Forcepoint Email Security のログを収集する

このドキュメントでは、BindPlane を使用して Forcepoint Email Security ログを Google Security Operations に取り込む方法について説明します。パーサーは、まず JSON 形式のログからフィールドを抽出し、一部の UDM フィールドを空の値で初期化します。次に、特定の条件とデータ操作に基づいて、抽出されたフィールドを Chronicle UDM 構造内の対応するフィールドにマッピングし、最終的にメール セキュリティ イベントの統合表現を作成します。

始める前に

次の前提条件を満たしていることを確認してください。

• Google SecOps インスタンス
• systemd を使用する Windows 2016 以降または Linux ホスト
• プロキシの背後で実行している場合は、BindPlane エージェントの要件に従ってファイアウォール ポートが開いていることを確認する
• Forcepoint Email Security アプライアンスまたは管理コンソールへの特権アクセス

Google SecOps の取り込み認証ファイルを取得する

1. Google SecOps コンソールにログインします。
2. [SIEM 設定] > [収集エージェント] に移動します。
3. 取り込み認証ファイルをダウンロードします。
4. BindPlane をインストールするシステムにファイルを安全に保存します。

Google SecOps のお客様 ID を取得する

1. Google SecOps コンソールにログインします。
2. [SIEM 設定] > [プロファイル] に移動します。
3. [組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。

BindPlane エージェントをインストールする

次の手順に沿って、Windows または Linux オペレーティング システムに BindPlane エージェントをインストールします。

Windows へのインストール

1. 管理者として コマンド プロンプトまたは PowerShell を開きます。

2. 次のコマンドを実行します。

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Linux へのインストール

1. root 権限または sudo 権限でターミナルを開きます。

2. 次のコマンドを実行します。

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

その他のインストール リソース

• その他のインストール オプションについては、こちらのインストール ガイドをご覧ください。
• 代替方法: BindPlane OP マネージド インストール ワークフローを使用して、エージェントを一元管理することもできます。

Syslog を取り込んで Google SecOps に送信するように BindPlane Agent を構成する

1. 構成ファイルにアクセスします。

   • config.yaml ファイルを見つけます。通常、Linux では /etc/bindplane-agent/ ディレクトリに、Windows ではインストール ディレクトリにあります。
   • テキスト エディタ（nano、vi、メモ帳など）を使用してファイルを開きます。

2. config.yaml ファイルを次のように編集します。

   receivers:
     udplog:
       # Replace the port and IP address as required
       listen_address: "0.0.0.0:514"
   
   exporters:
     chronicle/chronicle_w_labels:
       compression: gzip
       # Adjust the path to the credentials file you downloaded in Step 1
       creds_file_path: '/path/to/ingestion-authentication-file.json'
       # Replace with your actual customer ID from Step 2
       customer_id: <CUSTOMER_ID>
       endpoint: malachiteingestion-pa.googleapis.com
       # Add optional ingestion labels for better organization
       log_type: 'FORCEPOINT_EMAILSECURITY'
       raw_log_field: body
       ingestion_labels:
   
   service:
     pipelines:
       logs/source0__chronicle_w_labels-0:
         receivers:
           - udplog
         exporters:
           - chronicle/chronicle_w_labels
   

3. 自社のインフラストラクチャでの必要性に応じて、ポートと IP アドレスを置き換えます。

4. <CUSTOMER_ID> は、実際の顧客 ID に置き換えます。

5. /path/to/ingestion-authentication-file.json の値を、ステップ 1 で認証ファイルを保存したファイルパスに更新します。

BindPlane Agent を再起動して変更を適用する

1. Linux で BindPlane エージェントを再起動するには、次のコマンドを実行します。

   sudo systemctl restart observiq-otel-collector
   

2. Windows で BindPlane エージェントを再起動するには、サービス コンソールを使用するか、次のコマンドを入力します。

   net stop observiq-otel-collector && net start observiq-otel-collector
   

Forcepoint Email Security で Syslog 転送を構成する

1. Forcepoint Email Security Management Console にログインします。
2. [設定] > [統合] > [SIEM 統合] に移動します。
3. [Enable SIEM Integration] をクリックします。

4. 次の構成情報を提供してください。

   • 形式: [LEEF]（Log Event Extended Format）を選択します。
   • Syslog サーバー: BindPlane Agent の IP アドレスを入力します。
   • Syslog ポート: BindPlane Agent のポート番号（514 など）を入力します。
   • プロトコル: 実際の BindPlane エージェントの構成に応じて、[UDP] または [TCP] を選択します。
   • ファシリティ: syslog ファシリティ コード（Local0 など）を選択します。
   • 重大度: ログイベントの重大度レベルを選択します。

5. [保存] をクリックします。

UDM マッピング テーブル

ご不明な点がございましたら、コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。