Zum Inhalt
Klicken Sie hier für Support-Informationen zu MDR.

Mimecast 2.0 integrieren

Sie benötigen das Integrations-Lizenz-Paket „Email“, um diese Funktion nutzen zu können.

Sie können die Cloud-Gateway-Version von Mimecast Email Security 2.0 in Sophos Central integrieren, sodass Überwachungsdaten an Sophos zur Analyse gesendet werden.

Diese Integration verwendet eine Mimecast-API zum Erfassen und Weiterleiten der Daten.

Die Hauptschritte:

  • Aktivieren Sie die Protokollierung in Mimecast.
  • Stellen Sie sicher, dass Ihr Mimecast-Konto Sophos Zugriff auf API-Aufrufe ermöglicht.
  • Erstellen Sie eine Rolle für die Mimecast-API.
  • Fügen Sie die Mimecast-API hinzu.
  • Konfigurieren Sie eine Integration in Sophos Central.

Mimecast kann drei Arten von Daten an Sophos Central senden: URL-Protokolle, Impersonation-Protokolle und Anhänge-Logs. Sie müssen eine Integration für jeden Datentyp hinzufügen, den Sie verwenden möchten.

Achten Sie beim Einrichten der Mimecast-API darauf, dass Sie das mit dem Firmen-Branding versehene Administratorkonto verwenden und nicht das temporäre Onboarding-Administratorkonto, das von Mimecast bereitgestellt wird.

Protokollierung einschalten

Um die Protokollierung in Mimecast zu aktivieren, gehen Sie folgendermaßen vor:

  1. Melden Sie sich an der Mimecast Administrator-Konsole an.
  2. Gehen Sie zu Administration > Account > Account Settings.
  3. Wählen Sie unter Enhanced Logging die folgenden Protokollierungsarten aus:

    • Eingehend
    • Ausgehend
    • Intern
  4. Klicken Sie auf Speichern.

Sicherstellen, dass Sophos auf API-Aufrufe zugreifen kann

Wenn Ihr Mimecast-Konto nur für bestimmte IP-Bereiche Berechtigungen für administrative Aktionen gewährt, lesen Sie diesen Abschnitt. Fahren Sie andernfalls mit Rolle für die API erstellen fort.

Wenn Ihr Mimecast-Konto nur für bestimmte IP-Bereiche Berechtigungen für administrative Aktionen gewährt, müssen Sie die Sophos-IPs zu diesen IP-Bereichen hinzufügen. Dadurch kann Sophos auf API-Aufrufe zugreifen.

Hinweis

Stellen Sie sicher, dass alle Ihre IP-Adressen zulässig sind, nicht nur die Sophos-IP-Adressen.

Gehen Sie wie folgt vor, um Sophos den Zugriff auf API-Aufrufe zu ermöglichen:

  1. Gehen Sie zu Account > Account Settings > User Access and Permissions.
  2. Stellen Sie sicher, dass Sophos-IP-Adressen in den Adressen enthalten sind, die für administrative Maßnahmen berechtigt sind.

    Die IP-Adressen hängen von Ihrer Sophos-Central-Region ab. Die benötigten IP-Adressen finden Sie unter Sophos-IPs zulassen.

Eventuell müssen Sie diese Adressen zu den „Erlauben“-Listen in Ihrer Netzwerkinfrastruktur hinzufügen.

Alternativ können Sie diese IP-Einschränkungen in ein Authentifizierungsprofil für Ihre Administratoren verschieben. Siehe E-Mail Security Cloud Gateway – Authentifizierungsprofile konfigurieren.

Rolle für die API erstellen

Erstellen Sie eine Rolle mit den Berechtigungen, die die API benötigt, wie folgt:

  1. Gehen Sie zu Account > Roles.
  2. Klicken Sie auf New Role und geben Sie einen Namen ein. Zum Beispiel „Sophos Integration“.
  3. Wählen Sie unter Application Permissions folgende Berechtigungen aus:

    • Monitoring Menu > Attachment Protection > Read
    • Monitoring Menu > URL Protection > Read
    • Monitoring Menu > Impersonation Protection Logs > Read
    • Security Events and Data Retrieval > Threat and security events (SIEM) > Read
    • Security Events and Data Retrieval > Threat and security statistics > Read
  4. Klicken Sie auf Save and Exit.

API hinzufügen

Fügen Sie die Mimecast-API hinzu. Sophos Central stellt später eine Verbindung zu dieser API her.

  1. Gehen Sie zu Services > API and Platform Integrations.
  2. Klicken Sie unter Available Integrations auf die Kachel Mimecast API 2.0.
  3. Klicken Sie auf Generate Keys. Wir zeigen Ihnen die Schlüssel später.
  4. Lesen Sie die Geschäftsbedingungen, aktivieren Sie das Kontrollkästchen I accept und klicken Sie auf Next.

    Der Abschnitt mit den Anwendungsdetails wird geöffnet.

  5. Geben Sie einen Anwendungsnamen ein. Zum Beispiel „Sophos Integration“.

  6. Wählen Sie unter Kategorie die Option SIEM Integration aus.
  7. Wählen Sie unter Produkte die Option Alle auswählen.
  8. Wählen Sie unter Anwendungsrolle die Rolle aus, die Sie zuvor erstellt haben.
  9. Geben Sie im Abschnitt Benachrichtigungseinstellungen E-Mail-Kontaktdaten an, falls Mimecast mit Ihnen über die Verwendung dieser API sprechen muss.

    Es wird empfohlen, dass Sie eine Gruppe anstelle einer Einzelperson angeben.

  10. Prüfen Sie die Zusammenfassung und klicken Sie auf Hinzufügen.

    Ihre Client-ID und der Geheime Clientschlüssel werden angezeigt. Kopieren Sie sie und bewahren Sie sie auf. Diese werden in Sophos Central verwendet, wenn Sie die Integration hinzufügen.

Integration konfigurieren

Verfahren Sie zur Integration von Mimecast 2.0 Email Security in Sophos Central wie folgt:

  1. Gehen Sie in Sophos Central zu Bedrohungsanalyse-Center > Integrationen > Marketplace.
  2. Klicken Sie auf Mimecast 2.0 - Email Security Cloud Gateway.

    Die Seite Mimecast 2.0 - Email Security Cloud Gateway wird geöffnet. Sie können hier Integrationen konfigurieren und eine Liste aller bereits konfigurierten Integrationen anzeigen.

  3. Klicken Sie unter Datenerfassung (Sicherheitsalarme) auf Konfiguration hinzufügen.

    Hinweis

    Wenn dies die erste Integration ist, die Sie hinzugefügt haben, werden Sie zur Angabe von Details zu Ihren internen Domänen und IP-Adressen aufgefordert. Siehe Details zu Ihren Domänen und IPs eingeben.

    Die Integrationsschritte werden geöffnet. Hier können Sie Sophos Central so konfigurieren, dass Daten von Mimecast gesammelt werden.

  4. Geben Sie einen Namen und eine Beschreibung für die Integration ein.

  5. Geben Sie die Client-ID und den geheimen Clientschlüssel ein, die Sie aus Mimecast kopiert haben.
  6. Wählen Sie den Anfragetyp aus. Hierbei handelt es sich um den Datentyp, den diese Integration erfassen soll. Wählen Sie einen der folgenden Datentypen:

    • URL-Protokolle
    • Impersonation-Protokolle
    • Anlagen-Protokolle

    Hinweis

    Sie können bei jeder Konfiguration einer Integration nur einen Anfragetyp auswählen. Sie können weitere hinzufügen, nachdem Sie die aktuelle Integration abgeschlossen haben. Gehen Sie zu Bedrohungsanalyse-Center > Integrationen, klicken Sie auf Mimecast 2.0 – Email Security Cloud Gateway und wiederholen Sie die Integrationsschritte unter Verwendung derselben Authentifizierungsdetails.

  7. Klicken Sie auf Speichern.

Wir erstellen die Integration und sie wird in Ihrer Liste angezeigt. Wenn das Statussymbol ein grünes Häkchen zeigt, sollten Ihre Daten nach der Validierung im Sophos Data Lake angezeigt werden.