Recopila registros de Cisco Secure Email and Web
Compatible con:
Google SecOps
SIEM
En este documento, se explica cómo transferir registros de Cisco Secure Email and Web (antes IronPort) a Google Security Operations con el agente de Bindplane.
Cisco Secure Email and Web es una solución de puerta de enlace de seguridad que protege a las organizaciones de las amenazas transmitidas por correo electrónico, como spam, phishing, software malicioso y pérdida de datos. Proporciona protección contra amenazas avanzadas, filtrado de contenido, encriptación y defensa de URL para el tráfico web y de correo electrónico entrante y saliente. La puerta de enlace ejecuta Cisco AsyncOS y admite el registro centralizado con varios métodos de recuperación, incluido el envío de syslog.
Antes de comenzar
Asegúrate de cumplir con los siguientes requisitos previos:
- Una instancia de Google SecOps
- Windows Server 2016 o versiones posteriores, o host de Linux con
systemd - Si se ejecuta detrás de un proxy, asegúrate de que los puertos de firewall estén abiertos según los requisitos del agente de Bindplane.
- Acceso con privilegios a la consola de administración de Cisco Secure Email and Web (rol de administrador)
- Conectividad de red entre el dispositivo Cisco Secure Email and Web y el host del agente de Bindplane en el puerto syslog configurado
Obtén el archivo de autenticación de transferencia de Google SecOps
- Accede a la consola de Google SecOps.
- Ve a Configuración de SIEM > Agentes de recopilación.
- Descarga el archivo de autenticación de transferencia.
Guarda el archivo de forma segura en el sistema en el que se instalará Bindplane.
Obtén el ID de cliente de Google SecOps
- Accede a la consola de Google SecOps.
- Ve a Configuración de SIEM > Perfil.
Copia y guarda el ID de cliente de la sección Detalles de la organización.
Instala el agente de BindPlane
Instala el agente de Bindplane en tu sistema operativo Windows o Linux según las siguientes instrucciones.
Instalación en Windows
- Abre el símbolo del sistema o PowerShell como administrador.
Ejecuta el comando siguiente:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quietEspera a que se complete la instalación.
Ejecuta el siguiente comando para verificar la instalación:
sc query observiq-otel-collectorEl servicio debe mostrarse como RUNNING.
Instalación en Linux
- Abre una terminal con privilegios de administrador o sudo.
Ejecuta el comando siguiente:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.shEspera a que se complete la instalación.
Ejecuta el siguiente comando para verificar la instalación:
sudo systemctl status observiq-otel-collectorEl servicio debería mostrarse como activo (en ejecución).
Recursos de instalación adicionales
Para obtener más opciones de instalación y solución de problemas, consulta la guía de instalación del agente de Bindplane.
Configura el agente de BindPlane para transferir registros de Syslog y enviarlos a Google SecOps
Ubica el archivo de configuración
Linux:
sudo nano /etc/bindplane-agent/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
Edita el archivo de configuración
Reemplaza todo el contenido de
config.yamlpor la siguiente configuración:receivers: tcplog: listen_address: "0.0.0.0:514" exporters: chronicle/cisco_ironport: compression: gzip creds_file_path: '/path/to/ingestion-authentication-file.json' customer_id: 'YOUR_CUSTOMER_ID' endpoint: malachiteingestion-pa.googleapis.com log_type: 'CISCO_IRONPORT' raw_log_field: body ingestion_labels: service: pipelines: logs/cisco_ironport_to_chronicle: receivers: - tcplog exporters: - chronicle/cisco_ironport
Parámetros de configuración
Reemplaza los marcadores de posición que se indican más abajo:
Configuración del receptor:
tcplog: Usatcplogpara el registro del sistema TCP (recomendado para Cisco Secure Email and Web) oudplogpara el registro del sistema UDP.0.0.0.0: Dirección IP en la que se realizará la escucha (0.0.0.0para escuchar en todas las interfaces)514: Número de puerto en el que se debe escuchar (puerto syslog estándar)
Configuración del exportador:
creds_file_path: Ruta de acceso completa al archivo de autenticación de la transferencia:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
YOUR_CUSTOMER_ID: ID de cliente de la sección Obtén el ID de clienteendpoint: URL del extremo regional:- EE.UU.:
malachiteingestion-pa.googleapis.com - Europa:
europe-malachiteingestion-pa.googleapis.com - Asia:
asia-southeast1-malachiteingestion-pa.googleapis.com - Consulta Extremos regionales para obtener la lista completa.
- EE.UU.:
log_type: Tipo de registro tal como aparece en Chronicle (CISCO_IRONPORT)
Guarda el archivo de configuración
- Después de editarlo, guarda el archivo:
- Linux: Presiona
Ctrl+O, luegoEntery, por último,Ctrl+X. - Windows: Haz clic en Archivo > Guardar
- Linux: Presiona
Reinicia el agente de Bindplane para aplicar los cambios
Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:
sudo systemctl restart observiq-otel-collectorVerifica que el servicio esté en ejecución:
sudo systemctl status observiq-otel-collectorRevisa los registros en busca de errores:
sudo journalctl -u observiq-otel-collector -f
Para reiniciar el agente de Bindplane en Windows, elige una de las siguientes opciones:
Símbolo del sistema o PowerShell como administrador:
net stop observiq-otel-collector && net start observiq-otel-collectorConsola de Services:
- Presiona
Win+R, escribeservices.mscy presiona Intro. - Busca observIQ OpenTelemetry Collector.
- Haz clic con el botón derecho y selecciona Reiniciar.
Verifica que el servicio esté en ejecución:
sc query observiq-otel-collectorRevisa los registros en busca de errores:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
- Presiona
Configura el reenvío de syslog de Cisco Secure Email and Web
- Accede a la consola de administración de Cisco Secure Email and Web.
- Ve a Administración del sistema > Suscripciones de registros.
- Haz clic en Agregar suscripción al registro.
- Proporciona los siguientes detalles de configuración:
- Log Type: Selecciona el tipo de registro que se reenviará (por ejemplo, Text Mail Logs).
- Nombre del registro: Ingresa un nombre descriptivo (por ejemplo,
secops-mail-logs). - Nivel de registro: Selecciona Informativo.
- Método de recuperación: Selecciona Envío de Syslog.
- Nombre de host: Ingresa la dirección IP o el nombre de host del host del agente de Bindplane.
- Puerto: Ingresa
514(o el puerto configurado en el agente de BindPlane). - Protocolo: Selecciona TCP.
Nota: Selecciona el mismo protocolo configurado en el receptor del agente de Bindplane (
tcplogpara TCP,udplogpara UDP). - Facility: Selecciona LOG_MAIL para los registros relacionados con el correo o LOG_LOCAL0 a LOG_LOCAL7 para otros tipos de registros.
- Haz clic en Enviar.
- Repite los pasos del 3 al 5 para cada tipo de registro que desees reenviar. Los tipos de registros disponibles incluyen los siguientes:
- Registros de correo electrónico de texto
- Registros del sistema
- Registros de antispam
- Registros de antivirus
- Registros del motor de AMP
- Registros del filtro de contenido
- Registros de seguimiento de mensajes
- Registros de depuración de LDAP
- Registros de listas de entidades seguras y bloqueadas
- Informa registros
- Registros del actualizador Nota: Los registros de autenticación y los registros de rebote no admiten el método de recuperación de envío de Syslog.
- Haz clic en Confirmar cambios para aplicar la configuración.
- Para verificar que se envíen los registros, consulta los registros del agente de Bindplane.
Para obtener más información, consulta la guía del usuario de Cisco Secure Email Gateway.
Tabla de asignación de UDM
| Campo de registro | Asignación de UDM | Lógica |
|---|---|---|
about |
about |
Combinado |
about1 |
about |
Combinado |
deviceNtDomain |
about.administrative_domain |
Se cambió el nombre o se asignó |
deviceExternalId |
about.asset.asset_id |
Asignado directamente |
device_product |
about.asset.asset_id |
Asignado directamente |
device_vendor |
about.asset.asset_id |
Asignado directamente |
fileHash |
about.file.full_path |
Asignado directamente |
filePath |
about.file.full_path |
Se cambió el nombre o se asignó |
file_name |
about.file.full_path |
Asignado directamente |
AMP.fileHash |
about.file.sha256 |
Asignado directamente |
_hash |
about.file.sha256 |
Se cambió el nombre o se asignó |
fileHash |
about.file.sha256 |
Se cambió el nombre o se asignó |
fsize |
about.file.size |
Se cambió el nombre o se asignó |
dvchost |
about.hostname |
Se cambió el nombre o se asignó |
ips |
about.ip |
Combinado |
dvcmac |
about.mac |
Combinado |
mac_address |
about.mac |
Combinado |
deviceTranslatedAddress |
about.nat_ip |
Combinado |
Emne |
about.process.command_line |
Asignado directamente |
Path |
about.process.command_line |
Asignado directamente |
Subject |
about.process.command_line |
Asignado directamente |
deviceProcessName |
about.process.command_line |
Se cambió el nombre o se asignó |
dvcpid |
about.process.pid |
Se cambió el nombre o se asignó |
permissions |
about.resource.attribute.permissions |
Combinado |
ESAURLDetails |
about.url |
Asignado directamente |
_field |
additional.fields |
Combinado |
additional_cfp1 |
additional.fields |
Combinado |
additional_cfp2 |
additional.fields |
Combinado |
additional_cfp3 |
additional.fields |
Combinado |
additional_cfp4 |
additional.fields |
Combinado |
additional_cn1 |
additional.fields |
Combinado |
additional_cn2 |
additional.fields |
Combinado |
additional_cn3 |
additional.fields |
Combinado |
additional_cs1 |
additional.fields |
Combinado |
additional_cs2 |
additional.fields |
Combinado |
additional_cs3 |
additional.fields |
Combinado |
additional_cs4 |
additional.fields |
Combinado |
additional_cs5 |
additional.fields |
Combinado |
additional_cs6 |
additional.fields |
Combinado |
additional_cs7 |
additional.fields |
Combinado |
additional_devicePayloadId |
additional.fields |
Combinado |
additional_eventId |
additional.fields |
Combinado |
additional_flexString1 |
additional.fields |
Combinado |
additional_fname |
additional.fields |
Combinado |
cs5_label |
additional.fields |
Combinado |
cs_uri_label |
additional.fields |
Combinado |
internal_id_label |
additional.fields |
Combinado |
s_hierarchy_label |
additional.fields |
Combinado |
sc_bytes_label |
additional.fields |
Combinado |
intermediary |
intermediary |
Combinado |
ESAHeloDomain |
intermediary.administrative_domain |
Asignado directamente |
syslog_program |
intermediary.application |
Asignado directamente |
hostname |
intermediary.asset.hostname |
Asignado directamente |
column3 |
intermediary.hostname |
Asignado directamente |
hostname |
intermediary.hostname |
Asignado directamente |
s_computerName |
intermediary.hostname |
Asignado directamente |
intermediary_ip |
intermediary.ip |
Combinado |
msg |
metadata.description |
Se cambió el nombre o se asignó |
msg2 |
metadata.description |
Asignado directamente |
device_event_class_id |
metadata.product_event_type |
Asignado directamente |
event_name |
metadata.product_event_type |
Asignado directamente |
product_event |
metadata.product_event_type |
Asignado directamente |
externalId |
metadata.product_log_id |
Asignado directamente |
device_product |
metadata.product_name |
Asignado directamente |
device_product_name |
metadata.product_name |
Asignado directamente |
device_version |
metadata.product_version |
Asignado directamente |
device_vendor |
metadata.vendor_name |
Se cambió el nombre o se asignó |
network |
network |
Se cambió el nombre o se asignó |
app_protocol_output |
network.application_protocol |
Asignado directamente |
from |
network.email.from |
Asignado directamente |
mailfrom.sender |
network.email.from |
Asignado directamente |
message_id |
network.email.mail_id |
Asignado directamente |
subject |
network.email.subject |
Combinado |
to |
network.email.to |
Combinado |
cs_method |
network.http.method |
Asignado directamente |
http_method |
network.http.method |
Asignado directamente |
requestMethod |
network.http.method |
Se cambió el nombre o se asignó |
cs_user_agent |
network.http.parsed_user_agent |
Se cambió el nombre o se asignó |
http_response_code |
network.http.response_code |
Asignado directamente |
response_code |
network.http.response_code |
Asignado directamente |
cs_user_agent |
network.http.user_agent |
Asignado directamente |
requestClientApplication |
network.http.user_agent |
Se cambió el nombre o se asignó |
useragent |
network.http.user_agent |
Asignado directamente |
ip_protocol_out |
network.ip_protocol |
Asignado directamente |
in |
network.received_bytes |
Se cambió el nombre o se asignó |
received_bytes |
network.received_bytes |
Asignado directamente |
out |
network.sent_bytes |
Se cambió el nombre o se asignó |
total_bytes |
network.sent_bytes |
Se cambió el nombre o se asignó |
ESATLSInCipher |
network.tls.cipher |
Asignado directamente |
sntdom |
principal.administrative_domain |
Se cambió el nombre o se asignó |
sourceServiceName |
principal.application |
Se cambió el nombre o se asignó |
principal_host |
principal.asset.hostname |
Asignado directamente |
c_ip |
principal.asset.ip |
Combinado |
cs_x_forwarded_for |
principal.asset.ip |
Combinado |
source_ip |
principal.asset.ip |
Combinado |
src_ip |
principal.asset.ip |
Combinado |
Group_name |
principal.group.group_display_name |
Asignado directamente |
Gruppenavn |
principal.group.group_display_name |
Asignado directamente |
Device_name |
principal.hostname |
Asignado directamente |
Enhetsnavn |
principal.hostname |
Asignado directamente |
principal_host |
principal.hostname |
Asignado directamente |
shost |
principal.hostname |
Se cambió el nombre o se asignó |
c_ip |
principal.ip |
Combinado |
cs_x_forwarded_for |
principal.ip |
Combinado |
principal_ip |
principal.ip |
Combinado |
shost |
principal.ip |
Combinado |
source_ip |
principal.ip |
Combinado |
src_ip |
principal.ip |
Combinado |
mac |
principal.mac |
Combinado |
sourceTranslatedAddress |
principal.nat_ip |
Combinado |
sourceTranslatedPort |
principal.nat_port |
Se cambió el nombre o se asignó |
c_port |
principal.port |
Asignado directamente |
spt |
principal.port |
Se cambió el nombre o se asignó |
src_port |
principal.port |
Asignado directamente |
sproc |
principal.process.command_line |
Se cambió el nombre o se asignó |
processName |
principal.process.file.full_path |
Asignado directamente |
spid |
principal.process.pid |
Se cambió el nombre o se asignó |
principalUrl |
principal.url |
Asignado directamente |
principal_role |
principal.user.attribute.roles |
Combinado |
email |
principal.user.email_addresses |
Combinado |
helo.sender |
principal.user.email_addresses |
Combinado |
suser |
principal.user.user_display_name |
Asignado directamente |
authenticated_user |
principal.user.userid |
Asignado directamente |
cs_username |
principal.user.userid |
Asignado directamente |
suid |
principal.user.userid |
Se cambió el nombre o se asignó |
sec_result |
security_result |
Combinado |
security_result |
security_result |
Combinado |
_action |
security_result.action |
Combinado |
tempaction |
security_result.action |
Combinado |
Action_Taken |
security_result.action_details |
Asignado directamente |
act |
security_result.action_details |
Asignado directamente |
cat |
security_result.category_details |
Combinado |
Scan_Type |
security_result.description |
Asignado directamente |
Type |
security_result.description |
Asignado directamente |
msg_data_2 |
security_result.description |
Asignado directamente |
field1 |
security_result.detection_fields |
Combinado |
infection_channel_label |
security_result.detection_fields |
Combinado |
operasjon_label |
security_result.detection_fields |
Combinado |
operation_label |
security_result.detection_fields |
Combinado |
permission_label |
security_result.detection_fields |
Combinado |
spyware_Grayware_Type_label |
security_result.detection_fields |
Combinado |
threat_probability_label |
security_result.detection_fields |
Combinado |
tillatelse_label |
security_result.detection_fields |
Combinado |
mwProfile |
security_result.rule_name |
Asignado directamente |
Result |
security_result.summary |
Asignado directamente |
appcategory |
security_result.summary |
Asignado directamente |
reason |
security_result.summary |
Se cambió el nombre o se asignó |
Spyware |
security_result.threat_name |
Asignado directamente |
Unknown_Threat |
security_result.threat_name |
Asignado directamente |
Virus_Malware_Name |
security_result.threat_name |
Asignado directamente |
oldFilePath |
src.file.full_path |
Se cambió el nombre o se asignó |
oldFileSize |
src.file.size |
Se cambió el nombre o se asignó |
old_permissions |
src.resource.attribute.permissions |
Combinado |
target |
target |
Se cambió el nombre o se asignó |
dntdom |
target.administrative_domain |
Se cambió el nombre o se asignó |
destinationServiceName |
target.application |
Se cambió el nombre o se asignó |
host |
target.asset.hostname |
Asignado directamente |
dst_ip1 |
target.asset.ip |
Combinado |
ip |
target.asset.ip |
Combinado |
target_ip |
target.asset.ip |
Combinado |
host |
target.hostname |
Asignado directamente |
s_computerName |
target.hostname |
Asignado directamente |
s_hostname |
target.hostname |
Asignado directamente |
target_host |
target.hostname |
Asignado directamente |
temp_dhost |
target.hostname |
Asignado directamente |
IPv6_Address |
target.ip |
Combinado |
dst_ip |
target.ip |
Combinado |
dst_ip1 |
target.ip |
Combinado |
ip |
target.ip |
Combinado |
target_ip |
target.ip |
Combinado |
mac_address |
target.mac |
Combinado |
destination_translated_address |
target.nat_ip |
Combinado |
destinationTranslatedPort |
target.nat_port |
Se cambió el nombre o se asignó |
dpt |
target.port |
Se cambió el nombre o se asignó |
dst_port |
target.port |
Asignado directamente |
s_port |
target.port |
Asignado directamente |
dproc |
target.process.command_line |
Se cambió el nombre o se asignó |
File_name |
target.process.file.full_path |
Asignado directamente |
Infected_Resource |
target.process.file.full_path |
Asignado directamente |
Object |
target.process.file.full_path |
Asignado directamente |
Objekt |
target.process.file.full_path |
Asignado directamente |
dpid |
target.process.pid |
Se cambió el nombre o se asignó |
resource_Type_label |
target.resource.attribute.labels |
Combinado |
request |
target.url |
Asignado directamente |
target_url |
target.url |
Asignado directamente |
url1 |
target.url |
Asignado directamente |
url2 |
target.url |
Asignado directamente |
target_role |
target.user.attribute.roles |
Combinado |
CustomerName |
target.user.user_display_name |
Asignado directamente |
temp_duser |
target.user.user_display_name |
Asignado directamente |
Bruker |
target.user.userid |
Asignado directamente |
User_value |
target.user.userid |
Asignado directamente |
target_user |
target.user.userid |
Asignado directamente |
temp_duid |
target.user.userid |
Asignado directamente |
| N/A | about |
Constante: about |
| N/A | about.ip |
Constante: ips |
| N/A | about.mac |
Constante: mac_address |
| N/A | about.nat_ip |
Constante: deviceTranslatedAddress |
| N/A | about.resource.attribute.permissions |
Constante: permissions |
| N/A | additional.fields |
Constante: additional_eventId |
| N/A | extensions.auth.type |
Constante: AUTHTYPE_UNSPECIFIED |
| N/A | intermediary |
Constante: intermediary |
| N/A | intermediary.ip |
Constante: intermediary_ip |
| N/A | metadata.event_type |
Constante: PROCESS_UNCATEGORIZED |
| N/A | metadata.product_name |
Constante: Cisco Ironport |
| N/A | metadata.vendor_name |
Constante: Cisco |
| N/A | network.application_protocol |
Constante: SMTP |
| N/A | network.direction |
Constante: INBOUND |
| N/A | network.email.subject |
Constante: subject |
| N/A | network.email.to |
Constante: to |
| N/A | network.received_bytes |
Constante: uinteger |
| N/A | principal.asset.ip |
Constante: src_ip |
| N/A | principal.ip |
Constante: principal_ip |
| N/A | principal.mac |
Constante: mac |
| N/A | principal.nat_ip |
Constante: sourceTranslatedAddress |
| N/A | principal.user.attribute.roles |
Constante: principal_role |
| N/A | principal.user.email_addresses |
Constante: email |
| N/A | security_result |
Constante: security_result |
| N/A | security_result.action |
Constante: _action |
| N/A | security_result.category_details |
Constante: cat |
| N/A | security_result.detection_fields |
Constante: field1 |
| N/A | security_result.severity |
Constante: LOW |
| N/A | src.resource.attribute.permissions |
Constante: old_permissions |
| N/A | target.asset.ip |
Constante: dst_ip1 |
| N/A | target.ip |
Constante: dst_ip |
| N/A | target.mac |
Constante: mac_address |
| N/A | target.nat_ip |
Constante: destination_translated_address |
| N/A | target.resource.attribute.labels |
Constante: resource_Type_label |
| N/A | target.user.attribute.roles |
Constante: target_role |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.