mimecast.

Mimecast是一个基于云的电子邮件管理系统,可以检测隐藏在电子邮件中的威胁。如果您已获得Mimecast许可,您可以将特定类型的事件发送到InsightIDR,在那里它们将生成病毒感染和Web代理警报。InsightIDR当前接收通过API发送的Mimecast数据,并且仅报告这些Mimecast事件类型:

  • 收到——这些事件显示对电子邮件所采取的操作,包括电子邮件是否成功到达收件人的收件箱,或者电子邮件是否由于无效地址而被拒绝
  • 有针对性的威胁保护URL - 当电子邮件中存在恶意或网络钓鱼链接时会生成这些事件。
  • 目标威胁保护附件-这些事件显示Mimecast附件扫描的结果。

要设置Mimecast,你需要:

  1. 在MiMecast中设置API应用程序
  2. 在InsightIDR中设置Mimecast事件源
  3. 验证配置

在你开始之前

在设置Mimecast事件源之前,必须执行以下操作:

  • 验证您是否具有启用了网关|跟踪|读取权限的Mimecast管理员帐户。
  • 确保启用了增强的电子邮件日志记录。
  • 确保您要使用的帐户进行身份验证基本管理员在Mimecast集团。

步骤1:在Mimecast中设置API应用程序

在Mimecast中创建一个API应用程序,并使用以下说明获取一个访问密钥和一个秘密密钥:https://community.mimecast.com/s/article/Managing-API-Applications-505230018在这里了解更多关于创建访问密钥和秘密密钥的信息:https://inegrations.mimecast.com/documentation/api-overview/authentication-scripts-server-apps//

在Mimecast中配置时选择启用扩展会话

当您在Mimecast中添加API应用程序时,请选择启用扩展的会话.Rapid7不会刷新过期的访问键,因此API访问键永远不会过期。

第2步:在Insutigridr中设置Mimecast事件源

在MIMECAST中创建API应用程序并获取必要的键后,您可以在InsightIdr中设置MimeCast事件源。

在InsightIdr中设置此事件源

  1. 从左侧菜单,转到数据收集
  2. 当“数据收集”页面出现时,单击设置事件源下拉选择添加事件源
  3. 从安全数据部分中,单击云服务图标。将出现“添加事件源”面板。
  4. 选择收集器和事件源。如果需要,还可以命名事件源。
  5. 如果要发送警报以外的其他事件,请选择未经过滤的日志复选框。
  6. 输入以下字段的值。您可以通过登录MimeCast环境来找到每个字段的值,导航到服务>API应用程序,并选择您创建的应用程序。
    • 应用ID
    • 应用钥匙
    • 访问密钥
    • 秘密密钥
  7. 在区域字段中,根据下表输入相关主机的区域标识符。例如,如果您的主机是eu-api.mimecast.com,则输入eu。

区域标识符

主持人

欧盟

eu-api.mimecast.com

de-api.mimecast.com

我们

us-api.mimecast.com

ZA

za-api.mimecast.com

非盟

au-api.mimecast.com

海上的

jer-api.mimecast.com

  1. 点击节省

步骤3:验证配置

要验证配置是否正确,请转到日志搜索以查看原始日志数据。

查看您的警报数据

  1. 从左侧菜单中,单击“日志搜索”以查看原始日志以确保事件将其交给收集器。MimeCast日志流入这些日志集:
    • 病毒感染
    • Web代理
  2. 接下来,执行日志搜索以确保Mimecast事件通过。

查看示例日志示例

以下是Mimecast发送给InsightIDR的输入日志示例。

接收事件:

         
json
1
“约会时间”“2019 - 09 - 09 - t10:12:59 - 0400”“acode”“l_hdhk8om2avmwqksxfovq”“acc”“Cusa123”“知识产权”“123.123.123.123”“RejType”“病毒特征检测”“错误”“AV扫描策略检测到的恶意软件:[clam.[Doc.Malware.00536d-6923173-0],clam.[Doc.Malware.00536d-6923173-0],sole.[Remote_对象,宏,恶意_宏]”“RejCode”“554”“dir”“入站”“msgd”"<499184835@rapid7.com>"“主题”“需要注意的未清余额”“头从”“user@rapid7.com”“发件人”“rapid7.user@rapid7.com”“病毒”“[clam.[Doc.Malware.00536d-6923173-0],clam.[Doc.Malware.00536d-6923173-0],sole.[Remote_对象,宏,恶意_宏]”“rcpt”"r7user@rapid7"“行动”“Rej”“rejinfo”“[clam.[Doc.Malware.00536d-6923173-0],clam.[Doc.Malware.00536d-6923173-0],sole.[Remote_对象,宏,恶意_宏]”“特尔斯维尔”“TLSv1.2”“研究”“tls_ecdhe_rsa_with_aes_256_gcm_sha384”

有针对性的威胁保护URL保护:

         
json
1
“约会时间”“2019-09-09T13:36:17-0400”“acc”“Cusa107a62”“理由”“恶意”“URL”“http://www.malicious.com”“路线”“入站”“源IP”“123.123.123.123”“发件人”“evildude@evil.com”“收件人”“user@rapid7.co.uk”“urlCategory”“钓鱼和欺诈”“senderdomain”“gmail.com”

有针对性的威胁保护附件保护:

         
json
1
“约会时间”“2017-05-23T21:45:21 + 0100”“acc”“c1a1”“文件名”“1x柱PVC”“SHA256”“8746bb4b31ab6f03eb0a3b2c62ab7497658f0f85c8e7e82f042f9af0bb876d83”“尺寸”“378368”“知识产权”“123.123.123.123”“接受者”“auser@mimecast.com”“SenderDomain”“domain.com”“文件扩展”“文件”“sha1”“a27850da9e7adfc8e1a94dabf2509fc9d65ee7e2”“发件人”“from@domain.com”“filemime”“应用程序/vnd.ms办公室”“路线”“入站”“md5”“7b52770644da336a9a59141c80807f37”

故障排除

本节概述了MimeCast事件源可以体验的常见故障排除方案。

InsightIdr显示数据收集管理页面“事件源”选项卡中列出的MimeCast事件源上的MimeCast返回的错误代码。有关MIMECAST事件源上显示的错误代码的详细信息,请参阅MIMECAST响应代码文档:https://www.mimecast.com/de/developer/documentation/response-codes/

Mimecast插件遇到不可重试的错误

有两个问题可能导致此错误消息:

  • 服务帐户不在Mimecast中的基本管理员组中。
  • 对于服务帐户IP范围,您没有多因素身份验证(MFA)旁路。

Mimecast API响应包含错误:401 0004无效签名

这个错误是由以下原因引起的:

  • 输入的凭据不正确。您应该在Mimecast中重新生成API密钥,并确保正确复制和粘贴它。

服务帐户不在基本管理员组中

如果您用于登录到API的服务帐户不在Mimecast的Basic Administrators组中,则会收到此错误消息。

要将服务帐户添加到组,请执行以下操作:

  1. 在MimeCast控制台中,单击管理>账户>角色
  2. 点击基本管理员角色名。
  3. 点击将用户添加到角色按钮。
  4. 填充用户列表后,搜索要添加到基本管理员组的服务帐户的名称。
  5. 选择服务帐户名称旁边的复选框。
  6. 点击添加选定用户按钮。

IP范围需要MFA旁路

如果您为Mimecast启用了MFA,您也可以收到此错误消息,并且您没有服务帐户连接的IP范围的MFA旁路。

设置MFA旁路:

  1. 在MimeCast控制台中,单击管理>服务>应用程序
  2. 选择应用于帐户管理员的配置文件。例如,这可以是“帐户管理员身份验证配置文件”。
  3. 选中“禁用可信IP范围的2-步骤认证”前的复选框。
  4. 在出现的框中输入受信任的IP范围。您必须以CIDR格式输入IP范围。例如,格式必须如下所示:92.168.1.1/32
  5. 点击节省按钮或者保存并退出按钮保存更改。