收集 Forcepoint Mail Relay 日志
本文档介绍了如何使用 Amazon S3 将 Forcepoint Mail Relay 日志注入到 Google Security Operations。
Forcepoint Mail Relay 是一款基于云的电子邮件安全解决方案,可保护组织免受电子邮件传播的威胁,包括垃圾邮件、钓鱼式攻击、恶意软件和数据泄露。该解决方案可为入站和出站电子邮件流量提供全面的电子邮件过滤、数据泄露防护 (DLP)、加密和高级威胁防护功能。
准备工作
请确保您满足以下前提条件:
- Google SecOps 实例
- 对 Forcepoint Mail Relay Cloud 门户的特权访问权限
- 对 AWS (S3、IAM) 的特权访问权限
- 为您的 Forcepoint 管理员账号启用了日志导出权限
配置 Forcepoint Mail Relay Cloud SIEM 存储空间
如需将 Forcepoint Mail Relay Cloud 配置为将日志导出到您的 AWS S3 存储桶,请执行以下操作:
在 AWS 门户上创建一个或多个 AWS S3 存储分区。
登录 Forcepoint Cloud Security Gateway 门户。
依次前往账号 > SIEM 存储。
在存储类型部分中,选择自带存储空间单选按钮。
点击添加,将您的存储桶添加到存储空间列表:自带存储空间表格中。
在添加分桶对话框中,输入以下内容:
- 存储桶名称:输入 AWS 门户中的存储桶名称(例如
forcepoint-email-logs)。 - 前缀(可选):输入前缀以整理日志文件。使用
/创建文件夹(例如email-logs/)。如果不包含/,则前缀会附加到文件名的前面。
- 存储桶名称:输入 AWS 门户中的存储桶名称(例如
点击保存。系统会将分桶信息添加到表格中。
在 Storage List: Bring Your Own 表格中,点击您刚刚添加的存储桶所在行中的 JSON 链接。
在 Bucket Policy 页面上,点击 Copy Text 将 JSON 窗格的内容复制到剪贴板。
在 AWS 管理控制台中,打开 S3 服务。
选择您的存储桶(例如
forcepoint-email-logs)。前往权限 > 存储分区政策。
点击修改。
粘贴从 Forcepoint 门户复制的 JSON 政策。
点击保存更改。
返回 Forcepoint 门户的 SIEM Storage 页面。
在存储空间列表:自带存储空间表格中,点击相应存储桶的检查连接。
连接测试成功后,在存储空间列表:自带存储空间表中,为您的存储桶选择有效单选按钮。
点击页面底部的保存。
启用 SIEM 日志记录并配置导出格式
- 在 Forcepoint 门户中,依次前往报告 > 账号报告 > SIEM 集成。
- 在数据类型列表中,选择电子邮件安全。
将启用数据导出切换开关设置为开启。
在左侧的属性部分中,将以下属性拖动到列部分:
- 方向
- 发件人:地址
- 政策
- 收件人地址
- 收件人网域
- 发件人网域
- 发件人名称
- 主题
- 操作
- 黑名单/白名单
- 被屏蔽的附件扩展名
- 过滤原因
- 发件人 IP
- 发件人 IP 所在国家/地区
- 附件文件类型
- 附件文件名
- Emb. 网址风险类别
- Emb. 网址严重程度
- 高级加密
- 文件沙盒状态
- 病毒名称
- 日期和时间
- 邮件大小
- 垃圾内容得分
- 附件大小
点击保存。
为 Google SecOps 配置 AWS S3 存储桶和 IAM
按照以下用户指南创建 Amazon S3 存储桶:创建存储桶
保存存储桶名称和区域以供日后参考(例如
forcepoint-email-logs)。按照以下用户指南创建用户:创建 IAM 用户。
选择创建的用户。
选择安全凭据标签页。
在访问密钥部分中,点击创建访问密钥。
选择第三方服务作为使用情形。
点击下一步。
可选:添加说明标记。
点击创建访问密钥。
点击下载 .csv 文件以保存访问密钥和密钥,供日后参考。
点击完成。
选择权限标签页。
在权限政策部分中,点击添加权限。
选择添加权限。
选择直接附加政策。
搜索 AmazonS3FullAccess 政策。
选择相应政策。
点击下一步。
点击添加权限。
在 Google SecOps 中配置 Feed 以注入 Forcepoint Mail Relay 日志
- 依次前往 SIEM 设置 > Feed。
- 点击添加新 Feed。
- 在下一页上,点击配置单个 Feed。
- 为Feed 名称输入一个唯一名称。
- 选择 Amazon S3 V2 作为来源类型。
- 选择 Forcepoint Mail Relay 作为日志类型。
- 点击下一步,然后点击提交。
为以下字段指定值:
- S3 URI:
s3://forcepoint-email-logs/email-logs/。 - 源删除选项:根据您的偏好选择删除选项。
- 文件存在时间上限:包含在过去指定天数内修改的文件(默认值为 180 天)。
- 访问密钥 ID:有权访问 S3 存储桶的用户访问密钥。
- 私有访问密钥:有权访问 S3 存储桶的用户私有密钥。
- 资产命名空间:资产命名空间。
- 注入标签:要应用于此 Feed 中事件的标签。
- S3 URI:
点击下一步,然后点击提交。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
| hybridSpamScore_label.key | 设置为“hybridSpamScore” | |
| hybridSpamScore | hybridSpamScore_label.value | 直接复制值 |
| localSpamScore_label.key | 设置为“localSpamScore” | |
| localSpamScore | localSpamScore_label.value | 直接复制值 |
| metadata.event_type | 初始设置为“GENERIC_EVENT”;如果 has_network_email 为 true,则设置为“EMAIL_TRANSACTION”;否则,如果 has_principal 和 has_target 均为 true,则设置为“NETWORK_CONNECTION”;否则,如果 has_principal 为 true,则设置为“STATUS_UPDATE”;否则设置为“GENERIC_EVENT” | |
| product_event_type | metadata.product_event_type | 直接复制值 |
| metadata.product_name | 设置为“FORCEPOINT_MAIL_RELAY” | |
| metadata.vendor_name | 设置为“FORCEPOINT_MAIL_RELAY” | |
| 发件人 | network.email.from | 直接复制值 |
| subject | network.email.subject | 直接复制值 |
| 收件人 | network.email.to | 直接复制值 |
| identHostName | principal.asset.hostname | 直接复制值 |
| identSrc、trueSrc、src | principal.asset.ip | 如果 src 不为空,则返回 src 中的值;否则,如果 trueSrc 不为空,则返回 trueSrc;否则,返回 identSrc |
| identHostName | principal.hostname | 直接复制值 |
| identSrc、trueSrc、src | principal.ip | 如果 src 不为空,则返回 src 中的值;否则,如果 trueSrc 不为空,则返回 trueSrc;否则,返回 identSrc |
| 发件人 | principal.user.email_addresses | 直接复制值 |
| 摘要 | security_result.action | 如果摘要与 (?i)clean 匹配,则设置为“ALLOW” |
| act | security_result.action_details | 直接复制值 |
| hybridSpamScore_label, localSpamScore_label | security_result.detection_fields | 从 hybridSpamScore_label 和 localSpamScore_label 合并而来 |
| 摘要 | security_result.summary | 直接复制值 |
| dst | target.asset.ip | 直接复制值 |
| dst | target.ip | 直接复制值 |
| 收件人 | target.user.email_addresses | 直接复制值 |
需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。