Aller au contenu
Découvrez comment nous prenons en charge MDR.

Intégration de Mimecast

Vous pouvez intégrer Mimecast Email Security Cloud Gateway à Sophos Central pour lui permettre d’envoyer des alertes à Sophos pour analyse.

Cette page vous donne une vue générale de l’intégration.

Cette page concerne l’intégration avec Mimecast API 1.0 ou Mimecast API 2.0.

Mimecast API 1.0 est une ancienne version. Il se peut qu’il ne soit plus disponible pour votre compte Mimecast.

Nous vous recommandons d’utiliser Mimecast API 2.0 si vous êtes dans l’un des cas suivants :

  • Un nouveau client de Email Security Cloud Gateway.
  • Un client existant de Email Security Cloud Gateway sans intégration active.
  • Un client existant, avec ou sans intégrations actives, qui souhaite utiliser de nouvelles fonctionnalités qui ne sont disponibles que dans Mimecast.

Présentation du produit Mimecast

La solution Email Security Cloud Gateway de Mimecast est basée sur le cloud pour assurer la protection contre une multitude de menaces transmises par email, y compris le phishing, les malwares et le spam. Grâce à sa plate-forme centralisée, elle offre des mécanismes de détection multicouche, assurant la sécurité des emails entrants et sortants tout en fournissant un collecte de renseignements sur les menaces en temps réel et un réponse rapide aux incidents.

Documents Sophos

Vous pouvez configurer une intégration pour recevoir des alertes en utilisant Mimecast API 1.0 ou Mimecast API 2.0. Les alertes ingérées sont les mêmes.

Ce que nous ingérons

Exemples d’alertes vues par Sophos :

  • Impersonation Attempt
  • Unsafe Email Attachment
  • URL Protection
  • IP Temporarily Blacklisted
  • Anti-Spoofing policy - Inbound not allowed
  • Invalid Recipient
  • Exceeding outbound thread limit
  • Message bounced due to Content Examination Policy

Alertes ingérées dans leur intégralité

Nous ingérons les alertes de trois catégories Mimecast :

  • pièce jointe
  • usurpation d’identité
  • URL

Filtrage

Nous filtrons les alertes comme suit :

  • Confirmer que le format des alertes renvoyées est correct.
  • Supprimer les alertes marquées comme saines ou fiables suite au contrôle Mimecast.

Exemples de mappages de menaces

Le mappage des alertes est effectué en fonction de 3 catégories différentes ou de terminaux spécifiques et correspond à l’un des éléments suivants :

Pièce jointe : Par défaut, « Pièce jointe non fiable »

Usurpation d’identité : Par défaut, « Tentative d’usurpation d’identité »

Cliquez : Si le champ ttpDefinition est vide, utiliser la valeur de creationMethod. Sinon, utiliser la valeur de reason.

{"alertType": "Impersonation Attempt", "threatId": "T1598.003", "threatName": "Spearphishing Link"}
{"alertType": "Unsafe Email Attachment", "threatId": "T1598.002", "threatName": "Spearphishing Attachment"}
{"alertType": "URL Protection", "threatId": "T1598.003", "threatName": "Spearphishing Link"}
{"alertType": "Default URL Protection", "threatId": "T1598.003", "threatName": "Spearphishing Link"}
{"alertType": "IP Temporarily Blacklisted", "threatId": "TA0001", "threatName": "Initial Access"}
{"alertType": "Submitter failed to authenticate", "threatId": "T1078", "threatName": "Valid Accounts"}
{"alertType": "Anti-Spoofing policy - Inbound not allowed", "threatId": "T1598.003", "threatName": "Spearphishing Link"}
{"alertType": "Invalid Recipient", "threatId": "TA0005", "threatName": "Defense Evasion"}
{"alertType": "Exceeding outbound thread limit", "threatId": "T1041", "threatName": "Exfiltration Over C2 Channel"}
{"alertType": "Message bounced due to Content Examination Policy", "threatId": "T1598", "threatName": "Phishing for Information"}
{"alertType": "Default Inbound URL Protect Definition", "threatId": "T1598.003", "threatName": "Spearphishing Link"}

Documentation fournisseur

Voici la documentation des trois terminaux que nous recherchons :

Obtenir les journaux de protection des pièces jointes TTP

Obtenir les journaux de protection contre l’usurpation d’identité TTP

Obtenir les journaux d’URL TTP