Integración de Mimecast
Puede integrar Mimecast Email Security Cloud Gateway con Sophos Central para que envíe alertas a Sophos para analizarlas.
Esta página presenta una visión general de la integración.
Esta página se aplica a la integración con la API 1.0 de Mimecast o la API 2.0 de Mimecast.
La API de Mimecast 1.0 es una versión heredada. Es posible que ya no esté disponible para su cuenta de Mimecast.
Le recomendamos que utilice la API 2.0 en cualquiera de estos casos:
- Si es un nuevo cliente de Email Security Cloud Gateway.
- Si ya es cliente de Email Security Cloud Gateway pero no tiene activada ninguna integración.
- Si ya es cliente, con o sin integraciones activas, y desea utilizar nuevas capacidades que solo están disponibles en la API de Mimecast 2.0.
Resumen del producto de Mimecast
La solución Email Security Cloud Gateway de Mimecast es una solución basada en la nube que protege frente a un gran número de amenazas que se propagan a través del correo electrónico, como el phishing, el malware y el spam. A través de su plataforma centralizada, ofrece mecanismos de detección multicapa, lo que garantiza la protección de los mensajes entrantes y salientes y proporciona información sobre amenazas en tiempo real y una rápida respuesta ante incidentes.
Documentos de Sophos
Puede configurar una integración para recibir alertas utilizando la API 1.0 de Mimecast o la API 2.0 de Mimecast. Las alertas ingeridas son las mismas.
Datos que ingerimos
Ejemplos de alertas vistas por Sophos:
Impersonation Attempt
Unsafe Email Attachment
URL Protection
IP Temporarily Blacklisted
Anti-Spoofing policy - Inbound not allowed
Invalid Recipient
Exceeding outbound thread limit
Message bounced due to Content Examination Policy
Alertas ingeridas en su totalidad
Ingerimos alertas de tres categorías de Mimecast:
- adjunto
- suplantación
- URL
Filtrado
Filtramos las alertas de la siguiente manera:
- Se confirma que el formato de las alertas devueltas es el esperado.
- Se eliminan las alertas en las que Mimecast haya marcado el resultado del escaneado como limpio o seguro.
Muestra de asignaciones de amenazas
La asignación de alertas se define en función de cada uno de los 3 tipos específicos de puntos de conexión y es una de las siguientes:
Adjunto: Por defecto, "Adjunto de correo electrónico no seguro"
Suplantación: Por defecto, "Intento de suplantación"
Clic: Si el campo ttpDefinition
está vacío, utilice el valor de creationMethod
. De lo contrario, utilice el valor de reason
.
{"alertType": "Impersonation Attempt", "threatId": "T1598.003", "threatName": "Spearphishing Link"}
{"alertType": "Unsafe Email Attachment", "threatId": "T1598.002", "threatName": "Spearphishing Attachment"}
{"alertType": "URL Protection", "threatId": "T1598.003", "threatName": "Spearphishing Link"}
{"alertType": "Default URL Protection", "threatId": "T1598.003", "threatName": "Spearphishing Link"}
{"alertType": "IP Temporarily Blacklisted", "threatId": "TA0001", "threatName": "Initial Access"}
{"alertType": "Submitter failed to authenticate", "threatId": "T1078", "threatName": "Valid Accounts"}
{"alertType": "Anti-Spoofing policy - Inbound not allowed", "threatId": "T1598.003", "threatName": "Spearphishing Link"}
{"alertType": "Invalid Recipient", "threatId": "TA0005", "threatName": "Defense Evasion"}
{"alertType": "Exceeding outbound thread limit", "threatId": "T1041", "threatName": "Exfiltration Over C2 Channel"}
{"alertType": "Message bounced due to Content Examination Policy", "threatId": "T1598", "threatName": "Phishing for Information"}
{"alertType": "Default Inbound URL Protect Definition", "threatId": "T1598.003", "threatName": "Spearphishing Link"}
Documentación del proveedor
Aquí tiene la documentación de los tres puntos de conexión que consultamos:
Obtener registros de protección de archivos adjuntos en la protección frente a amenazas dirigidas
Obtener registros de URL en la protección frente a amenazas dirigidas