Mimecast Mail V2 로그 수집
다음에서 지원:
Google secops
SIEM
이 문서에서는 서드 파티 API를 사용하여 Google Security Operations 피드를 설정하여 Mimecast Mail V2 로그를 수집하는 방법을 설명합니다.
시작하기 전에
다음 기본 요건이 충족되었는지 확인합니다.
- Google SecOps 인스턴스
- Mimecast Mail V2 테넌트 또는 관리 콘솔에 대한 권한이 있는 액세스
- API 애플리케이션을 만들기 위한 Mimecast의 관리자 권한
IP 허용 목록 구성
피드를 만들기 전에 Mimecast Mail V2 방화벽 또는 네트워크 설정에서 Google SecOps IP 범위를 허용 목록에 추가해야 합니다.
Google SecOps IP 범위 가져오기
- Google IP 주소 범위 JSON 파일에서 IP 범위를 가져옵니다.
Mimecast Mail V2에 IP 범위 추가
- Mimecast 관리 콘솔에 로그인합니다.
- 관리 > 서비스 > 방화벽 정책으로 이동합니다.
- 주소 추가를 클릭합니다.
- 각 Google SecOps IP 범위를 CIDR 표기법으로 입력합니다.
- 작업에 허용을 선택합니다.
- 설명 (예:
Google SecOps Integration)을 입력합니다. - 저장을 클릭합니다.
Mimecast Mail V2 API 액세스 구성
Google SecOps가 Mimecast에서 로그를 가져오도록 하려면 Mimecast 관리 콘솔에 애플리케이션을 등록하고 OAuth 사용자 인증 정보를 획득해야 합니다.
API 애플리케이션 만들기
- Mimecast 관리 콘솔에 로그인합니다.
- 관리 > 서비스 > API 관리 > 애플리케이션으로 이동합니다.
- 추가를 클릭합니다.
- 다음 구성 세부정보를 제공합니다.
- 이름: 설명이 포함된 이름을 입력합니다 (예:
Google SecOps Integration). - 설명 (선택사항): 설명을 입력합니다.
- 유형: OAuth를 선택합니다.
- OAuth 부여 유형: 클라이언트 사용자 인증 정보를 선택합니다.
- URL: Google SecOps 도메인을 입력하거나 비워 둡니다.
- 이름: 설명이 포함된 이름을 입력합니다 (예:
- 액세스 범위에서 필요한 권한을 선택합니다 (필수 API 권한 섹션 참고).
- 저장을 클릭합니다.
API 사용자 인증 정보 생성
- 애플리케이션을 만든 후 목록에서 애플리케이션 이름을 클릭합니다.
- OAuth 탭으로 이동합니다.
- 사용자 인증 정보 만들기를 클릭합니다.
- 표시된 클라이언트 ID와 클라이언트 보안 비밀번호를 기록해 둡니다.
- 닫기를 클릭합니다.
API 사용자 인증 정보 기록
사용자 인증 정보를 생성하면 다음이 제공됩니다.
- 클라이언트 ID: OAuth 2.0 클라이언트 식별자
- 클라이언트 보안 비밀번호: OAuth 2.0 클라이언트 보안 비밀번호
필수 API 권한
API 애플리케이션에는 다음 권한이 필요합니다.
| 권한/범위 | 액세스 수준 | 목적 |
|---|---|---|
| 감사/SIEM | 읽기 | SIEM 로그 데이터 가져오기 |
| 감사/AuditEvents | 읽기 | 감사 이벤트 데이터 가져오기 |
피드 설정
피드를 구성하려면 다음 단계를 따르세요.
- SIEM 설정> 피드로 이동합니다.
- 새 피드 추가를 클릭합니다.
- 다음 페이지에서 단일 피드 구성을 클릭합니다.
- 피드 이름 필드에 피드 이름을 입력합니다(예:
Mimecast Mail Logs). - 소스 유형으로 서드 파티 API를 선택합니다.
- 로그 유형으로 Mimecast Mail V2를 선택합니다.
- 다음을 클릭합니다.
다음 입력 매개변수의 값을 지정합니다.
- OAuth 클라이언트 ID: 이전에 만든 API 애플리케이션의 클라이언트 ID입니다.
- OAuth 클라이언트 보안 비밀번호: 이전에 만든 API 애플리케이션의 클라이언트 보안 비밀번호입니다.
- 애셋 네임스페이스: 애셋 네임스페이스입니다.
- 수집 라벨: 이 피드의 이벤트에 적용할 라벨입니다.
다음을 클릭합니다.
확정 화면에서 새 피드 구성을 검토한 다음 제출을 클릭합니다.
설정이 완료되면 피드가 Mimecast Mail V2 인스턴스에서 로그를 시간순으로 가져오기 시작합니다.
리전 엔드포인트
Mimecast Mail V2는 지역에 따라 다른 API 엔드포인트를 사용합니다.
| 리전 | 기본 URL |
|---|---|
| US | https://us-api.mimecast.com |
| 영국 | https://uk-api.mimecast.com |
| EU | https://eu-api.mimecast.com |
| DE | https://de-api.mimecast.com |
| AU | https://au-api.mimecast.com |
| ZA | https://za-api.mimecast.com |
| CA | https://ca-api.mimecast.com |
| 해외 | https://je-api.mimecast.com |
Mimecast Mail V2 인스턴스 리전에 해당하는 기본 URL을 사용합니다.
UDM 매핑 테이블
| 로그 필드 | UDM 매핑 | 논리 |
|---|---|---|
aCode |
additional_fields.aCode | aCode에서 가져온 값입니다. |
Att_AV |
additional_fields.Att_AV | Att_AV에서 가져온 값입니다. |
Att_Det |
additional_fields.Att_Det | Att_Det에서 가져온 값입니다. |
Att_Enc |
additional_fields.Att_Enc | Att_Enc에서 가져온 값입니다. |
Att_Key |
additional_fields.Att_Key | Att_Key에서 가져온 값입니다. |
Att_Mod |
additional_fields.Att_Mod | Att_Mod에서 가져온 값입니다. |
Att_Orig |
additional_fields.Att_Orig | Att_Orig에서 가져온 값입니다. |
Att_Rem |
additional_fields.Att_Rem | Att_Rem에서 가져온 값입니다. |
Att_State |
additional_fields.Att_State | Att_State에서 가져온 값입니다. |
Att_Type |
additional_fields.Att_Type | Att_Type에서 가져온 값입니다. |
CKS |
additional_fields.CKS | CKS에서 가져온 값입니다. |
Date |
additional_fields.Date | Date에서 가져온 값입니다. |
Delivered |
additional_fields.Delivered | Delivered에서 가져온 값입니다. |
dlp |
additional_fields.dlp | dlp에서 가져온 값입니다. |
Dmarc |
additional_fields.Dmarc | Dmarc에서 가져온 값입니다. |
Enc |
additional_fields.Enc | Enc에서 가져온 값입니다. |
Error_Code |
additional_fields.Error_Code | Error_Code에서 가져온 값입니다. |
Error_Type |
additional_fields.Error_Type | Error_Type에서 가져온 값입니다. |
Grey |
additional_fields.Grey | Grey에서 가져온 값입니다. |
header_id |
additional_fields.header_id | header_id에서 가져온 값입니다. |
Hold_For |
additional_fields.Hold_For | Hold_For에서 가져온 값입니다. |
Hold_Reason |
additional_fields.Hold_Reason | Hold_Reason에서 가져온 값입니다. |
Latency |
additional_fields.Latency | Latency에서 가져온 값입니다. |
Malware_Hash |
additional_fields.Malware_Hash | Malware_Hash에서 가져온 값입니다. |
Malware_Name |
additional_fields.Malware_Name | Malware_Name에서 가져온 값입니다. |
Msg_Key |
additional_fields.Msg_Key | Msg_Key에서 가져온 값입니다. |
MsgSize |
additional_fields.MsgSize | MsgSize에서 가져온 값입니다. |
Policy |
additional_fields.Policy | Policy에서 가져온 값입니다. |
Processing_Time |
additional_fields.Processing_Time | Processing_Time에서 가져온 값입니다. |
Queue_ID |
additional_fields.Queue_ID | Queue_ID에서 가져온 값입니다. |
rcpt_type |
additional_fields.rcpt_type | rcpt_type에서 가져온 값입니다. |
Receipt |
additional_fields.Receipt | Receipt에서 가져온 값입니다. |
sCode |
additional_fields.sCode | sCode에서 가져온 값입니다. |
Sent |
additional_fields.Sent | Sent에서 가져온 값입니다. |
Snt |
additional_fields.Snt | Snt에서 가져온 값입니다. |
spamLimit |
additional_fields.spamLimit | spamLimit에서 가져온 값입니다. |
spamScore |
additional_fields.spamScore | spamScore에서 가져온 값입니다. |
SpamRef |
additional_fields.SpamRef | SpamRef에서 가져온 값입니다. |
Tarpit |
additional_fields.Tarpit | Tarpit에서 가져온 값입니다. |
Time |
additional_fields.Time | Time에서 가져온 값입니다. |
datetime |
metadata.event_timestamp | datetime에서 가져온 값입니다. 또한 원래 datetime 필드가 파싱되어 이벤트의 기본 @timestamp가 설정됩니다. |
| metadata.event_type | NETWORK_EMAIL로 설정합니다. |
|
| metadata.product_event_type | processed_email로 설정합니다. |
|
dir |
network.direction | dir에서 파생됨: In -> INBOUND, Out -> OUTBOUND, Int -> UNKNOWN |
sender, route, hdr_from |
network.email.from | sender, route에서 가져온 값입니다. 그래도 비어 있으면 hdr_from에서 값을 가져옵니다. |
MsgID |
network.email.message_id | MsgID에서 가져온 값입니다. |
subject |
network.email.subject | subject에서 가져온 값입니다. |
rcpt |
network.email.to | rcpt에서 가져온 값을 ','로 분할하여 배열로 만듭니다. |
IP |
principal.ip | IP에서 가져온 값을 ','로 분할하여 배열로 만듭니다. |
hdr_from |
principal.user.email_addresses | hdr_from에서 가져온 값을 ','로 분할하여 배열로 만듭니다. |
act |
security_result.action | act에서 파생됨: Rej, T, Hld, Bnc -> 차단; U, A -> 허용; 그 외에는 알 수 없음 |
Att_Hash |
target.file.md5 | Att_Hash에서 가져온 값입니다. |
Att_Name |
target.file.name | Att_Name에서 가져온 값입니다. |
Att_Size |
target.file.size | Att_Size에서 가져와 정수로 변환된 값입니다. |
URL |
target.url | URL에서 가져온 값입니다. |
rcpt_to |
target.user.email_addresses | rcpt_to에서 가져온 값을 ','로 분할하여 배열로 만듭니다. |
| metadata.product_name | Mail V2로 설정합니다. |
|
| metadata.vendor_name | Mimecast로 설정합니다. |
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.