Collecter les journaux de la passerelle de messagerie sécurisée Mimecast

Compatible avec:

Ce document explique comment collecter les journaux de la passerelle de messagerie sécurisée Mimecast en configurant un flux Google Security Operations.

Pour en savoir plus, consultez Ingestion de données dans Google Security Operations.

Un libellé d'ingestion identifie l'analyseur qui normalise les données de journal brutes au format UDM structuré. Les informations de ce document s'appliquent à l'analyseur avec le libellé d'ingestion MIMECAST_MAIL.

Configurer la passerelle de messagerie sécurisée Mimecast

  1. Activez la journalisation pour le compte de connexion.
  2. Créez l'application de l'API.
  3. Obtenez l'ID application et la clé de l'application.

Activer la journalisation pour le compte de connexion

  1. Connectez-vous à la console Mimecast Administration.
  2. Dans le menu Compte, cliquez sur Paramètres du compte.
  3. Développez Journalisation améliorée.
  4. Sélectionnez les types de journaux à activer :
    • Entrants: consigne les messages envoyés par des expéditeurs externes à des destinataires internes.
    • Sortants: consigne les messages envoyés par des expéditeurs internes à des destinataires externes.
    • Interne: consigne les messages dans les domaines internes.
  5. Cliquez sur Enregistrer pour appliquer les modifications.

Créer l'application API

  1. Connectez-vous à la console Mimecast Administration.
  2. Cliquez sur Ajouter une application API.
  3. Saisissez les informations suivantes :
    1. Nom de l'application.
    2. Description de l'application.
    3. Catégorie: saisissez l'une des catégories suivantes:
      • Intégration SIEM: analyse en temps réel les alertes de sécurité générées par l'application.
      • Commande et provisionnement MSP: certains partenaires peuvent gérer les commandes dans le portail MSP.
      • E-mails / Archivage: désigne les messages et les alertes stockés dans Mimecast.
      • Business intelligence: permet à l'infrastructure et aux outils de l'application d'accéder aux informations et de les analyser afin d'améliorer et d'optimiser les décisions et les performances.
      • Automatisation des processus: permet d'automatiser les processus métier.
      • Autre: si l'application ne correspond à aucune autre catégorie.
  4. Cliquez sur Suivant.
  5. Dans la section Paramètres, saisissez les informations suivantes :
    • Nom du développeur: nom du développeur de l'application.
    • Adresse e-mail: adresse e-mail du développeur de l'application.
  6. Cliquez sur Suivant.
  7. Vérifiez les informations affichées sur la page Récapitulatif.
  8. Pour corriger les erreurs, procédez comme suit :
    • Cliquez sur les boutons Modifier à côté de Détails ou Paramètres.
    • Cliquez sur Suivant, puis accédez à nouveau à la page Résumé.

Obtenir l'ID et la clé d'application

  1. Cliquez sur Application, puis sur Services.
  2. Cliquez sur Application API.
  3. Sélectionnez l'application d'API créée.
  4. Afficher les détails de l'application

Créer une clé d'accès et une clé secrète API

Pour savoir comment générer une clé d'accès et une clé secrète, consultez Créer une clé d'association utilisateur.

Configurer un flux dans Google Security Operations pour ingérer les journaux de la passerelle de messagerie sécurisée Mimecast

  1. Cliquez sur Paramètres du SIEM > Flux.
  2. Cliquez sur Add New (Ajouter nouveau).
  3. Saisissez le nom du flux.
  4. Sélectionnez API tierce comme Type de source.
  5. Sélectionnez Mimecast comme Type de journal pour créer un flux pour Mimecast Secure Email Gateway.
  6. Cliquez sur Suivant.
  7. Configurez l'en-tête HTTP d'authentification en fournissant l'ID application, la clé d'accès, l'ID de secret et la clé d'application.
  8. Cliquez sur Suivant, puis sur Envoyer.

Pour en savoir plus sur les flux Google Security Operations, consultez la documentation sur les flux Google Security Operations. Pour en savoir plus sur les exigences associées à chaque type de flux, consultez la section Configuration des flux par type. Si vous rencontrez des problèmes lorsque vous créez des flux, contactez l'assistance Google Security Operations.

Référence du mappage de champs

Cet analyseur extrait des paires clé-valeur des journaux du serveur de messagerie Mimecast, catégorise l'étape d'entrée de journal (RECEIPT, PROCESSING ou DELIVERY) et met en correspondance les champs extraits avec l'UDM. Il exécute également une logique spécifique pour gérer les champs liés à la sécurité, en déterminant l'action, la catégorie, la gravité et les détails associés aux résultats de sécurité en fonction de valeurs telles que Act, RejType, SpamScore et Virus.

Tableau de mappage UDM

Champ de journal Mappage UDM Logique
acc metadata.product_log_id La valeur de acc est mappée sur metadata.product_log_id.
Act security_result.action Si Act est "Acc", la valeur est "ALLOW". Si Act est "Rej", la valeur est "BLOCK". Si Act est "Hld" ou "Sdbx", la valeur est "QUARANTINE".
AttNames about.file.full_path Après avoir supprimé les guillemets et les espaces, et avoir divisé le champ AttNames par des virgules, il est mappé sur un tableau d'objets about.file.full_path.
AttSize about.file.size La valeur de AttSize est convertie en entier sans signature et mappée sur about.file.size.
Cphr datetime metadata.event_timestamp La valeur de datetime est analysée en tant qu'horodatage et mappée sur metadata.event_timestamp.
Delivered Non mappé Utilisé pour déterminer les valeurs stage et product_event_type.
Definition security_result.summary La valeur de Definition est mappée sur security_result.summary.
Dir network.direction, security_result.detection_fields Si Dir est "Internal" (Interne) ou "Inbound" (Entrée), la valeur est "INBOUND". Si Dir est "Externe" ou "Sortant", la valeur est "OUTBOUND". Ajouté également en tant que champ de détection avec la clé "network_direction".
Err security_result.summary La valeur de Err est mappée sur security_result.summary.
Error security_result.summary La valeur de Error est mappée sur security_result.summary.
fileName principal.process.file.full_path La valeur de fileName est mappée sur principal.process.file.full_path.
filename_for_malachite principal.resource.name La valeur de filename_for_malachite est mappée sur principal.resource.name.
headerFrom network.email.from, security_result.detection_fields, principal.user.email_addresses La valeur de headerFrom est mappée sur network.email.from si Sender n'est pas une adresse e-mail valide. Ajouté également en tant que champ de détection avec la clé "header_from". Si ni Sender ni headerFrom ne sont des adresses e-mail valides, headerFrom n'est pas mappé sur network.email.from.
IP principal.ip ou target.ip La valeur de IP est mappée sur principal.ip si stage est "RECEIPT" ou sur target.ip si stage est "DELIVERY".
Latency md5 MsgId network.email.mail_id La valeur de MsgId est mappée sur network.email.mail_id.
MsgSize network.received_bytes La valeur de MsgSize est convertie en entier sans signature et mappée sur network.received_bytes.
Rcpt target.user.email_addresses, network.email.to La valeur de Rcpt est mappée sur target.user.email_addresses et network.email.to.
RcptActType RcptHdrType Recipient network.email.to, target.user.email_addresses La valeur de Recipient est mappée sur network.email.to si Rcpt n'est pas une adresse e-mail valide.
RejCode security_result.description Contribue à la valeur de security_result.description au format "RejCode=".
RejInfo security_result.description Contribue à la valeur de security_result.description au format "RejInfo=".
RejType security_result.description, security_result.category, security_result.category_details, security_result.severity Contribue à la valeur de security_result.description au format "RejType=". Permet également de déterminer security_result.category et security_result.severity. Mappé directement sur security_result.category_details.
Route security_result.detection_fields Ajouté en tant que champ de détection avec la clé "Route".
ScanResultInfo security_result.threat_name La valeur de ScanResultInfo est mappée sur security_result.threat_name.
Sender network.email.from, security_result.detection_fields, principal.user.email_addresses La valeur de Sender est mappée sur network.email.from. Ajouté également en tant que champ de détection avec la clé "Expéditeur".
SenderDomain sha1 target.file.sha1 La valeur de sha1 est mappée sur target.file.sha1.
sha256 target.file.sha256 La valeur de sha256 est mappée sur target.file.sha256.
Size Snt network.sent_bytes La valeur de Snt est convertie en entier sans signature et mappée sur network.sent_bytes.
SourceIP principal.ip La valeur de SourceIP est mappée sur principal.ip si stage est "RECEIPT" et que IP n'est pas présent.
SpamInfo security_result.severity_details Contribue à la valeur de security_result.severity_details au format "SpamInfo=".
SpamLimit security_result.severity_details Contribue à la valeur de security_result.severity_details au format "SpamLimit=".
SpamScore security_result.severity_details, security_result.severity Contribue à la valeur de security_result.severity_details au format "SpamScore=". Permet également de déterminer security_result.severity si RejType n'est pas défini.
Subject network.email.subject La valeur de Subject est mappée sur network.email.subject.
TlsVer URL UrlCategory UseTls Virus security_result.threat_name La valeur de Virus est mappée sur security_result.threat_name.
N/A metadata.event_type Définissez cette valeur sur "EMAIL_TRANSACTION" si Sender ou Recipient/Rcpt sont des adresses e-mail valides, sinon définissez-la sur "GENERIC_EVENT".
N/A metadata.vendor_name Toujours défini sur "Mimecast".
N/A metadata.product_name Toujours défini sur "Mimecast MTA".
N/A metadata.product_event_type Définissez la valeur sur "E-mail ", où l'étape est déterminée en fonction de la présence et des valeurs des autres champs.
N/A metadata.log_type Toujours défini sur "MIMECAST_MAIL".
N/A security_result.severity Définissez-le sur "LOW" si has_sec_result est défini sur "false". Sinon, déterminé par RejType ou SpamScore.

Modifications

2023-03-31

  • Enhancement-
  • Mappage de "filename_for_malachite" sur "principal.resource.name".
  • "fileName" a été mappé sur "principal.process.file.full_path".
  • "sha256" a été mappé sur "target.file.sha256".
  • Mappage de "sha1" sur "target.file.sha1".
  • Ajout d'une vérification conditionnelle pour "aCode".