Collecter les journaux Cisco Secure Email et Web
Compatible avec :
Google SecOps
SIEM
Ce document explique comment ingérer les journaux Cisco Secure Email and Web (anciennement IronPort) dans Google Security Operations à l'aide de l'agent Bindplane.
Cisco Secure Email and Web est une solution de passerelle de sécurité qui protège les organisations contre les menaces transmises par e-mail, telles que le spam, l'hameçonnage, les logiciels malveillants et la perte de données. Il offre une protection avancée contre les menaces, un filtrage du contenu, un chiffrement et une protection des URL pour le trafic Web et les e-mails entrants et sortants. La passerelle exécute Cisco AsyncOS et prend en charge la journalisation centralisée avec plusieurs méthodes de récupération, y compris l'envoi syslog.
Avant de commencer
Assurez-vous de remplir les conditions suivantes :
- Une instance Google SecOps
- Windows Server 2016 ou version ultérieure, ou hôte Linux avec
systemd - Si vous exécutez l'agent derrière un proxy, assurez-vous que les ports de pare-feu sont ouverts conformément aux exigences de l'agent Bindplane.
- Accès privilégié à la console de gestion Cisco Secure Email and Web (rôle d'administrateur)
- Connectivité réseau entre l'appliance Cisco Secure Email and Web et l'hôte de l'agent Bindplane sur le port syslog configuré
Obtenir le fichier d'authentification d'ingestion Google SecOps
- Connectez-vous à la console Google SecOps.
- Accédez à Paramètres du SIEM > Agents de collecte.
- Téléchargez le fichier d'authentification d'ingestion.
Enregistrez le fichier de manière sécurisée sur le système sur lequel Bindplane sera installé.
Obtenir l'ID client Google SecOps
- Connectez-vous à la console Google SecOps.
- Accédez à Paramètres SIEM> Profil.
Copiez et enregistrez le numéro client de la section Informations sur l'organisation.
Installer l'agent Bindplane
Installez l'agent Bindplane sur votre système d'exploitation Windows ou Linux en suivant les instructions ci-dessous.
Installation de fenêtres
- Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.
Exécutez la commande suivante :
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quietAttendez la fin de l'installation.
Vérifiez l'installation en exécutant la commande suivante :
sc query observiq-otel-collectorLe service doit être indiqué comme RUNNING (EN COURS D'EXÉCUTION).
Installation de Linux
- Ouvrez un terminal avec les droits root ou sudo.
Exécutez la commande suivante :
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.shAttendez la fin de l'installation.
Vérifiez l'installation en exécutant la commande suivante :
sudo systemctl status observiq-otel-collectorLe service doit être indiqué comme actif (en cours d'exécution).
Ressources d'installation supplémentaires
Pour obtenir d'autres options d'installation et de dépannage, consultez le guide d'installation de l'agent Bindplane.
Configurer l'agent Bindplane pour ingérer les journaux syslog et les envoyer à Google SecOps
Localiser le fichier de configuration
Linux :
sudo nano /etc/bindplane-agent/config.yamlWindows :
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
Modifiez le fichier de configuration
Remplacez l'intégralité du contenu de
config.yamlpar la configuration suivante :receivers: tcplog: listen_address: "0.0.0.0:514" exporters: chronicle/cisco_ironport: compression: gzip creds_file_path: '/path/to/ingestion-authentication-file.json' customer_id: 'YOUR_CUSTOMER_ID' endpoint: malachiteingestion-pa.googleapis.com log_type: 'CISCO_IRONPORT' raw_log_field: body ingestion_labels: service: pipelines: logs/cisco_ironport_to_chronicle: receivers: - tcplog exporters: - chronicle/cisco_ironport
Paramètres de configuration
Remplacez les espaces réservés suivants :
Configuration du récepteur :
tcplog: utiliseztcplogpour le syslog TCP (recommandé pour Cisco Secure Email and Web) ouudplogpour le syslog UDP.0.0.0.0: adresse IP à écouter (0.0.0.0pour écouter sur toutes les interfaces)514: numéro de port à écouter (port syslog standard)
Configuration de l'exportateur :
creds_file_path: chemin d'accès complet au fichier d'authentification de l'ingestion :- Linux :
/etc/bindplane-agent/ingestion-auth.json - Windows :
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux :
YOUR_CUSTOMER_ID: ID client de la section "Obtenir l'ID client"endpoint: URL du point de terminaison régional :- États-Unis :
malachiteingestion-pa.googleapis.com - Europe :
europe-malachiteingestion-pa.googleapis.com - Asie :
asia-southeast1-malachiteingestion-pa.googleapis.com - Pour obtenir la liste complète, consultez Points de terminaison régionaux.
- États-Unis :
log_type: type de journal tel qu'il apparaît dans Chronicle (CISCO_IRONPORT)
Enregistrez le fichier de configuration.
- Après avoir modifié le fichier, enregistrez-le :
- Linux : appuyez sur
Ctrl+O, puis surEnter, puis surCtrl+X. - Windows : cliquez sur Fichier > Enregistrer.
- Linux : appuyez sur
Redémarrez l'agent Bindplane pour appliquer les modifications.
Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :
sudo systemctl restart observiq-otel-collectorVérifiez que le service est en cours d'exécution :
sudo systemctl status observiq-otel-collectorRecherchez les erreurs dans les journaux :
sudo journalctl -u observiq-otel-collector -f
Pour redémarrer l'agent Bindplane dans Windows, choisissez l'une des options suivantes :
Invite de commandes ou PowerShell en tant qu'administrateur :
net stop observiq-otel-collector && net start observiq-otel-collectorConsole Services :
- Appuyez sur
Win+R, saisissezservices.msc, puis appuyez sur Entrée. - Localisez observIQ OpenTelemetry Collector.
- Effectuez un clic droit, puis sélectionnez Redémarrer.
Vérifiez que le service est en cours d'exécution :
sc query observiq-otel-collectorRecherchez les erreurs dans les journaux :
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
- Appuyez sur
Configurer le transfert syslog de Cisco Secure Email et Web
- Connectez-vous à la console de gestion Cisco Secure Email and Web.
- Accédez à Administration du système > Abonnements aux journaux.
- Cliquez sur Ajouter un abonnement au journal.
- Fournissez les informations de configuration suivantes :
- Type de journal : sélectionnez le type de journal à transférer (par exemple, Journaux de messagerie texte).
- Nom du journal : saisissez un nom descriptif (par exemple,
secops-mail-logs). - Niveau de journalisation : sélectionnez Informationnel.
- Méthode de récupération : sélectionnez Syslog Push.
- Nom d'hôte : saisissez l'adresse IP ou le nom d'hôte de l'hôte de l'agent Bindplane.
- Port : saisissez
514(ou le port configuré dans l'agent Bindplane). - Protocole : sélectionnez TCP.
Remarque : Sélectionnez le même protocole que celui configuré dans le récepteur de l'agent Bindplane (
tcplogpour TCP,udplogpour UDP). - Facility : sélectionnez LOG_MAIL pour les journaux liés au courrier ou LOG_LOCAL0 à LOG_LOCAL7 pour les autres types de journaux.
- Cliquez sur Envoyer.
- Répétez les étapes 3 à 5 pour chaque type de journal que vous souhaitez transférer. Voici les types de journaux disponibles :
- Journaux des SMS
- Journaux système
- Journaux anti-spam
- Journaux antivirus
- Journaux du moteur AMP
- Journaux du filtre de contenu
- Journaux de suivi des messages
- Journaux de débogage LDAP
- Journaux des listes d'autorisation et de blocage
- Créer des rapports sur les journaux
- Journaux du programme de mise à jour Remarque : Les journaux d'authentification et de rebond ne sont pas compatibles avec la méthode de récupération Syslog Push.
- Cliquez sur Valider les modifications pour appliquer la configuration.
- Vérifiez que les journaux sont envoyés en consultant les journaux de l'agent Bindplane.
Pour en savoir plus, consultez le guide de l'utilisateur de Cisco Secure Email Gateway.
Table de mappage UDM
| Champ de journal | Mappage UDM | Logique |
|---|---|---|
about |
about |
Fusionné |
about1 |
about |
Fusionné |
deviceNtDomain |
about.administrative_domain |
Renommé/Mappé |
deviceExternalId |
about.asset.asset_id |
Mappé directement |
device_product |
about.asset.asset_id |
Mappé directement |
device_vendor |
about.asset.asset_id |
Mappé directement |
fileHash |
about.file.full_path |
Mappé directement |
filePath |
about.file.full_path |
Renommé/Mappé |
file_name |
about.file.full_path |
Mappé directement |
AMP.fileHash |
about.file.sha256 |
Mappé directement |
_hash |
about.file.sha256 |
Renommé/Mappé |
fileHash |
about.file.sha256 |
Renommé/Mappé |
fsize |
about.file.size |
Renommé/Mappé |
dvchost |
about.hostname |
Renommé/Mappé |
ips |
about.ip |
Fusionné |
dvcmac |
about.mac |
Fusionné |
mac_address |
about.mac |
Fusionné |
deviceTranslatedAddress |
about.nat_ip |
Fusionné |
Emne |
about.process.command_line |
Mappé directement |
Path |
about.process.command_line |
Mappé directement |
Subject |
about.process.command_line |
Mappé directement |
deviceProcessName |
about.process.command_line |
Renommé/Mappé |
dvcpid |
about.process.pid |
Renommé/Mappé |
permissions |
about.resource.attribute.permissions |
Fusionné |
ESAURLDetails |
about.url |
Mappé directement |
_field |
additional.fields |
Fusionné |
additional_cfp1 |
additional.fields |
Fusionné |
additional_cfp2 |
additional.fields |
Fusionné |
additional_cfp3 |
additional.fields |
Fusionné |
additional_cfp4 |
additional.fields |
Fusionné |
additional_cn1 |
additional.fields |
Fusionné |
additional_cn2 |
additional.fields |
Fusionné |
additional_cn3 |
additional.fields |
Fusionné |
additional_cs1 |
additional.fields |
Fusionné |
additional_cs2 |
additional.fields |
Fusionné |
additional_cs3 |
additional.fields |
Fusionné |
additional_cs4 |
additional.fields |
Fusionné |
additional_cs5 |
additional.fields |
Fusionné |
additional_cs6 |
additional.fields |
Fusionné |
additional_cs7 |
additional.fields |
Fusionné |
additional_devicePayloadId |
additional.fields |
Fusionné |
additional_eventId |
additional.fields |
Fusionné |
additional_flexString1 |
additional.fields |
Fusionné |
additional_fname |
additional.fields |
Fusionné |
cs5_label |
additional.fields |
Fusionné |
cs_uri_label |
additional.fields |
Fusionné |
internal_id_label |
additional.fields |
Fusionné |
s_hierarchy_label |
additional.fields |
Fusionné |
sc_bytes_label |
additional.fields |
Fusionné |
intermediary |
intermediary |
Fusionné |
ESAHeloDomain |
intermediary.administrative_domain |
Mappé directement |
syslog_program |
intermediary.application |
Mappé directement |
hostname |
intermediary.asset.hostname |
Mappé directement |
column3 |
intermediary.hostname |
Mappé directement |
hostname |
intermediary.hostname |
Mappé directement |
s_computerName |
intermediary.hostname |
Mappé directement |
intermediary_ip |
intermediary.ip |
Fusionné |
msg |
metadata.description |
Renommé/Mappé |
msg2 |
metadata.description |
Mappé directement |
device_event_class_id |
metadata.product_event_type |
Mappé directement |
event_name |
metadata.product_event_type |
Mappé directement |
product_event |
metadata.product_event_type |
Mappé directement |
externalId |
metadata.product_log_id |
Mappé directement |
device_product |
metadata.product_name |
Mappé directement |
device_product_name |
metadata.product_name |
Mappé directement |
device_version |
metadata.product_version |
Mappé directement |
device_vendor |
metadata.vendor_name |
Renommé/Mappé |
network |
network |
Renommé/Mappé |
app_protocol_output |
network.application_protocol |
Mappé directement |
from |
network.email.from |
Mappé directement |
mailfrom.sender |
network.email.from |
Mappé directement |
message_id |
network.email.mail_id |
Mappé directement |
subject |
network.email.subject |
Fusionné |
to |
network.email.to |
Fusionné |
cs_method |
network.http.method |
Mappé directement |
http_method |
network.http.method |
Mappé directement |
requestMethod |
network.http.method |
Renommé/Mappé |
cs_user_agent |
network.http.parsed_user_agent |
Renommé/Mappé |
http_response_code |
network.http.response_code |
Mappé directement |
response_code |
network.http.response_code |
Mappé directement |
cs_user_agent |
network.http.user_agent |
Mappé directement |
requestClientApplication |
network.http.user_agent |
Renommé/Mappé |
useragent |
network.http.user_agent |
Mappé directement |
ip_protocol_out |
network.ip_protocol |
Mappé directement |
in |
network.received_bytes |
Renommé/Mappé |
received_bytes |
network.received_bytes |
Mappé directement |
out |
network.sent_bytes |
Renommé/Mappé |
total_bytes |
network.sent_bytes |
Renommé/Mappé |
ESATLSInCipher |
network.tls.cipher |
Mappé directement |
sntdom |
principal.administrative_domain |
Renommé/Mappé |
sourceServiceName |
principal.application |
Renommé/Mappé |
principal_host |
principal.asset.hostname |
Mappé directement |
c_ip |
principal.asset.ip |
Fusionné |
cs_x_forwarded_for |
principal.asset.ip |
Fusionné |
source_ip |
principal.asset.ip |
Fusionné |
src_ip |
principal.asset.ip |
Fusionné |
Group_name |
principal.group.group_display_name |
Mappé directement |
Gruppenavn |
principal.group.group_display_name |
Mappé directement |
Device_name |
principal.hostname |
Mappé directement |
Enhetsnavn |
principal.hostname |
Mappé directement |
principal_host |
principal.hostname |
Mappé directement |
shost |
principal.hostname |
Renommé/Mappé |
c_ip |
principal.ip |
Fusionné |
cs_x_forwarded_for |
principal.ip |
Fusionné |
principal_ip |
principal.ip |
Fusionné |
shost |
principal.ip |
Fusionné |
source_ip |
principal.ip |
Fusionné |
src_ip |
principal.ip |
Fusionné |
mac |
principal.mac |
Fusionné |
sourceTranslatedAddress |
principal.nat_ip |
Fusionné |
sourceTranslatedPort |
principal.nat_port |
Renommé/Mappé |
c_port |
principal.port |
Mappé directement |
spt |
principal.port |
Renommé/Mappé |
src_port |
principal.port |
Mappé directement |
sproc |
principal.process.command_line |
Renommé/Mappé |
processName |
principal.process.file.full_path |
Mappé directement |
spid |
principal.process.pid |
Renommé/Mappé |
principalUrl |
principal.url |
Mappé directement |
principal_role |
principal.user.attribute.roles |
Fusionné |
email |
principal.user.email_addresses |
Fusionné |
helo.sender |
principal.user.email_addresses |
Fusionné |
suser |
principal.user.user_display_name |
Mappé directement |
authenticated_user |
principal.user.userid |
Mappé directement |
cs_username |
principal.user.userid |
Mappé directement |
suid |
principal.user.userid |
Renommé/Mappé |
sec_result |
security_result |
Fusionné |
security_result |
security_result |
Fusionné |
_action |
security_result.action |
Fusionné |
tempaction |
security_result.action |
Fusionné |
Action_Taken |
security_result.action_details |
Mappé directement |
act |
security_result.action_details |
Mappé directement |
cat |
security_result.category_details |
Fusionné |
Scan_Type |
security_result.description |
Mappé directement |
Type |
security_result.description |
Mappé directement |
msg_data_2 |
security_result.description |
Mappé directement |
field1 |
security_result.detection_fields |
Fusionné |
infection_channel_label |
security_result.detection_fields |
Fusionné |
operasjon_label |
security_result.detection_fields |
Fusionné |
operation_label |
security_result.detection_fields |
Fusionné |
permission_label |
security_result.detection_fields |
Fusionné |
spyware_Grayware_Type_label |
security_result.detection_fields |
Fusionné |
threat_probability_label |
security_result.detection_fields |
Fusionné |
tillatelse_label |
security_result.detection_fields |
Fusionné |
mwProfile |
security_result.rule_name |
Mappé directement |
Result |
security_result.summary |
Mappé directement |
appcategory |
security_result.summary |
Mappé directement |
reason |
security_result.summary |
Renommé/Mappé |
Spyware |
security_result.threat_name |
Mappé directement |
Unknown_Threat |
security_result.threat_name |
Mappé directement |
Virus_Malware_Name |
security_result.threat_name |
Mappé directement |
oldFilePath |
src.file.full_path |
Renommé/Mappé |
oldFileSize |
src.file.size |
Renommé/Mappé |
old_permissions |
src.resource.attribute.permissions |
Fusionné |
target |
target |
Renommé/Mappé |
dntdom |
target.administrative_domain |
Renommé/Mappé |
destinationServiceName |
target.application |
Renommé/Mappé |
host |
target.asset.hostname |
Mappé directement |
dst_ip1 |
target.asset.ip |
Fusionné |
ip |
target.asset.ip |
Fusionné |
target_ip |
target.asset.ip |
Fusionné |
host |
target.hostname |
Mappé directement |
s_computerName |
target.hostname |
Mappé directement |
s_hostname |
target.hostname |
Mappé directement |
target_host |
target.hostname |
Mappé directement |
temp_dhost |
target.hostname |
Mappé directement |
IPv6_Address |
target.ip |
Fusionné |
dst_ip |
target.ip |
Fusionné |
dst_ip1 |
target.ip |
Fusionné |
ip |
target.ip |
Fusionné |
target_ip |
target.ip |
Fusionné |
mac_address |
target.mac |
Fusionné |
destination_translated_address |
target.nat_ip |
Fusionné |
destinationTranslatedPort |
target.nat_port |
Renommé/Mappé |
dpt |
target.port |
Renommé/Mappé |
dst_port |
target.port |
Mappé directement |
s_port |
target.port |
Mappé directement |
dproc |
target.process.command_line |
Renommé/Mappé |
File_name |
target.process.file.full_path |
Mappé directement |
Infected_Resource |
target.process.file.full_path |
Mappé directement |
Object |
target.process.file.full_path |
Mappé directement |
Objekt |
target.process.file.full_path |
Mappé directement |
dpid |
target.process.pid |
Renommé/Mappé |
resource_Type_label |
target.resource.attribute.labels |
Fusionné |
request |
target.url |
Mappé directement |
target_url |
target.url |
Mappé directement |
url1 |
target.url |
Mappé directement |
url2 |
target.url |
Mappé directement |
target_role |
target.user.attribute.roles |
Fusionné |
CustomerName |
target.user.user_display_name |
Mappé directement |
temp_duser |
target.user.user_display_name |
Mappé directement |
Bruker |
target.user.userid |
Mappé directement |
User_value |
target.user.userid |
Mappé directement |
target_user |
target.user.userid |
Mappé directement |
temp_duid |
target.user.userid |
Mappé directement |
| N/A | about |
Constante : about |
| N/A | about.ip |
Constante : ips |
| N/A | about.mac |
Constante : mac_address |
| N/A | about.nat_ip |
Constante : deviceTranslatedAddress |
| N/A | about.resource.attribute.permissions |
Constante : permissions |
| N/A | additional.fields |
Constante : additional_eventId |
| N/A | extensions.auth.type |
Constante : AUTHTYPE_UNSPECIFIED |
| N/A | intermediary |
Constante : intermediary |
| N/A | intermediary.ip |
Constante : intermediary_ip |
| N/A | metadata.event_type |
Constante : PROCESS_UNCATEGORIZED |
| N/A | metadata.product_name |
Constante : Cisco Ironport |
| N/A | metadata.vendor_name |
Constante : Cisco |
| N/A | network.application_protocol |
Constante : SMTP |
| N/A | network.direction |
Constante : INBOUND |
| N/A | network.email.subject |
Constante : subject |
| N/A | network.email.to |
Constante : to |
| N/A | network.received_bytes |
Constante : uinteger |
| N/A | principal.asset.ip |
Constante : src_ip |
| N/A | principal.ip |
Constante : principal_ip |
| N/A | principal.mac |
Constante : mac |
| N/A | principal.nat_ip |
Constante : sourceTranslatedAddress |
| N/A | principal.user.attribute.roles |
Constante : principal_role |
| N/A | principal.user.email_addresses |
Constante : email |
| N/A | security_result |
Constante : security_result |
| N/A | security_result.action |
Constante : _action |
| N/A | security_result.category_details |
Constante : cat |
| N/A | security_result.detection_fields |
Constante : field1 |
| N/A | security_result.severity |
Constante : LOW |
| N/A | src.resource.attribute.permissions |
Constante : old_permissions |
| N/A | target.asset.ip |
Constante : dst_ip1 |
| N/A | target.ip |
Constante : dst_ip |
| N/A | target.mac |
Constante : mac_address |
| N/A | target.nat_ip |
Constante : destination_translated_address |
| N/A | target.resource.attribute.labels |
Constante : resource_Type_label |
| N/A | target.user.attribute.roles |
Constante : target_role |
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.