Pular para o conteúdo
Saiba como oferecemos suporte ao MDR.

Mimecast Email Security, Cloud Gateway

API

Você deve ter o pacote de licença de integrações "Email" para usar esse recurso.

Você pode integrar a versão do Cloud Gateway do Mimecast Email Security ao Sophos Central para o envio de dados de auditoria à Sophos para análise.

Essa integração é baseada em API.

As etapas principais são as seguintes:

  • Obtenha detalhes do seu serviço Mimecast.
  • No Mimecast, crie um aplicativo de API e um usuário de serviço. Usamos isso para chamar a API Mimecast.
  • Configure uma integração no Sophos Central. Você precisa adicionar uma integração para cada tipo de dado que deseja que o Mimecast nos envie.

O que você precisa do Email Security Cloud Gateway

Para integrar o Email Security Cloud Gateway, você precisa dos seguintes detalhes:

  • A URL base do seu serviço.
  • ID do aplicativo: Uma GUID no formulário ca16c415-658f-4c87-8fb6-e3e6957771dc.
  • Chave do aplicativo: Uma GUID no formulário ca16c415-658f-4c87-8fb6-e3e6957771dc.
  • Chave de acesso: Uma cadeia longa de caracteres aleatórios.
  • Chave secreta: Uma cadeia curta de caracteres aleatórios.

As seções a seguir mostram como obter essas informações.

Nota

Atualmente, a configuração da integração do Mimecast permite que você escolha apenas um dos três tipos de solicitação disponíveis. Para coletar dados sobre mais de um tipo de solicitação, execute a integração várias vezes com as mesmas credenciais, escolhendo um tipo de alerta diferente a cada vez.

Consulte Inserir os detalhes da API.

Localizar sua URL base

A URL base do serviço Mimecast depende do tipo da sua conta, da região em que você a usa e do código da sua conta.

Para saber qual é, use a documentação do Mimecast. Consulte Global Base URLs.

Ativar registro em log

Para ativar o registro em log, siga este procedimento.

  1. Faça login no Mimecast Administrator Console.
  2. Vá para Administration > Account > Account Settings.
  3. Em Enhanced Logging, escolha os seguintes tipos de registro em log:

    • De Entrada
    • De Saída
    • Interno
  4. Clique em Salvar.

Criar um aplicativo de API

Você precisa adicionar um aplicativo de API no Mimecast. O Sophos Central se conectará a essa API.

Para adicionar um aplicativo de API, siga este procedimento.

  1. No seu Mimecast Administrator Console, vá para Services > API and Platform Integrations.
  2. Em Available Integrations, localize o cartão Mimecast API 1.0 e clique nele.
  3. Em Add API Application, preencha os detalhes do aplicativo da seguinte forma:

    • Nome da Aplicação: Insira um nome para o seu aplicativo.
    • Categoria: Selecione SIEM Integration.
    • Aplicativo de serviço: Selecione Enable Extended Session.
    • Descrição: Opcionalmente, insira uma descrição para o aplicativo.
  4. Clique em Avançar.

  5. Em Notification Settings, digite o nome e o endereço de e-mail de um administrador para receber notificações sobre o aplicativo de API.
  6. Escolha se o Mimecast pode ou não notificar o administrador quando a API for atualizada.
  7. Clique em Avançar.
  8. Em Review Information, verifique se as informações estão corretas e se o Status é Enabled.
  9. Clique em Adicionar.

    O aplicativo é criado.

  10. Copie os valores em Application ID e Application Key. Você os usará no Sophos Central quando adicionar a integração.

Você deve aguardar 30 minutos para poder criar e salvar a chave de acesso e a chave secreta, que você também precisa.

Você não precisa esperar para criar o usuário de serviço.

Criar e configurar usuário de serviço

Você precisa criar um usuário de serviço no Mimecast. O usuário de serviço deve ter permissões para ler dados e ter credenciais que possamos usar para chamar o aplicativo de API de Mimecast que você criou.

Para criar e configurar o usuário do serviço, faça o seguinte:

  1. No seu Mimecast Administrator Console, vá para Directories > Internal Directories.
  2. Selecione o domínio e clique em New address.
  3. Crie um usuário de serviço sophos@mydomain.com e insira uma senha para ele.
  4. Clique em Save and Exit.
  5. Vá para Account > Roles.
  6. Clique em New Role e digite um nome, por exemplo, Sophos Integration.
  7. Em Application Permissions, selecione as seguintes permissões:

    • Monitoring Menu > Attachment Protection > Read
    • Monitoring Menu > URL Protection > Read
    • Monitoring Menu > Impersonation Protection Logs > Read

    Alerta

    Você deve definir essas permissões ou a integração não funcionará.

  8. Clique em Save and Exit.

  9. Clique na função que você criou.
  10. Clique em Add User to Role.
  11. Procure o usuário de serviço sophos@mydomain.com e selecione-o para adicioná-lo à função.

Assegurar que a Sophos possa acessar chamadas da API

Se a sua conta Mimecast der permissão para ações administrativas apenas para intervalos de IP específicos, leia esta seção. Caso contrário, vá para Criar segredo de acesso e chave.

Para garantir que a Sophos possa acessar ações administrativas, incluindo chamadas de API, faça o seguinte:

  1. Vá para Account > Account Settings > User Access and Permissions.
  2. Se as ações administrativas forem permitidas apenas para intervalos de IP específicos, assegure que os endereços IP Sophos estejam incluídos.

    Os endereços IP dependem da sua região do Sophos Central. Para saber quais endereços IP você precisa, consulte IPs Sophos para integrações.

Se necessário, você pode adicionar esses endereços às listas de permissão na infraestrutura da sua rede.

Como alternativa, mova as restrições desses IP para um perfil de autenticação para seus administradores. Consulte Email Security Cloud Gateway - Configure Authentication Profiles.

Criar segredo de acesso e chave

Para criar as chaves de acesso e de segredo, faça o seguinte.

  1. No seu Mimecast Administrator Console, vá para Services > API and Platform Integrations.
  2. Em Your Application Integrations, clique no aplicativo de API que você criou.
  3. Clique em Create Keys.
  4. Digite o endereço de e-mail e a senha do usuário do serviço que você criou.
  5. Copie as seguintes chaves para usar no Sophos Central quando adicionar a integração:

    • Chave de acesso: Uma cadeia longa de caracteres aleatórios.
    • Chave secreta: Uma cadeia curta de caracteres aleatórios.

Configurar uma integração

Para integrar o Mimecast Email Security, Cloud Gateway ao Sophos Central, faça o seguinte:

  1. Em Sophos Central, vá para Centro de Análise de Ameaças > Integrações > Marketplace.
  2. Clique em Mimecast Email Security Cloud Gateway.

    A página Mimecast Email Security Cloud Gateway é aberta. Você pode configurar integrações aqui e ver uma lista daquelas que você já configurou.

  3. Em Ingestão de dados (Alertas de segurança), clique em Adicionar configuração.

    Nota

    Se esta for a primeira integração que você adiciona, solicitaremos detalhes sobre seus domínios internos e IPs. Consulte Meus domínios e IPs.

Inserir os detalhes da API

Em Etapas de integração, você configura uma API para coletar dados do Email Security Cloud Gateway.

Para isso, siga este procedimento:

  1. Insira um nome e uma descrição para a integração.
  2. Insira a URL base do Mimecast.
  3. Insira os seguintes detalhes de autenticação copiados do Mimecast:

    • ID do aplicativo
    • Chave do aplicativo
    • Chave de acesso
    • Chave secreta
  4. Selecione o tipo em Tipo de solicitação. Isso especifica o tipo de dados que você deseja que essa integração colete.

    Nota

    Atualmente, você só pode escolher um tipo de solicitação cada vez que adiciona uma integração. Para adicionar mais de um tipo, depois de concluir a primeira integração, vá para Centro de Análise de Ameaças > Integrações e clique em Mimecast Email Security Cloud Gateway.

    Faça novamente a configuração de integração, usando as mesmas credenciais, e selecione um tipo de solicitação diferente. Em seguida, repita o processo se desejar adicionar um terceiro tipo de solicitação.

    Estamos trabalhando para mudar isso. Quando a alteração for feita, você poderá selecionar vários tipos de solicitação em uma configuração de integração.

    Escolha entre os seguintes tipos de solicitação:

    • Logs de URL
    • Logs de clonagem
    • Logs de anexos
  5. Clique em Salvar.

Nós criamos a integração e ela aparece na sua lista. Se o seu ícone de status mostrar uma marca verde, seus dados deverão aparecer no Sophos Data Lake após a validação.

Nota

Se os seus dados não aparecerem após algumas horas, volte a consultar as instruções para configurar o Mimecast.

Verifique se você criou o usuário de serviço com as permissões corretas e defina Authentication Cache TTL como Never Expire em Authentication Profile do usuário de serviço efetivo.

Mais informações sobre o Mimecast Email Security, Cloud Gateway

Quando você cria o usuário de serviço, as permissões atribuídas concedem acesso de leitura para:

  • Obter logs TTP URL.
  • Obter logs TTP Impersonation Protect.
  • Obter logs Attachment Protection.

Para obter mais informações sobre essas permissões, consulte os seguintes documentos do Mimecast: