Vai al contenuto
Il supporto che offriamo per MDR.

Mimecast Email Security, Cloud Gateway

API

Per utilizzare questa funzionalità, occorre un pacchetto di licenza per l’integrazione “E-mail”.

La versione Cloud Gateway di Mimecast Email Security può essere integrata con Sophos Central per consentire l’invio dei dati di audit a Sophos, a scopo di analisi.

Questa integrazione è basata su API.

I passaggi chiave sono:

  • Ottenere i dettagli del proprio servizio Mimecast.
  • In Mimecast, creare un’applicazione API e un utente del servizio. Verranno utilizzati per chiamare l’API Mimecast.
  • Configurare un’integrazione in Sophos Central. È necessario aggiungere un’integrazione per ciascun tipo di dati che si desidera ricevere da Mimecast.

Informazioni di Email Security Cloud Gateway richieste

Per integrare Email Security Cloud Gateway, bisogna recuperare i seguenti dettagli:

  • L’URL di base del servizio.
  • ID applicazione. Un GUID nel formato ca16c415-658f-4c87-8fb6-e3e6957771dc.
  • Chiave applicazione. Un GUID nel formato ca16c415-658f-4c87-8fb6-e3e6957771dc.
  • Chiave di accesso. Una lunga stringa di caratteri casuali.
  • Chiave segreta. Una stringa più breve di caratteri casuali.

Le sezioni seguenti spiegano come ottenere queste informazioni.

Nota

Attualmente, la configurazione dell’integrazione Mimecast permette solo di selezionare uno dei tre tipi di richiesta disponibili. Per raccogliere dati su più tipi di richiesta, eseguire l’integrazione più volte con le stesse credenziali, scegliendo ogni volta un tipo di avviso diverso.

Vedere Immissione dei dettagli dell’API.

Individuazione dell’URL di base

L’URL di base del servizio Mimecast dipende dal tipo di account, dall’area geografica in cui viene utilizzato e dal proprio codice account.

Per trovarlo, consultare la documentazione di Mimecast. Vedere URL di base globali.

Attivazione dei log

Per attivare i log in Mimecast, procedere come indicato di seguito.

  1. Accedere alla Mimecast Administrator Console.
  2. Aprire Administration (Amministrazione) > Account > Syslog Settings (Impostazioni Syslog).
  3. In Enhanced Logging (Log avanzati), scegliere i seguenti tipi di log:

    • In entrata
    • In uscita
    • Interno
  4. Cliccare su Save.

Creazione di un’applicazione API

Occorre aggiungere un’applicazione API in Mimecast. Sophos Central si connetterà a questa API.

Per aggiungere un’applicazione API, procedere come indicato di seguito.

  1. Nella Mimecast Administrator Console, selezionare Services (Servizi) > API and Platform Integrations (Integrazioni di API e piattaforme).
  2. In Available Integrations (Integrazioni disponibili), individuare la scheda Mimecast API 1.0 e cliccare su questa scheda.
  3. In Add API Application (Aggiungi applicazione API), immettere i dettagli dell’applicazione come segue:

    • Application Name: immettere un nome per l’applicazione.
    • Categoria: selezionare SIEM Integration (Integrazione SIEM).
    • Service Application: selezionare Enable Extended Session (Abilita sessione estesa).
    • Descrizione: opzionalmente, immettere una descrizione per l’applicazione.
  4. Cliccare su Next (Avanti).

  5. In *Notification Settings* (Impostazioni di notifica), immettere il nome e l’indirizzo e-mail di un amministratore, che riceverà le notifiche relative all’applicazione API.
  6. Scegliere se autorizzare Mimecast a inviare una notifica all’amministratore quando l’API viene aggiornata.
  7. Cliccare su Next (Avanti).
  8. In Review Information (Verifica informazioni), verificare che le informazioni siano corrette e che lo Status (Stato) sia Enabled (Abilitato).
  9. Cliccare su Add (Aggiungi).

    Verrà creata l’applicazione.

  10. Copiare l’Application ID (ID applicazione) e l’Application Key (Chiave applicazione). Queste informazioni verranno utilizzate in Sophos Central durante l’aggiunta dell’integrazione.

Occorre attendere 30 minuti prima di poter creare e salvare la Chiave di accesso e la Chiave segreta, anch’esse necessarie.

Non è obbligatorio attendere la creazione dell’utente del servizio.

Creazione e configurazione dell’utente del servizio

Occorre creare un utente del servizio in Mimecast. L’utente del servizio deve avere autorizzazioni per la lettura dei dati e credenziali che possano essere utilizzare per chiamare l’applicazione API Mimecast che è stata creata.

Per creare e configurare l’utente del servizio, procedere come segue:

  1. Nella Mimecast Administrator Console, aprire Directories (Directory) > Internal Directories (Directory interne).
  2. Selezionare il dominio e cliccare su New address (Nuovo indirizzo).
  3. Creare un utente del servizio sophos@mydomain.com e immettere una password per questo utente.
  4. Cliccare su Save and Exit (Salva ed esci).
  5. Selezionare Account > Roles (Ruoli).
  6. Cliccare su New Role (Nuovo ruolo) e immettere un nome, ad esempio Integrazioni Sophos.
  7. In Application Permissions (Autorizzazioni per le applicazioni), selezionare le seguenti autorizzazioni:

    • Monitoring Menu (Menu di monitoraggio) > Attachment Protection (Protezione degli allegati) > Read (Lettura)
    • Monitoring Menu > URL Protection (Protezione degli URL) > Read
    • Monitoring Menu > Impersonation Protection Logs (Log di protezione contro gli attacchi di imitazione) > Read

    Avviso

    La configurazione di queste autorizzazioni è obbligatoria per il funzionamento dell’integrazione.

  8. Cliccare su Save and Exit (Salva ed esci).

  9. Cliccare sul ruolo creato.
  10. Cliccare su Add User to Role (Aggiungi utente al ruolo).
  11. Cercare l’utente del servizio sophos@mydomain.com e selezionarlo per aggiungerlo al ruolo.

Verifica della capacità di Sophos di accedere alle chiamate API

Leggere questa sezione se il proprio account Mimecast autorizza le azioni amministrative solo per intervalli IP specifici. In caso contrario, passare a Creazione di segreto e chiave di accesso.

Per assicurarsi che Sophos sia in grado di accedere alle azioni amministrative, incluse le chiamate API, procedere come segue:

  1. Aprire Account > Account Settings (Impostazioni account) > User Access and Permissions (Accesso e autorizzazioni utenti).
  2. Se le azioni amministrative sono consentite solo per intervalli IP specifici, assicurarsi che includano gli indirizzi IP di Sophos.

    Gli indirizzi IP dipendono dall’area geografica di Sophos Central che si utilizza. Per sapere quali sono gli indirizzi IP richiesti, vedere IP di Sophos per le integrazioni.

Potrebbe essere necessario aggiungere questi indirizzi agli elenchi di elementi consentiti nella propria infrastruttura di rete.

In alternativa, trasferire queste restrizioni per gli IP in un profilo di autenticazione per gli amministratori. Vedere Email Security Cloud Gateway - Configure Authentication Profiles (Configurazione dei profili di autenticazione).

Creazione di segreto e chiave di accesso

Per creare le chiavi di accesso e segrete, procedere come indicato di seguito.

  1. Nella Mimecast Administrator Console, selezionare Services (Servizi) > API and Platform Integrations (Integrazioni di API e piattaforme).
  2. In Your Application Integrations (Le tue integrazioni delle applicazioni), cliccare sull’applicazione API creata.
  3. Cliccare su Create Keys (Crea chiavi).
  4. Immettere l’indirizzo e-mail e la password dell’utente del servizio creato.
  5. Copiare le seguenti chiavi da utilizzare in Sophos Central durante l’aggiunta dell’integrazione:

    • Chiave di accesso. Una lunga stringa di caratteri casuali.
    • Chiave segreta. Una stringa più breve di caratteri casuali.

Configurazione di un’integrazione

Per integrare Mimecast Email Security, Cloud Gateway con Sophos Central, procedere come segue:

  1. In Sophos Central, selezionare Centro di analisi delle minacce > Integrazioni > Marketplace.
  2. Cliccare su Mimecast Email Security Cloud Gateway.

    Si apre la pagina Mimecast Email Security Cloud Gateway. Qui è possibile configurare le integrazioni e visualizzare un elenco delle integrazioni che sono già state configurate.

  3. In Inserimento dei dati (Avvisi di sicurezza), cliccare su Aggiungi configurazione.

    Nota

    Se questa è la prima integrazione aggiunta, chiederemo dei dettagli sui domini e sugli IP interni. Vedere I miei domini e IP.

Immissione dei dettagli dell’API

Nei Passaggi di integrazione è possibile configurare un’API in modo che raccolga dati da Email Security Cloud Gateway.

Per farlo, procedere come segue:

  1. Immettere un nome e una descrizione per l’integrazione.
  2. Immettere l’URL di base di Mimecast.
  3. Immettere i seguenti dettagli di autenticazione copiati da Mimecast:

    • ID applicazione
    • Chiave applicazione
    • Chiave di accesso
    • Chiave segreta
  4. Selezionare il Tipo di richiesta. Specificare il tipo di dati che si desidera raccogliere utilizzando questa integrazione.

    Nota

    Al momento è possibile selezionare un solo tipo di richiesta ogni volta che si aggiunge un’integrazione. Per aggiungerne altre, una volta terminata la prima integrazione, aprire Centro di analisi delle minacce > Integrazioni e cliccare su Mimecast Email Security Cloud Gateway.

    Eseguire nuovamente la procedura di configurazione dell’integrazione utilizzando le stesse credenziali, ma scegliendo un tipo di richiesta diverso. Ripetere nuovamente la procedura se si desidera aggiungere un terzo tipo di richiesta.

    Stiamo lavorando per risolvere questo problema. Una volta risolto, sarà possibile selezionare più tipi di richiesta in un’unica configurazione dell’integrazione.

    Scegliere tra i seguenti tipi di richiesta:

    • Log degli URL
    • Log della protezione contro attacchi di imitazione di terze parti fidate
    • Log degli allegati
  5. Cliccare su Salva.

L’integrazione verrà creata e visualizzata nell’elenco. Se l’icona di stato mostra una spunta verde, i dati dovrebbero essere visualizzati nel Sophos Data Lake dopo la convalida.

Nota

Se i dati non vengono visualizzati dopo qualche ora, consultare nuovamente le istruzioni per la configurazione di Mimecast.

Verificare di aver creato l’utente del servizio con le giuste autorizzazioni e di aver impostato l’opzione Authentication Cache TTL su Never Expire nell’Authentication Profile dell’utente del servizio.

Ulteriori informazioni su Mimecast Email Security, Cloud Gateway

Quando si crea l’utente del servizio, le autorizzazioni concesse permetteranno l’accesso in lettura per svolgere le seguenti operazioni:

  • Ottenere Log degli URL di terze parti fidate.
  • Ottenere Log della protezione contro attacchi di imitazione di terze parti fidate.
  • Ottenere Log degli allegati di terze parti fidate.

Per maggiori informazioni su queste autorizzazioni, consultare i seguenti documenti di Mimecast: