收集 Mimecast Mail V2 記錄
支援的國家/地區:
Google SecOps
SIEM
本文說明如何使用第三方 API 設定 Google Security Operations 資訊提供,以收集 Mimecast Mail V2 記錄。
事前準備
請確認您已完成下列事前準備事項:
- Google SecOps 執行個體
- Mimecast Mail V2 租戶或管理控制台的特殊存取權
- 在 Mimecast 中建立 API 應用程式的管理員權限
設定 IP 許可清單
建立動態消息前,請先在 Mimecast Mail V2 防火牆或網路設定中,將 Google SecOps IP 範圍加入允許清單。
取得 Google SecOps IP 範圍
- 從 Google IP 位址範圍 JSON 檔案擷取 IP 範圍。
將 IP 範圍新增至 Mimecast Mail V2
- 登入 Mimecast 管理控制台。
- 依序前往「Administration」(管理) >「Services」(服務) >「Firewall Policies」(防火牆政策)。
- 按一下「新增地址」。
- 以 CIDR 標記法輸入每個 Google SecOps IP 範圍。
- 在「動作」中選取「允許」。
- 提供說明 (例如
Google SecOps Integration)。 - 按一下 [儲存]。
設定 Mimecast Mail V2 API 存取權
如要讓 Google SecOps 從 Mimecast 提取記錄,您必須在 Mimecast 管理控制台中註冊應用程式,並取得 OAuth 憑證。
建立 API 應用程式
- 登入 Mimecast 管理控制台。
- 依序前往「Administration」>「Services」>「API Management」>「Applications」。
- 按一下「新增」。
- 請提供下列設定詳細資料:
- 名稱:輸入描述性名稱 (例如
Google SecOps Integration)。 - 說明 (選填):輸入說明。
- 類型:選取「OAuth」。
- OAuth 授權類型:選取「用戶端憑證」。
- 網址:輸入 Google SecOps 網域,或留空。
- 名稱:輸入描述性名稱 (例如
- 在「存取權範圍」下方,選取必要權限 (請參閱「必要 API 權限」一節)。
- 按一下 [儲存]。
產生 API 憑證
- 建立應用程式後,按一下清單中的應用程式名稱。
- 前往「OAuth」OAuth分頁。
- 按一下「建立憑證」。
- 記下顯示的「Client ID」(用戶端 ID) 和「Client Secret」(用戶端密鑰)。
- 按一下 [關閉]。
記錄 API 憑證
產生憑證後,您會收到下列資訊:
- 用戶端 ID:您的 OAuth 2.0 用戶端 ID
- 用戶端密鑰:您的 OAuth 2.0 用戶端密鑰
必要的 API 權限
API 應用程式需要下列權限:
| 權限/範圍 | 存取層級 | 目的 |
|---|---|---|
| 稽核/SIEM | 讀取 | 擷取 SIEM 記錄資料 |
| 稽核/稽核事件 | 讀取 | 擷取稽核事件資料 |
設定動態饋給
如要設定動態消息,請按照下列步驟操作:
- 依序前往「SIEM 設定」>「動態饋給」。
- 按一下「新增動態消息」。
- 在下一個頁面中,按一下「設定單一動態饋給」。
- 在「動態饋給名稱」欄位中輸入動態饋給名稱 (例如
Mimecast Mail Logs)。 - 選取「第三方 API」做為「來源類型」。
- 選取「Mimecast Mail V2」做為「記錄類型」。
- 點選「下一步」。
指定下列輸入參數的值:
- OAuth 用戶端 ID:先前建立的 API 應用程式用戶端 ID。
- OAuth 用戶端密鑰:稍早建立的 API 應用程式用戶端密鑰。
- 資產命名空間:資產命名空間。
- 擷取標籤:要套用至這個動態饋給事件的標籤。
點選「下一步」。
在「Finalize」(完成) 畫面中檢查新的動態饋給設定,然後按一下「Submit」(提交)。
設定完成後,動態饋給會開始依時間順序從 Mimecast Mail V2 執行個體擷取記錄。
地區端點
Mimecast Mail V2 會根據您所在的區域使用不同的 API 端點:
| 區域 | 基準網址 |
|---|---|
| 美國 | https://us-api.mimecast.com |
| 英國 | https://uk-api.mimecast.com |
| 歐盟 | https://eu-api.mimecast.com |
| DE | https://de-api.mimecast.com |
| AU | https://au-api.mimecast.com |
| ZA | https://za-api.mimecast.com |
| CA | https://ca-api.mimecast.com |
| Offshore | https://je-api.mimecast.com |
請使用與 Mimecast Mail V2 執行個體區域對應的網址。
UDM 對應表
| 記錄欄位 | UDM 對應 | 邏輯 |
|---|---|---|
aCode |
additional_fields.aCode | 取自 aCode 的值。 |
Att_AV |
additional_fields.Att_AV | 取自 Att_AV 的值。 |
Att_Det |
additional_fields.Att_Det | 取自 Att_Det 的值。 |
Att_Enc |
additional_fields.Att_Enc | 取自 Att_Enc 的值。 |
Att_Key |
additional_fields.Att_Key | 取自 Att_Key 的值。 |
Att_Mod |
additional_fields.Att_Mod | 取自 Att_Mod 的值。 |
Att_Orig |
additional_fields.Att_Orig | 取自 Att_Orig 的值。 |
Att_Rem |
additional_fields.Att_Rem | 取自 Att_Rem 的值。 |
Att_State |
additional_fields.Att_State | 取自 Att_State 的值。 |
Att_Type |
additional_fields.Att_Type | 取自 Att_Type 的值。 |
CKS |
additional_fields.CKS | 取自 CKS 的值。 |
Date |
additional_fields.Date | 取自 Date 的值。 |
Delivered |
additional_fields.Delivered | 取自 Delivered 的值。 |
dlp |
additional_fields.dlp | 取自 dlp 的值。 |
Dmarc |
additional_fields.Dmarc | 取自 Dmarc 的值。 |
Enc |
additional_fields.Enc | 取自 Enc 的值。 |
Error_Code |
additional_fields.Error_Code | 取自 Error_Code 的值。 |
Error_Type |
additional_fields.Error_Type | 取自 Error_Type 的值。 |
Grey |
additional_fields.Grey | 取自 Grey 的值。 |
header_id |
additional_fields.header_id | 取自 header_id 的值。 |
Hold_For |
additional_fields.Hold_For | 取自 Hold_For 的值。 |
Hold_Reason |
additional_fields.Hold_Reason | 取自 Hold_Reason 的值。 |
Latency |
additional_fields.Latency | 取自 Latency 的值。 |
Malware_Hash |
additional_fields.Malware_Hash | 取自 Malware_Hash 的值。 |
Malware_Name |
additional_fields.Malware_Name | 取自 Malware_Name 的值。 |
Msg_Key |
additional_fields.Msg_Key | 取自 Msg_Key 的值。 |
MsgSize |
additional_fields.MsgSize | 取自 MsgSize 的值。 |
Policy |
additional_fields.Policy | 取自 Policy 的值。 |
Processing_Time |
additional_fields.Processing_Time | 取自 Processing_Time 的值。 |
Queue_ID |
additional_fields.Queue_ID | 取自 Queue_ID 的值。 |
rcpt_type |
additional_fields.rcpt_type | 取自 rcpt_type 的值。 |
Receipt |
additional_fields.Receipt | 取自 Receipt 的值。 |
sCode |
additional_fields.sCode | 取自 sCode 的值。 |
Sent |
additional_fields.Sent | 取自 Sent 的值。 |
Snt |
additional_fields.Snt | 取自 Snt 的值。 |
spamLimit |
additional_fields.spamLimit | 取自 spamLimit 的值。 |
spamScore |
additional_fields.spamScore | 取自 spamScore 的值。 |
SpamRef |
additional_fields.SpamRef | 取自 SpamRef 的值。 |
Tarpit |
additional_fields.Tarpit | 取自 Tarpit 的值。 |
Time |
additional_fields.Time | 取自 Time 的值。 |
datetime |
metadata.event_timestamp | 值取自 datetime。系統也會剖析原始的 datetime 欄位,設定活動的主要 @timestamp。 |
| metadata.event_type | 設為 NETWORK_EMAIL。 |
|
| metadata.product_event_type | 設為 processed_email。 |
|
dir |
network.direction | 衍生自 dir:In -> INBOUND;Out -> OUTBOUND;Int -> UNKNOWN。 |
sender、route、hdr_from |
network.email.from | 值取自 sender,然後是 route。如果仍為空白,系統會從 hdr_from 取得值。 |
MsgID |
network.email.message_id | 取自 MsgID 的值。 |
subject |
network.email.subject | 取自 subject 的值。 |
rcpt |
network.email.to | 從 rcpt 取得值,並以「,」分隔成陣列。 |
IP |
principal.ip | 從 IP 取得值,並以「,」分隔成陣列。 |
hdr_from |
principal.user.email_addresses | 從 hdr_from 取得值,並以「,」分隔成陣列。 |
act |
security_result.action | 衍生自 act:Rej、T、Hld、Bnc -> BLOCK;U、A -> ALLOW;否則為 UNKNOWN。 |
Att_Hash |
target.file.md5 | 取自 Att_Hash 的值。 |
Att_Name |
target.file.name | 取自 Att_Name 的值。 |
Att_Size |
target.file.size | 從 Att_Size 取得值並轉換為整數。 |
URL |
target.url | 取自 URL 的值。 |
rcpt_to |
target.user.email_addresses | 從 rcpt_to 取得值,並以「,」分隔成陣列。 |
| metadata.product_name | 設為 Mail V2。 |
|
| metadata.vendor_name | 設為 Mimecast。 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。