本頁面由 Cloud Translation API 翻譯而成。

收集 CyberX 記錄

支援以下發布途徑：

Google secops Siem

本文說明如何使用 Google 安全作業轉送器收集 CyberX 記錄。

詳情請參閱「將資料擷取至 Google Security Operations 總覽」。

擷取標籤會標示剖析器，將原始記錄資料正規化為具結構性的 UDM 格式。本文中的資訊適用於使用 CyberX 攝入標籤的剖析器。

設定 CyberX

登入 CyberX UI。
在 CyberX UI 中，選取「轉送」，然後按一下「建立轉送規則」。
如要選取通知篩選器，請按照下列步驟操作：
- 在「Protocols」專區中，選取所需的通訊協定，或按一下「All」選取所有通訊協定。
- 在「嚴重性」清單中，選取要傳送的最低嚴重性快訊。
  
  舉例來說，如果您選取「重要」嚴重性，系統會透過通知傳送重要和重大警報。
- 在「引擎」部分中，選取所需引擎，或按一下「全部」來選取所有引擎。
按一下「新增」，即可新增通知方式。
在「動作」清單中，從可用的動作中選取動作類型。

如果新增多個動作，系統會為每個規則建立多種通知方法。
根據所選動作，在適當欄位中指定必要詳細資料。舉例來說，如果您選取「傳送至 SYSLOG 伺服器 (CEF)」，請按照下列步驟操作：
- 在「Host」欄位中輸入 syslog 伺服器位址。
- 在「時區」欄位中輸入 syslog 伺服器時區。
- 在「Port」(通訊埠) 欄位中，輸入 syslog 伺服器通訊埠。
點選「提交」。

同樣地，請針對所選的其他動作指定必要詳細資料。

設定 Google Security Operations 轉送器，以便擷取 CyberX 記錄

依序選取「SIEM 設定」>「轉送器」。
按一下「新增轉寄者」。
在「轉介器名稱」欄位中，輸入轉介器的專屬名稱。
依序點選「提交」和「確認」。系統會新增轉送器，並顯示「Add collector configuration」視窗。
在「收集器名稱」欄位中，輸入收集器的專屬名稱。
選取「Microsoft CyberX」做為記錄類型。
選取「Syslog」做為「收集器類型」。
設定下列輸入參數：
- Protocol：指定收集器用來監聽 syslog 資料的連線通訊協定。
- Address：指定收集器所在位置的目標 IP 位址或主機名稱，並接收 syslog 資料。
- Port：指定收集器所在的目標通訊埠，並監聽系統記錄檔資料。
點選「提交」。

如要進一步瞭解 Google Security Operations 轉送程式，請參閱「透過 Google Security Operations UI 管理轉送程式設定」。

如果在建立轉送器時遇到問題，請與 Google 安全作業支援團隊聯絡。

欄位對應參考資料

這個剖析器會處理 SYSLOG+KV 格式的 CyberX 記錄，並將這些記錄轉換為 UDM。這項作業會將許多欄位初始化為空字串，執行多項替換作業，藉此重新命名及格式化訊息欄位中的鍵/值組合，然後使用 grok 和 kv 篩選器，將結構化資料擷取至 UDM 欄位。剖析器會優先擷取鍵/值資料，並視需要改用 grok 模式，藉此透過中繼資料、主要使用者、目標、網路和安全性結果資訊，豐富 UDM 事件。

UDM 對應表

記錄欄位	UDM 對應	邏輯
存取遮罩	`security_result.detection_fields.value`	剖析的 `access_request_kvdata` 中 `access_mask` 的值
帳戶網域	`principal.administrative_domain`	剖析的 `principal_kvdata` 中 `principal_domain` 的值
帳戶網域	`target.administrative_domain`	剖析的 `target_kvdata` 中 `target_domain` 的值
帳戶名稱	`principal.user.userid`	剖析的 `principal_kvdata` 中 `principal_account_name` 的值
帳戶名稱	`target.user.userid`	剖析的 `target_kvdata` 中 `target_account_name` 的值
動作	`security_result.action_details`	`action` 的值
動作	`security_result.action`	衍生。如果 `action` 是「accept」、「passthrough」、「pass」、「permit」、「detected」或「close」，請對應至「ALLOW」。如果 `action` 是「deny」、「dropped」或「blocked」，請對應至「BLOCK」。如果 `action` 是「逾時」，請對應至「失敗」。否則，請對應至「UNKNOWN_ACTION」。
演算法名稱	`security_result.detection_fields.value`	剖析的 `cryptographic_kvdata` 中 `algorithm_name` 的值
應用程式	`target.application`	如果 `app_protocol_output` 為空白，則 `service` 的值
appcat	`security_result.detection_fields.value`	`appcat` 的值
應用程式名稱	`principal.application`	`application_name` 的值
驗證套件	`security_result.about.resource.name`	`authentication_package` 的值
Azure Defender for IoT 警示	`security_result.detection_fields.value`	`azure_defender_for_iot_alert` 的值
頻道	`security_result.detection_fields.value`	`channel` 的值
用戶端位址	`principal.ip`、`principal.asset.ip`	`source_ip` 的值
用戶端通訊埠	`principal.port`	`source_port` 的值
craction	`security_result.detection_fields.value`	`craction` 的值
Credential Manager 憑證已備份	`security_result.description`	`description` 的值
讀取憑證管理工具憑證。	`security_result.description`	`description` 的值
crscore	`security_result.severity_details`	`crscore` 的值
crlevel	`security_result.severity`、`security_result.severity_details`	`crlevel` 的值。如果 `crlevel` 為「HIGH」、「MEDIUM」、「LOW」或「CRITICAL」，請對應至對應的 UDM 嚴重性。
密碼編譯作業	`metadata.description`	`product_desc` 的值
CyberX 平台名稱	`security_result.detection_fields.value`	`cyberx_platform_name` 的值
說明	`security_result.description`	如果 `Message` 為空白，則 `description` 的值
目的地	`target.ip`、`target.asset.ip` 或 `target.hostname`	如果 `Destination` 是 IP 位址，請對應至 `target.ip` 和 `target.asset.ip`。否則，請對應至 `target.hostname`。
目的地地址	`target.ip`、`target.asset.ip`	剖析的 `network_information` 中 `destination_ip` 的值
目的地 DRA	`target.resource.name`	`destination_dra` 的值
目的地 IP	`target.ip`、`target.asset.ip`	`destination_ip` 的值
目的地通訊埠	`target.port`	剖析的 `network_information` 中 `destination_port` 的值
devid	`principal.resource.product_object_id`	`devid` 的值
devname	`principal.resource.name`	`devname` 的值
方向	`network.direction`	如果 `Direction` 是「incoming」、「inbound」或「response」，請對應至「INBOUND」。如果 `Direction` 是「outgoing」、「outbound」或「request」，請對應至「OUTBOUND」。
dstip	`target.ip`、`target.asset.ip`	如果 `destination_ip` 為空白，則 `dstip` 的值
dstcountry	`target.location.country_or_region`	`dstcountry` 的值
dstintf	`security_result.detection_fields.value`	`dstintf` 的值
dstintfrole	`security_result.detection_fields.value`	`dstintfrole` 的值
dstosname	`target.platform`	如果 `dstosname` 的值為「WINDOWS」、「LINUX」或「MAC」，則為此值。
dstport	`target.port`	如果 `destination_port` 為空白，則 `dstport` 的值
dstswversion	`target.platform_version`	`dstswversion` 的值
持續時間	`network.session_duration.seconds`	`duration` 的值
event_id	`security_result.rule_name`	用於將規則名稱建構為「EventID: %{event_id}」
event_in_sequence	`security_result.detection_fields.value`	`event_in_sequence` 的值
篩選執行階段 ID	`security_result.detection_fields.value`	剖析的 `filter_information` 中 `filter_run_time_id` 的值
群組成員資格	`security_result.detection_fields.value`	如果 `event_id` 不是 4627，`group_membership` 的值
群組成員資格	`target.user.group_identifiers`	如果 `event_id` 為 4627，則剖析的 `group_membership` 值
handle_id	`security_result.detection_fields.value`	剖析的 `object_kvdata` 中 `handle_id` 的值
處理 ID	`security_result.detection_fields.value`	剖析的 `object_kvdata` 中 `handle_id` 的值
impersonation_level	`security_result.detection_fields.value`	剖析的 `logon_information_kvdata` 中 `impersonation_level` 的值
鍵長度	`security_result.detection_fields.value`	剖析的 `auth_kvdata` 中 `key_length` 的值
金鑰名稱	`security_result.detection_fields.value`	剖析的 `cryptographic_kvdata` 中 `key_name` 的值
鍵類型	`security_result.detection_fields.value`	剖析的 `cryptographic_kvdata` 中 `key_type` 的值
關鍵字	`security_result.detection_fields.value`	`keywords` 的值
圖層名稱	`security_result.detection_fields.value`	剖析的 `filter_information` 中 `layer_name` 的值
圖層執行階段 ID	`security_result.detection_fields.value`	剖析的 `filter_information` 中 `layer_run_time_id` 的值
logid	`metadata.product_log_id`	`logid` 的值
登入 GUID	`principal.resource.product_object_id`	`logon_guid` 的值
登入 ID	`security_result.detection_fields.value`	`logon_id` 的值
logon_type	`event.idm.read_only_udm.extensions.auth.mechanism`	衍生。如果 `logon_type` 是「3」，請對應至「NETWORK」。如果是「4」，請對應至「BATCH」。如果是「5」，請對應至「SERVICE」。如果是「8」，請對應至「NETWORK_CLEAR_TEXT」。如果是「9」，請對應至「NEW_CREDENTIALS」。如果是「10」，請對應至「REMOTE_INTERACTIVE」。如果是「11」，請對應至「CACHED_INTERACTIVE」。否則，如果不為空白，則對應至「MECHANISM_OTHER」。
登入帳戶	`security_result.detection_fields.value`	從 grok 剖析取得的 `logon_id` 值
登入程序	`security_result.detection_fields.value`	剖析的 `auth_kvdata` 中 `logon_process` 的值
必要標籤	`security_result.detection_fields.value`	`mandatory_label` 的值
mastersrcmac	`principal.mac`	`mastersrcmac` 的值
訊息	`security_result.description`	`Message` 的值
new_process_id	`target.process.pid`	剖析的 `process_kvdata` 中 `new_process_id` 的值
new_process_name	`target.process.file.full_path`	剖析的 `process_kvdata` 中 `new_process_name` 的值
物件名稱	`security_result.detection_fields.value`	剖析的 `object_kvdata` 中 `object_name` 的值
物件伺服器	`security_result.detection_fields.value`	剖析的 `object_kvdata` 中 `object_server` 的值
物件類型	`security_result.detection_fields.value`	剖析的 `object_kvdata` 中 `object_type` 的值
osname	`principal.platform`	如果 `osname` 的值為「WINDOWS」、「LINUX」或「MAC」，則為此值。
套件名稱 (僅限 NTLMv1)	`security_result.detection_fields.value`	剖析的 `auth_kvdata` 中 `package_name` 的值
policyid	`security_result.rule_id`	`policyid` 的值
policyname	`security_result.rule_name`	`policyname` 的值
policytype	`security_result.rule_type`	`policytype` 的值
程序 ID	`principal.process.pid`	`process_id` 的值
程序名稱	`principal.process.file.full_path`	剖析的 `process_kvdata` 中 `creator_process_name` 的值
profile_changed	`security_result.detection_fields.value`	`profile_changed` 的值
已變更設定檔	`security_result.detection_fields.value`	從 grok 剖析取得的 `profile_changed` 值
proto	`network.ip_protocol`	如果 `proto` 是「17」，請對應至「UDP」。如果「6」或 `subtype` 是「wad」，請對應至「TCP」。如果是「41」，則對應至「IP6IN4」。如果 `service` 是「PING」或 `proto` 是「1」，或是 `service` 包含「ICMP」，請對應至「ICMP」。
通訊協定	`network.application_protocol`	`app_protocol_output` 的值，由 `Protocol` 衍生而來
供應商名稱	`security_result.detection_fields.value`	剖析的 `provider_kvdata` 或 `cryptographic_kvdata` 中 `provider_name` 的值
rcvdbyte	`network.received_bytes`	`rcvdbyte` 的值
rcvdpkt	`security_result.detection_fields.value`	`rcvdpkt` 的值
restricted_admin_mode	`security_result.detection_fields.value`	剖析的 `logon_information_kvdata` 中 `restricted_admin_mode` 的值
傳回碼	`security_result.detection_fields.value`	剖析的 `cryptographic_kvdata` 中 `return_code` 的值
回應	`security_result.detection_fields.value`	`response` 的值
rule_id	`security_result.rule_id`	`rule_id` 的值
安全性 ID	`principal.user.windows_sid`	剖析的 `principal_kvdata` 中 `principal_security_id` 的值
安全性 ID	`target.user.windows_sid`	剖析的 `target_kvdata` 中 `target_security_id` 的值
sentbyte	`network.sent_bytes`	`sentbyte` 的值
sentpkt	`security_result.detection_fields.value`	`sentpkt` 的值
服務	`network.application_protocol`或`target.application`	`app_protocol_output` 的值，由 `service` 衍生而來。如果 `app_protocol_output` 為空白，請對應至 `target.application`。
服務 ID	`security_result.detection_fields.value`	剖析的 `service_kvdata` 中 `service_id` 的值
服務名稱	`security_result.detection_fields.value`	剖析的 `service_kvdata` 中 `service_name` 的值
sessionid	`network.session_id`	`sessionid` 的值
嚴重性	`security_result.severity`、`security_result.severity_details`	如果 `Severity` 是「ERROR」或「CRITICAL」，請對應至相應的 UDM 嚴重性。如果是「INFO」，請對應至「INFORMATIONAL」。如果是「MINOR」，請對應至「LOW」。如果是「WARNING」，則對應為「MEDIUM」。如果是「MAJOR」，則對應為「HIGH」。並將原始值對應至 `severity_details`。
嚴重性	`security_result.severity`、`security_result.severity_details`	如果 `severity` 是「1」、「2」或「3」，則對應為「LOW」。如果是「4」、「5」或「6」，則對應為「MEDIUM」。如果是「7」、「8」或「9」，則對應為「HIGH」。並將原始值對應至 `severity_details`。
共用區名稱	`security_result.detection_fields.value`	剖析的 `share_information_kvdata` 中 `share_name` 的值
共用路徑	`security_result.detection_fields.value`	剖析的 `share_information_kvdata` 中 `share_path` 的值
來源	`principal.ip`、`principal.asset.ip` 或 `principal.hostname`、`principal.asset.hostname`	如果 `Source` 是 IP 位址，請對應至 `principal.ip` 和 `principal.asset.ip`。否則，請對應至 `principal.hostname` 和 `principal.asset.hostname`。
來源位址	`principal.ip`、`principal.asset.ip`	剖析的 `network_information` 中 `source_ip` 的值
來源 DRA	`principal.resource.name`	`source_dra` 的值
來源 IP	`principal.ip`	`source_ip` 的值
來源網路位址	`principal.ip`、`principal.asset.ip`	`source_ip` 的值
來源通訊埠	`principal.port`	剖析的 `network_information` 中 `source_port` 的值
來源工作站	`workstation_name`	`source_workstation_name` 的值
srcip	`source_ip`	如果 `source_ip` 為空白，則 `srcip` 的值
srccountry	`principal.location.country_or_region`	`srccountry` 的值
srcmac	`principal.mac`	`srcmac` 的值
srcname	`principal.hostname`、`principal.asset.hostname`	`srcname` 的值
srcport	`source_port`	如果 `source_port` 為空白，則 `srcport` 的值
srcswversion	`principal.platform_version`	`srcswversion` 的值
狀態碼	`network.http.response_code`	`status_code` 的值
權杖提升類型	`security_result.detection_fields.value`	`token_elevation_type` 的值
transited_services	`security_result.detection_fields.value`	剖析的 `auth_kvdata` 中 `transited_services` 的值
transip	`principal.nat_ip`	`transip` 的值
transport	`principal.nat_port`	`transport` 的值
類型	`metadata.product_event_type`	與 `subtype` 搭配使用，用於建立 `metadata.product_event_type`
類型	`security_result.detection_fields.value`	`Type` 的值
UUID	`metadata.product_log_id`	`UUID` 的值
vd	`principal.administrative_domain`	`vd` 的值
virtual_account	`security_result.detection_fields.value`	剖析的 `logon_information_kvdata` 中 `virtual_account` 的值
工作站名稱	`principal.hostname`、`principal.asset.hostname`	如果沒有其他主要 ID，則為 `workstation_name` 的值
`metadata.event_type`	`metadata.event_type`	衍生。如果 `principal_present` 和 `target_present` 都為 true，請對應至「NETWORK_CONNECTION」。如果 `user_present` 為 true，請對應至「USER_RESOURCE_ACCESS」。如果 `principal_present` 為 true，請對應至「STATUS_UPDATE」。否則，請對應至「GENERIC_EVENT」。
`metadata.log_type`	`metadata.log_type`	硬式編碼為「CYBERX」
`metadata.product_name`	`metadata.product_name`	硬式編碼為「CYBERX」
`metadata.vendor_name`	`metadata.vendor_name`	硬式編碼為「CYBERX」
`metadata.event_timestamp`	`metadata.event_timestamp`	從頂層 `timestamp` 欄位複製，或由 `eventtime` 或 `date` 和 `time` 欄位衍生而來。

異動

2024-05-15

修改 KV 模式，以便處理新的 SYSLOG 模式。
將「source_ip2」對應至「principal.ip」和「principal.asset.ip」。
將「destination_ip2」對應至「target.ip」和「target.asset.ip」。
將「Severity」對應至「security_result.severity_details」。
已對齊「principal.ip」和「principal.asset.ip」對應項目。
對齊「target.ip」和「target.asset.ip」對應項目。
對齊「principal.hostname」和「principal.asset.hostname」對應項目。
對齊「target.hostname」和「target.asset.hostname」對應項目。

2023-12-06

新建的剖析器。

還有其他問題嗎？向社群成員和 Google SecOps 專家尋求解答。