Recopila registros de la puerta de enlace de seguridad de correo electrónico de Barracuda

Compatible con:

En este documento, se explica cómo recopilar registros de Barracuda Email Security Gateway con Bindplane. El analizador extrae campos de los registros con patrones de Grok y análisis de JSON. Luego, asigna los campos extraídos al esquema del Modelo de datos unificado (UDM), categoriza la actividad del correo electrónico (por ejemplo, spam o phishing) y determina la acción de seguridad que se tomó (por ejemplo, permitir, bloquear o poner en cuarentena).

Antes de comenzar

  • Asegúrate de tener una instancia de Google Security Operations.
  • Asegúrate de usar Windows 2016 o una versión posterior, o un host de Linux con systemd.
  • Si ejecutas la herramienta detrás de un proxy, asegúrate de que los puertos del firewall estén abiertos.
  • Asegúrate de tener acceso con privilegios a la DLP de Symantec.

Obtén el archivo de autenticación de transferencia de Google SecOps

  1. Accede a la consola de Google SecOps.
  2. Ve a SIEM Settings > Collection Agents.
  3. Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará BindPlane.

Obtén el ID de cliente de Google SecOps

  1. Accede a la consola de Google SecOps.
  2. Ve a SIEM Settings > Profile.
  3. Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de BindPlane

Instalación en Windows

  1. Abre el símbolo del sistema o PowerShell como administrador.

  2. Ejecuta el siguiente comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalación en Linux

  1. Abre una terminal con privilegios de raíz o sudo.

  2. Ejecuta el siguiente comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalación adicionales

Configura el agente de BindPlane para transferir Syslog y enviarlo a Google SecOps

  1. Accede al archivo de configuración:

    1. Ubica el archivo config.yaml. Por lo general, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
    2. Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

  2. Edita el archivo config.yaml de la siguiente manera:

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:54525"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: SYSLOG
            namespace: barracuda_email
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

  3. Reemplaza el puerto y la dirección IP según sea necesario en tu infraestructura.

  4. Reemplaza <customer_id> por el ID de cliente real.

  5. Actualiza /path/to/ingestion-authentication-file.json a la ruta de acceso en la que se guardó el archivo de autenticación en la sección Cómo obtener el archivo de autenticación de la transferencia de datos de Google SecOps.

Reinicia el agente de Bindplane para aplicar los cambios

  • Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:

    sudo systemctl restart bindplane-agent

  • Para reiniciar el agente de Bindplane en Windows, puedes usar la consola de Servicios o ingresar el siguiente comando:

    net stop BindPlaneAgent && net start BindPlaneAgent

Configura la puerta de enlace de seguridad de correo electrónico de Barracuda

  1. Accede a la interfaz de Barracuda ESG.
  2. Selecciona Avanzado > Redes avanzadas > Configuración de Syslog.
  3. Proporciona los siguientes detalles:
    • Habilita el registro de Syslog marcando la casilla de verificación Habilitar Syslog.
    • Servidor Syslog: Ingresa la dirección IP de Bindplane.
    • Puerto: Especifica el puerto de Syslog (el valor predeterminado es 514, pero asegúrate de que coincida con la configuración de Google Security Operations).
    • En Syslog Facility, elige Local0.
    • Nivel de gravedad: Selecciona Error y advertencia para los registros de seguridad de correo electrónico de mayor prioridad.
  4. Haz clic en Guardar cambios para aplicar la configuración.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
account_id Sin asignar
archivos adjuntos Sin asignar
dst_domain target.hostname Valor del campo dst_domain
dst_domain target.asset.hostname Valor del campo dst_domain
env_from Sin asignar
geoip target.location.country_or_region Valor del campo geoip
hdr_from network.email.from Valor del campo hdr_from si es una dirección de correo electrónico
hdr_to network.email.to Valor del campo hdr_to si es una dirección de correo electrónico; de lo contrario, se analiza a partir del array JSON en el campo hdr_to
host principal.hostname Valor del campo de host
host principal.asset.hostname Valor del campo de host
message_id network.email.mail_id Valor del campo message_id
product_log_id metadata.product_log_id Valor del campo product_log_id
queue_id security_result.detection_fields.value Valor del campo queue_id
recipient_email network.email.to Valor del campo recipient_email si no está vacío o -
destinatarios Sin asignar
recipients.action security_result.action Se asigna a ALLOW si el valor es allowed; de lo contrario, se asigna a BLOCK.
recipients.action security_result.action_details Valor del campo recipients.action
recipients.delivery_detail security_result.detection_fields.value Valor del campo delivery_detail de los destinatarios
recipients.delivered security_result.detection_fields.value Valor del campo recipients.delivered
recipients.email network.email.to Valor del campo recipients.email si es una dirección de correo electrónico
recipients.reason security_result.detection_fields.value Valor del campo recipients.reason
recipients.reason_extra security_result.detection_fields.value Valor del campo recipients.reason_extra
recipients.taxonomy security_result.detection_fields.value Valor del campo recipients.taxonomy
servicio security_result.summary Valor del campo de servicio
tamaño network.received_bytes Valor del campo de tamaño convertido en un número entero sin signo
src_ip principal.ip Valor del campo src_ip si no está vacío o 0.0.0.0
src_ip principal.asset.ip Valor del campo src_ip si no está vacío o 0.0.0.0
src_ip security_result.about.ip Valor del campo src_ip si no está vacío o 0.0.0.0
asunto network.email.subject Valor del campo de asunto
target_ip target.ip Valor del campo target_ip
target_ip target.asset.ip Valor del campo target_ip
timestamp metadata.event_timestamp Marca de tiempo analizada de la entrada de registro
metadata.event_type Codificado como EMAIL_TRANSACTION
metadata.log_type Codificado como BARRACUDA_EMAIL
metadata.vendor_name Codificado como Barracuda
network.application_protocol Se establece en SMTP si el campo de proceso contiene smtp.
network.direction Se establece en INBOUND si el campo de proceso contiene inbound y en OUTBOUND si el campo de proceso contiene outbound.
security_result.action Se establece en función de una combinación de los campos action, action_code, service y delivered.
security_result.category Se establece en función de una combinación de acción, motivo y otros campos.
security_result.confidence Codificado como UNKNOWN_CONFIDENCE
security_result.priority Codificado como UNKNOWN_PRIORITY
security_result.severity Se codifica como UNKNOWN_SEVERITY si la categoría es UNKNOWN_CATEGORY.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.