Aller au contenu
Découvrez comment nous prenons en charge MDR.

Mimecast Email Security, Cloud Gateway

API

Vous devez avoir un pack de licence d’intégration « Email » pour utiliser cette fonction.

Vous pouvez intégrer la version de passerelle Cloud de Mimecast Email Security à Sophos Central afin de lui permettre d’envoyer des données d’audit à Sophos pour analyse.

Cette intégration est basée sur API.

Les étapes essentielles sont les suivantes :

  • Obtenir les détails de votre service Mimecast.
  • Dans Mimecast, créez une application API et un utilisateur du service. Nous les utilisons pour contacter l’API Mimecast.
  • Configurer une intégration dans Sophos Central. Vous devez ajouter une intégration pour chaque type de données que vous souhaitez que Mimecast nous envoie.

Informations Email Security Cloud Gateway requises

Pour intégrer Email Security Cloud Gateway, vous avez besoin des informations suivantes :

  • L’URL de base de votre service.
  • ID d’application. Un GUID dans le formulaire ca16c415-658f-4c87-8fb6-e3e6957771dc.
  • Clé d’application. Un GUID dans le formulaire ca16c415-658f-4c87-8fb6-e3e6957771dc.
  • Clé d’accès. Longue chaîne de caractères aléatoires.
  • Clé secrète. Chaîne plus courte de caractères aléatoires.

Les sections suivantes vous indiquent comment obtenir ces informations.

Remarque

Actuellement, la configuration de l’intégration Mimecast vous permet uniquement de choisir l’un des trois types de demande disponibles. Pour collecter des données sur plusieurs types de requête, exécutez l’intégration plusieurs fois avec les mêmes codes d’accès, en choisissant un type d’alerte différent à chaque fois.

Voir Saisir les détails de l’API.

Comment trouver votre URL de base

L’URL de base du service Mimecast dépend de votre type de compte, du pays dans lequel vous l’utilisez et du code de votre compte.

Retrouvez plus de renseignements à ce sujet dans la documentation Mimecast. Voir URLs de base généraux.

Activer la journalisation

Pour activer la journalisation dans Mimecast, procédez comme indiqué ci-dessous.

  1. Connectez-vous à la console d’administration de Mimecast.
  2. Allez dans Administration > Compte > Paramètres du compte.
  3. Dans Journalisation améliorée, choisissez les types de journalisation suivants :

    • Entrant
    • Sortant
    • Interne
  4. Cliquez sur Enregistrer.

Créer une application API

Vous devez ajouter une application API dans Mimecast. Sophos Central se connectera à cette API.

Pour ajouter une application API, procédez de la manière suivante :

  1. Dans la Console d’administration Mimecast, allez dans Services > Intégrations d’API et de plates-formes.
  2. Dans Intégrations disponibles, recherchez et cliquez sur la carte Mimecast API 1.0.
  3. Dans Ajouter une application API, renseignez les détails de votre application de la manière suivante :

    • Nom de l’application : Saisissez le nom de votre application.
    • Catégorie : Sélectionnez Intégration SIEM.
    • Application de service : Sélectionnez Activer une session étendue.
    • Description : Vous pouvez également saisir une description pour l’application.
  4. Cliquez sur Suivant.

  5. Dans Paramètres de notification, saisissez le nom et l’adresse email d’un administrateur pour lui permettre de recevoir des notifications concernant l’application API.
  6. Choisissez si Mimecast peut ou non avertir l’administrateur lorsque l’API est mise à jour.
  7. Cliquez sur Suivant.
  8. Dans Consulter les informations, vérifiez que les informations sont correctes et que l’option État est définie comme Activé.
  9. Cliquez sur Ajouter.

    L’application est créée.

  10. Copiez l’ID d’application et la Clé d’application. Elles vous seront utiles pour ajouter l’intégration dans Sophos Central.

Vous devrez attendre 30 minutes avant de pouvoir créer et enregistrer la Clé d’accès et la Clé secrète dont vous aurez également besoin.

L’utilisateur de service peut être créé immédiatement.

Créer et configurer l’utilisateur de service

Vous devez créer un utilisateur de service dans Mimecast. L’utilisateur de service doit disposer des droits de lecture des données et des codes d’accès que nous utiliserons pour contacter l’application API Mimecast que vous avez créée.

Pour créer et configurer l’utilisateur de service, procédez de la manière suivante :

  1. Dans la Console d’administration Mimecast, allez dans Répertoires > Répertoires internes.
  2. Sélectionnez le domaine et cliquez sur Nouvelle adresse.
  3. Créez un utilisateur de service sophos@mydomain.com et son mot de passe.
  4. Cliquez sur Enregistrer et quitter.
  5. Allez dans Compte > Rôles.
  6. Cliquez sur Nouveau rôle et saisissez un nom, par exexmple Intégration Sophos.
  7. Dans Autorisations de l’application, sélectionnez les autorisations suivantes :

    • Menu du service de surveillance > Protection des pièces jointes > Lecture
    • Menu du service de surveillance > Protection URL > Lecture
    • Menu du service de surveillance > Journaux de la protection contre l’usurpation d’identité > Lecture

    Avertissement

    Ces autorisations doivent impérativement être définies afin que l’intégration puisse fonctionner.

  8. Cliquez sur Enregistrer et quitter.

  9. Cliquez sur le rôle que vous avez créé précédemment.
  10. Cliquez sur Ajouter un utilisateur au rôle.
  11. Recherchez l’utilisateur du service sophos@mydomain.com et sélectionnez-le pour l’ajouter au rôle.

S’assurer que Sophos peut accéder aux appels API

Si votre compte Mimecast autorise les actions administratives uniquement pour des plages IP spécifiques, lisez cette section. Sinon, passez à Créer la clé d’accès et la clé secrète.

Pour vous assurer que Sophos peut accéder aux actions administratives, y compris les appels d’API, procédez comme suit :

  1. Accédez à Compte > Paramètres du compte > Accès et Autorisations utilisateur.
  2. Si des actions administratives sont autorisées uniquement pour des plages IP spécifiques, assurez-vous que les adresses IP Sophos sont incluses.

    Les adresses IP dépendent de votre région Sophos Central. Retrouvez plus de renseignements sur les adresses IP à utiliser sur Adresses IP Sophos destinées aux intégrations.

Vous pourriez avoir besoin d’ajouter ces adresses aux listes d’autorisation de votre infrastructure réseau.

Vous pouvez également déplacer ces restrictions IP vers un profil d’authentification pour vos administrateurs. Voir Passerelle cloud de sécurité email - Configurer les profils d’authentification.

Créer la clé d’accès et la clé secrète

Pour créer la clé d’accès et la clé secrète, procédez de la manière suivante.

  1. Dans la Console d’administration Mimecast, allez dans Services > Intégrations d’API et de plates-formes.
  2. Dans Vos intégrations d’applications, cliquez sur l’application API que vous avez créée.
  3. Cliquez sur Créer des clés.
  4. Saisissez l’adresse email et le mot de passe de l’utilisateur de service que vous avez créé.
  5. Copiez les clés suivantes que vous utiliserez pour ajouter l’intégration dans Sophos Central :

    • Clé d’accès. Longue chaîne de caractères aléatoires.
    • Clé secrète. Chaîne plus courte de caractères aléatoires.

Configurer une intégration

Pour intégrer Mimecast Email Security, Cloud Gateway à Sophos Central, procédez de la manière suivante :

  1. Dans Sophos Central, allez dans Centre d’analyse des menaces > Intégrations > Marketplace.
  2. Cliquez sur Mimecast Email Security Cloud Gateway.

    La page Mimecast Email Security Cloud Gateway s’ouvre. Vous pouvez configurer les intégrations et voir une liste de celles que vous avez déjà configurées.

  3. Dans Ingestion de données (alertes de sécurité), cliquez sur Ajouter une configuration.

    Remarque

    S’il s’agit de la première intégration que vous ajoutez, nous vous demanderons des détails sur vos domaines et adresses IP internes. Voir Mes domaines et adresses IP.

Saisir les détails de l’API

Dans Étapes d’intégration, vous configurez une API pour lu permettre de recueillir des données à partir de Email Security Cloud Gateway.

Procédez comme suit :

  1. Saisissez le nom et la description de l’intégration.
  2. Saisissez l’URL de votre base Mimecast.
  3. Saisissez les informations d’authentification suivantes que vous avez copiées à partir de Mimecast :

    • ID d’application
    • Clé d’application
    • Clé d’accès
    • Clé secrète
  4. Sélectionnez le Type de requête. Ceci permet d’indiquer le type de données que cette intégration doit collecter.

    Remarque

    Actuellement, il n’est possible de choisir qu’un seul type de demande chaque fois que vous ajoutez une intégration. Pour en ajouter plusieurs, une fois la première intégration terminée, allez dans le Centre d’analyse des menaces > Intégrations et cliquez sur Mimecast Email Security Cloud Gateway.

    Reconfigurez l’intégration en utilisant les mêmes codes d’accès et sélectionnez un autre type de demande. Répétez ensuite le processus si vous souhaitez ajouter un troisième type de demande.

    Nous travaillons actuellement au changement de ce processus. Il sera bientôt possible de sélectionner plusieurs types de demande dans une configuration d’intégration.

    Choisissez parmi les types de demande suivants :

    • Journaux d’URL
    • Journaux d’usurpation d’identité
    • Journaux de pièces jointes
  5. Cliquez sur Enregistrer.

Nous créons l’intégration et celle-ci apparaît dans votre liste. Si l’icône d’état affiche une coche verte, vos données devraient apparaître dans le Sophos Data Lake après validation.

Remarque

Si vos données n’apparaissent pas après quelques heures, revenez aux instructions de configuration de Mimecast.

Vérifiez que vous avez créé l’utilisateur de service avec les autorisations adéquates et défini TTL du cache d’authentification sur N’expire jamais dans le profil d’authentification effectif de l’utilisateur de service.

Plus d’informations sur Mimecast Email Security, Cloud Gateway

Lorsque vous créez l’utilisateur de service, les autorisations que vous accordez permettent d’effectuer les opérations suivantes en lecture seule :

  • Obtenir les journaux d’URL TTP.
  • Obtenir les journaux de protection contre l’usurpation d’identité TTP.
  • Obtenir les journaux de protection contre les pièces jointes malveillantes.

Retrouvez plus de renseignements sur ces autorisations dans les documents Mimecast suivants :