Mimecast

Versión de integración: 9.0

Casos prácticos

  1. Ingerir los mensajes
  2. Realizar una acción de triaje (Rechazar, Liberar o Denunciar mensaje)

Antes de empezar

Para configurar la integración de Mimecast, primero debes crear un rol de Mimecast con los permisos necesarios en la consola de administración de Mimecast.

Los permisos necesarios son los siguientes:

  • Account | Dashboard | Read

  • Account | Monitoring | Held | Edit

  • Archive | Search Logs | Read

  • Archive | View Logs | Read

  • Gateway | Managed Senders | Edit

  • Gateway | Policies | Edit

  • Gateway | Policies | Read

  • Gateway | Tracking | Read

Configurar la integración de Mimecast en Google SecOps

Para obtener instrucciones detalladas sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.

Parámetros de integración

Usa los siguientes parámetros para configurar la integración:

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
Raíz de la API Cadena https:/<<api root>> Raíz de la API de la instancia de Mimecast.
ID de la aplicación Cadena N/A ID de aplicación de la instancia de Mimecast.
Clave de la aplicación Contraseña N/A Clave de aplicación de la instancia de Mimecast.
Clave de acceso Contraseña N/A Clave de acceso de la instancia de Mimecast.
Clave secreta Contraseña N/A Clave secreta de la instancia de Mimecast.
Verificar SSL Casilla Marcada Si está habilitada, compruebe que el certificado SSL de la conexión al servidor de Mimecast sea válido.
Nota: Puedes hacer cambios más adelante si es necesario. Una vez configuradas, las instancias se pueden usar en las guías. Para obtener información detallada sobre cómo configurar y admitir varias instancias, consulta [Supporting multiple instances](/chronicle/docs/soar/respond/integrations-setup/supporting-multiple-instances). ## Detalles de la configuración de la integración 1. El servidor de Google Security Operations debe sincronizarse con el servidor de Mimecast. 1. Puedes consultar información sobre todos los parámetros necesarios para la configuración en los siguientes enlaces: [https://community.mimecast.com/s/article/Managing-API-Applications-505230018](https://community.mimecast.com/s/article/Managing-API-Applications-505230018) y [https://community.mimecast.com/s/article/Mimecast-Data-Centers-and-URLs-61190061](https://community.mimecast.com/s/article/Mimecast-Data-Centers-and-URLs-61190061) ## Acciones ### Ping #### Descripción Prueba la conectividad con Mimecast con los parámetros proporcionados en la página de configuración de la integración de la pestaña Google SecOps Marketplace. #### Parámetros N/A #### Ejecutar en Esta acción no se ejecuta en entidades. #### Resultados de la acción ##### Resultado de la secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor
is_success is_success=False
is_success is_success=True
Panel de casos
Tipo de resultado Valor o descripción Tipo
Mensaje de salida*

La acción no debería fallar ni detener la ejecución de un cuaderno de estrategias:
si se realiza correctamente: "Successfully connected to the Mimecast server with the provided connection parameters!" (Se ha conectado correctamente al servidor de Mimecast con los parámetros de conexión proporcionados).

La acción debería fallar y detener la ejecución de un libro de jugadas:
si no se realiza correctamente: "Failed to connect to the Mimecast server! Error: {0}".format(exception.stacktrace)

 General

Descripción

Busca correos archivados mediante los parámetros definidos en Mimecast.

Parámetros

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
Campos que se van a devolver CSV

attachmentcount,status,subject,
size,receiveddate,displayfrom,
displayfromaddress,id,displayto,
displaytoaddresslist,smash

 Especifica una lista de campos separados por comas que deben devolverse.
Buzones CSV N/A No Especifica una lista separada por comas de los buzones que se deben buscar.
De CSV N/A No Especifica una lista separada por comas de las direcciones de correo desde las que se enviaron los correos.
Para CSV N/A No Especifica una lista de direcciones de correo separadas por comas a las que se enviaron los correos.
Asunto Cadena N/A No Especifica un asunto que se deba buscar.
Periodo DDL

Última hora

Valores posibles:

Última hora

Últimas 6 horas

Últimas 24 horas

La semana pasada

El mes pasado

Personalizado

 Especifica un periodo para la búsqueda. Si se selecciona "Personalizado", también debe indicar la "Hora de inicio".
Hora de inicio Cadena N/A No Especifica la hora de inicio de la búsqueda. Este parámetro es obligatorio si se selecciona "Personalizado" en el parámetro "Periodo". Formato: ISO 8601
Hora de finalización Cadena N/A No Especifica la hora de finalización de la búsqueda. Formato: ISO 8601. Si no se proporciona nada y se selecciona "Personalizado" en el parámetro "Periodo", se usará la hora actual.
Número máximo de correos que se devolverán Integración 50 No Especifica cuántos correos se van a devolver. Valor predeterminado: 50.

Fecha de ejecución

Esta acción no se ejecuta en entidades.

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor
is_success is_success=False
is_success is_success=True
Panel de casos
Tipo de resultado Valor/Descripción Tipo
Mensaje de salida*

La acción no debe fallar ni detener la ejecución de un libro de jugadas:
si hay datos disponibles(is_success = true): "Se han encontrado correctamente correos archivados que cumplen los criterios proporcionados en Mimecast".

Si los datos no están disponibles (is_success=true): "No se han encontrado correos archivados que cumplan los criterios proporcionados en Mimecast"



La acción debe fallar y detener la ejecución de un libro de jugadas:
si se produce un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "Búsqueda simple de archivos". Motivo: {0}''.format(error.Stacktrace)

Si el campo Hora de inicio está vacío y "Periodo" es "Personalizado": "Error al ejecutar la acción "Búsqueda de archivo simple". Motivo: se debe proporcionar el valor de "Hora de inicio" cuando se selecciona "Personalizado" en el parámetro "Periodo".

Si fail/errors tiene valores: error al ejecutar la acción "Simple Archive Search". Motivo: fail/errors/message".

General
Tabla del panel de casos

Nombre: resultados

Columnas:

Todas las claves de la respuesta

 General

Descripción

Buscar correos archivados mediante una consulta XML personalizada en Mimecast.

Parámetros

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
Consulta XML XML N/A Especifica una consulta XML que se debe usar al buscar correos archivados. Para obtener más información, consulta la documentación.

Fecha de ejecución

Esta acción no se ejecuta en entidades.

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor
is_success is_success=False
is_success is_success=True
Panel de casos
Tipo de resultado Valor/Descripción Tipo
Mensaje de salida*

La acción no debe fallar ni detener la ejecución de un libro de jugadas:
si hay datos disponibles(is_success = true): "Se han encontrado correctamente correos archivados que cumplen los criterios proporcionados en Mimecast".

Si los datos no están disponibles (is_success=true): "No se han encontrado correos archivados que cumplan los criterios proporcionados en Mimecast".

La acción debe fallar y detener la ejecución de un playbook:
si se produce un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "Búsqueda avanzada en el archivo". Motivo: {0}''.format(error.Stacktrace)

Si se producen errores: error al ejecutar la acción "Búsqueda avanzada de archivos". Motivo: fail/errors/message".

General
Tabla del panel de casos

Nombre: resultados

Columnas:

Todas las claves de la respuesta

 General

Rechazar mensaje

Descripción

Rechazar el mensaje en Mimecast. Nota: Solo se pueden rechazar los mensajes con el estado "Retenido".

Parámetros

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
ID de mensaje Cadena N/A Especifica el ID del mensaje que se debe rechazar.
Nota Cadena N/A No Especifique una nota adicional que explique por qué se ha rechazado el mensaje.
Motivo DLL

Selecciona una opción.

Valores posibles:

Selecciona una opción.

Comunicación inapropiada

Información confidencial

Incumplimiento de la política de correo electrónico

Contenido no permitido

 No Especifica el motivo del rechazo.
Notificar al remitente Casilla Desmarcada No Si se habilita, la acción notificará al remitente que se ha rechazado.

Fecha de ejecución

Esta acción no se ejecuta en entidades.

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor
is_success is_success=False
is_success is_success=True
Panel de casos
Tipo de resultado Valor/Descripción Tipo
Mensaje de salida*

La acción no debe fallar ni detener la ejecución de un libro de jugadas:
Si no hay errores en la respuesta (is_success = true): "Se ha rechazado correctamente el mensaje con el ID "{ID}" en Mimecast".

La acción debería fallar y detener la ejecución de un libro de jugadas:
si se produce un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "Rechazar mensaje". Motivo: {0}''.format(error.Stacktrace)

Si fail/errors tiene valores: Error al ejecutar la acción "Rechazar mensaje". Motivo: fail/errors/message".

General

Mensaje de lanzamiento

Descripción

Quita el mensaje de la cuarentena en Mimecast. Nota: Solo se pueden liberar los mensajes con el estado "Retenido".

Parámetros

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
ID de mensaje Cadena N/A Especifica el ID del mensaje que se debe publicar.
Lanzar en el entorno aislado Casilla N/A No Si está habilitada, la acción enviará el mensaje al entorno aislado.

Fecha de ejecución

Esta acción no se ejecuta en entidades.

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor
is_success is_success=False
is_success is_success=True
Panel de casos
Tipo de resultado Valor/Descripción Tipo
Mensaje de salida*

La acción no debe fallar ni detener la ejecución de un cuaderno de estrategias:
Si no hay errores en la respuesta (is_success = true): "Se ha publicado correctamente el mensaje con el ID "{ID}" en Mimecast".

La acción debe fallar y detener la ejecución de un cuaderno de estrategias:
Si se produce un error crítico, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "Publicar mensaje". Motivo: {0}''.format(error.Stacktrace)

Si fail/errors tiene valores: error al ejecutar la acción "Release Message". Motivo: fail/errors/message".

General

Denunciar mensaje

Descripción

Denuncia el mensaje en Mimecast. Nota: Solo se pueden denunciar los mensajes con los estados "Retenido", "Archivado" y "Rebotado".

Parámetros

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
IDs de mensajes Cadena N/A Especifica el ID del mensaje que se debe denunciar.
Denunciar como DDL

Spam

Valores posibles:

Spam

Malware

Suplantación de identidad (phishing)

 No Especifica el tipo de denuncia del mensaje.
Comentario Cadena N/A No Especifica el comentario de la denuncia.

Fecha de ejecución

Esta acción no se ejecuta en entidades.

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor
is_success is_success=False
is_success is_success=True
Panel de casos
Tipo de resultado Valor o descripción Tipo
Mensaje de salida*

La acción no debe fallar ni detener la ejecución de un cuaderno de estrategias:
si hay datos disponibles(is_success = true): "Se han notificado correctamente los siguientes mensajes con el ID "{ID}" en Mimecast".

La acción debe fallar y detener la ejecución de un cuaderno de estrategias:
si se produce un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro: "Error al ejecutar la acción "Informar de mensaje". Motivo: {0}''.format(error.Stacktrace)

Si fail/errors tiene valores: Error al ejecutar la acción "Informar de mensaje". Motivo: fail/errors/message".

 General

Bloquear al destinatario

Descripción

Bloquear al remitente en Mimecast.

Parámetros

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
Remitente Cadena N/A Especifica la dirección de correo del remitente que quieres bloquear.
Destinatario Cadena N/A Especifica la dirección de correo del destinatario que quieres bloquear.

Fecha de ejecución

Esta acción no se ejecuta en entidades.

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor
is_success is_success=False
is_success is_success=True
Panel de casos
Tipo de resultado Valor o descripción Tipo
Mensaje de salida*

La acción no debe fallar ni detener la ejecución de un cuaderno de estrategias:
Si no hay ningún error en la respuesta (is_success = true): "Se ha bloqueado correctamente al remitente {sender} para el destinatario {recipient} en Mimecast".

La acción debería fallar y detener la ejecución de un libro de jugadas:
si se produce un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "Bloquear remitente". Motivo: {0}''.format(error.Stacktrace)

Si fail/errors tiene valores: error al ejecutar la acción "Bloquear remitente". Motivo: fail/errors/message".

 General

Permitir remitente

Descripción

Permitir remitente en Mimecast.

Parámetros

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
Remitente Cadena N/A Especifica la dirección de correo del remitente que quieres permitir.
Destinatario Cadena N/A Especifica la dirección de correo del destinatario al que quieres dar permiso.

Fecha de ejecución

Esta acción no se ejecuta en entidades.

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor
is_success is_success=False
is_success is_success=True
Panel de casos
Tipo de resultado Valor o descripción Tipo
Mensaje de salida*

La acción no debe fallar ni detener la ejecución de un cuaderno de estrategias:
Si no hay errores en la respuesta (is_success = true): "Se ha permitido correctamente el remitente {sender} para el destinatario {recipient} en Mimecast".

La acción debería fallar y detener la ejecución de un cuaderno de estrategias:
si se produce un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "Permitir remitente". Motivo: {0}''.format(error.Stacktrace)

Si fail/errors tiene valores: error al ejecutar la acción "Permit Sender". Motivo: fail/errors/message".

 General

Crear política de bloqueo de remitentes

Crea una política de remitente bloqueado en Mimecast.

Fecha de ejecución

Esta acción no se ejecuta en ninguna entidad.

Parámetros

Nombre visible del parámetro Tipo Valor predeterminado Marca de agua Es obligatorio Descripción
Respuesta DDL N/A N/A No Indica el tipo de respuesta que se asociará a la política creada.
Descripción Cadena N/A N/A Descripción de la política.
Datos extraídos DDL N/A N/A Define de dónde se debe extraer la información sobre el remitente y el destinatario.
Remitente Cadena N/A N/A No De quién se debe enviar el mensaje para que se bloquee. Solo es necesario si el valor de "Sender Type" (Tipo de remitente) es uno de los siguientes: Email Domain (Dominio de correo), Email Address (Dirección de correo) o Header Display Name (Nombre visible del encabezado). Este parámetro se ignora si se selecciona otro valor en "Tipo de origen".
Tipo de remitente DDL N/A N/A No Tipo de remitente de la política.
Destinatario Cadena N/A N/A No A quién se debe enviar el mensaje para que se bloquee. Solo es necesario si el valor de "Recipient Type" (Tipo de destinatario) es uno de los siguientes: Email Domain (Dominio de correo), Email Address (Dirección de correo) o Header Display Name (Nombre visible del encabezado). Este parámetro se ignora si se selecciona otro valor en "Tipo de destinatario".
Tipo de destinatario DDL N/A N/A No Tipo de destinatario de la política.
Comentario Cadena N/A N/A No Comentario sobre una política.
Bidireccional Bool N/A N/A No Si se habilita, la política se definirá de forma bidireccional.
Ejecutada Bool N/A N/A No Si se habilita, se aplica la política.
Hora de inicio Cadena N/A N/A No Hora de inicio de la política. Si no se indica ningún valor, la hora de inicio será eterna. Se espera el formato ISO 8601. Ejemplo: 2025-03-07T16:03:00Z
Hora de finalización Cadena N/A N/A No Hora de finalización de la política. Si no se indica nada, la hora de finalización será eterna. Se espera el formato ISO 8601. Ejemplo: 2025-03-07T16:03:00Z

Resultados de la acción

Tipo Disponible
Resultado de secuencia de comandos Verdadero
Resultado de JSON Verdadero
Tabla de enriquecimiento Falso
Tabla del panel de casos Falso
Enlace del panel de casos Falso
Adjunto del panel de casos Falso
Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor
is_success is_success=False
is_success is_success=True
Resultado de JSON
{
   "option": "block_sender",
   "id": "eNo1jr0OgjAYAN-lqw79QKyYOCCSiCJGqSCjlmqQn2ILNmp8d3Fwv8vdGynOOsnzDE3RSsP4ZTT0tPUMO3DL1pK-LrFZzzfJ9XJTrC78yPZgcc7CW1QdSLuUo11Mfc2rpIsfxlxQHFsDFXKPdkeq10ym7uJeDIKLA6Z66T1NUklI4c3QEDWizNnzVzYnBthDxDrViopLJjLe77iHyAEgjkmgpx9cqlzUaAp_kz4b7vc2YDzCny9vYUEo",
   "policy": {
       "description": "Description",
       "fromPart": "both",
       "from": {
           "type": "individual_email_address",
           "emailAddress": "example@exampl.com"
       },
       "to": {
           "type": "individual_email_address",
           "emailAddress": "exampleto@exampl.com"
       },
       "fromType": "individual_email_address",
       "fromValue": "example@exampl.com",
       "toType": "individual_email_address",
       "toValue": "exampleto@exampl.com",
       "fromEternal": true,
       "toEternal": true,
       "fromDate": "1900-01-01T00:00:00+0000",
       "toDate": "2100-01-01T23:59:59+0000",
       "override": false,
       "bidirectional": false,
       "conditions": {},
       "enabled": true,
       "enforced": true,
       "createTime": "2025-03-27T12:51:46+0000",
       "lastUpdated": "2025-03-27T12:51:46+0000"
   }
}
Panel de casos
Tipo de resultado Valor/Descripción Tipo (entidad o general)
Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:


Si no hay errores en la respuesta (is_success = true): print "Successfully created a block sender policy in Mimecast".

La acción debería fallar y detener la ejecución de la guía:

Si se produce un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro: imprime "Error al ejecutar la acción "{nombre de la acción}". Motivo: {0}''.format(error.Stacktrace)

Si fail/errors tiene valores: error al ejecutar la acción "{action name}". Motivo: fail/errors/message".

Conector

Mimecast - Message Tracking Connector

Descripción

Extrae información sobre los mensajes de la pestaña "Seguimiento de mensajes" de Mimecast. Nota: La lista blanca funciona con el parámetro "queueDetailStatus/bounceType".

Configurar Mimecast - Message Tracking Connector en Google SecOps

Para obtener instrucciones detalladas sobre cómo configurar un conector en Google SecOps, consulta el artículo Configurar el conector.

Parámetros del conector

Utiliza los siguientes parámetros para configurar el conector:

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
Nombre del campo de producto Cadena Nombre del producto Introduce el nombre del campo de origen para obtener el nombre del campo de producto.
Nombre del campo de evento Cadena event_type Introduzca el nombre del campo de origen para obtener el nombre del campo de evento.
Nombre del campo de entorno Cadena "" No

Describe el nombre del campo en el que se almacena el nombre del entorno.

Si no se encuentra el campo de entorno, se utiliza el entorno predeterminado.
Patrón de regex de entorno Cadena .* No

Una expresión regular que se aplicará al valor encontrado en el campo "Nombre del campo de entorno".

El valor predeterminado es .* para captar todos los valores y devolverlos sin cambios.

Se usa para permitir que el usuario manipule el campo del entorno mediante la lógica de expresiones regulares.

Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno será el entorno predeterminado.
Tiempo de espera de secuencia de comandos (segundos) Entero 180 Límite de tiempo de espera del proceso de Python que ejecuta la secuencia de comandos actual.
Raíz de la API Cadena https:/<<api root>> Raíz de la API de la instancia de Mimecast.
ID de la aplicación Cadena N/A ID de aplicación de la instancia de Mimecast.
Clave de la aplicación Contraseña N/A Clave de aplicación de la instancia de Mimecast.
Clave de acceso Contraseña N/A Clave de acceso de la instancia de Mimecast.
Clave secreta Contraseña N/A Clave secreta de la instancia de Mimecast.
Dominios CSV N/A Lista de dominios separados por comas para los que se consultarán mensajes.
Riesgo más bajo para obtener Cadena N/A No

El riesgo más bajo que se usará para obtener mensajes. Posibles valores:

Insignificante, Baja, Media o Alta.

Si no se proporciona nada, el conector ingerirá todos los mensajes.
Filtro de estado CSV se ha celebrado

Lista de filtros de estado para los mensajes separados por comas. Valores posibles: delivery, held, accepted, bounced, deferred, rejected, archived.

Si no se proporciona nada, el conector ingerirá todos los mensajes.
Filtro de ruta CSV N/A

Filtros de ruta separados por comas para los mensajes. Valores posibles: internal, outbound e inbound.

Si no se proporciona nada, el conector ingerirá todos los mensajes.
Filtro de motivo de la cola CSV N/A

Lista separada por comas de los motivos de la cola por los que se deben filtrar los mensajes. Si no se proporciona nada, se ignora este filtro.
Ingerir mensajes sin riesgos Casilla Si está habilitado, el conector ingerirá mensajes aunque no haya información sobre el riesgo. Las alertas de SecOps de Google generadas a partir de esos mensajes tendrán la prioridad "Informativa".
Número máximo de horas hacia atrás Entero 1 No Número de horas desde las que se deben obtener los mensajes. Valor predeterminado: 1 hora. Máximo: 30 días.
Número máximo de mensajes que se devolverán Entero 100 No Número de mensajes que se procesarán por cada iteración del conector. Predeterminado: 100.
Usar la lista blanca como lista negra Casilla Marcada Si está habilitada, la lista de permitidos se usará como lista de denegados.
Verificar SSL Casilla Marcada Si está habilitada, compruebe que el certificado SSL de la conexión al servidor de Mimecast sea válido.
Dirección del servidor proxy Cadena N/A No Dirección del servidor proxy que se va a usar.
Nombre de usuario del proxy Cadena N/A No Nombre de usuario del proxy para autenticarse.
Contraseña del proxy Contraseña N/A No La contraseña del proxy para autenticarte.

Reglas de conectores

Compatibilidad con proxy

El conector admite proxies.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.