Recopila registros de Mimecast Mail V2
Compatible con:
Google SecOps
SIEM
En este documento, se explica cómo recopilar registros de Mimecast Mail V2 configurando un feed de Google Security Operations con la API de terceros.
Antes de comenzar
Asegúrate de cumplir con los siguientes requisitos previos:
- Una instancia de Google SecOps
- Acceso con privilegios al arrendatario de Mimecast Mail V2 o a la Consola del administrador
- Privilegios de administrador en Mimecast para crear aplicaciones de API
Configura la lista de IP permitidas
Antes de crear el feed, debes incluir los rangos de IP de Google SecOps en la lista de entidades permitidas de la configuración de red o del firewall de Mimecast Mail V2.
Obtén los rangos de IP de Google SecOps
- Recupera los rangos de IP del archivo JSON de rangos de direcciones IP de Google.
Agrega rangos de IP a Mimecast Mail V2
- Accede a la Consola de administración de Mimecast.
- Ve a Administración > Servicios > Políticas de Firewall.
- Haz clic en Agregar dirección.
- Ingresa cada rango de IP de Google SecOps en notación CIDR.
- Selecciona Permitir para la acción.
- Proporciona una descripción (por ejemplo,
Google SecOps Integration). - Haz clic en Guardar.
Configura el acceso a la API de Mimecast Mail V2
Para permitir que Google SecOps extraiga registros de Mimecast, debes registrar una aplicación en la consola de administración de Mimecast y obtener credenciales de OAuth.
Crea una aplicación de API
- Accede a la Consola de administración de Mimecast.
- Ve a Administración > Servicios > Administración de APIs > Aplicaciones.
- Haz clic en Agregar.
- Proporciona los siguientes detalles de configuración:
- Nombre: Ingresa un nombre descriptivo (por ejemplo,
Google SecOps Integration). - Descripción (opcional): Ingresa una descripción.
- Tipo: Selecciona OAuth.
- Tipo de otorgamiento de OAuth: Selecciona Credenciales de cliente.
- URL: Ingresa tu dominio de Google SecOps o déjalo en blanco.
- Nombre: Ingresa un nombre descriptivo (por ejemplo,
- En Permisos de acceso, selecciona los permisos necesarios (consulta la sección Permisos de la API requeridos).
- Haz clic en Guardar.
Genera credenciales de API
- Después de crear la aplicación, haz clic en su nombre en la lista.
- Ve a la pestaña OAuth.
- Haz clic en Crear credenciales.
- Toma nota del ID de cliente y el secreto del cliente que se muestran.
- Haz clic en Cerrar.
Registra las credenciales de la API
Después de generar las credenciales, recibirás lo siguiente:
- ID de cliente: Es el identificador de tu cliente de OAuth 2.0.
- Secreto del cliente: Es el secreto del cliente de OAuth 2.0.
Permisos de API necesarios
La aplicación de la API requiere los siguientes permisos:
| Permiso/alcance | Nivel de acceso | Objetivo |
|---|---|---|
| Auditoría/SIEM | Leer | Recupera datos de registros de SIEM |
| Audit/AuditEvents | Leer | Recupera datos de eventos de auditoría |
Configura feeds
Para configurar un feed, sigue estos pasos:
- Ve a Configuración de SIEM > Feeds.
- Haz clic en Agregar feed nuevo.
- En la siguiente página, haz clic en Configurar un solo feed.
- En el campo Nombre del feed, ingresa un nombre para el feed (por ejemplo,
Mimecast Mail Logs). - Selecciona API de terceros como el Tipo de origen.
- Selecciona Mimecast Mail V2 como el Tipo de registro.
- Haz clic en Siguiente.
Especifica valores para los siguientes parámetros de entrada:
- ID de cliente de OAuth: Es el ID de cliente de la aplicación de la API que creaste antes.
- Secreto del cliente de OAuth: Es el secreto del cliente de la aplicación de la API que creaste antes.
- Espacio de nombres del recurso: Es el espacio de nombres del recurso.
- Etiquetas de transmisión: Es la etiqueta que se aplicará a los eventos de este feed.
Haz clic en Siguiente.
Revisa la nueva configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.
Después de la configuración, el feed comienza a recuperar registros de la instancia de Mimecast Mail V2 en orden cronológico.
Extremos regionales
Mimecast Mail V2 usa diferentes extremos de API según tu región:
| Región | URL base |
|---|---|
| US | https://us-api.mimecast.com |
| Reino Unido | https://uk-api.mimecast.com |
| UE | https://eu-api.mimecast.com |
| DE | https://de-api.mimecast.com |
| AU | https://au-api.mimecast.com |
| ZA | https://za-api.mimecast.com |
| CA | https://ca-api.mimecast.com |
| Offshore | https://je-api.mimecast.com |
Usa la URL base que corresponde a la región de tu instancia de Mimecast Mail V2.
Tabla de asignación de UDM
| Campo de registro | Asignación de UDM | Lógica |
|---|---|---|
aCode |
additional_fields.aCode | Valor tomado de aCode. |
Att_AV |
additional_fields.Att_AV | Valor tomado de Att_AV. |
Att_Det |
additional_fields.Att_Det | Valor tomado de Att_Det. |
Att_Enc |
additional_fields.Att_Enc | Valor tomado de Att_Enc. |
Att_Key |
additional_fields.Att_Key | Valor tomado de Att_Key. |
Att_Mod |
additional_fields.Att_Mod | Valor tomado de Att_Mod. |
Att_Orig |
additional_fields.Att_Orig | Valor tomado de Att_Orig. |
Att_Rem |
additional_fields.Att_Rem | Valor tomado de Att_Rem. |
Att_State |
additional_fields.Att_State | Valor tomado de Att_State. |
Att_Type |
additional_fields.Att_Type | Valor tomado de Att_Type. |
CKS |
additional_fields.CKS | Valor tomado de CKS. |
Date |
additional_fields.Date | Valor tomado de Date. |
Delivered |
additional_fields.Delivered | Valor tomado de Delivered. |
dlp |
additional_fields.dlp | Valor tomado de dlp. |
Dmarc |
additional_fields.Dmarc | Valor tomado de Dmarc. |
Enc |
additional_fields.Enc | Valor tomado de Enc. |
Error_Code |
additional_fields.Error_Code | Valor tomado de Error_Code. |
Error_Type |
additional_fields.Error_Type | Valor tomado de Error_Type. |
Grey |
additional_fields.Grey | Valor tomado de Grey. |
header_id |
additional_fields.header_id | Valor tomado de header_id. |
Hold_For |
additional_fields.Hold_For | Valor tomado de Hold_For. |
Hold_Reason |
additional_fields.Hold_Reason | Valor tomado de Hold_Reason. |
Latency |
additional_fields.Latency | Valor tomado de Latency. |
Malware_Hash |
additional_fields.Malware_Hash | Valor tomado de Malware_Hash. |
Malware_Name |
additional_fields.Malware_Name | Valor tomado de Malware_Name. |
Msg_Key |
additional_fields.Msg_Key | Valor tomado de Msg_Key. |
MsgSize |
additional_fields.MsgSize | Valor tomado de MsgSize. |
Policy |
additional_fields.Policy | Valor tomado de Policy. |
Processing_Time |
additional_fields.Processing_Time | Valor tomado de Processing_Time. |
Queue_ID |
additional_fields.Queue_ID | Valor tomado de Queue_ID. |
rcpt_type |
additional_fields.rcpt_type | Valor tomado de rcpt_type. |
Receipt |
additional_fields.Receipt | Valor tomado de Receipt. |
sCode |
additional_fields.sCode | Valor tomado de sCode. |
Sent |
additional_fields.Sent | Valor tomado de Sent. |
Snt |
additional_fields.Snt | Valor tomado de Snt. |
spamLimit |
additional_fields.spamLimit | Valor tomado de spamLimit. |
spamScore |
additional_fields.spamScore | Valor tomado de spamScore. |
SpamRef |
additional_fields.SpamRef | Valor tomado de SpamRef. |
Tarpit |
additional_fields.Tarpit | Valor tomado de Tarpit. |
Time |
additional_fields.Time | Valor tomado de Time. |
datetime |
metadata.event_timestamp | Valor tomado de datetime. El campo datetime original también se analiza para establecer el @timestamp principal del evento. |
| metadata.event_type | Se define en NETWORK_EMAIL. |
|
| metadata.product_event_type | Se define en processed_email. |
|
dir |
network.direction | Se deriva de dir: In -> ENTRANTE; Out -> SALIENTE; Int -> DESCONOCIDO. |
sender, route, hdr_from |
network.email.from | Valor tomado de sender y, luego, de route. Si aún está vacío, el valor se toma de hdr_from. |
MsgID |
network.email.message_id | Valor tomado de MsgID. |
subject |
network.email.subject | Valor tomado de subject. |
rcpt |
network.email.to | El valor se toma de rcpt y se divide con "," en un array. |
IP |
principal.ip | El valor se toma de IP y se divide con "," en un array. |
hdr_from |
principal.user.email_addresses | El valor se toma de hdr_from y se divide con "," en un array. |
act |
security_result.action | Derivado de act: Rej, T, Hld, Bnc -> BLOCK; U, A -> ALLOW; else UNKNOWN. |
Att_Hash |
target.file.md5 | Valor tomado de Att_Hash. |
Att_Name |
target.file.name | Valor tomado de Att_Name. |
Att_Size |
target.file.size | Valor tomado de Att_Size y convertido en número entero. |
URL |
target.url | Valor tomado de URL. |
rcpt_to |
target.user.email_addresses | El valor se toma de rcpt_to y se divide con "," en un array. |
| metadata.product_name | Se define en Mail V2. |
|
| metadata.vendor_name | Se define en Mimecast. |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.