SIEM / SOAR 統合

Email Security では、複数の Security Information and Event Management(SIEM)プラットフォームおよび Palo Alto Networks の Cortex XSOAR と統合できます。

暗号化 - SIEM では、別途設定されていない限り、すべてのイベントは HTTPS 経由で転送されます。

ソースIPアドレス

Email Security は、複数の地理的リージョンのいずれかにデプロイできます。セキュリティイベントは、各リージョンごとに固有のスタティック IP から転送されます。

各リージョンのスタティック IP アドレス:

  • オーストラリア -52.63.125.59

  • カナダ -35.182.23.24

  • ヨーロッパ -54.247.106.52

  • インド-15.207.123.24

  • アラブ首長国連邦-51.112.39.93

  • 英国-3.9.211.100

  • 米国 -34.192.247.192

SIEM 統合の設定

Check Point Portal から SIEM 統合を設定するには:

  1. Security Settings >Security Engines をクリックします。

  2. ConfigureSIEM Integration をクリックします。

  3. 必要な Transport メソッドを選択し、関連する詳細を入力します。

    Transport メソッド

    必須フィールド

    Splunk HTTP Event Collector(HEC)

    HTTP Event Collector Host / URI

    HTTP Event Collector Token

    (任意)Indexer acknowledgment を使用するには、チェックボックスを選択し、チャネル ID を入力します。

    (任意)Splunk Index を使用するには、チェックボックスを選択し、Splunk インデックス名を入力します。

    HTTP Collector

    HTTP Collector URL(HTTP/HTTPS)

    例:https://myconnector.mycompany.com

    AWS S3

    AWS IAM ロール ARN

    AWS S3 バケット名

    AWS S3 バケットリージョン

    AWS S3 バケットディレクトリパス

    (任意)External ID を使用するには、チェックボックスを選択し、External ID を入力します。

    AWS SQS

    AWS SQS Queue URL

    Azure Log Workspace

    Azure Log Workspace ID

    Azure Log Workspace Shared Key

    TCP

    TCP Host

    TCPポート

    Google Chronicle

    Customer ID - お客様の Chronicle インスタンスに対応する一意の識別子(UUID)。

    Account Region - Chronicle インスタンスが作成されたリージョン。

    認証情報 JSON - Google Service Account の認証情報。

    - 認証情報 JSON を利用できない場合は、Google サポートにお問い合わせください。

    Ingestion API - Google Chronicle Ingestion API のタイプ

    • Unified Data Model(UDM)イベント

    • 非構造化ログ

    Crowdstrike NG-SIEM

     

    CrowdStrike Event Collector Host / URL

    Bearer Token

  4. 必要なログ Format を選択します。

    • JSON(Splunk HEC/CIM互換)

    • JSON(CIM互換)

    • JSON

    • JSON Flat(ドット表記)

    • JSON(Rapid7、8k文字未満)

    • JSON(Elastic ECS 互換)

    • JSON(Crowdstrike ECS互換)

    • JSON(Google UDM 互換)

    • Syslog(Syslog 形式でのログの転送)

    • Google Chronicle 非構造化ログ

  5. (任意)Email Security から SIEM プラットフォームに転送されるすべてのイベントにカスタムフィールドを追加する必要がある場合:

    1. Add custom field チェックボックスをオンにします。

    2. 必要なCustom field nameを入力します。

    3. 必要なCustom field valueを入力します。

    - 追加できるカスタム フィールドは最大 5 つまでです。

  6. Saveをクリックします。

- SIEM 統合を設定すると、Email Security はログの送信を開始します。Email Security ログを受信できるように、SIEM プラットフォームを設定する必要があります。

Syslog 形式でのログの転送

  • Syslog メッセージは RFC 5424 に準拠しています。

  • syslog メッセージのサイズを制限する必要がある場合は、Limit syslog message formatチェック ボックスをオンにし、Limit syslog message length (bytes)でメッセージ上限をバイト単位で入力します。

  • すべての syslog メッセージに認証トークンを追加する必要がある場合は、Token (optional)にトークンを入力します。

  • TCP 転送を使用する場合は、TLS を設定できます。証明書を定義するには、次に連絡してくださいCheck Point Support.

    • サポートされている証明書の種類:

      • CA 証明書:

        • イベントを転送するリモート サーバを検証するために、当社のサーバ用の CA 証明書を使用します。

        • 証明書に必要なすべてのコンポーネントが含まれていることを確認してください: Root CA、Intermediate Certificates、Server Certificate のすべてが .pem 形式です。

        • 証明書は次の順序で一覧にしてください: Server Certificate、Intermediate Certificates、Root CA。

        • サーバ 証明書の Common Name (CN) は、SIEM 設定で指定したドメインまたは IP アドレスと一致している必要があります。

      • クライアント証明書:

        • リモート サーバが TLS 用にクライアント(当社の SIEM サーバ)を検証する必要がある場合は、クライアント証明書を使用します。

        • 証明書は .pem 形式で、クライアント証明書と暗号化されていない秘密鍵の 2 つの部分を含める必要があります。

SIEM でサポートされるセキュリティ イベント

Email Security は、これらのセキュリティ イベントを統合された SIEM プラットフォームに送信することをサポートしています。

  • フィッシング

  • フィッシングの疑い

  • ユーザが報告したフィッシング

  • マルウェア

  • マルウェアの疑い

  • 悪意のある URL

  • 悪意のある URL のクリック

  • DLP

  • 異常

  • シャドーIT

  • スパム

:

  • Email Security は、これらの各セキュリティ イベントごとにログを生成します。

  • Email Security は、DLP SIEM ログに機密データを追加しません。

  • ERM セキュリティ イベントは SIEM に送信されます。ERM 機能を有効化すると、システムには過去 6 か月の漏えいした認証情報が表示されますが、セキュリティ イベントは生成されません。ERM を有効にした後、または POC を開始した後に検出された認証情報のみが、Anomaly タイプのセキュリティ イベントを生成します。

  • システム監査ログを SIEM プラットフォームに直接エクスポートするには、Email Security's public APIs を使用します。

SIEM 統合フィールド マッピング リファレンス

この表は、SIEM 統合時にマッピングできるフィールドの包括的なリファレンスを提供します。各エントリにはフィールド名とそれに対応する説明が含まれており、セキュリティ ツールと SIEM プラットフォーム間でデータを正確に対応付けることができます。

フィールド名

説明
イベント時間 イベントが発生した時点のタイムスタンプです。
イベントID イベントの一意の識別子です。
エンティティ タイプ エンティティのタイプです(例: security_event)。
イベント サブタイプ イベントのサブタイプです(例: shadow_it)。
顧客ドメイン 影響を受ける組織のドメインです。

顧客リージョン

 顧客のリージョンです。

OEM

セキュリティ OEM ベンダー(例:Check Point).

SaaS製品

関連するSaaS製品(例: Google Mail、Office 365 Mail)。

深刻度

イベントの重要度レベルです。

現在の状態

イベントの現在の処理状態です(例: new、remediated)。

イベントカテゴリ

イベントのカテゴリです(例: shadow_it)。

説明

イベントに関連する説明です。

コンフィデンス レベル

イベントに割り当てられたコンフィデンススコアです。

コンフィデンス指標

コンフィデンス評価に使用される指標です。

送信者アドレス

送信者のメールアドレスです。

一致したセキュリティツール

問題を検出したセキュリティエンジンまたはツールです。

ポリシー ルール ID

イベントをトリガしたポリシー ルールのIDです。

ユーザEメール

影響を受けたユーザのメールアドレスです。

ユーザ部門

影響を受けたユーザの部門です。

ユーザ役職

影響を受けたユーザの役職またはロールです。

ユーザ氏名

影響を受けたユーザの氏名です。

サブジェクト

不審なメールの件名です。

悪意のある URL

ユーザがクリックした悪意のある URLです。

- Malicious URL proceedイベントに適用されます。

クリック元IP

ユーザが悪意のある URLにアクセスした送信元IPアドレスです。

- Malicious URL proceedイベントに適用されます。

ユーザエージェント

悪意のある URLへのアクセスに使用されたデバイスのユーザエージェント文字列です。

- Malicious URL proceedイベントに適用されます。

添付ファイル名

悪意があると検出されたファイルの名前です。

- Malware、User reported phishing、および Threat extractionイベントに適用されます。

添付ファイルMD5

悪意のある添付ファイルのMD5ハッシュです。

- Malware、User reported phishing、および Threat extractionイベントに適用されます。

判定

添付ファイルに対するセキュリティツールの判定です。

- Malwareイベントに適用されます。

AV判定

AVエンジンによる最終判定です。

- Suspected malwareイベントに適用されます。

検出理由

システムが問題を検出する理由です(例: テキストの難読化、リンクパターンなど)。

- Graymail、Phishing、Spam、Suspected phishingイベントに適用されます。

アプリケーションドメイン

検出されたアプリケーションのドメインです。

- Shadow itイベントに適用されます。

アプリカテゴリ

アプリケーションのカテゴリです(例: Collaboration、HR Software、Search Engine、Financial、Transcription、Software Source Control、Online Data Storage、Graphic Design、Application Development、Remote Access、Event Management、File Transfer、Single Sign On、Social Network、Project Management、CRM、Scheduling、Expense Reports、Electronic Signature、Construction Software、Password Keeper、Cloud Computing、Time Tracking)。

- Shadow it イベントに適用されます。

アプリ表示名

アプリケーションのユーザフレンドリーな表示名です。

- Shadow it イベントに適用されます。

アプリ リスク レベル

アプリケーションに割り当てられたリスクレベルです。

- Shadow it イベントに適用されます。

イベントを AWS S3 に転送する

メールセキュリティログを受信するように AWS S3 を設定する

  1. AWS IAM にアクセスします: https://console.aws.amazon.com/iam/home#/home

  2. 新規ユーザを作成するには

    1. Users > Add userをクリックします。

    2. ユーザ名を選択し、Access TypeProgrammatic access として有効にして、Next: Permissions をクリックします。

    3. Create Groupをクリックするか、すでに作成済みの場合はグループを選択します。

    4. Create policyをクリックするか、すでに作成済みの場合はポリシーを選択します。

    5. 新しいタブで、JSON をクリックして、これをコピーします。

      コピー 
      { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::YOUR_S3_BUCKET" ] }, { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:GetObjectAcl", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::YOUR_S3_BUCKET/THE_LOG_FOLDER_IF_ANY/*" ] } ] }

    6. Review Policyをクリックし、先ほど作成したポリシーを選択します。

    7. ポリシーに必要な名前を入力し、Create policyをクリックします。

    8. ポリシーの作成後、前のタブに戻って Refresh をクリックします。

    9. 次の画面で、作成したポリシー名を選択し、Create Policyをクリックします。

    10. Add user 画面に戻り、作成したグループが選択されていることを確認してから、Next: Tags をクリックします。

    11. 必要なタグ(ご使用の環境の指針に従って)を追加し、Next: Reviewをクリックします。

    12. すべての設定を確認し、Create userをクリックします。

      - CSV ファイルをダウンロードするか、Access Key と Secret access key を安全な場所にコピーしてください。この情報は再度表示されません。

    13. Closeをクリックします。

  3. Roles > Create roleをクリックします。

  4. Another AWS Accountを選択します。

  5. 手順 2 で作成したユーザの 12 桁の数字を入力し、Next: Permissionsをクリックします。

    Note- 12 桁の数字を確認するには、別の画面でそのユーザを開きます。

  6. 作成したポリシーを選択し、Next: Tagsをクリックします。

  7. 必要なタグ(ご使用の環境の指針に従って)を追加し、ロール名を選択して、Create Roleをクリックします。

  8. 作成したロールを検索し、その名前をクリックします。

  9. Trust relationshipsを選択してEdit trust relationshipをクリックします。

  10. 次の JSON コードをコピーし、Update Trust Policyをクリックします。

    コピー 
    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::731485868276:user/checkpoint-s3-log-uploader" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "sts:ExternalId": "checkpoint-s3-logs" } } } ] }

  11. Role ARN をコピーします。

    - この Role ARN は、Email Security で SIEM Integration を設定するときに使用されます。

  12. Email Security にログインし、SIEM integration を完了します。詳細については、以下を参照してください。SIEM 統合の設定.

    Note- この統合の後、Email Security は AWS S3 バケットへのログ送信を開始します。AWS S3 バケットからログを受信するように、SIEM プラットフォームを設定する必要があります。

Email Security ログを Splunk に送信するように AWS S3 を設定する

  1. AWS IAM にアクセスします: https://console.aws.amazon.com/iam/home#/home

    - Email Security の AWS S3 バケットへのアクセスを制限するには、使用する新しいユーザ、グループ、ポリシー、およびロールを作成する必要があります。

  2. 新規ユーザを作成するには

    1. Users > Add Userをクリックします。

    2. 名前を選択し、Programmatic access を有効にして、Next: Permissions をクリックします。

    3. Create groupをクリックするか、すでに作成済みの場合はグループを選択します。

    4. 新しいタブで、JSON をクリックして、これをコピーします。

      コピー 
      { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetObject", "s3:ListAllMyBuckets", "s3:GetBucketLocation", "kms:Decrypt" ], "Resource": "*" } ] }

    5. Review Policyをクリックし、ポリシー名を選択して、Create Policyをクリックします。

    6. 前のタブに戻って、Refreshをクリックします。

    7. 作成したポリシーを選択し、グループ名を指定して、Create groupをクリックします。

    8. Add user画面に戻り、作成したグループが選択されていることを確認して、Next: Tagsをクリックします。

    9. 必要なタグ(お使いの環境の指針に従って)を追加し、Next: Reviewをクリックします。

    10. すべての設定を確認し、Create userをクリックします。

      - CSVファイルをダウンロードするか、Access KeyとSecret access keyを安全な場所にコピーしてください。この情報は再度表示されません。

    11. Closeをクリックします。

  3. Roles > Create Roleをクリックします。

  4. Another AWS Accountを選択します。

  5. アカウントの12桁の番号を入力し、Next: Permissionsをクリックします。

    - 12桁の番号を確認するには、別の画面でユーザを開きます。

  6. 作成したポリシーを選択して、Next: Tagsをクリックします。

  7. 必要なタグ(お使いの環境の指針に従って)を追加し、Next: Reviewをクリックします。

  8. ロール名を選択し、Create Roleをクリックします。

  9. 作成したロールを検索し、その名前をクリックします。

  10. Role ARNをコピーします。

  11. Splunkを開き、まだインストールされていない場合はSplunk Add-on for Amazon Web Servicesをインストールします。

  12. Splunk Add-on for AWSを開きます。

  13. Configuration > Account > Addをクリックし、ユーザ作成時に生成されたKey IDとSecret Keyを入力して、Addをクリックします。

  14. IAM Role > Addをクリックし、Role ARNを入力します。

  15. Inputs > Create New Input > Custom Data Type > Generic S3をクリックします。

  16. Inputの名前、上記で設定したAWSアカウントとAssume Role、Email SecurityがログをアップロードするS3バケット、開始日時(理想的には、Email SecurityでSplunkを有効にした数分前)を選択します。

  17. Advanced Settingsで、Email Securityは15分ごとにログをアップロードするため、Polling Intervalを900秒(15分)に設定します。

    - デフォルトでは、Email Securityはログが5 MBに達すると、ポーリング間隔前でもログをアップロードします。

  18. Saveをクリックします。

    これで、Email SecurityがS3バケットにログをアップロードする間、SplunkがS3バケットからログを読み取ります。

既知のSIEMプラットフォーム向けの推奨設定

Email Securityは多数のSIEMプラットフォームと統合できます。

- SIEMプラットフォームをEmail Securityと統合する設定で支援が必要な場合は、以下にお問い合わせくださいCheck Point Support.

以下は、一部のSIEMプラットフォームに対する推奨設定です。

SIEMプラットフォーム

転送方法

ログ形式

Splunk

Splunk HTTP Event Collector (HEC)

  • HTTP Event Collector Host / URI - Splunk HEC設定のHostまたはURIの値

  • HTTP Event Collector Token - Splunk HEC設定の値

JSON(Splunk HEC/CIM互換)

Rapid7

AWS SQS

  • AWS SQS Queue URL - 以下に連絡して取得してくださいCheck Point Supportこの値を取得するには

JSON(Rapid7、8k文字未満)

Sumo Logic

HTTP Collector

  • HTTP Collector URL (HTTP/HTTPS) - Sumo Logicの値

    例:https://myconnector.mycompany.com

JSON

Azure Log Workspace

Azure Log Workspace

  • Azure Log Workspace ID - Azure設定の値

  • Azure Log Workspace Shared Key - Azure設定の値

JSON

LogRhythm

AWS S3

AWS S3に必要なフィールドについては、以下を参照してくださいサポートされている Transport メソッド.

新しいS3バケットが必要な場合は、S3バケットの設定時に特定の手順に従う必要があります。詳細については、以下を参照してください。メールセキュリティログを受信するように AWS S3 を設定する.

JSON

McAfee SIEM

AWS S3

AWS S3に必要なフィールドについては、以下を参照してください。サポートされている Transport メソッド.

新しいS3 Bucketが必要な場合は、S3 bucketの設定時に特定の手順に従う必要があります。詳細については、以下を参照してください。メールセキュリティログを受信するように AWS S3 を設定する.

S3 bucketからMcAfee SIEMにログを受信するには、Configuration of Amazon S3 upload featureおよびMcAfee Documentationを参照してください。

JSON

その他

Email Securityは、任意のSIEMプラットフォームと統合できます。Email Securityと統合するためのSIEMプラットフォームの設定について支援が必要な場合は、次にお問い合わせくださいCheck Point Support.

Palo Alto NetworksのCortex XSOARとの統合の設定

Email Securityでは、検出されたセキュリティイベントやその他の条件に基づいてプレイブックを自動的にトリガするために、Cortex XSOARと統合できます。

この統合の詳細については、Cortex XSOAR documentationを参照してください。