Mengumpulkan log Barracuda Email Security Gateway
Dokumen ini menjelaskan cara mengumpulkan log Barracuda Email Security Gateway menggunakan Bindplane. Parser mengekstrak kolom dari log menggunakan pola Grok dan penguraian JSON. Kemudian, kolom yang diekstrak dipetakan ke skema Model Data Terpadu (UDM), mengategorikan aktivitas email (misalnya, spam atau phishing), dan menentukan tindakan keamanan yang diambil (misalnya, izinkan, blokir, atau karantina).
Sebelum memulai
- Pastikan Anda memiliki instance Google Security Operations.
- Pastikan Anda menggunakan Windows 2016 atau yang lebih baru, atau host Linux dengan
systemd
. - Jika berjalan di belakang proxy, pastikan port firewall terbuka.
- Pastikan Anda memiliki akses istimewa ke Symantec DLP.
Mendapatkan file autentikasi penyerapan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Agen Pengumpulan.
- Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.
Mendapatkan ID pelanggan Google SecOps
- Login ke konsol Google SecOps.
- Buka Setelan SIEM > Profil.
- Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.
Menginstal agen Bindplane
Penginstalan Windows
- Buka Command Prompt atau PowerShell sebagai administrator.
Jalankan perintah berikut:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Penginstalan Linux
- Buka terminal dengan hak istimewa root atau sudo.
Jalankan perintah berikut:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Referensi penginstalan tambahan
- Untuk opsi penginstalan tambahan, lihat panduan penginstalan ini.
Mengonfigurasi agen BindPlane untuk menyerap Syslog dan mengirimkannya ke Google SecOps
Akses file konfigurasi:
- Cari file
config.yaml
. Biasanya, file ini berada di direktori/etc/bindplane-agent/
di Linux atau di direktori penginstalan di Windows. - Buka file menggunakan editor teks (misalnya,
nano
,vi
, atau Notepad).
- Cari file
Edit file
config.yaml
sebagai berikut:receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:54525" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: SYSLOG namespace: barracuda_email raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels
Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.
Ganti
<customer_id>
dengan ID pelanggan yang sebenarnya.Perbarui
/path/to/ingestion-authentication-file.json
ke jalur tempat file autentikasi disimpan di bagian Dapatkan file autentikasi penyerapan Google SecOps.
Mulai ulang agen Bindplane untuk menerapkan perubahan
Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:
sudo systemctl restart bindplane-agent
Untuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:
net stop BindPlaneAgent && net start BindPlaneAgent
Mengonfigurasi Barracuda Email Security Gateway
- Login ke Barracuda ESG Interface.
- Pilih Lanjutan > Jaringan lanjutan > Konfigurasi Syslog.
- Berikan detail berikut:
- Aktifkan logging Syslog dengan mencentang kotak Enable Syslog.
- Server Syslog: masukkan alamat IP
Bindplane
. - Port: tentukan port Syslog (defaultnya adalah 514, tetapi pastikan ini cocok dengan konfigurasi di Google Security Operations).
- Syslog Facility pilih Local0.
- Tingkat Keparahan: pilih Error dan Peringatan untuk log keamanan email dengan prioritas lebih tinggi.
- Klik Simpan Perubahan untuk menerapkan konfigurasi.
Tabel Pemetaan UDM
Kolom log | Pemetaan UDM | Logika |
---|---|---|
account_id | Tidak Dipetakan | |
lampiran | Tidak Dipetakan | |
dst_domain | target.hostname | Nilai kolom dst_domain |
dst_domain | target.asset.hostname | Nilai kolom dst_domain |
env_from | Tidak Dipetakan | |
geoip | target.location.country_or_region | Nilai kolom geoip |
hdr_from | network.email.from | Nilai kolom hdr_from jika berupa alamat email |
hdr_to | network.email.to | Nilai kolom hdr_to jika berupa alamat email, atau diuraikan dari array JSON di kolom hdr_to |
host | principal.hostname | Nilai kolom host |
host | principal.asset.hostname | Nilai kolom host |
message_id | network.email.mail_id | Nilai kolom message_id |
product_log_id | metadata.product_log_id | Nilai kolom product_log_id |
queue_id | security_result.detection_fields.value | Nilai kolom queue_id |
recipient_email | network.email.to | Nilai kolom recipient_email jika tidak kosong atau - |
penerima | Tidak Dipetakan | |
recipients.action | security_result.action | Dipetakan ke ALLOW jika nilainya adalah allowed , jika tidak dipetakan ke BLOCK |
recipients.action | security_result.action_details | Nilai kolom recipients.action |
recipients.delivery_detail | security_result.detection_fields.value | Nilai kolom recipients.delivery_detail |
recipients.delivered | security_result.detection_fields.value | Nilai kolom recipients.delivered |
recipients.email | network.email.to | Nilai kolom recipients.email jika berupa alamat email |
recipients.reason | security_result.detection_fields.value | Nilai kolom recipients.reason |
recipients.reason_extra | security_result.detection_fields.value | Nilai kolom recipients.reason_extra |
recipients.taxonomy | security_result.detection_fields.value | Nilai kolom recipients.taxonomy |
pelanggan | security_result.summary | Nilai kolom layanan |
ukuran | network.received_bytes | Nilai kolom ukuran dikonversi menjadi bilangan bulat tidak bertanda |
src_ip | principal.ip | Nilai kolom src_ip jika tidak kosong atau 0.0.0.0 |
src_ip | principal.asset.ip | Nilai kolom src_ip jika tidak kosong atau 0.0.0.0 |
src_ip | security_result.about.ip | Nilai kolom src_ip jika tidak kosong atau 0.0.0.0 |
subject | network.email.subject | Nilai kolom subjek |
target_ip | target.ip | Nilai kolom target_ip |
target_ip | target.asset.ip | Nilai kolom target_ip |
timestamp | metadata.event_timestamp | Stempel waktu yang diuraikan dari entri log |
metadata.event_type | Hardcode ke EMAIL_TRANSACTION |
|
metadata.log_type | Hardcode ke BARRACUDA_EMAIL |
|
metadata.vendor_name | Hardcode ke Barracuda |
|
network.application_protocol | Tetapkan ke SMTP jika kolom proses berisi smtp |
|
network.direction | Disetel ke INBOUND jika kolom proses berisi inbound , disetel ke OUTBOUND jika kolom proses berisi outbound |
|
security_result.action | Ditetapkan berdasarkan kombinasi kolom tindakan, action_code, layanan, dan dikirim | |
security_result.category | Ditetapkan berdasarkan kombinasi tindakan, alasan, dan kolom lainnya | |
security_result.confidence | Hardcode ke UNKNOWN_CONFIDENCE |
|
security_result.priority | Hardcode ke UNKNOWN_PRIORITY |
|
security_result.severity | Di-hardcode ke UNKNOWN_SEVERITY jika kategori adalah UNKNOWN_CATEGORY |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.