Mimecast Mail V2 のログを収集する

以下でサポートされています。

Google SecOps SIEM

このドキュメントでは、サードパーティ API を使用して Google Security Operations フィードを設定し、Mimecast Mail V2 ログを収集する方法について説明します。

始める前に

次の前提条件を満たしていることを確認します。

Google SecOps インスタンス
Mimecast Mail V2 テナントまたは管理コンソールへの特権アクセス
API アプリケーションを作成するための Mimecast の管理者権限

IP 許可リストを構成する

フィードを作成する前に、Mimecast Mail V2 ファイアウォールまたはネットワーク設定で Google SecOps IP 範囲を許可リストに登録する必要があります。

Google SecOps の IP 範囲を取得する

Google IP アドレス範囲の JSON ファイルから IP 範囲を取得します。

Mimecast Mail V2 に IP 範囲を追加する

Mimecast 管理コンソールにログインします。
[Administration] > [Services] > [Firewall Policies] に移動します。
[住所を追加] をクリックします。
各 Google SecOps IP 範囲を CIDR 表記で入力します。
[アクション] で [許可] を選択します。
説明を入力します（例: Google SecOps Integration）。
[保存] をクリックします。

Mimecast Mail V2 API アクセスを構成する

Google SecOps が Mimecast からログを取得できるようにするには、Mimecast 管理コンソールでアプリケーションを登録し、OAuth 認証情報を取得する必要があります。

API アプリケーションを作成する

Mimecast 管理コンソールにログインします。
[Administration> Services> API Management> Applications] に移動します。
[追加] をクリックします。
次の構成の詳細を入力します。
- 名前: わかりやすい名前を入力します（例: Google SecOps Integration）。
- 説明（省略可）: 説明を入力します。
- タイプ: [OAuth] を選択します。
- OAuth Grant Type: [Client Credentials] を選択します。
- URL: Google SecOps ドメインを入力するか、空白のままにします。
[アクセススコープ] で、必要な権限を選択します（必要な API 権限のセクションを参照）。
[保存] をクリックします。

API 認証情報を生成する

アプリケーションを作成したら、リストでアプリケーション名をクリックします。
[OAuth] タブに移動します。
[認証情報を作成] をクリックします。
表示されたクライアント ID とクライアントシークレットをメモします。
[閉じる] をクリックします。

API 認証情報を記録する

認証情報を生成すると、次の情報が届きます。

クライアント ID: OAuth 2.0 クライアント ID
クライアントシークレット: OAuth 2.0 クライアントシークレット

必要な API 権限

API アプリケーションには次の権限が必要です。

権限/スコープ	アクセスレベル	目的
監査/SIEM	読み取り	SIEM ログデータを取得する
Audit/AuditEvents	読み取り	監査イベントデータを取得する

フィードを設定する

フィードを構成する手順は次のとおりです。

[SIEM 設定] > [フィード] に移動します。
[Add New Feed] をクリックします。
次のページで [単一フィードを設定] をクリックします。
[フィード名] フィールドに、フィードの名前を入力します（例: Mimecast Mail Logs）。
[ソースタイプ] として [サードパーティ API] を選択します。
[ログタイプ] として [Mimecast Mail V2] を選択します。
[次へ] をクリックします。
次の入力パラメータの値を指定します。
- OAuth クライアント ID: 以前に作成した API アプリケーションのクライアント ID。
- OAuth クライアントシークレット: 先ほど作成した API アプリケーションのクライアントシークレット。
- アセットの名前空間: アセットの名前空間。
- Ingestion labels: このフィードのイベントに適用されるラベル。
[次へ] をクリックします。
[Finalize] 画面で新しいフィードの設定を確認し、[送信] をクリックします。

設定が完了すると、フィードは Mimecast Mail V2 インスタンスからログを時系列順に取得し始めます。

リージョンエンドポイント

Mimecast Mail V2 では、リージョンに応じて異なる API エンドポイントが使用されます。

地域	ベース URL
US	`https://us-api.mimecast.com`
英国	`https://uk-api.mimecast.com`
EU	`https://eu-api.mimecast.com`
DE	`https://de-api.mimecast.com`
AU	`https://au-api.mimecast.com`
ZA	`https://za-api.mimecast.com`
CA	`https://ca-api.mimecast.com`
オフショア	`https://je-api.mimecast.com`

Mimecast Mail V2 インスタンスのリージョンに対応するベース URL を使用します。

UDM マッピングテーブル

ログフィールド	UDM マッピング	ロジック
`aCode`	additional_fields.aCode	`aCode` から取得された値。
`Att_AV`	additional_fields.Att_AV	`Att_AV` から取得された値。
`Att_Det`	additional_fields.Att_Det	`Att_Det` から取得された値。
`Att_Enc`	additional_fields.Att_Enc	`Att_Enc` から取得された値。
`Att_Key`	additional_fields.Att_Key	`Att_Key` から取得された値。
`Att_Mod`	additional_fields.Att_Mod	`Att_Mod` から取得された値。
`Att_Orig`	additional_fields.Att_Orig	`Att_Orig` から取得された値。
`Att_Rem`	additional_fields.Att_Rem	`Att_Rem` から取得された値。
`Att_State`	additional_fields.Att_State	`Att_State` から取得された値。
`Att_Type`	additional_fields.Att_Type	`Att_Type` から取得された値。
`CKS`	additional_fields.CKS	`CKS` から取得された値。
`Date`	additional_fields.Date	`Date` から取得された値。
`Delivered`	additional_fields.Delivered	`Delivered` から取得された値。
`dlp`	additional_fields.dlp	`dlp` から取得された値。
`Dmarc`	additional_fields.Dmarc	`Dmarc` から取得された値。
`Enc`	additional_fields.Enc	`Enc` から取得された値。
`Error_Code`	additional_fields.Error_Code	`Error_Code` から取得された値。
`Error_Type`	additional_fields.Error_Type	`Error_Type` から取得された値。
`Grey`	additional_fields.Grey	`Grey` から取得された値。
`header_id`	additional_fields.header_id	`header_id` から取得された値。
`Hold_For`	additional_fields.Hold_For	`Hold_For` から取得された値。
`Hold_Reason`	additional_fields.Hold_Reason	`Hold_Reason` から取得された値。
`Latency`	additional_fields.Latency	`Latency` から取得された値。
`Malware_Hash`	additional_fields.Malware_Hash	`Malware_Hash` から取得された値。
`Malware_Name`	additional_fields.Malware_Name	`Malware_Name` から取得された値。
`Msg_Key`	additional_fields.Msg_Key	`Msg_Key` から取得された値。
`MsgSize`	additional_fields.MsgSize	`MsgSize` から取得された値。
`Policy`	additional_fields.Policy	`Policy` から取得された値。
`Processing_Time`	additional_fields.Processing_Time	`Processing_Time` から取得された値。
`Queue_ID`	additional_fields.Queue_ID	`Queue_ID` から取得された値。
`rcpt_type`	additional_fields.rcpt_type	`rcpt_type` から取得された値。
`Receipt`	additional_fields.Receipt	`Receipt` から取得された値。
`sCode`	additional_fields.sCode	`sCode` から取得された値。
`Sent`	additional_fields.Sent	`Sent` から取得された値。
`Snt`	additional_fields.Snt	`Snt` から取得された値。
`spamLimit`	additional_fields.spamLimit	`spamLimit` から取得された値。
`spamScore`	additional_fields.spamScore	`spamScore` から取得された値。
`SpamRef`	additional_fields.SpamRef	`SpamRef` から取得された値。
`Tarpit`	additional_fields.Tarpit	`Tarpit` から取得された値。
`Time`	additional_fields.Time	`Time` から取得された値。
`datetime`	metadata.event_timestamp	`datetime` から取得された値。元の `datetime` フィールドも解析され、イベントのプライマリ `@timestamp` が設定されます。
	metadata.event_type	`NETWORK_EMAIL` に設定します。
	metadata.product_event_type	`processed_email` に設定します。
`dir`	network.direction	`dir` から派生: `In` -> INBOUND、`Out` -> OUTBOUND、`Int` -> UNKNOWN。
`sender`、`route`、`hdr_from`	network.email.from	値は `sender`、`route` の順に取得されます。それでも空の場合は、値は `hdr_from` から取得されます。
`MsgID`	network.email.message_id	`MsgID` から取得された値。
`subject`	network.email.subject	`subject` から取得された値。
`rcpt`	network.email.to	`rcpt` から取得した値を「,」で分割して配列にします。
`IP`	principal.ip	`IP` から取得した値を「,」で分割して配列にします。
`hdr_from`	principal.user.email_addresses	`hdr_from` から取得した値を「,」で分割して配列にします。
`act`	security_result.action	`act` から派生: `Rej`、`T`、`Hld`、`Bnc` -> BLOCK。`U`、`A` -> ALLOW。それ以外は UNKNOWN。
`Att_Hash`	target.file.md5	`Att_Hash` から取得された値。
`Att_Name`	target.file.name	`Att_Name` から取得された値。
`Att_Size`	target.file.size	`Att_Size` から取得された値が整数に変換されます。
`URL`	target.url	`URL` から取得された値。
`rcpt_to`	target.user.email_addresses	`rcpt_to` から取得した値を「,」で分割して配列にします。
	metadata.product_name	`Mail V2` に設定します。
	metadata.vendor_name	`Mimecast` に設定します。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。