Mimecast Mail-Logs erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Mimecast Secure Email Gateway-Logs erfassen können, indem Sie einen Google Security Operations-Feed einrichten.

Weitere Informationen finden Sie unter Datenaufnahme in Google Security Operations.

Ein Erfassungslabel identifiziert den Parser, der Logrohdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument beziehen sich auf den Parser mit dem Label MIMECAST_MAIL.

Mimecast Secure Email Gateway konfigurieren

  1. Aktivieren Sie das Logging für das Anmeldekonto.
  2. API-Anwendung erstellen
  3. Anwendungs-ID und Anwendungsschlüssel abrufen

Logging für das Anmeldekonto aktivieren

  1. Melden Sie sich in der Mimecast Administration-Konsole an.
  2. Klicken Sie im Menü Konto auf Kontoeinstellungen.
  3. Maximieren Sie Erweiterte Protokollierung.
  4. Wählen Sie die Protokolltypen aus, die aktiviert werden sollen:
    • Eingehend: Protokolliert Nachrichten von externen Absendern an interne Empfänger.
    • Ausgehend: Protokolliert Nachrichten von internen Absendern an externe Empfänger.
    • Intern: Protokolliert Nachrichten innerhalb interner Domains.
  5. Klicken Sie auf Speichern, um die Änderungen zu übernehmen.

API-Anwendung erstellen

  1. Melden Sie sich in der Mimecast Administration-Konsole an.
  2. Klicken Sie auf API-Anwendung hinzufügen.
  3. Geben Sie die folgenden Informationen ein:
    1. Name der Anwendung.
    2. Beschreibung der Anwendung.
    3. Kategorie: Geben Sie eine der folgenden Kategorien ein:
      • SIEM-Integration: Ermöglicht die Echtzeitanalyse der von der Anwendung generierten Sicherheitswarnungen.
      • MSP-Bestellung und ‑Bereitstellung: Diese Funktion ist für ausgewählte Partner verfügbar, um Bestellungen im MSP-Portal zu verwalten.
      • E-Mail / Archivierung: bezieht sich auf Nachrichten und Warnungen, die in Mimecast gespeichert sind.
      • Business Intelligence: Ermöglicht den Zugriff auf Informationen und deren Analyse durch die Infrastruktur und Tools der Anwendung, um Entscheidungen und Leistung zu verbessern und zu optimieren.
      • Prozessautomatisierung: Ermöglicht die Automatisierung von Geschäftsprozessen.
      • Sonstiges: wenn die Anwendung in keine andere Kategorie passt.
  4. Klicken Sie auf Weiter.
  5. Geben Sie Werte für die folgenden Eingabeparameter an:
    • Konfiguration des HTTP-Headers für die Authentifizierung:Geben Sie die Authentifizierungsdetails im folgenden Format ein: secret_key:{Access Secret}
      access_key:{Access key}
      app_id:{Application ID}
      app_key:{application key}
    • API-Hostname:Vollständig qualifizierter Domainname Ihres Mimecast API-Endpunkt. Das typische Format ist xx-api.mimecast.com. Wenn nicht angegeben, ist sie in den USA und Europa regionsspezifisch. Dieses Feld darf für andere Regionen nicht leer sein.
    • Asset-Namespace: der Asset-Namespace.
    • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet wird.
  6. Klicken Sie auf Weiter.
  7. Sehen Sie sich die Informationen auf der Übersichtsseite an.
  8. So beheben Sie Fehler:
    • Klicken Sie neben Details oder Einstellungen auf die Schaltfläche Bearbeiten.
    • Klicken Sie auf Weiter und rufen Sie die Seite Zusammenfassung noch einmal auf.

Anwendungs-ID und Anwendungsschlüssel abrufen

  1. Klicken Sie auf Anwendung und dann auf Dienste.
  2. Klicken Sie auf API-Anwendung.
  3. Wählen Sie die erstellte API-Anwendung aus.
  4. Anwendungsdetails ansehen

API-Zugriff und Secret-Schlüssel erstellen

Informationen zum Generieren von Zugriffs- und geheimen Schlüsseln finden Sie unter Schlüssel für Nutzerzuordnung erstellen.

Feeds einrichten

So konfigurieren Sie diesen Logtyp:

  1. Rufen Sie die SIEM-Einstellungen> Feeds auf.
  2. Klicken Sie auf Neuen Feed hinzufügen.
  3. Klicken Sie auf das Feedpaket Mimecast.

  4. Geben Sie die Werte für die folgenden Felder an:

    • Source Type (Quelltyp): Third party API (Drittanbieter-API) (empfohlen)
    • HTTP-Header für die Authentifizierung: Geben Sie die Anwendungs-ID, den Zugriffsschlüssel, die geheime ID und den Anwendungsschlüssel an.
    • API-Hostname: Geben Sie den Domainnamen Ihres Mimecast-Hosts an.

    Erweiterte Optionen

    • Feedname: Ein vorausgefüllter Wert, der den Feed identifiziert.
    • Asset-Namespace: Namespace, der dem Feed zugeordnet ist.
    • Aufnahmelabels: Labels, die auf alle Ereignisse aus diesem Feed angewendet werden.

  5. Klicken Sie auf Feed erstellen.

Weitere Informationen zum Konfigurieren mehrerer Feeds für verschiedene Logtypen in dieser Produktfamilie finden Sie unter Feeds nach Produkt konfigurieren.

Referenz zur Feldzuordnung

Dieser Parser extrahiert Schlüssel/Wert-Paare aus Mimecast-E-Mail-Serverlogs, kategorisiert die Logeinträge nach Phase (RECEIPT, PROCESSING oder DELIVERY) und ordnet die extrahierten Felder dem UDM zu. Außerdem wird eine spezielle Logik ausgeführt, um sicherheitsrelevante Felder zu verarbeiten. Die Sicherheitsergebnisaktion, ‑kategorie, ‑schwere und zugehörigen Details werden anhand von Werten wie Act, RejType, SpamScore und Virus bestimmt.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
acc metadata.product_log_id Der Wert von acc aus dem Rohlog wird metadata.product_log_id zugeordnet.
Act security_result.action Wenn Act Acc ist, wird das UDM-Feld auf ALLOW gesetzt. Wenn Act Rej ist, wird das UDM-Feld auf BLOCK gesetzt. Wenn Act Hld oder Sdbx ist, wird das UDM-Feld auf QUARANTINE gesetzt.
AttNames about.file.full_path Das Feld AttNames wird geparst, wobei Anführungszeichen und Leerzeichen entfernt und in einzelne Dateinamen aufgeteilt werden. Jeder Dateiname wird dann einem separaten about.file.full_path-Feld innerhalb eines about-Objekts zugeordnet.
AttSize about.file.size Der Wert von AttSize wird in eine vorzeichenlose Ganzzahl konvertiert und about.file.size zugeordnet.
Dir network.direction Wenn Dir Internal oder Inbound ist, wird das UDM-Feld auf INBOUND gesetzt. Wenn Dir External oder Outbound ist, wird das UDM-Feld auf OUTBOUND gesetzt. Wird auch zum Füllen eines detection_fields-Eintrags in security_result verwendet.
Err security_result.summary Der Wert von Err wird security_result.summary zugeordnet.
Error security_result.summary Der Wert von Error wird security_result.summary zugeordnet.
fileName principal.process.file.full_path Der Wert von fileName wird principal.process.file.full_path zugeordnet.
filename_for_malachite principal.resource.name Der Wert von filename_for_malachite wird principal.resource.name zugeordnet.
headerFrom network.email.from Der Wert von headerFrom wird network.email.from zugeordnet, wenn Sender keine gültige E-Mail-Adresse ist. Wird auch zum Füllen eines detection_fields-Eintrags in security_result verwendet.
IP principal.ip oder target.ip Wenn stage den Wert RECEIPT hat, wird der Wert von IP dem Wert principal.ip zugeordnet. Wenn stage den Wert DELIVERY hat, wird der Wert von IP dem Wert target.ip zugeordnet.
MsgId network.email.mail_id Der Wert von MsgId wird network.email.mail_id zugeordnet.
MsgSize network.received_bytes Der Wert von MsgSize wird in eine vorzeichenlose Ganzzahl konvertiert und network.received_bytes zugeordnet.
Rcpt target.user.email_addresses, network.email.to Der Wert von Rcpt wird zu target.user.email_addresses addiert. Wenn Rcpt eine gültige E‑Mail-Adresse ist, wird sie auch zu network.email.to hinzugefügt.
Recipient network.email.to Der Wert von Recipient wird network.email.to hinzugefügt, wenn Rcpt keine gültige E-Mail-Adresse ist.
RejCode security_result.description Wird als Teil des Felds security_result.description verwendet.
RejInfo security_result.description Wird als Teil des Felds security_result.description verwendet.
RejType security_result.description, security_result.category_details Wird als Teil des Felds security_result.description verwendet. Der Wert von RejType wird auch security_result.category_details zugeordnet. Wird verwendet, um security_result.category und security_result.severity zu bestimmen.
Sender principal.user.email_addresses, network.email.from Der Wert von Sender wird zu principal.user.email_addresses addiert. Wenn Sender eine gültige E-Mail-Adresse ist, wird sie auch network.email.from zugeordnet. Wird auch zum Füllen eines detection_fields-Eintrags in security_result verwendet.
Snt network.sent_bytes Der Wert von Snt wird in eine vorzeichenlose Ganzzahl konvertiert und network.sent_bytes zugeordnet.
SourceIP principal.ip Wenn stage den Wert RECEIPT hat und IP leer ist, wird der Wert von SourceIP principal.ip zugeordnet.
SpamInfo security_result.severity_details Wird als Teil des Felds security_result.severity_details verwendet.
SpamLimit security_result.severity_details Wird als Teil des Felds security_result.severity_details verwendet.
SpamScore security_result.severity_details Wird als Teil des Felds security_result.severity_details verwendet. Wird auch verwendet, um security_result.severity zu bestimmen, wenn RejType nicht festgelegt ist.
Subject network.email.subject Der Wert von Subject wird network.email.subject zugeordnet.
Virus security_result.threat_name Der Wert von Virus wird security_result.threat_name zugeordnet. Standardmäßig auf EMAIL_TRANSACTION festgelegt, wird aber in GENERIC_EVENT geändert, wenn weder Sender noch Recipient/Rcpt gültige E-Mail-Adressen sind. Immer auf Mimecast festgelegt. Immer auf Mimecast MTA festgelegt. Auf Email %{stage} festgelegt, wobei stage anhand der Anwesenheit und der Werte anderer Logfelder bestimmt wird. Immer auf MIMECAST_MAIL festgelegt. Wird basierend auf RejType oder SpamScore festgelegt. Wenn keines der beiden verfügbar ist, wird standardmäßig LOW verwendet.
sha1 target.file.sha1 Der Wert von sha1 wird target.file.sha1 zugeordnet.
sha256 target.file.sha256 Der Wert von sha256 wird target.file.sha256 zugeordnet.
ScanResultInfo security_result.threat_name Der Wert von ScanResultInfo wird security_result.threat_name zugeordnet.
Definition security_result.summary Der Wert von Definition wird security_result.summary zugeordnet.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten