Coletar registros de e-mail do Mimecast

Compatível com:

Neste documento, descrevemos como coletar registros do Mimecast Secure Email Gateway configurando um feed do Google Security Operations.

Para mais informações, consulte Ingestão de dados no Google Security Operations.

Um rótulo de ingestão identifica o analisador que normaliza dados de registro brutos para o formato UDM estruturado. As informações neste documento se aplicam ao analisador com o rótulo de ingestão MIMECAST_MAIL.

Configurar o gateway de e-mail seguro da Mimecast

  1. Ative a geração de registros para a conta de login.
  2. Crie o aplicativo de API.
  3. Consiga o ID e a chave do aplicativo.

Ativar a geração de registros para a conta de login

  1. Faça login no console Mimecast Administration.
  2. No menu Conta, clique em Configurações da conta.
  3. Expanda Registro aprimorado.
  4. Selecione os tipos de registros a serem ativados:
    • Entrada: registra mensagens de remetentes externos para destinatários internos.
    • Saída: registra mensagens de remetentes internos para destinatários externos.
    • Interno: registra mensagens em domínios internos.
  5. Clique em Salvar para aplicar as alterações.

Criar o aplicativo de API

  1. Faça login no console Mimecast Administration.
  2. Clique em Adicionar aplicativo de API.
  3. Digite os seguintes detalhes:
    1. Nome do app.
    2. Descrição do aplicativo.
    3. Categoria: insira uma das seguintes categorias:
      • Integração com SIEM: oferece análise em tempo real dos alertas de segurança gerados pelo aplicativo.
      • Pedidos e provisionamento de MSPs: disponível para parceiros selecionados gerenciarem pedidos no portal de MSPs.
      • E-mail / Arquivamento: refere-se a mensagens e alertas armazenados no Mimecast.
      • Business Intelligence: permite que a infraestrutura e as ferramentas do aplicativo acessem e analisem informações para melhorar e otimizar decisões e performance.
      • Automação de processos: permite a automação de processos de negócios.
      • Outro: caso a solicitação não se encaixe em nenhuma outra categoria.
  4. Clique em Próxima.
  5. Especifique valores para os seguintes parâmetros de entrada:
    • Configuração do cabeçalho HTTP de autenticação:insira os detalhes de autenticação no seguinte formato: secret_key:{Access Secret}
      access_key:{Access key}
      app_id:{Application ID}
      app_key:{application key}
    • Nome do host da API:nome de domínio totalmente qualificado do endpoint de API do Mimecast. O formato típico é xx-api.mimecast.com. Se não for fornecido, ele será específico da região nos EUA e na Europa. Este campo não pode ficar vazio para outras regiões.
    • Namespace do recurso: o namespace do recurso.
    • Rótulos de ingestão: o rótulo aplicado aos eventos deste feed.
  6. Clique em Próxima.
  7. Revise as informações exibidas na página de resumo.
  8. Para corrigir erros, siga estas etapas:
    • Clique nos botões Editar ao lado de Detalhes ou Configurações.
    • Clique em Próxima e acesse a página Resumo novamente.

Receber o ID e a chave do aplicativo

  1. Clique em Aplicativo e em Serviços.
  2. Clique em Aplicativo de API.
  3. Selecione o aplicativo de API criado.
  4. Confira os detalhes do aplicativo.

Como criar acesso à API e chave secreta

Para informações sobre como gerar uma chave de acesso e uma chave secreta, consulte Como criar uma chave de associação de usuário.

Configurar feeds

Para configurar esse tipo de registro, siga estas etapas:

  1. Acesse Configurações do SIEM > Feeds.
  2. Clique em Adicionar novo feed.
  3. Clique no pacote de feeds Mimecast.

  4. Especifique os valores dos seguintes campos:

    • Tipo de origem: API de terceiros (recomendado)
    • Cabeçalho HTTP de autenticação: forneça o ID do aplicativo, a chave de acesso, o ID secreto e a chave do aplicativo.
    • Nome do host da API: especifique o nome de domínio do host do Mimecast.

    Opções avançadas

    • Nome do feed: um valor pré-preenchido que identifica o feed.
    • Namespace do recurso: namespace associado ao feed.
    • Rótulos de ingestão: rótulos aplicados a todos os eventos deste feed.

  5. Clique em Criar feed.

Para mais informações sobre como configurar vários feeds para diferentes tipos de registros nessa família de produtos, consulte Configurar feeds por produto.

Referência de mapeamento de campos

Esse analisador extrai pares de chave-valor dos registros do servidor de e-mail do Mimecast, categoriza a etapa da entrada de registro (RECEIPT, PROCESSING ou DELIVERY) e mapeia os campos extraídos para a UDM. Ele também realiza uma lógica específica para processar campos relacionados à segurança, determinando a ação, a categoria, a gravidade e os detalhes relacionados do resultado de segurança com base em valores como Act, RejType, SpamScore e Virus.

Tabela de mapeamento da UDM

Campo de registro Mapeamento do UDM Lógica
acc metadata.product_log_id O valor de acc do registro bruto é mapeado para metadata.product_log_id.
Act security_result.action Se Act for Acc, o campo UDM será definido como ALLOW. Se Act for Rej, o campo UDM será definido como BLOCK. Se Act for Hld ou Sdbx, o campo UDM será definido como QUARANTINE.
AttNames about.file.full_path O campo AttNames é analisado, removendo aspas e espaços, e dividido em nomes de arquivos individuais. Cada nome de arquivo é mapeado para um campo about.file.full_path separado em um objeto about.
AttSize about.file.size O valor de AttSize é convertido em um número inteiro sem sinal e mapeado para about.file.size.
Dir network.direction Se Dir for Internal ou Inbound, o campo UDM será definido como INBOUND. Se Dir for External ou Outbound, o campo UDM será definido como OUTBOUND. Também usado para preencher uma entrada detection_fields em security_result.
Err security_result.summary O valor de Err é mapeado para security_result.summary.
Error security_result.summary O valor de Error é mapeado para security_result.summary.
fileName principal.process.file.full_path O valor de fileName é mapeado para principal.process.file.full_path.
filename_for_malachite principal.resource.name O valor de filename_for_malachite é mapeado para principal.resource.name.
headerFrom network.email.from O valor de headerFrom é mapeado para network.email.from se Sender não for um endereço de e-mail válido. Também usado para preencher uma entrada detection_fields em security_result.
IP principal.ip ou target.ip Se stage for RECEIPT, o valor de IP será mapeado para principal.ip. Se stage for DELIVERY, o valor de IP será mapeado para target.ip.
MsgId network.email.mail_id O valor de MsgId é mapeado para network.email.mail_id.
MsgSize network.received_bytes O valor de MsgSize é convertido em um número inteiro sem sinal e mapeado para network.received_bytes.
Rcpt target.user.email_addresses, network.email.to O valor de Rcpt é adicionado a target.user.email_addresses. Se Rcpt for um endereço de e-mail válido, ele também será adicionado a network.email.to.
Recipient network.email.to O valor de Recipient é adicionado a network.email.to se Rcpt não for um endereço de e-mail válido.
RejCode security_result.description Usado como parte do campo security_result.description.
RejInfo security_result.description Usado como parte do campo security_result.description.
RejType security_result.description, security_result.category_details Usado como parte do campo security_result.description. O valor de RejType também é mapeado para security_result.category_details. Usado para determinar security_result.category e security_result.severity.
Sender principal.user.email_addresses, network.email.from O valor de Sender é adicionado a principal.user.email_addresses. Se Sender for um endereço de e-mail válido, ele também será mapeado para network.email.from. Também usado para preencher uma entrada detection_fields em security_result.
Snt network.sent_bytes O valor de Snt é convertido em um número inteiro sem sinal e mapeado para network.sent_bytes.
SourceIP principal.ip Se stage for RECEIPT e IP estiver vazio, o valor de SourceIP será mapeado para principal.ip.
SpamInfo security_result.severity_details Usado como parte do campo security_result.severity_details.
SpamLimit security_result.severity_details Usado como parte do campo security_result.severity_details.
SpamScore security_result.severity_details Usado como parte do campo security_result.severity_details. Também usado para determinar security_result.severity se RejType não estiver definido.
Subject network.email.subject O valor de Subject é mapeado para network.email.subject.
Virus security_result.threat_name O valor de Virus é mapeado para security_result.threat_name. Definido como EMAIL_TRANSACTION por padrão, mas mudado para GENERIC_EVENT se nem Sender nem Recipient/Rcpt forem endereços de e-mail válidos. Sempre definido como Mimecast. Sempre definido como Mimecast MTA. Definido como Email %{stage}, em que stage é determinado com base na presença e nos valores de outros campos de registro. Sempre definido como MIMECAST_MAIL. Definido com base em RejType ou SpamScore. O padrão é LOW se nenhum dos dois estiver disponível.
sha1 target.file.sha1 O valor de sha1 é mapeado para target.file.sha1.
sha256 target.file.sha256 O valor de sha256 é mapeado para target.file.sha256.
ScanResultInfo security_result.threat_name O valor de ScanResultInfo é mapeado para security_result.threat_name.
Definition security_result.summary O valor de Definition é mapeado para security_result.summary.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.