Check Point Harmony Email & Collaboration
编辑Check Point Harmony Email & Collaboration
编辑Check Point 的 Harmony Email & Collaboration 监控电子邮件平台(Office 365、Gmail)、文件共享服务(OneDrive、SharePoint、Google Drive、Dropbox、Box 和 Citrix ShareFile)以及消息应用程序(Teams 和 Slack)的流量。它会扫描电子邮件、文件和消息中的恶意软件、DLP 和网络钓鱼指示器,并拦截和隔离潜在的恶意电子邮件,然后再将其发送。
Check Point Harmony Email & Collaboration 集成使用 REST API 收集安全事件日志。
数据流
编辑此集成收集以下日志
- 事件 - 获取安全事件日志。
要求
编辑必须安装 Elastic Agent。 有关更多详细信息和安装说明,请参阅 Elastic Agent 安装指南。
安装和管理 Elastic Agent
编辑有几种安装和管理 Elastic Agent 的选项
安装 Fleet 管理的 Elastic Agent(推荐)
编辑使用此方法,您可以安装 Elastic Agent 并使用 Kibana 中的 Fleet 在中心位置定义、配置和管理您的代理。 我们建议使用 Fleet 管理,因为它使代理的管理和升级变得更加容易。
以独立模式安装 Elastic Agent(高级用户)
编辑使用此方法,您可以安装 Elastic Agent 并在安装它的系统上手动配置代理。 您负责管理和升级代理。 此方法仅适用于高级用户。
在容器化环境中安装 Elastic Agent
编辑您可以在容器内运行 Elastic Agent,无论是否使用 Fleet Server 还是独立运行。 Elastic Docker 注册中心提供所有版本的 Elastic Agent 的 Docker 镜像,并且我们提供用于在 Kubernetes 上运行的部署清单。
请注意,运行 Elastic Agent 有最低要求。 有关更多信息,请参阅 Elastic Agent 最低要求。
设置
编辑要从 Harmony Email & Collaboration Smart API 收集数据
编辑- 在 Infinity Portal 中,转到“帐户设置”,然后单击 API 密钥。
- 单击 新建 > 新建帐户 API 密钥。
- 在 创建新 API 密钥 窗口中,选择 电子邮件和协作 作为服务。
- (可选)在 过期 字段中,选择 API 密钥的过期日期和时间。 默认情况下,过期日期为创建日期后的三个月。
- (可选)在 描述 字段中,输入 API 密钥的描述。
- 单击 创建。
-
复制 客户端 ID 和 密钥。
- 注意: 您始终可以从 API 密钥 表中获取 客户端 ID,但是在 创建新 API 密钥 窗口关闭后,您无法检索 密钥。
- 单击 关闭。
有关更多详细信息,请参阅 https://sc1.checkpoint.com/documents/Infinity_Portal/WebAdminGuides/EN/Infinity-Portal-Admin-Guide/Content/Topics-Infinity-Portal/API-Keys.htm?tocpath=Account%20Settings%7C_7#API_Keys[文档]。
在 Elastic 中启用集成
编辑- 在 Kibana 中,导航到“管理” > “集成”。
- 在顶部栏的“搜索集成”中,搜索
Check Point Harmony Email & Collaboration。 - 从搜索结果中选择“Check Point Harmony Email & Collaboration”集成。
- 选择“添加 Check Point Harmony Email & Collaboration”以添加集成。
- 添加所有必需的集成配置参数,包括 URL、客户端 ID、客户端密钥、间隔和初始间隔,以启用数据收集。
- 选择“保存并继续”以保存集成。
默认 URL 为 https://cloudinfra-gw.portal.checkpoint.com,但这可能会因您的地区而异。 请参阅 https://sc1.checkpoint.com/documents/Harmony_Email_and_Collaboration_API_Reference/Topics-HEC-Avanan-API-Reference-Guide/Overview/URLs-and-URL-Base.htm?tocpath=Executing%20API%20Calls%7C_3[文档] 以查找您所在地区的正确 URL。
日志参考
编辑事件
编辑这是 event 数据集。
示例
event 的示例事件如下
{
"@timestamp": "2024-10-14T07:02:11.229Z",
"agent": {
"ephemeral_id": "d813d5b1-cfe7-4ac4-aaa0-e7650b900f93",
"id": "827f87b2-02ca-4b27-832d-71d5d68dca7b",
"name": "elastic-agent-99857",
"type": "filebeat",
"version": "8.15.0"
},
"checkpoint_email": {
"event": {
"confidence_indicator": "detected",
"created": "2024-10-14T07:02:11.229Z",
"customer_id": "exampletest",
"data": "#{\"entity_id\": \"a6d8674a04c30123456789e4d3ebd98\", \"entity_type\": \"google_mail_email\", \"label\": \"Shadow IT\"} - #{\"entity_id\": \"113012345678906535444\", \"entity_type\": \"google_user\", \"label\": \"[email protected]\"} is using #{\"entity_id\": \"google.com\", \"entity_type\": \"av_dns_info\", \"label\": \"google.com (Search Engine)\"}",
"description": "Shadow IT - [email protected] is using google.com (Search Engine)",
"entity_id": "25e0c50123456789e351b0dafa6aafa6",
"entity_link": "https://in.portal.checkpoint.com/dashboard/email&collaboration/CGS1?route=cHJvZmlsZS9nsfhvbksdvnjhvdfVBsdbdfFbdbdBDBBdbrtHyujYJNtnhtnhtnOTIxZTM1MWIwZGFmYTZhYWZhNg==",
"id": "a6d8674a04c30123456789e4d3ebd98",
"saas": "google_mail",
"sender_address": "[email protected]",
"severity": 3,
"severity_enum": "Medium",
"state": "pending",
"type": "shadow_it"
}
},
"data_stream": {
"dataset": "checkpoint_email.event",
"namespace": "17695",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "827f87b2-02ca-4b27-832d-71d5d68dca7b",
"snapshot": false,
"version": "8.15.0"
},
"email": {
"sender": {
"address": "[email protected]"
}
},
"event": {
"agent_id_status": "verified",
"category": [
"email",
"threat"
],
"created": "2024-10-14T07:02:11.229Z",
"dataset": "checkpoint_email.event",
"id": "a6d8674a04c30123456789e4d3ebd98",
"ingested": "2024-10-28T10:57:08Z",
"kind": "alert",
"original": "{\"actions\":[],\"additionalData\":null,\"availableEventActions\":null,\"confidenceIndicator\":\"detected\",\"customerId\":\"exampletest\",\"data\":\"#{\\\"entity_id\\\": \\\"a6d8674a04c30123456789e4d3ebd98\\\", \\\"entity_type\\\": \\\"google_mail_email\\\", \\\"label\\\": \\\"Shadow IT\\\"} - #{\\\"entity_id\\\": \\\"113012345678906535444\\\", \\\"entity_type\\\": \\\"google_user\\\", \\\"label\\\": \\\"[email protected]\\\"} is using #{\\\"entity_id\\\": \\\"google.com\\\", \\\"entity_type\\\": \\\"av_dns_info\\\", \\\"label\\\": \\\"google.com (Search Engine)\\\"}\",\"description\":\"Shadow IT - [email protected] is using google.com (Search Engine)\",\"entityId\":\"25e0c50123456789e351b0dafa6aafa6\",\"entityLink\":\"https://in.portal.checkpoint.com/dashboard/email\\u0026collaboration/CGS1?route=cHJvZmlsZS9nsfhvbksdvnjhvdfVBsdbdfFbdbdBDBBdbrtHyujYJNtnhtnhtnOTIxZTM1MWIwZGFmYTZhYWZhNg==\",\"eventCreated\":\"2024-10-14T07:02:11.229935+00:00\",\"eventId\":\"a6d8674a04c30123456789e4d3ebd98\",\"saas\":\"google_mail\",\"senderAddress\":\"[email protected]\",\"severity\":\"3\",\"state\":\"pending\",\"type\":\"shadow_it\"}",
"severity": 3,
"type": [
"info",
"indicator"
],
"url": "https://in.portal.checkpoint.com/dashboard/email&collaboration/CGS1?route=cHJvZmlsZS9nsfhvbksdvnjhvdfVBsdbdfFbdbdBDBBdbrtHyujYJNtnhtnhtnOTIxZTM1MWIwZGFmYTZhYWZhNg=="
},
"input": {
"type": "cel"
},
"message": "Shadow IT - [email protected] is using google.com (Search Engine)",
"observer": {
"product": "Harmony Email & Collaboration",
"vendor": "Check Point"
},
"organization": {
"name": "exampletest"
},
"related": {
"user": [
"[email protected]"
]
},
"source": {
"user": {
"email": "[email protected]"
}
},
"tags": [
"preserve_original_event",
"preserve_duplicate_custom_fields",
"forwarded",
"checkpoint_email-event"
]
}
导出字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
date |
checkpoint_email.event.actions.action_type |
执行的操作的名称。 |
keyword |
checkpoint_email.event.actions.create_time |
执行操作的日期。 |
date |
checkpoint_email.event.actions.related_entity_id |
相关 SaaS 实体的唯一 ID。 |
keyword |
checkpoint_email.event.available_event_actions.action_name |
可用操作的名称。 |
keyword |
checkpoint_email.event.available_event_actions.action_parameter.eventId |
keyword |
|
checkpoint_email.event.available_event_actions.action_parameter.newSeverity |
keyword |
|
checkpoint_email.event.confidence_indicator |
置信度指示器。 |
keyword |
checkpoint_email.event.created |
创建安全事件的时间。 |
date |
checkpoint_email.event.customer_id |
Harmony Email & Collaboration 客户 ID。 |
keyword |
checkpoint_email.event.data |
未解决形式的描述。 |
keyword |
checkpoint_email.event.description |
事件的简短说明。 |
keyword |
checkpoint_email.event.entity_id |
相关 SaaS 实体的唯一 ID。 |
keyword |
checkpoint_email.event.entity_link |
keyword |
|
checkpoint_email.event.id |
用于滚动的唯一 ID。 |
keyword |
checkpoint_email.event.saas |
相关 SaaS 的名称。 |
keyword |
checkpoint_email.event.sender_address |
keyword |
|
checkpoint_email.event.severity |
long |
|
checkpoint_email.event.severity_enum |
最低、低、中、高、严重。 |
keyword |
checkpoint_email.event.state |
安全事件的当前状态。 |
keyword |
checkpoint_email.event.type |
安全事件类型。 |
keyword |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集。 |
constant_keyword |
event.module |
事件模块。 |
constant_keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
log.offset |
日志偏移量。 |
long |