Mengumpulkan log Forcepoint Email Security

Didukung di:

Google SecOps SIEM

Dokumen ini menjelaskan cara menyerap log Forcepoint Email Security ke Google Security Operations menggunakan BindPlane. Parser pertama-tama mengekstrak kolom dari log berformat JSON dan menginisialisasi beberapa kolom UDM dengan nilai kosong. Kemudian, kolom yang diekstrak dipetakan ke kolom yang sesuai dalam struktur UDM Chronicle berdasarkan kondisi dan manipulasi data tertentu, sehingga menghasilkan representasi terpadu dari peristiwa keamanan email.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

Instance Google SecOps
Host Windows 2016 atau yang lebih baru atau Linux dengan systemd
Jika beroperasi dari balik proxy, pastikan port firewall terbuka sesuai dengan persyaratan agen BindPlane
Akses istimewa ke konsol pengelolaan atau perangkat Forcepoint Email Security

Mendapatkan file autentikasi penyerapan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Agen Pengumpulan.
Download file autentikasi penyerapan.
Simpan file dengan aman di sistem tempat BindPlane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Profil.
Salin dan simpan ID pelanggan dari bagian Detail Organisasi.

Menginstal Agen BindPlane

Instal agen BindPlane di sistem operasi Windows atau Linux Anda sesuai dengan petunjuk berikut.

Penginstalan Windows

Buka Command Prompt atau PowerShell sebagai administrator.

Jalankan perintah berikut:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Penginstalan Linux

Buka terminal dengan hak istimewa root atau sudo.

Jalankan perintah berikut:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Referensi Penginstalan Tambahan

Untuk opsi penginstalan tambahan, lihat panduan penginstalan ini.
Alternatif: Anda juga dapat menggunakan alur kerja penginstalan terkelola BindPlane OP untuk pengelolaan agen terpusat.

Mengonfigurasi Agen BindPlane untuk menyerap Syslog dan mengirimkannya ke Google SecOps

Akses File Konfigurasi:
- Cari file config.yaml. Biasanya, file ini berada di direktori /etc/bindplane-agent/ di Linux atau di direktori penginstalan di Windows.
- Buka file menggunakan editor teks (misalnya, nano, vi, atau Notepad).

Edit file config.yaml sebagai berikut:

receivers:
  udplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: <CUSTOMER_ID>
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'FORCEPOINT_EMAILSECURITY'
    raw_log_field: body
    ingestion_labels:

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels

Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.
Ganti <CUSTOMER_ID> dengan ID Pelanggan yang sebenarnya.
Perbarui /path/to/ingestion-authentication-file.json ke jalur file tempat file autentikasi disimpan di Langkah 1.

Mulai ulang Agen BindPlane untuk menerapkan perubahan

Untuk memulai ulang agen BindPlane di Linux, jalankan perintah berikut:
```
sudo systemctl restart observiq-otel-collector
```
Untuk memulai ulang agen BindPlane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```

Mengonfigurasi penerusan Syslog di Forcepoint Email Security

Login ke Konsol Pengelolaan Forcepoint Email Security.
Buka Settings > Integrations > SIEM Integration.
Klik Enable SIEM Integration.
Berikan detail konfigurasi berikut:
- Format: Pilih LEEF (Log Event Extended Format).
- Syslog Server: Masukkan alamat IP Agen BindPlane.
- Syslog Port: Masukkan nomor port Agen BindPlane (misalnya, 514).
- Protocol: Pilih UDP atau TCP, bergantung pada konfigurasi BindPlane Agent Anda yang sebenarnya.
- Fasilitas: Pilih kode fasilitas syslog (misalnya, Local0).
- Tingkat keparahan: Pilih tingkat keparahan untuk peristiwa log.
Klik Simpan.

Tabel Pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
Tindakan	security_result.action_details	Dipetakan langsung dari kolom "Tindakan" dalam log mentah.
AttachmentFilename	additional.fields.value.list_value.values.string_value (kunci: Attachments_FileNames)	Kolom "AttachmentFilename" dibagi dengan koma, lalu setiap nilai ditambahkan sebagai string_value ke array "additional.fields" dengan kunci "Attachments_FileNames".
AttachmentFileType	additional.fields.value.list_value.values.string_value (kunci: AttachmentsFileType)	Kolom "AttachmentFileType" dibagi dengan koma, lalu setiap nilai ditambahkan sebagai string_value ke array "additional.fields" dengan kunci "AttachmentsFileType".
AttachmentSize	additional.fields.value.list_value.values.string_value (kunci: AttachmentsSize)	Kolom "AttachmentSize" dibagi dengan koma, lalu setiap nilai ditambahkan sebagai string_value ke array "additional.fields" dengan kunci "AttachmentsSize".
Tanggal dan Waktu		Tidak dipetakan di UDM yang diberikan.
EnvelopeSender	network.email.from	Dipetakan langsung dari kolom "EnvelopeSender" di log mentah.
EventReceivedTime	metadata.event_timestamp	Diuraikan ke format stempel waktu dan dipetakan ke "metadata.event_timestamp".
FilteringReason	security_result.category_details	Dipetakan langsung dari kolom "FilteringReason" dalam log mentah.
MessageSandboxing	security_result.detection_fields.value (kunci: MessageSandboxing)	Dipetakan langsung dari kolom "MessageSandboxing" dalam log mentah dan ditambahkan sebagai key-value pair ke array "security_result.detection_fields".
MessageSize	security_result.detection_fields.value (kunci: MessageSize)	Dipetakan langsung dari kolom "MessageSize" dalam log mentah dan ditambahkan sebagai key-value pair ke array "security_result.detection_fields".
nxlog_filename	additional.fields.value.string_value (kunci: nxlog_filename)	Dipetakan langsung dari kolom "nxlog_filename" dalam log mentah dan ditambahkan sebagai key-value pair ke array "additional.fields".
RecipientAddress	network.email.to	Dipetakan langsung dari kolom "RecipientAddress" di log mentah.
SenderIP	principal.asset.ip, principal.ip	Dipetakan langsung dari kolom "SenderIP" dalam log mentah.
SenderIPCountry	principal.location.country_or_region	Dipetakan langsung dari kolom "SenderIPCountry" dalam log mentah.
SourceModuleName	principal.resource.attribute.labels.value (kunci: SourceModuleName)	Dipetakan langsung dari kolom "SourceModuleName" dalam log mentah dan ditambahkan sebagai key-value pair ke array "principal.resource.attribute.labels".
SourceModuleType	principal.resource.attribute.labels.value (kunci: SourceModuleType)	Dipetakan langsung dari kolom "SourceModuleType" dalam log mentah dan ditambahkan sebagai key-value pair ke array "principal.resource.attribute.labels".
SpamScore	security_result.detection_fields.value (kunci: SpamScore)	Dipetakan langsung dari kolom "SpamScore" dalam log mentah dan ditambahkan sebagai pasangan nilai kunci ke array "security_result.detection_fields".
Subjek	network.email.subject	Dipetakan langsung dari kolom "Subjek" dalam log mentah.
VirusName	security_result.detection_fields.value (kunci: VirusName)	Dipetakan langsung dari kolom "VirusName" dalam log mentah dan ditambahkan sebagai key-value pair ke array "security_result.detection_fields".
	metadata.event_type	Nilai ditentukan berdasarkan ada tidaknya kolom lain. Jika "has_network_email_data" bernilai benar (true), nilai ditetapkan ke "EMAIL_TRANSACTION". Jika "has_principal" benar (true), nilai ditetapkan ke "STATUS_UPDATE". Jika tidak, defaultnya adalah "GENERIC_EVENT".
	metadata.product_name	Nilai ditetapkan ke "FORCEPOINT EMAILSECURITY".
	metadata.vendor_name	Nilai ditetapkan ke "FORCEPOINT EMAILSECURITY".

Perlu bantuan lebih lanjut? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.