Barracuda Email Security Gateway 로그 수집

이 문서에서는 Bindplane을 사용하여 Barracuda Email Security Gateway 로그를 수집하는 방법을 설명합니다. 파서는 Grok 패턴과 JSON 파싱을 사용하여 로그에서 필드를 추출합니다. 그런 다음 추출된 필드를 통합 데이터 모델 (UDM) 스키마에 매핑하고 이메일 활동 (예: 스팸 또는 피싱)을 분류하며 취해진 보안 조치 (예: 허용, 차단 또는 격리)를 결정합니다.

시작하기 전에

• Google Security Operations 인스턴스가 있는지 확인합니다.
• Windows 2016 이상 또는 systemd를 사용하는 Linux 호스트를 사용하고 있는지 확인합니다.
• 프록시 뒤에서 실행하는 경우 방화벽 포트가 열려 있는지 확인합니다.
• Symantec DLP에 대한 권한이 있는지 확인합니다.

Google SecOps 처리 인증 파일 가져오기

1. Google SecOps 콘솔에 로그인합니다.
2. SIEM 설정 > 수집 에이전트로 이동합니다.
3. 처리 인증 파일을 다운로드합니다. Bindplane가 설치될 시스템에 파일을 안전하게 저장합니다.

Google SecOps 고객 ID 가져오기

1. Google SecOps 콘솔에 로그인합니다.
2. SIEM 설정 > 프로필로 이동합니다.
3. 조직 세부정보 섹션에서 고객 ID를 복사하여 저장합니다.

Bindplane 에이전트 설치

Windows 설치

1. 관리자 권한으로 명령 프롬프트 또는 PowerShell을 엽니다.

2. 다음 명령어를 실행합니다.

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Linux 설치

1. 루트 또는 sudo 권한으로 터미널을 엽니다.

2. 다음 명령어를 실행합니다.

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

추가 설치 리소스

• 추가 설치 옵션은 이 설치 가이드를 참고하세요.

Syslog를 수집하고 Google SecOps로 전송하도록 Bindplane 에이전트 구성

1. 구성 파일에 액세스합니다.

   1. config.yaml 파일을 찾습니다. 일반적으로 Linux의 /etc/bindplane-agent/ 디렉터리 또는 Windows의 설치 디렉터리에 있습니다.
   2. 텍스트 편집기 (예: nano, vi, 메모장)를 사용하여 파일을 엽니다.

2. 다음과 같이 config.yaml 파일을 수정합니다.

   receivers:
       udplog:
           # Replace the port and IP address as required
           listen_address: "0.0.0.0:54525"
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the path to the credentials file you downloaded in Step 1
           creds: '/path/to/ingestion-authentication-file.json'
           # Replace with your actual customer ID from Step 2
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # Add optional ingestion labels for better organization
           ingestion_labels:
               log_type: SYSLOG
               namespace: barracuda_email
               raw_log_field: body
   
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                   - udplog
               exporters:
                   - chronicle/chronicle_w_labels
   

3. 인프라에서 필요에 따라 포트와 IP 주소를 바꿉니다.

4. <customer_id>를 실제 고객 ID로 바꿉니다.

5. /path/to/ingestion-authentication-file.json를 Google SecOps 처리 인증 파일 가져오기 섹션에서 인증 파일이 저장된 경로로 업데이트합니다.

Bindplane 에이전트를 다시 시작하여 변경사항 적용

• Linux에서 Bindplane 에이전트를 다시 시작하려면 다음 명령어를 실행합니다.

  sudo systemctl restart bindplane-agent
  

• Windows에서 Bindplane 에이전트를 다시 시작하려면 서비스 콘솔을 사용하거나 다음 명령어를 입력하면 됩니다.

  net stop BindPlaneAgent && net start BindPlaneAgent
  

Barracuda Email Security Gateway 구성

1. Barracuda ESG 인터페이스에 로그인합니다.
2. 고급 > 고급 네트워킹 > Syslog 구성을 선택합니다.
3. 다음 세부정보를 제공합니다.
   • Syslog 사용 설정 체크박스를 선택하여 Syslog 로깅을 사용 설정합니다.
   • 시스템로그 서버: Bindplane IP 주소를 입력합니다.
   • 포트: Syslog 포트를 지정합니다 (기본값은 514이지만 Google Security Operations의 구성과 일치해야 함).
   • Syslog Facility에서 Local0을 선택합니다.
   • 심각도 수준: 우선순위가 높은 이메일 보안 로그의 경우 오류 및 경고를 선택합니다.
4. 변경사항 저장을 클릭하여 구성을 적용합니다.

UDM 매핑 표

로그 필드	UDM 매핑	논리
account_id		매핑되지 않음
첨부파일		매핑되지 않음
dst_domain	target.hostname	dst_domain 필드의 값
dst_domain	target.asset.hostname	dst_domain 필드의 값
env_from		매핑되지 않음
geoip	target.location.country_or_region	geoip 필드의 값
hdr_from	network.email.from	hdr_from 필드의 값(이메일 주소인 경우)
hdr_to	network.email.to	이메일 주소인 경우 hdr_to 필드의 값이고, 그렇지 않으면 hdr_to 필드의 JSON 배열에서 파싱됩니다.
호스트	principal.hostname	호스트 필드의 값
호스트	principal.asset.hostname	호스트 필드의 값
message_id	network.email.mail_id	message_id 필드의 값
product_log_id	metadata.product_log_id	product_log_id 필드의 값
queue_id	security_result.detection_fields.value	queue_id 필드의 값
recipient_email	network.email.to	recipient_email 필드의 값(비어 있지 않거나 -가 아닌 경우)
수신자		매핑되지 않음
recipients.action	security_result.action	값이 allowed이면 ALLOW에 매핑되고 그 밖의 경우에는 BLOCK에 매핑됩니다.
recipients.action	security_result.action_details	recipients.action 필드의 값
recipients.delivery_detail	security_result.detection_fields.value	recipients.delivery_detail 필드의 값
recipients.delivered	security_result.detection_fields.value	recipients.delivered 필드의 값
recipients.email	network.email.to	recipients.email 필드의 값(이메일 주소인 경우)
recipients.reason	security_result.detection_fields.value	recipients.reason 필드의 값
recipients.reason_extra	security_result.detection_fields.value	recipients.reason_extra 필드의 값
recipients.taxonomy	security_result.detection_fields.value	recipients.taxonomy 필드의 값
서비스	security_result.summary	서비스 필드 값
크기	network.received_bytes	크기 필드의 값을 부호 없는 정수로 변환
src_ip	principal.ip	src_ip 필드의 값(비어 있지 않거나 0.0.0.0가 아닌 경우)
src_ip	principal.asset.ip	src_ip 필드의 값(비어 있지 않거나 0.0.0.0가 아닌 경우)
src_ip	security_result.about.ip	src_ip 필드의 값(비어 있지 않거나 0.0.0.0가 아닌 경우)
subject	network.email.subject	제목 필드의 값
target_ip	target.ip	target_ip 필드의 값
target_ip	target.asset.ip	target_ip 필드의 값
타임스탬프	metadata.event_timestamp	로그 항목에서 파싱된 타임스탬프
	metadata.event_type	EMAIL_TRANSACTION로 하드코딩됨
	metadata.log_type	BARRACUDA_EMAIL로 하드코딩됨
	metadata.vendor_name	Barracuda로 하드코딩됨
	network.application_protocol	프로세스 필드에 smtp가 포함된 경우 SMTP로 설정
	network.direction	프로세스 필드에 inbound가 포함된 경우 INBOUND로 설정하고 프로세스 필드에 outbound가 포함된 경우 OUTBOUND로 설정합니다.
	security_result.action	action, action_code, service, delivered 필드의 조합을 기반으로 설정
	security_result.category	액션, 이유, 기타 필드의 조합을 기반으로 설정
	security_result.confidence	UNKNOWN_CONFIDENCE로 하드코딩됨
	security_result.priority	UNKNOWN_PRIORITY로 하드코딩됨
	security_result.severity	카테고리가 UNKNOWN_CATEGORY인 경우 UNKNOWN_SEVERITY로 하드코딩됨

변경사항

2024-05-28

개선사항:

• attachments를 additional.fields에 매핑했습니다.

2024-01-08

개선사항:

• recipients.action를 security_result.action_details에 매핑했습니다.
• recipients.email를 network.email.to에 매핑했습니다.
• recipients.delivery_detail, recipients.reason, recipients.taxonomy, recipients.reason_extra, recipient.delivered를 security_result.detection_fields에 매핑했습니다.
• dst_domain를 target.hostname에 매핑했습니다.
• geoip를 target.location.country_or_region에 매핑했습니다.

2023-01-19

버그 수정:

• subject를 추출하고 network.subject에 매핑하도록 grok 패턴을 수정했습니다.

2022-12-16

개선사항:

• 새 로그용 Grok 패턴을 추가했습니다.
• host를 principal.hostname에 매핑했습니다.
• product_log_id를 metadata.product_log_id에 매핑했습니다.
• 프로세스에 smtp가 포함된 경우 network.application_protoco를 SMTP에 매핑했습니다.
• sender_email를 network.email.from에 매핑했습니다.
• recipient_email를 network.email.to에 매핑했습니다.
• 프로세스에 inbound가 포함된 경우 network.direction를 INBOUND에 매핑했습니다.
• 프로세스에 outbound가 포함된 경우 network.direction를 OUTBOUND에 매핑했습니다.
• target_ip를 target.ip에 매핑했습니다.
• queue_id를 security_result.detection_fields에 매핑했습니다.
• action_code가 0 또는 7이고 service가 RECV 또는 SCAN인 경우 security_result.action를 ALLOW에 매핑했습니다.
• security_result.action를 BLOCK에 매핑했습니다. 여기서 action_code은 2이고 service은 RECV 또는 SCAN입니다.
• security_result.action를 QUARANTINE에 매핑했습니다. 여기서 action_code은 3이고 service은 RECV 또는 SCAN입니다.

2022-05-19

개선사항:

• 파싱을 개선하기 위해 email 및 hdr_from의 데이터 추출을 수정했습니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가의 답변을 받으세요.