Recopila registros de la puerta de enlace de correo electrónico segura de Cisco

Compatible con:

En este documento, se describe cómo puedes recopilar los registros de Cisco Secure Email Gateway con un agente de reenvío de Google Security Operations.

Para obtener más información, consulta Ingesta de datos en Google SecOps.

Una etiqueta de transferencia identifica el analizador que normaliza los datos de registro sin procesar al formato UDM estructurado. La información de este documento se aplica al analizador con la etiqueta de transferencia CISCO-EMAIL-SECURITY.

Configura la puerta de enlace de correo electrónico seguro de Cisco

  1. En la consola de Cisco Secure Email Gateway, selecciona Administración del sistema > Suscripciones de registros.
  2. En la ventana New log subscription, haz lo siguiente para agregar una suscripción al registro:
    1. En el campo Tipo de registro, selecciona Registros de eventos consolidados.
    2. En la sección Available log fields, selecciona todos los campos disponibles y, luego, haz clic en Add para moverlos a Selected log fields.
    3. Para seleccionar un método de recuperación de registros para la suscripción a registros, selecciona Envío de Syslog y haz lo siguiente:
      1. En el campo Nombre de host, especifica la dirección IP del reenviador de SecOps de Google.
      2. En el campo Protocolo, selecciona la casilla de verificación TCP.
      3. En el campo Instalación, usa el valor predeterminado.
  3. Para guardar los cambios de configuración, haz clic en Enviar.

Configura el reenvío de Google SecOps para transferir Cisco Secure Email Gateway

  1. Ve a Configuración del SIEM > Reenviadores.
  2. Haz clic en Agregar un nuevo reenviador.
  3. En el campo Nombre del reenviador, ingresa un nombre único para el reenviador.
  4. Haz clic en Enviar. Se agregará el reenvío y aparecerá la ventana Add collector configuration.
  5. En el campo Nombre del recopilador, escribe un nombre.
  6. Selecciona Cisco Email Security como el Tipo de registro.
  7. En el campo Tipo de recopilador, selecciona Syslog.
  8. Configura los siguientes parámetros de entrada obligatorios:
    • Protocolo: Especifica el protocolo de conexión que usa el recopilador para escuchar los datos de syslog.
    • Dirección: Especifica la dirección IP o el nombre de host de destino en el que reside el recopilador y escucha los datos de syslog.
    • Puerto: Especifica el puerto de destino en el que reside el recopilador y escucha los datos de syslog.
  9. Haz clic en Enviar.

Para obtener más información sobre los retransmisores de Google SecOps, consulta Administra la configuración de retransmisores a través de la IU de Google SecOps.

Si tienes problemas para crear reenvíos, comunícate con el equipo de asistencia de SecOps de Google.

Referencia de la asignación de campos

Este analizador controla los registros de Cisco Email Security estructurados (JSON, pares clave-valor) y no estructurados (syslog). Normaliza diversos formatos de registro en UDM aprovechando los patrones de grok, la extracción de clave-valor y la lógica condicional basada en el campo grok para asignar los campos relevantes de Cisco ESA al UDM.product_event También realiza el enriquecimiento de datos, como la conversión de marcas de tiempo y el control de mensajes repetidos.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
acl_decision_tag read_only_udm.security_result.detection_fields.value Se asigna directamente si no está vacío, es "-" o "NONE". La clave es "ACL Decision Tag".
access_or_decryption_policy_group read_only_udm.security_result.detection_fields.value Se asigna directamente si no está vacío, es "-" o "NONE". La clave es "AccessOrDecryptionPolicyGroup".
act read_only_udm.security_result.action_details Se asigna directamente.
authenticated_user read_only_udm.principal.user.userid Se asigna directamente si no está vacío, es "-" o "NONE".
cache_hierarchy_retrieval read_only_udm.security_result.detection_fields.value Se asigna directamente si no está vacío, es "-" o "NONE". La clave es "Cache Hierarchy Retrieval".
cipher read_only_udm.network.tls.cipher Se asigna directamente.
country read_only_udm.principal.location.country_or_region Se asigna directamente.
data_security_policy_group read_only_udm.security_result.detection_fields.value Se asigna directamente si no está vacío, es "-" o "NONE". La clave es "DataSecurityPolicyGroup".
description read_only_udm.metadata.description Se asigna directamente a los mensajes de syslog. En el caso de los mensajes de CEF, se convierte en la descripción general del producto. Varios patrones de grok extraen descripciones específicas basadas en product_event. gsub modifica algunas descripciones para quitar los espacios y los dos puntos iniciales o finales.
deviceDirection read_only_udm.network.direction Si es "0", se asigna a "INBOUND". Si es "1", se asigna a "OUTBOUND". Se usa para determinar qué protocolo y cifrado TLS se deben asignar directamente y cuáles se deben asignar como etiquetas.
deviceExternalId read_only_udm.principal.asset.asset_id Se asigna como "ID del dispositivo:".
domain read_only_udm.target.administrative_domain Se asigna directamente desde los registros JSON.
domain_age read_only_udm.security_result.about.labels.value Se asigna directamente. La clave es "YoungestDomainAge".
duser read_only_udm.target.user.email_addresses, read_only_udm.network.email.to Si contiene ";", se divide en varias direcciones de correo electrónico y se asigna cada una a ambos campos del UDM. De lo contrario, asigna directamente ambos campos del UDM si se trata de una dirección de correo electrónico válida. También se usa para completar network_to si está vacío.
dvc read_only_udm.target.ip Se asigna directamente.
entries.collection_time.nanos, entries.collection_time.seconds read_only_udm.metadata.event_timestamp.nanos, read_only_udm.metadata.event_timestamp.seconds Se usa para construir la marca de tiempo del evento.
env-from read_only_udm.additional.fields.value.string_value Se asigna directamente. La clave es "Env-From".
ESAAttachmentDetails read_only_udm.security_result.about.file.full_path, read_only_udm.security_result.about.file.sha256 Se analiza para extraer nombres de archivos y hashes SHA256. Se pueden extraer varios archivos y hashes.
ESADCID read_only_udm.security_result.about.labels.value Se asigna directamente. La clave es "ESADCID".
ESAFriendlyFrom read_only_udm.principal.user.user_display_name, read_only_udm.network.email.from Se analizó para extraer el nombre visible y la dirección de correo electrónico.
ESAHeloDomain read_only_udm.intermediary.administrative_domain Se asigna directamente.
ESAHeloIP read_only_udm.intermediary.ip Se asigna directamente.
ESAICID read_only_udm.security_result.about.labels.value Se asigna directamente. La clave es "ESAICID".
ESAMailFlowPolicy read_only_udm.security_result.rule_name Se asigna directamente.
ESAMID read_only_udm.security_result.about.labels.value Se asigna directamente. La clave es "ESAMID".
ESAReplyTo read_only_udm.network.email.reply_to Se asigna directamente si es una dirección de correo electrónico válida. También se usa para completar network_to.
ESASDRDomainAge read_only_udm.security_result.about.labels.value Se asigna directamente. La clave es "ESASDRDomainAge".
ESASenderGroup read_only_udm.principal.group.group_display_name Se asigna directamente.
ESAStatus read_only_udm.security_result.about.labels.value Se asigna directamente. La clave es "ESAStatus".
ESATLSInCipher read_only_udm.network.tls.cipher o read_only_udm.security_result.about.labels.value Se asigna directamente al cifrado si deviceDirection es "0". De lo contrario, se asigna como una etiqueta con la clave "ESATLSInCipher".
ESATLSInProtocol read_only_udm.network.tls.version o read_only_udm.security_result.about.labels.value La versión de TLS se extrae y se asigna directamente si deviceDirection es "0". De lo contrario, se asigna como una etiqueta con la clave "ESATLSInProtocol".
ESATLSOutCipher read_only_udm.network.tls.cipher o read_only_udm.security_result.about.labels.value Se asigna directamente al cifrado si deviceDirection es "1". De lo contrario, se asigna como una etiqueta con la clave "ESATLSOutCipher".
ESATLSOutProtocol read_only_udm.network.tls.version o read_only_udm.security_result.about.labels.value La versión de TLS se extrae y se asigna directamente si deviceDirection es "1". De lo contrario, se asigna como una etiqueta con la clave "ESATLSOutProtocol".
ESAURLDetails read_only_udm.target.url Se analizó para extraer URLs. Solo se asigna la primera URL porque el campo no se repite.
external_dlp_policy_group read_only_udm.security_result.detection_fields.value Se asigna directamente si no está vacío, es "-" o "NONE". La clave es "ExternalDlpPolicyGroup".
ExternalMsgID read_only_udm.security_result.about.labels.value Se asigna directamente después de quitar las comillas simples y los corchetes angulares. La clave es "ExternalMsgID".
from read_only_udm.network.email.from Se asigna directamente si es una dirección de correo electrónico válida. También se usa para completar network_from.
host.hostname read_only_udm.principal.hostname o read_only_udm.intermediary.hostname Se asigna al nombre de host principal si el campo host no es válido. También se asigna al nombre de host intermedio.
host.ip read_only_udm.principal.ip o read_only_udm.intermediary.ip Se asigna a la IP principal si el campo ip no está configurado en los registros JSON. También se asigna a la IP intermedia.
hostname read_only_udm.target.hostname Se asigna directamente.
http_method read_only_udm.network.http.method Se asigna directamente.
http_response_code read_only_udm.network.http.response_code Se asigna y convierte directamente en un número entero.
identity_policy_group read_only_udm.security_result.detection_fields.value Se asigna directamente si no está vacío, es "-" o "NONE". La clave es "IdentityPolicyGroup".
ip read_only_udm.principal.ip Se asigna directamente. Se reemplaza con source_ip si está presente.
kv_msg Varios Se analizó con el filtro kv. El procesamiento previo incluye reemplazar los espacios antes de las claves por "#" y cambiar los valores de csLabel.
log_type read_only_udm.metadata.log_type Se codifica como "CISCO_EMAIL_SECURITY".
loglevel read_only_udm.security_result.severity, read_only_udm.security_result.action Se usa para determinar la gravedad y la acción. "Info", "", "Debug", "Trace" se asignan a "INFORMATIONAL" y "ALLOW". "Warning" se asigna a "MEDIUM" y "ALLOW". "Alto" se asigna a "HIGH" y "BLOCK". Los niveles “Crítico” y “Alerta” se asignan a “CRITICAL” y “BLOCK”.
mail_id read_only_udm.network.email.mail_id Se asigna directamente desde los registros JSON.
mailto read_only_udm.target.user.email_addresses, read_only_udm.network.email.to Se asigna directamente a ambos campos de UDM si es una dirección de correo electrónico válida.
MailPolicy read_only_udm.security_result.about.labels.value Se asigna directamente. La clave es "MailPolicy".
message Varios Se analiza como JSON si es posible. De lo contrario, se procesa como un mensaje de syslog.
message_id read_only_udm.network.email.mail_id Se asigna directamente. También se usa para completar network_data.
msg read_only_udm.network.email.subject Se asigna directamente después de decodificar UTF-8 y quitar retornos de carro, saltos de línea y comillas adicionales. También se usa para completar network_data.
msg1 Varios Se analizó con el filtro kv. Se usa para extraer Hostname, helo, env-from y reply-to.
outbound_malware_scanning_policy_group read_only_udm.security_result.detection_fields.value Se asigna directamente si no está vacío, es "-" o "NONE". La clave es "DataSecurityPolicyGroup".
port read_only_udm.target.port Se asigna y convierte directamente en un número entero.
principalMail read_only_udm.principal.user.email_addresses Se asigna directamente.
principalUrl read_only_udm.principal.url Se asigna directamente.
product_event read_only_udm.metadata.product_event_type Se asigna directamente. Se usa para determinar qué patrones de Grok se deben aplicar. Se quitan los caracteres "%" iniciales. "amp" se reemplaza por "SIEM_AMPenginelogs".
product_version read_only_udm.metadata.product_version Se asigna directamente.
protocol read_only_udm.network.tls.version Se asigna directamente.
received_bytes read_only_udm.network.received_bytes Se asigna y convierte directamente en un número entero sin signo.
reply-to read_only_udm.additional.fields.value.string_value Se asigna directamente. La clave es "Reply-To".
reputation read_only_udm.security_result.confidence_details Se asigna directamente.
request_method_uri read_only_udm.target.url Se asigna directamente.
result_code read_only_udm.security_result.detection_fields.value Se asigna directamente. La clave es "Result Code".
routing_policy_group read_only_udm.security_result.detection_fields.value Se asigna directamente si no está vacío, es "-" o "NONE". La clave es "RoutingPolicyGroup".
rule read_only_udm.security_result.detection_fields.value Se asigna directamente. La clave es "Condición coincidente".
SDRThreatCategory read_only_udm.security_result.threat_name Se asigna directamente si no está vacío o es "N/A".
SenderCountry read_only_udm.principal.location.country_or_region Se asigna directamente.
senderGroup read_only_udm.principal.group.group_display_name Se asigna directamente.
security_description read_only_udm.security_result.description Se asigna directamente.
security_email read_only_udm.security_result.about.email o read_only_udm.principal.hostname Se asigna al correo electrónico si es una dirección de correo electrónico válida. De lo contrario, se asigna al nombre de host después de la extracción con Grok.
source read_only_udm.network.ip_protocol Si contiene "tcp", se asigna a "TCP".
sourceAddress read_only_udm.principal.ip Se asigna directamente.
sourceHostName read_only_udm.principal.administrative_domain Se asigna directamente si no es "desconocido".
source_ip read_only_udm.principal.ip Se asigna directamente. Reemplaza ip si está presente.
Subject read_only_udm.network.email.subject Se asigna directamente después de quitar los puntos finales. También se usa para completar network_data.
suser read_only_udm.principal.user.email_addresses, read_only_udm.network.email.bounce_address Se asigna directamente a ambos campos de UDM si es una dirección de correo electrónico válida.
target_ip read_only_udm.target.ip Se asigna directamente.
to read_only_udm.network.email.to Se asigna directamente si es una dirección de correo electrónico válida. También se usa para completar network_to.
total_bytes read_only_udm.network.sent_bytes Se asigna y convierte directamente en un número entero sin signo.
trackerHeader read_only_udm.additional.fields.value.string_value Se asigna directamente. La clave es "Tracker Header".
ts, ts1, year read_only_udm.metadata.event_timestamp.seconds Se usa para construir la marca de tiempo del evento. ts1 y year se combinan si ts1 está presente. Se admiten varios formatos, con y sin el año. Si no se incluye el año, se usa el año actual. Se codificó como "Cisco". Se codifica como "Cisco Email Security". El valor predeterminado es “ALLOW”. Se establece en "BLOCK" según loglevel o description. Si application_protocol está presente, el valor predeterminado es "INBOUND". Se establece en función de deviceDirection para los mensajes de CEF. Se determina en función de una combinación de campos, incluidos network_from, network_to, target_ip, ip, description, event_type, principal_host, Hostname, user_id y sourceAddress. El valor predeterminado es “GENERIC_EVENT”. Se establece en "SMTP" si application_protocol es "SMTP" o "smtp", o si target_ip y ip están presentes. Se establece en "AUTHTYPE_UNSPECIFIED" si login_status y user_id están presentes en los registros de sshd. Se establece en verdadero si loglevel es "Crítico" o "Alerta".

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.