Barracuda Email Security Gateway のログを収集する
以下でサポートされています。
Google SecOps
SIEM
このドキュメントでは、Bindplane を使用して Barracuda Email Security Gateway ログを収集する方法について説明します。パーサーは、Grok パターンと JSON 解析を使用してログからフィールドを抽出します。次に、抽出されたフィールドを統合データモデル(UDM)スキーマにマッピングし、メール アクティビティ(スパムやフィッシングなど)を分類し、実行されたセキュリティ アクション(許可、ブロック、隔離など)を特定します。
始める前に
- Google Security Operations インスタンスがあることを確認します。
- Windows 2016 以降、または
systemdを使用する Linux ホストを使用していることを確認します。 - プロキシの背後で実行している場合は、ファイアウォール ポートが開いていることを確認します。
- Symantec DLP への特権アクセス権があることを確認します。
Google SecOps の取り込み認証ファイルを取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [コレクション エージェント] に移動します。
- Ingestion Authentication File をダウンロードします。Bindplane をインストールするシステムにファイルを安全に保存します。
Google SecOps のお客様 ID を取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [プロファイル] に移動します。
- [組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。
Bindplane エージェントをインストールする
Windows のインストール
- 管理者として コマンド プロンプトまたは PowerShell を開きます。
次のコマンドを実行します。
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux のインストール
- root 権限または sudo 権限でターミナルを開きます。
次のコマンドを実行します。
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
その他のインストール リソース
- その他のインストール オプションについては、こちらのインストール ガイドをご覧ください。
Syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する
構成ファイルにアクセスします。
config.yamlファイルを見つけます。通常、Linux では/etc/bindplane-agent/ディレクトリに、Windows ではインストール ディレクトリにあります。- テキスト エディタ(
nano、vi、メモ帳など)を使用してファイルを開きます。
config.yamlファイルを次のように編集します。receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:54525" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: SYSLOG namespace: barracuda_email raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels自社のインフラストラクチャでの必要性に応じて、ポートと IP アドレスを置き換えます。
<customer_id>は、実際の顧客 ID に置き換えます。/path/to/ingestion-authentication-file.jsonの値を、Google SecOps の取り込み認証ファイルを取得するで認証ファイルを保存したパスに更新します。
Bindplane エージェントを再起動して変更を適用する
Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。
sudo systemctl restart bindplane-agentWindows で Bindplane エージェントを再起動するには、Services コンソールを使用するか、次のコマンドを入力します。
net stop BindPlaneAgent && net start BindPlaneAgent
Barracuda Email Security Gateway を構成する
- Barracuda ESG インターフェースにログインします。
- [詳細設定] > [詳細なネットワーキング] > [Syslog 構成] を選択します。
- 以下の詳細を入力します。
- [Syslog を有効にする] チェックボックスをオンにして、Syslog ロギングを有効にします。
- Syslog サーバー:
BindplaneIP アドレスを入力します。 - ポート: Syslog ポートを指定します(デフォルトは 514 ですが、Google Security Operations の構成と一致していることを確認してください)。
- [Syslog Facility] で [Local0] を選択します。
- 重大度レベル: 優先度の高いメール セキュリティ ログの場合は、[エラーと警告] を選択します。
- [変更を保存] をクリックして構成を適用します。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | ロジック |
|---|---|---|
| account_id | マッピングされません | |
| attachments | マッピングされません | |
| dst_domain | target.hostname | dst_domain フィールドの値 |
| dst_domain | target.asset.hostname | dst_domain フィールドの値 |
| env_from | マッピングされません | |
| geoip | target.location.country_or_region | geoip フィールドの値 |
| hdr_from | network.email.from | hdr_from フィールドの値(メールアドレスの場合) |
| hdr_to | network.email.to | hdr_to フィールドの値(メールアドレスの場合)。それ以外の場合は、hdr_to フィールドの JSON 配列から解析されます。 |
| ホスト | principal.hostname | ホスト フィールドの値 |
| ホスト | principal.asset.hostname | ホスト フィールドの値 |
| message_id | network.email.mail_id | message_id フィールドの値 |
| product_log_id | metadata.product_log_id | product_log_id フィールドの値 |
| queue_id | security_result.detection_fields.value | queue_id フィールドの値 |
| recipient_email | network.email.to | recipient_email フィールドの値(空でない場合、または - の場合) |
| 受信者 | マッピングされません | |
| recipients.action | security_result.action | 値が allowed の場合は ALLOW にマッピングされ、それ以外の場合は BLOCK にマッピングされます |
| recipients.action | security_result.action_details | recipients.action フィールドの値 |
| recipients.delivery_detail | security_result.detection_fields.value | recipients.delivery_detail フィールドの値 |
| recipients.delivered | security_result.detection_fields.value | recipients.delivered フィールドの値 |
| recipients.email | network.email.to | メールアドレスの場合の recipients.email フィールドの値 |
| recipients.reason | security_result.detection_fields.value | recipients.reason フィールドの値 |
| recipients.reason_extra | security_result.detection_fields.value | recipients.reason_extra フィールドの値 |
| recipients.taxonomy | security_result.detection_fields.value | recipients.taxonomy フィールドの値 |
| サービス | security_result.summary | サービス フィールドの値 |
| サイズ | network.received_bytes | サイズ フィールドの値を符号なし整数に変換したもの |
| src_ip | principal.ip | src_ip フィールドの値(空でない場合、または 0.0.0.0 の場合) |
| src_ip | principal.asset.ip | src_ip フィールドの値(空でない場合、または 0.0.0.0 の場合) |
| src_ip | security_result.about.ip | src_ip フィールドの値(空でない場合、または 0.0.0.0 の場合) |
| 件名 | network.email.subject | 件名フィールドの値 |
| target_ip | target.ip | target_ip フィールドの値 |
| target_ip | target.asset.ip | target_ip フィールドの値 |
| timestamp | metadata.event_timestamp | ログエントリから解析されたタイムスタンプ |
| metadata.event_type | EMAIL_TRANSACTION にハードコード |
|
| metadata.log_type | BARRACUDA_EMAIL にハードコード |
|
| metadata.vendor_name | Barracuda にハードコード |
|
| network.application_protocol | プロセス フィールドに smtp が含まれている場合は SMTP に設定 |
|
| network.direction | プロセス フィールドに inbound が含まれている場合は INBOUND に設定し、プロセス フィールドに outbound が含まれている場合は OUTBOUND に設定します。 |
|
| security_result.action | action、action_code、service、delivered の各フィールドの組み合わせに基づいて設定されます | |
| security_result.category | アクション、理由、その他のフィールドの組み合わせに基づいて設定 | |
| security_result.confidence | UNKNOWN_CONFIDENCE にハードコード |
|
| security_result.priority | UNKNOWN_PRIORITY にハードコード |
|
| security_result.severity | カテゴリが UNKNOWN_CATEGORY の場合は UNKNOWN_SEVERITY にハードコードされます |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。