Cofense 로그 수집
다음에서 지원:
Google secops
SIEM
이 문서에서는 Bindplane 에이전트를 사용하여 Cofense 로그를 Google Security Operations로 수집하는 방법을 설명합니다.
Cofense Triage는 직원이 신고한 피싱 이메일의 감지, 분석, 대응을 자동화하는 피싱 사고 대응 플랫폼입니다. 유사한 위협을 클러스터링하고, 위험 점수를 할당하고, 침해 지표 (IOC)를 추출하고, 보안 오케스트레이션 도구와 통합하여 피싱 사고 해결을 가속화합니다.
시작하기 전에
다음 기본 요건이 충족되었는지 확인합니다.
- Google SecOps 인스턴스
- Windows Server 2016 이상 또는
systemd가 설치된 Linux 호스트 - Bindplane 에이전트와 Cofense Triage 서버 간의 네트워크 연결
- 프록시 뒤에서 실행하는 경우 Bindplane 에이전트 요구사항에 따라 방화벽 포트가 열려 있는지 확인합니다.
- Cofense Triage 관리 콘솔에 대한 액세스 권한
- Cofense Triage 버전 1.20 이상
Google SecOps 수집 인증 파일 가져오기
- Google SecOps 콘솔에 로그인합니다.
- SIEM 설정 > 수집 에이전트로 이동합니다.
수집 인증 파일을 다운로드합니다. Bindplane이 설치될 시스템에 파일을 안전하게 저장합니다.
Google SecOps 고객 ID 가져오기
- Google SecOps 콘솔에 로그인합니다.
- SIEM 설정 > 프로필로 이동합니다.
조직 세부정보 섹션에서 고객 ID를 복사하여 저장합니다.
Bindplane 에이전트 설치
다음 안내에 따라 Windows 또는 Linux 운영체제에 Bindplane 에이전트를 설치합니다.
Windows 설치
- 명령 프롬프트 또는 PowerShell을 관리자로 엽니다.
다음 명령어를 실행합니다.
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet설치가 완료될 때까지 기다립니다.
다음을 실행하여 설치를 확인합니다.
sc query observiq-otel-collector서비스 상태는 실행 중이어야 합니다.
Linux 설치
- 루트 또는 sudo 권한으로 터미널을 엽니다.
다음 명령어를 실행합니다.
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh설치가 완료될 때까지 기다립니다.
다음을 실행하여 설치를 확인합니다.
sudo systemctl status observiq-otel-collector서비스 상태는 active (running)이어야 합니다.
추가 설치 리소스
추가 설치 옵션 및 문제 해결은 Bindplane 에이전트 설치 가이드를 참고하세요.
syslog를 수집하고 로그를 Google SecOps로 전송하도록 Bindplane 에이전트 구성
구성 파일 찾기
Linux:
sudo nano /etc/bindplane-agent/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
구성 파일 설정
config.yaml의 전체 내용을 다음 구성으로 바꿉니다.receivers: tcplog: listen_address: "0.0.0.0:514" exporters: chronicle/cofense: compression: gzip creds_file_path: '/etc/bindplane-agent/ingestion-auth.json' customer_id: 'your-customer-id' endpoint: malachiteingestion-pa.googleapis.com log_type: COFENSE_TRIAGE raw_log_field: body service: pipelines: logs/cofense_to_chronicle: receivers: - tcplog exporters: - chronicle/cofense다음 자리표시자를 바꿉니다.
수신기 구성:
listen_address: 리슨할 IP 주소 및 포트입니다.- 포트 514에서 모든 인터페이스를 리슨하려면
0.0.0.0:514(Linux에서 루트 필요) 0.0.0.0:1514: 권한이 없는 포트에서 수신 대기 (Linux 비루트에 권장)
- 포트 514에서 모든 인터페이스를 리슨하려면
수신기 유형 옵션:
- TCP syslog용
tcplog(Cofense Triage에 권장) - UDP syslog용
udplog
- TCP syslog용
내보내기 도구 구성:
creds_file_path: Google SecOps 수집 인증 파일의 전체 경로입니다.- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
customer_id: Google SecOps 고객 IDendpoint: 리전 엔드포인트 URL:- 미국:
malachiteingestion-pa.googleapis.com - 유럽:
europe-malachiteingestion-pa.googleapis.com - 아시아:
asia-southeast1-malachiteingestion-pa.googleapis.com - 전체 목록은 리전 엔드포인트를 참고하세요.
- 미국:
구성 파일 저장
수정 후 파일을 저장합니다.
- Linux:
Ctrl+O,Enter,Ctrl+X순서로 누릅니다. - Windows: 파일 > 저장을 클릭합니다.
변경사항을 적용하려면 Bindplane 에이전트를 다시 시작하세요.
Linux에서 Bindplane 에이전트를 다시 시작하려면 다음 단계를 따르세요.
다음 명령어를 실행합니다.
sudo systemctl restart observiq-otel-collector서비스가 실행 중인지 확인합니다.
sudo systemctl status observiq-otel-collector로그에서 오류를 확인합니다.
sudo journalctl -u observiq-otel-collector -f
Windows에서 Bindplane 에이전트를 다시 시작하려면 다음 단계를 따르세요.
다음 옵션 중 하나를 선택합니다.
관리자 권한으로 명령 프롬프트 또는 PowerShell:
net stop observiq-otel-collector && net start observiq-otel-collector서비스 콘솔:
Win+R키를 누르고services.msc을 입력한 다음 Enter 키를 누릅니다.- observIQ OpenTelemetry Collector를 찾습니다.
- 마우스 오른쪽 버튼을 클릭하고 다시 시작을 선택합니다.
서비스가 실행 중인지 확인합니다.
sc query observiq-otel-collector로그에서 오류를 확인합니다.
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
Cofense Triage syslog 전달 구성
Cofense Triage는 syslog를 통해 CEF (Common Event Format)의 피싱 신고 이벤트와 알림을 외부 SIEM 수집기로 전달할 수 있습니다.
Cofense Triage에서 syslog 출력 사용 설정
- 관리자 사용자 인증 정보로 Cofense Triage 웹 인터페이스에 로그인합니다.
- 관리 > 시스템 > Syslog로 이동합니다.
- Syslog 전환 버튼을 사용 설정합니다.
- 다음 syslog 매개변수를 구성합니다.
- Syslog 서버: Bindplane 에이전트 호스트의 IP 주소 또는 호스트 이름을 입력합니다 (예:
192.168.1.100). - 포트: Bindplane 에이전트
listen_address와 일치하는 포트를 입력합니다 (예:514). - 프로토콜: Bindplane 에이전트 수신기 유형과 일치하도록 TCP (권장) 또는 UDP를 선택합니다.
- 형식: CEF (Common Event Format)를 선택합니다.
- Syslog 서버: Bindplane 에이전트 호스트의 IP 주소 또는 호스트 이름을 입력합니다 (예:
- 저장을 클릭합니다.
syslog 알림 구성
- Cofense Triage 웹 인터페이스에서 Administration > System > Syslog Alerts로 이동합니다.
- 전달할 이벤트 유형을 선택합니다.
- 피싱 신고: 새로운 피싱 신고가 접수되고 처리되면 전달됩니다.
- 클러스터 이벤트: 보고서가 클러스터링될 때 전달됨
- 위협 지표 이벤트: 보고서에서 IOC가 추출되면 전달됩니다.
- 상태 알림: 시스템 상태 및 성능 이벤트에 대해 전달됨
저장을 클릭합니다.
syslog 전달 확인
- syslog 구성을 저장한 후 Cofense Triage에서 테스트 이벤트를 트리거합니다 (예: 피싱 신고 처리).
- Bindplane 에이전트 로그에서 수신 syslog 메시지를 확인합니다.
- Linux:
sudo journalctl -u observiq-otel-collector -f - Windows:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
- Linux:
CEF 형식 메시지가 로그에 표시되는지 확인합니다. 예를 들면 다음과 같습니다.
CEF:0|Cofense|Triage|1.0|100|Phishing Report Processed|5|suser=reporter@company.com duser=attacker@malicious.com cs4=Urgent: Account Verification cat=Processed:Threats
UDM 매핑 테이블
| 로그 필드 | UDM 매핑 | 논리 |
|---|---|---|
| msg, rule_id, start, rt | additional.fields | 비어 있지 않은 경우 msg 라벨, 비어 있지 않은 경우 rule_id, 비어 있지 않은 경우 start, 비어 있지 않은 경우 rt와 병합됨 |
| event_data, descrip | metadata.description | 비어 있지 않은 경우 event_data의 값, 그렇지 않은 경우 descrip |
| deviceCustomDate1, log_datetime | metadata.event_timestamp | 비어 있지 않은 경우 deviceCustomDate1에서 파싱되고, 비어 있는 경우 MMM d yyyy HH:mm:ss 또는 MMM d HH:mm:ss 형식을 사용하여 log_datetime이 파싱됩니다. |
| suser, duser, has_principal | metadata.event_type | suser와 duser가 이메일 패턴과 일치하면 EMAIL_TRANSACTION으로 설정하고, 그렇지 않으면 GENERIC_EVENT로 설정한 후 has_principal이 true이고 GENERIC_EVENT였으면 STATUS_UPDATE로 설정합니다. |
| cs3 | metadata.product_log_id | grok 패턴 /%{INT:productlogid}를 사용하여 cs3에서 추출됨 |
| metadata.product_name | 'Triage'로 설정 | |
| cs3 | metadata.url_back_to_product | 값이 직접 복사됨 |
| metadata.vendor_name | 'Cofense'로 설정 | |
| suser | network.email.from | 값이 직접 복사됨 |
| cs4 | network.email.subject | 값이 직접 복사됨 |
| duser | network.email.to | 값이 직접 복사됨 |
| 호스트 | principal.asset.hostname | 값이 직접 복사됨 |
| ipaddress | principal.asset.ip | 값이 직접 복사됨 |
| 호스트 | principal.hostname | 값이 직접 복사됨 |
| ipaddress | principal.ip | 값이 직접 복사됨 |
| processID | principal.process.pid | 값이 직접 복사됨 |
| 설명 | principal.user.userid | grok 패턴 User: (%{WORD:user_id})을 사용하여 descrip에서 추출됨 |
| cat, cs2 | security_result.action | 카테고리가 ['health','Processed:Marketing','Processed:Non-Malicious']에 속하는 경우 ALLOW로 설정하고, 카테고리가 'Processed:Spam' 또는 'Processed:Threats'이거나 cs2가 ['PM_Intel_CoronaVirus_Keywords','PM_Intel_CredPhish_106159','VU_Potential_Credential_Stealer']에 속하는 경우 BLOCK으로 설정합니다. |
| 줄이는 것을 | security_result.alert_state | 심각도가 ['8','10','11','12','13','14']에 있는 경우 ALERTING으로 설정하고, 그렇지 않으면 NOT_ALERTING으로 설정합니다. |
| cat, cs2, severity | security_result.category | cat == 'Processed:Spam'인 경우 MAIL_SPAM으로 설정하고, cs2가 ['PM_Intel_CoronaVirus_Keywords','PM_Intel_CredPhish_106159','VU_Potential_Credential_Stealer'] 에 있거나 심각도가 ['8','10','11','12','13','14']에 있는 경우 MAIL_PHISHING으로 설정합니다. |
| 고양이 | security_result.description | 값이 직접 복사됨 |
| 줄이는 것을 | security_result.rule_id | 값이 직접 복사됨 |
| cs2 | security_result.rule_name | 값이 직접 복사됨 |
| cat, cs2 | security_result.severity | cat이 ['health','Processed:Marketing','Processed:Non-Malicious']에 있으면 INFORMATIONAL로 설정되고, cat이 'Processed:Spam'이면 HIGH로 설정되고, cat이 'Processed:Threats'이면 CRITICAL로 설정되고, 그 외의 경우 cs2가 ['PM_Intel_CoronaVirus_Keywords','PM_Intel_CredPhish_106159','VU_Potential_Credential_Stealer']에 있으면 HIGH로 설정됩니다. |
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.