Raccogliere i log di Forcepoint Mail Relay
Questo documento spiega come importare i log di Forcepoint Mail Relay in Google Security Operations utilizzando Amazon S3.
Forcepoint Mail Relay è una soluzione di sicurezza email basata sul cloud che protegge le organizzazioni dalle minacce veicolate via email, tra cui spam, phishing, malware e perdita di dati. La soluzione fornisce filtri email completi, prevenzione della perdita di dati (DLP), crittografia e protezione avanzata dalle minacce per il traffico email in entrata e in uscita.
Prima di iniziare
Assicurati di soddisfare i seguenti prerequisiti:
- Un'istanza Google SecOps
- Accesso con privilegi al portale Forcepoint Mail Relay Cloud
- Accesso con privilegi ad AWS (S3, IAM)
- Autorizzazione Esportazione log abilitata per il tuo account amministratore Forcepoint
Configurare l'archiviazione SIEM di Forcepoint Mail Relay Cloud
Per configurare Forcepoint Mail Relay Cloud in modo da esportare i log nel bucket AWS S3, procedi nel seguente modo:
Crea uno o più bucket AWS S3 nel portale AWS.
Accedi al portale Forcepoint Cloud Security Gateway.
Vai ad Account > Archiviazione SIEM.
Nella sezione Tipo di archiviazione, seleziona il pulsante di opzione Utilizza il tuo spazio di archiviazione.
Fai clic su Aggiungi per aggiungere il bucket alla tabella Elenco di archiviazione: utilizza il tuo spazio di archiviazione.
Nella finestra di dialogo Aggiungi bucket, inserisci quanto segue:
- Nome bucket: inserisci il nome del bucket dal portale AWS (ad es.
forcepoint-email-logs). - Prefisso (facoltativo): inserisci un prefisso per organizzare i file di log. Utilizza
/per creare una cartella (ad es.email-logs/). Se non è incluso alcun/, il prefisso viene anteposto al nome file.
- Nome bucket: inserisci il nome del bucket dal portale AWS (ad es.
Fai clic su Salva. Le informazioni del bucket vengono aggiunte alla tabella.
Nella tabella Elenco di archiviazione: utilizza il tuo spazio di archiviazione, fai clic sul link JSON nella riga del bucket che hai appena aggiunto.
Nella pagina Policy del bucket, fai clic su Copia testo per copiare i contenuti del riquadro JSON negli appunti.
Nella console di gestione AWS, apri il servizio S3.
Seleziona il bucket (ad es.
forcepoint-email-logs).Vai a Autorizzazioni > Policy del bucket.
Fai clic su Modifica.
Incolla la policy JSON copiata dal portale Forcepoint.
Fai clic su Salva modifiche.
Torna alla pagina Archiviazione SIEM del portale Forcepoint.
Nella tabella Elenco di archiviazione: utilizza il tuo spazio di archiviazione, fai clic su Controlla connessione per il bucket.
Dopo aver superato il test di connessione, seleziona il pulsante di opzione Attivo per il bucket nella tabella Elenco di archiviazione: utilizza il tuo spazio di archiviazione.
Fai clic su Salva nella parte inferiore della pagina.
Abilitare la registrazione SIEM e configurare il formato di esportazione
- Nel portale Forcepoint, vai a Report > Report account > Integrazione SIEM.
- Nell'elenco Tipo di dati, seleziona Sicurezza email.
Imposta l'opzione Attiva esportazione dati su ON.
Dalla sezione Attributi a sinistra, trascina i seguenti attributi nella sezione Colonne:
- Direzione
- Da: indirizzo
- Norme
- Indirizzo del destinatario
- Dominio del destinatario
- Dominio mittente
- Nome mittente
- Oggetto
- Azione
- In lista nera/bianca
- Estensione allegato bloccato
- Motivo del filtro
- IP mittente
- Paese IP mittente
- Tipo di file allegato
- Nomi dei file allegati
- Incorporato Classe di rischio URL
- Incorporato Gravità URL
- Crittografia avanzata
- Stato della sandbox dei file
- Nome virus
- Data e ora
- Dimensione messaggio
- Punteggio di spam
- Dimensione allegato
Fai clic su Salva.
Configurare il bucket AWS S3 e IAM per Google SecOps
Crea un bucket Amazon S3 seguendo questa guida utente: Creazione di un bucket
Salva il nome e la regione del bucket per riferimento futuro (ad es.
forcepoint-email-logs).Crea un utente seguendo questa guida utente: Creazione di un utente IAM.
Seleziona l'utente creato.
Seleziona la scheda Credenziali di sicurezza.
Fai clic su Crea chiave di accesso nella sezione Chiavi di accesso.
Seleziona Servizio di terze parti come Caso d'uso.
Fai clic su Avanti.
(Facoltativo) Aggiungi un tag di descrizione.
Fai clic su Crea chiave di accesso.
Fai clic su Scarica file .csv per salvare la chiave di accesso e la chiave di accesso segreta per riferimento futuro.
Fai clic su Fine.
Seleziona la scheda Autorizzazioni.
Fai clic su Aggiungi autorizzazioni nella sezione Policy delle autorizzazioni.
Seleziona Aggiungi autorizzazioni.
Seleziona Collega policy direttamente.
Cerca la policy AmazonS3FullAccess.
Seleziona la policy.
Fai clic su Avanti.
Fai clic su Aggiungi autorizzazioni.
Configurare un feed in Google SecOps per importare i log di Forcepoint Mail Relay
- Vai a Impostazioni SIEM > Feed.
- Fai clic su Aggiungi nuovo feed.
- Nella pagina successiva, fai clic su Configura un singolo feed.
- Inserisci un nome univoco per il nome del feed.
- Seleziona Amazon S3 V2 come Tipo di origine.
- Seleziona Forcepoint Mail Relay come Tipo di log.
- Fai clic su Avanti e poi su Invia.
Specifica i valori per i seguenti campi:
- URI S3:
s3://forcepoint-email-logs/email-logs/. - Opzione di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze.
- Durata massima dei file: includi i file modificati nell'ultimo numero di giorni (il valore predefinito è 180 giorni).
- ID chiave di accesso: chiave di accesso utente con accesso al bucket S3.
- Chiave di accesso segreta: chiave segreta utente con accesso al bucket S3.
- Spazio dei nomi dell'asset: lo spazio dei nomi dell'asset.
- Etichette di importazione: l'etichetta da applicare agli eventi di questo feed.
- URI S3:
Fai clic su Avanti e poi su Invia.
Tabella di mapping UDM
| Campo log | Mapping UDM | Funzione logica |
|---|---|---|
| hybridSpamScore_label.key | Imposta su "hybridSpamScore" | |
| hybridSpamScore | hybridSpamScore_label.value | Valore copiato direttamente |
| localSpamScore_label.key | Imposta su "localSpamScore" | |
| localSpamScore | localSpamScore_label.value | Valore copiato direttamente |
| metadata.event_type | Inizialmente impostato su "GENERIC_EVENT"; impostato su "EMAIL_TRANSACTION" se has_network_email è true; altrimenti impostato su "NETWORK_CONNECTION" se has_principal e has_target sono true; altrimenti impostato su "STATUS_UPDATE" se has_principal è true; altrimenti "GENERIC_EVENT" | |
| product_event_type | metadata.product_event_type | Valore copiato direttamente |
| metadata.product_name | Imposta su "FORCEPOINT_MAIL_RELAY" | |
| metadata.vendor_name | Imposta su "FORCEPOINT_MAIL_RELAY" | |
| mittente | network.email.from | Valore copiato direttamente |
| oggetto | network.email.subject | Valore copiato direttamente |
| destinatario | network.email.to | Valore copiato direttamente |
| identHostName | principal.asset.hostname | Valore copiato direttamente |
| identSrc, trueSrc, src | principal.asset.ip | Valore da src se non è vuoto, altrimenti trueSrc se non è vuoto, altrimenti identSrc |
| identHostName | principal.hostname | Valore copiato direttamente |
| identSrc, trueSrc, src | principal.ip | Valore da src se non è vuoto, altrimenti trueSrc se non è vuoto, altrimenti identSrc |
| mittente | principal.user.email_addresses | Valore copiato direttamente |
| riepilogo | security_result.action | Imposta su "ALLOW" se il riepilogo corrisponde a (?i)clean |
| atto | security_result.action_details | Valore copiato direttamente |
| hybridSpamScore_label, localSpamScore_label | security_result.detection_fields | Unito da hybridSpamScore_label e localSpamScore_label |
| riepilogo | security_result.summary | Valore copiato direttamente |
| dst | target.asset.ip | Valore copiato direttamente |
| dst | target.ip | Valore copiato direttamente |
| destinatario | target.user.email_addresses | Valore copiato direttamente |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.