Cisco Secure Email Gateway 로그 수집
이 문서에서는 Google Security Operations 전달자를 사용하여 Cisco Secure Email Gateway 로그를 수집하는 방법을 설명합니다.
자세한 내용은 Google SecOps에 데이터 수집을 참조하세요.
수집 라벨은 원시 로그 데이터를 구조화된 UDM 형식으로 정규화하는 파서를 식별합니다. 이 문서의 정보는 CISCO-EMAIL-SECURITY
수집 라벨이 있는 파서에 적용됩니다.
Cisco Secure Email Gateway 구성
- Cisco Secure Email Gateway 콘솔에서 System administration > Log subscriptions을 선택합니다.
- 새 로그 구독 창에서 다음을 수행하여 로그 구독을 추가합니다.
- 로그 유형 필드에서 통합 이벤트 로그를 선택합니다.
- 사용 가능한 로그 필드 섹션에서 사용 가능한 모든 필드를 선택한 다음 추가를 클릭하여 선택한 로그 필드로 이동합니다.
- 로그 구독의 로그 가져오기 방법을 선택하려면 Syslog 푸시를 선택하고 다음을 수행합니다.
- 호스트 이름 필드에 Google SecOps 포워더 IP 주소를 지정합니다.
- 프로토콜 필드에서 TCP 체크박스를 선택합니다.
- 시설 필드에서 기본값을 사용합니다.
- 구성 변경사항을 저장하려면 제출을 클릭합니다.
Cisco Secure Email Gateway를 수집하도록 Google SecOps 전달자 구성
- SIEM 설정 > 포워더로 이동합니다.
- 새 운송업체 추가를 클릭합니다.
- 전달자 이름 필드에 전달자의 고유한 이름을 입력합니다.
- 제출을 클릭합니다. 전달자가 추가되고 수집기 구성 추가 창이 표시됩니다.
- 수집기 이름 필드에 이름을 입력합니다.
- 로그 유형으로 Cisco Email Security를 선택합니다.
- 수집기 유형 필드에서 Syslog를 선택합니다.
- 다음 필수 입력 매개변수를 구성합니다.
- 프로토콜: 수집기가 syslog 데이터를 리슨하는 데 사용하는 연결 프로토콜을 지정합니다.
- 주소: 수집기가 상주하고 syslog 데이터를 리슨하는 대상 IP 주소 또는 호스트 이름을 지정합니다.
- 포트: 수집기가 상주하고 syslog 데이터를 리슨하는 대상 포트를 지정합니다.
- 제출을 클릭합니다.
Google SecOps 전달자에 대한 자세한 내용은 Google SecOps UI를 통해 전달자 구성 관리를 참고하세요.
전달자를 만들 때 문제가 발생하면 Google SecOps 지원팀에 문의하세요.
필드 매핑 참조
이 파서는 구조화된 (JSON, 키-값 쌍) Cisco Email Security 로그와 구조화되지 않은 (syslog) Cisco Email Security 로그를 모두 처리합니다. grok
패턴, 키-값 추출, product_event
필드에 기반한 조건부 로직을 활용하여 다양한 로그 형식을 UDM으로 정규화하고 관련 Cisco ESA 필드를 UDM에 매핑합니다. 타임스탬프 변환, 반복 메시지 처리와 같은 데이터 보강도 실행합니다.
UDM 매핑 테이블
로그 필드 | UDM 매핑 | 논리 |
---|---|---|
acl_decision_tag |
read_only_udm.security_result.detection_fields.value |
비어 있지 않거나 '-' 또는 'NONE'이 아닌 경우 직접 매핑됩니다. 키는 'ACL 결정 태그'입니다. |
access_or_decryption_policy_group |
read_only_udm.security_result.detection_fields.value |
비어 있지 않거나 '-' 또는 'NONE'이 아닌 경우 직접 매핑됩니다. 키는 'AccessOrDecryptionPolicyGroup'입니다. |
act |
read_only_udm.security_result.action_details |
직접 매핑됩니다. |
authenticated_user |
read_only_udm.principal.user.userid |
비어 있지 않거나 '-' 또는 'NONE'이 아닌 경우 직접 매핑됩니다. |
cache_hierarchy_retrieval |
read_only_udm.security_result.detection_fields.value |
비어 있지 않거나 '-' 또는 'NONE'이 아닌 경우 직접 매핑됩니다. 키는 '캐시 계층 구조 가져오기'입니다. |
cipher |
read_only_udm.network.tls.cipher |
직접 매핑됩니다. |
country |
read_only_udm.principal.location.country_or_region |
직접 매핑됩니다. |
data_security_policy_group |
read_only_udm.security_result.detection_fields.value |
비어 있지 않거나 '-' 또는 'NONE'이 아닌 경우 직접 매핑됩니다. 키는 'DataSecurityPolicyGroup'입니다. |
description |
read_only_udm.metadata.description |
syslog 메시지에 직접 매핑됩니다. CEF 메시지의 경우 전체 제품 설명이 됩니다. 다양한 grok 패턴이 product_event 에 따라 특정 설명을 추출합니다. 일부 설명은 선행/후행 공백과 콜론을 삭제하기 위해 gsub로 수정됩니다. |
deviceDirection |
read_only_udm.network.direction |
'0'인 경우 'INBOUND'에 매핑됩니다. '1'인 경우 'OUTBOUND'에 매핑됩니다. 직접 매핑할 TLS 암호 및 프로토콜과 라벨로 매핑할 TLS 암호 및 프로토콜을 결정하는 데 사용됩니다. |
deviceExternalId |
read_only_udm.principal.asset.asset_id |
'기기 ID: |
domain |
read_only_udm.target.administrative_domain |
JSON 로그에서 직접 매핑됩니다. |
domain_age |
read_only_udm.security_result.about.labels.value |
직접 매핑됩니다. 키는 'YoungestDomainAge'입니다. |
duser |
read_only_udm.target.user.email_addresses , read_only_udm.network.email.to |
';'이 포함된 경우 여러 이메일 주소로 분할하고 각 주소를 두 UDM 필드에 모두 매핑합니다. 그렇지 않으면 유효한 이메일 주소인 경우 두 UDM 필드에 직접 매핑합니다. network_to 가 비어 있는 경우 이를 채우는 데도 사용됩니다. |
dvc |
read_only_udm.target.ip |
직접 매핑됩니다. |
entries.collection_time.nanos , entries.collection_time.seconds |
read_only_udm.metadata.event_timestamp.nanos , read_only_udm.metadata.event_timestamp.seconds |
이벤트 타임스탬프를 구성하는 데 사용됩니다. |
env-from |
read_only_udm.additional.fields.value.string_value |
직접 매핑됩니다. 키는 'Env-From'입니다. |
ESAAttachmentDetails |
read_only_udm.security_result.about.file.full_path , read_only_udm.security_result.about.file.sha256 |
파일 이름과 SHA256 해시를 추출하기 위해 파싱됩니다. 여러 파일과 해시를 추출할 수 있습니다. |
ESADCID |
read_only_udm.security_result.about.labels.value |
직접 매핑됩니다. 키는 'ESADCID'입니다. |
ESAFriendlyFrom |
read_only_udm.principal.user.user_display_name , read_only_udm.network.email.from |
표시 이름과 이메일 주소를 추출하기 위해 파싱됩니다. |
ESAHeloDomain |
read_only_udm.intermediary.administrative_domain |
직접 매핑됩니다. |
ESAHeloIP |
read_only_udm.intermediary.ip |
직접 매핑됩니다. |
ESAICID |
read_only_udm.security_result.about.labels.value |
직접 매핑됩니다. 키는 'ESAICID'입니다. |
ESAMailFlowPolicy |
read_only_udm.security_result.rule_name |
직접 매핑됩니다. |
ESAMID |
read_only_udm.security_result.about.labels.value |
직접 매핑됩니다. 키는 'ESAMID'입니다. |
ESAReplyTo |
read_only_udm.network.email.reply_to |
유효한 이메일 주소인 경우 직접 매핑됩니다. network_to 를 채우는 데도 사용됩니다. |
ESASDRDomainAge |
read_only_udm.security_result.about.labels.value |
직접 매핑됩니다. 키는 'ESASDRDomainAge'입니다. |
ESASenderGroup |
read_only_udm.principal.group.group_display_name |
직접 매핑됩니다. |
ESAStatus |
read_only_udm.security_result.about.labels.value |
직접 매핑됩니다. 키는 'ESAStatus'입니다. |
ESATLSInCipher |
read_only_udm.network.tls.cipher 또는 read_only_udm.security_result.about.labels.value |
deviceDirection 가 '0'인 경우 암호에 직접 매핑됩니다. 그렇지 않으면 키가 'ESATLSInCipher'인 라벨로 매핑됩니다. |
ESATLSInProtocol |
read_only_udm.network.tls.version 또는 read_only_udm.security_result.about.labels.value |
deviceDirection 이 '0'인 경우 TLS 버전이 추출되어 직접 매핑됩니다. 그렇지 않으면 키가 'ESATLSInProtocol'인 라벨로 매핑됩니다. |
ESATLSOutCipher |
read_only_udm.network.tls.cipher 또는 read_only_udm.security_result.about.labels.value |
deviceDirection 가 '1'인 경우 암호에 직접 매핑됩니다. 그렇지 않으면 키가 'ESATLSOutCipher'인 라벨로 매핑됩니다. |
ESATLSOutProtocol |
read_only_udm.network.tls.version 또는 read_only_udm.security_result.about.labels.value |
deviceDirection 이 '1'인 경우 TLS 버전이 추출되어 직접 매핑됩니다. 그렇지 않으면 키가 'ESATLSOutProtocol'인 라벨로 매핑됩니다. |
ESAURLDetails |
read_only_udm.target.url |
URL을 추출하기 위해 파싱되었습니다. 필드가 반복되지 않으므로 첫 번째 URL만 매핑됩니다. |
external_dlp_policy_group |
read_only_udm.security_result.detection_fields.value |
비어 있지 않거나 '-' 또는 'NONE'이 아닌 경우 직접 매핑됩니다. 키는 'ExternalDlpPolicyGroup'입니다. |
ExternalMsgID |
read_only_udm.security_result.about.labels.value |
작은따옴표와 꺾쇠괄호를 삭제한 후 직접 매핑됩니다. 키는 'ExternalMsgID'입니다. |
from |
read_only_udm.network.email.from |
유효한 이메일 주소인 경우 직접 매핑됩니다. network_from 를 채우는 데도 사용됩니다. |
host.hostname |
read_only_udm.principal.hostname 또는 read_only_udm.intermediary.hostname |
host 필드가 잘못된 경우 주 구성원 호스트 이름에 매핑됩니다. 중간 호스트 이름에도 매핑됩니다. |
host.ip |
read_only_udm.principal.ip 또는 read_only_udm.intermediary.ip |
JSON 로그에 ip 필드가 설정되지 않은 경우 주 IP에 매핑됩니다. 중개자 IP에도 매핑됩니다. |
hostname |
read_only_udm.target.hostname |
직접 매핑됩니다. |
http_method |
read_only_udm.network.http.method |
직접 매핑됩니다. |
http_response_code |
read_only_udm.network.http.response_code |
정수로 직접 매핑되고 변환됩니다. |
identity_policy_group |
read_only_udm.security_result.detection_fields.value |
비어 있지 않거나 '-' 또는 'NONE'이 아닌 경우 직접 매핑됩니다. 키는 'IdentityPolicyGroup'입니다. |
ip |
read_only_udm.principal.ip |
직접 매핑됩니다. 있는 경우 source_ip 에 의해 덮어쓰여집니다. |
kv_msg |
Various | kv 필터를 사용하여 파싱되었습니다. 전처리에는 키 앞의 공백을 '#'으로 바꾸고 csLabel 값을 바꾸는 작업이 포함됩니다. |
log_type |
read_only_udm.metadata.log_type |
'CISCO_EMAIL_SECURITY'로 하드코딩됩니다. |
loglevel |
read_only_udm.security_result.severity , read_only_udm.security_result.action |
심각도와 작업을 결정하는 데 사용됩니다. 'Info', '', 'Debug', 'Trace'는 'INFORMATIONAL' 및 'ALLOW'에 매핑됩니다. 'Warning'은 'MEDIUM' 및 'ALLOW'에 매핑됩니다. 'High'는 'HIGH' 및 'BLOCK'에 매핑됩니다. 'Critical' 및 'Alert'는 'CRITICAL', 'BLOCK'에 매핑됩니다. |
mail_id |
read_only_udm.network.email.mail_id |
JSON 로그에서 직접 매핑됩니다. |
mailto |
read_only_udm.target.user.email_addresses , read_only_udm.network.email.to |
유효한 이메일 주소인 경우 두 UDM 필드에 직접 매핑됩니다. |
MailPolicy |
read_only_udm.security_result.about.labels.value |
직접 매핑됩니다. 키는 'MailPolicy'입니다. |
message |
Various | 가능한 경우 JSON으로 파싱됩니다. 그렇지 않으면 syslog 메시지로 처리됩니다. |
message_id |
read_only_udm.network.email.mail_id |
직접 매핑됩니다. network_data 를 채우는 데도 사용됩니다. |
msg |
read_only_udm.network.email.subject |
UTF-8 디코딩 후 캐리지 리턴, 줄바꿈, 추가 따옴표를 삭제한 후 직접 매핑됩니다. network_data 를 채우는 데도 사용됩니다. |
msg1 |
Various | kv 필터를 사용하여 파싱되었습니다. Hostname , helo , env-from , reply-to 를 추출하는 데 사용됩니다. |
outbound_malware_scanning_policy_group |
read_only_udm.security_result.detection_fields.value |
비어 있지 않거나 '-' 또는 'NONE'이 아닌 경우 직접 매핑됩니다. 키는 'DataSecurityPolicyGroup'입니다. |
port |
read_only_udm.target.port |
정수로 직접 매핑되고 변환됩니다. |
principalMail |
read_only_udm.principal.user.email_addresses |
직접 매핑됩니다. |
principalUrl |
read_only_udm.principal.url |
직접 매핑됩니다. |
product_event |
read_only_udm.metadata.product_event_type |
직접 매핑됩니다. 적용할 grok 패턴을 결정하는 데 사용됩니다. 선행 '%' 문자는 삭제됩니다. 'amp'가 'SIEM_AMPenginelogs'로 대체됩니다. |
product_version |
read_only_udm.metadata.product_version |
직접 매핑됩니다. |
protocol |
read_only_udm.network.tls.version |
직접 매핑됩니다. |
received_bytes |
read_only_udm.network.received_bytes |
직접 매핑되고 부호 없는 정수로 변환됩니다. |
reply-to |
read_only_udm.additional.fields.value.string_value |
직접 매핑됩니다. 키는 'Reply-To'입니다. |
reputation |
read_only_udm.security_result.confidence_details |
직접 매핑됩니다. |
request_method_uri |
read_only_udm.target.url |
직접 매핑됩니다. |
result_code |
read_only_udm.security_result.detection_fields.value |
직접 매핑됩니다. 키는 '결과 코드'입니다. |
routing_policy_group |
read_only_udm.security_result.detection_fields.value |
비어 있지 않거나 '-' 또는 'NONE'이 아닌 경우 직접 매핑됩니다. 키는 'RoutingPolicyGroup'입니다. |
rule |
read_only_udm.security_result.detection_fields.value |
직접 매핑됩니다. 키는 '일치 조건'입니다. |
SDRThreatCategory |
read_only_udm.security_result.threat_name |
비어 있지 않거나 '해당 사항 없음'인 경우 직접 매핑됩니다. |
SenderCountry |
read_only_udm.principal.location.country_or_region |
직접 매핑됩니다. |
senderGroup |
read_only_udm.principal.group.group_display_name |
직접 매핑됩니다. |
security_description |
read_only_udm.security_result.description |
직접 매핑됩니다. |
security_email |
read_only_udm.security_result.about.email 또는 read_only_udm.principal.hostname |
올바른 이메일 주소인 경우 이메일에 매핑됩니다. 그렇지 않으면 grok으로 추출한 후 호스트 이름에 매핑됩니다. |
source |
read_only_udm.network.ip_protocol |
'tcp'가 포함된 경우 'TCP'에 매핑됩니다. |
sourceAddress |
read_only_udm.principal.ip |
직접 매핑됩니다. |
sourceHostName |
read_only_udm.principal.administrative_domain |
'알 수 없음'이 아닌 경우 직접 매핑됩니다. |
source_ip |
read_only_udm.principal.ip |
직접 매핑됩니다. 있는 경우 ip 을 덮어씁니다. |
Subject |
read_only_udm.network.email.subject |
후행 마침표를 삭제한 후 직접 매핑됩니다. network_data 를 채우는 데도 사용됩니다. |
suser |
read_only_udm.principal.user.email_addresses , read_only_udm.network.email.bounce_address |
유효한 이메일 주소인 경우 두 UDM 필드에 직접 매핑됩니다. |
target_ip |
read_only_udm.target.ip |
직접 매핑됩니다. |
to |
read_only_udm.network.email.to |
유효한 이메일 주소인 경우 직접 매핑됩니다. network_to 를 채우는 데도 사용됩니다. |
total_bytes |
read_only_udm.network.sent_bytes |
직접 매핑되고 부호 없는 정수로 변환됩니다. |
trackerHeader |
read_only_udm.additional.fields.value.string_value |
직접 매핑됩니다. 키는 'Tracker Header'입니다. |
ts , ts1 , year |
read_only_udm.metadata.event_timestamp.seconds |
이벤트 타임스탬프를 구성하는 데 사용됩니다. ts1 가 있으면 ts1 와 year 가 결합됩니다. 다양한 형식이 지원되며, 연도를 포함하거나 포함하지 않을 수 있습니다. 연도가 없으면 현재 연도가 사용됩니다. 'Cisco'로 하드코딩됨 'Cisco Email Security'로 하드코딩됩니다. 기본값은 'ALLOW'입니다. loglevel 또는 description 에 따라 'BLOCK'으로 설정합니다. application_protocol 가 있으면 기본값은 'INBOUND'입니다. CEF 메시지의 경우 deviceDirection 에 따라 설정됩니다. network_from , network_to , target_ip , ip , description , event_type , principal_host , Hostname , user_id , sourceAddress 등의 필드 조합을 기반으로 결정됩니다. 기본값은 'GENERIC_EVENT'입니다. application_protocol 이 'SMTP' 또는 'smtp'인 경우 또는 target_ip 및 ip 이 있는 경우 'SMTP'로 설정합니다. login_status 및 user_id 이 sshd 로그에 있는 경우 'AUTHTYPE_UNSPECIFIED'로 설정합니다. loglevel 이 '심각' 또는 '경고'인 경우 true로 설정됩니다. |
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.