Collecter les journaux Forcepoint Mail Relay

Compatible avec :

Ce document explique comment ingérer les journaux Forcepoint Mail Relay dans Google Security Operations à l'aide d'Amazon S3.

Forcepoint Mail Relay est une solution de sécurité des e-mails basée sur le cloud qui protège les organisations contre les menaces transmises par e-mail, y compris le spam, l'hameçonnage, les logiciels malveillants et la perte de données. La solution offre un filtrage complet des e-mails, une protection contre la perte de données, un chiffrement et une protection avancée contre les menaces pour le trafic entrant et sortant.

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

  • Une instance Google SecOps
  • Un accès privilégié au portail Forcepoint Mail Relay Cloud
  • Un accès privilégié à AWS (S3, IAM)
  • L'autorisation Log Export (Exporter les journaux) est activée pour votre compte administrateur Forcepoint.

Configurer le stockage SIEM de Forcepoint Mail Relay Cloud

Pour configurer Forcepoint Mail Relay Cloud afin d'exporter les journaux vers votre bucket AWS S3, procédez comme suit :

  1. Créez un ou plusieurs buckets AWS S3 sur le portail AWS.

  2. Connectez-vous au portail Forcepoint Cloud Security Gateway.

  3. Accédez à Account > SIEM Storage (Compte > Stockage SIEM).

  4. Dans la section Storage type (Type de stockage), sélectionnez le bouton radio Bring your own storage (Utiliser votre propre stockage).

  5. Cliquez sur Add (Ajouter) pour ajouter votre bucket au tableau Storage List: Bring Your Own (Liste de stockage : utiliser votre propre stockage).

  6. Dans la boîte de dialogue Add Bucket (Ajouter un bucket), saisissez les informations suivantes :

    • Bucket name (Nom du bucket) : saisissez le nom du bucket depuis le portail AWS (par exemple, forcepoint-email-logs).
    • Prefix (Préfixe) (facultatif) : saisissez un préfixe pour organiser les fichiers journaux. Utilisez / pour créer un dossier (par exemple, email-logs/). Si aucun / n'est inclus, le préfixe est ajouté au début du nom de fichier.

  7. Cliquez sur Save (Enregistrer). Les informations sur le bucket sont ajoutées au tableau.

  8. Dans le tableau Storage List: Bring Your Own (Liste de stockage : utiliser votre propre stockage), cliquez sur le lien JSON dans la ligne du bucket que vous venez d'ajouter.

  9. Sur la page Bucket Policy (Règle de bucket), cliquez sur Copy Text (Copier le texte) pour copier le contenu du volet JSON dans le presse-papiers.

  10. Dans la console de gestion AWS, ouvrez le service S3.

  11. Sélectionnez votre bucket (par exemple, forcepoint-email-logs).

  12. Accédez à Permissions > Bucket policy (Autorisations > Règle de bucket).

  13. Cliquez sur Edit (Modifier).

  14. Collez la règle JSON copiée depuis le portail Forcepoint.

  15. Cliquez sur Save changes (Enregistrer les modifications).

  16. Revenez à la page SIEM Storage (Stockage SIEM) du portail Forcepoint.

  17. Dans le tableau Storage List: Bring Your Own (Liste de stockage : utiliser votre propre stockage), cliquez sur Check connection (Vérifier la connexion) pour votre bucket.

  18. Une fois le test de connexion réussi, sélectionnez le bouton radio Active (Actif) pour votre bucket dans le tableau Storage List: Bring Your Own (Liste de stockage : utiliser votre propre stockage).

  19. Cliquez sur Save (Enregistrer) au bas de la page.

Activer la journalisation SIEM et configurer le format d'exportation

  1. Dans le portail Forcepoint, accédez à Reporting > Account Reports > SIEM Integration (Rapports > Rapports de compte > Intégration SIEM).
  2. Dans la liste Data type (Type de données), sélectionnez Email Security (Sécurité des e-mails).

  3. Définissez le bouton Enable data export (Activer l'exportation de données) sur ON (Activé).

  4. Dans la section Attributes (Attributs) à gauche, faites glisser les attributs suivants dans la section Columns (Colonnes) :

    • Direction
    • From: Address (De : Adresse)
    • Règle
    • Adresse du destinataire
    • Domaine du destinataire
    • Domaine de l'expéditeur
    • Nom de l'expéditeur
    • Objet
    • Action
    • Liste noire/Liste blanche
    • Extension de pièce jointe bloquée
    • Motif du filtrage
    • IP de l'expéditeur
    • Pays de l'IP de l'expéditeur
    • Type de fichier de la pièce jointe
    • Nom de fichier de la pièce jointe
    • Intégration Classe de risque de l'URL
    • Intégration Gravité de l'URL
    • Chiffrement avancé
    • État du bac à sable du fichier
    • Nom du virus
    • Date et heure
    • Taille du message
    • Score de spam
    • Taille de la pièce jointe

  5. Cliquez sur Save (Enregistrer).

Configurer le bucket AWS S3 et IAM pour Google SecOps

  1. Créez un bucket Amazon S3 en suivant ce guide de l'utilisateur : Créer un bucket

  2. Enregistrez le nom et la région du bucket pour référence ultérieure (par exemple, forcepoint-email-logs).

  3. Créez un utilisateur en suivant ce guide de l'utilisateur : Créer un utilisateur IAM.

  4. Sélectionnez l'utilisateur créé.

  5. Sélectionnez l'onglet Security credentials (Identifiants de sécurité).

  6. Cliquez sur Create Access Key (Créer une clé d'accès) dans la section Access Keys (Clés d'accès).

  7. Sélectionnez Third-party service (Service tiers) comme Use case (Cas d'utilisation).

  8. Cliquez sur Next (Suivant).

  9. Facultatif : ajoutez un tag de description.

  10. Cliquez sur Create access key (Créer une clé d'accès).

  11. Cliquez sur Download .csv file (Télécharger le fichier .csv) pour enregistrer la clé d'accès et la clé d'accès secrète pour référence ultérieure.

  12. Cliquez sur Done (OK).

  13. Sélectionnez l'onglet Permissions (Autorisations).

  14. Cliquez sur Add permissions (Ajouter des autorisations) dans la section Permissions policies (Règles d'autorisation).

  15. Sélectionnez Add permissions (Ajouter des autorisations).

  16. Sélectionnez Attach policies directly (Joindre directement des règles).

  17. Recherchez la règle AmazonS3FullAccess.

  18. Sélectionnez la règle.

  19. Cliquez sur Next (Suivant).

  20. Cliquez sur Add permissions (Ajouter des autorisations).

Configurer un flux dans Google SecOps pour ingérer les journaux Forcepoint Mail Relay

  1. Accédez à Paramètres SIEM > Flux.
  2. Cliquez sur Add New Feed (Ajouter un flux).
  3. Sur la page suivante, cliquez sur Configure a single feed (Configurer un seul flux).
  4. Saisissez un nom unique pour le nom du flux.
  5. Sélectionnez Amazon S3 V2 comme type de source.
  6. Sélectionnez Forcepoint Mail Relay comme type de journal.
  7. Cliquez sur Next (Suivant), puis sur Submit (Envoyer).

  8. Indiquez les valeurs des champs suivants :

    • URI S3: s3://forcepoint-email-logs/email-logs/.
    • Source deletion option (Option de suppression de la source) : sélectionnez l'option de suppression de votre choix.
    • Maximum File Age (Âge maximal des fichiers) : incluez les fichiers modifiés au cours des derniers jours (la valeur par défaut est de 180 jours).
    • Access Key ID (ID de clé d'accès) : clé d'accès utilisateur avec accès au bucket S3.
    • Secret Access Key (Clé d'accès secrète) : clé secrète de l'utilisateur avec accès au bucket S3.
    • Asset namespace (Espace de noms de l'élément) : l'espace de noms de l'élément.
    • Ingestion labels (Libellés d'ingestion) : libellé à appliquer aux événements de ce flux.

  9. Cliquez sur Next (Suivant), puis sur Submit (Envoyer).

Table de mappage UDM

Champ du journal Mappage UDM Logique
hybridSpamScore_label.key Défini sur "hybridSpamScore"
hybridSpamScore hybridSpamScore_label.value Valeur copiée directement
localSpamScore_label.key Défini sur "localSpamScore"
localSpamScore localSpamScore_label.value Valeur copiée directement
metadata.event_type Défini sur "GENERIC_EVENT" au départ ; défini sur "EMAIL_TRANSACTION" si has_network_email est "true" ; sinon, défini sur "NETWORK_CONNECTION" si has_principal et has_target sont "true" ; sinon, défini sur "STATUS_UPDATE" si has_principal est "true" ; sinon, "GENERIC_EVENT"
product_event_type metadata.product_event_type Valeur copiée directement
metadata.product_name Défini sur "FORCEPOINT_MAIL_RELAY"
metadata.vendor_name Défini sur "FORCEPOINT_MAIL_RELAY"
expéditeur network.email.from Valeur copiée directement
subject network.email.subject Valeur copiée directement
destinataire network.email.to Valeur copiée directement
identHostName principal.asset.hostname Valeur copiée directement
identSrc, trueSrc, src principal.asset.ip Valeur de src si elle n'est pas vide, sinon trueSrc si elle n'est pas vide, sinon identSrc
identHostName principal.hostname Valeur copiée directement
identSrc, trueSrc, src principal.ip Valeur de src si elle n'est pas vide, sinon trueSrc si elle n'est pas vide, sinon identSrc
expéditeur principal.user.email_addresses Valeur copiée directement
résumé security_result.action Défini sur "ALLOW" si le résumé correspond à (?i)clean
agir security_result.action_details Valeur copiée directement
hybridSpamScore_label, localSpamScore_label security_result.detection_fields Fusionné à partir de hybridSpamScore_label et localSpamScore_label
résumé security_result.summary Valeur copiée directement
dst target.asset.ip Valeur copiée directement
dst target.ip Valeur copiée directement
destinataire target.user.email_addresses Valeur copiée directement

Vous avez encore besoin d'aide ? Obtenez des réponses auprès des membres de la communauté et des professionnels Google SecOps.