Mengumpulkan log Cofense
Dokumen ini menjelaskan cara menyerap log Cofense ke Google Security Operations menggunakan agen Bindplane.
Cofense Triage adalah platform respons insiden phishing yang mengotomatiskan deteksi, analisis, dan respons terhadap email phishing yang dilaporkan oleh karyawan. Fitur ini mengelompokkan ancaman serupa, menetapkan skor risiko, mengekstrak indikator penyusupan (IOC), dan terintegrasi dengan alat orkestrasi keamanan untuk mempercepat penyelesaian insiden phishing.
Sebelum memulai
Pastikan Anda memiliki prasyarat berikut:
- Instance Google SecOps
- Windows Server 2016 atau yang lebih baru, atau host Linux dengan
systemd - Konektivitas jaringan antara agen Bindplane dan server Cofense Triage
- Jika beroperasi dari balik proxy, pastikan port firewall terbuka sesuai dengan persyaratan agen Bindplane
- Akses istimewa ke konsol administrasi Cofense Triage
- Cofense Triage versi 1.20 atau yang lebih baru
Mendapatkan file autentikasi penyerapan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Agen Pengumpulan.
Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.
Mendapatkan ID pelanggan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Profil.
Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.
Menginstal agen Bindplane
Instal agen Bindplane di sistem operasi Windows atau Linux Anda sesuai dengan petunjuk berikut.
Penginstalan Windows
- Buka Command Prompt atau PowerShell sebagai administrator.
Jalankan perintah berikut:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quietTunggu hingga penginstalan selesai.
Verifikasi penginstalan dengan menjalankan:
sc query observiq-otel-collectorStatus layanan harus RUNNING.
Penginstalan Linux
- Buka terminal dengan hak istimewa root atau sudo.
Jalankan perintah berikut:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.shTunggu hingga penginstalan selesai.
Verifikasi penginstalan dengan menjalankan:
sudo systemctl status observiq-otel-collectorStatus layanan harus aktif (berjalan).
Referensi penginstalan tambahan
Untuk opsi penginstalan dan pemecahan masalah tambahan, lihat Panduan penginstalan agen BindPlane.
Mengonfigurasi agen BindPlane untuk menyerap syslog dan mengirim log ke Google SecOps
Cari file konfigurasi
Linux:
sudo nano /etc/bindplane-agent/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
Edit file konfigurasi
Ganti seluruh konten
config.yamldengan konfigurasi berikut:receivers: tcplog: listen_address: "0.0.0.0:514" exporters: chronicle/cofense: compression: gzip creds_file_path: '/etc/bindplane-agent/ingestion-auth.json' customer_id: 'your-customer-id' endpoint: malachiteingestion-pa.googleapis.com log_type: COFENSE_TRIAGE raw_log_field: body service: pipelines: logs/cofense_to_chronicle: receivers: - tcplog exporters: - chronicle/cofenseGanti placeholder berikut:
Konfigurasi penerima:
listen_address: Alamat IP dan port yang akan diproses:0.0.0.0:514untuk memproses semua antarmuka di port 514 (memerlukan akses root di Linux)0.0.0.0:1514untuk memproses port yang tidak memiliki hak istimewa (direkomendasikan untuk non-root Linux)
Opsi jenis penerima:
tcploguntuk syslog TCP (direkomendasikan untuk Cofense Triage)udploguntuk syslog UDP
Konfigurasi pengekspor:
creds_file_path: Jalur lengkap ke file autentikasi penyerapan Google SecOps:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
customer_id: ID pelanggan Google SecOpsendpoint: URL endpoint regional:- Amerika Serikat:
malachiteingestion-pa.googleapis.com - Eropa:
europe-malachiteingestion-pa.googleapis.com - Asia:
asia-southeast1-malachiteingestion-pa.googleapis.com - Lihat Endpoint Regional untuk mengetahui daftar lengkapnya
- Amerika Serikat:
Simpan file konfigurasi
Setelah mengedit, simpan file:
- Linux: Tekan
Ctrl+O, laluEnter, laluCtrl+X - Windows: Klik File > Save
Mulai ulang agen Bindplane untuk menerapkan perubahan
Untuk memulai ulang agen Bindplane di Linux:
Jalankan perintah berikut:
sudo systemctl restart observiq-otel-collectorPastikan layanan sedang berjalan:
sudo systemctl status observiq-otel-collectorPeriksa log untuk mengetahui error:
sudo journalctl -u observiq-otel-collector -f
Untuk memulai ulang agen Bindplane di Windows:
Pilih salah satu opsi berikut:
Command Prompt atau PowerShell sebagai administrator:
net stop observiq-otel-collector && net start observiq-otel-collectorKonsol layanan:
- Tekan
Win+R, ketikservices.msc, lalu tekan Enter. - Temukan observIQ OpenTelemetry Collector.
- Klik kanan, lalu pilih Mulai Ulang.
- Tekan
Pastikan layanan sedang berjalan:
sc query observiq-otel-collectorPeriksa log untuk mengetahui error:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
Mengonfigurasi penerusan syslog Cofense Triage
Cofense Triage dapat meneruskan peristiwa dan pemberitahuan laporan phishing dalam CEF (Common Event Format) melalui syslog ke pengumpul SIEM eksternal.
Mengaktifkan output syslog di Cofense Triage
- Login ke antarmuka web Cofense Triage dengan kredensial administrator.
- Buka Administrasi > Sistem > Syslog.
- Aktifkan tombol Syslog.
- Konfigurasikan parameter syslog berikut:
- Server Syslog: Masukkan alamat IP atau nama host dari host agen Bindplane (misalnya,
192.168.1.100). - Port: Masukkan port yang cocok dengan agen Bindplane
listen_address(misalnya,514). - Protocol: Pilih TCP (direkomendasikan) atau UDP agar sesuai dengan jenis penerima agen Bindplane.
- Format: Pilih CEF (Common Event Format).
- Server Syslog: Masukkan alamat IP atau nama host dari host agen Bindplane (misalnya,
- Klik Simpan.
Mengonfigurasi pemberitahuan syslog
- Di antarmuka web Cofense Triage, buka Administration > System > Syslog Alerts.
- Pilih jenis peristiwa yang akan diteruskan:
- Laporan phishing: Diteruskan saat laporan phishing baru diterima dan diproses
- Peristiwa cluster: Diteruskan saat laporan dikelompokkan
- Peristiwa indikator ancaman: Diteruskan saat IOC diekstrak dari laporan
- Notifikasi kesehatan: Diteruskan untuk peristiwa performa dan kondisi sistem
Klik Simpan.
Memverifikasi penerusan syslog
- Setelah menyimpan konfigurasi syslog, picu peristiwa pengujian di Cofense Triage (misalnya, proses laporan phishing).
- Periksa log agen Bindplane untuk pesan syslog masuk:
- Linux:
sudo journalctl -u observiq-otel-collector -f - Windows:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
- Linux:
Pastikan pesan berformat CEF muncul di log, misalnya:
CEF:0|Cofense|Triage|1.0|100|Phishing Report Processed|5|suser=reporter@company.com duser=attacker@malicious.com cs4=Urgent: Account Verification cat=Processed:Threats
Tabel pemetaan UDM
| Kolom Log | Pemetaan UDM | Logika |
|---|---|---|
| msg, rule_id, start, rt | additional.fields | Digabungkan dengan label untuk msg jika tidak kosong, rule_id jika tidak kosong, start jika tidak kosong, rt jika tidak kosong |
| event_data, descrip | metadata.description | Nilai dari event_data jika tidak kosong, atau descrip |
| deviceCustomDate1, log_datetime | metadata.event_timestamp | Diuraikan dari deviceCustomDate1 jika tidak kosong, atau log_datetime menggunakan format MMM d yyyy HH:mm:ss atau MMM d HH:mm:ss |
| suser, duser, has_principal | metadata.event_type | Ditetapkan ke EMAIL_TRANSACTION jika suser dan duser cocok dengan pola email, atau GENERIC_EVENT, lalu STATUS_UPDATE jika has_principal benar dan sebelumnya GENERIC_EVENT |
| cs3 | metadata.product_log_id | Diekstrak dari cs3 menggunakan pola grok /%{INT:productlogid} |
| metadata.product_name | Ditetapkan ke "Penilaian" | |
| cs3 | metadata.url_back_to_product | Nilai disalin secara langsung |
| metadata.vendor_name | Tetapkan ke "Cofense" | |
| suser | network.email.from | Nilai disalin secara langsung |
| cs4 | network.email.subject | Nilai disalin secara langsung |
| duser | network.email.to | Nilai disalin secara langsung |
| host | principal.asset.hostname | Nilai disalin secara langsung |
| ipaddress | principal.asset.ip | Nilai disalin secara langsung |
| host | principal.hostname | Nilai disalin secara langsung |
| ipaddress | principal.ip | Nilai disalin secara langsung |
| processID | principal.process.pid | Nilai disalin secara langsung |
| descrip | principal.user.userid | Diekstrak dari deskripsi menggunakan pola grok User: (%{WORD:user_id}) |
| cat, cs2 | security_result.action | Setel ke ALLOW jika cat di ["health","Processed:Marketing","Processed:Non-Malicious"], BLOCK jika cat == "Processed:Spam" atau "Processed:Threats" atau cs2 di ["PM_Intel_CoronaVirus_Keywords","PM_Intel_CredPhish_106159","VU_Potential_Credential_Stealer"] |
| tingkat keseriusan, | security_result.alert_state | Ditetapkan ke ALERTING jika tingkat keparahan dalam ["8","10","11","12","13","14"], atau NOT_ALERTING |
| cat, cs2, severity | security_result.category | Setel ke MAIL_SPAM jika cat == "Processed:Spam", MAIL_PHISHING jika cs2 in ["PM_Intel_CoronaVirus_Keywords","PM_Intel_CredPhish_106159","VU_Potential_Credential_Stealer"] atau severity in ["8","10","11","12","13","14"] |
| cat | security_result.description | Nilai disalin secara langsung |
| tingkat keseriusan, | security_result.rule_id | Nilai disalin secara langsung |
| cs2 | security_result.rule_name | Nilai disalin secara langsung |
| cat, cs2 | security_result.severity | Disetel ke INFORMATIONAL jika cat in ["health","Processed:Marketing","Processed:Non-Malicious"], HIGH jika cat == "Processed:Spam", CRITICAL jika cat == "Processed:Threats", else HIGH jika cs2 in ["PM_Intel_CoronaVirus_Keywords","PM_Intel_CredPhish_106159","VU_Potential_Credential_Stealer"] |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.