Aller au contenu
Découvrez comment nous prenons en charge MDR.

Intégrer Mimecast 2.0

Vous devez avoir un pack de licence d’intégration « Email » pour utiliser cette fonction.

Vous pouvez intégrer la version de passerelle Cloud de Mimecast 2.0 Email Security à Sophos Central afin de lui permettre d’envoyer des données d’audit à Sophos pour analyse.

Cette intégration utilise une API Mimecast pour collecter et transférer les données.

Les étapes essentielles sont les suivantes :

  • Activez la journalisation dans Mimecast.
  • Assurez-vous que votre compte Mimecast permet à Sophos d’accéder aux appels API.
  • Créez un rôle pour l’API Mimecast.
  • Ajoutez l’API Mimecast.
  • Configurer une intégration dans Sophos Central.

Mimecast peut envoyer trois types de données à Sophos Central : Journaux d’URL, journaux d’usurpation d’identité et journaux de pièces jointes. Vous devez ajouter une intégration pour chaque type de données que vous souhaitez utiliser.

Activer la journalisation

Pour activer la journalisation dans Mimecast, procédez comme suit :

  1. Connectez-vous à la console d’administration de Mimecast.
  2. Allez dans Administration > Compte > Paramètres du compte.
  3. Dans Journalisation améliorée, choisissez les types de journalisation suivants :

    • Entrant
    • Sortant
    • Interne
  4. Cliquez sur Enregistrer.

Vérifier que Sophos peut accéder aux appels API

Si votre compte Mimecast autorise les actions administratives uniquement pour des plages IP spécifiques, lisez cette section. Sinon, passez à Créer un rôle pour l’API.

Si votre compte Mimecast autorise les actions administratives uniquement pour des plages IP spécifiques, veuillez ajouter les adresses IP Sophos à ces plages d’adresse IP. Cela permet à Sophos d’accéder aux appels API.

Remarque

Vérifiez que toutes vos adresses IP sont autorisées, pas seulement les adresses IP de Sophos.

Pour autoriser Sophos à accéder aux appels API, procédez comme suit :

  1. Accédez à Compte > Paramètres du compte > Accès et Autorisations utilisateur.
  2. Vérifiez que les adresses IP Sophos sont incluses dans les adresses avec autorisation pour les actions administratives.

    Les adresses IP dépendent de votre région Sophos Central. Retrouvez plus de renseignements sur les adresses IP à utiliser sur Adresses IP Sophos destinées aux intégrations.

Vous pourriez avoir besoin d’ajouter ces adresses aux listes d’autorisation de votre infrastructure réseau.

Vous pouvez également déplacer ces restrictions IP vers un profil d’authentification pour vos administrateurs. Voir Passerelle cloud de sécurité email - Configurer les profils d’authentification.

Créer un rôle pour l’API

Créez un rôle avec les autorisations dont l’API a besoin comme suit :

  1. Allez dans Compte > Rôles.
  2. Cliquez sur Nouveau rôle et saisissez un nom. Par exemple, « Intégration Sophos ».
  3. Dans Autorisations de l’application, sélectionnez les autorisations suivantes :

    • Menu du service de surveillance > Protection des pièces jointes > Lecture
    • Menu du service de surveillance > Protection URL > Lecture
    • Menu du service de surveillance > Journaux de la protection contre l’usurpation d’identité > Lecture
    • Événements de sécurité et Récupération de données > Menaces et événements de sécurité (SIEM) > Lecture
    • Événements de sécurité et Récupération de données > Statistiques de menaces et de sécurité > Lecture
  4. Cliquez sur Enregistrer et quitter.

Ajouter l’API

Ajoutez l’API Mimecast. Sophos Central se connectera à cette API ultérieurement.

  1. Allez dans Services > Intégrations d’API et de plates-formes.
  2. Dans Intégrations disponibles, cliquez sur la vignette Mimecast API 2.0.
  3. Cliquez sur Générer des clés. Nous vous montrerons les clés plus tard.
  4. Lisez les conditions générales, cochez la case J’accepte et cliquez sur Suivant.

    La section Détails de l’application s’ouvre.

  5. Saisissez le Nom de l’application. Par exemple, « Intégration Sophos ».

  6. Dans Catégorie, sélectionnez Intégration SIEM.
  7. Dans Produits, choisissez Tout sélectionner.
  8. Dans Rôle d’application, sélectionnez le rôle que vous avez créé précédemment.
  9. Dans la section Paramètres de notification, fournissez une adresse email au cas où Mimecast aurait besoin de vous contacter au sujet de l’utilisation de cette API.

    Nous vous recommandons de spécifier un groupe plutôt qu’un individu.

  10. Examinez le Résumé et cliquez sur Ajouter.

    Votre ID client et votre Clé secrète client s’affichent. Copiez-les et conservez-les en lieu sûr. Elles vous seront utiles pour ajouter l’intégration dans Sophos Central.

Configurer une intégration

Pour intégrer Mimecast 2.0 Email Security à Sophos Central, procédez comme suit :

  1. Dans Sophos Central, allez dans Centre d’analyse des menaces > Intégrations > Marketplace.
  2. Cliquez sur Mimecast 2.0 - Email Security Cloud Gateway.

    La page Mimecast 2.0 - Email Security Cloud Gateway s’ouvre. Vous pouvez configurer les intégrations et voir une liste de celles que vous avez déjà configurées.

  3. Dans Ingestion de données (alertes de sécurité), cliquez sur Ajouter une configuration.

    Remarque

    S’il s’agit de la première intégration que vous ajoutez, nous vous demanderons des détails sur vos domaines et adresses IP internes. Voir Mes domaines et adresses IP.

    Les Étapes d’intégration s’ouvrent. Celles-ci vous permettent d’autoriser Sophos Central à collecter des données à partir de Mimecast.

  4. Saisissez le nom et la description de l’intégration.

  5. Saisissez l’ID client et la Clé secrète client que vous avez copiés à partir de Mimecast.
  6. Sélectionnez le Type de requête. Ceci permet d’indiquer le type de données que cette intégration doit collecter. Sélectionnez l’un des types de données suivants :

    • Journaux d’URL
    • Journaux d’Usurpation d’identité
    • Journaux de Pièces jointes

    Remarque

    Vous pouvez uniquement choisir un type de demande chaque fois que vous configurez une intégration. Vous pouvez en ajouter d’autres une fois l'intégration en cours terminée. Allez dans Centre d’analyse des menaces > Intégrations, cliquez sur Mimecast 2.0 - Email Security Cloud Gateway et répétez les étapes d’intégration, en utilisant les mêmes informations d’authentification.

  7. Cliquez sur Enregistrer.

Nous créons l’intégration et celle-ci apparaît dans votre liste. Si l’icône d’état affiche une coche verte, vos données devraient apparaître dans le Sophos Data Lake après validation.