Mengumpulkan log Mimecast Mail

Didukung di:

Dokumen ini menjelaskan cara mengumpulkan log Mimecast Secure Email Gateway dengan menyiapkan feed Google Security Operations.

Untuk mengetahui informasi selengkapnya, lihat Penyerapan data ke Google Security Operations.

Label penyerapan mengidentifikasi parser yang menormalisasi data log mentah ke format UDM terstruktur. Informasi dalam dokumen ini berlaku untuk parser dengan label penyerapan MIMECAST_MAIL.

Mengonfigurasi Mimecast Secure Email Gateway

  1. Aktifkan logging untuk akun login.
  2. Buat aplikasi API.
  3. Dapatkan ID aplikasi dan kunci aplikasi.

Mengaktifkan logging untuk akun login

  1. Login ke konsol Mimecast Administration.
  2. Di menu Akun, klik Setelan Akun.
  3. Luaskan Enhanced Logging.
  4. Pilih jenis log yang akan diaktifkan:
    • Masuk: mencatat pesan dari pengirim eksternal ke penerima internal.
    • Keluar: mencatat pesan dari pengirim internal ke penerima eksternal.
    • Internal: mencatat pesan dalam domain internal.
  5. Klik Save untuk menerapkan perubahan.

Buat aplikasi API

  1. Login ke konsol Mimecast Administration.
  2. Klik Tambahkan Aplikasi API.
  3. Masukkan detail berikut:
    1. Nama aplikasi.
    2. Deskripsi untuk aplikasi.
    3. Kategori: Masukkan salah satu kategori berikut:
      • Integrasi SIEM: memberikan analisis real-time atas notifikasi keamanan yang dihasilkan oleh aplikasi.
      • Pemesanan dan Penyediaan MSP: tersedia bagi partner tertentu untuk mengelola pesanan di MSP Portal.
      • Email / Pengarsipan: mengacu pada pesan dan pemberitahuan yang disimpan di Mimecast.
      • Business Intelligence: memungkinkan infrastruktur dan alat aplikasi mengakses dan menganalisis informasi untuk meningkatkan dan mengoptimalkan keputusan dan performa.
      • Otomatisasi Proses: memungkinkan otomatisasi proses bisnis.
      • Lainnya: jika aplikasi tidak sesuai dengan kategori lainnya.
  4. Klik Berikutnya.
  5. Tentukan nilai untuk parameter input berikut:
    • Konfigurasi Header HTTP Autentikasi: masukkan detail autentikasi dalam format berikut: secret_key:{Access Secret}
      access_key:{Access key}
      app_id:{Application ID}
      app_key:{application key}
    • Nama Host API: nama domain yang memenuhi syarat sepenuhnya dari endpoint Mimecast API Anda. Format umumnya adalah xx-api.mimecast.com. Jika tidak diberikan, harga akan spesifik per wilayah di Amerika Serikat dan Eropa. Kolom ini tidak boleh kosong untuk wilayah lain.
    • Namespace aset: namespace aset.
    • Label penyerapan: label yang diterapkan ke peristiwa dari feed ini.
  6. Klik Berikutnya.
  7. Tinjau informasi yang ditampilkan di Halaman Ringkasan.
  8. Untuk memperbaiki error, ikuti langkah-langkah berikut:
    • Klik tombol Edit di samping Detail atau Setelan.
    • Klik Berikutnya dan buka halaman Ringkasan lagi.

Mendapatkan ID aplikasi dan kunci aplikasi

  1. Klik Aplikasi, lalu klik Layanan.
  2. Klik API Application.
  3. Pilih aplikasi API yang dibuat.
  4. Lihat detail aplikasi.

Membuat kunci akses dan kunci rahasia API

Untuk mengetahui informasi tentang cara membuat kunci akses dan kunci rahasia, lihat Membuat Kunci Asosiasi Pengguna.

Menyiapkan feed

Untuk mengonfigurasi jenis log ini, ikuti langkah-langkah berikut:

  1. Buka Setelan SIEM > Feed.
  2. Klik Tambahkan Feed Baru.
  3. Klik paket feed Mimecast.

  4. Tentukan nilai untuk kolom berikut:

    • Jenis Sumber: API pihak ketiga (direkomendasikan)
    • Header HTTP autentikasi: berikan ID aplikasi, kunci akses, ID rahasia, dan kunci aplikasi.
    • Nama Host API: tentukan nama domain host Mimecast Anda.

    Opsi lanjutan

    • Nama Feed: Nilai yang telah diisi otomatis yang mengidentifikasi feed.
    • Namespace Aset: Namespace yang terkait dengan feed.
    • Label Penyerapan: Label yang diterapkan ke semua peristiwa dari feed ini.

  5. Klik Buat Feed.

Untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi beberapa feed untuk berbagai jenis log dalam keluarga produk ini, lihat Mengonfigurasi feed menurut produk.

Referensi pemetaan kolom

Parser ini mengekstrak key-value pair dari log server email Mimecast, mengategorikan tahap entri log (PENERIMAAN, PEMROSESAN, atau PENGIRIMAN), dan memetakan kolom yang diekstrak ke UDM. Fungsi ini juga menjalankan logika tertentu untuk menangani kolom terkait keamanan, menentukan tindakan hasil keamanan, kategori, tingkat keparahan, dan detail terkait berdasarkan nilai seperti Act, RejType, SpamScore, dan Virus.

Tabel pemetaan UDM

Kolom Log Pemetaan UDM Logika
acc metadata.product_log_id Nilai acc dari log mentah dipetakan ke metadata.product_log_id.
Act security_result.action Jika Act adalah Acc, kolom UDM ditetapkan ke ALLOW. Jika Act adalah Rej, kolom UDM ditetapkan ke BLOCK. Jika Act adalah Hld atau Sdbx, kolom UDM akan ditetapkan ke QUARANTINE.
AttNames about.file.full_path Kolom AttNames diuraikan, menghapus tanda petik dan spasi, serta dibagi menjadi nama file individual. Setiap nama file kemudian dipetakan ke kolom about.file.full_path terpisah dalam objek about.
AttSize about.file.size Nilai AttSize dikonversi menjadi bilangan bulat yang tidak bertanda tangan dan dipetakan ke about.file.size.
Dir network.direction Jika Dir adalah Internal atau Inbound, kolom UDM akan ditetapkan ke INBOUND. Jika Dir adalah External atau Outbound, kolom UDM akan ditetapkan ke OUTBOUND. Juga digunakan untuk mengisi entri detection_fields di security_result.
Err security_result.summary Nilai Err dipetakan ke security_result.summary.
Error security_result.summary Nilai Error dipetakan ke security_result.summary.
fileName principal.process.file.full_path Nilai fileName dipetakan ke principal.process.file.full_path.
filename_for_malachite principal.resource.name Nilai filename_for_malachite dipetakan ke principal.resource.name.
headerFrom network.email.from Nilai headerFrom dipetakan ke network.email.from jika Sender bukan alamat email yang valid. Juga digunakan untuk mengisi entri detection_fields di security_result.
IP principal.ip atau target.ip Jika stage adalah RECEIPT, nilai IP dipetakan ke principal.ip. Jika stage adalah DELIVERY, nilai IP dipetakan ke target.ip.
MsgId network.email.mail_id Nilai MsgId dipetakan ke network.email.mail_id.
MsgSize network.received_bytes Nilai MsgSize dikonversi menjadi bilangan bulat yang tidak bertanda tangan dan dipetakan ke network.received_bytes.
Rcpt target.user.email_addresses, network.email.to Nilai Rcpt ditambahkan ke target.user.email_addresses. Jika Rcpt adalah alamat email yang valid, alamat email tersebut juga ditambahkan ke network.email.to.
Recipient network.email.to Nilai Recipient ditambahkan ke network.email.to jika Rcpt bukan alamat email yang valid.
RejCode security_result.description Digunakan sebagai bagian dari kolom security_result.description.
RejInfo security_result.description Digunakan sebagai bagian dari kolom security_result.description.
RejType security_result.description, security_result.category_details Digunakan sebagai bagian dari kolom security_result.description. Nilai RejType juga dipetakan ke security_result.category_details. Digunakan untuk menentukan security_result.category dan security_result.severity.
Sender principal.user.email_addresses, network.email.from Nilai Sender ditambahkan ke principal.user.email_addresses. Jika Sender adalah alamat email yang valid, alamat email tersebut juga dipetakan ke network.email.from. Juga digunakan untuk mengisi entri detection_fields di security_result.
Snt network.sent_bytes Nilai Snt dikonversi menjadi bilangan bulat yang tidak bertanda tangan dan dipetakan ke network.sent_bytes.
SourceIP principal.ip Jika stage adalah RECEIPT dan IP kosong, nilai SourceIP dipetakan ke principal.ip.
SpamInfo security_result.severity_details Digunakan sebagai bagian dari kolom security_result.severity_details.
SpamLimit security_result.severity_details Digunakan sebagai bagian dari kolom security_result.severity_details.
SpamScore security_result.severity_details Digunakan sebagai bagian dari kolom security_result.severity_details. Juga digunakan untuk menentukan security_result.severity jika RejType tidak disetel.
Subject network.email.subject Nilai Subject dipetakan ke network.email.subject.
Virus security_result.threat_name Nilai Virus dipetakan ke security_result.threat_name. Disetel ke EMAIL_TRANSACTION secara default, tetapi diubah menjadi GENERIC_EVENT jika Sender maupun Recipient/Rcpt bukan alamat email yang valid. Selalu ditetapkan ke Mimecast. Selalu ditetapkan ke Mimecast MTA. Ditetapkan ke Email %{stage}, dengan stage ditentukan berdasarkan keberadaan dan nilai kolom log lainnya. Selalu ditetapkan ke MIMECAST_MAIL. Tetapkan berdasarkan RejType atau SpamScore. Nilai defaultnya adalah LOW jika keduanya tidak tersedia.
sha1 target.file.sha1 Nilai sha1 dipetakan ke target.file.sha1.
sha256 target.file.sha256 Nilai sha256 dipetakan ke target.file.sha256.
ScanResultInfo security_result.threat_name Nilai ScanResultInfo dipetakan ke security_result.threat_name.
Definition security_result.summary Nilai Definition dipetakan ke security_result.summary.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.