Forcepoint Mail Relay ログを収集する

以下でサポートされています。

このドキュメントでは、Amazon S3 を使用して Forcepoint Mail Relay ログを Google Security Operations に取り込む方法について説明します。

Forcepoint Mail Relay は、スパム、フィッシング、マルウェア、データ損失などのメール経由の脅威から組織を保護するクラウドベースのメール セキュリティ ソリューションです。このソリューションは、受信と送信の両方のメール トラフィックに対して、包括的なメール フィルタリング、データ損失防止(DLP)、暗号化、高度な脅威対策を提供します。

始める前に

次の前提条件を満たしていることを確認します。

  • Google SecOps インスタンス
  • Forcepoint Mail Relay Cloud ポータルへの特権アクセス
  • AWS(S3、IAM)への特権アクセス
  • Forcepoint 管理者アカウントで Log Export 権限が有効になっている

Forcepoint Mail Relay Cloud SIEM ストレージを構成する

Forcepoint Mail Relay Cloud を構成してログを AWS S3 バケットにエクスポートする手順は次のとおりです。

  1. AWS ポータルで 1 つ以上の AWS S3 バケットを作成します。

  2. Forcepoint Cloud Security Gateway Portal にログインします。

  3. [アカウント> SIEM ストレージ] に移動します。

  4. [ストレージ タイプ] セクションで、[独自のストレージを使用する] ラジオボタンを選択します。

  5. [追加] をクリックして、バケットを [ストレージ リスト: Bring Your Own] テーブルに追加します。

  6. [バケットを追加] ダイアログで、次の情報を入力します。

    • バケット名: AWS ポータルからバケット名(例: forcepoint-email-logs)を入力します。
    • 接頭辞(省略可): ログファイルを整理するための接頭辞を入力します。/ を使用してフォルダ(email-logs/ など)を作成します。/ が含まれていない場合、接頭辞はファイル名の先頭に追加されます。

  7. [保存] をクリックします。バケット情報がテーブルに追加されます。

  8. [ストレージ リスト: Bring Your Own] テーブルで、追加したバケットの行にある [JSON] リンクをクリックします。

  9. [バケット ポリシー] ページで、[テキストをコピー] をクリックして、JSON ペインの内容をクリップボードにコピーします。

  10. AWS マネジメント コンソールで、S3 サービスを開きます。

  11. バケットを選択します(例: forcepoint-email-logs)。

  12. [権限> バケット ポリシー] に移動します。

  13. [編集] をクリックします。

  14. Forcepoint ポータルからコピーした JSON ポリシーを貼り付けます。

  15. [変更を保存] をクリックします。

  16. Forcepoint ポータルの [SIEM Storage] ページに戻ります。

  17. [ストレージ リスト: Bring Your Own] テーブルで、バケットの [接続を確認] をクリックします。

  18. 接続テストが成功したら、[Storage List: Bring Your Own] テーブルでバケットの [Active] ラジオボタンを選択します。

  19. ページの下部にある [保存] をクリックします。

SIEM ロギングを有効にしてエクスポート形式を構成する

  1. Forcepoint ポータルで、[Reporting] > [Account Reports] > [SIEM Integration] に移動します。
  2. [データ型] リストから [メール セキュリティ] を選択します。

  3. [データ エクスポートを有効にする] 切り替えを [オン] に設定します。

  4. 左側の [属性] セクションから、次の属性を [] セクションにドラッグします。

    • 方向
    • From: アドレス
    • ポリシー
    • Recipient Address
    • 受信者のドメイン
    • 送信者のドメイン
    • 送信者名
    • 件名
    • アクション
    • ブラックリスト/ホワイトリスト登録済み
    • 添付ファイルをブロックしました(Ext)
    • フィルタリングの理由
    • 送信者の IP
    • 送信者の IP アドレスの国
    • Attachment File Type
    • 添付ファイル名
    • エンベロープURL のリスククラス
    • エンベロープURL の重大度
    • 高度な暗号化
    • ファイル サンドボックスのステータス
    • ウイルスの名前
    • 日付と時刻
    • メッセージのサイズ
    • スパムスコア
    • Attachment Size

  5. [保存] をクリックします。

Google SecOps 用に AWS S3 バケットと IAM を構成する

  1. バケットの作成のユーザーガイドに沿って、Amazon S3 バケットを作成します。

  2. バケットの名前リージョンを保存して、後で参照できるようにします(例: forcepoint-email-logs)。

  3. IAM ユーザーの作成のユーザーガイドに沿って、ユーザーを作成します。

  4. 作成した [User] を選択します。

  5. [セキュリティ認証情報] タブを選択します。

  6. [アクセスキー] セクションで [アクセスキーを作成] をクリックします。

  7. [ユースケース] として [サードパーティ サービス] を選択します。

  8. [次へ] をクリックします。

  9. 省略可: 説明タグを追加します。

  10. [アクセスキーを作成] をクリックします。

  11. [.csv ファイルをダウンロード] をクリックして、[アクセスキー] と [シークレット アクセスキー] を保存し、今後の参照に備えます。

  12. [完了] をクリックします。

  13. [権限] タブを選択します。

  14. [権限ポリシー] セクションの [権限を追加] をクリックします。

  15. [権限を追加] を選択します。

  16. [ポリシーを直接アタッチする] を選択します。

  17. AmazonS3FullAccess ポリシーを検索します。

  18. ポリシーを選択します。

  19. [次へ] をクリックします。

  20. [権限を追加] をクリックします。

Forcepoint Mail Relay のログを取り込むように Google SecOps でフィードを構成する

  1. [SIEM 設定] > [フィード] に移動します。
  2. [Add New Feed] をクリックします。
  3. 次のページで [単一フィードを設定] をクリックします。
  4. [Feed name] に一意の名前を入力します。
  5. [ソースタイプ] として [Amazon S3 V2] を選択します。
  6. [ログタイプ] として [Forcepoint Mail Relay] を選択します。
  7. [次へ] をクリックしてから、[送信] をクリックします。

  8. 次のフィールドに値を指定します。

    • S3 URI: s3://forcepoint-email-logs/email-logs/
    • Source deletion option: 必要に応じて削除オプションを選択します。
    • ファイルの最大経過日数: 指定した日数以内に変更されたファイルを含めます(デフォルトは 180 日)。
    • アクセスキー ID: S3 バケットにアクセスできるユーザー アクセスキー。
    • シークレット アクセスキー: S3 バケットにアクセスできるユーザーのシークレット キー。
    • アセットの名前空間: アセットの名前空間
    • Ingestion labels: このフィードのイベントに適用されるラベル。

  9. [次へ] をクリックしてから、[送信] をクリックします。

UDM マッピング テーブル

ログフィールド UDM マッピング ロジック
hybridSpamScore_label.key 「hybridSpamScore」に設定
hybridSpamScore hybridSpamScore_label.value 値を直接コピーしました
localSpamScore_label.key 「localSpamScore」に設定
localSpamScore localSpamScore_label.value 値を直接コピーしました
metadata.event_type 最初は「GENERIC_EVENT」に設定されます。has_network_email が true の場合は「EMAIL_TRANSACTION」に設定されます。has_principal と has_target が true の場合は「NETWORK_CONNECTION」に設定されます。has_principal が true の場合は「STATUS_UPDATE」に設定されます。それ以外の場合は「GENERIC_EVENT」に設定されます。
product_event_type metadata.product_event_type 値を直接コピーしました
metadata.product_name 「FORCEPOINT_MAIL_RELAY」に設定
metadata.vendor_name 「FORCEPOINT_MAIL_RELAY」に設定
送信者 network.email.from 値を直接コピーしました
件名 network.email.subject 値を直接コピーしました
受信者 network.email.to 値を直接コピーしました
identHostName principal.asset.hostname 値を直接コピーしました
identSrc、trueSrc、src principal.asset.ip src が空でない場合は src の値、それ以外の場合は trueSrc が空でない場合は trueSrc、それ以外の場合は identSrc
identHostName principal.hostname 値を直接コピーしました
identSrc、trueSrc、src principal.ip src が空でない場合は src の値、それ以外の場合は trueSrc が空でない場合は trueSrc、それ以外の場合は identSrc
送信者 principal.user.email_addresses 値を直接コピーしました
概要 security_result.action 概要が (?i)clean と一致する場合は「ALLOW」に設定します
act security_result.action_details 値を直接コピーしました
hybridSpamScore_label、localSpamScore_label security_result.detection_fields hybridSpamScore_label と localSpamScore_label から統合されました
概要 security_result.summary 値を直接コピーしました
dst target.asset.ip 値を直接コピーしました
dst target.ip 値を直接コピーしました
受信者 target.user.email_addresses 値を直接コピーしました

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。