一致。
对齐了“target.ip”和“target.asset.ip”映射。
对“principal.hostname”和“principal.asset.hostname”映射进行了调整。
对齐了“target.hostname”和“target.asset.hostname”映射。

2023-12-06

新创建的解析器。