Halaman ini diterjemahkan oleh Cloud Translation API.

Mengumpulkan log Mimecast Mail

Didukung di:

Google secops Siem

Dokumen ini menjelaskan cara menyerap log Mimecast Mail ke Google Security Operations menggunakan API. Parser ini mengekstrak pasangan nilai kunci dari log server email Mimecast, mengategorikan tahap log (RECEIPT, PROCESSING, atau DELIVERY), dan memetakan kolom yang diekstrak ke UDM. Fungsi ini juga menjalankan logika tertentu untuk menangani hasil keamanan, termasuk menentukan tindakan, kategori, tingkat keparahan, dan informasi ancaman berdasarkan berbagai kolom seperti Act, RejType, SpamScore, dan Virus.

Sebelum memulai

Pastikan Anda memiliki instance Google SecOps.
Pastikan Anda memiliki akses dengan hak istimewa ke Mimecast Mail.

Mengonfigurasi Logging di Mimecast

Login ke Konsol Administrasi Mimecast.
Buka Administrasi > Akun > Setelan Akun.
Pilih Logging yang Disempurnakan.
Aktifkan jenis log berikut:
- Masuk
- Keluar
- Internal
Klik Simpan.

Mengonfigurasi API di Mimecast

Buka Layanan > Integrasi API dan Platform.
Cari Mimecast API 1.0, lalu klik Buat Kunci.
Berikan detail konfigurasi berikut:
- Nama Aplikasi: (misalnya, Google SecOps).
- Kategori: pilih Integrasi SIEM.
- Aktifkan Sesi yang Diperpanjang di Aplikasi Layanan.
- Deskripsi: (misalnya, Google SecOps API integration).
- Klik Berikutnya.
Berikan detail konfigurasi Notifikasi berikut:
- Developer: masukkan nama kontak (POC) teknis.
- Email: masukkan alamat email untuk kontak dukungan teknis.
- Klik Berikutnya.
Tinjau informasi Ringkasan, lalu klik Tambahkan.
Salin dan simpan ID Aplikasi dan Kunci Aplikasi.

Mengonfigurasi Akses Pengguna dan Kunci Rahasia di Mimecast

Klik API Application yang baru didaftarkan dari daftar aplikasi.
Klik Buat Kunci.
Berikan detail konfigurasi berikut:
- Alamat Email: masukkan alamat email akun pengguna administrator khusus.
- Klik Berikutnya.
- Authentication Type: pilih Cloud atau Domain, bergantung pada metode autentikasi yang dikonfigurasi.
- Sandi: masukkan sandi untuk pengguna administrator khusus.
- Klik Berikutnya.
- Salin kunci Akses dan Rahasia.
- Klik Berikutnya untuk keluar dari wizard.

Mengonfigurasi feed di Google SecOps untuk menyerap log Mimecast Mail

Buka Setelan SIEM > Feed.
Klik Tambahkan baru.
Di kolom Feed name, masukkan nama untuk feed; misalnya, Mimecast Mail Logs.
Pilih Third party API sebagai Source type.
Pilih Mimecast sebagai Jenis log.
Klik Berikutnya.
Tentukan nilai untuk parameter input berikut:
- Konfigurasi Header HTTP Autentikasi: masukkan detail autentikasi dalam format berikut: secret_key:{Access Secret}
  access_key:{Access key}
  app_id:{Application ID}
  app_key:{application key}
- Nama Host API: nama domain yang sepenuhnya memenuhi syarat dari endpoint Mimecast API Anda. Format umumnya adalah xx-api.mimecast.com. Jika tidak diberikan, nilai ini akan spesifik per wilayah di Amerika Serikat dan Eropa. Kolom ini tidak boleh kosong untuk wilayah lain.
- Namespace aset: namespace aset.
- Label penyerapan: label yang diterapkan ke peristiwa dari feed ini.
Klik Berikutnya.
Tinjau konfigurasi feed di layar Finalize, lalu klik Submit.

Tabel Pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
`acc`	`metadata.product_log_id`	Nilai `acc` dari log mentah dipetakan ke `metadata.product_log_id`.
`Act`	`security_result.action`	Jika `Act` adalah `Acc`, kolom UDM ditetapkan ke `ALLOW`. Jika `Act` adalah `Rej`, kolom UDM ditetapkan ke `BLOCK`. Jika `Act` adalah `Hld` atau `Sdbx`, kolom UDM ditetapkan ke `QUARANTINE`.
`AttNames`	`about.file.full_path`	Kolom `AttNames` diuraikan, menghapus tanda kutip dan spasi, serta dibagi menjadi nama file individual. Setiap nama file kemudian dipetakan ke kolom `about.file.full_path` terpisah dalam objek `about`.
`AttSize`	`about.file.size`	Nilai `AttSize` dikonversi menjadi bilangan bulat tanpa tanda tangan dan dipetakan ke `about.file.size`.
`Dir`	`network.direction`	Jika `Dir` adalah `Internal` atau `Inbound`, kolom UDM ditetapkan ke `INBOUND`. Jika `Dir` adalah `External` atau `Outbound`, kolom UDM ditetapkan ke `OUTBOUND`. Juga digunakan untuk mengisi entri `detection_fields` di `security_result`.
`Err`	`security_result.summary`	Nilai `Err` dipetakan ke `security_result.summary`.
`Error`	`security_result.summary`	Nilai `Error` dipetakan ke `security_result.summary`.
`fileName`	`principal.process.file.full_path`	Nilai `fileName` dipetakan ke `principal.process.file.full_path`.
`filename_for_malachite`	`principal.resource.name`	Nilai `filename_for_malachite` dipetakan ke `principal.resource.name`.
`headerFrom`	`network.email.from`	Nilai `headerFrom` dipetakan ke `network.email.from` jika `Sender` bukan alamat email yang valid. Juga digunakan untuk mengisi entri `detection_fields` di `security_result`.
`IP`	`principal.ip` atau `target.ip`	Jika `stage` adalah `RECEIPT`, nilai `IP` akan dipetakan ke `principal.ip`. Jika `stage` adalah `DELIVERY`, nilai `IP` akan dipetakan ke `target.ip`.
`MsgId`	`network.email.mail_id`	Nilai `MsgId` dipetakan ke `network.email.mail_id`.
`MsgSize`	`network.received_bytes`	Nilai `MsgSize` dikonversi menjadi bilangan bulat tanpa tanda tangan dan dipetakan ke `network.received_bytes`.
`Rcpt`	`target.user.email_addresses`, `network.email.to`	Nilai `Rcpt` ditambahkan ke `target.user.email_addresses`. Jika `Rcpt` adalah alamat email yang valid, alamat tersebut juga akan ditambahkan ke `network.email.to`.
`Recipient`	`network.email.to`	Nilai `Recipient` ditambahkan ke `network.email.to` jika `Rcpt` bukan alamat email yang valid.
`RejCode`	`security_result.description`	Digunakan sebagai bagian dari kolom `security_result.description`.
`RejInfo`	`security_result.description`	Digunakan sebagai bagian dari kolom `security_result.description`.
`RejType`	`security_result.description`, `security_result.category_details`	Digunakan sebagai bagian dari kolom `security_result.description`. Nilai `RejType` juga dipetakan ke `security_result.category_details`. Digunakan untuk menentukan `security_result.category` dan `security_result.severity`.
`Sender`	`principal.user.email_addresses`, `network.email.from`	Nilai `Sender` ditambahkan ke `principal.user.email_addresses`. Jika `Sender` adalah alamat email yang valid, alamat tersebut juga akan dipetakan ke `network.email.from`. Juga digunakan untuk mengisi entri `detection_fields` di `security_result`.
`Snt`	`network.sent_bytes`	Nilai `Snt` dikonversi menjadi bilangan bulat tanpa tanda tangan dan dipetakan ke `network.sent_bytes`.
`SourceIP`	`principal.ip`	Jika `stage` adalah `RECEIPT` dan `IP` kosong, nilai `SourceIP` akan dipetakan ke `principal.ip`.
`SpamInfo`	`security_result.severity_details`	Digunakan sebagai bagian dari kolom `security_result.severity_details`.
`SpamLimit`	`security_result.severity_details`	Digunakan sebagai bagian dari kolom `security_result.severity_details`.
`SpamScore`	`security_result.severity_details`	Digunakan sebagai bagian dari kolom `security_result.severity_details`. Juga digunakan untuk menentukan `security_result.severity` jika `RejType` tidak ditetapkan.
`Subject`	`network.email.subject`	Nilai `Subject` dipetakan ke `network.email.subject`.
`Virus`	`security_result.threat_name`	Nilai `Virus` dipetakan ke `security_result.threat_name`. Ditetapkan ke `EMAIL_TRANSACTION` secara default, tetapi diubah menjadi `GENERIC_EVENT` jika `Sender` atau `Recipient`/`Rcpt` bukan alamat email yang valid. Selalu ditetapkan ke `Mimecast`. Selalu ditetapkan ke `Mimecast MTA`. Tetapkan ke `Email %{stage}`, dengan `stage` ditentukan berdasarkan keberadaan dan nilai kolom log lainnya. Selalu ditetapkan ke `MIMECAST_MAIL`. Tetapkan berdasarkan `RejType` atau `SpamScore`. Secara default ke `LOW` jika keduanya tidak tersedia.
`sha1`	`target.file.sha1`	Nilai `sha1` dipetakan ke `target.file.sha1`.
`sha256`	`target.file.sha256`	Nilai `sha256` dipetakan ke `target.file.sha256`.
`ScanResultInfo`	`security_result.threat_name`	Nilai `ScanResultInfo` dipetakan ke `security_result.threat_name`.
`Definition`	`security_result.summary`	Nilai `Definition` dipetakan ke `security_result.summary`.

Perubahan

2025-02-06

Peningkatan:

Mengubah pemetaan filename_for_malachite dari target.process.file.full_path menjadi principal.resource.name.
Mengubah pemetaan fileName dari principal.process.file.full_path menjadi target.process.file.full_path.

2025-01-23

Peningkatan:

Memetakan md5 ke target.file.md5.
Mengubah pemetaan filename_for_malachite dari principal.resource.name menjadi target.process.file.full_path.
Memetakan urlCategory ke principal.url_metadata.categories.
Memetakan credentialTheft ke security_result.detection_fields.
Memetakan reason ke security_result.summary.

2024-11-13

Peningkatan:

Memetakan URL ke principal.url.

2024-08-05

Peningkatan:

Memetakan sourceIp ke principal.ip dan principal.asset.ip.
Memetakan url ke principal.url.
Memetakan msgid ke network.email.mail_id.
Memetakan subject ke network.email.subject.
Memetakan senderDomain, AttNames, dan AttCnt ke security_result.detection_fields.

2023-03-31

Peningkatan:

Memetakan filename_for_malachite ke principal.resource.name.
Memetakan fileName ke principal.process.file.full_path.
Memetakan sha256 ke target.file.sha256.
Memetakan sha1 ke target.file.sha1.
Menambahkan pemeriksaan bersyarat untuk aCode.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.