收集 Cisco Secure Email Gateway 記錄
支援的國家/地區:
Google SecOps
SIEM
本文說明如何使用 Google Security Operations 轉送器收集 Cisco Secure Email Gateway 記錄。
詳情請參閱「將資料擷取至 Google SecOps」。
擷取標籤會識別剖析器,該剖析器會將原始記錄資料正規化為結構化 UDM 格式。本文件中的資訊適用於具有 CISCO-EMAIL-SECURITY 攝入標籤的剖析器。
設定 Cisco Secure Email Gateway
- 在 Cisco Secure Email Gateway 控制台中,依序選取「System administration」>「Log subscriptions」。
- 在「New log subscription」(新增記錄訂閱項目) 視窗中,執行下列操作來新增記錄訂閱項目:
- 在「記錄類型」欄位中,選取「合併事件記錄」。
- 在「Available log fields」(可用的記錄檔欄位) 部分,選取所有可用的欄位,然後按一下「Add」(新增),將這些欄位移至「Selected log fields」(選取的記錄檔欄位)。
- 如要為記錄訂閱項目選取記錄擷取方法,請選取「Syslog push」(系統記錄推送),然後執行下列操作:
- 在「主機名稱」欄位中,指定 Google SecOps 轉寄程式 IP 位址。
- 在「Protocol」(通訊協定) 欄位中,選取「TCP」核取方塊。
- 在「設施」欄位中,使用預設值。
- 如要儲存設定變更,請按一下「提交」。
設定 Google SecOps 轉寄器,擷取 Cisco Secure Email Gateway
- 依序前往「SIEM 設定」>「轉送器」。
- 按一下「新增轉送站」
- 在「轉送器名稱」欄位中,輸入轉送器的專屬名稱。
- 按一下「提交」。轉送器新增完成後,系統會顯示「新增收集器設定」視窗。
- 在「收集器名稱」欄位中輸入名稱。
- 選取「Cisco Email Security」做為「記錄類型」。
- 在「收集器類型」欄位中,選取「Syslog」。
- 設定下列必要輸入參數:
- 通訊協定:指定收集器用來監聽系統記錄資料的連線通訊協定。
- 地址:指定收集器所在位置的目標 IP 位址或主機名稱,並監聽系統記錄資料。
- 通訊埠:指定收集器所在位置的目標通訊埠,並監聽系統記錄資料。
- 按一下「提交」。
如要進一步瞭解 Google SecOps 轉送器,請參閱「透過 Google SecOps 使用者介面管理轉送器設定」。
如果在建立轉寄者時遇到問題,請與 Google SecOps 支援團隊聯絡。
欄位對應參考資料
這個剖析器會處理結構化 (JSON、鍵/值組合) 和非結構化 (系統記錄) 的 Cisco Email Security 記錄。這項功能會根據 grok 欄位,運用 grok 模式、鍵值擷取和條件式邏輯,將各種記錄檔格式正規化為 UDM,並將相關的 Cisco ESA 欄位對應至 UDM。product_event此外,這項服務也會執行資料擴充作業,例如轉換時間戳記及處理重複訊息。
UDM 對應表
| 記錄欄位 | UDM 對應 | 邏輯 |
|---|---|---|
acl_decision_tag |
read_only_udm.security_result.detection_fields.value |
如果不是空白、"-" 或「NONE」,則直接對應。鍵為「ACL Decision Tag」。 |
access_or_decryption_policy_group |
read_only_udm.security_result.detection_fields.value |
如果不是空白、"-" 或「NONE」,則直接對應。索引鍵為「AccessOrDecryptionPolicyGroup」。 |
act |
read_only_udm.security_result.action_details |
直接對應。 |
authenticated_user |
read_only_udm.principal.user.userid |
如果不是空白、"-" 或「NONE」,則直接對應。 |
cache_hierarchy_retrieval |
read_only_udm.security_result.detection_fields.value |
如果不是空白、"-" 或「NONE」,則直接對應。索引鍵為「Cache Hierarchy Retrieval」。 |
cipher |
read_only_udm.network.tls.cipher |
直接對應。 |
country |
read_only_udm.principal.location.country_or_region |
直接對應。 |
data_security_policy_group |
read_only_udm.security_result.detection_fields.value |
如果不是空白、"-" 或「NONE」,則直接對應。鍵為「DataSecurityPolicyGroup」。 |
description |
read_only_udm.metadata.description |
直接對應於系統記錄訊息。如果是 CEF 訊息,則會成為整體產品說明。各種 grok 模式會根據 product_event 擷取特定說明。gsub 會修改部分說明,移除開頭/結尾的空格和半形冒號。 |
deviceDirection |
read_only_udm.network.direction |
如果是「0」,則對應至「INBOUND」。如果為「1」,則對應至「OUTBOUND」。用來判斷要直接對應哪些 TLS 密碼和通訊協定,以及要對應哪些標籤。 |
deviceExternalId |
read_only_udm.principal.asset.asset_id |
對應為「裝置 ID: |
domain |
read_only_udm.target.administrative_domain |
直接從 JSON 記錄對應。 |
domain_age |
read_only_udm.security_result.about.labels.value |
直接對應。金鑰為「YoungestDomainAge」。 |
duser |
read_only_udm.target.user.email_addresses、read_only_udm.network.email.to |
如果包含「;」,請分割成多個電子郵件地址,並將每個地址對應至兩個 UDM 欄位。否則,如果電子郵件地址有效,請直接對應至這兩個 UDM 欄位。如果 network_to 為空,也會用來填入該欄位。 |
dvc |
read_only_udm.target.ip |
直接對應。 |
entries.collection_time.nanos、entries.collection_time.seconds |
read_only_udm.metadata.event_timestamp.nanos、read_only_udm.metadata.event_timestamp.seconds |
用於建構事件時間戳記。 |
env-from |
read_only_udm.additional.fields.value.string_value |
直接對應。金鑰為「Env-From」。 |
ESAAttachmentDetails |
read_only_udm.security_result.about.file.full_path、read_only_udm.security_result.about.file.sha256 |
並剖析以擷取檔案名稱和 SHA256 雜湊值。您可以擷取多個檔案和雜湊值。 |
ESADCID |
read_only_udm.security_result.about.labels.value |
直接對應。金鑰為「ESADCID」。 |
ESAFriendlyFrom |
read_only_udm.principal.user.user_display_name、read_only_udm.network.email.from |
剖析以擷取顯示名稱和電子郵件地址。 |
ESAHeloDomain |
read_only_udm.intermediary.administrative_domain |
直接對應。 |
ESAHeloIP |
read_only_udm.intermediary.ip |
直接對應。 |
ESAICID |
read_only_udm.security_result.about.labels.value |
直接對應。金鑰為「ESAICID」。 |
ESAMailFlowPolicy |
read_only_udm.security_result.rule_name |
直接對應。 |
ESAMID |
read_only_udm.security_result.about.labels.value |
直接對應。金鑰為「ESAMID」。 |
ESAReplyTo |
read_only_udm.network.email.reply_to |
如果電子郵件地址有效,則直接對應。也用於填入 network_to。 |
ESASDRDomainAge |
read_only_udm.security_result.about.labels.value |
直接對應。金鑰為「ESASDRDomainAge」。 |
ESASenderGroup |
read_only_udm.principal.group.group_display_name |
直接對應。 |
ESAStatus |
read_only_udm.security_result.about.labels.value |
直接對應。金鑰為「ESAStatus」。 |
ESATLSInCipher |
read_only_udm.network.tls.cipher或read_only_udm.security_result.about.labels.value |
如果 deviceDirection 為「0」,則直接對應至密碼。否則會對應為索引鍵為「ESATLSInCipher」的標籤。 |
ESATLSInProtocol |
read_only_udm.network.tls.version或read_only_udm.security_result.about.labels.value |
如果 deviceDirection 為「0」,系統會直接擷取並對應 TLS 版本。否則,會對應為鍵為「ESATLSInProtocol」的標籤。 |
ESATLSOutCipher |
read_only_udm.network.tls.cipher或read_only_udm.security_result.about.labels.value |
如果 deviceDirection 為「1」,則直接對應至密碼。否則會對應為索引鍵為「ESATLSOutCipher」的標籤。 |
ESATLSOutProtocol |
read_only_udm.network.tls.version或read_only_udm.security_result.about.labels.value |
如果 deviceDirection 為「1」,系統會直接擷取並對應 TLS 版本。否則會對應為標籤,並以「ESATLSOutProtocol」做為鍵。 |
ESAURLDetails |
read_only_udm.target.url |
剖析以擷取網址。由於欄位不會重複,因此只會對應第一個網址。 |
external_dlp_policy_group |
read_only_udm.security_result.detection_fields.value |
如果不是空白、"-" 或「NONE」,則直接對應。索引鍵為「ExternalDlpPolicyGroup」。 |
ExternalMsgID |
read_only_udm.security_result.about.labels.value |
移除單引號和角括號後直接對應。金鑰為「ExternalMsgID」。 |
from |
read_only_udm.network.email.from |
如果電子郵件地址有效,則直接對應。也用於填入 network_from。 |
host.hostname |
read_only_udm.principal.hostname或read_only_udm.intermediary.hostname |
如果 host 欄位無效,則會對應至主體主機名稱。也會對應至中介主機名稱。 |
host.ip |
read_only_udm.principal.ip或read_only_udm.intermediary.ip |
如果 JSON 記錄中未設定 ip 欄位,則會對應至主體 IP。也會對應至中介 IP。 |
hostname |
read_only_udm.target.hostname |
直接對應。 |
http_method |
read_only_udm.network.http.method |
直接對應。 |
http_response_code |
read_only_udm.network.http.response_code |
直接對應並轉換為整數。 |
identity_policy_group |
read_only_udm.security_result.detection_fields.value |
如果不是空白、"-" 或「NONE」,則直接對應。金鑰為「IdentityPolicyGroup」。 |
ip |
read_only_udm.principal.ip |
直接對應。如有 source_ip,則會覆寫這個值。 |
kv_msg |
多項政策 | 使用 kv 篩選器剖析。前置處理包括將鍵之前的空格替換為「#」,以及交換 csLabel 值。 |
log_type |
read_only_udm.metadata.log_type |
硬式編碼為「CISCO_EMAIL_SECURITY」。 |
loglevel |
read_only_udm.security_result.severity、read_only_udm.security_result.action |
用於判斷嚴重程度和採取行動。「Info」、「Debug」和「Trace」會對應至「INFORMATIONAL」和「ALLOW」。「Warning」會對應至「MEDIUM」和「ALLOW」。「High」會對應至「HIGH」和「BLOCK」。「Critical」和「Alert」會對應至「CRITICAL」、「BLOCK」。 |
mail_id |
read_only_udm.network.email.mail_id |
直接從 JSON 記錄對應。 |
mailto |
read_only_udm.target.user.email_addresses、read_only_udm.network.email.to |
如果電子郵件地址有效,則直接對應至兩個 UDM 欄位。 |
MailPolicy |
read_only_udm.security_result.about.labels.value |
直接對應。金鑰為「MailPolicy」。 |
message |
多項政策 | 系統會盡可能剖析為 JSON。否則會當做系統記錄訊息處理。 |
message_id |
read_only_udm.network.email.mail_id |
直接對應。也用於填入 network_data。 |
msg |
read_only_udm.network.email.subject |
在 UTF-8 解碼並移除斷行符號、換行符號和額外引號後,直接對應。也用於填入 network_data。 |
msg1 |
多項政策 | 使用 kv 篩選器剖析。用於擷取 Hostname、helo、env-from 和 reply-to。 |
outbound_malware_scanning_policy_group |
read_only_udm.security_result.detection_fields.value |
如果不是空白、"-" 或「NONE」,則直接對應。鍵為「DataSecurityPolicyGroup」。 |
port |
read_only_udm.target.port |
直接對應並轉換為整數。 |
principalMail |
read_only_udm.principal.user.email_addresses |
直接對應。 |
principalUrl |
read_only_udm.principal.url |
直接對應。 |
product_event |
read_only_udm.metadata.product_event_type |
直接對應。用來判斷要套用哪些 grok 模式。移除開頭的「%」字元。「amp」會替換為「SIEM_AMPenginelogs」。 |
product_version |
read_only_udm.metadata.product_version |
直接對應。 |
protocol |
read_only_udm.network.tls.version |
直接對應。 |
received_bytes |
read_only_udm.network.received_bytes |
直接對應並轉換為不帶正負號的整數。 |
reply-to |
read_only_udm.additional.fields.value.string_value |
直接對應。索引鍵為「Reply-To」。 |
reputation |
read_only_udm.security_result.confidence_details |
直接對應。 |
request_method_uri |
read_only_udm.target.url |
直接對應。 |
result_code |
read_only_udm.security_result.detection_fields.value |
直接對應。索引鍵為「Result Code」。 |
routing_policy_group |
read_only_udm.security_result.detection_fields.value |
如果不是空白、"-" 或「NONE」,則直接對應。金鑰為「RoutingPolicyGroup」。 |
rule |
read_only_udm.security_result.detection_fields.value |
直接對應。鍵為「相符條件」。 |
SDRThreatCategory |
read_only_udm.security_result.threat_name |
如果不是空白或「不適用」,則直接對應。 |
SenderCountry |
read_only_udm.principal.location.country_or_region |
直接對應。 |
senderGroup |
read_only_udm.principal.group.group_display_name |
直接對應。 |
security_description |
read_only_udm.security_result.description |
直接對應。 |
security_email |
read_only_udm.security_result.about.email或read_only_udm.principal.hostname |
如果電子郵件地址有效,則會對應至電子郵件。否則,在以 grok 擷取後,會對應至主機名稱。 |
source |
read_only_udm.network.ip_protocol |
如果包含「tcp」,則對應至「TCP」。 |
sourceAddress |
read_only_udm.principal.ip |
直接對應。 |
sourceHostName |
read_only_udm.principal.administrative_domain |
如果不是「unknown」,則直接對應。 |
source_ip |
read_only_udm.principal.ip |
直接對應。覆寫 ip (如有)。 |
Subject |
read_only_udm.network.email.subject |
移除結尾句點後直接對應。也用於填入 network_data。 |
suser |
read_only_udm.principal.user.email_addresses、read_only_udm.network.email.bounce_address |
如果電子郵件地址有效,則直接對應至兩個 UDM 欄位。 |
target_ip |
read_only_udm.target.ip |
直接對應。 |
to |
read_only_udm.network.email.to |
如果電子郵件地址有效,則直接對應。也用於填入 network_to。 |
total_bytes |
read_only_udm.network.sent_bytes |
直接對應並轉換為不帶正負號的整數。 |
trackerHeader |
read_only_udm.additional.fields.value.string_value |
直接對應。金鑰為「Tracker Header」。 |
ts、ts1、year |
read_only_udm.metadata.event_timestamp.seconds |
用於建構事件時間戳記。如果存在 ts1,則會合併 ts1 和 year。系統支援各種格式,包括有年份和沒有年份的格式。如果沒有年份,系統會使用當年度。硬式編碼為「Cisco」。硬式編碼為「Cisco Email Security」。預設值為「ALLOW」。根據 loglevel 或 description 設為「BLOCK」。如果存在 application_protocol,預設值為「INBOUND」。根據 CEF 訊息的 deviceDirection 設定。系統會根據多個欄位 (包括 network_from、network_to、target_ip、ip、description、event_type、principal_host、Hostname、user_id 和 sourceAddress) 的組合,判斷產品是否為成人內容。預設值為「GENERIC_EVENT」。如果 application_protocol 為「SMTP」或「smtp」,或如果 target_ip 和 ip 存在,則設為「SMTP」。如果 sshd 記錄中出現 login_status 和 user_id,請設為「AUTHTYPE_UNSPECIFIED」。如果 loglevel 為「重大」或「警示」,請設為 true。 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。