Cisco Secure Email Gateway 로그 수집
다음에서 지원:
Google SecOps
SIEM
이 문서에서는 Google Security Operations 전달자를 사용하여 Cisco Secure Email Gateway 로그를 수집하는 방법을 설명합니다.
자세한 내용은 Google SecOps에 데이터 수집을 참조하세요.
수집 라벨은 원시 로그 데이터를 구조화된 UDM 형식으로 정규화하는 파서를 식별합니다. 이 문서의 정보는 CISCO-EMAIL-SECURITY 수집 라벨이 있는 파서에 적용됩니다.
Cisco Secure Email Gateway 구성
- Cisco Secure Email Gateway 콘솔에서 시스템 관리 > 로그 구독을 선택합니다.
- 새 로그 구독 창에서 다음을 수행하여 로그 구독을 추가합니다.
- 로그 유형 필드에서 통합 이벤트 로그를 선택합니다.
- 사용 가능한 로그 필드 섹션에서 사용 가능한 필드를 모두 선택한 다음 추가를 클릭하여 선택한 로그 필드로 이동합니다.
- 로그 구독의 로그 검색 방법을 선택하려면 Syslog 푸시를 선택하고 다음을 실행합니다.
- 호스트 이름 필드에 Google SecOps 전달자 IP 주소를 지정합니다.
- 프로토콜 필드에서 TCP 체크박스를 선택합니다.
- 시설 필드에는 기본값을 사용합니다.
- 구성 변경사항을 저장하려면 제출을 클릭합니다.
Cisco Secure Email Gateway를 수집하도록 Google SecOps 전달자 구성
- SIEM 설정 > 전달자로 이동합니다.
- 새로운 포워더 추가를 클릭합니다.
- Forwarder Name(운송업체 이름) 입력란에 운송업체의 고유한 이름을 입력합니다.
- 제출을 클릭합니다. 전달자가 추가되고 수집기 구성 추가 창이 표시됩니다.
- 수집기 이름 입력란에 이름을 입력합니다.
- 로그 유형으로 Cisco Email Security를 선택합니다.
- 수집기 유형 필드에서 Syslog를 선택합니다.
- 다음 필수 입력 매개변수를 구성합니다.
- 프로토콜: 수집기가 syslog 데이터를 리슨하는 데 사용하는 연결 프로토콜을 지정합니다.
- 주소: 수집기가 상주하고 syslog 데이터를 리슨하는 대상 IP 주소 또는 호스트 이름을 지정합니다.
- 포트: 수집기가 상주하고 syslog 데이터를 리슨하는 대상 포트를 지정합니다.
- 제출을 클릭합니다.
Google SecOps 전달자에 관한 자세한 내용은 Google SecOps UI를 통해 전달자 구성 관리를 참고하세요.
전달자를 만들 때 문제가 발생하면 Google SecOps 지원팀에 문의하세요.
필드 매핑 참조
이 파서는 구조화된 (JSON, 키-값 쌍) 및 비구조화된 (syslog) Cisco Email Security 로그를 모두 처리합니다. product_event 필드를 기반으로 grok 패턴, 키-값 추출, 조건부 로직을 활용하여 관련 Cisco ESA 필드를 UDM에 매핑하여 다양한 로그 형식을 UDM으로 표준화합니다. 또한 타임스탬프 변환, 반복 메시지 처리와 같은 데이터 보강도 실행합니다.
UDM 매핑 표
| 로그 필드 | UDM 매핑 | 논리 |
|---|---|---|
acl_decision_tag |
read_only_udm.security_result.detection_fields.value |
비어 있지 않은 경우 '-' 또는 '없음'이면 직접 매핑됩니다. 키는 'ACL Decision Tag'입니다. |
access_or_decryption_policy_group |
read_only_udm.security_result.detection_fields.value |
비어 있지 않은 경우 '-' 또는 '없음'이면 직접 매핑됩니다. 키는 'AccessOrDecryptionPolicyGroup'입니다. |
act |
read_only_udm.security_result.action_details |
직접 매핑됩니다. |
authenticated_user |
read_only_udm.principal.user.userid |
비어 있지 않은 경우 '-' 또는 '없음'이면 직접 매핑됩니다. |
cache_hierarchy_retrieval |
read_only_udm.security_result.detection_fields.value |
비어 있지 않은 경우 '-' 또는 '없음'이면 직접 매핑됩니다. 키는 'Cache Hierarchy Retrieval'입니다. |
cipher |
read_only_udm.network.tls.cipher |
직접 매핑됩니다. |
country |
read_only_udm.principal.location.country_or_region |
직접 매핑됩니다. |
data_security_policy_group |
read_only_udm.security_result.detection_fields.value |
비어 있지 않은 경우 '-' 또는 '없음'이면 직접 매핑됩니다. 키는 'DataSecurityPolicyGroup'입니다. |
description |
read_only_udm.metadata.description |
syslog 메시지에 직접 매핑됩니다. CEF 메시지의 경우 전체 제품 설명이 됩니다. 다양한 grok 패턴은 product_event를 기반으로 특정 설명을 추출합니다. 일부 설명은 선행/후행 공백과 콜론을 삭제하기 위해 gsub로 수정됩니다. |
deviceDirection |
read_only_udm.network.direction |
'0'인 경우 'INBOUND'에 매핑됩니다. '1'인 경우 'OUTBOUND'에 매핑됩니다. 직접 매핑할 TLS 암호화 알고리즘과 프로토콜, 라벨로 매핑할 TLS 암호화 알고리즘과 프로토콜을 결정하는 데 사용됩니다. |
deviceExternalId |
read_only_udm.principal.asset.asset_id |
'기기 ID: |
domain |
read_only_udm.target.administrative_domain |
JSON 로그에서 직접 매핑됩니다. |
domain_age |
read_only_udm.security_result.about.labels.value |
직접 매핑됩니다. 키는 'YoungestDomainAge'입니다. |
duser |
read_only_udm.target.user.email_addresses, read_only_udm.network.email.to |
';"가 포함된 경우 여러 이메일 주소로 분할하고 각각을 두 UDM 필드에 매핑합니다. 그렇지 않은 경우 유효한 이메일 주소인 경우 두 UDM 필드에 직접 매핑합니다. network_to가 비어 있는 경우 이를 채우는 데도 사용됩니다. |
dvc |
read_only_udm.target.ip |
직접 매핑됩니다. |
entries.collection_time.nanos, entries.collection_time.seconds |
read_only_udm.metadata.event_timestamp.nanos, read_only_udm.metadata.event_timestamp.seconds |
이벤트 타임스탬프를 구성하는 데 사용됩니다. |
env-from |
read_only_udm.additional.fields.value.string_value |
직접 매핑됩니다. 키는 'Env-From'입니다. |
ESAAttachmentDetails |
read_only_udm.security_result.about.file.full_path, read_only_udm.security_result.about.file.sha256 |
파일 이름과 SHA256 해시를 추출하도록 파싱됩니다. 여러 파일과 해시를 추출할 수 있습니다. |
ESADCID |
read_only_udm.security_result.about.labels.value |
직접 매핑됩니다. 키는 'ESADCID'입니다. |
ESAFriendlyFrom |
read_only_udm.principal.user.user_display_name, read_only_udm.network.email.from |
파싱하여 표시 이름과 이메일 주소를 추출합니다. |
ESAHeloDomain |
read_only_udm.intermediary.administrative_domain |
직접 매핑됩니다. |
ESAHeloIP |
read_only_udm.intermediary.ip |
직접 매핑됩니다. |
ESAICID |
read_only_udm.security_result.about.labels.value |
직접 매핑됩니다. 키는 'ESAICID'입니다. |
ESAMailFlowPolicy |
read_only_udm.security_result.rule_name |
직접 매핑됩니다. |
ESAMID |
read_only_udm.security_result.about.labels.value |
직접 매핑됩니다. 키는 'ESAMID'입니다. |
ESAReplyTo |
read_only_udm.network.email.reply_to |
유효한 이메일 주소인 경우 직접 매핑됩니다. network_to를 채우는 데도 사용됩니다. |
ESASDRDomainAge |
read_only_udm.security_result.about.labels.value |
직접 매핑됩니다. 키는 'ESASDRDomainAge'입니다. |
ESASenderGroup |
read_only_udm.principal.group.group_display_name |
직접 매핑됩니다. |
ESAStatus |
read_only_udm.security_result.about.labels.value |
직접 매핑됩니다. 키는 'ESAStatus'입니다. |
ESATLSInCipher |
read_only_udm.network.tls.cipher 또는 read_only_udm.security_result.about.labels.value |
deviceDirection가 '0'인 경우 암호화 알고리즘에 직접 매핑됩니다. 그렇지 않으면 'ESATLSInCipher' 키가 있는 라벨로 매핑됩니다. |
ESATLSInProtocol |
read_only_udm.network.tls.version 또는 read_only_udm.security_result.about.labels.value |
deviceDirection이 '0'인 경우 TLS 버전이 추출되고 직접 매핑됩니다. 그렇지 않으면 'ESATLSInProtocol' 키가 있는 라벨로 매핑됩니다. |
ESATLSOutCipher |
read_only_udm.network.tls.cipher 또는 read_only_udm.security_result.about.labels.value |
deviceDirection가 '1'인 경우 암호화 알고리즘에 직접 매핑됩니다. 그렇지 않으면 'ESATLSOutCipher' 키가 있는 라벨로 매핑됩니다. |
ESATLSOutProtocol |
read_only_udm.network.tls.version 또는 read_only_udm.security_result.about.labels.value |
deviceDirection이 '1'인 경우 TLS 버전이 추출되고 직접 매핑됩니다. 그렇지 않으면 'ESATLSOutProtocol' 키가 있는 라벨로 매핑됩니다. |
ESAURLDetails |
read_only_udm.target.url |
URL을 추출하도록 파싱됩니다. 필드가 반복되지 않으므로 첫 번째 URL만 매핑됩니다. |
external_dlp_policy_group |
read_only_udm.security_result.detection_fields.value |
비어 있지 않은 경우 '-' 또는 '없음'이면 직접 매핑됩니다. 키는 'ExternalDlpPolicyGroup'입니다. |
ExternalMsgID |
read_only_udm.security_result.about.labels.value |
작은따옴표와 꺾쇠표를 삭제한 후 직접 매핑되었습니다. 키는 'ExternalMsgID'입니다. |
from |
read_only_udm.network.email.from |
유효한 이메일 주소인 경우 직접 매핑됩니다. network_from를 채우는 데도 사용됩니다. |
host.hostname |
read_only_udm.principal.hostname 또는 read_only_udm.intermediary.hostname |
host 필드가 잘못된 경우 기본 호스트 이름에 매핑됩니다. 중간 호스트 이름에도 매핑됩니다. |
host.ip |
read_only_udm.principal.ip 또는 read_only_udm.intermediary.ip |
JSON 로그에 ip 필드가 설정되지 않은 경우 기본 IP에 매핑됩니다. 중간 IP에도 매핑됩니다. |
hostname |
read_only_udm.target.hostname |
직접 매핑됩니다. |
http_method |
read_only_udm.network.http.method |
직접 매핑됩니다. |
http_response_code |
read_only_udm.network.http.response_code |
정수로 직접 매핑되고 변환됩니다. |
identity_policy_group |
read_only_udm.security_result.detection_fields.value |
비어 있지 않은 경우 직접 매핑되며, '-' 또는 'NONE'은 매핑되지 않습니다. 키는 'IdentityPolicyGroup'입니다. |
ip |
read_only_udm.principal.ip |
직접 매핑됩니다. source_ip가 있는 경우 source_ip로 덮어씁니다. |
kv_msg |
다양함 | kv 필터를 사용하여 파싱됩니다. 사전 처리에는 키 앞에 있는 공백을 '#'으로 바꾸고 csLabel 값을 전환하는 작업이 포함됩니다. |
log_type |
read_only_udm.metadata.log_type |
'CISCO_EMAIL_SECURITY'로 하드코딩됩니다. |
loglevel |
read_only_udm.security_result.severity, read_only_udm.security_result.action |
심각도와 조치를 결정하는 데 사용됩니다. '정보', '', '디버그', '트레이스'는 'INFORMATIONAL' 및 'ALLOW'에 매핑됩니다. '경고'는 'MEDIUM' 및 'ALLOW'에 매핑됩니다. 'High'는 'HIGH' 및 'BLOCK'에 매핑됩니다. 'Critical' 및 'Alert'가 'CRITICAL', 'BLOCK'에 매핑되고 is_alert가 true로 설정됩니다. |
mail_id |
read_only_udm.network.email.mail_id |
JSON 로그에서 직접 매핑됩니다. |
mailto |
read_only_udm.target.user.email_addresses, read_only_udm.network.email.to |
유효한 이메일 주소인 경우 두 UDM 필드에 직접 매핑됩니다. |
MailPolicy |
read_only_udm.security_result.about.labels.value |
직접 매핑됩니다. 키는 'MailPolicy'입니다. |
message |
다양함 | 가능하면 JSON으로 파싱됩니다. 그렇지 않으면 syslog 메시지로 처리됩니다. |
message_id |
read_only_udm.network.email.mail_id |
직접 매핑됩니다. network_data를 채우는 데도 사용됩니다. |
msg |
read_only_udm.network.email.subject |
UTF-8 디코딩 후 캐리지 리턴, 새 줄, 추가 따옴표를 삭제한 후 직접 매핑됩니다. network_data를 채우는 데도 사용됩니다. |
msg1 |
다양함 | kv 필터를 사용하여 파싱됩니다. Hostname, helo, env-from, reply-to를 추출하는 데 사용됩니다. |
outbound_malware_scanning_policy_group |
read_only_udm.security_result.detection_fields.value |
비어 있지 않은 경우 '-' 또는 '없음'이면 직접 매핑됩니다. 키는 'DataSecurityPolicyGroup'입니다. |
port |
read_only_udm.target.port |
정수로 직접 매핑되고 변환됩니다. |
principalMail |
read_only_udm.principal.user.email_addresses |
직접 매핑됩니다. |
principalUrl |
read_only_udm.principal.url |
직접 매핑됩니다. |
product_event |
read_only_udm.metadata.product_event_type |
직접 매핑됩니다. 적용할 grok 패턴을 결정하는 데 사용됩니다. 선행 '%' 문자는 삭제됩니다. 'amp'가 'SIEM_AMPenginelogs'로 대체됩니다. |
product_version |
read_only_udm.metadata.product_version |
직접 매핑됩니다. |
protocol |
read_only_udm.network.tls.version |
직접 매핑됩니다. |
received_bytes |
read_only_udm.network.received_bytes |
부호 없는 정수로 직접 매핑되고 변환됩니다. |
reply-to |
read_only_udm.additional.fields.value.string_value |
직접 매핑됩니다. 키는 'Reply-To'입니다. |
reputation |
read_only_udm.security_result.confidence_details |
직접 매핑됩니다. |
request_method_uri |
read_only_udm.target.url |
직접 매핑됩니다. |
result_code |
read_only_udm.security_result.detection_fields.value |
직접 매핑됩니다. 키는 '결과 코드'입니다. |
routing_policy_group |
read_only_udm.security_result.detection_fields.value |
비어 있지 않은 경우 '-' 또는 '없음'이면 직접 매핑됩니다. 키는 'RoutingPolicyGroup'입니다. |
rule |
read_only_udm.security_result.detection_fields.value |
직접 매핑됩니다. 키는 '일치 조건'입니다. |
SDRThreatCategory |
read_only_udm.security_result.threat_name |
빈 값이 아니거나 '해당 사항 없음'이 아닌 경우 직접 매핑됩니다. |
SenderCountry |
read_only_udm.principal.location.country_or_region |
직접 매핑됩니다. |
senderGroup |
read_only_udm.principal.group.group_display_name |
직접 매핑됩니다. |
security_description |
read_only_udm.security_result.description |
직접 매핑됩니다. |
security_email |
read_only_udm.security_result.about.email 또는 read_only_udm.principal.hostname |
유효한 이메일 주소인 경우 이메일에 매핑됩니다. 그렇지 않으면 grok로 추출한 후 호스트 이름에 매핑됩니다. |
source |
read_only_udm.network.ip_protocol |
'tcp'가 포함된 경우 'TCP'에 매핑됩니다. |
sourceAddress |
read_only_udm.principal.ip |
직접 매핑됩니다. |
sourceHostName |
read_only_udm.principal.administrative_domain |
'알 수 없음'이 아닌 경우 직접 매핑됩니다. |
source_ip |
read_only_udm.principal.ip |
직접 매핑됩니다. ip가 있는 경우 이를 덮어씁니다. |
Subject |
read_only_udm.network.email.subject |
뒤의 마침표를 삭제한 후 직접 매핑됩니다. network_data를 채우는 데도 사용됩니다. |
suser |
read_only_udm.principal.user.email_addresses, read_only_udm.network.email.bounce_address |
유효한 이메일 주소인 경우 두 UDM 필드에 직접 매핑됩니다. |
target_ip |
read_only_udm.target.ip |
직접 매핑됩니다. |
to |
read_only_udm.network.email.to |
유효한 이메일 주소인 경우 직접 매핑됩니다. network_to를 채우는 데도 사용됩니다. |
total_bytes |
read_only_udm.network.sent_bytes |
부호 없는 정수로 직접 매핑되고 변환됩니다. |
trackerHeader |
read_only_udm.additional.fields.value.string_value |
직접 매핑됩니다. 키는 'Tracker Header'입니다. |
ts, ts1, year |
read_only_udm.metadata.event_timestamp.seconds |
이벤트 타임스탬프를 구성하는 데 사용됩니다. ts1가 있는 경우 ts1 및 year가 결합됩니다. 연도 유무와 관계없이 다양한 형식이 지원됩니다. 연도가 없으면 현재 연도가 사용됩니다. 'Cisco'로 하드코딩되었습니다. 'Cisco Email Security'로 하드코딩되었습니다. 기본값은 'ALLOW'입니다. loglevel 또는 description에 따라 'BLOCK'으로 설정합니다. application_protocol가 있으면 기본값은 'INBOUND'입니다. CEF 메시지의 경우 deviceDirection를 기반으로 설정합니다. network_from, network_to, target_ip, ip, description, event_type, principal_host, Hostname, user_id, sourceAddress 등의 필드 조합을 기반으로 결정됩니다. 기본값은 'GENERIC_EVENT'입니다. application_protocol이 'SMTP' 또는 'smtp'이거나 target_ip 및 ip가 있는 경우 'SMTP'로 설정합니다. sshd 로그에 login_status 및 user_id가 있는 경우 'AUTHTYPE_UNSPECIFIED'로 설정합니다. loglevel이 'Critical' 또는 'Alert'인 경우 true로 설정합니다. |
변경사항
2023-10-05
- 버그 수정:
- 'product_event'의 이름을 'amp'에서 'SIEM_AMPenginelogs'로 변경했습니다.
2023-09-15
- json 로그의 'SIEM_proxylogs','SIEM_webrootlogs','SIEM_AMPenginelogs'에 대한 지원이 추가되었습니다.
2023-09-04
- 개선
- 파싱되지 않은 로그를 파싱하고 그에 따라 필드를 매핑하기 위한 Grok 패턴을 추가했습니다.
- JSON 로그의 새로운 패턴에 대한 지원이 추가되었습니다.
2022-12-16
- 개선
- 'network.email.to', 'network.email.from', 'principal.user.email_addresses', 'target.user.email_addresses', 'network.email.reply_to'에 매핑된 필드의 조건부 검사를 수정했습니다.
- json 로그 지원이 추가되었습니다.
- 'host' 필드를 'principal.hostname'에 매핑했습니다.
- 'domain' 필드가 'target.administrative_domain'에 매핑되었습니다.
- 'mail_id' 필드가 'network.email.mail_id'에 매핑되었습니다.
- 'mailto' 필드가 'network.email.to' 및 'target.user.email_addresses'에 매핑되었습니다.
- 'source' 필드가 'network.ip_protocol'에 매핑되었습니다.
- 'reputation' 필드가 'security_result.confidence_details'에 매핑되었습니다.
- 'log_type' 필드가 'security_result.severity' 및 'security_result.severity_details'에 매핑되었습니다.
- 'cribl_pipe' 필드가 'additional.fields'에 매핑되었습니다.
2022-09-22
- 개선
- 'product_event' 필드가 비어 있는 파싱되지 않은 로그에 관한 Grok 패턴을 추가했습니다.
2022-08-02
- 개선
- 새로 추가된 event_type 'STATUS_UPDATE', 'USER_UNCATEGORIZED', 'SCAN_PROCESS'에 대한 조건을 추가했습니다.
- 'attack'이 'security_result.category_details'에 매핑되었습니다.
- 다양한 유형의 로그에서 'ESAAttachmentDetails' 필드를 파싱하도록 파서를 개선했습니다.
2022-06-09
- 개선사항: 'from_user'가 'principal.user.user_display_name'에 매핑되었습니다.
- 'metadata.product_event_type'을 'Consolidated Log Event'에서 'ESA_CONSOLIDATED_LOG_EVENT'로 업데이트했습니다.
2022-06-07
- 개선사항: suser가 network.email.bounce_address에 매핑되었습니다.
2022-05-17
- 개선사항 - duser가 network.email.to에 매핑되었습니다.
- UDM에 null 값 매핑을 방지하기 위해 product_version 및 product_description 필드에 on_error를 추가했습니다.
- 'DAY TIMESTAMP YEAR' 형식(예: 2021년 2월 18일 수요일 00:34:12)으로 시작하는 로그를 파싱하는 로직을 추가했습니다.
2022-05-05
- 개선사항 - network.email.from에 grok 사용
2022-03-31
- 개선사항: 새 필드에 대한 매핑이 추가되었습니다.
- ESAReplyTo가 network.email.reply_to에 매핑되었습니다.
- duser가 network.email.to에 매핑됨