Raccogliere i log del gateway di posta elettronica sicuro Cisco

Supportato in:

Questo documento descrive come raccogliere i log di Cisco Secure Email Gateway utilizzando un forwarder Google Security Operations.

Per ulteriori informazioni, vedi Importazione dei dati in Google SecOps.

Un'etichetta di importazione identifica il parser che normalizza i dati di log non elaborati in formato UDM strutturato. Le informazioni contenute in questo documento si applicano al parser con l'etichetta di importazione CISCO-EMAIL-SECURITY.

Configura Cisco Secure Email Gateway

  1. Nella console Cisco Secure Email Gateway, seleziona Amministrazione di sistema > Abbonamenti ai log.
  2. Nella finestra Nuova sottoscrizione log, procedi nel seguente modo per aggiungere la sottoscrizione log:
    1. Nel campo Tipo di log, seleziona Log eventi consolidati.
    2. Nella sezione Campi log disponibili, seleziona tutti i campi disponibili e poi fai clic su Aggiungi per spostarli nella sezione Campi log selezionati.
    3. Per selezionare un metodo di recupero dei log per l'abbonamento ai log, seleziona Push Syslog e procedi nel seguente modo:
      1. Nel campo Nome host, specifica l'indirizzo IP del forwarder Google SecOps.
      2. Nel campo Protocollo, seleziona la casella di controllo TCP.
      3. Nel campo Struttura, utilizza il valore predefinito.
  3. Per salvare le modifiche alla configurazione, fai clic su Invia.

Configura il programma di inoltro Google SecOps per importare Cisco Secure Email Gateway

  1. Vai a Impostazioni SIEM > Forwarder.
  2. Fai clic su Aggiungi nuovo forwarder.
  3. Nel campo Nome forwarder, inserisci un nome univoco per il forwarder.
  4. Fai clic su Invia. Il forwarder viene aggiunto e viene visualizzata la finestra Aggiungi configurazione del raccoglitore.
  5. Nel campo Nome del raccoglitore, digita un nome.
  6. Seleziona Cisco Email Security come Tipo di log.
  7. Nel campo Tipo di raccoglitore, seleziona Syslog.
  8. Configura i seguenti parametri di input obbligatori:
    • Protocollo: specifica il protocollo di connessione utilizzato dal raccoglitore per ascoltare i dati syslog.
    • Indirizzo: specifica l'indirizzo IP o il nome host di destinazione in cui risiede il raccoglitore e ascolta i dati syslog.
    • Porta: specifica la porta di destinazione in cui risiede il raccoglitore e ascolta i dati syslog.
  9. Fai clic su Invia.

Per saperne di più sui forwarder Google SecOps, consulta Gestire le configurazioni dei forwarder tramite la UI di Google SecOps.

Se riscontri problemi durante la creazione degli inoltri, contatta l'assistenza Google SecOps.

Riferimento alla mappatura dei campi

Questo parser gestisce i log di Cisco Email Security strutturati (JSON, coppie chiave-valore) e non strutturati (syslog). Normalizza diversi formati di log in UDM sfruttando i pattern grok, l'estrazione di coppie chiave-valore e la logica condizionale basata sul campo product_event per mappare i campi Cisco ESA pertinenti a UDM. Esegue anche l'arricchimento dei dati, ad esempio la conversione dei timestamp e la gestione dei messaggi ripetuti.

Tabella di mappatura UDM

Campo log Mappatura UDM Logic
acl_decision_tag read_only_udm.security_result.detection_fields.value Mappato direttamente se non è vuoto, "-" o "NONE". La chiave è "ACL Decision Tag".
access_or_decryption_policy_group read_only_udm.security_result.detection_fields.value Mappato direttamente se non è vuoto, "-" o "NONE". La chiave è "AccessOrDecryptionPolicyGroup".
act read_only_udm.security_result.action_details Mappato direttamente.
authenticated_user read_only_udm.principal.user.userid Mappato direttamente se non è vuoto, "-" o "NONE".
cache_hierarchy_retrieval read_only_udm.security_result.detection_fields.value Mappato direttamente se non è vuoto, "-" o "NONE". La chiave è "Recupero gerarchia cache".
cipher read_only_udm.network.tls.cipher Mappato direttamente.
country read_only_udm.principal.location.country_or_region Mappato direttamente.
data_security_policy_group read_only_udm.security_result.detection_fields.value Mappato direttamente se non è vuoto, "-" o "NONE". La chiave è "DataSecurityPolicyGroup".
description read_only_udm.metadata.description Mappato direttamente per i messaggi syslog. Per i messaggi CEF, diventa la descrizione generale del prodotto. Diversi pattern grok estraggono descrizioni specifiche in base a product_event. Alcune descrizioni vengono modificate da gsub per rimuovere spazi e due punti iniziali/finali.
deviceDirection read_only_udm.network.direction Se è "0", viene mappato su "INBOUND". Se è "1", viene mappato su "IN USCITA". Utilizzato per determinare quale crittografia e protocollo TLS mappare direttamente e quale mappare come etichette.
deviceExternalId read_only_udm.principal.asset.asset_id Mappato come "ID dispositivo:".
domain read_only_udm.target.administrative_domain Mappati direttamente dai log JSON.
domain_age read_only_udm.security_result.about.labels.value Mappato direttamente. La chiave è "YoungestDomainAge".
duser read_only_udm.target.user.email_addresses, read_only_udm.network.email.to Se contiene ";", dividi in più indirizzi email e mappa ciascuno in entrambi i campi UDM. In caso contrario, esegui la mappatura diretta a entrambi i campi UDM se l'indirizzo email è valido. Utilizzato anche per compilare network_to se è vuoto.
dvc read_only_udm.target.ip Mappato direttamente.
entries.collection_time.nanos, entries.collection_time.seconds read_only_udm.metadata.event_timestamp.nanos, read_only_udm.metadata.event_timestamp.seconds Utilizzato per creare il timestamp dell'evento.
env-from read_only_udm.additional.fields.value.string_value Mappato direttamente. La chiave è "Env-From".
ESAAttachmentDetails read_only_udm.security_result.about.file.full_path, read_only_udm.security_result.about.file.sha256 Analizzato per estrarre i nomi dei file e gli hash SHA256. È possibile estrarre più file e hash.
ESADCID read_only_udm.security_result.about.labels.value Mappato direttamente. La chiave è "ESADCID".
ESAFriendlyFrom read_only_udm.principal.user.user_display_name, read_only_udm.network.email.from Analizzato per estrarre il nome visualizzato e l'indirizzo email.
ESAHeloDomain read_only_udm.intermediary.administrative_domain Mappato direttamente.
ESAHeloIP read_only_udm.intermediary.ip Mappato direttamente.
ESAICID read_only_udm.security_result.about.labels.value Mappato direttamente. La chiave è "ESAICID".
ESAMailFlowPolicy read_only_udm.security_result.rule_name Mappato direttamente.
ESAMID read_only_udm.security_result.about.labels.value Mappato direttamente. La chiave è "ESAMID".
ESAReplyTo read_only_udm.network.email.reply_to Mappato direttamente se è un indirizzo email valido. Utilizzato anche per compilare network_to.
ESASDRDomainAge read_only_udm.security_result.about.labels.value Mappato direttamente. La chiave è "ESASDRDomainAge".
ESASenderGroup read_only_udm.principal.group.group_display_name Mappato direttamente.
ESAStatus read_only_udm.security_result.about.labels.value Mappato direttamente. La chiave è "ESAStatus".
ESATLSInCipher read_only_udm.network.tls.cipher o read_only_udm.security_result.about.labels.value Mappato direttamente al codice se deviceDirection è "0". In caso contrario, viene mappato come etichetta con la chiave "ESATLSInCipher".
ESATLSInProtocol read_only_udm.network.tls.version o read_only_udm.security_result.about.labels.value La versione TLS estratta e mappata direttamente se deviceDirection è "0". In caso contrario, viene mappato come etichetta con la chiave "ESATLSInProtocol".
ESATLSOutCipher read_only_udm.network.tls.cipher o read_only_udm.security_result.about.labels.value Mappato direttamente al codice se deviceDirection è "1". In caso contrario, viene mappato come etichetta con la chiave "ESATLSOutCipher".
ESATLSOutProtocol read_only_udm.network.tls.version o read_only_udm.security_result.about.labels.value Versione TLS estratta e mappata direttamente se deviceDirection è "1". In caso contrario, viene mappato come etichetta con la chiave "ESATLSOutProtocol".
ESAURLDetails read_only_udm.target.url Analizzato per estrarre gli URL. Viene mappato solo il primo URL perché il campo non viene ripetuto.
external_dlp_policy_group read_only_udm.security_result.detection_fields.value Mappato direttamente se non è vuoto, "-" o "NONE". La chiave è "ExternalDlpPolicyGroup".
ExternalMsgID read_only_udm.security_result.about.labels.value Mappato direttamente dopo la rimozione di virgolette singole e parentesi angolari. La chiave è "ExternalMsgID".
from read_only_udm.network.email.from Mappato direttamente se è un indirizzo email valido. Utilizzato anche per compilare network_from.
host.hostname read_only_udm.principal.hostname o read_only_udm.intermediary.hostname Mappato al nome host principale se il campo host non è valido. Mappato anche al nome host intermedio.
host.ip read_only_udm.principal.ip o read_only_udm.intermediary.ip Mappato all'IP principale se il campo ip non è impostato nei log JSON. Mappato anche all'IP intermediario.
hostname read_only_udm.target.hostname Mappato direttamente.
http_method read_only_udm.network.http.method Mappato direttamente.
http_response_code read_only_udm.network.http.response_code Mappato e convertito direttamente in un numero intero.
identity_policy_group read_only_udm.security_result.detection_fields.value Mappato direttamente se non è vuoto, "-" o "NONE". La chiave è "IdentityPolicyGroup".
ip read_only_udm.principal.ip Mappato direttamente. Sovrascritta da source_ip se presente.
kv_msg Varie Analizzato utilizzando il filtro kv. Il pre-elaborazione include la sostituzione degli spazi prima delle chiavi con "#" e lo scambio dei valori csLabel.
log_type read_only_udm.metadata.log_type Codificato in modo permanente su "CISCO_EMAIL_SECURITY".
loglevel read_only_udm.security_result.severity, read_only_udm.security_result.action Utilizzato per determinare la gravità e l'azione. "Info", "", "Debug", "Trace" corrispondono a "INFORMATIONAL" e "ALLOW". "Warning" (Avviso) corrisponde a "MEDIUM" (MEDIA) e "ALLOW" (CONSENTI). "Alto" corrisponde a "HIGH" e "BLOCK". "Critica" e "Avviso" corrispondono a "CRITICA" e "BLOCCO".
mail_id read_only_udm.network.email.mail_id Mappati direttamente dai log JSON.
mailto read_only_udm.target.user.email_addresses, read_only_udm.network.email.to Mappato direttamente a entrambi i campi UDM se è un indirizzo email valido.
MailPolicy read_only_udm.security_result.about.labels.value Mappato direttamente. La chiave è "MailPolicy".
message Varie Analizzato come JSON, se possibile. In caso contrario, viene elaborato come messaggio syslog.
message_id read_only_udm.network.email.mail_id Mappato direttamente. Utilizzato anche per compilare network_data.
msg read_only_udm.network.email.subject Mappato direttamente dopo la decodifica UTF-8 e la rimozione di ritorni a capo, nuove righe e virgolette aggiuntive. Utilizzato anche per compilare network_data.
msg1 Varie Analizzato utilizzando il filtro kv. Utilizzato per estrarre Hostname, helo, env-from e reply-to.
outbound_malware_scanning_policy_group read_only_udm.security_result.detection_fields.value Mappato direttamente se non è vuoto, "-" o "NONE". La chiave è "DataSecurityPolicyGroup".
port read_only_udm.target.port Mappato e convertito direttamente in un numero intero.
principalMail read_only_udm.principal.user.email_addresses Mappato direttamente.
principalUrl read_only_udm.principal.url Mappato direttamente.
product_event read_only_udm.metadata.product_event_type Mappato direttamente. Utilizzato per determinare quali pattern grok applicare. I caratteri "%" iniziali vengono rimossi. "amp" viene sostituito con "SIEM_AMPenginelogs".
product_version read_only_udm.metadata.product_version Mappato direttamente.
protocol read_only_udm.network.tls.version Mappato direttamente.
received_bytes read_only_udm.network.received_bytes Mappato e convertito direttamente in un numero intero senza segno.
reply-to read_only_udm.additional.fields.value.string_value Mappato direttamente. La chiave è "Reply-To".
reputation read_only_udm.security_result.confidence_details Mappato direttamente.
request_method_uri read_only_udm.target.url Mappato direttamente.
result_code read_only_udm.security_result.detection_fields.value Mappato direttamente. La chiave è "Result Code".
routing_policy_group read_only_udm.security_result.detection_fields.value Mappato direttamente se non è vuoto, "-" o "NONE". La chiave è "RoutingPolicyGroup".
rule read_only_udm.security_result.detection_fields.value Mappato direttamente. La chiave è "Condizione soddisfatta".
SDRThreatCategory read_only_udm.security_result.threat_name Mappato direttamente se non è vuoto o "N/A".
SenderCountry read_only_udm.principal.location.country_or_region Mappato direttamente.
senderGroup read_only_udm.principal.group.group_display_name Mappato direttamente.
security_description read_only_udm.security_result.description Mappato direttamente.
security_email read_only_udm.security_result.about.email o read_only_udm.principal.hostname Mappato all'email se è un indirizzo email valido. In caso contrario, viene mappato al nome host dopo l'estrazione con grok.
source read_only_udm.network.ip_protocol Se contiene "tcp", viene mappato su "TCP".
sourceAddress read_only_udm.principal.ip Mappato direttamente.
sourceHostName read_only_udm.principal.administrative_domain Mappato direttamente se non è "sconosciuto".
source_ip read_only_udm.principal.ip Mappato direttamente. Sovrascrive ip se presente.
Subject read_only_udm.network.email.subject Mappato direttamente dopo la rimozione dei punti finali. Utilizzato anche per compilare network_data.
suser read_only_udm.principal.user.email_addresses, read_only_udm.network.email.bounce_address Mappato direttamente a entrambi i campi UDM se è un indirizzo email valido.
target_ip read_only_udm.target.ip Mappato direttamente.
to read_only_udm.network.email.to Mappato direttamente se è un indirizzo email valido. Utilizzato anche per compilare network_to.
total_bytes read_only_udm.network.sent_bytes Mappato e convertito direttamente in un numero intero senza segno.
trackerHeader read_only_udm.additional.fields.value.string_value Mappato direttamente. La chiave è "Tracker Header".
ts, ts1, year read_only_udm.metadata.event_timestamp.seconds Utilizzato per creare il timestamp dell'evento. ts1 e year vengono combinati se è presente ts1. Sono supportati vari formati, con e senza l'anno. Se l'anno non è presente, viene utilizzato l'anno corrente. Codificato in modo permanente su "Cisco". Codificato in modo permanente su "Cisco Email Security". Il valore predefinito è "ALLOW". Imposta su "BLOCK" (BLOCCA) in base a loglevel o description. Se è presente application_protocol, il valore predefinito è "INBOUND". Impostato in base a deviceDirection per i messaggi CEF. Determinato in base a una combinazione di campi, tra cui network_from, network_to, target_ip, ip, description, event_type, principal_host, Hostname, user_id e sourceAddress. Il valore predefinito è "GENERIC_EVENT". Imposta "SMTP" se application_protocol è "SMTP" o "smtp" oppure se sono presenti target_ip e ip. Imposta "AUTHTYPE_UNSPECIFIED" se login_status e user_id sono presenti nei log sshd. Impostato su true se loglevel è "Critico" o "Avviso".

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.