收集 Mimecast 邮件日志

支持的语言:

本文档介绍了如何通过设置 Google Security Operations Feed 来收集 Mimecast Secure Email Gateway 日志。

如需了解详情,请参阅将数据注入 Google Security Operations

注入标签用于标识将原始日志数据标准化为结构化 UDM 格式的解析器。本文档中的信息适用于具有 MIMECAST_MAIL 注入标签的解析器。

配置 Mimecast Secure Email Gateway

  1. 为登录账号启用日志记录
  2. 创建 API 应用
  3. 获取应用 ID 和应用密钥

为登录账号启用日志记录

  1. 登录 Mimecast 管理控制台。
  2. 账号菜单中,点击账号设置
  3. 展开增强型日志记录
  4. 选择要启用的日志类型:
    • 入站:记录外部发件人发送给内部收件人的邮件。
    • 出站:记录从内部发件人发送给外部收件人的邮件。
    • 内部:记录内部网域中的邮件。
  5. 点击保存应用更改。

创建 API 应用

  1. 登录 Mimecast 管理控制台。
  2. 点击 Add API Application(添加 API 应用)。
  3. 输入以下详细信息:
    1. 应用名称。
    2. 应用的说明。
    3. 类别:输入以下某个类别:
      • SIEM 集成:可对应用生成的安全提醒进行实时分析。
      • MSP 订购和配置:供部分合作伙伴在 MSP 门户中管理订单。
      • 电子邮件 / 归档:指存储在 Mimecast 中的邮件和提醒。
      • 商业智能:使应用的基础设施和工具能够访问和分析信息,从而改进和优化决策和效果。
      • 流程自动化:可实现业务流程自动化。
      • 其他:如果应用不属于任何其他类别,请选择此选项。
  4. 点击下一步
  5. 为以下输入参数指定值:
    • 身份验证 HTTP 标头配置:以以下格式输入身份验证详细信息: secret_key:{Access Secret}
      access_key:{Access key}
      app_id:{Application ID}
      app_key:{application key}
    • API 主机名:Mimecast API 端点的完全限定域名。典型格式为 xx-api.mimecast.com。如果未提供,则在美国和欧洲将是特定于区域的。对于其他区域,此字段不能为空。
    • 资源命名空间资源命名空间
    • 注入标签:应用于此 Feed 中事件的标签。
  6. 点击下一步
  7. 查看摘要页面上显示的信息。
  8. 如需修正错误,请按以下步骤操作:
    • 点击详细信息设置旁边的修改按钮。
    • 点击下一步,然后再次前往摘要页面。

获取应用 ID 和应用密钥

  1. 点击应用,然后点击服务
  2. 点击 API 应用
  3. 选择已创建的 API 应用。
  4. 查看申请详情。

创建 API 访问密钥和密钥

如需了解如何生成访问密钥和密钥,请参阅创建用户关联密钥

## 设置 Feed

您可以通过两种不同的入口点在 Google SecOps 平台中设置 Feed:

  • SIEM 设置 > Feed
  • 内容中心 > 内容包

通过“SIEM 设置”>“Feed”设置 Feed

如需为相应产品系列中的不同日志类型配置多个 Feed,请参阅按产品配置 Feed

如需配置单个 Feed,请按以下步骤操作:

  1. 依次点击 SIEM 设置 > Feed
  2. 点击 Add New(新增)。
  3. 输入 Feed 名称
  4. 选择第三方 API 作为来源类型
  5. 选择 Mimecast 作为日志类型,以便为 Mimecast Secure Email Gateway 创建 Feed。
  6. 点击下一步
  7. 通过提供应用 ID、访问密钥、密钥 ID 和应用密钥来配置身份验证 HTTP 标头
  8. 点击下一步,然后点击提交

如需详细了解 Google Security Operations Feed,请参阅 Google Security Operations Feed 文档。 如需了解每种 Feed 类型的要求,请参阅按类型划分的 Feed 配置。 如果您在创建 Feed 时遇到问题,请与 Google Security Operations 支持团队联系。

设置来自内容中心的 Feed

为以下字段指定值:

  • 身份验证 HTTP 标头:提供应用 ID、访问密钥、密钥 ID 和应用密钥。

高级选项

  • Feed 名称:用于标识 Feed 的预填充值。
  • 来源类型:用于将日志收集到 Google SecOps 中的方法。
  • 资产命名空间与 Feed 关联的命名空间
  • 提取标签:应用于相应 Feed 中所有事件的标签。

字段映射参考

此解析器从 Mimecast 电子邮件服务器日志中提取键值对,对日志条目阶段(接收、处理或传送)进行分类,并将提取的字段映射到 UDM。它还会执行特定逻辑来处理与安全相关的字段,并根据 ActRejTypeSpamScoreVirus 等值确定安全结果操作、类别、严重程度和相关详细信息。

UDM 映射表

日志字段 UDM 映射 逻辑
acc metadata.product_log_id 原始日志中的 acc 值映射到 metadata.product_log_id
Act security_result.action 如果 ActAcc,则 UDM 字段设置为 ALLOW。如果 ActRej,则 UDM 字段设置为 BLOCK。如果 ActHldSdbx,则 UDM 字段设置为 QUARANTINE
AttNames about.file.full_path 系统会解析 AttNames 字段,移除引号和空格,并将其拆分为各个文件名。然后,每个文件名都会映射到 about 对象中的单独 about.file.full_path 字段。
AttSize about.file.size AttSize 的值会转换为无符号整数并映射到 about.file.size
Dir network.direction 如果 DirInternalInbound,则 UDM 字段设置为 INBOUND。如果 DirExternalOutbound,则 UDM 字段设置为 OUTBOUND。还用于在 security_result 中填充 detection_fields 条目。
Err security_result.summary Err 的值映射到 security_result.summary
Error security_result.summary Error 的值映射到 security_result.summary
fileName principal.process.file.full_path fileName 的值映射到 principal.process.file.full_path
filename_for_malachite principal.resource.name filename_for_malachite 的值映射到 principal.resource.name
headerFrom network.email.from 如果 Sender 不是有效的电子邮件地址,则 headerFrom 的值会映射到 network.email.from。还用于在 security_result 中填充 detection_fields 条目。
IP principal.iptarget.ip 如果 stageRECEIPT,则 IP 的值会映射到 principal.ip。如果 stageDELIVERY,则 IP 的值会映射到 target.ip
MsgId network.email.mail_id MsgId 的值映射到 network.email.mail_id
MsgSize network.received_bytes MsgSize 的值会转换为无符号整数并映射到 network.received_bytes
Rcpt target.user.email_addressesnetwork.email.to Rcpt 的值添加到 target.user.email_addresses。如果 Rcpt 是有效的电子邮件地址,则还会将其添加到 network.email.to
Recipient network.email.to 如果 Rcpt 不是有效的电子邮件地址,则将 Recipient 的值添加到 network.email.to
RejCode security_result.description 用作 security_result.description 字段的一部分。
RejInfo security_result.description 用作 security_result.description 字段的一部分。
RejType security_result.descriptionsecurity_result.category_details 用作 security_result.description 字段的一部分。RejType 的值也会映射到 security_result.category_details。用于确定 security_result.categorysecurity_result.severity
Sender principal.user.email_addressesnetwork.email.from Sender 的值添加到 principal.user.email_addresses。如果 Sender 是有效的电子邮件地址,则也会映射到 network.email.from。还用于在 security_result 中填充 detection_fields 条目。
Snt network.sent_bytes Snt 的值会转换为无符号整数并映射到 network.sent_bytes
SourceIP principal.ip 如果 stageRECEIPTIP 为空,则 SourceIP 的值会映射到 principal.ip
SpamInfo security_result.severity_details 用作 security_result.severity_details 字段的一部分。
SpamLimit security_result.severity_details 用作 security_result.severity_details 字段的一部分。
SpamScore security_result.severity_details 用作 security_result.severity_details 字段的一部分。如果未设置 RejType,还可用于确定 security_result.severity
Subject network.email.subject Subject 的值映射到 network.email.subject
Virus security_result.threat_name Virus 的值映射到 security_result.threat_name。默认设置为 EMAIL_TRANSACTION,但如果 SenderRecipient/Rcpt 都不是有效的电子邮件地址,则更改为 GENERIC_EVENT。始终设置为 Mimecast。始终设置为 Mimecast MTA。设置为 Email %{stage},其中 stage 根据其他日志字段的存在情况和值来确定。始终设置为 MIMECAST_MAIL。根据 RejTypeSpamScore 进行设置。如果两者均不可用,则默认为 LOW
sha1 target.file.sha1 sha1 的值映射到 target.file.sha1
sha256 target.file.sha256 sha256 的值映射到 target.file.sha256
ScanResultInfo security_result.threat_name ScanResultInfo 的值映射到 security_result.threat_name
Definition security_result.summary Definition 的值映射到 security_result.summary

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。