mimecast.
Mimecast是一个基于云的电子邮件管理系统,可以检测隐藏在电子邮件中的威胁。如果您已获得Mimecast许可,您可以将特定类型的事件发送到InsightIDR,在那里它们将生成病毒感染和Web代理警报。InsightIDR当前接收通过API发送的Mimecast数据,并且仅报告这些Mimecast事件类型:
- 收到——这些事件显示对电子邮件所采取的操作,包括电子邮件是否成功到达收件人的收件箱,或者电子邮件是否由于无效地址而被拒绝
- 有针对性的威胁保护URL - 当电子邮件中存在恶意或网络钓鱼链接时会生成这些事件。
- 目标威胁保护附件-这些事件显示Mimecast附件扫描的结果。
要设置Mimecast,你需要:
在你开始之前
在设置Mimecast事件源之前,必须执行以下操作:
- 验证您是否具有启用了网关|跟踪|读取权限的Mimecast管理员帐户。
- 确保启用了增强的电子邮件日志记录。
- 确保您要使用的帐户进行身份验证基本管理员在Mimecast集团。
步骤1:在Mimecast中设置API应用程序
在Mimecast中创建一个API应用程序,并使用以下说明获取一个访问密钥和一个秘密密钥:https://community.mimecast.com/s/article/Managing-API-Applications-505230018在这里了解更多关于创建访问密钥和秘密密钥的信息:https://inegrations.mimecast.com/documentation/api-overview/authentication-scripts-server-apps//
在Mimecast中配置时选择启用扩展会话
当您在Mimecast中添加API应用程序时,请选择启用扩展的会话.Rapid7不会刷新过期的访问键,因此API访问键永远不会过期。
第2步:在Insutigridr中设置Mimecast事件源
在MIMECAST中创建API应用程序并获取必要的键后,您可以在InsightIdr中设置MimeCast事件源。
在InsightIdr中设置此事件源
- 从左侧菜单,转到数据收集.
- 当“数据收集”页面出现时,单击设置事件源下拉选择添加事件源.
- 从安全数据部分中,单击云服务图标。将出现“添加事件源”面板。
- 选择收集器和事件源。如果需要,还可以命名事件源。
- 如果要发送警报以外的其他事件,请选择未经过滤的日志复选框。
- 输入以下字段的值。您可以通过登录MimeCast环境来找到每个字段的值,导航到服务>API应用程序,并选择您创建的应用程序。
- 应用ID
- 应用钥匙
- 访问密钥
- 秘密密钥
- 在区域字段中,根据下表输入相关主机的区域标识符。例如,如果您的主机是eu-api.mimecast.com,则输入eu。
区域标识符 |
主持人 |
|---|---|
欧盟 |
eu-api.mimecast.com |
德 |
de-api.mimecast.com |
我们 |
us-api.mimecast.com |
ZA |
za-api.mimecast.com |
非盟 |
au-api.mimecast.com |
海上的 |
jer-api.mimecast.com |
- 点击节省.
步骤3:验证配置
要验证配置是否正确,请转到日志搜索以查看原始日志数据。
查看您的警报数据
- 从左侧菜单中,单击“日志搜索”以查看原始日志以确保事件将其交给收集器。MimeCast日志流入这些日志集:
- 病毒感染
- Web代理
- 接下来,执行日志搜索以确保Mimecast事件通过。
查看示例日志示例
以下是Mimecast发送给InsightIDR的输入日志示例。
接收事件:
json
1
{“约会时间”:“2019 - 09 - 09 - t10:12:59 - 0400”,“acode”:“l_hdhk8om2avmwqksxfovq”,“acc”:“Cusa123”,“知识产权”:“123.123.123.123”,“RejType”:“病毒特征检测”,“错误”:“AV扫描策略检测到的恶意软件:[clam.[Doc.Malware.00536d-6923173-0],clam.[Doc.Malware.00536d-6923173-0],sole.[Remote_对象,宏,恶意_宏]”,“RejCode”:“554”,“dir”:“入站”,“msgd”:"<499184835@rapid7.com>",“主题”:“需要注意的未清余额”,“头从”:“user@rapid7.com”,“发件人”:“rapid7.user@rapid7.com”,“病毒”:“[clam.[Doc.Malware.00536d-6923173-0],clam.[Doc.Malware.00536d-6923173-0],sole.[Remote_对象,宏,恶意_宏]”,“rcpt”:"r7user@rapid7",“行动”:“Rej”,“rejinfo”:“[clam.[Doc.Malware.00536d-6923173-0],clam.[Doc.Malware.00536d-6923173-0],sole.[Remote_对象,宏,恶意_宏]”,“特尔斯维尔”:“TLSv1.2”,“研究”:“tls_ecdhe_rsa_with_aes_256_gcm_sha384”}
有针对性的威胁保护URL保护:
json
1
{“约会时间”:“2019-09-09T13:36:17-0400”,“acc”:“Cusa107a62”,“理由”:“恶意”,“URL”:“http://www.malicious.com”,“路线”:“入站”,“源IP”:“123.123.123.123”,“发件人”:“evildude@evil.com”,“收件人”:“user@rapid7.co.uk”,“urlCategory”:“钓鱼和欺诈”,“senderdomain”:“gmail.com”}
有针对性的威胁保护附件保护:
json
1
{“约会时间”:“2017-05-23T21:45:21 + 0100”,“acc”:“c1a1”,“文件名”:“1x柱PVC”,“SHA256”:“8746bb4b31ab6f03eb0a3b2c62ab7497658f0f85c8e7e82f042f9af0bb876d83”,“尺寸”:“378368”,“知识产权”:“123.123.123.123”,“接受者”:“auser@mimecast.com”,“SenderDomain”:“domain.com”,“文件扩展”:“文件”,“sha1”:“a27850da9e7adfc8e1a94dabf2509fc9d65ee7e2”,“发件人”:“from@domain.com”,“filemime”:“应用程序/vnd.ms办公室”,“路线”:“入站”,“md5”:“7b52770644da336a9a59141c80807f37”}
故障排除
本节概述了MimeCast事件源可以体验的常见故障排除方案。
InsightIdr显示数据收集管理页面“事件源”选项卡中列出的MimeCast事件源上的MimeCast返回的错误代码。有关MIMECAST事件源上显示的错误代码的详细信息,请参阅MIMECAST响应代码文档:https://www.mimecast.com/de/developer/documentation/response-codes/
Mimecast插件遇到不可重试的错误
有两个问题可能导致此错误消息:
- 服务帐户不在Mimecast中的基本管理员组中。
- 对于服务帐户IP范围,您没有多因素身份验证(MFA)旁路。
Mimecast API响应包含错误:401 0004无效签名
这个错误是由以下原因引起的:
- 输入的凭据不正确。您应该在Mimecast中重新生成API密钥,并确保正确复制和粘贴它。
服务帐户不在基本管理员组中
如果您用于登录到API的服务帐户不在Mimecast的Basic Administrators组中,则会收到此错误消息。
要将服务帐户添加到组,请执行以下操作:
- 在MimeCast控制台中,单击管理>账户>角色.
- 点击基本管理员角色名。
- 点击将用户添加到角色按钮。
- 填充用户列表后,搜索要添加到基本管理员组的服务帐户的名称。
- 选择服务帐户名称旁边的复选框。
- 点击添加选定用户按钮。
IP范围需要MFA旁路
如果您为Mimecast启用了MFA,您也可以收到此错误消息,并且您没有服务帐户连接的IP范围的MFA旁路。
设置MFA旁路:
- 在MimeCast控制台中,单击管理>服务>应用程序.
- 选择应用于帐户管理员的配置文件。例如,这可以是“帐户管理员身份验证配置文件”。
- 选中“禁用可信IP范围的2-步骤认证”前的复选框。
- 在出现的框中输入受信任的IP范围。您必须以CIDR格式输入IP范围。例如,格式必须如下所示:
92.168.1.1/32. - 点击节省按钮或者保存并退出按钮保存更改。