收集 Mimecast Secure Email Gateway 日志

支持的平台:

本文档介绍了如何通过设置 Google 安全运营 Feed 来收集 Mimecast Secure Email Gateway 日志。

如需了解详情,请参阅将数据提取到 Google 安全运营中心

提取标签用于标识将原始日志数据标准化为结构化 UDM 格式的解析器。本文档中的信息适用于具有 MIMECAST_MAIL 注入标签的解析器。

配置 Mimecast Secure Email Gateway

  1. 为登录账号启用日志记录
  2. 创建 API 应用
  3. 获取应用 ID 和应用密钥

为登录账号启用日志记录

  1. 登录 Mimecast 管理控制台。
  2. 账号菜单中,点击账号设置
  3. 展开增强型日志记录
  4. 选择要启用的日志类型:
    • 入站:记录外部发件人发送给内部收件人的邮件。
    • 出站:记录内部发件人发送给外部收件人的邮件。
    • 内部:记录内部网域中的邮件。
  5. 点击保存以应用更改。

创建 API 应用

  1. 登录 Mimecast 管理控制台。
  2. 点击 Add API Application(添加 API 应用)。
  3. 输入以下详细信息:
    1. 应用名称。
    2. 应用说明。
    3. 类别:输入以下某个类别:
      • SIEM 集成:对应用生成的安全提醒进行实时分析。
      • MSP 订购和配置:部分合作伙伴可以在 MSP 门户中管理订单。
      • 电子邮件 / 归档:是指存储在 Mimecast 中的邮件和提醒。
      • 商业智能:让应用的基础架构和工具能够访问和分析信息,以改进和优化决策和效果。
      • 流程自动化:可实现业务流程自动化。
      • 其他:如果应用不属于任何其他类别。
  4. 点击下一步
  5. 设置部分,输入以下详细信息:
    • 开发者名称:应用开发者的名称。
    • 电子邮件地址:应用开发者的电子邮件地址。
  6. 点击下一步
  7. 查看摘要页上显示的信息。
  8. 如需修正错误,请按以下步骤操作:
    • 点击详细信息设置旁边的修改按钮。
    • 点击下一步,然后再次前往摘要页面。

获取应用 ID 和应用密钥

  1. 点击应用,然后点击服务
  2. 点击 API 应用
  3. 选择创建的 API 应用。
  4. 查看应用详情。

创建 API 访问密钥和 Secret

如需了解如何生成访问密钥和 Secret 密钥,请参阅创建用户关联密钥

在 Google Security Operations 中配置 Feed 以提取 Mimecast 安全电子邮件网关日志

  1. 依次点击 SIEM 设置 > Feed
  2. 点击 Add New(新增)。
  3. 输入Feed 名称
  4. 选择第三方 API 作为来源类型
  5. 选择 Mimecast 作为日志类型,为 Mimecast 安全电子邮件网关创建 Feed。
  6. 点击下一步
  7. 提供应用 ID、访问密钥、Secret ID 和应用密钥,以配置身份验证 HTTP 标头
  8. 点击下一步,然后点击提交

如需详细了解 Google Security Operations Feed,请参阅 Google Security Operations Feed 文档。 如需了解每种 Feed 类型的要求,请参阅按类型配置 Feed。 如果您在创建 Feed 时遇到问题,请与 Google 安全运营支持团队联系。

字段映射参考文档

此解析器会从 Mimecast 电子邮件服务器日志中提取键值对,对日志条目阶段(“RECEIPT”“PROCESSING”或“DELIVERY”)进行分类,并将提取的字段映射到 UDM。它还会执行特定逻辑来处理与安全相关的字段,根据 ActRejTypeSpamScoreVirus 等值确定安全结果操作、类别、严重程度和相关详细信息。

UDM 映射表

日志字段 UDM 映射 逻辑
acc metadata.product_log_id acc 的值映射到 metadata.product_log_id
Act security_result.action 如果 Act 为“Acc”,则值为“ALLOW”。如果 Act 为“Rej”,则值为“BLOCK”。如果 Act 为“Hld”或“Sdbx”,则值为“QUARANTINE”。
AttNames about.file.full_path 移除引号和空格并按英文逗号分隔后,AttNames 字段会映射到 about.file.full_path 对象的数组。
AttSize about.file.size AttSize 的值会转换为无符号整数并映射到 about.file.size
Cphr datetime metadata.event_timestamp datetime 的值会被解析为时间戳并映射到 metadata.event_timestamp
Delivered 未映射 用于确定 stageproduct_event_type
Definition security_result.summary Definition 的值映射到 security_result.summary
Dir network.directionsecurity_result.detection_fields 如果 Dir 为“内部”或“入站”,则值为“INBOUND”。如果 Dir 为“外部”或“出站”,则值为“OUTBOUND”。还添加了键为“network_direction”的检测字段。
Err security_result.summary Err 的值映射到 security_result.summary
Error security_result.summary Error 的值映射到 security_result.summary
fileName principal.process.file.full_path fileName 的值映射到 principal.process.file.full_path
filename_for_malachite principal.resource.name filename_for_malachite 的值映射到 principal.resource.name
headerFrom network.email.fromsecurity_result.detection_fieldsprincipal.user.email_addresses 如果 Sender 不是有效的电子邮件地址,headerFrom 的值会映射到 network.email.from。还添加了键为“header_from”的检测字段。如果 SenderheaderFrom 都不是有效的电子邮件地址,则 headerFrom 不会映射到 network.email.from
IP principal.iptarget.ip 如果 stage 为“RECEIPT”,则 IP 的值会映射到 principal.ip;如果 stage 为“DELIVERY”,则会映射到 target.ip
Latency md5 MsgId network.email.mail_id MsgId 的值映射到 network.email.mail_id
MsgSize network.received_bytes MsgSize 的值会转换为无符号整数并映射到 network.received_bytes
Rcpt target.user.email_addressesnetwork.email.to Rcpt 的值会映射到 target.user.email_addressesnetwork.email.to
RcptActType RcptHdrType Recipient network.email.totarget.user.email_addresses 如果 Rcpt 不是有效的电子邮件地址,Recipient 的值会映射到 network.email.to
RejCode security_result.description 用于构成 security_result.description 的值,格式为“RejCode=”。
RejInfo security_result.description 用于构成 security_result.description 的值,格式为“RejInfo=”。
RejType security_result.descriptionsecurity_result.categorysecurity_result.category_detailssecurity_result.severity 用于确定 security_result.description 的值,格式为“RejType=”。还用于确定 security_result.categorysecurity_result.severity。直接映射到 security_result.category_details
Route security_result.detection_fields 已添加为键为“Route”的检测字段。
ScanResultInfo security_result.threat_name ScanResultInfo 的值映射到 security_result.threat_name
Sender network.email.fromsecurity_result.detection_fieldsprincipal.user.email_addresses Sender 的值映射到 network.email.from。还添加了键为“Sender”的检测字段。
SenderDomain sha1 target.file.sha1 sha1 的值映射到 target.file.sha1
sha256 target.file.sha256 sha256 的值映射到 target.file.sha256
Size Snt network.sent_bytes Snt 的值会转换为无符号整数并映射到 network.sent_bytes
SourceIP principal.ip 如果 stage 为“RECEIPT”且不存在 IP,则 SourceIP 的值会映射到 principal.ip
SpamInfo security_result.severity_details 用于构成 security_result.severity_details 的值,格式为“SpamInfo=”。
SpamLimit security_result.severity_details 用于计算 security_result.severity_details 的值,格式为“SpamLimit=”。
SpamScore security_result.severity_detailssecurity_result.severity 用于计算 security_result.severity_details 的值,格式为“SpamScore=”。如果未设置 RejType,还用于确定 security_result.severity
Subject network.email.subject Subject 的值映射到 network.email.subject
TlsVer URL UrlCategory UseTls Virus security_result.threat_name Virus 的值映射到 security_result.threat_name
不适用 metadata.event_type 如果 SenderRecipient/Rcpt 是有效的电子邮件地址,则设置为“EMAIL_TRANSACTION”;否则,设置为“GENERIC_EVENT”。
不适用 metadata.vendor_name 始终设置为“Mimecast”。
不适用 metadata.product_name 始终设置为“Mimecast MTA”。
不适用 metadata.product_event_type 设置为“电子邮件”,其中阶段取决于其他字段的存在性和值。
不适用 metadata.log_type 始终设置为“MIMECAST_MAIL”。
不适用 security_result.severity 如果 has_sec_result 为 false,则设置为“LOW”。否则,由 RejTypeSpamScore 决定。

变化

2023-03-31

  • 增强功能-
  • 将“filename_for_malachite”映射到“principal.resource.name”。
  • 将“fileName”映射到“principal.process.file.full_path”。
  • 将“sha256”映射到“target.file.sha256”。
  • 将“sha1”映射到“target.file.sha1”。
  • 添加了针对“aCode”的条件检查。

需要更多帮助?向社区成员和 Google SecOps 专业人士寻求解答。