Recolha registos de email do Mimecast

Compatível com:

Este documento descreve como pode recolher registos do Mimecast Secure Email Gateway configurando um feed do Google Security Operations.

Para mais informações, consulte o artigo Ingestão de dados no Google Security Operations.

Uma etiqueta de carregamento identifica o analisador que normaliza os dados de registo não processados para o formato UDM estruturado. As informações neste documento aplicam-se ao analisador com a etiqueta de carregamento MIMECAST_MAIL.

Configure o gateway de email seguro da Mimecast

  1. Ative o registo para a conta de início de sessão.
  2. Crie a aplicação API.
  3. Obtenha o ID da aplicação e a chave da aplicação.

Ative o registo para a conta de início de sessão

  1. Inicie sessão na consola de administração do Mimecast.
  2. No menu Conta, clique em Definições da conta.
  3. Expanda Registo melhorado.
  4. Selecione os tipos de registos a ativar:
    • Recebidas: regista mensagens de remetentes externos para destinatários internos.
    • Saída: regista mensagens de remetentes internos para destinatários externos.
    • Interno: regista mensagens em domínios internos.
  5. Clique em Guardar para aplicar as alterações.

Crie a aplicação API

  1. Inicie sessão na consola de administração do Mimecast.
  2. Clique em Adicionar aplicação API.
  3. Introduza os seguintes detalhes:
    1. Nome da aplicação.
    2. Descrição da aplicação.
    3. Categoria: introduza uma das seguintes categorias:
      • Integração do SIEM: fornece uma análise em tempo real dos alertas de segurança gerados pela aplicação.
      • Encomendas e aprovisionamento de MSPs: disponível para parceiros selecionados para gerir encomendas no portal de MSPs.
      • Email / arquivo: refere-se a mensagens e alertas armazenados no Mimecast.
      • Inteligência empresarial: permite que a infraestrutura e as ferramentas da aplicação acedam e analisem informações para melhorar e otimizar as decisões e o desempenho.
      • Automatização de processos: permite a automatização de processos empresariais.
      • Outro: caso a aplicação não se enquadre em nenhuma outra categoria.
  4. Clicar em Seguinte.
  5. Especifique valores para os seguintes parâmetros de entrada:
    • Configuração do cabeçalho HTTP de autenticação: introduza os detalhes de autenticação no seguinte formato: secret_key:{Access Secret}
      access_key:{Access key}
      app_id:{Application ID}
      app_key:{application key}
    • Nome de anfitrião da API: nome do domínio totalmente qualificado do seu ponto final da API Mimecast. O formato típico é xx-api.mimecast.com. Se não for fornecido, é específico da região nos EUA e na Europa. Este campo não pode estar vazio para outras regiões.
    • Espaço de nomes do recurso: o espaço de nomes do recurso.
    • Etiquetas de carregamento: a etiqueta aplicada aos eventos deste feed.
  6. Clicar em Seguinte.
  7. Reveja as informações apresentadas na página de resumo.
  8. Para corrigir erros, siga estes passos:
    • Clique nos botões Editar junto a Detalhes ou Definições.
    • Clique em Seguinte e aceda novamente à página Resumo.

Obtenha o ID da aplicação e a chave da aplicação

  1. Clique em Aplicação e, de seguida, em Serviços.
  2. Clique em Aplicação API.
  3. Selecione a aplicação API criada.
  4. Veja os detalhes da candidatura.

Criar acesso à API e chave secreta

Para obter informações sobre como gerar a chave de acesso e a chave secreta, consulte o artigo Criar chave de associação de utilizadores.

Configure feeds

Para configurar este tipo de registo, siga estes passos:

  1. Aceda a Definições do SIEM > Feeds.
  2. Clique em Adicionar novo feed.
  3. Clique no pacote de feeds Mimecast.

  4. Especifique os valores para os seguintes campos:

    • Tipo de origem: API de terceiros (recomendado)
    • Cabeçalho HTTP de autenticação: forneça o ID da aplicação, a chave de acesso, o ID secreto e a chave da aplicação.
    • Nome do anfitrião da API: especifique o nome do domínio do seu anfitrião do Mimecast.

    Opções avançadas

    • Nome do feed: um valor pré-preenchido que identifica o feed.
    • Espaço de nomes do recurso: espaço de nomes associado ao feed.
    • Etiquetas de carregamento: etiquetas aplicadas a todos os eventos deste feed.

  5. Clique em Criar feed.

Para mais informações sobre a configuração de vários feeds para diferentes tipos de registos nesta família de produtos, consulte o artigo Configure feeds por produto.

Referência de mapeamento de campos

Este analisador extrai pares de chave-valor dos registos do servidor de email do Mimecast, categoriza a fase de entrada do registo (RECEIPT, PROCESSING ou DELIVERY) e mapeia os campos extraídos para o UDM. Também executa uma lógica específica para processar campos relacionados com a segurança, determinando a ação, a categoria, a gravidade e os detalhes relacionados do resultado de segurança com base em valores como Act, RejType, SpamScore e Virus.

Tabela de mapeamento do UDM

Campo de registo Mapeamento de UDM Lógica
acc metadata.product_log_id O valor de acc do registo não processado é mapeado para metadata.product_log_id.
Act security_result.action Se Act for Acc, o campo UDM é definido como ALLOW. Se Act for Rej, o campo UDM é definido como BLOCK. Se Act for Hld ou Sdbx, o campo UDM é definido como QUARANTINE.
AttNames about.file.full_path O campo AttNames é analisado, removendo as aspas e os espaços, e dividido em nomes de ficheiros individuais. Em seguida, cada nome de ficheiro é mapeado para um campo about.file.full_path separado num objeto about.
AttSize about.file.size O valor de AttSize é convertido num número inteiro sem sinal e mapeado para about.file.size.
Dir network.direction Se Dir for Internal ou Inbound, o campo UDM é definido como INBOUND. Se Dir for External ou Outbound, o campo UDM é definido como OUTBOUND. Também é usado para preencher uma entrada detection_fields em security_result.
Err security_result.summary O valor de Err está mapeado para security_result.summary.
Error security_result.summary O valor de Error está mapeado para security_result.summary.
fileName principal.process.file.full_path O valor de fileName está mapeado para principal.process.file.full_path.
filename_for_malachite principal.resource.name O valor de filename_for_malachite está mapeado para principal.resource.name.
headerFrom network.email.from O valor de headerFrom é mapeado para network.email.from se Sender não for um endereço de email válido. Também é usado para preencher uma entrada detection_fields em security_result.
IP principal.ip ou target.ip Se stage for RECEIPT, o valor de IP é mapeado para principal.ip. Se stage for DELIVERY, o valor de IP é mapeado para target.ip.
MsgId network.email.mail_id O valor de MsgId está mapeado para network.email.mail_id.
MsgSize network.received_bytes O valor de MsgSize é convertido num número inteiro sem sinal e mapeado para network.received_bytes.
Rcpt target.user.email_addresses, network.email.to O valor de Rcpt é adicionado a target.user.email_addresses. Se Rcpt for um endereço de email válido, também é adicionado a network.email.to.
Recipient network.email.to O valor de Recipient é adicionado a network.email.to se Rcpt não for um endereço de email válido.
RejCode security_result.description Usado como parte do campo security_result.description.
RejInfo security_result.description Usado como parte do campo security_result.description.
RejType security_result.description, security_result.category_details Usado como parte do campo security_result.description. O valor de RejType também está mapeado para security_result.category_details. Usado para determinar security_result.category e security_result.severity.
Sender principal.user.email_addresses, network.email.from O valor de Sender é adicionado a principal.user.email_addresses. Se Sender for um endereço de email válido, também é mapeado para network.email.from. Também é usado para preencher uma entrada detection_fields em security_result.
Snt network.sent_bytes O valor de Snt é convertido num número inteiro sem sinal e mapeado para network.sent_bytes.
SourceIP principal.ip Se stage for RECEIPT e IP estiver vazio, o valor de SourceIP é mapeado para principal.ip.
SpamInfo security_result.severity_details Usado como parte do campo security_result.severity_details.
SpamLimit security_result.severity_details Usado como parte do campo security_result.severity_details.
SpamScore security_result.severity_details Usado como parte do campo security_result.severity_details. Também é usado para determinar security_result.severity se RejType não estiver definido.
Subject network.email.subject O valor de Subject está mapeado para network.email.subject.
Virus security_result.threat_name O valor de Virus está mapeado para security_result.threat_name. A predefinição é EMAIL_TRANSACTION, mas é alterada para GENERIC_EVENT se nem Sender nem Recipient/Rcpt forem endereços de email válidos. Está sempre definido como Mimecast. Está sempre definido como Mimecast MTA. Definido como Email %{stage}, em que stage é determinado com base na presença e nos valores de outros campos de registo. Está sempre definido como MIMECAST_MAIL. Definido com base em RejType ou SpamScore. A predefinição é LOW se nenhuma das opções estiver disponível.
sha1 target.file.sha1 O valor de sha1 está mapeado para target.file.sha1.
sha256 target.file.sha256 O valor de sha256 está mapeado para target.file.sha256.
ScanResultInfo security_result.threat_name O valor de ScanResultInfo está mapeado para security_result.threat_name.
Definition security_result.summary O valor de Definition está mapeado para security_result.summary.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.