Mimecast-E-Mail-Protokolle erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Mimecast-E-Mail-Protokolle mithilfe der API in Google Security Operations aufnehmen. Dieser Parser extrahiert Schlüssel/Wert-Paare aus Mimecast-E-Mail-Serverprotokollen, kategorisiert die Protokollphase (EMPFANG, VERARBEITUNG oder LIEFERUNG) und ordnet die extrahierten Felder dem UDM zu. Außerdem wird eine spezielle Logik für die Verarbeitung von Sicherheitsergebnissen ausgeführt, einschließlich der Bestimmung der Aktion, Kategorie, Schwere und Bedrohungsinformationen basierend auf verschiedenen Feldern wie Act, RejType, SpamScore und Virus.

Hinweise

  • Sie benötigen eine Google SecOps-Instanz.
  • Sie benötigen Berechtigungen für Mimecast Mail.

Logging in Mimecast konfigurieren

  1. Melden Sie sich in der Mimecast Administration Console an.
  2. Klicken Sie auf Verwaltung > Konto > Kontoeinstellungen.
  3. Wählen Sie Erweiterte Protokollierung aus.
  4. Aktivieren Sie die folgenden Protokolltypen:
    • Eingehend
    • Ausgehend
    • Intern
  5. Klicken Sie auf Speichern.

API in Mimecast konfigurieren

  1. Gehen Sie zu Dienste > API- und Plattformintegrationen.
  2. Suchen Sie nach Mimecast API 1.0 und klicken Sie auf Schlüssel generieren.
  3. Geben Sie die folgenden Konfigurationsdetails an:
    • Name der Anwendung: (z. B. Google SecOps)
    • Kategorie: Wählen Sie SIEM-Integration aus.
    • Aktivieren Sie Erweiterte Sitzung in der Dienstanwendung.
    • Beschreibung: (z. B. Google SecOps API integration).
    • Klicken Sie auf Weiter.
  4. Geben Sie die folgenden Details zur Benachrichtigungskonfiguration an:
    • Entwickler: Geben Sie den Namen des technischen Ansprechpartners ein.
    • E-Mail: Geben Sie eine E-Mail-Adresse für den technischen Ansprechpartner ein.
    • Klicken Sie auf Weiter.
  5. Prüfen Sie die Informationen unter Summary (Zusammenfassung) und klicken Sie auf Add (Hinzufügen).
  6. Kopieren und speichern Sie die Anwendungs-ID und den Anwendungsschlüssel.

Nutzerzugriff und geheime Schlüssel in Mimecast konfigurieren

  1. Klicken Sie in der Anwendungsliste auf die neu registrierte API-Anwendung.
  2. Klicken Sie auf Schlüssel erstellen.
  3. Geben Sie die folgenden Konfigurationsdetails an:
    • E-Mail-Adresse: Geben Sie die E-Mail-Adresse des speziellen Administratorkontos ein.
    • Klicken Sie auf Weiter.
    • Authentifizierungstyp: Wählen Sie je nach konfigurierter Authentifizierungsmethode Cloud oder Domain aus.
    • Password (Passwort): Geben Sie das Passwort für den Administrator ein.
    • Klicken Sie auf Weiter.
    • Kopieren Sie sowohl den Zugriffsschlüssel als auch den Geheimschlüssel.
    • Klicken Sie auf Weiter, um den Assistenten zu beenden.

Feed in Google SecOps für die Aufnahme von Mimecast-E-Mail-Protokollen konfigurieren

  1. Gehen Sie zu SIEM-Einstellungen > Feeds.
  2. Klicken Sie auf Neu hinzufügen.
  3. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Mimecast Mail Logs.
  4. Wählen Sie API eines Drittanbieters als Quelltyp aus.
  5. Wählen Sie Mimecast als Protokolltyp aus.
  6. Klicken Sie auf Weiter.
  7. Geben Sie Werte für die folgenden Eingabeparameter an:
    • Konfiguration des HTTP-Authentifizierungs-Headers:Geben Sie die Authentifizierungsdetails im folgenden Format ein: secret_key:{Access Secret}
      access_key:{Access key}
      app_id:{Application ID}
      app_key:{application key}
    • API-Hostname:vollständig qualifizierter Domainname Ihres Mimecast API-Endpunkt. Das typische Format ist xx-api.mimecast.com. Wenn keine Angabe erfolgt, ist die Sprache in den USA und Europa regionsspezifisch. Dieses Feld darf für andere Regionen nicht leer sein.
    • Asset-Namespace: der Asset-Namespace.
    • Labels für Datenaufnahme: Das Label, das auf die Ereignisse aus diesem Feed angewendet wird.
  8. Klicken Sie auf Weiter.
  9. Überprüfen Sie die Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
acc metadata.product_log_id Der Wert von acc aus dem Rohprotokoll wird metadata.product_log_id zugeordnet.
Act security_result.action Wenn Act Acc ist, wird das UDM-Feld auf ALLOW gesetzt. Wenn Act Rej ist, wird das UDM-Feld auf BLOCK gesetzt. Wenn Act Hld oder Sdbx ist, wird das UDM-Feld auf QUARANTINE gesetzt.
AttNames about.file.full_path Das Feld AttNames wird analysiert, Anführungszeichen und Leerzeichen werden entfernt und es wird in einzelne Dateinamen aufgeteilt. Jeder Dateiname wird dann einem separaten about.file.full_path-Feld in einem about-Objekt zugeordnet.
AttSize about.file.size Der Wert von AttSize wird in eine vorzeichenlose Ganzzahl konvertiert und about.file.size zugeordnet.
Dir network.direction Wenn Dir Internal oder Inbound ist, wird das UDM-Feld auf INBOUND gesetzt. Wenn Dir External oder Outbound ist, wird das UDM-Feld auf OUTBOUND gesetzt. Wird auch zum Ausfüllen eines detection_fields-Eintrags in security_result verwendet.
Err security_result.summary Der Wert Err wird security_result.summary zugeordnet.
Error security_result.summary Der Wert Error wird security_result.summary zugeordnet.
fileName principal.process.file.full_path Der Wert fileName wird principal.process.file.full_path zugeordnet.
filename_for_malachite principal.resource.name Der Wert filename_for_malachite wird principal.resource.name zugeordnet.
headerFrom network.email.from Der Wert von headerFrom wird network.email.from zugeordnet, wenn Sender keine gültige E-Mail-Adresse ist. Wird auch zum Ausfüllen eines detection_fields-Eintrags in security_result verwendet.
IP principal.ip oder target.ip Wenn stage den Wert RECEIPT hat, wird der Wert von IP principal.ip zugeordnet. Wenn stage den Wert DELIVERY hat, wird der Wert von IP target.ip zugeordnet.
MsgId network.email.mail_id Der Wert MsgId wird network.email.mail_id zugeordnet.
MsgSize network.received_bytes Der Wert von MsgSize wird in eine vorzeichenlose Ganzzahl konvertiert und network.received_bytes zugeordnet.
Rcpt target.user.email_addresses, network.email.to Der Wert von Rcpt wird zu target.user.email_addresses addiert. Wenn Rcpt eine gültige E-Mail-Adresse ist, wird sie auch zu network.email.to hinzugefügt.
Recipient network.email.to Der Wert von Recipient wird zu network.email.to addiert, wenn Rcpt keine gültige E-Mail-Adresse ist.
RejCode security_result.description Wird als Teil des Felds security_result.description verwendet.
RejInfo security_result.description Wird als Teil des Felds security_result.description verwendet.
RejType security_result.description, security_result.category_details Wird als Teil des Felds security_result.description verwendet. Der Wert RejType wird ebenfalls security_result.category_details zugeordnet. Wird verwendet, um security_result.category und security_result.severity zu bestimmen.
Sender principal.user.email_addresses, network.email.from Der Wert von Sender wird zu principal.user.email_addresses addiert. Wenn Sender eine gültige E-Mail-Adresse ist, wird sie auch network.email.from zugeordnet. Wird auch zum Ausfüllen eines detection_fields-Eintrags in security_result verwendet.
Snt network.sent_bytes Der Wert von Snt wird in eine vorzeichenlose Ganzzahl konvertiert und network.sent_bytes zugeordnet.
SourceIP principal.ip Wenn stage RECEIPT ist und IP leer ist, wird der Wert von SourceIP auf principal.ip zugeordnet.
SpamInfo security_result.severity_details Wird als Teil des Felds security_result.severity_details verwendet.
SpamLimit security_result.severity_details Wird als Teil des Felds security_result.severity_details verwendet.
SpamScore security_result.severity_details Wird als Teil des Felds security_result.severity_details verwendet. Wird auch verwendet, um security_result.severity zu bestimmen, wenn RejType nicht festgelegt ist.
Subject network.email.subject Der Wert Subject wird network.email.subject zugeordnet.
Virus security_result.threat_name Der Wert Virus wird security_result.threat_name zugeordnet. Standardmäßig ist EMAIL_TRANSACTION festgelegt, wird aber in GENERIC_EVENT geändert, wenn weder Sender noch Recipient/Rcpt gültige E-Mail-Adressen sind. Immer auf Mimecast festgelegt. Immer auf Mimecast MTA festgelegt. Legen Sie Email %{stage} fest. stage wird anhand der Anwesenheit und der Werte anderer Protokollfelder bestimmt. Immer auf MIMECAST_MAIL festgelegt. Basierend auf RejType oder SpamScore festgelegt. Wenn keines davon verfügbar ist, wird standardmäßig LOW verwendet.
sha1 target.file.sha1 Der Wert sha1 wird target.file.sha1 zugeordnet.
sha256 target.file.sha256 Der Wert sha256 wird target.file.sha256 zugeordnet.
ScanResultInfo security_result.threat_name Der Wert ScanResultInfo wird security_result.threat_name zugeordnet.
Definition security_result.summary Der Wert Definition wird security_result.summary zugeordnet.

Änderungen

2025-02-06

Optimierung:

  • Die Zuordnung von filename_for_malachite wurde von target.process.file.full_path zu principal.resource.name geändert.
  • Die Zuordnung von fileName wurde von principal.process.file.full_path zu target.process.file.full_path geändert.

2025-01-23

Optimierung:

  • md5 wurde target.file.md5 zugeordnet.
  • Die Zuordnung von filename_for_malachite wurde von principal.resource.name zu target.process.file.full_path geändert.
  • urlCategory wurde principal.url_metadata.categories zugeordnet.
  • credentialTheft wurde security_result.detection_fields zugeordnet.
  • reason wurde security_result.summary zugeordnet.

2024-11-13

Optimierung:

  • URL wurde principal.url zugeordnet.

2024-08-05

Optimierung:

  • sourceIp wurde principal.ip und principal.asset.ip zugeordnet.
  • url wurde principal.url zugeordnet.
  • msgid wurde network.email.mail_id zugeordnet.
  • subject wurde network.email.subject zugeordnet.
  • senderDomain, AttNames und AttCnt wurden security_result.detection_fields zugeordnet.

2023-03-31

Optimierung:

  • filename_for_malachite wurde principal.resource.name zugeordnet.
  • fileName wurde principal.process.file.full_path zugeordnet.
  • sha256 wurde target.file.sha256 zugeordnet.
  • sha1 wurde target.file.sha1 zugeordnet.
  • Bedingte Prüfung für aCode hinzugefügt.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten