收集 Mimecast 邮件日志

支持的语言:

本文档介绍了如何通过设置 Google Security Operations Feed 来收集 Mimecast Secure Email Gateway 日志。

如需了解详情,请参阅将数据注入 Google Security Operations

注入标签用于标识将原始日志数据标准化为结构化 UDM 格式的解析器。本文档中的信息适用于具有 MIMECAST_MAIL 注入标签的解析器。

配置 Mimecast Secure Email Gateway

  1. 为登录账号启用日志记录
  2. 创建 API 应用
  3. 获取应用 ID 和应用密钥

为登录账号启用日志记录

  1. 登录 Mimecast 管理控制台。
  2. 账号菜单中,点击账号设置
  3. 展开增强型日志记录
  4. 选择要启用的日志类型:
    • 入站:记录外部发件人发送给内部收件人的邮件。
    • 出站:记录从内部发件人发送给外部收件人的邮件。
    • 内部:记录内部网域中的邮件。
  5. 点击保存应用更改。

创建 API 应用

  1. 登录 Mimecast 管理控制台。
  2. 点击 Add API Application(添加 API 应用)。
  3. 输入以下详细信息:
    1. 应用名称。
    2. 应用的说明。
    3. 类别:输入以下某个类别:
      • SIEM 集成:可对应用生成的安全提醒进行实时分析。
      • MSP 订购和配置:供部分合作伙伴在 MSP 门户中管理订单。
      • 电子邮件 / 归档:指存储在 Mimecast 中的邮件和提醒。
      • 商业智能:使应用的基础设施和工具能够访问和分析信息,从而改进和优化决策和效果。
      • 流程自动化:可实现业务流程自动化。
      • 其他:如果应用不属于任何其他类别,请选择此类别。
  4. 点击下一步
  5. 为以下输入参数指定值:
    • 身份验证 HTTP 标头配置:以以下格式输入身份验证详细信息: secret_key:{Access Secret}
      access_key:{Access key}
      app_id:{Application ID}
      app_key:{application key}
    • API 主机名:Mimecast API 端点的完全限定域名。典型格式为 xx-api.mimecast.com。如果未提供,则在美国和欧洲将是特定于区域的。对于其他区域,此字段不能为空。
    • 资源命名空间资源命名空间
    • 注入标签:应用于此 Feed 中事件的标签。
  6. 点击下一步
  7. 查看摘要页面上显示的信息。
  8. 如需修正错误,请按以下步骤操作:
    • 点击详细信息设置旁边的修改按钮。
    • 点击下一步,然后再次前往摘要页面。

获取应用 ID 和应用密钥

  1. 点击应用,然后点击服务
  2. 点击 API 应用
  3. 选择已创建的 API 应用。
  4. 查看申请详情。

创建 API 访问密钥和密钥

如需了解如何生成访问密钥和密钥,请参阅创建用户关联密钥

设置 Feed

如需配置此日志类型,请按以下步骤操作:

  1. 依次前往 SIEM 设置> Feed
  2. 点击添加新 Feed
  3. 点击 Mimecast Feed 包。

  4. 为以下字段指定值:

    • 来源类型:第三方 API(推荐)
    • 身份验证 HTTP 标头:提供应用 ID、访问密钥、密钥 ID 和应用密钥。
    • API 主机名:指定 Mimecast 主机的域名。

    高级选项

    • Feed 名称:用于标识 Feed 的预填充值。
    • 资产命名空间与 Feed 关联的命名空间
    • 提取标签:应用于相应 Feed 中所有事件的标签。

  5. 点击创建 Feed

如需详细了解如何为相应产品系列中的不同日志类型配置多个 Feed,请参阅按产品配置 Feed

字段映射参考

此解析器从 Mimecast 电子邮件服务器日志中提取键值对,对日志条目阶段(接收、处理或传送)进行分类,并将提取的字段映射到 UDM。它还会执行特定逻辑来处理与安全相关的字段,并根据 ActRejTypeSpamScoreVirus 等值确定安全结果操作、类别、严重程度和相关详细信息。

UDM 映射表

日志字段 UDM 映射 逻辑
acc metadata.product_log_id 原始日志中的 acc 值映射到 metadata.product_log_id
Act security_result.action 如果 ActAcc,则 UDM 字段设置为 ALLOW。如果 ActRej,则 UDM 字段设置为 BLOCK。如果 ActHldSdbx,则 UDM 字段设置为 QUARANTINE
AttNames about.file.full_path 系统会解析 AttNames 字段,移除引号和空格,并将其拆分为各个文件名。然后,每个文件名都会映射到 about 对象中的单独 about.file.full_path 字段。
AttSize about.file.size AttSize 的值会转换为无符号整数并映射到 about.file.size
Dir network.direction 如果 DirInternalInbound,则 UDM 字段设置为 INBOUND。如果 DirExternalOutbound,则 UDM 字段设置为 OUTBOUND。还用于在 security_result 中填充 detection_fields 条目。
Err security_result.summary Err 的值映射到 security_result.summary
Error security_result.summary Error 的值映射到 security_result.summary
fileName principal.process.file.full_path fileName 的值映射到 principal.process.file.full_path
filename_for_malachite principal.resource.name filename_for_malachite 的值映射到 principal.resource.name
headerFrom network.email.from 如果 Sender 不是有效的电子邮件地址,则 headerFrom 的值会映射到 network.email.from。还用于在 security_result 中填充 detection_fields 条目。
IP principal.iptarget.ip 如果 stageRECEIPT,则 IP 的值会映射到 principal.ip。如果 stageDELIVERY,则 IP 的值会映射到 target.ip
MsgId network.email.mail_id MsgId 的值映射到 network.email.mail_id
MsgSize network.received_bytes MsgSize 的值会转换为无符号整数并映射到 network.received_bytes
Rcpt target.user.email_addressesnetwork.email.to Rcpt 的值添加到 target.user.email_addresses。如果 Rcpt 是有效的电子邮件地址,则还会将其添加到 network.email.to
Recipient network.email.to 如果 Rcpt 不是有效的电子邮件地址,则将 Recipient 的值添加到 network.email.to
RejCode security_result.description 用作 security_result.description 字段的一部分。
RejInfo security_result.description 用作 security_result.description 字段的一部分。
RejType security_result.descriptionsecurity_result.category_details 用作 security_result.description 字段的一部分。RejType 的值也会映射到 security_result.category_details。用于确定 security_result.categorysecurity_result.severity
Sender principal.user.email_addressesnetwork.email.from Sender 的值添加到 principal.user.email_addresses。如果 Sender 是有效的电子邮件地址,则也会映射到 network.email.from。还用于在 security_result 中填充 detection_fields 条目。
Snt network.sent_bytes Snt 的值会转换为无符号整数并映射到 network.sent_bytes
SourceIP principal.ip 如果 stageRECEIPTIP 为空,则 SourceIP 的值会映射到 principal.ip
SpamInfo security_result.severity_details 用作 security_result.severity_details 字段的一部分。
SpamLimit security_result.severity_details 用作 security_result.severity_details 字段的一部分。
SpamScore security_result.severity_details 用作 security_result.severity_details 字段的一部分。如果未设置 RejType,此属性还用于确定 security_result.severity
Subject network.email.subject Subject 的值映射到 network.email.subject
Virus security_result.threat_name Virus 的值映射到 security_result.threat_name。默认设置为 EMAIL_TRANSACTION,但如果 SenderRecipient/Rcpt 都不是有效的电子邮件地址,则更改为 GENERIC_EVENT。始终设置为 Mimecast。始终设置为 Mimecast MTA。设置为 Email %{stage},其中 stage 根据其他日志字段的存在情况和值来确定。始终设置为 MIMECAST_MAIL。根据 RejTypeSpamScore 设置。如果两者均不可用,则默认为 LOW
sha1 target.file.sha1 sha1 的值映射到 target.file.sha1
sha256 target.file.sha256 sha256 的值映射到 target.file.sha256
ScanResultInfo security_result.threat_name ScanResultInfo 的值映射到 security_result.threat_name
Definition security_result.summary Definition 的值映射到 security_result.summary

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。