收集 Cofense 日志
支持的平台:
Google SecOps
SIEM
本文档介绍了如何使用 Bindplane 代理将 Cofense 日志注入到 Google Security Operations 中。
Cofense Triage 是一个网上诱骗事件响应平台,可自动检测、分析和响应员工举报的网上诱骗电子邮件。它会对类似威胁进行聚类,分配风险得分,提取入侵指标 (IOC),并与安全编排工具集成,以加快钓鱼式攻击事件的解决速度。
准备工作
请确保满足以下前提条件:
- Google SecOps 实例
- Windows Server 2016 或更高版本,或者具有
systemd的 Linux 主机 - Bindplane 代理与 Cofense Triage 服务器之间的网络连接
- 如果通过代理运行,请确保防火墙端口已根据 Bindplane 代理要求打开
- 对 Cofense Triage 管理控制台的特权访问权限
- Cofense Triage 1.20 版或更高版本
获取 Google SecOps 注入身份验证文件
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 收集代理。
下载注入身份验证文件。将文件安全地保存在将要安装 Bindplane 的系统上。
获取 Google SecOps 客户 ID
- 登录 Google SecOps 控制台。
- 依次前往 SIEM 设置 > 配置文件。
复制并保存组织详细信息部分中的客户 ID。
安装 Bindplane 代理
按照以下说明在 Windows 或 Linux 操作系统上安装 Bindplane 代理。
Windows 安装
- 以管理员身份打开命令提示符或 PowerShell。
运行以下命令:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet等待安装完成。
运行以下命令来验证安装:
sc query observiq-otel-collector服务状态应为 RUNNING。
Linux 安装
- 打开具有 root 或 sudo 权限的终端。
运行以下命令:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh等待安装完成。
运行以下命令来验证安装:
sudo systemctl status observiq-otel-collector服务状态应为有效(正在运行)。
其他安装资源
如需了解其他安装选项和问题排查信息,请参阅 Bindplane 代理安装指南。
配置 Bindplane 代理以注入 syslog 并将日志发送到 Google SecOps
找到配置文件
Linux:
sudo nano /etc/bindplane-agent/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
修改配置文件
将
config.yaml的全部内容替换为以下配置:receivers: tcplog: listen_address: "0.0.0.0:514" exporters: chronicle/cofense: compression: gzip creds_file_path: '/etc/bindplane-agent/ingestion-auth.json' customer_id: 'your-customer-id' endpoint: malachiteingestion-pa.googleapis.com log_type: COFENSE_TRIAGE raw_log_field: body service: pipelines: logs/cofense_to_chronicle: receivers: - tcplog exporters: - chronicle/cofense替换以下占位符:
接收器配置:
listen_address:要监听的 IP 地址和端口:0.0.0.0:514在端口 514 上监听所有接口(在 Linux 上需要 root 权限)0.0.0.0:1514监听非特权端口(建议用于 Linux 非 root 用户)
接收器类型选项:
tcplog用于 TCP syslog(建议用于 Cofense Triage)- 针对 UDP syslog 的
udplog
导出器配置:
creds_file_path:Google SecOps 注入身份验证文件的完整路径:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
customer_id:Google SecOps 客户 IDendpoint:区域端点网址:- 美国:
malachiteingestion-pa.googleapis.com - 欧洲:
europe-malachiteingestion-pa.googleapis.com - 亚洲:
asia-southeast1-malachiteingestion-pa.googleapis.com - 如需查看完整列表,请参阅区域级端点
- 美国:
保存配置文件
修改后,保存文件:
- Linux:依次按
Ctrl+O、Enter和Ctrl+X - Windows:依次点击文件 > 保存
重启 Bindplane 代理以应用更改
如需在 Linux 中重启 Bindplane 代理,请执行以下操作:
运行以下命令:
sudo systemctl restart observiq-otel-collector验证服务是否正在运行:
sudo systemctl status observiq-otel-collector检查日志是否存在错误:
sudo journalctl -u observiq-otel-collector -f
如需在 Windows 中重启 Bindplane 代理,请执行以下操作:
请从下列选项中选择一项:
以管理员身份运行命令提示符或 PowerShell:
net stop observiq-otel-collector && net start observiq-otel-collector服务控制台:
- 按
Win+R,输入services.msc,然后按 Enter 键。 - 找到 observIQ OpenTelemetry 收集器。
- 右键点击并选择重新启动。
- 按
验证服务是否正在运行:
sc query observiq-otel-collector检查日志是否存在错误:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
配置 Cofense Triage syslog 转发
Cofense Triage 可以通过 syslog 以 CEF(通用事件格式)将网络钓鱼报告事件和提醒转发到外部 SIEM 收集器。
在 Cofense Triage 中启用 syslog 输出
- 使用管理员凭据登录 Cofense Triage 网页界面。
- 依次前往管理 > 系统 > Syslog。
- 启用 Syslog 切换开关。
- 配置以下 syslog 参数:
- Syslog 服务器:输入 Bindplane 代理主机(例如
192.168.1.100)的 IP 地址或主机名。 - 端口:输入与 Bindplane 代理
listen_address匹配的端口(例如514)。 - 协议:选择 TCP(推荐)或 UDP,以与 Bindplane 代理接收器类型相匹配。
- 格式:选择 CEF(通用事件格式)。
- Syslog 服务器:输入 Bindplane 代理主机(例如
- 点击保存。
配置 syslog 提醒
- 在 Cofense Triage 网页界面中,依次前往 Administration(管理)> System(系统)> Syslog Alerts(Syslog 提醒)。
- 选择要转发的事件类型:
- 钓鱼式攻击报告:当收到并处理新的钓鱼式攻击报告时转发
- 集群事件:在报告聚类时转发
- 威胁指示器事件:当从报告中提取 IOC 时转发
- 健康提醒:针对系统健康状况和性能事件转发
点击保存。
验证 Syslog 转发
- 保存 syslog 配置后,在 Cofense Triage 中触发测试事件(例如,处理钓鱼式攻击报告)。
- 检查 Bindplane 代理日志中是否有传入的 syslog 消息:
- Linux:
sudo journalctl -u observiq-otel-collector -f - Windows:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
- Linux:
验证日志中是否显示 CEF 格式的消息,例如:
CEF:0|Cofense|Triage|1.0|100|Phishing Report Processed|5|suser=reporter@company.com duser=attacker@malicious.com cs4=Urgent: Account Verification cat=Processed:Threats
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
| msg、rule_id、start、rt | additional.fields | 如果 msg、rule_id、start、rt 不为空,则与相应标签合并 |
| event_data、descrip | metadata.description | 如果 event_data 不为空,则为 event_data 中的值,否则为 descrip |
| deviceCustomDate1、log_datetime | metadata.event_timestamp | 如果 deviceCustomDate1 不为空,则从中解析;否则,使用 MMM d yyyy HH:mm:ss 或 MMM d HH:mm:ss 格式从 log_datetime 解析 |
| suser、duser、has_principal | metadata.event_type | 如果 suser 和 duser 符合电子邮件模式,则设置为 EMAIL_TRANSACTION;否则设置为 GENERIC_EVENT;如果 has_principal 为 true 且之前设置为 GENERIC_EVENT,则设置为 STATUS_UPDATE |
| cs3 | metadata.product_log_id | 使用 grok 模式 /%{INT:productlogid} 从 cs3 中提取 |
| metadata.product_name | 设置为“分诊” | |
| cs3 | metadata.url_back_to_product | 直接复制值 |
| metadata.vendor_name | 设置为“Cofense” | |
| suser | network.email.from | 直接复制值 |
| cs4 | network.email.subject | 直接复制值 |
| duser | network.email.to | 直接复制值 |
| 主机 | principal.asset.hostname | 直接复制值 |
| ipaddress | principal.asset.ip | 直接复制值 |
| 主机 | principal.hostname | 直接复制值 |
| ipaddress | principal.ip | 直接复制值 |
| processID | principal.process.pid | 直接复制值 |
| descrip | principal.user.userid | 使用 grok 模式从说明中提取:用户:(%{WORD:user_id}) |
| cat, cs2 | security_result.action | 如果类别位于 ["health","Processed:Marketing","Processed:Non-Malicious"] 中,则设置为 ALLOW;如果类别为 "Processed:Spam" 或 "Processed:Threats",或者 cs2 位于 ["PM_Intel_CoronaVirus_Keywords","PM_Intel_CredPhish_106159","VU_Potential_Credential_Stealer"] 中,则设置为 BLOCK |
| 和程度上减少 | security_result.alert_state | 如果严重程度在 ["8","10","11","12","13","14"] 中,则设置为 ALERTING,否则设置为 NOT_ALERTING |
| cat、cs2、严重程度 | security_result.category | 如果 cat == "Processed:Spam",则设置为 MAIL_SPAM;如果 cs2 位于 ["PM_Intel_CoronaVirus_Keywords","PM_Intel_CredPhish_106159","VU_Potential_Credential_Stealer"] 中,或者严重程度位于 ["8","10","11","12","13","14"] 中,则设置为 MAIL_PHISHING |
| 猫 | security_result.description | 直接复制值 |
| 和程度上减少 | security_result.rule_id | 直接复制值 |
| cs2 | security_result.rule_name | 直接复制值 |
| cat, cs2 | security_result.severity | 如果 cat 位于 ["health","Processed:Marketing","Processed:Non-Malicious"] 中,则设置为 INFORMATIONAL;如果 cat == "Processed:Spam",则设置为 HIGH;如果 cat == "Processed:Threats",则设置为 CRITICAL;否则,如果 cs2 位于 ["PM_Intel_CoronaVirus_Keywords","PM_Intel_CredPhish_106159","VU_Potential_Credential_Stealer"] 中,则设置为 HIGH |
需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。