Coletar registros do Forcepoint Mail Relay
Este documento explica como ingerir registros do Forcepoint Mail Relay no Google Security Operations usando o Amazon S3.
O Forcepoint Mail Relay é uma solução de segurança de e-mail baseada na nuvem que protege as organizações contra ameaças transmitidas por e-mail, incluindo spam, phishing, malware e perda de dados. A solução oferece filtragem abrangente de e-mails, prevenção contra perda de dados (DLP), criptografia e proteção avançada contra ameaças para tráfego de e-mail de entrada e saída.
Antes de começar
Verifique se você atende aos seguintes pré-requisitos:
- Uma instância do Google SecOps
- Acesso privilegiado ao portal do Forcepoint Mail Relay Cloud
- Acesso privilegiado à AWS (S3, IAM)
- Permissão de exportação de registros ativada para sua conta de administrador do Forcepoint
Configurar o armazenamento do SIEM do Forcepoint Mail Relay Cloud
Para configurar o Forcepoint Mail Relay Cloud para exportar registros para o bucket do AWS S3, faça o seguinte:
Crie um ou mais buckets do AWS S3 no portal da AWS.
Faça login no portal do Forcepoint Cloud Security Gateway.
Acesse Conta > Armazenamento do SIEM.
Na seção Tipo de armazenamento, selecione o botão de opção Traga seu próprio armazenamento.
Clique em Adicionar para incluir seu bucket na tabela Lista de armazenamento: traga seu próprio.
Na caixa de diálogo Adicionar bucket, insira o seguinte:
- Nome do bucket: insira o nome do bucket do portal da AWS (por exemplo,
forcepoint-email-logs). - Prefixo (opcional): insira um prefixo para organizar arquivos de registro. Use
/para criar uma pasta (por exemplo,email-logs/). Se nenhum/for incluído, o prefixo será adicionado ao nome do arquivo.
- Nome do bucket: insira o nome do bucket do portal da AWS (por exemplo,
Clique em Salvar. As informações do bucket são adicionadas à tabela.
Na tabela Lista de armazenamento: traga seu próprio, clique no link JSON na linha do bucket que você acabou de adicionar.
Na página Política de bucket, clique em Copiar texto para copiar o conteúdo do painel JSON para uma área de transferência.
No console de gerenciamento da AWS, abra o serviço S3.
Selecione seu bucket (por exemplo,
forcepoint-email-logs).Acesse Permissões > Política de bucket.
Clique em Editar.
Cole a política JSON copiada do portal do Forcepoint.
Clique em Salvar alterações.
Volte para a página Armazenamento do SIEM do portal do Forcepoint.
Na tabela Lista de armazenamento: traga seu próprio, clique em Verificar conexão para seu bucket.
Depois que o teste de conexão for bem-sucedido, selecione o botão de opção Ativo para seu bucket na tabela Lista de armazenamento: traga seu próprio.
Clique em Salvar , na parte inferior da página.
Ativar o registro do SIEM e configurar o formato de exportação
- No portal do Forcepoint, acesse Relatórios > Relatórios de contas > Integração do SIEM.
- Na lista Tipo de dados, selecione Segurança de e-mail.
Defina a opção Ativar exportação de dados como ATIVADA.
Na seção Atributos à esquerda, arraste os seguintes atributos para a seção Colunas:
- Direção
- De: endereço
- Política
- Endereço do destinatário
- Domínio do destinatário
- Domínio do remetente
- Nome do remetente
- Assunto
- Ação
- Lista de permissões/bloqueados
- Extensão de anexo bloqueado
- Motivo da filtragem
- IP do remetente
- País do IP do remetente
- Tipo de arquivo de anexo
- Nome de arquivo do anexo
- Incorporado Classe de risco do URL
- Incorporado Gravidade do URL
- Criptografia avançada
- Status do sandbox de arquivos
- Nome do vírus
- Data e hora
- Tamanho da mensagem
- Pontuação de spam
- Tamanho do anexo
Clique em Salvar.
Configurar o bucket do AWS S3 e o IAM para o Google SecOps
Crie um bucket do Amazon S3 seguindo este guia do usuário: Como criar um bucket
Salve o nome e a região do bucket para referência futura (por exemplo,
forcepoint-email-logs).Crie um usuário seguindo este guia do usuário: Como criar um usuário do IAM.
Selecione o usuário criado.
Selecione a guia Credenciais de segurança.
Clique em Criar chave de acesso na seção Chaves de acesso.
Selecione Serviço de terceiros como Caso de uso.
Clique em Próxima.
Opcional: adicione uma tag de descrição.
Clique em Criar chave de acesso.
Clique em Download .csv file para salvar a chave de acesso e a chave de acesso secreta para referência futura.
Clique em Concluído.
Selecione a guia Permissões.
Clique em Adicionar permissões na seção Políticas de permissões.
Selecione Adicionar permissões.
Selecione Anexar políticas diretamente.
Pesquise a política AmazonS3FullAccess.
Selecione a política.
Clique em Próxima.
Clique em Adicionar permissões.
Configurar um feed no Google SecOps para ingerir registros do Forcepoint Mail Relay
- Acesse Configurações do SIEM > Feeds.
- Clique em Adicionar novo feed.
- Na próxima página, clique em Configurar um único feed.
- Insira um nome exclusivo para o nome do feed.
- Selecione Amazon S3 V2 como o tipo de origem.
- Selecione Forcepoint Mail Relay como o tipo de registro.
- Clique em Próxima e em Enviar.
Especifique valores para os seguintes campos:
- URI do S3:
s3://forcepoint-email-logs/email-logs/. - Opção de exclusão da origem: selecione a opção de exclusão de acordo com sua preferência.
- Idade máxima do arquivo: inclua arquivos modificados no último número de dias (o padrão é 180 dias).
- ID da chave de acesso: chave de acesso do usuário com acesso ao bucket do S3.
- Chave de acesso secreta: chave secreta do usuário com acesso ao bucket do S3.
- Namespace do recurso: o namespace do recurso.
- Marcadores de ingestão: o marcador a ser aplicado aos eventos desse feed.
- URI do S3:
Clique em Próxima e em Enviar.
Tabela de mapeamento do UDM
| Campo de registro | Mapeamento do UDM | Lógica |
|---|---|---|
| hybridSpamScore_label.key | Definir como "hybridSpamScore" | |
| hybridSpamScore | hybridSpamScore_label.value | Valor copiado diretamente |
| localSpamScore_label.key | Definir como "localSpamScore" | |
| localSpamScore | localSpamScore_label.value | Valor copiado diretamente |
| metadata.event_type | Definido como "GENERIC_EVENT" inicialmente; definido como "EMAIL_TRANSACTION" se has_network_email for verdadeiro; caso contrário, definido como "NETWORK_CONNECTION" se has_principal e has_target forem verdadeiros; caso contrário, definido como "STATUS_UPDATE" se has_principal for verdadeiro; caso contrário, "GENERIC_EVENT" | |
| product_event_type | metadata.product_event_type | Valor copiado diretamente |
| metadata.product_name | Definir como "FORCEPOINT_MAIL_RELAY" | |
| metadata.vendor_name | Definir como "FORCEPOINT_MAIL_RELAY" | |
| remetente | network.email.from | Valor copiado diretamente |
| subject | network.email.subject | Valor copiado diretamente |
| destinatário | network.email.to | Valor copiado diretamente |
| identHostName | principal.asset.hostname | Valor copiado diretamente |
| identSrc, trueSrc, src | principal.asset.ip | Valor de src se não estiver vazio, caso contrário, trueSrc se não estiver vazio, caso contrário, identSrc |
| identHostName | principal.hostname | Valor copiado diretamente |
| identSrc, trueSrc, src | principal.ip | Valor de src se não estiver vazio, caso contrário, trueSrc se não estiver vazio, caso contrário, identSrc |
| remetente | principal.user.email_addresses | Valor copiado diretamente |
| resumo | security_result.action | Definir como "ALLOW" se o resumo corresponder a (?i)clean |
| servem | security_result.action_details | Valor copiado diretamente |
| hybridSpamScore_label, localSpamScore_label | security_result.detection_fields | Mesclado de hybridSpamScore_label e localSpamScore_label |
| resumo | security_result.summary | Valor copiado diretamente |
| dst | target.asset.ip | Valor copiado diretamente |
| dst | target.ip | Valor copiado diretamente |
| destinatário | target.user.email_addresses | Valor copiado diretamente |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.