Recopila registros de Mimecast Mail

Compatible con:

En este documento, se describe cómo puedes recopilar registros de Mimecast Secure Email Gateway configurando un feed de Google Security Operations.

Para obtener más información, consulta Transferencia de datos a Google Security Operations.

Una etiqueta de transferencia identifica el analizador que normaliza los datos de registro sin procesar en formato UDM estructurado. La información de este documento se aplica al analizador con la etiqueta de transferencia MIMECAST_MAIL.

Configura la puerta de enlace de correo electrónico seguro de Mimecast

  1. Habilita el registro para la cuenta de acceso.
  2. Crea la aplicación de la API.
  3. Obtén el ID y la clave de la aplicación.

Habilita el registro para la cuenta de acceso

  1. Accede a la consola de Mimecast Administration.
  2. En el menú Cuenta, haz clic en Configuración de la cuenta.
  3. Expande Registro mejorado.
  4. Selecciona los tipos de registros que deseas habilitar:
    • Entrante: Registra los mensajes de remitentes externos a destinatarios internos.
    • Salientes: Registra los mensajes de remitentes internos a destinatarios externos.
    • Internal: Registra mensajes dentro de dominios internos.
  5. Haz clic en Guardar para aplicar los cambios.

Crea la aplicación de la API

  1. Accede a la consola de Mimecast Administration.
  2. Haz clic en Add API Application.
  3. Ingresa los siguientes detalles:
    1. Es el nombre de la aplicación.
    2. Es la descripción de la aplicación.
    3. Categoría: Ingresa una de las siguientes categorías:
      • Integración de SIEM: Proporciona un análisis en tiempo real de las alertas de seguridad que genera la aplicación.
      • Pedidos y aprovisionamiento de MSP: Disponible para socios seleccionados para administrar pedidos en el portal de MSP.
      • Correo electrónico / Archivado: Se refiere a los mensajes y las alertas almacenados en Mimecast.
      • Inteligencia empresarial: Permite que la infraestructura y las herramientas de la aplicación accedan a la información y la analicen para mejorar y optimizar las decisiones y el rendimiento.
      • Automatización de procesos: Permite automatizar procesos empresariales.
      • Otro: Se usa en caso de que la aplicación no se ajuste a ninguna otra categoría.
  4. Haz clic en Siguiente.
  5. Especifica valores para los siguientes parámetros de entrada:
    • Configuración del encabezado HTTP de autenticación: Ingresa los detalles de autenticación en el siguiente formato: secret_key:{Access Secret}
      access_key:{Access key}
      app_id:{Application ID}
      app_key:{application key}
    • Nombre de host de la API: Es el nombre de dominio completamente calificado de tu extremo de API de Mimecast. El formato típico es xx-api.mimecast.com. Si no se proporciona, será específico de la región en EE.UU. y Europa. Este campo no puede estar vacío para otras regiones.
    • Espacio de nombres del recurso: Es el espacio de nombres del recurso.
    • Etiquetas de transferencia: Es la etiqueta que se aplica a los eventos de este feed.
  6. Haz clic en Siguiente.
  7. Revisa la información que se muestra en la página de resumen.
  8. Para corregir los errores, sigue estos pasos:
    • Haz clic en los botones Editar junto a Detalles o Configuración.
    • Haz clic en Siguiente y vuelve a la página Resumen.

Obtén el ID y la clave de la aplicación

  1. Haz clic en Aplicación y, luego, en Servicios.
  2. Haz clic en API Application.
  3. Selecciona la aplicación de API creada.
  4. Consulta los detalles de la aplicación.

Cómo crear una clave secreta y de acceso a la API

Para obtener información sobre cómo generar una clave de acceso y una clave secreta, consulta Cómo crear una clave de asociación de usuario.

Configura feeds

Para configurar este tipo de registro, sigue estos pasos:

  1. Ve a SIEM Settings > Feeds.
  2. Haz clic en Agregar feed nuevo.
  3. Haz clic en el paquete de feeds de Mimecast.

  4. Especifica los valores para los siguientes campos:

    • Tipo de fuente: API de terceros (recomendado)
    • Encabezado HTTP de autenticación: Proporciona el ID de la aplicación, la clave de acceso, el ID secreto y la clave de la aplicación.
    • Nombre de host de la API: Especifica el nombre de dominio de tu host de Mimecast.

    Opciones avanzadas

    • Nombre del feed: Es un valor completado previamente que identifica el feed.
    • Espacio de nombres del recurso: Espacio de nombres asociado al feed.
    • Etiquetas de transferencia: Son las etiquetas que se aplican a todos los eventos de este feed.

  5. Haz clic en Crear feed.

Para obtener más información sobre cómo configurar varios feeds para diferentes tipos de registros dentro de esta familia de productos, consulta Configura feeds por producto.

Referencia de la asignación de campos

Este analizador extrae pares clave-valor de los registros del servidor de correo electrónico de Mimecast, categoriza la etapa de la entrada de registro (RECEIPT, PROCESSING o DELIVERY) y asigna los campos extraídos al UDM. También realiza una lógica específica para controlar los campos relacionados con la seguridad, y determina la acción, la categoría, la gravedad y los detalles relacionados del resultado de seguridad en función de valores como Act, RejType, SpamScore y Virus.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
acc metadata.product_log_id El valor de acc del registro sin procesar se asigna a metadata.product_log_id.
Act security_result.action Si Act es Acc, el campo del UDM se establece en ALLOW. Si Act es Rej, el campo del UDM se establece en BLOCK. Si Act es Hld o Sdbx, el campo del UDM se establece en QUARANTINE.
AttNames about.file.full_path El campo AttNames se analiza, se quitan las comillas y los espacios, y se divide en nombres de archivos individuales. Luego, cada nombre de archivo se asigna a un campo about.file.full_path independiente dentro de un objeto about.
AttSize about.file.size El valor de AttSize se convierte en un número entero sin signo y se asigna a about.file.size.
Dir network.direction Si Dir es Internal o Inbound, el campo del UDM se establece en INBOUND. Si Dir es External o Outbound, el campo del UDM se establece en OUTBOUND. También se usa para completar una entrada detection_fields en security_result.
Err security_result.summary El valor de Err se asigna a security_result.summary.
Error security_result.summary El valor de Error se asigna a security_result.summary.
fileName principal.process.file.full_path El valor de fileName se asigna a principal.process.file.full_path.
filename_for_malachite principal.resource.name El valor de filename_for_malachite se asigna a principal.resource.name.
headerFrom network.email.from El valor de headerFrom se asigna a network.email.from si Sender no es una dirección de correo electrónico válida. También se usa para completar una entrada detection_fields en security_result.
IP principal.ip o target.ip Si stage es RECEIPT, el valor de IP se asigna a principal.ip. Si stage es DELIVERY, el valor de IP se asigna a target.ip.
MsgId network.email.mail_id El valor de MsgId se asigna a network.email.mail_id.
MsgSize network.received_bytes El valor de MsgSize se convierte en un número entero sin signo y se asigna a network.received_bytes.
Rcpt target.user.email_addresses, network.email.to El valor de Rcpt se agrega a target.user.email_addresses. Si Rcpt es una dirección de correo electrónico válida, también se agrega a network.email.to.
Recipient network.email.to El valor de Recipient se agrega a network.email.to si Rcpt no es una dirección de correo electrónico válida.
RejCode security_result.description Se usa como parte del campo security_result.description.
RejInfo security_result.description Se usa como parte del campo security_result.description.
RejType security_result.description, security_result.category_details Se usa como parte del campo security_result.description. El valor de RejType también se asigna a security_result.category_details. Se usa para determinar security_result.category y security_result.severity.
Sender principal.user.email_addresses, network.email.from El valor de Sender se agrega a principal.user.email_addresses. Si Sender es una dirección de correo electrónico válida, también se asigna a network.email.from. También se usa para completar una entrada detection_fields en security_result.
Snt network.sent_bytes El valor de Snt se convierte en un número entero sin signo y se asigna a network.sent_bytes.
SourceIP principal.ip Si stage es RECEIPT y IP está vacío, el valor de SourceIP se asigna a principal.ip.
SpamInfo security_result.severity_details Se usa como parte del campo security_result.severity_details.
SpamLimit security_result.severity_details Se usa como parte del campo security_result.severity_details.
SpamScore security_result.severity_details Se usa como parte del campo security_result.severity_details. También se usa para determinar security_result.severity si no se configuró RejType.
Subject network.email.subject El valor de Subject se asigna a network.email.subject.
Virus security_result.threat_name El valor de Virus se asigna a security_result.threat_name. Se establece en EMAIL_TRANSACTION de forma predeterminada, pero cambia a GENERIC_EVENT si ni Sender ni Recipient/Rcpt son direcciones de correo electrónico válidas. Siempre se establece en Mimecast. Siempre se establece en Mimecast MTA. Se establece en Email %{stage}, donde stage se determina en función de la presencia y los valores de otros campos de registro. Siempre se establece en MIMECAST_MAIL. Se establece en función de RejType o SpamScore. El valor predeterminado es LOW si ninguno de los dos está disponible.
sha1 target.file.sha1 El valor de sha1 se asigna a target.file.sha1.
sha256 target.file.sha256 El valor de sha256 se asigna a target.file.sha256.
ScanResultInfo security_result.threat_name El valor de ScanResultInfo se asigna a security_result.threat_name.
Definition security_result.summary El valor de Definition se asigna a security_result.summary.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.