Pular para o conteúdo
Saiba como oferecemos suporte ao MDR.

Mimecast Email Security, Cloud Gateway

API

Você deve ter o pacote de licença de integrações "Email" para usar esse recurso.

Você pode integrar a versão do Cloud Gateway do Mimecast Email Security ao Sophos Central para o envio de dados de auditoria à Sophos para análise.

Essa integração é baseada em API.

As etapas principais são as seguintes:

  • Obtenha detalhes do seu serviço Mimecast.
  • No Mimecast, crie um aplicativo de API e um usuário de serviço. Usamos isso para chamar a API Mimecast.
  • Adicione uma integração ao Sophos Central. Você precisa adicionar uma integração para cada tipo de dado que deseja que o Mimecast nos envie.

O que você precisa do Email Security Cloud Gateway

Para integrar o Email Security Cloud Gateway, você precisa dos seguintes detalhes:

  • A URL base do seu serviço.
  • ID do aplicativo: Uma GUID no formulário ca16c415-658f-4c87-8fb6-e3e6957771dc.
  • Chave do aplicativo: Uma GUID no formulário ca16c415-658f-4c87-8fb6-e3e6957771dc.
  • Chave de acesso: Uma cadeia longa de caracteres aleatórios.
  • Chave secreta: Uma cadeia curta de caracteres aleatórios.

As seções a seguir mostram como obter essas informações.

Nota

Atualmente, a configuração da integração do Mimecast permite que você escolha apenas um dos três tipos de solicitação disponíveis. Para coletar dados sobre mais de um tipo de solicitação, execute a integração várias vezes com as mesmas credenciais, escolhendo um tipo de alerta diferente a cada vez.

Consulte Inserir os detalhes da API.

Localizar sua URL base

A URL base do serviço Mimecast depende do tipo da sua conta, da região em que você a usa e do código da sua conta.

Para saber qual é, use a documentação do Mimecast. Consulte Global Base URLs.

Ativar registro em log

Para ativar o registro em log, siga este procedimento.

  1. Faça login no Mimecast Administrator Console.
  2. Vá para Administration > Account > Account Settings.
  3. Em Enhanced Logging, escolha os seguintes tipos de registro em log:

    • De Entrada
    • De Saída
    • Interno
  4. Clique em Salvar.

Criar um aplicativo de API

Você precisa adicionar um aplicativo de API no Mimecast. O Sophos Central se conectará a essa API.

Para adicionar um aplicativo de API, siga este procedimento.

  1. No seu Mimecast Administrator Console, vá para Services > API and Platform Integrations.
  2. Em Available Integrations, localize o cartão Legacy APIs do Mimecast e clique nele.
  3. Em Add API Application, preencha os detalhes do aplicativo da seguinte forma:

    • Nome da Aplicação: Insira um nome para o seu aplicativo.
    • Categoria: Selecione SIEM Integration.
    • Aplicativo de serviço: Selecione Enable Extended Session.
    • Descrição: Opcionalmente, insira uma descrição para o aplicativo.
  4. Clique em Avançar.

  5. Em Notification Settings, digite o nome e o endereço de e-mail de um administrador para receber notificações sobre o aplicativo de API.
  6. Escolha se deseja ou não enviar notificações.
  7. Clique em Avançar.
  8. Em Review Information, verifique se as informações estão corretas e se o Status é Enabled.
  9. Clique em Adicionar.

    O aplicativo é criado.

  10. Copie os valores em Application ID e Application Key. Você os usará no Sophos Central quando adicionar a integração.

Você deve aguardar 30 minutos para poder criar e salvar a chave de acesso e a chave secreta, que você também precisa.

Você não precisa esperar para criar o usuário de serviço.

Criar e configurar usuário de serviço

Você precisa criar um usuário de serviço no Mimecast. O usuário de serviço deve ter permissões para ler dados e ter credenciais que possamos usar para chamar o aplicativo de API de Mimecast que você criou.

Para criar e configurar o usuário do serviço, faça o seguinte:

  1. No seu Mimecast Administrator Console, vá para Administration > Directories > Internal Directories.
  2. Selecione o domínio e clique em New address.
  3. Crie um usuário de serviço sophos@mydomain.com e insira uma senha para ele.

    A função de usuário de serviço deve ter pelo menos a função de Administrador Básico.

  4. Clique em Salvar.

  5. No seu Mimecast Administrator Console, vá para Administration > Account > Roles.

  6. Clique em New Role e digite um nome e uma descrição.
  7. Em Application Permissions, você deve selecionar as seguintes permissões:

    • Monitoring Menu > Attachment > Read
    • Monitoring Menu > URL Protection > Read
    • Monitoring Menu > Impersonation Protection Logs > Read

    Alerta

    Você deve definir essas permissões ou a integração não funcionará.

  8. Clique em Save and Exit.

  9. Clique na função que você criou.
  10. Clique em Add User to Role.
  11. Clique no endereço de e-mail do usuário de serviço que você criou.
  12. Em Authentication Profile do usuário de serviço efetivo, defina Authentication Cache TTL como Never Expire.

    Alerta

    Você deve definir isso para Never Expire, ou a integração não funcionará.

Criar chave e segredo de acesso

Para criar as chaves de acesso e de segredo, faça o seguinte.

  1. No seu Mimecast Administrator Console, vá para Services > API and Platform Integrations.
  2. Em Your Application Integrations, clique no aplicativo de API que você criou.
  3. Clique em Create Keys.
  4. Digite o endereço de e-mail e a senha do usuário do serviço que você criou.
  5. Copie as seguintes chaves para usar no Sophos Central quando adicionar a integração:

    • Chave de acesso: Uma cadeia longa de caracteres aleatórios.
    • Chave secreta: Uma cadeia curta de caracteres aleatórios.

Adicionar uma integração

Para integrar o Mimecast Email Security, Cloud Gateway ao Sophos Central, faça o seguinte:

  1. No Sophos Central, vá para o Centro de Análise de Ameaças e clique em Integrações.
  2. Clique em Mimecast Email Security Cloud Gateway.

    Se já tiver configurado as conexões ao Email Security Cloud Gateway, você as verá aqui.

  3. Clique em Adicionar.

    Nota

    Se esta for a primeira integração que você adiciona, solicitaremos detalhes sobre seus domínios internos e IPs. Consulte Meus domínios e IPs.

Inserir os detalhes da API

Em Etapas de integração, você configura uma API para coletar dados do Email Security Cloud Gateway.

Para isso, siga este procedimento:

  1. Insira um nome e uma descrição para a integração.
  2. Insira a URL base do Mimecast.
  3. Insira os seguintes detalhes de autenticação copiados do Mimecast:

    • ID do aplicativo
    • Chave do aplicativo
    • Chave de acesso
    • Chave secreta
  4. Selecione o tipo em Tipo de solicitação. Isso especifica o tipo de dados que você deseja que essa integração colete.

    Nota

    Atualmente, você só pode escolher um tipo de solicitação cada vez que adiciona uma integração. Para adicionar mais de um tipo, depois de concluir a primeira integração, vá para Centro de Análise de Ameaças > Integrações e clique em Mimecast Email Security Cloud Gateway.

    Faça novamente a configuração de integração, usando as mesmas credenciais, e selecione um tipo de solicitação diferente. Em seguida, repita o processo se desejar adicionar um terceiro tipo de solicitação.

    Estamos trabalhando para mudar isso. Quando a alteração for feita, você poderá selecionar vários tipos de solicitação em uma configuração de integração.

    Escolha entre os seguintes tipos de solicitação:

    • Logs de URL
    • Logs de clonagem
    • Logs de anexos
  5. Clique em Salvar.

Nós criamos a integração e ela aparece na sua lista.

Se a sua integração for exibida como Conectado, seus dados deverão aparecer no Sophos Data Lake após a validação.

Nota

Se os seus dados não aparecerem após algumas horas, volte a consultar as instruções para configurar o Mimecast.

Verifique se você criou o usuário de serviço com as permissões corretas e defina Authentication Cache TTL como Never Expire em Authentication Profile do usuário de serviço efetivo.

Mais informações sobre o Mimecast Email Security, Cloud Gateway

Quando você cria o usuário de serviço, as permissões atribuídas concedem acesso de leitura para:

  • Obter logs TTP URL.
  • Obter logs TTP Impersonation Protect.
  • Obter logs Attachment Protection.

Para obter mais informações sobre essas permissões, consulte os seguintes documentos do Mimecast: