Zum Inhalt
Klicken Sie hier für Support-Informationen zu MDR.

Mimecast Email Security, Cloud Gateway

API

Sie benötigen das Integrations-Lizenz-Paket „Email“, um diese Funktion nutzen zu können.

Sie können die Cloud-Gateway-Version von Mimecast Email Security in Sophos Central integrieren, sodass Überwachungsdaten an Sophos zur Analyse gesendet werden.

Diese Integration ist API-basiert.

Die Hauptschritte:

  • Beziehen Sie Details zu Ihrem Mimecast-Service.
  • Erstellen Sie in Mimecast eine API-Anwendung und einen Service-Benutzer. Wir verwenden diese, um die Mimecast-API zu rufen.
  • Konfigurieren Sie eine Integration in Sophos Central. Sie müssen für jeden Datentyp, zu dem uns Mimecast Daten senden soll, eine Integration hinzufügen.

Was Sie von Email Security Cloud Gateway benötigen

Zur Integration von Email Security Cloud Gateway benötigen Sie die folgenden Details:

  • Die Basis-URL für Ihren Dienst.
  • Anwendungs-ID: Eine GUID in der Form ca16c415-658f-4c87-8fb6-e3e6957771dc.
  • Anwendungsschlüssel: Eine GUID in der Form ca16c415-658f-4c87-8fb6-e3e6957771dc.
  • Zugriffsschlüssel: Eine lange Zeichenfolge aus willkürlichen Zeichen.
  • Geheimer Schlüssel: Eine kürzere Zeichenfolge aus willkürlichen Zeichen.

In den folgenden erfahren Sie, wie Sie diese Informationen beziehen.

Hinweis

Derzeit können Sie im Mimecast-Integrationsaufbau nur einen der drei verfügbaren Anfragetypen auswählen. Um Daten zu mehr als einem Anfragetyp zu sammeln, führen Sie die Integration mehrmals mit denselben Anmeldeinformationen aus, und wählen Sie jedes Mal einen anderen Alarm-Typ aus.

Siehe API-Details eingeben.

Basis-URL abrufen

Die Basis-URL des Mimecast-Services hängt von Ihrem Kontotyp, der Region, in der Sie Mimecast verwenden, und Ihrem Kontocode ab.

Um dies herauszufinden, verwenden Sie die Mimecast-Dokumentation. Siehe Globale Basis-URLs.

Protokollierung einschalten

Um die Protokollierung in Mimecast zu aktivieren, gehen Sie folgendermaßen vor:

  1. Melden Sie sich an der Mimecast Administrator-Konsole an.
  2. Gehen Sie zu Administration > Account > Account Settings.
  3. Wählen Sie unter Enhanced Logging die folgenden Protokollierungsarten aus:

    • Eingehend
    • Ausgehend
    • Intern
  4. Klicken Sie auf Speichern.

API-Anwendung erstellen

Sie müssen eine API-Anwendung in Mimecast hinzufügen. Sophos Central stellt eine Verbindung zu dieser API her.

Um ein API-Anwendung hinzuzufügen, gehen Sie folgendermaßen vor:

  1. Gehen Sie in der Mimecast-Administrator-Konsole zu Services > API and Platform Integrations.
  2. Suchen Sie unter Available Integrations nach Mimecast API 1.0 und klicken Sie darauf.
  3. Geben Sie unter Add API Application die Anwendungsdetails wie folgt ein:

    • Name der Applikation: Geben Sie einen Namen für Ihre Anwendung ein.
    • Kategorie: Wählen Sie SIEM Integration.
    • Service Application: Wählen Sie Enable Extended Session aus.
    • Beschreibung: Geben Sie optional eine Beschreibung für Die Anwendung ein.
  4. Klicken Sie auf Weiter.

  5. Geben Sie in Notification Settings den Namen und die E-Mail-Adresse eines Administrators ein, um Benachrichtigungen über die API-Anwendung zu erhalten.
  6. Wählen Sie, ob Mimecast den Administrator benachrichtigen kann, wenn die API aktualisiert wird.
  7. Klicken Sie auf Weiter.
  8. Überprüfen Sie unter Review Information, ob die Informationen korrekt sind und ob der Status Enabled lautet.
  9. Klicken Sie auf Hinzufügen.

    Die Anwendung wird erstellt.

  10. Kopieren Sie die Application ID und den Application Key. Diese werden in Sophos Central verwendet, wenn Sie die Integration hinzufügen.

Sie müssen 30 Minuten warten, bevor Sie den Zugriffsschlüssel und den geheimen Schlüssel erstellen und speichern können, die Sie ebenfalls benötigen.

Sie müssen nicht warten, um den Servicebenutzer zu erstellen.

Servicebenutzer erstellen und konfigurieren

Sie müssen einen Servicebenutzer in Mimecast erstellen. Der Servicebenutzer muss über Berechtigungen zum Lesen von Daten und Zugangsdaten verfügen, die zum Aufrufen der von Ihnen erstellten Mimecast-API-Anwendung verwendet werden können.

Gehen Sie wie folgt vor, um den Servicebenutzer zu erstellen und zu konfigurieren:

  1. Gehen Sie in der Mimecast-Administrator-Konsole zu Directories > Internal Directories.
  2. Wählen Sie die Domäne aus und klicken Sie auf New address.
  3. Erstellen Sie einen sophos@mydomain.com-Servicebenutzer, und geben Sie ein Kennwort dafür ein.
  4. Klicken Sie auf Save and Exit.
  5. Gehen Sie zu Account > Roles.
  6. Klicken Sie auf New Role und geben Sie einen Namen ein, z. B. eine Sophos-Integration.
  7. Wählen Sie unter Application Permissions folgende Berechtigungen aus:

    • Monitoring Menu > Attachment Protection > Read
    • Monitoring Menu > URL Protection > Read
    • Monitoring Menu > Impersonation Protection Logs > Read

    Warnung

    Sie müssen diese Berechtigungen festlegen, da die Integration ansonsten nicht funktioniert.

  8. Klicken Sie auf Save and Exit.

  9. Klicken Sie auf die erstellte Rolle.
  10. Klicken Sie auf Add User to Role.
  11. Suchen Sie den sophos@mydomain.com-Service-Benutzer, und wählen Sie ihn aus, um ihn der Rolle hinzuzufügen.

Sicherstellen, dass Sophos auf API-Aufrufe zugreifen kann

Wenn Ihr Mimecast-Konto nur für bestimmte IP-Bereiche Berechtigungen für administrative Aktionen gewährt, lesen Sie diesen Abschnitt. Fahren Sie andernfalls fort mit Access Key und Secret Key erstellen.

Um sicherzustellen, dass Sophos auf administrative Aktionen, einschließlich API-Aufrufe, zugreifen kann, gehen Sie wie folgt vor:

  1. Gehen Sie zu Account > Account Settings > User Access and Permissions.
  2. Wenn administrative Aktionen nur für bestimmte IP-Bereiche zulässig sind, stellen Sie sicher, dass Sophos IP-Adressen enthalten sind.

    Die IP-Adressen hängen von Ihrer Sophos-Central-Region ab. Die benötigten IP-Adressen finden Sie unter Sophos-IPs für Integrationen.

Eventuell müssen Sie diese Adressen zu den „Erlauben“-Listen in Ihrer Netzwerkinfrastruktur hinzufügen.

Alternativ können Sie diese IP-Einschränkungen in ein Authentifizierungsprofil für Ihre Administratoren verschieben. Siehe E-Mail Security Cloud Gateway – Authentifizierungsprofile konfigurieren.

Access Key und Secret Key erstellen

Gehen Sie wie folgt vor, um die Access Keys und Secret Keys zu erstellen.

  1. Gehen Sie in der Mimecast-Administrator-Konsole zu Services > API and Platform Integrations.
  2. Klicken Sie unter Your Application Integrations auf die API-Anwendung, die Sie erstellt haben.
  3. Klicken Sie auf Create Keys.
  4. Geben Sie die E-Mail-Adresse und das Kennwort des Servicebenutzers ein, den Sie erstellt haben.
  5. Kopieren Sie die folgenden Schlüssel, um sie in Sophos Central zu verwenden, wenn Sie die Integration hinzufügen:

    • Zugriffsschlüssel: Eine lange Zeichenfolge aus willkürlichen Zeichen.
    • Geheimer Schlüssel: Eine kürzere Zeichenfolge aus willkürlichen Zeichen.

Integration konfigurieren

Verfahren Sie zur Integration von Mimecast Email Security, Cloud Gateway, in Sophos Central wie folgt:

  1. Gehen Sie in Sophos Central zu Bedrohungsanalyse-Center > Integrationen > Marketplace.
  2. Klicken Sie auf Mimecast Email Security Cloud Gateway.

    Die Seite Mimecast Email Security Cloud Gateway wird geöffnet. Sie können hier Integrationen konfigurieren und eine Liste aller bereits konfigurierten Integrationen anzeigen.

  3. Klicken Sie unter Datenerfassung (Sicherheitsalarme) auf Konfiguration hinzufügen.

    Hinweis

    Wenn dies die erste Integration ist, die Sie hinzugefügt haben, werden Sie zur Angabe von Details zu Ihren internen Domänen und IP-Adressen aufgefordert. Siehe Meine Domänen und IPs.

API-Details eingeben

Unter Integrationsschritte konfigurieren Sie eine API so, dass Daten von Email Security Cloud Gateway gesammelt werden.

Verfahren Sie wie folgt:

  1. Geben Sie einen Namen und eine Beschreibung für die Integration ein.
  2. Geben Sie Ihre Mimecast-Basis-URL ein.
  3. Geben Sie die folgenden Authentifizierungsdetails ein, die Sie von Mimecast kopiert haben:

    • Anwendungs-ID
    • Anwendungsschlüssel
    • Access Key
    • Secret Key
  4. Wählen Sie den Anfragetyp aus. Hierbei handelt es sich um den Datentyp, den diese Integration erfassen soll.

    Hinweis

    Derzeit können Sie bei jedem Hinzufügen einer Integration nur einen Anfragetyp auswählen. Wenn Sie mehr als eine hinzufügen möchten, gehen Sie nach Abschluss der ersten Integration zu Bedrohungsanalyse-Center > Integrationen und klicken Sie auf Mimecast Email Security Cloud Gateway.

    Führen Sie die Integrationseinrichtung erneut unter Verwendung der gleichen Anmeldeinformationen durch und wählen Sie einen anderen Anfragetyp aus. Wiederholen Sie den Vorgang dann, wenn Sie einen dritten Anfragetyp hinzufügen möchten.

    Wir arbeiten daran, dies zu ändern. Wenn die Änderung vorgenommen wurde, können Sie mehrere Anfragetypen bei der Einrichtung einer Integration auswählen.

    Wählen Sie aus den folgenden Anfragetypen:

    • URL-Protokolle
    • Impersonation-Protokolle
    • Anlagen-Protokolle
  5. Klicken Sie auf Speichern.

Wir erstellen die Integration und sie wird in Ihrer Liste angezeigt. Wenn das Statussymbol ein grünes Häkchen zeigt, sollten Ihre Daten nach der Validierung im Sophos Data Lake angezeigt werden.

Hinweis

Wenn Ihre Daten nach einigen Stunden nicht angezeigt werden, gehen Sie zurück zu den Anweisungen zum Konfigurieren von Mimecast.

Stellen Sie sicher, dass Sie den Service-Benutzer mit den korrekten Berechtigungen erstellt haben, und wählen Sie für die Einstellung Authentication Cache TTL den Wert Never Expire im effektiven Authentifizierungsprofil des Service-Benutzers aus.

Weitere Informationen zu Mimecast Email Security, Cloud Gateway

Wenn Sie den Service-Benutzer erstellen, ermöglichen die Berechtigungen, die Sie gewähren, Lesezugriff, um Folgendes zu tun:

  • Abrufen der TTP-URL-Protokolle.
  • Abrufen der TTP-Impersonation-Protection-Protokolle.
  • Abrufen der Anlagen-Protokolle.

Weitere Informationen zu diesen Berechtigungen finden Sie in den folgenden Mimecast-Dokumenten: