收集 Cisco Secure Email 和 Web 日志
支持的平台:
Google SecOps
SIEM
本文档介绍了如何使用 Bindplane 代理将 Cisco Secure Email and Web(以前称为 IronPort)日志注入到 Google Security Operations。
Cisco Secure Email and Web 是一种安全网关解决方案,可保护组织免受垃圾邮件、钓鱼式攻击、恶意软件和数据丢失等电子邮件传播的威胁。它可为入站和出站电子邮件及网络流量提供高级威胁防护、内容过滤、加密和网址防御功能。网关运行 Cisco AsyncOS,支持通过多种检索方法(包括 syslog 推送)进行集中式日志记录。
准备工作
请确保满足以下前提条件:
- Google SecOps 实例
- Windows Server 2016 或更高版本,或者具有
systemd的 Linux 主机 - 如果通过代理运行,请确保防火墙端口已根据 Bindplane 代理要求打开
- 对 Cisco Secure Email and Web 管理控制台的特权访问权限(管理员角色)
- Cisco Secure Email and Web 设备与 Bindplane 代理主机之间在配置的 syslog 端口上的网络连接
获取 Google SecOps 注入身份验证文件
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 收集代理。
- 下载注入身份验证文件。
将文件安全地保存在将要安装 Bindplane 的系统上。
获取 Google SecOps 客户 ID
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 配置文件。
复制并保存组织详细信息部分中的客户 ID。
安装 Bindplane 代理
按照以下说明在 Windows 或 Linux 操作系统上安装 Bindplane 代理。
Windows 安装
- 以管理员身份打开命令提示符或 PowerShell。
运行以下命令:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet等待安装完成。
运行以下命令,验证安装是否成功:
sc query observiq-otel-collector该服务应显示为 RUNNING。
Linux 安装
- 打开具有 root 或 sudo 权限的终端。
运行以下命令:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh等待安装完成。
运行以下命令,验证安装是否成功:
sudo systemctl status observiq-otel-collector该服务应显示为有效(正在运行)。
其他安装资源
如需了解其他安装选项和问题排查信息,请参阅 Bindplane 代理安装指南。
配置 Bindplane 代理以注入 syslog 并将其发送到 Google SecOps
找到配置文件
Linux:
sudo nano /etc/bindplane-agent/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
修改配置文件
将
config.yaml的全部内容替换为以下配置:receivers: tcplog: listen_address: "0.0.0.0:514" exporters: chronicle/cisco_ironport: compression: gzip creds_file_path: '/path/to/ingestion-authentication-file.json' customer_id: 'YOUR_CUSTOMER_ID' endpoint: malachiteingestion-pa.googleapis.com log_type: 'CISCO_IRONPORT' raw_log_field: body ingestion_labels: service: pipelines: logs/cisco_ironport_to_chronicle: receivers: - tcplog exporters: - chronicle/cisco_ironport
配置参数
替换以下占位符:
接收器配置:
tcplog:使用tcplog进行 TCP syslog(建议用于 Cisco Secure Email and Web)或使用udplog进行 UDP syslog0.0.0.0:要监听的 IP 地址(0.0.0.0表示监听所有接口)514:要监听的端口号(标准 syslog 端口)
导出器配置:
creds_file_path:提取身份验证文件的完整路径:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
YOUR_CUSTOMER_ID:从“获取客户 ID”部分获取的客户 IDendpoint:区域端点网址:- 美国:
malachiteingestion-pa.googleapis.com - 欧洲:
europe-malachiteingestion-pa.googleapis.com - 亚洲:
asia-southeast1-malachiteingestion-pa.googleapis.com - 如需查看完整列表,请参阅区域级端点
- 美国:
log_type:日志类型,与在 Chronicle 中显示的完全一致 (CISCO_IRONPORT)
保存配置文件
- 修改后,保存文件:
- Linux:依次按
Ctrl+O、Enter和Ctrl+X - Windows:依次点击文件 > 保存
- Linux:依次按
重启 Bindplane 代理以应用更改
如需在 Linux 中重启 Bindplane 代理,请运行以下命令:
sudo systemctl restart observiq-otel-collector验证服务是否正在运行:
sudo systemctl status observiq-otel-collector检查日志是否存在错误:
sudo journalctl -u observiq-otel-collector -f
如需在 Windows 中重启 Bindplane 代理,请选择以下选项之一:
以管理员身份运行命令提示符或 PowerShell:
net stop observiq-otel-collector && net start observiq-otel-collector服务控制台:
- 按
Win+R,输入services.msc,然后按 Enter 键。 - 找到 observIQ OpenTelemetry 收集器。
- 右键点击并选择重新启动。
验证服务是否正在运行:
sc query observiq-otel-collector检查日志是否存在错误:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
- 按
配置 Cisco Secure Email and Web syslog 转发
- 登录 Cisco Secure Email and Web 管理控制台。
- 前往系统管理 > 日志订阅。
- 点击 Add Log Subscription。
- 提供以下配置详细信息:
- 日志类型:选择要转发的日志类型(例如文本邮件日志)。
- 日志名称:输入一个描述性名称(例如
secops-mail-logs)。 - 日志级别:选择信息。
- 检索方法:选择 Syslog 推送。
- 主机名:输入 Bindplane 代理主机所在的 IP 地址或主机名。
- 端口:输入
514(或在 Bindplane 代理中配置的端口)。 - 协议:选择 TCP。
注意:请选择在 Bindplane 代理接收器中配置的相同协议(
tcplog表示 TCP,udplog表示 UDP)。 - 设备:选择 LOG_MAIL 可获取与邮件相关的日志,选择 LOG_LOCAL0 至 LOG_LOCAL7 可获取其他日志类型。
- 点击提交。
- 针对要转发的每种日志类型重复执行第 3 步到第 5 步。可用的日志类型包括:
- 文本邮件日志
- 系统日志
- 反垃圾邮件日志
- 防病毒日志
- AMP Engine 日志
- 内容过滤器日志
- 邮件跟踪日志
- LDAP 调试日志
- 安全名单/屏蔽名单日志
- 报告日志
- 更新程序日志 注意:身份验证日志和退回日志不支持 Syslog 推送检索方法。
- 点击提交更改以应用配置。
- 通过检查 Bindplane 代理日志,验证日志是否正在发送。
如需了解详情,请参阅 Cisco Secure Email Gateway 用户指南。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
about |
about |
已合并 |
about1 |
about |
已合并 |
deviceNtDomain |
about.administrative_domain |
已重命名/已映射 |
deviceExternalId |
about.asset.asset_id |
直接映射 |
device_product |
about.asset.asset_id |
直接映射 |
device_vendor |
about.asset.asset_id |
直接映射 |
fileHash |
about.file.full_path |
直接映射 |
filePath |
about.file.full_path |
已重命名/已映射 |
file_name |
about.file.full_path |
直接映射 |
AMP.fileHash |
about.file.sha256 |
直接映射 |
_hash |
about.file.sha256 |
已重命名/已映射 |
fileHash |
about.file.sha256 |
已重命名/已映射 |
fsize |
about.file.size |
已重命名/已映射 |
dvchost |
about.hostname |
已重命名/已映射 |
ips |
about.ip |
已合并 |
dvcmac |
about.mac |
已合并 |
mac_address |
about.mac |
已合并 |
deviceTranslatedAddress |
about.nat_ip |
已合并 |
Emne |
about.process.command_line |
直接映射 |
Path |
about.process.command_line |
直接映射 |
Subject |
about.process.command_line |
直接映射 |
deviceProcessName |
about.process.command_line |
已重命名/已映射 |
dvcpid |
about.process.pid |
已重命名/已映射 |
permissions |
about.resource.attribute.permissions |
已合并 |
ESAURLDetails |
about.url |
直接映射 |
_field |
additional.fields |
已合并 |
additional_cfp1 |
additional.fields |
已合并 |
additional_cfp2 |
additional.fields |
已合并 |
additional_cfp3 |
additional.fields |
已合并 |
additional_cfp4 |
additional.fields |
已合并 |
additional_cn1 |
additional.fields |
已合并 |
additional_cn2 |
additional.fields |
已合并 |
additional_cn3 |
additional.fields |
已合并 |
additional_cs1 |
additional.fields |
已合并 |
additional_cs2 |
additional.fields |
已合并 |
additional_cs3 |
additional.fields |
已合并 |
additional_cs4 |
additional.fields |
已合并 |
additional_cs5 |
additional.fields |
已合并 |
additional_cs6 |
additional.fields |
已合并 |
additional_cs7 |
additional.fields |
已合并 |
additional_devicePayloadId |
additional.fields |
已合并 |
additional_eventId |
additional.fields |
已合并 |
additional_flexString1 |
additional.fields |
已合并 |
additional_fname |
additional.fields |
已合并 |
cs5_label |
additional.fields |
已合并 |
cs_uri_label |
additional.fields |
已合并 |
internal_id_label |
additional.fields |
已合并 |
s_hierarchy_label |
additional.fields |
已合并 |
sc_bytes_label |
additional.fields |
已合并 |
intermediary |
intermediary |
已合并 |
ESAHeloDomain |
intermediary.administrative_domain |
直接映射 |
syslog_program |
intermediary.application |
直接映射 |
hostname |
intermediary.asset.hostname |
直接映射 |
column3 |
intermediary.hostname |
直接映射 |
hostname |
intermediary.hostname |
直接映射 |
s_computerName |
intermediary.hostname |
直接映射 |
intermediary_ip |
intermediary.ip |
已合并 |
msg |
metadata.description |
已重命名/已映射 |
msg2 |
metadata.description |
直接映射 |
device_event_class_id |
metadata.product_event_type |
直接映射 |
event_name |
metadata.product_event_type |
直接映射 |
product_event |
metadata.product_event_type |
直接映射 |
externalId |
metadata.product_log_id |
直接映射 |
device_product |
metadata.product_name |
直接映射 |
device_product_name |
metadata.product_name |
直接映射 |
device_version |
metadata.product_version |
直接映射 |
device_vendor |
metadata.vendor_name |
已重命名/已映射 |
network |
network |
已重命名/已映射 |
app_protocol_output |
network.application_protocol |
直接映射 |
from |
network.email.from |
直接映射 |
mailfrom.sender |
network.email.from |
直接映射 |
message_id |
network.email.mail_id |
直接映射 |
subject |
network.email.subject |
已合并 |
to |
network.email.to |
已合并 |
cs_method |
network.http.method |
直接映射 |
http_method |
network.http.method |
直接映射 |
requestMethod |
network.http.method |
已重命名/已映射 |
cs_user_agent |
network.http.parsed_user_agent |
已重命名/已映射 |
http_response_code |
network.http.response_code |
直接映射 |
response_code |
network.http.response_code |
直接映射 |
cs_user_agent |
network.http.user_agent |
直接映射 |
requestClientApplication |
network.http.user_agent |
已重命名/已映射 |
useragent |
network.http.user_agent |
直接映射 |
ip_protocol_out |
network.ip_protocol |
直接映射 |
in |
network.received_bytes |
已重命名/已映射 |
received_bytes |
network.received_bytes |
直接映射 |
out |
network.sent_bytes |
已重命名/已映射 |
total_bytes |
network.sent_bytes |
已重命名/已映射 |
ESATLSInCipher |
network.tls.cipher |
直接映射 |
sntdom |
principal.administrative_domain |
已重命名/已映射 |
sourceServiceName |
principal.application |
已重命名/已映射 |
principal_host |
principal.asset.hostname |
直接映射 |
c_ip |
principal.asset.ip |
已合并 |
cs_x_forwarded_for |
principal.asset.ip |
已合并 |
source_ip |
principal.asset.ip |
已合并 |
src_ip |
principal.asset.ip |
已合并 |
Group_name |
principal.group.group_display_name |
直接映射 |
Gruppenavn |
principal.group.group_display_name |
直接映射 |
Device_name |
principal.hostname |
直接映射 |
Enhetsnavn |
principal.hostname |
直接映射 |
principal_host |
principal.hostname |
直接映射 |
shost |
principal.hostname |
已重命名/已映射 |
c_ip |
principal.ip |
已合并 |
cs_x_forwarded_for |
principal.ip |
已合并 |
principal_ip |
principal.ip |
已合并 |
shost |
principal.ip |
已合并 |
source_ip |
principal.ip |
已合并 |
src_ip |
principal.ip |
已合并 |
mac |
principal.mac |
已合并 |
sourceTranslatedAddress |
principal.nat_ip |
已合并 |
sourceTranslatedPort |
principal.nat_port |
已重命名/已映射 |
c_port |
principal.port |
直接映射 |
spt |
principal.port |
已重命名/已映射 |
src_port |
principal.port |
直接映射 |
sproc |
principal.process.command_line |
已重命名/已映射 |
processName |
principal.process.file.full_path |
直接映射 |
spid |
principal.process.pid |
已重命名/已映射 |
principalUrl |
principal.url |
直接映射 |
principal_role |
principal.user.attribute.roles |
已合并 |
email |
principal.user.email_addresses |
已合并 |
helo.sender |
principal.user.email_addresses |
已合并 |
suser |
principal.user.user_display_name |
直接映射 |
authenticated_user |
principal.user.userid |
直接映射 |
cs_username |
principal.user.userid |
直接映射 |
suid |
principal.user.userid |
已重命名/已映射 |
sec_result |
security_result |
已合并 |
security_result |
security_result |
已合并 |
_action |
security_result.action |
已合并 |
tempaction |
security_result.action |
已合并 |
Action_Taken |
security_result.action_details |
直接映射 |
act |
security_result.action_details |
直接映射 |
cat |
security_result.category_details |
已合并 |
Scan_Type |
security_result.description |
直接映射 |
Type |
security_result.description |
直接映射 |
msg_data_2 |
security_result.description |
直接映射 |
field1 |
security_result.detection_fields |
已合并 |
infection_channel_label |
security_result.detection_fields |
已合并 |
operasjon_label |
security_result.detection_fields |
已合并 |
operation_label |
security_result.detection_fields |
已合并 |
permission_label |
security_result.detection_fields |
已合并 |
spyware_Grayware_Type_label |
security_result.detection_fields |
已合并 |
threat_probability_label |
security_result.detection_fields |
已合并 |
tillatelse_label |
security_result.detection_fields |
已合并 |
mwProfile |
security_result.rule_name |
直接映射 |
Result |
security_result.summary |
直接映射 |
appcategory |
security_result.summary |
直接映射 |
reason |
security_result.summary |
已重命名/已映射 |
Spyware |
security_result.threat_name |
直接映射 |
Unknown_Threat |
security_result.threat_name |
直接映射 |
Virus_Malware_Name |
security_result.threat_name |
直接映射 |
oldFilePath |
src.file.full_path |
已重命名/已映射 |
oldFileSize |
src.file.size |
已重命名/已映射 |
old_permissions |
src.resource.attribute.permissions |
已合并 |
target |
target |
已重命名/已映射 |
dntdom |
target.administrative_domain |
已重命名/已映射 |
destinationServiceName |
target.application |
已重命名/已映射 |
host |
target.asset.hostname |
直接映射 |
dst_ip1 |
target.asset.ip |
已合并 |
ip |
target.asset.ip |
已合并 |
target_ip |
target.asset.ip |
已合并 |
host |
target.hostname |
直接映射 |
s_computerName |
target.hostname |
直接映射 |
s_hostname |
target.hostname |
直接映射 |
target_host |
target.hostname |
直接映射 |
temp_dhost |
target.hostname |
直接映射 |
IPv6_Address |
target.ip |
已合并 |
dst_ip |
target.ip |
已合并 |
dst_ip1 |
target.ip |
已合并 |
ip |
target.ip |
已合并 |
target_ip |
target.ip |
已合并 |
mac_address |
target.mac |
已合并 |
destination_translated_address |
target.nat_ip |
已合并 |
destinationTranslatedPort |
target.nat_port |
已重命名/已映射 |
dpt |
target.port |
已重命名/已映射 |
dst_port |
target.port |
直接映射 |
s_port |
target.port |
直接映射 |
dproc |
target.process.command_line |
已重命名/已映射 |
File_name |
target.process.file.full_path |
直接映射 |
Infected_Resource |
target.process.file.full_path |
直接映射 |
Object |
target.process.file.full_path |
直接映射 |
Objekt |
target.process.file.full_path |
直接映射 |
dpid |
target.process.pid |
已重命名/已映射 |
resource_Type_label |
target.resource.attribute.labels |
已合并 |
request |
target.url |
直接映射 |
target_url |
target.url |
直接映射 |
url1 |
target.url |
直接映射 |
url2 |
target.url |
直接映射 |
target_role |
target.user.attribute.roles |
已合并 |
CustomerName |
target.user.user_display_name |
直接映射 |
temp_duser |
target.user.user_display_name |
直接映射 |
Bruker |
target.user.userid |
直接映射 |
User_value |
target.user.userid |
直接映射 |
target_user |
target.user.userid |
直接映射 |
temp_duid |
target.user.userid |
直接映射 |
| 不适用 | about |
常量:about |
| 不适用 | about.ip |
常量:ips |
| 不适用 | about.mac |
常量:mac_address |
| 不适用 | about.nat_ip |
常量:deviceTranslatedAddress |
| 不适用 | about.resource.attribute.permissions |
常量:permissions |
| 不适用 | additional.fields |
常量:additional_eventId |
| 不适用 | extensions.auth.type |
常量:AUTHTYPE_UNSPECIFIED |
| 不适用 | intermediary |
常量:intermediary |
| 不适用 | intermediary.ip |
常量:intermediary_ip |
| 不适用 | metadata.event_type |
常量:PROCESS_UNCATEGORIZED |
| 不适用 | metadata.product_name |
常量:Cisco Ironport |
| 不适用 | metadata.vendor_name |
常量:Cisco |
| 不适用 | network.application_protocol |
常量:SMTP |
| 不适用 | network.direction |
常量:INBOUND |
| 不适用 | network.email.subject |
常量:subject |
| 不适用 | network.email.to |
常量:to |
| 不适用 | network.received_bytes |
常量:uinteger |
| 不适用 | principal.asset.ip |
常量:src_ip |
| 不适用 | principal.ip |
常量:principal_ip |
| 不适用 | principal.mac |
常量:mac |
| 不适用 | principal.nat_ip |
常量:sourceTranslatedAddress |
| 不适用 | principal.user.attribute.roles |
常量:principal_role |
| 不适用 | principal.user.email_addresses |
常量:email |
| 不适用 | security_result |
常量:security_result |
| 不适用 | security_result.action |
常量:_action |
| 不适用 | security_result.category_details |
常量:cat |
| 不适用 | security_result.detection_fields |
常量:field1 |
| 不适用 | security_result.severity |
常量:LOW |
| 不适用 | src.resource.attribute.permissions |
常量:old_permissions |
| 不适用 | target.asset.ip |
常量:dst_ip1 |
| 不适用 | target.ip |
常量:dst_ip |
| 不适用 | target.mac |
常量:mac_address |
| 不适用 | target.nat_ip |
常量:destination_translated_address |
| 不适用 | target.resource.attribute.labels |
常量:resource_Type_label |
| 不适用 | target.user.attribute.roles |
常量:target_role |
需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。