Mimecast Email Security, Cloud Gateway
要使用此功能,您必須擁有「電子郵件」整合授權套件。
您可以將 Mimecast Email Security 的雲端閘道版本與 Sophos Central 整合,以便其將稽核資料傳送到 Sophos 進行分析。
此整合以 API 為基礎。
主要步驟描述如下:
- 取得您 Mimecast 服務的詳細資料。
- 在 Mimecast 中,建立 API 應用程式和服務使用者。我們使用這些內容來呼叫 Mimecast API。
- 在 Sophos Central 中設定整合。您需要為希望 Mimecast 傳送給我們的每個資料類型新增整合。
從 Email Security Cloud Gateway 中需要的資訊
若要整合 Email Security Cloud Gateway,您需要下列詳細資料:
- 服務的基本 URL。
- 應用程式 ID:表單中的 GUID
ca16c415-658f-4c87-8fb6-e3e6957771dc。 - 應用程式金鑰:表單中的 GUID
ca16c415-658f-4c87-8fb6-e3e6957771dc。 - 存取金鑰:一長串隨機字元字串。
- 秘密金鑰:較短的隨機字元字串。
下列區段顯示了如何取得此資訊。
尋找您的基本 URL
Mimecast 服務的基本 URL 取決於您的帳戶類型、您使用它的地區以及您的帳戶代碼。
若要瞭解這些資訊,請使用 Mimecast 文件。請參閱全域基本 URL。
開啟記錄
要在 Mimecast 中開啟記錄,請執行以下動作。
- 登入您的 Mimecast 管理員主控台。
- 移至管理 > 帳戶 > 帳戶設定。
-
在增強記錄中,選擇以下記錄類型:
- 入埠
- 出埠
- 內部
-
按一下儲存。
建立 API 應用程式
您需要在 Mimecast 中新增 API 應用程式。Sophos Central 將連接到此 API。
若要新增 API 應用程式,請依照以下步驟操作。
- 在您的 Mimecast 管理員主控台中,移至服務 > API 和平台整合。
- 在可用整合中,尋找並按一下 Mimecast API 1.0 卡。
-
在新增 API 應用程式中,按如下所示填寫應用程式詳細資料:
- 應用程式名稱:輸入應用程式的名稱。
- 類別:選取 SIEM 整合。
- 服務應用程式:選取啟用擴展工作階段。
- 說明:(可選)輸入應用程式的說明。
-
按一下下一步。
- 在通知設定中,輸入管理員的名稱和電子郵件地址,以接收有關 API 應用程式的通知。
- 選擇更新 API 時 Mimecast 是否可以通知管理員。
- 按一下下一步。
- 在查看資訊中,檢查資訊是否正確,以及狀態是否為已啟用。
-
按一下新增。
應用程式已建立。
-
複製應用程式 ID 和應用程式金鑰。新增整合時,會在 Sophos Central 中用到這些資訊。
您必須等待 30 分鐘,才能建立和儲存還需要的存取金鑰和祕密金鑰。
建立服務使用者無需等待。
建立和設定服務使用者
您需要在 Mimecast 中建立服務使用者。服務使用者必須具有讀取資料的權限,以及可用來呼叫您建立的 Mimecast API 應用程式的認證。
要建立並設定服務使用者,請執行以下動作:
- 在 Mimecast 管理員主控台中,移至目錄 > 內部目錄。
- 選取網域,然後按一下新建地址。
- 建立
sophos@mydomain.com服務使用者並為其輸入密碼。 - 按一下儲存並退出。
- 移至帳戶 > 角色。
- 按一下新建角色並輸入名稱,例如 Sophos Integration。
-
在應用程式權限中,選取以下權限:
- 監視功能表 > 附件保護 > 讀取
- 監視功能表 > URL 保護 > 讀取
- 監視功能表 > 模擬保護記錄 > 讀取
警告
您必須設定這些權限,否則整合無法運作。
-
按一下儲存並退出。
- 按一下您建立的角色。
- 按一下將使用者新增到角色。
- 搜尋
sophos@mydomain.com服務使用者並選中該使用者以將其新增到角色中。
確保 Sophos 可以存取 API 呼叫
如果您的 Mimecast 帳戶僅允許在特定 IP 範圍內執行管理動作,請閱讀本節。否則,請跳至 建立存取密碼和金鑰。
要確保 Sophos 可以存取管理動作(包括 API 呼叫),請執行以下操作:
- 移至帳戶 > 帳戶設定 > 使用者存取和權限。
-
如果只允許對特定 IP 範圍執行管理動作,請確保包含 Sophos IP 位址。
IP 位址取決於您的 Sophos Central 地區。要尋找您需要的 IP 位址,請參閱 用於整合的 Sophos IP。
您可能需要將這些位址新增到網路結構中的允許清單。
或者,將這些 IP 限制移至管理員的身分驗證設定檔。請參閱 Email Security Cloud Gateway - 設定身分驗證設定檔。
建立存取密碼和金鑰
要建立存取金鑰和秘密金鑰,請執行以下操作。
- 在您的 Mimecast 管理員主控台中,移至服務 > API 和平台整合。
- 在您的應用程式整合中,按一下您建立的 API 應用程式。
- 按一下建立金鑰。
- 輸入您建立的服務使用者的電子郵件地址和密碼。
-
複製以下金鑰,以便在新增整合時在 Sophos Central 中使用:
- 存取金鑰:一長串隨機字元字串。
- 秘密金鑰:較短的隨機字元字串。
設定整合
要將 Mimecast Email Security、Cloud Gateway 與 Sophos Central 整合,請依照以下步驟操作:
- 在 Sophos Central 中,移至威脅分析中心 > 整合 > 市場。
-
按一下 Mimecast Email Security Cloud Gateway。
Mimecast Email Security Cloud Gateway 頁面隨即打開。您可以在此處設定整合並查看已設定的所有整合清單。
-
在資料擷取(安全警示)中,按一下新增設定。
注意
如果這是您新增的第一個整合,我們可能會要求您提供內部網域和 IP 的詳細資料。請參閱我的網域和 IP。
輸入 API 詳細資料
在整合步驟中,您可以設定一個 API 以從 Email Security Cloud Gateway 收集資料。
若要執行此操作,請依照以下步驟操作。
- 輸入整合的名稱和說明。
- 輸入您的 Mimecast 基本 URL。
-
輸入您從 Mimecast 複製的下列驗證詳細資料:
- 應用程式 ID
- 應用程式金鑰
- 存取金鑰
- 秘密金鑰
-
選取請求類型。這會指定您要此整合收集的資料類型。
注意
目前,每次新增整合時只能選擇一個請求類型。若要新增多個整合,完成第一個整合之後,移至威脅分析中心 > 整合,然後按一下 Mimecast Email Security Cloud Gateway。
使用相同的認證再次完成整合設定,然後選取不同的請求類型。然後,如果要新增第三個請求類型,請重複此過程。
我們正在努力完善這一點。進行變更時,您可以在單一整合設定中選取多個請求類型。
從以下請求類型中進行選擇:
- URL 記錄
- 模擬記錄
- 附件記錄
-
按一下儲存。
我們會建立整合,整合會顯示在您的清單中。如果其狀態圖示顯示綠色勾號,則驗證後您的資料應顯示在 Sophos Data Lake 中。
注意
如果您的資料在幾小時後未出現,請返回有關設定 Mimecast 的指示。
檢查您是否已建立具有正確權限的服務使用者,並在服務使用者的有效驗證設定檔中將驗證快取 TTL 設定為永久有效。
有關 Mimecast Email Security, Cloud Gateway 的更多資訊
當您建立服務使用者時,您授與的權限會允許讀取存取權,以執行下列動作:
- 取得 TTP URL 記錄。
- 取得 TTP 模擬保護記錄。
- 取得附件保護記錄。
有關這些權限的詳細資訊,請參閱下列 Mimecast 文件: