Esta página foi traduzida pela API Cloud Translation.

Coletar registros do Mimecast Mail

Compatível com:

Google SecOps SIEM

Este documento explica como transferir os registros de e-mail do Mimecast para as operações de segurança do Google usando a API. Esse analisador extrai pares de chave-valor dos registros do servidor de e-mail do Mimecast, categoriza a fase do registro (RECEIPT, PROCESSING ou DELIVERY) e mapeia os campos extraídos para o UDM. Ele também executa uma lógica específica para processar resultados de segurança, incluindo a determinação da ação, categoria, gravidade e informações de ameaça com base em vários campos, como Act, RejType, SpamScore e Virus.

Antes de começar

Verifique se você tem uma instância do Google SecOps.
Verifique se você tem acesso privilegiado ao Mimecast Mail.

Configurar a geração de registros no Mimecast

Faça login no console de administração do Mimecast.
Acesse Administração > Conta > Configurações da conta.
Selecione Registro avançado.
Ative os seguintes tipos de registro:
- Entrada
- Saída
- Interno
Clique em Salvar.

Configurar a API no Mimecast

Acesse Serviços > Integrações de API e plataforma.
Localize Mimecast API 1.0 e clique em Generate Keys.
Informe os seguintes detalhes de configuração:
- Nome do aplicativo: por exemplo, Google SecOps.
- Categoria: escolha Integração com SIEM.
- Ative a sessão estendida no aplicativo do serviço.
- Descrição: (por exemplo, Google SecOps API integration).
- Clique em Próxima.
Informe os seguintes detalhes de configuração de notificação:
- Desenvolvedor: insira o nome do ponto de contato técnico.
- E-mail: insira um endereço de e-mail para o ponto de contato técnico.
- Clique em Próxima.
Revise as informações do Resumo e clique em Adicionar.
Copie e salve o ID do aplicativo e a chave do aplicativo.

Configurar o acesso do usuário e as chaves secretas no Mimecast

Clique no API Application recém-registrado na lista de aplicativos.
Clique em Criar chaves.
Informe os seguintes detalhes de configuração:
- Endereço de e-mail: insira o endereço de e-mail da conta de usuário administrador dedicada.
- Clique em Próxima.
- Tipo de autenticação: selecione Cloud ou Domínio, dependendo do método de autenticação configurado.
- Senha: digite a senha do usuário administrador dedicado.
- Clique em Próxima.
- Copie as chaves Access e Secret.
- Clique em Próxima para sair do assistente.

Configurar um feed no Google SecOps para processar registros do Mimecast Mail

Acesse Configurações do SIEM > Feeds.
Clique em Adicionar novo.
No campo Nome do feed, insira um nome para o feed, por exemplo, Mimecast Mail Logs.
Selecione API de terceiros como o Tipo de origem.
Selecione Mimecast como o tipo de registro.
Clique em Próxima.
Especifique valores para os seguintes parâmetros de entrada:
- Configuração do cabeçalho HTTP de autenticação:insira os detalhes de autenticação no seguinte formato: secret_key:{Access Secret}
  access_key:{Access key}
  app_id:{Application ID}
  app_key:{application key}
- Nome do host da API:nome de domínio totalmente qualificado do endpoint de API Mimecast. O formato típico é xx-api.mimecast.com. Se não for fornecido, será específico para a região nos EUA e na Europa. Este campo não pode ficar vazio para outras regiões.
- Namespace do recurso: o namespace do recurso.
- Rótulos de ingestão: o rótulo aplicado aos eventos desse feed.
Clique em Próxima.
Revise a configuração do feed na tela Finalizar e clique em Enviar.

Tabela de mapeamento do UDM

Campo de registro	Mapeamento do UDM	Lógica
`acc`	`metadata.product_log_id`	O valor de `acc` do registro bruto é mapeado para `metadata.product_log_id`.
`Act`	`security_result.action`	Se `Act` for `Acc`, o campo UDM será definido como `ALLOW`. Se `Act` for `Rej`, o campo UDM será definido como `BLOCK`. Se `Act` for `Hld` ou `Sdbx`, o campo UDM será definido como `QUARANTINE`.
`AttNames`	`about.file.full_path`	O campo `AttNames` é analisado, removendo aspas e espaços e dividido em nomes de arquivos individuais. Cada nome de arquivo é mapeado para um campo `about.file.full_path` separado em um objeto `about`.
`AttSize`	`about.file.size`	O valor de `AttSize` é convertido em um número inteiro sem sinal e mapeado para `about.file.size`.
`Dir`	`network.direction`	Se `Dir` for `Internal` ou `Inbound`, o campo UDM será definido como `INBOUND`. Se `Dir` for `External` ou `Outbound`, o campo UDM será definido como `OUTBOUND`. Também usado para preencher uma entrada `detection_fields` em `security_result`.
`Err`	`security_result.summary`	O valor de `Err` é mapeado para `security_result.summary`.
`Error`	`security_result.summary`	O valor de `Error` é mapeado para `security_result.summary`.
`fileName`	`principal.process.file.full_path`	O valor de `fileName` é mapeado para `principal.process.file.full_path`.
`filename_for_malachite`	`principal.resource.name`	O valor de `filename_for_malachite` é mapeado para `principal.resource.name`.
`headerFrom`	`network.email.from`	O valor de `headerFrom` é associado a `network.email.from` se `Sender` não for um endereço de e-mail válido. Também usado para preencher uma entrada `detection_fields` em `security_result`.
`IP`	`principal.ip` ou `target.ip`	Se `stage` for `RECEIPT`, o valor de `IP` será mapeado para `principal.ip`. Se `stage` for `DELIVERY`, o valor de `IP` será mapeado para `target.ip`.
`MsgId`	`network.email.mail_id`	O valor de `MsgId` é mapeado para `network.email.mail_id`.
`MsgSize`	`network.received_bytes`	O valor de `MsgSize` é convertido em um número inteiro sem sinal e mapeado para `network.received_bytes`.
`Rcpt`	`target.user.email_addresses`, `network.email.to`	O valor de `Rcpt` é adicionado a `target.user.email_addresses`. Se `Rcpt` for um endereço de e-mail válido, ele também será adicionado a `network.email.to`.
`Recipient`	`network.email.to`	O valor de `Recipient` é adicionado a `network.email.to` se `Rcpt` não for um endereço de e-mail válido.
`RejCode`	`security_result.description`	Usado como parte do campo `security_result.description`.
`RejInfo`	`security_result.description`	Usado como parte do campo `security_result.description`.
`RejType`	`security_result.description`, `security_result.category_details`	Usado como parte do campo `security_result.description`. O valor de `RejType` também é mapeado para `security_result.category_details`. Usado para determinar `security_result.category` e `security_result.severity`.
`Sender`	`principal.user.email_addresses`, `network.email.from`	O valor de `Sender` é adicionado a `principal.user.email_addresses`. Se `Sender` for um endereço de e-mail válido, ele também será associado a `network.email.from`. Também usado para preencher uma entrada `detection_fields` em `security_result`.
`Snt`	`network.sent_bytes`	O valor de `Snt` é convertido em um número inteiro sem sinal e mapeado para `network.sent_bytes`.
`SourceIP`	`principal.ip`	Se `stage` for `RECEIPT` e `IP` estiver vazio, o valor de `SourceIP` será mapeado para `principal.ip`.
`SpamInfo`	`security_result.severity_details`	Usado como parte do campo `security_result.severity_details`.
`SpamLimit`	`security_result.severity_details`	Usado como parte do campo `security_result.severity_details`.
`SpamScore`	`security_result.severity_details`	Usado como parte do campo `security_result.severity_details`. Também é usado para determinar `security_result.severity` se `RejType` não estiver definido.
`Subject`	`network.email.subject`	O valor de `Subject` é mapeado para `network.email.subject`.
`Virus`	`security_result.threat_name`	O valor de `Virus` é mapeado para `security_result.threat_name`. O padrão é `EMAIL_TRANSACTION`, mas muda para `GENERIC_EVENT` se `Sender` ou `Recipient`/`Rcpt` não forem endereços de e-mail válidos. Sempre definido como `Mimecast`. Sempre definido como `Mimecast MTA`. Definido como `Email %{stage}`, em que `stage` é determinado com base na presença e nos valores de outros campos de registro. Sempre definido como `MIMECAST_MAIL`. Defina com base em `RejType` ou `SpamScore`. O padrão será `LOW` se nenhuma delas estiver disponível.
`sha1`	`target.file.sha1`	O valor de `sha1` é mapeado para `target.file.sha1`.
`sha256`	`target.file.sha256`	O valor de `sha256` é mapeado para `target.file.sha256`.
`ScanResultInfo`	`security_result.threat_name`	O valor de `ScanResultInfo` é mapeado para `security_result.threat_name`.
`Definition`	`security_result.summary`	O valor de `Definition` é mapeado para `security_result.summary`.

Alterações

2025-02-06

Melhoria:

O mapeamento de filename_for_malachite foi alterado de target.process.file.full_path para principal.resource.name.
O mapeamento de fileName foi alterado de principal.process.file.full_path para target.process.file.full_path.

2025-01-23

Melhoria:

md5 foi mapeado para target.file.md5.
O mapeamento de filename_for_malachite foi alterado de principal.resource.name para target.process.file.full_path.
urlCategory foi mapeado para principal.url_metadata.categories.
credentialTheft foi mapeado para security_result.detection_fields.
reason foi mapeado para security_result.summary.

2024-11-13

Melhoria:

URL foi mapeado para principal.url.

2024-08-05

Melhoria:

Mapeamento de sourceIp para principal.ip e principal.asset.ip.
url foi mapeado para principal.url.
msgid foi mapeado para network.email.mail_id.
subject foi mapeado para network.email.subject.
senderDomain, AttNames e AttCnt foram mapeados para security_result.detection_fields.

2023-03-31

Melhoria:

filename_for_malachite foi mapeado para principal.resource.name.
fileName foi mapeado para principal.process.file.full_path.
sha256 foi mapeado para target.file.sha256.
sha1 foi mapeado para target.file.sha1.
Foi adicionada uma verificação condicional para aCode.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.