Recoger registros de Barracuda Email Security Gateway

Disponible en:

En este documento se explica cómo recoger registros de Barracuda Email Security Gateway mediante Bindplane. El analizador extrae campos de los registros mediante patrones Grok y análisis JSON. A continuación, asigna los campos extraídos al esquema del modelo de datos unificado (UDM), clasifica la actividad del correo (por ejemplo, spam o phishing) y determina la acción de seguridad que se ha llevado a cabo (por ejemplo, permitir, bloquear o poner en cuarentena).

Antes de empezar

  • Asegúrate de que tienes una instancia de Google Security Operations.
  • Asegúrate de usar Windows 2016 o una versión posterior, o un host Linux con systemd.
  • Si se ejecuta a través de un proxy, asegúrate de que los puertos del cortafuegos estén abiertos.
  • Asegúrate de que tienes acceso con privilegios a Symantec DLP.

Obtener el archivo de autenticación de ingestión de Google SecOps

  1. Inicia sesión en la consola de Google SecOps.
  2. Ve a Configuración de SIEM > Agentes de recogida.
  3. Descarga el archivo de autenticación de ingestión. Guarda el archivo de forma segura en el sistema en el que se instalará Bindplane.

Obtener el ID de cliente de Google SecOps

  1. Inicia sesión en la consola de Google SecOps.
  2. Ve a Configuración de SIEM > Perfil.
  3. Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instalar el agente de Bindplane

Instalación de ventanas

  1. Abre el símbolo del sistema o PowerShell como administrador.

  2. Ejecuta el siguiente comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalación de Linux

  1. Abre un terminal con privilegios de superusuario o sudo.

  2. Ejecuta el siguiente comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalación adicionales

Configurar el agente de BindPlane para ingerir Syslog y enviarlo a Google SecOps

  1. Accede al archivo de configuración:

    1. Busca el archivo config.yaml. Normalmente, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
    2. Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

  2. Edita el archivo config.yaml de la siguiente manera:

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:54525"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: SYSLOG
            namespace: barracuda_email
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

  3. Sustituye el puerto y la dirección IP según sea necesario en tu infraestructura.

  4. Sustituye <customer_id> por el ID de cliente real.

  5. Actualiza /path/to/ingestion-authentication-file.json a la ruta en la que se guardó el archivo de autenticación en la sección Obtener el archivo de autenticación de ingestión de Google SecOps.

Reinicia el agente de Bindplane para aplicar los cambios

  • Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:

    sudo systemctl restart bindplane-agent

  • Para reiniciar el agente de Bindplane en Windows, puedes usar la consola Servicios o introducir el siguiente comando:

    net stop BindPlaneAgent && net start BindPlaneAgent

Configurar Barracuda Email Security Gateway

  1. Inicia sesión en la interfaz de Barracuda ESG.
  2. Selecciona Avanzado > Red avanzada > Configuración de Syslog.
  3. Proporcione los siguientes datos:
    • Para habilitar el registro de Syslog, marca la casilla Habilitar Syslog.
    • Servidor Syslog: introduce la Bindplane dirección IP.
    • Puerto: especifica el puerto Syslog (el valor predeterminado es 514, pero asegúrate de que coincida con la configuración de Google Security Operations).
    • En Syslog Facility (Instalación de syslog), elige Local0.
    • Nivel de gravedad: selecciona Error y advertencia para que los registros de seguridad de correo tengan una prioridad más alta.
  4. Haz clic en Guardar cambios para aplicar la configuración.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
account_id Sin asignar
archivos adjuntos Sin asignar
dst_domain target.hostname Valor del campo dst_domain
dst_domain target.asset.hostname Valor del campo dst_domain
env_from Sin asignar
geoip target.location.country_or_region Valor del campo geoip
hdr_from network.email.from Valor del campo hdr_from si es una dirección de correo electrónico.
hdr_to network.email.to Valor del campo hdr_to si es una dirección de correo electrónico. De lo contrario, se analiza a partir de la matriz JSON del campo hdr_to.
host principal.hostname Valor del campo de host.
host principal.asset.hostname Valor del campo de host.
message_id network.email.mail_id Valor del campo message_id
product_log_id metadata.product_log_id Valor del campo product_log_id
queue_id security_result.detection_fields.value Valor del campo queue_id
recipient_email network.email.to Valor del campo recipient_email si no está vacío o -
destinatarios Sin asignar
recipients.action security_result.action Se asigna a ALLOW si el valor es allowed; de lo contrario, se asigna a BLOCK.
recipients.action security_result.action_details Valor del campo recipients.action
recipients.delivery_detail security_result.detection_fields.value Valor del campo recipients.delivery_detail
recipients.delivered security_result.detection_fields.value Valor del campo recipients.delivered
recipients.email network.email.to Valor del campo recipients.email si es una dirección de correo
recipients.reason security_result.detection_fields.value Valor del campo recipients.reason
recipients.reason_extra security_result.detection_fields.value Valor del campo recipients.reason_extra
recipients.taxonomy security_result.detection_fields.value Valor del campo recipients.taxonomy
servicio security_result.summary Valor del campo de servicio
size network.received_bytes Valor del campo de tamaño convertido en un entero sin signo.
src_ip principal.ip Valor del campo src_ip si no está vacío o 0.0.0.0
src_ip principal.asset.ip Valor del campo src_ip si no está vacío o 0.0.0.0
src_ip security_result.about.ip Valor del campo src_ip si no está vacío o 0.0.0.0
subject network.email.subject Valor del campo de asunto
target_ip target.ip Valor del campo target_ip
target_ip target.asset.ip Valor del campo target_ip
timestamp metadata.event_timestamp Marca de tiempo analizada de la entrada de registro
metadata.event_type Codificado de forma rígida en EMAIL_TRANSACTION
metadata.log_type Codificado de forma rígida en BARRACUDA_EMAIL
metadata.vendor_name Codificado de forma rígida en Barracuda
network.application_protocol Se define como SMTP si el campo de proceso contiene smtp
network.direction Asigna el valor INBOUND si el campo de proceso contiene inbound y el valor OUTBOUND si contiene outbound.
security_result.action Se define en función de una combinación de los campos action, action_code, service y delivered.
security_result.category Se define en función de una combinación de campos de acción, motivo y otros campos.
security_result.confidence Codificado de forma rígida en UNKNOWN_CONFIDENCE
security_result.priority Codificado de forma rígida en UNKNOWN_PRIORITY
security_result.severity Codificado como UNKNOWN_SEVERITY si la categoría es UNKNOWN_CATEGORY

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.