Proofpoint Threat Response (TRAP)-Logs erfassen
Unterstützt in:
Google SecOps
SIEM
In diesem Dokument wird beschrieben, wie Sie Proofpoint Threat Response (TRAP)-Logs mit dem Bindplane-Agenten in Google Security Operations aufnehmen.
Proofpoint Threat Response Auto-Pull (TRAP) ist eine Plattform für Sicherheitsorchestrierung zur automatisierten Reaktion auf Bedrohungen und zur Behebung von Sicherheitsrisiken. Es lässt sich in E-Mail-, Endpunkt- und Netzwerksicherheitstools einbinden, um die Untersuchung und Eindämmung von Vorfällen zu beschleunigen.
Hinweis
Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:
- Eine Google SecOps-Instanz
- Windows Server 2016 oder höher oder Linux-Host mit
systemd - Netzwerkverbindung zwischen dem Bindplane-Agent und dem Proofpoint TRAP-Server
- Wenn Sie den Agent hinter einem Proxy ausführen, müssen die Firewallports gemäß den Anforderungen des Bindplane-Agents geöffnet sein.
- Privilegierter Zugriff auf die Proofpoint TRAP-Verwaltungskonsole mit Administratorberechtigungen
Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen
- Melden Sie sich in der Google SecOps-Konsole an.
- Rufen Sie die SIEM-Einstellungen > Collection Agents auf.
- Laden Sie die Authentifizierungsdatei für die Aufnahme herunter.
Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.
Google SecOps-Kundennummer abrufen
- Melden Sie sich in der Google SecOps-Konsole an.
- Rufen Sie die SIEM-Einstellungen > Profile auf.
Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.
BindPlane-Agent installieren
Installieren Sie den Bindplane-Agent auf Ihrem Windows- oder Linux-Betriebssystem gemäß der folgenden Anleitung.
Fenstereinbau
- Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.
Führen Sie dazu diesen Befehl aus:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quietWarten Sie, bis die Installation abgeschlossen ist.
Überprüfen Sie die Installation mit folgendem Befehl:
sc query observiq-otel-collectorDer Dienst sollte als RUNNING (Wird ausgeführt) angezeigt werden.
Linux-Installation
- Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.
Führen Sie dazu diesen Befehl aus:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.shWarten Sie, bis die Installation abgeschlossen ist.
Überprüfen Sie die Installation mit folgendem Befehl:
sudo systemctl status observiq-otel-collectorDer Dienst sollte als aktiv (wird ausgeführt) angezeigt werden.
Zusätzliche Installationsressourcen
Weitere Installationsoptionen und Informationen zur Fehlerbehebung finden Sie in der Installationsanleitung für den Bindplane-Agent.
BindPlane-Agent zum Erfassen von Syslog-Daten und Senden an Google SecOps konfigurieren
Konfigurationsdatei suchen
Linux:
sudo nano /opt/observiq-otel-collector/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
Konfigurationsdatei bearbeiten
Ersetzen Sie den gesamten Inhalt von
config.yamldurch die folgende Konfiguration:receivers: tcplog: listen_address: "0.0.0.0:514" exporters: chronicle/proofpoint_trap: compression: gzip creds_file_path: '<CREDS_FILE_PATH>' customer_id: '<CUSTOMER_ID>' endpoint: <REGION_ENDPOINT> log_type: PROOFPOINT_TRAP raw_log_field: body ingestion_labels: env: production service: pipelines: logs/trap_to_chronicle: receivers: - tcplog exporters: - chronicle/proofpoint_trap
Konfigurationsparameter
Ersetzen Sie die folgenden Platzhalter:
Empfängerkonfiguration:
tcplog: Empfängt Syslog über TCP. Verwenden Sieudplog, wenn Sie den UDP-Transport in TRAP konfigurieren.0.0.0.0:514: Lauscht auf allen Schnittstellen auf Port 514. Ändern Sie den Port bei Bedarf (z. B.1514für Linux ohne Root-Zugriff).
Exporter-Konfiguration:
<CREDS_FILE_PATH>: Vollständiger Pfad zur Datei für die Authentifizierung bei der Aufnahme:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
<CUSTOMER_ID>: Die Kunden-ID aus dem Schritt Google SecOps-Kunden-ID abrufen.<REGION_ENDPOINT>: Regionale Endpunkt-URL:- USA:
malachiteingestion-pa.googleapis.com - Europa:
europe-malachiteingestion-pa.googleapis.com - Asien:
asia-southeast1-malachiteingestion-pa.googleapis.com - Eine vollständige Liste finden Sie unter Regionale Endpunkte.
- USA:
Konfigurationsdatei speichern
- Speichern Sie die Datei nach der Bearbeitung:
- Linux: Drücken Sie
Ctrl+O, dannEnterund dannCtrl+X. - Windows: Klicken Sie auf Datei > Speichern.
- Linux: Drücken Sie
Bindplane-Agent neu starten, um die Änderungen zu übernehmen
Führen Sie den folgenden Befehl aus, um den Bindplane-Agent unter Linux neu zu starten:
sudo systemctl restart observiq-otel-collectorPrüfen Sie, ob der Dienst ausgeführt wird:
sudo systemctl status observiq-otel-collectorLogs auf Fehler prüfen:
sudo journalctl -u observiq-otel-collector -f
Wählen Sie eine der folgenden Optionen aus, um den Bindplane-Agent unter Windows neu zu starten:
Eingabeaufforderung oder PowerShell als Administrator:
net stop observiq-otel-collector && net start observiq-otel-collectorServices-Konsole:
- Drücken Sie
Win+R, geben Sieservices.mscein und drücken Sie die Eingabetaste. - Suchen Sie nach observIQ OpenTelemetry Collector.
- Klicken Sie mit der rechten Maustaste und wählen Sie Neu starten aus.
Prüfen Sie, ob der Dienst ausgeführt wird:
sc query observiq-otel-collectorLogs auf Fehler prüfen:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
- Drücken Sie
Syslog-Weiterleitung für Proofpoint TRAP konfigurieren
- Melden Sie sich in der Proofpoint TRAP-Verwaltungskonsole an (in der Regel unter
https://trap-server:8080). - Gehen Sie zu Monitoring > Logging.
- Konfigurieren Sie das Syslog-Ziel:
- Host: Geben Sie die IP-Adresse des BindPlane-Agent-Hosts ein (z. B.
192.168.1.100). - Port: Geben Sie
514ein (muss mit dem Empfängerport des BindPlane-Agenten übereinstimmen). - Schweregrad: Wählen Sie den Mindestschweregrad für die Logweiterleitung aus.
- Host: Geben Sie die IP-Adresse des BindPlane-Agent-Hosts ein (z. B.
- Klicken Sie auf Speichern.
- Prüfen Sie anhand der Bindplane-Agent-Logs, ob Logs gesendet werden.
UDM-Zuordnungstabelle
| Logfeld | UDM-Zuordnung | Logik |
|---|---|---|
_field |
additional.fields |
Zusammengeführt |
additional_modulesRun |
additional.fields |
Zusammengeführt |
alternateGraphApiEndpoint_additional |
additional.fields |
Zusammengeführt |
azureAdAuthEndpoint_additional |
additional.fields |
Zusammengeführt |
clientId_additional |
additional.fields |
Zusammengeführt |
clientSecret_additional |
additional.fields |
Zusammengeführt |
disposition_additional_data |
additional.fields |
Zusammengeführt |
disposition_data_available |
additional.fields |
Zugeordnet: true → disposition_additional_data |
exchangeAPI_additional |
additional.fields |
Zusammengeführt |
exchangeAuthType_additional |
additional.fields |
Zusammengeführt |
graphApiEndpoint_additional |
additional.fields |
Zusammengeführt |
headers_X-Forefront-Antispam-Report |
additional.fields |
Zusammengeführt |
headers_accept_lang_label |
additional.fields |
Zusammengeführt |
headers_authentication_results_label |
additional.fields |
Zusammengeführt |
headers_content_language_label |
additional.fields |
Zusammengeführt |
headers_content_transfer_encoding_label |
additional.fields |
Zusammengeführt |
headers_content_type_label |
additional.fields |
Zusammengeführt |
headers_date_label |
additional.fields |
Zusammengeführt |
headers_message_id_label |
additional.fields |
Zusammengeführt |
headers_mime_version_label |
additional.fields |
Zusammengeführt |
headers_received_label |
additional.fields |
Zusammengeführt |
headers_return_path_label |
additional.fields |
Zusammengeführt |
headers_thread_index_label |
additional.fields |
Zusammengeführt |
headers_thread_topic_label |
additional.fields |
Zusammengeführt |
headers_x_ms_exchange_antispam_feedbackprocessing_scenario_label |
additional.fields |
Zusammengeführt |
headers_x_ms_exchange_antispam_feedcategory_label |
additional.fields |
Zusammengeführt |
headers_x_ms_exchange_antispam_feedtype_label |
additional.fields |
Zusammengeführt |
headers_x_ms_exchange_organization_antispam_feedcategory_label |
additional.fields |
Zusammengeführt |
incident_display_id_label |
additional.fields |
Zusammengeführt |
incident_id_label |
additional.fields |
Zusammengeführt |
incident_link_attribute_label |
additional.fields |
Zusammengeführt |
incident_title_label |
additional.fields |
Zusammengeführt |
privateKey_additional |
additional.fields |
Zusammengeführt |
source_type_additional_data |
additional.fields |
Zusammengeführt |
source_type_data_available |
additional.fields |
Zugeordnet: true → source_type_additional_data |
sourcesData_name_label |
additional.fields |
Zusammengeführt |
sourcesData_type_label |
additional.fields |
Zusammengeführt |
sources_id_label |
additional.fields |
Zusammengeführt |
sources_type_label |
additional.fields |
Zusammengeführt |
tap_threat_additional_data |
additional.fields |
Zusammengeführt |
tap_threat_data_available |
additional.fields |
Zugeordnet: true → tap_threat_additional_data |
tenantId_additional |
additional.fields |
Zusammengeführt |
url_list |
additional.fields |
Zusammengeführt |
auth_details |
extensions.auth.auth_details |
Direkt zugeordnet |
proofpoint_trap_host |
intermediary.hostname |
Direkt zugeordnet |
proofpoint_trap_host |
intermediary.ip |
Zusammengeführt |
url_label |
intermediary.labels |
Zusammengeführt |
desc |
metadata.description |
Direkt zugeordnet |
createdAt |
metadata.event_timestamp |
Geparst als ISO8601 |
created_at |
metadata.event_timestamp |
Geparst als ISO8601 |
data.received |
metadata.event_timestamp |
Geparst als ISO8601 |
event1.description.created_at |
metadata.event_timestamp |
Geparst als ISO8601 |
event1.description.updated_at |
metadata.event_timestamp |
Geparst als ISO8601 |
eventTime |
metadata.event_timestamp |
Geparst als ISO8601 |
received |
metadata.event_timestamp |
Geparst als ISO8601 |
ts |
metadata.event_timestamp |
Geparst als MMM d HH:mm:ss |
updatedAt |
metadata.event_timestamp |
Geparst als ISO8601 |
application |
metadata.event_type |
Zugeordnet: CROND → PROCESS_UNCATEGORIZED, system-modules.authlookup → USER_LOGIN |
has_network_email |
metadata.event_type |
Zugeordnet: true → EMAIL_TRANSACTION |
has_principal |
metadata.event_type |
Zugeordnet: true → EMAIL_TRANSACTION |
event1.description.id |
metadata.product_log_id |
Direkt zugeordnet |
event_id |
metadata.product_log_id |
Direkt zugeordnet |
id |
metadata.product_log_id |
Direkt zugeordnet |
has_principal |
metadata.product_name |
Zugeordnet: true → PROOFPOINT_TRAP |
source |
metadata.product_name |
Direkt zugeordnet |
has_principal |
metadata.vendor_name |
Zugeordnet: true → PROOFPOINT |
attackDirection |
network.direction |
Zugeordnet: inbound → INBOUND, outbound → OUTBOUND |
cc |
network.email.cc |
Zugeordnet: ^.+@.+$ → cc |
emaildata.sender.email |
network.email.from |
Direkt zugeordnet |
event1.description.headers.From |
network.email.from |
Direkt zugeordnet |
fromadd |
network.email.from |
Direkt zugeordnet |
principal_user2 |
network.email.from |
Direkt zugeordnet |
send_email |
network.email.from |
Direkt zugeordnet |
sender_address |
network.email.from |
Direkt zugeordnet |
email_id |
network.email.mail_id |
Direkt zugeordnet |
event1.description.messageid |
network.email.mail_id |
Direkt zugeordnet |
messageID |
network.email.mail_id |
Direkt zugeordnet |
event1.description.headers.Reply-To |
network.email.reply_to |
Direkt zugeordnet |
reply |
network.email.reply_to |
Direkt zugeordnet |
email_subject |
network.email.subject |
Zusammengeführt |
emaildata.subject |
network.email.subject |
Zusammengeführt |
event1.description.subject |
network.email.subject |
Zusammengeführt |
index |
network.email.subject |
Zugeordnet: 0 → emaildata.subject |
subject |
network.email.subject |
Zusammengeführt |
emaildata.recipient.email |
network.email.to |
Zusammengeführt |
event1.description.headers.To |
network.email.to |
Zusammengeführt |
index |
network.email.to |
Zugeordnet: 0 → emaildata.recipient.email, 0 → to_email |
principal_user1 |
network.email.to |
Zusammengeführt |
recipient_address |
network.email.to |
Zugeordnet: ^.+@.+$ → recipient_address |
to |
network.email.to |
Zugeordnet: ^.+@.+$ → to |
to_email |
network.email.to |
Zusammengeführt |
http_method |
network.http.method |
Direkt zugeordnet |
http_url |
network.http.referral_url |
Direkt zugeordnet |
ses_id |
network.session_id |
Direkt zugeordnet |
application |
principal.application |
Direkt zugeordnet |
senderIP |
principal.asset.ip |
Zusammengeführt |
sender_IP |
principal.asset.ip |
Zusammengeführt |
msgparts.md5 |
principal.file.md5 |
Direkt zugeordnet |
msgparts.filename |
principal.file.names |
Zusammengeführt |
msgparts.sha256 |
principal.file.sha1 |
Direkt zugeordnet |
hostname |
principal.hostname |
Direkt zugeordnet |
senderIP |
principal.ip |
Zusammengeführt |
sender_IP |
principal.ip |
Zusammengeführt |
src_ip |
principal.ip |
Zusammengeführt |
file_name |
principal.process.file.full_path |
Direkt zugeordnet |
pid |
principal.process.pid |
Direkt zugeordnet |
attachment_label |
principal.resource.attribute.labels |
Zusammengeführt |
title_label |
principal.resource.attribute.labels |
Zusammengeführt |
ewsUrl |
principal.url |
Direkt zugeordnet |
principal_link |
principal.url |
Direkt zugeordnet |
sender_vap_label |
principal.user.attribute.labels |
Zusammengeführt |
emaildata.sender.email |
principal.user.email_addresses |
Zusammengeführt |
index |
principal.user.email_addresses |
Zugeordnet: 0 → emaildata.sender.email |
principal_user1 |
principal.user.email_addresses |
Zusammengeführt |
principal_user2 |
principal.user.email_addresses |
Zusammengeführt |
sender |
principal.user.email_addresses |
Zusammengeführt |
assignedUserName |
principal.user.user_display_name |
Direkt zugeordnet |
username |
principal.user.user_display_name |
Direkt zugeordnet |
assignedUserId |
principal.user.userid |
Direkt zugeordnet |
principal_user1 |
principal.user.userid |
Direkt zugeordnet |
principal_user2 |
principal.user.userid |
Direkt zugeordnet |
sender_email |
principal.user.userid |
Direkt zugeordnet |
src_user |
principal.user.userid |
Direkt zugeordnet |
user |
principal.user.userid |
Direkt zugeordnet |
index |
security_result |
Zugeordnet: 0 → sec_res2 |
sec_res |
security_result |
Zusammengeführt |
sec_res2 |
security_result |
Zusammengeführt |
sec_result |
security_result |
Zusammengeführt |
state |
security_result.alert_state |
Zugeordnet: "OPEN", "IN_PROGRESS" → ALERTING, CLOSED → NOT_ALERTING |
QID_field |
security_result.detection_fields |
Zusammengeführt |
alert_type_label |
security_result.detection_fields |
Zusammengeführt |
body_label |
security_result.detection_fields |
Zusammengeführt |
body_type_label |
security_result.detection_fields |
Zusammengeführt |
cluster_label |
security_result.detection_fields |
Zusammengeführt |
completelyRewritten_field |
security_result.detection_fields |
Zusammengeführt |
disposition_label |
security_result.detection_fields |
Zusammengeführt |
dkim1_label |
security_result.detection_fields |
Zusammengeführt |
dkim2_label |
security_result.detection_fields |
Zusammengeführt |
dkim3_label |
security_result.detection_fields |
Zusammengeführt |
dmarc_label |
security_result.detection_fields |
Zusammengeführt |
event_id_label |
security_result.detection_fields |
Zusammengeführt |
header_d1_label |
security_result.detection_fields |
Zusammengeführt |
header_d2_label |
security_result.detection_fields |
Zusammengeführt |
header_d3_label |
security_result.detection_fields |
Zusammengeführt |
header_from_label |
security_result.detection_fields |
Zusammengeführt |
header_s1_label |
security_result.detection_fields |
Zusammengeführt |
header_s2_label |
security_result.detection_fields |
Zusammengeführt |
header_s3_label |
security_result.detection_fields |
Zusammengeführt |
impostorScore_field |
security_result.detection_fields |
Zusammengeführt |
index |
security_result.detection_fields |
Zugeordnet: 0 → messageId_label |
key_data |
security_result.detection_fields |
Zusammengeführt |
mailfrom_label |
security_result.detection_fields |
Zusammengeführt |
malwareScore_field |
security_result.detection_fields |
Zusammengeführt |
messageId_label |
security_result.detection_fields |
Zusammengeführt |
messageSize_field |
security_result.detection_fields |
Zusammengeführt |
phishScore_field |
security_result.detection_fields |
Zusammengeführt |
quarantineFolder_label |
security_result.detection_fields |
Zusammengeführt |
quarantineRule_label |
security_result.detection_fields |
Zusammengeführt |
spamScore_field |
security_result.detection_fields |
Zusammengeführt |
spf_label |
security_result.detection_fields |
Zusammengeführt |
state_label |
security_result.detection_fields |
Zusammengeführt |
severity |
security_result.severity |
Zugeordnet: Info → INFORMATIONAL |
severity |
security_result.severity_details |
Direkt zugeordnet |
state |
security_result.summary |
Direkt zugeordnet |
cmd |
target.process.command_line |
Direkt zugeordnet |
pwd |
target.process.file.full_path |
Direkt zugeordnet |
recipient_vap_label |
target.user.attribute.labels |
Zusammengeführt |
email |
target.user.email_addresses |
Zusammengeführt |
emaildata.abuseReporterAddress |
target.user.email_addresses |
Zusammengeführt |
index |
target.user.email_addresses |
Zugeordnet: 0 → emaildata.abuseReporterAddress |
recipient_email |
target.user.email_addresses |
Zusammengeführt |
dst_user |
target.user.userid |
Direkt zugeordnet |
| – | metadata.event_type |
Konstante: EMAIL_TRANSACTION |
| – | metadata.product_name |
Konstante: PROOFPOINT_TRAP |
| – | metadata.vendor_name |
Konstante: PROOFPOINT |
| – | network.application_protocol |
Konstante: HTTP |
| – | network.direction |
Konstante: INBOUND |
| – | security_result.alert_state |
Konstante: ALERTING |
| – | security_result.severity |
Konstante: INFORMATIONAL |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten