Vai al contenuto
Il supporto che offriamo per MDR.

Mimecast Email Security, Cloud Gateway

API

Per utilizzare questa funzionalità, occorre un pacchetto di licenza per l’integrazione “E-mail”.

La versione Cloud Gateway di Mimecast Email Security può essere integrata con Sophos Central per consentire l’invio dei dati di audit a Sophos, a scopo di analisi.

Questa integrazione è basata su API.

I passaggi chiave sono:

  • Ottenere i dettagli del proprio servizio Mimecast.
  • In Mimecast, creare un’applicazione API e un utente del servizio. Verranno utilizzati per chiamare l’API Mimecast.
  • Aggiungere un’integrazione in Sophos Central. È necessario aggiungere un’integrazione per ciascun tipo di dati che si desidera ricevere da Mimecast.

Informazioni di Email Security Cloud Gateway richieste

Per integrare Email Security Cloud Gateway, bisogna recuperare i seguenti dettagli:

  • L’URL di base del servizio.
  • ID applicazione. Un GUID nel formato ca16c415-658f-4c87-8fb6-e3e6957771dc.
  • Chiave applicazione. Un GUID nel formato ca16c415-658f-4c87-8fb6-e3e6957771dc.
  • Chiave di accesso. Una lunga stringa di caratteri casuali.
  • Chiave segreta. Una stringa più breve di caratteri casuali.

Le sezioni seguenti spiegano come ottenere queste informazioni.

Nota

Attualmente, la configurazione dell’integrazione Mimecast permette solo di selezionare uno dei tre tipi di richiesta disponibili. Per raccogliere dati su più tipi di richiesta, eseguire l’integrazione più volte con le stesse credenziali, scegliendo ogni volta un tipo di avviso diverso.

Vedere Immissione dei dettagli dell’API.

Individuazione dell’URL di base

L’URL di base del servizio Mimecast dipende dal tipo di account, dall’area geografica in cui viene utilizzato e dal proprio codice account.

Per trovarlo, consultare la documentazione di Mimecast. Vedere URL di base globali.

Attivazione dei log

Per attivare i log in Mimecast, procedere come indicato di seguito.

  1. Accedere alla Mimecast Administrator Console.
  2. Aprire Administration (Amministrazione) > Account > Syslog Settings (Impostazioni Syslog).
  3. In Enhanced Logging (Log avanzati), scegliere i seguenti tipi di log:

    • Inbound (In entrata)
    • Outbound (In uscita)
    • Internal (Interni)
  4. Cliccare su Save.

Creazione di un’applicazione API

Occorre aggiungere un’applicazione API in Mimecast. Sophos Central si connetterà a questa API.

Per aggiungere un’applicazione API, procedere come indicato di seguito.

  1. Nella Mimecast Administrator Console, selezionare Services (Servizi) > API and Platform Integrations (Integrazioni di API e piattaforme).
  2. In Available Integrations (Integrazioni disponibili), individuare la scheda Mimecast Legacy APIs (API legacy Mimecast) e cliccare su questa scheda.
  3. In Add API Application (Aggiungi applicazione API), immettere i dettagli dell’applicazione come segue:

    • Application Name: immettere un nome per l’applicazione.
    • Category: selezionare SIEM Integration (Integrazione SIEM).
    • Service Application: selezionare Enable Extended Session (Abilita sessione estesa).
    • Description: opzionalmente, immettere una descrizione per l’applicazione.
  4. Cliccare su Next.

  5. In *Notification Settings* (Impostazioni di notifica), immettere il nome e l’indirizzo e-mail di un amministratore, che riceverà le notifiche relative all’applicazione API.
  6. Scegliere se le notifiche debbano essere inviate o meno.
  7. Cliccare su Next.
  8. In Review Information (Verifica informazioni), verificare che le informazioni siano corrette e che lo Status (Stato) sia Enabled (Abilitato).
  9. Cliccare su Add (Aggiungi).

    Verrà creata l’applicazione.

  10. Copiare l’Application ID (ID applicazione) e l’Application Key (Chiave applicazione). Queste informazioni verranno utilizzate in Sophos Central durante l’aggiunta dell’integrazione.

Occorre attendere 30 minuti prima di poter creare e salvare la Chiave di accesso e la Chiave segreta, anch’esse necessarie.

Non è obbligatorio attendere la creazione dell’utente del servizio.

Creazione e configurazione dell’utente del servizio

Occorre creare un utente del servizio in Mimecast. L’utente del servizio deve avere autorizzazioni per la lettura dei dati e credenziali che possano essere utilizzare per chiamare l’applicazione API Mimecast che è stata creata.

Per creare e configurare l’utente del servizio, procedere come segue:

  1. Nella Mimecast Administrator Console, aprire Administration (Amministrazione) > Directories (Directory) > Internal Directories (Directory interne).
  2. Selezionare il dominio e cliccare su New address (Nuovo indirizzo).
  3. Creare un utente del servizio sophos@mydomain.com e immettere una password per questo utente.

    L’utente del servizio deve avere come minimo un ruolo Basic Administrator (Amministratore di base).

  4. Cliccare su Save.

  5. Nella Mimecast Administrator Console, aprire Administration (Amministrazione) > Account > Roles (Ruoli).

  6. Cliccare su New Role (Nuovo ruolo) e immettere un nome e una descrizione.
  7. In Application Permissions (Autorizzazioni per le applicazioni), occorre selezionare le seguenti autorizzazioni:

    • Monitoring Menu (Menu di monitoraggio) > Attachment (Allegato) > Read (Lettura)
    • Monitoring Menu > URL Protection (Protezione degli URL) > Read
    • Monitoring Menu > Impersonation Protection Logs (Log di protezione contro gli attacchi di imitazione) > Read

    Avviso

    La configurazione di queste autorizzazioni è obbligatoria per il funzionamento dell’integrazione.

  8. Cliccare su Save and Exit (Salva ed esci).

  9. Cliccare sul ruolo creato.
  10. Cliccare su Add User to Role (Aggiungi utente al ruolo).
  11. Cliccare sull’indirizzo e-mail dell’utente del servizio che è stato creato.
  12. Nell’Authentication Profile (Profilo di autenticazione) dell’utente del servizio, configurare l’impostazione Authentication Cache TTL (TTL della cache di autenticazione) su Never Expire (Nessuna scadenza).

    Avviso

    La configurazione di questa opzione su Never Expire è obbligatoria per il corretto funzionamento dell’integrazione.

Creazione di segreto e chiave di accesso

Per creare le chiavi di accesso e segrete, procedere come indicato di seguito.

  1. Nella Mimecast Administrator Console, selezionare Services (Servizi) > API and Platform Integrations (Integrazioni di API e piattaforme).
  2. In Your Application Integrations (Le tue integrazioni delle applicazioni), cliccare sull’applicazione API creata.
  3. Cliccare su Create Keys (Crea chiavi).
  4. Immettere l’indirizzo e-mail e la password dell’utente del servizio creato.
  5. Copiare le seguenti chiavi da utilizzare in Sophos Central durante l’aggiunta dell’integrazione:

    • Chiave di accesso. Una lunga stringa di caratteri casuali.
    • Chiave segreta. Una stringa più breve di caratteri casuali.

Aggiunta di un’integrazione

Per integrare Mimecast Email Security, Cloud Gateway con Sophos Central, procedere come segue:

  1. In Sophos Central, aprire Centro di analisi delle minacce e cliccare su Integrazioni.
  2. Cliccare su Mimecast Email Security Cloud Gateway.

    Se sono già state configurate connessioni a Email Security Cloud Gateway, verranno visualizzate qui.

  3. Cliccare su Add (Aggiungi).

    Nota

    Se questa è la prima integrazione aggiunta, chiederemo dei dettagli sui domini e sugli IP interni. Vedere I miei domini e IP.

Immissione dei dettagli dell’API

Nei Passaggi di integrazione è possibile configurare un’API in modo che raccolga dati da Email Security Cloud Gateway.

Per farlo, procedere come segue:

  1. Immettere un nome e una descrizione per l’integrazione.
  2. Immettere l’URL di base di Mimecast.
  3. Immettere i seguenti dettagli di autenticazione copiati da Mimecast:

    • ID applicazione
    • Chiave applicazione
    • Chiave di accesso
    • Chiave segreta
  4. Selezionare il Tipo di richiesta. Specificare il tipo di dati che si desidera raccogliere utilizzando questa integrazione.

    Nota

    Al momento è possibile selezionare un solo tipo di richiesta ogni volta che si aggiunge un’integrazione. Per aggiungerne altre, una volta terminata la prima integrazione, aprire Centro di analisi delle minacce > Integrazioni e cliccare su Mimecast Email Security Cloud Gateway.

    Eseguire nuovamente la procedura di configurazione dell’integrazione utilizzando le stesse credenziali, ma scegliendo un tipo di richiesta diverso. Ripetere nuovamente la procedura se si desidera aggiungere un terzo tipo di richiesta.

    Stiamo lavorando per risolvere questo problema. Una volta risolto, sarà possibile selezionare più tipi di richiesta in un’unica configurazione dell’integrazione.

    Scegliere tra i seguenti tipi di richiesta:

    • Log degli URL
    • Log della protezione contro attacchi di imitazione di terze parti fidate
    • Log degli allegati
  5. Cliccare su Salva.

L’integrazione verrà creata e visualizzata nell’elenco.

Se l’integrazione viene visualizzata come Connessa, i dati saranno visualizzati nel Sophos Data Lake dopo la convalida.

Nota

Se i dati non vengono visualizzati dopo qualche ora, consultare nuovamente le istruzioni per la configurazione di Mimecast.

Verificare di aver creato l’utente del servizio con le giuste autorizzazioni e di aver impostato l’opzione Authentication Cache TTL su Never Expire nell’Authentication Profile dell’utente del servizio.

Ulteriori informazioni su Mimecast Email Security, Cloud Gateway

Quando si crea l’utente del servizio, le autorizzazioni concesse permetteranno l’accesso in lettura per svolgere le seguenti operazioni:

  • Ottenere Log degli URL di terze parti fidate.
  • Ottenere Log della protezione contro attacchi di imitazione di terze parti fidate.
  • Ottenere Log degli allegati di terze parti fidate.

Per maggiori informazioni su queste autorizzazioni, consultare i seguenti documenti di Mimecast: