Raccogliere i log di Mimecast Mail

Supportato in:

Questo documento descrive come raccogliere i log di Mimecast Secure Email Gateway configurando un feed di Google Security Operations.

Per ulteriori informazioni, consulta Importazione dei dati in Google Security Operations.

Un'etichetta di importazione identifica il parser che normalizza i dati dei log non elaborati in formato UDM strutturato. Le informazioni contenute in questo documento si applicano al parser con l'etichetta di importazione MIMECAST_MAIL.

Configurare Mimecast Secure Email Gateway

  1. Abilita la registrazione per l'account di accesso.
  2. Crea l'applicazione API.
  3. Recupera l'ID applicazione e la chiave dell'applicazione.

Abilita la registrazione per l'account di accesso

  1. Accedi alla console Mimecast Administration.
  2. Nel menu Account, fai clic su Impostazioni account.
  3. Espandi Registrazione avanzata.
  4. Seleziona i tipi di log da attivare:
    • In entrata: registra i messaggi inviati da mittenti esterni a destinatari interni.
    • In uscita: registra i messaggi inviati da mittenti interni a destinatari esterni.
    • Interno: registra i messaggi all'interno dei domini interni.
  5. Fai clic su Salva per applicare le modifiche.

Crea l'applicazione API

  1. Accedi alla console Mimecast Administration.
  2. Fai clic su Aggiungi applicazione API.
  3. Inserisci i seguenti dettagli:
    1. Nome dell'applicazione.
    2. Descrizione dell'applicazione.
    3. Categoria: inserisci una delle seguenti categorie:
      • Integrazione SIEM: fornisce un'analisi in tempo reale degli avvisi di sicurezza generati dall'applicazione.
      • Ordinazione e provisioning MSP: disponibile per partner selezionati per gestire gli ordini nel portale MSP.
      • Email / Archiviazione: si riferisce a messaggi e avvisi archiviati in Mimecast.
      • Business Intelligence: consente all'infrastruttura e agli strumenti dell'applicazione di accedere e analizzare le informazioni per migliorare e ottimizzare le decisioni e il rendimento.
      • Automazione dei processi: consente di automatizzare i processi aziendali.
      • Altro: nel caso in cui la richiesta non rientri in nessun'altra categoria.
  4. Fai clic su Avanti.
  5. Specifica i valori per i seguenti parametri di input:
    • Configurazione dell'intestazione HTTP di autenticazione:inserisci i dettagli di autenticazione nel seguente formato: secret_key:{Access Secret}
      access_key:{Access key}
      app_id:{Application ID}
      app_key:{application key}
    • Nome host API:nome di dominio completo dell'endpoint API Mimecast. Il formato tipico è xx-api.mimecast.com. Se non viene fornito, sarà specifico per regione negli Stati Uniti e in Europa. Questo campo non può essere vuoto per altre regioni.
    • Spazio dei nomi dell'asset: lo spazio dei nomi dell'asset.
    • Etichette di importazione: l'etichetta applicata agli eventi di questo feed.
  6. Fai clic su Avanti.
  7. Esamina le informazioni visualizzate nella pagina Riepilogo.
  8. Per correggere gli errori:
    • Fai clic sui pulsanti Modifica accanto a Dettagli o Impostazioni.
    • Fai clic su Avanti e torna alla pagina Riepilogo.

Recuperare l'ID applicazione e la chiave dell'applicazione

  1. Fai clic su Applicazione e poi su Servizi.
  2. Fai clic su API Application (Applicazione API).
  3. Seleziona l'applicazione API creata.
  4. Visualizza i dettagli della richiesta.

Creazione dell'accesso API e della chiave segreta

Per informazioni sulla generazione della chiave di accesso e della chiave segreta, vedi Creare la chiave di associazione utente.

Configurare i feed

Per configurare questo tipo di log:

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo feed.
  3. Fai clic sul pacchetto di feed Mimecast.

  4. Specifica i valori per i seguenti campi:

    • Tipo di origine: API di terze parti (consigliato)
    • Intestazione HTTP di autenticazione: fornisci l'ID applicazione, la chiave di accesso, l'ID segreto e la chiave applicazione.
    • Nome host API: specifica il nome di dominio del tuo host Mimecast.

    Opzioni avanzate

    • Nome feed: un valore precompilato che identifica il feed.
    • Spazio dei nomi dell'asset: spazio dei nomi associato al feed.
    • Etichette di importazione: etichette applicate a tutti gli eventi di questo feed.

  5. Fai clic su Crea feed.

Per ulteriori informazioni sulla configurazione di più feed per diversi tipi di log all'interno di questa famiglia di prodotti, consulta Configurare i feed per prodotto.

Riferimento alla mappatura dei campi

Questo parser estrae le coppie chiave-valore dai log del server di posta Mimecast, classifica la fase della voce di log (RECEIPT, PROCESSING o DELIVERY) e mappa i campi estratti all'UDM. Esegue anche una logica specifica per gestire i campi correlati alla sicurezza, determinando l'azione, la categoria, la gravità e i dettagli correlati del risultato di sicurezza in base a valori come Act, RejType, SpamScore e Virus.

Tabella di mappatura UDM

Campo log Mappatura UDM Logic
acc metadata.product_log_id Il valore di acc del log non elaborato viene mappato a metadata.product_log_id.
Act security_result.action Se Act è Acc, il campo UDM è impostato su ALLOW. Se Act è Rej, il campo UDM è impostato su BLOCK. Se Act è Hld o Sdbx, il campo UDM è impostato su QUARANTINE.
AttNames about.file.full_path Il campo AttNames viene analizzato, rimuovendo virgolette e spazi e suddiviso in singoli nomi di file. Ogni nome file viene quindi mappato a un campo about.file.full_path separato all'interno di un oggetto about.
AttSize about.file.size Il valore di AttSize viene convertito in un numero intero senza segno e mappato su about.file.size.
Dir network.direction Se Dir è Internal o Inbound, il campo UDM è impostato su INBOUND. Se Dir è External o Outbound, il campo UDM è impostato su OUTBOUND. Utilizzato anche per compilare una voce detection_fields in security_result.
Err security_result.summary Il valore di Err è mappato a security_result.summary.
Error security_result.summary Il valore di Error è mappato a security_result.summary.
fileName principal.process.file.full_path Il valore di fileName è mappato a principal.process.file.full_path.
filename_for_malachite principal.resource.name Il valore di filename_for_malachite è mappato a principal.resource.name.
headerFrom network.email.from Il valore di headerFrom viene mappato a network.email.from se Sender non è un indirizzo email valido. Utilizzato anche per compilare una voce detection_fields in security_result.
IP principal.ip o target.ip Se stage è RECEIPT, il valore di IP viene mappato a principal.ip. Se stage è DELIVERY, il valore di IP viene mappato a target.ip.
MsgId network.email.mail_id Il valore di MsgId è mappato a network.email.mail_id.
MsgSize network.received_bytes Il valore di MsgSize viene convertito in un numero intero senza segno e mappato su network.received_bytes.
Rcpt target.user.email_addresses, network.email.to Il valore di Rcpt viene aggiunto a target.user.email_addresses. Se Rcpt è un indirizzo email valido, viene aggiunto anche a network.email.to.
Recipient network.email.to Il valore di Recipient viene aggiunto a network.email.to se Rcpt non è un indirizzo email valido.
RejCode security_result.description Utilizzato come parte del campo security_result.description.
RejInfo security_result.description Utilizzato come parte del campo security_result.description.
RejType security_result.description, security_result.category_details Utilizzato come parte del campo security_result.description. Il valore di RejType viene mappato anche a security_result.category_details. Utilizzato per determinare security_result.category e security_result.severity.
Sender principal.user.email_addresses, network.email.from Il valore di Sender viene aggiunto a principal.user.email_addresses. Se Sender è un indirizzo email valido, viene mappato anche su network.email.from. Utilizzato anche per compilare una voce detection_fields in security_result.
Snt network.sent_bytes Il valore di Snt viene convertito in un numero intero senza segno e mappato su network.sent_bytes.
SourceIP principal.ip Se stage è RECEIPT e IP è vuoto, il valore di SourceIP viene mappato a principal.ip.
SpamInfo security_result.severity_details Utilizzato come parte del campo security_result.severity_details.
SpamLimit security_result.severity_details Utilizzato come parte del campo security_result.severity_details.
SpamScore security_result.severity_details Utilizzato come parte del campo security_result.severity_details. Viene utilizzato anche per determinare security_result.severity se RejType non è impostato.
Subject network.email.subject Il valore di Subject è mappato a network.email.subject.
Virus security_result.threat_name Il valore di Virus è mappato a security_result.threat_name. Impostato su EMAIL_TRANSACTION per impostazione predefinita, ma modificato in GENERIC_EVENT se né SenderRecipient/Rcpt sono indirizzi email validi. Sempre impostato su Mimecast. Sempre impostato su Mimecast MTA. Impostato su Email %{stage}, dove stage è determinato in base alla presenza e ai valori di altri campi di log. Sempre impostato su MIMECAST_MAIL. Impostato in base a RejType o SpamScore. Se nessuno dei due è disponibile, il valore predefinito è LOW.
sha1 target.file.sha1 Il valore di sha1 è mappato a target.file.sha1.
sha256 target.file.sha256 Il valore di sha256 è mappato a target.file.sha256.
ScanResultInfo security_result.threat_name Il valore di ScanResultInfo è mappato a security_result.threat_name.
Definition security_result.summary Il valore di Definition è mappato a security_result.summary.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.