Raccogli i log di Proofpoint Threat Response (TRAP)
Supportato in:
Google SecOps
SIEM
Questo documento spiega come importare i log di Proofpoint Threat Response (TRAP) in Google Security Operations utilizzando l'agente Bindplane.
Proofpoint Threat Response Auto-Pull (TRAP) è una piattaforma di orchestrazione della sicurezza per la risposta e la correzione automatizzate delle minacce. Si integra con gli strumenti di sicurezza di email, endpoint e rete per accelerare l'indagine e il contenimento degli incidenti.
Prima di iniziare
Assicurati di soddisfare i seguenti prerequisiti:
- Un'istanza Google SecOps
- Windows Server 2016 o versioni successive oppure host Linux con
systemd - Connettività di rete tra l'agente Bindplane e il server Proofpoint TRAP
- Se l'agente viene eseguito dietro un proxy, assicurati che le porte del firewall siano aperte in base ai requisiti dell'agente Bindplane
- Accesso privilegiato alla console di gestione Proofpoint TRAP con autorizzazioni di amministratore
Recuperare il file di autenticazione importazione di Google SecOps
- Accedi alla console Google SecOps.
- Vai a Impostazioni SIEM > Agenti di raccolta.
- Scarica il file di autenticazione importazione.
Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.
Recuperare l'ID cliente Google SecOps
- Accedi alla console Google SecOps.
- Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.
Installa l'agente Bindplane
Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.
Installazione di Windows
- Apri Prompt dei comandi o PowerShell come amministratore.
Esegui questo comando:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quietAttendi il completamento dell'installazione.
Verifica l'installazione eseguendo:
sc query observiq-otel-collectorIl servizio dovrebbe essere visualizzato come IN ESECUZIONE.
Installazione di Linux
- Apri un terminale con privilegi root o sudo.
Esegui questo comando:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.shAttendi il completamento dell'installazione.
Verifica l'installazione eseguendo:
sudo systemctl status observiq-otel-collectorIl servizio dovrebbe essere visualizzato come attivo (in esecuzione).
Risorse aggiuntive per l'installazione
Per ulteriori opzioni di installazione e risoluzione dei problemi, consulta la guida all'installazione dell'agente Bindplane.
Configura l'agente Bindplane per importare syslog e inviarli a Google SecOps
Individua il file di configurazione
Linux:
sudo nano /opt/observiq-otel-collector/config.yamlWindows:
notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"
Modifica il file di configurazione
Sostituisci l'intero contenuto di
config.yamlcon la seguente configurazione:receivers: tcplog: listen_address: "0.0.0.0:514" exporters: chronicle/proofpoint_trap: compression: gzip creds_file_path: '<CREDS_FILE_PATH>' customer_id: '<CUSTOMER_ID>' endpoint: <REGION_ENDPOINT> log_type: PROOFPOINT_TRAP raw_log_field: body ingestion_labels: env: production service: pipelines: logs/trap_to_chronicle: receivers: - tcplog exporters: - chronicle/proofpoint_trap
Parametri di configurazione
Sostituisci i seguenti segnaposto:
Configurazione del ricevitore:
tcplog: Riceve syslog tramite TCP. Utilizzaudplogse configuri il trasporto UDP in TRAP.0.0.0.0:514: Ascolta tutte le interfacce sulla porta 514. Modifica la porta se necessario (ad esempio,1514per Linux non root).
Configurazione dell'esportatore:
<CREDS_FILE_PATH>: percorso completo del file di autenticazione importazione:- Linux:
/etc/bindplane-agent/ingestion-auth.json - Windows:
C:\Program Files\observIQ OpenTelemetry Collector\ingestion-auth.json
- Linux:
<CUSTOMER_ID>: ID cliente del passaggio Recupera l'ID cliente Google SecOps.<REGION_ENDPOINT>: URL endpoint regionale:- Stati Uniti:
malachiteingestion-pa.googleapis.com - Europa:
europe-malachiteingestion-pa.googleapis.com - Asia:
asia-southeast1-malachiteingestion-pa.googleapis.com - Per un elenco completo, vedi Endpoint regionali.
- Stati Uniti:
Salvare il file di configurazione
- Dopo la modifica, salva il file:
- Linux: premi
Ctrl+O, poiEntere infineCtrl+X. - Windows: fai clic su File > Salva.
- Linux: premi
Riavvia l'agente Bindplane per applicare le modifiche
Per riavviare l'agente Bindplane in Linux, esegui questo comando:
sudo systemctl restart observiq-otel-collectorVerifica che il servizio sia in esecuzione:
sudo systemctl status observiq-otel-collectorControlla i log per individuare eventuali errori:
sudo journalctl -u observiq-otel-collector -f
Per riavviare l'agente Bindplane in Windows, scegli una delle seguenti opzioni:
Prompt dei comandi o PowerShell come amministratore:
net stop observiq-otel-collector && net start observiq-otel-collectorConsole Services:
- Premi
Win+R, digitaservices.msce premi Invio. - Individua observIQ OpenTelemetry Collector.
- Fai clic con il tasto destro del mouse e seleziona Riavvia.
Verifica che il servizio sia in esecuzione:
sc query observiq-otel-collectorControlla i log per individuare eventuali errori:
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
- Premi
Configura l'inoltro syslog di Proofpoint TRAP
- Accedi alla console di gestione Proofpoint TRAP (in genere all'indirizzo
https://trap-server:8080). - Vai a Monitoring > Logging.
- Configura la destinazione syslog:
- Host: inserisci l'indirizzo IP dell'host dell'agente Bindplane (ad esempio,
192.168.1.100). - Porta: inserisci
514(deve corrispondere alla porta del ricevitore dell'agente Bindplane). - Gravità: seleziona il livello di gravità minimo per l'inoltro dei log.
- Host: inserisci l'indirizzo IP dell'host dell'agente Bindplane (ad esempio,
- Fai clic su Salva.
- Verifica che i log vengano inviati controllando i log dell'agente Bindplane.
Tabella di mappatura UDM
| Campo log | Mappatura UDM | Logic |
|---|---|---|
_field |
additional.fields |
Unita |
additional_modulesRun |
additional.fields |
Unita |
alternateGraphApiEndpoint_additional |
additional.fields |
Unita |
azureAdAuthEndpoint_additional |
additional.fields |
Unita |
clientId_additional |
additional.fields |
Unita |
clientSecret_additional |
additional.fields |
Unita |
disposition_additional_data |
additional.fields |
Unita |
disposition_data_available |
additional.fields |
Mappato: true → disposition_additional_data |
exchangeAPI_additional |
additional.fields |
Unita |
exchangeAuthType_additional |
additional.fields |
Unita |
graphApiEndpoint_additional |
additional.fields |
Unita |
headers_X-Forefront-Antispam-Report |
additional.fields |
Unita |
headers_accept_lang_label |
additional.fields |
Unita |
headers_authentication_results_label |
additional.fields |
Unita |
headers_content_language_label |
additional.fields |
Unita |
headers_content_transfer_encoding_label |
additional.fields |
Unita |
headers_content_type_label |
additional.fields |
Unita |
headers_date_label |
additional.fields |
Unita |
headers_message_id_label |
additional.fields |
Unita |
headers_mime_version_label |
additional.fields |
Unita |
headers_received_label |
additional.fields |
Unita |
headers_return_path_label |
additional.fields |
Unita |
headers_thread_index_label |
additional.fields |
Unita |
headers_thread_topic_label |
additional.fields |
Unita |
headers_x_ms_exchange_antispam_feedbackprocessing_scenario_label |
additional.fields |
Unita |
headers_x_ms_exchange_antispam_feedcategory_label |
additional.fields |
Unita |
headers_x_ms_exchange_antispam_feedtype_label |
additional.fields |
Unita |
headers_x_ms_exchange_organization_antispam_feedcategory_label |
additional.fields |
Unita |
incident_display_id_label |
additional.fields |
Unita |
incident_id_label |
additional.fields |
Unita |
incident_link_attribute_label |
additional.fields |
Unita |
incident_title_label |
additional.fields |
Unita |
privateKey_additional |
additional.fields |
Unita |
source_type_additional_data |
additional.fields |
Unita |
source_type_data_available |
additional.fields |
Mappato: true → source_type_additional_data |
sourcesData_name_label |
additional.fields |
Unita |
sourcesData_type_label |
additional.fields |
Unita |
sources_id_label |
additional.fields |
Unita |
sources_type_label |
additional.fields |
Unita |
tap_threat_additional_data |
additional.fields |
Unita |
tap_threat_data_available |
additional.fields |
Mappato: true → tap_threat_additional_data |
tenantId_additional |
additional.fields |
Unita |
url_list |
additional.fields |
Unita |
auth_details |
extensions.auth.auth_details |
Mappato direttamente |
proofpoint_trap_host |
intermediary.hostname |
Mappato direttamente |
proofpoint_trap_host |
intermediary.ip |
Unita |
url_label |
intermediary.labels |
Unita |
desc |
metadata.description |
Mappato direttamente |
createdAt |
metadata.event_timestamp |
Analizzato come ISO8601 |
created_at |
metadata.event_timestamp |
Analizzato come ISO8601 |
data.received |
metadata.event_timestamp |
Analizzato come ISO8601 |
event1.description.created_at |
metadata.event_timestamp |
Analizzato come ISO8601 |
event1.description.updated_at |
metadata.event_timestamp |
Analizzato come ISO8601 |
eventTime |
metadata.event_timestamp |
Analizzato come ISO8601 |
received |
metadata.event_timestamp |
Analizzato come ISO8601 |
ts |
metadata.event_timestamp |
Analizzato come MMM d HH:mm:ss |
updatedAt |
metadata.event_timestamp |
Analizzato come ISO8601 |
application |
metadata.event_type |
Mappato: CROND → PROCESS_UNCATEGORIZED, system-modules.authlookup → USER_LOGIN |
has_network_email |
metadata.event_type |
Mappato: true → EMAIL_TRANSACTION |
has_principal |
metadata.event_type |
Mappato: true → EMAIL_TRANSACTION |
event1.description.id |
metadata.product_log_id |
Mappato direttamente |
event_id |
metadata.product_log_id |
Mappato direttamente |
id |
metadata.product_log_id |
Mappato direttamente |
has_principal |
metadata.product_name |
Mappato: true → PROOFPOINT_TRAP |
source |
metadata.product_name |
Mappato direttamente |
has_principal |
metadata.vendor_name |
Mappato: true → PROOFPOINT |
attackDirection |
network.direction |
Mappato: inbound → INBOUND, outbound → OUTBOUND |
cc |
network.email.cc |
Mappato: ^.+@.+$ → cc |
emaildata.sender.email |
network.email.from |
Mappato direttamente |
event1.description.headers.From |
network.email.from |
Mappato direttamente |
fromadd |
network.email.from |
Mappato direttamente |
principal_user2 |
network.email.from |
Mappato direttamente |
send_email |
network.email.from |
Mappato direttamente |
sender_address |
network.email.from |
Mappato direttamente |
email_id |
network.email.mail_id |
Mappato direttamente |
event1.description.messageid |
network.email.mail_id |
Mappato direttamente |
messageID |
network.email.mail_id |
Mappato direttamente |
event1.description.headers.Reply-To |
network.email.reply_to |
Mappato direttamente |
reply |
network.email.reply_to |
Mappato direttamente |
email_subject |
network.email.subject |
Unita |
emaildata.subject |
network.email.subject |
Unita |
event1.description.subject |
network.email.subject |
Unita |
index |
network.email.subject |
Mappato: 0 → emaildata.subject |
subject |
network.email.subject |
Unita |
emaildata.recipient.email |
network.email.to |
Unita |
event1.description.headers.To |
network.email.to |
Unita |
index |
network.email.to |
Mappato: 0 → emaildata.recipient.email, 0 → to_email |
principal_user1 |
network.email.to |
Unita |
recipient_address |
network.email.to |
Mappato: ^.+@.+$ → recipient_address |
to |
network.email.to |
Mappato: ^.+@.+$ → to |
to_email |
network.email.to |
Unita |
http_method |
network.http.method |
Mappato direttamente |
http_url |
network.http.referral_url |
Mappato direttamente |
ses_id |
network.session_id |
Mappato direttamente |
application |
principal.application |
Mappato direttamente |
senderIP |
principal.asset.ip |
Unita |
sender_IP |
principal.asset.ip |
Unita |
msgparts.md5 |
principal.file.md5 |
Mappato direttamente |
msgparts.filename |
principal.file.names |
Unita |
msgparts.sha256 |
principal.file.sha1 |
Mappato direttamente |
hostname |
principal.hostname |
Mappato direttamente |
senderIP |
principal.ip |
Unita |
sender_IP |
principal.ip |
Unita |
src_ip |
principal.ip |
Unita |
file_name |
principal.process.file.full_path |
Mappato direttamente |
pid |
principal.process.pid |
Mappato direttamente |
attachment_label |
principal.resource.attribute.labels |
Unita |
title_label |
principal.resource.attribute.labels |
Unita |
ewsUrl |
principal.url |
Mappato direttamente |
principal_link |
principal.url |
Mappato direttamente |
sender_vap_label |
principal.user.attribute.labels |
Unita |
emaildata.sender.email |
principal.user.email_addresses |
Unita |
index |
principal.user.email_addresses |
Mappato: 0 → emaildata.sender.email |
principal_user1 |
principal.user.email_addresses |
Unita |
principal_user2 |
principal.user.email_addresses |
Unita |
sender |
principal.user.email_addresses |
Unita |
assignedUserName |
principal.user.user_display_name |
Mappato direttamente |
username |
principal.user.user_display_name |
Mappato direttamente |
assignedUserId |
principal.user.userid |
Mappato direttamente |
principal_user1 |
principal.user.userid |
Mappato direttamente |
principal_user2 |
principal.user.userid |
Mappato direttamente |
sender_email |
principal.user.userid |
Mappato direttamente |
src_user |
principal.user.userid |
Mappato direttamente |
user |
principal.user.userid |
Mappato direttamente |
index |
security_result |
Mappato: 0 → sec_res2 |
sec_res |
security_result |
Unita |
sec_res2 |
security_result |
Unita |
sec_result |
security_result |
Unita |
state |
security_result.alert_state |
Mappato: "OPEN", "IN_PROGRESS" → ALERTING, CLOSED → NOT_ALERTING |
QID_field |
security_result.detection_fields |
Unita |
alert_type_label |
security_result.detection_fields |
Unita |
body_label |
security_result.detection_fields |
Unita |
body_type_label |
security_result.detection_fields |
Unita |
cluster_label |
security_result.detection_fields |
Unita |
completelyRewritten_field |
security_result.detection_fields |
Unita |
disposition_label |
security_result.detection_fields |
Unita |
dkim1_label |
security_result.detection_fields |
Unita |
dkim2_label |
security_result.detection_fields |
Unita |
dkim3_label |
security_result.detection_fields |
Unita |
dmarc_label |
security_result.detection_fields |
Unita |
event_id_label |
security_result.detection_fields |
Unita |
header_d1_label |
security_result.detection_fields |
Unita |
header_d2_label |
security_result.detection_fields |
Unita |
header_d3_label |
security_result.detection_fields |
Unita |
header_from_label |
security_result.detection_fields |
Unita |
header_s1_label |
security_result.detection_fields |
Unita |
header_s2_label |
security_result.detection_fields |
Unita |
header_s3_label |
security_result.detection_fields |
Unita |
impostorScore_field |
security_result.detection_fields |
Unita |
index |
security_result.detection_fields |
Mappato: 0 → messageId_label |
key_data |
security_result.detection_fields |
Unita |
mailfrom_label |
security_result.detection_fields |
Unita |
malwareScore_field |
security_result.detection_fields |
Unita |
messageId_label |
security_result.detection_fields |
Unita |
messageSize_field |
security_result.detection_fields |
Unita |
phishScore_field |
security_result.detection_fields |
Unita |
quarantineFolder_label |
security_result.detection_fields |
Unita |
quarantineRule_label |
security_result.detection_fields |
Unita |
spamScore_field |
security_result.detection_fields |
Unita |
spf_label |
security_result.detection_fields |
Unita |
state_label |
security_result.detection_fields |
Unita |
severity |
security_result.severity |
Mappato: Info → INFORMATIONAL |
severity |
security_result.severity_details |
Mappato direttamente |
state |
security_result.summary |
Mappato direttamente |
cmd |
target.process.command_line |
Mappato direttamente |
pwd |
target.process.file.full_path |
Mappato direttamente |
recipient_vap_label |
target.user.attribute.labels |
Unita |
email |
target.user.email_addresses |
Unita |
emaildata.abuseReporterAddress |
target.user.email_addresses |
Unita |
index |
target.user.email_addresses |
Mappato: 0 → emaildata.abuseReporterAddress |
recipient_email |
target.user.email_addresses |
Unita |
dst_user |
target.user.userid |
Mappato direttamente |
| N/D | metadata.event_type |
Costante: EMAIL_TRANSACTION |
| N/D | metadata.product_name |
Costante: PROOFPOINT_TRAP |
| N/D | metadata.vendor_name |
Costante: PROOFPOINT |
| N/D | network.application_protocol |
Costante: HTTP |
| N/D | network.direction |
Costante: INBOUND |
| N/D | security_result.alert_state |
Costante: ALERTING |
| N/D | security_result.severity |
Costante: INFORMATIONAL |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.