« CyberArk 特权访问安全 Cybereason »
Elastic 文档 Elastic 集成 Cyberark

Cyberark 特权威胁分析

编辑

Cyberark 特权威胁分析

编辑

版本

1.11.0 (查看全部)

兼容的 Kibana 版本

8.13.0 或更高版本

支持的 Serverless 项目类型
这是什么?

安全
可观测性

订阅级别
这是什么?

基本

支持级别
这是什么?

Elastic

CyberArk 的特权威胁分析 (PTA) 持续监控在 CyberArk 特权访问安全 (PAS) 平台中管理的特权帐户的使用情况。此集成从 PTA 的 syslog 通过 CEF 格式的日志收集分析数据。

配置
编辑

按照 将 PTA syslog 记录发送到 SIEM 文档中描述的步骤设置集成

  • 用于 systemparm.properties 的示例 syslog 配置
[SYSLOG]
syslog_outbound=[{"siem": "Elastic", "format": "CEF", "host": "SIEM_MACHINE_ADDRESS", "port": 9301, "protocol": "TCP"}]
示例事件
编辑
示例

pta 的示例事件如下所示

{
  "cef": {
    "device": {
      "event_class_id": "1",
      "product": "PTA",
      "vendor": "CyberArk",
      "version": "12.6"
    },
    "extensions": {
      "destinationAddress": "175.16.199.0",
      "destinationHostName": "dev1.domain.com",
      "destinationUserName": "[email protected]",
      "deviceCustomDate1": "2014-01-01T12:05:00.000Z",
      "deviceCustomDate1Label": "detectionDate",
      "deviceCustomString1": "None",
      "deviceCustomString1Label": "ExtraData",
      "deviceCustomString2": "52b06812ec3500ed864c461e",
      "deviceCustomString2Label": "EventID",
      "deviceCustomString3": "https://1.128.0.0/incidents/52b06812ec3500ed864c461e",
      "deviceCustomString3Label": "PTAlink",
      "deviceCustomString4": "https://myexternallink.com",
      "deviceCustomString4Label": "ExternalLink",
      "sourceAddress": "1.128.0.0",
      "sourceHostName": "prod1.domain.com",
      "sourceUserName": "[email protected]"
    },
    "name": "Suspected credentials theft",
    "severity": "8",
    "version": "0"
  },
  "destination": {
    "domain": "dev1.domain.com",
    "ip": "175.16.199.0",
    "user": {
      "name": "[email protected]"
    }
  },
  "ecs": {
    "version": "8.3.0"
  },
  "event": {
    "code": "1",
    "created": [
      "2014-01-01T12:05:00.000Z"
    ],
    "id": [
      "52b06812ec3500ed864c461e"
    ],
    "ingested": "2022-07-28T14:05:49Z",
    "original": "CEF:0|CyberArk|PTA|12.6|1|Suspected credentials theft|8|[email protected] shost=prod1.domain.com src=1.128.0.0 [email protected] dhost=dev1.domain.com dst=175.16.199.0 cs1Label=ExtraData cs1=None cs2Label=EventID cs2=52b06812ec3500ed864c461e deviceCustomDate1Label=detectionDate deviceCustomDate1=1388577900000 cs3Label=PTAlink cs3=https://1.128.0.0/incidents/52b06812ec3500ed864c461e cs4Label=ExternalLink cs4=https://myexternallink.com",
    "reference": [
      "https://1.128.0.0/incidents/52b06812ec3500ed864c461e"
    ],
    "severity": 8,
    "url": [
      "https://myexternallink.com"
    ]
  },
  "message": "Suspected credentials theft",
  "observer": {
    "product": "PTA",
    "vendor": "CyberArk",
    "version": "12.6"
  },
  "source": {
    "domain": "prod1.domain.com",
    "ip": "1.128.0.0",
    "user": {
      "name": "[email protected]"
    }
  },
  "tags": [
    "cyberark_pta",
    "forwarded"
  ]
}
导出的字段
字段 描述 类型

@timestamp

事件时间戳。

date

cef.device.event_class_id

事件类型的唯一标识符。

keyword

cef.device.product

生成消息的设备的产品。

keyword

cef.device.vendor

生成消息的设备的供应商。

keyword

cef.device.version

生成消息的产品的版本。

keyword

cef.extensions.TrendMicroDsDetectionConfidence

keyword

cef.extensions.TrendMicroDsFileMD5

keyword

cef.extensions.TrendMicroDsFileSHA1

keyword

cef.extensions.TrendMicroDsFileSHA256

keyword

cef.extensions.TrendMicroDsFrameType

keyword

cef.extensions.TrendMicroDsMalwareTarget

keyword

cef.extensions.TrendMicroDsMalwareTargetType

keyword

cef.extensions.TrendMicroDsPacketData

keyword

cef.extensions.TrendMicroDsRelevantDetectionNames

keyword

cef.extensions.TrendMicroDsTenant

keyword

cef.extensions.TrendMicroDsTenantId

keyword

cef.extensions.ad

flattened

cef.extensions.agentAddress

处理事件的 ArcSight 连接器的 IP 地址。

ip

cef.extensions.agentHostName

处理事件的 ArcSight 连接器的主机名。

keyword

cef.extensions.agentId

处理事件的 ArcSight 连接器的代理 ID。

keyword

cef.extensions.agentMacAddress

处理事件的 ArcSight 连接器的 MAC 地址。

keyword

cef.extensions.agentReceiptTime

ArcSight 连接器接收到事件信息的时间。

date

cef.extensions.agentTimeZone

处理事件的 ArcSight 连接器的代理时区。

keyword

cef.extensions.agentType

处理事件的 ArcSight 连接器的代理类型。

keyword

cef.extensions.agentVersion

处理事件的 ArcSight 连接器的版本。

keyword

cef.extensions.agentZoneURI

keyword

cef.extensions.aggregationType

keyword

cef.extensions.applicationProtocol

应用层协议,示例值为 HTTP、HTTPS、SSHv2、Telnet、POP、IMPA、IMAPS 等。

keyword

cef.extensions.assetCriticality

keyword

cef.extensions.baseEventCount

与此事件关联的计数。此事件被观察到多少次?如果为 1,则可以省略计数。

long

cef.extensions.bytesIn

相对于源到目标的传入传输的字节数,意味着数据从源流向目标。

long

cef.extensions.bytesOut

相对于源到目标的传出传输的字节数。例如,从目标到源的数据字节数。

long

cef.extensions.categoryBehavior

与事件关联的操作或行为。它是对对象执行的操作 (ArcSight)。

keyword

cef.extensions.categoryDeviceGroup

一般设备组,如防火墙 (ArcSight)。

keyword

cef.extensions.categoryDeviceType

设备类型。示例 - 代理、IDS、Web 服务器 (ArcSight)。

keyword

cef.extensions.categoryObject

事件所关于的对象。例如,它可以是操作系统、数据库、文件等 (ArcSight)。

keyword

cef.extensions.categoryOutcome

事件的结果(例如,成功、失败或尝试)(ArcSight)。

keyword

cef.extensions.categorySignificance

事件重要性的描述 (ArcSight)。

keyword

cef.extensions.categoryTechnique

正在使用的技术(例如 /DoS)(ArcSight)。

keyword

cef.extensions.cp_app_risk

keyword

cef.extensions.cp_severity

keyword

cef.extensions.destinationAddress

标识 IP 网络中事件引用的目标地址。格式为 IPv4 地址。

ip

cef.extensions.destinationHostName

标识 IP 网络中事件引用的目标。格式应该是与目标节点关联的完全限定域名 (FQDN),当节点可用时。

keyword

cef.extensions.destinationMacAddress

六个冒号分隔的十六进制数字。

keyword

cef.extensions.destinationNtDomain

事件的结果(例如,成功、失败或尝试)(ArcSight)。

keyword

cef.extensions.destinationPort

有效的端口号介于 0 和 65535 之间。

long

cef.extensions.destinationServiceName

此事件的目标服务。

keyword

cef.extensions.destinationTranslatedAddress

标识 IP 网络中事件引用的已转换目标。

ip

cef.extensions.destinationTranslatedPort

转换后的端口;例如,防火墙。有效的端口号为 0 到 65535。

long

cef.extensions.destinationUserName

按名称标识目标用户。这是与事件的目标关联的用户。电子邮件地址通常会映射到 UserName 字段中。收件人是要放入此字段的候选人。

keyword

cef.extensions.destinationUserPrivileges

典型值为“管理员”、“用户”和“访客”。这标识目标用户的特权。例如,在 UNIX 中,对 root 用户执行的活动将使用“管理员”的目标用户特权来标识。

keyword

cef.extensions.deviceAction

设备采取的操作。

keyword

cef.extensions.deviceAddress

标识 IP 网络中事件引用的设备地址。

ip

cef.extensions.deviceAssetId

keyword

cef.extensions.deviceCustomDate1

可用于映射不适用于此字典中任何其他字段的两个时间戳字段之一。

keyword

cef.extensions.deviceCustomDate1Label

所有自定义字段都有相应的标签字段。这些字段中的每一个都是一个字符串,描述自定义字段的用途。

keyword

cef.extensions.deviceCustomDate2

可用于映射不适用于此字典中任何其他字段的两个时间戳字段之一。

keyword

cef.extensions.deviceCustomDate2Label

所有自定义字段都有相应的标签字段。这些字段中的每一个都是一个字符串,描述自定义字段的用途。

keyword

cef.extensions.deviceCustomIPv6Address1

可用于映射不适用于此字典中任何其他字段的四个 IPv6 地址字段之一。

ip

cef.extensions.deviceCustomIPv6Address1Label

所有自定义字段都有相应的标签字段。这些字段中的每一个都是一个字符串,描述自定义字段的用途。

keyword

cef.extensions.deviceCustomIPv6Address2

可用于映射不适用于此字典中任何其他字段的四个 IPv6 地址字段之一。

ip

cef.extensions.deviceCustomIPv6Address2Label

所有自定义字段都有相应的标签字段。这些字段中的每一个都是一个字符串,描述自定义字段的用途。

keyword

cef.extensions.deviceCustomIPv6Address3

可用于映射不适用于此字典中任何其他字段的四个 IPv6 地址字段之一。

ip

cef.extensions.deviceCustomIPv6Address3Label

所有自定义字段都有相应的标签字段。这些字段中的每一个都是一个字符串,描述自定义字段的用途。

keyword

cef.extensions.deviceCustomIPv6Address4

可用于映射不适用于此字典中任何其他字段的四个 IPv6 地址字段之一。

ip

cef.extensions.deviceCustomIPv6Address4Label

所有自定义字段都有相应的标签字段。这些字段中的每一个都是一个字符串,描述自定义字段的用途。

keyword

cef.extensions.deviceCustomNumber1

可用于映射不适用于此字典中任何其他字段的三个数字字段之一。请谨慎使用,并在可能的情况下寻求更具体的字典提供的字段。

long

cef.extensions.deviceCustomNumber1Label

所有自定义字段都有相应的标签字段。这些字段中的每一个都是一个字符串,描述自定义字段的用途。

keyword

cef.extensions.deviceCustomNumber2

可用于映射不适用于此字典中任何其他字段的三个数字字段之一。请谨慎使用,并在可能的情况下寻求更具体的字典提供的字段。

long

cef.extensions.deviceCustomNumber2Label

所有自定义字段都有相应的标签字段。这些字段中的每一个都是一个字符串,描述自定义字段的用途。

keyword

cef.extensions.deviceCustomNumber3

可用于映射不适用于此字典中任何其他字段的三个数字字段之一。请谨慎使用,并在可能的情况下寻求更具体的字典提供的字段。

long

cef.extensions.deviceCustomNumber3Label

所有自定义字段都有相应的标签字段。这些字段中的每一个都是一个字符串,描述自定义字段的用途。

keyword

cef.extensions.deviceCustomString1

可用于映射不适用于此字典中任何其他字段的六个字符串之一。请谨慎使用,并在可能的情况下寻求更具体的字典提供的字段。

keyword

cef.extensions.deviceCustomString1Label

所有自定义字段都有相应的标签字段。这些字段中的每一个都是一个字符串,描述自定义字段的用途。

keyword

cef.extensions.deviceCustomString2

可用于映射不适用于此字典中任何其他字段的六个字符串之一。请谨慎使用,并在可能的情况下寻求更具体的字典提供的字段。

keyword

cef.extensions.deviceCustomString2Label

所有自定义字段都有相应的标签字段。这些字段中的每一个都是一个字符串,描述自定义字段的用途。

keyword

cef.extensions.deviceCustomString3

可用于映射不适用于此字典中任何其他字段的六个字符串之一。请谨慎使用,并在可能的情况下寻求更具体的字典提供的字段。

keyword

cef.extensions.deviceCustomString3Label

所有自定义字段都有相应的标签字段。这些字段中的每一个都是一个字符串,描述自定义字段的用途。

keyword

cef.extensions.deviceCustomString4

可用于映射不适用于此字典中任何其他字段的六个字符串之一。请谨慎使用,并在可能的情况下寻求更具体的字典提供的字段。

keyword

cef.extensions.deviceCustomString4Label

所有自定义字段都有相应的标签字段。这些字段中的每一个都是一个字符串,描述自定义字段的用途。

keyword

cef.extensions.deviceCustomString5

可用于映射不适用于此字典中任何其他字段的六个字符串之一。请谨慎使用,并在可能的情况下寻求更具体的字典提供的字段。

keyword

cef.extensions.deviceCustomString5Label

所有自定义字段都有相应的标签字段。这些字段中的每一个都是一个字符串,描述自定义字段的用途。

keyword

cef.extensions.deviceCustomString6

可用于映射不适用于此字典中任何其他字段的六个字符串之一。请谨慎使用,并在可能的情况下寻求更具体的字典提供的字段。

keyword

cef.extensions.deviceCustomString6Label

所有自定义字段都有相应的标签字段。这些字段中的每一个都是一个字符串,描述自定义字段的用途。

keyword

cef.extensions.deviceDirection

有关观察到的通信已采取的任何方向的信息。支持以下值 - “0” 表示传入,“1” 表示传出。

long

cef.extensions.deviceEventCategory

表示由原始设备分配的类别。设备通常使用自己的分类模式来对事件进行分类。示例“/Monitor/Disk/Read”。

keyword

cef.extensions.deviceExternalId

唯一标识生成此事件的设备的名称。

keyword

cef.extensions.deviceFacility

生成此事件的设施。例如,Syslog 具有与每个事件关联的显式设施。

keyword

cef.extensions.deviceHostName

格式应该是与设备节点关联的完全限定域名 (FQDN),当节点可用时。

keyword

cef.extensions.deviceInboundInterface

数据包或数据进入设备的接口。

keyword

cef.extensions.deviceOutboundInterface

数据包或数据离开设备的接口。

keyword

cef.extensions.deviceProcessName

与事件关联的进程名称。一个示例可能是 UNIX 中生成 syslog 条目的进程。

keyword

cef.extensions.deviceReceiptTime

接收到与活动相关的事件的时间。格式为 MMM dd yyyy HH:mm:ss 或自 epoch(1970 年 1 月 1 日)以来的毫秒数

keyword

cef.extensions.deviceSeverity

keyword

cef.extensions.deviceTimeZone

生成事件的设备的时区。

keyword

cef.extensions.deviceZoneID

keyword

cef.extensions.deviceZoneURI

设备资产在 ArcSight 中被分配到的区域的 URI。

keyword

cef.extensions.dvc

如果主机名是 IPv4 地址,则 Trend Micro 使用此字段。

ip

cef.extensions.dvchost

Trend Micro 对主机名和 IPv6 地址使用此字段。

keyword

cef.extensions.eventAnnotationAuditTrail

keyword

cef.extensions.eventAnnotationEndTime

date

cef.extensions.eventAnnotationFlags

keyword

cef.extensions.eventAnnotationManagerReceiptTime

date

cef.extensions.eventAnnotationModificationTime

date

cef.extensions.eventAnnotationStageUpdateTime

date

cef.extensions.eventAnnotationVersion

keyword

cef.extensions.eventId

这是 ArcSight 分配给每个事件的唯一 ID。

long

cef.extensions.fileHash

文件的哈希。

keyword

cef.extensions.filePath

文件的完整路径,包括文件名本身。

keyword

cef.extensions.fileSize

文件的大小。

long

cef.extensions.fileType

文件类型(管道、套接字等)。

keyword

cef.extensions.filename

仅文件名(不带其路径)。

keyword

cef.extensions.ifname

keyword

cef.extensions.inzone

keyword

cef.extensions.layer_name

keyword

cef.extensions.layer_uuid

keyword

cef.extensions.locality

keyword

cef.extensions.logid

keyword

cef.extensions.loguid

keyword

cef.extensions.managerReceiptTime

Arcsight ESM 接收到事件的时间。

date

cef.extensions.match_id

keyword

cef.extensions.message

提供有关事件更多详细信息的任意消息。可以使用 \n 作为换行符来生成多行条目。

keyword

cef.extensions.method

HTTP 请求方法。该值应保留其原始事件中的大小写。例如,GETgetGeT 都被认为是此字段的有效值。

keyword

cef.extensions.modelConfidence

keyword

cef.extensions.nat_addtnl_rulenum

keyword

cef.extensions.nat_rulenum

keyword

cef.extensions.oldFileHash

旧文件的哈希。

keyword

cef.extensions.origin

keyword

cef.extensions.originalAgentAddress

keyword

cef.extensions.originalAgentHostName

keyword

cef.extensions.originalAgentId

keyword

cef.extensions.originalAgentType

keyword

cef.extensions.originalAgentVersion

keyword

cef.extensions.originalAgentZoneURI

keyword

cef.extensions.originsicname

keyword

cef.extensions.outzone

keyword

cef.extensions.parent_rule

keyword

cef.extensions.priority

keyword

cef.extensions.product

keyword

cef.extensions.relevance

keyword

cef.extensions.repeatCount

keyword

cef.extensions.requestContext

对请求来源的内容的描述(例如,HTTP 引用)。

keyword

cef.extensions.requestMethod

用于访问 URL 的 HTTP 方法。

keyword

cef.extensions.requestUrl

在 HTTP 请求的情况下,此字段包含访问的 URL。该 URL 还应包含协议。

keyword

cef.extensions.requestUrlFileName

keyword

cef.extensions.rule_action

keyword

cef.extensions.rule_uid

keyword

cef.extensions.sequencenum

keyword

cef.extensions.service_id

keyword

cef.extensions.severity

keyword

cef.extensions.sourceAddress

标识事件在 IP 网络中引用的源。

ip

cef.extensions.sourceGeoLatitude

long

cef.extensions.sourceGeoLongitude

long

cef.extensions.sourceHostName

标识事件在 IP 网络中引用的源。格式应为与源节点关联的完全限定域名 (FQDN),当模式可用时。

keyword

cef.extensions.sourceMacAddress

六个冒号分隔的十六进制数字。

keyword

cef.extensions.sourceNtDomain

源地址的 Windows 域名。

keyword

cef.extensions.sourcePort

有效的端口号为 0 到 65535。

long

cef.extensions.sourceServiceName

负责生成此事件的服务。

keyword

cef.extensions.sourceTranslatedAddress

标识事件在 IP 网络中引用的已转换源。

ip

cef.extensions.sourceTranslatedPort

由防火墙等转换后的端口号。有效的端口号为 0 到 65535。

long

cef.extensions.sourceTranslatedZoneID

keyword

cef.extensions.sourceTranslatedZoneURI

目标资产在 ArcSight 中被分配到的已转换区域的 URI。

keyword

cef.extensions.sourceUserId

通过 ID 标识源用户。这是与事件源关联的用户。例如,在 UNIX 中,root 用户通常与用户 ID 0 关联。

keyword

cef.extensions.sourceUserName

通过名称标识源用户。电子邮件地址也会映射到 UserName 字段中。发件人可以放入此字段中。

keyword

cef.extensions.sourceUserPrivileges

典型的值为“管理员”、“用户”和“访客”。它标识源用户的权限。例如,在 UNIX 中,由 root 用户执行的活动将使用“管理员”标识。

keyword

cef.extensions.sourceZoneID

通过 ID 标识源用户。这是与事件源关联的用户。例如,在 UNIX 中,root 用户通常与用户 ID 0 关联。

keyword

cef.extensions.sourceZoneURI

源资产在 ArcSight 中被分配到的区域的 URI。

keyword

cef.extensions.startTime

事件所指的活动开始的时间。格式为 MMM dd yyyy HH:mm:ss 或自纪元(1970 年 1 月 1 日)以来的毫秒数。

date

cef.extensions.target

keyword

cef.extensions.transportProtocol

标识使用的第 4 层协议。可能的值是 TCP 或 UDP 等协议。

keyword

cef.extensions.type

0 表示基本事件,1 表示聚合事件,2 表示关联事件,3 表示操作。基本事件(类型 0)可以省略此字段。

long

cef.extensions.version

keyword

cef.name

keyword

cef.severity

keyword

cef.version

keyword

cyberark_pta.log.event_type

用于标识所报告事件的唯一 ID。

keyword

data_stream.dataset

数据流数据集。

constant_keyword

data_stream.namespace

数据流命名空间。

constant_keyword

data_stream.type

数据流类型。

constant_keyword

destination.service.name

keyword

event.dataset

事件数据集

constant_keyword

event.module

事件模块

constant_keyword

input.type

输入类型

keyword

log.source.address

从中读取/发送日志事件的源地址。

keyword

source.service.name

keyword

更新日志

编辑
更新日志
版本 详细信息 Kibana 版本

1.11.0

增强 (查看拉取请求)
将“preserve_original_event”标记添加到 event.kind 设置为“pipeline_error”的文档。

8.13.0 或更高版本

1.10.1

错误修复 (查看拉取请求)
在引用提取管道中的变量时,使用三括号 Mustache 模板。

8.13.0 或更高版本

1.10.0

增强 (查看拉取请求)
将 kibana 约束更新为 ^8.13.0。修改了字段定义,以删除 ecs@mappings 组件模板使之冗余的 ECS 字段。

8.13.0 或更高版本

1.9.0

增强 (查看拉取请求)
将清单格式版本更新为 v3.0.3。

7.17.0 或更高版本
8.0.0 或更高版本

1.8.1

增强 (查看拉取请求)
更改了所有者

7.17.0 或更高版本
8.0.0 或更高版本

1.8.0

增强 (查看拉取请求)
ECS 版本更新至 8.11.0。

7.17.0 或更高版本
8.0.0 或更高版本

1.7.0

增强 (查看拉取请求)
ECS 版本更新至 8.10.0。

7.17.0 或更高版本
8.0.0 或更高版本

1.6.0

增强 (查看拉取请求)
程序包清单中的 format_version 从 2.11.0 更改为 3.0.0。从程序包清单中删除了点分隔的 YAML 键。将 owner.type: elastic 添加到程序包清单中。

7.17.0 或更高版本
8.0.0 或更高版本

1.5.0

增强 (查看拉取请求)
添加 tags.yml 文件,以便将集成仪表板和保存的搜索标记为“安全解决方案”,并在安全解决方案 UI 中显示。

7.17.0 或更高版本
8.0.0 或更高版本

1.4.0

增强 (查看拉取请求)
将程序包更新至 ECS 8.9.0。

7.17.0 或更高版本
8.0.0 或更高版本

1.3.0

增强 (查看拉取请求)
将程序包更新至 ECS 8.8.0。

7.17.0 或更高版本
8.0.0 或更高版本

1.2.0

增强 (查看拉取请求)
将程序包规范版本更新至 2.7.0。

7.17.0 或更高版本
8.0.0 或更高版本

1.1.0

增强 (查看拉取请求)
将程序包更新至 ECS 8.7.0。

7.17.0 或更高版本
8.0.0 或更高版本

1.0.0

增强 (查看拉取请求)
将 Cyberark 特权威胁分析作为 GA 发布。

7.17.0 或更高版本
8.0.0 或更高版本

0.4.1

增强 (查看拉取请求)
添加了类别和/或子类别。

0.4.0

增强 (查看拉取请求)
将程序包更新至 ECS 8.6.0。

0.3.0

增强 (查看拉取请求)
udp_options 添加到 UDP 输入。

0.2.0

增强 (查看拉取请求)
将程序包更新至 ECS 8.5.0。

0.1.2

错误修复 (查看拉取请求)
删除重复字段。

0.1.1

错误修复 (查看拉取请求)
删除重复字段。

0.1.0

增强 (查看拉取请求)
初始测试版发布

« CyberArk 特权访问安全 Cybereason »