Recopila registros de la puerta de enlace de seguridad de correo electrónico de Barracuda

Compatible con:

En este documento, se explica cómo recopilar registros de Barracuda Email Security Gateway con Bindplane. El analizador extrae campos de los registros con patrones de Grok y análisis de JSON. Luego, asigna los campos extraídos al esquema del modelo de datos unificado (UDM), clasifica la actividad de correo electrónico (por ejemplo, spam o phishing) y determina la acción de seguridad que se tomó (por ejemplo, permitir, bloquear o poner en cuarentena).

Antes de comenzar

  • Asegúrate de tener una instancia de Google Security Operations.
  • Asegúrate de usar Windows 2016 o una versión posterior, o un host de Linux con systemd.
  • Si se ejecuta detrás de un proxy, asegúrate de que los puertos del firewall estén abiertos.
  • Asegúrate de tener acceso con privilegios a la DLP de Symantec.

Obtén el archivo de autenticación de transferencia de Google SecOps

  1. Accede a la consola de Google SecOps.
  2. Ve a Configuración de SIEM > Agentes de recopilación.
  3. Descarga el archivo de autenticación de transferencia. Guarda el archivo de forma segura en el sistema en el que se instalará Bindplane.

Obtén el ID de cliente de Google SecOps

  1. Accede a la consola de Google SecOps.
  2. Ve a Configuración de SIEM > Perfil.
  3. Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de Bindplane

Instalación de Windows

  1. Abre el símbolo del sistema o PowerShell como administrador.

  2. Ejecuta el siguiente comando:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalación de Linux

  1. Abre una terminal con privilegios de raíz o sudo.

  2. Ejecuta el siguiente comando:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Recursos de instalación adicionales

Configura el agente de Bindplane para transferir Syslog y enviarlo a Google SecOps

  1. Accede al archivo de configuración:

    1. Ubica el archivo config.yaml. Por lo general, se encuentra en el directorio /etc/bindplane-agent/ en Linux o en el directorio de instalación en Windows.
    2. Abre el archivo con un editor de texto (por ejemplo, nano, vi o Bloc de notas).

  2. Edita el archivo config.yaml de la siguiente manera:

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:54525"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: SYSLOG
            namespace: barracuda_email
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

  3. Reemplaza el puerto y la dirección IP según sea necesario en tu infraestructura.

  4. Reemplaza <customer_id> por el ID de cliente real.

  5. Actualiza /path/to/ingestion-authentication-file.json a la ruta de acceso en la que se guardó el archivo de autenticación en la sección Obtén el archivo de autenticación de transferencia de Google SecOps.

Reinicia el agente de Bindplane para aplicar los cambios.

  • Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:

    sudo systemctl restart bindplane-agent

  • Para reiniciar el agente de Bindplane en Windows, puedes usar la consola Services o ingresar el siguiente comando:

    net stop BindPlaneAgent && net start BindPlaneAgent

Configura la puerta de enlace de seguridad de correo electrónico de Barracuda

  1. Accede a la interfaz de Barracuda ESG.
  2. Selecciona Configuración avanzada > Herramientas de redes avanzadas > Configuración de Syslog.
  3. Proporciona los siguientes detalles:
    • Para habilitar el registro de Syslog, marca la casilla de verificación Habilitar Syslog.
    • Servidor de Syslog: Ingresa la dirección IP de Bindplane.
    • Puerto: Especifica el puerto Syslog (el valor predeterminado es 514, pero asegúrate de que coincida con la configuración de Google Security Operations).
    • En Syslog Facility, elige Local0.
    • Nivel de gravedad: Selecciona Error y advertencia para los registros de seguridad de correo electrónico de mayor prioridad.
  4. Haz clic en Guardar cambios para aplicar la configuración.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
account_id Sin asignación
archivos adjuntos Sin asignación
dst_domain target.hostname Valor del campo dst_domain
dst_domain target.asset.hostname Valor del campo dst_domain
env_from Sin asignación
geoip target.location.country_or_region Valor del campo de geoip
hdr_from network.email.from Es el valor del campo hdr_from si es una dirección de correo electrónico.
hdr_to network.email.to Es el valor del campo hdr_to si es una dirección de correo electrónico; de lo contrario, se analiza desde el array JSON en el campo hdr_to.
host principal.hostname Valor del campo de host
host principal.asset.hostname Valor del campo de host
message_id network.email.mail_id Valor del campo message_id
product_log_id metadata.product_log_id Valor del campo product_log_id
queue_id security_result.detection_fields.value Valor del campo queue_id
recipient_email network.email.to Es el valor del campo recipient_email si no está vacío o es -.
destinatarios Sin asignación
recipients.action security_result.action Se asigna a PERMITIR si el valor es allowed; de lo contrario, se asigna a BLOQUEAR.
recipients.action security_result.action_details Valor del campo recipients.action
recipients.delivery_detail security_result.detection_fields.value Valor del campo recipients.delivery_detail
recipients.delivered security_result.detection_fields.value Valor del campo recipients.delivered
recipients.email network.email.to Es el valor del campo recipients.email si es una dirección de correo electrónico.
recipients.reason security_result.detection_fields.value Valor del campo recipients.reason
recipients.reason_extra security_result.detection_fields.value Valor del campo recipients.reason_extra
recipients.taxonomy security_result.detection_fields.value Valor del campo recipients.taxonomy
servicio security_result.summary Valor del campo de servicio
tamaño network.received_bytes Valor del campo de tamaño convertido a un número entero sin firmar
src_ip principal.ip Es el valor del campo src_ip si no está vacío o es 0.0.0.0.
src_ip principal.asset.ip Es el valor del campo src_ip si no está vacío o es 0.0.0.0.
src_ip security_result.about.ip Es el valor del campo src_ip si no está vacío o es 0.0.0.0.
asunto network.email.subject Valor del campo de asunto
target_ip target.ip Valor del campo target_ip
target_ip target.asset.ip Valor del campo target_ip
timestamp metadata.event_timestamp Marca de tiempo analizada de la entrada de registro
metadata.event_type Está codificado en EMAIL_TRANSACTION
metadata.log_type Está codificado en BARRACUDA_EMAIL
metadata.vendor_name Está codificado en Barracuda
network.application_protocol Se establece en SMTP si el campo de proceso contiene smtp.
network.direction Se establece en INBOUND si el campo de proceso contiene inbound y en OUTBOUND si contiene outbound.
security_result.action Se establece en función de una combinación de los campos action, action_code, service y delivered
security_result.category Se establece en función de una combinación de acción, motivo y otros campos.
security_result.confidence Está codificado en UNKNOWN_CONFIDENCE
security_result.priority Está codificado en UNKNOWN_PRIORITY
security_result.severity Está codificado en UNKNOWN_SEVERITY si la categoría es UNKNOWN_CATEGORY.

Cambios

2024-05-28

Mejora:

  • Se asignó attachments a additional.fields.

2024-01-08

Mejora:

  • Se asignó recipients.action a security_result.action_details.
  • Se asignó recipients.email a network.email.to.
  • Se asignaron recipients.delivery_detail, recipients.reason, recipients.taxonomy, recipients.reason_extra y recipient.delivered a security_result.detection_fields.
  • Se asignó dst_domain a target.hostname.
  • Se asignó geoip a target.location.country_or_region.

2023-01-19

Corrección de errores:

  • Se modificó el patrón de Grok para extraer subject y se asignó a network.subject.

2022-12-16

Mejora:

  • Se agregó el patrón grok para los registros nuevos.
  • Se asignó host a principal.hostname.
  • Se asignó product_log_id a metadata.product_log_id.
  • Se asignó network.application_protoco a SMTP, donde el proceso incluye smtp.
  • Se asignó sender_email a network.email.from.
  • Se asignó recipient_email a network.email.to.
  • Se asignó network.direction a INBOUND, donde el proceso incluye inbound.
  • Se asignó network.direction a OUTBOUND, donde el proceso incluye outbound.
  • Se asignó target_ip a target.ip.
  • Se asignó queue_id a security_result.detection_fields.
  • Se asignó security_result.action a ALLOW, en el que action_code es 0 o 7 y service es RECV o SCAN.
  • Se asignó security_result.action a BLOCK, donde action_code es 2 y service es RECV o SCAN.
  • Se asignó security_result.action a QUARANTINE, donde action_code es 3 y service es RECV o SCAN.

2022-05-19

Mejora:

  • Se modificó la extracción de datos para el correo electrónico y hdr_from para mejorar el análisis.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.