Mimecast-Integration
Sie können Mimecast Email Security Cloud Gateway in Sophos Central integrieren, sodass Warnmeldungen an Sophos zur Analyse gesendet werden.
Auf dieser Seite erhalten Sie einen Überblick über die Integration.
Diese Seite gilt für die Integration mit Mimecast API 1.0 oder Mimecast API 2.0.
Mimecast API 1.0 ist eine Legacy-Version. Sie ist möglicherweise nicht mehr für Ihr Mimecast-Konto verfügbar.
In folgenden Szenarien empfehlen wir Mimecast API 2.0:
- Neuer Kunde von Email Security Cloud Gateway.
- Bestandskunde von Email Security Cloud Gateway ohne aktive Integrationen.
- Bestandskunde mit oder ohne aktive Integrationen, der neue Funktionen nutzen möchte, die nur in Mimecast verfügbar sind.
Produktübersicht zu Mimecast
Email Security Cloud Gateway von Mimecast ist eine Cloud-basierte Lösung, die vor einer Vielzahl von E-Mail-Bedrohungen schützt, wie zum Beispiel Phishing, Malware und Spam. Über seine zentrale Plattform bietet es mehrschichtige Erkennungsmechanismen, um die Sicherheit ein- und ausgehenden E-Mails zu gewährleisten sowie Bedrohungsinformationen in Echtzeit und schnelle Reaktion auf Vorfälle bereitzustellen.
Sophos-Dokumente
Sie können eine Integration einrichten, um Warnmeldungen mit Mimecast API 1.0 oder Mimecast API 2.0 zu erhalten. Die eingegebenen Warnmeldungen sind identisch.
Was wir erfassen
Beispiel für Warnmeldungen, die Sophos gesehen hat:
Impersonation Attempt
Unsafe Email Attachment
URL Protection
IP Temporarily Blacklisted
Anti-Spoofing policy - Inbound not allowed
Invalid Recipient
Exceeding outbound thread limit
Message bounced due to Content Examination Policy
Alarme werden vollständig erfasst
Wir nehmen Warnmeldungen aus drei Mimecast-Kategorien auf:
- Anhang
- Identitätstäuschung
- URL
Filterung
Warnmeldungen werden wie folgt gefiltert:
- Bestätigen Sie, dass das Format der zurückgegebenen Warnmeldungen wie erwartet ist.
- Entfernen Sie Warnmeldungen, bei denen Mimecast das Scanergebnis als bedrohungsfrei oder sicher markiert hat.
Beispiele für Bedrohungszuordnungen
Die Zuordnung von Warnmeldungen wird basierend auf den drei spezifischen Typen oder Punkte definiert. Die drei folgenden Kategorien sind vorhanden:
Anhang: Standardwert lautet „Unsafe Email Attachment“
Identitätstäuschung: Standardwert lautet „Impersonation Attempt“
Klick: Wenn das Feld ttpDefinition
leer ist, verwenden Sie den Wert creationMethod
. Andernfalls verwenden Sie den Wert von reason
.
{"alertType": "Impersonation Attempt", "threatId": "T1598.003", "threatName": "Spearphishing Link"}
{"alertType": "Unsafe Email Attachment", "threatId": "T1598.002", "threatName": "Spearphishing Attachment"}
{"alertType": "URL Protection", "threatId": "T1598.003", "threatName": "Spearphishing Link"}
{"alertType": "Default URL Protection", "threatId": "T1598.003", "threatName": "Spearphishing Link"}
{"alertType": "IP Temporarily Blacklisted", "threatId": "TA0001", "threatName": "Initial Access"}
{"alertType": "Submitter failed to authenticate", "threatId": "T1078", "threatName": "Valid Accounts"}
{"alertType": "Anti-Spoofing policy - Inbound not allowed", "threatId": "T1598.003", "threatName": "Spearphishing Link"}
{"alertType": "Invalid Recipient", "threatId": "TA0005", "threatName": "Defense Evasion"}
{"alertType": "Exceeding outbound thread limit", "threatId": "T1041", "threatName": "Exfiltration Over C2 Channel"}
{"alertType": "Message bounced due to Content Examination Policy", "threatId": "T1598", "threatName": "Phishing for Information"}
{"alertType": "Default Inbound URL Protect Definition", "threatId": "T1598.003", "threatName": "Spearphishing Link"}
Herstellerdokumentation
Hier finden Sie die Dokumentation für die drei abgefragten Punkte:
TTP-Attachment-Protection-Protokolle abrufen