Mengumpulkan log Proofpoint Threat Response (TRAP)
Didukung di:
Google SecOps
SIEM
Dokumen ini menjelaskan cara menyerap log Proofpoint Threat Response (TRAP) ke Google Security Operations menggunakan agen Bindplane.
Proofpoint Threat Response Auto-Pull (TRAP) adalah platform orkestrasi keamanan untuk respons dan perbaikan ancaman otomatis. Solusi ini terintegrasi dengan alat keamanan email, endpoint, dan jaringan untuk mempercepat penyelidikan dan penanganan insiden.
Sebelum memulai
Pastikan Anda memiliki prasyarat berikut:
- Instance Google SecOps
- Windows Server 2016 atau yang lebih baru, atau host Linux dengan
systemd - Konektivitas jaringan antara agen Bindplane dan server TRAP Proofpoint
- Jika beroperasi dari balik proxy, pastikan port firewall terbuka sesuai dengan persyaratan agen Bindplane
- Akses istimewa ke konsol pengelolaan Proofpoint TRAP dengan izin administrator
Mendapatkan file autentikasi penyerapan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Agen Pengumpulan.
- Download File Autentikasi Penyerapan.
Simpan file dengan aman di sistem tempat BindPlane akan diinstal.
Mendapatkan ID pelanggan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Profil.
Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.
Menginstal agen Bindplane
Instal agen Bindplane di sistem operasi Windows atau Linux Anda sesuai dengan petunjuk berikut.
Penginstalan Windows
- Buka Command Prompt atau PowerShell sebagai administrator.
Jalankan perintah berikut:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quietTunggu hingga penginstalan selesai.
Verifikasi penginstalan dengan menjalankan:
sc query observiq-otel-collectorLayanan akan ditampilkan sebagai RUNNING.
Penginstalan Linux
- Buka terminal dengan hak istimewa root atau sudo.
Jalankan perintah berikut:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.shTunggu hingga penginstalan selesai.
Verifikasi penginstalan dengan menjalankan:
sudo systemctl status observiq-otel-collectorLayanan akan ditampilkan sebagai aktif (berjalan).
Referensi penginstalan tambahan
Untuk opsi penginstalan dan pemecahan masalah tambahan, lihat Panduan penginstalan agen BindPlane.
Mengonfigurasi agen Bindplane untuk menyerap syslog dan mengirimkannya ke Google SecOps
Cari file konfigurasi
Linux:
sudo nano /opt/observiq-otel-collector/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
Edit file konfigurasi
Ganti seluruh konten
config.yamldengan konfigurasi berikut:receivers: tcplog: listen_address: "0.0.0.0:514" exporters: chronicle/proofpoint_trap: compression: gzip creds_file_path: '<CREDS_FILE_PATH>' customer_id: '<CUSTOMER_ID>' endpoint: <REGION_ENDPOINT> log_type: PROOFPOINT_TRAP raw_log_field: body ingestion_labels: env: production service: pipelines: logs/trap_to_chronicle: receivers: - tcplog exporters: - chronicle/proofpoint_trap
Parameter konfigurasi
Ganti placeholder berikut:
Konfigurasi penerima:
tcplog: Menerima syslog melalui TCP. Gunakanudplogjika Anda mengonfigurasi transportasi UDP di TRAP.0.0.0.0:514: Memproses semua antarmuka di port 514. Ubah port jika diperlukan (misalnya,1514untuk Linux non-root).
Konfigurasi eksportir:
<CREDS_FILE_PATH>: Jalur lengkap ke file autentikasi penyerapan:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
<CUSTOMER_ID>: ID Pelanggan dari langkah Dapatkan ID pelanggan Google SecOps.<REGION_ENDPOINT>: URL endpoint regional:- Amerika Serikat:
malachiteingestion-pa.googleapis.com - Eropa:
europe-malachiteingestion-pa.googleapis.com - Asia:
asia-southeast1-malachiteingestion-pa.googleapis.com - Lihat Endpoint Regional untuk mengetahui daftar lengkapnya.
- Amerika Serikat:
Simpan file konfigurasi
- Setelah mengedit, simpan file:
- Linux: Tekan
Ctrl+O, laluEnter, laluCtrl+X - Windows: Klik File > Save
- Linux: Tekan
Mulai ulang agen Bindplane untuk menerapkan perubahan
Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:
sudo systemctl restart observiq-otel-collectorPastikan layanan sedang berjalan:
sudo systemctl status observiq-otel-collectorPeriksa log untuk mengetahui error:
sudo journalctl -u observiq-otel-collector -f
Untuk memulai ulang agen Bindplane di Windows, pilih salah satu opsi berikut:
Command Prompt atau PowerShell sebagai administrator:
net stop observiq-otel-collector && net start observiq-otel-collectorKonsol layanan:
- Tekan
Win+R, ketikservices.msc, lalu tekan Enter. - Temukan observIQ OpenTelemetry Collector.
- Klik kanan, lalu pilih Mulai Ulang.
Pastikan layanan sedang berjalan:
sc query observiq-otel-collectorPeriksa log untuk mengetahui error:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
- Tekan
Mengonfigurasi penerusan syslog Proofpoint TRAP
- Login ke konsol pengelolaan Proofpoint TRAP (biasanya di
https://trap-server:8080). - Buka Monitoring > Logging.
- Konfigurasi tujuan syslog:
- Host: Masukkan alamat IP host agen Bindplane (misalnya,
192.168.1.100). - Port: Masukkan
514(harus cocok dengan port penerima agen BindPlane). - Tingkat keparahan: Pilih tingkat keparahan minimum untuk penerusan log.
- Host: Masukkan alamat IP host agen Bindplane (misalnya,
- Klik Simpan.
- Pastikan log dikirim dengan memeriksa log agen Bindplane.
Tabel pemetaan UDM
| Kolom Log | Pemetaan UDM | Logika |
|---|---|---|
_field |
additional.fields |
Digabung |
additional_modulesRun |
additional.fields |
Digabung |
alternateGraphApiEndpoint_additional |
additional.fields |
Digabung |
azureAdAuthEndpoint_additional |
additional.fields |
Digabung |
clientId_additional |
additional.fields |
Digabung |
clientSecret_additional |
additional.fields |
Digabung |
disposition_additional_data |
additional.fields |
Digabung |
disposition_data_available |
additional.fields |
Dipetakan: true → disposition_additional_data |
exchangeAPI_additional |
additional.fields |
Digabung |
exchangeAuthType_additional |
additional.fields |
Digabung |
graphApiEndpoint_additional |
additional.fields |
Digabung |
headers_X-Forefront-Antispam-Report |
additional.fields |
Digabung |
headers_accept_lang_label |
additional.fields |
Digabung |
headers_authentication_results_label |
additional.fields |
Digabung |
headers_content_language_label |
additional.fields |
Digabung |
headers_content_transfer_encoding_label |
additional.fields |
Digabung |
headers_content_type_label |
additional.fields |
Digabung |
headers_date_label |
additional.fields |
Digabung |
headers_message_id_label |
additional.fields |
Digabung |
headers_mime_version_label |
additional.fields |
Digabung |
headers_received_label |
additional.fields |
Digabung |
headers_return_path_label |
additional.fields |
Digabung |
headers_thread_index_label |
additional.fields |
Digabung |
headers_thread_topic_label |
additional.fields |
Digabung |
headers_x_ms_exchange_antispam_feedbackprocessing_scenario_label |
additional.fields |
Digabung |
headers_x_ms_exchange_antispam_feedcategory_label |
additional.fields |
Digabung |
headers_x_ms_exchange_antispam_feedtype_label |
additional.fields |
Digabung |
headers_x_ms_exchange_organization_antispam_feedcategory_label |
additional.fields |
Digabung |
incident_display_id_label |
additional.fields |
Digabung |
incident_id_label |
additional.fields |
Digabung |
incident_link_attribute_label |
additional.fields |
Digabung |
incident_title_label |
additional.fields |
Digabung |
privateKey_additional |
additional.fields |
Digabung |
source_type_additional_data |
additional.fields |
Digabung |
source_type_data_available |
additional.fields |
Dipetakan: true → source_type_additional_data |
sourcesData_name_label |
additional.fields |
Digabung |
sourcesData_type_label |
additional.fields |
Digabung |
sources_id_label |
additional.fields |
Digabung |
sources_type_label |
additional.fields |
Digabung |
tap_threat_additional_data |
additional.fields |
Digabung |
tap_threat_data_available |
additional.fields |
Dipetakan: true → tap_threat_additional_data |
tenantId_additional |
additional.fields |
Digabung |
url_list |
additional.fields |
Digabung |
auth_details |
extensions.auth.auth_details |
Dipetakan secara langsung |
proofpoint_trap_host |
intermediary.hostname |
Dipetakan secara langsung |
proofpoint_trap_host |
intermediary.ip |
Digabung |
url_label |
intermediary.labels |
Digabung |
desc |
metadata.description |
Dipetakan secara langsung |
createdAt |
metadata.event_timestamp |
Diurai sebagai ISO8601 |
created_at |
metadata.event_timestamp |
Diurai sebagai ISO8601 |
data.received |
metadata.event_timestamp |
Diurai sebagai ISO8601 |
event1.description.created_at |
metadata.event_timestamp |
Diurai sebagai ISO8601 |
event1.description.updated_at |
metadata.event_timestamp |
Diurai sebagai ISO8601 |
eventTime |
metadata.event_timestamp |
Diurai sebagai ISO8601 |
received |
metadata.event_timestamp |
Diurai sebagai ISO8601 |
ts |
metadata.event_timestamp |
Diurai sebagai MMM d HH:mm:ss |
updatedAt |
metadata.event_timestamp |
Diurai sebagai ISO8601 |
application |
metadata.event_type |
Dipetakan: CROND → PROCESS_UNCATEGORIZED, system-modules.authlookup → USER_LOGIN |
has_network_email |
metadata.event_type |
Dipetakan: true → EMAIL_TRANSACTION |
has_principal |
metadata.event_type |
Dipetakan: true → EMAIL_TRANSACTION |
event1.description.id |
metadata.product_log_id |
Dipetakan secara langsung |
event_id |
metadata.product_log_id |
Dipetakan secara langsung |
id |
metadata.product_log_id |
Dipetakan secara langsung |
has_principal |
metadata.product_name |
Dipetakan: true → PROOFPOINT_TRAP |
source |
metadata.product_name |
Dipetakan secara langsung |
has_principal |
metadata.vendor_name |
Dipetakan: true → PROOFPOINT |
attackDirection |
network.direction |
Dipetakan: inbound → INBOUND, outbound → OUTBOUND |
cc |
network.email.cc |
Dipetakan: ^.+@.+$ → cc |
emaildata.sender.email |
network.email.from |
Dipetakan secara langsung |
event1.description.headers.From |
network.email.from |
Dipetakan secara langsung |
fromadd |
network.email.from |
Dipetakan secara langsung |
principal_user2 |
network.email.from |
Dipetakan secara langsung |
send_email |
network.email.from |
Dipetakan secara langsung |
sender_address |
network.email.from |
Dipetakan secara langsung |
email_id |
network.email.mail_id |
Dipetakan secara langsung |
event1.description.messageid |
network.email.mail_id |
Dipetakan secara langsung |
messageID |
network.email.mail_id |
Dipetakan secara langsung |
event1.description.headers.Reply-To |
network.email.reply_to |
Dipetakan secara langsung |
reply |
network.email.reply_to |
Dipetakan secara langsung |
email_subject |
network.email.subject |
Digabung |
emaildata.subject |
network.email.subject |
Digabung |
event1.description.subject |
network.email.subject |
Digabung |
index |
network.email.subject |
Dipetakan: 0 → emaildata.subject |
subject |
network.email.subject |
Digabung |
emaildata.recipient.email |
network.email.to |
Digabung |
event1.description.headers.To |
network.email.to |
Digabung |
index |
network.email.to |
Dipetakan: 0 → emaildata.recipient.email, 0 → to_email |
principal_user1 |
network.email.to |
Digabung |
recipient_address |
network.email.to |
Dipetakan: ^.+@.+$ → recipient_address |
to |
network.email.to |
Dipetakan: ^.+@.+$ → to |
to_email |
network.email.to |
Digabung |
http_method |
network.http.method |
Dipetakan secara langsung |
http_url |
network.http.referral_url |
Dipetakan secara langsung |
ses_id |
network.session_id |
Dipetakan secara langsung |
application |
principal.application |
Dipetakan secara langsung |
senderIP |
principal.asset.ip |
Digabung |
sender_IP |
principal.asset.ip |
Digabung |
msgparts.md5 |
principal.file.md5 |
Dipetakan secara langsung |
msgparts.filename |
principal.file.names |
Digabung |
msgparts.sha256 |
principal.file.sha1 |
Dipetakan secara langsung |
hostname |
principal.hostname |
Dipetakan secara langsung |
senderIP |
principal.ip |
Digabung |
sender_IP |
principal.ip |
Digabung |
src_ip |
principal.ip |
Digabung |
file_name |
principal.process.file.full_path |
Dipetakan secara langsung |
pid |
principal.process.pid |
Dipetakan secara langsung |
attachment_label |
principal.resource.attribute.labels |
Digabung |
title_label |
principal.resource.attribute.labels |
Digabung |
ewsUrl |
principal.url |
Dipetakan secara langsung |
principal_link |
principal.url |
Dipetakan secara langsung |
sender_vap_label |
principal.user.attribute.labels |
Digabung |
emaildata.sender.email |
principal.user.email_addresses |
Digabung |
index |
principal.user.email_addresses |
Dipetakan: 0 → emaildata.sender.email |
principal_user1 |
principal.user.email_addresses |
Digabung |
principal_user2 |
principal.user.email_addresses |
Digabung |
sender |
principal.user.email_addresses |
Digabung |
assignedUserName |
principal.user.user_display_name |
Dipetakan secara langsung |
username |
principal.user.user_display_name |
Dipetakan secara langsung |
assignedUserId |
principal.user.userid |
Dipetakan secara langsung |
principal_user1 |
principal.user.userid |
Dipetakan secara langsung |
principal_user2 |
principal.user.userid |
Dipetakan secara langsung |
sender_email |
principal.user.userid |
Dipetakan secara langsung |
src_user |
principal.user.userid |
Dipetakan secara langsung |
user |
principal.user.userid |
Dipetakan secara langsung |
index |
security_result |
Dipetakan: 0 → sec_res2 |
sec_res |
security_result |
Digabung |
sec_res2 |
security_result |
Digabung |
sec_result |
security_result |
Digabung |
state |
security_result.alert_state |
Dipetakan: "OPEN", "IN_PROGRESS" → ALERTING, CLOSED → NOT_ALERTING |
QID_field |
security_result.detection_fields |
Digabung |
alert_type_label |
security_result.detection_fields |
Digabung |
body_label |
security_result.detection_fields |
Digabung |
body_type_label |
security_result.detection_fields |
Digabung |
cluster_label |
security_result.detection_fields |
Digabung |
completelyRewritten_field |
security_result.detection_fields |
Digabung |
disposition_label |
security_result.detection_fields |
Digabung |
dkim1_label |
security_result.detection_fields |
Digabung |
dkim2_label |
security_result.detection_fields |
Digabung |
dkim3_label |
security_result.detection_fields |
Digabung |
dmarc_label |
security_result.detection_fields |
Digabung |
event_id_label |
security_result.detection_fields |
Digabung |
header_d1_label |
security_result.detection_fields |
Digabung |
header_d2_label |
security_result.detection_fields |
Digabung |
header_d3_label |
security_result.detection_fields |
Digabung |
header_from_label |
security_result.detection_fields |
Digabung |
header_s1_label |
security_result.detection_fields |
Digabung |
header_s2_label |
security_result.detection_fields |
Digabung |
header_s3_label |
security_result.detection_fields |
Digabung |
impostorScore_field |
security_result.detection_fields |
Digabung |
index |
security_result.detection_fields |
Dipetakan: 0 → messageId_label |
key_data |
security_result.detection_fields |
Digabung |
mailfrom_label |
security_result.detection_fields |
Digabung |
malwareScore_field |
security_result.detection_fields |
Digabung |
messageId_label |
security_result.detection_fields |
Digabung |
messageSize_field |
security_result.detection_fields |
Digabung |
phishScore_field |
security_result.detection_fields |
Digabung |
quarantineFolder_label |
security_result.detection_fields |
Digabung |
quarantineRule_label |
security_result.detection_fields |
Digabung |
spamScore_field |
security_result.detection_fields |
Digabung |
spf_label |
security_result.detection_fields |
Digabung |
state_label |
security_result.detection_fields |
Digabung |
severity |
security_result.severity |
Dipetakan: Info → INFORMATIONAL |
severity |
security_result.severity_details |
Dipetakan secara langsung |
state |
security_result.summary |
Dipetakan secara langsung |
cmd |
target.process.command_line |
Dipetakan secara langsung |
pwd |
target.process.file.full_path |
Dipetakan secara langsung |
recipient_vap_label |
target.user.attribute.labels |
Digabung |
email |
target.user.email_addresses |
Digabung |
emaildata.abuseReporterAddress |
target.user.email_addresses |
Digabung |
index |
target.user.email_addresses |
Dipetakan: 0 → emaildata.abuseReporterAddress |
recipient_email |
target.user.email_addresses |
Digabung |
dst_user |
target.user.userid |
Dipetakan secara langsung |
| T/A | metadata.event_type |
Konstanta: EMAIL_TRANSACTION |
| T/A | metadata.product_name |
Konstanta: PROOFPOINT_TRAP |
| T/A | metadata.vendor_name |
Konstanta: PROOFPOINT |
| T/A | network.application_protocol |
Konstanta: HTTP |
| T/A | network.direction |
Konstanta: INBOUND |
| T/A | security_result.alert_state |
Konstanta: ALERTING |
| T/A | security_result.severity |
Konstanta: INFORMATIONAL |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.