Raccogliere i log di Mimecast Secure Email Gateway
Questo documento descrive come raccogliere i log di Mimecast Secure Email Gateway impostando un feed di Google Security Operations.
Per ulteriori informazioni, consulta Importazione dei dati in Google Security Operations.
Un'etichetta di importazione identifica l'analizzatore sintattico che normalizza i dati dei log non elaborati
in formato UDM strutturato. Le informazioni contenute in questo documento si applicano al parser con l'etichetta di importazione MIMECAST_MAIL
.
Configurare Mimecast Secure Email Gateway
- Abilita il logging per l'account di accesso.
- Crea l'applicazione API.
- Ottieni l'ID applicazione e la chiave dell'applicazione.
Attivare il logging per l'account di accesso
- Accedi alla console Mimecast Administration.
- Nel menu Account, fai clic su Impostazioni account.
- Espandi Registrazione avanzata.
- Seleziona i tipi di log da attivare:
- In entrata: registra i messaggi inviati da mittenti esterni a destinatari interni.
- In uscita: registra i messaggi inviati da mittenti interni a destinatari esterni.
- Interno: registra i messaggi all'interno dei domini interni.
- Fai clic su Salva per applicare le modifiche.
Crea l'applicazione API
- Accedi alla console Mimecast Administration.
- Fai clic su Aggiungi applicazione API.
- Inserisci i seguenti dettagli:
- Nome dell'applicazione.
- Descrizione dell'applicazione.
- Categoria: inserisci una delle seguenti categorie:
- Integrazione SIEM: fornisce l'analisi in tempo reale degli avvisi di sicurezza generati dall'applicazione.
- Ordine e provisioning MSP: disponibile per alcuni partner per gestire gli ordini nel portale MSP.
- Email / Archiviazione: si riferisce ai messaggi e agli avvisi archiviati in Mimecast.
- Business Intelligence: consente all'infrastruttura e agli strumenti dell'applicazione di accedere e analizzare le informazioni per migliorare e ottimizzare le decisioni e il rendimento.
- Automazione dei processi: consente di automatizzare i processi aziendali.
- Altro: se l'applicazione non rientra in nessun'altra categoria.
- Fai clic su Avanti.
- Nella sezione Impostazioni, inserisci i seguenti dettagli:
- Nome sviluppatore: nome dello sviluppatore dell'applicazione.
- Email: indirizzo email dello sviluppatore dell'applicazione.
- Fai clic su Avanti.
- Esamina le informazioni visualizzate nella pagina Riepilogo.
- Per correggere gli errori:
- Fai clic sui pulsanti Modifica accanto a Dettagli o Impostazioni.
- Fai clic su Avanti e vai di nuovo alla pagina Riepilogo.
Ottenere l'ID applicazione e la chiave dell'applicazione
- Fai clic su Application (Applicazione) e poi su Services (Servizi).
- Fai clic su Application API (Applicazione API).
- Seleziona l'applicazione API creata.
- Visualizza i dettagli della richiesta.
Creazione della chiave di accesso e della chiave segreta dell'API
Per informazioni sulla generazione della chiave di accesso e del secret, vedi Creare la chiave di associazione utente.
Configurare un feed in Google Security Operations per importare i log di Mimecast Secure Email Gateway
- Fai clic su Impostazioni SIEM > Feed.
- Fai clic su Add New (Aggiungi nuovo).
- Inserisci il nome del feed.
- Seleziona API di terze parti come Tipo di origine.
- Seleziona Mimecast come Tipo di log per creare un feed per Mimecast Secure Email Gateway.
- Fai clic su Avanti.
- Configura l'intestazione HTTP di autenticazione fornendo l'ID applicazione, la chiave di accesso, l'ID segreto e la chiave dell'applicazione.
- Fai clic su Avanti e poi su Invia.
Per saperne di più sui feed di Google Security Operations, consulta la documentazione dei feed di Google Security Operations. Per informazioni sui requisiti per ciascun tipo di feed, consulta Configurazione dei feed per tipo. Se riscontri problemi durante la creazione dei feed, contatta l'assistenza di Google Security Operations.
Riferimento alla mappatura dei campi
Questo parser estrae coppie chiave-valore dai log del server email Mimecast, classifica la fase di voce di log (RECEIPT, PROCESSING o DELIVERY) e mappa i campi estratti all'UDM. Esegue inoltre una logica specifica per gestire i campi relativi alla sicurezza, determinando l'azione, la categoria, la gravità e i dettagli correlati del risultato di sicurezza in base a valori come Act
, RejType
, SpamScore
e Virus
.
Tabella di mappatura UDM
Campo log | Mappatura UDM | Logica |
---|---|---|
acc |
metadata.product_log_id |
Il valore di acc è mappato a metadata.product_log_id . |
Act |
security_result.action |
Se Act è "Acc", il valore è "ALLOW". Se Act è "Rej", il valore è "BLOCK". Se Act è "Hld" o "Sdbx", il valore è "QUARANTINE". |
AttNames |
about.file.full_path |
Il campo AttNames , dopo aver rimosso virgolette e spazi e averli suddivisi con virgole, viene mappato a un array di oggetti about.file.full_path . |
AttSize |
about.file.size |
Il valore di AttSize viene convertito in un numero intero non firmato e mappato a about.file.size . |
Cphr datetime |
metadata.event_timestamp |
Il valore di datetime viene analizzato come timestamp e mappato a metadata.event_timestamp . |
Delivered |
Nessuna mappatura | Utilizzato per determinare stage e product_event_type . |
Definition |
security_result.summary |
Il valore di Definition è mappato a security_result.summary . |
Dir |
network.direction , security_result.detection_fields |
Se Dir è "Interna" o "In entrata", il valore è "INBOUND". Se Dir è "Esterno" o "In uscita", il valore è "OUTBOUND". È stato aggiunto anche come campo di rilevamento con la chiave "network_direction". |
Err |
security_result.summary |
Il valore di Err è mappato a security_result.summary . |
Error |
security_result.summary |
Il valore di Error è mappato a security_result.summary . |
fileName |
principal.process.file.full_path |
Il valore di fileName è mappato a principal.process.file.full_path . |
filename_for_malachite |
principal.resource.name |
Il valore di filename_for_malachite è mappato a principal.resource.name . |
headerFrom |
network.email.from , security_result.detection_fields , principal.user.email_addresses |
Il valore di headerFrom viene mappato a network.email.from se Sender non è un indirizzo email valido. È stato aggiunto anche come campo di rilevamento con la chiave "header_from". Se né Sender né headerFrom sono indirizzi email validi, headerFrom non è mappato a network.email.from . |
IP |
principal.ip o target.ip |
Il valore di IP viene mappato a principal.ip se stage è "RECEIPT" o a target.ip se stage è "DELIVERY". |
Latency md5 MsgId |
network.email.mail_id |
Il valore di MsgId è mappato a network.email.mail_id . |
MsgSize |
network.received_bytes |
Il valore di MsgSize viene convertito in un numero intero non firmato e mappato a network.received_bytes . |
Rcpt |
target.user.email_addresses , network.email.to |
Il valore di Rcpt è mappato su target.user.email_addresses e network.email.to . |
RcptActType RcptHdrType Recipient |
network.email.to , target.user.email_addresses |
Il valore di Recipient viene mappato a network.email.to se Rcpt non è un indirizzo email valido. |
RejCode |
security_result.description |
Contribuisce al valore di security_result.description nel formato "RejCode= |
RejInfo |
security_result.description |
Contribuisce al valore di security_result.description nel formato "RejInfo= |
RejType |
security_result.description , security_result.category , security_result.category_details , security_result.severity |
Contribuisce al valore di security_result.description nel formato "RejType=security_result.category e security_result.severity . Mappatura diretta a security_result.category_details . |
Route |
security_result.detection_fields |
Aggiunto come campo di rilevamento con chiave "Route". |
ScanResultInfo |
security_result.threat_name |
Il valore di ScanResultInfo è mappato a security_result.threat_name . |
Sender |
network.email.from , security_result.detection_fields , principal.user.email_addresses |
Il valore di Sender è mappato a network.email.from . È stato aggiunto anche come campo di rilevamento con chiave "Mittente". |
SenderDomain sha1 |
target.file.sha1 |
Il valore di sha1 è mappato a target.file.sha1 . |
sha256 |
target.file.sha256 |
Il valore di sha256 è mappato a target.file.sha256 . |
Size Snt |
network.sent_bytes |
Il valore di Snt viene convertito in un numero intero non firmato e mappato a network.sent_bytes . |
SourceIP |
principal.ip |
Il valore di SourceIP viene mappato a principal.ip se stage è "RICEVUTA" e IP non è presente. |
SpamInfo |
security_result.severity_details |
Contribuisce al valore di security_result.severity_details nel formato "SpamInfo= |
SpamLimit |
security_result.severity_details |
Contribuisce al valore di security_result.severity_details nel formato "SpamLimit= |
SpamScore |
security_result.severity_details , security_result.severity |
Contribuisce al valore di security_result.severity_details nel formato "SpamScore=security_result.severity se RejType non è impostato. |
Subject |
network.email.subject |
Il valore di Subject è mappato a network.email.subject . |
TlsVer URL UrlCategory UseTls Virus |
security_result.threat_name |
Il valore di Virus è mappato a security_result.threat_name . |
N/A | metadata.event_type |
Imposta su "EMAIL_TRANSACTION" se Sender o Recipient /Rcpt sono indirizzi email validi, altrimenti imposta su "GENERIC_EVENT". |
N/A | metadata.vendor_name |
Deve sempre essere impostato su "Mimecast". |
N/A | metadata.product_name |
Deve sempre essere impostato su "MTA Mimecast". |
N/A | metadata.product_event_type |
Impostato su "Email |
N/A | metadata.log_type |
Deve sempre essere impostato su "MIMECAST_MAIL". |
N/A | security_result.severity |
Imposta su "LOW" se has_sec_result è false. In caso contrario, viene determinato da RejType o SpamScore . |
Modifiche
2023-03-31
- Enhancement-
- "filename_for_malachite" è stato mappato a "principal.resource.name".
- "fileName" è stato mappato a "principal.process.file.full_path".
- "sha256" è stato mappato a "target.file.sha256".
- "sha1" è stato mappato a "target.file.sha1".
- È stato aggiunto il controllo condizionale per "aCode".