收集 Forcepoint Mail Relay 記錄

本文說明如何使用 Amazon S3，將 Forcepoint Mail Relay 記錄擷取至 Google Security Operations。

Forcepoint Mail Relay 是一項雲端式電子郵件安全解決方案，可保護機構免於電子郵件傳播的威脅，包括垃圾郵件、網路釣魚、惡意軟體和資料遺失。這項解決方案可為內送和外寄電子郵件流量提供全方位的電子郵件篩選、資料遺失防護 (DLP)、加密和進階威脅防護功能。

事前準備

請確認您已完成下列事前準備事項：

• Google SecOps 執行個體
• Forcepoint Mail Relay Cloud 入口網站的特殊存取權
• AWS (S3、IAM) 的特殊存取權
• Forcepoint 管理員帳戶已啟用「記錄匯出」權限

設定 Forcepoint Mail Relay Cloud SIEM 儲存空間

如要設定 Forcepoint Mail Relay Cloud 將記錄匯出至 AWS S3 bucket，請按照下列步驟操作：

1. 在 AWS 入口網站中建立一或多個 AWS S3 儲存空間。

2. 登入 Forcepoint Cloud Security Gateway Portal。

3. 依序前往「帳戶」> SIEM 儲存空間。

4. 在「儲存空間類型」部分，選取「自備儲存空間」圓形按鈕。

5. 按一下 新增，將您的 bucket 加入 儲存空間清單：自備儲存空間 表格。

6. 在「新增 Bucket」對話方塊中，輸入下列資訊：

   • 儲存空間名稱：從 AWS 入口網站輸入儲存空間名稱 (例如 forcepoint-email-logs)。
   • 前置字串 (選用)：輸入前置字串來整理記錄檔。使用 / 建立資料夾 (例如 email-logs/)。如果未加入 /，前置字元會加到檔案名稱的前面。

7. 按一下 [儲存]。系統會將 bucket 資訊新增至表格。

8. 在「Storage List: Bring Your Own」(儲存空間清單：自備儲存空間) 表格中，按一下剛新增值區所在列的「JSON」連結。

9. 在「Bucket Policy」(儲存空間政策) 頁面中，按一下「Copy Text」(複製文字)，將 JSON 窗格的內容複製到剪貼簿。

10. 在 AWS 管理主控台中，開啟 S3 服務。

11. 選取 bucket (例如 forcepoint-email-logs)。

12. 依序前往「Permissions」>「Bucket policy」。

13. 按一下 [編輯]。

14. 貼上從 Forcepoint 入口網站複製的 JSON 政策。

15. 按一下 [儲存變更]。

16. 返回 Forcepoint 入口網站的「SIEM Storage」(SIEM 儲存空間) 頁面。

17. 在「儲存空間清單：自備儲存空間」表格中，按一下儲存空間的「檢查連線」。

18. 連線測試成功後，請在「Storage List: Bring Your Own」(儲存空間清單：自備儲存空間) 資料表中，選取 bucket 的「Active」(有效) 圓形按鈕。

19. 按一下頁面底部的 [Save] (儲存)。

啟用 SIEM 記錄功能並設定匯出格式

1. 在 Forcepoint 入口網站中，依序前往「Reporting」>「Account Reports」>「SIEM Integration」。
2. 在「資料類型」清單中，選取「電子郵件安全性」。

3. 將「啟用資料匯出功能」切換鈕設為「開啟」。

4. 從左側的「屬性」部分，將下列屬性拖曳至「欄」部分：

   • 方向
   • 寄件者地址
   • 政策
   • 收件者地址
   • 收件者網域
   • 寄件者網域
   • 寄件者名稱
   • 主旨
   • 動作
   • 黑名單/白名單
   • 附件已遭封鎖 (副檔名)
   • 篩除原因
   • 寄件者 IP
   • 寄件者 IP 國家/地區
   • 附件檔案類型
   • 附件檔案名稱
   • Emb. 網址風險類別
   • Emb. 網址嚴重程度
   • 進階加密
   • 檔案沙箱狀態
   • 病毒名稱
   • 日期與時間
   • 郵件大小
   • 垃圾內容分數
   • 附件大小

5. 按一下 [儲存]。

為 Google SecOps 設定 AWS S3 值區和 IAM

1. 按照這份使用手冊建立 Amazon S3 bucket：建立 bucket

2. 請儲存 bucket 的「名稱」和「地區」，以供日後參考 (例如 forcepoint-email-logs)。

3. 請按照這份使用者指南建立使用者：建立 IAM 使用者。

4. 選取建立的「使用者」。

5. 選取「安全憑證」分頁標籤。

6. 在「Access Keys」部分中，按一下「Create Access Key」。

7. 選取「第三方服務」做為「用途」。

8. 點選「下一步」。

9. 選用：新增說明標記。

10. 按一下「建立存取金鑰」。

11. 按一下「Download .csv file」(下載 .csv 檔案)，儲存「Access Key」(存取金鑰) 和「Secret Access Key」(私密存取金鑰)，以供日後參考。

12. 按一下 [完成]。

13. 選取「權限」分頁標籤。

14. 在「權限政策」部分中，按一下「新增權限」。

15. 選取「新增權限」。

16. 選取「直接附加政策」。

17. 搜尋「AmazonS3FullAccess」AmazonS3FullAccess政策。

18. 選取政策。

19. 點選「下一步」。

20. 按一下「Add permissions」。

在 Google SecOps 中設定動態饋給，擷取 Forcepoint Mail Relay 記錄

1. 依序前往「SIEM 設定」>「動態饋給」。
2. 按一下「新增動態消息」。
3. 在下一個頁面中，按一下「設定單一動態饋給」。
4. 輸入動態饋給名稱的專屬名稱。
5. 選取「Amazon S3 V2」做為「來源類型」。
6. 選取「Forcepoint Mail Relay」做為「記錄類型」。
7. 依序點按「繼續」和「提交」。

8. 為下列欄位指定值：

   • S3 URI：s3://forcepoint-email-logs/email-logs/。
   • 來源刪除選項：根據偏好設定選取刪除選項。
   • 檔案存在時間上限：包含在過去天數內修改的檔案 (預設為 180 天)。
   • 存取金鑰 ID：具有 S3 值區存取權的使用者存取金鑰。
   • 存取密鑰：具有 S3 bucket 存取權的使用者私密金鑰。
   • 資產命名空間：資產命名空間。
   • 擷取標籤：要套用至這個動態饋給事件的標籤。

9. 依序點按「繼續」和「提交」。

UDM 對應表

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。