Collecter les journaux Barracuda Email Security Gateway

Compatible avec :

Ce document explique comment collecter les journaux Barracuda Email Security Gateway à l'aide de Bindplane. L'analyseur extrait les champs des journaux à l'aide de modèles Grok et de l'analyse JSON. Il mappe ensuite les champs extraits au schéma UDM (Unified Data Model), catégorise l'activité de l'e-mail (par exemple, spam ou hameçonnage) et détermine l'action de sécurité à effectuer (par exemple, autoriser, bloquer ou mettre en quarantaine).

Avant de commencer

  • Assurez-vous de disposer d'une instance Google Security Operations.
  • Assurez-vous d'utiliser Windows 2016 ou une version ultérieure, ou un hôte Linux avec systemd.
  • Si vous exécutez le programme derrière un proxy, assurez-vous que les ports du pare-feu sont ouverts.
  • Assurez-vous de disposer d'un accès privilégié à Symantec DLP.

Obtenir le fichier d'authentification d'ingestion Google SecOps

  1. Connectez-vous à la console Google SecOps.
  2. Accédez à Paramètres du SIEM > Agents de collecte.
  3. Téléchargez le fichier d'authentification d'ingestion. Enregistrez le fichier de manière sécurisée sur le système sur lequel Bindplane sera installé.

Obtenir l'ID client Google SecOps

  1. Connectez-vous à la console Google SecOps.
  2. Accédez à Paramètres SIEM> Profil.
  3. Copiez et enregistrez le numéro client de la section Informations sur l'organisation.

Installer l'agent Bindplane

Installation de fenêtres

  1. Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.

  2. Exécutez la commande suivante :

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installation de Linux

  1. Ouvrez un terminal avec les droits root ou sudo.

  2. Exécutez la commande suivante :

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Ressources d'installation supplémentaires

Configurer l'agent Bindplane pour ingérer Syslog et l'envoyer à Google SecOps

  1. Accédez au fichier de configuration :

    1. Recherchez le fichier config.yaml. En règle générale, il se trouve dans le répertoire /etc/bindplane-agent/ sous Linux ou dans le répertoire d'installation sous Windows.
    2. Ouvrez le fichier à l'aide d'un éditeur de texte (par exemple, nano, vi ou le Bloc-notes).

  2. Modifiez le fichier config.yaml comme suit :

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:54525"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: SYSLOG
            namespace: barracuda_email
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

  3. Remplacez le port et l'adresse IP selon les besoins de votre infrastructure.

  4. Remplacez <customer_id> par le numéro client réel.

  5. Mettez à jour /path/to/ingestion-authentication-file.json en indiquant le chemin d'accès où le fichier d'authentification a été enregistré dans la section Obtenir le fichier d'authentification pour l'ingestion Google SecOps.

Redémarrez l'agent Bindplane pour appliquer les modifications.

  • Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :

    sudo systemctl restart bindplane-agent

  • Pour redémarrer l'agent Bindplane sous Windows, vous pouvez utiliser la console Services ou saisir la commande suivante :

    net stop BindPlaneAgent && net start BindPlaneAgent

Configurer Barracuda Email Security Gateway

  1. Connectez-vous à l'interface Barracuda ESG.
  2. Sélectionnez Avancé> Mise en réseau avancée> Configuration Syslog.
  3. Spécifiez les informations suivantes :
    • Activez la journalisation Syslog en cochant la case Activer Syslog.
    • Serveur Syslog : saisissez l'adresse IP Bindplane.
    • Port : spécifiez le port Syslog (la valeur par défaut est 514, mais assurez-vous qu'il correspond à la configuration dans Google Security Operations).
    • Dans Syslog Facility (Installation Syslog), sélectionnez Local0.
    • Niveau de gravité : sélectionnez Erreur et avertissement pour les journaux de sécurité des e-mails de priorité plus élevée.
  4. Cliquez sur Enregistrer les modifications pour appliquer la configuration.

Table de mappage UDM

Champ du journal Mappage UDM Logique
account_id Non mappé
pièces jointes Non mappé
dst_domain target.hostname Valeur du champ dst_domain
dst_domain target.asset.hostname Valeur du champ dst_domain
env_from Non mappé
geoip target.location.country_or_region Valeur du champ geoip
hdr_from network.email.from Valeur du champ hdr_from s'il s'agit d'une adresse e-mail
hdr_to network.email.to Valeur du champ "hdr_to" s'il s'agit d'une adresse e-mail, sinon analysée à partir du tableau JSON dans le champ "hdr_to"
hôte principal.hostname Valeur du champ "hôte"
hôte principal.asset.hostname Valeur du champ "hôte"
message_id network.email.mail_id Valeur du champ "message_id"
product_log_id metadata.product_log_id Valeur du champ product_log_id
queue_id security_result.detection_fields.value Valeur du champ "queue_id"
recipient_email network.email.to Valeur du champ recipient_email s'il n'est pas vide ou -
destinataires Non mappé
recipients.action security_result.action Mappé sur ALLOW si la valeur est allowed, sinon mappé sur BLOCK
recipients.action security_result.action_details Valeur du champ "recipients.action"
recipients.delivery_detail security_result.detection_fields.value Valeur du champ "recipients.delivery_detail"
recipients.delivered security_result.detection_fields.value Valeur du champ "recipients.delivered"
recipients.email network.email.to Valeur du champ "recipients.email" s'il s'agit d'une adresse e-mail
recipients.reason security_result.detection_fields.value Valeur du champ "recipients.reason"
recipients.reason_extra security_result.detection_fields.value Valeur du champ "recipients.reason_extra"
recipients.taxonomy security_result.detection_fields.value Valeur du champ "recipients.taxonomy"
service security_result.summary Valeur du champ de service
taille network.received_bytes Valeur du champ de taille convertie en entier non signé
src_ip principal.ip Valeur du champ src_ip s'il n'est pas vide ou 0.0.0.0
src_ip principal.asset.ip Valeur du champ src_ip s'il n'est pas vide ou 0.0.0.0
src_ip security_result.about.ip Valeur du champ src_ip s'il n'est pas vide ou 0.0.0.0
subject network.email.subject Valeur du champ "Objet"
target_ip target.ip Valeur du champ "target_ip"
target_ip target.asset.ip Valeur du champ "target_ip"
timestamp metadata.event_timestamp Horodatage analysé à partir de l'entrée de journal
metadata.event_type Codé en dur sur EMAIL_TRANSACTION
metadata.log_type Codé en dur sur BARRACUDA_EMAIL
metadata.vendor_name Codé en dur sur Barracuda
network.application_protocol Définie sur SMTP si le champ de processus contient smtp
network.direction Définie sur INBOUND si le champ "process" contient inbound, définie sur OUTBOUND si le champ "process" contient outbound
security_result.action Défini en fonction d'une combinaison des champs "action", "action_code", "service" et "delivered"
security_result.category Définie en fonction d'une combinaison d'action, de motif et d'autres champs
security_result.confidence Codé en dur sur UNKNOWN_CONFIDENCE
security_result.priority Codé en dur sur UNKNOWN_PRIORITY
security_result.severity Codé en dur sur UNKNOWN_SEVERITY si la catégorie est UNKNOWN_CATEGORY

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.