Coletar registros do Mimecast Mail V2

Este documento explica como coletar registros do Mimecast Mail V2 configurando um feed do Google Security Operations usando a API de terceiros.

Antes de começar

Verifique se você atende os seguintes pré-requisitos:

• Uma instância do Google SecOps
• Acesso privilegiado ao locatário do Mimecast Mail V2 ou ao Admin Console
• Privilégios de administrador no Mimecast para criar aplicativos de API

Configurar a lista de permissões de IP

Antes de criar o feed, adicione os intervalos de IP do Google SecOps à lista de permissões nas configurações de rede ou firewall do Mimecast Mail V2.

Receber intervalos de IP do Google SecOps

• Extraia os intervalos de IP do arquivo JSON de intervalos de endereços IP do Google.

Adicionar intervalos de IP ao Mimecast Mail V2

1. Faça login no console de administração do Mimecast.
2. Acesse Administração > Serviços > Políticas de firewall.
3. Clique em Adicionar endereço.
4. Insira cada intervalo de IP do Google SecOps na notação CIDR.
5. Selecione Permitir para a ação.
6. Forneça uma descrição (por exemplo, Google SecOps Integration).
7. Clique em Salvar.

Configurar o acesso à API Mimecast Mail V2

Para permitir que o Google SecOps extraia registros do Mimecast, registre um aplicativo no console de administração do Mimecast e receba credenciais do OAuth.

Criar aplicativo de API

1. Faça login no console de administração do Mimecast.
2. Acesse Administração > Serviços > Gerenciamento de API > Aplicativos.
3. Clique em Adicionar.
4. Informe os seguintes detalhes de configuração:
   • Nome: insira um nome descritivo, por exemplo, Google SecOps Integration.
   • Descrição (opcional): insira uma descrição.
   • Tipo: selecione OAuth.
   • Tipo de concessão do OAuth: selecione Credenciais do cliente.
   • URL: insira seu domínio do Google SecOps ou deixe em branco.
5. Em Escopos de acesso, selecione as permissões necessárias (consulte a seção "Permissões de API necessárias").
6. Clique em Salvar.

Gerar credenciais de API

1. Depois de criar o aplicativo, clique no nome dele na lista.
2. Acesse a guia OAuth.
3. Clique em Criar credenciais.
4. Anote o ID do cliente e a chave secreta do cliente exibidos.
5. Clique em Fechar.

Registrar credenciais de API

Depois de gerar as credenciais, você vai receber o seguinte:

• ID do cliente: seu identificador do cliente OAuth 2.0
• Chave secreta do cliente: sua chave secreta do cliente OAuth 2.0

Permissões de API necessárias

O aplicativo da API requer as seguintes permissões:

Permissão/escopo	Nível de acesso	Finalidade
Auditoria/SIEM	Ler	Recuperar dados de registros do SIEM
Audit/AuditEvents	Ler	Recuperar dados de eventos de auditoria

Configurar feeds

Para configurar um feed, siga estas etapas:

1. Acesse Configurações do SIEM > Feeds.
2. Clique em Adicionar novo feed.
3. Na próxima página, clique em Configurar um único feed.
4. No campo Nome do feed, insira um nome para o feed (por exemplo, Mimecast Mail Logs).
5. Selecione API de terceiros como o Tipo de origem.
6. Selecione Mimecast Mail V2 como o Tipo de registro.
7. Clique em Próxima.

8. Especifique valores para os seguintes parâmetros de entrada:

   • ID do cliente OAuth: o ID do cliente do aplicativo de API criado anteriormente.
   • Chave secreta do cliente OAuth: a chave secreta do cliente do aplicativo de API criado anteriormente.
   • Namespace do recurso: o namespace do recurso.
   • Rótulos de ingestão: o rótulo a ser aplicado aos eventos deste feed.

9. Clique em Próxima.

10. Revise a nova configuração do feed na tela Finalizar e clique em Enviar.

Após a configuração, o feed começa a recuperar registros da instância do Mimecast Mail V2 em ordem cronológica.

Endpoints regionais

O Mimecast Mail V2 usa diferentes endpoints de API com base na sua região:

Região	URL de base
EUA	https://us-api.mimecast.com
Reino Unido	https://uk-api.mimecast.com
UE	https://eu-api.mimecast.com
DE	https://de-api.mimecast.com
AU	https://au-api.mimecast.com
ZA	https://za-api.mimecast.com
CA	https://ca-api.mimecast.com
Offshore	https://je-api.mimecast.com

Use o URL base que corresponde à região da sua instância do Mimecast Mail V2.

Tabela de mapeamento do UDM

Campo de registro	Mapeamento do UDM	Lógica
aCode	additional_fields.aCode	Valor extraído de aCode.
Att_AV	additional_fields.Att_AV	Valor extraído de Att_AV.
Att_Det	additional_fields.Att_Det	Valor extraído de Att_Det.
Att_Enc	additional_fields.Att_Enc	Valor extraído de Att_Enc.
Att_Key	additional_fields.Att_Key	Valor extraído de Att_Key.
Att_Mod	additional_fields.Att_Mod	Valor extraído de Att_Mod.
Att_Orig	additional_fields.Att_Orig	Valor extraído de Att_Orig.
Att_Rem	additional_fields.Att_Rem	Valor extraído de Att_Rem.
Att_State	additional_fields.Att_State	Valor extraído de Att_State.
Att_Type	additional_fields.Att_Type	Valor extraído de Att_Type.
CKS	additional_fields.CKS	Valor extraído de CKS.
Date	additional_fields.Date	Valor extraído de Date.
Delivered	additional_fields.Delivered	Valor extraído de Delivered.
dlp	additional_fields.dlp	Valor extraído de dlp.
Dmarc	additional_fields.Dmarc	Valor extraído de Dmarc.
Enc	additional_fields.Enc	Valor extraído de Enc.
Error_Code	additional_fields.Error_Code	Valor extraído de Error_Code.
Error_Type	additional_fields.Error_Type	Valor extraído de Error_Type.
Grey	additional_fields.Grey	Valor extraído de Grey.
header_id	additional_fields.header_id	Valor extraído de header_id.
Hold_For	additional_fields.Hold_For	Valor extraído de Hold_For.
Hold_Reason	additional_fields.Hold_Reason	Valor extraído de Hold_Reason.
Latency	additional_fields.Latency	Valor extraído de Latency.
Malware_Hash	additional_fields.Malware_Hash	Valor extraído de Malware_Hash.
Malware_Name	additional_fields.Malware_Name	Valor extraído de Malware_Name.
Msg_Key	additional_fields.Msg_Key	Valor extraído de Msg_Key.
MsgSize	additional_fields.MsgSize	Valor extraído de MsgSize.
Policy	additional_fields.Policy	Valor extraído de Policy.
Processing_Time	additional_fields.Processing_Time	Valor extraído de Processing_Time.
Queue_ID	additional_fields.Queue_ID	Valor extraído de Queue_ID.
rcpt_type	additional_fields.rcpt_type	Valor extraído de rcpt_type.
Receipt	additional_fields.Receipt	Valor extraído de Receipt.
sCode	additional_fields.sCode	Valor extraído de sCode.
Sent	additional_fields.Sent	Valor extraído de Sent.
Snt	additional_fields.Snt	Valor extraído de Snt.
spamLimit	additional_fields.spamLimit	Valor extraído de spamLimit.
spamScore	additional_fields.spamScore	Valor extraído de spamScore.
SpamRef	additional_fields.SpamRef	Valor extraído de SpamRef.
Tarpit	additional_fields.Tarpit	Valor extraído de Tarpit.
Time	additional_fields.Time	Valor extraído de Time.
datetime	metadata.event_timestamp	Valor extraído de datetime. O campo datetime original também é analisado para definir o @timestamp principal do evento.
	metadata.event_type	Defina como NETWORK_EMAIL.
	metadata.product_event_type	Defina como processed_email.
dir	network.direction	Derivado de dir: In -> INBOUND; Out -> OUTBOUND; Int -> UNKNOWN.
sender, route, hdr_from	network.email.from	Valor extraído de sender e route. Se ainda estiver vazio, o valor será extraído de hdr_from.
MsgID	network.email.message_id	Valor extraído de MsgID.
subject	network.email.subject	Valor extraído de subject.
rcpt	network.email.to	Valor extraído de rcpt e dividido por "," em uma matriz.
IP	principal.ip	Valor extraído de IP e dividido por "," em uma matriz.
hdr_from	principal.user.email_addresses	Valor extraído de hdr_from e dividido por "," em uma matriz.
act	security_result.action	Derivado de act: Rej, T, Hld, Bnc -> BLOCK; U, A -> ALLOW; caso contrário, UNKNOWN.
Att_Hash	target.file.md5	Valor extraído de Att_Hash.
Att_Name	target.file.name	Valor extraído de Att_Name.
Att_Size	target.file.size	Valor extraído de Att_Size e convertido em número inteiro.
URL	target.url	Valor extraído de URL.
rcpt_to	target.user.email_addresses	Valor extraído de rcpt_to e dividido por "," em uma matriz.
	metadata.product_name	Defina como Mail V2.
	metadata.vendor_name	Defina como Mimecast.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.