跳至內容
了解我們如何支援MDR。

頁面永久連結

參考此頁面時,請務必使用以下永久連結。在以後的說明版本中,它將保持不變。

https://docs.sophos.com/central/customer/help/zh-tw/index.html?contextId=mimecast-v2-index

Mimecast 整合

API Email

您可以將 Mimecast Email Security Cloud Gateway 與 Sophos Central 整合,以便將警示傳送到 Sophos 進行分析。

此頁面提供整合的概覽。

此頁面內容適用於與 Mimecast API 1.0 或 Mimecast API 2.0 的整合。

Mimecast API 1.0 是舊版本。它可能不再適用於您的 Mimecast 帳戶。

如果您屬於下列任何一種情況,建議您使用 Mimecast API 2.0:

  • Email Security Cloud Gateway 新客戶。
  • Email Security Cloud Gateway 老客戶,沒有作用中整合。
  • 老客戶 (無論是否具有作用中整合),希望使用僅在 Mimecast 中提供的新功能。

Mimecast 產品概覽

Mimecast 的 Email Security Cloud Gateway 是一種基於雲端的解決方案,可防禦多種電子郵件傳播的威脅,包括網路釣魚、惡意軟體和垃圾郵件。它採用集中式平台,可提供多層偵測機制,確保內送和外寄電子郵件的安全,同時提供即時威脅情報和快速事件回應。

Sophos文檔

您可以設定整合以使用 Mimecast API 1.0 或 Mimecast API 2.0 取得警示。擷取的警示相同。

我們擷取的內容

Sophos 看到的警示範例:

  • Impersonation Attempt
  • Unsafe Email Attachment
  • URL Protection
  • IP Temporarily Blacklisted
  • Anti-Spoofing policy - Inbound not allowed
  • Invalid Recipient
  • Exceeding outbound thread limit
  • Message bounced due to Content Examination Policy

完整擷取的警示

我們從三個 Mimecast 類別擷取警示:

  • 附件
  • 模擬
  • URL

篩選

我們按以下方式篩選警示:

  • 確認傳回警示的格式符合預期。
  • 移除 Mimecast 已將掃描結果標記為不含威脅或安全的警報。

威脅對應範例

警示對應是根據 3 個特定類型或端點中的每一個定義的,並且是以下之一:

附件:預設為「不安全的電子郵件附件」

模擬:預設為「模擬嘗試」

按一下:如果欄位 ttpDefinition 為空,請使用 creationMethod 的值。否則,請使用 reason 的值。

{"alertType": "Impersonation Attempt", "threatId": "T1598.003", "threatName": "Spearphishing Link"}
{"alertType": "Unsafe Email Attachment", "threatId": "T1598.002", "threatName": "Spearphishing Attachment"}
{"alertType": "URL Protection", "threatId": "T1598.003", "threatName": "Spearphishing Link"}
{"alertType": "Default URL Protection", "threatId": "T1598.003", "threatName": "Spearphishing Link"}
{"alertType": "IP Temporarily Blacklisted", "threatId": "TA0001", "threatName": "Initial Access"}
{"alertType": "Submitter failed to authenticate", "threatId": "T1078", "threatName": "Valid Accounts"}
{"alertType": "Anti-Spoofing policy - Inbound not allowed", "threatId": "T1598.003", "threatName": "Spearphishing Link"}
{"alertType": "Invalid Recipient", "threatId": "TA0005", "threatName": "Defense Evasion"}
{"alertType": "Exceeding outbound thread limit", "threatId": "T1041", "threatName": "Exfiltration Over C2 Channel"}
{"alertType": "Message bounced due to Content Examination Policy", "threatId": "T1598", "threatName": "Phishing for Information"}
{"alertType": "Default Inbound URL Protect Definition", "threatId": "T1598.003", "threatName": "Spearphishing Link"}

供應商文件

以下是我們查詢的三個端點的文件:

取得 TTP 附件保護記錄

取得 TTP 模擬保護記錄

取得 TTP URL 記錄