Coletar registros do Cisco Secure Email Gateway

Compatível com:

Neste documento, descrevemos como coletar os registros do Cisco Secure Email Gateway usando um encaminhador do Google Security Operations.

Para mais informações, consulte Ingestão de dados no Google SecOps.

Um rótulo de ingestão identifica o analisador que normaliza dados de registro brutos para o formato UDM estruturado. As informações neste documento se aplicam ao analisador com o rótulo de ingestão CISCO-EMAIL-SECURITY.

Configurar o Cisco Secure Email Gateway

  1. No console do Cisco Secure Email Gateway, selecione Administração do sistema > Assinaturas de registros.
  2. Na janela Nova assinatura de registro, faça o seguinte para adicionar uma assinatura de registro:
    1. No campo Tipo de registro, selecione Registros de eventos consolidados.
    2. Na seção Campos de registro disponíveis, selecione todos os campos disponíveis e clique em Adicionar para movê-los para Campos de registro selecionados.
    3. Para selecionar um método de recuperação de registros para a assinatura, escolha Push do Syslog e faça o seguinte:
      1. No campo Nome do host, especifique o endereço IP do encaminhador do Google SecOps.
      2. No campo Protocolo, marque a caixa de seleção TCP.
      3. No campo Unidade, use o valor padrão.
  3. Para salvar as mudanças na configuração, clique em Enviar.

Configurar o encaminhador do Google SecOps para ingerir o Cisco Secure Email Gateway

  1. Acesse Configurações do SIEM > Encaminhadores.
  2. Clique em Adicionar novo encaminhador.
  3. No campo Nome do encaminhador, insira um nome exclusivo para ele.
  4. Clique em Enviar. O encaminhador é adicionado, e a janela Adicionar configuração do coletor aparece.
  5. No campo Nome do coletor, digite um nome.
  6. Selecione Cisco Email Security como o Tipo de registro.
  7. No campo Tipo de coletor, selecione Syslog.
  8. Configure os seguintes parâmetros de entrada obrigatórios:
    • Protocolo: especifique o protocolo de conexão que o coletor usa para ouvir dados do syslog.
    • Endereço: especifique o endereço IP ou o nome do host de destino em que o coletor reside e escuta os dados do syslog.
    • Porta: especifique a porta de destino em que o coletor reside e detecta dados do syslog.
  9. Clique em Enviar.

Para mais informações sobre os encaminhadores do Google SecOps, consulte Gerenciar configurações de encaminhadores na interface do Google SecOps.

Se você tiver problemas ao criar encaminhadores, entre em contato com o suporte do Google SecOps.

Referência de mapeamento de campos

Esse analisador processa registros de segurança de e-mail da Cisco estruturados (JSON, pares de chave-valor) e não estruturados (syslog). Ele normaliza diversos formatos de registro no UDM usando padrões grok, extração de chave-valor e lógica condicional com base no campo product_event para mapear campos relevantes do Cisco ESA no UDM. Ele também realiza o enriquecimento de dados, como a conversão de carimbos de data/hora e o processamento de mensagens repetidas.

Tabela de mapeamento do UDM

Campo de registro Mapeamento da UDM Lógica
acl_decision_tag read_only_udm.security_result.detection_fields.value Mapeado diretamente se não estiver vazio, "-" ou "NONE". A chave é "ACL Decision Tag".
access_or_decryption_policy_group read_only_udm.security_result.detection_fields.value Mapeado diretamente se não estiver vazio, "-" ou "NONE". A chave é "AccessOrDecryptionPolicyGroup".
act read_only_udm.security_result.action_details Mapeado diretamente.
authenticated_user read_only_udm.principal.user.userid Mapeado diretamente se não estiver vazio, "-" ou "NONE".
cache_hierarchy_retrieval read_only_udm.security_result.detection_fields.value Mapeado diretamente se não estiver vazio, "-" ou "NONE". A chave é "Recuperação da hierarquia de cache".
cipher read_only_udm.network.tls.cipher Mapeado diretamente.
country read_only_udm.principal.location.country_or_region Mapeado diretamente.
data_security_policy_group read_only_udm.security_result.detection_fields.value Mapeado diretamente se não estiver vazio, "-" ou "NONE". A chave é "DataSecurityPolicyGroup".
description read_only_udm.metadata.description Mapeado diretamente para mensagens do syslog. Para mensagens CEF, ela se torna a descrição geral do produto. Vários padrões do grok extraem descrições específicas com base no product_event. Algumas descrições são modificadas por gsub para remover espaços e dois-pontos à esquerda/direita.
deviceDirection read_only_udm.network.direction Se "0", será mapeado como "INBOUND". Se for "1", será mapeado como "OUTBOUND". Usado para determinar quais criptografias e protocolos TLS mapear diretamente e quais mapear como rótulos.
deviceExternalId read_only_udm.principal.asset.asset_id Mapeado como "ID do dispositivo:".
domain read_only_udm.target.administrative_domain Mapeado diretamente de registros JSON.
domain_age read_only_udm.security_result.about.labels.value Mapeado diretamente. A chave é "YoungestDomainAge".
duser read_only_udm.target.user.email_addresses, read_only_udm.network.email.to Se contiver ";", divida em vários endereços de e-mail e mapeie cada um para os dois campos da UDM. Caso contrário, mapeie diretamente para os dois campos do UDM se for um endereço de e-mail válido. Também usado para preencher network_to se estiver vazio.
dvc read_only_udm.target.ip Mapeado diretamente.
entries.collection_time.nanos, entries.collection_time.seconds read_only_udm.metadata.event_timestamp.nanos, read_only_udm.metadata.event_timestamp.seconds Usado para criar o carimbo de data/hora do evento.
env-from read_only_udm.additional.fields.value.string_value Mapeado diretamente. A chave é "Env-From".
ESAAttachmentDetails read_only_udm.security_result.about.file.full_path, read_only_udm.security_result.about.file.sha256 Analisado para extrair nomes de arquivos e hashes SHA256. É possível extrair vários arquivos e hashes.
ESADCID read_only_udm.security_result.about.labels.value Mapeado diretamente. A chave é "ESADCID".
ESAFriendlyFrom read_only_udm.principal.user.user_display_name, read_only_udm.network.email.from Analisado para extrair o nome de exibição e o endereço de e-mail.
ESAHeloDomain read_only_udm.intermediary.administrative_domain Mapeado diretamente.
ESAHeloIP read_only_udm.intermediary.ip Mapeado diretamente.
ESAICID read_only_udm.security_result.about.labels.value Mapeado diretamente. A chave é "ESAICID".
ESAMailFlowPolicy read_only_udm.security_result.rule_name Mapeado diretamente.
ESAMID read_only_udm.security_result.about.labels.value Mapeado diretamente. A chave é "ESAMID".
ESAReplyTo read_only_udm.network.email.reply_to Mapeado diretamente se for um endereço de e-mail válido. Também usado para preencher network_to.
ESASDRDomainAge read_only_udm.security_result.about.labels.value Mapeado diretamente. A chave é "ESASDRDomainAge".
ESASenderGroup read_only_udm.principal.group.group_display_name Mapeado diretamente.
ESAStatus read_only_udm.security_result.about.labels.value Mapeado diretamente. A chave é "ESAStatus".
ESATLSInCipher read_only_udm.network.tls.cipher ou read_only_udm.security_result.about.labels.value Mapeado diretamente para a cifra se deviceDirection for "0". Caso contrário, será mapeado como um rótulo com a chave "ESATLSInCipher".
ESATLSInProtocol read_only_udm.network.tls.version ou read_only_udm.security_result.about.labels.value A versão do TLS é extraída e mapeada diretamente se deviceDirection for "0". Caso contrário, será mapeado como um rótulo com a chave "ESATLSInProtocol".
ESATLSOutCipher read_only_udm.network.tls.cipher ou read_only_udm.security_result.about.labels.value Mapeado diretamente para a cifra se deviceDirection for "1". Caso contrário, será mapeado como um rótulo com a chave "ESATLSOutCipher".
ESATLSOutProtocol read_only_udm.network.tls.version ou read_only_udm.security_result.about.labels.value A versão do TLS é extraída e mapeada diretamente se deviceDirection for "1". Caso contrário, será mapeado como um rótulo com a chave "ESATLSOutProtocol".
ESAURLDetails read_only_udm.target.url Analisado para extrair URLs. Somente o primeiro URL é mapeado porque o campo não é repetido.
external_dlp_policy_group read_only_udm.security_result.detection_fields.value Mapeado diretamente se não estiver vazio, "-" ou "NONE". A chave é "ExternalDlpPolicyGroup".
ExternalMsgID read_only_udm.security_result.about.labels.value Mapeado diretamente após a remoção de aspas simples e colchetes angulares. A chave é "ExternalMsgID".
from read_only_udm.network.email.from Mapeado diretamente se for um endereço de e-mail válido. Também usado para preencher network_from.
host.hostname read_only_udm.principal.hostname ou read_only_udm.intermediary.hostname Mapeado para o nome de host principal se o campo host for inválido. Também mapeado para o nome do host intermediário.
host.ip read_only_udm.principal.ip ou read_only_udm.intermediary.ip Mapeado para o IP principal se o campo ip não estiver definido nos registros JSON. Também mapeado para o IP intermediário.
hostname read_only_udm.target.hostname Mapeado diretamente.
http_method read_only_udm.network.http.method Mapeado diretamente.
http_response_code read_only_udm.network.http.response_code Mapeado e convertido diretamente para número inteiro.
identity_policy_group read_only_udm.security_result.detection_fields.value Mapeado diretamente se não estiver vazio, "-" ou "NONE". A chave é "IdentityPolicyGroup".
ip read_only_udm.principal.ip Mapeado diretamente. Substituído por source_ip, se presente.
kv_msg Vários Analisado usando o filtro kv. O pré-processamento inclui substituir espaços antes das chaves por "#" e trocar valores de csLabel.
log_type read_only_udm.metadata.log_type Codificado como "CISCO_EMAIL_SECURITY".
loglevel read_only_udm.security_result.severity, read_only_udm.security_result.action Usado para determinar a gravidade e a ação. "Info", "", "Debug", "Trace" são mapeados para "INFORMATIONAL" e "ALLOW". "Warning" é mapeado para "MEDIUM" e "ALLOW". "Alto" corresponde a "HIGH" e "BLOCK". "Crítico" e "Alerta" são mapeados para "CRITICAL" e "BLOCK".
mail_id read_only_udm.network.email.mail_id Mapeado diretamente de registros JSON.
mailto read_only_udm.target.user.email_addresses, read_only_udm.network.email.to Mapeado diretamente para os dois campos do UDM se for um endereço de e-mail válido.
MailPolicy read_only_udm.security_result.about.labels.value Mapeado diretamente. A chave é "MailPolicy".
message Vários Analisado como JSON, se possível. Caso contrário, será processada como uma mensagem syslog.
message_id read_only_udm.network.email.mail_id Mapeado diretamente. Também usado para preencher network_data.
msg read_only_udm.network.email.subject Mapeado diretamente após a decodificação UTF-8 e a remoção de retornos de carro, novas linhas e aspas extras. Também usado para preencher network_data.
msg1 Vários Analisado usando o filtro kv. Usado para extrair Hostname, helo, env-from e reply-to.
outbound_malware_scanning_policy_group read_only_udm.security_result.detection_fields.value Mapeado diretamente se não estiver vazio, "-" ou "NONE". A chave é "DataSecurityPolicyGroup".
port read_only_udm.target.port Mapeado e convertido diretamente para número inteiro.
principalMail read_only_udm.principal.user.email_addresses Mapeado diretamente.
principalUrl read_only_udm.principal.url Mapeado diretamente.
product_event read_only_udm.metadata.product_event_type Mapeado diretamente. Usado para determinar quais padrões grok aplicar. Os caracteres "%" iniciais são removidos. "amp" é substituído por "SIEM_AMPenginelogs".
product_version read_only_udm.metadata.product_version Mapeado diretamente.
protocol read_only_udm.network.tls.version Mapeado diretamente.
received_bytes read_only_udm.network.received_bytes Mapeado diretamente e convertido em um número inteiro sem sinal.
reply-to read_only_udm.additional.fields.value.string_value Mapeado diretamente. A chave é "Reply-To".
reputation read_only_udm.security_result.confidence_details Mapeado diretamente.
request_method_uri read_only_udm.target.url Mapeado diretamente.
result_code read_only_udm.security_result.detection_fields.value Mapeado diretamente. A chave é "Código do resultado".
routing_policy_group read_only_udm.security_result.detection_fields.value Mapeado diretamente se não estiver vazio, "-" ou "NONE". A chave é "RoutingPolicyGroup".
rule read_only_udm.security_result.detection_fields.value Mapeado diretamente. A chave é "Condição correspondente".
SDRThreatCategory read_only_udm.security_result.threat_name Mapeado diretamente se não estiver vazio ou "N/A".
SenderCountry read_only_udm.principal.location.country_or_region Mapeado diretamente.
senderGroup read_only_udm.principal.group.group_display_name Mapeado diretamente.
security_description read_only_udm.security_result.description Mapeado diretamente.
security_email read_only_udm.security_result.about.email ou read_only_udm.principal.hostname Mapeado para e-mail se for um endereço de e-mail válido. Caso contrário, será mapeado para o nome do host após a extração com grok.
source read_only_udm.network.ip_protocol Se contiver "tcp", será mapeado para "TCP".
sourceAddress read_only_udm.principal.ip Mapeado diretamente.
sourceHostName read_only_udm.principal.administrative_domain Mapeado diretamente, se não for "desconhecido".
source_ip read_only_udm.principal.ip Mapeado diretamente. Substitui ip, se presente.
Subject read_only_udm.network.email.subject Mapeado diretamente após a remoção dos pontos finais. Também usado para preencher network_data.
suser read_only_udm.principal.user.email_addresses, read_only_udm.network.email.bounce_address Mapeado diretamente para os dois campos do UDM se for um endereço de e-mail válido.
target_ip read_only_udm.target.ip Mapeado diretamente.
to read_only_udm.network.email.to Mapeado diretamente se for um endereço de e-mail válido. Também usado para preencher network_to.
total_bytes read_only_udm.network.sent_bytes Mapeado diretamente e convertido em um número inteiro sem sinal.
trackerHeader read_only_udm.additional.fields.value.string_value Mapeado diretamente. A chave é "Tracker Header".
ts, ts1, year read_only_udm.metadata.event_timestamp.seconds Usado para criar o carimbo de data/hora do evento. ts1 e year são combinados se ts1 estiver presente. Vários formatos são aceitos, com e sem o ano. Se o ano não estiver presente, o ano atual será usado. Codificado como "Cisco". Codificado como "Cisco Email Security". O padrão é "ALLOW". Defina como "BLOCK" com base em loglevel ou description. O padrão é "INBOUND" se application_protocol estiver presente. Definido com base em deviceDirection para mensagens CEF. Determinado com base em uma combinação de campos, incluindo network_from, network_to, target_ip, ip, description, event_type, principal_host, Hostname, user_id e sourceAddress. O padrão é "GENERIC_EVENT". Definido como "SMTP" se application_protocol for "SMTP" ou "smtp", ou se target_ip e ip estiverem presentes. Definido como "AUTHTYPE_UNSPECIFIED" se login_status e user_id estiverem presentes nos registros do sshd. Definido como "true" se loglevel for "Critical" ou "Alert".

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.