Cofense-Logs erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie Cofense-Logs mit dem Bindplane-Agent in Google Security Operations aufnehmen.

Cofense Triage ist eine Plattform zur Reaktion auf Phishing-Vorfälle, die die Erkennung, Analyse und Reaktion auf Phishing-E‑Mails automatisiert, die von Mitarbeitern gemeldet werden. Es werden ähnliche Bedrohungen gruppiert, Risikobewertungen zugewiesen, Kompromittierungsindikatoren (Indicators of Compromise, IOCs) extrahiert und in Tools zur Sicherheitsorchestrierung eingebunden, um die Behebung von Phishing-Vorfällen zu beschleunigen.

Hinweise

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

Eine Google SecOps-Instanz
Windows Server 2016 oder höher oder Linux-Host mit systemd
Netzwerkverbindung zwischen dem Bindplane-Agent und dem Cofense Triage-Server
Wenn Sie den Agent hinter einem Proxy ausführen, achten Sie darauf, dass die Firewallports gemäß den Anforderungen des Bindplane-Agents geöffnet sind.
Privilegierter Zugriff auf die Cofense Triage-Verwaltungskonsole
Cofense Triage-Version 1.20 oder höher

Authentifizierungsdatei für die Google SecOps-Aufnahme abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie die SIEM-Einstellungen > Collection Agents auf.
Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Hinweis :Diese JSON-Datei enthält Anmeldedaten für die Authentifizierung des Bindplane-Agents bei Google SecOps.

Google SecOps-Kundennummer abrufen

Melden Sie sich in der Google SecOps-Konsole an.
Rufen Sie die SIEM-Einstellungen > Profile auf.
Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

Hinweis :Die Kunden-ID ist für die Konfiguration des Bindplane-Agent-Exporters erforderlich.

BindPlane-Agent installieren

Installieren Sie den Bindplane-Agent auf Ihrem Windows- oder Linux-Betriebssystem gemäß der folgenden Anleitung.

Fenstereinbau

Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

Führen Sie dazu diesen Befehl aus:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Warten Sie, bis die Installation abgeschlossen ist.
Überprüfen Sie die Installation mit folgendem Befehl:
```
sc query observiq-otel-collector
```
Der Dienststatus sollte RUNNING lauten.

Linux-Installation

Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

Führen Sie dazu diesen Befehl aus:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Warten Sie, bis die Installation abgeschlossen ist.
Überprüfen Sie die Installation mit folgendem Befehl:
```
sudo systemctl status observiq-otel-collector
```
Der Dienststatus sollte active (running) lauten.

Zusätzliche Installationsressourcen

Weitere Installationsoptionen und Informationen zur Fehlerbehebung finden Sie in der Installationsanleitung für den Bindplane-Agent.

BindPlane-Agenten zum Erfassen von Syslog und Senden von Logs an Google SecOps konfigurieren

Konfigurationsdatei suchen

Linux:

sudo nano /etc/bindplane-agent/config.yaml

Windows:

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

Konfigurationsdatei bearbeiten

Ersetzen Sie den gesamten Inhalt von config.yaml durch die folgende Konfiguration:

receivers:
    tcplog:
        listen_address: "0.0.0.0:514"

exporters:
    chronicle/cofense:
        compression: gzip
        creds_file_path: '/etc/bindplane-agent/ingestion-auth.json'
        customer_id: 'your-customer-id'
        endpoint: malachiteingestion-pa.googleapis.com
        log_type: COFENSE_TRIAGE
        raw_log_field: body

service:
    pipelines:
        logs/cofense_to_chronicle:
            receivers:
                - tcplog
            exporters:
                - chronicle/cofense

Ersetzen Sie die folgenden Platzhalter:
- Empfängerkonfiguration:
  - listen_address: IP-Adresse und Port, auf dem gelauscht werden soll:
    - 0.0.0.0:514, um alle Schnittstellen auf Port 514 zu überwachen (erfordert Root unter Linux)
    - 0.0.0.0:1514, um einen nicht privilegierten Port zu überwachen (empfohlen für Linux ohne Root-Zugriff)
  - Optionen für Empfängertyp:
    - tcplog für TCP-Syslog (empfohlen für Cofense Triage)
    - udplog für UDP-Syslog
- Exporter-Konfiguration:
  - creds_file_path: Vollständiger Pfad zur Authentifizierungsdatei für die Google SecOps-Aufnahme:
    - Linux: /etc/bindplane-agent/ingestion-auth.json
    - Windows: C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
  - customer_id: Google SecOps-Kundennummer
  - endpoint: Regionale Endpunkt-URL:
    - USA: malachiteingestion-pa.googleapis.com
    - Europa: europe-malachiteingestion-pa.googleapis.com
    - Asien: asia-southeast1-malachiteingestion-pa.googleapis.com
    - Eine vollständige Liste finden Sie unter Regionale Endpunkte.

Konfigurationsdatei speichern

Speichern Sie die Datei nach der Bearbeitung:

Linux: Drücken Sie Ctrl+O, dann Enter und dann Ctrl+X.
Windows: Klicken Sie auf Datei > Speichern.

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

So starten Sie den Bindplane-Agent unter Linux neu:
1. Führen Sie dazu diesen Befehl aus:
```
sudo systemctl restart observiq-otel-collector
```
2. Prüfen Sie, ob der Dienst ausgeführt wird:
```
sudo systemctl status observiq-otel-collector
```
3. Prüfen Sie die Logs auf Fehler:
```
sudo journalctl -u observiq-otel-collector -f
```
So starten Sie den Bindplane-Agent unter Windows neu:
1. Wählen Sie eine der folgenden Optionen aus:
  - Eingabeaufforderung oder PowerShell als Administrator:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
  - Services-Konsole:
    1. Drücken Sie Win+R, geben Sie services.msc ein und drücken Sie die Eingabetaste.
    2. Suchen Sie nach observIQ OpenTelemetry Collector.
    3. Klicken Sie mit der rechten Maustaste und wählen Sie Neu starten aus.
2. Prüfen Sie, ob der Dienst ausgeführt wird:
```
sc query observiq-otel-collector
```
3. Prüfen Sie die Logs auf Fehler:
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

Syslog-Weiterleitung für Cofense Triage konfigurieren

Cofense Triage kann Ereignisse und Benachrichtigungen zu Phishing-Berichten im CEF-Format (Common Event Format) über Syslog an externe SIEM-Collector weiterleiten.

Syslog-Ausgabe in Cofense Triage aktivieren

Melden Sie sich mit Administratoranmeldedaten in der Weboberfläche von Cofense Triage an.
Klicken Sie auf Administration > System > Syslog.
Aktivieren Sie den Schalter Syslog.
Konfigurieren Sie die folgenden Syslog-Parameter:
- Syslog-Server: Geben Sie die IP-Adresse oder den Hostnamen des Bindplane-Agent-Hosts ein (z. B. 192.168.1.100).
- Port: Geben Sie den Port ein, der dem BindPlane-Agenten listen_address entspricht (z. B. 514).
- Protokoll: Wählen Sie TCP (empfohlen) oder UDP aus, um den Empfängertyp des Bindplane-Agents abzugleichen.
- Format: Wählen Sie CEF (Common Event Format) aus.
Klicken Sie auf Speichern.

Syslog-Benachrichtigungen konfigurieren

Rufen Sie in der Cofense Triage-Weboberfläche Administration > System > Syslog Alerts auf.
Wählen Sie die weiterzuleitenden Ereignistypen aus:
- Phishing-Berichte: Weitergeleitet, wenn neue Phishing-Berichte eingehen und verarbeitet werden
- Clusterereignisse: Werden weitergeleitet, wenn Berichte gruppiert werden
- Ereignisse für Bedrohungsindikatoren: Weitergeleitet, wenn IOCs aus Berichten extrahiert werden
- Benachrichtigungen zu Gesundheitsdaten: Weitergeleitet für Ereignisse zum Systemzustand und zur Systemleistung
Klicken Sie auf Speichern.

Hinweis :Syslog-Benachrichtigungskategorien und ‑Granularität hängen von der Cofense Triage-Version und dem Lizenzniveau ab. Weitere Informationen finden Sie in der Dokumentation zu Cofense Triage für Ihre spezifische Version.

Syslog-Weiterleitung bestätigen

Nachdem Sie die Syslog-Konfiguration gespeichert haben, lösen Sie ein Testereignis in Cofense Triage aus, z. B. durch die Verarbeitung eines Phishing-Berichts.
Prüfen Sie die BindPlane-Agentenlogs auf eingehende Syslog-Nachrichten:
- Linux: sudo journalctl -u observiq-otel-collector -f
- Windows: type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Prüfen Sie, ob Nachrichten im CEF-Format in den Logs angezeigt werden, z. B.:

CEF:0|Cofense|Triage|1.0|100|Phishing Report Processed|5|suser=reporter@company.com duser=attacker@malicious.com cs4=Urgent: Account Verification cat=Processed:Threats

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
msg, rule_id, start, rt	additional.fields	Wird mit Labels für msg zusammengeführt, falls nicht leer, rule_id, falls nicht leer, start, falls nicht leer, rt, falls nicht leer
event_data, descrip	metadata.description	Wert aus „event_data“, falls nicht leer, andernfalls „descrip“
deviceCustomDate1, log_datetime	metadata.event_timestamp	Wird aus „deviceCustomDate1“ geparst, falls nicht leer, andernfalls „log_datetime“ im Format „MMM d yyyy HH:mm:ss“ oder „MMM d HH:mm:ss“
suser, duser, has_principal	metadata.event_type	Auf EMAIL_TRANSACTION setzen, wenn suser und duser dem E-Mail-Muster entsprechen, andernfalls GENERIC_EVENT und dann STATUS_UPDATE, wenn has_principal „true“ ist und GENERIC_EVENT war
cs3	metadata.product_log_id	Extrahierte Daten aus cs3 mit dem Grok-Muster /%{INT:productlogid}
	metadata.product_name	Auf „Triage“ festgelegt
cs3	metadata.url_back_to_product	Wert direkt kopiert
	metadata.vendor_name	Auf „Cofense“ festgelegt
suser	network.email.from	Wert direkt kopiert
cs4	network.email.subject	Wert direkt kopiert
duser	network.email.to	Wert direkt kopiert
Host	principal.asset.hostname	Wert direkt kopiert
ipaddress	principal.asset.ip	Wert direkt kopiert
Host	principal.hostname	Wert direkt kopiert
ipaddress	principal.ip	Wert direkt kopiert
processID	principal.process.pid	Wert direkt kopiert
descrip	principal.user.userid	Extracted from descrip using grok pattern User: (%{WORD:user_id})
cat, cs2	security_result.action	Auf ALLOW setzen, wenn cat in ["health","Processed:Marketing","Processed:Non-Malicious"], BLOCK, wenn cat == "Processed:Spam" oder "Processed:Threats" oder cs2 in ["PM_Intel_CoronaVirus_Keywords","PM_Intel_CredPhish_106159","VU_Potential_Credential_Stealer"]
die Ausprägung	security_result.alert_state	Auf ALERTING setzen, wenn der Schweregrad in ["8","10","11","12","13","14"] liegt, andernfalls NOT_ALERTING
cat, cs2, severity	security_result.category	Auf MAIL_SPAM setzen, wenn cat == "Processed:Spam", MAIL_PHISHING, wenn cs2 in ["PM_Intel_CoronaVirus_Keywords","PM_Intel_CredPhish_106159","VU_Potential_Credential_Stealer"] oder severity in ["8","10","11","12","13","14"]
cat	security_result.description	Wert direkt kopiert
die Ausprägung	security_result.rule_id	Wert direkt kopiert
cs2	security_result.rule_name	Wert direkt kopiert
cat, cs2	security_result.severity	Setze den Wert auf INFORMATIONAL, wenn cat in ["health","Processed:Marketing","Processed:Non-Malicious"] ist, auf HIGH, wenn cat == "Processed:Spam" ist, auf CRITICAL, wenn cat == "Processed:Threats" ist, andernfalls auf HIGH, wenn cs2 in ["PM_Intel_CoronaVirus_Keywords","PM_Intel_CredPhish_106159","VU_Potential_Credential_Stealer"] ist.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten