Barracuda Email Security Gateway-Protokolle erfassen

In diesem Dokument wird beschrieben, wie Sie Barracuda Email Security Gateway-Logs mit Bindplane erfassen. Der Parser extrahiert Felder aus den Protokollen mithilfe von Grok-Mustern und JSON-Parsing. Anschließend werden die extrahierten Felder dem UDM-Schema (Unified Data Model) zugeordnet, die E-Mail-Aktivitäten kategorisiert (z. B. Spam oder Phishing) und die ergriffene Sicherheitsmaßnahme bestimmt (z. B. Zulassen, Blockieren oder unter Quarantäne stellen).

Hinweise

• Sie benötigen eine Google Security Operations-Instanz.
• Sie müssen Windows 2016 oder höher oder einen Linux-Host mit systemd verwenden.
• Wenn die Ausführung hinter einem Proxy erfolgt, müssen die Firewallports geöffnet sein.
• Sie benötigen Berechtigungen für den Zugriff auf die Symantec-DLP-Lösung.

Authentifizierungsdatei für die Datenaufnahme in Google SecOps abrufen

1. Melden Sie sich in der Google SecOps Console an.
2. Gehen Sie zu SIEM-Einstellungen > Erfassungsagenten.
3. Lade die Datei zur Authentifizierung der Datenaufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Google SecOps-Kundennummer abrufen

1. Melden Sie sich in der Google SecOps Console an.
2. Gehen Sie zu SIEM-Einstellungen > Profil.
3. Kopieren und speichern Sie die Kundennummer aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Windows-Installation

1. Öffnen Sie die Eingabeaufforderung oder die PowerShell als Administrator.

2. Führen Sie dazu diesen Befehl aus:

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Linux-Installation

1. Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

2. Führen Sie dazu diesen Befehl aus:

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Weitere Installationsressourcen

• Weitere Installationsoptionen finden Sie in diesem Installationsleitfaden.

Bindplane-Agent so konfigurieren, dass er Syslog-Daten aufnimmt und an Google SecOps sendet

1. Rufen Sie die Konfigurationsdatei auf:

   1. Suchen Sie die Datei config.yaml. Normalerweise befindet es sich unter Linux im Verzeichnis /etc/bindplane-agent/ oder unter Windows im Installationsverzeichnis.
   2. Öffnen Sie die Datei mit einem Texteditor, z. B. nano, vi oder Notepad.

2. Bearbeiten Sie die Datei config.yamlso:

   receivers:
       udplog:
           # Replace the port and IP address as required
           listen_address: "0.0.0.0:54525"
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the path to the credentials file you downloaded in Step 1
           creds: '/path/to/ingestion-authentication-file.json'
           # Replace with your actual customer ID from Step 2
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # Add optional ingestion labels for better organization
           ingestion_labels:
               log_type: SYSLOG
               namespace: barracuda_email
               raw_log_field: body
   
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                   - udplog
               exporters:
                   - chronicle/chronicle_w_labels
   

3. Ersetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.

4. Ersetzen Sie <customer_id> durch die tatsächliche Kundennummer.

5. Aktualisieren Sie /path/to/ingestion-authentication-file.json im Abschnitt Authentifizierungsdatei für die Datenaufnahme von Google SecOps abrufen auf den Pfad, unter dem die Authentifizierungsdatei gespeichert wurde.

Starten Sie den Bindplane-Agent neu, um die Änderungen anzuwenden

• Führen Sie den folgenden Befehl aus, um den Bindplane-Agenten unter Linux neu zu starten:

  sudo systemctl restart bindplane-agent
  

• Sie können den Bindplane-Agenten unter Windows entweder über die Dienste-Konsole oder mit dem folgenden Befehl neu starten:

  net stop BindPlaneAgent && net start BindPlaneAgent
  

Barracuda Email Security Gateway konfigurieren

1. Melden Sie sich in der Barracuda ESG-Benutzeroberfläche an.
2. Wählen Sie Erweitert > Erweitertes Netzwerk > Syslog-Konfiguration aus.
3. Geben Sie die folgenden Informationen ein:
   • Aktivieren Sie die Syslog-Protokollierung, indem Sie das Kästchen Syslog aktivieren anklicken.
   • Syslog-Server: Geben Sie die IP-Adresse von Bindplane ein.
   • Port: Geben Sie den Syslog-Port an. Standardmäßig ist dies 514. Achten Sie darauf, dass dieser mit der Konfiguration in Google Security Operations übereinstimmt.
   • Wählen Sie unter Syslog Facility die Option Local0 aus.
   • Schweregrad: Wählen Sie Fehler und Warnung für E-Mail-Sicherheitsprotokolle mit höherer Priorität aus.
4. Klicken Sie auf Änderungen speichern, um die Konfiguration anzuwenden.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
Die Konto-ID von Tinfoil Security		Nicht zugeordnet
Anhänge		Nicht zugeordnet
dst_domain	target.hostname	Wert des Felds „dst_domain“
dst_domain	target.asset.hostname	Wert des Felds „dst_domain“
env_from		Nicht zugeordnet
geoip	target.location.country_or_region	Wert des GeoIP-Felds
hdr_from	network.email.from	Wert des Felds „hdr_from“, falls es sich um eine E-Mail-Adresse handelt
hdr_to	network.email.to	Wert des Felds „hdr_to“, wenn es sich um eine E-Mail-Adresse handelt, andernfalls aus dem JSON-Array im Feld „hdr_to“ geparst
Host	principal.hostname	Wert des Hostfelds
Host	principal.asset.hostname	Wert des Hostfelds
message_id	network.email.mail_id	Wert des Felds „message_id“
product_log_id	metadata.product_log_id	Wert des Felds „product_log_id“
queue_id	security_result.detection_fields.value	Wert des Felds „queue_id“
recipient_email	network.email.to	Wert des Felds „recipient_email“, sofern es nicht leer ist oder - enthält
Empfänger		Nicht zugeordnet
recipients.action	security_result.action	Wird „ZULASSEN“ zugeordnet, wenn der Wert allowed ist, andernfalls „BLOCKIEREN“
recipients.action	security_result.action_details	Wert des Felds „recipients.action“
recipients.delivery_detail	security_result.detection_fields.value	Wert des Felds „recipients.delivery_detail“
recipients.delivered	security_result.detection_fields.value	Wert des Felds „recipients.delivered“
recipients.email	network.email.to	Wert des Felds „recipients.email“, sofern es sich um eine E-Mail-Adresse handelt
recipients.reason	security_result.detection_fields.value	Wert des Felds „recipients.reason“
recipients.reason_extra	security_result.detection_fields.value	Wert des Felds „recipients.reason_extra“
recipients.taxonomy	security_result.detection_fields.value	Wert des Felds „recipients.taxonomy“
Dienst	security_result.summary	Wert des Servicefelds
Größe	network.received_bytes	Wert des Felds „Größe“ in eine vorzeichenlose Ganzzahl konvertiert
src_ip	principal.ip	Wert des Felds „src_ip“, sofern es nicht leer ist oder den Wert 0.0.0.0 hat
src_ip	principal.asset.ip	Wert des Felds „src_ip“, sofern es nicht leer ist oder den Wert 0.0.0.0 hat
src_ip	security_result.about.ip	Wert des Felds „src_ip“, sofern es nicht leer ist oder den Wert 0.0.0.0 hat
subject	network.email.subject	Wert des Betrefffelds
target_ip	target.ip	Wert des Felds „target_ip“
target_ip	target.asset.ip	Wert des Felds „target_ip“
timestamp	metadata.event_timestamp	Geparsierter Zeitstempel aus dem Logeintrag
	metadata.event_type	Hartcodiert auf EMAIL_TRANSACTION
	metadata.log_type	Hartcodiert auf BARRACUDA_EMAIL
	metadata.vendor_name	Hartcodiert auf Barracuda
	network.application_protocol	Wird auf SMTP gesetzt, wenn das Prozessfeld smtp enthält
	network.direction	Wird auf INBOUND gesetzt, wenn das Prozessfeld inbound enthält, und auf OUTBOUND, wenn das Prozessfeld outbound enthält.
	security_result.action	Wird anhand einer Kombination der Felder „action“, „action_code“, „service“ und „delivered“ festgelegt.
	security_result.category	Basierend auf einer Kombination aus Aktion, Grund und anderen Feldern festgelegt
	security_result.confidence	Hartcodiert auf UNKNOWN_CONFIDENCE
	security_result.priority	Hartcodiert auf UNKNOWN_PRIORITY
	security_result.severity	Hartcodiert auf UNKNOWN_SEVERITY, wenn die Kategorie UNKNOWN_CATEGORY ist

Änderungen

2024-05-28

Optimierung:

• attachments wurde additional.fields zugeordnet.

2024-01-08

Optimierung:

• recipients.action wurde security_result.action_details zugeordnet.
• recipients.email wurde network.email.to zugeordnet.
• recipients.delivery_detail, recipients.reason, recipients.taxonomy, recipients.reason_extra und recipient.delivered wurden security_result.detection_fields zugeordnet.
• dst_domain wurde target.hostname zugeordnet.
• geoip wurde target.location.country_or_region zugeordnet.

2023-01-19

Fehlerkorrektur:

• Das Grok-Muster wurde geändert, um subject zu extrahieren und network.subject zuzuordnen.

2022-12-16

Optimierung:

• Grok-Muster für neue Protokolle hinzugefügt.
• host wurde principal.hostname zugeordnet.
• product_log_id wurde metadata.product_log_id zugeordnet.
• network.application_protoco wurde SMTP zugeordnet, wobei der Prozess smtp enthält.
• sender_email wurde network.email.from zugeordnet.
• recipient_email wurde network.email.to zugeordnet.
• network.direction wurde INBOUND zugeordnet, wobei der Prozess inbound enthält.
• network.direction wurde OUTBOUND zugeordnet, wobei der Prozess outbound enthält.
• target_ip wurde target.ip zugeordnet.
• queue_id wurde security_result.detection_fields zugeordnet.
• security_result.action wurde ALLOW zugeordnet, wobei action_code 0 oder 7 und service RECV oder SCAN ist.
• security_result.action wurde BLOCK zugeordnet, wobei action_code 2 und service RECV oder SCAN ist.
• security_result.action wurde QUARANTINE zugeordnet, wobei action_code 3 und service RECV oder SCAN ist.

2022-05-19

Optimierung:

• Die Datenextraktion für „email“ und „hdr_from“ wurde geändert, um das Parsen zu verbessern.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten