Protokolle von Cisco Secure Email Gateway erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie die Protokolle des Cisco Secure Email Gateway mithilfe eines Google Security Operations-Forwarders erfassen können.

Weitere Informationen finden Sie unter Datenaufnahme in Google SecOps.

Mit einem Ingestion-Label wird der Parser identifiziert, der Rohdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument beziehen sich auf den Parser mit dem Ingestion-Label CISCO-EMAIL-SECURITY.

Cisco Secure Email Gateway konfigurieren

  1. Wählen Sie in der Konsole des Cisco Secure Email Gateway (Cisco Secure Email-Gateway) System administration > Log subscriptions (Systemverwaltung > Log-Abos) aus.
  2. Führen Sie im Fenster Neues Log-Abo die folgenden Schritte aus, um ein Log-Abo hinzuzufügen:
    1. Wählen Sie im Feld Logtyp die Option Konsolidierte Ereignislogs aus.
    2. Wählen Sie im Bereich Verfügbare Logfelder alle verfügbaren Felder aus und klicken Sie dann auf Hinzufügen, um sie in den Bereich Ausgewählte Logfelder zu verschieben.
    3. Wählen Sie zum Auswählen einer Methode zum Abrufen von Logs für das Log-Abo Syslog Push aus und gehen Sie so vor:
      1. Geben Sie im Feld Hostname die IP-Adresse des Google SecOps-Forwarders an.
      2. Wählen Sie im Feld Protokoll das Kästchen TCP aus.
      3. Verwenden Sie im Feld Einrichtung den Standardwert.
  3. Klicken Sie auf Senden, um die Konfigurationsänderungen zu speichern.

Google SecOps-Forwarder für die Aufnahme von Cisco Secure Email Gateway konfigurieren

  1. Rufen Sie die SIEM-Einstellungen > Weiterleitungen auf.
  2. Klicken Sie auf Neuen Forwarder hinzufügen.
  3. Geben Sie im Feld Name des Forwarders einen eindeutigen Namen für den Forwarder ein.
  4. Klicken Sie auf Senden. Der Forwarder wird hinzugefügt und das Fenster Collector-Konfiguration hinzufügen wird angezeigt.
  5. Geben Sie im Feld Name des Collectors einen Namen ein.
  6. Wählen Sie Cisco Email Security als Logtyp aus.
  7. Wählen Sie im Feld Collector-Typ die Option Syslog aus.
  8. Konfigurieren Sie die folgenden obligatorischen Eingabeparameter:
    • Protokoll: Geben Sie das Verbindungsprotokoll an, das der Collector verwendet, um Syslog-Daten zu empfangen.
    • Adresse: Geben Sie die Ziel-IP-Adresse oder den Hostnamen an, auf dem sich der Collector befindet und auf Syslog-Daten wartet.
    • Port: Geben Sie den Zielport an, auf dem sich der Collector befindet und auf dem er Syslog-Daten empfängt.
  9. Klicken Sie auf Senden.

Weitere Informationen zu den Google SecOps-Weiterleitungen finden Sie unter Weiterleitungskonfigurationen über die Google SecOps-Benutzeroberfläche verwalten.

Wenn beim Erstellen von Weiterleitungen Probleme auftreten, wenden Sie sich an den Google SecOps-Support.

Referenz zur Feldzuordnung

Dieser Parser verarbeitet sowohl strukturierte (JSON, Schlüssel/Wert-Paare) als auch unstrukturierte (Syslog) Cisco Email Security-Logs. Es normalisiert verschiedene Logformate in UDM, indem es grok-Muster, die Extraktion von Schlüssel/Wert-Paaren und bedingte Logik basierend auf dem Feld product_event verwendet, um relevante Cisco ESA-Felder UDM zuzuordnen. Außerdem werden Daten angereichert, z. B. durch die Umwandlung von Zeitstempeln und die Verarbeitung wiederholter Nachrichten.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
acl_decision_tag read_only_udm.security_result.detection_fields.value Direkt zugeordnet, wenn nicht leer, „-“ oder „NONE“. Der Schlüssel ist „ACL Decision Tag“.
access_or_decryption_policy_group read_only_udm.security_result.detection_fields.value Direkt zugeordnet, wenn nicht leer, „-“ oder „NONE“. Der Schlüssel ist „AccessOrDecryptionPolicyGroup“.
act read_only_udm.security_result.action_details Direkt zugeordnet.
authenticated_user read_only_udm.principal.user.userid Direkt zugeordnet, wenn nicht leer, „-“ oder „NONE“.
cache_hierarchy_retrieval read_only_udm.security_result.detection_fields.value Direkt zugeordnet, wenn nicht leer, „-“ oder „NONE“. Der Schlüssel ist „Cache Hierarchy Retrieval“.
cipher read_only_udm.network.tls.cipher Direkt zugeordnet.
country read_only_udm.principal.location.country_or_region Direkt zugeordnet.
data_security_policy_group read_only_udm.security_result.detection_fields.value Direkt zugeordnet, wenn nicht leer, „-“ oder „NONE“. Der Schlüssel ist „DataSecurityPolicyGroup“.
description read_only_udm.metadata.description Direkt für Syslog-Nachrichten zugeordnet. Bei CEF-Nachrichten ist dies die allgemeine Produktbeschreibung. Verschiedene Grok-Muster extrahieren bestimmte Beschreibungen basierend auf dem product_event. Einige Beschreibungen werden mit gsub geändert, um vorangehende/nachfolgende Leerzeichen und Doppelpunkte zu entfernen.
deviceDirection read_only_udm.network.direction Wenn „0“, wird „INBOUND“ zugeordnet. Wenn „1“ „OUTBOUND“ entspricht. Wird verwendet, um zu bestimmen, welche TLS-Verschlüsselung und welches Protokoll direkt zugeordnet und welche als Labels zugeordnet werden sollen.
deviceExternalId read_only_udm.principal.asset.asset_id Zugeordnet als „Geräte-ID:“.
domain read_only_udm.target.administrative_domain Direkt aus JSON-Logs zugeordnet.
domain_age read_only_udm.security_result.about.labels.value Direkt zugeordnet. Der Schlüssel ist „YoungestDomainAge“.
duser read_only_udm.target.user.email_addresses, read_only_udm.network.email.to Wenn „;“ enthalten ist, in mehrere E-Mail-Adressen aufteilen und jede den beiden UDM-Feldern zuordnen. Andernfalls ordnen Sie beide UDM-Felder direkt zu, wenn eine gültige E-Mail-Adresse vorhanden ist. Wird auch verwendet, um network_to auszufüllen, wenn es leer ist.
dvc read_only_udm.target.ip Direkt zugeordnet.
entries.collection_time.nanos, entries.collection_time.seconds read_only_udm.metadata.event_timestamp.nanos, read_only_udm.metadata.event_timestamp.seconds Wird zum Erstellen des Ereigniszeitstempels verwendet.
env-from read_only_udm.additional.fields.value.string_value Direkt zugeordnet. Der Schlüssel ist „Env-From“.
ESAAttachmentDetails read_only_udm.security_result.about.file.full_path, read_only_udm.security_result.about.file.sha256 Die Datei wird geparst, um Dateinamen und SHA256-Hashes zu extrahieren. Es können mehrere Dateien und Hashes extrahiert werden.
ESADCID read_only_udm.security_result.about.labels.value Direkt zugeordnet. Der Schlüssel ist „ESADCID“.
ESAFriendlyFrom read_only_udm.principal.user.user_display_name, read_only_udm.network.email.from Geprüft, um den Anzeigenamen und die E-Mail-Adresse zu extrahieren.
ESAHeloDomain read_only_udm.intermediary.administrative_domain Direkt zugeordnet.
ESAHeloIP read_only_udm.intermediary.ip Direkt zugeordnet.
ESAICID read_only_udm.security_result.about.labels.value Direkt zugeordnet. Der Schlüssel ist „ESAICID“.
ESAMailFlowPolicy read_only_udm.security_result.rule_name Direkt zugeordnet.
ESAMID read_only_udm.security_result.about.labels.value Direkt zugeordnet. Der Schlüssel ist „ESAMID“.
ESAReplyTo read_only_udm.network.email.reply_to Direkt zugeordnet, wenn eine gültige E‑Mail-Adresse angegeben wurde. Wird auch zum Ausfüllen von network_to verwendet.
ESASDRDomainAge read_only_udm.security_result.about.labels.value Direkt zugeordnet. Der Schlüssel ist „ESASDRDomainAge“.
ESASenderGroup read_only_udm.principal.group.group_display_name Direkt zugeordnet.
ESAStatus read_only_udm.security_result.about.labels.value Direkt zugeordnet. Der Schlüssel ist „ESAStatus“.
ESATLSInCipher read_only_udm.network.tls.cipher oder read_only_udm.security_result.about.labels.value Wird direkt dem Chiffre zugeordnet, wenn deviceDirection „0“ ist. Andernfalls wird er als Label mit dem Schlüssel „ESATLSInCipher“ zugeordnet.
ESATLSInProtocol read_only_udm.network.tls.version oder read_only_udm.security_result.about.labels.value Die TLS-Version wird direkt extrahiert und zugeordnet, wenn deviceDirection = 0. Andernfalls wird sie als Label mit dem Schlüssel „ESATLSInProtocol“ zugeordnet.
ESATLSOutCipher read_only_udm.network.tls.cipher oder read_only_udm.security_result.about.labels.value Wird direkt dem Chiffre zugeordnet, wenn deviceDirection = 1. Andernfalls wird sie als Label mit dem Schlüssel „ESATLSOutCipher“ zugeordnet.
ESATLSOutProtocol read_only_udm.network.tls.version oder read_only_udm.security_result.about.labels.value Die TLS-Version wird direkt extrahiert und zugeordnet, wenn deviceDirection = 1. Andernfalls wird sie als Label mit dem Schlüssel „ESATLSOutProtocol“ zugeordnet.
ESAURLDetails read_only_udm.target.url Die URL wird geparst, um URLs zu extrahieren. Nur die erste URL wird zugeordnet, da das Feld nicht wiederholt wird.
external_dlp_policy_group read_only_udm.security_result.detection_fields.value Direkt zugeordnet, wenn nicht leer, „-“ oder „NONE“. Der Schlüssel ist „ExternalDlpPolicyGroup“.
ExternalMsgID read_only_udm.security_result.about.labels.value Direkt zugeordnet, nachdem einfache Anführungszeichen und spitze Klammern entfernt wurden. Der Schlüssel ist „ExternalMsgID“.
from read_only_udm.network.email.from Direkt zugeordnet, wenn eine gültige E‑Mail-Adresse angegeben wurde. Wird auch zum Ausfüllen von network_from verwendet.
host.hostname read_only_udm.principal.hostname oder read_only_udm.intermediary.hostname Wird dem Prinzipal-Hostname zugeordnet, wenn das Feld host ungültig ist. Wird auch dem Zwischenhostnamen zugeordnet.
host.ip read_only_udm.principal.ip oder read_only_udm.intermediary.ip Wird der Haupt-IP zugeordnet, wenn das Feld ip in JSON-Logs nicht festgelegt ist. Wird auch der Zwischen-IP zugeordnet.
hostname read_only_udm.target.hostname Direkt zugeordnet.
http_method read_only_udm.network.http.method Direkt zugeordnet.
http_response_code read_only_udm.network.http.response_code Direkt zugeordnet und in eine Ganzzahl konvertiert.
identity_policy_group read_only_udm.security_result.detection_fields.value Direkt zugeordnet, wenn nicht leer, „-“ oder „NONE“. Der Schlüssel ist „IdentityPolicyGroup“.
ip read_only_udm.principal.ip Direkt zugeordnet. Wird von source_ip überschrieben, falls vorhanden.
kv_msg Verschiedene Mit dem kv-Filter geparst. Bei der Vorverarbeitung werden Leerzeichen vor Schlüsseln durch „#“ ersetzt und csLabel-Werte getauscht.
log_type read_only_udm.metadata.log_type Fest codiert auf „CISCO_EMAIL_SECURITY“.
loglevel read_only_udm.security_result.severity, read_only_udm.security_result.action Wird verwendet, um den Schweregrad und die erforderliche Maßnahme zu bestimmen. „Info“, „“, „Debug“ und „Trace“ werden „INFORMATIONAL“ und „ALLOW“ zugeordnet. „Warnung“ entspricht „MITTEL“ und „ZULASSEN“. „High“ wird „HIGH“ und „BLOCK“ zugeordnet. „Critical“ und „Alert“ werden „CRITICAL“ und „BLOCK“ zugeordnet.
mail_id read_only_udm.network.email.mail_id Direkt aus JSON-Logs zugeordnet.
mailto read_only_udm.target.user.email_addresses, read_only_udm.network.email.to Direkt beiden UDM-Feldern zugeordnet, wenn eine gültige E-Mail-Adresse angegeben ist.
MailPolicy read_only_udm.security_result.about.labels.value Direkt zugeordnet. Der Schlüssel ist „MailPolicy“.
message Verschiedene Wenn möglich, als JSON geparst. Andernfalls wird sie als Syslog-Nachricht verarbeitet.
message_id read_only_udm.network.email.mail_id Direkt zugeordnet. Wird auch zum Ausfüllen von network_data verwendet.
msg read_only_udm.network.email.subject Direkt zugeordnet nach der UTF-8-Decodierung und dem Entfernen von Wagenrückläufen, Zeilenumbrüchen und zusätzlichen Anführungszeichen. Wird auch zum Ausfüllen von network_data verwendet.
msg1 Verschiedene Mit dem kv-Filter geparst. Wird zum Extrahieren von Hostname, helo, env-from und reply-to verwendet.
outbound_malware_scanning_policy_group read_only_udm.security_result.detection_fields.value Direkt zugeordnet, wenn nicht leer, „-“ oder „NONE“. Der Schlüssel ist „DataSecurityPolicyGroup“.
port read_only_udm.target.port Direkt zugeordnet und in eine Ganzzahl konvertiert.
principalMail read_only_udm.principal.user.email_addresses Direkt zugeordnet.
principalUrl read_only_udm.principal.url Direkt zugeordnet.
product_event read_only_udm.metadata.product_event_type Direkt zugeordnet. Wird verwendet, um zu bestimmen, welche Grok-Muster angewendet werden sollen. Voranstehende „%“-Zeichen werden entfernt. „amp“ wird durch „SIEM_AMPenginelogs“ ersetzt.
product_version read_only_udm.metadata.product_version Direkt zugeordnet.
protocol read_only_udm.network.tls.version Direkt zugeordnet.
received_bytes read_only_udm.network.received_bytes Direkt zugeordnet und in eine vorzeichenlose Ganzzahl konvertiert.
reply-to read_only_udm.additional.fields.value.string_value Direkt zugeordnet. Der Schlüssel ist „Reply-To“.
reputation read_only_udm.security_result.confidence_details Direkt zugeordnet.
request_method_uri read_only_udm.target.url Direkt zugeordnet.
result_code read_only_udm.security_result.detection_fields.value Direkt zugeordnet. Der Schlüssel ist „Result Code“.
routing_policy_group read_only_udm.security_result.detection_fields.value Direkt zugeordnet, wenn nicht leer, „-“ oder „NONE“. Der Schlüssel ist „RoutingPolicyGroup“.
rule read_only_udm.security_result.detection_fields.value Direkt zugeordnet. Der Schlüssel ist „Matched Condition“.
SDRThreatCategory read_only_udm.security_result.threat_name Direkt zugeordnet, sofern nicht leer oder „–“.
SenderCountry read_only_udm.principal.location.country_or_region Direkt zugeordnet.
senderGroup read_only_udm.principal.group.group_display_name Direkt zugeordnet.
security_description read_only_udm.security_result.description Direkt zugeordnet.
security_email read_only_udm.security_result.about.email oder read_only_udm.principal.hostname Wird einer E-Mail-Adresse zugeordnet, wenn es sich um eine gültige E-Mail-Adresse handelt. Andernfalls wird der Hostname nach dem Extrahieren mit „grok“ zugeordnet.
source read_only_udm.network.ip_protocol Wenn „tcp“ enthalten ist, wird „TCP“ zugeordnet.
sourceAddress read_only_udm.principal.ip Direkt zugeordnet.
sourceHostName read_only_udm.principal.administrative_domain Direkt zugeordnet, sofern nicht „unbekannt“.
source_ip read_only_udm.principal.ip Direkt zugeordnet. Überschreibt ip, falls vorhanden.
Subject read_only_udm.network.email.subject Direkt zugeordnet, nachdem nachgestellte Punkte entfernt wurden. Wird auch zum Ausfüllen von network_data verwendet.
suser read_only_udm.principal.user.email_addresses, read_only_udm.network.email.bounce_address Direkt beiden UDM-Feldern zugeordnet, wenn eine gültige E-Mail-Adresse angegeben ist.
target_ip read_only_udm.target.ip Direkt zugeordnet.
to read_only_udm.network.email.to Direkt zugeordnet, wenn eine gültige E‑Mail-Adresse angegeben wurde. Wird auch zum Ausfüllen von network_to verwendet.
total_bytes read_only_udm.network.sent_bytes Direkt zugeordnet und in eine vorzeichenlose Ganzzahl konvertiert.
trackerHeader read_only_udm.additional.fields.value.string_value Direkt zugeordnet. Der Schlüssel ist „Tracker Header“.
ts, ts1, year read_only_udm.metadata.event_timestamp.seconds Wird zum Erstellen des Ereigniszeitstempels verwendet. ts1 und year werden kombiniert, wenn ts1 vorhanden ist. Es werden verschiedene Formate unterstützt, mit und ohne Jahresangabe. Wenn das Jahr nicht angegeben ist, wird das aktuelle Jahr verwendet. Fest codiert auf „Cisco“. Fest codiert auf „Cisco Email Security“. Der Standardwert ist „ALLOW“. Legen Sie basierend auf loglevel oder description „BLOCK“ fest. Der Standardwert ist „INBOUND“, wenn application_protocol vorhanden ist. Wird basierend auf deviceDirection für CEF-Nachrichten festgelegt. Wird anhand einer Kombination von Feldern ermittelt, darunter network_from, network_to, target_ip, ip, description, event_type, principal_host, Hostname, user_id und sourceAddress. Der Standardwert ist „GENERIC_EVENT“. Auf „SMTP“ festgelegt, wenn application_protocol „SMTP“ oder „smtp“ ist oder wenn target_ip und ip vorhanden sind. Auf „AUTHTYPE_UNSPECIFIED“ festlegen, wenn login_status und user_id in den SSHD-Logs vorhanden sind. Auf „true“ gesetzt, wenn loglevel „Kritisch“ oder „Warnung“ ist.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten