Raccogliere i log di Mimecast Secure Email Gateway

Supportato in:

Questo documento descrive come raccogliere i log di Mimecast Secure Email Gateway impostando un feed di Google Security Operations.

Per ulteriori informazioni, consulta Importazione dei dati in Google Security Operations.

Un'etichetta di importazione identifica l'analizzatore sintattico che normalizza i dati dei log non elaborati in formato UDM strutturato. Le informazioni contenute in questo documento si applicano al parser con l'etichetta di importazione MIMECAST_MAIL.

Configurare Mimecast Secure Email Gateway

  1. Abilita il logging per l'account di accesso.
  2. Crea l'applicazione API.
  3. Ottieni l'ID applicazione e la chiave dell'applicazione.

Attivare il logging per l'account di accesso

  1. Accedi alla console Mimecast Administration.
  2. Nel menu Account, fai clic su Impostazioni account.
  3. Espandi Registrazione avanzata.
  4. Seleziona i tipi di log da attivare:
    • In entrata: registra i messaggi inviati da mittenti esterni a destinatari interni.
    • In uscita: registra i messaggi inviati da mittenti interni a destinatari esterni.
    • Interno: registra i messaggi all'interno dei domini interni.
  5. Fai clic su Salva per applicare le modifiche.

Crea l'applicazione API

  1. Accedi alla console Mimecast Administration.
  2. Fai clic su Aggiungi applicazione API.
  3. Inserisci i seguenti dettagli:
    1. Nome dell'applicazione.
    2. Descrizione dell'applicazione.
    3. Categoria: inserisci una delle seguenti categorie:
      • Integrazione SIEM: fornisce l'analisi in tempo reale degli avvisi di sicurezza generati dall'applicazione.
      • Ordine e provisioning MSP: disponibile per alcuni partner per gestire gli ordini nel portale MSP.
      • Email / Archiviazione: si riferisce ai messaggi e agli avvisi archiviati in Mimecast.
      • Business Intelligence: consente all'infrastruttura e agli strumenti dell'applicazione di accedere e analizzare le informazioni per migliorare e ottimizzare le decisioni e il rendimento.
      • Automazione dei processi: consente di automatizzare i processi aziendali.
      • Altro: se l'applicazione non rientra in nessun'altra categoria.
  4. Fai clic su Avanti.
  5. Nella sezione Impostazioni, inserisci i seguenti dettagli:
    • Nome sviluppatore: nome dello sviluppatore dell'applicazione.
    • Email: indirizzo email dello sviluppatore dell'applicazione.
  6. Fai clic su Avanti.
  7. Esamina le informazioni visualizzate nella pagina Riepilogo.
  8. Per correggere gli errori:
    • Fai clic sui pulsanti Modifica accanto a Dettagli o Impostazioni.
    • Fai clic su Avanti e vai di nuovo alla pagina Riepilogo.

Ottenere l'ID applicazione e la chiave dell'applicazione

  1. Fai clic su Application (Applicazione) e poi su Services (Servizi).
  2. Fai clic su Application API (Applicazione API).
  3. Seleziona l'applicazione API creata.
  4. Visualizza i dettagli della richiesta.

Creazione della chiave di accesso e della chiave segreta dell'API

Per informazioni sulla generazione della chiave di accesso e del secret, vedi Creare la chiave di associazione utente.

Configurare un feed in Google Security Operations per importare i log di Mimecast Secure Email Gateway

  1. Fai clic su Impostazioni SIEM > Feed.
  2. Fai clic su Add New (Aggiungi nuovo).
  3. Inserisci il nome del feed.
  4. Seleziona API di terze parti come Tipo di origine.
  5. Seleziona Mimecast come Tipo di log per creare un feed per Mimecast Secure Email Gateway.
  6. Fai clic su Avanti.
  7. Configura l'intestazione HTTP di autenticazione fornendo l'ID applicazione, la chiave di accesso, l'ID segreto e la chiave dell'applicazione.
  8. Fai clic su Avanti e poi su Invia.

Per saperne di più sui feed di Google Security Operations, consulta la documentazione dei feed di Google Security Operations. Per informazioni sui requisiti per ciascun tipo di feed, consulta Configurazione dei feed per tipo. Se riscontri problemi durante la creazione dei feed, contatta l'assistenza di Google Security Operations.

Riferimento alla mappatura dei campi

Questo parser estrae coppie chiave-valore dai log del server email Mimecast, classifica la fase di voce di log (RECEIPT, PROCESSING o DELIVERY) e mappa i campi estratti all'UDM. Esegue inoltre una logica specifica per gestire i campi relativi alla sicurezza, determinando l'azione, la categoria, la gravità e i dettagli correlati del risultato di sicurezza in base a valori come Act, RejType, SpamScore e Virus.

Tabella di mappatura UDM

Campo log Mappatura UDM Logica
acc metadata.product_log_id Il valore di acc è mappato a metadata.product_log_id.
Act security_result.action Se Act è "Acc", il valore è "ALLOW". Se Act è "Rej", il valore è "BLOCK". Se Act è "Hld" o "Sdbx", il valore è "QUARANTINE".
AttNames about.file.full_path Il campo AttNames, dopo aver rimosso virgolette e spazi e averli suddivisi con virgole, viene mappato a un array di oggetti about.file.full_path.
AttSize about.file.size Il valore di AttSize viene convertito in un numero intero non firmato e mappato a about.file.size.
Cphr datetime metadata.event_timestamp Il valore di datetime viene analizzato come timestamp e mappato a metadata.event_timestamp.
Delivered Nessuna mappatura Utilizzato per determinare stage e product_event_type.
Definition security_result.summary Il valore di Definition è mappato a security_result.summary.
Dir network.direction, security_result.detection_fields Se Dir è "Interna" o "In entrata", il valore è "INBOUND". Se Dir è "Esterno" o "In uscita", il valore è "OUTBOUND". È stato aggiunto anche come campo di rilevamento con la chiave "network_direction".
Err security_result.summary Il valore di Err è mappato a security_result.summary.
Error security_result.summary Il valore di Error è mappato a security_result.summary.
fileName principal.process.file.full_path Il valore di fileName è mappato a principal.process.file.full_path.
filename_for_malachite principal.resource.name Il valore di filename_for_malachite è mappato a principal.resource.name.
headerFrom network.email.from, security_result.detection_fields, principal.user.email_addresses Il valore di headerFrom viene mappato a network.email.from se Sender non è un indirizzo email valido. È stato aggiunto anche come campo di rilevamento con la chiave "header_from". Se né SenderheaderFrom sono indirizzi email validi, headerFrom non è mappato a network.email.from.
IP principal.ip o target.ip Il valore di IP viene mappato a principal.ip se stage è "RECEIPT" o a target.ip se stage è "DELIVERY".
Latency md5 MsgId network.email.mail_id Il valore di MsgId è mappato a network.email.mail_id.
MsgSize network.received_bytes Il valore di MsgSize viene convertito in un numero intero non firmato e mappato a network.received_bytes.
Rcpt target.user.email_addresses, network.email.to Il valore di Rcpt è mappato su target.user.email_addresses e network.email.to.
RcptActType RcptHdrType Recipient network.email.to, target.user.email_addresses Il valore di Recipient viene mappato a network.email.to se Rcpt non è un indirizzo email valido.
RejCode security_result.description Contribuisce al valore di security_result.description nel formato "RejCode=".
RejInfo security_result.description Contribuisce al valore di security_result.description nel formato "RejInfo=".
RejType security_result.description, security_result.category, security_result.category_details, security_result.severity Contribuisce al valore di security_result.description nel formato "RejType=". Viene utilizzato anche per determinare security_result.category e security_result.severity. Mappatura diretta a security_result.category_details.
Route security_result.detection_fields Aggiunto come campo di rilevamento con chiave "Route".
ScanResultInfo security_result.threat_name Il valore di ScanResultInfo è mappato a security_result.threat_name.
Sender network.email.from, security_result.detection_fields, principal.user.email_addresses Il valore di Sender è mappato a network.email.from. È stato aggiunto anche come campo di rilevamento con chiave "Mittente".
SenderDomain sha1 target.file.sha1 Il valore di sha1 è mappato a target.file.sha1.
sha256 target.file.sha256 Il valore di sha256 è mappato a target.file.sha256.
Size Snt network.sent_bytes Il valore di Snt viene convertito in un numero intero non firmato e mappato a network.sent_bytes.
SourceIP principal.ip Il valore di SourceIP viene mappato a principal.ip se stage è "RICEVUTA" e IP non è presente.
SpamInfo security_result.severity_details Contribuisce al valore di security_result.severity_details nel formato "SpamInfo=".
SpamLimit security_result.severity_details Contribuisce al valore di security_result.severity_details nel formato "SpamLimit=".
SpamScore security_result.severity_details, security_result.severity Contribuisce al valore di security_result.severity_details nel formato "SpamScore=". Viene utilizzato anche per determinare security_result.severity se RejType non è impostato.
Subject network.email.subject Il valore di Subject è mappato a network.email.subject.
TlsVer URL UrlCategory UseTls Virus security_result.threat_name Il valore di Virus è mappato a security_result.threat_name.
N/A metadata.event_type Imposta su "EMAIL_TRANSACTION" se Sender o Recipient/Rcpt sono indirizzi email validi, altrimenti imposta su "GENERIC_EVENT".
N/A metadata.vendor_name Deve sempre essere impostato su "Mimecast".
N/A metadata.product_name Deve sempre essere impostato su "MTA Mimecast".
N/A metadata.product_event_type Impostato su "Email ", dove la fase viene determinata in base alla presenza e ai valori di altri campi.
N/A metadata.log_type Deve sempre essere impostato su "MIMECAST_MAIL".
N/A security_result.severity Imposta su "LOW" se has_sec_result è false. In caso contrario, viene determinato da RejType o SpamScore.

Modifiche

2023-03-31

  • Enhancement-
  • "filename_for_malachite" è stato mappato a "principal.resource.name".
  • "fileName" è stato mappato a "principal.process.file.full_path".
  • "sha256" è stato mappato a "target.file.sha256".
  • "sha1" è stato mappato a "target.file.sha1".
  • È stato aggiunto il controllo condizionale per "aCode".