Coletar registros do Cisco Secure Email e da Web
Compatível com:
Google SecOps
SIEM
Este documento explica como ingerir registros do Cisco Secure Email and Web (antigo IronPort) no Google Security Operations usando o agente Bindplane.
O Cisco Secure Email and Web é uma solução de gateway de segurança que protege as organizações contra ameaças transmitidas por e-mail, como spam, phishing, malware e perda de dados. Ele oferece proteção avançada contra ameaças, filtragem de conteúdo, criptografia e defesa de URL para tráfego de e-mail e da Web de entrada e saída. O gateway executa o Cisco AsyncOS e oferece suporte ao registro centralizado com vários métodos de recuperação, incluindo o envio de syslog.
Antes de começar
Verifique se você tem os pré-requisitos a seguir:
- Uma instância do Google SecOps
- Windows Server 2016 ou mais recente ou host Linux com
systemd - Se você estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas de acordo com os requisitos do agente Bindplane.
- Acesso privilegiado ao console de gerenciamento do Cisco Secure Email and Web (função de administrador)
- Conectividade de rede entre o appliance Cisco Secure Email and Web e o host do agente Bindplane na porta syslog configurada
Receber o arquivo de autenticação de ingestão do Google SecOps
- Faça login no console do Google SecOps.
- Acesse Configurações do SIEM > Agentes de coleta.
- Baixe o arquivo de autenticação de ingestão.
Salve o arquivo de forma segura no sistema em que o Bindplane será instalado.
Receber o ID de cliente do Google SecOps
- Faça login no console do Google SecOps.
- Acesse Configurações do SIEM > Perfil.
Copie e salve o ID do cliente na seção Detalhes da organização.
Instalar o agente do Bindplane
Instale o agente do Bindplane no seu sistema operacional Windows ou Linux de acordo com as instruções a seguir.
Instalação do Windows
- Abra o Prompt de comando ou o PowerShell como administrador.
Execute este comando:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quietAguarde a conclusão da instalação.
Execute o seguinte comando para confirmar a instalação:
sc query observiq-otel-collectorO serviço vai aparecer como EM EXECUÇÃO.
Instalação do Linux
- Abra um terminal com privilégios de root ou sudo.
Execute este comando:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.shAguarde a conclusão da instalação.
Execute o seguinte comando para confirmar a instalação:
sudo systemctl status observiq-otel-collectorO serviço vai aparecer como ativo (em execução).
Outros recursos de instalação
Para mais opções de instalação e solução de problemas, consulte o guia de instalação do agente do Bindplane.
Configurar o agente do Bindplane para ingerir syslog e enviar ao Google SecOps
Localizar o arquivo de configuração
Linux:
sudo nano /etc/bindplane-agent/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
Editar o arquivo de configuração
Substitua todo o conteúdo de
config.yamlpela seguinte configuração:receivers: tcplog: listen_address: "0.0.0.0:514" exporters: chronicle/cisco_ironport: compression: gzip creds_file_path: '/path/to/ingestion-authentication-file.json' customer_id: 'YOUR_CUSTOMER_ID' endpoint: malachiteingestion-pa.googleapis.com log_type: 'CISCO_IRONPORT' raw_log_field: body ingestion_labels: service: pipelines: logs/cisco_ironport_to_chronicle: receivers: - tcplog exporters: - chronicle/cisco_ironport
Parâmetros de configuração
Substitua os seguintes marcadores de posição:
Configuração do receptor:
tcplog: usetcplogpara syslog TCP (recomendado para Cisco Secure Email and Web) ouudplogpara syslog UDP.0.0.0.0: endereço IP para escutar (0.0.0.0para escutar em todas as interfaces)514: número da porta a ser detectada (porta syslog padrão).
Configuração do exportador:
creds_file_path: caminho completo para o arquivo de autenticação de ingestão:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
YOUR_CUSTOMER_ID: ID do cliente da seção "Receber ID do cliente"endpoint: URL do endpoint regional:- EUA:
malachiteingestion-pa.googleapis.com - Europa:
europe-malachiteingestion-pa.googleapis.com - Ásia:
asia-southeast1-malachiteingestion-pa.googleapis.com - Consulte a lista completa em Endpoints regionais.
- EUA:
log_type: tipo de registro exatamente como aparece no Chronicle (CISCO_IRONPORT)
Salve o arquivo de configuração.
- Depois de editar, salve o arquivo:
- Linux: pressione
Ctrl+O,EntereCtrl+X. - Windows: clique em Arquivo > Salvar.
- Linux: pressione
Reinicie o agente do Bindplane para aplicar as mudanças
Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:
sudo systemctl restart observiq-otel-collectorVerifique se o serviço está em execução:
sudo systemctl status observiq-otel-collectorVerifique se há erros nos registros:
sudo journalctl -u observiq-otel-collector -f
Para reiniciar o agente do Bindplane em Windows, escolha uma das seguintes opções:
Prompt de comando ou PowerShell como administrador:
net stop observiq-otel-collector && net start observiq-otel-collectorConsole de serviços:
- Pressione
Win+R, digiteservices.msce pressione Enter. - Localize o Coletor do OpenTelemetry da observIQ.
- Clique com o botão direito do mouse e selecione Reiniciar.
Verifique se o serviço está em execução:
sc query observiq-otel-collectorVerifique se há erros nos registros:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
- Pressione
Configurar o encaminhamento de syslog do Cisco Secure Email and Web
- Faça login no console de gerenciamento do Cisco Secure Email and Web.
- Acesse Administração do sistema > Assinaturas de registros.
- Clique em Adicionar assinatura de registro.
- Informe os seguintes detalhes de configuração:
- Tipo de registro: selecione o tipo de registro a ser encaminhado (por exemplo, Registros de e-mail de texto).
- Nome do registro: insira um nome descritivo, por exemplo,
secops-mail-logs. - Nível de registro: selecione Informativo.
- Método de recuperação: selecione Envio de syslog.
- Nome do host: insira o endereço IP ou o nome do host do host do agente do Bindplane.
- Porta: digite
514(ou a porta configurada no agente do Bindplane). - Protocolo: selecione TCP.
Observação: selecione o mesmo protocolo configurado no receptor do agente Bindplane (
tcplogpara TCP,udplogpara UDP). - Facility: selecione LOG_MAIL para registros relacionados a e-mail ou LOG_LOCAL0 a LOG_LOCAL7 para outros tipos de registros.
- Clique em Enviar.
- Repita as etapas de 3 a 5 para cada tipo de registro que você quer encaminhar. Os tipos de registros disponíveis incluem:
- Registros de e-mails de texto
- Registros do sistema
- Registros antispam
- Registros de antivírus
- Registros do mecanismo AMP
- Registros do filtro de conteúdo
- Registros de rastreamento de mensagens
- Registros de depuração do LDAP
- Registros de lista de permissões/bloqueio
- Como gerar relatórios de registros
- Registros do Updater Observação: os registros de autenticação e de rejeição não são compatíveis com o método de recuperação por push do Syslog.
- Clique em Confirmar mudanças para aplicar a configuração.
- Verifique se os registros estão sendo enviados conferindo os registros do agente Bindplane.
Para mais informações, consulte o guia do usuário do Cisco Secure Email Gateway.
Tabela de mapeamento do UDM
| Campo de registro | Mapeamento do UDM | Lógica |
|---|---|---|
about |
about |
Mesclado |
about1 |
about |
Mesclado |
deviceNtDomain |
about.administrative_domain |
Renomeado/mapeado |
deviceExternalId |
about.asset.asset_id |
Mapeado diretamente |
device_product |
about.asset.asset_id |
Mapeado diretamente |
device_vendor |
about.asset.asset_id |
Mapeado diretamente |
fileHash |
about.file.full_path |
Mapeado diretamente |
filePath |
about.file.full_path |
Renomeado/mapeado |
file_name |
about.file.full_path |
Mapeado diretamente |
AMP.fileHash |
about.file.sha256 |
Mapeado diretamente |
_hash |
about.file.sha256 |
Renomeado/mapeado |
fileHash |
about.file.sha256 |
Renomeado/mapeado |
fsize |
about.file.size |
Renomeado/mapeado |
dvchost |
about.hostname |
Renomeado/mapeado |
ips |
about.ip |
Mesclado |
dvcmac |
about.mac |
Mesclado |
mac_address |
about.mac |
Mesclado |
deviceTranslatedAddress |
about.nat_ip |
Mesclado |
Emne |
about.process.command_line |
Mapeado diretamente |
Path |
about.process.command_line |
Mapeado diretamente |
Subject |
about.process.command_line |
Mapeado diretamente |
deviceProcessName |
about.process.command_line |
Renomeado/mapeado |
dvcpid |
about.process.pid |
Renomeado/mapeado |
permissions |
about.resource.attribute.permissions |
Mesclado |
ESAURLDetails |
about.url |
Mapeado diretamente |
_field |
additional.fields |
Mesclado |
additional_cfp1 |
additional.fields |
Mesclado |
additional_cfp2 |
additional.fields |
Mesclado |
additional_cfp3 |
additional.fields |
Mesclado |
additional_cfp4 |
additional.fields |
Mesclado |
additional_cn1 |
additional.fields |
Mesclado |
additional_cn2 |
additional.fields |
Mesclado |
additional_cn3 |
additional.fields |
Mesclado |
additional_cs1 |
additional.fields |
Mesclado |
additional_cs2 |
additional.fields |
Mesclado |
additional_cs3 |
additional.fields |
Mesclado |
additional_cs4 |
additional.fields |
Mesclado |
additional_cs5 |
additional.fields |
Mesclado |
additional_cs6 |
additional.fields |
Mesclado |
additional_cs7 |
additional.fields |
Mesclado |
additional_devicePayloadId |
additional.fields |
Mesclado |
additional_eventId |
additional.fields |
Mesclado |
additional_flexString1 |
additional.fields |
Mesclado |
additional_fname |
additional.fields |
Mesclado |
cs5_label |
additional.fields |
Mesclado |
cs_uri_label |
additional.fields |
Mesclado |
internal_id_label |
additional.fields |
Mesclado |
s_hierarchy_label |
additional.fields |
Mesclado |
sc_bytes_label |
additional.fields |
Mesclado |
intermediary |
intermediary |
Mesclado |
ESAHeloDomain |
intermediary.administrative_domain |
Mapeado diretamente |
syslog_program |
intermediary.application |
Mapeado diretamente |
hostname |
intermediary.asset.hostname |
Mapeado diretamente |
column3 |
intermediary.hostname |
Mapeado diretamente |
hostname |
intermediary.hostname |
Mapeado diretamente |
s_computerName |
intermediary.hostname |
Mapeado diretamente |
intermediary_ip |
intermediary.ip |
Mesclado |
msg |
metadata.description |
Renomeado/mapeado |
msg2 |
metadata.description |
Mapeado diretamente |
device_event_class_id |
metadata.product_event_type |
Mapeado diretamente |
event_name |
metadata.product_event_type |
Mapeado diretamente |
product_event |
metadata.product_event_type |
Mapeado diretamente |
externalId |
metadata.product_log_id |
Mapeado diretamente |
device_product |
metadata.product_name |
Mapeado diretamente |
device_product_name |
metadata.product_name |
Mapeado diretamente |
device_version |
metadata.product_version |
Mapeado diretamente |
device_vendor |
metadata.vendor_name |
Renomeado/mapeado |
network |
network |
Renomeado/mapeado |
app_protocol_output |
network.application_protocol |
Mapeado diretamente |
from |
network.email.from |
Mapeado diretamente |
mailfrom.sender |
network.email.from |
Mapeado diretamente |
message_id |
network.email.mail_id |
Mapeado diretamente |
subject |
network.email.subject |
Mesclado |
to |
network.email.to |
Mesclado |
cs_method |
network.http.method |
Mapeado diretamente |
http_method |
network.http.method |
Mapeado diretamente |
requestMethod |
network.http.method |
Renomeado/mapeado |
cs_user_agent |
network.http.parsed_user_agent |
Renomeado/mapeado |
http_response_code |
network.http.response_code |
Mapeado diretamente |
response_code |
network.http.response_code |
Mapeado diretamente |
cs_user_agent |
network.http.user_agent |
Mapeado diretamente |
requestClientApplication |
network.http.user_agent |
Renomeado/mapeado |
useragent |
network.http.user_agent |
Mapeado diretamente |
ip_protocol_out |
network.ip_protocol |
Mapeado diretamente |
in |
network.received_bytes |
Renomeado/mapeado |
received_bytes |
network.received_bytes |
Mapeado diretamente |
out |
network.sent_bytes |
Renomeado/mapeado |
total_bytes |
network.sent_bytes |
Renomeado/mapeado |
ESATLSInCipher |
network.tls.cipher |
Mapeado diretamente |
sntdom |
principal.administrative_domain |
Renomeado/mapeado |
sourceServiceName |
principal.application |
Renomeado/mapeado |
principal_host |
principal.asset.hostname |
Mapeado diretamente |
c_ip |
principal.asset.ip |
Mesclado |
cs_x_forwarded_for |
principal.asset.ip |
Mesclado |
source_ip |
principal.asset.ip |
Mesclado |
src_ip |
principal.asset.ip |
Mesclado |
Group_name |
principal.group.group_display_name |
Mapeado diretamente |
Gruppenavn |
principal.group.group_display_name |
Mapeado diretamente |
Device_name |
principal.hostname |
Mapeado diretamente |
Enhetsnavn |
principal.hostname |
Mapeado diretamente |
principal_host |
principal.hostname |
Mapeado diretamente |
shost |
principal.hostname |
Renomeado/mapeado |
c_ip |
principal.ip |
Mesclado |
cs_x_forwarded_for |
principal.ip |
Mesclado |
principal_ip |
principal.ip |
Mesclado |
shost |
principal.ip |
Mesclado |
source_ip |
principal.ip |
Mesclado |
src_ip |
principal.ip |
Mesclado |
mac |
principal.mac |
Mesclado |
sourceTranslatedAddress |
principal.nat_ip |
Mesclado |
sourceTranslatedPort |
principal.nat_port |
Renomeado/mapeado |
c_port |
principal.port |
Mapeado diretamente |
spt |
principal.port |
Renomeado/mapeado |
src_port |
principal.port |
Mapeado diretamente |
sproc |
principal.process.command_line |
Renomeado/mapeado |
processName |
principal.process.file.full_path |
Mapeado diretamente |
spid |
principal.process.pid |
Renomeado/mapeado |
principalUrl |
principal.url |
Mapeado diretamente |
principal_role |
principal.user.attribute.roles |
Mesclado |
email |
principal.user.email_addresses |
Mesclado |
helo.sender |
principal.user.email_addresses |
Mesclado |
suser |
principal.user.user_display_name |
Mapeado diretamente |
authenticated_user |
principal.user.userid |
Mapeado diretamente |
cs_username |
principal.user.userid |
Mapeado diretamente |
suid |
principal.user.userid |
Renomeado/mapeado |
sec_result |
security_result |
Mesclado |
security_result |
security_result |
Mesclado |
_action |
security_result.action |
Mesclado |
tempaction |
security_result.action |
Mesclado |
Action_Taken |
security_result.action_details |
Mapeado diretamente |
act |
security_result.action_details |
Mapeado diretamente |
cat |
security_result.category_details |
Mesclado |
Scan_Type |
security_result.description |
Mapeado diretamente |
Type |
security_result.description |
Mapeado diretamente |
msg_data_2 |
security_result.description |
Mapeado diretamente |
field1 |
security_result.detection_fields |
Mesclado |
infection_channel_label |
security_result.detection_fields |
Mesclado |
operasjon_label |
security_result.detection_fields |
Mesclado |
operation_label |
security_result.detection_fields |
Mesclado |
permission_label |
security_result.detection_fields |
Mesclado |
spyware_Grayware_Type_label |
security_result.detection_fields |
Mesclado |
threat_probability_label |
security_result.detection_fields |
Mesclado |
tillatelse_label |
security_result.detection_fields |
Mesclado |
mwProfile |
security_result.rule_name |
Mapeado diretamente |
Result |
security_result.summary |
Mapeado diretamente |
appcategory |
security_result.summary |
Mapeado diretamente |
reason |
security_result.summary |
Renomeado/mapeado |
Spyware |
security_result.threat_name |
Mapeado diretamente |
Unknown_Threat |
security_result.threat_name |
Mapeado diretamente |
Virus_Malware_Name |
security_result.threat_name |
Mapeado diretamente |
oldFilePath |
src.file.full_path |
Renomeado/mapeado |
oldFileSize |
src.file.size |
Renomeado/mapeado |
old_permissions |
src.resource.attribute.permissions |
Mesclado |
target |
target |
Renomeado/mapeado |
dntdom |
target.administrative_domain |
Renomeado/mapeado |
destinationServiceName |
target.application |
Renomeado/mapeado |
host |
target.asset.hostname |
Mapeado diretamente |
dst_ip1 |
target.asset.ip |
Mesclado |
ip |
target.asset.ip |
Mesclado |
target_ip |
target.asset.ip |
Mesclado |
host |
target.hostname |
Mapeado diretamente |
s_computerName |
target.hostname |
Mapeado diretamente |
s_hostname |
target.hostname |
Mapeado diretamente |
target_host |
target.hostname |
Mapeado diretamente |
temp_dhost |
target.hostname |
Mapeado diretamente |
IPv6_Address |
target.ip |
Mesclado |
dst_ip |
target.ip |
Mesclado |
dst_ip1 |
target.ip |
Mesclado |
ip |
target.ip |
Mesclado |
target_ip |
target.ip |
Mesclado |
mac_address |
target.mac |
Mesclado |
destination_translated_address |
target.nat_ip |
Mesclado |
destinationTranslatedPort |
target.nat_port |
Renomeado/mapeado |
dpt |
target.port |
Renomeado/mapeado |
dst_port |
target.port |
Mapeado diretamente |
s_port |
target.port |
Mapeado diretamente |
dproc |
target.process.command_line |
Renomeado/mapeado |
File_name |
target.process.file.full_path |
Mapeado diretamente |
Infected_Resource |
target.process.file.full_path |
Mapeado diretamente |
Object |
target.process.file.full_path |
Mapeado diretamente |
Objekt |
target.process.file.full_path |
Mapeado diretamente |
dpid |
target.process.pid |
Renomeado/mapeado |
resource_Type_label |
target.resource.attribute.labels |
Mesclado |
request |
target.url |
Mapeado diretamente |
target_url |
target.url |
Mapeado diretamente |
url1 |
target.url |
Mapeado diretamente |
url2 |
target.url |
Mapeado diretamente |
target_role |
target.user.attribute.roles |
Mesclado |
CustomerName |
target.user.user_display_name |
Mapeado diretamente |
temp_duser |
target.user.user_display_name |
Mapeado diretamente |
Bruker |
target.user.userid |
Mapeado diretamente |
User_value |
target.user.userid |
Mapeado diretamente |
target_user |
target.user.userid |
Mapeado diretamente |
temp_duid |
target.user.userid |
Mapeado diretamente |
| N/A | about |
Constante: about |
| N/A | about.ip |
Constante: ips |
| N/A | about.mac |
Constante: mac_address |
| N/A | about.nat_ip |
Constante: deviceTranslatedAddress |
| N/A | about.resource.attribute.permissions |
Constante: permissions |
| N/A | additional.fields |
Constante: additional_eventId |
| N/A | extensions.auth.type |
Constante: AUTHTYPE_UNSPECIFIED |
| N/A | intermediary |
Constante: intermediary |
| N/A | intermediary.ip |
Constante: intermediary_ip |
| N/A | metadata.event_type |
Constante: PROCESS_UNCATEGORIZED |
| N/A | metadata.product_name |
Constante: Cisco Ironport |
| N/A | metadata.vendor_name |
Constante: Cisco |
| N/A | network.application_protocol |
Constante: SMTP |
| N/A | network.direction |
Constante: INBOUND |
| N/A | network.email.subject |
Constante: subject |
| N/A | network.email.to |
Constante: to |
| N/A | network.received_bytes |
Constante: uinteger |
| N/A | principal.asset.ip |
Constante: src_ip |
| N/A | principal.ip |
Constante: principal_ip |
| N/A | principal.mac |
Constante: mac |
| N/A | principal.nat_ip |
Constante: sourceTranslatedAddress |
| N/A | principal.user.attribute.roles |
Constante: principal_role |
| N/A | principal.user.email_addresses |
Constante: email |
| N/A | security_result |
Constante: security_result |
| N/A | security_result.action |
Constante: _action |
| N/A | security_result.category_details |
Constante: cat |
| N/A | security_result.detection_fields |
Constante: field1 |
| N/A | security_result.severity |
Constante: LOW |
| N/A | src.resource.attribute.permissions |
Constante: old_permissions |
| N/A | target.asset.ip |
Constante: dst_ip1 |
| N/A | target.ip |
Constante: dst_ip |
| N/A | target.mac |
Constante: mac_address |
| N/A | target.nat_ip |
Constante: destination_translated_address |
| N/A | target.resource.attribute.labels |
Constante: resource_Type_label |
| N/A | target.user.attribute.roles |
Constante: target_role |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.