Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

收集 Cisco Secure Email 和 Web 記錄

支援的國家/地區：

Google SecOps SIEM

本文說明如何使用 Bindplane 代理程式，將 Cisco Secure Email and Web (舊稱 IronPort) 記錄擷取至 Google Security Operations。

Cisco Secure Email and Web 是一種安全閘道解決方案，可保護機構免受電子郵件傳播的威脅，例如垃圾郵件、網路釣魚、惡意軟體和資料遺失。這項服務可為內送和外寄電子郵件與網站流量提供進階威脅防護、內容篩選、加密和網址防禦功能。閘道會執行 Cisco AsyncOS，並支援集中式記錄，提供多種擷取方法，包括 Syslog 推送。

事前準備

請確認您已完成下列事前準備事項：

Google SecOps 執行個體
Windows Server 2016 以上版本，或搭載 systemd 的 Linux 主機
如果透過 Proxy 執行，請確保防火牆通訊埠已根據 Bindplane 代理程式需求開啟
Cisco Secure Email and Web 管理控制台的特殊存取權 (管理員角色)
Cisco Secure Email and Web 設備與設定的系統記錄埠上 Bindplane 代理程式主機之間的網路連線

取得 Google SecOps 擷取驗證檔案

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「收集代理程式」。
下載擷取驗證檔案。
將檔案安全地儲存在要安裝 Bindplane 的系統上。

注意： 這個 JSON 檔案包含驗證 Bindplane 代理程式與 Google SecOps 的憑證。

取得 Google SecOps 客戶 ID

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「設定檔」。
複製並儲存「機構詳細資料」部分中的客戶 ID。

注意： 設定 Bindplane 代理程式匯出工具時，需要提供客戶 ID。

安裝 Bindplane 代理程式

請按照下列操作說明，在 Windows 或 Linux 作業系統上安裝 Bindplane 代理程式。

Windows 安裝

以管理員身分開啟「命令提示字元」或「PowerShell」。

執行下列指令：

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

等待安裝完成。
執行下列指令，確認安裝成功：
```
sc query observiq-otel-collector
```
服務應顯示為RUNNING。

Linux 安裝

開啟具有根層級或 sudo 權限的終端機。

執行下列指令：

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

等待安裝完成。
執行下列指令，確認安裝成功：
```
sudo systemctl status observiq-otel-collector
```
服務應顯示為有效 (執行中)。

其他安裝資源

如需其他安裝選項和疑難排解資訊，請參閱 Bindplane 代理程式安裝指南。

設定 Bindplane 代理程式，擷取系統記錄檔並傳送至 Google SecOps

找出設定檔

Linux：

sudo nano /etc/bindplane-agent/config.yaml

Windows：

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

編輯設定檔

將 config.yaml 的所有內容替換為下列設定：

receivers:
    tcplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/cisco_ironport:
        compression: gzip
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        customer_id: 'YOUR_CUSTOMER_ID'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: 'CISCO_IRONPORT'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/cisco_ironport_to_chronicle:
            receivers:
                - tcplog
            exporters:
                - chronicle/cisco_ironport

設定參數

替換下列預留位置：

接收器設定：
- tcplog：使用 tcplog (建議用於 Cisco Secure Email and Web) 或 udplog (適用於 UDP Syslog) 進行 TCP Syslog
- 0.0.0.0：要接聽的 IP 位址 (0.0.0.0 可接聽所有介面)
- 514：要接聽的通訊埠號碼 (標準系統記錄通訊埠)
匯出工具設定：
- creds_file_path：擷取驗證檔案的完整路徑：
  - Linux：/etc/bindplane-agent/ingestion-auth.json
  - Windows：C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- YOUR_CUSTOMER_ID：從「取得客戶 ID」一節取得的客戶 ID
- endpoint：區域端點網址：
  - 美國：malachiteingestion-pa.googleapis.com
  - 歐洲：europe-malachiteingestion-pa.googleapis.com
  - 亞洲：asia-southeast1-malachiteingestion-pa.googleapis.com
  - 如需完整清單，請參閱「區域端點」
- log_type：記錄類型，與 Chronicle 中顯示的完全一致 (CISCO_IRONPORT)

儲存設定檔

編輯完成後，請儲存檔案：
- Linux：依序按下 Ctrl+O、Enter 和 Ctrl+X
- Windows：依序點選「檔案」>「儲存」

重新啟動 Bindplane 代理程式，以套用變更

如要在 Linux 中重新啟動 Bindplane 代理程式，請執行下列指令：

sudo systemctl restart observiq-otel-collector

確認服務正在執行：

sudo systemctl status observiq-otel-collector

檢查記錄中是否有錯誤：

sudo journalctl -u observiq-otel-collector -f

如要在 Windows 中重新啟動 Bindplane 代理程式，請選擇下列任一做法：
- 以管理員身分開啟命令提示字元或 PowerShell：
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- 服務控制台：
  1. 按下 Win+R，輸入 services.msc，然後按下 Enter 鍵。
  2. 找出 observIQ OpenTelemetry Collector。
  3. 按一下滑鼠右鍵，然後選取「重新啟動」。
  4. 確認服務正在執行：
```
sc query observiq-otel-collector
```
  5. 檢查記錄中是否有錯誤：
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

設定 Cisco Secure Email and Web 系統記錄轉送

登入 Cisco Secure Email and Web 管理控制台。
依序前往「系統管理」>「記錄訂閱」。
按一下「新增記錄訂閱項目」。
請提供下列設定詳細資料：
- 記錄類型：選取要轉寄的記錄類型 (例如「文字郵件記錄」)。
- 記錄檔名稱：輸入描述性名稱 (例如 secops-mail-logs)。
- 「記錄層級」：選取「資訊」。
- 擷取方法：選取「Syslog Push」。
- 主機名稱：輸入 Bindplane 代理程式主機的 IP 位址或主機名稱。
- 通訊埠：輸入 514 (或在 Bindplane 代理程式中設定的通訊埠)。
- 「通訊協定」：選取「TCP」。注意：請選取在 Bindplane 代理程式接收器中設定的通訊協定 (TCP 為 tcplog，UDP 為 udplog)。
- 設施：如要查看郵件相關記錄，請選取「LOG_MAIL」；如要查看其他記錄類型，請選取「LOG_LOCAL0」到「LOG_LOCAL7」。
按一下「提交」。
針對要轉送的每種記錄類型，重複執行步驟 3 到 5。可用的記錄類型包括：
- 文字郵件記錄
- 系統記錄
- 防垃圾郵件記錄
- 防毒記錄
- AMP 引擎記錄
- 內容篩選記錄
- 訊息追蹤記錄
- LDAP 偵錯記錄
- 許可清單/封鎖清單記錄
- 回報記錄
- 更新程式記錄注意：驗證記錄和退信記錄不支援 Syslog 推送擷取方法。
按一下「Commit Changes」，套用設定。
檢查 Bindplane 代理程式記錄，確認記錄是否已傳送。

詳情請參閱「Cisco Secure Email Gateway 使用手冊」。

UDM 對應表

記錄欄位	UDM 對應	邏輯
`about`	`about`	已合併
`about1`	`about`	已合併
`deviceNtDomain`	`about.administrative_domain`	已重新命名/對應
`deviceExternalId`	`about.asset.asset_id`	直接對應
`device_product`	`about.asset.asset_id`	直接對應
`device_vendor`	`about.asset.asset_id`	直接對應
`fileHash`	`about.file.full_path`	直接對應
`filePath`	`about.file.full_path`	已重新命名/對應
`file_name`	`about.file.full_path`	直接對應
`AMP.fileHash`	`about.file.sha256`	直接對應
`_hash`	`about.file.sha256`	已重新命名/對應
`fileHash`	`about.file.sha256`	已重新命名/對應
`fsize`	`about.file.size`	已重新命名/對應
`dvchost`	`about.hostname`	已重新命名/對應
`ips`	`about.ip`	已合併
`dvcmac`	`about.mac`	已合併
`mac_address`	`about.mac`	已合併
`deviceTranslatedAddress`	`about.nat_ip`	已合併
`Emne`	`about.process.command_line`	直接對應
`Path`	`about.process.command_line`	直接對應
`Subject`	`about.process.command_line`	直接對應
`deviceProcessName`	`about.process.command_line`	已重新命名/對應
`dvcpid`	`about.process.pid`	已重新命名/對應
`permissions`	`about.resource.attribute.permissions`	已合併
`ESAURLDetails`	`about.url`	直接對應
`_field`	`additional.fields`	已合併
`additional_cfp1`	`additional.fields`	已合併
`additional_cfp2`	`additional.fields`	已合併
`additional_cfp3`	`additional.fields`	已合併
`additional_cfp4`	`additional.fields`	已合併
`additional_cn1`	`additional.fields`	已合併
`additional_cn2`	`additional.fields`	已合併
`additional_cn3`	`additional.fields`	已合併
`additional_cs1`	`additional.fields`	已合併
`additional_cs2`	`additional.fields`	已合併
`additional_cs3`	`additional.fields`	已合併
`additional_cs4`	`additional.fields`	已合併
`additional_cs5`	`additional.fields`	已合併
`additional_cs6`	`additional.fields`	已合併
`additional_cs7`	`additional.fields`	已合併
`additional_devicePayloadId`	`additional.fields`	已合併
`additional_eventId`	`additional.fields`	已合併
`additional_flexString1`	`additional.fields`	已合併
`additional_fname`	`additional.fields`	已合併
`cs5_label`	`additional.fields`	已合併
`cs_uri_label`	`additional.fields`	已合併
`internal_id_label`	`additional.fields`	已合併
`s_hierarchy_label`	`additional.fields`	已合併
`sc_bytes_label`	`additional.fields`	已合併
`intermediary`	`intermediary`	已合併
`ESAHeloDomain`	`intermediary.administrative_domain`	直接對應
`syslog_program`	`intermediary.application`	直接對應
`hostname`	`intermediary.asset.hostname`	直接對應
`column3`	`intermediary.hostname`	直接對應
`hostname`	`intermediary.hostname`	直接對應
`s_computerName`	`intermediary.hostname`	直接對應
`intermediary_ip`	`intermediary.ip`	已合併
`msg`	`metadata.description`	已重新命名/對應
`msg2`	`metadata.description`	直接對應
`device_event_class_id`	`metadata.product_event_type`	直接對應
`event_name`	`metadata.product_event_type`	直接對應
`product_event`	`metadata.product_event_type`	直接對應
`externalId`	`metadata.product_log_id`	直接對應
`device_product`	`metadata.product_name`	直接對應
`device_product_name`	`metadata.product_name`	直接對應
`device_version`	`metadata.product_version`	直接對應
`device_vendor`	`metadata.vendor_name`	已重新命名/對應
`network`	`network`	已重新命名/對應
`app_protocol_output`	`network.application_protocol`	直接對應
`from`	`network.email.from`	直接對應
`mailfrom.sender`	`network.email.from`	直接對應
`message_id`	`network.email.mail_id`	直接對應
`subject`	`network.email.subject`	已合併
`to`	`network.email.to`	已合併
`cs_method`	`network.http.method`	直接對應
`http_method`	`network.http.method`	直接對應
`requestMethod`	`network.http.method`	已重新命名/對應
`cs_user_agent`	`network.http.parsed_user_agent`	已重新命名/對應
`http_response_code`	`network.http.response_code`	直接對應
`response_code`	`network.http.response_code`	直接對應
`cs_user_agent`	`network.http.user_agent`	直接對應
`requestClientApplication`	`network.http.user_agent`	已重新命名/對應
`useragent`	`network.http.user_agent`	直接對應
`ip_protocol_out`	`network.ip_protocol`	直接對應
`in`	`network.received_bytes`	已重新命名/對應
`received_bytes`	`network.received_bytes`	直接對應
`out`	`network.sent_bytes`	已重新命名/對應
`total_bytes`	`network.sent_bytes`	已重新命名/對應
`ESATLSInCipher`	`network.tls.cipher`	直接對應
`sntdom`	`principal.administrative_domain`	已重新命名/對應
`sourceServiceName`	`principal.application`	已重新命名/對應
`principal_host`	`principal.asset.hostname`	直接對應
`c_ip`	`principal.asset.ip`	已合併
`cs_x_forwarded_for`	`principal.asset.ip`	已合併
`source_ip`	`principal.asset.ip`	已合併
`src_ip`	`principal.asset.ip`	已合併
`Group_name`	`principal.group.group_display_name`	直接對應
`Gruppenavn`	`principal.group.group_display_name`	直接對應
`Device_name`	`principal.hostname`	直接對應
`Enhetsnavn`	`principal.hostname`	直接對應
`principal_host`	`principal.hostname`	直接對應
`shost`	`principal.hostname`	已重新命名/對應
`c_ip`	`principal.ip`	已合併
`cs_x_forwarded_for`	`principal.ip`	已合併
`principal_ip`	`principal.ip`	已合併
`shost`	`principal.ip`	已合併
`source_ip`	`principal.ip`	已合併
`src_ip`	`principal.ip`	已合併
`mac`	`principal.mac`	已合併
`sourceTranslatedAddress`	`principal.nat_ip`	已合併
`sourceTranslatedPort`	`principal.nat_port`	已重新命名/對應
`c_port`	`principal.port`	直接對應
`spt`	`principal.port`	已重新命名/對應
`src_port`	`principal.port`	直接對應
`sproc`	`principal.process.command_line`	已重新命名/對應
`processName`	`principal.process.file.full_path`	直接對應
`spid`	`principal.process.pid`	已重新命名/對應
`principalUrl`	`principal.url`	直接對應
`principal_role`	`principal.user.attribute.roles`	已合併
`email`	`principal.user.email_addresses`	已合併
`helo.sender`	`principal.user.email_addresses`	已合併
`suser`	`principal.user.user_display_name`	直接對應
`authenticated_user`	`principal.user.userid`	直接對應
`cs_username`	`principal.user.userid`	直接對應
`suid`	`principal.user.userid`	已重新命名/對應
`sec_result`	`security_result`	已合併
`security_result`	`security_result`	已合併
`_action`	`security_result.action`	已合併
`tempaction`	`security_result.action`	已合併
`Action_Taken`	`security_result.action_details`	直接對應
`act`	`security_result.action_details`	直接對應
`cat`	`security_result.category_details`	已合併
`Scan_Type`	`security_result.description`	直接對應
`Type`	`security_result.description`	直接對應
`msg_data_2`	`security_result.description`	直接對應
`field1`	`security_result.detection_fields`	已合併
`infection_channel_label`	`security_result.detection_fields`	已合併
`operasjon_label`	`security_result.detection_fields`	已合併
`operation_label`	`security_result.detection_fields`	已合併
`permission_label`	`security_result.detection_fields`	已合併
`spyware_Grayware_Type_label`	`security_result.detection_fields`	已合併
`threat_probability_label`	`security_result.detection_fields`	已合併
`tillatelse_label`	`security_result.detection_fields`	已合併
`mwProfile`	`security_result.rule_name`	直接對應
`Result`	`security_result.summary`	直接對應
`appcategory`	`security_result.summary`	直接對應
`reason`	`security_result.summary`	已重新命名/對應
`Spyware`	`security_result.threat_name`	直接對應
`Unknown_Threat`	`security_result.threat_name`	直接對應
`Virus_Malware_Name`	`security_result.threat_name`	直接對應
`oldFilePath`	`src.file.full_path`	已重新命名/對應
`oldFileSize`	`src.file.size`	已重新命名/對應
`old_permissions`	`src.resource.attribute.permissions`	已合併
`target`	`target`	已重新命名/對應
`dntdom`	`target.administrative_domain`	已重新命名/對應
`destinationServiceName`	`target.application`	已重新命名/對應
`host`	`target.asset.hostname`	直接對應
`dst_ip1`	`target.asset.ip`	已合併
`ip`	`target.asset.ip`	已合併
`target_ip`	`target.asset.ip`	已合併
`host`	`target.hostname`	直接對應
`s_computerName`	`target.hostname`	直接對應
`s_hostname`	`target.hostname`	直接對應
`target_host`	`target.hostname`	直接對應
`temp_dhost`	`target.hostname`	直接對應
`IPv6_Address`	`target.ip`	已合併
`dst_ip`	`target.ip`	已合併
`dst_ip1`	`target.ip`	已合併
`ip`	`target.ip`	已合併
`target_ip`	`target.ip`	已合併
`mac_address`	`target.mac`	已合併
`destination_translated_address`	`target.nat_ip`	已合併
`destinationTranslatedPort`	`target.nat_port`	已重新命名/對應
`dpt`	`target.port`	已重新命名/對應
`dst_port`	`target.port`	直接對應
`s_port`	`target.port`	直接對應
`dproc`	`target.process.command_line`	已重新命名/對應
`File_name`	`target.process.file.full_path`	直接對應
`Infected_Resource`	`target.process.file.full_path`	直接對應
`Object`	`target.process.file.full_path`	直接對應
`Objekt`	`target.process.file.full_path`	直接對應
`dpid`	`target.process.pid`	已重新命名/對應
`resource_Type_label`	`target.resource.attribute.labels`	已合併
`request`	`target.url`	直接對應
`target_url`	`target.url`	直接對應
`url1`	`target.url`	直接對應
`url2`	`target.url`	直接對應
`target_role`	`target.user.attribute.roles`	已合併
`CustomerName`	`target.user.user_display_name`	直接對應
`temp_duser`	`target.user.user_display_name`	直接對應
`Bruker`	`target.user.userid`	直接對應
`User_value`	`target.user.userid`	直接對應
`target_user`	`target.user.userid`	直接對應
`temp_duid`	`target.user.userid`	直接對應
不適用	`about`	常數：`about`
不適用	`about.ip`	常數：`ips`
不適用	`about.mac`	常數：`mac_address`
不適用	`about.nat_ip`	常數：`deviceTranslatedAddress`
不適用	`about.resource.attribute.permissions`	常數：`permissions`
不適用	`additional.fields`	常數：`additional_eventId`
不適用	`extensions.auth.type`	常數：`AUTHTYPE_UNSPECIFIED`
不適用	`intermediary`	常數：`intermediary`
不適用	`intermediary.ip`	常數：`intermediary_ip`
不適用	`metadata.event_type`	常數：`PROCESS_UNCATEGORIZED`
不適用	`metadata.product_name`	常數：`Cisco Ironport`
不適用	`metadata.vendor_name`	常數：`Cisco`
不適用	`network.application_protocol`	常數：`SMTP`
不適用	`network.direction`	常數：`INBOUND`
不適用	`network.email.subject`	常數：`subject`
不適用	`network.email.to`	常數：`to`
不適用	`network.received_bytes`	常數：`uinteger`
不適用	`principal.asset.ip`	常數：`src_ip`
不適用	`principal.ip`	常數：`principal_ip`
不適用	`principal.mac`	常數：`mac`
不適用	`principal.nat_ip`	常數：`sourceTranslatedAddress`
不適用	`principal.user.attribute.roles`	常數：`principal_role`
不適用	`principal.user.email_addresses`	常數：`email`
不適用	`security_result`	常數：`security_result`
不適用	`security_result.action`	常數：`_action`
不適用	`security_result.category_details`	常數：`cat`
不適用	`security_result.detection_fields`	常數：`field1`
不適用	`security_result.severity`	常數：`LOW`
不適用	`src.resource.attribute.permissions`	常數：`old_permissions`
不適用	`target.asset.ip`	常數：`dst_ip1`
不適用	`target.ip`	常數：`dst_ip`
不適用	`target.mac`	常數：`mac_address`
不適用	`target.nat_ip`	常數：`destination_translated_address`
不適用	`target.resource.attribute.labels`	常數：`resource_Type_label`
不適用	`target.user.attribute.roles`	常數：`target_role`

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。