收集 Mimecast Mail V2 日志
支持的平台:
Google SecOps
SIEM
本文档介绍了如何使用第三方 API 设置 Google Security Operations Feed 来收集 Mimecast Mail V2 日志。
准备工作
确保您满足以下前提条件:
- Google SecOps 实例
- 对 Mimecast Mail V2 租户或管理控制台的特权访问权限
- 在 Mimecast 中创建 API 应用所需的管理员权限
配置 IP 许可名单
在创建 Feed 之前,您必须在 Mimecast Mail V2 防火墙或网络设置中将 Google SecOps IP 范围列入许可名单。
获取 Google SecOps IP 范围
- 从 Google IP 地址范围 JSON 文件中提取 IP 范围。
将 IP 范围添加到 Mimecast Mail V2
- 登录 Mimecast 管理控制台。
- 依次前往管理 > 服务 > 防火墙政策。
- 点击添加地址。
- 以 CIDR 表示法输入每个 Google SecOps IP 范围。
- 为“操作”选择允许。
- 提供说明(例如
Google SecOps Integration)。 - 点击保存。
配置 Mimecast Mail V2 API 访问权限
如需让 Google SecOps 从 Mimecast 拉取日志,您需要在 Mimecast 管理控制台中注册应用并获取 OAuth 凭据。
创建 API 应用
- 登录 Mimecast 管理控制台。
- 依次前往管理 > 服务 > API 管理 > 应用。
- 点击 Add(添加)。
- 提供以下配置详细信息:
- 名称:输入一个描述性名称(例如
Google SecOps Integration)。 - 说明(可选):输入说明。
- 类型:选择 OAuth。
- OAuth 授权类型:选择客户端凭据。
- 网址:输入您的 Google SecOps 网域,或留空。
- 名称:输入一个描述性名称(例如
- 在访问权限范围下,选择所需的权限(请参阅“必需的 API 权限”部分)。
- 点击保存。
生成 API 凭据
- 创建应用后,点击列表中的应用名称。
- 前往 OAuth 标签页。
- 点击创建凭据。
- 记下显示的客户端 ID 和客户端密钥。
- 点击关闭。
记录 API 凭据
生成凭据后,您将收到以下信息:
- 客户端 ID:您的 OAuth 2.0 客户端标识符
- 客户端密钥:您的 OAuth 2.0 客户端密钥
所需 API 权限
API 应用需要以下权限:
| 权限/范围 | 访问权限级别 | 用途 |
|---|---|---|
| 审核/SIEM | 读取 | 检索 SIEM 日志数据 |
| 审核/AuditEvents | 读取 | 检索审核事件数据 |
设置 Feed
如需配置 Feed,请按以下步骤操作:
- 依次前往 SIEM 设置> Feed。
- 点击添加新 Feed。
- 在下一页上,点击配置单个 Feed。
- 在 Feed 名称字段中,输入 Feed 的名称(例如
Mimecast Mail Logs)。 - 选择第三方 API 作为来源类型。
- 选择 Mimecast Mail V2 作为日志类型。
- 点击下一步。
为以下输入参数指定值:
- OAuth 客户端 ID:之前创建的 API 应用中的客户端 ID。
- OAuth 客户端密钥:之前创建的 API 应用的客户端密钥。
- 资产命名空间:资产命名空间。
- 注入标签:要应用于此 Feed 中事件的标签。
点击下一步。
在最终确定界面中查看新的 Feed 配置,然后点击提交。
设置完成后,Feed 会开始按时间顺序从 Mimecast Mail V2 实例检索日志。
区域端点
Mimecast Mail V2 根据您所在的区域使用不同的 API 端点:
| 区域 | 基准网址 |
|---|---|
| US | https://us-api.mimecast.com |
| 英国 | https://uk-api.mimecast.com |
| 欧盟 | https://eu-api.mimecast.com |
| DE | https://de-api.mimecast.com |
| AU | https://au-api.mimecast.com |
| ZA | https://za-api.mimecast.com |
| CA | https://ca-api.mimecast.com |
| 离岸 | https://je-api.mimecast.com |
使用与您的 Mimecast Mail V2 实例区域相对应的基本网址。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
aCode |
additional_fields.aCode | 从 aCode 中获取的值。 |
Att_AV |
additional_fields.Att_AV | 从 Att_AV 中获取的值。 |
Att_Det |
additional_fields.Att_Det | 从 Att_Det 中获取的值。 |
Att_Enc |
additional_fields.Att_Enc | 从 Att_Enc 中获取的值。 |
Att_Key |
additional_fields.Att_Key | 从 Att_Key 中获取的值。 |
Att_Mod |
additional_fields.Att_Mod | 从 Att_Mod 中获取的值。 |
Att_Orig |
additional_fields.Att_Orig | 从 Att_Orig 中获取的值。 |
Att_Rem |
additional_fields.Att_Rem | 从 Att_Rem 中获取的值。 |
Att_State |
additional_fields.Att_State | 从 Att_State 中获取的值。 |
Att_Type |
additional_fields.Att_Type | 从 Att_Type 中获取的值。 |
CKS |
additional_fields.CKS | 从 CKS 中获取的值。 |
Date |
additional_fields.Date | 从 Date 中获取的值。 |
Delivered |
additional_fields.Delivered | 从 Delivered 中获取的值。 |
dlp |
additional_fields.dlp | 从 dlp 中获取的值。 |
Dmarc |
additional_fields.Dmarc | 从 Dmarc 中获取的值。 |
Enc |
additional_fields.Enc | 从 Enc 中获取的值。 |
Error_Code |
additional_fields.Error_Code | 从 Error_Code 中获取的值。 |
Error_Type |
additional_fields.Error_Type | 从 Error_Type 中获取的值。 |
Grey |
additional_fields.Grey | 从 Grey 中获取的值。 |
header_id |
additional_fields.header_id | 从 header_id 中获取的值。 |
Hold_For |
additional_fields.Hold_For | 从 Hold_For 中获取的值。 |
Hold_Reason |
additional_fields.Hold_Reason | 从 Hold_Reason 中获取的值。 |
Latency |
additional_fields.Latency | 从 Latency 中获取的值。 |
Malware_Hash |
additional_fields.Malware_Hash | 从 Malware_Hash 中获取的值。 |
Malware_Name |
additional_fields.Malware_Name | 从 Malware_Name 中获取的值。 |
Msg_Key |
additional_fields.Msg_Key | 从 Msg_Key 中获取的值。 |
MsgSize |
additional_fields.MsgSize | 从 MsgSize 中获取的值。 |
Policy |
additional_fields.Policy | 从 Policy 中获取的值。 |
Processing_Time |
additional_fields.Processing_Time | 从 Processing_Time 中获取的值。 |
Queue_ID |
additional_fields.Queue_ID | 从 Queue_ID 中获取的值。 |
rcpt_type |
additional_fields.rcpt_type | 从 rcpt_type 中获取的值。 |
Receipt |
additional_fields.Receipt | 从 Receipt 中获取的值。 |
sCode |
additional_fields.sCode | 从 sCode 中获取的值。 |
Sent |
additional_fields.Sent | 从 Sent 中获取的值。 |
Snt |
additional_fields.Snt | 从 Snt 中获取的值。 |
spamLimit |
additional_fields.spamLimit | 从 spamLimit 中获取的值。 |
spamScore |
additional_fields.spamScore | 从 spamScore 中获取的值。 |
SpamRef |
additional_fields.SpamRef | 从 SpamRef 中获取的值。 |
Tarpit |
additional_fields.Tarpit | 从 Tarpit 中获取的值。 |
Time |
additional_fields.Time | 从 Time 中获取的值。 |
datetime |
metadata.event_timestamp | 从 datetime 中获取的值。系统还会解析原始 datetime 字段,以设置事件的主要 @timestamp。 |
| metadata.event_type | 设置为 NETWORK_EMAIL。 |
|
| metadata.product_event_type | 设置为 processed_email。 |
|
dir |
network.direction | 派生自 dir:In -> 入站;Out -> 出站;Int -> 未知。 |
sender、route、hdr_from |
network.email.from | 值取自 sender,然后取自 route。如果仍为空,则从 hdr_from 中获取值。 |
MsgID |
network.email.message_id | 从 MsgID 中获取的值。 |
subject |
network.email.subject | 从 subject 中获取的值。 |
rcpt |
network.email.to | 从 rcpt 中获取值,并按“,”拆分为数组。 |
IP |
principal.ip | 从 IP 中获取值,并按“,”拆分为数组。 |
hdr_from |
principal.user.email_addresses | 从 hdr_from 中获取值,并按“,”拆分为数组。 |
act |
security_result.action | 派生自 act:Rej、T、Hld、Bnc -> BLOCK;U、A -> ALLOW;否则为 UNKNOWN。 |
Att_Hash |
target.file.md5 | 从 Att_Hash 中获取的值。 |
Att_Name |
target.file.name | 从 Att_Name 中获取的值。 |
Att_Size |
target.file.size | 从 Att_Size 中获取的值并转换为整数。 |
URL |
target.url | 从 URL 中获取的值。 |
rcpt_to |
target.user.email_addresses | 从 rcpt_to 中获取值,并按“,”拆分为数组。 |
| metadata.product_name | 设置为 Mail V2。 |
|
| metadata.vendor_name | 设置为 Mimecast。 |
需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。