收集 Mimecast Mail 記錄
支援的國家/地區:
Google SecOps
SIEM
本文說明如何設定 Google Security Operations 動態饋給,收集 Mimecast Secure Email Gateway 記錄。
詳情請參閱「將資料擷取至 Google Security Operations」。
擷取標籤會識別剖析器,該剖析器會將原始記錄資料正規化為具結構性的 UDM 格式。本文件中的資訊適用於具有 MIMECAST_MAIL 攝入標籤的剖析器。
設定 Mimecast Secure Email Gateway
為登入帳戶啟用記錄功能
- 登入 Mimecast Administration 控制台。
- 在「帳戶」選單中,按一下「帳戶設定」。
- 展開「加強型記錄」。
- 選取要啟用的記錄類型:
- 內送:記錄外部寄件者傳送給內部收件者的郵件。
- 外寄:記錄內部寄件者傳送給外部收件者的郵件。
- 內部:記錄內部網域中的郵件。
- 點選「儲存」來套用變更。
建立 API 應用程式
- 登入 Mimecast Administration 控制台。
- 按一下「新增 API 應用程式」。
- 輸入下列詳細資料:
- 應用程式名稱。
- 應用程式的說明。
- 類別:輸入下列其中一個類別:
- SIEM 整合:即時分析應用程式產生的安全快訊。
- MSP 訂購和佈建:特定合作夥伴可透過 MSP 入口網站管理訂單。
- 電子郵件 / 封存:指儲存在 Mimecast 中的訊息和快訊。
- 商業智慧:讓應用程式的基礎架構和工具存取及分析資訊,進而改善及最佳化決策和成效。
- 流程自動化:可自動執行業務程序。
- 其他:如果應用程式不屬於任何其他類別。
- 點選「下一步」。
- 指定下列輸入參數的值:
- 驗證 HTTP 標頭設定:以下列格式輸入驗證詳細資料:
secret_key:{Access Secret}
access_key:{Access key}
app_id:{Application ID}
app_key:{application key} - API 主機名稱:Mimecast API 端點的完整網域名稱。一般格式為
xx-api.mimecast.com。如未提供,系統會根據美國和歐洲的地區設定。其他區域的這項欄位不得留空。 - 資產命名空間:資產命名空間。
- 擷取標籤:套用至這個動態饋給事件的標籤。
- 驗證 HTTP 標頭設定:以下列格式輸入驗證詳細資料:
- 點選「下一步」。
- 查看「摘要」頁面顯示的資訊。
- 如要修正錯誤,請按照下列步驟操作:
- 按一下「詳細資料」或「設定」旁的「編輯」按鈕。
- 按一下「下一步」,然後再次前往「摘要」頁面。
取得應用程式 ID 和應用程式金鑰
- 依序點選「應用程式」和「服務」。
- 按一下「API 應用程式」。
- 選取建立的 API 應用程式。
- 查看應用程式詳細資料。
建立 API 存取金鑰和密鑰
如要瞭解如何產生存取金鑰和密鑰,請參閱「建立使用者關聯金鑰」。
## 設定動態饋給
在 Google SecOps 平台中,有兩種不同的進入點可設定動態饋給:
- 「SIEM 設定」>「動態消息」
- 內容中心 > 內容包
依序前往「SIEM 設定」>「動態消息」,設定動態消息
如要為這個產品系列中的不同記錄類型設定多個動態饋給,請參閱「依產品設定動態饋給」。
如要設定單一動態饋給,請按照下列步驟操作:
- 依序點選「SIEM 設定」>「動態消息」。
- 按一下 [Add New] (新增)。
- 輸入「動態饋給名稱」。
- 選取「第三方 API」做為「來源類型」。
- 選取「Mimecast」做為「記錄類型」,為 Mimecast Secure Email Gateway 建立動態饋給。
- 點選「下一步」。
- 提供應用程式 ID、存取金鑰、密鑰 ID 和應用程式金鑰,設定驗證 HTTP 標頭。
- 依序點按「繼續」和「提交」。
如要進一步瞭解 Google Security Operations 動態消息,請參閱 Google Security Operations 動態消息說明文件。 如要瞭解各類動態饋給的規定,請參閱「依類型設定動態饋給」。 如果在建立動態饋給時遇到問題,請與 Google Security Operations 支援團隊聯絡。
從內容中心設定動態饋給
為下列欄位指定值:
- 驗證 HTTP 標頭:提供應用程式 ID、存取金鑰、密鑰 ID 和應用程式金鑰。
進階選項
- 動態饋給名稱:系統預先填入的值,用於識別動態饋給。
- 來源類型:將記錄收集到 Google SecOps 的方法。
- 資產命名空間:與動態饋給相關聯的命名空間。
- 擷取標籤:套用至這個動態饋給所有事件的標籤。
欄位對應參考資料
這個剖析器會從 Mimecast 電子郵件伺服器記錄檔擷取鍵/值組合,將記錄檔項目階段分類 (RECEIPT、PROCESSING 或 DELIVERY),並將擷取的欄位對應至 UDM。此外,這個函式也會執行特定邏輯來處理安全性相關欄位,並根據 Act、RejType、SpamScore 和 Virus 等值,判斷安全性結果動作、類別、嚴重程度和相關詳細資料。
UDM 對應表
| 記錄欄位 | UDM 對應 | 邏輯 |
|---|---|---|
acc |
metadata.product_log_id |
原始記錄中的 acc 值會對應至 metadata.product_log_id。 |
Act |
security_result.action |
如果 Act 為 Acc,UDM 欄位會設為 ALLOW。如果 Act 為 Rej,UDM 欄位會設為 BLOCK。如果 Act 為 Hld 或 Sdbx,UDM 欄位會設為 QUARANTINE。 |
AttNames |
about.file.full_path |
系統會剖析 AttNames 欄位,移除引號和空格,並分割成個別檔案名稱。然後,每個檔案名稱都會對應到 about 物件中的個別 about.file.full_path 欄位。 |
AttSize |
about.file.size |
AttSize 的值會轉換為無正負號整數,並對應至 about.file.size。 |
Dir |
network.direction |
如果 Dir 為 Internal 或 Inbound,UDM 欄位會設為 INBOUND。如果 Dir 為 External 或 Outbound,UDM 欄位會設為 OUTBOUND。也可用於在 security_result 中填入 detection_fields 項目。 |
Err |
security_result.summary |
Err 的值會對應至 security_result.summary。 |
Error |
security_result.summary |
Error 的值會對應至 security_result.summary。 |
fileName |
principal.process.file.full_path |
fileName 的值會對應至 principal.process.file.full_path。 |
filename_for_malachite |
principal.resource.name |
filename_for_malachite 的值會對應至 principal.resource.name。 |
headerFrom |
network.email.from |
如果 Sender 不是有效的電子郵件地址,headerFrom 的值會對應至 network.email.from。也可用於在 security_result 中填入 detection_fields 項目。 |
IP |
principal.ip或target.ip |
如果 stage 為 RECEIPT,IP 的值會對應至 principal.ip。如果 stage 為 DELIVERY,IP 的值會對應至 target.ip。 |
MsgId |
network.email.mail_id |
MsgId 的值會對應至 network.email.mail_id。 |
MsgSize |
network.received_bytes |
MsgSize 的值會轉換為無正負號整數,並對應至 network.received_bytes。 |
Rcpt |
target.user.email_addresses、network.email.to |
Rcpt 的值會加到 target.user.email_addresses。如果 Rcpt 是有效的電子郵件地址,系統也會將其新增至 network.email.to。 |
Recipient |
network.email.to |
如果 Rcpt 不是有效的電子郵件地址,系統會將 Recipient 的值新增至 network.email.to。 |
RejCode |
security_result.description |
用來做為 security_result.description 欄位的一部分。 |
RejInfo |
security_result.description |
用來做為 security_result.description 欄位的一部分。 |
RejType |
security_result.description、security_result.category_details |
用來做為 security_result.description 欄位的一部分。RejType 的值也會對應至 security_result.category_details。用於判斷 security_result.category 和 security_result.severity。 |
Sender |
principal.user.email_addresses、network.email.from |
Sender 的值會加到 principal.user.email_addresses。如果 Sender 是有效的電子郵件地址,也會對應至 network.email.from。也可用於在 security_result 中填入 detection_fields 項目。 |
Snt |
network.sent_bytes |
Snt 的值會轉換為無正負號整數,並對應至 network.sent_bytes。 |
SourceIP |
principal.ip |
如果 stage 為 RECEIPT 且 IP 為空,則 SourceIP 的值會對應至 principal.ip。 |
SpamInfo |
security_result.severity_details |
用來做為 security_result.severity_details 欄位的一部分。 |
SpamLimit |
security_result.severity_details |
用來做為 security_result.severity_details 欄位的一部分。 |
SpamScore |
security_result.severity_details |
用來做為 security_result.severity_details 欄位的一部分。如果未設定 RejType,系統也會使用這個欄位判斷 security_result.severity。 |
Subject |
network.email.subject |
Subject 的值會對應至 network.email.subject。 |
Virus |
security_result.threat_name |
Virus 的值會對應至 security_result.threat_name。預設為 EMAIL_TRANSACTION,但如果 Sender 或 Recipient/Rcpt 不是有效的電子郵件地址,則會變更為 GENERIC_EVENT。一律設為 Mimecast。一律設為 Mimecast MTA。設為 Email %{stage},其中 stage 是根據其他記錄欄位的存在和值而決定。一律設為 MIMECAST_MAIL。根據 RejType 或 SpamScore 進行設定。如果兩者皆無法使用,則預設值為 LOW。 |
sha1 |
target.file.sha1 |
sha1 的值會對應至 target.file.sha1。 |
sha256 |
target.file.sha256 |
sha256 的值會對應至 target.file.sha256。 |
ScanResultInfo |
security_result.threat_name |
ScanResultInfo 的值會對應至 security_result.threat_name。 |
Definition |
security_result.summary |
Definition 的值會對應至 security_result.summary。 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。