Mengumpulkan log Mimecast Mail V2
Didukung di:
Google SecOps
SIEM
Dokumen ini menjelaskan cara mengumpulkan log Mimecast Mail V2 dengan menyiapkan feed Google Security Operations menggunakan API Pihak ketiga.
Sebelum memulai
Pastikan Anda memiliki prasyarat berikut:
- Instance Google SecOps
- Akses istimewa ke konsol admin atau tenant Mimecast Mail V2
- Hak istimewa admin di Mimecast untuk membuat aplikasi API
Mengonfigurasi daftar IP yang diizinkan
Sebelum membuat feed, Anda harus memasukkan rentang IP Google SecOps ke dalam daftar yang diizinkan di setelan jaringan atau firewall Mimecast Mail V2 Anda.
Mendapatkan rentang IP Google SecOps
- Ambil rentang IP dari file JSON rentang alamat IP Google.
Menambahkan rentang IP ke Mimecast Mail V2
- Login ke Mimecast Administration Console.
- Buka Administration > Services > Firewall Policies.
- Klik Tambahkan Alamat.
- Masukkan setiap rentang IP Google SecOps dalam notasi CIDR.
- Pilih Izinkan untuk Tindakan.
- Berikan deskripsi (misalnya,
Google SecOps Integration). - Klik Simpan.
Mengonfigurasi akses Mimecast Mail V2 API
Agar Google SecOps dapat menarik log dari Mimecast, Anda harus mendaftarkan aplikasi di Konsol Administrasi Mimecast dan mendapatkan kredensial OAuth.
Membuat aplikasi API
- Login ke Mimecast Administration Console.
- Buka Administrasi > Layanan > Pengelolaan API > Aplikasi.
- Klik Tambahkan.
- Berikan detail konfigurasi berikut:
- Name: Masukkan nama deskriptif (misalnya,
Google SecOps Integration). - Deskripsi (opsional): Masukkan deskripsi.
- Jenis: Pilih OAuth.
- Jenis Pemberian OAuth: Pilih Kredensial Klien.
- URL: Masukkan domain Google SecOps Anda atau biarkan kosong.
- Name: Masukkan nama deskriptif (misalnya,
- Di bagian Access Scopes, pilih izin yang diperlukan (lihat bagian Izin API yang Diperlukan).
- Klik Simpan.
Membuat kredensial API
- Setelah membuat aplikasi, klik nama aplikasi dalam daftar.
- Buka tab OAuth.
- Klik Buat Kredensial.
- Catat Client ID dan Client Secret yang ditampilkan.
- Klik Close.
Mencatat kredensial API
Setelah membuat kredensial, Anda akan menerima hal berikut:
- Client ID: ID klien OAuth 2.0 Anda
- Rahasia Klien: Rahasia klien OAuth 2.0 Anda
Izin API yang diperlukan
Aplikasi API memerlukan izin berikut:
| Izin/Cakupan | Tingkat Akses | Tujuan |
|---|---|---|
| Audit/SIEM | Baca | Mengambil data log SIEM |
| Audit/AuditEvents | Baca | Mengambil data peristiwa audit |
Menyiapkan feed
Untuk mengonfigurasi feed, ikuti langkah-langkah berikut:
- Buka Setelan SIEM > Feed.
- Klik Tambahkan Feed Baru.
- Di halaman berikutnya, klik Konfigurasi satu feed.
- Di kolom Nama feed, masukkan nama untuk feed (misalnya,
Mimecast Mail Logs). - Pilih Third party API sebagai Source type.
- Pilih Mimecast Mail V2 sebagai Jenis log.
- Klik Berikutnya.
Tentukan nilai untuk parameter input berikut:
- Client ID OAuth: Client ID dari aplikasi API yang dibuat sebelumnya.
- Rahasia klien OAuth: Rahasia klien dari aplikasi API yang dibuat sebelumnya.
- Namespace aset: Namespace aset.
- Label penyerapan: Label yang akan diterapkan ke peristiwa dari feed ini.
Klik Berikutnya.
Tinjau konfigurasi feed baru Anda di layar Selesaikan, lalu klik Kirim.
Setelah penyiapan, feed mulai mengambil log dari instance Mimecast Mail V2 dalam urutan kronologis.
Endpoint regional
Mimecast Mail V2 menggunakan endpoint API yang berbeda berdasarkan wilayah Anda:
| Wilayah | URL Dasar |
|---|---|
| AS | https://us-api.mimecast.com |
| Inggris Raya | https://uk-api.mimecast.com |
| Uni Eropa | https://eu-api.mimecast.com |
| DE | https://de-api.mimecast.com |
| AU | https://au-api.mimecast.com |
| ZA | https://za-api.mimecast.com |
| CA | https://ca-api.mimecast.com |
| Offshore | https://je-api.mimecast.com |
Gunakan URL dasar yang sesuai dengan region instance Mimecast Mail V2 Anda.
Tabel pemetaan UDM
| Kolom Log | Pemetaan UDM | Logika |
|---|---|---|
aCode |
additional_fields.aCode | Nilai diambil dari aCode. |
Att_AV |
additional_fields.Att_AV | Nilai diambil dari Att_AV. |
Att_Det |
additional_fields.Att_Det | Nilai diambil dari Att_Det. |
Att_Enc |
additional_fields.Att_Enc | Nilai diambil dari Att_Enc. |
Att_Key |
additional_fields.Att_Key | Nilai diambil dari Att_Key. |
Att_Mod |
additional_fields.Att_Mod | Nilai diambil dari Att_Mod. |
Att_Orig |
additional_fields.Att_Orig | Nilai diambil dari Att_Orig. |
Att_Rem |
additional_fields.Att_Rem | Nilai diambil dari Att_Rem. |
Att_State |
additional_fields.Att_State | Nilai diambil dari Att_State. |
Att_Type |
additional_fields.Att_Type | Nilai diambil dari Att_Type. |
CKS |
additional_fields.CKS | Nilai diambil dari CKS. |
Date |
additional_fields.Date | Nilai diambil dari Date. |
Delivered |
additional_fields.Delivered | Nilai diambil dari Delivered. |
dlp |
additional_fields.dlp | Nilai diambil dari dlp. |
Dmarc |
additional_fields.Dmarc | Nilai diambil dari Dmarc. |
Enc |
additional_fields.Enc | Nilai diambil dari Enc. |
Error_Code |
additional_fields.Error_Code | Nilai diambil dari Error_Code. |
Error_Type |
additional_fields.Error_Type | Nilai diambil dari Error_Type. |
Grey |
additional_fields.Grey | Nilai diambil dari Grey. |
header_id |
additional_fields.header_id | Nilai diambil dari header_id. |
Hold_For |
additional_fields.Hold_For | Nilai diambil dari Hold_For. |
Hold_Reason |
additional_fields.Hold_Reason | Nilai diambil dari Hold_Reason. |
Latency |
additional_fields.Latency | Nilai diambil dari Latency. |
Malware_Hash |
additional_fields.Malware_Hash | Nilai diambil dari Malware_Hash. |
Malware_Name |
additional_fields.Malware_Name | Nilai diambil dari Malware_Name. |
Msg_Key |
additional_fields.Msg_Key | Nilai diambil dari Msg_Key. |
MsgSize |
additional_fields.MsgSize | Nilai diambil dari MsgSize. |
Policy |
additional_fields.Policy | Nilai diambil dari Policy. |
Processing_Time |
additional_fields.Processing_Time | Nilai diambil dari Processing_Time. |
Queue_ID |
additional_fields.Queue_ID | Nilai diambil dari Queue_ID. |
rcpt_type |
additional_fields.rcpt_type | Nilai diambil dari rcpt_type. |
Receipt |
additional_fields.Receipt | Nilai diambil dari Receipt. |
sCode |
additional_fields.sCode | Nilai diambil dari sCode. |
Sent |
additional_fields.Sent | Nilai diambil dari Sent. |
Snt |
additional_fields.Snt | Nilai diambil dari Snt. |
spamLimit |
additional_fields.spamLimit | Nilai diambil dari spamLimit. |
spamScore |
additional_fields.spamScore | Nilai diambil dari spamScore. |
SpamRef |
additional_fields.SpamRef | Nilai diambil dari SpamRef. |
Tarpit |
additional_fields.Tarpit | Nilai diambil dari Tarpit. |
Time |
additional_fields.Time | Nilai diambil dari Time. |
datetime |
metadata.event_timestamp | Nilai diambil dari datetime. Kolom datetime asli juga diuraikan untuk menyetel @timestamp utama acara. |
| metadata.event_type | Tetapkan ke NETWORK_EMAIL. |
|
| metadata.product_event_type | Tetapkan ke processed_email. |
|
dir |
network.direction | Diperoleh dari dir: In -> MASUK; Out -> KELUAR; Int -> TIDAK DIKETAHUI. |
sender, route, hdr_from |
network.email.from | Nilai diambil dari sender, lalu route. Jika masih kosong, nilai diambil dari hdr_from. |
MsgID |
network.email.message_id | Nilai diambil dari MsgID. |
subject |
network.email.subject | Nilai diambil dari subject. |
rcpt |
network.email.to | Nilai diambil dari rcpt dan dipisahkan dengan ',' menjadi array. |
IP |
principal.ip | Nilai diambil dari IP dan dipisahkan dengan ',' menjadi array. |
hdr_from |
principal.user.email_addresses | Nilai diambil dari hdr_from dan dipisahkan dengan ',' menjadi array. |
act |
security_result.action | Berasal dari act: Rej, T, Hld, Bnc -> BLOCK; U, A -> ALLOW; lainnya UNKNOWN. |
Att_Hash |
target.file.md5 | Nilai diambil dari Att_Hash. |
Att_Name |
target.file.name | Nilai diambil dari Att_Name. |
Att_Size |
target.file.size | Nilai diambil dari Att_Size dan dikonversi menjadi bilangan bulat. |
URL |
target.url | Nilai diambil dari URL. |
rcpt_to |
target.user.email_addresses | Nilai diambil dari rcpt_to dan dipisahkan dengan ',' menjadi array. |
| metadata.product_name | Tetapkan ke Mail V2. |
|
| metadata.vendor_name | Tetapkan ke Mimecast. |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.