Collecter les journaux Mimecast Mail V2
Compatible avec :
Google SecOps
SIEM
Ce document explique comment collecter les journaux Mimecast Mail V2 en configurant un flux Google Security Operations à l'aide de l'API tierce.
Avant de commencer
Assurez-vous de remplir les conditions préalables suivantes :
- Une instance Google SecOps
- Accès privilégié au locataire ou à la console d'administration Mimecast Mail V2
- Droits d'administrateur dans Mimecast pour créer des applications API
Configurer la liste d'autorisation d'adresses IP
Avant de créer le flux, vous devez ajouter les plages d'adresses IP Google SecOps à la liste d'autorisation dans les paramètres de pare-feu ou réseau de votre Mimecast Mail V2.
Obtenir les plages d'adresses IP Google SecOps
- Récupérez les plages d'adresses IP à partir du fichier JSON des plages d'adresses IP de Google.
Ajouter des plages d'adresses IP à Mimecast Mail V2
- Connectez-vous à la console d'administration Mimecast.
- Accédez à Administration > Services > Stratégies de pare-feu.
- Cliquez sur Ajouter une adresse.
- Saisissez chaque plage d'adresses IP Google SecOps au format CIDR.
- Sélectionnez Autoriser pour l'action.
- Fournissez une description (par exemple,
Google SecOps Integration). - Cliquez sur Enregistrer.
Configurer l'accès à l'API Mimecast Mail V2
Pour permettre à Google SecOps d'extraire les journaux de Mimecast, vous devez enregistrer une application dans la console d'administration Mimecast et obtenir des identifiants OAuth.
Créer une application API
- Connectez-vous à la console d'administration Mimecast.
- Accédez à Administration > Services > Gestion des API > Applications.
- Cliquez sur Ajouter.
- Fournissez les informations de configuration suivantes :
- Nom : saisissez un nom descriptif (par exemple,
Google SecOps Integration). - Description (facultatif) : saisissez une description.
- Type : sélectionnez OAuth.
- Type d'attribution OAuth : sélectionnez Identifiants client.
- URL : saisissez votre domaine Google SecOps ou laissez ce champ vide.
- Nom : saisissez un nom descriptif (par exemple,
- Sous Champs d'application de l'accès, sélectionnez les autorisations requises (voir la section "Autorisations d'API requises").
- Cliquez sur Enregistrer.
Générer des identifiants d'API
- Après avoir créé l'application, cliquez sur son nom dans la liste.
- Accédez à l'onglet OAuth.
- Cliquez sur Créer des identifiants.
- Notez l'ID client et le code secret du client qui s'affichent.
- Cliquez sur Fermer.
Enregistrer les identifiants de l'API
Une fois les identifiants générés, vous recevrez les informations suivantes :
- ID client : identifiant client OAuth 2.0
- Code secret du client : code secret de votre client OAuth 2.0
Autorisations d'API requises
L'application API nécessite les autorisations suivantes :
| Autorisation/Champ d'application | Niveau d'accès | Objectif |
|---|---|---|
| Audit/SIEM | Lire | Récupérer les données de journaux SIEM |
| Audit/AuditEvents | Lire | Récupérer les données des événements d'audit |
Configurer des flux
Pour configurer un flux, procédez comme suit :
- Accédez à Paramètres SIEM> Flux.
- Cliquez sur Add New Feed (Ajouter un flux).
- Sur la page suivante, cliquez sur Configurer un seul flux.
- Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple,
Mimecast Mail Logs). - Sélectionnez API tierce comme type de source.
- Sélectionnez Mimecast Mail V2 comme Type de journal.
- Cliquez sur Suivant.
Spécifiez les valeurs des paramètres d'entrée suivants :
- ID client OAuth : ID client de l'application API créée précédemment.
- Code secret du client OAuth : code secret du client de l'application API créée précédemment.
- Espace de noms de l'élément : espace de noms de l'élément.
- Libellés d'ingestion : libellé à appliquer aux événements de ce flux.
Cliquez sur Suivant.
Vérifiez la configuration de votre nouveau flux sur l'écran Finaliser, puis cliquez sur Envoyer.
Une fois la configuration terminée, le flux commence à récupérer les journaux de l'instance Mimecast Mail V2 dans l'ordre chronologique.
Points de terminaison régionaux
Mimecast Mail V2 utilise différents points de terminaison d'API en fonction de votre région :
| Région | URL de base |
|---|---|
| US | https://us-api.mimecast.com |
| Royaume-Uni | https://uk-api.mimecast.com |
| Union européenne | https://eu-api.mimecast.com |
| DE | https://de-api.mimecast.com |
| AU | https://au-api.mimecast.com |
| ZA | https://za-api.mimecast.com |
| CA | https://ca-api.mimecast.com |
| Offshore | https://je-api.mimecast.com |
Utilisez l'URL de base qui correspond à la région de votre instance Mimecast Mail V2.
Table de mappage UDM
| Champ de journal | Mappage UDM | Logique |
|---|---|---|
aCode |
additional_fields.aCode | Valeur extraite de aCode. |
Att_AV |
additional_fields.Att_AV | Valeur extraite de Att_AV. |
Att_Det |
additional_fields.Att_Det | Valeur extraite de Att_Det. |
Att_Enc |
additional_fields.Att_Enc | Valeur extraite de Att_Enc. |
Att_Key |
additional_fields.Att_Key | Valeur extraite de Att_Key. |
Att_Mod |
additional_fields.Att_Mod | Valeur extraite de Att_Mod. |
Att_Orig |
additional_fields.Att_Orig | Valeur extraite de Att_Orig. |
Att_Rem |
additional_fields.Att_Rem | Valeur extraite de Att_Rem. |
Att_State |
additional_fields.Att_State | Valeur extraite de Att_State. |
Att_Type |
additional_fields.Att_Type | Valeur extraite de Att_Type. |
CKS |
additional_fields.CKS | Valeur extraite de CKS. |
Date |
additional_fields.Date | Valeur extraite de Date. |
Delivered |
additional_fields.Delivered | Valeur extraite de Delivered. |
dlp |
additional_fields.dlp | Valeur extraite de dlp. |
Dmarc |
additional_fields.Dmarc | Valeur extraite de Dmarc. |
Enc |
additional_fields.Enc | Valeur extraite de Enc. |
Error_Code |
additional_fields.Error_Code | Valeur extraite de Error_Code. |
Error_Type |
additional_fields.Error_Type | Valeur extraite de Error_Type. |
Grey |
additional_fields.Grey | Valeur extraite de Grey. |
header_id |
additional_fields.header_id | Valeur extraite de header_id. |
Hold_For |
additional_fields.Hold_For | Valeur extraite de Hold_For. |
Hold_Reason |
additional_fields.Hold_Reason | Valeur extraite de Hold_Reason. |
Latency |
additional_fields.Latency | Valeur extraite de Latency. |
Malware_Hash |
additional_fields.Malware_Hash | Valeur extraite de Malware_Hash. |
Malware_Name |
additional_fields.Malware_Name | Valeur extraite de Malware_Name. |
Msg_Key |
additional_fields.Msg_Key | Valeur extraite de Msg_Key. |
MsgSize |
additional_fields.MsgSize | Valeur extraite de MsgSize. |
Policy |
additional_fields.Policy | Valeur extraite de Policy. |
Processing_Time |
additional_fields.Processing_Time | Valeur extraite de Processing_Time. |
Queue_ID |
additional_fields.Queue_ID | Valeur extraite de Queue_ID. |
rcpt_type |
additional_fields.rcpt_type | Valeur extraite de rcpt_type. |
Receipt |
additional_fields.Receipt | Valeur extraite de Receipt. |
sCode |
additional_fields.sCode | Valeur extraite de sCode. |
Sent |
additional_fields.Sent | Valeur extraite de Sent. |
Snt |
additional_fields.Snt | Valeur extraite de Snt. |
spamLimit |
additional_fields.spamLimit | Valeur extraite de spamLimit. |
spamScore |
additional_fields.spamScore | Valeur extraite de spamScore. |
SpamRef |
additional_fields.SpamRef | Valeur extraite de SpamRef. |
Tarpit |
additional_fields.Tarpit | Valeur extraite de Tarpit. |
Time |
additional_fields.Time | Valeur extraite de Time. |
datetime |
metadata.event_timestamp | Valeur extraite de datetime. Le champ datetime d'origine est également analysé pour définir le @timestamp principal de l'événement. |
| metadata.event_type | Variable définie sur NETWORK_EMAIL. |
|
| metadata.product_event_type | Variable définie sur processed_email. |
|
dir |
network.direction | Dérivé de dir : In -> INBOUND ; Out -> OUTBOUND ; Int -> UNKNOWN. |
sender, route, hdr_from |
network.email.from | Valeur extraite de sender, puis de route. Si elle est toujours vide, la valeur est extraite de hdr_from. |
MsgID |
network.email.message_id | Valeur extraite de MsgID. |
subject |
network.email.subject | Valeur extraite de subject. |
rcpt |
network.email.to | Valeur extraite de rcpt et divisée par "," en un tableau. |
IP |
principal.ip | Valeur extraite de IP et divisée par "," en un tableau. |
hdr_from |
principal.user.email_addresses | Valeur extraite de hdr_from et divisée par "," en un tableau. |
act |
security_result.action | Dérivé de act : Rej, T, Hld, Bnc -> BLOCK ; U, A -> ALLOW ; sinon UNKNOWN. |
Att_Hash |
target.file.md5 | Valeur extraite de Att_Hash. |
Att_Name |
target.file.name | Valeur extraite de Att_Name. |
Att_Size |
target.file.size | Valeur extraite de Att_Size et convertie en nombre entier. |
URL |
target.url | Valeur extraite de URL. |
rcpt_to |
target.user.email_addresses | Valeur extraite de rcpt_to et divisée par "," en un tableau. |
| metadata.product_name | Variable définie sur Mail V2. |
|
| metadata.vendor_name | Variable définie sur Mimecast. |
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.