Pular para o conteúdo
Saiba como oferecemos suporte ao MDR.

Permalink da página

Sempre use o permalink a seguir ao fazer referência a esta página. Ele permanecerá inalterado nas versões de ajuda futuras.

https://docs.sophos.com/central/customer/help/pt-br/index.html?contextId=mimecast-v2-index

Integração do Mimecast

API Email

Você pode integrar o Mimecast Email Security Cloud Gateway ao Sophos Central para o envio de alertas à Sophos para análise.

Esta página lhe dá uma visão geral da integração.

Esta página aplica-se à integração ao Mimecast API 1.0 ou Mimecast API 2.0.

Mimecast API 1.0 é uma versão legada. Pode não estar mais disponível para a sua conta Mimecast.

Recomendamos que você use Mimecast API 2.0 se você for:

  • Um novo cliente do Email Security Cloud Gateway.
  • Um cliente existente do Email Security Cloud Gateway sem integrações ativas.
  • Um cliente existente, com ou sem integrações ativas, que deseja usar novos recursos que só estão disponíveis no Mimecast.

Visão geral do produto Mimecast

O Email Security Cloud Gateway do Mimecast uma solução baseada na nuvem com defesas contra várias ameaças disseminadas por e-mail, incluindo phishing, malware e spam. Através de sua plataforma centralizada, oferece mecanismos de detecção multicamada, garantindo a segurança na entrada e na saída de e-mails enquanto oferece inteligência de ameaças em tempo real e resposta rápida a incidentes.

Documentação da Sophos

Você pode configurar uma integração para receber alertas usando Mimecast API 1.0 ou Mimecast API 2.0. Os alertas ingeridos são os mesmos.

O que ingerimos

Exemplos de alertas vistos pela Sophos:

  • Impersonation Attempt
  • Unsafe Email Attachment
  • URL Protection
  • IP Temporarily Blacklisted
  • Anti-Spoofing policy - Inbound not allowed
  • Invalid Recipient
  • Exceeding outbound thread limit
  • Message bounced due to Content Examination Policy

Alertas ingeridos na íntegra

Ingerimos alertas de três categorias do Mimecast:

  • anexo
  • clonagem
  • URL

Filtragem

Filtramos alertas da seguinte forma:

  • Confirme se o formato dos alertas retornados é o esperado.
  • Remova alertas em que o Mimecast marcou o resultado da varredura como limpo ou seguro.

Amostra de mapeamentos de ameaças

O mapeamento de alertas é definido com base em cada um dos 3 tipos ou endpoints específicos e é um dos seguintes:

Anexo: Padrão para "anexo de e-mail não seguro"

Clonagem: Padrão para "tentativa de clonagem"

Clique em: Se o campo ttpDefinition estiver vazio, use o valor de creationMethod. Caso contrário, use o valor de reason.

{"alertType": "Impersonation Attempt", "threatId": "T1598.003", "threatName": "Spearphishing Link"}
{"alertType": "Unsafe Email Attachment", "threatId": "T1598.002", "threatName": "Spearphishing Attachment"}
{"alertType": "URL Protection", "threatId": "T1598.003", "threatName": "Spearphishing Link"}
{"alertType": "Default URL Protection", "threatId": "T1598.003", "threatName": "Spearphishing Link"}
{"alertType": "IP Temporarily Blacklisted", "threatId": "TA0001", "threatName": "Initial Access"}
{"alertType": "Submitter failed to authenticate", "threatId": "T1078", "threatName": "Valid Accounts"}
{"alertType": "Anti-Spoofing policy - Inbound not allowed", "threatId": "T1598.003", "threatName": "Spearphishing Link"}
{"alertType": "Invalid Recipient", "threatId": "TA0005", "threatName": "Defense Evasion"}
{"alertType": "Exceeding outbound thread limit", "threatId": "T1041", "threatName": "Exfiltration Over C2 Channel"}
{"alertType": "Message bounced due to Content Examination Policy", "threatId": "T1598", "threatName": "Phishing for Information"}
{"alertType": "Default Inbound URL Protect Definition", "threatId": "T1598.003", "threatName": "Spearphishing Link"}

Documentação do fornecedor

Esta é a documentação para os três endpoints que consultamos:

Get TTP Attachment Protection Logs

Get TTP Impersonation Protect Logs

Get TTP URL Logs