Collecter les journaux de messagerie Mimecast

Compatible avec :

Ce document explique comment collecter les journaux Mimecast Secure Email Gateway en configurant un flux Google Security Operations.

Pour en savoir plus, consultez Ingestion de données dans Google Security Operations.

Un libellé d'ingestion identifie l'analyseur qui normalise les données de journaux brutes au format UDM structuré. Les informations de ce document s'appliquent au parseur avec le libellé d'ingestion MIMECAST_MAIL.

Configurer Mimecast Secure Email Gateway

  1. Activez la journalisation pour le compte de connexion.
  2. Créez l'application d'API.
  3. Obtenez l'ID application et la clé de l'application.

Activer la journalisation pour le compte de connexion

  1. Connectez-vous à la console Mimecast Administration.
  2. Dans le menu Compte, cliquez sur Paramètres du compte.
  3. Développez Journalisation améliorée.
  4. Sélectionnez les types de journaux à activer :
    • Entrants : enregistre les messages provenant d'expéditeurs externes et destinés à des destinataires internes.
    • Sortants : enregistre les messages envoyés par des expéditeurs internes à des destinataires externes.
    • Interne : enregistre les messages dans les domaines internes.
  5. Cliquez sur Enregistrer pour appliquer les modifications.

Créer l'application API

  1. Connectez-vous à la console Mimecast Administration.
  2. Cliquez sur Ajouter une application API.
  3. Saisissez les informations suivantes :
    1. Nom de l'application.
    2. Description de l'application.
    3. Catégorie : saisissez l'une des catégories suivantes :
      • Intégration SIEM : permet d'analyser en temps réel les alertes de sécurité générées par l'application.
      • Commandes et provisionnement MSP : disponible pour certains partenaires afin de gérer les commandes dans le portail MSP.
      • E-mails / Archivage : fait référence aux messages et alertes stockés dans Mimecast.
      • Business Intelligence : permet à l'infrastructure et aux outils de l'application d'accéder aux informations et de les analyser pour améliorer et optimiser les décisions et les performances.
      • Automatisation des processus : permet d'automatiser les processus métier.
      • Autre : si l'application ne correspond à aucune autre catégorie.
  4. Cliquez sur Suivant.
  5. Spécifiez les valeurs des paramètres d'entrée suivants :
    • Configuration de l'en-tête HTTP d'authentification : saisissez les informations d'authentification au format suivant : secret_key:{Access Secret}
      access_key:{Access key}
      app_id:{Application ID}
      app_key:{application key}
    • Nom d'hôte de l'API : nom de domaine complet de votre point de terminaison de l'API Mimecast. Le format habituel est xx-api.mimecast.com. Si aucune valeur n'est fournie, elle sera spécifique à la région aux États-Unis et en Europe. Ce champ est obligatoire pour les autres régions.
    • Espace de noms de l'élément : espace de noms de l'élément.
    • Libellés d'ingestion : libellé appliqué aux événements de ce flux.
  6. Cliquez sur Suivant.
  7. Vérifiez les informations affichées sur la page Récapitulatif.
  8. Pour corriger les erreurs, procédez comme suit :
    • Cliquez sur les boutons Modifier à côté de Détails ou Paramètres.
    • Cliquez sur Suivant, puis revenez à la page Récapitulatif.

Obtenir l'ID et la clé de l'application

  1. Cliquez sur Application, puis sur Services.
  2. Cliquez sur Application API.
  3. Sélectionnez l'application d'API créée.
  4. Affichez les détails de la demande.

Créer une clé d'accès et une clé secrète à l'API

Pour savoir comment générer une clé d'accès et une clé secrète, consultez Créer une clé d'association d'utilisateur.

Configurer des flux

Pour configurer ce type de journal, procédez comme suit :

  1. Accédez à Paramètres SIEM> Flux.
  2. Cliquez sur Add New Feed (Ajouter un flux).
  3. Cliquez sur le pack de flux Mimecast.

  4. Spécifiez les valeurs des champs suivants :

    • Type de source : API tierce (recommandé)
    • En-tête HTTP d'authentification : indiquez l'ID application, la clé d'accès, l'ID secret et la clé de l'application.
    • Nom d'hôte de l'API : spécifiez le nom de domaine de votre hôte Mimecast.

    Options avancées

    • Nom du flux : valeur préremplie qui identifie le flux.
    • Espace de noms de l'élément : espace de noms associé au flux.
    • Libellés d'ingestion : libellés appliqués à tous les événements de ce flux.

  5. Cliquez sur Créer un flux.

Pour en savoir plus sur la configuration de plusieurs flux pour différents types de journaux dans cette famille de produits, consultez Configurer des flux par produit.

Référence du mappage de champs

Ce parseur extrait les paires clé/valeur des journaux du serveur de messagerie Mimecast, catégorise l'étape de l'entrée de journal (REÇU, TRAITEMENT ou LIVRAISON) et mappe les champs extraits à l'UDM. Il effectue également une logique spécifique pour gérer les champs liés à la sécurité, en déterminant l'action, la catégorie, la gravité et les détails associés du résultat de sécurité en fonction de valeurs telles que Act, RejType, SpamScore et Virus.

Table de mappage UDM

Champ de journal Mappage UDM Logique
acc metadata.product_log_id La valeur de acc du journal brut est mappée sur metadata.product_log_id.
Act security_result.action Si Act est défini sur Acc, le champ UDM est défini sur ALLOW. Si Act est défini sur Rej, le champ UDM est défini sur BLOCK. Si Act est Hld ou Sdbx, le champ UDM est défini sur QUARANTINE.
AttNames about.file.full_path Le champ AttNames est analysé, les guillemets et les espaces sont supprimés, et il est divisé en noms de fichiers individuels. Chaque nom de fichier est ensuite mappé à un champ about.file.full_path distinct dans un objet about.
AttSize about.file.size La valeur de AttSize est convertie en entier non signé et mappée sur about.file.size.
Dir network.direction Si Dir est Internal ou Inbound, le champ UDM est défini sur INBOUND. Si Dir est External ou Outbound, le champ UDM est défini sur OUTBOUND. Sert également à renseigner une entrée detection_fields dans security_result.
Err security_result.summary La valeur de Err est mappée sur security_result.summary.
Error security_result.summary La valeur de Error est mappée sur security_result.summary.
fileName principal.process.file.full_path La valeur de fileName est mappée sur principal.process.file.full_path.
filename_for_malachite principal.resource.name La valeur de filename_for_malachite est mappée sur principal.resource.name.
headerFrom network.email.from La valeur de headerFrom est mappée sur network.email.from si Sender n'est pas une adresse e-mail valide. Sert également à renseigner une entrée detection_fields dans security_result.
IP principal.ip ou target.ip Si stage est défini sur RECEIPT, la valeur de IP est mappée sur principal.ip. Si stage est défini sur DELIVERY, la valeur de IP est mappée sur target.ip.
MsgId network.email.mail_id La valeur de MsgId est mappée sur network.email.mail_id.
MsgSize network.received_bytes La valeur de MsgSize est convertie en entier non signé et mappée sur network.received_bytes.
Rcpt target.user.email_addresses, network.email.to La valeur de Rcpt est ajoutée à target.user.email_addresses. Si Rcpt est une adresse e-mail valide, elle est également ajoutée à network.email.to.
Recipient network.email.to La valeur de Recipient est ajoutée à network.email.to si Rcpt n'est pas une adresse e-mail valide.
RejCode security_result.description Utilisé dans le champ security_result.description.
RejInfo security_result.description Utilisé dans le champ security_result.description.
RejType security_result.description, security_result.category_details Utilisé dans le champ security_result.description. La valeur de RejType est également mappée sur security_result.category_details. Utilisé pour déterminer security_result.category et security_result.severity.
Sender principal.user.email_addresses, network.email.from La valeur de Sender est ajoutée à principal.user.email_addresses. Si Sender est une adresse e-mail valide, elle est également mappée sur network.email.from. Sert également à renseigner une entrée detection_fields dans security_result.
Snt network.sent_bytes La valeur de Snt est convertie en entier non signé et mappée sur network.sent_bytes.
SourceIP principal.ip Si stage est défini sur RECEIPT et que IP est vide, la valeur de SourceIP est mappée sur principal.ip.
SpamInfo security_result.severity_details Utilisé dans le champ security_result.severity_details.
SpamLimit security_result.severity_details Utilisé dans le champ security_result.severity_details.
SpamScore security_result.severity_details Utilisé dans le champ security_result.severity_details. Également utilisé pour déterminer security_result.severity si RejType n'est pas défini.
Subject network.email.subject La valeur de Subject est mappée sur network.email.subject.
Virus security_result.threat_name La valeur de Virus est mappée sur security_result.threat_name. La valeur par défaut est EMAIL_TRANSACTION, mais elle est remplacée par GENERIC_EVENT si ni Sender ni Recipient/Rcpt ne sont des adresses e-mail valides. Toujours défini sur Mimecast. Toujours défini sur Mimecast MTA. Définissez sur Email %{stage}, où stage est déterminé en fonction de la présence et des valeurs des autres champs de journaux. Toujours défini sur MIMECAST_MAIL. Définissez-le sur RejType ou SpamScore. La valeur par défaut est LOW si aucune des deux n'est disponible.
sha1 target.file.sha1 La valeur de sha1 est mappée sur target.file.sha1.
sha256 target.file.sha256 La valeur de sha256 est mappée sur target.file.sha256.
ScanResultInfo security_result.threat_name La valeur de ScanResultInfo est mappée sur security_result.threat_name.
Definition security_result.summary La valeur de Definition est mappée sur security_result.summary.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.