Mengumpulkan log Cisco Secure Email Gateway

Didukung di:

Dokumen ini menjelaskan cara mengumpulkan log Cisco Secure Email Gateway menggunakan penerus Google Security Operations.

Untuk mengetahui informasi selengkapnya, lihat Penyerapan data ke Google SecOps.

Label penyerapan mengidentifikasi parser yang menormalisasi data log mentah ke format UDM terstruktur. Informasi dalam dokumen ini berlaku untuk parser dengan label penyerapan CISCO-EMAIL-SECURITY.

Mengonfigurasi Cisco Secure Email Gateway

  1. Di konsol Cisco Secure Email Gateway, pilih System administration > Log subscriptions.
  2. Di jendela New log subscription, lakukan hal berikut untuk menambahkan langganan log:
    1. Di kolom Jenis log, pilih Log peristiwa gabungan.
    2. Di bagian Kolom log yang tersedia, pilih semua kolom yang tersedia, lalu klik Tambahkan untuk memindahkannya ke Kolom log yang dipilih.
    3. Untuk memilih metode pengambilan log untuk langganan log, pilih Syslog push, lalu lakukan hal berikut:
      1. Di kolom Hostname, tentukan alamat IP penerusan Google SecOps.
      2. Di kolom Protocol, centang kotak TCP.
      3. Di kolom Fasilitas, gunakan nilai default.
  3. Untuk menyimpan perubahan konfigurasi Anda, klik Kirim.

Mengonfigurasi penerus Google SecOps untuk memproses Cisco Secure Email Gateway

  1. Buka Setelan SIEM > Pengirim.
  2. Klik Tambahkan penerus baru
  3. Di kolom Forwarder Name, masukkan nama unik untuk penerusan.
  4. Klik Kirim. Forwarder ditambahkan dan jendela Add collector configuration akan muncul.
  5. Di kolom Nama pengumpul, ketik nama.
  6. Pilih Cisco Email Security sebagai Log type.
  7. Di kolom Collector type, pilih Syslog.
  8. Konfigurasikan parameter input wajib berikut:
    • Protokol: tentukan protokol koneksi yang digunakan pengumpul untuk memproses data syslog.
    • Alamat: tentukan alamat IP atau nama host target tempat pengumpul berada dan memproses data syslog.
    • Port: tentukan port target tempat pengumpul berada dan memproses data syslog.
  9. Klik Kirim.

Untuk mengetahui informasi selengkapnya tentang penerus Google SecOps, lihat Mengelola konfigurasi penerus melalui UI Google SecOps.

Jika Anda mengalami masalah saat membuat penerusan, hubungi dukungan SecOps Google.

Referensi pemetaan kolom

Parser ini menangani log Cisco Email Security terstruktur (JSON, key-value pair) dan tidak terstruktur (syslog). Proses ini menormalisasi beragam format log ke dalam UDM dengan memanfaatkan pola grok, ekstraksi key-value, dan logika bersyarat berdasarkan kolom product_event untuk memetakan kolom Cisco ESA yang relevan ke UDM. Selain itu, library ini juga melakukan pengayaan data, seperti mengonversi stempel waktu dan menangani pesan berulang.

Tabel Pemetaan UDM

Kolom log Pemetaan UDM Logika
acl_decision_tag read_only_udm.security_result.detection_fields.value Dipetakan secara langsung jika tidak kosong, "-", atau "NONE". Kuncinya adalah "Tag Keputusan ACL".
access_or_decryption_policy_group read_only_udm.security_result.detection_fields.value Dipetakan secara langsung jika tidak kosong, "-", atau "NONE". Kuncinya adalah "AccessOrDecryptionPolicyGroup".
act read_only_udm.security_result.action_details Dipetakan secara langsung.
authenticated_user read_only_udm.principal.user.userid Dipetakan secara langsung jika tidak kosong, "-", atau "NONE".
cache_hierarchy_retrieval read_only_udm.security_result.detection_fields.value Dipetakan secara langsung jika tidak kosong, "-", atau "NONE". Kuncinya adalah "Pengambilan Hierarki Cache".
cipher read_only_udm.network.tls.cipher Dipetakan secara langsung.
country read_only_udm.principal.location.country_or_region Dipetakan secara langsung.
data_security_policy_group read_only_udm.security_result.detection_fields.value Dipetakan secara langsung jika tidak kosong, "-", atau "NONE". Kuncinya adalah "DataSecurityPolicyGroup".
description read_only_udm.metadata.description Dipetakan secara langsung untuk pesan syslog. Untuk pesan CEF, kolom ini menjadi deskripsi produk secara keseluruhan. Berbagai pola grok mengekstrak deskripsi tertentu berdasarkan product_event. Beberapa deskripsi diubah oleh gsub untuk menghapus spasi dan titik dua di awal/akhir.
deviceDirection read_only_udm.network.direction Jika '0', dipetakan ke 'INBOUND'. Jika '1', dipetakan ke 'OUTBOUND'. Digunakan untuk menentukan sandi dan protokol TLS mana yang akan dipetakan secara langsung dan mana yang akan dipetakan sebagai label.
deviceExternalId read_only_udm.principal.asset.asset_id Dipetakan sebagai "ID Perangkat:".
domain read_only_udm.target.administrative_domain Dipetakan langsung dari log JSON.
domain_age read_only_udm.security_result.about.labels.value Dipetakan secara langsung. Kuncinya adalah "YoungestDomainAge".
duser read_only_udm.target.user.email_addresses, read_only_udm.network.email.to Jika berisi ";", pisahkan menjadi beberapa alamat email dan petakan setiap alamat ke kedua kolom UDM. Jika tidak, petakan langsung ke kedua kolom UDM jika alamat email valid. Juga digunakan untuk mengisi network_to jika kosong.
dvc read_only_udm.target.ip Dipetakan secara langsung.
entries.collection_time.nanos, entries.collection_time.seconds read_only_udm.metadata.event_timestamp.nanos, read_only_udm.metadata.event_timestamp.seconds Digunakan untuk membuat stempel waktu peristiwa.
env-from read_only_udm.additional.fields.value.string_value Dipetakan secara langsung. Kuncinya adalah "Env-From".
ESAAttachmentDetails read_only_udm.security_result.about.file.full_path, read_only_udm.security_result.about.file.sha256 Diuraikan untuk mengekstrak nama file dan hash SHA256. Beberapa file dan hash dapat diekstrak.
ESADCID read_only_udm.security_result.about.labels.value Dipetakan secara langsung. Kuncinya adalah "ESADCID".
ESAFriendlyFrom read_only_udm.principal.user.user_display_name, read_only_udm.network.email.from Diuraikan untuk mengekstrak nama tampilan dan alamat email.
ESAHeloDomain read_only_udm.intermediary.administrative_domain Dipetakan secara langsung.
ESAHeloIP read_only_udm.intermediary.ip Dipetakan secara langsung.
ESAICID read_only_udm.security_result.about.labels.value Dipetakan secara langsung. Kuncinya adalah "ESAICID".
ESAMailFlowPolicy read_only_udm.security_result.rule_name Dipetakan secara langsung.
ESAMID read_only_udm.security_result.about.labels.value Dipetakan secara langsung. Kuncinya adalah "ESAMID".
ESAReplyTo read_only_udm.network.email.reply_to Dipetakan secara langsung jika alamat email valid. Juga digunakan untuk mengisi network_to.
ESASDRDomainAge read_only_udm.security_result.about.labels.value Dipetakan secara langsung. Kuncinya adalah "ESASDRDomainAge".
ESASenderGroup read_only_udm.principal.group.group_display_name Dipetakan secara langsung.
ESAStatus read_only_udm.security_result.about.labels.value Dipetakan secara langsung. Kuncinya adalah "ESAStatus".
ESATLSInCipher read_only_udm.network.tls.cipher atau read_only_udm.security_result.about.labels.value Dipetakan langsung ke sandi jika deviceDirection adalah '0'. Jika tidak, dipetakan sebagai label dengan kunci "ESATLSInCipher".
ESATLSInProtocol read_only_udm.network.tls.version atau read_only_udm.security_result.about.labels.value Versi TLS diekstrak dan dipetakan secara langsung jika deviceDirection adalah '0'. Jika tidak, dipetakan sebagai label dengan kunci "ESATLSInProtocol".
ESATLSOutCipher read_only_udm.network.tls.cipher atau read_only_udm.security_result.about.labels.value Dipetakan langsung ke sandi jika deviceDirection adalah '1'. Jika tidak, dipetakan sebagai label dengan kunci "ESATLSOutCipher".
ESATLSOutProtocol read_only_udm.network.tls.version atau read_only_udm.security_result.about.labels.value Versi TLS diekstrak dan dipetakan secara langsung jika deviceDirection adalah '1'. Jika tidak, dipetakan sebagai label dengan kunci "ESATLSOutProtocol".
ESAURLDetails read_only_udm.target.url Diuraikan untuk mengekstrak URL. Hanya URL pertama yang dipetakan karena kolom tidak diulang.
external_dlp_policy_group read_only_udm.security_result.detection_fields.value Dipetakan secara langsung jika tidak kosong, "-", atau "NONE". Kuncinya adalah "ExternalDlpPolicyGroup".
ExternalMsgID read_only_udm.security_result.about.labels.value Dipetakan secara langsung setelah menghapus tanda petik tunggal dan tanda kurung sudut. Kuncinya adalah "ExternalMsgID".
from read_only_udm.network.email.from Dipetakan secara langsung jika alamat email valid. Juga digunakan untuk mengisi network_from.
host.hostname read_only_udm.principal.hostname atau read_only_udm.intermediary.hostname Dipetakan ke nama host utama jika kolom host tidak valid. Juga dipetakan ke nama host perantara.
host.ip read_only_udm.principal.ip atau read_only_udm.intermediary.ip Dipetakan ke IP utama jika kolom ip tidak ditetapkan dalam log JSON. Juga dipetakan ke IP perantara.
hostname read_only_udm.target.hostname Dipetakan secara langsung.
http_method read_only_udm.network.http.method Dipetakan secara langsung.
http_response_code read_only_udm.network.http.response_code Dipetakan dan dikonversi langsung ke bilangan bulat.
identity_policy_group read_only_udm.security_result.detection_fields.value Dipetakan secara langsung jika tidak kosong, "-", atau "NONE". Kuncinya adalah "IdentityPolicyGroup".
ip read_only_udm.principal.ip Dipetakan secara langsung. Ditimpa oleh source_ip jika ada.
kv_msg Bervariasi Diuraikan menggunakan filter kv. Pra-pemrosesan mencakup penggantian spasi sebelum kunci dengan "#" dan penukaran nilai csLabel.
log_type read_only_udm.metadata.log_type Dikodekan secara permanen ke "CISCO_EMAIL_SECURITY".
loglevel read_only_udm.security_result.severity, read_only_udm.security_result.action Digunakan untuk menentukan tingkat keparahan dan tindakan. "Info", "", "Debug", "Trace" dipetakan ke "INFORMATIONAL" dan "ALLOW". "Warning" dipetakan ke "MEDIUM" dan "ALLOW". "High" dipetakan ke "HIGH" dan "BLOCK". "Kritis" dan "Peringatan" dipetakan ke "KRITIS", "BLOKIR".
mail_id read_only_udm.network.email.mail_id Dipetakan langsung dari log JSON.
mailto read_only_udm.target.user.email_addresses, read_only_udm.network.email.to Dipetakan langsung ke kedua kolom UDM jika alamat email valid.
MailPolicy read_only_udm.security_result.about.labels.value Dipetakan secara langsung. Kuncinya adalah "MailPolicy".
message Bervariasi Diurai sebagai JSON jika memungkinkan. Jika tidak, diproses sebagai pesan syslog.
message_id read_only_udm.network.email.mail_id Dipetakan secara langsung. Juga digunakan untuk mengisi network_data.
msg read_only_udm.network.email.subject Dipetakan langsung setelah decoding UTF-8 dan menghapus carriage return, baris baru, dan tanda petik tambahan. Juga digunakan untuk mengisi network_data.
msg1 Bervariasi Diuraikan menggunakan filter kv. Digunakan untuk mengekstrak Hostname, helo, env-from, dan reply-to.
outbound_malware_scanning_policy_group read_only_udm.security_result.detection_fields.value Dipetakan secara langsung jika tidak kosong, "-", atau "NONE". Kuncinya adalah "DataSecurityPolicyGroup".
port read_only_udm.target.port Dipetakan dan dikonversi langsung ke bilangan bulat.
principalMail read_only_udm.principal.user.email_addresses Dipetakan secara langsung.
principalUrl read_only_udm.principal.url Dipetakan secara langsung.
product_event read_only_udm.metadata.product_event_type Dipetakan secara langsung. Digunakan untuk menentukan pola grok mana yang akan diterapkan. Karakter "%" di awal dihapus. "amp" diganti dengan "SIEM_AMPenginelogs".
product_version read_only_udm.metadata.product_version Dipetakan secara langsung.
protocol read_only_udm.network.tls.version Dipetakan secara langsung.
received_bytes read_only_udm.network.received_bytes Dipetakan dan dikonversi langsung ke bilangan bulat tidak bertanda.
reply-to read_only_udm.additional.fields.value.string_value Dipetakan secara langsung. Kuncinya adalah "Reply-To".
reputation read_only_udm.security_result.confidence_details Dipetakan secara langsung.
request_method_uri read_only_udm.target.url Dipetakan secara langsung.
result_code read_only_udm.security_result.detection_fields.value Dipetakan secara langsung. Kuncinya adalah "Result Code".
routing_policy_group read_only_udm.security_result.detection_fields.value Dipetakan secara langsung jika tidak kosong, "-", atau "NONE". Kuncinya adalah "RoutingPolicyGroup".
rule read_only_udm.security_result.detection_fields.value Dipetakan secara langsung. Kuncinya adalah "Kondisi yang Cocok".
SDRThreatCategory read_only_udm.security_result.threat_name Dipetakan secara langsung jika tidak kosong atau "T/A".
SenderCountry read_only_udm.principal.location.country_or_region Dipetakan secara langsung.
senderGroup read_only_udm.principal.group.group_display_name Dipetakan secara langsung.
security_description read_only_udm.security_result.description Dipetakan secara langsung.
security_email read_only_udm.security_result.about.email atau read_only_udm.principal.hostname Dipetakan ke email jika alamat email valid. Jika tidak, dipetakan ke nama host setelah diekstrak dengan grok.
source read_only_udm.network.ip_protocol Jika berisi "tcp", dipetakan ke "TCP".
sourceAddress read_only_udm.principal.ip Dipetakan secara langsung.
sourceHostName read_only_udm.principal.administrative_domain Dipetakan secara langsung jika bukan "tidak diketahui".
source_ip read_only_udm.principal.ip Dipetakan secara langsung. Menimpa ip jika ada.
Subject read_only_udm.network.email.subject Dipetakan langsung setelah menghapus titik di akhir. Juga digunakan untuk mengisi network_data.
suser read_only_udm.principal.user.email_addresses, read_only_udm.network.email.bounce_address Dipetakan langsung ke kedua kolom UDM jika alamat email valid.
target_ip read_only_udm.target.ip Dipetakan secara langsung.
to read_only_udm.network.email.to Dipetakan secara langsung jika alamat email valid. Juga digunakan untuk mengisi network_to.
total_bytes read_only_udm.network.sent_bytes Dipetakan dan dikonversi langsung ke bilangan bulat tidak bertanda.
trackerHeader read_only_udm.additional.fields.value.string_value Dipetakan secara langsung. Kuncinya adalah "Header Pelacak".
ts, ts1, year read_only_udm.metadata.event_timestamp.seconds Digunakan untuk membuat stempel waktu peristiwa. ts1 dan year digabungkan jika ts1 ada. Berbagai format didukung, dengan dan tanpa tahun. Jika tahun tidak ada, tahun saat ini akan digunakan. Dikodekan secara permanen ke "Cisco". Dikodekan secara permanen ke "Cisco Email Security". Defaultnya adalah "ALLOW". Tetapkan ke "BLOCK" berdasarkan loglevel atau description. Defaultnya adalah "INBOUND" jika application_protocol ada. Tetapkan berdasarkan deviceDirection untuk pesan CEF. Ditentukan berdasarkan kombinasi kolom termasuk network_from, network_to, target_ip, ip, description, event_type, principal_host, Hostname, user_id, dan sourceAddress. Default-nya adalah "GENERIC_EVENT". Tetapkan ke "SMTP" jika application_protocol adalah "SMTP" atau "smtp", atau jika target_ip dan ip ada. Tetapkan ke "AUTHTYPE_UNSPECIFIED" jika login_status dan user_id ada di log sshd. Tetapkan ke benar (true) jika loglevel adalah "Kritis" atau "Peringatan".

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.