Intégration de Mimecast
Vous pouvez intégrer Mimecast Email Security Cloud Gateway à Sophos Central pour lui permettre d’envoyer des alertes à Sophos pour analyse.
Cette page vous donne une vue générale de l’intégration.
Cette page concerne l’intégration avec Mimecast API 1.0 ou Mimecast API 2.0.
Mimecast API 1.0 est une ancienne version. Il se peut qu’il ne soit plus disponible pour votre compte Mimecast.
Nous vous recommandons d’utiliser Mimecast API 2.0 si vous êtes dans l’un des cas suivants :
- Un nouveau client de Email Security Cloud Gateway.
- Un client existant de Email Security Cloud Gateway sans intégration active.
- Un client existant, avec ou sans intégrations actives, qui souhaite utiliser de nouvelles fonctionnalités qui ne sont disponibles que dans Mimecast.
Présentation du produit Mimecast
La solution Email Security Cloud Gateway de Mimecast est basée sur le cloud pour assurer la protection contre une multitude de menaces transmises par email, y compris le phishing, les malwares et le spam. Grâce à sa plate-forme centralisée, elle offre des mécanismes de détection multicouche, assurant la sécurité des emails entrants et sortants tout en fournissant un collecte de renseignements sur les menaces en temps réel et un réponse rapide aux incidents.
Documents Sophos
Vous pouvez configurer une intégration pour recevoir des alertes en utilisant Mimecast API 1.0 ou Mimecast API 2.0. Les alertes ingérées sont les mêmes.
Ce que nous ingérons
Exemples d’alertes vues par Sophos :
Impersonation AttemptUnsafe Email AttachmentURL ProtectionIP Temporarily BlacklistedAnti-Spoofing policy - Inbound not allowedInvalid RecipientExceeding outbound thread limitMessage bounced due to Content Examination Policy
Alertes ingérées dans leur intégralité
Nous ingérons les alertes de trois catégories Mimecast :
- pièce jointe
- usurpation d’identité
- URL
Filtrage
Nous filtrons les alertes comme suit :
- Confirmer que le format des alertes renvoyées est correct.
- Supprimer les alertes marquées comme saines ou fiables suite au contrôle Mimecast.
Exemples de mappages de menaces
Le mappage des alertes est effectué en fonction de 3 catégories différentes ou de terminaux spécifiques et correspond à l’un des éléments suivants :
Pièce jointe : Par défaut, « Pièce jointe non fiable »
Usurpation d’identité : Par défaut, « Tentative d’usurpation d’identité »
Cliquez : Si le champ ttpDefinition est vide, utiliser la valeur de creationMethod. Sinon, utiliser la valeur de reason.
{"alertType": "Impersonation Attempt", "threatId": "T1598.003", "threatName": "Spearphishing Link"}
{"alertType": "Unsafe Email Attachment", "threatId": "T1598.002", "threatName": "Spearphishing Attachment"}
{"alertType": "URL Protection", "threatId": "T1598.003", "threatName": "Spearphishing Link"}
{"alertType": "Default URL Protection", "threatId": "T1598.003", "threatName": "Spearphishing Link"}
{"alertType": "IP Temporarily Blacklisted", "threatId": "TA0001", "threatName": "Initial Access"}
{"alertType": "Submitter failed to authenticate", "threatId": "T1078", "threatName": "Valid Accounts"}
{"alertType": "Anti-Spoofing policy - Inbound not allowed", "threatId": "T1598.003", "threatName": "Spearphishing Link"}
{"alertType": "Invalid Recipient", "threatId": "TA0005", "threatName": "Defense Evasion"}
{"alertType": "Exceeding outbound thread limit", "threatId": "T1041", "threatName": "Exfiltration Over C2 Channel"}
{"alertType": "Message bounced due to Content Examination Policy", "threatId": "T1598", "threatName": "Phishing for Information"}
{"alertType": "Default Inbound URL Protect Definition", "threatId": "T1598.003", "threatName": "Spearphishing Link"}
Documentation fournisseur
Voici la documentation des trois terminaux que nous recherchons :
Obtenir les journaux de protection des pièces jointes TTP
Obtenir les journaux de protection contre l’usurpation d’identité TTP