Cisco Secure Email Gateway のログを収集する
このドキュメントでは、Google Security Operations フォワーダーを使用して Cisco Secure Email Gateway のログを収集する方法について説明します。
詳細については、Google SecOps へのデータの取り込みをご覧ください。
取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。このドキュメントの情報は、取り込みラベル CISCO-EMAIL-SECURITY
が付加されたパーサーに適用されます。
Cisco Secure Email Gateway を構成する
- Cisco Secure Email Gateway コンソールで、[System administration] > [Log subscriptions] を選択します。
- [New log subscription] ウィンドウで、次の操作を行ってログ サブスクリプションを追加します。
- [Log type] フィールドで、[Consolidated event logs] を選択します。
- [Available log fields] セクションで、使用可能なフィールドをすべて選択し、[Add] をクリックして [Selected log fields] に移動します。
- ログ サブスクリプションのログ取得方法を選択するには、[Syslog push] を選択し、次の操作を行います。
- [Hostname] フィールドに、Google SecOps フォワーダーの IP アドレスを指定します。
- [Protocol] フィールドで [TCP] チェックボックスをオンにします。
- [Facility] フィールドはデフォルト値のままにします。
- 構成の変更を保存するには、[Submit] をクリックします。
Cisco Secure Email Gateway を取り込むように Google SecOps フォワーダーを構成する
- [SIEM 設定] > [フォワーダー] に移動します。
- [Add new forwarder] をクリックします。
- [Forwarder Name] にフォワーダーの一意の名前を入力します。
- [送信] をクリックします。フォワーダーが追加され、[コレクタの構成を追加する] ウィンドウが表示されます。
- [Collector name] フィールドに名前を入力します。
- [Log type] として [Cisco Email Security] を選択します。
- [Collector type] フィールドで [Syslog] を選択します。
- 次の必須入力パラメータを構成します。
- Protocol: コレクタが Syslog データをリッスンするために使用する接続プロトコルを指定します。
- Address: コレクタが存在し、Syslog データをリッスンするターゲット IP アドレスまたはホスト名を指定します。
- Port: コレクタが存在し、Syslog データをリッスンするターゲット ポートを指定します。
- [送信] をクリックします。
Google SecOps フォワーダーの詳細については、Google SecOps UI を使用してフォワーダー構成を管理するをご覧ください。
フォワーダーの作成時に問題が発生した場合は、Google SecOps サポートにお問い合わせください。
フィールド マッピング リファレンス
このパーサーは、構造化された(JSON、Key-Value ペア)Cisco Email Security ログと構造化されていない(syslog)Cisco Email Security ログの両方を処理します。grok
パターン、Key-Value の抽出、product_event
フィールドに基づく条件ロジックを活用して関連する Cisco ESA フィールドを UDM にマッピングすることで、さまざまなログ形式を UDM に正規化します。また、タイムスタンプの変換や重複メッセージの処理などのデータ拡充も行います。
UDM マッピング テーブル
ログフィールド | UDM マッピング | 論理 |
---|---|---|
acl_decision_tag |
read_only_udm.security_result.detection_fields.value |
空白、「-」、「NONE」のいずれでもない場合は、直接マッピングされます。キーは「ACL Decision Tag」です。 |
access_or_decryption_policy_group |
read_only_udm.security_result.detection_fields.value |
空白、「-」、「NONE」のいずれでもない場合は、直接マッピングされます。キーは「AccessOrDecryptionPolicyGroup」です。 |
act |
read_only_udm.security_result.action_details |
直接マッピングされます。 |
authenticated_user |
read_only_udm.principal.user.userid |
空白、「-」、「NONE」のいずれでもない場合は、直接マッピングされます。 |
cache_hierarchy_retrieval |
read_only_udm.security_result.detection_fields.value |
空白、「-」、「NONE」のいずれでもない場合は、直接マッピングされます。キーは「Cache Hierarchy Retrieval」です。 |
cipher |
read_only_udm.network.tls.cipher |
直接マッピングされます。 |
country |
read_only_udm.principal.location.country_or_region |
直接マッピングされます。 |
data_security_policy_group |
read_only_udm.security_result.detection_fields.value |
空白、「-」、「NONE」のいずれでもない場合は、直接マッピングされます。キーは「DataSecurityPolicyGroup」です。 |
description |
read_only_udm.metadata.description |
syslog メッセージに直接マッピングされます。CEF メッセージの場合、これはプロダクトの全体的な説明になります。さまざまな grok パターンが product_event に基づいて特定の説明を抽出します。一部の説明は gsub によって変更され、先頭および末尾のスペースとコロンが削除されます。 |
deviceDirection |
read_only_udm.network.direction |
0 の場合は「INBOUND」にマッピングします。1 の場合は「OUTBOUND」にマッピングします。どの TLS 暗号とプロトコルを直接マッピングし、どの TLS 暗号とプロトコルをラベルとしてマッピングするかを決定するために使用されます。 |
deviceExternalId |
read_only_udm.principal.asset.asset_id |
「デバイス ID: |
domain |
read_only_udm.target.administrative_domain |
JSON ログから直接マッピングされます。 |
domain_age |
read_only_udm.security_result.about.labels.value |
直接マッピングされます。キーは「YoungestDomainAge」です。 |
duser |
read_only_udm.target.user.email_addresses 、read_only_udm.network.email.to |
「;」が含まれている場合は、複数のメールアドレスに分割し、それぞれを両方の UDM フィールドにマッピングします。それ以外の場合は、有効なメールアドレスであれば、両方の UDM フィールドに直接マッピングします。network_to が空の場合、その値を入力するためにも使用されます。 |
dvc |
read_only_udm.target.ip |
直接マッピングされます。 |
entries.collection_time.nanos 、entries.collection_time.seconds |
read_only_udm.metadata.event_timestamp.nanos 、read_only_udm.metadata.event_timestamp.seconds |
イベント タイムスタンプの作成に使用されます。 |
env-from |
read_only_udm.additional.fields.value.string_value |
直接マッピングされます。キーは「Env-From」です。 |
ESAAttachmentDetails |
read_only_udm.security_result.about.file.full_path 、read_only_udm.security_result.about.file.sha256 |
解析してファイル名と SHA256 ハッシュを抽出します。複数のファイルとハッシュを抽出できます。 |
ESADCID |
read_only_udm.security_result.about.labels.value |
直接マッピングされます。キーは「ESADCID」です。 |
ESAFriendlyFrom |
read_only_udm.principal.user.user_display_name 、read_only_udm.network.email.from |
解析して表示名とメールアドレスを抽出します。 |
ESAHeloDomain |
read_only_udm.intermediary.administrative_domain |
直接マッピングされます。 |
ESAHeloIP |
read_only_udm.intermediary.ip |
直接マッピングされます。 |
ESAICID |
read_only_udm.security_result.about.labels.value |
直接マッピングされます。キーは「ESAICID」です。 |
ESAMailFlowPolicy |
read_only_udm.security_result.rule_name |
直接マッピングされます。 |
ESAMID |
read_only_udm.security_result.about.labels.value |
直接マッピングされます。キーは「ESAMID」です。 |
ESAReplyTo |
read_only_udm.network.email.reply_to |
有効なメールアドレスの場合、直接マッピングされます。network_to の入力にも使用されます。 |
ESASDRDomainAge |
read_only_udm.security_result.about.labels.value |
直接マッピングされます。キーは「ESASDRDomainAge」です。 |
ESASenderGroup |
read_only_udm.principal.group.group_display_name |
直接マッピングされます。 |
ESAStatus |
read_only_udm.security_result.about.labels.value |
直接マッピングされます。キーは「ESAStatus」です。 |
ESATLSInCipher |
read_only_udm.network.tls.cipher または read_only_udm.security_result.about.labels.value |
deviceDirection が「0」の場合は、暗号に直接マッピングされます。それ以外の場合は、キー「ESATLSInCipher」のラベルとしてマッピングされます。 |
ESATLSInProtocol |
read_only_udm.network.tls.version または read_only_udm.security_result.about.labels.value |
deviceDirection が「0」の場合、TLS バージョンが抽出され、直接マッピングされます。それ以外の場合は、キー「ESATLSInProtocol」のラベルとしてマッピングされます。 |
ESATLSOutCipher |
read_only_udm.network.tls.cipher または read_only_udm.security_result.about.labels.value |
deviceDirection が「1」の場合、暗号に直接マッピングされます。それ以外の場合は、キー「ESATLSOutCipher」のラベルとしてマッピングされます。 |
ESATLSOutProtocol |
read_only_udm.network.tls.version または read_only_udm.security_result.about.labels.value |
deviceDirection が「1」の場合、TLS バージョンが抽出され、直接マッピングされます。それ以外の場合は、キー「ESATLSOutProtocol」のラベルとしてマッピングされます。 |
ESAURLDetails |
read_only_udm.target.url |
解析されて URL が抽出されます。フィールドは繰り返されないため、最初の URL のみがマッピングされます。 |
external_dlp_policy_group |
read_only_udm.security_result.detection_fields.value |
空白、「-」、「NONE」のいずれでもない場合は、直接マッピングされます。キーは「ExternalDlpPolicyGroup」です。 |
ExternalMsgID |
read_only_udm.security_result.about.labels.value |
単一引用符と山かっこを削除した後、直接マッピングされます。キーは「ExternalMsgID」です。 |
from |
read_only_udm.network.email.from |
有効なメールアドレスの場合、直接マッピングされます。network_from の入力にも使用されます。 |
host.hostname |
read_only_udm.principal.hostname または read_only_udm.intermediary.hostname |
host フィールドが無効な場合、プリンシパル ホスト名にマッピングされます。仲介ホスト名にもマッピングされます。 |
host.ip |
read_only_udm.principal.ip または read_only_udm.intermediary.ip |
JSON ログで ip フィールドが設定されていない場合、プリンシパル IP にマッピングされます。仲介 IP にもマッピングされます。 |
hostname |
read_only_udm.target.hostname |
直接マッピングされます。 |
http_method |
read_only_udm.network.http.method |
直接マッピングされます。 |
http_response_code |
read_only_udm.network.http.response_code |
直接マッピングされ、整数に変換されます。 |
identity_policy_group |
read_only_udm.security_result.detection_fields.value |
空白、「-」、「NONE」のいずれでもない場合は、直接マッピングされます。キーは「IdentityPolicyGroup」です。 |
ip |
read_only_udm.principal.ip |
直接マッピングされます。source_ip が存在する場合はその値で上書きされます。 |
kv_msg |
Various | kv フィルタを使用して解析されます。前処理でキーの前のスペースが「#」に置き換えられ、csLabel の値が入れ替えられます。 |
log_type |
read_only_udm.metadata.log_type |
「CISCO_EMAIL_SECURITY」にハードコードされています。 |
loglevel |
read_only_udm.security_result.severity 、read_only_udm.security_result.action |
重大度とアクションの判断に使用されます。"Info"、""、"Debug"、"Trace" は「INFORMATIONAL」と「ALLOW」にマッピングされます。「Warning」は「MEDIUM」と「ALLOW」にマッピングされます。「High」は「HIGH」と「BLOCK」にマッピングされます。「Critical」と「Alert」が「CRITICAL」、「BLOCK」にマッピングされます。 |
mail_id |
read_only_udm.network.email.mail_id |
JSON ログから直接マッピングされます。 |
mailto |
read_only_udm.target.user.email_addresses 、read_only_udm.network.email.to |
有効なメールアドレスの場合は、両方の UDM フィールドに直接マッピングされます。 |
MailPolicy |
read_only_udm.security_result.about.labels.value |
直接マッピングされます。キーは「MailPolicy」です。 |
message |
Various | 可能であれば JSON として解析されます。それ以外の場合は、Syslog メッセージとして処理されます。 |
message_id |
read_only_udm.network.email.mail_id |
直接マッピングされます。network_data の入力にも使用されます。 |
msg |
read_only_udm.network.email.subject |
UTF-8 デコード後、キャリッジ リターン、改行、余分な引用符を削除してから直接マッピングされます。network_data の入力にも使用されます。 |
msg1 |
Various | kv フィルタを使用して解析されます。Hostname 、helo 、env-from 、reply-to の抽出に使用されます。 |
outbound_malware_scanning_policy_group |
read_only_udm.security_result.detection_fields.value |
空白、「-」、「NONE」のいずれでもない場合は、直接マッピングされます。キーは「DataSecurityPolicyGroup」です。 |
port |
read_only_udm.target.port |
直接マッピングされ、整数に変換されます。 |
principalMail |
read_only_udm.principal.user.email_addresses |
直接マッピングされます。 |
principalUrl |
read_only_udm.principal.url |
直接マッピングされます。 |
product_event |
read_only_udm.metadata.product_event_type |
直接マッピングされます。適用する grok パターンを決定するために使用されます。先頭の「%」文字は削除されます。「amp」は「SIEM_AMPenginelogs」に置き換えられます。 |
product_version |
read_only_udm.metadata.product_version |
直接マッピングされます。 |
protocol |
read_only_udm.network.tls.version |
直接マッピングされます。 |
received_bytes |
read_only_udm.network.received_bytes |
直接マッピングされ、符号なし整数に変換されます。 |
reply-to |
read_only_udm.additional.fields.value.string_value |
直接マッピングされます。キーは「Reply-To」です。 |
reputation |
read_only_udm.security_result.confidence_details |
直接マッピングされます。 |
request_method_uri |
read_only_udm.target.url |
直接マッピングされます。 |
result_code |
read_only_udm.security_result.detection_fields.value |
直接マッピングされます。キーは「Result Code」です。 |
routing_policy_group |
read_only_udm.security_result.detection_fields.value |
空白、「-」、「NONE」のいずれでもない場合は、直接マッピングされます。キーは「RoutingPolicyGroup」です。 |
rule |
read_only_udm.security_result.detection_fields.value |
直接マッピングされます。キーは「Matched Condition」です。 |
SDRThreatCategory |
read_only_udm.security_result.threat_name |
空白でも「N/A」でもない場合、直接マッピングされます。 |
SenderCountry |
read_only_udm.principal.location.country_or_region |
直接マッピングされます。 |
senderGroup |
read_only_udm.principal.group.group_display_name |
直接マッピングされます。 |
security_description |
read_only_udm.security_result.description |
直接マッピングされます。 |
security_email |
read_only_udm.security_result.about.email または read_only_udm.principal.hostname |
有効なメールアドレスの場合、メールにマッピングされます。それ以外の場合は、grok で抽出した後にホスト名にマッピングされます。 |
source |
read_only_udm.network.ip_protocol |
「tcp」が含まれている場合は、「TCP」にマッピングします。 |
sourceAddress |
read_only_udm.principal.ip |
直接マッピングされます。 |
sourceHostName |
read_only_udm.principal.administrative_domain |
「unknown」でない場合、直接マッピングされます。 |
source_ip |
read_only_udm.principal.ip |
直接マッピングされます。ip が存在する場合はその値で上書きされます。 |
Subject |
read_only_udm.network.email.subject |
末尾のピリオドを削除した後、直接マッピングされます。network_data の入力にも使用されます。 |
suser |
read_only_udm.principal.user.email_addresses 、read_only_udm.network.email.bounce_address |
有効なメールアドレスの場合は、両方の UDM フィールドに直接マッピングされます。 |
target_ip |
read_only_udm.target.ip |
直接マッピングされます。 |
to |
read_only_udm.network.email.to |
有効なメールアドレスの場合、直接マッピングされます。network_to の入力にも使用されます。 |
total_bytes |
read_only_udm.network.sent_bytes |
直接マッピングされ、符号なし整数に変換されます。 |
trackerHeader |
read_only_udm.additional.fields.value.string_value |
直接マッピングされます。キーは「Tracker Header」です。 |
ts 、ts1 、year |
read_only_udm.metadata.event_timestamp.seconds |
イベント タイムスタンプの作成に使用されます。ts1 が存在する場合、ts1 と year が結合されます。年あり、年なしなど、さまざまな形式に対応しています。年が指定されていない場合は、現在の年が使用されます。「Cisco」にハードコードされます。「Cisco Email Security」にハードコードされます。デフォルトは「ALLOW」です。loglevel または description に基づいて「BLOCK」に設定されます。application_protocol が存在する場合、デフォルトで「INBOUND」になります。CEF メッセージについては deviceDirection に基づいて設定されます。network_from 、network_to 、target_ip 、ip 、description 、event_type 、principal_host 、Hostname 、user_id 、sourceAddress などのフィールドの組み合わせに基づいて決定されます。デフォルトで「GENERIC_EVENT」になります。application_protocol が「SMTP」または「smtp」の場合、または target_ip と ip が存在する場合は「SMTP」に設定されます。sshd ログに login_status と user_id が存在する場合は、「AUTHTYPE_UNSPECIFIED」に設定されます。loglevel が「Critical」または「Alert」の場合は true に設定されます。 |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。