Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Forcepoint Mail Relay 로그 수집

다음에서 지원:

Google secops SIEM

이 문서에서는 Amazon S3를 사용하여 Forcepoint Mail Relay 로그를 Google Security Operations로 수집하는 방법을 설명합니다.

Forcepoint Mail Relay는 스팸, 피싱, 멀웨어, 데이터 손실 등 이메일로 전송되는 위협으로부터 조직을 보호하는 클라우드 기반 이메일 보안 솔루션입니다. 이 솔루션은 인바운드 및 아웃바운드 이메일 트래픽 모두에 포괄적인 이메일 필터링, 데이터 손실 방지 (DLP), 암호화, 지능형 위협 방어를 제공합니다.

시작하기 전에

다음 기본 요건이 충족되었는지 확인합니다.

Google SecOps 인스턴스
Forcepoint Mail Relay Cloud 포털에 대한 액세스 권한 관리
AWS (S3, IAM)에 대한 액세스 권한 관리
Forcepoint 관리자 계정에 로그 내보내기 권한이 사용 설정됨

Forcepoint Mail Relay Cloud SIEM 스토리지 구성

Forcepoint Mail Relay Cloud를 구성하여 로그를 AWS S3 버킷으로 내보내려면 다음 단계를 따르세요.

AWS 포털에서 하나 이상의 AWS S3 버킷을 만듭니다.

참고: 버킷 이름은 전역적으로 고유해야 합니다. AWS S3 버킷의 암호화는 지원되지 않습니다.
Forcepoint Cloud Security Gateway 포털 에 로그인합니다.
계정 > SIEM 스토리지 로 이동합니다.
스토리지 유형 섹션에서 자체 스토리지 가져오기 라디오 버튼을 선택합니다.
추가 를 클릭하여 버킷을 스토리지 목록: 자체 스토리지 가져오기 표에 추가합니다.
버킷 추가 대화상자에서 다음을 입력합니다.
- 버킷 이름: AWS 포털의 버킷 이름 (예: forcepoint-email-logs)을 입력합니다.
- 프리픽스 (선택사항): 로그 파일을 정리하기 위한 프리픽스를 입력합니다. /를 사용하여 폴더를 만듭니다 (예: email-logs/). /가 포함되지 않으면 프리픽스가 파일 이름 앞에 추가됩니다.
저장 을 클릭합니다. 버킷 정보가 표에 추가됩니다.
스토리지 목록: 자체 스토리지 가져오기 표에서 방금 추가한 버킷의 행에 있는 JSON 링크를 클릭합니다.
버킷 정책 페이지에서 텍스트 복사 를 클릭하여 JSON 창의 콘텐츠를 클립보드에 복사합니다.
AWS 관리 콘솔에서 S3 서비스를 엽니다.
버킷 (예: forcepoint-email-logs)을 선택합니다.
권한 > 버킷 정책 으로 이동합니다.
수정 을 클릭합니다.
Forcepoint 포털에서 복사한 JSON 정책을 붙여넣습니다.
변경사항 저장 을 클릭합니다.
Forcepoint 포털 SIEM 스토리지 페이지로 돌아갑니다.
스토리지 목록: 자체 스토리지 가져오기 표에서 버킷의 연결 확인 을 클릭합니다.

참고: 연결에 성공하면 버킷에 파일을 쓸 수 있음을 확인하는 토큰 파일이 작성됩니다. 토큰 번호는 AWS S3 버킷의 connection_token 객체에 표시됩니다. 프리픽스를 기반으로 폴더가 생성된 경우 connection_token이 해당 폴더에 표시됩니다. 생성된 토큰은 3시간 동안 유효합니다.
연결 테스트가 성공하면 스토리지 목록: 자체 스토리지 가져오기 표에서 버킷의 활성 라디오 버튼을 선택합니다.

참고: 활성으로 선택할 수 있는 버킷은 하나뿐입니다. SIEM 데이터는 활성 버킷으로 내보내집니다.
페이지 하단의 저장 을 클릭합니다.

SIEM 로깅 사용 설정 및 내보내기 형식 구성

Forcepoint 포털에서 보고 > 계정 보고서 > SIEM 통합으로 이동합니다.
데이터 유형 목록에서 이메일 보안 을 선택합니다.
데이터 내보내기 사용 설정 전환 버튼을 사용 으로 설정합니다.

참고: 계정 > SIEM 스토리지에 유효한 스토리지 옵션이 구성되어 있지 않으면 데이터 내보내기 옵션을 사용으로 설정할 수 없습니다.
왼쪽의 속성 섹션에서 다음 속성을 열 섹션으로 드래그합니다.
- 방향
- 보낸사람: 주소
- 정책
- 수신자 주소
- 수신자 도메인
- 발신자 도메인
- 발신자 이름
- 제목
- 작업
- 블랙/허용 목록
- 차단된 첨부파일 확장 프로그램
- 필터링 사유
- 발신자 IP
- 발신자 IP 국가
- 첨부파일 형식
- 첨부파일 이름
- Emb. URL 위험 클래스
- Emb. URL 심각도
- 고급 암호화
- 파일 샌드박스 상태
- 바이러스 이름
- 날짜 및 시간
- 메시지 크기
- 스팸 점수
- 첨부파일 크기
참고: 위의 속성이 모두 선택되어 있는지 확인합니다. 데이터가 누락되면 데이터 수집이 예상대로 작동하지 않습니다.
저장 을 클릭합니다.

Google SecOps용 AWS S3 버킷 및 IAM 구성

이 사용자 가이드(버킷 만들기)에 따라 Amazon S3 버킷을 만듭니다.

참고: Forcepoint 내보내기를 위해 생성된 동일한 버킷을 사용하거나 Google SecOps 수집을 위한 별도의 버킷을 만들 수 있습니다.
나중에 참조할 수 있도록 버킷 이름 과 리전 을 저장합니다 (예: forcepoint-email-logs).
이 사용자 가이드(IAM 사용자 만들기)에 따라 사용자를 만듭니다.
생성된 사용자 를 선택합니다.
보안 인증 정보 탭을 선택합니다.
액세스 키 섹션에서 액세스 키 만들기 를 클릭합니다.
사용 사례 로 서드 파티 서비스 를 선택합니다.
다음 을 클릭합니다.
선택사항: 설명 태그를 추가합니다.
액세스 키 만들기 를 클릭합니다.
CSV 파일 다운로드 를 클릭하여 나중에 참조할 수 있도록 액세스 키 와 보안 비밀 액세스 키 를 저장합니다.
완료 를 클릭합니다.
권한 탭을 선택합니다.
권한 정책 섹션에서 권한 추가 를 클릭합니다.
권한 추가 를 선택합니다.
정책 직접 연결 을 선택합니다.
AmazonS3FullAccess 정책을 검색합니다.
정책을 선택합니다.
다음 을 클릭합니다.
권한 추가 를 클릭합니다.

Forcepoint Mail Relay 로그를 수집하도록 Google SecOps에서 피드 구성

**SIEM 설정 > 피드** 로 이동합니다.
새 피드 추가 를 클릭합니다.
다음 페이지에서 단일 피드 구성 을 클릭합니다.
피드 이름 에 고유한 이름을 입력합니다.
소스 유형 으로 Amazon S3 V2 를 선택합니다.
로그 유형 으로 Forcepoint Mail Relay 를 선택합니다.
다음 을 클릭한 후 제출 을 클릭합니다.
다음 필드의 값을 지정합니다.
- S3 URI: s3://forcepoint-email-logs/email-logs/.
- 소스 삭제 옵션: 환경설정에 따라 삭제 옵션을 선택합니다.
- 최대 파일 기간: 지난 며칠 동안 수정된 파일을 포함합니다 (기본값은 180일).
- 액세스 키 ID: S3 버킷에 대한 액세스 권한이 있는 사용자 액세스 키
- 보안 비밀 액세스 키: S3 버킷에 액세스할 수 있는 사용자 보안 비밀 키
- 애셋 네임스페이스: 애셋 네임스페이스입니다.
- 수집 라벨: 이 피드의 이벤트에 적용할 라벨입니다.
참고: Delete transferred files 또는 Delete transferred files and empty directories 옵션을 선택하는 경우 서비스 계정에 적절한 권한을 부여했는지 확인합니다.
다음 을 클릭한 후 제출 을 클릭합니다.

UDM 매핑 표

로그 필드	UDM 매핑	논리
	hybridSpamScore_label.key	'hybridSpamScore'로 설정
hybridSpamScore	hybridSpamScore_label.value	값 직접 복사
	localSpamScore_label.key	'localSpamScore'로 설정
localSpamScore	localSpamScore_label.value	값 직접 복사
	metadata.event_type	처음에 'GENERIC_EVENT'로 설정합니다. has_network_email이 true이면 'EMAIL_TRANSACTION'으로 설정하고, has_principal 및 has_target이 true이면 'NETWORK_CONNECTION'으로 설정하고, has_principal이 true이면 'STATUS_UPDATE'로 설정하고, 그렇지 않으면 'GENERIC_EVENT'로 설정합니다.
product_event_type	metadata.product_event_type	값 직접 복사
	metadata.product_name	'FORCEPOINT_MAIL_RELAY'로 설정
	metadata.vendor_name	'FORCEPOINT_MAIL_RELAY'로 설정
sender	network.email.from	값 직접 복사
subject	network.email.subject	값 직접 복사
recipient	network.email.to	값 직접 복사
identHostName	principal.asset.hostname	값 직접 복사
identSrc, trueSrc, src	principal.asset.ip	비어 있지 않으면 src의 값, 비어 있지 않으면 trueSrc, 그렇지 않으면 identSrc
identHostName	principal.hostname	값 직접 복사
identSrc, trueSrc, src	principal.ip	비어 있지 않으면 src의 값, 비어 있지 않으면 trueSrc, 그렇지 않으면 identSrc
sender	principal.user.email_addresses	값 직접 복사
summary	security_result.action	요약이 (?i)clean과 일치하면 'ALLOW'로 설정
act	security_result.action_details	값 직접 복사
hybridSpamScore_label, localSpamScore_label	security_result.detection_fields	hybridSpamScore_label 및 localSpamScore_label에서 병합됨
summary	security_result.summary	값 직접 복사
dst	target.asset.ip	값 직접 복사
dst	target.ip	값 직접 복사
recipient	target.user.email_addresses	값 직접 복사

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.