Mimecast

Version de l'intégration : 9.0

Cas d'utilisation

  1. Ingérer les messages
  2. Effectuer une action de triage (rejeter/libérer/signaler un message)

Avant de commencer

Pour configurer l'intégration Mimecast, vous devez d'abord créer un rôle Mimecast avec les autorisations requises dans la console d'administration Mimecast.

Les autorisations requises sont les suivantes :

  • Account | Dashboard | Read

  • Account | Monitoring | Held | Edit

  • Archive | Search Logs | Read

  • Archive | View Logs | Read

  • Gateway | Managed Senders | Edit

  • Gateway | Policies | Edit

  • Gateway | Policies | Read

  • Gateway | Tracking | Read

Configurer l'intégration de Mimecast dans Google SecOps

Pour obtenir des instructions détaillées sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.

Paramètres d'intégration

Utilisez les paramètres suivants pour configurer l'intégration :

Nom à afficher du paramètre Type Valeur par défaut Obligatoire Description
Racine de l'API Chaîne https:/<<api root>> Oui Racine de l'API de l'instance Mimecast.
ID de l'application Chaîne N/A Oui ID d'application de l'instance Mimecast.
Clé d'application Mot de passe N/A Oui Clé d'application de l'instance Mimecast.
Clé d'accès Mot de passe N/A Oui Clé d'accès de l'instance Mimecast.
Clé secrète Mot de passe N/A Oui Clé secrète de l'instance Mimecast.
Vérifier le protocole SSL Case à cocher Cochée Oui Si cette option est activée, vérifiez que le certificat SSL pour la connexion au serveur Mimecast est valide.
Remarque : Vous pourrez apporter des modifications ultérieurement si nécessaire. Une fois configurées, les instances peuvent être utilisées dans les playbooks. Pour en savoir plus sur la configuration et la prise en charge de plusieurs instances, consultez [Prise en charge de plusieurs instances](/chronicle/docs/soar/respond/integrations-setup/supporting-multiple-instances). ## Nuances de configuration de l'intégration 1. Le serveur Google Security Operations doit être synchronisé avec le serveur Mimecast. 1. Vous trouverez des informations sur tous les paramètres nécessaires à la configuration sur les pages suivantes : [https://community.mimecast.com/s/article/Managing-API-Applications-505230018](https://community.mimecast.com/s/article/Managing-API-Applications-505230018) et [https://community.mimecast.com/s/article/Mimecast-Data-Centers-and-URLs-61190061](https://community.mimecast.com/s/article/Mimecast-Data-Centers-and-URLs-61190061) ## Actions ### Ping #### Description Testez la connectivité à Mimecast avec les paramètres fournis sur la page de configuration de l'intégration, dans l'onglet Google SecOps Marketplace. #### Paramètres N/A #### Exécuter sur Cette action ne s'exécute pas sur les entités. #### Résultats de l'action ##### Résultat du script
Nom du résultat du script Options de valeur
is_success is_success=False
is_success is_success=True
Mur des cas
Type de résultat Valeur / Description Type
Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :
en cas de succès : "Connexion au serveur Mimecast établie avec succès avec les paramètres de connexion fournis !"

L'action doit échouer et arrêter l'exécution d'un playbook :
if not successful (en cas d'échec) : "Failed to connect to the Mimecast server! Error is {0}".format(exception.stacktrace)

 Général

Description

Recherchez des e-mails archivés à l'aide des paramètres définis dans Mimecast.

Paramètres

Nom à afficher du paramètre Type Valeur par défaut Obligatoire Description
Champs à renvoyer CSV

attachmentcount,status,subject,
size,receiveddate,displayfrom,
displayfromaddress,id,displayto,
displaytoaddresslist,smash

 Oui Spécifiez une liste de champs à renvoyer, séparés par une virgule.
Boîtes aux lettres CSV N/A Non Spécifiez une liste de boîtes aux lettres à rechercher, séparées par une virgule.
De CSV N/A Non Spécifiez une liste d'adresses e-mail séparées par une virgule à partir desquelles les e-mails ont été envoyés.
À CSV N/A Non Spécifiez une liste d'adresses e-mail séparées par une virgule auxquelles les e-mails ont été envoyés.
Objet Chaîne N/A Non Spécifiez un sujet à rechercher.
Période LDD

La dernière heure

Valeurs possibles :

La dernière heure

Les 6 dernières heures

Dernières 24 heures

La semaine dernière

Le mois dernier

Personnalisé

 Oui Spécifiez une période pour la recherche. Si vous sélectionnez "Personnalisé", vous devez également indiquer une heure de début.
Heure de début Chaîne N/A Non Spécifiez l'heure de début de la recherche. Ce paramètre est obligatoire si l'option "Personnalisé" est sélectionnée pour le paramètre "Période". Format : ISO 8601
Heure de fin Chaîne N/A Non Spécifiez l'heure de fin de la recherche. Format : ISO 8601. Si aucune valeur n'est fournie et que "Personnalisée" est sélectionné pour le paramètre "Période", ce paramètre utilisera l'heure actuelle.
Nombre maximal d'e-mails à renvoyer Intégration 50 Non Indiquez le nombre d'e-mails à renvoyer. Valeur par défaut : 50.

Exécuter sur

Cette action ne s'applique pas aux entités.

Résultats de l'action

Résultat du script
Nom du résultat du script Options de valeur
is_success is_success=False
is_success is_success=True
Mur des cas
Type de résultat Valeur/Description Type
Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :
si des données sont disponibles(is_success = true) : "Les e-mails archivés correspondant aux critères fournis ont été trouvés dans Mimecast".

Si les données ne sont pas disponibles (is_success=true) : "Aucun e-mail archivé n'a été trouvé pour les critères fournis dans Mimecast"



L'action doit échouer et arrêter l'exécution d'un playbook :
en cas d'erreur fatale, comme des identifiants incorrects, l'absence de connexion au serveur, etc. "Erreur lors de l'exécution de l'action "Simple Archive Search". Raison : {0}''.format(error.Stacktrace)

Si l'heure de début est vide et que la période est définie sur "Personnalisée" : "Erreur lors de l'exécution de l'action "Recherche simple dans les archives". Motif : "L'heure de début doit être indiquée lorsque l'option "Personnalisée" est sélectionnée dans le paramètre "Période"."

Si des valeurs sont associées à "Échec/Erreurs" : erreur lors de l'exécution de l'action "Recherche simple dans les archives". Raison : fail/errors/message".

Général
Tableau du mur des cas

Nom : Résultats

Colonnes :

Toutes les clés de la réponse

 Général

Description

Recherchez des e-mails archivés à l'aide d'une requête XML personnalisée dans Mimecast.

Paramètres

Nom à afficher du paramètre Type Valeur par défaut Obligatoire Description
Requête XML XML N/A Oui Spécifiez une requête XML à utiliser lors de la recherche d'e-mails archivés. Pour en savoir plus, veuillez consulter la documentation.

Exécuter sur

Cette action ne s'applique pas aux entités.

Résultats de l'action

Résultat du script
Nom du résultat du script Options de valeur
is_success is_success=False
is_success is_success=True
Mur des cas
Type de résultat Valeur/Description Type
Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :
si des données sont disponibles(is_success = true) : "Les e-mails archivés correspondant aux critères fournis ont été trouvés dans Mimecast".

Si les données ne sont pas disponibles (is_success=true) : "Aucun e-mail d'archive n'a été trouvé pour les critères fournis dans Mimecast".

L'action doit échouer et arrêter l'exécution d'un playbook :
en cas d'erreur fatale, comme des identifiants incorrects, une absence de connexion au serveur, etc. : "Erreur lors de l'exécution de l'action "Recherche avancée dans les archives". Raison : {0}''.format(error.Stacktrace)

Si des valeurs sont associées à "Échec/Erreurs" : erreur lors de l'exécution de l'action "Recherche avancée dans les archives". Raison : fail/errors/message".

Général
Tableau du mur des cas

Nom : Résultats

Colonnes :

Toutes les clés de la réponse

 Général

Rejeter le message

Description

Rejeter le message dans Mimecast. Remarque : Seuls les messages dont l'état est "En attente" peuvent être refusés.

Paramètres

Nom à afficher du paramètre Type Valeur par défaut Obligatoire Description
ID du message Chaîne N/A Oui Spécifiez l'ID du message à refuser.
Remarque Chaîne N/A Non Spécifiez une note supplémentaire expliquant pourquoi le message a été refusé.
Motif DLL

Sélectionnez une réponse

Valeurs possibles :

Sélectionnez une réponse

Communication inappropriée

Informations confidentielles

Enfreindre les règles concernant les e-mails

Contenu soumis à restriction

 Non Indiquez le motif du refus.
Avertir l'expéditeur Case à cocher Décochée Non Si cette option est activée, l'expéditeur sera informé du refus.

Exécuter sur

Cette action ne s'applique pas aux entités.

Résultats de l'action

Résultat du script
Nom du résultat du script Options de valeur
is_success is_success=False
is_success is_success=True
Mur des cas
Type de résultat Valeur/Description Type
Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :
Si la réponse ne contient aucune erreur (is_success = true) : "Message avec l'ID "{ID}" rejeté avec succès dans Mimecast".

L'action doit échouer et arrêter l'exécution d'un playbook :
en cas d'erreur fatale, comme des identifiants incorrects, l'absence de connexion au serveur, etc. : "Erreur lors de l'exécution de l'action "Rejeter le message". Raison : {0}''.format(error.Stacktrace)

Si des valeurs sont associées à "Échec/Erreurs" : erreur lors de l'exécution de l'action "Rejeter le message". Raison : fail/errors/message".

Général

Message de sortie

Description

Libérez le message dans Mimecast. Remarque : Seuls les messages dont l'état est "En attente" peuvent être libérés.

Paramètres

Nom à afficher du paramètre Type Valeur par défaut Obligatoire Description
ID du message Chaîne N/A Oui Spécifiez l'ID du message à libérer.
Libérer vers le bac à sable Case à cocher N/A Non Si cette option est activée, l'action libère le message dans le bac à sable.

Exécuter sur

Cette action ne s'applique pas aux entités.

Résultats de l'action

Résultat du script
Nom du résultat du script Options de valeur
is_success is_success=False
is_success is_success=True
Mur des cas
Type de résultat Valeur/Description Type
Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :
Si aucune "erreur" n'est détectée dans la réponse (is_success = true) : "Message avec l'ID "{ID}" libéré avec succès dans Mimecast".

L'action doit échouer et arrêter l'exécution d'un playbook :
en cas d'erreur fatale, comme des identifiants incorrects, une absence de connexion au serveur, etc. : "Erreur lors de l'exécution de l'action "Libérer le message". Raison : {0}''.format(error.Stacktrace)

Si des valeurs sont associées à "Échec/Erreurs" : erreur lors de l'exécution de l'action "Libérer le message". Raison : fail/errors/message".

Général

Signaler un message

Description

Signalez le message dans Mimecast. Remarque : Vous ne pouvez signaler que les messages dont l'état est "En attente", "Archivé" ou "Rejeté".

Paramètres

Nom à afficher du paramètre Type Valeur par défaut Obligatoire Description
ID des messages Chaîne N/A Oui Spécifiez l'ID du message à signaler.
Signaler comme LDD

Spam

Valeurs possibles :

Spam

Logiciels malveillants

Hameçonnage

 Non Spécifiez le type de signalement pour le message.
Commentaire Chaîne N/A Non Spécifiez le commentaire pour le rapport.

Exécuter sur

Cette action ne s'applique pas aux entités.

Résultats de l'action

Résultat du script
Nom du résultat du script Options de valeur
is_success is_success=False
is_success is_success=True
Mur des cas
Type de résultat Valeur / Description Type
Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :
si des données sont disponibles(is_success = true) : "Les messages suivants avec l'ID "{ID}" ont bien été signalés dans Mimecast".

L'action doit échouer et arrêter l'exécution d'un playbook :
en cas d'erreur fatale, comme des identifiants incorrects, une absence de connexion au serveur, etc. : "Erreur lors de l'exécution de l'action "Signaler un message". Raison : {0}''.format(error.Stacktrace)

Si "Échec/Erreurs" comporte des valeurs : "Erreur lors de l'exécution de l'action "Signaler un message"." Raison : fail/errors/message".

 Général

Bloquer l'expéditeur

Description

Bloquez l'expéditeur dans Mimecast.

Paramètres

Nom à afficher du paramètre Type Valeur par défaut Obligatoire Description
Expéditeur Chaîne N/A Oui Spécifiez l'adresse e-mail de l'expéditeur à bloquer.
Destinataire Chaîne N/A Oui Spécifiez l'adresse e-mail du destinataire à bloquer.

Exécuter sur

Cette action ne s'applique pas aux entités.

Résultats de l'action

Résultat du script
Nom du résultat du script Options de valeur
is_success is_success=False
is_success is_success=True
Mur des cas
Type de résultat Valeur / Description Type
Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :
Si aucune "erreur" n'est détectée dans la réponse (is_success = true) : "L'expéditeur {sender} a été bloqué pour le destinataire {recipient} dans Mimecast".

L'action doit échouer et arrêter l'exécution d'un playbook :
en cas d'erreur fatale, comme des identifiants incorrects, l'absence de connexion au serveur, etc. : "Erreur lors de l'exécution de l'action "Bloquer l'expéditeur". Raison : {0}''.format(error.Stacktrace)

Si des valeurs sont associées à "Échec/Erreurs" : erreur lors de l'exécution de l'action "Bloquer l'expéditeur". Raison : fail/errors/message".

 Général

Autoriser l'expéditeur

Description

Autorisez l'expéditeur dans Mimecast.

Paramètres

Nom à afficher du paramètre Type Valeur par défaut Obligatoire Description
Expéditeur Chaîne N/A Oui Spécifiez l'adresse e-mail de l'expéditeur à autoriser.
Destinataire Chaîne N/A Oui Spécifiez l'adresse e-mail du destinataire à autoriser.

Exécuter sur

Cette action ne s'applique pas aux entités.

Résultats de l'action

Résultat du script
Nom du résultat du script Options de valeur
is_success is_success=False
is_success is_success=True
Mur des cas
Type de résultat Valeur / Description Type
Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :
Si aucune "erreur" n'est détectée dans la réponse (is_success = true) : "L'expéditeur {sender} a été autorisé pour le destinataire {recipient} dans Mimecast".

L'action doit échouer et arrêter l'exécution d'un playbook :
en cas d'erreur fatale, comme des identifiants incorrects, l'absence de connexion au serveur, etc. : "Erreur lors de l'exécution de l'action "Autoriser l'expéditeur". Raison : {0}''.format(error.Stacktrace)

Si les échecs/erreurs ont des valeurs : erreur lors de l'exécution de l'action "Autoriser l'expéditeur". Raison : fail/errors/message".

 Général

Créer une règle de blocage des expéditeurs

Créez une règle "Expéditeur bloqué" dans Mimecast.

Exécuter sur

Cette action ne s'applique à aucune entité.

Paramètres

Nom à afficher du paramètre Type Valeur par défaut Filigrane Obligatoire Description
Réponse LDD N/A N/A Non Indiquez le type de réponse qui sera associé à la stratégie créée.
Description Chaîne N/A N/A Oui Description de la règle.
Données extraites LDD N/A N/A Définissez l'origine des informations sur l'expéditeur et le destinataire.
Expéditeur Chaîne N/A N/A Non Expéditeur du message à bloquer. Ce champ n'est requis que si le "Type d'expéditeur" est l'un des suivants : "Domaine de l'adresse e-mail", "Adresse e-mail" ou "Nom à afficher dans l'en-tête". Ce paramètre est ignoré si une autre valeur "Type de provenance" est sélectionnée.
Type d'expéditeur LDD N/A N/A Non Type d'expéditeur pour le règlement.
Destinataire Chaîne N/A N/A Non Destinataire du message à bloquer. Ce champ n'est nécessaire que si le type de destinataire est l'un des suivants : "Domaine de messagerie", "Adresse e-mail" ou "Nom à afficher dans l'en-tête". Ce paramètre est ignoré si une autre valeur est sélectionnée pour "Type de destinataire".
Type de destinataire LDD N/A N/A Non Type de destinataire de la règle.
Commentaire Chaîne N/A N/A Non Commentaire pour une règle.
Bidirectionnelle Bool N/A N/A Non Si elle est activée, la règle sera définie de manière bidirectionnelle.
Appliquée Bool N/A N/A Non Si elle est activée, la règle est appliquée.
Heure de début Chaîne N/A N/A Non Heure de début de la règle. Si aucune valeur n'est fournie, l'heure de début sera définie sur "éternelle". Le format ISO 8601 est attendu. Exemple : 2025-03-07T16:03:00Z
Heure de fin Chaîne N/A N/A Non Heure de fin de la règle. Si aucune valeur n'est fournie, l'heure de fin est définie sur "éternelle". Le format ISO 8601 est attendu. Exemple : 2025-03-07T16:03:00Z

Résultats de l'action

Type Disponible
Résultat du script Vrai
Résultat JSON Vrai
Table d'enrichissement Faux
Tableau du mur des cas Faux
Lien vers le mur des cas Faux
Pièce jointe au mur des cas Faux
Résultat du script
Nom du résultat du script Options de valeur
is_success is_success=False
is_success is_success=True
Résultat JSON
{
   "option": "block_sender",
   "id": "eNo1jr0OgjAYAN-lqw79QKyYOCCSiCJGqSCjlmqQn2ILNmp8d3Fwv8vdGynOOsnzDE3RSsP4ZTT0tPUMO3DL1pK-LrFZzzfJ9XJTrC78yPZgcc7CW1QdSLuUo11Mfc2rpIsfxlxQHFsDFXKPdkeq10ym7uJeDIKLA6Z66T1NUklI4c3QEDWizNnzVzYnBthDxDrViopLJjLe77iHyAEgjkmgpx9cqlzUaAp_kz4b7vc2YDzCny9vYUEo",
   "policy": {
       "description": "Description",
       "fromPart": "both",
       "from": {
           "type": "individual_email_address",
           "emailAddress": "example@exampl.com"
       },
       "to": {
           "type": "individual_email_address",
           "emailAddress": "exampleto@exampl.com"
       },
       "fromType": "individual_email_address",
       "fromValue": "example@exampl.com",
       "toType": "individual_email_address",
       "toValue": "exampleto@exampl.com",
       "fromEternal": true,
       "toEternal": true,
       "fromDate": "1900-01-01T00:00:00+0000",
       "toDate": "2100-01-01T23:59:59+0000",
       "override": false,
       "bidirectional": false,
       "conditions": {},
       "enabled": true,
       "enforced": true,
       "createTime": "2025-03-27T12:51:46+0000",
       "lastUpdated": "2025-03-27T12:51:46+0000"
   }
}
Mur des cas
Type de résultat Valeur/Description Type (entité \ général)
Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :


Si aucune "erreur" n'est détectée dans la réponse (is_success = true) : print "Successfully created a block sender policy in Mimecast".

L'action doit échouer et arrêter l'exécution d'un playbook :

if fatal error, like wrong credentials, no connection to server, other:print "Error executing action "{action name}". Raison : {0}''.format(error.Stacktrace)

Si des échecs/erreurs sont signalés : erreur lors de l'exécution de l'action "{action name}". Raison : fail/errors/message".

Connecteur

Mimecast : connecteur de suivi des messages

Description

Récupérez des informations sur les messages depuis l'onglet "Message Tracking" (Suivi des messages) de Mimecast. Remarque : La liste blanche fonctionne avec le paramètre "queueDetailStatus/bounceType".

Configurer le connecteur de suivi des messages Mimecast dans Google SecOps

Pour obtenir des instructions détaillées sur la configuration d'un connecteur dans Google SecOps, consultez Configurer le connecteur.

Paramètres du connecteur

Utilisez les paramètres suivants pour configurer le connecteur :

Nom à afficher du paramètre Type Valeur par défaut Obligatoire Description
Nom du champ de produit Chaîne Nom du produit Oui Saisissez le nom du champ source pour récupérer le nom du champ produit.
Nom du champ d'événement Chaîne event_type Oui Saisissez le nom du champ source pour récupérer le nom du champ d'événement.
Nom du champ "Environnement" Chaîne "" Non

Décrit le nom du champ dans lequel le nom de l'environnement est stocké.

Si le champ "environment" (environnement) est introuvable, l'environnement est celui par défaut.
Modèle d'expression régulière de l'environnement Chaîne .* Non

Expression régulière à exécuter sur la valeur trouvée dans le champ "Nom du champ d'environnement".

La valeur par défaut est ".*" pour tout capturer et renvoyer la valeur inchangée.

Permet à l'utilisateur de manipuler le champ "environnement" à l'aide de la logique des expressions régulières.

Si le modèle d'expression régulière est nul ou vide, ou si la valeur d'environnement est nulle, l'environnement par défaut est utilisé comme résultat final.
Délai avant expiration du script (en secondes) Int 180 Oui Délai avant expiration du processus Python exécutant le script actuel.
Racine de l'API Chaîne https:/<<api root>> Oui Racine de l'API de l'instance Mimecast.
ID de l'application Chaîne N/A Oui ID d'application de l'instance Mimecast.
Clé d'application Mot de passe N/A Oui Clé d'application de l'instance Mimecast.
Clé d'accès Mot de passe N/A Oui Clé d'accès de l'instance Mimecast.
Clé secrète Mot de passe N/A Oui Clé secrète de l'instance Mimecast.
Domaines CSV N/A Oui Liste de domaines pour lesquels interroger les messages, séparés par une virgule.
Risque le plus faible pour la récupération Chaîne N/A Non

Risque le plus faible qui sera utilisé pour récupérer les messages. Valeurs possibles :

Négligeable, Faible, Moyen, Élevé

Si vous ne fournissez rien, le connecteur ingérera tous les messages.
Filtre d'état CSV retenue

Liste de filtres d'état pour les messages, séparés par une virgule. Valeurs possibles : "delivery" (remise), "held" (retenu), "accepted" (accepté), "bounced" (retourné), "deferred" (différé), "rejected" (refusé), "archived" (archivé).

Si vous ne fournissez rien, le connecteur ingérera tous les messages.
Filtre d'itinéraire CSV N/A

Filtres de route séparés par une virgule pour les messages. Valeurs possibles : "internal", "outbound", "inbound".

Si vous ne fournissez rien, le connecteur ingérera tous les messages.
Filtre de motif de la file d'attente CSV N/A

Liste de motifs de mise en file d'attente séparés par une virgule, qui doivent filtrer les messages. Si aucune valeur n'est fournie, ce filtre est ignoré.
Ingérer des messages sans risque Case à cocher Si cette option est activée, le connecteur ingère les messages même s'il n'y a aucune information sur les risques. Les alertes SecOps Google générées à partir de ces messages auront une priorité définie sur "Informationnel".
Nombre maximal d'heures en arrière Integer 1 Non Nombre d'heures à partir desquelles récupérer les messages. Valeur par défaut : 1 heure. 30 jours maximum.
Nombre maximal de messages à renvoyer Integer 100 Non Nombre de messages à traiter par itération de connecteur. Valeur par défaut : 100.
Utiliser la liste blanche comme liste noire Case à cocher Cochée Oui Si cette option est activée, la liste blanche sera utilisée comme liste noire.
Vérifier le protocole SSL Case à cocher Cochée Oui Si cette option est activée, vérifiez que le certificat SSL pour la connexion au serveur Mimecast est valide.
Adresse du serveur proxy Chaîne N/A Non Adresse du serveur proxy à utiliser.
Nom d'utilisateur du proxy Chaîne N/A Non Nom d'utilisateur du proxy pour l'authentification.
Mot de passe du proxy Mot de passe N/A Non Mot de passe du proxy pour l'authentification.

Règles du connecteur

Assistance de proxy

Le connecteur est compatible avec le proxy.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.