Mimecast Mail 로그 수집

다음에서 지원:

이 문서에서는 Google Security Operations 피드를 설정하여 Mimecast Secure Email Gateway 로그를 수집하는 방법을 설명합니다.

자세한 내용은 Google Security Operations에 데이터 수집을 참조하세요.

수집 라벨은 원시 로그 데이터를 구조화된 UDM 형식으로 정규화하는 파서를 식별합니다. 이 문서의 정보는 MIMECAST_MAIL 수집 라벨이 있는 파서에 적용됩니다.

Mimecast Secure Email Gateway 구성

  1. 로그인 계정에 로깅 사용 설정
  2. API 애플리케이션을 만듭니다.
  3. 애플리케이션 ID 및 애플리케이션 키 가져오기

로그인 계정의 로깅 사용 설정

  1. Mimecast Administration 콘솔에 로그인합니다.
  2. 계정 메뉴에서 계정 설정을 클릭합니다.
  3. 향상된 로깅을 펼칩니다.
  4. 사용 설정할 로그 유형을 선택합니다.
    • 수신: 외부 발신자가 내부 수신자에게 보낸 메일을 기록합니다.
    • 발신: 내부 발신자가 외부 수신자에게 보낸 메일을 기록합니다.
    • Internal: 내부 도메인 내의 메일을 기록합니다.
  5. 저장을 클릭하여 변경사항을 적용합니다.

API 애플리케이션 만들기

  1. Mimecast Administration 콘솔에 로그인합니다.
  2. API 애플리케이션 추가를 클릭합니다.
  3. 다음 세부정보를 입력합니다.
    1. 애플리케이션 이름입니다.
    2. 애플리케이션에 대한 설명입니다.
    3. 카테고리: 다음 카테고리 중 하나를 입력합니다.
      • SIEM 통합: 애플리케이션에서 생성된 보안 알림을 실시간으로 분석합니다.
      • MSP 주문 및 프로비저닝: 일부 파트너가 MSP 포털에서 주문을 관리할 수 있습니다.
      • 이메일 / 보관처리: Mimecast에 저장된 메시지 및 알림을 의미합니다.
      • 비즈니스 인텔리전스: 애플리케이션의 인프라와 도구가 정보에 액세스하고 정보를 분석하여 결정과 실적을 개선하고 최적화할 수 있도록 지원합니다.
      • 프로세스 자동화: 비즈니스 프로세스를 자동화할 수 있습니다.
      • 기타: 애플리케이션이 다른 카테고리에 해당하지 않는 경우
  4. 다음을 클릭합니다.
  5. 다음 입력 파라미터의 값을 지정합니다.
    • 인증 HTTP 헤더 구성: 다음 형식으로 인증 세부정보를 입력합니다. secret_key:{Access Secret}
      access_key:{Access key}
      app_id:{Application ID}
      app_key:{application key}
    • API 호스트 이름: Mimecast API 엔드포인트의 정규화된 도메인 이름입니다. 일반적인 형식은 xx-api.mimecast.com입니다. 제공되지 않으면 미국과 유럽에서 지역별로 다릅니다. 다른 지역의 경우 이 필드는 비워 둘 수 없습니다.
    • 애셋 네임스페이스: 애셋 네임스페이스입니다.
    • 수집 라벨: 이 피드의 이벤트에 적용된 라벨입니다.
  6. 다음을 클릭합니다.
  7. 요약 페이지에 표시된 정보를 검토합니다.
  8. 오류를 해결하려면 다음 단계를 따르세요.
    • 세부정보 또는 설정 옆에 있는 수정 버튼을 클릭합니다.
    • 다음을 클릭하고 요약 페이지로 다시 이동합니다.

애플리케이션 ID 및 애플리케이션 키 가져오기

  1. 애플리케이션을 클릭한 다음 서비스를 클릭합니다.
  2. API 애플리케이션을 클릭합니다.
  3. 생성된 API 애플리케이션을 선택합니다.
  4. 애플리케이션 세부정보를 확인합니다.

API 액세스 및 보안 비밀 키 만들기

액세스 키와 보안 키를 생성하는 방법에 대한 자세한 내용은 사용자 연결 키 만들기를 참고하세요.

피드 설정

이 로그 유형을 구성하려면 다음 단계를 따르세요.

  1. SIEM 설정> 피드로 이동합니다.
  2. 새 피드 추가를 클릭합니다.
  3. Mimecast 피드 팩을 클릭합니다.

  4. 다음 필드의 값을 지정합니다.

    • 소스 유형: 서드 파티 API (권장)
    • 인증 HTTP 헤더: 애플리케이션 ID, 액세스 키, 보안 비밀 ID, 애플리케이션 키를 제공합니다.
    • API 호스트 이름: Mimecast 호스트의 도메인 이름을 지정합니다.

    고급 옵션

    • 피드 이름: 피드를 식별하는 미리 채워진 값입니다.
    • 애셋 네임스페이스: 피드와 연결된 네임스페이스입니다.
    • 수집 라벨: 이 피드의 모든 이벤트에 적용되는 라벨입니다.

  5. 피드 만들기를 클릭합니다.

이 제품군 내에서 다양한 로그 유형에 대해 여러 피드를 구성하는 방법에 관한 자세한 내용은 제품별 피드 구성을 참고하세요.

필드 매핑 참조

이 파서는 Mimecast 이메일 서버 로그에서 키-값 쌍을 추출하고, 로그 항목 단계를 분류하고 (RECEIPT, PROCESSING 또는 DELIVERY) 추출된 필드를 UDM에 매핑합니다. 또한 보안 관련 필드를 처리하는 특정 로직을 실행하여 Act, RejType, SpamScore, Virus와 같은 값을 기반으로 보안 결과 작업, 카테고리, 심각도, 관련 세부정보를 결정합니다.

UDM 매핑 테이블

로그 필드 UDM 매핑 논리
acc metadata.product_log_id 원시 로그의 acc 값이 metadata.product_log_id에 매핑됩니다.
Act security_result.action ActAcc인 경우 UDM 필드가 ALLOW로 설정됩니다. ActRej인 경우 UDM 필드가 BLOCK로 설정됩니다. ActHld 또는 Sdbx인 경우 UDM 필드가 QUARANTINE로 설정됩니다.
AttNames about.file.full_path AttNames 필드가 따옴표와 공백을 삭제하고 개별 파일 이름으로 분할되어 파싱됩니다. 그러면 각 파일 이름이 about 객체 내의 별도 about.file.full_path 필드에 매핑됩니다.
AttSize about.file.size AttSize 값은 부호 없는 정수로 변환되고 about.file.size에 매핑됩니다.
Dir network.direction DirInternal 또는 Inbound인 경우 UDM 필드가 INBOUND로 설정됩니다. DirExternal 또는 Outbound인 경우 UDM 필드가 OUTBOUND로 설정됩니다. security_result에서 detection_fields 항목을 채우는 데도 사용됩니다.
Err security_result.summary Err 값은 security_result.summary에 매핑됩니다.
Error security_result.summary Error 값은 security_result.summary에 매핑됩니다.
fileName principal.process.file.full_path fileName 값은 principal.process.file.full_path에 매핑됩니다.
filename_for_malachite principal.resource.name filename_for_malachite 값은 principal.resource.name에 매핑됩니다.
headerFrom network.email.from Sender이 유효한 이메일 주소가 아닌 경우 headerFrom 값이 network.email.from에 매핑됩니다. security_result에서 detection_fields 항목을 채우는 데도 사용됩니다.
IP principal.ip 또는 target.ip stageRECEIPT이면 IP 값이 principal.ip에 매핑됩니다. stageDELIVERY이면 IP 값이 target.ip에 매핑됩니다.
MsgId network.email.mail_id MsgId 값은 network.email.mail_id에 매핑됩니다.
MsgSize network.received_bytes MsgSize 값은 부호 없는 정수로 변환되고 network.received_bytes에 매핑됩니다.
Rcpt target.user.email_addresses, network.email.to Rcpt 값이 target.user.email_addresses에 추가됩니다. Rcpt이(가) 유효한 이메일 주소인 경우 network.email.to에도 추가됩니다.
Recipient network.email.to Rcpt이 유효한 이메일 주소가 아닌 경우 Recipient 값이 network.email.to에 추가됩니다.
RejCode security_result.description security_result.description 필드의 일부로 사용됩니다.
RejInfo security_result.description security_result.description 필드의 일부로 사용됩니다.
RejType security_result.description, security_result.category_details security_result.description 필드의 일부로 사용됩니다. RejType 값도 security_result.category_details에 매핑됩니다. security_result.categorysecurity_result.severity을 결정하는 데 사용됩니다.
Sender principal.user.email_addresses, network.email.from Sender 값이 principal.user.email_addresses에 추가됩니다. Sender이 올바른 이메일 주소인 경우 network.email.from에도 매핑됩니다. security_result에서 detection_fields 항목을 채우는 데도 사용됩니다.
Snt network.sent_bytes Snt 값은 부호 없는 정수로 변환되고 network.sent_bytes에 매핑됩니다.
SourceIP principal.ip stageRECEIPT이고 IP이 비어 있으면 SourceIP 값이 principal.ip에 매핑됩니다.
SpamInfo security_result.severity_details security_result.severity_details 필드의 일부로 사용됩니다.
SpamLimit security_result.severity_details security_result.severity_details 필드의 일부로 사용됩니다.
SpamScore security_result.severity_details security_result.severity_details 필드의 일부로 사용됩니다. RejType이 설정되지 않은 경우 security_result.severity를 결정하는 데도 사용됩니다.
Subject network.email.subject Subject 값은 network.email.subject에 매핑됩니다.
Virus security_result.threat_name Virus 값은 security_result.threat_name에 매핑됩니다. 기본적으로 EMAIL_TRANSACTION로 설정되지만 Sender 또는 Recipient/Rcpt이 유효한 이메일 주소가 아닌 경우 GENERIC_EVENT로 변경됩니다. 항상 Mimecast로 설정됩니다. 항상 Mimecast MTA로 설정됩니다. Email %{stage}로 설정됩니다. 여기서 stage는 다른 로그 필드의 존재 여부와 값을 기반으로 결정됩니다. 항상 MIMECAST_MAIL로 설정됩니다. RejType 또는 SpamScore에 따라 설정됩니다. 둘 다 사용할 수 없는 경우 기본값은 LOW입니다.
sha1 target.file.sha1 sha1 값은 target.file.sha1에 매핑됩니다.
sha256 target.file.sha256 sha256 값은 target.file.sha256에 매핑됩니다.
ScanResultInfo security_result.threat_name ScanResultInfo 값은 security_result.threat_name에 매핑됩니다.
Definition security_result.summary Definition 값은 security_result.summary에 매핑됩니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.