Cisco Secure Email Gateway のログを収集する

以下でサポートされています。

このドキュメントでは、Google Security Operations フォワーダーを使用して Cisco Secure Email Gateway のログを収集する方法について説明します。

詳細については、Google SecOps へのデータの取り込みをご覧ください。

取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。このドキュメントの情報は、取り込みラベル CISCO-EMAIL-SECURITY が付加されたパーサーに適用されます。

Cisco Secure Email Gateway を構成する

  1. Cisco Secure Email Gateway コンソールで、[System administration] > [Log subscriptions] を選択します。
  2. [New log subscription] ウィンドウで、次の操作を行ってログ サブスクリプションを追加します。
    1. [Log type] フィールドで、[Consolidated event logs] を選択します。
    2. [Available log fields] セクションで、使用可能なフィールドをすべて選択し、[Add] をクリックして [Selected log fields] に移動します。
    3. ログ サブスクリプションのログ取得方法を選択するには、[Syslog push] を選択し、次の操作を行います。
      1. [Hostname] フィールドに、Google SecOps フォワーダーの IP アドレスを指定します。
      2. [Protocol] フィールドで [TCP] チェックボックスをオンにします。
      3. [Facility] フィールドはデフォルト値のままにします。
  3. 構成の変更を保存するには、[Submit] をクリックします。

Cisco Secure Email Gateway を取り込むように Google SecOps フォワーダーを構成する

  1. [SIEM 設定] > [フォワーダー] に移動します。
  2. [Add new forwarder] をクリックします。
  3. [Forwarder Name] にフォワーダーの一意の名前を入力します。
  4. [送信] をクリックします。フォワーダーが追加され、[コレクタの構成を追加する] ウィンドウが表示されます。
  5. [Collector name] フィールドに名前を入力します。
  6. [Log type] として [Cisco Email Security] を選択します。
  7. [Collector type] フィールドで [Syslog] を選択します。
  8. 次の必須入力パラメータを構成します。
    • Protocol: コレクタが Syslog データをリッスンするために使用する接続プロトコルを指定します。
    • Address: コレクタが存在し、Syslog データをリッスンするターゲット IP アドレスまたはホスト名を指定します。
    • Port: コレクタが存在し、Syslog データをリッスンするターゲット ポートを指定します。
  9. [送信] をクリックします。

Google SecOps フォワーダーの詳細については、Google SecOps UI を使用してフォワーダー構成を管理するをご覧ください。

フォワーダーの作成時に問題が発生した場合は、Google SecOps サポートにお問い合わせください。

フィールド マッピング リファレンス

このパーサーは、構造化された(JSON、Key-Value ペア)Cisco Email Security ログと構造化されていない(syslog)Cisco Email Security ログの両方を処理します。grok パターン、Key-Value の抽出、product_event フィールドに基づく条件ロジックを活用して関連する Cisco ESA フィールドを UDM にマッピングすることで、さまざまなログ形式を UDM に正規化します。また、タイムスタンプの変換や重複メッセージの処理などのデータ拡充も行います。

UDM マッピング テーブル

ログフィールド UDM マッピング 論理
acl_decision_tag read_only_udm.security_result.detection_fields.value 空白、「-」、「NONE」のいずれでもない場合は、直接マッピングされます。キーは「ACL Decision Tag」です。
access_or_decryption_policy_group read_only_udm.security_result.detection_fields.value 空白、「-」、「NONE」のいずれでもない場合は、直接マッピングされます。キーは「AccessOrDecryptionPolicyGroup」です。
act read_only_udm.security_result.action_details 直接マッピングされます。
authenticated_user read_only_udm.principal.user.userid 空白、「-」、「NONE」のいずれでもない場合は、直接マッピングされます。
cache_hierarchy_retrieval read_only_udm.security_result.detection_fields.value 空白、「-」、「NONE」のいずれでもない場合は、直接マッピングされます。キーは「Cache Hierarchy Retrieval」です。
cipher read_only_udm.network.tls.cipher 直接マッピングされます。
country read_only_udm.principal.location.country_or_region 直接マッピングされます。
data_security_policy_group read_only_udm.security_result.detection_fields.value 空白、「-」、「NONE」のいずれでもない場合は、直接マッピングされます。キーは「DataSecurityPolicyGroup」です。
description read_only_udm.metadata.description syslog メッセージに直接マッピングされます。CEF メッセージの場合、これはプロダクトの全体的な説明になります。さまざまな grok パターンが product_event に基づいて特定の説明を抽出します。一部の説明は gsub によって変更され、先頭および末尾のスペースとコロンが削除されます。
deviceDirection read_only_udm.network.direction 0 の場合は「INBOUND」にマッピングします。1 の場合は「OUTBOUND」にマッピングします。どの TLS 暗号とプロトコルを直接マッピングし、どの TLS 暗号とプロトコルをラベルとしてマッピングするかを決定するために使用されます。
deviceExternalId read_only_udm.principal.asset.asset_id 「デバイス ID:」としてマッピングされます。
domain read_only_udm.target.administrative_domain JSON ログから直接マッピングされます。
domain_age read_only_udm.security_result.about.labels.value 直接マッピングされます。キーは「YoungestDomainAge」です。
duser read_only_udm.target.user.email_addressesread_only_udm.network.email.to 「;」が含まれている場合は、複数のメールアドレスに分割し、それぞれを両方の UDM フィールドにマッピングします。それ以外の場合は、有効なメールアドレスであれば、両方の UDM フィールドに直接マッピングします。network_to が空の場合、その値を入力するためにも使用されます。
dvc read_only_udm.target.ip 直接マッピングされます。
entries.collection_time.nanosentries.collection_time.seconds read_only_udm.metadata.event_timestamp.nanosread_only_udm.metadata.event_timestamp.seconds イベント タイムスタンプの作成に使用されます。
env-from read_only_udm.additional.fields.value.string_value 直接マッピングされます。キーは「Env-From」です。
ESAAttachmentDetails read_only_udm.security_result.about.file.full_pathread_only_udm.security_result.about.file.sha256 解析してファイル名と SHA256 ハッシュを抽出します。複数のファイルとハッシュを抽出できます。
ESADCID read_only_udm.security_result.about.labels.value 直接マッピングされます。キーは「ESADCID」です。
ESAFriendlyFrom read_only_udm.principal.user.user_display_nameread_only_udm.network.email.from 解析して表示名とメールアドレスを抽出します。
ESAHeloDomain read_only_udm.intermediary.administrative_domain 直接マッピングされます。
ESAHeloIP read_only_udm.intermediary.ip 直接マッピングされます。
ESAICID read_only_udm.security_result.about.labels.value 直接マッピングされます。キーは「ESAICID」です。
ESAMailFlowPolicy read_only_udm.security_result.rule_name 直接マッピングされます。
ESAMID read_only_udm.security_result.about.labels.value 直接マッピングされます。キーは「ESAMID」です。
ESAReplyTo read_only_udm.network.email.reply_to 有効なメールアドレスの場合、直接マッピングされます。network_to の入力にも使用されます。
ESASDRDomainAge read_only_udm.security_result.about.labels.value 直接マッピングされます。キーは「ESASDRDomainAge」です。
ESASenderGroup read_only_udm.principal.group.group_display_name 直接マッピングされます。
ESAStatus read_only_udm.security_result.about.labels.value 直接マッピングされます。キーは「ESAStatus」です。
ESATLSInCipher read_only_udm.network.tls.cipher または read_only_udm.security_result.about.labels.value deviceDirection が「0」の場合は、暗号に直接マッピングされます。それ以外の場合は、キー「ESATLSInCipher」のラベルとしてマッピングされます。
ESATLSInProtocol read_only_udm.network.tls.version または read_only_udm.security_result.about.labels.value deviceDirection が「0」の場合、TLS バージョンが抽出され、直接マッピングされます。それ以外の場合は、キー「ESATLSInProtocol」のラベルとしてマッピングされます。
ESATLSOutCipher read_only_udm.network.tls.cipher または read_only_udm.security_result.about.labels.value deviceDirection が「1」の場合、暗号に直接マッピングされます。それ以外の場合は、キー「ESATLSOutCipher」のラベルとしてマッピングされます。
ESATLSOutProtocol read_only_udm.network.tls.version または read_only_udm.security_result.about.labels.value deviceDirection が「1」の場合、TLS バージョンが抽出され、直接マッピングされます。それ以外の場合は、キー「ESATLSOutProtocol」のラベルとしてマッピングされます。
ESAURLDetails read_only_udm.target.url 解析されて URL が抽出されます。フィールドは繰り返されないため、最初の URL のみがマッピングされます。
external_dlp_policy_group read_only_udm.security_result.detection_fields.value 空白、「-」、「NONE」のいずれでもない場合は、直接マッピングされます。キーは「ExternalDlpPolicyGroup」です。
ExternalMsgID read_only_udm.security_result.about.labels.value 単一引用符と山かっこを削除した後、直接マッピングされます。キーは「ExternalMsgID」です。
from read_only_udm.network.email.from 有効なメールアドレスの場合、直接マッピングされます。network_from の入力にも使用されます。
host.hostname read_only_udm.principal.hostname または read_only_udm.intermediary.hostname host フィールドが無効な場合、プリンシパル ホスト名にマッピングされます。仲介ホスト名にもマッピングされます。
host.ip read_only_udm.principal.ip または read_only_udm.intermediary.ip JSON ログで ip フィールドが設定されていない場合、プリンシパル IP にマッピングされます。仲介 IP にもマッピングされます。
hostname read_only_udm.target.hostname 直接マッピングされます。
http_method read_only_udm.network.http.method 直接マッピングされます。
http_response_code read_only_udm.network.http.response_code 直接マッピングされ、整数に変換されます。
identity_policy_group read_only_udm.security_result.detection_fields.value 空白、「-」、「NONE」のいずれでもない場合は、直接マッピングされます。キーは「IdentityPolicyGroup」です。
ip read_only_udm.principal.ip 直接マッピングされます。source_ip が存在する場合はその値で上書きされます。
kv_msg Various kv フィルタを使用して解析されます。前処理でキーの前のスペースが「#」に置き換えられ、csLabel の値が入れ替えられます。
log_type read_only_udm.metadata.log_type 「CISCO_EMAIL_SECURITY」にハードコードされています。
loglevel read_only_udm.security_result.severityread_only_udm.security_result.action 重大度とアクションの判断に使用されます。"Info"、""、"Debug"、"Trace" は「INFORMATIONAL」と「ALLOW」にマッピングされます。「Warning」は「MEDIUM」と「ALLOW」にマッピングされます。「High」は「HIGH」と「BLOCK」にマッピングされます。「Critical」と「Alert」が「CRITICAL」、「BLOCK」にマッピングされます。
mail_id read_only_udm.network.email.mail_id JSON ログから直接マッピングされます。
mailto read_only_udm.target.user.email_addressesread_only_udm.network.email.to 有効なメールアドレスの場合は、両方の UDM フィールドに直接マッピングされます。
MailPolicy read_only_udm.security_result.about.labels.value 直接マッピングされます。キーは「MailPolicy」です。
message Various 可能であれば JSON として解析されます。それ以外の場合は、Syslog メッセージとして処理されます。
message_id read_only_udm.network.email.mail_id 直接マッピングされます。network_data の入力にも使用されます。
msg read_only_udm.network.email.subject UTF-8 デコード後、キャリッジ リターン、改行、余分な引用符を削除してから直接マッピングされます。network_data の入力にも使用されます。
msg1 Various kv フィルタを使用して解析されます。Hostnameheloenv-fromreply-to の抽出に使用されます。
outbound_malware_scanning_policy_group read_only_udm.security_result.detection_fields.value 空白、「-」、「NONE」のいずれでもない場合は、直接マッピングされます。キーは「DataSecurityPolicyGroup」です。
port read_only_udm.target.port 直接マッピングされ、整数に変換されます。
principalMail read_only_udm.principal.user.email_addresses 直接マッピングされます。
principalUrl read_only_udm.principal.url 直接マッピングされます。
product_event read_only_udm.metadata.product_event_type 直接マッピングされます。適用する grok パターンを決定するために使用されます。先頭の「%」文字は削除されます。「amp」は「SIEM_AMPenginelogs」に置き換えられます。
product_version read_only_udm.metadata.product_version 直接マッピングされます。
protocol read_only_udm.network.tls.version 直接マッピングされます。
received_bytes read_only_udm.network.received_bytes 直接マッピングされ、符号なし整数に変換されます。
reply-to read_only_udm.additional.fields.value.string_value 直接マッピングされます。キーは「Reply-To」です。
reputation read_only_udm.security_result.confidence_details 直接マッピングされます。
request_method_uri read_only_udm.target.url 直接マッピングされます。
result_code read_only_udm.security_result.detection_fields.value 直接マッピングされます。キーは「Result Code」です。
routing_policy_group read_only_udm.security_result.detection_fields.value 空白、「-」、「NONE」のいずれでもない場合は、直接マッピングされます。キーは「RoutingPolicyGroup」です。
rule read_only_udm.security_result.detection_fields.value 直接マッピングされます。キーは「Matched Condition」です。
SDRThreatCategory read_only_udm.security_result.threat_name 空白でも「N/A」でもない場合、直接マッピングされます。
SenderCountry read_only_udm.principal.location.country_or_region 直接マッピングされます。
senderGroup read_only_udm.principal.group.group_display_name 直接マッピングされます。
security_description read_only_udm.security_result.description 直接マッピングされます。
security_email read_only_udm.security_result.about.email または read_only_udm.principal.hostname 有効なメールアドレスの場合、メールにマッピングされます。それ以外の場合は、grok で抽出した後にホスト名にマッピングされます。
source read_only_udm.network.ip_protocol 「tcp」が含まれている場合は、「TCP」にマッピングします。
sourceAddress read_only_udm.principal.ip 直接マッピングされます。
sourceHostName read_only_udm.principal.administrative_domain 「unknown」でない場合、直接マッピングされます。
source_ip read_only_udm.principal.ip 直接マッピングされます。ip が存在する場合はその値で上書きされます。
Subject read_only_udm.network.email.subject 末尾のピリオドを削除した後、直接マッピングされます。network_data の入力にも使用されます。
suser read_only_udm.principal.user.email_addressesread_only_udm.network.email.bounce_address 有効なメールアドレスの場合は、両方の UDM フィールドに直接マッピングされます。
target_ip read_only_udm.target.ip 直接マッピングされます。
to read_only_udm.network.email.to 有効なメールアドレスの場合、直接マッピングされます。network_to の入力にも使用されます。
total_bytes read_only_udm.network.sent_bytes 直接マッピングされ、符号なし整数に変換されます。
trackerHeader read_only_udm.additional.fields.value.string_value 直接マッピングされます。キーは「Tracker Header」です。
tsts1year read_only_udm.metadata.event_timestamp.seconds イベント タイムスタンプの作成に使用されます。ts1 が存在する場合、ts1year が結合されます。年あり、年なしなど、さまざまな形式に対応しています。年が指定されていない場合は、現在の年が使用されます。「Cisco」にハードコードされます。「Cisco Email Security」にハードコードされます。デフォルトは「ALLOW」です。loglevel または description に基づいて「BLOCK」に設定されます。application_protocol が存在する場合、デフォルトで「INBOUND」になります。CEF メッセージについては deviceDirection に基づいて設定されます。network_fromnetwork_totarget_ipipdescriptionevent_typeprincipal_hostHostnameuser_idsourceAddress などのフィールドの組み合わせに基づいて決定されます。デフォルトで「GENERIC_EVENT」になります。application_protocol が「SMTP」または「smtp」の場合、または target_ipip が存在する場合は「SMTP」に設定されます。sshd ログに login_statususer_id が存在する場合は、「AUTHTYPE_UNSPECIFIED」に設定されます。loglevel が「Critical」または「Alert」の場合は true に設定されます。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。