Raccogli i log di Cisco Secure Email and Web
Supportato in:
Google SecOps
SIEM
Questo documento spiega come importare i log di Cisco Secure Email and Web (in precedenza IronPort) in Google Security Operations utilizzando l'agente Bindplane.
Cisco Secure Email and Web è una soluzione di gateway di sicurezza che protegge le organizzazioni da minacce trasmesse via email come spam, phishing, malware e perdita di dati. Fornisce protezione avanzata dalle minacce, filtro dei contenuti, crittografia e protezione degli URL per il traffico web e di posta elettronica in entrata e in uscita. Il gateway esegue Cisco AsyncOS e supporta la registrazione centralizzata con più metodi di recupero, incluso il push syslog.
Prima di iniziare
Assicurati di soddisfare i seguenti prerequisiti:
- Un'istanza Google SecOps
- Windows Server 2016 o versioni successive oppure host Linux con
systemd - Se l'agente viene eseguito dietro un proxy, assicurati che le porte del firewall siano aperte in base ai requisiti dell'agente Bindplane
- Accesso privilegiato alla console di gestione Cisco Secure Email and Web (ruolo di amministratore)
- Connettività di rete tra l'appliance Cisco Secure Email and Web e l'host dell'agente Bindplane sulla porta syslog configurata
Recuperare il file di autenticazione importazione di Google SecOps
- Accedi alla console Google SecOps.
- Vai a Impostazioni SIEM > Agenti di raccolta.
- Scarica il file di autenticazione importazione.
Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.
Recuperare l'ID cliente Google SecOps
- Accedi alla console Google SecOps.
- Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.
Installa l'agente Bindplane
Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.
Installazione di Windows
- Apri Prompt dei comandi o PowerShell come amministratore.
Esegui questo comando:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quietAttendi il completamento dell'installazione.
Verifica l'installazione eseguendo:
sc query observiq-otel-collectorIl servizio dovrebbe essere visualizzato come IN ESECUZIONE.
Installazione di Linux
- Apri un terminale con privilegi root o sudo.
Esegui questo comando:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.shAttendi il completamento dell'installazione.
Verifica l'installazione eseguendo:
sudo systemctl status observiq-otel-collectorIl servizio dovrebbe essere visualizzato come attivo (in esecuzione).
Risorse aggiuntive per l'installazione
Per ulteriori opzioni di installazione e risoluzione dei problemi, consulta la Guida all'installazione dell'agente Bindplane.
Configura l'agente Bindplane per importare syslog e inviarli a Google SecOps
Individua il file di configurazione
Linux:
sudo nano /etc/bindplane-agent/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
Modifica il file di configurazione
Sostituisci l'intero contenuto di
config.yamlcon la seguente configurazione:receivers: tcplog: listen_address: "0.0.0.0:514" exporters: chronicle/cisco_ironport: compression: gzip creds_file_path: '/path/to/ingestion-authentication-file.json' customer_id: 'YOUR_CUSTOMER_ID' endpoint: malachiteingestion-pa.googleapis.com log_type: 'CISCO_IRONPORT' raw_log_field: body ingestion_labels: service: pipelines: logs/cisco_ironport_to_chronicle: receivers: - tcplog exporters: - chronicle/cisco_ironport
Parametri di configurazione
Sostituisci i seguenti segnaposto:
Configurazione del ricevitore:
tcplog: utilizzatcplogper syslog TCP (consigliato per Cisco Secure Email and Web) oudplogper syslog UDP0.0.0.0: indirizzo IP su cui ascoltare (0.0.0.0per ascoltare su tutte le interfacce)514: Numero di porta su cui ascoltare (porta syslog standard)
Configurazione dell'esportatore:
creds_file_path: percorso completo del file di autenticazione importazione:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
YOUR_CUSTOMER_ID: l'ID cliente della sezione Recupera ID clienteendpoint: URL endpoint regionale:- Stati Uniti:
malachiteingestion-pa.googleapis.com - Europa:
europe-malachiteingestion-pa.googleapis.com - Asia:
asia-southeast1-malachiteingestion-pa.googleapis.com - Per un elenco completo, vedi Endpoint regionali.
- Stati Uniti:
log_type: Tipo di log esattamente come appare in Chronicle (CISCO_IRONPORT)
Salvare il file di configurazione
- Dopo la modifica, salva il file:
- Linux: premi
Ctrl+O, poiEntere infineCtrl+X. - Windows: fai clic su File > Salva.
- Linux: premi
Riavvia l'agente Bindplane per applicare le modifiche
Per riavviare l'agente Bindplane in Linux, esegui questo comando:
sudo systemctl restart observiq-otel-collectorVerifica che il servizio sia in esecuzione:
sudo systemctl status observiq-otel-collectorControlla i log per individuare eventuali errori:
sudo journalctl -u observiq-otel-collector -f
Per riavviare l'agente Bindplane in Windows, scegli una delle seguenti opzioni:
Prompt dei comandi o PowerShell come amministratore:
net stop observiq-otel-collector && net start observiq-otel-collectorConsole Services:
- Premi
Win+R, digitaservices.msce premi Invio. - Individua observIQ OpenTelemetry Collector.
- Fai clic con il tasto destro del mouse e seleziona Riavvia.
Verifica che il servizio sia in esecuzione:
sc query observiq-otel-collectorControlla i log per individuare eventuali errori:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
- Premi
Configura l'inoltro di syslog di Cisco Secure Email and Web
- Accedi alla console di gestione di Cisco Secure Email and Web.
- Vai a Amministrazione di sistema > Abbonamenti ai log.
- Fai clic su Aggiungi abbonamento ai log.
- Fornisci i seguenti dettagli di configurazione:
- Tipo di log: seleziona il tipo di log da inoltrare (ad esempio, Log di posta di testo).
- Nome log: inserisci un nome descrittivo (ad esempio,
secops-mail-logs). - Livello di log: seleziona Informativo.
- Metodo di recupero: seleziona Syslog Push.
- Nome host: inserisci l'indirizzo IP o il nome host dell'host dell'agente Bindplane.
- Porta: inserisci
514(o la porta configurata nell'agente Bindplane). - Protocollo: seleziona TCP.
Nota: seleziona lo stesso protocollo configurato nel ricevitore dell'agente Bindplane (
tcplogper TCP,udplogper UDP). - Struttura: seleziona LOG_MAIL per i log relativi alla posta o LOG_LOCAL0 fino a LOG_LOCAL7 per altri tipi di log.
- Fai clic su Invia.
- Ripeti i passaggi 3-5 per ogni tipo di log che vuoi inoltrare. I tipi di log disponibili includono:
- Log di posta di testo
- Log di sistema
- Log antispam
- Log antivirus
- Log del motore AMP
- Log del filtro dei contenuti
- Log di monitoraggio dei messaggi
- Log di debug LDAP
- Log di liste consentite/liste bloccate
- Rapporti sui log
- Log del programma di aggiornamento Nota: i log di autenticazione e i log di rimbalzo non supportano il metodo di recupero push Syslog.
- Fai clic su Applica modifiche per applicare la configurazione.
- Verifica che i log vengano inviati controllando i log dell'agente Bindplane.
Per ulteriori informazioni, consulta la guida dell'utente di Cisco Secure Email Gateway.
Tabella di mappatura UDM
| Campo log | Mappatura UDM | Logic |
|---|---|---|
about |
about |
Unita |
about1 |
about |
Unita |
deviceNtDomain |
about.administrative_domain |
Rinominate/mappate |
deviceExternalId |
about.asset.asset_id |
Mappato direttamente |
device_product |
about.asset.asset_id |
Mappato direttamente |
device_vendor |
about.asset.asset_id |
Mappato direttamente |
fileHash |
about.file.full_path |
Mappato direttamente |
filePath |
about.file.full_path |
Rinominate/mappate |
file_name |
about.file.full_path |
Mappato direttamente |
AMP.fileHash |
about.file.sha256 |
Mappato direttamente |
_hash |
about.file.sha256 |
Rinominate/mappate |
fileHash |
about.file.sha256 |
Rinominate/mappate |
fsize |
about.file.size |
Rinominate/mappate |
dvchost |
about.hostname |
Rinominate/mappate |
ips |
about.ip |
Unita |
dvcmac |
about.mac |
Unita |
mac_address |
about.mac |
Unita |
deviceTranslatedAddress |
about.nat_ip |
Unita |
Emne |
about.process.command_line |
Mappato direttamente |
Path |
about.process.command_line |
Mappato direttamente |
Subject |
about.process.command_line |
Mappato direttamente |
deviceProcessName |
about.process.command_line |
Rinominate/mappate |
dvcpid |
about.process.pid |
Rinominate/mappate |
permissions |
about.resource.attribute.permissions |
Unita |
ESAURLDetails |
about.url |
Mappato direttamente |
_field |
additional.fields |
Unita |
additional_cfp1 |
additional.fields |
Unita |
additional_cfp2 |
additional.fields |
Unita |
additional_cfp3 |
additional.fields |
Unita |
additional_cfp4 |
additional.fields |
Unita |
additional_cn1 |
additional.fields |
Unita |
additional_cn2 |
additional.fields |
Unita |
additional_cn3 |
additional.fields |
Unita |
additional_cs1 |
additional.fields |
Unita |
additional_cs2 |
additional.fields |
Unita |
additional_cs3 |
additional.fields |
Unita |
additional_cs4 |
additional.fields |
Unita |
additional_cs5 |
additional.fields |
Unita |
additional_cs6 |
additional.fields |
Unita |
additional_cs7 |
additional.fields |
Unita |
additional_devicePayloadId |
additional.fields |
Unita |
additional_eventId |
additional.fields |
Unita |
additional_flexString1 |
additional.fields |
Unita |
additional_fname |
additional.fields |
Unita |
cs5_label |
additional.fields |
Unita |
cs_uri_label |
additional.fields |
Unita |
internal_id_label |
additional.fields |
Unita |
s_hierarchy_label |
additional.fields |
Unita |
sc_bytes_label |
additional.fields |
Unita |
intermediary |
intermediary |
Unita |
ESAHeloDomain |
intermediary.administrative_domain |
Mappato direttamente |
syslog_program |
intermediary.application |
Mappato direttamente |
hostname |
intermediary.asset.hostname |
Mappato direttamente |
column3 |
intermediary.hostname |
Mappato direttamente |
hostname |
intermediary.hostname |
Mappato direttamente |
s_computerName |
intermediary.hostname |
Mappato direttamente |
intermediary_ip |
intermediary.ip |
Unita |
msg |
metadata.description |
Rinominate/mappate |
msg2 |
metadata.description |
Mappato direttamente |
device_event_class_id |
metadata.product_event_type |
Mappato direttamente |
event_name |
metadata.product_event_type |
Mappato direttamente |
product_event |
metadata.product_event_type |
Mappato direttamente |
externalId |
metadata.product_log_id |
Mappato direttamente |
device_product |
metadata.product_name |
Mappato direttamente |
device_product_name |
metadata.product_name |
Mappato direttamente |
device_version |
metadata.product_version |
Mappato direttamente |
device_vendor |
metadata.vendor_name |
Rinominate/mappate |
network |
network |
Rinominate/mappate |
app_protocol_output |
network.application_protocol |
Mappato direttamente |
from |
network.email.from |
Mappato direttamente |
mailfrom.sender |
network.email.from |
Mappato direttamente |
message_id |
network.email.mail_id |
Mappato direttamente |
subject |
network.email.subject |
Unita |
to |
network.email.to |
Unita |
cs_method |
network.http.method |
Mappato direttamente |
http_method |
network.http.method |
Mappato direttamente |
requestMethod |
network.http.method |
Rinominate/mappate |
cs_user_agent |
network.http.parsed_user_agent |
Rinominate/mappate |
http_response_code |
network.http.response_code |
Mappato direttamente |
response_code |
network.http.response_code |
Mappato direttamente |
cs_user_agent |
network.http.user_agent |
Mappato direttamente |
requestClientApplication |
network.http.user_agent |
Rinominate/mappate |
useragent |
network.http.user_agent |
Mappato direttamente |
ip_protocol_out |
network.ip_protocol |
Mappato direttamente |
in |
network.received_bytes |
Rinominate/mappate |
received_bytes |
network.received_bytes |
Mappato direttamente |
out |
network.sent_bytes |
Rinominate/mappate |
total_bytes |
network.sent_bytes |
Rinominate/mappate |
ESATLSInCipher |
network.tls.cipher |
Mappato direttamente |
sntdom |
principal.administrative_domain |
Rinominate/mappate |
sourceServiceName |
principal.application |
Rinominate/mappate |
principal_host |
principal.asset.hostname |
Mappato direttamente |
c_ip |
principal.asset.ip |
Unita |
cs_x_forwarded_for |
principal.asset.ip |
Unita |
source_ip |
principal.asset.ip |
Unita |
src_ip |
principal.asset.ip |
Unita |
Group_name |
principal.group.group_display_name |
Mappato direttamente |
Gruppenavn |
principal.group.group_display_name |
Mappato direttamente |
Device_name |
principal.hostname |
Mappato direttamente |
Enhetsnavn |
principal.hostname |
Mappato direttamente |
principal_host |
principal.hostname |
Mappato direttamente |
shost |
principal.hostname |
Rinominate/mappate |
c_ip |
principal.ip |
Unita |
cs_x_forwarded_for |
principal.ip |
Unita |
principal_ip |
principal.ip |
Unita |
shost |
principal.ip |
Unita |
source_ip |
principal.ip |
Unita |
src_ip |
principal.ip |
Unita |
mac |
principal.mac |
Unita |
sourceTranslatedAddress |
principal.nat_ip |
Unita |
sourceTranslatedPort |
principal.nat_port |
Rinominate/mappate |
c_port |
principal.port |
Mappato direttamente |
spt |
principal.port |
Rinominate/mappate |
src_port |
principal.port |
Mappato direttamente |
sproc |
principal.process.command_line |
Rinominate/mappate |
processName |
principal.process.file.full_path |
Mappato direttamente |
spid |
principal.process.pid |
Rinominate/mappate |
principalUrl |
principal.url |
Mappato direttamente |
principal_role |
principal.user.attribute.roles |
Unita |
email |
principal.user.email_addresses |
Unita |
helo.sender |
principal.user.email_addresses |
Unita |
suser |
principal.user.user_display_name |
Mappato direttamente |
authenticated_user |
principal.user.userid |
Mappato direttamente |
cs_username |
principal.user.userid |
Mappato direttamente |
suid |
principal.user.userid |
Rinominate/mappate |
sec_result |
security_result |
Unita |
security_result |
security_result |
Unita |
_action |
security_result.action |
Unita |
tempaction |
security_result.action |
Unita |
Action_Taken |
security_result.action_details |
Mappato direttamente |
act |
security_result.action_details |
Mappato direttamente |
cat |
security_result.category_details |
Unita |
Scan_Type |
security_result.description |
Mappato direttamente |
Type |
security_result.description |
Mappato direttamente |
msg_data_2 |
security_result.description |
Mappato direttamente |
field1 |
security_result.detection_fields |
Unita |
infection_channel_label |
security_result.detection_fields |
Unita |
operasjon_label |
security_result.detection_fields |
Unita |
operation_label |
security_result.detection_fields |
Unita |
permission_label |
security_result.detection_fields |
Unita |
spyware_Grayware_Type_label |
security_result.detection_fields |
Unita |
threat_probability_label |
security_result.detection_fields |
Unita |
tillatelse_label |
security_result.detection_fields |
Unita |
mwProfile |
security_result.rule_name |
Mappato direttamente |
Result |
security_result.summary |
Mappato direttamente |
appcategory |
security_result.summary |
Mappato direttamente |
reason |
security_result.summary |
Rinominate/mappate |
Spyware |
security_result.threat_name |
Mappato direttamente |
Unknown_Threat |
security_result.threat_name |
Mappato direttamente |
Virus_Malware_Name |
security_result.threat_name |
Mappato direttamente |
oldFilePath |
src.file.full_path |
Rinominate/mappate |
oldFileSize |
src.file.size |
Rinominate/mappate |
old_permissions |
src.resource.attribute.permissions |
Unita |
target |
target |
Rinominate/mappate |
dntdom |
target.administrative_domain |
Rinominate/mappate |
destinationServiceName |
target.application |
Rinominate/mappate |
host |
target.asset.hostname |
Mappato direttamente |
dst_ip1 |
target.asset.ip |
Unita |
ip |
target.asset.ip |
Unita |
target_ip |
target.asset.ip |
Unita |
host |
target.hostname |
Mappato direttamente |
s_computerName |
target.hostname |
Mappato direttamente |
s_hostname |
target.hostname |
Mappato direttamente |
target_host |
target.hostname |
Mappato direttamente |
temp_dhost |
target.hostname |
Mappato direttamente |
IPv6_Address |
target.ip |
Unita |
dst_ip |
target.ip |
Unita |
dst_ip1 |
target.ip |
Unita |
ip |
target.ip |
Unita |
target_ip |
target.ip |
Unita |
mac_address |
target.mac |
Unita |
destination_translated_address |
target.nat_ip |
Unita |
destinationTranslatedPort |
target.nat_port |
Rinominate/mappate |
dpt |
target.port |
Rinominate/mappate |
dst_port |
target.port |
Mappato direttamente |
s_port |
target.port |
Mappato direttamente |
dproc |
target.process.command_line |
Rinominate/mappate |
File_name |
target.process.file.full_path |
Mappato direttamente |
Infected_Resource |
target.process.file.full_path |
Mappato direttamente |
Object |
target.process.file.full_path |
Mappato direttamente |
Objekt |
target.process.file.full_path |
Mappato direttamente |
dpid |
target.process.pid |
Rinominate/mappate |
resource_Type_label |
target.resource.attribute.labels |
Unita |
request |
target.url |
Mappato direttamente |
target_url |
target.url |
Mappato direttamente |
url1 |
target.url |
Mappato direttamente |
url2 |
target.url |
Mappato direttamente |
target_role |
target.user.attribute.roles |
Unita |
CustomerName |
target.user.user_display_name |
Mappato direttamente |
temp_duser |
target.user.user_display_name |
Mappato direttamente |
Bruker |
target.user.userid |
Mappato direttamente |
User_value |
target.user.userid |
Mappato direttamente |
target_user |
target.user.userid |
Mappato direttamente |
temp_duid |
target.user.userid |
Mappato direttamente |
| N/D | about |
Costante: about |
| N/D | about.ip |
Costante: ips |
| N/D | about.mac |
Costante: mac_address |
| N/D | about.nat_ip |
Costante: deviceTranslatedAddress |
| N/D | about.resource.attribute.permissions |
Costante: permissions |
| N/D | additional.fields |
Costante: additional_eventId |
| N/D | extensions.auth.type |
Costante: AUTHTYPE_UNSPECIFIED |
| N/D | intermediary |
Costante: intermediary |
| N/D | intermediary.ip |
Costante: intermediary_ip |
| N/D | metadata.event_type |
Costante: PROCESS_UNCATEGORIZED |
| N/D | metadata.product_name |
Costante: Cisco Ironport |
| N/D | metadata.vendor_name |
Costante: Cisco |
| N/D | network.application_protocol |
Costante: SMTP |
| N/D | network.direction |
Costante: INBOUND |
| N/D | network.email.subject |
Costante: subject |
| N/D | network.email.to |
Costante: to |
| N/D | network.received_bytes |
Costante: uinteger |
| N/D | principal.asset.ip |
Costante: src_ip |
| N/D | principal.ip |
Costante: principal_ip |
| N/D | principal.mac |
Costante: mac |
| N/D | principal.nat_ip |
Costante: sourceTranslatedAddress |
| N/D | principal.user.attribute.roles |
Costante: principal_role |
| N/D | principal.user.email_addresses |
Costante: email |
| N/D | security_result |
Costante: security_result |
| N/D | security_result.action |
Costante: _action |
| N/D | security_result.category_details |
Costante: cat |
| N/D | security_result.detection_fields |
Costante: field1 |
| N/D | security_result.severity |
Costante: LOW |
| N/D | src.resource.attribute.permissions |
Costante: old_permissions |
| N/D | target.asset.ip |
Costante: dst_ip1 |
| N/D | target.ip |
Costante: dst_ip |
| N/D | target.mac |
Costante: mac_address |
| N/D | target.nat_ip |
Costante: destination_translated_address |
| N/D | target.resource.attribute.labels |
Costante: resource_Type_label |
| N/D | target.user.attribute.roles |
Costante: target_role |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.