Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Recopila registros de Forcepoint Mail Relay

Compatible con:

Google secops SIEM

En este documento, se explica cómo transferir registros de Forcepoint Mail Relay a Google Security Operations con Amazon S3.

Forcepoint Mail Relay es una solución de seguridad de correo electrónico basada en la nube que protege a las organizaciones de las amenazas transmitidas por correo electrónico, como el spam, el phishing, el software malicioso y la pérdida de datos. La solución proporciona un filtrado integral de correo electrónico, prevención de pérdida de datos (DLP), encriptación y protección contra amenazas avanzadas para el tráfico de correo electrónico entrante y saliente.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

Una instancia de Google SecOps
Acceso privilegiado al portal de Forcepoint Mail Relay Cloud
Acceso privilegiado a AWS (S3, IAM)
Permiso de exportación de registros habilitado para tu cuenta de administrador de Forcepoint

Configura el almacenamiento de SIEM de Forcepoint Mail Relay Cloud

Para configurar Forcepoint Mail Relay Cloud para exportar registros a tu bucket de AWS S3, haz lo siguiente:

Crea uno o más buckets de AWS S3 en el portal de AWS.

Nota: Los nombres de los buckets deben ser únicos a nivel global. No se admite la encriptación para los buckets de AWS S3.
Accede al portal de Forcepoint Cloud Security Gateway.
Ve a Cuenta > Almacenamiento de SIEM.
En la sección Tipo de almacenamiento, selecciona el botón de selección Trae tu propio almacenamiento.
Haz clic en Agregar para agregar tu bucket a la tabla Lista de almacenamiento: Trae tu propio almacenamiento.
En el diálogo Agregar bucket, ingresa lo siguiente:
- Nombre del bucket: Ingresa el nombre del bucket del portal de AWS (por ejemplo, forcepoint-email-logs).
- Prefijo (opcional): Ingresa un prefijo para organizar los archivos de registro. Usa / para crear una carpeta (por ejemplo, email-logs/). Si no se incluye /, el prefijo se antepone al nombre del archivo.
Haz clic en Guardar. La información del bucket se agrega a la tabla.
En la tabla Lista de almacenamiento: Trae tu propio almacenamiento, haz clic en el vínculo JSON en la fila del bucket que acabas de agregar.
En la página Política del bucket, haz clic en Copiar texto para copiar el contenido del panel JSON en un portapapeles.
En la consola de administración de AWS, abre el servicio S3.
Selecciona tu bucket (por ejemplo, forcepoint-email-logs).
Ve a Permisos > Política del bucket.
Haz clic en Editar.
Pega la política JSON copiada del portal de Forcepoint.
Haz clic en Guardar cambios.
Regresa a la página Almacenamiento de SIEM del portal de Forcepoint.
En la tabla Lista de almacenamiento: Trae tu propio almacenamiento, haz clic en Verificar conexión para tu bucket.

Nota: Si la conexión se realiza correctamente, se escribe un archivo de token para confirmar que se pueden escribir archivos en el bucket. El número de token aparece en el objeto connection_token en el bucket de AWS S3. Si se creó una carpeta en función del prefijo, el connection_token aparece en esa carpeta. El token generado es válido durante 3 horas.
Una vez que la prueba de conexión se realice correctamente, selecciona el botón de selección Activo para tu bucket en la tabla Lista de almacenamiento: Trae tu propio almacenamiento.

Nota: Solo se puede seleccionar un bucket como activo. Los datos de SIEM se exportan al bucket activo.
Haz clic en Guardar en la parte inferior de la página.

Habilita el registro de SIEM y configura el formato de exportación

En el portal de Forcepoint, ve a Informes > Informes de la cuenta > Integración de SIEM.
En la lista Tipo de datos, selecciona Seguridad de correo electrónico.
Establece el botón de activación Habilitar exportación de datos en ACTIVADO.

Nota: La opción para exportar datos no se puede establecer en ACTIVADO, a menos que se haya configurado una opción de almacenamiento válida en Cuenta > Almacenamiento de SIEM.
En la sección Atributos de la izquierda, arrastra los siguientes atributos a la sección Columnas:
- Dirección
- De: Dirección
- Política
- Dirección del destinatario
- Dominio del destinatario
- Dominio del remitente
- Nombre del remitente
- Asunto
- Acción
- Lista negra/blanca
- Extensión de archivo adjunto bloqueado
- Motivo del filtrado
- IP del remitente
- País de la IP del remitente
- Tipo de archivo adjunto
- Nombre de archivo adjunto
- Emb. Clase de riesgo de URL
- Emb. Gravedad de la URL
- Encriptación avanzada
- Estado de la zona de pruebas de archivos
- Nombre del virus
- Fecha y hora
- Tamaño del mensaje
- Puntuación de spam
- Tamaño del archivo adjunto
Nota: Asegúrate de que estén seleccionados todos los atributos anteriores. La transferencia de datos no funcionará según lo esperado si faltan datos.
Haz clic en Guardar.

Configura el bucket de AWS S3 y IAM para Google SecOps

Crea un bucket de Amazon S3 siguiendo esta guía del usuario: Crea un bucket

Nota: Puedes usar el mismo bucket creado para la exportación de Forcepoint o crear un bucket independiente para la transferencia de Google SecOps.
Guarda el nombre y la región del bucket para consultarlos en el futuro (por ejemplo, forcepoint-email-logs).
Crea un usuario siguiendo esta guía del usuario: Crea un usuario de IAM.
Selecciona el usuario creado.
Selecciona la pestaña Credenciales de seguridad.
Haz clic en Crear clave de acceso en la sección Claves de acceso.
Selecciona Servicio de terceros como Caso de uso.
Haz clic en Siguiente.
Opcional: Agrega una etiqueta de descripción.
Haz clic en Crear clave de acceso.
Haz clic en Descargar archivo .csv para guardar la clave de acceso y la clave de acceso secreta para consultarlas en el futuro.
Haz clic en Listo.
Selecciona la pestaña Permisos.
Haz clic en Agregar permisos en la sección Políticas de permisos.
Selecciona Agregar permisos.
Selecciona Adjuntar políticas directamente.
Busca la política AmazonS3FullAccess.
Selecciona la política.
Haz clic en Siguiente.
Haz clic en Agregar permisos.

Configura un feed en Google SecOps para transferir registros de Forcepoint Mail Relay

Ve a Configuración de SIEM > Feeds.
Haz clic en Agregar feed nuevo.
En la siguiente página, haz clic en Configurar un solo feed.
Ingresa un nombre único para el nombre del feed.
Selecciona Amazon S3 V2 como el tipo de fuente.
Selecciona Forcepoint Mail Relay como el tipo de registro.
Haz clic en Siguiente y, luego, en Enviar.
Especifica valores para los siguientes campos:
- URI de S3: s3://forcepoint-email-logs/email-logs/.
- Opción de eliminación del código fuente: Selecciona la opción de eliminación según tu preferencia.
- Antigüedad máxima del archivo: Incluye los archivos modificados en la última cantidad de días (el valor predeterminado es de 180 días).
- ID de clave de acceso: Clave de acceso del usuario con acceso al bucket de S3.
- Clave de acceso secreta: Clave secreta del usuario con acceso al bucket de S3.
- Espacio de nombres del recurso: Es el espacio de nombres del recurso.
- Etiquetas de transferencia: Es la etiqueta que se aplicará a los eventos de este feed.
Nota: Si seleccionas la opción Delete transferred files o Delete transferred files and empty directories, asegúrate de haber otorgado los permisos adecuados a la cuenta de servicio.
Haz clic en Siguiente y, luego, en Enviar.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
	hybridSpamScore_label.key	Establece "hybridSpamScore"
hybridSpamScore	hybridSpamScore_label.value	Valor copiado directamente
	localSpamScore_label.key	Establece "localSpamScore"
localSpamScore	localSpamScore_label.value	Valor copiado directamente
	metadata.event_type	Se establece en "GENERIC_EVENT" inicialmente; se establece en "EMAIL_TRANSACTION" si has_network_email es verdadero; de lo contrario, se establece en "NETWORK_CONNECTION" si has_principal y has_target son verdaderos; de lo contrario, se establece en "STATUS_UPDATE" si has_principal es verdadero; de lo contrario, "GENERIC_EVENT"
product_event_type	metadata.product_event_type	Valor copiado directamente
	metadata.product_name	Establece "FORCEPOINT_MAIL_RELAY"
	metadata.vendor_name	Establece "FORCEPOINT_MAIL_RELAY"
remitente	network.email.from	Valor copiado directamente
asunto	network.email.subject	Valor copiado directamente
destinatario	network.email.to	Valor copiado directamente
identHostName	principal.asset.hostname	Valor copiado directamente
identSrc, trueSrc, src	principal.asset.ip	Valor de src si no está vacío; de lo contrario, trueSrc si no está vacío; de lo contrario, identSrc
identHostName	principal.hostname	Valor copiado directamente
identSrc, trueSrc, src	principal.ip	Valor de src si no está vacío; de lo contrario, trueSrc si no está vacío; de lo contrario, identSrc
remitente	principal.user.email_addresses	Valor copiado directamente
resumen	security_result.action	Establece "ALLOW" si el resumen coincide con (?i)clean
actúan	security_result.action_details	Valor copiado directamente
hybridSpamScore_label, localSpamScore_label	security_result.detection_fields	Se combinó de hybridSpamScore_label y localSpamScore_label
resumen	security_result.summary	Valor copiado directamente
DST	target.asset.ip	Valor copiado directamente
DST	target.ip	Valor copiado directamente
destinatario	target.user.email_addresses	Valor copiado directamente

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.