收集 Barracuda Email Security Gateway 日志

支持的语言:

本文档介绍了如何使用 Bindplane 收集 Barracuda Email Security Gateway 日志。解析器使用 Grok 模式和 JSON 解析从日志中提取字段。然后,它会将提取的字段映射到统一数据模型 (UDM) 架构,对电子邮件活动进行分类(例如,垃圾邮件或网络钓鱼),并确定采取的安全措施(例如,允许、阻止或隔离)。

准备工作

  • 确保您拥有 Google Security Operations 实例。
  • 确保您使用的是 Windows 2016 或更高版本,或者具有 systemd 的 Linux 主机。
  • 如果通过代理运行,请确保防火墙端口处于开放状态。
  • 确保您拥有对 Symantec DLP 的特权访问权限。

获取 Google SecOps 注入身份验证文件

  1. 登录 Google SecOps 控制台。
  2. 依次前往 SIEM 设置 > 收集代理
  3. 下载注入身份验证文件。将文件安全地保存在将要安装 Bindplane 的系统上。

获取 Google SecOps 客户 ID

  1. 登录 Google SecOps 控制台。
  2. 依次前往 SIEM 设置 > 配置文件
  3. 复制并保存组织详细信息部分中的客户 ID

安装 Bindplane 代理

Windows 安装

  1. 以管理员身份打开命令提示符PowerShell

  2. 运行以下命令:

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 安装

  1. 打开具有 root 或 sudo 权限的终端。

  2. 运行以下命令:

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安装资源

  • 如需了解其他安装选项,请参阅此安装指南

配置 Bindplane 代理以注入 Syslog 并将其发送到 Google SecOps

  1. 访问配置文件:

    1. 找到 config.yaml 文件。通常,它位于 Linux 上的 /etc/bindplane-agent/ 目录中或 Windows 上的安装目录中。
    2. 使用文本编辑器(例如 nanovi 或记事本)打开该文件。

  2. 按如下方式修改 config.yaml 文件:

    receivers:
    udplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:54525"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        ingestion_labels:
            log_type: SYSLOG
            namespace: barracuda_email
            raw_log_field: body

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - udplog
            exporters:
                - chronicle/chronicle_w_labels

  3. 根据基础架构的需要替换端口和 IP 地址。

  4. <customer_id> 替换为实际的客户 ID。

  5. /path/to/ingestion-authentication-file.json 更新为获取 Google SecOps 提取身份验证文件部分中保存身份验证文件的路径。

重启 Bindplane 代理以应用更改

  • 如需在 Linux 中重启 Bindplane 代理,请运行以下命令:

    sudo systemctl restart bindplane-agent

  • 如需在 Windows 中重启 Bindplane 代理,您可以使用服务控制台,也可以输入以下命令:

    net stop BindPlaneAgent && net start BindPlaneAgent

配置 Barracuda Email Security Gateway

  1. 登录 Barracuda ESG 界面
  2. 依次选择高级 > 高级网络 > Syslog 配置
  3. 提供以下详细信息:
    • 勾选启用 Syslog 复选框,以启用 Syslog 日志记录。
    • Syslog 服务器:输入 Bindplane IP 地址。
    • 端口:指定 Syslog 端口(默认为 514,但请确保此端口与 Google Security Operations 中的配置一致)。
    • Syslog Facility 中选择 Local0
    • 严重程度:选择错误和警告,以获取优先级更高的电子邮件安全日志。
  4. 点击保存更改以应用配置。

UDM 映射表

日志字段 UDM 映射 逻辑
account_id 未映射
attachments(附件) 未映射
dst_domain target.hostname dst_domain 字段的值
dst_domain target.asset.hostname dst_domain 字段的值
env_from 未映射
geoip target.location.country_or_region geoip 字段的值
hdr_from network.email.from hdr_from 字段的值(如果它是电子邮件地址)
hdr_to network.email.to hdr_to 字段的值(如果它是电子邮件地址),否则从 hdr_to 字段中的 JSON 数组解析
主机 principal.hostname 主机字段的值
主机 principal.asset.hostname 主机字段的值
message_id network.email.mail_id message_id 字段的值
product_log_id metadata.product_log_id product_log_id 字段的值
queue_id security_result.detection_fields.value queue_id 字段的值
recipient_email network.email.to recipient_email 字段的值(如果该字段不为空或不为 -
收件人 未映射
recipients.action security_result.action 如果值为 allowed,则映射到 ALLOW;否则映射到 BLOCK
recipients.action security_result.action_details recipients.action 字段的值
recipients.delivery_detail security_result.detection_fields.value recipient.delivery_detail 字段的值
recipients.delivered security_result.detection_fields.value recipients.delivered 字段的值
recipients.email network.email.to recipient.email 字段的值(如果它是电子邮件地址)
recipients.reason security_result.detection_fields.value recipients.reason 字段的值
recipients.reason_extra security_result.detection_fields.value recipient.reason_extra 字段的值
recipients.taxonomy security_result.detection_fields.value recipients.taxonomy 字段的值
服务 security_result.summary 服务字段的值
大小 network.received_bytes 大小字段的值(已转换为无符号整数)
src_ip principal.ip src_ip 字段的值(如果该字段不为空或不为 0.0.0.0
src_ip principal.asset.ip src_ip 字段的值(如果该字段不为空或不为 0.0.0.0
src_ip security_result.about.ip src_ip 字段的值(如果该字段不为空或不为 0.0.0.0
subject network.email.subject 主题字段的值
target_ip target.ip target_ip 字段的值
target_ip target.asset.ip target_ip 字段的值
时间戳 metadata.event_timestamp 从日志条目中解析的时间戳
metadata.event_type 硬编码为 EMAIL_TRANSACTION
metadata.log_type 硬编码为 BARRACUDA_EMAIL
metadata.vendor_name 硬编码为 Barracuda
network.application_protocol 如果进程字段包含 smtp,则设置为 SMTP
network.direction 如果进程字段包含 inbound,则设置为 INBOUND;如果进程字段包含 outbound,则设置为 OUTBOUND
security_result.action 根据操作、action_code、服务和 delivered 字段的组合设置
security_result.category 根据操作、原因和其他字段的组合设置
security_result.confidence 硬编码为 UNKNOWN_CONFIDENCE
security_result.priority 硬编码为 UNKNOWN_PRIORITY
security_result.severity 如果类别为 UNKNOWN_CATEGORY,则硬编码为 UNKNOWN_SEVERITY

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。