收集 Barracuda Email Security Gateway 日志

本文档介绍了如何使用 Bindplane 收集 Barracuda Email Security Gateway 日志。解析器使用 Grok 模式和 JSON 解析从日志中提取字段。然后，它会将提取的字段映射到统一数据模型 (UDM) 架构，对电子邮件活动进行分类（例如垃圾邮件或钓鱼式攻击），并确定要采取的安全措施（例如允许、屏蔽或隔离）。

准备工作

• 确保您有一个 Google Security Operations 实例。
• 确保您使用的是 Windows 2016 或更高版本，或者使用了 systemd 的 Linux 主机。
• 如果在代理后面运行，请确保防火墙端口处于打开状态。
• 确保您拥有对 Symantec DLP 的特权访问权限。

获取 Google SecOps 提取身份验证文件

1. 登录 Google SecOps 控制台。
2. 依次前往 SIEM 设置 > 收集代理。
3. 下载提取身份验证文件。将该文件安全地保存在将安装 BindPlane 的系统上。

获取 Google SecOps 客户 ID

1. 登录 Google SecOps 控制台。
2. 依次选择 SIEM 设置 > 配置文件。
3. 复制并保存组织详细信息部分中的客户 ID。

安装 Bindplane 代理

Windows 安装

1. 以管理员身份打开命令提示符或 PowerShell。

2. 运行以下命令：

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Linux 安装

1. 打开具有 root 或 sudo 权限的终端。

2. 运行以下命令：

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

其他安装资源

• 如需了解其他安装选项，请参阅此安装指南。

配置 Bindplane 代理以提取 Syslog 并将其发送到 Google SecOps

1. 访问配置文件：

   1. 找到 config.yaml 文件。通常，在 Linux 上，该目录位于 /etc/bindplane-agent/ 目录中；在 Windows 上，该目录位于安装目录中。
   2. 使用文本编辑器（例如 nano、vi 或记事本）打开该文件。

2. 按如下方式修改 config.yaml 文件：

   receivers:
       udplog:
           # Replace the port and IP address as required
           listen_address: "0.0.0.0:54525"
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the path to the credentials file you downloaded in Step 1
           creds: '/path/to/ingestion-authentication-file.json'
           # Replace with your actual customer ID from Step 2
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # Add optional ingestion labels for better organization
           ingestion_labels:
               log_type: SYSLOG
               namespace: barracuda_email
               raw_log_field: body
   
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                   - udplog
               exporters:
                   - chronicle/chronicle_w_labels
   

3. 根据基础架构中的需要替换端口和 IP 地址。

4. 将 <customer_id> 替换为实际的客户 ID。

5. 在获取 Google SecOps 提取身份验证文件部分中，将 /path/to/ingestion-authentication-file.json 更新为身份验证文件的保存路径。

重启 Bindplane 代理以应用更改

• 如需在 Linux 中重启 Bindplane 代理，请运行以下命令：

  sudo systemctl restart bindplane-agent
  

• 如需在 Windows 中重启 Bindplane 代理，您可以使用服务控制台，也可以输入以下命令：

  net stop BindPlaneAgent && net start BindPlaneAgent
  

配置 Barracuda Email Security Gateway

1. 登录 Barracuda ESG 界面。
2. 依次选择高级>高级网络 > Syslog 配置。
3. 提供以下详细信息：
   • 勾选 Enable Syslog（启用 Syslog）复选框，以启用 Syslog 日志记录。
   • Syslog 服务器：输入 Bindplane IP 地址。
   • 端口：指定 Syslog 端口（默认为 514，但请确保此端口与 Google Security Operations 中的配置一致）。
   • 在 Syslog Facility 中，选择 Local0。
   • 严重程度级别：对于优先级更高的电子邮件安全日志，请选择错误和警告。
4. 点击保存更改以应用配置。

UDM 映射表

日志字段	UDM 映射	逻辑
account_id		未映射
attachments（附件）		未映射
dst_domain	target.hostname	dst_domain 字段的值
dst_domain	target.asset.hostname	dst_domain 字段的值
env_from		未映射
geoip	target.location.country_or_region	geoip 字段的值
hdr_from	network.email.from	hdr_from 字段的值（如果是电子邮件地址）
hdr_to	network.email.to	hdr_to 字段的值（如果是电子邮件地址），否则从 hdr_to 字段中的 JSON 数组解析
主机	principal.hostname	“主机”字段的值
主机	principal.asset.hostname	“主机”字段的值
message_id	network.email.mail_id	message_id 字段的值
product_log_id	metadata.product_log_id	product_log_id 字段的值
queue_id	security_result.detection_fields.value	queue_id 字段的值
recipient_email	network.email.to	recipient_email 字段的值（如果不为空或 -）
收件人		未映射
recipients.action	security_result.action	如果值为 allowed，则映射到 ALLOW；否则映射到 BLOCK
recipients.action	security_result.action_details	recipients.action 字段的值
recipients.delivery_detail	security_result.detection_fields.value	recipients.delivery_detail 字段的值
recipients.delivered	security_result.detection_fields.value	recipients.delivered 字段的值
recipients.email	network.email.to	recipients.email 字段的值（如果是电子邮件地址）
recipients.reason	security_result.detection_fields.value	recipients.reason 字段的值
recipients.reason_extra	security_result.detection_fields.value	recipients.reason_extra 字段的值
recipients.taxonomy	security_result.detection_fields.value	recipients.taxonomy 字段的值
服务	security_result.summary	“服务”字段的值
大小	network.received_bytes	大小字段的值已转换为无符号整数
src_ip	principal.ip	src_ip 字段的值（如果不为空或 0.0.0.0）
src_ip	principal.asset.ip	src_ip 字段的值（如果不为空或 0.0.0.0）
src_ip	security_result.about.ip	src_ip 字段的值（如果不为空或 0.0.0.0）
subject	network.email.subject	“主题”字段的值
target_ip	target.ip	target_ip 字段的值
target_ip	target.asset.ip	target_ip 字段的值
时间戳	metadata.event_timestamp	从日志条目解析出的时间戳
	metadata.event_type	硬编码为 EMAIL_TRANSACTION
	metadata.log_type	硬编码为 BARRACUDA_EMAIL
	metadata.vendor_name	硬编码为 Barracuda
	network.application_protocol	如果“进程”字段包含 smtp，则设置为 SMTP
	network.direction	如果“进程”字段包含 inbound，则设置为 INBOUND；如果“进程”字段包含 outbound，则设置为 OUTBOUND
	security_result.action	根据 action、action_code、service 和 delivered 字段的组合进行设置
	security_result.category	根据操作、原因和其他字段的组合进行设置
	security_result.confidence	硬编码为 UNKNOWN_CONFIDENCE
	security_result.priority	硬编码为 UNKNOWN_PRIORITY
	security_result.severity	如果类别为 UNKNOWN_CATEGORY，则硬编码为 UNKNOWN_SEVERITY

变化

2024-05-28

增强功能：

• 将 attachments 映射到 additional.fields。

2024-01-08

增强功能：

• 将 recipients.action 映射到 security_result.action_details。
• 将 recipients.email 映射到 network.email.to。
• 将 recipients.delivery_detail、recipients.reason、recipients.taxonomy、recipients.reason_extra 和 recipient.delivered 映射到 security_result.detection_fields。
• 将 dst_domain 映射到 target.hostname。
• 将 geoip 映射到 target.location.country_or_region。

2023-01-19

bug 修复：

• 修改了 Grok 模式以提取 subject 并映射到 network.subject。

2022-12-16

增强功能：

• 为新日志添加了 Grok 模式。
• 将 host 映射到 principal.hostname。
• 将 product_log_id 映射到 metadata.product_log_id。
• 将 network.application_protoco 映射到 SMTP，其中进程包含 smtp。
• 将 sender_email 映射到 network.email.from。
• 将 recipient_email 映射到 network.email.to。
• 将 network.direction 映射到 INBOUND，其中进程包含 inbound。
• 将 network.direction 映射到 OUTBOUND，其中进程包含 outbound。
• 将 target_ip 映射到 target.ip。
• 将 queue_id 映射到 security_result.detection_fields。
• 将 security_result.action 映射到 ALLOW，其中 action_code 为 0 或 7，service 为 RECV 或 SCAN。
• 将 security_result.action 映射到 BLOCK，其中 action_code 为 2，service 为 RECV 或 SCAN。
• 将 security_result.action 映射到 QUARANTINE，其中 action_code 为 3，service 为 RECV 或 SCAN。

2022-05-19

增强功能：

• 修改了电子邮件和 hdr_from 的数据提取，以改进解析。

需要更多帮助？向社区成员和 Google SecOps 专业人士寻求解答。