Cisco Secure Email Gateway-Protokolle erfassen
Unterstützt in:
Google SecOps
SIEM
In diesem Dokument wird beschrieben, wie Sie die Cisco Secure Email Gateway-Logs mithilfe eines Google Security Operations-Weiterleiters erfassen können.
Weitere Informationen finden Sie unter Datenaufnahme in Google SecOps.
Mit einem Datenaufnahmelabel wird der Parser angegeben, der Roh-Logdaten in das strukturierte UDM-Format normalisiert. Die Informationen in diesem Dokument beziehen sich auf den Parser mit dem Datenaufnahmelabel CISCO-EMAIL-SECURITY.
Cisco Secure Email Gateway konfigurieren
- Wählen Sie in der Cisco Secure Email Gateway-Konsole Systemadministration > Abos protokollieren aus.
- Führen Sie im Fenster Neues Log-Abo die folgenden Schritte aus, um ein Log-Abo hinzuzufügen:
- Wählen Sie im Feld Protokolltyp die Option Konsolidierte Ereignisprotokolle aus.
- Wählen Sie im Bereich Verfügbare Logfelder alle verfügbaren Felder aus und klicken Sie dann auf Hinzufügen, um sie in den Bereich Ausgewählte Logfelder zu verschieben.
- Wählen Sie Syslog-Push aus, um eine Methode zum Abrufen von Protokollen für das Protokollabo auszuwählen, und gehen Sie so vor:
- Geben Sie im Feld Hostname die IP-Adresse des Google SecOps-Weiterleitungsservers ein.
- Klicken Sie im Feld Protokoll das Kästchen TCP an.
- Verwenden Sie im Feld Einrichtung den Standardwert.
- Klicken Sie auf Senden, um die Konfigurationsänderungen zu speichern.
Google SecOps-Weiterleiter für die Aufnahme von Cisco Secure Email Gateway konfigurieren
- Gehen Sie zu SIEM-Einstellungen > Weiterleitungen.
- Klicken Sie auf Neuen Weiterleiter hinzufügen.
- Geben Sie im Feld Name des Absenders einen eindeutigen Namen für den Absender ein.
- Klicken Sie auf Senden. Der Weiterleiter wird hinzugefügt und das Fenster Aufnehmerkonfiguration hinzufügen wird angezeigt.
- Geben Sie im Feld Name des Collectors einen Namen ein.
- Wählen Sie Cisco Email Security als Logtyp aus.
- Wählen Sie im Feld Typ des Collectors die Option Syslog aus.
- Konfigurieren Sie die folgenden obligatorischen Eingabeparameter:
- Protokoll: Geben Sie das Verbindungsprotokoll an, das der Collector zum Abhören von syslog-Daten verwendet.
- Address (Adresse): Geben Sie die Ziel-IP-Adresse oder den Hostnamen an, unter der bzw. dem sich der Collector befindet und auf syslog-Daten wartet.
- Port: Gibt den Zielport an, an dem sich der Collector befindet und auf syslog-Daten wartet.
- Klicken Sie auf Senden.
Weitere Informationen zu Google SecOps-Weiterleitungen finden Sie unter Weiterleitungskonfigurationen über die Google SecOps-Benutzeroberfläche verwalten.
Wenn beim Erstellen von Weiterleitungen Probleme auftreten, wenden Sie sich an den Google SecOps-Support.
Referenz für die Feldzuordnung
Dieser Parser verarbeitet sowohl strukturierte (JSON, Schlüssel/Wert-Paare) als auch unstrukturierte (Syslog) Cisco Email Security-Protokolle. Dabei werden verschiedene Protokollformate in UDM normalisiert, indem grok-Muster, Schlüssel/Wert-Extraktion und bedingte Logik basierend auf dem Feld product_event verwendet werden, um relevante Cisco ESA-Felder in UDM abzubilden. Außerdem werden Daten angereichert, z. B. durch Konvertieren von Zeitstempeln und Verarbeitung wiederholter Nachrichten.
UDM-Zuordnungstabelle
| Logfeld | UDM-Zuordnung | Logik |
|---|---|---|
acl_decision_tag |
read_only_udm.security_result.detection_fields.value |
Direkt zugeordnet, wenn nicht leer, „-“ oder „NONE“. Schlüssel ist „ACL Decision Tag“. |
access_or_decryption_policy_group |
read_only_udm.security_result.detection_fields.value |
Direkt zugeordnet, wenn nicht leer, „-“ oder „NONE“. Schlüssel ist „AccessOrDecryptionPolicyGroup“. |
act |
read_only_udm.security_result.action_details |
Direkt zugeordnet. |
authenticated_user |
read_only_udm.principal.user.userid |
Direkt zugeordnet, wenn nicht leer, „-“ oder „NONE“. |
cache_hierarchy_retrieval |
read_only_udm.security_result.detection_fields.value |
Direkt zugeordnet, wenn nicht leer, „-“ oder „NONE“. Schlüssel ist „Cache-Hierarchie-Abruf“. |
cipher |
read_only_udm.network.tls.cipher |
Direkt zugeordnet. |
country |
read_only_udm.principal.location.country_or_region |
Direkt zugeordnet. |
data_security_policy_group |
read_only_udm.security_result.detection_fields.value |
Direkt zugeordnet, wenn nicht leer, „-“ oder „NONE“. Schlüssel ist „DataSecurityPolicyGroup“. |
description |
read_only_udm.metadata.description |
Direkt für syslog-Nachrichten zugeordnet. Bei CEF-Nachrichten wird sie zur allgemeinen Produktbeschreibung. Anhand verschiedener Grok-Muster werden anhand der product_event bestimmte Beschreibungen extrahiert. Einige Beschreibungen werden mit gsub geändert, um vorangehende und nachstehende Leerzeichen und Doppelpunkte zu entfernen. |
deviceDirection |
read_only_udm.network.direction |
Wenn „0“, wird „INBOUND“ zugeordnet. Wenn „1“, wird „OUTBOUND“ zugeordnet. Damit wird festgelegt, welche TLS-Chiffre und welches Protokoll direkt und welche als Labels zugeordnet werden. |
deviceExternalId |
read_only_udm.principal.asset.asset_id |
Wird als „Geräte-ID: |
domain |
read_only_udm.target.administrative_domain |
Direkt aus JSON-Logs zugeordnet. |
domain_age |
read_only_udm.security_result.about.labels.value |
Direkt zugeordnet. Schlüssel ist „YoungestDomainAge“. |
duser |
read_only_udm.target.user.email_addresses, read_only_udm.network.email.to |
Wenn „;"“ enthalten ist, teilen Sie die E-Mail-Adresse in mehrere E-Mail-Adressen auf und ordnen Sie jede E-Mail-Adresse den beiden UDM-Feldern zu. Andernfalls ordnen Sie die E-Mail-Adresse direkt den beiden UDM-Feldern zu, sofern sie gültig ist. Wird auch verwendet, um network_to auszufüllen, wenn es leer ist. |
dvc |
read_only_udm.target.ip |
Direkt zugeordnet. |
entries.collection_time.nanos, entries.collection_time.seconds |
read_only_udm.metadata.event_timestamp.nanos, read_only_udm.metadata.event_timestamp.seconds |
Wird zum Erstellen des Ereigniszeitstempels verwendet. |
env-from |
read_only_udm.additional.fields.value.string_value |
Direkt zugeordnet. Schlüssel ist „Env-From“. |
ESAAttachmentDetails |
read_only_udm.security_result.about.file.full_path, read_only_udm.security_result.about.file.sha256 |
Sie werden analysiert, um Dateinamen und SHA-256-Hashes zu extrahieren. Es können mehrere Dateien und Hashwerte extrahiert werden. |
ESADCID |
read_only_udm.security_result.about.labels.value |
Direkt zugeordnet. Schlüssel ist „ESADCID“. |
ESAFriendlyFrom |
read_only_udm.principal.user.user_display_name, read_only_udm.network.email.from |
Der Anzeigename und die E-Mail-Adresse werden extrahiert. |
ESAHeloDomain |
read_only_udm.intermediary.administrative_domain |
Direkt zugeordnet. |
ESAHeloIP |
read_only_udm.intermediary.ip |
Direkt zugeordnet. |
ESAICID |
read_only_udm.security_result.about.labels.value |
Direkt zugeordnet. Schlüssel ist „ESAICID“. |
ESAMailFlowPolicy |
read_only_udm.security_result.rule_name |
Direkt zugeordnet. |
ESAMID |
read_only_udm.security_result.about.labels.value |
Direkt zugeordnet. Schlüssel ist „ESAMID“. |
ESAReplyTo |
read_only_udm.network.email.reply_to |
Wird direkt zugeordnet, wenn es sich um eine gültige E-Mail-Adresse handelt. Wird auch zum Ausfüllen von network_to verwendet. |
ESASDRDomainAge |
read_only_udm.security_result.about.labels.value |
Direkt zugeordnet. Schlüssel: „ESASDRDomainAge“ |
ESASenderGroup |
read_only_udm.principal.group.group_display_name |
Direkt zugeordnet. |
ESAStatus |
read_only_udm.security_result.about.labels.value |
Direkt zugeordnet. Schlüssel ist „ESAStatus“. |
ESATLSInCipher |
read_only_udm.network.tls.cipher oder read_only_udm.security_result.about.labels.value |
Wird direkt der Chiffre zugeordnet, wenn deviceDirection = „0“. Andernfalls wird es als Label mit dem Schlüssel „ESATLSInCipher“ zugeordnet. |
ESATLSInProtocol |
read_only_udm.network.tls.version oder read_only_udm.security_result.about.labels.value |
Die TLS-Version wird extrahiert und direkt zugeordnet, wenn deviceDirection „0“ ist. Andernfalls wird es als Label mit dem Schlüssel „ESATLSInProtocol“ zugeordnet. |
ESATLSOutCipher |
read_only_udm.network.tls.cipher oder read_only_udm.security_result.about.labels.value |
Wird direkt der Chiffre zugeordnet, wenn deviceDirection = „1“. Andernfalls wird es als Label mit dem Schlüssel „ESATLSOutCipher“ zugeordnet. |
ESATLSOutProtocol |
read_only_udm.network.tls.version oder read_only_udm.security_result.about.labels.value |
Die TLS-Version wird extrahiert und direkt zugeordnet, wenn deviceDirection „1“ ist. Andernfalls wird es als Label mit dem Schlüssel „ESATLSOutProtocol“ zugeordnet. |
ESAURLDetails |
read_only_udm.target.url |
Wird geparst, um URLs zu extrahieren. Es wird nur die erste URL zugeordnet, da das Feld nicht wiederholt wird. |
external_dlp_policy_group |
read_only_udm.security_result.detection_fields.value |
Direkt zugeordnet, wenn nicht leer, „-“ oder „NONE“. Schlüssel ist „ExternalDlpPolicyGroup“. |
ExternalMsgID |
read_only_udm.security_result.about.labels.value |
Nach dem Entfernen von einfachen Anführungszeichen und spitzen Klammern direkt zugeordnet. Schlüssel ist „ExternalMsgID“. |
from |
read_only_udm.network.email.from |
Wird direkt zugeordnet, wenn es sich um eine gültige E-Mail-Adresse handelt. Wird auch zum Ausfüllen von network_from verwendet. |
host.hostname |
read_only_udm.principal.hostname oder read_only_udm.intermediary.hostname |
Wird dem Haupt-Hostnamen zugeordnet, wenn das Feld host ungültig ist. Wird auch dem Zwischenhostnamen zugeordnet. |
host.ip |
read_only_udm.principal.ip oder read_only_udm.intermediary.ip |
Wird der Haupt-IP-Adresse zugeordnet, wenn das Feld ip in JSON-Logs nicht festgelegt ist. Wird auch der Vermittlungs-IP zugeordnet. |
hostname |
read_only_udm.target.hostname |
Direkt zugeordnet. |
http_method |
read_only_udm.network.http.method |
Direkt zugeordnet. |
http_response_code |
read_only_udm.network.http.response_code |
Direkt zugeordnet und in eine Ganzzahl umgewandelt. |
identity_policy_group |
read_only_udm.security_result.detection_fields.value |
Direkt zugeordnet, wenn nicht leer, „-“ oder „NONE“. Schlüssel ist „IdentityPolicyGroup“. |
ip |
read_only_udm.principal.ip |
Direkt zugeordnet. Wird von source_ip überschrieben, falls vorhanden. |
kv_msg |
Verschiedene | Mit dem kv-Filter geparst. Bei der Vorverarbeitung werden Leerzeichen vor Schlüsseln durch „#“ ersetzt und csLabel-Werte ausgetauscht. |
log_type |
read_only_udm.metadata.log_type |
Hartcodiert auf „CISCO_EMAIL_SECURITY“. |
loglevel |
read_only_udm.security_result.severity, read_only_udm.security_result.action |
Wird verwendet, um den Schweregrad und die Maßnahme zu bestimmen. „Info“, „“, „Debug“ und „Trace“ werden den Status „INFORMATIONAL“ und „ALLOW“ zugeordnet. „Warnung“ entspricht „MITTEL“ und „ZULASSEN“. „Hoch“ wird mit „HIGH“ und „BLOCK“ abgeglichen. Weisen Sie „Kritisch“ und „Warnung“ den Werten „CRITICAL“ und „BLOCK“ zu und setzen Sie is_alert auf „wahr“. |
mail_id |
read_only_udm.network.email.mail_id |
Direkt aus JSON-Logs zugeordnet. |
mailto |
read_only_udm.target.user.email_addresses, read_only_udm.network.email.to |
Wird bei einer gültigen E-Mail-Adresse direkt auf beide UDM-Felder angewendet. |
MailPolicy |
read_only_udm.security_result.about.labels.value |
Direkt zugeordnet. Schlüssel ist „MailPolicy“. |
message |
Verschiedene | Wird nach Möglichkeit als JSON geparst. Andernfalls wird sie als syslog-Nachricht verarbeitet. |
message_id |
read_only_udm.network.email.mail_id |
Direkt zugeordnet. Wird auch zum Ausfüllen von network_data verwendet. |
msg |
read_only_udm.network.email.subject |
Direkt nach der UTF-8-Dekodierung und dem Entfernen von Wagenrückläufen, Zeilenumbrüchen und zusätzlichen Anführungszeichen zugeordnet. Wird auch zum Ausfüllen von network_data verwendet. |
msg1 |
Verschiedene | Mit dem kv-Filter geparst. Wird zum Extrahieren von Hostname, helo, env-from und reply-to verwendet. |
outbound_malware_scanning_policy_group |
read_only_udm.security_result.detection_fields.value |
Direkt zugeordnet, wenn nicht leer, „-“ oder „NONE“. Schlüssel ist „DataSecurityPolicyGroup“. |
port |
read_only_udm.target.port |
Direkt zugeordnet und in eine Ganzzahl umgewandelt. |
principalMail |
read_only_udm.principal.user.email_addresses |
Direkt zugeordnet. |
principalUrl |
read_only_udm.principal.url |
Direkt zugeordnet. |
product_event |
read_only_udm.metadata.product_event_type |
Direkt zugeordnet. Damit wird festgelegt, welche Grok-Muster angewendet werden sollen. Vorangestellte Prozentzeichen werden entfernt. „amp“ wird durch „SIEM_AMPenginelogs“ ersetzt. |
product_version |
read_only_udm.metadata.product_version |
Direkt zugeordnet. |
protocol |
read_only_udm.network.tls.version |
Direkt zugeordnet. |
received_bytes |
read_only_udm.network.received_bytes |
Wird direkt zugeordnet und in eine Ganzzahl ohne Vorzeichen umgewandelt. |
reply-to |
read_only_udm.additional.fields.value.string_value |
Direkt zugeordnet. Schlüssel ist „Reply-To“. |
reputation |
read_only_udm.security_result.confidence_details |
Direkt zugeordnet. |
request_method_uri |
read_only_udm.target.url |
Direkt zugeordnet. |
result_code |
read_only_udm.security_result.detection_fields.value |
Direkt zugeordnet. Schlüssel ist „Result Code“. |
routing_policy_group |
read_only_udm.security_result.detection_fields.value |
Direkt zugeordnet, wenn nicht leer, „-“ oder „NONE“. Schlüssel ist „RoutingPolicyGroup“. |
rule |
read_only_udm.security_result.detection_fields.value |
Direkt zugeordnet. Schlüssel ist „Übereinstimmende Bedingung“. |
SDRThreatCategory |
read_only_udm.security_result.threat_name |
Wird direkt zugeordnet, wenn das Feld nicht leer oder „–“ ist. |
SenderCountry |
read_only_udm.principal.location.country_or_region |
Direkt zugeordnet. |
senderGroup |
read_only_udm.principal.group.group_display_name |
Direkt zugeordnet. |
security_description |
read_only_udm.security_result.description |
Direkt zugeordnet. |
security_email |
read_only_udm.security_result.about.email oder read_only_udm.principal.hostname |
Wird einer E-Mail-Adresse zugeordnet, sofern diese gültig ist. Andernfalls wird der Wert nach der Extraktion mit Grok dem Hostnamen zugeordnet. |
source |
read_only_udm.network.ip_protocol |
Wenn „tcp“ enthalten ist, wird „TCP“ zugeordnet. |
sourceAddress |
read_only_udm.principal.ip |
Direkt zugeordnet. |
sourceHostName |
read_only_udm.principal.administrative_domain |
Wird direkt zugeordnet, wenn nicht „unbekannt“. |
source_ip |
read_only_udm.principal.ip |
Direkt zugeordnet. Überschreibt ip, falls vorhanden. |
Subject |
read_only_udm.network.email.subject |
Werden direkt zugeordnet, nachdem Endpunkte entfernt wurden. Wird auch zum Ausfüllen von network_data verwendet. |
suser |
read_only_udm.principal.user.email_addresses, read_only_udm.network.email.bounce_address |
Wird bei einer gültigen E-Mail-Adresse direkt auf beide UDM-Felder angewendet. |
target_ip |
read_only_udm.target.ip |
Direkt zugeordnet. |
to |
read_only_udm.network.email.to |
Wird direkt zugeordnet, wenn es sich um eine gültige E-Mail-Adresse handelt. Wird auch zum Ausfüllen von network_to verwendet. |
total_bytes |
read_only_udm.network.sent_bytes |
Wird direkt zugeordnet und in eine Ganzzahl ohne Vorzeichen umgewandelt. |
trackerHeader |
read_only_udm.additional.fields.value.string_value |
Direkt zugeordnet. Schlüssel ist „Tracker-Header“. |
ts, ts1, year |
read_only_udm.metadata.event_timestamp.seconds |
Wird zum Erstellen des Ereigniszeitstempels verwendet. ts1 und year werden kombiniert, wenn ts1 vorhanden ist. Es werden verschiedene Formate unterstützt, mit und ohne Jahr. Wenn das Jahr nicht angegeben ist, wird das aktuelle Jahr verwendet. „Cisco“ ist hartcodiert. Hartcodiert auf „Cisco Email Security“. Standardmäßig ist „ALLOW“ (ZULASSEN) festgelegt. Legen Sie „BLOCKIEREN“ basierend auf loglevel oder description fest. Der Standardwert ist „INBOUND“, wenn application_protocol vorhanden ist. Für CEF-Nachrichten anhand von deviceDirection festlegen. Wird anhand einer Kombination von Feldern wie network_from, network_to, target_ip, ip, description, event_type, principal_host, Hostname, user_id und sourceAddress ermittelt. Standardmäßig ist „GENERIC_EVENT“ festgelegt. Legen Sie „SMTP“ fest, wenn application_protocol „SMTP“ oder „smtp“ ist oder wenn target_ip und ip vorhanden sind. Legen Sie „AUTHTYPE_UNSPECIFIED“ fest, wenn login_status und user_id in den sshd-Protokollen vorhanden sind. Setzen Sie den Wert auf „wahr“, wenn loglevel „Kritisch“ oder „Warnung“ ist. |
Änderungen
2023-10-05
- Fehlerkorrektur:
- „product_event“ wurde von „amp“ in „SIEM_AMPenginelogs“ umbenannt.
2023-09-15
- Unterstützung für „SIEM_proxylogs“, „SIEM_webrootlogs“ und „SIEM_AMPenginelogs“ von JSON-Protokollen hinzugefügt.
2023-09-04
- Optimierung
- Es wurde ein Grok-Muster hinzugefügt, um nicht geparste Protokolle zu analysieren, und die Felder wurden entsprechend zugeordnet.
- Unterstützung für ein neues Muster von JSON-Protokollen hinzugefügt.
2022-12-16
- Optimierung
- Modifizierte bedingte Prüfungen für die Felder, die den Variablen „network.email.to“, „network.email.from“, „principal.user.email_addresses“, „target.user.email_addresses“ und „network.email.reply_to“ zugeordnet sind.
- Unterstützung für JSON-Protokolle hinzugefügt :
- Das Feld „host“ wurde „principal.hostname“ zugeordnet.
- Das Feld „domain“ wurde „target.administrative_domain“ zugeordnet.
- Das Feld „mail_id“ wurde „network.email.mail_id“ zugeordnet.
- Das Feld „mailto“ wurde „network.email.to“ und „target.user.email_addresses“ zugeordnet.
- Das Feld „source“ wurde „network.ip_protocol“ zugeordnet.
- Das Feld „reputation“ wurde in „security_result.confidence_details“ umgewandelt.
- Das Feld „log_type“ wurde den Feldern „security_result.severity“ und „security_result.severity_details“ zugeordnet.
- Das Feld „cribl_pipe“ wurde „additional.fields“ zugeordnet.
2022-09-22
- Optimierung
- Es wurde ein Grok-Muster für nicht analysierte Protokolle hinzugefügt, bei denen das Feld „product_event“ leer ist.
2022-08-02
- Optimierung
- Es wurden Bedingungen für die neu hinzugefügten Ereignistypen „STATUS_UPDATE“, „USER_UNCATEGORIZED“ und „SCAN_PROCESS“ hinzugefügt.
- „Angriff“ wurde „security_result.category_details“ zugeordnet
- Verbesserter Parser zum Parsen des Felds „ESAAttachmentDetails“ verschiedener Protokolltypen.
2022-06-09
- Verbesserung: „from_user“ wurde in „principal.user.user_display_name“ geändert.
- „metadata.product_event_type“ wurde von „Consolidated Log Event“ in „ESA_CONSOLIDATED_LOG_EVENT“ geändert.
2022-06-07
- Verbesserung: „suser“ wurde mit „network.email.bounce_address“ verknüpft.
2022-05-17
- Verbesserung: duser wurde network.email.to zugeordnet.
- „on_error“ für die Felder „product_version“ und „product_description“ hinzugefügt, um das Zuordnen von Nullwerten zu UDM zu vermeiden
- Es wurde zusätzliche Logik zum Parsen von Protokollen hinzugefügt, die mit dem Format „TAG TIMESTAMP JAHR“ beginnen, z. B. Mi 18. Februar 00:34:12 2021.
2022-05-05
- Verbesserung: „grok“ für „network.email.from“ verwendet
2022-03-31
- Verbesserung: Es wurden Zuordnungen für neue Felder hinzugefügt.
- ESAReplyTo wurde network.email.reply_to zugeordnet.
- duser zu network.email.to zugeordnet