Recopila registros de la puerta de enlace de correo electrónico seguro de Mimecast
En este documento, se describe cómo puedes recopilar registros de la puerta de enlace de correo electrónico segura de Mimecast configurando un feed de Google Security Operations.
Para obtener más información, consulta Transferencia de datos a Google Security Operations.
Una etiqueta de transferencia identifica el analizador que normaliza los datos de registro sin procesar al formato estructurado del UDM. La información de este documento se aplica al analizador con la etiqueta de transferencia MIMECAST_MAIL
.
Configura la puerta de enlace de correo electrónico seguro de Mimecast
- Habilita el registro para la cuenta de acceso.
- Crea la aplicación de la API.
- Obtén el ID y la clave de la aplicación.
Habilita el registro de la cuenta de acceso
- Accede a la consola de Administración de Mimecast.
- En el menú Cuenta, haz clic en Configuración de la cuenta.
- Expande Registro mejorado.
- Selecciona los tipos de registros que deseas habilitar:
- Entrantes: Registra los mensajes de remitentes externos a destinatarios internos.
- De salida: Registra los mensajes de remitentes internos a destinatarios externos.
- Interno: Registra los mensajes dentro de los dominios internos.
- Haz clic en Guardar para aplicar los cambios.
Crea la aplicación de la API
- Accede a la consola de Administración de Mimecast.
- Haz clic en Agregar aplicación de API.
- Ingresa los siguientes detalles:
- Es el nombre de la aplicación.
- Es la descripción de la aplicación.
- Categoría: Ingresa una de las siguientes categorías:
- Integración de SIEM: Proporciona un análisis en tiempo real de las alertas de seguridad que genera la aplicación.
- Pedidos y aprovisionamiento de MSP: Disponible para que socios seleccionados administren pedidos en el portal de MSP.
- Correo electrónico o archivado: Se refiere a los mensajes y las alertas almacenados en Mimecast.
- Inteligencia empresarial: Permite que la infraestructura y las herramientas de la aplicación accedan a la información y la analicen para mejorar y optimizar las decisiones y el rendimiento.
- Automatización de procesos: Permite automatizar los procesos empresariales.
- Otro: En caso de que la aplicación no se ajuste a ninguna otra categoría.
- Haz clic en Siguiente.
- En la sección Configuración, ingresa los siguientes detalles:
- Nombre del desarrollador: Es el nombre del desarrollador de la aplicación.
- Email: Es la dirección de correo electrónico del desarrollador de la aplicación.
- Haz clic en Siguiente.
- Revisa la información que se muestra en la página Resumen.
- Para corregir errores, sigue estos pasos:
- Haz clic en los botones Editar junto a Detalles o Configuración.
- Haz clic en Siguiente y vuelve a la página Resumen.
Obtén el ID y la clave de la aplicación
- Haz clic en Application y, luego, en Services.
- Haz clic en API Application.
- Selecciona la aplicación de API creada.
- Consulta los detalles de la solicitud.
Cómo crear acceso a la API y una clave secreta
Para obtener información sobre cómo generar claves de acceso y secretas, consulta Cómo crear una clave de asociación de usuarios.
Configura un feed en Google Security Operations para transferir los registros de la puerta de enlace de correo electrónico seguro de Mimecast
- Haz clic en Configuración de SIEM > Feeds.
- Haz clic en Agregar nueva.
- Ingresa el Nombre del feed.
- Selecciona API de terceros como el Tipo de fuente.
- Selecciona Mimecast como el Tipo de registro para crear un feed para la puerta de enlace de correo electrónico segura de Mimecast.
- Haz clic en Siguiente.
- Para configurar el encabezado HTTP de autenticación, proporciona el ID de aplicación, la clave de acceso, el ID secreto y la clave de aplicación.
- Haz clic en Siguiente y, luego, en Enviar.
Para obtener más información sobre los feeds de Google Security Operations, consulta la documentación de los feeds de Google Security Operations. Para obtener información sobre los requisitos de cada tipo de feed, consulta Configuración de feeds por tipo. Si tienes problemas cuando creas feeds, comunícate con el equipo de asistencia de Operaciones de seguridad de Google.
Referencia de la asignación de campos
Este analizador extrae pares clave-valor de los registros del servidor de correo electrónico de Mimecast, clasifica la etapa de entrada de registro (RECEIPT, PROCESSING o DELIVERY) y asigna los campos extraídos a la UDM. También realiza una lógica específica para controlar los campos relacionados con la seguridad, lo que determina la acción, la categoría, la gravedad y los detalles relacionados con el resultado de seguridad en función de valores como Act
, RejType
, SpamScore
y Virus
.
Tabla de asignación de la UDM
Campo de registro | Asignación de UDM | Lógica |
---|---|---|
acc |
metadata.product_log_id |
El valor de acc se asigna a metadata.product_log_id . |
Act |
security_result.action |
Si Act es "Acc", el valor es "ALLOW". Si Act es “Rej”, el valor es “BLOCK”. Si Act es "Hld" o "Sdbx", el valor es "QUARANTINE". |
AttNames |
about.file.full_path |
El campo AttNames , después de quitar comillas y espacios, y dividirlo por comas, se asigna a un array de objetos about.file.full_path . |
AttSize |
about.file.size |
El valor de AttSize se convierte en un número entero sin firma y se asigna a about.file.size . |
Cphr datetime |
metadata.event_timestamp |
El valor de datetime se analiza como una marca de tiempo y se asigna a metadata.event_timestamp . |
Delivered |
Sin asignación | Se usa para determinar stage y product_event_type . |
Definition |
security_result.summary |
El valor de Definition se asigna a security_result.summary . |
Dir |
network.direction , security_result.detection_fields |
Si Dir es "Interno" o "Entrante", el valor es "INBOUND". Si Dir es "Externo" o "De salida", el valor es "OUTBOUND". También se agregó como un campo de detección con la clave "network_direction". |
Err |
security_result.summary |
El valor de Err se asigna a security_result.summary . |
Error |
security_result.summary |
El valor de Error se asigna a security_result.summary . |
fileName |
principal.process.file.full_path |
El valor de fileName se asigna a principal.process.file.full_path . |
filename_for_malachite |
principal.resource.name |
El valor de filename_for_malachite se asigna a principal.resource.name . |
headerFrom |
network.email.from , security_result.detection_fields , principal.user.email_addresses |
El valor de headerFrom se asigna a network.email.from si Sender no es una dirección de correo electrónico válida. También se agregó como campo de detección con la clave "header_from". Si ni Sender ni headerFrom son direcciones de correo electrónico válidas, headerFrom no se asignará a network.email.from . |
IP |
principal.ip o target.ip |
El valor de IP se asigna a principal.ip si stage es "RECEIPT" o a target.ip si stage es "DELIVERY". |
Latency md5 MsgId |
network.email.mail_id |
El valor de MsgId se asigna a network.email.mail_id . |
MsgSize |
network.received_bytes |
El valor de MsgSize se convierte en un número entero sin firma y se asigna a network.received_bytes . |
Rcpt |
target.user.email_addresses , network.email.to |
El valor de Rcpt se asigna a target.user.email_addresses y network.email.to . |
RcptActType RcptHdrType Recipient |
network.email.to , target.user.email_addresses |
El valor de Recipient se asigna a network.email.to si Rcpt no es una dirección de correo electrónico válida. |
RejCode |
security_result.description |
Contribuye al valor de security_result.description en el formato "RejCode= |
RejInfo |
security_result.description |
Contribuye al valor de security_result.description en el formato "RejInfo= |
RejType |
security_result.description , security_result.category , security_result.category_details , security_result.severity |
Contribuye al valor de security_result.description en el formato "RejType=security_result.category y security_result.severity . Se asignan directamente a security_result.category_details . |
Route |
security_result.detection_fields |
Se agregó como un campo de detección con la clave "Ruta". |
ScanResultInfo |
security_result.threat_name |
El valor de ScanResultInfo se asigna a security_result.threat_name . |
Sender |
network.email.from , security_result.detection_fields , principal.user.email_addresses |
El valor de Sender se asigna a network.email.from . También se agregó como campo de detección con la clave "Receptor". |
SenderDomain sha1 |
target.file.sha1 |
El valor de sha1 se asigna a target.file.sha1 . |
sha256 |
target.file.sha256 |
El valor de sha256 se asigna a target.file.sha256 . |
Size Snt |
network.sent_bytes |
El valor de Snt se convierte en un número entero sin firma y se asigna a network.sent_bytes . |
SourceIP |
principal.ip |
El valor de SourceIP se asigna a principal.ip si stage es "RECEIPT" y IP no está presente. |
SpamInfo |
security_result.severity_details |
Contribuye al valor de security_result.severity_details en el formato "SpamInfo= |
SpamLimit |
security_result.severity_details |
Contribuye al valor de security_result.severity_details en el formato "SpamLimit= |
SpamScore |
security_result.severity_details , security_result.severity |
Contribuye al valor de security_result.severity_details en el formato "SpamScore=security_result.severity si no se establece RejType . |
Subject |
network.email.subject |
El valor de Subject se asigna a network.email.subject . |
TlsVer URL UrlCategory UseTls Virus |
security_result.threat_name |
El valor de Virus se asigna a security_result.threat_name . |
N/A | metadata.event_type |
Establece el valor en "EMAIL_TRANSACTION" si Sender o Recipient /Rcpt son direcciones de correo electrónico válidas; de lo contrario, establece el valor en "GENERIC_EVENT". |
N/A | metadata.vendor_name |
Siempre se establece en “Mimecast”. |
N/A | metadata.product_name |
Siempre se establece en "MTA de Mimecast". |
N/A | metadata.product_event_type |
Establece el valor en "Correo electrónico |
N/A | metadata.log_type |
Siempre se establece en "MIMECAST_MAIL". |
N/A | security_result.severity |
Se establece en “LOW” si has_sec_result es falso. De lo contrario, se determina según RejType o SpamScore . |
Cambios
2023-03-31
- Enhancement-
- Se asignó "filename_for_malachite" a "principal.resource.name".
- Se asignó "fileName" a "principal.process.file.full_path".
- Se asignó "sha256" a "target.file.sha256".
- Se asignó "sha1" a "target.file.sha1".
- Se agregó la verificación condicional para "aCode".