Vai al contenuto
Il supporto che offriamo per MDR.

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/customer/help/it-it/index.html?contextId=MimecastV2

Integrazione di Mimecast 2.0

API Email

Per utilizzare questa funzionalità, occorre un pacchetto di licenza per l’integrazione “E-mail”.

La versione Cloud Gateway di Mimecast 2.0 Email Security può essere integrata con Sophos Central per consentire l’invio dei dati di audit a Sophos, a scopo di analisi.

Questa integrazione utilizza un’API Mimecast per raccogliere e inoltrare i dati.

I passaggi chiave sono:

  • Attivare i log in Mimecast.
  • Assicurarsi che l’account Mimecast consenta a Sophos di accedere alle chiamate API.
  • Creare un ruolo per l’API Mimecast.
  • Aggiungere l’API Mimecast.
  • Configurare un’integrazione in Sophos Central.

Mimecast può inviare a Sophos Central tre tipi di dati: Log degli URL, log dei tentativi di imitazione e log degli allegati. È necessario aggiungere un’integrazione per ogni tipo di dati che si desidera utilizzare.

Quando si configura l’API Mimecast, assicurarsi di utilizzare l’account amministratore con il brand dell’azienda, non l’account amministratore temporaneo di onboarding fornito da Mimecast.

Attivazione dei log

Per attivare i log in Mimecast, procedere come indicato di seguito:

  1. Accedere alla Mimecast Administrator Console.
  2. Aprire Administration (Amministrazione) > Account > Syslog Settings (Impostazioni Syslog).

  3. In Enhanced Logging (Log avanzati), scegliere i seguenti tipi di log:

    • In entrata
    • In uscita
    • Interno

  4. Cliccare su Salva.

Verifica della capacità di Sophos di accedere alle chiamate API

Leggere questa sezione se il proprio account Mimecast autorizza le azioni amministrative solo per intervalli IP specifici. In caso contrario, passare a Creazione di un ruolo per l’API.

Se il proprio account Mimecast autorizza le azioni amministrative solo per intervalli IP specifici, è necessario aggiungere IP Sophos a tali intervalli IP. In questo modo, Sophos avrà l’autorizzazione necessaria per accedere alle chiamate API.

Nota

Assicurarsi che siano autorizzati tutti gli indirizzi IP, non solo gli indirizzi IP di Sophos.

Per autorizzare Sophos ad accedere alle chiamate API, procedere come segue:

  1. Aprire Account > Account Settings (Impostazioni account) > User Access and Permissions (Accesso e autorizzazioni utenti).

  2. Assicurarsi che gli indirizzi IP di Sophos siano inclusi negli indirizzi autorizzati a eseguire azioni amministrative.

    Gli indirizzi IP dipendono dall’area geografica di Sophos Central che si utilizza. Per sapere quali sono gli indirizzi IP richiesti, vedere Autorizzazione degli IP Sophos.

Potrebbe essere necessario aggiungere questi indirizzi agli elenchi di elementi consentiti nella propria infrastruttura di rete.

In alternativa, trasferire queste restrizioni per gli IP in un profilo di autenticazione per gli amministratori. Vedere Email Security Cloud Gateway - Configure Authentication Profiles (Configurazione dei profili di autenticazione).

Creazione di un ruolo per l’API

Creare un ruolo con le autorizzazioni richieste dall’API, procedendo come segue:

  1. Selezionare Account > Roles (Ruoli).
  2. Cliccare su New Role (Nuovo ruolo) e inserire un nome. Ad esempio, “Integrazione Sophos”.

  3. In Application Permissions (Autorizzazioni per le applicazioni), selezionare le seguenti autorizzazioni:

    • Monitoring Menu (Menu di monitoraggio) > Attachment Protection (Protezione degli allegati) > Read (Lettura)
    • Monitoring Menu > URL Protection (Protezione degli URL) > Read
    • Monitoring Menu > Impersonation Protection Logs (Log di protezione contro gli attacchi di imitazione) > Read
    • Security Events and Data Retrieval (Eventi di sicurezza e recupero dei dati) > Threat and security events (SIEM) (Eventi sulle minacce e di sicurezza (SIEM)) > Read
    • Security Events and Data Retrieval > Threat and security statistics (Statistiche sulle minacce e di sicurezza) > Read

  4. Cliccare su Save and Exit (Salva ed esci).

Aggiunta dell’API

Aggiungere l’API Mimecast. Sophos Central si connetterà all’API in un secondo momento.

  1. Aprire Services (Servizi) > API and Platform Integrations (Integrazioni di API e piattaforme).
  2. In Available Integrations (Integrazioni disponibili), cliccare sul riquadro Mimecast API 2.0.
  3. Cliccare su Generate Keys (Genera chiavi). Le chiavi verranno mostrate più tardi.

  4. Leggere i Terms & Conditions (Termini e condizioni), selezionare la casella di controllo I accept (Accetto) e cliccare su Next (Avanti).

    Verrà visualizzata la sezione Application Details (Dettagli applicazione).

  5. Inserire un Application Name (Nome dell’applicazione). Ad esempio, “Integrazione Sophos”.

  6. In Category (Categoria), selezionare SIEM Integration (Integrazione SIEM).
  7. In Products (Prodotti), scegliere Select All (Seleziona tutti).
  8. In Application Role (Ruolo applicazione), selezionare il ruolo creato in precedenza.

  9. Nella sezione Notification Settings (Impostazioni di notifica), fornire i recapiti e-mail da utilizzare qualora Mimecast avesse bisogno di mettersi in contatto per motivi correlati all’uso di questa API.

    Si consiglia di specificare un gruppo, piuttosto che un singolo utente.

  10. Controllare il Summary (Riepilogo) e cliccare su Add (Aggiungi).

    Verranno visualizzate le chiavi Client ID (ID client) e Client Secret (Segreto client). Copiarle e conservarle in un luogo sicuro. Verranno utilizzate in Sophos Central al momento dell’aggiunta dell’integrazione.

Configurazione di un’integrazione

Per integrare Mimecast 2.0 Email Security con Sophos Central, procedere come segue:

  1. In Sophos Central, selezionare Centro di analisi delle minacce > Integrazioni > Marketplace.

  2. Cliccare su Mimecast 2.0 - Email Security Cloud Gateway.

    Si apre la pagina Mimecast 2.0 - Email Security Cloud Gateway. Qui è possibile configurare le integrazioni e visualizzare un elenco delle integrazioni che sono già state configurate.

  3. In Inserimento dei dati (Avvisi di sicurezza), cliccare su Aggiungi configurazione.

    Nota

    Se questa è la prima integrazione aggiunta, chiederemo dei dettagli sui domini e sugli IP interni. Vedere Immissione dei dettagli di dominio e IP.

    Si aprono i Passaggi di integrazione, che permettono di abilitare la raccolta di dati da Mimecast con Sophos Central.

  4. Immettere un nome e una descrizione per l’integrazione.

  5. Inserire l’ID client e il Segreto client copiati da Mimecast.

  6. Selezionare il Tipo di richiesta. Specificare il tipo di dati che si desidera raccogliere utilizzando questa integrazione. Selezionare uno dei seguenti tipi di dati:

    • Log degli URL
    • Log dei tentativi di imitazione
    • Log degli allegati

    Nota

    È possibile selezionare un solo tipo di richiesta ogni volta che si configura un’integrazione. È possibile aggiungerne altre dopo aver completato l’integrazione attuale. Aprire Centro di analisi delle minacce > Integrazioni, cliccare su Mimecast 2.0 - Email Security Cloud Gateway e ripetere i passaggi di integrazione utilizzando gli stessi dettagli di autenticazione.

  7. Cliccare su Salva.

L’integrazione verrà creata e visualizzata nell’elenco. Se l’icona di stato mostra una spunta verde, i dati dovrebbero essere visualizzati nel Sophos Data Lake dopo la convalida.