Collecter les journaux de Barracuda Email Security Gateway

Ce document explique comment collecter les journaux du Barracuda Email Security Gateway à l'aide de Bindplane. L'analyseur extrait des champs des journaux à l'aide de modèles Grok et d'une analyse JSON. Il mappe ensuite les champs extraits sur le schéma UDM (Unified Data Model), catégorise l'activité des e-mails (spam ou hameçonnage, par exemple) et détermine l'action de sécurité à prendre (autorisation, blocage ou mise en quarantaine, par exemple).

Avant de commencer

• Assurez-vous de disposer d'une instance Google Security Operations.
• Assurez-vous d'utiliser Windows 2016 ou une version ultérieure, ou un hôte Linux avec systemd.
• Si vous exécutez l'application derrière un proxy, assurez-vous que les ports du pare-feu sont ouverts.
• Assurez-vous de disposer d'un accès privilégié à la solution de DLP Symantec.

Obtenir le fichier d'authentification d'ingestion Google SecOps

1. Connectez-vous à la console Google SecOps.
2. Accédez à Paramètres du SIEM > Agents de collecte.
3. Téléchargez le fichier d'authentification d'ingestion. Enregistrez le fichier de manière sécurisée sur le système sur lequel Bindplane sera installé.

Obtenir le numéro client Google SecOps

1. Connectez-vous à la console Google SecOps.
2. Accédez à Paramètres du SIEM > Profil.
3. Copiez et sauvegardez le numéro client dans la section Détails de l'organisation.

Installer l'agent Bindplane

Installation de Windows

1. Ouvrez l'invite de commande ou PowerShell en tant qu'administrateur.

2. Exécutez la commande suivante :

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Installation de Linux

1. Ouvrez un terminal avec des droits root ou sudo.

2. Exécutez la commande suivante :

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Autres ressources d'installation

• Pour plus d'options d'installation, consultez ce guide d'installation.

Configurer l'agent Bindplane pour qu'il ingère les journaux Syslog et les envoie à Google SecOps

1. Accédez au fichier de configuration:

   1. Recherchez le fichier config.yaml. En règle générale, il se trouve dans le répertoire /etc/bindplane-agent/ sous Linux ou dans le répertoire d'installation sous Windows.
   2. Ouvrez le fichier à l'aide d'un éditeur de texte (nano, vi ou Bloc-notes, par exemple).

2. Modifiez le fichier config.yaml comme suit :

   receivers:
       udplog:
           # Replace the port and IP address as required
           listen_address: "0.0.0.0:54525"
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the path to the credentials file you downloaded in Step 1
           creds: '/path/to/ingestion-authentication-file.json'
           # Replace with your actual customer ID from Step 2
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # Add optional ingestion labels for better organization
           ingestion_labels:
               log_type: SYSLOG
               namespace: barracuda_email
               raw_log_field: body
   
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                   - udplog
               exporters:
                   - chronicle/chronicle_w_labels
   

3. Remplacez le port et l'adresse IP dans votre infrastructure si nécessaire.

4. Remplacez <customer_id> par le numéro client réel.

5. Remplacez /path/to/ingestion-authentication-file.json par le chemin d'accès où le fichier d'authentification a été enregistré dans la section Obtenir le fichier d'authentification d'ingestion Google SecOps.

Redémarrez l'agent Bindplane pour appliquer les modifications

• Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante:

  sudo systemctl restart bindplane-agent
  

• Pour redémarrer l'agent Bindplane sous Windows, vous pouvez utiliser la console Services ou saisir la commande suivante:

  net stop BindPlaneAgent && net start BindPlaneAgent
  

Configurer Barracuda Email Security Gateway

1. Connectez-vous à l'interface Barracuda ESG.
2. Sélectionnez Advanced > Advanced networking > Syslog Configuration (Paramètres avancés > Mise en réseau avancée > Configuration Syslog).
3. Spécifiez les informations suivantes :
   • Activez la journalisation Syslog en cochant la case Enable Syslog (Activer Syslog).
   • Serveur Syslog: saisissez l'adresse IP de Bindplane.
   • Port: spécifiez le port Syslog (514 par défaut, mais assurez-vous qu'il correspond à la configuration dans Google Security Operations).
   • Dans Syslog Facility (Syslog Facility), sélectionnez Local0.
   • Niveau de gravité: sélectionnez Erreur et avertissement pour les journaux de sécurité des e-mails de priorité plus élevée.
4. Cliquez sur Enregistrer les modifications pour appliquer la configuration.

Tableau de mappage UDM

Champ du journal	Mappage UDM	Logique
Identifiant du compte		Non mappé
pièces jointes		Non mappé
dst_domain	target.hostname	Valeur du champ dst_domain
dst_domain	target.asset.hostname	Valeur du champ dst_domain
env_from		Non mappé
geoip	target.location.country_or_region	Valeur du champ geoip
hdr_from	network.email.from	Valeur du champ hdr_from s'il s'agit d'une adresse e-mail
hdr_to	network.email.to	Valeur du champ hdr_to s'il s'agit d'une adresse e-mail, sinon extrait du tableau JSON dans le champ hdr_to
hôte	principal.hostname	Valeur du champ "host"
hôte	principal.asset.hostname	Valeur du champ "host"
message_id	network.email.mail_id	Valeur du champ "message_id"
product_log_id	metadata.product_log_id	Valeur du champ product_log_id
queue_id	security_result.detection_fields.value	Valeur du champ "queue_id"
recipient_email	network.email.to	Valeur du champ recipient_email s'il n'est pas vide ou -
destinataires		Non mappé
recipients.action	security_result.action	Mappé sur ALLOW si la valeur est allowed, sinon sur BLOCK
recipients.action	security_result.action_details	Valeur du champ recipients.action
recipients.delivery_detail	security_result.detection_fields.value	Valeur du champ recipients.delivery_detail
recipients.delivered	security_result.detection_fields.value	Valeur du champ recipients.delivered
recipients.email	network.email.to	Valeur du champ recipients.email s'il s'agit d'une adresse e-mail
recipients.reason	security_result.detection_fields.value	Valeur du champ recipients.reason
recipients.reason_extra	security_result.detection_fields.value	Valeur du champ recipients.reason_extra
recipients.taxonomy	security_result.detection_fields.value	Valeur du champ recipients.taxonomy
service	security_result.summary	Valeur du champ "service"
taille	network.received_bytes	Valeur du champ "taille" convertie en entier sans signature
src_ip	principal.ip	Valeur du champ src_ip s'il n'est pas vide ou 0.0.0.0
src_ip	principal.asset.ip	Valeur du champ src_ip s'il n'est pas vide ou 0.0.0.0
src_ip	security_result.about.ip	Valeur du champ src_ip s'il n'est pas vide ou 0.0.0.0
subject	network.email.subject	Valeur du champ "Objet"
target_ip	target.ip	Valeur du champ "target_ip"
target_ip	target.asset.ip	Valeur du champ "target_ip"
timestamp	metadata.event_timestamp	Horodatage analysé à partir de l'entrée de journal
	metadata.event_type	Codé en dur sur EMAIL_TRANSACTION
	metadata.log_type	Codé en dur sur BARRACUDA_EMAIL
	metadata.vendor_name	Codé en dur sur Barracuda
	network.application_protocol	Définissez sur SMTP si le champ de processus contient smtp.
	network.direction	Définissez la valeur sur INBOUND si le champ de processus contient inbound, et sur OUTBOUND si le champ de processus contient outbound.
	security_result.action	Défini en fonction d'une combinaison des champs action, action_code, service et delivered
	security_result.category	Définir en fonction d'une combinaison d'action, de motif et d'autres champs
	security_result.confidence	Codé en dur sur UNKNOWN_CONFIDENCE
	security_result.priority	Codé en dur sur UNKNOWN_PRIORITY
	security_result.severity	Codé en dur sur UNKNOWN_SEVERITY si la catégorie est UNKNOWN_CATEGORY

Modifications

2024-05-28

Amélioration :

• Mappage de attachments sur additional.fields.

2024-01-08

Amélioration :

• Mappage de recipients.action sur security_result.action_details.
• Mappage de recipients.email sur network.email.to.
• recipients.delivery_detail, recipients.reason, recipients.taxonomy, recipients.reason_extra et recipient.delivered ont été mappés sur security_result.detection_fields.
• Mappage de dst_domain sur target.hostname.
• Mappage de geoip sur target.location.country_or_region.

2023-01-19

Correction de bug:

• Modèle grok modifié pour extraire subject et mappé sur network.subject.

2022-12-16

Amélioration :

• Ajout d'un format grok pour les nouveaux journaux.
• Mappage de host sur principal.hostname.
• Mappage de product_log_id sur metadata.product_log_id.
• network.application_protoco mappé sur SMTP, où le processus inclut smtp.
• Mappage de sender_email sur network.email.from.
• Mappage de recipient_email sur network.email.to.
• network.direction mappé sur INBOUND, où le processus inclut inbound.
• network.direction mappé sur OUTBOUND, où le processus inclut outbound.
• Mappage de target_ip sur target.ip.
• Mappage de queue_id sur security_result.detection_fields.
• security_result.action a été mappé sur ALLOW, où action_code est 0 ou 7, et service est RECV ou SCAN.
• security_result.action mappé sur BLOCK, où action_code est 2 et service est RECV ou SCAN.
• security_result.action mappé sur QUARANTINE, où action_code est 3 et service est RECV ou SCAN.

2022-05-19

Amélioration :

• Modification de l'extraction des données pour l'adresse e-mail et hdr_from afin d'améliorer l'analyse.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.