Raccogliere i log di Forcepoint Email Security

Supportato in:

Google secops SIEM

Questo documento spiega come importare i log di Forcepoint Email Security in Google Security Operations utilizzando BindPlane. Il parser estrae innanzitutto i campi dai log in formato JSON e inizializza alcuni campi UDM con valori vuoti. Poi, mappa i campi estratti con i campi corrispondenti all'interno della struttura UDM di Chronicle in base a condizioni specifiche e manipolazioni dei dati, creando infine una rappresentazione unificata dell'evento di sicurezza email.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

Un'istanza Google SecOps
Un host Windows 2016 o versioni successive o Linux con systemd
Se l'agente viene eseguito dietro un proxy, assicurati che le porte firewall siano aperte in base ai requisiti dell'agente BindPlane
Accesso con privilegi all'appliance o alla console di gestione Forcepoint Email Security

Recuperare il file di autenticazione dell'importazione di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Agente di raccolta.
Scarica il file di autenticazione importazione.
Salva il file in modo sicuro sul sistema in cui verrà installato BindPlane.

Recuperare l'ID cliente Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente BindPlane

Installa l'agente BindPlane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.

Installazione di Windows

Apri il prompt dei comandi o PowerShell come amministratore.

Esegui questo comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installazione di Linux

Apri un terminale con privilegi di root o sudo.

Esegui questo comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Risorse aggiuntive per l'installazione

Per ulteriori opzioni di installazione, consulta questa guida all'installazione.
Alternativa:puoi anche utilizzare il flusso di lavoro di installazione gestita di BindPlane OP per la gestione centralizzata degli agenti.

Configura l'agente BindPlane per importare Syslog e inviarlo a Google SecOps

Accedi al file di configurazione:
- Individua il file config.yaml. In genere si trova nella directory /etc/bindplane-agent/ su Linux o nella directory di installazione su Windows.
- Apri il file utilizzando un editor di testo (ad esempio nano, vi o Blocco note).

Modifica il file config.yaml come segue:

receivers:
  udplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: <CUSTOMER_ID>
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'FORCEPOINT_EMAILSECURITY'
    raw_log_field: body
    ingestion_labels:

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels

Sostituisci la porta e l'indirizzo IP in base alle esigenze della tua infrastruttura.
Sostituisci <CUSTOMER_ID> con l'ID cliente effettivo.
Aggiorna /path/to/ingestion-authentication-file.json con il percorso del file in cui è stato salvato il file di autenticazione nel passaggio 1.

Riavvia l'agente BindPlane per applicare le modifiche

Per riavviare l'agente BindPlane in Linux, esegui questo comando:
```
sudo systemctl restart observiq-otel-collector
```
Per riavviare l'agente BindPlane in Windows, puoi utilizzare la console Servizi o inserire il seguente comando:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```

Configura l'inoltro di Syslog su Forcepoint Email Security

Accedi alla console di gestione di Forcepoint Email Security.
Vai a Impostazioni > Integrazioni > Integrazione SIEM.
Fai clic su Enable SIEM Integration (Attiva integrazione SIEM).
Fornisci i seguenti dettagli di configurazione:
- Formato: seleziona LEEF (Log Event Extended Format).
- Server Syslog: inserisci l'indirizzo IP dell'agente BindPlane.
- Porta Syslog: inserisci il numero di porta dell'agente BindPlane (ad esempio, 514).
- Protocollo: seleziona UDP o TCP, a seconda della configurazione effettiva di BindPlane Agent.
- Struttura: seleziona il codice della struttura syslog (ad esempio Local0).
- Gravità: seleziona il livello di gravità per gli eventi di log.
Fai clic su Salva.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Funzione logica
Azione	security_result.action_details	Mappato direttamente dal campo "Azione" nel log non elaborato.
AttachmentFilename	additional.fields.value.list_value.values.string_value (chiave: Attachments_FileNames)	Il campo "AttachmentFilename" viene suddiviso in base alla virgola e poi ogni valore viene aggiunto come string_value all'array "additional.fields" con la chiave "Attachments_FileNames".
AttachmentFileType	additional.fields.value.list_value.values.string_value (chiave: AttachmentsFileType)	Il campo "AttachmentFileType" viene suddiviso in base alla virgola e poi ogni valore viene aggiunto come string_value all'array "additional.fields" con la chiave "AttachmentsFileType".
AttachmentSize	additional.fields.value.list_value.values.string_value (chiave: AttachmentsSize)	Il campo "AttachmentSize" viene suddiviso in base alla virgola e poi ogni valore viene aggiunto come string_value all'array "additional.fields" con la chiave "AttachmentsSize".
DateTime		Non mappato nell'UDM fornito.
EnvelopeSender	network.email.from	Mappato direttamente dal campo "EnvelopeSender" nel log non elaborato.
EventReceivedTime	metadata.event_timestamp	Analizzato in un formato timestamp e mappato a "metadata.event_timestamp".
FilteringReason	security_result.category_details	Mappato direttamente dal campo "FilteringReason" nel log non elaborato.
MessageSandboxing	security_result.detection_fields.value (chiave: MessageSandboxing)	Mappato direttamente dal campo "MessageSandboxing" nel log non elaborato e aggiunto come coppia chiave-valore all'array "security_result.detection_fields".
MessageSize	security_result.detection_fields.value (chiave: MessageSize)	Mappato direttamente dal campo "MessageSize" nel log non elaborato e aggiunto come coppia chiave-valore all'array "security_result.detection_fields".
nxlog_filename	additional.fields.value.string_value (chiave: nxlog_filename)	Mappato direttamente dal campo "nxlog_filename" nel log non elaborato e aggiunto come coppia chiave-valore all'array "additional.fields".
RecipientAddress	network.email.to	Mappato direttamente dal campo "RecipientAddress" nel log non elaborato.
SenderIP	principal.asset.ip, principal.ip	Mappato direttamente dal campo "SenderIP" nel log non elaborato.
SenderIPCountry	principal.location.country_or_region	Mappato direttamente dal campo "SenderIPCountry" nel log non elaborato.
SourceModuleName	principal.resource.attribute.labels.value (chiave: SourceModuleName)	Mappato direttamente dal campo "SourceModuleName" nel log non elaborato e aggiunto come coppia chiave-valore all'array "principal.resource.attribute.labels".
SourceModuleType	principal.resource.attribute.labels.value (chiave: SourceModuleType)	Mappato direttamente dal campo "SourceModuleType" nel log non elaborato e aggiunto come coppia chiave-valore all'array "principal.resource.attribute.labels".
SpamScore	security_result.detection_fields.value (chiave: SpamScore)	Mappato direttamente dal campo "SpamScore" nel log non elaborato e aggiunto come coppia chiave-valore all'array "security_result.detection_fields".
Oggetto	network.email.subject	Mappato direttamente dal campo "Oggetto" nel log non elaborato.
VirusName	security_result.detection_fields.value (chiave: VirusName)	Mappato direttamente dal campo "VirusName" nel log non elaborato e aggiunto come coppia chiave-valore all'array "security_result.detection_fields".
	metadata.event_type	Il valore viene determinato in base alla presenza di altri campi. Se "has_network_email_data" è true, il valore è impostato su "EMAIL_TRANSACTION". Se "has_principal" è true, il valore è impostato su "STATUS_UPDATE". In caso contrario, il valore predefinito è "GENERIC_EVENT".
	metadata.product_name	Il valore è impostato su "FORCEPOINT EMAILSECURITY".
	metadata.vendor_name	Il valore è impostato su "FORCEPOINT EMAILSECURITY".

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.