Coletar registros do Forcepoint Email Security

Compatível com:

Google SecOps SIEM

Este documento explica como ingerir registros do Forcepoint Email Security no Google Security Operations usando o BindPlane. Primeiro, o analisador extrai campos dos registros formatados em JSON e inicializa alguns campos do UDM com valores vazios. Em seguida, ele mapeia os campos extraídos para os campos correspondentes na estrutura UDM do Chronicle com base em condições e manipulações de dados específicas, criando uma representação unificada do evento de segurança de e-mail.

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

Uma instância do Google SecOps
Um host Windows 2016 ou mais recente ou Linux com systemd
Se estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas de acordo com os requisitos do agente BindPlane.
Acesso privilegiado ao appliance ou console de gerenciamento do Forcepoint Email Security

Receber o arquivo de autenticação de ingestão do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Agente de coleta.
Faça o download do arquivo de autenticação de ingestão.
Salve o arquivo com segurança no sistema em que o BindPlane será instalado.

Receber o ID de cliente do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Perfil.
Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do BindPlane

Instale o agente do BindPlane no sistema operacional Windows ou Linux de acordo com as instruções a seguir.

Instalação do Windows

Abra o Prompt de Comando ou o PowerShell como administrador.

Execute este comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalação do Linux

Abra um terminal com privilégios de root ou sudo.

Execute este comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Outros recursos de instalação

Para mais opções de instalação, consulte este guia de instalação.
Alternativa:também é possível usar o fluxo de trabalho de instalação gerenciada do BindPlane OP para gerenciamento centralizado de agentes.

Configurar o agente do BindPlane para ingerir Syslog e enviar ao Google SecOps

Acesse o arquivo de configuração:
- Localize o arquivo config.yaml. Normalmente, ele fica no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
- Abra o arquivo usando um editor de texto (por exemplo, nano, vi ou Bloco de Notas).

Edite o arquivo config.yaml da seguinte forma:

receivers:
  udplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: <CUSTOMER_ID>
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'FORCEPOINT_EMAILSECURITY'
    raw_log_field: body
    ingestion_labels:

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels

Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
Substitua <CUSTOMER_ID> pelo ID de cliente real.
Atualize /path/to/ingestion-authentication-file.json para o caminho do arquivo em que o arquivo de autenticação foi salvo na Etapa 1.

Reinicie o agente do BindPlane para aplicar as mudanças

Para reiniciar o agente do BindPlane em Linux, execute o seguinte comando:
```
sudo systemctl restart observiq-otel-collector
```
Para reiniciar o agente do BindPlane no Windows, use o console Serviços ou insira o seguinte comando:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```

Configurar o encaminhamento do Syslog no Forcepoint Email Security

Faça login no Console de gerenciamento do Forcepoint Email Security.
Acesse Configurações > Integrações > Integração do SIEM.
Clique em Enable SIEM Integration.
Informe os seguintes detalhes de configuração:
- Formato: selecione LEEF (Log Event Extended Format).
- Servidor Syslog: insira o endereço IP do agente do BindPlane.
- Porta do Syslog: insira o número da porta do agente do BindPlane (por exemplo, 514).
- Protocolo: selecione UDP ou TCP, dependendo da configuração real do agente do BindPlane.
- Facility: selecione o código de instalação do syslog (por exemplo, Local0).
- Gravidade: selecione o nível de gravidade dos eventos de registro.
Clique em Salvar.

Tabela de mapeamento do UDM

Campo de registro	Mapeamento do UDM	Lógica
Ação	security_result.action_details	Mapeado diretamente do campo "Action" no registro bruto.
AttachmentFilename	additional.fields.value.list_value.values.string_value (chave: Attachments_FileNames)	O campo "AttachmentFilename" é dividido por vírgula, e cada valor é adicionado como um "string_value" à matriz "additional.fields" com a chave "Attachments_FileNames".
AttachmentFileType	additional.fields.value.list_value.values.string_value (key: AttachmentsFileType)	O campo "AttachmentFileType" é dividido por vírgula, e cada valor é adicionado como um "string_value" à matriz "additional.fields" com a chave "AttachmentsFileType".
AttachmentSize	additional.fields.value.list_value.values.string_value (key: AttachmentsSize)	O campo "AttachmentSize" é dividido por vírgula, e cada valor é adicionado como um string_value à matriz "additional.fields" com a chave "AttachmentsSize".
DateTime		Não mapeado no UDM fornecido.
EnvelopeSender	network.email.from	Mapeado diretamente do campo "EnvelopeSender" no registro bruto.
EventReceivedTime	metadata.event_timestamp	Analisado em um formato de carimbo de data/hora e mapeado para "metadata.event_timestamp".
FilteringReason	security_result.category_details	Mapeado diretamente do campo "FilteringReason" no registro bruto.
MessageSandboxing	security_result.detection_fields.value (chave: MessageSandboxing)	Mapeado diretamente do campo "MessageSandboxing" no registro bruto e adicionado como um par de chave-valor à matriz "security_result.detection_fields".
MessageSize	security_result.detection_fields.value (key: MessageSize)	Mapeado diretamente do campo "MessageSize" no registro bruto e adicionado como um par de chave-valor à matriz "security_result.detection_fields".
nxlog_filename	additional.fields.value.string_value (chave: nxlog_filename)	Mapeado diretamente do campo "nxlog_filename" no registro bruto e adicionado como um par de chave-valor à matriz "additional.fields".
RecipientAddress	network.email.to	Mapeado diretamente do campo "RecipientAddress" no registro bruto.
SenderIP	principal.asset.ip, principal.ip	Mapeado diretamente do campo "SenderIP" no registro bruto.
SenderIPCountry	principal.location.country_or_region	Mapeado diretamente do campo "SenderIPCountry" no registro bruto.
SourceModuleName	principal.resource.attribute.labels.value (chave: SourceModuleName)	Mapeado diretamente do campo "SourceModuleName" no registro bruto e adicionado como um par de chave-valor à matriz "principal.resource.attribute.labels".
SourceModuleType	principal.resource.attribute.labels.value (chave: SourceModuleType)	Mapeado diretamente do campo "SourceModuleType" no registro bruto e adicionado como um par de chave-valor à matriz "principal.resource.attribute.labels".
SpamScore	security_result.detection_fields.value (chave: SpamScore)	Mapeado diretamente do campo "SpamScore" no registro bruto e adicionado como um par de chave-valor à matriz "security_result.detection_fields".
Assunto	network.email.subject	Mapeado diretamente do campo "Assunto" no registro bruto.
VirusName	security_result.detection_fields.value (chave: VirusName)	Mapeado diretamente do campo "VirusName" no registro bruto e adicionado como um par de chave-valor à matriz "security_result.detection_fields".
	metadata.event_type	O valor é determinado com base na presença de outros campos. Se "has_network_email_data" for verdadeiro, o valor será definido como "EMAIL_TRANSACTION". Se "has_principal" for verdadeiro, o valor será definido como "STATUS_UPDATE". Caso contrário, o padrão será "GENERIC_EVENT".
	metadata.product_name	O valor é definido como "FORCEPOINT EMAILSECURITY".
	metadata.vendor_name	O valor é definido como "FORCEPOINT EMAILSECURITY".

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.