收集 Cisco Secure Email Gateway 日志
支持的语言:
Google SecOps
SIEM
本文档介绍了如何使用 Google Security Operations 转发器收集 Cisco Secure Email Gateway 日志。
如需了解详情,请参阅将数据提取到 Google SecOps。
注入标签用于标识将原始日志数据标准化为结构化 UDM 格式的解析器。本文档中的信息适用于具有 CISCO-EMAIL-SECURITY 注入标签的解析器。
配置 Cisco Secure Email Gateway
- 在 Cisco Secure Email Gateway 控制台中,依次选择系统管理 > 日志订阅。
- 在新建日志订阅窗口中,执行以下操作以添加日志订阅:
- 在日志类型字段中,选择整合的事件日志。
- 在可用日志字段部分中,选择所有可用字段,然后点击添加,将它们移至所选日志字段。
- 如需为日志订阅选择日志检索方法,请选择 Syslog 推送,然后执行以下操作:
- 在主机名字段中,指定 Google SecOps 转发器的 IP 地址。
- 在协议字段中,选中 TCP 复选框。
- 在设施字段中,使用默认值。
- 如需保存配置更改,请点击提交。
配置 Google SecOps 转发器以注入 Cisco Secure Email Gateway
- 依次前往 SIEM 设置 > 转发器。
- 点击添加新转发器
- 在 Forwarder Name(转发器名称)字段中,输入转发器的唯一名称。
- 点击提交。系统会添加转发器,并显示添加收集器配置窗口。
- 在收集器名称字段中,输入一个名称。
- 选择 Cisco Email Security 作为日志类型。
- 在收集器类型字段中,选择 Syslog。
- 配置以下必需的输入参数:
- 协议:指定收集器用于监听 syslog 数据的连接协议。
- 地址:指定收集器所在并监听 syslog 数据的目标 IP 地址或主机名。
- 端口:指定收集器所在的目标端口,以及收集器监听 syslog 数据的端口。
- 点击提交。
如需详细了解 Google SecOps 转发器,请参阅通过 Google SecOps 界面管理转发器配置。
如果您在创建转发器时遇到问题,请与 Google SecOps 支持团队联系。
字段映射参考
此解析器可处理结构化(JSON、键值对)和非结构化 (syslog) Cisco Email Security 日志。它利用 grok 模式、键值提取和基于 product_event 字段的条件逻辑,将各种日志格式规范化为 UDM,以将相关的 Cisco ESA 字段映射到 UDM。它还执行数据扩充,例如转换时间戳和处理重复的消息。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
acl_decision_tag |
read_only_udm.security_result.detection_fields.value |
如果不为空、不为“-”或“NONE”,则直接映射。键为“ACL Decision Tag”。 |
access_or_decryption_policy_group |
read_only_udm.security_result.detection_fields.value |
如果不为空、不为“-”或“NONE”,则直接映射。键为“AccessOrDecryptionPolicyGroup”。 |
act |
read_only_udm.security_result.action_details |
直接映射。 |
authenticated_user |
read_only_udm.principal.user.userid |
如果不为空、为“-”或“NONE”,则直接映射。 |
cache_hierarchy_retrieval |
read_only_udm.security_result.detection_fields.value |
如果不为空、不为“-”或“NONE”,则直接映射。键为“缓存层次结构检索”。 |
cipher |
read_only_udm.network.tls.cipher |
直接映射。 |
country |
read_only_udm.principal.location.country_or_region |
直接映射。 |
data_security_policy_group |
read_only_udm.security_result.detection_fields.value |
如果不为空、不为“-”或“NONE”,则直接映射。键为“DataSecurityPolicyGroup”。 |
description |
read_only_udm.metadata.description |
直接映射到 syslog 消息。对于 CEF 消息,它会成为总体产品说明。各种 grok 模式根据 product_event 提取特定说明。某些说明已通过 gsub 修改,以移除开头/结尾处的空格和英文冒号。 |
deviceDirection |
read_only_udm.network.direction |
如果为“0”,则映射到“INBOUND”。如果值为“1”,则映射到“OUTBOUND”。用于确定直接映射哪些 TLS 密码和协议,以及将哪些映射为标签。 |
deviceExternalId |
read_only_udm.principal.asset.asset_id |
映射为“设备 ID: |
domain |
read_only_udm.target.administrative_domain |
直接从 JSON 日志映射。 |
domain_age |
read_only_udm.security_result.about.labels.value |
直接映射。键为“YoungestDomainAge”。 |
duser |
read_only_udm.target.user.email_addresses,read_only_udm.network.email.to |
如果包含“;”,则拆分为多个电子邮件地址,并将每个电子邮件地址同时映射到这两个 UDM 字段。否则,如果电子邮件地址有效,则直接映射到这两个 UDM 字段。如果 network_to 为空,还可用于填充该字段。 |
dvc |
read_only_udm.target.ip |
直接映射。 |
entries.collection_time.nanos,entries.collection_time.seconds |
read_only_udm.metadata.event_timestamp.nanos,read_only_udm.metadata.event_timestamp.seconds |
用于构造事件时间戳。 |
env-from |
read_only_udm.additional.fields.value.string_value |
直接映射。键为“Env-From”。 |
ESAAttachmentDetails |
read_only_udm.security_result.about.file.full_path,read_only_udm.security_result.about.file.sha256 |
经过解析以提取文件名和 SHA256 哈希值。可以提取多个文件和哈希。 |
ESADCID |
read_only_udm.security_result.about.labels.value |
直接映射。键为“ESADCID”。 |
ESAFriendlyFrom |
read_only_udm.principal.user.user_display_name,read_only_udm.network.email.from |
经过解析以提取显示名称和电子邮件地址。 |
ESAHeloDomain |
read_only_udm.intermediary.administrative_domain |
直接映射。 |
ESAHeloIP |
read_only_udm.intermediary.ip |
直接映射。 |
ESAICID |
read_only_udm.security_result.about.labels.value |
直接映射。键为“ESAICID”。 |
ESAMailFlowPolicy |
read_only_udm.security_result.rule_name |
直接映射。 |
ESAMID |
read_only_udm.security_result.about.labels.value |
直接映射。键为“ESAMID”。 |
ESAReplyTo |
read_only_udm.network.email.reply_to |
如果电子邮件地址有效,则直接映射。还用于填充 network_to。 |
ESASDRDomainAge |
read_only_udm.security_result.about.labels.value |
直接映射。键为“ESASDRDomainAge”。 |
ESASenderGroup |
read_only_udm.principal.group.group_display_name |
直接映射。 |
ESAStatus |
read_only_udm.security_result.about.labels.value |
直接映射。键为“ESAStatus”。 |
ESATLSInCipher |
read_only_udm.network.tls.cipher 或 read_only_udm.security_result.about.labels.value |
如果 deviceDirection 为“0”,则直接映射到相应密码。否则,映射为键为“ESATLSInCipher”的标签。 |
ESATLSInProtocol |
read_only_udm.network.tls.version 或 read_only_udm.security_result.about.labels.value |
如果 deviceDirection 为“0”,则直接提取并映射 TLS 版本。否则,会映射为键为“ESATLSInProtocol”的标签。 |
ESATLSOutCipher |
read_only_udm.network.tls.cipher 或 read_only_udm.security_result.about.labels.value |
如果 deviceDirection 为“1”,则直接映射到密码。否则,会映射为键为“ESATLSOutCipher”的标签。 |
ESATLSOutProtocol |
read_only_udm.network.tls.version 或 read_only_udm.security_result.about.labels.value |
如果 deviceDirection 为“1”,则直接提取并映射 TLS 版本。否则,映射为键为“ESATLSOutProtocol”的标签。 |
ESAURLDetails |
read_only_udm.target.url |
解析以提取网址。由于该字段未重复,因此仅映射第一个网址。 |
external_dlp_policy_group |
read_only_udm.security_result.detection_fields.value |
如果不为空、不为“-”或“NONE”,则直接映射。键为“ExternalDlpPolicyGroup”。 |
ExternalMsgID |
read_only_udm.security_result.about.labels.value |
在移除英文单引号和尖括号后直接映射。键为“ExternalMsgID”。 |
from |
read_only_udm.network.email.from |
如果电子邮件地址有效,则直接映射。还用于填充 network_from。 |
host.hostname |
read_only_udm.principal.hostname 或 read_only_udm.intermediary.hostname |
如果 host 字段无效,则映射到主主机名。还映射到中间主机名。 |
host.ip |
read_only_udm.principal.ip 或 read_only_udm.intermediary.ip |
如果 JSON 日志中未设置 ip 字段,则映射到主 IP。还映射到中介 IP。 |
hostname |
read_only_udm.target.hostname |
直接映射。 |
http_method |
read_only_udm.network.http.method |
直接映射。 |
http_response_code |
read_only_udm.network.http.response_code |
直接映射并转换为整数。 |
identity_policy_group |
read_only_udm.security_result.detection_fields.value |
如果不为空、不为“-”或“NONE”,则直接映射。键为“IdentityPolicyGroup”。 |
ip |
read_only_udm.principal.ip |
直接映射。如果存在,则会被 source_ip 覆盖。 |
kv_msg |
多项 | 使用 kv 过滤条件进行解析。预处理包括将键前面的空格替换为“#”以及交换 csLabel 值。 |
log_type |
read_only_udm.metadata.log_type |
硬编码为“CISCO_EMAIL_SECURITY”。 |
loglevel |
read_only_udm.security_result.severity,read_only_udm.security_result.action |
用于确定严重程度和操作。“Info”“”“Debug”“Trace”映射到“INFORMATIONAL”和“ALLOW”。“警告”对应于“中”和“允许”。“高”映射到“HIGH”和“BLOCK”。“严重”和“提醒”映射到“CRITICAL”“BLOCK”。 |
mail_id |
read_only_udm.network.email.mail_id |
直接从 JSON 日志映射。 |
mailto |
read_only_udm.target.user.email_addresses,read_only_udm.network.email.to |
如果电子邮件地址有效,则直接映射到这两个 UDM 字段。 |
MailPolicy |
read_only_udm.security_result.about.labels.value |
直接映射。键为“MailPolicy”。 |
message |
多项 | 尽可能解析为 JSON。否则,将作为 syslog 消息进行处理。 |
message_id |
read_only_udm.network.email.mail_id |
直接映射。还用于填充 network_data。 |
msg |
read_only_udm.network.email.subject |
在 UTF-8 解码并移除回车符、换行符和多余的引号后直接映射。还用于填充 network_data。 |
msg1 |
多项 | 使用 kv 过滤条件进行解析。用于提取 Hostname、helo、env-from 和 reply-to。 |
outbound_malware_scanning_policy_group |
read_only_udm.security_result.detection_fields.value |
如果不为空、不为“-”或“NONE”,则直接映射。键为“DataSecurityPolicyGroup”。 |
port |
read_only_udm.target.port |
直接映射并转换为整数。 |
principalMail |
read_only_udm.principal.user.email_addresses |
直接映射。 |
principalUrl |
read_only_udm.principal.url |
直接映射。 |
product_event |
read_only_udm.metadata.product_event_type |
直接映射。用于确定要应用哪些 Grok 模式。移除前导“%”字符。“amp”替换为“SIEM_AMPenginelogs”。 |
product_version |
read_only_udm.metadata.product_version |
直接映射。 |
protocol |
read_only_udm.network.tls.version |
直接映射。 |
received_bytes |
read_only_udm.network.received_bytes |
直接映射并转换为无符号整数。 |
reply-to |
read_only_udm.additional.fields.value.string_value |
直接映射。键为“Reply-To”。 |
reputation |
read_only_udm.security_result.confidence_details |
直接映射。 |
request_method_uri |
read_only_udm.target.url |
直接映射。 |
result_code |
read_only_udm.security_result.detection_fields.value |
直接映射。键为“结果代码”。 |
routing_policy_group |
read_only_udm.security_result.detection_fields.value |
如果不为空、不为“-”或“NONE”,则直接映射。键为“RoutingPolicyGroup”。 |
rule |
read_only_udm.security_result.detection_fields.value |
直接映射。键为“匹配的条件”。 |
SDRThreatCategory |
read_only_udm.security_result.threat_name |
如果不为空或不为“不适用”,则直接映射。 |
SenderCountry |
read_only_udm.principal.location.country_or_region |
直接映射。 |
senderGroup |
read_only_udm.principal.group.group_display_name |
直接映射。 |
security_description |
read_only_udm.security_result.description |
直接映射。 |
security_email |
read_only_udm.security_result.about.email 或 read_only_udm.principal.hostname |
如果电子邮件地址有效,则映射到电子邮件。否则,在通过 grok 提取后映射到主机名。 |
source |
read_only_udm.network.ip_protocol |
如果包含“tcp”,则映射到“TCP”。 |
sourceAddress |
read_only_udm.principal.ip |
直接映射。 |
sourceHostName |
read_only_udm.principal.administrative_domain |
如果不是“未知”,则直接映射。 |
source_ip |
read_only_udm.principal.ip |
直接映射。如果存在,则覆盖 ip。 |
Subject |
read_only_udm.network.email.subject |
移除末尾句点后直接映射。还用于填充 network_data。 |
suser |
read_only_udm.principal.user.email_addresses,read_only_udm.network.email.bounce_address |
如果电子邮件地址有效,则直接映射到这两个 UDM 字段。 |
target_ip |
read_only_udm.target.ip |
直接映射。 |
to |
read_only_udm.network.email.to |
如果电子邮件地址有效,则直接映射。还用于填充 network_to。 |
total_bytes |
read_only_udm.network.sent_bytes |
直接映射并转换为无符号整数。 |
trackerHeader |
read_only_udm.additional.fields.value.string_value |
直接映射。键为“跟踪器标题”。 |
ts、ts1、year |
read_only_udm.metadata.event_timestamp.seconds |
用于构建事件时间戳。如果存在 ts1,则 ts1 和 year 会合并。支持各种格式,包括带年份和不带年份的格式。如果未提供年份,则使用当前年份。硬编码为“Cisco”。硬编码为“Cisco Email Security”。默认值为“ALLOW”。根据 loglevel 或 description 设置为“BLOCK”。如果存在 application_protocol,则默认为“INBOUND”。根据 CEF 消息的 deviceDirection 进行设置。根据包括 network_from、network_to、target_ip、ip、description、event_type、principal_host、Hostname、user_id 和 sourceAddress 在内的多个字段的组合来确定。默认值为“GENERIC_EVENT”。如果 application_protocol 为“SMTP”或“smtp”,或者存在 target_ip 和 ip,则设置为“SMTP”。如果 sshd 日志中存在 login_status 和 user_id,则设置为“AUTHTYPE_UNSPECIFIED”。如果 loglevel 为“严重”或“提醒”,则设置为 true。 |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。