收集 Forcepoint Email Security 日志

支持的平台：

Google SecOps SIEM

本文档介绍了如何使用 BindPlane 将 Forcepoint Email Security 日志提取到 Google Security Operations。解析器首先从 JSON 格式的日志中提取字段，并使用空值初始化某些 UDM 字段。然后，它会根据特定条件和数据处理将提取的字段映射到 Chronicle UDM 结构中的相应字段，最终创建电子邮件安全事件的统一表示形式。

准备工作

请确保满足以下前提条件：

Google SecOps 实例
搭载 systemd 的 Windows 2016 或更高版本或 Linux 主机
如果通过代理运行，请确保防火墙端口已根据 BindPlane 代理要求打开
对 Forcepoint Email Security 设备或管理控制台的特权访问权限

获取 Google SecOps 注入身份验证文件

登录 Google SecOps 控制台。
依次前往 SIEM 设置 > 收集代理。
下载注入身份验证文件。
将文件安全地保存在将要安装 BindPlane 的系统上。

获取 Google SecOps 客户 ID

登录 Google SecOps 控制台。
依次前往 SIEM 设置 > 个人资料。
复制并保存组织详细信息部分中的客户 ID。

安装 BindPlane 代理

按照以下说明在 Windows 或 Linux 操作系统上安装 BindPlane 代理。

Windows 安装

以管理员身份打开命令提示符或 PowerShell。

运行以下命令：

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 安装

打开具有 root 或 sudo 权限的终端。

运行以下命令：

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安装资源

如需了解其他安装选项，请参阅此安装指南。
替代方案：您还可以使用 BindPlane OP 受管安装工作流进行集中式代理管理。

配置 BindPlane 代理以注入 Syslog 并将其发送到 Google SecOps

访问配置文件：
- 找到 config.yaml 文件。通常，它位于 Linux 上的 /etc/bindplane-agent/ 目录中或 Windows 上的安装目录中。
- 使用文本编辑器（例如 nano、vi 或记事本）打开该文件。

按如下方式修改 config.yaml 文件：

receivers:
  udplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: <CUSTOMER_ID>
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'FORCEPOINT_EMAILSECURITY'
    raw_log_field: body
    ingestion_labels:

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels

根据您的基础架构需要替换端口和 IP 地址。
将 <CUSTOMER_ID> 替换为实际的客户 ID。
将 /path/to/ingestion-authentication-file.json 更新为在第 1 步中保存身份验证文件的文件路径。

重启 BindPlane 代理以应用更改

如需在 Linux 中重启 BindPlane 代理，请运行以下命令：
```
sudo systemctl restart observiq-otel-collector
```
如需在 Windows 中重启 BindPlane 代理，您可以使用服务控制台，也可以输入以下命令：
```
net stop observiq-otel-collector && net start observiq-otel-collector
```

在 Forcepoint Email Security 上配置 Syslog 转发

登录 Forcepoint Email Security 管理控制台。
前往设置 > 集成 > SIEM 集成。
点击 Enable SIEM Integration（启用 SIEM 集成）。
提供以下配置详细信息：
- 格式：选择 LEEF（日志事件扩展格式）。
- Syslog 服务器：输入 BindPlane 代理 IP 地址。
- Syslog 端口：输入 BindPlane 代理端口号（例如 514）。
- 协议：根据实际的 BindPlane 代理配置，选择 UDP 或 TCP。
- 功能：选择 syslog 功能代码（例如 Local0）。
- 严重程度：选择日志事件的严重程度。
点击保存。

UDM 映射表

日志字段	UDM 映射	逻辑
操作	security_result.action_details	直接从原始日志中的“操作”字段映射。
AttachmentFilename	additional.fields.value.list_value.values.string_value（键：Attachments_FileNames）	“AttachmentFilename”字段按英文逗号拆分，然后每个值都作为 string_value 添加到“additional.fields”数组中，键为“Attachments_FileNames”。
AttachmentFileType	additional.fields.value.list_value.values.string_value（键：AttachmentsFileType）	“AttachmentFileType”字段按英文逗号拆分，然后每个值都作为 string_value 添加到“additional.fields”数组中，键为“AttachmentsFileType”。
AttachmentSize	additional.fields.value.list_value.values.string_value（键：AttachmentsSize）	“AttachmentSize”字段按英文逗号分隔，然后每个值都作为 string_value 添加到“additional.fields”数组中，键为“AttachmentsSize”。
DateTime		未在提供的 UDM 中进行映射。
EnvelopeSender	network.email.from	直接从原始日志中的“EnvelopeSender”字段映射。
EventReceivedTime	metadata.event_timestamp	解析为时间戳格式并映射到“metadata.event_timestamp”。
FilteringReason	security_result.category_details	直接从原始日志中的“FilteringReason”字段映射。
MessageSandboxing	security_result.detection_fields.value（键：MessageSandboxing）	直接从原始日志中的“MessageSandboxing”字段映射，并作为键值对添加到“security_result.detection_fields”数组中。
MessageSize	security_result.detection_fields.value（键：MessageSize）	直接从原始日志中的“MessageSize”字段映射，并作为键值对添加到“security_result.detection_fields”数组中。
nxlog_filename	additional.fields.value.string_value（键：nxlog_filename）	直接从原始日志中的“nxlog_filename”字段映射，并作为键值对添加到“additional.fields”数组中。
RecipientAddress	network.email.to	直接从原始日志中的“RecipientAddress”字段映射。
SenderIP	principal.asset.ip、principal.ip	直接从原始日志中的“SenderIP”字段映射。
SenderIPCountry	principal.location.country_or_region	直接从原始日志中的“SenderIPCountry”字段映射。
SourceModuleName	principal.resource.attribute.labels.value（键：SourceModuleName）	直接从原始日志中的“SourceModuleName”字段映射，并作为键值对添加到“principal.resource.attribute.labels”数组中。
SourceModuleType	principal.resource.attribute.labels.value（键：SourceModuleType）	直接从原始日志中的“SourceModuleType”字段映射，并作为键值对添加到“principal.resource.attribute.labels”数组中。
SpamScore	security_result.detection_fields.value（键：SpamScore）	直接从原始日志中的“SpamScore”字段映射，并作为键值对添加到“security_result.detection_fields”数组中。
主题	network.email.subject	直接从原始日志中的“主题”字段映射。
VirusName	security_result.detection_fields.value（键：VirusName）	直接从原始日志中的“VirusName”字段映射，并作为键值对添加到“security_result.detection_fields”数组中。
	metadata.event_type	该值取决于是否存在其他字段。如果“has_network_email_data”为 true，则将值设置为“EMAIL_TRANSACTION”。如果“has_principal”为 true，则该值设置为“STATUS_UPDATE”。否则，默认值为“GENERIC_EVENT”。
	metadata.product_name	该值设置为“FORCEPOINT EMAILSECURITY”。
	metadata.vendor_name	该值设置为“FORCEPOINT EMAILSECURITY”。