Mimecast Mail 로그 수집

다음에서 지원:

이 문서에서는 API를 사용하여 Mimecast 메일 로그를 Google Security Operations에 수집하는 방법을 설명합니다. 이 파서는 Mimecast 이메일 서버 로그에서 키-값 쌍을 추출하고, 로그 단계 (수신, 처리 또는 전송)를 분류하고, 추출된 필드를 UDM에 매핑합니다. 또한 Act, RejType, SpamScore, Virus와 같은 다양한 필드를 기반으로 작업, 카테고리, 심각도, 위협 정보를 결정하는 등 보안 결과를 처리하기 위한 특정 로직을 실행합니다.

시작하기 전에

  • Google SecOps 인스턴스가 있는지 확인합니다.
  • Mimecast Mail에 대한 권한이 있는지 확인합니다.

Mimecast에서 로깅 구성

  1. Mimecast 관리 콘솔에 로그인합니다.
  2. 관리 > 계정 > 계정 설정으로 이동합니다.
  3. 향상된 로깅을 선택합니다.
  4. 다음 로그 유형을 사용 설정합니다.
    • 인바운드
    • 아웃바운드
    • 내부
  5. 저장을 클릭합니다.

Mimecast에서 API 구성

  1. 서비스 > API 및 플랫폼 통합으로 이동합니다.
  2. Mimecast API 1.0을 찾아 키 생성을 클릭합니다.
  3. 다음 구성 세부정보를 제공합니다.
    • 애플리케이션 이름: 예를 들면 Google SecOps
    • 카테고리: SIEM 통합을 선택합니다.
    • 서비스 애플리케이션에서 확장 세션을 사용 설정합니다.
    • 설명: 예를 들어 Google SecOps API integration입니다.
    • 다음을 클릭합니다.
  4. 다음 알림 구성 세부정보를 제공합니다.
    • 개발자: 기술 담당자의 이름을 입력합니다.
    • 이메일: 기술 담당자의 이메일 주소를 입력합니다.
    • 다음을 클릭합니다.
  5. 요약 정보를 검토하고 추가를 클릭합니다.
  6. 애플리케이션 ID애플리케이션 키를 복사하여 저장합니다.

Mimecast에서 사용자 액세스 및 보안 비밀 키 구성

  1. 애플리케이션 목록에서 새로 등록된 API 애플리케이션을 클릭합니다.
  2. 키 만들기를 클릭합니다.
  3. 다음 구성 세부정보를 제공합니다.
    • 이메일 주소: 전담 관리자 사용자 계정의 이메일 주소를 입력합니다.
    • 다음을 클릭합니다.
    • 인증 유형: 구성된 인증 방법에 따라 Cloud 또는 Domain을 선택합니다.
    • 비밀번호: 전용 관리자 사용자의 비밀번호를 입력합니다.
    • 다음을 클릭합니다.
    • 액세스 키와 보안 비밀 키를 모두 복사합니다.
    • 다음을 클릭하여 마법사를 종료합니다.

Mimecast Mail 로그를 수집하도록 Google SecOps에서 피드 구성

  1. SIEM 설정 > 피드로 이동합니다.
  2. 새로 추가를 클릭합니다.
  3. 피드 이름 필드에 피드 이름을 입력합니다(예: Mimecast Mail Logs).
  4. 소스 유형으로 서드 파티 API를 선택합니다.
  5. 로그 유형으로 Mimecast를 선택합니다.
  6. 다음을 클릭합니다.
  7. 다음 입력 매개변수의 값을 지정합니다.
    • 인증 HTTP 헤더 구성: 인증 세부정보를 다음 형식으로 입력합니다. secret_key:{Access Secret}
      access_key:{Access key}
      app_id:{Application ID}
      app_key:{application key}
    • API 호스트 이름: Mimecast API 엔드포인트의 정규화된 도메인 이름입니다. 일반적인 형식은 xx-api.mimecast.com입니다. 제공하지 않으면 미국과 유럽에서 지역별로 다릅니다. 다른 지역의 경우 이 입력란은 비워 둘 수 없습니다.
    • 애셋 네임스페이스: 애셋 네임스페이스입니다.
    • 수집 라벨: 이 피드의 이벤트에 적용된 라벨입니다.
  8. 다음을 클릭합니다.
  9. 확정 화면에서 피드 구성을 검토한 다음 제출을 클릭합니다.

UDM 매핑 표

로그 필드 UDM 매핑 논리
acc metadata.product_log_id 원시 로그의 acc 값은 metadata.product_log_id에 매핑됩니다.
Act security_result.action ActAcc이면 UDM 필드는 ALLOW로 설정됩니다. ActRej이면 UDM 필드는 BLOCK로 설정됩니다. ActHld 또는 Sdbx인 경우 UDM 필드는 QUARANTINE로 설정됩니다.
AttNames about.file.full_path AttNames 필드는 따옴표와 공백을 삭제하고 개별 파일 이름으로 분할하여 파싱됩니다. 그러면 각 파일 이름이 about 객체 내의 별도의 about.file.full_path 필드에 매핑됩니다.
AttSize about.file.size AttSize 값은 부호 없는 정수로 변환되고 about.file.size에 매핑됩니다.
Dir network.direction DirInternal 또는 Inbound인 경우 UDM 필드는 INBOUND로 설정됩니다. DirExternal 또는 Outbound인 경우 UDM 필드는 OUTBOUND로 설정됩니다. security_resultdetection_fields 항목을 채우는 데도 사용됩니다.
Err security_result.summary Err 값은 security_result.summary에 매핑됩니다.
Error security_result.summary Error 값은 security_result.summary에 매핑됩니다.
fileName principal.process.file.full_path fileName 값은 principal.process.file.full_path에 매핑됩니다.
filename_for_malachite principal.resource.name filename_for_malachite 값은 principal.resource.name에 매핑됩니다.
headerFrom network.email.from Sender이 유효한 이메일 주소가 아닌 경우 headerFrom 값이 network.email.from에 매핑됩니다. security_resultdetection_fields 항목을 채우는 데도 사용됩니다.
IP principal.ip 또는 target.ip stageRECEIPT이면 IP 값이 principal.ip에 매핑됩니다. stageDELIVERY이면 IP 값이 target.ip에 매핑됩니다.
MsgId network.email.mail_id MsgId 값은 network.email.mail_id에 매핑됩니다.
MsgSize network.received_bytes MsgSize 값은 부호 없는 정수로 변환되고 network.received_bytes에 매핑됩니다.
Rcpt target.user.email_addresses, network.email.to Rcpt 값이 target.user.email_addresses에 추가됩니다. Rcpt가 유효한 이메일 주소인 경우 network.email.to에도 추가됩니다.
Recipient network.email.to Rcpt가 유효한 이메일 주소가 아닌 경우 Recipient 값이 network.email.to에 추가됩니다.
RejCode security_result.description security_result.description 필드의 일부로 사용됩니다.
RejInfo security_result.description security_result.description 필드의 일부로 사용됩니다.
RejType security_result.description, security_result.category_details security_result.description 필드의 일부로 사용됩니다. RejType 값도 security_result.category_details에 매핑됩니다. security_result.categorysecurity_result.severity를 결정하는 데 사용됩니다.
Sender principal.user.email_addresses, network.email.from Sender 값이 principal.user.email_addresses에 추가됩니다. Sender이 유효한 이메일 주소인 경우 network.email.from에 매핑됩니다. security_resultdetection_fields 항목을 채우는 데도 사용됩니다.
Snt network.sent_bytes Snt 값은 부호 없는 정수로 변환되고 network.sent_bytes에 매핑됩니다.
SourceIP principal.ip stageRECEIPT이고 IP가 비어 있으면 SourceIP 값이 principal.ip에 매핑됩니다.
SpamInfo security_result.severity_details security_result.severity_details 필드의 일부로 사용됩니다.
SpamLimit security_result.severity_details security_result.severity_details 필드의 일부로 사용됩니다.
SpamScore security_result.severity_details security_result.severity_details 필드의 일부로 사용됩니다. RejType가 설정되지 않은 경우 security_result.severity를 결정하는 데도 사용됩니다.
Subject network.email.subject Subject 값은 network.email.subject에 매핑됩니다.
Virus security_result.threat_name Virus 값은 security_result.threat_name에 매핑됩니다. 기본적으로 EMAIL_TRANSACTION로 설정되지만 Sender 또는 Recipient/Rcpt가 유효한 이메일 주소가 아닌 경우 GENERIC_EVENT로 변경됩니다. 항상 Mimecast로 설정합니다. 항상 Mimecast MTA로 설정합니다. Email %{stage}로 설정합니다. 여기서 stage는 다른 로그 필드의 존재 여부와 값을 기반으로 결정됩니다. 항상 MIMECAST_MAIL로 설정합니다. RejType 또는 SpamScore에 따라 설정합니다. 둘 다 사용할 수 없는 경우 기본값은 LOW입니다.
sha1 target.file.sha1 sha1 값은 target.file.sha1에 매핑됩니다.
sha256 target.file.sha256 sha256 값은 target.file.sha256에 매핑됩니다.
ScanResultInfo security_result.threat_name ScanResultInfo 값은 security_result.threat_name에 매핑됩니다.
Definition security_result.summary Definition 값은 security_result.summary에 매핑됩니다.

변경사항

2025-02-06

개선사항:

  • filename_for_malachite 매핑을 target.process.file.full_path에서 principal.resource.name로 변경했습니다.
  • fileName 매핑을 principal.process.file.full_path에서 target.process.file.full_path로 변경했습니다.

2025-01-23

개선사항:

  • md5target.file.md5에 매핑했습니다.
  • filename_for_malachite 매핑을 principal.resource.name에서 target.process.file.full_path로 변경했습니다.
  • urlCategoryprincipal.url_metadata.categories에 매핑했습니다.
  • credentialTheftsecurity_result.detection_fields에 매핑했습니다.
  • reasonsecurity_result.summary에 매핑했습니다.

2024-11-13

개선사항:

  • URLprincipal.url에 매핑했습니다.

2024-08-05

개선사항:

  • sourceIpprincipal.ipprincipal.asset.ip에 매핑했습니다.
  • urlprincipal.url에 매핑했습니다.
  • msgidnetwork.email.mail_id에 매핑했습니다.
  • subjectnetwork.email.subject에 매핑했습니다.
  • senderDomain, AttNames, AttCntsecurity_result.detection_fields에 매핑했습니다.

2023-03-31

개선사항:

  • filename_for_malachiteprincipal.resource.name에 매핑했습니다.
  • fileNameprincipal.process.file.full_path에 매핑했습니다.
  • sha256target.file.sha256에 매핑했습니다.
  • sha1target.file.sha1에 매핑했습니다.
  • aCode에 대한 조건부 검사를 추가했습니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가의 답변을 받아 보세요.