Cofense のログを収集する
以下でサポートされています。
Google SecOps
SIEM
このドキュメントでは、Bindplane エージェントを使用して Cofense ログを Google Security Operations に取り込む方法について説明します。
Cofense Triage は、従業員から報告されたフィッシング メールの検出、分析、対応を自動化するフィッシング インシデント対応プラットフォームです。類似の脅威をクラスタリングし、リスクスコアを割り当て、セキュリティ侵害インジケーター(IOC)を抽出し、セキュリティ オーケストレーション ツールと統合して、フィッシング インシデントの解決を迅速化します。
始める前に
次の前提条件を満たしていることを確認してください。
- Google SecOps インスタンス
- Windows Server 2016 以降、または
systemdを使用する Linux ホスト - Bindplane エージェントと Cofense Triage サーバー間のネットワーク接続
- プロキシの背後で実行している場合は、Bindplane エージェントの要件に従ってファイアウォール ポートが開いていることを確認します。
- Cofense Triage 管理コンソールへの特権アクセス
- Cofense Triage バージョン 1.20 以降
Google SecOps の取り込み認証ファイルを取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [コレクション エージェント] に移動します。
Ingestion Authentication File をダウンロードします。Bindplane をインストールするシステムにファイルを安全に保存します。
Google SecOps のお客様 ID を取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [プロファイル] に移動します。
[組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。
Bindplane エージェントをインストールする
次の手順に沿って、Windows または Linux オペレーティング システムに Bindplane エージェントをインストールします。
Windows のインストール
- 管理者としてコマンド プロンプトまたは PowerShell を開きます。
次のコマンドを実行します。
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quietインストールが完了するまで待ちます。
次のコマンドを実行して、インストールの内容を確認します。
sc query observiq-otel-collectorサービス ステータスは RUNNING になります。
Linux のインストール
- root 権限または sudo 権限でターミナルを開きます。
次のコマンドを実行します。
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.shインストールが完了するまで待ちます。
次のコマンドを実行して、インストールの内容を確認します。
sudo systemctl status observiq-otel-collectorサービスのステータスが [active (running)] になります。
その他のインストール リソース
その他のインストール オプションとトラブルシューティングについては、Bindplane エージェントのインストール ガイドをご覧ください。
syslog を取り込んで Google SecOps にログを送信するように Bindplane エージェントを構成する
構成ファイルを見つける
Linux:
sudo nano /etc/bindplane-agent/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
構成ファイルを編集します。
config.yamlの内容全体を次の構成に置き換えます。receivers: tcplog: listen_address: "0.0.0.0:514" exporters: chronicle/cofense: compression: gzip creds_file_path: '/etc/bindplane-agent/ingestion-auth.json' customer_id: 'your-customer-id' endpoint: malachiteingestion-pa.googleapis.com log_type: COFENSE_TRIAGE raw_log_field: body service: pipelines: logs/cofense_to_chronicle: receivers: - tcplog exporters: - chronicle/cofense各プレースホルダを次のように置き換えます。
レシーバーの構成:
listen_address: リッスンする IP アドレスとポート:0.0.0.0:514: ポート 514 のすべてのインターフェースをリッスンします(Linux で root が必要)。0.0.0.0:1514: 非特権ポートでリッスンする(Linux の非 root ユーザーにおすすめ)
受信機のタイプ オプション:
- TCP Syslog の
tcplog(Cofense Triage に推奨) - UDP Syslog の
udplog
- TCP Syslog の
エクスポータの構成:
creds_file_path: Google SecOps の取り込み認証ファイルの完全パス:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
customer_id: Google SecOps お客様 IDendpoint: リージョン エンドポイント URL:- 米国:
malachiteingestion-pa.googleapis.com - ヨーロッパ:
europe-malachiteingestion-pa.googleapis.com - アジア:
asia-southeast1-malachiteingestion-pa.googleapis.com - 完全なリストについては、リージョン エンドポイントをご覧ください。
- 米国:
構成ファイルを保存する
編集が完了したら、ファイルを保存します。
- Linux:
Ctrl+O、Enter、Ctrl+Xの順に押します。 - Windows: [ファイル>保存] をクリックします。
Bindplane エージェントを再起動して変更を適用する
Linux で Bindplane エージェントを再起動するには:
次のコマンドを実行します。
sudo systemctl restart observiq-otel-collectorサービスが実行されていることを確認します。
sudo systemctl status observiq-otel-collectorログでエラーを確認します。
sudo journalctl -u observiq-otel-collector -f
Windows で Bindplane エージェントを再起動するには:
次のいずれかのオプションを選択します。
管理者としてコマンド プロンプトまたは PowerShell を開きます。
net stop observiq-otel-collector && net start observiq-otel-collectorサービス コンソール:
Win+Rキーを押して「services.msc」と入力し、Enter キーを押します。- observIQ OpenTelemetry Collector を見つけます。
- 右クリックして [再起動] を選択します。
サービスが実行されていることを確認します。
sc query observiq-otel-collectorログでエラーを確認します。
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
Cofense Triage の syslog 転送を構成する
Cofense Triage は、syslog 経由で CEF(Common Event Format)のフィッシング レポート イベントとアラートを外部 SIEM コレクタに転送できます。
Cofense Triage で syslog 出力を有効にする
- 管理者認証情報を使用して Cofense Triage ウェブ インターフェースにログインします。
- [Administration] > [System] > [Syslog] に移動します。
- [Syslog] 切り替えを有効にします。
- 次の syslog パラメータを構成します。
- Syslog サーバー: Bindplane エージェント ホストの IP アドレスまたはホスト名(
192.168.1.100など)を入力します。 - ポート: Bindplane エージェントの
listen_addressに一致するポート(514など)を入力します。 - プロトコル: Bindplane エージェントの受信側のタイプに合わせて、TCP(推奨)または UDP を選択します。
- 形式: [CEF](Common Event Format)を選択します。
- Syslog サーバー: Bindplane エージェント ホストの IP アドレスまたはホスト名(
- [保存] をクリックします。
syslog アラートを構成する
- Cofense Triage ウェブ インターフェースで、[Administration] > [System] > [Syslog Alerts] に移動します。
- 転送するイベントタイプを選択します。
- フィッシング レポート: 新しいフィッシング レポートを受信して処理したときに転送されます
- クラスタ イベント: レポートがクラスタ化されたときに転送されます
- 脅威インジケーター イベント: レポートから IOC が抽出されたときに転送されます
- ヘルスアラート: システムの健全性とパフォーマンスのイベントについて転送されます
[保存] をクリックします。
syslog 転送を確認する
- syslog 構成を保存したら、Cofense Triage でテストイベントをトリガーします(フィッシング レポートの処理など)。
- Bindplane エージェントのログで、受信した syslog メッセージを確認します。
- Linux:
sudo journalctl -u observiq-otel-collector -f - Windows:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
- Linux:
CEF 形式のメッセージがログに表示されることを確認します。次に例を示します。
CEF:0|Cofense|Triage|1.0|100|Phishing Report Processed|5|suser=reporter@company.com duser=attacker@malicious.com cs4=Urgent: Account Verification cat=Processed:Threats
UDM マッピング テーブル
| ログフィールド | UDM マッピング | ロジック |
|---|---|---|
| msg、rule_id、start、rt | additional.fields | 空でない場合は msg のラベル、空でない場合は rule_id、空でない場合は start、空でない場合は rt と統合されます。 |
| event_data、descrip | metadata.description | event_data の値(空でない場合)、それ以外の場合は descrip |
| deviceCustomDate1、log_datetime | metadata.event_timestamp | 空でない場合は deviceCustomDate1 から解析し、それ以外の場合は MMM d yyyy HH:mm:ss または MMM d HH:mm:ss 形式を使用して log_datetime を解析します。 |
| suser、duser、has_principal | metadata.event_type | suser と duser がメールパターンと一致する場合は EMAIL_TRANSACTION、それ以外の場合は GENERIC_EVENT に設定し、has_principal が true で、GENERIC_EVENT であった場合は STATUS_UPDATE に設定します。 |
| cs3 | metadata.product_log_id | grok パターン /%{INT:productlogid} を使用して cs3 から抽出されます |
| metadata.product_name | [Triage](トリアージ)に設定する | |
| cs3 | metadata.url_back_to_product | 値を直接コピーしました |
| metadata.vendor_name | 「Cofense」に設定 | |
| suser | network.email.from | 値を直接コピーしました |
| cs4 | network.email.subject | 値を直接コピーしました |
| duser | network.email.to | 値を直接コピーしました |
| ホスト | principal.asset.hostname | 値を直接コピーしました |
| ipaddress | principal.asset.ip | 値を直接コピーしました |
| ホスト | principal.hostname | 値を直接コピーしました |
| ipaddress | principal.ip | 値を直接コピーしました |
| processID | principal.process.pid | 値を直接コピーしました |
| descrip | principal.user.userid | Grok パターン User: (%{WORD:user_id}) を使用して descrip から抽出されます |
| cat、cs2 | security_result.action | cat が ["health","Processed:Marketing","Processed:Non-Malicious"] の場合は ALLOW、cat が "Processed:Spam" または "Processed:Threats" の場合、または cs2 が ["PM_Intel_CoronaVirus_Keywords","PM_Intel_CredPhish_106159","VU_Potential_Credential_Stealer"] の場合は BLOCK に設定します。 |
| 重要度 | security_result.alert_state | 重大度が ["8","10","11","12","13","14"] の場合は ALERTING、それ以外の場合は NOT_ALERTING に設定します。 |
| cat、cs2、severity | security_result.category | cat == "Processed:Spam" の場合は MAIL_SPAM、cs2 が ["PM_Intel_CoronaVirus_Keywords","PM_Intel_CredPhish_106159","VU_Potential_Credential_Stealer"] のいずれかの場合、または重大度が ["8","10","11","12","13","14"] のいずれかの場合は MAIL_PHISHING に設定します。 |
| 猫 | security_result.description | 値を直接コピーしました |
| 重要度 | security_result.rule_id | 値を直接コピーしました |
| cs2 | security_result.rule_name | 値を直接コピーしました |
| cat、cs2 | security_result.severity | cat が ["health","Processed:Marketing","Processed:Non-Malicious"] の場合は INFORMATIONAL、cat == "Processed:Spam" の場合は HIGH、cat == "Processed:Threats" の場合は CRITICAL、それ以外の場合は cs2 が ["PM_Intel_CoronaVirus_Keywords","PM_Intel_CredPhish_106159","VU_Potential_Credential_Stealer"] の場合は HIGH に設定 |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。