此页面由 Cloud Translation API 翻译。

收集 Mimecast Mail 日志

支持的平台：

Google SecOps SIEM

本文档介绍了如何使用 API 将 Mimecast Mail 日志注入到 Google 安全运营中心。此解析器会从 Mimecast 电子邮件服务器日志中提取键值对，对日志阶段（“RECEIPT”“PROCESSING”或“DELIVERY”）进行分类，并将提取的字段映射到 UDM。它还会执行用于处理安全结果的特定逻辑，包括根据 Act、RejType、SpamScore 和 Virus 等各种字段确定操作、类别、严重程度和威胁信息。

准备工作

确保您拥有 Google SecOps 实例。
确保您拥有对 Mimecast Mail 的特权访问权限。

在 Mimecast 中配置日志记录

登录 Mimecast 管理控制台。
依次前往管理 > 账号 > 账号设置。
选择增强型日志记录。
启用以下日志类型：
- 入站
- 出站
- 内部
点击保存。

在 Mimecast 中配置 API

依次前往服务 > API 和平台集成。
找到 Mimecast API 1.0，然后点击 Generate Keys（生成密钥）。
提供以下配置详细信息：
- 应用名称：（例如 Google SecOps）。
- 类别：选择 SIEM 集成。
- 在服务应用上启用延长会话。
- 说明：（例如 Google SecOps API integration）。
- 点击下一步。
提供以下通知配置详细信息：
- 开发者：输入技术联系人的姓名。
- 电子邮件地址：输入技术联系人的电子邮件地址。
- 点击下一步。
查看摘要信息，然后点击添加。
复制并保存应用 ID 和应用密钥。

在 Mimecast 中配置用户访问权限和 Secret 密钥

在应用列表中，点击新注册的 API 应用。
点击创建密钥。
提供以下配置详细信息：
- 电子邮件地址：输入专用管理员用户账号的电子邮件地址。
- 点击下一步。
- 身份验证类型：根据您配置的身份验证方法，选择 Cloud 或 Domain。
- 密码：输入专用管理员用户的密码。
- 点击下一步。
- 复制 Access 和 Secret 密钥。
- 点击下一步退出向导。

在 Google SecOps 中配置 Feed 以注入 Mimecast Mail 日志

依次前往 SIEM 设置 > Feed。
点击新增。
在Feed 名称字段中，输入 Feed 的名称；例如 Mimecast Mail Logs。
选择第三方 API 作为来源类型。
选择 Mimecast 作为日志类型。
点击下一步。
为以下输入参数指定值：
- 身份验证 HTTP 标头配置：请按照以下格式输入身份验证详细信息：secret_key:{Access Secret}
  access_key:{Access key}
  app_id:{Application ID}
  app_key:{application key}
- API 主机名：Mimecast API 端点的完全限定域名。常规格式为 xx-api.mimecast.com。如果未提供，则在美国和欧洲，此值将因区域而异。对于其他区域，此字段不得为空。
- 资源命名空间：资源命名空间。
- 提取标签：应用于此 Feed 中的事件的标签。
点击下一步。
在最终确定界面中查看 Feed 配置，然后点击提交。

UDM 映射表

日志字段	UDM 映射	逻辑
`acc`	`metadata.product_log_id`	原始日志中的 `acc` 值会映射到 `metadata.product_log_id`。
`Act`	`security_result.action`	如果 `Act` 为 `Acc`，则 UDM 字段设置为 `ALLOW`。如果 `Act` 为 `Rej`，则 UDM 字段设置为 `BLOCK`。如果 `Act` 为 `Hld` 或 `Sdbx`，则 UDM 字段会设置为 `QUARANTINE`。
`AttNames`	`about.file.full_path`	系统会解析 `AttNames` 字段，移除引号和空格，并将其拆分为单独的文件名。然后，每个文件名都会映射到 `about` 对象中的单独 `about.file.full_path` 字段。
`AttSize`	`about.file.size`	`AttSize` 的值会转换为无符号整数并映射到 `about.file.size`。
`Dir`	`network.direction`	如果 `Dir` 为 `Internal` 或 `Inbound`，则 UDM 字段会设置为 `INBOUND`。如果 `Dir` 为 `External` 或 `Outbound`，则 UDM 字段会设置为 `OUTBOUND`。还用于在 `security_result` 中填充 `detection_fields` 条目。
`Err`	`security_result.summary`	`Err` 的值映射到 `security_result.summary`。
`Error`	`security_result.summary`	`Error` 的值映射到 `security_result.summary`。
`fileName`	`principal.process.file.full_path`	`fileName` 的值映射到 `principal.process.file.full_path`。
`filename_for_malachite`	`principal.resource.name`	`filename_for_malachite` 的值映射到 `principal.resource.name`。
`headerFrom`	`network.email.from`	如果 `Sender` 不是有效的电子邮件地址，`headerFrom` 的值会映射到 `network.email.from`。还用于在 `security_result` 中填充 `detection_fields` 条目。
`IP`	`principal.ip` 或 `target.ip`	如果 `stage` 为 `RECEIPT`，则 `IP` 的值会映射到 `principal.ip`。如果 `stage` 为 `DELIVERY`，则 `IP` 的值会映射到 `target.ip`。
`MsgId`	`network.email.mail_id`	`MsgId` 的值映射到 `network.email.mail_id`。
`MsgSize`	`network.received_bytes`	`MsgSize` 的值会转换为无符号整数并映射到 `network.received_bytes`。
`Rcpt`	`target.user.email_addresses`，`network.email.to`	`Rcpt` 的值会添加到 `target.user.email_addresses`。如果 `Rcpt` 是有效的电子邮件地址，系统还会将其添加到 `network.email.to`。
`Recipient`	`network.email.to`	如果 `Rcpt` 不是有效的电子邮件地址，系统会将 `Recipient` 的值添加到 `network.email.to`。
`RejCode`	`security_result.description`	用作 `security_result.description` 字段的一部分。
`RejInfo`	`security_result.description`	用作 `security_result.description` 字段的一部分。
`RejType`	`security_result.description`，`security_result.category_details`	用于 `security_result.description` 字段。`RejType` 的值也会映射到 `security_result.category_details`。用于确定 `security_result.category` 和 `security_result.severity`。
`Sender`	`principal.user.email_addresses`，`network.email.from`	`Sender` 的值会添加到 `principal.user.email_addresses`。如果 `Sender` 是有效的电子邮件地址，则也会映射到 `network.email.from`。还用于在 `security_result` 中填充 `detection_fields` 条目。
`Snt`	`network.sent_bytes`	`Snt` 的值会转换为无符号整数并映射到 `network.sent_bytes`。
`SourceIP`	`principal.ip`	如果 `stage` 为 `RECEIPT` 且 `IP` 为空，则 `SourceIP` 的值会映射到 `principal.ip`。
`SpamInfo`	`security_result.severity_details`	用作 `security_result.severity_details` 字段的一部分。
`SpamLimit`	`security_result.severity_details`	用作 `security_result.severity_details` 字段的一部分。
`SpamScore`	`security_result.severity_details`	用于 `security_result.severity_details` 字段。还用于在未设置 `RejType` 时确定 `security_result.severity`。
`Subject`	`network.email.subject`	`Subject` 的值映射到 `network.email.subject`。
`Virus`	`security_result.threat_name`	`Virus` 的值映射到 `security_result.threat_name`。默认设为 `EMAIL_TRANSACTION`，但如果 `Sender` 和 `Recipient`/`Rcpt` 均不是有效的电子邮件地址，则会更改为 `GENERIC_EVENT`。始终设置为 `Mimecast`。始终设置为 `Mimecast MTA`。设置为 `Email %{stage}`，其中 `stage` 取决于其他日志字段的存在性和值。始终设置为 `MIMECAST_MAIL`。根据 `RejType` 或 `SpamScore` 进行设置。如果都不可用，则默认为 `LOW`。
`sha1`	`target.file.sha1`	`sha1` 的值映射到 `target.file.sha1`。
`sha256`	`target.file.sha256`	`sha256` 的值映射到 `target.file.sha256`。
`ScanResultInfo`	`security_result.threat_name`	`ScanResultInfo` 的值映射到 `security_result.threat_name`。
`Definition`	`security_result.summary`	`Definition` 的值映射到 `security_result.summary`。

变化

2025-02-06

增强功能：

将 filename_for_malachite 的映射从 target.process.file.full_path 更改为 principal.resource.name。
将 fileName 的映射从 principal.process.file.full_path 更改为 target.process.file.full_path。

2025-01-23

增强功能：

将 md5 映射到 target.file.md5。
将 filename_for_malachite 的映射从 principal.resource.name 更改为 target.process.file.full_path。
将 urlCategory 映射到 principal.url_metadata.categories。
将 credentialTheft 映射到 security_result.detection_fields。
将 reason 映射到 security_result.summary。

2024-11-13

增强功能：

将 URL 映射到 principal.url。

2024-08-05

增强功能：

将 sourceIp 映射到 principal.ip 和 principal.asset.ip。
将 url 映射到 principal.url。
将 msgid 映射到 network.email.mail_id。
将 subject 映射到 network.email.subject。
将 senderDomain、AttNames 和 AttCnt 映射到 security_result.detection_fields。

2023-03-31

增强功能：

将 filename_for_malachite 映射到 principal.resource.name。
将 fileName 映射到 principal.process.file.full_path。
将 sha256 映射到 target.file.sha256。
将 sha1 映射到 target.file.sha1。
添加了针对 aCode 的条件检查。