Forcepoint Mail Relay-Logs erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Forcepoint Mail Relay-Logs mit Amazon S3 in Google Security Operations aufnehmen.

Forcepoint Mail Relay ist eine cloudbasierte E‑Mail-Sicherheitslösung, die Unternehmen vor E‑Mail-basierten Bedrohungen wie Spam, Phishing, Malware und Datenverlust schützt. Die Lösung bietet umfassende E‑Mail-Filterung, Schutz vor Datenverlust (Data Loss Prevention, DLP), Verschlüsselung und erweiterten Bedrohungsschutz für ein- und ausgehenden E‑Mail-Traffic.

Hinweis

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

  • Eine Google SecOps-Instanz
  • Berechtigter Zugriff auf das Forcepoint Mail Relay Cloud-Portal
  • Berechtigter Zugriff auf AWS (S3, IAM)
  • Berechtigung Log Export für Ihr Forcepoint-Administratorkonto aktiviert

SIEM-Speicher für Forcepoint Mail Relay Cloud konfigurieren

So konfigurieren Sie Forcepoint Mail Relay Cloud für den Export von Logs in Ihren AWS S3-Bucket:

  1. Erstellen Sie im AWS-Portal einen oder mehrere AWS S3-Buckets.

  2. Melden Sie sich im Forcepoint Cloud Security Gateway Portal an.

  3. Rufen Sie Account > SIEM Storage auf.

  4. Wählen Sie im Bereich Storage type (Speichertyp) die Option Bring your own storage (Eigenen Speicher verwenden) aus.

  5. Klicken Sie auf Add (Hinzufügen), um Ihren Bucket der Tabelle Storage List: Bring Your Own (Speicherliste: Eigenen Speicher verwenden) hinzuzufügen.

  6. Geben Sie im Dialogfeld Add Bucket (Bucket hinzufügen) Folgendes ein:

    • Bucket name (Bucket-Name): Geben Sie den Bucket-Namen aus dem AWS-Portal ein, z. B. forcepoint-email-logs.
    • Prefix (Präfix) (optional): Geben Sie ein Präfix ein, um Logdateien zu organisieren. Verwenden Sie /, um einen Ordner zu erstellen, z. B. email-logs/. Wenn kein / enthalten ist, wird das Präfix dem Dateinamen vorangestellt.

  7. Klicken Sie auf Save (Speichern). Die Bucket-Informationen werden der Tabelle hinzugefügt.

  8. Klicken Sie in der Tabelle Storage List: Bring Your Own (Speicherliste: Eigenen Speicher verwenden) in der Zeile für den gerade hinzugefügten Bucket auf den Link JSON.

  9. Klicken Sie auf der Seite Bucket Policy (Bucket-Richtlinie) auf Copy Text (Text kopieren), um den Inhalt des JSON-Bereichs in die Zwischenablage zu kopieren.

  10. Öffnen Sie in der AWS Management Console den Dienst S3.

  11. Wählen Sie Ihren Bucket aus, z. B. forcepoint-email-logs.

  12. Rufen Sie Permissions > Bucket policy (Berechtigungen > Bucket-Richtlinie) auf.

  13. Klicken Sie auf Edit (Bearbeiten).

  14. Fügen Sie die JSON-Richtlinie ein, die Sie aus dem Forcepoint-Portal kopiert haben.

  15. Klicken Sie auf Save changes (Änderungen speichern).

  16. Kehren Sie im Forcepoint-Portal zur Seite SIEM Storage (SIEM-Speicher) zurück.

  17. Klicken Sie in der Tabelle Storage List: Bring Your Own (Speicherliste: Eigenen Speicher verwenden) für Ihren Bucket auf Check connection (Verbindung prüfen).

  18. Nachdem der Verbindungstest erfolgreich war, wählen Sie in der Tabelle Storage List: Bring Your Own (Speicherliste: Eigenen Speicher verwenden) für Ihren Bucket die Option Active (Aktiv) aus.

  19. Klicken Sie unten auf der Seite auf Save (Speichern).

SIEM-Logging aktivieren und Exportformat konfigurieren

  1. Rufen Sie im Forcepoint-Portal Reporting > Account Reports > SIEM Integration (Berichterstellung > Kontoberichte > SIEM-Integration) auf.
  2. Wählen Sie in der Liste Data type (Datentyp) die Option Email Security (E‑Mail-Sicherheit) aus.

  3. Setzen Sie die Option Enable data export (Datenexport aktivieren) auf ON (Ein).

  4. Ziehen Sie im Bereich Attributes (Attribute) auf der linken Seite die folgenden Attribute in den Bereich Columns (Spalten):

    • Richtung
    • Von: Adresse
    • Richtlinie
    • Empfängeradresse
    • Empfängerdomain
    • Absenderdomain
    • Name des Absenders
    • Betreff
    • Aktion
    • Auf der Blacklist/Zulassungsliste
    • Blockierte Anhangserweiterung
    • Grund für das Herausfiltern
    • Absender-IP
    • Land der Absender-IP
    • Dateityp des Anhangs
    • Dateiname des Anhangs
    • Eingebettet URL-Risikoklasse
    • Eingebettet URL-Schweregrad
    • Erweiterte Verschlüsselung
    • Status der Dateisandbox
    • Virusname
    • Datum und Uhrzeit
    • Nachrichtengröße
    • Spam-Score
    • Anhangsgröße

  5. Klicken Sie auf Save (Speichern).

AWS S3-Bucket und IAM für Google SecOps konfigurieren

  1. Erstellen Sie einen Amazon S3-Bucket gemäß dieser Anleitung: Bucket erstellen

  2. Speichern Sie den Namen und die Region des Buckets für die spätere Verwendung, z. B. forcepoint-email-logs.

  3. Erstellen Sie einen Nutzer gemäß dieser Anleitung: IAM-Nutzer erstellen.

  4. Wählen Sie den erstellten Nutzer aus.

  5. Wählen Sie den Tab Security credentials (Sicherheitsanmeldedaten) aus.

  6. Klicken Sie im Bereich Access keys (Zugriffsschlüssel) auf Create access key (Zugriffsschlüssel erstellen).

  7. Wählen Sie Third-party service (Drittanbieterdienst) als Use case (Anwendungsfall) aus.

  8. Klicken Sie auf Next (Weiter).

  9. Optional: Fügen Sie ein Beschreibungstag hinzu.

  10. Klicken Sie auf Create access key (Zugriffsschlüssel erstellen).

  11. Klicken Sie auf Download .csv file (CSV-Datei herunterladen), um den Zugriffsschlüssel und den geheimen Zugriffsschlüssel für die spätere Verwendung zu speichern.

  12. Klicken Sie auf Done (Fertig).

  13. Wählen Sie den Tab Permissions (Berechtigungen) aus.

  14. Klicken Sie im Bereich Permissions policies (Berechtigungsrichtlinien) auf Add permissions (Berechtigungen hinzufügen).

  15. Wählen Sie Add permissions (Berechtigungen hinzufügen) aus.

  16. Wählen Sie Attach policies directly (Richtlinien direkt anhängen) aus.

  17. Suchen Sie nach der Richtlinie AmazonS3FullAccess.

  18. Wählen Sie die Richtlinie aus.

  19. Klicken Sie auf Next (Weiter).

  20. Klicken Sie auf Add permissions (Berechtigungen hinzufügen).

Feed in Google SecOps konfigurieren, um Forcepoint Mail Relay-Logs aufzunehmen

  1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
  2. Klicken Sie auf Add New Feed (Neuen Feed hinzufügen).
  3. Klicken Sie auf der nächsten Seite auf Configure a single feed (Einzelnen Feed konfigurieren).
  4. Geben Sie einen eindeutigen Namen für den Feed name (Feed-Name) ein.
  5. Wählen Sie Amazon S3 V2 als Source type (Quelltyp) aus.
  6. Wählen Sie Forcepoint Mail Relay als Log type (Logtyp) aus.
  7. Klicken Sie auf Next (Weiter) und dann auf Submit (Senden).

  8. Geben Sie Werte für die folgenden Felder an:

    • S3 URI: s3://forcepoint-email-logs/email-logs/.
    • Source deletion option (Option zum Löschen der Quelle): Wählen Sie die gewünschte Löschoption aus.
    • Maximum File Age (Maximales Alter der Datei): Schließen Sie Dateien ein, die in den letzten Tagen geändert wurden (Standardeinstellung: 180 Tage).
    • Access Key ID (Zugriffsschlüssel-ID): Der Nutzerzugriffsschlüssel mit Zugriff auf den S3-Bucket.
    • Secret Access Key (Geheimer Zugriffsschlüssel): Der geheime Schlüssel des Nutzers mit Zugriff auf den S3-Bucket.
    • Asset namespace (Asset-Namespace): Der Asset-Namespace.
    • Ingestion labels (Aufnahmelabels): Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.

  9. Klicken Sie auf Next (Weiter) und dann auf Submit (Senden).

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
hybridSpamScore_label.key Auf „hybridSpamScore“ festlegen
hybridSpamScore hybridSpamScore_label.value Wert direkt kopiert
localSpamScore_label.key Auf „localSpamScore“ festlegen
localSpamScore localSpamScore_label.value Wert direkt kopiert
metadata.event_type Anfangs auf „GENERIC_EVENT“ festlegen; auf „EMAIL_TRANSACTION“ festlegen, wenn has_network_email „true“ ist; andernfalls auf „NETWORK_CONNECTION“ festlegen, wenn has_principal und has_target „true“ sind; andernfalls auf „STATUS_UPDATE“ festlegen, wenn has_principal „true“ ist; andernfalls „GENERIC_EVENT“
product_event_type metadata.product_event_type Wert direkt kopiert
metadata.product_name Auf „FORCEPOINT_MAIL_RELAY“ festlegen
metadata.vendor_name Auf „FORCEPOINT_MAIL_RELAY“ festlegen
sender network.email.from Wert direkt kopiert
subject network.email.subject Wert direkt kopiert
recipient network.email.to Wert direkt kopiert
identHostName principal.asset.hostname Wert direkt kopiert
identSrc, trueSrc, src principal.asset.ip Wert aus „src“, wenn nicht leer, andernfalls „trueSrc“, wenn nicht leer, andernfalls „identSrc“
identHostName principal.hostname Wert direkt kopiert
identSrc, trueSrc, src principal.ip Wert aus „src“, wenn nicht leer, andernfalls „trueSrc“, wenn nicht leer, andernfalls „identSrc“
sender principal.user.email_addresses Wert direkt kopiert
summary security_result.action Auf „ALLOW“ festlegen, wenn „summary“ mit (?i)clean übereinstimmt
act security_result.action_details Wert direkt kopiert
hybridSpamScore_label, localSpamScore_label security_result.detection_fields Aus „hybridSpamScore_label“ und „localSpamScore_label“ zusammengeführt
summary security_result.summary Wert direkt kopiert
dst target.asset.ip Wert direkt kopiert
dst target.ip Wert direkt kopiert
recipient target.user.email_addresses Wert direkt kopiert

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten