收集 Mimecast 邮件日志
支持的语言:
Google SecOps
SIEM
本文档介绍了如何通过设置 Google Security Operations Feed 来收集 Mimecast Secure Email Gateway 日志。
如需了解详情,请参阅将数据注入 Google Security Operations。
注入标签用于标识将原始日志数据标准化为结构化 UDM 格式的解析器。本文档中的信息适用于具有 MIMECAST_MAIL 注入标签的解析器。
配置 Mimecast Secure Email Gateway
为登录账号启用日志记录
- 登录 Mimecast 管理控制台。
- 在账号菜单中,点击账号设置。
- 展开增强型日志记录。
- 选择要启用的日志类型:
- 入站:记录外部发件人发送给内部收件人的邮件。
- 出站:记录从内部发件人发送给外部收件人的邮件。
- 内部:记录内部网域中的邮件。
- 点击保存应用更改。
创建 API 应用
- 登录 Mimecast 管理控制台。
- 点击 Add API Application(添加 API 应用)。
- 输入以下详细信息:
- 应用名称。
- 应用的说明。
- 类别:输入以下某个类别:
- SIEM 集成:可对应用生成的安全提醒进行实时分析。
- MSP 订购和配置:供部分合作伙伴在 MSP 门户中管理订单。
- 电子邮件 / 归档:指存储在 Mimecast 中的邮件和提醒。
- 商业智能:使应用的基础设施和工具能够访问和分析信息,从而改进和优化决策和效果。
- 流程自动化:可实现业务流程自动化。
- 其他:如果应用不属于任何其他类别,请选择此类别。
- 点击下一步。
- 为以下输入参数指定值:
- 身份验证 HTTP 标头配置:以以下格式输入身份验证详细信息:
secret_key:{Access Secret}
access_key:{Access key}
app_id:{Application ID}
app_key:{application key} - API 主机名:Mimecast API 端点的完全限定域名。典型格式为
xx-api.mimecast.com。如果未提供,则在美国和欧洲将是特定于区域的。对于其他区域,此字段不能为空。 - 资源命名空间:资源命名空间。
- 注入标签:应用于此 Feed 中事件的标签。
- 身份验证 HTTP 标头配置:以以下格式输入身份验证详细信息:
- 点击下一步。
- 查看摘要页面上显示的信息。
- 如需修正错误,请按以下步骤操作:
- 点击详细信息或设置旁边的修改按钮。
- 点击下一步,然后再次前往摘要页面。
获取应用 ID 和应用密钥
- 点击应用,然后点击服务。
- 点击 API 应用。
- 选择已创建的 API 应用。
- 查看申请详情。
创建 API 访问密钥和密钥
如需了解如何生成访问密钥和密钥,请参阅创建用户关联密钥。
设置 Feed
如需配置此日志类型,请按以下步骤操作:
- 依次前往 SIEM 设置> Feed。
- 点击添加新 Feed。
- 点击 Mimecast Feed 包。
为以下字段指定值:
- 来源类型:第三方 API(推荐)
- 身份验证 HTTP 标头:提供应用 ID、访问密钥、密钥 ID 和应用密钥。
- API 主机名:指定 Mimecast 主机的域名。
高级选项
- Feed 名称:用于标识 Feed 的预填充值。
- 资产命名空间:与 Feed 关联的命名空间。
- 提取标签:应用于相应 Feed 中所有事件的标签。
点击创建 Feed。
如需详细了解如何为相应产品系列中的不同日志类型配置多个 Feed,请参阅按产品配置 Feed。
字段映射参考
此解析器从 Mimecast 电子邮件服务器日志中提取键值对,对日志条目阶段(接收、处理或传送)进行分类,并将提取的字段映射到 UDM。它还会执行特定逻辑来处理与安全相关的字段,并根据 Act、RejType、SpamScore 和 Virus 等值确定安全结果操作、类别、严重程度和相关详细信息。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
acc |
metadata.product_log_id |
原始日志中的 acc 值映射到 metadata.product_log_id。 |
Act |
security_result.action |
如果 Act 为 Acc,则 UDM 字段设置为 ALLOW。如果 Act 为 Rej,则 UDM 字段设置为 BLOCK。如果 Act 为 Hld 或 Sdbx,则 UDM 字段设置为 QUARANTINE。 |
AttNames |
about.file.full_path |
系统会解析 AttNames 字段,移除引号和空格,并将其拆分为各个文件名。然后,每个文件名都会映射到 about 对象中的单独 about.file.full_path 字段。 |
AttSize |
about.file.size |
AttSize 的值会转换为无符号整数并映射到 about.file.size。 |
Dir |
network.direction |
如果 Dir 为 Internal 或 Inbound,则 UDM 字段设置为 INBOUND。如果 Dir 为 External 或 Outbound,则 UDM 字段设置为 OUTBOUND。还用于在 security_result 中填充 detection_fields 条目。 |
Err |
security_result.summary |
Err 的值映射到 security_result.summary。 |
Error |
security_result.summary |
Error 的值映射到 security_result.summary。 |
fileName |
principal.process.file.full_path |
fileName 的值映射到 principal.process.file.full_path。 |
filename_for_malachite |
principal.resource.name |
filename_for_malachite 的值映射到 principal.resource.name。 |
headerFrom |
network.email.from |
如果 Sender 不是有效的电子邮件地址,则 headerFrom 的值会映射到 network.email.from。还用于在 security_result 中填充 detection_fields 条目。 |
IP |
principal.ip 或 target.ip |
如果 stage 为 RECEIPT,则 IP 的值会映射到 principal.ip。如果 stage 为 DELIVERY,则 IP 的值会映射到 target.ip。 |
MsgId |
network.email.mail_id |
MsgId 的值映射到 network.email.mail_id。 |
MsgSize |
network.received_bytes |
MsgSize 的值会转换为无符号整数并映射到 network.received_bytes。 |
Rcpt |
target.user.email_addresses,network.email.to |
将 Rcpt 的值添加到 target.user.email_addresses。如果 Rcpt 是有效的电子邮件地址,则还会将其添加到 network.email.to。 |
Recipient |
network.email.to |
如果 Rcpt 不是有效的电子邮件地址,则将 Recipient 的值添加到 network.email.to。 |
RejCode |
security_result.description |
用作 security_result.description 字段的一部分。 |
RejInfo |
security_result.description |
用作 security_result.description 字段的一部分。 |
RejType |
security_result.description,security_result.category_details |
用作 security_result.description 字段的一部分。RejType 的值也会映射到 security_result.category_details。用于确定 security_result.category 和 security_result.severity。 |
Sender |
principal.user.email_addresses,network.email.from |
将 Sender 的值添加到 principal.user.email_addresses。如果 Sender 是有效的电子邮件地址,则也会映射到 network.email.from。还用于在 security_result 中填充 detection_fields 条目。 |
Snt |
network.sent_bytes |
Snt 的值会转换为无符号整数并映射到 network.sent_bytes。 |
SourceIP |
principal.ip |
如果 stage 为 RECEIPT 且 IP 为空,则 SourceIP 的值会映射到 principal.ip。 |
SpamInfo |
security_result.severity_details |
用作 security_result.severity_details 字段的一部分。 |
SpamLimit |
security_result.severity_details |
用作 security_result.severity_details 字段的一部分。 |
SpamScore |
security_result.severity_details |
用作 security_result.severity_details 字段的一部分。如果未设置 RejType,此属性还用于确定 security_result.severity。 |
Subject |
network.email.subject |
Subject 的值映射到 network.email.subject。 |
Virus |
security_result.threat_name |
Virus 的值映射到 security_result.threat_name。默认设置为 EMAIL_TRANSACTION,但如果 Sender 和 Recipient/Rcpt 都不是有效的电子邮件地址,则更改为 GENERIC_EVENT。始终设置为 Mimecast。始终设置为 Mimecast MTA。设置为 Email %{stage},其中 stage 根据其他日志字段的存在情况和值来确定。始终设置为 MIMECAST_MAIL。根据 RejType 或 SpamScore 设置。如果两者均不可用,则默认为 LOW。 |
sha1 |
target.file.sha1 |
sha1 的值映射到 target.file.sha1。 |
sha256 |
target.file.sha256 |
sha256 的值映射到 target.file.sha256。 |
ScanResultInfo |
security_result.threat_name |
ScanResultInfo 的值映射到 security_result.threat_name。 |
Definition |
security_result.summary |
Definition 的值映射到 security_result.summary。 |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。