Mimecast

Versão da integração: 9.0

Exemplos de utilização

  1. Realizar a carregamento das mensagens
  2. Realizar ação de triagem (rejeitar/libertar/denunciar mensagem)

Antes de começar

Para configurar a integração do Mimecast, primeiro tem de criar uma função do Mimecast com as autorizações necessárias na consola de administração do Mimecast.

As autorizações necessárias são as seguintes:

  • Account | Dashboard | Read

  • Account | Monitoring | Held | Edit

  • Archive | Search Logs | Read

  • Archive | View Logs | Read

  • Gateway | Managed Senders | Edit

  • Gateway | Policies | Edit

  • Gateway | Policies | Read

  • Gateway | Tracking | Read

Configure a integração do Mimecast no Google SecOps

Para obter instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.

Parâmetros de integração

Use os seguintes parâmetros para configurar a integração:

Nome a apresentar do parâmetro Tipo Valor predefinido É obrigatório Descrição
Raiz da API String https:/<<api root>> Sim Raiz da API da instância do Mimecast.
ID da aplicação String N/A Sim ID da aplicação da instância do Mimecast.
Chave da aplicação Palavra-passe N/A Sim Chave da aplicação da instância do Mimecast.
Chave de acesso Palavra-passe N/A Sim Chave de acesso da instância do Mimecast.
Chave secreta Palavra-passe N/A Sim Chave secreta da instância do Mimecast.
Validar SSL Caixa de verificação Marcado Sim Se estiver ativada, verifique se o certificado SSL para a ligação ao servidor Mimecast é válido.
Nota: se necessário, pode fazer alterações numa fase posterior. Depois de configuradas, as instâncias podem ser usadas em Playbooks. Para obter informações detalhadas sobre a configuração e o suporte de várias instâncias, consulte o artigo [Suporte de várias instâncias](/chronicle/docs/soar/respond/integrations-setup/supporting-multiple-instances). ## Nuances da configuração de integração 1. O servidor do Google Security Operations tem de estar sincronizado com o servidor do Mimecast. 1. As informações sobre todos os parâmetros necessários para a configuração estão disponíveis nos seguintes links: [https://community.mimecast.com/s/article/Managing-API-Applications-505230018](https://community.mimecast.com/s/article/Managing-API-Applications-505230018) e [https://community.mimecast.com/s/article/Mimecast-Data-Centers-and-URLs-61190061](https://community.mimecast.com/s/article/Mimecast-Data-Centers-and-URLs-61190061) ## Ações ### Ping #### Descrição Teste a conetividade ao Mimecast com os parâmetros fornecidos na página de configuração da integração no separador Google SecOps Marketplace. #### Parâmetros N/A #### Executar em Esta ação não é executada em entidades. #### Resultados da ação ##### Resultado do script
Nome do resultado do script Opções de valores
is_success is_success=False
is_success is_success=True
Case Wall
Tipo de resultado Valor / descrição Tipo
Mensagem de saída*

A ação não deve falhar nem parar a execução de um playbook:
se for bem-sucedida: "Ligação estabelecida com êxito ao servidor Mimecast com os parâmetros de ligação fornecidos!"

A ação deve falhar e parar a execução de um manual de procedimentos:
se não for bem-sucedida: "Falha ao estabelecer ligação ao servidor do Mimecast! O erro é {0}".format(exception.stacktrace)

 Geral

Descrição

Pesquise emails de arquivo através de parâmetros definidos no Mimecast.

Parâmetros

Nome a apresentar do parâmetro Tipo Valor predefinido É obrigatório Descrição
Campos a devolver CSV

attachmentcount,status,subject,
size,receiveddate,displayfrom,
displayfromaddress,id,displayto,
displaytoaddresslist,smash

 Sim Especifique uma lista de campos separados por vírgulas que têm de ser devolvidos.
Caixas de correio CSV N/A Não Especifique uma lista separada por vírgulas das caixas de correio que precisam de ser pesquisadas.
De CSV N/A Não Especifique uma lista de endereços de email separados por vírgulas a partir dos quais os emails foram enviados.
Para CSV N/A Não Especifique uma lista de endereços de email separados por vírgulas para os quais os emails foram enviados.
Assunto String N/A Não Especifique um assunto que precisa de ser pesquisado.
Intervalo de tempo LDD

Última hora

Valores possíveis:

Última hora

Últimas 6 horas

Últimas 24 horas

Semana passada

Mês passado

Personalizado

 Sim Especifique um prazo para a pesquisa. Se selecionar "Personalizado", também tem de indicar a "Hora de início".
Hora de início String N/A Não Especifique a hora de início da pesquisa. Este parâmetro é obrigatório se "Personalizado" estiver selecionado para o parâmetro "Intervalo de tempo". Formato: ISO 8601
Hora de fim String N/A Não Especifique a hora de fim da pesquisa. Formato: ISO 8601. Se não for indicado nada e "Personalizado" for selecionado para o parâmetro "Intervalo de tempo", este parâmetro usa a hora atual.
Número máximo de emails a devolver Integração 50 Não Especifique o número de emails a devolver. Predefinição: 50.

Executar em

Esta ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valores
is_success is_success=False
is_success is_success=True
Case Wall
Tipo de resultado Valor/descrição Tipo
Mensagem de saída*

A ação não deve falhar nem parar a execução de um manual de procedimentos:
se os dados estiverem disponíveis(is_success = true): "Foram encontrados com êxito emails de arquivo para os critérios fornecidos no Mimecast".

Se os dados não estiverem disponíveis (is_success=true): "Não foram encontrados emails de arquivo para os critérios fornecidos no Mimecast"



A ação deve falhar e parar a execução de um manual de procedimentos:
se ocorrer um erro fatal, como credenciais incorretas, nenhuma ligação ao servidor, entre outros: "Erro ao executar a ação "Pesquisa simples de arquivo". Motivo: {0}''.format(error.Stacktrace)

Se a hora de início estiver vazia, quando o "Intervalo de tempo" for "Personalizado": "Erro ao executar a ação "Pesquisa simples de arquivo". Motivo: "Start Time" deve ser fornecido quando "Custom" é selecionado no parâmetro "Time Frame"."

Se fail/errors tiver valores: erro ao executar a ação "Simple Archive Search". Motivo: fail/errors/message".

Geral
Tabela de parede da caixa

Nome: resultados

Colunas:

Todas as chaves da resposta

 Geral

Descrição

Pesquise emails de arquivo com uma consulta XML personalizada no Mimecast.

Parâmetros

Nome a apresentar do parâmetro Tipo Valor predefinido É obrigatório Descrição
Consulta XML XML N/A Sim Especifique uma consulta XML que deve ser usada quando pesquisar emails de arquivo. Visite a documentação para ver mais detalhes.

Executar em

Esta ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valores
is_success is_success=False
is_success is_success=True
Case Wall
Tipo de resultado Valor/descrição Tipo
Mensagem de saída*

A ação não deve falhar nem parar a execução de um manual de procedimentos:
se os dados estiverem disponíveis(is_success = true): "Foram encontrados com êxito emails de arquivo para os critérios fornecidos no Mimecast".

Se os dados não estiverem disponíveis (is_success=true): "Não foram encontrados emails de arquivo para os critérios fornecidos no Mimecast".

A ação deve falhar e parar a execução de um playbook:
se ocorrer um erro fatal, como credenciais incorretas, nenhuma ligação ao servidor, entre outros: "Erro ao executar a ação "Pesquisa avançada de arquivo". Motivo: {0}''.format(error.Stacktrace)

Se fail/errors tiver valores: erro ao executar a ação "Pesquisa avançada de arquivos". Motivo: fail/errors/message".

Geral
Tabela de parede da caixa

Nome: resultados

Colunas:

Todas as chaves da resposta

 Geral

Rejeitar mensagem

Descrição

Rejeite a mensagem no Mimecast. Nota: só é possível rejeitar mensagens com o estado "Em espera".

Parâmetros

Nome a apresentar do parâmetro Tipo Valor predefinido É obrigatório Descrição
ID da mensagem String N/A Sim Especifique o ID da mensagem que tem de ser rejeitada.
Nota String N/A Não Especifique uma nota adicional com uma explicação sobre o motivo pelo qual a mensagem foi rejeitada.
Motivo DLL

Selecione uma opção

Valores possíveis:

Selecione uma opção

Comunicação imprópria

Informação confidencial

Contra a Política de Email

Conteúdo restrito

 Não Especifique o motivo da rejeição.
Notificar remetente Caixa de verificação Desmarcado Não Se estiver ativada, a ação notifica o remetente sobre a rejeição.

Executar em

Esta ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valores
is_success is_success=False
is_success is_success=True
Case Wall
Tipo de resultado Valor/descrição Tipo
Mensagem de saída*

A ação não deve falhar nem parar a execução de um playbook:
se não existirem "erros" na resposta (is_success = true): "Mensagem com o ID "{ID}" rejeitada com êxito no Mimecast".

A ação deve falhar e parar a execução de um manual de soluções:
se ocorrer um erro fatal, como credenciais incorretas, nenhuma ligação ao servidor ou outro: "Erro ao executar a ação "Rejeitar mensagem". Motivo: {0}''.format(error.Stacktrace)

Se fail/errors tiver valores: erro ao executar a ação "Rejeitar mensagem". Motivo: fail/errors/message".

Geral

Mensagem de lançamento

Descrição

Libertar mensagem no Mimecast. Nota: só é possível libertar mensagens com o estado "Em espera".

Parâmetros

Nome a apresentar do parâmetro Tipo Valor predefinido É obrigatório Descrição
ID da mensagem String N/A Sim Especifique o ID da mensagem que tem de ser lançada.
Publicação na sandbox Caixa de verificação N/A Não Se estiver ativada, a ação liberta a mensagem para a sandbox.

Executar em

Esta ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valores
is_success is_success=False
is_success is_success=True
Case Wall
Tipo de resultado Valor/descrição Tipo
Mensagem de saída*

A ação não deve falhar nem parar a execução de um manual de procedimentos:
se não existirem "erros" na resposta (is_success = true): "Mensagem libertada com êxito com o ID "{ID}" no Mimecast".

A ação deve falhar e parar a execução de um manual de procedimentos:
se ocorrer um erro fatal, como credenciais incorretas, nenhuma ligação ao servidor, entre outros: "Erro ao executar a ação "Libertar mensagem". Motivo: {0}''.format(error.Stacktrace)

Se fail/errors tiver valores: erro ao executar a ação "Libertar mensagem". Motivo: fail/errors/message".

Geral

Denunciar mensagem

Descrição

Denuncie a mensagem no Mimecast. Nota: só é possível denunciar mensagens com o estado "Em espera", "Arquivada" ou "Rejeitada".

Parâmetros

Nome a apresentar do parâmetro Tipo Valor predefinido É obrigatório Descrição
IDs das mensagens String N/A Sim Especifique o ID da mensagem que tem de ser denunciada.
Denunciar como LDD

Spam

Valores possíveis:

Spam

Software malicioso

Phishing

 Não Especifique o tipo de relatório para a mensagem.
Comentário String N/A Não Especifique o comentário para a denúncia.

Executar em

Esta ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valores
is_success is_success=False
is_success is_success=True
Case Wall
Tipo de resultado Valor / descrição Tipo
Mensagem de saída*

A ação não deve falhar nem parar a execução de um livro de regras:
se os dados estiverem disponíveis(is_success = true): "As seguintes mensagens com o ID "{ID}" foram comunicadas com êxito no Mimecast".

A ação deve falhar e parar a execução de um livro de regras:
se ocorrer um erro fatal, como credenciais incorretas, nenhuma ligação ao servidor, entre outros: "Erro ao executar a ação "Comunicar mensagem". Motivo: {0}''.format(error.Stacktrace)

Se fail/errors tiver valores: erro ao executar a ação "Report Message". Motivo: fail/errors/message".

 Geral

Bloquear remetente

Descrição

Bloqueie o remetente no Mimecast.

Parâmetros

Nome a apresentar do parâmetro Tipo Valor predefinido É obrigatório Descrição
Remetente String N/A Sim Especifique o endereço de email do remetente a bloquear.
Destinatário String N/A Sim Especifique o endereço de email do destinatário a bloquear.

Executar em

Esta ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valores
is_success is_success=False
is_success is_success=True
Case Wall
Tipo de resultado Valor / descrição Tipo
Mensagem de saída*

A ação não deve falhar nem parar a execução de um manual de soluções:
Se não existirem "erros" na resposta (is_success = true): "Remetente {sender} bloqueado com êxito para o destinatário {recipient} no Mimecast".

A ação deve falhar e parar a execução de um guião:
se ocorrer um erro fatal, como credenciais incorretas, nenhuma ligação ao servidor ou outro: "Erro ao executar a ação "Bloquear remetente". Motivo: {0}''.format(error.Stacktrace)

Se fail/errors tiver valores: erro ao executar a ação "Bloquear remetente". Motivo: fail/errors/message".

 Geral

Permitir remetente

Descrição

Permita o remetente no Mimecast.

Parâmetros

Nome a apresentar do parâmetro Tipo Valor predefinido É obrigatório Descrição
Remetente String N/A Sim Especifique o endereço de email do remetente a permitir.
Destinatário String N/A Sim Especifique o endereço de email do destinatário a permitir.

Executar em

Esta ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valores
is_success is_success=False
is_success is_success=True
Case Wall
Tipo de resultado Valor / descrição Tipo
Mensagem de saída*

A ação não deve falhar nem parar a execução de um playbook:
se não existirem "erros" na resposta (is_success = true): "O remetente {sender} foi autorizado com êxito para o destinatário {recipient} no Mimecast".

A ação deve falhar e parar a execução de um manual de soluções:
se ocorrer um erro fatal, como credenciais incorretas, nenhuma ligação ao servidor ou outro: "Erro ao executar a ação "Permitir remetente". Motivo: {0}''.format(error.Stacktrace)

Se fail/errors tiver valores: erro ao executar a ação "Permit Sender". Motivo: fail/errors/message".

 Geral

Crie uma política de bloqueio de remetentes

Crie uma política de remetente bloqueado no Mimecast.

Executar em

Esta ação não é executada em nenhuma entidade.

Parâmetros

Nome a apresentar do parâmetro Tipo Valor predefinido Marca de água É obrigatório Descrição
Resposta LDD N/A N/A Não Indique o tipo de resposta que vai ser associado à política criada.
Descrição String N/A N/A Sim Descrição da política.
Dados extraídos LDD N/A N/A Defina a origem das informações sobre o remetente e o destinatário.
Remetente String N/A N/A Não De quem a mensagem deve ser enviada para ser bloqueada. Só é necessário se o "Tipo de remetente" for um dos seguintes: domínio de email, endereço de email, nome a apresentar no cabeçalho. Este parâmetro é ignorado se for selecionado um valor de "Tipo de origem" diferente.
Tipo de remetente LDD N/A N/A Não Tipo de remetente da política.
Destinatário String N/A N/A Não A quem deve ser enviada a mensagem para que seja bloqueada. Só é necessário se o "Tipo de destinatário" for um dos seguintes: domínio de email, endereço de email, nome a apresentar no cabeçalho. Este parâmetro é ignorado se for selecionado um valor de "Tipo de destinatário" diferente.
Tipo de destinatário LDD N/A N/A Não Tipo de destinatário da política.
Comentário String N/A N/A Não Comentário para uma política.
Bidirecional Booleano N/A N/A Não Se estiver ativada, a política é definida de forma bidirecional.
Aplicado Booleano N/A N/A Não Se estiver ativada, a política é aplicada.
Hora de início String N/A N/A Não Hora de início da política. Se não for especificada nenhuma opção, a hora de início é definida como eterna. Espera o formato ISO 8601. Exemplo: 2025-03-07T16:03:00Z
Hora de fim String N/A N/A Não Hora de fim da política. Se não for especificada nenhuma opção, a hora de fim é definida como eterna. Espera o formato ISO 8601. Exemplo: 2025-03-07T16:03:00Z

Resultados da ação

Tipo Disponível
Resultado do script True
Resultado JSON True
Tabela de enriquecimento Falso
Tabela de parede da caixa Falso
Link da capa de parede Falso
Anexo de parede da caixa Falso
Resultado do script
Nome do resultado do script Opções de valores
is_success is_success=False
is_success is_success=True
Resultado JSON
{
   "option": "block_sender",
   "id": "eNo1jr0OgjAYAN-lqw79QKyYOCCSiCJGqSCjlmqQn2ILNmp8d3Fwv8vdGynOOsnzDE3RSsP4ZTT0tPUMO3DL1pK-LrFZzzfJ9XJTrC78yPZgcc7CW1QdSLuUo11Mfc2rpIsfxlxQHFsDFXKPdkeq10ym7uJeDIKLA6Z66T1NUklI4c3QEDWizNnzVzYnBthDxDrViopLJjLe77iHyAEgjkmgpx9cqlzUaAp_kz4b7vc2YDzCny9vYUEo",
   "policy": {
       "description": "Description",
       "fromPart": "both",
       "from": {
           "type": "individual_email_address",
           "emailAddress": "example@exampl.com"
       },
       "to": {
           "type": "individual_email_address",
           "emailAddress": "exampleto@exampl.com"
       },
       "fromType": "individual_email_address",
       "fromValue": "example@exampl.com",
       "toType": "individual_email_address",
       "toValue": "exampleto@exampl.com",
       "fromEternal": true,
       "toEternal": true,
       "fromDate": "1900-01-01T00:00:00+0000",
       "toDate": "2100-01-01T23:59:59+0000",
       "override": false,
       "bidirectional": false,
       "conditions": {},
       "enabled": true,
       "enforced": true,
       "createTime": "2025-03-27T12:51:46+0000",
       "lastUpdated": "2025-03-27T12:51:46+0000"
   }
}
Case Wall
Tipo de resultado Valor/descrição Tipo (entidade \ geral)
Mensagem de saída*

A ação não deve falhar nem parar a execução de um guia interativo:


Se não existirem "erros" na resposta (is_success = true): imprima "Política de remetentes bloqueados criada com êxito no Mimecast".

A ação deve falhar e parar a execução de um guia interativo:

Se ocorrer um erro fatal, como credenciais incorretas, nenhuma ligação ao servidor ou outro: imprima "Erro ao executar a ação "{action name}". Motivo: {0}''.format(error.Stacktrace)

Se fail/errors tiver valores: erro ao executar a ação "{action name}". Motivo: fail/errors/message".

Conetor

Mimecast – Conetor de acompanhamento de mensagens

Descrição

Extraia informações sobre mensagens do separador "Message Tracking" no Mimecast. Nota: a lista de autorizações funciona no parâmetro "queueDetailStatus/bounceType".

Configure o conetor de acompanhamento de mensagens do Mimecast no Google SecOps

Para ver instruções detalhadas sobre como configurar um conetor no Google SecOps, consulte o artigo Configurar o conetor.

Parâmetros do conetor

Use os seguintes parâmetros para configurar o conector:

Nome a apresentar do parâmetro Tipo Valor predefinido É obrigatório Descrição
Nome do campo do produto String Nome do produto Sim Introduza o nome do campo de origem para obter o nome do campo do produto.
Nome do campo de evento String event_type Sim Introduza o nome do campo de origem para obter o nome do campo do evento.
Nome do campo do ambiente String "" Não

Descreve o nome do campo onde o nome do ambiente está armazenado.

Se o campo do ambiente não for encontrado, o ambiente é o ambiente predefinido.
Padrão de regex do ambiente String .* Não

Um padrão de regex a executar no valor encontrado no campo "Nome do campo do ambiente".

A predefinição é .* para captar tudo e devolver o valor inalterado.

Usado para permitir que o utilizador manipule o campo do ambiente através da lógica de regex.

Se o padrão regex for nulo ou estiver vazio, ou o valor do ambiente for nulo, o resultado final do ambiente é o ambiente predefinido.
Limite de tempo do script (segundos) Int 180 Sim Limite de tempo limite para o processo Python que executa o script atual.
Raiz da API String https:/<<api root>> Sim Raiz da API da instância do Mimecast.
ID da aplicação String N/A Sim ID da aplicação da instância do Mimecast.
Chave da aplicação Palavra-passe N/A Sim Chave da aplicação da instância do Mimecast.
Chave de acesso Palavra-passe N/A Sim Chave de acesso da instância do Mimecast.
Chave secreta Palavra-passe N/A Sim Chave secreta da instância do Mimecast.
Domínios CSV N/A Sim Uma lista de domínios separados por vírgulas para os quais consultar mensagens.
Risco mais baixo para obter String N/A Não

O risco mais baixo que vai ser usado para obter mensagens. Valores possíveis:

Negligível, Baixo, Médio, Alto.

Se não for fornecido nada, o conector vai carregar todas as mensagens.
Filtro de estado CSV retidos

Uma lista de filtros de estado para as mensagens separada por vírgulas. Valores possíveis: delivery, held, accepted, bounced, deferred, rejected, archived.

Se não for fornecido nada, o conector vai carregar todas as mensagens.
Filtro de trajetos CSV N/A

Filtros de encaminhamento separados por vírgulas para as mensagens. Valores possíveis: internal, outbound, inbound.

Se não for fornecido nada, o conector vai carregar todas as mensagens.
Filtro de motivo da fila CSV N/A

Uma lista separada por vírgulas de motivos da fila que devem filtrar as mensagens. Se não for fornecido nada, este filtro é ignorado.
Carregue mensagens sem risco Caixa de verificação Se estiver ativado, o conetor vai carregar mensagens, mesmo que não existam informações sobre o risco. Os alertas do Google SecOps gerados a partir dessas mensagens têm a prioridade definida como Informativa.
Máximo de horas para trás Número inteiro 1 Não Número de horas a partir das quais obter mensagens. Predefinição: 1 hora. Máximo: 30 dias.
Número máximo de mensagens a devolver Número inteiro 100 Não O número de mensagens a processar por iteração do conector. Predefinição: 100.
Use a lista de autorizações como uma lista negra Caixa de verificação Marcado Sim Se estiver ativada, a lista de autorizações é usada como uma lista negra.
Validar SSL Caixa de verificação Marcado Sim Se estiver ativada, verifique se o certificado SSL para a ligação ao servidor Mimecast é válido.
Endereço do servidor proxy String N/A Não O endereço do servidor proxy a usar.
Nome de utilizador do proxy String N/A Não O nome de utilizador do proxy para autenticação.
Palavra-passe do proxy Palavra-passe N/A Não A palavra-passe do proxy para autenticação.

Regras do conetor

Suporte de proxy

O conetor suporta proxy.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.