Cisco Secure Email と Web のログを収集する

以下でサポートされています。

このドキュメントでは、Bindplane エージェントを使用して Cisco Secure Email and Web(旧称 IronPort)ログを Google Security Operations に取り込む方法について説明します。

Cisco Secure Email and Web は、スパム、フィッシング、マルウェア、データ損失などのメールを利用した脅威から組織を保護するセキュリティ ゲートウェイ ソリューションです。受信メールと送信メール、ウェブ トラフィックの両方に対して、高度な脅威対策、コンテンツ フィルタリング、暗号化、URL 対策を提供します。このゲートウェイは Cisco AsyncOS を実行し、syslog プッシュなどの複数の取得方法による一元化されたロギングをサポートしています。

始める前に

次の前提条件を満たしていることを確認してください。

  • Google SecOps インスタンス
  • Windows Server 2016 以降、または systemd を使用する Linux ホスト
  • プロキシの背後で実行している場合は、Bindplane エージェントの要件に従ってファイアウォール ポートが開いていることを確認します。
  • Cisco Secure Email and Web 管理コンソールへの特権アクセス(管理者ロール)
  • 構成された syslog ポート上の Cisco Secure Email アプライアンスと Web アプライアンス、Bindplane エージェント ホスト間のネットワーク接続

Google SecOps の取り込み認証ファイルを取得する

  1. Google SecOps コンソールにログインします。
  2. [SIEM 設定] > [収集エージェント] に移動します。
  3. Ingestion Authentication File をダウンロードします。

  4. Bindplane をインストールするシステムにファイルを安全に保存します。

Google SecOps のお客様 ID を取得する

  1. Google SecOps コンソールにログインします。
  2. [SIEM 設定] > [プロファイル] に移動します。

  3. [組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。

Bindplane エージェントをインストールする

次の手順に沿って、Windows または Linux オペレーティング システムに Bindplane エージェントをインストールします。

Windows のインストール

  1. 管理者としてコマンド プロンプトまたは PowerShell を開きます。

  2. 次のコマンドを実行します。

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

  3. インストールが完了するまで待ちます。

  4. 次のコマンドを実行して、インストールの内容を確認します。

    sc query observiq-otel-collector

    サービスは RUNNING と表示されます。

Linux のインストール

  1. root 権限または sudo 権限でターミナルを開きます。

  2. 次のコマンドを実行します。

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

  3. インストールが完了するまで待ちます。

  4. 次のコマンドを実行して、インストールの内容を確認します。

    sudo systemctl status observiq-otel-collector

    サービスが [active (running)] と表示されます。

その他のインストール リソース

その他のインストール オプションとトラブルシューティングについては、Bindplane エージェントのインストール ガイドをご覧ください。

syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する

構成ファイルを見つける

  • Linux:

    sudo nano /etc/bindplane-agent/config.yaml

  • Windows:

    notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

構成ファイルを編集します。

  • config.yaml の内容全体を次の構成に置き換えます。

    receivers:
    tcplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/cisco_ironport:
        compression: gzip
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        customer_id: 'YOUR_CUSTOMER_ID'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: 'CISCO_IRONPORT'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/cisco_ironport_to_chronicle:
            receivers:
                - tcplog
            exporters:
                - chronicle/cisco_ironport

構成パラメータ

各プレースホルダを次のように置き換えます。

  • レシーバーの構成:

    • tcplog: TCP Syslog には tcplog を使用し(Cisco Secure Email and Web に推奨)、UDP Syslog には udplog を使用します。
    • 0.0.0.0: リッスンする IP アドレス(すべてのインターフェースでリッスンする場合は 0.0.0.0
    • 514: リッスンするポート番号(標準の syslog ポート)

  • エクスポータの構成:

    • creds_file_path: 取り込み認証ファイルのフルパス:
      • Linux: /etc/bindplane-agent/ingestion-auth.json
      • Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
    • YOUR_CUSTOMER_ID: 「顧客 ID を取得する」セクションの顧客 ID
    • endpoint: リージョナル エンドポイント URL:
      • 米国: malachiteingestion-pa.googleapis.com
      • ヨーロッパ: europe-malachiteingestion-pa.googleapis.com
      • アジア: asia-southeast1-malachiteingestion-pa.googleapis.com
      • 完全なリストについては、リージョン エンドポイントをご覧ください。
    • log_type: Chronicle に表示されるログタイプ(CISCO_IRONPORT

構成ファイルを保存する

  • 編集後、ファイルを保存します。
    • Linux: Ctrl+OEnterCtrl+X の順に押します。
    • Windows: [ファイル>保存] をクリックします。

Bindplane エージェントを再起動して変更を適用する

  • Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。

    sudo systemctl restart observiq-otel-collector

    1. サービスが実行されていることを確認します。

      sudo systemctl status observiq-otel-collector

    2. ログでエラーを確認します。

      sudo journalctl -u observiq-otel-collector -f

  • Windows で Bindplane エージェントを再起動するには、次のいずれかのオプションを選択します。

    • 管理者としてコマンド プロンプトまたは PowerShell を開きます。

      net stop observiq-otel-collector && net start observiq-otel-collector

    • サービス コンソール:

      1. Win+R キーを押して「services.msc」と入力し、Enter キーを押します。
      2. observIQ OpenTelemetry Collector を見つけます。
      3. 右クリックして [再起動] を選択します。

      4. サービスが実行されていることを確認します。

        sc query observiq-otel-collector

      5. ログでエラーを確認します。

        type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Cisco Secure Email and Web の syslog 転送を構成する

  1. Cisco Secure Email and Web 管理コンソールにログインします。
  2. [System Administration] > [Log Subscriptions] に移動します。
  3. [ログ サブスクリプションを追加] をクリックします。
  4. 次の構成の詳細を入力します。
    • ログタイプ: 転送するログタイプを選択します(例: テキスト メールログ)。
    • ログ名: わかりやすい名前を入力します(例: secops-mail-logs)。
    • ログレベル: [情報] を選択します。
    • 取得方法: [Syslog Push] を選択します。
    • ホスト名: Bindplane エージェント ホストの IP アドレスまたはホスト名を入力します。
    • ポート: 514(または Bindplane エージェントで構成されたポート)を入力します。
    • プロトコル: [TCP] を選択します。注: Bindplane エージェント レシーバで構成されているプロトコル(TCP の場合は tcplog、UDP の場合は udplog)と同じプロトコルを選択します。
    • ファシリティ: メール関連のログの場合は LOG_MAIL を選択し、その他のログタイプの場合は LOG_LOCAL0 から LOG_LOCAL7 を選択します。
  5. [送信] をクリックします。
  6. 転送するログタイプごとに手順 3 ~ 5 を繰り返します。使用可能なログタイプは次のとおりです。
    • テキストメールのログ
    • システムログ
    • アンチスパム ログ
    • ウイルス対策ログ
    • AMP エンジンのログ
    • コンテンツ フィルタのログ
    • メッセージ追跡ログ
    • LDAP デバッグログ
    • セーフリスト/ブロックリストのログ
    • ログの報告
    • アップデータ ログ 注: 認証ログとバウンスログは、Syslog Push 取得方法をサポートしていません。
  7. [変更をコミット] をクリックして、構成を適用します。
  8. Bindplane エージェントのログを確認して、ログが送信されていることを確認します。

詳細については、Cisco Secure Email Gateway ユーザーガイドをご覧ください。

UDM マッピング テーブル

ログフィールド UDM マッピング ロジック
about about 統合済み
about1 about 統合済み
deviceNtDomain about.administrative_domain 名前変更/マッピング済み
deviceExternalId about.asset.asset_id 直接マッピングされます。
device_product about.asset.asset_id 直接マッピングされます。
device_vendor about.asset.asset_id 直接マッピングされます。
fileHash about.file.full_path 直接マッピングされます。
filePath about.file.full_path 名前変更/マッピング済み
file_name about.file.full_path 直接マッピングされます。
AMP.fileHash about.file.sha256 直接マッピングされます。
_hash about.file.sha256 名前変更/マッピング済み
fileHash about.file.sha256 名前変更/マッピング済み
fsize about.file.size 名前変更/マッピング済み
dvchost about.hostname 名前変更/マッピング済み
ips about.ip 統合済み
dvcmac about.mac 統合済み
mac_address about.mac 統合済み
deviceTranslatedAddress about.nat_ip 統合済み
Emne about.process.command_line 直接マッピングされます。
Path about.process.command_line 直接マッピングされます。
Subject about.process.command_line 直接マッピングされます。
deviceProcessName about.process.command_line 名前変更/マッピング済み
dvcpid about.process.pid 名前変更/マッピング済み
permissions about.resource.attribute.permissions 統合済み
ESAURLDetails about.url 直接マッピングされます。
_field additional.fields 統合済み
additional_cfp1 additional.fields 統合済み
additional_cfp2 additional.fields 統合済み
additional_cfp3 additional.fields 統合済み
additional_cfp4 additional.fields 統合済み
additional_cn1 additional.fields 統合済み
additional_cn2 additional.fields 統合済み
additional_cn3 additional.fields 統合済み
additional_cs1 additional.fields 統合済み
additional_cs2 additional.fields 統合済み
additional_cs3 additional.fields 統合済み
additional_cs4 additional.fields 統合済み
additional_cs5 additional.fields 統合済み
additional_cs6 additional.fields 統合済み
additional_cs7 additional.fields 統合済み
additional_devicePayloadId additional.fields 統合済み
additional_eventId additional.fields 統合済み
additional_flexString1 additional.fields 統合済み
additional_fname additional.fields 統合済み
cs5_label additional.fields 統合済み
cs_uri_label additional.fields 統合済み
internal_id_label additional.fields 統合済み
s_hierarchy_label additional.fields 統合済み
sc_bytes_label additional.fields 統合済み
intermediary intermediary 統合済み
ESAHeloDomain intermediary.administrative_domain 直接マッピングされます。
syslog_program intermediary.application 直接マッピングされます。
hostname intermediary.asset.hostname 直接マッピングされます。
column3 intermediary.hostname 直接マッピングされます。
hostname intermediary.hostname 直接マッピングされます。
s_computerName intermediary.hostname 直接マッピングされます。
intermediary_ip intermediary.ip 統合済み
msg metadata.description 名前変更/マッピング済み
msg2 metadata.description 直接マッピングされます。
device_event_class_id metadata.product_event_type 直接マッピングされます。
event_name metadata.product_event_type 直接マッピングされます。
product_event metadata.product_event_type 直接マッピングされます。
externalId metadata.product_log_id 直接マッピングされます。
device_product metadata.product_name 直接マッピングされます。
device_product_name metadata.product_name 直接マッピングされます。
device_version metadata.product_version 直接マッピングされます。
device_vendor metadata.vendor_name 名前変更/マッピング済み
network network 名前変更/マッピング済み
app_protocol_output network.application_protocol 直接マッピングされます。
from network.email.from 直接マッピングされます。
mailfrom.sender network.email.from 直接マッピングされます。
message_id network.email.mail_id 直接マッピングされます。
subject network.email.subject 統合済み
to network.email.to 統合済み
cs_method network.http.method 直接マッピングされます。
http_method network.http.method 直接マッピングされます。
requestMethod network.http.method 名前変更/マッピング済み
cs_user_agent network.http.parsed_user_agent 名前変更/マッピング済み
http_response_code network.http.response_code 直接マッピングされます。
response_code network.http.response_code 直接マッピングされます。
cs_user_agent network.http.user_agent 直接マッピングされます。
requestClientApplication network.http.user_agent 名前変更/マッピング済み
useragent network.http.user_agent 直接マッピングされます。
ip_protocol_out network.ip_protocol 直接マッピングされます。
in network.received_bytes 名前変更/マッピング済み
received_bytes network.received_bytes 直接マッピングされます。
out network.sent_bytes 名前変更/マッピング済み
total_bytes network.sent_bytes 名前変更/マッピング済み
ESATLSInCipher network.tls.cipher 直接マッピングされます。
sntdom principal.administrative_domain 名前変更/マッピング済み
sourceServiceName principal.application 名前変更/マッピング済み
principal_host principal.asset.hostname 直接マッピングされます。
c_ip principal.asset.ip 統合済み
cs_x_forwarded_for principal.asset.ip 統合済み
source_ip principal.asset.ip 統合済み
src_ip principal.asset.ip 統合済み
Group_name principal.group.group_display_name 直接マッピングされます。
Gruppenavn principal.group.group_display_name 直接マッピングされます。
Device_name principal.hostname 直接マッピングされます。
Enhetsnavn principal.hostname 直接マッピングされます。
principal_host principal.hostname 直接マッピングされます。
shost principal.hostname 名前変更/マッピング済み
c_ip principal.ip 統合済み
cs_x_forwarded_for principal.ip 統合済み
principal_ip principal.ip 統合済み
shost principal.ip 統合済み
source_ip principal.ip 統合済み
src_ip principal.ip 統合済み
mac principal.mac 統合済み
sourceTranslatedAddress principal.nat_ip 統合済み
sourceTranslatedPort principal.nat_port 名前変更/マッピング済み
c_port principal.port 直接マッピングされます。
spt principal.port 名前変更/マッピング済み
src_port principal.port 直接マッピングされます。
sproc principal.process.command_line 名前変更/マッピング済み
processName principal.process.file.full_path 直接マッピングされます。
spid principal.process.pid 名前変更/マッピング済み
principalUrl principal.url 直接マッピングされます。
principal_role principal.user.attribute.roles 統合済み
email principal.user.email_addresses 統合済み
helo.sender principal.user.email_addresses 統合済み
suser principal.user.user_display_name 直接マッピングされます。
authenticated_user principal.user.userid 直接マッピングされます。
cs_username principal.user.userid 直接マッピングされます。
suid principal.user.userid 名前変更/マッピング済み
sec_result security_result 統合済み
security_result security_result 統合済み
_action security_result.action 統合済み
tempaction security_result.action 統合済み
Action_Taken security_result.action_details 直接マッピングされます。
act security_result.action_details 直接マッピングされます。
cat security_result.category_details 統合済み
Scan_Type security_result.description 直接マッピングされます。
Type security_result.description 直接マッピングされます。
msg_data_2 security_result.description 直接マッピングされます。
field1 security_result.detection_fields 統合済み
infection_channel_label security_result.detection_fields 統合済み
operasjon_label security_result.detection_fields 統合済み
operation_label security_result.detection_fields 統合済み
permission_label security_result.detection_fields 統合済み
spyware_Grayware_Type_label security_result.detection_fields 統合済み
threat_probability_label security_result.detection_fields 統合済み
tillatelse_label security_result.detection_fields 統合済み
mwProfile security_result.rule_name 直接マッピングされます。
Result security_result.summary 直接マッピングされます。
appcategory security_result.summary 直接マッピングされます。
reason security_result.summary 名前変更/マッピング済み
Spyware security_result.threat_name 直接マッピングされます。
Unknown_Threat security_result.threat_name 直接マッピングされます。
Virus_Malware_Name security_result.threat_name 直接マッピングされます。
oldFilePath src.file.full_path 名前変更/マッピング済み
oldFileSize src.file.size 名前変更/マッピング済み
old_permissions src.resource.attribute.permissions 統合済み
target target 名前変更/マッピング済み
dntdom target.administrative_domain 名前変更/マッピング済み
destinationServiceName target.application 名前変更/マッピング済み
host target.asset.hostname 直接マッピングされます。
dst_ip1 target.asset.ip 統合済み
ip target.asset.ip 統合済み
target_ip target.asset.ip 統合済み
host target.hostname 直接マッピングされます。
s_computerName target.hostname 直接マッピングされます。
s_hostname target.hostname 直接マッピングされます。
target_host target.hostname 直接マッピングされます。
temp_dhost target.hostname 直接マッピングされます。
IPv6_Address target.ip 統合済み
dst_ip target.ip 統合済み
dst_ip1 target.ip 統合済み
ip target.ip 統合済み
target_ip target.ip 統合済み
mac_address target.mac 統合済み
destination_translated_address target.nat_ip 統合済み
destinationTranslatedPort target.nat_port 名前変更/マッピング済み
dpt target.port 名前変更/マッピング済み
dst_port target.port 直接マッピングされます。
s_port target.port 直接マッピングされます。
dproc target.process.command_line 名前変更/マッピング済み
File_name target.process.file.full_path 直接マッピングされます。
Infected_Resource target.process.file.full_path 直接マッピングされます。
Object target.process.file.full_path 直接マッピングされます。
Objekt target.process.file.full_path 直接マッピングされます。
dpid target.process.pid 名前変更/マッピング済み
resource_Type_label target.resource.attribute.labels 統合済み
request target.url 直接マッピングされます。
target_url target.url 直接マッピングされます。
url1 target.url 直接マッピングされます。
url2 target.url 直接マッピングされます。
target_role target.user.attribute.roles 統合済み
CustomerName target.user.user_display_name 直接マッピングされます。
temp_duser target.user.user_display_name 直接マッピングされます。
Bruker target.user.userid 直接マッピングされます。
User_value target.user.userid 直接マッピングされます。
target_user target.user.userid 直接マッピングされます。
temp_duid target.user.userid 直接マッピングされます。
なし about 定数: about
なし about.ip 定数: ips
なし about.mac 定数: mac_address
なし about.nat_ip 定数: deviceTranslatedAddress
なし about.resource.attribute.permissions 定数: permissions
なし additional.fields 定数: additional_eventId
なし extensions.auth.type 定数: AUTHTYPE_UNSPECIFIED
なし intermediary 定数: intermediary
なし intermediary.ip 定数: intermediary_ip
なし metadata.event_type 定数: PROCESS_UNCATEGORIZED
なし metadata.product_name 定数: Cisco Ironport
なし metadata.vendor_name 定数: Cisco
なし network.application_protocol 定数: SMTP
なし network.direction 定数: INBOUND
なし network.email.subject 定数: subject
なし network.email.to 定数: to
なし network.received_bytes 定数: uinteger
なし principal.asset.ip 定数: src_ip
なし principal.ip 定数: principal_ip
なし principal.mac 定数: mac
なし principal.nat_ip 定数: sourceTranslatedAddress
なし principal.user.attribute.roles 定数: principal_role
なし principal.user.email_addresses 定数: email
なし security_result 定数: security_result
なし security_result.action 定数: _action
なし security_result.category_details 定数: cat
なし security_result.detection_fields 定数: field1
なし security_result.severity 定数: LOW
なし src.resource.attribute.permissions 定数: old_permissions
なし target.asset.ip 定数: dst_ip1
なし target.ip 定数: dst_ip
なし target.mac 定数: mac_address
なし target.nat_ip 定数: destination_translated_address
なし target.resource.attribute.labels 定数: resource_Type_label
なし target.user.attribute.roles 定数: target_role

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。