Esta página foi traduzida pela API Cloud Translation.

Coletar registros do Barracuda Email Security Gateway

Compatível com:

Google SecOps SIEM

Este documento explica como coletar registros do Barracuda Email Security Gateway usando o Bindplane. O analisador extrai campos dos registros usando padrões Grok e análise JSON. Em seguida, ele mapeia os campos extraídos para o esquema do modelo de dados unificado (UDM, na sigla em inglês), categoriza a atividade de e-mail (por exemplo, spam ou phishing) e determina a ação de segurança realizada (por exemplo, permitir, bloquear ou colocar em quarentena).

Antes de começar

Verifique se você tem uma instância do Google Security Operations.
Verifique se você está usando o Windows 2016 ou uma versão mais recente ou um host Linux com systemd.
Se estiver executando por trás de um proxy, verifique se as portas do firewall estão abertas.
Confira se você tem acesso privilegiado ao DLP da Symantec.

Receber o arquivo de autenticação de ingestão do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Agentes de coleta.
Faça o download do arquivo de autenticação de transferência. Salve o arquivo com segurança no sistema em que o BindPlane será instalado.

Receber o ID de cliente do Google SecOps

Faça login no console do Google SecOps.
Acesse Configurações do SIEM > Perfil.
Copie e salve o ID do cliente na seção Detalhes da organização.

Instalar o agente do Bindplane

Instalação do Windows

Abra o Prompt de Comando ou o PowerShell como administrador.

Execute este comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Instalação do Linux

Abra um terminal com privilégios de raiz ou sudo.

Execute este comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Outros recursos de instalação

Para mais opções de instalação, consulte este guia de instalação.

Configurar o agente do Bindplane para processar o Syslog e enviar ao Google SecOps

Acesse o arquivo de configuração:
1. Localize o arquivo config.yaml. Normalmente, ele está no diretório /etc/bindplane-agent/ no Linux ou no diretório de instalação no Windows.
2. Abra o arquivo usando um editor de texto (por exemplo, nano, vi ou Notepad).

Edite o arquivo config.yaml da seguinte forma:

receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:54525"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: SYSLOG
            namespace: barracuda_email
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
Substitua <customer_id> pelo ID real do cliente.
Atualize /path/to/ingestion-authentication-file.json para o caminho em que o arquivo de autenticação foi salvo na seção Receber o arquivo de autenticação de ingestão do Google SecOps.

Reinicie o agente do Bindplane para aplicar as mudanças

Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:
```
sudo systemctl restart bindplane-agent
```
Para reiniciar o agente do Bindplane no Windows, use o console Services ou digite o seguinte comando:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Configurar o Barracuda Email Security Gateway

Faça login na interface do Barracuda ESG.
Selecione Avançado > Rede avançada > Configuração do Syslog.
Forneça os seguintes detalhes:
- Marque a caixa de seleção Ativar Syslog para ativar o registro do Syslog.
- Servidor Syslog: insira o endereço IP Bindplane.
- Porta: especifique a porta Syslog. O padrão é 514, mas verifique se ela corresponde à configuração nas Operações de Segurança do Google.
- Syslog Facility: escolha Local0.
- Nível de gravidade: selecione Erro e aviso para registros de segurança de e-mail de prioridade mais alta.
Clique em Salvar alterações para aplicar a configuração.

Tabela de mapeamento do UDM

Campo de registro	Mapeamento de UDM	Lógica
account_id		Não mapeado
anexos		Não mapeado
dst_domain	target.hostname	Valor do campo dst_domain
dst_domain	target.asset.hostname	Valor do campo dst_domain
env_from		Não mapeado
geoip	target.location.country_or_region	Valor do campo de geoip
hdr_from	network.email.from	Valor do campo hdr_from se for um endereço de e-mail
hdr_to	network.email.to	Valor do campo hdr_to se for um endereço de e-mail. Caso contrário, será analisado a partir da matriz JSON no campo hdr_to.
host	principal.hostname	Valor do campo de host
host	principal.asset.hostname	Valor do campo de host
message_id	network.email.mail_id	Valor do campo message_id
product_log_id	metadata.product_log_id	Valor do campo product_log_id
queue_id	security_result.detection_fields.value	Valor do campo queue_id
recipient_email	network.email.to	Valor do campo recipient_email se ele não estiver vazio ou `-`
destinatários		Não mapeado
recipients.action	security_result.action	Mapeado para PERMITIR se o valor for `allowed`. Caso contrário, será mapeado para BLOQUEAR.
recipients.action	security_result.action_details	Valor do campo recipients.action
recipients.delivery_detail	security_result.detection_fields.value	Valor do campo recipients.delivery_detail
recipients.delivered	security_result.detection_fields.value	Valor do campo recipients.delivered
recipients.email	network.email.to	Valor do campo recipients.email se for um endereço de e-mail
recipients.reason	security_result.detection_fields.value	Valor do campo recipients.reason
recipients.reason_extra	security_result.detection_fields.value	Valor do campo recipients.reason_extra
recipients.taxonomy	security_result.detection_fields.value	Valor do campo recipients.taxonomy
serviço	security_result.summary	Valor do campo de serviço
tamanho	network.received_bytes	Valor do campo de tamanho convertido em um número inteiro sem sinal
src_ip	principal.ip	Valor do campo src_ip se ele não estiver vazio ou `0.0.0.0`
src_ip	principal.asset.ip	Valor do campo src_ip se ele não estiver vazio ou `0.0.0.0`
src_ip	security_result.about.ip	Valor do campo src_ip se ele não estiver vazio ou `0.0.0.0`
subject	network.email.subject	Valor do campo de assunto
target_ip	target.ip	Valor do campo target_ip
target_ip	target.asset.ip	Valor do campo target_ip
timestamp	metadata.event_timestamp	Carimbo de data/hora analisado da entrada de registro
	metadata.event_type	Fixado em `EMAIL_TRANSACTION`
	metadata.log_type	Fixado em `BARRACUDA_EMAIL`
	metadata.vendor_name	Fixado em `Barracuda`
	network.application_protocol	Defina como `SMTP` se o campo de processo contiver `smtp`
	network.direction	Defina como `INBOUND` se o campo de processo contiver `inbound` e como `OUTBOUND` se o campo de processo contiver `outbound`.
	security_result.action	Definido com base em uma combinação de action, action_code, service e campos entregues
	security_result.category	Definir com base em uma combinação de ação, motivo e outros campos
	security_result.confidence	Fixado em `UNKNOWN_CONFIDENCE`
	security_result.priority	Fixado em `UNKNOWN_PRIORITY`
	security_result.severity	Fixado em `UNKNOWN_SEVERITY` se a categoria for `UNKNOWN_CATEGORY`

Alterações

2024-05-28

Melhoria:

attachments foi mapeado para additional.fields.

2024-01-08

Melhoria:

recipients.action foi mapeado para security_result.action_details.
recipients.email foi mapeado para network.email.to.
Mapeamos recipients.delivery_detail, recipients.reason, recipients.taxonomy, recipients.reason_extra e recipient.delivered para security_result.detection_fields.
dst_domain foi mapeado para target.hostname.
geoip foi mapeado para target.location.country_or_region.

2023-01-19

Correção de bugs:

O padrão de grok foi modificado para extrair subject e mapear para network.subject.

2022-12-16

Melhoria:

Adição de padrão grok para novos registros.
host foi mapeado para principal.hostname.
product_log_id foi mapeado para metadata.product_log_id.
Mapeou network.application_protoco para SMTP, em que o processo inclui smtp.
sender_email foi mapeado para network.email.from.
recipient_email foi mapeado para network.email.to.
Mapeou network.direction para INBOUND, em que o processo inclui inbound.
Mapeou network.direction para OUTBOUND, em que o processo inclui outbound.
target_ip foi mapeado para target.ip.
queue_id foi mapeado para security_result.detection_fields.
Mapeou security_result.action para ALLOW, em que action_code são 0 ou 7 e service são RECV ou SCAN.
Mapeou security_result.action para BLOCK, em que action_code é 2 e service é RECV ou SCAN.
Mapeou security_result.action para QUARANTINE, em que action_code é 3 e service é RECV ou SCAN.

2022-05-19

Melhoria:

A extração de dados foi modificada para e-mail e hdr_from para melhorar a análise.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.