Mimecast Mail のログを収集する

以下でサポートされています。

このドキュメントでは、Google Security Operations フィードを設定して Mimecast Secure Email Gateway のログを収集する方法について説明します。

詳細については、Google Security Operations へのデータの取り込みの概要をご覧ください。

取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。このドキュメントの情報は、取り込みラベル MIMECAST_MAIL が付加されたパーサーに適用されます。

Mimecast Secure Email Gateway を構成する

  1. ログイン アカウントのロギングを有効にします
  2. API アプリケーションを作成します
  3. アプリケーション ID とアプリケーション キーを取得します

ログイン アカウントのロギングを有効にする

  1. Mimecast Administration コンソールにログインします。
  2. [アカウント] メニューで [アカウント設定] をクリックします。
  3. [拡張ロギング] を開きます。
  4. 有効にするログの種類を選択します。
    • 受信: 外部の送信者からのメールを内部の受信者に記録します。
    • 送信: 内部の送信者からのメールを外部の受信者に記録します。
    • 内部: 内部ドメイン内のメールを記録します。
  5. [保存] をクリックして変更を適用します。

API アプリケーションを作成する

  1. Mimecast Administration コンソールにログインします。
  2. [API アプリケーションを追加] をクリックします。
  3. 次の詳細情報を入力します。
    1. アプリケーション名。
    2. アプリケーションの説明。
    3. カテゴリ: 次のいずれかのカテゴリを入力します。
      • SIEM 統合: アプリケーションによって生成されたセキュリティ アラートのリアルタイム分析を提供します。
      • MSP の注文とプロビジョニング: 一部のパートナー様が MSP ポータルで注文を管理できます。
      • メール / アーカイブ: Mimecast に保存されているメッセージとアラートを指します。
      • ビジネス インテリジェンス: アプリケーションのインフラストラクチャとツールが情報にアクセスして分析し、意思決定とパフォーマンスを改善および最適化できるようにします。
      • Process Automation: ビジネス プロセスの自動化を可能にします。
      • その他: アプリが他のどのカテゴリにも当てはまらない場合。
  4. [次へ] をクリックします。
  5. 次の入力パラメータの値を指定します。
    • Authentication HTTP Header Configuration: 認証の詳細を次の形式で入力します。 secret_key:{Access Secret}
      access_key:{Access key}
      app_id:{Application ID}
      app_key:{application key}
    • API ホスト名: Mimecast API エンドポイントの完全修飾ドメイン名。一般的な形式は xx-api.mimecast.com です。指定しない場合、米国とヨーロッパではリージョン固有になります。他の地域では、このフィールドを空にすることはできません。
    • Asset namespace: アセットの名前空間
    • Ingestion labels: このフィードのイベントに適用されるラベル。
  6. [次へ] をクリックします。
  7. [概要ページ] に表示される情報を確認します。
  8. エラーを修正する手順は次のとおりです。
    • [詳細] または [設定] の横にある [編集] ボタンをクリックします。
    • [次へ] をクリックして、[概要] ページに再度移動します。

アプリケーション ID とアプリケーション キーを取得する

  1. [アプリケーション]、[サービス] の順にクリックします。
  2. [API アプリケーション] をクリックします。
  3. 作成した API アプリケーションを選択します。
  4. アプリケーションの詳細を表示します。

API アクセスキーとシークレット キーを作成する

アクセスキーとシークレット キーの生成については、ユーザー関連付けキーの作成をご覧ください。

## フィードを設定する

Google SecOps プラットフォームでフィードを設定するには、次の 2 つのエントリ ポイントがあります。

  • [SIEM 設定] > [フィード]
  • [Content Hub] > [Content Packs]

[SIEM 設定] > [フィード] でフィードを設定する

このプロダクト ファミリー内で異なるログタイプに対して複数のフィードを構成するには、プロダクトごとにフィードを構成するをご覧ください。

1 つのフィードを設定する手順は次のとおりです。

  1. [SIEM 設定] > [フィード] をクリックします。
  2. [Add New] をクリックします。
  3. [フィード名] を入力します。
  4. [ソースタイプ] として [サードパーティ API] を選択します。
  5. [ログタイプ] として [Mimecast] を選択し、Mimecast Secure Email Gateway のフィードを作成します。
  6. [次へ] をクリックします。
  7. アプリケーション ID、アクセスキー、シークレット ID、アプリケーション キーを指定して、認証 HTTP ヘッダーを構成します。
  8. [次へ] をクリックしてから、[送信] をクリックします。

Google Security Operations フィードの詳細については、Google Security Operations フィードのドキュメントをご覧ください。各フィードタイプの要件については、タイプ別のフィード構成をご覧ください。フィードの作成時に問題が発生した場合は、Google Security Operations サポートにお問い合わせください。

コンテンツ ハブからフィードを設定する

次のフィールドに値を指定します。

  • 認証 HTTP ヘッダー: アプリケーション ID、アクセスキー、シークレット ID、アプリケーション キーを指定します。

詳細オプション

  • フィード名: フィードを識別する事前入力された値。
  • ソースタイプ: Google SecOps にログを収集するために使用される方法。
  • Asset Namespace: フィードに関連付けられた名前空間
  • Ingestion Labels: このフィードのすべてのイベントに適用されるラベル。

フィールド マッピング リファレンス

このパーサーは、Mimecast メールサーバーのログから Key-Value ペアを抽出し、ログエントリのステージ(RECEIPT、PROCESSING、DELIVERY)を分類して、抽出したフィールドを UDM にマッピングします。また、セキュリティ関連のフィールドを処理する特定のロジックも実行し、ActRejTypeSpamScoreVirus などの値に基づいて、セキュリティ結果のアクション、カテゴリ、重大度、関連する詳細情報を特定します。

UDM マッピング テーブル

ログフィールド UDM マッピング ロジック
acc metadata.product_log_id 未加工ログの acc の値は metadata.product_log_id にマッピングされます。
Act security_result.action ActAcc の場合、UDM フィールドは ALLOW に設定されます。ActRej の場合、UDM フィールドは BLOCK に設定されます。ActHld または Sdbx の場合、UDM フィールドは QUARANTINE に設定されます。
AttNames about.file.full_path AttNames フィールドが解析され、引用符とスペースが削除されて、個々のファイル名に分割されます。各ファイル名は、about オブジェクト内の個別の about.file.full_path フィールドにマッピングされます。
AttSize about.file.size AttSize の値は符号なし整数に変換され、about.file.size にマッピングされます。
Dir network.direction DirInternal または Inbound の場合、UDM フィールドは INBOUND に設定されます。DirExternal または Outbound の場合、UDM フィールドは OUTBOUND に設定されます。また、security_resultdetection_fields エントリの入力にも使用されます。
Err security_result.summary Err の値は security_result.summary にマッピングされます。
Error security_result.summary Error の値は security_result.summary にマッピングされます。
fileName principal.process.file.full_path fileName の値は principal.process.file.full_path にマッピングされます。
filename_for_malachite principal.resource.name filename_for_malachite の値は principal.resource.name にマッピングされます。
headerFrom network.email.from Sender が有効なメールアドレスでない場合、headerFrom の値は network.email.from にマッピングされます。また、security_resultdetection_fields エントリの入力にも使用されます。
IP principal.ip または target.ip stageRECEIPT の場合、IP の値は principal.ip にマッピングされます。stageDELIVERY の場合、IP の値は target.ip にマッピングされます。
MsgId network.email.mail_id MsgId の値は network.email.mail_id にマッピングされます。
MsgSize network.received_bytes MsgSize の値は符号なし整数に変換され、network.received_bytes にマッピングされます。
Rcpt target.user.email_addressesnetwork.email.to Rcpt の値が target.user.email_addresses に追加されます。Rcpt が有効なメールアドレスの場合、network.email.to にも追加されます。
Recipient network.email.to Rcpt が有効なメールアドレスでない場合、Recipient の値が network.email.to に追加されます。
RejCode security_result.description security_result.description フィールドの一部として使用されます。
RejInfo security_result.description security_result.description フィールドの一部として使用されます。
RejType security_result.descriptionsecurity_result.category_details security_result.description フィールドの一部として使用されます。RejType の値も security_result.category_details にマッピングされます。security_result.categorysecurity_result.severity を決定するために使用されます。
Sender principal.user.email_addressesnetwork.email.from Sender の値が principal.user.email_addresses に追加されます。Sender が有効なメールアドレスの場合、network.email.from にもマッピングされます。また、security_resultdetection_fields エントリの入力にも使用されます。
Snt network.sent_bytes Snt の値は符号なし整数に変換され、network.sent_bytes にマッピングされます。
SourceIP principal.ip stageRECEIPT で、IP が空の場合、SourceIP の値は principal.ip にマッピングされます。
SpamInfo security_result.severity_details security_result.severity_details フィールドの一部として使用されます。
SpamLimit security_result.severity_details security_result.severity_details フィールドの一部として使用されます。
SpamScore security_result.severity_details security_result.severity_details フィールドの一部として使用されます。RejType が設定されていない場合に security_result.severity を決定するためにも使用されます。
Subject network.email.subject Subject の値は network.email.subject にマッピングされます。
Virus security_result.threat_name Virus の値は security_result.threat_name にマッピングされます。デフォルトでは EMAIL_TRANSACTION に設定されますが、SenderRecipient/Rcpt のどちらも有効なメールアドレスでない場合は GENERIC_EVENT に変更されます。常に Mimecast に設定します。常に Mimecast MTA に設定します。Email %{stage} に設定します。ここで、stage は他のログフィールドの存在と値に基づいて決定されます。常に MIMECAST_MAIL に設定します。RejType または SpamScore に基づいて設定されます。どちらも使用できない場合、デフォルトは LOW です。
sha1 target.file.sha1 sha1 の値は target.file.sha1 にマッピングされます。
sha256 target.file.sha256 sha256 の値は target.file.sha256 にマッピングされます。
ScanResultInfo security_result.threat_name ScanResultInfo の値は security_result.threat_name にマッピングされます。
Definition security_result.summary Definition の値は security_result.summary にマッピングされます。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。