本頁面由 Cloud Translation API 翻譯而成。

收集 Mimecast Mail 記錄

支援的國家/地區：

Google SecOps SIEM

本文說明如何設定 Google Security Operations 動態饋給，收集 Mimecast Secure Email Gateway 記錄。

詳情請參閱「將資料擷取至 Google Security Operations」。

擷取標籤會識別剖析器，該剖析器會將原始記錄資料正規化為具結構性的 UDM 格式。本文件中的資訊適用於具有 MIMECAST_MAIL 攝入標籤的剖析器。

設定 Mimecast Secure Email Gateway

登入 Mimecast Administration 控制台。
在「帳戶」選單中，按一下「帳戶設定」。
展開「加強型記錄」。
選取要啟用的記錄類型：
- 內送：記錄外部寄件者傳送給內部收件者的郵件。
- 外寄：記錄內部寄件者傳送給外部收件者的郵件。
- 內部：記錄內部網域中的郵件。
點選「儲存」來套用變更。

建立 API 應用程式

登入 Mimecast Administration 控制台。
按一下「新增 API 應用程式」。
輸入下列詳細資料：
1. 應用程式名稱。
2. 應用程式的說明。
3. 類別：輸入下列其中一個類別：
點選「下一步」。
指定下列輸入參數的值：
- 驗證 HTTP 標頭設定：以下列格式輸入驗證詳細資料： secret_key:{Access Secret}
  access_key:{Access key}
  app_id:{Application ID}
  app_key:{application key}
- API 主機名稱：Mimecast API 端點的完整網域名稱。一般格式為 xx-api.mimecast.com。如未提供，系統會根據美國和歐洲的地區設定。其他區域的這項欄位不得留空。
- 資產命名空間：資產命名空間。
- 擷取標籤：套用至這個動態饋給事件的標籤。
點選「下一步」。
查看「摘要」頁面顯示的資訊。
如要修正錯誤，請按照下列步驟操作：
- 按一下「詳細資料」或「設定」旁的「編輯」按鈕。
- 按一下「下一步」，然後再次前往「摘要」頁面。

取得應用程式 ID 和應用程式金鑰

依序點選「應用程式」和「服務」。
按一下「API 應用程式」。
選取建立的 API 應用程式。
查看應用程式詳細資料。

建立 API 存取金鑰和密鑰

如要瞭解如何產生存取金鑰和密鑰，請參閱「建立使用者關聯金鑰」。

設定動態饋給

如要設定這類記錄，請按照下列步驟操作：

依序前往「SIEM 設定」>「動態饋給」。
按一下「新增動態消息」。
按一下「Mimecast」動態饋給套件。
為下列欄位指定值：
- 來源類型：第三方 API (建議)
- 驗證 HTTP 標頭：提供應用程式 ID、存取金鑰、密鑰 ID 和應用程式金鑰。
- API 主機名稱：指定 Mimecast 主機的網域名稱。
進階選項
- 動態饋給名稱：系統預先填入的值，用於識別動態饋給。
- 資產命名空間：與動態饋給相關聯的命名空間。
- 擷取標籤：套用至這個動態饋給所有事件的標籤。
按一下「建立動態饋給」。

如要進一步瞭解如何為這個產品系列中的不同記錄類型設定多個動態饋給，請參閱「依產品設定動態饋給」。

欄位對應參考資料

這個剖析器會從 Mimecast 電子郵件伺服器記錄檔擷取鍵/值組合，將記錄檔項目階段分類 (RECEIPT、PROCESSING 或 DELIVERY)，並將擷取的欄位對應至 UDM。此外，這個函式也會執行特定邏輯來處理安全性相關欄位，並根據 Act、RejType、SpamScore 和 Virus 等值，判斷安全性結果動作、類別、嚴重程度和相關詳細資料。

UDM 對應表

記錄欄位	UDM 對應	邏輯
`acc`	`metadata.product_log_id`	原始記錄中的 `acc` 值會對應至 `metadata.product_log_id`。
`Act`	`security_result.action`	如果 `Act` 為 `Acc`，UDM 欄位會設為 `ALLOW`。如果 `Act` 為 `Rej`，UDM 欄位會設為 `BLOCK`。如果 `Act` 為 `Hld` 或 `Sdbx`，UDM 欄位會設為 `QUARANTINE`。
`AttNames`	`about.file.full_path`	系統會剖析 `AttNames` 欄位，移除引號和空格，並分割成個別檔案名稱。然後，每個檔案名稱都會對應到 `about` 物件中的個別 `about.file.full_path` 欄位。
`AttSize`	`about.file.size`	`AttSize` 的值會轉換為無正負號整數，並對應至 `about.file.size`。
`Dir`	`network.direction`	如果 `Dir` 為 `Internal` 或 `Inbound`，UDM 欄位會設為 `INBOUND`。如果 `Dir` 為 `External` 或 `Outbound`，UDM 欄位會設為 `OUTBOUND`。也可用於在 `security_result` 中填入 `detection_fields` 項目。
`Err`	`security_result.summary`	`Err` 的值會對應至 `security_result.summary`。
`Error`	`security_result.summary`	`Error` 的值會對應至 `security_result.summary`。
`fileName`	`principal.process.file.full_path`	`fileName` 的值會對應至 `principal.process.file.full_path`。
`filename_for_malachite`	`principal.resource.name`	`filename_for_malachite` 的值會對應至 `principal.resource.name`。
`headerFrom`	`network.email.from`	如果 `Sender` 不是有效的電子郵件地址，`headerFrom` 的值會對應至 `network.email.from`。也可用於在 `security_result` 中填入 `detection_fields` 項目。
`IP`	`principal.ip`或`target.ip`	如果 `stage` 為 `RECEIPT`，`IP` 的值會對應至 `principal.ip`。如果 `stage` 為 `DELIVERY`，`IP` 的值會對應至 `target.ip`。
`MsgId`	`network.email.mail_id`	`MsgId` 的值會對應至 `network.email.mail_id`。
`MsgSize`	`network.received_bytes`	`MsgSize` 的值會轉換為無正負號整數，並對應至 `network.received_bytes`。
`Rcpt`	`target.user.email_addresses`、`network.email.to`	`Rcpt` 的值會加到 `target.user.email_addresses`。如果 `Rcpt` 是有效的電子郵件地址，系統也會將其新增至 `network.email.to`。
`Recipient`	`network.email.to`	如果 `Rcpt` 不是有效的電子郵件地址，系統會將 `Recipient` 的值新增至 `network.email.to`。
`RejCode`	`security_result.description`	用來做為 `security_result.description` 欄位的一部分。
`RejInfo`	`security_result.description`	用來做為 `security_result.description` 欄位的一部分。
`RejType`	`security_result.description`、`security_result.category_details`	用來做為 `security_result.description` 欄位的一部分。`RejType` 的值也會對應至 `security_result.category_details`。用於判斷 `security_result.category` 和 `security_result.severity`。
`Sender`	`principal.user.email_addresses`、`network.email.from`	`Sender` 的值會加到 `principal.user.email_addresses`。如果 `Sender` 是有效的電子郵件地址，也會對應至 `network.email.from`。也可用於在 `security_result` 中填入 `detection_fields` 項目。
`Snt`	`network.sent_bytes`	`Snt` 的值會轉換為無正負號整數，並對應至 `network.sent_bytes`。
`SourceIP`	`principal.ip`	如果 `stage` 為 `RECEIPT` 且 `IP` 為空，則 `SourceIP` 的值會對應至 `principal.ip`。
`SpamInfo`	`security_result.severity_details`	用來做為 `security_result.severity_details` 欄位的一部分。
`SpamLimit`	`security_result.severity_details`	用來做為 `security_result.severity_details` 欄位的一部分。
`SpamScore`	`security_result.severity_details`	用來做為 `security_result.severity_details` 欄位的一部分。如果未設定 `RejType`，系統也會使用這個欄位判斷 `security_result.severity`。
`Subject`	`network.email.subject`	`Subject` 的值會對應至 `network.email.subject`。
`Virus`	`security_result.threat_name`	`Virus` 的值會對應至 `security_result.threat_name`。預設為 `EMAIL_TRANSACTION`，但如果 `Sender` 或 `Recipient`/`Rcpt` 不是有效的電子郵件地址，則會變更為 `GENERIC_EVENT`。一律設為 `Mimecast`。一律設為 `Mimecast MTA`。設為 `Email %{stage}`，其中 `stage` 是根據其他記錄欄位的存在和值而決定。一律設為 `MIMECAST_MAIL`。根據 `RejType` 或 `SpamScore` 進行設定。如果兩者皆無法使用，則預設值為 `LOW`。
`sha1`	`target.file.sha1`	`sha1` 的值會對應至 `target.file.sha1`。
`sha256`	`target.file.sha256`	`sha256` 的值會對應至 `target.file.sha256`。
`ScanResultInfo`	`security_result.threat_name`	`ScanResultInfo` 的值會對應至 `security_result.threat_name`。
`Definition`	`security_result.summary`	`Definition` 的值會對應至 `security_result.summary`。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。