Raccogliere i log di Barracuda Email Security Gateway

Questo documento spiega come raccogliere i log di Barracuda Email Security Gateway utilizzando Bindplane. Il parser estrae i campi dai log utilizzando i pattern Grok e l'analisi JSON. Poi mappa i campi estratti allo schema Unified Data Model (UDM), classifica l'attività email (ad esempio spam o phishing) e determina l'azione di sicurezza intrapresa (ad esempio, consenti, blocca o metti in quarantena).

Prima di iniziare

• Assicurati di avere un'istanza Google Security Operations.
• Assicurati di utilizzare Windows 2016 o versioni successive o un host Linux con systemd.
• Se il servizio è eseguito dietro un proxy, assicurati che le porte del firewall siano aperte.
• Assicurati di disporre dell'accesso con privilegi a Symantec DLP.

Ottenere il file di autenticazione di importazione di Google SecOps

1. Accedi alla console Google SecOps.
2. Vai a Impostazioni SIEM > Agenti di raccolta.
3. Scarica il file di autenticazione dell'importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Ottenere l'ID cliente Google SecOps

1. Accedi alla console Google SecOps.
2. Vai a Impostazioni SIEM > Profilo.
3. Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Installazione di Windows

1. Apri il prompt dei comandi o PowerShell come amministratore.

2. Esegui questo comando:

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Installazione di Linux

1. Apri un terminale con privilegi di root o sudo.

2. Esegui questo comando:

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Risorse di installazione aggiuntive

• Per altre opzioni di installazione, consulta questa guida all'installazione.

Configura l'agente Bindplane per importare Syslog e inviarlo a Google SecOps

1. Accedi al file di configurazione:

   1. Individua il file config.yaml. In genere si trova nella directory /etc/bindplane-agent/ su Linux o nella directory di installazione su Windows.
   2. Apri il file utilizzando un editor di testo (ad esempio nano, vi o Blocco note).

2. Modifica il file config.yaml come segue:

   receivers:
       udplog:
           # Replace the port and IP address as required
           listen_address: "0.0.0.0:54525"
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the path to the credentials file you downloaded in Step 1
           creds: '/path/to/ingestion-authentication-file.json'
           # Replace with your actual customer ID from Step 2
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # Add optional ingestion labels for better organization
           ingestion_labels:
               log_type: SYSLOG
               namespace: barracuda_email
               raw_log_field: body
   
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                   - udplog
               exporters:
                   - chronicle/chronicle_w_labels
   

3. Sostituisci la porta e l'indirizzo IP come richiesto nella tua infrastruttura.

4. Sostituisci <customer_id> con l'ID cliente effettivo.

5. Aggiorna /path/to/ingestion-authentication-file.json con il percorso in cui è stato salvato il file di autenticazione nella sezione Ottenere il file di autenticazione per l'importazione di Google SecOps.

Riavvia l'agente Bindplane per applicare le modifiche

• Per riavviare l'agente Bindplane in Linux, esegui il seguente comando:

  sudo systemctl restart bindplane-agent
  

• Per riavviare l'agente Bindplane in Windows, puoi utilizzare la console Servizi o inserire il seguente comando:

  net stop BindPlaneAgent && net start BindPlaneAgent
  

Configura Barracuda Email Security Gateway

1. Accedi all'interfaccia Barracuda ESG.
2. Seleziona Avanzate > Networking avanzato > Configurazione Syslog.
3. Fornisci i seguenti dettagli:
   • Attiva il logging Syslog selezionando la casella di controllo Attiva Syslog.
   • Server Syslog: inserisci l'indirizzo IP Bindplane.
   • Porta: specifica la porta Syslog (il valore predefinito è 514, ma assicurati che corrisponda alla configurazione in Google Security Operations).
   • In Facility syslog, scegli Local0.
   • Livello di gravità: seleziona Errore e avviso per i log di sicurezza email con priorità più elevata.
4. Fai clic su Salva modifiche per applicare la configurazione.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logica
account_id		Non mappato
allegati		Non mappato
dst_domain	target.hostname	Valore del campo dst_domain
dst_domain	target.asset.hostname	Valore del campo dst_domain
env_from		Non mappato
geoip	target.location.country_or_region	Valore del campo geoip
hdr_from	network.email.from	Valore del campo hdr_from se si tratta di un indirizzo email
hdr_to	network.email.to	Valore del campo hdr_to se si tratta di un indirizzo email, altrimenti analizzato dall'array JSON nel campo hdr_to
host	principal.hostname	Valore del campo host
host	principal.asset.hostname	Valore del campo host
message_id	network.email.mail_id	Valore del campo message_id
product_log_id	metadata.product_log_id	Valore del campo product_log_id
queue_id	security_result.detection_fields.value	Valore del campo queue_id
recipient_email	network.email.to	Valore del campo email_destinatario se non è vuoto o -
Destinatari		Non mappato
recipients.action	security_result.action	Associato a ALLOW se il valore è allowed, altrimenti associato a BLOCK
recipients.action	security_result.action_details	Valore del campo recipients.action
recipients.delivery_detail	security_result.detection_fields.value	Valore del campo recipients.delivery_detail
recipients.delivered	security_result.detection_fields.value	Valore del campo recipients.delivered
recipients.email	network.email.to	Valore del campo recipients.email se si tratta di un indirizzo email
recipients.reason	security_result.detection_fields.value	Valore del campo recipients.reason
recipients.reason_extra	security_result.detection_fields.value	Valore del campo recipients.reason_extra
recipients.taxonomy	security_result.detection_fields.value	Valore del campo recipients.taxonomy
servizio	security_result.summary	Valore del campo del servizio
dimensioni	network.received_bytes	Valore del campo della dimensione convertito in un numero intero non firmato
src_ip	principal.ip	Valore del campo src_ip se non è vuoto o 0.0.0.0
src_ip	principal.asset.ip	Valore del campo src_ip se non è vuoto o 0.0.0.0
src_ip	security_result.about.ip	Valore del campo src_ip se non è vuoto o 0.0.0.0
subject	network.email.subject	Valore del campo Oggetto
target_ip	target.ip	Valore del campo target_ip
target_ip	target.asset.ip	Valore del campo target_ip
timestamp	metadata.event_timestamp	Timestamp analizzato dalla voce di log
	metadata.event_type	Hardcoded su EMAIL_TRANSACTION
	metadata.log_type	Hardcoded su BARRACUDA_EMAIL
	metadata.vendor_name	Hardcoded su Barracuda
	network.application_protocol	Imposta su SMTP se il campo di elaborazione contiene smtp
	network.direction	Imposta su INBOUND se il campo di processo contiene inbound, imposta su OUTBOUND se il campo di processo contiene outbound
	security_result.action	Impostato in base a una combinazione di campi action, action_code, service e delivered
	security_result.category	Impostato in base a una combinazione di azione, motivo e altri campi
	security_result.confidence	Hardcoded su UNKNOWN_CONFIDENCE
	security_result.priority	Hardcoded su UNKNOWN_PRIORITY
	security_result.severity	Impostato come hardcoded su UNKNOWN_SEVERITY se la categoria è UNKNOWN_CATEGORY

Modifiche

2024-05-28

Miglioramento:

• attachments è stato mappato a additional.fields.

2024-01-08

Miglioramento:

• recipients.action è stato mappato a security_result.action_details.
• recipients.email è stato mappato a network.email.to.
• Sono stati mappati recipients.delivery_detail, recipients.reason, recipients.taxonomy, recipients.reason_extra e recipient.delivered a security_result.detection_fields.
• dst_domain è stato mappato a target.hostname.
• geoip è stato mappato a target.location.country_or_region.

2023-01-19

Correzione di bug:

• Pattern Grok modificato per estrarre subject e mappato a network.subject.

2022-12-16

Miglioramento:

• È stato aggiunto il pattern Grok per i nuovi log.
• host è stato mappato a principal.hostname.
• product_log_id è stato mappato a metadata.product_log_id.
• network.application_protoco è stato mappato a SMTP, dove il processo include smtp.
• sender_email è stato mappato a network.email.from.
• recipient_email è stato mappato a network.email.to.
• network.direction è stato mappato a INBOUND, dove il processo include inbound.
• network.direction è stato mappato a OUTBOUND, dove il processo include outbound.
• target_ip è stato mappato a target.ip.
• queue_id è stato mappato a security_result.detection_fields.
• security_result.action è stato mappato a ALLOW, dove action_code sono 0 o 7 e service sono RECV o SCAN.
• security_result.action è stato mappato a BLOCK, dove action_code è 2 e service sono RECV o SCAN.
• security_result.action è stato mappato a QUARANTINE, dove action_code è 3 e service sono RECV o SCAN.

2022-05-19

Miglioramento:

• È stata modificata l'estrazione dei dati per email e hdr_from per migliorare l'analisi.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.