Saltar al contenido
Descubra cómo respaldamos el servicio MDR.

Integración de Mimecast

Puede integrar Mimecast Email Security Cloud Gateway con Sophos Central para que envíe alertas a Sophos para analizarlas.

Esta página presenta una visión general de la integración.

Esta página se aplica a la integración con la API 1.0 de Mimecast o la API 2.0 de Mimecast.

La API de Mimecast 1.0 es una versión heredada. Es posible que ya no esté disponible para su cuenta de Mimecast.

Le recomendamos que utilice la API 2.0 en cualquiera de estos casos:

  • Si es un nuevo cliente de Email Security Cloud Gateway.
  • Si ya es cliente de Email Security Cloud Gateway pero no tiene activada ninguna integración.
  • Si ya es cliente, con o sin integraciones activas, y desea utilizar nuevas capacidades que solo están disponibles en la API de Mimecast 2.0.

Resumen del producto de Mimecast

La solución Email Security Cloud Gateway de Mimecast es una solución basada en la nube que protege frente a un gran número de amenazas que se propagan a través del correo electrónico, como el phishing, el malware y el spam. A través de su plataforma centralizada, ofrece mecanismos de detección multicapa, lo que garantiza la protección de los mensajes entrantes y salientes y proporciona información sobre amenazas en tiempo real y una rápida respuesta ante incidentes.

Documentos de Sophos

Puede configurar una integración para recibir alertas utilizando la API 1.0 de Mimecast o la API 2.0 de Mimecast. Las alertas ingeridas son las mismas.

Datos que ingerimos

Ejemplos de alertas vistas por Sophos:

  • Impersonation Attempt
  • Unsafe Email Attachment
  • URL Protection
  • IP Temporarily Blacklisted
  • Anti-Spoofing policy - Inbound not allowed
  • Invalid Recipient
  • Exceeding outbound thread limit
  • Message bounced due to Content Examination Policy

Alertas ingeridas en su totalidad

Ingerimos alertas de tres categorías de Mimecast:

  • adjunto
  • suplantación
  • URL

Filtrado

Filtramos las alertas de la siguiente manera:

  • Se confirma que el formato de las alertas devueltas es el esperado.
  • Se eliminan las alertas en las que Mimecast haya marcado el resultado del escaneado como limpio o seguro.

Muestra de asignaciones de amenazas

La asignación de alertas se define en función de cada uno de los 3 tipos específicos de puntos de conexión y es una de las siguientes:

Adjunto: Por defecto, "Adjunto de correo electrónico no seguro"

Suplantación: Por defecto, "Intento de suplantación"

Clic: Si el campo ttpDefinition está vacío, utilice el valor de creationMethod. De lo contrario, utilice el valor de reason.

{"alertType": "Impersonation Attempt", "threatId": "T1598.003", "threatName": "Spearphishing Link"}
{"alertType": "Unsafe Email Attachment", "threatId": "T1598.002", "threatName": "Spearphishing Attachment"}
{"alertType": "URL Protection", "threatId": "T1598.003", "threatName": "Spearphishing Link"}
{"alertType": "Default URL Protection", "threatId": "T1598.003", "threatName": "Spearphishing Link"}
{"alertType": "IP Temporarily Blacklisted", "threatId": "TA0001", "threatName": "Initial Access"}
{"alertType": "Submitter failed to authenticate", "threatId": "T1078", "threatName": "Valid Accounts"}
{"alertType": "Anti-Spoofing policy - Inbound not allowed", "threatId": "T1598.003", "threatName": "Spearphishing Link"}
{"alertType": "Invalid Recipient", "threatId": "TA0005", "threatName": "Defense Evasion"}
{"alertType": "Exceeding outbound thread limit", "threatId": "T1041", "threatName": "Exfiltration Over C2 Channel"}
{"alertType": "Message bounced due to Content Examination Policy", "threatId": "T1598", "threatName": "Phishing for Information"}
{"alertType": "Default Inbound URL Protect Definition", "threatId": "T1598.003", "threatName": "Spearphishing Link"}

Documentación del proveedor

Aquí tiene la documentación de los tres puntos de conexión que consultamos:

Obtener registros de protección de archivos adjuntos en la protección frente a amenazas dirigidas

Obtener registros de protección contra la suplantación de identidad en la protección frente a amenazas dirigidas

Obtener registros de URL en la protección frente a amenazas dirigidas