Mimecast Mail V2-Logs erfassen

In diesem Dokument wird beschrieben, wie Sie Mimecast Mail V2-Logs erfassen, indem Sie einen Google Security Operations-Feed über die Drittanbieter-API einrichten.

Hinweise

Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:

• Eine Google SecOps-Instanz
• Privilegierter Zugriff auf den Mimecast Mail V2-Mandanten oder die Admin-Konsole
• Administratorberechtigungen in Mimecast zum Erstellen von API-Anwendungen

IP-Zulassungsliste konfigurieren

Bevor Sie den Feed erstellen, müssen Sie die Google SecOps-IP-Bereiche in Ihrer Mimecast Mail V2-Firewall oder in Ihren Netzwerkeinstellungen auf die Zulassungsliste setzen.

Google SecOps-IP-Bereiche abrufen

• Rufen Sie IP-Bereiche aus der JSON-Datei mit den IP-Adressbereichen von Google ab.

IP-Bereiche zu Mimecast Mail V2 hinzufügen

1. Melden Sie sich in der Mimecast Administration Console an.
2. Klicken Sie auf Administration > Services > Firewall Policies (Verwaltung > Dienste > Firewallrichtlinien).
3. Klicken Sie auf Adresse hinzufügen.
4. Geben Sie jeden Google SecOps-IP-Bereich in CIDR-Notation ein.
5. Wählen Sie für die Aktion die Option Zulassen aus.
6. Geben Sie eine Beschreibung ein, z. B. Google SecOps Integration.
7. Klicken Sie auf Speichern.

Zugriff auf die Mimecast Mail V2 API konfigurieren

Damit Google SecOps Protokolle von Mimecast abrufen kann, müssen Sie eine Anwendung in der Mimecast Administration Console registrieren und OAuth-Anmeldedaten abrufen.

API-Anwendung erstellen

1. Melden Sie sich in der Mimecast Administration Console an.
2. Klicken Sie auf Verwaltung > Dienste > API-Verwaltung > Anwendungen.
3. Klicken Sie auf Hinzufügen.
4. Geben Sie die folgenden Konfigurationsdetails an:
   • Name: Geben Sie einen aussagekräftigen Namen ein, z. B. Google SecOps Integration.
   • Beschreibung (optional): Geben Sie eine Beschreibung ein.
   • Typ: Wählen Sie OAuth aus.
   • OAuth Grant Type: Wählen Sie Client Credentials aus.
   • URL: Geben Sie Ihre Google SecOps-Domain ein oder lassen Sie das Feld leer.
5. Wählen Sie unter Zugriffsbereiche die erforderlichen Berechtigungen aus (siehe Abschnitt „Erforderliche API-Berechtigungen“).
6. Klicken Sie auf Speichern.

API-Anmeldedaten generieren

1. Klicken Sie nach dem Erstellen der Anwendung in der Liste auf den Anwendungsnamen.
2. Rufen Sie den Tab OAuth auf.
3. Klicken Sie auf Anmeldedaten erstellen.
4. Notieren Sie sich die angezeigte Client-ID und den Clientschlüssel.
5. Klicken Sie auf Schließen.

API-Anmeldedaten aufzeichnen

Nachdem Sie die Anmeldedaten generiert haben, erhalten Sie Folgendes:

• Client-ID: Ihre OAuth 2.0-Client-ID
• Clientschlüssel: Ihr OAuth 2.0-Clientschlüssel

Erforderliche API-Berechtigungen

Für die API-Anwendung sind die folgenden Berechtigungen erforderlich:

Berechtigung/Umfang	Zugriffsebene	Zweck
Audit/SIEM	Lesen	SIEM-Logdaten abrufen
Audit/AuditEvents	Lesen	Auditereignisdaten abrufen

Feeds einrichten

So konfigurieren Sie einen Feed:

1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
2. Klicken Sie auf Neuen Feed hinzufügen.
3. Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
4. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Mimecast Mail Logs.
5. Wählen Sie Drittanbieter-API als Quelltyp aus.
6. Wählen Sie Mimecast Mail V2 als Log type (Protokolltyp) aus.
7. Klicken Sie auf Weiter.

8. Geben Sie Werte für die folgenden Eingabeparameter an:

   • OAuth-Client-ID: Die Client-ID aus der zuvor erstellten API-Anwendung.
   • OAuth-Clientschlüssel: Der Clientschlüssel der zuvor erstellten API-Anwendung.
   • Asset-Namespace: Der Asset-Namespace.
   • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.

9. Klicken Sie auf Weiter.

10. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

Nach der Einrichtung werden die Logs chronologisch aus der Mimecast Mail V2-Instanz abgerufen.

Regionale Endpunkte

Mimecast Mail V2 verwendet je nach Region unterschiedliche API-Endpunkte:

Region	Basis-URL
USA	https://us-api.mimecast.com
Vereinigtes Königreich	https://uk-api.mimecast.com
EU	https://eu-api.mimecast.com
DE	https://de-api.mimecast.com
AU	https://au-api.mimecast.com
ZA	https://za-api.mimecast.com
CA	https://ca-api.mimecast.com
Offshore	https://je-api.mimecast.com

Verwenden Sie die Basis-URL, die der Region Ihrer Mimecast Mail V2-Instanz entspricht.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Logik
aCode	additional_fields.aCode	Wert aus aCode.
Att_AV	additional_fields.Att_AV	Wert aus Att_AV.
Att_Det	additional_fields.Att_Det	Wert aus Att_Det.
Att_Enc	additional_fields.Att_Enc	Wert aus Att_Enc.
Att_Key	additional_fields.Att_Key	Wert aus Att_Key.
Att_Mod	additional_fields.Att_Mod	Wert aus Att_Mod.
Att_Orig	additional_fields.Att_Orig	Wert aus Att_Orig.
Att_Rem	additional_fields.Att_Rem	Wert aus Att_Rem.
Att_State	additional_fields.Att_State	Wert aus Att_State.
Att_Type	additional_fields.Att_Type	Wert aus Att_Type.
CKS	additional_fields.CKS	Wert aus CKS.
Date	additional_fields.Date	Wert aus Date.
Delivered	additional_fields.Delivered	Wert aus Delivered.
dlp	additional_fields.dlp	Wert aus dlp.
Dmarc	additional_fields.Dmarc	Wert aus Dmarc.
Enc	additional_fields.Enc	Wert aus Enc.
Error_Code	additional_fields.Error_Code	Wert aus Error_Code.
Error_Type	additional_fields.Error_Type	Wert aus Error_Type.
Grey	additional_fields.Grey	Wert aus Grey.
header_id	additional_fields.header_id	Wert aus header_id.
Hold_For	additional_fields.Hold_For	Wert aus Hold_For.
Hold_Reason	additional_fields.Hold_Reason	Wert aus Hold_Reason.
Latency	additional_fields.Latency	Wert aus Latency.
Malware_Hash	additional_fields.Malware_Hash	Wert aus Malware_Hash.
Malware_Name	additional_fields.Malware_Name	Wert aus Malware_Name.
Msg_Key	additional_fields.Msg_Key	Wert aus Msg_Key.
MsgSize	additional_fields.MsgSize	Wert aus MsgSize.
Policy	additional_fields.Policy	Wert aus Policy.
Processing_Time	additional_fields.Processing_Time	Wert aus Processing_Time.
Queue_ID	additional_fields.Queue_ID	Wert aus Queue_ID.
rcpt_type	additional_fields.rcpt_type	Wert aus rcpt_type.
Receipt	additional_fields.Receipt	Wert aus Receipt.
sCode	additional_fields.sCode	Wert aus sCode.
Sent	additional_fields.Sent	Wert aus Sent.
Snt	additional_fields.Snt	Wert aus Snt.
spamLimit	additional_fields.spamLimit	Wert aus spamLimit.
spamScore	additional_fields.spamScore	Wert aus spamScore.
SpamRef	additional_fields.SpamRef	Wert aus SpamRef.
Tarpit	additional_fields.Tarpit	Wert aus Tarpit.
Time	additional_fields.Time	Wert aus Time.
datetime	metadata.event_timestamp	Wert aus datetime. Das ursprüngliche Feld datetime wird ebenfalls geparst, um die primäre @timestamp des Ereignisses festzulegen.
	metadata.event_type	Legen Sie NETWORK_EMAIL fest.
	metadata.product_event_type	Legen Sie processed_email fest.
dir	network.direction	Abgeleitet von dir: In –> EINGEHEND; Out –> AUSGEHEND; Int –> UNBEKANNT.
sender, route, hdr_from	network.email.from	Wert aus sender, dann route. Wenn das Feld immer noch leer ist, wird der Wert aus hdr_from übernommen.
MsgID	network.email.message_id	Wert aus MsgID.
subject	network.email.subject	Wert aus subject.
rcpt	network.email.to	Der Wert wird aus rcpt übernommen und durch „,“ in ein Array aufgeteilt.
IP	principal.ip	Der Wert wird aus IP übernommen und durch „,“ in ein Array aufgeteilt.
hdr_from	principal.user.email_addresses	Der Wert wird aus hdr_from übernommen und durch „,“ in ein Array aufgeteilt.
act	security_result.action	Abgeleitet von act: Rej, T, Hld, Bnc –> BLOCK; U, A –> ALLOW; andernfalls UNKNOWN.
Att_Hash	target.file.md5	Wert aus Att_Hash.
Att_Name	target.file.name	Wert aus Att_Name.
Att_Size	target.file.size	Wert aus Att_Size, der in eine Ganzzahl konvertiert wurde.
URL	target.url	Wert aus URL.
rcpt_to	target.user.email_addresses	Der Wert wird aus rcpt_to übernommen und durch „,“ in ein Array aufgeteilt.
	metadata.product_name	Legen Sie Mail V2 fest.
	metadata.vendor_name	Legen Sie Mimecast fest.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten