Raccogliere i log di Mimecast Mail V2

Questo documento spiega come raccogliere i log di Mimecast Mail V2 configurando un feed Google Security Operations utilizzando l'API di terze parti.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

• Un'istanza Google SecOps
• Accesso privilegiato al tenant o alla Console di amministrazione di Mimecast Mail V2
• Privilegi amministrativi in Mimecast per creare applicazioni API

Configurare la lista consentita IP

Prima di creare il feed, devi inserire gli intervalli IP di Google SecOps nella lista consentita nelle impostazioni di rete o del firewall Mimecast Mail V2.

Ottenere gli intervalli IP di Google SecOps

• Recupera gli intervalli IP dal file JSON degli intervalli di indirizzi IP di Google.

Aggiungere intervalli IP a Mimecast Mail V2

1. Accedi alla console di amministrazione di Mimecast.
2. Vai ad Amministrazione > Servizi > Norme firewall.
3. Fai clic su Aggiungi indirizzo.
4. Inserisci ogni intervallo IP di Google SecOps in notazione CIDR.
5. Seleziona Consenti per l'azione.
6. Fornisci una descrizione (ad esempio, Google SecOps Integration).
7. Fai clic su Salva.

Configurare l'accesso all'API Mimecast Mail V2

Per consentire a Google SecOps di estrarre i log da Mimecast, devi registrare un'applicazione nella console di amministrazione Mimecast e ottenere le credenziali OAuth.

Crea applicazione API

1. Accedi alla console di amministrazione di Mimecast.
2. Vai ad Amministrazione > Servizi > Gestione API > Applicazioni.
3. Fai clic su Aggiungi.
4. Fornisci i seguenti dettagli di configurazione:
   • Nome: inserisci un nome descrittivo (ad esempio, Google SecOps Integration).
   • (Facoltativo) Descrizione: inserisci una descrizione.
   • Tipo: seleziona OAuth.
   • Tipo di concessione OAuth: seleziona Credenziali client.
   • URL: inserisci il tuo dominio Google SecOps o lascia il campo vuoto.
5. Nella sezione Ambiti di accesso, seleziona le autorizzazioni richieste (vedi la sezione Autorizzazioni API richieste).
6. Fai clic su Salva.

Genera credenziali API

1. Dopo aver creato l'applicazione, fai clic sul suo nome nell'elenco.
2. Vai alla scheda OAuth.
3. Fai clic su Crea credenziali.
4. Prendi nota dell'ID client e del client secret visualizzati.
5. Fai clic su Chiudi.

Registra le credenziali API

Dopo aver generato le credenziali, riceverai quanto segue:

• ID client: l'identificatore client OAuth 2.0
• Client secret: il client secret OAuth 2.0

Autorizzazioni API richieste

L'applicazione API richiede le seguenti autorizzazioni:

Autorizzazione/Ambito	Livello di accesso	Finalità
Audit/SIEM	Leggi	Recuperare i dati dei log SIEM
Audit/AuditEvents	Leggi	Recuperare i dati degli eventi di controllo

Configurare i feed

Per configurare un feed:

1. Vai a Impostazioni SIEM > Feed.
2. Fai clic su Aggiungi nuovo feed.
3. Nella pagina successiva, fai clic su Configura un singolo feed.
4. Nel campo Nome feed, inserisci un nome per il feed (ad esempio, Mimecast Mail Logs).
5. Seleziona API di terze parti come Tipo di origine.
6. Seleziona Mimecast Mail V2 come Tipo di log.
7. Fai clic su Avanti.

8. Specifica i valori per i seguenti parametri di input:

   • ID client OAuth: l'ID client dell'applicazione API creata in precedenza.
   • Client secret OAuth: il client secret dell'applicazione API creata in precedenza.
   • Spazio dei nomi dell'asset: lo spazio dei nomi dell'asset.
   • Etichette di importazione: l'etichetta da applicare agli eventi di questo feed.

9. Fai clic su Avanti.

10. Controlla la nuova configurazione del feed nella schermata Finalizza e poi fai clic su Invia.

Dopo la configurazione, il feed inizia a recuperare i log dall'istanza Mimecast Mail V2 in ordine cronologico.

Endpoint regionali

Mimecast Mail V2 utilizza endpoint API diversi in base alla regione:

Regione	URL di base
US	https://us-api.mimecast.com
Regno Unito	https://uk-api.mimecast.com
UE	https://eu-api.mimecast.com
DE	https://de-api.mimecast.com
AU	https://au-api.mimecast.com
ZA	https://za-api.mimecast.com
CA	https://ca-api.mimecast.com
Offshore	https://je-api.mimecast.com

Utilizza l'URL di base corrispondente alla regione dell'istanza Mimecast Mail V2.

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logic
aCode	additional_fields.aCode	Valore tratto da aCode.
Att_AV	additional_fields.Att_AV	Valore tratto da Att_AV.
Att_Det	additional_fields.Att_Det	Valore tratto da Att_Det.
Att_Enc	additional_fields.Att_Enc	Valore tratto da Att_Enc.
Att_Key	additional_fields.Att_Key	Valore tratto da Att_Key.
Att_Mod	additional_fields.Att_Mod	Valore tratto da Att_Mod.
Att_Orig	additional_fields.Att_Orig	Valore tratto da Att_Orig.
Att_Rem	additional_fields.Att_Rem	Valore tratto da Att_Rem.
Att_State	additional_fields.Att_State	Valore tratto da Att_State.
Att_Type	additional_fields.Att_Type	Valore tratto da Att_Type.
CKS	additional_fields.CKS	Valore tratto da CKS.
Date	additional_fields.Date	Valore tratto da Date.
Delivered	additional_fields.Delivered	Valore tratto da Delivered.
dlp	additional_fields.dlp	Valore tratto da dlp.
Dmarc	additional_fields.Dmarc	Valore tratto da Dmarc.
Enc	additional_fields.Enc	Valore tratto da Enc.
Error_Code	additional_fields.Error_Code	Valore tratto da Error_Code.
Error_Type	additional_fields.Error_Type	Valore tratto da Error_Type.
Grey	additional_fields.Grey	Valore tratto da Grey.
header_id	additional_fields.header_id	Valore tratto da header_id.
Hold_For	additional_fields.Hold_For	Valore tratto da Hold_For.
Hold_Reason	additional_fields.Hold_Reason	Valore tratto da Hold_Reason.
Latency	additional_fields.Latency	Valore tratto da Latency.
Malware_Hash	additional_fields.Malware_Hash	Valore tratto da Malware_Hash.
Malware_Name	additional_fields.Malware_Name	Valore tratto da Malware_Name.
Msg_Key	additional_fields.Msg_Key	Valore tratto da Msg_Key.
MsgSize	additional_fields.MsgSize	Valore tratto da MsgSize.
Policy	additional_fields.Policy	Valore tratto da Policy.
Processing_Time	additional_fields.Processing_Time	Valore tratto da Processing_Time.
Queue_ID	additional_fields.Queue_ID	Valore tratto da Queue_ID.
rcpt_type	additional_fields.rcpt_type	Valore tratto da rcpt_type.
Receipt	additional_fields.Receipt	Valore tratto da Receipt.
sCode	additional_fields.sCode	Valore tratto da sCode.
Sent	additional_fields.Sent	Valore tratto da Sent.
Snt	additional_fields.Snt	Valore tratto da Snt.
spamLimit	additional_fields.spamLimit	Valore tratto da spamLimit.
spamScore	additional_fields.spamScore	Valore tratto da spamScore.
SpamRef	additional_fields.SpamRef	Valore tratto da SpamRef.
Tarpit	additional_fields.Tarpit	Valore tratto da Tarpit.
Time	additional_fields.Time	Valore tratto da Time.
datetime	metadata.event_timestamp	Valore tratto da datetime. Viene analizzato anche il campo datetime originale per impostare il @timestamp principale dell'evento.
	metadata.event_type	Imposta su NETWORK_EMAIL.
	metadata.product_event_type	Imposta su processed_email.
dir	network.direction	Derivato da dir: In -> INBOUND; Out -> OUTBOUND; Int -> UNKNOWN.
sender, route, hdr_from	network.email.from	Valore ottenuto da sender, poi route. Se ancora vuoto, il valore viene preso da hdr_from.
MsgID	network.email.message_id	Valore tratto da MsgID.
subject	network.email.subject	Valore tratto da subject.
rcpt	network.email.to	Valore estratto da rcpt e suddiviso in una matrice in base a ",".
IP	principal.ip	Valore estratto da IP e suddiviso in una matrice in base a ",".
hdr_from	principal.user.email_addresses	Valore estratto da hdr_from e suddiviso in una matrice in base a ",".
act	security_result.action	Derivato da act: Rej, T, Hld, Bnc -> BLOCK; U, A -> ALLOW; altrimenti UNKNOWN.
Att_Hash	target.file.md5	Valore tratto da Att_Hash.
Att_Name	target.file.name	Valore tratto da Att_Name.
Att_Size	target.file.size	Valore estratto da Att_Size e convertito in numero intero.
URL	target.url	Valore tratto da URL.
rcpt_to	target.user.email_addresses	Valore estratto da rcpt_to e suddiviso in una matrice in base a ",".
	metadata.product_name	Imposta su Mail V2.
	metadata.vendor_name	Imposta su Mimecast.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.