Mimecast

Versión de integración: 9.0

Casos de uso

  1. Realiza la transferencia de los mensajes
  2. Realiza acciones de clasificación (rechaza, libera o denuncia el mensaje)

Antes de comenzar

Para configurar la integración de Mimecast, primero debes crear un rol de Mimecast con los permisos necesarios en la Consola de administración de Mimecast.

Los permisos necesarios son los siguientes:

  • Account | Dashboard | Read

  • Account | Monitoring | Held | Edit

  • Archive | Search Logs | Read

  • Archive | View Logs | Read

  • Gateway | Managed Senders | Edit

  • Gateway | Policies | Edit

  • Gateway | Policies | Read

  • Gateway | Tracking | Read

Configura la integración de Mimecast en Google SecOps

Si quieres obtener instrucciones detalladas para configurar una integración en Google SecOps, consulta Configura integraciones.

Parámetros de integración

Usa los siguientes parámetros para configurar la integración:

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
Raíz de la API String https:/<<api root>> Es la raíz de la API de la instancia de Mimecast.
ID de aplicación String N/A Es el ID de la aplicación de la instancia de Mimecast.
Clave de aplicación Contraseña N/A Es la clave de aplicación de la instancia de Mimecast.
Clave de acceso Contraseña N/A Es la clave de acceso de la instancia de Mimecast.
Clave secreta Contraseña N/A Es la clave secreta de la instancia de Mimecast.
Verificar SSL Casilla de verificación Marcado Si está habilitado, verifica que el certificado SSL para la conexión al servidor de Mimecast sea válido.
Nota: Si es necesario, puedes hacer cambios más adelante. Una vez configuradas, las instancias se pueden usar en las guías. Para obtener información detallada sobre cómo configurar y admitir varias instancias, consulta [Cómo admitir varias instancias](/chronicle/docs/soar/respond/integrations-setup/supporting-multiple-instances). ## Detalles de la configuración de la integración 1. El servidor de Google Security Operations debe sincronizarse con el servidor de Mimecast. 1. En los siguientes vínculos, se encuentra información sobre todos los parámetros necesarios para la configuración: [https://community.mimecast.com/s/article/Managing-API-Applications-505230018](https://community.mimecast.com/s/article/Managing-API-Applications-505230018) y [https://community.mimecast.com/s/article/Mimecast-Data-Centers-and-URLs-61190061](https://community.mimecast.com/s/article/Mimecast-Data-Centers-and-URLs-61190061) ## Acciones ### Ping #### Descripción Prueba la conectividad a Mimecast con los parámetros proporcionados en la página de configuración de la integración en la pestaña Google SecOps Marketplace. #### Parámetros N/A #### Ejecutar en Esta acción no se ejecuta en entidades. #### Resultados de la acción ##### Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor
is_success is_success=False
is_success is_success=True
Muro de casos
Tipo de resultado Valor o descripción Tipo
Mensaje de salida*

La acción no debe fallar ni detener la ejecución de un playbook:
Si se ejecuta correctamente: "Se conectó correctamente al servidor de Mimecast con los parámetros de conexión proporcionados".

La acción debe fallar y detener la ejecución de la guía:
if not successful: "Failed to connect to the Mimecast server! Error is {0}".format(exception.stacktrace)

 General

Descripción

Busca correos electrónicos archivados con los parámetros definidos en Mimecast.

Parámetros

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
Campos que se devolverán CSV

attachmentcount,status,subject,
size,receiveddate,displayfrom,
displayfromaddress,id,displayto,
displaytoaddresslist,smash

 Especifica una lista de campos separados por comas que se deben devolver.
Buzones CSV N/A No Especifica una lista separada por comas de los buzones de correo que se deben buscar.
De CSV N/A No Especifica una lista separada por comas de las direcciones de correo electrónico desde las que se enviaron los mensajes.
A CSV N/A No Especifica una lista de direcciones de correo electrónico separadas por comas a las que se enviaron los correos electrónicos.
Asunto String N/A No Especifica un asunto que se debe buscar.
Período DDL

Última hora

Valores posibles:

Última hora

Últimas 6 horas

Últimas 24 horas

Última semana

Último mes

Personalizado

 Especifica un período para la búsqueda. Si seleccionas "Personalizado", también debes proporcionar la "Hora de inicio".
Hora de inicio String N/A No Especifica la hora de inicio de la búsqueda. Este parámetro es obligatorio si se selecciona "Personalizado" para el parámetro "Período". Formato: ISO 8601
Hora de finalización String N/A No Especifica la hora de finalización de la búsqueda. Formato: ISO 8601. Si no se proporciona nada y se selecciona "Personalizado" para el parámetro "Período", este parámetro usará la hora actual.
Cantidad máxima de correos electrónicos que se pueden devolver Integración 50 No Especifica cuántos correos electrónicos se devolverán. El valor predeterminado es 50.

Ejecutar en

Esta acción no se ejecuta en entidades.

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor
is_success is_success=False
is_success is_success=True
Muro de casos
Tipo de resultado Valor/Descripción Tipo
Mensaje de salida*

La acción no debe fallar ni detener la ejecución de un playbook:
Si hay datos disponibles(is_success = true): "Se encontraron correctamente los correos electrónicos de archivo para los criterios proporcionados en Mimecast".

Si los datos no están disponibles (is_success=true): "No se encontraron correos electrónicos de archivo para los criterios proporcionados en Mimecast"



La acción debe fallar y detener la ejecución del playbook:
si hay un error fatal, como credenciales incorrectas, no hay conexión con el servidor, etc.: "Error al ejecutar la acción "Simple Archive Search". Reason: {0}''.format(error.Stacktrace)

Si la hora de inicio está vacía y el período es "Personalizado": "Error al ejecutar la acción "Búsqueda simple en el archivo". Motivo: Se debe proporcionar la "Hora de inicio" cuando se selecciona "Personalizado" en el parámetro "Intervalo"."

Si fail/errors tiene valores: Se produjo un error al ejecutar la acción "Simple Archive Search". Reason: fail/errors/message".

General
Tabla del muro de casos

Nombre: Resultados

Columnas:

Todas las claves de la respuesta

 General

Descripción

Busca correos electrónicos archivados con una consulta XML personalizada en Mimecast.

Parámetros

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
Consulta XML XML N/A Especifica una consulta XML que se debe usar cuando se buscan correos electrónicos archivados. Visita la documentación para obtener más detalles.

Ejecutar en

Esta acción no se ejecuta en entidades.

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor
is_success is_success=False
is_success is_success=True
Muro de casos
Tipo de resultado Valor/Descripción Tipo
Mensaje de salida*

La acción no debe fallar ni detener la ejecución de un playbook:
Si hay datos disponibles(is_success = true): "Se encontraron correctamente los correos electrónicos de archivo para los criterios proporcionados en Mimecast".

Si los datos no están disponibles (is_success=true): "No se encontraron correos electrónicos de archivo para los criterios proporcionados en Mimecast".

La acción debe fallar y detener la ejecución del playbook:
Si hay un error fatal, como credenciales incorrectas, no hay conexión con el servidor, etc.: "Error al ejecutar la acción "Búsqueda avanzada en el archivo". Motivo: {0}''.format(error.Stacktrace)

Si fail/errors tiene valores: Se produjo un error al ejecutar la acción "Búsqueda avanzada en el archivo". Reason: fail/errors/message".

General
Tabla del muro de casos

Nombre: Resultados

Columnas:

Todas las claves de la respuesta

 General

Rechazar mensaje

Descripción

Rechaza el mensaje en Mimecast. Nota: Solo se pueden rechazar los mensajes con el estado "En espera".

Parámetros

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
ID de mensaje String N/A Especifica el ID del mensaje que se debe rechazar.
Nota String N/A No Especifica una nota adicional que contenga una explicación sobre por qué se rechazó el mensaje.
Motivo DLL

Selecciona una opción

Valores posibles:

Selecciona una opción

Comunicación inapropiada

Información Confidencial

Contra la Política de Correo Electrónico

Contenido restringido

 No Especifica el motivo del rechazo.
Notificar al remitente Casilla de verificación Desmarcado No Si está habilitada, la acción notificará al remitente sobre el rechazo.

Ejecutar en

Esta acción no se ejecuta en entidades.

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor
is_success is_success=False
is_success is_success=True
Muro de casos
Tipo de resultado Valor/Descripción Tipo
Mensaje de salida*

La acción no debe fallar ni detener la ejecución de un playbook:
Si no hay "errores" en la respuesta (is_success = true): "Se rechazó correctamente el mensaje con el ID "{ID}" en Mimecast".

La acción debe fallar y detener la ejecución de un playbook:
Si se produce un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema, se mostrará el mensaje "Error al ejecutar la acción "Rechazar mensaje"". Reason: {0}''.format(error.Stacktrace)

Si fail/errors tiene valores: Se produjo un error al ejecutar la acción "Rechazar mensaje". Reason: fail/errors/message".

General

Mensaje de lanzamiento

Descripción

Mensaje de liberación en Mimecast. Nota: Solo se pueden liberar los mensajes con el estado "En espera".

Parámetros

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
ID de mensaje String N/A Especifica el ID del mensaje que se debe liberar.
Lanzamiento en la zona de pruebas Casilla de verificación N/A No Si se habilita, la acción liberará el mensaje en la zona de pruebas.

Ejecutar en

Esta acción no se ejecuta en entidades.

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor
is_success is_success=False
is_success is_success=True
Muro de casos
Tipo de resultado Valor/Descripción Tipo
Mensaje de salida*

La acción no debe fallar ni detener la ejecución de un playbook:
Si no hay "errores" en la respuesta (is_success = true): "Se lanzó correctamente el mensaje con el ID "{ID}" en Mimecast".

La acción debe fallar y detener la ejecución de un playbook:
Si hay un error fatal, como credenciales incorrectas, no hay conexión con el servidor, etc.: "Error al ejecutar la acción "Release Message". Reason: {0}''.format(error.Stacktrace)

Si fail/errors tiene valores: Se produjo un error al ejecutar la acción "Release Message". Reason: fail/errors/message".

General

Denunciar mensaje

Descripción

Denuncia el mensaje en Mimecast. Nota: Solo se pueden denunciar los mensajes con los estados "En espera", "Archivado" y "Rebotado".

Parámetros

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
IDs de mensaje String N/A Especifica el ID del mensaje que se debe denunciar.
Denunciar como DDL

Spam

Valores posibles:

Spam

Software malicioso

Phishing

 No Especifica el tipo de informe para el mensaje.
Comentario String N/A No Especifica el comentario para el informe.

Ejecutar en

Esta acción no se ejecuta en entidades.

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor
is_success is_success=False
is_success is_success=True
Muro de casos
Tipo de resultado Valor o descripción Tipo
Mensaje de salida*

La acción no debe fallar ni detener la ejecución de un playbook:
Si los datos están disponibles(is_success = true): "Se informaron correctamente los siguientes mensajes con el ID "{ID}" en Mimecast".

La acción debe fallar y detener la ejecución de un playbook:
Si se produce un error fatal, como credenciales incorrectas, no hay conexión con el servidor, etc.: "Error al ejecutar la acción "Informar mensaje". Reason: {0}''.format(error.Stacktrace)

Si fail/errors tiene valores: Se produjo un error al ejecutar la acción "Report Message". Reason: fail/errors/message".

 General

Bloquear al remitente

Descripción

Bloquear al remitente en Mimecast

Parámetros

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
Remitente String N/A Especifica la dirección de correo electrónico del remitente que se bloqueará.
Destinatario String N/A Especifica la dirección de correo electrónico del destinatario que se bloqueará.

Ejecutar en

Esta acción no se ejecuta en entidades.

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor
is_success is_success=False
is_success is_success=True
Muro de casos
Tipo de resultado Valor o descripción Tipo
Mensaje de salida*

La acción no debe fallar ni detener la ejecución de un playbook:
Si no hay "errores" en la respuesta (is_success = true): "Se bloqueó correctamente al remitente {sender} para el destinatario {recipient} en Mimecast".

La acción debe fallar y detener la ejecución de un playbook:
Si se produce un error irrecuperable, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema: "Error al ejecutar la acción "Block Sender". Reason: {0}''.format(error.Stacktrace)

Si fail/errors tiene valores: Se produjo un error al ejecutar la acción "Block Sender". Reason: fail/errors/message".

 General

Permitir remitente

Descripción

Permite el remitente en Mimecast.

Parámetros

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
Remitente String N/A Especifica la dirección de correo electrónico del remitente que se permitirá.
Destinatario String N/A Especifica la dirección de correo electrónico del destinatario que se permitirá.

Ejecutar en

Esta acción no se ejecuta en entidades.

Resultados de la acción

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor
is_success is_success=False
is_success is_success=True
Muro de casos
Tipo de resultado Valor o descripción Tipo
Mensaje de salida*

La acción no debe fallar ni detener la ejecución de un playbook:
Si no hay "errores" en la respuesta (is_success = true): "Se permitió correctamente el remitente {sender} para el destinatario {recipient} en Mimecast".

La acción debe fallar y detener la ejecución de un playbook:
si se produce un error irrecuperable, como credenciales incorrectas, falta de conexión con el servidor, etc.: "Error al ejecutar la acción "Permitir remitente". Reason: {0}''.format(error.Stacktrace)

Si fail/errors tiene valores: Se produjo un error al ejecutar la acción "Permitir remitente". Reason: fail/errors/message".

 General

Crea una política de bloqueo de remitentes

Crea una política de bloqueo de remitentes en Mimecast.

Ejecutar en

Esta acción no se ejecuta en ninguna entidad.

Parámetros

Nombre visible del parámetro Tipo Valor predeterminado Marca de agua Es obligatorio Descripción
Respuesta DDL N/A N/A No Proporciona el tipo de respuesta que se asociará con la política creada.
Descripción String N/A N/A Es la descripción de la política.
Datos extraídos DDL N/A N/A Define de dónde se debe extraer la información sobre el remitente y el destinatario.
Remitente String N/A N/A No Es el remitente del mensaje que se debe bloquear. Solo se necesita si "Tipo de remitente" es uno de los siguientes: Dominio de correo electrónico, Dirección de correo electrónico, Nombre visible del encabezado. Este parámetro se ignora si se selecciona un valor diferente de "Tipo de origen".
Tipo de remitente DDL N/A N/A No Es el tipo de remitente de la política.
Destinatario String N/A N/A No Destinatario al que se debe enviar el mensaje para que se bloquee. Solo se necesita si "Tipo de destinatario" es uno de los siguientes: Dominio de correo electrónico, Dirección de correo electrónico, Nombre visible del encabezado. Este parámetro se ignora si se selecciona un valor diferente para "Tipo de destinatario".
Tipo de destinatario DDL N/A N/A No Es el tipo de destinatario de la política.
Comentario String N/A N/A No Comentario para una política.
Bidireccional Bool N/A N/A No Si se habilita, la política se definirá de forma bidireccional.
Aplicada Bool N/A N/A No Si se habilita, se aplicará la política.
Hora de inicio String N/A N/A No Es la fecha y hora de inicio de la política. Si no se proporciona nada, la hora de inicio se establecerá como eterna. Se espera el formato ISO 8601. Ejemplo: 2025-03-07T16:03:00Z
Hora de finalización String N/A N/A No Es la hora de finalización de la política. Si no se proporciona nada, la hora de finalización se establecerá como eterna. Se espera el formato ISO 8601. Ejemplo: 2025-03-07T16:03:00Z

Resultados de la acción

Tipo Disponible
Resultado de secuencia de comandos Verdadero
Resultado de JSON Verdadero
Tabla de enriquecimiento Falso
Tabla del muro de casos Falso
Vínculo al muro de casos Falso
Adjunto del muro de casos Falso
Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor
is_success is_success=False
is_success is_success=True
Resultado de JSON
{
   "option": "block_sender",
   "id": "eNo1jr0OgjAYAN-lqw79QKyYOCCSiCJGqSCjlmqQn2ILNmp8d3Fwv8vdGynOOsnzDE3RSsP4ZTT0tPUMO3DL1pK-LrFZzzfJ9XJTrC78yPZgcc7CW1QdSLuUo11Mfc2rpIsfxlxQHFsDFXKPdkeq10ym7uJeDIKLA6Z66T1NUklI4c3QEDWizNnzVzYnBthDxDrViopLJjLe77iHyAEgjkmgpx9cqlzUaAp_kz4b7vc2YDzCny9vYUEo",
   "policy": {
       "description": "Description",
       "fromPart": "both",
       "from": {
           "type": "individual_email_address",
           "emailAddress": "example@exampl.com"
       },
       "to": {
           "type": "individual_email_address",
           "emailAddress": "exampleto@exampl.com"
       },
       "fromType": "individual_email_address",
       "fromValue": "example@exampl.com",
       "toType": "individual_email_address",
       "toValue": "exampleto@exampl.com",
       "fromEternal": true,
       "toEternal": true,
       "fromDate": "1900-01-01T00:00:00+0000",
       "toDate": "2100-01-01T23:59:59+0000",
       "override": false,
       "bidirectional": false,
       "conditions": {},
       "enabled": true,
       "enforced": true,
       "createTime": "2025-03-27T12:51:46+0000",
       "lastUpdated": "2025-03-27T12:51:46+0000"
   }
}
Muro de casos
Tipo de resultado Valor/Descripción Tipo (entidad\general)
Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:


Si no hay "errores" en la respuesta (is_success = true): imprime "Se creó correctamente una política de remitentes bloqueados en Mimecast".

La acción debería fallar y detener la ejecución de la guía:

if fatal error, like wrong credentials, no connection to server, other:print "Error executing action "{action name}". Reason: {0}''.format(error.Stacktrace)

Si fail/errors tiene valores: Se produjo un error al ejecutar la acción "{action name}". Reason: fail/errors/message".

Conector

Mimecast: conector de seguimiento de mensajes

Descripción

Extrae información sobre los mensajes de la pestaña "Message Tracking" en Mimecast. Nota: La lista de entidades permitidas funciona con el parámetro "queueDetailStatus/bounceType".

Configura el conector de seguimiento de mensajes de Mimecast en Google SecOps

Si quieres obtener instrucciones detalladas para configurar un conector en Google SecOps, consulta Cómo configurar el conector.

Parámetros del conector

Usa los siguientes parámetros para configurar el conector:

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
Nombre del campo del producto String Nombre del producto Ingresa el nombre del campo de origen para recuperar el nombre del campo del producto.
Nombre del campo del evento String event_type Ingresa el nombre del campo de origen para recuperar el nombre del campo del evento.
Nombre del campo del entorno String "" No

Describe el nombre del campo en el que se almacena el nombre del entorno.

Si no se encuentra el campo del entorno, se usa el entorno predeterminado.
Patrón de expresión regular del entorno String .* No

Es un patrón de regex que se ejecutará en el valor que se encuentra en el campo "Nombre del campo del entorno".

El valor predeterminado es .* para capturar todo y devolver el valor sin cambios.

Se usa para permitir que el usuario manipule el campo del entorno a través de la lógica de regex.

Si el patrón de regex es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado.
Tiempo de espera de la secuencia de comandos (segundos) Int 180 Es el límite de tiempo de espera para el proceso de Python que ejecuta la secuencia de comandos actual.
Raíz de la API String https:/<<api root>> Es la raíz de la API de la instancia de Mimecast.
ID de aplicación String N/A Es el ID de la aplicación de la instancia de Mimecast.
Clave de aplicación Contraseña N/A Es la clave de aplicación de la instancia de Mimecast.
Clave de acceso Contraseña N/A Es la clave de acceso de la instancia de Mimecast.
Clave secreta Contraseña N/A Es la clave secreta de la instancia de Mimecast.
Dominios CSV N/A Es una lista de dominios separados por comas para los que se consultarán mensajes.
Lowest Risk To Fetch String N/A No

Es el riesgo más bajo que se usará para recuperar mensajes. Valores posibles:

Despreciable, baja, media y alta

Si no se proporciona nada, el conector ingerirá todos los mensajes.
Filtro de estado CSV se llevó a cabo

Es una lista separada por comas de los filtros de estado para los mensajes. Los valores posibles son: delivery, held, accepted, bounced, deferred, rejected y archived.

Si no se proporciona nada, el conector ingerirá todos los mensajes.
Filtro de rutas CSV N/A

Son filtros de rutas separados por comas para los mensajes. Los valores posibles son internal, outbound y inbound.

Si no se proporciona nada, el conector ingerirá todos los mensajes.
Filtro de motivo de la cola CSV N/A

Es una lista separada por comas de los motivos de la cola que deberían filtrar los mensajes. Si no se proporciona nada, se ignora este filtro.
Transfiere mensajes sin riesgos Casilla de verificación Si está habilitado, el conector transferirá mensajes incluso si no hay información sobre el riesgo. Las alertas de SecOps de Google generadas a partir de esos mensajes tendrán la prioridad establecida como Informativa.
Horas máximas hacia atrás Número entero 1 No Cantidad de horas desde las que se recuperarán los mensajes. El valor predeterminado es 1 hora. Máx.: 30 días
Cantidad máxima de mensajes que se devolverán Número entero 100 No Cantidad de mensajes que se procesarán por iteración del conector. El valor predeterminado es 100.
Usar la lista blanca como lista negra Casilla de verificación Marcado Si se habilita, la lista de entidades permitidas se usará como lista de entidades bloqueadas.
Verificar SSL Casilla de verificación Marcado Si está habilitado, verifica que el certificado SSL para la conexión al servidor de Mimecast sea válido.
Dirección del servidor proxy String N/A No Es la dirección del servidor proxy que se usará.
Nombre de usuario del proxy String N/A No Nombre de usuario del proxy con el que se realizará la autenticación.
Contraseña de proxy Contraseña N/A No Contraseña del proxy para la autenticación.

Reglas del conector

Compatibilidad con proxy

El conector admite proxy.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.