Collecter les journaux de la passerelle e-mail sécurisée Cisco

Compatible avec:

Ce document explique comment collecter les journaux de la passerelle de messagerie sécurisée Cisco à l'aide d'un transfert Google Security Operations.

Pour en savoir plus, consultez Ingestion de données dans Google SecOps.

Un libellé d'ingestion identifie l'analyseur qui normalise les données de journal brutes au format UDM structuré. Les informations de ce document s'appliquent à l'analyseur avec le libellé d'ingestion CISCO-EMAIL-SECURITY.

Configurer Cisco Secure Email Gateway

  1. Dans la console Cisco Secure Email Gateway, sélectionnez Administration système > Abonnements aux journaux.
  2. Dans la fenêtre Nouvel abonnement aux journaux, procédez comme suit pour ajouter un abonnement aux journaux :
    1. Dans le champ Type de journal, sélectionnez Journaux d'événements consolidés.
    2. Dans la section Champs de journal disponibles, sélectionnez tous les champs disponibles, puis cliquez sur Ajouter pour les déplacer vers la section Champs de journal sélectionnés.
    3. Pour sélectionner une méthode de récupération des journaux pour l'abonnement aux journaux, sélectionnez Syslog push (Transfert Syslog) et procédez comme suit :
      1. Dans le champ Hostname (Nom d'hôte), spécifiez l'adresse IP du forwarder Google SecOps.
      2. Dans le champ Protocole, cochez la case TCP.
      3. Dans le champ Facility (Équipement), utilisez la valeur par défaut.
  3. Pour enregistrer vos modifications de configuration, cliquez sur Envoyer.

Configurer le transpondeur Google SecOps pour ingèrer Cisco Secure Email Gateway

  1. Accédez à Paramètres du SIEM > Transferts.
  2. Cliquez sur Ajouter un transporteur.
  3. Dans le champ Nom du transmettant, saisissez un nom unique pour le transmettant.
  4. Cliquez sur Envoyer. Le forwarder est ajouté, et la fenêtre Ajouter une configuration de collecteur s'affiche.
  5. Dans le champ Nom du collecteur, saisissez un nom.
  6. Sélectionnez Cisco Email Security comme Type de journal.
  7. Dans le champ Type de collecteur, sélectionnez Syslog.
  8. Configurez les paramètres d'entrée obligatoires suivants :
    • Protocole: spécifiez le protocole de connexion utilisé par le collecteur pour écouter les données syslog.
    • Address (Adresse) : spécifiez l'adresse IP ou le nom d'hôte cible où le collecteur réside et écoute les données syslog.
    • Port: spécifiez le port cible sur lequel se trouve le collecteur et qui écoute les données syslog.
  9. Cliquez sur Envoyer.

Pour en savoir plus sur les transferts Google SecOps, consultez Gérer les configurations de transfert via l'interface utilisateur Google SecOps.

Si vous rencontrez des problèmes lors de la création de transmetteurs, contactez l'assistance Google SecOps.

Référence de mappage de champs

Cet analyseur gère à la fois les journaux Cisco Email Security structurés (JSON, paires clé-valeur) et non structurés (syslog). Il normalise divers formats de journaux dans UDM en exploitant des modèles grok, l'extraction de clés-valeurs et la logique conditionnelle basée sur le champ product_event pour mapper les champs Cisco ESA pertinents sur UDM. Il effectue également un enrichissement des données, par exemple en convertissant les codes temporels et en gérant les messages répétés.

Tableau de mappage UDM

Champ du journal Mappage UDM Logique
acl_decision_tag read_only_udm.security_result.detection_fields.value Mappage direct s'il n'est pas vide, "-" ou "NONE". La clé est "ACL Decision Tag".
access_or_decryption_policy_group read_only_udm.security_result.detection_fields.value Mappage direct s'il n'est pas vide, "-" ou "NONE". La clé est "AccessOrDecryptionPolicyGroup".
act read_only_udm.security_result.action_details Mappage direct.
authenticated_user read_only_udm.principal.user.userid Mappé directement s'il n'est pas vide, "-" ou "NONE".
cache_hierarchy_retrieval read_only_udm.security_result.detection_fields.value Mappé directement s'il n'est pas vide, "-" ou "NONE". La clé est "Récupération de la hiérarchie de cache".
cipher read_only_udm.network.tls.cipher Mappage direct.
country read_only_udm.principal.location.country_or_region Mappage direct.
data_security_policy_group read_only_udm.security_result.detection_fields.value Mappage direct s'il n'est pas vide, "-" ou "NONE". La clé est "DataSecurityPolicyGroup".
description read_only_udm.metadata.description Mappage direct pour les messages syslog. Pour les messages CEF, il s'agit de la description générale du produit. Différents modèles grok extraient des descriptions spécifiques en fonction de product_event. Certaines descriptions sont modifiées par gsub pour supprimer les espaces et les deux-points au début et à la fin.
deviceDirection read_only_udm.network.direction Si la valeur est "0", la valeur mappée est "INBOUND". Si la valeur est "1", la valeur mappée est "SORTANT". Permet de déterminer le chiffrement et le protocole TLS à mapper directement, et ceux à mapper en tant qu'étiquettes.
deviceExternalId read_only_udm.principal.asset.asset_id Mappé en tant qu'"ID de l'appareil:".
domain read_only_udm.target.administrative_domain Mappé directement à partir des journaux JSON.
domain_age read_only_udm.security_result.about.labels.value Mappage direct. La clé est "YoungestDomainAge".
duser read_only_udm.target.user.email_addresses, read_only_udm.network.email.to Si la valeur contient "", divisez-la en plusieurs adresses e-mail et mappez-les chacune aux deux champs UDM. Sinon, mappez directement les deux champs UDM si l'adresse e-mail est valide. Permet également de renseigner network_to s'il est vide.
dvc read_only_udm.target.ip Mappage direct.
entries.collection_time.nanos, entries.collection_time.seconds read_only_udm.metadata.event_timestamp.nanos, read_only_udm.metadata.event_timestamp.seconds Utilisé pour créer le code temporel de l'événement.
env-from read_only_udm.additional.fields.value.string_value Mappage direct. La clé est "Env-From".
ESAAttachmentDetails read_only_udm.security_result.about.file.full_path, read_only_udm.security_result.about.file.sha256 Analyse pour extraire les noms de fichiers et les hachages SHA-256. Vous pouvez extraire plusieurs fichiers et hachages.
ESADCID read_only_udm.security_result.about.labels.value Mappage direct. La clé est "ESADCID".
ESAFriendlyFrom read_only_udm.principal.user.user_display_name, read_only_udm.network.email.from Analyse pour extraire le nom à afficher et l'adresse e-mail.
ESAHeloDomain read_only_udm.intermediary.administrative_domain Mappage direct.
ESAHeloIP read_only_udm.intermediary.ip Mappage direct.
ESAICID read_only_udm.security_result.about.labels.value Mappage direct. La clé est "ESAICID".
ESAMailFlowPolicy read_only_udm.security_result.rule_name Mappage direct.
ESAMID read_only_udm.security_result.about.labels.value Mappage direct. La clé est "ESAMID".
ESAReplyTo read_only_udm.network.email.reply_to Mappage direct si l'adresse e-mail est valide. Utilisé également pour renseigner network_to.
ESASDRDomainAge read_only_udm.security_result.about.labels.value Mappage direct. La clé est "ESASDRDomainAge".
ESASenderGroup read_only_udm.principal.group.group_display_name Mappage direct.
ESAStatus read_only_udm.security_result.about.labels.value Mappage direct. La clé est "ESAStatus".
ESATLSInCipher read_only_udm.network.tls.cipher ou read_only_udm.security_result.about.labels.value Mappé directement au chiffrement si deviceDirection est "0". Sinon, mappé en tant que libellé avec la clé "ESATLSInCipher".
ESATLSInProtocol read_only_udm.network.tls.version ou read_only_udm.security_result.about.labels.value Version TLS extraite et mappée directement si deviceDirection est défini sur "0". Sinon, mappé en tant que libellé avec la clé "ESATLSInProtocol".
ESATLSOutCipher read_only_udm.network.tls.cipher ou read_only_udm.security_result.about.labels.value Mappé directement au chiffrement si deviceDirection est défini sur "1". Sinon, mappé en tant que libellé avec la clé "ESATLSOutCipher".
ESATLSOutProtocol read_only_udm.network.tls.version ou read_only_udm.security_result.about.labels.value Version TLS extraite et mappée directement si deviceDirection est défini sur "1". Sinon, mappé en tant que libellé avec la clé "ESATLSOutProtocol".
ESAURLDetails read_only_udm.target.url Analyse pour extraire les URL. Seule la première URL est mappée, car le champ n'est pas répété.
external_dlp_policy_group read_only_udm.security_result.detection_fields.value Mappé directement s'il n'est pas vide, "-" ou "NONE". La clé est "ExternalDlpPolicyGroup".
ExternalMsgID read_only_udm.security_result.about.labels.value Mappage direct après suppression des guillemets simples et des crochets angulaires. La clé est "ExternalMsgID".
from read_only_udm.network.email.from Mappage direct si l'adresse e-mail est valide. Utilisé également pour renseigner network_from.
host.hostname read_only_udm.principal.hostname ou read_only_udm.intermediary.hostname Mappé au nom d'hôte principal si le champ host n'est pas valide. Il est également mappé sur le nom d'hôte intermédiaire.
host.ip read_only_udm.principal.ip ou read_only_udm.intermediary.ip Mappé à l'adresse IP principale si le champ ip n'est pas défini dans les journaux JSON. Il est également mappé sur une adresse IP intermédiaire.
hostname read_only_udm.target.hostname Mappage direct.
http_method read_only_udm.network.http.method Mappage direct.
http_response_code read_only_udm.network.http.response_code Mappé directement et converti en entier.
identity_policy_group read_only_udm.security_result.detection_fields.value Mappé directement s'il n'est pas vide, "-" ou "NONE". La clé est "IdentityPolicyGroup".
ip read_only_udm.principal.ip Mappage direct. Remplace par source_ip, le cas échéant.
kv_msg Divers Analyse effectuée à l'aide du filtre kv. Le prétraitement consiste à remplacer les espaces avant les clés par "#" et à permuter les valeurs csLabel.
log_type read_only_udm.metadata.log_type Code codé en dur sur "CISCO_EMAIL_SECURITY".
loglevel read_only_udm.security_result.severity, read_only_udm.security_result.action Permet de déterminer la gravité et l'action. "Info", "", "Debug" et "Trace" correspondent à "INFORMATIONAL" et "ALLOW". "Avertissement" correspond à "MOYENNE" et "AUTORISER". "Élevé" correspond à "HIGH" et "BLOCK". "Critical" (Critique) et "Alert" (Alerte) sont mappés sur "CRITICAL" (CRITIQUE) et "BLOCK" (BLOQUER), et is_alert est défini sur "true".
mail_id read_only_udm.network.email.mail_id Mappé directement à partir des journaux JSON.
mailto read_only_udm.target.user.email_addresses, read_only_udm.network.email.to Mappé directement aux deux champs UDM si l'adresse e-mail est valide.
MailPolicy read_only_udm.security_result.about.labels.value Mappage direct. La clé est "MailPolicy".
message Divers Analysé au format JSON, si possible. Sinon, il est traité comme un message syslog.
message_id read_only_udm.network.email.mail_id Mappage direct. Utilisé également pour renseigner network_data.
msg read_only_udm.network.email.subject Mappage direct après le décodage UTF-8 et la suppression des retours à la ligne, des nouvelles lignes et des guillemets supplémentaires. Utilisé également pour renseigner network_data.
msg1 Divers Analyse effectuée à l'aide du filtre kv. Permet d'extraire Hostname, helo, env-from et reply-to.
outbound_malware_scanning_policy_group read_only_udm.security_result.detection_fields.value Mappé directement s'il n'est pas vide, "-" ou "NONE". La clé est "DataSecurityPolicyGroup".
port read_only_udm.target.port Mappé directement et converti en entier.
principalMail read_only_udm.principal.user.email_addresses Mappage direct.
principalUrl read_only_udm.principal.url Mappage direct.
product_event read_only_udm.metadata.product_event_type Mappage direct. Permet de déterminer les modèles Grok à appliquer. Les caractères "%" au début sont supprimés. "amp" est remplacé par "SIEM_AMPenginelogs".
product_version read_only_udm.metadata.product_version Mappage direct.
protocol read_only_udm.network.tls.version Mappage direct.
received_bytes read_only_udm.network.received_bytes Mappé directement et converti en entier non signé.
reply-to read_only_udm.additional.fields.value.string_value Mappage direct. La clé est "Reply-To".
reputation read_only_udm.security_result.confidence_details Mappage direct.
request_method_uri read_only_udm.target.url Mappage direct.
result_code read_only_udm.security_result.detection_fields.value Mappage direct. La clé est "Code de résultat".
routing_policy_group read_only_udm.security_result.detection_fields.value Mappage direct s'il n'est pas vide, "-" ou "NONE". La clé est "RoutingPolicyGroup".
rule read_only_udm.security_result.detection_fields.value Mappage direct. La clé est "Condition de correspondance".
SDRThreatCategory read_only_udm.security_result.threat_name Mappé directement s'il n'est pas vide ou ne contient pas la valeur "N/A".
SenderCountry read_only_udm.principal.location.country_or_region Mappage direct.
senderGroup read_only_udm.principal.group.group_display_name Mappage direct.
security_description read_only_udm.security_result.description Mappage direct.
security_email read_only_udm.security_result.about.email ou read_only_udm.principal.hostname Mappé à l'adresse e-mail si elle est valide. Sinon, mappé sur le nom d'hôte après extraction avec grok.
source read_only_udm.network.ip_protocol Si "tcp" est présent, correspond à "TCP".
sourceAddress read_only_udm.principal.ip Mappage direct.
sourceHostName read_only_udm.principal.administrative_domain Mappé directement s'il n'est pas défini sur "inconnu".
source_ip read_only_udm.principal.ip Mappage direct. Remplace ip, le cas échéant.
Subject read_only_udm.network.email.subject Mappé directement après suppression des points à la fin. Utilisé également pour renseigner network_data.
suser read_only_udm.principal.user.email_addresses, read_only_udm.network.email.bounce_address Mappé directement aux deux champs UDM si l'adresse e-mail est valide.
target_ip read_only_udm.target.ip Mappage direct.
to read_only_udm.network.email.to Mappage direct si l'adresse e-mail est valide. Utilisé également pour renseigner network_to.
total_bytes read_only_udm.network.sent_bytes Mappé directement et converti en entier non signé.
trackerHeader read_only_udm.additional.fields.value.string_value Mappage direct. La clé est "En-tête du traceur".
ts, ts1, year read_only_udm.metadata.event_timestamp.seconds Utilisé pour créer le code temporel de l'événement. ts1 et year sont combinés si ts1 est présent. Différents formats sont acceptés, avec ou sans l'année. Si l'année n'est pas indiquée, l'année en cours est utilisée. Code dur "Cisco". Code codé en dur sur "Cisco Email Security". La valeur par défaut est "ALLOW". Définissez cette valeur sur "BLOCK" en fonction de loglevel ou description. La valeur par défaut est "INBOUND" si application_protocol est présent. Défini en fonction de deviceDirection pour les messages CEF. Déterminé en fonction d'une combinaison de champs, y compris network_from, network_to, target_ip, ip, description, event_type, principal_host, Hostname, user_id et sourceAddress. La valeur par défaut est "GENERIC_EVENT". Définissez cette valeur sur "SMTP" si application_protocol est "SMTP" ou "smtp", ou si target_ip et ip sont présents. Défini sur "AUTHTYPE_UNSPECIFIED" si login_status et user_id sont présents dans les journaux sshd. Définissez cette valeur sur "true" si loglevel est défini sur "Critical" (Critique) ou "Alert" (Alerte).

Modifications

2023-10-05

  • Correction de bug:
  • Modification du nom de "product_event" de "amp" en "SIEM_AMPenginelogs".

2023-09-15

  • Ajout de la prise en charge de "SIEM_proxylogs","SIEM_webrootlogs" et "SIEM_AMPenginelogs" pour les journaux JSON.

2023-09-04

  • Amélioration
  • Ajout d'un modèle Grok pour analyser les journaux non analysés et mise en correspondance des champs en conséquence.
  • Prise en charge d'un nouveau format de journaux JSON.

2022-12-16

  • Amélioration
  • Modifications des vérifications conditionnelles pour les champs mappés sur "network.email.to", "network.email.from", "principal.user.email_addresses", "target.user.email_addresses" et "network.email.reply_to".
  • Ajout de la compatibilité avec les journaux JSON :
  • Mappage du champ "host" sur "principal.hostname".
  • Mappage du champ "domain" sur "target.administrative_domain".
  • Mise en correspondance du champ "mail_id" avec "network.email.mail_id".
  • Mappage du champ "mailto" sur "network.email.to" et "target.user.email_addresses".
  • Mappage du champ "source" sur "network.ip_protocol".
  • Mappage du champ "reputation" sur "security_result.confidence_details".
  • Mappage du champ "log_type" sur "security_result.severity" et "security_result.severity_details".
  • Mappage du champ "cribl_pipe" sur "additional.fields".

2022-09-22

  • Amélioration
  • Ajout d'un format grok pour les journaux non analysés, avec le champ "product_event" vide.

2022-08-02

  • Amélioration
  • Ajout de conditions pour les nouveaux types d'événements "STATUS_UPDATE", "USER_UNCATEGORIZED" et "SCAN_PROCESS"
  • Mappage de "attack" sur "security_result.category_details"
  • Amélioration de l'analyseur pour analyser le champ "ESAAttachmentDetails" de différents types de journaux.

2022-06-09

  • Amélioration : mise en correspondance de "from_user" avec "principal.user.user_display_name".
  • "metadata.product_event_type" est passé de "Consolidated Log Event" à "ESA_CONSOLIDATED_LOG_EVENT".

2022-06-07

  • Amélioration : mappage de suser sur network.email.bounce_address.

2022-05-17

  • Amélioration : mappage de duser sur network.email.to.
  • Ajout de "on_error" pour les champs "product_version" et "product_description" afin d'éviter la mise en correspondance des valeurs nulles avec UDM.
  • Ajout d'une logique supplémentaire pour analyser les journaux commençant par le format "JOUR TIMESTAMP ANNEE", par exemple: Mer 18 févr. 00:34:12 2021.

2022-05-05

  • Amélioration : utilisation de grok pour network.email.from

2022-03-31

  • Amélioration : ajout de mappages pour les nouveaux champs.
  • ESAReplyTo mappé sur network.email.reply_to.
  • duser mappé sur network.email.to.