Recopila registros de la puerta de enlace de correo electrónico seguro de Mimecast

Se admite en los siguientes países:

En este documento, se describe cómo puedes recopilar registros de la puerta de enlace de correo electrónico segura de Mimecast configurando un feed de Google Security Operations.

Para obtener más información, consulta Transferencia de datos a Google Security Operations.

Una etiqueta de transferencia identifica el analizador que normaliza los datos de registro sin procesar al formato estructurado del UDM. La información de este documento se aplica al analizador con la etiqueta de transferencia MIMECAST_MAIL.

Configura la puerta de enlace de correo electrónico seguro de Mimecast

  1. Habilita el registro para la cuenta de acceso.
  2. Crea la aplicación de la API.
  3. Obtén el ID y la clave de la aplicación.

Habilita el registro de la cuenta de acceso

  1. Accede a la consola de Administración de Mimecast.
  2. En el menú Cuenta, haz clic en Configuración de la cuenta.
  3. Expande Registro mejorado.
  4. Selecciona los tipos de registros que deseas habilitar:
    • Entrantes: Registra los mensajes de remitentes externos a destinatarios internos.
    • De salida: Registra los mensajes de remitentes internos a destinatarios externos.
    • Interno: Registra los mensajes dentro de los dominios internos.
  5. Haz clic en Guardar para aplicar los cambios.

Crea la aplicación de la API

  1. Accede a la consola de Administración de Mimecast.
  2. Haz clic en Agregar aplicación de API.
  3. Ingresa los siguientes detalles:
    1. Es el nombre de la aplicación.
    2. Es la descripción de la aplicación.
    3. Categoría: Ingresa una de las siguientes categorías:
      • Integración de SIEM: Proporciona un análisis en tiempo real de las alertas de seguridad que genera la aplicación.
      • Pedidos y aprovisionamiento de MSP: Disponible para que socios seleccionados administren pedidos en el portal de MSP.
      • Correo electrónico o archivado: Se refiere a los mensajes y las alertas almacenados en Mimecast.
      • Inteligencia empresarial: Permite que la infraestructura y las herramientas de la aplicación accedan a la información y la analicen para mejorar y optimizar las decisiones y el rendimiento.
      • Automatización de procesos: Permite automatizar los procesos empresariales.
      • Otro: En caso de que la aplicación no se ajuste a ninguna otra categoría.
  4. Haz clic en Siguiente.
  5. En la sección Configuración, ingresa los siguientes detalles:
    • Nombre del desarrollador: Es el nombre del desarrollador de la aplicación.
    • Email: Es la dirección de correo electrónico del desarrollador de la aplicación.
  6. Haz clic en Siguiente.
  7. Revisa la información que se muestra en la página Resumen.
  8. Para corregir errores, sigue estos pasos:
    • Haz clic en los botones Editar junto a Detalles o Configuración.
    • Haz clic en Siguiente y vuelve a la página Resumen.

Obtén el ID y la clave de la aplicación

  1. Haz clic en Application y, luego, en Services.
  2. Haz clic en API Application.
  3. Selecciona la aplicación de API creada.
  4. Consulta los detalles de la solicitud.

Cómo crear acceso a la API y una clave secreta

Para obtener información sobre cómo generar claves de acceso y secretas, consulta Cómo crear una clave de asociación de usuarios.

Configura un feed en Google Security Operations para transferir los registros de la puerta de enlace de correo electrónico seguro de Mimecast

  1. Haz clic en Configuración de SIEM > Feeds.
  2. Haz clic en Agregar nueva.
  3. Ingresa el Nombre del feed.
  4. Selecciona API de terceros como el Tipo de fuente.
  5. Selecciona Mimecast como el Tipo de registro para crear un feed para la puerta de enlace de correo electrónico segura de Mimecast.
  6. Haz clic en Siguiente.
  7. Para configurar el encabezado HTTP de autenticación, proporciona el ID de aplicación, la clave de acceso, el ID secreto y la clave de aplicación.
  8. Haz clic en Siguiente y, luego, en Enviar.

Para obtener más información sobre los feeds de Google Security Operations, consulta la documentación de los feeds de Google Security Operations. Para obtener información sobre los requisitos de cada tipo de feed, consulta Configuración de feeds por tipo. Si tienes problemas cuando creas feeds, comunícate con el equipo de asistencia de Operaciones de seguridad de Google.

Referencia de la asignación de campos

Este analizador extrae pares clave-valor de los registros del servidor de correo electrónico de Mimecast, clasifica la etapa de entrada de registro (RECEIPT, PROCESSING o DELIVERY) y asigna los campos extraídos a la UDM. También realiza una lógica específica para controlar los campos relacionados con la seguridad, lo que determina la acción, la categoría, la gravedad y los detalles relacionados con el resultado de seguridad en función de valores como Act, RejType, SpamScore y Virus.

Tabla de asignación de la UDM

Campo de registro Asignación de UDM Lógica
acc metadata.product_log_id El valor de acc se asigna a metadata.product_log_id.
Act security_result.action Si Act es "Acc", el valor es "ALLOW". Si Act es “Rej”, el valor es “BLOCK”. Si Act es "Hld" o "Sdbx", el valor es "QUARANTINE".
AttNames about.file.full_path El campo AttNames, después de quitar comillas y espacios, y dividirlo por comas, se asigna a un array de objetos about.file.full_path.
AttSize about.file.size El valor de AttSize se convierte en un número entero sin firma y se asigna a about.file.size.
Cphr datetime metadata.event_timestamp El valor de datetime se analiza como una marca de tiempo y se asigna a metadata.event_timestamp.
Delivered Sin asignación Se usa para determinar stage y product_event_type.
Definition security_result.summary El valor de Definition se asigna a security_result.summary.
Dir network.direction, security_result.detection_fields Si Dir es "Interno" o "Entrante", el valor es "INBOUND". Si Dir es "Externo" o "De salida", el valor es "OUTBOUND". También se agregó como un campo de detección con la clave "network_direction".
Err security_result.summary El valor de Err se asigna a security_result.summary.
Error security_result.summary El valor de Error se asigna a security_result.summary.
fileName principal.process.file.full_path El valor de fileName se asigna a principal.process.file.full_path.
filename_for_malachite principal.resource.name El valor de filename_for_malachite se asigna a principal.resource.name.
headerFrom network.email.from, security_result.detection_fields, principal.user.email_addresses El valor de headerFrom se asigna a network.email.from si Sender no es una dirección de correo electrónico válida. También se agregó como campo de detección con la clave "header_from". Si ni Sender ni headerFrom son direcciones de correo electrónico válidas, headerFrom no se asignará a network.email.from.
IP principal.ip o target.ip El valor de IP se asigna a principal.ip si stage es "RECEIPT" o a target.ip si stage es "DELIVERY".
Latency md5 MsgId network.email.mail_id El valor de MsgId se asigna a network.email.mail_id.
MsgSize network.received_bytes El valor de MsgSize se convierte en un número entero sin firma y se asigna a network.received_bytes.
Rcpt target.user.email_addresses, network.email.to El valor de Rcpt se asigna a target.user.email_addresses y network.email.to.
RcptActType RcptHdrType Recipient network.email.to, target.user.email_addresses El valor de Recipient se asigna a network.email.to si Rcpt no es una dirección de correo electrónico válida.
RejCode security_result.description Contribuye al valor de security_result.description en el formato "RejCode=".
RejInfo security_result.description Contribuye al valor de security_result.description en el formato "RejInfo=".
RejType security_result.description, security_result.category, security_result.category_details, security_result.severity Contribuye al valor de security_result.description en el formato "RejType=". También se usa para determinar security_result.category y security_result.severity. Se asignan directamente a security_result.category_details.
Route security_result.detection_fields Se agregó como un campo de detección con la clave "Ruta".
ScanResultInfo security_result.threat_name El valor de ScanResultInfo se asigna a security_result.threat_name.
Sender network.email.from, security_result.detection_fields, principal.user.email_addresses El valor de Sender se asigna a network.email.from. También se agregó como campo de detección con la clave "Receptor".
SenderDomain sha1 target.file.sha1 El valor de sha1 se asigna a target.file.sha1.
sha256 target.file.sha256 El valor de sha256 se asigna a target.file.sha256.
Size Snt network.sent_bytes El valor de Snt se convierte en un número entero sin firma y se asigna a network.sent_bytes.
SourceIP principal.ip El valor de SourceIP se asigna a principal.ip si stage es "RECEIPT" y IP no está presente.
SpamInfo security_result.severity_details Contribuye al valor de security_result.severity_details en el formato "SpamInfo=".
SpamLimit security_result.severity_details Contribuye al valor de security_result.severity_details en el formato "SpamLimit=".
SpamScore security_result.severity_details, security_result.severity Contribuye al valor de security_result.severity_details en el formato "SpamScore=". También se usa para determinar security_result.severity si no se establece RejType.
Subject network.email.subject El valor de Subject se asigna a network.email.subject.
TlsVer URL UrlCategory UseTls Virus security_result.threat_name El valor de Virus se asigna a security_result.threat_name.
N/A metadata.event_type Establece el valor en "EMAIL_TRANSACTION" si Sender o Recipient/Rcpt son direcciones de correo electrónico válidas; de lo contrario, establece el valor en "GENERIC_EVENT".
N/A metadata.vendor_name Siempre se establece en “Mimecast”.
N/A metadata.product_name Siempre se establece en "MTA de Mimecast".
N/A metadata.product_event_type Establece el valor en "Correo electrónico ", donde la etapa se determina en función de la presencia y los valores de otros campos.
N/A metadata.log_type Siempre se establece en "MIMECAST_MAIL".
N/A security_result.severity Se establece en “LOW” si has_sec_result es falso. De lo contrario, se determina según RejType o SpamScore.

Cambios

2023-03-31

  • Enhancement-
  • Se asignó "filename_for_malachite" a "principal.resource.name".
  • Se asignó "fileName" a "principal.process.file.full_path".
  • Se asignó "sha256" a "target.file.sha256".
  • Se asignó "sha1" a "target.file.sha1".
  • Se agregó la verificación condicional para "aCode".