Mengumpulkan log Mimecast Secure Email Gateway

Didukung di:

Dokumen ini menjelaskan cara mengumpulkan log Mimecast Secure Email Gateway dengan menyiapkan feed Google Security Operations.

Untuk mengetahui informasi selengkapnya, lihat Penambahan data ke Google Security Operations.

Label penyerapan mengidentifikasi parser yang menormalisasi data log mentah ke format UDM terstruktur. Informasi dalam dokumen ini berlaku untuk parser dengan label transfer MIMECAST_MAIL.

Mengonfigurasi Mimecast Secure Email Gateway

  1. Aktifkan logging untuk akun login.
  2. Buat aplikasi API.
  3. Dapatkan ID aplikasi dan kunci aplikasi.

Mengaktifkan logging untuk akun login

  1. Login ke konsol Mimecast Administration.
  2. Di menu Akun, klik Setelan Akun.
  3. Luaskan Enhanced Logging.
  4. Pilih jenis log yang akan diaktifkan:
    • Masuk: mencatat pesan dari pengirim eksternal ke penerima internal.
    • Keluar: mencatat pesan dari pengirim internal ke penerima eksternal.
    • Internal: mencatat pesan dalam domain internal.
  5. Klik Save untuk menerapkan perubahan.

Membuat aplikasi API

  1. Login ke konsol Mimecast Administration.
  2. Klik Tambahkan Aplikasi API.
  3. Masukkan detail berikut:
    1. Nama aplikasi.
    2. Deskripsi untuk aplikasi.
    3. Kategori: Masukkan salah satu kategori berikut:
      • Integrasi SIEM: memberikan analisis real-time atas notifikasi keamanan yang dihasilkan oleh aplikasi.
      • Pemesanan dan Penyediaan MSP: tersedia bagi partner tertentu untuk mengelola pesanan di Portal MSP.
      • Email / Pengarsipan: mengacu pada pesan dan pemberitahuan yang disimpan di Mimecast.
      • Business Intelligence: memungkinkan infrastruktur dan alat aplikasi mengakses serta menganalisis informasi untuk meningkatkan dan mengoptimalkan keputusan dan performa.
      • Otomatisasi Proses: memungkinkan otomatisasi proses bisnis.
      • Lainnya: jika permohonan tidak sesuai dengan kategori lainnya.
  4. Klik Berikutnya.
  5. Di bagian Setelan, masukkan detail berikut:
    • Nama Developer: nama developer aplikasi.
    • Email: alamat email developer aplikasi.
  6. Klik Berikutnya.
  7. Tinjau informasi yang ditampilkan di Halaman Ringkasan.
  8. Untuk memperbaiki error, ikuti langkah-langkah berikut:
    • Klik tombol Edit di samping Detail atau Setelan.
    • Klik Berikutnya dan buka kembali halaman Ringkasan.

Mendapatkan ID aplikasi dan kunci aplikasi

  1. Klik Aplikasi, lalu klik Layanan.
  2. Klik API Application.
  3. Pilih aplikasi API yang dibuat.
  4. Lihat detail permohonan.

Membuat akses API dan kunci rahasia

Untuk informasi tentang cara membuat kunci akses dan secret, lihat Membuat Kunci Asosiasi Pengguna.

Mengonfigurasi feed di Google Security Operations untuk menyerap log Mimecast Secure Email Gateway

  1. Klik Setelan SIEM > Feed.
  2. Klik Add New.
  3. Masukkan Nama Feed.
  4. Pilih Third Party API sebagai Source Type.
  5. Pilih Mimecast sebagai Jenis Log untuk membuat feed bagi Mimecast Secure Email Gateway.
  6. Klik Berikutnya.
  7. Konfigurasikan Header HTTP autentikasi dengan memberikan ID aplikasi, kunci akses, ID rahasia, dan kunci aplikasi.
  8. Klik Berikutnya, lalu klik Kirim.

Untuk informasi selengkapnya tentang feed Google Security Operations, lihat dokumentasi feed Google Security Operations. Untuk mengetahui informasi tentang persyaratan untuk setiap jenis feed, lihat Konfigurasi feed menurut jenis. Jika Anda mengalami masalah saat membuat feed, hubungi dukungan Google Security Operations.

Referensi pemetaan kolom

Parser ini mengekstrak pasangan nilai kunci dari log server email Mimecast, mengategorikan tahap entri log (RECEIPT, PROCESSING, atau DELIVERY), dan memetakan kolom yang diekstrak ke UDM. Fungsi ini juga menjalankan logika tertentu untuk menangani kolom terkait keamanan, menentukan tindakan hasil keamanan, kategori, tingkat keparahan, dan detail terkait berdasarkan nilai seperti Act, RejType, SpamScore, dan Virus.

Tabel pemetaan UDM

Kolom Log Pemetaan UDM Logika
acc metadata.product_log_id Nilai acc dipetakan ke metadata.product_log_id.
Act security_result.action Jika Act adalah "Acc", nilainya adalah "ALLOW". Jika Act adalah "Rej", nilainya adalah "BLOCK". Jika Act adalah "Hld" atau "Sdbx", nilainya adalah "QUARANTINE".
AttNames about.file.full_path Kolom AttNames, setelah menghapus tanda kutip dan spasi, serta memisahkan dengan koma, dipetakan ke array objek about.file.full_path.
AttSize about.file.size Nilai AttSize dikonversi menjadi bilangan bulat tanpa tanda tangan dan dipetakan ke about.file.size.
Cphr datetime metadata.event_timestamp Nilai datetime diuraikan sebagai stempel waktu dan dipetakan ke metadata.event_timestamp.
Delivered Belum Dipetakan Digunakan untuk menentukan stage dan product_event_type.
Definition security_result.summary Nilai Definition dipetakan ke security_result.summary.
Dir network.direction, security_result.detection_fields Jika Dir adalah "Internal" atau "Inbound", nilainya adalah "INBOUND". Jika Dir adalah "Eksternal" atau "Keluar", nilainya adalah "KELUAR". Juga ditambahkan sebagai kolom deteksi dengan kunci "network_direction".
Err security_result.summary Nilai Err dipetakan ke security_result.summary.
Error security_result.summary Nilai Error dipetakan ke security_result.summary.
fileName principal.process.file.full_path Nilai fileName dipetakan ke principal.process.file.full_path.
filename_for_malachite principal.resource.name Nilai filename_for_malachite dipetakan ke principal.resource.name.
headerFrom network.email.from, security_result.detection_fields, principal.user.email_addresses Nilai headerFrom dipetakan ke network.email.from jika Sender bukan alamat email yang valid. Juga ditambahkan sebagai kolom deteksi dengan kunci "header_from". Jika Sender atau headerFrom bukan alamat email yang valid, headerFrom tidak akan dipetakan ke network.email.from.
IP principal.ip atau target.ip Nilai IP dipetakan ke principal.ip jika stage adalah "RECEIPT" atau ke target.ip jika stage adalah "DELIVERY".
Latency md5 MsgId network.email.mail_id Nilai MsgId dipetakan ke network.email.mail_id.
MsgSize network.received_bytes Nilai MsgSize dikonversi menjadi bilangan bulat tanpa tanda tangan dan dipetakan ke network.received_bytes.
Rcpt target.user.email_addresses, network.email.to Nilai Rcpt dipetakan ke target.user.email_addresses dan network.email.to.
RcptActType RcptHdrType Recipient network.email.to, target.user.email_addresses Nilai Recipient dipetakan ke network.email.to jika Rcpt bukan alamat email yang valid.
RejCode security_result.description Berkontribusi pada nilai security_result.description dalam format "RejCode=".
RejInfo security_result.description Berkontribusi pada nilai security_result.description dalam format "RejInfo=".
RejType security_result.description, security_result.category, security_result.category_details, security_result.severity Berkontribusi pada nilai security_result.description dalam format "RejType=". Juga digunakan untuk menentukan security_result.category dan security_result.severity. Dipetakan langsung ke security_result.category_details.
Route security_result.detection_fields Ditambahkan sebagai kolom deteksi dengan kunci "Rute".
ScanResultInfo security_result.threat_name Nilai ScanResultInfo dipetakan ke security_result.threat_name.
Sender network.email.from, security_result.detection_fields, principal.user.email_addresses Nilai Sender dipetakan ke network.email.from. Juga ditambahkan sebagai kolom deteksi dengan kunci "Pengirim".
SenderDomain sha1 target.file.sha1 Nilai sha1 dipetakan ke target.file.sha1.
sha256 target.file.sha256 Nilai sha256 dipetakan ke target.file.sha256.
Size Snt network.sent_bytes Nilai Snt dikonversi menjadi bilangan bulat tanpa tanda tangan dan dipetakan ke network.sent_bytes.
SourceIP principal.ip Nilai SourceIP dipetakan ke principal.ip jika stage adalah "RECEIPT" dan IP tidak ada.
SpamInfo security_result.severity_details Berkontribusi pada nilai security_result.severity_details dalam format "SpamInfo=".
SpamLimit security_result.severity_details Berkontribusi pada nilai security_result.severity_details dalam format "SpamLimit=".
SpamScore security_result.severity_details, security_result.severity Berkontribusi pada nilai security_result.severity_details dalam format "SpamScore=". Juga digunakan untuk menentukan security_result.severity jika RejType tidak ditetapkan.
Subject network.email.subject Nilai Subject dipetakan ke network.email.subject.
TlsVer URL UrlCategory UseTls Virus security_result.threat_name Nilai Virus dipetakan ke security_result.threat_name.
T/A metadata.event_type Tetapkan ke "EMAIL_TRANSACTION" jika Sender atau Recipient/Rcpt adalah alamat email yang valid, jika tidak, tetapkan ke "GENERIC_EVENT".
T/A metadata.vendor_name Selalu tetapkan ke "Mimecast".
T/A metadata.product_name Selalu tetapkan ke "Mimecast MTA".
T/A metadata.product_event_type Tetapkan ke "Email ", dengan tahap ditentukan berdasarkan keberadaan dan nilai kolom lainnya.
T/A metadata.log_type Selalu tetapkan ke "MIMECAST_MAIL".
T/A security_result.severity Tetapkan ke "LOW" jika has_sec_result salah. Jika tidak, ditentukan oleh RejType atau SpamScore.

Perubahan

2023-03-31

  • Enhancement-
  • Memetakan "filename_for_malachite" ke "principal.resource.name".
  • Memetakan "fileName" ke "principal.process.file.full_path".
  • Memetakan "sha256" ke "target.file.sha256".
  • Memetakan "sha1" ke "target.file.sha1".
  • Menambahkan pemeriksaan bersyarat untuk "aCode".