Esta página se ha traducido con Cloud Translation API.

Recoger registros de Cisco Secure Email Gateway

Disponible en:

SecOps de Google SIEM

En este documento se describe cómo puede recoger los registros de Cisco Secure Email Gateway mediante un reenviador de Google Security Operations.

Para obtener más información, consulta Ingestión de datos en Google SecOps.

Una etiqueta de ingestión identifica el analizador que normaliza los datos de registro sin procesar en formato UDM estructurado. La información de este documento se aplica al analizador con la etiqueta de ingestión CISCO-EMAIL-SECURITY.

Configurar Cisco Secure Email Gateway

En la consola de Cisco Secure Email Gateway, selecciona Administración del sistema > Suscripciones de registro.
En la ventana Nueva suscripción de registro, haz lo siguiente para añadir una suscripción de registro:
1. En el campo Tipo de registro, selecciona Registros de eventos consolidados.
2. En la sección Campos de registro disponibles, seleccione todos los campos disponibles y, a continuación, haga clic en Añadir para moverlos a Campos de registro seleccionados.
3. Para seleccionar un método de recuperación de registros para la suscripción a registros, selecciona Envío de Syslog y haz lo siguiente:
  1. En el campo Nombre de host, especifica la dirección IP del reenviador de Google SecOps.
  2. En el campo Protocol (Protocolo), selecciona la casilla TCP.
  3. En el campo Instalación, usa el valor predeterminado.
Para guardar los cambios en la configuración, haz clic en Enviar.

Configurar el reenviador de Google SecOps para ingerir Cisco Secure Email Gateway

Ve a Configuración de SIEM > Reenviadores.
Haz clic en Añadir nuevo reenviador.
En el campo Nombre del reenviador, introduce un nombre único para el reenviador.
Haz clic en Enviar. Se añade el reenviador y se muestra la ventana Añadir configuración de recopilador.
En el campo Nombre del recolector, escribe un nombre.
Selecciona Cisco Email Security como Tipo de registro.
En el campo Tipo de recopilador, selecciona Syslog.
Configure los siguientes parámetros de entrada obligatorios:
- Protocol: especifica el protocolo de conexión que usa el recopilador para escuchar los datos de syslog.
- Dirección: especifica la dirección IP o el nombre de host de destino donde reside el recopilador y escucha los datos de syslog.
- Puerto: especifica el puerto de destino en el que reside el recopilador y escucha los datos de syslog.
Haz clic en Enviar.

Para obtener más información sobre los reenviadores de Google SecOps, consulta Gestionar configuraciones de reenviadores a través de la interfaz de usuario de Google SecOps.

Si tienes problemas al crear reenviadores, ponte en contacto con el equipo de Asistencia de SecOps de Google.

Referencia de asignación de campos

Este analizador gestiona los registros de Cisco Email Security estructurados (JSON, pares clave-valor) y no estructurados (syslog). Normaliza diversos formatos de registro en UDM aprovechando los patrones de grok, la extracción de pares clave-valor y la lógica condicional basada en el campo product_event para asignar los campos relevantes de Cisco ESA a UDM. También realiza el enriquecimiento de datos, como la conversión de marcas de tiempo y la gestión de mensajes repetidos.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
`acl_decision_tag`	`read_only_udm.security_result.detection_fields.value`	Se asigna directamente si no está vacío, "-" o "NONE". La clave es "ACL Decision Tag".
`access_or_decryption_policy_group`	`read_only_udm.security_result.detection_fields.value`	Se asigna directamente si no está vacío, "-" o "NONE". La clave es "AccessOrDecryptionPolicyGroup".
`act`	`read_only_udm.security_result.action_details`	Asignación directa.
`authenticated_user`	`read_only_udm.principal.user.userid`	Se asigna directamente si no está vacío, "-" o "NONE".
`cache_hierarchy_retrieval`	`read_only_udm.security_result.detection_fields.value`	Se asigna directamente si no está vacío, "-" o "NONE". La clave es "Cache Hierarchy Retrieval".
`cipher`	`read_only_udm.network.tls.cipher`	Asignación directa.
`country`	`read_only_udm.principal.location.country_or_region`	Asignación directa.
`data_security_policy_group`	`read_only_udm.security_result.detection_fields.value`	Se asigna directamente si no está vacío, "-" o "NONE". La clave es "DataSecurityPolicyGroup".
`description`	`read_only_udm.metadata.description`	Asignado directamente a los mensajes syslog. En el caso de los mensajes CEF, se convierte en la descripción general del producto. Varios patrones de Grok extraen descripciones específicas en función de `product_event`. Algunas descripciones se modifican con gsub para eliminar los espacios y los dos puntos iniciales o finales.
`deviceDirection`	`read_only_udm.network.direction`	Si es "0", se asigna a "INBOUND". Si es "1", se asigna a "OUTBOUND". Se usa para determinar qué cifrado y protocolo TLS se deben asignar directamente y cuáles se deben asignar como etiquetas.
`deviceExternalId`	`read_only_udm.principal.asset.asset_id`	Se ha asignado como "ID de dispositivo:".
`domain`	`read_only_udm.target.administrative_domain`	Se asignan directamente desde los registros JSON.
`domain_age`	`read_only_udm.security_result.about.labels.value`	Asignación directa. La clave es "YoungestDomainAge".
`duser`	`read_only_udm.target.user.email_addresses`, `read_only_udm.network.email.to`	Si contiene ";", divídela en varias direcciones de correo electrónico y asigna cada una a ambos campos de UDM. De lo contrario, mapea directamente ambos campos de UDM si la dirección de correo es válida. También se usa para rellenar `network_to` si está vacío.
`dvc`	`read_only_udm.target.ip`	Asignación directa.
`entries.collection_time.nanos`, `entries.collection_time.seconds`	`read_only_udm.metadata.event_timestamp.nanos`, `read_only_udm.metadata.event_timestamp.seconds`	Se usa para crear la marca de tiempo del evento.
`env-from`	`read_only_udm.additional.fields.value.string_value`	Asignación directa. La clave es "Env-From".
`ESAAttachmentDetails`	`read_only_udm.security_result.about.file.full_path`, `read_only_udm.security_result.about.file.sha256`	Se analiza para extraer los nombres de los archivos y los hashes SHA-256. Se pueden extraer varios archivos y hashes.
`ESADCID`	`read_only_udm.security_result.about.labels.value`	Asignación directa. La clave es "ESADCID".
`ESAFriendlyFrom`	`read_only_udm.principal.user.user_display_name`, `read_only_udm.network.email.from`	Se analiza para extraer el nombre visible y la dirección de correo electrónico.
`ESAHeloDomain`	`read_only_udm.intermediary.administrative_domain`	Asignación directa.
`ESAHeloIP`	`read_only_udm.intermediary.ip`	Asignación directa.
`ESAICID`	`read_only_udm.security_result.about.labels.value`	Asignación directa. La clave es "ESAICID".
`ESAMailFlowPolicy`	`read_only_udm.security_result.rule_name`	Asignación directa.
`ESAMID`	`read_only_udm.security_result.about.labels.value`	Asignación directa. La clave es "ESAMID".
`ESAReplyTo`	`read_only_udm.network.email.reply_to`	Se asigna directamente si es una dirección de correo válida. También se usa para rellenar `network_to`.
`ESASDRDomainAge`	`read_only_udm.security_result.about.labels.value`	Asignación directa. La clave es "ESASDRDomainAge".
`ESASenderGroup`	`read_only_udm.principal.group.group_display_name`	Asignación directa.
`ESAStatus`	`read_only_udm.security_result.about.labels.value`	Asignación directa. La clave es "ESAStatus".
`ESATLSInCipher`	`read_only_udm.network.tls.cipher` o `read_only_udm.security_result.about.labels.value`	Se asigna directamente a la cifra si `deviceDirection` es "0". De lo contrario, se asigna como una etiqueta con la clave "ESATLSInCipher".
`ESATLSInProtocol`	`read_only_udm.network.tls.version` o `read_only_udm.security_result.about.labels.value`	Versión de TLS extraída y asignada directamente si `deviceDirection` es "0". De lo contrario, se asigna como una etiqueta con la clave "ESATLSInProtocol".
`ESATLSOutCipher`	`read_only_udm.network.tls.cipher` o `read_only_udm.security_result.about.labels.value`	Se asigna directamente a la cifra si `deviceDirection` es "1". De lo contrario, se asigna como una etiqueta con la clave "ESATLSOutCipher".
`ESATLSOutProtocol`	`read_only_udm.network.tls.version` o `read_only_udm.security_result.about.labels.value`	Versión de TLS extraída y asignada directamente si `deviceDirection` es "1". De lo contrario, se asigna como una etiqueta con la clave "ESATLSOutProtocol".
`ESAURLDetails`	`read_only_udm.target.url`	Se ha analizado para extraer URLs. Solo se asigna la primera URL porque el campo no se repite.
`external_dlp_policy_group`	`read_only_udm.security_result.detection_fields.value`	Se asigna directamente si no está vacío, "-" o "NONE". La clave es "ExternalDlpPolicyGroup".
`ExternalMsgID`	`read_only_udm.security_result.about.labels.value`	Se asigna directamente después de quitar las comillas simples y los corchetes angulares. La clave es "ExternalMsgID".
`from`	`read_only_udm.network.email.from`	Se asigna directamente si es una dirección de correo válida. También se usa para rellenar `network_from`.
`host.hostname`	`read_only_udm.principal.hostname` o `read_only_udm.intermediary.hostname`	Se asigna al nombre de host principal si el campo `host` no es válido. También se asigna al nombre de host intermediario.
`host.ip`	`read_only_udm.principal.ip` o `read_only_udm.intermediary.ip`	Se asigna a la IP principal si el campo `ip` no se ha definido en los registros JSON. También se asigna a una IP intermediaria.
`hostname`	`read_only_udm.target.hostname`	Asignación directa.
`http_method`	`read_only_udm.network.http.method`	Asignación directa.
`http_response_code`	`read_only_udm.network.http.response_code`	Se asigna y se convierte directamente en un número entero.
`identity_policy_group`	`read_only_udm.security_result.detection_fields.value`	Se asigna directamente si no está vacío, "-" o "NONE". La clave es "IdentityPolicyGroup".
`ip`	`read_only_udm.principal.ip`	Asignación directa. Se sobrescribe con `source_ip` si está presente.
`kv_msg`	Varias	Analizado con el filtro kv. El preprocesamiento incluye la sustitución de los espacios anteriores a las claves por "#" y el intercambio de los valores de csLabel.
`log_type`	`read_only_udm.metadata.log_type`	Codificado como "CISCO_EMAIL_SECURITY".
`loglevel`	`read_only_udm.security_result.severity`, `read_only_udm.security_result.action`	Se usa para determinar la gravedad y la acción. "Info", "", "Debug" y "Trace" se corresponden con "INFORMATIONAL" y "ALLOW". "Warning" se asigna a "MEDIUM" y "ALLOW". "High" se asigna a "HIGH" y "BLOCK". "Critical" y "Alert" se asignan a "CRITICAL" y "BLOCK".
`mail_id`	`read_only_udm.network.email.mail_id`	Se asignan directamente desde los registros JSON.
`mailto`	`read_only_udm.target.user.email_addresses`, `read_only_udm.network.email.to`	Se asigna directamente a ambos campos de UDM si es una dirección de correo válida.
`MailPolicy`	`read_only_udm.security_result.about.labels.value`	Asignación directa. La clave es "MailPolicy".
`message`	Varias	Se analiza como JSON si es posible. De lo contrario, se procesa como un mensaje syslog.
`message_id`	`read_only_udm.network.email.mail_id`	Asignación directa. También se usa para rellenar `network_data`.
`msg`	`read_only_udm.network.email.subject`	Se asigna directamente después de decodificar UTF-8 y eliminar los retornos de carro, los saltos de línea y las comillas adicionales. También se usa para rellenar `network_data`.
`msg1`	Varias	Analizado con el filtro kv. Se usa para extraer `Hostname`, `helo`, `env-from` y `reply-to`.
`outbound_malware_scanning_policy_group`	`read_only_udm.security_result.detection_fields.value`	Se asigna directamente si no está vacío, "-" o "NONE". La clave es "DataSecurityPolicyGroup".
`port`	`read_only_udm.target.port`	Se asigna y se convierte directamente en un número entero.
`principalMail`	`read_only_udm.principal.user.email_addresses`	Asignación directa.
`principalUrl`	`read_only_udm.principal.url`	Asignación directa.
`product_event`	`read_only_udm.metadata.product_event_type`	Asignación directa. Se usa para determinar qué patrones grok se deben aplicar. Se quitan los caracteres "%" iniciales. "amp" se sustituye por "SIEM_AMPenginelogs".
`product_version`	`read_only_udm.metadata.product_version`	Asignación directa.
`protocol`	`read_only_udm.network.tls.version`	Asignación directa.
`received_bytes`	`read_only_udm.network.received_bytes`	Se asigna y se convierte directamente en un entero sin signo.
`reply-to`	`read_only_udm.additional.fields.value.string_value`	Asignación directa. La clave es "Reply-To".
`reputation`	`read_only_udm.security_result.confidence_details`	Asignación directa.
`request_method_uri`	`read_only_udm.target.url`	Asignación directa.
`result_code`	`read_only_udm.security_result.detection_fields.value`	Asignación directa. La clave es "Result Code".
`routing_policy_group`	`read_only_udm.security_result.detection_fields.value`	Se asigna directamente si no está vacío, "-" o "NONE". La clave es "RoutingPolicyGroup".
`rule`	`read_only_udm.security_result.detection_fields.value`	Asignación directa. La clave es "Matched Condition".
`SDRThreatCategory`	`read_only_udm.security_result.threat_name`	Se asigna directamente si no está vacío o es "N/A".
`SenderCountry`	`read_only_udm.principal.location.country_or_region`	Asignación directa.
`senderGroup`	`read_only_udm.principal.group.group_display_name`	Asignación directa.
`security_description`	`read_only_udm.security_result.description`	Asignación directa.
`security_email`	`read_only_udm.security_result.about.email` o `read_only_udm.principal.hostname`	Se asigna al correo si es una dirección de correo válida. De lo contrario, se asigna al nombre de host después de extraerlo con grok.
`source`	`read_only_udm.network.ip_protocol`	Si contiene "tcp", se asigna a "TCP".
`sourceAddress`	`read_only_udm.principal.ip`	Asignación directa.
`sourceHostName`	`read_only_udm.principal.administrative_domain`	Se asigna directamente si no es "unknown".
`source_ip`	`read_only_udm.principal.ip`	Asignación directa. Sobrescribe `ip` si está presente.
`Subject`	`read_only_udm.network.email.subject`	Se asigna directamente después de eliminar los puntos finales. También se usa para rellenar `network_data`.
`suser`	`read_only_udm.principal.user.email_addresses`, `read_only_udm.network.email.bounce_address`	Se asigna directamente a ambos campos de UDM si es una dirección de correo válida.
`target_ip`	`read_only_udm.target.ip`	Asignación directa.
`to`	`read_only_udm.network.email.to`	Se asigna directamente si es una dirección de correo válida. También se usa para rellenar `network_to`.
`total_bytes`	`read_only_udm.network.sent_bytes`	Se asigna y se convierte directamente en un entero sin signo.
`trackerHeader`	`read_only_udm.additional.fields.value.string_value`	Asignación directa. La clave es "Tracker Header".
`ts`, `ts1`, `year`	`read_only_udm.metadata.event_timestamp.seconds`	Se usa para crear la marca de tiempo del evento. `ts1` y `year` se combinan si `ts1` está presente. Se admiten varios formatos, con y sin el año. Si no se indica el año, se usa el año actual. Codificado como "Cisco". Codificado como "Cisco Email Security". El valor predeterminado es "ALLOW". Asigna el valor "BLOCK" en función de `loglevel` o `description`. Si se incluye `application_protocol`, el valor predeterminado es "INBOUND". Se define en función de `deviceDirection` para los mensajes CEF. Se determina en función de una combinación de campos, como `network_from`, `network_to`, `target_ip`, `ip`, `description`, `event_type`, `principal_host`, `Hostname`, `user_id` y `sourceAddress`. El valor predeterminado es "GENERIC_EVENT". Se asigna el valor "SMTP" si `application_protocol` es "SMTP" o "smtp", o si se incluyen `target_ip` y `ip`. Se define como "AUTHTYPE_UNSPECIFIED" si `login_status` y `user_id` están presentes en los registros de sshd. Se debe definir como true si `loglevel` es "Critical" o "Alert".

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.