Mengumpulkan log Cisco Secure Email and Web
Didukung di:
Google SecOps
SIEM
Dokumen ini menjelaskan cara menyerap log Cisco Secure Email and Web (sebelumnya IronPort) ke Google Security Operations menggunakan agen Bindplane.
Cisco Secure Email and Web adalah solusi gateway keamanan yang melindungi organisasi dari ancaman yang berasal dari email seperti spam, phishing, malware, dan kehilangan data. Solusi ini memberikan perlindungan ancaman tingkat lanjut, pemfilteran konten, enkripsi, dan pertahanan URL untuk traffic email dan web masuk dan keluar. Gateway menjalankan Cisco AsyncOS dan mendukung pencatatan terpusat dengan beberapa metode pengambilan, termasuk push syslog.
Sebelum memulai
Pastikan Anda memiliki prasyarat berikut:
- Instance Google SecOps
- Windows Server 2016 atau yang lebih baru, atau host Linux dengan
systemd - Jika beroperasi dari balik proxy, pastikan port firewall terbuka sesuai dengan persyaratan agen Bindplane
- Akses istimewa ke konsol pengelolaan Cisco Secure Email and Web (peran administrator)
- Konektivitas jaringan antara perangkat Cisco Secure Email and Web dan host agen Bindplane di port syslog yang dikonfigurasi
Mendapatkan File Autentikasi Penyerapan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Agen Pengumpulan.
- Download File Autentikasi Penyerapan.
Simpan file dengan aman di sistem tempat BindPlane akan diinstal.
Mendapatkan ID pelanggan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Profil.
Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.
Menginstal agen Bindplane
Instal agen Bindplane di sistem operasi Windows atau Linux Anda sesuai dengan petunjuk berikut.
Penginstalan Windows
- Buka Command Prompt atau PowerShell sebagai administrator.
Jalankan perintah berikut:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quietTunggu hingga penginstalan selesai.
Verifikasi penginstalan dengan menjalankan:
sc query observiq-otel-collectorLayanan akan ditampilkan sebagai RUNNING.
Penginstalan Linux
- Buka terminal dengan hak istimewa root atau sudo.
Jalankan perintah berikut:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.shTunggu hingga penginstalan selesai.
Verifikasi penginstalan dengan menjalankan:
sudo systemctl status observiq-otel-collectorLayanan akan ditampilkan sebagai aktif (berjalan).
Referensi penginstalan tambahan
Untuk opsi penginstalan dan pemecahan masalah tambahan, lihat Panduan penginstalan agen BindPlane.
Mengonfigurasi agen Bindplane untuk menyerap syslog dan mengirimkannya ke Google SecOps
Cari file konfigurasi
Linux:
sudo nano /etc/bindplane-agent/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
Edit file konfigurasi
Ganti seluruh konten
config.yamldengan konfigurasi berikut:receivers: tcplog: listen_address: "0.0.0.0:514" exporters: chronicle/cisco_ironport: compression: gzip creds_file_path: '/path/to/ingestion-authentication-file.json' customer_id: 'YOUR_CUSTOMER_ID' endpoint: malachiteingestion-pa.googleapis.com log_type: 'CISCO_IRONPORT' raw_log_field: body ingestion_labels: service: pipelines: logs/cisco_ironport_to_chronicle: receivers: - tcplog exporters: - chronicle/cisco_ironport
Parameter konfigurasi
Ganti placeholder berikut:
Konfigurasi penerima:
tcplog: Gunakantcploguntuk syslog TCP (direkomendasikan untuk Cisco Secure Email and Web) atauudploguntuk syslog UDP0.0.0.0: Alamat IP yang akan didengarkan (0.0.0.0untuk mendengarkan semua antarmuka)514: Nomor port yang akan diproses (port syslog standar)
Konfigurasi eksportir:
creds_file_path: Jalur lengkap ke file autentikasi penyerapan:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
YOUR_CUSTOMER_ID: ID Pelanggan dari bagian Dapatkan ID pelangganendpoint: URL endpoint regional:- Amerika Serikat:
malachiteingestion-pa.googleapis.com - Eropa:
europe-malachiteingestion-pa.googleapis.com - Asia:
asia-southeast1-malachiteingestion-pa.googleapis.com - Lihat Endpoint Regional untuk mengetahui daftar lengkapnya
- Amerika Serikat:
log_type: Jenis log persis seperti yang muncul di Chronicle (CISCO_IRONPORT)
Simpan file konfigurasi
- Setelah mengedit, simpan file:
- Linux: Tekan
Ctrl+O, laluEnter, laluCtrl+X - Windows: Klik File > Save
- Linux: Tekan
Mulai ulang agen Bindplane untuk menerapkan perubahan
Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:
sudo systemctl restart observiq-otel-collectorPastikan layanan sedang berjalan:
sudo systemctl status observiq-otel-collectorPeriksa log untuk mengetahui error:
sudo journalctl -u observiq-otel-collector -f
Untuk memulai ulang agen Bindplane di Windows, pilih salah satu opsi berikut:
Command Prompt atau PowerShell sebagai administrator:
net stop observiq-otel-collector && net start observiq-otel-collectorKonsol layanan:
- Tekan
Win+R, ketikservices.msc, lalu tekan Enter. - Temukan observIQ OpenTelemetry Collector.
- Klik kanan, lalu pilih Mulai Ulang.
Pastikan layanan sedang berjalan:
sc query observiq-otel-collectorPeriksa log untuk mengetahui error:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
- Tekan
Mengonfigurasi penerusan syslog Cisco Secure Email and Web
- Login ke konsol pengelolaan Cisco Secure Email and Web.
- Buka Administrasi Sistem > Langganan Log.
- Klik Tambahkan Langganan Log.
- Berikan detail konfigurasi berikut:
- Jenis Log: Pilih jenis log yang akan diteruskan (misalnya, Log Email Teks).
- Nama Log: Masukkan nama deskriptif (misalnya,
secops-mail-logs). - Log Level: Pilih Informational.
- Retrieval Method: Pilih Syslog Push.
- Nama host: Masukkan alamat IP atau nama host dari host agen Bindplane.
- Port: Masukkan
514(atau port yang dikonfigurasi di agen Bindplane). - Protocol: Pilih TCP.
Catatan: Pilih protokol yang sama yang dikonfigurasi di penerima agen BindPlane (
tcploguntuk TCP,udploguntuk UDP). - Fasilitas: Pilih LOG_MAIL untuk log terkait email atau LOG_LOCAL0 hingga LOG_LOCAL7 untuk jenis log lainnya.
- Klik Kirim.
- Ulangi langkah 3-5 untuk setiap jenis log yang ingin Anda teruskan. Jenis log yang tersedia meliputi:
- Log Email Teks
- Log Sistem
- Log Anti-Spam
- Log Anti-Virus
- Log AMP Engine
- Log Filter Konten
- Log Pelacakan Pesan
- Log Debug LDAP
- Log Daftar Aman/Daftar Blokir
- Log Pelaporan
- Log Updater Catatan: Log Autentikasi dan Log Pentalan tidak mendukung metode pengambilan Syslog Push.
- Klik Commit Changes untuk menerapkan konfigurasi.
- Pastikan log dikirim dengan memeriksa log agen Bindplane.
Untuk mengetahui informasi selengkapnya, lihat Panduan pengguna Cisco Secure Email Gateway.
Tabel pemetaan UDM
| Kolom Log | Pemetaan UDM | Logika |
|---|---|---|
about |
about |
Digabung |
about1 |
about |
Digabung |
deviceNtDomain |
about.administrative_domain |
Diganti nama/dipetakan |
deviceExternalId |
about.asset.asset_id |
Dipetakan secara langsung |
device_product |
about.asset.asset_id |
Dipetakan secara langsung |
device_vendor |
about.asset.asset_id |
Dipetakan secara langsung |
fileHash |
about.file.full_path |
Dipetakan secara langsung |
filePath |
about.file.full_path |
Diganti nama/dipetakan |
file_name |
about.file.full_path |
Dipetakan secara langsung |
AMP.fileHash |
about.file.sha256 |
Dipetakan secara langsung |
_hash |
about.file.sha256 |
Diganti nama/dipetakan |
fileHash |
about.file.sha256 |
Diganti nama/dipetakan |
fsize |
about.file.size |
Diganti nama/dipetakan |
dvchost |
about.hostname |
Diganti nama/dipetakan |
ips |
about.ip |
Digabung |
dvcmac |
about.mac |
Digabung |
mac_address |
about.mac |
Digabung |
deviceTranslatedAddress |
about.nat_ip |
Digabung |
Emne |
about.process.command_line |
Dipetakan secara langsung |
Path |
about.process.command_line |
Dipetakan secara langsung |
Subject |
about.process.command_line |
Dipetakan secara langsung |
deviceProcessName |
about.process.command_line |
Diganti nama/dipetakan |
dvcpid |
about.process.pid |
Diganti nama/dipetakan |
permissions |
about.resource.attribute.permissions |
Digabung |
ESAURLDetails |
about.url |
Dipetakan secara langsung |
_field |
additional.fields |
Digabung |
additional_cfp1 |
additional.fields |
Digabung |
additional_cfp2 |
additional.fields |
Digabung |
additional_cfp3 |
additional.fields |
Digabung |
additional_cfp4 |
additional.fields |
Digabung |
additional_cn1 |
additional.fields |
Digabung |
additional_cn2 |
additional.fields |
Digabung |
additional_cn3 |
additional.fields |
Digabung |
additional_cs1 |
additional.fields |
Digabung |
additional_cs2 |
additional.fields |
Digabung |
additional_cs3 |
additional.fields |
Digabung |
additional_cs4 |
additional.fields |
Digabung |
additional_cs5 |
additional.fields |
Digabung |
additional_cs6 |
additional.fields |
Digabung |
additional_cs7 |
additional.fields |
Digabung |
additional_devicePayloadId |
additional.fields |
Digabung |
additional_eventId |
additional.fields |
Digabung |
additional_flexString1 |
additional.fields |
Digabung |
additional_fname |
additional.fields |
Digabung |
cs5_label |
additional.fields |
Digabung |
cs_uri_label |
additional.fields |
Digabung |
internal_id_label |
additional.fields |
Digabung |
s_hierarchy_label |
additional.fields |
Digabung |
sc_bytes_label |
additional.fields |
Digabung |
intermediary |
intermediary |
Digabung |
ESAHeloDomain |
intermediary.administrative_domain |
Dipetakan secara langsung |
syslog_program |
intermediary.application |
Dipetakan secara langsung |
hostname |
intermediary.asset.hostname |
Dipetakan secara langsung |
column3 |
intermediary.hostname |
Dipetakan secara langsung |
hostname |
intermediary.hostname |
Dipetakan secara langsung |
s_computerName |
intermediary.hostname |
Dipetakan secara langsung |
intermediary_ip |
intermediary.ip |
Digabung |
msg |
metadata.description |
Diganti nama/dipetakan |
msg2 |
metadata.description |
Dipetakan secara langsung |
device_event_class_id |
metadata.product_event_type |
Dipetakan secara langsung |
event_name |
metadata.product_event_type |
Dipetakan secara langsung |
product_event |
metadata.product_event_type |
Dipetakan secara langsung |
externalId |
metadata.product_log_id |
Dipetakan secara langsung |
device_product |
metadata.product_name |
Dipetakan secara langsung |
device_product_name |
metadata.product_name |
Dipetakan secara langsung |
device_version |
metadata.product_version |
Dipetakan secara langsung |
device_vendor |
metadata.vendor_name |
Diganti nama/dipetakan |
network |
network |
Diganti nama/dipetakan |
app_protocol_output |
network.application_protocol |
Dipetakan secara langsung |
from |
network.email.from |
Dipetakan secara langsung |
mailfrom.sender |
network.email.from |
Dipetakan secara langsung |
message_id |
network.email.mail_id |
Dipetakan secara langsung |
subject |
network.email.subject |
Digabung |
to |
network.email.to |
Digabung |
cs_method |
network.http.method |
Dipetakan secara langsung |
http_method |
network.http.method |
Dipetakan secara langsung |
requestMethod |
network.http.method |
Diganti nama/dipetakan |
cs_user_agent |
network.http.parsed_user_agent |
Diganti nama/dipetakan |
http_response_code |
network.http.response_code |
Dipetakan secara langsung |
response_code |
network.http.response_code |
Dipetakan secara langsung |
cs_user_agent |
network.http.user_agent |
Dipetakan secara langsung |
requestClientApplication |
network.http.user_agent |
Diganti nama/dipetakan |
useragent |
network.http.user_agent |
Dipetakan secara langsung |
ip_protocol_out |
network.ip_protocol |
Dipetakan secara langsung |
in |
network.received_bytes |
Diganti nama/dipetakan |
received_bytes |
network.received_bytes |
Dipetakan secara langsung |
out |
network.sent_bytes |
Diganti nama/dipetakan |
total_bytes |
network.sent_bytes |
Diganti nama/dipetakan |
ESATLSInCipher |
network.tls.cipher |
Dipetakan secara langsung |
sntdom |
principal.administrative_domain |
Diganti nama/dipetakan |
sourceServiceName |
principal.application |
Diganti nama/dipetakan |
principal_host |
principal.asset.hostname |
Dipetakan secara langsung |
c_ip |
principal.asset.ip |
Digabung |
cs_x_forwarded_for |
principal.asset.ip |
Digabung |
source_ip |
principal.asset.ip |
Digabung |
src_ip |
principal.asset.ip |
Digabung |
Group_name |
principal.group.group_display_name |
Dipetakan secara langsung |
Gruppenavn |
principal.group.group_display_name |
Dipetakan secara langsung |
Device_name |
principal.hostname |
Dipetakan secara langsung |
Enhetsnavn |
principal.hostname |
Dipetakan secara langsung |
principal_host |
principal.hostname |
Dipetakan secara langsung |
shost |
principal.hostname |
Diganti nama/dipetakan |
c_ip |
principal.ip |
Digabung |
cs_x_forwarded_for |
principal.ip |
Digabung |
principal_ip |
principal.ip |
Digabung |
shost |
principal.ip |
Digabung |
source_ip |
principal.ip |
Digabung |
src_ip |
principal.ip |
Digabung |
mac |
principal.mac |
Digabung |
sourceTranslatedAddress |
principal.nat_ip |
Digabung |
sourceTranslatedPort |
principal.nat_port |
Diganti nama/dipetakan |
c_port |
principal.port |
Dipetakan secara langsung |
spt |
principal.port |
Diganti nama/dipetakan |
src_port |
principal.port |
Dipetakan secara langsung |
sproc |
principal.process.command_line |
Diganti nama/dipetakan |
processName |
principal.process.file.full_path |
Dipetakan secara langsung |
spid |
principal.process.pid |
Diganti nama/dipetakan |
principalUrl |
principal.url |
Dipetakan secara langsung |
principal_role |
principal.user.attribute.roles |
Digabung |
email |
principal.user.email_addresses |
Digabung |
helo.sender |
principal.user.email_addresses |
Digabung |
suser |
principal.user.user_display_name |
Dipetakan secara langsung |
authenticated_user |
principal.user.userid |
Dipetakan secara langsung |
cs_username |
principal.user.userid |
Dipetakan secara langsung |
suid |
principal.user.userid |
Diganti nama/dipetakan |
sec_result |
security_result |
Digabung |
security_result |
security_result |
Digabung |
_action |
security_result.action |
Digabung |
tempaction |
security_result.action |
Digabung |
Action_Taken |
security_result.action_details |
Dipetakan secara langsung |
act |
security_result.action_details |
Dipetakan secara langsung |
cat |
security_result.category_details |
Digabung |
Scan_Type |
security_result.description |
Dipetakan secara langsung |
Type |
security_result.description |
Dipetakan secara langsung |
msg_data_2 |
security_result.description |
Dipetakan secara langsung |
field1 |
security_result.detection_fields |
Digabung |
infection_channel_label |
security_result.detection_fields |
Digabung |
operasjon_label |
security_result.detection_fields |
Digabung |
operation_label |
security_result.detection_fields |
Digabung |
permission_label |
security_result.detection_fields |
Digabung |
spyware_Grayware_Type_label |
security_result.detection_fields |
Digabung |
threat_probability_label |
security_result.detection_fields |
Digabung |
tillatelse_label |
security_result.detection_fields |
Digabung |
mwProfile |
security_result.rule_name |
Dipetakan secara langsung |
Result |
security_result.summary |
Dipetakan secara langsung |
appcategory |
security_result.summary |
Dipetakan secara langsung |
reason |
security_result.summary |
Diganti nama/dipetakan |
Spyware |
security_result.threat_name |
Dipetakan secara langsung |
Unknown_Threat |
security_result.threat_name |
Dipetakan secara langsung |
Virus_Malware_Name |
security_result.threat_name |
Dipetakan secara langsung |
oldFilePath |
src.file.full_path |
Diganti nama/dipetakan |
oldFileSize |
src.file.size |
Diganti nama/dipetakan |
old_permissions |
src.resource.attribute.permissions |
Digabung |
target |
target |
Diganti nama/dipetakan |
dntdom |
target.administrative_domain |
Diganti nama/dipetakan |
destinationServiceName |
target.application |
Diganti nama/dipetakan |
host |
target.asset.hostname |
Dipetakan secara langsung |
dst_ip1 |
target.asset.ip |
Digabung |
ip |
target.asset.ip |
Digabung |
target_ip |
target.asset.ip |
Digabung |
host |
target.hostname |
Dipetakan secara langsung |
s_computerName |
target.hostname |
Dipetakan secara langsung |
s_hostname |
target.hostname |
Dipetakan secara langsung |
target_host |
target.hostname |
Dipetakan secara langsung |
temp_dhost |
target.hostname |
Dipetakan secara langsung |
IPv6_Address |
target.ip |
Digabung |
dst_ip |
target.ip |
Digabung |
dst_ip1 |
target.ip |
Digabung |
ip |
target.ip |
Digabung |
target_ip |
target.ip |
Digabung |
mac_address |
target.mac |
Digabung |
destination_translated_address |
target.nat_ip |
Digabung |
destinationTranslatedPort |
target.nat_port |
Diganti nama/dipetakan |
dpt |
target.port |
Diganti nama/dipetakan |
dst_port |
target.port |
Dipetakan secara langsung |
s_port |
target.port |
Dipetakan secara langsung |
dproc |
target.process.command_line |
Diganti nama/dipetakan |
File_name |
target.process.file.full_path |
Dipetakan secara langsung |
Infected_Resource |
target.process.file.full_path |
Dipetakan secara langsung |
Object |
target.process.file.full_path |
Dipetakan secara langsung |
Objekt |
target.process.file.full_path |
Dipetakan secara langsung |
dpid |
target.process.pid |
Diganti nama/dipetakan |
resource_Type_label |
target.resource.attribute.labels |
Digabung |
request |
target.url |
Dipetakan secara langsung |
target_url |
target.url |
Dipetakan secara langsung |
url1 |
target.url |
Dipetakan secara langsung |
url2 |
target.url |
Dipetakan secara langsung |
target_role |
target.user.attribute.roles |
Digabung |
CustomerName |
target.user.user_display_name |
Dipetakan secara langsung |
temp_duser |
target.user.user_display_name |
Dipetakan secara langsung |
Bruker |
target.user.userid |
Dipetakan secara langsung |
User_value |
target.user.userid |
Dipetakan secara langsung |
target_user |
target.user.userid |
Dipetakan secara langsung |
temp_duid |
target.user.userid |
Dipetakan secara langsung |
| T/A | about |
Konstanta: about |
| T/A | about.ip |
Konstanta: ips |
| T/A | about.mac |
Konstanta: mac_address |
| T/A | about.nat_ip |
Konstanta: deviceTranslatedAddress |
| T/A | about.resource.attribute.permissions |
Konstanta: permissions |
| T/A | additional.fields |
Konstanta: additional_eventId |
| T/A | extensions.auth.type |
Konstanta: AUTHTYPE_UNSPECIFIED |
| T/A | intermediary |
Konstanta: intermediary |
| T/A | intermediary.ip |
Konstanta: intermediary_ip |
| T/A | metadata.event_type |
Konstanta: PROCESS_UNCATEGORIZED |
| T/A | metadata.product_name |
Konstanta: Cisco Ironport |
| T/A | metadata.vendor_name |
Konstanta: Cisco |
| T/A | network.application_protocol |
Konstanta: SMTP |
| T/A | network.direction |
Konstanta: INBOUND |
| T/A | network.email.subject |
Konstanta: subject |
| T/A | network.email.to |
Konstanta: to |
| T/A | network.received_bytes |
Konstanta: uinteger |
| T/A | principal.asset.ip |
Konstanta: src_ip |
| T/A | principal.ip |
Konstanta: principal_ip |
| T/A | principal.mac |
Konstanta: mac |
| T/A | principal.nat_ip |
Konstanta: sourceTranslatedAddress |
| T/A | principal.user.attribute.roles |
Konstanta: principal_role |
| T/A | principal.user.email_addresses |
Konstanta: email |
| T/A | security_result |
Konstanta: security_result |
| T/A | security_result.action |
Konstanta: _action |
| T/A | security_result.category_details |
Konstanta: cat |
| T/A | security_result.detection_fields |
Konstanta: field1 |
| T/A | security_result.severity |
Konstanta: LOW |
| T/A | src.resource.attribute.permissions |
Konstanta: old_permissions |
| T/A | target.asset.ip |
Konstanta: dst_ip1 |
| T/A | target.ip |
Konstanta: dst_ip |
| T/A | target.mac |
Konstanta: mac_address |
| T/A | target.nat_ip |
Konstanta: destination_translated_address |
| T/A | target.resource.attribute.labels |
Konstanta: resource_Type_label |
| T/A | target.user.attribute.roles |
Konstanta: target_role |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.