Cisco Secure Email Gateway ログを収集する
以下でサポートされています。
Google SecOpsSIEM
このドキュメントでは、Google Security Operations フォワーダーを使用して Cisco Secure Email Gateway のログを収集する方法について説明します。
詳細については、Google SecOps へのデータの取り込みをご覧ください。
取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。このドキュメントの情報は、取り込みラベル CISCO-EMAIL-SECURITY が付加されたパーサーに適用されます。
Cisco Secure Email Gateway を構成する
- Cisco Secure Email Gateway コンソールで、[システム管理] > [ログ サブスクリプション] を選択します。
- [新しいログ サブスクリプション] ウィンドウで、次の操作を行います。
- [ログタイプ] フィールドで、[統合イベントログ] を選択します。
- [使用可能なログフィールド] セクションで、使用可能なフィールドをすべて選択し、[追加] をクリックして [選択したログフィールド] に移動します。
- ログ サブスクリプションのログ取得方法を選択するには、[Syslog push] を選択し、次の操作を行います。
- [ホスト名] フィールドに、Google SecOps フォワーダーの IP アドレスを指定します。
- [プロトコル] フィールドで [TCP] チェックボックスをオンにします。
- [施設] フィールドはデフォルト値のままにします。
- 構成の変更を保存するには、[送信] をクリックします。
Cisco Secure Email Gateway を取り込むように Google SecOps フォワーダーを構成する
- [SIEM 設定] > [転送元] に移動します。
- [新しいフォワーダーの追加] をクリックします。
- [フォワーダー名] フィールドに、フォワーダーの一意の名前を入力します。
- [送信] をクリックします。フォワーダーが追加され、[コレクタの構成を追加する] ウィンドウが表示されます。
- [コレクタ名] フィールドに名前を入力します。
- [ログタイプ] で [Cisco Email Security] を選択します。
- [コレクタのタイプ] フィールドで [Syslog] を選択します。
- 次の必須入力パラメータを構成します。
- プロトコル: コレクタが syslog データをリッスンするために使用する接続プロトコルを指定します。
- アドレス: コレクタが存在し、syslog データをリッスンするターゲット IP アドレスまたはホスト名を指定します。
- ポート: コレクタが存在し、syslog データをリッスンするターゲット ポートを指定します。
- [送信] をクリックします。
Google SecOps フォワーダーの詳細については、Google SecOps UI でフォワーダー構成を管理するをご覧ください。
フォワーダーの作成時に問題が発生した場合は、Google SecOps サポートにお問い合わせください。
フィールド マッピング リファレンス
このパーサーは、構造化(JSON、Key-Value ペア)と非構造化(syslog)の両方の Cisco Email Security ログを処理します。grok パターン、キーバリューの抽出、product_event フィールドに基づく条件ロジックを活用して、関連する Cisco ESA フィールドを UDM にマッピングすることで、さまざまなログ形式を UDM に正規化します。また、タイムスタンプの変換や重複メッセージの処理など、データの拡充も行います。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | ロジック |
|---|---|---|
acl_decision_tag |
read_only_udm.security_result.detection_fields.value |
空でない場合、または「-」または「NONE」の場合は、直接マッピングされます。キーは「ACL Decision Tag」です。 |
access_or_decryption_policy_group |
read_only_udm.security_result.detection_fields.value |
空でない場合、または「-」または「NONE」の場合は、直接マッピングされます。キーは「AccessOrDecryptionPolicyGroup」です。 |
act |
read_only_udm.security_result.action_details |
直接マッピング。 |
authenticated_user |
read_only_udm.principal.user.userid |
空でない場合、または「-」または「NONE」の場合は、直接マッピングされます。 |
cache_hierarchy_retrieval |
read_only_udm.security_result.detection_fields.value |
空でない場合、または「-」または「NONE」の場合は、直接マッピングされます。キーは「Cache Hierarchy Retrieval」です。 |
cipher |
read_only_udm.network.tls.cipher |
直接マッピング。 |
country |
read_only_udm.principal.location.country_or_region |
直接マッピング。 |
data_security_policy_group |
read_only_udm.security_result.detection_fields.value |
空でない場合、または「-」または「NONE」の場合は、直接マッピングされます。キーは「DataSecurityPolicyGroup」です。 |
description |
read_only_udm.metadata.description |
Syslog メッセージに直接マッピングされます。CEF メッセージの場合、これは商品の全体的な説明になります。さまざまな grok パターンは、product_event に基づいて特定の説明を抽出します。一部の説明は gsub によって変更され、先頭と末尾のスペースとコロンが削除されています。 |
deviceDirection |
read_only_udm.network.direction |
0 の場合、INBOUND にマッピングされます。1 の場合、OUTBOUND にマッピングされます。直接マッピングする TLS 暗号とプロトコルと、ラベルとしてマッピングする TLS 暗号とプロトコルを決定するために使用されます。 |
deviceExternalId |
read_only_udm.principal.asset.asset_id |
「Device ID: |
domain |
read_only_udm.target.administrative_domain |
JSON ログから直接マッピングされます。 |
domain_age |
read_only_udm.security_result.about.labels.value |
直接マッピング。キーは「YoungestDomainAge」です。 |
duser |
read_only_udm.target.user.email_addresses、read_only_udm.network.email.to |
「;"」が含まれている場合は、複数のメールアドレスに分割し、それぞれを両方の UDM フィールドにマッピングします。それ以外の場合は、有効なメールアドレスであれば、両方の UDM フィールドに直接マッピングします。また、network_to が空の場合に入力するためにも使用されます。 |
dvc |
read_only_udm.target.ip |
直接マッピング。 |
entries.collection_time.nanos、entries.collection_time.seconds |
read_only_udm.metadata.event_timestamp.nanos、read_only_udm.metadata.event_timestamp.seconds |
イベントのタイムスタンプの作成に使用されます。 |
env-from |
read_only_udm.additional.fields.value.string_value |
直接マッピング。キーは「Env-From」です。 |
ESAAttachmentDetails |
read_only_udm.security_result.about.file.full_path、read_only_udm.security_result.about.file.sha256 |
解析され、ファイル名と SHA256 ハッシュが抽出されます。複数のファイルとハッシュを抽出できます。 |
ESADCID |
read_only_udm.security_result.about.labels.value |
直接マッピング。キーは「ESADCID」です。 |
ESAFriendlyFrom |
read_only_udm.principal.user.user_display_name、read_only_udm.network.email.from |
解析され、表示名とメールアドレスが抽出されます。 |
ESAHeloDomain |
read_only_udm.intermediary.administrative_domain |
直接マッピング。 |
ESAHeloIP |
read_only_udm.intermediary.ip |
直接マッピング。 |
ESAICID |
read_only_udm.security_result.about.labels.value |
直接マッピング。キーは「ESAICID」です。 |
ESAMailFlowPolicy |
read_only_udm.security_result.rule_name |
直接マッピング。 |
ESAMID |
read_only_udm.security_result.about.labels.value |
直接マッピング。キーは「ESAMID」です。 |
ESAReplyTo |
read_only_udm.network.email.reply_to |
有効なメールアドレスの場合は直接マッピングされます。network_to の入力にも使用されます。 |
ESASDRDomainAge |
read_only_udm.security_result.about.labels.value |
直接マッピング。キーは「ESASDRDomainAge」です。 |
ESASenderGroup |
read_only_udm.principal.group.group_display_name |
直接マッピング。 |
ESAStatus |
read_only_udm.security_result.about.labels.value |
直接マッピング。キーは「ESAStatus」です。 |
ESATLSInCipher |
read_only_udm.network.tls.cipher または read_only_udm.security_result.about.labels.value |
deviceDirection が「0」の場合、暗号に直接マッピングされます。それ以外の場合は、キー「ESATLSInCipher」を持つラベルとしてマッピングされます。 |
ESATLSInProtocol |
read_only_udm.network.tls.version または read_only_udm.security_result.about.labels.value |
deviceDirection が「0」の場合、TLS バージョンが抽出され、直接マッピングされます。それ以外の場合は、キー「ESATLSInProtocol」を持つラベルとしてマッピングされます。 |
ESATLSOutCipher |
read_only_udm.network.tls.cipher または read_only_udm.security_result.about.labels.value |
deviceDirection が「1」の場合、暗号に直接マッピングされます。それ以外の場合は、キー「ESATLSOutCipher」を持つラベルとしてマッピングされます。 |
ESATLSOutProtocol |
read_only_udm.network.tls.version または read_only_udm.security_result.about.labels.value |
deviceDirection が「1」の場合、TLS バージョンが抽出され、直接マッピングされます。それ以外の場合は、キー「ESATLSOutProtocol」を持つラベルとしてマッピングされます。 |
ESAURLDetails |
read_only_udm.target.url |
解析されて URL が抽出されます。このフィールドは繰り返されないため、最初の URL のみがマッピングされます。 |
external_dlp_policy_group |
read_only_udm.security_result.detection_fields.value |
空でない場合、または「-」または「NONE」の場合は、直接マッピングされます。キーは「ExternalDlpPolicyGroup」です。 |
ExternalMsgID |
read_only_udm.security_result.about.labels.value |
一重引用符と角かっこを削除した後、直接マッピングされます。キーは「ExternalMsgID」です。 |
from |
read_only_udm.network.email.from |
有効なメールアドレスの場合は直接マッピングされます。network_from の入力にも使用されます。 |
host.hostname |
read_only_udm.principal.hostname または read_only_udm.intermediary.hostname |
host フィールドが無効な場合は、プリンシパルのホスト名にマッピングされます。中間ホスト名にもマッピングされます。 |
host.ip |
read_only_udm.principal.ip または read_only_udm.intermediary.ip |
JSON ログで ip フィールドが設定されていない場合は、プリンシパル IP にマッピングされます。中間 IP にもマッピングされます。 |
hostname |
read_only_udm.target.hostname |
直接マッピング。 |
http_method |
read_only_udm.network.http.method |
直接マッピング。 |
http_response_code |
read_only_udm.network.http.response_code |
直接マッピングされ、整数に変換されます。 |
identity_policy_group |
read_only_udm.security_result.detection_fields.value |
空でない場合、または「-」または「NONE」の場合は、直接マッピングされます。キーは「IdentityPolicyGroup」です。 |
ip |
read_only_udm.principal.ip |
直接マッピング。source_ip が存在する場合は、source_ip によって上書きされます。 |
kv_msg |
各種 | kv フィルタを使用して解析されます。前処理には、キーの前のスペースを「#」に置き換えたり、csLabel 値を入れ替えたりすることが含まれます。 |
log_type |
read_only_udm.metadata.log_type |
「CISCO_EMAIL_SECURITY」にハードコードされています。 |
loglevel |
read_only_udm.security_result.severity、read_only_udm.security_result.action |
重大度とアクションの決定に使用されます。「Info」、「"」、「Debug」、「Trace」は「INFORMATIONAL」と「ALLOW」にマッピングされます。「Warning」は「MEDIUM」と「ALLOW」にマッピングされます。「高」は「HIGH」と「BLOCK」にマッピングされます。「Critical」と「Alert」を「CRITICAL」、「BLOCK」にマッピングし、is_alert を true に設定します。 |
mail_id |
read_only_udm.network.email.mail_id |
JSON ログから直接マッピングされます。 |
mailto |
read_only_udm.target.user.email_addresses、read_only_udm.network.email.to |
有効なメールアドレスの場合は、両方の UDM フィールドに直接マッピングされます。 |
MailPolicy |
read_only_udm.security_result.about.labels.value |
直接マッピング。キーは「MailPolicy」です。 |
message |
各種 | 可能であれば JSON として解析されます。それ以外の場合は、syslog メッセージとして処理されます。 |
message_id |
read_only_udm.network.email.mail_id |
直接マッピング。network_data の入力にも使用されます。 |
msg |
read_only_udm.network.email.subject |
UTF-8 デコード後に直接マッピングされ、キャリッジ リターン、改行、余分な引用符が削除されます。network_data の入力にも使用されます。 |
msg1 |
各種 | kv フィルタを使用して解析されます。Hostname、helo、env-from、reply-to の抽出に使用されます。 |
outbound_malware_scanning_policy_group |
read_only_udm.security_result.detection_fields.value |
空でない場合、または「-」または「NONE」の場合は、直接マッピングされます。キーは「DataSecurityPolicyGroup」です。 |
port |
read_only_udm.target.port |
直接マッピングされ、整数に変換されます。 |
principalMail |
read_only_udm.principal.user.email_addresses |
直接マッピング。 |
principalUrl |
read_only_udm.principal.url |
直接マッピング。 |
product_event |
read_only_udm.metadata.product_event_type |
直接マッピング。適用する Grok パターンを決定するために使用されます。先頭の「%」文字は削除されます。「amp」は「SIEM_AMPenginelogs」に置き換えられます。 |
product_version |
read_only_udm.metadata.product_version |
直接マッピング。 |
protocol |
read_only_udm.network.tls.version |
直接マッピング。 |
received_bytes |
read_only_udm.network.received_bytes |
直接マッピングされ、符号なし整数に変換されます。 |
reply-to |
read_only_udm.additional.fields.value.string_value |
直接マッピング。キーは「Reply-To」です。 |
reputation |
read_only_udm.security_result.confidence_details |
直接マッピング。 |
request_method_uri |
read_only_udm.target.url |
直接マッピング。 |
result_code |
read_only_udm.security_result.detection_fields.value |
直接マッピング。キーは「Result Code」です。 |
routing_policy_group |
read_only_udm.security_result.detection_fields.value |
空でない場合、または「-」または「NONE」の場合は、直接マッピングされます。キーは「RoutingPolicyGroup」です。 |
rule |
read_only_udm.security_result.detection_fields.value |
直接マッピング。キーは「一致条件」です。 |
SDRThreatCategory |
read_only_udm.security_result.threat_name |
空でないか「N/A」でない場合、直接マッピングされます。 |
SenderCountry |
read_only_udm.principal.location.country_or_region |
直接マッピング。 |
senderGroup |
read_only_udm.principal.group.group_display_name |
直接マッピング。 |
security_description |
read_only_udm.security_result.description |
直接マッピング。 |
security_email |
read_only_udm.security_result.about.email または read_only_udm.principal.hostname |
有効なメールアドレスの場合はメールにマッピングされます。それ以外の場合は、grok で抽出した後にホスト名にマッピングされます。 |
source |
read_only_udm.network.ip_protocol |
「tcp」が含まれている場合は、「TCP」にマッピングされます。 |
sourceAddress |
read_only_udm.principal.ip |
直接マッピング。 |
sourceHostName |
read_only_udm.principal.administrative_domain |
「不明」でない場合、直接マッピングされます。 |
source_ip |
read_only_udm.principal.ip |
直接マッピング。ip が存在する場合は上書きします。 |
Subject |
read_only_udm.network.email.subject |
末尾のピリオドを削除した後に直接マッピングされます。network_data の入力にも使用されます。 |
suser |
read_only_udm.principal.user.email_addresses、read_only_udm.network.email.bounce_address |
有効なメールアドレスの場合は、両方の UDM フィールドに直接マッピングされます。 |
target_ip |
read_only_udm.target.ip |
直接マッピング。 |
to |
read_only_udm.network.email.to |
有効なメールアドレスの場合は直接マッピングされます。network_to の入力にも使用されます。 |
total_bytes |
read_only_udm.network.sent_bytes |
直接マッピングされ、符号なし整数に変換されます。 |
trackerHeader |
read_only_udm.additional.fields.value.string_value |
直接マッピング。キーは「Tracker Header」です。 |
ts、ts1、year |
read_only_udm.metadata.event_timestamp.seconds |
イベントのタイムスタンプの作成に使用されます。ts1 が存在する場合、ts1 と year は結合されます。年付きと年なしのさまざまな形式がサポートされています。年が指定されていない場合は、現在の年が使用されます。「Cisco」にハードコードされています。「Cisco Email Security」にハードコードされました。デフォルトは「ALLOW」です。loglevel または description に基づいて「BLOCK」に設定します。application_protocol が存在する場合のデフォルトは「INBOUND」です。CEF メッセージの場合は deviceDirection に基づいて設定します。network_from、network_to、target_ip、ip、description、event_type、principal_host、Hostname、user_id、sourceAddress などのフィールドの組み合わせに基づいて決定されます。デフォルトは「GENERIC_EVENT」です。application_protocol が「SMTP」または「smtp」の場合、または target_ip と ip が存在する場合は「SMTP」に設定します。sshd ログに login_status と user_id が存在する場合は、「AUTHTYPE_UNSPECIFIED」に設定します。loglevel が「Critical」または「Alert」の場合は true に設定します。 |
変更点
2023-10-05
- バグの修正:
- 「product_event」の名前を「amp」から「SIEM_AMPenginelogs」に変更しました。
2023-09-15
- JSON ログの「SIEM_proxylogs」、「SIEM_webrootlogs」、「SIEM_AMPenginelogs」のサポートを追加しました。
2023-09-04
- 強化
- 未解析ログを解析し、それに応じてフィールドをマッピングするための Grok パターンを追加しました。
- JSON ログの新しいパターンのサポートを追加しました。
2022-12-16
- 強化
- 「network.email.to」、「network.email.from」、「principal.user.email_addresses」、「target.user.email_addresses」、および「network.email.reply_to」にマッピングされたフィールドの条件付きチェックを変更しました。
- json ログのサポートを追加しました。
- フィールド「host」を「principal.hostname」にマッピングしました。
- フィールド「domain」を「target.administrative_domain」にマッピングしました。
- フィールド「mail_id」を「network.email.mail_id」にマッピングしました。
- フィールド「mailto」を「network.email.to」と「target.user.email_addresses」にマッピングしました。
- フィールド「source」を「network.ip_protocol」にマッピングしました。
- フィールド「reputation」を「security_result.confidence_details」にマッピングしました。
- フィールド「log_type」を「security_result.severity」と「security_result.severity_details」にマッピングしました。
- フィールド「cribl_pipe」を「additional.fields」にマッピングしました。
2022-09-22
- 強化
- フィールド「product_event」が空である未解析ログに grok パターンを追加しました。
2022-08-02
- 強化
- 新たに追加された event_type「STATUS_UPDATE」、「USER_UNCATEGORIZED」、「SCAN_PROCESS」の条件を追加しました
- 「attack」を「security_result.category_details」にマッピングしました
- さまざまなタイプのログの「ESAAttachmentDetails」フィールドを解析するようにパーサーを強化しました。
2022-06-09
- 機能拡張 - 「from_user」を「principal.user.user_display_name」にマッピングしました。
- 「metadata.product_event_type」を「Consolidated Log Event」から「ESA_CONSOLIDATED_LOG_EVENT」に更新しました。
2022-06-07
- 機能拡張 - suser を network.email.bounce_address にマッピングしました。
2022-05-17
- 機能拡張 - duser を network.email.to にマッピングしました。
- UDM への null 値のマッピングを回避するために、product_version フィールドと product_description フィールドの on_error を追加しました。
- 「DAY TIMESTAMP YEAR」形式(例: Wed Feb 18 00:34:12 2021)で始まるログを解析するロジックを追加しました。
2022-05-05
- 拡張使用 - network.email.from の grok
2022-03-31
- 機能拡張 - 新しいフィールドのマッピングを追加しました。
- ESAReplyTo が network.email.reply_to にマッピングされました。
- duser を network.email.to にマッピングしました。