Integrazione Mimecast
Mimecast Email Security Cloud Gateway può essere integrato con Sophos Central per l’invio di avvisi a Sophos, a scopo di analisi.
Questa pagina fornisce una panoramica dell’integrazione.
Questa pagina si applica all’integrazione con l’API Mimecast 1.0 o l’API Mimecast 2.0.
L’API Mimecast 1.0 è una versione legacy. Potrebbe non essere più disponibile per il proprio account Mimecast.
Consigliamo di utilizzare l’API Mimecast 2.0 a:
- Clienti che usano Email Security Cloud Gateway per la prima volta.
- Clienti che già usano Email Security Cloud Gateway senza integrazioni attive.
- Clienti esistenti, con o senza integrazioni attive, che desiderano utilizzare le nuove funzionalità disponibili solo in Mimecast.
Panoramica del prodotto Mimecast
Mimecast Email Security Cloud Gateway è una soluzione basata sul cloud che protegge i sistemi da moltissime minacce diffuse tramite e-mail, tra cui phishing, malware e spam. Grazie alla sua piattaforma centralizzata, offre meccanismi di rilevamento a livelli multipli, garantendo così la sicurezza delle e-mail in entrata e in uscita e fornendo allo stesso tempo dati di intelligence sulle minacce in tempo reale, oltre a un’incident response tempestiva.
Documenti Sophos
È possibile configurare un’integrazione in modo da ricevere avvisi utilizzando l’API Mimecast 1.0 o l’API Mimecast 2.0. Gli avvisi che vengono inseriti sono gli stessi.
I dati raccolti e inseriti
Esempi di avvisi visualizzati da Sophos:
Impersonation AttemptUnsafe Email AttachmentURL ProtectionIP Temporarily BlacklistedAnti-Spoofing policy - Inbound not allowedInvalid RecipientExceeding outbound thread limitMessage bounced due to Content Examination Policy
Avvisi inseriti per intero
Inseriamo avvisi generati da tre categorie Mimecast:
- attachment (allegato)
- impersonation (imitazione)
- URL
Filtraggio
Filtriamo gli avvisi nel modo indicato di seguito:
- Verifichiamo che il formato degli avvisi restituiti sia quello previsto.
- Rimuoviamo gli avvisi per i quali il risultato della scansione è stato contrassegnato da Mimecast come pulito o sicuro.
Esempi di mapping delle minacce
Il mapping degli avvisi viene definito in base a ciascuno dei 3 tipi o endpoint specifici, ed è uno dei seguenti:
Attachment: l’impostazione predefinita è “Unsafe Email Attachment”
Impersonation: l’impostazione predefinita è “Impersonation Attempt”
Click: se il campo ttpDefinition è vuoto, utilizzare il valore di creationMethod. In caso contrario, utilizzare il valore di reason.
{"alertType": "Impersonation Attempt", "threatId": "T1598.003", "threatName": "Spearphishing Link"}
{"alertType": "Unsafe Email Attachment", "threatId": "T1598.002", "threatName": "Spearphishing Attachment"}
{"alertType": "URL Protection", "threatId": "T1598.003", "threatName": "Spearphishing Link"}
{"alertType": "Default URL Protection", "threatId": "T1598.003", "threatName": "Spearphishing Link"}
{"alertType": "IP Temporarily Blacklisted", "threatId": "TA0001", "threatName": "Initial Access"}
{"alertType": "Submitter failed to authenticate", "threatId": "T1078", "threatName": "Valid Accounts"}
{"alertType": "Anti-Spoofing policy - Inbound not allowed", "threatId": "T1598.003", "threatName": "Spearphishing Link"}
{"alertType": "Invalid Recipient", "threatId": "TA0005", "threatName": "Defense Evasion"}
{"alertType": "Exceeding outbound thread limit", "threatId": "T1041", "threatName": "Exfiltration Over C2 Channel"}
{"alertType": "Message bounced due to Content Examination Policy", "threatId": "T1598", "threatName": "Phishing for Information"}
{"alertType": "Default Inbound URL Protect Definition", "threatId": "T1598.003", "threatName": "Spearphishing Link"}
Documentazione del vendor
Di seguito viene riportata la documentazione relativa ai tre endpoint nei quali eseguiamo le query:
Get TTP URL Logs (Ottenere log della protezione degli URL nella protezione mirata dalle minacce)