Mengumpulkan log Forcepoint Mail Relay

Didukung di:

Dokumen ini menjelaskan cara menyerap log Forcepoint Mail Relay ke Google Security Operations menggunakan Amazon S3.

Forcepoint Mail Relay adalah solusi keamanan email berbasis cloud yang melindungi organisasi dari ancaman yang dikirim melalui email, termasuk spam, phishing, malware, dan kehilangan data. Solusi ini menyediakan pemfilteran email, pencegahan kebocoran data (DLP), enkripsi, dan perlindungan terhadap ancaman tingkat lanjut yang komprehensif untuk traffic email masuk dan keluar.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

  • Instance Google SecOps
  • Akses istimewa ke portal Forcepoint Mail Relay Cloud
  • Akses istimewa ke AWS (S3, IAM)
  • Izin Log Export diaktifkan untuk akun administrator Forcepoint Anda

Mengonfigurasi penyimpanan Forcepoint Mail Relay Cloud SIEM

Untuk mengonfigurasi Forcepoint Mail Relay Cloud agar mengekspor log ke bucket AWS S3 Anda, lakukan hal berikut:

  1. Buat satu atau beberapa bucket AWS S3 di portal AWS.

  2. Login ke Forcepoint Cloud Security Gateway Portal.

  3. Buka Akun > Penyimpanan SIEM.

  4. Di bagian Storage type, pilih tombol pilihan Bring your own storage.

  5. Klik Tambahkan untuk menambahkan bucket Anda ke tabel Daftar Penyimpanan: Bawa Sendiri.

  6. Pada dialog Add Bucket, masukkan hal berikut:

    • Nama bucket: Masukkan nama bucket dari portal AWS (misalnya, forcepoint-email-logs).
    • Awalan (opsional): Masukkan awalan untuk mengatur file log. Gunakan / untuk membuat folder (misalnya, email-logs/). Jika tidak ada /, awalan akan ditambahkan ke nama file.

  7. Klik Simpan. Informasi bucket ditambahkan ke tabel.

  8. Di tabel Storage List: Bring Your Own, klik link JSON di baris untuk bucket yang baru saja Anda tambahkan.

  9. Di halaman Bucket Policy, klik Copy Text untuk menyalin konten panel JSON ke papan klip.

  10. Di AWS Management Console, buka layanan S3.

  11. Pilih bucket Anda (misalnya, forcepoint-email-logs).

  12. Buka Permissions > Bucket policy.

  13. Klik Edit.

  14. Tempel kebijakan JSON yang disalin dari portal Forcepoint.

  15. Klik Simpan perubahan.

  16. Kembali ke halaman SIEM Storage di portal Forcepoint.

  17. Di tabel Storage List: Bring Your Own, klik Check connection untuk bucket Anda.

  18. Setelah pengujian koneksi berhasil, pilih tombol pilihan Aktif untuk bucket Anda di tabel Daftar Penyimpanan: Bawa Sendiri.

  19. Klik Simpan di bagian bawah halaman.

Mengaktifkan logging SIEM dan mengonfigurasi format ekspor

  1. Di portal Forcepoint, buka Reporting > Account Reports > SIEM Integration.
  2. Dari daftar Jenis data, pilih Email Security.

  3. Setel tombol Aktifkan ekspor data ke AKTIF.

  4. Dari bagian Atribut di sebelah kiri, tarik atribut berikut ke bagian Kolom:

    • Arah
    • Dari: Alamat
    • Kebijakan
    • Alamat Penerima
    • Domain Penerima
    • Domain Pengirim
    • Nama Pengirim
    • Subjek
    • Tindakan
    • Black/Whitelisted
    • Ekstensi Lampiran yang Diblokir
    • Alasan Pemfilteran
    • IP Pengirim
    • Negara IP Pengirim
    • Jenis File Lampiran
    • Nama File Lampiran
    • Emb. Kelas Risiko URL
    • Emb. Tingkat Keseriusan URL
    • Enkripsi Lanjutan
    • Status Sandbox File
    • Nama Virus
    • Tanggal & Waktu
    • Ukuran Pesan
    • Skor spam
    • Ukuran Lampiran

  5. Klik Simpan.

Mengonfigurasi bucket AWS S3 dan IAM untuk Google SecOps

  1. Buat bucket Amazon S3 dengan mengikuti panduan pengguna ini: Membuat bucket

  2. Simpan Name dan Region bucket untuk referensi di masa mendatang (misalnya, forcepoint-email-logs).

  3. Buat Pengguna dengan mengikuti panduan pengguna ini: Membuat pengguna IAM.

  4. Pilih Pengguna yang dibuat.

  5. Pilih tab Kredensial keamanan.

  6. Klik Create Access Key di bagian Access Keys.

  7. Pilih Layanan pihak ketiga sebagai Kasus penggunaan.

  8. Klik Berikutnya.

  9. Opsional: Tambahkan tag deskripsi.

  10. Klik Create access key.

  11. Klik Download file .csv untuk menyimpan Access Key dan Secret Access Key untuk referensi di masa mendatang.

  12. Klik Done.

  13. Pilih tab Permissions.

  14. Klik Tambahkan izin di bagian Kebijakan izin.

  15. Pilih Tambahkan izin.

  16. Pilih Lampirkan kebijakan secara langsung.

  17. Cari kebijakan AmazonS3FullAccess.

  18. Pilih kebijakan.

  19. Klik Berikutnya.

  20. Klik Add permissions.

Mengonfigurasi feed di Google SecOps untuk menyerap log Forcepoint Mail Relay

  1. Buka Setelan SIEM > Feed.
  2. Klik Tambahkan Feed Baru.
  3. Di halaman berikutnya, klik Konfigurasi satu feed.
  4. Masukkan nama unik untuk Nama feed.
  5. Pilih Amazon S3 V2 sebagai Jenis sumber.
  6. Pilih Forcepoint Mail Relay sebagai Jenis log.
  7. Klik Berikutnya, lalu klik Kirim.

  8. Tentukan nilai untuk kolom berikut:

    • URI S3: s3://forcepoint-email-logs/email-logs/.
    • Opsi penghapusan sumber: Pilih opsi penghapusan sesuai preferensi Anda.
    • Usia File Maksimum: Menyertakan file yang dimodifikasi dalam beberapa hari terakhir (defaultnya adalah 180 hari).
    • ID Kunci Akses: Kunci akses pengguna dengan akses ke bucket S3.
    • Kunci Akses Rahasia: Kunci rahasia pengguna dengan akses ke bucket S3.
    • Namespace aset: Namespace aset.
    • Label penyerapan: Label yang akan diterapkan ke peristiwa dari feed ini.

  9. Klik Berikutnya, lalu klik Kirim.

Tabel pemetaan UDM

Kolom log Pemetaan UDM Logika
hybridSpamScore_label.key Ditetapkan ke "hybridSpamScore"
hybridSpamScore hybridSpamScore_label.value Nilai disalin secara langsung
localSpamScore_label.key Tetapkan ke "localSpamScore"
localSpamScore localSpamScore_label.value Nilai disalin secara langsung
metadata.event_type Awalnya ditetapkan ke "GENERIC_EVENT"; ditetapkan ke "EMAIL_TRANSACTION" jika has_network_email benar (true); jika tidak, ditetapkan ke "NETWORK_CONNECTION" jika has_principal dan has_target benar (true); jika tidak, ditetapkan ke "STATUS_UPDATE" jika has_principal benar (true); jika tidak, ditetapkan ke "GENERIC_EVENT"
product_event_type metadata.product_event_type Nilai disalin secara langsung
metadata.product_name Tetapkan ke "FORCEPOINT_MAIL_RELAY"
metadata.vendor_name Tetapkan ke "FORCEPOINT_MAIL_RELAY"
pengirim network.email.from Nilai disalin secara langsung
subject network.email.subject Nilai disalin secara langsung
penerima network.email.to Nilai disalin secara langsung
identHostName principal.asset.hostname Nilai disalin secara langsung
identSrc, trueSrc, src principal.asset.ip Nilai dari src jika tidak kosong, atau trueSrc jika tidak kosong, atau identSrc
identHostName principal.hostname Nilai disalin secara langsung
identSrc, trueSrc, src principal.ip Nilai dari src jika tidak kosong, atau trueSrc jika tidak kosong, atau identSrc
pengirim principal.user.email_addresses Nilai disalin secara langsung
ringkasan security_result.action Setel ke "ALLOW" jika ringkasan cocok dengan (?i)bersih
act security_result.action_details Nilai disalin secara langsung
hybridSpamScore_label, localSpamScore_label security_result.detection_fields Digabungkan dari hybridSpamScore_label dan localSpamScore_label
ringkasan security_result.summary Nilai disalin secara langsung
dst target.asset.ip Nilai disalin secara langsung
dst target.ip Nilai disalin secara langsung
penerima target.user.email_addresses Nilai disalin secara langsung

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.