Mimecast の統合
Mimecast Email Security Cloud Gateway は、Sophos Central と統合して、ソフォスでの解析用に警告を送信することができます。
このページでは、統合の概要を説明します。
このページは、Mimecast API 1.0 または Mimecast API 2.0 との統合に関して説明しています。
Mimecast API 1.0 はレガシーバージョンです。Mimecast アカウントで利用できなくなる可能性があります。
次のいずれかの場合は、Mimecast API 2.0 を使用することをお勧めします。
- 新しいメール セキュリティ クラウド ゲートウェイのお客様。
- アクティブな統合が行われていない既存のメール セキュリティ クラウドゲートウェイのお客様。
- Mimecast でのみ利用可能な新機能を使用したいと考えている既存のお客様。
Mimecast 製品概要
Mimecast の Email Security Cloud Gateway は、フィッシング、マルウェア、スパムなど、メールを媒介とする多数の脅威から防御するクラウドベースのソリューションです。一元化されたプラットフォームを通じて、多層的な検出メカニズムを提供し、リアルタイムの脅威インテリジェンスと迅速なインシデント対応を提供しながら、送受信メールの安全性を確保します。
ソフォス製品ドキュメント
Mimecast API 1.0 または Mimecast API 2.0 を使用して警告を取得する統合を設定できます。取得される警告は同じです。
取り込まれる内容
ソフォスで表示される警告の例:
Impersonation Attempt
Unsafe Email Attachment
URL Protection
IP Temporarily Blacklisted
Anti-Spoofing policy - Inbound not allowed
Invalid Recipient
Exceeding outbound thread limit
Message bounced due to Content Examination Policy
完全に取り込まれる警告
次の 3つの Mimecast カテゴリから警告を取り込みます。
- 添付ファイル:
- 偽装
- URL
フィルタリング
警告は次のようにフィルタリングされます。
- 返された警告の形式が正常であるかどうかを確認します。
- Mimecast がスキャン結果をクリーンまたは安全とマークした警告を削除します。
脅威マッピングの例
警告マッピングは、各 3つの特定の種類またはエンドポイントに基づいて定義され、次のいずれかです。
添付ファイル: デフォルトは "Unsafe Email Attachment" (安全でないメールの添付ファイル) です。
偽装: デフォルトは “Impersonation Attempt” (なりすましや偽装の試み) です。
クリック:フィールド ttpDefinition
が空の場合は、creationMethod
の値を使用します。それ以外の場合は、reason
の値を使用します。
{"alertType": "Impersonation Attempt", "threatId": "T1598.003", "threatName": "Spearphishing Link"}
{"alertType": "Unsafe Email Attachment", "threatId": "T1598.002", "threatName": "Spearphishing Attachment"}
{"alertType": "URL Protection", "threatId": "T1598.003", "threatName": "Spearphishing Link"}
{"alertType": "Default URL Protection", "threatId": "T1598.003", "threatName": "Spearphishing Link"}
{"alertType": "IP Temporarily Blacklisted", "threatId": "TA0001", "threatName": "Initial Access"}
{"alertType": "Submitter failed to authenticate", "threatId": "T1078", "threatName": "Valid Accounts"}
{"alertType": "Anti-Spoofing policy - Inbound not allowed", "threatId": "T1598.003", "threatName": "Spearphishing Link"}
{"alertType": "Invalid Recipient", "threatId": "TA0005", "threatName": "Defense Evasion"}
{"alertType": "Exceeding outbound thread limit", "threatId": "T1041", "threatName": "Exfiltration Over C2 Channel"}
{"alertType": "Message bounced due to Content Examination Policy", "threatId": "T1598", "threatName": "Phishing for Information"}
{"alertType": "Default Inbound URL Protect Definition", "threatId": "T1598.003", "threatName": "Spearphishing Link"}
ベンダーのドキュメント
ここでは、クエリを実行する 3つのエンドポイントのドキュメントを示します。