Mimecast 보안 이메일 게이트웨이 로그 수집

다음에서 지원:

이 문서에서는 Google Security Operations 피드를 설정하여 Mimecast Secure Email Gateway 로그를 수집하는 방법을 설명합니다.

자세한 내용은 Google Security Operations에 데이터 수집을 참조하세요.

수집 라벨은 원시 로그 데이터를 구조화된 UDM 형식으로 정규화하는 파서를 식별합니다. 이 문서의 정보는 MIMECAST_MAIL 수집 라벨이 있는 파서에 적용됩니다.

Mimecast 보안 이메일 게이트웨이 구성

  1. 로그인 계정에 로깅을 사용 설정합니다.
  2. API 애플리케이션을 만듭니다.
  3. 애플리케이션 ID 및 애플리케이션 키 가져오기

로그인 계정에 대한 로깅 사용 설정

  1. Mimecast 관리 콘솔에 로그인합니다.
  2. 계정 메뉴에서 계정 설정을 클릭합니다.
  3. 향상된 로깅을 펼칩니다.
  4. 사용 설정할 로그 유형을 선택합니다.
    • 수신: 외부 발신자가 내부 수신자에게 보낸 메일을 로깅합니다.
    • 발신: 내부 발신자가 외부 수신자에게 보낸 메일을 로깅합니다.
    • 내부: 내부 도메인 내의 메일을 로깅합니다.
  5. 저장을 클릭하여 변경사항을 적용합니다.

API 애플리케이션 만들기

  1. Mimecast 관리 콘솔에 로그인합니다.
  2. API 애플리케이션 추가를 클릭합니다.
  3. 다음 세부정보를 입력합니다.
    1. 애플리케이션 이름입니다.
    2. 애플리케이션에 대한 설명입니다.
    3. 카테고리: 다음 카테고리 중 하나를 입력합니다.
      • SIEM 통합: 애플리케이션에서 생성된 보안 알림에 대한 실시간 분석을 제공합니다.
      • MSP 주문 및 프로비저닝: 일부 파트너가 MSP 포털에서 주문을 관리할 수 있습니다.
      • 이메일 / 보관처리: Mimecast에 저장된 메시지 및 알림을 의미합니다.
      • 비즈니스 인텔리전스: 애플리케이션의 인프라와 도구가 정보에 액세스하고 분석하여 의사결정과 실적을 개선하고 최적화할 수 있도록 지원합니다.
      • 프로세스 자동화: 비즈니스 프로세스를 자동화할 수 있습니다.
      • 기타: 애플리케이션이 다른 카테고리에 해당하지 않는 경우입니다.
  4. 다음을 클릭합니다.
  5. 설정 섹션에서 다음 세부정보를 입력합니다.
    • 개발자 이름: 애플리케이션 개발자의 이름입니다.
    • 이메일: 애플리케이션 개발자의 이메일 주소입니다.
  6. 다음을 클릭합니다.
  7. 요약 페이지에 표시된 정보를 검토합니다.
  8. 오류를 수정하려면 다음 단계를 따르세요.
    • 세부정보 또는 설정 옆에 있는 수정 버튼을 클릭합니다.
    • 다음을 클릭하고 요약 페이지로 다시 이동합니다.

애플리케이션 ID 및 애플리케이션 키 가져오기

  1. 애플리케이션을 클릭한 다음 서비스를 클릭합니다.
  2. API 애플리케이션을 클릭합니다.
  3. 생성된 API 애플리케이션을 선택합니다.
  4. 신청 세부정보를 확인합니다.

API 액세스 및 보안 비밀 키 만들기

액세스 키와 보안 비밀 키를 생성하는 방법에 관한 자세한 내용은 사용자 연결 키 만들기를 참고하세요.

Mimecast Secure Email Gateway 로그를 수집하도록 Google Security Operations에서 피드 구성

  1. SIEM 설정 > 피드를 클릭합니다.
  2. 새 항목 추가를 클릭합니다.
  3. 피드 이름을 입력합니다.
  4. 소스 유형으로 서드 파티 API를 선택합니다.
  5. Mimecast Secure Email Gateway의 피드를 만들려면 로그 유형으로 Mimecast를 선택합니다.
  6. 다음을 클릭합니다.
  7. 애플리케이션 ID, 액세스 키, 비밀 ID, 애플리케이션 키를 제공하여 인증 HTTP 헤더를 구성합니다.
  8. 다음을 클릭한 후 제출을 클릭합니다.

Google Security Operations 피드에 대한 자세한 내용은 Google Security Operations 피드 문서를 참조하세요. 각 피드 유형의 요구사항은 유형별 피드 구성을 참고하세요. 피드를 만들 때 문제가 발생하면 Google Security Operations 지원팀에 문의하세요.

필드 매핑 참조

이 파서는 Mimecast 이메일 서버 로그에서 키-값 쌍을 추출하고, 로그 항목 단계 (수신, 처리 또는 전송)를 분류하고, 추출된 필드를 UDM에 매핑합니다. 또한 보안 관련 필드를 처리하는 특정 로직을 실행하여 Act, RejType, SpamScore, Virus과 같은 값을 기반으로 보안 결과 작업, 카테고리, 심각도, 관련 세부정보를 결정합니다.

UDM 매핑 표

로그 필드 UDM 매핑 논리
acc metadata.product_log_id acc 값은 metadata.product_log_id에 매핑됩니다.
Act security_result.action Act이 'Acc'이면 값은 '허용'입니다. Act이 'Rej'이면 값은 'BLOCK'입니다. Act이 'Hld' 또는 'Sdbx'이면 값은 'QUARANTINE'입니다.
AttNames about.file.full_path 따옴표와 공백을 삭제하고 쉼표로 분할한 후 AttNames 필드는 about.file.full_path 객체 배열에 매핑됩니다.
AttSize about.file.size AttSize 값은 부호 없는 정수로 변환되고 about.file.size에 매핑됩니다.
Cphr datetime metadata.event_timestamp datetime 값은 타임스탬프로 파싱되고 metadata.event_timestamp에 매핑됩니다.
Delivered 매핑되지 않음 stageproduct_event_type를 결정하는 데 사용됩니다.
Definition security_result.summary Definition 값은 security_result.summary에 매핑됩니다.
Dir network.direction, security_result.detection_fields Dir이 '내부' 또는 '인바운드'인 경우 값은 'INBOUND'입니다. Dir이 '외부' 또는 '발신'인 경우 값은 'OUTBOUND'입니다. 또한 'network_direction' 키가 있는 감지 필드로 추가되었습니다.
Err security_result.summary Err 값은 security_result.summary에 매핑됩니다.
Error security_result.summary Error 값은 security_result.summary에 매핑됩니다.
fileName principal.process.file.full_path fileName 값은 principal.process.file.full_path에 매핑됩니다.
filename_for_malachite principal.resource.name filename_for_malachite 값은 principal.resource.name에 매핑됩니다.
headerFrom network.email.from, security_result.detection_fields, principal.user.email_addresses Sender이 유효한 이메일 주소가 아닌 경우 headerFrom 값이 network.email.from에 매핑됩니다. 또한 'header_from' 키가 있는 감지 필드로 추가되었습니다. Sender 또는 headerFrom가 올바른 이메일 주소가 아닌 경우 headerFromnetwork.email.from에 매핑되지 않습니다.
IP principal.ip 또는 target.ip stage이 'RECEIPT'인 경우 IP 값은 principal.ip에 매핑되고 stage이 'DELIVERY'인 경우 target.ip에 매핑됩니다.
Latency md5 MsgId network.email.mail_id MsgId 값은 network.email.mail_id에 매핑됩니다.
MsgSize network.received_bytes MsgSize 값은 부호 없는 정수로 변환되고 network.received_bytes에 매핑됩니다.
Rcpt target.user.email_addresses, network.email.to Rcpt 값은 target.user.email_addressesnetwork.email.to에 매핑됩니다.
RcptActType RcptHdrType Recipient network.email.to, target.user.email_addresses Rcpt이 유효한 이메일 주소가 아닌 경우 Recipient 값이 network.email.to에 매핑됩니다.
RejCode security_result.description 'RejCode=" 형식으로 security_result.description 값에 기여합니다.
RejInfo security_result.description 'RejInfo=" 형식으로 security_result.description 값에 기여합니다.
RejType security_result.description, security_result.category, security_result.category_details, security_result.severity 'RejType=' 형식으로 security_result.description 값에 기여합니다. security_result.categorysecurity_result.severity를 결정하는 데도 사용됩니다. security_result.category_details에 직접 매핑됩니다.
Route security_result.detection_fields '경로' 키를 사용하여 감지 필드로 추가되었습니다.
ScanResultInfo security_result.threat_name ScanResultInfo 값은 security_result.threat_name에 매핑됩니다.
Sender network.email.from, security_result.detection_fields, principal.user.email_addresses Sender 값은 network.email.from에 매핑됩니다. 또한 'Sender' 키가 있는 감지 필드로 추가되었습니다.
SenderDomain sha1 target.file.sha1 sha1 값은 target.file.sha1에 매핑됩니다.
sha256 target.file.sha256 sha256 값은 target.file.sha256에 매핑됩니다.
Size Snt network.sent_bytes Snt 값은 부호 없는 정수로 변환되고 network.sent_bytes에 매핑됩니다.
SourceIP principal.ip stage이 'RECEIPT'이고 IP가 없는 경우 SourceIP 값이 principal.ip에 매핑됩니다.
SpamInfo security_result.severity_details 'SpamInfo=" 형식으로 security_result.severity_details 값에 기여합니다.
SpamLimit security_result.severity_details 'SpamLimit=" 형식으로 security_result.severity_details 값에 기여합니다.
SpamScore security_result.severity_details, security_result.severity 'SpamScore=' 형식으로 security_result.severity_details 값에 기여합니다. RejType가 설정되지 않은 경우 security_result.severity를 결정하는 데도 사용됩니다.
Subject network.email.subject Subject 값은 network.email.subject에 매핑됩니다.
TlsVer URL UrlCategory UseTls Virus security_result.threat_name Virus 값은 security_result.threat_name에 매핑됩니다.
해당 사항 없음 metadata.event_type Sender 또는 Recipient/Rcpt가 유효한 이메일 주소인 경우 'EMAIL_TRANSACTION'으로 설정하고, 그렇지 않은 경우 'GENERIC_EVENT'로 설정합니다.
해당 사항 없음 metadata.vendor_name 항상 'Mimecast'로 설정합니다.
해당 사항 없음 metadata.product_name 항상 'Mimecast MTA'로 설정합니다.
해당 사항 없음 metadata.product_event_type '이메일'로 설정합니다. 여기서 단계는 다른 필드의 존재 여부와 값에 따라 결정됩니다.
해당 사항 없음 metadata.log_type 항상 'MIMECAST_MAIL'로 설정합니다.
해당 사항 없음 security_result.severity has_sec_result가 false인 경우 'LOW'로 설정합니다. 그 외의 경우에는 RejType 또는 SpamScore에 의해 결정됩니다.

변경사항

2023-03-31

  • Enhancement-
  • 'filename_for_malachite'가 'principal.resource.name'에 매핑되었습니다.
  • 'fileName'이 'principal.process.file.full_path'에 매핑되었습니다.
  • 'sha256'이 'target.file.sha256'에 매핑되었습니다.
  • 'sha1'이 'target.file.sha1'에 매핑되었습니다.
  • 'aCode'에 대한 조건부 검사를 추가했습니다.