Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log Barracuda Email Security Gateway

Didukung di:

Google secops SIEM

Dokumen ini menjelaskan cara mengumpulkan log Barracuda Email Security Gateway menggunakan Bindplane. Parser mengekstrak kolom dari log menggunakan pola Grok dan penguraian JSON. Kemudian, kolom yang diekstrak dipetakan ke skema Model Data Terpadu (UDM), mengategorikan aktivitas email (misalnya, spam atau phishing), dan menentukan tindakan keamanan yang diambil (misalnya, izinkan, blokir, atau karantina).

Sebelum memulai

Pastikan Anda memiliki instance Google Security Operations.
Pastikan Anda menggunakan Windows 2016 atau yang lebih baru, atau host Linux dengan systemd.
Jika berjalan di belakang proxy, pastikan port firewall terbuka.
Pastikan Anda memiliki akses istimewa ke Symantec DLP.

Mendapatkan file autentikasi penyerapan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Agen Pengumpulan.
Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Profil.
Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen Bindplane

Penginstalan Windows

Buka Command Prompt atau PowerShell sebagai administrator.

Jalankan perintah berikut:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Penginstalan Linux

Buka terminal dengan hak istimewa root atau sudo.

Jalankan perintah berikut:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Referensi penginstalan tambahan

Untuk opsi penginstalan tambahan, lihat panduan penginstalan ini.

Mengonfigurasi agen BindPlane untuk menyerap Syslog dan mengirimkannya ke Google SecOps

Akses file konfigurasi:
1. Cari file config.yaml. Biasanya, file ini berada di direktori /etc/bindplane-agent/ di Linux atau di direktori penginstalan di Windows.
2. Buka file menggunakan editor teks (misalnya, nano, vi, atau Notepad).

Edit file config.yaml sebagai berikut:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:54525"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: SYSLOG
            namespace: barracuda_email
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.
Ganti <customer_id> dengan ID pelanggan yang sebenarnya.
Perbarui /path/to/ingestion-authentication-file.json ke jalur tempat file autentikasi disimpan di bagian Dapatkan file autentikasi penyerapan Google SecOps.

Mulai ulang agen Bindplane untuk menerapkan perubahan

Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:
```
sudo systemctl restart bindplane-agent
```
Untuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Mengonfigurasi Barracuda Email Security Gateway

Login ke Barracuda ESG Interface.
Pilih Lanjutan > Jaringan lanjutan > Konfigurasi Syslog.
Berikan detail berikut:
- Aktifkan logging Syslog dengan mencentang kotak Enable Syslog.
- Server Syslog: masukkan alamat IP Bindplane.
- Port: tentukan port Syslog (defaultnya adalah 514, tetapi pastikan ini cocok dengan konfigurasi di Google Security Operations).
- Syslog Facility pilih Local0.
- Tingkat Keparahan: pilih Error dan Peringatan untuk log keamanan email dengan prioritas lebih tinggi.
Klik Simpan Perubahan untuk menerapkan konfigurasi.

Tabel Pemetaan UDM

Kolom log	Pemetaan UDM	Logika
account_id		Tidak Dipetakan
lampiran		Tidak Dipetakan
dst_domain	target.hostname	Nilai kolom dst_domain
dst_domain	target.asset.hostname	Nilai kolom dst_domain
env_from		Tidak Dipetakan
geoip	target.location.country_or_region	Nilai kolom geoip
hdr_from	network.email.from	Nilai kolom hdr_from jika berupa alamat email
hdr_to	network.email.to	Nilai kolom hdr_to jika berupa alamat email, atau diuraikan dari array JSON di kolom hdr_to
host	principal.hostname	Nilai kolom host
host	principal.asset.hostname	Nilai kolom host
message_id	network.email.mail_id	Nilai kolom message_id
product_log_id	metadata.product_log_id	Nilai kolom product_log_id
queue_id	security_result.detection_fields.value	Nilai kolom queue_id
recipient_email	network.email.to	Nilai kolom recipient_email jika tidak kosong atau `-`
penerima		Tidak Dipetakan
recipients.action	security_result.action	Dipetakan ke ALLOW jika nilainya adalah `allowed`, jika tidak dipetakan ke BLOCK
recipients.action	security_result.action_details	Nilai kolom recipients.action
recipients.delivery_detail	security_result.detection_fields.value	Nilai kolom recipients.delivery_detail
recipients.delivered	security_result.detection_fields.value	Nilai kolom recipients.delivered
recipients.email	network.email.to	Nilai kolom recipients.email jika berupa alamat email
recipients.reason	security_result.detection_fields.value	Nilai kolom recipients.reason
recipients.reason_extra	security_result.detection_fields.value	Nilai kolom recipients.reason_extra
recipients.taxonomy	security_result.detection_fields.value	Nilai kolom recipients.taxonomy
pelanggan	security_result.summary	Nilai kolom layanan
ukuran	network.received_bytes	Nilai kolom ukuran dikonversi menjadi bilangan bulat tidak bertanda
src_ip	principal.ip	Nilai kolom src_ip jika tidak kosong atau `0.0.0.0`
src_ip	principal.asset.ip	Nilai kolom src_ip jika tidak kosong atau `0.0.0.0`
src_ip	security_result.about.ip	Nilai kolom src_ip jika tidak kosong atau `0.0.0.0`
subject	network.email.subject	Nilai kolom subjek
target_ip	target.ip	Nilai kolom target_ip
target_ip	target.asset.ip	Nilai kolom target_ip
timestamp	metadata.event_timestamp	Stempel waktu yang diuraikan dari entri log
	metadata.event_type	Hardcode ke `EMAIL_TRANSACTION`
	metadata.log_type	Hardcode ke `BARRACUDA_EMAIL`
	metadata.vendor_name	Hardcode ke `Barracuda`
	network.application_protocol	Tetapkan ke `SMTP` jika kolom proses berisi `smtp`
	network.direction	Disetel ke `INBOUND` jika kolom proses berisi `inbound`, disetel ke `OUTBOUND` jika kolom proses berisi `outbound`
	security_result.action	Ditetapkan berdasarkan kombinasi kolom tindakan, action_code, layanan, dan dikirim
	security_result.category	Ditetapkan berdasarkan kombinasi tindakan, alasan, dan kolom lainnya
	security_result.confidence	Hardcode ke `UNKNOWN_CONFIDENCE`
	security_result.priority	Hardcode ke `UNKNOWN_PRIORITY`
	security_result.severity	Di-hardcode ke `UNKNOWN_SEVERITY` jika kategori adalah `UNKNOWN_CATEGORY`

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.