Mengumpulkan log Barracuda Email Security Gateway

Dokumen ini menjelaskan cara mengumpulkan log Barracuda Email Security Gateway menggunakan Bindplane. Parser mengekstrak kolom dari log menggunakan pola Grok dan penguraian JSON. Kemudian, sistem ini memetakan kolom yang diekstrak ke skema Model Data Terpadu (UDM), mengategorikan aktivitas email (misalnya, spam atau phishing), dan menentukan tindakan keamanan yang diambil (misalnya, mengizinkan, memblokir, atau mengarantina).

Sebelum memulai

• Pastikan Anda memiliki instance Google Security Operations.
• Pastikan Anda menggunakan Windows 2016 atau yang lebih baru, atau host Linux dengan systemd.
• Jika berjalan di balik proxy, pastikan port firewall terbuka.
• Pastikan Anda memiliki akses dengan hak istimewa ke DLP Symantec.

Mendapatkan file autentikasi penyerapan Google SecOps

1. Login ke konsol Google SecOps.
2. Buka Setelan SIEM > Agen Pengumpulan.
3. Download File Autentikasi Proses Transfer. Simpan file dengan aman di sistem tempat Bindplane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

1. Login ke konsol Google SecOps.
2. Buka Setelan SIEM > Profil.
3. Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen Bindplane

Penginstalan Windows

1. Buka Command Prompt atau PowerShell sebagai administrator.

2. Jalankan perintah berikut:

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Penginstalan Linux

1. Buka terminal dengan hak istimewa root atau sudo.

2. Jalankan perintah berikut:

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Referensi penginstalan tambahan

• Untuk opsi penginstalan tambahan, lihat panduan penginstalan ini.

Mengonfigurasi agen Bindplane untuk menyerap Syslog dan mengirim ke Google SecOps

1. Akses file konfigurasi:

   1. Temukan file config.yaml. Biasanya, file ini berada di direktori /etc/bindplane-agent/ di Linux atau di direktori penginstalan di Windows.
   2. Buka file menggunakan editor teks (misalnya, nano, vi, atau Notepad).

2. Edit file config.yaml sebagai berikut:

   receivers:
       udplog:
           # Replace the port and IP address as required
           listen_address: "0.0.0.0:54525"
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the path to the credentials file you downloaded in Step 1
           creds: '/path/to/ingestion-authentication-file.json'
           # Replace with your actual customer ID from Step 2
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # Add optional ingestion labels for better organization
           ingestion_labels:
               log_type: SYSLOG
               namespace: barracuda_email
               raw_log_field: body
   
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                   - udplog
               exporters:
                   - chronicle/chronicle_w_labels
   

3. Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.

4. Ganti <customer_id> dengan ID pelanggan yang sebenarnya.

5. Perbarui /path/to/ingestion-authentication-file.json ke jalur tempat file autentikasi disimpan di bagian Mendapatkan file autentikasi penyerapan Google SecOps.

Mulai ulang agen Bindplane untuk menerapkan perubahan

• Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:

  sudo systemctl restart bindplane-agent
  

• Untuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:

  net stop BindPlaneAgent && net start BindPlaneAgent
  

Mengonfigurasi Barracuda Email Security Gateway

1. Login ke Antarmuka Barracuda ESG.
2. Pilih Lanjutan > Jaringan lanjutan > Konfigurasi Syslog.
3. Berikan detail berikut:
   • Aktifkan logging Syslog dengan mencentang kotak Enable Syslog.
   • Server Syslog: masukkan alamat IP Bindplane.
   • Port: tentukan port Syslog (defaultnya adalah 514, tetapi pastikan port ini cocok dengan konfigurasi di Google Security Operations).
   • Syslog Facility pilih Local0.
   • Tingkat Keparahan: pilih Error dan Peringatan untuk log keamanan email dengan prioritas lebih tinggi.
4. Klik Save Changes untuk menerapkan konfigurasi.

Tabel Pemetaan UDM

Kolom log	Pemetaan UDM	Logika
id_akun		Belum Dipetakan
lampiran		Belum Dipetakan
dst_domain	target.hostname	Nilai kolom dst_domain
dst_domain	target.asset.hostname	Nilai kolom dst_domain
env_from		Belum Dipetakan
geoip	target.location.country_or_region	Nilai kolom geoip
hdr_from	network.email.from	Nilai kolom hdr_from jika merupakan alamat email
hdr_to	network.email.to	Nilai kolom hdr_to jika merupakan alamat email, jika tidak, diuraikan dari array JSON di kolom hdr_to
host	principal.hostname	Nilai kolom host
host	principal.asset.hostname	Nilai kolom host
message_id	network.email.mail_id	Nilai kolom message_id
product_log_id	metadata.product_log_id	Nilai kolom product_log_id
queue_id	security_result.detection_fields.value	Nilai kolom queue_id
recipient_email	network.email.to	Nilai kolom recipient_email jika tidak kosong atau -
penerima		Belum Dipetakan
recipients.action	security_result.action	Dipetakan ke ALLOW jika nilainya allowed, jika tidak, dipetakan ke BLOCK
recipients.action	security_result.action_details	Nilai kolom recipients.action
recipients.delivery_detail	security_result.detection_fields.value	Nilai kolom recipients.delivery_detail
recipients.delivered	security_result.detection_fields.value	Nilai kolom recipients.delivered
recipients.email	network.email.to	Nilai kolom recipients.email jika merupakan alamat email
recipients.reason	security_result.detection_fields.value	Nilai kolom recipients.reason
recipients.reason_extra	security_result.detection_fields.value	Nilai kolom recipients.reason_extra
recipients.taxonomy	security_result.detection_fields.value	Nilai kolom recipients.taxonomy
pelanggan	security_result.summary	Kolom nilai layanan
ukuran	network.received_bytes	Nilai kolom ukuran dikonversi menjadi bilangan bulat tanpa tanda tangan
src_ip	principal.ip	Nilai kolom src_ip jika tidak kosong atau 0.0.0.0
src_ip	principal.asset.ip	Nilai kolom src_ip jika tidak kosong atau 0.0.0.0
src_ip	security_result.about.ip	Nilai kolom src_ip jika tidak kosong atau 0.0.0.0
subject	network.email.subject	Nilai kolom subjek
target_ip	target.ip	Nilai kolom target_ip
target_ip	target.asset.ip	Nilai kolom target_ip
timestamp	metadata.event_timestamp	Stempel waktu yang diuraikan dari entri log
	metadata.event_type	Di-hardcode ke EMAIL_TRANSACTION
	metadata.log_type	Di-hardcode ke BARRACUDA_EMAIL
	metadata.vendor_name	Di-hardcode ke Barracuda
	network.application_protocol	Tetapkan ke SMTP jika kolom proses berisi smtp
	network.direction	Tetapkan ke INBOUND jika kolom proses berisi inbound, tetapkan ke OUTBOUND jika kolom proses berisi outbound
	security_result.action	Ditetapkan berdasarkan kombinasi kolom action, action_code, service, dan delivered
	security_result.category	Menetapkan berdasarkan kombinasi tindakan, alasan, dan kolom lainnya
	security_result.confidence	Di-hardcode ke UNKNOWN_CONFIDENCE
	security_result.priority	Di-hardcode ke UNKNOWN_PRIORITY
	security_result.severity	Di-hardcode ke UNKNOWN_SEVERITY jika kategorinya UNKNOWN_CATEGORY

Perubahan

2024-05-28

Peningkatan:

• Memetakan attachments ke additional.fields.

2024-01-08

Peningkatan:

• Memetakan recipients.action ke security_result.action_details.
• Memetakan recipients.email ke network.email.to.
• Memetakan recipients.delivery_detail, recipients.reason, recipients.taxonomy, recipients.reason_extra, dan recipient.delivered ke security_result.detection_fields.
• Memetakan dst_domain ke target.hostname.
• Memetakan geoip ke target.location.country_or_region.

2023-01-19

Perbaikan bug:

• Mengubah pola grok untuk mengekstrak subject dan memetakan ke network.subject.

2022-12-16

Peningkatan:

• Menambahkan pola grok untuk log baru.
• Memetakan host ke principal.hostname.
• Memetakan product_log_id ke metadata.product_log_id.
• Memetakan network.application_protoco ke SMTP dengan proses yang menyertakan smtp.
• Memetakan sender_email ke network.email.from.
• Memetakan recipient_email ke network.email.to.
• Memetakan network.direction ke INBOUND dengan proses yang menyertakan inbound.
• Memetakan network.direction ke OUTBOUND dengan proses yang menyertakan outbound.
• Memetakan target_ip ke target.ip.
• Memetakan queue_id ke security_result.detection_fields.
• Memetakan security_result.action ke ALLOW dengan action_code adalah 0 atau 7 dan service adalah RECV atau SCAN.
• Memetakan security_result.action ke BLOCK dengan action_code adalah 2 dan service adalah RECV atau SCAN.
• Memetakan security_result.action ke QUARANTINE dengan action_code adalah 3 dan service adalah RECV atau SCAN.

2022-05-19

Peningkatan:

• Mengubah ekstraksi data untuk email dan hdr_from guna meningkatkan penguraian.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.