Questa pagina è stata tradotta dall'API Cloud Translation.

Raccogliere i log di Barracuda Email Security Gateway

Supportato in:

Google secops SIEM

Questo documento spiega come raccogliere i log di Barracuda Email Security Gateway utilizzando Bindplane. Il parser estrae i campi dai log utilizzando i pattern Grok e l'analisi JSON. Poi, mappa i campi estratti nello schema Unified Data Model (UDM), classifica l'attività email (ad esempio spam o phishing) e determina l'azione di sicurezza intrapresa (ad esempio consentire, bloccare o mettere in quarantena).

Prima di iniziare

Assicurati di avere un'istanza Google Security Operations.
Assicurati di utilizzare Windows 2016 o versioni successive oppure un host Linux con systemd.
Se l'esecuzione avviene tramite un proxy, assicurati che le porte del firewall siano aperte.
Assicurati di disporre dell'accesso con privilegi a Symantec DLP.

Recuperare il file di autenticazione importazione di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Agenti di raccolta.
Scarica il file di autenticazione importazione. Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Recuperare l'ID cliente Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Installazione di Windows

Apri il prompt dei comandi o PowerShell come amministratore.

Esegui questo comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installazione di Linux

Apri un terminale con privilegi di root o sudo.

Esegui questo comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Risorse aggiuntive per l'installazione

Per ulteriori opzioni di installazione, consulta questa guida all'installazione.

Configura l'agente Bindplane per importare Syslog e inviarli a Google SecOps

Accedi al file di configurazione:
1. Individua il file config.yaml. In genere, si trova nella directory /etc/bindplane-agent/ su Linux o nella directory di installazione su Windows.
2. Apri il file utilizzando un editor di testo (ad esempio nano, vi o Blocco note).

Modifica il file config.yaml come segue:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:54525"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: SYSLOG
            namespace: barracuda_email
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Sostituisci la porta e l'indirizzo IP in base alle esigenze della tua infrastruttura.
Sostituisci <customer_id> con l'ID cliente effettivo.
Aggiorna /path/to/ingestion-authentication-file.json al percorso in cui è stato salvato il file di autenticazione nella sezione Recupera il file di autenticazione per l'importazione di Google SecOps.

Riavvia l'agente Bindplane per applicare le modifiche

Per riavviare l'agente Bindplane in Linux, esegui questo comando:
```
sudo systemctl restart bindplane-agent
```
Per riavviare l'agente Bindplane in Windows, puoi utilizzare la console Servizi o inserire il seguente comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurare Barracuda Email Security Gateway

Accedi all'interfaccia Barracuda ESG.
Seleziona Avanzate > Networking avanzato > Configurazione Syslog.
Fornisci i seguenti dettagli:
- Attiva la registrazione Syslog selezionando la casella di controllo Abilita Syslog.
- Server Syslog: inserisci l'indirizzo IP Bindplane.
- Porta: specifica la porta Syslog (il valore predefinito è 514, ma assicurati che corrisponda alla configurazione in Google Security Operations).
- In Syslog Facility scegli Local0.
- Livello di gravità: seleziona Errore e avviso per i log di sicurezza email con priorità più alta.
Fai clic su Salva modifiche per applicare la configurazione.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logic
account_id		Non mappato
allegati		Non mappato
dst_domain	target.hostname	Valore del campo dst_domain
dst_domain	target.asset.hostname	Valore del campo dst_domain
env_from		Non mappato
geoip	target.location.country_or_region	Valore del campo geoip
hdr_from	network.email.from	Valore del campo hdr_from se è un indirizzo email
hdr_to	network.email.to	Valore del campo hdr_to se è un indirizzo email, altrimenti analizzato dall'array JSON nel campo hdr_to
host	principal.hostname	Valore del campo Host
host	principal.asset.hostname	Valore del campo Host
message_id	network.email.mail_id	Valore del campo message_id
product_log_id	metadata.product_log_id	Valore del campo product_log_id
queue_id	security_result.detection_fields.value	Valore del campo queue_id
recipient_email	network.email.to	Valore del campo recipient_email se non è vuoto o `-`
destinatari		Non mappato
recipients.action	security_result.action	Mappato su ALLOW se il valore è `allowed`, altrimenti mappato su BLOCK
recipients.action	security_result.action_details	Valore del campo recipients.action
recipients.delivery_detail	security_result.detection_fields.value	Valore del campo recipients.delivery_detail
recipients.delivered	security_result.detection_fields.value	Valore del campo destinatari.consegna
recipients.email	network.email.to	Valore del campo recipients.email se è un indirizzo email
recipients.reason	security_result.detection_fields.value	Valore del campo recipients.reason
recipients.reason_extra	security_result.detection_fields.value	Valore del campo recipients.reason_extra
recipients.taxonomy	security_result.detection_fields.value	Valore del campo recipients.taxonomy
servizio	security_result.summary	Valore del campo del servizio
dimensioni	network.received_bytes	Valore del campo delle dimensioni convertito in un numero intero senza segno
src_ip	principal.ip	Valore del campo src_ip se non è vuoto o `0.0.0.0`
src_ip	principal.asset.ip	Valore del campo src_ip se non è vuoto o `0.0.0.0`
src_ip	security_result.about.ip	Valore del campo src_ip se non è vuoto o `0.0.0.0`
subject	network.email.subject	Valore del campo Oggetto
target_ip	target.ip	Valore del campo target_ip
target_ip	target.asset.ip	Valore del campo target_ip
timestamp	metadata.event_timestamp	Timestamp analizzato dalla voce di log
	metadata.event_type	Codificato in modo permanente su `EMAIL_TRANSACTION`
	metadata.log_type	Codificato in modo permanente su `BARRACUDA_EMAIL`
	metadata.vendor_name	Codificato in modo permanente su `Barracuda`
	network.application_protocol	Imposta su `SMTP` se il campo del processo contiene `smtp`
	network.direction	Impostato su `INBOUND` se il campo del processo contiene `inbound`, impostato su `OUTBOUND` se il campo del processo contiene `outbound`
	security_result.action	Impostato in base a una combinazione di campi action, action_code, service e delivered
	security_result.category	Impostato in base a una combinazione di azione, motivo e altri campi
	security_result.confidence	Codificato in modo permanente su `UNKNOWN_CONFIDENCE`
	security_result.priority	Codificato in modo permanente su `UNKNOWN_PRIORITY`
	security_result.severity	Codificato in modo permanente su `UNKNOWN_SEVERITY` se la categoria è `UNKNOWN_CATEGORY`

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.