Recolha registos do Cisco Secure Email Gateway

Compatível com:

Este documento descreve como pode recolher os registos do Cisco Secure Email Gateway através de um encaminhador do Google Security Operations.

Para mais informações, consulte o artigo Ingestão de dados no Google SecOps.

Uma etiqueta de carregamento identifica o analisador que normaliza os dados de registo não processados para o formato UDM estruturado. As informações neste documento aplicam-se ao analisador com a etiqueta de carregamento CISCO-EMAIL-SECURITY.

Configure o Cisco Secure Email Gateway

  1. Na consola do Cisco Secure Email Gateway, selecione System administration > Log subscriptions.
  2. Na janela Nova subscrição de registos, faça o seguinte para adicionar uma subscrição de registos:
    1. No campo Tipo de registo, selecione Registos de eventos consolidados.
    2. Na secção Campos de registo disponíveis, selecione todos os campos disponíveis e, de seguida, clique em Adicionar para os mover para os Campos de registo selecionados.
    3. Para selecionar um método de obtenção de registos para a subscrição de registos, selecione Envio de Syslog e faça o seguinte:
      1. No campo Nome do anfitrião, especifique o endereço IP do encaminhador do Google SecOps.
      2. No campo Protocolo, selecione a caixa de verificação TCP.
      3. No campo Instalação, use o valor predefinido.
  3. Para guardar as alterações de configuração, clique em Enviar.

Configure o encaminhador do Google SecOps para carregar o Cisco Secure Email Gateway

  1. Aceda a Definições do SIEM > Encaminhadores.
  2. Clique em Adicionar novo encaminhador
  3. No campo Nome do encaminhador, introduza um nome exclusivo para o encaminhador.
  4. Clique em Enviar. O encaminhador é adicionado e é apresentada a janela Adicionar configuração do coletor.
  5. No campo Nome do coletor, introduza um nome.
  6. Selecione Cisco Email Security como o Tipo de registo.
  7. No campo Tipo de coletor, selecione Syslog.
  8. Configure os seguintes parâmetros de entrada obrigatórios:
    • Protocolo: especifique o protocolo de ligação que o coletor usa para ouvir dados de syslog.
    • Endereço: especifique o endereço IP ou o nome de anfitrião de destino onde o coletor reside e escuta os dados syslog.
    • Porta: especifique a porta de destino onde o coletor reside e ouve os dados de syslog.
  9. Clique em Enviar.

Para mais informações sobre os encaminhadores do Google SecOps, consulte o artigo Faça a gestão das configurações de encaminhadores através da IU do Google SecOps.

Se tiver problemas ao criar encaminhadores, contacte o apoio técnico do Google SecOps.

Referência de mapeamento de campos

Este analisador processa registos de segurança de email da Cisco estruturados (JSON, pares de chave-valor) e não estruturados (syslog). Normaliza diversos formatos de registo no UDM através de padrões grok, extração de chave-valor e lógica condicional com base no campo product_event para mapear campos relevantes do Cisco ESA para o UDM. Também realiza o enriquecimento de dados, como a conversão de datas/horas e o processamento de mensagens repetidas.

Tabela de mapeamento da UDM

Campo de registo Mapeamento do UDM Lógica
acl_decision_tag read_only_udm.security_result.detection_fields.value Mapeado diretamente se não estiver vazio, "-" ou "NONE". A chave é "ACL Decision Tag".
access_or_decryption_policy_group read_only_udm.security_result.detection_fields.value Mapeado diretamente se não estiver vazio, "-" ou "NONE". A chave é "AccessOrDecryptionPolicyGroup".
act read_only_udm.security_result.action_details Mapeado diretamente.
authenticated_user read_only_udm.principal.user.userid Mapeado diretamente se não estiver vazio, "-" ou "NONE".
cache_hierarchy_retrieval read_only_udm.security_result.detection_fields.value Mapeado diretamente se não estiver vazio, "-" ou "NONE". A chave é "Cache Hierarchy Retrieval".
cipher read_only_udm.network.tls.cipher Mapeado diretamente.
country read_only_udm.principal.location.country_or_region Mapeado diretamente.
data_security_policy_group read_only_udm.security_result.detection_fields.value Mapeado diretamente se não estiver vazio, "-" ou "NONE". A chave é "DataSecurityPolicyGroup".
description read_only_udm.metadata.description Mapeado diretamente para mensagens syslog. Para mensagens CEF, torna-se a descrição geral do produto. Vários padrões Grok extraem descrições específicas com base no product_event. Algumas descrições são modificadas por gsub para remover espaços e dois pontos à esquerda/direita.
deviceDirection read_only_udm.network.direction Se for "0", é mapeado para "INBOUND". Se for "1", é mapeado para "OUTBOUND". Usado para determinar que cifra e protocolo TLS mapear diretamente e que mapear como etiquetas.
deviceExternalId read_only_udm.principal.asset.asset_id Mapeado como "ID do dispositivo:".
domain read_only_udm.target.administrative_domain Mapeados diretamente a partir de registos JSON.
domain_age read_only_udm.security_result.about.labels.value Mapeado diretamente. A chave é "YoungestDomainAge".
duser read_only_udm.target.user.email_addresses, read_only_udm.network.email.to Se contiver ";", divida em vários endereços de email e mapeie cada um para ambos os campos de UDM. Caso contrário, mapeie diretamente para ambos os campos da UDM se for um endereço de email válido. Também usado para preencher network_to se estiver vazio.
dvc read_only_udm.target.ip Mapeado diretamente.
entries.collection_time.nanos, entries.collection_time.seconds read_only_udm.metadata.event_timestamp.nanos, read_only_udm.metadata.event_timestamp.seconds Usado para criar a data/hora do evento.
env-from read_only_udm.additional.fields.value.string_value Mapeado diretamente. A chave é "Env-From".
ESAAttachmentDetails read_only_udm.security_result.about.file.full_path, read_only_udm.security_result.about.file.sha256 Analisado para extrair nomes de ficheiros e hashes SHA256. É possível extrair vários ficheiros e hashes.
ESADCID read_only_udm.security_result.about.labels.value Mapeado diretamente. A chave é "ESADCID".
ESAFriendlyFrom read_only_udm.principal.user.user_display_name, read_only_udm.network.email.from Analisado para extrair o nome a apresentar e o endereço de email.
ESAHeloDomain read_only_udm.intermediary.administrative_domain Mapeado diretamente.
ESAHeloIP read_only_udm.intermediary.ip Mapeado diretamente.
ESAICID read_only_udm.security_result.about.labels.value Mapeado diretamente. A chave é "ESAICID".
ESAMailFlowPolicy read_only_udm.security_result.rule_name Mapeado diretamente.
ESAMID read_only_udm.security_result.about.labels.value Mapeado diretamente. A chave é "ESAMID".
ESAReplyTo read_only_udm.network.email.reply_to Mapeado diretamente se for um endereço de email válido. Também é usado para preencher o network_to.
ESASDRDomainAge read_only_udm.security_result.about.labels.value Mapeado diretamente. A chave é "ESASDRDomainAge".
ESASenderGroup read_only_udm.principal.group.group_display_name Mapeado diretamente.
ESAStatus read_only_udm.security_result.about.labels.value Mapeado diretamente. A chave é "ESAStatus".
ESATLSInCipher read_only_udm.network.tls.cipher ou read_only_udm.security_result.about.labels.value Mapeado diretamente para a cifra se deviceDirection for "0". Caso contrário, mapeado como uma etiqueta com a chave "ESATLSInCipher".
ESATLSInProtocol read_only_udm.network.tls.version ou read_only_udm.security_result.about.labels.value A versão TLS é extraída e mapeada diretamente se deviceDirection for "0". Caso contrário, é mapeado como uma etiqueta com a chave "ESATLSInProtocol".
ESATLSOutCipher read_only_udm.network.tls.cipher ou read_only_udm.security_result.about.labels.value Mapeado diretamente para a cifra se deviceDirection for "1". Caso contrário, é mapeado como uma etiqueta com a chave "ESATLSOutCipher".
ESATLSOutProtocol read_only_udm.network.tls.version ou read_only_udm.security_result.about.labels.value A versão TLS é extraída e mapeada diretamente se deviceDirection for "1". Caso contrário, é mapeado como uma etiqueta com a chave "ESATLSOutProtocol".
ESAURLDetails read_only_udm.target.url Analisado para extrair URLs. Apenas o primeiro URL é mapeado porque o campo não é repetido.
external_dlp_policy_group read_only_udm.security_result.detection_fields.value Mapeado diretamente se não estiver vazio, "-" ou "NONE". A chave é "ExternalDlpPolicyGroup".
ExternalMsgID read_only_udm.security_result.about.labels.value Mapeado diretamente após a remoção das aspas simples e dos parênteses angulares. A chave é "ExternalMsgID".
from read_only_udm.network.email.from Mapeado diretamente se for um endereço de email válido. Também é usado para preencher o network_from.
host.hostname read_only_udm.principal.hostname ou read_only_udm.intermediary.hostname Mapeado para o nome de anfitrião principal se o campo host for inválido. Também mapeado para o nome do anfitrião intermediário.
host.ip read_only_udm.principal.ip ou read_only_udm.intermediary.ip Mapeado para o IP principal se o campo ip não estiver definido nos registos JSON. Também mapeado para o IP intermediário.
hostname read_only_udm.target.hostname Mapeado diretamente.
http_method read_only_udm.network.http.method Mapeado diretamente.
http_response_code read_only_udm.network.http.response_code Mapeado diretamente e convertido em número inteiro.
identity_policy_group read_only_udm.security_result.detection_fields.value Mapeado diretamente se não estiver vazio, "-" ou "NONE". A chave é "IdentityPolicyGroup".
ip read_only_udm.principal.ip Mapeado diretamente. Substituído por source_ip, se estiver presente.
kv_msg Vários Analisado através do filtro kv. O pré-processamento inclui a substituição de espaços antes das chaves por "#" e a troca de valores csLabel.
log_type read_only_udm.metadata.log_type Codificado como "CISCO_EMAIL_SECURITY".
loglevel read_only_udm.security_result.severity, read_only_udm.security_result.action Usado para determinar a gravidade e a ação. "Info", "", "Debug" e "Trace" são mapeados para "INFORMATIONAL" e "ALLOW". "Aviso" é mapeado para "MÉDIO" e "PERMITIR". "Elevado" é mapeado para "HIGH" e "BLOCK". "Crítico" e "Alerta" são mapeados para "CRITICAL", "BLOCK".
mail_id read_only_udm.network.email.mail_id Mapeados diretamente a partir de registos JSON.
mailto read_only_udm.target.user.email_addresses, read_only_udm.network.email.to Mapeado diretamente para ambos os campos UDM se for um endereço de email válido.
MailPolicy read_only_udm.security_result.about.labels.value Mapeado diretamente. A chave é "MailPolicy".
message Vários Analisado como JSON, se possível. Caso contrário, é processada como uma mensagem syslog.
message_id read_only_udm.network.email.mail_id Mapeado diretamente. Também é usado para preencher o network_data.
msg read_only_udm.network.email.subject Mapeado diretamente após a descodificação UTF-8 e a remoção de retornos de carro, novas linhas e aspas adicionais. Também é usado para preencher o network_data.
msg1 Vários Analisado através do filtro kv. Usado para extrair Hostname, helo, env-from e reply-to.
outbound_malware_scanning_policy_group read_only_udm.security_result.detection_fields.value Mapeado diretamente se não estiver vazio, "-" ou "NONE". A chave é "DataSecurityPolicyGroup".
port read_only_udm.target.port Mapeado diretamente e convertido em número inteiro.
principalMail read_only_udm.principal.user.email_addresses Mapeado diretamente.
principalUrl read_only_udm.principal.url Mapeado diretamente.
product_event read_only_udm.metadata.product_event_type Mapeado diretamente. Usado para determinar os padrões grok a aplicar. Os carateres "%" iniciais são removidos. "amp" é substituído por "SIEM_AMPenginelogs".
product_version read_only_udm.metadata.product_version Mapeado diretamente.
protocol read_only_udm.network.tls.version Mapeado diretamente.
received_bytes read_only_udm.network.received_bytes Mapeado diretamente e convertido em número inteiro não assinado.
reply-to read_only_udm.additional.fields.value.string_value Mapeado diretamente. A chave é "Reply-To".
reputation read_only_udm.security_result.confidence_details Mapeado diretamente.
request_method_uri read_only_udm.target.url Mapeado diretamente.
result_code read_only_udm.security_result.detection_fields.value Mapeado diretamente. A chave é "Código do resultado".
routing_policy_group read_only_udm.security_result.detection_fields.value Mapeado diretamente se não estiver vazio, "-" ou "NONE". A chave é "RoutingPolicyGroup".
rule read_only_udm.security_result.detection_fields.value Mapeado diretamente. A chave é "Condição correspondente".
SDRThreatCategory read_only_udm.security_result.threat_name Mapeado diretamente se não estiver vazio ou for "N/A".
SenderCountry read_only_udm.principal.location.country_or_region Mapeado diretamente.
senderGroup read_only_udm.principal.group.group_display_name Mapeado diretamente.
security_description read_only_udm.security_result.description Mapeado diretamente.
security_email read_only_udm.security_result.about.email ou read_only_udm.principal.hostname Mapeado para email se for um endereço de email válido. Caso contrário, é mapeado para o nome do anfitrião após a extração com o grok.
source read_only_udm.network.ip_protocol Se contiver "tcp", é mapeado para "TCP".
sourceAddress read_only_udm.principal.ip Mapeado diretamente.
sourceHostName read_only_udm.principal.administrative_domain Mapeado diretamente se não for "desconhecido".
source_ip read_only_udm.principal.ip Mapeado diretamente. Substitui ip, se estiver presente.
Subject read_only_udm.network.email.subject Mapeado diretamente após a remoção dos pontos finais. Também é usado para preencher o network_data.
suser read_only_udm.principal.user.email_addresses, read_only_udm.network.email.bounce_address Mapeado diretamente para ambos os campos UDM se for um endereço de email válido.
target_ip read_only_udm.target.ip Mapeado diretamente.
to read_only_udm.network.email.to Mapeado diretamente se for um endereço de email válido. Também é usado para preencher o network_to.
total_bytes read_only_udm.network.sent_bytes Mapeado diretamente e convertido em número inteiro não assinado.
trackerHeader read_only_udm.additional.fields.value.string_value Mapeado diretamente. A chave é "Tracker Header".
ts, ts1, year read_only_udm.metadata.event_timestamp.seconds Usado para criar a data/hora do evento. ts1 e year são combinados se ts1 estiver presente. São suportados vários formatos, com e sem o ano. Se o ano não estiver presente, é usado o ano atual. Codificado de forma rígida para "Cisco". Codificado de forma rígida para "Cisco Email Security". A predefinição é "ALLOW". Definido como "BLOCK" com base em loglevel ou description. A predefinição é "INBOUND" se application_protocol estiver presente. Definido com base em deviceDirection para mensagens CEF. Determinado com base numa combinação de campos, incluindo network_from, network_to, target_ip, ip, description, event_type, principal_host, Hostname, user_id e sourceAddress. O valor predefinido é "GENERIC_EVENT". Definido como "SMTP" se application_protocol for "SMTP" ou "smtp", ou se target_ip e ip estiverem presentes. Definido como "AUTHTYPE_UNSPECIFIED" se login_status e user_id estiverem presentes nos registos do sshd. Definido como verdadeiro se loglevel for "Crítico" ou "Alerta".

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.