Coletar registros do gateway de e-mail seguro do Mimecast

Compatível com:

Este documento descreve como coletar registros do Mimecast Secure Email Gateway configurando um feed de operações de segurança do Google.

Para mais informações, consulte Ingestão de dados para as operações de segurança do Google.

Um rótulo de transferência identifica o analisador que normaliza os dados de registro brutos para o formato estruturado do UDM. As informações neste documento se aplicam ao analisador com o rótulo de transferência MIMECAST_MAIL.

Configurar o gateway de e-mail seguro Mimecast

  1. Ative a geração de registros para a conta de login.
  2. Crie o aplicativo de API.
  3. Conseguir o ID e a chave do aplicativo.

Ativar a geração de registros para a conta de login

  1. Faça login no console de administração do Mimecast.
  2. No menu Conta, clique em Configurações da conta.
  3. Expanda Registro aprimorado.
  4. Selecione os tipos de registro a serem ativados:
    • Entrada: registra mensagens de remetentes externos para destinatários internos.
    • Enviada: registra mensagens de remetentes internos para destinatários externos.
    • Interno: registra mensagens em domínios internos.
  5. Clique em Salvar para aplicar as alterações.

Criar o aplicativo de API

  1. Faça login no console de administração do Mimecast.
  2. Clique em Adicionar aplicativo de API.
  3. Digite os seguintes detalhes:
    1. Nome do aplicativo.
    2. Descrição do aplicativo.
    3. Categoria: insira uma das seguintes categorias:
      • Integração do SIEM: fornece análise em tempo real dos alertas de segurança gerados pelo aplicativo.
      • Pedidos e provisionamento do MSP: disponível para alguns parceiros gerenciarem pedidos no Portal do MSP.
      • E-mail / Arquivamento: refere-se a mensagens e alertas armazenados no Mimecast.
      • Inteligência de negócios: permite que a infraestrutura e as ferramentas do aplicativo acessem e analisem informações para melhorar e otimizar as decisões e a performance.
      • Automação de processos: permite a automação de processos de negócios.
      • Outro: caso o aplicativo não se encaixe em nenhuma outra categoria.
  4. Clique em Próxima.
  5. Na seção Configurações, insira os seguintes detalhes:
    • Nome do desenvolvedor: nome do desenvolvedor do aplicativo.
    • E-mail: endereço de e-mail do desenvolvedor do aplicativo.
  6. Clique em Próxima.
  7. Revise as informações exibidas na página de resumo.
  8. Para corrigir erros, siga estas etapas:
    • Clique nos botões Editar ao lado de Detalhes ou Configurações.
    • Clique em Próxima e acesse a página Resumo novamente.

Conseguir o ID e a chave do aplicativo

  1. Clique em Aplicativo e em Serviços.
  2. Clique em Aplicação da API.
  3. Selecione o aplicativo de API criado.
  4. Confira os detalhes do aplicativo.

Criar chave secreta e de acesso à API

Para informações sobre como gerar chaves de acesso e secretas, consulte Como criar uma chave de associação de usuário.

Configurar um feed no Google Security Operations para processar os registros do Mimecast Secure Email Gateway

  1. Clique em Configurações do SIEM > Feeds.
  2. Clique em Add New.
  3. Insira o Nome do feed.
  4. Selecione API de terceiros como o Tipo de origem.
  5. Selecione Mimecast como o Tipo de registro para criar um feed para o Mimecast Secure Email Gateway.
  6. Clique em Próxima.
  7. Configure o cabeçalho HTTP de autenticação fornecendo o ID do aplicativo, a chave de acesso, o ID secreto e a chave do aplicativo.
  8. Clique em Próxima e em Enviar.

Para mais informações sobre os feeds do Google Security Operations, consulte a documentação dos feeds do Google Security Operations. Para informações sobre os requisitos de cada tipo de feed, consulte Configuração de feeds por tipo. Se você tiver problemas ao criar feeds, entre em contato com o suporte da Google Security Operations.

Referência do mapeamento de campo

Esse analisador extrai pares de chave-valor dos registros do servidor de e-mail do Mimecast, categoriza a fase de entrada de registro (RECEIPT, PROCESSING ou DELIVERY) e mapeia os campos extraídos para o UDM. Ele também executa uma lógica específica para processar campos relacionados à segurança, determinando a ação, a categoria, a gravidade e os detalhes relacionados com base em valores como Act, RejType, SpamScore e Virus.

Tabela de mapeamento da UDM

Campo de registro Mapeamento do UDM Lógica
acc metadata.product_log_id O valor de acc é mapeado para metadata.product_log_id.
Act security_result.action Se Act for "Acc", o valor será "ALLOW". Se Act for "Rej", o valor será "BLOCK". Se Act for "Hld" ou "Sdbx", o valor será "QUARANTINE".
AttNames about.file.full_path O campo AttNames, depois de remover as aspas e os espaços e dividir por vírgulas, é mapeado para uma matriz de objetos about.file.full_path.
AttSize about.file.size O valor de AttSize é convertido em um número inteiro sem sinal e mapeado para about.file.size.
Cphr datetime metadata.event_timestamp O valor de datetime é analisado como um carimbo de data/hora e mapeado para metadata.event_timestamp.
Delivered Não mapeado Usado para determinar o stage e o product_event_type.
Definition security_result.summary O valor de Definition é mapeado para security_result.summary.
Dir network.direction, security_result.detection_fields Se Dir for "Internal" ou "Inbound", o valor será "INBOUND". Se Dir for "Externo" ou "Saída", o valor será "Saída". Também adicionado como um campo de detecção com a chave "network_direction".
Err security_result.summary O valor de Err é mapeado para security_result.summary.
Error security_result.summary O valor de Error é mapeado para security_result.summary.
fileName principal.process.file.full_path O valor de fileName é mapeado para principal.process.file.full_path.
filename_for_malachite principal.resource.name O valor de filename_for_malachite é mapeado para principal.resource.name.
headerFrom network.email.from, security_result.detection_fields, principal.user.email_addresses O valor de headerFrom é associado a network.email.from se Sender não for um endereço de e-mail válido. Também adicionado como um campo de detecção com a chave "header_from". Se nem Sender nem headerFrom forem endereços de e-mail válidos, headerFrom não será associado a network.email.from.
IP principal.ip ou target.ip O valor de IP é mapeado para principal.ip se stage for "RECEIPT" ou para target.ip se stage for "DELIVERY".
Latency md5 MsgId network.email.mail_id O valor de MsgId é mapeado para network.email.mail_id.
MsgSize network.received_bytes O valor de MsgSize é convertido em um número inteiro sem sinal e mapeado para network.received_bytes.
Rcpt target.user.email_addresses, network.email.to O valor de Rcpt é mapeado para target.user.email_addresses e network.email.to.
RcptActType RcptHdrType Recipient network.email.to, target.user.email_addresses O valor de Recipient é associado a network.email.to se Rcpt não for um endereço de e-mail válido.
RejCode security_result.description Contribui para o valor de security_result.description no formato "RejCode=".
RejInfo security_result.description Contribui para o valor de security_result.description no formato "RejInfo=".
RejType security_result.description, security_result.category, security_result.category_details, security_result.severity Contribui para o valor de security_result.description no formato "RejType=". Também é usado para determinar security_result.category e security_result.severity. Mapeado diretamente para security_result.category_details.
Route security_result.detection_fields Adicionado como um campo de detecção com a chave "Route".
ScanResultInfo security_result.threat_name O valor de ScanResultInfo é mapeado para security_result.threat_name.
Sender network.email.from, security_result.detection_fields, principal.user.email_addresses O valor de Sender é mapeado para network.email.from. Também adicionado como um campo de detecção com a chave "Remetente".
SenderDomain sha1 target.file.sha1 O valor de sha1 é mapeado para target.file.sha1.
sha256 target.file.sha256 O valor de sha256 é mapeado para target.file.sha256.
Size Snt network.sent_bytes O valor de Snt é convertido em um número inteiro sem sinal e mapeado para network.sent_bytes.
SourceIP principal.ip O valor de SourceIP é mapeado para principal.ip se stage for "RECEIPT" e IP não estiver presente.
SpamInfo security_result.severity_details Contribui para o valor de security_result.severity_details no formato "SpamInfo=".
SpamLimit security_result.severity_details Contribui para o valor de security_result.severity_details no formato "SpamLimit=".
SpamScore security_result.severity_details, security_result.severity Contribui para o valor de security_result.severity_details no formato "SpamScore=". Também é usado para determinar o security_result.severity se RejType não estiver definido.
Subject network.email.subject O valor de Subject é mapeado para network.email.subject.
TlsVer URL UrlCategory UseTls Virus security_result.threat_name O valor de Virus é mapeado para security_result.threat_name.
N/A metadata.event_type Defina como "EMAIL_TRANSACTION" se Sender ou Recipient/Rcpt forem endereços de e-mail válidos. Caso contrário, defina como "GENERIC_EVENT".
N/A metadata.vendor_name Sempre definido como "Mimecast".
N/A metadata.product_name Sempre definido como "Mimecast MTA".
N/A metadata.product_event_type Defina como "E-mail ", em que a fase é determinada com base na presença e nos valores de outros campos.
N/A metadata.log_type Sempre definido como "MIMECAST_MAIL".
N/A security_result.severity Defina como "LOW" se has_sec_result for falso. Caso contrário, é determinado por RejType ou SpamScore.

Alterações

2023-03-31

  • Melhoria:
  • Mapeamos "filename_for_malachite" para "principal.resource.name".
  • "fileName" foi mapeado para "principal.process.file.full_path".
  • "sha256" foi mapeado para "target.file.sha256".
  • Mapeamos "sha1" para "target.file.sha1".
  • Adição de verificação condicional para "aCode".

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.