Cisco Secure Email Gateway 로그 수집

다음에서 지원:

이 문서에서는 Google Security Operations 전달자를 사용하여 Cisco Secure Email Gateway 로그를 수집하는 방법을 설명합니다.

자세한 내용은 Google SecOps에 데이터 수집을 참조하세요.

수집 라벨은 원시 로그 데이터를 구조화된 UDM 형식으로 정규화하는 파서를 식별합니다. 이 문서의 정보는 CISCO-EMAIL-SECURITY 수집 라벨이 있는 파서에 적용됩니다.

Cisco Secure Email Gateway 구성

  1. Cisco Secure Email Gateway 콘솔에서 System administration > Log subscriptions을 선택합니다.
  2. 새 로그 구독 창에서 다음을 수행하여 로그 구독을 추가합니다.
    1. 로그 유형 필드에서 통합 이벤트 로그를 선택합니다.
    2. 사용 가능한 로그 필드 섹션에서 사용 가능한 모든 필드를 선택한 다음 추가를 클릭하여 선택한 로그 필드로 이동합니다.
    3. 로그 구독의 로그 가져오기 방법을 선택하려면 Syslog 푸시를 선택하고 다음을 수행합니다.
      1. 호스트 이름 필드에 Google SecOps 포워더 IP 주소를 지정합니다.
      2. 프로토콜 필드에서 TCP 체크박스를 선택합니다.
      3. 시설 필드에서 기본값을 사용합니다.
  3. 구성 변경사항을 저장하려면 제출을 클릭합니다.

Cisco Secure Email Gateway를 수집하도록 Google SecOps 전달자 구성

  1. SIEM 설정 > 포워더로 이동합니다.
  2. 새 운송업체 추가를 클릭합니다.
  3. 전달자 이름 필드에 전달자의 고유한 이름을 입력합니다.
  4. 제출을 클릭합니다. 전달자가 추가되고 수집기 구성 추가 창이 표시됩니다.
  5. 수집기 이름 필드에 이름을 입력합니다.
  6. 로그 유형으로 Cisco Email Security를 선택합니다.
  7. 수집기 유형 필드에서 Syslog를 선택합니다.
  8. 다음 필수 입력 매개변수를 구성합니다.
    • 프로토콜: 수집기가 syslog 데이터를 리슨하는 데 사용하는 연결 프로토콜을 지정합니다.
    • 주소: 수집기가 상주하고 syslog 데이터를 리슨하는 대상 IP 주소 또는 호스트 이름을 지정합니다.
    • 포트: 수집기가 상주하고 syslog 데이터를 리슨하는 대상 포트를 지정합니다.
  9. 제출을 클릭합니다.

Google SecOps 전달자에 대한 자세한 내용은 Google SecOps UI를 통해 전달자 구성 관리를 참고하세요.

전달자를 만들 때 문제가 발생하면 Google SecOps 지원팀에 문의하세요.

필드 매핑 참조

이 파서는 구조화된 (JSON, 키-값 쌍) Cisco Email Security 로그와 구조화되지 않은 (syslog) Cisco Email Security 로그를 모두 처리합니다. grok 패턴, 키-값 추출, product_event 필드에 기반한 조건부 로직을 활용하여 다양한 로그 형식을 UDM으로 정규화하고 관련 Cisco ESA 필드를 UDM에 매핑합니다. 타임스탬프 변환, 반복 메시지 처리와 같은 데이터 보강도 실행합니다.

UDM 매핑 테이블

로그 필드 UDM 매핑 논리
acl_decision_tag read_only_udm.security_result.detection_fields.value 비어 있지 않거나 '-' 또는 'NONE'이 아닌 경우 직접 매핑됩니다. 키는 'ACL 결정 태그'입니다.
access_or_decryption_policy_group read_only_udm.security_result.detection_fields.value 비어 있지 않거나 '-' 또는 'NONE'이 아닌 경우 직접 매핑됩니다. 키는 'AccessOrDecryptionPolicyGroup'입니다.
act read_only_udm.security_result.action_details 직접 매핑됩니다.
authenticated_user read_only_udm.principal.user.userid 비어 있지 않거나 '-' 또는 'NONE'이 아닌 경우 직접 매핑됩니다.
cache_hierarchy_retrieval read_only_udm.security_result.detection_fields.value 비어 있지 않거나 '-' 또는 'NONE'이 아닌 경우 직접 매핑됩니다. 키는 '캐시 계층 구조 가져오기'입니다.
cipher read_only_udm.network.tls.cipher 직접 매핑됩니다.
country read_only_udm.principal.location.country_or_region 직접 매핑됩니다.
data_security_policy_group read_only_udm.security_result.detection_fields.value 비어 있지 않거나 '-' 또는 'NONE'이 아닌 경우 직접 매핑됩니다. 키는 'DataSecurityPolicyGroup'입니다.
description read_only_udm.metadata.description syslog 메시지에 직접 매핑됩니다. CEF 메시지의 경우 전체 제품 설명이 됩니다. 다양한 grok 패턴이 product_event에 따라 특정 설명을 추출합니다. 일부 설명은 선행/후행 공백과 콜론을 삭제하기 위해 gsub로 수정됩니다.
deviceDirection read_only_udm.network.direction '0'인 경우 'INBOUND'에 매핑됩니다. '1'인 경우 'OUTBOUND'에 매핑됩니다. 직접 매핑할 TLS 암호 및 프로토콜과 라벨로 매핑할 TLS 암호 및 프로토콜을 결정하는 데 사용됩니다.
deviceExternalId read_only_udm.principal.asset.asset_id '기기 ID:'로 매핑됩니다.
domain read_only_udm.target.administrative_domain JSON 로그에서 직접 매핑됩니다.
domain_age read_only_udm.security_result.about.labels.value 직접 매핑됩니다. 키는 'YoungestDomainAge'입니다.
duser read_only_udm.target.user.email_addresses, read_only_udm.network.email.to ';'이 포함된 경우 여러 이메일 주소로 분할하고 각 주소를 두 UDM 필드에 모두 매핑합니다. 그렇지 않으면 유효한 이메일 주소인 경우 두 UDM 필드에 직접 매핑합니다. network_to가 비어 있는 경우 이를 채우는 데도 사용됩니다.
dvc read_only_udm.target.ip 직접 매핑됩니다.
entries.collection_time.nanos, entries.collection_time.seconds read_only_udm.metadata.event_timestamp.nanos, read_only_udm.metadata.event_timestamp.seconds 이벤트 타임스탬프를 구성하는 데 사용됩니다.
env-from read_only_udm.additional.fields.value.string_value 직접 매핑됩니다. 키는 'Env-From'입니다.
ESAAttachmentDetails read_only_udm.security_result.about.file.full_path, read_only_udm.security_result.about.file.sha256 파일 이름과 SHA256 해시를 추출하기 위해 파싱됩니다. 여러 파일과 해시를 추출할 수 있습니다.
ESADCID read_only_udm.security_result.about.labels.value 직접 매핑됩니다. 키는 'ESADCID'입니다.
ESAFriendlyFrom read_only_udm.principal.user.user_display_name, read_only_udm.network.email.from 표시 이름과 이메일 주소를 추출하기 위해 파싱됩니다.
ESAHeloDomain read_only_udm.intermediary.administrative_domain 직접 매핑됩니다.
ESAHeloIP read_only_udm.intermediary.ip 직접 매핑됩니다.
ESAICID read_only_udm.security_result.about.labels.value 직접 매핑됩니다. 키는 'ESAICID'입니다.
ESAMailFlowPolicy read_only_udm.security_result.rule_name 직접 매핑됩니다.
ESAMID read_only_udm.security_result.about.labels.value 직접 매핑됩니다. 키는 'ESAMID'입니다.
ESAReplyTo read_only_udm.network.email.reply_to 유효한 이메일 주소인 경우 직접 매핑됩니다. network_to를 채우는 데도 사용됩니다.
ESASDRDomainAge read_only_udm.security_result.about.labels.value 직접 매핑됩니다. 키는 'ESASDRDomainAge'입니다.
ESASenderGroup read_only_udm.principal.group.group_display_name 직접 매핑됩니다.
ESAStatus read_only_udm.security_result.about.labels.value 직접 매핑됩니다. 키는 'ESAStatus'입니다.
ESATLSInCipher read_only_udm.network.tls.cipher 또는 read_only_udm.security_result.about.labels.value deviceDirection가 '0'인 경우 암호에 직접 매핑됩니다. 그렇지 않으면 키가 'ESATLSInCipher'인 라벨로 매핑됩니다.
ESATLSInProtocol read_only_udm.network.tls.version 또는 read_only_udm.security_result.about.labels.value deviceDirection이 '0'인 경우 TLS 버전이 추출되어 직접 매핑됩니다. 그렇지 않으면 키가 'ESATLSInProtocol'인 라벨로 매핑됩니다.
ESATLSOutCipher read_only_udm.network.tls.cipher 또는 read_only_udm.security_result.about.labels.value deviceDirection가 '1'인 경우 암호에 직접 매핑됩니다. 그렇지 않으면 키가 'ESATLSOutCipher'인 라벨로 매핑됩니다.
ESATLSOutProtocol read_only_udm.network.tls.version 또는 read_only_udm.security_result.about.labels.value deviceDirection이 '1'인 경우 TLS 버전이 추출되어 직접 매핑됩니다. 그렇지 않으면 키가 'ESATLSOutProtocol'인 라벨로 매핑됩니다.
ESAURLDetails read_only_udm.target.url URL을 추출하기 위해 파싱되었습니다. 필드가 반복되지 않으므로 첫 번째 URL만 매핑됩니다.
external_dlp_policy_group read_only_udm.security_result.detection_fields.value 비어 있지 않거나 '-' 또는 'NONE'이 아닌 경우 직접 매핑됩니다. 키는 'ExternalDlpPolicyGroup'입니다.
ExternalMsgID read_only_udm.security_result.about.labels.value 작은따옴표와 꺾쇠괄호를 삭제한 후 직접 매핑됩니다. 키는 'ExternalMsgID'입니다.
from read_only_udm.network.email.from 유효한 이메일 주소인 경우 직접 매핑됩니다. network_from를 채우는 데도 사용됩니다.
host.hostname read_only_udm.principal.hostname 또는 read_only_udm.intermediary.hostname host 필드가 잘못된 경우 주 구성원 호스트 이름에 매핑됩니다. 중간 호스트 이름에도 매핑됩니다.
host.ip read_only_udm.principal.ip 또는 read_only_udm.intermediary.ip JSON 로그에 ip 필드가 설정되지 않은 경우 주 IP에 매핑됩니다. 중개자 IP에도 매핑됩니다.
hostname read_only_udm.target.hostname 직접 매핑됩니다.
http_method read_only_udm.network.http.method 직접 매핑됩니다.
http_response_code read_only_udm.network.http.response_code 정수로 직접 매핑되고 변환됩니다.
identity_policy_group read_only_udm.security_result.detection_fields.value 비어 있지 않거나 '-' 또는 'NONE'이 아닌 경우 직접 매핑됩니다. 키는 'IdentityPolicyGroup'입니다.
ip read_only_udm.principal.ip 직접 매핑됩니다. 있는 경우 source_ip에 의해 덮어쓰여집니다.
kv_msg Various kv 필터를 사용하여 파싱되었습니다. 전처리에는 키 앞의 공백을 '#'으로 바꾸고 csLabel 값을 바꾸는 작업이 포함됩니다.
log_type read_only_udm.metadata.log_type 'CISCO_EMAIL_SECURITY'로 하드코딩됩니다.
loglevel read_only_udm.security_result.severity, read_only_udm.security_result.action 심각도와 작업을 결정하는 데 사용됩니다. 'Info', '', 'Debug', 'Trace'는 'INFORMATIONAL' 및 'ALLOW'에 매핑됩니다. 'Warning'은 'MEDIUM' 및 'ALLOW'에 매핑됩니다. 'High'는 'HIGH' 및 'BLOCK'에 매핑됩니다. 'Critical' 및 'Alert'는 'CRITICAL', 'BLOCK'에 매핑됩니다.
mail_id read_only_udm.network.email.mail_id JSON 로그에서 직접 매핑됩니다.
mailto read_only_udm.target.user.email_addresses, read_only_udm.network.email.to 유효한 이메일 주소인 경우 두 UDM 필드에 직접 매핑됩니다.
MailPolicy read_only_udm.security_result.about.labels.value 직접 매핑됩니다. 키는 'MailPolicy'입니다.
message Various 가능한 경우 JSON으로 파싱됩니다. 그렇지 않으면 syslog 메시지로 처리됩니다.
message_id read_only_udm.network.email.mail_id 직접 매핑됩니다. network_data를 채우는 데도 사용됩니다.
msg read_only_udm.network.email.subject UTF-8 디코딩 후 캐리지 리턴, 줄바꿈, 추가 따옴표를 삭제한 후 직접 매핑됩니다. network_data를 채우는 데도 사용됩니다.
msg1 Various kv 필터를 사용하여 파싱되었습니다. Hostname, helo, env-from, reply-to를 추출하는 데 사용됩니다.
outbound_malware_scanning_policy_group read_only_udm.security_result.detection_fields.value 비어 있지 않거나 '-' 또는 'NONE'이 아닌 경우 직접 매핑됩니다. 키는 'DataSecurityPolicyGroup'입니다.
port read_only_udm.target.port 정수로 직접 매핑되고 변환됩니다.
principalMail read_only_udm.principal.user.email_addresses 직접 매핑됩니다.
principalUrl read_only_udm.principal.url 직접 매핑됩니다.
product_event read_only_udm.metadata.product_event_type 직접 매핑됩니다. 적용할 grok 패턴을 결정하는 데 사용됩니다. 선행 '%' 문자는 삭제됩니다. 'amp'가 'SIEM_AMPenginelogs'로 대체됩니다.
product_version read_only_udm.metadata.product_version 직접 매핑됩니다.
protocol read_only_udm.network.tls.version 직접 매핑됩니다.
received_bytes read_only_udm.network.received_bytes 직접 매핑되고 부호 없는 정수로 변환됩니다.
reply-to read_only_udm.additional.fields.value.string_value 직접 매핑됩니다. 키는 'Reply-To'입니다.
reputation read_only_udm.security_result.confidence_details 직접 매핑됩니다.
request_method_uri read_only_udm.target.url 직접 매핑됩니다.
result_code read_only_udm.security_result.detection_fields.value 직접 매핑됩니다. 키는 '결과 코드'입니다.
routing_policy_group read_only_udm.security_result.detection_fields.value 비어 있지 않거나 '-' 또는 'NONE'이 아닌 경우 직접 매핑됩니다. 키는 'RoutingPolicyGroup'입니다.
rule read_only_udm.security_result.detection_fields.value 직접 매핑됩니다. 키는 '일치 조건'입니다.
SDRThreatCategory read_only_udm.security_result.threat_name 비어 있지 않거나 '해당 사항 없음'인 경우 직접 매핑됩니다.
SenderCountry read_only_udm.principal.location.country_or_region 직접 매핑됩니다.
senderGroup read_only_udm.principal.group.group_display_name 직접 매핑됩니다.
security_description read_only_udm.security_result.description 직접 매핑됩니다.
security_email read_only_udm.security_result.about.email 또는 read_only_udm.principal.hostname 올바른 이메일 주소인 경우 이메일에 매핑됩니다. 그렇지 않으면 grok으로 추출한 후 호스트 이름에 매핑됩니다.
source read_only_udm.network.ip_protocol 'tcp'가 포함된 경우 'TCP'에 매핑됩니다.
sourceAddress read_only_udm.principal.ip 직접 매핑됩니다.
sourceHostName read_only_udm.principal.administrative_domain '알 수 없음'이 아닌 경우 직접 매핑됩니다.
source_ip read_only_udm.principal.ip 직접 매핑됩니다. 있는 경우 ip을 덮어씁니다.
Subject read_only_udm.network.email.subject 후행 마침표를 삭제한 후 직접 매핑됩니다. network_data를 채우는 데도 사용됩니다.
suser read_only_udm.principal.user.email_addresses, read_only_udm.network.email.bounce_address 유효한 이메일 주소인 경우 두 UDM 필드에 직접 매핑됩니다.
target_ip read_only_udm.target.ip 직접 매핑됩니다.
to read_only_udm.network.email.to 유효한 이메일 주소인 경우 직접 매핑됩니다. network_to를 채우는 데도 사용됩니다.
total_bytes read_only_udm.network.sent_bytes 직접 매핑되고 부호 없는 정수로 변환됩니다.
trackerHeader read_only_udm.additional.fields.value.string_value 직접 매핑됩니다. 키는 'Tracker Header'입니다.
ts, ts1, year read_only_udm.metadata.event_timestamp.seconds 이벤트 타임스탬프를 구성하는 데 사용됩니다. ts1가 있으면 ts1year가 결합됩니다. 다양한 형식이 지원되며, 연도를 포함하거나 포함하지 않을 수 있습니다. 연도가 없으면 현재 연도가 사용됩니다. 'Cisco'로 하드코딩됨 'Cisco Email Security'로 하드코딩됩니다. 기본값은 'ALLOW'입니다. loglevel 또는 description에 따라 'BLOCK'으로 설정합니다. application_protocol가 있으면 기본값은 'INBOUND'입니다. CEF 메시지의 경우 deviceDirection에 따라 설정됩니다. network_from, network_to, target_ip, ip, description, event_type, principal_host, Hostname, user_id, sourceAddress 등의 필드 조합을 기반으로 결정됩니다. 기본값은 'GENERIC_EVENT'입니다. application_protocol이 'SMTP' 또는 'smtp'인 경우 또는 target_ipip이 있는 경우 'SMTP'로 설정합니다. login_statususer_id이 sshd 로그에 있는 경우 'AUTHTYPE_UNSPECIFIED'로 설정합니다. loglevel이 '심각' 또는 '경고'인 경우 true로 설정됩니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.