Recopilar registros de correo de Mimecast

Disponible en:

En este documento se describe cómo puede recoger registros de Mimecast Secure Email Gateway configurando un feed de Google Security Operations.

Para obtener más información, consulta Ingestión de datos en Google Security Operations.

Una etiqueta de ingestión identifica el analizador que normaliza los datos de registro sin procesar en formato UDM estructurado. La información de este documento se aplica al analizador con la etiqueta de ingestión MIMECAST_MAIL.

Configurar Mimecast Secure Email Gateway

  1. Habilita el registro de la cuenta de inicio de sesión.
  2. Crea la aplicación de la API.
  3. Obtén el ID y la clave de la aplicación.

Habilitar el registro de la cuenta de inicio de sesión

  1. Inicia sesión en la consola Mimecast Administration.
  2. En el menú Cuenta, haga clic en Configuración de la cuenta.
  3. Despliega Registro mejorado.
  4. Selecciona los tipos de registros que quieras habilitar:
    • Entrante: registra los mensajes de remitentes externos a destinatarios internos.
    • Saliente: registra los mensajes de remitentes internos a destinatarios externos.
    • Interno: registra los mensajes de los dominios internos.
  5. Haz clic en Guardar para aplicar los cambios.

Crear la aplicación de la API

  1. Inicia sesión en la consola Mimecast Administration.
  2. Haz clic en Add API Application (Añadir aplicación de API).
  3. Introduzca los siguientes detalles:
    1. Nombre de la aplicación.
    2. Descripción de la aplicación.
    3. Categoría: introduce una de las siguientes categorías:
      • Integración de SIEM: proporciona un análisis en tiempo real de las alertas de seguridad generadas por la aplicación.
      • Pedidos y aprovisionamiento de MSP: disponible para determinados partners para gestionar pedidos en el portal de MSP.
      • Correo electrónico o archivado: hace referencia a los mensajes y las alertas almacenados en Mimecast.
      • Inteligencia empresarial: permite que la infraestructura y las herramientas de la aplicación accedan a la información y la analicen para mejorar y optimizar las decisiones y el rendimiento.
      • Automatización de procesos: permite automatizar procesos empresariales.
      • Otro: si la aplicación no encaja en ninguna otra categoría.
  4. Haz clic en Siguiente.
  5. Especifique valores para los siguientes parámetros de entrada:
    • Configuración del encabezado HTTP de autenticación: introduce los detalles de autenticación con el siguiente formato: secret_key:{Access Secret}
      access_key:{Access key}
      app_id:{Application ID}
      app_key:{application key}
    • Nombre de host de la API: nombre de dominio completo de tu endpoint de la API de Mimecast. El formato habitual es xx-api.mimecast.com. Si no se proporciona, será específica de la región en EE. UU. y Europa. Este campo no puede estar vacío en otras regiones.
    • Espacio de nombres de recursos: el espacio de nombres de recursos.
    • Etiquetas de ingestión: la etiqueta aplicada a los eventos de este feed.
  6. Haz clic en Siguiente.
  7. Revisa la información que se muestra en la página de resumen.
  8. Para corregir los errores, siga estos pasos:
    • Haz clic en los botones Editar situados junto a Detalles o Configuración.
    • Haz clic en Siguiente y vuelve a la página Resumen.

Obtener el ID y la clave de la aplicación

  1. Haz clic en Aplicación y, a continuación, en Servicios.
  2. Haz clic en Aplicación de API.
  3. Selecciona la aplicación de API creada.
  4. Consulta los detalles de la aplicación.

Crear una clave secreta y una clave de acceso a la API

Para obtener información sobre cómo generar una clave de acceso y una clave secreta, consulta el artículo Crear una clave de asociación de usuario.

Configurar feeds

Para configurar este tipo de registro, sigue estos pasos:

  1. Ve a Configuración de SIEM > Feeds.
  2. Haz clic en Añadir feed.
  3. Haga clic en el paquete de feeds Mimecast.

  4. Especifique los valores de los siguientes campos:

    • Tipo de fuente: API de terceros (opción recomendada)
    • Encabezado HTTP de autenticación: proporciona el ID de aplicación, la clave de acceso, el ID secreto y la clave de aplicación.
    • Nombre de host de la API: especifica el nombre de dominio de tu host de Mimecast.

    Opciones avanzadas

    • Nombre del feed: valor rellenado automáticamente que identifica el feed.
    • Espacio de nombres de recursos: espacio de nombres asociado al feed.
    • Etiquetas de ingestión: etiquetas aplicadas a todos los eventos de este feed.

  5. Haga clic en Crear feed.

Para obtener más información sobre cómo configurar varios feeds para diferentes tipos de registros en esta familia de productos, consulta el artículo Configurar feeds por producto.

Referencia de asignación de campos

Este analizador extrae pares clave-valor de los registros del servidor de correo de Mimecast, clasifica la fase de la entrada de registro (RECEIPT, PROCESSING o DELIVERY) y asigna los campos extraídos al UDM. También lleva a cabo una lógica específica para gestionar los campos relacionados con la seguridad, determinar la acción, la categoría, la gravedad y los detalles relacionados del resultado de seguridad en función de valores como Act, RejType, SpamScore y Virus.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
acc metadata.product_log_id El valor de acc del registro sin procesar se asigna a metadata.product_log_id.
Act security_result.action Si Act es Acc, el campo de UDM se define como ALLOW. Si Act es Rej, el campo de UDM se define como BLOCK. Si Act es Hld o Sdbx, el campo de UDM se define como QUARANTINE.
AttNames about.file.full_path El campo AttNames se analiza, se eliminan las comillas y los espacios, y se divide en nombres de archivo individuales. A continuación, cada nombre de archivo se asigna a un campo about.file.full_path independiente dentro de un objeto about.
AttSize about.file.size El valor de AttSize se convierte en un número entero sin signo y se asigna a about.file.size.
Dir network.direction Si Dir es Internal o Inbound, el campo de UDM se define como INBOUND. Si Dir es External o Outbound, el campo de UDM se define como OUTBOUND. También se usa para rellenar una entrada detection_fields en security_result.
Err security_result.summary El valor de Err se asigna a security_result.summary.
Error security_result.summary El valor de Error se asigna a security_result.summary.
fileName principal.process.file.full_path El valor de fileName se asigna a principal.process.file.full_path.
filename_for_malachite principal.resource.name El valor de filename_for_malachite se asigna a principal.resource.name.
headerFrom network.email.from El valor de headerFrom se asigna a network.email.from si Sender no es una dirección de correo válida. También se usa para rellenar una entrada detection_fields en security_result.
IP principal.ip o target.ip Si stage es RECEIPT, el valor de IP se asigna a principal.ip. Si stage es DELIVERY, el valor de IP se asigna a target.ip.
MsgId network.email.mail_id El valor de MsgId se asigna a network.email.mail_id.
MsgSize network.received_bytes El valor de MsgSize se convierte en un número entero sin signo y se asigna a network.received_bytes.
Rcpt target.user.email_addresses, network.email.to El valor de Rcpt se añade a target.user.email_addresses. Si Rcpt es una dirección de correo válida, también se añade a network.email.to.
Recipient network.email.to El valor de Recipient se añade a network.email.to si Rcpt no es una dirección de correo válida.
RejCode security_result.description Se usa como parte del campo security_result.description.
RejInfo security_result.description Se usa como parte del campo security_result.description.
RejType security_result.description, security_result.category_details Se usa como parte del campo security_result.description. El valor de RejType también se asigna a security_result.category_details. Se usa para determinar security_result.category y security_result.severity.
Sender principal.user.email_addresses, network.email.from El valor de Sender se añade a principal.user.email_addresses. Si Sender es una dirección de correo válida, también se asignará a network.email.from. También se usa para rellenar una entrada detection_fields en security_result.
Snt network.sent_bytes El valor de Snt se convierte en un número entero sin signo y se asigna a network.sent_bytes.
SourceIP principal.ip Si stage es RECEIPT y IP está vacío, el valor de SourceIP se asigna a principal.ip.
SpamInfo security_result.severity_details Se usa como parte del campo security_result.severity_details.
SpamLimit security_result.severity_details Se usa como parte del campo security_result.severity_details.
SpamScore security_result.severity_details Se usa como parte del campo security_result.severity_details. También se usa para determinar security_result.severity si no se ha definido RejType.
Subject network.email.subject El valor de Subject se asigna a network.email.subject.
Virus security_result.threat_name El valor de Virus se asigna a security_result.threat_name. El valor predeterminado es EMAIL_TRANSACTION, pero se cambia a GENERIC_EVENT si ni Sender ni Recipient/Rcpt son direcciones de correo válidas. Siempre debe tener el valor Mimecast. Siempre debe tener el valor Mimecast MTA. Se define como Email %{stage}, donde stage se determina en función de la presencia y los valores de otros campos de registro. Siempre debe tener el valor MIMECAST_MAIL. Se define en función de RejType o SpamScore. El valor predeterminado es LOW si no hay ninguna disponible.
sha1 target.file.sha1 El valor de sha1 se asigna a target.file.sha1.
sha256 target.file.sha256 El valor de sha256 se asigna a target.file.sha256.
ScanResultInfo security_result.threat_name El valor de ScanResultInfo se asigna a security_result.threat_name.
Definition security_result.summary El valor de Definition se asigna a security_result.summary.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.