Aller au contenu
Découvrez comment nous prenons en charge MDR.

Mimecast Email Security, Cloud Gateway

API

Vous devez avoir un pack de licence d’intégration « Email » pour utiliser cette fonction.

Vous pouvez intégrer la version de passerelle Cloud de Mimecast Email Security à Sophos Central afin de lui permettre d’envoyer des données d’audit à Sophos pour analyse.

Cette intégration est basée sur API.

Les étapes essentielles sont les suivantes :

  • Obtenir les détails de votre service Mimecast.
  • Dans Mimecast, créez une application API et un utilisateur du service. Nous les utilisons pour contacter l’API Mimecast.
  • Ajouter une intégration dans Sophos Central. Vous devez ajouter une intégration pour chaque type de données que vous souhaitez que Mimecast nous envoie.

Informations Email Security Cloud Gateway requises

Pour intégrer Email Security Cloud Gateway, vous avez besoin des informations suivantes :

  • L’URL de base de votre service.
  • ID d’application. Un GUID dans le formulaire ca16c415-658f-4c87-8fb6-e3e6957771dc.
  • Clé d’application. Un GUID dans le formulaire ca16c415-658f-4c87-8fb6-e3e6957771dc.
  • Clé d’accès. Longue chaîne de caractères aléatoires.
  • Clé secrète. Chaîne plus courte de caractères aléatoires.

Les sections suivantes vous indiquent comment obtenir ces informations.

Remarque

Actuellement, la configuration de l’intégration Mimecast vous permet uniquement de choisir l’un des trois types de demande disponibles. Pour collecter des données sur plusieurs types de requête, exécutez l’intégration plusieurs fois avec les mêmes codes d’accès, en choisissant un type d’alerte différent à chaque fois.

Voir Saisir les détails de l’API.

Comment trouver votre URL de base

L’URL de base du service Mimecast dépend de votre type de compte, du pays dans lequel vous l’utilisez et du code de votre compte.

Retrouvez plus de renseignements à ce sujet dans la documentation Mimecast. Voir URLs de base généraux.

Activer la journalisation

Pour activer la journalisation dans Mimecast, procédez comme indiqué ci-dessous.

  1. Connectez-vous à la console d’administration de Mimecast.
  2. Allez dans Administration > Compte > Paramètres du compte.
  3. Dans Journalisation améliorée, choisissez les types de journalisation suivants :

    • Entrant
    • Sortant
    • Interne
  4. Cliquez sur Enregistrer.

Créer une application API

Vous devez ajouter une application API dans Mimecast. Sophos Central se connectera à cette API.

Pour ajouter une application API, procédez de la manière suivante :

  1. Dans la Console d’administration Mimecast, allez dans Services > Intégrations d’API et de plates-formes.
  2. Dans Intégrations disponibles, recherchez et cliquez sur la carte API héritées dans Mimecast.
  3. Dans Ajouter une application API, renseignez les détails de votre application de la manière suivante :

    • Nom de l’application : Saisissez le nom de votre application.
    • Catégorie : Sélectionnez Intégration SIEM.
    • Application de service : Sélectionnez Activer une session étendue.
    • Description : Vous pouvez également saisir une description pour l’application.
  4. Cliquez sur Suivant.

  5. Dans Paramètres de notification, saisissez le nom et l’adresse email d’un administrateur pour lui permettre de recevoir des notifications concernant l’application API.
  6. Choisissez si vous souhaitez envoyer ou non des notifications.
  7. Cliquez sur Suivant.
  8. Dans Consulter les informations, vérifiez que les informations sont correctes et que l’option État est définie comme Activé.
  9. Cliquez sur Ajouter.

    L’application est créée.

  10. Copiez l’ID d’application et la Clé d’application. Elles vous seront utiles pour ajouter l’intégration dans Sophos Central.

Vous devrez attendre 30 minutes avant de pouvoir créer et enregistrer la Clé d’accès et la Clé secrète dont vous aurez également besoin.

L’utilisateur de service peut être créé immédiatement.

Créer et configurer l’utilisateur de service

Vous devez créer un utilisateur de service dans Mimecast. L’utilisateur de service doit disposer des droits de lecture des données et des codes d’accès que nous utiliserons pour contacter l’application API Mimecast que vous avez créée.

Pour créer et configurer l’utilisateur de service, procédez de la manière suivante :

  1. Dans la Console d’administration Mimecast, allez dans Administration > Répertoires > Répertoires internes.
  2. Sélectionnez le domaine et cliquez sur Nouvelle adresse.
  3. Créez un utilisateur de service sophos@mydomain.com et son mot de passe.

    Le rôle d’utilisateur de service doit avoir au moins le rôle d’administrateur de base.

  4. Cliquez sur Enregistrer.

  5. Dans la Console d’administration Mimecast, allez dans Administration > Compte > Rôles.

  6. Cliquez sur Nouveau rôle et saisissez un nom et une description.
  7. Dans Autorisations de l’application, sélectionnez les autorisations suivantes :

    • Menu du service de surveillance > Pièce jointe > Lecture
    • Menu du service de surveillance > Protection URL > Lecture
    • Menu du service de surveillance > Journaux de la protection contre l’usurpation d’identité > Lecture

    Avertissement

    Ces autorisations doivent impérativement être définies afin que l’intégration puisse fonctionner.

  8. Cliquez sur Enregistrer et quitter.

  9. Cliquez sur le rôle que vous avez créé précédemment.
  10. Cliquez sur Ajouter un utilisateur au rôle.
  11. Cliquez sur l’adresse email de l’utilisateur de service que vous avez créé.
  12. Dans le profil d’authentification effectif de l’utilisateur du service, définissez TTL du cache d’authentication sur N’expire jamais.

    Avertissement

    Définissez cette option sur N’expire jamais, sinon l’intégration ne fonctionnera pas.

Créer la clé d’accès et la clé secrète

Pour créer la clé d’accès et la clé secrète, procédez de la manière suivante.

  1. Dans la Console d’administration Mimecast, allez dans Services > Intégrations d’API et de plates-formes.
  2. Dans Vos intégrations d’applications, cliquez sur l’application API que vous avez créée.
  3. Cliquez sur Créer des clés.
  4. Saisissez l’adresse email et le mot de passe de l’utilisateur de service que vous avez créé.
  5. Copiez les clés suivantes que vous utiliserez pour ajouter l’intégration dans Sophos Central :

    • Clé d’accès. Longue chaîne de caractères aléatoires.
    • Clé secrète. Chaîne plus courte de caractères aléatoires.

Ajouter une intégration

Pour intégrer Mimecast Email Security, Cloud Gateway à Sophos Central, procédez de la manière suivante :

  1. Dans Sophos Central, allez dans Centre d’analyse des menaces, cliquez sur Intégrations.
  2. Cliquez sur Mimecast Email Security Cloud Gateway.

    Si vous avez déjà configuré des connexions à Email Security Cloud Gateway, elles s’affichent ici.

  3. Cliquez sur Ajouter.

    Remarque

    S’il s’agit de la première intégration que vous ajoutez, nous vous demanderons des détails sur vos domaines et adresses IP internes. Voir Mes domaines et adresses IP.

Saisir les détails de l’API

Dans Étapes d’intégration, vous configurez une API pour lu permettre de recueillir des données à partir de Email Security Cloud Gateway.

Procédez de la manière suivante :

  1. Saisissez le nom et la description de l’intégration.
  2. Saisissez l’URL de votre base Mimecast.
  3. Saisissez les informations d’authentification suivantes que vous avez copiées à partir de Mimecast :

    • ID d’application
    • Clé d’application
    • Clé d’accès
    • Clé secrète
  4. Sélectionnez le Type de requête. Ceci permet d’indiquer le type de données que cette intégration doit collecter.

    Remarque

    Actuellement, il n’est possible de choisir qu’un seul type de demande chaque fois que vous ajoutez une intégration. Pour en ajouter plusieurs, une fois la première intégration terminée, allez dans le Centre d’analyse des menaces > Intégrations et cliquez sur Mimecast Email Security Cloud Gateway.

    Reconfigurez l’intégration en utilisant les mêmes codes d’accès et sélectionnez un autre type de demande. Répétez ensuite le processus si vous souhaitez ajouter un troisième type de demande.

    Nous travaillons actuellement au changement de ce processus. Il sera bientôt possible de sélectionner plusieurs types de demande dans une configuration d’intégration.

    Choisissez parmi les types de demande suivants :

    • Journaux d’URL
    • Journaux d’usurpation d’identité
    • Journaux de pièces jointes
  5. Cliquez sur Enregistrer.

Nous créons l’intégration et celle-ci apparaît dans votre liste.

Si votre intégration s’affiche comme Connecté, vos données devraient apparaître dans Sophos Data Lake après validation.

Remarque

Si vos données n’apparaissent pas après quelques heures, revenez aux instructions de configuration de Mimecast.

Vérifiez que vous avez créé l’utilisateur de service avec les autorisations adéquates et défini TTL du cache d’authentification sur N’expire jamais dans le profil d’authentification effectif de l’utilisateur de service.

Plus d’informations sur Mimecast Email Security, Cloud Gateway

Lorsque vous créez l’utilisateur de service, les autorisations que vous accordez permettent d’effectuer les opérations suivantes en lecture seule :

  • Obtenir les journaux d’URL TTP.
  • Obtenir les journaux de protection contre l’usurpation d’identité TTP.
  • Obtenir les journaux de protection contre les pièces jointes malveillantes.

Retrouvez plus de renseignements sur ces autorisations dans les documents Mimecast suivants :