Mengumpulkan log Cisco Secure Email Gateway

Didukung di:

Dokumen ini menjelaskan cara mengumpulkan log Cisco Secure Email Gateway menggunakan forwarder Google Security Operations.

Untuk informasi selengkapnya, lihat Penambahan data ke Google SecOps.

Label penyerapan mengidentifikasi parser yang menormalisasi data log mentah ke format UDM terstruktur. Informasi dalam dokumen ini berlaku untuk parser dengan label transfer CISCO-EMAIL-SECURITY.

Mengonfigurasi Cisco Secure Email Gateway

  1. Di konsol Cisco Secure Email Gateway, pilih Administrasi sistem > Langganan log.
  2. Di jendela New log subscription, lakukan hal berikut untuk menambahkan langganan log:
    1. Di kolom Jenis log, pilih Log peristiwa gabungan.
    2. Di bagian Available log fields, pilih semua kolom yang tersedia, lalu klik Add untuk memindahkannya ke Selected log fields.
    3. Untuk memilih metode pengambilan log untuk langganan log, pilih Syslog push, lalu lakukan hal berikut:
      1. Di kolom Hostname, tentukan alamat IP penerusan Google SecOps.
      2. Di kolom Protocol, centang kotak TCP.
      3. Di kolom Fasilitas, gunakan nilai default.
  3. Untuk menyimpan perubahan konfigurasi, klik Kirim.

Mengonfigurasi penerusan Google SecOps untuk menyerap Cisco Secure Email Gateway

  1. Buka Setelan SIEM > Penerima.
  2. Klik Tambahkan forwarder baru
  3. Di kolom Forwarder Name, masukkan nama unik untuk pengirim.
  4. Klik Kirim. Pengirim ditambahkan dan jendela Tambahkan konfigurasi kolektor akan muncul.
  5. Di kolom Nama kolektor, ketik nama.
  6. Pilih Cisco Email Security sebagai Log type.
  7. Di kolom Jenis kolektor, pilih Syslog.
  8. Konfigurasikan parameter input wajib berikut:
    • Protokol: tentukan protokol koneksi yang digunakan kolektor untuk memproses data syslog.
    • Address: tentukan alamat IP atau nama host target tempat kolektor berada dan memproses data syslog.
    • Port: menentukan port target tempat kolektor berada dan memproses data syslog.
  9. Klik Kirim.

Untuk informasi selengkapnya tentang forwarder Google SecOps, lihat Mengelola konfigurasi forwarder melalui UI Google SecOps.

Jika Anda mengalami masalah saat membuat penerusan, hubungi dukungan Google SecOps.

Referensi pemetaan kolom

Parser ini menangani log Cisco Email Security terstruktur (JSON, key-value pair) dan tidak terstruktur (syslog). Alat ini menormalisasi berbagai format log ke UDM dengan memanfaatkan pola grok, ekstraksi nilai kunci, dan logika bersyarat berdasarkan kolom product_event untuk memetakan kolom Cisco ESA yang relevan ke UDM. Fungsi ini juga melakukan pengayaan data, seperti mengonversi stempel waktu dan menangani pesan berulang.

Tabel Pemetaan UDM

Kolom log Pemetaan UDM Logika
acl_decision_tag read_only_udm.security_result.detection_fields.value Dipetakan langsung jika tidak kosong, "-", atau "NONE". Kuncinya adalah "ACL Decision Tag".
access_or_decryption_policy_group read_only_udm.security_result.detection_fields.value Dipetakan langsung jika tidak kosong, "-", atau "NONE". Kuncinya adalah "AccessOrDecryptionPolicyGroup".
act read_only_udm.security_result.action_details Dipetakan secara langsung.
authenticated_user read_only_udm.principal.user.userid Dipetakan langsung jika tidak kosong, "-", atau "NONE".
cache_hierarchy_retrieval read_only_udm.security_result.detection_fields.value Dipetakan langsung jika tidak kosong, "-", atau "NONE". Kuncinya adalah "Pengambilan Hierarki Cache".
cipher read_only_udm.network.tls.cipher Dipetakan secara langsung.
country read_only_udm.principal.location.country_or_region Dipetakan secara langsung.
data_security_policy_group read_only_udm.security_result.detection_fields.value Dipetakan langsung jika tidak kosong, "-", atau "NONE". Kuncinya adalah "DataSecurityPolicyGroup".
description read_only_udm.metadata.description Dipetakan langsung untuk pesan syslog. Untuk pesan CEF, pesan ini menjadi deskripsi produk secara keseluruhan. Berbagai pola grok mengekstrak deskripsi tertentu berdasarkan product_event. Beberapa deskripsi diubah oleh gsub untuk menghapus spasi di awal/akhir dan titik dua.
deviceDirection read_only_udm.network.direction Jika '0', dipetakan ke 'INBOUND'. Jika '1', dipetakan ke 'OUTBOUND'. Digunakan untuk menentukan cipher dan protokol TLS mana yang akan dipetakan secara langsung dan mana yang akan dipetakan sebagai label.
deviceExternalId read_only_udm.principal.asset.asset_id Dipetakan sebagai "ID Perangkat:".
domain read_only_udm.target.administrative_domain Dipetakan langsung dari log JSON.
domain_age read_only_udm.security_result.about.labels.value Dipetakan secara langsung. Kuncinya adalah "YoungestDomainAge".
duser read_only_udm.target.user.email_addresses, read_only_udm.network.email.to Jika berisi ";", bagi menjadi beberapa alamat email dan petakan setiap alamat ke kedua kolom UDM. Jika tidak, langsung petakan ke kedua kolom UDM jika alamat email valid. Juga digunakan untuk mengisi network_to jika kosong.
dvc read_only_udm.target.ip Dipetakan secara langsung.
entries.collection_time.nanos, entries.collection_time.seconds read_only_udm.metadata.event_timestamp.nanos, read_only_udm.metadata.event_timestamp.seconds Digunakan untuk membuat stempel waktu peristiwa.
env-from read_only_udm.additional.fields.value.string_value Dipetakan secara langsung. Kuncinya adalah "Env-From".
ESAAttachmentDetails read_only_udm.security_result.about.file.full_path, read_only_udm.security_result.about.file.sha256 Diurai untuk mengekstrak nama file dan hash SHA256. Beberapa file dan hash dapat diekstrak.
ESADCID read_only_udm.security_result.about.labels.value Dipetakan secara langsung. Kuncinya adalah "ESADCID".
ESAFriendlyFrom read_only_udm.principal.user.user_display_name, read_only_udm.network.email.from Diurai untuk mengekstrak nama tampilan dan alamat email.
ESAHeloDomain read_only_udm.intermediary.administrative_domain Dipetakan secara langsung.
ESAHeloIP read_only_udm.intermediary.ip Dipetakan secara langsung.
ESAICID read_only_udm.security_result.about.labels.value Dipetakan secara langsung. Kuncinya adalah "ESAICID".
ESAMailFlowPolicy read_only_udm.security_result.rule_name Dipetakan secara langsung.
ESAMID read_only_udm.security_result.about.labels.value Dipetakan secara langsung. Kuncinya adalah "ESAMID".
ESAReplyTo read_only_udm.network.email.reply_to Dipetakan langsung jika alamat email valid. Juga digunakan untuk mengisi network_to.
ESASDRDomainAge read_only_udm.security_result.about.labels.value Dipetakan secara langsung. Kuncinya adalah "ESASDRDomainAge".
ESASenderGroup read_only_udm.principal.group.group_display_name Dipetakan secara langsung.
ESAStatus read_only_udm.security_result.about.labels.value Dipetakan secara langsung. Kuncinya adalah "ESAStatus".
ESATLSInCipher read_only_udm.network.tls.cipher atau read_only_udm.security_result.about.labels.value Dipetakan langsung ke cipher jika deviceDirection adalah '0'. Jika tidak, dipetakan sebagai label dengan kunci "ESATLSInCipher".
ESATLSInProtocol read_only_udm.network.tls.version atau read_only_udm.security_result.about.labels.value Versi TLS diekstrak dan dipetakan langsung jika deviceDirection adalah '0'. Jika tidak, dipetakan sebagai label dengan kunci "ESATLSInProtocol".
ESATLSOutCipher read_only_udm.network.tls.cipher atau read_only_udm.security_result.about.labels.value Dipetakan langsung ke cipher jika deviceDirection adalah '1'. Jika tidak, dipetakan sebagai label dengan kunci "ESATLSOutCipher".
ESATLSOutProtocol read_only_udm.network.tls.version atau read_only_udm.security_result.about.labels.value Versi TLS diekstrak dan dipetakan langsung jika deviceDirection adalah '1'. Jika tidak, dipetakan sebagai label dengan kunci "ESATLSOutProtocol".
ESAURLDetails read_only_udm.target.url Diurai untuk mengekstrak URL. Hanya URL pertama yang dipetakan karena kolom tidak diulang.
external_dlp_policy_group read_only_udm.security_result.detection_fields.value Dipetakan langsung jika tidak kosong, "-", atau "NONE". Kuncinya adalah "ExternalDlpPolicyGroup".
ExternalMsgID read_only_udm.security_result.about.labels.value Dipetakan langsung setelah menghapus tanda petik tunggal dan tanda kurung sudut. Kuncinya adalah "ExternalMsgID".
from read_only_udm.network.email.from Dipetakan langsung jika alamat email valid. Juga digunakan untuk mengisi network_from.
host.hostname read_only_udm.principal.hostname atau read_only_udm.intermediary.hostname Dipetakan ke nama host utama jika kolom host tidak valid. Juga dipetakan ke nama host perantara.
host.ip read_only_udm.principal.ip atau read_only_udm.intermediary.ip Dipetakan ke IP utama jika kolom ip tidak ditetapkan dalam log JSON. Juga dipetakan ke IP perantara.
hostname read_only_udm.target.hostname Dipetakan secara langsung.
http_method read_only_udm.network.http.method Dipetakan secara langsung.
http_response_code read_only_udm.network.http.response_code Dipetakan dan dikonversi langsung menjadi bilangan bulat.
identity_policy_group read_only_udm.security_result.detection_fields.value Dipetakan langsung jika tidak kosong, "-", atau "NONE". Kuncinya adalah "IdentityPolicyGroup".
ip read_only_udm.principal.ip Dipetakan secara langsung. Ditimpa oleh source_ip jika ada.
kv_msg Berbagai Diurai menggunakan filter kv. Pra-pemrosesan mencakup penggantian spasi sebelum kunci dengan "#" dan menukar nilai csLabel.
log_type read_only_udm.metadata.log_type Di-hardcode ke "CISCO_EMAIL_SECURITY".
loglevel read_only_udm.security_result.severity, read_only_udm.security_result.action Digunakan untuk menentukan tingkat keparahan dan tindakan. "Info", "", "Debug", "Trace" dipetakan ke "INFORMATIONAL" dan "ALLOW". "Peringatan" dipetakan ke "SEDANG" dan "Izinkan". "Tinggi" dipetakan ke "TINGGI" dan "BLOKIR". "Critical" dan "Alert" dipetakan ke "CRITICAL", "BLOCK", dan menetapkan is_alert ke benar.
mail_id read_only_udm.network.email.mail_id Dipetakan langsung dari log JSON.
mailto read_only_udm.target.user.email_addresses, read_only_udm.network.email.to Dipetakan langsung ke kedua kolom UDM jika alamat email valid.
MailPolicy read_only_udm.security_result.about.labels.value Dipetakan secara langsung. Kuncinya adalah "MailPolicy".
message Berbagai Diurai sebagai JSON jika memungkinkan. Jika tidak, akan diproses sebagai pesan syslog.
message_id read_only_udm.network.email.mail_id Dipetakan secara langsung. Juga digunakan untuk mengisi network_data.
msg read_only_udm.network.email.subject Dipetakan langsung setelah dekode UTF-8 dan menghapus carriage return, baris baru, dan tanda kutip tambahan. Juga digunakan untuk mengisi network_data.
msg1 Berbagai Diurai menggunakan filter kv. Digunakan untuk mengekstrak Hostname, helo, env-from, dan reply-to.
outbound_malware_scanning_policy_group read_only_udm.security_result.detection_fields.value Dipetakan langsung jika tidak kosong, "-", atau "NONE". Kuncinya adalah "DataSecurityPolicyGroup".
port read_only_udm.target.port Dipetakan dan dikonversi langsung menjadi bilangan bulat.
principalMail read_only_udm.principal.user.email_addresses Dipetakan secara langsung.
principalUrl read_only_udm.principal.url Dipetakan secara langsung.
product_event read_only_udm.metadata.product_event_type Dipetakan secara langsung. Digunakan untuk menentukan pola grok yang akan diterapkan. Karakter "%" di awal dihapus. "amp" diganti dengan "SIEM_AMPenginelogs".
product_version read_only_udm.metadata.product_version Dipetakan secara langsung.
protocol read_only_udm.network.tls.version Dipetakan secara langsung.
received_bytes read_only_udm.network.received_bytes Dipetakan dan dikonversi secara langsung ke bilangan bulat tanpa tanda tangan.
reply-to read_only_udm.additional.fields.value.string_value Dipetakan secara langsung. Kuncinya adalah "Reply-To".
reputation read_only_udm.security_result.confidence_details Dipetakan secara langsung.
request_method_uri read_only_udm.target.url Dipetakan secara langsung.
result_code read_only_udm.security_result.detection_fields.value Dipetakan secara langsung. Kuncinya adalah "Kode Hasil".
routing_policy_group read_only_udm.security_result.detection_fields.value Dipetakan langsung jika tidak kosong, "-", atau "NONE". Kuncinya adalah "RoutingPolicyGroup".
rule read_only_udm.security_result.detection_fields.value Dipetakan secara langsung. Kuncinya adalah "Matched Condition".
SDRThreatCategory read_only_udm.security_result.threat_name Dipetakan langsung jika tidak kosong atau "T/A".
SenderCountry read_only_udm.principal.location.country_or_region Dipetakan secara langsung.
senderGroup read_only_udm.principal.group.group_display_name Dipetakan secara langsung.
security_description read_only_udm.security_result.description Dipetakan secara langsung.
security_email read_only_udm.security_result.about.email atau read_only_udm.principal.hostname Dipetakan ke email jika alamat email valid. Jika tidak, dipetakan ke nama host setelah diekstrak dengan grok.
source read_only_udm.network.ip_protocol Jika berisi "tcp", akan dipetakan ke "TCP".
sourceAddress read_only_udm.principal.ip Dipetakan secara langsung.
sourceHostName read_only_udm.principal.administrative_domain Dipetakan langsung jika bukan "tidak diketahui".
source_ip read_only_udm.principal.ip Dipetakan secara langsung. Mengganti ip jika ada.
Subject read_only_udm.network.email.subject Dipetakan langsung setelah menghapus titik di akhir. Juga digunakan untuk mengisi network_data.
suser read_only_udm.principal.user.email_addresses, read_only_udm.network.email.bounce_address Dipetakan langsung ke kedua kolom UDM jika alamat email valid.
target_ip read_only_udm.target.ip Dipetakan secara langsung.
to read_only_udm.network.email.to Dipetakan langsung jika alamat email valid. Juga digunakan untuk mengisi network_to.
total_bytes read_only_udm.network.sent_bytes Dipetakan dan dikonversi secara langsung ke bilangan bulat tanpa tanda tangan.
trackerHeader read_only_udm.additional.fields.value.string_value Dipetakan secara langsung. Kuncinya adalah "Header Pelacak".
ts, ts1, year read_only_udm.metadata.event_timestamp.seconds Digunakan untuk membuat stempel waktu peristiwa. ts1 dan year digabungkan jika ts1 ada. Berbagai format didukung, dengan dan tanpa tahun. Jika tahun tidak ada, tahun saat ini akan digunakan. Di-hardcode ke "Cisco". Di-hardcode ke "Cisco Email Security". Defaultnya adalah "ALLOW". Tetapkan ke "BLOCK" berdasarkan loglevel atau description. Defaultnya adalah "INBOUND" jika application_protocol ada. Tetapkan berdasarkan deviceDirection untuk pesan CEF. Ditentukan berdasarkan kombinasi kolom termasuk network_from, network_to, target_ip, ip, description, event_type, principal_host, Hostname, user_id, dan sourceAddress. Defaultnya adalah "GENERIC_EVENT". Tetapkan ke "SMTP" jika application_protocol adalah "SMTP" atau "smtp", atau jika target_ip dan ip ada. Tetapkan ke "AUTHTYPE_UNSPECIFIED" jika login_status dan user_id ada di log sshd. Tetapkan ke benar jika loglevel adalah "Kritis" atau "Peringatan".

Perubahan

2023-10-05

  • Perbaikan Bug:
  • Mengganti nama 'product_event' dari 'amp' menjadi 'SIEM_AMPenginelogs'.

2023-09-15

  • Menambahkan dukungan untuk "SIEM_proxylogs","SIEM_webrootlogs","SIEM_AMPenginelogs" dari log json.

2023-09-04

  • Penyempurnaan
  • Menambahkan pola Grok untuk mengurai log yang tidak diuraikan dan memetakan kolom yang sesuai.
  • Menambahkan dukungan untuk pola log JSON baru.

2022-12-16

  • Penyempurnaan
  • Mengubah pemeriksaan bersyarat untuk kolom yang dipetakan ke 'network.email.to', 'network.email.from', 'principal.user.email_addresses', 'target.user.email_addresses', dan 'network.email.reply_to'.
  • Menambahkan dukungan untuk log json :
  • Memetakan kolom 'host' ke 'principal.hostname'.
  • Memetakan kolom 'domain' ke 'target.administrative_domain'.
  • Memetakan kolom 'mail_id' ke 'network.email.mail_id'.
  • Memetakan kolom 'mailto' ke 'network.email.to' dan 'target.user.email_addresses'.
  • Memetakan kolom 'source' ke 'network.ip_protocol'.
  • Memetakan kolom 'reputation' ke 'security_result.confidence_details'.
  • Memetakan kolom 'log_type' ke 'security_result.severity' dan 'security_result.severity_details'.
  • Memetakan kolom 'cribl_pipe' ke 'additional.fields'.

2022-09-22

  • Penyempurnaan
  • Menambahkan pola grok untuk log yang tidak diuraikan, dengan kolom "product_event" kosong.

2022-08-02

  • Penyempurnaan
  • Menambahkan kondisi untuk event_type yang baru ditambahkan "STATUS_UPDATE", "USER_UNCATEGORIZED", "SCAN_PROCESS"
  • Memetakan "attack" ke "security_result.category_details"
  • Meningkatkan parser untuk mengurai kolom "ESAAttachmentDetails" dari berbagai jenis log.

2022-06-09

  • Peningkatan- Memetakan "from_user" ke "principal.user.user_display_name".
  • Memperbarui "metadata.product_event_type" dari "Consolidated Log Event" menjadi "ESA_CONSOLIDATED_LOG_EVENT".

2022-06-07

  • Peningkatan- Memetakan suser ke network.email.bounce_address.

2022-05-17

  • Peningkatan - Memetakan duser ke network.email.to.
  • Menambahkan on_error untuk kolom product_version dan product_description untuk menghindari pemetaan nilai null ke UDM.
  • Menambahkan logika tambahan untuk mengurai log yang dimulai dengan format "DAY TIMESTAMP YEAR", misalnya: Rabu, 18 Februari 00.34.12 2021.

2022-05-05

  • Peningkatan-Menggunakan grok untuk network.email.from

2022-03-31

  • Peningkatan-Pemetaan yang ditambahkan untuk kolom baru.
  • ESAReplyTo dipetakan ke network.email.reply_to.
  • duser dipetakan ke network.email.to.