收集 Mimecast Mail V2 記錄

支援的國家/地區:

本文說明如何使用第三方 API 設定 Google Security Operations 資訊提供,以收集 Mimecast Mail V2 記錄。

事前準備

請確認您已完成下列事前準備事項:

  • Google SecOps 執行個體
  • Mimecast Mail V2 租戶或管理控制台的特殊存取權
  • 在 Mimecast 中建立 API 應用程式的管理員權限

設定 IP 許可清單

建立動態消息前,請先在 Mimecast Mail V2 防火牆或網路設定中,將 Google SecOps IP 範圍加入允許清單。

取得 Google SecOps IP 範圍

將 IP 範圍新增至 Mimecast Mail V2

  1. 登入 Mimecast 管理控制台。
  2. 依序前往「Administration」(管理) >「Services」(服務) >「Firewall Policies」(防火牆政策)
  3. 按一下「新增地址」
  4. 以 CIDR 標記法輸入每個 Google SecOps IP 範圍。
  5. 在「動作」中選取「允許」
  6. 提供說明 (例如 Google SecOps Integration)。
  7. 按一下 [儲存]

設定 Mimecast Mail V2 API 存取權

如要讓 Google SecOps 從 Mimecast 提取記錄,您必須在 Mimecast 管理控制台中註冊應用程式,並取得 OAuth 憑證。

建立 API 應用程式

  1. 登入 Mimecast 管理控制台
  2. 依序前往「Administration」>「Services」>「API Management」>「Applications」
  3. 按一下「新增」。
  4. 請提供下列設定詳細資料:
    • 名稱:輸入描述性名稱 (例如 Google SecOps Integration)。
    • 說明 (選填):輸入說明。
    • 類型:選取「OAuth」
    • OAuth 授權類型:選取「用戶端憑證」
    • 網址:輸入 Google SecOps 網域,或留空。
  5. 在「存取權範圍」下方,選取必要權限 (請參閱「必要 API 權限」一節)。
  6. 按一下 [儲存]

產生 API 憑證

  1. 建立應用程式後,按一下清單中的應用程式名稱。
  2. 前往「OAuth」OAuth分頁。
  3. 按一下「建立憑證」
  4. 記下顯示的「Client ID」(用戶端 ID) 和「Client Secret」(用戶端密鑰)
  5. 按一下 [關閉]

記錄 API 憑證

產生憑證後,您會收到下列資訊:

  • 用戶端 ID:您的 OAuth 2.0 用戶端 ID
  • 用戶端密鑰:您的 OAuth 2.0 用戶端密鑰

必要的 API 權限

API 應用程式需要下列權限:

權限/範圍 存取層級 目的
稽核/SIEM 讀取 擷取 SIEM 記錄資料
稽核/稽核事件 讀取 擷取稽核事件資料

設定動態饋給

如要設定動態消息,請按照下列步驟操作:

  1. 依序前往「SIEM 設定」>「動態饋給」
  2. 按一下「新增動態消息」
  3. 在下一個頁面中,按一下「設定單一動態饋給」
  4. 在「動態饋給名稱」欄位中輸入動態饋給名稱 (例如 Mimecast Mail Logs)。
  5. 選取「第三方 API」做為「來源類型」
  6. 選取「Mimecast Mail V2」做為「記錄類型」
  7. 點選「下一步」
  8. 指定下列輸入參數的值:

    • OAuth 用戶端 ID:先前建立的 API 應用程式用戶端 ID。
    • OAuth 用戶端密鑰:稍早建立的 API 應用程式用戶端密鑰。
    • 資產命名空間資產命名空間
    • 擷取標籤:要套用至這個動態饋給事件的標籤。
  9. 點選「下一步」

  10. 在「Finalize」(完成) 畫面中檢查新的動態饋給設定,然後按一下「Submit」(提交)

設定完成後,動態饋給會開始依時間順序從 Mimecast Mail V2 執行個體擷取記錄。

地區端點

Mimecast Mail V2 會根據您所在的區域使用不同的 API 端點:

區域 基準網址
美國 https://us-api.mimecast.com
英國 https://uk-api.mimecast.com
歐盟 https://eu-api.mimecast.com
DE https://de-api.mimecast.com
AU https://au-api.mimecast.com
ZA https://za-api.mimecast.com
CA https://ca-api.mimecast.com
Offshore https://je-api.mimecast.com

請使用與 Mimecast Mail V2 執行個體區域對應的網址。

UDM 對應表

記錄欄位 UDM 對應 邏輯
aCode additional_fields.aCode 取自 aCode 的值。
Att_AV additional_fields.Att_AV 取自 Att_AV 的值。
Att_Det additional_fields.Att_Det 取自 Att_Det 的值。
Att_Enc additional_fields.Att_Enc 取自 Att_Enc 的值。
Att_Key additional_fields.Att_Key 取自 Att_Key 的值。
Att_Mod additional_fields.Att_Mod 取自 Att_Mod 的值。
Att_Orig additional_fields.Att_Orig 取自 Att_Orig 的值。
Att_Rem additional_fields.Att_Rem 取自 Att_Rem 的值。
Att_State additional_fields.Att_State 取自 Att_State 的值。
Att_Type additional_fields.Att_Type 取自 Att_Type 的值。
CKS additional_fields.CKS 取自 CKS 的值。
Date additional_fields.Date 取自 Date 的值。
Delivered additional_fields.Delivered 取自 Delivered 的值。
dlp additional_fields.dlp 取自 dlp 的值。
Dmarc additional_fields.Dmarc 取自 Dmarc 的值。
Enc additional_fields.Enc 取自 Enc 的值。
Error_Code additional_fields.Error_Code 取自 Error_Code 的值。
Error_Type additional_fields.Error_Type 取自 Error_Type 的值。
Grey additional_fields.Grey 取自 Grey 的值。
header_id additional_fields.header_id 取自 header_id 的值。
Hold_For additional_fields.Hold_For 取自 Hold_For 的值。
Hold_Reason additional_fields.Hold_Reason 取自 Hold_Reason 的值。
Latency additional_fields.Latency 取自 Latency 的值。
Malware_Hash additional_fields.Malware_Hash 取自 Malware_Hash 的值。
Malware_Name additional_fields.Malware_Name 取自 Malware_Name 的值。
Msg_Key additional_fields.Msg_Key 取自 Msg_Key 的值。
MsgSize additional_fields.MsgSize 取自 MsgSize 的值。
Policy additional_fields.Policy 取自 Policy 的值。
Processing_Time additional_fields.Processing_Time 取自 Processing_Time 的值。
Queue_ID additional_fields.Queue_ID 取自 Queue_ID 的值。
rcpt_type additional_fields.rcpt_type 取自 rcpt_type 的值。
Receipt additional_fields.Receipt 取自 Receipt 的值。
sCode additional_fields.sCode 取自 sCode 的值。
Sent additional_fields.Sent 取自 Sent 的值。
Snt additional_fields.Snt 取自 Snt 的值。
spamLimit additional_fields.spamLimit 取自 spamLimit 的值。
spamScore additional_fields.spamScore 取自 spamScore 的值。
SpamRef additional_fields.SpamRef 取自 SpamRef 的值。
Tarpit additional_fields.Tarpit 取自 Tarpit 的值。
Time additional_fields.Time 取自 Time 的值。
datetime metadata.event_timestamp 值取自 datetime。系統也會剖析原始的 datetime 欄位,設定活動的主要 @timestamp
metadata.event_type 設為 NETWORK_EMAIL
metadata.product_event_type 設為 processed_email
dir network.direction 衍生自 dirIn -> INBOUND;Out -> OUTBOUND;Int -> UNKNOWN。
senderroutehdr_from network.email.from 值取自 sender,然後是 route。如果仍為空白,系統會從 hdr_from 取得值。
MsgID network.email.message_id 取自 MsgID 的值。
subject network.email.subject 取自 subject 的值。
rcpt network.email.to rcpt 取得值,並以「,」分隔成陣列。
IP principal.ip IP 取得值,並以「,」分隔成陣列。
hdr_from principal.user.email_addresses hdr_from 取得值,並以「,」分隔成陣列。
act security_result.action 衍生自 actRejTHldBnc -> BLOCK;UA -> ALLOW;否則為 UNKNOWN。
Att_Hash target.file.md5 取自 Att_Hash 的值。
Att_Name target.file.name 取自 Att_Name 的值。
Att_Size target.file.size Att_Size 取得值並轉換為整數。
URL target.url 取自 URL 的值。
rcpt_to target.user.email_addresses rcpt_to 取得值,並以「,」分隔成陣列。
metadata.product_name 設為 Mail V2
metadata.vendor_name 設為 Mimecast

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。