Recolha registos do gateway de segurança de email da Barracuda
Compatível com:
Google secops
SIEM
Este documento explica como recolher registos do Barracuda Email Security Gateway através do Bindplane. O analisador extrai campos dos registos através de padrões Grok e da análise JSON. Em seguida, mapeia os campos extraídos para o esquema do modelo de dados unificado (UDM), categoriza a atividade de email (por exemplo, spam ou phishing) e determina a ação de segurança tomada (por exemplo, permitir, bloquear ou colocar em quarentena).
Antes de começar
- Certifique-se de que tem uma instância do Google Security Operations.
- Certifique-se de que está a usar o Windows 2016 ou posterior, ou um anfitrião Linux com
systemd. - Se estiver a executar o serviço através de um proxy, certifique-se de que as portas da firewall estão abertas.
- Certifique-se de que tem acesso privilegiado ao Symantec DLP.
Obtenha o ficheiro de autenticação de carregamento do Google SecOps
- Inicie sessão na consola Google SecOps.
- Aceda a Definições do SIEM > Agentes de recolha.
- Transfira o ficheiro de autenticação de carregamento. Guarde o ficheiro de forma segura no sistema onde o Bindplane vai ser instalado.
Obtenha o ID de cliente do Google SecOps
- Inicie sessão na consola Google SecOps.
- Aceda a Definições do SIEM > Perfil.
- Copie e guarde o ID do cliente da secção Detalhes da organização.
Instale o agente do Bindplane
Instalação do Windows
- Abra a Linha de comandos ou o PowerShell como administrador.
Execute o seguinte comando:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Instalação do Linux
- Abra um terminal com privilégios de raiz ou sudo.
Execute o seguinte comando:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Recursos de instalação adicionais
- Para ver opções de instalação adicionais, consulte este guia de instalação.
Configure o agente Bindplane para carregar o Syslog e enviá-lo para o Google SecOps
Aceda ao ficheiro de configuração:
- Localize o ficheiro
config.yaml. Normalmente, encontra-se no diretório/etc/bindplane-agent/no Linux ou no diretório de instalação no Windows. - Abra o ficheiro com um editor de texto (por exemplo,
nano,viou Bloco de notas).
- Localize o ficheiro
Edite o ficheiro
config.yamlda seguinte forma:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:54525" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: SYSLOG namespace: barracuda_email raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labelsSubstitua a porta e o endereço IP conforme necessário na sua infraestrutura.
Substitua
<customer_id>pelo ID de cliente real.Atualize
/path/to/ingestion-authentication-file.jsonpara o caminho onde o ficheiro de autenticação foi guardado na secção Obtenha o ficheiro de autenticação de carregamento do Google SecOps.
Reinicie o agente do Bindplane para aplicar as alterações
Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:
sudo systemctl restart bindplane-agentPara reiniciar o agente do Bindplane no Windows, pode usar a consola Services ou introduzir o seguinte comando:
net stop BindPlaneAgent && net start BindPlaneAgent
Configure o gateway de segurança de email da Barracuda
- Inicie sessão na interface do Barracuda ESG.
- Selecione Avançadas > Redes avançadas > Configuração do Syslog.
- Forneça os seguintes detalhes:
- Ative o registo Syslog selecionando a caixa de verificação Ativar Syslog.
- Servidor Syslog: introduza o
Bindplaneendereço IP. - Porta: especifique a porta Syslog (a predefinição é 514, mas certifique-se de que corresponde à configuração no Google Security Operations).
- Em Syslog Facility, escolha Local0.
- Nível de gravidade: selecione Erro e aviso para registos de segurança de email de prioridade mais elevada.
- Clique em Guardar alterações para aplicar a configuração.
Tabela de mapeamento da UDM
| Campo de registo | Mapeamento do UDM | Lógica |
|---|---|---|
| account_id | Não mapeado | |
| anexos | Não mapeado | |
| dst_domain | target.hostname | Valor do campo dst_domain |
| dst_domain | target.asset.hostname | Valor do campo dst_domain |
| env_from | Não mapeado | |
| geoip | target.location.country_or_region | Valor do campo geoip |
| hdr_from | network.email.from | Valor do campo hdr_from, se for um endereço de email |
| hdr_to | network.email.to | Valor do campo hdr_to, se for um endereço de email. Caso contrário, é analisado a partir da matriz JSON no campo hdr_to |
| anfitrião | principal.hostname | Valor do campo de anfitrião |
| anfitrião | principal.asset.hostname | Valor do campo de anfitrião |
| message_id | network.email.mail_id | Valor do campo message_id |
| product_log_id | metadata.product_log_id | Valor do campo product_log_id |
| queue_id | security_result.detection_fields.value | Valor do campo queue_id |
| recipient_email | network.email.to | Valor do campo recipient_email se não estiver vazio ou - |
| destinatários | Não mapeado | |
| recipients.action | security_result.action | Mapeado para ALLOW se o valor for allowed, caso contrário, mapeado para BLOCK |
| recipients.action | security_result.action_details | Valor do campo recipients.action |
| recipients.delivery_detail | security_result.detection_fields.value | Valor do campo recipients.delivery_detail |
| recipients.delivered | security_result.detection_fields.value | Valor do campo recipients.delivered |
| recipients.email | network.email.to | Valor do campo recipients.email se for um endereço de email |
| recipients.reason | security_result.detection_fields.value | Valor do campo recipients.reason |
| recipients.reason_extra | security_result.detection_fields.value | Valor do campo recipients.reason_extra |
| recipients.taxonomy | security_result.detection_fields.value | Valor do campo recipients.taxonomy |
| serviço | security_result.summary | Valor do campo de serviço |
| tamanho | network.received_bytes | Valor do campo de tamanho convertido num número inteiro sem sinal |
| src_ip | principal.ip | Valor do campo src_ip se não estiver vazio ou for 0.0.0.0 |
| src_ip | principal.asset.ip | Valor do campo src_ip se não estiver vazio ou for 0.0.0.0 |
| src_ip | security_result.about.ip | Valor do campo src_ip se não estiver vazio ou for 0.0.0.0 |
| assunto | network.email.subject | Valor do campo de assunto |
| target_ip | target.ip | Valor do campo target_ip |
| target_ip | target.asset.ip | Valor do campo target_ip |
| timestamp | metadata.event_timestamp | Data/hora analisada da entrada do registo |
| metadata.event_type | Codificado nos EMAIL_TRANSACTION |
|
| metadata.log_type | Codificado nos BARRACUDA_EMAIL |
|
| metadata.vendor_name | Codificado nos Barracuda |
|
| network.application_protocol | Definido como SMTP se o campo de processo contiver smtp |
|
| network.direction | Definido como INBOUND se o campo de processo contiver inbound, definido como OUTBOUND se o campo de processo contiver outbound |
|
| security_result.action | Definido com base numa combinação de campos de ação, action_code, serviço e entregue | |
| security_result.category | Definido com base numa combinação da ação, do motivo e de outros campos | |
| security_result.confidence | Codificado nos UNKNOWN_CONFIDENCE |
|
| security_result.priority | Codificado nos UNKNOWN_PRIORITY |
|
| security_result.severity | Codificado como UNKNOWN_SEVERITY se a categoria for UNKNOWN_CATEGORY |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.