Cisco Email Security-Logs erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Cisco Email Security-Logs mit Bindplane in Google Security Operations aufnehmen.

Der Parser extrahiert Felder aus Syslog-, Schlüssel/Wert- und JSON-formatierten Protokollen der Cisco Email Security Appliance. Sie verwendet „grok“ und/oder „kv“, um die Log-Nachricht zu parsen, und ordnet diese Werte dann dem Unified Data Model (UDM) zu. Außerdem werden Standardmetadatenwerte für die Ereignisquelle und den Ereignistyp festgelegt.

Hinweise

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

  • Eine Google SecOps-Instanz
  • Windows Server 2016 oder höher oder Linux-Host mit systemd
  • Wenn Sie den Agent hinter einem Proxy ausführen, müssen die Firewallports gemäß den Anforderungen des Bindplane-Agents geöffnet sein.
  • Privilegierter Zugriff auf die Cisco Email Security Appliance-Weboberfläche

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

  1. Melden Sie sich in der Google SecOps-Konsole an.
  2. Rufen Sie die SIEM-Einstellungen > Collection Agents auf.
  3. Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Google SecOps-Kundennummer abrufen

  1. Melden Sie sich in der Google SecOps-Konsole an.
  2. Rufen Sie die SIEM-Einstellungen > Profile auf.
  3. Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Installieren Sie den Bindplane-Agent auf Ihrem Windows- oder Linux-Betriebssystem gemäß der folgenden Anleitung.

Fenstereinbau

  1. Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

  2. Führen Sie dazu diesen Befehl aus:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

  3. Warten Sie, bis die Installation abgeschlossen ist.

  4. Überprüfen Sie die Installation mit folgendem Befehl:

    sc query observiq-otel-collector

Der Dienst sollte als RUNNING (Wird ausgeführt) angezeigt werden.

Linux-Installation

  1. Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

  2. Führen Sie dazu diesen Befehl aus:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

  3. Warten Sie, bis die Installation abgeschlossen ist.

  4. Überprüfen Sie die Installation mit folgendem Befehl:

    sudo systemctl status observiq-otel-collector

Der Dienst sollte als aktiv (wird ausgeführt) angezeigt werden.

Zusätzliche Installationsressourcen

Weitere Installationsoptionen und Informationen zur Fehlerbehebung finden Sie in der Installationsanleitung für den Bindplane-Agent.

BindPlane-Agent zum Erfassen von Syslog-Daten und Senden an Google SecOps konfigurieren

Konfigurationsdatei suchen

  • Linux:

    sudo nano /etc/bindplane-agent/config.yaml

  • Windows:

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Konfigurationsdatei bearbeiten

  • Ersetzen Sie den gesamten Inhalt von config.yaml durch die folgende Konfiguration:

    receivers:
    tcplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        customer_id: 'YOUR_CUSTOMER_ID'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: 'CISCO_EMAIL_SECURITY'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

Konfigurationsparameter

  • Ersetzen Sie die folgenden Platzhalter:

    • Empfängerkonfiguration:

      • tcplog: Verwenden Sie udplog für UDP-Syslog oder tcplog für TCP-Syslog.
      • 0.0.0.0: IP-Adresse, an der gelauscht werden soll (0.0.0.0, um an allen Schnittstellen zu lauschen)
      • 514: Portnummer, die überwacht werden soll (Standard-Syslog-Port)

    • Exporter-Konfiguration:

      • creds_file_path: Vollständiger Pfad zur Datei für die Authentifizierung bei der Aufnahme:
        • Linux: /etc/bindplane-agent/ingestion-auth.json
        • Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
      • YOUR_CUSTOMER_ID: Kunden-ID aus dem Abschnitt „Kunden-ID abrufen“
      • endpoint: Regionale Endpunkt-URL:
        • USA: malachiteingestion-pa.googleapis.com
        • Europa: europe-malachiteingestion-pa.googleapis.com
        • Asien: asia-southeast1-malachiteingestion-pa.googleapis.com
        • Eine vollständige Liste finden Sie unter Regionale Endpunkte.
      • log_type: Logtyp genau wie in Chronicle (CISCO_EMAIL_SECURITY)

Konfigurationsdatei speichern

  • Speichern Sie die Datei nach der Bearbeitung:
    • Linux: Drücken Sie Ctrl+O, dann Enter und dann Ctrl+X.
    • Windows: Klicken Sie auf Datei > Speichern.

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

  • Führen Sie den folgenden Befehl aus, um den Bindplane-Agent unter Linux neu zu starten:

    sudo systemctl restart observiq-otel-collector

    1. Prüfen Sie, ob der Dienst ausgeführt wird:

        sudo systemctl status observiq-otel-collector

    2. Logs auf Fehler prüfen:

        sudo journalctl -u observiq-otel-collector -f

  • Wählen Sie eine der folgenden Optionen aus, um den Bindplane-Agent unter Windows neu zu starten:

    • Eingabeaufforderung oder PowerShell als Administrator:

      net stop observiq-otel-collector && net start observiq-otel-collector

    • Services-Konsole:

      1. Drücken Sie Win+R, geben Sie services.msc ein und drücken Sie die Eingabetaste.
      2. Suchen Sie nach observIQ OpenTelemetry Collector.

      3. Klicken Sie mit der rechten Maustaste und wählen Sie Neu starten aus.

      4. Prüfen Sie, ob der Dienst ausgeführt wird:

        sc query observiq-otel-collector

      5. Logs auf Fehler prüfen:

        type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Syslog-Weiterleitung auf der Cisco Email Security Appliance konfigurieren

  1. Melden Sie sich in der Weboberfläche der Cisco Email Security Appliance an.
  2. Rufen Sie Systemadministration > Log-Abos auf.
  3. Klicken Sie auf Add Log Subscription (Log-Abo hinzufügen).
  4. Geben Sie die folgenden Konfigurationsdetails an:
    • Protokolltyp: Wählen Sie den Protokolltyp aus, der weitergeleitet werden soll, z. B. Consolidated Event Logs (Konsolidierte Ereignisprotokolle), Mail Logs (E-Mail-Protokolle) oder Text Mail Logs (SMS-Protokolle).
    • Name: Geben Sie einen aussagekräftigen Namen ein, z. B. Google-SecOps-Syslog.
    • Abrufmethode: Wählen Sie Syslog Push aus.
    • Hostname: Geben Sie die IP-Adresse des Bindplane-Agent-Hosts ein.
    • Protokoll: Wählen Sie TCP aus.
    • Port: Geben Sie 514 ein.
    • Einrichtung: Wählen Sie LOG_MAIL (oder die gewünschte Einrichtung) aus.
  5. Klicken Sie auf Senden.
  6. Wiederholen Sie die Schritte 3 bis 5 für jeden weiteren Protokolltyp, den Sie weiterleiten möchten. Empfohlene Protokolltypen:
    • Konsolidierte Ereignisprotokolle
    • Text Mail Logs
    • Spamschutz-Logs
    • Antiviren-Logs
    • AMP Engine-Logs
    • Protokolle für Inhaltsfilter
  7. Klicken Sie auf Commit Changes (Änderungen übernehmen), um die Konfiguration zu übernehmen.
  8. Prüfen Sie die Bindplane-Agent-Logs, um zu sehen, ob Syslog-Nachrichten gesendet werden.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
acl_decision_tag read_only_udm.security_result.detection_fields.value Direkt zugeordnet, wenn nicht leer, „-“ oder „NONE“. Der Schlüssel ist „ACL Decision Tag“.
access_or_decryption_policy_group read_only_udm.security_result.detection_fields.value Direkt zugeordnet, wenn nicht leer, „-“ oder „NONE“. Der Schlüssel ist „AccessOrDecryptionPolicyGroup“.
Handeln read_only_udm.security_result.action_details Direkt zugeordnet.
authenticated_user read_only_udm.principal.user.userid Direkt zugeordnet, wenn nicht leer, „-“ oder „NONE“.
cache_hierarchy_retrieval read_only_udm.security_result.detection_fields.value Direkt zugeordnet, wenn nicht leer, „-“ oder „NONE“. Der Schlüssel ist „Cache Hierarchy Retrieval“.
Chiffre read_only_udm.network.tls.cipher Direkt zugeordnet.
country read_only_udm.principal.location.country_or_region Direkt zugeordnet.
data_security_policy_group read_only_udm.security_result.detection_fields.value Direkt zugeordnet, wenn nicht leer, „-“ oder „NONE“. Der Schlüssel ist „DataSecurityPolicyGroup“.
Beschreibung read_only_udm.metadata.description Direkt für Syslog-Nachrichten zugeordnet. Bei CEF-Nachrichten ist dies die allgemeine Produktbeschreibung. Verschiedene Grok-Muster extrahieren bestimmte Beschreibungen basierend auf dem product_event. Einige Beschreibungen werden mit „gsub“ geändert, um vorangehende/nachfolgende Leerzeichen und Doppelpunkte zu entfernen.
deviceDirection read_only_udm.network.direction Wenn „0“, wird „INBOUND“ zugeordnet. Wenn „1“, wird „OUTBOUND“ zugeordnet. Legt fest, welche TLS-Verschlüsselung und welches Protokoll direkt zugeordnet und welche als Labels zugeordnet werden sollen.
deviceExternalId read_only_udm.principal.asset.asset_id Zugeordnet als „Geräte-ID:“
Domain read_only_udm.target.administrative_domain Direkt aus JSON-Logs zugeordnet.
domain_age read_only_udm.security_result.about.labels.value Direkt zugeordnet. Der Schlüssel ist „YoungestDomainAge“.
duser read_only_udm.target.user.email_addresses, read_only_udm.network.email.to Wenn „;“ enthalten ist, in mehrere E-Mail-Adressen aufteilen und jede den beiden UDM-Feldern zuordnen. Andernfalls ordnen Sie beide UDM-Felder direkt zu, wenn eine gültige E-Mail-Adresse vorhanden ist. Wird auch verwendet, um „network_to“ auszufüllen, wenn es leer ist.
dvc read_only_udm.target.ip Direkt zugeordnet.
entries.collection_time.nanos, entries.collection_time.seconds read_only_udm.metadata.event_timestamp.nanos, read_only_udm.metadata.event_timestamp.seconds Wird zum Erstellen des Ereigniszeitstempels verwendet.
env-from read_only_udm.additional.fields.value.string_value Direkt zugeordnet. Der Schlüssel ist „Env-From“.
ESAAttachmentDetails read_only_udm.security_result.about.file.full_path, read_only_udm.security_result.about.file.sha256 Die Datei wird geparst, um Dateinamen und SHA256-Hashes zu extrahieren. Es können mehrere Dateien und Hashes extrahiert werden.
ESADCID read_only_udm.security_result.about.labels.value Direkt zugeordnet. Der Schlüssel ist „ESADCID“.
ESAFriendlyFrom read_only_udm.principal.user.user_display_name, read_only_udm.network.email.from Geprüft, um den Anzeigenamen und die E-Mail-Adresse zu extrahieren.
ESAHeloDomain read_only_udm.intermediary.administrative_domain Direkt zugeordnet.
ESAHeloIP read_only_udm.intermediary.ip Direkt zugeordnet.
ESAICID read_only_udm.security_result.about.labels.value Direkt zugeordnet. Der Schlüssel ist „ESAICID“.
ESAMailFlowPolicy read_only_udm.security_result.rule_name Direkt zugeordnet.
ESAMID read_only_udm.security_result.about.labels.value Direkt zugeordnet. Der Schlüssel ist „ESAMID“.
ESAReplyTo read_only_udm.network.email.reply_to Direkt zugeordnet, wenn eine gültige E‑Mail-Adresse angegeben wurde. Wird auch zum Ausfüllen von „network_to“ verwendet.
ESASDRDomainAge read_only_udm.security_result.about.labels.value Direkt zugeordnet. Der Schlüssel ist „ESASDRDomainAge“.
ESASenderGroup read_only_udm.principal.group.group_display_name Direkt zugeordnet.
ESAStatus read_only_udm.security_result.about.labels.value Direkt zugeordnet. Der Schlüssel ist „ESAStatus“.
ESATLSInCipher read_only_udm.network.tls.cipher oder read_only_udm.security_result.about.labels.value Wird direkt dem Chiffre zugeordnet, wenn „deviceDirection“ auf „0“ gesetzt ist. Andernfalls wird er als Label mit dem Schlüssel „ESATLSInCipher“ zugeordnet.
ESATLSInProtocol read_only_udm.network.tls.version oder read_only_udm.security_result.about.labels.value Die TLS-Version wird direkt extrahiert und zugeordnet, wenn „deviceDirection“ auf „0“ gesetzt ist. Andernfalls wird sie als Label mit dem Schlüssel „ESATLSInProtocol“ zugeordnet.
ESATLSOutCipher read_only_udm.network.tls.cipher oder read_only_udm.security_result.about.labels.value Wird direkt dem Chiffre zugeordnet, wenn „deviceDirection“ auf „1“ gesetzt ist. Andernfalls wird sie als Label mit dem Schlüssel „ESATLSOutCipher“ zugeordnet.
ESATLSOutProtocol read_only_udm.network.tls.version oder read_only_udm.security_result.about.labels.value Die TLS-Version wird extrahiert und direkt zugeordnet, wenn „deviceDirection“ auf „1“ gesetzt ist. Andernfalls wird sie als Label mit dem Schlüssel „ESATLSOutProtocol“ zugeordnet.
ESAURLDetails read_only_udm.target.url Die URL wird geparst, um URLs zu extrahieren. Nur die erste URL wird zugeordnet, da das Feld nicht wiederholt wird.
external_dlp_policy_group read_only_udm.security_result.detection_fields.value Direkt zugeordnet, wenn nicht leer, „-“ oder „NONE“. Der Schlüssel ist „ExternalDlpPolicyGroup“.
ExternalMsgID read_only_udm.security_result.about.labels.value Direkt zugeordnet nach dem Entfernen von einfachen Anführungszeichen und spitzen Klammern. Der Schlüssel ist „ExternalMsgID“.
von read_only_udm.network.email.from Direkt zugeordnet, wenn eine gültige E‑Mail-Adresse angegeben wurde. Wird auch zum Ausfüllen von „network_from“ verwendet.
host.hostname read_only_udm.principal.hostname oder read_only_udm.intermediary.hostname Wird dem primären Hostnamen zugeordnet, wenn das Hostfeld ungültig ist. Wird auch dem Zwischenhostnamen zugeordnet.
host.ip read_only_udm.principal.ip oder read_only_udm.intermediary.ip Wird der Haupt-IP zugeordnet, wenn das Feld „ip“ in JSON-Logs nicht festgelegt ist. Wird auch der Zwischen-IP zugeordnet.
Hostname read_only_udm.target.hostname Direkt zugeordnet.
http_method read_only_udm.network.http.method Direkt zugeordnet.
http_response_code read_only_udm.network.http.response_code Direkt zugeordnet und in eine Ganzzahl konvertiert.
identity_policy_group read_only_udm.security_result.detection_fields.value Direkt zugeordnet, wenn nicht leer, „-“ oder „NONE“. Der Schlüssel ist „IdentityPolicyGroup“.
ip read_only_udm.principal.ip Direkt zugeordnet. Wird bei Vorhandensein durch „source_ip“ überschrieben.
kv_msg Verschiedene Mit dem kv-Filter geparst. Bei der Vorverarbeitung werden Leerzeichen vor Schlüsseln durch „#“ ersetzt und csLabel-Werte getauscht.
log_type read_only_udm.metadata.log_type Fest codiert auf „CISCO_EMAIL_SECURITY“.
loglevel read_only_udm.security_result.severity, read_only_udm.security_result.action Wird verwendet, um den Schweregrad und die erforderliche Maßnahme zu bestimmen. „Info“, „“, „Debug“ und „Trace“ werden „INFORMATIONAL“ und „ALLOW“ zugeordnet. „Warnung“ entspricht „MITTEL“ und „ZULASSEN“. „High“ wird „HIGH“ und „BLOCK“ zugeordnet. „Kritisch“ und „Warnung“ werden „CRITICAL“ und „BLOCK“ zugeordnet.
mail_id read_only_udm.network.email.mail_id Direkt aus JSON-Logs zugeordnet.
mailto read_only_udm.target.user.email_addresses, read_only_udm.network.email.to Direkt beiden UDM-Feldern zugeordnet, wenn eine gültige E-Mail-Adresse angegeben ist.
MailPolicy read_only_udm.security_result.about.labels.value Direkt zugeordnet. Der Schlüssel ist „MailPolicy“.
Nachricht Verschiedene Wenn möglich, als JSON geparst. Andernfalls wird sie als Syslog-Nachricht verarbeitet.
message_id read_only_udm.network.email.mail_id Direkt zugeordnet. Wird auch zum Füllen von „network_data“ verwendet.
msg read_only_udm.network.email.subject Direkt zugeordnet nach der UTF‑8-Decodierung und dem Entfernen von Wagenrückläufen, Zeilenumbrüchen und zusätzlichen Anführungszeichen. Wird auch zum Füllen von „network_data“ verwendet.
msg1 Verschiedene Mit dem kv-Filter geparst. Wird verwendet, um Hostname, helo, env-from und reply-to zu extrahieren.
outbound_malware_scanning_policy_group read_only_udm.security_result.detection_fields.value Direkt zugeordnet, wenn nicht leer, „-“ oder „NONE“. Der Schlüssel ist „DataSecurityPolicyGroup“.
Port read_only_udm.target.port Direkt zugeordnet und in eine Ganzzahl konvertiert.
principalMail read_only_udm.principal.user.email_addresses Direkt zugeordnet.
principalUrl read_only_udm.principal.url Direkt zugeordnet.
product_event read_only_udm.metadata.product_event_type Direkt zugeordnet. Wird verwendet, um zu bestimmen, welche Grok-Muster angewendet werden sollen. Voranstehende „%“-Zeichen werden entfernt. „amp“ wird durch „SIEM_AMPenginelogs“ ersetzt.
product_version read_only_udm.metadata.product_version Direkt zugeordnet.
Protokoll read_only_udm.network.tls.version Direkt zugeordnet.
received_bytes read_only_udm.network.received_bytes Direkt zugeordnet und in eine vorzeichenlose Ganzzahl konvertiert.
Antwort an: read_only_udm.additional.fields.value.string_value Direkt zugeordnet. Der Schlüssel ist „Reply-To“.
Ruf read_only_udm.security_result.confidence_details Direkt zugeordnet.
request_method_uri read_only_udm.target.url Direkt zugeordnet.
result_code read_only_udm.security_result.detection_fields.value Direkt zugeordnet. Der Schlüssel ist „Result Code“.
routing_policy_group read_only_udm.security_result.detection_fields.value Direkt zugeordnet, wenn nicht leer, „-“ oder „NONE“. Der Schlüssel ist „RoutingPolicyGroup“.
Regel read_only_udm.security_result.detection_fields.value Direkt zugeordnet. Der Schlüssel ist „Matched Condition“ (Abgestimmte Bedingung).
SDRThreatCategory read_only_udm.security_result.threat_name Direkt zugeordnet, wenn nicht leer oder „–“.
SenderCountry read_only_udm.principal.location.country_or_region Direkt zugeordnet.
senderGroup read_only_udm.principal.group.group_display_name Direkt zugeordnet.
security_description read_only_udm.security_result.description Direkt zugeordnet.
security_email read_only_udm.security_result.about.email oder read_only_udm.principal.hostname Wird einer E-Mail-Adresse zugeordnet, wenn es sich um eine gültige E-Mail-Adresse handelt. Andernfalls wird der Hostname nach dem Extrahieren mit „grok“ zugeordnet.
source read_only_udm.network.ip_protocol Wenn „tcp“ enthalten ist, wird „TCP“ zugeordnet.
sourceAddress read_only_udm.principal.ip Direkt zugeordnet.
sourceHostName read_only_udm.principal.administrative_domain Direkt zugeordnet, sofern nicht „unbekannt“.
source_ip read_only_udm.principal.ip Direkt zugeordnet. Überschreibt „ip“, falls vorhanden.
Betreff read_only_udm.network.email.subject Direkt zugeordnet, nachdem nachgestellte Punkte entfernt wurden. Wird auch zum Füllen von „network_data“ verwendet.
suser read_only_udm.principal.user.email_addresses, read_only_udm.network.email.bounce_address Direkt beiden UDM-Feldern zugeordnet, wenn eine gültige E-Mail-Adresse angegeben ist.
target_ip read_only_udm.target.ip Direkt zugeordnet.
bis read_only_udm.network.email.to Direkt zugeordnet, wenn eine gültige E‑Mail-Adresse angegeben wurde. Wird auch zum Ausfüllen von „network_to“ verwendet.
total_bytes read_only_udm.network.sent_bytes Direkt zugeordnet und in eine vorzeichenlose Ganzzahl konvertiert.
trackerHeader read_only_udm.additional.fields.value.string_value Direkt zugeordnet. Der Schlüssel ist „Tracker Header“.
ts, ts1, year read_only_udm.metadata.event_timestamp.seconds Wird zum Erstellen des Ereigniszeitstempels verwendet. „ts1“ und „year“ werden kombiniert, wenn „ts1“ vorhanden ist. Es werden verschiedene Formate unterstützt, mit und ohne Jahresangabe. Wenn das Jahr nicht angegeben ist, wird das aktuelle Jahr verwendet. Fest codiert auf „Cisco“. Fest codiert auf „Cisco Email Security“. Der Standardwert ist „ALLOW“. Wird basierend auf dem Loglevel oder der Beschreibung auf „BLOCK“ gesetzt. Wenn „application_protocol“ vorhanden ist, wird standardmäßig „INBOUND“ verwendet. Wird basierend auf „deviceDirection“ für CEF-Nachrichten festgelegt. Wird anhand einer Kombination aus Feldern wie „network_from“, „network_to“, „target_ip“, „ip“, „description“, „event_type“, „principal_host“, „Hostname“, „user_id“ und „sourceAddress“ ermittelt. Der Standardwert ist „GENERIC_EVENT“. Auf „SMTP“ festgelegt, wenn „application_protocol“ „SMTP“ oder „smtp“ ist oder wenn „target_ip“ und „ip“ vorhanden sind. Auf „AUTHTYPE_UNSPECIFIED“ festgelegt, wenn „login_status“ und „user_id“ in den SSHD-Logs vorhanden sind. Auf „true“ gesetzt, wenn der Log-Level „Critical“ oder „Alert“ ist.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten