Mimecast Secure Email Gateway のログを収集する
以下でサポートされています。
Google SecOpsSIEM
このドキュメントでは、Google Security Operations フィードを設定して Mimecast Secure Email Gateway のログを収集する方法について説明します。
詳細については、Google Security Operations へのデータの取り込みの概要をご覧ください。
取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。このドキュメントの情報は、取り込みラベル MIMECAST_MAIL が付加されたパーサーに適用されます。
Mimecast Secure Email Gateway を構成する
ログイン アカウントのロギングを有効にする
- Mimecast Administration コンソールにログインします。
- [アカウント] メニューで [アカウント設定] をクリックします。
- [拡張ロギング] を展開します。
- 有効にするログの種類を選択します。
- 受信: 外部の送信者からのメールを内部の受信者に記録します。
- 送信: 内部の送信者から外部の受信者に送信されたメールを記録します。
- 内部: 内部ドメイン内のメールを記録します。
- [保存] をクリックして変更を適用します。
API アプリケーションを作成する
- Mimecast Administration コンソールにログインします。
- [API アプリケーションを追加] をクリックします。
- 次の詳細情報を入力します。
- アプリケーション名。
- 申請の説明。
- カテゴリ: 次のいずれかのカテゴリを入力します。
- SIEM との統合: アプリケーションによって生成されたセキュリティ アラートをリアルタイムで分析します。
- MSP の注文とプロビジョニング: 一部のパートナーが MSP ポータルで注文を管理できます。
- メール / アーカイブ: Mimecast に保存されているメールとアラートを指します。
- ビジネス インテリジェンス: アプリケーションのインフラストラクチャとツールが情報にアクセスして分析し、意思決定とパフォーマンスを改善、最適化できるようにします。
- プロセスの自動化: ビジネス プロセスの自動化を可能にします。
- その他: アプリケーションが他のどのカテゴリにも当てはまらない場合。
- [次へ] をクリックします。
- [設定] セクションに、次の詳細を入力します。
- デベロッパー名: アプリのデベロッパーの名前。
- メール: アプリのデベロッパーのメールアドレス。
- [次へ] をクリックします。
- [Summary Page] に表示される情報を確認します。
- エラーを修正する手順は次のとおりです。
- [詳細] または [設定] の横にある [編集] ボタンをクリックします。
- [次へ] をクリックして、[概要] ページに戻ります。
アプリケーション ID とアプリケーション キーを取得する
- [アプリケーション]、[サービス] の順にクリックします。
- [API アプリケーション] をクリックします。
- 作成した API アプリケーションを選択します。
- 申請の詳細を表示します。
API アクセスキーとシークレット キーを作成する
アクセスキーとシークレット キーの生成については、ユーザー アソシエーション キーを作成するをご覧ください。
Google Security Operations でフィードを構成して、Mimecast Secure Email Gateway のログを取り込む
- [SIEM 設定] > [フィード] をクリックします。
- [Add New] をクリックします。
- [フィード名] を入力します。
- [ソースタイプ] として [サードパーティ API] を選択します。
- [ログタイプ] として [Mimecast] を選択し、Mimecast Secure Email Gateway のフィードを作成します。
- [次へ] をクリックします。
- アプリケーション ID、アクセスキー、シークレット ID、アプリケーション キーを指定して、認証 HTTP ヘッダーを構成します。
- [次へ] をクリックし、[送信] をクリックします。
Google Security Operations フィードの詳細については、Google Security Operations フィードのドキュメントをご覧ください。各フィードタイプの要件については、タイプ別のフィード構成をご覧ください。フィードの作成時に問題が発生した場合は、Google Security Operations サポートにお問い合わせください。
フィールド マッピング リファレンス
このパーサーは、Mimecast メール サーバー ログから Key-Value ペアを抽出し、ログエントリのステージ(RECEIPT、PROCESSING、DELIVERY)を分類し、抽出されたフィールドを UDM にマッピングします。また、セキュリティ関連のフィールドを処理する特定のロジックを実行し、Act、RejType、SpamScore、Virus などの値に基づいて、セキュリティ結果のアクション、カテゴリ、重大度、関連の詳細を決定します。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | ロジック |
|---|---|---|
acc |
metadata.product_log_id |
acc の値は metadata.product_log_id にマッピングされます。 |
Act |
security_result.action |
Act が「Acc」の場合、値は「ALLOW」です。Act が「Rej」の場合、値は「BLOCK」です。Act が「Hld」または「Sdbx」の場合、値は「QUARANTINE」です。 |
AttNames |
about.file.full_path |
AttNames フィールドは、引用符とスペースを削除し、カンマで分割した後、about.file.full_path オブジェクトの配列にマッピングされます。 |
AttSize |
about.file.size |
AttSize の値は符号なし整数に変換され、about.file.size にマッピングされます。 |
Cphr datetime |
metadata.event_timestamp |
datetime の値はタイムスタンプとして解析され、metadata.event_timestamp にマッピングされます。 |
Delivered |
マッピングなし | stage と product_event_type の決定に使用されます。 |
Definition |
security_result.summary |
Definition の値は security_result.summary にマッピングされます。 |
Dir |
network.direction、security_result.detection_fields |
Dir が「内部」または「インバウンド」の場合、値は「INBOUND」です。Dir が「外部」または「アウトバウンド」の場合、値は「OUTBOUND」です。また、キー「network_direction」の検出フィールドとして追加されました。 |
Err |
security_result.summary |
Err の値は security_result.summary にマッピングされます。 |
Error |
security_result.summary |
Error の値は security_result.summary にマッピングされます。 |
fileName |
principal.process.file.full_path |
fileName の値は principal.process.file.full_path にマッピングされます。 |
filename_for_malachite |
principal.resource.name |
filename_for_malachite の値は principal.resource.name にマッピングされます。 |
headerFrom |
network.email.from、security_result.detection_fields、principal.user.email_addresses |
Sender が有効なメールアドレスでない場合、headerFrom の値は network.email.from にマッピングされます。また、キー「header_from」の検出フィールドとして追加されました。Sender も headerFrom も有効なメールアドレスでない場合は、headerFrom は network.email.from にマッピングされません。 |
IP |
principal.ip または target.ip |
stage が「RECEIPT」の場合は principal.ip に、stage が「DELIVERY」の場合は target.ip にマッピングされます。IP |
Latency md5 MsgId |
network.email.mail_id |
MsgId の値は network.email.mail_id にマッピングされます。 |
MsgSize |
network.received_bytes |
MsgSize の値は符号なし整数に変換され、network.received_bytes にマッピングされます。 |
Rcpt |
target.user.email_addresses、network.email.to |
Rcpt の値は target.user.email_addresses と network.email.to にマッピングされます。 |
RcptActType RcptHdrType Recipient |
network.email.to、target.user.email_addresses |
Rcpt が有効なメールアドレスでない場合、Recipient の値は network.email.to にマッピングされます。 |
RejCode |
security_result.description |
「RejCode=security_result.description の値に貢献します。 |
RejInfo |
security_result.description |
「RejInfo=security_result.description の値に貢献します。 |
RejType |
security_result.description、security_result.category、security_result.category_details、security_result.severity |
「RejType=security_result.description の値に貢献します。security_result.category と security_result.severity の決定にも使用されます。security_result.category_details に直接マッピングされます。 |
Route |
security_result.detection_fields |
キー「Route」の検出フィールドとして追加されました。 |
ScanResultInfo |
security_result.threat_name |
ScanResultInfo の値は security_result.threat_name にマッピングされます。 |
Sender |
network.email.from、security_result.detection_fields、principal.user.email_addresses |
Sender の値は network.email.from にマッピングされます。また、キー「Sender」の検出フィールドとして追加されました。 |
SenderDomain sha1 |
target.file.sha1 |
sha1 の値は target.file.sha1 にマッピングされます。 |
sha256 |
target.file.sha256 |
sha256 の値は target.file.sha256 にマッピングされます。 |
Size Snt |
network.sent_bytes |
Snt の値は符号なし整数に変換され、network.sent_bytes にマッピングされます。 |
SourceIP |
principal.ip |
stage が「RECEIPT」で、IP が存在しない場合、SourceIP の値は principal.ip にマッピングされます。 |
SpamInfo |
security_result.severity_details |
「SpamInfo=security_result.severity_details の値に貢献します。 |
SpamLimit |
security_result.severity_details |
「SpamLimit=security_result.severity_details の値に貢献します。 |
SpamScore |
security_result.severity_details、security_result.severity |
「SpamScore=security_result.severity_details の値に貢献します。また、RejType が設定されていない場合に security_result.severity を決定するためにも使用されます。 |
Subject |
network.email.subject |
Subject の値は network.email.subject にマッピングされます。 |
TlsVer URL UrlCategory UseTls Virus |
security_result.threat_name |
Virus の値は security_result.threat_name にマッピングされます。 |
| なし | metadata.event_type |
Sender または Recipient/Rcpt が有効なメールアドレスの場合は「EMAIL_TRANSACTION」に設定し、それ以外の場合は「GENERIC_EVENT」に設定します。 |
| なし | metadata.vendor_name |
常に「Mimecast」に設定します。 |
| なし | metadata.product_name |
常に「Mimecast MTA」に設定します。 |
| なし | metadata.product_event_type |
[メール] に設定します。ステージは、他のフィールドの存在と値に基づいて決定されます。 |
| なし | metadata.log_type |
常に「MIMECAST_MAIL」に設定します。 |
| なし | security_result.severity |
has_sec_result が false の場合は「LOW」に設定します。それ以外の場合は、RejType または SpamScore によって決まります。 |
変更点
2023-03-31
- Enhancement-
- 「filename_for_malachite」を「principal.resource.name」にマッピングしました。
- 「fileName」を「principal.process.file.full_path」にマッピングしました。
- 「sha256」を「target.file.sha256」にマッピングしました。
- 「sha1」を「target.file.sha1」にマッピングしました。
- 「aCode」の条件付きチェックを追加しました。