Mengumpulkan log Cisco Secure Email Gateway
Dokumen ini menjelaskan cara mengumpulkan log Cisco Secure Email Gateway menggunakan forwarder Google Security Operations.
Untuk informasi selengkapnya, lihat Penambahan data ke Google SecOps.
Label penyerapan mengidentifikasi parser yang menormalisasi data log mentah ke format UDM terstruktur. Informasi dalam dokumen ini berlaku untuk parser dengan
label transfer CISCO-EMAIL-SECURITY
.
Mengonfigurasi Cisco Secure Email Gateway
- Di konsol Cisco Secure Email Gateway, pilih Administrasi sistem > Langganan log.
- Di jendela New log subscription, lakukan hal berikut untuk menambahkan
langganan log:
- Di kolom Jenis log, pilih Log peristiwa gabungan.
- Di bagian Available log fields, pilih semua kolom yang tersedia, lalu klik Add untuk memindahkannya ke Selected log fields.
- Untuk memilih metode pengambilan log untuk langganan log, pilih
Syslog push, lalu lakukan hal berikut:
- Di kolom Hostname, tentukan alamat IP penerusan Google SecOps.
- Di kolom Protocol, centang kotak TCP.
- Di kolom Fasilitas, gunakan nilai default.
- Untuk menyimpan perubahan konfigurasi, klik Kirim.
Mengonfigurasi penerusan Google SecOps untuk menyerap Cisco Secure Email Gateway
- Buka Setelan SIEM > Penerima.
- Klik Tambahkan forwarder baru
- Di kolom Forwarder Name, masukkan nama unik untuk pengirim.
- Klik Kirim. Pengirim ditambahkan dan jendela Tambahkan konfigurasi kolektor akan muncul.
- Di kolom Nama kolektor, ketik nama.
- Pilih Cisco Email Security sebagai Log type.
- Di kolom Jenis kolektor, pilih Syslog.
- Konfigurasikan parameter input wajib berikut:
- Protokol: tentukan protokol koneksi yang digunakan kolektor untuk memproses data syslog.
- Address: tentukan alamat IP atau nama host target tempat kolektor berada dan memproses data syslog.
- Port: menentukan port target tempat kolektor berada dan memproses data syslog.
- Klik Kirim.
Untuk informasi selengkapnya tentang forwarder Google SecOps, lihat Mengelola konfigurasi forwarder melalui UI Google SecOps.
Jika Anda mengalami masalah saat membuat penerusan, hubungi dukungan Google SecOps.
Referensi pemetaan kolom
Parser ini menangani log Cisco Email Security terstruktur (JSON, key-value pair) dan tidak terstruktur (syslog). Alat ini menormalisasi berbagai format log ke UDM dengan memanfaatkan pola grok
, ekstraksi nilai kunci, dan logika bersyarat berdasarkan kolom product_event
untuk memetakan kolom Cisco ESA yang relevan ke UDM. Fungsi ini juga melakukan pengayaan data, seperti mengonversi stempel waktu dan menangani pesan berulang.
Tabel Pemetaan UDM
Kolom log | Pemetaan UDM | Logika |
---|---|---|
acl_decision_tag |
read_only_udm.security_result.detection_fields.value |
Dipetakan langsung jika tidak kosong, "-", atau "NONE". Kuncinya adalah "ACL Decision Tag". |
access_or_decryption_policy_group |
read_only_udm.security_result.detection_fields.value |
Dipetakan langsung jika tidak kosong, "-", atau "NONE". Kuncinya adalah "AccessOrDecryptionPolicyGroup". |
act |
read_only_udm.security_result.action_details |
Dipetakan secara langsung. |
authenticated_user |
read_only_udm.principal.user.userid |
Dipetakan langsung jika tidak kosong, "-", atau "NONE". |
cache_hierarchy_retrieval |
read_only_udm.security_result.detection_fields.value |
Dipetakan langsung jika tidak kosong, "-", atau "NONE". Kuncinya adalah "Pengambilan Hierarki Cache". |
cipher |
read_only_udm.network.tls.cipher |
Dipetakan secara langsung. |
country |
read_only_udm.principal.location.country_or_region |
Dipetakan secara langsung. |
data_security_policy_group |
read_only_udm.security_result.detection_fields.value |
Dipetakan langsung jika tidak kosong, "-", atau "NONE". Kuncinya adalah "DataSecurityPolicyGroup". |
description |
read_only_udm.metadata.description |
Dipetakan langsung untuk pesan syslog. Untuk pesan CEF, pesan ini menjadi deskripsi produk secara keseluruhan. Berbagai pola grok mengekstrak deskripsi tertentu berdasarkan product_event . Beberapa deskripsi diubah oleh gsub untuk menghapus spasi di awal/akhir dan titik dua. |
deviceDirection |
read_only_udm.network.direction |
Jika '0', dipetakan ke 'INBOUND'. Jika '1', dipetakan ke 'OUTBOUND'. Digunakan untuk menentukan cipher dan protokol TLS mana yang akan dipetakan secara langsung dan mana yang akan dipetakan sebagai label. |
deviceExternalId |
read_only_udm.principal.asset.asset_id |
Dipetakan sebagai "ID Perangkat: |
domain |
read_only_udm.target.administrative_domain |
Dipetakan langsung dari log JSON. |
domain_age |
read_only_udm.security_result.about.labels.value |
Dipetakan secara langsung. Kuncinya adalah "YoungestDomainAge". |
duser |
read_only_udm.target.user.email_addresses , read_only_udm.network.email.to |
Jika berisi ";", bagi menjadi beberapa alamat email dan petakan setiap alamat ke kedua kolom UDM. Jika tidak, langsung petakan ke kedua kolom UDM jika alamat email valid. Juga digunakan untuk mengisi network_to jika kosong. |
dvc |
read_only_udm.target.ip |
Dipetakan secara langsung. |
entries.collection_time.nanos , entries.collection_time.seconds |
read_only_udm.metadata.event_timestamp.nanos , read_only_udm.metadata.event_timestamp.seconds |
Digunakan untuk membuat stempel waktu peristiwa. |
env-from |
read_only_udm.additional.fields.value.string_value |
Dipetakan secara langsung. Kuncinya adalah "Env-From". |
ESAAttachmentDetails |
read_only_udm.security_result.about.file.full_path , read_only_udm.security_result.about.file.sha256 |
Diurai untuk mengekstrak nama file dan hash SHA256. Beberapa file dan hash dapat diekstrak. |
ESADCID |
read_only_udm.security_result.about.labels.value |
Dipetakan secara langsung. Kuncinya adalah "ESADCID". |
ESAFriendlyFrom |
read_only_udm.principal.user.user_display_name , read_only_udm.network.email.from |
Diurai untuk mengekstrak nama tampilan dan alamat email. |
ESAHeloDomain |
read_only_udm.intermediary.administrative_domain |
Dipetakan secara langsung. |
ESAHeloIP |
read_only_udm.intermediary.ip |
Dipetakan secara langsung. |
ESAICID |
read_only_udm.security_result.about.labels.value |
Dipetakan secara langsung. Kuncinya adalah "ESAICID". |
ESAMailFlowPolicy |
read_only_udm.security_result.rule_name |
Dipetakan secara langsung. |
ESAMID |
read_only_udm.security_result.about.labels.value |
Dipetakan secara langsung. Kuncinya adalah "ESAMID". |
ESAReplyTo |
read_only_udm.network.email.reply_to |
Dipetakan langsung jika alamat email valid. Juga digunakan untuk mengisi network_to . |
ESASDRDomainAge |
read_only_udm.security_result.about.labels.value |
Dipetakan secara langsung. Kuncinya adalah "ESASDRDomainAge". |
ESASenderGroup |
read_only_udm.principal.group.group_display_name |
Dipetakan secara langsung. |
ESAStatus |
read_only_udm.security_result.about.labels.value |
Dipetakan secara langsung. Kuncinya adalah "ESAStatus". |
ESATLSInCipher |
read_only_udm.network.tls.cipher atau read_only_udm.security_result.about.labels.value |
Dipetakan langsung ke cipher jika deviceDirection adalah '0'. Jika tidak, dipetakan sebagai label dengan kunci "ESATLSInCipher". |
ESATLSInProtocol |
read_only_udm.network.tls.version atau read_only_udm.security_result.about.labels.value |
Versi TLS diekstrak dan dipetakan langsung jika deviceDirection adalah '0'. Jika tidak, dipetakan sebagai label dengan kunci "ESATLSInProtocol". |
ESATLSOutCipher |
read_only_udm.network.tls.cipher atau read_only_udm.security_result.about.labels.value |
Dipetakan langsung ke cipher jika deviceDirection adalah '1'. Jika tidak, dipetakan sebagai label dengan kunci "ESATLSOutCipher". |
ESATLSOutProtocol |
read_only_udm.network.tls.version atau read_only_udm.security_result.about.labels.value |
Versi TLS diekstrak dan dipetakan langsung jika deviceDirection adalah '1'. Jika tidak, dipetakan sebagai label dengan kunci "ESATLSOutProtocol". |
ESAURLDetails |
read_only_udm.target.url |
Diurai untuk mengekstrak URL. Hanya URL pertama yang dipetakan karena kolom tidak diulang. |
external_dlp_policy_group |
read_only_udm.security_result.detection_fields.value |
Dipetakan langsung jika tidak kosong, "-", atau "NONE". Kuncinya adalah "ExternalDlpPolicyGroup". |
ExternalMsgID |
read_only_udm.security_result.about.labels.value |
Dipetakan langsung setelah menghapus tanda petik tunggal dan tanda kurung sudut. Kuncinya adalah "ExternalMsgID". |
from |
read_only_udm.network.email.from |
Dipetakan langsung jika alamat email valid. Juga digunakan untuk mengisi network_from . |
host.hostname |
read_only_udm.principal.hostname atau read_only_udm.intermediary.hostname |
Dipetakan ke nama host utama jika kolom host tidak valid. Juga dipetakan ke nama host perantara. |
host.ip |
read_only_udm.principal.ip atau read_only_udm.intermediary.ip |
Dipetakan ke IP utama jika kolom ip tidak ditetapkan dalam log JSON. Juga dipetakan ke IP perantara. |
hostname |
read_only_udm.target.hostname |
Dipetakan secara langsung. |
http_method |
read_only_udm.network.http.method |
Dipetakan secara langsung. |
http_response_code |
read_only_udm.network.http.response_code |
Dipetakan dan dikonversi langsung menjadi bilangan bulat. |
identity_policy_group |
read_only_udm.security_result.detection_fields.value |
Dipetakan langsung jika tidak kosong, "-", atau "NONE". Kuncinya adalah "IdentityPolicyGroup". |
ip |
read_only_udm.principal.ip |
Dipetakan secara langsung. Ditimpa oleh source_ip jika ada. |
kv_msg |
Berbagai | Diurai menggunakan filter kv. Pra-pemrosesan mencakup penggantian spasi sebelum kunci dengan "#" dan menukar nilai csLabel. |
log_type |
read_only_udm.metadata.log_type |
Di-hardcode ke "CISCO_EMAIL_SECURITY". |
loglevel |
read_only_udm.security_result.severity , read_only_udm.security_result.action |
Digunakan untuk menentukan tingkat keparahan dan tindakan. "Info", "", "Debug", "Trace" dipetakan ke "INFORMATIONAL" dan "ALLOW". "Peringatan" dipetakan ke "SEDANG" dan "Izinkan". "Tinggi" dipetakan ke "TINGGI" dan "BLOKIR". "Critical" dan "Alert" dipetakan ke "CRITICAL", "BLOCK", dan menetapkan is_alert ke benar. |
mail_id |
read_only_udm.network.email.mail_id |
Dipetakan langsung dari log JSON. |
mailto |
read_only_udm.target.user.email_addresses , read_only_udm.network.email.to |
Dipetakan langsung ke kedua kolom UDM jika alamat email valid. |
MailPolicy |
read_only_udm.security_result.about.labels.value |
Dipetakan secara langsung. Kuncinya adalah "MailPolicy". |
message |
Berbagai | Diurai sebagai JSON jika memungkinkan. Jika tidak, akan diproses sebagai pesan syslog. |
message_id |
read_only_udm.network.email.mail_id |
Dipetakan secara langsung. Juga digunakan untuk mengisi network_data . |
msg |
read_only_udm.network.email.subject |
Dipetakan langsung setelah dekode UTF-8 dan menghapus carriage return, baris baru, dan tanda kutip tambahan. Juga digunakan untuk mengisi network_data . |
msg1 |
Berbagai | Diurai menggunakan filter kv. Digunakan untuk mengekstrak Hostname , helo , env-from , dan reply-to . |
outbound_malware_scanning_policy_group |
read_only_udm.security_result.detection_fields.value |
Dipetakan langsung jika tidak kosong, "-", atau "NONE". Kuncinya adalah "DataSecurityPolicyGroup". |
port |
read_only_udm.target.port |
Dipetakan dan dikonversi langsung menjadi bilangan bulat. |
principalMail |
read_only_udm.principal.user.email_addresses |
Dipetakan secara langsung. |
principalUrl |
read_only_udm.principal.url |
Dipetakan secara langsung. |
product_event |
read_only_udm.metadata.product_event_type |
Dipetakan secara langsung. Digunakan untuk menentukan pola grok yang akan diterapkan. Karakter "%" di awal dihapus. "amp" diganti dengan "SIEM_AMPenginelogs". |
product_version |
read_only_udm.metadata.product_version |
Dipetakan secara langsung. |
protocol |
read_only_udm.network.tls.version |
Dipetakan secara langsung. |
received_bytes |
read_only_udm.network.received_bytes |
Dipetakan dan dikonversi secara langsung ke bilangan bulat tanpa tanda tangan. |
reply-to |
read_only_udm.additional.fields.value.string_value |
Dipetakan secara langsung. Kuncinya adalah "Reply-To". |
reputation |
read_only_udm.security_result.confidence_details |
Dipetakan secara langsung. |
request_method_uri |
read_only_udm.target.url |
Dipetakan secara langsung. |
result_code |
read_only_udm.security_result.detection_fields.value |
Dipetakan secara langsung. Kuncinya adalah "Kode Hasil". |
routing_policy_group |
read_only_udm.security_result.detection_fields.value |
Dipetakan langsung jika tidak kosong, "-", atau "NONE". Kuncinya adalah "RoutingPolicyGroup". |
rule |
read_only_udm.security_result.detection_fields.value |
Dipetakan secara langsung. Kuncinya adalah "Matched Condition". |
SDRThreatCategory |
read_only_udm.security_result.threat_name |
Dipetakan langsung jika tidak kosong atau "T/A". |
SenderCountry |
read_only_udm.principal.location.country_or_region |
Dipetakan secara langsung. |
senderGroup |
read_only_udm.principal.group.group_display_name |
Dipetakan secara langsung. |
security_description |
read_only_udm.security_result.description |
Dipetakan secara langsung. |
security_email |
read_only_udm.security_result.about.email atau read_only_udm.principal.hostname |
Dipetakan ke email jika alamat email valid. Jika tidak, dipetakan ke nama host setelah diekstrak dengan grok. |
source |
read_only_udm.network.ip_protocol |
Jika berisi "tcp", akan dipetakan ke "TCP". |
sourceAddress |
read_only_udm.principal.ip |
Dipetakan secara langsung. |
sourceHostName |
read_only_udm.principal.administrative_domain |
Dipetakan langsung jika bukan "tidak diketahui". |
source_ip |
read_only_udm.principal.ip |
Dipetakan secara langsung. Mengganti ip jika ada. |
Subject |
read_only_udm.network.email.subject |
Dipetakan langsung setelah menghapus titik di akhir. Juga digunakan untuk mengisi network_data . |
suser |
read_only_udm.principal.user.email_addresses , read_only_udm.network.email.bounce_address |
Dipetakan langsung ke kedua kolom UDM jika alamat email valid. |
target_ip |
read_only_udm.target.ip |
Dipetakan secara langsung. |
to |
read_only_udm.network.email.to |
Dipetakan langsung jika alamat email valid. Juga digunakan untuk mengisi network_to . |
total_bytes |
read_only_udm.network.sent_bytes |
Dipetakan dan dikonversi secara langsung ke bilangan bulat tanpa tanda tangan. |
trackerHeader |
read_only_udm.additional.fields.value.string_value |
Dipetakan secara langsung. Kuncinya adalah "Header Pelacak". |
ts , ts1 , year |
read_only_udm.metadata.event_timestamp.seconds |
Digunakan untuk membuat stempel waktu peristiwa. ts1 dan year digabungkan jika ts1 ada. Berbagai format didukung, dengan dan tanpa tahun. Jika tahun tidak ada, tahun saat ini akan digunakan. Di-hardcode ke "Cisco". Di-hardcode ke "Cisco Email Security". Defaultnya adalah "ALLOW". Tetapkan ke "BLOCK" berdasarkan loglevel atau description . Defaultnya adalah "INBOUND" jika application_protocol ada. Tetapkan berdasarkan deviceDirection untuk pesan CEF. Ditentukan berdasarkan kombinasi kolom termasuk network_from , network_to , target_ip , ip , description , event_type , principal_host , Hostname , user_id , dan sourceAddress . Defaultnya adalah "GENERIC_EVENT". Tetapkan ke "SMTP" jika application_protocol adalah "SMTP" atau "smtp", atau jika target_ip dan ip ada. Tetapkan ke "AUTHTYPE_UNSPECIFIED" jika login_status dan user_id ada di log sshd. Tetapkan ke benar jika loglevel adalah "Kritis" atau "Peringatan". |
Perubahan
2023-10-05
- Perbaikan Bug:
- Mengganti nama 'product_event' dari 'amp' menjadi 'SIEM_AMPenginelogs'.
2023-09-15
- Menambahkan dukungan untuk "SIEM_proxylogs","SIEM_webrootlogs","SIEM_AMPenginelogs" dari log json.
2023-09-04
- Penyempurnaan
- Menambahkan pola Grok untuk mengurai log yang tidak diuraikan dan memetakan kolom yang sesuai.
- Menambahkan dukungan untuk pola log JSON baru.
2022-12-16
- Penyempurnaan
- Mengubah pemeriksaan bersyarat untuk kolom yang dipetakan ke 'network.email.to', 'network.email.from', 'principal.user.email_addresses', 'target.user.email_addresses', dan 'network.email.reply_to'.
- Menambahkan dukungan untuk log json :
- Memetakan kolom 'host' ke 'principal.hostname'.
- Memetakan kolom 'domain' ke 'target.administrative_domain'.
- Memetakan kolom 'mail_id' ke 'network.email.mail_id'.
- Memetakan kolom 'mailto' ke 'network.email.to' dan 'target.user.email_addresses'.
- Memetakan kolom 'source' ke 'network.ip_protocol'.
- Memetakan kolom 'reputation' ke 'security_result.confidence_details'.
- Memetakan kolom 'log_type' ke 'security_result.severity' dan 'security_result.severity_details'.
- Memetakan kolom 'cribl_pipe' ke 'additional.fields'.
2022-09-22
- Penyempurnaan
- Menambahkan pola grok untuk log yang tidak diuraikan, dengan kolom "product_event" kosong.
2022-08-02
- Penyempurnaan
- Menambahkan kondisi untuk event_type yang baru ditambahkan "STATUS_UPDATE", "USER_UNCATEGORIZED", "SCAN_PROCESS"
- Memetakan "attack" ke "security_result.category_details"
- Meningkatkan parser untuk mengurai kolom "ESAAttachmentDetails" dari berbagai jenis log.
2022-06-09
- Peningkatan- Memetakan "from_user" ke "principal.user.user_display_name".
- Memperbarui "metadata.product_event_type" dari "Consolidated Log Event" menjadi "ESA_CONSOLIDATED_LOG_EVENT".
2022-06-07
- Peningkatan- Memetakan suser ke network.email.bounce_address.
2022-05-17
- Peningkatan - Memetakan duser ke network.email.to.
- Menambahkan on_error untuk kolom product_version dan product_description untuk menghindari pemetaan nilai null ke UDM.
- Menambahkan logika tambahan untuk mengurai log yang dimulai dengan format "DAY TIMESTAMP YEAR", misalnya: Rabu, 18 Februari 00.34.12 2021.
2022-05-05
- Peningkatan-Menggunakan grok untuk network.email.from
2022-03-31
- Peningkatan-Pemetaan yang ditambahkan untuk kolom baru.
- ESAReplyTo dipetakan ke network.email.reply_to.
- duser dipetakan ke network.email.to.