Mimecast

Versione integrazione: 9.0

Casi d'uso

  1. Esegui l'importazione dei messaggi
  2. Eseguire l'azione di triage (Rifiuta/Rilascia/Segnala messaggio)

Prima di iniziare

Per configurare l'integrazione di Mimecast, devi prima creare un ruolo Mimecast con le autorizzazioni richieste nella console di amministrazione di Mimecast.

Le autorizzazioni richieste sono le seguenti:

  • Account | Dashboard | Read

  • Account | Monitoring | Held | Edit

  • Archive | Search Logs | Read

  • Archive | View Logs | Read

  • Gateway | Managed Senders | Edit

  • Gateway | Policies | Edit

  • Gateway | Policies | Read

  • Gateway | Tracking | Read

Configura l'integrazione di Mimecast in Google SecOps

Per istruzioni dettagliate su come configurare un'integrazione in Google SecOps, vedi Configurare le integrazioni.

Parametri di integrazione

Utilizza i seguenti parametri per configurare l'integrazione:

Nome visualizzato del parametro Tipo Valore predefinito È obbligatorio Descrizione
Root API Stringa https:/<<api root>> Radice API dell'istanza Mimecast.
ID applicazione Stringa N/D ID applicazione dell'istanza Mimecast.
Chiave applicazione Password N/D Chiave applicazione dell'istanza Mimecast.
Chiave di accesso Password N/D Chiave di accesso dell'istanza Mimecast.
Chiave segreta Password N/D Chiave segreta dell'istanza Mimecast.
Verifica SSL Casella di controllo Selezionata Se abilitato, verifica che il certificato SSL per la connessione al server Mimecast sia valido.
Nota: se necessario, puoi apportare modifiche in un secondo momento. Una volta configurate, le istanze possono essere utilizzate nei playbook. Per informazioni dettagliate sulla configurazione e sul supporto di più istanze, consulta [Supporto di più istanze](/chronicle/docs/soar/respond/integrations-setup/supporting-multiple-instances). ## Sfumature della configurazione dell'integrazione 1. Il server Google Security Operations deve essere sincronizzato con il server Mimecast. 1. Le informazioni su tutti i parametri necessari per la configurazione sono disponibili nei seguenti link: [https://community.mimecast.com/s/article/Managing-API-Applications-505230018](https://community.mimecast.com/s/article/Managing-API-Applications-505230018) e [https://community.mimecast.com/s/article/Mimecast-Data-Centers-and-URLs-61190061](https://community.mimecast.com/s/article/Mimecast-Data-Centers-and-URLs-61190061) ## Azioni ### Ping #### Descrizione Verifica la connettività a Mimecast con i parametri forniti nella pagina di configurazione dell'integrazione nella scheda Google SecOps Marketplace. #### Parametri N/A #### Esegui su Questa azione non viene eseguita sulle entità. #### Risultati dell'azione ##### Risultato script
Nome risultato script Opzioni di valore
is_success is_success=False
is_success is_success=True
Bacheca casi
Tipo di risultato Valore / Descrizione Tipo
Messaggio di output*

L'azione non deve non riuscire né interrompere l'esecuzione di un playbook:
se l'operazione va a buon fine: "Connessione al server Mimecast riuscita con i parametri di connessione forniti."

L'azione deve non riuscire e interrompere l'esecuzione di un playbook:
se non va a buon fine: "Impossibile connettersi al server Mimecast. Error is {0}".format(exception.stacktrace)

 Generale

Descrizione

Cerca le email archiviate utilizzando i parametri definiti in Mimecast.

Parametri

Nome visualizzato del parametro Tipo Valore predefinito È obbligatorio Descrizione
Campi da restituire CSV

attachmentcount,status,subject,
size,receiveddate,displayfrom,
displayfromaddress,id,displayto,
displaytoaddresslist,smash

 Specifica un elenco separato da virgole dei campi da restituire.
Caselle postali CSV N/D No Specifica un elenco separato da virgole delle caselle postali in cui eseguire la ricerca.
Da CSV N/D No Specifica un elenco di indirizzi email separati da virgole da cui sono state inviate le email.
A CSV N/D No Specifica un elenco di indirizzi email separati da virgole a cui sono state inviate le email.
Oggetto Stringa N/D No Specifica un oggetto da cercare.
Intervallo di tempo DDL

Ultima ora

Valori possibili:

Ultima ora

Ultime 6 ore

Ultime 24 ore

Settimana scorsa

Mese scorso

Personalizzato

 Specifica un intervallo di tempo per la ricerca. Se è selezionata l'opzione "Personalizzato", devi fornire anche l'"Ora di inizio".
Ora di inizio Stringa N/D No Specifica l'ora di inizio della ricerca. Questo parametro è obbligatorio se è selezionato "Personalizzato" per il parametro "Intervallo di tempo". Formato: ISO 8601
Ora di fine Stringa N/D No Specifica l'ora di fine della ricerca. Formato: ISO 8601. Se non viene fornito alcun valore e viene selezionato "Personalizzato" per il parametro "Intervallo di tempo", questo parametro utilizzerà l'ora corrente.
Numero massimo di email da restituire Integrazione 50 No Specifica il numero di email da restituire. Valore predefinito: 50.

Run On

Questa azione non viene eseguita sulle entità.

Risultati dell'azione

Risultato script
Nome risultato script Opzioni di valore
is_success is_success=False
is_success is_success=True
Bacheca casi
Tipo di risultato Valore/Descrizione Tipo
Messaggio di output*

L'azione non deve non riuscire né interrompere l'esecuzione di un playbook:
se i dati sono disponibili(is_success = true): "Successfully found archive emails for the provided criteria in Mimecast".

Se i dati non sono disponibili (is_success=true): "Nessuna email di archivio trovata per i criteri forniti in Mimecast"



L'azione deve non riuscire e interrompere l'esecuzione di un playbook:
se si verifica un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server, altro: "Errore durante l'esecuzione dell'azione "Ricerca semplice nell'archivio". Motivo: {0}''.format(error.Stacktrace)

Se l'ora di inizio è vuota e "Intervallo di tempo" è "Personalizzato": "Errore durante l'esecuzione dell'azione "Ricerca semplice nell'archivio". Motivo: "Ora di inizio" deve essere fornita quando "Personalizzato" è selezionato nel parametro "Intervallo di tempo".

Se fail/errors ha valori: Errore durante l'esecuzione dell'azione "Ricerca semplice nell'archivio". Motivo: fail/errors/message".

Generale
Tabella Bacheca casi

Nome: risultati

Colonne:

Tutte le chiavi della risposta

 Generale

Descrizione

Cerca le email archiviate utilizzando una query XML personalizzata in Mimecast.

Parametri

Nome visualizzato del parametro Tipo Valore predefinito È obbligatorio Descrizione
Query XML XML N/D Specifica una query XML da utilizzare per la ricerca delle email di archivio. Per ulteriori dettagli, consulta la documentazione.

Run On

Questa azione non viene eseguita sulle entità.

Risultati dell'azione

Risultato script
Nome risultato script Opzioni di valore
is_success is_success=False
is_success is_success=True
Bacheca casi
Tipo di risultato Valore/Descrizione Tipo
Messaggio di output*

L'azione non deve non riuscire né interrompere l'esecuzione di un playbook:
se i dati sono disponibili(is_success = true): "Successfully found archive emails for the provided criteria in Mimecast".

Se i dati non sono disponibili (is_success=true): "Nessuna email di archivio trovata per i criteri forniti in Mimecast".

L'azione deve non riuscire e interrompere l'esecuzione di un playbook:
se si verifica un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server, altro: "Errore durante l'esecuzione dell'azione "Ricerca avanzata nell'archivio". Motivo: {0}''.format(error.Stacktrace)

Se fail/errors ha valori: errore durante l'esecuzione dell'azione "Ricerca avanzata nell'archivio". Motivo: fail/errors/message".

Generale
Tabella Bacheca casi

Nome: risultati

Colonne:

Tutte le chiavi della risposta

 Generale

Rifiuta messaggio

Descrizione

Rifiuta il messaggio in Mimecast. Nota: è possibile rifiutare solo i messaggi con lo stato "In attesa".

Parametri

Nome visualizzato del parametro Tipo Valore predefinito È obbligatorio Descrizione
ID messaggio Stringa N/D Specifica l'ID del messaggio da rifiutare.
Nota Stringa N/D No Specifica una nota aggiuntiva contenente una spiegazione del motivo per cui il messaggio è stato rifiutato.
Motivo DLL

Selezionane uno

Valori possibili:

Selezionane uno

Comunicazione inappropriata

Informazioni riservate

Contro le norme relative alle email

Contenuti con limitazioni

 No Specifica il motivo del rifiuto.
Notifica al mittente Casella di controllo Deselezionata No Se l'opzione è abilitata, l'azione invierà una notifica al mittente in merito al rifiuto.

Run On

Questa azione non viene eseguita sulle entità.

Risultati dell'azione

Risultato script
Nome risultato script Opzioni di valore
is_success is_success=False
is_success is_success=True
Bacheca casi
Tipo di risultato Valore/Descrizione Tipo
Messaggio di output*

L'azione non deve non riuscire né interrompere l'esecuzione di un playbook:
Se non sono presenti "errori" nella risposta (is_success = true): "Messaggio con ID "{ID}" rifiutato correttamente in Mimecast".

L'azione deve non riuscire e interrompere l'esecuzione di un playbook:
se si verifica un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server, altro: "Errore durante l'esecuzione dell'azione "Rifiuta messaggio". Motivo: {0}''.format(error.Stacktrace)

Se fail/errors ha valori: Errore durante l'esecuzione dell'azione "Rifiuta messaggio". Motivo: fail/errors/message".

Generale

Messaggio di rilascio

Descrizione

Rilascia il messaggio in Mimecast. Nota: possono essere rilasciati solo i messaggi con lo stato "In attesa".

Parametri

Nome visualizzato del parametro Tipo Valore predefinito È obbligatorio Descrizione
ID messaggio Stringa N/D Specifica l'ID del messaggio che deve essere rilasciato.
Rilascia nella sandbox Casella di controllo N/D No Se abilitata, l'azione rilascerà il messaggio nella sandbox.

Run On

Questa azione non viene eseguita sulle entità.

Risultati dell'azione

Risultato script
Nome risultato script Opzioni di valore
is_success is_success=False
is_success is_success=True
Bacheca casi
Tipo di risultato Valore/Descrizione Tipo
Messaggio di output*

L'azione non deve non riuscire né interrompere l'esecuzione di un playbook:
Se non sono presenti "errori" nella risposta (is_success = true): "Successfully released message with ID "{ID}" in Mimecast".

L'azione deve non riuscire e interrompere l'esecuzione di un playbook:
se si verifica un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server, altro: "Error executing action "Release Message". Motivo: {0}''.format(error.Stacktrace)

Se fail/errors ha valori: errore durante l'esecuzione dell'azione "Rilascia messaggio". Motivo: fail/errors/message".

Generale

Segnala messaggio

Descrizione

Segnala il messaggio in Mimecast. Nota: è possibile segnalare solo i messaggi con stato "In attesa", "Archiviato" o "Rifiutato".

Parametri

Nome visualizzato del parametro Tipo Valore predefinito È obbligatorio Descrizione
ID messaggio Stringa N/D Specifica l'ID del messaggio da segnalare.
Report come DDL

Spam

Valori possibili:

Spam

Malware

Phishing

 No Specifica il tipo di segnalazione per il messaggio.
Commento Stringa N/D No Specifica il commento per la segnalazione.

Run On

Questa azione non viene eseguita sulle entità.

Risultati dell'azione

Risultato script
Nome risultato script Opzioni di valore
is_success is_success=False
is_success is_success=True
Bacheca casi
Tipo di risultato Valore / Descrizione Tipo
Messaggio di output*

L'azione non deve non riuscire né interrompere l'esecuzione di un playbook:
se i dati sono disponibili(is_success = true): "Successfully reported the following messages with ID "{ID}" in Mimecast".

L'azione deve non riuscire e interrompere l'esecuzione di un playbook:
se si verifica un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server, altro: "Error executing action "Report Message". Motivo: {0}''.format(error.Stacktrace)

Se fail/errors ha valori: Errore durante l'esecuzione dell'azione "Segnala messaggio". Motivo: fail/errors/message".

 Generale

Blocca mittente

Descrizione

Blocca il mittente in Mimecast.

Parametri

Nome visualizzato del parametro Tipo Valore predefinito È obbligatorio Descrizione
Mittente Stringa N/D Specifica l'indirizzo email del mittente da bloccare.
Destinatario Stringa N/D Specifica l'indirizzo email del destinatario da bloccare.

Run On

Questa azione non viene eseguita sulle entità.

Risultati dell'azione

Risultato script
Nome risultato script Opzioni di valore
is_success is_success=False
is_success is_success=True
Bacheca casi
Tipo di risultato Valore / Descrizione Tipo
Messaggio di output*

L'azione non deve non riuscire né interrompere l'esecuzione di un playbook:
Se non sono presenti "errori" nella risposta (is_success = true): "Successfully blocked sender {sender} for recipient {recipient} in Mimecast".

L'azione deve non riuscire e interrompere l'esecuzione di un playbook:
se si verifica un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server, altro: "Errore durante l'esecuzione dell'azione "Blocca mittente". Motivo: {0}''.format(error.Stacktrace)

Se fail/errors ha valori: Errore durante l'esecuzione dell'azione "Blocca mittente". Motivo: fail/errors/message".

 Generale

Permetti mittente

Descrizione

Consenti il mittente in Mimecast.

Parametri

Nome visualizzato del parametro Tipo Valore predefinito È obbligatorio Descrizione
Mittente Stringa N/D Specifica l'indirizzo email del mittente da autorizzare.
Destinatario Stringa N/D Specifica l'indirizzo email del destinatario da autorizzare.

Run On

Questa azione non viene eseguita sulle entità.

Risultati dell'azione

Risultato script
Nome risultato script Opzioni di valore
is_success is_success=False
is_success is_success=True
Bacheca casi
Tipo di risultato Valore / Descrizione Tipo
Messaggio di output*

L'azione non deve non riuscire né interrompere l'esecuzione di un playbook:
Se non sono presenti "errori" nella risposta (is_success = true): "Successfully permitted sender {sender} for recipient {recipient} in Mimecast".

L'azione deve non riuscire e interrompere l'esecuzione di un playbook:
se si verifica un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server, altro: "Errore durante l'esecuzione dell'azione "Consenti mittente". Motivo: {0}''.format(error.Stacktrace)

Se fail/errors ha valori: Errore durante l'esecuzione dell'azione "Consenti mittente". Motivo: fail/errors/message".

 Generale

Crea policy di blocco del mittente

Crea un criterio di blocco del mittente in Mimecast.

Run On

Questa azione non viene eseguita su alcuna entità.

Parametri

Nome visualizzato del parametro Tipo Valore predefinito Filigrana È obbligatorio Descrizione
Risposta DDL N/D N/D No Specifica il tipo di risposta che verrà associato alla policy creata.
Descrizione Stringa N/D N/D Descrizione della norma.
Dati estratti DDL N/D N/D Definisci da dove devono essere estratte le informazioni su mittente e destinatario.
Mittente Stringa N/D N/D No Da chi deve essere inviato il messaggio per essere bloccato. Necessario solo se "Tipo mittente" è uno dei seguenti: Dominio email, Indirizzo email, Nome visualizzato intestazione. Questo parametro viene ignorato se viene selezionato un valore diverso per "Tipo da".
Tipo di mittente DDL N/D N/D No Il tipo di mittente per le norme.
Destinatario Stringa N/D N/D No A chi deve essere inviato il messaggio per essere bloccato. Necessario solo se "Tipo di destinatario" è uno dei seguenti: dominio email, indirizzo email, nome visualizzato nell'intestazione. Questo parametro viene ignorato se viene selezionato un valore diverso per "Tipo di destinatario".
Tipo di destinatario DDL N/D N/D No Il tipo di destinatario del criterio.
Commento Stringa N/D N/D No Commento per una norma.
Bidirezionale Bool N/D N/D No Se attivato, il criterio verrà definito in modo bidirezionale.
Applicato Bool N/D N/D No Se attivato, il criterio viene applicato.
Ora di inizio Stringa N/D N/D No Ora di inizio della norma. Se non viene specificato nulla, l'ora di inizio verrà impostata su eterna. È previsto il formato ISO 8601. Esempio: 2025-03-07T16:03:00Z
Ora di fine Stringa N/D N/D No Ora di fine della policy. Se non viene fornito alcun valore, l'ora di fine verrà impostata su eterna. È previsto il formato ISO 8601. Esempio: 2025-03-07T16:03:00Z

Risultati dell'azione

Tipo Disponibile
Risultato script Vero
Risultato JSON Vero
Tabella di arricchimento Falso
Tabella Bacheca casi Falso
Link alla bacheca richieste Falso
Allegato della bacheca richieste Falso
Risultato script
Nome risultato script Opzioni di valore
is_success is_success=False
is_success is_success=True
Risultato JSON
{
   "option": "block_sender",
   "id": "eNo1jr0OgjAYAN-lqw79QKyYOCCSiCJGqSCjlmqQn2ILNmp8d3Fwv8vdGynOOsnzDE3RSsP4ZTT0tPUMO3DL1pK-LrFZzzfJ9XJTrC78yPZgcc7CW1QdSLuUo11Mfc2rpIsfxlxQHFsDFXKPdkeq10ym7uJeDIKLA6Z66T1NUklI4c3QEDWizNnzVzYnBthDxDrViopLJjLe77iHyAEgjkmgpx9cqlzUaAp_kz4b7vc2YDzCny9vYUEo",
   "policy": {
       "description": "Description",
       "fromPart": "both",
       "from": {
           "type": "individual_email_address",
           "emailAddress": "example@exampl.com"
       },
       "to": {
           "type": "individual_email_address",
           "emailAddress": "exampleto@exampl.com"
       },
       "fromType": "individual_email_address",
       "fromValue": "example@exampl.com",
       "toType": "individual_email_address",
       "toValue": "exampleto@exampl.com",
       "fromEternal": true,
       "toEternal": true,
       "fromDate": "1900-01-01T00:00:00+0000",
       "toDate": "2100-01-01T23:59:59+0000",
       "override": false,
       "bidirectional": false,
       "conditions": {},
       "enabled": true,
       "enforced": true,
       "createTime": "2025-03-27T12:51:46+0000",
       "lastUpdated": "2025-03-27T12:51:46+0000"
   }
}
Bacheca casi
Tipo di risultato Valore/Descrizione Tipo (entità/generale)
Messaggio di output*

L'azione non deve non riuscire o interrompere l'esecuzione di un playbook:


Se nella risposta non sono presenti "errori" (is_success = true): print "Successfully created a block sender policy in Mimecast".

L'azione deve non riuscire e interrompere l'esecuzione di un playbook:

se si verifica un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server, altro: stampa "Errore durante l'esecuzione dell'azione "{action name}". Motivo: {0}''.format(error.Stacktrace)

Se fail/errors ha valori: Errore durante l'esecuzione dell'azione "{action name}". Motivo: fail/errors/message".

Connettore

Mimecast - Message Tracking Connector

Descrizione

Estrai informazioni sui messaggi dalla scheda "Monitoraggio messaggi" in Mimecast. Nota: la lista consentita funziona con il parametro "queueDetailStatus/bounceType".

Configura Mimecast - Message Tracking Connector in Google SecOps

Per istruzioni dettagliate su come configurare un connettore in Google SecOps, vedi Configurazione del connettore.

Parametri del connettore

Utilizza i seguenti parametri per configurare il connettore:

Nome visualizzato del parametro Tipo Valore predefinito È obbligatorio Descrizione
Nome campo prodotto Stringa Nome prodotto Inserisci il nome del campo di origine per recuperare il nome del campo prodotto.
Nome campo evento Stringa event_type Inserisci il nome del campo di origine per recuperare il nome del campo evento.
Nome campo ambiente Stringa "" No

Descrive il nome del campo in cui è memorizzato il nome dell'ambiente.

Se il campo dell'ambiente non viene trovato, l'ambiente è quello predefinito.
Pattern regex ambiente Stringa .* No

Un pattern regex da eseguire sul valore trovato nel campo "Nome campo ambiente".

Il valore predefinito è .* per acquisire tutto e restituire il valore invariato.

Utilizzato per consentire all'utente di manipolare il campo dell'ambiente tramite la logica delle espressioni regolari.

Se il pattern regex è null o vuoto oppure il valore dell'ambiente è null, il risultato finale dell'ambiente è l'ambiente predefinito.
Timeout dello script (secondi) Int 180 Limite di timeout per il processo Python che esegue lo script corrente.
Root API Stringa https:/<<api root>> Radice API dell'istanza Mimecast.
ID applicazione Stringa N/D ID applicazione dell'istanza Mimecast.
Chiave applicazione Password N/D Chiave applicazione dell'istanza Mimecast.
Chiave di accesso Password N/D Chiave di accesso dell'istanza Mimecast.
Chiave segreta Password N/D Chiave segreta dell'istanza Mimecast.
Domini CSV N/D Un elenco separato da virgole di domini per cui eseguire query sui messaggi.
Rischio più basso di recupero Stringa N/D No

Il rischio più basso che verrà utilizzato per recuperare i messaggi. Valori possibili:

Trascurabile, Basso, Medio, Alto.

Se non viene fornito alcun valore, il connettore inserirà tutti i messaggi.
Filtro per stato CSV tenuto

Un elenco di filtri di stato per i messaggi separati da virgole. Valori possibili: delivery, held, accepted, bounced, deferred, rejected, archived.

Se non viene fornito alcun valore, il connettore inserirà tutti i messaggi.
Filtro route CSV N/D

Filtri di routing separati da virgole per i messaggi. Valori possibili: internal, outbound, inbound.

Se non viene fornito alcun valore, il connettore inserirà tutti i messaggi.
Filtro Motivo coda CSV N/D

Un elenco separato da virgole dei motivi della coda che devono filtrare i messaggi. Se non viene fornito nulla, questo filtro viene ignorato.
Importare messaggi senza rischi Casella di controllo Se attivato, il connettore inserirà i messaggi anche se non sono presenti informazioni sul rischio. Gli avvisi di Google SecOps generati da questi messaggi avranno la priorità impostata su Informativo.
Ore massime indietro Numero intero 1 No Quantità di ore da cui recuperare i messaggi. Valore predefinito: 1 ora. Max: 30 giorni.
Numero massimo di messaggi da restituire Numero intero 100 No Numero di messaggi da elaborare per un'iterazione del connettore. Valore predefinito: 100.
Utilizzare la lista consentita come lista nera Casella di controllo Selezionata Se questa opzione è abilitata, la lista consentita verrà utilizzata come lista bloccata.
Verifica SSL Casella di controllo Selezionata Se abilitato, verifica che il certificato SSL per la connessione al server Mimecast sia valido.
Indirizzo del server proxy Stringa N/D No L'indirizzo del server proxy da utilizzare.
Nome utente proxy Stringa N/D No Il nome utente del proxy con cui eseguire l'autenticazione.
Password proxy Password N/D No La password del proxy per l'autenticazione.

Regole del connettore

Supporto proxy

Il connettore supporta il proxy.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.