Collecter les journaux Cisco Secure Email Gateway

Compatible avec :

Ce document explique comment collecter les journaux Cisco Secure Email Gateway à l'aide d'un transmetteur Google Security Operations.

Pour en savoir plus, consultez Ingérer des données dans Google SecOps.

Un libellé d'ingestion identifie l'analyseur qui normalise les données de journaux brutes au format UDM structuré. Les informations de ce document s'appliquent au parseur avec le libellé d'ingestion CISCO-EMAIL-SECURITY.

Configurer Cisco Secure Email Gateway

  1. Dans la console Cisco Secure Email Gateway, sélectionnez System administration > Log subscriptions (Administration système > Abonnements aux journaux).
  2. Dans la fenêtre Nouvel abonnement au journal, procédez comme suit pour ajouter un abonnement au journal :
    1. Dans le champ Type de journal, sélectionnez Journaux d'événements consolidés.
    2. Dans la section Champs de journaux disponibles, sélectionnez tous les champs disponibles, puis cliquez sur Ajouter pour les déplacer vers Champs de journaux sélectionnés.
    3. Pour sélectionner une méthode de récupération des journaux pour l'abonnement aux journaux, sélectionnez Envoi Syslog, puis procédez comme suit :
      1. Dans le champ Nom d'hôte, spécifiez l'adresse IP du redirecteur Google SecOps.
      2. Dans le champ Protocole, cochez la case TCP.
      3. Dans le champ Établissement, utilisez la valeur par défaut.
  3. Pour enregistrer vos modifications de configuration, cliquez sur Envoyer.

Configurer le redirecteur Google SecOps pour ingérer Cisco Secure Email Gateway

  1. Accédez à Paramètres SIEM > Transférateurs.
  2. Cliquez sur Ajouter un redirecteur.
  3. Dans le champ Nom du transitaire, saisissez un nom unique pour le transitaire.
  4. Cliquez sur Envoyer. Le redirecteur est ajouté et la fenêtre Ajouter une configuration de collecteur s'affiche.
  5. Dans le champ Nom du collecteur, saisissez un nom.
  6. Sélectionnez Cisco Email Security comme Type de journal.
  7. Dans le champ Type de collecteur, sélectionnez Syslog.
  8. Configurez les paramètres d'entrée obligatoires suivants :
    • Protocole : spécifiez le protocole de connexion utilisé par le collecteur pour écouter les données syslog.
    • Adresse : spécifiez l'adresse IP ou le nom d'hôte cible où réside le collecteur et où il écoute les données syslog.
    • Port : spécifiez le port cible sur lequel le collecteur réside et écoute les données syslog.
  9. Cliquez sur Envoyer.

Pour en savoir plus sur les répartiteurs Google SecOps, consultez Gérer les configurations de répartiteurs dans l'interface utilisateur Google SecOps.

Si vous rencontrez des problèmes lors de la création de transferts, contactez l'assistance Google SecOps.

Référence du mappage de champs

Ce parseur gère les journaux Cisco Email Security structurés (JSON, paires clé/valeur) et non structurés (syslog). Il normalise différents formats de journaux en UDM en exploitant les modèles grok, l'extraction de paires clé/valeur et la logique conditionnelle basée sur le champ product_event pour mapper les champs Cisco ESA pertinents sur UDM. Il effectue également l'enrichissement des données, par exemple en convertissant les codes temporels et en gérant les messages répétés.

Table de mappage UDM

Champ du journal Mappage UDM Logique
acl_decision_tag read_only_udm.security_result.detection_fields.value Directement mappé s'il n'est pas vide, "-" ou "NONE". La clé est "ACL Decision Tag".
access_or_decryption_policy_group read_only_udm.security_result.detection_fields.value Directement mappé s'il n'est pas vide, "-" ou "NONE". La clé est "AccessOrDecryptionPolicyGroup".
act read_only_udm.security_result.action_details Mappé directement.
authenticated_user read_only_udm.principal.user.userid Directement mappé s'il n'est pas vide, "-" ou "NONE".
cache_hierarchy_retrieval read_only_udm.security_result.detection_fields.value Directement mappé s'il n'est pas vide, "-" ou "NONE". La clé est "Cache Hierarchy Retrieval".
cipher read_only_udm.network.tls.cipher Mappé directement.
country read_only_udm.principal.location.country_or_region Mappé directement.
data_security_policy_group read_only_udm.security_result.detection_fields.value Directement mappé s'il n'est pas vide, "-" ou "NONE". La clé est "DataSecurityPolicyGroup".
description read_only_udm.metadata.description Mappé directement pour les messages syslog. Pour les messages CEF, il s'agit de la description générale du produit. Différents modèles Grok extraient des descriptions spécifiques en fonction de product_event. Certaines descriptions sont modifiées par gsub pour supprimer les espaces et les deux-points en début et en fin de ligne.
deviceDirection read_only_udm.network.direction Si la valeur est "0", elle correspond à "INBOUND". Si la valeur est "1", elle correspond à "OUTBOUND". Permet de déterminer le protocole et le chiffrement TLS à mapper directement et ceux à mapper en tant qu'étiquettes.
deviceExternalId read_only_udm.principal.asset.asset_id Mappé en tant que "ID de l'appareil :".
domain read_only_udm.target.administrative_domain Mappé directement à partir des journaux JSON.
domain_age read_only_udm.security_result.about.labels.value Mappé directement. La clé est "YoungestDomainAge".
duser read_only_udm.target.user.email_addresses, read_only_udm.network.email.to S'il contient ";", divisez-le en plusieurs adresses e-mail et mappez chacune d'elles aux deux champs UDM. Sinon, mappez directement les deux champs UDM s'il s'agit d'une adresse e-mail valide. Elle est également utilisée pour renseigner network_to si elle est vide.
dvc read_only_udm.target.ip Mappé directement.
entries.collection_time.nanos, entries.collection_time.seconds read_only_udm.metadata.event_timestamp.nanos, read_only_udm.metadata.event_timestamp.seconds Utilisé pour créer le code temporel de l'événement.
env-from read_only_udm.additional.fields.value.string_value Mappé directement. La clé est "Env-From".
ESAAttachmentDetails read_only_udm.security_result.about.file.full_path, read_only_udm.security_result.about.file.sha256 Analysé pour extraire les noms de fichiers et les hachages SHA256. Plusieurs fichiers et hachages peuvent être extraits.
ESADCID read_only_udm.security_result.about.labels.value Mappé directement. La clé est "ESADCID".
ESAFriendlyFrom read_only_udm.principal.user.user_display_name, read_only_udm.network.email.from Analysé pour extraire le nom à afficher et l'adresse e-mail.
ESAHeloDomain read_only_udm.intermediary.administrative_domain Mappé directement.
ESAHeloIP read_only_udm.intermediary.ip Mappé directement.
ESAICID read_only_udm.security_result.about.labels.value Mappé directement. La clé est "ESAICID".
ESAMailFlowPolicy read_only_udm.security_result.rule_name Mappé directement.
ESAMID read_only_udm.security_result.about.labels.value Mappé directement. La clé est "ESAMID".
ESAReplyTo read_only_udm.network.email.reply_to Mappé directement s'il s'agit d'une adresse e-mail valide. Également utilisé pour renseigner network_to.
ESASDRDomainAge read_only_udm.security_result.about.labels.value Mappé directement. La clé est "ESASDRDomainAge".
ESASenderGroup read_only_udm.principal.group.group_display_name Mappé directement.
ESAStatus read_only_udm.security_result.about.labels.value Mappé directement. La clé est "ESAStatus".
ESATLSInCipher read_only_udm.network.tls.cipher ou read_only_udm.security_result.about.labels.value Mappé directement au chiffrement si deviceDirection est défini sur "0". Dans le cas contraire, elle est mappée en tant que libellé avec la clé "ESATLSInCipher".
ESATLSInProtocol read_only_udm.network.tls.version ou read_only_udm.security_result.about.labels.value La version TLS est extraite et mappée directement si deviceDirection est défini sur "0". Dans le cas contraire, elle est mappée en tant que libellé avec la clé "ESATLSInProtocol".
ESATLSOutCipher read_only_udm.network.tls.cipher ou read_only_udm.security_result.about.labels.value Mappé directement au chiffrement si deviceDirection est défini sur "1". Dans le cas contraire, elle est mappée en tant que libellé avec la clé "ESATLSOutCipher".
ESATLSOutProtocol read_only_udm.network.tls.version ou read_only_udm.security_result.about.labels.value La version TLS est extraite et mappée directement si deviceDirection est défini sur "1". Dans le cas contraire, elle est mappée en tant que libellé avec la clé "ESATLSOutProtocol".
ESAURLDetails read_only_udm.target.url L'URL est analysée pour être extraite. Seule la première URL est mappée, car le champ n'est pas répété.
external_dlp_policy_group read_only_udm.security_result.detection_fields.value Directement mappé s'il n'est pas vide, "-" ou "NONE". La clé est "ExternalDlpPolicyGroup".
ExternalMsgID read_only_udm.security_result.about.labels.value Mappé directement après la suppression des guillemets simples et des chevrons. La clé est "ExternalMsgID".
from read_only_udm.network.email.from Mappé directement s'il s'agit d'une adresse e-mail valide. Également utilisé pour renseigner network_from.
host.hostname read_only_udm.principal.hostname ou read_only_udm.intermediary.hostname Mappé au nom d'hôte principal si le champ host n'est pas valide. Également mappé au nom d'hôte intermédiaire.
host.ip read_only_udm.principal.ip ou read_only_udm.intermediary.ip Mappé à l'adresse IP principale si le champ ip n'est pas défini dans les journaux JSON. Également mappé à l'adresse IP intermédiaire.
hostname read_only_udm.target.hostname Mappé directement.
http_method read_only_udm.network.http.method Mappé directement.
http_response_code read_only_udm.network.http.response_code Mappé directement et converti en entier.
identity_policy_group read_only_udm.security_result.detection_fields.value Directement mappé s'il n'est pas vide, "-" ou "NONE". La clé est "IdentityPolicyGroup".
ip read_only_udm.principal.ip Mappé directement. Remplacé par source_ip, le cas échéant.
kv_msg Diverses Analysé à l'aide du filtre kv. Le prétraitement consiste à remplacer les espaces avant les clés par "#" et à inverser les valeurs csLabel.
log_type read_only_udm.metadata.log_type Codé en dur sur "CISCO_EMAIL_SECURITY".
loglevel read_only_udm.security_result.severity, read_only_udm.security_result.action Utilisé pour déterminer la gravité et l'action. "Info", "", "Debug" et "Trace" correspondent à "INFORMATIONAL" et "ALLOW". "Avertissement" correspond à "MEDIUM" et "ALLOW". "High" correspond à "HIGH" et "BLOCK". "Critique" et "Alerte" correspondent à "CRITICAL" et "BLOCK".
mail_id read_only_udm.network.email.mail_id Mappé directement à partir des journaux JSON.
mailto read_only_udm.target.user.email_addresses, read_only_udm.network.email.to Mappé directement aux deux champs UDM s'il s'agit d'une adresse e-mail valide.
MailPolicy read_only_udm.security_result.about.labels.value Mappé directement. La clé est "MailPolicy".
message Diverses Analysé au format JSON si possible. Sinon, il est traité comme un message syslog.
message_id read_only_udm.network.email.mail_id Mappé directement. Également utilisé pour renseigner network_data.
msg read_only_udm.network.email.subject Mappé directement après le décodage UTF-8 et la suppression des retours chariot, des sauts de ligne et des guillemets supplémentaires. Également utilisé pour renseigner network_data.
msg1 Diverses Analysé à l'aide du filtre kv. Utilisé pour extraire Hostname, helo, env-from et reply-to.
outbound_malware_scanning_policy_group read_only_udm.security_result.detection_fields.value Directement mappé s'il n'est pas vide, "-" ou "NONE". La clé est "DataSecurityPolicyGroup".
port read_only_udm.target.port Mappé directement et converti en entier.
principalMail read_only_udm.principal.user.email_addresses Mappé directement.
principalUrl read_only_udm.principal.url Mappé directement.
product_event read_only_udm.metadata.product_event_type Mappé directement. Permet de déterminer les modèles grok à appliquer. Les caractères "%" en début de chaîne sont supprimés. "amp" est remplacé par "SIEM_AMPenginelogs".
product_version read_only_udm.metadata.product_version Mappé directement.
protocol read_only_udm.network.tls.version Mappé directement.
received_bytes read_only_udm.network.received_bytes Mappé directement et converti en entier non signé.
reply-to read_only_udm.additional.fields.value.string_value Mappé directement. La clé est "Reply-To".
reputation read_only_udm.security_result.confidence_details Mappé directement.
request_method_uri read_only_udm.target.url Mappé directement.
result_code read_only_udm.security_result.detection_fields.value Mappé directement. La clé est "Code de résultat".
routing_policy_group read_only_udm.security_result.detection_fields.value Directement mappé s'il n'est pas vide, "-" ou "NONE". La clé est "RoutingPolicyGroup".
rule read_only_udm.security_result.detection_fields.value Mappé directement. La clé est "Matched Condition".
SDRThreatCategory read_only_udm.security_result.threat_name Directement mappé s'il n'est pas vide ou si la valeur est "N/A".
SenderCountry read_only_udm.principal.location.country_or_region Mappé directement.
senderGroup read_only_udm.principal.group.group_display_name Mappé directement.
security_description read_only_udm.security_result.description Mappé directement.
security_email read_only_udm.security_result.about.email ou read_only_udm.principal.hostname Mappé à l'adresse e-mail si elle est valide. Sinon, il est mappé au nom d'hôte après l'extraction avec grok.
source read_only_udm.network.ip_protocol Si la valeur contient "tcp", elle est associée à "TCP".
sourceAddress read_only_udm.principal.ip Mappé directement.
sourceHostName read_only_udm.principal.administrative_domain Directement mappé si la valeur n'est pas "unknown" (inconnu).
source_ip read_only_udm.principal.ip Mappé directement. Remplace ip, le cas échéant.
Subject read_only_udm.network.email.subject Mappé directement après suppression des points de fin. Également utilisé pour renseigner network_data.
suser read_only_udm.principal.user.email_addresses, read_only_udm.network.email.bounce_address Mappé directement aux deux champs UDM s'il s'agit d'une adresse e-mail valide.
target_ip read_only_udm.target.ip Mappé directement.
to read_only_udm.network.email.to Mappé directement s'il s'agit d'une adresse e-mail valide. Également utilisé pour renseigner network_to.
total_bytes read_only_udm.network.sent_bytes Mappé directement et converti en entier non signé.
trackerHeader read_only_udm.additional.fields.value.string_value Mappé directement. La clé est "Tracker Header".
ts, ts1, year read_only_udm.metadata.event_timestamp.seconds Utilisé pour créer le code temporel de l'événement. ts1 et year sont combinés si ts1 est présent. Différents formats sont acceptés, avec ou sans l'année. Si l'année n'est pas indiquée, l'année en cours est utilisée. Codé en dur sur "Cisco". Codé en dur sur "Cisco Email Security". La valeur par défaut est "ALLOW" (AUTORISER). Définissez-le sur "BLOCK" (BLOQUER) en fonction de loglevel ou description. La valeur par défaut est "INBOUND" (ENTRANT) si application_protocol est présent. Définie sur deviceDirection pour les messages CEF. Déterminé en fonction d'une combinaison de champs, y compris network_from, network_to, target_ip, ip, description, event_type, principal_host, Hostname, user_id et sourceAddress. La valeur par défaut est "GENERIC_EVENT". Définissez sur "SMTP" si application_protocol est "SMTP" ou "smtp", ou si target_ip et ip sont présents. Définissez-le sur "AUTHTYPE_UNSPECIFIED" si login_status et user_id sont présents dans les journaux sshd. Définissez sur "true" si loglevel est "Critical" ou "Alert".

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.